TL-ER6520G某企业网络配置实例

.作置置置器全则.作置置置器全则第一章某企业的组网需 1第二章配置前的准备工 3 3.2区段和接口设 42.3全局对象设 第三章配置成NAT路由 第四章网络权限及网络安 4.1配置访问规 ..骗 4.3常见攻击防 4.4上网行为管 第五章带宽控 第六章流量均衡 6.1流量智能均衡 6.2ISP智能选路 6.3策略选路 .第七章出差员工、办事处访问总部资源.................................................................................27cVPN..................................................................................27VPN.................................................................................29第八章其他功能配置 .1开放部服务器 8.2企业部公告发 8.3网络流量统 8.4配置监控服务器 第一章某企业的组网需求高速互联网接入、上网行为管理和远程安全通信的网络环境。..某企业需要对其现有的网络进行重新规则和布置，组建一个安全、稳定、高效的办公网络环境，企业的详细需求方案如下：2.企业部有研发、市场、人事三个部门，研发部又分为软件、硬件、测试三个小部门；企业为信息安全考虑，要求各部门使用不同的网段，并且不允许相互访问；市场部、人事部可全天候访问外网，研发部只能在非工作时间访问外网；企业有两个服务器群，服务器群1位于广域网区(DMZ区)，对广域网、市场部、人事部全天候开放；服务器群2位于工作区，仅对视频类软件、游戏类软件。3.为方便各地办事处、分公司安全的将业务数据实时传输到总部服务器，各地办事处、分公司需要与总部建立站点到站点的VPN隧道；为方便出差员工安全的访问总部服务器，需要建立PC到站点模式的VPN隧道；4.为合理利用带宽资源，要求对各个部门所使用的带宽进行限制；5.企业服务器群1上有两台WEB服务器(80端口)，要现访问不同WAN口映射到不同服务器；6.企业需要经常性的给部员工发布公告信息；需要对网络流量进行实时监控，监控服务器需要对企业部访问外网的数据进行监控和备份。现对该组网方案需求做分析和规划：区段、服务器群2研发软件部门网段为192.168.50.0/24，研发硬件部门网段为192.168.60.0/24，研发测试部门网段为192.168.70.0/24；3.通过访问策略实现区段之间、区段各网段之间的访问权限；4.通过流量均衡实现"电信走电信、联通走联通"以及网所有电脑从电信线路访问外网的8080端口；通过应用限制实现禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件；VPN8.通过带宽控制实现合理利用带宽资源；10.通过端口电子公告实现经常性的给部员工发布公告信息；11.通过开启流量统计实现对网络流量进行实时监控；12.通过端口监控实现监控服务器需要对企业部访问外网的数据进行监控和备份。..第二章配置前的准备工作三种端口的链路类型。群2、市场部、人事部、研发部，端口4用来连接服务器群1。2.1.1配置物理端口链路类型根据前面的分析配置端口链路类型..网服务器群、市场部门、人事部门、测试部门、软件部门、硬件部门。设置完成后，在基本设置>>VLAN设置>>关联表中可查看配置结果。2.2区段和接口设置门区段、研发部门区段配置区段。服务器群1区段、服务器群2区段、市场部门区段、人事部门区段、研发部门区段。..2.2.1给各区段配置接口1.配置区段ISP-Telecom电信线路的宽带接入方式为静态IP地址，则在区段ISP-Telecom中添加接口类型eth。给接口eth配置电信提供的网络参数和上下行带宽等。2.配置区段ISP-Unicom.接口添加宽带账号、密码，上下行带宽等。..P4.配置区段Server5.配置区段Marketing..6.配置区段Personnel..7.配置区段RD网段为192.168.70.0/24。添加3个eth接口，并分别手动配置其IP地址。添加接口类型eth，手动给该接口配置软件部门的IP地址...添加接口类型eth，手动给该接口配置硬件部门的IP地址添加接口类型eth，手动给该接口配置测试部门的IP地址2.3全局对象设置理、IP地址池、服务类型对这些变量进行配置。2.3.1配置地址管理在后续的网络权限配置中，会涉及到针对市场部门、人事部门、软件部门、硬件部门、测试部门网段的规则设置。对象管理>>地址管理>>地址组Marketing_ip对应地址192.168.30.1-192.168.30.254Personnel_ip对应地址192.168.40.1-192.168.40.254RDSoftwareip168.50.1-192.168.50.254RD_Testing_ip对应地址192.168.70.1-192.168.70.254对象管理>>地址管理>>地址..添加完成，地址列表显示如下..2.3.2配置时间管理一配置这两个时间全局参数。1)添加上班时间段的时间管理.2)添加元旦放假时间通知时间管理#添加时间管理注:这里的工作时间直接引用上班时间的工作时间。..2.3.3配置IP地址池对象管理>>IP地址池2.3.4配置服务类型要使用到目的端口为8080的服务类型。对象管理>>IP地址池第三章配置成NAT路由器..通过第二章，我们已经完成配置前的准备工作，现在为保证部网段市场部门、人事部门、软件部门、硬件部门、测试部门、因为对于每个网段来说都有两个出口，即电信和联通，所以对于每个网段来说，都需要配置两条NAPT规则。第四章网络权限及网络安全需求分析中涉及企业部网络权限和网络安全的容进行罗列：1.各部门使用不同网段，不允许相互访问；2.市场部门、人事部门可全天候访问外网，研发部门只能在非工作时间访问外网；3.服务器群1对广域网、市场部门、人事部门全天候开放，对研发部门只在非工作时间开放；4.服务器群2对企业部员工完全开放；PP。4.1配置访问规则区段访问规则"中配置相应的策略实现。4.1.1区段间访问规则...下面我们以市场部门区段和人事部门区段之间规则为例进行配置。arketingPersonnel配置Personnel->Marketing规则..置服务器群1区段与电信宽带区段、联通宽带区段、市设置相应规则，选择生效时间，配置结果如下：..配置完成后，规则条目如下：则宽带区段之间的区段间访问规则。只需要配置研发部门区段和电信宽带区段、联通宽带区段之间的区段间访问规则。..配置完成后，规则条目如下：4.1.2区段访问规则在区段访问规则中，我们要实现：区段RD中软件部门、硬件部门、测试部门不能相互访问。配置完成后配置条目如下：..4.3常见攻击防护Flood类攻击和可疑包攻击.4.4上网行为管理PP下面我们以市场部门的应用控制规则配置为例：...选择限制列表同理配置人事部门、研发部门的应用控制规则，配置完成后规则如下：..第五章带宽控制发部门区段。s下面我们以市场部门的带宽控制配置为例：传输控制>>带宽控制>>带宽控制规则配置市场部门到电信线路的上行带宽配置市场部门到电信线路的下行带宽配置市场部门到联通线路的上行带宽..配置市场部门到联通线路的下行带宽配置完成后，规则条目如下：同理配置人事部门、研发部门到电信、联通线路的带宽。第六章流量均衡6.1流量智能均衡传输控制>>流量均衡>>基本设置..6.2ISP智能选路配置完成后，配置条目如下：6.3策略选路elecom..第七章出差员工、办事处访问总部资源N到总部服务器。要建立IPSecVPN隧道，需要在总部和办事处的路由器都进行IPSec的参数配置，下面我们以总部路由器配置为例。配置IKE安全提议配置IKE安全策略..配置IPSec安全提议配置IPSec安全策略本地子网围填写办事处、分公司需要访问的网段地址，对端子网围填写0.0.0.0/0(表示所有子网围)，选择VPN隧道的出接口，对端网关填写0.0.0.0(表示任何地址)，选择IKE协商，添加IKE安全策略、IPSec安全提议、PFS。......第八章其他功能配置8.1开放部服务器服务器。配置两