企业工业网络搭建

最新推荐文章于 2024-04-02 06:18:00 发布
最新推荐文章于 2024-04-02 06:18:00 发布
阅读量2.7k 收藏 11
点赞数 1
分类专栏: 思科 文章标签: 服务器 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48985780/article/details/121247404
版权

企业工业网络搭建以及配置 

网络拓扑图:

局域网分配:

IP地址段确认

生产网络:192.168.1.0/24

边端网络:192.168.2.0/24

维护网络:192.168.3.0/24

服务区:  192.168.8.0/24

生产网络:

设备名

设备信息

数量

备注

IP地址

路由器

Cisco IOL

1台

交换机

主机

Linux_7

1台

服务器

192.168.1.100

边缘网络:

设备名

设备信息

数量

备注

IP地址

交换机

Cisco IOL

1台

交换机

主机

linux_8

1台

服务器

192.168.2.100

维护网络:

设备名

设备信息

数量

备注

IP地址

交换机

Cisco IOL

1台

交换机

主机

Linux_9

1台

服务器

192.168.3.100

边缘端网络配置:

云端网络配置:

          

模拟典型工业网络安全情景,对网络进行优化配置,封堵网络漏洞,提高安全性能,并搭建的网络进行测试形成当前网络性能与安全性能分析报告。为了更好的维护网络安全,对于各个网络有以下要求:

交换机配置

生产网络:

允许icmp回包:access-list ProduACL permit icmp any any echo-reply // 允许icmp回包

不可以访问维护网络

命令:

access-list ProduACL deny ip any 192.168.3.0 255.255.255.0 // 不允许访问维护

不可以访问边端网络

命令:

access-list ProduACL deny ip any 192.168.2.0 255.255.255.0 // 不允许访问边端

所以加入到端口:

access-group ProduACL in interface Produ

端网络:

允许icmp回包:access-list BrinkACL permit icmp any any echo-reply // 允许icmp回包

可以通过ping访问生产网络

命令:

access-list BrinkACL permit icmp any 192.168.1.0 255.255.255.0 // ICMP

可以通过OPC UA访问生产网络

命令:

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1840

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1845 // OPC UA

可以通过机器人通信协议(TCPIP, UR机器人)访问生产网络

命令:

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 22 //机器人通信协议(TCPIP, UR机器人)访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 502 //机器人通信协议(TCPIP, UR机器人)访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 29999 //机器人通信协议(TCPIP, UR机器人)访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30001 //机器人通信协议(TCPIP, UR机器人)访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30002 //机器人通信协议(TCPIP, UR机器人)访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30003 // UR

可以通过PLC通讯协议(S7协议)访问生产网络

命令:

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 102 // S7

可以通过数控通讯协议(NC-Link)访问生产网络

命令:

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1883 // NC-Link

 

边端网络不可以通过ping、OPC UA、TCPIP、S7、数控通讯协议之外的协议访问生产网络

// 边端本身安全等级低于生产 第6条不用配置

可以通过ping 访问维护网络

命令:

access-list BrinkACL permit icmp any 192.168.3.0 255.255.255.0 // ping 维护网络

所以加入到端口:

access-group BrinkACL in interface Brink

可以通过ping 访问生产网络

命令:

access-list TestACL permit icmp any any echo-reply // 允许icmp回包

access-list TestACL permit icmp any 192.168.1.0 255.255.255.0 // ping 生产网络

可以通过https 访问生产网络

命令:

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 443 //https 访问生产网络

可以通过http 访问生产网络

命令:

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 80 //http 访问生产网络

可以通过OPC UA 访问生产网络

命令:

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 22 //OPC UA 访问生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1840 //OPC UA 访问生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1845 //OPC UA 访问生产网络

可以通过机器人通信协议(TCPIP)访问生产网络

命令:

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 502 //机器人通信协议(TCPIP)访问生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 29999  //机器人通信协议(TCPIP)访问生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30001  //机器人通信协议生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30002  //机器人通信协议生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30003  //机器人通信协议生产网络

可以通过数控通讯协议访问生产网络

命令:

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1883 //数控通讯协议访问生产网络

可以通过PLC通讯协议(S7协议)访问生产网络

命令:

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 102 //PLC通讯协议(S7协议)访问生产网络

不可以使用除了http、https、ping、OPC UA、S7、数控通讯协议之外的协议访问生产网络

// 维护网络本身安全等级低于生产 第8条不用配置

可以通过ping 访问边端网络

命令:

access-list TestACL permit icmp any 192.168.2.0 255.255.255.0  //ping边端网络

可以通过https 访问边端网络

命令:

access-list TestACL permit tcp any 192.168.2.0 255.255.255.0 eq 443  //https 访问边端网络

防火墙配置:

管理网页仅可以在维护网络打开

修改默认账户的密码为@2021password

 导出防火墙的配置文件

xzhome
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
企业子网划分详解
悦分享
12-05 989
IP协议是TCP/IP协议族的基石,它为上层提供无状态、无连接、不可靠的服务,也是Socket网络编程的基础之一。IP协议特点:IP地址就是一个唯一标识,是一段网络编码(计算机只读的懂0和1这样的二进制),我们的IP地址就是由32个0和1的组合而成,十进制的IP地址值也称为点分十进制。IP地址(4个字节,32bit)。IP地址形式:X.X.X.X X的范围:0-255。正确:10.1.1.1 、192.168.1.1。错误:300.1.1.1。IP地址由两部分组成: 第一部分:网络位。第二部分:主机位。网络
一大型工厂网络规划方案
weixin_33802505的博客
05-07 2629
某大型电子厂网络规划设计 概要 本设计是以计算机网络技术为基本理论基础,设计目标是实现核心网络交换实现负载均衡、互为备份、冗余等功能,设计的原则是先规划好物理架构,逐步更改线路,增加设备,此为设计的第一步位。本设计从网络设计的方法论角度出发,通过对原规划图进行修改以推导出新的网络规划满足现有的网络需求的标准化模式,对保障网络运行的同时,提供风险保障! ...
企业网络服务器规划与管理..doc
06-07
"班 级 "13网络一 "学生姓名 "许富翔 "指导教师 "员志超 " " "班 " " " " " "设计(论文)题目 " 企业网络服务器的规划与管理 " "主要 "用户的需求 " "研究 "系统结构设计 " "内容 "系统的组成和安装 " " "企业网系统介绍 " " "系统集群等技术实现 " "主要技 "系统的容错和负载均衡 " "术指标 "网络操作系统的安装和设置,DNS,IIS和DHCP,VPN,FTP,Web等 " "或研究 "服务的设置 " "目标 "网络操作系统结构设计 " " "企业网络服务器的配置 " "基本 "局域网服务器包括:DNS服务器、DHCP服务器、Web服务器、FT" "要求 "P服务器、VPN服务器、邮件服务等。 " " "网络中的服务器必须具有容错和负载均衡能力。 " " "网络操作系统的选择:在Windows " " "Server、UNIX、Linux、等网络操作系统中任意选择。 " " "利用网络操作系统自带的防火墙或ISA等软件技术,构建网络 " " "防火墙确保局域网的安全。 " " "必须构建VPN服务器,使位于Internet网络的客户端能够访问 " " "局域网的资源。 " " "设计的网络应具备对系统的保护及还原措施。 " " "设计的网络应易于维护,并具备可靠性、安全性。 " "参考文献 "1、林天峰.Linux服务器架设指南.清华大学出版社.2010年1月" " ". " " "2、张勤.Linux服务器配置实录.人民邮电出版社.2010年1月. " " "3、张保通.网络互连技术—路由、交换与远程访问.2009年10月" " ". " " "4、(美)Sandra " " "K.Linux服务器性能调整.清华大学出版社.2009年9月. " " "5、黄骁.Windows Server " " "2008服务器配置与管理手册.海洋出版社.2009年11月. " " "6、IT同路人.Windows Server " " "2003服务器架设详解.人民邮电出版社.2008年7月. " " "7、王达.网管员必读—服务器与数据存储.电子工业出版社.200" " "7年10月. " 摘 要 大庆公司包括一个园区网络和两个分支机构。在园区网络中,大约有500个员工,每个 分支机构大约有50个员工,此外还有一些soho员工。 现在公司的园区网络要进行规划和实施,现有条件如下 :公司已租借了一个公网的ip地址为222.206.160.1,和isp提供的一个公网dns服务器的 ip为222.206.160.2园区网络和分支机构使用192.168.1.0网络,并进行必要的子网划分 ,具体要求如下: 1.搭建samba服务器,因公司内部每个机构用的操作系统不同,这些机构可以利用sam ba实现linux和windows系统之间的文件共享和打印共享,,并设置服务器所属工作组 为WORKGROUP,并限制该samba服务器只允许192.1638.1.0网段的客户访问。 2.在公司内部搭建DHCP和dsn服务器,使网络中的计算机可以自动获得ip地址,并使用 公司内部的dns服务器完成内部主机名以及Internet域名的解析。 3.搭建ftp服务器设置本地用户SOHO在登录FTP服务器之后,在进入dir目录时显示提 示信息"welcome",要求每个员工都可以匿名访问ftp服务器,并进行公共文档的下载。 4.搭建VPN服务器, VPN服务器有eth0和eth1两个网络接口。其中eth0用于连接内网,IP地址为192.168.1.2 ;eth1用于连接外网,IP地址为222.206.160.1。 VPN客户端通过Internet网络与VPN服务器连接后,可访问局域网内部的服务器。建立VP N连接后,分配给VPN服务器的IP地址为192.168.1.100,分配给VPN客户端的IP地址池为 192.168.1.200-192.168.1.220,192.168.1.230- 192.168.1.240。客户端可以以用户名king、密码123456和VPN服务器建立连接,建立连 接后获得的IP地址为192.168.1.221。 5.搭建squid服务器,该代理服务器配置为奔腾1.6G/512M/80G,公司所用IP地址段为1 92.168.1.0/24,并且想用8080作为代理端口。要求进行Internet访问性能的优化,并提 供必要的安全特性。 6.为了整个网络的安全,要求网络中的服务器必须要有集群和容错功能。 本论文主要围绕该企业网络环境进行网络搭建,重点放在对网络服务器的配置、验 证和运用到实际网络中的详细过程和图解步骤。 关键字:园区网络 服务器 网络搭建 网络安全 目 录 第一章 绪
《动手学深度学习》——第二章习题及自写答案
FeatherWaves
07-26 1490
在数学中,范数是一个广义的概念,包括了向量空间中的向量大小的不同度量方式。,它接受一个三行三列的张量x作为输入,然后对x进行三次循环,每次循环都把x乘以2,如果x的元素之和大于10,就把x的每个元素减去1,最后返回x。因为计算二阶导数要在一阶导数的基础上再进行求导,这就需要构建新的计算图,保存更多的中间结果,占用更多的内存和计算资源。这是因为计算梯度需要沿着计算图向后传播,而非标量输出会导致计算图的多个分支汇聚在一起,无法确定要计算哪个分支的梯度,因此无法正确计算梯度。为True,表示需要计算x的梯度。
企业级内网环境搭建教程,【一篇文章搞懂】
最新发布
2401_84006596的博客
04-02 1324
用办公网电脑能连接外网,同时也能访问公司内部的网络频段自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Python工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年Python开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
企业网络网络拓扑搭建
xiaolong1155的博客
07-11 2486
该设计用于模拟公司网络,具体设计思路如下:1、终端用户通过各自汇聚交换机自动获取IP地址并进行路由。2、汇聚交换机配置为三层设备通过OSPF与核心交换机进行互通。3、主备汇聚交换机通过VRRP与生成树技术为终端用户提供冗余。4、核心交换机通过VRRP、生成树与链路聚合实现冗余备份。5、防火墙配置NAT转换使得终端用户较为安全的访问外部网络。6、公司内部部分区域提供无线访问,通过AC+瘦AP的方式实现。7、总公司服务器对内提供WWW、DNS以及FTP服务。8、运营商通过BGP实现路由可达。
NISP一级模拟题
weixin_46555037的博客
01-31 1万+
国家信息安全水平考试NISP模拟题(一) 1 2分 我国的( )主要规定了关于数据电文、电子签名与认证及相关的法律责任 A.《中华人民共和国宪法》;B.《中华人民共和国网络空间安全法》;C.《中华人民共和国电子签名法》;D.《商用密码管理条例》 正确答案是:C 你的答案是:C 此题得分:2 展开解析 2 2分 传输层用于控制数据流量,以确保通信顺利,该层次的常用协议包括( ) A.IP;B.TCP;C.FTP;D.PPP 正确答案是:B 你的答案是:B 此题得分:2 展开解析 3 2
企业安全建设】企业网络安全建设中的具体要求(一)
Keylion ,Your Hero
06-17 899
【前言】 企业出于不同安全防护等级的考虑,一般都会将内网划会为办公网、生产网、测试网、互联网、外联网等不同的区域,之间通过防火墙进行隔离。本篇博文将介绍企业内网中各个网络区域的划分以及安全要求。 【企业内网安全规范】 ...
局域网、以太网(标准以太网、工业以太网和实时以太网)与无线局域网
追求。
05-18 3537
—— 参考自《计算机网络》 邓世昆 按地理覆盖范围,计算机网络分为局域网LAN和广域网WAN,通常LAN以外的网络都可归为WAN的范畴。 局域网 局域网一般采用三种典型的拓扑结构:总线形、环形和星形,所有网上的主机都是直接连接,采用广播式发送,当同属于一个局域网中的主机发送数据帧时,其它所有主机都能收到该数据帧,目的主机可以通过核对帧的目的地址确认该帧是否是发给自己的,然后完成该帧的接收。 基于这个原因,在不考虑互联时,局域网不存在路由问题,一个单独的局域网通过数据链路层和物理层就可以实现网络数据通信功
收藏!一个详细完整的公司局域网搭建案例
SPOTO2021的博客
09-25 2247
交换机可以将多台电脑连接起来,与交换机互连的电脑本身则具备了互相通信的功能,组建成了一个内部局域网,可以实现公司内部通讯,无法访问外网(也就是互联网)。服务器机柜的宽度为19英寸,机柜内按U的高度有可拆卸的滑动拖架,用户可以根据自己服务器的标高灵活调节高度,以存放服务器、集线器、磁盘阵列柜等设备。服务器摆放好后,它的所有I/O线全部从机柜的后方引出,同时统一安置在机柜的线槽中,并且贴有网线标号,便于发生网络故障时有效管理。在网络基础扎实的前提下,教你进一步掌握网络互连技术、服务器技术、综合布线技术。
网络工程生产实习——构建中小型企业网(eNSP)
热门推荐
夏佳怡的博客
12-12 2万+
应急管理大学网络工程专业生产实习,搭建中小型企业
工业局域网及现场总线技术
06-12
作为DCS的替代技术、第五代分层控制概念,FCS是影响力很大的。该文档就是介绍此方面的内容。希望大家喜欢!
西门子SIMATIC NET工业无线局域网.pdf
09-15
西门子SIMATIC NET工业无线局域网pdf,西门子SIMATIC NET工业无线局域网
基于eNSP的简单企业网络规划与设计
05-24
3.1 网络设备选型 5 3.2 部门IP地址规划 6 3.3 端口划分及配置 6 4 关键技术及配置 8 4.1 VLAN技术 8 4.1.1 技术介绍 8 4.1.2 技术配置 8 4.2 MSTP技术 10 4.2.1 技术介绍 10 4.2.2 技术配置 10 4.3 VRRP技术 11 ...
企业网络服务器规划与管理.doc
06-07
"班 级 "13网络一 "学生... 本论文主要围绕该企业网络环境进行网络搭建,重点放在对网络服务器的配置、验 证和运用到实际网络中的详细过程和图解步骤。 关键字:园区网络 服务器 网络搭建 网络安全 目 录 第一章 绪
企业网络服务器规划与管理(1).doc
06-07
"班 级 "13网络一 "学生... 本论文主要围绕该企业网络环境进行网络搭建,重点放在对网络服务器的配置、验 证和运用到实际网络中的详细过程和图解步骤。 关键字:园区网络 服务器 网络搭建 网络安全 目 录 第一章 绪
欧博工业网站源码通用版 v1.0.rar
07-06
开发适合企业的模块, 让企业可以轻松搭建适合自己企业的网站,后台功能强大,管理便捷。代码简单易懂,适合二次开发。 我们认为“简单就是美”,因此一直以来,岁月工作室在开发过程中无处不充分考虑用户的使用习惯...
Web安全-企业网络架构
道阻且长,行则将至。
02-04 4711
网络架构 在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。 先来看看一个典型的企业网络拓朴图(图中防火墙和IPS需更换位置): 网络拓朴简析: 出口路由器由两个不同的运营商提供,提供对公网路由; 在网络出口处,还有IPS入侵防御系统,实时检测是否有异常攻击行为,并及时阻断; 边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换; 防火墙、I...
企业办公WLAN覆盖方案的设计与实现_kaic
涉及毕业论文、远程调试、小程序、管理系统、JAVA、C#、IDEA、VS开发工具等
04-12 960
由于数据量的迅速攀升,为了提升核心数据传输的效率,企业们必须采取更多措施,比如:在千兆位级别的带宽上,搭配更先进的技术,使得桌面带宽可以实现百兆位级别的提升,同时,还必须搭建一个可靠的、可管控的、可调整的、可靠的企业内部网,以便更好地响应客户的变化,并且可以实现快速、可靠的传输。然而,构筑一套完善的办公室无线系统,除了需要满足基本的技术需求外,还需要注意多种多样的因素,比如:系统的稳定性、系统的兼容性、系统的覆盖面积以及系统的功能。因此,企业内网的可靠性设计必须更加完善,以确保网络的安全和流畅。
ensp小型企业网络搭建
05-24
针对小型企业网络搭建,可以考虑以下步骤: 1. 确定网络拓扑结构:根据企业的需求和规模,确定网络的拓扑结构,包括子网划分、交换机和路由器的布局等。 2. 选择网络设备:选择适合企业规模的交换机、路由器、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值