Linux安全网 - Linux操作系统_Linux 命令_Linux教程_Linux黑客

会员投稿 投稿指南 本期推荐:
搜索:
您的位置: Linux安全网 > Linux监控 > 安全配置 > » 正文

带分支的中型企业网设计方案(高可靠性+高安全性)(三)!!!

来源: leishe 分享至:

 四、IP地址规划(双ISP是否需要为服务器分配两个外部地址?)(是否需要汇总?)

1、网络运行地址

部门及设备

所属VALN

IP地址规划

财务

VLAN10

10.1.10.0/24

人资

VLAN20

10.1.20.0/24

总经

VLAN30

10.1.30.0/24

FTP服务器

VLAN40

对内:10.1.40.1/24

对外:

ISP1:192.168.1.202/24

ISP2:172.16.1.202/24

DNS服务器

DMZ交换机单独化的VLAN50

对内:10.1.50.1/24

对外:

ISP1:192.168.1.200/24

ISP2:172.16.1.200/24

WEB服务器

DMZ交换机单独化的VLAN50

对内:10.1.50.2/24

对外:

ISP1:192.168.1.201/24

ISP2:172.16.1.201/24

2、网络管理地址

               

网络设备

管理IP

SW1

10.1.1.1/24

SW2

10.1.1.2/24

SW3

10.1.1.3/24

SW4

10.1.1.4/24

SW5

10.1.1.5/24

SW6

10.1.1.6/24

SW7

10.1.1.7/24

SW8

10.1.18./24

SW9

10.1.1.9/24

SW10

10.1.1.10/24

SW11

10.1.1.11/24

R1

 

R2

 

R3

 

R4

 

FW1

 

FW2

 

FW3

 

FW4

 

FW5

 

FW6

 

注:交换机管理VLAN均为VLAN1

五、交换规划

1、用户区:

1)接入层与汇聚层交换机之间的链路均启Trunk

2)汇聚层交换机之间用两根光纤互联,并启Channel

3)在两台汇聚层交换机上分别为三个部门的用户启用HSRP,提供网关冗余备份;

4)在用户区启用MST生成树;(MST对应VLAN的主根与HSRP对应的主网关对应相同汇聚层交换机;)

5)汇聚层与核心层交换机之间的接口都为Access接口,并且两条上行链路不在同一个VALN中,SW4的上行接口位于VLAN60SW5的上行接口位于VALN70

 6)将财务的用户划到VLAN10,人资的用户划到VLAN20,总经的用户划到VLAN30

 7)在所有连接用户的接口上配置Postfast;

      在各自汇聚层启用backbone fast;

 8)核心交换机去往Internet的两条上行链路位于同一个VLAN120,在FW5FW6上启用VRRPFW5FW6的上行链路提供冗余备份;

2、内服务器区:

              1)内服务器区接入层交换机与汇聚层交换机之间的链路均启Trunk

              2)两台汇聚层交换机之间用两根光纤互联,启Channel;并配置为Trunk

              3)在两台汇聚层交换机上为FTP服务器配置HSRP网关备份,并且以SW7为主,SW8为备;

              4)将FTP服务器连接交换机的接口划到VLAN40中;

5)两台汇聚层交换机的上行接口为access口,且位于不同的VLANSW7上行接口位于VLAN80SW8的上行接口位于VLAN90

3、核心层:

          1)两台核心层交换机之间用四条光纤互联,启Channel,并封装Trunk

          2)核心交换机其他的接口均为Access口启SVI

4DMZ服务器区域接入交换机:

            1DMZ服务器区需要对外网和内网用户提供高安全、高稳定的服务,因此选用性能较好的核心层交换机Cisco Catalyst 6503来作为服务器接入交换机,并且将服务器划到VLAN50中;

            2)在FW5FW6上为DNSWEB服务器分别配置VRRP网关备份;

DNS服务器以FW5为主,以FW6为辅;

WEB服务器以FW6为主,以FW5为辅;



Tags:
分享至:
最新图文资讯
1 2 3 4 5 6
验证码:点击我更换图片 理智评论文明上网,拒绝恶意谩骂 用户名:
关于我们 - 联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 发展历史