TL-ER6520G某企业网络配置实例

TL-ER6520G某企业网络配置实例

目录

第一章某企业的组网需求 (1)

第二章配置前的准备工作 (2)

2.1 VLAN设置 (2)

2.2 区段和接口设置 (4)

2.3 全局对象设置 (10)

第三章配置成NAT路由器 (16)

第四章网络权限及网络安全 (17)

4.1 配置访问规则 (17)

4.2 防ARP欺骗 (21)

4.3 常见攻击防护 (22)

4.4 上网行为管理 (23)

第五章带宽控制 (25)

第六章流量均衡 (26)

6.1 流量智能均衡 (27)

6.2 ISP智能选路 (27)

6.3 策略选路 (28)

第七章出差员工、办事处访问总部资源 (28)

7.1 办事处与总部之间的IPSec VPN (28)

7.2 出差员工使用的PPTP/L2TP VPN (30)

第八章其他功能配置 (32)

8.1 开放内部服务器 (32)

8.2 企业内部公告发布 (33)

8.3 网络流量统计 (33)

8.4 配置监控服务器 (34)

第一章某企业的组网需求

TL-ER6520G是TP-LINK公司推出的双核全千兆企业VPN路由器产品，主要定位于企业、机关单位、园区、连锁酒店等需要高速互联网接入、上网行为管理和远程安全通信的网络环境。

下面我们来看以TL-ER6520G路由器为核心设备的典型组网方案。

某企业需要对其现有的网络进行重新规则和布置，组建一个安全、稳定、高效的办公网络环境，企业的详细需求方案如下：

1.企业从电信、联通各办理30M的光纤宽带，联通线路的宽带接入方式为PPPoE拨号，电信线路的宽带接入

方式为静态IP地址；要求实现“电信走电信，联通走联通”，内网所有电脑从电信线路访问外网的8080端口；

2.企业内部有研发、市场、人事三个部门，研发部又分为软件、硬件、测试三个小部门；企业为信息安全考

虑，要求各部门使用不同的网段，并且不允许相互访问；市场部、人事部可全天候访问外网，研发部只能在非工作时间访问外网；企业有两个服务器群，服务器群1位于广域网区（DMZ区），对广域网、市场部、人事部全天候开放；服务器群2位于工作区，仅对企业内部员工开放；企业要求需要防范来自企业内部的ARP欺骗、DOS等常见攻击，并禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。

3.为方便各地办事处、分公司安全的将业务数据实时传输到总部服务器，各地办事处、分公司需要与总部建

立站点到站点的VPN隧道；为方便出差员工安全的访问总部服务器，需要建立PC到站点模式的VPN隧道；

4.为合理利用带宽资源，要求对各个部门所使用的带宽进行限制；

5.企业服务器群1上有两台WEB服务器（80端口），要求实现访问不同WAN口映射到不同服务器；

6.企业需要经常性的给内部员工发布公告信息；需要对网络流量进行实时监控，监控服务器需要对企业内部

访问外网的数据进行监控和备份。

需求分析

现对该组网方案需求做分析和规划：

1.根据该组网方案需求，企业内部可划分为7个区段，分别是电信宽带区段、联通宽带区段、服务器群1区

段、服务器群2区段、市场部门区段、人事部门区段、研发部门区段，对应的区段名称分别为ISP-Telecom、ISP-Unicom、DMZ、Server、Marketing、Personnel、RD；

2.企业内部划分为7个网段，通过VLAN实现隔离，分别是DMZ区段网段为192.168.10.0/24，Server区段网

段为192.168.20.0/24，Marketing区段网段为192.168.30.0/24，Personnel区段网段为192.168.40.0/24，RD区段有3个网段：研发软件部门网段为192.168.50.0/24，研发硬件部门网段为192.168.60.0/24，研发测试部门网段为192.168.70.0/24；

3.通过访问策略实现区段之间、区段内各网段之间的访问权限；

4.通过流量均衡实现“电信走电信、联通走联通”以及内网所有电脑从电信线路访问外网的8080端口；

5.通过ARP防护实现防范企业内部的ARP欺骗；通过攻击防护实现防范DOS等常见攻击；

6.通过应用限制实现禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件；

7.各地办事处、分公司与总部之间站点到站点的VPN通过建立IPSec隧道实现，出差员工使用PC到站点的

VPN通过开启PPTP/L2TP服务实现；

8.通过带宽控制实现合理利用带宽资源；

9.通过虚拟服务器实现访问不同WAN口映射到不同服务器；

10. 通过端口电子公告实现经常性的给内部员工发布公告信息；

11. 通过开启流量统计实现对网络流量进行实时监控；

12. 通过端口监控实现监控服务器需要对企业内部访问外网的数据进行监控和备份。

Internet 分公司/办事处

分公司/办事处

TL-ER6520G

监控服务器

192.168.10.0/24核心层交换机

接入层交换机服务器群2

192.168.20.0/24

接入层交换机市场部

192.168.30.0/24

接入层交换机人事部

192.168.40.0/24

接入层交换机软件部门

192.168.50.0/24

接入层交换机硬件部门

192.168.60.0/24

接入层交换机测试部门192.168.70.0/24接入层交换机

第二章 配置前的准备工作

在开始配置路由器之前，我们需要对整个组网方案有清晰的思路和规划。而在配置路由器的具体功能之前，我们还需要完成一些配置前的准备工作，包括VLAN 配置、区段和接口配置、全局对象配置。

2.1 VLAN 设置

VLAN 可将网络逻辑地分割成数个不同的广播域，实现数据包只在VLAN 内转发。TL-ER6520G 路由器支持Access 、Trunk 、Hybrid 三种端口的链路类型。

根据前面的需求分析，我们做如下规划：端口1用来连接电信宽带，端口2用来连接联通宽带线路，端口3用来连接服务器群2、市场部、人事部、研发部，端口4用来连接服务器群1。

端口3需要处理多个VLAN 的数据，且核心层交换机需要通过数据包中的VLAN TAG 来转发数据包，端口3需要设置为trunk ；端口1、2、4、5只需要处理一个VLAN 的数据，则端口链路类型配置为access 。