VLAN及ACL在企业网中的应用.docVIP

VLAN及ACL在企业网中的应用 如今，大多数企业都建立了自己的局域网，如何给企业员工提供一个畅通的网络环境，同时保障单位的敏感资源不被访问，是企事业单位不得不考虑的问题。 如果单位的局域网划分了虚拟子网，最好的方式是为公司单独分配一个VLAN(虚拟局域网)，在该VLAN上运用访问控制列表，限制对其他VLAN资源的访问。 本文以Cisco Catalyst系列交换机组建的网络为例，讲述如何建立VLAN和实施访问控制。假设单位局域网采用二层架构，核心交换机为Cisco Catalyst 4006，支持VLAN路由功能；接入层为Cisco Catalyst 2950系列交换机，支持VLAN的划分；局域网通过专线接入互联网。交换机采用基于端口的方式划分VLAN，交换机之间的连接链路为TRUNK模式，VLAN之间通过Cisco 4006路由，网络拓扑如下图。 VLAN的建立 VLAN的规划 假设单位原来有VLAN1、VLAN2、VLAN3、VLAN4和VLAN10共五个VLAN，建立VLAN20，供公司接入。各子网IP地址规划如表1所示。 表1 VLAN ID用途Ip网段网关备注 VLAN1管理设备/2450已存在 VLAN2服务器/2450已存在 VLAN3计财部/2450已存在 VLAN4营销部/2450已存在 VLAN10互联网连接/2450已存在 VLAN20公司/2450新添加 VLAN20的创建 在一台交换机上创建VLAN20，其他交换机如何知道局域网增加了VLAN20?各交换机如何保持VLAN信息的一致性呢?VTP(VLAN中继协议)可以实现。这些交换机被组织在一个VTP管理域中，有且只有一台交换机处于Server模式，它可以创建、删除和修改VLAN配置信息，通过交换机之间的Trunk(中继)链路定期向其他交换机通告VLAN信息。同一个VTP域中其余交换机一般设置为Client模式，接收和转发Server的通告信息。通常，我们将核心交换机设置为Server模式，本例Cisco 4006为SERVER模式，通过下面的命令创建VLAN20，其他的Cisco 2950交换机可以学习到VLAN20。 Cisco4006#vlan database Cisco4006#vlan 20 name gongsiVLAN20接口的创建 Cisco 4006是三层交换机，集成了路由功能，可以实现数据包的一次路由多次转发。在Cisco 4006上创建VLAN20接口，接口地址为50/24，公司通过该接口访问其他VLAN的数据。 Cisco4006#interface vlan 20 Cisco4006#ip address 50 Cisco4006#no shutdownVLAN20端口的分配 首先为Cisco2950-C配置下列参数： 交换机主机名； ENABLE密码和TELNET密码； 交换机管理IP地址和缺省网关； 上级交换机的下联端口和该交换机的上联端口设为TRUNK模式； VTP参数(注意VTP域名、密码和其他交换机一样)。 随后在Cisco2950-C上为公司分配VLAN20接口： Cisco2950#interface fa0/4 Cisco2950#switchport mode access Cisco2950#switchport access vlan 20至此，只要将公司的笔记本接入Cisco2950-C交换机的端口4，分配/24网段的IP地址，指定网关为50，公司人员就可以浏览单位内部网页，共享其他工作站的文件了。如果要求上互联网，只需要在防火墙上添加其IP地址或者为其建立账户即可。 访问控制的实施 访问控制的实现 首先在路由器全局配置模式下定义ACL表，然后应用到网络接口，通过该接口的数据包和ACL表自上而下开始匹配，决定通过还是拒绝。当执行到ACL的最后，还没有与其相匹配的语句，数据包将被隐含的拒绝语句所拒绝。 下面假设允许VLAN20的机器访问互联网，允许通过VLAN2中的域名服务器进行域名解析，允许访问VLAN4的工作站W2()，不允许访问单位其他的服务器和工作站，可以这样实施访问控制： 在记事本中编辑ACL语句 也可以直接在Cisco 4006全局配置模式下输入ACL语句，在记事本中编辑的好处是便于修改和调序。 access-list 101 permit tcp 55 host eq 53 access-list 101 permit udp 55 host eq 53 access-list 101 permit ip 55 host access-list 101 deny ip 55 55 access-list 101 deny ip 55 55 access-list