一、管理需求

1、部分电脑不能访问互联网，但需要使用网络办公系统；

2、另一部分电脑可以访问互联网，也需要使用网络办公系统；

3、局域网所有电脑可以相互通信共享访问；

二、网络规划

1、在路由器/防火墙或者主交换机上划分vlan： vlan1，vlan2， vlan3；

2、 vlan 1（192.168.1.X）的电脑定义为内网电脑，不能访问外网，可以使用网络办公系统；

3、Vlan2（192.168.2.x）的电脑定义为可以自由访问互联网；

4、Vlan3（192.168.2.x）作为备用地址，以后网络扩张升级使用；

5、vlan1，vlan2， vlan3之间能相互通信

网络规划目的：划分网段，准确识别和区分使用内外网的电脑，方便管理。

三、解决方案

1、在路由器或者主交换机上配置端口镜像，把网关的数据镜像到路由器或者交换机其中一个端口；

2、找台电脑安装百络网警，安装百络网警的电脑直联在镜像口；

3、在百络网警中设置vlan1的所有IP与外网断开，禁止使用UDP协议，不能访问互联网；

4、在百络网警的放行地址库里把网络办公系统的服务器IP输入进去；

实施效果：所有vlan的机器都可以使用网络办公系统，vlan1的电脑不能访问互联网，与外网隔离。

注意：所有电脑可以指定IP，把IP和MAC地址绑定，改动IP就断网。