自学内容网 自学内容网
自学内容网 > 正文

基于eNSP的小型企业网络设计

🕗 发布于 2025-01-19 08:18 网络  php  安全  

题目设计和要求

一、项目目标

本项目旨在设计并实现一个高效、可靠且安全的企业内部网络系统,以满足现代企业在数据传输、资源共享和信息安全方面的需求。通过采用先进的网络架构和技术,如虚拟局域网(VLAN)分段、APT,以及实施严格的身份验证和访问控制策略,确保网络的高性能和安全性。此外,还将建立全面的日志记录和监控机制,以便实时跟踪网络状态,快速响应故障,保障业务连续性。最终,此项目将为企业创建一个稳定、灵活且易于管理的网络环境,促进信息交流和协作效率,为企业的数字化转型奠定坚实基础。

二、功能需求

1、跨VLAN互访:设计并实现一个灵活的网络架构,确保企业内部不同虚拟局域网(VLAN)之间的用户能够安全、高效地互相访问,促进部门间的协作和信息共享。

2、直接访问服务器资源:企业内部用户应能无缝访问关键的服务资源,包括FTP服务器和Web服务器,以支持日常业务操作和数据交换需求。同时,确保这些服务的安全性和可用性,防止未经授权的访问。

3、内网用户外网访问:通过配置网络地址转换(NAT44),使企业内部员工能够便捷且安全地访问互联网资源,满足工作中的外部信息获取和通信需求,同时保护企业内部网络不受外部威胁。

4、安全的外网访问控制:允许外部用户通过NAT Server安全地访问企业内部的Web服务器,确保企业对外提供的服务可被外界顺利访问,同时严格限制外部对内网其他资源的访问,保障企业信息安全。

5、链路冗余与高可用性:在接入层与汇聚层之间部署冗余备份链路,提高网络的可靠性和容错能力,确保在网络组件故障时仍能保持稳定的服务连接,减少停机时间和业务中断的风险。

5、统一的OSPF路由协议部署:在企业内网中,所有路由设备将统一采用开放最短路径优先(OSPF)协议来实现高效、可靠的路由互通。通过OSPF协议的部署,确保网络中的每个节点都能够动态地发现和更新最优路径,从而提高网络的响应速度和稳定性。

基本思路及相关理论

一、网络设计原则

1、简化架构与成本效益

采用简洁高效的网络拓扑,如星型或扩展星型结构,减少复杂度和潜在的故障点,确保网络易于部署和管理。

选择性价比高的网络设备和技术解决方案,避免不必要的高端功能投资。同时,考虑长期的运营和维护成本,确保网络在预算内实现最大化的性能和价值。

2、高性能与高可靠性

对关键链路和服务实施冗余设计,如双网关、双电源交换机等,提高系统的可靠性和容错能力,确保业务连续性不受单点故障影响。

3、安全为先

制定并严格执行安全政策,涵盖密码管理、设备更新、补丁管理和员工安全培训,确保网络安全意识深入人心。

4、易于维护和高效管理

选择支持集中管理和远程配置的网络设备,简化日常运维工作,降低管理难度。利用统一的管理平台实现对所有网络设备的实时监控和配置更新。

二、网络架构模型

本项目的网络架构采用经典的三层架构设计,从上至下依次为核心层、汇聚层和接入层。各层的功能和角色明确划分,确保网络的高效性、可靠性和可扩展性。

设计方案

一、设备选择

1、核心层设备

华为S5700系列交换机:作为核心交换机,华为S5700系列交换机具备高性能、高可靠性和丰富的功能特性。它不仅支持大容量的数据转发,还提供了多种安全机制和QoS策略,确保核心网络的高效运行和业务连续性。

2、汇聚与接入层设备

华为S3700系列交换机:在汇聚层和接入层,选用华为S3700系列交换机。该系列交换机具有良好的性价比,支持VLAN划分、ACL访问控制和端口安全等功能,能够有效隔离不同部门的网络流量,保障内部网络安全,并为用户提供稳定的接入服务。

3、ISP数据中心路由器

华为AR2220路由器:作为连接互联网的服务提供商(ISP)路由器,华为AR2220路由器提供了强大的路由能力和全面的安全防护功能。它支持多种广域网接口和协议,确保企业能够稳定、安全地访问外部网络资源,同时通过NAT和防火墙功能保护内网免受外部威胁。

二、网络拓扑结构图

具体设计过程

一、网络规划

在本项目中,所有网络设备的IP地址均采用长度为24位的子网掩码(即/24子网)。这种配置不仅简化了网络管理和地址分配,还确保了各子网之间的清晰划分,便于故障排查和性能优化,具体地址见下表。

二、设备配置

1、核心交换机

[SW1]display saved-configuration 
#
sysname SW1
#
undo info-center enable
#
vlan batch 100 200
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
observe-port 1 interface GigabitEthernet0/0/10 
#
diffserv domain default
#
drop-profile default
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password simple admin
 local-user admin service-type http
#
interface Vlanif1
 ip address 10.1.1.2 255.255.255.0 
#
interface Vlanif100
 ip address 12.1.1.1 255.255.255.0 
#
interface Vlanif200
 ip address 13.1.1.1 255.255.255.0 
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 port-mirroring to observe-port 1 inbound 
 port-mirroring to observe-port 1 outbound 
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 port-mirroring to observe-port 1 inbound 
 port-mirroring to observe-port 1 outbound 
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 port-mirroring to observe-port 1 inbound 
 port-mirroring to observe-port 1 outbound 
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface GigabitEthernet0/0/9
#
interface GigabitEthernet0/0/10
#
interface GigabitEthernet0/0/11
#
interface GigabitEthernet0/0/12
#
interface GigabitEthernet0/0/13
#
interface GigabitEthernet0/0/14
#
interface GigabitEthernet0/0/15
#
interface GigabitEthernet0/0/16
#
interface GigabitEthernet0/0/17
#
interface GigabitEthernet0/0/18
#
interface GigabitEthernet0/0/19
#
interface GigabitEthernet0/0/20
#
interface GigabitEthernet0/0/21
#
interface GigabitEthernet0/0/22
#
interface GigabitEthernet0/0/23
#
interface GigabitEthernet0/0/24
#
interface NULL0
#
ospf 1 router-id 1.1.1.1 
 area 0.0.0.0 
  network 10.1.1.2 0.0.0.0 
 area 0.0.0.10 
  network 12.1.1.1 0.0.0.0 
  network 13.1.1.1 0.0.0.0 
#
user-interface con 0
user-interface vty 0 4
#
return

2、边界防火墙

[USG6000V1]display saved-configuration 
2024-12-19 15:55:25.840 
!Software Version V500R005C10SPC300
!Last configuration was saved at 2024-12-02 03:09:17 UTC
#
sysname USG6000V1
#
 l2tp domain suffix-separator @
#
undo info-center enable
#
 ipsec sha2 compatible enable
#
undo telnet server enable
undo telnet ipv6 server enable
#
 update schedule location-sdb weekly Sun 06:48
#
 firewall defend action discard
#
 banner enable
#
 user-manage web-authentication security port 8887
 undo privacy-statement english
 undo privacy-statement chinese
page-setting
 user-manage security version tlsv1.1 tlsv1.2
password-policy
 level high
user-manage single-sign-on ad
user-manage single-sign-on tsm
user-manage single-sign-on radius
user-manage auto-sync online-user
#
 web-manager security version tlsv1.1 tlsv1.2
 web-manager enable
 web-manager security enable
 undo web-manager config-guide enable
#
firewall dataplane to manageplane application-apperceive default-action drop
#
 undo ips log merge enable
#
 decoding uri-cache disable
#
 feedback type threat-log enable
 feedback type pdns enable
#
 update schedule ips-sdb daily 22:30
 update schedule av-sdb daily 22:30
 update schedule sa-sdb daily 22:30
 update schedule cnc daily 22:30
 update schedule file-reputation daily 22:30
#
ip vpn-instance default
 ipv4-family
#
 time-range worktime
  period-range 08:00:00 to 18:00:00 working-day
#
ike proposal default
 encryption-algorithm aes-256 aes-192 aes-128
 dh group14
 authentication-algorithm sha2-512 sha2-384 sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
#
aaa
 authentication-scheme default
 authentication-scheme admin_local
 authentication-scheme admin_radius_local
 authentication-scheme admin_hwtacacs_local
 authentication-scheme admin_ad_local
 authentication-scheme admin_ldap_local
 authentication-scheme admin_radius
 authentication-scheme admin_hwtacacs
 authentication-scheme admin_ad
 authorization-scheme default
 accounting-scheme default
 domain default
  service-type internetaccess ssl-vpn l2tp ike
  internet-access mode password
  reference user current-domain
 manager-user audit-admin
  password cipher @%@%8zB$=lX/EDcwhm-xG9wYZ&c=vg>!!tYA"r8`4g!M]$Z&f@%@%
  service-type web terminal
  level 15

 manager-user api-admin
  password cipher @%@%IL_{Jq%wM)2]niFPtos>b=qtu58N5X1W!J(XK"(oW5};=qwb@%@%
  level 15

 manager-user admin
  password cipher @%@%nnn-+g}ex2<$SB".M}63'Nht88+,9Szq"'sGXr8oEk/KNhw'@%@%
  service-type web terminal
  level 15

 role system-admin
 role device-admin
 role device-admin(monitor)
 role audit-admin
 bind manager-user audit-admin role audit-admin
 bind manager-user admin role system-admin
#
l2tp-group default-lns
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 192.168.36.2 255.255.255.0
 alias GE0/METH
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 222.202.1.1 255.255.255.0
 service-manage http permit
 service-manage https permit
 service-manage ping permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.1 255.255.255.0
 undo service-manage enable
#
interface GigabitEthernet1/0/2
 undo shutdown
#
interface GigabitEthernet1/0/3
 undo shutdown
#
interface GigabitEthernet1/0/4
 undo shutdown
#
interface GigabitEthernet1/0/5
 undo shutdown
#
interface GigabitEthernet1/0/6
 undo shutdown
#
interface Virtual-if0
#
interface NULL0
#
firewall zone local
 set priority 100
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0
#
firewall zone dmz
 set priority 50
#
ospf 1 router-id 4.4.4.4
 default-route-advertise
 spf-schedule-interval millisecond 5000
 area 0.0.0.0
  network 10.1.1.1 0.0.0.0
#
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/0 222.202.1.2
#
undo ssh server compatible-ssh1x enable
ssh authentication-type default password
ssh server cipher aes256_ctr aes128_ctr
ssh server hmac sha2_256 sha1
ssh client cipher aes256_ctr aes128_ctr
ssh client hmac sha2_256 sha1
#
firewall detect ftp
#
 nat server U2T_WebServer global 222.202.1.1 inside 13.1.1.4
#
user-interface con 0
 authentication-mode aaa
user-interface vty 0 4
 authentication-mode aaa
 protocol inbound ssh
user-interface vty 16 20
#
pki realm default
#
sa
#
location
#
multi-linkif
 mode proportion-of-weight
#
right-manager server-group
#
device-classification
 device-group pc
 device-group mobile-terminal
 device-group undefined-group
#
user-manage server-sync tsm
#
security-policy
 rule name T2L
  description trust to local
  source-zone trust
  destination-zone local
  action permit
 rule name T2U
  description trust to untrust
  source-zone trust
  destination-zone untrust
  action permit
 rule name L2T
  description local to Trust
  source-zone local
  destination-zone trust
  action permit
 rule name L2U
  description local to untrust
  source-zone local
  destination-zone untrust
  action permit
 rule name U2L
  description untrust to local
  source-zone untrust
  destination-zone local
  action permit
 rule name "U2T WebServer"
  source-zone untrust
  destination-zone trust
  service http
  service https
  action permit
#
auth-policy
#
traffic-policy
#
policy-based-route
#
nat-policy
 rule name 内网主机出外网
  source-zone trust
  egress-interface GigabitEthernet1/0/0
  action source-nat easy-ip
#
quota-policy
#
pcp-policy
#
dns-transparent-policy
#
rightm-policy
#
return

3、接口地址及安全区域配置

4、安全策略配置

5、NAT Server配置

结果检测与验证

一、测速结果

内网主机ping外网主机成功

外网主机ping内网主机失败,被防火墙安全策略拒绝

内网Client访问FTP服务器

ATP设被上的镜像流量,通过WireShark抓包验证

课程设计总结

一、主要成果

在本次计算机网络课程设计中,围绕“小型企业网络搭建”这一主题,成功构建了一个高效、安全且易于管理的企业内部网络。

通过本次课程设计,我们不仅掌握了小型企业网络搭建的关键技术和最佳实践,还培养了团队协作和问题解决的能力。本项目所构建的网络系统不仅满足了当前的业务需求,还具备良好的可扩展性和灵活性,为企业未来的数字化转型奠定了坚实的基础。

二、改进建议

1、双机热备防火墙部署

在现有防火墙的基础上,增加一台防火墙设备,配置为双机热备(HA)模式。通过主备切换机制,确保在网络故障或设备维护期间,防火墙服务能够无缝切换至备用设备,最大限度地减少业务中断时间,提高网络的安全性和可靠性。

2、核心交换机堆叠配置

在现有核心交换机的基础上,增加一台华为S5700系列交换机,并将其与现有核心交换机进行堆叠配置。堆叠技术不仅提高了核心层的带宽和处理能力,还增强了系统的冗余性,确保即使单台设备出现故障,整个核心网络仍能正常运行,保障业务连续性。

3、接入层无线网络部署

在接入层部署无线控制器(AC)和多个无线接入点(AP),实现全面的无线网络覆盖。AC集中管理和优化AP的工作,确保无线网络的稳定性和安全性。同时,通过合理的信道规划和功率设置,避免信号干扰,提供优质的无线连接体验,满足员工和访客的移动办公需求。

4、增强网络安全防护体系

为进一步提升网络安全水平,引入入侵检测系统(IDS)、入侵防御系统(IPS)、日志审计系统和堡垒机等设备。IDS和IPS能够实时监测和阻止潜在的安全威胁,日志审计系统则记录所有网络活动,便于事后分析和追踪。堡垒机作为运维管理的入口,提供了严格的访问控制和操作审计,确保只有授权人员能够对关键设备进行配置和管理,有效防止内部安全风险。


原文地址:https://blog.csdn.net/m0_74823021/article/details/145226651

免责声明:本站文章内容转载自网络资源,如侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!

相关文章

自学内容网
Copyright © 2015-2025