文章簡介:本文用華為ensp對企業網路進行了規劃和模擬,也同樣適用于校園、醫院等場景,如有需要可聯系作者,可以根據定制化需求做修改,作者簡介:網路工程師,希望能認識更多的小伙伴一起交流,可私信或QQ號:1686231613
目錄
摘 要
第一章 網路規劃與設計
1.1 公司網路設計
1.2 ip地址和vlan劃分
1.3 ospf規劃與配置
1.4 vrrp規劃與配置
1.5 MSTP規劃與配置
1.6 dhcp配置
1.7 防火墻安全配置
1.8 SNAT和DNAT的實作
第二章 驗證測驗
摘 要
本文首先規劃一個公司的網路,采用接入層、核心層、匯聚層三層網路,所有交換機運行MSTP和VRRP協議,做冗余備份,保護鏈路安全,運行ospf動態路由協議,方便路由維護,使用dhcp動態分配地址,便于ip地址管理,出口采用防火墻設備,保護網路安全,同時在防火墻上做SNAT,可以讓公司內網訪問外網,在防火墻上做DNAT,可以讓外部網路訪問公司服務器,
第一章 網路規劃與設計
1.1 公司網路設計
網路的設計原則包括三方面:
(1)可靠性原則:一是業務穩定運行,二是故障恢復時間快,
(2)實用性和可擴展性:符合實際并且便于擴展,
(3)安全性:公司設備和鏈路都要有冗余備份,還要保護內容的安全,
一個網路的拓撲圖能夠最直觀的呈現這個網路的設計思想,幾種經典的網路拓撲結構各有特點,我們使用最標準的核心層、匯聚層、接入層三層架構,要求任何一臺設備都不能宕機,所以所有交換機必須要有雙機熱備冗余備份,公司的網路拓撲如下圖所示,
本次設計能夠滿足需求如下:
1.每個部門劃分一個vlan,部門內部網路互通,不同部門網路也能互通,
2.每個部門劃分一段ip地址,并用dhcp技術自動分配地址,方便管理,
3.運行ospf協議,方便路由的維護,
4.接入層和匯聚層交換機做MSTP和VRRP技術,設備冗余,能夠保證一臺設備壞了之后,瞬間切換到另外一臺設備,不影響業務,
5.保證公司內網的安全,增加防火墻設備,隔離公司內網和互聯網,
6.公司內部使用光纖連接,光網覆寫,速度快,
7.SNAT:應用于內網用戶訪問Internet時進行的地址轉換將私網地址轉為公網地址,
8.DNAT:使的外網用戶能夠訪問內部服務器,用戶訪問202.1.1.202時,防火墻將流量能夠送給內網的服務器,DNAT中可使用公網埠與私網地址一對一進行映射,當訪問202.1.1.202:8080 或202.1.1.1.202:8081 時,防火墻將目的地址轉換為 192.168.10.10 或192.168.10.11 并且訪問的是web服務,當用戶訪問202.1.1.202:2021 時防火墻將目的地址轉換為192.168.10.20 訪問公司的FTP服務,
1.2 ip地址和vlan劃分
VLAN(Virtual Local Area Network)即虛擬局域網,是將一個物理的LAN在邏輯上劃分成多個廣播域的通信技術,VLAN內的主機間可以直接通信,而VLAN間不能直接通信,從而將廣播報文限制在一個VLAN內,任何一個網路基礎都是IP地址,網路設計也都是從IP地址和VLAN劃分開始的,劃分VALN是隔離廣播域最有效的方法,子網劃分和vlan劃分是網路最基本的組成部分,本次VLAN的劃分根據需求出發每個部門劃分單獨的VLAN,使部門之間相互獨立,更便于管理,本次設計的VLAN和IP地址劃分如表3-1所示,
表3-1 ip地址規劃
| 部門 | vlan | ip地址 |
| 市場 | 100 | 192.168.100.0/24 |
| 研發 | 101 | 192.168.101.0/24 |
| 財務 | 102 | 192.168.102.0/24 |
| 人力 | 103 | 192.168.103.0/24 |
| 勤務 | 104 | 192.168.104.0/24 |
| 網路中心 | 99 | 192.168.99.0/24 |
1.3 ospf規劃與配置
路由協議OSPF全稱為Open Shortest Path First,也就開放的最短路徑優先協議,因為OSPF是由IETF開發的,它的使用不受任何廠商限制,所有人都可以使用,所以稱為開放的,而最短路徑優先(SPF)只是OSPF的核心思想,其使用的演算法是Dijkstra演算法,最短路徑優先并沒有太多特殊的含義,并沒有任何一個路由協議是最長路徑優先的,所有協議,都會選最短的,為了方便路由的維護,分別在核心價換機,匯聚交換機和防火墻上配置ospf協議,配置如下:
防火墻上ospf配置:
ospf 1 router-id 11.11.11.11
default-route-advertise
spf-schedule-interval millisecond 5000
area 0.0.0.0
network 192.168.10.0 0.0.0.255
network 192.168.11.0 0.0.0.255
核心交換機配置:
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 192.168.0.0 0.0.255.255
匯聚交換機1配置:
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.0.0 0.0.255.255
匯聚交換機2配置:
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 192.168.0.0 0.0.255.255
1.4 vrrp規劃與配置
虛擬路由器冗余協議(VRRP)是一種選擇協議,它可以把一個虛擬路由器的責任動態分配到局域網上的 VRRP 路由器中的一臺,控制虛擬路由器 IP 地址的VRRP路由器稱為主路由器,它負責轉發資料包到這些虛擬 IP 地址,一旦主路由器不可用,這種選擇程序就提供了動態的故障轉移機制,這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器,使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議, VRRP 包封裝在 IP包中發送,是一種LAN接入設備備份協議,一個局域網路內的所有主機都設定預設網關,這樣主機發出的目的地址不在本網段的報文將被通過預設網關發往三層交換機,從而實作了主機和外部網路的通信,為了防止設備出現單點故障,在匯聚交換機上為公司內網的網關做vrrp配置,實作設備冗余,
核心交換機1vrrp配置:
interface Vlanif100
ip address 192.168.100.1 255.255.255.0
vrrp vrid 100 virtual-ip 192.168.100.254
vrrp vrid 100 priority 120
dhcp select relay
dhcp relay server-ip 192.168.12.1
dhcp relay server-ip 192.168.13.1
interface Vlanif101
ip address 192.168.101.1 255.255.255.0
vrrp vrid 101 virtual-ip 192.168.101.254
vrrp vrid 101 priority 120
dhcp select relay
dhcp relay server-ip 192.168.12.1
dhcp relay server-ip 192.168.13.1
interface Vlanif102
ip address 192.168.102.1 255.255.255.0
vrrp vrid 102 virtual-ip 192.168.102.254
vrrp vrid 102 priority 120
dhcp select relay
dhcp relay server-ip 192.168.12.1
dhcp relay server-ip 192.168.13.1
interface Vlanif103
ip address 192.168.103.1 255.255.255.0
vrrp vrid 103 virtual-ip 192.168.103.254
dhcp select relay
dhcp relay server-ip 192.168.12.1
dhcp relay server-ip 192.168.13.1
interface Vlanif104
ip address 192.168.104.1 255.255.255.0
vrrp vrid 104 virtual-ip 192.168.104.254
dhcp select relay
dhcp relay server-ip 192.168.12.1
dhcp relay server-ip 192.168.13.1
核心交換機2 vrrp配置:
interface Vlanif100
ip address 192.168.100.2 255.255.255.0
vrrp vrid 100 virtual-ip 192.168.100.254
dhcp select relay
dhcp relay server-ip 192.168.12.1
dhcp relay server-ip 192.168.13.1
interface Vlanif101
ip address 192.168.101.2 255.255.255.0
vrrp vrid 101 virtual-ip 192.168.101.254
dhcp select relay
dhcp relay server-ip 192.168.12.1
dhcp relay server-ip 192.168.13.1
interface Vlanif102
ip address 192.168.102.2 255.255.255.0
vrrp vrid 102 virtual-ip 192.168.102.254
dhcp select relay
dhcp relay server-ip 192.168.12.1
dhcp relay server-ip 192.168.13.1
interface Vlanif103
ip address 192.168.103.2 255.255.255.0
vrrp vrid 103 virtual-ip 192.168.103.254
vrrp vrid 103 priority 120
dhcp select relay
dhcp relay server-ip 192.168.12.1
dhcp relay server-ip 192.168.13.1
interface Vlanif104
ip address 192.168.104.2 255.255.255.0
vrrp vrid 104 virtual-ip 192.168.104.254
vrrp vrid 104 priority 120
dhcp select relay
dhcp relay server-ip 192.168.12.1
dhcp relay server-ip 192.168.13.1
1.5 MSTP規劃與配置
生成樹協議的作用:為了提供冗余鏈路,解決網路環路問題,通過生成樹演算法(SPA)生成一個沒有環路的網路,出現故障時能自動切換到備份鏈路,
MSTP不僅涉及多個MSTI(生成樹實體),而且還可劃分多個MST域(MST Region,也稱為MST區域),總的來說,一個MSTP網路可以包含一個或多個MST域,而每個MST域中又可包含一個或多個MSTI,組成每個MSTI的是其中運行STP/RSTP/MSTP的交換設備,是這些交換設備經MSTP協議計算后形成的樹狀網路,為了消除環路帶來的廣播風暴和mac地址漂移問題,在交換機上運行mstp協議,
mstp配置:
stp region-configuration
region-name huawei
instance 1 vlan 100 to 102
instance 2 vlan 103 to 104
active region-configuration
1.6 dhcp配置
DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)是一個局域網的網路協議,使用UDP協議作業, 主要有兩個用途:給內部網路或網路服務供應商自動分配IP地址,給用戶或者內部網路管理員作為對所有計算機作中央管理的手段,在RFC 2131中有詳細的描述,DHCP有3個埠,其中UDP67和UDP68為正常的DHCP服務埠,分別作為DHCP Server和DHCP Client的服務埠,
DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)通常被應用在大型的局域網路環境中,主要作用是集中的管理、分配IP地址,使網路環境中的主機動態的獲得IP地址、Gateway地址、DNS服務器地址等資訊,并能夠提升地址的使用率,
DHCP協議采用客戶端/服務器模型,主機地址的動態分配任務由網路主機驅動,當DHCP服務器接收到來自網路主機申請地址的資訊時,才會向網路主機發送相關的地址配置等資訊,以實作網路主機地址資訊的動態配置,為了方便對ip地址的管理,不會出現ip地址沖突的情況出現,我們使用dhcp方式自動分配地址,Dhcp配置如下:
ip pool vlan100
gateway-list 192.168.100.254
network 192.168.100.0 mask 255.255.255.0
dns-list 192.168.10.30
ip pool vlan101
gateway-list 192.168.101.254
network 192.168.101.0 mask 255.255.255.0
dns-list 192.168.10.30
ip pool vlan102
gateway-list 192.168.102.254
network 192.168.102.0 mask 255.255.255.0
dns-list 192.168.10.30
ip pool vlan103
gateway-list 192.168.103.254
network 192.168.103.0 mask 255.255.255.0
dns-list 192.168.10.30
ip pool vlan104
gateway-list 192.168.104.254
network 192.168.104.0 mask 255.255.255.0
dns-list 192.168.10.30
interface Vlanif12
ip address 192.168.12.1 255.255.255.0
dhcp select global
dhcp select relay
interface Vlanif13
ip address 192.168.13.1 255.255.255.0
dhcp select global
1.7 防火墻安全配置
防火墻技術是通過有機結合各類用于安全管理與篩選的軟體和硬體設備,幫助計算機網路于其內、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與資訊安全性的一種技術,
防火墻技術的功能主要在于及時發現并處理計算機網路運行時可能存在的安全風險、資料傳輸等問題,其中處理措施包括隔離與保護,同時可對計算機網路安全當中的各項操作實施記錄與檢測,以確保計算機網路運行的安全性,保障用戶資料與資訊的完整性,為用戶提供更好、更安全的計算機網路使用體驗,
為了保護內網安全,我們的出口設備使用防火墻,配置一些安全策略保護內網安全,配置如下:
security-policy
rule name SNat_policy_permit
source-zone trust
destination-zone untrust
action permit
rule name DNAT_policy_permit
source-zone untrust
destination-zone dmz
destination-address 192.168.10.0 mask 255.255.255.0
action permit
rule name trust2dmz
source-zone trust
destination-zone dmz
action permit
1.8 SNAT和DNAT的實作
我們在防火墻做SNAT,可以實作內網用戶訪問Internet時進行的地址轉換將私網地址轉為公網地址,做DNAT可以實作外網用戶能夠訪問內部服務器,用戶訪問202.1.1.202時,防火墻將流量能夠送給內網的服務器,DNAT中可使用公網埠與私網地址一對一進行映射,當訪問202.1.1.202:8080 或202.1.1.1.202:8081 時,防火墻將目的地址轉換為 192.168.10.10 或192.168.10.11 并且訪問的是web服務,當用戶訪問202.1.1.202:2021 時防火墻將目的地址轉換為192.168.10.20 訪問公司的FTP服務,配置如下:
nat-policy
rule name DNAT
source-zone untrust
destination-address 202.1.1.202 mask 255.255.255.255
service protocol tcp source-port 0 to 65535 destination-port 8080 to 8081
action destination-nat static port-to-address address-group DNAT_webServerPool 80
rule name DNAT_FTP
source-zone untrust
destination-address 202.1.1.202 mask 255.255.255.255
service protocol tcp source-port 0 to 65535 destination-port 2021
action destination-nat static port-to-address address-group dNAT_FTPServer 21
rule name SNAT
source-zone trust
destination-zone untrust
source-address 192.168.0.0 mask 255.255.0.0
action source-nat address-group nat_Addrpool
第二章 驗證測驗
本章內容請私信博主獲取
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/394246.html
標籤:其他
下一篇:xss和csrf總結學習