TLERG某企业网络配置实例资料.docVIP

TL-ER6520G某企业网络配置实例 某企业需要对其现有的网络进行重新规则和布置，组建一个安全、稳定、高效的办公网络环境，企业的详细需求方案如下： 1. 企业从电信、联通各办理30M的光纤宽带，联通线路的宽带接入方式为PPPoE拨号，电信线路的宽带接入方式为静态IP地址；要求实现电信走电信，联通走联通，内网所有电脑从电信线路访问外网的8080端口； 2. 企业内部有研发、市场、人事三个部门，研发部又分为软件、硬件、测试三个小部门；企业为信息安全考虑，要求各部门使用不同的网段，并且不允许相互访问；市场部、人事部可全天候访问外网，研发部只能在非工作时间访问外网；企业有两个服务器群，服务器群1位于广域网区（DMZ区），对广域网、市场部、人事部全天候开放；服务器群2位于工作区，仅对企业内部员工开放；企业要求需要防范来自企业内部的ARP欺骗、DOS等常见攻击，并禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。 3. 为方便各地办事处、分公司安全的将业务数据实时传输到总部服务器，各地办事处、分公司需要与总部建立站点到站点的VPN隧道；为方便出差员工安全的访问总部服务器，需要建立PC到站点模式的VPN隧道； 4. 为合理利用带宽资源，要求对各个部门所使用的带宽进行限制； 5. 企业服务器群1上有两台WEB服务器（80端口），要求实现访问不同WAN口映射到不同服务器； 6. 企业需要经常性的给内部员工发布公告信息；需要对网络流量进行实时监控，监控服务器需要对企业内部访问外网的数据进行监控和备份。 需求分析 现对该组网方案需求做分析和规划： 1. 根据该组网方案需求，企业内部可划分为7个区段，分别是电信宽带区段、联通宽带区段、服务器群1区段、服务器群2区段、市场部门区段、人事部门区段、研发部门区段，对应的区段名称分别为ISP-Telecom、ISP-Unicom、DMZ、Server、Marketing、Personnel、RD； 2. 企业内部划分为7个网段，通过VLAN实现隔离，分别是DMZ区段网段为192.168.10.0/24，Server区段网段为192.168.20.0/24，Marketing区段网段为192.168.30.0/24，Personnel区段网段为192.168.40.0/24，RD区段有3个网段：研发软件部门网段为192.168.50.0/24，研发硬件部门网段为192.168.60.0/24，研发测试部门网段为192.168.70.0/24； 3. 通过访问策略实现区段之间、区段内各网段之间的访问权限； 4. 通过流量均衡实现电信走电信、联通走联通以及内网所有电脑从电信线路访问外网的8080端口； 5. 通过ARP防护实现防范企业内部的ARP欺骗；通过攻击防护实现防范DOS等常见攻击； 6. 通过应用限制实现禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件； 7. 各地办事处、分公司与总部之间站点到站点的VPN通过建立IPSec隧道实现，出差员工使用PC到站点的VPN通过开启PPTP/L2TP服务实现； 8. 通过带宽控制实现合理利用带宽资源； 9. 通过虚拟服务器实现访问不同WAN口映射到不同服务器； 10. 通过端口电子公告实现经常性的给内部员工发布公告信息； 11. 通过开启流量统计实现对网络流量进行实时监控； 12. 通过端口监控实现监控服务器需要对企业内部访问外网的数据进行监控和备份。 配置前的准备工作 2.1 VLAN设置 VLAN可将网络逻辑地分割成数个不同的广播域，实现数据包只在VLAN内转发。TL-ER6520G路由器支持Access、Trunk、Hybrid三种端口的链路类型。 根据前面的需求分析，我们做如下规划：端口1用来连接电信宽带，端口2用来连接联通宽带线路，端口3用来连接服务器群2、市场部、人事部、研发部，端口4用来连接服务器群1。 端口3需要处理多个VLAN的数据，且核心层交换机需要通过数据包中的VLAN TAG来转发数据包，端口3需要设置为trunk；端口1、2、4、5只需要处理一个VLAN的数据，则端口链路类型配置为access。 根据前面的分析配置端口链路类型 基本设置 VLAN设置 端口设置 依次创建VLAN 2/3/4/5/6/7/8/9/10，其中VLAN 2的端口成员为端口1，对应电信宽带线路；VLAN 的端口成员为端口2，对应联通宽带线路；VLAN 4的端口成员为端口4，对应公网服务器群；VLAN 5/6/7/8/9/10的端口成员为端口3，分别对应内网服务器群、市场部门、人事部门、测试部门、软件部门、硬件部门。基本设置 VLAN设置 VLAN设置 2.2 区段和接口设置 企业内部划分为7个区段，分别是电信宽带区段、联通宽带