二、具体部署

　　1、设计规划

　　该企业是一家机器制造厂，规模比较大，拥有众多的部门，包括工程、销售、财务、领导以及访客等，在作网络规划设计时我们根据不同部门对网络安全的要求不同，予以不同的VLAN策略，使整个网络在安全、灵活、易用和易管理几个方面达到最大的统一。下面就是具体的子网划分和规划：

　　我们将该企业划分为4个子网，其安全级别分为：

　　财务部：安全级别高、且端口固定

　　行政部：安全级别高、且有移动要求

　　业务部门(工程、销售)：安全级别一般、且有移动要求：

　　临时部门(访客)：安全级别低、访问受限制

　　2、具体部署

　　财务部门

　　对于财务部门而言，安全接入是第一需求，我们对接入财务部门的用户、终端的接入方式和地点进行严格控制;这里我们采用了固定端口的VLAN接入设计。在交换机上指定固定接口分配给财务门，只有这些端口属于VLAN1(财务部门VLAN); 从而避免了其他部门人员从其他端口进入财务部门的安全隐患;对于接到财务部门网络接口的用户而言，同时采用了认证对其身份进行认证;这样，即使有用户通过某种手段接到了财务部门的网络接口上，由于无合法的身份账号，其相连网络端口将一直出于关闭状态，从而保障了财务部门接入访问的安全性。

　　行政部门

　　领导VLAN在企业里非常重要，原因在于领导VLAN具有相当高的优先级和访问权限;同时，由于领导本身的特殊性，我们在网络接入安全设计时不但要考虑该VLAN的安全性，还要考虑领导接入的便捷性。在网络VLAN设计中，除了财务部门的接入端口固定分配，其余网络接口全部采用“mobile”设定，这样对于用户接入到除财务部门外的任意端口，交换机都可以根据终端的特性以及交换机预先设定的VLAN策略进行VLAN的分配。对于领导，我们采用ip-mac绑定方式，领导无论从哪一个网络接口接入网络，交换机通过对其ip-mac学习直接将其划分到相应的VLAN中;由于其他用户接入网络时被分配到隔离VLAN中，即使通过扫描技术，其依然无法获得领导的ip-mac;因此，领导VLAN具有高安全性。

　　业务部门

　　对于销售部、工程部的VLAN设计我们可以采用ip子网方式，不同的部门由于其规定的ip地址不同，根据ip子网策略，自动进入相应的VLAN 。

　　临时部门

　　由于访客和临时部门的暂时性，我们在VLAN设计中采用了DHCP地址自动分配加ip子网策略;我们在除财务部门外的所有网络接口启用了DHCP策略;当该接口收到DHCP数据请求包时，该数据包将自动被分配到临时VLAN，从而获得与之匹配的ip地址;当访客获得相应临时VLAN的ip地址后，通过ip子网策略，访客终端将自动进入临时VLAN。这种设计保障了访客从网络的任意端口都可以上网，同时又和企业内网用户有效隔离。对于临时VLAN，我们通过ACL访问控制策略对其访问资源和应用进行严格限制，如只允许进行internet浏览和mail 的收发。

　　总结：

　　笔者曾见过一些企业的局域网，它们也划分了子网，但往往每个子网都采用了同样的安全策略。这种整齐划一的方式虽然比较方便，但是不能够满足企业各部门的具体需求。通常的情况是，因为不同子网的客户端的不同需求，使得网络管理员疲于奔命。因此，根据企业的具体需求，灵活定制子网安全及接入策略既满足了企业需要也在极大程度上解放了网络管理员自己，何乐而不为呢?