华为OSPF与ACL综合应用实例讲解

在企业中OSPF和ACL应用特别广泛，本文重点介绍ospf与acl用的实例讲解。
	本实例企业拓扑图如下：

项目案例要求：

1.企业内网运行OSPF路由协议，区域规划如图所示； 2.财务和研发所在的区域不受其他区域链路不稳定性影响； 3.R1、R2、R3只允许被IT登录管理； 4.YF和CW之间不能互通，但都可以与IT互通； 5.IT和YF可以访问Client1，但CW不能访问Client1； 6.YF和CW只能访问Server1的WWW服务；

项目规划：

分析： CW 1.YF和CW之间不能互通，但都可以与IT互通； 2.CW不能访问Client1； 3.CW只能访问Server1的WWW服务； YF 1.YF和CW之间不能互通，但都可以与IT互通； 3.YF只能访问Server1的WWW服务； IT 1.R1、R2、R3只允许被IT登录管理； 2.IT可以访问Client1；

项目实施：
阶段一：配置基本网络；

R1 sysname R1 interface GigabitEthernet0/0/0 ip address 1.1.1.254 255.255.255.0 interface GigabitEthernet0/0/1 ip address 192.168.12.1 255.255.255.0 interface GigabitEthernet0/0/2 ip address 192.168.13.1 255.255.255.0 quit R2 sysname R2 interface GigabitEthernet0/0/0 ip address 192.168.12.2 255.255.255.0 interface GigabitEthernet0/0/1 ip address 192.168.10.254 255.255.255.0 interface GigabitEthernet0/0/2 ip address 192.168.20.254 255.255.255.0 quit R3 sysname R3 interface GigabitEthernet0/0/0 ip address 192.168.13.2 255.255.255.0 interface GigabitEthernet0/0/1 ip address 192.168.30.254 255.255.255.0 interface GigabitEthernet0/0/2 ip address 192.168.40.254 255.255.255.0 quit

阶段二：配置OSPF；

R1 ospf 1 router-id 1.1.1.1 area 0.0.0.0 network 192.168.12.0 0.0.0.255 network 192.168.13.0 0.0.0.255 area 0.0.0.1 network 1.1.1.0 0.0.0.255 quit R2 ospf 1 router-id 2.2.2.2 area 0.0.0.0 network 192.168.12.0 0.0.0.255 area 0.0.0.2 network 192.168.10.0 0.0.0.255 network 192.168.20.0 0.0.0.255 stub no-summary quit R3 ospf 1 router-id 3.3.3.3 area 0.0.0.0 network 192.168.13.0 0.0.0.255 area 0.0.0.3 network 192.168.30.0 0.0.0.255 network 192.168.40.0 0.0.0.255 stub no-summary quit IT sysname IT interface GigabitEthernet0/0/0 ip address 192.168.10.1 255.255.255.0 ospf 1 area 0.0.0.2 network 192.168.10.0 0.0.0.255 stub 阶段三：配置ACL,，满足企业需求； 财务部ACL设置 R3 acl number 2000
rule 10 permit source 192.168.10.0 0.0.0.255 user-interface vty 0 4 acl 2000 inbound authentication-mode password 123 acl name cw rule 10 deny ip source 192.168.30.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 rule 20 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 30 permit tcp source 192.168.30.0 0.0.0.255 destination 192.168.40.1 0 destination-port eq www rule 40 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.40.1 0 interface GigabitEthernet0/0/1 traffic-filter inbound acl name cw 研发部ACL设置 R2 acl number 2000
rule 10 permit source 192.168.10.0 0.0.0.255 user-interface vty 0 4 acl 2000 inbound authentication-mode password 123 acl name yf
rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 20 permit tcp source 192.168.20.0 0.0.0.255 destination 192.168.40.1 0 destination-port eq www rule 30 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 interface GigabitEthernet0/0/2 traffic-filter inbound acl 3name yf IT部ACL设置 R1 acl number 2000
rule 10 permit source 192.168.10.0 0.0.0.255 user-interface vty 0 4 acl 2000 inbound authentication-mode password 123 acl number 3000
rule 10 permit tcp source 1.1.1.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 destination-port eq www rule 20 deny ip source 1.1.1.0 0.0.0.255 destination 192.168.40.1 0 interface GigabitEthernet0/0/1 traffic-filter inbound acl 3000

项目验证：
	验证一：在CW网络进行验证，如下
	财务可以访问server1服务器的web服务

但无法ping通server1服务器

验证二：在YF网络进行验证，如下

研发可以访问server1的web服务 但无法ping通server1服务器

验证三：R1、R2、R3只允许被IT登录管理，如下

IT可以登录R2： R1不可以登陆R2：

所以项目要求验证成功。。。。。。
	
	    项目总结：
					1.项目在配置ospf时一定要注意特殊区域的配置要完整；
					2.在配置acl时要主要序列号和源、目标ip地址配置正确。