优好科技

4.7.3具体规划对校园网内的IP地址与VLAN实行规划,表4-1

简介: 4.7.3具体规划对校园网内的IP地址与VLAN实行规划,表4-1为IP地址规划:表4-1 IP地址规划表第5章 网络实施配置5.1 基础通信配置5.1.1链路聚合配置在校园网为了实现核心设备的链路稳定性和可靠性,需要

目 录摘 要随着网络通信技术在实际中的应用越来越广泛,网络发展很重要的一个趋势就是通过开放的网络环境来进行信息数据通信。

然后在网络通信过程的时候,在一个开放的公共网络环境下,就会存在很多的安全问题,造成数据信息传输的泄露。

本设计就以校园网为研究背景,对校园网建设的基础通信需求和网络安全需求进行分析,然后根据其网络需求来搭建一个安全、稳定可靠的校园网络,并进行IP地址的规划。

在设计方案中,着重对于其网络安全进行设计,提出防火墙、设备安全、ACL访问控制、端口安全等的解决方案,从而打造一个适合校园的安全稳定的校园网络环境,最后利用华为ENSP模拟器对方案进行模拟配置测试,验证方案的可行性。

因此,本论文选择了校园网络进行研究,采取Internet技术对其进行了网络设计规划和安全性研究,并做出了最优的方案设计。

校园日常教学活动和办公生活中,网络都是必不可少的一部分。

很多动态的www应用数据会在学校网络运转时被传送,但是有些应用的主要服务器要有高速接入网络(目前为100/1000Mbps,以后要求会不断升高)。

1.2 课题研究意义与目的校园网为全体教师和学生创建了一个开放的、先进的,同时也非常实用的网络环境,现代的教学中,检索图书资料、网络教学、现代通信以及校内行政管理系统都要在校园网的帮助下实现。

目前,网络安全是全社会关注的一个热点话题,各行各业的人们在使用网络带来的便利的同时,往往忽略了网络的安全问题。

那么我们在规划和设计校园网络的过程中,必须要重视网络安全的建设。

在网络安全建设中,常常在内网部署防火墙,划分网络安全区域,隔离内外网,从而防止外网的,保障内网安全,这样的网络才是一个完整健壮的网络,也便于网络管理人员维护网络。

(1)保持校园网络的开放性和持续性,能够非常方便地实现视频点播和远程教学;(2)教学管理达到网络化水平,进而提高校方内部运作效率,实现校内办公自动化;(3)校内师生可以很方便地使用网络,最终达到信息和数据的共享;(4)校园网必须保证可靠性和安全性,使校内与教学相关的数据能够安全运行,从而满足学校的长远发展。

1.3 论文组织结构本次对于校园网络安全系统设计与实现的课题,主要包括以下六部分内容:第一章概论,主要介绍校园网络规划和安全性的研究背景、研究意义和目的。

第三章根据收集,总结了现在校园网络用户对校园网的需求包括网络安全方面的。

详细介绍了如何根据学校的需要进行网络规划和整个拓扑结构的设计,以及网络安全性方案。

第六章是在完成了所有的配置后进行测试,再进行对结果的分析。

第2章 网络安全技术介绍2.1 防火墙防火墙技术是进行网络防护时,普遍被采用的一种网络安全技术,防火墙是有软件和硬件组成,通过把有差异的网络安全区域进行整合而成,运用防火墙局域网络运维管理人员可以通过网络命令和硬件部署来实现控制访问流量的一种高级访问控制功能。

2.2 ACL技术内部网络通信是校园网络中及其重要的一部分,考虑到校园网络中内网的安全,就需要部署安全访问策略,使得没有经过授权的用户只能访问网络中的部分资源,从而实现网络的访问控制。

打个比方,通过对ACL的设置,可以实现指定一个网络对哪个主机开放访问,对哪个主机禁止访问。

2.3 端口安全端口安全,英文名称为Port Security,端口安全功能就是设备接口将接收到的MAC地址变成可靠的安全MAC地址,而且还可以禁止主机通过这个接口和设备进行通信,禁止的主机是除了安全MAC和静态MAC以外的。

设备的端口安全功能在没有开启的时候, MAC地址表是可以动态学习,也可以静态配置。

在开启设备接口的端口安全功能之后,接口首先会将先前已经学习到的动态MAC地址表项删除,然后再进行转换现在学习到的MAC地址,将现在的MAC地址变成安全动态MAC地址,最后能被接口允许通过的报文只有是MAC地址是匹配安全的或静态的。

DHCP Snooping的作用就是保障 DHCP客户端从合法的DHCP服务器得到IP地址,同时能够记录一些参数的对应关系,比如,DHCP客户端IP地址和MAC地址等参数的,这样有效的防止了网络上针对DHCP的攻击。

DHCP Snooping的设备将用户的DHCP请求报文,也就是DHCP的客户端的,通过信任接口传送给合法的DHCP服务器。

再后来,用户的设备收取用户传来的DHCP报文,这些报文是通过DHCP Snooping的接口的,这时候设备会检查这些报文的匹配程度,这些对抵制非法用户的攻击很有作用。

需要在这些区域进行网络建设,满足学校教职工的上网需求,并对网络进行安全加固。

校园布局图如下图3-1所示:图3-1 校园布局图3.2 用户需求因为目前的校内系统的不足,想要在短时间内全面地部署网络系统是不可能的。

因此,本论文对学校的现有条件以及对网络的需求进行了科学分析,并以此为基础全面地设计规划网络,以达到既能有效的利用现有的系统,又能满足随着学校发展在之后不同时期的需求的目的。

详细如下:(1)在校园网络设备的选则上,要求选择目前的主流设备,也就是说校园网络的核心设备在5年内不需要替换。

(3)一个基本要求是在网络的组建上,学校的各个部门能够实现网络的互通,并且网络主干需达到千兆级别。

(4)通过对NAT网络地址转换技术有效利用,实现内网能够访问外网的信息资源。

(6)在管理功能上校园网络也需要考虑,要实现对网络的维护和管理,让网络体验质量不断提高。

(7)校园网设计的时候,其核心网络要通过VRRP考虑冗余,这样才能保证网络业务的可靠运行。

(9)在对校园网络组建的过程中,依据MSTP生产树技术,避免网络二层环路。

3.3 网络可靠性需求因为学校很多业务应用都越来越依靠计算机网络,只有网络数据通讯能够持续的不间断运行,才能保证学校的日常工作顺利进行。

为了设计出更安全更可靠的校园网,应将以下三方面来考虑:(1)设备的设计必须安全可靠,这方面要考虑很多方面,例如,网络设备是否实现了关键部件的冗余设计,还有烤炉网络设备的整体设计架构和处理引擎等多方面;(2)业务应用的设计是否可靠,要看网络设备在故障倒换时业务能不能正常运行;(3)通信链路设计的可靠,网络通信链路的安全取决与网络链路的多路径,所以在建设校园网的时候,网络设备能不能有效的链路自愈手段和快速路由选择的支持必须要考虑的。

3.4 安全性需求分析校园网络的安全问题一直是让人烦恼的问题,校园网在网络管理方面有个重要的任务是能够不被攻击和破坏。

因为校园网的数据和财务信息是相当重要的,所以这部分对系统的安全性要求也就更高,能够保证内部网络的安全,防止非法访问和攻击是至关重要的。

校园网络是一个相对开放的网络,所以要防范不法分子利用网络设备进行校园网的访问攻击。

通过对校园用户的详细考察,总结其在校园网络安全方面的主要需求如下:(1)物理设备安全在校园内,加强机房管理的同时,各个楼宇机柜钥匙必须要有专人保管,网络设备和操作系统都需要使用专门的口令来登陆并进行认证,只有通过认证,这些设备才能被用于操作访问和网络通信。

(2)财务数据安全财务数据是学校的重要财产,一旦被破坏,会造成严重的后果,所以要求在网络时,财务处是不能访问外网的,同时限制学生宿舍楼内的学生用户对财务数据的访问。

(3)内外网隔离在校园网络出口要求架设防火墙,进行内外网的隔离,划分网络的安全区域,保障内网安全和学校服务器的数据,防止非法;(4)内网接入安全内网用户想要接入,就必须满足MAC认证的安全准入,如果出现违规的话,就会进行端口关闭。

(5)DHCP安全在对校园网用户进行动态分配IP地址的时候,要启用DHCP的安全技术,防止客户端从非法架设DHCP服务器上获取IP地址,造成网络通信数据的被窃取。

第4章 校园网基础通信和安全性设计4.1 设计原则从Internet通信技术的角度考虑设计校园网,应按照以下五个原则进行:(1)合理性对于校园网络建设来说,网络技术的合理性非常重要,因此在选取网络设备时,必须考虑到该设备所支持的标准化国际网络协议,也必须考虑到该设备性价比。

(2)稳定性以及可靠性校园网的建设必须能够满足在日后不断发展中的可以进行扩充,并且最关键是该网络有很强的可操作性。

校园网必须要在稳定的前提下进行业务部署,本设计在建设网络的过程中使用了在国际上通用的标准化的网络开发以及动态路由协议,例如,在校园网建设的核心使用VRRP虚拟路由冗余协议,如果校园网的一个交换机不再运转,备用设备自动开启并切换业务,从而可以有效避免因单点故障,导致的网络全面瘫痪局面。

(3)安全性在设计规划校园网时,除了要尽可能的利用网络外,网络信息安全的问题也不可忽略。

一个是注意接入网络的内部设备,防止任何不安全的违法访问;二是不能忽视内部的网络安全,为了不让校园网络感染病毒,不仅要安装正版的杀毒软件并且要定期而且及时的对病毒库进行更新。

(4)易于维护和管理校园网是一个复杂的系统,网络管理系统存在诊断、监测故障以及用户等级灵活设置等功能,在构建校园网时必须要考虑之后的维护和管理。

另外,在构建网络系统时,应尽量保证每个部门都有自己的VLAN,这样在进行网络的管理以及维护时会更为便捷。

(5)容易扩展在构建网络时,必须要考虑其容量的扩展,应该选择目前的主流设备以方便未来增加新的网络节点以及融入更多的新技术,应在保持现有的网络组成不变或者是微调的基础上构建网络,从而使目前的投入能够获得最大的效益。

4.2 网络的拓扑结构设计因为校园网的规模比较大,集成度也比较高,因此为了增加其稳定性和功能性,通常业界使用的结构模式为三层交换模式。

网络主干将左右网络的整体运转并影响其运转效率,所以建设一个可靠、安全、高效,同时具备良好扩展性的网络干线,成为构建未来校园网的首要问题。

根据校园的平面图,本次校园网络建设中心机房规划在综合楼一楼,其他建筑物每幢部署一台汇聚交换机,每幢楼的汇聚交换机通室外单模千兆光纤接入到信息机房,每栋楼内按照楼层每层设置一台接入交换机,楼内接入交换机通过多模室内光纤接入楼宇汇聚交换机,终端PC都通过超五类网线连接到接入交换机,实现网络通信。

按照学校对网络的需求和规划,描绘出校园网的网络拓扑结构图,如图4-1所示。

图4-1 网络拓扑结构图4.3 校园网整体规划校园网设计必须要满足所要用到的网络构建技术,并且也要满足随着校园的发展校园网络扩展的需求。

目前,网络技术多种多样,所以在规划过程中,设计者需要谨慎细致地对能满足网络构建需求的技术进行考察。

按照学校的需要,部署能够高速运行的技术,并考虑其实现网络的需求,网络整体规划具体如下:(1)业务类型在构建网络时,内网的职能是建设教务管理,同时还要兼顾图像、视频等多媒体资源。

(2)网络规模在构建的校园网中,除了要保证校内各个部门的相互连通之外还要保证其与外部网络的连通。

(4)应用发展趋势随着技术不断变化,新应用对网络技术的推动作用也随着加剧,网络宽带也越来越增加。

4.4 Internet接入方式设计对于学校网络的性能来说,其所接入的链路质量存在很大影响,这次所接入的校园网是在租用运营商光纤的基础上,接入了一个校园出口防火墙,同时对其配置了NAT转换,进而能保证内网与外网双向访问。

除此之外,整个网络是基于三次架构模式搭建的,相关设备的功能介绍如下:(1)校园出口防火墙把校园网外部的用户进入内网和将内网的用户接入到外网,是校园出口区域的主要任务,除了上述的任务,还要统一接入校园网用户。

4.5 网络层次划分整个校园网络按照三层网络模式来设计,主要有核心层、汇聚层、接入层,每层所具备的功能如下:核心层网络设计,核心交换机选用两台高性能三层交换机,具备网络主干千兆性能,从而保障保证校园网和Internet之间高速访问。

整个校园网络结构采用全连接的方式,实现下级接入设备和核心交换机的连接,采用这种方式的目的就是为了保障网络业务的稳定可靠运行,不会因为网络中某一处发生故障而使得整个网络中断,使得无线网业务依旧正常稳定运行,核心交换机的选用必须要求具备冗余电源,其上面配置的处理版、业务板卡等设备组成关键部分都可以支持热拔插的方式,使得无线网络业务稳定可靠运行。

两台核心交换机连接网络内部所有的汇聚设备,对网络各个部门的数据和流量进行转发,这样校园网络内外部的业务就可以正常进行。

核心交换机通过HSRP和端口聚合技术,提高网络的可靠性和稳定性,实现物理链路的同时,保障网络业务网关的冗余,使得网络在某种程度上具备电信级的可靠性。

在校园网中,汇聚层网络主要是由校园网络中的一栋建筑物来组成,例如行政办公楼、逸夫教学楼、图书馆等建筑物,汇聚层的网络设备流量转发的方式主要就是将本区域用户的数据流量上传到核心层设备上去,同时在横向上去实现其他汇聚层网络区域的数据通信。

在汇聚层网络接入了更多网络用户之后,这些网络用户就会被进行模块化的扩展,然后汇总到核心层设备。

既接入层是最靠近终端用户,接入层往往都是通过部署二层网络交换机,满足网络中的多种方式的接入,然后在汇聚层汇总接入的网络链路,接入层的下端用来连接用户终端。

这些网络设备不仅仅要具备基本的二层特性和具备安全、可靠,易于部署等的特点之外,还需要端口密度比较大,业务转发能力强,从而满足大量网络用户的接入。

防火墙具备强大的网络保护功能,防火墙能够有效拦截外网的,防止网络病毒扩散,不仅仅能够保证学校教职工的安全通信,也保证学校资产和科研数据的安全。

如图4-2所示,防火墙在校园网络中的功能体现。

图4-2 防火墙功能4.6.2设备安全网络设备是网络服务的重要部分,必须要保证网络设备的安全,如果网络设备由于认为或者其他突发灾害,这就会整体影响网络的结构,从而影响校园网整体业务。

因此网络核心设备必有要有专门的网络机房,接入设备需要部署在楼层弱电井中,安排专人对机房和弱电井钥匙进行保管,避免他人进入,完善的系统维护制度是必不可少的。

4.6.3ACL访问控制学校财产的管理中心是学校的财务部门,财务部门的网络数据非常重要,学校财务部门如果被不法分子攻击或者,造成学校财务数据的泄露,会给学校造成重大的损失,所以在本次校园网络建设中,通过ACL访问控制,不允许财务部门访问外网。

4.6.4端口安全4.6.5部署DHCP snooping在本次校园网络组建中,校园网中的核心交换机为业务网段DHCP服务,DHCP进行IP地址分发的安全是要考虑的重要一部分,DHCP有很多安全特性,其中一种就是DHCP Snooping。

4.7 IP子网规划设计4.7.1VLAN规划虚拟局域网是用来划分LAN的一种通讯技术,在逻辑上,它主要是将一个物理上的LAN区域划分成很多的广播域。

4.7.2IP地址规划原则对IP进行划分时,需遵守以下原则:(1)连续性:在对IP地址实行分配时,应当实现地址的连续性;为了便于路由聚合和实现安全控制,需分配给同一功能或业务比较连续的IP地址;(2)IP地址分配时,借助VLSM技术,可以让IP地址空间得到充分使用;CIDR技术则能将路由器路由所具有的收敛速度进行提高,减少网络中广播的路由和缩小路由表的规模。

(3)可扩充性:分配IP地址时,不仅要顾及到连续性,还需对可扩充性进行考虑,给网络以后的发展保留特定的位置。

4.7.3具体规划对校园网内的IP地址与VLAN实行规划,表4-1为IP地址规划:表4-1 IP地址规划表第5章 网络实施配置5.1 基础通信配置5.1.1链路聚合配置在校园网为了实现核心设备的链路稳定性和可靠性,需要配置链路聚合,在链路聚合配置过程中,首先需要创建链路聚合组,并定义聚合组的端口类型,然后把成员接口加入到聚合组中来,以其中一台为对象,对链路聚合eth-trunk配置进行说明:核心交换机一配置:[HX-1]interface Eth-Trunk1//创建链路聚合组1[HX-1-Eth-Trunk1] port link-type trunk//配置聚合端口类型为trunk链路[HX-1-Eth-Trunk1] port trunk allow-pass vlan 19 to 29//允许vlan19到vlan29通过[HX-1-Eth-Trunk1]interface GigabitEthernet0/0/23//进入端口GigabitEthernet0/0/23[HX-1-GigabitEthernet0/0/23] eth-trunk 1//将端口加入到链路聚合组1核心交换机二配置:[HX-2]interface Eth-Trunk1//创建链路聚合组1[HX-2-Eth-Trunk1] port link-type trunk//配置聚合端口类型为trunk链路[HX-2-Eth-Trunk1] port trunk allow-pass vlan 19 to 29//允许vlan19到vlan29通过[HX-2-Eth-Trunk1]interface GigabitEthernet0/0/23//进入端口GigabitEthernet0/0/23[HX-2-GigabitEthernet0/0/23] eth-trunk 1//将端口加入到链路聚合组15.1.2DHCP配置在本次校园网络设计中,两台核心交换机为学校DHCP服务,实现学校内部的 网络终端可以自动获取到IP地址,DHCP功能能够简化网络配置和网络管理工作,缩短网络上线的周期,DHCP的配置需要首先在交换机上开启DHCP服务,然后创建地址池名称和其分配的网段,最后在vlanif虚接口下开启基于全局的dhcp功能,两台核心交换机DHCP配置相同,具体配置举例如下:[HX-1]dhcp enable//开启dhcp服务[HX-1]ip pool vlan19//创建名称为vlan19的地址池[HX-1-ip-pool-vlan19] gateway-list 192.168.19.254 //配置地址池网关[HX-1-ip-pool-vlan19] network 192.168.19.0 mask 255.255.255.0 //配置地址池分配的网段[HX-1-ip-pool-vlan19] dns-list 114.114.114.114 //配置DNS[HX-1]ip pool vlan20//创建名称为vlan20的地址池[HX-1-ip-pool-vlan20] gateway-list 192.168.20.254 //配置地址池网关[HX-1-ip-pool-vlan20] network 192.168.20.0 mask 255.255.255.0 //配置地址池分配的网段[HX-1-ip-pool-vlan20] dns-list 114.114.114.114 //配置DNS[HX-1-ip-pool-vlan20]int vlan19[HX-1-vlanif19]dhcp select global //配置基于全局的dhcp功能[HX-1-vlanif19]int vlan20[HX-1-vlanif20]dhcp select global //配置基于全局的dhcp功能5.1.3MSTP配置在学校两台核心交换机HX-1和HX-2上配置MSTP,破除网络的二层环路,MSTP可对vlan进行分组的实例映射。

根据校园网里的VLAN划分,VLAN19- VLAN24映射到实例1,以HX-1为主根桥primary,HX-2为备根桥secondary,VLAN25-VLAN29映射到实例2,以HX-2为实例2的primary,HX-1为备根桥secondary。

(1)实例映射配置,进入STP的域配置,配置域名和修订级别,将vlan19-vlan21映射到实例1,vlan22-vlan23,88映射到实例2,最后与配置:[HX-1]stp region-configuration//STP域配置[HX-1-mst-region] region-name Huawei//配置域名[HX-1-mst-region] revision-level 1//配置修订级别[HX-1-mst-region] instance 1 vlan 1 19 to 21 //配置实例1的vlan映射[HX-1-mst-region] instance 2 vlan 22 to 23 88 //配置实例2的实例映射[HX-1-mst-region] active region-configuration//域配置[HX-1-mst-region]q(2)配置在HX-1上实例1为主根桥,实例2为备根桥[HX-1] stp instance 1 root primary//实例1为主根桥[HX-1] stp instance 2 root secondary//实例2为备根桥(3)配置在HX-2上实例2为主根桥,实例1为备根桥[HX-2] stp instance 1 root secondary//实例1为备根桥[HX-2] stp instance 2 root primary//实例2为主根桥5.1.4VRRP配置在校园网的两台核心交换机HX-1和HX-2上配置VLAN19-VLAN29的VRRP组, VLAN ID为各自的VRRP组号,配置vlan19-vlan24以HX-1作为主交换机,优先级设置为120,vlan25-vlan29在HX-1上作为备交换机,优先级不进行配置,选用默认优先级100,在HX-1上反之。

配置举例说明:(1)HX-1上配置VLAN19的VRRP虚拟ip为192.168.19.254,组号为19,优先级为120:[HX-1]interface Vlanif19[HX-1-Vlanif19] vrrp vrid 19 virtual-ip 192.168.19.254//配置 VRRP组号为19,并配置VRRP虚拟网关为192.168.19.254[HX-1-Vlanif19] vrrp vrid 19 priority 120//配置优先级120(2)HX-2上配置VLAN19的VRRP虚拟ip为192.168.19.254,组号为19,优先级为为默认:[HX-2]interface Vlanif19[HX-2-Vlanif19] vrrp vrid 19 virtual-ip 192.168.19.254//配置 VRRP组号为19,并配置VRRP虚拟网关为192.168.19.2545.1.5OSPF配置在校园网内部署OSPF动态路由协议,OSPF与RIP相比,可以支持大型网络、网络路由的收敛速度快,OSPF部署主要在出口路由器和核心交换机上完成,OSPF配置首先需要创建OSPF的进程号,并配置区域,然后在对应区域宣告相邻的网段,配置说明:核心交换机一配置:[HX-1]ospf 1 //创建ospf进程1[HX-1-ospf-1] area 0.0.0.0 //进入骨干区域0[HX-1-ospf-1-area-0.0.0.0] network 192.168.19.0 0.0.0.255 //宣告网段到区域0[HX-1-ospf-1-area-0.0.0.0] network 192.168.20.0 0.0.0.255 //宣告网段到区域0[HX-1-ospf-1-area-0.0.0.0] network 192.168.21.0 0.0.0.255 //宣告网段到区域0[HX-1-ospf-1-area-0.0.0.0] network 192.168.22.0 0.0.0.255 //宣告网段到区域0[HX-1-ospf-1-area-0.0.0.0] network 192.168.23.0 0.0.0.255 //宣告网段到区域0[HX-1-ospf-1-area-0.0.0.0] network 192.168.100.0 0.0.0.3 //宣告网段到区域0核心交换机二配置[HX-2]ospf 1 //创建ospf进程1[HX-2-ospf-1] area 0.0.0.0 //进入骨干区域0[HX-2-ospf-1-area-0.0.0.0] network 192.168.19.0 0.0.0.255 //宣告网段到区域0[HX-2-ospf-1-area-0.0.0.0] network 192.168.20.0 0.0.0.255 //宣告网段到区域0[HX-2-ospf-1-area-0.0.0.0] network 192.168.21.0 0.0.0.255 //宣告网段到区域0[HX-2-ospf-1-area-0.0.0.0] network 192.168.22.0 0.0.0.255 //宣告网段到区域0[HX-2-ospf-1-area-0.0.0.0] network 192.168.23.0 0.0.0.255 //宣告网段到区域0[HX-2-ospf-1-area-0.0.0.0] network 192.168.100.4 0.0.0.3 //宣告网段到区域05.2 网络安全配置5.2.1 防火墙配置配置校园网内部防火墙,主要实现端口安全区域的划分和策略配置,以及NAT地址转换,具体配置代码如下:(1)安全区域划分,分别创建trust和uust区域,然后把接口加入到其区域内[FWW]firewall zone trust//定义防火墙trust区域[FWW-zone-trust] add interface GigabitEthernet0/0/3//将接口接入到trust区域[FWW-zone-trust] add interface GigabitEthernet0/0/4//将接口接入到trust区域[FWW-zone-trust]quit[FWW]firewall zone uust//定义防火墙uust区域[FWW-zone- uust] add interface GigabitEthernet0/0/1//将接口接入到uust区域[FWW-zone- uust]firewall zone DMZ//定义防火墙DMZ区域[FWW-zone-dmz] add interface GigabitEthernet0/0/4//将接口接入到DMZ区域[FWW-zone-dmz]quit(2)访问策略配置,配置trust到 uust outbound方向和trust到dmz outbound方向的安全策略,[FWW]policy interzone trust uust outbound//配置从trust区域到uust区域间放行策略,并配置对应策略和策略执行动作:[FWW-policy-interzone-trust-uust-outbound] policy 1//定义策略1[FWW-policy-interzone-trust-uust-outbound-1] action permit//动作允许[FWW-policy-interzone-trust-uust-outbound-1]policy interzone trust dmz outbound//配置从trust区域到uust区域间放行策略[FWW-policy-interzone-trust-dmz-outbound]policy 1//定义策略1[FWW-policy-interzone-trust-dmz-outbound-1] action permit//配置允许[FWW-policy-interzone-trust-dmz-outbound-1](3)配置基于eazy ip方式的NAT策略,定义可以运行nat转换的源地址[FWW]nat-policy interzone trust uust outbound //配置NAT策略[FWW-nat-policy-interzone-trust-uust-outbound]policy 1 //定义策略1[FWW-nat-policy-interzone-trust-uust-outbound-1]policy source 192.168.19.100 0//配置源为财务处主机IP[FWW-nat-policy-interzone-trust-uust-outbound-1]action no-nat //不允许nat转换[FWW-nat-policy-interzone-trust-uust-outbound]policy 2 //定义策略2[FWW-nat-policy-interzone-trust-uust-outbound-2]action source-nat //允许nat转换[FWW-nat-policy-interzone-trust-uust-outbound-2]easy-ip GigabitEthernet 0/0/1//配置easy-ip方式的NAT转换5.2.2设备登陆安全配置校园网络核心设备,进入console口线程,配置其认证方式,配置console安全登陆口令为huawei123,只有网络管理员才可以登陆设备。

具体配置代码如下:[HX-1]user-interface console 0//进入Console用户界面视图[HX-1-ui-console0]authentication-mode password //配置认证方式为密码认证[HX-1-ui-console0]set authentication password simple huawei123//设置密码为huawei123[HX-1-ui-console0]5.2.3ACL配置配置ACL访问控制,使得学生宿舍楼不能访问财务处和行政楼网络,ACL的配置首先需要创建ACL编号,然后定义规则rule,并配置允许或者禁止规则的源IP地址,具体配置代码如下:[HX-1]acl 2000 //定义基本acl编号为2000[HX-1-acl-basic-2000]rule 1 deny source 192.168.19.0 0.0.0.255//配置禁止规则[HX-1-acl-basic-2000]rule 2 permit source any//配置允许规则[HX-1-acl-basic-2000][HX-1]int g0/0/7//进入接口[HX-1-GigabitEthernet0/0/7]traffic-filter outbound acl 2000//应用acl到接口的outbound方向[HX-1-GigabitEthernet0/0/7]5.2.4端口安全配置在校园核心上配置端口安全,打开用户侧接口的端口安全功能,配置接口信任设备总数的MAC地址上限,配置了端口安全之后,会使得外来人员无法通过自己带来的网络设备访问校园网络。

配置过程中首先需要打开设备端口安全功能,配置端口的最大接入mac数为200:[HX-1-GigabitEthernet0/0/1] port-security enable//打开端口安全功能。

[HX-1-GigabitEthernet0/0/1] quit5.2.5DHCP Snooping配置DHCP snooping部署在校园网汇聚交换机设备上,它的主要作用就是隔绝非法的DHCP服务器,防止ARP病毒的传播。

它的配置同样需要在系统视图下进行,开启dhcp snooping,设置它所作用的接口,并配置DHCP snooping特性的信任接口。

[Huawei]dhcp snooping enable//开启dhcp snooping功能[Huawei]interface GigabitEthernet0/0/1[Huawei-GigabitEthernet0/0/1] dhcp snooping trusted//配置dhcp snooping信任接口[Huawei-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2[Huawei-GigabitEthernet0/0/2] dhcp snooping trusted//配置dhcp snooping信任接口[Huawei-GigabitEthernet0/0/2]interface GigabitEthernet0/0/3[Huawei-GigabitEthernet0/0/3] dhcp snooping enable//配置dhcp snooping信任接口第6章 网络方案测试6.1 网络联通性测试6.1.1VLAN间通信测试行政楼、综合楼、教学楼、学生宿舍楼、教师宿舍楼、食堂等建筑物的网络分别属于不同的vlan并对应不同网段,在三层交换机上实现vlan间的通信,测试方法:行政楼 VLAN19主机和综合楼vlan20主机,分别查看各自的IP地址,然后进行ping测试,具体结果如下图所示:行政楼主机地址ipconfig显示如图6-1所示:图6-1 行政楼主机地址综合楼主机地址ipconfig显示如图6-2所示:图6-2综合楼主机地址行政楼主机Ping测试访问综合楼主机如图6-3所示:图6-3 ping测试截图由上图6-3可见,行政楼 VLAN19主机和综合楼vlan20主机VLAN间通信测试成功。

6.1.2服务器访问测试校园网中,许多网络应用服务器都会部署在服务器上,为校园网用户提用和访问服务,所以内网主机要能够和服务器进行网络数据通信,具体测试方法:行政楼主机client3ping测试访问服务器IP地址192.168.88.100和192.168.88.101,测试结果如下图6-4所示:图6-4 服务测试截图由上图6-4可见,ping测试有回应报文,说明服务器访问测试成功。

6.1.3外网访问测试学校内部私网主机在防火墙上通过NAT地址转换,实现到internet的访问,测试方法:宿舍楼的终端client16 通过ping测试访问Internet IP地址61.128.1.1,结果如图6-5所示:图6-5 外网访问测试由上图6-5可见,内网主机在访问外网时,在出口转换为出口地址61.128.1.2进行访问外网,说明nat部署成功。

6.2 网络可靠性测试6.2.1端口聚合测试校园网核心交换机HX-1与HX-2在端口G0/0/23-G0/0/24部署端口聚合,将其中一个成员接口shutdown关闭,这时ping测试HX-1与HX-2的vlan19的交换机IP,观察通信测试结果如下图6-6和6-7所示:(1)在HX-1上通过shutdown关闭端口聚合组的一个接口G0/0/23,如图6-6所示:图6-6关闭接口操作(2)在关闭端口聚合组其中一个成员接口之后,通过HX1 ping测试HX2的vlan19的IP地址,结果如下图6-7所示:图6-7 ping测试截图由上图6-7可见,核心交换机之间通信正常,说明链路聚合配置是成功的。

6.2.2网关冗余测试为了保证校园校园网业务的稳定可靠运行,在HX-1、HX-2上配置了VRRP协议,在测试中先查看HX-1和HX-2的VRRP当前状态,然后人为使得HX-1宕机,再在HX-2观察VRRP状态,并用主机ping测试VRRP虚拟网关,观察通信是否正常,具体测试如下图所示:(1)通过display vrrp brief先查看HX-1和HX-2的VRRP当前状态,如图6-8和6-9所示:图6-8 HX-1 VRRP状态信息图6-9 HX-2 VRRP状态信息(3)停用HX-1后,在HX-2显示VRRP状态显示如图6-10所示:图6-10 HX-2 VRRP状态信息(4)利用vlan19主机ping测试自身网关,结果如图6-11所示:图6-11 ping测试由上图6-11可见,网关冗余测试成功。

6.3 网络安全性测试6.3.1 防火墙测试在防火墙上完成网络安全区域的划分,每个网络区域的主机在进行网络通信的时候,防火墙就会工作,然后检测和命中其策略配置,统计对经过它的会话信息,网络每个安全区域有数据经过防火墙的时候,通过执行display命令查看防火墙从trunst区域到uunst区域间的、trunst到DMZ区域的匹配策略 。

局域网主机在进行ping测试外网的时候,也可以用过display命令查看NAT命中规则,具体结果如下图所示:在防火墙上执行display firewall session statistics查看其会话,如图6-12所示:图6-12 防火墙会话统计在防火墙上执行display policy interzone trust uust outbound,查看trunst区域到uunst区域间的策略匹配信息,如图6-13所示:图6-13 trunst区域和uunst区域间的策略匹配在防火墙上执行display policy interzone dmz trunst outbound,查看trunst区域到dmz区域间的策略匹配信息,如图6-14所示:图6-14 trunst区域和DMZ区域间的策略匹配在防火墙上执行display nat-policy interzone trust uust outbound,查看NAT会话的策略匹配信息,如图6-15所示:图6-15 NAT会话如上图6-12、6-13、6-14、6-15所示,在内网主机做ping测试的同时,查看防火墙会话信息,就会发现共有5个信息,trust区域和uust、trunst区域和DMZ区域间的策略匹配都进行策略1的匹配,在防火墙nat中定义两个安全策略,都有命中信息,说明防火墙部署符合设计要求。

6.3.2 ACL访问测试在校园网核心交换机HX-1和HX-2上配置ACL访问控制列表,限制学生宿舍对财务处和行政楼主机的访问,保护学校财务信息和教学资料,在核心交换机通过display命令,查看ACL配置,并用学生宿舍楼主机进行ping测试,具体如下图:在HX-1上执行命令display acl 200查看ACL配置信息,如图6-16所示:图6-16 ACL配置信息学生宿舍楼主机进行ping测试行政楼,结果如图6-17所示:图6-17 ping测试行政楼学生宿舍楼主机进行ping测试教学楼,结果如图6-18所示:图6-18 ping测试教学楼由上图6-17和6-18可见,学生宿舍楼主机client16对行政楼和财务处主机ping测试访问超时,但是可以ping通教学楼主机,说明ACL部署成功。


以上是文章"

4.7.3具体规划对校园网内的IP地址与VLAN实行规划,表4-1

"的内容,欢迎阅读优好科技的其它文章