8 网络工程师--网络规划和设计案例分析( 四 )


2.各接入交换机的接口加入VLAN,流量进行二层转发
3.出口防火墙上配置NAT功能,用于公网和私网地址转换,配置安全策略,控制的访问,
例如摄像头流量无需访问外网,但可以和DMZ区域的服务器互访,配置使得DMZ区的Web服务器开放给公网访
案例分析一:
防火墙的数据规划如下表,补充完整:
备注:防火墙区域说明:防火墙GE1/0/2接口连接DMZ区域,防火墙GE1/0/1接口连接非安全区域,防火墙GE1/0/0接口连接安全区域,srcip表示内网区域
答:(1)10.106.1.1/24
解析:根据题干中“控制摄像头(区域)只能跟DMZ区域服务器互访”,根据网络拓扑图知道DMZ区域中只有Web服务器,因此此处填写web服务器的ip地址,查表得到10.106.1.1/24,也可根据上下文可以看到目的地址即是dmz的地址
(2)any(或者0.0.0.0/0)
解析:trust访问区域,也就是内网区域访问外网区域,源地址为内网地址srcip,目的地址为外网所有的地址,即any或者0.0.0.0/0
案例分析二:
补充下表的数据规划表内容的空缺项:
答:(3)10.101.1.0 0.0.0.255
解析:根据文中提示无线访客禁止访问业务服务器和员工有线网络“联合第二行进行推断出,目的IP为业务的ip地址,因此此处源ip填写无线访客的ip地址:10.101.1.0 0.0.0.255
(4)10.103.1.0 0.0.0.255
解析:根据文中提示无线访客禁止访问业务服务器和员工有线网络“联合第一行进行推断出,源IP为无线访客的ip地址,因此此处目的IP填写员工有线的ip地址:10.103.1.0 0.0.0.255
(5)允许
解析:根据题意“控制摄像头(区域)只能跟DMZ区域服务器互访,其他禁止访问”其中10.104.1.0是摄像头业务vlan的ip,10.106.1.0根据查表是防火墙端口GE1/0/2,在端口GE1/0/2上连接的是web服务器,因此此处填写允许
(6)10.104.1.0 0.0.0.255
解析:据题意“控制摄像头(区域)只能跟DMZ区域服务器互访,其他禁止访问”和后面的处理动作丢弃,此处应该填写摄像头业务的ip地址
案例分析三:
补充路由器的数据规划表,如下图所示:
答:(7)10.101.1.0 24
解析:根据路由器数据规划表描述部分,访问访客无线终端的路由,此处目的地址应该是访客vlan的网络地址,即10.101.1.0 24
(8)10.104.1.0 24
解析:根据路由器数据规划表描述部分,访问摄像头的路由,此处目的地址应该是摄像头区域vlan的网络地址,即10.101.1.0 24
(9)10.107.1.2
解析:此处填写的缺省路由,此处下一跳是防火墙的GE1/0/0接口,查看网络接口规划表得到防火墙的GE1/0/0接口ip地址为10.107.1.2/24,所以此处填写10.107.1.2
(10)10.100.1.1
解析:此处填写AC控制器的缺省路由,AC控制器和的GE0/0/8接口连接,此处的下一跳应该填写的GE0/0/8接口IP地址,此接口所属vlan的ip地址是10.100.1.1/24,所以此处填写10.100.1.1(为啥不带/24,看路由表的上下文联系)