公司内部网络需要划分多个ip网段,各网段不允许互相访问,象Netscreen ns-25提供4个网络接口,一个用来接外网,另外3个接口可以划分成3个不同的zone进行ip分配,但是如果网段超过3个的话就比较麻烦了。
其实划分网段的的正常方法是路由+三层交换机,但是一个普通百兆三层交换机的价格基本都在5k朝上。小公司不一定愿意花这个钱。
netscreen防火墙可以做到一个接口多网段ip的划分。每个接口建立一个zone,分别接在不同的二层交换机上,默认情况下各个zone之间是不能互通的,可以根据需要对各网段的访问权限设置策略。这样即使不通过三册交换机也可以对网络进行完美划分。
但是如果出现网段数多余接口数的话就需要进行进一步的配置了。
首先配置接口的主ip
![]()
在secondary IP中设置第二个ip地址。
![]()
同一接口下的两个ip网段默认是客户互通的,需要通过策略来禁止这两个网段相互访问。
![]()
这样是用netscreen防火墙就可以不通过三层交换机对公司网络进行划分了,但是如果用户手动更改ip地址就无法对网络进行完全的隔离了。
阅读(2163) | 评论(0) | 转发(0) |
