隨著信息技術(shù)的發(fā)展��,對(duì)辦公網(wǎng)的要求也在變化��。我公司的辦公網(wǎng)要滿(mǎn)足三方面的要求���,1、建立公司內(nèi)部的Web服務(wù)器�����、E-mail服務(wù)器�����、辦公自動(dòng)化服務(wù)器��,實(shí)現(xiàn)無(wú)紙化辦公;2�����、資料�����、信息和服務(wù)的共享;3、信息交流和郵件服務(wù)��。
這樣的辦公網(wǎng)絡(luò)實(shí)現(xiàn)了很大的便捷性��,然而我們不得不考慮它的安全性�����。為了保證網(wǎng)絡(luò)上的信息安全����,我們不得不在網(wǎng)絡(luò)的易用性與安全性之間尋找一個(gè)平衡點(diǎn),在足夠安全的情況下��,實(shí)現(xiàn)最大的易用性�����。
辦公網(wǎng)要實(shí)現(xiàn)的安全目標(biāo)
針對(duì)辦公網(wǎng)絡(luò)既要滿(mǎn)足新辦公的需要又要保證信息技術(shù)安全的情況�����,辦公網(wǎng)絡(luò)主要實(shí)現(xiàn)三個(gè)安全目標(biāo):1���、實(shí)現(xiàn)所有辦公終端都能訪(fǎng)問(wèn)Web服務(wù)器�����,E- mail服務(wù)器�,辦公自動(dòng)化服務(wù)器;2、實(shí)現(xiàn)各部門(mén)辦公終端之間資料及打印服務(wù)的共享;3���、部門(mén)之間互訪(fǎng)受到控制�,使部分有需要的電腦能夠互通����,其余的不能互通��。
辦公組網(wǎng)方案設(shè)計(jì)
我準(zhǔn)備采用VLAN和ACL技術(shù)組建辦公網(wǎng)�。虛擬局域網(wǎng)(VLAN)將網(wǎng)絡(luò)從邏輯上劃分為一個(gè)個(gè)功能相對(duì)獨(dú)立的工作組,如果再加上虛擬局域網(wǎng)之間的訪(fǎng)問(wèn)控制(ACL)和路由指向可以使一個(gè)個(gè)功能相對(duì)獨(dú)立的工作組變成可以受限互訪(fǎng)的不同安全區(qū)����。以市場(chǎng)部和計(jì)財(cái)部?jī)蓚€(gè)部門(mén)為例,方案拓?fù)鋱D如下(如圖 1)�。
1)在交換機(jī)上劃分三個(gè)VALN,將Web服務(wù)器����、E-mail服務(wù)器和辦公自動(dòng)化服務(wù)器劃為VLAN1��,名稱(chēng)為fuwu;計(jì)劃財(cái)務(wù)部為VLAN2���,名稱(chēng)為jicai;市場(chǎng)部為VLAN3,名稱(chēng)為shichang�����。
2)路由器上用訪(fǎng)問(wèn)控制列表和路由指向��,控制網(wǎng)絡(luò)數(shù)據(jù)的流向?qū)崿F(xiàn)辦公網(wǎng)的安全目標(biāo)���,從而使VLAN2和VALN3成為兩個(gè)安全區(qū)�。
方案的總體規(guī)劃
現(xiàn)在以Cisco Catalyst 1900交換機(jī)����、Cisco 2600路由器為例,寫(xiě)出方案的詳細(xì)配置���。
VLAN的規(guī)劃
(1)VLAN的工作模式:
我們采用靜態(tài)模式��,針對(duì)交換機(jī)端口指定VLAN�。
(2)ISL標(biāo)簽:
ISL(Inter-Switch Link)是一個(gè)在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個(gè)VLAN信息及VLAN數(shù)據(jù)流的協(xié)議��,通過(guò)在交換機(jī)直接相連的端口配置ISL封裝����,即可跨越交換機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的VLAN分配和配置。我們?cè)诳焖僖蕴?配置ISL標(biāo)簽���。
(3)VTP(VLAN Trunking Protocol):它是一個(gè)在交換機(jī)之間同步及傳遞VLAN配置信息的協(xié)議���。一個(gè) VTP Server上的配置將會(huì)傳遞給網(wǎng)絡(luò)中的所有交換機(jī),VTP通過(guò)減少手工配置而支持較大規(guī)模的網(wǎng)絡(luò)�。VTP有Server��、client��、 transparent三種模式��。我們的VTP設(shè)置:VTP的域名為switch��,主交換機(jī)為Server模式�����,其他兩個(gè)交換機(jī)為client模式。
ACL的規(guī)劃
訪(fǎng)問(wèn)控制列表(ACL)主要功能是限制通過(guò)路由器端口的報(bào)文��。有基本訪(fǎng)問(wèn)控制列表和擴(kuò)展控制列表兩種���。
我們采用擴(kuò)展訪(fǎng)問(wèn)列表�,VLAN1應(yīng)用擴(kuò)展訪(fǎng)問(wèn)列表的表號(hào)為101���,VLAN2應(yīng)用擴(kuò)展訪(fǎng)問(wèn)列表的表號(hào)為102�,VLAN3應(yīng)用擴(kuò)展訪(fǎng)問(wèn)列表的表號(hào)為103�����。
具體配置
電腦的配置
Web服務(wù)器的IP地址 10.168.1.2��,網(wǎng)關(guān)(VLAN1對(duì)應(yīng)的路由器端口)IP地址10.168.1.1 ��。
E-mail服務(wù)器的IP地址10.168.1.3��,網(wǎng)關(guān)(VLAN1對(duì)應(yīng)的路由器端口)IP地址10.168.1.1 �����。
辦公自動(dòng)化服務(wù)器的IP地址10.168.1.4��,網(wǎng)關(guān)(VLAN1對(duì)應(yīng)的路由器端口)IP地址10.168.1.1 ���。
計(jì)財(cái)部辦公電腦1的IP地址10.168.2.2�����,網(wǎng)關(guān)(VLAN2對(duì)應(yīng)的路由器端口)IP地址10.168.2.1���。
計(jì)財(cái)部辦公電腦2的IP地址10.168.2.3,網(wǎng)關(guān)(VLAN2對(duì)應(yīng)的路由器端口)IP地址10.168.2.1���。
市場(chǎng)部辦公電腦1的IP地址10.168.3.2�����,網(wǎng)關(guān)(VLAN3對(duì)應(yīng)的路由器端口)IP地址10.168.3.1����。
市場(chǎng)部辦公電腦2的IP地址10.168.3.3�,網(wǎng)關(guān)(VLAN3對(duì)應(yīng)的路由器端口)IP地址10.168.3.1�����。
各網(wǎng)絡(luò)設(shè)備的配置
(1)主交換機(jī):
配置VTP
vtp server
vtp domain switch
配置VLAN
VLAN 1 name fuwu
VLAN 2 name jicai
VLAN 3 name shichang
端口模式(指定端口所屬的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交換機(jī)互連口(交換機(jī)與交換機(jī)、交換機(jī)與路由器)配置trunk
trunk on
(2)市場(chǎng)部交換機(jī)
配置VTP
vtp client
vtp domain switch
端口模式(指定端口所屬的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交換機(jī)互連口(交換機(jī)與交換機(jī)���、交換機(jī)與路由器)配置trunk
trunk on
(3)計(jì)財(cái)部交換機(jī)
配置VTP
vtp client
vtp domain swtich
端口模式(指定端口所屬的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交換機(jī)互連口(交換機(jī)與交換機(jī)、交換機(jī)與路由器)配置trunk
trunk on
(4)路由器
快速以太口0配置ISL標(biāo)簽
為VLAN 1 配置ISL 標(biāo)簽
router#config t
router#(config) int f0.1
router#(config-if) ip address 10.168.1.1 255.255.255.0
router#(config-if) encapsulation ISL 1
為VLAN 2 配置ISL 標(biāo)簽
router#(config) int f0.2
router#(config-if) ip address 10.168.2.1 255.255.255.0
router#(config-if) encapsulation ISL 2
為VLAN 3 配置ISL 標(biāo)簽
www.3lian.com
router#(config) int f0.3
router#(config-if) ip address 10.168.3.1 255.255.255.0
router#(config-if) encapsulation ISL 3
路由(靜態(tài)):
ip route 10.168.1.0 255.255.255.0 FastEthernet0.1
ip route 10.168.2.0 255.255.255.0 FastEthernet0.2
ip route 10.168.3.0 255.255.255.0 FastEthernet0.3
說(shuō)明��,這三條靜態(tài)路由可以不加�,路由器可以通過(guò)cdp功能獲取直通路由�����。
配置訪(fǎng)問(wèn)列表�����,在路由器全局模式下配置基本和擴(kuò)展訪(fǎng)問(wèn)列表
router(config) access-list 101 permit ip host 10.168.1.2 any
router(config) access-list 101 permit ip host 10.168.1.3 any
router(config) access-list 101 permit ip host 10.168.1.4 any
router(config) access-list 102 permit ip host 10.168.2.2 10.168.1.0 0.255.255.255
router(config) access-list 102 permit ip host 10.168.2.3 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.2 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.3 10.168.1.0 0.255.255.255
把訪(fǎng)問(wèn)列表指定到一個(gè)端口上
router(config)int f0.1
router(config-if)ip access-group 101 in
router(config)int f0.2
router(config-if)ip access-group 102 in
router(config)int f0.3
router(config-if)ip access-group 103 in
以上方案是基于Cisco Catalyst 1900的����,如果交換機(jī)是Cisco Catalyst 2900���,VLAN的配置命令略有不同�。
