一条ADSL实现内外网分离
笔者遇到客户这样的一个需求:条件: 一根ADSL,一台傻瓜交换机,一台服务器,N台 电脑
要求如下:
一、A部分电脑:能不限制的上互联网。(领导用的)
二、B部分电脑:只能上指定的网站(小社区卫生院收费用,要求只能上某些网站和通过VPN上医保网络)
三、A部分电脑和B部分电脑不能互通。
四、要求B部分电脑通过总医院的VPN设备上医保网络。
五、A部分电脑不能上医保网络
思路如下:
一、服务器安装win2003 用于收费服务器
二、在服务器上安装VMware虚拟机
三、在虚拟中安装 routeros
四、虚拟机中的外网桥接服务器上的网卡2,网卡2接ADSL
五、虚拟机中的内网卡桥接服务器上的网卡1,网卡1接内网交换机。
这样的话,一台服务器做路由器,和充当收费服务器的角色。(省一台路由器的钱,呵呵)
六、 A部分领导的电脑,用PPPOE方式 分得的IP段是192.168.11.X
七、 B部分收费的电脑,用192.168.10.X IP段
八、用防火墙策略, 让192.168.10.X 只能访问指定的网段,让a部分电脑和b部分电脑部能通讯。 脚本如下:
/ ip firewall filter
add chain=forward src-address=192.168.11.0/24 dst-address=192.1.1.0/24 \
action=drop comment="" disabled=no
add chain=forward src-address=192.168.11.0/24 dst-address=172.120.0.0/16 \
action=drop comment="" disabled=no
add chain=forward src-address=192.168.11.0/24 dst-address=192.168.0.0/24 \
action=drop comment="" disabled=no
add chain=forward src-address=192.168.10.0/24 dst-address=192.168.11.0/24 \
action=drop comment="" disabled=no
add chain=forward src-address=192.168.10.0/24 dst-address=192.1.1.0/24 \
action=accept comment="" disabled=no
add chain=forward src-address=192.168.10.0/24 dst-address=172.120.1.0/24 \
action=accept comment="" disabled=no
add chain=forward src-address=192.168.10.0/24 dst-address=10.0.0.0/24 \
action=accept comment="" disabled=no
add chain=forward src-address=192.168.10.0/24 dst-address=125.40.15.0/24 \
action=accept comment="" disabled=no
add chain=forward src-address=192.168.10.2 dst-address=0.0.0.0/0 action=accept \
comment="" disabled=no
add chain=forward src-address=192.168.10.5 dst-address=0.0.0.0/0 action=accept \
comment="" disabled=no
add chain=forward src-address=192.168.10.0/24 dst-address=0.0.0.0/0 \
action=drop comment="" disabled=no :funk:
一条 ADSL 太累了吧 用一段时间就够折腾了,没什么不可能的,路由器你还是分离吧,垃圾的也200元就行了 单位用的不差钱,不搞个10万也要搞个8万的设备才象样。 用一段时间就够折腾了,没什么不可能的,路由器你还是分离吧,垃圾的也200元就行了
WGHBOY 发表于 2009-9-19 19:42 http://bbs.routerclub.com/images/common/back.gif
哪里能搞到?我买个来自己玩玩~
那些奔四的老电脑实在不爽,太大了 前提是不包括硬盘 mark一下,学习。 觉得不错啊,用起来还是可以的。不过中起毒来就大件事罗 用了N多年,到现在还用着呢。 :$:$
页:
[1]