现在，规模较大、职能部门较多的企业，在部署局域网时一般都划分了子网。把不同的职能部门归并为一个子网，定制不同的策略，方便不同的生产、安全的需要。这种分化管理的最大好处是：灵活性，适应不同的环境和需求。划分之后的网络安全，就应该从每一个子网的入口开始，做好规划，制定策略，进行部署。管理员通过灵活定制，就能防在攻击之前，最大限度地把威胁杜绝在门外。

　　最近，笔者给一家企业部署了局域网，根据不同的部门划分了子网并制定了不同网络接入及其安全访问策略。下面把相关的策略和方案写下来，希望对大家有所帮助。不过，在介绍之前，先对各种子网安全策略进行一个简要的分析方便我们根据需要进行选择。

　　一、安全策略

　　1、IP子网策略

　　由于我们在网络设计时通常将不同的业务部门划分到不同的VLAN，同时将VLAN对应不同的IP子网;因此，IP子网策略适用于对安全需求不高，对移动性和简易管理需求较高的的网络设计中。通常采用以下一条命令就完成了一个IP子网策略VLAN的设定：

　　vlan 1 ip 192.168.10.0 255.255.255.0

　　当用户终端的IP地址设为192.168.10.*时，该终端将自动进入VLAN 1。这种子网策略具有一定的安全性，因为要进入IP子网VLAN必须知道交换机中定义了哪些IP子网。

　　2、MAC地址策略

　　MAC地址策略需要我们事先将归属该VLAN的终端MAC地址配置到交换机上，只有符合我们预设的MAC地址的终端才可以进入该VLAN。MAC地址VLAN相比IP子网VLAN安全性要高，但配置工作量相对较大;策略适用于对安全和移动性需求较高的网络设计中。MAC地址VLAN通常采用以下命令就完成设定：

　　vlan 1 mac 01:01:01:02:02:02

　　当用户终端的MAC地址设为01:01:01:02:02:02时，该终端将自动进入VLAN 1。这种子网策略比第一种安全性高，因为要进入MAC子网VLAN必须知道交换机中是否定义的MAC VLAN策略，同时需知道至少一个已定义的MAC地址。

　　3、IP/MAC绑定策略

　　IP/MAC绑定策略需要我们事先将归属该VLAN的终端IP/MAC配置到交换机上，只有符合我们预设的IP/MAC地址的终端才可以进入该VLAN。IP/MAC绑定地址VLAN相比MAC VLAN安全性更高，适用于对安全和移动性需求非常高且VLAN用户较少的网络设计中。

　　IP/MAC绑定VLAN的另一个作用是禁止符合策略的用户对IP或MAC进行改动，IP/MAC的改动将失去VLAN策略的匹配，该终端从而被放入隔离VLAN。IP/MAC绑定VLAN通常采用以下命令完成设定：

　　vlan 1 binding mac-ip 00:00:39:59:0a:0c 21.0.0.10

　　当用户终端的IP地址设为21.0.0.10，MAC为00:00:39:59:0a:0c 时，该终端将自动进入VLAN 1。这种子网策略安全性更高，因为要进入IP/MAC子网VLAN必须知道交换机中是否定义了IP/MAC VLAN策略，同时需知道至少一个已定义的IP/MAC地址。