如上图所示,这是本单位信息拓扑的详细设计,网络设计采用三层模型。从上到下依次为:核心层-核心机房、汇聚层-楼栋交换、接入层-楼层交换。
在这里值得一提的是,本局域网案例中,我通过配置一个DMZ区域来屏蔽子网,达到有效的安全逻辑设计。
接下来就是公司分部的网络具体设计,这里公司分部采用了同总部的相同策略,但是连接到公司总部的时候采用的是VPN拨号接入。如下图:
5
下图就是本案例中的DMZ屏蔽子网体系结构的具体实施! 本例中做到的安全控制是: 安全策略1:
ACL:dmz-intranet(Inner_Route-f0/0 In)
1.内网可以访问区域的服务(DNS,WEB,FTP) 2.区域不能主动访问内网。
6
四、 LAN和WAN网络设计
网络技术主要包括一下内容: ? 逻辑网络图 ? VLAN策略图 ? ? ? ? ?
网络管理
TCP/IP地址设计 防火墙等
远程接入技术 安全设计
1. 网络设备应用说明
路由器和交换机都可以通过配置来分割局域网和提供附加的带宽。如果应用项目需要支持多路径、智能化数据包发送的或者广域网访问,那么就需要路由器。本案例中局域网通过一个路由器与外网相连。
内网通过交换机来缓解通信速率的问题。交换机能够有效的阻隔以太网中的冲突域。 在局域网的设计中,是安装交换机还是路由器主要取决于满足给定的性能需求水平下的成本。网络设计不能单一的选择交换机或者路由,这里采用路由器和交换机的联合使用,从而达到高性能的网络水平。
在设备的选择中,设备的选择也是一个重要的问题!
2. Vlan、ip 、路由规划
网络设计中,对网络地址的规划是很重要的,在设计局域网的时候分配ip地址合理与否直接关系到网络的性能,局域网中不得随意选择网络中使用的地址,也不能在网络中随机分配地址。
本案例是组建一个政府部门网站,那么首先要计算该局域网中的信息点的个数,选择响应的私有地址网段。公有三类私有地址分别是:
A:10.x.x.x/8 B:172.16.x.x/16
C:192.168.x.x/16 如果选择A类地址,那么网络中的结点数量为2^24个= 16777216个地址,这显然太多,不适合本案例!
C类地址。192有2的32-24次方个地址:256
所以这里选择172网段。子网掩码采用24为 所以每个网段就是256台计算机。
这里使用172.16.x.x/24 第一个X别是子网网段。公用256个子网。每个部门一个子网。 下面就是这些网络ip的分配情况。
Vlan分配表:
楼 子公司
部门 行政部 7
IP段 192.168.2.131-150
人事部 Vlan2 Vlan3 192.168.2.150-200 172.18.2.1-20 172.18.3.21-50 总公司
3. 设备配置 路由配置:
人事部 研发部 外网路由器配置(internetRouter):
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
S 172.16.0.0/16 [1/0] via 172.16.1.254
C 172.16.1.0/24 is directly connected, FastEthernet0/0 C 200.1.10.0/24 is directly connected, FastEthernet0/1
注意:这里采用了路由汇总的方式对内网的路由进行了汇总。172.16.0.0/16 [1/0] via 172.16.1.254是说:通过该路由器达到内网172.16的网络的下一跳通通都是172.16.1.254,即是DMZ交换机vlan1的网关。
中心核心机房路由器路由表:(Inner_Router) Gateway of last resort is 172.16.1.2 to network 0.0.0.0
172.16.0.0/24 is subnetted, 10 subnets
C 172.16.1.0 is directly connected, FastEthernet0/0 S 172.16.5.0 [1/0] via 172.16.1.254
C 172.16.10.0 is directly connected, FastEthernet0/1
R 172.16.20.0 [120/1] via 172.16.10.254, 00:00:24, FastEthernet0/1 R 172.16.30.0 [120/1] via 172.16.10.254, 00:00:24, FastEthernet0/1 R 172.16.40.0 [120/1] via 172.16.10.254, 00:00:24, FastEthernet0/1 R 172.16.50.0 [120/1] via 172.16.10.254, 00:00:24, FastEthernet0/1 R 172.16.60.0 [120/1] via 172.16.10.254, 00:00:24, FastEthernet0/1 R 172.16.70.0 [120/1] via 172.16.10.254, 00:00:24, FastEthernet0/1 R 172.16.100.0 [120/1] via 172.16.10.254, 00:00:24, FastEthernet0/1 S* 0.0.0.0/0 [1/0] via 172.16.1.2
Vlan配置:
Vlan_Table:
服务器群:172.18.4.0/24 vlan 2:人事部_172.18.2.0/24 vlan 3:研发部_172.18.3.0/24
8
VPN_远程子公司接入: 192.168.2.1--192.168.2.254
DMZ交换机上的vlan配置:
interface Vlan1
ip address 172.16.1.254 255.255.255.0 !
interface Vlan5
ip address 172.16.5.254 255.255.255.0 !
内网中心核心交换机的vlan:
interface Vlan1
ip address 172.16.100.254 255.255.255.0 !
interface Vlan1
ip address 172.16.10.254 255.255.255.0 !
interface Vlan2
ip address 172.16.20.254 255.255.255.0 !
interface Vlan3
ip address 172.16.30.254 255.255.255.0 ! ! !
DHCP-Server配置:
Center(config)#ip dhcp pool vlan20
Center(dhcp-config)# network 172.16.20.0 255.255.255.0 Center(dhcp-config)# default-router 172.16.20.254 Center(dhcp-config)# dns-server 172.16.5.107
Center(config)#ip dhcp pool vlan30
Center(dhcp-config)# network 172.16.30.0 255.255.255.0 Center(dhcp-config)# default-router 172.16.30.254 Center(dhcp-config)# dns-server 172.16.5.107
9
网络安全技术及应用实训报告
