中小型企业局域网的设计 下载本文

Bg-C2960-1f-1(config-if-range)#switchport mode access Bg-C2960-1f-1(config-if-range)#switchport access vlan 13 Bg-C2960-1f-1(config-if-range)#exit

Bg-C2960-1f-1(config)#interface range g0/25 - 30

Bg-C2960-1f-1(config-if-range)#switchport mode access Bg-C2960-1f-1(config-if-range)#switchport access vlan 14 Bg-C2960-1f-1(config-if-range)#exit

Bg-C2960-1f-1(config)#interface range g0/31 - 36

Bg-C2960-1f-1(config-if-range)#switchport mode access Bg-C2960-1f-1(config-if-range)#switchport access vlan 15 Bg-C2960-1f-1(config-if-range)#exit

Bg-C2960-1f-1(config)#interface range g0/37 - 42

Bg-C2960-1f-1(config-if-range)#switchport mode access Bg-C2960-1f-1(config-if-range)#switchport access vlan 16 Bg-C2960-1f-1(config-if-range)#exit

Bg-C2960-1f-1(config)#interface range g0/43 - 47

Bg-C2960-1f-1(config-if-range)#switchport mode access Bg-C2960-1f-1(config-if-range)#switchport access vlan 17 Bg-C2960-1f-1(config-if-range)#exit ??????????

Bg-C2960-1f-1(config)#int g1/1 !上连核心交换一 Bg-C2960-1f-1(config-if)#switchport mode trunk Bg-C2960-1f-1(config-if)#exit

Bg-C2960-1f-1(config)#int g1/2 !上连核心交换二 Bg-C2960-1f-1(config-if)#switchport mode trunk Bg-C2960-1f-1(config-if)#exit

Bg-C2960-1f-1(config)#interface range g0/1 -48,g1/1 -2 Bg-C2960-1f-1(config-if-range)#no shutdown Bg-C2960-1f-1(config-if-range)#exit Bg-C2960-1f-1(config)#

Bg-C2960-1f-1(config)#int f0/24 !下连同楼层24口接入交换的g0/1 Bg-C2960-1f-1(config-if)#switchport trunk encapsulation dot1q Bg-C2960-1f-1(config-if)#switchport mode trunk

Bg-C2960-1f-1(config-if)#Switdhport trunk allowed vlan all Bg-C2960-1f-1(config-if)#Exit Bg-C2960-1f-1(config)#Exit Bg-C2960-1f-1#write memory

24口类是48口在VLAN分配上的沿续,原理同48口交换机(此处略)。

4.4路由协议、设备选型与配置

路由协议包括:静态路由、默认路由、距离矢量协议RIP/EIGRP及链路状态协议OSPF。所有路由协议因使用环境的不同各有优缺点:

29

静态路由和默认路由是由网络管理员采用手工方法在路由器中配置而成,适用于规模较小,路由表相对简单的网络。优点是手工配置可以精确控制路由选择,改进网络性能;不需要动态路由协议参与,减少路由开销,为重要的应用保证带宽。缺点是不适用于大规模网络,不能自动适应网络拓扑结构变化,手工配置管理员压力较大。

RIP采用距离向量算法。是早期的路由协议,优点是配置简单在小型网络中较常见,缺点是路由范围有限,只能支持在直径为15个路由的网络内进行路由,不能适应复杂拓扑结构网络,采用DV算法会有路由环路问题存在。

OSPF开放最短路径优先,是为大型网络设计的一种路由协议。优点是根据收集到网络上的链路状态,采用SPF算法,计算以它为中心的一棵最短路径树。OSPF使用十分有效,采用链路状态算法,网络流量小,收敛速度快,没有路由环路存在。缺点是比较复杂,实施前需要规划,且配置和维护都比较复杂。

根据中小企业网络投资及规模较小,为达到精确控制网络路由采用静态路由及默认路由。

路由器选择思科CISCO2911/K9(表4-5路由器的主要参数),将两台台热备份核心交换机上的数据高速路由至防火墙网关,同时亦可对出入互联网的2至4层数据包做管控。

表4-5路由器的主要参数 项目 基于硬件的嵌入式密码加速 (IPSec + SSL) 板载广域网 10/100/1000 端口总数 基于 RJ-45 的端口数 有 3 3 描述 基于 SFP 的端口数(使用 SFP 端口将禁用对应的 0 RJ-45 端口) 服务模块插槽数 1 双宽度服务模块插槽数(使用双宽度插槽将占用 2900 0 中的所有单宽度服务模块插槽) EHWIC 插槽数 双宽度 EHWIC 插槽(使用双宽度 EHWIC 插槽将占用两个 EHWIC 插槽) ISM 插槽数 板载 DSP (PVDM) 插槽 内存 DDR2 ECC DRAM – 默认 30

4 2 1 2 512MB

内存 (DDR2 ECC DRAM) – 最大 闪存(外部)– 默认 闪存(外部)– 最大 外部 USB 2.0 闪存插槽(类型 A) USB 控制台端口(类型 B)(高达 115.2 kbps) 串行控制台端口 串行辅助端口 电源选项 RPS 支持(外部) 2GB 插槽0:256M 插槽1:无 插槽0:4GB 插槽1:4GB 2 1 1 1 AC、PoE 和 DC* Cisco RPS 2300

CISCO2911/K9路由配置(包括了防火墙部分的网络互联配置):

Router>enable 进入路由器特权模式

Router#configure terminal 进入路由器全局配置模式 Router(config)#hostname c2900k9

c2900k9(config)#enable password 100.3 c2900k9(config)#line console 0 c2900k9(config-line)#pass 100.3 c2900k9(config-line)#login

c2900k9(config-line)#line vty 0 4 c2900k9(config-line)#pass 100.3 c2900k9(config-line)#login

c2900k9(config)# interface Vlan1

c2900k9(config-if)#ip address 192.168.100.253 255.255.255.192 c2900k9(config-if)#no shutdown

c2900k9(config)# interface Serial0/0/0 !模拟防火墙外端口 c2900k9(config-if)#ip address 218.28.58.131 255.255.255.248 c2900k9(config-if)#no shutdown

c2900k9(config-if)#ip route 192.168.0.0 255.255.0.0 192.168.100.254

!设置到192.168.0.0网络的静态路由

c2900k9(config-if)# ip route 0.0.0.0 0.0.0.0 218.28.58.130 !设置到ISP的默认路由 c2900k9(config-if)# exit c2900k9(config)#int f0/1

c2900k9(config-if)#ip add 192.168.10.1 255.255.255.0 c2900k9(config-if)#exit c2900k9#write

31

第5章、安全策略

中小企业网络病毒泛滥、安全事件频发,是网络管理面临的重大挑战。从网络安全调查数据来看,网络的安全威胁主要来自三个方面:一方面是网络的恶意破坏者即黑客,造成正常网络服务的不可用、系统数据的破坏;第二个方面是无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播;第三个方面是有些用户窃取他人身份进行越权数据访问,其中以内部人员而造成的网络安全问题占到了70%。

安全问题已经成为企业信息化过程普遍问题,表现在部门间互访的安全无法控制,重要数据被入侵者窜改,不能很好应对外部攻击以及移动办公用户上网控制,都急待解决。

5.1企业网边缘处及vlan的安全考虑

防火墙设备的使用是解决网络安全的最基本的保证。防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。网络边界即采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。

防火墙设备由一个由软件和硬件设备组合而成,包括服务访问规则、验证工具、包过滤和应用网关4个主要部分。

ACLs 的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行控制;允许通过或丢弃,从而提高网络可管理型和安全性;IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围为1~99、1300~1999、100~199、2000~2699;标准IP访问控制列表可以根据数据包的源IP地址定义规则,进行数据包的过滤;扩展IP访问列表可以根

32