ambow网络架构方案实验.docx
《ambow网络架构方案实验.docx》由会员分享,可在线阅读,更多相关《ambow网络架构方案实验.docx(60页珍藏版)》请在冰豆网上搜索。
ambow网络架构方案实验
项目名称:
Ambow网络架构
项目编号:
NSXZ2012-G104
网
络
架
构
方
案
小组名称:
信息学院104班第一小组
日期:
二〇一二年五月二十九日
一.项目背景
1.1ambow公司概况
Ambow公司是一家教育服务公司,为了公司未来发展的需要,IFC(国际金融公司和安博公司共同投资1.2亿美金来成立实训基地和拓展现有的基地,IFC拟筹资约5000万美金.
Ambow要求
1.采购桌面电脑4000套,服务器100台,
2.系统桌面电脑采用微软正版系统,服务器系统企业自行考虑
3.网络设备采购根据我方要求企业自行考虑
所要达到的目的
1.实现企业部网络的互连
2.实现网络架构的安全性
3.设置企业网各种所需的服务器管理
4.实现基地和安博其他分公司的安全的互联
1.2网络工程状况
A.公司有一个局域网inside,用于公司的资源共享和信息交流
B.网络概有4000台计算机,分别位于不同的vlan下,防止arp病毒广播和广播风暴,提高网络环境的质量
C.计算机的操作系统有WindowsServer2003和WindowsXPprofessional
D.员工一人一机办公
F.公司部署各种办公服务器,为企业员工提供一个良好的办公环境
二.需求分析
公司需要构建一个综合的企业网,公司有5个部门:
教学部、财务部、IT部、网络部、人事部。
公司共分3栋楼,1号,2号,3号,每栋楼直线相距100米。
1号楼:
2层,为教学楼,10台电脑,分散分布每层5台。
2号楼:
3层,为IT部,人事部,20台。
其中10台集中在3楼的网络部的设计室中,专设一个机房,其他10台分散分布每层5台。
3号楼:
2层,为财务部。
从网安全考虑,使用VLAN技术将各部门划分到不同的VLAN中;为了提高公司的业务能力和增强企业知名度,将公司的WEB以及FTP、Mail服务发布到互联网上;与分公司可采用分组交换(帧中继)网互联;并从ISP那里申请了一段公网IP。
16个有效IPv4地址:
218.26.174.112.~218.26.174.127,掩码为255.255.255.0(可表示为/28)。
其中218.26.174.112和218.26.174.127为网络地址和广播地址,不可用(考虑路由器需要配置NAT功能了)。
2.1带宽性能需求
现代企业网络应具有更高的带宽,更强大的性能,以满足用户日益增长的通信需求。
随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台。
不仅要继续承载企业的办公自动化,Web浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP、视频会议等多媒体业务。
因此,数据流量将大大增加,尤其是对核心网络的数据交换能力提出了前所未有的要求。
另外,随着千兆位端口成本的持续下降,千兆位到桌面的应用会在不久的将来成为企业网的主流。
从2004年全球交换机市场分析可以看到,增长最迅速的就是10Gbps级别机箱式交换机,可见,万兆位的大规模应用已经真正开始。
所以,今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准,核心层及骨干层必须具有万兆位级带宽和处理性能,才能构筑一个畅通无阻的"高品质"企业网,从而适应网络规模扩大,业务量日益增长的需要。
2.2稳定可靠需求
现代企业的网络应具有更全面的可靠性设计,以实现网络通信的实时畅通,保障企业生产运营的正常进行。
随着企业各种业务应用逐渐转移到计算机网络上来,网络通信的无中断运行已经成为保证企业正常生产运营的关键。
现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑:
1、设备的可靠性设计:
不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察。
2、业务的可靠性设计:
网络设备在故障倒换过程中,是否对业务的正常运行有影响。
3、链路的可靠性设计:
以太网的链路安全来自于多路径选择,所以在企业网络建设时,要考虑网络设备是否能够提供有效的链路自愈手段,以及快速重路由协议的支持。
2.3网络安全需求
现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失。
传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件,以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。
在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,这样才能有效地保证企业网络的稳定运行。
2.4应用服务需求
现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要。
当前的网络已经发展成为"以应用为中心"的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。
比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力的任务。
所以现代的大型企业网络迫切需要网络设备具备支撑"以应用为中心"的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来。
2.5设备要求
根据公司现有设备规模,业务需要及发展围使用的计算机、网络设备主要以联想台式机和CISCO网络产品为主(产品的具体型号将在方案的最后给出):
a)服务器需选择中cisco的刀片式。
b)核心路由器使用cisco的高端设备
c)而交换机使用CISCO中档产品。
d)防火墙为硬件+软件结构。
e)网络布线主干采用光纤,五类双绞线到桌面(100M)。
三.项目规划
3.1拓扑图
3.2局域网详细拓扑图:
3.3ip以及vlan规划
区域
Vlan
Vlan接口IP
Area1
Vlan11
172.16.1.62
Vlan12
172.16.1.126
Vlan13
172.16.1.190
Area2
Vlan21
172.16.2.62
Vlan22
172.16.2.126
Vlan23
172.16.2.190
Area3
Vlan31
172.16.3.62
Vlan32
172.16.3.126
Vlan33
172.16.3.190
Area4
Vlan41
172.16.4.62
Vlan42
172.16.4.126
Vlan43
172.16.4.190
Area5
Vlan51
172.16.5.62
Vlan52
172.16.5.126
Vlan53
172.16.5.190
服务器的ip分配:
服务器名称
Ip
子网掩码
Web服务器
172.30.1.1
255.255.0.0
Dns服务器
172.30.1.2
255.255.0.0
ftp服务器
172.16.254.1
255.255.255.0
Dhcp一服务器
172.16.254.250
255.255.255.0
Dhcp二服务器
172.16.254.251
255.255.255.0
服务器
172.16.254.2
255.255.255.0
3.4拓扑图分析
3.4.1核心层配置的OSPF路由协议,提供高速的数据交换,每个area区域代表每一个部门(每个部门默认在同一栋楼中)
3.4.2分布层使用三层交换机,配置各种策略
3.4.3接入层使用各自的VLAN进行划分
四.项目实施
4.1配置ASA防火墙
配置理由:
防火墙加强inside区域的安全度,可以阻挡60%的恶意攻击,我们选用cisco的asa防火墙,其onetoall的特性,使其能够将NAT,firewall,VPN等功能附加一身
1.配置ASA的主机名、域名和密码
ciscoasa(config)#hostnameasa802
asa802(config)#domain-nameambow.
asa802(config)#enablepasswordasa802
asa802(config)#passwdcisco
2.配置接口的区域划分
asa802(config)#inte0/1
asa802(config-if)#nameifinside
asa802(config-if)#security-level100
asa802(config-if)#ipadd172.16.10.254255.255.255.0
asa802(config-if)#noshutdown
asa802(config-if)#exit
asa802(config)#inte0/0
asa802(config-if)#nameifoutside
asa802(config-if)#security-level0
asa802(config-if)#ipadd200.1.1.1255.255.255.0
asa802(config-if)#noshutdown
asa802(config-if)#exit
asa802(config)#inte0/2
asa802(config-if)#nameifdmz
asa802(config-if)#security-level50
asa802(config-if)#ipadd172.30.255.254255.255.255.0
asa802(config-if)#noshutdown
asa802(config-if)#exit
3.配置默认静态路由
asa802(config)#routeoutside0.0.0.00.0.0.0200.1.1.1
(将网和DMZ的IP数据包,都通过该默认的静态路由,全部路由到200.1.1.1的下一跳地址上)
4.配置远程管理的接入
asa802(config)#telnet172.16.110.110255.255.255.0inside
asa802(config)#telnettimeout10
5.配置ASA上的NAT服务
(一)启用网地址到DMZ和外网的NAT功能
asa802(config)#nat-control
(启用NAT服务)
asa802(config)#nat(inside)1172.16.0.0255.255.0.0
(指定入接口为网接口的IP需要进行转换)
asa802(config)#global(outside)1int
(配置出接口为外网接口的ip为全局IP地址)
asa802(config)#global(dmz)1172.30.255.10-172.30.255.101
(配置出接口为dmz接口的IP为172.30.255.10-172.30.255.101地址池中的一个,任意指定)
(二)启用外网到dmz区域的NAT功能
asa802(config)#nat-control
(启用NAT服务)
asa802(config)#nat(outside)100
(指定入接口为外网接口的IP需要进行转换)
asa802(config)#global(dmz)1172.30.255.10-172.30.255.101
(若出接口为dmz接口,则进行NAT转化,地址围为:
172.30.255.10-172.30.255.101)
6.在ASA上配置acl访问控制列表
(1)配置拒绝财务部的员工对外网的访问:
asa802(config)#access-listin_caiwu_to_outdenyip172.16.5.0255.255.255.0any
asa802(config)#access-listin_caiwu_to_outpermitipanyany
asa802(config)#access-groupin_caiwu_to_outinintinside
(2)拒绝外网对网的访问:
asa802(config)#access-listout_to_indenyipanyany
asa802(config)#access-listout_to_inpermitipanyany
asa802(config)#access-groupout_to_ininintinside
7.配置IPsecVPN隧道(这里选择GREoverIPsec)
配置理由:
总公司和分公司之间的互相访问,同时要保证外网对各个网的访问的限制,所以配置一个IPsecVPN隧道。
先配置各个端口的ip地址,以及将tunnel口的各种配置进行完成。
在配置第一阶段的IKE策略上:
(1)Site1(config)#cryisaen
Site1(config)#cryisapol10
Site1(config-isakmp)#encr3de
Site1(config-isakmp)#hashmd5
Site1(config-isakmp)#authpre-sha
Site1(config-isakmp)#group2
Site1(config-isakmp)#exi
Site1(config)#cryisakey0121keyaddress202.1.1.1
Site1(config)#
在配置第二阶段的IKE策略上:
(1)配置感兴趣流:
Site1(config)#ipaccess-listextendedvpn
Site1(config-ext-nacl)#permitip10.1.1.00.0.0.255172.16.1.00.0.0.255
Site1(config-ext-nacl)#exi
(2)配置IPsec策略
Site1(config)#cryipsectransform-settransesp-desesp-md5-hmac
(3)配置cryptomap(第二阶段的策略汇总)
Site1(cfg-crypto-trans)#crymapcry-map10ipsec-isa
%NOTE:
Thisnewcryptomapwillremaindisableduntilapeer
andavalidaccesslisthavebeenconfigured.
Site1(config-crypto-map)#matchaddvpn
Site1(config-crypto-map)#settrans
Site1(config-crypto-map)#settransform-settrans
Site1(config-crypto-map)#setpeer202.1.1.1
Site1(config-crypto-map)#setpfsgroup2
Site1(config-crypto-map)#setsecur
Site1(config-crypto-map)#setsecurity-associationlifetimesec
Site1(config-crypto-map)#setsecurity-associationlifetimeseconds1800
(4)在接口上应用cryptomap
Site1(config)#inte1/0
Site1(config-if)#crymapcry-map
Site1(config-if)#
8.配置asa高级应用—日志管理
1.打开日志功能
Asa_server(config)#loggingenable
Asa_server(config)#loggingbufferedinformational
2.配置asdm日志
Asa_server(config)#loggingenable
Asa_server(config)#loggingasdminformationa
3.配置
Asa_server(config)#loggingenablel
Asa_server(config)#loggingtrapinformational
Asa_server(config)#logginghostinside172.168.110.110
4.2配置核心层的ospf协议
配置理由:
在核心层部分,使用部路由协议可适应大规模的网络;路由变化收敛速度快;无路由自环;支持变长子网掩码;支持等值路由;支持区域划分;提供路由分级管理;支持验证;支持以组播地址发送协议报文。
端口
Ip地址
子网掩码
R1的s0/0
172.16.0.1
255.255.255.192
R1的S0/1
172.16.0.193
255.255.255.192
R2的S0/0
172.16.0.62
255.255.255.192
R2的S0/1
172.16.0.65
255.255.255.192
R3的S0/0
172.16.0.129
255.255.255.192
R3的S0/1
172.16.0.126
255.255.255.192
R3的s0/2
172.16.5.62
255.255.255.192
R4的S0/0
172.16.0.190
255.255.255.192
R4的S0/1
172.16.0.254
255.255.255.192
R5的s0/2
172.16.5.1
255.255.255.192
1.将5个路由器都分别命名为r1,r2,r3,r4,r5(全局下配置,hostnamer1)
2.将各个端口的ip地址配好,并将端口打开
r3(config)#ints0/1
r3(config-if)#ipaddress172.16.0.126255.255.255.192
r3(config-if)#noshut
3.在路由器中,ospf1下,对每个网段进行宣告
r3(config)#routerospf1
r3(config-router)#router-id3.3.3.3(配置路由器的名称)
r3(config-router)#net172.16.0.640.0.0.63area0
r3(config-router)#net172.16.0.1280.0.0.63area0
4.使用shiproute进行查看,路由条目的学习情况
(图中显示,已经学习到各个网段的信息)
5.对r5中的路由进行上述配置(如下图)
图中r5已经学习到routerospf协议的网段宣告信息。
6.对r5进行stub区域的配置
R5#conft
R5(config)#routerospf5
R5(config-router)#area5stub
R5(config-router)#end
将财务部设置成stub区域
7.配置虚链路
R3(config)#routerospf1
R3(config-router)#area1virtual-link3.3.3.3
R3(config-router)#exit
在r3上配置虚链路:
R5(config)#routerospf1
R5(config-router)#area1virtual-link5.5.5.5
R5(config-router)#end
4.3配置路由安全策略
配置理由:
网络管理不可能长时间的接触到路由器设备,而作为核心层的路由器,必须有较高的安全性。
1.配置console口的密码
r(config)#linecon0
r(config-line)#loginlocal
2.配置aux口的密码(用来猫,电信网的)
r(config)#lineaux0
r(config-line)#loginlocal
3.配置远程登录的密码
r(config)#linevty04
r(config-line)#passccie
r(config-line)#login
4.防止查看R的诊断信息
r(config)#noservicetcp-small-servers
5.防止查看路由器当前用户列表
r(config)#noservicefinger
6.关闭cdp(ciscodiscoveryprotocl)服务
r(config)#nocdprunning
7.配置路由器仅允许172.16.0.0源网段的IP数据包经过路由器
R(config)#access-list1permit172.16.0.00.0.255.255
R(config-if)#ipaccess-group1in(在各个端口上都进行该配置)
8.在路由器上配置同步时间NTP
(1)在r1上配置:
Router(config)#noipdomain-lo
Router(config)#linec0
Router(config-line)#exec-t1010
Router(config-line)#loggs
Router(config-line)#end
Router(config)#ints1/1
Router(config-if)#ipadd1.1.1.1255.0.0.0
Router(config-if)#noshu
Router(config)#hosntpserver
(2)各个相邻的路由器上配置
Router(config)#noipdomain-lo
Router(config)#linec0
Router(config-line)#exec-t1010
Router(config-line)#loggs
Router(config-line)#end
Router(config)#ints1/1
Router(config-if)#ipadd1.1.1.2255.0.0.0
Router(config-if)#noshu
Router(config)#ntpclient
ntpclient(config)#ntpserver1.1.1.1
ntpclient(config)#end
4.4AAA服务器的配置
配置理由:
aaa服务器将能够,配上ssh使用,将任何尝试访问路由器和交换机的记录都进行认证和审核
1.ACS的安装和配置前提:
必须要有ACS文件和一个小的java文件
2.在安装的过程中,按照安装的向导进行,一步一步的设置
3.安装完成之后,在桌面上出现ACSAdmin的图标快捷方式
4.双击快捷方式,并在IE浏览器中,更
升级会员 