实验九:ENSP虚拟专用网络分析

最新推荐文章于 2024-05-13 14:28:22 发布
最新推荐文章于 2024-05-13 14:28:22 发布
阅读量4k 收藏 10
点赞数 1
分类专栏: Huawei router and switcher
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27306971/article/details/101200346
版权

实验报告:ENSP虚拟专用网络分析

实验拓扑图

在这里插入图片描述

Requirment
  • 某企业办公总部与生产车间分别位于不同地域,而办公总部与生产车间之间时而有内网数据传输,之前采用专线的形式互联。如今该企业为了节省经营支出,又为了能保证数据传输的安全,稳定及可靠的传输,采用IPsec-VPN部署。
    1. 如图所示,并根据实验拓扑连接各网络节点。
    2. 企业办公总部存在172.16.1.0/24、172.16.2.0/24两个内网网段,而企业分部存在192.168.1.0/24一个内网网段。并且两个区域网络均可接入ISP进行网络互联。(在ISP上创建一个回环口2.2.2.2 做测试)
    3. 由于分部有一定量的生产数据需要反馈,办公总部也有相应的生产车间管理流量及方案等流量需要互传,因此企业采用IPsec-VPN连接使得172.16.1.0/24与192.168.1.0两个网段能够互相传递数据。
    4. 分析IPSec VPN的通信过程、分析同时同时实现IPSecVPN和nat通信的原理。
实验步骤
  • 第一步,首先按照实验要求搭建好实验拓扑图,如下:

在这里插入图片描述

  1. 然后按照实验需求配置好相关IP地址,这里我用路由器代替PC机进行相关测试
  • 第二步,主要配置好NAT,使得AR4、AR6可以访问2.2.2.2,AR5也可以访问2.2.2.2
AR4和AR5访问2.2.2.2

  • 首先在AR4和AR6上面配置一个默认路由指向各自的下一跳,然后就可以理解为AR2就是各自的网关了,最后在AR2上面配置一个默认路由也指向下一跳,并在出口网关上面做一个NAT,命令如下:

    1. [AR2]ACL 3002

      • [AR2-acl-adv-3002]rule 1 deny ip source 172.16.0.0 0.0.3.255 destination 192.168

      .1.0 0.0.0.25 //写这一条的具体原因后面讲解

      • [AR2-acl-adv-3002]rule 2 permit ip source any destination any

    2. [AR2-GigabitEthernet0/0/1]nat outbound 3002

  • 最后AR4和AR6就可以访问2.2.2.2了,AR5用同样的方法,测试图如下:

在这里插入图片描述

IPSec-VPN

  • 最后要实现AR4和AR6分别与AR5进行通信,但是要保证数据的安全、稳定,所以我们采用IPSec-VPN的通信方式,所以我们一般是在出口网关上面配置,具体命令如下:

  • 首先是在AR2上面配置:

    1. 第一步,首先创建一个高级ACL用来匹配需要用VPN传输的流量

      • [AR2]acl 3001
        • [AR2-acl-adv-3001]rule 1 permit ip source 172.16.0.0 0.0.3.255 destination 192.1
          68.1.0 0.0.0.255

    2. 第二步,创建一个IPSec提议,名字叫做tran1,用来表示我们使用IPSec-VPN时候的一些相关约定

      • [AR2]ipsec proposal tran1
        • [AR2-ipsec-proposal-tran1]transform esp //封装协议采用esp
        • [AR2-ipsec-proposal-tran1]encapsulation-mode tunnel //封装模式采用隧道模式
        • [AR2-ipsec-proposal-tran1]esp authentication-algorithm md5 //数据完整性的保证用md5
        • [AR2-ipsec-proposal-tran1]esp encryption-algorithm des //采用des的加密算法

    3. 第三步,创建一个IKE,10用来做源认证

      • [AR2]ike proposal 10
        • [AR2-ike-proposal-10]authentication-method pre-share //用共享密匙来做源认证
        • [AR2-ike-proposal-10]authentication-algorithm md5 //采用md5算法保证共享密匙额完整性
        • [AR2-ike-proposal-10]sa duration 5000 //ike建立SA的生存周期

    4. 前三步都是配置相关的提议,在接下来的配置中会调用以上的提议,进行正式的VPN配置

    5. IKE第一阶段建立ISAKMP认证:

      1. [AR2]ike local-name dada1 //本地ike叫dada1
      2. [AR2]ike peer dada2 v1 //对等体IKE叫dada2 版本都是v1版本
      3. [AR2]ike peer dada v1 //创建一个新的ike peer用来匹配
        • [AR2-ike-peer-dada] exchange-mode aggressive //设置当前ikedada1为主动模式
        • [AR2-ike-peer-dada] pre-shared-key cipher dadatu //配置共享密匙
        • [AR2-ike-peer-dada] ike-proposal 10 //调用ike提示10
        • [AR2-ike-peer-dada] local-id-type name //设置本地ID类型为名字
        • [AR2-ike-peer-dada] remote-name dada2 //对端ID
        • [AR2-ike-peer-dada] local-address 12.12.12.1//本地出接口的IP
        • [AR2-ike-peer-dada] remote-address 23.23.23.2 //对端出接口的IP

    6. IKE第二阶段:

      1. [AR2]ipsec policy map1 10 isakmp /创建安全策略
        • [AR2-ipsec-policy-isakmp-map1-10] security acl 3001 //匹配相应的流量
        • [AR2-ipsec-policy-isakmp-map1-10] ike-peer dada //匹配ike peer dada,里面有相关IKE第一阶段建立认证的配置
        • [AR2-ipsec-policy-isakmp-map1-10] proposal tran1 //调用tran1这个IPsec提议里面有相关配置
      2. [AR2-GigabitEthernet0/0/1]ipsec policy map1 //调用安全策略

  • 最后在AR3上面配置:

    1. 第一步,首先创建一个高级ACL用来匹配需要用VPN传输的流量
      • [AR3]acl 3001
        • [AR2-acl-adv-3001]rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.0.0 0.0.3.255
    2. 第二步,创建一个IPSec提议,名字叫做tran1,用来表示我们使用IPSec-VPN时候的一些相关约定
      • [AR3]ipsec proposal tran1
        • [AR3-ipsec-proposal-tran1]transform esp //封装协议采用esp
        • [AR3-ipsec-proposal-tran1]encapsulation-mode tunnel //封装模式采用隧道模式
        • [AR3-ipsec-proposal-tran1]esp authentication-algorithm md5 //数据完整性的保证用md5
        • [AR3-ipsec-proposal-tran1]esp encryption-algorithm des //采用des的加密算法
    3. 第三步,创建一个IKE,10用来做源认证
      • [AR3]ike proposal 10
        • [AR3-ike-proposal-10]authentication-method pre-share //用共享密匙来做源认证
        • [AR3-ike-proposal-10]authentication-algorithm md5 //采用md5算法保证共享密匙额完整性
        • [AR3-ike-proposal-10]sa duration 5000 //ike建立SA的生存周期
    4. 前三步都是配置相关的提议,在接下来的配置中会调用以上的提议,进行正式的VPN配置
    5. IKE第一阶段建立ISAKMP认证:
      1. [AR3]ike local-name dada2 //本地ike叫dada1
      2. [AR3]ike peer dada1 v1 //对等体IKE叫dada2 版本都是v1版本
      3. [AR3]ike peer dada v1 //创建一个新的ike peer用来匹配
        • [AR3-ike-peer-dada] exchange-mode aggressive //设置当前ikedada1为主动模式
        • [AR3-ike-peer-dada] pre-shared-key cipher dadatu //配置共享密室
        • [AR3-ike-peer-dada] ike-proposal 10 //调用ike提示10
        • [AR3-ike-peer-dada] local-id-type name //设置本地ID类型为名字
        • [AR3-ike-peer-dada] remote-name dada1 //对端ID
        • [AR3-ike-peer-dada] local-address 23.23.23.2//本地出接口的IP
        • [AR3-ike-peer-dada] remote-address 12.12.12.1 //对端出接口的IP
    6. IKE第二阶段:
      1. [AR3]ipsec policy map1 10 isakmp /创建安全策略
        • [AR3-ipsec-policy-isakmp-map1-10] security acl 3001 //匹配相应的流量
        • [AR3-ipsec-policy-isakmp-map1-10] ike-peer dada //匹配ike peer dada,里面有相关IKE第一阶段建立认证的配置
        • [AR3-ipsec-policy-isakmp-map1-10] proposal tran1 //调用tran1这个IPsec提议里面有相关配置
      2. [AR3-GigabitEthernet0/0/0]ipsec policy map1 //调用安全策略

  • 最后就可以通过VPN进行通信了,测试图如下:

在这里插入图片描述

  • 最后我需要说明一下ACL的问题,因为一个出口网关上面有一个NAT的高级ACL3002,和一个VPN用的ACL3001,因为NAT的ACL优先级高于VPN的,所以从出口网关出接口出去的流量会先匹配NAT的ACL,所以我们在NAT的ACL里面先写上一个规则是拒绝VPN之间通信的,当当VPN通信时候,就不会匹配NAT的ACL导致VPN的ACL无法匹配,最终导致VPN不能通信的问题了
达达兔儿
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ensp静态实验报告
Wh0r1n9的博客
03-22 890
当一个数据包来到路由器,路由器将基于数据包中的目标IP地址查看路由表,若表中有记录,则将无条件按照路由表的指示转发,否则直接将数据包丢弃。Pre——优先级——当两条路由条目的目标网段相同时,我们仅加载优先级较高的路由条目到路由表中,取值范围(0~255),数值越大优先级越低。NextHop ——吓一跳,就是数据到达目标网段下一个经过路由器接的入接的IP,直连路由直接写路由器出接的IP。1、隔离泛洪范围——路由器的一个接对应一个广播域——路由器也被称为网关。Interface——流量流出的接
ENSP实验报告
m0_73996670的博客
09-26 409
可以看到AR1除了1.0/24,2.0/24,3.0/24是已经存在的,其他4.0/24,5.0/24,6.0/24都需要手动配置路由条目,其中6.0/24存在两条路径,可以两条路径都配上路由条目。其他路由器也同理,AR2需要配置到1.0/24,6.0/24,3.0/24,5.0/24网段的路由条目。三.给每台路由器端配上ip地址后,需要给每台路由器写静态路由到除直连线路外的网段(以AR1为例)上述命令是针对AR1给pc1执行dhcp的,pc2的DHCP需要在AR4完成相似命令。
华为ensp中路由器IPSec VPN原理及配置命令(超详解)
最新发布
博客之路,前途漫漫
05-13 2585
是一种通过公用网络建立安全连接的技术。它可以使您的设备看起来像是连接到另一个网络,例如公司或家庭网络,即使您实际上位于其他位置。通过在您的设备和远程服务器之间创建加密隧道来工作。该隧道可保护您的互联网流量免受窥探,即使您使用的是公共 Wi-Fi 网络。
ENSP静态路由实验报告
滿浚的博客
01-07 1525
实验
【计算机网络实验】动态路由协议——华为eNSP(详细实验报告+代码)
热门推荐
xtcc的博客
03-30 1万+
文章目录3 实验四:动态路由协议3.1 实验目的和内容3.1.1实验目的3.1.2 实验内容3.2 实验过程3.2.1 基于RIP动态路由协议的网络互联3.2.2 基于OSPF动态路由协议的ipv43.2.3 基于OSPF动态路由协议的ipv63.3 实验分析3.4 实验心得 3 实验四:动态路由协议 3.1 实验目的和内容 3.1.1实验目的 (1)掌握RIP的基本工作原理和配置 (2)掌握OSPF的基本工作原理和配置 3.1.2 实验内容 (1)基于RIP动态路由协议的网络互联 (2)基于OSPF动态路
ENSP虚拟局域网配置-计算机网络实验1
10-27
安装有华为模拟软件 eNSP 的计算机。 实验内容 1、 完成拓扑图的创建 2、 设置 acess 端属性 3、 设置 Trunk 端属性 4、 设置 pc 客户端的 IP 地址与子网掩码 5、通过 Ping 命令测试各 PC 之间的连通性。
实验01:基于ensp实操设备直连通信
04-19
通过华为ensp实操软件完成基本的实验:直连通信并测试实验结果; 附件中含有完整的作业需求与命令配置(word和pdf),以及esnp的实验实操(ensp格式)。 作业要求: 1.按照图中的设备名称,配置各设备名称 2.按照图中...
实验一利用eNSP搭建基础网络.docx
06-12
实验一利用eNSP搭建基础网络.docx实验一利用eNSP搭建基础网络.docx实验一利用eNSP搭建基础网络.docx实验一利用eNSP搭建基础网络.docx实验一利用eNSP搭建基础网络.docx实验一利用eNSP搭建基础网络.docx实验一利用eNSP...
实验04:基于ensp实操设备配置ospf
04-19
通过华为ensp实操软件完成基本的实验:配置ospf并测试实验结果; 附件中含有完整的作业需求与命令配置(word和pdf),以及esnp的实验实操(ensp格式)。 作业要求: 1.如图所示,配置设备名称和IP地址 a)设备Ra与设备...
ensp经典13个实验案例
05-07
实验1 mstp 实验2 vrrp配置 实验3 ospf高级配置 实验4 MSTP+VRRP+OSPF配置 实验5isis配置 实验6路由过滤配置 实验7路由引入 路由策略配置 实验8 BGP基本配置 实验9 BGP选路配置 实验10 GRE VPN配置 实验11 高级手工...
ensp静态综合实验报告
weixin_72380152的博客
01-08 2759
ensp静态综合实验报告
eNSP网络类型实验报告
HAHAHAHHAHAA的博客
07-08 6498
eNSP网络类型实验报告 eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台,主要对企业网络路由器、交换机进行软件仿真,完美呈现真实设备实景,支持大型网络模拟,让广大用户有机会在没有真实设备的情况下能够模拟演练,学习网络技术。 网络类型: 1、 点到点 --在一个网段中,仅允许存在两个节点 2、 MA – 多路访问 在一个网段中节点的数量不做限制 (1) BMA – 广播型多路访问 (2)
信息安全原理与技术第四次实验:虚拟专用网
sjx3161的博客
06-01 1252
为了帮助同学们完成痛苦的实验课程设计,本作者将其作出的实验结果及代码贴至CSDN中,供同学们学习参考。如有不足或描述不完善之处,敬请各位指出,欢迎各位的斧正!1.掌握 VPN 的概念与工作原理; 2.掌握在 Windows 环境下配置 PPTP VPN 的方法; 3.掌握在 Windows 环境下配置 IPSec VPN 的方法。1.VPN 的概念 虚拟专用网(Virtual Private Network,VPN),是指将物理上分布在不同地点的专用网络,通过不可信任的公共网络构造成逻辑上信任的虚拟子网,进
计算机网络实验(华为eNSP模拟器)——第十四章 RIP协议和OSPF协议
小宇y的博客
07-23 3434
自治系统(AS)是指使用同一个内部路由协议的一组网络,每一个AS会分配一个全局的唯一的长度为16位号码的编码标识。 ## (二)内部、外部网关协议 我们知道根据分层次的路由选择方法,可以将路由选择协议分为**内部网关协议**(IGP)和**外部网关协议**(EGP),这里讲的==OSPF==也就是一个`内部网关协议`,与其同类的还有路由信息协议(`RIP`)等,外部网关协议有边界网关协议(`BGP`)等。 ```mermaid graph LR A[路由选择协议] --> B(内部网关协议 IGP) --
ENSP实验——多(三)区域OSPF的基本配置
qq_21230015的博客
12-11 2412
一、设备清单及目标 1,设备 Ensp,4台PC,5台路由器AR2220 2,目标 PC能互通,各路由器上有对应的OSPF路由。 二、拓扑图 三、配置 1,PC PC1:IP/掩码192.168.1.1/24,GW192.168.1.254 PC2:IP/掩码192.168.2.1/24,GW192.168.2.254 PC3:IP/掩码192.168.3.1/24,GW192.168.3.254 PC4:IP/掩码192.168.4.1/24,GW192.168.4.254
网络虚拟化技术要点及实践
jincm的专栏
08-01 3855
摘 要:云计算网络作为云计算基础架构和服务提供的重要组成部分,需要满足更高的要求。本文首先给出网络的重要性,之后从数据中心网络、跨数据中心网络分析了主要技术要点,同时说明广东联通在实践过程中遇到的问题及关注要点。 关键 词: 云计算、虚拟化、虚拟化网络、数据中心 前言 云计算技术是IT行业的一场技术革命,已经成为了IT行业未来发展的方向,这种趋势使得IT基础架构的运营专业化程度不断集中和
网络攻击与防御之网络流量分析实验
qq_45722813的博客
03-24 2509
实验一 网络流量分析 本次实验所使用到的主要软件包括:虚拟机(VMware/VirtualBox), 流量分析软件(Wireshark, Zeek或科来网络数据包分析软件),网络扫描工具nmap,浏览器(Chrome或IE)。 每个题目给出主要操作步骤、截图和分析。 一. 虚拟机环境设置与网络配置 使用VMware或VirtualBox创建Linux虚拟机(Ubuntu或 Centos,推荐Ubuntu 18.04); 1.打开VMware,创建新的虚拟机 2.选择使用【典型】,下一步 3.选择【稍后
ensp抓包分析ARP代理和TCP传输
qq_50605865的博客
11-06 5139
ARP代理和TCP的三次握手与四次挥手 目录 代理ARP实验 TCP的数据报结构 TCP的三次握手 TCP的四次挥手 一、 代理ARP实验 不同网段、不同物理网络上的计算机之间,无法直接通信,却可以通过ARP代理实现相互通信。 AR2配置ip 查看一下 配置AR3的ip并查看 查看路由所有接信息 对AR1设置AR3的数据出和对AR3设置AR1的数据出后 开始抓包分析,发现收不到AR3的mac地址 AR2配置代理ARP功能,在g0/0/0 发现AR3的mac地址,可以通信! 查看A
ensp虚拟专用网实验
05-14
对于ensp虚拟专用网实验,通常的步骤如下: 1. 确定虚拟网络拓扑结构,包括路由器、交换机、PC等设备的数量和连接方式。 2. 在ensp软件中创建虚拟网络拓扑结构,并配置各个设备的IP地址、子网掩码、网关等信息。 3. 配置路由器之间的路由协议(如OSPF、BGP等),使得各个子网之间可以相互通信。 4. 配置交换机之间的VLAN,将不同子网的设备隔离开来。 5. 在PC上进行网络连接测试,验证网络拓扑结构和配置是否正确。 6. 进行故障排除,模拟网络故障并尝试修复。 7. 对网络性能进行测试,如延迟、带宽等指标。 通过以上步骤,可以完成ensp虚拟专用网实验,并深入了解网络拓扑结构、路由协议、VLAN等相关知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值