如何用第三層交換保證資料安全

　　 　　第三層交換機還是比較常用的，於是我研究了一下如何用第三層交換保證資料安全，在這裡拿出來和大家分享一下，希望對大家有用。江西三九宜工股份有限公司主幹網拓撲結構為多級星型千兆乙太網。

在科技樓的中心機房放置一臺有多個千兆口和百兆口的高效能交換機Cisco Catalyst 4006，作為骨幹網核心交換機。公司主伺服器和高效能工作站使用中心交換機的千兆交換埠，效能較低和業務量相對較少的工作站連線到第三層交換機的百兆口；在中心交換機的的背板插槽中安裝光纖模組，透過光纖連線生產分廠的Catalyst 3512交換機，使各分廠中的工作站也可獲得百兆頻寬。

公司計算機網路配置為：伺服器端是Windows NT Server ，客戶端為Windows NT Workstation或Windows95/98；應用系統包括兩個部分，第一部分是CAD/CAM/CAPP/PDM系統，另一個是企業資源計劃管理（ERP）系統。中心機房有一臺HP 6000作為Windows NT 主域控制器，同時也是ERP伺服器，HP LH3作為一臺獨立CAD Server，另外還有一臺郵件伺服器，一臺網管伺服器，一臺用作出圖的PC 機，所有的產品圖紙集中在計算機中心出圖。

安全要求

1. 為了防止CAD設計的產品圖紙透過管理部門的計算機外洩，必須將兩個應用系統劃分到不同的網段分隔開來；

2. 整個系統只設一個主域控制器，中心機房的所有計算機屬於CAD 網段，但又要求使用ERP伺服器中的資源；

3. 公司級的主要領導屬於ERP管理網段，但同時又要求管理和使用CAD網段中的資源。

用VLAN解決

乙太網是基於CSMA/CD機制的網路，不可避免地會產生包的廣播和衝突，由於資料廣播會佔用頻寬，也影響安全，尤其在基於Windows的網路中，所以有必要減少網路中的廣播，需要使用VLAN。VLAN能將一個廣播域劃分為多個廣播域，它的劃分有三種方式，基於埠、基於MAC地址和基於網路協議。Cisco的解決方案是建議一個VLAN對應一個IP網段（TCP/IP網路），宜工目前採用的就是這種方式，並採用Trunk技術維持 VLAN配置的一致性。Trunk是在交換機間或與路由間的點對點鏈路可同時傳輸多個VLAN資料，幫助把實現VLAN從一臺交換機到另一臺交換機的擴充套件。
3lian素材 www.3lian.com
在網路七層協議裡，Hub是第一層裝置，所連線的裝置在同一衝突域和廣播域內；交換機和網橋是第二層裝置，所連線的裝置在同一廣播域內，每個埠是一個衝突域，所以交換機可以幫助減少衝突，並可實現雙工通訊，但不能減少廣播流量；路由器是第三層交換機裝置，連線的裝置在不同的廣播域和衝突域內，可以透過路由功能控制廣播和衝突。

三層交換簡化設定

劃分了VLAN後，不同VLAN間就不能通訊了，所以需要路由器來連線不同的VLAN，但有了第三層交換機後就不必再那麼麻煩。 Catalyst 4006是Cisco公司推出的一款較先進的企業主幹網交換機，擁有第三層交換機能力，既解決了VLAN通訊問題，又消除了路由器頻寬低的痼疾。4006 的三層交換功能在4232-L3模組上實現，與5000系列和6000系列不同，4000系列交換機的三層交換是採用內部的兩個虛擬千兆連線完成的。

中心交換機上共設計了兩個VLAN，分別為CAD和普通使用者使用，網段為192.168.66.0和192.168.67.0。交換機為兩個 VLAN提供了第三層交換機功能，同時利用靜態路由列表將某些特殊地址加入，實施一定的安全策略。

在實際網路中，管理模組上的兩個和4306-GB模組上的五個透過光纖連線二級交換機，提供主幹千兆。從4006角度看6/1和6/2是兩條實現路由功能的介面（我們的三層模組插在交換機第六個槽），而對於三層交換模組來說，這兩個埠是連線4006的介面。透過第三層交換機功能，實現了企業網路分段，從而提高了網路中資料的安全性