基于ensp的中大型企业网络安全解决方案的设计与实施

已于 2023-12-29 22:17:26 修改
阅读量5.2k 收藏 118
点赞数 12
分类专栏: 网络规划与设计 文章标签: web安全 网络 安全
于 2023-08-30 19:39:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59193722/article/details/132589151
版权
该博客围绕公司网络展开,根据公司部门及业务需求,进行地址规划。详细阐述配置过程,包括接入层、核心层、网络出口等实现,还涉及路由协议、双机热备及内网安全配置。最后对DHCP、VRRP等进行测试,确保网络正常运行及数据安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、需求背景

       公司部门具体背景:公司共设有人事部、财务部、销售部、市场部四个部门以及一个员工宿舍楼,公司有对外互联网业务需要提供。公司内存在重要部门需要保护数据安全以及访问控制。

(1)根据客户需求、部门、拓扑,划分vlan及子网

(2)使用合理的路由协议规划

(3)私网用户访问公网

(4)核心层冗余和负载均衡,通过在三层交换机上部署MSTP和VRRP使办公区、公寓楼流量分开实现冗余和负载均衡。

(5)隔离内网与公网

(6)防火墙双机热备,双出口保证可靠性

二、地址规划

总公司地址规划

部门

地址空间

所属vlan

网关

财务部

10.0.10.0/24

Vlan10

10.0.10.254/24

销售部

10.0.20.0/24

Vlan20

10.0.20.254/24

人事部

10.0.30.0/24

Vlan30

10.0.30.254/24

市场部

10.0.40.0/24

Vlan40

10.0.40.254/24

员工宿舍

10.0.50.0/24

Vlan50

10.0.50.254/24

内部服务器

10.0.100.0/24

Vlan100

10.0.100.254/24

拓扑如下:

三、配置过程

1、接入层实现

 对于接入层根据规划,分别设置为vlan10、vlan20、vlan30、vlan40、vlan50,

接入用户的端口加入相关VLAN,上行端口打通trunk口允许相关vlan通过。分公司接入层同理。另在接入层交换机上配置MSTP多实例生成树,将相关vlan加入不同的实例。

stp region-configuration    //进入MSTP模式

region-name huawei       //配置域名为huawei

instance 1 vlan 10 20       //将vlan10,vlan20加入实例1中

instance 2 vlan 30 40         //将vlan30,vlan40加入实例2中

active region-configuration  //激活配置

2、核心层实现

(1)DHCP实现

核心交换机上部署DHCP

配置DHCP:

dhcp enable          //打开DHCP功能

ip pool vlan10       //创建 IP 地址池取名为vlan10

network 10.0.10.0 mask 255.255.255.0   //配置地址池网段

gateway-list 10.0.10.1           //配置该地址池地址的网关地址

excluded-ip-address 10.0.10.2  10.0.10.3  //配置排除地址         

dhcp select global       //定义dhcp为全局模式

(2)MSTP+VRRP:

stp instance 1 root primary     //指定本交换机为主根桥

stp instance 2 root secondary   //指定本交换机为备份根桥

2)VRRP关键代码,其他网关配置同理:

interface Vlanif10

ip address 10.0.10.2 255.255.255.0

//创建VRRP备份组10,并配置VRRP备份组的虚拟IP地址10.0.10.1

vrrp vrid 10 virtual-ip 10.0.10.1

//设置交换机A在VRRP备份组10中的优先级为120,高于交换机B的优先级100

vrrp vrid 10 priority 120

(3)链路聚合

在两个核心交换机间设置链路聚合,关键代码如下:

interface eth-trunk 1     //创建ID为1的Eth-Trunk接口

mode lacp      //配置链路聚合模式为LACP模式

interface g0/0/6

eth-trunk 1          //将接口加入Eth-Trunk 1

//设置接口链路类型为trunk

interface eth-trunk 1

port link-type trunk   

3、网络出口实现

(1)部署NAT:

NAT关键代码如下:

//创建内网需要上网的源地址到外网的安全策略:

security-policy

rule name nat

source-zone trust

destination-zone untrust

action permit

//创建需要上网的源地址的安全NAT策略:

nat-policy

 rule name nat

  source-zone trust

  destination-zone untrust

  action source-nat easy-ip

4、路由协议实现

核心交换机通过双上行与出口设备相连,通过三层OSPF路由技术

//此配置 其他设备 均相同 宣告各自直连网段即可

[Core-A-ospf-1]area 0

[Core-A-ospf-1-area-0.0.0.0]network 10.0.0.0 0.255.255.255

5、双机热备功能实现

# 在FW上配置VGMP组监控上下行业务接口。

[FW_A] hrp track interface GigabitEthernet 1/0/0

[FW_A] hrp track interface GigabitEthernet 1/0/1

[FW_A] hrp adjust ospf-cost enable  //根据VGMP状态调整OSPF Cost值功能

# 在FW上指定心跳口并启用双机热备功能。

[FW_A] hrp interface GigabitEthernet 0/0/6 remote 10.10.10.1

[FW_A] hrp enable

[FW_B] hrp standby-device

[FW_B] hrp enable

6、内网安全配置

访问控制,拒绝访问财务部

[SW-A]acl 3000

[SW-A-acl-adv-3000]description  deny_cw

[SW-A-acl-adv-3000]rule  deny  ip source  10.0.0.0 0.0.255.255 destination  10.0.10.0 0.0.0.255   //拒绝其他网络访问财务

[SW-A]traffic-filter inbound  acl 3000  //全局调用

DHCP的安全控制 ,配置上行接口为信任dhcp报文,即只能从上行接口收到DHCP应答报文才是正常行为。

interface Ethernet0/0/1

dhcp snooping enable

 dhcp snooping trusted

#

return

[SW1-Ethernet0/0/1]int e0/0/2

[SW1-Ethernet0/0/2] dhcp snooping enable

[SW1-Ethernet0/0/2] dhcp snooping trusted

开启财务部门的接入安全配置:

[SW1-Ethernet0/0/3]port-security enable   //开启接口安全

[SW1-Ethernet0/0/3]port-security protect-action shutdown //触发安全保护 动作为 关闭端口

[SW1-Ethernet0/0/3]port-security max-mac-num 1  //一个端口最大允许一个用户接入

防火墙出口安全配置

配置DDOS攻击检查

配置安全策略 绑定反病毒、APT等安全配置

四、测试

1.DHCP测试

各部门均正常获取地址

2、VRRP测试

VRRP 状态正常工作

3.路由及用户互联网访问测试

4、防火墙双机热备测试

处于主备状态-状态正常

5.访问内部服务器测试以及外部访问

公网访问:

内网的访问控制:不允许访问财务  其他正常访问

网络系统安全综合解决方案
hem的专栏
06-07 3230
网络系统安全综合解决方案网络系统的安全威胁系统安全性局域网安全解决方案广域网安全解决方案  网络系统的安全威胁 由于大型网络系统内运行多种网络协议(TCP/IP,IPX/SPX,NETBEUA),而这些网络协议并非专为安全通讯而设计。所以,网络系统可能存在的安全威胁来自以下方面:★操作系统的安全性。 目前流行的许多操作系统均存在网络安全漏洞,如UNIX服
基于eNSP的小型企业网络设计
Fufusec的博客
12-20 3438
计算机网络课程设计
基于eNSP加防火墙的千人中型校园/企业网络规划设计(附所有配置命令)
06-04
文件中包含了基于eNSP加防火墙的千人中型校园/企业网络规划设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(三层架构,核心层、汇聚层、计入层),并加所有的配置命令(以txt形式在文件中),文件在加入了相应的配套文章连接。文章中的综合运用设计技术的单个技术如vlan划分、静态路由、OSPF、单臂路由(trunk/access)、DHCP、无线WLAN、Snooping、MSTP、VRRP、防火墙、DNS server、ACL等。该topo适合了解并熟知单个组网技术的小伙伴,并想学习将单个技术组合应用的小伙伴,使用场景适用于毕业设计、校园网络规划、企业网络规划等场合
基于ensp的中大型企业网络安全解决方案设计实施_ensp中大型企业方案
m0_62289824的博客
04-12 2115
公司部门具体背景:公司共设有人事部、财务部、销售部、市场部四个部门以及一个员工宿舍楼,公司有对外互联网业务需要提供。公司内存在重要部门需要保护数据安全以及访问控制。(1)根据客户需求、部门、拓扑,划分vlan及子网(2)使用合理的路由协议规划(3)私网用户访问公网(4)核心层冗余和负载均衡,通过在三层交换机上部署MSTP和VRRP使办公区、公寓楼流量分开实现冗余和负载均衡。(5)隔离内网公网(6)防火墙双机热备,双出口保证可靠性。
基于eNSP中大型校园企业网络规划设计
m0_73990724的博客
10-12 4032
该场景适用于基于IPsec技术毕业设计、校园网络规划、企业网络规划和园区网络规划等场合。
基于eNSP的简单企业网络规划设计
05-24
目 录 摘要 1 1 需求分析 2 1.1 项目背景 2 1.2 项目需求 2 1.3 设计目标 2 2 拓扑结构设计 3 2.1 整体概况 3 2.2 接入层 4 2.3 汇聚层 4 2.4 核心层 5 3 IP地址及端口规划设计 5 3.1 网络设备选型 5 3.2 部门IP地址规划 6 3.3 端口划分及配置 6 4 关键技术及配置 8 4.1 VLAN技术 8 4.1.1 技术介绍 8 4.1.2 技术配置 8 4.2 MSTP技术 10 4.2.1 技术介绍 10 4.2.2 技术配置 10 4.3 VRRP技术 11 4.3.1 技术介绍 11 4.3.2 技术配置 11 4.4 无线接入技术 12 4.4.1 技术介绍 12 4.4.1 技术配置 12 4.5 DHCP技术及配置 13 4.5.1 技术介绍 13 4.5.2 技术配置 13 4.6 NAT技术 14 4.6.1 技术介绍 14 4.6.2 技术配置 15 4.7 ACL技术 15 4.7.1 技术介绍 15 4.7.2 技术配置 16 5 系统连通性测试 16 6 结论 23 参考文献 24
网络工程设计实验之基于ensp的大型企业网络规划
征途是星辰大海
03-11 1万+
网络工程毕业设计之基于ensp的大型企业网络规划
基于eNSP的千人中型校园/企业网络设计规划(可以自己按步骤实现)
热门推荐
m0_46179473的博客
12-23 13万+
基于eNSP的千人校园/企业网络设计规划,运用的管家技术如DHCP、SVIP、OSPF、RIP、NAT、Telnet、ACL、SNMP等关键技术,但是在本综合实验中简单网络管理协议SNMP就没有配置了
ensp模拟项目:小型网络规划设计实施
w201108的博客
05-26 3427
(1)公司有4个部分,人力部,研发部,财务部,市场部每个部门有100台办公电脑需要接入公司办公网络,接入带宽不低于100M。请同学自行规划接入层设备【注意设备型号和数量要满足接入需求,同时要考虑可靠性和可扩展性,需要适当的端口冗余和链路冗余】。(3)公司有一台服务器,服务器直接接入核心交换机,配置了DNS、FTP、HTTP服务,内网和外网都可以访问HTTP服务,FTP只供研发部的员工访问。(2)公司有2台S5700用做核心交换设备,为增强网络可靠性和核心链路带宽,需要配置eth-trunk。
基于华为ensp企业网络规划(新版)
m0_48609250的博客
03-19 6405
假设某大型公司总部在北京、在重庆设置分部,总部和分部均有研发部、市场部、财务部等部门,现在要求进行网络规划设计,实现分部和总部能够进行网络连通。为了保证数据安全,在总部和分部之间可否考虑采用VPN等技术,还有是否有VxLAN、DNS。
企业网络安全规划设计
05-12
企业网络安全已成为当今值得关注的问题,它的重要性是不言而喻的,对于大多数网络黑客来说,成功地入侵一个企业特别是著名企业网络系统,具有证明和炫耀其能耐的价值,尽管这种行为的初衷也许并不具有恶意的目的;窃取企业网络数据,甚至破坏其网络系统,更加具有现实和长远的商业价值。因此,如何保障企业网络安全变得重要起来。 网络安全性包括信息安全性,网络本身的安全性,保证系统的安全性。要从管理和技术角度制定不同的安全策略。安全设备的技术性能和功能,必须满足行业系统管理体制的要求,即能基于网络实现安全管理,具有接受网络信息安全管理机构管理的能力,还要不影响原网络拓扑结构。
中小型企业园区网络建设的部署实现.doc
11-07
随着现代科学技术的发展,人类生活已和网络息息相关。现代企业的发展更离不开网络企业园区网络是个复杂而且庞大的系统,它不仅为企业提供了综合管理、办公自动化,多媒体办公等一系列应用的平台,而且能使企业外界更便捷的进行信息交互,使企业内部可以及时的进行信息共享。广通汽车制造有限公司是一个中型的办公加制造的企业,不同的任务作为一个整体有要对各种数据信息进行交流整合,因此公司的信息化是对于通信的保证,企业园区网使网络的建设必须具有安全性、可用性、实用性、可靠性等性能。 本文简述了对广通汽车制造有限公司企业园区网络建设的指导思想以及对应相关的网络技术该选用的网络设备,在总体的网络架构上,采用经典的三层网络结构,使在地域上分开的部分可以通过核心层相连接,本次方案采用了链路冗余和设备冗余的双冗余备份,同时采用了ACL、身份验证等技术对网络安全性进行保障,并采用了各种网络协议防止网络产生环路,保证数据的安全可靠的传输
华为ensp模拟企业网络规划设计.zip
08-06
华为ensp模拟企业网络规划设计.zip
中小型企业网络规划设计方案(完整版)
01-12
目录 第1章 需求分析 4 1.1 实施背景 4 1.2 网络应用需求 4 1.3 网络性能需求 6 1.4 信息点统计 6 第2章 网络总体设计 7 2.1 网络设计总体要求 7 2.1布线的设计 8 2.2 楼宇间互连的介质选择 9 2.3 主干网带宽的考虑 9 2.4 客户机的带宽分析 10 2.5网络三层结构设计 12 2.5.1核心交换机设备选型 13 2.5.2接入层交换机备选型 14 2.5.3 路由器设备选型 15 2.5.4无线路由器设备选型 16 第3章网络设备配置清单 17 3.1 PC配置 17 3.2路由器配置 19 3.3交换机配置 20 4.项目总结 21 4.1本项目运行情况 21 4.2项目不足 22
ensp网络工程毕业设计—基于eNSP的无线校园网设计模拟仿真
数维网络的博客
10-29 4857
在高速发展的同时无线局域网所存在的一些问题也是难以忽视的,早期的无线网组网方式大部分是自治式组网,这样的组网方式难以管理而且不易扩展,可能会后期的维护工作带来更多的问题。直连式组网:在这种组网方式之中无线控制器以及汇聚交换机的功能都是由无线控制器同时具备,无线接入点的数据业务和管理业务都是经由无线控制器来进行集中的转发和处理,若要采用直连式组网对于无线控制器的数据吞吐量要求还有对数据的处理能力的要求都是比较严苛的,如果无线控制器达不到要求那么它就会反过来成为限制无线网络带宽的一个设备。
XX 公司网络信息系统的安全方案设计
网络技术联盟站
07-22 8966
XX 公司网络安全隐患需求分析 1.1 网络现状 公司现有计算机500余台,通过内部网相互连接外网互联。在内部网络中,各服务部门计算机在同一网段,通过交换机连接。如下图所示: 1.2 安全隐患分析 1.2.1应用系统的安全隐患 应用系统的安全跟具体的应用有关,它涉及面广。 应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性, 它包括很多方面。应用的安全性也是动态的。需要对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全
ensp中小型企业网络规划设计
最新发布
02-09
### 使用 ENSP 进行小型企业网络规划设计 #### 一、概述 在现代信息技术环境下,对于小型企业网络建设来说,前期的规划和设计至关重要。利用ENSP(Enterprise Network Simulation Platform),工程师能够在虚拟环境中构建并测试网络架构,确保最终设计方案的有效性和可靠性[^1]。 #### 二、需求分析 针对具体的小型企业场景,首先要明确业务目标和技术要求,比如办公自动化(OA)系统的接入、视频会议的支持能力以及远程分支机构间的互联互通等特性。这些都将影响到后续物理连接方式的选择、设备选型及安全策略制定等方面的工作。 #### 三、拓扑结构设计 基于上述需求,在ENSP内创建相应的逻辑图来表示各个节点之间的关系。通常情况下会采用星形或树状布局模式,其中心位置放置核心交换机/路由器负责整个局域网的数据转发;而外围则分布着不同功能区(如服务器房、员工工作区)所对应的接入层设备。通过这种方式不仅便于管理和维护,同时也提高了整体性能表现。 #### 四、IP地址分配方案 合理规划内部使用的私有IP段,并按照部门划分子网范围,这样有助于简化路由表项的同时也增强了安全性控制力度。例如可为财务部指定特定区间内的静态IP地址用于重要资产保护;而对于普通PC终端,则可通过DHCP服务动态获取临时性的通信标识符。 #### 五、配置实施步骤 完成初步框架搭建之后便进入到具体的参数设定环节: - **接口基础设置**:定义各端口所属VLAN ID及其访问权限; - **路由协议选择**:根据规模大小决定是否启用OSPF/RIPv2之类的动态寻径机制以便于跨区域间高效传输信息流; - **网络安全措施**:部署防火墙规则过滤非法入侵企图,开启ACL列表限制不必要的外部请求进入敏感部位。 - **服务质量(QoS)**保障:调整带宽优先级顺序满足实时应用的需求,像VoIP电话通话质量就依赖于此种精细化管理手段得以保证良好体验感。 ```shell # 配置DeviceC上的缺省路由指向下一跳地址1.1.4.5 ip route-static 0.0.0.0 0.0.0.0 1.1.4.5 ``` 以上操作均可以在ENSP模拟器里反复试验直至达到预期效果为止[^3]。 #### 六、自动化测试流程 为了进一步提升工作效率,建议编写Python或其他编程语言编写的脚本来批量执行Trunk命令或者其他必要的初始化指令集,以此实现快速迭代更新现有版本中的各项属性值而不必手动重复劳动多次。这种方法特别适合用来对比多种可能存在的解决方案优劣之处,进而挑选最优者付诸实践当中去[^2]。 ---
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络设计ensp

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值