TL-ER6520G某企业网络配置实例 下载本文

因为对于每个网段来说都有两个出口,即电信和联通,所以对于每个网段来说,都需要配置两条NAPT规则。

传输控制>> NAT设置>> NAPT

第四章网络权限及网络安全

我们现在将需求分析中涉及企业内部网络权限和网络安全的内容进行罗列: 1. 各部门使用不同网段,不允许相互访问;

2. 市场部门、人事部门可全天候访问外网,研发部门只能在非工作时间访问外网;

3. 服务器群1对广域网、市场部门、人事部门全天候开放,对研发部门只在非工作时间开放;

4. 服务器群2对企业内部员工完全开放;

5. 需要防范来自企业内部的ARP欺骗、DOS等常见攻击;

6. 禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。

4.1 配置访问规则

TL-ER6520G默认是允许所有区段的所有接口直接通信,为实现上述的需求,我们需要在访问规则中的\区段间访问规则\和\区段内访问规则\中配置相应的策略实现。

4.1.1 区段间访问规则

我们已经在路由器中定义了7个区段,现在我们逐一实现涉及区段之间的访问规则。 #实现1:研发部、市场部、人事部三个部门之间不允许相互访问 安全管理>>访问策略>>区段间访问规则

选择相应的显示区段,即Marketing<->Personnel、Marketing<->RD、Personnel<->RD。

在区段间规则中,我们需要配置6个方向的规则即:Marketing->Personnel、Personnel-> Marketing、Marketing->RD、RD-> Marketing、Personnel->RD、RD-> Personnel。 下面我们以市场部门区段和人事部门区段之间规则为例进行配置。 配置Marketing->Personnel规则

配置Personnel-> Marketing规则

同理我们配置Marketing->RD、RD-> Marketing、Personnel->RD、RD-> Personnel的规则,配置完成后,规则条目如下:

区段Marketing与区段Personnel之间规则

区段Marketing与区段RD之间规则

区段Personnel与区段RD之间规则

#实现2:服务器群1对广域网、市场部、人事部全天候开放,对研发部只在非工作时间开放

因为路由器默认是允许所有区段的所有接口直接通信,所以不需要配置服务器群1区段与电信宽带区段、联通宽带区段、市场部门区段、人事部门区段的区段间访问规则。只需配置服务器群1区段和RD区段之间的区段间访问规则。

安全管理>>访问策略>>区段间访问规则 选择相应的显示区段:DMZ<->RD

设置相应规则,选择生效时间,配置结果如下: