“cnfitc”通过精心收集,向本站投稿了3篇如何用第三层交换保证数据安全,以下是小编为大家整理后的如何用第三层交换保证数据安全,欢迎参阅,希望可以帮助到有需要的朋友。
篇1:用第三层交换保证数据安全
江西三九宜工股份有限公司主干网拓扑结构为多级星型千兆以太网,在科技楼的中心机房放置一台有多个千兆口和百兆口的高性能交换机Cisco Catalyst 4006,作为骨干网核心交换机。公司主服务器和高性能工作站使用中心交换机的千兆交换端口,性能较低和业务量相对较少的工作站连接到中心交换机的百兆口;在中心交换机的的背板插槽中安装光纤模块,通过光纤连接生产分厂的Catalyst 3512交换机,使各分厂中的工作站也可获得百兆带宽。
公司计算机网络配置为:服务器端是Windows NT Server ,客户端为Windows NT Workstation或Windows95/98;应用系统包括两个部分,第一部分是CAD/CAM/CAPP/PDM系统,另一个是企业资源计划管理(ERP)系统。中心机房有一台HP 6000作为Windows NT 主域控制器,同时也是ERP服务器,HP LH3作为一 立CAD Server,另外还有一台邮件服务器,一台网管服务器,一台用作出图的PC 机,所有的产品图纸集中在计算机中心出图。
安全要求
1. 为了防止CAD设计的产品图纸通过管理部门的计算机外泄,必须将两个应用系统划分到不同的网段分隔开来;
2. 整个系统只设一个主域控制器,中心机房的所有计算机属于CAD 网段,但又要求使用ERP服务器中的资源;
3. 公司级的主要领导属于ERP管理网段,但同时又要求管理和使用CAD网段中的资源。
用VLAN解决
以太网是基于CSMA/CD机制的网络,不可避免地会产生包的广播和冲突,由于数据广播会占用带宽,也影响安全,尤其在基于Windows的网络中,所以有必要减少网络中的广播,需要使用VLAN,
VLAN能将一个广播域划分为多个广播域,它的划分有三种方式,基于端口、基于MAC地址和基于网络协议。Cisco的解决方案是建议一个VLAN对应一个IP网段(TCP/IP网络),宜工目前采用的就是这种方式,并采用Trunk技术维持VLAN配置的一致性。Trunk是在交换机间或与路由间的点对点链路可同时传输多个VLAN数据,帮助把实现VLAN从一台交换机到另一台交换机的扩展。
在网络七层协议里,Hub是第一层设备,所连接的设备在同一冲突域和广播域内;交换机和网桥是第二层设备,所连接的设备在同一广播域内,每个端口是一个冲突域,所以交换机可以帮助减少冲突,并可实现双工通信,但不能减少广播流量;路由器是第三层设备,连接的设备在不同的广播域和冲突域内,可以通过路由功能控制广播和冲突。
三层交换简化设置
划分了VLAN后,不同VLAN间就不能通讯了,所以需要路由器来连接不同的VLAN,但有了第三层交换机后就不必再那么麻烦。Catalyst 4006是Cisco公司推出的一款较先进的企业主干网交换机,拥有第三层交换能力,既解决了VLAN通讯问题,又消除了路由器带宽低的痼疾。4006的三层交换功能在4232-L3模块上实现,与5000系列和6000系列不同,4000系列交换机的三层交换是采用内部的两个虚拟千兆连接完成的。
中心交换机上共设计了两个VLAN,分别为CAD和普通用户使用,网段为192.168.66.0和192.168.67.0。交换机为两个VLAN提供了第三层交换功能,同时利用静态路由列表将某些特殊地址加入,实施一定的安全策略。
在实际网络中,管理模块上的两个和4306-GB模块上的五个通过光纤连接二级交换机,提供主干千兆。从4006角度看6/1和6/2是两条实现路由功能的接口(我们的三层模块插在交换机第六个槽),而对于三层交换模块来说,这两个端口是连接4006的接口。
通过第三层交换功能,实现了企业网络分段,从而提高了网络中数据的安全性。
篇2:如何用第三层交换保证数据安全
第三层交换机还是比较常用的,于是我研究了一下如何用第三层交换保证数据安全,在这里拿出来和大家分享一下,希望对大家有用,江西三九宜工股份有限公司主干网拓扑结构为多级星型千兆以太网。
在科技楼的中心机房放置一台有多个千兆口和百兆口的高性能交换机Cisco Catalyst 4006,作为骨干网核心交换机。公司主服务器和高性能工作站使用中心交换机的千兆交换端口,性能较低和业务量相对较少的工作站连接到第三层交换机的百兆口;在中心交换机的的背板插槽中安装光纤模块,通过光纤连接生产分厂的Catalyst 3512交换机,使各分厂中的工作站也可获得百兆带宽。
公司计算机网络配置为:服务器端是Windows NT Server ,客户端为Windows NT Workstation或Windows95/98;应用系统包括两个部分,第一部分是CAD/CAM/CAPP/PDM系统,另一个是企业资源计划管理(ERP)系统。中心机房有一台HP 6000作为Windows NT 主域控制器,同时也是ERP服务器,HP LH3作为一 立CAD Server,另外还有一台邮件服务器,一台网管服务器,一台用作出图的PC 机,所有的产品图纸集中在计算机中心出图。
安全要求
1. 为了防止CAD设计的产品图纸通过管理部门的计算机外泄,必须将两个应用系统划分到不同的网段分隔开来;
2. 整个系统只设一个主域控制器,中心机房的所有计算机属于CAD 网段,但又要求使用ERP服务器中的资源;
3. 公司级的主要领导属于ERP管理网段,但同时又要求管理和使用CAD网段中的资源。
用VLAN解决
以太网是基于CSMA/CD机制的网络,不可避免地会产生包的广播和冲突,由于数据广播会占用带宽,也影响安全,尤其在基于Windows的网络中,所以有必要减少网络中的广播,需要使用VLAN,
VLAN能将一个广播域划分为多个广播域,它的划分有三种方式,基于端口、基于MAC地址和基于网络协议。Cisco的解决方案是建议一个VLAN对应一个IP网段(TCP/IP网络),宜工目前采用的就是这种方式,并采用Trunk技术维持 VLAN配置的一致性。Trunk是在交换机间或与路由间的点对点链路可同时传输多个VLAN数据,帮助把实现VLAN从一台交换机到另一台交换机的扩展。
3lian素材
在网络七层协议里,Hub是第一层设备,所连接的设备在同一冲突域和广播域内;交换机和网桥是第二层设备,所连接的设备在同一广播域内,每个端口是一个冲突域,所以交换机可以帮助减少冲突,并可实现双工通信,但不能减少广播流量;路由器是第三层交换机设备,连接的设备在不同的广播域和冲突域内,可以通过路由功能控制广播和冲突。
三层交换简化设置
划分了VLAN后,不同VLAN间就不能通讯了,所以需要路由器来连接不同的VLAN,但有了第三层交换机后就不必再那么麻烦。 Catalyst 4006是Cisco公司推出的一款较先进的企业主干网交换机,拥有第三层交换机能力,既解决了VLAN通讯问题,又消除了路由器带宽低的痼疾。4006 的三层交换功能在4232-L3模块上实现,与5000系列和6000系列不同,4000系列交换机的三层交换是采用内部的两个虚拟千兆连接完成的。
中心交换机上共设计了两个VLAN,分别为CAD和普通用户使用,网段为192.168.66.0和192.168.67.0。交换机为两个 VLAN提供了第三层交换机功能,同时利用静态路由列表将某些特殊地址加入,实施一定的安全策略。
在实际网络中,管理模块上的两个和4306-GB模块上的五个通过光纤连接二级交换机,提供主干千兆。从4006角度看6/1和6/2是两条实现路由功能的接口(我们的三层模块插在交换机第六个槽),而对于三层交换模块来说,这两个端口是连接4006的接口。通过第三层交换机功能,实现了企业网络分段,从而提高了网络中数据的安全性
篇3:Win 7中如何保证计算机和数据的安全
Vista平安基础建设,Windows7提供了基于平安的架构平台,从位置安全、数据平安以及平安授权三方面为用户资源进行保护,
1增强的UA C用户帐户控制)
UA C这个在Vista时代饱受争议的功能却依然在Windows7系统得以延续,与之前不同的原来只有“打开”关闭”两种操作选择,Win7当中变为可以在四个安全等级之间自由调节,这样就满足了不同用户的需求,可以让用户自由取舍。不过,实际的使用当中为了一时的方便而关闭UA C也确实是一件很危险的事情。
增强的UA C用户帐户控制)
2AppLocker
AppLocker即所谓的应用顺序控制战略”Windows7系统中新增加的一项安全功能,
利用AppLocker管理员可以非常方便地进行配置,以实现用户可在计算机上可运行那些程序、装置那些文件、运行那些脚本。由于AppLocker基于组策略管理和配置的因此我可以非常方便地将其部署到整个网络环境中,可谓一劳永逸。
A ppLocker
3BitLock和BitLockToGo
Vista中首次引入了BitLock功能,利用该功能可以实现对系统内置
控制面板
外地磁盘与移动磁盘启用BitLocker
通过以上三项设置,包括帐户、应用顺序、数据在内的罕见平安问题便得以有效的维护,也是Windows7中最常用、最简单的平安维护措施。
