網段的問題

網段的問題
到iT邦幫忙

qmomaruko（iT邦初學者10級）發問：
假設網域名稱為ABCD，IP範圍是100.100.100.1～253，網路遮罩是255.255.255.0。如果要在網域裡新增幾臺電腦，要讓它們在網路芳鄰中可以看得到對方，卻不能看到網域ABCD中電腦。請問該如何規畫？

fantsyss（iT邦初學者10級）：
其實有交換器的話，切VLAN就可以。你可以設一個群組，ABCD跟網路連線，這樣可以達到部分要求，但並非絕對安全或滿足需求。

1. 如此一來，ABCD網域無法提供任何服務給AAAA群組（例如：電子郵件），因為兩個網段中間的Routing有問題。

2. 如果有人利用ARP Spoofing／IP Spoofing 技術，奪走100.100.100.254的身分，再建立適當的Routing，這兩個網段就可以接通了。

正確的作法如下：

將Gateway（100.100.100.254）換成一臺可以切割多個LAN Port，而且可以針對Port設定個別Policy Rule的防火牆，ABCD網域的電腦通通放在LAN x，AAAA的電腦通通放在 LAN y。接著在防火牆上設定希望由ABCD提供的服務。將這些服務Policy開通給LAN y使用，其他的一律阻擋。

這樣兩個網域就可以安全地隔離，同時又可以正常使用獲得授權的服務。防火牆可以考慮選擇Juniper的SSG或Fortinet的FortiGate。

wiselou（iT邦好手1級）：
其實要做到雙方無法存取，只要把網路遮罩，改成255.255.0.0就好了。

laiout（iT邦初學者6級）：
基本上網域和網段並無直接關係，一個網域內可包含多個網段，同一網段內也可以有多個網域（只要有夠多的伺服器當DC）。

依你的需求，只要把新加入的電腦放在另一個網段（用Router隔開或切VLAN皆可），並且新加入的電腦的WINS伺服器設定中，不要指定IP。

如此一來，新加入的電腦只能靠廣播的方式來尋找網路芳鄰的電腦，因廣播封包無法跨網段，自然就看不到原網段的電腦了。