华为ensp防火墙园区网络设计与部署
又临近期末,老师给我们自己做一个防火墙大作业
在这里分享一个我的期末作业
文档名称 防火墙设计实施文档
学生姓名
专业名称
学院名称
学 号
授课教师
目录
1.企业背景··· 1
2.项目具体要求··· 1
3.实验拓扑及规划··· 1
3.1 网络拓扑结构图··· 1
3.2 网络设备命名与设备连接表··· 2
3.3VLAN规划表··· 2
4. 设备密码管理··· 3
5. 互联vpn技术配置及连通测试截图··· 3
6 移动接入vpn技术配置及连通测试截图··· 3
7. 服务器源NAT及用户源NAT技术配置及连通测试截图··· 3
8. 配置DHCP服务··· 3
9.用户访问互联网本地认证技术及配置,及连通测试截图··· 3
10.各域间安全策略及连通测试截图··· 3
11. 配置默认路由连通测试截图··· 4
12.内部服务器安全策略配置及连通测试截图··· 4
设计与实施文档
1.企业背景
A、方案设计需求:某一国内集团公司,总公司在广州、分公司在北京。总公司有6大部门,分公司:4大部门。
B、要求低成本方式连接两个分公司,两个分公司的上网有严格的控制,
C、对于出口希望能够高可靠性。
b、分公司与总公司之间的连接,采用成本低,安全保障好的vpn技术。
c、总公司有对外的web服务器、oa服务器、对内的服务器。
e、本地用户策略:内网用户访问互联网需要认证,财务服务器只允许综合办、财务部等相关部门访问,其他用户不能访问。
2.项目具体要求
A、画出总的拓扑结构图
B、作出具体IP地址规划和VLAN规划
C、写出网络设备连接表
给所有的设备进行命名,命令规则:部门简称_设备名_编号
D、分公司与总公司之间的连接,采用成本低,安全保障好的vpn隧道技术(可选IPSEC,GRE等),移动办公用户采用vpn接入方式(l2tp、IPSEC等)。
E、总公司有对外的web服务器、oa服务器、对内的服务器,要求设置两个dmz区域,使用server nat技术保护对外的服务器,对内服务器只能供内部访问,跟外部服务器使用不同的安全区域;
F、对外网访问,使用源nat技术,映射一段地址;
G、内网用户访问互联网,使用本地protal认证;财务服务器只允许综合办、财务部等相关部门访问,其他用户不能访问。
H、IP地址规划要求:内网地址为172.学号.X.X(如1号同学:172.27.x.x),避免直接复制抄袭。
I、网络只能采用3层扁平化的网络拓扑结构(接入层、汇聚层、核心层)
3.实验拓扑及规划
3.1 网络拓扑结构图
根据项目要求绘制网络拓扑结构图,如图3.1所示:
图3.1 网络拓扑结构图
3.2 网络设备命名与设备连接表
根据网络拓扑结构图绘制网络设备命名与设备连接表,如表3.2所示:
|
部门名称 |
设备名称 |
互联接口 |
IP地址 |
设备名称 |
互联接口 |
备注 |
|
运营中心 |
ISP1 |
G0/0/0 |
202.28.3.254/24 |
ISP2 |
G0/0/0 |
|
|
G0/0/1 |
202.28.1.254/24 |
ISP3 |
G0/0/0 |
|||
|
G0/0/2 |
202.28.2.254/24 |
ISP4 |
G0/0/0 |
|||
|
ISP2 |
G0/0/0 |
202.28.3.1/24 |
ISP1 |
G0/0/0 |
||
|
G0/0/1 |
10.10.10.1/29 |
FB127_FW1 |
G0/0/0 |
|||
|
ISP3 |
G0/0/0 |
202.28.1.1/24 |
ISP1 |
G0/0/1 |
||
|
G0/0/1 |
202.28.96.14/29 |
ZB127_CK_SW1 |
G0/0/1 |
|||
|
ISP4 |
G0/0/0 |
202.28.2.1/24 |
ISP1 |
G0/0/2 |
||
|
G0/0/1 |
202.28.97.14/29 |
ZB127_CK_SW2 |
G0/0/1 |
|||
|
网络出口 |
ZB127_CK_SW1 |
G0/0/1 |
ISP3 |
G0/0/1 |
||
|
G0/0/2 |
ZB127_z_FW1 |
G1/0/3 |
||||
|
E0/0/1 |
ZB127_b_FW2 |
G1/0/4 |
||||
|
ZB127_CK_SW2 |
G0/0/1 |
ISP4 |
G0/0/1 |
|||
|
G0/0/2 |
ZB127_b_FW2 |
G1/0/3 |
||||
|
E0/0/1 |
ZB127_z_FW1 |
G1/0/4 |
||||
|
总部防火墙 |
ZB127_z_FW1 |
G1/0/0 |
10.10.2.1/28 |
ZB127_HX_SW1 |
G0/0/23 |
|
|
G1/0/2 |
10.10.1.1/30 |
ZB127_b_FW2 |
G1/0/2 |
|||
|
G1/0/3 |
202.28.96.9/29 |
ZB127_CK_SW1 |
G0/0/2 |
|||
|
G1/0/4 |
202.28.97.9/29 |
ZB127_CK_SW2 |
E0/0/1 |
|||
|
G1/0/5 |
10.10.3.1/29 |
ZB127_HJ_SW3 |
G0/0/1 |
|||
|
ZB127_b_FW2 |
G1/0/0 |
10.10.2.2/28 |
ZB127_HX_SW2 |
G0/0/23 |
||
|
G1/0/2 |
10.10.1.2/30 |
ZB127_z_FW1 |
G1/0/2 |
|||
|
G1/0/3 |
202.28.97.10/29 |
ZB127_CK_SW2 |
G0/0/2 |
|||
|
G1/0/4 |
202.28.96.10/29 |
ZB127_CK_SW1 |
E0/0/1 |
|||
|
G1/0/5 |
10.10.3.2/29 |
ZB127_HJ_SW3 |
G0/0/2 |
|||
|
分公司防火墙 |
FB127_FW1 |
G1/0/0 |
10.10.10.6/29 |
ISP2 |
G0/0/1 |
|
|
G1/0/1 |
20.30.1.1/29 |
FB127_HX_SW1 |
G0/0/1 |
|||
|
总部核心设备 |
ZB127_HX_SW1 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/21 |
||
|
G0/0/2 |
ZB127_HJ_SW2 |
G0/0/21 |
||||
|
G0/0/23 |
10.10.2.5/28 |
ZB127_z_FW1 |
G1/0/0 |
VLAN80 |
||
|
G0/0/24 |
ZB127_HX_SW2 |
G0/0/24 |
||||
|
ZB127_HX_SW2 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/22 |
|||
|
G0/0/2 |
ZB127_HJ_SW2 |
G0/0/22 |
||||
|
G0/0/23 |
10.10.2.6/28 |
ZB127_b_FW2 |
G1/0/0 |
VLAN80 |
||
|
G0/0/24 |
ZB127_HX_SW1 |
G0/0/24 |
||||
|
分公司核心设备 |
FB127_HX_LY1 |
G0/0/1 |
20.10.1.1/30 |
FB127_FW1 |
G0/0/21 |
VLAN60 |
|
G0/0/2 |
20.20.1.1/30 |
FB127_HJ_SW2 |
G0/0/21 |
VLAN70 |
||
|
G0/0/0 |
20.30.1.2/29 |
FB127_FW1 |
G1/0/1 |
|||
|
汇聚设备 |
ZB127_HJ_SW1 |
G0/0/1 |
192.6.10.252/24 |
ZB127_JR_SW1 |
G0/0/1 |
VLAN11 |
|
G0/0/2 |
192.6.20.252/24 |
ZB127_JR_SW2 |
G0/0/1 |
VLAN12 |
||
|
G0/0/3 |
192.6.30.252/24 |
ZB127_JR_SW3 |
G0/0/1 |
VLAN13 |
||
|
G0/0/4 |
192.6.40.252/24 |
ZB127_JR_SW4 |
G0/0/1 |
VLAN14 |
||
|
G0/0/5 |
192.6.50.252/24 |
ZB127_JR_SW5 |
G0/0/1 |
VLAN15 |
||
|
G0/0/6 |
192.6.60.252/24 |
ZB127_JR_SW6 |
G0/0/1 |
VLAN16 |
||
|
G0/0/21 |
ZB127_HX_SW1 |
G0/0/1 |
||||
|
G0/0/22 |
ZB127_HX_SW2 |
G0/0/1 |
||||
|
G0/0/23 |
ZB127_HJ_SW2 |
G0/0/23 |
||||
|
G0/0/24 |
ZB127_HJ_SW2 |
G0/0/24 |
||||
|
ZB127_HJ_SW2 |
G0/0/1 |
192.6.10.253/24 |
ZB127_JR_SW1 |
G0/0/2 |
VLAN11 |
|
|
G0/0/2 |
192.6.20.253/24 |
ZB127_JR_SW2 |
G0/0/2 |
VLAN12 |
||
|
G0/0/3 |
192.6.30.253/24 |
ZB127_JR_SW3 |
G0/0/2 |
VLAN13 |
||
|
G0/0/4 |
192.6.40.253/24 |
ZB127_JR_SW4 |
G0/0/2 |
VLAN14 |
||
|
G0/0/5 |
192.6.50.253/24 |
ZB127_JR_SW5 |
G0/0/2 |
VLAN15 |
||
|
G0/0/6 |
192.6.60.253/24 |
ZB127_JR_SW6 |
G0/0/2 |
VLAN16 |
||
|
G0/0/21 |
ZB127_HX_SW1 |
G0/0/2 |
||||
|
G0/0/22 |
ZB127_HX_SW2 |
G0/0/2 |
||||
|
G0/0/23 |
ZB127_HJ_SW1 |
G0/0/23 |
||||
|
G0/0/24 |
ZB127_HJ_SW1 |
G0/0/24 |
||||
|
ZB127_HJ_SW3 |
G0/0/1 |
10.10.3.3/29 |
ZB127_z_FW1 |
G1/0/5 |
VLAN80 |
|
|
G0/0/2 |
10.10.3.3/29 |
ZB127_b_FW2 |
G1/0/5 |
VLAN80 |
||
|
G0/0/3 |
192.6.70.254 |
WEB Server |
E0/0/1 |
VLAN17 |
||
|
G0/0/4 |
192.6.70.254 |
FTP Server |
E0/0/1 |
VLAN17 |
||
|
G0/0/5 |
192.6.80.254 |
财务服务器 |
E0/0/1 |
VLAN18 |
||
|
分公司汇聚设备 |
FB127_HJ_SW1 |
G0/0/1 |
172.6.10.252 |
FB127_JR_SW1 |
G0/0/1 |
VL110 |
|
G0/0/2 |
172.6.20.252 |
FB127_JR_SW2 |
G0/0/1 |
VL120 |
||
|
G0/0/3 |
172.6.30.253 |
FB127_JR_SW3 |
G0/0/1 |
VL130 |
||
|
G0/0/4 |
172.6.40.253 |
FB127_JR_SW4 |
G0/0/1 |
VL140 |
||
|
G0/0/21 |
FB127_HX_SW1 |
G0/0/2 |
||||
|
G0/0/23 |
FB127_HJ_SW2 |
G0/0/23 |
||||
|
G0/0/24 |
FB127_HJ_SW2 |
G0/0/24 |
||||
|
FB127_HJ_SW2 |
G0/0/1 |
172.6.10.253 |
FB127_JR_SW1 |
G0/0/2 |
VL110 |
|
|
G0/0/2 |
172.6.20.253 |
FB127_JR_SW2 |
G0/0/2 |
VL120 |
||
|
G0/0/3 |
172.6.30.252 |
FB127_JR_SW3 |
G0/0/2 |
VL130 |
||
|
G0/0/4 |
172.6.40.252 |
FB127_JR_SW4 |
G0/0/2 |
VL140 |
||
|
G0/0/21 |
FB127_HX_SW1 |
G0/0/3 |
||||
|
G0/0/23 |
FB127_HJ_SW1 |
G0/0/23 |
||||
|
G0/0/24 |
FB127_HJ_SW1 |
G0/0/24 |
||||
|
接入设备 |
ZB127_JR_SW1 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/1 |
||
|
G0/0/2 |
ZB127_HJ_SW2 |
G0/0/1 |
||||
|
E0/0/1 |
PC1 |
E0/0/1 |
人事部 |
|||
|
ZB127_JR_SW2 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/2 |
|||
|
G0/0/2 |
ZB127_HJ_SW2 |
G0/0/2 |
||||
|
E0/0/1 |
PC2 |
E0/0/1 |
财务部 |
|||
|
ZB127_JR_SW3 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/3 |
|||
|
G0/0/2 |
ZB127_HJ_SW2 |
G0/0/3 |
||||
|
E0/0/1 |
PC3 |
E0/0/1 |
研发部 |
|||
|
ZB127_JR_SW4 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/4 |
|||
|
G0/0/2 |
ZB127_HJ_SW2 |
G0/0/4 |
||||
|
E0/0/1 |
PC4 |
E0/0/1 |
开发部 |
|||
|
ZB127_JR_SW5 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/5 |
|||
|
G0/0/2 |
ZB127_HJ_SW2 |
G0/0/5 |
||||
|
E0/0/1 |
PC5 |
E0/0/1 |
行政部 |
|||
|
ZB127_JR_SW6 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/6 |
|||
|
G0/0/2 |
ZB127_HJ_SW2 |
G0/0/6 |
||||
|
E0/0/1 |
PC6 |
E0/0/1 |
经理部 |
|||
|
分公司接入设备 |
FB127_JR_SW1 |
G0/0/1 |
FB127_HJ_SW1 |
G0/0/1 |
||
|
G0/0/2 |
FB127_HJ_SW2 |
G0/0/1 |
||||
|
E0/0/1 |
PC7 |
E0/0/1 |
销售部 |
|||
|
FB127_JR_SW2 |
G0/0/1 |
FB127_HJ_SW1 |
G0/0/2 |
|||
|
G0/0/2 |
FB127_HJ_SW2 |
G0/0/2 |
||||
|
E0/0/1 |
PC8 |
E0/0/1 |
技术部 |
|||
|
FB127_JR_SW3 |
G0/0/1 |
FB127_HJ_SW1 |
G0/0/3 |
|||
|
G0/0/2 |
FB127_HJ_SW2 |
G0/0/3 |
||||
|
E0/0/1 |
PC9 |
E0/0/1 |
市场部 |
|||
|
FB127_JR_SW4 |
G0/0/1 |
FB127_HJ_SW1 |
G0/0/4 |
|||
|
G0/0/2 |
FB127_HJ_SW2 |
G0/0/4 |
||||
|
E0/0/1 |
PC10 |
E0/0/1 |
客服部 |
表3.2设备命名与设备连接表
3.3VLAN规划表
根据项目要求制作VLAN规划表,如表3.4所示:
|
序号 |
部门名称 |
VLAN编号 |
VLAN名称 |
IP地址 |
子网掩码 |
备注 |
|
1 |
人事部 |
11 |
RS |
192.6.10.0 |
255.255.255.0 |
192.6.10.254 |
|
2 |
财务部 |
12 |
CW |
192.6.20.0 |
255.255.255.0 |
192.6.20.254 |
|
3 |
综合办 |
13 |
YF |
192.6.30.0 |
255.255.255.0 |
192.6.30.254 |
|
4 |
开发部 |
14 |
KF |
192.6.40.0 |
255.255.255.0 |
192.6.40.254 |
|
5 |
行政部 |
15 |
XZ |
192.6.50.0 |
255.255.255.0 |
192.6.50.254 |
|
6 |
经理部 |
16 |
JL |
192.6.60.0 |
255.255.255.0 |
192.6.60.254 |
|
7 |
服务区 |
17 |
FWQ |
192.6.70.0 |
255.255.255.0 |
192.6.70.254 |
|
8 |
财务服务器 |
18 |
CWFW |
192.6.80.0 |
255.255.255.0 |
192.6.80.254 |
|
9 |
销售部 |
110 |
XS |
172.27.10.0 |
255.255.255.0 |
172.27.10.254 |
|
10 |
技术部 |
120 |
JS |
172.27.20.0 |
255.255.255.0 |
172.27.20.254 |
|
11 |
市场部 |
130 |
SC |
172.27.30.0 |
255.255.255.0 |
172.27.30.254 |
表3.4 Vlan规划表
4. 设备密码管理
账号:admin
密码:admin@123
5. 互联vpn技术配置及连通测试截图
总部
配置域间包过滤策略
配置tunnel口
检验总部pc1 ping 分公司pc
分公司
配置域间包过滤策略
配置tunnel口
检验
分公司pc ping 总部pc1
查看会话表
6 移动接入vpn技术配置及连通测试截图
配置虚拟模板和配置对应地址池
开启L2TP
创建并配置L2TP组
密码是admin@123
创建地址池1
认证方案
设置用户名及密码
区域划分
检验
7. 服务器源NAT及用户源NAT技术配置及连通测试截图
Server NAT
配置域间包过滤策略
配置NAT Server
配置NAT地址池
配置NAT策略转换
测试外部只能访问对外总部web服务器
可以看出访问内网服务器是不成功
查看会话表
源NAT
ZB_z_FW1
总部内网ping外网
查看会话表
FB_FW1
分公司内外ping外网
查看会话表
8. 配置DHCP服务
总部
ipconfig查看能否获取地址
分部
ipconfig查看能否获取地址
9.用户访问互联网本地认证技术及配置,及连通测试截图
暂无
10.各域间安全策略及连通测试截图
总部
分公司
11. 配置默认路由连通测试截图
总部
ZB127_z_FW1
ZB127_b_FW2
ZB127_HJ_SW1
ZB127_HJ_SW2
分公司
FB127_FW1
总部ping 分公司
查看会话表
分公司ping总部
查看分公司防火墙会话表
12.内部服务器安全策略配置及连通测试截图
域间包过滤策略(只允许财务部和综合部访问财务服务器)
内部网络可以访问内部服务器
检验
财务可以ping通财务服务器
开发部不能
分公司可以访问web不能ping通财务
内部网络可以访问内部服务器
华为ensp防火墙园区网络设计与部署相关推荐
- 华为ensp园区网络设计与实施
目 录 1.企业背景 2.项目具体要求 3. 实验拓扑及规划 3.1 网络拓扑结构图 3.2 网络设备命名与设备连接表 3.3 IP地址规划 3.4 VLAN规划表 4. 开启telnet管理功能 ...
- 华为eNSP防火墙USG5500基本配置
华为eNSP防火墙USG5500基本配置 实验设备 防火墙采用eNSP自带USG5500,不需要导入操作系统:eNSP同时提供防火墙USG6000,它不能打开,提示需要导入防火墙系统.交换机采用的是5 ...
- 华为ensp设置虚拟网络
主题:华为ensp设置虚拟网络 ** 前言: 为kali模拟网络攻击进行准备工作,大家懂得操作后请勿任性,坚持底线,网络安全需人人维护! ** ** 正题: 话不多说,咋开始吧! 1.打开ensp 2 ...
- 华为ensp防火墙ipsec
华为ensp防火墙ips_vpn 1)调试设备IP地址,防火墙有些策略限制会导致即使配置了正确的路由,也不能使得公网通,这就需要我们进行调试设备;一个是关于接口的ping服务是否打开,二是关于安全策略 ...
- 华为ensp防火墙nat64案例配置
不得不说csdn中关于nat64的案例配置没有几个详细,要么照抄,要么搬运~ 今天也敲个做了一单nat64的小实验,实话实说这种需求的题平时遇见的也少,今天跟大家详细的分析以下. 场景很简单,黄色区域 ...
- 网络毕业设计--基于华为ensp防火墙双出口负载拟真实验
本次仿真实验是关于防火墙负载的双出口毕设,大家可以参考组网结构,在此基础上可以进行各种改良,符合自己的实验需求是最终目的,下面直接上配置,想要定制的+绿泡泡18812668402 技术范围 接入层:M ...
- 华为eNSP防火墙NAT配置
NAT技术的基本原理 NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过少量的公网IP地址来访问公网. NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过 ...
- 华为ensp防火墙web登陆配置
步骤一 导入usg防火墙设备包:自行从官网下载相应的设备包,并在ensp第一次安装过后,拖动usg系列防火墙到画布上,双击后即会自动弹出导入设备包选项. 步骤二 启动usg防火墙,若是一直弹出#号,请 ...
- 华为eNSP防火墙基本配置命令
VRP命令行 VRP系统命令采用分级保护方式,命令被划分为参观级.监控级.配置级.管理级4个级别. 参观级:网络诊断工具命令(ping.tracert).从本设备出发访问外部设备的命令(包括:Teln ...
最新文章
- 看到OSC有一期是:“OSChina 第 37 期高手问答 —— 消息队列服务”
- 复仇者联盟与IntelliJ IDEA也很配哦
- Matlab安装有限元FEM工具箱
- 301重定向怎么进行URL标准化设置?
- Py之mglearn:python库之mglearn简介、安装、使用方法之详细攻略
- crt上传数据_用SecureCRT来上传和下载数据
- 共创Linux防火墙,Linux防火墙iptables简明教程
- 2008秋季-计算机软件基础-未交实验报告名单
- 机器视觉:百万像素工业镜头
- 黑马程序员之在Mac系统上安装Tomcat
- MPQ4420HGJ DCDC电源设计+SIMetrix+Spice仿真模型
- Mac 下制作win7启动U盘启动PE
- HTML5已定稿:将彻底颠覆原生应用
- 一个外国程序员中的中国程序员
- Android:支付宝sdk支付回调错误码4000
- 哥尼斯堡七桥问题用计算机,哥尼斯堡七桥问题解法真的解不出来?请尽快解答.急...
- mongodb基础入
- Android 悬浮按钮的简单实现
- oracle安装包,psu,ru补丁包下载文档
- 知识点01、2022版MyBatisPlus教程(一套玩转mybatis-plus) - 1.01-MyBatis-Plus简介