华为ensp防火墙园区网络设计与部署
又临近期末,老师给我们自己做一个防火墙大作业
在这里分享一个我的期末作业
文档名称 防火墙设计实施文档
学生姓名
专业名称
学院名称
学 号
授课教师
目录
1.企业背景··· 1
2.项目具体要求··· 1
3.实验拓扑及规划··· 1
3.1 网络拓扑结构图··· 1
3.2 网络设备命名与设备连接表··· 2
3.3VLAN规划表··· 2
4. 设备密码管理··· 3
5. 互联技术配置及连通测试截图··· 3
6 移动接入技术配置及连通测试截图··· 3
7. 服务器源NAT及用户源NAT技术配置及连通测试截图··· 3
8. 配置DHCP服务··· 3
9.用户访问互联网本地认证技术及配置,及连通测试截图··· 3
10.各域间安全策略及连通测试截图··· 3
11. 配置默认路由连通测试截图··· 4
12.内部服务器安全策略配置及连通测试截图··· 4
设计与实施文档
1.企业背景
A、方案设计需求:某一国内集团公司,总公司在广州、分公司在北京。总公司有6大部门,分公司:4大部门。
B、要求低成本方式连接两个分公司,两个分公司的上网有严格的控制,
C、对于出口希望能够高可靠性。
b、分公司与总公司之间的连接,采用成本低,安全保障好的技术。
c、总公司有对外的web服务器、oa服务器、对内的服务器。
e、本地用户策略:内网用户访问互联网需要认证,财务服务器只允许综合办、财务部等相关部门访问,其他用户不能访问。
2.项目具体要求
A、画出总的拓扑结构图
B、作出具体IP地址规划和VLAN规划
C、写出网络设备连接表
给所有的设备进行命名,命令规则:部门简称_设备名_编号
D、分公司与总公司之间的连接,采用成本低,安全保障好的隧道技术(可选IPSEC,GRE等),移动办公用户采用接入方式(、IPSEC等)。
E、总公司有对外的web服务器、oa服务器、对内的服务器,要求设置两个dmz区域,使用server nat技术保护对外的服务器,对内服务器只能供内部访问,跟外部服务器使用不同的安全区域;
F、对外网访问,使用源nat技术,映射一段地址;
G、内网用户访问互联网,使用本地protal认证;财务服务器只允许综合办、财务部等相关部门访问,其他用户不能访问。
H、IP地址规划要求:内网地址为172.学号.X.X(如1号同学:172.27.x.x),避免直接复制抄袭。
I、网络只能采用3层扁平化的网络拓扑结构(接入层、汇聚层、核心层)
3.实验拓扑及规划
3.1 网络拓扑结构图
根据项目要求绘制网络拓扑结构图,如图3.1所示:
图3.1 网络拓扑结构图
3.2 网络设备命名与设备连接表
根据网络拓扑结构图绘制网络设备命名与设备连接表,如表3.2所示:
| 部门名称 |
设备名称 |
互联接口 |
IP地址 |
设备名称 |
互联接口 |
备注 |
| 运营中心 |
ISP1 |
G0/0/0 |
202.28.3.254/24 |
ISP2 |
G0/0/0 |
|
| G0/0/1 |
202.28.1.254/24 |
ISP3 |
G0/0/0 |
|||
| G0/0/2 |
202.28.2.254/24 |
ISP4 |
G0/0/0 |
|||
| ISP2 |
G0/0/0 |
202.28.3.1/24 |
ISP1 |
G0/0/0 |
||
| G0/0/1 |
10.10.10.1/29 |
FB127_FW1 |
G0/0/0 |
|||
| ISP3 |
G0/0/0 |
202.28.1.1/24 |
ISP1 |
G0/0/1 |
||
| G0/0/1 |
202.28.96.14/29 |
ZB127_CK_SW1 |
G0/0/1 |
|||
| ISP4 |
G0/0/0 |
202.28.2.1/24 |
ISP1 |
G0/0/2 |
||
| G0/0/1 |
202.28.97.14/29 |
ZB127_CK_SW2 |
G0/0/1 |
|||
| 网络出口 |
ZB127_CK_SW1 |
G0/0/1 |
ISP3 |
G0/0/1 |
||
| G0/0/2 |
ZB127_z_FW1 |
G1/0/3 |
||||
| E0/0/1 |
ZB127_b_FW2 |
G1/0/4 |
||||
| ZB127_CK_SW2 |
G0/0/1 |
ISP4 |
G0/0/1 |
|||
| G0/0/2 |
ZB127_b_FW2 |
G1/0/3 |
||||
| E0/0/1 |
ZB127_z_FW1 |
G1/0/4 |
||||
| 总部防火墙 |
ZB127_z_FW1 |
G1/0/0 |
10.10.2.1/28 |
ZB127_HX_SW1 |
G0/0/23 |
|
| G1/0/2 |
10.10.1.1/30 |
ZB127_b_FW2 |
G1/0/2 |
|||
| G1/0/3 |
202.28.96.9/29 |
ZB127_CK_SW1 |
G0/0/2 |
|||
| G1/0/4 |
202.28.97.9/29 |
ZB127_CK_SW2 |
E0/0/1 |
|||
| G1/0/5 |
10.10.3.1/29 |
ZB127_HJ_SW3 |
G0/0/1 |
|||
| ZB127_b_FW2 |
G1/0/0 |
10.10.2.2/28 |
ZB127_HX_SW2 |
G0/0/23 |
||
| G1/0/2 |
10.10.1.2/30 |
ZB127_z_FW1 |
G1/0/2 |
|||
| G1/0/3 |
202.28.97.10/29 |
ZB127_CK_SW2 |
G0/0/2 |
|||
| G1/0/4 |
202.28.96.10/29 |
ZB127_CK_SW1 |
E0/0/1 |
|||
| G1/0/5 |
10.10.3.2/29 |
ZB127_HJ_SW3 |
G0/0/2 |
|||
| 分公司防火墙 |
FB127_FW1 |
G1/0/0 |
10.10.10.6/29 |
ISP2 |
G0/0/1 |
|
| G1/0/1 |
20.30.1.1/29 |
FB127_HX_SW1 |
G0/0/1 |
|||
| 总部核心设备 |
ZB127_HX_SW1 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/21 |
||
| G0/0/2 |
ZB127_HJ_SW2 |
G0/0/21 |
||||
| G0/0/23 |
10.10.2.5/28 |
ZB127_z_FW1 |
G1/0/0 |
VLAN80 |
||
| G0/0/24 |
ZB127_HX_SW2 |
G0/0/24 |
||||
| ZB127_HX_SW2 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/22 |
|||
| G0/0/2 |
ZB127_HJ_SW2 |
G0/0/22 |
||||
| G0/0/23 |
10.10.2.6/28 |
ZB127_b_FW2 |
G1/0/0 |
VLAN80 |
||
| G0/0/24 |
ZB127_HX_SW1 |
G0/0/24 |
||||
| 分公司核心设备 |
FB127_HX_LY1 |
G0/0/1 |
20.10.1.1/30 |
FB127_FW1 |
G0/0/21 |
VLAN60 |
| G0/0/2 |
20.20.1.1/30 |
FB127_HJ_SW2 |
G0/0/21 |
VLAN70 |
||
| G0/0/0 |
20.30.1.2/29 |
FB127_FW1 |
G1/0/1 |
|||
| 汇聚设备 |
ZB127_HJ_SW1 |
G0/0/1 |
192.6.10.252/24 |
ZB127_JR_SW1 |
G0/0/1 |
VLAN11 |
| G0/0/2 |
192.6.20.252/24 |
ZB127_JR_SW2 |
G0/0/1 |
VLAN12 |
||
| G0/0/3 |
192.6.30.252/24 |
ZB127_JR_SW3 |
G0/0/1 |
VLAN13 |
||
| G0/0/4 |
192.6.40.252/24 |
ZB127_JR_SW4 |
G0/0/1 |
VLAN14 |
||
| G0/0/5 |
192.6.50.252/24 |
ZB127_JR_SW5 |
G0/0/1 |
VLAN15 |
||
| G0/0/6 |
192.6.60.252/24 |
ZB127_JR_SW6 |
G0/0/1 |
VLAN16 |
||
| G0/0/21 |
ZB127_HX_SW1 |
G0/0/1 |
||||
| G0/0/22 |
ZB127_HX_SW2 |
G0/0/1 |
||||
| G0/0/23 |
ZB127_HJ_SW2 |
G0/0/23 |
||||
| G0/0/24 |
ZB127_HJ_SW2 |
G0/0/24 |
||||
| ZB127_HJ_SW2 |
G0/0/1 |
192.6.10.253/24 |
ZB127_JR_SW1 |
G0/0/2 |
VLAN11 |
|
| G0/0/2 |
192.6.20.253/24 |
ZB127_JR_SW2 |
G0/0/2 |
VLAN12 |
||
| G0/0/3 |
192.6.30.253/24 |
ZB127_JR_SW3 |
G0/0/2 |
VLAN13 |
||
| G0/0/4 |
192.6.40.253/24 |
ZB127_JR_SW4 |
G0/0/2 |
VLAN14 |
||
| G0/0/5 |
192.6.50.253/24 |
ZB127_JR_SW5 |
G0/0/2 |
VLAN15 |
||
| G0/0/6 |
192.6.60.253/24 |
ZB127_JR_SW6 |
G0/0/2 |
VLAN16 |
||
| G0/0/21 |
ZB127_HX_SW1 |
G0/0/2 |
||||
| G0/0/22 |
ZB127_HX_SW2 |
G0/0/2 |
||||
| G0/0/23 |
ZB127_HJ_SW1 |
G0/0/23 |
||||
| G0/0/24 |
ZB127_HJ_SW1 |
G0/0/24 |
||||
| ZB127_HJ_SW3 |
G0/0/1 |
10.10.3.3/29 |
ZB127_z_FW1 |
G1/0/5 |
VLAN80 |
|
| G0/0/2 |
10.10.3.3/29 |
ZB127_b_FW2 |
G1/0/5 |
VLAN80 |
||
| G0/0/3 |
192.6.70.254 |
WEB Server |
E0/0/1 |
VLAN17 |
||
| G0/0/4 |
192.6.70.254 |
FTP Server |
E0/0/1 |
VLAN17 |
||
| G0/0/5 |
192.6.80.254 |
财务服务器 |
E0/0/1 |
VLAN18 |
||
| 分公司汇聚设备 |
FB127_HJ_SW1 |
G0/0/1 |
172.6.10.252 |
FB127_JR_SW1 |
G0/0/1 |
VL110 |
| G0/0/2 |
172.6.20.252 |
FB127_JR_SW2 |
G0/0/1 |
VL120 |
||
| G0/0/3 |
172.6.30.253 |
FB127_JR_SW3 |
G0/0/1 |
VL130 |
||
| G0/0/4 |
172.6.40.253 |
FB127_JR_SW4 |
G0/0/1 |
VL140 |
||
| G0/0/21 |
FB127_HX_SW1 |
G0/0/2 |
||||
| G0/0/23 |
FB127_HJ_SW2 |
G0/0/23 |
||||
| G0/0/24 |
FB127_HJ_SW2 |
G0/0/24 |
||||
| FB127_HJ_SW2 |
G0/0/1 |
172.6.10.253 |
FB127_JR_SW1 |
G0/0/2 |
VL110 |
|
| G0/0/2 |
172.6.20.253 |
FB127_JR_SW2 |
G0/0/2 |
VL120 |
||
| G0/0/3 |
172.6.30.252 |
FB127_JR_SW3 |
G0/0/2 |
VL130 |
||
| G0/0/4 |
172.6.40.252 |
FB127_JR_SW4 |
G0/0/2 |
VL140 |
||
| G0/0/21 |
FB127_HX_SW1 |
G0/0/3 |
||||
| G0/0/23 |
FB127_HJ_SW1 |
G0/0/23 |
||||
| G0/0/24 |
FB127_HJ_SW1 |
G0/0/24 |
||||
| 接入设备 |
ZB127_JR_SW1 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/1 |
||
| G0/0/2 |
ZB127_HJ_SW2 |
G0/0/1 |
||||
| E0/0/1 |
PC1 |
E0/0/1 |
人事部 |
|||
| ZB127_JR_SW2 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/2 |
|||
| G0/0/2 |
ZB127_HJ_SW2 |
G0/0/2 |
||||
| E0/0/1 |
PC2 |
E0/0/1 |
财务部 |
|||
| ZB127_JR_SW3 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/3 |
|||
| G0/0/2 |
ZB127_HJ_SW2 |
G0/0/3 |
||||
| E0/0/1 |
PC3 |
E0/0/1 |
研发部 |
|||
| ZB127_JR_SW4 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/4 |
|||
| G0/0/2 |
ZB127_HJ_SW2 |
G0/0/4 |
||||
| E0/0/1 |
PC4 |
E0/0/1 |
开发部 |
|||
| ZB127_JR_SW5 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/5 |
|||
| G0/0/2 |
ZB127_HJ_SW2 |
G0/0/5 |
||||
| E0/0/1 |
PC5 |
E0/0/1 |
行政部 |
|||
| ZB127_JR_SW6 |
G0/0/1 |
ZB127_HJ_SW1 |
G0/0/6 |
|||
| G0/0/2 |
ZB127_HJ_SW2 |
G0/0/6 |
||||
| E0/0/1 |
PC6 |
E0/0/1 |
经理部 |
|||
| 分公司接入设备 |
FB127_JR_SW1 |
G0/0/1 |
FB127_HJ_SW1 |
G0/0/1 |
||
| G0/0/2 |
FB127_HJ_SW2 |
G0/0/1 |
||||
| E0/0/1 |
PC7 |
E0/0/1 |
销售部 |
|||
| FB127_JR_SW2 |
G0/0/1 |
FB127_HJ_SW1 |
G0/0/2 |
|||
| G0/0/2 |
FB127_HJ_SW2 |
G0/0/2 |
||||
| E0/0/1 |
PC8 |
E0/0/1 |
技术部 |
|||
| FB127_JR_SW3 |
G0/0/1 |
FB127_HJ_SW1 |
G0/0/3 |
|||
| G0/0/2 |
FB127_HJ_SW2 |
G0/0/3 |
||||
| E0/0/1 |
PC9 |
E0/0/1 |
市场部 |
|||
| FB127_JR_SW4 |
G0/0/1 |
FB127_HJ_SW1 |
G0/0/4 |
|||
| G0/0/2 |
FB127_HJ_SW2 |
G0/0/4 |
||||
| E0/0/1 |
PC10 |
E0/0/1 |
客服部 |
表3.2设备命名与设备连接表
3.3VLAN规划表
根据项目要求制作VLAN规划表,如表3.4所示:
| 序号 |
部门名称 |
VLAN编号 |
VLAN名称 |
IP地址 |
子网掩码 |
备注 |
| 1 |
人事部 |
11 |
RS |
192.6.10.0 |
255.255.255.0 |
192.6.10.254 |
| 2 |
财务部 |
12 |
CW |
192.6.20.0 |
255.255.255.0 |
192.6.20.254 |
| 3 |
综合办 |
13 |
YF |
192.6.30.0 |
255.255.255.0 |
192.6.30.254 |
| 4 |
开发部 |
14 |
KF |
192.6.40.0 |
255.255.255.0 |
192.6.40.254 |
| 5 |
行政部 |
15 |
XZ |
192.6.50.0 |
255.255.255.0 |
192.6.50.254 |
| 6 |
经理部 |
16 |
JL |
192.6.60.0 |
255.255.255.0 |
192.6.60.254 |
| 7 |
服务区 |
17 |
FWQ |
192.6.70.0 |
255.255.255.0 |
192.6.70.254 |
| 8 |
财务服务器 |
18 |
CWFW |
192.6.80.0 |
255.255.255.0 |
192.6.80.254 |
| 9 |
销售部 |
110 |
XS |
172.27.10.0 |
255.255.255.0 |
172.27.10.254 |
| 10 |
技术部 |
120 |
JS |
172.27.20.0 |
255.255.255.0 |
172.27.20.254 |
| 11 |
市场部 |
130 |
SC |
172.27.30.0 |
255.255.255.0 |
172.27.30.254 |
表3.4 Vlan规划表
4. 设备密码管理
账号:admin
密码:admin@123
5. 互联技术配置及连通测试截图
总部
配置域间包过滤策略
配置tunnel口
检验总部pc1 ping 分公司pc
分公司
配置域间包过滤策略
配置tunnel口
检验
分公司pc ping 总部pc1
查看会话表
6 移动接入技术配置及连通测试截图
配置虚拟模板和配置对应地址池
开启L2TP
创建并配置L2TP组
密码是admin@123
创建地址池1
认证方案
设置用户名及密码
区域划分
检验
7. 服务器源NAT及用户源NAT技术配置及连通测试截图
Server NAT
配置域间包过滤策略
配置NAT Server
配置NAT地址池
配置NAT策略转换
测试外部只能访问对外总部web服务器
可以看出访问内网服务器是不成功
查看会话表
源NAT
ZB_z_FW1
总部内网ping外网
查看会话表
FB_FW1
分公司内外ping外网
查看会话表
8. 配置DHCP服务
总部
ipconfig查看能否获取地址
分部
ipconfig查看能否获取地址
9.用户访问互联网本地认证技术及配置,及连通测试截图
暂无
10.各域间安全策略及连通测试截图
总部
分公司
11. 配置默认路由连通测试截图
总部
ZB127_z_FW1
ZB127_b_FW2
ZB127_HJ_SW1
ZB127_HJ_SW2
分公司
FB127_FW1
总部ping 分公司
查看会话表
分公司ping总部
查看分公司防火墙会话表
12.内部服务器安全策略配置及连通测试截图
域间包过滤策略(只允许财务部和综合部访问财务服务器)
内部网络可以访问内部服务器
检验
财务可以ping通财务服务器
开发部不能
分公司可以访问web不能ping通财务
内部网络可以访问内部服务器
