eNSP 华为模拟器小型校园网模拟环境的设计与配置(2)ACL的应用


【eNSP 华为模拟器】小型校园网模拟环境的设计与配置(2)ACL的应用

  • 一、实验概述
  • 二、交换机的配置
    • 2.1 二层交换机的配置
    • 2.2 三层交换机的配置
  • 三、路由器的配置(OSPF和ACL配置)
  • 四、实验结果
  • 五、实验总结

一、实验概述

按照以下的拓扑连接,自行设计VLAN和IP地址等网络参数,实现PC1到PC2的IP通信。其中,R1,R2为路由器;LSW1,LSW4为3层交换机;LSW2,LSW3 ,LSW6, LSW7为2层交换机;CLIENT1-CLIENT12为PC机。
拓扑图
在这里插入图片描述
课程设计要求:
课程设计要求
要求:
(1)按照拓扑连接好,并配置VLAN端口划分,然后配置TRUNK参数,最后配置3层交换机的路由端口,以及路由器的各个端口参数,能够确保VLAN间通信节点通信的顺利进行。
(2)可应用策略路由、或者访问控制列表ACL,完成以下的访问控制要求:假定在CLIENT3计算机上装载WEB服务器程序,提供WEB网页访问服务。在CLIENT11计算机上加载FTP服务器程序,提供FTP文件上下载服务。
CLIENT1 —CLIENT6 可访问WEB服务器
CLIENT7----CLIENT12可访问FTP服务器
VLAN200 可访问FTP服务器,VLAN100,VLAN300不可访问FTP服务器。VLAN500 可访问WEB服务器,VLAN400,VLAN600不可访问WEB服务器。请配置正确的ACL,并放置在合理的位置。

实验环境
实验环境
依据实验要求,计划设置八个VLAN,分别是:
在这里插入图片描述
VLAN10(LSW1) 和VLAN10(LSW2)创建的原因:需要给两个三层交换机的出口配置IP地址,但由于交换机的端口不能直接设置IP地址,只能将交换机端口划入vlan,然后给这个vlan interface 设置IP地址。

二、交换机的配置

2.1 二层交换机的配置

二层交换机上配置过程的思想:以二层交换机LSW7为例,其他二层交换机的配置同理。需要要在LSW7上划分VALN。首先,进入交换机的全局配置模式,建立VLAN100、VLAN200、VLAN300,将e0/0/1口、e0/0/2口、e0/0/3口一起设置为access模式并依次分给VLAN100、VLAN200、VLAN300。然后,将二层交换机出口e0/0/4口设置为trunk模式,并允许所有的vlan通过。

二层交换机的配置命令如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<Switch7>sys
[Switch7]undo info-center enable  //关闭消息提示
[Switch7]vlan batch 100 200 300
Info: This operation may take a few seconds. Please wait for a moment...done.
[Switch7]interface Ethernet0/0/1
[Switch7-Ethernet0/0/1]port link-type access
[Switch7-Ethernet0/0/1]port default vlan 100

[Switch7]interface Ethernet0/0/2
[Switch7-Ethernet0/0/2]port link-type access
[Switch7-Ethernet0/0/2]port default vlan 200

[Switch7]interface Ethernet0/0/3
[Switch7-Ethernet0/0/3]port link-type access
[Switch7-Ethernet0/0/3]port default vlan 300

[Switch7]interface Ethernet0/0/4
[Switch7-Ethernet0/0/4]port link-type trunk
[Switch7-Ethernet0/0/4]port trunk allow-pass vlan all

2.2 三层交换机的配置

三层交换机上配置过程的思想:以三层交换机LSW2为例,其他三层交换机的配置同理。首先,需要要在LSW2上划分VALN;进入交换机的全局配置模式,建立VLAN100、VLAN200、VLAN300;依次进入VLAN内部配置VLAN的IP地址为VLAN所在的网段。然后,将三层交换机与二层交换机之间的接口g0/0/1和g0/0/2设置为trunk模式,并允许所有的vlan通过。为了给g0/0/3配置一个IP地址,先创建一个VLAN10,分配给g0/0/03,设置模式为access,然后给Vlan10配置IP地址。接着,为三层交换机开启OSPF路由,建立一个区域0,宣告网络。

三层交换机的配置命令如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
<Switch2>sys
[Switch2]undo info-center enable  //关闭消息提示
[Switch2]vlan batch 100 200 300
Info: This operation may take a few seconds. Please wait for a moment...done.
[Switch2]int vlanif 100
[Switch2-Vlanif100]ip address 192.168.1.1 24
[Switch2]int vlanif 200
[Switch2-Vlanif200]ip address 192.168.2.1 24
[Switch2]int vlanif 300
[Switch2-Vlanif300]ip address 192.168.3.1 24
[Switch2]int g0/0/1
[Switch2-GigabitEthernet0/0/1]port link-type trunk
[Switch2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[Switch2]int g0/0/2
[Switch2-GigabitEthernet0/0/2]port link-type trunk
[Switch2-GigabitEthernet0/0/1]port trunk allow-pass vlan all

[Switch2]vlan 10
[Switch2]int g0/0/3
[Switch2- GigabitEthernet 0/0/3]port link-type access
[Switch2 GigabitEthernet 0/0/3]port default vlan 10
[Switch2]int vlanif 10
[Switch2-lanif10]ip address 172.16.3.1 24

[Switch2]ospf
[Switch2-ospf-1]area 0
[Switch2-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[Switch2-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[Switch2-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
[Switch2-ospf-1-area-0.0.0.0] network 172.16.3.0 0.0.0.255

三、路由器的配置(OSPF和ACL配置)

路由器上配置过程的思想:以路由器R2为例,其他路由器的配置同理。首先,需要给e0/0/0口和s0/0/0口配置IP地址;然后启动ospf协议,并宣告网络。然后在路由器与三层交换机的接口GE0/0/0上配置高级ACL(访问控制列表)。

路由器的配置命令如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
[R2]int e0/0/0
[R2-Ethernet0/0/0]ip address 172.16.3.2
[R2-Ethernet0/0/0]int s0/0/0
[R2-Serial0/0/0]ip address 172.16.2.2 24
[R2]ospf
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255

[R2]acl 3001
[R2-acl-adv-3001]rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 192.1
68.50.22 0 destination-port eq 21
[R2-acl-adv-3001]rule 10 deny tcp source 192.168.30.0 0.0.0.255 destination 192.
168.50.22 0 destination-port eq 21
[R2-acl-adv-3001]rule 15 permit tcp source 192.168.20.0 0.0.0.255 destination 19
2.168.50.22 0 destination-port eq 21
[R2-acl-adv-3001]q

[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001

四、实验结果

经过上述的配置,跨交换机路由器的校园网模拟环境的设计与配置就已经完成了。
以下是IP通信的截图
Vlan100尝试访问FTP服务器失败,如下图。
在这里插入图片描述
Vlan200中的Client5访问FTP服务器成功,并成功下载到FTP服务器的文件。
在这里插入图片描述
Vlan400 500 600 访问WEB服务器的结果,其中VLAN 400内的Client7和VLAN 600内的Client9都访问失败,只有VLAN 500内的Client8访问成功,如下图所示。
在这里插入图片描述
Vlan100 200 300 访问WEB服务器的结果,全部都访问成功,如下图所示。
在这里插入图片描述
Vlan400 500 600访问WEB服务器的结果,全部都访问成功,如下图所示。
在这里插入图片描述

自此,通信验证完毕。

五、实验总结

在本次实验中,我用了高级ACL,来检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号,从而实现了对某种访问进行控制;信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性。这次实验使我更加深入理解ACL的设计与配置。

参考文献:
eNSP华为模拟器使用——(3)eNSP模拟FTP服务器
eNSP华为模拟器使用——(4)eNSP模拟HTTP服务器
ensp中的ACL
标准ACL与扩展ACL有什么区别?