MSR常见应用场景配置指导(双出口组网典型配置篇)
适用产品:
H3CMSR20、MSR30、MSR50各系列的所有产品
适应版本:
2008.8.15日之后正式发布的版本。绝大部分配置也适用之前发布的版本。
使用方法:
根据实际应用场景,在本文配置指导基础上,做定制化修改后使用。
实际组网中可能存在特殊要求,建议由专业人员或在专业人员指导下操作。
本文以MSR2010产品,2008.8.15日ESS1710软件版本为案例(1710以后的版本同样支持)。
H3CComwarePlatformSoftware
ComwareSoftware,Version5.20,ESS1710
ComwarePlatformSoftwareVersionCOMWAREV500R002B58D001SP01
H3CMSR2010SoftwareVersionV300R003B01D004SP01
Copyright(c)2004-2008HangzhouH3CTech.Co.,Ltd.Allrightsreserved.
CompiledAug15200813:57:11,RELEASESOFTWARE
1.1双出口组网典型配置
用户为了同时实现负载分担和链路备份,一般会选择双WAN接入的组网方式。当两条链路都正常的情况下为负载分担,当任意一条链路出现故障时,所有流量可以转发到另外一条链路进行转发,实现动态备份。下面就两种常见的组网给出配置实例。
1.1.1MSR5006双以太网链路接入
网络拓扑图如图3所示,MSR5006有两条到同一运营商的链路,G1/0网络地址为142.1.1.0/30,G2/0网络地址为162.1.1.0/30。正常工作时流量分别从两个接口发出,当任意一条链路出现故障时,流量全部转移到另外一条链路发送。配置需求如下:
1、对内网主机进行限速,上行限制512kbps,下行限制1024kbps;
2、启用防火墙对攻击报文进行过虑;
3、启动ARP防攻击功能和ARP绑定功能,防止ARP欺骗攻击;
4、优化NAT表项老化时间;
5、启用自动侦测功能,检测WAN链路状态;
6、启用基于用户负载分担功能,对流量进行负载分担;
图4双以太网链路接入拓扑图
[H3C]discur
#
sysnameH3C
#
firewallpacket-filterenable
#
nataging-timetcp300
nataging-timeudp180
nataging-timepptp300
nataging-timeftp-ctrl300
#
ipuser-based-sharingenable
ipuser-based-sharingroute0.0.0.00.0.0.0
#
qoscarl1source-ip-addressrange192.168.1.1to192.168.1.254per-addre ss
qoscarl2destination-ip-addressrange192.168.1.1to192.168.1.254per-address
#
radiusschemesystem
#
domainsystem
#
local-useradmin
passwordcipher.]@USE=B,53Q=^Q`MAF4<1!!
service-typetelnet
level3
#
detect-group1
detect-list1ipaddress142.1.1.1nexthop142.1.1.1
#
detect-group2
detect-list1ipaddress162.1.1.1nexthop162.1.1.1
#
aclnumber3000
rule0permitipsource192.168.1.00.0.0.255
rule1000denyip
aclnumber3001nameWAN1Defend
rule0denyudpdestination-porteqtftp
rule1denytcpdestination-porteq4444
rule2denytcpdestination-porteq135
rule3denyudpdestination-porteq135
rule4denyudpdestination-porteqnetbios-ns rule5denyudpdestination-porteqnetbios-dgm rule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssn rule8denytcpdestination-porteq445
rule9denyudpdestination-porteq445
rule10denyudpdestination-porteq593
rule11denytcpdestination-porteq593
rule12denytcpdestination-porteq5554
rule13denytcpdestination-porteq9995
rule14denytcpdestination-porteq9996
rule15denyudpdestination-porteq1434
rule16denytcpdestination-porteq1068
rule17denytcpdestination-porteq5800
rule18denytcpdestination-porteq5900
rule19denytcpdestination-porteq10080
rule22denytcpdestination-porteq3208
rule23denytcpdestination-porteq1871
rule24denytcpdestination-porteq4510
rule25denyudpdestination-porteq4334
rule26denytcpdestination-porteq4331
rule27denytcpdestination-porteq4557
rule28denyudpdestination-porteq4444
rule29denyudpdestination-porteq1314
rule30denytcpdestination-porteq6969
rule31denytcpdestination-porteq137
rule32denytcpdestination-porteq389
rule33denytcpdestination-porteq138
rule34denyudpdestination-porteq136
rule35denytcpdestination-porteq1025
rule36denytcpdestination-porteq6129
rule37denytcpdestination-porteq1029
rule38denytcpdestination-porteq20168
rule39denytcpdestination-porteq4899
rule40denytcpdestination-porteq45576
rule41denytcpdestination-porteq1433
rule42denytcpdestination-porteq1434
rule43denyudpdestination-porteq1433
rule200permiticmpicmp-typeecho
rule201permiticmpicmp-typeecho-reply
rule202permiticmpicmp-typettl-exceeded rule210denyicmp
rule300permitudpsource-porteqdns
rule310permittcpdestination-porteqtelnet
rule1000permitipdestination192.168.1.00.0.0.255 rule2000denyip
aclnumber3002nameWAN2Defend
rule0denyudpdestination-porteqtftp
rule1denytcpdestination-porteq4444
rule2denytcpdestination-porteq135
rule3denyudpdestination-porteq135
rule4denyudpdestination-porteqnetbios-ns
rule5denyudpdestination-porteqnetbios-dgm
rule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssn
rule8denytcpdestination-porteq445
rule9denyudpdestination-porteq445
rule10denyudpdestination-porteq593
rule11denytcpdestination-porteq593
rule12denytcpdestination-porteq5554
rule13denytcpdestination-porteq9995
rule14denytcpdestination-porteq9996
rule15denyudpdestination-porteq1434
rule16denytcpdestination-porteq1068
rule17denytcpdestination-porteq5800
rule18denytcpdestination-porteq5900
rule19denytcpdestination-porteq10080
rule22denytcpdestination-porteq3208
rule23denytcpdestination-porteq1871
rule24denytcpdestination-porteq4510
rule25denyudpdestination-porteq4334
rule26denytcpdestination-porteq4331
rule27denytcpdestination-porteq4557
rule28denyudpdestination-porteq4444
rule29denyudpdestination-porteq1314
rule30denytcpdestination-porteq6969
rule31denytcpdestination-porteq137
rule32denytcpdestination-porteq389
rule33denytcpdestination-porteq138
rule34denyudpdestination-porteq136
rule35denytcpdestination-porteq1025
rule36denytcpdestination-porteq6129
rule37denytcpdestination-porteq1029
rule38denytcpdestination-porteq20168
rule39denytcpdestination-porteq4899
rule40denytcpdestination-porteq45576
rule41denytcpdestination-porteq1433
rule42denytcpdestination-porteq1434
rule200permiticmpicmp-typeecho
rule201permiticmpicmp-typeecho-reply
rule202permiticmpicmp-typettl-exceeded
rule210denyicmp
rule300permitudpsource-porteqdns
rule310permittcpdestination-porteqtelnet
rule1000permitipdestination192.168.1.00.0.0.255 rule2000denyip
aclnumber3003nameLANDefend
rule0denyudpdestination-porteqtftp
rule1denytcpdestination-porteq4444
rule2denytcpdestination-porteq135
rule3denyudpdestination-porteq135
rule4denyudpdestination-porteqnetbios-ns
rule5denyudpdestination-porteqnetbios-dgm
rule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssn
rule8denytcpdestination-porteq445
rule9denyudpdestination-porteq445
rule10denyudpdestination-porteq593
rule11denytcpdestination-porteq593
rule12denytcpdestination-porteq5554
rule13denytcpdestination-porteq9995
rule14denytcpdestination-porteq996
rule15denyudpdestination-porteq1434
rule16denytcpdestination-porteq1068
rule17denytcpdestination-porteq5800
rule18denytcpdestination-porteq5900
rule19denytcpdestination-porteq10080
rule22denytcpdestination-porteq3208
rule23denytcpdestination-porteq1871
rule24denytcpdestination-porteq4510
rule25denyudpdestination-porteq4334
rule26denytcpdestination-porteq4331
rule27denytcpdestination-porteq4557
rule28denyudpdestination-porteq4444
rule29denyudpdestination-porteq1314
rule30denytcpdestination-porteq6969
rule31denytcpdestination-porteq137
rule32denytcpdestination-porteq389
rule33denytcpdestination-porteq138
rule34denyudpdestination-porteq136
rule35denytcpdestination-porteq1025
rule37denytcpdestination-porteq1029
rule38denytcpdestination-porteq20168
rule39denytcpdestination-porteq4899
rule40denytcpdestination-porteq45576
rule41denytcpdestination-porteq1433
rule42denytcpdestination-porteq1434
rule43denyudpdestination-porteq1433
rule200permiticmpicmp-typeecho
rule201permiticmpicmp-typeecho-reply
rule202permiticmpicmp-typettl-exceeded
rule210denyicmp
rule1000permitipsource192.168.1.00.0.0.255
rule1001permitudpdestination-porteqbootps
rule2000denyip
#
interfaceAux0
asyncmodeflow
#
interfaceGigabitEthernet1/0
ipaddress142.1.1.2255.255.255.252
firewallpacket-filter3001inbound
natoutbound3000
#
interfaceGigabitEthernet2/0
ipaddress162.1.1.2255.255.255.252
firewallpacket-filter3002inbound
natoutbound3000
#
interfaceGigabitEthernet3/0
ipaddress192.168.1.1255.255.255.0
firewallpacket-filter3003inbound
qoscarinboundcarl1cir512000cbs32000ebs0greenpassreddiscard qoscaroutboundcarl2cir1024000cbs64000ebs0greenpassreddiscard #
interfaceGigabitEthernet4/0
#
interfaceNULL0
#
firewallzonelocal
setpriority100
#
firewallzonetrust
setpriority85
firewallzoneuntrust
setpriority5
#
firewallzoneDMZ
setpriority50
#
iproute-static0.0.0.00.0.0.0142.1.1.1preference60detect-group1
iproute-static0.0.0.00.0.0.0162.1.1.1preference60detect-group2
iproute-static10.0.0.0255.0.0.0NULL0preference60
iproute-static169.254.0.0255.255.0.0NULL0preference60
iproute-static172.16.0.0255.240.0.0NULL0preference60
iproute-static192.168.0.0255.255.0.0NULL0preference60
iproute-static198.18.0.0255.254.0.0NULL0preference60
#
user-interfacecon0
user-interfaceaux0
user-interfacevty04
authentication-modescheme
#
return
[H3C]
1.1.2MSR20/30/50双以太网链路接入
网络拓扑图如图4所示,MSR2010有两条到同一运营商的链路,E0/0网络地址为142.1.1.0/30,E0/1网络地址为162.1.1.0/30。正常工作时流量分别从两个接口发出,当任意一条链路出现故障时,流量全部转移到另外一条链路发送。配置需求如下:
1、对内网主机进行限速,上行限制512kbps,下行限制1024kbps;
2、启用防火墙对攻击报文进行过虑;
3、启动ARP防攻击功能和ARP绑定功能,防止ARP欺骗攻击;
4、优化NAT表项老化时间;
5、启用自动侦测功能对WAN连接状态进行检测;
6、启动策略路由功能,对流量进行负载分担;
图5双以太网链路接入拓扑图
[H3C]discur
#
version5.20,ESS1711
#
sysnameH3C
#
ipseccpu-backupenable
#
firewallenable
#
nataging-timetcp300 nataging-timeudp180 nataging-timepptp300 nataging-timeftp-ctrl300 # domaindefaultenablesystem
telnetserverenable
#
qoscarl1source-ip-addressrange192.168.1.1to192.168.1.254per-addre ss
qoscarl2destination-ip-addressrange192.168.1.1to192.168.1.254per-addres
s
#
aclnumber3001nameWAN1Defend
rule0denyudpdestination-porteqtftp
rule1denytcpdestination-porteq4444
rule2denytcpdestination-porteq135
rule3denyudpdestination-porteq135
rule4denyudpdestination-porteqnetbios-ns
rule5denyudpdestination-porteqnetbios-dgm
rule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssn
rule8denytcpdestination-porteq445
rule9denyudpdestination-porteq445
rule10denyudpdestination-porteq593
rule11denytcpdestination-porteq593
rule12denytcpdestination-porteq5554
rule13denytcpdestination-porteq9995
rule14denytcpdestination-porteq9996
rule15denyudpdestination-porteq1434
rule16denytcpdestination-porteq1068
rule17denytcpdestination-porteq5800
rule18denytcpdestination-porteq5900
rule19denytcpdestination-porteq10080
rule22denytcpdestination-porteq3208
rule23denytcpdestination-porteq1871
rule24denytcpdestination-porteq4510
rule25denyudpdestination-porteq4334
rule26denytcpdestination-porteq4331
rule27denytcpdestination-porteq4557
rule28denyudpdestination-porteq4444
rule29denyudpdestination-porteq1314
rule30denytcpdestination-porteq6969
rule31denytcpdestination-porteq137
rule32denytcpdestination-porteq389
rule33denytcpdestination-porteq138
rule34denyudpdestination-porteq136
rule35denytcpdestination-porteq1025
rule37denytcpdestination-porteq1029
rule38denytcpdestination-porteq20168
rule39denytcpdestination-porteq4899
rule40denytcpdestination-porteq45576
rule41denytcpdestination-porteq1433
rule42denytcpdestination-porteq1434
rule43denyudpdestination-porteq1433
rule200permiticmpicmp-typeecho
rule201permiticmpicmp-typeecho-reply
rule202permiticmpicmp-typettl-exceeded
rule210denyicmp
rule300permitudpsource-porteqdns
rule310permittcpdestination-porteqtelnet
rule1000permitipdestination192.168.1.00.0.0.255 rule2000denyip
aclnumber3002nameWAN2Defend
rule0denyudpdestination-porteqtftp
rule1denytcpdestination-porteq4444
rule2denytcpdestination-porteq135
rule3denyudpdestination-porteq135
rule4denyudpdestination-porteqnetbios-ns
rule5denyudpdestination-porteqnetbios-dgm
rule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssn
rule8denytcpdestination-porteq445
rule9denyudpdestination-porteq445
rule10denyudpdestination-porteq593
rule11denytcpdestination-porteq593
rule12denytcpdestination-porteq5554
rule13denytcpdestination-porteq9995
rule14denytcpdestination-porteq9996
rule15denyudpdestination-porteq1434
rule16denytcpdestination-porteq1068
rule17denytcpdestination-porteq5800
rule18denytcpdestination-porteq5900
rule19denytcpdestination-porteq10080
rule22denytcpdestination-porteq3208
rule23denytcpdestination-porteq1871
rule24denytcpdestination-porteq4510
rule25denyudpdestination-porteq4334
rule26denytcpdestination-porteq4331
rule27denytcpdestination-porteq4557
rule28denyudpdestination-porteq4444
rule30denytcpdestination-porteq6969
rule31denytcpdestination-porteq137
rule32denytcpdestination-porteq389
rule33denytcpdestination-porteq138
rule34denyudpdestination-porteq136
rule35denytcpdestination-porteq1025
rule36denytcpdestination-porteq6129
rule37denytcpdestination-porteq1029
rule38denytcpdestination-porteq20168
rule39denytcpdestination-porteq4899
rule40denytcpdestination-porteq45576
rule41denytcpdestination-porteq1433
rule42denytcpdestination-porteq1434
rule43denyudpdestination-porteq1433
rule200permiticmpicmp-typeecho
rule201permiticmpicmp-typeecho-reply
rule202permiticmpicmp-typettl-exceeded
rule210denyicmp
rule300permitudpsource-porteqdns
rule310permittcpdestination-porteqtelnet
rule1000permitipdestination192.168.1.00.0.0.255 rule2000denyip
aclnumber3003nameLANDefend
rule0denyudpdestination-porteqtftp
rule1denytcpdestination-porteq4444
rule2denytcpdestination-porteq135
rule3denyudpdestination-porteq135
rule4denyudpdestination-porteqnetbios-ns
rule5denyudpdestination-porteqnetbios-dgm
rule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssn
rule8denytcpdestination-porteq445
rule9denyudpdestination-porteq445
rule10denyudpdestination-porteq593
rule11denytcpdestination-porteq593
rule12denytcpdestination-porteq5554
rule13denytcpdestination-porteq9995
rule14denytcpdestination-porteq9996
rule15denyudpdestination-porteq1434
rule16denytcpdestination-porteq1068
rule17denytcpdestination-porteq5800
rule18denytcpdestination-porteq5900
rule19denytcpdestination-porteq10080
rule23denytcpdestination-porteq1871
rule24denytcpdestination-porteq4510
rule25denyudpdestination-porteq4334
rule26denytcpdestination-porteq4331
rule27denytcpdestination-porteq4557
rule28denyudpdestination-porteq4444
rule29denyudpdestination-porteq1314
rule30denytcpdestination-porteq6969
rule31denytcpdestination-porteq137
rule32denytcpdestination-porteq389
rule33denytcpdestination-porteq138
rule34denyudpdestination-porteq136
rule35denytcpdestination-porteq1025
rule36denytcpdestination-porteq6129
rule37denytcpdestination-porteq1029
rule38denytcpdestination-porteq20168
rule39denytcpdestination-porteq4899
rule40denytcpdestination-porteq45576
rule41denytcpdestination-porteq1433
rule42denytcpdestination-porteq1434
rule43denyudpdestination-porteq1433
rule200permiticmpicmp-typeecho
rule201permiticmpicmp-typeecho-reply
rule202permiticmpicmp-typettl-exceeded
rule210denyicmp
rule1000permitipsource192.168.1.00.0.0.255 rule1001permitudpdestination-porteqbootps rule2000denyip
aclnumber3200
rule0permitipsource192.168.1.00.0.0.254 rule1000denyip
aclnumber3201
rule0permitipsource192.168.1.10.0.0.254 rule1000denyip
#
vlan1
#
domainsystem
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
#
user-groupsystem
#
local-useradmin
passwordcipher.]@USE=B,53Q=^Q`MAF4<1!!
authorization-attributelevel3
service-typetelnet
#
interfaceAux0
asyncmodeflow
link-protocolppp
#
interfaceEthernet0/0
portlink-moderoute
firewallpacket-filter3001inbound
natoutbound
ipaddress142.1.1.2255.255.255.252
#
interfaceEthernet0/1
portlink-moderoute
firewallpacket-filter3002inbound
natoutbound
ipaddress162.1.1.2255.255.255.252
#
interfaceNULL0
#
interfaceVlan-interface1
ipaddress192.168.1.1255.255.255.0
qoscarinboundcarl1cir512cbs32000ebs0greenpassreddiscard qoscaroutboundcarl2cir1024cbs64000ebs0greenpassreddiscard ippolicy-based-routewan
firewallpacket-filter3003inbound
#
interfaceEthernet0/2
portlink-modebridge
#
interfaceEthernet0/3
portlink-modebridge
#
interfaceEthernet0/4
portlink-modebridge
#
nqaentrywan11
typeicmp-echo
destinationip142.1.1.1
frequency10000
next-hop142.1.1.1
probecount5
probetimeout1000
reaction1checked-elementprobe-failthreshold-typeconsecutive6actio n-typetrigger-only
#
nqaentrywan21
typeicmp-echo
destinationip162.1.1.1
frequency10000
next-hop162.1.1.1
probecount3
probetimeout1000
reaction1checked-elementprobe-failthreshold-typeconsecutive6actio n-typetrigger-only
#
policy-based-routewanpermitnode1
if-matchacl3200
applyip-addressnext-hop142.1.1.1track1
policy-based-routewanpermitnode2
if-matchacl3201
applyip-addressnext-hop162.1.1.1track2
#
iproute-static0.0.0.00.0.0.0142.1.1.1track1
iproute-static0.0.0.00.0.0.0162.1.1.1track2preference100
iproute-static169.254.0.0255.255.0.0NULL0
iproute-static172.16.0.0255.240.0.0NULL0
iproute-static192.168.0.0255.255.0.0NULL0
iproute-static198.18.0.0255.254.0.0NULL0
#
track1nqaentrywan11reaction1
track2nqaentrywan21reaction1
#
nqaschedulewan11start-timenowlifetimeforever
nqaschedulewan21start-timenowlifetimeforever
#
arpanti-attackvalid-checkenable
arpanti-attacksource-macfilter
arpanti-attacksource-macthreshold20
arpstatic192.168.1.30088-0088-00881Ethernet0/4
arpstatic192.168.1.40088-0088-00891Ethernet0/4
arpstatic192.168.1.50088-0088-008a1Ethernet0/4
arpstatic192.168.1.60088-0088-008b1Ethernet0/4
arpstatic192.168.1.70088-0088-008c1Ethernet0/4
#
loadxml-configuration
#
user-interfaceaux0
user-interfacevty04
authentication-modescheme
#
return
[H3C]
1.1.3以太网链路+PPPOE链路接入
网络拓扑图如图5所示,MSR2010有两条到同一运营商的链路,E0/0为以太网链路,网络地址为142.1.1.0/30;ETH0/1通过PPPOE方式连接ISP。正常工作时流量分别从两个接口发出,当任意一条链路出现故障时,流量全部转移到另外一条链路发送。配置需求如下:
1、对内网主机进行限速,上行限制512kbps,下行限制1024kbps;
2、启用防火墙对攻击报文进行过虑;
3、启动ARP防攻击功能和ARP绑定功能,防止ARP欺骗攻击;
4、优化NAT表项老化时间;
5、启用自动侦测功能对WAN连接状态进行检测;
6、启动策略路由功能,对流量进行负载分担;
图6以太网链路+PPPOE链路接入拓扑图
[H3C]discur
#
version5.20,ESS1711
#
sysnameH3C
#
ipseccpu-backupenable
#
firewallenable
#
nataging-timetcp300
nataging-timeudp180
nataging-timepptp300
nataging-timeftp-ctrl300
#
domaindefaultenablesystem
#
telnetserverenable
#
qoscarl1source-ip-addressrange192.168.1.1to192.168.1.254per-addre ss
qoscarl2destination-ip-addressrange192.168.1.1to192.168.1.254per-address
#
aclnumber3001nameWAN1Defend
rule0denyudpdestination-porteqtftp
rule1denytcpdestination-porteq4444
rule2denytcpdestination-porteq135
rule3denyudpdestination-porteq135
rule4denyudpdestination-porteqnetbios-ns
rule5denyudpdestination-porteqnetbios-dgm
rule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssn
rule8denytcpdestination-porteq445
rule9denyudpdestination-porteq445
rule10denyudpdestination-porteq593
rule11denytcpdestination-porteq593
rule12denytcpdestination-porteq5554
rule13denytcpdestination-porteq9995
rule14denytcpdestination-porteq9996
rule15denyudpdestination-porteq1434
rule16denytcpdestination-porteq1068
rule17denytcpdestination-porteq5800
rule18denytcpdestination-porteq5900
rule19denytcpdestination-porteq10080
rule22denytcpdestination-porteq3208
rule23denytcpdestination-porteq1871
rule24denytcpdestination-porteq4510
rule25denyudpdestination-porteq4334
rule26denytcpdestination-porteq4331
rule27denytcpdestination-porteq4557
rule28denyudpdestination-porteq4444
rule29denyudpdestination-porteq1314
rule30denytcpdestination-porteq6969
rule31denytcpdestination-porteq137
rule32denytcpdestination-porteq389
rule33denytcpdestination-porteq138
rule34denyudpdestination-porteq136
rule35denytcpdestination-porteq1025
rule36denytcpdestination-porteq6129
rule37denytcpdestination-porteq1029
rule38denytcpdestination-porteq20168
rule40denytcpdestination-porteq45576
rule41denytcpdestination-porteq1433
rule42denytcpdestination-porteq1434
rule43denyudpdestination-porteq1433
rule200permiticmpicmp-typeecho
rule201permiticmpicmp-typeecho-reply
rule202permiticmpicmp-typettl-exceeded
rule210denyicmp
rule300permitudpsource-porteqdns
rule310permittcpdestination-porteqtelnet
rule1000permitipdestination192.168.1.00.0.0.255 rule2000denyip
aclnumber3002nameWAN2Defend
rule0denyudpdestination-porteqtftp
rule1denytcpdestination-porteq4444
rule2denytcpdestination-porteq135
rule3denyudpdestination-porteq135
rule4denyudpdestination-porteqnetbios-ns
rule5denyudpdestination-porteqnetbios-dgm
rule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssn
rule8denytcpdestination-porteq445
rule9denyudpdestination-porteq445
rule10denyudpdestination-porteq593
rule11denytcpdestination-porteq593
rule12denytcpdestination-porteq5554
rule13denytcpdestination-porteq9995
rule14denytcpdestination-porteq9996
rule15denyudpdestination-porteq1434
rule16denytcpdestination-porteq1068
rule17denytcpdestination-porteq5800
rule18denytcpdestination-porteq5900
rule19denytcpdestination-porteq10080
rule22denytcpdestination-porteq3208
rule23denytcpdestination-porteq1871
rule24denytcpdestination-porteq4510
rule25denyudpdestination-porteq4334
rule26denytcpdestination-porteq4331
rule27denytcpdestination-porteq4557
rule28denyudpdestination-porteq4444
rule29denyudpdestination-porteq1314
rule30denytcpdestination-porteq6969
rule31denytcpdestination-porteq137
rule33denytcpdestination-porteq138
rule34denyudpdestination-porteq136
rule35denytcpdestination-porteq1025
rule36denytcpdestination-porteq6129
rule37denytcpdestination-porteq1029
rule38denytcpdestination-porteq20168
rule39denytcpdestination-porteq4899
rule40denytcpdestination-porteq45576
rule41denytcpdestination-porteq1433
rule42denytcpdestination-porteq1434
rule43denyudpdestination-porteq1433
rule200permiticmpicmp-typeecho
rule201permiticmpicmp-typeecho-reply
rule202permiticmpicmp-typettl-exceeded
rule210denyicmp
rule300permitudpsource-porteqdns
rule310permittcpdestination-porteqtelnet
rule1000permitipdestination192.168.1.00.0.0.255 rule2000denyip
aclnumber3003nameLANDefend
rule0denyudpdestination-porteqtftp
rule1denytcpdestination-porteq4444
rule2denytcpdestination-porteq135
rule3denyudpdestination-porteq135
rule4denyudpdestination-porteqnetbios-ns
rule5denyudpdestination-porteqnetbios-dgm
rule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssn
rule8denytcpdestination-porteq445
rule9denyudpdestination-porteq445
rule10denyudpdestination-porteq593
rule11denytcpdestination-porteq593
rule12denytcpdestination-porteq5554
rule13denytcpdestination-porteq9995
rule14denytcpdestination-porteq9996
rule15denyudpdestination-porteq1434
rule16denytcpdestination-porteq1068
rule17denytcpdestination-porteq5800
rule18denytcpdestination-porteq5900
rule19denytcpdestination-porteq10080
rule22denytcpdestination-porteq3208
rule23denytcpdestination-porteq1871
rule24denytcpdestination-porteq4510
互联网专线业务技术 方案 目录 一、互联网专线业务 1.产品名称 2产品的简要介绍 3.产品特点 4.网络结构图 5.接入速率 6.网络优势 二、MPLSVPN业务 1.产品名称 2.产品的简要介绍 3.产品特点 4.产品的优势 5.MPLSVPN技术简介 6.网络组网拓扑图 7.接入速率 8.网络优势 互联网专线业务技术方案 一、互联网专线业务1.产品名称:LAN+光纤 2.产品的简要介绍:光纤接入是指XXXX宽带互联网(CMNET)局端与客户
之间完全或部分地以光纤作为传输媒体。光纤接入网有多种方式,最 主要的有光纤到路边、光纤到大楼和光纤到家,即常说的FTTC、FTTB 和FTTH。 3.产品特点● 传输距离远:光纤连接距离可达70公里。 ● 传输速度快:光纤接入能够提供10Mbps、100Mbps、1000Mbps的高速 带宽。 ● 损耗低:由于光纤介质的制造纯度极高,所以光纤的损耗极低,这样, 在通信线中可以减少中继站的数量,提高了通信质量。 ● 抗扰能力强:因为光纤是非金属的介质材料,使用光纤作为传导介质,不受电磁干扰。
4.网络结构图 5.接入速率光纤接入能够提供2Mbps 、10Mbps、100Mbps、1000Mbps 的高速宽带,且直接汇接于XXXX宽带互联网(CMNET)来实现宽带应用,主要适用于集团客户高速接入Internet。 6.网络优势● CMNET省网出口目前带宽达到40G,承载业务种类齐全,现有业务负 载较小,网络质量远远优于其他运营商。 ● CMNET省网与城域网核心设备使用了当今主流的华为顶级路由器 NE5000E,接入设备与核心路由器之间采用双路由、,双备份,保证了XXXX互联网稳定高效运行。
中小型企业组网方案的设计与实现 网络一班 姓名:刘松 摘要 随着Internet在全球的发展和普及,企业网络技术的发展,以及企业生存和发展的需要促成了企业网的形成。而目前在中国国民经济和社会发展中一直占据着至关重要的战略地位的中小型企业,其信息化程度却十分落后。本文通过对中小型企业资金能力及对企业网络的需求进行分析,设计适用于中小型企业的组网方案。在该方案中,企业园区、广域网接入模块、远程访问模块,数据服务组群组成一个完整的企业网架构。 目录 1 发展企业网络的必要性 (1) 1.1 从企业对信息的需求来看 (1) 1.1 从企业管理和业务发展的角度出发 (1) 2 企业网络涉及的主要网络技术介绍 (2) 2.1 Cisco企业网络概述 (2) 2.1.1 Cisco企业架构 (2) 2.1.2 Cisco企业复合网络模型 (3) 2.2 园区网络技术 (3) 2.2.1 路由技术 (4) 2.2.2 交换技术 (4) 2.2.3 远程访问技术: (9) 2.2.4 HSRP(热备份路由器协议) (10) 3 中小型企业网络的建设目标与需求分析 (12) 3.1 网络建设目标与原则 (12)
3.2 中小型企业网络设计需求 (12) 3.3 网络设计需求分析 (13) 4 中小型企业网络所需网络设备介绍 (14) 4.1 路由器:Cisco 3600系列 (14) 4.2 核心交换机:Cisco Catalyst 4500系列 (16) 4.3 接入层交换机:Cisco Catalyst 2960系列 (17) 4.4 无线AP:TL-WA501G+ (19) 5 企业网系统整体方案设计 (20) 5.1 网络拓扑设计 (20) 5.2 主要网络设备选定 (22) 5.3 VLAN划分及IP编址方案 (22) 6 交换模块设计 (23) 6.1 接入层交换服务的实现-配置接入层交换机 (23) 6.1.1 配置接入层交换机AccessSwitch1的基本参数 (23) 6.1.2 配置接入层交换机AccessSwitch1的管理IP、默认网关 (25) 6.1.3 配置接入层交换机AccessSwitch1的VLAN及VTP (25) 6.1.4 配置接入层交换机AccessSwitch1端口基本参数 (26) 6.1.5 配置接入层交换机AccessSwitch1的访问端口 (26) 6.1.6 配置接入层交换机AccessSwitch1的主干道端口 (27) 6.1.7 配置接入层交换机AccessSwitch2 –AccessSwitch 10 (27) 6.1.8 接入层交换机的其它可选配置 (28) 6.2 核心交换服务的实现-配置核心层交换机 (29) 6.2.1 对核心层交换机CoreSwitch1的基本参数的配置 (30) 6.2.2 配置核心层交换机CoreSwitch1的管理IP、默认网关 (30) 6.2.3 配置核心层交换机CoreSwitch1的VTP (31) 6.2.4 在核心层交换机CoreSwitch1上定义VLAN (32) 6.2.5 配置核心层交换机CoreSwitch1的端口基本参数 (32) 6.2.6 配置核心层交换机CoreSwitch1的3层交换功能 (33) 6.2.7 配置核心层交换机CoreSwitch2 (34) 6.2.8 其它配置 (37)
企业网络传播营销案例分析 优质鸡网络营销前景分析 1优质鸡市场有待进一步开拓 2网络营销的优势 网络推动企业革命,使产品交流从间接化向直接化转变。网络的精彩之处在于它的直接性、快捷性和交互性。 21直接性 在现代商品经济条件下,大部分生产单位并不是直接把产品销售给最终用户或消费者,而是借助一系列中间商的转卖活动。而利用网络,可以省去许多不必要的中间环节,直接与顾客“对话”,消费者能根据自己意愿参与部分生产决策。产品不会积压,供需双方提高了效率,而且不用为中间商业环节付出成本。 22快捷性 23交互性 3制作全面满足消费者需求的企业主页 42软件条件 422应用软件在Winodws32版本下可安装拨号上网软件Internetinabox,浏览器:Netscape3016bit或MicrosoftInternetExplore20以上16bit。在Windows95下可安装TCP/IP协议,拨号网络,32位浏览器Netscape30以上或MicrosoftInternetExplore30以上。 423申请帐号到Internet服务提供商(ISP)申请帐号,办理上网 手续,并了解上网参数设置细节。通过拨号上网,再打开浏览网站的 内容。现在169中国公众多媒体通信网涵盖全国19个省,56个城市,每个省又通过视联通将本省各站点联系起来。
5网络营销前景 互联网(Internet)上网人数在中国近年以几何级数增长,据中国 互联网信息中心公布,1997年上网用户为62万户,1998年2月为82 万户,同年4月底为106万户,1999年6月底增至1175万户。尽管 存在不成熟之处,如ISP各自为政、规模小,网站少,信息资源质量较差,效益低,主干网分散等,但是与发达国家相比,我国互联网发展空 间无限。 从淘宝商城更名天猫看淘宝客营销策略 案例一:天猫商城如雨后春笋般冒出 如今在百度搜索“天猫”,除了一些新闻和百度自身产品,基本上前几页都被各种“天猫商城”所占据。通过对这些网站的分析, 笔者发现这些网站有几个共同特点:1.注册时间短,基本上都是在 淘宝商城更名后注册的域名;还有一部分是老域名做的新网站,通过 百度快照还能看到以前的网站。2.标题都带有“天猫”,“天猫商城”等关键词。3.都是淘宝客网站,只不过类型多种多样,有cms,有api,还有单页站。 案例二:利用百度系列产品做天猫推广 百度产品一直是兵家必争之地。由于百度产品的超人气以及高权重,也成了淘宝客的首选推广场地。下面就以笔者自己的一次推广 作为案例,介绍笔者是如何利用百度贴吧做推广的。 有朋友觉得:贴吧发链接肯定要被删的呀,即使不被度娘删也要被吧主删的啊。其实不然。大家都知道现在百度贴吧可以插入mp3。我们要做的就是去贴吧商城购买mp3音乐播放器,然后在帖子中插 入音乐。音乐地址就是我们的淘宝客链接,只不过一定要在末尾加上?.mp3.这样才能成功添加。帖子发布后别人点击该链接就能进入 我们的淘宝客链接。 帖子的写法也是要很注意的,比如笔者发布的广告贴不仅没有被删除,而且还被吧主加精。原因是抓住了吧主希望这个贴吧不要被 打扰的心理。笔者在帖子中说:“希望打ad的、围观的移步淘宝吧,
传输专线业务 依托PDH/SDH/DWDM等传送网络,根据客户的不同需求提供相应速率的传输电路供客户使用。下图为传输专线常用接入方式举例: E1方式 MSTP方式 GPRS专线业务 是以中国移动的GSM/GPRS网络为平台,采用GPRS SMS、CSD、USSD等方式,通过特种行业终端,为各行各业提供无线数据传输的解决方案。GRPS能够实现外围设备之间间、外围设备同中心节点间的点对点通信。 GPRS业务是基于GPRS网络来实现的。在GPRS网络当中SGSN的主要作用是记录移动台的当前位置信息,并且在移动台和GGSN之间完成移动分组数据的发送和接收;而GGSN 主要是起网关作用,它可以和多种不同的数据网络连接(如CMNET等)。客户企业中心的路由器通过专线接入或公网接入的方式,与GGSN建立GRE隧道。GPRS网为企业分配接入点名(APN,Access Port Name),当客户的无线终端上连到GPRS网络时,通过解析APN找到对应的企业接入端的GGSN,通过GGSN到客户企业中心的GRE隧道,完成客户无线终端与企业内部网络的数据交互。下图为GRPS业务的两种接入方式:
GPRS 业务当中,客户中心路由器可通过两种接入方式接入GRPS 网络,分别是专线和公网接入,如果业务是采用专线接入时,则需要分配相应的传输资源、网络接入资源等,接入到中国移动专有的网络(CMNET 网络);如果采用的是公网接入,客户侧需要提供公网的IP 地址。以下描述仅针专线接入方式。 GPRS 专线业务的端到端视图: 传输网 GRE 隧道 其它业务资源: 1、客户内网IP 地址池 2、终端IP 地址池语音专线业务 是通过专线方式将集团客户的内部交换机接入中国移动通信网络,用先进的数据压缩、IP 打包和信道的统计时分复用技术传送语音的业务,从而为集团客户提供优质优惠的传真、国内国际长途等一系列的语音业务。它不仅能够满足客户长途通话的需求,同时能将客户移动电话与内部总机组成优惠通信网,有效控制内部通信费用。
企业网络规划设计方 案
XXX企业网络安全综合设计方案 重庆电子工程职业学院 冉亚东 2011年11月
目录 第一章设计背景分析 (3) 第二章需求分析 (3) 2.1设计需求 (3) 2.2 网络设计需求分析 (4) 2.3 功能需求分析 (4) 2.4 环境需求分析 (5) 2.5 性能需求分析 (5) 第三章网络组网技术选型 (6) 第四章网络拓扑图 (9) 4.1 网络拓扑结构图 (9) 4.2 VLAN划分及编制方案 (10) 第五章设备清单及所需网络设备介绍 (11) 第六章网络PDS系统设计 (21) 第七章网络储存设计 (22) 7.1 存储备份必要性分析 (22) 7.2 基于HP SERVER的数据存储与备份方案 (22)
7.3 备份工作实现自动化 (25) 7.4 实现跨平台备份 (25) 第八章网络安全设计 (26) 8.1 概要安全风险分析 (26) 8.2 实际安全风险分析 (26) 8.3 网络系统的安全原则 (27) 8.4 安全产品 (27) 8.5 风险评估 (28) 8.6 安全服务 (29) 8.7 网络维护 (29) 参考文献 (30) 第一章设计背景分析 当今世界信息化浪潮席卷正全球。因特网的迅猛发展不仅带动了信息产业和国民经济地迅猛增长,也为企业的发展带来了勃勃生机。以因特网为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力的提高,也逐渐成为提高企业竞争力的重要力量。就在我们为我国小企业网络建设拍掌击节的时
候,我们也注意到这样一个事实,即我国小企业网络建设和应用中存在着许多问题。总结一下,主要有以下几点:首先,服务器接入访问成为瓶颈。这一问题主要出自于软件应用体系的变化,因为C/S、W/S等软件应用模式的演变,服务器的数据运算和传输负荷也在不断提高,导致的直接结果就是服务器需要不断升级。服务器的发展,技术发展。一个企业建立网络成了企业成长的关键部分。 随着信息技术的发展的,企业对信息要求越来越高;当今社会人员流动越来越频繁,使得管理工作也变的越来越复杂。如何管理好企业内部的信息,成为企业管理中一个大的问题。如果能实现信息管理的自动化,无疑将给公司带来很大的方便。办公自动化(OA)是将现代化办公化和计算机网络功能结合起来的一种新型的办公方式,是当前新技术革命中一个非常活跃和具有很强生命力的技术应用领域,是信息化社会的产物。企业内部办公系统能够建立企业自身的一套职务体系,每个职务有其所对应的职级、所需基本信息及对信息的使用资格。允许合法的使用者通过网络对企业职员的人事信息、公司的流水帐目信息、核销单的流向信息、账单的生成和查询及同行各个企业的信息进行管理。信息成了公司发展不可却少的动力。 第二章需求分析 2.1 设计需求 在中国中小企业占到全国工业企业的97%以上,是中国的经济命脉。在今天竞争激烈的市场环境下,许多中小型企业都在追求高效的管理与沟通方法,
现阶段集团客户专线接入的组网结构主要为以下几种方式: 接入方式运用范围 2M协议转换器+传输网(微波)+光纤收 发器互联网宽带接入、传输组网专线、 跨省专线 MSTP+网络设备互联网宽带接入、传输组网专线、 跨省专线 PTN+网络设备互联网宽带接入、传输组网专线、 跨省专线 PON接入+网络设备互联网宽带接入、传输组网专线、 跨省专线 光纤、网线直连(不经过传输)传输组网专线
方式1:SDH接入+协转+光纤收发器 支持带宽:2M、4M、6M、8M; 优点:开通方式简单,覆盖面广,有基站、光缆的的地方均可开通。 缺点:1、带宽受传输设备资源限制;2、不能全程监控。(目前大部份协转、光纤收发器设备不能统一监控)3、专线所经过的单点设备较多,故障率较高;
支持带宽:支持高达100M的各种带宽; 优点:全光纤直达,可提供较高带宽。 缺点:纤芯占用较多;受到现有纤芯资源限制。用户侧光纤设备不能监控。
支持带宽:支持高达1G的各种带宽; 优点:全光纤直达,可提供较高带宽。 缺点:纤芯占用较多;受到现有纤芯资源限制。用户侧光纤设备不能监控。
支持带宽:支持高达100M的各种带宽; 优点:可全程监控,故障概率较低。 ?PON的大容量和长距离传输优势可以节约大量的局端设备、90%以上的汇聚交换机,简化了网络结构,提高了网络性能,节约了局房面积; 缺点:仅覆盖城区,投资成本较大。 ?无源光网络(PON)技术是一种点到多点的光纤接入技术,它由局侧的OLT(光线路终端)、用户侧的ONU(光网络单元)以及ODN(光分配网络)组成。
?所谓“无源”,是指ODN中不含有任何有源电子器件及电子电源,全部由光分路器(Splitter)等无源器件组成,因此其管理维护的成本较低。 PON结构: ?OLT--Optical Line Terminal,光线路终端 ?ONU--Optical Network Unit,光网络单元 ?POS--Passive Optical Splitter,无源光分路器/耦合器 ?ODN--Optical Distribution Networks,光纤分布网
XX通信公司网络设计 方案 院系:信息技术学院 年级:10级 班级:网络工程 姓名:杨梦娇201007111222 刘青201007111221 郝静晓201007111215
一、项目背景 XX 公司是一家小型企业,是一家大致有200人的通信公 司。公司组织结构如下: 二、用户需求分析及网络功能 为了能让公司更好的与现代社会的发展接轨, 更快的获取 市场信息及为了让外界了解该本公司的相关信息特组建企业网,以实现对“公司档案管理”、“产品信息”、“供求信息”等进行计算机网络化管理。 根据公司现有规模,业务需要及发展范围建立的网络有如下功能: a)用户公司需要连接内部网络,各部门员工的终端能实现连通。 b)所有公司员工都能够访问远程分支机构(远程分支机构的网络不在此项目中)。c)公司财务部门的数据很重要, 希望有一定的安全措施。 总经理 销售部 副总经理 财务部 人事行政部市场部 技术支持部
d)网络设备要求高速、运行稳定。 e)根据用户的需求描述,可以分析出,用户公司需要使 用交换机连接所以客户端。 f)需要路由器连接远程分支机构 g)需要在交换机上划分VLAN,VLAN之间需要配置单臂 路由实现互通。 主干网接入全球互联信息网外接(Internet),各子网再接入主干通信网。主干网接入Internet的方式可是有线综合宽带网,速率可在100Mbps左右。主干为千兆光纤线路,其它线路为超五类双绞线。 三、网络结构设计 1.根据公司大楼的结构特点制定详细的网络连接图,其中 包括如下信息: a)网络上个信息电(即办公点)的分布图,工作空间大 小与距离 b)电源插座的位置,包括目前正在使用的插座的设备 c)所有不可移动的物品的位置(如支撑柱,分隔墙,内 置柜等) d)所有办公家具的当前位置 e)所有计算机和类似打印机的外部设备的位置 f)门和窗口的位置 g)通风管道和目前电线的位置
企业网络案例Last revision on 21 December 2020
企业网络案例 ?网络生命周期: ?网络规划基本原则和目标: ◆可靠性原则: ◆可扩展性原则: ◆可运营性原则: ◆可管理性原则: ◆追求最佳性能价格比: ?网络设计规划流程: 1、需求情况分析: ◆部及分部间的广域网连接方案 ◆总部局域网建设方案 ◆WLAN网络建设 ◆信总息化应用包括邮件、OA系统、公司网站、公司共享资源库、 ◆出差的员工能够远程访问公司网络 2、选型分析: (1)交换机: 企业总节点数134点,另外还需要提供无线AP连接来支持WLAN网络,应用为内部文件共享、办公自动化系统(OA)、收发邮件和网站服务等,这些都是非时间敏感型应用,并非一刻不能停机,因此没有必要设置核心设备的冗余.可以在核心放置一台Catalyst4507R,它的背板带宽达到64Gbit/s,可支持各楼层数据的高速交换。它支持引擎的冗余,在一定程度上提高了系统的可靠性。由于大楼的主干采用光纤布线,所以可选用WS-G5484 GBIC模块用于和各楼层光纤互连。交换机可以根据各部门具体位置的信息点数分别进行选择,选用三台 catalyst2950G-48交换机,这款交换机有两个GBIC插槽,可选用WS-G5484 GBIC模块用于光纤上连核心交换机。 Catalyst4507R WS-G5484光纤模块
Catalyst2950G-48 (2)路由器: 根据需求描述: 企业的主要应用为内部文件共享、办公自动化系统(OA)、对外提供邮件和网站服务等;外地分支机构需要和总部互连;采用经济实用的ADSL接入方式接入Internet,分支机构对总部的访问可通过Frame-Relay的方式来实现。 设备的选择上,总部选用2台CiSC02621xm路由器,各配一个WIC-1T接口卡,一个路由器用于DDN的接入,另一个路由器用于Frame-Relay的接入. 分支机构选择 CISC01721加WIC-1ADSL接口卡用于ADSL的接入。再加1个WIC-1T接口卡,用于Frame-Relay的接入。无线AP采用D-Link旗下的DWL-2000AP+A 54M路由器。 Cisco2621 Cisco1721 WIC-1T WIC-1ADSL (3)服务器和防火墙的选择 ◆文件共享服务器、OA服务器、通信服务器E-mail : 快速的I/0是这类应用的关键,硬盘的I/0吞吐能力是主要瓶颈. 因为这类服务主要用来进行读/写操作,何况用户还总是在不断地修改文件。RAM对其性能的影响没有其他因素大,因为文件不可能长时间待在内存中,也存在着可以驻留在缓存中的文件大小的限制。 ◆Web应用服务器: Web服务器的典型功能有两个: (1)仅储存用于响应客户机HTTP请求静态文件 (2)用CGI程序、ASP脚本程序、Java等服务器端应用 前者的瓶颈在缓存,如果可以预计的用量很大,多配内存即可;后者则要求要有较高的CPU处理能力,如果条件允许,可采用多处理器的服务器。另外,Web应用集中在数据查询和网络交流中,需要频繁读/写硬盘,所有,这时硬盘的性能也将直接影响服务器整体的性能。 出于以上对各类服务器的分析,本方案中选择HP ProLiant ML150 G3服务器。一、服务器的选择 由于网络中,要求有文件(信息)共享服务器,而在服务器方面,考虑满足企业要求,选择:HP ProLiant ML150 G3,其主要组件配置如下: CPU主频(MHz)1600 2个CPU CPU二级缓存4MB 内存512M 最大内存容量8G 硬盘160G HP ProLiant ML150 G3 二、防火墙的选择 防火墙作为网络安全体系的基础设备,对通过控干线的任何通信进行安全处理, 所以防火墙的吞吐量就显得非常重要,否则防火墙就会成为整个网络的瓶颈。本方案中,防火墙主要用于网络的边界,置于路由器和内网交换机之间,在内网和外网之间树立一
目录 一、什么叫集团专线 二、全区集团客户专线运维简介 三、集团专线支撑系统 四、目前已有支撑手段情况 五、集团专线维护经验介绍 一、什么叫集团专线 标准定义: ?中国移动集团公司、区公司产品定义:专线服务依托中 国移动丰富的传输网络资源,向企事业单位提供数据电路、 光纤建立安全、可靠、高速的专用数据通道环境,承载语 音、数据、视频等各类业务。 ?铁通专线产品定义:中国铁通采用先进技术,构建了完 整、统一、先进、覆盖全国的通信网铁通专线可提供固定 网本地电话、国内国际长途电话、IP电话、数据传送、互 联网、视讯、卡类、呼叫中心、虚拟专网、网络托管、传 真存储转发等多项基础和增值电信业务。 ? 1.4 集团专线--业务分类 ?专线分类 业务直联专线:指集团客户租用我公司数据专线,实现其内部系统与我公司相关业务承载网(如GPRS、短信网关、彩信网关、W AP网关等)的互联,按接入业务类型可分为VOIP语音专线、短信专线、GPRS 专线、彩信专线等。 互联网专线:指集团客户租用我公司数据专线,接入中国移动互联网(CMNET),从而实现互联网访问和接入的业务。 IP VPN/MPLS VPN(传输电路租用):指集团客户租用我公司数据专线,实现其不同办公区域间网络互联的业务(该类业务不接入互联网)。根据传输电路租用专线接入区域的不同,主要划分为本地网营业区内、本地网营业区间、区内长途、国内长途四类。 ?从产品功能讲 ?互联网专线:用于互联网访问 ?传输电路租用:用于企业内或企业间不同地理位置的电脑互相访问 ?用于传递语音:用于传递语音 ?数据专线:应用于承载运营商提供给企业用户的信息服务。GPRS、短信专线 ?电路出租 电路出租 电路出租业务是利用数字的传输链路为用户提供点对点的数据传输的业务。可用于计算机联网、数据传送、高速上网等。 电路适用于任何高速率、信息量大、实时性强的业务传送。广泛应用于跨国企业、银行、证券、教育、网站等需要作高速业务传送的行业,适用于任何局域网之间的高速互联、以及会议电视等图像业
某企业网组网方案 姓名:xX 学号:xx 指导老师:xx 2009年12月21日
目录 前沿 (3) 第一章需求分析 (4) 1.1 项目介绍 (4) 1.2 项目方组网要求 (4) 1.3 接入点统计 (4) 1.4 安全需求 (5) 第二章网络设计原则 (5) 第三章IP地址以及Vlan规划 (6) 2.1 IP地址规划原则 (6) 2.2 具体设计 (7) 第四章网络总体设计 (9) 3.1 网络拓扑图 (9) 3.2 网络拓扑描述 (9) 3.3 区域设计 (9) 3.4 技术选型 (10) 3.5网络安全 (10) 第五章设备选型 (14) 4.1 设备选型 (14) 4.2 设备介绍 (14) 第六章设备配置与验证 (16) 5.1 接入层交换机配置 (16) 5.2接入层交换机配置验证 (18) 5.3 核心交换机配置 (19) 5.4 核心交换机配置验证 (22) 5.5 出口设备配置 (24) 第七章参考文献 (26)
前沿 从1959年ARPA建立了ARPANET网开始,互联网只经过短短四十多年的发展,今天,网络已经开始对整个经济体系产生影响。网络将像电话、汽车等的发明一样产生深刻影响,并比他们的影响更深远。许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。 “天下大势,顺之者昌,逆之者亡”,摆在我国大中小型企业面前的,已经不是要不要利用互联网的问题,而是如何应用的问题了。然而目前,中国的大多数企业,无论是对网络经济的认识,还是对网络手段的运用都远远不够,更谈不上利用网络经济提高竞争力、确立竞争优势。中国网络的发展,不仅实践上远远落后,理论上也是严重滞后,甚至出现误导,对网络对企业经济的影响认识不够许多企业并没有理解企业发展与网络的真正联系,没有意识到企业网络化发展带来的冲击、挑战和机遇。 如果网络没有被有效的利用到现代企业的发展中,那么中国企业的信息化建设将普遍滞后,未能从战略的高度把信息化作为企业自我发展的内在需求,未能把网络提供的市场机会和管理运营创新作为企业提高竞争力的有效途径和企业可持续发展的新的增长点。对大多数企业而言,成长方式、经营模式、运行机制和组织结构等都还沿着用工业经济条件下的那一套,很多企业内部联网都没有建立,远不能适应网络经济发展对企业的需要和要求。企业信息化滞后是构成网络经济发展的“瓶颈”,企业的良好发展当然也无从谈起。 基于上面一系列中国企业面临的信息化问题,中国企业能否实现信息化已经成为企业能否顺利发展的必要条件。信息技术作为新技术革命的核心.具有高增值性、高渗透性, 以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力。
典型组网案例目录 目录 第1章 Quidway系列以太网交换机简介................................................................................1-1 1.1 Quidway系列以太网交换机简介........................................................................................1-1 1.1.1 低端以太网交换机...................................................................................................1-1 1.1.2 中端以太网交换机...................................................................................................1-1 1.1.3 高端以太网交换机...................................................................................................1-1 1.2 本模块简介........................................................................................................................1-2第2章宽带小区网络.............................................................................................................2-1 2.1 组网需求............................................................................................................................2-1 2.2 使用CAMS构造宽带小区网络..........................................................................................2-1 2.2.1 解决方案.................................................................................................................2-1 2.2.2 配置步骤.................................................................................................................2-2 2.3 利用MA5200构造宽带小区网络.......................................................................................2-8 2.3.1 解决方案.................................................................................................................2-8 2.3.2 配置步骤.................................................................................................................2-9第3章中小企业/大企业分支机构组网...................................................................................3-1 3.1 组网需求............................................................................................................................3-1 3.2 利用华为交换机构造企业网络...........................................................................................3-1 3.2.1 解决方案.................................................................................................................3-1 3.2.2 配置步骤.................................................................................................................3-2
案例名称 典型中小企业组网实例 技术范围 交换 技术关键词 VLAN,NAT,ACL,OSPF 网络拓扑
案例描述 典型中小企业组网实例,申请一个公网IP和10M带宽,一台CISCO路由器,WEB服务器,文件服务器,FTP服务用ACL控制各部门访问权限,配置网络打印机。
解决方案 1,配置Router a).配置接口 Interface fastethernet0/1 Ip address 172.27.0.1 255.255.255.252 Duplex auto Speed auto Ip nat inside No shutdown Interface fastethernet0/2 Ip address 202.103.0.117 255.255.255.248 Duplex auto Speed auto Ip nat outside No shutdown b)配置路由 ip route 0.0.0.0 0.0.0.0 202.103.0.117 c).配置过载 ip nat inside source list 110 interface FastEthernet0/2 overload access-list 110 permit ip 172.27.0.0 0.0.255.255 any d).配置端口映射 Ip nat inside source static tcp 172.27.2.1 80 202.103.0.117 80 映射WEB服务器Ip nat inside source static tcp 172.27.2.2 21 202.102.0.117 21 映射FTP 服务器文件服务器 172.27.2.3 只提供企业内网使用,不配置端口映射 2,配置Core switch CISCO 4503 a)配置VTP VTP Version : 2 Configuration Revision : 7 Maximum VLANs supported locally : 1005
WORD格式 XXX企业网络安全综合设计方案 重庆电子工程职业学院 冉亚东 2011年11月
目录 第一章设计背景分析???????????????????? ?.3 第二章需求分析????????????.?????????3 2.1 设计需求???????????????.?????? 3 2.2 网络设计需求分析??????????????.???.4 2.3 功能需求分析?????????????? (4) 2.4 环境需求分析?????????????????..5 2.5 性能需求分析?????????????? (5) 型.?????????????????..6 第三章网络组网技术选 第四章网络拓扑图?????????????? (9) 4.1 网络拓扑结构图????????????????? (9) 4.2 VLAN 划分及编制方案??????????????..? (10) 第五章设备清单及所需网络设备介绍????????????...??11 第六章网络PDS 系统设计??????????????????..?21 第七章网络储存设计????????????????????? (22) 7.1 存储备份必要性分析?????????????????.22 7.2 基于HP SERVER的数据存储与备份方案???????..?22 7.3 备份工作实现自动化???????????????? (25) 7.4 实现跨平台备份?????????????????...?..25 第八章网络安全设计??????????????????? ?..?..26 8.1 概要安全风险分析????????????????? ?.26 8.2 实际安全风险分析????????????????? ?.26 8.3 网络系统的安全原则???????????????? (27) 8.4 安全产品??????????????????????.27 8.5 风险评估??????????????????????.28 8.6 安全服务??????????????????????.29 8.7 网络维护??????????????????????.29 参考文献????????????????????????????30
(企业管理案例)大型企业网 络案例
有线网络结构设计背景 1.1总介绍 中国平安网络,由一个总公司网络、一个分公司网络和一个对外服务区组成。其中总公司网络和分公司网络在不同的地区,总公司和分公司都有公司内部的访问的数据中心(DMZ区);对外服务区被托管在中国电信。路由器ISP模拟运营商中国电信。 2.1总公司 1)Router1作为边界路由也是核心层路由器;sw1、sw2是核心层交换机;sw3、sw4是汇聚层交换机,其中SW3分别连接了总公司部门1,总公司部门2和总公司部门3;SW4分别连接了总公司部门4,总公司部门5,总公司部门6,总公司Server以及无线路由器1。 2)总公司Server只能为公司内部提供服务,不对外提供服务。部门1,2,3,6均可访问内网Web,Ftp和DNS服务器,部门4只可以访问内网FTP其他的都不可以访问,部门5可以访问内网Web 3.1分公司 Router9是出口路由器,其中sw5、sw4 是核心交换机,实现冗余架构;sw6、sw7是汇聚层交换机;其中SW6下面连接了部门1和部门2;SW7连接了部门3,部门4,Server 2以及无线路由器2。 内网ACL配置:部门1,2,4可以访问内网中的Web和Ftp服务器,部门3只可以访问内网的ftp 服务器。 4.1中国电信 企业总公司网络的出口路由器router1和分公司网络的出口路由器都与ISP相连接,其中router1和ISP之间使用了ppp广域网协议,启用了chap的认真方式实现与互联网相连;R9使用帧中继技术与ISP相连。该企业的对外访问服务器托管到中国电信运营商。
二、拓扑结构 总体拓扑: 总公司拓扑: 分公司拓扑: ISP外网即帧中继: 三、知识点 1.静态路由 2.RIP 3.单区域OSPF 4.EIGRP 5.EIGRP非等价负载均衡 6.ppp封装(chap) 7.帧中继 8.ACL访问控制 9.NAT地址转换10.STP 的配置11.VLAN间的路由12 EIGRP手动汇总13.路由重分布14.默认路由15.Telnet 16.双链路冗余的备份17.DHCP的使用 四、主要功能 部门1,2,3,6均可访问内网Web,Ftp和DNS服务器。 部门4只可以访问内网FTP其他的都不可以访问。 部门5可以访问内网Web和Ftp但不可以访问DNS。
某公司组网方案设计与实施
摘要 本文主要阐述在飞速发展的现代社会环境下,不断发展的计算机技术和互连网应用为各个企业获得更方便的生产管理及销售方法的同时产生的各种网络问题的解决方法。立足于企业为求经济,实用,方便,高效的要求精心设计的一套网络硬件建设方案。 方案主要注重于在对问题解决的网络设计思想的研究,在具体综合布线方面描述较为简略。随着网络技术的不断发展,企业对计算机和计算机网络的要求越来越高,企业整体运营对计算机网络依赖越来越多,由此高稳定,高安全,多功能,简易管理的计算机网络便成了许多现代企业尤其IT和跨国跨地区的超大企业运营成败的关键。不同的企业对计算机网络的组建有不同的要求,对基于网络的系统设计也有不同的要求,但最基本的网络硬件环境还是基本一致。企业组网要求网络具有高度的信息安全性,对关键数据的带宽保护,对网络通信的高度可管理性,对网络带宽的可控制,网络接入的严格控制,企业网接入的可移动和方便性等等。本论文依次就以上问题做了比较详细的介绍和分析,并阐述网络关键设备路由器,交换机等的功能和原理,以解决上述问题。 关键词: 局域网互连网 VPN路由器交换机 VLAN移动办公互连网接入
Abstract This text mostly expatiates the settle method for various NET problem,while the modern society under the high speed develop,the developing computer technology and Internet application for every corporations obtaining more convenience production management and sell method come into being. Base on the corporation require for economy, practical , convenient, high-efficient that aborative designs a construct project for one network hardware. The case mainly focus on the research about network design thought of soluing problems,While it just simply refors to the concrete comprehensive line seyying up,and also for the system design which is based on the network,but the most essential hardware environment is still conformity.Setting up network in enterprise asks the network to be absolute safety that include the wide-web proteetion to the improtant date,the management to network's correspondence,the control to the wide web, but movement and convenience ,etc. that corporate network insert.This paper gives detailed introduction and analysis and illustrate the function and theory of the Router and switch to solve the problem above. Key words: LAN Fictitious special-purpose network router bandwidth , VLAN of exchanger , is it is it handle official business Internet insert to move to manage