|
楼主 |
发表于 2010-8-9 10:51:19
|
显示全部楼层
高级DHCP隔离内网电脑互访(VLAN) 我行!我可以!!
本帖最后由 zengcf 于 2010-8-9 11:44 编辑 + o0 D: q; y( k& z
2 s% m6 t/ H2 T" W
高级DHCP隔离内网电脑互访(VLAN) 我行!我可以!!5 a9 r% J) M8 K( D" ?
先借用友商的一篇软文抛砖引玉:) H) U6 j" K7 _. a0 K8 O
0 v% W0 q- ]" N R$ W2 `什么是DHCP?
% S. ]( o1 F: s) D/ a 两台连接到互联网上的电脑相互之间通信,必须有各自的IP地址,但由于现在的IP地址资源有限,宽带接入运营商不能做到给每个报装宽带的用户都能分配一个固定的IP地址(所谓固定IP就是即使在你不上网的时候,别人也不能用这个IP地址,这个资源一直被你所独占),所以要采用DHCP方式对上网的用户进行临时的地址分配。也就是你的电脑连上网,DHCP服务器才从地址池里临时分配一个IP地址给你,每次上网分配的IP地址可能会不一样,这跟当时IP地址资源有关。当你下线的时候,DHCP服务器可能就会把这个地址分配给之后上线的其他电脑。这样就可以有效节约IP地址,既保证了你的通信,又提高IP地址的使用率., o+ D/ V" M! I/ G
在一个使用TCP/IP协议的网络中,每一台计算机都必须至少有一个IP地址,才能与其他计算机连接通信。为了便于统一规划和管理网络中的IP地址,DHCP(Dynamic Host Configure Protocol,动态主机配置协议)应运而生了。这种网络服务有利于对校园网络中的客户机IP地址进行有效管理,而不需要一个一个手动指定IP地址。 # b% K% S5 U: \7 x! s
/ [# I( b6 h& z# @, k6 j, c1 D' v
什么是子网掩码?) g! B; D4 c7 o8 m6 I9 r
要想理解什么是子网掩码,就不能不了解IP地址的构成。互联网是由许多小型网络构成的,每个网络上都有许多主机,这样便构成了一个有层次的结构。IP地址在设计时就考虑到地址分配的层次特点,将每个IP地址都分割成网络号和主机号两部分,以便于IP地址的寻址操作。% s7 @+ _/ ~; ?% H+ ^! d+ \
IP地址的网络号和主机号各是多少位呢?如果不指定,就不知道哪些位是网络号、哪些是主机号,这就需要通过子网掩码来实现。! T( [2 ^5 v# o# C' z d
子网掩码不能单独存在,它必须结合IP地址一起使用。子网掩码只有一个作用,就是将某个IP地址划分成网络地址和主机地址两部分。 0 O, _- G! d) F# s5 ?, a5 O& \' T' M. ^
子网掩码的设定必须遵循一定的规则。与IP地址相同,子网掩码的长度也是32位,左边是网络位,用二进制数字“1”表示;右边是主机位,用二进制数字“0”表示。只有通过子网掩码,才能表明一台主机所在的子网与其他子网的关系,使网络正常工作。
5 E; I: E f9 B7 R( }- H, M( J: J 子网掩码的术语是扩展的网络前缀码不是一个地址,但是可以确定一个网络层地址哪一部分是网络号,哪一部分是主机号,1 的部分代表网络号,掩码为 0的部分代表主机号。子网掩码的作用就是获取主机 IP的网络地址信息,用于区别主机通信不同情况,由此选择不同路。其中 A类地址的默认子网掩码为 255.0.0.0;B类地址的默认子网掩码为 255.255.0.0;C类地址的默认子网掩码为:255.255.255.0;最后1种就是我们要讲解的,单独IP地址的默认子网掩码为:255.255.255.255.
4 f: n1 \/ R; K% ^$ k2 i9 @, m# s, v. o9 X2 M1 Q2 J8 j N0 T' F
XXXXX牌与众不同的DHCP高级设置5 T( m$ ^2 n% ~" G, g3 g0 @
XXXXX牌的DHCP设置不同地方就是让每个用户获取到的子网掩码是255.255.255.255,这样2个IP之间如果需要互相访问,就要通过路由器去中转。因为要通过路由器中转,那么我们设置1条防火墙规则即可以防止2个IP之间互相访问了。如下图:
\! Y' B$ K9 N, K9 [- t( f
. {& a9 o' F( q* ^) R, T) e- r# B1 U, W. _. ]% i8 Q
这样电脑自动获取的IP就是172.16.0.X,子网掩码就是255.255.255.255了,再看防火墙设置
% z0 B( @( {% ]& U h; Y3 @" D3 W7 ~' n$ @! J( S6 V Q! \
* r7 b9 f, D. T/ l U5 z
如上图,就可以禁止172.16.0.X网段的机器与机器之间互访了。这样无论是网络剪刀手还是P2P终结者等管理软件将彻底无效。
, ^8 k, o% O# I# D7 Q/ x! q$ j7 U; J- h- R- Q& m/ m- K1 X
* p! I6 S$ {4 J4 E. n4 D% ~
回到主题,如何在D-LINK的固件上实现呢,如下:% J5 O& y& z, k' B0 `- ~9 H d6 J
7 v: u" K! o- `
# r, U1 U4 o6 q, \' x(1)不是说LAN IP一定要为192.168.81.1,我只不过是拿公司的实际环境来举例说明! _8 a1 q) g( J5 S) _, s6 O
(2)DHCP的掩码设置为255.255.255.255
" f% M, g7 E) d6 H7 M; I% N(3)将需要做权限控制的IP和MAC进行静态绑定,如果不需要做权限控制,只是禁止内网所有电脑互访问,此步可省略; X7 C, T5 x. L7 n/ R3 T" M- h
3 F- A3 A( _/ C
- B0 ~! ^1 I( S# [ d- y3 v9 o(4)请注意,网卡获取到的IP地址,其掩码为255.255.255.255
6 m9 Z0 y' `* H/ U, k5 D6 q' C+ F: {1 m; R9 P3 d+ u+ z+ o
% n9 m/ j3 C5 C$ m$ }8 q8 E* `
(5)开始做规则,禁止192.168.81.100访问192.168.81.111的任何TCP/UDP端口
: K; R$ C a, Q2 U7 P(6)如果Protocol:选择ANY,那么ICMP也包将含在内+ Z8 o S6 w- ^
* J9 b9 E! m8 M0 t
& o2 ?# n* R" q6 x4 W, B+ Y) }(7)这么做的结果就是,192.168.81.100不能访问192.168.81.111,但能ping通192.168.81.111
2 S* b: H: b1 x3 q
& @/ P- I$ Q! k用途1:隔离内网所有电脑互访5 R1 T* ?9 R. k$ v- l2 r7 t
用途2:内网电脑互访权限控制
! G3 Q# p3 h5 l8 x" Q; e用途3:无论是网络剪刀手还是P2P终结者等管理软件将彻底无效。 |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
×
|