ITman论坛|ITman科技

[其他业务] 我自己亲自规划,亲自实施的一个项目真诚分享

[复制链接]
mgcisco 发表于 2014-8-11 23:28:57 | 显示全部楼层 |阅读模式
本帖最后由 mgcisco 于 2014-8-11 11:34 PM 编辑

各位:
      您好,这个是我自己亲自规划,亲自实施的一个项目,这里真诚和分享,希望大家可以在这个方案上多提提优化的建议,方面大家和我在以后的项目中利用华为的设备将企业网络建设得更加优秀!
--------------------------------------------------------------------------------------------------------------

1. 网络拓扑结构


。。。。。。。。中间的内容见附件,字数超限制了

1.配置说明
设计说明如下:
用户网段是按照新办公楼层来规划的:1F:192.168.20.1-254/24;2F:192.168.21.1-254/24;3F:192.168.22.1-254/24
无线用户网段为:192.168.11.1-254/24
有线网络设备管理网段:192.168.252.1-192.168.252.7/24
无线网络设备管理网段:172.18.0.1-254/24
视频会议网段:192.168.15.1-254/24(和之前网段一样,不变)
设计思路:
办公区域划分3个网段用于隔离广播域,防止局域网风暴和以及ARP攻击等,有利于QOS的实施
无线区域与有线区域的网段隔离出来,保护无线网络和有线网络的安全性,便于QOS的实施
防火墙上的QOS策略实施:
--------------------------------------------------------------------------------------------
1.配置有线用户及无线用户的IP地址池
ip address-set user_network type object
address 0 192.168.10.0 mask 24
address 1 192.168.11.0 mask 24
address 2 192.168.12.0 mask 24
address 3 192.168.20.0 mask 24
address 4 192.168.21.0 mask 24
address 5 192.168.22.0 mask 24
#
2.配置总部所用服务器的IP地址池
ip address-set xdhg_zongbu_server type object
address 0 X.X.X.X mask 32
address 1 X.X.X.X mask 32
address 2 X.X.X.X mask 32
#
3.配置视频会议IP地址池
ip address-set shi_pin_hui_yi type object
address 0 192.168.15.0 mask 24
#
4.每天更新应用特征库
sa
update rule-base server domain sec.huawei.com
#
5.配置限制迅雷和P2P等应用
app-set xulei&p2p
  category P2P application BT_Encrypted_Data
  category P2P application Thunder
  category P2P application eDonkey/eMule_Data
  category P2P application BT_WebSeed
#
sa-policy xdhg_xianzhi
policy default action permit
rule 0
  rule enable
  action deny
  rule app-set xulei&p2p
#
slb
#
cwmp
#
right-manager server-group
#
6.限速模板配置:
@1不限速
car-class bu_xian_su type per-ip
car max 1024000
@2限速4M
car-class tree_m type per-ip
car max 4096
#
7.视频会议IP地址池访问任意网段都是下行不限速的(保障视频会议带宽优先,且不限带宽)
traffic-policy interzone trust untrust inbound per-ip
policy 0
  action car
  policy source address-set shi_pin_hui_yi
  policy car-type destination-ip
  policy car-class bu_xian_su
用户IP地址池里面的用户访问总部的OA服务器和SAP服务器下行都是不限速的(保障OA、SAP服务器的带宽优先使用)
policy 1
  action car
  policy source address-set xdhg_zongbu_server
  policy destination address-set user_network
  policy car-type destination-ip
  policy car-class bu_xian_su
用户IP地址池里面的用户访问外网下行限速4M(每IP)
policy 2
  action car
  policy destination address-set user_network
  policy car-type destination-ip
  policy car-class tree_m
8.视频会议IP地址池访问任意网段都是上行不限速的(保障视频会议带宽优先,且不限带宽)
traffic-policy interzone trust untrust outbound per-ip
policy 0
  action car
  policy source address-set shi_pin_hui_yi
  policy car-type source-ip
  policy car-class bu_xian_su
用户IP地址池里面的用户访问总部的OA服务器和SAP服务器上行都是不限速的(保障OA、SAP服务器的带宽优先使用)
policy 1
  action car
  policy source address-set user_network
  policy destination address-set xdhg_zongbu_server
  policy car-type source-ip
  policy car-class bu_xian_su
用户IP地址池里面的用户访问外网上行限速4M(每IP)
policy 2
  action car
  policy source address-set user_network
  policy car-type source-ip
  policy car-class tree_m
#
9.用户流量监控策略配置
user-manage authentication-policy xdhg
policy enable
ip-range 192.168.20.2 192.168.20.254 192.168.21.2 192.168.21.254 192.168.22.2 192.168.22.254
new-user add-temporary group root
authentication-mode none
#
10.不限制用户IP地址池里面的用户访问总部各种服务器的文件下载(保障OA、SAP服务器的带宽优先使用)
policy interzone trust untrust inbound
policy 0
  action permit
  policy source address-set xdhg_zongbu_server
  policy destination address-set user_network
限制用户IP地址池里面的用户访问外部P2P资源和迅雷资源(下载)
policy 1
  action permit
  policy destination address-set user_network
  policy sa xdhg_xianzhi
#
11.不限制用户IP地址池里面的用户访问总部各种服务器的文件上传(保障OA、SAP服务器的带宽优先使用)
policy interzone trust untrust outbound
policy 0
  action permit
  policy source address-set user_network
  policy destination address-set xdhg_zongbu_server
限制用户IP地址池里面的用户访问外部P2P资源和迅雷资源(上传)
policy 1
  action permit
  policy source address-set user_network
  policy sa xdhg_xianzhi






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?论坛注册

x



上一篇:AR G3 -S系列企业路由器 典型配置案例_V1.1
下一篇:【交换机在江湖之初入江湖】框式交换机系列产品介绍
zhouquan 发表于 2015-2-5 16:49:38 | 显示全部楼层
学习了
回复

使用道具 举报

xqsky 发表于 2015-2-6 00:02:29 | 显示全部楼层
好好学习天天向上!!!
fyue 发表于 2015-2-6 10:35:02 | 显示全部楼层
感谢楼主的无私分享!
TITAN 发表于 2015-2-6 15:09:46 | 显示全部楼层
谢谢楼主分享!
499752884 发表于 2015-2-6 15:38:48 | 显示全部楼层
感谢楼主的无私分享!
china.it 发表于 2015-2-11 21:13:53 | 显示全部楼层
楼主太牛×了·不知道要修炼到何时才有您那个水平啊···能不能收个关门弟子啊··愿意请留下 脚印吧·我跟随脚印来找您·
DX. 发表于 2015-2-19 17:45:37 | 显示全部楼层
............................................................................................................
回复

使用道具 举报

wjyf50 发表于 2015-2-20 16:42:32 | 显示全部楼层
非常不错的资料!
wjyf50 发表于 2015-2-20 16:44:00 | 显示全部楼层
RE: 我自己亲自规划,亲自实施的一个项目真诚分享
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

!jz_fbzt! 快速回复 !jz_fhlb! !jz_gfqqq!
快速回复 返回顶部 返回列表