如何组建安全的办公网络
kuaidi.ping-jia.net 作者:佚名 更新日期:2024-06-27
随着信息技术的发展,对办公网的要求也在变化。我公司的办公网要满足三方面的要求,1、建立公司内部的Web服务器、E-mail服务器、办公自动化服务器,实现无纸化办公;2、资料、信息和服务的共享;3、信息交流和邮件服务。
这样的办公网络实现了很大的便捷性,然而我们不得不考虑它的安全性。为了保证网络上的信息安全,我们不得不在网络的易用性与安全性之间寻找一个平衡点,在足够安全的情况下,实现最大的易用性。
办公网要实现的安全目标
针对办公网络既要满足新办公的需要又要保证信息技术安全的情况,办公网络主要实现三个安全目标:1、实现所有办公终端都能访问Web服务器,E- mail服务器,办公自动化服务器;2、实现各部门办公终端之间资料及打印服务的共享;3、部门之间互访受到控制,使部分有需要的电脑能够互通,其余的不能互通。
办公组网方案设计
我准备采用VLAN和ACL技术组建办公网。虚拟局域网(VLAN)将网络从逻辑上划分为一个个功能相对独立的工作组,如果再加上虚拟局域网之间的访问控制(ACL)和路由指向可以使一个个功能相对独立的工作组变成可以受限互访的不同安全区。以市场部和计财部两个部门为例,方案拓扑图如下(如图 1)。
1)在交换机上划分三个VALN,将Web服务器、E-mail服务器和办公自动化服务器划为VLAN1,名称为fuwu;计划财务部为VLAN2,名称为jicai;市场部为VLAN3,名称为shichang。
2)路由器上用访问控制列表和路由指向,控制网络数据的流向实现办公网的安全目标,从而使VLAN2和VALN3成为两个安全区。
方案的总体规划
现在以Cisco Catalyst 1900交换机、Cisco 2600路由器为例,写出方案的详细配置。
VLAN的规划
(1)VLAN的工作模式:
我们采用静态模式,针对交换机端口指定VLAN。
(2)ISL标签:
ISL(Inter-Switch Link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和配置。我们在快速以太口0配置ISL标签。
(3)VTP(VLAN Trunking Protocol):它是一个在交换机之间同步及传递VLAN配置信息的协议。一个 VTP Server上的配置将会传递给网络中的所有交换机,VTP通过减少手工配置而支持较大规模的网络。VTP有Server、client、 transparent三种模式。我们的VTP设置:VTP的域名为switch,主交换机为Server模式,其他两个交换机为client模式。
ACL的规划
访问控制列表(ACL)主要功能是限制通过路由器端口的报文。有基本访问控制列表和扩展控制列表两种。
我们采用扩展访问列表,VLAN1应用扩展访问列表的表号为101,VLAN2应用扩展访问列表的表号为102,VLAN3应用扩展访问列表的表号为103。
具体配置
电脑的配置
Web服务器的IP地址 10.168.1.2,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。
E-mail服务器的IP地址10.168.1.3,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。
办公自动化服务器的IP地址10.168.1.4,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。
计财部办公电脑1的IP地址10.168.2.2,网关(VLAN2对应的路由器端口)IP地址10.168.2.1。
计财部办公电脑2的IP地址10.168.2.3,网关(VLAN2对应的路由器端口)IP地址10.168.2.1。
市场部办公电脑1的IP地址10.168.3.2,网关(VLAN3对应的路由器端口)IP地址10.168.3.1。
市场部办公电脑2的IP地址10.168.3.3,网关(VLAN3对应的路由器端口)IP地址10.168.3.1。
各网络设备的配置
(1)主交换机:
配置VTP
vtp server
vtp domain switch
配置VLAN
VLAN 1 name fuwu
VLAN 2 name jicai
VLAN 3 name shichang
端口模式(指定端口所属的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交换机互连口(交换机与交换机、交换机与路由器)配置trunk
trunk on
(2)市场部交换机
配置VTP
vtp client
vtp domain switch
端口模式(指定端口所属的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交换机互连口(交换机与交换机、交换机与路由器)配置trunk
trunk on
(3)计财部交换机
配置VTP
vtp client
vtp domain swtich
端口模式(指定端口所属的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交换机互连口(交换机与交换机、交换机与路由器)配置trunk
trunk on
(4)路由器
快速以太口0配置ISL标签
为VLAN 1 配置ISL 标签
router#config t
router#(config) int f0.1
router#(config-if) ip address 10.168.1.1 255.255.255.0
router#(config-if) encapsulation ISL 1
为VLAN 2 配置ISL 标签
router#(config) int f0.2
router#(config-if) ip address 10.168.2.1 255.255.255.0
router#(config-if) encapsulation ISL 2
为VLAN 3 配置ISL 标签
www.3lian.com
router#(config) int f0.3
router#(config-if) ip address 10.168.3.1 255.255.255.0
router#(config-if) encapsulation ISL 3
路由(静态):
ip route 10.168.1.0 255.255.255.0 FastEthernet0.1
ip route 10.168.2.0 255.255.255.0 FastEthernet0.2
ip route 10.168.3.0 255.255.255.0 FastEthernet0.3
说明,这三条静态路由可以不加,路由器可以通过cdp功能获取直通路由。
配置访问列表,在路由器全局模式下配置基本和扩展访问列表
router(config) access-list 101 permit ip host 10.168.1.2 any
router(config) access-list 101 permit ip host 10.168.1.3 any
router(config) access-list 101 permit ip host 10.168.1.4 any
router(config) access-list 102 permit ip host 10.168.2.2 10.168.1.0 0.255.255.255
router(config) access-list 102 permit ip host 10.168.2.3 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.2 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.3 10.168.1.0 0.255.255.255
把访问列表指定到一个端口上
router(config)int f0.1
router(config-if)ip access-group 101 in
router(config)int f0.2
router(config-if)ip access-group 102 in
router(config)int f0.3
router(config-if)ip access-group 103 in
以上方案是基于Cisco Catalyst 1900的,如果交换机是Cisco Catalyst 2900,VLAN的配置命令略有不同。
如何组建安全的办公网络
答:随着信息技术的发展,对办公网的要求也在变化。我公司的办公网要满足三方面的要求,1、建立公司内部的Web服务器、E-mail服务器、办公自动化服务器,实现无纸化办公;2、资料、信息和服务的共享;3、信息交流和邮件服务。这样的办公网络实现了很大的便捷性,然而我们不得不考虑它的安全性。为了保证网络上...
公司将近20台电脑,想组建一个局域网,具体该怎么操作呢?
答:如果组建一个无线局域网,虽然省去了布线的麻烦,但考虑到办公环境中大部分还是用的台式机,如果每台计算机配一个无线网卡,少说也要好几千,成本太高,不符合小型办公网络的标准。所以,我们还是选择有线网络。但有线网络也有两种方案适合组建一个30台计算机的网络,一种是采用带路由功能的ADSL Modem加上一个超过30口的...
小型办公室组建一个局域网,都需要做哪些工作?
答:当这些准备工作完成之后,我们只需要将网络线布置好,将设备连接起来就完成了一个网络的组建。在这里,我们建议组网的时候专门使用一台计算机连接到路由器上的一个快速以太网LAN口上,将这台计算机作为管理服务器。 下图是30节点网络拓扑结构图,我们参照下图就可以组建一个30节点的办公网络。 当然,这仅仅是从硬件上来看,...
局域网设置小教程:轻松实现文件打印共享
答:本文将为大家介绍如何轻松设置局域网,实现文件和打印机的共享。建立局域网首先,需要建立局域网,让电脑们都和路由器或主机相连。这样才能实现文件和打印机的共享。设置防火墙第二步,需要给连接打印机的电脑设置中等防火墙,保证安全性和实用性。设置家庭或小型办公网络接下来,进入“网上邻居”,选择“设置家庭...
怎样组建小型公司局域网
答:2、利用网线将集线器或路由器的LAN口与电脑网卡接口连接起来。尤其对于路由器,为了组建局域网,确定所有的LAN接口与电脑网卡相连。3、确保各个电脑的网卡驱动安装正常。测试方法:打开“运行”对话框,输入命令“ping 127.0.0.1 -t",如下出现如下界面提示,表明安装正常。否则下载相应的最新驱动重新安装。
如何组建公司内部局域网
答:1、网络应用支撑平台 这里使用广域网与局域网中已经广泛采用的TCP月P协议,结合广域网互联、路由、网络管理、防火墙、虚拟专用网等技术,建立一个安全稳固的开放网络应用平台,支撑上层应用软件的运行,是整个企业管理信息综合环境的基础,也是重要的通信基础设施。2、信息资源管理平台 它以万维网技术为基础...
如何设置办公室网络安全
答:那么,如何设置办公室网络安全呢?一、设置防火墙防火墙是网络安全的第一道防线,其作用是对来自外部网络的非法访问进行拦截和阻止。因此,在企业内网和外网之间设置防火墙十分必要。二、使用VPNVPN是虚拟专用网络的缩写,它可以保证企业职员在不安全的公共网络上安全地访问企业内部网络。VPN可以通过数据加密技术...
组建一个局域网的详细步骤
答:1、首先建立局域网首先得有两台或者两台以上电脑,用网线连接要接入的电脑和路由器。2、右键点击电脑桌面最右侧网络连接,进入网络和共享中心。3、在界面内找到高级共享设置选项并单击。4、之后在界面内根据情况是家庭或公司选择共享设置。5、在界面内点击保存修改选项。6、然后选择自己要共享的文件夹或者...
公司不同地方办公室内网组网怎么组?
答:使用路由器我推荐你使用上海贝锐的蒲公英(SD-WAN组网)。功能多且安全具体优势如下:蒲公英SD-WAN为企业提供智能组网整体解决方案,全面覆盖互联网、专线、无线网络等常见接入方式,他们帮助用户快速部署并引入多线动态BGP网络出口带宽,大幅提升网络连接品质,组建虚拟局域网,打破地域限制,无需公网IP,实现...
单位的几台电脑如何设置局域网?
答:一个小型局域网就基本建成了。DNS地址是网络服务商提供的服务器地址。5最后,设置小型办公网络:打开“网上邻居”,点“设置家庭或小型办公网络”,点“下一步”,再点“下一步”,选“其他”点“下一步”,选“这台机器直接或通过网络集线器连接到INTERNET”,点“下一步”,设置你的计算机名。
这样的办公网络实现了很大的便捷性,然而我们不得不考虑它的安全性。为了保证网络上的信息安全,我们不得不在网络的易用性与安全性之间寻找一个平衡点,在足够安全的情况下,实现最大的易用性。
办公网要实现的安全目标
针对办公网络既要满足新办公的需要又要保证信息技术安全的情况,办公网络主要实现三个安全目标:1、实现所有办公终端都能访问Web服务器,E- mail服务器,办公自动化服务器;2、实现各部门办公终端之间资料及打印服务的共享;3、部门之间互访受到控制,使部分有需要的电脑能够互通,其余的不能互通。
办公组网方案设计
我准备采用VLAN和ACL技术组建办公网。虚拟局域网(VLAN)将网络从逻辑上划分为一个个功能相对独立的工作组,如果再加上虚拟局域网之间的访问控制(ACL)和路由指向可以使一个个功能相对独立的工作组变成可以受限互访的不同安全区。以市场部和计财部两个部门为例,方案拓扑图如下(如图 1)。
1)在交换机上划分三个VALN,将Web服务器、E-mail服务器和办公自动化服务器划为VLAN1,名称为fuwu;计划财务部为VLAN2,名称为jicai;市场部为VLAN3,名称为shichang。
2)路由器上用访问控制列表和路由指向,控制网络数据的流向实现办公网的安全目标,从而使VLAN2和VALN3成为两个安全区。
方案的总体规划
现在以Cisco Catalyst 1900交换机、Cisco 2600路由器为例,写出方案的详细配置。
VLAN的规划
(1)VLAN的工作模式:
我们采用静态模式,针对交换机端口指定VLAN。
(2)ISL标签:
ISL(Inter-Switch Link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和配置。我们在快速以太口0配置ISL标签。
(3)VTP(VLAN Trunking Protocol):它是一个在交换机之间同步及传递VLAN配置信息的协议。一个 VTP Server上的配置将会传递给网络中的所有交换机,VTP通过减少手工配置而支持较大规模的网络。VTP有Server、client、 transparent三种模式。我们的VTP设置:VTP的域名为switch,主交换机为Server模式,其他两个交换机为client模式。
ACL的规划
访问控制列表(ACL)主要功能是限制通过路由器端口的报文。有基本访问控制列表和扩展控制列表两种。
我们采用扩展访问列表,VLAN1应用扩展访问列表的表号为101,VLAN2应用扩展访问列表的表号为102,VLAN3应用扩展访问列表的表号为103。
具体配置
电脑的配置
Web服务器的IP地址 10.168.1.2,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。
E-mail服务器的IP地址10.168.1.3,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。
办公自动化服务器的IP地址10.168.1.4,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。
计财部办公电脑1的IP地址10.168.2.2,网关(VLAN2对应的路由器端口)IP地址10.168.2.1。
计财部办公电脑2的IP地址10.168.2.3,网关(VLAN2对应的路由器端口)IP地址10.168.2.1。
市场部办公电脑1的IP地址10.168.3.2,网关(VLAN3对应的路由器端口)IP地址10.168.3.1。
市场部办公电脑2的IP地址10.168.3.3,网关(VLAN3对应的路由器端口)IP地址10.168.3.1。
各网络设备的配置
(1)主交换机:
配置VTP
vtp server
vtp domain switch
配置VLAN
VLAN 1 name fuwu
VLAN 2 name jicai
VLAN 3 name shichang
端口模式(指定端口所属的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交换机互连口(交换机与交换机、交换机与路由器)配置trunk
trunk on
(2)市场部交换机
配置VTP
vtp client
vtp domain switch
端口模式(指定端口所属的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交换机互连口(交换机与交换机、交换机与路由器)配置trunk
trunk on
(3)计财部交换机
配置VTP
vtp client
vtp domain swtich
端口模式(指定端口所属的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交换机互连口(交换机与交换机、交换机与路由器)配置trunk
trunk on
(4)路由器
快速以太口0配置ISL标签
为VLAN 1 配置ISL 标签
router#config t
router#(config) int f0.1
router#(config-if) ip address 10.168.1.1 255.255.255.0
router#(config-if) encapsulation ISL 1
为VLAN 2 配置ISL 标签
router#(config) int f0.2
router#(config-if) ip address 10.168.2.1 255.255.255.0
router#(config-if) encapsulation ISL 2
为VLAN 3 配置ISL 标签
www.3lian.com
router#(config) int f0.3
router#(config-if) ip address 10.168.3.1 255.255.255.0
router#(config-if) encapsulation ISL 3
路由(静态):
ip route 10.168.1.0 255.255.255.0 FastEthernet0.1
ip route 10.168.2.0 255.255.255.0 FastEthernet0.2
ip route 10.168.3.0 255.255.255.0 FastEthernet0.3
说明,这三条静态路由可以不加,路由器可以通过cdp功能获取直通路由。
配置访问列表,在路由器全局模式下配置基本和扩展访问列表
router(config) access-list 101 permit ip host 10.168.1.2 any
router(config) access-list 101 permit ip host 10.168.1.3 any
router(config) access-list 101 permit ip host 10.168.1.4 any
router(config) access-list 102 permit ip host 10.168.2.2 10.168.1.0 0.255.255.255
router(config) access-list 102 permit ip host 10.168.2.3 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.2 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.3 10.168.1.0 0.255.255.255
把访问列表指定到一个端口上
router(config)int f0.1
router(config-if)ip access-group 101 in
router(config)int f0.2
router(config-if)ip access-group 102 in
router(config)int f0.3
router(config-if)ip access-group 103 in
以上方案是基于Cisco Catalyst 1900的,如果交换机是Cisco Catalyst 2900,VLAN的配置命令略有不同。
答:随着信息技术的发展,对办公网的要求也在变化。我公司的办公网要满足三方面的要求,1、建立公司内部的Web服务器、E-mail服务器、办公自动化服务器,实现无纸化办公;2、资料、信息和服务的共享;3、信息交流和邮件服务。这样的办公网络实现了很大的便捷性,然而我们不得不考虑它的安全性。为了保证网络上...
答:如果组建一个无线局域网,虽然省去了布线的麻烦,但考虑到办公环境中大部分还是用的台式机,如果每台计算机配一个无线网卡,少说也要好几千,成本太高,不符合小型办公网络的标准。所以,我们还是选择有线网络。但有线网络也有两种方案适合组建一个30台计算机的网络,一种是采用带路由功能的ADSL Modem加上一个超过30口的...
答:当这些准备工作完成之后,我们只需要将网络线布置好,将设备连接起来就完成了一个网络的组建。在这里,我们建议组网的时候专门使用一台计算机连接到路由器上的一个快速以太网LAN口上,将这台计算机作为管理服务器。 下图是30节点网络拓扑结构图,我们参照下图就可以组建一个30节点的办公网络。 当然,这仅仅是从硬件上来看,...
答:本文将为大家介绍如何轻松设置局域网,实现文件和打印机的共享。建立局域网首先,需要建立局域网,让电脑们都和路由器或主机相连。这样才能实现文件和打印机的共享。设置防火墙第二步,需要给连接打印机的电脑设置中等防火墙,保证安全性和实用性。设置家庭或小型办公网络接下来,进入“网上邻居”,选择“设置家庭...
答:2、利用网线将集线器或路由器的LAN口与电脑网卡接口连接起来。尤其对于路由器,为了组建局域网,确定所有的LAN接口与电脑网卡相连。3、确保各个电脑的网卡驱动安装正常。测试方法:打开“运行”对话框,输入命令“ping 127.0.0.1 -t",如下出现如下界面提示,表明安装正常。否则下载相应的最新驱动重新安装。
答:1、网络应用支撑平台 这里使用广域网与局域网中已经广泛采用的TCP月P协议,结合广域网互联、路由、网络管理、防火墙、虚拟专用网等技术,建立一个安全稳固的开放网络应用平台,支撑上层应用软件的运行,是整个企业管理信息综合环境的基础,也是重要的通信基础设施。2、信息资源管理平台 它以万维网技术为基础...
答:那么,如何设置办公室网络安全呢?一、设置防火墙防火墙是网络安全的第一道防线,其作用是对来自外部网络的非法访问进行拦截和阻止。因此,在企业内网和外网之间设置防火墙十分必要。二、使用VPNVPN是虚拟专用网络的缩写,它可以保证企业职员在不安全的公共网络上安全地访问企业内部网络。VPN可以通过数据加密技术...
答:1、首先建立局域网首先得有两台或者两台以上电脑,用网线连接要接入的电脑和路由器。2、右键点击电脑桌面最右侧网络连接,进入网络和共享中心。3、在界面内找到高级共享设置选项并单击。4、之后在界面内根据情况是家庭或公司选择共享设置。5、在界面内点击保存修改选项。6、然后选择自己要共享的文件夹或者...
答:使用路由器我推荐你使用上海贝锐的蒲公英(SD-WAN组网)。功能多且安全具体优势如下:蒲公英SD-WAN为企业提供智能组网整体解决方案,全面覆盖互联网、专线、无线网络等常见接入方式,他们帮助用户快速部署并引入多线动态BGP网络出口带宽,大幅提升网络连接品质,组建虚拟局域网,打破地域限制,无需公网IP,实现...
答:一个小型局域网就基本建成了。DNS地址是网络服务商提供的服务器地址。5最后,设置小型办公网络:打开“网上邻居”,点“设置家庭或小型办公网络”,点“下一步”,再点“下一步”,选“其他”点“下一步”,选“这台机器直接或通过网络集线器连接到INTERNET”,点“下一步”,设置你的计算机名。
