中小型企业网络实战topo

1、设备命名,务必按照规范进行命名规划;
2、子网划分,申请到了公网地址段,201.1.1.0/24,根据公司的实际情况,合理规划拓扑需要的公网地址,
      做到合理规划不浪费;
3、子网划分,局域网中全部使用10.0.0.0/8网段进行IP规划,根据公司的实际情况,合理规划拓扑需要的IP地址,
      做到合理规划不浪费;
     A公司人事部目前有10人,财务部有5人,IT部有3人,总经办有7人。
4、防火墙规划安全区域,尽可能保证内网安全,同时实现不同安全区域之间可以互访;
5、使用合适的动态路由协议或者静态路由协议,实现内网全网路由可达;
6、通过配置合适的技术实现A公司可以访问互联网;
7、A公司财务部设备PC5需要固定获取IP地址,实现每次关机开机都是获取到相同IP地址;
8、实现PC1每天09:00-17:00禁止访问外网以及其他部门;
9、A公司总经办配置需求如下:
      11.1 整个区域交换机之间合理规划vlan信息,PC8 PC9分部属于不同的广播域;
      11.2 交换机之间需要实现高可用性,同时不能浪费链路带宽;
      11.3 PC8 PC9需要实现即插即用,请配置STP特性实现;
      11.4 整个区域实现路由可达,禁止使用静态路由;
      11.5 防火墙接口目前只有一个,尽可能节约成本实现互联A公司总经办区域所有设备;
10、IP地址的分配尽可能做到简单,高效,且适用性强,尽可能提高IP地址的使用率;

topo图如下

1.设备命名这里忽略
2.划分公网的ip

因为这边需要用到最少三个ip,所以我们可以采用201.1.1.0/29位的方式进行划分,可用主机位为

2^3-2=6,分配了三个之后还剩下三个可以作为备用。

配置ip:

[FW1-A-GigabitEthernet1/0/2]ip add 201.1.1.6 29

3.划分内网的ip地址

内网使用10.0.0.0/8的网段,我们可以用它的子网10.1.1.0/24进行划分

分配地址的思路:先分配大的,再分配小的 

A公司人事部目前有10人,财务部有5人,IT部有3人,总经办有7人

人事部:

2^4=16  10.1.1.0/28 (网络号) 可用ip地址范围:10.1.1.1-10.1.1.14/28

总经办:

2^4=16  10.1.1.16/28 可用ip地址范围:10.1.1.17-30/28

2^4=16 10.1.1.32/28 可用ip地址范围: 10.1.1.33-46/28

财务部:

2^3=8 10.1.1.48/29 可用ip地址范围   10.1.1.49-54/28

IT部:

2^3=8 10.1.1.56/29  可用ip地址范围: 10.1.1.57-10.1.1.62/29

互联ip地址:10.1.1.64/30  可用ip地址范围: 10.1.1.65-66

10.1.1.68/30  可用ip地址范围: 10.1.1.69-70

10.1.1.72/30  可用ip地址范围 10.1.1.73-74

配置ip地址这里忽略

4、防火墙规划安全区域

[FW1-A]firewall zone untrust
[FW1-A-zone-untrust]add interface g1/0/2

[FW1-A]firewall zone trust
[FW1-A-zone-trust]add interface GigabitEthernet 1/0/0
[FW1-A-zone-trust]add interface GigabitEthernet 1/0/1

防火墙知识点补充:

防火墙知识点:
   1、防火墙默认情况下,接口并没有划分安全区域,那么默认就无法通信;
    2、安全区域:防火墙对这个区域内产生的流量的信任度;防火墙最相信自己本身local,优先级100(最高)
          防火墙默认就存在4个安全区域:
   [FW1-A]displav zone
  2023-03-25 13:47:34.360
   Iocal
     priority is 100
     interface of the zone is (0):
  #
  trust
     priority is 85
     interface of the zone is (1):
     GigabitEthernet0/0/0
  #
   untrust
   priority is 5
   interface of the zone is (0):
  #
  dmz
   priority is 50
   interface of the zone is (0):
  默认安全区域存在以下特点:
    1、删除不了,修改不了
       [FW1-A-zone-untrust]set priority 6
       Error: Can not modify priority of system security zone
    2、可以自定义安全区域,但是不能和默认有冲突;
       [FW1-A-zone-xiaogou]set priority 100FW1-A-zone-xiaogoul
       Error: Can not use same priority in different security zone.
    3、USG6000系列的G0/0/0是网管口,一般不建议用于业务;
    4、为什么"防火墙默认情况下,接口并没有划分安全区域,那么默认就无法通信:"?
         因为它是防火墙,防火墙发挥作用的具体位置是在流量从一个"区域”流向另外一个"区域”,
         跟不同区域安全优先级,区域间的策略实现对过往流量控制,不划分区域,不清楚如何判断。
5、属于相同安全区域的流量之间互访,默认情况下防灭墙6000系列是默认放行的。
         本质是?有无开关可以关闭?
         本质:存在默认命令让防火墙不检查相同区域之间的流量互访!
         [FWl-A-policy-security]default packet-filter intrazone enable

验证:开启这个命令后相同区域的流量防火墙会进行检查不能实现互访

可以用安全策略去实现相同区域的流量互访:

FW1-A-policy-security]rule name permit17_to_33
[FW1-A-policy-security-rule-permit17_to_33]destination-zone tr    
[FW1-A-policy-security-rule-permit17_to_33]destination-zone trust
[FW1-A-policy-security-rule-permit17_to_33]source-address 10.1.1.17 32
[FW1-A-policy-security-rule-permit17_to_33]destination-address 10.1.1.33 32
[FW1-A-policy-security-rule-permit17_to_33]a p

防火墙策略具有双向性,主动发起存在安全策略放行那么反向也会自动创建放行,但反向发起的流量如果没有存在策略放行则会被禁止。

查看会话


6.
   #   
   interface GigabitEthernet1/0/3.10
   service-manage ping permit(是否关闭或者开启并没有影响pc8访间pc9,为何?)  
   如果pc8和pc9ping能ping通,是因为在一个区域
   #
   防火墙优先去匹配接口service-manage(开启后,安全策略排第二位!)

验证:关闭service-manage后ping不通网关

写安全策略:

[FW1-A-policy-security]rule name permit_trust_to_local 
[FW1-A-policy-security-rule-permit_trust_to_local]source-zone trust
[FW1-A-policy-security-rule-permit_trust_to_local]destination-zone local
[FW1-A-policy-security-rule-permit_trust_to_local]a p

此时可以ping通网关

查看安全策略:

此时我们将service-manage开启后并改为deny看看主机还能否ping通网关

可以看到此时我们的主机ping不通网关了说明我们验证成功了


7、划分安全区域的本质是什么?(重要!!!)
存在一个误区:划分接口进安全区域并没有改变该接口属于防火墙1ocal区域,而只是把该接口下面连接的网路
划分进其他区域!

5、使用合适的动态路由协议或者静态路由协议,实现内网全网路由可达

[FW1-A]ospf 1
[FW1-A-ospf-1]area 0
[FW1-A-ospf-1-area-0.0.0.0]network 10.1.1.70 0.0.0.0
[FW1-A-ospf-1-area-0.0.0.0]network 10.1.1.74 0.0.0.0

[FW1-A-ospf-1-area-0.0.0.0]network 10.1.1.30 0.0.0.0

[FW1-A-ospf-1-area-0.0.0.0]network 10.1.1.46 0.0.0.0

[czyAR1]ospf 1 ro    
[czyAR1]ospf 1 router-id 1.1.1.1
[czyAR1-ospf-1]area 0
[czyAR1-ospf-1-area-0.0.0.0]network 10.1.1.69 0.0.0.0
[czyAR1-ospf-1-area-0.0.0.1]network 10.1.1.14 0.0.0.0
[czyAR1-ospf-1-area-0.0.0.1]area 2
[czyAR1-ospf-1-area-0.0.0.2]network 10.1.1.65 0.0.0.0

[czyAR5]ospf 1 router-id 5.5.5.5
[czyAR5-ospf-1]area 2
[czyAR5-ospf-1-area-0.0.0.2]network 10.1.1.66 0.0.0.0
[czyAR5-ospf-1-area-0.0.0.2]network 10.1.1.62 0.0.0.0

[czyAR2]ospf 1 router-id 2.2.2.2
[czyAR2-ospf-1]area 0
[czyAR2-ospf-1-area-0.0.0.0]network 10.1.1.73 0.0.0.0
[czyAR2-ospf-1-area-0.0.0.0]area 3
[czyAR2-ospf-1-area-0.0.0.3]network 10.1.1.54 0.0.0.0

查看AR1和AR2与防火墙建立邻居的时候会建立Exstart状态

    因为部分防火墙会对基本协议进行过滤,
    因为exstart状态下需要交互dd报文,此时两端处于不同区域分别为local和trust,默认不允许通过
    [FWl-Al undo firewall packet-filter basic-protocol enable #关闭默认对基本协议(OSPF)控制,不涉及策略。
  假设不要改变默认行为保持 firewall packet-filter basic-protocol enable,则需要放行策略!

可以发现ospf邻居状态为full

或者采用安全策略的方法

首先开启对基本协议的控制,重启ospf进程,让它重新建立邻居

可以看见又恢复到了exstart状态

来写安全策略:

[FW1-A]security-policy
[FW1-A-policy-security]rule name permit_ospf_in
[FW1-A-policy-security-rule-permit_ospf_in]source-zone trust
[FW1-A-policy-security-rule-permit_ospf_in]destination-zone local   
[FW1-A-policy-security-rule-permit_ospf_in]service ospf
[FW1-A-policy-security-rule-permit_ospf_in]action permit

查看安全策略的匹配:

display firewall session table all-systems

查看安全策略的会话:

display firewall session table verbose

为了完整需要双向都放ospf的协议

[FW1-A-policy-security]rule name permit_ospf_out  
[FW1-A-policy-security-rule-permit_ospf_out]source-zone local  
[FW1-A-policy-security-rule-permit_ospf_out]destination-zone trust
[FW1-A-policy-security-rule-permit_ospf_out]service ospf
[FW1-A-policy-security-rule-permit_ospf_out]action permit

6、通过配置合适的技术实现A公司可以访问互联网

防火墙的NAT:
nat-policy
rule name 123
source-zone trust
destination-zone untrust
source-address any
action source-nat easy-ip (原ip做为转化)

配置默认路由并在ospf中下发默认路由

可以看见现在AR1上有下发的默认路由

在防火墙上面写策略放行trust到untrust流量

可以看见pc1可以ping通外网

可以看见nat规则被匹配

7、A公司财务部设备PC5需要固定获取IP地址,实现每次关机开机都是获取到相同IP地址;

[czyAR2]ip pool czy
[czyAR2-ip-pool-czy]gateway-list 10.1.1.54
[czyAR2-ip-pool-czy]network 10.1.1.48 mask 255.255.255.240
[czyAR2-ip-pool-czy]static-bind ip-address 10.1.1.50 mac-address 5489-9806-08DB

[czyAR2]dhcp en    
[czyAR2]dhcp enable
[czyAR2-ip-pool-czy]inter g0/0/1
[czyAR2-GigabitEthernet0/0/1]dhcp select global

Info: The operation may take a few seconds. Please wait for a moment.done.
[czyAR2]inter g0/0/1
[czyAR2-GigabitEthernet0/0/1]dhcp se    
[czyAR2-GigabitEthernet0/0/1]dhcp select g    
[czyAR2-GigabitEthernet0/0/1]dhcp select global

pc5可以通过dhcp自动获取固定的ip

8、实现PC1每天09:00-17:00禁止访问外网以及其他部门;

[czyAR1]time-range abc 09:00 to 17:00 daily

[czyAR1]acl 3001  
[czyAR1-acl-adv-3001]rule deny ip source 10.1.1.1 0 destination any time-range a
bc

[czyAR1]inter g0/0/0 
[czyAR1-GigabitEthernet0/0/0]traffic-filter outbound acl 3001

9.A公司总经办配置

[FW1-A]inter g1/0/3.10
[FW1-A-GigabitEthernet1/0/3.10]vlan-type dot1q 10
[FW1-A-GigabitEthernet1/0/3.10]vlan-type dot1q 10

[FW1-A-GigabitEthernet1/0/3.10]ip address 10.1.1.30 28

[FW1-A-GigabitEthernet1/0/3.10]inter g1/0/3.20
[FW1-A-GigabitEthernet1/0/3.20]vlan-type dot1q 20
[FW1-A-GigabitEthernet1/0/3.20]ip address 10.1.1.46 28

为了方便查看交换机的接口我们可以把交换机的lldp功能打开

[czySW4]lldp enable

[FW1-A]lldp enable

[czySW5]lldp enable

[czySW6]lldp enable

可以查看怎么样和别的交换机相连的

[czySW4]dis lldp neighbor brief

配置sw4的vlan并划分vlan

[czySW4]vlan 10
[czySW4]inter Eth 0/0/1
[czySW4-Ethernet0/0/1]p l a
[czySW4-Ethernet0/0/1]p d v 10

做链路聚合:

[czySW4]inter Eth-Trunk 1
[czySW4-Eth-Trunk1]m l
[czySW4-Eth-Trunk1]trunkport Ethernet 0/0/2 0/0/6
[czySW4-Eth-Trunk1]p l a
[czySW4-Eth-Trunk1]p d v 10


[czySW6]inter Eth-Trunk 1
[czySW6-Eth-Trunk1]m l
[czySW6-Eth-Trunk1]trunkport Ethernet 0/0/2 0/0/6
[czySW6-Eth-Trunk1]p l a
[czySW6-Eth-Trunk1]p d v 10

[czySW6-Eth-Trunk1]inter e0/0/1
[czySW6-Ethernet0/0/1]p l t
[czySW6-Ethernet0/0/1]p t a v 10 20

防火墙添加两个子接口到区域里面

[FW1-A]firewall zone trust
[FW1-A-zone-trust]add interface GigabitEthernet 1/0/3.10
[FW1-A-zone-trust]add interface GigabitEthernet 1/0/3.20

[czySW5]vlan 20
[czySW5-vlan20]inter e0/0/1
[czySW5-Ethernet0/0/1]p l a
[czySW5-Ethernet0/0/1]p d v 20
[czySW5]inter Eth-Trunk 1
[czySW5-Eth-Trunk1]mode lacp-static
[czySW5-Eth-Trunk1]trunkport Ethernet 0/0/3 0/0/8
[czySW5-Eth-Trunk1]p l a   
[czySW5-Eth-Trunk1]p d v 20

[czySW6]inter Eth-Trunk 2
[czySW6-Eth-Trunk2]m l
[czySW6-Eth-Trunk2]trunkport Ethernet 0/0/3 0/0/8
[czySW6-Eth-Trunk2]p l a
[czySW6-Eth-Trunk2]p d v 20

防火墙放行ping

[FW1-A]inter g1/0/3.10
[FW1-A-GigabitEthernet1/0/3.10]service-manage ping permit
[FW1-A-GigabitEthernet1/0/3.10]inter g1/0/3.20 
[FW1-A-GigabitEthernet1/0/3.20]service-manage ping permit

此时pc8和pc9可以ping通各自的网关

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/572558.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

嵌入式开发学习--进程、线程

什么是进程 进程和程序的区别 概念 程序:编译好的可执行文件,存放在磁盘上的指令和数据的有序集合(文件),程序是静态的,没有任何执行的概念。 进程:一个独立的可调度的任务,执行一…

做抖音小店如何选品?这几个技巧,精准“锁定”爆品!

哈喽~我是电商月月 做抖音小店最重要的就是选品,这点大家都知道 一个店铺商品选的好,顾客喜欢,质量完好,销量和售后都不用操心,和达人合作时,爆单的机会也就越高 那这种商品是什么样的,新手开…

基于ssm微信小程序的4S店客户管理系统

采用技术 基于ssm微信小程序的4S店客户管理系统的设计与实现~ 开发语言:Java 数据库:MySQL 技术:SpringMVCMyBatis 工具:IDEA/Ecilpse、Navicat、Maven 页面展示效果 管理员端 管理员登录 管理员首页 用户管理 门店管理 …

RustGUI学习(iced)之小部件(一):如何使用按钮和文本标签部件

前言 本专栏是学习Rust的GUI库iced的合集,将介绍iced涉及的各个小部件分别介绍,最后会汇总为一个总的程序。 iced是RustGUI中比较强大的一个,目前处于发展中(即版本可能会改变),本专栏基于版本0.12.1. 概述…

高效一键改写文章,智能伪原创工具轻松搞定

在信息爆炸的时代,想要高效率的一键改写文章却是很多创作者都想了解的方法。然而在人工智能技术发展的今天,智能伪原创工具的出现,也正是成了广大创作者用来一键改写文章的好方法,因为它的优势,可以为大家轻松完成改写…

光伏二次设备主要有哪些

光伏电站二次设备类型比较多,信息显示、数据安全、远动通信、电能质量、微机保护等都有不同设备相互配合完成,根据项目具体需求来选择,简单可以分为以下几种: 一、光伏二次设备保护屏: 1、光伏二次设备预制舱 二次设…

短视频矩阵系统源码====3年技术公司源头开发商交付

短视频矩阵系统#源头技术打磨 哈尔滨爆火带动了一波“北上热潮”,各地文旅坐不住了,兄弟们开“卷”!这波互卷浪潮中,河南率先出圈。如今,河南文旅账号粉丝已经突破200w! 01 矩阵打法,很难不火…

超越边界:如何ChatGPT 3.5、GPT-4、DALL·E 3和Midjourney共同重塑创意产业

KKAI(kkai人工智能)是一个整合了多种尖端人工智能技术的多功能助手平台,融合了OpenAI开发的ChatGPT3.5、GPT4.0以及DALLE 3,并包括了独立的图像生成AI—Midjourney。以下是这些技术的详细介绍: **ChatGPT3.5**&#xf…

Lab2: system calls

Using gdb Looking at the backtrace output, which function called syscall? 可以看到是trap.c中usertrap函数调用了syscall函数 What is the value of p->trapframe->a7 and what does that value represent? p->trapframe->a7的值为7,代表了函…

MATLAB 条件语句

MATLAB 条件语句 决策结构要求程序员应指定一个或多个要由程序评估或测试的条件,如果确定条件为真,则应指定要执行的一个或多个语句,如果条件为真,则可以选择要执行的其他语句。条件确定为假。 以下是大多数编程语言中常见的典型…

我们支持批量了!

当我们有很多文件要处理时,一个一个操作不仅费时费力,而且还容易漏掉某个文件。那么有没有更加简单的方法呢?可以试试批量功能! 目前以下功能都支持批量操作 音频提取 视频格式转换 字幕生成 视频静音 图片格式转换 图片压缩 视频…

JavaScript —— APIs(四)

一、日期对象 1. 实例化 new 括号里面为空,得到当前时刻的时间 括号里面为指定日期,得到对应日期的时间 注意:若括号里面只有年月日,没有时间,则得到的结果就没有时间;括号里面指定时间是多少,…

身份证二要素核验介绍及使用方法

一、身份证二要素核验简介及重要性 身份证二要素核验是一种重要的身份验证技术,它在现代社会中发挥着至关重要的作用,特别是在涉及个人信息安全和隐私保护的领域。通过身份证二要素核验,我们可以有效地确认个人身份的真实性,从而…

爬虫学习笔记-数美验证

测试网址:智能验证码体验_图片验证码_数美科技数美科技智能验证码在线体验,智能识别风险用户级别,自行切换智能验证码难度及类型,提供滑动、拼图、点选、数字、动态等多种智能验证码服务,精准拦截机器行为。https://ww…

SOLIDWORKS Composer如何使用3D工具实现更真实的动画效果

当我们使用SOLIDWORKS composer创建动画时,往往会涉及到产品的安装与拆解,现实生活中我们在拆卸组装产品的时候,我们往往需要一些工具的协助,比如扳手、螺丝刀等等,那么我们如何在虚拟动画中也将这一过程以逼真的形式展…

新建云仓库

1.GitHub新建云仓库: LICENSE:开源许可证;README.md:仓库说明文件;开源项目;cocoaPodsName.podspec: CocoaPods项目的属性描述文件。 2.Coding新建云仓库: 备注: Coding新建项目:

STM32,复位和时钟控制

外部时钟 HSE 以后需要用到什么就这样直接拿去配就行了

左叶子之和(力扣404)

解题思路:用后序遍历找左孩子,需要注意的是左叶子需要通过其父节点来判断其是不是左叶子 具体代码: class Solution { public: int sumOfLeftLeaves(TreeNode * root) { if(rootNULL)return 0; if(root->leftNULL&&root->rightNULL)ret…

纳米尺度下的单粒子追踪,厦门大学方宁团队用 AI 奏响「细胞里的摇滚」

在微观世界里,每一个细胞都是一个繁忙的城市,而分子们则是这个城市中的居民。想象一下,如果我们能够追踪这些居民的每一个动作,或许便能够揭开生命奥秘的一角。这就是科学家们在活细胞中进行 3D 单粒子跟踪 (single particle trac…

lua整合redis

文章目录 lua基础只适合lua连接操作redis1.下载lua依赖2.导包,连接3.常用的命令1.set,get,push命令 2.自增管道命令命令集合4.使用redis操作lua1.实现秒杀功能synchronized关键字 分布式锁 lua 基础只适合 1.编译 -- 编译 luac a.lua -- 运行 lua a.lua2.命名规范 -- 多行注…