基于eNSP的小型企业网络设计

泉缘泉  论坛元老 | 2025-1-11 18:54:45 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 1004|帖子 1004|积分 3022

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x
题目设计和要求

一、项目目的

本项目旨在设计并实现一个高效、可靠且安全的企业内部网络体系,以满足现代企业在数据传输、资源共享和信息安全方面的需求。通过采用先进的网络架构和技术,如捏造局域网(VLAN)分段、APT,以及实行严酷的身份验证和访问控制策略,确保网络的高性能和安全性。此外,还将创建全面的日志记录和监控机制,以便及时跟踪网络状态,快速相应故障,保障业务连续性。最终,此项目将为企业创建一个稳定、机动且易于管理的网络环境,促进信息交换和协作效率,为企业的数字化转型奠定坚固基础。
二、功能需求

1、跨VLAN互访:设计并实现一个机动的网络架构,确保企业内部不同捏造局域网(VLAN)之间的用户能够安全、高效地互相访问,促进部门间的协作和信息共享。
2、直接访问服务器资源:企业内部用户应能无缝访问关键的服务资源,包罗FTP服务器和Web服务器,以支持一样平常业务操作和数据互换需求。同时,确保这些服务的安全性和可用性,防止未经授权的访问。
3、内网用户外网访问:通过设置网络地址转换(NAT44),使企业内部员工能够便捷且安全地访问互联网资源,满足工作中的外部信息获取和通信需求,同时保护企业内部网络不受外部威胁。
4、安全的外网访问控制:允许外部用户通过NAT Server安全地访问企业内部的Web服务器,确保企业对外提供的服务可被外界顺遂访问,同时严酷限制外部对内网其他资源的访问,保障企业信息安全。
5、链路冗余与高可用性:在接入层与汇聚层之间部署冗余备份链路,进步网络的可靠性和容错本领,确保在网络组件故障时仍能保持稳定的服务毗连,减少停机时间和业务停止的风险。
5、统一的OSPF路由协议部署:在企业内网中,所有路由装备将统一采用开放最短路径优先(OSPF)协议来实现高效、可靠的路由互通。通过OSPF协议的部署,确保网络中的每个节点都能够动态地发现和更新最优路径,从而进步网络的相应速率和稳定性。
基本思路及相关理论

一、网络设计原则

1、简化架构与成本效益
采用简洁高效的网络拓扑,如星型或扩展星型布局,减少复杂度和潜在的故障点,确保网络易于部署和管理。
选择性价比高的网络装备和技术办理方案,避免不必要的高端功能投资。同时,思量长期的运营和维护成本,确保网络在预算内实现最大化的性能和价值。
2、高性能与高可靠性
对关键链路和服务实行冗余设计,如双网关、双电源互换机等,进步体系的可靠性和容错本领,确保业务连续性不受单点故障影响。
3、安全为先
订定并严酷执行安全政策,涵盖暗码管理、装备更新、补丁管理和员工安全培训,确保网络安全意识深入民气。
4、易于维护和高效管理
选择支持会合管理和远程设置的网络装备,简化一样平常运维工作,降低管理难度。使用统一的管理平台实现对所有网络装备的及时监控和设置更新。
二、网络架构模型

本项目的网络架构采用经典的三层架构设计,从上至下依次为焦点层、汇聚层和接入层。各层的功能和脚色明白分别,确保网络的高效性、可靠性和可扩展性。
设计方案

一、装备选择

1、焦点层装备
华为S5700系列互换机:作为焦点互换机,华为S5700系列互换机具备高性能、高可靠性和丰富的功能特性。它不但支持大容量的数据转发,还提供了多种安全机制和QoS策略,确保焦点网络的高效运行和业务连续性。
2、汇聚与接入层装备
华为S3700系列互换机:在汇聚层和接入层,选用华为S3700系列互换机。该系列互换机具有良好的性价比,支持VLAN分别、ACL访问控制和端口安全等功能,能够有效隔离不同部门的网络流量,保障内部网络安全,并为用户提供稳定的接入服务。
3、ISP数据中心路由器
华为AR2220路由器:作为毗连互联网的服务提供商(ISP)路由器,华为AR2220路由器提供了强大的路由本领和全面的安全防护功能。它支持多种广域网接口和协议,确保企业能够稳定、安全地访问外部网络资源,同时通过NAT和防火墙功能保护内网免受外部威胁。
二、网络拓扑布局图


详细设计过程

一、网络规划

在本项目中,所有网络装备的IP地址均采用长度为24位的子网掩码(即/24子网)。这种设置不但简化了网络管理和地址分配,还确保了各子网之间的清晰分别,便于故障排查和性能优化,详细地址见下表。

二、装备设置

1、焦点互换机
  1. [SW1]display saved-configuration
  2. #
  3. sysname SW1
  4. #
  5. undo info-center enable
  6. #
  7. vlan batch 100 200
  8. #
  9. cluster enable
  10. ntdp enable
  11. ndp enable
  12. #
  13. drop illegal-mac alarm
  14. #
  15. observe-port 1 interface GigabitEthernet0/0/10
  16. #
  17. diffserv domain default
  18. #
  19. drop-profile default
  20. #
  21. aaa
  22. authentication-scheme default
  23. authorization-scheme default
  24. accounting-scheme default
  25. domain default
  26. domain default_admin
  27. local-user admin password simple admin
  28. local-user admin service-type http
  29. #
  30. interface Vlanif1
  31. ip address 10.1.1.2 255.255.255.0
  32. #
  33. interface Vlanif100
  34. ip address 12.1.1.1 255.255.255.0
  35. #
  36. interface Vlanif200
  37. ip address 13.1.1.1 255.255.255.0
  38. #
  39. interface MEth0/0/1
  40. #
  41. interface GigabitEthernet0/0/1
  42. port link-type trunk
  43. port trunk allow-pass vlan 2 to 4094
  44. port-mirroring to observe-port 1 inbound
  45. port-mirroring to observe-port 1 outbound
  46. #
  47. interface GigabitEthernet0/0/2
  48. port link-type trunk
  49. port trunk allow-pass vlan 2 to 4094
  50. port-mirroring to observe-port 1 inbound
  51. port-mirroring to observe-port 1 outbound
  52. #
  53. interface GigabitEthernet0/0/3
  54. #
  55. interface GigabitEthernet0/0/4
  56. #
  57. interface GigabitEthernet0/0/5
  58. port link-type trunk
  59. port trunk allow-pass vlan 2 to 4094
  60. port-mirroring to observe-port 1 inbound
  61. port-mirroring to observe-port 1 outbound
  62. #
  63. interface GigabitEthernet0/0/6
  64. #
  65. interface GigabitEthernet0/0/7
  66. #
  67. interface GigabitEthernet0/0/8
  68. #
  69. interface GigabitEthernet0/0/9
  70. #
  71. interface GigabitEthernet0/0/10
  72. #
  73. interface GigabitEthernet0/0/11
  74. #
  75. interface GigabitEthernet0/0/12
  76. #
  77. interface GigabitEthernet0/0/13
  78. #
  79. interface GigabitEthernet0/0/14
  80. #
  81. interface GigabitEthernet0/0/15
  82. #
  83. interface GigabitEthernet0/0/16
  84. #
  85. interface GigabitEthernet0/0/17
  86. #
  87. interface GigabitEthernet0/0/18
  88. #
  89. interface GigabitEthernet0/0/19
  90. #
  91. interface GigabitEthernet0/0/20
  92. #
  93. interface GigabitEthernet0/0/21
  94. #
  95. interface GigabitEthernet0/0/22
  96. #
  97. interface GigabitEthernet0/0/23
  98. #
  99. interface GigabitEthernet0/0/24
  100. #
  101. interface NULL0
  102. #
  103. ospf 1 router-id 1.1.1.1
  104. area 0.0.0.0
  105.   network 10.1.1.2 0.0.0.0
  106. area 0.0.0.10
  107.   network 12.1.1.1 0.0.0.0
  108.   network 13.1.1.1 0.0.0.0
  109. #
  110. user-interface con 0
  111. user-interface vty 0 4
  112. #
  113. return
复制代码
2、边界防火墙
  1. [USG6000V1]display saved-configuration
  2. 2024-12-19 15:55:25.840
  3. !Software Version V500R005C10SPC300
  4. !Last configuration was saved at 2024-12-02 03:09:17 UTC
  5. #
  6. sysname USG6000V1
  7. #
  8. l2tp domain suffix-separator @
  9. #
  10. undo info-center enable
  11. #
  12. ipsec sha2 compatible enable
  13. #
  14. undo telnet server enable
  15. undo telnet ipv6 server enable
  16. #
  17. update schedule location-sdb weekly Sun 06:48
  18. #
  19. firewall defend action discard
  20. #
  21. banner enable
  22. #
  23. user-manage web-authentication security port 8887
  24. undo privacy-statement english
  25. undo privacy-statement chinese
  26. page-setting
  27. user-manage security version tlsv1.1 tlsv1.2
  28. password-policy
  29. level high
  30. user-manage single-sign-on ad
  31. user-manage single-sign-on tsm
  32. user-manage single-sign-on radius
  33. user-manage auto-sync online-user
  34. #
  35. web-manager security version tlsv1.1 tlsv1.2
  36. web-manager enable
  37. web-manager security enable
  38. undo web-manager config-guide enable
  39. #
  40. firewall dataplane to manageplane application-apperceive default-action drop
  41. #
  42. undo ips log merge enable
  43. #
  44. decoding uri-cache disable
  45. #
  46. feedback type threat-log enable
  47. feedback type pdns enable
  48. #
  49. update schedule ips-sdb daily 22:30
  50. update schedule av-sdb daily 22:30
  51. update schedule sa-sdb daily 22:30
  52. update schedule cnc daily 22:30
  53. update schedule file-reputation daily 22:30
  54. #
  55. ip vpn-instance default
  56. ipv4-family
  57. #
  58. time-range worktime
  59.   period-range 08:00:00 to 18:00:00 working-day
  60. #
  61. ike proposal default
  62. encryption-algorithm aes-256 aes-192 aes-128
  63. dh group14
  64. authentication-algorithm sha2-512 sha2-384 sha2-256
  65. authentication-method pre-share
  66. integrity-algorithm hmac-sha2-256
  67. prf hmac-sha2-256
  68. #
  69. aaa
  70. authentication-scheme default
  71. authentication-scheme admin_local
  72. authentication-scheme admin_radius_local
  73. authentication-scheme admin_hwtacacs_local
  74. authentication-scheme admin_ad_local
  75. authentication-scheme admin_ldap_local
  76. authentication-scheme admin_radius
  77. authentication-scheme admin_hwtacacs
  78. authentication-scheme admin_ad
  79. authorization-scheme default
  80. accounting-scheme default
  81. domain default
  82.   service-type internetaccess ssl-vpn l2tp ike
  83.   internet-access mode password
  84.   reference user current-domain
  85. manager-user audit-admin
  86.   password cipher @%@%8zB$=lX/EDcwhm-xG9wY\Z&c=vg>!!tYA"r\8`4g!M]$Z&f\@%@%
  87.   service-type web terminal
  88.   level 15
  90. manager-user api-admin
  91.   password cipher @%@%IL_{Jq%wM)2]niFPtos>b=qtu58N5X1W!J(XK"(oW5};=qwb@%@%
  92.   level 15
  94. manager-user admin
  95.   password cipher @%@%nnn-+g}ex2<$SB".M}63'Nht88+,9Szq"'sGXr8oEk/KNhw'@%@%
  96.   service-type web terminal
  97.   level 15
  99. role system-admin
  100. role device-admin
  101. role device-admin(monitor)
  102. role audit-admin
  103. bind manager-user audit-admin role audit-admin
  104. bind manager-user admin role system-admin
  105. #
  106. l2tp-group default-lns
  107. #
  108. interface GigabitEthernet0/0/0
  109. undo shutdown
  110. ip binding vpn-instance default
  111. ip address 192.168.36.2 255.255.255.0
  112. alias GE0/METH
  113. service-manage http permit
  114. service-manage https permit
  115. service-manage ping permit
  116. service-manage ssh permit
  117. service-manage snmp permit
  118. service-manage telnet permit
  119. #
  120. interface GigabitEthernet1/0/0
  121. undo shutdown
  122. ip address 222.202.1.1 255.255.255.0
  123. service-manage http permit
  124. service-manage https permit
  125. service-manage ping permit
  126. #
  127. interface GigabitEthernet1/0/1
  128. undo shutdown
  129. ip address 10.1.1.1 255.255.255.0
  130. undo service-manage enable
  131. #
  132. interface GigabitEthernet1/0/2
  133. undo shutdown
  134. #
  135. interface GigabitEthernet1/0/3
  136. undo shutdown
  137. #
  138. interface GigabitEthernet1/0/4
  139. undo shutdown
  140. #
  141. interface GigabitEthernet1/0/5
  142. undo shutdown
  143. #
  144. interface GigabitEthernet1/0/6
  145. undo shutdown
  146. #
  147. interface Virtual-if0
  148. #
  149. interface NULL0
  150. #
  151. firewall zone local
  152. set priority 100
  153. #
  154. firewall zone trust
  155. set priority 85
  156. add interface GigabitEthernet0/0/0
  157. add interface GigabitEthernet1/0/1
  158. #
  159. firewall zone untrust
  160. set priority 5
  161. add interface GigabitEthernet1/0/0
  162. #
  163. firewall zone dmz
  164. set priority 50
  165. #
  166. ospf 1 router-id 4.4.4.4
  167. default-route-advertise
  168. spf-schedule-interval millisecond 5000
  169. area 0.0.0.0
  170.   network 10.1.1.1 0.0.0.0
  171. #
  172. ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/0 222.202.1.2
  173. #
  174. undo ssh server compatible-ssh1x enable
  175. ssh authentication-type default password
  176. ssh server cipher aes256_ctr aes128_ctr
  177. ssh server hmac sha2_256 sha1
  178. ssh client cipher aes256_ctr aes128_ctr
  179. ssh client hmac sha2_256 sha1
  180. #
  181. firewall detect ftp
  182. #
  183. nat server U2T_WebServer global 222.202.1.1 inside 13.1.1.4
  184. #
  185. user-interface con 0
  186. authentication-mode aaa
  187. user-interface vty 0 4
  188. authentication-mode aaa
  189. protocol inbound ssh
  190. user-interface vty 16 20
  191. #
  192. pki realm default
  193. #
  194. sa
  195. #
  196. location
  197. #
  198. multi-linkif
  199. mode proportion-of-weight
  200. #
  201. right-manager server-group
  202. #
  203. device-classification
  204. device-group pc
  205. device-group mobile-terminal
  206. device-group undefined-group
  207. #
  208. user-manage server-sync tsm
  209. #
  210. security-policy
  211. rule name T2L
  212.   description trust to local
  213.   source-zone trust
  214.   destination-zone local
  215.   action permit
  216. rule name T2U
  217.   description trust to untrust
  218.   source-zone trust
  219.   destination-zone untrust
  220.   action permit
  221. rule name L2T
  222.   description local to Trust
  223.   source-zone local
  224.   destination-zone trust
  225.   action permit
  226. rule name L2U
  227.   description local to untrust
  228.   source-zone local
  229.   destination-zone untrust
  230.   action permit
  231. rule name U2L
  232.   description untrust to local
  233.   source-zone untrust
  234.   destination-zone local
  235.   action permit
  236. rule name "U2T WebServer"
  237.   source-zone untrust
  238.   destination-zone trust
  239.   service http
  240.   service https
  241.   action permit
  242. #
  243. auth-policy
  244. #
  245. traffic-policy
  246. #
  247. policy-based-route
  248. #
  249. nat-policy
  250. rule name 内网主机出外网
  251.   source-zone trust
  252.   egress-interface GigabitEthernet1/0/0
  253.   action source-nat easy-ip
  254. #
  255. quota-policy
  256. #
  257. pcp-policy
  258. #
  259. dns-transparent-policy
  260. #
  261. rightm-policy
  262. #
  263. return
复制代码
 3、接口地址及安全区域设置

4、安全策略设置

 5、NAT Server设置

结果检测与验证 

一、测速结果

内网主机ping外网主机乐成

外网主机ping内网主机失败,被防火墙安全策略拒绝

内网Client访问FTP服务器

ATP设被上的镜像流量,通过WireShark抓包验证

课程设计总结

一、主要成果

在本次盘算机网络课程设计中,围绕“小型企业网络搭建”这一主题,乐成构建了一个高效、安全且易于管理的企业内部网络。
通过本次课程设计,我们不但把握了小型企业网络搭建的关键技术和最佳实践,还造就了团队协作和问题办理的本领。本项目所构建的网络体系不但满足了当前的业务需求,还具备良好的可扩展性和机动性,为企业未来的数字化转型奠定了坚固的基础。
二、改进建议

1、双机热备防火墙部署
在现有防火墙的基础上,增加一台防火墙装备,设置为双机热备(HA)模式。通过主备切换机制,确保在网络故障或装备维护期间,防火墙服务能够无缝切换至备用装备,最大限度地减少业务停止时间,进步网络的安全性和可靠性。
2、焦点互换机堆叠设置
在现有焦点互换机的基础上,增加一台华为S5700系列互换机,并将其与现有焦点互换机进行堆叠设置。堆叠技术不但进步了焦点层的带宽和处理本领,还增强了体系的冗余性,确保纵然单台装备出现故障,整个焦点网络仍能正常运行,保障业务连续性。
3、接入层无线网络部署
在接入层部署无线控制器(AC)和多个无线接入点(AP),实现全面的无线网络覆盖。AC会合管理和优化AP的工作,确保无线网络的稳定性和安全性。同时,通过合理的信道规划和功率设置,避免信号干扰,提供优质的无线毗连体验,满足员工和访客的移动办公需求。
4、增强网络安全防护体系
为进一步提升网络安全水平,引入入侵检测体系(IDS)、入侵防御体系(IPS)、日志审计体系和堡垒机等装备。IDS和IPS能够及时监测和制止潜在的安全威胁,日志审计体系则记录所有网络活动,便于事后分析和追踪。堡垒机作为运维管理的入口,提供了严酷的访问控制和操作审计,确保只有授权职员能够对关键装备进行设置和管理,有效防止内部安全风险。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

泉缘泉

论坛元老
这个人很懒什么都没写!

楼主热帖

标签云

AI 运维 CIO 存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表