網段的問題

網路架構網路管理 ip 網路芳鄰

qmomaruko 2010-07-21 16:38:09 ‧ 13272 瀏覽

分享至

假如有一個網域叫ABCD
裡面的IP範圍是100.100.100.1~100.100.100.253
遮罩是255.255.255.0
通訊閘100.100.100.254

如果我要在這網域裡增加幾台電腦
要讓那幾台電腦在網芳看的到對方，卻看不到網域ABCD的電腦
卻又能使用網域的連線，如網域有架MAIL和一些連線軟體也要能一起使用
有方法弄嗎

在網域不能變設定的情況下
我將那幾台電腦設為AAAA工作群組
IP為100.100.101.1~100.100.101.253
遮罩是255.255.0.0
這想法可以嗎??我設定完是PING不到ABCD網域的電腦

小弟沒有玩過超過255台電腦的網段設定
可以請大大指點一下嗎
謝謝

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

Ray

iT邦大神 1 級 ‧ 2010-07-21 17:08:36

最佳解答

在網域不能變設定的情況下
我將那幾台電腦設為AAAA工作群組
IP為100.100.101.1~100.100.101.253
遮罩是255.255.0.0
這想法可以嗎??我設定完是PING不到ABCD網域的電腦

這樣當然可以達到您的部分要求, 但並非絕對安全或滿足需求.

如此一來, ABCD網域無法提供任何服務給AAAA群組, 因為兩個網段中間的 Routing 有問題.
如果網路中, 有人利用 ARP Spoofing/IP Spoofing 技術, 奪走 100.100.100.254 的身分, 再建立適當的 Routing, 這兩個網段就變成全通了.

正確的作法:
將 Gateway (100.100.100.254) 換成一台可以切割多個 LAN Port, 且可以針對 Port 設定個別 Policy Rule 的防火牆, ABCD 網域的電腦通通放在 LAN x, AAAA 的電腦通通放在 LAN y, 然後在防火牆上面設定: 您希望由 ABCD 提供的那些服務? 將這些服務 Policy 開通給 LAN y 使用, 其他的一律阻擋.

這樣兩個網域就可以安全的隔離, 同時又可以正常使用獲得授權的服務.

防火牆選擇: Juniper 的 SSG, 或 Fortinet 的 FortiGate 皆可.

回應 7
分享
檢舉

看更多先前的回應...收起先前的回應...

qmomaruko iT邦新手 5 級 ‧ 2010-07-22 15:31:21 檢舉

ABCD 網域的電腦通通放在 LAN x, AAAA 的電腦通通放在 LAN y, 然後在防火牆上面設定

大大是指那台防火牆有1對多或多對多的LAN埠嗎
我的只有多(WAN)對1(LAN)的防火牆

說明白一點
也就是ABCD域是公司在用的
而AAAA是使用中華電信的HILINK系統連至公司
而AAAA不能讓他們公司看到網域的網芳，卻要使用公司的資料庫系統，有方法決解嗎

Ray iT邦大神 1 級 ‧ 2010-07-23 09:13:45 檢舉

是的, 上面兩台防火牆都是有多個 LAN Port, 而且可以針對各 Port 設定各自的 Policy 管控.

您的狀況, 就可以將 ABCD 接上 LAN x, AAAA 接上 LAN y, 然後設定 Policy 讓 LAN x 和 y 之間所有通訊協定都不相通, 而只開通資料庫需要的 Port, 例如: TCP 1433 等, 這樣就不會看到對方的網芳.

以上所說的防火牆都很便宜, 頂多一兩萬元就可以買得到了. 但務必要連服務一起買, 否則以上的設定並不是慣用的方式, 您買回來自己設可能會有困難(除非您受過該廠牌的工程師訓練), 最好是請原廠工程師幫您設定好, 所以一定要買原廠的服務.

Ray iT邦大神 1 級 ‧ 2010-07-23 09:47:20 檢舉

補充一下, 樓上樓下都有網友提到, 利用 VLAN 或 Routing 方式, 切開 Broadcast domain, 讓網芳的廣播無法跨網段, 讓對方無法互相看到網芳.

這種方法在兩個網段互不往來的狀況下沒有問題, 但是樓主的場合, 又需要使用到對方網域內的某些服務, 這麼一來, 即使切了 VLAN/Routing, 你還是要重新建立起一條 Routing 能夠通到對方, 否則這些其他的服務就不能使用了.

但是如果中間沒有 Firewall Policy 的管控, 這樣一通下去, 雖然網芳廣播可以擋掉, 如果有人知道 IP, 又會利用 UNC 格式存取網芳的話, 上面的規劃當場就會破功了.

所以切 VLAN 的方法並非不可行, 但在此案例中, 只能防君子不能防小人.

qmomaruko iT邦新手 5 級 ‧ 2010-07-23 10:15:53 檢舉

可是我現在應該還沒考慮到要設定火牆的情況下

我在AAAA的電腦設定
100.100.101.XX，二台
遮罩設定255.255.0.0和255.255.128.0這二種
可是都沒法抓到和PING到ABCD網域的電腦???(100.100.100.XX，遮罩255.255.255.0)
可是AAAA群組設定255.255.0.0可以互相看到對方電腦和PING到255.255.128.0的電腦
為什麼?可以指點一下嗎>"<

Ray iT邦大神 1 級 ‧ 2010-07-23 14:07:24 檢舉

因為你在 .101.x 和 .100.x 兩個子網路中間, 還少一台路由器, 來幫忙 route 中間的路由. 所以這樣是不會通的. 除非您現在那台防火牆, 上面那個唯一的 LAN port, 可以同時 Bind .101.254 和 .100.254 兩個 IP, 當成兩邊的 Gateway Router, 這樣兩個網段才可以互通.

此外, 你的 101 網段也必須使用 255.255.255.0 的遮罩, 否則封包不會往 100 網段送. (因為你用的 255.255.0.0 會讓 101 網段的電腦, 誤以為 100 網段是跟他在同一個遮罩內, 封包就不會往 Gateway 送過去)

上面所介紹的防火牆, 都有內建 Static/Dymanic routing 的功能.

qmomaruko iT邦新手 5 級 ‧ 2010-07-23 15:39:55 檢舉

那如果Gateway Router有靜態路由的設定的話，
我把100.100.101.xx那二台電腦的ip打進去Gateway Router
那行的通嗎??
如果可以那101的電腦遮罩是打255.255.255.0還是255.255.0.0呢

ps~Gateway Router是100.100.100.254遮罩為255.255.255.0

qmomaruko iT邦新手 5 級 ‧ 2010-08-06 08:10:12 檢舉

雖然您一直在介紹產品
而我也不可能會去用那產品~"~
我是使用hilink的
所以那問題中華電信會去克服

登入發表回應

fantsyss

iT邦新手 2 級 ‧ 2010-07-21 17:04:05

其實有switch的話，切VLAN就可囉，
設定方法：
設一個群組：ABCD跟網路通。

回應
分享
檢舉

登入發表回應

外獅佬

iT邦大師 1 級 ‧ 2010-07-21 17:24:39

其實...網路遮罩改成255.255.0.0就好了....

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

qmomaruko iT邦新手 5 級 ‧ 2010-07-22 09:13:51 檢舉

我知道把網路遮罩改成255.255.0.0或255.255.128.0就可以了
AAAA群組的電腦要改，那ABCD網域裡的電腦也要改嗎??

外獅佬 iT邦大師 1 級 ‧ 2010-07-22 10:18:08 檢舉

兩邊改成一樣的遮罩比較不會有問題。

qmomaruko iT邦新手 5 級 ‧ 2010-07-22 15:27:31 檢舉

但是我另一邊不能改的情況下還有方法嗎

外獅佬 iT邦大師 1 級 ‧ 2010-07-23 14:23:46 檢舉

不能改，那就設定一台路由器吧....

登入發表回應

laiout

iT邦新手 1 級 ‧ 2010-07-21 20:35:55

基本上網域和網段並無直接關係，一個網域內可包含多個網段，同一網段內也可以有多個網域(只要有夠多的SERVER當DC)，依版大的需求只要把新加入的電腦放在另一個網段(用Router隔開或切vlan皆可)，並且新加入的電腦的WINS SERVER不要指定IP，如此新加入的電腦只能靠broadcast尋找網芳的電腦，broadcast封包無法跨網段，自然就看不到原網段的電腦了。