网络信息安全体系架构文档.pdf

《网络信息安全体系架构文档.pdf》由会员分享，可在线阅读，更多相关《网络信息安全体系架构文档.pdf（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络信息安全体系架构 一、安全保障体系的总体架构 网络信息安全涉及立法、技术、管理等许多方面,包括网络信息系统本身的安全问题,以及信息、数据的安全问题。信息安全也有物理的和逻辑的技术措施,网络信息安全体系就是从实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全等层面上进行综合的分析和管理。安全保障体系总体架构如下图所示：安全保障体系架构图 二、安全保障体系层次 按照计算机网络系统体系结构，我们将安全保障体系分为 7 个层面：（1）实体安全 实体安全包含机房安全、设施安全、动力安全、等方面。其中，机房安全涉及到：场地安全、机房环境/温度/湿度/电磁/噪声/防尘/静电/振动、建筑

2、/防火/防雷/围墙/门禁；设施安全如：设备可靠性、通讯线路安全性、辐射控制与防泄露等；动力包括电源、空调等。这几方面的检测优化实施过程按照国家相关标准和公安部颁发实体安全标准实施。（2）平台安全 平台安全包括：操作系统漏洞检测与修复（Unix 系统、Windows系统、网络协议）；网络基础设施漏洞检测与修复（路由器、交换机、防 火 墙）；通 用 基 础 应 用 程 序 漏 洞 检 测 与 修 复（数 据 库、Web/ftp/mail/DNS/其它各种系统守护进程）；网络安全产品部署（防火墙、入侵检测、脆弱性扫描和防病毒产品）；整体网络系统平台安全综合测试、模拟入侵与安全优化。（3）数据安全 数

3、据安全包括：介质与载体安全保护；数据访问控制（系统数据访问控制检查、标识与鉴别）；数据完整性；数据可用性；数据监控和审计；数据存储与备份安全。（4）通信安全 既通信及线路安全。为保障系统之间通信的安全采取的措施有：通信线路和网络基础设施安全性测试与优化；安装网络加密设施；设置通信加密软件；设置身份鉴别机制；设置并测试安全通道；测试各项网络协议运行漏洞等方面。（5）应用安全 应用安全包括：业务软件的程序安全性测试(bug分析)；业务交往的防抵赖；业务资源的访问控制验证；业务实体的身份鉴别检测；业务现场的备份与恢复机制检查；业务数据的唯一性/一致性/防冲突检测；业务数据的保密性；业务系统的可靠性；

4、业务系统的可用性。（6）运行安全 以网络安全系统工程方法论为依据，为运行安全提供的实施措施有：应急处置机制和配套服务；网络系统安全性监测；网络安全产品运行监测；定期检查和评估；系统升级和补丁提供；跟踪最新安全漏洞及通报；灾难恢复机制与预防；系统改造管理；网络安全专业技术咨询服务。（7）管理安全 管理是信息安全的重要手段，为管理安全设置的机制有：人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理、机房管理。通过管理安全实施，为以上各个方面建立安全策略，形成安全制度，并通过培训和促进措施，保障各项管理制度落到实处。1 信息安全体系结构设计报告 中小型企业网

5、络及安全方案 组长：组员：完成时间：2013年 11月 30日 2 1.系统需求分析.3 1.1 基本情况描述.3 1.2 需求分析.3 2系统设计原则.5 2.1.企业网络设计原则.5 3系统方案总体设计.7 3.1.网络总体拓扑设计.7 3.1.1 网络通信部分 7 3.1.2 应用区域边界部分 7 3.1.3 应用环境部分.9 3.1.3.1 网络架构概述.9 3.1.3.2 安全性分析.9 3.1.3.3 管理部门网络.9 3.1.3.4 其他部门网络.10 3.1.4 数据备份与恢复 10 3.2.IP 地址划分.11 3.2.1 VLAN划分 11 3.2.2 地址及端口分配 11

6、 4.设备选型 14 4.1交换机 14 4.1.1 交换机选择原则 14 4.1.2 交换机选型 14 4.2路由器 16 4.2.1 路由器选择原则 16 4.2.2 路由器选型 16 4.3 服务器 18 4.3.1 服务器选型原则 18 4.3.2 服务器选型(5个)18 4.4 其他 19 4.4.1 漏洞扫描系统（1个）19 4.4.2 备用电源（1个）19 5.基本配置 20 5.1路由器 20 5.2接入层交换机 21 6.安全管理规则.24 3 1.系统需求分析 1.1基本情况描述 1)一个中小型企业环境，大约 100台计算机；2)包含几个部门（研发部，财务部，市场部）；3)

7、通过专线接入到 Internet，能提供若干真实 IP地址（假如 10个）；4)企业有独立对外的 www服务器（）、E-mail 服务器；5)内部有文件服务器，保存企业研发重要文档；6)员工有独立的企业邮箱；7)为了保证正常运行，需要考虑一定的安全性（包括技术、管理两个方面）。1.2需求分析 1)企业日常工作需求 a.根据企业的要求，大约 100 台左右的计算机，对数据的传输量不大；b.企业包含研发部，财务部，市场部等部门，因此需要做 VLAN 划分，降低网络内广播数据包的传播，提高带宽资源利用率，防止广播风暴的产生。c.企业通过专线接入 Internet，只有 10 个 IP 地址，需要为企

8、业网络提供 DHCP 和 NAT 服务，使私有 Internet 地址供内部网络使用，并采用静态地址转换，为提供固定服务的设备设置固定地址。d.企业要求有独立对外的服务器与企业邮箱，所以要建立 DMZ 区域，用于存放对外提供访问服务的 Web 服务器、DNS 服务器、E-mail 服务器等；e.针对中小型企业办公事物处理、资金投入等特点，为增加企业员工的工作便易度，需提供无线局域网络。无线局域网络的实现将为人员流动频繁的市场部与财务部提供较为便捷的网络环境、节约企业网络铺设成本。4 2)网络安全需求 考虑到企业对安全性能的要求，我们从技术安全和管理安全两个方面提供安全服务。技术安全 a.在边界

9、安全方面，需要在网络边界设置防火墙和入侵防御系统(IPS)。所有试图访问内部网络的数据包均需经过防火墙的检查，通过为防火墙设置合适的访问，可有效的拒绝不符合规则的数据包，从而阻塞内部主机与外部怀有不法目的的主机的连接。入侵防御系统(IPS)的串联工作方式，可以保证直接阻断来自外部的威胁以及阻断来自内部的攻击。IPS拥有多种检测方式和响应方式，可以为企业网络提供完整的入侵防护解决方案。b.在内部网络方面，需要部署漏洞检测系统。漏洞检测系统则将定期扫描整体网络及其主机是否有威胁因素，实时报告给网络系统管理员，防止网络漏洞与主机漏洞给企业带来损失。c.针对企业员工通过外网访问内部服务器的安全性方面，

10、需设计虚拟专用网络。为远程用户和企业的分支机构访问企业内部网络资源提供了安全的途径，同时利用 VPN 隧道技术、加解密技术，充分保证用户数据的完整性、安全性和可用性。d.针对企业可能遇到的特殊及意外情况，需设计数据加密、数据恢复与备份系统，以保障用户信息、物理资源的机密性、完整性和确实性。e.为保证网络安全性，需要使用的设备支持检测并防御 Dos/DDos攻击、缓冲区溢出攻击、恶意 IP扫描等攻击行为。管理安全 企业对网络用户(公司职员)进行网络的安全教育同样重要。5 a.建立一套完整的网络管理规定和网络使用方法，并要求网络管理员和网络使用人员必须严格遵守。否则，网络内部的人为因素将会给网络安

11、全造成很大的威胁。b.制定合适的网络安全策略，制定一种让网络管理员和网络用户都乐于接受的安全策略，可以让网络用户在使用网络的过程中自觉维护网络的安全。2系统设计原则 2.1.企业网络设计原则（1）木桶原则 企业的网络应该具备对信息均衡、全面的保护功能，所以企业网络的信息系统安全体系结构必须能够充分、全面、完整地对信息系统的安全漏洞和安全威胁进行分析、评估和检测，防止最常用的攻击手段，提高整个系统“安全最低点”的安全性能。（2）整体性原则 考虑企业网络安全性设计时，要采用多种安全措施，分层次有重点地对系统进行防护，在注重防外的同时，也不可轻视防内，做到防内与防外同等重要。要求网络的信息系统安全体

12、系结构包括安全防护机制、安全检测机制、安全反应机制和安全恢复机制。从而保证在信息系统遭受攻击、破坏事件的情况下，必须尽可能快速恢复信息系统的运行，减少损失。（3）安全、代价平衡原则 对任何网络来说，绝对的安全都是无法达到的。针对企业网络的安全系统，要充分考虑到安全需求、安全风险和成本之间的关系，制定相应的规范和措施，确定实际可行的安全策略。在确保将信息系统安全风险控制在可接受范围内的前提下，将信息系统安全体系结构的成本控制在合理的范围内。（4）标准优先、兼容原则 6 随着网络化进程的加快，网络规模的扩大，网络将连接到各个角落；网络环境和应用发生改变、新的攻击方式产生，支撑一个系统安全运行的设备

13、数量也会越来越多。所以增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议进行连接。整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。（5）动态发展原则 跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。7 3系统方案总体设计 3.1.网络总体拓扑设计 3.1.1 网络通信部分 网络通信部分主要是针对局域网与广域网的连接，中国电信作为互联网服务提供商，局域网与宽带互联网（ChinaNet）通过两条相互冗余的 100Mb

14、ps 带宽出口线路连接，并申请 200.165.200.1-200.165.200.10 公有地址段。同时，为保证企业异地办公的安全性，采用在公共网络中建立虚拟专用网络（VPN）隧道的解决方案，其中针对企业员工远程访问，在 VPN 网关上采用 Access VPN 技术，针对企业异地分支或是兄弟企业则采用 Intranet VPN 技术。3.1.2 应用区域边界部分 应用区域边界部分基于屏蔽子网防火墙体系结构思想，将 DNS 服务器、Mail服务器、Web 服务器这些可供外部网络访问的设施放在 DMZ 区域，DMZ 区域处于网关路由器和内网防火墙之间。在网关路由器上，具有防火墙功能，可以抵御外

15、 8 部对 DMZ的一些攻击，也具有 NAT 功能，将私有地址转化为共有地址，其中 DMZ区域内的服务器采用静态 NAT，其他终端采用动态 NAT 和 PAT，这样能更充分地利用公有地址。内网防火墙对外部数据流量进一步过滤检验，以保证内网的安全。从而在满足对外提供访问服务需求的同时，使企业内部工作环境与外部网络隔离，非常有效地保护了内部网络，并提供一定的冗余措施。DMZ区域如下图：同时为了满足企业内部员工通过外部网络访问内部数据时的安全性和保密性，将 VPN服务器网关连接到防火墙上。使得在安全的获取企业数据的同时，保证内部网络安全。VPN部分拓扑如下图：由于该边界上的路由器和防火墙对企业网络安

16、全有重要的影响，所以采用基于代理服务技术的防火墙，实现基于应用层的内容过滤，以此提高系统应用防御能力。9 3.1.3 应用环境部分 3.1.3.1 网络架构概述 应用环境部分采用两个层次化的网络架构思想，分别从核心层、接入层进行设计。核心层选用一台千兆以太网交换机，在保证传输速率和充足的端口数量的同时，可满足企业在未来 3-4 年网络快速发展的拓展需求。核心层交换机主要负责整网的主要数据传输。接入层网络采用星型拓扑方式，交换机采用二层交换机。为满足企业内部设置文件服务器的需求，我们将文件服务器挂接在核心交换机上，方便企业内的文件传输与使用。3.1.3.2 安全性分析 从安全性角度上考虑，将核心

17、层交换机与基于网络的异常入侵防御系统(NIPS)相连，NIPS检查流经内网的所有流量，一旦辨识出入侵行为，NIPS便去除整个网络会话，提供对企业内部网络的最后一关保护。NIPS 需要具备较高的性能，以免成为网络的瓶颈。同时在核心层部分部署漏洞扫描安全策略。即在局域网出口路由器上安装网络型漏洞扫描器模块，基于 Internet 远程检测目标网络或本地主机的安全性脆弱点技术。通过网络安全扫描，使系统管理员能够发现所维护服务器的各种TCP/IP端口分配、开放服务、Web 服务软件版本和这些服务及软件呈现在Internet 上的安全漏洞，保障整体局域网的安全。3.1.3.3 管理部门网络 管理部门负责

18、同一管理内部网络的设备，处于一个单独的 VLAN 中，其他部门的所有交换机上均配置了管理部门的 VLAN。部门的二层交换机管理 VLAN配置了虚端口（SVI）以便于管理人员通过 SSH 远程访问。公司的网络设备 VTY 链路上均配置访问控制列表，只允许管理部门的 IP 地址对其远程访问，避免非授权 10 人员远程访问网络设备。而且为增加部门工作便易度，所以为管理部门提供无限 网络。3.1.3.4 其他部门网络 每个部门具有自己独立的交换机和 VLAN，从物理和逻辑上都保证了部门之间的安全性。每个部门的交换机 VTP模式均采用透明模式（transparent）,保证交换机 VLAN 数据的安全。

19、部门交换机与核心交换机之间采用两条千兆以太网链路，采用快速生成树协议（RSTP），在一条链路发生故障的情况下，立即切换到另一条链路。考虑到市场部人员可能较多，终端设备数量大，交换机端口数量问题等问题，我们为市场部分配两台二层交换机供使用。无线网络通过与无线路由器相连的无限访问点进行配置。考虑到研发部门的保密性，不对研发部门提供无限网络。3.1.4 数据备份与恢复 数据备份与恢复系统对企业网络有着重要的意义，遇到特殊或意外情况，系统能否快速恢复到运行状态，绝大程度上取决于数据的备份与恢复系统。我们采用 server-free 备份方式。server-free 备份方式采用无服务器备份技术，使数据

20、在存储区域网中的两个存储设备之间直接传输，通常是在磁盘阵列和磁带库之间。可为企业减少服务器系统资源的消耗，且具有缩短备份及恢复所用时间的优势。该备份方式如下图：1 1 3.2.IP地址划分 3.2.1 VLAN划分 3.2.2 地址及端口分配 核心层交换机：接入层交换机：部门 地址空间 所属 Vlan及 Vlan名称 管理部门 172.168.99.0/24 Vlan99 Manage 市场部 172.168.10.0/24 Vlan10、Vlan20 Market 财务部 172.168.30.0/24 Vlan30 Financial 研发部 172.168.50.0/24 Vlan40、

21、Vlan50 Research 端口号 IP地址 用途 Fa0/0 无 连接内部网络出口路由器 Fa0/1 无 连接 NIPS SVI Vlan10 172.168.10.254/24 Vlan10 的网关地址，用作通信 SVI Vlan20 172.168.20.254/24 Vlan20 的网关地址，用作通信 SVI Vlan30 172.168.30.254/24 Vlan30 的网关地址，用作通信 SVI Vlan40 172.168.40.254/24 Vlan40 的网关地址，用作通信 SVI Vlan50 172.168.50.254/24 Vlan50 的网关地址，用作通信 设

22、备名称 端口号 用途 端口类型 Switch1 Fastethernet 0/0 连接核心层交换机 Trunk Fastethernet 0/1 连接 switch2 Trunk Fastethernet 0/2 连接 switch3 Trunk Fastethernet 0/3 连接 switch4 Trunk Fastethernet 0/4 连接 switch5 Trunk 12 DHCP地址池：地址池名 地址池地址段 说明 Research1 172.168.40.0/24 用于给研发部分配 IP地址 SVI Vlan99 远程管理 172.168.99.1/26 Switch2 Fa

23、stethernet 0/1 连接 switch1 Trunk Fastethernet 0/2-12 连接研发部第一团队用户终端 Access Vlan40 Fastethernet 0/13-24 连接研发部第二团队用户终端 Access Vlan50 SVI Vlan99 远程管理 172.168.99.2/26 Switch3 Fastethernet 0/1 连接 switch1 Trunk Fastethernet 0/2-24 连接财务部用户终端 Access Vlan30 SVI Vlan99 远程管理 172.168.99.3/26 Switch4 Fastethernet

24、0/1 连接 switch1 Trunk Fastethernet 0/2-24 连接管理部门用户终端 Access Vlan99 SVI Vlan99 远程管理 172.168.99.4/26 Switch5 Fastethernet 0/1 连接 switch1 Trunk Fastethernet 0/2-24 连接市场部用户终端 Access Vlan10 SVI Vlan99 远程管理 172.168.99.5/26 Switch6 Fastethernet 0/1 连接 switch1 Trunk Fastethernet 0/2-24 连接市场部用户终端 Access Vlan2

25、0 SVI Vlan99 远程管理 172.168.99.6/26 13 Research2 172.168.50.0/24 用于给研发部分配 IP地址 Market1 172.168.10.0/24 用于给市场部分配 IP地址 Market2 172.168.20.0/24 用于给市场部分配 IP地址 Financial 172.168.30.0/24 用于给财政部分配 IP地址 NAT 地址池：地址池名 地址池地址段 用途 Corp 200.165.200.1-10/24 内网访问外网时用于转换的地址段 VPN 地址池：地址池名 地址池地址段 用途 Corp-VPN 200.165.200

26、.1-10/24 外网用户远程访问 外网网关路由器：端口号 IP地址 说明 S0/0/0 200.168.200.1/24 与 Internet连接的出口 1 S0/0/1 200.168.200.2/24 与 Internet连接的出口 2 服务器及终端设备：名称 内网地址 Web服务器 172.168.99.10/24 Email服务器 172.168.99.20/24 DNS服务器 172.168.99.30/24 File服务器 172.168.99.40/24 管理 PC1 172.168.99.100/24 管理 PC2 172.168.99.200/24 各部门终端 DHCP分配

27、 14 4.设备选型 4.1交换机 4.1.1 交换机选择原则 针对该中小型企业网络，安置在不同位置的交换机其选取原则不尽相同。核心层交换机应当选择高性能、模块化、三层多 MAC 交换机，其带宽应在 1000M左右；接入层交换机则应当选择固定端口带有扩展槽的二层单 MAC交换机，而其类型还需根据相应部门的数据传输流量，在 10M和 100M交换机间进行选择。根据需求分析可知，整体网络终端数量较少、非主干节点数据流量不大、实时性要求不强，因此各层交换机对端口数量、堆叠层数、机架插槽数、芯片性能、光纤解决方案、延时的要求并不高，需坚持最具性价比的原则；由于整体网络对安全性能的要求较高，因此需要在选

28、择带有网管功能的交换机。另外，在选择交换机时，不能将他们相互割裂开来，而应当综合地进行考虑，例如：考虑下级交换机是否支持上级交换机的功能与应用、上下级交换机在性能上是否有应有的差别、上下级交换机端口的类型与数量、传输距离、网络带宽和通信线缆能否达到相互协调。尽管不同交换机大多遵守相同的国际标准，但每个厂家都有一些特殊的协议，尤其是可网管交换机，因此，为实现对可网管交换机的统一管理，保障设备间的兼容性，达到性能最优化，就应当尽量选择同一厂商的产品。4.1.2 交换机选型 核心层交换机：（1 个）CISCO WS-C3750G-12S-S 15 参考报价￥22000 产品类型：企业级交换机 应用层

29、级：三层 包转发率：17.8Mpps 交换方式：存储-转发 端口数量：12个 传输速率：10/100/1000Mbps 扩展插槽：2 堆叠支持：不可堆叠 VLAN：支持 网络管理：SNMP，CLI，Web，管理软件 接入层交换机：（6 个）CISCO WS-C2960S-24TS-L 参考价格：￥6300 产品类型：企业级交换机 应用层级：二层 传输速率：10/100/1000Mbps 端口数量：28个 VLAN：支持 包转发率：41.7Mpps 交换方式：存储-转发 产品内存：DRAM内存：128MB FLASH内存：64MB 16 4.2路由器 4.2.1 路由器选择原则 针对该中小型企业

30、网络，安置在不同位置的路由器其选取原则也不尽相同。逻辑隔离位置选择接入级路由器，根据整体网络类型单一、功能简单、终端数量较少、流量不大、实时性不强的特点，针对路由器支持协议、可扩展性、端口类型与数量、背板带宽、吞吐量、路由表容量、转发延时的要求并不高，需坚持最具性价比的原则；由于整体网络对安全性能的要求较高，因此需要选择可管理性强、可靠性高、稳定性强，并兼容防火墙模块的路由器。根据整体网络流量偏少的特点，核心出口位置选择企业级路由器即可，根据整体网络类型与功能复杂、终端数量较少、实时性不强的特点，针对端口数量、路由表容量、转发延时的要求并不高，但对路由器支持协议、可扩展性、端口类型、背板带宽、

31、吞吐量具有一定的要求，因此需在坚持最具性价比的原则上完全满足所有性能需求；由于作为整个局域网的出口，因此选取的路由器需要可管理性强、可靠性高、支持静态 NAT 与动态 NAT 功能、PAT 功能。另外，由于整体网络安全性要求较高，因此单独选购了防火墙和入侵检测系统，在出口路由器的选择上便不需要对这两个模块的兼容。4.2.2 路由器选型 内置防火墙路由器（2个）参考价格：￥4500 CISCO 3945/K9 产品类型：企业级路由 17 端口结构：模块化 局域网接口：3个 传输速率：10/100/1000Mbps 防火墙：内置防火墙 Qos支持：支持 VPN支持：支持 产品内存：DRAM内存：1

32、GB，最大 2GB 无线路由（4 个）CISCO RV180W 参考价格：￥1390 产品类型：企业级无线路由器 网络接口：1个 10/100/1000Mbps WAN口 4个 10/100/1000Mbps LAN口 频率范围：单频（2.4GHz）天线数量：2根 外置全向天线 VPN支持：支持 WDS功能：支持 WDS无线桥接 WPS功能：支持 WPS一键加密功能 Qos支持：支持 无线安全：有线等效保密（WEP），WPA，WPA2.防火墙功能：内置防火墙 18 4.3 服务器 4.3.1 服务器选型原则 中小企业在选购服务器时，要注意三个方面：价格与成本、产品的扩展与业务的扩展、售后服务。

33、首先，由于中小企业对信息化的投入有限，因此需要注意的是产品价格低并不代表总拥有成本低，总拥有成本还包括后续的维护成本、升级成本等。其次，中小企业最大的特点就是业务增长迅速，他们需要产品能随着企业业务的发展而升级，一方面满足业务的需要，另一方面也保护原有的投资。最后，服务是购买任何产品都要考虑的，但中小企业尤其看重售后服务，因为由于自身技术水平和人力所限，当产品出现故障后，他们更加依赖厂商的售后服务。4.3.2 服务器选型(5个)戴尔 PowerEdge T20（E3-1225）产品类别：塔式 CPU 型号：Xeon E3-1225 3.1GHz 标配 CPU数量：1颗 标配硬盘容量：1TB 内

34、部硬盘架数：最大支持 4块 3.5英寸 SATA/SAS硬盘 最大内存容量：32GB 内存插槽数量：4 CPU频率：3.1GHz 19 CPU核心：四核（Sandy Bridge）主板芯片组：Intel C226 内存类型：DDR3 硬盘接口类型：SATA 4.4 其他 4.4.1 漏洞扫描系统（1个）系统要求：适用硬件环境：CPU：不低于 2.4G的 Pentium 处理器或其它兼容 X86处理器 内存：不小于 512M 硬盘：10G以上的硬盘空间 网卡：至少一块 10/100Mbps以太网卡 详细说明：纠错用户管理，用户审计，任务管理，策略管理，扫描功能，资产管理，报表快速查看，报表管理，

35、报告导出，升级功能，检测工具，第三方接口，漏洞验证 4.4.2 备用电源（1个）20 山特 C3KS UPS类型：在线式 额定功率：3KVA 后备时间：由外配蓄电池决定分钟 电池类型：Panasonic 密闭式铅酸蓄电池 输入电压范围：115-300V 输入频率范围：软件可调：40-60Hz 输出电压范围：220（1 2%）V 输出电压波形：正弦波 产品重量：34.5kg 5.基本配置 5.1路由器 Routerenable Router#config t Enter configuration commands,one per line.End with CNTL/Z.Router(conf

36、ig)#inter f0/0 Router(config-if)#ip address 172.168.20.1 255.255.255.0 Router(config-if)#no shutdown%LINK-5-CHANGED:Interface FastEthernet0/0,changed state to up%LINEPROTO-5-UPDOWN:Line protocol on Interface FastEthernet0/0,changed state to up Router(config-if)#exit/NAT配置 Router(config)#ip access-li

37、st standard NAT Router(config-std-nacl)#permit 172.168.0.0 0.0.255.255 Router(config-std-nacl)#deny any/NAT公有地址池 21 Router(config-std-nacl)#ip nat pool corp 200.165.200.1 200.165.200.10 netmask 255.255.255.0/配置动态 NAT Router(config)#ip nat inside source list NAT pool corp overload/配置静态 NAT Router(con

38、fig)#ip nat inside source static 172.168.99.10 200.165.200.2 Router(config)#ip nat inside source static 172.168.99.20 200.165.200.3 Router(config)#ip nat inside source static 172.168.99.40 200.165.200.4 Router(config)#ip access-list standard SSH Router(config-std-nacl)#permit 172.168.99.0 0.0.0.255

39、Router(config-std-nacl)#deny any 5.2接入层交换机 switch1 配置如下：switchen switch#conf t switch(config)#hostname HQ/配置 DHCP 地址池和服务器 HQ(config)#ip dhcp pool Research1 HQ(dhcp-config)#network 172.168.40.0 255.255.255.0 HQ(dhcp-config)#default-router 172.168.40.254 HQ(dhcp-config)#dns-server 172.168.99.30 HQ(dhc

40、p-config)#exit HQ(config)#ip dhcp pool Research2 HQ(dhcp-config)#network 172.168.50.0 255.255.255.0 HQ(dhcp-config)#default-router 172.168.50.254 HQ(dhcp-config)#dns-server 172.168.99.30 HQ(dhcp-config)#exit HQ(config)#ip dhcp pool Market1 HQ(dhcp-config)#network 172.168.10.0 255.255.255.0 HQ(dhcp-c

41、onfig)#default-router 172.168.10.254 HQ(dhcp-config)#dns-server 172.168.99.30 HQ(dhcp-config)#exit HQ(config)#ip dhcp pool Market2 HQ(dhcp-config)#network 172.168.20.0 255.255.255.0 HQ(dhcp-config)#default-router 172.168.20.254 HQ(dhcp-config)#dns-server 172.168.99.30 HQ(dhcp-config)#exit 22 HQ(conf

42、ig)#ip dhcp pool Financial HQ(dhcp-config)#network 172.168.30.0 255.255.255.0 HQ(dhcp-config)#default-router 172.168.30.254 HQ(dhcp-config)#dns-server 172.168.99.30 HQ(dhcp-config)#exit/设置 DHCP 保留不分配的地址 HQ(config)#ip dhcp excluded-address 172.168.10.254 HQ(config)#ip dhcp excluded-address 172.168.20

43、.254 HQ(config)#ip dhcp excluded-address 172.168.30.254 HQ(config)#ip dhcp excluded-address 172.168.40.254 HQ(config)#ip dhcp excluded-address 172.168.50.254/配置 Vlan HQ(config)#vlan 10 HQ(config-vlan)#name Market1 HQ(config-vlan)#exit HQ(config)#vlan 20 HQ(config-vlan)#name Market2 HQ(config-vlan)#e

44、xit HQ(config)#vlan 30 HQ(config-vlan)#name Financial HQ(config-vlan)#exit HQ(config)#vlan 40 HQ(config-vlan)#name Research1 HQ(config-vlan)#exit HQ(config)#vlan 50 HQ(config-vlan)#name Research2 HQ(config-vlan)#exit HQ(config)#vlan 99 HQ(config-vlan)#name Manage HQ(config-vlan)#exit/配置 trunk HQ(con

45、fig)#int range f0/1 HQ(config-if-range)#switchport trunk native vlan 99 HQ(config-if-range)#switchport trunk encapsulation dot1q HQ(config-if-range)#switch mode trunk HQ(config)#int range f0/2 HQ(config-if-range)#switchport access vlan 99 HQ(config-if-range)#switch mode access 23/配置 VTP HQ(config)#v

46、tp domain corp HQ(config)#vtp mode transparent HQ(config)#vtp password corp HQ(config)#spanning-tree mode rapid-pvst/配置 SSH HQ(config)#username HQ password corp HQ(config)#ip ssh authentication-retries 2 HQ(config)#ip domain-name HQ(config)#crypto key generate rsa/配置各部门虚接口 HQ(config)#int vlan10 HQ(c

47、onfig-if)#ip address 172.168.20.254 255.255.255.0 HQ(config-if)#ip access-group Market-Virtual1 out HQ(config-if)#exit HQ(config)#int vlan20 HQ(config-if)#ip address 172.168.20.254 255.255.255.0 HQ(config-if)#ip access-group Market-Virtual2 out HQ(config-if)#exit HQ(config)#int vlan30 HQ(config-if)#

48、ip address 172.168.20.254 255.255.255.0 HQ(config-if)#ip access-group Financial-Virtual out HQ(config-if)#exit HQ(config)#int vlan40 HQ(config-if)#ip address 172.168.20.254 255.255.255.0 HQ(config-if)#ip access-group Research-Virtual1 out HQ(config-if)#exit HQ(config)#int vlan50 HQ(config-if)#ip add

49、ress 172.168.20.254 255.255.255.0 HQ(config-if)#ip access-group Research-Virtual2 out HQ(config-if)#exit/SSH访问控制列表 HQ(config)#ip access-list standard SSH/只允许管理 VLAN网段远程登录 HQ(config-std-nacl)#permit 172.168.99.0 0.0.0.255 HQ(config-std-nacl)#deny any HQ(config-std-nacl)#line vty 0 15 HQ(config-line)#

50、access-class SSH in HQ(config-line)#password corp 24 switch2 配置如下：(switch3-5 与 switch2 配置相似)/配置 VTP Switch2(config)#vtp domain corp Changing VTP domain name from NULL to corp Switch2(config)#vtp mode transparent Setting device to VTP TRANSPARENT mode.Switch2(config)#spanning-tree mode rapid-pvst Swi