網(wǎng)絡攻擊詳細介紹課件

課程安排教員講解項目工程實施流程項目案例講解項目需求分析、方案設計、工程實施、驗收竣工等項目案例設計技能點串講項目案例實施即注意事項按照模擬環(huán)境實施項目案例講解模擬環(huán)境實施中的注意事項學員實施準備項目案例網(wǎng)絡環(huán)境實施項目案例并進行驗收項目驗收通過后編寫竣工文檔、培訓PPT等案例答辯學員講解項目案例講解工程中出現(xiàn)的問題，指出工程中的不足1課程安排教員講解學員實施案例答辯1網(wǎng)絡項目實戰(zhàn)——

理論部分網(wǎng)絡項目實戰(zhàn)——理論部分本章結(jié)構(gòu)網(wǎng)絡項目實戰(zhàn)公司網(wǎng)絡現(xiàn)狀企業(yè)需求分析項目工程實施流程網(wǎng)絡改造需求分析方案設計公司網(wǎng)絡需求項目實施售后支持及相關(guān)培訓設備命名及連接廣域網(wǎng)部分設計VLAN、IP地址規(guī)劃總公司內(nèi)部網(wǎng)絡設計路由部分設計網(wǎng)絡安全部分設計編寫竣工報告、培訓PPT項目測試驗收項目測試、驗收3本章結(jié)構(gòu)網(wǎng)絡項目實戰(zhàn)公司網(wǎng)絡現(xiàn)狀企業(yè)需求分析項目工程實施流程項目工程流程2-1項目實施流程的六個階段項目招投標階段招標書、現(xiàn)場調(diào)研、投標書項目啟動階段項目人員安排、第二次現(xiàn)場調(diào)研、細化方案設計項目實施階段網(wǎng)絡結(jié)構(gòu)搭建、系統(tǒng)服務的搭建項目測試階段布線測試、機房系統(tǒng)測試、網(wǎng)絡系統(tǒng)測試、系統(tǒng)服務測試項目驗收階段初驗、試運行、終驗；最后出具驗收報告和竣工文檔項目售后服務和培訓階段售后服務條約，培訓PPT編寫等4項目工程流程2-1項目實施流程的六個階段4項目工程流程2-2項目的招投標階段項目的啟動階段項目的實施階段項目的測試階段項目的驗收階段項目的培訓和售后服務階段5項目工程流程2-2項目的招投標階段項目的啟動階段項目的實施階Benet集團簡介Benet集團公司結(jié)構(gòu)以房地產(chǎn)業(yè)務為主的大型集團公司全國有三家公司：北京天時、青島仁和、上海迪利北京天時房產(chǎn)公司為Benet集團總公司北京天時房產(chǎn)有限總公司上海迪利房產(chǎn)有限公司青島仁和房產(chǎn)有限公司Benet集團公司房山分銷點通州分公司昌平分銷點6Benet集團簡介Benet集團公司結(jié)構(gòu)北京天時房產(chǎn)有限總公Benet集團網(wǎng)絡現(xiàn)狀Benet集團網(wǎng)絡拓撲圖Internet10Mb/s專線2Mb/s專線ADSL北京總公司上海分公司青島分公司通州分公司房山分銷點昌平分銷點客戶端客戶端業(yè)務信息服務器客戶端機密信息不安全帶寬低不穩(wěn)定網(wǎng)關(guān)抵御外網(wǎng)攻擊能力差總公司統(tǒng)一管理財務、業(yè)務信息困難7Benet集團網(wǎng)絡現(xiàn)狀Benet集團網(wǎng)絡拓撲圖Interne網(wǎng)絡建設需求2-1Benet集團網(wǎng)絡建設需求提升總公司骨干網(wǎng)線路帶寬，避免網(wǎng)絡擁塞將總公司骨干線路升級為千兆位以太網(wǎng)鏈路使北京地區(qū)分銷點通過專線直接連接到總公司各分公司通過ISP的E1鏈路連接到總公司各分公司通過總公司訪問Internet當網(wǎng)絡擁塞時保證視頻會議和訪問服務器的流量使用QoS技術(shù)保證網(wǎng)絡擁塞時關(guān)鍵業(yè)務數(shù)據(jù)流量帶寬8網(wǎng)絡建設需求2-1Benet集團網(wǎng)絡建設需求8網(wǎng)絡建設需求2-2Benet集團網(wǎng)絡建設需求增加北京天時總公司網(wǎng)絡穩(wěn)定性使用熱備份技術(shù)（HSRP）增加網(wǎng)絡穩(wěn)定性加強各公司網(wǎng)關(guān)安全，抵御來自互聯(lián)網(wǎng)的攻擊各公司網(wǎng)管添加防火墻設備，增加內(nèi)網(wǎng)安全加強各公司間業(yè)務、財務信息傳輸?shù)陌踩圆捎肰PN技術(shù)加密重要數(shù)據(jù)流量節(jié)約成本，最大限度的利用現(xiàn)有網(wǎng)絡資源9網(wǎng)絡建設需求2-2Benet集團網(wǎng)絡建設需求9網(wǎng)絡項目設計原則與設計思路網(wǎng)絡部分的總體設計要求實用性和集成性標準性和開放性先進性和安全性成熟性和高可靠性可維護性和可管理性可擴充性和兼容性項目實施主要依據(jù)原則按照國家相關(guān)工程標準進行實施布線標準、電氣標準、作業(yè)安全標準……性能良好，安全可靠易于升級，易于配置良好的售后服務支持可通過網(wǎng)絡進行管理網(wǎng)管工作站網(wǎng)絡云被管設備業(yè)務流量網(wǎng)管流量帶內(nèi)網(wǎng)管網(wǎng)管工作站網(wǎng)絡云被管設備業(yè)務流量帶外網(wǎng)管網(wǎng)管流量10網(wǎng)絡項目設計原則與設計思路網(wǎng)絡部分的總體設計要求性能良好，安網(wǎng)絡改造方案Benet集團改造方面分為3部分Internet部分北京總公司園區(qū)網(wǎng)部分北京各分銷點到總公司專線網(wǎng)部分Internet內(nèi)網(wǎng)專線上海分公司青島分公司Internet部分北京總公司園區(qū)網(wǎng)部分北京各分銷點到總公司專線網(wǎng)部分11網(wǎng)絡改造方案Benet集團改造方面分為3部分Internet網(wǎng)絡改造方案-Internet部分采用IPSecVPN和SSLVPN加密重要數(shù)據(jù)集團數(shù)據(jù)、郵件、關(guān)鍵業(yè)務由總公司統(tǒng)一管理總公司和分公司間建立IPSecVPN，重要數(shù)據(jù)進行加密傳輸出差員工通過SSLVPN訪問內(nèi)網(wǎng)服務器InternetASA5540ASA5510ASA5510SSLVPNIPSecVPN北京天時總公司上海分公司青島分公司12網(wǎng)絡改造方案-Internet部分采用IPSecVPN和S網(wǎng)絡改造方案-總公司園區(qū)網(wǎng)部分總公司園區(qū)網(wǎng)增強網(wǎng)絡穩(wěn)定性使用HSRP實現(xiàn)網(wǎng)絡穩(wěn)定性使用OSPF等值路由實現(xiàn)負載均衡Internet內(nèi)網(wǎng)專線客戶端會議室內(nèi)部服務器財務部財務服務器業(yè)務服務器13網(wǎng)絡改造方案-總公司園區(qū)網(wǎng)部分總公司園區(qū)網(wǎng)增強網(wǎng)絡穩(wěn)定性In網(wǎng)絡改造方案-內(nèi)網(wǎng)專線網(wǎng)部分使用OSPF實現(xiàn)網(wǎng)絡互通北京各分銷點通過E1專線接入總公司使用QoS技術(shù)保證視頻會議和總要業(yè)務帶寬總公司內(nèi)網(wǎng)北京昌平分銷點北京通州分公司北京房山分銷點Area1Area100Area0InternetE1專線北京總公司北京各分銷點總公司14網(wǎng)絡改造方案-內(nèi)網(wǎng)專線網(wǎng)部分使用OSPF實現(xiàn)網(wǎng)絡互通總公司北Benet集團網(wǎng)絡設備選擇2-1設備選型原則從網(wǎng)絡的穩(wěn)定性和可靠性考慮從工程預算成本考慮從網(wǎng)絡擴展性方面考慮15Benet集團網(wǎng)絡設備選擇2-1設備選型原則15Benet集團網(wǎng)絡設備選擇2-2安全設備選型總公司采用CiscoASA5540上海、青島分公司采用CiscoASA5510交換設備選型北京總公司核心層設備選用Cisco4506原核心設備Cisco4503給上海分公司使用匯集層位Cisco3560，接入層為Cisco2960路由設備選型北京總公司采用Cisco3825分公司和分銷網(wǎng)點統(tǒng)一購買Cisco2811設備型號最高吞吐量（Mbps）最大連接數(shù)VPN吞吐量（Mbps）VPN集群和負載均衡CiscoASA5540650400,000325支持CiscoASA551030050,000/130,000170不支持設備型號背板帶寬（Gbps）轉(zhuǎn)發(fā)速率（Mpps）最大VLAN數(shù)端口密度機架單元Cisco45066448409624010Cisco3560G3238.7102424-10/100/1000；4-1000（SFP）1Cisco3560-48TS13.148-10/100；4-1000（SFP）Cisco3560-24TS6.624-10/100；2-1000（SFP）Cisco2960-24TT4.43.325524-10/100；2-10/100/1000TX1設備型號固化LAN接口接口卡插槽網(wǎng)絡模塊插槽QoS和VPN的支持Cisco38252-10/100/10004個HWIC插槽，支持HWIC、WIC、VIC及VWIC模塊2個NME插槽支持Cisco28112-10/1001個NME插槽支持16Benet集團網(wǎng)絡設備選擇2-2安全設備選型設備型號最高吞吐項目方案設計設備命名與連接VLAN及IP地址規(guī)劃北京總公司園區(qū)網(wǎng)設計防火墻、VTP、STP、HSTP、以太網(wǎng)通道、QoS……北京總公司即北京地區(qū)分銷點路由設計內(nèi)網(wǎng)OSPF、防火墻路由廣域網(wǎng)通信設計（NAT）網(wǎng)絡安全部分設計設備自身安全、ACL、IPSecVPN、SSLVPN……網(wǎng)絡管理設計17項目方案設計設備命名與連接17Benet集團改造后網(wǎng)絡拓撲圖Benet集團網(wǎng)絡使用設備統(tǒng)計Internet集團業(yè)務、財務服務器天時辦公大廈天時后勤大廈天時會議中心天時公司內(nèi)、外網(wǎng)服務器通州分公司昌平分銷點房山分銷點上海迪利青島仁和……集團財務部接入交換機內(nèi)網(wǎng)專線北京天時總公司網(wǎng)絡拓撲圖北京地區(qū)各銷售點網(wǎng)絡拓撲圖上海、青島分公司網(wǎng)絡拓撲圖設備型號設備數(shù)量用途CiscoASA55401天時總公司Internet接入設備CiscoASA55102迪利、仁和公司Internet接入設備Cisco38252天時總公司專線業(yè)務網(wǎng)網(wǎng)關(guān)設備Cisco28113天時公司分銷網(wǎng)點網(wǎng)關(guān)設備Cisco45062天時總公司內(nèi)網(wǎng)雙核心交換設備Cisco45031迪利公司核心交換設備Cisco3560G1天時公司服務器接入設備Cisco35607分布層交換，匯聚功能，光纖上行核心層Cisco296025接入層交換18Benet集團改造后網(wǎng)絡拓撲圖Benet集團網(wǎng)絡使用設備統(tǒng)計設備命名與連接2-1設備命名為了方便管理和維護需要對設備進行命名命名規(guī)則為：AAAA-BBBB-CC例如：北京天時公司的第一臺CiscoCatalyst4506EBJTS-C4506E-01設備所屬公司設備型號設備序號設備命名設備型號描述BJTS-ASA5540ASA5540-BUN-K9北京天時公司外網(wǎng)網(wǎng)關(guān)設備SHDL-ASA5510ASA5510-SEC-BUN-K9上海迪利公司外網(wǎng)網(wǎng)關(guān)設備BJTS-C3825-01CISCO3825-SEC/K9北京天時公司內(nèi)網(wǎng)網(wǎng)關(guān)設備（1）BJTZ-C2811CISCO2811-SEC/K9通州網(wǎng)關(guān)路由設備SHDL-C4503ECiscoCatalyst4503E上海迪利核心交換設備19設備命名與連接2-1設備命名設備所屬公司設備型號設備序號設備設備命名與連接2-2設備端口連接骨干網(wǎng)絡千兆傳輸天時總公司網(wǎng)絡，到核心交換機鏈路均為千兆天時總公司與北京分銷點通過E1接口互聯(lián)端口描述為了便于施工和后期維護需要配置接口描述物理端口：連接的對端端口to對端設備名稱-端口號-功能toBJTS-C4506E-01-G2/0uplink邏輯端口：功能描述（例：caiwu-GW）形成端口連接文檔保存20設備命名與連接2-2設備端口連接20VLAN及IP地址規(guī)劃為避免IP地址沖突，重新規(guī)劃IP地址北京天時總公司：/16北京地區(qū)各分銷點：/16上海迪利公司：/16青島仁和公司：/16互聯(lián)地址設備管理IP地址VLAN與IP地址獲得的公網(wǎng)地址使用10.XX.254.0/24網(wǎng)段；OSPF中Area0使用/24網(wǎng)段使用10.XX.1.0/24網(wǎng)段；路由器使用Loopback接口/32掩碼；1、VLAN號與IP地址第3個8位字段相對應2、同一地點不同部門分配連續(xù)的網(wǎng)段3、為日后擴容余量VLAN和IP4、分配財務部、視頻會議地址5、VLAN命名（除服務器）：公司地區(qū)-部門名，不分部門可以使用“地區(qū)-all”為外網(wǎng)提供服務的服務器（Web、郵件等）使用公網(wǎng)地址21VLAN及IP地址規(guī)劃為避免IP地址沖突，重新規(guī)劃IP地址使北京天時總公司園區(qū)網(wǎng)設計防火墻過濾內(nèi)網(wǎng)流量INSIDE區(qū)域設計VTP設計STP和HSRP設計以太網(wǎng)通道設計QoS設計22北京天時總公司園區(qū)網(wǎng)設計防火墻過濾內(nèi)網(wǎng)流量22防火墻過濾內(nèi)網(wǎng)流量天時總公司內(nèi)部服務器分為三部分：天時總公司內(nèi)部使用服務器（域控、OA、DNS……）為外網(wǎng)提供服務的Web、郵件、FTP等服務器公司重要數(shù)據(jù)的服務器（財務、業(yè)務）財務、業(yè)務服務器網(wǎng)關(guān)直接指向防火墻客戶端訪問財務或業(yè)務服務器過程：兩側(cè)均為接入鏈路默認路由直連路由VLAN間路由二層交換三層路由指向客戶端的靜態(tài)路由訪問網(wǎng)關(guān)二層交換訪問服務器直連路由業(yè)務服務器Internet業(yè)務服務器財務服務器公司內(nèi)網(wǎng)內(nèi)部服務器對外服務器Outsidesecurity-level0Insidesecurity-level100YW_svrsecurity-level50CW_svrsecurity-level60ASA554023防火墻過濾內(nèi)網(wǎng)流量天時總公司內(nèi)部服務器分為三部分：兩側(cè)均為接Inside區(qū)域設計ASA有兩個Inside區(qū)域連接到兩臺核心交換機公司內(nèi)網(wǎng)Outsidesecurity-level0Inside1security-level100YW_svrsecurity-level50CW_svrsecurity-level60Inside2security-level100核心交換機1核心交換機2ASA554024Inside區(qū)域設計ASA有兩個Inside區(qū)域連接到兩臺核VTP設計VTP相關(guān)參數(shù)規(guī)劃VTP域名：benetVTP域口令：ciscoVTP版本：v2VTP修剪：啟用VTPServer：兩臺核心交換VTPClient：其余所有交換機部分交換機手動配置VLAN財務、業(yè)務服務器接入交換機財務部接入交換機手動配置VLANInternet業(yè)務服務器天時辦公大廈天時后勤大廈天時會議中心內(nèi)網(wǎng)使用服務器外網(wǎng)訪問服務器……財務部接入交換機內(nèi)網(wǎng)專線財務服務器ASA5540Client模式Server模式手動配置25VTP設計VTP相關(guān)參數(shù)規(guī)劃Internet業(yè)務服務器天時辦STP與HSRP設計天時總公司通過HSRP實現(xiàn)設備備份將VLAN分為兩組實現(xiàn)流量負載均衡兩臺核心交換機分別在不同HSRP組內(nèi)承擔活躍路由器外網(wǎng)訪問服務器使用公網(wǎng)IP地址使用MST實現(xiàn)線纜冗余配置兩個MST實例分別對應HSRP的兩組VLANSTP中根網(wǎng)橋的選擇和活躍路由器的選擇保持一致HSRP參數(shù)活躍設備備份設備IP地址10.10.X.225/2410.10.X.226/24優(yōu)先級150100占先權(quán)是是端口跟蹤是（優(yōu)先級降低100）否計時器默認配置虛擬IP地址10.10.X.254/24組號VLAN號Instance1包含的VLANInstance2包含的VLANInstance1包含的VLANInstance2包含的VLANHSRP：ActiveSTP：rootHSRP：ActiveSTP：root26STP與HSRP設計天時總公司通過HSRP實現(xiàn)設備備份HSR以太網(wǎng)通道設計通過以太網(wǎng)通道擴容鏈路帶寬、實現(xiàn)冗余備份核心交換機之間鏈路內(nèi)網(wǎng)服務器、外網(wǎng)訪問服務器接入交換機到核心交換機的鏈路內(nèi)網(wǎng)使用服務器外網(wǎng)訪問服務器27以太網(wǎng)通道設計通過以太網(wǎng)通道擴容鏈路帶寬、實現(xiàn)冗余備份內(nèi)網(wǎng)使QoS設計使用QoS技術(shù)保證財務和視頻會議流量財務數(shù)據(jù)流量：占用帶寬較小，預留0.2Mb/s帶寬視頻會議流量：分銷點到總公司兩臺路由器的兩路上都需要預留2Mb/s帶寬通州分公司內(nèi)網(wǎng)天時總公司內(nèi)網(wǎng)通州分公司網(wǎng)關(guān)天時總公司內(nèi)網(wǎng)網(wǎng)關(guān)將兩條E1鏈路綁定為1條4Mb/s鏈路兩條鏈路各需要為視頻流量預留2Mb/s帶寬28QoS設計使用QoS技術(shù)保證財務和視頻會議流量通州分公天時總路由設計2-1OSPF路由規(guī)劃Area100為天時總公司內(nèi)網(wǎng)OSPF區(qū)域Area1為北京地區(qū)各分銷點OSPF區(qū)域Area1Area100Area0北京總公司北京各分銷點總公司核心交換機內(nèi)網(wǎng)網(wǎng)關(guān)路由器分銷點網(wǎng)關(guān)路由器TotallyStubNSSA29路由設計2-1OSPF路由規(guī)劃Area1Area10Area1Area100Area0北京總公司北京各分銷點總公司TotallyStubNSSA路由設計2-2在ABR上配置匯總路由配置Null0接口的黑洞路由配置指向防火墻的默認路由和指向服務器的靜態(tài)路由30Area1Area100Area0北京總天時總公司ASA防火墻路由設計配置默認路由實現(xiàn)訪問互聯(lián)網(wǎng)配置浮動靜態(tài)路由實現(xiàn)冗余備份指向活躍路由器的靜態(tài)路由管理距離為1指向備份路由器的靜態(tài)路由管理距離為100通州網(wǎng)段與房山、昌平網(wǎng)段分為兩組分別使用不同的管理距離指向不同核心交換機外網(wǎng)訪問對外提供服務的服務器的流程靜態(tài)路由直連路由二層交換ASA默認路由訪問網(wǎng)關(guān)ISP路由防火墻默認路由Internet三層交換31天時總公司ASA防火墻路由設計配置默認路由實現(xiàn)訪問互聯(lián)網(wǎng)靜態(tài)廣域網(wǎng)設計（NAT）不需要進行NAT轉(zhuǎn)換的流量財務服務器Benet集團所有公司財務部NONAT業(yè)務服務器Benet集團所有公司人員NONATBenet集團總公司內(nèi)網(wǎng)Benet集團總公司內(nèi)網(wǎng)NONAT業(yè)務服務器SSLVPN用戶NONATBenet集團總公司內(nèi)部服務器Benet集團總公司財務部NONATBenet集團Web等服務器InternetInternetBenet集團公司內(nèi)網(wǎng)NATNONAT32廣域網(wǎng)設計（NAT）不需要進行NAT轉(zhuǎn)換的流量財務服務器Be安全部分設計4-1設備安全性增強設計增強設備服務安全杜絕明文密碼設置AAA實現(xiàn)登錄認證配置Telnet遠程訪問配置SSH遠程訪問配置線路input/output協(xié)議設備開放的許多服務都可能成為被攻擊的對象，所以關(guān)閉不使用的服務可以增強設備安全配置AAA認證本地和遠程訪問服務，可以設置本地認證也可以通過服務器進行認證。使用服務器認證便于集中管理。配置無動作自動斷開時間為5分鐘，對于支持SSH的設備應該禁止通過Telnet登陸設備，而使用SSH。對于支持SSH的設備，應該使用SSH登錄設備進行管理。所有線路只允許Telent和SSH登錄設備。33安全部分設計4-1設備安全性增強設計設備開放的許多服務都可能安全部分設計4-2ACL設計運行訪問服務器開發(fā)的端口根據(jù)服務器提供服務的端口和服務器管理端口進行配置限制訪問設備的IP地址段屏蔽除網(wǎng)管外的所有IP地址段北京地區(qū)各分銷點直接不能互訪只有財務部能訪問財務服務器關(guān)閉病毒、攻擊常用端口34安全部分設計4-2ACL設計34安全部分設計4-3IPSecVPN設計總公司和分公司之間通過IPSecVPN傳輸機密數(shù)據(jù)財務數(shù)據(jù)、業(yè)務數(shù)據(jù)等屬于機密數(shù)據(jù)IPSecVPN參數(shù)階段2傳輸集：esp-3des和esp-sha-hmac階段1協(xié)商參數(shù)：sha、3des、共享密鑰為benet、密鑰組group2、生存時間86400秒CryptoMap參數(shù)：pfsgroup2Internet北京總公司ASA5540青島分公司ASA5510上海分公司ASA5510IPSecVPN35安全部分設計4-3IPSecVPN設計Internet北京安全部分設計4-4SSLVPN設計出差員工通過SSLVPN安全的訪問業(yè)務服務器也可以訪問OA等內(nèi)網(wǎng)使用的服務器SSLVPN參數(shù)使用HTTPS的8003端口登錄SSLVPN地址池為01-00Internet北京總公司ASA5540SSLVPN36安全部分設計4-4SSLVPN設計Internet北京總公網(wǎng)絡管理設計配置只讀團體名benetro配置端口UP/DOWN事件的Trap陷阱配置ACL屏蔽內(nèi)部服務器外IP網(wǎng)段的SNMP操作37網(wǎng)絡管理設計配置只讀團體名benetro37項目實施工程總體進度工程進度表，人員配置表，施工日志等布線工程驗收設備的驗收設備的數(shù)量、型號、板卡等設備所帶的附件等加電檢查設備的IOS，功能等檢查設備的來源38項目實施工程總體進度38項目模擬實施拓撲圖F0/15F0/15F0/14F0/14F0/15F0/4F0/3IPSecVPNSSLVPNISP總公司路由器北京分公司網(wǎng)關(guān)路由器SW5SW6SW1SW2ASA1ASA2E0/0F1/0E0/0E0/2E0/1F0/0F0/0F0/0S1/0S2/0F0/3F0/2F0/3F0/2F0/1F0/2F0/1PC4OA_svrF0/3F0/1F0/1E0/3E0/4PC2SW4CW_svrYW_svrPC5F0/2SW3PC3F0/0R2E0/1PC1F2/0F0/0F1/0F0/15F0/0F0/0F0/1F0/2F0/3R1Web_svroutside區(qū)域inside1區(qū)域inside2區(qū)域CW_svr區(qū)域YW_svr區(qū)域39項目模擬實施拓撲圖F0/15F0/15F0/14F0/14F模擬項目規(guī)劃配置信息基礎(chǔ)規(guī)劃設備互聯(lián)地址用戶、服務器IP地址及VLAN管理IP地址一臺PC模擬多個網(wǎng)段時需要更改主機及設備相應配置配置PVST+，不配置MST交換部分規(guī)劃以太網(wǎng)通道VTPVLAN與TRUNKSTP與HSRP路由部分規(guī)劃QoS規(guī)劃安全部分規(guī)劃設備服務安全設備密碼遠程訪問ACL規(guī)劃廣域網(wǎng)部分規(guī)劃NAT規(guī)劃ASA2路由設計IPSecVPN規(guī)劃SSLVPN規(guī)劃只進行配置，不進行驗證采用ping命令測試是否能夠訪問服務器40模擬項目規(guī)劃配置信息基礎(chǔ)規(guī)劃一臺PC模擬多個網(wǎng)段時需要更改測試驗收連通性測試主要使用ping命令查看連通性和時延VPN測試驗證訪問服務器是否正常冗余性測試HSRP和負載均衡路由測試設備訪問權(quán)限測試遠程管理設備是否正常……41測試驗收連通性測試41竣工報告與售后支持編寫竣工報告驗收完成后編寫竣工報告售后支持編寫PPT，安排培訓售后技術(shù)服務承諾42竣工報告與售后支持編寫竣工報告42本章結(jié)構(gòu)網(wǎng)絡項目實戰(zhàn)公司網(wǎng)絡現(xiàn)狀企業(yè)需求分析項目工程實施流程網(wǎng)絡改造需求分析方案設計公司網(wǎng)絡需求項目實施售后支持及相關(guān)培訓設備命名及連接廣域網(wǎng)部分設計VLAN、IP地址規(guī)劃總公司內(nèi)部網(wǎng)絡設計路由部分設計網(wǎng)絡安全部分設計編寫竣工報告、培訓PPT項目測試驗收項目測試、驗收43本章結(jié)構(gòu)網(wǎng)絡項目實戰(zhàn)公司網(wǎng)絡現(xiàn)狀企業(yè)需求分析項目工程實施流程——

上機部分網(wǎng)絡項目實戰(zhàn)——上機部分網(wǎng)絡項目實戰(zhàn)工程項目實施4-1分組方案組員任務交換部分VLAN、以太通道、VTP、STP、HSRP路由部分OSPF、ASA路由、ASA過濾內(nèi)網(wǎng)流量、QoS廣域網(wǎng)部分IPSecVPN、SSLVPN、ACL、NAT45工程項目實施4-1分組方案45工程項目實施4-2交換部分F0/15SW4CW_svrYW_svrPC5SW3F0/15F0/0F0/2F0/3F0/15F0/14F0/14F0/15F0/4F0/3SW5SW6SW1SW2F0/3F0/2F0/3F0/2F0/1F0/2F0/1PC4OA_svrF0/3F0/2Web_svr北京總公司園區(qū)網(wǎng)交換部分北京總公司業(yè)務、財務網(wǎng)部分46工程項目實施4-2交換部分F0/15SW4CW_svrYW_工程項目實施4-3路由部分F0/15F0/14F0/14F0/15ISP總公司路由器北京分公司網(wǎng)關(guān)路由器SW1SW2ASA1ASA2E0/0F1/0E0/0E0/2E0/1F0/0F0/0F0/0S1/0S2/0F0/1F0/1E0/3E0/4PC2SW3PC3F0/0R2E0/1PC1F2/0F0/0F1/0F0/0F0/1R147工程項目實施4-3路由部分F0/15F0/14F0/14F0工程項目實施4-4廣域網(wǎng)部分F0/15IPSecVPNSSLVPNISPASA1ASA2E0/0F1/0E0/0E0/2E0/1F0/0PC2SW4CW_svrYW_svrPC5SW3E0/1PC1F2/0F0/15F0/0F0/0F0/1F0/2F0/348工程項目實施4-4廣域網(wǎng)部分F0/15IPSecVPNSS工程項目實施階段劃分2-1實施14學時，分為5個階段第一階段：1學時搭建網(wǎng)絡環(huán)境，小組進行分工，熟悉網(wǎng)絡基礎(chǔ)規(guī)劃第二階段：3學時配置IP地址實現(xiàn)鄰近設備互通交換部分：配置VLAN、Trunk、VTP和以太網(wǎng)通道路由部分：配置OSPF實現(xiàn)網(wǎng)絡互通廣域網(wǎng)部分：配置ASA外網(wǎng)路由、ISP路由和NAT第三階段：4學時交換部分：配置STP、HSRP路由部分：配置ASA內(nèi)網(wǎng)路由、QoS和ASA過濾內(nèi)網(wǎng)流量廣域網(wǎng)部分：配置IPSecVPN、SSLVPN和ACL49工程項目實施階段劃分2-1實施14學時，分為5個階段49工程項目實施階段劃分2-2實施14學時，分為5個階段第四階段：1學時交換部分：檢查交換配置，協(xié)助廣域網(wǎng)配置路由部分：檢查路由配置，協(xié)助廣域網(wǎng)配置廣域網(wǎng)部分：繼續(xù)未完成的配置，檢查廣域網(wǎng)配置第五階段：3學時將各部分配置整合到一起，組長負責各組員配合進行功能測試和驗收第六階段：2學時編寫竣工文檔和培訓PPT50工程項目實施階段劃分2-2實施14學時，分為5個階段50階段一：完成實驗環(huán)境的搭建實現(xiàn)思路搭建工程項目實施環(huán)境PC2使用宿主機小組內(nèi)部進行分工熟悉項目基礎(chǔ)規(guī)劃IP、VLAN、網(wǎng)絡環(huán)境等學員練習1課時完成51階段一：完成實驗環(huán)境的搭建實現(xiàn)思路1課時完成51階段二：項目配置實施1實現(xiàn)思路熟悉整個工程的實施設計配置IP地址實現(xiàn)鄰近設備互通交換部分：配置VLAN、Trunk、VTP和以太網(wǎng)通道路由部分：配置OSPF實現(xiàn)網(wǎng)絡互通廣域網(wǎng)部分：配置ASA外網(wǎng)路由、ISP路由和NAT學員練習3課時完成52階段二：項目配置實施1實現(xiàn)思路3課時完成52階段三：項目配置實施2實現(xiàn)思路交換部分：配置STP、HSRP路由部分：配置ASA內(nèi)網(wǎng)路由、ASA過濾內(nèi)網(wǎng)流量和QoS廣域網(wǎng)部分：配置IPSecVPN、SSLVPN和ACL學員練習4課時完成53階段三：項目配置實施2實現(xiàn)思路4課時完成53階段四：項目配置實施3實現(xiàn)思路交換部分：檢查交換配置，協(xié)助廣域網(wǎng)配置路由部分：檢查路由配置，協(xié)助廣域網(wǎng)配置廣域網(wǎng)部分：繼續(xù)未完成的配置，檢查廣域網(wǎng)配置學員練習1課時完成54階段四：項目配置實施3實現(xiàn)思路1課時完成54階段五：整合配置并進行項目驗收實現(xiàn)思路將各部分配置整合到一起，組長負責各組員配合完成剩下的安全增強部分配置進行功能測試和驗收學員練習3課時完成55階段五：整合配置并進行項目驗收實現(xiàn)思路3課時完成55階段六：編寫竣工文檔與培訓PPT實現(xiàn)思路組長分配人員編寫竣工文檔和培訓PPT學員練習2課時完成56階段六：編寫竣工文檔與培訓PPT實現(xiàn)思路2課時完成56網(wǎng)絡攻擊詳細介紹課件課程安排教員講解項目工程實施流程項目案例講解項目需求分析、方案設計、工程實施、驗收竣工等項目案例設計技能點串講項目案例實施即注意事項按照模擬環(huán)境實施項目案例講解模擬環(huán)境實施中的注意事項學員實施準備項目案例網(wǎng)絡環(huán)境實施項目案例并進行驗收項目驗收通過后編寫竣工文檔、培訓PPT等案例答辯學員講解項目案例講解工程中出現(xiàn)的問題，指出工程中的不足58課程安排教員講解學員實施案例答辯1網(wǎng)絡項目實戰(zhàn)——

理論部分網(wǎng)絡項目實戰(zhàn)——理論部分本章結(jié)構(gòu)網(wǎng)絡項目實戰(zhàn)公司網(wǎng)絡現(xiàn)狀企業(yè)需求分析項目工程實施流程網(wǎng)絡改造需求分析方案設計公司網(wǎng)絡需求項目實施售后支持及相關(guān)培訓設備命名及連接廣域網(wǎng)部分設計VLAN、IP地址規(guī)劃總公司內(nèi)部網(wǎng)絡設計路由部分設計網(wǎng)絡安全部分設計編寫竣工報告、培訓PPT項目測試驗收項目測試、驗收60本章結(jié)構(gòu)網(wǎng)絡項目實戰(zhàn)公司網(wǎng)絡現(xiàn)狀企業(yè)需求分析項目工程實施流程項目工程流程2-1項目實施流程的六個階段項目招投標階段招標書、現(xiàn)場調(diào)研、投標書項目啟動階段項目人員安排、第二次現(xiàn)場調(diào)研、細化方案設計項目實施階段網(wǎng)絡結(jié)構(gòu)搭建、系統(tǒng)服務的搭建項目測試階段布線測試、機房系統(tǒng)測試、網(wǎng)絡系統(tǒng)測試、系統(tǒng)服務測試項目驗收階段初驗、試運行、終驗；最后出具驗收報告和竣工文檔項目售后服務和培訓階段售后服務條約，培訓PPT編寫等61項目工程流程2-1項目實施流程的六個階段4項目工程流程2-2項目的招投標階段項目的啟動階段項目的實施階段項目的測試階段項目的驗收階段項目的培訓和售后服務階段62項目工程流程2-2項目的招投標階段項目的啟動階段項目的實施階Benet集團簡介Benet集團公司結(jié)構(gòu)以房地產(chǎn)業(yè)務為主的大型集團公司全國有三家公司：北京天時、青島仁和、上海迪利北京天時房產(chǎn)公司為Benet集團總公司北京天時房產(chǎn)有限總公司上海迪利房產(chǎn)有限公司青島仁和房產(chǎn)有限公司Benet集團公司房山分銷點通州分公司昌平分銷點63Benet集團簡介Benet集團公司結(jié)構(gòu)北京天時房產(chǎn)有限總公Benet集團網(wǎng)絡現(xiàn)狀Benet集團網(wǎng)絡拓撲圖Internet10Mb/s專線2Mb/s專線ADSL北京總公司上海分公司青島分公司通州分公司房山分銷點昌平分銷點客戶端客戶端業(yè)務信息服務器客戶端機密信息不安全帶寬低不穩(wěn)定網(wǎng)關(guān)抵御外網(wǎng)攻擊能力差總公司統(tǒng)一管理財務、業(yè)務信息困難64Benet集團網(wǎng)絡現(xiàn)狀Benet集團網(wǎng)絡拓撲圖Interne網(wǎng)絡建設需求2-1Benet集團網(wǎng)絡建設需求提升總公司骨干網(wǎng)線路帶寬，避免網(wǎng)絡擁塞將總公司骨干線路升級為千兆位以太網(wǎng)鏈路使北京地區(qū)分銷點通過專線直接連接到總公司各分公司通過ISP的E1鏈路連接到總公司各分公司通過總公司訪問Internet當網(wǎng)絡擁塞時保證視頻會議和訪問服務器的流量使用QoS技術(shù)保證網(wǎng)絡擁塞時關(guān)鍵業(yè)務數(shù)據(jù)流量帶寬65網(wǎng)絡建設需求2-1Benet集團網(wǎng)絡建設需求8網(wǎng)絡建設需求2-2Benet集團網(wǎng)絡建設需求增加北京天時總公司網(wǎng)絡穩(wěn)定性使用熱備份技術(shù)（HSRP）增加網(wǎng)絡穩(wěn)定性加強各公司網(wǎng)關(guān)安全，抵御來自互聯(lián)網(wǎng)的攻擊各公司網(wǎng)管添加防火墻設備，增加內(nèi)網(wǎng)安全加強各公司間業(yè)務、財務信息傳輸?shù)陌踩圆捎肰PN技術(shù)加密重要數(shù)據(jù)流量節(jié)約成本，最大限度的利用現(xiàn)有網(wǎng)絡資源66網(wǎng)絡建設需求2-2Benet集團網(wǎng)絡建設需求9網(wǎng)絡項目設計原則與設計思路網(wǎng)絡部分的總體設計要求實用性和集成性標準性和開放性先進性和安全性成熟性和高可靠性可維護性和可管理性可擴充性和兼容性項目實施主要依據(jù)原則按照國家相關(guān)工程標準進行實施布線標準、電氣標準、作業(yè)安全標準……性能良好，安全可靠易于升級，易于配置良好的售后服務支持可通過網(wǎng)絡進行管理網(wǎng)管工作站網(wǎng)絡云被管設備業(yè)務流量網(wǎng)管流量帶內(nèi)網(wǎng)管網(wǎng)管工作站網(wǎng)絡云被管設備業(yè)務流量帶外網(wǎng)管網(wǎng)管流量67網(wǎng)絡項目設計原則與設計思路網(wǎng)絡部分的總體設計要求性能良好，安網(wǎng)絡改造方案Benet集團改造方面分為3部分Internet部分北京總公司園區(qū)網(wǎng)部分北京各分銷點到總公司專線網(wǎng)部分Internet內(nèi)網(wǎng)專線上海分公司青島分公司Internet部分北京總公司園區(qū)網(wǎng)部分北京各分銷點到總公司專線網(wǎng)部分68網(wǎng)絡改造方案Benet集團改造方面分為3部分Internet網(wǎng)絡改造方案-Internet部分采用IPSecVPN和SSLVPN加密重要數(shù)據(jù)集團數(shù)據(jù)、郵件、關(guān)鍵業(yè)務由總公司統(tǒng)一管理總公司和分公司間建立IPSecVPN，重要數(shù)據(jù)進行加密傳輸出差員工通過SSLVPN訪問內(nèi)網(wǎng)服務器InternetASA5540ASA5510ASA5510SSLVPNIPSecVPN北京天時總公司上海分公司青島分公司69網(wǎng)絡改造方案-Internet部分采用IPSecVPN和S網(wǎng)絡改造方案-總公司園區(qū)網(wǎng)部分總公司園區(qū)網(wǎng)增強網(wǎng)絡穩(wěn)定性使用HSRP實現(xiàn)網(wǎng)絡穩(wěn)定性使用OSPF等值路由實現(xiàn)負載均衡Internet內(nèi)網(wǎng)專線客戶端會議室內(nèi)部服務器財務部財務服務器業(yè)務服務器70網(wǎng)絡改造方案-總公司園區(qū)網(wǎng)部分總公司園區(qū)網(wǎng)增強網(wǎng)絡穩(wěn)定性In網(wǎng)絡改造方案-內(nèi)網(wǎng)專線網(wǎng)部分使用OSPF實現(xiàn)網(wǎng)絡互通北京各分銷點通過E1專線接入總公司使用QoS技術(shù)保證視頻會議和總要業(yè)務帶寬總公司內(nèi)網(wǎng)北京昌平分銷點北京通州分公司北京房山分銷點Area1Area100Area0InternetE1專線北京總公司北京各分銷點總公司71網(wǎng)絡改造方案-內(nèi)網(wǎng)專線網(wǎng)部分使用OSPF實現(xiàn)網(wǎng)絡互通總公司北Benet集團網(wǎng)絡設備選擇2-1設備選型原則從網(wǎng)絡的穩(wěn)定性和可靠性考慮從工程預算成本考慮從網(wǎng)絡擴展性方面考慮72Benet集團網(wǎng)絡設備選擇2-1設備選型原則15Benet集團網(wǎng)絡設備選擇2-2安全設備選型總公司采用CiscoASA5540上海、青島分公司采用CiscoASA5510交換設備選型北京總公司核心層設備選用Cisco4506原核心設備Cisco4503給上海分公司使用匯集層位Cisco3560，接入層為Cisco2960路由設備選型北京總公司采用Cisco3825分公司和分銷網(wǎng)點統(tǒng)一購買Cisco2811設備型號最高吞吐量（Mbps）最大連接數(shù)VPN吞吐量（Mbps）VPN集群和負載均衡CiscoASA5540650400,000325支持CiscoASA551030050,000/130,000170不支持設備型號背板帶寬（Gbps）轉(zhuǎn)發(fā)速率（Mpps）最大VLAN數(shù)端口密度機架單元Cisco45066448409624010Cisco3560G3238.7102424-10/100/1000；4-1000（SFP）1Cisco3560-48TS13.148-10/100；4-1000（SFP）Cisco3560-24TS6.624-10/100；2-1000（SFP）Cisco2960-24TT4.43.325524-10/100；2-10/100/1000TX1設備型號固化LAN接口接口卡插槽網(wǎng)絡模塊插槽QoS和VPN的支持Cisco38252-10/100/10004個HWIC插槽，支持HWIC、WIC、VIC及VWIC模塊2個NME插槽支持Cisco28112-10/1001個NME插槽支持73Benet集團網(wǎng)絡設備選擇2-2安全設備選型設備型號最高吞吐項目方案設計設備命名與連接VLAN及IP地址規(guī)劃北京總公司園區(qū)網(wǎng)設計防火墻、VTP、STP、HSTP、以太網(wǎng)通道、QoS……北京總公司即北京地區(qū)分銷點路由設計內(nèi)網(wǎng)OSPF、防火墻路由廣域網(wǎng)通信設計（NAT）網(wǎng)絡安全部分設計設備自身安全、ACL、IPSecVPN、SSLVPN……網(wǎng)絡管理設計74項目方案設計設備命名與連接17Benet集團改造后網(wǎng)絡拓撲圖Benet集團網(wǎng)絡使用設備統(tǒng)計Internet集團業(yè)務、財務服務器天時辦公大廈天時后勤大廈天時會議中心天時公司內(nèi)、外網(wǎng)服務器通州分公司昌平分銷點房山分銷點上海迪利青島仁和……集團財務部接入交換機內(nèi)網(wǎng)專線北京天時總公司網(wǎng)絡拓撲圖北京地區(qū)各銷售點網(wǎng)絡拓撲圖上海、青島分公司網(wǎng)絡拓撲圖設備型號設備數(shù)量用途CiscoASA55401天時總公司Internet接入設備CiscoASA55102迪利、仁和公司Internet接入設備Cisco38252天時總公司專線業(yè)務網(wǎng)網(wǎng)關(guān)設備Cisco28113天時公司分銷網(wǎng)點網(wǎng)關(guān)設備Cisco45062天時總公司內(nèi)網(wǎng)雙核心交換設備Cisco45031迪利公司核心交換設備Cisco3560G1天時公司服務器接入設備Cisco35607分布層交換，匯聚功能，光纖上行核心層Cisco296025接入層交換75Benet集團改造后網(wǎng)絡拓撲圖Benet集團網(wǎng)絡使用設備統(tǒng)計設備命名與連接2-1設備命名為了方便管理和維護需要對設備進行命名命名規(guī)則為：AAAA-BBBB-CC例如：北京天時公司的第一臺CiscoCatalyst4506EBJTS-C4506E-01設備所屬公司設備型號設備序號設備命名設備型號描述BJTS-ASA5540ASA5540-BUN-K9北京天時公司外網(wǎng)網(wǎng)關(guān)設備SHDL-ASA5510ASA5510-SEC-BUN-K9上海迪利公司外網(wǎng)網(wǎng)關(guān)設備BJTS-C3825-01CISCO3825-SEC/K9北京天時公司內(nèi)網(wǎng)網(wǎng)關(guān)設備（1）BJTZ-C2811CISCO2811-SEC/K9通州網(wǎng)關(guān)路由設備SHDL-C4503ECiscoCatalyst4503E上海迪利核心交換設備76設備命名與連接2-1設備命名設備所屬公司設備型號設備序號設備設備命名與連接2-2設備端口連接骨干網(wǎng)絡千兆傳輸天時總公司網(wǎng)絡，到核心交換機鏈路均為千兆天時總公司與北京分銷點通過E1接口互聯(lián)端口描述為了便于施工和后期維護需要配置接口描述物理端口：連接的對端端口to對端設備名稱-端口號-功能toBJTS-C4506E-01-G2/0uplink邏輯端口：功能描述（例：caiwu-GW）形成端口連接文檔保存77設備命名與連接2-2設備端口連接20VLAN及IP地址規(guī)劃為避免IP地址沖突，重新規(guī)劃IP地址北京天時總公司：/16北京地區(qū)各分銷點：/16上海迪利公司：/16青島仁和公司：/16互聯(lián)地址設備管理IP地址VLAN與IP地址獲得的公網(wǎng)地址使用10.XX.254.0/24網(wǎng)段；OSPF中Area0使用/24網(wǎng)段使用10.XX.1.0/24網(wǎng)段；路由器使用Loopback接口/32掩碼；1、VLAN號與IP地址第3個8位字段相對應2、同一地點不同部門分配連續(xù)的網(wǎng)段3、為日后擴容余量VLAN和IP4、分配財務部、視頻會議地址5、VLAN命名（除服務器）：公司地區(qū)-部門名，不分部門可以使用“地區(qū)-all”為外網(wǎng)提供服務的服務器（Web、郵件等）使用公網(wǎng)地址78VLAN及IP地址規(guī)劃為避免IP地址沖突，重新規(guī)劃IP地址使北京天時總公司園區(qū)網(wǎng)設計防火墻過濾內(nèi)網(wǎng)流量INSIDE區(qū)域設計VTP設計STP和HSRP設計以太網(wǎng)通道設計QoS設計79北京天時總公司園區(qū)網(wǎng)設計防火墻過濾內(nèi)網(wǎng)流量22防火墻過濾內(nèi)網(wǎng)流量天時總公司內(nèi)部服務器分為三部分：天時總公司內(nèi)部使用服務器（域控、OA、DNS……）為外網(wǎng)提供服務的Web、郵件、FTP等服務器公司重要數(shù)據(jù)的服務器（財務、業(yè)務）財務、業(yè)務服務器網(wǎng)關(guān)直接指向防火墻客戶端訪問財務或業(yè)務服務器過程：兩側(cè)均為接入鏈路默認路由直連路由VLAN間路由二層交換三層路由指向客戶端的靜態(tài)路由訪問網(wǎng)關(guān)二層交換訪問服務器直連路由業(yè)務服務器Internet業(yè)務服務器財務服務器公司內(nèi)網(wǎng)內(nèi)部服務器對外服務器Outsidesecurity-level0Insidesecurity-level100YW_svrsecurity-level50CW_svrsecurity-level60ASA554080防火墻過濾內(nèi)網(wǎng)流量天時總公司內(nèi)部服務器分為三部分：兩側(cè)均為接Inside區(qū)域設計ASA有兩個Inside區(qū)域連接到兩臺核心交換機公司內(nèi)網(wǎng)Outsidesecurity-level0Inside1security-level100YW_svrsecurity-level50CW_svrsecurity-level60Inside2security-level100核心交換機1核心交換機2ASA554081Inside區(qū)域設計ASA有兩個Inside區(qū)域連接到兩臺核VTP設計VTP相關(guān)參數(shù)規(guī)劃VTP域名：benetVTP域口令：ciscoVTP版本：v2VTP修剪：啟用VTPServer：兩臺核心交換VTPClient：其余所有交換機部分交換機手動配置VLAN財務、業(yè)務服務器接入交換機財務部接入交換機手動配置VLANInternet業(yè)務服務器天時辦公大廈天時后勤大廈天時會議中心內(nèi)網(wǎng)使用服務器外網(wǎng)訪問服務器……財務部接入交換機內(nèi)網(wǎng)專線財務服務器ASA5540Client模式Server模式手動配置82VTP設計VTP相關(guān)參數(shù)規(guī)劃Internet業(yè)務服務器天時辦STP與HSRP設計天時總公司通過HSRP實現(xiàn)設備備份將VLAN分為兩組實現(xiàn)流量負載均衡兩臺核心交換機分別在不同HSRP組內(nèi)承擔活躍路由器外網(wǎng)訪問服務器使用公網(wǎng)IP地址使用MST實現(xiàn)線纜冗余配置兩個MST實例分別對應HSRP的兩組VLANSTP中根網(wǎng)橋的選擇和活躍路由器的選擇保持一致HSRP參數(shù)活躍設備備份設備IP地址10.10.X.225/2410.10.X.226/24優(yōu)先級150100占先權(quán)是是端口跟蹤是（優(yōu)先級降低100）否計時器默認配置虛擬IP地址10.10.X.254/24組號VLAN號Instance1包含的VLANInstance2包含的VLANInstance1包含的VLANInstance2包含的VLANHSRP：ActiveSTP：rootHSRP：ActiveSTP：root83STP與HSRP設計天時總公司通過HSRP實現(xiàn)設備備份HSR以太網(wǎng)通道設計通過以太網(wǎng)通道擴容鏈路帶寬、實現(xiàn)冗余備份核心交換機之間鏈路內(nèi)網(wǎng)服務器、外網(wǎng)訪問服務器接入交換機到核心交換機的鏈路內(nèi)網(wǎng)使用服務器外網(wǎng)訪問服務器84以太網(wǎng)通道設計通過以太網(wǎng)通道擴容鏈路帶寬、實現(xiàn)冗余備份內(nèi)網(wǎng)使QoS設計使用QoS技術(shù)保證財務和視頻會議流量財務數(shù)據(jù)流量：占用帶寬較小，預留0.2Mb/s帶寬視頻會議流量：分銷點到總公司兩臺路由器的兩路上都需要預留2Mb/s帶寬通州分公司內(nèi)網(wǎng)天時總公司內(nèi)網(wǎng)通州分公司網(wǎng)關(guān)天時總公司內(nèi)網(wǎng)網(wǎng)關(guān)將兩條E1鏈路綁定為1條4Mb/s鏈路兩條鏈路各需要為視頻流量預留2Mb/s帶寬85QoS設計使用QoS技術(shù)保證財務和視頻會議流量通州分公天時總路由設計2-1OSPF路由規(guī)劃Area100為天時總公司內(nèi)網(wǎng)OSPF區(qū)域Area1為北京地區(qū)各分銷點OSPF區(qū)域Area1Area100Area0北京總公司北京各分銷點總公司核心交換機內(nèi)網(wǎng)網(wǎng)關(guān)路由器分銷點網(wǎng)關(guān)路由器TotallyStubNSSA86路由設計2-1OSPF路由規(guī)劃Area1Area10Area1Area100Area0北京總公司北京各分銷點總公司TotallyStubNSSA路由設計2-2在ABR上配置匯總路由配置Null0接口的黑洞路由配置指向防火墻的默認路由和指向服務器的靜態(tài)路由87Area1Area100Area0北京總天時總公司ASA防火墻路由設計配置默認路由實現(xiàn)訪問互聯(lián)網(wǎng)配置浮動靜態(tài)路由實現(xiàn)冗余備份指向活躍路由器的靜態(tài)路由管理距離為1指向備份路由器的靜態(tài)路由管理距離為100通州網(wǎng)段與房山、昌平網(wǎng)段分為兩組分別使用不同的管理距離指向不同核心交換機外網(wǎng)訪問對外提供服務的服務器的流程靜態(tài)路由直連路由二層交換ASA默認路由訪問網(wǎng)關(guān)ISP路由防火墻默認路由Internet三層交換88天時總公司ASA防火墻路由設計配置默認路由實現(xiàn)訪問互聯(lián)網(wǎng)靜態(tài)廣域網(wǎng)設計（NAT）不需要進行NAT轉(zhuǎn)換的流量財務服務器Benet集團所有公司財務部NONAT業(yè)務服務器Benet集團所有公司人員NONATBenet集團總公司內(nèi)網(wǎng)Benet集團總公司內(nèi)網(wǎng)NONAT業(yè)務服務器SSLVPN用戶NONATBenet集團總公司內(nèi)部服務器Benet集團總公司財務部NONATBenet集團Web等服務器InternetInternetBenet集團公司內(nèi)網(wǎng)NATNONAT89廣域網(wǎng)設計（NAT）不需要進行NAT轉(zhuǎn)換的流量財務服務器Be安全部分設計4-1設備安全性增強設計增強設備服務安全杜絕明文密碼設置AAA實現(xiàn)登錄認證配置Telnet遠程訪問配置SSH遠程訪問配置線路input/output協(xié)議設備開放的許多服務都可能成為被攻擊的對象，所以關(guān)閉不使用的服務可以增強設備安全配置AAA認證本地和遠程訪問服務，可以設置本地認證也可以通過服務器進行認證。使用服務器認證便于集中管理。配置無動作自動斷開時間為5分鐘，對于支持SSH的設備應該禁止通過Telnet登陸設備，而使用SSH。對于支持SSH的設備，應該使用SSH登錄設備進行管理。所有線路只允許Telent和SSH登錄設備。90安全部分設計4-1設備安全性增強設計設備開放的許多服務都可能安全部分設計4-2ACL設計運行訪問服務器開發(fā)的端口根據(jù)服務器提供服務的端口和服務器管理端口進行配置限制訪問設備的IP地址段屏蔽除網(wǎng)管外的所有IP地址段北京地區(qū)各分銷點直接不能互訪只有財務部能訪問財務服務器關(guān)閉病毒、攻擊常用端口91安全部分設計4-2ACL設計34安全部分設計4-3IPSecVPN設計總公司和分公司之間通過IPSecVPN傳輸機密數(shù)據(jù)財務數(shù)據(jù)、業(yè)務數(shù)據(jù)等屬于機密數(shù)據(jù)IPSecVPN參數(shù)階段2傳輸集：esp-3des和esp-sha-hmac階段1協(xié)商參數(shù)：sha、3des、共享密鑰為benet、密鑰組group2、生存時間86400秒CryptoMap參數(shù)：pfsgroup2Internet北京總公司ASA5540青島分公司ASA5510上海分公司ASA5510IPSecVPN92安全部分設計4-3IPSecVPN設計Internet北京安全部分設計4-4SSLVPN設計出差員工通過SSLVPN安全的訪問業(yè)務服務器也可以訪問OA等內(nèi)網(wǎng)使用的服務器SSLVPN參數(shù)使用HTTPS的8003端口登錄SSLVPN地址池為01-00Internet北京總公司ASA5540SSLVPN93安全部分設計4-4SSLVPN設計Internet北京總公網(wǎng)絡管理設計配置只讀團體名benetro配置端口UP/DOWN事件的Trap陷阱配置ACL屏蔽內(nèi)部服務器外IP網(wǎng)段的SNMP操作94網(wǎng)絡管理設計配置只讀團體名benetro37項目實施工程總體進度工程進度表，人員配置表，施工日志等布線工程驗收設備的驗收設備的數(shù)量、型號、板卡等設備所帶的附件等加電檢查設備的IOS，功能等檢查設備的來源95項目實施工程總體進度38項目模擬實施拓撲圖F0/15F0/15F0/14F0/14F0/15F0/4F0/3IPSecVPNSSLVPNISP總公司路由器北京分公司網(wǎng)關(guān)路由器SW5SW6SW1SW2ASA1ASA2E0/0F1/0E0/0E0/2E0/1F0/0F0/0F0/0S1/0S2/0F0/3F0/2F0/3F0/2F0/1F0/2F0/1PC4OA_svrF0/3F0/1F0/1E0/3E0/4PC2SW4CW_svrYW_svrPC5F0/2SW3PC3F0/0R2E0/1PC1F2/0F0/0F1/0F0/15F0/0F0/0F0/1F0/2F0/3R1Web_svroutside區(qū)域inside1區(qū)域inside2區(qū)域CW_svr區(qū)域YW_svr區(qū)域96項目模擬實施拓撲圖F0/15F0/15F0/14F0/14F模擬項目規(guī)劃配置信息基礎(chǔ)規(guī)劃設備互聯(lián)地址用戶、服務器IP地址及VLAN管理IP地址一臺PC模擬多個網(wǎng)段時需要更改主機及設備相應配置配置PVST+，不配置MST交換部分規(guī)劃以太網(wǎng)通道VTPVLAN與TRUNKSTP與HSRP路由部分規(guī)劃QoS規(guī)劃安全部分規(guī)劃設備服務安全設備密碼遠程訪問ACL規(guī)劃廣域網(wǎng)部分規(guī)劃NAT規(guī)劃ASA2路由設計IPSecVPN規(guī)劃SSLVPN規(guī)劃只進行配置，不進行驗證采用ping命令測試是否能夠訪問服務器97模擬項目規(guī)劃配置信息基礎(chǔ)規(guī)劃一臺PC模擬多個網(wǎng)段時需要更改測試驗收連通性測試主要使用ping命令查看連通性和時延VPN測試驗證訪問服務器是否正常冗余性測試HSRP和負載均衡路由測試設