灵活定制 子网安全从入口开始

核心提示：现在，规模较大、职能部门较多的企业，灵活定制 子网安全从入口开始，在部署局域网时一般都划分了子网，根据不同的部门划分了子网并制定了不同网络接入及其安全访问策略，只有符合我们预设的MAC地址的终端才可以进入该VLAN，MAC地址VLAN相比IP子网VLAN安全性要高， 现在，规模较大、职能部门较多的企业

现在，规模较大、职能部门较多的企业，在部署局域网时一般都划分了子网。根据不同的部门划分了子网并制定了不同网络接入及其安全访问策略。

现在，规模较大、职能部门较多的企业，在部署局域网时一般都划分了子网。把不同的职能部门归并为一个子网，定制不同的策略，方便不同的生产、安全的需要。这种分化管理的最大好处是：灵活性，适应不同的环境和需求。划分之后的网络安全，就应该从每一个子网的入口开始，做好规划，制定策略，进行部署。管理员通过灵活定制，就能防在攻击之前，最大限度地把威胁杜绝在门外。

最近，笔者给一家企业部署了局域网，根据不同的部门划分了子网并制定了不同网络接入及其安全访问策略。下面把相关的策略和方案写下来，希望对大家有所帮助。不过，在介绍之前，先对各种子网安全策略进行一个简要的分析方便我们根据需要进行选择。

一、安全策略

1、IP子网策略

由于我们在网络设计时通常将不同的业务部门划分到不同的VLAN，同时将VLAN对应不同的IP子网;因此，IP子网策略适用于对安全需求不高，对移动性和简易管理需求较高的的网络设计中。通常采用以下一条命令就完成了一个IP子网策略VLAN的设定：

vlan 1 ip 192.168.10.0 255.255.255.0

当用户终端的IP地址设为192.168.10.*时，该终端将自动进入VLAN 1。这种子网策略具有一定的安全性，因为要进入IP子网VLAN必须知道交换机中定义了哪些IP子网。

2、MAC地址策略

MAC地址策略需要我们事先将归属该VLAN的终端MAC地址配置到交换机上，只有符合我们预设的MAC地址的终端才可以进入该VLAN。MAC地址VLAN相比IP子网VLAN安全性要高，但配置工作量相对较大;策略适用于对安全和移动性需求较高的网络设计中。MAC地址VLAN通常采用以下命令就完成设定：