■山东 黄东

单位财务科配置了多台电脑，功能各异，有负责打印转帐支票的，有负责向财政局报预算申请的，有负责与税务报帐的，还有负责日常办公的等等。算了一下，财务科3个人，却配置了7台台式电脑。在当前“八项规定”严格实施的形势下，科级以下干部每人只有6平方米的办公面积，人、电脑、桌子、材料、档案橱等等满满当当地摆在一块，下脚的地方都不好找。因此负责财务的会计想能不能减少一下电脑的数量，把单一的功能合在一起。

改造过程

笔者经过一翻查看，发现与财政局连接的预算申请系统，以及与税务局连接的报税系统都是专线联结，采用PPPoE拨号方式连接对端的服务器，然后打开浏览器输入相应的IP就可以联结了，标准的B/S结构设计，客户端留下的东西较少，安全性较好（惟一留下的就是cookie，这个问题很好解决，后面再说）。又查看了一下获得的IP，都是172段的私有IP。而单位的办公电脑全部采用固定私有IP方式，由于单位局域网是教育城域网的一个子网，网内用户较多，也采用172段的IP。表面上看，正好IP段冲突，实际上不冲突，因为它们有各自完全独立的网关和路由。所以根据笔者的经验，马上在脑子出现了一个“三网合一”的想法，网络结构如图1所示，针对图1做以下三点说明：

1、由于财务科是3个人，还有1台办公电脑没在图中画出来，它也是联结到傻瓜交换机上。傻瓜交换机采用普通的家庭上网用的8端口路由器或交换机都可以，毕竟上网的流量不大，都是办公用，只要设备稳定就行。转帐支票打印系统是跟随预算申报系统的，在图中未画出。

2、办公电脑访问“三网”的方式：缺省情况下，办公电脑配置办公局域网固定IP，正常办公使用。如果需要访问财政局的预算申请系统，那么就PPPoE拨财政局的账号，连接完成后就可以了，此时不能访问办公局域网络。断开此PPPoE拨号连接后，又可以正常访问办公局域网。访问税务系统也是如此。图2是拨号成功后通过Ipconfig命令查看本机获得的IP情况。

从图2可以看出，本机获得了两段不同的IP、子网掩码、网关等信息。虽然都属于172段的IP，但是IP不同，所以不会冲突。在这里细想一下，即使是相同的IP也不影响对不同网络的正常访问。因为配置固定IP信息时，IP与网关信息不一致，而PPPoE拨号时，IP与网关一致，这样就可以保障缺省路由不一致。如果再进一步追问，IP不一致，网关一致的情况会如何呢？这种情况出现的可能性极小，但是也会有。即便如此，也不会有问题，仔细观察上图中的网卡的物理地址信息，它们是不一致的。PPPoE拨号会虚拟出一个通道专用网卡的MAC值，它与本机的网卡MAC不一致，它只负责与对端的拨号服务器通信，也就是说，在二层通信上不会有问题。再者，在三层上，虽然网关一致，但是，接口IP不一致，跃点数也不一致，这就能保障数据包发起的源IP不一致以及路由的方向，也就是说，能选择出正确的路由。下面再通过route print命令看下本机的路由信息，如图3所示。缺省路由有两条，一条是本机的，一条是拨号产生的，拨号产生的路由跃点数小，为“1”，本地固定IP网关关生的是“21”，较大，根据静态路由访问原则，优先选择跃点数较小的路由。所以拨号成功后，就只能访问财政局的预算申报系统或者报税系统，不能访问本地网络。

3、由于财务系统都有较高的安全需求，为了使用访问这些专用系统不在本机留下东西，笔者给这3台办公电脑安装的360安全卫士开启了定时清理cookie的功能。

总结

实际上此解决方法，与同一网络内对专用网络的PPTP、L2TP等VPN的访问原理一致。如此设置以后，财务科一下子减少了3台电脑，分别是报税系统、财政局的预算申报系统、以及转账支票打印系统，它们都合并到办公电脑上。网络运行两个多月以来，一直比较稳定。