|
10-8
自我挑戰:Firewall-VPN
網路規劃
內容:
10-8-1 Firewall-VPN
網路規劃
(A)
系統需求
(請匯入
Firewall-VPN
網路_空白.pkg)
目前公司有兩個重要據點:高雄總公司與越南分公司,兩公司內大約都有
100
部工作站。公司期望將兩地的網路透過網際網路結合一個虛擬私有網路,如圖 10-29
所示。除了將兩網路整合成
VPN
網路外,每一區域網路也須保留與外部網路的通訊能力並具有防火牆功能,如下:
1.
禁止外部主機存取內部任何資源(進入內部網路)。
2.
DNZ
網路(140.100.200.0/24
或
140.102.200.0/24)
上主機可以與內部網路主機相互連線。
3.
允許外部可以任意存取
DNZ 網路內伺服器(如L-Outer-HTTP
或
R-Outer-HTTP)。
4.
允許外部網路可以測試
(Ping) DNZ
網路下主機。
5.
允許內部主機可以任意存取外部網路資源。
圖
10-29 Firewall-VPN
網路規劃
(B)
網路環境規劃
圖 10-29
網路環境的規劃如下:
|
地區 |
網路區段 |
gateway |
路由介面 |
主機代表 |
IP
位址 |
|
高雄區域網路區域 |
140.100.0.0/24 |
140.100.0.254 |
L-R1(Gi0/0) |
L-PC1 |
140.100.0.1 |
|
140.100.1.0/24 |
140.100.1.254 |
L-R1(Gi1/0) |
L-PC2 |
140.100.1.1 |
|
140.100.200.0/24
DNZ
網路 |
140.100.200.254 |
L-R2(Gi2/0) |
L-Outer-
http |
140.100.200.1 |
|
140.100.100.0 |
|
L-R1(Gi3/0) |
|
140.100.100.1 |
|
L-R2(Gi0/0) |
140.100.100.2 |
|
越南區域網路 |
140.102.0.0/24 |
140.102.0.254 |
R-R1(Gi0/0) |
R-PC1 |
140.102.0.1 |
|
140.102.1.0 |
140.102.1.254 |
R-R1(Gi1/0) |
R-PC2 |
140.102.1.1 |
|
140.102.200.0/24
DNZ
網路 |
140.102.200.254 |
R_R2(Gi2/0) |
R-Outer-
http |
140.102.200.1 |
|
140.102.100.0 |
|
R-R1(Gi3/0) |
|
140.102.100.1 |
|
R-R2(Gi0/0) |
140.102.100.2 |
|
外部網路 |
149.24.50.0/24 |
149.24.50.254 |
O-R3(Gi0/0) |
Outer-PC3 |
149.24.50.1 |
|
150.100.2.0/24 |
150.100.2.0.254 |
O-R3(Gi0/1) |
Outer-Ser. |
150.100.2.1 |
(C)
路由器規劃
本系統各區域的路由器介面卡規劃如下:
由器介面卡規劃如下:
|
區域 |
Router |
Router port |
IP
位址 |
PC |
|
高雄區域 |
L_R1
內部路由器 |
Gi0/0 |
140.100.0.254 |
L-PC1 |
|
Gi1/0 |
140.100.1.254 |
L-PC2 |
|
Gi3/0 |
140.100.100.1 |
L-R2(Gi0/0) |
|
L-R2
外部路由器 |
Gi0/0 |
140.100.100.2 |
L-R1(Gi3/0) |
|
Gi0/1 |
140.100.200.254 |
L-Out-HTTP |
|
Se0/2/0 |
10.100.1.1 |
Outer-R3(se0/2/0) |
|
越南區域 |
R-R1
內部路由器 |
Gi0/0 |
140.102.0.254 |
R-PC1 |
|
Gi1/0 |
140.102.1.254 |
R_PC2 |
|
Gi3/0 |
140.102.100.1 |
R-R2(Gi0/0) |
|
R-R2
外部路由器 |
Gi0/0 |
140.102.100.2 |
R-R1(Gi3/0) |
|
Gi0/1 |
140.102.200.254 |
R-Out-HTTP |
|
Se0/2/0 |
10.100.2.1 |
Outer-R3(se0/2/1) |
|
外部網路 |
R-R3
ISP
路由器 |
Gi0/0 |
149.24.50.254 |
Outer-PC3 |
|
Gi0/1 |
150.100.2.1 |
Outer-Server |
|
Se0/2/0 |
10.100.1.2(DCE) |
L-R2(Se0/2/0) |
|
Se0/2/1 |
10.100.2.2(DCE) |
R-R2(Se0/2/0) |
(D)
靜態路由表規劃
本系統各區域的路由器介面卡規劃如下:
|
地區 |
Router |
Destination AD |
Network Mask |
Net Hop |
|
高雄區域網路 |
L_R1 |
140.100.200.0 |
255.255.255.0 |
140.100.100.2 |
|
0.0.0.0 |
0.0.0.0 |
140.100.100.2 |
|
L_R2 |
140.100.0.0 |
255.255.255.0 |
140.100.100.1 |
|
140.100.1.0 |
255.255.255.0 |
140.100.100.1 |
|
0.0.0.0 |
0.0.0.0 |
10.100.1.2 |
|
越南區域網路 |
R_R1 |
140.102.200.0 |
255.255.255.0 |
140.102.100.2 |
|
0.0.0.0 |
0.0.0.0 |
140.102.100.2 |
|
R-R2 |
140.102.0.0 |
255.255.255.0 |
140.100.100.1 |
|
140.102.1.0 |
255.255.255.0 |
140.100.100.1 |
|
0.0.0.0 |
0.0.0.0 |
10.100.2.2 |
|
外部網路 |
Outer-R3 |
140.100.0.0 |
255.255.0.0 |
10.100.1.1 |
|
140.102.0.0 |
255.255.0.0 |
10.100.2.1 |
10-8-2
網路介面與路由表設定
(請自行練習)
10-8-3
內部路由器
DNZ
設定
(請設定
L-R1 與
R-R1)
10-8-4
外部路由器
DNZ
設定
(請設定
L-R2 與
R-R2,自行練習)
10-8-5 VPN
安全套件規劃
(請自行練習)
10-8-6 IPSec VPN
設定
(請設定
L-R2 與
R-R2,自行練習)
|
