ENSP:静态综合实验2（附加nat地址转换）

ENSP实验：静态综合实验2

一、原理简介

静态路由是计算机网络中的一种路由方式，它是由网络管理员手动配置的，不会自动适应网络变化

基本概念

1. 目标网络：每个网络设备上都有一个路由表，其中包含了它可以直接访问的网络和其他网络的出口信息。
2. 路由表：路由表是一个记录目标网络与对应出口之间关系的列表。静态路由是手动配置的，管理员会在路由表中添加静态路由条目，指定目标网络和出口之间的映射。
3. 出口：出口是指数据包传出本网络的接口，这可能是直接连接到目标网络的物理接口，也可以是连接到其他路由器的接口。

静态路由的优点

1. 简单易懂：静态路由的配置相对简单，不需要复杂的算法来计算路由，只需要手动添加路由条目。
2. 资源消耗较少：静态路由不需要消耗额外的计算资源，对设备性能的要求较低
3. 安全性：由于静态路由是手动配置的，所以相比动态路由，它的安全性更高，更不容易受到网络攻击。

静态路由的缺点

1. 不适应网络变化：静态路由不具备动态适应网络变化的能力，一旦网络拓扑发生改变，管理员需要手动更新路由表，否则可能导致数据包传输失败或丢失。
2. 维护困难：在大规模网络中，静态路由的维护可能会变得非常繁琐，特别是当网络发生较频繁的改变时。
3. 有限的灵活性：静态路由无法根据网络流量负载自动调整路由路径，这在高负载情况下可能导致某些路径拥堵而影响整体性能。

适用场景

1. 小型网络：在小型网络中，静态路由是比较常见的选择，因为网络结构相对简单，路由表的维护相对容易。
2. 固定网络拓扑：如果网络拓扑结构稳定，很少发生变化，静态路由可以提供稳定的路由传输，避免不必要的控制开销。
3. 安全要求高的网络：在一些对安全性要求极高的网络环境下，管理员可能更倾向于使用静态路由，因为它可以避免动态路由协议可能面临的一些攻击风险。

二、ENSP仿真实验概述

ensp的介绍

"ENSP"是华为企业级网络设备模拟器（Enterprise Network Simulation Platform）的缩写。它是华为公司提供的一款网络仿真软件，旨在帮助网络管理员和工程师在虚拟环境中规划、配置和测试企业级网络设备和拓扑。

以下是ENSP的一些主要介绍和功能：

1. 网络拓扑模拟：ENSP允许用户在虚拟环境中构建复杂的企业级网络拓扑。用户可以添加和连接不同类型的虚拟设备，例如华为路由器、交换机、防火墙等，并设置它们之间的链路和端口属性。
2. 设备模拟：ENSP提供华为企业级网络设备的模拟器，可以模拟华为的不同系列路由器和交换机。这样，用户可以在没有实际硬件设备的情况下，通过软件模拟真实设备的功能和特性。
3. 配置和管理：用户可以通过ENSP对虚拟设备进行配置和管理。可以设置设备的接口、IP地址、路由协议、VLAN、安全特性等等，就像在真实设备上进行配置一样。
4. 网络测试：ENSP支持模拟各种网络测试场景，如故障排除、负载均衡、链路聚合、网络性能测试等。用户可以在虚拟环境中模拟这些场景，以评估和优化网络的性能和稳定性。
5. 学习和培训：ENSP是一个非常有用的教学工具，特别适合学生和网络工程师用于学习和实验华为设备的配置和操作。它可以提供一个安全的实验环境，让用户在不影响真实网络的情况下学习和实践。
6. 版本支持：ENSP支持多种华为设备的模拟，包括不同型号和操作系统版本。这使得用户可以根据自己的需求选择合适的设备进行模拟和测试

ensp的安装

依次安装VirtualBox(版本5.2.26)、WinPcap(版本4.1.3)、Wireshark(版本：1.12.4)、ensp(版本：1.3.00.100)

三、实验要求

 

四、实验步骤

1、搭建拓扑图并分配IP地址

IP地址的划分：

由题目要求可知，一共要在192.168.1.0/24上划分5个子网，其中包括一个骨干网络子网，三个环回路由段*（Loopback 接口是一种虚拟接口，通常不与任何物理设备直接相连，而是在路由器上模拟一个虚拟的逻辑接口，相当于外接在路由器上的PC机）外加一个R3上的用户网络段。一共五个子网要从掩码24开始向后借3位以达到最多分八个子网的效果，我们使用前五个即可。*由于骨干子网192.168.1.0/27有6个网络段，每个网络段上只有两个端口IP地址，为了避免出现路由黑洞，所以其掩码长度可以设为极限值30（掩码的最大长度是30，其中只包含2个IP地址），掩码27到30之间又能容纳8个网络段大于所需的六个网络段，所以如上图分配即可。环回子网分别使用：

.001 00000 .32/27 R1 .010 00000 .64/27 R2 .011 00000 .96/27 R3

每个环回子网再各向后借一位一分为二即可达到目的

用户网络段使用192.168.1.128/27，网络段分配完毕之后只需要在各个接口分配相应的具体的ip地址即可，此处不再赘述。

配置命令的输入

此处仅给出命令语法，详细配置过程参见拓扑图即可

进入系统视图：system-view

更改设备名称：sys-name 名称

创建环回接口网卡：interface Loopback [number]

进入千兆接口视图：interface GigabitEthernet 接口号码

进入百兆接口视图：interface Ethernet 接口号码

为环回接口或其他接口分配ip地址：ip address ip地址 （进入接口视图后输入）

2、静态路由的分析和配置

关于静态路由的扩展知识

负载均衡： 路由器的负载均衡是一种网络技术，用于在多个网络路径之间均衡分配流量或数据包，以确保网络资源的合理利用和提高网络性能。在路由器上实现负载均衡可以帮助解决网络拥堵、减轻特定链路的负载压力，并提高整个网络的容量和稳定性。 在路由器的负载均衡中，主要涉及两个方面： 1、流量分发：当路由器收到从源到目的地的数据包时，根据负载均衡算法，路由器将数据包分发到多个可用的出口路径中的一个。这样做可以确保各个路径上的流量得到均衡分配，避免某条路径过载，而其他路径空闲的情况。 2、负载均衡算法：决定将流量分发到哪个出口路径的关键因素。常见的负载均衡算法包括 轮询（Round Robin）：按照预定义的顺序依次将数据包分发到每个出口路径。 加权轮询（Weighted Round Robin）：给每个出口路径分配权重，按照权重比例分发数据包。 最小连接数（Least Connections）：选择连接数最少的出口路径进行数据包分发，以确保负载均衡。 最短延迟（Least Response Time）：选择延迟最小的出口路径，以减少数据包传输的时间。

手工汇总： 路由器的手工汇总（Manual summarization）是一种网络路由配置技术，用于将多个子网汇总成更大的网络范围，以减少路由表的规模，简化路由器的处理和提高路由表查询效率。 在IP网络中，每个子网都有一个唯一的IP地址范围，当网络规模较大时，可能会产生大量的子网，每个子网都需要在路由器的路由表中有一个对应的条目。如果不对路由表进行汇总，路由表的规模可能会急剧增大，造成路由器的处理负担增加，可能会影响路由表的查询和更新速度，甚至导致路由器出现性能问题。 手工汇总可以通过将多个连续的子网汇总成一个更大的网络范围来优化路由表。汇总的过程是将这些连续的子网合并成一个超网（Supernet）或聚合网络，使用更大的子网掩码来代表汇总后的网络。 例如，假设有以下三个子网：192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 通过手工汇总，可以将它们合并成一个更大的超网：192.168.0.0/22。在这个超网范围内，包含了原始三个子网的地址空间。路由器只需要在路由表中添加一条192.168.0.0/22的汇总条目，就可以代表这三个子网的路由信息，而不需要分别添加三个单独的子网条目。

路由黑洞：

路由黑洞（Routing Black Hole）是指在计算机网络中出现的一种异常情况，当数据包被发送到某个目标网络或主机时，由于路由配置错误或网络故障，数据包无法被正确转发到目标位置，最终被丢弃或丢失。这种情况通常导致数据包无法到达目标，就像被吞噬在一个黑洞中一样，因此称为“路由黑洞”。

最常见的路由黑洞是由网段汇总造成的，即汇总的网段中包含了网络内实际不存在的网段，被访问时将出现有去无回现象--浪费了硬件资源，建议合理的规划ip地址，尽量的精确汇总路由

被动黑洞：虽然汇总的网段中没有不存在的网段，但是其中一个网段的设备关机断电后就成为了主动黑洞

主动黑洞就是因为汇总网段没有汇总好或者IP规划没有规划好造成的

缺省路由：

一条不限定目标的路由条目，路由器查表时，在查询完本地所有的直连、静态、动态路由后，若依然没有可达路径才使用该条目； 配置缺省路由的命令： [r1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

空接口防环

当路由黑洞和缺省路由相遇时必然出现环路，即数据包在一条链路上打转，以下面这个例子来说明这个现象

 

配置好上图的所有ip地址之后，用AR9 ping 5.5.5.97，此时这个数据包会反复在两个路由器之间传递，过程：AR9发出5.5.5.97时查询自己的路由表之后找到了静态路由5.5.5.96/27，于是将该包传给AR8，但是对于AR8来说，这个包所在的网段5.5.5.96/27对自己来说并不存在，相当于5.5.5.0/24网段的一个路由黑洞，此时如果AR8没有配置缺省路由，就应该将包丢弃但此时因为缺省路由的存在又将包丢给了该包的发送者，如此循环往复，这个包就在两个路由器之间来回传递

解决方法：空接口放环机制

给出现路由黑洞的路由器配置到达汇总网段（将5.5.5.128/27和5.5.5.96/27汇总之后形成5.5.5.0/24）的空接口：ip route-static 5.5.5.0 24 NULL 0

此时如果AR8再接收到5.5.5.129-5.5.5.158之外的任何介于5.5.5.0/24与5.5.5.224/27之间形成的所有网段内的数据包将直接丢弃

浮动静态路由：

路由器若同时存在两条到达相同目标的静态路由时，需要关注两条静态路由信息的优先级，优先级小的将被优先加载到路由表被使用；若优先级相同，两条会同时加表实现负载均衡；

优先级的范围：0-255 默认静态路由的优先级为60

通过修改默认的静态路由优先级，可以实现静态路由备份的效果-- 浮动静态路由

ip route-static 1.1.1.0 255.255.255.0 12.1.1.2 preference 61

应用：两台路由器之间连接两根带宽不同的网线，当高带宽网线正常工作时使用走高带宽网线，高带宽网线故障或者接口故障时自动选择走第二条低带宽网线作为临时补充

开始配置各个路由器的静态路由

R1:

 

因为R1路由器在最左边，对于右侧的R4上的所有直连网段以及R4右侧所有网段都可以通过负载均衡的方式走缺省路由，对于R2和R3上的环回聚合段则单独配置即可。对于192.168.1.8/30 和192.168.1.12/30 则必须单独配置，因为如果通过负载均衡会造成到达192.168.1.12/30 的数据包通过途径R2和R4的方式绕远路，到达192.168.1.8/30的数据包也是同样的道理

R2:

 

对于R4上的所有直连网段以及R4右侧的所有网段对于R2来说都可以通过缺省路由直接下一跳到192.168.1.10 来实现。中间骨干聚合段除了192.168.1.12/30 以外，其余的192.168.1.8/30和192.168.1.0/30 是直连R2的，不用管，而192.168.1.4/30 必须通过下一跳到192.168.1.1来实现否则会绕路。R1的环回聚合段单独配置即可，R3的环回聚合段走负载均衡即可

R3:

 

配置思路和R2相同，不再赘述

R4:

 

因为R4负责将所有要到公网网段的数据包转发到边界路由器R5，此处采用缺省路由将数据包传递给边界路由器即可，题目还要求在正常情况下走千兆宽带，在故障情况下走百兆宽带，所以只需设定两条缺省路由的优先级即可，如[AR4]ip route-static 0.0.0.0 0 192.168.1.18 preference 61 将走百兆线的静态路由的优先级设为61。对于R1的环回段采用负载均衡，对R2和R3的环回段分别走上路和下路。以及两条骨干网段192.168.1.0/30和192.168.1.4/30 分别选择下一跳为192.168.1.9和192.168.1.12即可

R5:

 

由于R5是公网和私网的边界路由器，所以进入私网时配置一个汇总的静态路由并注意设定两条路线的优先级即可，要到公网时配置一个缺省的静态路由，确保数据包可以从公网回来则配置出接口一对多nat转换

R6：作为ISP路由器，除了配置IP地址以外不做任何配置

配置R3的DHCP服务

[R3]dhcp enable 
Info: The operation may take a few seconds. Please wait for a moment.done.
[R3]ip pool a
Info: It's successful to create an IP address pool.
[R3-ip-pool-a]network 192.168.1.128 mask 27
[R3-ip-pool-a]gateway-list 192.168.1.129
[R3-ip-pool-a]quit
[R3]interface g0/0/2
[R3-GigabitEthernet0/0/2]dhcp select global

将PC1和PC2获取IP地址的方式改为动态获取

 

 

空接口防环配置

给R1和R2这种有环回接口的而且有缺省路由的路由器做空接口防环

[R1]ip route-static 192.168.1.32 27 NULL 0

[R2]ip route-static 192.168.1.64 27 NULL 0

由于R4上也有缺省路由且有三个路由黑洞192.168.1.160/25、192.168.1.192/25、192.168.1.224/25，这三个路由黑洞加上R4自己的环回可以汇合为192.168.1.128/25，应该基于该汇合做空接口防环

[R4]ip route-static 192.168.1.128 25 NULL 0

配置R5的nat一对多地址转换

[R5]acl 2000
[R5-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R5-acl-basic-2000]quit
[R5]interface g0/0/1
[R5-GigabitEthernet0/0/1]nat outbound 2000

此时私网设备可以ping通公网的设备了

配置端口映射

目的：R6通过telnet命令链接R5的公有IP地址时实际登录到了R1上

1、在R1上创建登录账号用于telnet登录

[R1]aaa
[R1-aaa]local-user mingxiang privilege level 15 password cipher 123456
Info: Add a new user.	
[R1-aaa]local-user mingxiang service-type telnet
[R1-aaa]quit
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa

2、在私网和公网的边界路由器的出接口上配置端口映射

[R5-GigabitEthernet0/0/1]nat static protocol tcp global current-interface 23 ins
ide 192.168.1.5 23
Warning:The port 23 is well-known port. If you continue it may cause function fa
ilure.
Are you sure to continue?[Y/N]:y

当公网设备访问该设备的23号端口时就会被映射到内网的192.168.1.5的23号端口上，达到了公网设备telnet此设备时实际上登录的是私网中的设备R1

效果：