公司刚搬进新办公楼,IT小李开始规划内部网络。销售部、财务部、研发部都在同一栋楼,但数据敏感度差很多。财务系统的访问必须严控,研发的测试环境也不能随便被连上。这时候,靠一台路由器分Wi-Fi已经不够用了,得上真家伙——子网划分。
子网划分是什么?
简单说,就是把一个大网络切成几个小网络。比如原本192.168.1.0/24这个网段能容纳254台设备,现在按部门拆成多个小段:192.168.10.0/26给财务,192.168.20.0/26给研发,192.168.30.0/26给销售。每个子网独立管理,互不打扰。
怎么实现网络隔离?
切了子网还不够,还得靠路由器或三层交换机控制流量。比如设置一条规则:财务子网不允许访问研发子网的服务器。即使有人拿到财务账号,也别想顺藤摸瓜进入测试系统。
实际配置中,常用ACL(访问控制列表)来限制通信。例如在路由器上写:
access-list 101 deny ip 192.168.10.0 0.0.0.63 192.168.20.0 0.0.0.63\naccess-list 101 permit ip any any这条规则挡住了财务到研发的流量,其余放行。就像在办公室走廊装了门禁,只有工牌权限对得上才能过。
家庭网络也能用这招
别以为这只是企业才玩得起。现在很多人家里有智能电视、摄像头、扫地机器人,这些设备安全性参差不齐。可以单独划个子网给物联网设备,比如192.168.50.0/24,再设规则禁止它们访问电脑和手机所在的主网段。就算摄像头被黑,攻击者也跳不到你的工作笔记本上。
掩码别配错,否则隔离变摆设
常见错误是子网掩码算错。比如本该用/26(即255.255.255.192),手一抖写成/24,结果所有设备还在同一个广播域里,ARP请求满天飞,隔离形同虚设。建议用表格先列清楚:子网名、网段、掩码、主机范围、用途,确认无误再配置。
另外,别忘了默认网关要设对。每个子网的设备必须指向能路由的接口,否则出不了内网。一般由三层交换机或防火墙承担这个角色。
配合VLAN效果更佳
物理层面也可以隔离。通过交换机划分VLAN,把不同子网绑定到不同VLAN ID。比如财务走VLAN 10,研发走VLAN 20。这样即使有人插错网线,也无法直接嗅探其他部门的流量。再加上子网划分,等于双保险。
某次公司内网感染蠕虫,就是因为没做子网隔离。病毒从一台销售电脑爆发,迅速扫描整个192.168.1.0/24网段,连财务服务器都中招。后来整改时,第一件事就是按部门切子网,加上ACL限制横向移动。
子网划分不是高深技术,但它像防火墙上的砖,一块一块垒起来,才能挡住看不见的风险。