Cisco Packet Tracer企业网络安全策略的综合设计与实现
Cisco Packet Tracer企业网络安全策略的综合设计与实现
- 组网策略:
(1)设计典型的分为内网,DMZ,外网网段的企业网络结构。
(2)实现基于 VLAN 的内网分割与保护。
(3)实现基于 NAT 的内网结构隐藏。
(4)实现 DMZ 区服务对外网可见。
(5)实现内网、DMZ、外网之间的区域访问策略。
(6)通过 VPN 实现企业异地内网之间穿透公网的互联。 - 整体网络拓扑
3. 总部内网规划(192.168.0.0 255.255.0.0)
(1)总被内网之间划分vlan来隔离广播域
配置命令 :
//在交换机switch0创建vlan
(config)#vlan 10
(config-vlan)#exit
(config)#vlan 20
(config-vlan)#exit
//将vlan应用到端口
(config)#interface fa0/2
(config-if)#switchport access vlan 10
(config-if)#exit
(config)#interface fa0/3
(config-if)#switchport access vlan 20
(config-if)#exit
(config)#interface fa0/1
(config-if)#switchport trunk encapsulation dot1q
(config-if)#switchport mode trunk
//设置三层交换机VLAN间通信并配置vlan的IP地址
//配置一样,举例vlan10来演示
(config)#ip routing
(config)#interface vlan 10
(config-if)#ip address 192.168.10.1 255.255.255.0
(config-if)#no shutdown
//将vlan下主机的网关设置为虚拟接口的IP地址
(2)在边界路由器(Router0)上利用NAT来实现内网隐藏
//使用端口多路复用技术(PAT)
//Router0
#int fa 0/0
#ip nat inside
#int fa 1/0
#ip nat outside
#exit
#access-list 10 permit 192.168.0.0 0.0.255.255
#ip nat pool PAT 200.1.1.3 200.1.1.3 netmask 255.255.255.0
#ip nat inside source list 10 pool PAT overload (无 overload 表示多对多,有 overload 表示多对一)
(3)内部访问控制(限制PC2去访问PC0,即限制VLAN30 去访问 VLAN10)
//在内网三层交换机上配置访问控制列表
#ip access-list extended acl_vlan10_vlan30
#10 deny icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 echo
#20 permit any any
//将访问控制部署到端口上
#int fa0/2
#ip access-group acl_vlan10_vlan30 out
4.DMZ区网络规划
(1)利用静态NAT路由实现DMZ区隐藏
//在边界路由器Router0上配置,举例显示
#int fa0/1
#ip nat outside
#int fa1/0
#ip nat inside
#exit
#ip nat inside source static 10.10.1.1 202.10.1.2
#end
(2)在边界路由器上实现内网,外网,DMZ区的访问控制
区域访问安全策略:
1). 内网可以访问外网。内网 PC 和服务器可以访问 Internet,如外网中的 Web 和 Email 服务器。
2). 内网可以访问 DMZ。内网 PC 和服务器可以访问 DMZ 区的 Web 和 Email 服务器,也能够对其进行管理
3). 外网不能访问内网。由于内网主机正是企业所要保护的对象,所以不允许外网任何主机访问内网的PC 和服务器。
4). 外网可以访问 DMZ。企业通过 DMZ 中的服务器(如 Web 和 Email 服务器)向外网用户提供服务。
5). DMZ 不能主动发起对内网的连接。为了防止 DMZ 中的服务器被攻陷后,入侵者以其做为跳板攻击内部网络,所以通常情况下不允许 DMZ 区中的主机(如 DMZ 区 Web 服务器)主动发起对内网主机(不论是 PC 还是服务器)的访问。
6). DMZ 不能主动发起对外网的连接。这是为了防止 DMZ 中被植入的恶意代码向外网攻击者主动发起连接,从而增加了 DMZ 区的服务器被外网攻击者攻陷的难度。
配置命令:
将out_acl_1应用在Router0的Fa0/0的端口上
将dmz_acl_1应用在Router0的Fa0/1的端口上
5.总部与分部之间通信(利用vpn来实现两分部通信)
(1)在R1上配置Static p2p GRE over IPSec(同理在R3上配置)
(2)在双方配置动态路由协议EIGRP(展示R1,同理R3)
(3)在架好的隧道上配置IPsec
6.项目总结:本企业网络组合项目综合了VLAN,包过滤,NAT,点对点 IP 隧道,和 IPSec VPN 等主要网络安全措施的知识点,结合路由、ACL等内容控制各个网络之间的访问策略,表面上看起来十分复杂,但其实只要吃透了每个知识点的概念和使用方法,很多问题也就迎刃而解了
Cisco Packet Tracer企业网络安全策略的综合设计与实现相关推荐
- Cisco Packet Tracer 思科网络环境模拟器(留言邮箱就好,看到会回的哦~)
程序员,无论是前端和后端,网络方面的知识也是要学习的.那么Cisco Packet Tracer 也是必备工具,所以这里我提供一下思科的模拟器+汉化包,供小伙伴使用,一起进步. 一. 汉化步骤 1. ...
- cisco packet tracer配置网络路由
广州大学 计算机网络实验 配置网络路由 利用packet tracer搭建如图网络 中间是三个路由器,两边各接一台计算机. 首先先把网络搭建出来 1是路由器,2是终端设备,3是连接设备的线缆.左键点击 ...
- Cisco Packet Tracer(思科模拟器)的安装及配置
前言 在接触计算机网络这门学科时,课堂上老师使用思科模拟器(Cisco Packet Tracer)对网络传输进行模拟时,我对这个软件产生了浓厚的兴趣便打算自己安装一下. 本文所使用的工具包: 阿里云 ...
- 中小型企业网络建设-Cisco Packet Tracer v7.2.2思科网络模拟器实验练习
注:详细文档在我的下载资源中,拓扑图如不清晰则可查看pkt文件 已将本文中的拓扑图进行了替换,改善了清晰度.若还有疑问,可下载pkt文件进行查看. 用高版本打开,本实验PKT格式文件用7.2.2版本可 ...
- 计算机网络实验_三层架构企业网络_基于Cisco Packet Tracer模拟器
三层架构企业网络_基于Cisco Packet Tracer模拟器 一.实验目的 1.了解一般企业网络的三层架构模型: 2.了解三层架构企业网络内部的通信流程: 3.理解双核心路由的热备份和负载均衡. ...
- Cisco Packet Tracer基础命令操作以及组织网络实验
打开Cisco packet tracer,选取路由器Router2811(example) 2.双击该路由器,在弹出的窗口选择 CLI 选项,启动后输入no,回车即可进入路由器的用户模式,若要进行对 ...
- 企业网络安全策略综合设计与实现
概述:典型的分为内网,DMZ,外网网段的企业网络结构 系统实现功能:VLAN的内网分割与保护:NAT的内网结构隐藏;DMZ区对外可见;内网,DMZ,外网 之间的区域访问;VPN实现企业异地内网之间穿透 ...
- Cisco Packet Tracer中的基础命令操作以及组织网络实验
基于思科模拟器的路由基础命令操作 4.路由器的模式切换 5.路由器基本命令及实现功能 路由器命令小结: 基于思科模拟器的路由基础命令操作 1.打开Cisco packet tracer,选取路由器Ro ...
- cisco Packet Tracer 用三层交换机实现综合组网
cisco Packet Tracer 用三层交换机实现综合组网 涉及知识 整体拓扑 整体思路 实现指令 交换机开启路由: 配置vtp: 设置vlan: 更改端口: 关键路由点: 配置缺省路由和静态路 ...
最新文章
- mysql的索引类型以及优缺点
- HDU4825 Xor Sum —— Trie树
- matlab与quartus的联合数据交换(NCO与文件数据的混频处理)
- asp下载防盗链代码
- [翻译]XNA建设者俱乐部在线网站上的社区新亮点
- 「数据ETL」从数据民工到数据白领蜕变之旅(三)-除了Excel催化剂之外PowerQuery新物种同样值得期待...
- 消息队列重要机制讲解以及MQ设计思路(kafka、rabbitmq、rocketmq)
- 用ntdsutil命令中的restore object 更新版本号
- libiconv库简单裁剪支持CP437编码
- Nginx基本数据结构之ngx_hash_combined_t
- java json配置文件_java 读取json文件配置
- 基于FFmpeg的H265编码器
- 【iOS】【最新】2022苹果开发者账号注册流程
- 基于SimpleLink CC26x2R LaunchPad的RTLS实时定位系统搭建
- jitpack No version of NDK matched the requested
- [UVALive3942] Remember the Word 字符串
- 邮件营销活动如何被病毒式传播?
- android模拟器pc版怎么玩,原神电脑版安卓模拟器怎么使用,电脑上怎么玩原神手游...
- SQLServer中的Cross Apply、Outer Apply
- swift中代码生成纯色图片
热门文章
- 新研究显示尿石素A (Mitopure®)可改善线粒体健康,减少关节软骨损伤并减轻骨关节炎疼痛
- 华为鸿蒙新机2k曲面屏,华为5G新旗舰已确认,双曲面屏+升级到鸿蒙2.0,价格很感人...
- 从零开始学python的第18天
- python利用PyQt5和QTDesginer开发GUI应用(二)、股票查询工具
- 应理解计算机专业的学科特点,[培训|IT]怎识计算机专业真面目
- (二)uboot移植--从零开始自制linux掌上电脑(F1C200S)<嵌入式项目>
- 一个完整的SEO优化方案
- ios备忘录下载安卓版_苹果备忘录app下载-苹果备忘录 安卓版v2.0-PC6安卓网
- 全网首发:VS编译出错:两个输出文件名解析为同一个输出路径
- HIS各模块业务操作流程明白纸