最近给吉林建筑工程设计院做了一个网络改造方案
他们网络目前的情况是:病毒到了无法控制的地步,而病毒的来源多来自于局域网的传播.网络乃是十年前所设计的,使用的交换机没有网管功能,所以无法对用户进行有效控制.整个局域网100多台机器全部在一个广播域内,通过一个防火墙作NAT服务器出外网,但这个防火墙根本没有起任何防护功能,只是作为一个几十块钱的路由器使用.客户机大部分为win 2000操作系统,且没有打补丁.内部文件交流采用域共享方式,没有任何安全性可言
改造方案如下:全网杀毒,全部更换为winXP系统,并购买新服务器建立WSUS升级服务器,通过局域网方式分发补丁.购买可网管交换机,划分vlan,有效缩小广播域.在三层交换机上作一系列安全防护措施,防止病毒在局域网内快速传播.
根据要求我设计网络如下:
这样一个方案,本来调起设备来没有任何困难地,但结果却是出乎意外之外.
当我所有都按拓扑调完了交换机,测试了一下各网络,一切连接正常,正当我高兴要完成任务之时,问题出现了,当我将3928接上防火墙的时候,发现不管如何,都上不了外网,但有个例外,那就是客户机用Vlan 1 的地址可以顺利上网. ping发现客户机到3928是通的,3126到防火墙是通的.这个时候首先想到的就是3928和防火墙之间出了问题,但是进防火墙设置,发现防火墙所有网段都默认就加上了路由,而且直接接客户机的话,不管你设哪个段的地址都可以连接上外网.
郁闷了一两天,都没有头绪,正当我想要改变方案的时候,突然想到了防火墙的设置,因为当时自己没有防火墙的配置入口(垃圾首信的防火墙,只有WEB配置),于是让他们工程师过来配置的,我当时的要求是,把10-99这几个网段加到NAT里.最后的结果是,他们在防火墙里分别配置了形如192.168.10.1的地址.问题就出现了,当客户机如192.168.10.20要访问外网的进修时候,信息返回到防火墙时发现了192.168.10.0/24属于其直连网络,但实际上,vlan 10上的192.168.10.254没有和防火墙直接连接.所以这个信息返回不到3928上了.网络自然就不通了.于是我试图把防火墙的这几个段的路由指到3928上,结果告诉我,系统默认产生的路由不允许修改.
于是我开始研究防火墙的配置,发现NAT设置中,已经允许所有地址转换成一个直连的公网IP.意思就是说,把192.168.10.1之类的IP设为防火墙接口IP纯属多余,我被那两个防火墙工程师骗了!
删除这几个地址,在路由上加上路由,把这几个网段全指到3928上.测试一下,网通了.
嗯,于是很无奈地承认自己经验太浅,居然这么容易就被调防火墙那两个SB工程师误导了,sigh!
PS:发现自己真的很懒,10月份做实验的方案还没有整理出来:(
崇拜地仰望 ^^
seamouse Says @ 06-11-21 18:31
你还仰望
真是受宠若惊
我的愿望是只要行家不耻笑就行
blues Says @ 06-11-21 19:57