【eNSP 华为模拟器】小型校园网模拟环境的设计与配置(2)ACL的应用 (附eNSP源文件)
最新推荐文章于 2024-04-06 00:27:57 发布
阅读量1.2w
收藏
228
点赞数
20
【eNSP 华为模拟器】小型校园网模拟环境的设计与配置(2)ACL的应用
- 一、实验概述
- 二、交换机的配置
- 2.1 二层交换机的配置
- 2.2 三层交换机的配置
- 三、路由器的配置(OSPF和ACL配置)
- 四、实验结果
- 五、实验总结
- 六、补充
eNSP源文件: eNSP工程文件下载链接
通过上面的地址下载,需要积分(可以去某宝找csdn代下。
一、实验概述
按照以下的拓扑连接,自行设计VLAN和IP地址等网络参数,实现PC1到PC2的IP通信。其中,R1,R2为路由器;LSW1,LSW4为3层交换机;LSW2,LSW3 ,LSW6, LSW7为2层交换机;CLIENT1-CLIENT12为PC机。
拓扑图
课程设计要求:
要求:
(1)按照拓扑连接好,并配置VLAN端口划分,然后配置TRUNK参数,最后配置3层交换机的路由端口,以及路由器的各个端口参数,能够确保VLAN间通信节点通信的顺利进行。
(2)可应用策略路由、或者访问控制列表ACL,完成以下的访问控制要求:假定在CLIENT3计算机上装载WEB服务器程序,提供WEB网页访问服务。在CLIENT11计算机上加载FTP服务器程序,提供FTP文件上下载服务。
CLIENT1 —CLIENT6 可访问WEB服务器
CLIENT7----CLIENT12可访问FTP服务器
VLAN200 可访问FTP服务器,VLAN100,VLAN300不可访问FTP服务器。VLAN500 可访问WEB服务器,VLAN400,VLAN600不可访问WEB服务器。请配置正确的ACL,并放置在合理的位置。
实验环境
依据实验要求,计划设置八个VLAN,分别是:
VLAN10(LSW1) 和VLAN10(LSW2)创建的原因:需要给两个三层交换机的出口配置IP地址,但由于交换机的端口不能直接设置IP地址,只能将交换机端口划入vlan,然后给这个vlan interface 设置IP地址。
二、交换机的配置
2.1 二层交换机的配置
二层交换机上配置过程的思想:以二层交换机LSW7为例,其他二层交换机的配置同理。需要要在LSW7上划分VALN。首先,进入交换机的全局配置模式,建立VLAN100、VLAN200、VLAN300,将e0/0/1口、e0/0/2口、e0/0/3口一起设置为access模式并依次分给VLAN100、VLAN200、VLAN300。然后,将二层交换机出口e0/0/4口设置为trunk模式,并允许所有的vlan通过。
二层交换机的配置命令如下:
<Switch7>sys
[Switch7]undo info-center enable //关闭消息提示
[Switch7]vlan batch 100 200 300
Info: This operation may take a few seconds. Please wait for a moment...done.
[Switch7]interface Ethernet0/0/1
[Switch7-Ethernet0/0/1]port link-type access
[Switch7-Ethernet0/0/1]port default vlan 100
[Switch7]interface Ethernet0/0/2
[Switch7-Ethernet0/0/2]port link-type access
[Switch7-Ethernet0/0/2]port default vlan 200
[Switch7]interface Ethernet0/0/3
[Switch7-Ethernet0/0/3]port link-type access
[Switch7-Ethernet0/0/3]port default vlan 300
[Switch7]interface Ethernet0/0/4
[Switch7-Ethernet0/0/4]port link-type trunk
[Switch7-Ethernet0/0/4]port trunk allow-pass vlan all
2.2 三层交换机的配置
三层交换机上配置过程的思想:以三层交换机LSW2为例,其他三层交换机的配置同理。首先,需要要在LSW2上划分VALN;进入交换机的全局配置模式,建立VLAN100、VLAN200、VLAN300;依次进入VLAN内部配置VLAN的IP地址为VLAN所在的网段。然后,将三层交换机与二层交换机之间的接口g0/0/1和g0/0/2设置为trunk模式,并允许所有的vlan通过。为了给g0/0/3配置一个IP地址,先创建一个VLAN10,分配给g0/0/03,设置模式为access,然后给Vlan10配置IP地址。接着,为三层交换机开启OSPF路由,建立一个区域0,宣告网络。
三层交换机的配置命令如下:
<Switch2>sys
[Switch2]undo info-center enable //关闭消息提示
[Switch2]vlan batch 100 200 300
Info: This operation may take a few seconds. Please wait for a moment...done.
[Switch2]int vlanif 100
[Switch2-Vlanif100]ip address 192.168.10.1 24
[Switch2]int vlanif 200
[Switch2-Vlanif200]ip address 192.168.20.1 24
[Switch2]int vlanif 300
[Switch2-Vlanif300]ip address 192.168.30.1 24
[Switch2]int g0/0/1
[Switch2-GigabitEthernet0/0/1]port link-type trunk
[Switch2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[Switch2]int g0/0/2
[Switch2-GigabitEthernet0/0/2]port link-type trunk
[Switch2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[Switch2]vlan 10
[Switch2]int g0/0/3
[Switch2- GigabitEthernet 0/0/3]port link-type access
[Switch2 GigabitEthernet 0/0/3]port default vlan 10
[Switch2]int vlanif 10
[Switch2-lanif10]ip address 172.16.3.1 24
[Switch2]ospf
[Switch2-ospf-1]area 0
[Switch2-ospf-1-area-0.0.0.0] network 192.168.10.0 0.0.0.255
[Switch2-ospf-1-area-0.0.0.0] network 192.168.20.0 0.0.0.255
[Switch2-ospf-1-area-0.0.0.0] network 192.168.30.0 0.0.0.255
[Switch2-ospf-1-area-0.0.0.0] network 172.16.3.0 0.0.0.255
三、路由器的配置(OSPF和ACL配置)
路由器上配置过程的思想:以路由器R2为例,其他路由器的配置同理。首先,需要给e0/0/0口和s0/0/0口配置IP地址;然后启动ospf协议,并宣告网络。然后在路由器与三层交换机的接口GE0/0/0上配置高级ACL(访问控制列表)。
R2路由器的配置命令如下
[R2]int e0/0/0
[R2-Ethernet0/0/0]ip address 172.16.3.2
[R2-Ethernet0/0/0]int s0/0/0
[R2-Serial0/0/0]ip address 172.16.2.2 24
[R2]ospf
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255
[R2]acl 3001
[R2-acl-adv-3001]rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 192.1
68.50.22 0 destination-port eq 21
[R2-acl-adv-3001]rule 10 deny tcp source 192.168.30.0 0.0.0.255 destination 192.
168.50.22 0 destination-port eq 21
[R2-acl-adv-3001]rule 15 permit tcp source 192.168.20.0 0.0.0.255 destination 19
2.168.50.22 0 destination-port eq 21
[R2-acl-adv-3001]q
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
R1路由器的配置命令如下
#
interface g0/0/2
ip address 10.1.4.2 255.255.255.0
interface g0/0/1
ip address 10.1.12.1 255.255.255.0
#
#
ospf 1 router-id 255.1.1.1
area 0.0.0.0
network 10.1.4.0 0.0.0.255
network 10.1.12.0 0.0.0.255
#
#
acl number 3001
rule 5 deny tcp source 192.168.4.0 0.0.0.255 destination 192.168.30.33 0 destination-port eq www
rule 10 deny tcp source 192.168.6.0 0.0.0.255 destination 192.168.30.33 0 destination-port eq www
rule 15 permit tcp source 192.168.5.0 0.0.0.255 destination 192.168.30.33 0 destination-port eq www
#
#
interface GigabitGigabitEthernet0/0/2
traffic-filter inbound acl 3001
#
四、实验结果
经过上述的配置,跨交换机路由器的校园网模拟环境的设计与配置就已经完成了。
以下是IP通信的截图
Vlan100尝试访问FTP服务器失败,如下图。
Vlan200中的Client5访问FTP服务器成功,并成功下载到FTP服务器的文件。
Vlan400 500 600 访问WEB服务器的结果,其中VLAN 400内的Client7和VLAN 600内的Client9都访问失败,只有VLAN 500内的Client8访问成功,如下图所示。
Vlan100 200 300 访问WEB服务器的结果,全部都访问成功,如下图所示。
Vlan400 500 600访问WEB服务器的结果,全部都访问成功,如下图所示。
自此,通信验证完毕。
五、实验总结
在本次实验中,我用了高级ACL,来检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号,从而实现了对某种访问进行控制;信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性。这次实验使我更加深入理解ACL的设计与配置。
六、补充
问题一:当我们设置好ACL并将ACL配置到接口上的时候,该如何删除ACL呢?首先需要在接口上把ACL给删除,然后在系统视图下删除ACL。
华骑小技巧:进入接口配置模式,输入disp this,看看配置的哪条命令,然后在前面加undo。
下图举例
从接口上删除ACL后,只需在系统视图下用undo acl acl-id 即可。
问题二:两台路由器被要求使用广域网接口S口连接,而大多数ensp里的路由器都没有S口怎么办?
答:S口是一个组件,需要在路由器关机状态下,右键路由器,按设置,即可进入到一个路由器实体的页面。在这里,我们将手动为路由器添加一个含有广域网接口S口的组件即可。下图示例
参考文献:
eNSP华为模拟器使用——(3)eNSP模拟FTP服务器
eNSP华为模拟器使用——(4)eNSP模拟HTTP服务器
ensp中的ACL
标准ACL与扩展ACL有什么区别?
3633
暂无认证
到【灌水乐园】发言
普通网友: 干货满满,实用性强,博主的写作风格简洁明了,让人一目了然。文章涵盖了很多实用的知识点。【我也写了一些相关领域的文章,希望能够得到博主的指导,共同进步!】
max4510: 请教下大佬,为什么两个硬盘不拔掉另外一个非系统盘就不能把系统装进去啊 这是什么原因
m0_73737982: 没有任何反应呀
weixin_45510977: 再生父母+1
qq546057026: 大佬我的为啥修改不了啊我的也是jpg图片