![](https://img-blog.csdnimg.cn/20201014180756919.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
网络企业实战
文章平均质量分 89
网络之路Blog
公众号:网络之路博客 B站/头条/百家号:网络之路Blog
展开
-
新版本华为交换机开局远程登录那些坑(Telnet、SSH/HTTP避坑指南)
作者:一天,公众号:网络之路博客(ID:NetworkBlog)。让你的网络之路不在孤单,一起学习,一起成长。关于华为设备远程登录配置开启的通用习惯1、HTTP/HTTPS相关服务http secure-server enablehttp server enable2、Telnet服务telnet server enable3、SSH服务stelnet server enablessh useradmin authentication-type pa...原创 2021-12-23 09:25:57 · 6975 阅读 · 5 评论 -
22、华为 华三中小型企业网络架构搭建 【内网安全部署之DHCP Snooping+DAI+IPSG 防止恶意DHCP与IP冲突等】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)实现控制只能获取企业内部合法的DHCP服务分配的地址,而其余的DHCP服务器则不能通过。说明:为什么需要该技术呢,因为DHCP的工作原理是最先响应的服务器,PC就获取该服务器分配的IP地址,这样的话有些恶意的人把网关指向自己的电脑,然后通过抓包工具等实现抓包分析等功能,这样造成不安全,另外就是网段不一致了,导致访问公司内网或外网出现问题,所以我们必须杜绝该问题的出现。正常情况下,内网的用户都是通过内部部原创 2021-02-25 11:18:27 · 2016 阅读 · 0 评论 -
20、华为 华三中小型企业网络架构搭建 【统一管理设备,认证【本地用户名密码】】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)统一管理设备,认证【本地用户名密码】说明:为了方便管理设备,我们通常在内部会定义一个地址,然后通过该地址进行访问,并且定义了认证方式为本地的用户名密码进行验证,并且限制只允许特定的管理人员登陆。10.1、内网设备管理【核心层为例】说明:之前定义了管理VLAN为VLAN1,定义没有规划,这个可以根据自己情况来分配即可。所以这里以核心层 Core-B为例(1)定义不同用图的用户名密码[Core-B]a原创 2021-02-24 10:44:40 · 650 阅读 · 0 评论 -
30、华为 华三中小型企业网络架构搭建 【分支篇之无线、内网安全与QOS部署】 全部更新完毕
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)分支无线部署说明:分支无线用瘦AP部署,通过VPN直接注册到总部的AC上面,实现无线的业务提供,并且在AC上面部署一个当与AP与AC失去联系后,可以继续为客户提供服务,而不断开。总部AC配置(1)AP上线配置首先 AP已经获取到IP地址了,通过DHCP服务器。可以看到在AP上面可以正常访问AC了可以看到有一个未授权的AP没有认证,这里可以用另外一个办法,让它上线。这.原创 2021-02-25 11:31:49 · 821 阅读 · 0 评论 -
29、华为 华三中小型企业网络架构搭建 【分支篇之虚拟专用网部署(包括对接、双链路冗余、优化与分析、策略路由与NAT的影响)】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)路由器配置VPN,实现财务部门互访,并且AP能够正常关联到总部AC。3.1、创建环回口[GW]interface lo0[GW-LoopBack0]ip address 2.2.2.2 32说明:该地址是与总部建立Tunnel用的3.2 定义IKE peer[GW]ike peer to-center1[GW-ike-peer-to-center]pre-shared-key simple .原创 2021-02-25 11:30:59 · 2244 阅读 · 0 评论 -
28、华为 华三中小型企业网络架构搭建 【分支篇之底层互通(VLAN、三层交换机、出口路由器配置)】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)分支机构部署说明可以看到分支的机构非常简单,典型的小企业或者分支的机构,一台出口路由器,下接三层交换机,然后在连接二层交换机。有的甚至,没有三层交换机,直接是路由器+二层交换机。分部部署思路1、采用之前定义的IP地址表项与VLAN与接口划分进行配置2、配置路由,或者采用单臂路由两种方式3、路由器配置VPN,实现财务部互访,并且AP能够正常关联到总部的AC上面。具体部署1、采用之前定义的IP地原创 2021-02-25 11:29:49 · 2273 阅读 · 1 评论 -
27、华为 华三中小型企业网络架构搭建 【总部项目实施全方面总结】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)总部项目实施全方面总结(1)IP地址规划总结说明:在规划IP地址的时候,一定要考虑好连续性,比如192.168.2.X~10.X,一般情况下配合VLAN来规划,一个VLAN一个网段,当然具体的网段范围可以根据项目实际的需求决定,如果是小于200的话,则用24位的,如果大于200,接近254的话,那么则要考虑后后续为了方便扩展,最好是23位的,这样的话,当后续有客户加入或者人数增加,那么也不会导致需要重新修改I原创 2021-02-25 11:28:19 · 3108 阅读 · 0 评论 -
26、华为 华三中小型企业网络架构搭建 【内网安全部署之无线需要部署的安全技术】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)无线需要部署的安全技术(1)端口隔离技术说明:端口隔离技术,在无线上面部署是非常有必要的,因为通常情况下,无线的客户端之间没必要互访,而且也保证了安全行,但是端口隔离技术实施,是根据隧道转发情况来决定的。直接转发模式说明:在直接转发模式下直接在服务集下开启 user-isolate隧道转发模式在隧道转发模式下开启端口隔离则是在,WLAN-ESS下开启。port-isolate enable(.原创 2021-02-25 11:27:42 · 850 阅读 · 0 评论 -
25、华为 华三中小型企业网络架构搭建 【内网安全部署之STP的安全技术部署】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)STP的安全技术部署说明:为什么需要注意STP的安全呢,在二层中其实存在很多不安全的因素,物理上面的环路这点就得依靠STP来解决,如果STP被恶意破坏,或者不是按照管理员定义的进行运行,那么整个网络会出现很大的问题。(1)STP根保护机制我们都知道STP是有根跟备份根的,如果根的位置改变了的话,流量的引向是会发生变化的。所以我们需要部署根的保护机制,防止根被后续的影响。[Core-A]po..原创 2021-02-25 11:26:46 · 467 阅读 · 0 评论 -
24、华为 华三中小型企业网络架构搭建 【内网安全部署之dot1x部署 本地与集成域的主流方式】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)dot1x部署【用户名密码认证,也可以解决私接无线AP等功能】说明:如果一个网络需要通过用户名认证才能访问内网,而认证失败只能访问外网与服务器,可以部署dot1x功能。它能实现的效果是,当内部用户输入正常的用户名与密码后,可以正常访问内部的网络与外网,没任何限制,如果不是内部人员登陆电脑,输入不了正确的用户名密码,那么只给于访问外网,到Guest VLAN。(1)开启dot1x功能[boss]dot1x en原创 2021-02-25 11:24:14 · 1566 阅读 · 0 评论 -
23、华为 华三中小型企业网络架构搭建 【内网安全部署之端口隔离与MAC地址认证】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)端口隔离技术部署[boss]port-group 1[boss-port-group-1]port-isolate enable说明:这里有几个地方不需要部署,就是需要访问的,比如打印机,上行链路不需要定义,因为该功能是2个接口都部署了端口隔离的时候,该2个接口就不能互访,这样的话就算一个接口下面的PC干扰了病毒,或者ARP攻击,也不会影响其他设备。MAC地址认证说明:有时候我们希望对内网的PC的M原创 2021-02-25 11:21:38 · 506 阅读 · 0 评论 -
21、华为 华三中小型企业网络架构搭建 【内网安全部署之为什么需要安全部署】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)内网安全部署之为什么需要安全部署分析:为什么需要安全部署呢,因为在很多时候,外网到内网的攻击是很难实现的,而大部分攻击往往出现在内网里面。1、内网随意定义地址,容易造成地址冲突。2、可能无意接入其他设备,比如DHCP服务器,造成内网获取地址不正常3、用户私接交换机、无线路由器等设备,造成网络环路、或影响网络性能。4、外来人员电脑接入容易导致ARP、病毒等攻击。5、二层技术的问题,导致网络震荡。解决原创 2021-02-25 11:14:47 · 404 阅读 · 0 评论 -
19、华为 华三中小型企业网络架构搭建 【防火墙篇之IPSEC组网,包括与L2TP共存问题】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)IPSEC VPN的部署(1)为什么需要部署Gre Over ipsec说明:VPN的需求其实非常简单,就是与分部进行安全的访问,当然只允许财务部之间的互访【这个根据需求决定】,这路需要注意,除了这个以外,还有无线AP需要注册到总部来,这个需要通过VPN进行加密连接,但是这里总部是固定IP,而分部则是PPPOE拨号,这个只能通过动态策略模板来进行部署。所以这里需要实施 Gre Over ISPEC。.原创 2021-02-24 10:41:50 · 2215 阅读 · 0 评论 -
17、华为 华三中小型企业网络架构搭建 【防火墙篇之双ISP切换与VRRP切换对于用户的体验】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)双ISP切换与VRRP切换对于用户的体验可以看到核心A与B的VRRP状态,现在VLAN 20是Core-B为Master。问题:当核心交换机B与防火墙连接的链路出现故障后,会造成什么样的后果呢。分析:之前在部署VRRP的时候,我们是定义了一个track功能,track上行链路,当上行链路出现故障的时候,优先级自动减10,也就是说,优先级变为95,这样的话,通过VRRP协商,那么A会成为Maste原创 2021-02-24 10:30:25 · 1050 阅读 · 1 评论 -
16、华为 华三中小型企业网络架构搭建 【防火墙篇之NAT存在的问题(通过公网地址或者域名方式访问)】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)NAT Server测试说明:之前部署了NAT Server功能,并且转换了2个地址,提供了对应WWW服务与FTP服务。目前用外网进行测试。内网测试是否能正常访问说明:可以看到2个服务都已经正常了。外网PC访问对应服务【电信】防火墙是有对应的NAT会话信息了,WEB正常 FTP访问不了外网PC访问对应服务【网通】还是以公网地址充当外网访问的角色。一样无法打原创 2021-02-24 10:23:35 · 1123 阅读 · 0 评论 -
15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由 NQA或者IP-link,策略路由)】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)路由部署【根据需求不同,部署默认路由、浮动路由NQA或者IP-link,策略路由】分析:在实际工作中有多种需求1、客户想实现电信的流量访问电信,联通的流量访问联通【这个需要高版本防火墙才支持】2、客户想实现2个ISP被充分利用了,并且当一个ISP出向故障的时候,自动切换到另外的ISP上面。3、客户想默认情况下走电信,但电信出现故障的时候,才走联通【或者联通走VPN流量,电信走ISP流量。】具体实现.原创 2021-02-24 10:06:54 · 1477 阅读 · 0 评论 -
14、华为 华三中小型企业网络架构搭建 【防火墙篇之NAT部署】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)NAT部署分析分析:我们NAT需求有2个,一个是不过内网可以正常访问外网,另外一个则是对外提供WeB服务与fTP服务。其实这个都不是难点,当有时候,我们遇到一些需求,比如内网用户通过外网地址或者公网域名访问,内部的服务器,这一般在没有部署内部Dns服务器的时候才使用,如果内部有服务器了的话,就直接通过内部服务器进行解析了。9.2.1 部署Source-NAT 【访问Internet】由于有2个ISP,我原创 2021-02-24 09:57:48 · 1583 阅读 · 0 评论 -
13、华为 华三中小型企业网络架构搭建 【防火墙篇之安全策略部署】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)防火墙篇之安全策略部署分析防火墙需要部署哪些技术。一个防火墙的作用是能够保护内网安全,进行检测,怎么检测的呢,防火墙分区域的,当Trust区域(高级别)访问Untrust(低级别,也就是ISP网络)的时候,可以全部访问,而防火墙动态创建状态化信息,数据包从外边返回的时候,根据状态化信息来放行,而ISP的网络想主动访问内部则不行,因为低级别访问高级级别inbound的流量都是被拒绝的,除非做策略开放,所以我们第一原创 2021-02-24 09:55:45 · 2220 阅读 · 0 评论 -
12、华为 华三中小型企业网络架构搭建 【无线架构之低速率限制与负载均衡】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)解决低速率与低信号限制用户接入与下线该功能适用于WLAN网络整体信号覆盖效果好,限制覆盖范围边缘的低信号或低速率的STA接入WLAN网络的场景。另外就是下线功能,就是在WLAN部署密集的情况下,可以通过检测自动下线信号较弱,速录低的用户,从而让他们关联更好的WLAN网络。具体配置[AC6605-wlan-view]radio-profile id 2[AC6605-wlan-radio-prof-5原创 2021-02-24 09:51:31 · 877 阅读 · 0 评论 -
11、华为 华三中小型企业网络架构搭建 【无线架构之三层漫游】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)【无线架构之三层漫游】三层漫游的实现主要在跨网段进行通信,而且在漫游后,地址保持不变。三层漫游需要注意的事项(1)必须在同一AC下(2)WALN-ESS的接口策略必须相同(3)安全模板的认证方式必须一致,包括密钥(4)服务集模板中的SSID和数据转发模式必须一致(5)需要定义多个服务集,关联不同的ESS接口,但是SSID与其他策略必须相同,而且port Hybrid untagged v.原创 2021-02-24 09:49:54 · 1975 阅读 · 0 评论 -
10、华为 华三中小型企业网络架构搭建 【无线架构之二层漫游】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)【无线架构之二层漫游】为了实现无线漫游的功能,需要在拓扑上面在增加要2台ap,当然这2台ap都是模拟的,桥接在本地网卡上面,然后在把本地网卡桥接到真实的交换机上面实现环境。等于做了一个桥接。【与真机效果一样的】这样就可以实现二层漫游与三层漫游的效果,在访客厅的2个ap之间漫游属于二层漫游,而与高层人员下面的AP则是三层漫游。部署漫游时,需要注意的事项。二层漫游需要注意的事项(1)必须在同一AC原创 2021-02-23 11:41:37 · 1374 阅读 · 0 评论 -
9、华为 华三中小型企业网络架构搭建 【无线架构之存在的问题(包括Guest限制、调优、限速、信道切换掉线)】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)目前环境存在的问题 8.5.1 无线之间都可以访问。可以看到内部用户与Guest之间是可以访问的,这样存在一定的安全性,因为访客是从外面过来的,经过了各种各样的网络,假设客户的PC干扰了病毒,那么则可以通过无线传递给内部网络。8.5.2 Guest用户可以访问内部任何资源可以看到 192.168.20.0/24网段是boss的网段,但是Guest却可以自由访问,这是不允许的。8.5.3 网速原创 2021-02-23 11:40:44 · 1184 阅读 · 1 评论 -
8、华为 华三中小型企业网络架构搭建 【无线架构之无线业务部署(包括AP上线、业务配置、下发、以及客户端连接)】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)无线架构之无线业务部署说明:无线的实现,在这个架构中,我们使用的是二层旁挂本地转发模式,对于Guest的SSID使用2.4G,并且开放认证,不需要输入用户名密码,只能访问内部的特点WEB服务器与外网,而内部用的SSID则需要认证,可以访问内部网络与外网。特别说明:由于现网中暂时没有无线设备,所以这块的实现以模拟器实现,功能跟实际设备是一样的。【AC使用6605 V2003C,AP使用的是AP 6010】,而且原创 2021-02-23 11:39:31 · 2693 阅读 · 1 评论 -
7、华为 华三中小型企业网络架构搭建 【7:DCHP部署,内网DHCP需求、DHCP中继等】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。7.1DHCP部署分析在这种网络架构中,可以部署DHCP的有2个设备,一个是出口防火墙,另外一个就是用单独的服务器集群部署一台DHCPServer,可以是Linux的或者Windows的,推荐使用服务器搭建DHCP,原因有几个,1、如果使用防火墙搭建DHCP服务,会增加防火墙的负担,因为防火墙上面不仅仅跑IPSEC VPN、L2TP VPN、NAT、路由、包检测功能,需要创建大量的会话信息,并且处理,而总部的PC量也是非常大的,所以.原创 2021-02-23 11:37:39 · 989 阅读 · 0 评论 -
6、华为 华三中小型企业网络架构搭建 【路由定义,全网需要的路由分析】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。6.1路由定义分析在这个网络中,目前来看设计到三层部分的完全只有对应的两台核心交换机与出口防火墙之间,而下面的交换都是二层网络,那么这里就没必要使用动态路由协议了,静态路由完全可以胜任了,之前的架构已经看出来了,交换机之间使用VRRP虚拟了一个地址,与防火墙进行通信,而防火墙则也就一个IP地址,所以我们需要定义的是,防火墙的路由:1、一条默认路由指向ISP,这个是为了上网用的,当然这里有2个ISP,所以需要定义2个默认路由,分别指向I原创 2021-02-23 11:36:25 · 953 阅读 · 2 评论 -
5、华为 华三中小型企业网络架构搭建 【MSTP、链路聚合、VRRP部署】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)5.1分析说明5.1分析说明5.1.1MSTP技术实现的效果STP可以有三种,一种为最先的STP、后续增强的RSTP,以及目前主流的MSTP,不使用STP与RSTP的原因其实很简单,因为它只能做到单一链路传输,而不能实现跟MSTP以实例的方式实现负载负担。以访客厅为例,该交换机下面有VLAN 1与VLAN 19的流量,如果我们部署的是STP或者RSTP的话,则我们VLAN 1与VLAN 19的流量,.原创 2021-02-23 11:35:29 · 2576 阅读 · 5 评论 -
4、华为 华三中小型企业网络架构搭建 【IP地址配置,以及测试直连连通性】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。IP地址配置,以及测试直连连通性4.1 关于接入层交换机的配置说明:由于接入层交换机属于二层交换机,并不需要配置IP地址,只需要配置对应的管理地址即可,管理地址这块在后续在进行。4.2 核心交换机IP配置分析:在IP地址规划那块,已经规划好了PC与服务器等对应的网关都为192.168x.254,这个网关地址可不是随意定义在哪个交换机上面就可以的,建议是平分定义,当然也可以不定义,后续有VRRP虚拟出来,VRRP是可以直接使用接口地原创 2021-02-23 11:28:15 · 1829 阅读 · 0 评论 -
3、华为 华三中小型企业网络架构搭建 【接口划入对应的VLAN,包括个设备的接口类型定义】
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。VLAN配置以及接口划分,与上联接口配置Trunk,只允许特定的VLAN通过说明:这里以访客厅、高层人员、财务为例,生产部、业务部这里就不讲解了,配置方法与前面3个一模一样。3.1 访客厅需要配置的VLAN访客厅为VLAN19,另外访客厅还有无线AP与VLAN1的管理流量需要通过,所以放行的VLAN为1,19system-view[FKT]vlan 19说明:这里定义了一个VLAN为19,因为默认VLAN1已经存在..原创 2021-02-23 11:25:43 · 1796 阅读 · 0 评论 -
2、华为 华三中小型企业网络架构搭建 【IP地址划分以及VLAN划分表项】
具体划分图表1、IP地址划分,使用子网划分来对每个部门进行规划,每一个部门单独一个24位的子网断,保证连续性,即使后续有新增加的员工,24位有254个地址,可以保证能正常使用,并且连续性可以方便做汇总、与一些策略的控制。 部门 IP网段 网关 访客厅 192.168.19.0/24 192.168.19.254 高层人员 192...原创 2021-02-23 11:23:29 · 1931 阅读 · 1 评论 -
1、华为 华三中小型企业网络架构搭建 【客户需求分析、解决部署思路】
客户需求1、使用合理的IP子网划分,保证合理性与可扩展性、汇总性、控制性2、保证冗余性,包括链路冗余与设备冗余3、安全性,保护重要的部门,除了特定人员可以访问外,其余部门不允许访问,比如财务部,有效的控制病毒、ARP的攻击4、无线终端,考虑到公司手机与移动电脑增多,增加无线功能,提供给设备连接,要求实现验证功能,而访客区,不进行认证,但不能连接到公司内部,只能访问公司提供的网页服务与Internet连接。5、保证在正常情况下,访问Internet都是走电信出口,当出现问题后,用网通出去,保证冗余原创 2021-02-23 11:10:10 · 2217 阅读 · 0 评论