华为ensp毕业设计 中小型企业网络设计 防火墙双机热备 AC负载冗余 IPSe

1.项目背景：

这个企业需要新建网络，企业总部有员工400人，其中包括4个部门，分别为人事部、开发部、财务部和管理部。

企业分部有150人，包括人事部和开发部。

企业总部有一台Web服务器和FTP服务器，Web服务器主要用于发布公司的门户网站到互联网上，公司申请的域名为www.ccieluo.com，需要互联网中所有的人都能够访问。FTP服务器主要用于存储公司的数据，用于内部共享等等。公司需要有无线网络，需要实现最大程度的覆盖，需要有备份设备，保证无线网络的可靠性。

企业各个部门的网络，需要实现高可靠和高性能。公司出口连接到联通运营商上。

每个部门的主机都可以自动获取IP地址，不允许其他部门访问财务部，

同时需要配置一定的安全策略保护公司内网。

2.主要技术说明：

（1）每个部门划分一个VLAN，总部为VLAN 10 20 30 40，分部为VLAN 10 20

（2）在接入层上配置BPDU保护与边缘端口，配置ACL，禁止其它部门访问财务部

（3）每个部门都配置了DHCP。所以内网的主机都可以自动获取IP地址

（4）核心交换机上使用MSTP+VRRP+LACP链路聚合+BFD关联，实现内网的高可靠和高性能，vlan 10 20的主机在访问互联网的时候，从核心交换机1转发，vlan 30 40的主机在访问互联网的时候，从核心交换机2转发，并且数据回流时，也遵从这一路径

企业分部的策略类似。

（5）内网的路由协议使用的是OSPF动态路由

0

（6）无线方面使用AC+AP组网方式，设置无线网络名称为ccieluo，密码为www.baidu.com，两台AC做负载分担，AC1主要负载AP1与AP2，并作为AP3与AP4的备份控制器，AC2主要负载AP3与AP4，并作为AP1与AP2的备份控制器。再配置无线漫游技术，实现无线网络的全覆盖。

（7）出口上使用两台防火墙做NAT网关，内网主机通过Easy-IP技术实现访问互联网需求，两台防火墙配置双机热备，防火墙FW1作为主设备，FW2作为备份设备，当FW1出现故障时，主设备自动成为FW2

（8）还配置了服务器映射，内网的WEB服务器的www服务映射到公网上面，映射后的公网IP为133.100.100.100，禁止公网用户ping这台服务器。

（9）企业总部与企业分部之间配置IPSec VPN，实现内网的加密互访，VPN隧道与双机热备关联。

（10）在防火墙上配置攻击防范，其中包括端口扫描防范、teardrop畸形报文攻击防范、fraggle攻击防范、ping-of-death攻击防范、smurf攻击防范、Land攻击防范和IP欺骗攻击防范等等