该制造业企业网络建设方案采用中兴设备构建整体架构，包含数据中心、无线覆盖、业务网络等模块。数据中心采用超融合+NAS备份方案，核心层采用万兆上行；无线网络覆盖1-4层及货梯区域，通过VLAN隔离不同业务；出口部署防火墙实现安全防护。实施重点包括：单万兆接入设计、链路聚合部署、DHCP集中管理、AGV专用无线区域等。其中货梯无线覆盖采用创新方案，通过POE交换机同时供电AP和监控，并实现业务VLAN

使用conversation统计，可以看到明显的内网主机中木马的特征：顺序产生的源端口，按照列表扫描木马客户端的目的IP，目的端口都是445，字节大小是固定的66字节,短时间的大量并发连接，但是大多数木马客户端都是不在线的。1、安全设备如果配置不当，将无法起到安全作用，形同虚设，安全设备默认外网对内网访问端口必须全部关闭，只允许必要的端口开放，并且需要做7层或者3层的ACL来限制外来ip的登录，并

制造型企业网络设计思路

发现端口未配置为边缘端口，未配置为边缘端口将参与STP计算过程，端口的UP DOWN将触发TCN报文；在收到STP 根桥发送的TC报文后，会刷新自己在该VLAN的MAC地址表项，这个时候就会发生未知单播帧泛洪，从而使得测速发生延迟和抖动。通过disstp tc累计报文数，debug stp tc , 也能够追查到发出TCA报文的端口。接入交换机为华为24口三层交换机，使用率不高，排除业务繁忙问题。

软件下载站点：https://mirrors.tuna.tsinghua.edu.cn/proxmox/iso/PVE虚拟化替换国内源：https://blog.csdn.net/shoulham/article/details/131429828PVE CT容器替换国内源：https://www.bilibili.com/opus/891243015756054533PVE mail gatew

所以在设备自签发证书的时候以思科ASA防火墙为例（使用ASDM，定位到证书管理页面，点击新增自签发证书），这里的CN(common name）应该填写设备外网的企业专线的IP地址，而不应该是系统默认的设备的hostname，客户端虽然不能解析公司内部域名，却可以到达专线IP地址。这样就不会报证书无效的错误，因为公网IP客户端是可以解析的，然后客户端去证书颁发机构查询该证书是否有效的时候（时间 用途

基础配置做完了，但是还没有把底下服务器的路由宣告进BGP进程，可以选择直接在地址族下直接宣告网段C.D.91.0/24，或者使用重分布将 OSPF 1 的路由重分布进BGP进程，并且调用之前写的ROUTE-MAP将路由的起源属性修改为igp,这样的结果就更加准确（因为底下服务器可能并没有使用完/24网段的地址）；配置NTP，使用了域名形式的NTP服务器地址，它的好处是可以对NTP服务器做查询的负载

4、外部DHCP也可以协助工作但是需要支持一些额外的参数 推荐用它自带的DHCP 仅用于安装系统用 平时不打开 安装系统时打开。www.iventoy.com 提供windows 和 linux平台 2个版本下载。3、WINDOWS 和 LINUX镜像都可以上传 只要是ISO格式的即可。从网络引导启动 一般是F12UEFIlegacy 都可以。1、免费版 可以同时有20个终端执行安装。2、每个终端

联想https://vmware.lenovo.com/content/custom_iso/DELL联想 富士通 HPE 日立 浪潮 思科 NEC OEM镜像下载地址。注意：以上地址有可能需要注册，优先选用厂商地址下载，速度快。vmware软件厂商下载地址。

本次配置目标是能够通过固定终端和移动终端通过SSLVPN访问内网域名，访问内网资源。第九步：发布电脑端PROXY类型的策略，内网终端通过查询内网DNS服务器获取A记录。第八步 使用奇安信防火墙作为内网DNS服务器 并设备内网的域名解析记录。第七步：发布内网DNS应用 必须是NC资源类型。第十步：移动终端发布NC应用 使用域名发布。第六步：NC应用需要配置源NAT。第五步：配置DNS分离策略。第十一