第7章网络安全隔离-2.pptVIP

第7章 网络安全隔离 本章学习目标 理解网络安全隔离的意义 掌握划分子网的方法 掌握通过创建VLAN实现网络安全隔离的方法 了解物理隔离产品及应用 第7章 网络安全隔离 随着网络技术的发展，可以根据有特殊要求的部门和用户进行隔离保护，当然这里的隔离保护只是阻止未经允许的用户访问敏感部门和关键用户网络，而这些敏感部门和关键用户，可以通过相应配置与其他未被隔离的网络进行正常的数据交换，现在有如下三种解决方案。 （1）通过子网掩码划分子网对网络进行隔离。 （2）通过划分VLAN网段对网络进行隔离。 （3）通过构建网络隔离系统对网络进行隔离。 7.1 利用子网掩码划分子网的应用 7.1.1 Packet Tracer模拟器简介 7.1 利用子网掩码划分子网的应用 7.1.2 项目背景及方案设计 1．项目背景 某公司申请到198.16.1.0/24网段，设置了生产车间、销售处、财务处等三个部门，各部门分处不同的地理位置。该公司需要建立内部网络，要求如下。 （1）最大的部门可以容纳30台计算机。 （2）各部门内部计算机终端之间能够直接通信。 （3）各部门之间数据信息具有一定的独立性。 （4）财务处的数据必须受到严格保护，非授权人员不能访问。 （5）公司内所有计算机都能够访问互联网。 （6）网络设备要高速、稳定运行。 7.1 利用子网掩码划分子网的应用 2．方案设计 根据公司要求，设计方案如下。 （1）通过子网掩码划分子网，使三个部门分别属于不同的子网，便于管理。 （2）各部门分别配置一台交换机，用于连接该部门所有终端设备。 （3）各部门之间通过路由器连接，实现互相通信，并通过该路由器连接到Internet。 （4）方案的网络拓扑图如图7-4所示。 （5）路由器Router2端口规划如表7-1所示。 7.1 利用子网掩码划分子网的应用 7.1 利用子网掩码划分子网的应用 7.1 利用子网掩码划分子网的应用 7.1.3 实施步骤 1．确定子网掩码 2．确定并分配子网及IP地址范围 3．搭建如图7-4所示网络环境，配置Router2路由器 4．配置各PC机 5．测试子网之间的连通性 7.2 VLAN子网的划分 7.2.1 VLAN简介 VLAN（Virtual Local Area Network，虚拟局域网）是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 7.2 VLAN子网的划分 7.2.2 VLAN的划分 1．根据端口来划分VLAN 2．根据MAC（Media Access Control，介质访问控制）地址划分VLAN 3．根据网络层划分VLAN 4．根据IP组播划分VLAN 7.2 VLAN子网的划分 7.2.3 VLAN的主要用途 1．控制广播风暴 一个VLAN就是一个逻辑广播域 。 2．提高网络的安全性 不同VLAN间不可以直接通信，要实现通信必须通过具有网络层交换功能的路由器或第三层交换机。 3．网络管理简单、直观 一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。 7.3 单一交换机VLAN的配置 在一台交换机上进行VLAN的划分及配置，是通过划分VLAN网段对网络进行隔离的最简单、最基本的形式。搭建如图所示网络环境 。 7.3 单一交换机VLAN的配置 详细步骤如下。 1．给交换机命名并设置登录密码 2．显示VLAN配置信息 3．创建VLAN 4．划分VLAN端口 5．保存配置 6．测试 7．删除VLAN 7.4 跨交换机VLAN的配置 在多台交换机上进行VLAN的划分及配置，是通过划分VLAN网段对网络进行隔离的最常用、较复杂的形式。 7.4.1 VTP简介 VTP（VLAN Trunking Protocol，VLAN链路聚集协议）是一个在建立了汇聚链路的交换机之间同步和传递VLAN配置信息的协议，以在同一个VTP域中维持VLAN配置的一致性。在创建VLAN之前，应先定义VTP管理域。 7.4 跨交换机VLAN的配置 1．VTP工作模式 VTP有server（服务器） client（客户端） transparent（透明） 2．创建VTP管理域 （1）创建VTP管理域 （2）设置VTP模式 （3）执行exit命令退出VLAN数据库配置模式 （4）查看VTP信息 7.4 跨交换机VLAN的配置 7.4.2 项目背景及方案设计 1．项目背景 某公司有计算机约50台，设置了信息处、销售处、财务处等三个部门，各部门的地理位置如图7-12所示 。该公司需要