客户需求
1、使用合理的IP子网划分,保证合理性与可扩展性、汇总性、控制性
2、保证冗余性,包括链路冗余与设备冗余
3、安全性,保护重要的部门,除了特定人员可以访问外,其余部门不允许访问,比如财务部,有效的控制病毒、ARP的攻击
4、无线终端,考虑到公司手机与移动电脑增多,增加无线功能,提供给设备连接,要求实现验证功能,而访客区,不进行认证,但不能连接到公司内部,只能访问公司提供的网页服务与Internet连接。
5、保证在正常情况下,访问Internet都是走电信出口,当出现问题后,用网通出去,保证冗余性,需实现自动切换。并且实施NAT技术
6、总部与分部,财务部之间需要互访,必须保证安全性
7、出差员工,可以通过远程访问技术接入到公司内部实现访问特定的资源。
8、设备实现管理,由单独的管理主机访问。
解决思路
1、使用子网划分来对每个部门进行规划,每一个部门单独一个24位的子网断,保证连续性,即使后续有新增加的员工,24位有254个地址,可以保证能正常使用,并且连续性可以方便做汇总、与一些策略的控制。
2、冗余性的实现,可以利用MSTP+VRRP技术实现链路的冗余性与网关的热备功能,并且核心之间链路起链路聚合,提高带宽。
3、安全性的实施,可以利用ACL与端口隔离技术 来进行部署,当然也可以高级点,dot1x、DHCP snooping+DAI+IPSGD等技术。一般情况下用ACL与端口隔离技术即可,除非有特殊需求在使用后续的。
4、使用AC+AP的三层旁挂架构组件无线网络,实现内部网络使用5G接入网络,而访问则使用2.4G频率,并且实现,访客只能访问公司提供的WEB页面与Internet访问,并且要求无线访客区之间实现隔离。
5、利用浮动路由+NQA或者ip-link技术实现自动切换
6、使用IPSEC技术实现总部与分部之间的互访,通过加密验证等机制来保证数据的安全性
7、部署L2TP Over IPSEC实现出差员工能够拨入到内网,访问特定的资源。
8、开启Telnet或者SSH功能,实现访问,并且用ACL限制只能特点的主机访问。
部署思路
1、定义IP地址规划表项,方便配置
2、规划VLAN,以及对应的网关地址
3、实施VLAN配置,并且配置交换机之间的链路为Trunk,接入交换机面对终端为Access,无线部分为Hybrid或者Trunk,接防火墙设备为Access
4、配置IP地址,保证直连可达
5、配置MSTP技术、VRRP、端口聚合技术,保证全网无环路、高可靠性、冗余性存在
6、配置路由实现全网可达
7、配置DHCP服务,以及中继,使得PC能够正常获取地址以及DNS等参数
8、配置无线部分,能够让AP正常上线,以及PC能够连接网络,并且获取地址,实现特定需求
9、防火墙配置策略、NAT、VPN等技术,实现访问Internet、分部,与出差员工可以正常拨入公司内网
10、部署管理,终端管理
11、最终安全策略部署
分部部署思路
1、采用之前定义的IP地址表项与VLAN与接口划分进行配置
2、配置路由,或者采用单臂路由两种方式
3、路由器配置VPN,实现财务部互访,并且AP能够正常关联到总部的AC上面。
如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。
![CISCO ASA防火墙Failover+multiple context详细部署By 年糕泰迪[操作系统入门]](https://img2.php1.cn/3cdc5/3909/3b4/617aa532cf27985a.jpeg)
京公网安备 11010802041100号