第三層交換機(jī)還是比較常用的，于是我研究了一下如何用第三層交換保證數(shù)據(jù)安全，在這里拿出來和大家分享一下，希望對大家有用。江西三九宜工股份有限公司主干網(wǎng)拓?fù)浣Y(jié)構(gòu)為多級星型千兆以太網(wǎng)。

在科技樓的中心機(jī)房放置一臺有多個(gè)千兆口和百兆口的高性能交換機(jī)Cisco Catalyst 4006，作為骨干網(wǎng)核心交換機(jī)。公司主服務(wù)器和高性能工作站使用中心交換機(jī)的千兆交換端口，性能較低和業(yè)務(wù)量相對較少的工作站連接到第三層交換機(jī)的百兆口；在中心交換機(jī)的的背板插槽中安裝光纖模塊，通過光纖連接生產(chǎn)分廠的Catalyst 3512交換機(jī)，使各分廠中的工作站也可獲得百兆帶寬。

公司計(jì)算機(jī)網(wǎng)絡(luò)配置為：服務(wù)器端是Windows NT Server ，客戶端為Windows NT Workstation或5/98；應(yīng)用系統(tǒng)包括兩個(gè)部分，第一部分是CAD/CAM/CAPP/PDM系統(tǒng)，另一個(gè)是企業(yè)資源計(jì)劃管理（ERP）系統(tǒng)。中心機(jī)房有一臺HP 6000作為Windows NT 主域控制器，同時(shí)也是ERP服務(wù)器，HP LH3作為一臺獨(dú)立CAD Server，另外還有一臺郵件服務(wù)器，一臺網(wǎng)管服務(wù)器，一臺用作出圖的PC 機(jī)，所有的產(chǎn)品圖紙集中在計(jì)算機(jī)中心出圖。

安全要求

1. 為了防止CAD設(shè)計(jì)的產(chǎn)品圖紙通過管理部門的計(jì)算機(jī)外泄，必須將兩個(gè)應(yīng)用系統(tǒng)劃分到不同的網(wǎng)段分隔開來；

2. 整個(gè)系統(tǒng)只設(shè)一個(gè)主域控制器，中心機(jī)房的所有計(jì)算機(jī)屬于CAD 網(wǎng)段，但又要求使用ERP服務(wù)器中的資源；

3. 公司級的主要領(lǐng)導(dǎo)屬于ERP管理網(wǎng)段，但同時(shí)又要求管理和使用CAD網(wǎng)段中的資源。

用VLAN解決

以太網(wǎng)是基于CSMA/CD機(jī)制的網(wǎng)絡(luò)，不可避免地會產(chǎn)生包的廣播和沖突，由于數(shù)據(jù)廣播會占用帶寬，也影響安全，尤其在基于Windows的網(wǎng)絡(luò)中，所以有必要減少網(wǎng)絡(luò)中的廣播，需要使用VLAN。VLAN能將一個(gè)廣播域劃分為多個(gè)廣播域，它的劃分有三種方式，基于端口、基于MAC地址和基于。Cisco的解決方案是建議一個(gè)VLAN對應(yīng)一個(gè)IP網(wǎng)段（TCP/IP網(wǎng)絡(luò)），宜工目前采用的就是這種方式，并采用Trunk技術(shù)維持VLAN配置的一致性。Trunk是在交換機(jī)間或與路由間的點(diǎn)對點(diǎn)鏈路可同時(shí)傳輸多個(gè)VLAN數(shù)據(jù)，幫助把實(shí)現(xiàn)VLAN從一臺交換機(jī)到另一臺交換機(jī)的擴(kuò)展。

在網(wǎng)絡(luò)七層協(xié)議里，Hub是第一層設(shè)備，所連接的設(shè)備在同一沖突域和廣播域內(nèi)；交換機(jī)和網(wǎng)橋是第二層設(shè)備，所連接的設(shè)備在同一廣播域內(nèi)，每個(gè)端口是一個(gè)沖突域，所以交換機(jī)可以幫助減少沖突，并可實(shí)現(xiàn)雙工通信，但不能減少廣播流量；路由器是第三層交換機(jī)設(shè)備，連接的設(shè)備在不同的廣播域和沖突域內(nèi)，可以通過路由功能控制廣播和沖突。

三層交換簡化設(shè)置

劃分了VLAN后，不同VLAN間就不能通訊了，所以需要路由器來連接不同的VLAN，但有了第三層交換機(jī)后就不必再那么麻煩。Catalyst 4006是Cisco公司推出的一款較先進(jìn)的企業(yè)主干網(wǎng)交換機(jī)，擁有第三層交換機(jī)能力，既解決了VLAN通訊問題，又消除了路由器帶寬低的痼疾。4006的三層交換功能在4232-L3模塊上實(shí)現(xiàn)，與5000系列和6000系列不同，4000系列交換機(jī)的三層交換是采用內(nèi)部的兩個(gè)虛擬千兆連接完成的。

中心交換機(jī)上共設(shè)計(jì)了兩個(gè)VLAN，分別為CAD和普通用戶使用，網(wǎng)段為192.168.66.0和192.168.67.0。交換機(jī)為兩個(gè)VLAN提供了第三層交換機(jī)功能，同時(shí)利用靜態(tài)路由列表將某些特殊地址加入，實(shí)施一定的安全策略。

在實(shí)際網(wǎng)絡(luò)中，管理模塊上的兩個(gè)和4306-GB模塊上的五個(gè)通過光纖連接二級交換機(jī)，提供主干千兆。從4006角度看6/1和6/2是兩條實(shí)現(xiàn)路由功能的接口（我們的三層模塊插在交換機(jī)第六個(gè)槽），而對于三層交換模塊來說，這兩個(gè)端口是連接4006的接口。通過第三層交換機(jī)功能，實(shí)現(xiàn)了企業(yè)網(wǎng)絡(luò)分段，從而提高了網(wǎng)絡(luò)中數(shù)據(jù)的安全性。