灵活定制 子网安全从入口开始

核心提示： 行政部门领导VLAN在企业里非常重要，原因在于领导VLAN具有相当高的优先级和访问权限;同时，灵活定制 子网安全从入口开始(4)，由于领导本身的特殊性，我们在网络接入安全设计时不但要考虑该VLAN的安全性，因此，根据企业的具体需求，还要考虑领导接入的便捷性，在网络VLAN设计中

行政部门

领导VLAN在企业里非常重要，原因在于领导VLAN具有相当高的优先级和访问权限;同时，由于领导本身的特殊性，我们在网络接入安全设计时不但要考虑该VLAN的安全性，还要考虑领导接入的便捷性。在网络VLAN设计中，除了财务部门的接入端口固定分配，其余网络接口全部采用“mobile”设定，这样对于用户接入到除财务部门外的任意端口，交换机都可以根据终端的特性以及交换机预先设定的VLAN策略进行VLAN的分配。对于领导，我们采用ip-mac绑定方式，领导无论从哪一个网络接口接入网络，交换机通过对其ip-mac学习直接将其划分到相应的VLAN中;由于其他用户接入网络时被分配到隔离VLAN中，即使通过扫描技术，其依然无法获得领导的ip-mac;因此，领导VLAN具有高安全性。

业务部门

对于销售部、工程部的VLAN设计我们可以采用ip子网方式，不同的部门由于其规定的ip地址不同，根据ip子网策略，自动进入相应的VLAN 。

临时部门

由于访客和临时部门的暂时性，我们在VLAN设计中采用了DHCP地址自动分配加ip子网策略;我们在除财务部门外的所有网络接口启用了DHCP策略;当该接口收到DHCP数据请求包时，该数据包将自动被分配到临时VLAN，从而获得与之匹配的ip地址;当访客获得相应临时VLAN的ip地址后，通过ip子网策略，访客终端将自动进入临时VLAN。这种设计保障了访客从网络的任意端口都可以上网，同时又和企业内网用户有效隔离。对于临时VLAN，我们通过ACL访问控制策略对其访问资源和应用进行严格限制，如只允许进行internet浏览和mail 的收发。

总结：

笔者曾见过一些企业的局域网，它们也划分了子网，但往往每个子网都采用了同样的安全策略。这种整齐划一的方式虽然比较方便，但是不能够满足企业各部门的具体需求。通常的情况是，因为不同子网的客户端的不同需求，使得网络管理员疲于奔命。因此，根据企业的具体需求，灵活定制子网安全及接入策略既满足了企业需要也在极大程度上解放了网络管理员自己，何乐而不为呢?