如何组建安全的办公网络

随着信息技术的发展,对办公网的要求也在变化。我公司的办公网要满足三方面的要求,1、建立公司内部的Web服务器、E-mail服务器、办公自动化服务器,实现无纸化办公;2、资料、信息和服务的共享;3、信息交流和邮件服务。

这样的办公网络实现了很大的便捷性,然而我们不得不考虑它的安全性。为了保证网络上的信息安全,我们不得不在网络的易用性与安全性之间寻找一个平衡点,在足够安全的情况下,实现最大的易用性。

办公网要实现的安全目标

针对办公网络既要满足新办公的需要又要保证信息技术安全的情况,办公网络主要实现三个安全目标:1、实现所有办公终端都能访问Web服务器,E- mail服务器,办公自动化服务器;2、实现各部门办公终端之间资料及打印服务的共享;3、部门之间互访受到控制,使部分有需要的电脑能够互通,其余的不能互通。

办公组网方案设计

我准备采用VLAN和ACL技术组建办公网。虚拟局域网(VLAN)将网络从逻辑上划分为一个个功能相对独立的工作组,如果再加上虚拟局域网之间的访问控制(ACL)和路由指向可以使一个个功能相对独立的工作组变成可以受限互访的不同安全区。以市场部和计财部两个部门为例,方案拓扑图如下(如图 1)。

1)在交换机上划分三个VALN,将Web服务器、E-mail服务器和办公自动化服务器划为VLAN1,名称为fuwu;计划财务部为VLAN2,名称为jicai;市场部为VLAN3,名称为shichang。

2)路由器上用访问控制列表和路由指向,控制网络数据的流向实现办公网的安全目标,从而使VLAN2和VALN3成为两个安全区。

方案的总体规划

现在以Cisco Catalyst 1900交换机、Cisco 2600路由器为例,写出方案的详细配置。

VLAN的规划

(1)VLAN的工作模式:

我们采用静态模式,针对交换机端口指定VLAN。

(2)ISL标签:

ISL(Inter-Switch Link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和配置。我们在快速以太口0配置ISL标签。

(3)VTP(VLAN Trunking Protocol):它是一个在交换机之间同步及传递VLAN配置信息的协议。一个 VTP Server上的配置将会传递给网络中的所有交换机,VTP通过减少手工配置而支持较大规模的网络。VTP有Server、client、 transparent三种模式。我们的VTP设置:VTP的域名为switch,主交换机为Server模式,其他两个交换机为client模式。

ACL的规划

访问控制列表(ACL)主要功能是限制通过路由器端口的报文。有基本访问控制列表和扩展控制列表两种。

我们采用扩展访问列表,VLAN1应用扩展访问列表的表号为101,VLAN2应用扩展访问列表的表号为102,VLAN3应用扩展访问列表的表号为103。

具体配置

电脑的配置

Web服务器的IP地址 10.168.1.2,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。

E-mail服务器的IP地址10.168.1.3,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。

办公自动化服务器的IP地址10.168.1.4,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。

计财部办公电脑1的IP地址10.168.2.2,网关(VLAN2对应的路由器端口)IP地址10.168.2.1。

计财部办公电脑2的IP地址10.168.2.3,网关(VLAN2对应的路由器端口)IP地址10.168.2.1。

市场部办公电脑1的IP地址10.168.3.2,网关(VLAN3对应的路由器端口)IP地址10.168.3.1。

市场部办公电脑2的IP地址10.168.3.3,网关(VLAN3对应的路由器端口)IP地址10.168.3.1。

各网络设备的配置

(1)主交换机:

配置VTP

vtp server

vtp domain switch

配置VLAN

VLAN 1 name fuwu

VLAN 2 name jicai

VLAN 3 name shichang

端口模式(指定端口所属的VLAN)

VLAN 1 的端口

VLAN-membership static 1

VLAN 2 的端口

VLAN-membership static 2

VLAN 3 的端口

VLAN-membership static 3

在交换机互连口(交换机与交换机、交换机与路由器)配置trunk

trunk on

(2)市场部交换机

配置VTP

vtp client

vtp domain switch

端口模式(指定端口所属的VLAN)

VLAN 1 的端口

VLAN-membership static 1

VLAN 2 的端口

VLAN-membership static 2

VLAN 3 的端口

VLAN-membership static 3

在交换机互连口(交换机与交换机、交换机与路由器)配置trunk

trunk on

(3)计财部交换机

配置VTP

vtp client

vtp domain swtich

端口模式(指定端口所属的VLAN)

VLAN 1 的端口

VLAN-membership static 1

VLAN 2 的端口

VLAN-membership static 2

VLAN 3 的端口

VLAN-membership static 3

在交换机互连口(交换机与交换机、交换机与路由器)配置trunk

trunk on

(4)路由器

快速以太口0配置ISL标签

为VLAN 1 配置ISL 标签

router#config t

router#(config) int f0.1

router#(config-if) ip address 10.168.1.1 255.255.255.0

router#(config-if) encapsulation ISL 1

为VLAN 2 配置ISL 标签

router#(config) int f0.2

router#(config-if) ip address 10.168.2.1 255.255.255.0

router#(config-if) encapsulation ISL 2

为VLAN 3 配置ISL 标签

www.3lian.com

router#(config) int f0.3

router#(config-if) ip address 10.168.3.1 255.255.255.0

router#(config-if) encapsulation ISL 3

路由(静态):

ip route 10.168.1.0 255.255.255.0 FastEthernet0.1

ip route 10.168.2.0 255.255.255.0 FastEthernet0.2

ip route 10.168.3.0 255.255.255.0 FastEthernet0.3

说明,这三条静态路由可以不加,路由器可以通过cdp功能获取直通路由。

配置访问列表,在路由器全局模式下配置基本和扩展访问列表

router(config) access-list 101 permit ip host 10.168.1.2 any

router(config) access-list 101 permit ip host 10.168.1.3 any

router(config) access-list 101 permit ip host 10.168.1.4 any

router(config) access-list 102 permit ip host 10.168.2.2 10.168.1.0 0.255.255.255

router(config) access-list 102 permit ip host 10.168.2.3 10.168.1.0 0.255.255.255

router(config) access-list 103 permit ip host 10.168.3.2 10.168.1.0 0.255.255.255

router(config) access-list 103 permit ip host 10.168.3.3 10.168.1.0 0.255.255.255

把访问列表指定到一个端口上

router(config)int f0.1

router(config-if)ip access-group 101 in

router(config)int f0.2

router(config-if)ip access-group 102 in

router(config)int f0.3

router(config-if)ip access-group 103 in

以上方案是基于Cisco Catalyst 1900的,如果交换机是Cisco Catalyst 2900,VLAN的配置命令略有不同。

(0)

相关推荐

  • 透析办公网络中的网络安全

    一、办公网络中网络安全的主要威胁 随着计算机网络应用范围的不断扩展,大量基于IP网络的应用层出不穷。加剧了网络的负担,安全问题越加突出。一方面,网络提供了资源的共享性、用户使用的方便性,通过分布式处理 ...

  • 组建路由器的无线网络技巧

    无线网已经不断的深入到我们的日常生活中,基本每多家庭都搭建了一个无线网络,本文以TP-link路由器为例,介绍在组建无线网时,我们应该注意到哪些问题和可以使用的一些技巧,主要以一些实例来详细解说。 一 ...

  • 组建无线局域网的网络配置

    接下来需要配罝网络.包括安装无线网卡的驱动程序和设罝计算机IP地址.网关.DNS.计算机名等. 操作方法 01 安装无线网卡驱动程序 如果用户使用的是本身就内罝无线网卡的笔记本电脑,则系统早己为无线网 ...

  • 如何在windows xp下安装办公网络里的打印机?

    windows xp下安装网络打印机安装图解: 1.步骤跟本地打印机差不多,只是不需要连接数据线电源线什么的.只需要在本机上面设置即可.点"开始"->"设置&quo ...

  • 笔记本无线网卡充当路由器组建局域网

    如果没有无线路由器,用有无线网卡的笔记本也能组建局域网。 现在,使用笔记本的用户越来越多,为了方便用户移动办公,随时上网,一些家庭或单位都利用无线路由器组建了无线网络,给笔记本上网提供了方便。可是在没 ...

  • 无线局域网的组建环境与过程

     无线局域网(WLAN)产业是当前整个数据通信领域发展最快的产业之一。因其具有灵活性、可移动性及较低的投资成本等优势, 无线局域网解决方案作为传统有线局域网络的补充和扩展,获得了家庭网络用户、中小型办 ...

  • 如何用一台电脑实现网络隔离和安全管控?

    由于工作性质的不同,很多企业是不允许员工上外网的,一旦有需求上网查找资料,必须要在指定的网域通过专门的电脑进行查询和下载。这样表面看是保障了内部网络的安全性,防止内部信息泄漏到外网,但从实际操作过程来 ...

  • 企业网络基本搭建及网络管理

    企业对网络的要求性越来越强,为了保证网络的高可用性,有时希望在网络中提供设备、模块和链路的冗余。 但是在二层网络中,冗余链路可能会导致交换环路,使得广播包在交换环路中无休止地循环,进而破坏网络中设备的 ...

  • Windows 7的网络连接和共享设置的图文教程

    在安装WINDOWS 7时一般是选择家庭网络(创建家庭用户连接)或办公网络(创建工作网络),还有一个就是公共网络预设置,家庭网络要求连入家庭网络用户系统也必须安装Windows 7,办公网络较为常用一 ...