概述
此次设计,完成了VLAN 划分、WLAN、OSPF、VRRP等基本配置,之后出于对企业top图的完整性和网络安全性的考虑,在此基础上引入了防火墙和防火墙双热备,并在防火墙上成功配置了OSPF、NAT、GRE VPN、IPsec VPN,成功完成了企业网的基本功能。
1.目录
第一章 需求分析
1.1 设计背景
1.2企业网的设计要求
1.3 企业网的功能
第二章总体设计方案
2.1 网络设计规划
2.2 网络拓扑结构
2.3 设备选型
2.4 IP地址规划
第三章详细设计及实施
3.1 部门间VLAN的划分
3.2 Lacp链路聚合
3.3 MSTP
3.4 VRRP
3.5 无线网络WLAN
3.6 内网路由协议OSPF
3.7 外网ISIS的配置
3.8防火墙的配置
3.8.2 配置防火墙双热备
3.8.3 NAT server
3.8.4 NAT PAT
3.8.5 GRE
3.8.6 IPsec over GRE
3.8.8 防火墙安全配置
第四章验证及测试
2 总体设计方案
2.1 网络设计方案
此次网络规划方案包含了VLAN的划分、VRRP、MSTP、LACP链路聚合、无线接入、OSPF路由、NAT、防火墙的双热备、GRE VPN、IPsec VPN等:
- VLAN划分:根据部门或功能的不同,将内网划分为多个VLAN,销售部VLAN 10、网络管理部VLAN 20、经理办公室VLAN 30、生产部VLAN 40。以有效地隔离各个部门之间的流量,提高网络的安全性。
- VRR+MSTP:为保企业网络的稳定可靠,提高企业网络的可用性和容错性。配置VRRP提供默认网关的冗余,确保网络流量的连续性;配置MSTP用于构建冗余的网络拓扑,保证在网络故障发生时能够快速切换并恢复正常的网络通信。
- 无线网络WLAN:采用FIT+AC的无线网络方案,将FIT和AC结合起来,为企业网提供更快速的无线网络接入和更好的管理控制。
- OSPF路由:OSPF有着实现动态路由、负载均衡、网络可扩展性和故障恢复等功能,提供更高效、可靠和灵活的路由选择机制。以保证企业网络的稳定、高性。
- NAT:采用NAT server和NAT PAT的方式。保证了内部服务器安全的同时为外网的用户提供了访问企业数据的方式;也为内网用户提供了访问外网的途径。
- 防火墙双热备:使用防火墙提升企业网络的安全性和可靠性;同时采用防火墙双热备,保证了企业网络的连续性和稳定性。
- GRE VPN:使用GRE协议来建立安全隧道,为企业分部和总部提供的互相通信的方式。
- IPsec VPN:在GRE隧道的基础上,建立IPsec通道,为企业总部与分部的主要通信提供了数据的加密、认证和完整性保护。
2.2 网络拓扑结构
网络设计拓扑图如图2.1所示
图2.1
2.3 设备选型
综合考虑网络规模、需求、预算和未来扩展的可能性。参考厂商提供的技术规格、性能指标、可靠性和支持服务等方面的信息,选择如表2.1所示的设备。
| 设备名称 | 型号 | 数量/个 |
| 交换机(Switch) | S3700 | 4 |
| S5700 | 4 | |
| 无线接入点(AP) | AP2050 | 1 |
| 访问控制器(AC) | AC6605 | 2 |
| 路由器(Router) | AR2220 | 5 |
| 防火墙(Firewall) | USG600V | 3 |
表2.1
2.4 IP地址规划
企业IP地址如表2.2所示:
| 设备/部门 | 接口 | IP地址 |
| 销售部 | Vlanif 10 | 192.168.10.0/24 |
| 网络管理部 | Vlanif 20 | 192.168.20.0/24 |
| 经理办公室 | Vlanif 30 | 192.168.20.0/24 |
| 生产部 | Vlanif 40 | 192.168.30.0/24 |
| AC、AP | Vlanif 60 | 192.168.40.0/24 |
| WLAN | Vlanif 61 | 192.168.61.0/24 |
| Vlanif 62 | 192.168.62.0/24 | |
| AR1 | GigabitEthernet0/0/1 | 192.168.70.1/24 |
| GigabitEthernet0/0/2 | 192.168.72.1/24 | |
| GigabitEthernet0/0/3 | 192.168.80.2/24 | |
| LoopBack1 | 1.1.1.1/32 | |
| AR2 | GigabitEthernet0/0/0 | 192.168.73.1/24 |
| GigabitEthernet0/0/0 | 192.168.71.1/24 | |
| GigabitEthernet0/0/0 | 192.168.90.1/24 | |
| LoopBack1 | 2.2.2.2/32 | |
| AR8 | GigabitEthernet0/0/0 | 192.168.150.2/24 |
| GigabitEthernet0/0/1 | 192.168.160.1/24 | |
| FW1 | GigabitEthernet1/0/0 | 192.168.140.2/24 |
| GigabitEthernet1/0/0 | 20.20.10.2/24 | |
| GigabitEthernet1/0/0 | 192.168.130.2/24 | |
| GigabitEthernet1/0/0 | 192.168.110.2/24 | |
| Tunnel1 | 192.168.115.1/24 | |
| FW2 | GigabitEthernet1/0/0 | 192.168.140.1/24 |
| GigabitEthernet1/0/1 | 20.20.20.2/24 | |
| GigabitEthernet1/0/2 | 192.168.130.1/24 | |
| GigabitEthernet1/0/3 | 192.168.120.1/24 | |
| FW3 | GigabitEthernet1/0/0 | 192.168.150.1/24 |
| GigabitEthernet1/0/1 | 20.20.40.2/24 | |
| Tunnel1 | 192.168.115.2/24 |
表2.2
3.详细设计及实施
3.1 部门间VLAN的划分
根据部门或功能的不同,将内网划分为多个VLAN,销售部VLAN 10、网络管理部VLAN 20、经理办公室VLAN 30、生产部VLAN 40。以有效地隔离各个部门之间的流量,提高网络的安全性。
配置过程:
以VLAN 10的划分为例:
配置LSW4
LSW4上创建VLAN10
vlan batch 10
北向接口为Trunk,放行所有VLAN
南向接口为access,放行VLAN 10
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface Ethernet0/0/4
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface Ethernet0/0/2
port link-type access
port default vlan 10
配置LSW7
LSW7上创建VLAN10
vlan batch 10
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
南向接口为trunk,放行所有vlan
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 2 to 40943.2 Lacp链路聚合
LACP链路聚合实现企业网链路带宽的累加、冗余性的提高、负载均衡和简化管理等功能。可以提供企业网络的高带宽、可靠性和灵活性的网络连接。
配置过程:
在LSW7和LSW8上建立eth-trunk,设置模式为lacp,设置接口为trunk,放行所有vlan,并将接口加入到eth-trunk
interface MEth0/0/1
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
mode lacp-static
#3.3 MSTP
配置MSTP用于构建冗余的网络拓扑,保证在网络故障发生时能够快速切换并恢复正常的网络通信。
配置过程:
配置LSW7为实例12的主根,LSW8为实例34的主根
LSW7配置如下:
stp region-configuration
region-name yt
revision-level 1
instance 12 vlan 10 20
instance 34 vlan 30 40
active region-configuration
stp instance 12 root primary
stp instance 34 root secondary配置MSTP域名为yt,MSTP域修订等级为1,创建两个实列,分别关联VLAN 10 20、VLAN 30 40,设置LSW7为实例12的主根。
LSW8配置如下:
stp region-configuration
region-name yt
revision-level 1
instance 12 vlan 10 20
instance 34 vlan 30 40
active region-configuration
stp instance 12 root secondary
stp instance 34 root primaryLSW4配置如下:
stp region-configuration
region-name yt
revision-level 1
instance 12 vlan 10 20
instance 34 vlan 30 40
active region-configuration
port-group 1
group-member GigabitEthernet0/0/1
group-member Ethernet0/0/2
group-member Ethernet0/0/3
stp edged-port enableLSW5、6、7配置与LSW4相同
3.4 VRRP
为保企业网络的稳定可靠,提高企业网络的可用性和容错性。配置VRRP提供VLAN10、20、30、40,服务器默认网关的冗余,确保网络流量的连续性。
配置过程:
这里以VALN10 为例,vlanif20、30、40同理。
在LSW7和LSW8 vlanif 10 接口下配置vlan10的网关
SW7
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
vrrp vrid 10 virtual-ip 192.168.10.254
vrrp vrid 10 priority 120
SW8
interface Vlanif10
ip address 192.168.10.2 255.255.255.0
vrrp vrid 10 virtual-ip 192.168.10.254在FW1和FW2接口下配置
3.5 无线网络WLAN
采用FIT+AC的无线网络方案,将FIT和AC结合起来,为企业网提供更快速的无线网络接入和更好的管理控制。
配置过程
①在LSW4、6、7、8上创建vlan60、61、62,启用DHCP,vlan60作为ap的管理vlan
vlan batch 10 20 30 40 50 60 to 62
dhcp enable②配置AC
设置VLAN地址池,用于分配地址给用户
vlan pool 61
vlan 61
vlan pool 62
vlan 62
设置IP地址池,用于分配地址给AP
ip pool ap
gateway-list 192.168.60.254
network 192.168.60.0 mask 255.255.255.0
option 43 sub-option 3 ascii 192.168.60.1
设置AC的IP,并分配地址给AP
interface Vlanif60
ip address 192.168.60.1 255.255.255.0
dhcp select global
Wlan
配置安全策略
security-profile name secplay
security wpa-wpa2 psk pass-phrase a12345678 aes
security-profile name secwork
security wpa-wpa2 psk pass-phrase b12345678 aes
配置SSID
ssid-profile name play
ssid play
ssid-profile name work
ssid work
配置vap策略
vap-profile name vapplay
forward-mode tunnel
service-vlan vlan-id 61
ssid-profile play
security-profile secplay
vap-profile name vapwork
forward-mode tunnel
service-vlan vlan-id 62
ssid-profile work
security-profile secwork
配置管理域
regulatory-domain-profile name yt
配置AP组运行方式
ap-group name play
regulatory-domain-profile yt
radio all
vap-profile vapplay wlan 1
vap-profile vapplay wlan 1
ap-group name work
regulatory-domain-profile yt
radio all
将AP加到工作组中
ap-id 1 ap-mac 00e0-fc7a-01a0
ap-group work
ap-id 2 ap-mac 00e0-fccf-2e40
ap-group play3.6 配置内网路由协议OSPF
OSPF有着实现动态路由、负载均衡、网络可扩展性和故障恢复等功能,提供更高效、可靠和灵活的路由选择机制。以保证企业网络的稳定、高性。
配置过程:
这里以AR1为例,AR2、3、4以及防火墙类似。
ospf 1 router-id 1.1.1.1
default-route-advertise
area 0.0.0.0
network 192.168.80.0 0.0.0.255
area 0.0.0.1
network 192.168.70.0 0.0.0.255
network 192.168.72.0 0.0.0.255
将区域1设置为NSSA区域
nssa配置完成后在防火墙(ASBR)上下发缺省路由
ip route-static 0.0.0.0 0.0.0.0 20.20.10.1
ospf 1 router-id 0.0.0.1
default-route-advertisearea 0.0.0.0
network 192.168.110.0 0.0.0.255
network 192.168.115.0 0.0.0.255
network 192.168.130.0 0.0.0.255
network 192.168.140.0 0.0.0.2553.7 外网(模拟)ISIS的配置
配置过程:
AR5、6、7 ISIS层次处于同一层 leave-2 ,配置过程相似,这里以AR5为例:
配置ISIS
isis 1
is-level level-2
network-entity 49.0020.0000.0000.0003.00
在AR5接口下启用ISIS
interface GigabitEthernet0/0/0
ip address 20.20.50.2 255.255.255.0
isis enable 1
interface GigabitEthernet0/0/1
ip address 20.20.10.1 255.255.255.0
isis enable 1
3.8防火墙的配置
3.8.1 安全区域的分配
以FW1配置为例,FW2、3相似。
将内网的接口放入trust区域,内网服务器放入dmz区域,将外网接口放入untrust区域:
firewall zone trust
add interface GigabitEthernet1/0/2
add interface GigabitEthernet1/0/3
firewall zone dmz
add interface GigabitEthernet1/0/0
firewall zone untrust
add interface GigabitEthernet1/0/1
add interface Tunnel13.8.2 配置防火墙双热备
网络中配置两台防火墙设备,在一台主设备故障时,另一台备用设备会自动接管工作,以保障网络的连通性和安全性。
配置过程:
FW1:
启用HRP协议
hrp enable
心跳线,宣告自己的接口和对端IP
hrp interface GigabitEthernet1/0/2 remote 192.168.130.1
开启快速会话备份功能,用于负载分担的工作方式,以应对报文来回路径不一致的场景。
hrp mirror session enable3.8.3 NAT server
NAT server保证内部服务器安全的同时为外网的用户提供了访问企业服务器的方式;
配置过程:
由于防火墙双热备开启了快速会话备份功能,以下配置只需在主备份防火墙进行配置。
配置名为web服务器的NAT server ,将内网web服务器转换为公网可以访问问的地址,对外服务器端口为10000
nat server web protocol tcp global 20.20.10.2 10000 inside 192.168.140.10 www3.8.4 NAT PAT
将内网地址通过端口服用的方式转换为外网地址,为内网用户提供访问外网的途径。
配置过程:
(1)配置地址池,规定地址转换使用的公网地址,以及转换方式为端口复用。
nat address-group ipg 0
mode pat
section 0 20.20.10.100 20.20.10.102- 配置NAT策略
nat-policy
rule name nat
规定转换方向为dmz和trust区域到untrust区域
source-zone dmz
source-zone trust
destination-zone untrust
规定以下源IP使用NAT
source-address 192.168.10.0 mask 255.255.255.0
source-address 192.168.20.0 mask 255.255.255.0
source-address 192.168.30.0 mask 255.255.255.0
source-address 192.168.40.0 mask 255.255.255.0
source-address 192.168.61.0 mask 255.255.255.0
source-address 192.168.62.0 mask 255.255.255.0
除去到分公司的地址,分公司采用GRE通信
destination-address-exclude 192.168.150.0 mask 255.255.255.0
destination-address-exclude 192.168.160.0 mask 255.255.255.0
规则动作为源地址转换,转换的地址使用地址池地址
action source-nat address-group ipg3.8.5 GRE
使用GRE协议来建立隧道,使企业分部和总部能够进行互相通信。
配置过程
(1)配置GRE隧道
FW1:
interface Tunnel1
ip address 192.168.115.1 255.255.255.0
规定隧道为GRE
tunnel-protocol gre
source GigabitEthernet1/0/1
destination 20.20.40.2
FW3:
interface Tunnel1
ip address 192.168.115.2 255.255.255.0
tunnel-protocol gre
source GigabitEthernet1/0/2
destination 20.20.10.2- ospf路由宣告
FW1:
HRP_M[FW1]ospf
HRP_M[FW1-ospf-1]area o
HRP_M[Fw1-ospf-1-area-0.0.0.0]network 192.168.115.0 0.0.0.255
FW3:
[FW3]ospf
[Fw3-ospf-1]area o
[FW3-ospf-1-area-0.0.0.0]netw
[Fw3-ospf-1-area-0.0.0.0]network 192.168.115.0 0.0.0.255/
3.8.6 IPsec over GRE
由于GRE VPN不具有加密功能,将IPsec和GRE结合使用,可以在GRE隧道上应用IPsec的加密和认证机制,实现对隧道中的数据传输进行加密和认证保护。
配置过程:
配置IPsec感兴趣流
FW1:
acl number 3000
rule 10 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.160.0 0.0.0.255
FW3:
acl number 3000
rule 10 permit ip source 192.168.160.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
设置IPsec安全提议
FW1:
proposal 1
查看安全提议,可以看到IPSec的封装模式为tunnel,认证方式为SHA-2,加密方式为AES。
FW2:
proposal 1
设置安全策略
FW1:
ipsec policy yt 1 manual
security acl 3000
proposal 1
tunnel local 20.20.10.2
tunnel remote 20.20.40.2
sa spi inbound esp 1234
sa string-key inbound esp yantao
sa spi outbound esp 4321
sa string-key outbound esp yantao
FW2:
ipsec policy yt 1 manual
security acl 3000
proposal 1
tunnel local 20.20.40.2
tunnel remote 20.20.10.2
sa spi inbound esp 4321
sa string-key inbound esp yantao
sa spi outbound esp 1234
sa string-key outbound esp yantao
在GRE隧道调用IPsec策略
interface Tunnel1
ipsec policy yt3.8.7 防火墙安全配置
由于防火墙默认拒绝所有的数据,包括内网的数据,所以需要配置合适的安策略,允许内网访问外网。
配置过程
配置FW1及FW3的安全策略
security-policy
rule name out
允许内网访问外网
source-zone dmz
source-zone local
source-zone trust
destination-zone untrust
action permit
rule name in
允许内网访问内网(默认不允许)
source-zone dmz
source-zone local
source-zone trust
destination-zone dmz
destination-zone local
destination-zone trust
action permit4.部分配置验证
1.MSTP
在LSW7和LSW8上查看MSTP的运行情况,如下图所示:
在LSW3、4、5、6上查看MSTP的运行情况,如下图所示:
根据接口stp state,可以判断出实例12生成树:
实列12:
同理,可以推断出实列34:
2.VRRP
在LSW7和LSW8上查看VRRP的运行情况如下图所示,可以发现,LSW7为vlan 10 20 的网关,为vlan 30 40 的备份网关,LSW8为vlan 30 40 的网关,为 vlan 10 20 的备份网关。
3.无线网络WLAN
首先检查AP的IP,在AP1和AP2上查看其IP地址,AP获得了AC分配的地址:
使用无线设备接入AP:
查看无线设备的IP,测试是否能与vlan10 20 30 40 61 62 连通,测试结果如下图,连通成功:
4 内网路由
在AR1上查看OSPF邻居信息,如下图所示,可以看到AR1已经和AR3、LSW7、LSW8成为邻居,
同样,可以在FW1上查看邻居信息
在LSW7上查看路由表,如下图所示,可以看到LSW7已获得了整个内网的路由表:
测试连通性,用无线设备ping测试防火墙192.168.110.1和服务器192.168.140.10,连通
5.外网ISIS的配置
配置ISIS模拟外网,查看ISPAR7的路由表,如下图所示:
使用PC6ping服务器,结果如下图所示,连通:
6.NAT
在FW1上查看NAT server运行情况,如下图所示:
使用外网客户端访问内网服务器,如下图所示,访问成功:
查看NAT PAT配置情况,如下图所示:
使用PC1pingPC6,在防火墙G1/0/1和/G1/0/3处抓包,结果如下图所示,查看地址转换情况可以发现,内部IP经防火墙后地址发生了抓换:
G1/0/1:
G1/0/3
7. IPsec over GRE
查看IPsec配置情况,如下图所示:
使用PC3 访问PC5 ,抓包查看,结果如下图所示,二者通信采用了IPsec over GRE ,数据已被加密:
