第三層交換機還是比較常用的，于是我研究了一下如何用第三層交換保證數(shù)據(jù)安全，在這里拿出來和大家分享一下，希望對大家有用。江西三九宜工股份有限公司主干網(wǎng)拓撲結(jié)構(gòu)為多級星型千兆以太網(wǎng)。在科技樓的中心機房放置一臺有多個千兆口和百兆口的高性能交換機Cisco Catalyst 4006，作為骨干網(wǎng)核心交換機。公司主服務器和高性能工作站使用中心交換機的千兆交換端口，性能較低和業(yè)務量相對較少的工作站連接到第三層交換機的百兆口；在中心交換機的的背板插槽中安裝光纖模塊，通過光纖連接生產(chǎn)分廠的Catalyst 3512交換機，使各分廠中的工作站也可獲得百兆帶寬。公司計算機網(wǎng)絡配置為：服務器端是Windows NT Server ，客戶端為Windows NT Workstation或Windows95/98；應用系統(tǒng)包括兩個部分，第一部分是CAD/CAM/CAPP/PDM系統(tǒng)，另一個是企業(yè)資源計劃管理（ERP）系統(tǒng)。中心機房有一臺HP 6000作為Windows NT 主域控制器，同時也是ERP服務器，HP LH3作為一臺獨立CAD Server，另外還有一臺郵件服務器，一臺網(wǎng)管服務器，一臺用作出圖的PC 機，所有的產(chǎn)品圖紙集中在計算機中心出圖。安全要求1. 為了防止CAD設(shè)計的產(chǎn)品圖紙通過管理部門的計算機外泄，必須將兩個應用系統(tǒng)劃分到不同的網(wǎng)段分隔開來；2. 整個系統(tǒng)只設(shè)一個主域控制器，中心機房的所有計算機屬于CAD 網(wǎng)段，但又要求使用ERP服務器中的資源；3. 公司級的主要領(lǐng)導屬于ERP管理網(wǎng)段，但同時又要求管理和使用CAD網(wǎng)段中的資源。用VLAN解決以太網(wǎng)是基于CSMA/CD機制的網(wǎng)絡，不可避免地會產(chǎn)生包的廣播和沖突，由于數(shù)據(jù)廣播會占用帶寬，也影響安全，尤其在基于Windows的網(wǎng)絡中，所以有必要減少網(wǎng)絡中的廣播，需要使用VLAN。VLAN能將一個廣播域劃分為多個廣播域，它的劃分有三種方式，基于端口、基于MAC地址和基于網(wǎng)絡協(xié)議。Cisco的解決方案是建議一個VLAN對應一個IP網(wǎng)段（TCP/IP網(wǎng)絡），宜工目前采用的就是這種方式，并采用Trunk技術(shù)維持 VLAN配置的一致性。Trunk是在交換機間或與路由間的點對點鏈路可同時傳輸多個VLAN數(shù)據(jù)，幫助把實現(xiàn)VLAN從一臺交換機到另一臺交換機的擴展。3lian素材   www.3lian.com在網(wǎng)絡七層協(xié)議里，Hub是第一層設(shè)備，所連接的設(shè)備在同一沖突域和廣播域內(nèi)；交換機和網(wǎng)橋是第二層設(shè)備，所連接的設(shè)備在同一廣播域內(nèi)，每個端口是一個沖突域，所以交換機可以幫助減少沖突，并可實現(xiàn)雙工通信，但不能減少廣播流量；路由器是第三層交換機設(shè)備，連接的設(shè)備在不同的廣播域和沖突域內(nèi)，可以通過路由功能控制廣播和沖突。三層交換簡化設(shè)置劃分了VLAN后，不同VLAN間就不能通訊了，所以需要路由器來連接不同的VLAN，但有了第三層交換機后就不必再那么麻煩。 Catalyst 4006是Cisco公司推出的一款較先進的企業(yè)主干網(wǎng)交換機，擁有第三層交換機能力，既解決了VLAN通訊問題，又消除了路由器帶寬低的痼疾。4006 的三層交換功能在4232-L3模塊上實現(xiàn)，與5000系列和6000系列不同，4000系列交換機的三層交換是采用內(nèi)部的兩個虛擬千兆連接完成的。中心交換機上共設(shè)計了兩個VLAN，分別為CAD和普通用戶使用，網(wǎng)段為192.168.66.0和192.168.67.0。交換機為兩個 VLAN提供了第三層交換機功能，同時利用靜態(tài)路由列表將某些特殊地址加入，實施一定的安全策略。在實際網(wǎng)絡中，管理模塊上的兩個和4306-GB模塊上的五個通過光纖連接二級交換機，提供主干千兆。從4006角度看6/1和6/2是兩條實現(xiàn)路由功能的接口（我們的三層模塊插在交換機第六個槽），而對于三層交換模塊來說，這兩個端口是連接4006的接口。通過第三層交換機功能，實現(xiàn)了企業(yè)網(wǎng)絡分段，從而提高了網(wǎng)絡中數(shù)據(jù)的安全性