Q：跟我一起组建安全de办公网
  A：随着信息技术的发展，对办公网的要求也在变化。我公司的办公网要满足三方面的要求，1、建立公司内部的Web服务器、E-mail服务器、办公自动化服务器，实现无纸化办公；2、资料、信息和服务的共享；3、信息交流和邮件服务。

    这样的办公网络实现了很大的便捷性，然而我们不得不考虑它的安全性。为了保证网络上的信息安全，我们不得不在网络的易用性与安全性之间寻找一个平衡点，在足够安全的情况下，实现最大的易用性。

    办公网要实现的安全目标

    针对办公网络既要满足新办公的需要又要保证信息技术安全的情况，办公网络主要实现三个安全目标：1、实现所有办公终端都能访问Web服务器，E-mail服务器，办公自动化服务器；2、实现各部门办公终端之间资料及打印服务的共享；3、部门之间互访受到控制，使部分有需要的电脑能够互通，其余的不能互通。

    办公组网方案设计

    我准备采用VLAN和ACL技术组建办公网。虚拟局域网（VLAN）将网络从逻辑上划分为一个个功能相对独立的工作组，如果再加上虚拟局域网之间的访问控制(ACL)和路由指向可以使一个个功能相对独立的工作组变成可以受限互访的不同安全区。以市场部和计财部两个部门为例，方案拓扑图如下（如图1）。

    1）在交换机上划分三个VALN，将Web服务器、E-mail服务器和办公自动化服务器划为VLAN1，名称为fuwu；计划财务部为VLAN2，名称为jicai；市场部为VLAN3，名称为shichang。
    2）路由器上用访问控制列表和路由指向，控制网络数据的流向实现办公网的安全目标，从而使VLAN2和VALN3成为两个安全区。

    方案的总体规划

    现在以Cisco Catalyst 1900交换机、Cisco 2600路由器为例，写出方案的详细配置。
    VLAN的规划
    （1）VLAN的工作模式：
     我们采用静态模式，针对交换机端口指定VLAN。
    （2）ISL标签：
     ISL（Inter－Switch Link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和配置。我们在快速以太口0配置ISL标签。
    （3）VTP（VLAN Trunking Protocol）：它是一个在交换机之间同步及传递VLAN配置信息的协议。一个VTP Server上的配置将会传递给网络中的所有交换机，VTP通过减少手工配置而支持较大规模的网络。VTP有Server、client、transparent三种模式。我们的VTP设置：VTP的域名为switch，主交换机为Server模式，其他两个交换机为client模式。
    ACL的规划
    访问控制列表（ACL）主要功能是限制通过路由器端口的报文。有基本访问控制列表和扩展控制列表两种。
    我们采用扩展访问列表，VLAN1应用扩展访问列表的表号为101，VLAN2应用扩展访问列表的表号为102，VLAN3应用扩展访问列表的表号为103。