Cisco Packet Tracer企业网络安全策略的综合设计与实现

  1. 组网策略:
    (1)设计典型的分为内网,DMZ,外网网段的企业网络结构。
    (2)实现基于 VLAN 的内网分割与保护。
    (3)实现基于 NAT 的内网结构隐藏。
    (4)实现 DMZ 区服务对外网可见。
    (5)实现内网、DMZ、外网之间的区域访问策略。
    (6)通过 VPN 实现企业异地内网之间穿透公网的互联。
  2. 整体网络拓扑


3. 总部内网规划(192.168.0.0 255.255.0.0)

(1)总被内网之间划分vlan来隔离广播域
配置命令 :

//在交换机switch0创建vlan

(config)#vlan 10
(config-vlan)#exit
(config)#vlan 20
(config-vlan)#exit

//将vlan应用到端口

(config)#interface fa0/2
(config-if)#switchport access vlan 10
(config-if)#exit
(config)#interface fa0/3
(config-if)#switchport access vlan 20
(config-if)#exit
(config)#interface fa0/1
(config-if)#switchport trunk encapsulation dot1q
(config-if)#switchport mode trunk

//设置三层交换机VLAN间通信并配置vlan的IP地址

//配置一样,举例vlan10来演示
(config)#ip routing
(config)#interface vlan 10
(config-if)#ip address 192.168.10.1 255.255.255.0
(config-if)#no shutdown

//将vlan下主机的网关设置为虚拟接口的IP地址
(2)在边界路由器(Router0)上利用NAT来实现内网隐藏
//使用端口多路复用技术(PAT)

//Router0
#int fa 0/0
#ip nat inside
#int fa 1/0
#ip nat outside
#exit
#access-list 10 permit 192.168.0.0 0.0.255.255
#ip nat pool PAT 200.1.1.3 200.1.1.3 netmask 255.255.255.0
#ip nat inside source list 10 pool PAT overload (无 overload 表示多对多,有 overload 表示多对一)

(3)内部访问控制(限制PC2去访问PC0,即限制VLAN30 去访问 VLAN10)

//在内网三层交换机上配置访问控制列表
#ip access-list extended acl_vlan10_vlan30
#10 deny icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 echo
#20 permit any any
//将访问控制部署到端口上
#int fa0/2
#ip access-group acl_vlan10_vlan30 out

4.DMZ区网络规划

(1)利用静态NAT路由实现DMZ区隐藏

//在边界路由器Router0上配置,举例显示
#int fa0/1
#ip nat outside
#int fa1/0
#ip nat inside
#exit
#ip nat inside source static 10.10.1.1 202.10.1.2
#end

(2)在边界路由器上实现内网,外网,DMZ区的访问控制
区域访问安全策略:

1). 内网可以访问外网。内网 PC 和服务器可以访问 Internet,如外网中的 Web 和 Email 服务器。
2). 内网可以访问 DMZ。内网 PC 和服务器可以访问 DMZ 区的 Web 和 Email 服务器,也能够对其进行管理
3). 外网不能访问内网。由于内网主机正是企业所要保护的对象,所以不允许外网任何主机访问内网的PC 和服务器。
4). 外网可以访问 DMZ。企业通过 DMZ 中的服务器(如 Web 和 Email 服务器)向外网用户提供服务。
5). DMZ 不能主动发起对内网的连接。为了防止 DMZ 中的服务器被攻陷后,入侵者以其做为跳板攻击内部网络,所以通常情况下不允许 DMZ 区中的主机(如 DMZ 区 Web 服务器)主动发起对内网主机(不论是 PC 还是服务器)的访问。
6). DMZ 不能主动发起对外网的连接。这是为了防止 DMZ 中被植入的恶意代码向外网攻击者主动发起连接,从而增加了 DMZ 区的服务器被外网攻击者攻陷的难度。

配置命令:

将out_acl_1应用在Router0的Fa0/0的端口上
将dmz_acl_1应用在Router0的Fa0/1的端口上

5.总部与分部之间通信(利用vpn来实现两分部通信)
(1)在R1上配置Static p2p GRE over IPSec(同理在R3上配置)


(2)在双方配置动态路由协议EIGRP(展示R1,同理R3)

(3)在架好的隧道上配置IPsec

6.项目总结:本企业网络组合项目综合了VLAN,包过滤,NAT,点对点 IP 隧道,和 IPSec VPN 等主要网络安全措施的知识点,结合路由、ACL等内容控制各个网络之间的访问策略,表面上看起来十分复杂,但其实只要吃透了每个知识点的概念和使用方法,很多问题也就迎刃而解了

Cisco Packet Tracer企业网络安全策略的综合设计与实现相关推荐

  1. Cisco Packet Tracer 思科网络环境模拟器(留言邮箱就好,看到会回的哦~)

    程序员,无论是前端和后端,网络方面的知识也是要学习的.那么Cisco Packet Tracer 也是必备工具,所以这里我提供一下思科的模拟器+汉化包,供小伙伴使用,一起进步. 一. 汉化步骤 1.  ...

  2. cisco packet tracer配置网络路由

    广州大学 计算机网络实验 配置网络路由 利用packet tracer搭建如图网络 中间是三个路由器,两边各接一台计算机. 首先先把网络搭建出来 1是路由器,2是终端设备,3是连接设备的线缆.左键点击 ...

  3. Cisco Packet Tracer(思科模拟器)的安装及配置

    前言 在接触计算机网络这门学科时,课堂上老师使用思科模拟器(Cisco Packet Tracer)对网络传输进行模拟时,我对这个软件产生了浓厚的兴趣便打算自己安装一下. 本文所使用的工具包: 阿里云 ...

  4. 中小型企业网络建设-Cisco Packet Tracer v7.2.2思科网络模拟器实验练习

    注:详细文档在我的下载资源中,拓扑图如不清晰则可查看pkt文件 已将本文中的拓扑图进行了替换,改善了清晰度.若还有疑问,可下载pkt文件进行查看. 用高版本打开,本实验PKT格式文件用7.2.2版本可 ...

  5. 计算机网络实验_三层架构企业网络_基于Cisco Packet Tracer模拟器

    三层架构企业网络_基于Cisco Packet Tracer模拟器 一.实验目的 1.了解一般企业网络的三层架构模型: 2.了解三层架构企业网络内部的通信流程: 3.理解双核心路由的热备份和负载均衡. ...

  6. Cisco Packet Tracer基础命令操作以及组织网络实验

    打开Cisco packet tracer,选取路由器Router2811(example) 2.双击该路由器,在弹出的窗口选择 CLI 选项,启动后输入no,回车即可进入路由器的用户模式,若要进行对 ...

  7. 企业网络安全策略综合设计与实现

    概述:典型的分为内网,DMZ,外网网段的企业网络结构 系统实现功能:VLAN的内网分割与保护:NAT的内网结构隐藏;DMZ区对外可见;内网,DMZ,外网 之间的区域访问;VPN实现企业异地内网之间穿透 ...

  8. Cisco Packet Tracer中的基础命令操作以及组织网络实验

    基于思科模拟器的路由基础命令操作 4.路由器的模式切换 5.路由器基本命令及实现功能 路由器命令小结: 基于思科模拟器的路由基础命令操作 1.打开Cisco packet tracer,选取路由器Ro ...

  9. cisco Packet Tracer 用三层交换机实现综合组网

    cisco Packet Tracer 用三层交换机实现综合组网 涉及知识 整体拓扑 整体思路 实现指令 交换机开启路由: 配置vtp: 设置vlan: 更改端口: 关键路由点: 配置缺省路由和静态路 ...

最新文章

  1. mysql的索引类型以及优缺点
  2. HDU4825 Xor Sum —— Trie树
  3. matlab与quartus的联合数据交换(NCO与文件数据的混频处理)
  4. asp下载防盗链代码
  5. [翻译]XNA建设者俱乐部在线网站上的社区新亮点
  6. 「数据ETL」从数据民工到数据白领蜕变之旅(三)-除了Excel催化剂之外PowerQuery新物种同样值得期待...
  7. 消息队列重要机制讲解以及MQ设计思路(kafka、rabbitmq、rocketmq)
  8. 用ntdsutil命令中的restore object 更新版本号
  9. libiconv库简单裁剪支持CP437编码
  10. Nginx基本数据结构之ngx_hash_combined_t
  11. java json配置文件_java 读取json文件配置
  12. 基于FFmpeg的H265编码器
  13. 【iOS】【最新】2022苹果开发者账号注册流程
  14. 基于SimpleLink CC26x2R LaunchPad的RTLS实时定位系统搭建
  15. jitpack No version of NDK matched the requested
  16. [UVALive3942] Remember the Word 字符串
  17. 邮件营销活动如何被病毒式传播?
  18. android模拟器pc版怎么玩,原神电脑版安卓模拟器怎么使用,电脑上怎么玩原神手游...
  19. SQLServer中的Cross Apply、Outer Apply
  20. swift中代码生成纯色图片

热门文章

  1. 新研究显示尿石素A (Mitopure®)可改善线粒体健康,减少关节软骨损伤并减轻骨关节炎疼痛
  2. 华为鸿蒙新机2k曲面屏,华为5G新旗舰已确认,双曲面屏+升级到鸿蒙2.0,价格很感人...
  3. 从零开始学python的第18天
  4. python利用PyQt5和QTDesginer开发GUI应用(二)、股票查询工具
  5. 应理解计算机专业的学科特点,[培训|IT]怎识计算机专业真面目
  6. (二)uboot移植--从零开始自制linux掌上电脑(F1C200S)<嵌入式项目>
  7. 一个完整的SEO优化方案
  8. ios备忘录下载安卓版_苹果备忘录app下载-苹果备忘录 安卓版v2.0-PC6安卓网
  9. 全网首发:VS编译出错:两个输出文件名解析为同一个输出路径
  10. HIS各模块业务操作流程明白纸