医院网络环境
一条医保专线
一条公网宽带
医院HIS系统只能在医保专线环境下才能使用。就无法使用外网。使用外网就要切换到外网IP,无法做到一台电脑,一个固定IP,既可以使用内网,又可以使用外网
想通过一台三层交换机,设置应用程序走指定医保线路,其他所有程序走公网宽带,医院HIS没有指定端口号,都是随机的。
希望大家给予方案意见,谢谢
在这种情况下,可以通过三层交换机的ACL(Access Control List)功能来实现应用程序走指定医保专线,其他程序走公网宽带的需求。具体步骤如下:
配置ACL规则
在三层交换机上配置ACL规则,将应用程序的流量匹配到医保专线的出口,将其他程序的流量匹配到公网宽带的出口。假设医保专线的出口为GigabitEthernet 1/0/1,公网宽带的出口为GigabitEthernet 1/0/2,则可以添加如下ACL规则:
access-list 101 permit ip host 应用程序IP any
access-list 101 deny ip any any
应用ACL规则
将ACL规则应用到三层交换机的端口上,将应用程序所在的计算机连接到GigabitEthernet 1/0/1端口上,将其他计算机连接到GigabitEthernet 1/0/2端口上。
配置静态路由
在三层交换机上配置静态路由,将医保专线的流量路由到医保专线的网关,将公网宽带的流量路由到公网宽带的网关。假设医保专线的网关为192.168.1.1,公网宽带的网关为202.108.1.1,则可以添加如下静态路由:
ip route 0.0.0.0 0.0.0.0 202.108.1.1
ip route 应用程序IP 255.255.255.255 192.168.1.1
注意:应用程序的IP地址需要替换为实际的IP地址。另外,需要根据实际情况调整ACL规则和静态路由的配置。
interface Vlan10
ip address 192.168.1.1 255.255.255.0
!
interface Vlan20
ip address 192.168.2.1 255.255.255.0
!
ip access-list extended HIS_ACL
permit tcp any any eq HIS_PORT
deny ip any any
!
ip route 0.0.0.0 0.0.0.0 192.168.1.254
ip route 0.0.0.0 0.0.0.0 192.168.2.254
!
interface GigabitEthernet1/0/1
switchport access vlan 10
!
interface GigabitEthernet1/0/2
switchport access vlan 20
!
interface GigabitEthernet1/0/3
switchport mode trunk
!
interface GigabitEthernet1/0/4
switchport mode trunk
!
interface GigabitEthernet1/0/5
switchport mode access
switchport access vlan 10
ip access-group HIS_ACL in
!
interface GigabitEthernet1/0/6
switchport mode access
switchport access vlan 20
!
针对你的需求,可以通过配置三层交换机实现,具体步骤如下:
确认医保专线和公网宽带的接口名称或端口号,例如医保专线接口为g0/0,公网宽带接口为g0/1。
配置VLAN,将医保专线和公网宽带分别归属不同的VLAN。例如,将医保专线归属VLAN 10,将公网宽带归属VLAN 20。
配置ACL(访问控制列表),限制医院HIS系统的访问只能通过医保专线进行。例如,配置如下的ACL:
arduino
access-list 100 permit tcp host HIS-IP any eq 80
access-list 100 permit tcp host HIS-IP any eq 443
access-list 100 permit tcp host HIS-IP any eq 8080
access-list 100 deny ip any any
其中,HIS-IP为医院HIS系统所在的IP地址,80、443、8080为HIS系统可能使用的端口号。
配置路由,将医保专线和公网宽带分别路由到不同的出口。例如,将医保专线路由到出口g0/0,将公网宽带路由到出口g0/1。
配置PBR(策略路由),指定HIS系统的访问走医保专线。例如,配置如下的PBR:
python
route-map HIS permit 10
match ip address 100
set ip next-hop MEDICAL-INSURANCE-LINE-IP
interface vlan 10
ip policy route-map HIS
其中,MEDICAL-INSURANCE-LINE-IP为医保专线出口的IP地址。
配置NAT,将公网宽带接口的IP地址进行NAT,使得通过公网宽带访问的流量都使用公网宽带出口的IP地址。
配置完成后,医院HIS系统的访问将被限制在医保专线环境下,其他应用程序的访问将使用公网宽带出口。需要注意的是,配置过程中需要考虑网络拓扑和具体设备型号的限制,建议根据实际情况进行调整。
之所以分为内外网络,是为了数据隔离。你用交换机打通,一旦交换机被黑,还怎么隔离。咨询下你们的网络管理,这么做是否合规
设置下路由映射呢,区分请求的内网和外网的ip段 来映射访问线路
两个方式解决。第一个就是物理方法,买个无线
网卡然后用无线网卡走外网,本机网卡走内网。
第二个就是修改本机PC的路由,将外网路由添
加到本机PC的路由中。
交换机+路由器实现,交换机上做网关,his做acl限制,仅允许内网ip通过,默认0.0.0.0指向公网线路接口路由器
以下答案由GPT-3.5大模型与博主波罗歌共同编写:
要实现内外网同时访问,可以考虑在医院内部架设一台代理服务器,将来自内外网的请求转发到相应的网关或网络。这个代理服务器需要有两个网卡,一个连接医保专线,一个连接公网宽带。
对于指定程序走指定网关或网络的需求,可以使用Linux的iptables工具或者Windows的路由表功能。可以根据程序的端口号或者数据包的目的IP地址来进行路由选择。
具体实现步骤如下:
示例代码:
对于Linux系统,可以使用iptables根据端口号进行路由选择。以下示例假设要将端口号为8888的程序走医保专线,其他程序走公网宽带。
ifconfig eth0 192.168.1.100 netmask 255.255.255.0
route add default gw 192.168.1.1 eth0
ifconfig eth1 123.123.123.100 netmask 255.255.255.0
route add default gw 123.123.123.1 eth1
iptables -t mangle -A OUTPUT -p tcp --sport 8888 -j MARK --set-mark 0x1
iptables -t nat -A POSTROUTING -m mark --mark 0x1 -j SNAT --to-source 192.168.1.100
route add default gw 123.123.123.1 metric 10
ip rule add from all table 1 priority 100
ip route add default via 123.123.123.1 table 1
对于Windows系统,可以使用路由表功能根据端口号进行路由选择。以下示例假设要将端口号为8888的程序走医保专线,其他程序走公网宽带。
netsh interface ipv4 set address name="医保专线网卡" static 192.168.1.100 255.255.255.0 192.168.1.1
netsh interface ipv4 set address name="公网宽带网卡" static 123.123.123.100 255.255.255.0 123.123.123.1
route add 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 1 if 1
route add 0.0.0.0 mask 0.0.0.0 123.123.123.1 metric 100 if 2
netsh interface ipv4 add route prefix 0.0.0.0/0 interface=2 metric=100
需要根据实际情况进行修改,其中医保专线网卡和公网宽带网卡的名称需要替换成实际的网卡名称。
如果我的回答解决了您的问题,请采纳!