ImageVerifierCode 换一换
格式:DOCX , 页数:60 ,大小:767.69KB ,
资源ID:10880036      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/10880036.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(ambow网络架构方案实验.docx)为本站会员(b****8)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

ambow网络架构方案实验.docx

1、ambow网络架构方案实验项目名称:Ambow网络架构 项目编号:NSXZ2012-G104网络架构方案小组名称:信息学院104班第一小组日期:二一二年五月二十九日一.项目背景1.1 ambow公司概况Ambow公司是一家教育服务公司,为了公司未来发展的需要,IFC(国际金融公司和安博公司共同投资1.2亿美金来成立实训基地和拓展现有的基地,IFC拟筹资约5000万美金.Ambow要求1.采购桌面电脑4000套,服务器100台,2.系统桌面电脑采用微软正版系统,服务器系统企业自行考虑3.网络设备采购根据我方要求企业自行考虑所要达到的目的1.实现企业部网络的互连2.实现网络架构的安全性3.设置企业

2、网各种所需的服务器管理4.实现基地和安博其他分公司的安全的互联1.2 网络工程状况A.公司有一个局域网inside,用于公司的资源共享和信息交流B.网络概有4000台计算机,分别位于不同的vlan下,防止arp病毒广播和广播风暴,提高网络环境的质量C.计算机的操作系统有Windows Server 2003 和Windows XP professional D.员工一人一机办公F.公司部署各种办公服务器,为企业员工提供一个良好的办公环境二.需求分析公司需要构建一个综合的企业网,公司有5个部门:教学部、财务部、IT部、网络部、人事部。公司共分3栋楼,1号,2号,3号,每栋楼直线相距100 米。1

3、号楼:2层,为教学楼,10台电脑,分散分布每层5台。2号楼:3层,为IT部,人事部,20台。其中10台集中在3楼的网络部的设计室中,专设一个机房,其他10台分散分布每层5台。3号楼:2层,为财务部。从网安全考虑,使用VLAN技术将各部门划分到不同的VLAN中;为了提高公司的业务能力和增强企业知名度,将公司的WEB以及FTP、Mail服务发布到互联网上;与分公司可采用分组交换(帧中继)网互联;并从ISP那里申请了一段公网IP。16个有效IPv4地址:218.26.174.112.218.26.174.127,掩码为255.255.255.0(可表示为/28)。其中218.26.174.112和2

4、18.26.174.127为网络地址和广播地址,不可用(考虑路由器需要配置NAT功能了)。21带宽性能需求现代企业网络应具有更高的带宽,更强大的性能,以满足用户日益增长的通信需求。随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化,Web浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP、视频会议等多媒体业务。因此,数据流量将大大增加,尤其是对核心网络的数据交换能力提出了前所未有的要求。另外,随着千兆位端口成本的持续下降,千兆位到桌面的应用会在不久的将来成为企业网的

5、主流。从2004年全球交换机市场分析可以看到,增长最迅速的就是10 Gbps级别机箱式交换机,可见,万兆位的大规模应用已经真正开始。所以,今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准,核心层及骨干层必须具有万兆位级带宽和处理性能,才能构筑一个畅通无阻的高品质企业网,从而适应网络规模扩大,业务量日益增长的需要。2. 2稳定可靠需求现代企业的网络应具有更全面的可靠性设计,以实现网络通信的实时畅通,保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来,网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考

6、虑:1、设备的可靠性设计:不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察。2、业务的可靠性设计:网络设备在故障倒换过程中,是否对业务的正常运行有影响。3、链路的可靠性设计:以太网的链路安全来自于多路径选择,所以在企业网络建设时,要考虑网络设备是否能够提供有效的链路自愈手段,以及快速重路由协议的支持。2.3网络安全需求现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件,以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御,但实践证明这

7、些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,这样才能有效地保证企业网络的稳定运行。2.4应用服务需求现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要。当前的网络已经发展成为以应用为中心的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以

8、及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑以应用为中心的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来。25设备要求根据公司现有设备规模,业务需要及发展围使用的计算机、网络设备主要以联想台式机和CISCO网络产品为主(产品的具体型号将在方案的最后给出):a)服务器需选择中cisco的刀片式。b)核心路由器使用cisco的高端设备c)而交换机使用CISCO中档产品。d)防火墙为硬件+软件结构。e)网络布线主干采用光纤,五类双绞线到桌面(100M)。

9、三.项目规划3.1 拓扑图3.2局域网详细拓扑图:3.3ip以及vlan规划区域VlanVlan接口IPArea 1Vlan11172.16.1.62Vlan12172.16.1.126Vlan13172.16.1.190Area2Vlan21172.16.2.62Vlan22172.16.2.126Vlan23172.16.2.190Area3Vlan31172.16.3.62Vlan32172.16.3.126Vlan33172.16.3.190Area4Vlan41172.16.4.62Vlan42172.16.4.126Vlan43172.16.4.190Area5Vlan51172.

10、16.5.62Vlan52172.16.5.126Vlan53172.16.5.190服务器的ip分配:服务器名称Ip子网掩码Web服务器172.30.1.1255.255.0.0Dns服务器172.30.1.2255.255.0.0ftp服务器172.16.254.1255.255.255.0Dhcp 一服务器172.16.254.250255.255.255.0Dhcp 二服务器172.16.254.251255.255.255.0服务器172.16.254.2255.255.255.03.4 拓扑图分析3.4.1核心层配置的OSPF路由协议,提供高速的数据交换,每个area区域代表每一个

11、部门(每个部门默认在同一栋楼中)3.4.2分布层使用三层交换机,配置各种策略3.4.3接入层使用各自的VLAN进行划分四.项目实施4.1配置ASA防火墙配置理由:防火墙加强inside区域的安全度,可以阻挡60%的恶意攻击,我们选用cisco的asa防火墙,其one to all的特性,使其能够将NAT,firewall,VPN等功能附加一身1.配置ASA的主机名、域名和密码ciscoasa(config)# hostname asa802asa802(config)# domain-name ambow.asa802(config)# enable password asa802asa802

12、(config)# passwd cisco 2.配置接口的区域划分asa802(config)# int e0/1asa802(config-if)# nameif inside asa802(config-if)# security-level 100 asa802(config-if)# ip add172.16.10.254 255.255.255.0asa802(config-if)# no shutdownasa802(config-if)# exitasa802(config)# int e0/0asa802(config-if)# nameif outsideasa802(co

13、nfig-if)# security-level 0asa802(config-if)# ip add 200.1.1.1 255.255.255.0asa802(config-if)# no shutdownasa802(config-if)# exitasa802(config)# int e0/2asa802(config-if)# nameif dmzasa802(config-if)# security-level 50asa802(config-if)# ip add 172.30.255.254 255.255.255.0asa802(config-if)# no shutdow

14、nasa802(config-if)# exit3.配置默认静态路由asa802(config)# route outside 0.0.0.0 0.0.0.0 200.1.1.1(将网和DMZ的IP数据包,都通过该默认的静态路由,全部路由到200.1.1.1的下一跳地址上)4.配置远程管理的接入asa802(config)# telnet 172.16.110.110 255.255.255.0 insideasa802(config)# telnet timeout 105.配置ASA上的NAT服务(一)启用网地址到DMZ和外网的NAT功能asa802(config)# nat-contro

15、l (启用NAT服务)asa802(config)# nat (inside) 1 172.16.0.0 255.255.0.0 (指定入接口为网接口的IP需要进行转换)asa802(config)# global (outside) 1 int (配置出接口为外网接口的ip为全局IP地址)asa802(config)# global (dmz) 1 172.30.255.10-172.30.255.101(配置出接口为dmz接口的IP为172.30.255.10-172.30.255.101地址池中的一个,任意指定)(二)启用外网到dmz区域的NAT功能asa802(config)# nat

16、-control (启用NAT服务)asa802(config)# nat (outside) 1 0 0 (指定入接口为外网接口的IP需要进行转换)asa802(config)# global (dmz) 1 172.30.255.10-172.30.255.101(若出接口为dmz接口,则进行NAT转化,地址围为: 172.30.255.10-172.30.255.101)6.在ASA上配置acl访问控制列表(1)配置拒绝财务部的员工对外网的访问:asa802(config)# access-list in_caiwu_to_out deny ip 172.16.5.0 255.255.2

17、55.0 anyasa802(config)# access-list in_caiwu_to_out permit ip any anyasa802(config)# access-group in_caiwu _to_out in int inside(2)拒绝外网对网的访问:asa802(config)# access-list out_to_in deny ip anyanyasa802(config)# access-list out_to_in permit ip any any asa802(config)# access-group out_to_in in int insid

18、e7.配置IPsec VPN隧道(这里选择GRE over IP sec)配置理由:总公司和分公司之间的互相访问,同时要保证外网对各个网的访问的限制,所以配置一个IPsec VPN隧道。先配置各个端口的ip地址,以及将tunnel口的各种配置进行完成。在配置第一阶段的IKE策略上:(1)Site1(config)#cry isa enSite1(config)#cry isa pol 10Site1(config-isakmp)#encr 3deSite1(config-isakmp)#hash md5Site1(config-isakmp)#auth pre-shaSite1(config-

19、isakmp)#group 2Site1(config-isakmp)#exiSite1(config)#cry isa key 0 121key address 202.1.1.1Site1(config)#在配置第二阶段的IKE策略上:(1)配置感兴趣流:Site1(config)#ip access-list extended vpnSite1(config-ext-nacl)#permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255Site1(config-ext-nacl)#exi(2)配置IPsec策略Site1(config)#cry i

20、psec transform-set trans esp-des esp-md5-hmac(3)配置crypto map(第二阶段的策略汇总)Site1(cfg-crypto-trans)#cry map cry-map 10 ipsec-isa% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.Site1(config-crypto-map)#match add vpnSite1(config-crypto-map)#set tran

21、sSite1(config-crypto-map)#set transform-set transSite1(config-crypto-map)#set peer 202.1.1.1 Site1(config-crypto-map)#set pfs group2Site1(config-crypto-map)#set securSite1(config-crypto-map)#set security-association lifetime secSite1(config-crypto-map)#set security-association lifetime seconds 1800(

22、4)在接口上应用crypto mapSite1(config)#int e1/0Site1(config-if)#cry map cry-mapSite1(config-if)#8.配置asa高级应用日志管理1.打开日志功能Asa_server(config)#logging enableAsa_server (config)#logging buffered informational2.配置asdm日志Asa_server(config)#logging enableAsa_server(config)#logging asdm informationa3.配置Asa_server(con

23、fig)#logging enablelAsa_server(config)#logging trap informationalAsa_server(config)#logging host inside 172.168.110.1104.2配置核心层的ospf协议配置理由:在核心层部分,使用部路由协议可适应大规模的网络;路由变化收敛速度快;无路由自环;支持变长子网掩码;支持等值路由;支持区域划分;提供路由分级管理;支持验证;支持以组播地址发送协议报文。端口Ip地址子网掩码R1的s0/0172.16.0.1255.255.255.192R1的S0/1172.16.0.193255.255.2

24、55.192R2的S0/0172.16.0.62255.255.255.192R2的S0/1172.16.0.65255.255.255.192R3的S0/0172.16.0.129255.255.255.192R3的S0/1172.16.0.126255.255.255.192R3的s0/2172.16.5.62255.255.255.192R4的S0/0172.16.0.190255.255.255.192R4的S0/1172.16.0.254255.255.255.192R5的s0/2172.16.5.1255.255.255.1921.将5个路由器都分别命名为r1,r2,r3,r4,r

25、5(全局下配置,hostname r1)2.将各个端口的ip地址配好,并将端口打开r3(config)#int s0/1r3(config-if)#ip address 172.16.0.126 255.255.255.192r3(config-if)#no shut3.在路由器中,ospf 1下,对每个网段进行宣告r3(config)#router ospf 1r3(config-router)#router-id 3.3.3.3(配置路由器的名称)r3(config-router)#net 172.16.0.64 0.0.0.63 area 0r3(config-router)#net 1

26、72.16.0.128 0.0.0.63 area 04.使用sh ip route进行查看,路由条目的学习情况(图中显示,已经学习到各个网段的信息)5.对r5中的路由进行上述配置(如下图)图中r5已经学习到router ospf协议的网段宣告信息。6.对r5进行stub区域的配置R5#conf tR5 (config)#router ospf 5R5(config-router)#area 5 stub R5 (config-router)#end将财务部设置成stub区域7.配置虚链路R3(config)#router ospf 1R3(config-router)#area 1 virt

27、ual-link 3.3.3.3R3(config-router)#exit在r3上配置虚链路:R5(config)#router ospf 1R5(config-router)#area1 virtual-link 5.5.5.5R5(config-router)#end4.3配置路由安全策略配置理由:网络管理不可能长时间的接触到路由器设备,而作为核心层的路由器,必须有较高的安全性。1.配置console口的密码r(config)#line con 0r(config-line)#login local2.配置aux口的密码(用来猫,电信网的)r(config)#line aux 0r(co

28、nfig-line)#login local3.配置远程登录的密码r(config)#line vty 0 4r(config-line)#pass ccier(config-line)#login4.防止查看R的诊断信息r(config)#no service tcp-small-servers5.防止查看路由器当前用户列表r(config)#no service finger6.关闭cdp(cisco discovery protocl)服务r(config)#no cdp running7.配置路由器仅允许172.16.0.0源网段的IP数据包经过路由器R(config)#access-

29、list 1 permit 172.16.0.0 0.0.255.255R(config-if)#ip access-group 1 in(在各个端口上都进行该配置)8.在路由器上配置同步时间NTP(1)在r1上配置:Router(config)#no ip domain-loRouter(config)#line c 0Router(config-line)#exec-t 10 10Router(config-line)#logg sRouter(config-line)#endRouter(config)#int s1/1Router(config-if)#ip add 1.1.1.1 2

30、55.0.0.0Router(config-if)#no shuRouter(config)#hos ntpserver(2)各个相邻的路由器上配置Router(config)#no ip domain-loRouter(config)#line c 0Router(config-line)#exec-t 10 10Router(config-line)#logg s Router(config-line)#endRouter(config)#int s1/1Router(config-if)#ip add 1.1.1.2 255.0.0.0Router(config-if)#no shuRouter(config)#ntpclientntpclient(config)#ntp server 1.1.1.1ntpclient(config)#end4.4 AAA服务器的配置配置理由:aaa服务器将能够,配上ssh使用,将任何尝试访问路由器和交换机的记录都进行认证和审核1.ACS的安装和配置前提:必须要有ACS文件和一个小的java文件2.在安装的过程中,按照安装的向导进行,一步一步的设置3.安装完成之后,在桌面上出现ACS Admin的图标快捷方式4.双击快捷方式,并在IE浏览器中,更

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1