asier-mena/infraestructura-corporativa-asir

GitHub: asier-mena/infraestructura-corporativa-asir

一个基于GNS3的企业虚拟化IT基础设施实验室，用于模拟和学习企业网络、系统管理及安全监控。

Stars: 0 | Forks: 0

# 企业虚拟化IT基础设施 **毕业设计项目 - 网络计算机系统管理 (ASIR)** **IES Pere Maria Orts i Bosch 学校 - 2025年** [![GNS3](https://img.shields.io/badge/GNS3-Network%20Lab-00ADEF?style=for-the-badge)](https://gns3.com) [![MikroTik](https://img.shields.io/badge/MikroTik-CHR-293E7A?style=for-the-badge)](https://mikrotik.com) [![Windows Server](https://img.shields.io/badge/Windows%20Server-AD%20DS%20%7C%20DNS%20%7C%20DHCP-0078D4?style=for-the-badge)](https://www.microsoft.com/windows-server) [![Docker](https://img.shields.io/badge/Docker-Compose-2496ED?style=for-the-badge)](https://www.docker.com) [![Wazuh](https://img.shields.io/badge/Wazuh-SIEM-005571?style=for-the-badge)](https://wazuh.com) [![Suricata](https://img.shields.io/badge/Suricata-IDS%2FIPS-FF6600?style=for-the-badge)](https://suricata.io) 一个在GNS3中部署的完整企业基础设施实验室：通过VLAN划分的网络、基于Windows Server的集中服务、监控、备份、自动化、容器和防御性安全。

## 项目描述本项目在虚拟化环境中复现了一套企业IT基础设施。其目标是设计、部署并记录一个集成了系统管理、网络、Windows/Linux服务及安全工具的实用企业网络。该基础设施结合了MikroTik设备、Windows和Linux服务器、加入域的客户端、内部服务、监控、备份和事件检测。最终成果是一个旨在演练IT部门常见场景的实验室。 ## 技术目标 - 使用GNS3设计一个虚拟化的企业网络拓扑。 - 通过VLAN和VLAN间路由对网络进行分段。 - 将MikroTik配置为路由器、交换机、防火墙、NAT和DHCP中继。 - 使用Windows Server和Active Directory集中身份和管理服务。 - 通过GPO自动化客户端配置。 - 使用PRTG监控基础设施。 - 使用UrBackup管理集中备份。 - 使用Docker Compose在Ubuntu Server上部署服务。 - 集成Wazuh和Suricata以实现防御性安全和事件分析。 ## 网络拓扑 ``` flowchart LR internet[(Internet)] --> rt["MikroTik Router
NAT - Firewall - DHCP Relay"] rt --> sw["MikroTik Switch
Bridge - VLAN Filtering - 802.1Q"] sw --> vlan10["VLAN 10 - Servidores
10.10.10.0/24"] sw --> vlan20["VLAN 20 - Servicios Docker
10.10.20.0/24"] sw --> vlan30["VLAN 30 - Administracion
10.10.30.0/24"] vlan10 --> win["Windows Server
AD DS - DNS - DHCP - SMB - PRTG - UrBackup"] vlan20 --> ubuntu["Ubuntu Server
Docker - Wazuh - Homer - WordPress - MariaDB"] vlan30 --> client["Cliente Windows
Dominio - GPO - Wazuh Agent - Suricata"] client --> wazuh["Eventos y logs
Suricata eve.json"] wazuh --> ubuntu ``` | VLAN | 网段 | IP范围 | 功能 | | --- | --- | --- | --- | | VLAN 10 | 服务器 | `10.10.10.0/24` | 基础设施基础服务 | | VLAN 20 | Docker服务 | `10.10.20.0/24` | 应用、控制面板和安全 | | VLAN 30 | 管理 | `10.10.30.0/24` | 加入域的企业客户端 | ## 服务架构 ``` flowchart TB red["Capa de red
GNS3 - MikroTik - VLANs - NAT - Firewall"] --> identidad["Capa de identidad
Active Directory - DNS - DHCP - OUs - Grupos"] identidad --> clientes["Capa cliente
Windows 10 - GPO - Unidades de red - Software gestionado"] identidad --> operacion["Capa de operacion
PRTG - UrBackup - hMailServer - Chocolatey"] clientes --> seguridad["Capa de seguridad
Wazuh Agent - Suricata IDS/IPS"] operacion --> seguridad seguridad --> siem["Wazuh SIEM
Logs - Vulnerabilidades - Eventos"] identidad --> docker["Capa de servicios Linux
Ubuntu - Docker Compose - Homer - WordPress - MariaDB"] docker --> siem ``` ## 技术栈 | 领域 | 技术 | | --- | --- | | 实验室与虚拟化 | GNS3, VMware, MikroTik CHR | | 网络 | 802.1Q VLAN, trunk/access端口, NAT, 防火墙, DHCP中继, DNS转发 | | Microsoft | Windows Server, Active Directory, DNS, DHCP, SMB, GPO, hMailServer | | Linux | Ubuntu Server, Docker, Docker Compose, 域集成 | | 监控 | PRTG Network Monitor, 传感器, 告警和网络发现 | | 备份 | UrBackup Server, 客户端代理和集中备份 | | 自动化 | GPO, 部署脚本和Chocolatey | | 安全 | Wazuh SIEM, 代理, 漏洞检测, Suricata IDS/IPS | | Web与数据 | WordPress, MariaDB, phpMyAdmin, HeidiSQL | ## 实施的模块 ### 1. 使用MikroTik的企业网络在GNS3中部署了两台MikroTik设备，分离了路由和交换功能： - 具有WAN出口、NAT伪装、防火墙规则和DNS转发的路由器。 - 向Windows Server进行DHCP中继，实现各VLAN的动态地址分配。 - 启用了网桥和VLAN过滤的交换机。 - 路由器和交换机之间使用802.1Q trunk端口。 - 用于将终端设备连接到对应VLAN的access端口。 ### 2. Windows Server和Active Directory Windows Server充当企业基础设施的核心： - 域名 `asier.local`。 - Active Directory域服务。 - 按服务和网段划分的OU结构。 - 用于权限管理的用户和组。 - 具有内部解析功能的DNS。 - 按VLAN划分作用域的DHCP。 - 通过SMB实现的共享文件夹。 - 通过GPO映射网络驱动器。 ### 3. GPO与客户端管理应用了组策略以自动化客户端设备的配置： | 策略 | 目标 | | --- | --- | | 网络驱动器 | 自动挂载共享资源 | | 企业背景 | 集中配置视觉外观 | | Homer作为首页 | 快速访问内部仪表板 | | Chocolatey | 为自动化软件管理做准备 | | Firefox | 作为自动化测试部署软件 | ### 4. 监控与告警 PRTG用于监督设备、服务和可用性： - 使用域凭据进行网络发现。 - 用于内部设备和服务的传感器。 - VLAN网段监控。 - 通过hMailServer和Thunderbird进行邮件通知。 - 验证受监控设备状态变化时的告警。 ### 5. 集中备份 UrBackup被部署为备份解决方案： - 集中式备份服务器。 - 客户端代理。 - 计划备份配置。 - 通过Web控制台管理备份。 ### 6. 使用Docker的Linux服务 Ubuntu Server被用作使用Docker Compose部署的服务的主机： ``` servicios: homer: dashboard interno de administracion wordpress: sitio web corporativo mariadb: base de datos phpmyadmin: administracion web de la base de datos wazuh: plataforma SIEM y analisis de seguridad ``` Docker允许隔离服务，简化部署，并保持更有序的架构。 ### 7. 使用Wazuh和Suricata的防御性安全实验室集成了用于检测和分析的工具： - Wazuh作为集中式SIEM。 - 激活漏洞检测。 - 在Windows客户端上安装Wazuh代理。 - Suricata作为IDS/IPS用于捕获和分析流量。 - Emerging Threats规则集。 - 将Suricata的 `eve.json` 日志集成到Wazuh中。 - 用于自动启动流量捕获的计划任务。 ## 展示的能力 | 能力 | 项目中的体现 | | --- | --- | | 网络管理 | VLAN, 路由, trunking, NAT, 防火墙和DHCP中继 | | Microsoft系统 | AD DS, DNS, DHCP, SMB, GPO和客户端管理 | | Linux系统 | Ubuntu Server, 服务, 域和容器 | | 虚拟化 | GNS3, VMware和多机器实验室 | | IT运维 | PRTG, 告警, 备份和集中管理 | | 防御性安全 | Wazuh, Suricata, 代理, 日志和漏洞 | | 自动化 | GPO, Chocolatey, 脚本和Docker Compose | | 技术文档 | 架构、服务、测试和部署决策 | ## 项目价值本实验室整合了真实IT环境中的许多常见任务：网络设计、域管理、内部服务、客户端管理、监控、备份、应用部署和防御性安全。该项目展示了系统和网络的横向视野，将工具和服务连接在一个连贯的基础设施中，而不是将它们视为孤立的实践。 ## 作者 **Asier Mena Romero** 网络计算机系统管理高级技术员 (ASIR) 本项目作为毕业设计完成。 [![GitHub](https://img.shields.io/badge/GitHub-asier--mena-181717?style=for-the-badge&logo=github)](https://github.com/asier-mena) [![LinkedIn](https://img.shields.io/badge/LinkedIn-Asier%20Mena%20Romero-0A66C2?style=for-the-badge&logo=linkedin&logoColor=white)](https://www.linkedin.com/in/asier-mena-romero/) [![Email](https://img.shields.io/badge/Email-reixer85%40gmail.com-EA4335?style=for-the-badge&logo=gmail&logoColor=white)](mailto:reixer85@gmail.com)

标签：Awesome, DHCP服务, DNS服务, Docker容器化, GNS3, IT教育, Metaprompt, MikroTik路由器, NAT, Suricata IDS/IPS, Terraform 安全, VLAN网络分段, Wazuh SIEM, Windows Server活动目录, 企业IT基础设施, 备份策略, 毕业设计项目, 系统管理, 网络模拟, 自动化运维, 虚拟化实验室, 请求拦截, 路由配置, 防火墙设置