灵活定制 子网安全从入口开始

核心提示： DHCP是终端自动获得IP地址的协议，对于访客非常方便，灵活定制 子网安全从入口开始(3)，通过对VLAN定义DHCP，使得访客自动获得IP地址并进入相应的访客VLAN，由于无合法的身份账号，其相连网络端口将一直出于关闭状态，通常采用以下命令完成一个DHCP策略VLAN的设定：vlan 1

DHCP是终端自动获得IP地址的协议，对于访客非常方便。通过对VLAN定义DHCP，使得访客自动获得IP地址并进入相应的访客VLAN。通常采用以下命令完成一个DHCP策略VLAN的设定：

vlan 1 dhcp port 3/1-24

当用户终端的IP地址设为自动获得时时，该终端将自动进入VLAN 1并获得相应的IP地址。这种子网策略适应于无特殊安全性需求的场合，便于访客的灵活接入同时与保障企业内网的安全隔离。

二、具体部署

1、设计规划

该企业是一家机器制造厂，规模比较大，拥有众多的部门，包括工程、销售、财务、领导以及访客等，在作网络规划设计时我们根据不同部门对网络安全的要求不同，予以不同的VLAN策略，使整个网络在安全、灵活、易用和易管理几个方面达到最大的统一。下面就是具体的子网划分和规划：

我们将该企业划分为4个子网，其安全级别分为：

财务部：安全级别高、且端口固定

行政部：安全级别高、且有移动要求

业务部门(工程、销售)：安全级别一般、且有移动要求：

临时部门(访客)：安全级别低、访问受限制

2、具体部署

财务部门

对于财务部门而言，安全接入是第一需求，我们对接入财务部门的用户、终端的接入方式和地点进行严格控制;这里我们采用了固定端口的VLAN接入设计。在交换机上指定固定接口分配给财务门，只有这些端口属于VLAN1(财务部门VLAN); 从而避免了其他部门人员从其他端口进入财务部门的安全隐患;对于接到财务部门网络接口的用户而言，同时采用了认证对其身份进行认证;这样，即使有用户通过某种手段接到了财务部门的网络接口上，由于无合法的身份账号，其相连网络端口将一直出于关闭状态，从而保障了财务部门接入访问的安全性。