隨著信息的發(fā)展，對(duì)辦公網(wǎng)的要求也在變化。我公司的辦公網(wǎng)要滿足三方面的要求，1、建立公司內(nèi)部的Web服務(wù)器、E-mail服務(wù)器、辦公自動(dòng)化服務(wù)器，實(shí)現(xiàn)無(wú)紙化辦公;2、資料、信息和服務(wù)的共享;3、信息交流和郵件服務(wù)。

　　這樣的辦公網(wǎng)絡(luò)實(shí)現(xiàn)了很大的便捷性，然而我們不得不考慮它的安全性。為了保證網(wǎng)絡(luò)上的信息安全，我們不得不在網(wǎng)絡(luò)的易用性與安全性之間尋找一個(gè)平衡點(diǎn)，在足夠安全的情況下，實(shí)現(xiàn)最大的易用性。

　　辦公網(wǎng)要實(shí)現(xiàn)的安全目標(biāo)

　　針對(duì)辦公網(wǎng)絡(luò)既要滿足新辦公的需要又要保證信息技術(shù)安全的情況，辦公網(wǎng)絡(luò)主要實(shí)現(xiàn)三個(gè)安全目標(biāo)：1、實(shí)現(xiàn)所有辦公終端都能訪問(wèn)Web服務(wù)器，E- mail服務(wù)器，辦公自動(dòng)化服務(wù)器;2、實(shí)現(xiàn)各部門辦公終端之間資料及打印服務(wù)的共享;3、部門之間互訪受到控制，使部分有需要的電腦能夠互通，其余的不能互通。

　　辦公組網(wǎng)方案設(shè)計(jì)

　　我準(zhǔn)備采用VLAN和ACL技術(shù)組建辦公網(wǎng)。虛擬局域網(wǎng)(VLAN)將網(wǎng)絡(luò)從邏輯上劃分為一個(gè)個(gè)功能相對(duì)獨(dú)立的工作組，如果再加上虛擬局域網(wǎng)之間的訪問(wèn)控制(ACL)和路由指向可以使一個(gè)個(gè)功能相對(duì)獨(dú)立的工作組變成可以受限互訪的不同安全區(qū)。以市場(chǎng)部和計(jì)財(cái)部?jī)蓚�(gè)部門為例，方案拓?fù)鋱D如下(如圖 1)。

　　1)在交換機(jī)上劃分三個(gè)VALN，將Web服務(wù)器、E-mail服務(wù)器和辦公自動(dòng)化服務(wù)器劃為VLAN1，名稱為fuwu;計(jì)劃財(cái)務(wù)部為VLAN2，名稱為jicai;市場(chǎng)部為VLAN3，名稱為shichang。

　　2)路由器上用訪問(wèn)控制列表和路由指向，控制網(wǎng)絡(luò)數(shù)據(jù)的流向?qū)崿F(xiàn)辦公網(wǎng)的安全目標(biāo)，從而使VLAN2和VALN3成為兩個(gè)安全區(qū)。

　　方案的總體規(guī)劃

　　現(xiàn)在以Cisco Catalyst 1900交換機(jī)、Cisco 2600路由器為例，寫出方案的詳細(xì)配置。

　　VLAN的規(guī)劃

　　(1)VLAN的工作模式：

　　我們采用靜態(tài)模式，針對(duì)交換機(jī)端口指定VLAN。

　　(2)ISL標(biāo)簽：

　　ISL(Inter-Switch Link)是一個(gè)在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個(gè)VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，通過(guò)在交換機(jī)直接相連的端口配置ISL封裝，即可跨越交換機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的VLAN分配和配置。我們?cè)诳焖僖蕴��?配置ISL標(biāo)簽。

　　(3)VTP(VLAN Trunking Protocol)：它是一個(gè)在交換機(jī)之間同步及傳遞VLAN配置信息的協(xié)議。一個(gè) VTP Server上的配置將會(huì)傳遞給網(wǎng)絡(luò)中的所有交換機(jī)，VTP通過(guò)減少手工配置而支持較大規(guī)模的網(wǎng)絡(luò)。VTP有Server、client、 transparent三種模式。我們的VTP設(shè)置：VTP的域名為switch，主交換機(jī)為Server模式，其他兩個(gè)交換機(jī)為client模式。

　　ACL的規(guī)劃

　　訪問(wèn)控制列表(ACL)主要功能是限制通過(guò)路由器端口的報(bào)文。有基本訪問(wèn)控制列表和擴(kuò)展控制列表兩種。

　　我們采用擴(kuò)展訪問(wèn)列表，VLAN1應(yīng)用擴(kuò)展訪問(wèn)列表的表號(hào)為101，VLAN2應(yīng)用擴(kuò)展訪問(wèn)列表的表號(hào)為102，VLAN3應(yīng)用擴(kuò)展訪問(wèn)列表的表號(hào)為103。

　　具體配置

　　電腦的配置

　　Web服務(wù)器的IP地址 10.168.1.2，網(wǎng)關(guān)(VLAN1對(duì)應(yīng)的路由器端口)IP地址10.168.1.1 。

　　E-mail服務(wù)器的IP地址10.168.1.3，網(wǎng)關(guān)(VLAN1對(duì)應(yīng)的路由器端口)IP地址10.168.1.1 。

　　辦公自動(dòng)化服務(wù)器的IP地址10.168.1.4，網(wǎng)關(guān)(VLAN1對(duì)應(yīng)的路由器端口)IP地址10.168.1.1 。

　　計(jì)財(cái)部辦公電腦1的IP地址10.168.2.2，網(wǎng)關(guān)(VLAN2對(duì)應(yīng)的路由器端口)IP地址10.168.2.1。

　　計(jì)財(cái)部辦公電腦2的IP地址10.168.2.3，網(wǎng)關(guān)(VLAN2對(duì)應(yīng)的路由器端口)IP地址10.168.2.1。

　　市場(chǎng)部辦公電腦1的IP地址10.168.3.2，網(wǎng)關(guān)(VLAN3對(duì)應(yīng)的路由器端口)IP地址10.168.3.1。

　　市場(chǎng)部辦公電腦2的IP地址10.168.3.3，網(wǎng)關(guān)(VLAN3對(duì)應(yīng)的路由器端口)IP地址10.168.3.1。

　　各網(wǎng)絡(luò)設(shè)備的配置

　　(1)主交換機(jī)：

　　配置VTP

　　vtp server

　　vtp domain switch

　　配置VLAN

　　VLAN 1 name fuwu

　　VLAN 2 name jicai

　　VLAN 3 name shichang

　　端口模式(指定端口所屬的VLAN)

　　VLAN 1 的端口

　　VLAN-membership static 1

　　VLAN 2 的端口

　　VLAN-membership static 2

　　VLAN 3 的端口

　　VLAN-membership static 3

　　在交換機(jī)互連口(交換機(jī)與交換機(jī)、交換機(jī)與路由器)配置trunk

　　trunk on

　　(2)市場(chǎng)部交換機(jī)

　　配置VTP

　　vtp client

　　vtp domain switch

　　端口模式(指定端口所屬的VLAN)

　　VLAN 1 的端口

　　VLAN-membership static 1

　　VLAN 2 的端口

　　VLAN-membership static 2

　　VLAN 3 的端口

　　VLAN-membership static 3

　　在交換機(jī)互連口(交換機(jī)與交換機(jī)、交換機(jī)與路由器)配置trunk

　　trunk on

　　(3)計(jì)財(cái)部交換機(jī)

　　配置VTP

　　vtp client

　　vtp domain swtich

　　端口模式(指定端口所屬的VLAN)

　　VLAN 1 的端口

　　VLAN-membership static 1

　　VLAN 2 的端口

　　VLAN-membership static 2

　　VLAN 3 的端口

　　VLAN-membership static 3

　　在交換機(jī)互連口(交換機(jī)與交換機(jī)、交換機(jī)與路由器)配置trunk

　　trunk on

　　(4)路由器

　　快速以太口0配置ISL標(biāo)簽

　　為VLAN 1 配置ISL 標(biāo)簽

　　router#config t

　　router#(config) int f0.1

　　router#(config-if) ip address 10.168.1.1 255.255.255.0

　　router#(config-if) encapsulation ISL 1

　　為VLAN 2 配置ISL 標(biāo)簽

　　router#(config) int f0.2

　　router#(config-if) ip address 10.168.2.1 255.255.255.0

　　router#(config-if) encapsulation ISL 2

　　為VLAN 3 配置ISL 標(biāo)簽

　　router#(config) int f0.3

　　router#(config-if) ip address 10.168.3.1 255.255.255.0

　　router#(config-if) encapsulation ISL 3

　　路由(靜態(tài))：

　　ip route 10.168.1.0 255.255.255.0 FastEthernet0.1

　　ip route 10.168.2.0 255.255.255.0 FastEthernet0.2

　　ip route 10.168.3.0 255.255.255.0 FastEthernet0.3

　　說(shuō)明，這三條靜態(tài)路由可以不加，路由器可以通過(guò)cdp功能獲取直通路由。

　　配置訪問(wèn)列表，在路由器全局模式下配置基本和擴(kuò)展訪問(wèn)列表

　　router(config) access-list 101 permit ip host 10.168.1.2 any

　　router(config) access-list 101 permit ip host 10.168.1.3 any

　　router(config) access-list 101 permit ip host 10.168.1.4 any

　　router(config) access-list 102 permit ip host 10.168.2.2 10.168.1.0 0.255.255.255

　　router(config) access-list 102 permit ip host 10.168.2.3 10.168.1.0 0.255.255.255

　　router(config) access-list 103 permit ip host 10.168.3.2 10.168.1.0 0.255.255.255

　　router(config) access-list 103 permit ip host 10.168.3.3 10.168.1.0 0.255.255.255

　　把訪問(wèn)列表指定到一個(gè)端口上

　　router(config)int f0.1

　　router(config-if)ip access-group 101 in

　　router(config)int f0.2

　　router(config-if)ip access-group 102 in

　　router(config)int f0.3

　　router(config-if)ip access-group 103 in

　　以上方案是基于Cisco Catalyst 1900的，如果交換機(jī)是Cisco Catalyst 2900，VLAN的配置命令略有不同。