TL-ER6520G某企业网络配置实例

-.z.TL-ER6520G*企业网络配置实例第一章*企业的组网需求.........................................................................................................1第二章配置前的准备工作.........................................................................................................32.1VLAN设置.....................................................................................................................32.2区段和接口设置............................................................................................................42.3全局对象设置..............................................................................................................10第三章配置成NAT路由器.......................................................................................................15第四章网络权限及网络平安...................................................................................................164.1配置访问规则..............................................................................................................164.2防ARP欺骗...................................................................................................................204.3常见攻击防护...............................................................................................................214.4上网行为管理...............................................................................................................22第五章带宽控制........................................................................................................................24第六章流量均衡........................................................................................................................256.1流量智能均衡...............................................................................................................256.2ISP智能选路..................................................................................................................266.3策略选路........................................................................................................................26第七章出差员工、办事处访问总部资源.................................................................................277.1办事处与总部之间的IPSecVPN..................................................................................277.2出差员工使用的PPTP/L2TPVPN.................................................................................29第八章其他功能配置..................................................................................................................318.1开放部效劳器.............................................................................................................318.2企业部公揭发布.........................................................................................................328.3网络流量统计.................................................................................................................328.4配置监控效劳器..............................................................................................................32第一章*企业的组网需求TL-ER6520G是TP-LINK公司推出的双核全千兆企业VPN路由器产品，主要定位于企业、机关单位、园区、连锁酒店等需要高速互联网接入、上网行为管理和远程平安通信的网络环境。下面我们来看以TL-ER6520G路由器为核心设备的典型组网方案。*企业需要对其现有的网络进展重新规则和布置，组建一个平安、稳定、高效的办公网络环境，企业的详细需求方案如下：1.企业从电信、联通各办理30M的光纤宽带，联通线路的宽带接入方式为PPPoE拨号，电信线路的宽带接入方式为静态IP地址；要现"电信走电信，联通走联通"，网所有电脑从电信线路访问外网的8080端口；2.企业部有研发、市场、人事三个部门，研发部又分为软件、硬件、测试三个小部门；企业为信息平安考虑，要求各部门使用不同的网段，并且不允许相互访问；市场部、人事部可全天候访问外网，研发部只能在非工作时间访问外网；企业有两个效劳器群，效劳器群1位于广域网区〔DMZ区〕，对广域网、市场部、人事部全天候开放；效劳器群2位于工作区，仅对企业部员工开放；企业要求需要防来自企业部的ARP欺骗、DOS等常见攻击，并制止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。3.为方便各地办事处、分公司平安的将业务数据实时传输到总部效劳器，各地办事处、分公司需要与总部建立站点到站点的VPN隧道；为方便出差员工平安的访问总部效劳器，需要建立PC到站点模式的VPN隧道；4.为合理利用带宽资源，要求对各个部门所使用的带宽进展限制；5.企业效劳器群1上有两台WEB效劳器〔80端口〕，要现访问不同WAN口映射到不同效劳器；6.企业需要经常性的给部员工发布公告信息；需要对网络流量进展实时监控，监控效劳器需要对企业部访问外网的数据进展监控和备份。需求分析现对该组网方案需求做分析和规划：1.根据该组网方案需求，企业部可划分为7个区段，分别是电信宽带区段、联通宽带区段、效劳器群1区段、效劳器群2区段、市场部门区段、人事部门区段、研发部门区段，对应的区段名称分别为ISP-Tele、ISP-Uni、DMZ、Server、Marketing、Personnel、RD；2.企业部划分为7个网段，通过VLAN实现隔离，分别是DMZ区段网段为192.168.10.0/24，Server区段网段为192.168.20.0/24，Marketing区段网段为192.168.30.0/24，Personnel区段网段为192.168.40.0/24，RD区段有3个网段：研发软件部门网段为192.168.50.0/24，研发硬件部门网段为192.168.60.0/24，研发测试部门网段为192.168.70.0/24；3.通过访问策略实现区段之间、区段各网段之间的访问权限；4.通过流量均衡实现"电信走电信、联通走联通"以及网所有电脑从电信线路访问外网的8080端口；5.通过ARP防护实现防企业部的ARP欺骗；通过攻击防护实现防DOS等常见攻击；6.通过应用限制实现制止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件；7.各地办事处、分公司与总部之间站点到站点的VPN通过建立IPSec隧道实现，出差员工使用PC到站点的VPN通过开启PPTP/L2TP效劳实现；8.通过带宽控制实现合理利用带宽资源；9.通过虚拟效劳器实现访问不同WAN口映射到不同效劳器；10.通过端口电子公告实现经常性的给部员工发布公告信息；11.通过开启流量统计实现对网络流量进展实时监控；12.通过端口监控实现监控效劳器需要对企业部访问外网的数据进展监控和备份。第二章配置前的准备工作在开场配置路由器之前，我们需要对整个组网方案有清晰的思路和规划。而在配置路由器的具体功能之前，我们还需要完成一些配置前的准备工作，包括VLAN配置、区段和接口配置、全局对象配置。2.1VLAN设置VLAN可将网络逻辑地分割成数个不同的播送域，实现数据包只在VLAN转发。TL-ER6520G路由器支持Access、Trunk、Hybrid三种端口的链路类型。根据前面的需求分析，我们做如下规划：端口1用来连接电信宽带，端口2用来连接联通宽带线路，端口3用来连接效劳器群2、市场部、人事部、研发部，端口4用来连接效劳器群1。端口3需要处理多个VLAN的数据，且核心层交换机需要通过数据包中的VLANTAG来转发数据包，端口3需要设置为trunk；端口1、2、4、5只需要处理一个VLAN的数据，则端口链路类型配置为access。2.1.1配置物理端口链路类型根据前面的分析配置端口链路类型根本设置>>VLAN设置>>端口设置2.1.2给物理端口创立VLAN依次创立VLAN2/3/4/5/6/7/8/9/10，其中VLAN2的端口成员为端口1，对应电信宽带线路；VLAN的端口成员为端口2，对应联通宽带线路；VLAN4的端口成员为端口4，对应公网效劳器群；VLAN5/6/7/8/9/10的端口成员为端口3，分别对应网效劳器群、市场部门、人事部门、测试部门、软件部门、硬件部门。根本设置>>VLAN设置>>VLAN设置设置完成后，在根本设置>>VLAN设置>>关联表中可查看配置结果。2.2区段和接口设置企业部划分为7个区段，分别是电信宽带区段、联通宽带区段、效劳器群1区段、效劳器群2区段、市场部门区段、人事部门区段、研发部门区段配置区段。添加区段ISP-Tele、ISP-Uni、DMZ、Server、Marketing、Personnel、RD，分别对应电信宽带区段、联通宽带区段、效劳器群1区段、效劳器群2区段、市场部门区段、人事部门区段、研发部门区段。2.2.1给各区段配置接口1.配置区段ISP-Tele电信线路的宽带接入方式为静态IP地址，则在区段ISP-Tele中添加接口类型eth。给接口eth配置电信提供的网络参数和上下行带宽等。2.配置区段ISP-Uni联通线路的宽带接入方式为PPPoE，则先在区段ISP-Uni中添加eth接口，再添加pppoe接口Link到eth接口。给pppoe接口添加宽带账号、密码，上下行带宽等。在区段ISP-Uni添加eth接口添加PPPoE接口，并将eth接口Link到eth接口3.配置区段DMZ区段DMZ即效劳器群1区段，网段为192.168.10.0/24。添加接口类型eth，手动给该接口配置IP地址。4.配置区段Server区段Server即效劳器群2区段，网段为192.168.20.0/24。添加接口类型eth，手动给该接口配置IP地址。5.配置区段Marketing区段Marketing即市场部门区段，网段为192.168.30.0/24。添加接口类型eth，手动给该接口配置IP地址。6.配置区段Personnel区段Personnel即人事部门区段，网段为192.168.40.0/24。添加接口类型eth，手动给该接口配置IP地址。7.配置区段RD区段RD即研发部门区段，有3个小部门，软件部门网段为192.168.50.0/24、硬件部门网段为192.168.60.0/24、测试部门网段为192.168.70.0/24。添加3个eth接口，并分别手动配置其IP地址。添加接口类型eth，手动给该接口配置软件部门的IP地址添加接口类型eth，手动给该接口配置硬件部门的IP地址添加接口类型eth，手动给该接口配置测试部门的IP地址2.3全局对象设置通过对整个组网方案的规划，我们已经十分清楚在整个配置过程中需要用到的全局变量，接下来我们通过地址管理、时间管理、IP地址池、效劳类型对这些变量进展配置。2.3.1配置地址管理在后续的网络权限配置中，会涉及到针对市场部门、人事部门、软件部门、硬件部门、测试部门网段的规则设置。*添加组名Marketing、Personnel、RD_Software、RD_Hardware、RD_Testing对象管理>>地址管理>>地址组*添加地址段对象管理>>地址管理>>地址添加完成，地址列表显示如下*视图设置组Marketing包含地址Marketing_ip组Personnel包含地址Personnel_ip组RD_Software包含地址RD_Software_ip组RD_Hardware包含地址RD_Hardware_ip组RD_Testing包含地址RD_Testing_ip2.3.2配置时间管理在后续的网络权限和电子公告功能配置中，需要使用到上班时间和元旦放假时间通知时间这两个时间配置项，下面我们就逐一配置这两个时间全局参数。1)添加上班时间段的时间管理上班时间指的是每周一到周五的上午8:30—11:50和下午的13:20—18:00，先添加工作日历包含全年的每周一到周五，再添加工作时间8:30—11:50和13:20—18:00，最后将工作日历和工作时间进展组合。*添加工作日历*添加工作时间*添加时间管理2)添加元旦放假时间通知时间管理元旦放假时间通知时间指的是元旦放假前一周的周一到周五的8:30—11:50和13:20—18:00。*添加工作日历*添加时间管理注:这里的工作时间直接引用上班时间的工作时间。2.3.3配置IP地址池在后续给出差员工配置PC到站点的PPTP/L2TPVPN时，会涉及到PPTP/L2TPVPN隧道地址池的添加。对象管理>>IP地址池2.3.4配置效劳类型在后续配置"网所有电脑从电信线路访问外网的8080端口"时需要使用到目的端口为8080的效劳类型。添加效劳器类型，目的端口为8080的TCP/UDP协议。对象管理>>IP地址池第三章配置成NAT路由器通过第二章，我们已经完成配置前的准备工作，现在为保证部网段市场部门、人事部门、软件部门、硬件部门、测试部门、效劳器群1可通过电信、联通的两条宽带线路正常上网，需要将TL-ER6520G配置成具备NAPT功能的路由器。因为对于每个网段来说都有两个出口，即电信和联通，所以对于每个网段来说，都需要配置两条NAPT规则。传输控制>>NAT设置>>NAPT第四章网络权限及网络平安我们现在将需求分析中涉及企业部网络权限和网络平安的容进展罗列：1.各部门使用不同网段，不允许相互访问；2.市场部门、人事部门可全天候访问外网，研发部门只能在非工作时间访问外网；3.效劳器群1对广域网、市场部门、人事部门全天候开放，对研发部门只在非工作时间开放；4.效劳器群2对企业部员工完全开放；5.需要防来自企业部的ARP欺骗、DOS等常见攻击；6.制止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。4.1配置访问规则TL-ER6520G默认是允许所有区段的所有接口直接通信，为实现上述的需求，我们需要在访问规则中的"区段间访问规则"和"区段访问规则"中配置相应的策略实现。4.1.1区段间访问规则我们已经在路由器中定义了7个区段，现在我们逐一实现涉及区段之间的访问规则。*实现1：研发部、市场部、人事部三个部门之间不允许相互访问平安管理>>访问策略>>区段间访问规则选择相应的显示区段，即Marketing<->Personnel、Marketing<->RD、Personnel<->RD。在区段间规则中，我们需要配置6个方向的规则即：Marketing->Personnel、Personnel->Marketing、Marketing->RD、RD->Marketing、Personnel->RD、RD->Personnel。下面我们以市场部门区段和人事部门区段之间规则为例进展配置。配置Marketing->Personnel规则配置Personnel->Marketing规则同理我们配置Marketing->RD、RD->Marketing、Personnel->RD、RD->Personnel的规则，配置完成后，规则条目如下：区段Marketing与区段Personnel之间规则区段Marketing与区段RD之间规则区段Personnel与区段RD之间规则*实现2：效劳器群1对广域网、市场部、人事部全天候开放，对研发部只在非工作时间开放因为路由器默认是允许所有区段的所有接口直接通信，所以不需要配置效劳器群1区段与电信宽带区段、联通宽带区段、市场部门区段、人事部门区段的区段间访问规则。只需配置效劳器群1区段和RD区段之间的区段间访问规则。平安管理>>访问策略>>区段间访问规则选择相应的显示区段：DMZ<->RD设置相应规则，选择生效时间，配置结果如下：*实现3：效劳器群2对企业部员工完全开放，制止部效劳器群2访问外网和效劳器群1平安管理>>访问策略>>区段间访问规则选择相应的显示区段：ISP-Tele<->Server、ISP-Uni<->Server、DMZ<->Server在相关的配置界面上配置对应规则：ISP-Tele->Server、Server->ISP-Tele、ISP-Uni->Server、Server->ISP-Uni、DMZ->Server、Server->DMZ。配置完成后，规则条目如下：区段ISP-Tele与区段Server之间规则区段ISP-Uni与区段Server之间规则区段DMZ与区段Server之间规则*实现4：市场部、人事部可全天候访问外网，研发部只能在非工作时间访问外网因为路由器默认是允许所有区段的所有接口直接通信，所以不需要配置市场部门区段、人事部门区段和电信宽带区段、联通宽带区段之间的区段间访问规则。只需要配置研发部门区段和电信宽带区段、联通宽带区段之间的区段间访问规则。平安管理>>访问策略>>区段间访问规则选择相应的显示区段：ISP-Tele<->RD、ISP-Uni<->RD。配置完成后，规则条目如下：区段ISP-Tele与区段RD之间规则区段ISP-Uni与区段RD之间规则4.1.2区段访问规则在区段访问规则中，我们要实现：区段RD中软件部门、硬件部门、测试部门不能相互访问。配置完成后配置条目如下：4.2防ARP欺骗为有效的防止网的ARP欺骗，我们需要对网所有电脑做IP与MAC绑定，在路由器中添加IP与MAC绑定信息有两种方式：ARP扫描和手动添加IP/MAC。通过ARP扫描方式添加每个网段围的IP/MAC绑定信息平安管理>>ARP防护>>ARP扫描针对每个出接口添加对应的IP/MAC绑定信息平安管理>>ARP防护>>IPMAC绑定在添加完成对应的IP/MAC绑定信息之后，启用ARP防欺骗功能，并选择对应的生效区段。平安管理>>ARP防护>>IPMAC绑定4.3常见攻击防护在路由器中启用攻击防护选项可有效的防护Flood类攻击和可疑包攻击平安管理>>攻击防护>>攻击防护4.4上网行为管理通过应用控制实现市场部门、人事部门、研发部门的员工制止使用P2P类软件、金融股票类软件、视频类软件、游戏类软件。下面我们以市场部门的应用控制规则配置为例：平安管理>>应用控制>>应用限制平安管理>>应用控制>>应用限制选择限制列表同理配置人事部门、研发部门的应用控制规则，配置完成后规则如下：第五章带宽控制在这一章节，我们通过带宽控制实现合理利用带宽资源的目标，企业部需要进展带宽控制的区段有市场部门区段、人事部门区段、研发部门区段。企业的总带宽为电信30M光纤+联通30M光纤=60M，再根据企业部各个部门对带宽的需求，我们做如下规划：市场部门对带宽需求较大，我们给市场部门每台电脑到每个出口的上下行带宽限制为800Kbps；人事部门对带宽需求一般，我们给人事部门每台电脑到每个出口的上下行带宽限制为600Kbps；研发部门对带宽需求较小，我们给研发部门每台电脑到每个出口的上下行带宽限制为400Kbps。下面我们以市场部门的带宽控制配置为例：传输控制>>带宽控制>>带宽控制规则配置市场部门到电信线路的上行带宽配置市场部门到电信线路的下行带宽配置市场部门到联通线路的上行带宽配置市场部门到联通线路的下行带宽配置完成后，规则条目如下：同理配置人事部门、研发部门到电信、联通线路的带宽。第六章流量均衡在这一章节，我们通过流量均衡实现需求："电信走电信，联通走联通"，网所有电脑从电信线路访问外网的8080端口。6.1流量智能均衡传输控制>>流量均衡>>根本设置选择电信线路、联通线路的出接口〔ISP-Tele、ISP-Uni-pppoe〕参与智能均衡。6.2ISP智能选路TL-ER6520G路由器的WAN口1连接电信线路，WAN口2连接联通线路，通过ISP选路功能实现"电信走电信，联通走联通"。传输控制>>流量均衡>>ISP选路接口ISP-Tele选择电信、接口ISP-Uni-pppoe选择联通配置完成后，配置条目如下：6.3策略选路在策略选路中，配置规则将目的端口号为8080的数据从ISP-Tele进展转发，实现"网所有电脑从电信线路访问外网的8080端口"。第七章出差员工、办事处访问总部资源我们通过在办事处、分公司与总部之间建立站点到站点模式的IPSecVPN，实现办事处、分公司平安的将业务数据实时传输到总部效劳器。在总部搭建PC到站点模式的PPTP/L2TPVPN效劳器，实现出差员工平安的访问总部效劳器资源。7.1办事处与总部之间的IPSecVPN要建立IPSecVPN隧道，需要在总部和办事处的路由器都进展IPSec的参数配置，下面我们以总部路由器配置为例。配置IKE平安提议VPN>>IKE>>IKE平安提议填入平安提议名称，选择相应的验证算法、加密算法、DH组交换配