精华内容
下载资源
问答
  • 大型企业网络架构

    万次阅读 多人点赞 2018-11-24 10:57:01
    可以看到,在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。 那么有很多人会问,有了防火墙为什么还要IPS和IDS呢? 防火墙较多的应用在内网保护(NAT),流控,过滤等...

    目录

    DMZ区

    办公区

    核心区

    访问限制

    堡垒机


     

    注:图中防火墙和IPS更换位置

    可以看到,在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。

    那么有很多人会问,有了防火墙为什么还要IPS和IDS呢?

    防火墙较多的应用在内网保护(NAT),流控,过滤等方面;而在对攻击方面的检测和防御方面相对较弱、所以就需要IDS和IPS。

    而IDS(Intrusion Detection Systems),只是做些攻击的检测工作,本身并不做防护,它检测到攻击的时候,可能此时攻击已经产生灾难了,所以IDS一般都需要和一些防攻击设备IPS共用;

    IPS(Intrusion Prevention System),它不光对已知的攻击种类能防御,还能检测些异常协议的攻击,比较灵活。

    • 防火墙是防御系统,属于访问控制类产品
    • IDS是入侵检测系统,属于审计类产品
    • IPS是入侵防御系统,属于访问控制类产品

    IDS虽是IPS的前身,但本质上,IPS已经发生了根本的变化,前者是审计类产品,后者属于访问控制类。

    有人说,IDS也可以和防火墙联动执行访问控制,但这并不会改变IDS审计类产品的本质,因为,执行访问控制的是防火墙,而不是IDS。

    • 防火墙是基于IP地址和端口来执行访问控制的
    • IPS是基于入侵检测来执行访问控制的

    大型企业网络架构有三层:接入层、汇聚层、核心层

    • 接入层接入不同的部门,不同的部门属于不同的VLAN,保证了不同部门之间的安全。
    • 核心层有两个核心交换机,实现负载均衡和热备份,即使有一个核心交换机宕机了,网络也不会瘫痪。
    • 对内服务器有一个IDS入侵检测系统,检测对内服务器的安全。
    • 对外服务器有一个 WAF和IDS ,用来检测外网用户对对外服务器的访问
    • 边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换。
    • 在网络出口处,还有IPS入侵检测系统,实时检测是否有异常攻击行为,并及时阻断。
    • 出口路由器由两个不同的运营商提供,提供对公网路由
    • 防火墙、IPS 和 边界路由器都有两个,实现负载均衡和热备份。即使任何一个宕机了,都不会影响企业网络的正常运作。

    DMZ区

    DMZ(Demilitarized Zone)非军事化区,也就是隔离区,DMZ区是一个对外服务区,在DMZ区域中存放着一些公共服务器,比如对外的服务器、对外的邮箱等等。用户要从外网访问到的服务,理论上都可以放到DMZ区。

    内网可以单向访问DMZ区、外网也可以单向访问DMZ区,DMZ访问内网有限制策略,这样就实现了内外网分离。

    DMZ可以理解为一个不同于外网或内网的特殊网络区域,即使黑客攻陷了DMZ区,黑客也不能访问内网区域。

    办公区

    办公区就是企业员工日常办公的区域,办公区安全防护水平通常不高,基本的防护手段大多为杀毒软件或主机入侵检测产品。在实际的网络环境中,攻击者在获取办公区的权限后,会利用域信任关系来扩大攻击面。在一般情况下,攻击者很少能直接到达办公区,攻击者进入办公区的手段通常为 鱼叉攻击、水坑攻击 和其他社会工程学手段。

    办公区按照系统可分为OA系统、邮件系统、财务系统、文件共享系统、企业版杀毒系统、内部应用监控系统、运维管理系统等。按照网段可分为域管理网段、内部服务器系统网段、各部门分区网段等。

    核心区

    核心区内一般存放着企业最重要的数据、文档等资产。例如,域控、核心生产服务器等,安全设置也最为严格。根据业务的不同,相关服务器可能存放于不同的网段中。

    核心区按照系统可分为业务系统、运维监控系统、安全系统等,按照网段可分为业务网段、运维监控网段、安全管理网段等。

    访问限制

    当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。

    1.内网可以访问外网

    内网的用户显然需要自由地访问外网。在这一策略中,出口路由器需要进行源地址NAT转换。

    2.内网可以访问DMZ

    此策略是为了方便内网用户使用和管理DMZ中的服务器。

    3.外网不能访问内网

    很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。

    4.外网可以访问DMZ

    DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由出口路由器完成对外地址到服务器实际地址的转换。

    5.DMZ访问内网有限制

    很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。

    6.DMZ不能访问外网

    此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网。

    堡垒机

    堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。

    其从功能上讲,它综合了核心系统运维安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过运维安全审计的翻译。打一个比方,运维安全审计扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此运维安全审计能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。 

    堡垒机原理:

    堡垒机实际上是旁路在网络交换机节点上的硬件设备,实现运维人员远程访问维护服务器的跳板,即物理上并联,逻辑上串联。简单的说,就是服务器运维管理人员原先是直接通过远程访问技术进行服务器维护和操作,这期间不免有一些误操作或者越权操作,而“堡垒机”作为远程运维的跳板,使运维人员间接通过堡垒机进行对远程服务的的运维操作。如原来使用微软的远程桌面RDP进行windows服务器的远程运维,现在先访问到堡垒机,再由堡垒机访问远程windows服务器。这期间,运维人员的所有操作都被记录下来,可以以屏幕录像、字符操作日志等形式长久保存。在服务器发生故障时,就可以通过保存的记录查看到以前进行的任何操作。

    堡垒机的核心技术实际上就是微软的RDP协议,通过对RDP协议的解析,实现远程运维操作的图形审计。

    以windows远程运维操作为例,客户端通过RDP协议访问“堡垒机”,再由堡垒机内置的远程访问客户端访问远程windows服务器,即RDP+RDP。

    那么图形界面的操作是如何记录下来的呢?实际上堡垒机内部也是Windows操作系统(不一定,有时候是Windows+Linux),客户端RDP到堡垒机后,又再一次启动了新的RDP,这时堡垒机的windows桌面就是远程访问到远程服务器时的桌面,只需要把这时的桌面情况记录下来就可以了。

    由于微软的RDP协议内置了远程访问的屏幕信息,所以只需要正确的解析RDP协议的内容,并且把其中包含的视频信息抽取出来,再进行重组、压缩,就实现了图形操作的审计。

    至于字符操作的审计,如FTP,实际上堡垒机内部内置了FTP客户端程序,也是客户端主机先RDP到堡垒机,再由堡垒机启动FTP客户端程序访问远程服务器,这样还是由堡垒机作为跳板,间接地把FTP命令传送到服务器,并把服务器的响应信息反馈给客户端主机,中间的操作过程全都被记录了下来。

    堡垒机的核心功能:单点登录、账号管理、身份认证、资源授权、访问控制和操作审计

    相关文章:防火墙Firewall

                      IDS入侵检测系统

                      IPS入侵防御系统

     

    展开全文
  • 企业网络设计

    千次阅读 2019-11-26 20:13:57
    企业网络设计 一、客户需求: 1.实现NAT地址专网,达到内网可以访问外网 2.公司内部的文件服务器和数据库服务器只允许内网的用户和出差的员工通过VPN进行访问 3.本单位的WWW网站服务器(如Server3)允许外网的主机...

    企业网络设计

    一、客户需求:
    1.实现NAT地址专网,达到内网可以访问外网
    2.公司内部的文件服务器和数据库服务器只允许内网的用户和出差的员工通过VPN进行访问
    3.本单位的WWW网站服务器(如Server3)允许外网的主机访问
    4.分部可以访问总部资源
    5.实现总部内全网互通
    6.具体拓展功能见解决方案中
    7.实现安全防护
    二、网络拓补图

    图一:万达国际集团网络总拓扑图
    图一:万达国际集团网络总拓扑图

    图二:局域网拓补
    在这里插入图片描述
    三、设备清单
    华为AR201路由器4台
    华为交换机9台
    PC机若干至少500台
    服务器若干至少3台
    华为防火墙USG6000V一台
    在这里插入图片描述
    图三:华为AR路由器参数
    在这里插入图片描述
    图四:华为交换机参数
    在这里插入图片描述
    图五:深信服NGAF参数
    表格一:报价总表
    在这里插入图片描述
    四、IP地址规划
    根据网络供应商分配的地址193.60.30.128/25可以将分配的地址建立一个地址池,当需要上网时,路由器会自动从地址池分配一个地址给用户进行外网访问。
    项目部有100人,人事部100人,销售部200人,策划部20人,财务部20人,技术部50人,上海分部100人,杭州分部100人。
    上海、杭州分部内部也是使用私有ip进行通信,通过NAT实现访问外网。
    表二:IP规划
    在这里插入图片描述
    五、方案设计:
    1.在出口使用一台路由器连接网络提供商,实现内网和外网互通
    在路由器上配置NAT实现内网和外网互通
    网络供应商可以选择两家以上,原因就是防止一家网络供应出问题,可以切换到另外一家供应商,保证业务的连续性。
    总部内部使用OSPF进行全网互通
    OSPF介绍:OSPF(下称“协议”或“本协议”)仅在单一自治系统内部路由网际协议(IP)数据包,因此被分类为内部网关协议。该协议从所有可用的路由器中搜集链路状态(Link-state)信息从而构建该网络的拓扑图,由此决定提交给网际层(Internet Layer)的路由表,最终路由器依据在网际 协议数据包中发现的目的IP地址,结合路由表作出转发决策。OSPF原生支持VLSM与CIDR。
    本协议使用Dijkstra算法计算出到达每一网络的最短路径,并在检测链路的变化情况(如链路失效)时执行该算法快速收敛到新的无环路拓扑。
    本协议可以通过调整路由界面的开销值来管控数据包的流向(也就是说,OSPF通过开销值来落实管理员所制定的路由策略)。开销值是RTT、链路吞吐量、链路可用(可靠)性等衡量因素的无量纲整数表达。

    将防火墙和AR2、LSW2所在的区域规划为OSPF主干区域
    交换机LSW3、LSW4配置成三层交换机规划为OSPF区域1
    2.VLAN介绍:
    VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。
    部门之间通信以及VLAN规划
    项目部:VLAN10
    人事部:VLAN20
    销售部:VLAN30
    策划部:VLAN40
    财务部:VLAN50
    技术部:VLAN60
    VLAN之间通信:
    在交换机LSW3、LSW4下行接口与二层交换机相连的的接口配置接口类型TRunk接口,并且允许VLAN10——60通过。
    图六:VLAN规划流程
    在这里插入图片描述
    3.内部PC机的Ip配置
    通过DHCP进行动态分配地址
    DHCP介绍:
    DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。
    DHCP协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时,才会向网络主机发送相关的地址配置等信息,以实现网络主机地址信息的动态配置。DHCP具有以下功能:

    1. 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。
    2. DHCP应当可以给用户分配永久固定的IP地址。
    3. DHCP应当可以同用其他方法获得IP地址的主机共存(如手工配置IP地址的主机)。
    4. DHCP服务器应当向现有的BOOTP客户端提供服务。
      实现方法:在LSW2、LSW3进行配置,创建一个IP地址池,实现Ip地址的动态分配。

    4.交换机链路聚合
    为了保证网络的可靠性,我们在交换机LSW2和LWS3中实现链路聚合,并且配置主备链路,配置两条线路为主链路一条链路为主链路,并且配置主交换机和备用交换机,这样做是为了防止一台交换机出现问题不至于造成网络的瘫痪,保证业务的连续性与网络的可靠性。
    5.分部网络与总部网络之间的连通实现
    在分部的出口路由器和总部的入口路由器上使用PPP协议,使用广域网接口,并且配置CHAP——MD5认证,在验证成功后可以实现分部可以访问总部资源。
    PPP协议介绍: PPP协议是一种点——点串行通信协议。PPP具有处理错误检测、支持多个协议、允许在连接时刻协商IP地址、允许身份认证等功能,还有其他。PPP提供了3类功能:成帧;链路控制协议LCP;网络控制协议NCP。PPP是面向字符类型的协议。
    PPP协议的验证分为两种:一种是PAP,一种是CHAP。相对来说PAP的认证方式安全性没有CHAP高。PAP在传输password是明文的,而CHAP在传输过程中不传输密码,取代密码的是hash(哈希值)。PAP认证是通过两次握手实现的,而CHAP则是通过3次握手实现的。
    6.外出员工访问公司内网
    采用建立虚拟隧道VPN实现员工在外访问公司内网资源,需要做的是在内网中架设一台VPN服务区,外地员工只需要连接互联网后,通过互联网连接VPN服务器,然后通过VPN服务器连接到公司内网,但是为了保证数据安全,VPN服务器和客户机之间需要进行加密处理。
    六、服务器规划
    DHCP服务器:用于内网主机分配Ip
    根据所需使用子网,实现多个作用域,并将这些作用域加入进一个超级作用域,胃不痛子网内的个户籍分配相应的IP
    实现为主机分配网关IP,DNS,IP
    实现地址配出:将各服务器所使用地址在作用域内排除
    保留特定IP,使其可以长期使用

    DNS服务器:提供域名解析
    实现主要名称服务器,并建立AD集成区域
    实现允许安全动态更新DDNS,使得与DHCP服务器合作,动态更新DNS数据库
    实现转发器功能,使得内网访问互联网时DNS可将解析请求转发给ISP DNS
    实现辅助服务器:提供容错和减轻负担的功能
    FTP服务器、数据库服务器
    1.只允许公司内部员工访问,并且拒绝其外部网路的访问,可以ACL进行限制访问权限
    2.用户内部员工可以上传和下载数据,但是限制非核心员工更数据
    Web服务器(www服务器)
    1.将其发布到外网上,外部人员可以访问,但是不能进行更改
    VPN服务器
    1.实现 VPN,使外出员工、分公司网络、家庭办公员工可以访问内网资源
    2.提供仅对域用户的支持
    七、Internet规划
    1.内网用户一级代理
    2.所有内网计算机通过内外网连接的路由器利用NAT功能实现访问Internet
    3.实现ACL初步提供内外网连接的网络安全性
    4.设置防火墙只有自动获取的IP才能连接Internet
    5.禁止员工访问部分网站
    八、安全规划以及安全策略

    表三:二层常见网络攻击
    在这里插入图片描述
    防护墙实现如下功能:
    访问控制
    地址转换
    网络环境支持
    带宽管理功能
    入侵检测和攻击防御
    用户认证
    高可用性
    由于这里要求服务器有部分发布在外网上,所有我们可以采用深信服公司的NGAF进行网络安全防护,这里我们采用那个的路由模式,这种模式可以替换现有的防火墙 ,说笑呢对内网用户和服务器安全防护。
    推荐配置的安全防护策略:
    僵尸网络防护、IPS、DOS、DDOS、网页防篡改、WEB攻击检测和防御技术
    九、常见网络故障排除以及网络优化
    1.分部不能访问总部网络
    内网服务器上的网关设置有误。
    内网服务器上的服务没有开启。
    NGFW上的接口和安全区域配置有误。
    NGFW上的路由配置有误。
    NGFW上的安全策略配置有误。
    ISP Router将报文丢弃。
    2.网络优化建议:
    硬件优化。
    软件优化。
    网络扩容。
    新技术更新。
    接入安全优化
    网络监控优化

    附件:
    价格来源:华为官网、深信服官网
    参考文献:华为HCNP R&S、深信服网络安全、计算机网络教科书

    展开全文
  • 网络拓扑图及企业网络设计基本流程认识网络常见的路由协议分类:常见路由协议类型:网络层次结构:TCP/IP协议网络拓扑图企业网络设计基本流程网络设计基本原则网络拓扑设计原则网络设计的方法和思路网络架构安全域和...

    认识网络

    构建网络的目的:就是为了相互之间能够通信,而通信的目的就是为了传达信息。(信息传达和信息接收的安全性。)
    企业网络的目的:是作为企业业务的支撑平台,是企业的信息中枢。

    • 网络:被称为计算机网络,它是计算机技术和通信技术相结合的产物。
    • 节点:这里的节点就是一个个的机房以及机房里面的设备(路由器、交换机、防火墙、PC…)
    • 链路:就是有线和无线,有线:网络、光纤、电缆等等…

    网络中常见的协议:

    • VLAN技术:虚拟局域网;
    • STP技术:生成树协议;
    • VRRP技术:虚拟路由冗余协议;
    • VPN:虚拟专用网络。
      在这里插入图片描述

    常见的路由协议分类:

    • 静态:设置好路由器和主机并将路由信息固定的一种方法。
    • 动态:路由协议在进行过程中自动的设置路由控制信息的一种方法

    静态路由通常手工配置,网络发生故障时需要管理员手动修改,动态路由协议可以在由其他路可达目的主机的前题下自动学习路由,绕过故障节点。
    在这里插入图片描述

    常见路由协议类型:

    一、内部网关协议:
    内部网关协议(IGP:Interior Gateway Protocol),适用于单个ISP的统一路由协议的运行,一般由一个ISP运营的网络位于一个AS(自治系统)内,有统一的AS number(自治系统号),用来处理内部路由。


    RIP、IGRP(Cisco私有协议)、EIGRP(Cisco私有协议)、OSPF、IS-IS等都是内部网关协议。


    1、RIP(Routing Information Protocol):路由信息协议。
    是一种比较简单的内部网关协议,主要用于规模较小的网络,比如校园网以及结构较简单的地区性网络。对于更为复杂的环境和大型网络,一般不使用RIP。
    RIP是一种基于距离矢量(Distance-Vector)算法的协议,它通过UDP报文进行路由信息的交换,使用的端口号为520。其使用跳数来衡量到达目的地址的距离,为了限制收敛时间,RIP规定度量值(该值等于从本网络到达目的网络间的路由器数量)为0到15之间的整数,大于等于16的跳数将会定义为网络或主机不可达,因此RIP不适合大型网络。
    RIP有两个版本:RIP V1(有类别路由协议)和RIP V2(无分类路由协议)。


    2、IGRP(Interior Gateway Routing Protool):内部网关路由协议。
    属于Cisco的私有协议,最大跳数默认为100,现已被Cisco独立开发的EIGRP协议取代。


    3、OSPF(Open Shortest Path First):开放式最短路径优先协议。
    属于链路状态路由协议,OSPF提出了“区域(area)”的概念,每个区域中所有路由器维护着一个相同的链路状态数据库 (LSDB),其使用链路状态数据库,通过最短生成树算法(SPF算法)计算得到路由表,因此其收敛速度较快。目前OSPF协议在各种网络中广泛部署,目前针对IPv4协议使用的是OSPF Version 2(RFC2328);针对IPv6协议使用OSPF Version 3(RFC2740)。


    4、IS-IS(Intermediate System-to-Intermediate System):中间系统到中间系统路由协议。
    属于链路状态路由协议。与OSPF协议相似,其使用最短路径优先SPF(Shortest Path First)算法进行路由计算。

    二、域间路由协议
    BGP(Border Gateway Protocol):边界网关协议。
    为了维护各个ISP的独立利益,标准化组织制定了ISP间的路由协议BGP,其用来处理各ISP之间的路由传递。
    与内部网关协议不同的是,其不在于发现和计算路由,而在于控制路由的传播和选择最佳路由。

    网络层次结构:

    传统的网络层次结构是OSI七层模型,但在现实中采用的是TCP/IP协议。
    (一)OSI七层模型
    (1)物理层
    设备之间原始数据传输,数据格式比特流。
    (2)数据链路层
    将原始比特流转换成逻辑传输数据,mac地址寻址,数据格式帧。
    (3)网络层
    最复杂的一层,通信子网最高层。通过路由算法提供最佳传输路径。数据格式IP数据包。
    数据链路层解决同一网络节点间数据传输,网络层解决不同子网间通信。
    (4)传输层
    拆分数据包,提供端对端不同主机用户进程间传输数据,提供可靠或不可靠传输及流量控制,是连接通信子网和资源子网的桥梁。数据格式TCP数据包。
    (5)会话层
    不同机器用户间建立或解除会话关系。
    (6)表示层
    数据的表示方式(格式处理及编码转换)及特定功能实现(加解密、解压缩等)。
    (7)应用层
    向用户提供服务,完成用户在网络上想完成的工作。如上网、发邮件、下载ftp等。

    TCP/IP协议

    (1)链路层
    包括物理层和数据链路层链路层是通过mac地址传输数据的。
    (2)网络层
    包括多种协议。
    IP协议:通过路由选择将数据封装后交给链路层。
    ICMP协议:用于主机和路由器直接传递控制消息,常用的ping就是用这个协议。
    ARP协议:是正向地址解析协议,通过IP查找mac地址。
    RARP协议:是反向地址解析协议,通过mac地址查找IP。
    (3)传输层
    TCP协议:传输控制协议,面向连接的、可靠的、基于IP的传输层协议。
    UDP协议:用户数据报协议,提供面向事务的简单不可靠信息传送协议。
    (4)应用层
    FTP协议:文件传输协议,用于文件的上传下载。
    Telnet协议:用户远程登录服务。
    DNS协议:域名解析协议,提供域名到IP的解析。
    SMTP协议:简单的邮件传送协议,用于控制信件的发送中转。
    NFS协议:网络文件系统,用于不同主机间文件共享。
    HTTP协议:超文本传输协议,用于实现互联网访问功能。

    模型结构:

    在这里插入图片描述

    网络拓扑图

    • 拓扑简单的的说就是几何结构,是指网络中各个站点相互连接的形式,主要有总线型拓扑、星型拓扑、环形拓扑以及混合型拓扑。

    网络拓扑结构类型:

    1. 总线拓扑
      总线拓扑结构是将网络中的所有设备通过相应的硬件接口直接连接到公共总线上,结点之间按广播方式通信,一个结点发出的信息,总线上的其它结点均可“收听”到。
      优点:结构简单、布线容易、可靠性较高,易于扩充,是局域网常采用的拓扑结构。
      缺点:所有的数据都需经过总线传送,总线成为整个网络的瓶颈;出现故障诊断较为困难。最著名的总线拓扑结构是以太网(Ethernet)。
      在这里插入图片描述

    1. 星型拓扑
      每个结点都由一条单独的通信线路与中心结点连结。
      优点:结构简单、容易实现、便于管理,连接点的故障容易监测和排除。
      缺点:中心结点是全网络的可靠瓶颈,中心结点出现故障会导致网络的瘫痪。
      在这里插入图片描述

    3.环形拓扑
    各结点通过通信线路组成闭合回路,环中数据只能单向传输。
    优点:结构简单、容易实现,适合使用光纤,传输距离远,传输延迟确定。
    缺点:环网中的每个结点均成为网络可靠性的瓶颈,任意结点出现故障都会造成网络瘫痪,另外故障诊断也较困难。最著名的环形拓扑结构网络是令牌环网(Token Ring)
    在这里插入图片描述


    1. 树型拓扑
      是一种层次结构,结点按层次连结,信息交换主要在上下结点之间进行,相邻结点或同层结点之间一般不进行数据交换。
      优点:连结简单,维护方便,适用于汇集信息的应用要求。
      缺点:资源共享能力较低,可靠性不高,任何一个工作站或链路的故障都会影响整个网络的运行。
      在这里插入图片描述

    5.网状拓扑
    又称作无规则结构,结点之间的联结是任意的,没有规律。
    优点:系统可靠性高,比较容易扩展,但是结构复杂,每一结点都与多点进行连结,因此必须采用路由算法和流量控制方法。目前广域网基本上采用网状拓扑结构。
    缺点:由于结点也多个结点连接,故结点的路由选择由选择和流量控制难度大,管理软件复杂,硬件成本高。
    在这里插入图片描述
    广域网与局域网所使用的网络拓扑结构有所不同。广域网多采用分布式或树型结构,局域网常用总线型、环型、星型或树型结构

    企业网络设计基本流程

    网络设计基本原则

    网络设计的基本原则
    可靠性:要求网络在发生一定的故障时,仍然能够保证承载的业务不中断
    可扩展性:要求网络能够支持不断增加的业务量。
    可运营性:保证网络的运行和维护
    可管理性:要求网络提供标准的管理手段,便于监控和维护
    成本问题:综合考虑,选择性价比高的网络设计方案。

    网络拓扑设计原则

    在这里插入图片描述

    模块化设计原则:根据所承载的功能区域来划分不同的模块;
    层次化设计原则:根据企业需求设计网络,选用二层,三层网络模型;
    性价比:
    高性能:
    可靠性:
    安全性:

    网络设计的方法和思路

    • 模块化的设计方法、层次化的设计方法

    层次化设计的优点:
    节约成本、容易理解、有利于模块化、有利于故障隔离;
    模块化设计优点:
    将一个企业网络按照功能的不同,分为了不同的模块,不同的模块有不同的需求和特点;
    每一个模块相对独立,可以单独构建这个模块里面需要的一些结构,模块之间相互没有影响;
    便于扩容、管理,不同模块有不同的安全策略;在这里插入图片描述
    DMZ:非军事区域(官方称呼),互联网服务区或者互联网隔离区(民间称呼);


    模块的安全等级:
    安全等级由低到高:
    陌生访客–>分支机构–>DMZ–>数据中心/服务器群–>管理中心;
    分支机构一般有固定的地址;
    管理中心存储着高权限的账号,一旦被入侵,对整个网络危害最大;

    • 自上而下的设计思路和自下而上的设计思路
      在这里插入图片描述

    • 根据场景设计合适的方案
      在这里插入图片描述

    网络架构

    • 三层网络架构:接入层–>汇聚层–>核心层;
      适用场景–通常用于大型网络的构建,需要通过IP路由实现跨网段的通讯;

    • 二层网络架构:接入层–>汇聚层或者核心层;
      它的组网能力是非常有限的,一般用于中小型局域网;

    一般企业网络使用三层网络结构:

    • 接入层:终端的接入、访问控制;
    • 汇聚层:路由汇聚、流量收敛;
    • 核心层:高速数据转发、要求高可靠性。

    安全域和边界:

    企业网络的经典结构就是基于安全域的网络结构,一般包括企业数据中心,企业办公内网,DMZ区,广域网和Internet几个部分。

    企业网络各个区域之间通信受到限制,区域内部通信多不进行限制。

    为了保障企业的信息安全,我们应该从哪几个方面入手?

    1、终端计算机

    2、互联网出入口

    3、广域网出入口

    4、公司对外发布服务的DMZ服务器

    5、VPN和类似远程连接设备。

    上述五个方面,基本涵盖了公司网络边界的几个方面。

    对公司网络边界进行防护,仅仅是做好公司信息安全防护工作的第一步。

    那么接下来我们应该考虑什么呢?

    当然是如果上述五个方面被黑客攻陷了,那么我们还拿什么进行防护?

    这就涉及到了黑客攻击的几个步骤,黑客提权或者拿到设备权限之后,第一件事就是想知道我们的内网是什么样子的。

    那么,他们一定会进行内网扫描。而网络扫描这种事情,又是一种特征非常明显的网络攻击行为,非常易于识别。

    这就要求我们企业安全管理人员要重点关注内网扫描,做好被攻击后的进一步防护工作。

    由于上述5个方面易于被黑客攻陷,易于产生信息安全问题,那么我们就不能让这些区域可直接访问我们的核心资源。因此,需要进行安全域划分。同时,我们也要在各个高风险安全域的核心交换机上部署IDS,做好网络安全监控,并且在安全域出入口处部署防火墙,针对IDS产生的报警及时切断相关网络访问路径,保障损失的最小化。

    于是,企业网络安全的基本中的基本要求就是根据面临的风险,划分安全域,在安全域之间部署防火墙,在每个安全域内部署IDS。这也是我个人理解的网络安全域划分的本质安全需要。

    设计流程

    在这里插入图片描述

    • 对于小企业来说,一般参照到IP连通这个步骤。
    • 大型企业基本上可以完全参照这个流程来。

    1 . 规划
    组织策略:考虑公司的组织架构,就是公司有哪些部门。

    • 业务策略:就是公司当前的业务以及公司未来需要发展的业务。比如教育行业,物流行业等等。
    • 财务决策:公司的财务情况,能拿多少钱出来,预算是多少。

    2 . 简要的网络设计方案。

    • 设计:根据业务需求客户需要规划出网络拓扑图。
    • 需求分析:就是根据组织策略,来考虑不同部门的网络配置情况。
    • 项目计划:考虑项目进度(开始时间、完成时间)、成本多少、质量达到什么标准。
    • 设备选购:需要购买哪些设备。CPU 内存,吞吐量够不够,支持哪些协议,带机数量不同的接入,他们的流量是不一样的。

    3 . 详细设计的网络方案

    • 满足企业用户现阶段技术和业务上的需求。

    4 . 实施:根据需求规划网络

    • 新建网络:根据详细设计方案,直接进行落实。
    • 主要点:验证/测试整个网络是否满足企业在业务和技术上需求。
    • 对现有网络的改造:割接

    5 . 运营:

    • 保障企业网络业务能够持续、健康的运作。
    • 主要是对设备/系统运行进行主动监控。
    • CPU 内存 带宽 链路带宽比例。

    这些指标达到一定的预警范围,我们就需要对它进行处理(80-85%)。
    考虑是否进行扩容,
    可用性、可靠性、安全性

    6 . 提升:

    • 主要是围绕规划中的组织策略来的,针对的是企业网络在运营过程中遇到的问题。

    为什么要分析用户需求

    用户需求:即企业需求(这里的用户指的就是企业);

    IT应用:实际上就是将给我们的业务需求转换成我们的技术需求。(主要是由架构师和售前做的);

    如何分析用户需求:

    1. 识别网络现状:
      通过查看现有网络的文档;
      通过咨询相关岗位的负责人;
      通过网络监听;
      通过流量分析;
    2. 定义组织目标:
      提升客户满意度;
      扩展业务类型,增加服务项目;
      增强竞争力;
      削减开支;
    3. 组织限制:
      政策、预算、人力资源、技术资源、时间安排等客观因素;
    4. 定义技术目标:
      扩大网络容量;
      简化网络管理;
      提升网络安全;
      增强网络可靠性;
    5. 定义技术限制:
      设备限制,设备能否达到技术要求,
    展开全文
  • 注:详细文档在我的下载资源中,拓扑图如不清晰则可查看pkt文件 已将本文中的拓扑图进行了替换,改善了清晰度。...Cisco Packet Tracer v7.2.2-中小型企业网络建设最终部署文件与文章中小型企业网...

    注:详细文档在我的下载资源中,拓扑图如不清晰则可查看pkt文件

    已将本文中的拓扑图进行了替换,改善了清晰度。若还有疑问,可下载pkt文件进行查看。

    用高版本打开,本实验PKT格式文件用7.2.2版本可以打开

    环境要求:

    Cisco Packet Tracer v7.2.2软件

    说明:

    Cisco Packet Tracer v7.2.2-中小型企业网络建设最终部署文件与文章中小型企业网络建设-Cisco Packet Tracer v7.2.2思科网络模拟器实验练习(https://blog.csdn.net/weixin_39329758/article/details/90709777) 相对应;

    1.下载对应Cisco Packet Tracer v7.2.2软件,在软件中打开“中小型企业网络建设.pkt”即可。

    2.等待各个设备加载完毕即可。

    文档链接:https://download.csdn.net/download/weixin_39329758/11234846

    配置结果pkt文件链接:https://download.csdn.net/download/weixin_39329758/11234813

    Cisco Packet Tracer v7.2.2软件(64位)下载:https://download.csdn.net/download/weixin_39329758/11996158

    一、系统需求及功能

    1.系统需求:

    某集团公司拟为某地的H分公司部署局域网络,并连接到公司总部的网络。总部网络如下图所示:

    H分公司获得了总部统一分配的24位子网掩码的B类私网地址。现还需采购1台路由器、2台三层交换机、4台24口的二层交换机和1台FTP服务器,设备及相关材料由施工方采购。请设计并实施H分公司的网络建设。

    2.网络要求:

    2.1、 H网络接入到R2路由器上,使用OSPF动态路由协议,并配置为完全末梢区域;

    2.2、 H有三个部门,分别是行政部20台左右的主机(实际验收用2台主机作验证,下同),技术部20台左右的主机,工程部40台左右主机,它们必须分属3个不同的VLAN;

    2.3 、H所有主机均能通过NAT访问总部网络(以能ping通总部PC为准);

    2.4、 H的技术部允许访问H的FTP服务器(FTP服务器需部署FTP服务,其他PC部署FTP客户端,以能实现FTP上传下载为准),其他部门不能访问;

    2.5 、H网络在核心交换机处部署冗余保护,FTP服务器部署冗余保护;

    2.6、 所有主机自动获取IPv4地址。

    3.基本功能:

    3.1 、H所有主机均能通过NAT访问总部网络(以能ping通总部PC为准);

    3.2、 H的技术部允许访问H的FTP服务器(FTP服务器需部署FTP服务,其他PC部署FTP客户端,以能实现FTP上传下载为准),其他部门不能访问;

    3.3 、所有主机自动获取IPv4地址;

    3.4 、使用STP协议处理了网络之间形成的环路,不会产生广播风暴;

    二、设计方案

     

    三、系统规划设计

    1.设计流程:

    2.Vlan划分:

     

    部门

     

    Vlan

    主机数

    网络地址

    广播地址

    可用范围/子网掩码

    可用主机数

    工程部

    10

    40

    10.31.1.0

    10.31.1.63

    10.31.1.1-10.31.1.62/26

    62

    技术部

    20

    22

    10.31.1.64

    10.31.1.95

    10.31.1.65-10.1.1.94/27

    30

    行政部

    30

    22

    10.31.1.96

    10.31.1.127

    10.12.1.97-10.31.1.126/27

    30

    3.端口划分:

     

    部门

     

    主机数

    接口

    Vlan

    备注

    工程部

    40

    10.31.1.0

    SW2-1(1-22)+SW2-2(1-18)

    10

     

    技术部

    20

    10.31.1.64

    SW2-3(1-20)

    20

     

    行政部

    20

    22

    10.21.1.96

    SW-(1-20)

    30

     

    4.网络拓扑:

    以下为各部分较为清晰详细的地址等分配信息:

    四、项目脚本:

    1、二层交换机VLAN划分

    SW2-1:(工程部)

    Switch>enable
    Switch#configure terminal
    Switch(config)#hostname SW2-1
    SW2-1(config)#vlan 10
    SW2-1(config-vlan)#exit
    SW2-1(config)#interface range f0/1-22
    SW2-1(config-if-range)#switchport mode access
    SW2-1(config-if-range)#switchport access vlan 10
    SW2-1(config-if-range)#exit
    SW2-1(config)#interface range f0/23-24
    SW2-1(config)#switchport mode trunk
    SW2-1(config)#exit
    

    SW2-2:(工程部)

    Switch>enable
    Switch#configure terminal
    Switch(config)#hostname SW2-2
    SW2-2(config)#vlan 10
    SW2-2(config-vlan)#exit
    SW2-2(config)#interface range f0/1-18
    SW2-2(config-if-range)#switchport mode access
    SW2-2(config-if-range)#switchport access vlan 10
    SW2-2(config-if-range)#exit
    SW2-2(config)#interface range f0/23-24
    SW2-2(config)#switchport mode trunk
    SW2-2(config)#exit
    

    SW2-3:(技术部)

    Switch>enable
    Switch#configure terminal
    Switch(config)#hostname SW2-3
    SW2-3(config)#vlan 20
    SW2-3(config-vlan)#exit
    SW2-3(config)#interface range f0/1-20
    SW2-3(config-if-range)#switchport mode access
    SW2-3(config-if-range)#switchport access vlan 20
    SW2-3(config-if-range)#exit
    SW2-3(config)#interface range f0/23-24
    SW2-3(config)#switchport mode trunk
    SW2-3(config)#exit
    

    SW2-4:(行政部)

    Switch>enable
    Switch#configure terminal
    Switch(config)#hostname SW2-4
    SW2-4(config)#vlan 30
    SW2-4(config-vlan)#exit
    SW2-4(config)#interface range f0/1-20
    SW2-4(config-if-range)#switchport mode access
    SW2-4(config-if-range)#switchport access vlan 30
    SW2-4(config-if-range)#exit
    SW2-4(config)#interface range f0/23-24
    SW2-4(config)#switchport mode trunk
    SW2-4(config)#exit
    

    2、三层交换机端口链路聚合及与二层交换机的连通配置

            主要实现的三层交换机之间的冗余备份,将其中二层交换机与三层交换机之间用trunk线连起来。

    SW3-1:

    Switch>enable
    Switch#configure terminal
    Switch(config)#hostname SW3-1
    SW3-1(config)#vlan 10
    SW3-1(config-vlan)#exit
    SW3-1(config)#vlan 20
    SW3-1(config-vlan)#exit
    SW3-1(config)#vlan 30
    SW3-1(config-vlan)#exit
    SW3-1(config)#interface range f0/5-6
    SW3-1(config-if-range)#switchport trunk encapsulation dot1q
    SW3-1(config-if-range)#switchport mode trunk
    SW3-1(config-if-range)#channel-group 1 mode on
    SW3-1(config-if-range)#switchport mode access
    SW3-1(config-if-range)#switchport access vlan 10
    SW3-1(config-if-range)#switchport access vlan 20
    SW3-1(config-if-range)#switchport access vlan 30
    SW3-1(config-if-range)#exit
    SW3-1(config)#interface range f0/1-4
    SW3-1(config-if-range)#switchport trunk encapsulation dot1q
    SW3-1(config-if-range)#switchport mode trunk
    SW3-1(config-if-range)#exit
    SW3-1(config)#
    

    SW3-2:

    Switch>enable
    Switch#configure terminal
    Switch(config)#hostname SW3-2
    SW3-2(config)#vlan 10
    SW3-2(config-vlan)#exit
    SW3-2(config)#vlan 20
    SW3-2(config-vlan)#exit
    SW3-2(config)#vlan 30
    SW3-2(config-vlan)#exit
    SW3-2(config)#interface range f0/5-6
    SW3-2(config-if-range)#switchport trunk encapsulation dot1q
    SW3-2(config-if-range)#switchport mode trunk
    SW3-2(config-if-range)#channel-group 1 mode on
    SW3-2(config-if-range)#switchport mode access
    SW3-2(config-if-range)#switchport access vlan 10
    SW3-2(config-if-range)#switchport access vlan 20
    SW3-2(config-if-range)#switchport access vlan 30
    SW3-2(config-if-range)#exit
    SW3-2(config)#interface range f0/1-4
    SW3-2(config-if-range)#switchport trunk encapsulation dot1q
    SW3-2(config-if-range)#switchport mode trunk
    SW3-2(config-if-range)#exit
    SW3-2(config)#
    

    3、三层交换机Vlan间通信配置

            三层交换机可以实现不同vlan之间的互通,只需要打开三层交换机的路由功能(ip routing),然后二层交换机与三层交换机之间用trunk链路连接,将每个vlan封装进去即可实现不同vlan之间的通信。

    SW3-1:

    SW3-1(config)#interface vlan 10
    SW3-1(config-if)#no shutdown
    SW3-1(config-if)#ip address 10.31.1.62 255.255.255.192
    SW3-1(config-if)#exit
    SW3-1(config)#
    SW3-1(config)#interface vlan 20
    SW3-1(config-if)#no shutdown
    SW3-1(config-if)#ip address 10.31.1.94 255.255.255.224
    SW3-1(config-if)#exit
    SW3-1(config)#
    SW3-1(config)#interface vlan 30
    SW3-1(config-if)#no shutdown
    SW3-1(config-if)#ip address 10.31.1.126 255.255.255.224
    SW3-1(config-if)#exit
    SW3-1(config)#
    

    SW3-2:

    SW3-2(config)#interface vlan 10
    SW3-2(config-if)#no shutdown
    SW3-2(config-if)#ip address 10.31.1.62 255.255.255.192
    SW3-2(config-if)#exit
    SW3-2(config)#
    SW3-2(config)#interface vlan 20
    SW3-2(config-if)#no shutdown
    SW3-2(config-if)#ip address 10.31.1.94 255.255.255.224
    SW3-2(config-if)#exit
    SW3-2(config)#
    SW3-2(config)#interface vlan 30
    SW3-2(config-if)#no shutdown
    SW3-2(config-if)#ip address 10.31.1.126 255.255.255.224
    SW3-2(config-if)#exit
    SW3-2(config)#
    

    4、路由器配置

    用ospf动态路由实现网络层的通信,给三层交换机与路由器相通的端口也配置IP地址,实现传输层到网络层的通信。

    R3:

    Router>enable
    Router#configure terminal
    Router(config)#hostname R3
    R3(config)#interface loopback 1
    R3(config-if)#no shutdown
    R3(config-if)#ip address 10.31.1.254 255.255.255.255
    R3(config-if)#exit
    R3(config)#interface g0/0
    R3(config-if)#no shutdown
    R3(config-if)#ip address 10.31.1.130 255.255.255.252
    R3(config-if)#exit
    R3(config)#interface g0/1
    R3(config-if)#no shutdown
    R3(config-if)#ip address 10.31.1.133 255.255.255.255
    R3(config-if)#exit
    R3(config)#interface g0/2
    R3(config-if)#no shutdown
    R3(config-if)#ip address 10.31.1.137 255.255.255.252
    R3(config-if)#exit
    R3(config)#router ospf 10	
    R3(config-router)#router-id 10.31.1.254 
    R3(config-router)#network 10.31.1.254 0.0.0.0 area 1
    R3(config-router)#network 10.31.1.128 0.0.0.3 area 1
    R3(config-router)#network 10.31.1.132 0.0.0.3 area 1
    R3(config-router)#network 10.31.1.136 0.0.0.3 area 1
    R3(config-router)#exit
    

    R2

    Router>enable
    Router#configure terminal
    Router(config)#hostname R2
    R2(config)#interface loopback 1
    R2(config-if)#no shutdown
    R2(config-if)#ip address 10.31.1.253 255.255.255.255
    R2(config-if)#exit
    R2(config)#interface g0/0
    R2(config-if)#no shutdown
    R2(config-if)#ip address 10.31.1.129 255.255.255.252
    R2(config-if)#exit
    R2(config)#interface g0/1
    R2(config-if)#no shutdown
    R2(config-if)#ip address 10.31.2.1 255.255.255.0
    R2(config-if)#exit
    R2(config)#router ospf 10	
    R2(config-router)#router-id 10.31.1.253 
    R2(config-router)#network 10.31.1.253 0.0.0.0 area 0
    R2(config-router)#network 10.31.2.0 0.0.0.255 area 0
    R2(config-router)#network 10.31.1.128 0.0.0.3 area 1
    R2(config-router)#exit
    

    R1:

    Router>enable
    Router#configure terminal
    Router(config)#hostname R1
    R1(config)#interface loopback 1
    R1(config-if)#no shutdown
    R1(config-if)#ip address 10.31.1.252 255.255.255.255
    R1(config-if)#exit
    R1(config)#interface g0/1
    R1(config-if)#no shutdown
    R1(config-if)#ip address 10.31.2.2 255.255.255.0
    R1(config-if)#exit
    R1(config)#interface g0/0
    R1(config-if)#no shutdown
    R1(config-if)#ip address 10.31.3.1 255.255.255.0
    R1(config-if)#exit
    R1(config)#router ospf 10	
    R1(config-router)#router-id 10.31.1.252 
    R1(config-router)#network 10.31.1.252 0.0.0.0 area 0
    R1(config-router)#network 10.31.2.0 0.0.0.255 area 0
    R1(config-router)#network 10.31.3.0 0.0.0.255 area 0
    R3(config-router)#exit
    

    SW3-1:

    SW3-1(config)#ip routing
    SW3-1(config)#interface f0/24
    SW3-1(config-if)#no switchport
    SW3-1(config-if)#ip address 10.31.1.134 255.255.255.252
    SW3-1(config-if)#exit
    SW3-1(config)#router ospf 10
    SW3-1(config-router)#network 10.31.1.132 0.0.0.3 area 1
    SW3-1(config-router)#network 10.31.1.0 0.0.0.63 area 1
    SW3-1(config-router)#network 10.31.1.64 0.0.0.31 area 1
    SW3-1(config-router)#network 10.31.1.96 0.0.0.31 area 1
    SW3-1(config-router)#exit
    SW3-1(config-router)#
    

    SW3-2:

    SW3-2(config)#ip routing
    SW3-2(config)#interface f0/24
    SW3-2(config-if)#no switchport
    SW3-2(config-if)#ip address 10.31.1.134 255.255.255.252
    SW3-2(config-if)#exit
    SW3-2(config)#router ospf 10
    SW3-2(config-router)#network 10.31.1.132 0.0.0.3 area 1
    SW3-2(config-router)#network 10.31.1.0 0.0.0.63 area 1
    SW3-2(config-router)#network 10.31.1.64 0.0.0.31 area 1
    SW3-2(config-router)#network 10.31.1.96 0.0.0.31 area 1
    SW3-2(config-router)#exit
    SW3-2(config-router)#
    

    5、特殊区域配置

            题目要求,H网络接入到R2路由器上,使用OSPF动态路由协议,并配置为完全末梢区域,所以将area 1 区域设置为total stub(完全末梢区域)。

    R2

    R2(config)#router ospf 10	
    R2(config-router)#area 1 stub no-summary
    R2(config-router)#exit
    

    R3:

    R3(config)#router ospf 10	
    R3(config-router)#area 1 stub no-summary
    R3(config-router)#exit
    

    SW3-1:

    SW3-1(config)#router ospf 10	
    SW3-1(config-router)#area 1 stub no-summary
    SW3-1(config-router)#exit
    

    SW3-2:

    SW3-2(config)#router ospf 10	
    SW3-2(config-router)#area 1 stub no-summary
    SW3-2(config-router)#exit
    

    6、防环处理

            开启三层交换机和二层交换机的生成树协议,实现防环处理,防止网络风暴的发生。并通过设置根交换机的优先级,使SW3-1作为主根,SW3-2作为次根。

    SW3-1

    SW3-1(config)#spanning-tree vlan 10
    SW3-1(config)#spanning-tree vlan 20
    SW3-1(config)#spanning-tree vlan 30
    SW3-1(config)#spanning-tree vlan 10 priority 4096
    SW3-1(config)#spanning-tree vlan 20 priority 4096
    SW3-1(config)#spanning-tree vlan 30 priority 4096
    

    SW3-2

    SW3-2(config)#spanning-tree vlan 10
    SW3-2(config)#spanning-tree vlan 20
    SW3-2(config)#spanning-tree vlan 30
    SW3-2(config)#spanning-tree vlan 10 priority 8192
    SW3-2(config)#spanning-tree vlan 20 priority 8192
    SW3-2(config)#spanning-tree vlan 30 priority 8192
    

    7、DHCP地址池配置

            DHCP服务可以实现动态获取IP地址的功能,可以在三层交换机上搭建一个无中继DHCP服务,从而使三个部门动态获取IP地址。在R1上搭建一个无中继DHCP服务,从而使H主网的PC机实现动态获取IP地址。

    SW3-1

    SW3-1(config)#service dhcp
    SW3-1(config)#ip dhcp pool vlan10
    SW3-1(config-pool)#network 10.31.1.0 255.255.255.192
    SW3-1(config-pool)#dns-server 4.4.4.4
    SW3-1(config-pool)#default-router 10.31.1.62
    SW3-1config-)#ip dhcp excluded-address 10.31.1.62
    SW3-1(config)#ip dhcp pool vlan20
    SW3-1(config-pool)#network 10.31.1.64 255.255.255.224
    SW3-1(config-pool)#dns-server 4.4.4.4
    SW3-1(config-pool)#default-router 10.31.1.94
    SW3-1(config)#ip dhcp excluded-address 10.31.1.94
    SW3-1(config)#ip dhcp pool vlan30
    SW3-1(config-pool)#network 10.31.1.96 255.255.255.224
    SW3-1(config-pool)#dns-server 4.4.4.4
    SW3-1(config-pool)#default-router 10.31.1.126
    SW3-1(config)#ip dhcp excluded-address 10.31.1.126
    

    SW3-2

    SW3-2(config)#service dhcp
    SW3-2(config)#ip dhcp pool vlan10
    SW3-2(config-pool)#network 10.31.1.0 255.255.255.192
    SW3-2(config-pool)#dns-server 4.4.4.4
    SW3-2(config-pool)#default-router 10.31.1.62
    SW3-1(config-)#ip dhcp excluded-address 10.31.1.62
    SW3-2(config)#ip dhcp pool vlan20
    SW3-2(config-pool)#network 10.31.1.64 255.255.255.224
    SW3-2(config-pool)#dns-server 4.4.4.4
    SW3-2(config-pool)#default-router 10.31.1.94
    SW3-2(config)#ip dhcp excluded-address 10.31.1.94
    SW3-2(config)#ip dhcp pool vlan30
    SW3-2(config-pool)#network 10.31.1.96 255.255.255.224
    SW3-2(config-pool)#dns-server 4.4.4.4
    SW3-2(config-pool)#default-router 10.31.1.126
    SW3-2(config)#ip dhcp excluded-address 10.31.1.126
    

    R1

    R1(config)#service dhcp	
    R1(config)#ip dhcp pool hostdhcp
    R1(config-pool)#network 10.31.3.0 255.255.255.0
    R1(config-pool)#dns-server 4.4.4.4
    R1(config-pool)#default-router 10.31.3.1
    R1(config-pool)#ip dhcp excluded-address 10.31.3.1
    R1(config)#
    

    8、NET配置

            将公司主网与Area1区域连接的端口配置NAT设置,将与主网连接的端口设置为内网,与分公司相连的网络配置为外网。

    R3:

    R2(config)#interface range g0/1-2
    R2(config-if)#ip nat inside 
    R2(config-if)#exit
    R2(config)#interface range g0/0
    R2(config-if)#ip nat outside 
    R2(config-if)#exit
    

    9、FTP配置
            对ftp服务器做冗余保护,所以将FTP分别连接到SW3-1和SW3-2 的fastEthernet0/23端口,给SW3-1和SW3-2 的fastEthernet0/23端口配置IP地址,给FTP服务器的fastEthernet 0和fastEthernet 1接口配置IP地址。

    SW3-1

    SW3-1(config)#interface f0/23
    SW3-1(config-if)#no switchport
    SW3-1(config-if)#ip address 10.31.1.141 255.255.255.252
    SW3-1(config-if)#no shutdown
    SW3-1(config-if)#exit
    SW3-1(config-if)#router ospf 10
    SW3-1(config-router)#network 10.31.1.140 0.0.0.3 area 1
    SW3-1(config-router)#exit
    

    SW3-2:

    SW3-2(config)#interface f0/23
    SW3-2(config-if)#no switchport
    SW3-2(config-if)#ip address 10.31.1.145 255.255.255.252
    SW3-2(config-if)#no shutdown
    SW3-2(config-if)#exit
    SW3-2(config-if)#router ospf 10
    SW3-2(config-router)#network 10.31.1.144 0.0.0.3 area 1
    SW3-2(config-router)#exit
    

    10、ACL控制列表配置配置

            访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包,ACL适用于所有的路由协议。配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。通过配置访问控制列表可以实现只有技术部可以访问FTP服务的要求。且cisco模拟器中的控制列表默认拒绝访问,只需配置一条允许技术部访问的列表即可。

    SW3-1

    SW3-1(config)#access-list 1 permit 10.31.1.64 0.0.0.31
    SW3-1(config)#interface f0/23
    SW3-1(config-if)#ip access-group 1 out
    SW3-1(config-if)#exit
    

    SW3-2:

    SW3-2(config)#access-list 1 permit 10.31.1.64 0.0.0.31
    SW3-2(config)#interface f0/23
    SW3-2(config-if)#ip access-group 1 out
    SW3-2(config-if)#exit
    

    五、测试与验证:

    1、连通性验证(ping)

    (1)vlan间通信(不同部门间的通信)

     

    (2)访问总公司

    (3)链路聚合验证(show etherchannel summary)

    SW3-1:

    SW3-2:

    生成树验证(show spanning-tree)

    SW3-1: 

    vlan10:

    vlan20:

    vlan30:

    SW3-2:

    vlan10:

    vlan20:

    vlan30:

    访问控制列表验证(show ip access-list)

    SW3-1:

    FTP服务验证(ftp 10.31.1.142)

    技术部:

    其他部门:

    完全末梢区域(total stub)验证(show ip route)

    R3:

    SW3-1:

    SW3-2:

    DHCP动态获取IP地址验证

    工程部:

    技术部:

    行政部:

    六、任务分工:

            本实验所有过程为我个人独立完成。

    七、总结收获:

            通过综合实验,把数据通信中的知识点立即的更清楚了。明白了vlan划分、聚合链路、生成树、ACL、NAT等的作用,知道了vlan见通信的配置方式由单臂路由、三次交换机上的vlan通信等。

     

    展开全文
  • 浅谈企业网络安全边界

    万次阅读 2018-09-20 09:36:21
    企业网络安全关键在找准安全边界(攻击点):边界的左边是攻击者(脚本小子、骇客、APT攻击),边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防,尽可能做到安全边界不被攻破。 然而随着业务...
  • 企业网络基本架构

    千次阅读 2019-12-04 22:28:59
    企业网络基本架构(分层架构,可靠性设计) 终端 :pc 打印机 电话 等 接入层:交换机 汇聚层:交换机 核心层:路由器(接外网 WAN) 服务器集群:储存内部流量 网络模型 1.信息 2.文字—编码(二进制) 3.纸—数据 ...
  • 企业网络建设拓扑

    千次阅读 2019-09-24 10:42:56
    1.通过实验了解企业网络建设拓扑方案 2.加深熟悉在建设中运用到的网络协议 3.锻炼自己的排错能力 二、实验器材 公司内部: 1.接入层:二层交换机x4 2.汇聚层:三层交换机x2 3.核心层:三层交换机x2 4.边界:路由器x2...
  • Web安全-企业网络架构

    千次阅读 2020-02-04 12:14:58
    在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。 先来看看一个典型的企业网络拓朴图(图中防火墙和IPS需更换位置): 网络拓朴简析: 出口路由器由两个不同的运营商...
  • 中小型企业网络架构实验

    千次阅读 2019-09-05 20:21:57
    中小型企业网络架构综合实验 一、实验目的: 熟练掌握中小型企业网络架构的基本配置和原理 二、实验器材: 华为交换机10台、华为路由器5台、主机若干 三、实验要求: 1.r1 g0/0/0所连子网为192.168.1.0/24...
  • 中小型企业网络构建

    千次阅读 2018-05-11 23:38:36
    中小型企业网络构建一、VLAN概述1、什么是VLAN? -- Virtual LAN(虚拟局域网)是物理设备上连接的不受物理位置限制的用户的一个逻辑组。 2、为什么要引入VLAN? -- 交换机分割了冲突域,但是不能分割广播域 -- ...
  • HCNA小型企业网络配置

    千次阅读 2019-05-28 20:42:49
    HCNA小型企业网络配置需求:各设备的配置 需求: 1、VLAN10、20的PC自动获取IP地址,DHCP服务器为LSW1 2、配置服务器,使内部VLAN10、20的PC可通过域名访问内部网站及互联网网站 3、使内部VLAN0、20的PC访问互联网...
  • 基于Packet trace的小型企业网络设计

    千次阅读 2020-04-12 15:44:30
    通过思科模拟器,利用PC,二层交换机,三层交换机,路由器,服务器,等设备设计小型企业网络,模拟现实场景中企业用户的上网需求。为企业划分经理室,财务部,技术部,人事部等四个部门,满足各部门间的通信需求。...
  • 大型企业网络系统集成的设计方案

    千次阅读 2019-01-02 11:05:30
    由于目前网络技术复杂多样化,企业网络系统集成不再那么简单,必须经过详细、周密的规划设计,才能确保网络系统达到目的,那么企业网络系统集成需遵循哪些原则?企业网络系统集成方案又该如何设计呢? 网络系统...
  • NETWORK06 - 企业网络拓扑图

    千次阅读 2018-09-09 11:35:28
    原 NETWORK06 - 企业网络拓扑图 ...
  • 架构企业网络服务器 【实验环境】 Windows server 2012(边界服务器,有两张网卡,左网卡直连Internet,右网卡直连内部局域网) Windows 7(处于Internet中的客户机) 【实验内容及步骤】 (1)IP地址分配 客户...
  • 一般来讲,中小型企业都缺少专职的IT网络架构和IT服务人员,很多企业都会选择把这些服务外包出去,达到...通常情况下,对于不到十台左右电脑的企业网络而言,工作组网络是最经济的选择。虽然您企业显然不能像在域网...
  • 企业网络安全区域划分的原则和方法 点击蓝字关注
  • 企业网络规划和设计方案(一)

    万次阅读 多人点赞 2018-07-04 01:01:57
    企业网络规划和设计方案 一.工程概况公司有一栋独立大楼,高4层,每层面积2000平方米。由研发技术部(成员60人,分成硬件(25)和软件(35)2大部门)、生产部(主要产品是手持电子产品,110人,管理人员10人)和...
  • 中小型企业网络架构(一)

    千次阅读 2020-10-28 20:20:46
    #中小型企业网络架构拓步图(第一部分)** 注:本人是初学者,欢迎各位大佬指教。 完全体 第一部分制作要求: 需求分析: 1:需要创建6个VLAN局域网; 2:IP地址设定无误; 3:需配置DHCP服务器; 4:需配置VRRP,...
  • 企业网络营销已经是大势所趋,无论是新兴互联网企业还是传统企业都已深刻认识到互联网对企业发展所能产生的巨大能量。网络品牌形象塑造、开拓电商平台是企业对互联网的两大基本运用。当前大数据运用兴起,传统企业在...
  • 完全使用开源免费软件的科技企业网络系统(预告) 一些朋友问我,写 “OPNsense - 多功能高可靠易使用的防火墙” 的目的是什么?这种类型的文章已经有很多了,多你一个不多,少你一个不少。这篇博文只是系列中的...
  • 中小企业网络建设时要考虑哪些需求因素?我们能从几个方面可以去回答这个问题?
  • 企业网络的架构

    万次阅读 2018-07-12 17:01:04
    此方案将网络在逻辑上分为不同的区域:接入、汇聚、核心区域,数据中心区域,DMZ区域,企业边缘,网络管理区域等。此网络使用了一个三层的网络架构,包括核心层,汇聚层,接入层。将网络分为三层架构有诸多优点:每...
  • 企业网络综合解决方案

    千次阅读 2012-09-24 13:03:13
    企业网络综合解决方案 一、前言 随着时代的发展,全球正在进入一个崭新的知识经济时代,无穷无尽的知识和 信息通过网络传输,以空前未有的深度和广度,影响和改变着每一个企业。能否及 时获取信息、反馈信息...
  • 第三章——典型企业网络架构 总结

    千次阅读 2018-07-10 00:42:32
    【本文根据《计算机网络(第二版)》进行考点总结】第三章*3.1Q:企业网络架构要点?答:1.总部和分部通过运营商连接2.企业总部采用层次化网络模型3.企业分部采用扁平化结构4.边缘区:边界路由器+防火墙5.内部应用和...
  • 企业网络架构案例

    千次阅读 2018-08-13 21:56:33
    企业需要对外提供web服务,对内提供PXE装机、dhcp、dns、nfs、远程管理等服务。 二.项目要求: (一)部署管理服务器ADM: 1.部署PXE+kickstart自动化装机,只为服务器区提供自动装机。 2.部署...
  • 小型企业网络规划与组建方案

    千次阅读 2014-05-13 03:19:23
    小型企业网络规划与组建方案导读:小型局域网络通常有网络应用单纯,结构相对简单的特点,本文介绍了小企业信息化常用的几种解决方案。关键词:小型局域网络网络规划与组建方案 随着信息技术的快速发展,小型商用...
  • 企业网络营销信息源类别及传递渠道调查 一、样本选择:在搜索引擎上搜索高青县企业,得到较知名的企业有国井集团、山东隆华新材料股份有限公司、淄博飞源化工集团、山东侨牌集团;学校有高青县第一中学等。 二、样本...
  • 计算机网络设计——企业网络规划与搭建

    千次阅读 多人点赞 2020-11-29 17:03:40
    在科学技术飞速发展的时代,网络互联技术显示出了它蓬勃发展的生命力,它逐渐进入了人们的家居生活,使得当今社会的智能化和网络化越来越来明显。人们对居住环境的要求也随着计算机的普及和信息产业的发展而大大提高...
  • 漫谈中小企业网络构建和维护

    千次阅读 2017-03-13 16:30:22
    安排是先《计算机网络技术》陈述理论,接着《中小企业网络构建与维护》上实操。  子网划分考虑因素:子网的个数、每一个子网中能容纳的主机数。在给公司划分子网时最好使用B类地址,公司有总部、子公司还要考虑...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 83,392
精华内容 33,356
关键字:

企业网络