LucasHuerta/Muni-Melipilla-Genesis

# 网络基础设施改造 — Municipalidad de Melipilla 为 Ilustre Municipalidad de Melipilla 开发的毕业设计项目，旨在对一个十多年未进行过重大更新的网络设施进行全面的网络基础设施升级改造。 ## 项目概述 | | | |---|---| | **客户** | 智利 Ilustre Municipalidad de Melipilla | | **范围** | 全面 LAN 基础设施改造（Layer 2/3 + 安全）| | **周期** | 105 天（2025 年 3 月 – 8 月）| | **团队** | Juan Tapia Galleguillos · Lucas Huerta Cordero | | **所属机构** | Duoc UC — 网络与连接工程 | | **合规性** | 智利网络安全框架法 N°21.663 · 数字化转型法 N°21.180 | ## 问题陈述 现有网络频繁出现连接故障，且不符合智利的《网络安全框架法》(N°21.663)，使市政的日常运作和公民数据面临风险。 在初步评估期间发现的具体问题： - 没有分段的扁平化网络 — 所有部门共享同一个广播域 - 200 多个终端设备使用静态 IP 寻址 - 无冗余 — 核心层单点故障将导致整栋建筑的网络瘫痪 - 没有入侵检测或集中式事件日志记录 - 线缆未标记且缺乏文档记录 - 不符合 N°21.663 法律要求 ## 解决方案架构 ### 网络拓扑 设计并实现了一个三层 hierarchical 模型： ``` Internet (GTD ISP x2) | ------+------ FW1 FW2 Fortinet FortiGate 200F (HA pair) | | SWC1 ==== SWC2 Core: Cisco Catalyst C9500-24Y4C LACP HSRP Groups 1 & 2 (Active/Passive) SW3 ==== SW4 Distribution: Cisco C9300-48P-A | | RPVST+ per VLAN +-----------+ | [11 access racks across 3 floors] ``` ### VLAN 划分 | VLAN | 部门 | 子网 | |---|---|---| | 10 | 行政 / 财务 | 10.255.10.0/24 | | 20 | 市长办公室 | 10.255.20.0/24 | | 30 | 人力资源 | 10.255.30.0/24 | | 40 | IT 部门 | 10.255.40.0/24 | | 50 | 服务 / DIDECO | 10.255.50.0/24 | | 60 | 公共工程 | 10.255.60.0/24 | | 70 | 综合市政 | 10.255.70.0/24 | | 99 | Native VLAN | — | | 100 | 网络管理 | 10.255.100.0/24 | ## 技术栈 **高可用性** - HSRP — 两个主/备组，每个对应一个 VLAN 集群 - LACP IEEE 802.3ad — 核心交换机之间的链路聚合 - RPVST+ IEEE 802.1w — 快速的每 VLAN 生成树收敛 **安全** - Fortinet FortiGate 200F HA 双机作为网络边界 - Snort IPS — inline 入侵检测与防御 - Wazuh SIEM — 集中式安全事件关联 - Rsyslog — 收集来自所有网络设备的日志 - Port Security — 所有接入端口的 MAC 绑定 - BPDUGuard + PortFast — 边缘端口加固 - VACL + ACL — VLAN 间流量过滤 - 所有设备启用 SSH — 禁用 Telnet **物理基础设施** - 多模光纤 OM3 50/125 — 1500m 主干 - Cat6A UTP 综合布线，完全标记并备有文档 - 12 个机柜：1 个核心 + 11 个分布-接入 ## 网络安全合规性 — 法律 N°21.663 | 要求 | 实现 | |---|---| | 事件检测系统 | Wazuh SIEM + Snort IPS | | 定义的告警级别 | 5 级矩阵 | | 最大遏制时间 | L1: 4h / L3: 60min / L5: 15min | | CSIRT 国家报告 | 记录了标准化的报告格式 | | 员工培训计划 | 针对市政员工的 9 模块计划 | | 指定的安全官 | 在治理文档中明确界定 | ## 实时演示 所有配置均已测试并录制： | 演示 | 描述 | |---|---| | [DHCP 服务器](evidence/videos/demo-dhcp-server.mp4) | 跨所有 VLAN 的动态 IP 分配 | | [HSRP 冗余](evidence/videos/demo-hsrp-redundancy.mp4) | 核心交换机宕机时的故障转移模拟 | | [Syslog 服务器](evidence/videos/demo-syslog-server.mp4) | 从 Cisco 设备集中收集日志 | | [Wazuh SIEM](evidence/videos/demo-wazuh-siem.mp4) | 安全事件仪表板和告警关联 | | [网络追踪](evidence/videos/demo-network-tracking.mp4) | 端到端数据包流验证 | ## 预算 | 设备 | 数量 | 单价 (CLP) | 总计 (CLP) | |---|---|---|---| | Cisco Catalyst C9500-24Y4C | 4 | $5,478,820 | $21,915,280 | | Cisco Catalyst C9300-48P-A | 18 | $4,100,000 | $73,800,000 | | Dell PowerEdge R440 | 2 | $1,544,897 | $3,089,794 | | 光纤 OM3 50/125 (1500m) | 1 | — | $1,101,000 | | **总计** | | | **~$99,906,074** | ## 仓库结构 ``` Muni-Melipilla-Genesis/ ├── README.md ├── diagrams/ │ ├── topology-logical.png │ ├── rack-core.png │ ├── floor-plan-physical.vsdx │ └── racks-distribution.vsdx ├── docs/ │ └── project-report-full.docx ├── evidence/ │ └── videos/ │ ├── demo-dhcp-server.mp4 │ ├── demo-hsrp-redundancy.mp4 │ ├── demo-syslog-server.mp4 │ ├── demo-wazuh-siem.mp4 │ └── demo-network-tracking.mp4 ├── planning/ │ └── project-schedule.mpp ├── presentation/ │ ├── presentation.pptx │ └── presentation.pdf └── security/ ├── VLAN-design.md ├── incident-response-plan.md └── compliance-ley21663.md ``` ## 经验教训 最大的挑战是让 HSRP 和 RPVST+ 正确协同工作 — 使根桥与每个 VLAN 集群的活动 HSRP 网关保持一致，需要经过多次迭代和故障转移测试才能确保行为稳定。 将 Wazuh 与 Rsyslog 集成以接收来自 Cisco 设备的日志也比预期花费了更长时间，这主要是由于不同 IOS 版本之间的 syslog 格式存在差异。 ## 作者 Lucas Huerta Cordero 网络与连接工程 — Duoc UC (2025) 智利，圣地亚哥 [LinkedIn](https://www.linkedin.com/in/lucas-huerta-cordero) · [GitHub](https://github.com/LucasHuerta) *Cisco IOS · Fortinet FortiOS · Wazuh · Snort · Linux*

标签：VLAN, 合规要求, 网络基础设施, 网络安全, 网络架构, 防火墙, 隐私保护