售后技术工程师2

BENET3.0第二学期课程售后技术工程师网络项目设计原则与设计思路2网络部分的总体设计要求实用性和集成性标准性和开放性先进性和安全性成熟性和高可靠性可维护性和可管理性可扩充性和兼容性网管工作站网络云被管设备业务流量网管流量带内网管网管工作站网络云被管设备业务流量带外网管网管流量网络安全结构企业网络安全结构网络设备操作系统应用程序应用程序安全操作系统安全网络设备（路由器、交换机）安全Benet集团网络设备选择2-1设备选型原则从网络的稳定性和可靠性考虑从工程预算成本考虑从网络扩展性方面考虑4防火墙过滤内网流量

INSIDE区域VTP

STP和HSRP以太网通道QoS

Inside区域设计ASA有两个Inside区域连接到两台核心交换机公司内网Outsidesecurity-level0Inside1security-level100YW_svrsecurity-level50CW_svrsecurity-level60Inside2security-level100核心交换机1核心交换机2ASA55405防火墙过滤内网流量加强各公司网关安全，抵御来自互联网的攻击各公司网管添加防火墙设备，增加内网安全天时总公司内部使用服务器（域控、OA、DNS……）为外网提供服务的Web、邮件、FTP等服务器公司重要数据的服务器（财务、业务）财务、业务服务器网关直接指向防火墙两侧均为接入链路默认路由直连路由VLAN间路由二层交换三层路由指向客户端的静态路由访问网关二层交换访问服务器直连路由业务服务器Internet业务服务器财务服务器公司内网内部服务器对外服务器Outsidesecurity-level0Insidesecurity-level100YW_svrsecurity-level50CW_svrsecurity-level60ASA55406VTP设计VTP相关参数规划VTP域名：benetVTP域口令：ciscoVTP版本：v2VTP修剪：启用VTPServer：两台核心交换VTPClient：其余所有交换机部分交换机手动配置VLAN财务、业务服务器接入交换机财务部接入交换机手动配置VLANInternet业务服务器天时办公大厦天时后勤大厦天时会议中心内网使用服务器外网访问服务器……财务部接入交换机内网专线财务服务器ASA5540Client模式Server模式手动配置7安全部分设计4-2ACL设计运行访问服务器开发的端口根据服务器提供服务的端口和服务器管理端口进行配置限制访问设备的IP地址段屏蔽除网管外的所有IP地址段北京地区各分销点直接不能互访只有财务部能访问财务服务器关闭病毒、攻击常用端口8QoS设计使用QoS技术保证财务和视频会议流量财务数据流量：占用带宽较小，预留0.2Mb/s带宽视频会议流量：分销点到总公司两台路由器的两路上都需要预留2Mb/s带宽通州分公司内网天时总公司内网通州分公司网关天时总公司内网网关将两条E1链路绑定为1条4Mb/s链路两条链路各需要为视频流量预留2Mb/s带宽9当网络拥塞时保证视频会议和访问服务器的流量使用QoS技术保证网络拥塞时关键业务数据流量带宽网络改造方案-内网专线网部分使用OSPF实现网络互通北京各分销点通过E1专线接入总公司使用QoS技术保证视频会议和总要业务带宽财务数据流量：占用带宽较小，预留0.2Mb/s带宽视频会议流量：分销点到总公司两台路由器的两路上都需要预留2Mb/s带宽总公司内网北京昌平分销点北京通州分公司北京房山分销点Area1Area100Area0InternetE1专线北京总公司北京各分销点总公司10安全部分设计4-3IPSecVPN设计总公司和分公司之间通过IPSecVPN传输机密数据财务数据、业务数据等属于机密数据IPSecVPN参数阶段2传输集：esp-3des和esp-sha-hmac阶段1协商参数：sha、3des、共享密钥为benet、密钥组group2、生存时间86400秒CryptoMap参数：pfsgroup2Internet北京总公司ASA5540青岛分公司ASA5510上海分公司ASA5510IPSecVPN11广域网设计（NAT）不需要进行NAT转换的流量财务服务器Benet集团所有公司财务部NONAT业务服务器Benet集团所有公司人员NONATBenet集团总公司内网Benet集团总公司内网NONAT业务服务器SSLVPN用户NONATBenet集团总公司内部服务器Benet集团总公司财务部NONATBenet集团Web等服务器InternetInternetBenet集团公司内网NATNONAT12安全部分设计4-1设备安全性增强设计增强设备服务安全杜绝明文密码设置AAA实现登录认证配置Telnet远程访问配置SSH远程访问配置线路input/output协议设备开放的许多服务都可能成为被攻击的对象，所以关闭不使用的服务可以增强设备安全配置AAA认证本地和远程访问服务，可以设置本地认证也可以通过服务器进行认证。使用服务器认证便于集中管理。配置无动作自动断开时间为5分钟，对于支持SSH的设备应该禁止通过Telnet登陆设备，而使用SSH。对于支持SSH的设备，应该使用SSH登录设备进行管理。所有线路只允许Telent和SSH登录设备。13项目模拟实施拓扑图内容总结BENET3.0第二学期课程。网络项目设计原则与设计思路。天时总公司内部使用服务器（域控、OA、DNS。为外网提供服务的Web、邮件、FTP等服务器。根据服务器提供服务的端口和服务器管理端口进行配置。财务数据流量：占用带宽较小，预留0.2Mb/s带宽。将两条E1链路绑定为1条4Mb/s链路。财务数据、业务数据等属于机密数据。阶段2传输集：esp-3des和esp-sha-hmac。阶段1协商参数：sha、3des、共享密钥为benet、密钥组group2、生存时间86400秒。Crypto