如何组建安全的办公网络
随着信息技术的发展,对办公网的要求也在变化。我公司的办公网要满足三方面的要求,1、建立公司内部的Web服务器、E-mail服务器、办公自动化服务器,实现无纸化办公;2、资料、信息和服务的共享;3、信息交流和邮件服务。
这样的办公网络实现了很大的便捷性,然而我们不得不考虑它的安全性。为了保证网络上的信息安全,我们不得不在网络的易用性与安全性之间寻找一个平衡点,在足够安全的情况下,实现最大的易用性。
办公网要实现的安全目标
针对办公网络既要满足新办公的需要又要保证信息技术安全的情况,办公网络主要实现三个安全目标:1、实现所有办公终端都能访问Web服务器,E- mail服务器,办公自动化服务器;2、实现各部门办公终端之间资料及打印服务的共享;3、部门之间互访受到控制,使部分有需要的电脑能够互通,其余的不能互通。
办公组网方案设计
我准备采用VLAN和ACL技术组建办公网。虚拟局域网(VLAN)将网络从逻辑上划分为一个个功能相对独立的工作组,如果再加上虚拟局域网之间的访问控制(ACL)和路由指向可以使一个个功能相对独立的工作组变成可以受限互访的不同安全区。以市场部和计财部两个部门为例,方案拓扑图如下(如图 1)。
1)在交换机上划分三个VALN,将Web服务器、E-mail服务器和办公自动化服务器划为VLAN1,名称为fuwu;计划财务部为VLAN2,名称为jicai;市场部为VLAN3,名称为shichang。
2)路由器上用访问控制列表和路由指向,控制网络数据的流向实现办公网的安全目标,从而使VLAN2和VALN3成为两个安全区。
方案的总体规划
现在以Cisco Catalyst 1900交换机、Cisco 2600路由器为例,写出方案的详细配置。
VLAN的规划
(1)VLAN的工作模式:
我们采用静态模式,针对交换机端口指定VLAN。
(2)ISL标签:
ISL(Inter-Switch Link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和配置。我们在快速以太口0配置ISL标签。
(3)VTP(VLAN Trunking Protocol):它是一个在交换机之间同步及传递VLAN配置信息的协议。一个 VTP Server上的配置将会传递给网络中的所有交换机,VTP通过减少手工配置而支持较大规模的网络。VTP有Server、client、 transparent三种模式。我们的VTP设置:VTP的域名为switch,主交换机为Server模式,其他两个交换机为client模式。
ACL的规划
访问控制列表(ACL)主要功能是限制通过路由器端口的报文。有基本访问控制列表和扩展控制列表两种。
我们采用扩展访问列表,VLAN1应用扩展访问列表的表号为101,VLAN2应用扩展访问列表的表号为102,VLAN3应用扩展访问列表的表号为103。
具体配置
电脑的配置
Web服务器的IP地址 10.168.1.2,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。
E-mail服务器的IP地址10.168.1.3,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。
办公自动化服务器的IP地址10.168.1.4,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。
计财部办公电脑1的IP地址10.168.2.2,网关(VLAN2对应的路由器端口)IP地址10.168.2.1。
计财部办公电脑2的IP地址10.168.2.3,网关(VLAN2对应的路由器端口)IP地址10.168.2.1。
市场部办公电脑1的IP地址10.168.3.2,网关(VLAN3对应的路由器端口)IP地址10.168.3.1。
市场部办公电脑2的IP地址10.168.3.3,网关(VLAN3对应的路由器端口)IP地址10.168.3.1。
各网络设备的配置
(1)主交换机:
配置VTP
vtp server
vtp domain switch
配置VLAN
VLAN 1 name fuwu
VLAN 2 name jicai
VLAN 3 name shichang
端口模式(指定端口所属的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交换机互连口(交换机与交换机、交换机与路由器)配置trunk
trunk on
(2)市场部交换机
配置VTP
vtp client
vtp domain switch
端口模式(指定端口所属的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交换机互连口(交换机与交换机、交换机与路由器)配置trunk
trunk on
(3)计财部交换机
配置VTP
vtp client
vtp domain swtich
端口模式(指定端口所属的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交换机互连口(交换机与交换机、交换机与路由器)配置trunk
trunk on
(4)路由器
快速以太口0配置ISL标签
为VLAN 1 配置ISL 标签
router#config t
router#(config) int f0.1
router#(config-if) ip address 10.168.1.1 255.255.255.0
router#(config-if) encapsulation ISL 1
为VLAN 2 配置ISL 标签
router#(config) int f0.2
router#(config-if) ip address 10.168.2.1 255.255.255.0
router#(config-if) encapsulation ISL 2
为VLAN 3 配置ISL 标签
www.3lian.com
router#(config) int f0.3
router#(config-if) ip address 10.168.3.1 255.255.255.0
router#(config-if) encapsulation ISL 3
路由(静态):
ip route 10.168.1.0 255.255.255.0 FastEthernet0.1
ip route 10.168.2.0 255.255.255.0 FastEthernet0.2
ip route 10.168.3.0 255.255.255.0 FastEthernet0.3
说明,这三条静态路由可以不加,路由器可以通过cdp功能获取直通路由。
配置访问列表,在路由器全局模式下配置基本和扩展访问列表
router(config) access-list 101 permit ip host 10.168.1.2 any
router(config) access-list 101 permit ip host 10.168.1.3 any
router(config) access-list 101 permit ip host 10.168.1.4 any
router(config) access-list 102 permit ip host 10.168.2.2 10.168.1.0 0.255.255.255
router(config) access-list 102 permit ip host 10.168.2.3 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.2 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.3 10.168.1.0 0.255.255.255
把访问列表指定到一个端口上
router(config)int f0.1
router(config-if)ip access-group 101 in
router(config)int f0.2
router(config-if)ip access-group 102 in
router(config)int f0.3
router(config-if)ip access-group 103 in
以上方案是基于Cisco Catalyst 1900的,如果交换机是Cisco Catalyst 2900,VLAN的配置命令略有不同。