Get格雅TLER6520G某企业网络配置实例

TL-ER6520G某企业网络配置实例
TL-ER6520G某企业网络配置实例
第一章某企业的组网需求 (1)
第二章配置前的准备工作 (3)
2.1 VLAN设置 (3)
2.2 区段和接口设置 (4)
2.3 全局对象设置 (10)
第三章配置成NAT路由器 (15)
第四章网络权限及网络平安 (16)
4.1 配置访问规那么 (16)
4.2 防ARP欺骗 (20)
4.3 常见攻击防护 (21)
4.4 上网行为管理 (22)
第五章带宽控制 (24)
第六章流量均衡 (25)
6.1 流量智能均衡 (25)
6.2 ISP智能选路 (26)
策略选路 (26)
第七章出差员工、办事处访问总部资源 (27)
7.1 办事处与总部之间的IPSec VPN (27)
7.2 出差员工使用的PPTP/L2TP VPN (29)
第八章其他功能配置 (31)
8.1 开放内部效劳器 (31)
8.2 企业内部公揭发布 (32)
8.3 网络流量统计 (32)
配置监控效劳器 (32)
第一章某企业的组网需求
TL-ER6520G是TP-LINK公司推出的双核全千兆企业VPN路由器产品，主要定位于企业、机关单位、园区、连锁酒店等需要高速互联网接入、上网行为管理和远程平安通信的网络环境。

下面我们来看以TL-ER6520G路由器为核心设备的典型组网方案。

某企业需要对其现有的网络进行重新规那么和布置，组建一个平安、稳定、高效的办公网络环境，企业的详细需求方案如下：
1. 企业从电信、联通各办理30M的光纤宽带，联通线路的宽带接入方式为PPPoE拨号，电信线路的宽带接入方式为静态IP地址；要求实现"电信走电信，联通走联通"，内网所有电脑从电信线路访问外网的8080端口；
2. 企业内部有研发、市场、人事三个部门，研发部又分为软件、硬件、测试三个小部门；企业为信息平安考虑，要求各部门使用不同的网段，并且不允许相互访问；市场部、人事部可全天候访问外网，研发部只能在非工作时间访问外网；企业有两个效劳器群，效劳器群1位于广域网区〔DMZ区〕，对广域网、市场部、人事部全天候开放；效劳器群2位于工作区，仅对企业内部员工开放；企业要求需要防范来自企业内部的ARP欺骗、DOS等常见攻击，并禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。

3. 为方便各地办事处、分公司平安的将业务数据实时传输到总部效劳器，各地办事处、分公司需要与总部建立站点到站点的VPN隧道；为方便出差员工平安的访问总部效劳器，需要建立PC到站点模式的VPN隧道；
4. 为合理利用带宽资源，要求对各个部门所使用的带宽进行限制；
5. 企业效劳器群1上有两台WEB效劳器〔80端口〕，要求实现访问不同WAN口映射到不同效劳器；
6. 企业需要经常性的给内部员工发布公告信息；需要对网络流量进行实时监控，监控效劳器需要对企业内部访问外网的数据进行监控和备份。

需求分析
现对该组网方案需求做分析和规划：
1. 根据该组网方案需求，
2. 企业内部划分为7个网段，通过VLAN实现隔离，分别是DMZ区段网段为192.168.10.0/24，Server区段网段为192.168.20.0/24，Marketing区段网段为192.168.30.0/24，Personnel区段网段为192.168.40.0/24，RD区段有3个网段：研发软件部门网段为192.168.50.0/24，研发硬件部门网段为192.168.60.0/24，研发测试部门网段为192.168.70.0/24；
3. 通过访问策略实现区段之间、区段内各网段之间的访问权限；
4. 通过流量均衡实现"电信走电信、联通走联通"以及内网所有电脑从电信线路访问外网的8080端口；
5. 通过ARP防护实现防范企业内部的ARP欺骗；通过攻击防护实现防范DOS等常见攻击；
6. 通过应用限制实现禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件；
7. 各地办事处、分公司与总部之间站点到站点的VPN通过建立IPSec隧道实现，出差员工使用PC到站点的VPN通过开启PPTP/L2TP效劳实现；
8. 通过带宽控制实现合理利用带宽资源；
9. 通过虚拟效劳器实现访问不同WAN口映射到不同效劳器；
10. 通过端口电子公告实现经常性的给内部员工发布公告信息；
11. 通过开启流量统计实现对网络流量进行实时监控；
12. 通过端口监控实现监控效劳器需要对企业内部访问外网的数据进行监控和备份。

第二章配置前的准备工作
在开始配置路由器之前，我们需要对整个组网方案有清晰的思路和规划。

而在配置路由器的具体功能之前，我们还需要完成一些配置前的准备工作，包括VLAN配置、区段和接口配置、全局对象配置。

2.1 VLAN设置
VLAN可将网络逻辑地分割成数个不同的播送域，实现数据包只在VLAN内转发。

TL-ER6520G路由器支持Access、Trunk、Hybrid三种端口的链路类型。

根据前面的需求分析，我们做如下规划：端口1用来连接电信宽带，端口2用来连接联通宽带线路，端口3用来连接效劳器群2、市场部、人事部、研发部，端口4用来连接效劳器群1。

端口3需要处理多个VLAN的数据，且核心层交换机需要通过数据包中的VLAN TAG来转发数据包，端口3需要设置为trunk；端口1、2、4、5只需要处理一个VLAN的数据，那么端口链路类型配置为access。

2.1.1 配置物理端口链路类型
根据前面的分析配置端口链路类型
根本设置>> VLAN设置>> 端口设置
2.1.2 给物理端口创立VLAN
依次创立VLAN 2/3/4/5/6/7/8/9/10，其中VLAN 2的端口成员为端口1，对应电信宽带线路；VLAN 的端口成员为端口2，对应联通宽带线路；VLAN 4的端口成员为端口4，对应公网效劳器群；VLAN 5/6/7/8/9/10的端口成员为端口3，分别对应内网效劳器群、市场部门、人事部门、测试部门、软件部门、硬件部门。

根本设置>> VLAN设置>> VLAN设置
设置完成后，在根本设置>> VLAN设置>> 关联表中可查看配置结果。

2.2 区段和接口设置
企业内部划分为7个区段，分别是电信宽带区段、联通宽带区段、效劳器群1区段、效劳器群2区段、市场部门区段、人事部门区段、研发部门区段配置区段。

2.2.1 给各区段配置接口
2. 配置区段ISP-Unicom
联通线路的宽带接入方式为PPPoE，那么先在区段ISP-Unicom中添加eth接口，再添加pppoe接口Link到eth接口。

在区段ISP-Unicom添加eth接口
添加PPPoE接口，并将eth接口Link到eth接口
区段DMZ即效劳器群1区段，网段为192.168.10.0/24。

添加接口类型eth，手动给该接口配置IP地址。

4. 配置区段Server
区段Server即效劳器群2区段，网段为192.168.20.0/24。

添加接口类型eth，手动给该接口配置IP地址。

5. 配置区段Marketing
区段Marketing即市场部门区段，网段为192.168.30.0/24。

添加接口类型eth，手动给该接口配置IP地址。

6. 配置区段Personnel
区段Personnel即人事部门区段，网段为192.168.40.0/24。

添加接口类型eth，手动给该接口配置IP地址。

7. 配置区段RD
区段RD即研发部门区段，内有3个小部门，软件部门网段为192.168.50.0/24、硬件部门网段为192.168.60.0/24、测试部门网段为192.168.70.0/24。

添加3个eth接口，并分别手动配置其IP地址。

添加接口类型eth，手动给该接口配置软件部门的IP地址
添加接口类型eth，手动给该接口配置硬件部门的IP地址
添加接口类型eth，手动给该接口配置测试部门的IP地址
2.3 全局对象设置
通过对整个组网方案的规划，我们已经十分清楚在整个配置过程中需要用到的全局变量，接下来我们通过地址管理、时间管理、IP地址池、效劳类型对这些变量进行配置。

2.3.1 配置地址管理
在后续的网络权限配置中，会涉及到针对市场部门、人事部门、软件部门、硬件部门、测试部门网段的规那么设置。

#添加组名Marketing、Personnel、RD_Software、RD_Hardware、RD_Testing
对象管理>> 地址管理>> 地址组
#添加地址段
对象管理>> 地址管理>> 地址
添加完成，地址列表显示如下
#视图设置
组Marketing包含地址Marketing_ip
组Personnel包含地址Personnel_ip
组RD_Software包含地址RD_Software_ip 组RD_Hardware包含地址RD_Hardware_ip 组RD_Testing包含地址RD_Testing_ip
2.3.2 配置时间管理
在后续的网络权限和电子公告功能配置中，需要使用到上班时间和元旦放假时间通知时间这两个时间配置项，下面我们就逐一配置这两个时间全局参数。

1) 添加上班时间段的时间管理
上班时间指的是每周一到周五的上午8:30—11:50和下午的13:20—18:00，先添加工作日历包含全年的每周一到周五，再添加工作时间8:30—11:50和13:20—18:00，最后将工作日历和工作时间进行组合。

#添加工作日历
#添加工作时间
#添加时间管理
2) 添加元旦放假时间通知时间管理
元旦放假时间通知时间指的是元旦放假前一周的周一到周五的8:30—11:50和13:20—18:00。

#添加工作日历
# 添加时间管理
注:这里的工作时间直接引用上班时间的工作时间。

2.3.3 配置IP地址池
在后续给出差员工配置PC到站点的PPTP/L2TP VPN时，会涉及到PPTP/L2TP VPN隧道地址池的添加。

对象管理>> IP地址池
2.3.4 配置效劳类型
在后续配置"内网所有电脑从电信线路访问外网的8080端口"时需要使用到目的端口为8080的效劳类型。

添加效劳器类型，目的端口为8080的TCP/UDP协议。

对象管理>> IP地址池
第三章配置成NAT路由器
通过第二章，我们已经完成配置前的准备工作，现在为保证内部网段市场部门、人事部门、软件部门、硬件部门、测试部门、效劳器群1可通过电信、联通的两条宽带线路正常上网，需要将TL-ER6520G配置成具备NAPT功能的路由器。

因为对于每个网段来说都有两个出口，即电信和联通，所以对于每个网段来说，都需要配置两条NAPT规那么。

传输控制>> NAT设置>> NAPT
第四章网络权限及网络平安
我们现在将需求分析中涉及企业内部网络权限和网络平安的内容进行罗列：
1. 各部门使用不同网段，不允许相互访问；
2. 市场部门、人事部门可全天候访问外网，研发部门只能在非工作时间访问外网；
3. 效劳器群1对广域网、市场部门、人事部门全天候开放，对研发部门只在非工作时间开放；
4. 效劳器群2对企业内部员工完全开放；
5. 需要防范来自企业内部的ARP欺骗、DOS等常见攻击；
6. 禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。

4.1 配置访问规那么
TL-ER6520G默认是允许所有区段的所有接口直接通信，为实现上述的需求，我们需要在访问规那么中的"区段间访问规那么"和"区段内访问规那么"中配置相应的策略实现。

4.1.1 区段间访问规那么
我们已经在路由器中定义了7个区段，现在我们逐一实现涉及区段之间的访问规那么。

#实现1：研发部、市场部、人事部三个部门之间不允许相互访问
平安管理>> 访问策略>> 区段间访问规那么
选择相应的显示区段，即Marketing<->Personnel、Marketing<->RD、Personnel<->RD。

在区段间规那么中，我们需要配置6个方向的规那么即：Marketing->Personnel、Personnel-> Marketing、Marketing->RD、RD-> Marketing、Personnel->RD、RD-> Personnel。

下面我们以市场部门区段和人事部门区段之间规那么为例进行配置。

配置Marketing->Personnel规那么
配置Personnel-> Marketing规那么
同理我们配置Marketing->RD、RD-> Marketing、Personnel->RD、RD-> Personnel的规那么，配置完成后，规那么条目如下：
区段Marketing与区段Personnel之间规那么
区段Marketing与区段RD之间规那么
区段Personnel与区段RD之间规那么
#实现2：效劳器群1对广域网、市场部、人事部全天候开放，对研发部只在非工作时间开放
因为路由器默认是允许所有区段的所有接口直接通信，所以不需要配置效劳器群1区段与电信宽带区段、联通宽带区段、市场部门区段、人事部门区段的区段间访问规那么。

只需配置效劳器群1区段和RD区段之间的区段间访问规那么。

平安管理>> 访问策略>> 区段间访问规那么
选择相应的显示区段：DMZ<->RD
设置相应规那么，选择生效时间，配置结果如下：
# 实现3：效劳器群2对企业内部员工完全开放，禁止内部效劳器群2访问外网和效劳器群1
平安管理>> 访问策略>> 区段间访问规那么
配置完成后，规那么条目如下：
区段ISP-Unicom与区段Server之间规那么
区段DMZ与区段Server之间规那么
# 实现4：市场部、人事部可全天候访问外网，研发部只能在非工作时间访问外网
因为路由器默认是允许所有区段的所有接口直接通信，所以不需要配置市场部门区段、人事部门区段和电信宽带区段、联通宽带区段之间的区段间访问规那么。

只需要配置研发部门区段和电信宽带区段、联通宽带区段之间的区段间访问规那么。

平安管理>> 访问策略>> 区段间访问规那么
配置完成后，规那么条目如下：
区段ISP-Unicom与区段RD之间规那么
4.1.2 区段内访问规那么
在区段内访问规那么中，我们要实现：区段RD中软件部门、硬件部门、测试部门不能相互访问。

配置完成后配置条目如下：
4.2 防ARP欺骗
为有效的防止内网的ARP欺骗，我们需要对内网所有电脑做IP与MAC绑定，在路由器中添加IP与MAC绑定信息有两种方式：ARP扫描和手动添加IP/MAC。

通过ARP扫描方式添加每个网段范围的IP/MAC绑定信息
平安管理>> ARP防护>> ARP扫描
针对每个出接口添加对应的IP/MAC绑定信息
平安管理>> ARP防护>> IP MAC绑定
在添加完成对应的IP/MAC绑定信息之后，启用ARP防欺骗功能，并选择对应的生效区段。

平安管理>> ARP防护>> IP MAC绑定
4.3 常见攻击防护
在路由器中启用攻击防护选项可有效的防护Flood类攻击和可疑包攻击
平安管理>> 攻击防护>> 攻击防护
4.4 上网行为管理
通过应用控制实现市场部门、人事部门、研发部门的员工禁止使用P2P类软件、金融股票类软件、视频类软件、游戏类软件。

下面我们以市场部门的应用控制规那么配置为例：
平安管理>> 应用控制>> 应用限制
平安管理>> 应用控制>> 应用限制
选择限制列表
同理配置人事部门、研发部门的应用控制规那么，配置完成后规那么如下：
第五章带宽控制
在这一章节，我们通过带宽控制实现合理利用带宽资源的目标，企业内部需要进行带宽控制的区段有市场部门区段、人事部门区段、研发部门区段。

企业的总带宽为电信30M光纤+联通30M光纤=60M，再根据企业内部各个部门对带宽的需求，我们做如下规划：市场部门对带宽需求较大，我们给市场部门每台电脑到每个出口的上下行带宽限制为800Kbps；人事部门对带宽需求一般，我们给人事部门每台电脑到每个出口的上下行带宽限制为600Kbps；研发部门对带宽需求较小，我们给研发部门每台电脑到每个出口的上下行带宽限制为400Kbps。

下面我们以市场部门的带宽控制配置为例：
传输控制>> 带宽控制>> 带宽控制规那么
配置市场部门到电信线路的上行带宽
配置市场部门到电信线路的下行带宽
配置市场部门到联通线路的上行带宽
配置市场部门到联通线路的下行带宽
配置完成后，规那么条目如下：
同理配置人事部门、研发部门到电信、联通线路的带宽。

第六章流量均衡
在这一章节，我们通过流量均衡实现需求："电信走电信，联通走联通"，内网所有电脑从电信线路访问外网的8080端口。

6.1 流量智能均衡
传输控制>> 流量均衡>> 根本设置
6.2 ISP智能选路
TL-ER6520G路由器的WAN口1连接电信线路，WAN口2连接联通线路，通过ISP选路功能实现"电信走电信，联通走联通"。

传输控制>> 流量均衡>> ISP选路
配置完成后，配置条目如下：
6.3 策略选路
第七章出差员工、办事处访问总部资源
我们通过在办事处、分公司与总部之间建立站点到站点模式的IPSec VPN，实现办事处、分公司平安的将业务数据实时传输到总部效劳器。

在总部搭建PC到站点模式的PPTP/L2TP VPN效劳器，实现出差员工平安的访问总部效劳器资源。

7.1 办事处与总部之间的IPSec VPN
要建立IPSec VPN隧道，需要在总部和办事处的路由器都进行IPSec的参数配置，下面我们以总部路由器配置为例。

配置IKE平安提议
VPN >> IKE >> IKE平安提议
填入平安提议名称，选择相应的验证算法、加密算法、DH组交换
配置IKE平安策略
VPN >> IKE >> IKE平安策略
选择交换模式为主模式、封装模式为隧道模式、协商模式为响应者模式，平安提议选择刚刚配置的IKE平安提议，填入预共享密钥、ike第一阶段生存时间，开启DPD检测。

配置IPSec平安提议
VPN >> IPSec >> IPsec平安提议
填入平安提议名称，选择相应的验证算法、加密算法、DH组交换
配置IPSec平安策略
VPN >> IPSec >> IPsec平安策略
本地子网范围填写办事处、分公司需要访问的网段地址，对端子网范围填写0.0.0.0/0〔表示所有子网范围〕，选择VPN隧道的出接口，对端网关填写0.0.0.0〔表示任何地址〕，选择IKE协商，添加IKE平安策略、IPSec平安提议、PFS。

7.2 出差员工使用的PPTP/L2TP VPN
在总部TL-ER6520G路由器上搭建PC到站点模式的PPTP/L2TP VPN效劳器，作为出差员工VPN拨号的接入效劳器。

出差员工只需要利用操作系统自带的VPN客户端进行拨号，即可连接到总部VPN效劳器，并访问总部内部的效劳器资源。

#配置PC到站点的PPTP VPN效劳器
VPN >> PPTP >> PPTP效劳器设置
添加用户名、密码、本地地址、DNS地址，将其绑定到电信线路区段，选择地址池，组网模式选择PC到站点。

# 配置PC到站点的L2TP VPN效劳器
VPN >> L2TP >> L2TP效劳器设置
添加用户名、密码、本地地址、DNS地址，将其绑定到电信线路区段，选择地址池，组网模式选择PC到站点。

第八章其他功能配置
8.1 开放内部效劳器
企业内部已经搭建两个WEB网站效劳器，外网客户通过网站了解企业，现在我们通过虚拟效劳器功能实现不同的WAN口地址对应不同的效劳器。

内网两台WEB效劳器的地址分别是192.168.20.253、192.168.20.254。

传输控制>> NAT设置>> 虚拟效劳器
配置两条虚拟效劳器映射
配置完成后，配置条目如下：
8.2 企业内部公揭发布
企业需要经常性的通过网络方式，发布一些通知信息，方便企业员工了解公司最新规定和通知，下面我们以企业发布2021年元旦
企业内部需要经常性发布公告性信息，下面以发布元旦放假公告为例
系统效劳>> 电子公告>> 电子公告
添加公告的标题、内容、公告对象、公揭发布时间、发布者。

8.3 网络流量统计
通过开启流量统计功能，网络管理者可以实时查看企业内部员工的网络应用情况，及时了解企业网络的运行状况。

系统工具>> 流量统计>> IP流量统计
启用流量统计，选择源区段和目的区段
8.4 配置监控效劳器
企业内部有一台监控效劳器，用于对内部网络数据进行统计分析和备份，监控效劳器直接连接到路由器的5号端口上，根本设置>> 交换机设置>> 端口监控。