如何組建安全的辦公網路

來源:互聯網
上載者:User

  隨著資訊技術的發展,對辦公網的要求也在變化。我公司的辦公網要滿足三方面的要求,1、建立公司內部的Web伺服器、E-mail伺服器、辦公Automation 伺服程式,實現無紙化辦公;2、資料、資訊和服務的共用;3、資訊交流和郵件服務。

  這樣的辦公網路實現了很大的便捷性,然而我們不得不考慮它的安全性。為了保證網路上的資訊安全,我們不得不在網路的易用性與安全性之間尋找一個平衡點,在足夠安全的情況下,實現最大的易用性。

  辦公網要實現的安全目標

  針對辦公網路既要滿足新辦公的需要又要保證資訊技術安全的情況,辦公網路主要實現三個安全目標:1、實現所有辦公終端都能訪問Web伺服器,E- mail伺服器,辦公Automation 伺服程式;2、實現各部門辦公終端之間資料及列印服務的共用;3、部門之間互訪受到控制,使部分有需要的電腦能夠互連,其餘的不能互連。

  辦公組網方案設計

  我準備採用VLAN和ACL技術組建辦公網。虛擬區域網路(VLAN)將網路從邏輯上劃分為一個個功能相對獨立的工作群組,如果再加上虛擬區域網路之間的存取控制(ACL)和路由指向可以使一個個功能相對獨立的工作群組變成可以受限互訪的不同安全區。以市場部和計財部兩個部門為例,方案拓撲圖如下(如圖 1)。

  1)在交換器上劃分三個VALN,將Web伺服器、E-mail伺服器和辦公Automation 伺服程式劃為VLAN1,名稱為fuwu;計劃財務部為VLAN2,名稱為jicai;市場部為VLAN3,名稱為shichang。

  2)路由器上用存取控制清單和路由指向,控制網路資料的流向實現辦公網的安全目標,從而使VLAN2和VALN3成為兩個安全區。

  方案的總體規劃

  現在以Cisco Catalyst 1900交換器、Cisco 2600路由器為例,寫出方案的詳細配置。

  VLAN的規劃

  (1)VLAN的工作模式:

  我們採用靜態模式,針對交換器連接埠指定VLAN。

  (2)ISL標籤:

  ISL(Inter-Switch Link)是一個在交換器之間、交換器與路由器之間及交換器與伺服器之間傳遞多個VLAN資訊及VLAN資料流的協議,通過在交換器直接相連的連接埠配置ISL封裝,即可跨越交換器進行整個網路的VLAN分配和配置。我們在快速以太口0配置ISL標籤。

  (3)VTP(VLAN Trunking Protocol):它是一個在交換器之間同步及傳遞VLAN配置資訊的協議。一個 VTP Server上的配置將會傳遞給網路中的所有交換器,VTP通過減少手工配置而支援較大規模的網路。VTP有Server、client、 transparent三種模式。我們的VTP設定:VTP的網域名稱為switch,主交換器為Server模式,其他兩個交換器為client模式。

  ACL的規劃

  存取控制清單(ACL)主要功能是限制通過路由器連接埠的報文。有基本存取控制清單和擴充控制列表兩種。

  我們採用擴充訪問列表,VLAN1應用擴充訪問列表的表號為101,VLAN2應用擴充訪問列表的表號為102,VLAN3應用擴充訪問列表的表號為103。

  具體配置

  電腦的配置

  Web伺服器的IP地址 10.168.1.2,網關(VLAN1對應的路由器連接埠)IP地址10.168.1.1 。

  E-mail伺服器的IP地址10.168.1.3,網關(VLAN1對應的路由器連接埠)IP地址10.168.1.1 。

  辦公Automation 伺服程式的IP地址10.168.1.4,網關(VLAN1對應的路由器連接埠)IP地址10.168.1.1 。

  計財部辦公電腦1的IP地址10.168.2.2,網關(VLAN2對應的路由器連接埠)IP地址10.168.2.1。

  計財部辦公電腦2的IP地址10.168.2.3,網關(VLAN2對應的路由器連接埠)IP地址10.168.2.1。

  市場部辦公電腦1的IP地址10.168.3.2,網關(VLAN3對應的路由器連接埠)IP地址10.168.3.1。

  市場部辦公電腦2的IP地址10.168.3.3,網關(VLAN3對應的路由器連接埠)IP地址10.168.3.1。

  各網路裝置的配置

  (1)主交換器:

  配置VTP

  vtp server

  vtp domain switch

  配置VLAN

  VLAN 1 name fuwu

  VLAN 2 name jicai

  VLAN 3 name shichang

  連接埠模式(指定連接埠所屬的VLAN)

  VLAN 1 的連接埠

  VLAN-membership static 1

  VLAN 2 的連接埠

  VLAN-membership static 2

  VLAN 3 的連接埠

  VLAN-membership static 3

  在交換器互連口(交換器與交換器、交換器與路由器)配置trunk

  trunk on

  (2)市場部交換器

  配置VTP

  vtp client

  vtp domain switch

  連接埠模式(指定連接埠所屬的VLAN)

  VLAN 1 的連接埠

  VLAN-membership static 1

  VLAN 2 的連接埠

  VLAN-membership static 2

  VLAN 3 的連接埠

  VLAN-membership static 3

  在交換器互連口(交換器與交換器、交換器與路由器)配置trunk

  trunk on

  (3)計財部交換器

  配置VTP

  vtp client

  vtp domain swtich

  連接埠模式(指定連接埠所屬的VLAN)

  VLAN 1 的連接埠

  VLAN-membership static 1

  VLAN 2 的連接埠

  VLAN-membership static 2

  VLAN 3 的連接埠

  VLAN-membership static 3

  在交換器互連口(交換器與交換器、交換器與路由器)配置trunk

  trunk on

  (4)路由器

  快速以太口0配置ISL標籤

  為VLAN 1 配置ISL 標籤

  router#config t

  router#(config) int f0.1

  router#(config-if) ip address 10.168.1.1 255.255.255.0

  router#(config-if) encapsulation ISL 1

  為VLAN 2 配置ISL 標籤

  router#(config) int f0.2

  router#(config-if) ip address 10.168.2.1 255.255.255.0

  router#(config-if) encapsulation ISL 2

  為VLAN 3 配置ISL 標籤

  www.3lian.com

  router#(config) int f0.3

  router#(config-if) ip address 10.168.3.1 255.255.255.0

  router#(config-if) encapsulation ISL 3

  路由(靜態):

  ip route 10.168.1.0 255.255.255.0 FastEthernet0.1

  ip route 10.168.2.0 255.255.255.0 FastEthernet0.2

  ip route 10.168.3.0 255.255.255.0 FastEthernet0.3

  說明,這三條靜態路由可以不加,路由器可以通過cdp功能擷取直通路由。

  配置訪問列表,在路由器全域模式下配置基本和擴充訪問列表

  router(config) access-list 101 permit ip host 10.168.1.2 any

  router(config) access-list 101 permit ip host 10.168.1.3 any

  router(config) access-list 101 permit ip host 10.168.1.4 any

  router(config) access-list 102 permit ip host 10.168.2.2 10.168.1.0 0.255.255.255

  router(config) access-list 102 permit ip host 10.168.2.3 10.168.1.0 0.255.255.255

  router(config) access-list 103 permit ip host 10.168.3.2 10.168.1.0 0.255.255.255

  router(config) access-list 103 permit ip host 10.168.3.3 10.168.1.0 0.255.255.255

  把訪問列表指定到一個連接埠上

  router(config)int f0.1

  router(config-if)ip access-group 101 in

  router(config)int f0.2

  router(config-if)ip access-group 102 in

  router(config)int f0.3

  router(config-if)ip access-group 103 in

  以上方案是基於Cisco Catalyst 1900的,如果交換器是Cisco Catalyst 2900,VLAN的配置命令略有不同。

相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。