公司有多个部门分布在不同楼层,每个区域都划分了独立的子网。财务部在192.168.10.0/24,研发部在192.168.20.0/24,行政部门在192.168.30.0/24。路由器做了VLAN隔离,彼此不能直接访问。某天,行政小姐姐要打印一份合同,打印机却只接在财务部的网段里。
问题来了:怎么让行政电脑访问财务打印机?
最简单的办法是关掉防火墙、打通所有网段——但这等于把保险柜敞开门,谁都能进。我们得在安全和可用之间找平衡。
实际操作中,我们在核心交换机上配置静态路由:
ip route 192.168.10.0 255.255.255.0 192.168.30.254
ip route 192.168.20.0 255.255.255.0 192.168.30.254这样行政主机发往财务网段的数据包会被正确转发。但光通还不行,还得加ACL控制权限。比如只允许行政IP访问财务打印机的9100端口:
access-list 101 permit tcp 192.168.30.0 0.0.0.255 host 192.168.10.100 eq 9100
access-list 101 deny ip any any远程办公怎么破?
老王在家办公,想连回公司内网查资料。他用的是动态公网IP,没法固定做端口映射。这时候就得靠内网穿透工具来“反向连接”。
我们在公司边界服务器部署frps,在老王的笔记本运行frpc客户端。配置文件这么写:
[common]
server_addr = your-public-ip
server_port = 7000
[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000启动后,frpc主动连上frps,建立隧道。公司同事就可以通过公网IP:6000访问老王电脑的SSH服务,反过来也一样。
监控系统跨区调取视频流
厂区摄像头都在10.1.1.0/24网段,安保室的NVR也在这个分区。但管理层想在办公室大屏实时查看画面,办公室属于172.16.0.0/16。两个网段之间有防火墙拦截。
我们没开全域访问,而是用代理服务器做中转。在边界部署一台CentOS机器,启用Nginx做RTSP反向代理:
location /live {
proxy_pass rtsp://10.1.1.50:554/stream;
proxy_set_header Host $host;
}然后只开放TCP 554和UDP范围给特定IP,既满足展示需求,又避免整个监控网暴露在外。
这种做法在实际运维中很常见。不是所有设备都能支持复杂的VPN接入,尤其是老旧工控设备。通过合理规划路由+细粒度策略控制,既能维持分区安全性,又能实现必要通信。