資源描述:
《網(wǎng)吧(小型企業(yè))出口網(wǎng)關(guān)舉例》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、網(wǎng)吧(小型企業(yè))出口網(wǎng)關(guān)舉例USG作為網(wǎng)吧或小型企業(yè)出口網(wǎng)關(guān)可以通過兩個出接口連接到Internet,實(shí)現(xiàn)負(fù)載分擔(dān)。還可以對內(nèi)網(wǎng)的每個用戶進(jìn)行流量限制,對網(wǎng)絡(luò)流量進(jìn)行審計,并保護(hù)內(nèi)網(wǎng)不受網(wǎng)絡(luò)攻擊。組網(wǎng)需求某網(wǎng)吧通過USG連接到Internet,組網(wǎng)情況如下:·網(wǎng)吧有100臺PC和2臺服務(wù)器。2臺服務(wù)器分別提供網(wǎng)頁訪問和下載服務(wù)?!ぞW(wǎng)吧的總帶寬是2*100M,從運(yùn)營商處申請了兩個IP地址(200.1.1.1和200.1.2.3),并且通過兩個出接口連接到Internet(運(yùn)營商提供了兩個接入點(diǎn):200.1.1.2和200.1.2.4)?!NS服務(wù)器的IP地址為202.111.80.1
2、06。該網(wǎng)絡(luò)需要實(shí)現(xiàn)以下需求:·網(wǎng)吧去往Internet的流量通過兩個出接口轉(zhuǎn)發(fā),實(shí)現(xiàn)流量的負(fù)載分擔(dān)。·網(wǎng)吧的用戶和外網(wǎng)用戶能夠訪問網(wǎng)吧的服務(wù)器。·為了保證網(wǎng)吧正常運(yùn)行,需要對每臺PC進(jìn)行限速?!ぴ诓恢袛鄻I(yè)務(wù)的前提下可以精確分析網(wǎng)絡(luò)流量,用于相關(guān)部門進(jìn)行審計?!し乐咕W(wǎng)吧受到SYNFlood攻擊和ARP攻擊。網(wǎng)絡(luò)規(guī)劃根據(jù)網(wǎng)吧的網(wǎng)絡(luò)情況和需求,網(wǎng)絡(luò)規(guī)劃如下:·將100臺PC部署在Trust區(qū)域,將服務(wù)器部署在DMZ區(qū)域。將連接Internet的接口分別加入Untrust和Untrust1區(qū)域。·為了實(shí)現(xiàn)網(wǎng)吧用戶使用有限公網(wǎng)IP地址接入Internet,需要配置NAPT方式的NAT,借助端
3、口將多個私網(wǎng)IP地址轉(zhuǎn)換為有限的公網(wǎng)IP地址。由于網(wǎng)吧有兩個接口連接到Internet,并且只有兩個IP地址。因此這兩個IP地址既要做出接口的IP地址又要做NAT轉(zhuǎn)換后的公網(wǎng)IP地址。即分別在Trust—Untrust域間、Trust—Untrust1域間配置NAToutbound,且各自使用出接口的IP地址作為NAT地址池的地址?!榱藢?shí)現(xiàn)出接口流量的負(fù)載分擔(dān),需要配置兩條缺省路由,下一跳分別指向運(yùn)營商提供的接入點(diǎn),并且需要配置相同的優(yōu)先級?!び捎诰W(wǎng)吧的服務(wù)器部署在內(nèi)網(wǎng),其IP地址為私網(wǎng)IP地址。外網(wǎng)用戶如果想訪問,需要將私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址。即分別基于Untrust、U
4、ntrust1區(qū)域配置NATServer。由于IP地址有限,可以使用出接口IP地址作為NATServer的公網(wǎng)IP地址,并且使用端口號區(qū)分Web服務(wù)器和FTP服務(wù)器?!ぞW(wǎng)吧的總帶寬是200M且有100臺PC,為了保證網(wǎng)吧正常運(yùn)行,需要配置IP-CAR限制每個用戶的上傳報文流量和下載報文流量為1M?!榱嗽诓恢袛鄻I(yè)務(wù)的前提下可以精確分析網(wǎng)絡(luò)流量,需要配置端口鏡像功能。·為了防止網(wǎng)吧受到SYNFlood攻擊和ARP攻擊,需要啟用攻擊防范功能,并將網(wǎng)吧PC的IP地址和MAC地址綁定。網(wǎng)絡(luò)規(guī)劃后的組網(wǎng)圖如圖1所示。圖1網(wǎng)絡(luò)規(guī)劃后組網(wǎng)圖項(xiàng)目數(shù)據(jù)說明(1)接口號:GigabitEthernet0
5、/0/0GigabitEthernet0/0/0是連接內(nèi)網(wǎng)的接口。IP地址:192.168.0.1/24安全區(qū)域:Trust100臺PC分配到網(wǎng)段為192.168.0.0/24的私網(wǎng)IP地址,部署在Trust區(qū)域。(2)接口號:GigabitEthernet0/0/1IP地址:10.1.1.1/24安全區(qū)域:DMZGigabitEthernet0/0/1是連接服務(wù)器的接口。服務(wù)器部署在DMZ區(qū)域。(3)接口號:GigabitEthernet0/0/2IP地址:200.1.1.1/24安全區(qū)域:Untrust網(wǎng)吧去往Internet的流量通過GigabitEthernet0/0/2和G
6、igabitEthernet5/0/0兩個出接口轉(zhuǎn)發(fā),實(shí)現(xiàn)逐流的負(fù)載分擔(dān)。(4)接口號:GigabitEthernet5/0/0IP地址:200.1.2.3/24安全區(qū)域:Untrust1安全優(yōu)先級:10網(wǎng)吧去往Internet的流量通過GigabitEthernet0/0/2和GigabitEthernet5/0/0兩個出接口轉(zhuǎn)發(fā),實(shí)現(xiàn)逐流的負(fù)載分擔(dān)。(5)接口號:GigabitEthernet6/0/0IP地址:172.16.1.1/24安全區(qū)域:TrustGigabitEthernet6/0/0是用于進(jìn)行流量審計的端口,端口鏡像的觀測端口。Web服務(wù)器內(nèi)網(wǎng)IP:10.1.1.5
7、轉(zhuǎn)換后的基于Untrust區(qū)域的IP地址:200.1.1.1轉(zhuǎn)換后的基于Untrust1區(qū)域的IP地址:200.1.2.3外網(wǎng)用戶能夠通過200.1.1.1或200.1.2.3訪問網(wǎng)吧的Web服務(wù)器,端口號為80。端口號:80FTP服務(wù)器內(nèi)網(wǎng)IP:10.1.1.10轉(zhuǎn)換后的基于Untrust區(qū)域的IP地址:200.1.1.1轉(zhuǎn)換后的基于Untrust1區(qū)域的IP地址:200.1.2.3端口號:21外網(wǎng)用戶能夠通過200.1.1.1或200.1.2.3訪問網(wǎng)