如何組建安全的辦公網路

　　隨著資訊技術的發展，對辦公網的要求也在變化。我公司的辦公網要滿足三方面的要求，1、建立公司內部的Web伺服器、E-mail伺服器、辦公Automation 伺服程式，實現無紙化辦公;2、資料、資訊和服務的共用;3、資訊交流和郵件服務。

　　這樣的辦公網路實現了很大的便捷性，然而我們不得不考慮它的安全性。為了保證網路上的資訊安全，我們不得不在網路的易用性與安全性之間尋找一個平衡點，在足夠安全的情況下，實現最大的易用性。

　　辦公網要實現的安全目標

　　針對辦公網路既要滿足新辦公的需要又要保證資訊技術安全的情況，辦公網路主要實現三個安全目標：1、實現所有辦公終端都能訪問Web伺服器，E- mail伺服器，辦公Automation 伺服程式;2、實現各部門辦公終端之間資料及列印服務的共用;3、部門之間互訪受到控制，使部分有需要的電腦能夠互連，其餘的不能互連。

　　辦公組網方案設計

　　我準備採用VLAN和ACL技術組建辦公網。虛擬區域網路(VLAN)將網路從邏輯上劃分為一個個功能相對獨立的工作群組，如果再加上虛擬區域網路之間的存取控制(ACL)和路由指向可以使一個個功能相對獨立的工作群組變成可以受限互訪的不同安全區。以市場部和計財部兩個部門為例，方案拓撲圖如下(如圖 1)。

　　1)在交換器上劃分三個VALN，將Web伺服器、E-mail伺服器和辦公Automation 伺服程式劃為VLAN1，名稱為fuwu;計劃財務部為VLAN2，名稱為jicai;市場部為VLAN3，名稱為shichang。

　　2)路由器上用存取控制清單和路由指向，控制網路資料的流向實現辦公網的安全目標，從而使VLAN2和VALN3成為兩個安全區。

　　方案的總體規劃

　　現在以Cisco Catalyst 1900交換器、Cisco 2600路由器為例，寫出方案的詳細配置。

　　VLAN的規劃

　　(1)VLAN的工作模式：

　　我們採用靜態模式，針對交換器連接埠指定VLAN。

　　(2)ISL標籤：

　　ISL(Inter-Switch Link)是一個在交換器之間、交換器與路由器之間及交換器與伺服器之間傳遞多個VLAN資訊及VLAN資料流的協議，通過在交換器直接相連的連接埠配置ISL封裝，即可跨越交換器進行整個網路的VLAN分配和配置。我們在快速以太口0配置ISL標籤。

　　(3)VTP(VLAN Trunking Protocol)：它是一個在交換器之間同步及傳遞VLAN配置資訊的協議。一個 VTP Server上的配置將會傳遞給網路中的所有交換器，VTP通過減少手工配置而支援較大規模的網路。VTP有Server、client、 transparent三種模式。我們的VTP設定：VTP的網域名稱為switch，主交換器為Server模式，其他兩個交換器為client模式。

　　ACL的規劃

　　存取控制清單(ACL)主要功能是限制通過路由器連接埠的報文。有基本存取控制清單和擴充控制列表兩種。

　　我們採用擴充訪問列表，VLAN1應用擴充訪問列表的表號為101，VLAN2應用擴充訪問列表的表號為102，VLAN3應用擴充訪問列表的表號為103。

　　具體配置

　　電腦的配置

　　Web伺服器的IP地址 10.168.1.2，網關(VLAN1對應的路由器連接埠)IP地址10.168.1.1 。

　　E-mail伺服器的IP地址10.168.1.3，網關(VLAN1對應的路由器連接埠)IP地址10.168.1.1 。

　　辦公Automation 伺服程式的IP地址10.168.1.4，網關(VLAN1對應的路由器連接埠)IP地址10.168.1.1 。

　　計財部辦公電腦1的IP地址10.168.2.2，網關(VLAN2對應的路由器連接埠)IP地址10.168.2.1。

　　計財部辦公電腦2的IP地址10.168.2.3，網關(VLAN2對應的路由器連接埠)IP地址10.168.2.1。

　　市場部辦公電腦1的IP地址10.168.3.2，網關(VLAN3對應的路由器連接埠)IP地址10.168.3.1。

　　市場部辦公電腦2的IP地址10.168.3.3，網關(VLAN3對應的路由器連接埠)IP地址10.168.3.1。

　　各網路裝置的配置

　　(1)主交換器：

　　配置VTP

　　vtp server

　　vtp domain switch

　　配置VLAN

　　VLAN 1 name fuwu

　　VLAN 2 name jicai

　　VLAN 3 name shichang

　　連接埠模式(指定連接埠所屬的VLAN)

　　VLAN 1 的連接埠

　　VLAN-membership static 1

　　VLAN 2 的連接埠

　　VLAN-membership static 2

　　VLAN 3 的連接埠

　　VLAN-membership static 3

　　在交換器互連口(交換器與交換器、交換器與路由器)配置trunk

　　trunk on

　　(2)市場部交換器

　　配置VTP

　　vtp client

　　vtp domain switch

　　連接埠模式(指定連接埠所屬的VLAN)

　　VLAN 1 的連接埠

　　VLAN-membership static 1

　　VLAN 2 的連接埠

　　VLAN-membership static 2

　　VLAN 3 的連接埠

　　VLAN-membership static 3

　　在交換器互連口(交換器與交換器、交換器與路由器)配置trunk

　　trunk on

　　(3)計財部交換器

　　配置VTP

　　vtp client

　　vtp domain swtich

　　連接埠模式(指定連接埠所屬的VLAN)

　　VLAN 1 的連接埠

　　VLAN-membership static 1

　　VLAN 2 的連接埠

　　VLAN-membership static 2

　　VLAN 3 的連接埠

　　VLAN-membership static 3

　　在交換器互連口(交換器與交換器、交換器與路由器)配置trunk

　　trunk on

　　(4)路由器

　　快速以太口0配置ISL標籤

　　為VLAN 1 配置ISL 標籤

　　router#config t

　　router#(config) int f0.1

　　router#(config-if) ip address 10.168.1.1 255.255.255.0

　　router#(config-if) encapsulation ISL 1

　　為VLAN 2 配置ISL 標籤

　　router#(config) int f0.2

　　router#(config-if) ip address 10.168.2.1 255.255.255.0

　　router#(config-if) encapsulation ISL 2

　　為VLAN 3 配置ISL 標籤

　　www.3lian.com

　　router#(config) int f0.3

　　router#(config-if) ip address 10.168.3.1 255.255.255.0

　　router#(config-if) encapsulation ISL 3

　　路由(靜態)：

　　ip route 10.168.1.0 255.255.255.0 FastEthernet0.1

　　ip route 10.168.2.0 255.255.255.0 FastEthernet0.2

　　ip route 10.168.3.0 255.255.255.0 FastEthernet0.3

　　說明，這三條靜態路由可以不加，路由器可以通過cdp功能擷取直通路由。

　　配置訪問列表，在路由器全域模式下配置基本和擴充訪問列表

　　router(config) access-list 101 permit ip host 10.168.1.2 any

　　router(config) access-list 101 permit ip host 10.168.1.3 any

　　router(config) access-list 101 permit ip host 10.168.1.4 any

　　router(config) access-list 102 permit ip host 10.168.2.2 10.168.1.0 0.255.255.255

　　router(config) access-list 102 permit ip host 10.168.2.3 10.168.1.0 0.255.255.255

　　router(config) access-list 103 permit ip host 10.168.3.2 10.168.1.0 0.255.255.255

　　router(config) access-list 103 permit ip host 10.168.3.3 10.168.1.0 0.255.255.255

　　把訪問列表指定到一個連接埠上

　　router(config)int f0.1

　　router(config-if)ip access-group 101 in

　　router(config)int f0.2

　　router(config-if)ip access-group 102 in

　　router(config)int f0.3

　　router(config-if)ip access-group 103 in

　　以上方案是基於Cisco Catalyst 1900的，如果交換器是Cisco Catalyst 2900，VLAN的配置命令略有不同。