企业网络安全策略综合设计与实现
概述:典型的分为内网,DMZ,外网网段的企业网络结构
系统实现功能:VLAN的内网分割与保护;NAT的内网结构隐藏;DMZ区对外可见;内网,DMZ,外网
之间的区域访问;VPN实现企业异地内网之间穿透公网的互联。
背景:内部网络客户主机和服务器,它们是企业网络要积极保护的对象,它们有权访问 DMZ 区各服务器,也可以访问外网(Internet)。其中,现代的趋势是把内网中的 重要共享性资源——服务器(如图中的内网 Web 服务器和 FTP 服务器)集中于 一个区域(server farm),便于更高层次的安全管理和机房建设,同时这些资源都 只对内网用户开放,从外网是无法访问的。
DMZ 区的 Web 和 Email 服务器。DMZ 是英文“demilitarized zone”的缩写,中 文名称为“隔离区”,也称“非军事化区”。 网络安全中首先定义的区域是 trust 区域和 untrust 区域,简单说就是一个是内网 (trust),是安全可信任的区域;一个是 untrust,是不安全不可信的区域。防火墙 默认情况下是阻止对 trust 的访问,当有服务器在 trust 区域的时候,一旦出现需 要对外提供服务的时候就比较麻烦。所以定义出一个 DMZ 的非军事区域,让 trust 和 untrust 都可以访问的一个区域,即不是绝对的安全,也不是绝对的不安全,这 就是设计 DMZ 区域的核心思想。 DMZ 区是一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部 网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公 开的服务器设施,如企业同时对内、外服务的 Web 服务器、Email 服务器和论坛等。
外网(Internet)资源,包括外网 Web 服务器和 Email 服务器。对于企业内网用户 而言,外网区域的用户和资源是属于 untrust 区的。
防火墙——外网(Internet)、内网和 DMZ 区主机连接的唯一通道,防火墙规则几 乎决定了企业网络的一切访问权,比如,外网对内网访问的限制是由防火墙来实 现的。
环境:Windows 10
工具:Cisco Packet Tracer 8.0.0.0212
配置命令:
(1)在二层交换机AS-1上配置主机名、VLAN、Trunk、管理IP地址以及网关
Switch>en
Switch#config t
Switch(config)#hostname AS-1
AS-1(config)#vlan 10
AS-1(config-vlan)#name Teacher
AS-1(config-vlan)#vlan 20
AS-1(config-vlan)#name Student
AS-1(config-vlan)#vlan 99
AS-1(config-vlan)#name Admin
AS-1(config-vlan)#interface range F 0/1-12
AS-1(config-if-range)#switchport mode access
AS-1(config-if-range)#switchport access vlan 10
AS-1(config-if-range)#interface range F 0/13-24
AS-1(config-if-range)#switchport mode access
AS-1(config-if-range)#switchport access vlan 20
AS-1(config-if-range)#interface G 0/1
AS-1(config-if)#switchport mode trunk
AS-1(config-if)#switchport trunk allowed vlan 10,20,99
AS-1(config-if)#exit
AS-1(config)#interface vlan 99
AS-1(config-if)#ip address 10.0.12.1 255.255.255.0
AS-1(config-if)#no shutdown
AS-1(config-if)#exit
AS-1(config)#ip default-gateway 10.0.12.254
(2)在二层交换机AS-2上配置主机名、VLAN、Trunk、管理IP地址以及网关
Switch>enable
Switch#config t
Switch(config)#hostname AS-2
AS-2(config)#vlan 30
AS-2(config-vlan)#name Staff
AS-2(config-vlan)#vlan 40
AS-2(config-vlan)#name Worker
AS-2(config-vlan)#vlan 99
AS-2(config-vlan)#name Admin
AS-2(config-vlan)#interface range F 0/1-12
AS-2(config-if-range)#switchport mode access
AS-2(config-if-range)#switchport access vlan 30
AS-2(config-if-range)#interface range F 0/13-24
AS-2(config-if-range)#switchport mode access
AS-2(config-if-range)#switchport access vlan 40
AS-2(config-if-range)#interface G 0/1
AS-2(config-if)#switchport mode trunk
AS-2(config-if)#switchport trunk allowed vlan 30,40,99
AS-2(config-if)#exit
AS-2(config)#interface vlan 99
AS-2(config-if)#ip address 10.0.12.2 255.255.255.0
AS-2(config-if)#no shutdown
AS-2(config-if)#exit
AS-2(config)#ip default-gateway 10.0.12.254
(3)在三层交换机DS1上配置主机名、IP地址、VLAN以及trunk
Switch>en
Switch#config t
Switch(config)#hostname DS1
DS1(config)#interface G 1/0/1
DS1(config-if)#switchport trunk encapsulation dot1q
DS1(config-if)#switchport mode trunk
DS1(config-if)#switchport trunk allowed vlan all
DS1(config-if)#interface G 1/0/2
DS1(config-if)#switchport trunk encapsulation dot1q
DS1(config-if)#switchport mode trunk
DS1(config-if)#switchport trunk allowed vlan all
DS1(config-if)#vlan 10
DS1(config-vlan)#name Teacher
DS1(config-vlan)#vlan 20
DS1(config-vlan)#name Student
DS1(config-vlan)#vlan 30
DS1(config-vlan)#name Staff
DS1(config-vlan)#vlan 40
DS1(config-vlan)#name Worker
DS1(config-vlan)#vlan 99
DS1(config-vlan)#name Admin
DS1(config-vlan)#vlan 100
DS1(config-vlan)#name Server
DS1(config-vlan)#interface range G 1/0/4-6
DS1(config-if-range)#switchport mode access
DS1(config-if-range)#switchport access vlan 100
DS1(config-if)#exit
DS1(config)#interface G 1/0/3
DS1(config-if)#no switchport
DS1(config-if)#ip address 10.0.100.2 255.255.255.252
(4)学校边界路由器R-Edge的IP地址配置
Router>en
Router#config t
Router(config)#hostname R-Edge
R-Edge(config)#interface G 0/0
R-Edge(config-if)#ip address 10.0.100.1 255.255.255.252
R-Edge(config-if)#no shutdown
R-Edge(config-if)#interface G 0/0/0
R-Edge(config-if)#ip address 218.12.10.1 255.255.255.252
R-Edge(config-if)#no shutdown
(5)公司交换机VLAN基础配置和IP地址配置
Switch>en
Switch#config t
Switch(config)#hostname AS2-1
AS2-1(config)#vlan 5
AS2-1(config-vlan)#name BM1
AS2-1(config-vlan)#vlan 6
AS2-1(config-vlan)#name BM2
AS2-1(config-vlan)#vlan 99
AS2-1(config-vlan)#name Admin
AS2-1(config-vlan)#interface range F 0/1-12
AS2-1(config-if-range)#switchport mode access
AS2-1(config-if-range)#switch access vlan 5
AS2-1(config-if-range)#interface range F 0/13-24
AS2-1(config-if-range)#switchport mode access
AS2-1(config-if-range)#switch access vlan 6
AS2-1(config-if-range)#interface vlan 99
AS2-1(config-if)#ip address 10.8.0.100 255.255.255.0
AS2-1(config-if)#no shutdown
AS2-1(config-if)#exit
AS2-1(config)#ip default-gateway 10.8.0.254
(6)公司边界路由器IP地址配置
Router>en
Router#config t
Router(config)#hostname QD-Router
QD-Router(config)#interface G 0/0/0
QD-Router(config-if)#ip address 218.12.11.2 255.255.255.252
QD-Router(config-if)#no shutdown
(7)运营商路由器IP地址配置
Router>en
Router#config t
Router(config)#hostname ISP
ISP(config)#interface G 0/0/0
ISP(config-if)#ip address 218.12.10.2 255.255.255.252
ISP(config-if)#no shutdown
ISP(config-if)#interface G 0/1/0
ISP(config-if)#ip address 217.9.5.1 255.255.255.252
ISP(config-if)#no shutdown
ISP(config-if)#interface G 0/2/0
ISP(config-if)#ip address 218.12.11.1 255.255.255.252
ISP(config-if)#no shutdown
(8)运营商交换机IP地址配置
Switch>en
Switch#config t
Switch(config)#hostname DS2
DS2(config)#ip routing
DS2(config)#interface G 1/1/1
DS2(config-if)#no switchport
DS2(config-if)#ip address 217.9.5.2 255.255.255.252
DS2(config-if)#interface G 1/1/2
DS2(config-if)#no switchport
DS2(config-if)#ip address 222.138.4.254 255.255.255.252
DS2(config-if)#interface G 1/1/3
DS2(config-if)#no switchport
DS2(config-if)#ip address 200.200.200.254 255.255.255.252
(9)在三层交换机DS1上配置SVI的IP地址
DS1(config)#ip routing
DS1(config)#interface vlan 10
DS1(config-if)#ip address 10.1.10.254 255.255.255.0
DS1(config-if)#interface vlan 20
DS1(config-if)#ip address 10.1.20.254 255.255.255.0
DS1(config-if)#interface vlan 30
DS1(config-if)#ip address 10.1.30.254 255.255.255.0
DS1(config-if)#interface vlan 40
DS1(config-if)#ip address 10.1.40.254 255.255.255.0
DS1(config-if)#interface vlan 99
DS1(config-if)#ip address 10.1.12.254 255.255.255.0
DS1(config-if)#interface vlan 100
DS1(config-if)#ip address 10.1.100.254 255.255.255.0
(10)在路由器QD-Router上配置DHCP服务
QD-Router(config)#ip dhcp pool BM1
QD-Router(dhcp-config)#network 10.8.5.0 255.255.255.0
QD-Router(dhcp-config)#default-router 10.8.5.254
QD-Router(dhcp-config)#ip dhcp pool BM2
QD-Router(dhcp-config)#network 10.8.6.0 255.255.255.0
QD-Router(dhcp-config)#default-router 10.8.6.254
QD-Router(dhcp-config)#exit
QD-Router(config)#ip dhcp excluded-address 10.8.5.254
QD-Router(config)#ip dhcp excluded-address 10.8.6.254
(11)在三层交换机DS1上配置DHCP中继
DS1(config-if)#interface vlan 10
DS1(config-if)#ip helper-address 10.3.100.6
DS1(config-if)#interface vlan 20
DS1(config-if)#ip helper-address 10.3.100.6
DS1(config-if)#interface vlan 30
DS1(config-if)#ip helper-address 10.3.100.6
DS1(config-if)#interface vlan 40
DS1(config-if)#ip helper-address 10.3.100.6
(12)在二层交换机AS2-1上配置Trunk
AS2-1(config)#interface g 0/1
AS2-1(config-if)#switchport mode trunk
AS2-1(config-if)#switchport trunk allowed vlan 5,6,99
(13)在路由器QD-Router上配置单臂路由
QD-Router(config)#interface g 0/0
QD-Router(config-if)#no shutdown
QD-Router(config-if)#interface g 0/0.5
QD-Router(config-subif)#encapsulation dot1q 5
QD-Router(config-subif)#ip address 10.8.5.254 255.255.255.0
QD-Router(config-subif)#interface g 0/0.6
QD-Router(config-subif)#encapsulation dot1q 6
QD-Router(config-subif)#ip address 10.8.6.254 255.255.255.0
QD-Router(config-subif)#interface g 0/0.99
QD-Router(config-subif)#encapsulation dot1q 99
QD-Router(config-subif)#ip address 10.8.0.254 255.255.255.0
(14)在三层交换机DS1上配置动态路由协议RIPv2
DS1(config)#router rip
DS1(config-router)#version 2
DS1(config-router)#no auto-summary
DS1(config-router)#network 10.0.0.0
(15)在路由器R-Edge上配置动态路由协议RIPv2
R-Edge(config)#router rip
R-Edge(config-router)#version 2
R-Edge(config-router)#no auto-summary
R-Edge(config-router)#network 10.0.0.0
(16)在路由器R-Edge上配置静态默认路由并传播
R-Edge(config)#ip route 0.0.0.0 0.0.0.0 218.12.10.2
R-Edge(config)#router rip
R-Edge(config-router)#default-information originate
(17) 在路由器QD-Router上配置静态默认路由及NAT功能
QD-Router(config)#ip route 0.0.0.0 0.0.0.0 218.12.11.1
QD-Router(config)#access-list 1 permit 10.8.0.0 0.0.255.255
QD-Router(config)#ip nat inside source list 1 interface G 0/0/0 overload
QD-Router(config-if)#interface G0/0/0
QD-Router(config-if)#ip nat outside
QD-Router(config-if)#interface G0/0.5
QD-Router(config-subif)#ip nat inside
QD-Router(config-subif)#interface G0/0.6
QD-Router(config-subif)#ip nat inside
QD-Router(config-subif)#interface G0/0.99
QD-Router(config-subif)#ip nat inside
(18)在路由器R-Edge上配置NAT功能
R-Edge(config)#access-list 1 permit 10.0.0.0 0.3.255.255
R-Edge(config)#ip nat inside source list 1 interface G0/0/0 overload
R-Edge(config)#interface G0/0/0
R-Edge(config-if)#ip nat outside
R-Edge(config-if)#interface G0/0
R-Edge(config-if)#ip nat inside
(19)在路由器R-Edge上配置端口映射
R-Edge(config)#ip nat inside source static tcp 10.3.100.4 80 218.12.10.1 80
R-Edge(config)#ip nat inside source static udp 10.3.100.6 69 218.12.10.1 69
R-Edge(config)#ip nat inside source static tcp 10.3.100.2 22 218.12.10.1 22
(20)在三层交换机DS2上配置静态默认路由
DS2(config)#ip route 0.0.0.0 0.0.0.0 217.9.5.1
(21)在路由器ISP上配置静态路由
ISP(config)#ip route 200.200.200.0 255.255.255.0 217.9.5.2
ISP(config)#ip route 222.138.4.0 255.255.255.0 217.9.5.2
(22)在路由器R-Edge上配置GER VPN
R-Edge(config)#interface Tunnel 1
R-Edge(config-if)#ip address 192.168.12.1 255.255.255.252
R-Edge(config-if)#tunnel mode gre ip
R-Edge(config-if)#tunnel source G0/0/0
R-Edge(config-if)#tunnel destination 218.12.11.2
R-Edge(config-if)#exit
R-Edge(config)#ip route 10.8.0.0 255.255.248.0 192.168.12.2
(23)在路由器QD-Router上配置GER VPN
QD-Router(config)#interface Tunnel 1
QD-Router(config-if)#ip address 192.168.12.2 255.255.255.252
QD-Router(config-if)#tunnel mode gre ip
QD-Router(config-if)#tunnel source G0/0/0
QD-Router(config-if)#tunnel destination 218.12.10.1
QD-Router(config-if)#exit
QD-Router(config)#ip route 10.0.0.0 255.252.0.0 192.168.12.1
完成以上配置可实现:
企业异地内网之间穿透公网的互联
内网访问外网,内网访问DMZ
外网不能访问内网,外网可以访问DMZ
注:图中删除了vlan30 vlan40等,根据自己需要配置vlan时根据自己需要进行配置
更详细可参考《Packet Tracer经典案例之路由交换综合篇》
企业网络安全策略综合设计与实现相关推荐
- Cisco Packet Tracer企业网络安全策略的综合设计与实现
Cisco Packet Tracer企业网络安全策略的综合设计与实现 组网策略: (1)设计典型的分为内网,DMZ,外网网段的企业网络结构. (2)实现基于 VLAN 的内网分割与保护. (3)实现 ...
- 华为ensp的缺省_利用华为ENSP模拟器分析和配置中小型企业网络的综合实验
增强分析和配置中小型企业网络的综合能力 本实验模拟了一个企业网络场景,其中R1为公司总部的路由器,交换机S1,S2,S3,S4,服务器,终端等设备组成了公司总部的园区网,R2,R3,R4为公司分部的路 ...
- 企业园区网络的综合设计 (一)
1 前言 随着信息时代的发展,全球正在进入一个崭新的信息经济时代,每天都会有 不计其数的信息通过网络传输,而这些信息也在以前所未有的深度和广度,影响和改变着每一个企业.在人们的日常生活中,信息资源共享 ...
- 中小型企业网络解决方案的设计和实施
第一章 网络需求分析 1.1 项目介绍 该公司总部设在上海,总部有人力资源部.财务部和研发部,共三个部门,每个部门平均 16 台终端.分部设在深圳,有生产部.生产部.客服部,也有三个部门,每个部门平均 ...
- 中小型企业网络的综合布线
综合布线系统分为六个独立子系统 1.优点结构清晰便于管理 2.灵活性强 便于扩充 节约费用 提高系统可靠性
- 中小型企业网络架构实验
中小型企业网络架构综合实验 一.实验目的: 熟练掌握中小型企业网络架构的基本配置和原理 二.实验器材: 华为交换机10台.华为路由器5台.主机若干 三.实验要求: 1.r1 g0/0/0所连子网为19 ...
- 实验:配置中小型企业网络
[实验目的] 增强分析和配置中小型企业网络的综合能力. [实验环境] 实验拓扑如图所示,实验编址如表所示.本实验模拟了一个企业网络场景,其中R1为公司总部的路由器,交换机S1,S2,S3,S4,服务器 ...
- 中小型企业网络构建之综合布线和子网划分
中小型企业网络构建之综合布线和子网划分 一.布线系统概述 1.布线系统的概念 建筑物综合布线系统(PDS)是一个用于传输语言.数据.影响和其他信息的标准结构化不限系统. 2.综合布线系统分为六个独立的 ...
- 华为ensp——企业网络的设计与实现【具体配置】
企业网络的设计与实现--具体配置 本次实验在华为ensp模拟器具体实现. 文章目录 企业网络的设计与实现--具体配置 拓扑图 网段划分 办公区 VLAN+端口配置(二层) 无线网络配置 DHCP配置 ...
最新文章
- Linux2.6内核--内存管理(1)--分页机制
- Node.js基础知识普及
- matlab 函数return_基于MATLAB的指纹识别系统【论文,GUI】
- 抓包工具-charles安装过程
- jrebel 远程部署 配置记录
- 7-6 顺序存储的二叉树的最近的公共祖先问题 (10 分)
- python作品代码_学习python的一些心得体会
- ScrollView详解
- LeetCode简单题目(#225 #226 #231 #232 #234)-5道(栈、队列、树、数字)
- 20.Adding Javascript and CSS via Layout XML
- CTP: 找ActionDay 和TradingDay说点事
- 沙盘模拟软件_我院学生参加第十六届全国大学生“新道杯”沙盘模拟经营大赛喜获佳绩...
- Unity官方手册翻译之旅---Unity User Manual (2017.1 beta)
- java常量池存放什么_java常量池存放在哪里
- FANUC主板图纸 电路图
- 芯片尺寸越做越小,晶圆划片刀的选择至关重要
- php curl 客户端,php通过curl设置客户端cookie
- FPS类游戏的逆向分析通用方法与C++逆向功能开发详解
- UltraISO(软碟通)制作U盘启动盘完整教程
- 国产软件的「硬替代」与「软着陆」之辨