1.背景分析

某公司有一分公司 W1,有人力资源、计划财务、市场营销与推广、产品设计4个部门,4个部门均位于一幢3层的楼房内,同一楼层内的最大间距不超过100 m。其中,产品设计部位于三层现共有PC 18 台;计划财务部、市场营销与推广部位于二层,分别有 PC 6 台和8台;人力资源部位于一层,有PC4台。另外,公司的总经理办公室和行政办公室也位于一层,共有 PC 7台。现分公司 W1 由于企业信息化及电子商务的需要,需要进行局域网的组建,将分公司内的有计算机连网,并新增加一台数据库服务器、一台文件服务器和一台Web 服务器。

2.组网拓扑

企业组网综合实训_综合实验

3.网络规划

企业组网综合实训_综合实验_02

企业组网综合实训_综合实验_03

4.配置思路
  • 给每个部门划分vlan,并且再核心交换机上配置vlanif逻辑接口
  • 在防火墙上划分区域,以及内网用户访问外网的策略配置
  • 在出口路由器上做nat,并且指定两条默认路由
  • 将内网服务器通过nat映射成公网地址,供外网用户访问
5.实验现象
  • 给不同的部门划分了vlan,但是有两个部门之间无法互访,ping不通
  • 内网用户不能访问服务器区的设备
  • 内网流量不能过防火墙,防火墙接口ping已经开启,安全策略已经配置,区域已经创建并添加接口
  • 出口路由器做了nat但是还是内网访问不了外网
  • 内网服务器映射到公网地址,但是外网用户仍然不能访问内网服务器
6.现象分析
  • 检查核心交换机上的路由表,所有直连网段都有,说明路由没有问题,然后检查链路,可能是把trunk配置成access
  • 因为服务器区放到了与核心交换机直接相连所以就变得不会配置,其实他和内网哪些部门是一样的配置方法
  • 华为防火墙与其他厂商的防火墙不太一样,华为防火墙是由local区域的存在,需要在策略中添加由local到外网的策略
  • 没有配置路由,直接使用的是ospf,让防护墙学到内网的所有路由,我觉得这种方法是错的,不安全,
  • 使用nat server映射内网服务器,但是映射了,路由也有,怀疑还是防火墙的问题,
7.配置文件

企业组网综合实训_综合实验_04

企业组网综合实训_综合实验_05

企业组网综合实训_综合实验_06

8.实验总结

这次实验针对的对象是小型企业网络改造,也是自己学完HCIA以后独立完成的第一个综合实验,我第一次面对它的时候感觉无从下手,但是当自己一点一点的把他做完,发现很有成就感,我的配置思路是首先解决IP问题,因为实际中主机数量很多,大多数情况直接会使用DHCP分配IP地址,这次实验虽然我把拓扑图搭建出来,并且也配置成功,但是我觉得我的实验嘴的问题是我的防火墙学到了内网的全部路由,直接使用的是ospf,我查了一些资料,觉得首先自己没有试着用静态或者默认路由能不能解决问题,二是我的nat没有做好,导致后面我的内网流量一直出不去,想把内网服务器映射到公网也没有成功,总体来说,第一次综合实验还是很失败,希望大牛们可以给我这个小白一些建议,以及关于这个实验还有那些可以改进的地方。我自己通过后期学习也有些自己的想法,分享给大家有不对的地方多多指教。具体如下:

  • 接入层和核心层虽然我使用的是大二层网络,但是存在单点故障,所以建议使用MSTP,即可以提高网络冗余性
  • 核心交换机只有一台,一旦核心交换机发生故障,整个网络就会崩溃,建议采购一台核心交换机,最好是同类型的设备,并且使用vrrp做网关冗余和备份,一旦其中一台故障,整个网络流量可以迅速切换到另一台交换机上
  • 出口路由器去除,直接使用防火墙代替,并且将服务器区与防护墙相连与内网和外网隔离开来,即使网络服务器遭受入侵,内网用户仍然可以正常访问
  • 优先并且多使用静态路由,不要轻易使用动态路由,如果网络中使用了大量动态路由会让整个网络消耗很多CPU计算
  • 对服务器区的设备做虚拟化,把有限的资源通过虚拟出多个资源可以提供给更多的用户使用
  • 增加VPN技术,如果后期公司需要开设分公司或者公司员工需要在家办公访问公司内网资源都需要使用vpn进行访问

以上这些是自己在后期经过更加深入的学习了解到现在企业的一些现状和需求,由很多不足的地方,请大家多多指教!