如何用第三层交换保证数据安全

第三层交换机还是比较常用的,于是我研究了一下如何用第三层交换保证数据安全,在这里拿出来和大家分享一下,希望对大家有用。江西三九宜工股份有限公司主干网拓扑结构为多级星型千兆以太网。

在科技楼的中心机房放置一台有多个千兆口和百兆口的高性能交换机Cisco Catalyst 4006,作为骨干网核心交换机。公司主服务器和高性能工作站使用中心交换机的千兆交换端口,性能较低和业务量相对较少的工作站连接到第三层交换机的百兆口;在中心交换机的的背板插槽中安装光纤模块,通过光纤连接生产分厂的Catalyst 3512交换机,使各分厂中的工作站也可获得百兆带宽。

公司计算机网络配置为:服务器端是Windows NT Server ,客户端为Windows NT Workstation或Windows95/98;应用系统包括两个部分,第一部分是CAD/CAM/CAPP/PDM系统,另一个是企业资源计划管理(ERP)系统。中心机房有一台HP 6000作为Windows NT 主域控制器,同时也是ERP服务器,HP LH3作为一台独立CAD Server,另外还有一台邮件服务器,一台网管服务器,一台用作出图的PC 机,所有的产品图纸集中在计算机中心出图。

安全要求

1. 为了防止CAD设计的产品图纸通过管理部门的计算机外泄,必须将两个应用系统划分到不同的网段分隔开来;

2. 整个系统只设一个主域控制器,中心机房的所有计算机属于CAD 网段,但又要求使用ERP服务器中的资源;

3. 公司级的主要领导属于ERP管理网段,但同时又要求管理和使用CAD网段中的资源。

用VLAN解决

以太网是基于CSMA/CD机制的网络,不可避免地会产生包的广播和冲突,由于数据广播会占用带宽,也影响安全,尤其在基于Windows的网络中,所以有必要减少网络中的广播,需要使用VLAN。VLAN能将一个广播域划分为多个广播域,它的划分有三种方式,基于端口、基于MAC地址和基于网络协议。Cisco的解决方案是建议一个VLAN对应一个IP网段(TCP/IP网络),宜工目前采用的就是这种方式,并采用Trunk技术维持 VLAN配置的一致性。Trunk是在交换机间或与路由间的点对点链路可同时传输多个VLAN数据,帮助把实现VLAN从一台交换机到另一台交换机的扩展。
3lian素材 www.
在网络七层协议里,Hub是第一层设备,所连接的设备在同一冲突域和广播域内;交换机和网桥是第二层设备,所连接的设备在同一广播域内,每个端口是一个冲突域,所以交换机可以帮助减少冲突,并可实现双工通信,但不能减少广播流量;路由器是第三层交换机设备,连接的设备在不同的广播域和冲突域内,可以通过路由功能控制广播和冲突。

三层交换简化设置

划分了VLAN后,不同VLAN间就不能通讯了,所以需要路由器来连接不同的VLAN,但有了第三层交换机后就不必再那么麻烦。 Catalyst 4006是Cisco公司推出的一款较先进的企业主干网交换机,拥有第三层交换机能力,既解决了VLAN通讯问题,又消除了路由器带宽低的痼疾。4006 的三层交换功能在4232-L3模块上实现,与5000系列和6000系列不同,4000系列交换机的三层交换是采用内部的两个虚拟千兆连接完成的。

中心交换机上共设计了两个VLAN,分别为CAD和普通用户使用,网段为192.168.66.0和192.168.67.0。交换机为两个 VLAN提供了第三层交换机功能,同时利用静态路由列表将某些特殊地址加入,实施一定的安全策略。

在实际网络中,管理模块上的两个和4306-GB模块上的五个通过光纤连接二级交换机,提供主干千兆。从4006角度看6/1和6/2是两条实现路由功能的接口(我们的三层模块插在交换机第六个槽),而对于三层交换模块来说,这两个端口是连接4006的接口。通过第三层交换机功能,实现了企业网络分段,从而提高了网络中数据的安全性

(0)

相关推荐

  • 个人云安全如何保证数据安全?

    云服务给人们生活、工作带来极大的方便,但是也带来了信息安全问题。icloud是云服务的典型代表,提供照片、视频同步,用户可以在多个平台之间共享同步数据。比如,外出旅游时手机拍照,可以用家里的打印机输出 ...

  • 如何对包含重要数据的excel文件加密以保证安全

    对excel进行加密,为excel文件添加一个开门钥匙,保证数据安全. 操作方法 01 excel2003,打开Excel文件,选择"工具→选项". 02 切换到 安全性 选项卡, ...

  • 电脑如何保护数据安全(电脑如何保护我们的信息安全)

    现在我们都习惯把数据存在电脑里,而且通常会把固态硬盘用来装系统和一些常用的应用程序,重要文件则存放在容量稍大的机械硬盘里.这个做法无疑是正确的,因为机械硬盘通常可以做数据恢复,固态硬盘一旦损坏或丢失数 ...

  • Windows 2000 操作技巧菜鸟篇

    到目前为止,Win2000的发布已经有一段时间了,尽管由于其较差的兼容性、较高要求的硬件环境而使不少普通的用户望而却步,但是Win2000操作系统以其强大的网络管理功能和高度的稳定性以及良好的用户界面 ...

  • 请教dns!有关于密码的问题!

    小弟一直以来都在寻找关于DNS配置,无奈很多资料都是过时的,特别关于KEY和RNDC的部分。这次用的文档是本站一篇:“BIND9的配置”。只做到这一部分就出错了: 在bind9.1.1中,碰到的主要问 ...

  • 笔记本综合保养大全

    笔记本电脑作为一种便携的移动式计算设备,其实各大厂商在其坚固性、耐用性等方面己经做了很多的工作了,但是再坚固的笔记本电脑,也会由于用户在使用过程中的疏忽而出现故障。那么怎样才能使用户尽量避免日常使用中 ...

  • 使用鲁大师检测硬盘好坏图文教程

    硬盘是电脑硬件中,最容损坏的硬件之一,但是硬盘数据又是一台电脑中最为重要的东西。有时候,我们为了保证数据安全,除了经常备份重要数据,还需要经常检测一下硬盘好坏。怎么检测硬盘好坏呢? 目前绝大多数硬盘检 ...

  • 硬盘分几个区最好?硬盘分区和库的关系

    我经常听到旁边的朋友说,我的电脑整理的多好多好,系统多么有条理,到后来不止朋友,稍懂些电脑的都会这样说,年复一年,周而复始。很多人分区前最常想的就是C盘分多大,研究研究分多少个G这样不会让C盘不会变满 ...

  • 教你打开丢失密码的笔记本

    对于笔记本电脑,最好不要轻易的设置密码,因为笔记本电脑的开机密码并不是象PC机那样存放在CMOS电路中可以通过放电清除的,目前较新的笔记本都是将密码保存在主板的几块逻辑电路中,我们个人是无法破解的(此 ...