【《EVE环境下的多厂商设备网络设计》8100字（论文）】

目录[15]。为了提升数据中心的安全管理能力会单独建立运维管理区域，通过该区域对整个数据中心资源进行灵活管理和安全控制。在该区域部署堡垒机（运维审计设备）来达到运维管理统一入口、责任事故清晰溯源的目的。3.4网络环境准备本次实验网络搭建主要通过EVE-NG环境完成。使用华为、思科等厂商的设备进行搭建。并使用辅助工具进行实验的测试、数据分析。第四章网络设计第四章网络设计4.1网络拓扑及简介本实验整体网络如图4.1.1所示，使用的网络架构为最为稳定的三层网络架构，整体网络分为核心层、接入层。其中核心层网络数据传输量最为庞大，采用万兆线路。在核心层重要链路采取链路聚合、双链路等方式实现网络冗余及备份。图4.1.1整体网络拓扑4.2IP地址规划本次实验IP地址规划遵循以下原则：符合国家相关规定；网络IP地址统一划分管理。本次实验共有五个区域每个区域IP地址网段划分如下1、用户接入区为网段，按照不同用户组划分为；；；四个网段。2、外联接入区为网段，按照不同分部划分为；；三个网段。3、网络中心区为网段，其中防火墙心跳线为网段；主备防火墙与核心交换机相连分别为；网段。4、DMZ服务器区为网段。5、安全管理中心为网段。4.3区域划分及介绍4.3.1用户接入区图4.3.1用户接入区本实验对于用户接入区的设计如图4.3.1所示。用户接入区主要为IT部、普通用户、财务部、公共设备、来宾用户提供网络接入。不同部门采用不同网段地址，以确保网络可用性，安全性。所有用户接入楼层交换机，在交换机中划分不同VLAN以提供可靠数据转发。4.3.2外联接入区图4.3.2外联接入区本实验对于外连接入区的设计如图4.3.2所示。外联区域负责所有与外部业务单位的链路连接。共有两个分部，一个合作伙伴单位接入总部网络，其中合作伙伴单位采用专线与专线防火墙直连，其他两个分部才采用IPSecVPN技术与总部实现网络通信，在外办公人员则采用SSLVPN接入内部网络。4.3.3网络中心区图4.3.3网络中心区本实验网络中心区域的设计如图4.3.3所示。共有两台负载均衡，两台出口防火墙，两台IPS入侵防御系统，两台上网行为管理，两台核心交换机组成。出口防火墙两台出口防火墙以双机热备模式部署，在防火墙上配置安全策略、应用访问策略等。可以对网络攻击进行分析、管控，例如对攻击IP进行封锁。出口防火墙的部署可以有效保护内网安全。上网行为管理两台上网行为管理以双机热备模式部署，当一台发生硬件故障时可以自动切换另外一台上网行为管理设备以维持业务审计。全网行为管理设备通过对所有上网用户的流量进行审计、分析，实现可以按照流量大小、应用类型分类实现可视化界面，实时动态更新。对于用户的上网行为做出相应的策略管控，可以有效避免上网违规，数据泄露等风险。核心交换机两台核心交换机以堆叠方式部署，采用万兆线路互联以保证数据的高效传输。核心交换机上配置所有网络的网关，以及VPT的SERVER模式。以实现对于整体网络的管理。4.3.4DMZ服务器区图4.3.4.DMZ服务器区本实验对于DMZ服务器区的设计如图4.3.4所示。部署邮件安全网关、邮件服务器，以及门户网站服务器。为外网用户提供邮件、门户网站访问服务。4.3.5安全管理中心图4.3.5安全管理中心本实验对于安全管理中心的设计如图4.3.5所示。堡垒机堡垒机，是在网络管理中起到跳板作用的设备。在网络管理中，仅允许部分运维人员可以登录网络设备以及安全设备，同时对于管理人员的操作需要进行记录。在管理人员管理时，不允许直接接入到设备的管理页面，而需要先登录堡垒机，在从而跳转到具体设备的管理页面，以对管理人员的行为进行记录。态势感知SIP以全流量分析为基础，通过探针、自有安全设备及第三方安全设备等安全组件采集全网关键数据，以安全感知平台为安全大脑核心，进行全网流量的分析。提供可视化页面，实时更新安全动态，提供应对解决方案。第五章网络实现第五章网络实现5.1用户接入区在用户接入区，如图5.1.1，使用VPC命令行对于地址、掩码、网关进行配置。图5.1.1IP地址配置如图5.1.2，在接入交换机配置VTP的CLIENT模式以同步核心交换机中的VLAN信息如图5.1.3。图5.1.2VTP配置图5.1.3VLAN信息同步如图5.1.4，图5.1.5，在交换机与核心交换机连接接口配置TRUNK，在用户接入接口配置ACCESS接口以划分网络通信。图5.1.4TRUNK接口配置图5.1.5ACCESS接口配置5.2外联接入区如图5.2.1因为需要与总部进行通信，所以需要在防火墙上进行IPSecVPN的配置。图5.2.1IPSECVPN5.3网络中心区在核心交换机上做的部分配置如下。如图5.3.1核心交换机在此区域中需要配置VTP的服务器模式，并添加VLAN进行VLAN信息同步。图5.3.1VTPSERVER图5.3.1-2VLAN信息配置如图5.3.2需要在核心交换机中配置内网用户网关，以实现内网正常通信。如图5.3.3因为需要满足庞大数据流交互，所以需要配置链路聚合以实现链路冗余。图5.3.2网关配置图5.3.3链路聚合如图5.3.4在核心交换机中配置HSRP，以实现当主设备故障时，能够及时切换到备用设备，有效提高网络的容灾星。图5.3.4HSRP在防火墙做的配置如下。如图5.3.5，图5.3.6防火墙开启高可用功能，并以双机热备模式部署。图5.3.5双机热备（主）图5.3.6双机热备（备）如图5.3.7，防火墙以用户组的形式对接入网络用户进行管理、保护。图5.3.7用户组第六章系统测试第六章系统测试6.1登录测试如图6.1.1所示为核心交换机登录测试，需要输入正确秘钥才可以进入特权模式。图6.1.1核心交换机登录如图6.1.2所示为出口防火墙登录测试，需要输入正确秘钥才可以进入。图6.1.2防火墙命令行登录如图6.1.3所示为出口防火墙web登录测试，需要输入正确的账号和秘钥才可以进入。图6.1.3防火墙WEB页面登录6.2Ping测试首先进行内网PING测试，如图6.2.1，测试PC地址为属于用户接入区地址，目标PC地址为属于用户接入区地址，测试结果为可以正常通信。图6.2.1内网－内网测试接下来对内网与分部之间网络进行PING测试。如图6.2.2所示，测试PC地址为属于用户接入区地址，目标PC地址为属于外联接入区地址，测试结果为可以正常通信。图6.2.2分部－内网测试在接下来进行内网访问DMZ服务器区进行PING测试，如图6.2.3所示，本端IP地址为属于用户接入区地址，目标地址为，为DMZ服务器区地址，测试结果为可以正常通信。图6.2.3内网－DMZ测试最后进行分部网络对于DMZ服务器区PING测试，如图6.2.4所示，本端IP地址为数据外联接入区地址，目标地址为属于DMZ服务器区地址，测试结果为可以正常通信。图6.2.4分部－DMZ测试6.3Telnet测试如图6.3.1所示，本机为HX-SW-1核心交换机，目标位HX-SW-2核心交换机，进行telnet远程登录测试。测试结果为可以正常登录。图6.3.1telnet测试结论结论伴随着信息时代的不断发展，网络安全问题带来的隐患也越发明显，而网络数字通信是信息时代所有技术的支撑基础。随着5G时代的到来，大量的工业设备可以可以通过5G网络接入，设备的控制通过企业专网实现控制、联动，从而构建起人、机、物全面互联网的网络系统。在阅读了大量相关行业、技术的书籍以及参考资料，结合真实的机房环境的前提下，对于目前企业级网络的需求进行分析，在此基础上进行本次实验的设计以及部署。在此基础上进行本次实验的设计以及部署。通过本次实验的设计以及实施，让自己掌握的理论知识更加扎实。对于网络安全方面的威胁，了解到了来自内部或外部的种种影响因素，并且对于网络防护的理解和解决方案都有了更加深刻的认知。在实验的实施中有成功的喜悦，但更多的是失败的痛苦。在本次实验过程中，通过回顾自己所学的知识，阅读大量的书籍资料对于网络信息安全方面有了更加深刻的认知。在以后的学习中，还需要不断加强自身的知识积累，需要更多的工作经验，对网络安全方面进行更加深入的学习。参考文献参考文献[1]宋文龙.欧盟网络安全智力研究[D].外交学院，2017.[2]黄淑东.计算机网络搭建中的虚拟仿真技术研究[J].现代信息科技,2021.[3]叶仪铭.基于网络爬虫的比价系统[D].大连理工大学，2020.[4]关宝刚.IP协议及版本过渡[J].通讯世界,2017.[5]张雪华.IP地址在局域网中的设置规则及方法[J].信息与电脑，2011[6]NotYourferry，交换机的端口聚合配置[J].信息科技，2021.[7]华为、思科交换机路由器常用命令大全[J].信息科技，2019.[8]罗潇.RIP、OSPF、BGP等协议及模拟实验[J].通信网络基础,2021.[9]江淮，华为软交换主备倒换方案[J].无线互联科技，2013.[10]章筠，计算机网路可靠性分析与设计[D].浙江大学，2012.[11]孟祥飞，防火墙双机热备系统的设计与实现[D].哈尔滨工业大学，2017.[12]马红艳，对无线传感器网络路由协议算法的改进研究[D].长江大学，2012.[13]郭栋，基于IPv6流标签的IPsec无开销封装模式[J].通信技术，2020.[14]陈楠，基于Web的网络仿真平台设计在教学中的应用研究[