华为ensp模拟校园网/企业网实例(同城灾备及异地备份中心保证网络安全)
文章简介:本文用华为ensp对企业网络进行了规划和模拟,也同样适用于校园、医院等场景。如有需要可联系作者,可以根据定制化需求做修改。作者简介:网络工程师,希望能认识更多的小伙伴一起交流,私信必回。
一、企业需求背景
该企业为基于云计算的中小型企业,目前大约200人规模, 该企业目前建筑和计算机设备分布如下:企业共有4栋楼,分别为1号楼、2号楼、3号楼、4号楼,各楼栋之间的距离皆为100米。其中,1号楼为企业的行政楼,分三层,计算机分布在各个办公室中,约40台,2号楼为企业产品销售部和事业部,分四层,共50余台计算机,3号楼为企业云计算产品研发部,分三层,分别建有研发部业务网络,研发部实验室网络,研发部服务器网络,研发网络全部用于内网,不允许访问互联网;4号楼为企业产品生产车间,分四层,共20余台计算机。另外为了方便管理整体网络以及提供内网设备的安全性,规划专用的运维网络。 最后企业内部建有一个数据中心,由于提供企业内部业务服务。为了保证企业的数据容灾,企业建设了同城灾备及异地备份中心,为增强业务应用系统、重要数据的可用性从而保证业务的连续性。
二、vlan划分及IP地址
拓扑如下:
主数据中心业务地址规划
部门 | 地址空间 | 所属vlan | Vlan网关 |
行政楼 | 10.0.10.0/24 | Vlan10 | 10.0.10.254/24 |
销售部 | 10.0.20.0/24 | Vlan20 | 10.0.20.254/24 |
事业部 | 10.0.30.0/24 | Vlan30 | 10.0.30.254/24 |
研发部业务网 | 10.0.40.0/24 | VLAN40 | 10.0.40.254/24 |
研发部实验室 | 10.0.50.0/24 | VLAN50 | 10.0.50.254/24 |
研发部服务器 | 10.0.60.0/24 | Vlan60 | 10.0.60.254/24 |
设备管理网络 | 10.0.100.0/24 | Vlan100 | 10.0.100.254/24 |
研发部设备管理 | 10.0.150.0/24 | Vlan150 | 10.0.150.254/24 |
运维网络 | 10.0.254.0/24 | N/A | 10.0.254.254/24 |
数据中心 | 10.0.200.0/24 | N/A | 10.0.200.254/24 |
同城异地数据中心业务地址规划
部门 | 地址空间 | 所属vlan | Vlan网关 |
异地数据中心 | 10.1.10.0/24 | Vlan10 | 10.1.10.1/24 |
三、网络配置实施
1接入层配置
1.1接入划分vlan、以及接口配置vlan
以S1为例:
[S1]vlan batch 10 20 30 40 50 60 100
interface Ethernet0/0/1
port link-type trunk //上行链路放行VLAN
port trunk allow-pass vlan 2 to 4094
interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094 //上行链路放行VLAN
interface Ethernet0/0/3
port link-type access
port default vlan 10 //接入 对应vlan
1.2接入层设备管理地址配置
interface Vlanif100
ip address 10.0.100.11 255.255.255.0
1.3 接入交换机配置管理员账号密码
aaa
domain default_admin
local-user admin password cipher admin@123
local-user admin privilege level 15
local-user admin service-type telnet
1.4接入交换机配置访问权限
acl number 2000
rule 5 permit source 10.0.100.0 0.0.0.255
user-interface vty 0 4
acl 2000 inbound
authentication-mode aaa
protocol inbound all
2、核心层配置
2.1SIV接口配置及路由器物理接口以及VRRP配置
以外网区核心为例:
[HX-1]interface Vlanif10
[HX-1-Vlanif10] ip address 10.0.10.1 255.255.255.0
[HX-1-Vlanif10] vrrp vrid 10 virtual-ip 10.0.10.254 //配置虚拟网关
[HX-1-Vlanif10] vrrp vrid 10 priority 120 //配置优先级
[HX-1-Vlanif10] dhcp select global //DHCP为全局模式
[HX-2-Vlanif10]interface Vlanif10
[HX-2-Vlanif20] ip address 10.0.10.2 255.255.255.0
[HX-2-Vlanif20] vrrp vrid 10 virtual-ip 10.0.10.254 //配置虚拟网关
2.2核心层配置MSTP映射实例
[HX-1-mst-region]stp region-configuration
[HX-1-mst-region] region-name huawei
[HX-1-mst-region] instance 1 vlan 10 20 //将VLAN10 20 100 映射为实例1进行STP计算
[HX-1-mst-region] instance 2 vlan 30 100 //将VLAN30 40 映射为实例2进行STP计算
[HX-1-mst-region] active region-configuration //激活配置
[HX-1]stp instance 1 root primary //修改实例1优先级
[HX-1]stp instance 2 root secondary //修改实例2优先级
[HX-2]stp instance 1 root secondary
[HX-2]stp instance 2 root primary
2.3核心层链路聚合配置
[HX-1]int Eth-Trunk 0 //链路聚合接口
[HX-1-Eth-Trunk0]port link-type trunk
[HX-1-Eth-Trunk0]port trunk allow-pass vlan all
[HX-1-Eth-Trunk0]trunkport GigabitEthernet 0/0/23 to 0/0/24
2.4核心DHCP配置
[HX-1]ip pool vlan10 //创建地址池
[HX-1-ip-pool-vlan10] gateway-list 10.0.10.254 //网关
[HX-1-ip-pool-vlan10] network 10.0.10.0 mask 255.255.255.0 //地址范围
[HX-1-ip-pool-vlan10]dns-list 114.114.114.114 //DNS地址
[HX-1-ip-pool-vlan10]lease day 3 //租期
其他地址池配置相同
3配置路由
OSPF实现全网互通、
//此配置 其他设备 均相同 宣告各自直连网段即可
[HX-1-ospf-1]area 0
[HX-1-ospf-1-area-0.0.0.0]network 10.0.0.0 0.255.255.255
4防火墙配置
划分区域
[FW-A]firewall zone name MGT//管理区
[FW-A-zone-MGT]set priority 55
[FW-A-zone-MGT]add interface GigabitEthernet 1/0/3
[FW-A]firewall zone trust//外网区域
[FW-A-zone-trust] add interface GigabitEthernet1/0/1
[FW-A-zone-trust] add interface GigabitEthernet1/0/2
[FW-A]firewall zone dmz //数据中心区域
[FW-A-zone-dmz] add interface GigabitEthernet1/0/5
[FW-A]firewall zone untrust //互联网区域
[FW-A-zone-untrust]add interface g1/0/0
[FW-A]firewall zone name NW //研发内网区域
[FW-A-zone-NW]set priority 10
[FW-A-zone-NW]add interface g1/0/4
出口安全策略
security-policy
rule name deny_internet //拒绝内网访问互联网
source-zone NW
destination-zone untrust
action deny
rule name 0 //ipsec协商流量
source-zone local
source-zone untrust
destination-zone local
destination-zone untrust
action permit
rule name ISp //外网区域访问互联网
source-zone trust
destination-zone untrust
action permit
rule name vpn_data //数据中心vpn流量
source-zone trust
source-zone untrust
destination-zone trust
destination-zone untrust
source-address 10.0.0.0 mask 255.255.0.0
source-address 10.1.0.0 mask 255.255.0.0
destination-address 10.0.0.0 mask 255.255.0.0
destination-address 10.1.0.0 mask 255.255.0.0
action permit
rule name www //数据中心区域服务器端口映射
source-zone untrust
destination-zone dmz
destination-address 10.0.200.100 mask 255.255.255.255
action permit
rule name MGT //放行管理流量
source-zone MGT
destination-zone NW
destination-zone dmz
destination-zone trust
action permit
出口NAT配置
nat-policy
rule name no //拒绝NAT转换VPN流量
source-zone trust
destination-zone untrust
source-address 10.0.0.0 0.255.255.255
destination-address 10.1.0.0 0.0.255.255
rule name ISP
source-zone trust
destination-zone untrust
action source-nat easy-ip //NAT转换方式 = easy-IP
端口映射
[FW-A]nat server www zone untrust protocol tcp global 1.1.1.100 www inside
10.0.200.100 www
[FW-B]nat server zone untrust global interface g1/0/0 inside 10.1.10.1
ipsec配置
ike proposal 1 //配置IKE安全提议
ike peer fw //配置ike 对等体
pre-shared-key admin@123 //共享密钥
ike-proposal 1 //绑定安全提议
remote-address 4.4.4.2 //对端地址
ipsec proposal 1 //配置IPSEC 安全提议
esp authentication-algorithm sha2-256 //认证算法
esp encryption-algorithm aes-256 //加密算法
ipsec policy p1 1 isakmp //配置ipsec 安全策略
security acl 3000 //绑定感兴趣流量(需要加密的流量)
ike-peer fw2 //绑定 ike对等体
proposal 1 //绑定安全提议
tunnel local applied-interface //本端地址
interface GigabitEthernet1/0/0 //安全策略绑定到接口
ipsec policy p1
同城数据中心配置
核心层冗余配置
Vrrp冗余协议
interface Vlanif10
ip address 10.1.10.252 255.255.255.0
vrrp vrid 10 virtual-ip 10.1.10.254
vrrp vrid 10 priority 120
interface Vlanif10
ip address 10.1.10.253 255.255.255.0
vrrp vrid 10 virtual-ip 10.1.10.254
接口聚合
interface GigabitEthernet0/0/23
eth-trunk 0
#
interface GigabitEthernet0/0/24
eth-trunk 0
#
出口防火墙配置
安全策略配置
security-policy
rule name 0
source-zone local
source-zone untrust
destination-zone local
destination-zone untrust
action permit
rule name ISP
source-zone trust
destination-zone untrust
action permit
rule name vpn_data
source-zone trust
source-zone untrust
destination-zone trust
destination-zone untrust
source-address 10.0.0.0 mask 255.255.0.0
source-address 10.1.0.0 mask 255.255.0.0
destination-address 10.0.0.0 mask 255.255.0.0
destination-address 10.1.0.0 mask 255.255.0.0
action permit
rule name nat-server
source-zone untrust
destination-zone trust
destination-address 10.1.10.1 mask 255.255.255.255
action permit
VPN隧道配置
ike proposal 1
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer fw
pre-shared-key admin@123
ike-proposal 1
remote-address 1.1.1.2
#
ipsec policy p1 1 isakmp
security acl 3000
ike-peer fw
proposal 1
tunnel local applied-interface
sa trigger-mode auto
四、验证测试
本章内容请私信博主获取
相关文章:
华为ensp模拟校园网/企业网实例(同城灾备及异地备份中心保证网络安全)
文章简介:本文用华为ensp对企业网络进行了规划和模拟,也同样适用于校园、医院等场景。如有需要可联系作者,可以根据定制化需求做修改。作者简介:网络工程师,希望能认识更多的小伙伴一起交流,私信必回。一、…...
git命令篇(持续更新中)
首先介绍这个网页:https://learngitbranching.js.org/?localezh_CN --提交命令 git commit --创建分支 git branch <分支名> --切换分支 git checkout <分支名> --合并分支 (合并到主分支去,把我合并到谁的身上去) 自己写的分支合并到主线…...
用记事本实现“HelloWorld”输出
一、在任意文件夹中创建一个新的文本文档文件并写入以下代码 public class Hello{public static void main (String[] args){System.out.print("Hello,World!");} } 二、修改文件名称及文件类型为 Hello.java 特别注意:文件命名必须与代码中类的名称相同…...
Python基础1
1. 注释 单行注释:以#开头。一般建议注释和内容用空格隔开。 多行注释:以一对三个双引号括起来的内容是注释。“““示例注释”””。 2. 数据类型 验证数据类型的方法:type(被查看类型的数据)。 注意:…...
4.2 双点双向路由重发布
1. 实验目的 熟悉双点双向路由重发布的应用场景掌握双点双向路由重发布的配置方法2. 实验拓扑 双点双向路由重发布如图4-6所示: 图4-6:双点双向路由重发布 3. 实验步骤 IP地址的配置R1的配置 <Huawei>system-v…...
AcWing《蓝桥杯集训·每日一题》—— 3768 字符串删减
AcWing《蓝桥杯集训每日一题》—— 3768. 字符串删减 文章目录AcWing《蓝桥杯集训每日一题》—— 3768. 字符串删减一、题目二、解题思路三、代码实现本次博客我是通过Notion软件写的,转md文件可能不太美观,大家可以去我的博客中查看:北天的 …...
第五天笔记
1. 简述图片验证码使用流程? 1.前段生成UUID随机值,作为GET请求参数 2.后端试图进行判断,调用工具类来生成图片验证码和内容 3.将验证码内容使用redis保存到本地,前端传入的uuid作为key, 4.在前段输入获取到的图片验证码,想后端发…...
如何使用ArcGIS进行地理配准
1.概述 对于GIS数据而言,坐标信息是灵魂,有了坐标信息之后才能和别的数据结合使用,之前有介绍过矢量数据定义坐标信息的方法,针对栅格图,这里为大家介绍一下通过地理配准增加坐标信息的方法,希望能对你有所…...
【java基础知识】
Java中的基本数据类型是什么? byte:1字节,有符号,表示整数,范围为-128到127。short:2字节,有符号,表示整数,范围为-32768到32767。int:4字节,有符…...
Java提供了哪些IO方式? NIO如何实现多路复用?
第11讲 | Java提供了哪些IO方式? NIO如何实现多路复用? IO 一直是软件开发中的核心部分之一,伴随着海量数据增长和分布式系统的发展,IO 扩展能力愈发重要。幸运的是,Java 平台 IO 机制经过不断完善,虽然在某…...
人的大脑遇事的思考解决过程
人遇到问题的思考解决过程,大概如下:1) 遇到问题;2) 首先,不是直接推理,而是用直觉在自己的知识模式库里搜索,有没有相似的模式或者相同的模式。3) 如果:3a)有…...
GNU zlib 压缩与解压文件详细介绍
GNU zlib 压缩与解压文件详细介绍 1.概述 zlib 模块为 GNU 项目的 zlib 压缩库中的许多函数提供了一个低级接口 2.使用内存数据压缩与解压 2.1.压缩与解压缩 使用 zlib 的最简单方法是将所有数据保存在内存中进行压缩或解压缩。 import zlib import binasciioriginal_dat…...
离线环境轻量级自动化部署
流程图: 常规系统发布的痛点 服务器频繁重启,上面部署的应用服务不能随之重启,导致服务时常宕机应用手动部署相对比较麻烦,步骤繁琐应用发布环境取决于发布人本地环境,导致不同发布人每次发布环境不一致,导…...
In-context Learning
formulate the example query -> LLM -> answerno gradient descent and fine-tuning, no parameters updateadvantages: 提供了与LLM进行交流的可解释的接口,通过template和demonstration将人类知识和LLM更好的结合;更像人类的预测思维ÿ…...
)
【新2023】华为OD机试 - 最优调度策略(Python)
华为 OD 清单查看地址:blog.csdn.net/hihell/category_12199275.html 最优调度策略 题目 在通信系统中有一个常见的问题是对用户进行不同策略的调度 会得到不同系统消耗的性能 假设由 N 个待串行用户,每个用户可以使用 A/B/C 三种不同的调度策略 不同的策略会消耗不同的系…...
Python列表系列之统计计算
Python也提供了一些内置函数去实现诸如统计、计算的功能,下面我们具体来看一下 基本语法 1、获取元素出现的次数 使用列表的count()方法可以获取元素在列表中出现的次数,语法格式如下: listname.count(obj) lisetname:列表的名…...
【蓝桥杯集训·每日一题】AcWing 1460. 我在哪?
文章目录一、题目1、原题链接2、题目描述二、解题报告1、思路分析2、时间复杂度3、代码详解三、知识风暴二分查找哈希表一、题目 1、原题链接 1460. 我在哪? 2、题目描述 农夫约翰出门沿着马路散步,但是他现在发现自己可能迷路了! 沿路有一…...
一个不可忽视的重要能力
阅读本文大概需要 2.16 分钟。1、自我们开工后,年后第一场直播,场观二十万出头,以为是不是巧合还是卡 bug 了,就最近又测了下,发现连续几场直播下来,场观数据依旧很吓人,都是十几二十万…...
2023.2.6-2.12 AI行业周刊(第136期):住院
周末把父亲送到医院,安顿下来,这周还是决定做膝关节的手术了。 一辈子长期的劳累,加上前两年搬家时的辛苦,最终导致膝关节受损严重。 这两年来,走路每一步都很疼,纠结了很久,去了上海…...
听说2年以上的自动化测试都有16k+,4年10k的你还要等待奇迹吗?
个人简介学渣一枚,2017年6月某xx学校毕业。从事自动化测试已经4年,。2018年的时候,由于项目的原因,开始使用Robot Framework测试框架,正因为有Python的基础所以很快就理解了Robot Framework框架的工作原理,…...
华为云AI开发平台ModelArts
华为云ModelArts:重塑AI开发流程的“智能引擎”与“创新加速器”! 在人工智能浪潮席卷全球的2025年,企业拥抱AI的意愿空前高涨,但技术门槛高、流程复杂、资源投入巨大的现实,却让许多创新构想止步于实验室。数据科学家…...
XCTF-web-easyupload
试了试php,php7,pht,phtml等,都没有用 尝试.user.ini 抓包修改将.user.ini修改为jpg图片 在上传一个123.jpg 用蚁剑连接,得到flag...
装饰模式(Decorator Pattern)重构java邮件发奖系统实战
前言 现在我们有个如下的需求,设计一个邮件发奖的小系统, 需求 1.数据验证 → 2. 敏感信息加密 → 3. 日志记录 → 4. 实际发送邮件 装饰器模式(Decorator Pattern)允许向一个现有的对象添加新的功能,同时又不改变其…...
。】2022-5-15)
【根据当天日期输出明天的日期(需对闰年做判定)。】2022-5-15
缘由根据当天日期输出明天的日期(需对闰年做判定)。日期类型结构体如下: struct data{ int year; int month; int day;};-编程语言-CSDN问答 struct mdata{ int year; int month; int day; }mdata; int 天数(int year, int month) {switch (month){case 1: case 3:…...
mongodb源码分析session执行handleRequest命令find过程
mongo/transport/service_state_machine.cpp已经分析startSession创建ASIOSession过程,并且验证connection是否超过限制ASIOSession和connection是循环接受客户端命令,把数据流转换成Message,状态转变流程是:State::Created 》 St…...
pam_env.so模块配置解析
在PAM(Pluggable Authentication Modules)配置中, /etc/pam.d/su 文件相关配置含义如下: 配置解析 auth required pam_env.so1. 字段分解 字段值说明模块类型auth认证类模块,负责验证用户身份&am…...
Unit 1 深度强化学习简介
Deep RL Course ——Unit 1 Introduction 从理论和实践层面深入学习深度强化学习。学会使用知名的深度强化学习库,例如 Stable Baselines3、RL Baselines3 Zoo、Sample Factory 和 CleanRL。在独特的环境中训练智能体,比如 SnowballFight、Huggy the Do…...
AI,如何重构理解、匹配与决策?
AI 时代,我们如何理解消费? 作者|王彬 封面|Unplash 人们通过信息理解世界。 曾几何时,PC 与移动互联网重塑了人们的购物路径:信息变得唾手可得,商品决策变得高度依赖内容。 但 AI 时代的来…...
HashMap中的put方法执行流程(流程图)
1 put操作整体流程 HashMap 的 put 操作是其最核心的功能之一。在 JDK 1.8 及以后版本中,其主要逻辑封装在 putVal 这个内部方法中。整个过程大致如下: 初始判断与哈希计算: 首先,putVal 方法会检查当前的 table(也就…...
【Android】Android 开发 ADB 常用指令
查看当前连接的设备 adb devices 连接设备 adb connect 设备IP 断开已连接的设备 adb disconnect 设备IP 安装应用 adb install 安装包的路径 卸载应用 adb uninstall 应用包名 查看已安装的应用包名 adb shell pm list packages 查看已安装的第三方应用包名 adb shell pm list…...