如何实现内外网无缝切换？两种方法大揭秘

在现代社会，网络已经成为我们日常生活和工作不可或缺的一部分。然而，在享受网络便利的同时，内外网切换的问题也时常困扰着我们。无论是弱电项目还是个人上网，如何实现内外网切换都是一个值得探讨的话题。以下将介绍两种简单有效的方法，帮助你轻松实现内外网切换。
### 方法一：利用route命令进行内外网切换
route命令是Windows系统中常用的路由配置工具，它可以帮助我们实现内外网切换。以下是一个具体的操作步骤：
1. 首先，将无线网卡设置为默认路由网关。操作方法为：无线网络连接属性—Internet协议(TCP/IP)-属性-高级，手动添加无线路由网关，设置外网网关地址，跃点数为“1”，并设置最高优先级。
2. 接下来，查看当前路由表，确保0.0.0.0的网络目标分别映射内外网网关。
3. 通过route命令将所有网段添加到外网网卡，将内网网段添加到内网网卡，即可实现内外网切换。
4. 最后，通过route命令查看路由表，确保设置成功。
### 方法二：使用ACL（访问控制列表）实现内外网切换
ACL是一种网络安全技术，可以限制网络流量、提高网络性能，并实现网络安全访问。以下是如何使用ACL实现内外网切换的步骤：
1. 首先，配置基本ACL和基于ACL的流分类，以便设备可以过滤指定主机的报文。
2. 接着，配置流行为，拒绝匹配ACL的报文通过。
3. 然后，配置并应用流策略，使ACL和流行为生效。
4. 最后，在接口下应用流策略，实现内外网切换。
### 总结
内外网切换问题在实际生活中很常见，掌握以上两种方法，可以让我们在面对此类问题时更加从容。无论是使用route命令还是ACL，都能帮助我们轻松实现内外网切换，提高网络使用体验。

如何实现内外网切换？这个无论是在弱电项目中，还是在我自己上网的电脑中，都有可能会遇到，内外网切换的用途非常广泛，通常的做法是抽拔网线，但是过于麻烦，本次我们就介绍两种方法来实现它。

一、使用route命令实现内外网切换

内外网切换与命令是分不开的，使用route命令可以轻松实现内外网切换，且灵活能够灵活使用。

问题：

笔记本上一张机械网卡，一张无线网卡， 一般笔记本都是这样的配置，都联上了内外与外网，其中外网网关是49.222.151.207，内网网关10.168.1.1，如何实现双网卡同时使用有线网上内网、无线网上外网？

解决步骤：

第一步：设置无线网卡为默认路由网关。

步骤：无线网络连接属性—Internet协议(TCP/IP)-属性-高级，手动添加无线路由网关，添加自己的外网网关即关，跃点数为“1”，是最高优先级。到了这一步，如果有线连接，无线连接同时存在的话，所有的数据都是经由无线网卡处理的。

第二步：查看当前路由表

使用route print命令看一个0.0.0.0的网络目标分别映射你的外内网的网关。

当然，这里面你也可以对当前的路由进行删除

第三步：

通过route命令将，将所有网段添加到外网网卡，为默认路由，即所有的ip都走外网。

显示查看路由表，查看是否添加成功。

第四步：

通过route命令将内网网段添加到内网网卡，内网使用，即10.168.0.0这个ip段走内网。

显示查看路由表（route print命令)，查看是否添加成功。

那么就设置成功了，整体的意思就是：

对于所有ip地址的访问，都从 49.222.151.207网关走；

但是，对于10.168.0.0开头的地址的访问，从10.168.1.1走。

这样，再也不用插拔网线这种粗鲁的方式来切换网络了。

补充：

1、为了加强大家的理解，弱电君补充一个小案例，

如果在电脑接网线时访问不了“10.26.6.x”开头的ip地址，但使用无线WIFI却可以访问？ 如何解决？

增加一个路由规定10.26.6.x网段都走本地连接的网关：

route -p add 10.26.6.0 mask 255.255.255.0 10.168.1.1

这条命令的作用是添加一条永久路由规则（如果不加“-p”参数则为临时路由，注销下次登录windows时就没有了），凡是访问“10.26.6.x”开头并且掩码是255.255.255.0的ip地址走10.168.1.1 这个网关。

明白原理了无论什么路由添加与删除都可以轻松设置了。

2、如果你不知道各网络接口的IP地址、网关地址，可以通过ipconfig/all命令获取。

二、使用ACL来实现内外网切换

我们除了上面使用route命令来实现之外，还可以通过acl控制来实现，这里面通过华为的一个实例来了解清楚。

如何让企业的某个部分只能访问内网，不能访问外网，为了保密，会使企业的部分网络禁止与外部通信。这个在企业实际应用中非常广泛，不断的有朋友问起，在我们弱电vip技术群中也是多次讨论到。

前天我们发布过用ruote命令实现，那有没有其它的方法呢？

这里面我们就需要用到ACL了，首先我们来了解下ACL，ACL即访问控制列表，那么它有什么作用呢？

ACL的作用

1、ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。
2、ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。
3、ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。
4、ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

例如：

某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 

又例如，

为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

那么我们来看下实例，如何实现使用 ACL 限制内网主机访问外网。

1、案例

某公司通过交换机实现各部门之间的互连。现要求Switch能够禁止研发部和市场部的部分主机访问外网，防止公司机密泄露。以华为例。

1、拓扑图

2、配置思路

采用如下的思路在Switch上进行配置： 

1、配置基本ACL和基于ACL的流分类，使设备可以对研发部与市场部的指定主机的 报文进行过滤。

2、配置流行为，拒绝匹配上ACL的报文通过。

3. 配置并应用流策略，使ACL和流行为生效。

步骤1 配置接口所属的VLAN以及接口的IP地址 

# 创建VLAN10和VLAN20。

[HUAWEI] sysname Switch 

[Switch] vlan batch 10 20 

# 配置Switch的接口GE0/0/1、GE0/0/2为Trunk类型接口，并分别加入VLAN10和 VLAN20；配置Switch的接口GE0/0/3为trunk类型接口，加入VLAN10和VLAN20。

[Switch] interface gigabitEthernet 0/0/1 

[Switch-GigabitEthernet0/0/1] port link-type trunk 

[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 

[Switch-GigabitEthernet0/0/1] quit 

[Switch] interface gigabitethernet 0/0/2 

[Switch-GigabitEthernet0/0/2] port link-type trunk 

[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20

[Switch-GigabitEthernet0/0/2] quit 

[Switch] interface gigabitethernet 0/0/3 

[Switch-GigabitEthernet0/0/3] port link-type trunk 

[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20 

[Switch-GigabitEthernet0/0/3] quit 

# 创建VLANIF10和VLANIF20，并配置各VLANIF接口的IP地址。

[Switch] interface vlanif 10 

[Switch-Vlanif10] ip address 10.1.1.1 24 

[Switch-Vlanif10] quit 

[Switch] interface vlanif 20 

[Switch-Vlanif20] ip address 10.1.2.1 24 

[Switch-Vlanif20] quit 

这里面普及下vlanif接口和vlan端口的区别：

（1）vlan端口：是物理端口，通常我们通过配置Access vlan 10 使某个物理接口属于vlan 10

（2）vlan if ：interface vlan 是逻辑端口，通常这个接口地址作为vlan下面用户的网关。

步骤2 配置ACL 

# 创建基本ACL 2001并配置ACL规则，拒绝源IP地址为10.1.1.11和10.1.2.12的主机的报 文通过。

[Switch] acl 2001 

[Switch-acl-bASIC-2001] rule deny source 10.1.1.11 0  //禁止IP地址为10.1.1.11的主机访问外网 

[Switch-acl-basic-2001] rule deny source 10.1.2.12 0  //禁止IP地址为10.1.2.12的主机访问外网 

[Switch-acl-basic-2001] quit 

步骤3 配置基于基本ACL的流分类 

#配置基于基本ACL的流分类 # 配置流分类tc1，对匹配ACL 2001的报文进行分类。 

[Switch] traffic classifier tc1  //创建流分类 

[Switch-classifier-tc1] if-match acl 2001  //将ACL与流分类关联 

[Switch-classifier-tc1] quit

步骤4 配置流行为

# 配置流行为tb1，动作为拒绝报文通过。 

[Switch] traffic behavior tb1  //创建流行为 

[Switch-behavior-tb1] deny       //配置流行为动作为拒绝报文通过 [Switch-behavior-tb1] quit

步骤5 配置流策略 

# 定义流策略，将流分类与流行为关联。 

[Switch] traffic policy tp1     //创建流策略 

[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1     //将流分类tc1与流行为tb1关联 

[Switch-trafficpolicy-tp1] quit 

步骤6 在接口下应用流策略

  # 由于内网主机访问外网的流量均从接口GE0/0/3出口流向Internet，所以可以在接口 GE0/0/3的出方向应用流策略。

[Switch] interface gigabitethernet 0/0/3 

[Switch-GigabitEthernet0/0/3] traffic-policy tp1 outbound  //流策略应用在接口出方向 

[Switch-GigabitEthernet0/0/3] quit 

3、验收配置结果

 IP地址为10.1.1.11和10.1.2.12的主机无法访问外网，其他主机均可以访问外网。