②设备互联接口描述
项目中所有涉及到可网管设备互联的端口必须配置端口描述 ③登陆密码配置
项目中所有可网管设备必须配置特权密码及远程登陆密码。 ④系统时间配置
项目中所有可网管设备必须重新设置正确的系统时间。 ⑤二层交换机管理IP配置
项目中可网管二交换机必须配置管理IP地址,供管理员远程管理设备所用。
11
第四章 网络安全设计
园区网的安全是一个综合问题,它包含网络设备和人为因素两个方面以及与外网(Internet)接口上的安全问题。网络的有效性和可靠性即它的可连续运行的安全性是网络建设必须考虑的首要原则,从用户的角度考虑,当网络所需的服务不可用时,不管是何种原因,网络就失去了实际价值。从另一角度看,当某种网络服务的响应时间变得变幻莫测时,网络系统也不可靠了。为此我们在网络设计上就考虑了以下的技术来提高安全性。
4.1 VLAN技术
VLAN技术是通过路由和交换设备,在网络的物理拓扑基础上建立的一个逻辑的网络。VLAN可以看作是一个广播域,它们不受地理位置的限制而像处于同一LAN上那样相互交换信息。VLAN是在交换网络中实现的。每个交换设备均可根据网络管理人员所定义的VLAN划分方法对报文进行过滤和转发,并能将这种划分信息传递到网络中其它交换设备和路由器中去。可以限制VLAN中的用户数量,禁止那些没有得到许可的用户加入到某个VLAN中。这样,可以控制用户对网络资源的访问,控制广播组的大小和组成,并借助网管软件在发生非法入侵时通知管理员。交换机上划分VLAN方法如图4.1所示:
交换机1234VLAN 10VLAN 20广播域广播域
图4.1 交换机划分VLAN方法
4.2 VPN技术
虚拟专用网(Virtual Private Network,VPN)技术的基本思路是充分利用现有的公用网络来建立一个私有的、安全的连接,即建立一条穿过混乱的公用网络的安全、稳定的隧道,同时避免昂贵的专线租用费用,它使用的是建立在物理连接基础上的逻辑连接,客户并不能意识到实际的物理连接,而且在穿越Internet进行路由时,其安全性与在专用网络中进行安全路由的安全性基本相同。
4.3 防火墙技术
目前,在保护计算机网络安全的设备中,使用最多的就是防火墙。防火墙是在两个网络之间执行控制策略的系统,这两个网络中,通常一个是要保护的内部网,一个是外部网,防火墙在内部网和外部网之间构成一道屏障,通过检测、限制或者更改通过它的数据流,对外屏蔽内部网的信息、结构和运行状况,以防止发生网络入侵或攻击,达到对内部网的安全保护。防火墙原理如图4.2所示:
黑客禁止服务器或用户
图4.2 防火墙原理图
13
第五章 网络模拟实现
5.1 模拟器介绍
eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台,主要对企业网路由器、交换机进行软件仿真,完美呈现真实设备实景,支持大型网络模拟,让广大用户有机会在没有真实设备的情况下能够模拟演练,学习网络技术。eNSP主界面如图5.1所示:
图5.1 eNSP主界面
5.2 模拟环境拓扑图
由于园区网络规模较大,本次只能针对对部分重要节点和典型区域进行模拟配置工作,模拟器网络拓扑如图5.3所示:
图5.3 模拟器网络拓扑
5.3 需求实现
某园区网拓扑及规划上图所示,其中AR1是园区网出口路由器。AR2和AR3是园区网核心设备,和AR1互联地址段是192.168.1.0/24和192.168.2.0/24。LSW1和LSW2是两台接入设备,下联用户VLAN 10和VLAN 20,对应用户子网分别是192.168.10.0/24和192.168.20.0/24,网关分别是192.168.10.254和192.168.20.254。AR1、AR2和AR32运行OSPF,都属于AREA 0。
实现以下需求:
①所有通过LSW1接入的用户IP地址必须动态获得,不允许私设IP地址,DHCP服务器是两台相同交换机。
②LSW2上连接用户的端口必须能够快速收敛,防止可能存在的环路,其它不用的端口必须手动关闭。
15
?在RSR-1上配置动态NAT,实现内部网络私有地址到外部网络公有地址的转换。
5.4 配置步骤
①配置路由器接口 ②配置OSPF ③配置DHCP ④配置NAT
