航天信息公司网络规划与设计方案

湖南商务职业技术学院毕业设计

目录

1引言............................................................................................................................1

2需求分析....................................................................................................................1

3网络规划设计.............................................................................................................2

3.1层次化设计的意义..........................................................................................2

3.2网络逻辑拓扑图.............................................................................................2

3.3网络拓扑设计..................................................................................................3

3.1.1接入层设计...........................................................................................3

3.1.2接入层设备选型..................................................................................3

3.1.3汇聚层设计...........................................................................................4

3.1.4汇聚层设备选型...................................................................................4

3.1.5核心层设计...........................................................................................5

3.1.6核心层设备选型...................................................................................5

3.4地址划分以及VLAN划分............................................................................6

3.4.1设备地址划分......................................................................................6

3.4.2部门VLAN划分..................................................................................7

4企业网络安全设计.....................................................................................................7

4.1DHCP欺骗......................................................................................................7

4.1.1DHCP欺骗的原理以及危害...............................................................7

4.1.3DHCPSnooping....................................................................................8

4.2ARP欺骗.........................................................................................................8

4.2.1ARP欺骗原理.....................................................................................8

4.2.3接口下配置IP报文检查和动态ARP检测......................................8

4.3DDOS攻击......................................................................................................8

4.3.1DDOS攻击的原理以及为危害..........................................................8

4.3.2DDOS的应对方法...............................................................................9

4.4双机热备技术.................................................................................................9

5设备配置与测试.........................................................................................................9

I

湖南商务职业技术学院毕业设计

5.1接入层.............................................................................................................9

5.1.1接入层交换机VLAN的配置.............................................................9

5.1.2汇聚层交换机VLAN的配置...........................................................10

5.1.3接入层安全配置.................................................................................10

5.2汇聚层............................................................................................................11

5.2.1汇聚层交换机VRRP配置................................................................11

5.2.2DHCP配置.........................................................................................11

5.3核心层...........................................................................................................12

5.3.1防火墙双机热备技术配置................................................................12

5.3.2安全区域配置以及防火墙安全策略................................................14

5.3.2NAT配置............................................................................................15

5.3.4IPSEC配置.........................................................................................15

5.3.5OSPF配置..........................................................................................17

5.4测试................................................................................................................18

5.4.1NAT测试............................................................................................18

5.4.2防火墙双机热备测试.........................................................................18

5.4.3IPsec测试..........................................................................................20

6网络性能调优...........................................................................................................20

6.1VLAN优化....................................................................................................20

6.2DHCP优化....................................................................................................21

6.3MSTP优化....................................................................................................22

6.4OSPF优化.....................................................................................................22

7设计小结...................................................................................................................23

参考文献......................................................................................................................24

II

湖南商务职业技术学院毕业设计

航天信息公司网络规划与设计方案

1引言

近年来，很多企业的蓬勃发展不仅缓解了社会上的就业压力同时有给国家带

来的经济的增长。而计算机网络则在各个企业都扮演着十分重要的角色，无论是

企业员工之间的信息沟通、财务的应用还是网络会议都非常依赖计算机网络。构

建一个可靠安全的企业网络已经是不可或缺的。一个可靠安全的企业网络可以带

给企业以下收益：

（1）可以有效的提高企业的工作效率以及降低平时办公的额外开销。

（2）可以让企业更加清楚外界的变化以调整自身来获取更多的利润。

（3）增强企业的形象，可以让更多的人了解企业综合实力。同时可以扩大

市场，挖掘新的客户。

（4）可以有效的抵挡外部或者内部网络的入侵和威胁。

航天信息公司是一家业务范围是网络的基础建设、移动网络等新型业务开发

与支持的现代化企业，为了让航天信息公司在如今信息技术作为企业经济发展的

其中一个重要方法的浪潮之中也有一定的立足之地。借助本次设计希望可以把航

天信息公司的网络可以打造成实用、安全可靠、可以拓展的网络。

2需求分析

航天信息公司是一家服务于信息化网络的基础建设以及移动互联网等业务

的开发与支撑的现代化信息科技企业，该公司的基本机构主要是人事、财务、项

目、市场以及IDC机房的维护部门。为了满足航天信息公司的需求我们做出以

下分析。

采取千兆网络可以满足航天信息公司平时访问网页以及视频会议等要求网

络高速稳定的业务。

为了防止企业网络受到网络攻击而遭受到损失，在本次设计中将会在网络架

构的出口位置部署防火墙。

根据接入层、汇聚层、核心层三层各层的特点选取设备提高各个层次的实用

性，减少不必要的浪费。

在为了保证公司能在遭受到人或者自然的因素破坏时能正常运行，在关键的

节点采取冗余设计。

在企业内部中部署一个FTP服务器可以方便员工获取企业的文件。

由于维护部部门的企业办公的地点并不是在企业的内部而是在与设立有一

1

湖南商务职业技术学院毕业设计

定的地方为了方便员工能够获得相关的服务所以采用Ipsecvpn。

3网络规划设计

3.1层次化设计的意义

本次对航天信息公司网络设计采用层次化模型进行设计，把网络的逻辑拓扑

分为接入层、汇聚层和核心层三层设计。层次化的设计可以有效的降低企业建设

网络成本，每个层次可以根据自身的特性采取不同的网络设备。每个层次各司其

职可以最大化的减少网络宽带的浪费。层次化设计使得网络的改变更加容易当网

络的某一处地方需要改变的时候，对网络的整体改变并不大。

3.2网络逻辑拓扑图

核心层

汇聚层

接入层

图1航天信息公司网络拓扑

航天信息公司网络拓扑如图1所示，网络逻辑拓扑图是用来描述企业网络中

各个网络设备之间的连接关系和数据流动路径的图示。在设计网络逻辑拓扑图时，

需要考虑网络层次结构、设备之间的物理连接、数据流动的路径以及网络安全策

略等因素。

在该网络中，采用分层设计的网络结构，包括接入层、汇聚层、核心层。接

2

湖南商务职业技术学院毕业设计

入层设计负责连接终端设备，提供局域网接入；汇聚层负责汇集多个接入层的流

量，提供数据交换和转发功能；核心层则负责处理大量的数据流量和路由转发，

是整个网络的核心。通过网络逻辑拓扑图，管理员可以直观地了解整个网络的结

构和数据流动路径，便于进行网络优化、故障排除和安全管理。同时，它也是沟

通和交流的重要工具，可以帮助各个部门和技术人员更好地理解和协作。

3.3网络拓扑设计

3.1.1接入层设计

接入层作为企业网络的边界，为企业用户各种提供接入的方式也是客户接入

网络的第一层。所以在设计的时候要保证接入层可以扩展以及要简化接入层的网

络的部署和管理。由于接入层交换机的数量并不是简单的一个，所以要考虑到接

入层交换机的工作模式。接入层交换机的工作模式有两种，分别是独立模式以及

堆叠模式，独立模式中的交换机各个独立开来，相互之间不存在依赖的关系。它

具有以下优点：

1.设备独立工作，节点故障互不影响，扩容方便。

2.兼容性好，不同类型设置可以共存。

3.对设备要求不高，支持标准协议即可。在接入层上行组网中每一台接入层

的交换机采取单上行的办法，单上行可以降低网络的复杂层度以便更容易管理。

3.1.2接入层设备选型

为了保证企业网络设计的实用性和经济性的原则在为接入层选取设备的时

候通常选用与下行端口的速率和PC终端网卡的速率是否匹配。计算机网卡类型

有十兆以太网卡、百兆以太网卡、百兆与千兆的自适应网卡、千兆以太网卡以及

万兆网卡五种。而在本次设计当中，企业内部网络的PC终端多数都为百兆网卡，

为了让交换机的下行速率能与PC终端网卡的速率匹配这个原则，所以选用华为

的S3700系列的以太网交换机。如图2所示。

图2S3700-28TP-SI-AC交换机

这款交换机的定位是在企业网络的接入或者汇聚层，这款交换机提供接入、

3

湖南商务职业技术学院毕业设计

汇聚以及传送等功能。同时，S3700交换机还提供丰富的ACL策略等安全措施，

有效的防止恶意用户的攻击。所以本次在接入层中的设计采用S3700-28TP-SI-

AC这一款交换机，这一款交换机支持4K个Vlan、支持基于MAC和IP子网等

VLAN，以及各种以太网接口，具体技术参数如表1所示。

表1快速以太网交换机

产品类型快速以太网交换机

传输速率10/100Mbps

端口描述24个10/100Base-TX端口，2个1000Base-XSFP端口，2个千兆Combo口

VLAN支持4K个VLAN支持基于MAC/协议/IP子网的VLAN

3.1.3汇聚层设计

汇聚层是企业网络接入层与核心主干网之间的分界线。汇聚层通常用作转发

部门之间的各个用户实现通信，同时也提供企业网络内部中的用户可以把流量发

送到核心层路径。汇聚层的存在使得核心层对于接入层来说实现了透明的作用。

汇聚层可以将大量用户接入到企业网骨干网络中，同时，汇聚层也有可能作为部

门或区域内部的交换核心，实现与区域或部门专用服务器区的连接。在为汇聚层

的网络进行设计的时候应当要考虑到网络的可靠性以及要根据企业部门的不同

性质对企业的部门进行隔离，为了保证让企业的网络能够提高可靠性所以在对汇

聚层的交换机进行设计的时候采取采用VRRP的办法当主交换机出现故障的时

候能切换至备用的交换机，同时在汇聚层的交换机上行到防火墙的这段链路之中，

作为核心层的防火墙采取双机热备的方式去进行部署，防火墙采取双机热备可以

很大方面的提高企业的安全性从而减少恶意流量的入侵。

3.1.4汇聚层设备选型

本次网络的汇聚层有汇聚层交换机组成，在选择汇聚层交换机的时候要考虑

到汇聚层交换机下行端口速率要与接入层的交换机的上行链路速率相匹配，同时

要选着上行速率较高的交换机以减少上行链路的数量。所以在本次设计中选择

S5700系列的交换机作为汇聚层的交换机，S5700支持完善的各种类型的攻击防

范（DoS类和用户类）。所以在本次设计当中采取了华为S5700系列交换机当中

型号为S5720S-28P-LI-AC的交换机，如图3所示。

图3S5720S-28P-LI-AC交换机

4

湖南商务职业技术学院毕业设计

这款交换机端口数量为24个以太网端口，可以很好的应对以后企业网络扩

大，具有4K个VLAN以及支持各种VLAN如mac或者IP子网等，以及在QOS

功能的支持方面也提供了报文的速率限制以及各种包过滤，假若以后企业需要实

现汇聚层需要实现堆叠功能，该交换机具有istack堆叠的功能。具体技术参数如

表2所示。

表2千兆以太网交换机

产品类型千兆以太网交换机

传输速率10/100/1000Mbps

交换机端口24个10/100/1000Base-T以太网端口、4个千兆SFP

VLAN支持4K个VLAN支持基于MAC/协议/IP子网/策略/端口的VLAN

3.1.5核心层设计

核心层是整个企业网络的骨干部分承担着企业内部网络流量的高速转发的

业务，为了要保证企业网络的能够高速和稳定就要考虑到核心层的可靠性和稳定

性。本次设计的核心层由防火墙，防火墙为企业内部的网络提供安全的保障，再

设计防火墙的时候为了保障核心层不会因为自然或者人为的因素而导致企业内

部的网络受到影响所以再设计的时候采取了双机热备的方式去提高核心层的稳

定性从而对企业的网络有了保障。在企业网络的边界配置边界路由是为了让企业

的路由会有更加高的转发效率。

3.1.6核心层设备选型

因为在本次设计当中为了减少设计购置成本的预算，所以用USG6660的防

火墙为核心层的设备，如图4所示。

图4USG6660防火墙

USG6660的防火墙具有安全、路由以及VPN等功能，而且作为防火墙它具

有多种用户认证、全面的位置威胁防护等功能是一个十分出色设备。所以

USG6660不仅给企业内部的网络提供了安全的保障也提供了交换机的功能。提

供多个固定千兆以太网口，并拥有丰富的扩展能力，支持多种接口卡其中包括万

5

湖南商务职业技术学院毕业设计

兆以太网接口卡。具体技术参数如表3所示。

表3下一代防火墙

防火墙类型下一代防火墙

固定接口2×10GE+8GE+8SFP

每秒连接数350000新建连接数

路由特性全面支持IPV4/IPV6下的多种路由协议

VPN加密支持丰富高可靠性的VPN特性，如IPSecVPN

3.4地址划分以及VLAN划分

3.4.1设备地址划分

本项目的设备地址划分，如表4所示。

表4设备地址划分

设备名称设备端口IP地址/子网掩码

Vlanif1054/24

Vlanif2054/24

SwitchA

Vlanif3054/24

Vlanif4054/24

Vlanif1053/24

Vlanif1154/24

SwitchBVlanif2053/24

Vlanif3053/24

Vlanif40192.1684.253/24

G0/0/0.10/24

G0/0/0.20/24

G0/0/0.30/24

FW3

G0/0/0.40/24

G1/0/1/24

G1/0/0/24

G0/0/0.10/24

G0/0/0.20192.168.22/24

G0/0/0.30/24

FW4

G0/0/0.40/24

G1/0/1/24

G1/0/0/24

G0/0/1/24

USG-1

G0/0/2/24

USG-2G0/0/154/24

6

湖南商务职业技术学院毕业设计

设备名称设备端口IP地址/子网掩码

G0/0/0/24

G0/0/0/24

AR1G0/0/1/24

G0/0/2/24

G0/0/0/24

AR2G0/0/1/24

G0/0/2/24

G0/0/1/24

AR3

G0/0/0/24

G0/0/0/24

AR4

G0/0/1/24

3.4.2部门VLAN划分

本项目的部门VLAN划分，如表5所示。

表5部门VLAN划分

部门Vlan

人事部Vlan10

财务部Vlan20

市场部Vlan30

项目部Vlan40

4企业网络安全设计

计算机网络技术在当今世界飞速发展带来给人们极大便利的同时也产生了

很多有关网络安全的问题。这些安全问题如果处理不当则会让企业遭受巨大的损

失。在本次设计当中将会在接入层的交换机之中采用DHCPSnooping技术和采

用ARP动态检查的方式去应对DHCP欺骗和ARP欺骗，以及为了保证核心层的

防火墙不会因为单点故障而导致企业网络受到影响所以在防火墙的位置采用双

机热备技术。

4.1DHCP欺骗

4.1.1DHCP欺骗的原理以及危害

由DHCP的工作原理我们可以知道，PC终端每次获取IP地址的时候都是通

过广播发送discover报文去寻找DHCP服务器的，并且PC终端只接收第一个到

达的服务器配置参数，假如接受了一台没有获得授权的DHCP服务器的时候，

那么PC终端获得的参数也是没有授权的，这就可以说是PC终端受到攻击了。

7

湖南商务职业技术学院毕业设计

攻击者可以通过制造大量假的IP请求包去消耗服务器的资源使得合法的计算机

无法正常获取IP。

4.1.3DHCPSnooping

在华为的交换机上开启DHCPSnooping功能可以有效解决DHCP欺骗的问

题，DHCPSnooping可以把交换机的端口配置成为信任接口或者非信任接口。信

任接口正常转发接收到的DHCP报文，非信任接口则是把收到的DHCP报文丢

弃。

4.2ARP欺骗

4.2.1ARP欺骗原理

IP地址的存在是为了解决计算机用物理地址交流的复杂，ARP协议的存在

是为了解决IP地址转换为MAC地址。而ARP欺骗是攻击者通过假冒网关把受

害主机要发向特定IP地址的流量被攻击者所截取。arp欺骗中攻击者可以篡改流

量之后再发送给受害主机索要发向的特定IP地址，如果不对arp欺骗采取有效

的防护方法会对两台需要通信的主机产生比较大的影响。

4.2.3接口下配置IP报文检查和动态ARP检测

为了抵御中间人攻击，避免了合法用户数据被盗取，设备会把收到的ARP

报文中的一些信息和设备中的绑定表进行对比，如果ARP中的信息和绑定表中

的信息是一样的则允许该报文通过，否则就认为是攻击，丢弃该ARP报文。

4.3DDOS攻击

4.3.1DDOS攻击的原理以及为危害

DDOS攻击又称为分布式拒绝服务攻击，因为DDOS相对于其它的攻击手

段技术要求以及攻击成本都比较低，而且攻击的速度非常快和攻击效果的可视使

得DDOS成为了很多黑客的手中的一把利剑。DDOS攻击有三种类型，分别是

资源消耗类攻击、服务器消耗性攻击、反射类攻击以及混合类攻击。其中最典型

的攻击则是资源消耗类攻击，黑客通过发送大量的请求去消耗宽带和协议栈处理

资源的能力，从而导致服务器正常工作。DDOS的攻击会造成企业网络里面的业

务无法正常运行导致使得企业遭受到不必要的损失。同时，还会为企业带来一些

不必要的社会舆论导致企业的名声遭受到损坏。

8

湖南商务职业技术学院毕业设计

4.3.2DDOS的应对方法

由于DDOS攻击是大多数非法入侵者的一把利剑而且由于DDOS的攻击对

企业的威胁也比较大，所以在应对DDOS攻击中，网络管理员可以通过定时扫

描漏洞提高企业网络的安全性，同时在部署服务器的地方部署防火墙，可以关闭

不必要的服务端口以及检查访客的IP地址是否为真实的。

4.4双机热备技术

在传统的网络之中，通常只有一台防火墙部署在网络的出口位置，但是当网

络中的防火墙出现问题的时候，内部网络会因为无法与作为网络的网关的防火墙

惊醒同行而导致与外网的通讯中断，通讯的可靠性就无法保证。一旦网络产生中

断会对企业产生比较大的影响。所以双机热备的技术便应运而生。当两台防火墙

部署在网络的出口位置的时候即便当其中的一台防火墙出现了故障也能切换到

另一台防火墙之上从而保障了企业网络之间得通讯畅通。在双机热备技术当中为

了让链路的切换更加可靠更加快捷，则推出了VRRP（虚拟冗余路由协议）来进

行。VRRP是一种基本的容错协议，VRRP有三个重要的组成部分，主路由器

（master），备路由器（backup）以及备份组。备份组当中的设备整合在一起并

且拥有一个虚拟IP作为网关，而且只有一台设备设为master其它的则为backup

当master初选故障后则会切换至backup的其中一台设备上继续进行通信。

5设备配置与测试

5.1接入层

接入层是企业网络的边界负责连接企业终端进入企业网络的一个重要层次。

5.1.1接入层交换机VLAN的配置

对不同部门进行更加细致的划分，可以提高网络的安全性和可管理性。根据

航天信息公司的实际情况，可以将人事部、财务部、项目部、市场部等4个部门

分别划分为4个VLAN。在接入层交换机VLAN配置当中，将PC相连的端口设

置为ACCESS端口，并设置该部门所规划好的VLAN。在汇聚层交换机和核心

层交换机上配置相应的VLAN信息，确保各个VLAN之间的通信正常。VLAN

又称为虚拟局域网可一根据跟个部门的需要把公司的局域网划分开来而且能有

效的抵御广播风暴。通过对该企业的分析，本次设计把航天信息公司网络的4个

部门（人事部、财务部、项目部、市场部）分为4个VLAN由于维护部门的业

9

湖南商务职业技术学院毕业设计

务的特殊性质，所以没有建设在企业的内部网络中，所以它工作的业务要通过其

它方式进入内网进行交流。在接入层交换机VLAN配置当中把LSW1交换机的

Ethernet0/0/1，LSW2交换机的Ethernet0/0/1等于PC相连的的端口设置为

ACCESS端口而且设置该部门所规划好的VLAN。而接入层交换机与汇聚层交换

机相连的端口中把LSW1的Ethernet0/0/2，LSW2交换机的Ethernet0/0/2，LSW3

的Ethernet0/0/2，LSW4的Ethernet0/0/2这四个端口类型类型设为TRUNK并且

同时SwitchA交换机的下行端口也设为TRUNK并且允许相应部门的VLAN通

过实现设备之间的通讯。部分配置如图5所示。

图5LSW1access以及trunk配置

5.1.2汇聚层交换机VLAN的配置

在VLAN配置中为了让接入层中各个部门的流量能顺的进入汇聚层，所以

在与接入层相连的端口应当配置允许该部门的VLAN，因为三层交换机无法隔离

各个部门之间的VLAN横向流量的交流所以在特定的部门下采取了端口隔离的

设置。同时会了保证各个部门的终端能进入核心层在汇聚层与核心层的上行配置

部分应当允许VLAN的进入。部分配置如图6和图7所示。

图6SWITHCAge0/0/1端口配置

图7SWITHCAge0/0/4端口配置

5.1.3接入层安全配置

由于网络技术的发展越来越来发达，安全问题也随之浮出水面为了保障企业

内部网络用户的安全，所以在接入层当中设计了DHCPSNOOP技术以及配置了

动态报文检测以及ARP动态检测。其配置如图8所示。

10

湖南商务职业技术学院毕业设计

图8LSW1配置

5.2汇聚层

汇聚层企业网络接入层和核心主干网的网络分界线，在汇聚层当中主要负责

互相转发各个部门之间的流量以及提供每个部门到核心层的流量。

5.2.1汇聚层交换机VRRP配置

为了避免企业中的网络因为单点故障而遭受到影响，在对外网络的汇聚层进

行设计的时候采用了VRRP设计，把SwitchA交换机设计为主设备，SwitchB交

换机设计为备设备同时在追踪SwitchA上连到防火墙的借口，当该接口为断开的

时候，则降低优先值，部分配置如图9、图10所示。

图9SwitchA交换机VRRP配置

图10SwitchB交换机VRRP配置

5.2.2DHCP配置

如果企业网中的终端想要在企业网中进行通信的话，首要条件是要为该终端

配置一个IP鉴于手动配置IP工作的繁琐所以采取DHCP技术，而在汇聚层中的

交换机的SwitchA和SwitchB交换机中设置DHCP技术能保证汇聚层以下的设

备即使是在核心层中出现故障也能正常运行从而降低企业的损失。在汇聚层设置

DHCP首先要在地址池设置一个与接入层相接的端口作为网关，又因为交换机的

端口不能直接配置IP地址，所以只能采取vlanif的方法去对地址池的网关进行

配置,然后根据企业的需要合理的分配IP地址到每个部门当中去以达到每个终端

11

湖南商务职业技术学院毕业设计

能正常上网。部分配置如下。

配置vlanif10

ipaddress54

配置地址池

gateway-list54

networkmask//人事部的IP地址池

leaseday30hour0minute0

dns-list

5.3核心层

核心层作为企业网的核心枢纽，核心层的作用是处理企业内部网络的纵向流

量。但是是在本次设计当中为了实现设计的经济性仅仅采用了防火墙当做企业网

络的核心层从而减少了企业建设网络的成本。

5.3.1防火墙双机热备技术配置

在航天信息公司企业网的主要办公的区域的核心层部分采用了USG6000V

系列的防火墙，可以有效地提高网络的安全性。同时防火墙作为企业网络内部的

出口要保证好企业网络出口的可靠性。不能因为设备的宕机等原因而导致企业的

业务中断，所以在防火墙的位置配置主备备份的双机热备技术，可以有效的提高

企业网络的可靠性。

在对防火墙进行双机热备进行设计的时候采用的是华为USG6000V的防火

墙，在设计中先要为防火墙与交换机相连的接口当中创建子接口并且设置dot1q

为所需要的VLAN进行封装使得汇聚层的交换机能与核心层的防火墙能进行通

讯，同时在防火墙上配置备份组，根据一开始的设计计划把FW3防火墙设计为

主设备（master），FW4设计为备用设备（backup），在FW3和FW4这两个防

火墙的G1/0/1端口中设计HRP（心跳线）,HRP可以把主防火墙上的主要配置向

备防火墙上实现同步。部分配置如下。

FW3配置

1、HRP配置

心跳线配置

hrpenable

hrpinterfaceGigabitEthernet1/0/1remote

hrpmirrorsessionenable

心跳线所在端口配置

12

湖南商务职业技术学院毕业设计

hrptrackip-linktrackinterfaceGigabitEthernet1/0/1

undoshutdown

ipaddress

2、VRRP配置

FW3的VRRP配置如图11所示。

图11FW3VRRP配置

FW4配置

1、HRP配置

hrpenable

hrpinterfaceGigabitEthernet1/0/0remote

hrppreemptdelay10

心跳线端口配置

interfaceGigabitEthernet1/0/1

undoshutdown

ipaddress

2、VRRP配置

FW4的VRRP配置如图12所示。

13

湖南商务职业技术学院毕业设计

图12FW4VRRP配置

5.3.2安全区域配置以及防火墙安全策略

为了保障企业网络内部用户的安全可以通过在防火墙的端口划分进入不同

等级的安全区域，根据企业的网络需求进行安全策略的配置使得不同区域的网络

能够进行互相通讯，在这次设计当中我把防火墙与企业内部网络相连接的端口划

分为TRUST端口把与外界网络相连的端口划分为UNTRUST口，并且通过安全

策略允许TRUST区域的用户可以与UNTRUST区域通信使得企业网络能够正常

与外网通讯。部分配置如下。

安全区域的划分配置如图13所示。

图13安全区域划分

防火墙安全策略配置如图14所示。

14

湖南商务职业技术学院毕业设计

图14安全策略配置

5.3.2NAT配置

企业网内部中的一些业务需求是要访问外网的话则是要用到公网的IP地址

才能在公网进行通讯，由于航天信息公司申请到的公网IP地址并不多，所以要

通过网络地址转换的办法才能使得内网的用户能够正常的与公网进行通讯。采用

easyip这个NAT技术可以仅仅使用一个公网IP地址就可以与大量的内网IP地

址进行转换。部分配置如图15所示。

图15easyip配置

5.3.4IPSEC配置

由于维护部门业务需求的特殊性质，他的部门并没有建设在航天信息公司的

主要办公区域当中而是建立在别的地方，而为了提高服务器的安全性，所以为服

务器单独分配了一个防火墙以提升其的安全性。但是为了让维护部门也能访问到

企业内网的服务器则需要通过它们之间的数据流进行保护，所以在这两者之间通

过采用IPSEC的配置提高数据的保密性和安全性，IPsec部分配置如下。

1、USG-1防火墙配置

阶段一：

[USG-1]ikeproposal1

[USG-1-ike-proposal-1]authentication-methodpre-share

[USG-1-ike-proposal-1]authentication-algorithmsha1

15

湖南商务职业技术学院毕业设计

[USG-1-ike-proposal-1]integrity-algorithmaes-xcbc-96

[USG-1-ike-proposal-1]dhgroup2

[USG-1-ike-proposal-1]quit

[USG-1]ikepeerUSG-2

[USG-1-ike-peer-usg-2]pre-shared-keyabc123

[USG-1-ike-peer-usg-2]remote-address

[USG-1-ike-peer-usg-2]ike-proposal1

[USG-1-ike-peer-usg-2]quit

阶段二：

[USG-1]ipsecproposaltest

[USG-1-ipsec-proposal-test]encapsulation-modetunnel

[USG-1-ipsec-proposal-test]transformesp

[USG-1-ipsec-proposal-test]espencryption-algorithmaes

[USG-1-ipsec-proposal-test]espauthentication-algorithmsha1

[USG-1-ipsec-proposal-test]quit

[USG-1]acl3000

[USG-1-acl-adv-3000]rulepermitipsource55destination

55

[USG-1]ipsecpolicymap1isakmp

[USG-1-ipsec-policy-isakmp-map-1]ike-peerUSG-2

[USG-1-ipsec-policy-isakmp-map-1]proposaltest

[USG-1-ipsec-policy-isakmp-map-1]securityacl3000

[USG-1-ipsec-policy-isakmp-map-1]quit

[USG-1]intg0/0/0

[USG-1-GigabitEthernet0/0/0]ipsecpolicymap

2、USG-2IPsec配置

[USG-2]ikeproposal1

[USG-2-ike-proposal-1]authentication-methodpre-share

[USG-2-ike-proposal-1]authentication-algorithmsha1

[USG-2-ike-proposal-1]integrity-algorithmaes-xcbc-96

[USG-2-ike-proposal-1]dhgroup2

[USG-2-ike-proposal-1]quit

16

湖南商务职业技术学院毕业设计

[USG-2]ikepeerUSG-A

[USG-2-ike-peer-usg-a]pre-shared-keyabc123

[USG-2-ike-peer-usg-a]ike-proposal1

[USG-2-ike-peer-usg-a]remote-address

[USG-2-ike-peer-usg-a]quit

[USG-2]ipsecproposaltest

[USG-2-ipsec-proposal-test]encapsulation-modetunnel

[USG-2-ipsec-proposal-test]transformesp

[USG-2-ipsec-proposal-test]espencryption-algorithmaes

[USG-2-ipsec-proposal-test]espauthentication-algorithmsha1

[USG-2-ipsec-proposal-test]quit

[USG-2]acl3000

[USG-2-acl-adv-3000]rulepermitipsource55destination

55

[USG-2-acl-adv-3000]quit

[USG-2]ipsecpolicymap1isakmp

[USG-2-ipsec-policy-isakmp-map-1]ike-peerUSG-A

[USG-2-ipsec-policy-isakmp-map-1]proposaltest

[USG-2-ipsec-policy-isakmp-map-1]securityacl3000

[USG-2-ipsec-policy-isakmp-map-1]quit

[USG-2]intg0/0/0

[USG-2-GigabitEthernet0/0/0]ipsecpolicymap

5.3.5OSPF配置

在AR1,AR2,AR3,FW3,FW4以及switchB部署OSPF可以让内网的用户可以

正常的通讯，部分配置如图16所示。

图16AR2OSPF配置

17

湖南商务职业技术学院毕业设计

5.4测试

5.4.1NAT测试

企业内网的用户需要访问外网的时候，防火墙会通过EasyIP技术把私网中

的IP地址变为企业所配到的公网IP地址。测试结果如图17所示。

图17NAT地址转换会话

ping防火墙出接口，捕获的数据包，如图18所示。