. ..
会计部经理既在会计部VLAN中又在经理VLAN中,使用了Hybrid混合模式)
做了如上述设置之后,使用ping指令测试效果如下:
#公司总部普通员工之间通讯测试:
#公司总部的普通员工不能访问总经理(192.1.11.4):
#公司总部其他部门的员工不能访问会计部(192.1.4.0网段) (保密性要求) :
z
. ..
#公司分部普通员工间通讯:
#公司分部间其他部门员工不能访问会计部:
z
. ..
#公司分部普通员工无法访问分部总经理(192.2.5.2):
③防火墙设置:在进入我公司网的端口设置了防火墙,并且在系统上安装杀毒软件,定期为系统进行杀毒。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
④为了加强对重要信息的安全性管理,在三层交换机上连接了侵入检查系统,同时,由系统软件为各个用户分配的权限。
⑤ ACL访问控制列表:
·对E-mail服务器进行设置,旨在防止外部网络的病毒或不良信息侵入。(在路由器上进行配置)————该E-mail服务器允许公司所有设备的访问,但拒绝其它流量。
Router(config)#access-list 1 permit tcp any host 192.4.1.2 eq smtp Router(config)#access-list 1 permit tcp any host 192.4.1.2 eq pop3
·为了为会计部门提供保密地数据库服务,我们为其设置了FTP访问权限,保证只有会计部内部人员有权访问该服务器:对总公司的会计部内部的FTP服务器设置权限(在路由器上进行配置)————会计部内部FTP服务器只允许会计部门内VLAN内的用户使用其FTP服务,拒绝其它流量。
Router(config)#access-list 4 permit tcp 192.1.4.0 0.0.0.255 host 192.1.4.5 eq ftp ·在连入外网的路由上进行了访问控制:只允许公司经理层(网段为192.1.11.0及192.2.5.0)连接外网,其余均为内网访问。因此在路由上做如下设置:
Router(config)#access-list 2 permit 192.1.11.0 0.0.0.255 Router(config)#access-list 2 permit 192.2.5.0 0.0.0.255 Router(config)#access-list 2 deny any 应用于端口ethernet1/1:
Router(config)#interface fastethernet0/0 Router(config-if)#ip access-group 1 out Router(config-if)#exit
z
. ..
五、 总结
该局域网的构建基本满足了该公司的需求,基本达到最初的设想。在构建该公司内部局域网过程中,我们着重研究了安全性控制方面的设置。安全性对于一家公司的网络运行是尤为重要的,只有保证了公司信息的保密性与安全性,才能顺利的进行数据传输,才能公司的经营管理和正常运作起到很大的保障作用。
我们对公司的安全保障的硬件基础主要是路由器和交换机。对于交换机,通过对VLAN设置来实现其安全性控制,对未在其VLAN中的PC机不允许其进行通讯,从而实现对公司机密部门(例如会计部)的信息保密;对于路由器,通过设置ACL访问控制列表来阻挡不安全网站的信息传送,以此来实现该网络的网关安全性控制。
在安全性方面,还可通过进程管理、浏览器安全管理等进行控制,这是公司局域网搭建好后的后续加强保障工作,在此不作研究。
这次实验收获很大,通过小组讨论和在模拟环境上进行实践,我们对局域网构建的相关理论知识更加清晰,对IP地址分配、子网划分、路由配置等都加深了理解。特别是在安全性控制方面,我经过询问老师、查阅资料,学习了怎样设立以硬件为基础的安全屏障,主要是通过交换机和路由器的相关配置完成。这两个控制设置都是通过IOS命令行的方式设置,不同于其它界面化的操作,因此也使我印象更加深刻。
在实验过程中,曾出现过IP地址类别混淆或者没有设置网关导致无法连通等错误,经讨论后这些问题得以解决,也加深了我对相关网络配置的理解。这次实验也让我体会到,仅仅学习书本不如进行实际的操作更能理解所学的知识内容,只有通过在实践中遇到问题、讨论研究、解决问题的过程才能使我们的知识更加扎实,达到该课程学习的目的。
z
中小企业网络规划
