隨著信息技術的發展,對辦公網的要求也在變化。我公司的辦公網要滿足三方面的要求,
1、建立公司內部的Web服務器、E-mail服務器、辦公自動化服務器,實現無紙化辦公;
2、資料、信息和服務的共享;
3、信息交流和郵件服務。
這樣的辦公網絡實現了很大的便捷性,然而我們不得不考慮它的安全性。為了保證網絡上的信息安全,我們不得不在網絡的易用性與安全性之間尋找一個平衡點,在足夠安全的情況下,實現最大的易用性。
辦公網要實現的安全目標
針對辦公網絡既要滿足新辦公的需要又要保證信息技術安全的情況,辦公網絡主要實現三個安全目標:
1、實現所有辦公終端都能訪問Web服務器,E-mail服務器,辦公自動化服務器;
2、實現各部門辦公終端之間資料及打印服務的共享;
3、部門之間互訪受到控制,使部分有需要的電腦能夠互通,其余的不能互通。
辦公組網方案設計
我預備采用VLAN和ACL技術組建辦公網。虛擬局域網(VLAN)將網絡從邏輯上劃分為一個個功能相對獨立的工作組,假如再加上虛擬局域網之間的訪問控制(ACL)和路由指向可以使一個個功能相對獨立的工作組變成可以受限互訪的不同安全區。以市場部和計財部兩個部門為例,方案拓撲圖如下(如圖1)。
1)在交換機上劃分三個VALN,將Web服務器、E-mail服務器和辦公自動化服務器劃為VLAN1,名稱為fuwu;計劃財務部為VLAN2,名稱為jicai;市場部為VLAN3,名稱為shichang。
2)路由器上用訪問控制列表和路由指向,控制網絡數據的流向實現辦公網的安全目標,從而使VLAN2和VALN3成為兩個安全區。
方案的總體規劃
現在以Cisco Catalyst 1900交換機、Cisco 2600路由器為例,寫出方案的具體配置。
VLAN的規劃
(1)VLAN的工作模式:我們采用靜態模式,針對交換機端口指定VLAN。
(2)ISL標簽:ISL(Inter-Switch Link)是一個在交換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個VLAN信息及VLAN數據流的協議,通過在交換機直接相連的端口配置ISL封裝,即可跨越交換機進行整個網絡的VLAN分配和配置。我們在快速以太口0配置ISL標簽。
(3)VTP(VLAN Trunking PRotocol):它是一個在交換機之間同步及傳遞VLAN配置信息的協議。一個VTP Server上的配置將會傳遞給網絡中的所有交換機,VTP通過減少手工配置而支持較大規模的網絡。VTP有Server、client、transparent三種模式。我們的VTP設置:VTP的域名為switch,主交換機為Server模式,其他兩個交換機為client模式。
ACL的規劃
訪問控制列表(ACL)主要功能是限制通過路由器端口的報文。有基本訪問控制列表和擴展控制列表兩種。我們采用擴展訪問列表,VLAN1應用擴展訪問列表的表號為101,VLAN2應用擴展訪問列表的表號為102,VLAN3應用擴展訪問列表的表號為103。
具體配置
電腦的配置
Web服務器的ip地址 10.168.1.2,網關(VLAN1對應的路由器端口)IP地址10.168.1.1 。
E-mail服務器的IP地址10.168.1.3,網關(VLAN1對應的路由器端口)IP地址10.168.1.1 。
辦公自動化服務器的IP地址10.168.1.4,網關(VLAN1對應的路由器端口)IP地址10.168.1.1 。
計財部辦公電腦1的IP地址10.168.2.2,網關(VLAN2對應的路由器端口)IP地址10.168.2.1。
計財部辦公電腦2的IP地址10.168.2.3,網關(VLAN2對應的路由器端口)IP地址10.168.2.1。
市場部辦公電腦1的IP地址10.168.3.2,網關(VLAN3對應的路由器端口)IP地址10.168.3.1。
市場部辦公電腦2的IP地址10.168.3.3,網關(VLAN3對應的路由器端口)IP地址10.168.3.1。
各網絡設備的配置
(1)主交換機:
配置VTP
vtp server
vtp domain switch
配置VLAN
VLAN 1 name fuwu
VLAN 2 name jicai
VLAN 3 name shichang
端口模式(指定端口所屬的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交換機互連口(交換機與交換機、交換機與路由器)配置trunk
trunk on
(2)市場部交換機
配置VTP
vtp client
vtp domain switch
端口模式(指定端口所屬的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交換機互連口(交換機與交換機、交換機與路由器)配置trunk
trunk on
(3)計財部交換機
配置VTP
vtp client
vtp domain swtich
端口模式(指定端口所屬的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交換機互連口(交換機與交換機、交換機與路由器)配置trunk
trunk on
(4)路由器
快速以太口0配置ISL標簽
為VLAN 1 配置ISL 標簽
router#config t
router#(config) int f0.1
router#(config-if) ip address 10.168.1.1 255.255.255.0
router#(config-if) encapsulation ISL 1
為VLAN 2 配置ISL 標簽
router#(config) int f0.2
router#(config-if) ip address 10.168.2.1 255.255.255.0
router#(config-if) encapsulation ISL 2
為VLAN 3 配置ISL 標簽
router#(config) int f0.3
router#(config-if) ip address 10.168.3.1 255.255.255.0
router#(config-if) encapsulation ISL 3
路由(靜態):
ip route 10.168.1.0 255.255.255.0 FastEthernet0.1
ip route 10.168.2.0 255.255.255.0 FastEthernet0.2
ip route 10.168.3.0 255.255.255.0 FastEthernet0.3
說明,這三條靜態路由可以不加,路由器可以通過cdp功能獲取直通路由。配置訪問列表,在路由器全局模式下配置基本和擴展訪問列表
router(config) access-list 101 permit ip host 10.168.1.2 any
router(config) access-list 101 permit ip host 10.168.1.3 any
router(config) access-list 101 permit ip host 10.168.1.4 any
router(config) access-list 102 permit ip host 10.168.2.2 10.168.1.0 0.255.255.255
router(config) access-list 102 permit ip host 10.168.2.3 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.2 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.3 10.168.1.0 0.255.255.255
把訪問列表指定到一個端口上
router(config)int f0.1
router(config-if)ip access-group 101 in
router(config)int f0.2
router(config-if)ip access-group 102 in
router(config)int f0.3
router(config-if)ip access-group 103 in
以上方案是基于Cisco Catalyst 1900的,假如交換機是Cisco Catalyst 2900,VLAN的配置命令略有不同。
作者:王海兵 北京大唐高鴻數據網絡技術有限公司
新聞熱點
疑難解答
