华为ensp防火墙园区网络设计与部署

又临近期末,老师给我们自己做一个防火墙大作业

在这里分享一个我的期末作业

华为ensp防火墙园区网络设计与部署_第1张图片

文档名称  防火墙设计实施文档

学生姓名                                   

专业名称                                   

学院名称                                   

    学 号                                     

 授课教师                                   

目录

1.企业背景··· 1

2.项目具体要求··· 1

3.实验拓扑及规划··· 1

3.1 网络拓扑结构图··· 1

3.2 网络设备命名与设备连接表··· 2

3.3VLAN规划表··· 2

4. 设备密码管理··· 3

5. 互联技术配置及连通测试截图··· 3

6       移动接入技术配置及连通测试截图··· 3

7. 服务器源NAT及用户源NAT技术配置及连通测试截图··· 3

8. 配置DHCP服务··· 3

9.用户访问互联网本地认证技术及配置,及连通测试截图··· 3

10.各域间安全策略及连通测试截图··· 3

11. 配置默认路由连通测试截图··· 4

12.内部服务器安全策略配置及连通测试截图··· 4

设计与实施文档

1.企业背景

A、方案设计需求:某一国内集团公司,总公司在广州、分公司在北京。总公司有6大部门,分公司:4大部门。

B、要求低成本方式连接两个分公司,两个分公司的上网有严格的控制,

C、对于出口希望能够高可靠性。

b、分公司与总公司之间的连接,采用成本低,安全保障好的技术。

c、总公司有对外的web服务器、oa服务器、对内的服务器。

e、本地用户策略:内网用户访问互联网需要认证,财务服务器只允许综合办、财务部等相关部门访问,其他用户不能访问。

2.项目具体要求

A、画出总的拓扑结构图

B、作出具体IP地址规划和VLAN规划

C、写出网络设备连接表

给所有的设备进行命名,命令规则:部门简称_设备名_编号

D、分公司与总公司之间的连接,采用成本低,安全保障好的隧道技术(可选IPSEC,GRE等),移动办公用户采用接入方式(、IPSEC等)。

E、总公司有对外的web服务器、oa服务器、对内的服务器,要求设置两个dmz区域,使用server nat技术保护对外的服务器,对内服务器只能供内部访问,跟外部服务器使用不同的安全区域;

F、对外网访问,使用源nat技术,映射一段地址;

G、内网用户访问互联网,使用本地protal认证;财务服务器只允许综合办、财务部等相关部门访问,其他用户不能访问。

H、IP地址规划要求:内网地址为172.学号.X.X(如1号同学:172.27.x.x),避免直接复制抄袭。

I、网络只能采用3层扁平化的网络拓扑结构(接入层、汇聚层、核心层)

3.实验拓扑及规划

3.1 网络拓扑结构图

根据项目要求绘制网络拓扑结构图,如图3.1所示:

华为ensp防火墙园区网络设计与部署_第2张图片

华为ensp防火墙园区网络设计与部署_第3张图片

图3.1 网络拓扑结构图

3.2 网络设备命名与设备连接表

根据网络拓扑结构图绘制网络设备命名与设备连接表,如表3.2所示:

部门名称

设备名称

互联接口

IP地址

设备名称

互联接口

备注

运营中心

ISP1

G0/0/0

202.28.3.254/24

ISP2

G0/0/0

G0/0/1

202.28.1.254/24

ISP3

G0/0/0

G0/0/2

202.28.2.254/24

ISP4

G0/0/0

ISP2

G0/0/0

202.28.3.1/24

ISP1

G0/0/0

G0/0/1

10.10.10.1/29

FB127_FW1

G0/0/0

ISP3

G0/0/0

202.28.1.1/24

ISP1

G0/0/1

G0/0/1

202.28.96.14/29

ZB127_CK_SW1

G0/0/1

ISP4

G0/0/0

202.28.2.1/24

ISP1

G0/0/2

G0/0/1

202.28.97.14/29

ZB127_CK_SW2

G0/0/1

网络出口

ZB127_CK_SW1

G0/0/1

ISP3

G0/0/1

G0/0/2

ZB127_z_FW1

G1/0/3

E0/0/1

ZB127_b_FW2

G1/0/4

ZB127_CK_SW2

G0/0/1

ISP4

G0/0/1

G0/0/2

ZB127_b_FW2

G1/0/3

E0/0/1

ZB127_z_FW1

G1/0/4

总部防火墙

ZB127_z_FW1

G1/0/0

10.10.2.1/28

ZB127_HX_SW1

G0/0/23

G1/0/2

10.10.1.1/30

ZB127_b_FW2

G1/0/2

G1/0/3

202.28.96.9/29

ZB127_CK_SW1

G0/0/2

G1/0/4

202.28.97.9/29

ZB127_CK_SW2

E0/0/1

G1/0/5

10.10.3.1/29

ZB127_HJ_SW3

G0/0/1

ZB127_b_FW2

G1/0/0

10.10.2.2/28

ZB127_HX_SW2

G0/0/23

G1/0/2

10.10.1.2/30

ZB127_z_FW1

G1/0/2

G1/0/3

202.28.97.10/29

ZB127_CK_SW2

G0/0/2

G1/0/4

202.28.96.10/29

ZB127_CK_SW1

E0/0/1

G1/0/5

10.10.3.2/29

ZB127_HJ_SW3

G0/0/2

分公司防火墙

FB127_FW1

G1/0/0

10.10.10.6/29

ISP2

G0/0/1

G1/0/1

20.30.1.1/29

FB127_HX_SW1

G0/0/1

总部核心设备

ZB127_HX_SW1

G0/0/1

ZB127_HJ_SW1

G0/0/21

G0/0/2

ZB127_HJ_SW2

G0/0/21

G0/0/23

10.10.2.5/28

ZB127_z_FW1

G1/0/0

VLAN80

G0/0/24

ZB127_HX_SW2

G0/0/24

ZB127_HX_SW2

G0/0/1

ZB127_HJ_SW1

G0/0/22

G0/0/2

ZB127_HJ_SW2

G0/0/22

G0/0/23

10.10.2.6/28

ZB127_b_FW2

G1/0/0

VLAN80

G0/0/24

ZB127_HX_SW1

G0/0/24

分公司核心设备

FB127_HX_LY1

G0/0/1

20.10.1.1/30

FB127_FW1

G0/0/21

VLAN60

G0/0/2

20.20.1.1/30

FB127_HJ_SW2

G0/0/21

VLAN70

G0/0/0

20.30.1.2/29

FB127_FW1

G1/0/1

汇聚设备

ZB127_HJ_SW1

G0/0/1

192.6.10.252/24

ZB127_JR_SW1

G0/0/1

VLAN11

G0/0/2

192.6.20.252/24

ZB127_JR_SW2

G0/0/1

VLAN12

G0/0/3

192.6.30.252/24

ZB127_JR_SW3

G0/0/1

VLAN13

G0/0/4

192.6.40.252/24

ZB127_JR_SW4

G0/0/1

VLAN14

G0/0/5

192.6.50.252/24

ZB127_JR_SW5

G0/0/1

VLAN15

G0/0/6

192.6.60.252/24

ZB127_JR_SW6

G0/0/1

VLAN16

G0/0/21

ZB127_HX_SW1

G0/0/1

G0/0/22

ZB127_HX_SW2

G0/0/1

G0/0/23

ZB127_HJ_SW2

G0/0/23

G0/0/24

ZB127_HJ_SW2

G0/0/24

ZB127_HJ_SW2

G0/0/1

192.6.10.253/24

ZB127_JR_SW1

G0/0/2

VLAN11

G0/0/2

192.6.20.253/24

ZB127_JR_SW2

G0/0/2

VLAN12

G0/0/3

192.6.30.253/24

ZB127_JR_SW3

G0/0/2

VLAN13

G0/0/4

192.6.40.253/24

ZB127_JR_SW4

G0/0/2

VLAN14

G0/0/5

192.6.50.253/24

ZB127_JR_SW5

G0/0/2

VLAN15

G0/0/6

192.6.60.253/24

ZB127_JR_SW6

G0/0/2

VLAN16

G0/0/21

ZB127_HX_SW1

G0/0/2

G0/0/22

ZB127_HX_SW2

G0/0/2

G0/0/23

ZB127_HJ_SW1

G0/0/23

G0/0/24

ZB127_HJ_SW1

G0/0/24

ZB127_HJ_SW3

G0/0/1

10.10.3.3/29

ZB127_z_FW1

G1/0/5

VLAN80

G0/0/2

10.10.3.3/29

ZB127_b_FW2

G1/0/5

VLAN80

G0/0/3

192.6.70.254

WEB Server

E0/0/1

VLAN17

G0/0/4

192.6.70.254

FTP Server

E0/0/1

VLAN17

G0/0/5

192.6.80.254

财务服务器

E0/0/1

VLAN18

分公司汇聚设备

FB127_HJ_SW1

G0/0/1

172.6.10.252

FB127_JR_SW1

G0/0/1

VL110

G0/0/2

172.6.20.252

FB127_JR_SW2

G0/0/1

VL120

G0/0/3

172.6.30.253

FB127_JR_SW3

G0/0/1

VL130

G0/0/4

172.6.40.253

FB127_JR_SW4

G0/0/1

VL140

G0/0/21

FB127_HX_SW1

G0/0/2

G0/0/23

FB127_HJ_SW2

G0/0/23

G0/0/24

FB127_HJ_SW2

G0/0/24

FB127_HJ_SW2

G0/0/1

172.6.10.253

FB127_JR_SW1

G0/0/2

VL110

G0/0/2

172.6.20.253

FB127_JR_SW2

G0/0/2

VL120

G0/0/3

172.6.30.252

FB127_JR_SW3

G0/0/2

VL130

G0/0/4

172.6.40.252

FB127_JR_SW4

G0/0/2

VL140

G0/0/21

FB127_HX_SW1

G0/0/3

G0/0/23

FB127_HJ_SW1

G0/0/23

G0/0/24

FB127_HJ_SW1

G0/0/24

接入设备

ZB127_JR_SW1

G0/0/1

ZB127_HJ_SW1

G0/0/1

G0/0/2

ZB127_HJ_SW2

G0/0/1

E0/0/1

PC1

E0/0/1

人事部

ZB127_JR_SW2

G0/0/1

ZB127_HJ_SW1

G0/0/2

G0/0/2

ZB127_HJ_SW2

G0/0/2

E0/0/1

PC2

E0/0/1

财务部

ZB127_JR_SW3

G0/0/1

ZB127_HJ_SW1

G0/0/3

G0/0/2

ZB127_HJ_SW2

G0/0/3

E0/0/1

PC3

E0/0/1

研发部

ZB127_JR_SW4

G0/0/1

ZB127_HJ_SW1

G0/0/4

G0/0/2

ZB127_HJ_SW2

G0/0/4

E0/0/1

PC4

E0/0/1

开发部

ZB127_JR_SW5

G0/0/1

ZB127_HJ_SW1

G0/0/5

G0/0/2

ZB127_HJ_SW2

G0/0/5

E0/0/1

PC5

E0/0/1

行政部

ZB127_JR_SW6

G0/0/1

ZB127_HJ_SW1

G0/0/6

G0/0/2

ZB127_HJ_SW2

G0/0/6

E0/0/1

PC6

E0/0/1

经理部

分公司接入设备

FB127_JR_SW1

G0/0/1

FB127_HJ_SW1

G0/0/1

G0/0/2

FB127_HJ_SW2

G0/0/1

E0/0/1

PC7

E0/0/1

销售部

FB127_JR_SW2

G0/0/1

FB127_HJ_SW1

G0/0/2

G0/0/2

FB127_HJ_SW2

G0/0/2

E0/0/1

PC8

E0/0/1

技术部

FB127_JR_SW3

G0/0/1

FB127_HJ_SW1

G0/0/3

G0/0/2

FB127_HJ_SW2

G0/0/3

E0/0/1

PC9

E0/0/1

市场部

FB127_JR_SW4

G0/0/1

FB127_HJ_SW1

G0/0/4

G0/0/2

FB127_HJ_SW2

G0/0/4

E0/0/1

PC10

E0/0/1

客服部

表3.2设备命名与设备连接表

3.3VLAN规划表

根据项目要求制作VLAN规划表,如表3.4所示:

序号

部门名称

VLAN编号

VLAN名称

IP地址

子网掩码

备注

1

人事部

11

RS

192.6.10.0

255.255.255.0

192.6.10.254

2

财务部

12

CW

192.6.20.0

255.255.255.0

192.6.20.254

3

综合办

13

YF

192.6.30.0

255.255.255.0

192.6.30.254

4

开发部

14

KF

192.6.40.0

255.255.255.0

192.6.40.254

5

行政部

15

XZ

192.6.50.0

255.255.255.0

192.6.50.254

6

经理部

16

JL

192.6.60.0

255.255.255.0

192.6.60.254

7

服务区

17

FWQ

192.6.70.0

255.255.255.0

192.6.70.254

8

财务服务器

18

CWFW

192.6.80.0

255.255.255.0

192.6.80.254

9

销售部

110

XS

172.27.10.0

255.255.255.0

172.27.10.254

10

技术部

120

JS

172.27.20.0

255.255.255.0

172.27.20.254

11

市场部

130

SC

172.27.30.0

255.255.255.0

172.27.30.254

表3.4  Vlan规划表

4. 设备密码管理

账号:admin

密码:admin@123

5. 互联技术配置及连通测试截图

总部

配置域间包过滤策略

华为ensp防火墙园区网络设计与部署_第4张图片配置tunnel口

华为ensp防火墙园区网络设计与部署_第5张图片

华为ensp防火墙园区网络设计与部署_第6张图片

检验总部pc1 ping 分公司pc

华为ensp防火墙园区网络设计与部署_第7张图片华为ensp防火墙园区网络设计与部署_第8张图片

 分公司

配置域间包过滤策略

华为ensp防火墙园区网络设计与部署_第9张图片配置tunnel口

华为ensp防火墙园区网络设计与部署_第10张图片华为ensp防火墙园区网络设计与部署_第11张图片

 检验

分公司pc ping 总部pc1

华为ensp防火墙园区网络设计与部署_第12张图片查看会话表

华为ensp防火墙园区网络设计与部署_第13张图片

 

6  移动接入技术配置及连通测试截图

配置虚拟模板和配置对应地址池

华为ensp防火墙园区网络设计与部署_第14张图片开启L2TP

创建并配置L2TP组

华为ensp防火墙园区网络设计与部署_第15张图片密码是admin@123

创建地址池1

华为ensp防火墙园区网络设计与部署_第16张图片认证方案

设置用户名及密码

 区域划分

华为ensp防火墙园区网络设计与部署_第17张图片

 检验

华为ensp防火墙园区网络设计与部署_第18张图片

7. 服务器源NAT及用户源NAT技术配置及连通测试截图

Server NAT

配置域间包过滤策略

华为ensp防火墙园区网络设计与部署_第19张图片

 配置NAT Server

配置NAT地址池

华为ensp防火墙园区网络设计与部署_第20张图片

配置NAT策略转换

华为ensp防火墙园区网络设计与部署_第21张图片

 测试外部只能访问对外总部web服务器

华为ensp防火墙园区网络设计与部署_第22张图片可以看出访问内网服务器是不成功

华为ensp防火墙园区网络设计与部署_第23张图片查看会话表

华为ensp防火墙园区网络设计与部署_第24张图片

源NAT

ZB_z_FW1

华为ensp防火墙园区网络设计与部署_第25张图片总部内网ping外网

华为ensp防火墙园区网络设计与部署_第26张图片查看会话表

华为ensp防火墙园区网络设计与部署_第27张图片FB_FW1

华为ensp防火墙园区网络设计与部署_第28张图片华为ensp防火墙园区网络设计与部署_第29张图片

 分公司内外ping外网

华为ensp防火墙园区网络设计与部署_第30张图片查看会话表

华为ensp防火墙园区网络设计与部署_第31张图片

8. 配置DHCP服务

总部

华为ensp防火墙园区网络设计与部署_第32张图片华为ensp防火墙园区网络设计与部署_第33张图片

 ipconfig查看能否获取地址华为ensp防火墙园区网络设计与部署_第34张图片

分部

华为ensp防火墙园区网络设计与部署_第35张图片

 ipconfig查看能否获取地址

华为ensp防火墙园区网络设计与部署_第36张图片

9.用户访问互联网本地认证技术及配置,及连通测试截图

暂无

10.各域间安全策略及连通测试截图

总部

华为ensp防火墙园区网络设计与部署_第37张图片

华为ensp防火墙园区网络设计与部署_第38张图片

分公司

华为ensp防火墙园区网络设计与部署_第39张图片

华为ensp防火墙园区网络设计与部署_第40张图片

11. 配置默认路由连通测试截图

总部

ZB127_z_FW1

 ZB127_b_FW2

 ZB127_HJ_SW1

 ZB127_HJ_SW2

分公司

FB127_FW1

总部ping 分公司

华为ensp防火墙园区网络设计与部署_第41张图片

 查看会话表

华为ensp防火墙园区网络设计与部署_第42张图片

 分公司ping总部

华为ensp防火墙园区网络设计与部署_第43张图片

 查看分公司防火墙会话表

华为ensp防火墙园区网络设计与部署_第44张图片

 

12.内部服务器安全策略配置及连通测试截图

域间包过滤策略(只允许财务部和综合部访问财务服务器)

华为ensp防火墙园区网络设计与部署_第45张图片 内部网络可以访问内部服务器

检验

华为ensp防火墙园区网络设计与部署_第46张图片财务可以ping通财务服务器

华为ensp防火墙园区网络设计与部署_第47张图片开发部不能

华为ensp防火墙园区网络设计与部署_第48张图片分公司可以访问web不能ping通财务

内部网络可以访问内部服务器

华为ensp防火墙园区网络设计与部署_第49张图片


 

你可能感兴趣的:(网络,华为,信息与通信,计算机网络,网络安全)