用第三层交换保证数据安全

江西三九宜工股份有限公司主干网拓扑结构为多级星型千兆以太网。在科技楼的中心机房放置一台有多个千兆口和百兆口的高性能交换机Cisco Catalyst 4006，作为骨干网核心交换机。公司主服务器和高性能工作站使用中心交换机的千兆交换端口，性能较低和业务量相对较少的工作站连接到中心交换机的百兆口；在中心交换机的的背板插槽中安装光纤模块，通过光纤连接生产分厂的Catalyst 3512交换机，使各分厂中的工作站也可获得百兆带宽。

公司计算机网络配置为：服务器端是Windows NT Server ，客户端为Windows NT Workstation或Windows95/98；应用系统包括两个部分，第一部分是CAD/CAM/CAPP/PDM系统，另一个是企业资源计划管理（ERP）系统。中心机房有一台HP 6000作为Windows NT 主域控制器，同时也是ERP服务器，HP LH3作为一台独立CAD Server，另外还有一台邮件服务器，一台网管服务器，一台用作出图的PC 机，所有的产品图纸集中在计算机中心出图。

安全要求

1. 为了防止CAD设计的产品图纸通过管理部门的计算机外泄，必须将两个应用系统划分到不同的网段分隔开来；

2. 整个系统只设一个主域控制器，中心机房的所有计算机属于CAD 网段，但又要求使用ERP服务器中的资源；

3. 公司级的主要领导属于ERP管理网段，但同时又要求管理和使用CAD网段中的资源。

用VLAN解决

以太网是基于CSMA/CD机制的网络，不可避免地会产生包的广播和冲突，由于数据广播会占用带宽，也影响安全，尤其在基于Windows的网络中，所以有必要减少网络中的广播，需要使用VLAN。VLAN能将一个广播域划分为多个广播域，它的划分有三种方式，基于端口、基于MAC地址和基于网络协议。Cisco的解决方案是建议一个VLAN对应一个IP网段（TCP/IP网络），宜工目前采用的就是这种方式，并采用Trunk技术维持VLAN配置的一致性。Trunk是在交换机间或与路由间的点对点链路可同时传输多个VLAN数据，帮助把实现VLAN从一台交换机到另一台交换机的扩展。

在网络七层协议里，Hub是第一层设备，所连接的设备在同一冲突域和广播域内；交换机和网桥是第二层设备，所连接的设备在同一广播域内，每个端口是一个冲突域，所以交换机可以帮助减少冲突，并可实现双工通信，但不能减少广播流量；路由器是第三层设备，连接的设备在不同的广播域和冲突域内，可以通过路由功能控制广播和冲突。

三层交换简化设置

划分了VLAN后，不同VLAN间就不能通讯了，所以需要路由器来连接不同的VLAN，但有了第三层交换机后就不必再那么麻烦。Catalyst 4006是Cisco公司推出的一款较先进的企业主干网交换机，拥有第三层交换能力，既解决了VLAN通讯问题，又消除了路由器带宽低的痼疾。4006的三层交换功能在4232-L3模块上实现，与5000系列和6000系列不同，4000系列交换机的三层交换是采用内部的两个虚拟千兆连接完成的。

中心交换机上共设计了两个VLAN，分别为CAD和普通用户使用，网段为192.168.66.0和192.168.67.0。交换机为两个VLAN提供了第三层交换功能，同时利用静态路由列表将某些特殊地址加入，实施一定的安全策略。

在实际网络中，管理模块上的两个和4306-GB模块上的五个通过光纤连接二级交换机，提供主干千兆。从4006角度看6/1和6/2是两条实现路由功能的接口（我们的三层模块插在交换机第六个槽），而对于三层交换模块来说，这两个端口是连接4006的接口。

通过第三层交换功能，实现了企业网络分段，从而提高了网络中数据的安全性。

【相关文章】

• 有关第二三层交换技术与路由技术对比