企业网络架构规划及实施案例,很实用
介绍:
本文为企业网络架构规划、实施进行详细说明。
对企业网络中涉及到的各设备中vlan划分、无线AC初始化,AP上线以及业务下发、防火墙的安全策略、服务器服务的映射以及内网之间的互访都做了相关具体介绍以及测试结果。
以eNSP模拟器对其分享~
- 各部门、服务器、无线都独立一个网段。
- 无线网络采用旁挂直接转发模式。3. 无线网络不能访问公司内网资源、只允许上网。
设备:
外网防火墙:USG6000
核心: S5700
接入: S3700
无线控制器:AC6005
无线AP: AP6010DN-AGN
网络拓扑:
配置步骤:
- 防火墙配置。
sysname FW_01
interface GigabitEthernet0/0/0
alias Lan
ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/0/1
alias Wan
ip address 202.100.1.1 255.255.255.0
firewall zone trust
add interface GigabitEthernet0/0/0
firewall zone untrust
add interface GigabitEthernet0/0/1
ip route-static 0.0.0.0 0.0.0.0 202.100.1.2
ip route-static 192.168.0.0 255.255.0.0 10.10.10.254
nat-policy
rule name SourceNat
egress-interface GigabitEthernet0/0/1
action source-nat easy-ip
security-policy
rule name Trust_Untrust_Out //允许内网到外网访问的安全策略
source-zone trust
destination-zone untrust
action permit
// 默认情况下安全策略拒绝所有,可按照自己实际使用情况配置安全策略开通需要放行的流量。
2. LSW配置。
sysname LSW1
vlan batch 10 88 101 to 104 200
dhcp enable
interface Vlanif10
ip address 10.10.10.254 255.255.255.0
interface Vlanif101
description Server
ip address 192.168.101.254 255.255.255.0
interface Vlanif102
ip address 192.168.102.254 255.255.255.0
interface Vlanif103
ip address 192.168.103.254 255.255.255.0
interface Vlanif104
description WLAN-STA
ip address 192.168.104.254 255.255.255.0
dhcp select interface
dhcp server dns-list 192.168.101.2
interface Vlanif200
description Manager
ip address 192.168.200.254 255.255.255.0
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan all
interface GigabitEthernet0/0/8
port link-type trunk
port trunk allow-pass vlan 88 200
interface GigabitEthernet0/0/11
port link-type access
port default vlan 101
interface GigabitEthernet0/0/24
port link-type access
port default vlan 10
ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
- LSW2配置。
sysname LSW2
vlan batch 88 102 to 104 200
interface Vlanif200
ip address 192.168.200.2 255.255.255.0
interface Ethernet0/0/1
port link-type access
port default vlan 102
interface Ethernet0/0/22
port link-type trunk
port trunk pvid vlan 88
port trunk allow-pass vlan 88 104
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
ip route-static 0.0.0.0 0.0.0.0 192.168.200.254
- LSW3配置。
sysname LSW3
vlan batch 88 102 to 104 200
interface Vlanif200
ip address 192.168.200.3 255.255.255.0
interface Ethernet0/0/1
port link-type access
port default vlan 103
interface Ethernet0/0/22
port link-type trunk
port trunk pvid vlan 88
port trunk allow-pass vlan 88 104
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
ip route-static 0.0.0.0 0.0.0.0 192.168.200.254
- AC6005配置
Vlan 88为无线AP管理网段、配置DHCP为AP分配地址。
sysname AC6005
vlan batch 88200
dhcp enable
interface Vlanif88
ip address 192.168.88.6 255.255.255.0
dhcp select interface
interface Vlanif200
ip address 192.168.200.6 255.255.255.0
interface GigabitEthernet0/0/8
port link-type trunk
port trunk allow-pass vlan 88 200
capwap sourceinterface vlanif88
wlan
ap-auth-mode no-auth
ssid-profile name HUAWEI
ssidHUAWEI
vap-profile name HUAWEI
ssid HUAWEI
service-vlan 104
等待AP上线注册到无线控制后;AP上线后默认归属于AP组default中,将VAP配置绑定在AP组default中2.4G和5G射频下。
ap-group name default
radio 0
vap-profile HUAWEI wlan 1
radio 1
vap-profile HUAWEI wlan 1
6. 内网服务器映射到外网、供互联网用户访问。(80端口正常需要运营商备案开通)
nat server httpprotocol tcp global 202.100.1.1 80 inside 192.168.101.2 80 no-reverse
需要在防火墙上配置安全策略,允许外网访问内网服务器。
security-policy
rule name NAT_http
source-zone untrust
destination-zone trust
destination-address 192.168.101.2 mask 255.255.255.255
service http
action permit
测试用户从外网访问企业内部服务器对外提供的服务。
8. 各部门之间访问做限制、无线接入用户无法访问销售部门、技术部门和服务器。
该访问限制配置在核心交换机上:
(ACL中前3条禁止访问企业内部资源,最后rule1000允许访问其它,比如上网)
acl number 3000
rule 10 deny ip source 192.168.104.00.0.0.255 destination 192.168.101.0 0.0.0.255
rule 20 deny ip source 192.168.104.00.0.0.255 destination 192.168.102.0 0.0.0.255
rule 30 deny ip source 192.168.104.00.0.0.255 destination 192.168.103.0 0.0.0.255
rule 1000 permit ip
trafficclassifier tc1
if-match acl 3000
traffic behaviortb1
permit
traffic policy tp1
classifier tc1 behavior tb1
vlan 104
traffic-policy tp1 inbound
配置策略后测试:
无线终端用户已经无法访问企业内部资源了。
企业网络架构规划及实施案例,很实用相关推荐
- 记一次实验报告:基于Linux的中小型企业网络架构
本次实验报告为笔者的一门<Linux服务器配置与管理>课程期末实验报告,期末那一周花了挺多时间做的 首先来仔细看一下实验要求,实验要求挺多的 实验任务要求 案例目标 1.中小型企业网络架构 ...
- 基于TOGAF的轨道交通企业信息化架构规划研究
0 引言 信息技术的迅速发展促进了企业经营管理模式和企业生产模式的变革,促进了经济全球化的发展,加剧了企业之间的竞争.另一方面,信息技术又为企业提供了先进的生产工具和平台,在企业的供应链管理.生产管理 ...
- 浅析IRF虚拟化技术增强企业网络架构的弹性
浅析IRF虚拟化技术增强企业网络架构的弹性 [摘要]随着"云"时代到来和各种虚拟化技术日趋成熟,对传统企业网络架构提出新挑战.例如:在不破坏企业原有网络架构和资产投入情况下,可以 ...
- 安全自动化企业网络架构 (毕设分享)
一.前言: 前段时间完成了自己的毕设项目--安全自动化企业网络架构.总的来说,该项目是一个对自己的挑战,其中涉及到Kubernetes容器云的搭建以及安全加固,DevOps CI/CD部署容器化监控平 ...
- 企业信息化的规划与实施(二)
企业信息化的规划与实施(二) 目标规划 企业信息化的规划与实施(二) 目标规划 企业信息化并不是计算机技术的简单应用,实际上需要进行的是一种企业的变革,更直接的认识是进行业务流程重组,企业在信息技术的 ...
- 中小型企业网络架构实验
中小型企业网络架构综合实验 一.实验目的: 熟练掌握中小型企业网络架构的基本配置和原理 二.实验器材: 华为交换机10台.华为路由器5台.主机若干 三.实验要求: 1.r1 g0/0/0所连子网为19 ...
- 中小型企业网络架构(一)
#中小型企业网络架构拓步图(第一部分)** 注:本人是初学者,欢迎各位大佬指教. 完全体 第一部分制作要求: 需求分析: 1:需要创建6个VLAN局域网: 2:IP地址设定无误: 3:需配置DHCP服 ...
- 【计算机网络学习笔记05】典型企业网络架构、传输介质
[计算机网络学习笔记05]典型企业网络架构.传输介质 企业网络是 Internet 的重要组成部分,随着企业业务需求而不断地变化.为了了解企业网络如何满足企业业务需求,必须了解典型的企业网络架构以及网 ...
- 企业网络的设计与实施
目 录 摘 要 I Abstract II 第一章 项目概述 1 1.1 项目目标 1 1.1.1 总体目标 1 1.1.2 阶段目标 1 1.2 设计原则 2 1.3总体拓扑图设计 3 第二章 应用 ...
最新文章
- python——文件和数据格式化
- 网页代码抓取工具_MAC网页颜色代码提取工具
- 7教程统计意义_学渣的医学统计学自救笔记(一)
- complete_code_Chapter1
- GPUImage使用之stillCamera多滤镜
- 初步学习UITableView(摘自传智播客)
- python萤火虫算法_萤火虫算法-python实现
- 查询系统css portal,详细论述 Portal 的样式单 --- Portal.css
- Python爬虫有用的库:chardet,自动检测字符编码
- OpenCvSharp函数:Dilate膨胀、GetStructuringElement获取形态操作的结构元素、Erode腐蚀
- AE入门教程及素材资料链接
- linux下做笔记的软件下载,Write一款梦幻般的Linux手机笔记应用程序
- java web 找回密码_java web实现 忘记密码(找回密码)功能及代码
- python selenium模拟点击
- Thread.currentThread()与this的区别
- 【Python_绘图】折线图与散点图
- c语言桶是什么意思,桶排序算法
- 0~6岁儿童不同时期微量元素含量的结果分析
- 更改电脑IE收藏夹路径
- Unity中使用代码将预制加载到场景