TLER6520G某企业网络配置实例文档格式.docx

TLER6520G某企业网络配置实例文档格式.docx

《TLER6520G某企业网络配置实例文档格式.docx》由会员分享，可在线阅读，更多相关《TLER6520G某企业网络配置实例文档格式.docx（50页珍藏版）》请在冰点文库上搜索。

第一章某企业的组网需求

TL-ER6520G是TP-LINK公司推出的双核全千兆企业VPN路由器产品，主要定位于企业、机关单位、园区、连锁酒店等需要高速互联网接入、上网行为管理和远程安全通信的网络环境。

下面我们来看以TL-ER6520G路由器为核心设备的典型组网方案。

某企业需要对其现有的网络进行重新规则和布置，组建一个安全、稳定、高效的办公网络环境，企业的详细需求方案如下：

1.企业从电信、联通各办理30M的光纤宽带，联通线路的宽带接入方式为PPPoE拨号，电信线路的宽带接入方式为静态IP地址；

要求实现电信走电信，联通走联通，内网所有电脑从电信线路访问外网的8080端口；

2.企业内部有研发、市场、人事三个部门，研发部又分为软件、硬件、测试三个小部门；

企业为信息安全考虑，要求各部门使用不同的网段，并且不允许相互访问；

市场部、人事部可全天候访问外网，研发部只能在非工作时间访问外网；

企业有两个服务器群，服务器群1位于广域网区（DMZ区），对广域网、市场部、人事部全天候开放；

服务器群2位于工作区，仅对企业内部员工开放；

企业要求需要防范来自企业内部的ARP欺骗、DOS等常见攻击，并禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。

3.为方便各地办事处、分公司安全的将业务数据实时传输到总部服务器，各地办事处、分公司需要与总部建立站点到站点的VPN隧道；

为方便出差员工安全的访问总部服务器，需要建立PC到站点模式的VPN隧道；

4.为合理利用带宽资源，要求对各个部门所使用的带宽进行限制；

5.企业服务器群1上有两台WEB服务器（80端口），要求实现访问不同WAN口映射到不同服务器；

6.企业需要经常性的给内部员工发布公告信息；

需要对网络流量进行实时监控，监控服务器需要对企业内部访问外网的数据进行监控和备份。

需求分析

现对该组网方案需求做分析和规划：

1.根据该组网方案需求，企业内部可划分为7个区段，分别是电信宽带区段、联通宽带区段、服务器群1区段、服务器群2区段、市场部门区段、人事部门区段、研发部门区段，对应的区段名称分别为ISP-Telecom、ISP-Unicom、DMZ、Server、Marketing、Personnel、RD；

2.企业内部划分为7个网段，通过VLAN实现隔离，分别是DMZ区段网段为192.168.10.0/24，Server区段网段为192.168.20.0/24，Marketing区段网段为192.168.30.0/24，Personnel区段网段为192.168.40.0/24，RD区段有3个网段：

研发软件部门网段为192.168.50.0/24，研发硬件部门网段为192.168.60.0/24，研发测试部门网段为192.168.70.0/24；

3.通过访问策略实现区段之间、区段内各网段之间的访问权限；

4.通过流量均衡实现电信走电信、联通走联通以及内网所有电脑从电信线路访问外网的8080端口；

5.通过ARP防护实现防范企业内部的ARP欺骗；

通过攻击防护实现防范DOS等常见攻击；

6.通过应用限制实现禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件；

7.各地办事处、分公司与总部之间站点到站点的VPN通过建立IPSec隧道实现，出差员工使用PC到站点的VPN通过开启PPTP/L2TP服务实现；

8.通过带宽控制实现合理利用带宽资源；

9.通过虚拟服务器实现访问不同WAN口映射到不同服务器；

10.通过端口电子公告实现经常性的给内部员工发布公告信息；

通过开启流量统计实现对网络流量进行实时监控；

11.

12.通过端口监控实现监控服务器需要对企业内部访问外网的数据进行监控和备份。

第二章配置前的准备工作

在开始配置路由器之前，我们需要对整个组网方案有清晰的思路和规划。

而在配置路由器的具体功能之前，我们还需要完成一些配置前的准备工作，包括VLAN配置、区段和接口配置、全局对象配置。

2.1VLAN设置

VLAN可将网络逻辑地分割成数个不同的广播域，实现数据包只在VLAN内转发。

TL-ER6520G路由器支持Access、Trunk、Hybrid三种端口的链路类型。

根据前面的需求分析，我们做如下规划：

端口1用来连接电信宽带，端口2用来连接联通宽带线路，端口3用来连接服务器群2、市场部、人事部、研发部，端口4用来连接服务器群1。

端口3需要处理多个VLAN的数据，且核心层交换机需要通过数据包中的VLANTAG来转发数据包，端口3需要设置为trunk；

端口1、2、4、5只需要处理一个VLAN的数据，则端口链路类型配置为access。

2.1.1配置物理端口链路类型

根据前面的分析配置端口链路类型

端口设置>

>

设置>

VLAN基本设置

2.1.2给物理端口创建VLAN

依次创建VLAN2/3/4/5/6/7/8/9/10，其中VLAN2的端口成员为端口1，对应电信宽带线路；

VLAN的端口成员为端口2，对应联通宽带线路；

VLAN4的端口成员为端口4，对应公网服务器群；

VLAN5/6/7/8/9/10的端口成员为端口3，分别对应内网服务器群、市场部门、人事部门、测试部门、软件部门、硬件部门。

基本设置>

VLAN设置>

VLAN设置

设置完成后，在基本设置>

关联表中可查看配置结果。

2.2区段和接口设置

企业内部划分为7个区段，分别是电信宽带区段、联通宽带区段、服务器群1区段、服务器群2区段、市场部门区段、人事部门区段、研发部门区段配置区段。

添加区段ISP-Telecom、ISP-Unicom、DMZ、Server、Marketing、Personnel、RD，分别对应电信宽带区段、联通宽带区区段、市场部门区段、人事部门区段、研发部门区段。

2区段、服务器群1段、服务器群．

2.2.1给各区段配置接口

1.配置区段ISP-Telecom

电信线路的宽带接入方式为静态IP地址，则在区段ISP-Telecom中添加接口类型eth。

给接口eth配置电信提供的网络参数和上下行带宽等。

ISP-Unicom

配置区段2.

PPPoE，则先在区段ISP-Unicom中添加eth接口，再添加pppoe接口Link到eth联通线路的宽带接入方式为接口。

给pppoe接口添加宽带账号、密码，上下行带宽等。

在区段ISP-Unicom添加eth接口

添加PPPoE接口，并将eth接口Link到eth接口

3.配置区段DMZ

区段DMZ即服务器群1区段，网段为192.168.10.0/24。

添加接口类型eth，手动给该接口配置IP地址。

4.配置区段Server

区段Server即服务器群2区段，网段为192.168.20.0/24。

5.配置区段Marketing

地址。

IP，手动给该接口配置eth。

添加接口类型192.168.30.0/24即市场部门区段，网段为Marketing区段．

6.配置区段Personnel

区段Personnel即人事部门区段，网段为192.168.40.0/24。

配置区段7.RD

区段RD即研发部门区段，内有3个小部门，软件部门网段为192.168.50.0/24、硬件部门网段为192.168.60.0/24、测试部门网段为192.168.70.0/24。

添加3个eth接口，并分别手动配置其IP地址。

添加接口类型eth，手动给该接口配置软件部门的IP地址

添加接口类型eth，手动给该接口配置硬件部门的IP地址

添加接口类型eth，手动给该接口配置测试部门的IP地址

2.3全局对象设置

通过对整个组网方案的规划，我们已经十分清楚在整个配置过程中需要用到的全局变量，接下来我们通过地址管理、时间管理、IP地址池、服务类型对这些变量进行配置。

2.3.1配置地址管理

在后续的网络权限配置中，会涉及到针对市场部门、人事部门、软件部门、硬件部门、测试部门网段的规则设置。

#添加组名Marketing、Personnel、RD_Software、RD_Hardware、RD_Testing

对象管理>

地址管理>

地址组

#添加地址段

Marketing_ip对应地址192.168.30.1-192.168.30.254

Personnel_ip对应地址192.168.40.1-192.168.40.254

RD_Software_ip对应地址192.168.50.1-192.168.50.254

RD_Hardware_ip对应地址192.168.60.1-192.168.60.254

RD_Testing_ip对应地址192.168.70.1-192.168.70.254

地址>

地址管理>

对象管理．

添加完成，地址列表显示如下

#视图设置

组Marketing包含地址Marketing_ip

组Personnel包含地址Personnel_ip

组RD_Software包含地址RD_Software_ip

组RD_Hardware包含地址RD_Hardware_ip

组RD_Testing包含地址RD_Testing_ip

配置时间管理2.3.2

需要使用到上班时间和元旦放假时间通知时间这两个时间配置项，下面我们就逐在后续的网络权限和电子公告功能配置中，一配置这两个时间全局参数。

1）添加上班时间段的时间管理

上班时间指的是每周一到周五的上午8:

30—11:

50和下午的13:

20—18:

00，先添加工作日历包含全年的每周一到周五，再添加工作时间8:

50和13:

00，最后将工作日历和工作时间进行组合。

#添加工作日历

#添加工作时间

#添加时间管理

2）添加元旦放假时间通知时间管理

元旦放假时间通知时间指的是元旦放假前一周的周一到周五的8:

00。

#添加时间管理

这里的工作时间直接引用上班时间的工作时间。

:

注．

2.3.3配置IP地址池

在后续给出差员工配置PC到站点的PPTP/L2TPVPN时，会涉及到PPTP/L2TPVPN隧道地址池的添加。

IP地址池

2.3.4配置服务类型

在后续配置内网所有电脑从电信线路访问外网的8080端口时需要使用到目的端口为8080的服务类型。

添加服务器类型，目的端口为8080的TCP/UDP协议。

路由器NAT配置成第三章．

通过第二章，我们已经完成配置前的准备工作，现在为保证内部网段市场部门、人事部门、软件部门、硬件部门、测试部门、服务器群1可通过电信、联通的两条宽带线路正常上网，需要将TL-ER6520G配置成具备NAPT功能的路由器。

因为对于每个网段来说都有两个出口，即电信和联通，所以对于每个网段来说，都需要配置两条NAPT规则。

传输控制>

NAT设置>

NAPT

第四章网络权限及网络安全

我们现在将需求分析中涉及企业内部网络权限和网络安全的内容进行罗列：

1.各部门使用不同网段，不允许相互访问；

2.市场部门、人事部门可全天候访问外网，研发部门只能在非工作时间访问外网；

3.服务器群1对广域网、市场部门、人事部门全天候开放，对研发部门只在非工作时间开放；

4.服务器群2对企业内部员工完全开放；

5.需要防范来自企业内部的ARP欺骗、DOS等常见攻击；

6.禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。

4.1配置访问规则

TL-ER6520G默认是允许所有区段的所有接口直接通信，为实现上述的需求，我们需要在访问规则中的区段间访问规则和区段内访问规则中配置相应的策略实现。

4.1.1区段间访问规则

个区段，现在我们逐一实现涉及区段之间的访问规则。

7我们已经在路由器中定义了．

#实现1：

研发部、市场部、人事部三个部门之间不允许相互访问

安全管理>

访问策略>

区段间访问规则

选择相应的显示区段，即Marketing<

->

Personnel、Marketing<

RD、Personnel<

RD。

在区段间规则中，我们需要配置6个方向的规则即：

Marketing->

Personnel、Personnel->

Marketing、Marketing->

RD、RD->

Marketing、Personnel->

Personnel。

下面我们以市场部门区段和人事部门区段之间规则为例进行配置。

配置Marketing->

Personnel规则

配置Personnel->

Marketing规则

同理我们配置Marketing->

Marketing、Personnel->

Personnel的规则，配置完成后，规则条目如下：

之间规则Personnel与区段Marketing区段．

区段Marketing与区段RD之间规则

区段Personnel与区段RD之间规则

#实现2：

服务器群1对广域网、市场部、人事部全天候开放，对研发部只在非工作时间开放

因为路由器默认是允许所有区段的所有接口直接通信，所以不需要配置服务器群1区段与电信宽带区段、联通宽带区段、市场部门区段、人事部门区段的区段间访问规则。

只需配置服务器群1区段和RD区段之间的区段间访问规则。

选择相应的显示区段：

DMZ<

RD

设置相应规则，选择生效时间，配置结果如下：

#实现3：

服务器群2对企业内部员工完全开放，禁止内部服务器群2访问外网和服务器群1

区段间访问规则>

访问策略>

安全管理．

ISP-Telecom<

Server、ISP-Unicom<

Server、DMZ<

Server

在相关的配置界面上配置对应规则：

ISP-Telecom->

Server、Server->

ISP-Telecom、ISP-Unicom->

ISP-Unicom、DMZ->

DMZ。

配置完成后，规则条目如下：

区段ISP-Telecom与区段Server之间规

则

之间规则与区段Server区段ISP-Unicom

区段DMZ与区段Server之间规则

#实现4：

市场部、人事部可全天候访问外网，研发部只能在非工作时间访问外网

因为路由器默认是允许所有区段的所有接口直接通信，所以不需要配置市场部门区段、人事部门区段和电信宽带区段、联通宽带区段之间的区段间访问规则。

只需要配置研发部门区段和电信宽带区段、联通宽带区段之间的区段间访问规则。

。

ISP-Unicom<

RD、ISP-Telecom<

RD选择相应的显示区段：

区段ISP-Telecom与区段RD之间规则

区段ISP-Unicom与区段RD之间规则

4.1.2区段内访问规则

在区段内访问规则中，我们要实现：

区段RD中软件部门、硬件部门、测试部门不能相互访问。

配置完成后配置条目如下：

4.2防ARP欺骗

为有效的防止内网的ARP欺骗，我们需要对内网所有电脑做IP与MAC绑定，在路由器中添加IP与MAC绑定信息有两种方式：

ARP扫描和手动添加IP/