拓扑图
如右图静态域名解析配置组网图所示:
应用需求
由于网络设备R-A经常访问域名为destination.com的主机,可利用静态域名解析功能,实现通过destination.com主机名访问IP地址为1.1.1.20的主机,提高域名解析的效率。
配置要点
1. 确保设备和主机间路由可达
2. 主机名和IP地址间的映射正确
配置步骤
手工配置主机名和IP地址间的映射;本例中,配置主机名为destination.com其对应IP地址为1.1.1.20
R-A(config)#ip host destination.com 1.1.1.20
配置验证
第一步,查看域名解析信息;关注点主机、IP地址间的映射关系是否正确。
R-A# show host
Name servers are:
Host type Address TTL(sec)
destination.com static 1.1.1.20 ---
第二步,使用ping destination.com命令,查看执行结果。
R-A# ping destination.com
Translating destination.com...[OK]
Sending 5, 100-byte ICMP Echoes to 1.1.1.20, timeout is 2 seconds:
<press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
从以上显示信息可以看出,R-A通过静态域名解析,成功实现通过destination.com主机名访问IP地址为1.1.1.20的主机。 拓扑图
如右图动态域名解析配置组网图所示。
应用需求
1. DNS域名服务器的IP地址为192.168.31.206/24。
2. 网络设备为DNS客户端,通过动态域名解析功能,实现通过host.com主机名访问IP地址为10.1.1.2的主机。
配置要点
1. DNS客户端和DNS服务器端、访问主机间的路由要可达
2. DNS域名解析开关打开。域名解析功能开关默认开启。
3. 正确配置DNS域名服务器的IP地址
配置步骤
第一步,配置DNS域名服务器
不同域名服务器的配置方法不同,请根据实际情况搭建DNS服务器。具体方法在此不做具体说明。
在DNS服务器上添加主机和IP地址的映射。本例中,设置主机名:host.com;IP地址为10.1.1.2/24
第二步,配置DNS客户端
DNS客户端和DNS服务器端、访问主机间的路由要可达。接口IP配置如拓扑图所示。具体配置过程此处省略。
!打开DNS域名解析功能开关;该功能默认开启
R(config)#ip domain-lookup
!配置域名服务器的IP地址为192.168.31.206
R(config)#ip name-server 192.168.31.206
配置验证
第一步,使用ping host.com命令,查看执行结果。
R# ping host.com
Translating host.com ...[OK]
Sending 5, 100-byte ICMP Echoes to 10.1.1.2, timeout is 2 seconds:
<press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
从以上显示信息可以看出,客户端设备能ping通主机,且对应的目的IP地址为10.1.1.2。设备通过动态域名解析,成功实现通过host.com主机名访问IP地址为10.1.1.2的主机。
第二步,查看域名解析信息;关注点主机名、主机IP地址。
R# show host
Name servers are:
192.168.31.206 static
Host type Address TTL(sec)
host.com dynamic 10.1.1.2 3503
从以上显示信息可以看出,主机名同主机IP地址的映射表项正确。
本案例主要适用于规模较大(用户数可达5000左右)的酒店场景。业务需求
用户接入需求
为酒店办公员工提供有线和无线接入方式。
为监控摄像头、IPTV终端提供有线接入方式。
为酒店访客和房客提供无线接入方式。
酒店网络的接入用户可以访问Internet。
酒店网络总部与分支之间通过IPSec VPN互联。针对酒店办公用户,访问分支的数据流需要通过IPSec VPN加密。
区分不同类型的用户,访问Internet时进行带宽限制,内网访问流量不做带宽限制,酒店员工、住客和访客分别限制带宽为4Mbps、2Mbps、1Mbps,对于视频和P2P流量每用户带宽限制为1Mbps。
针对不同类型的用户,提供不同的网络访问权限,如表1-1所示。
表1-1 用户网络权限控制表
用户组
办公服务器
iptv服务器
Internet
employee
Permit
Deny
Permit
guset
Deny
Deny
Permit
visitor
Deny
Deny
Permit
iptv
Deny
Permit
Deny
在所有允许访问的策略中配置精细规则,开启反病毒和入侵检测。
接入认证需求
简化认证,实现“一次认证,多次接入”服务。
无线漫游需求
实现无缝漫游,业务不中断,用户无需重新认证。
安全性需求
禁止外网用户访问内网;酒店内部用户能够访问Internet,但不能在Internet上玩游戏和观看网络视频。
保护酒店内部用户和Web服务器避免受到来自Internet的攻击。
保护酒店内部用户和Web服务器避免受到病毒威胁。
对用户上网行为进行审计,记录用户上网日志,供网络管理员后续进行审查和分析。
不同类型无线用户之间不可互访,实现无线用户隔离。
能否抵御DHCP的各种攻击。
防止非法设备、非法攻击入侵网络,配合认证系统,满足安全合规要求。
可靠性需求
主要设备需要提供备份功能,设备出现故障时,保证网络业务不中断。
主要链路提供链路备份功能,链路出现故障时,保证网络业务不中断。
运维管理需求
要求对用户的上网行为进行统一管理、简化运维。
组网方案
图1-1 大型酒店综合案例组网图
网络设计分析
接入设计
出口防火墙USG6650承担外网出口业务,隔离内外网区域。
为了使内网用户访问外网,在USG6650上配置NAT,实现私网地址和公网地址之间的转换。
酒店总部和分支之间通过在出口防火墙配置IPSec VPN实现互联。
在核心交换机上配置无线智能漫游功能,实现无缝漫游。
用户接入认证设计
针对酒店办公有线用户,在S7706上配置有线接入认证方式为MAC+Portal混合认证。
针对酒店无线用户,在S7706上部署无线接入认证为MAC+Portal混合认证。
在Agile Controller-Campus上配置MAC优先认证,实现“一次认证,多次接入”服务。
安全性设计
配置安全策略,对流量进行过滤,禁止外网用户访问内网;办公室员工能够访问Internet,但不能在Internet上玩游戏(Game)和观看网络视频。
在防火墙上开启入侵防御功能,部署DDOS攻击防范,保护酒店内部用户和Web服务器避免受到来自Internet的攻击。
在防火墙配置反病毒功能,保护酒店内部用户和Web服务器避免受到病毒威胁。
在防火墙上部署上网行为审计,对用户的上网行为记录日志,供管理员后续进行审查和分析。
在S7706上分别配置多个SSID,将各种业务进行隔离,不同SSID绑定不同的业务VLAN,实现无线用户隔离。
在接入交换机和汇聚交换机上配置DHCP Snooping,以抵御网络中针对DHCP的各种攻击。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)