企業內網一般都會劃分多個VLAN。劃分VLAN可以提高內網安全性,而且更加便于管理。比如:有線和無線處于不同的網段,不允許無線設備訪問企業內網,這樣可以保護內部信息安全;而且可以對不同網段配置不同的上網策略和流控策略。而且劃分VLAN可以分割廣播域,避免廣播風暴。VLAN的劃分一般有如下三種方法:
1. 通過三層交換機來劃分VLAN
如上圖。三層交換機可以支持VLAN劃分,以及相應的VLAN權限設置。
2. 直接在網關上劃分VLAN
基于端口的VLAN是最簡單的VLAN劃分方式。如下圖,直接在WSG網關上劃分多個VLAN,然后接二層交換機即可實現劃分VLAN的效果。
3. 802.1Q的VLAN劃分方案
WSG網關和二層交換機的trunk口連接,組建802.1Q的VLAN。這也是VLAN組建的一個重要方式。
4. 配置策略禁止VLAN之間的互訪
通過WSG的“防火墻策略”,可以管控VLAN之間的互訪。如下圖,禁止無線網段192.168.2.x和有線網段192.168.1.x之間的通訊,在“內網”的“轉發”方向設置阻止的規則即可。
局域網劃分好VLAN后,還需要合理的設置VLAN互訪規則,才可以更有效的提高內網安全系數。一般而言可以參考如下規則:
非服務器網段之間禁止互訪。
服務器網段允許其他VLAN訪問。
服務器網段還需要入侵檢測等安全防護手段。
每個網段的終端數量最好控制在200以內。
