写在最后
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
需要完整版PDF学习资源私我
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
3、企业内部用户分为研发部员工、市场部员工、生产部员工以及管理者,根据企业内部各个部门的实际业务需求,在出口网关设备上基于用户/部门和应用来制定访问控制策略。
4、为了实现企业内网大量用户通过公网地址访问Internet的目的,要求出口网关设备能够将私网地址转换为公网地址。
5、在网关设备上存储用户和部门的信息,体现公司的组织结构,供策略引用。在服务器区部署AD服务器,为实现基于用户的网络行为控制和网络权限分配提供基础。
6、对公司外的用户提供Web服务器和FTP服务器的访问。
7、企业内部网络面临来自Internet的非法访问、以及各种攻击和入侵行为,要求出口网关设备可以防范各种病毒、蠕虫、木马和僵尸网络攻击,保护公司网络的安全。此外,对公司员工访问的网站进行过滤,禁止所有成人网站和非法网站的访问。
8、要求出口网关设备防范针对企业内部网络的SYN Flood、UDP Flood攻击和畸形报文攻击。
9、要求出口网关设备可以基于应用的流量控制,对大量占用网络带宽的流量(如P2P流量)进行限制,保证关键业务的正常运行。此外,还可以基于不同用户/部门实施差异化的带宽管理。
10、要求出差和家庭办公的研发员工能够安全地使用公司的ERP系统和邮件系统,高级管理者和市场员工能够像在公司内网一样正常办公。
业务规划
1 IP、VLAN
| 部门 / 设备 / 用户 | IP段 | 网关 | Vlan |
|---|---|---|---|
| Market | 10.1.11.0/24~10.1.15.0/24 | 网段内首个可用地址(VRRP) | 11~15 |
| Procure | 10.1.21.0/24~10.1.25.0/24 | 网段内首个可用地址(VRRP) | 21~25 |
| Finance | 10.1.31.0/24~10.1.35.0/24 | 网段内首个可用地址(VRRP) | 31~35 |
| HR | 10.1.41.0/24~10.1.45.0/24 | 网段内首个可用地址(VRRP) | 41~45 |
| Wireless_Public | 10.1.51.0/24~10.1.55.0/24 | 网段内首个可用地址(VRRP) | 51~55 |
| Services | 10.1.60.0/24 | 网段内首个可用地址(VRRP) | 60 |
| Wireless_Guest | 10.1.101.0/24~10.1.105.0/24 | 网段内首个可用地址(VRRP) | 101~105 |
| AC | 10.1.203.0/24 | 网段内首个可用地址(VRRP) | 203 |
| AGG1_to_Core | 10.1.204.0/24 | 网段内首个可用地址(VRRP) | 204 |
| AGG2_to_Core | 10.1.205.0/24 | 网段内首个可用地址(VRRP) | 205 |
| L2tp over IPSec user | 1010.1.2~10.10.1.100/24 | 10.10.1.1(FW_A&B_Virtual-Template 1) | – |
| Export | 1.1.1.0/24、2.2.2.0/24 | 网段内首个可用地址(VRRP) | – |
| 分支机构内网 | 192.168.1.0/24 | 192.168.1.254 | – |
2 VRRP
| 部门 / 用户 | Master | Backup |
|---|---|---|
| Market,Procure,Finance,HR | AGG1 | AGG2 |
| Wireless_Public,Wireless_Guest,AC,Services | Core1 | Core2 |
| Export | FW_A | FW_B |
3 DHCP
| 部门 / 用户 | 网关设备 |
|---|---|
| Market,Procure,Finance,HR | AGG1、AGG2 |
| Wireless_Public,Wireless_Guest | Core1、Core2 |
| L2tp over IPSec user | FW_A&B |
4 MSTP
| Vlan | Stp Instance | Root Device |
|---|---|---|
| 51 to 55,60,101 to 105,203 to 205 | 1 | Core1 |
| 11 to 15,21 to 25,31 to 35,41 to 45 | 2 | AGG1 |
5 防火墙接口与安全区域规划
- 连接ISP1链路的接口GE1/0/1加入区域ISP1。ISP1区域需要新建,优先级设定为15。
- 连接ISP2链路的接口GE1/0/2加入ISP2区域。ISP2区域需要新建,优先级设定为20。
- 用于防火墙双机热备的接口GE1/0/3加入Heart区域。Heart区域需要新建优先级设定为75。
- 连接核心路由器的接口GE1/0/4加入Trust区域。Trust区域是防火墙缺省存在的安全区域,优先级为85。
6 访问限制
- 总部web、FTP服务器为内部以及外部用户提供服务,外部用户需使用8080端口访问web服务器,FTP服务使用默认端口号。
- Finance部门不能访问公司内部服务器,也不能访问Internet
- 总部到分支机构192.168.1.0/24使用IPSec Tunnel访问,并且只允许Market、Procure、HR通过VPN访问分支机构。
- 出差用户可使用L2TP Over IPSec Tunnel访问总部内部10.1.0.0/16。
- 总部无线访客用户不允许访问公司内部服务器。
- 除了Finance部门不能访问Internet外,其他用户都可以访问。
7 NAT规划
| 源地址 | 地址池 |
|---|---|
| 总部、分部内网可访问Internet的网段 | 1.1.1.6 ~ 1.1.1.10、2.2.2.6 ~ 2.2.2.10 |
8 NAT Server
| Source-IP | Source-Port | Global-IP | Global-Port |
|---|---|---|---|
| 10.1.60.100 | 80 | 1.1.1.4(FW_A) | 8080 |
| 10.1.60.101 | 21 | 1.1.1.5(FW_A) | 21 |
| 10.1.60.100 | 80 | 2.2.2.4(FW_B) | 8080 |
| 10.1.60.101 | 21 | 2.2.2.5(FW_B) | 21 |
9 OSPF
| 本端设备 | 对端设备 | 进程号 | 区域 |
|---|---|---|---|
| FW_A、FW_B | Core1、Core2 | 1 | 0 |
| AGG1、AGG2 | Core1、Core2 | 1 | 1 |
配置结果验证
1 AP状态
2 VRRP状态
3 VPN 协商
4 双击热备状态
5 用户IP地址获取
- 无线用户
- 有线用户
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
238
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
