TLER6520G某企业网络配置实例.docx

1、TLER6520G某企业网络配置实例TL-ER6520G某企业网络配置实例某企业需要对其现有的网络进展重新规那么和布置，组建一个平安、稳定、高效的办公网络环境，企业的详细需求方案如下：1. 企业从电信、联通各办理30M的光纤宽带，联通线路的宽带接入方式为PPPoE拨号，电信线路的宽带接入方式为静态IP地址；要现电信走电信，联通走联通，网所有电脑从电信线路访问外网的8080端口；2. 企业部有研发、市场、人事三个部门，研发部又分为软件、硬件、测试三个小部门；企业为信息平安考虑，要求各部门使用不同的网段，并且不允许相互访问；市场部、人事部可全天候访问外网，研发部只能在非工作时间访问外网；企业有两个

2、效劳器群，效劳器群1位于广域网区DMZ区，对广域网、市场部、人事部全天候开放；效劳器群2位于工作区，仅对企业部员工开放；企业要求需要防来自企业部的ARP欺骗、DOS等常见攻击，并制止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。3. 为方便各地办事处、分公司平安的将业务数据实时传输到总部效劳器，各地办事处、分公司需要与总部建立站点到站点的VPN隧道；为方便出差员工平安的访问总部效劳器，需要建立PC到站点模式的VPN隧道；4. 为合理利用带宽资源，要求对各个部门所使用的带宽进展限制；5. 企业效劳器群1上有两台WEB效劳器80端口，要现访问不同WAN口映射到不同效劳器；6. 企业

3、需要经常性的给部员工发布公告信息；需要对网络流量进展实时监控，监控效劳器需要对企业部访问外网的数据进展监控和备份。需求分析现对该组网方案需求做分析和规划：1. 根据该组网方案需求，企业部可划分为7个区段，分别是电信宽带区段、联通宽带区段、效劳器群1区段、效劳器群2区段、市场部门区段、人事部门区段、研发部门区段，对应的区段名称分别为ISP-Tele、ISP-Uni、DMZ、Server、Marketing、Personnel、RD；2. 企业部划分为7个网段，通过VLAN实现隔离，分别是DMZ区段网段为192.168.10.0/24，Server区段网段为192.168.20.0/24，Mark

4、eting区段网段为192.168.30.0/24，Personnel区段网段为192.168.40.0/24，RD区段有3个网段：研发软件部门网段为192.168.50.0/24，研发硬件部门网段为192.168.60.0/24，研发测试部门网段为192.168.70.0/24；3. 通过访问策略实现区段之间、区段各网段之间的访问权限；4. 通过流量均衡实现电信走电信、联通走联通以及网所有电脑从电信线路访问外网的8080端口；5. 通过ARP防护实现防企业部的ARP欺骗；通过攻击防护实现防DOS等常见攻击；6. 通过应用限制实现制止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件

5、；7. 各地办事处、分公司与总部之间站点到站点的VPN通过建立IPSec隧道实现，出差员工使用PC到站点的VPN通过开启PPTP/L2TP效劳实现；8. 通过带宽控制实现合理利用带宽资源；9. 通过虚拟效劳器实现访问不同WAN口映射到不同效劳器；10. 通过端口电子公告实现经常性的给部员工发布公告信息；11. 通过开启流量统计实现对网络流量进展实时监控；12. 通过端口监控实现监控效劳器需要对企业部访问外网的数据进展监控和备份。配置前的准备工作2.1 VLAN设置VLAN可将网络逻辑地分割成数个不同的播送域，实现数据包只在VLAN转发。TL-ER6520G路由器支持Access、Trunk、H

6、ybrid三种端口的链路类型。根据前面的需求分析，我们做如下规划：端口1用来连接电信宽带，端口2用来连接联通宽带线路，端口3用来连接效劳器群2、市场部、人事部、研发部，端口4用来连接效劳器群1。端口3需要处理多个VLAN的数据，且核心层交换机需要通过数据包中的VLAN TAG来转发数据包，端口3需要设置为trunk；端口1、2、4、5只需要处理一个VLAN的数据，那么端口链路类型配置为access。2.1.1 配置物理端口链路类型根据前面的分析配置端口链路类型根本设置 VLAN设置 端口设置2.1.2 给物理端口创立VLAN依次创立VLAN 2/3/4/5/6/7/8/9/10，其中VLAN

7、2的端口成员为端口1，对应电信宽带线路；VLAN 的端口成员为端口2，对应联通宽带线路；VLAN 4的端口成员为端口4，对应公网效劳器群；VLAN 5/6/7/8/9/10的端口成员为端口3，分别对应网效劳器群、市场部门、人事部门、测试部门、软件部门、硬件部门。根本设置 VLAN设置 VLAN设置设置完成后，在 根本设置 VLAN设置 关联表 中可查看配置结果。2.2 区段和接口设置企业部划分为7个区段，分别是电信宽带区段、联通宽带区段、效劳器群1区段、效劳器群2区段、市场部门区段、人事部门区段、研发部门区段配置区段。添加区段ISP-Tele、ISP-Uni、DMZ、Server、Market

8、ing、Personnel、RD，分别对应电信宽带区段、联通宽带区段、效劳器群1区段、效劳器群2区段、市场部门区段、人事部门区段、研发部门区段。2.2.1 给各区段配置接口1. 配置区段ISP-Tele电信线路的宽带接入方式为静态IP地址，那么在区段ISP-Tele中添加接口类型eth。给接口eth配置电信提供的网络参数和上下行带宽等。2. 配置区段ISP-Uni联通线路的宽带接入方式为PPPoE，那么先在区段ISP-Uni中添加eth接口，再添加pppoe接口Link到eth接口。给pppoe接口添加宽带账号、密码，上下行带宽等。在区段ISP-Uni添加eth接口添加PPPoE接口，并将et

9、h接口Link到eth接口3. 配置区段DMZ区段DMZ即效劳器群1区段，网段为192.168.10.0/24。添加接口类型eth，手动给该接口配置IP地址。4. 配置区段Server区段Server即效劳器群2区段，网段为192.168.20.0/24。添加接口类型eth，手动给该接口配置IP地址。5. 配置区段Marketing区段Marketing即市场部门区段，网段为192.168.30.0/24。添加接口类型eth，手动给该接口配置IP地址。6. 配置区段Personnel区段Personnel即人事部门区段，网段为192.168.40.0/24。添加接口类型eth，手动给该接口配置

10、IP地址。7. 配置区段RD区段RD即研发部门区段，有3个小部门，软件部门网段为192.168.50.0/24、硬件部门网段为192.168.60.0/24、测试部门网段为192.168.70.0/24。添加3个eth接口，并分别手动配置其IP地址。添加接口类型eth，手动给该接口配置软件部门的IP地址添加接口类型eth，手动给该接口配置硬件部门的IP地址添加接口类型eth，手动给该接口配置测试部门的IP地址2.3 全局对象设置通过对整个组网方案的规划，我们已经十分清楚在整个配置过程中需要用到的全局变量，接下来我们通过地址管理、时间管理、IP地址池、效劳类型对这些变量进展配置。2.3.1 配置

11、地址管理在后续的网络权限配置中，会涉及到针对市场部门、人事部门、软件部门、硬件部门、测试部门网段的规那么设置。#添加组名Marketing、Personnel、RD_Software、RD_Hardware、RD_Testing对象管理 地址管理 地址组#添加地址段Marketing_ip 对应地址 192.168.30.1-192.168.30.254Personnel_ip 对应地址 192.168.40.1-192.168.40.254RD_Software_ip 对应地址 192.168.50.1-192.168.50.254RD_Hardware_ip 对应地址 192.168.60

12、.1-192.168.60.254RD_Testing_ip 对应地址 192.168.70.1-192.168.70.254对象管理 地址管理 地址添加完成，地址列表显示如下#视图设置组Marketing包含地址Marketing_ip组Personnel包含地址Personnel_ip组RD_Software包含地址RD_Software_ip组RD_Hardware包含地址RD_Hardware_ip组RD_Testing包含地址RD_Testing_ip2.3.2 配置时间管理在后续的网络权限和电子公告功能配置中，需要使用到上班时间和元旦放假时间通知时间这两个时间配置项，下面我们就逐一

13、配置这两个时间全局参数。1)添加上班时间段的时间管理上班时间指的是每周一到周五的上午8:3011:50和下午的13:2018:00，先添加工作日历包含全年的每周一到周五，再添加工作时间8:3011:50和13:2018:00，最后将工作日历和工作时间进展组合。#添加工作日历#添加工作时间#添加时间管理2)添加元旦放假时间通知时间管理元旦放假时间通知时间指的是元旦放假前一周的周一到周五的8:3011:50和13:2018:00。#添加工作日历# 添加时间管理注:这里的工作时间直接引用上班时间的工作时间。2.3.3 配置IP地址池在后续给出差员工配置PC到站点的PPTP/L2TP VPN时，会涉及

14、到PPTP/L2TP VPN隧道地址池的添加。对象管理 IP地址池2.3.4 配置效劳类型在后续配置网所有电脑从电信线路访问外网的8080端口时需要使用到目的端口为8080的效劳类型。添加效劳器类型，目的端口为8080的TCP/UDP协议。对象管理 IP地址池配置成NAT路由器现在为保证部网段市场部门、人事部门、软件部门、硬件部门、测试部门、效劳器群1可通过电信、联通的两条宽带线路正常上网，需要将TL-ER6520G配置成具备NAPT功能的路由器。因为对于每个网段来说都有两个出口，即电信和联通，所以对于每个网段来说，都需要配置两条NAPT规那么。传输控制 NAT设置 NAPT网络权限及网络平安

15、我们现在将需求分析中涉及企业部网络权限和网络平安的容进展罗列：1. 各部门使用不同网段，不允许相互访问；2. 市场部门、人事部门可全天候访问外网，研发部门只能在非工作时间访问外网；3. 效劳器群1对广域网、市场部门、人事部门全天候开放，对研发部门只在非工作时间开放；4. 效劳器群2对企业部员工完全开放；5. 需要防来自企业部的ARP欺骗、DOS等常见攻击；6. 制止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。4.1 配置访问规那么TL-ER6520G默认是允许所有区段的所有接口直接通信，为实现上述的需求，我们需要在访问规那么中的区段间访问规那么和区段访问规那么中配置相应的策略实现。4.1.1 区段间访问规那么我们已经在路由器中定义了7个区段，现在我们逐一实现涉及区段之间的访问规那么。#实现1：研发部、市场部、人事部三个部门之间不允许相互访问平安管理 访问策略 区段间访问规那么选择相应的显示区段，即MarketingPersonn