网络架构方案内外网隔离

简介
内网：
涉及业务：生产、监控
【网络架构方案内外网隔离】安全等级比较高（计算机等级保护）
外网：
涉及业务：办公环境的网络
安全等级比较低
隔离：
1. 路由隔离
2. 防火墙策略隔离
3. 硬件隔离
拓扑结构
小型或者中型公司，防火墙策略隔离，路由混杂在一起的，某个接入端设备如果中毒会引起整个网络瘫痪。
内外网隔离组网

文章插图
环境搭建

文章插图
办公访问和生产的区域是隔离的，但他们都有需求访问到公共区。
公共区：NAS、认证、设备管理、代理服务器
首先使用动态路由协议进行打通生产网络、办公网络。
公共区域之间的透传使用静态路由；
生产网设计
路由打通， OSPF建立邻居关系传输路由。
router ospf 1
network 172.16.12.1 0.0.0.0 area 0
network 172.16.100.1 0.0.0.0 area 0
生产网访问公共区域
1. 生产网至公共区域，通过静态路由进行打通
ip route 172.16.78.0 255.255.255.0 172.16.17.7
2. 生产网下端设备访问公共区域，静态路由重分布
router ospf 1
redistribute static subnets
办公网设计
路由打通，OSPF建立邻居关系传输路由。
router ospf 1
redistribute static subnets route-map s-to-ospf
network 10.1.56.6 0.0.0.0 area 0
network 10.1.100.1 0.0.0.0 area 0
办公网访问公共区域
访问指向公共区域的路由，在此设备上进行标记为tag 10
ip route 172.16.78.0 255.255.255.0 172.16.67.7 tag 10
匹配tag 10的路由
route-map s-to-ospf permit 10
match tag 10
讲tag 10的静态路由重分布至OSPF
router ospf 1
redistribute static subnets route-map s-to-ospf
公共区域设计
通过静态路由进行回程
办公网的回程路由
ip route 10.1.45.0 255.255.255.0 172.16.67.6
生产网的回程路由
ip route 172.16.23.0 255.255.255.0 172.16.17.1
达到的效果
这样达到的效果，内外网隔离，并且能够方位公共区域，且外网需要访问内网时，可以使用代理服务器或者堡垒机或者审计设备或者远程桌面方式。

文章插图