SHOBUsi/secure-network-design-cisco-pkt
GitHub: SHOBUsi/secure-network-design-cisco-pkt
这是一个基于Cisco Packet Tracer的银行安全网络设计模拟项目,旨在通过实践学习企业网络安全配置和防御策略。
Stars: 0 | Forks: 0
# 🔐 OriginBank:安全网络基础设施
[](https://www.netacad.com/courses/packet-tracer)
[]()
[]()
[]()
[]()
## 问题所在
本项目从头重新设计了整个网络,实现了分段、加固、监控和端到端加密。
## 构建内容
| 组件 | 技术 |
|------------|-----------|
| 网络模拟 | Cisco Packet Tracer |
| 边界安全 | Cisco ASA 防火墙(基于区域) |
| 动态路由 | OSPF |
| 网络分段 | VLAN + 802.1Q Trunking + 跨 VLAN 路由 |
| 访问控制 | 扩展 ACL(路由器 + ASA) |
| 加密管理 | SSH v2 + AAA(本地) |
| 站点到站点加密 | IPSec VPN — IKEv1, AES-256, SHA-HMAC |
| 威胁检测 | IOS IPS(基于特征) |
| 核心服务 | DHCP, DNS, Web (DMZ), Syslog/NTP |
| 地址转换 | PAT/NAT (ASA 上) |
## 详细步骤
完整实现分为四个详细部分:
| # | 部分 | 涵盖内容 |
|---|---------|---------------|
| 01 | [架构与IP设计](01-architecture-and-ip-design.md) | 拓扑、IP分配、DHCP、设备加固、DNS/Web/Syslog配置 |
| 02 | [路由与分段](02-routing-and-segmentation.md) | OSPF、VLAN trunking、跨VLAN路由(单臂路由) |
| 03 | [防火墙、ACL与VPN](03-firewall-acl-vpn.md) | ASA区域策略、ACL规则、PAT/NAT、SSH/AAA、站点到站点IPSec VPN |
| 04 | [IPS与安全分析](04-ips-and-security-analysis.md) | IOS IPS部署、零信任分析、IPSec密码学深度解析 |
## 关键安全决策
**为什么选择OSPF而不是RIPv2?**
对于多站点拓扑,OSPF收敛更快且可扩展性更强。RIPv2的30秒更新周期在网络需要立即传播路由变更时是一个缺陷。
**为什么将Web服务器部署在DMZ中?**
如果Web服务器被攻陷,攻击者将被困在DMZ中。他们无法访问总部VLAN,因为ASA默认阻止所有从DMZ到总部的流量(较低安全级别区域无法主动向较高安全级别区域发起连接)。
**为什么选择IPSec而不是简单的GRE隧道?**
GRE不提供加密。总部和分支之间的所有站点间流量都承载着敏感的银行数据——使用AES-256加密和SHA-HMAC身份验证是必不可少的。
**为什么用SSH + AAA替代Telnet?**
Telnet以明文形式传输凭据。在管理VLAN上捕获一个数据包就可能暴露所有设备密码。使用RSA-1024的SSH v2完全消除了该攻击向量。
## 展示的技能
- 企业网络设计与IP地址规划策略
- Cisco IOS配置(路由器、交换机、ASA)
- 防火墙区域策略与分层访问控制
- VPN隧道设计与加密配置
- 入侵防护与集中日志管理
- 安全框架分析(NIST Zero Trust SP 800-207)
## 开始使用
1. 安装 [Cisco Packet Tracer](https://www.netacad.com/courses/packet-tracer)(推荐v8.x或更高版本)
2. 打开 `enterprise-network-security-lab.pkt`
3. 在任何设备上使用CLI检查配置
**实用的验证命令:**
| 命令 | 用途 |
|---------|---------|
| `show ip ospf neighbor` | 验证OSPF邻居处于FULL状态 |
| `show interfaces trunk` | 确认VLAN trunk端口 |
| `show crypto isakmp sa` | 验证IKE第一阶段安全关联 |
| `show crypto ipsec sa` | 验证IPSec隧道 / 数据包计数器 |
| `show ip ips all` | 查看活动的IPS特征 |
| `show running-config` | 设备的完整配置 |
## 作者
**Soriful Islam Shoaib**
[GitHub](https://github.com/SHOBUsi) · [LinkedIn](https://www.linkedin.com/in/soriful-islam-shoaib/)
## 构建内容
| 组件 | 技术 |
|------------|-----------|
| 网络模拟 | Cisco Packet Tracer |
| 边界安全 | Cisco ASA 防火墙(基于区域) |
| 动态路由 | OSPF |
| 网络分段 | VLAN + 802.1Q Trunking + 跨 VLAN 路由 |
| 访问控制 | 扩展 ACL(路由器 + ASA) |
| 加密管理 | SSH v2 + AAA(本地) |
| 站点到站点加密 | IPSec VPN — IKEv1, AES-256, SHA-HMAC |
| 威胁检测 | IOS IPS(基于特征) |
| 核心服务 | DHCP, DNS, Web (DMZ), Syslog/NTP |
| 地址转换 | PAT/NAT (ASA 上) |
## 详细步骤
完整实现分为四个详细部分:
| # | 部分 | 涵盖内容 |
|---|---------|---------------|
| 01 | [架构与IP设计](01-architecture-and-ip-design.md) | 拓扑、IP分配、DHCP、设备加固、DNS/Web/Syslog配置 |
| 02 | [路由与分段](02-routing-and-segmentation.md) | OSPF、VLAN trunking、跨VLAN路由(单臂路由) |
| 03 | [防火墙、ACL与VPN](03-firewall-acl-vpn.md) | ASA区域策略、ACL规则、PAT/NAT、SSH/AAA、站点到站点IPSec VPN |
| 04 | [IPS与安全分析](04-ips-and-security-analysis.md) | IOS IPS部署、零信任分析、IPSec密码学深度解析 |
## 关键安全决策
**为什么选择OSPF而不是RIPv2?**
对于多站点拓扑,OSPF收敛更快且可扩展性更强。RIPv2的30秒更新周期在网络需要立即传播路由变更时是一个缺陷。
**为什么将Web服务器部署在DMZ中?**
如果Web服务器被攻陷,攻击者将被困在DMZ中。他们无法访问总部VLAN,因为ASA默认阻止所有从DMZ到总部的流量(较低安全级别区域无法主动向较高安全级别区域发起连接)。
**为什么选择IPSec而不是简单的GRE隧道?**
GRE不提供加密。总部和分支之间的所有站点间流量都承载着敏感的银行数据——使用AES-256加密和SHA-HMAC身份验证是必不可少的。
**为什么用SSH + AAA替代Telnet?**
Telnet以明文形式传输凭据。在管理VLAN上捕获一个数据包就可能暴露所有设备密码。使用RSA-1024的SSH v2完全消除了该攻击向量。
## 展示的技能
- 企业网络设计与IP地址规划策略
- Cisco IOS配置(路由器、交换机、ASA)
- 防火墙区域策略与分层访问控制
- VPN隧道设计与加密配置
- 入侵防护与集中日志管理
- 安全框架分析(NIST Zero Trust SP 800-207)
## 开始使用
1. 安装 [Cisco Packet Tracer](https://www.netacad.com/courses/packet-tracer)(推荐v8.x或更高版本)
2. 打开 `enterprise-network-security-lab.pkt`
3. 在任何设备上使用CLI检查配置
**实用的验证命令:**
| 命令 | 用途 |
|---------|---------|
| `show ip ospf neighbor` | 验证OSPF邻居处于FULL状态 |
| `show interfaces trunk` | 确认VLAN trunk端口 |
| `show crypto isakmp sa` | 验证IKE第一阶段安全关联 |
| `show crypto ipsec sa` | 验证IPSec隧道 / 数据包计数器 |
| `show ip ips all` | 查看活动的IPS特征 |
| `show running-config` | 设备的完整配置 |
## 作者
**Soriful Islam Shoaib**
[GitHub](https://github.com/SHOBUsi) · [LinkedIn](https://www.linkedin.com/in/soriful-islam-shoaib/)标签:ACL, AMSI绕过, ASA防火墙, Cisco Packet Tracer, Cisco认证, DHCP, DNS, GitHub Advanced Security, IOS IPS, IPSec VPN, JSONLines, NTP, OSPF, PAT/NAT, Streamlit, Syslog, VLAN, 企业网络, 入侵防御, 加密通信, 威胁检测, 安全加固, 流量捕获, 端到端加密, 网络分段, 网络安全, 网络拓扑, 网络模拟, 网络设计, 访问控制, 路由协议, 防火墙策略, 隐私保护, 零信任