中小型园区网的设计与实现
ip route 192.168.2.0 255.255.255.0 192.168.101.1 2在生产部连接的汇聚层交换机FLOOR2_HJ上 ○
ip route 192.168.6.0 255.255.255.0 192.168.102.1 3在核心层交换机CORE上 ○
ip route 192.168.6.0 255.255.255.0 192.168.101.2 ip route 192.168.2.0 255.255.255.0 192.168.102.2
3.5.3办公大楼3、4层研发部之间跨子网的互相访问 1在汇聚层交换机FLOOR3_HJ上 ○
ip route 192.168.4.0 255.255.255.0 192.168.103.1 2在汇聚层交换机FLOOR4_HJ上 ○
ip route 192.168.3.0 255.255.255.0 192.168.104.1 3在核心层交换机CORE上 ○
ip route 192.168.3.0 255.255.255.0 192.168.103.2 ip route 192.168.4.0 255.255.255.0 192.168.104.2
3.5.4行政部和总经理室可以跟除财务部外其他任何部门的电脑互访,除此之外其他部门只有部门内的电脑相互间可以访问,部门之间不可以访问;
1在汇聚层交换机FLOOR1_HJ上 ○
ip route 192.168.5.0 255.255.255.0 192.168.101.1 2在汇聚层交换机FLOOR2_HJ上 ○
ip route 192.168.5.0 255.255.255.0 192.168.102.1 3在汇聚层交换机FLOOR3_HJ上 ○
26
中小型园区网的设计与实现
ip route 192.168.5.0 255.255.255.0 192.168.103.1 4在汇聚层交换机FLOOR4_HJ上 ○
ip route 192.168.5.0 255.255.255.0 192.168.104.1 5在汇聚层交换机FLOOR5_HJ上 ○
ip route 192.168.1.0 255.255.255.0 192.168.101.1 ip route 192.168.2.0 255.255.255.0 192.168.102.1 ip route 192.168.3.0 255.255.255.0 192.168.103.1 ip route 192.168.4.0 255.255.255.0 192.168.104.1 ip route 192.168.6.0 255.255.255.0 192.168.101.1 6在核心层交换机CORE上 ○
ip route 192.168.1.0 255.255.255.0 192.168.101.2 ip route 192.168.2.0 255.255.255.0 192.168.102.2 ip route 192.168.3.0 255.255.255.0 192.168.103.2 ip route 192.168.4.0 255.255.255.0 192.168.104.2 ip route 192.168.5.0 255.255.255.0 192.168.105.2 ip route 192.168.6.0 255.255.255.0 192.168.101.2
到这里静态路由就配置完了,并且使用CISCO软件Packet Tracer 5.0搭建模拟网络测试通过。
3.6连接广域网
应用路由设备对广域网进行连接,路由器选用Cisco公司的CISCO3825,带内置防火墙,用于对外来的数据进行过滤,限制本地用户登陆非法网站等等。支持VPN支持,可以通过帧中继、电话拨
27
中小型园区网的设计与实现
号、ISDN等方式进行联网。路由协议考虑使用OSPF、RIP等路由协议。路由设备可通过广域网远程配置及管理。
VLAN划分解决了企业各个部门的网络划分,限制了广播域,充分的利用了网络资源,对企业网络做进一步配制,如对于路由器的访问控制列表的简单配置,可以控制流经路由器的数据包,通过访问控制列表的简单配置可以简单的实现防火墙的功能,对网络中的数据包进行阻挡,对于从端口进入的数据包,路由器先对其进行访问控制列表检查,如符合拒绝条件的,则将数据包丢弃;如符合允许条件,在进行路由进程,在网络中查找目的网络地址,以决定如何处理该数据包。
对路由器进行访问控制列表的配置: Router(config)#access-list conditions} 应用于某个端口:
Router(config-if)#{protocl}access-group access-list-number{in|out} 在路由器上进行如下配置,对网络端口进行限制: 关闭一些流行病毒后门常用的端口 access-list 101 permit tcp any any eq telnet access-list 101 deny tcp any any eq 135 access-list 101 deny udp any any eq 135 access-list 101 deny tcp any any eq 136 access-list 101 deny udp any any eq 136 access-list 101 deny tcp any any eq 137 access-list 101 deny udp any any eq 137 access-list 101 deny tcp any any eq 138
access-list-number{permint|deny}{test
28
中小型园区网的设计与实现
access-list 101 deny udp any any eq 138 access-list 101 deny tcp any any eq 139 access-list 101 deny udp any any eq 139 access-list 101 deny tcp any any eq 445 access-list 101 deny udp any any eq 445 access-list 101 deny tcp any any eq 1434 access-list 101 deny udp any any eq 1434 access-list 101 deny tcp any any eq 4444 access-list 101 deny tcp any any eq 5554 access-list 101 deny tcp any any eq 9995 access-list 101 deny tcp any any eq 9996 允许办公常用的端口打开
access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq login access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq ftp-data access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq domain access-list 101 permit udp any any eq domain access-list 101 permit udp any any eq 21 access-list 101 permit udp any any eq20 access-list 101 permit udp any any eq 25 access-list 101 permit udp any any eq 110 access-list 101 permit udp any any eq 80 access-list 101 permit udp any any eq 23 access-list 101 permit tcp any any eq 8080
29
中小型园区网的设计与实现
access-list 101 permit udp any any eq 8080 access-list 101 permit tcp any any eq 1080 access-list 101 permit udp any any eq 1080 access-list 101 permit tcp any any eq 2000 access-list 101 permit udp any any eq 2000
3.7 网络安全控制及管理
3.7.1在计算机网络系统中,根据系统的具体情况,部署防病毒、防火墙、访问控制、黑客入侵检测和VPN等系统,在最关键的部位保护最关键的资源。
3.7.2在所有的含有关键业务数据或提供重要服务的服务器上安装主机核心防护产品,提供对服务器的强力安全防护。
3.7.3在系统中安装和部署客户端、服务器、邮件系统的防毒产品,从而构筑起病毒防御体系,有效的抵御和防范病毒的侵袭。 3.7.4配备网关级过滤:网关级过滤的作用是保护内部的信息系统免受来自外部的恶意代码的攻击。它应该处于防火墙的后面,用来进一步控制外部对内部的恶意访问。网关级过滤机制包括网关级防病毒过滤、垃圾邮件和非法信息过滤、恶意代码过滤。
第四章 企业网设计与实施总结
在当今网络无处不在的年代,网络知识越发显的重要,虽然
网络组建对自己来说是一门不太熟悉的学科,但是选择一门新的知识来学习对自己来说也是一种挑战,通过一段时间的学习与努力,不能说对网络已经非常熟悉,至少可以独立设计一个可运行的中小型的园
30