企业内网一般都会划分多个VLAN。划分VLAN可以提高内网安全性,而且更加便于管理。比如:有线和无线处于不同的网段,不允许无线设备访问企业内网,这样可以保护内部信息安全;而且可以对不同网段配置不同的上网策略和流控策略。而且划分VLAN可以分割广播域,避免广播风暴。VLAN的划分一般有如下三种方法:
1. 通过三层交换机来划分VLAN
如上图。三层交换机可以支持VLAN划分,以及相应的VLAN权限设置。
2. 直接在网关上划分VLAN
基于端口的VLAN是最简单的VLAN划分方式。如下图,直接在WSG网关上划分多个VLAN,然后接二层交换机即可实现划分VLAN的效果。
3. 802.1Q的VLAN划分方案
WSG网关和二层交换机的trunk口连接,组建802.1Q的VLAN。这也是VLAN组建的一个重要方式。
4. 配置策略禁止VLAN之间的互访
通过WSG的“防火墙策略”,可以管控VLAN之间的互访。如下图,禁止无线网段192.168.2.x和有线网段192.168.1.x之间的通讯,在“内网”的“转发”方向设置阻止的规则即可。
局域网划分好VLAN后,还需要合理的设置VLAN互访规则,才可以更有效的提高内网安全系数。一般而言可以参考如下规则:
非服务器网段之间禁止互访。
服务器网段允许其他VLAN访问。
服务器网段还需要入侵检测等安全防护手段。
每个网段的终端数量最好控制在200以内。
