精华内容
下载资源
问答
  • 企业网网络安全规划
    千次阅读
    2022-03-21 11:16:31

    你永远想不到网络安全对于公司的重要性首先网络安全相当于人体的各类器官,是一个重要组成部分,而且是必不可少的,如果网络安全出现问题就相当于“千里之堤毁于蚁穴”,那我们平时面临的网络安全问题都有哪些呢?

    一是人为被动攻击

    通过访问不正规网站招致病毒木马泛滥,广告弹窗频现cpu运行过大

    通过电子邮件微信、qq、手机短信或者网站以及各类社交软件的虚假信息来欺骗用户,比如钓鱼式攻击。

     

    二是人为主动攻击

    网络上的大多数攻击就是通过主动攻击。比如员工离职带走公司资料、公司数据丢失。以及传输公司内部的私密资料,当然这些也都是违法的,

    三是来自公司内部的攻击

    一些公司硬件设施老化,不舍得花钱买新设备,老化运行慢,电脑卡顿,硬件一旦出现问题就有可能导致数据丢失。

    云数据库升级跟不上,一些企业网络硬盘空间不足从而让正常的网络用户无法获得服务器的响应。

    四是漏洞式攻击

    在这个世界上没有任何十全十美的东西,网络当然也不例外,而且网络攻击都是不可见在无形之中的,攻击方可通过系统或者企业网络的漏洞,进入用户的系统,可以瞬间完成各类攻击最常见的就是ddos攻击和cc攻击

    而这所有的攻击方式中,不管出现哪一种,都会给企业带来损失。

    那作为企业我们应该如何保证网络安全呢

    在之前的文章也给大家讲过,感兴趣的朋友可以去翻翻之前的,在这里小蚁君再给大家简单的讲解一下,

    • 实施防火墙策略
    • 限制系统物理访问
    • 进行相关的审计和监控
    • 禁止使用不必要的服务
    • 完善管理制度
    • 对电脑进行垃圾清理和进行入侵检测,
    • 接入一个合适的安全防御系统

    大家有不什么不懂的也可以来咨询我,

    更多相关内容
  • 同部门之间采用二层交换网络相连;不同部门之间采用VLAN路由方式互访。企业有一台内部web服务器,承载着内部网站,方便员工了解公司的即时信息。局域网路由器启用多种路由协议(静态路由、动态路由协议),并实施路由...

    某大中型企业。有多个部门,财务部、人事部、销售部、工程部。同部门之间采用二层交换网络相连;不同部门之间采用VLAN路由方式互访。

    企业有一台内部web服务器,承载着内部网站,方便员工了解公司的即时信息。局域网路由器启用多种路由协议(静态路由、动态路由协议),并实施路由控制、负载均衡、访问限制等功能。

    企业有一条专线接到运营商用以连接互联网,由于从运营商只获取到一个公网IP地址,所以企业员工访问互联网需要做NAT网络地址转换。

    85fbf608-c415-eb11-8da9-e4434bdf6706.png

    需求分析:

    一、基础配置按照拓扑搭建网络:

    1、为R1/Internet/Core1/ Core2/SW1/SW2/SW3/SW4命名。

    2、在Core1/ Core1上设置特权密文密码123456。

    3、配置R1 Core1/ Core1/Internet互联接口。

    4、配置PC1-PC8的IP地址,采用DHCP自动获取方式配置。

    财务部:PC1、PC3;172.16.1.0 172.16.1.254 vlan10

    人事部:PC2、PC6;172.16.2.0 172.16.2.254 vlan20

    销售部:PC4、PC8;172.16.3.0 172.16.3.254 vlan30

    工程部:PC5、PC7;172.16.4.0 172.16.4.254 vlan40

    5、IP地址规划,本次规划地址:

    自己规划内网的IP地址,但必须用私网IP,可用IP外围如下:

    IP:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16

    R1与Internet之间用:200.1.1.0/24

    PC9:200.200.200.200/24 GW:200.200.200.254/24

    二、交换部分

    1、Core1/ Core2/SW1/SW2/SW3/SW4的连接接口封装为Trunk。

    2、在Core1/ Core2/SW1/SW2/SW3/SW4配置VTP, 域名为Cisco。Core1作为Server;其他交换机作为Client,设置密码。

    3、按规划好的VLAN并创建这几个VLAN,分别给销售部VLAN命名为sales;人事部VLAN命名为hr;财务部VLAN命名为cw;工程部VLAN命名为gcb。并把相应的接口划分到所属vlan中。

    4、Core1/ Core2连接接口做Etherchannel捆绑(聚合)。要求使用Cisco PAGP协议中的主动协商模式。

    5、在Core1上启用DHCP服务, 并建立对应VLAN(根据规划的VLAN及IP地址)的地址池,为财务部、人事部、销售部、工程部电脑提供DHCP服务。其中DNS:202.103.224.68,其他默认配置。

    三、路由部分

    1、在R1上配置默认路由,出口指向运营商。

    2、在Internet路由器上也配置默认路由。

    3、[OSPF]在R1/ Core1/ Core2上配置单区域(area 0)OSPF,使得全网互通[R1与运营商Internet互联的接口不宣告]。

    4、在Core1/ Core2配置HSRP路由冗余功能,使得财务部、人事部数据流量默认走Core1;销售部、工程部数据流量走Core2。

    路由部分必须每完成一步检查现象!

    四、安全部分

    1、在Core1上做ACL访问限制: 除PC5以外,其他用户都可以ping通web server服务器;内网用户都可以访问企业网站(web server服务器),但内部服务器web server不能访问外网。

    2、在SW1/SW3上启用端口安全功能,配置接入PC的端口,允许最大两个不同的MAC地址通过,如果违规,则SW1采用限制(Restrict)模式;SW3采用禁用(shutdown)模式。

    五、广域网部分

    1、在R1上配置PAT,使得企业内部所有PC都能访问互联网(ping通运营商的200.200.200.200),至此:内网PC全部互联,都可以访问内部网站。

    2、在R1上配置静态NAT,把web服务器映射到公网IP:200.1.1.3,使得PC9能够访问到企业的网站。

    实施:

    NAT的地址转换:

    89fbf608-c415-eb11-8da9-e4434bdf6706.png

    外网能访问内网的服务器网站:

    8afbf608-c415-eb11-8da9-e4434bdf6706.png

    PC1与服务器连通性:

    90fbf608-c415-eb11-8da9-e4434bdf6706.png

    PC1访问内部服务器:

    94fbf608-c415-eb11-8da9-e4434bdf6706.png

    内网通信:

    98fbf608-c415-eb11-8da9-e4434bdf6706.png

    与外网通信:

    9afbf608-c415-eb11-8da9-e4434bdf6706.png

    PC5访问不到服务器:

    9dfbf608-c415-eb11-8da9-e4434bdf6706.png

    PC5与外网连通性:

    a2fbf608-c415-eb11-8da9-e4434bdf6706.png

    服务器不能访问外网:

    a4fbf608-c415-eb11-8da9-e4434bdf6706.png

    外网与内网的通信:

    a7fbf608-c415-eb11-8da9-e4434bdf6706.png

    NAT静态地址转换:

    aefbf608-c415-eb11-8da9-e4434bdf6706.png

    OSPF路由:

    b3fbf608-c415-eb11-8da9-e4434bdf6706.png

    DHCP配置:

    b8fbf608-c415-eb11-8da9-e4434bdf6706.png

    HSRP配置:

    bbfbf608-c415-eb11-8da9-e4434bdf6706.png

    路由和ACL配置:

    bcfbf608-c415-eb11-8da9-e4434bdf6706.png

    VTP配置:

    c1fbf608-c415-eb11-8da9-e4434bdf6706.png

    端口安全配置:

    c3fbf608-c415-eb11-8da9-e4434bdf6706.png
    c5fbf608-c415-eb11-8da9-e4434bdf6706.png

    PC自动获取IP地址:

    c7fbf608-c415-eb11-8da9-e4434bdf6706.png

    案例:办公楼的网络建设架构方案(含监控规划)

    办公楼的网络系统设计,既有有线网络系统,也有无线覆盖系统。

    并且安防系统的网络系统有时候会单独设计,有时候和计算机网络系统共用局域网。

    今天的案例重点介绍计算机网络和视频监控组网方式与选择。

    cbfbf608-c415-eb11-8da9-e4434bdf6706.png

    某办公楼拟建总建筑面积约7500㎡;建筑类型为高层建筑,地上1-6层。

    1

    计算机网络系统建设架构

    计算机网络系统主要是大楼内部各部门的网络应用以及为大楼的管理和各种应用搭建一个灵活应用,安全可靠的硬件平台。

    将大楼的网络按部门分为若干个逻辑网段,将大楼的各种PC机、工作站、终端设备和局域网连接起来,并与广域网相连,形成结构合理、内外沟通的计算机网络系统。

    并在此基础上建立能满足商务、办公自动化和管理需要的软硬件环境,开发各类信息库和应用系统,为大楼内的工作人员、访客提供充分、便捷的网络信息服务。

    cffbf608-c415-eb11-8da9-e4434bdf6706.png

    2

    数据交换网络建设架构

    计算机网络系统分内部办公网、外网。

    各个网络拓扑为星型结构,采用分层设计,层次网络架构包括:接入层、核心层等二层,建立网络主干千兆,百兆到桌面的网络应用。

    1) 物理网络描述

    根据大楼业务网运营数据的特点,内部办公网、外网相互之间逻辑隔离。

    中心网络采用多链路100M光纤链路INTERNET接入,以大容量高速骨干交换为网络核心,千兆光纤下行至各楼层小机房的全千兆接入二层交换,以及采用无线交换机对整个无线网路进行统一的管理。

    终端采用无线或有线方式实现用户网络接入,确保楼内网络的灵活性和可扩展性。同时在网络边界防火墙出开出独立DMZ区域,作为中心核心数据管理存储中心,对内外提供不同服务。

    依托物理平台,充分考虑当前各类应用以及网络数据的传输质量,采用虚拟局域网技术依据不同应用方向划分独立子网,有效地防止广播风暴及各类安全隐患在网络中的蔓延,确保各子网数据独立高效运行。

    2) 内网描述

    内部办公网面向中心内部用户,主要用于承载中心内部各类应用,如:OA、多媒体、 网络管理等无须上INTERNET的业务。

    子网内部通过部署防火墙,审计,行为管理等安全产品实现内部用户对于各类应用数据访问的可控可管,确保中心日常办公应用及本地数据交换的高效性,具体部署根据实际需求利用VLAN等多种技术手段实现管理和区分。

    OA办公系统应用于内部信息系统,为全中心提供完善的办公自动化服务,实现无纸化办公,提高工作效率。

    功能包括收发文管理、办公管理、信息采编、公共信息管理、个人事务管理、内部邮件、即时通讯、信息检索等模块等。

    全面实现全局无纸化网上办公,实现的功能包括行政办公,公共信息。

    3) 外网描述

    办公外网主要为:中心数据、物流查询功能的Internet接入服务、远程资源共享、信息流转、系统远程视频会议等,为各类中心内部及流动用户提供全面高效的数据访问和交互平台。

    d0fbf608-c415-eb11-8da9-e4434bdf6706.png

    3

    视频监控网络建设架构

    视频监控网络作为数据网络的子网,前端接入层独立于数据网络之外,采用汇聚层专注用于监控数据传输,最后汇入核心层。

    网络拓扑为星型结构,采用分层设计,层次网络架构包括:接入层、汇聚层、核心层等三层,建立网络主干千兆,百兆到终端的网络应用。

    1) 终端信号采集

    采用终端网络摄像机进行视频信号采集,采集数据为数字信号,无须在终端部署视频服务器等转换设备,降低投入成本。

    且通过网络摄像机可以实现和其他安防监控系统实现联动,进一步提高产品利用率,使应用更高效。且网络摄像机基于IP架构,所有监控设备均通过IP链路连接,管理方便。

    2) 监控数据传输

    终端通过部署基于IP的网络摄像机,将视频信号直接以数字形式通过IP链路最终在监控核心交换处汇聚。

    考虑到数据传输质量和实时性要求高,因此在核心交换位置采用大容量高速骨干交换对数据进行分发交换。

    3) 监控数据存储

    所有监控终端监控视频数据将通过IP链路汇聚后集中,采用IP-SAN模式实现高速实时存储,同属部署大容量存储阵列对规定时间段内所有监控数据进行存储备份,已备后续查询。

    4) 实时监控及管理

    在核心交换处旁路模式部署监控管理服务器,自动扫描发现所有监控中所有设备,并形成对应拓扑,并利用监控管理服务器对监控终端进行维护及数据采集和传输的控制。

    同时采用千兆光链路将数据传输至安保监控中心,通过电视墙实时显示。

    d3fbf608-c415-eb11-8da9-e4434bdf6706.png

    4

    数据交换网络建设部署

    1) 核心交换部署

    终端节点约500个,部署千兆核心交换机,设置在2层信息中心主机房网络设备柜。

    采用2台支持3层交换路由功能高性能的核心交换机做双中心冗余,所有的接入层交换机采用2条千兆光纤链路连到2台核心交换机上,保证链路的冗余。服务器群通过2条千兆链路以冗余的方式连接到2台核心交换机。

    采用VLAN划分策略对楼内网络终端、不同部门的终端、视频会议应用、智能化各子系统等划分VLAN;同一部门可以跨楼层进行相互访问,不同的部门间未经允许不能进行访问,不同VLAN间的通信通过核心交换机实现。负责内网络的转发。

    采用模块化核心交换机,核心交换机具有1Tbps以上的背板交换容量,支持3层交换的路由功能,实现高性能的核心转发,支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能,保证了网络核心的高稳定性和可扩展性。

    各核心交换机配置2个电源,实现电源冗余备份;配置千兆的光口/电口板卡,负责服务器群、网络管理、网络安全系统、链路热备及负载均衡网络的接入。

    2) 楼层接入部署

    部署百兆接入交换机,设置在各楼层小机房网络设备柜和保安监控室的网络设备柜,负责接入各终端计算机、无线AP等。

    各接入交换机采用可网管二层交换机,支持端口聚合、VLAN、STP、SNMP等特性;配置24/48口10M/100M电口,2个千兆光口,实现10M/100M到桌面,千兆上行到核心交换机。

    3) 无线接入部署

    部署百兆无线接入交换机,设置在1层信息中心机房,支持千兆上行端口,实现无线AP可控可管。无线AP与无线控制器无线交换机配合组网(Fit AP),便于集中管理。

    使用无线网络部分覆盖,填补网络盲区,在有效覆盖范围内自由登录而不受时空的限制,本项目在各楼层公共区域设置无线路由器,实现办公区域全覆盖。

    各无线路由器接入外网网络。配置高性能百兆无线局域网接入设备,无线AP上行接口采用百兆以太网接口接入,无线路由器支持802.11abgn,双频单模,集成天线,支持工作在2.4Ghz与5.8Ghz频段,能提供20M/40M信道技术。

    d4fbf608-c415-eb11-8da9-e4434bdf6706.png

    视频监控局域网:

    1) 汇聚交换部署

    终端节点约60个,部署千兆核心交换机,设置在1层信息中心主机房网络设备柜。采用1台支持3层交换路由功能高性能的汇聚交换机。服务器群通过1条千兆链路连接到核心交换机。

    采用模块化核心交换机,核心交换机具有1Tbps以上的背板交换容量,支持3层交换的路由功能,实现高性能的核心转发,支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能,保证了网络核心的高稳定性和可扩展性。

    核心交换机配置2个电源,实现电源冗余备份;配置千兆的光口/电口板卡,负责前端视频终端、服务器群、网络管理、网络安全系统、链路热备及负载均衡网络的接入。

    2) 楼层接入部署

    部署百兆接入交换机,设置在各楼层小机房网络设备柜和保安监控室的网络设备柜,负责接入各终端计算机、无线AP等。

    各接入交换机采用可网管二层交换机,支持端口聚合、VLAN、STP、SNMP等特性;配置8/16口10M/100M电口,2个千兆光口,实现10M/100M到桌面,千兆上行到核心交换机。

    5

    服务器及存储部署

    内网网络设置2台业务信息化数据库服务器 (一主一备),采用X86机型,设置2个光纤网卡作为存储端口;其他服务器根据应用需求具体另行配置。

    针对业务信息化数据设置2套光纤磁盘阵列,同时部署数据镜像系统,保持2套阵列数据的同步性。光纤磁盘阵列采用FC-SAN网络,配置2台8口SAN交换机(考虑冗余),连接前端档案信息化数据库服务器。

    考虑到公司信息化相关数据的重要性和实时性,对业务信息化数据库服务器部署在线容灾备份系统。通过在服务器上部署数据库在线容灾备份软件,对应用系统所依赖的重要数据实时的备份到存储设备上。

    内网另配置智能卡服务器、OA服务器和FTP服务器等服务器群;外网配置网络边缘WEB服务器、防病毒服务器和邮件服务器等;监控网配置视频存储服务器等。

    d3fbf608-c415-eb11-8da9-e4434bdf6706.png

    6

    网络安全部署

    考虑到整个网络后续的运行稳定性和数据安全性,将在中心网络中部署防火墙,入侵防御、防毒墙等安全产品,以有效的对进出网络以及DMZ区域数据访问进行有效的控制管理和授权。

    1) 网络管理系统部署

    内、外、监控网分别部署网络管理平台,及时地发现问题、跟踪定位和阻止泛滥,为网络操作人员提供监控和阻止网络攻击所必需的信息。

    实现各网络运行情况告警并产生报表;集中管理网络设备、服务器及安全设备;自动产生全网设备的网络拓扑;显示流量;具有图形化配置方式。

    d8fbf608-c415-eb11-8da9-e4434bdf6706.png

    2) 防火墙系统部署

    在网络接入边界处,部署千兆高性能防火墙作为安全边界,对进出外网的数据进行有效的过滤和防护。

    防火墙要求支持至少2个左右千兆电口,同时至少2个千兆光口,要求设备支持bypass功能,防治单点故障造成网络中断。

    设备接入模式要求支持路由模式、透明模式、NAT模式、混杂模式等多种模式,要求支持基于域、接口、Alias别名等信息建立安全策略,能够基于文件大小,内容,url实现对HTTP服务的控制和过滤,同时要求支持邮件过滤,支持贝叶斯过滤方式,支持自主学习,能实现RBL实时黑名单地址管理。

    能够对各类应用进行有效过滤和控制,如游戏,聊天,下载等。

    3) 防病毒系统部署

    在互联网接入区部署1台防毒墙系统,支持500的用户数。实现互联网访问网络时的安全策略,对外网的web、mail、ftp、qq、msn等多种形式的病毒查杀,支持脱壳技术。

    外网配置1套支持500用户的网络版防病毒软件。

    4) 入侵防御系统部署

    在互联网接入区部署1台入侵防御系统,入侵防御系统从3个方面进行有效防御及保障:

    主动防护:对网络蠕虫、木马、黑客攻击以及网络病毒等恶意流量的传播进行主动防护,保护用户网络资源;

    系统漏洞遮断:为网络中的主机提供有效的系统漏洞防护方案,弥补由于补丁不能及时更新而造成的系统脆弱性;

    应用访问控制:有效控制IM、P2P、VoIP等敏感应用对网络带宽的滥用;

    关键业务系统保障:通过智能的安全防御,最大限度降低各种恶意行为对关键业务服务及设备的威胁。

    大厦网络建设方案

    01

    建设原则

    网络系统建设遵循统一规划、分步实施的指导思想,工程的设计必须在考虑到满足当前需求的同时,充分考虑到将来整个网络系统的投资保护和长期需要。

    设计及实施充分遵循以下原则:

    1、分层原则

    整个网络采用层次化结构分为:核心层、接入层,将整个网络功能细化到各层,实现方便管理和规范网络结构。

    2、网络技术先进性和实用性

    网建设采用的交换和传输技术,具有一定的前瞻性,符合一定时期内网络通信技术发展的趋势,并在今后一定的时期内处于主流地位。

    3、采用标准化、开放的网络技术

    整个网络系统在结构上实现真正开放,全部采用或符合有关国际标准,使网络具有良好的开放性和兼容性。

    开放的系统可以使用户自由地选择不同厂家的计算机、网络设备及操作系统,构成真正的跨软硬件平台的系统。

    网络的设计基于国际标准,网络设备采用标准的接口和规范的协议,满足用户的不同需求并充分利用软硬件资源,保证系统运行的安全可靠,并具有较长的使用生命周期,以适应其业务不断发展的需要,有效地保护用户投资的长期效益。

    4、网络高可靠性原则

    由于企业的业务发展语音、视频会议、OA、ERP系统等应用对网络的稳定可靠运行要求特别高,对数据传输的实时性的要求也很高。

    因而要求,一方面选用的网络设备具有相当高的可靠性,另一方面,在网络设计中要采用切实有效的系统备份、系统安全、数据安全和网络安全措施,以保障网络的高可靠性和安全性。

    5、网络可扩充性

    随着用户应用规模的不断扩大,网络应可以方便地进行扩充容量以支持更多的用户和应用;

    随着网络技术的不断发展,网络必须能够平稳地过渡到新的技术和设备。

    能够随时通过增加网络设备或模块来对现有设备进行升级和扩充,并能把替换下来的设备应用到分支或边缘网络上。

    6、安全性和保密性

    在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离。

    因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。

    要有多种的保护机制,如划分VLAN、MAC地址绑定、802.1x、802.1d 、802.1w 等。

    另外,未来保护系统内部的网络安全性,整网设备支持ACL功能,将病毒包及非法包都限制在二层设备上,避免向上层网络扩散,保护网络整体的安全性设计。

    7. 网络实现的高性价格比原则

    在满足基本需求的条件下,如网络的可靠性、安全性、性能和一定的可扩展性等,尽可能降低网投资改造的费用。

    网络技术和设备的选择以满足需要为原则,不一味追求高档次设备。

    8、网络的可管理性

    建议网络系统中的所有设备均应是可管理的,支持远程监控和故障的过程诊断和恢复,并可通过网管软件方便地监控网络运行的实时情况,对出现的问题及时处理和解决。

    02

    建设目标

    网络建设目标是:建设一个支持数字化、网络化、自动化的先进的基础网络平台,满足内部信息共享、0A 系统的需要,也满足企业信息化建设的长期要求。

    网络平台具有良好的服务质量、较高安全性、便于管理和维护,能够支持企业的各种办公和科研应用,信息发布。

    骨干速率采用1000M速率。

    网络关键节点建议使用能够冗余热备保障系统连续稳定运行。

    具有高带宽、高可靠、高性能、高安全的特性。

    03

    组网结构

    基于以上要求分析,大厦网络解决方案总体设计以高性价比、高安全性、良好的可扩展性、可管理性和统一的网管为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。

    我们提出采用如下拓扑结构方式进行网络建设:

    dbfbf608-c415-eb11-8da9-e4434bdf6706.png

    具体网络详细情况描述

    机房分布:在1 层、2 层、3 层、5 层、8 层、10 层、13 层各设置弱电配电间,在1层设置大楼总机房。

    无线 AP 接入点分布:1 层 X 个点、3-14 层每层个 X 个点。

    楼层信息点汇聚情况:

    1 层、1、3 层墙插、电话到各层层配电间,4-5 层到 5 层配电间。

    6-8 层墙插、电话到8 层配电间。

    9-11 层墙插、电话到10 层配电间。

    12-14 层墙插、电话到14 层配电间。

    如上图所示,采用层次化结构设计原则,分为核心层、接入层。

    本局域网组网模型将网络结构分为核心层和接入层:

    核心层 :核心层要承担各业务应用服务器与底下接入交换机的千兆连接,所以要配置一台高性能多业务交换机,要具备分布式业务处理体系结构,实现业务的 全分布式处理,并能提供稳定、可靠、安全的高性能L2/L3 层交换服务,以及电信级、自适应的可靠性设计。

    接入层 :接入层交换机要可以提供48 端口或者24 端口,并能通过千兆链路连接到核心交换机,可以使用堆叠的方式扩展端口密度,同时能支持ARP防控,以及多业务的融合能力,对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。

    路由器部分 :采用 H3C 的 MSR66002X1 新一代路由器将内网与外网分离,基本保护了内网的安全。

    并能实现内部网络与广域网互联支持静态路由、RIP、OSPF 等常见路由协议,支持NAT 功能。

    无线 AP:未知产品

    IP 地址规划

    defbf608-c415-eb11-8da9-e4434bdf6706.png
    e0fbf608-c415-eb11-8da9-e4434bdf6706.png

    04

    方案特点

    1、对内部各个不同的楼层,根据不同的业务,划分不同的虚拟网VLAN,一来保证数据系统的安全,阻截无权限用户对关键数据系统的访问。

    另一方面,通过VLAN的划分,缩小每种业务的广播域,减小因数据的过度广播造成对带宽资源的浪费,保 证网络系统的资源有效的利用于必须的业务,提高业务处理能力,提高办公效率。

    2、通过合理的 DHCP IP地址分配,保证系统具有良好的结构化和合理的可扩展性。

    对于每个部门分配相应的IP地址段,并预留足够的扩展空间,从而在一些部门用户 数量急剧增加时,不因地址空间不够用而造成地址管理的混乱,影响系统的正常运行。

    3、本网络方案支持多种ACL访问控制策略,在整个网络系统划分不同虚拟网络的同时,在不同的网络间配置合理的路由和访问控制策略ACL,能够对用户访问网络资源的权限进行设置,保证网络的受控访问。

    使路由表项不重复、不遗漏,以使数据在 合理的方向传递,保证路由资源的高效利用。

    4、提供联通专线、二级运营商两项网络接入,双网互备,方便移动用户接入 internet。

    05

    配置步骤

    1、创建 VLAN 10-140 [Switch]vlan 10

    2、将 E1/0/2口加入 VLAN10

    [Switch-vlan2]port Ethernet1/0/2

    3、进入 VLAN 接口 10 [Switch-vlan10]int vlan 10

    4、为 VLAN10配置 IP 地址

    [Switch-vlan10-interface10]ip address 166.111.1.1 255.255.255.0

    5、全局时能DHCP功能

    [Switch]dhcp enable

    6、创建 DHCP地址池

    [Switch]dhcp server ip-pool h3c

    7、配置动态分配的IP 地址范围、有效期、网关地址、DNS地址 [Switch-dhcp -pool-h3c]network 166.111.1.0 mask 255.255.255.0 [Switch-dhcp -pool-h3c] expired day 3

    [Switch-dhcp -pool-h3c]gateway-list 166.11.1.1 [Switch-dhcp -pool-h3c]dns-list 202.106.0.20

    8、配置某个地址为不可分配地址

    [Switch]dhcp server forbidden-ip 166.11.1.1

    9、指定 VLAN10虚接口工作在全局地址池模式下

    [Switch]dhcp select global interface vlan-interface 10

    VLAN20 VLAN30相应的楼层配置如同上述命令

    10、开启远程 Telnet 功能

    user-interface aux 0

    user-interface vty 0 4

    user privilege level 3

    set authentication password simple h3c

    银行网络建设方案

    本次分享的银行网络模型参考了国内外同行业的组网模型,按照标准化、模块化、结构的原则对生产中心进行升级,将生产中心过于扁平化、安全性低的现状改变,所以可以将生产中心规划成:

    核心交换区、生产服务器区、前置机区、网银区、运行管理区、楼层接入区、办公服务器区、广域网接入区、灾备中心互联区、中间业务外联区等功能模块。

    在各分区边界部署防火墙,确保访问的安全,实现生产中心的高性能、高安全、高扩展和易管理。

    • 核心交换区:为生产网络的各功能子区提供核心路由交换。
    • 生产核心区:部署天津商行生产服务和生产小机。
    • 前置机服务器区:连接各种业务前置机专用区域
    • 楼层接入区(迁移):负责本地办公用户的接入。
    • 网银区(迁移):部署网上银行业务的服务器。
    • DWDM 区:连接生产中心和灾备中心的广域传输系统区域。
    • 广域网接入区:部署下联各省市分行、天津各区县支行、分理处的骨干网路由器。
    • 中间业务外联区: 通过专线连接监管单位、合作伙伴,为第三方机构提供外联服务。
    • 运行维护区:部署网络和系统管理及维护的业务系统。

    01

    设计概述

    1 东丽数据中心整体结构

    东丽数据中心主要需要建立IP网络和存储网络。在IP网络中,按业务功能和安全需要分 为不同的网络区域,各个网络区域有独立的网络设备(如交换机、防火墙等) 连接相应的主机、服务器、 pc机等设备, 每个网络区域的汇聚/ 接入交换机再连接到IP网的核心交换机上;每个网络区域内部可以根据需要再分为不同的控制区域。

    IP网络主要分为以下网络区域:核心交换区、生产核心区、前置机服务器区、楼层接入区、开发测试区、 网银区、 DWDM 区、广域网接入区、中间业务外联区、运行维护区, 如图:

    e3fbf608-c415-eb11-8da9-e4434bdf6706.png

    2 VLAN规划

    在模块化网络架构中可以看到,数据中心首先是被划分为网络分区,然后基于每个应用对各自架构的QOS需求, 再进一步将网络分区划分为逻辑组。为了完成以上阐述的模块化架构,需要在网络的第2层创建VLAN。在不同分区之间互联点和分区内部上行连接点上,都需要创建VLAN。

    3 路由设计

    在数据内部, 交换核心区域和其他功能区域的汇聚交换机之间运行OSPF骨干区域AREA 0,其他区域内部分别运行OSPF和静态路由。

    02

    核心交换区设计

    1 具体设计

    在东丽数据中心中,核心交换区连接了其他不同的分区。它也作为数据中心连接灾备 中心和广域网络的连接点。核心区在数据中心架构中的作用是,尽可能快速地在网络之间实 现数据传输的路由和数据交换。

    核心区主要部署两台高端交换机S12508 交换机连接其他功能分区,提供10G 和 GE 链 路的双归属连接。两台核心交换器之间采取Trunk 链路连接,启用IRF技术,将两条核心交换机虚拟成一台。

    核心区交换机连接到所有其他区的边缘设备,有两类连接连接到核心,一 类是来自核心生产业务(比如生产核心区, 前置机区)的连接,对该类应用提供高速访问服务,采用万兆接口这两个区域的汇聚交换机。另一类是其它业务。每个区汇聚交换机/ 接入交换机都上行连接到Core-SW1和 Core-SW2。每个区交换机将使用单独的VLAN,VLAN 跨越两个交换机,上行链接到核心。

    2 VLAN划分

    与每个子区域的互联接口可划分为同一VLAN,将核心交换区域与各子域的互联链路进行链路聚合。如下图所示:

    e6fbf608-c415-eb11-8da9-e4434bdf6706.png

    3 路由规划

    在 2 台 Core-SW1 和 Core-SW2 核心交换机和各区域的汇聚交换机连接端口上运行OSPF动态路由协议,所属的区域为Area 0,这样各个网络分区系统都可以通过核心区域知道整个网络系统的路由。

    采用IRF技术后,可以大大简化网络中的路由设置,减少需要的互联路由网段,其中,除网银与中间业务外联区外,其它区域的汇聚 / 接入交换机与核心之间的互联链路都进行聚合,生产核心区和前置机区在各自区域的核心/ 接入交换机上启用三层功能,采用OSPF和核 心交换区之间进行互通,如下图所示意:

    eafbf608-c415-eb11-8da9-e4434bdf6706.png

    03

    生产核心区规划

    1 拓扑

    eefbf608-c415-eb11-8da9-e4434bdf6706.png

    生产核心区用于连接核心的生产业务系统的小机、服务器等生产主机;在该区域采用三层架构,采用全千兆智能接入交换机S5500EI 系列交换机提供小机及服务器的光口、电口接入,每个接入交换机采用双千兆光口分别上行到生产核心区的两条汇聚交换机S9508E交换机上,两条S9508E 交换机互相之间采用双万兆链路聚合捆绑,启用IRF功能,将两台汇聚交换机虚拟成一台交换机,每个S9508E 各出一个万兆接口上联到数据中心核心交换机 S12508 上,上行的两条万兆链路启用链路捆绑功能,聚合成一条20G 的物理链路。

    2 VLAN规划

    上联到核心交换区的VLAN 采用链路聚合, 合并为一个VLAN,在分区内部根据不同级别 的应用再进一步分配。VLAN 分配主要考虑互联VLAN 和主机。

    汇聚层交换机与核心交换机间运行OSPF路由协议。在设备间运行OSPF时,建议将汇聚层 95 的相关接口划分在一个OSPF-STUB区域中,以免数据中心中收到过多的LSA。各个功能区与核心区通讯路径要保证双向一致性和确定性。

    在任何链路状况下,通讯双方的往返路径均相同,并且可预知。 生产核心区外连核心区的2条链路的进行链路捆绑,在路由计算上,只有一条路径,但是该路径包含2个万兆端口,提供物理层面的冗余。

    04

    前置机区规划

    1拓扑

    f0fbf608-c415-eb11-8da9-e4434bdf6706.png

    前置机区连接生产类系统的前置机等;该区使用4台千兆智能交换机S5500-52C-EI交换 机。4台 S5500-52C-EI交换机采用IRF虚拟化技术将4台交换机虚拟成一台交换机。

    2 VLAN规划

    上联到核心区的链路进行链路捆绑,采用同一个VLAN 进行互联。 在分区内部根据不同级别的应用再进一步分配。VLAN 分配主要考虑互联VLAN 和主机。

    3路由规划

    接入交换机启用三层功能,前置机网关设置在接入交换机上,接入交换机与核心交换机间运行OSPF路由协议。在设备间运行OSPF时,建议将接入交换机的相关接口划分在一个 OSPF- STUB区域中,以免数据中心中收到过多的LSA。

    各个功能区与核心区通讯路径要保证双向一致性和确定性。在任何链路状况下,通讯双方的往返路径均相同,并且可预知。前置区外连核心区的2 条万兆链路的进行链路捆绑, 在路由计算上,只有一条路径,但是该路径包含2 个万兆端口,提供物理层面的冗余。

    05

    广域网接入区规划

    广域网接入区主要连接与各省市分行,天津市内各区县支行,分理处等的上联网络设 备,该区使用两台SR6608 核心路由器作为各分支机构的上联设备,每个SR6608 配置3个CPOS广域接口,2 个主用,一个备用。

    f2fbf608-c415-eb11-8da9-e4434bdf6706.png

    1 路由规划

    广域网接入区与整个数据中心采用统一的策略和部署方案,在核心区作为OSPF骨干区 的前提下,广域网接入区内部路由协议采用OSPF,在区域内路由详细规划上,建议如下:

    广域网路由器与核心交换机互联的端口,划分为OSPF骨干域0域

    广域网路由器下联接口,按照原有的路由规划,划分为1、 2、 3、 4 和 10、 20 、30 、40 等几个路由子域。路由器到核心交换机上的链路采用Trunk 链路进行连接。

    06

    IRF虚拟化技术

    IRF 2交换机虚拟化实现多台设备虚拟化成一台设备,即多台设备当做一台设备来运行、管理。 大大简化数据中心日益复杂的组网和管理维护,相比于传统的MSTP、VRRP和多路径 的路由协议,IRF 可以免除这些协议的部署,简化设备并成倍的提升网络性能与可靠性。

    1 技术优点

    IRF堆叠具有以下主要优点:

    简化管理。IRF堆叠形成之后,用户连接到任何一台成员设备的任何一个端口可以登录 IRF堆叠系统, 这相当于直接登录IRF 系统中的Master设备, 通过对Master设备的配置达到管理整个IRF堆叠以及堆叠内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。

    简化网络运行。IRF形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行 的,例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。IRF 技术的这一特性是常见的集群技术所不具 备的,后者仅仅能完成设备管理上的统一,而集群中的设备在网络中仍然分别作为独立节点运行。

    低成本。 IRF 技术是将一些较低端的设备虚拟成为一个相对高端的设备使用,从而具有高端设备的端口密度和带宽,以及低端设备的成本。比直接使用高端设备具有成本优势。

    强大的网络扩展能力。通过增加成员设备,可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。

    保护用户投资。由于具有强大的扩展能力,当用户进行网络升级时,不需要替换掉原有设备,只需要增加新设备既可。很好的保护了用户投资。

    高可靠性。堆叠的高可靠性体现在多个方面,比如: 成员设备之间堆叠物理端口支持聚合功能,堆叠系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了堆叠系统的可靠性;堆叠系统由多台成员设备组成,Master设备负责堆叠的运行、管理和维护, Slave 设备在作为备份的同时也可以处理业务,一旦Master 设备故障,系统会迅速自动选举新的Master ,以保证通过堆叠的业务不中断,从而实现了设备级的1:N 备份。IRF 是网络可靠性保障的最优解决方案。

    高性能。 由于IRF设备是由多个支持IRF特性的单机设备堆叠而成的,IRF设备的交换容 量和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和。因此,IRF技术能够通过多个单机设备的堆叠, 轻易的将设备的核心交换能力、用户端口的密度扩大数倍, 从而大幅度提高了设备的性能。

    丰富的功能。IRF支持包括IPv4、 IPv6、 MPLS、安全特性、OAA 插卡、高可用性等全部交换机特性,并且能够高效稳定地运行这些功能,大大扩展了IRF设备的应用范围。

    广泛的产品支持。IRF 技术作为一种通用的虚拟技术,对不同形态产品的堆叠一体化的 实现,使用同一技术,同时支持盒式设备的堆叠,以及框式分布式设备的堆叠。

    2 典型组网应用

    使用 IRF 扩展端口数量

    使用 IRF扩展端口数量如下图所示。当接入的用户数增加到原交换机端口密度不能满足 接入需求时,可以通过在原有的堆叠系统中增加新的交换机而得到满足。

    f6fbf608-c415-eb11-8da9-e4434bdf6706.png

    使用 IRF 扩展系统处理能力

    使用 IRF扩展系统处理能力如下图所示。当中心的交换机转发能力不能满足需求时,可 以增加新交换机与原交换机组成堆叠系统来实现。若一台交换机转发能力为64M PPS,则通过增加一台交换机进行扩展后,整个堆叠设备的转发能力为128MPPS。需要强调的是,是整个堆叠设备的转发能力整体提高,而不是单个交换机的转发能力提高。

    f8fbf608-c415-eb11-8da9-e4434bdf6706.png

    使用 IRF 扩展带宽

    使用 IRF扩展带宽如下图所示,当边缘交换机上行带宽增加时,可以增加新交换机与原 交换机组成堆叠系统来实现。将成员设备的多条物理链路配置成一个聚合组,可以增加到中心交换机的带宽。而对中心交换机的而言,边缘交换机的数量并没有变化,物理上的两台交 换机看起来就是一台交换机,原有交换机会将当前的配置批量备份到新加入的交换机。因此,这种变化对网络规划和配置影响很小。

    fafbf608-c415-eb11-8da9-e4434bdf6706.png

    跨越空间使用IRF

    IRF2.0 可以通过光纤将相距遥远的设备连接形成堆叠设备,如下图所示,每个楼层的用 户通过楼道交换机接入外部网络,现使用堆叠光纤将各楼道交换机连接起来形成一个堆叠设备,这样, 相当于每个楼只有一个接入设备,网络结构变得更加简单;每个楼层有多条链路到达核心网络,网络变得更加健壮、可靠; 对多台楼道交换机的配置简化成对对堆叠系统的配置,降低了管理和维护的成本。

    fbfbf608-c415-eb11-8da9-e4434bdf6706.png

    使用 IRF 简化组网

    常见的网络组网使用MSTP、VRRP等协议来支持链路冗余、网关备份。 这种组网在各种场合均会使用,这里仅以汇聚层与接入层之间的组网为例。

    使用 IRF2.0后,汇聚层的多个设备成为了一个单一的逻辑设备,接入设备直接连接到虚拟设备。这个简化后的组网不再需要使用MSTP、VRRP协议,简化了网络配置。同时依靠跨 设备的链路聚合,在成员出现故障时不再依赖MSTP、 VRRP等协议的收敛,提高了可靠性。

    fefbf608-c415-eb11-8da9-e4434bdf6706.png
    展开全文
  • 计算机网络课设--小型企业网络规划与设计

    千次阅读 多人点赞 2021-07-13 22:16:58
    题目 网络设计的规划与实现 学年学期 20Xx-20Xx学年第一学期 课程名称 计算机网络实践 院 系 XXX学院 专 业 计算机科学与技术 学 号 ...

    《计算机网络实践》报告

    题目    网络设计的规划与实现                                    

    学年学期 20Xx-20Xx学年第一学期

    课程名称   计算机网络实践                 

    院    系       XXX学院             

    专    业    计算机科学与技术           

    学    号    

    姓    名        

    指导教师          XXx

    二OXx  六月

    1 需求分析

    1.1 项目背景

    星辰公司是家中等规模企业的网络公司,公司分布情况主要有财务部、销售部、技术部、经理部四个部门。本方案主要是建设公司网络系统,总体建设目标是建设阳阳公司的内部局域网,实现公司内部网络的高速互通,各个部门利用内部网络接入Internet,以充分利用因特网上的资源。

    1.2 项目需求

    公司目前开展的企业网建设,旨在推动公司的信息化建设,其最终建设目标是将公司建设成了一个借助信息化办公和管理的高水平的智能化、数字化的企业网络,满足企业信息化的要求,为各类应用系统提供方便,快捷的信息通路,具有良好的性能,能够支持大容量和实时性的各类应用,能够可靠的运行,具有较低的故障率和维护要求。公司的网络系统是建立在高速光纤网的基础上,构建内网相互独立的网络系统,以提供安全的办公局域网和可访问Internet的网络系统。实现各部门内部和各部门之间公共网络化,构建网络信息共享,实现资源共享,为各部门提高办事效率办事透明度以及快速反应提供可靠的保障。网络系统主要是以光纤作为传输媒介、IP和Internet技术为技术主体、核心路由器为交换中心、下属部门信息网络系为分接点的多层结构、 提供与各种网络技能相关的 、功能齐全、技术先进、资源统一的网络应用系统。网络系统建设主要实现以下功能:

    1.系统主干采用百兆以太网交换,下属子网采用百兆以太网,采用 TCP/IP协议,提供标准化的高速度主干网连接,实现100Mb/s交换到桌面的网络。使用三层交换机来代替路由,实现数据的快速转发;

    2.企业网络内部资源的共享,包括文件共享,硬件共享,软件共享等;

    3.文件传输能快速地, 在不需要移动存储设备的情况下在各电脑之间进行文件的拷贝;

    4.能通过内部网络高速接入 Internet 进行工作,浏览网页查找资料;

    5.交换机采用主流、成熟和售后服务均佳的产品,具有较高的性价比。网络中使用的设备和协议应完全符合国际通用的技术标准。

    1.3 网络管理要求

     企业网络系统必需具备有完善的、安全的智能化网络管理功能,其基本需求如下:

    (1)网络设备支持基于端口的虚拟网(VLAN)划分,利用网络管理软件能动态地调整配置VLAN。使划分的各虚网之间既能相互共享所需的信息,又能分别独立运作,加强各虚网之间信息的安全性。这样易于实现网络重组并具备隔离广播风暴的能力;

    (2)具有基于端口的访问控制模式,有效防止外部或内部对某些重要信息点的访问,达到控制信息流向的目的,增强网络的安全性;

    (3)动态监控登录网络代理用户数,有效及时地防止某些非法访问;

    (4)对网络故障及时报警,并实现隔离。

    2 网络设计原则

    2.1 网络需求调研与系统设计的基本原则

    本网络主要进行路由组织、IP地址、网络安全、VLAN划分和设备具体配置等设计。企业局域网是企业网建设的基础,也是本次企业网络系统组建规划的主要工作,其他所有的建设都是建立在此基础之上的。企业信息网络系统应是一个以宽带IP网为目标,建立数据连接为一体化的内部办公网络和外部宽带。网络系统应实现虚拟局域网( VLAN)的功能,以保证全网的良好性能及网络安全性。主干网交换机应具有很高的传输速度,整个网络应具有高速的三层交换功能。主干网络应该采用成熟的、可靠的百兆以太网技术作为网络系统主干。应该选择有成功案例的网络厂商的设备, 同时为 Internet 提供接口,网络还应具有良好的扩展性。建设覆盖整个企业的局域网包括网络技术选型,拓扑结构设计,布线系统设计和网络方案的具体设计。网络方案设计中的核心、汇聚、接入层三层是其重点。其次进行VLAN划分,子网配置和 IP 地址的分配 ,最后进行服务器、交换机和路由器的配置。

    2.2 网络工程设计总体原则

    遵循《中国公众多媒体通信网技术体制》、《中国公众多媒体通信网工程实施技术要求》、以及其它国家相关标准和技术体制。采用层次化设计,网络结构的不同部分有不同的功能,使网络具有优良的结构。提供有效的安全保密措施,确保整个网络的安全。

    网络具有较强的可升级性,在将来需要时可以对网络进行必要的扩充。在增加新硬件设备时能方便地接入网络,软件上便于更新、维护、升级。尽量详细准确,减低工程的复杂程度,使系统建设和改造的工作量减至最少,以保证工程的顺利和有效完成。

    3 设计方案

    3.1 网络设备选型

    3.1.1 网络设备选择

    星辰公司使用的是在众多网络设备企业排行第一的美国Cisco公司的网络设备Cisco Packet Tracer软件 。

    3.1.2 服务器设备的选择

    服务器在企业网络中充当不可或缺的角色,公司需要发布信息、构建自己的WEB服务器,根据阳阳公司的实际情况,至少需要 2 台服务器设备,具体服务器设备如表2-1所示:

    服务器名

    数量

    FTP

    1

    WWW

    1

    表2-1 企业网络服务器要求

    WWW服务器主要功能是提供网上信息浏览服务,是访问Internet信息的主要查询工具。WEB服务器。网络间的计算机通信首先必须由DNS服务器将域名解析为对应的IP地址,同时也可以将IP地址反解析为主机域名。通过DNS服务连接Internet浏览网页可以提高公司的办事效率,企业网络中搭建DNS服务器可以解决IP地址难以记忆的问题,同时也提高网络访问速度,由此可以DNS服务器是信息网络中不可或缺的。

    3.2 网络方案拓扑设计

    在此次星辰公司网络的设计中,网络拓扑结构选用星型网络拓扑结构,星型网络拓扑结构具有安全、 可靠、易扩展等特点 ,我们采用层次化模型来设计网络拓扑结构。层次化模型有利于实现较为复杂的网络功能要求且节省成本,也可以支持较大的网络规模便于企业网的升级扩大。因公司要求网络主干具备高可靠性和可用性 ,且考虑到以后扩充和该公司的业务比较重要,为了保证数据转发的快速和可靠,核心层的设计上采用了二台三层交换机,做到设备冗余和负载均衡,就算其中某个交换机发生故障,网络也可以快速恢复,增加网络的可靠性。拓扑结构图如图3-1所示:

        

     

    图  3-2 网络拓扑图

    3.3 IP 地址规划

    绝大多数企业局域网采用 TCP/IP 协议,因此 IP 地址规划在组建企业局域网时至关重要。在企业网网络规划中,好的 IP 地址方案不仅可以减少网络负荷 ,还能为以后的网络扩展打下良好的基础。 IP 地址规划应考虑:

    唯一性——一个IP网络中不能有两台主机采用相同的IP地址;

    连续性——为同一网络区域分配连续的网络地址,缩减速路由表的表项,提高路由表的处理效率;

    可扩充性——为一个网络区域分配的IP应有一定的地址冗余, 以便于主机数量增加,保证网络的可持续发展;

    简单性——地址分配简单,避免在主干上采用复杂的掩码方式;

    安全性——公司网络内可按不同的部门划分不同的网段,以便进行管理。公司申请了一个电信公网IP:61.190.10.1/24,本设计方案的网络地址规划如表3-3、3-4所示:

    设备名称

    接口

    IP 地址

    描述

    sw1

    F0/5

    192.168.2.1/24

    3L-Switch

    sw2

    F0/5

    192.168.3.1/24

    3L-Switch

    sw2

    F0/6

    192.168.4.2/24

    3L-Switch

    R1

    F0/0

    192.168.2.2/24

    Router

    3-3 设备IP地址分配表

    部门

    IP 网段

    财务部

    192.168.5.0

    销售部

    192.168.6.0

    技术部

    192.168.7.0

    经理部

    192.168.8.0

    表 3-4 部门 IP 地址分配表

    3.4 ACL 访问控制

    通过访问列表,可以设置允许或拒绝某些数据包通过,或者允许或拒绝某些端口进行访问和使用,从而达到设置网络安全策略,防止网络中的敏感数据受到非授权访问的情况。访问控制列表控制了网络的流量,控制了用户的网络行为,控制了网络病毒的传播,在本方案中财务部启用了 ACL 访问控制,其主要目的是防止公司财务数据被窃。

    3.5 STP 生成树协议

    STP技术提供在链路冗余的同时防止网络产生环路,从而避免了广播风暴的产生,并在个别线路出现故障时能有效地切换线路从而保证通信顺畅。STP创建了一个无环树结构。协议可以保证一个网络的冗余性,在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,而一旦出现故障,启用备份链路。

    3.6 VLAN 端口划分及配置

    VLAN 号

    网段 IP

    名称

    描述

    2

    192.168.5.1/24

    cwb

    财务部

    3

    192.168.6.1/24

    xcb

    销售部

    4

    192.168.7.1/24

    jcb

    技术部

    5

    192.168.8.1/24

    jlb

    经理部

    3-5 VLAN IP 地址规划表

    4 网络设计方案设计

    4.1 设备选型原则

    1.具备较强的安全性;

    2.代表目前网络系统设备的先进水平;

    3.具备优良的可扩充性和升级能力;

    4.具有优良的性价比,根据现在需求和未来扩展需求选择设备型号,避免追

    求高档和最新技术花费巨大的代价;

    5.选择售后服务好且有一套完善的服务体系及未来在该领域的发展计划的厂商产品。

    为保证企业的信息系统的稳定性和高效运行,因此,应该采用主流的网络产品。CISCO 是网络业界第一品牌和最大的研发专家,是项目可持续应用的投资保护和规避厂家风险的首选。根据实际调查,综合考虑各家公司的发展状况、技术实力、市场占有率等各方面因素,本方案选择 CISCO 公司的网络设备,以确保网络实用与性价比。

    4.2 核心层交换机选型

    核心层为网络主干,选用三层交换机最为合适。为公司办公网络主干选用二台 CISCO WS-C6509-E 交换机作为核心交换机来连接各级交换机,对全网的数据进行高速无阻塞的交换。 CISCO WS-C6509-E 为企业级模块化交换机,具备极高的交换能力和端口密度,充分满足网络互联的需求。交换机以固定的配置存储转发的交换方式,提供了线速度快速以太网和千兆以太网连接, 并带有三层路由的引擎,可使公司网络具有很强的升级能力,大大增加了网络的传输能力、系统的实时性和系统的互动性。

    4.3 接入层设备选型

    接入层,我们经常称之为访问网。访问网主要用来支撑客户端机器对服务器的访问,主要是指接入路由器、交换机、终端访问用户。它利用多种接入技术,迅速覆盖至用户节点,将不同地理分布的用户快速有效地接入到信息网的汇聚。对上连接至汇聚层和核心层,对下实现用户的接入。为方便跨交换机的VLAN划分,优化网络性能,简化网络拓扑结构,在本设计中接入层统一使用10/100Mbps自适应的CISCO WS-2950-24普通交换机。背板带宽为8.8Gbps,包转发率为3.6Mpps,人文科技学院计算机网络技术毕业论文以存储转发的交换方式和全双工的传输模式,配备有百兆的上行链路,所有的接入层交换机组以百兆RJ-45直通双绞线交换到桌面,在网络中提供高密度的接入。用于VLAN边缘为交换机的端口间提供安全性和隔离性,同时保证语音流量从进入点通过虚拟通道直接传输到核心层设备上,而不会被定位到其它无关端口。保证了投资成本少及易于管理的要求。

    4.4 企业网服务器设备选择

    服务器是所有C/S模式网络中最核心的网络设备,在相当程度上决定了整个网络的性能。它既是网络的文件中心,同时又是网络的数据中心。星辰公司需对外发布企业商业信息网站,且WEB站点为动态网页,我为该公司的服务器选择了联想万全R525 S5405企业级机架式服务器,它是一款内存1G,CPU为Intel XeonE5405、主频2000MHZ,硬盘容量73GB,集成ATI显示芯片,16MB显存,集成Intel双千兆自适应网卡,支持网卡冗余、负载均衡等功能,可选外插Intel千兆自适应网卡的服务器。它支持 Windows server 2003 R2 Standard Edition中文版/英文版(X32)、Windows server 2003 R2 Enterprise Edition中文版/英文版 (X32)、Windows server 2003 R2 Standard Edition英文版(X64)、Windows Server2003存储增强版V2(WSS)等操作系统。且价格适中,有较高的性价比。

    4.5 出口路由设备选型

    由于大量的数据都发生在局域网内部,所以对路由器的性能要求不高,可以选用中低端路由器。因此出口路由器选用CISCO 2811模块化路由器。它是企业网络对外的出口,也可以作为企业网络的第一道防火墙。CISCO 2811模块化路由器提供了安全、可扩展的网络连接,容纳多种流量类型,如VPN等,最大DRAM内存为760MB,传输速率为10/100Mbps,支持IEEE 802.3x网络标准。内置的防火墙功能提高了局域网的安全性, 利用 CISCO 2811 网络服务还可以预防和响应网络攻击和威胁。

    5 交换机和路由器的配置

    5.1 路由器与交换机的配置

    5.1.1 路由器的配置

    路由器R1与内网的连接端口为f0/0,此端口的IP地址为192.168.2.2。s1/0为外部端口,IP地址为61.190.10.1。通过以下对路由器R1的配置完成了该校内部网络与外部Internet的通信,并使用NAT技术完成。

    Router>

    Router>en

    Router#conf t

    Router(config)#hostname R1

    R1(config)#ip nat pool router 61.190.10.1 61.190.10.1 net 255.255.255.0

    R1(config)#access-list 1 per any

    R1(config)#ip nat inside source list 1 poo router overload

    R1(config)#int fa0/0

    R1(config-if)#ip add 192.168.2.2 255.255.255.0

    R1(config-if)#ip nat inside

    R1(config-if)#no sh

    R1(config-if)#int s1/0

    R1(config-if)#ip add 61.190.10.1 255.255.255.0

    R1(config-if)#ip nat outside

    R1(config-if)#no shutdown

    R1(config-if)#exit

    R1(config)#ip route 0.0.0.0 0.0.0.0 s1/0

    R1(config)#access-list 1 deny host 192.168.5.0

    R1(config)#access-list 1 per any

    R1(config)#int fa0/0

    R1(config-if)#ip access-group 1 in

    R1(config)#end

    R1(config)#router os 100

    R1(config-router)#net 192.168.2.0 0.0.0.255 a 0

    R1#write

    Building configuration...

    [OK]

    5.1.2 核心层交换机的配置

    下面为sw1交换机的具体配置:

    启动交换机后默认进入用户模式

    Switch>                                           # 进入特权模式

    Switch>enable                                     # 进入全局模式

    Switch#configure

    Switch(config)#host SW1                          # 交换机名称配置

    SW1(config)#enable pass 123456              # 配置进入特权模式口令

    SW1(config)#int fa0/5              # 进入接口0/5并为其端口设置IP

    SW1(config-if)#no sw

    SW1(config-if)#ip add 192.168.2.1 255.255.255.0

    SW1(config-if)#no shutdown

    SW1(config-if)#exit                               # 返回全局模式

    SW1(config)#int ran fa0/3-4      # 进入3 4号端口,设置为trunk口

    SW1(config-if-range)#switchport trunk encapsulation dot1q

    SW1(config-if-range)#switchport mode trunk

    SW1#vlan database

    SW1(vlan)#vlan 2

    VLAN 2 added:

    Name: VLAN0002

    SW1(vlan)#vlan 3

    VLAN 3 added:

    Name: VLAN0003

    SW1(vlan)#vlan 4

    VLAN 4 added:

    Name: VLAN0004

    SW1(vlan)#vlan 5

    VLAN 5 added:

    Name: VLAN0005

    SW1(config-if)#int vlan 2

    SW1(config-if)#ip add 192.168.5.1 255.255.255.0

    SW1(config-if)#no shutdown

    SW1(config-if)#int vlan 3

    SW1(config-if)#ip add 192.168.6.1 255.255.255.0

    SW1(config-if)#no shutdown

    SW1(config-if)#int vlan 4

    SW1(config-if)#ip add 192.168.7.1 255.255.255.0

    SW1(config-if)#no shutdown

    SW1(config-if)#int vlan 5

    SW1(config-if)#ip add 192.168.8.1 255.255.255.0

    SW1(config-if)#no shutdown

    SW1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2

    SW1(config)#ip routing

    SW1(config)#router ospf 100

    SW1(config-router)#network 192.168.2.0 0.0.0.255 a 0

    SW1(config-router)#network 192.168.5.0 0.0.0.255 a 0

    SW1(config-router)#network 192.168.6.0 0.0.0.255 a 0

    SW1(config-router)#network 192.168.7.0 0.0.0.255 a 0

    SW1(config-router)#network 192.168.8.0 0.0.0.255 a 0

    SW1(config)#spanning-tree vlan 1-5

    SW1(config)#spanning-tree vlan 2-3 priority 4096

    SW1(config)#line vty 0 1

    SW1(config-line)#login

    SW1(config-line)#pass 123456

    SW1(config-line)#exi

    SW1(config)#end

    SW1#wr

    下面为sw2交换机的具体配置:

    启动交换机后默认进入用户模式

    Switch(config)#host SW2

    SW2(config)#enable pass 12345

    SW2(config)#int fa0/6

    SW2(config-if)#no sw

    SW2(config-if)#int fa0/5

    SW2(config-if)#no switchport

    SW2(config-if)#ip add 192.168.4.2 255.255.255.0

    SW2(config-if)#no shutdown

    SW2(config-if)#span vlan 1-5

    SW2(config)#int fa0/6

    SW2(config-if)#no sw

    SW2(config-if)#ip add 192.168.3.1 255.255.255.0

    SW2(config-if)#no shutdown

    SW2#vlan database

    SW2(vlan)#vlan 2

    VLAN 2 added:

    Name: VLAN0002

    SW2(vlan)#vlan 3

    VLAN 3 added:

    Name: VLAN0003

    SW2(vlan)#vlan 4

    VLAN 4 added:

    Name: VLAN0004

    SW2(vlan)#vlan 5

    VLAN 5 added:

    Name: VLAN0005

    SW2(config)#int vlan 5

    SW2(config-if)#ip add 192.168.8.2 255.255.255.0

    SW2(config-if)#no shutdown

    SW2(config)#int ran fa0/3-4

    SW2(config-if-range)#sw tr en d

    SW2(config-if-range)#sw mo tr

    SW2(config-if-range)#no shutdown

    SW2(config)#ip routing

    SW2(config)#router os 100

    SW2(config-router)#net 192.168.3.0 0.0.0.255 a 0

    SW2(config-router)#net 192.168.4.0 0.0.0.255 a 0

    SW2(config-router)#net 192.168.8.0 0.0.0.255 a 0

    5.1.3 汇聚层交换机的配置

    下面是汇聚交换机 sw3 的详细配置:

    启动交换机后默认进入用户模式

    Switch>en

    Switch#conf t

    Switch(config)#host SW3

    SW3(config)#enable password 12345

    SW3(config)#exi

    SW3#vlan database

    SW3(vlan)#vlan 2

    VLAN 2 added:

    Name: VLAN0002

    SW3(vlan)#vlan 3

    VLAN 3 added:

    Name: VLAN0003

    SW3(vlan)#vlan 4

    VLAN 4 added:

    Name: VLAN0004

    SW3(vlan)#vlan 5

    VLAN 5 added:

    Name: VLAN0005

    SW3(config)#int fa0/3

    SW3(config-if)#sw acc vlan 2

    SW3(config-if)#no sh

    SW3(config-if)#int fa0/4

    SW3(config-if)#sw mo acc

    SW3(config-if)#sw acc vlan 3

    SW3(config-if)#exi

    SW3(config)#int ran fa0/1-2

    SW3(config-if-range)#sw tr en d

    SW3(config-if-range)#sw mo tr

    SW3(config-if-range)#exi

    SW3(config)#spanning-tree vlan 2-5

    SW3(config)#exi

    SW3#wr

    Building configuration...

    [OK]

    下面是汇聚交换机 sw4 的详细配置:

    启动交换机后默认进入用户模式

    Switch>en

    Switch#conf t

    Switch(config)#host SW4

    SW4(config)#enable pass 12345

    SW4(config)#exi

    SW4#vlan database

    SW4(vlan)#vlan 2

    VLAN 2 added:

    Name: VLAN0002

    SW4(vlan)#vlan 3

    VLAN 3 added:

    Name: VLAN0003

    SW4(vlan)#vlan 4

    VLAN 4 added:

    Name: VLAN0004

    SW4(vlan)#vlan 5

    VLAN 5 added:

    Name: VLAN0005

    SW4(config)#int fa0/3

    SW4(config-if)#sw acc vlan 4

    SW4(config-if)#int fa0/4

    SW4(config-if)#sw acc vlan 5

    SW4(config-if)#int ran fa0/1-2

    SW4(config-if-range)#sw mo tr

    SW4(config-if-range)#no sh

    SW4(config-if-range)#exi

    SW4(config)#spanning-tree vlan 2-5

    SW4(config)#end

    SW4#

    %SYS-5-CONFIG_I: Configured from console by console

    wr

    Building configuration...

    [OK]

    6 系统测试

    SW1路由的收敛,收到全网ospf的路由宣告条目如图6-1所示:

     

    图 6-1

    PC0机连通测试如图6-2所示:

    6-2

     

    PC1机连通测试如图6-3所示:

     

    图 6-3

    PC2机IP配置以及成功访问到域名服务器,并且能够成功解析出域名服务器中的已有条目,如图6-4所示:

     

    图 6-4

    PC3机连通测试如图6-5所示:

     

    图 6-5

    成功通过域名解析能够访问到web服务器,如图6-6所示:

     

    图 6-6

    DNS服务器配置如图6-7、6-8所:

     

    图 6-7

     

    图 6-8

    WEB服务器设置如图6-9、6-10所示:

     

    图 6-9

     

    图 6-10

    本次实验将组网所需的设备选型、拓扑结构图、IP规划、具体配置技术等必备步骤一一罗列,阐述了企业网络组建对提升企业发展空间的重要性。由于企业网功能齐全,接触面广,在网络设计规划中都非常复杂,因此在论述中也不能做到面面俱到。在设计过程中借鉴和参考了许多有关方面的资料,也通过Internet在广阔的网络平台寻找设计的题材,我感受到了网络的无穷魅力同时也发现自己掌握的网络知识是如此欠缺,在设计过程中接触了很多全新的网络知识,并通过多方面的努力把所学的知识加以应用,通过这次综合实践,丰富了我在网络方面的知识,同时也加强了我的实际操作能力和动手能力。特别在网络设计、交换机、路由器方面,我有了更加丰富的理论和实践经验。我一定在以后的学习生活中更加努力,相信有一天我能做的更好。

    考 文 献:

    [1]谢希仁 .计算机网络 (第七版 )[M]. 北京:电子工业出版社 ,2017

    [2]褚建立 .网络综合布线实用技术 [M]. 清华大学出版社 ,2002

    [3]蔡建新 .网络工程概论 [M]. 清华大学出版社 ,2002

    [4]程庆梅 .计算机网络实训教程 [M]. 高等教育出版社 ,2003

    [5]罗皇.网路组建与管理教程 [M]. 清华大学出版社 ,2004

    [6]陈义杰 .网络规划与设计 [M]. 冶金工业出版社 ,2005

    [7]陈应明 .计算机网络与应用 [M]. 冶金工业出版社 ,2005

    [8]陆魁军 .基于 Cisco 路由器和交换机 [M]. 清华大学出版社 ,2007

    展开全文
  • 基于eNSP的千人校园/企业网络设计与规划,运用的管家技术如DHCP、SVIP、OSPF、RIP、NAT、Telnet、ACL、SNMP等关键技术,但是在本综合实验中简单网络管理协议SNMP就没有配置了

    作者:BSXY_19计科_陈永跃
    BSXY_信息学院
    注:未经允许禁止转发任何内容

    前言简介

    由于华为近几年在国内的市场越来越大,网络工程师中的组网技术的题目都由思科变为了华为,所以华为的设备还是有必要学习一下的了;本文用华为提供的eNSP模拟器模拟出了可以用于校园/企业网络的规划与设计实现。同时也可以作为大学生的学期课程设计,由于本文章只提供,在设计过程中的关键技术与设计笔记(可根据以下所提供的设计与实现步骤一步一步自行实现(每一条命令都是关键的命令) ;但是如果有需要的也可以根据以下地址进行下载完整的topo图和完整的配置进行参考与借鉴
    华为基于eNSP的千人中型校园/企业网络设计与规划.rar(topo及所有的配置文件都在的)

    一、设计要求与设计topo图

    拓扑图:
    请添加图片描述
    设计需求:
    ① 信息中心配置Eth-trunk实现链路冗余
    ② 企业内网划分多个vlan ,减小广播域大小,提高网络稳定性
    ③ 核心交换机作为用户网关实现vlan间路由
    ④ 所有用户均为自动获取ip地址
    ⑤ 出口配置NAT实现地址转换
    ⑥ 在企业出口将内网服务器的80端口映射出去,允许外网用户访问
    ⑦ 所有设备都可以被telnet远程管理
    ⑧ 所有校区之间可以互访且出口实现冗余
    ⑨ 企业财务服务器,只允许(vlan 40)的员工访问。
    ⑩ 禁止vlan 20 员工访问外网且关键设备做好实时监控

    插曲1:经过改造可以为冗余型的网络设计,改造后基于eNSP的千人规模 冗余型 中型校园/企业网络设计与规划 如下图所示(但是并不在该篇文章中做详细介绍和说明,如查看可点击连接自行查看阅读):

    请添加图片描述请添加图片描述
    插曲2:
    不管是冗余型还是非冗余型都没有防火墙这个设备,所以以下是添加了防火墙的综合实验。基于eNSP加防火墙的千人中型校园/企业网络规划与设计(附所有配置命令),如果需要可点击此连接进行查阅,topo如图所示:
    请添加图片描述请添加图片描述

    二、需求分析

    我们用到的设计思想就是根据交换机的三层架构来设计,核心层进行高速转发、冗余、均衡;汇聚层进行策略控制ACL、VLAN、Qos、分组过滤、路由选择、组播管理;最后的接入层给用户接入,多端口、用户访问控制

    三、设计要求与前提

    1)提前好由华为提供的eNSP模拟器软件(安装eNSP的前提需要先安装:VirtualBox、WinPcap、Wireshark这个三个软件作为底层的软件)
    2)电脑的配置内存尽量都在8GB及以上的内存
    3)提前掌握一些网络设计与规划的这些单个技术的使用
    4)该综合实验使用到的关键技术有:DHCP、SVI、OSPF、NAT、Telnet、ACL、SNMP
    如果是拿到了该topo图的,设备名称一律以蓝色填充的标注的为准

    四、网络topo分析

    网络拓扑(Network Topology)结构是指用传输介质互连各种设备的物理布局。指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。如果两个网络的连接结构相同我们就说它们的网络拓扑相同,尽管它们各自内部的物理接线、节点间距离可能会有不同。

    五、设计与实现

    请添加图片描述

    1、VLAN Trunk配置

    配置接入层SW8设备:

    	接入层SW8:
    <Huawei>system-view //进入用户模式
    [Huawei]un in en  //关闭泛洪的信息
    [Huawei]sysname JR_SW8 //将设备命名为JR_SW8,与图片中的设备名称匹配
    [JR_SW8]int Eth-Trunk 1  
    [JR_SW8-Eth-Trunk1]mode lacp-static
    [JR_SW8-Eth-Trunk1]trunkport g 0/0/1 0/0/2 //将两个端口进行捆绑
    [JR_SW8-Eth-Trunk1]port link-type trunk	//并将其设置为trunk口
    [JR_SW8-Eth-Trunk1]port trunk allow-pass vlan 200
    [JR_SW8-Eth-Trunk1]port trunk allow-pass vlan 900
    [JR_SW8]vlan 200	//创建vlan200
    [JR_SW8-vlan200]quit
    [JR_SW8]vlan 900   //创建管理vlan900(以下的交换机中都需要创建管理vlan900方便后期的管理)
    [JR_SW8-vlan900]quit
    <JR_SW8>save
    <JR_SW8>sysem-view //长时间没有接触命令板所以退出了,需要重新进入一下用户模式
    [JR_SW8]port-group group-member Ethernet 0/0/2 Ethernet 0/0/3
    [JR_SW8-port-group]port link-type access 
    [JR_SW8-port-group]port default vlan 200
    

    核心层交换机SW1配置:

    	核心SW1:
    <Huawei>system-view 
    [Huawei]un in en
    [Huawei]sysname HX_SW1 //将设备命名为HX_SW1与图片的标注匹配
    [HX_SW1]int Eth-Trunk 1
    [HX_SW1-Eth-Trunk1]mode lacp-static 
    [HX_SW1-Eth-Trunk1]trunkport g0/0/2
    [HX_SW1-Eth-Trunk1]trunkport g0/0/5
    [HX_SW1-Eth-Trunk1]port link-type trunk 
    [HX_SW1-Eth-Trunk1]port trunk allow-pass vlan 200 900
    [HX_SW1-Eth-Trunk1]quit
    [HX_SW1]vlan batch 10 20 30 40 200 900 800 //批量创建vlan
    [HX_SW1]int g0/0/1
    [HX_SW1-GigabitEthernet0/0/1]port link-type trunk
    [HX_SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 900
    [HX_SW1-GigabitEthernet0/0/1]int g0/0/3
    [HX_SW1-GigabitEthernet0/0/3]port link-type trunk 
    [HX_SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 30 900
    [HX_SW1-GigabitEthernet0/0/3]int g0/0/4
    [HX_SW1-GigabitEthernet0/0/4]port link-type trunk 
    [HX_SW1-GigabitEthernet0/0/4]port trunk allow-pass vlan 40 900
    [HX_SW1-GigabitEthernet0/0/4]quit
    [HX_SW1]int g0/0/24
    [HX_SW1-GigabitEthernet0/0/24]port link-type access
    [HX_SW1-GigabitEthernet0/0/24]port default vlan 800
    [HX_SW1-GigabitEthernet0/0/24]quit
    [HX_SW1]
    

    接入层SW5配置:

    	接入SW5:
    <Huawei>system-view
    [Huawei]sysname JR_SW5
    [JR_SW5]vlan 10
    [JR_SW5-vlan10]quit
    [JR_SW5]port-group group-member e0/0/2 e0/0/3
    //也可以是这样[JR_SW5]port-group group-member e0/0/2 to e0/0/20 从2-20口
    [JR_SW5-port-group]port link-type access 
    [JR_SW5-port-group]port default vlan 10
    [JR_SW5-port-group]quit
    [JR_SW5]int g0/0/1
    [JR_SW5-GigabitEthernet0/0/1]port link-type trunk 
    [JR_SW5-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 900
    [JR_SW5-GigabitEthernet0/0/1]quit
    [JR_SW5]vlan 900//作为管理vlan后期配置telnet的时候会用到
    [JR_SW5-vlan900]quit
    [JR_SW5-vlan900]quit
    [JR_SW5]quit
    <JR_SW5>save
    

    接入层SW6:

    	接入SW6:
    <Huawei>system-view 
    [Huawei]sysname JR_SW6
    [JR_SW6]vlan batch 20 900
    [JR_SW6]int e0/0/1
    [JR_SW6-Ethernet0/0/1]port link-type access 
    [JR_SW6-Ethernet0/0/1]port default vlan 20
    [JR_SW6-Ethernet0/0/1]quit
    [JR_SW6]int g0/0/1
    [JR_SW6-GigabitEthernet0/0/1]port link-type trunk
    [JR_SW6-GigabitEthernet0/0/1]port trunk allow-pass vlan 20 900
    [JR_SW6-GigabitEthernet0/0/1]quit
    [JR_SW6]quit
    <JR_SW6>save
    

    汇聚层SW2:

    	汇聚SW2:
    <Huawei>sy
    [Huawei]un in en
    [Huawei]sysname HJ_SW2
    [HJ_SW2]vlan batch 10 20 900
    [HJ_SW2]int g0/0/2
    [HJ_SW2-GigabitEthernet0/0/2]port link-type trunk
    [HJ_SW2-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 900
    [HJ_SW2-GigabitEthernet0/0/2]int g0/0/3
    [HJ_SW2-GigabitEthernet0/0/3]port link-type trunk
    [HJ_SW2-GigabitEthernet0/0/3]port trunk allow-pass vlan 20 900
    [HJ_SW2-GigabitEthernet0/0/3]int g0/0/1
    [HJ_SW2-GigabitEthernet0/0/1]port link-type trunk
    [HJ_SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 900
    [HJ_SW2-GigabitEthernet0/0/1]quit
    [HJ_SW2]quit
    <HJ_SW2>save
    

    接入层SW7:

    	汇聚SW7
    <Huawei>sy
    [Huawei]un in en
    [Huawei]sysname JR_SW7
    [JR_SW2]vlan batch 30 900
    [JR_SW7]port-group group-member e0/0/1 to e0/0/22	
    [JR_SW7-port-group]port link-type access 
    [JR_SW7-port-group]port default vlan 30
    [JR_SW7-port-group]quit
    [JR_SW7]int g0/0/1
    [JR_SW7-GigabitEthernet0/0/1]port link-type trunk 
    [JR_SW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 30 900
    [JR_SW7-GigabitEthernet0/0/1]quit
    <JR_SW7>save
    

    汇聚层SW3:

        汇聚SW3:
    <Huawei>SY
    [Huawei]un in en
    [Huawei]sysname HJ_SW3
    [HJ_SW3]vlan batch 30 900
    [HJ_SW3]port-group group-member g0/0/1 g0/0/2
    [HJ_SW3-port-group]port link-type trunk	
    [HJ_SW3-port-group]port trunk allow-pass vlan 30 900
    [HJ_SW3-port-group]quit
    <HJ_SW3>save
    

    接入SW9:

        接入SW9:
    [Huawei]sysname JR_SW9
    [JR_SW9]vlan batch 40 900
    [JR_SW9]int e0/0/2
    [JR_SW9-Ethernet0/0/2]port link-type access 
    [JR_SW9-Ethernet0/0/2]port default vlan 40
    [JR_SW9-Ethernet0/0/2]int g0/0/1	
    [JR_SW9-GigabitEthernet0/0/1]port link-type trunk 
    [JR_SW9-GigabitEthernet0/0/1]port trunk allow-pass vlan 40 900
    <JR_SW9>save
    

    汇聚SW4:

        汇聚SW4:
    <Huawei>system-view 
    [Huawei]un in en
    [Huawei]sysname HJ_SW4
    [HJ_SW4]vlan batch 40 900
    [HJ_SW4]port-group group-member g0/0/1 g0/0/2
    [HJ_SW4-port-group]port link-type trunk	
    [HJ_SW4-port-group]port trunk allow-pass vlan 40 900
    [HJ_SW4-port-group]quit
    [HJ_SW4]quit
    <HJ_SW4>save
    

    扩展代码:

    [JR_SW8]dis eth-trunk //查看绑定的trunk
    [JR_SW8-Eth-Trunk1]dis this//查看当前的配置信息
    

    2、网关SVI(交换机虚拟接口,华为里面叫vlanif)配置

    只用配置核心交换机SW1:

    	核心SW1:
    <HX_SW1>sy
    [HX_SW1]un in en
    [HX_SW1]int vlanif 10
    [HX_SW1-Vlanif10]ip add 192.168.10.1 24
    [HX_SW1-Vlanif10]int vlanif 20
    [HX_SW1-Vlanif20]ip add 192.168.20.1 24
    [HX_SW1-Vlanif20]int vlanif 30
    [HX_SW1-Vlanif30]ip add 192.168.30.1 24
    [HX_SW1-Vlanif30]int vlanif 40
    [HX_SW1-Vlanif40]ip add 192.168.40.1 24
    [HX_SW1-Vlanif40]int vlanif 200
    [HX_SW1-Vlanif200]ip add 192.168.200.1 24
    [HX_SW1-Vlanif200]int vlanif 800
    [HX_SW1-Vlanif800]ip add 192.168.254.2 24
    [HX_SW1-Vlanif800]quit
    <HX_SW1>save	
    
    之后可以给PC设置一个静态IP地址如:
    192.168.10.5 255.255.255.0,网关可以先不配,
    ping 192.168.10.1是否能ping通
    
    
    [HX_SW1]display ip interface  brief //查看端口IP简要状态信息
    

    3、DHCP配置

    	核心SW1:
    [HX_SW1]dhcp enable //启动DHCP服务
    [HX_SW1]ip pool syl_vlan10 //创建一个名为syl_vlan10的地址池
    [HX_SW1-ip-pool-syl_vlan10]network 192.168.10.0 mask 24//分配10.0这个网段的地址
    [HX_SW1-ip-pool-syl_vlan10]gateway-list 192.168.10.1 //设置网关
    [HX_SW1-ip-pool-syl_vlan10]dns-list 114.114.114.114 8.8.8.8 //分配dns 辅助dns
        ......
    //其余地址池也是一样的创建
    [HX_SW1]int vlanif 10
    [HX_SW1-Vlanif10]dhcp select global 
    [HX_SW1-Vlanif10]quit
    [HX_SW1]int vlanif 20	
    [HX_SW1-Vlanif20]dhcp select global 
    [HX_SW1-Vlanif20]quit
        ......
    //其余vlanif也是一样的配置vlanif有10 20 30 40 200 800  900
    //可以检测pc机的IP地址ping网关
    

    4、OSPF配置

    第一步配置IP地址:

    	R1:首先配置接口IP地址
    [R1]int g4/0/0
    [R1-GigabitEthernet4/0/0]ip add 192.168.254.1 24
    [R1]int g3/0/0
    [R1-GigabitEthernet3/0/0]ip add 12.1.1.1 29
    [R1-GigabitEthernet3/0/0]int g0/0/1
    [R1-GigabitEthernet0/0/1]ip add 13.1.1.1 29
    [R1-GigabitEthernet0/0/1]int g1/0/0
    [R1-GigabitEthernet1/0/0]ip add 192.168.104.1 30
    [R1-GigabitEthernet1/0/0]int g2/0/0 
    [R1-GigabitEthernet2/0/0]ip add 192.168.105.1 30
    [R1-GigabitEthernet2/0/0]quit
            
    	YD_R2:
    [YD_R2]int e0/0/0
    [YD_R2-Ethernet0/0/0]ip add 12.1.1.6 29
    [YD_R2]int LoopBack 0
    [YD_R2-LoopBack0]ip add 9.9.9.9 24
    [YD_R2-LoopBack0]description baidu
        
    	LT_R3:
    [LT_R3]int e0/0/0
    [LT_R3-Ethernet0/0/0]ip add 13.1.1.6 29
    [LT_R3]int LoopBack 0
    [LT_R3-LoopBack0]ip add 9.9.9.9 24
    [LT_R3-LoopBack0]description baidu
        
        XXQ1_R4:
    [XXQ1_R4]int e0/0/1
    [XXQ1_R4-Ethernet0/0/1]ip add 192.168.104.2 30
    [XXQ1_R4-Ethernet0/0/1]int e0/0/0
    [XXQ1_R4-Ethernet0/0/0]ip add 192.168.100.1 24
        
        XXQ2_R5:
    [XXQ2_R5]int e0/0/0
    [XXQ2_R5-Ethernet0/0/0]ip add 192.168.105.2 30
    [XXQ2_R5-Ethernet0/0/0]int e0/0/1
    [XXQ2_R5-Ethernet0/0/1]ip add 192.168.150.1 24
        
        client1:
    ip:192.168.100.2 24
    gateway-list:192.168.100.1
        client2:
    ip:192.168.150.2 24
    gateway-list:192.168.150.1
    

    第二步设置OSPF路由协议:

    	SW1:提前完成IP地址的配置
    [HX_SW1]ospf 1 router-id 1.1.1.1
    [HX_SW1-ospf-1]area 0
    [HX_SW1-ospf-1-area-0.0.0.0]network 192.168.200.0 0.0.0.255
    [HX_SW1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
    [HX_SW1-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255
    [HX_SW1-ospf-1-area-0.0.0.0]network 192.168.30.0 0.0.0.255
    [HX_SW1-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255
    [HX_SW1-ospf-1-area-0.0.0.0]network 192.168.254.0 0.0.0.255
            
    	R1:
    [R1]ospf 1 router-id 2.2.2.2
    [R1-ospf-1]area 0
    [R1-ospf-1-area-0.0.0.0]network 192.168.254.0 0.0.0.255
    [R1-ospf-1-area-0.0.0.0]network 192.168.104.1 0.0.0.0
    [R1-ospf-1-area-0.0.0.0]network 192.168.105.1 0.0.0.0//包含出口的接口即可
    
        
        R4:
    [XXQ1_R4]ospf 1 router-id 4.4.4.4
    [XXQ1_R4-ospf-1]area 0
    [XXQ1_R4-ospf-1-area-0.0.0.0]network 192.168.104.2 0.0.0.0
    [XXQ1_R4-ospf-1-area-0.0.0.0]network 192.168.100.1 0.0.0.0
        
        R5:
    [XXQ2_R5]ospf 1 router-id 5.5.5.5
    [XXQ2_R5-ospf-1]area 0
    [XXQ2_R5-ospf-1-area-0.0.0.0]network 192.168.105.2 0.0.0.0
    [XXQ2_R5-ospf-1-area-0.0.0.0]network 192.168.150.1 0.0.0.0
    
    
    [HX_SW1]dis ip routing-table //查看路由表信息,此处应该出现4个OSPF学习才行如下图所示
    

    在这里插入图片描述
    第三步:测试
    测试1用客户端访问服务端:
    请添加图片描述
    测试二:用老校区访问新校区网络如:PC>ping 192.168.104.2

    5、广域网的出口选路

    	SW1:
    [HX_SW1]ip route-static 0.0.0.0 0 192.168.254.1//静态路由
        
        R1:
    [R1]ip route-static 0.0.0.0 0 12.1.1.6 //默认60的优先级
    [R1]ip route-static 0.0.0.0 0 13.1.1.6 preference 70 //优先级为70,优先级越小越优先
        
    [R1]display ip routing-table 
    //查看路由表示只有一条为60的static路由
    //如果是移动坏了就会默认通往优先级为70的连通static路由
    //这样连通起到了一个备份的作用
    

    6、NAT配置

    需要访问外网,就需要将地址转换我饿公网地址才行

    	R1:
    [R1]acl 2000
    [R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
    [R1-acl-basic-2000]quit
    [R1]int g3/0/0
    [R1-GigabitEthernet3/0/0]nat outbound 2000
    [R1-GigabitEthernet3/0/0]int g0/0/1	
    [R1-GigabitEthernet0/0/1]nat outbound 2000
    //现在的话这些PC机就可以通过上网了,ping 9.9.9.9
    

    7、将内网的web服务器映射出去

    	R1:
    [R1]int g3/0/0
    [R1-GigabitEthernet3/0/0]nat server protocol tcp global current-interface 80 inside 192.168.200.10 80
    [R1-GigabitEthernet3/0/0]int g0/0/1
    [R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.200.10 80
        
    	YD_R2:
    [YD_R2]int e0/0/1
    [YD_R2-Ethernet0/0/1]ip add 7.7.7.1 24
        
        Client3:
    ip:7.7.7.7 24
    gateway-list:7.7.7.1
    

    测试步骤一:请添加图片描述
    测试步骤二:
    请添加图片描述

    8、Telnet远程管理配置

    	核心HX_SW1:
    [HX_SW1]aaa
    [HX_SW1-aaa]local-user a privilege level 3 password cipher 123
    [HX_SW1-aaa]local-user a service-type telnet 
    [HX_SW1-aaa]quit
    [HX_SW1]user-interface vty 0 4 //允许最多5个人同时登录
    [HX_SW1-ui-vty0-4]authentication-mode aaa
        
    //[HX_SW1-ui-vty0-4]protocol inbound  telnet真机了加入
    //[JR_SW8]telnet server enable 真机可能还需要敲这个指令
        .......
        //所有的交换机和R1、XXQ1_R4、XXQ2_R5都做这个一模一样的配置,复制粘贴即可
    /*aaa
    local-user a privilege level 3 password cipher 123
    local-user a service-type telnet
    user-interface vty 0 4
    authentication-mode aaa*/
        继续核心HX_SW1:
    [HX_SW1]int vlanif 900
    [HX_SW1-Vlanif900]ip add 192.168.255.1 24
        
        JR_SW8:
    [JR_SW8]int vlanif 900
    [JR_SW8-Vlanif900]ip add 192.168.255.8 24
    [JR_SW8-Vlanif900]quit
    [JR_SW8]ip route-static 0.0.0.0 0 192.168.255.1//所有的接入层和汇聚层都需要配置一条回报路由
       .....
       //其余交换机都是像JR_SW8一样的配置,除核心交换机以外的路由器都有 ip route-static 0.0.0.0 0 192.168.255.1这条路由下一跳都是255.1
        之后用PC机ping其他网段进行检测如:ping 192.168.255.9/.8/.7
        //由于模拟器上不可以telnet所以就换成了路由器
        
        PC路由这个配置:自动获取IP地址
    [Huawei]sysname PC
    [PC]un in en
    [PC]int e0/0/0
    [PC-Ethernet0/0/0]ip add dhcp-alloc 
        之后就可以telnet了
    <PC>telnet 192.168.255.1
    

    注意这里自动获取地址可能会有点慢,可以使用以下命令进行查看是否是自动获取IP地址

    [PC]dis ip interface brief
    

    直到出现一下的获取到了网关才行,如下图所示:
    在这里插入图片描述

    9、ACL访问控制列表

    ⑨ 企业财务服务器,只允许(vlan 40)的员工访问。
    ⑩ 禁止vlan 20 员工访问外网

    	HX_SW1:
    [HX_SW1]acl 3000
    [HX_SW1-acl-adv-3000]rule permit ip source 192.168.40.0 0.0.0.255 destination 192.168.200.20 0
     //允许40.0这个网段访问财务服务器
    [HX_SW1-acl-adv-3000]rule deny ip source any destination 192.168.200.20 0
    //其余网段访问20.0财务服务器拒接
    [HX_SW1]int Eth-Trunk 1
    [HX_SW1-Eth-Trunk1]traffic-filter outbound acl 3000//运用在这个出口上
        
        R1:
    [R1]acl 3001
    [R1-acl-adv-3001]rule permit ip destination 192.168.0.0 0.0.255.255
    //允许访问192.168.X.X网段
    [R1-acl-adv-3001]rule deny ip source 192.168.20.0 0.0.0.255
    //拒接访问外网
    [R1-acl-adv-3001]int g4/0/0
    [R1-GigabitEthernet4/0/0]traffic-filter inbound acl 3001//运用在g4/0/0这个接口的入口处
    

    六、单个关键技术的设计与实现案例

    1、路由器静态路由实验

    请添加图片描述
    R1、R2、R3都同理配置
    路由器R1:

    <Huawei>system-view 
    [Huawei]un in en
    Info: Information center is disabled.
    [Huawei]sysname R1
    [R1]interface g0/0/1				//进入g0/0/1接口
    [R1-GigabitEthernet0/0/1]ip address 10.1.1.1 24  //配置g0/0/1IP地址
    [R1-GigabitEthernet0/0/1]quit 
    [R1]interface g0/0/2
    [R1-GigabitEthernet0/0/2]ip address 10.1.4.1 30
    [R1-GigabitEthernet0/0/2]quit 	
    [R1]ip route-static 10.1.2.0 24 10.1.4.2	//配置静态路由
        //目的网段  子网掩码  下一跳
    [R1]ip route-static 10.1.3.0 24 10.1.4.2
    <R1>save
    

    同理路由器R2:

    //配置静态路由
    [R2]ip route-static 10.1.1.0 24 10.1.4.1	//配置静态路由
        //目的网段  子网掩码  下一跳
    [R2]ip route-static 10.1.3.0 24 10.1.5.2
    

    PC1(其他PC机同理):

    IP地址:10.1.1.2
    子网掩码:255.255.255.0
    网关:10.1.1.1
    

    2、交换机VLAN配置实验

    基于GVRP的VLAN配置实验:
    请添加图片描述
    第一步:交换机LSW1和LSW2的基本配置:

    	LSW1:
    <Huawei>system-view 
    Enter system view, return user view with Ctrl+Z.
    [Huawei]un in en
    Info: Information center is disabled.
    [Huawei]sysname SwitchA
    [SwitchA]gvrp
    [SwitchA]vlan 2				//创建一个vlan2
    [SwitchA-vlan2]quit 
    [SwitchA]int vlan2			//进入vlan2
    [SwitchA-Vlanif2]ip address 192.168.1.254 24
    
        
        LSW2:
    <Huawei>system-view 
    [Huawei]undo info-center enable 
    [Huawei]sysname SwitchB
    [SwitchB]gvrp
    [SwitchA]vlan 2				//创建一个vlan2  
    

    第二步:交换机LSW1和LSW2的端口配置:

    	LSW1:
    [SwitchA]int g0/0/1
    [SwitchA-GigabitEthernet0/0/1]port link-type access //与连接PC1的端口链路类型设置为access
    [SwitchA-GigabitEthernet0/0/1]port default vlan 2	//将端口G0/0/1加入vlan 2
    [SwitchA-GigabitEthernet0/0/1]int g0/0/2
    [SwitchA-GigabitEthernet0/0/2]port link-type trunk	//将交换机互联的端口链路类型设置为trunk
    [SwitchA-GigabitEthernet0/0/2]port trunk allow-pass vlan all //将端口G0/0/2加入vlan2
        
    	LSW2:
    [SwitchB]int g0/0/1
    [SwitchB-GigabitEthernet0/0/1]port link-type access //与连接PC1的端口链路类型设置为access
    [SwitchB-GigabitEthernet0/0/1]port default vlan 2	//将端口G0/0/1加入vlan 2
    [SwitchB-GigabitEthernet0/0/1]int g0/0/2
    [SwitchB-GigabitEthernet0/0/2]port link-type trunk  //将交换机互联的端口链路类型设置为trunk
    [SwitchB-GigabitEthernet0/0/2]port trunk allow-pass vlan all //将端口G0/0/2加入vlan2
    

    第三步:交换机LSW1和LSW2配置GVRP:

    	LSW1:
    [SwitchA]int g0/0/2
    [SwitchA-GigabitEthernet0/0/2]gvrp  //开启gvrp
        
        LSW2:
    [SwitchB]int g0/0/2
    [SwitchB-GigabitEthernet0/0/2]gvrp
    

    第四步:配置PC1和PC2的IP

    PC1的IP地址:192.168.1.1
    网关:192.168.1.254
    子网掩码:255.255.255.0
        
    PC1的IP地址:192.168.1.2
    网关:192.168.1.254
    子网掩码:255.255.255.0
        
    PC1上:ping 192.168.1.2
    PC2上:ping 192.168.1.1
    

    3、动态路由RIP实验

    请添加图片描述
    1、配置各接口:R1/R2/R3(都如此)

    	R1:
    <Huawei>system-view 
    [Huawei]un in en
    Info: Information center is disabled.
    [Huawei]int g0/0/2
    [Huawei-GigabitEthernet0/0/2]ip address 192.168.1.1 24
    	R2:
    <Huawei>system-view 
    [Huawei]interface g0/0/1
    [Huawei-GigabitEthernet0/0/1]ip address 192.168.1.2 24
    [Huawei-GigabitEthernet0/0/1]int g0/0/2
    [Huawei-GigabitEthernet0/0/2]ip address 10.10.0.1 24
    

    2、配置RIP协议

    	R1:
    [Huawei]rip
    [Huawei-rip-1]network 192.168.1.0
    [Huawei-rip-1]return 
    <Huawei>save
        
        R2:
    [Huawei]rip
    [Huawei-rip-1]network 192.168.1.0
    [Huawei-rip-1]network 10.0.0.0
    [Huawei-rip-1]return
    <Huawei>save
        
        R3:
    [Huawei]rip
    [Huawei-rip-1]network 10.0.0.0 
    [Huawei-rip-1]return
    <Huawei>save
    

    3、检验结果:display ip routing、ping

    	R1:
    Destination/Mask    Proto     Pre  Cost      NextHop 
          10.0.0.0/8    RIP       100   1        192.168.1.2 
        //目标网段      RIP获取    管理距离         下一跳
    

    4、动态路由OSPF实验

    请添加图片描述
    第一步:配置IP地址
    第二步:开通OSPF

    [R1]ospf
    [R1-ospf-1]area 0
    [R1-ospf-1-area-0.0.0.0]network 192.200.10.4   0.0.0.3
        					//   网络号/网络地址  反掩码
    [R1-ospf-1-area-0.0.0.0]area 1
    [R1-ospf-1-area-0.0.0.1]network 192.1.0.128 0.0.0.63
    

    第三步:验证ping、dis ip routing、dis cu

    5、动态路由IS-IS实验(以上综合实验没有用到)

    请添加图片描述

    第一步:配置IP地址
    第二步:配置IS-IS:

    	R1:
    [R1]isis 			//开启全局ISIS配置
    [R1-isis-1]network-entity 10.0000.0000.0001.00
    [R1-isis-1]quit
    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]isis enable   //开启这个端口的ISIS服务
    [R1-GigabitEthernet0/0/0]quit
    [R1]quit
    <R1>save
        
        R2:
    [R2]isis							//开启全局ISIS服务
    [R2-isis-1]network-entity 10.0000.0000.0002.00
    [R2-isis-1]quit
    [R2]int g0/0/0
    [R2-GigabitEthernet0/0/0]isis enable 
    [R2-GigabitEthernet0/0/0]int g0/0/1
    [R2-GigabitEthernet0/0/1]isis enable 	//开启该端口的ISIS服务
    [R2-GigabitEthernet0/0/1]quit
    [R2]quit
    <R2>save
    

    第三步:验证ping、dis ip routing、dis isis peer

    6、路由DHCP实验

    请添加图片描述

    基于global全局配置

    第一步:配置IP地址:

    <Huawei>system-view 
    [Huawei]un in en
    [Huawei]sysname R1
    [R1]interface g0/0/0
    [R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
    [R1-GigabitEthernet0/0/0]quit
    
    [R1]ip pool PC		//创建地址池名字为PC
    Info:It's successful to create an IP address pool.
    [R1-ip-pool-PC]gateway-list 192.168.1.254  //获取网关	
    [R1-ip-pool-PC]network 192.168.1.0 mask 24	//分配网段
    [R1-ip-pool-PC]quit
    

    第二步:开启DHCP配置:

    [R1]dhcp enable 
    Info: The operation may take a few seconds. Please wait for a moment.done.
    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]dhcp select global //基于global分配
    [R1-GigabitEthernet0/0/0]quit
        
    <R1>save
    

    基于interface接口配置

    第一步:配置ip

    [R3-GigabitEthernet0/0/0]ip address 192.168.2.254 24
    

    第二步:开启DHCP

    [R3]dhcp enable 
    [R3]int g0/0/0
    [R3-GigabitEthernet0/0/0]dhcp select interface//用于该端口
    

    7、访问控制列表ACL实验

    请添加图片描述
    第一步:配置ip地址
    第二步:配置静态路由或RIP全网连通(此处以静态路由为例)

    静态路由:
    [R1]ip route-static 192.168.20.0 24 192.168.12.2
        			// 目的网段    网关  下一跳
    
    [R2]ip route-static 192.168.10.0 24 192.168.12.1
        			// 目的网段    网关  下一跳
    

    第三步:配置ACL、ACL规则,并应用

    配置ACL禁止PC3与PC1之间的访问:
    
    <R2>system-view 
    [R2]acl 3000
    [R2-acl-adv-3000]rule 5 deny ip source 192.168.20.3 0.0.0.255 destination 192.168.10.1 0.0.0.255
    //前是源网段 反掩码 后是目的网段 反掩码
    //表示的是拒绝20.3这个网段访问10.1这个网段(整个网段)
        
        
    //(还以表示为[R2-acl-adv-3000]rule 5 deny ip source 192.168.20.3 0 destination 192.168.10.1 0)此处的0表示的是主机数(阻止20.3的访问IP地址为10.1这个地址)
        
    [R2-acl-adv-3000]quit
    [R2]int g0/0/0
    [R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
        
    [R2-GigabitEthernet0/0/0]quit
    

    第四步:验证ACL。display acl 3000、dis cu、 dis acl all、ping命令
    ACL其他命令:

    [SW]time-range satime 8:00 to 18:00 working-day //设置时间
    [SW]traffic classifier c_m //创建一个c_m的流分类
    [SW-classifier-c_m]if-match acl 3002 //将ACL与流分类关联(if-match设定流分类分匹配规则)
    [SW]traffic behavior d_m //创建一个流行为
    [SW-behavior-d_m]deny //配置流行为动作为拒绝报文通过
    [SW]traffic policy e_m //创建流策略
    [SW-trafficcpolicy-e_m]classifier c_m behavior d_m
    [SW]int g0/0/1 //进入接口
    [SW-g0/0/1]traffic-policy e_m outbound //将策略应用到接口
    

    8、单臂路由技术

    请添加图片描述
    第一步:配置PC机IP地址
    第二步:配置Switch交换机

    	SW1:
    [SW1]int e0/0/2
    [SW1-Ethernet0/0/2]port link-type access//设置02端口为access口
    [SW1-Ethernet0/0/2]port default vlan 10
    [SW1-Ethernet0/0/2]int e0/0/3
    [SW1-Ethernet0/0/3]port link-type access//设置03端口为access口
    [SW1-Ethernet0/0/3]port default vlan 20
    
    [SW1-Ethernet0/0/3]int e0/0/1
    [SW1-Ethernet0/0/1]port link-type trunk
    [SW1-Ethernet0/0/1]port trunk allow-pass vlan 10 20
    
    [SW1-Ethernet0/0/1]int e0/0/4
    [SW1-Ethernet0/0/4]port link-type trunk 
    [SW1-Ethernet0/0/4]port trunk allow-pass vlan 10 20
    [SW1-Ethernet0/0/4]quit
    
        
        
        
    	SW2:
    <Huawei>system-view 
    [Huawei]un in en
    [Huawei]sysname SW2
    [SW2]vlan batch 10 20	//批量创建vlan 10 和vlan20
    [SW2]int e0/0/1
    [SW2-Ethernet0/0/1]port link-type trunk  //设置01口为trunk
    [SW2-Ethernet0/0/1]port trunk allow-pass vlan 10 20 //允许10 20通过
        
    [SW2-Ethernet0/0/1]int e0/0/2
    [SW2-Ethernet0/0/2]port link-type access
    [SW2-Ethernet0/0/2]port default vlan 10
        
    [SW2-Ethernet0/0/2]int e0/0/3
    [SW2-Ethernet0/0/3]port link-type access
    [SW2-Ethernet0/0/3]port default vlan 20
    [SW2-Ethernet0/0/3]quit
    

    第三步:配置Router路由器

    <Huawei>system-view 
    [Huawei]un in en
    [Huawei]sysname R1
    [R1]interface g0/0/0.1		//进入一个逻辑端口0.1
    [R1-GigabitEthernet0/0/0.1]dot1q termination vid 10
    [R1-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24 //设置IP地址
    [R1-GigabitEthernet0/0/0.1]arp broadcast enable  //开启arp
    [R1-GigabitEthernet0/0/0.1]quit
    [R1]interface g0/0/0.2		//进入一个逻辑端口0.2
    [R1-GigabitEthernet0/0/0.2]dot1q termination vid 20
    [R1-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24
    [R1-GigabitEthernet0/0/0.2]arp broadcast enable
    

    第四步:测试vlan

    	SW1:dis vlan
    10   common  UT:Eth0/0/2(U)                                                     
                 TG:Eth0/0/1(U)     Eth0/0/4(U)   
    20   common  UT:Eth0/0/3(U)                                                     
                 TG:Eth0/0/1(U)     Eth0/0/4(U)  
         
         SW2:dis vlan
    10   common  UT:Eth0/0/2(U)                                                     
                 TG:Eth0/0/1(U)                                                     
    20   common  UT:Eth0/0/3(U)                                                     
                 TG:Eth0/0/1(U)   
    

    9、地址转换NAT技术实验

    请添加图片描述

    静态nat

    步骤一:配合PC机地址

    PC1:192.168.1.1 255.255.255.0 192.168.1.254
    PC2:192.168.1.2 255.255.255.0 192.168.1.254
    PC3:192.168.2.1 255.255.255.0 192.168.2.254
    

    步骤二:配置路由器R1、R2地址

    	R1:
    [Huawei]sysname R1
    [R1]interface g0/0/0
    [R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
    [R1-GigabitEthernet0/0/0]int g0/0/1
    [R1-GigabitEthernet0/0/1]ip address 10.10.1.1 24
    
    
        R2:
    [Huawei]sysname R2
    [R2]int g0/0/0
    [R2-GigabitEthernet0/0/0]ip address 10.10.1.2 24
    [R2-GigabitEthernet0/0/0]int g0/0/1
    [R2-GigabitEthernet0/0/1]ip address 192.168.2.254 24
    

    步骤三:配置静态nat
    请添加图片描述

    <R1>system-view 
    [R1]int g0/0/1
    [R1-GigabitEthernet0/0/1]nat static glo	
    [R1-GigabitEthernet0/0/1]nat static global 172.16.1.1 inside 192.168.1.1
    //将192.168.1.1转换为172.16.1.1地址
    

    动态nat

    	R1:
    [R1]int g0/0/1
    [R1-GigabitEthernet0/0/1]undo nat static global 172.16.1.1 inside 192.168.1.1
    //删除刚才的静态nat
    [R1]nat address-group 1 172.16.1.1 172.16.1.5
    //分配一个地址1.1-1.5
    [R1]acl 2000 //创建一标准的ACL
    [R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255//允许1.0网段通过
    [R1-acl-basic-2000]quit
    [R1]int g0/0/1
    [R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat //运用在这个端口上
    

    这个时候ping1.0网段不通:可以配置R2的静态路由,在ping的同时可以抓取R2中g0/0/0端口数据包查看

    PC>ping 10.10.1.2
    Ping 10.10.1.2: 32 data bytes, Press Ctrl_C to break
    Request timeout!
    Request timeout!
    Request timeout!
    Request timeout!
    Request timeout!
    

    给R2配置静态路由:

    <R2>system-view 
    [R2]ip route-static 172.16.1.0 24 10.10.1.1
        //目的网段 子网掩码 下一跳
        
    //这个时候在ping就可以通了
    PC>ping 10.10.1.2
    Ping 10.10.1.2: 32 data bytes, Press Ctrl_C to break
    From 10.10.1.2: bytes=32 seq=1 ttl=254 time=47 ms
    From 10.10.1.2: bytes=32 seq=2 ttl=254 time=93 ms
    

    NAPT配置

    也是需要ACL规则和地址池的,接上面的R2静态路由

    	R1:
    [R1]int g0/0/1
    [R1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat
    //删除刚才的动态nat
    [R1]nat address-group 1 172.16.1.1 172.16.1.5
    //分配一个地址1.1-1.5
    [R1]acl 2000 //创建一标准的ACL
    [R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255//允许1.0网段通过
    [R1-acl-basic-2000]quit
    [R1]int g0/0/1
    [R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //运用在这个端口上
    

    easy IP

    也需要ACL规则但是不需要地址池

    <R1>system-view 
    [R1]un in en
    [R1]int g0/0/1
    [R1-GigabitEthernet0/0/1]nat outbound 2000
    

    作者:BSXY_陈永跃
    BSXY_信息学院
    注:未经允许禁止转发

    展开全文
  • 浅谈企业网络安全边界

    万次阅读 2018-09-20 09:36:21
    企业网络安全关键在找准安全边界(攻击点):边界的左边是攻击者(脚本小子、骇客、APT攻击),边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防,尽可能做到安全边界不被攻破。 然而随着业务...
  • 网络安全的重要性

    千次阅读 多人点赞 2022-05-26 17:50:53
    网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 当前,以大数据、移动互联网、...
  • 企业网络安全建设必备终端设备 文章目录企业网络安全建设必备终端设备前言一、堡垒机是神马东西呢?1.1、堡垒机的定义1.2、堡垒机的定义二、使用步骤1.引入库2.读入数据总结 前言 一、堡垒机是神马东西呢? ...
  • 网络安全等保/安全合规总结

    千次阅读 2022-03-09 09:36:35
    文章目录1. 什么是合规?2. 什么是等保2.0?3. 做了等保有什么好处?...符合网络安全法律法规,在国内可以理解成符合等保2.0要求. 2. 什么是等保2.0? 全名是网络安全等级保护2.0,是一套标准. 监管机构会根据这套
  • 网络安全解决方案

    千次阅读 2022-01-19 14:28:50
    一,网络安全体系结构 网络安全体系结构是对网络信息安全基本问题的应对措施的集合,通常由保护,检测,响应和恢复等手段构成。 1,网络信息安全的基本问题 研究信息安全的困难在于: 边界模糊 数据安全与平台...
  • 【计算机网络学习笔记05】典型企业网络架构 企业网络是 Internet 的重要组成部分,随着企业业务需求而不断地变化。为了了解企业网络如何满足企业业务需求,必须了解典型的企业网络架构以及网络的各种组成设备和传输...
  • 一、网络安全概述 1.1 网络中的“安全”问题 信息安全经历两大变革: 从物理和管理方法 转变成 自动化工具保护信息安全 终端普遍使用网络传输数据并保证数据安全 网络中的“安全”问题 监听 截获 篡改 假冒 ...
  • 中小型企业网络配置

    万次阅读 多人点赞 2021-03-19 21:30:22
    文章目录中小型企业网络配置一、需求分析二、拓扑图与ip规划三、实现1、 防火墙FW1的配置2、防火墙fw2配置3、 核心交换机LSW1基本配置4 、核心交换机LSW2基本配置5、接入层交换机lsw3基本配置(lsw4~8类似)6 、...
  • 因此,我们要认清网络的脆弱性和潜在威胁以及现实客观存在的各种安全问题隐患,并进行专业正确的企业网络信息安全维护。下面弘博创新小编为大家一一讲解哈~ 1.将安全策略、硬件及软件等方法结合起来,构成一个统一的...
  • 随着大家的网络安全意识加强,越来越多的企业开始思考如何确保企业网络安全,如何保障企业数据安全。很多企业负责人在问,知名网络安全企业有哪些? 知名网络安全企业有哪些? 1、行云管家 深圳市行云绽放科技有限...
  • 采用满足这些要求并与其云提供商无缝集成的云网络安全解决方案将帮助企业在威胁日益增加的环境中保持安全。
  • 网络安全技术概论知识点

    千次阅读 2021-09-27 08:41:56
    本文为《网络安全技术及应用》中重点知识点的提炼,以便于记忆。
  • 网络信息安全基本属性

    千次阅读 2022-03-17 19:18:23
    常见的网络信息安全基本属性主要有机密性、完整性、可用性、不可抵赖性和可控性等,其中**机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)被称为网络信息系统核心的CIA安全属性**,此外...
  • 要建立防御体系应从通信网络网络边界、局域网络内部、各种业务应用平台等各个层次落实各种安全措施,形成纵深防御体系。单靠一种或几种安全设备就想保护整个网络是不可能的事情。因此,为了满足不同防护需求的安全...
  • 网络课程设计】校园网规划方案

    万次阅读 多人点赞 2022-01-05 15:06:27
    无锡科技职业学院校园网规划方案 1 需求分析 1.1 校园总体概述 无锡科技职业学院位于无锡市新吴区新锡路8号,其学习内部划分多个楼层。共有三个局域网站组成一个大型的校园,分别为宿舍区域,教学区域,以及实训...
  • 企业网网络架构介绍

    千次阅读 2019-07-02 01:49:43
    企业网网络架构介绍 前言 企业的业务总是在不断地发展,对网络的需求也是在不断地变化,这就要求企业网络应该具备适应这种需求不断变化的能力。因此,我们了解企业网络的架构是如何适应业务的需求将变得十分必要。...
  • 中国网络安全行业发展前景及投资战略研究报告(2022-2027年) 【报告编号】: BG417566 【出版时间】: 2022年2月 【出版机构】: 中智正业研究院 内容简介: 第一章 网络安全基本概述 1.1 网络安全概念界定 ...
  • 网络安全技术之虚拟专用网络

    千次阅读 2022-04-23 22:13:46
    网络安全技术指保障网络系统硬件、软件、数据及其服务的安全而采取的信息安全技术。用于保护两个或两个以上网络的安全互联和数据安全交换的相关技术,涉及虚拟专用、安全路由器等技术。最近因企业升级信息系统应用...
  • 网络信息安全之零信任

    千次阅读 2022-04-21 11:35:21
    根据NIST《零信任架构标准》中的定义:零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定...零信任架构(ZTA)是一种企业网络安全规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。
  • 网络安全保障体系的总体框架 1.网络安全整体保障体系 计算机网络安全的整体保障作用,主要体现在整个系统生命周期对风险进行整体的管理、应对和控制。网络安全整体保障体系如图1所示。 图1网络安全整体保障...
  • 企业网络安全最常遇到的问题是什么?答案并非微不足道。基于网络安全评估的统计数据可能是关于这一复杂主题的最佳知识库。行业专家在开展这项活动方面具有扎实的背景,几乎每个企业IT环境都可能发现以下威胁: 1.电子...
  • 网络安全--安全攻防概述

    千次阅读 2021-08-18 18:27:21
    1.2网络安全概述 1.3网络攻击: 1.4安全防御 二、信息安全发展历程 2.1信息安全发展简介 2.2信息安全发展历程 三、信息安全职业发展方向 3.1信息安全职业前景 3.2信息安全职业发展方向 课程目标:这节课...
  • 企业网络规划和设计方案(一)

    万次阅读 多人点赞 2018-07-04 01:01:57
    企业网络规划和设计方案 一.工程概况公司有一栋独立大楼,高4层,每层面积2000平方米。由研发技术部(成员60人,分成硬件(25)和软件(35)2大部门)、生产部(主要产品是手持电子产品,110人,管理人员10人)和...
  • 常见网络安全产品汇总,可作初步了解。
  • 利用思科模拟器设计企业网络

    千次阅读 热门讨论 2020-11-23 10:52:56
        在网络及业务需求方面,要求网络安全性、可靠性较高,系统易扩充、管理和维护,数据处理及通讯能力强、响应速度快;要求架设FTP Server便于公司内部人员共享文件,同时增设技术部FTP专用Server;员工之间...
  • 网络安全法学习整理笔记

    千次阅读 2022-04-08 01:06:21
    网络安全法 一、背景 概念 网络:是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 410,010
精华内容 164,004
关键字:

企业网网络安全规划