实现双网运转

实现步骤1——运转双网：
首先要实现的是在同一个网络中跑两个网络，之后再考虑隔离的问题。由于之前我们使用的网络地址为10.82.*.*，而金财网要求的IP地址信息为192.168.*.*，所以在初始阶段不会存在冲突的问题。另外由于区教育网络的结构比较简单但是分支众多，所以我们只需要针对一个分支学校进行实验，成功后再推广到全区147所分支学校即可。

交换机上设置：
在学校端对于一个教育信息网的用户和一个金财网的用户来说，两者IP地址是不同的，但是他们有可能连接到同一个交换机上，这就需要交换机上设置两套IP地址，最有效的方法就是在交换机上启用VLAN设置，教育信息网络的终端放到VLAN 10中，而对于金财网的终端放到VLAN 20中，之后再给交换机相应VLAN设置一个IP地址即可，从而实现了在交换机上跑双网的功能。

学校路由器上设置：
由于学校端2621路由器采用的是默认路由，也就是说不管你的数据包来源地址是多少，默认地址是多少，路由器都将依据默认路由把数据传输到下一跳地址。因此教育信息网用户的数据和金财网用户的数据都会由路由器发送到指定的地址，所以学校路由器上设置不用做任何修改。

核心设备CISCO 6509上的设置：（如图2）

图2

既然是跑双网，那么在核心设备上肯定是有两个网络出口的，一个是连接教育信息网的上层设备，一个是连接金财网的上层设备。所以说在核心设备6509上需要为走金财网的信息设置一个静态路由，将所有目标地址和源地址为金财网的数据包发送到对应的金财网接口。

至此我们就完成了在原有网络基础上跑双网的升级工作，在学校连接金财网接口的用户可以轻松的访问其他学校的金财网用户，也可以通过区核心设备连接到区财政局的金财网络中。不过这时虽然实现了一个物理网跑两个逻辑网的目的，但是连接金财网的终端依然可以访问教育信息网的终端，如何解决呢？就要靠下面的隔离手段了。

实现双网隔离

实现步骤2——隔离双网：
添加了双网后的关键步骤就是隔离了，否则我们跑双网就没有任何意义了，互相都能访问实际上还是一个网络。隔离双网也需要在多个设备上进行设置操作。

学校交换机上设置：
正如前面提到的那样，在学校交换机上通过划分VLAN的手段实现对两个网络的分离。VLAN 10教育信息网用户是不能够正常访问VLAN 20中的金财网用户的。

学校路由器上的设置：
学校路由器上的隔离操作是非常关键的，在开始阶段这个设置就被笔者忽略了。由于华为3Com 2621路由器有两个接口，一个连接区级核心设备6509，另外一个连接学校的交换机，所以说下行接口是非常关键的，隔离两网的工作也主要由他来完成。

我们通过访问控制列表来实现隔离操作，通过在这个接口上添加访问控制列表ACL来实现两个网络的互相隔离，例如禁止任何来自于教育信息网的IP地址访问金财网的IP地址；禁止任何来自金财网的IP地址访问教育信息网的IP地址。

核心设备CISCO 6509上的设置：（如图3）

图3

在CISCO 6509上也需要进行设置来隔离两个网络，主要操作是在两个网络出口对应的接口上添加访问控制列表，在金财网外部出口处禁止所有源地址为教育信息网IP的数据通过，在教育信息网外部出口处禁止所有源地址为金财网IP的数据通过。至此我们完成了两个网络的安全隔离，任何一个金财网的用户都无法访问教育信息网的用户，而反之亦然。

总结：

通过访问控制列表ACL实现两个网络隔离可以说是最简单最普通的方法，在实际使用中也没有出现任何安全问题。当然可能有的读者会觉得这个方法会占用一定的系统资源，使路由交换设备的CPU及内存占用率升高。不过由于金财网的数据流量并不大，所以在实际使用中并没有出现类似问题。当然如果各位读者担心这方面会存在问题的话，可以按照之前介绍过的策略路由法来解决。