第三層交換機還是比較常用的，于是我研究了一下如何用第三層交換保證數據安全，在這里拿出來和大家分享一下，希望對大家有用。江西三九宜工股份有限公司主干網拓撲結構為多級星型千兆以太網。

在科技樓的中心機房放置一臺有多個千兆口和百兆口的高性能交換機Cisco Catalyst 4006，作為骨干網核心交換機。公司主服務器和高性能工作站使用中心交換機的千兆交換端口，性能較低和業務量相對較少的工作站連接到第三層交換機的百兆口；在中心交換機的的背板插槽中安裝光纖模塊，通過光纖連接生產分廠的Catalyst 3512交換機，使各分廠中的工作站也可獲得百兆帶寬。

公司計算機網絡配置為：服務器端是Windows NT Server ，客戶端為Windows NT Workstation或Windows95/98；應用系統包括兩個部分，第一部分是CAD/CAM/CAPP/PDM系統，另一個是企業資源計劃管理（ERP）系統。中心機房有一臺HP 6000作為Windows NT 主域控制器，同時也是ERP服務器，HP LH3作為一臺獨立CAD Server，另外還有一臺郵件服務器，一臺網管服務器，一臺用作出圖的PC 機，所有的產品圖紙集中在計算機中心出圖。

安全要求

1. 為了防止CAD設計的產品圖紙通過管理部門的計算機外泄，必須將兩個應用系統劃分到不同的網段分隔開來；

2. 整個系統只設一個主域控制器，中心機房的所有計算機屬于CAD 網段，但又要求使用ERP服務器中的資源；

3. 公司級的主要領導屬于ERP管理網段，但同時又要求管理和使用CAD網段中的資源。

用VLAN解決

以太網是基于CSMA/CD機制的網絡，不可避免地會產生包的廣播和沖突，由于數據廣播會占用帶寬，也影響安全，尤其在基于Windows的網絡中，所以有必要減少網絡中的廣播，需要使用VLAN。VLAN能將一個廣播域劃分為多個廣播域，它的劃分有三種方式，基于端口、基于MAC地址和基于網絡協議。Cisco的解決方案是建議一個VLAN對應一個IP網段（TCP/IP網絡），宜工目前采用的就是這種方式，并采用Trunk技術維持VLAN配置的一致性。Trunk是在交換機間或與路由間的點對點鏈路可同時傳輸多個VLAN數據，幫助把實現VLAN從一臺交換機到另一臺交換機的擴展。

在網絡七層協議里，Hub是第一層設備，所連接的設備在同一沖突域和廣播域內；交換機和網橋是第二層設備，所連接的設備在同一廣播域內，每個端口是一個沖突域，所以交換機可以幫助減少沖突，并可實現雙工通信，但不能減少廣播流量；路由器是第三層交換機設備，連接的設備在不同的廣播域和沖突域內，可以通過路由功能控制廣播和沖突。

三層交換簡化設置

劃分了VLAN后，不同VLAN間就不能通訊了，所以需要路由器來連接不同的VLAN，但有了第三層交換機后就不必再那么麻煩。Catalyst 4006是Cisco公司推出的一款較先進的企業主干網交換機，擁有第三層交換機能力，既解決了VLAN通訊問題，又消除了路由器帶寬低的痼疾。4006的三層交換功能在4232-L3模塊上實現，與5000系列和6000系列不同，4000系列交換機的三層交換是采用內部的兩個虛擬千兆連接完成的。

中心交換機上共設計了兩個VLAN，分別為CAD和普通用戶使用，網段為192.168.66.0和192.168.67.0。交換機為兩個VLAN提供了第三層交換機功能，同時利用靜態路由列表將某些特殊地址加入，實施一定的安全策略。

在實際網絡中，管理模塊上的兩個和4306-GB模塊上的五個通過光纖連接二級交換機，提供主干千兆。從4006角度看6/1和6/2是兩條實現路由功能的接口（我們的三層模塊插在交換機第六個槽），而對于三層交換模塊來說，這兩個端口是連接4006的接口。通過第三層交換機功能，實現了企業網絡分段，從而提高了網絡中數據的安全性。