1、项目十 网络工程项目案例项目十 网络工程项目案例一、背景介绍一、背景介绍 某科技公司是股份制公司,总公司设在北京,在天津某科技公司是股份制公司,总公司设在北京,在天津新收购了一家公司设为天津分公司。总公司使用专用链新收购了一家公司设为天津分公司。总公司使用专用链路与分公司相连组成城域网,主来用来传输公司业务数路与分公司相连组成城域网,主来用来传输公司业务数据。当专用链路中断后,公司业务数据通过互联网采用据。当专用链路中断后,公司业务数据通过互联网采用VPN加密的方式,安全传输业务数据。在总公司的骨加密的方式,安全传输业务数据。在总公司的骨干网、城域网及天津分公司使用动态路由干网、城域网及天津分
2、公司使用动态路由OSPF路由协路由协议。在总公司的无线办公网采用议。在总公司的无线办公网采用RIPv2路由协议,如路由协议,如果你是这个网络项目的网络工程师,可根据下面的需求果你是这个网络项目的网络工程师,可根据下面的需求构建一个安全、稳定的网络。构建一个安全、稳定的网络。23项目十 网络工程项目案例4项目十 网络工程项目案例设 备 类 型设 备 型 号设备数量(台)路由器RG-RSR20-184三层交换机RG-S3760E-242无线APRG-AP220E1计算机4二、设备配备二、设备配备5四、具体要求四、具体要求4.1 总公司网络总公司网络1网络底层配置网络底层配置 根据网络拓扑图所示,对
3、网络设备(路根据网络拓扑图所示,对网络设备(路由设备、交换设备、无线设备)的各端由设备、交换设备、无线设备)的各端口、口、VLAN等相关信息进行配置,使其等相关信息进行配置,使其能够正常通信。能够正常通信。项目十 网络工程项目案例2路由协议配置路由协议配置 根据网络拓扑图所示,在网络中配置根据网络拓扑图所示,在网络中配置OSPF动态路由协议、动态路由协议、RIPv2路由协议路由协议、静态路由,并需要指定、静态路由,并需要指定OSPF路由器路由器的的RID;为保障网络畅通需要配置路由;为保障网络畅通需要配置路由重分布,实现全网互通。重分布,实现全网互通。6项目十 网络工程项目案例73网络出口配置
4、网络出口配置(1)根据网络拓扑图所示,使用网络地址)根据网络拓扑图所示,使用网络地址转换(转换(NAT)技术,实现内部用户可以访问)技术,实现内部用户可以访问互联网资源,要求内部互联网资源,要求内部VLAN10、VLAN20用户使用外部端口的用户使用外部端口的IP地址做为地址做为全局地址访问互联网资源;内部全局地址访问互联网资源;内部VLAN30、VLAN40用户使用用户使用169.1.1.7169.1.1.8地址段作为全局地址访问互联地址段作为全局地址访问互联资源。资源。项目十 网络工程项目案例8 (2)根据网络拓扑图所示,将总部的服)根据网络拓扑图所示,将总部的服务器务器FTP发布到互联网
5、,其合法的全局发布到互联网,其合法的全局地址为地址为169.1.1.2;服务器群中有两台;服务器群中有两台Web服务器组成服务器组成Web服务组,为了提服务组,为了提高服务器的高可用性,要求使用高服务器的高可用性,要求使用TCP负负载分担功能来实现,并使用全局地址载分担功能来实现,并使用全局地址169.1.1.3发布给互联网用户。发布给互联网用户。项目十 网络工程项目案例94数据链路配置数据链路配置(1)根据网络拓扑图所示,由于总公司与)根据网络拓扑图所示,由于总公司与分公司(分公司(VLAN60和和VLAN70)之间需)之间需要传输服务器群中的业务数据要传输服务器群中的业务数据(VLAN80
6、),为了保障业务数据的安全,),为了保障业务数据的安全,总公司与分公司之间使用专用线路来传输总公司与分公司之间使用专用线路来传输业务数据。业务数据。项目十 网络工程项目案例10(2)为了实现业务数据传输的高可用性,)为了实现业务数据传输的高可用性,需要使用互联网作为业务数据传输的备份需要使用互联网作为业务数据传输的备份链路,为了保障业务数据在互联网传输的链路,为了保障业务数据在互联网传输的安全性,使用安全性,使用IPSec VPN技术对数据进技术对数据进行加密,当分公司行加密,当分公司VLAN60和和VLAN70的用户访问总公司的的用户访问总公司的VLAN80服务器群的服务器群的业务时,专用链
7、路宕掉之后,业务时,专用链路宕掉之后,VPN链路启链路启动,并加密传输业务数据。动,并加密传输业务数据。项目十 网络工程项目案例 (3)当专用链路宕掉、)当专用链路宕掉、VPN链路启用后,链路启用后,OSPF路由也需要通过互联网进行传输,所以需路由也需要通过互联网进行传输,所以需要使用要使用GRE隧道传递隧道传递OSPF路由协议更新,将路由协议更新,将GRE隧道的端口也划入到骨干区域隧道的端口也划入到骨干区域0中。中。(4)为了保障总公司骨干网与总公司无线办公)为了保障总公司骨干网与总公司无线办公链路安全,需要在总公司与无线办公网连接的链路安全,需要在总公司与无线办公网连接的链路上配置链路上配
8、置PPP协议,并采用先协议,并采用先CHAP后后PAP的验证方式,并将总公司路由器设置为验证方的验证方式,并将总公司路由器设置为验证方,其口令为,其口令为ruijie。11项目十 网络工程项目案例 (5)为了增加两台核心交换机的传输速)为了增加两台核心交换机的传输速率,需要使用链路聚合技术增加带宽,率,需要使用链路聚合技术增加带宽,并需要基于源并需要基于源IP地进行负载均衡。地进行负载均衡。5路由协议安全路由协议安全 为保障路由协议更新数据的安全,需要在为保障路由协议更新数据的安全,需要在RIP协议中配置协议中配置MD5方式的安全验证,方式的安全验证,其口令为其口令为ruijie。在。在OSP
9、F协议中使用协议中使用MD5方式并基于端口的安全验证。方式并基于端口的安全验证。12项目十 网络工程项目案例6网络安全配置网络安全配置 (1)为保障资源合理利用,需要内网用)为保障资源合理利用,需要内网用户只能在工作日的上班时间才能访问互户只能在工作日的上班时间才能访问互联网,即周一至周五的联网,即周一至周五的9:0018:00。(2)为了网络安全的需求,禁止)为了网络安全的需求,禁止VLAN10的用户与的用户与VLAN40的用户进行的用户进行互相访问。互相访问。13项目十 网络工程项目案例14在服务器群中,部署了在服务器群中,部署了DHCP服务器,为服务器,为内网用户动态分配内网用户动态分配
10、IP地址,网络中会存在地址,网络中会存在无赖设备和无赖设备和DOS攻击,为了保障攻击,为了保障DHCP服务器的正常工作,需要配置服务器的正常工作,需要配置DHCP监听监听功能和中继功能,并要求每隔功能和中继功能,并要求每隔5秒自动写秒自动写入绑定信息。入绑定信息。(3)使用动态)使用动态ARP检测来防止网络中的检测来防止网络中的ARP攻击,并限制攻击,并限制Untrust端口的端口的ARP速率阈值为速率阈值为10pps。项目十 网络工程项目案例15(4)根据网络拓扑图所示,对所有的接)根据网络拓扑图所示,对所有的接入端口配置端口安全,如果有违规者则关入端口配置端口安全,如果有违规者则关闭端口,
11、并要求端口配置为速端口。闭端口,并要求端口配置为速端口。7无线网络配置无线网络配置根据网络拓扑图所示,配置无线根据网络拓扑图所示,配置无线AP,无,无线客户端采用线客户端采用PSK 预共享密钥认证方式预共享密钥认证方式接入网络,其共享密钥为接入网络,其共享密钥为“12345678”。项目十 网络工程项目案例164.2 天津分公司天津分公司1网络底层配置网络底层配置根据网络拓扑图,对设备的各端口、根据网络拓扑图,对设备的各端口、VLAN等相关信息进行配置,使其能够正常通信。等相关信息进行配置,使其能够正常通信。2路由协议配置路由协议配置根据网络拓扑图所示,配置动态路由协议根据网络拓扑图所示,配置
12、动态路由协议OSPF,并需要指定,并需要指定RID。由于区域。由于区域20并并非与骨干区域直接连接,所以需要使用虚链非与骨干区域直接连接,所以需要使用虚链路技术与区域路技术与区域0连接。连接。项目十 网络工程项目案例173网络出口配置网络出口配置根据网络拓扑图所示,使用网络地址转换根据网络拓扑图所示,使用网络地址转换(NAT)技术,实现内部)技术,实现内部VLAN60、VLAN70用户使用外部端口的用户使用外部端口的IP地址访地址访问互联网资源。问互联网资源。4备份链路备份链路(1)为了实现数据传输的高可用性,需)为了实现数据传输的高可用性,需要使用互联网作为业务数据传输的备份链要使用互联网作
13、为业务数据传输的备份链路,为了保障数据在互联网传输的安全性,路,为了保障数据在互联网传输的安全性,项目十 网络工程项目案例18使用使用IPSec VPN对数据加密,当分公司对数据加密,当分公司VLAN60和和VLAN70的用户访问总公司的用户访问总公司的的VLAN80服务器群的业务时,专用链路服务器群的业务时,专用链路宕掉之后,宕掉之后,VPN链路启动,并加密数据。链路启动,并加密数据。(2)当专用链路宕掉、)当专用链路宕掉、VPN链路启用后,链路启用后,OSPF路由也需要通过互联网进行传输,路由也需要通过互联网进行传输,所以需要使用所以需要使用GRE隧道传递隧道传递OSPF协议更协议更新,将新,将GRE隧道的端口也划入到骨干区域隧道的端口也划入到骨干区域0中。中。项目十 网络工程项目案例195路由控制路由控制为了隐藏总公司网络的路由信息,使用分为了隐藏总公司网络的路由信息,使用分发列表技术,只允许分公司路由器学习总发列表技术,只允许分公司路由器学习总公司服务器群的路由条目。公司服务器群的路由条目。6DHCP服务服务在路由器配置在路由器配置DHCP服务,为内部用户动服务,为内部用户动态分配态分配IP地址地址、DNS服务器地址、服务器地址、网关网关等等参数参数。项目十 网络工程项目案例20结束项目十 网络工程项目案例