(课程实际模板)基于防火墙小型网络设计与实现.docVIP

基于防火墙小型网络配置设计与实现 一、项目说明 项目：假定有一个公司，有三个部门，分别是市场部、研发部、售后服务部 ，另外还有一个分部在外地，通过VPN连接。为了提高安全性，公司准备购买一个ASA防火墙和IPS入侵检测/防御设备，实现公司内部网络安全，同时公司内部各部门之间通过三层交换机实现通讯。公司通过双绞线接入ISP路由器，公司只申请获得了一个C类地址200.1.1.0/24。 二、设计与实现 1、 网络拓扑图的创建 1）设备选择 2）设备初始配置 3）设备互连 4）标注与说明 2、网络配置 1、IP地址规划与接口IP地址配置 设备 接口 IP地址 网段地址 描述 CorpMultiSwitch三层交换机 F0/0 192.168.10.2 192.168.10.0/24 连接到防火墙 VLAN20 192.168.20.1 192.168.20.0/24 VLAN30 192.168.30.1 192.168.30.0/24 VLAN40 192.168.40.1 192.168.40.0/24 CorpASA防火墙 E0 192.168.10.1 192.168.10.0/24 连接三层交换机 E1 200.1.1.1 200.1.1.0/24 连接ISP ISP路由器 E1/1 200.1.1.254 200.1.1.0/24 连接公司 E1/0 200.1.2.1 200.1.2.0/24 ISP网络 以三层交换机CropMultiSwitch进行接口IP地址配置举例，配置如下： 配置过程如下： CorpMultiSwitchenable CorpMultiSwitch #config terminal CorpMultiSwitch (config)#int F0/0 CorpMultiSwitch (config-if)#ip address 192.168.10.1 255.255.255.0 CorpMultiSwitch (config-if)#no shut CorpMultiSwitch (config)#int vlan20 创建VLAN20接口并进入接口 CorpMultiSwitch (config-if)#ip address 192.168.20.1 255.255.255.0 CorpMultiSwitch (config-if)#no shut CorpMultiSwitch (config)#int vlan30 创建VLAN30接口并进入接口 CorpMultiSwitch (config-if)#ip address 192.168.30.1 255.255.255.0 CorpMultiSwitch (config-if)#no shut CorpMultiSwitch (config)#int vlan40 创建VLAN40接口并进入接口 CorpMultiSwitch (config-if)#ip address 192.168.40.1 255.255.255.0 CorpMultiSwitch (config-if)#no shut CorpMultiSwitch (config)#end CorpMultiSwitch #write 保存配置 2、设备功能配置 功能配置主要根据网络功能需要进行配置。本项目包括三层交换配置、路由配置、NAT配置等。 （1）VLAN间通讯配置 （2）ASA防火墙接口初始配置 （3）路由配置 （4）防火墙PAT配置 （5）CBAC配置（访问控制列表和Inspect列表配置） 注释：基于上下文的访问控制协议（CBAC）通过检查通过防火墙的流量来发现管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量向上配置ip inspect列表，允许为受允许会话放回流量和附加数据连接，打开这些通路。受允许会话是指来源于受保护的内部网络会话。 3、网络测试 1、VPCS软件的启动和VPCS主机的IP地址配置 2、利用Ping命令进行测试 特别强调，GNS3也提供了协议分析功能，GNS3-0.8.2版集成了WireShark协议分析软件。利用GNS3提供的数据捕获功能，可以捕获各种数据包，并进行协议分析。 三、课程设计小结