企业工业网络搭建

企业工业网络搭建以及配置 

网络拓扑图:

企业工业网络搭建_第1张图片

局域网分配:

IP地址段确认

生产网络:192.168.1.0/24

边端网络:192.168.2.0/24

维护网络:192.168.3.0/24

服务区:  192.168.8.0/24

生产网络:

设备名

设备信息

数量

备注

IP地址

路由器

Cisco IOL

1台

交换机

主机

Linux_7

1台

服务器

192.168.1.100

边缘网络:

设备名

设备信息

数量

备注

IP地址

交换机

Cisco IOL

1台

交换机

主机

linux_8

1台

服务器

192.168.2.100

维护网络:

设备名

设备信息

数量

备注

IP地址

交换机

Cisco IOL

1台

交换机

主机

Linux_9

1台

服务器

192.168.3.100

边缘端网络配置:

企业工业网络搭建_第2张图片

云端网络配置:

        企业工业网络搭建_第3张图片  

模拟典型工业网络安全情景,对网络进行优化配置,封堵网络漏洞,提高安全性能,并搭建的网络进行测试形成当前网络性能与安全性能分析报告。为了更好的维护网络安全,对于各个网络有以下要求:

交换机配置

生产网络:

允许icmp回包:access-list ProduACL permit icmp any any echo-reply // 允许icmp回包

不可以访问维护网络

命令:

access-list ProduACL deny ip any 192.168.3.0 255.255.255.0 // 不允许访问维护

企业工业网络搭建_第4张图片

不可以访问边端网络

命令:

access-list ProduACL deny ip any 192.168.2.0 255.255.255.0 // 不允许访问边端

企业工业网络搭建_第5张图片

所以加入到端口:

access-group ProduACL in interface Produ

端网络:

允许icmp回包:access-list BrinkACL permit icmp any any echo-reply // 允许icmp回包

可以通过ping访问生产网络

命令:

access-list BrinkACL permit icmp any 192.168.1.0 255.255.255.0 // ICMP

企业工业网络搭建_第6张图片

可以通过OPC UA访问生产网络

命令:

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1840

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1845 // OPC UA

可以通过机器人通信协议(TCPIP, UR机器人)访问生产网络

命令:

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 22 //机器人通信协议(TCPIP, UR机器人)访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 502 //机器人通信协议(TCPIP, UR机器人)访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 29999 //机器人通信协议(TCPIP, UR机器人)访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30001 //机器人通信协议(TCPIP, UR机器人)访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30002 //机器人通信协议(TCPIP, UR机器人)访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30003 // UR

可以通过PLC通讯协议(S7协议)访问生产网络

命令:

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 102 // S7

可以通过数控通讯协议(NC-Link)访问生产网络

命令:

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1883 // NC-Link

 

边端网络不可以通过ping、OPC UA、TCPIP、S7、数控通讯协议之外的协议访问生产网络

// 边端本身安全等级低于生产 第6条不用配置

可以通过ping 访问维护网络

命令:

access-list BrinkACL permit icmp any 192.168.3.0 255.255.255.0 // ping 维护网络

企业工业网络搭建_第7张图片

所以加入到端口:

access-group BrinkACL in interface Brink

可以通过ping 访问生产网络

命令:

access-list TestACL permit icmp any any echo-reply // 允许icmp回包

access-list TestACL permit icmp any 192.168.1.0 255.255.255.0 // ping 生产网络

企业工业网络搭建_第8张图片

可以通过https 访问生产网络

命令:

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 443 //https 访问生产网络

企业工业网络搭建_第9张图片

可以通过http 访问生产网络

命令:

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 80 //http 访问生产网络

企业工业网络搭建_第10张图片

可以通过OPC UA 访问生产网络

命令:

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 22 //OPC UA 访问生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1840 //OPC UA 访问生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1845 //OPC UA 访问生产网络

可以通过机器人通信协议(TCPIP)访问生产网络

命令:

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 502 //机器人通信协议(TCPIP)访问生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 29999  //机器人通信协议(TCPIP)访问生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30001  //机器人通信协议生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30002  //机器人通信协议生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30003  //机器人通信协议生产网络

企业工业网络搭建_第11张图片

可以通过数控通讯协议访问生产网络

命令:

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1883 //数控通讯协议访问生产网络

可以通过PLC通讯协议(S7协议)访问生产网络

命令:

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 102 //PLC通讯协议(S7协议)访问生产网络

不可以使用除了http、https、ping、OPC UA、S7、数控通讯协议之外的协议访问生产网络

// 维护网络本身安全等级低于生产 第8条不用配置

可以通过ping 访问边端网络

命令:

access-list TestACL permit icmp any 192.168.2.0 255.255.255.0  //ping边端网络

可以通过https 访问边端网络

命令:

access-list TestACL permit tcp any 192.168.2.0 255.255.255.0 eq 443  //https 访问边端网络

防火墙配置:

管理网页仅可以在维护网络打开

修改默认账户的密码为@2021password

 导出防火墙的配置文件

企业工业网络搭建_第12张图片

企业工业网络搭建_第13张图片

你可能感兴趣的:(思科,服务器,linux,网络)