ensp模拟实验

最新推荐文章于 2024-05-10 16:07:54 发布
最新推荐文章于 2024-05-10 16:07:54 发布
阅读量3.3k 收藏 47
点赞数 6
文章标签: 网络 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51562406/article/details/121493722
版权

实验背景:办公室网络实验

基本组成:1台Ftp-server,1台Web-server,一台HR部门的终端pc-1,一台SALES部门的终端pc-2,一台IT部门的终端pc-3,一台路由器R1和一台交换机LSW3。为了满足公司的安全需求,要求在R1上使用ACL对部门之间的互访,以及用户对服务器的访问控制。另外,只允许LSW3的Vlanif 1接口的ip地址作为源地址远程登陆到R1,以实现R1的远程控制和管理。

实验拓扑如下: 

R1地址配置如下:

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int g4/0/1
[Huawei-GigabitEthernet4/0/1]ip address 192.168.11.254 24
[Huawei-GigabitEthernet4/0/1]int g4/0/2
[Huawei-GigabitEthernet4/0/2]ip address 192.168.12.254 24
[Huawei-GigabitEthernet4/0/2]int g4/0/3
[Huawei-GigabitEthernet4/0/3]ip address 192.168.13.254 24
[Huawei-GigabitEthernet4/0/3]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.111.254 24

LSW3地址配置如下:

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan 1
[Huawei-vlan1]int vlan1 
[Huawei-Vlanif1]ip address 192.168.111.11 24

Client1地址配置:192.168.11.1 24   网关:192.168.11.254 24

Client2地址配置:192.168.12.2 24   网关:192.168.12.254 24

Client3地址配置:192.168.13.3 24   网关:192.168.13.254 24

服务器地址设置:

Ftp服务器地址设置:   192.168.111.111 24 网关:192.168.111.254 24

Web服务器地址设置:192.168.111.222 24 网关:192.168.111.254 24

如上配置,此时全网已经可以互通!如下,用client进行ping服务器,发现可以发送成功。证明网络可以互通,其他client也是如此,图略。

根据客户要求实现具体操作:

要求1:  

为各部门创建安全区域,公司希望使用华为ar系列路由器的区域间防火墙特性来提高安全性,所以在R1上为client1部门,c2部门,c3部门分别创建安全区域。区域名字与部门名字一致,c1安全级别为12,c2级别为10,c3级别为8。另外创建trust区域,级别为14,两台服务器都在该区域。配置如下:

AR1(创建安全区域)

[Huawei]firewall zone c1
[Huawei-zone-c1]priority 12
[Huawei-zone-c1]q
[Huawei]firewall zone c2
[Huawei-zone-c2]priority 10
[Huawei-zone-c2]q
[Huawei]firewall zone c3
[Huawei-zone-c3]priority 8
[Huawei-zone-c3]q
[Huawei]firewall zone trust
[Huawei-zone-trust]priority 14

将AR1上连接不同部门的接口加入到相应的安全区域中,配置如下:

[Huawei]int g4/0/1
[Huawei-GigabitEthernet4/0/1]zone c1
[Huawei-GigabitEthernet4/0/1]int g4/0/2
[Huawei-GigabitEthernet4/0/2]zone c2
[Huawei-GigabitEthernet4/0/2]int g4/0/3
[Huawei-GigabitEthernet4/0/3]zone c3
[Huawei-GigabitEthernet4/0/3]int g0/0/1  
[Huawei-GigabitEthernet0/0/1]zone trust 

此时各自接口已经划分到相应的安全区域,使用display firewall zone 查看相应信息,如下:

要求2:禁止c1和c2部门之间的互访

实现方法如下:

启用c1和c2区域间的防火墙

[Huawei]firewall interzone c1 c2  
[Huawei-interzone-c1-c2]firewall enable 

进行上面配置后,防火墙功能启动,此时c1可以访问c2,但c2不能访问c1.

使用display firewall interzone c1 c2查看c1和c2区域间的默认策略

 inbound是c2去往c1的数据,outbound是c1去c2的数据,上图看出inbound被deny,outbound是permit。

由于默认的c2不能访问c1,因此只需要在outbound方向将c1去往c2的报文过滤即可。

创建高级acl 3000来定义从c1到c2的报文。配置如下:

[Huawei]acl 3000
[Huawei-acl-adv-3000]step 10
[Huawei-acl-adv-3000]rule deny ip source 192.168.11.1 0.0.0.0 destination 192.16
8.12.2 0.0.0.0
[Huawei-acl-adv-3000]q 
[Huawei]firewall interzone c1 c2
[Huawei-interzone-c1-c2]packet-filter 3000 outbound 

此时c1去往c2的报文也被禁止,此时已经双方都相互ping不通,使用命令查看:可以看出acl 3000已经被应用在c1和c2的outbound方向。

 此时,实现了c1和c2双向禁止访问的需求。

要求3:实现对Web-server和Ftp-server访问的控制

c2可以访问web但是禁止访问ftp。

首先开启c2和trust之间的防火墙,因为trust级别高,此时c2不能访问trust方向上的服务器。

然后创建acl 3001,允许c2访问web,并应用在c2和trust之间。

配置如下:
[Huawei]firewall interzone c2 trust 
[Huawei-interzone-trust-c2]firewall enable 
[Huawei-interzone-trust-c2]q
[Huawei]acl 3001  
[Huawei-acl-adv-3001]rule 10 permit tcp source 192.168.12.2 0.0.0.0 destination 
192.168.111.2 0 destination-port eq 80
[Huawei-acl-adv-3001]q
[Huawei]firewall interzone c2 trust 
[Huawei-interzone-trust-c2]packet-filter 3001 inbound 

此时,c2可以访问web,但是访问不了ftp,如下:

 

 如上图,说明要求已经得到满足。

新的要求:

c3部门可以随时访问ftp,但是只能每天的14:00至16:00才能访问web,还要求c3能随时ping通ftp和web。

思路:

首先使能c3和trust之前的防火墙,因为trust高,所以trust可以访问c3,c3不能访问trust 

设置策略放行ftp inbound方向上的流量,放行web 14:00-16:00 inbound 方向上的流量,放行icmp inbound方向上的流量。

配置如下: 
[Huawei]firewall interzone c3 trust 
[Huawei-interzone-trust-c3]firewall enable 
[Huawei-interzone-trust-c3]q
[Huawei]time-range access-web 14:00 to 16:00 daily 
[Huawei]acl 3003
[Huawei-acl-adv-3003]step 10
[Huawei-acl-adv-3003]rule permit tcp source 192.168.13.3 0 destination 192.168.1
11.2 0 destination-port eq 80 time-range access-web
[Huawei-acl-adv-3003]rule permit tcp source 192.168.13.3 0 destination 192.168.1
11.1 0 destination-port eq 21
[Huawei-acl-adv-3003]rule permit icmp source 192.168.13.3 0 destination 192.168.
111.1 0
[Huawei-acl-adv-3003]rule permit icmp source 192.168.13.3 0 destination 192.168.
111.2 0
[Huawei-acl-adv-3003]q
[Huawei]firewall interzone c3 trust 
[Huawei-interzone-trust-c3]packet-filter 3003 inbound 

如上配置,要求已经实现,测试图略。

新要求:实现对设备的安全管理和控制

为了实现对AR1的安全管理,只允许Sw1上的vlanif1接口的ip地址192.168.111.11能够作为源地址登录到AR1.

思路:在R1上配置vty用户接口,允许远程主机通过tlenet管理R1.本例中telnet密码为huawei

配置如下:
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode password 
Please configure the login password (maximum length 16):huawei

使用基本acl对路由器的vty终端进行保护,只允许192.168.111.11的报文访问R1的vty终端。

配置如下:

[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.111.11 0
[Huawei-acl-basic-2000]q 
[Huawei]user-interface vty 0 4 
[Huawei-ui-vty0-4]acl 2000 inbound 

如上配置,此时在Sw1上就可以远程登录R1

 现在将地址修改一下,将vlanif1修改为别的地址

[Huawei]int vlan 1
[Huawei-Vlanif1]dis this
#
interface Vlanif1
 ip address 192.168.111.11 255.255.255.0
#
return

[Huawei-Vlanif1]ip address 192.168.111.222 24
<Huawei>telnet 192.168.111.254
Trying 192.168.111.254 ...
Press CTRL+K to abort

此时,已经无法登录,实验成功!

一张白纸白又白
关注
  • 6
    点赞
  • 47
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
华为-eNSP基础实例配置及过程】
叫我小虎就行了的博客
09-20 9010
华为-eNSP基础实例配置及过程】
华为ENSP网络实验
weixin_50344820的博客
10-15 1万+
文章目录实验要求实验所需的技术支持实验配置实验拓扑图LSW4的配置(二层交换机)LSW5的配置(二层交换机)LSW6的配置(二层交换机)LSW1的配置(三层交换机)LSW2的配置(三层交换机)AR1的配置AR2的配置AR3的配置AR4的配置AR5的配置 实验要求 内部网络要求互通; 内部网络能够连接外部的服务器; 路由器能够获取外部服务器的服务; 公网服务器无法连接内部的主机。 实验所需的技术支持 OSPF:链路状态路由协议 RIP:距离矢量路由协议 NAT:网络地址转换协议 ACL:访问控制列表 VRRP
ENSP(综合实验 1)
最新发布
qq_40604952的博客
05-10 726
3.内网服务器对外发布的地址为64.1.1.3 互联网用户可以访问这台服务器。4.内网服务器的域名是www.baidu.com ,各PC可通过域名访问。2.各部门可互相访问,也可访问内网服务器172.16.100.1。1.网络中有3个部门,均可自动获取地址。
网络安全综合实验(eNSP)(DHCP、OSPF、NAT、防火墙、ACL)
热门推荐
!不将就的博客
06-04 2万+
网络安全综合实验 一、概述 1.1 实验背景及要求 配置ACL,过滤具有某种特点的分组。 配置NAT。在企业内部结构化分层使用NAT地址。 实验测试一种网络攻击,比如SYN_Flood、MAC泛洪攻击或ARP攻击。 配置防火墙,禁止某种网络服务(防火墙在企业内网与外网之间)。 配置VPN。企业内网与外网之间可能有防火墙,也可能有NAT。从企业外部,用户不能直接访问企业内部。企业员工外出,或跨地区、跨国家企业都有跨越公众互联网,访问企业内部网络的需求。配置NAT某种VPN,比如L2TP VPN 或SSL V
eNSP实验
weixin_54225453的博客
07-16 599
实验目的: 1:全网通 2:client访问服务器1 实验步骤 1:配置地址和vlan PC端,交换机和路由器使用access 交换机与交换机之间使用truck 私网与公网之间配置缺省路由 2:配置ospf 114:area 0 11: area 1 14 :area 2 10 20 30 40 :area 3 100 :area 4 3:配置映射 4:优化 10 20 30 40 区域(aera 3):划为stub区域,减少路由条目 100 区域(area 4):划为stub区域 114,11,14之.
计算机网络模拟器eNSP实验
devils325的博客
03-18 1598
计算机网络ensp模拟器实验【ospf、bgp、nat、dhcp、acl】
eNSP模拟实验指导以及实验拓扑资料
10-22
eNSP模拟实验指导以及实验拓扑资料
最新HCIE-R&S重点知识笔记整理及配套eNSP模拟实验
04-28
最新HCIE-R&S重点知识笔记整理及配套模拟实验器 BGP.one Feature.one IPv6.one ISIS.one LAB场景.one MPLS 跨域.one MPLS 单域one MPLS.one OSPF.one QoS.one STP.one WLAN.one 二层.one 打开笔记本....
华为eNSP GRE实验
11-29
总之,通过这个"华为eNSP GRE实验",你将深入理解GRE协议的工作原理,掌握如何在华为网络设备上配置GRE隧道,并学习如何使用eNSP进行网络模拟和故障排查。这是一个提升网络技能和实践经验的重要实践环节。
ENSP实验Acl nat server
10-20
ENSP实验Acl nat server】是网络模拟平台ENSP(Elastic Network Service Platform)中的一个实践环节,主要涉及网络安全和网络地址转换的关键技术。在实际的网络环境中,访问控制列表(Access Control List, ACL)...
ensp实验:ipv6 over ipv4
02-04
在这个ensp(Enterprise Network Simulation Platform,企业网络模拟平台)实验中,我们将探讨如何通过IPv6 over IPv4隧道实现两个被IPv4网络隔开的IPv6孤岛之间的互连。 IPv6是Internet Protocol Version 6的简称...
【Huawei认证5.0】利用eNSP网络基础配置实验——包含基础命令,二层三层网络实验拓扑图和验证~~~
武师叔的博客
10-04 1万+
通过配置交换机 VLAN 特性,实现相同 VLAN 的用户通信及不同 VLAN 的用户隔离。每个VLAN是一个广播域,VLAN内的主机间可以直接通信,而VLAN间则不能直接互通。双击 PC3,点击选项卡中的“命令行”页签,进入命令行界面。双击 PC1,点击选项卡中的“命令行”页签,进入命令行界面。将 GE0/0/02 和 G0/0/3 接口配置为 Access 接口,默认 VLAN 分别为 10 和20。双击 LSW1 进入命令行界面,使用如下命令进入系统视图修改系统名称。双击设备,进入设备命令行界面。
访问控制列表实验
love_zjl的博客
08-20 1478
一台Ftp-Server,一台Web-Server,一台HR终端PC1,一台SALES终端PC2,一台IT终端PC3,一台路由器R1和一台交换机SW1。 配置如下:路由器R1使用A2220,添加板卡4GEW-T。交换机SW1使用S3700。按图进行配置地址。 备注:AR1220的eth接口是二层口,而AR201的前7接口为二层口,eth0/0/8是三层口。只有三层口才能配置ip。 命令大...
企业网络组建项目实训——项目五网络安全(使用eNSP
qq_24526483的博客
10-17 2259
进行了分隔,现在公司要求:允许人事部可以访问财务部,公司网络管理员决定通过三层交换机(信科公司有多个部门,每个部门都用。标准访问控制列表来实现此功能。中接上一台计算机,并为其设置好。本任务的网络拓扑图如图。
【静态路由实验】基于华为模拟器(ensp)的静态路由配置实验
weixin_51338719的博客
03-16 3407
静态路由实验,建立拓扑pc1>>R1>>R2>>R3>>pc2,使pc1与pc2能相互通信。
华为ensp模拟器使用:VRRP经典实例
weixin_57704002的博客
09-03 1万+
VRRP经典实例
ensp的ipsec实验(ike自动协商)
qq_44933518的博客
04-02 6826
配置步骤:配置网络可达–配置ACL识别兴趣流–创建安全提议–创建安全策略–应用安全策略 配置网络可达–配置ACL识别兴趣流–创建ike提议–创建ike对等体–创建ipsec提议–创建ipsec策略–应用安全策略 ...
HCIA(华为体系初级网络安全工程师)eNSP(基础实验一静态路由)
m0_63069714的博客
12-06 1034
题目要求: 步骤一:对IP地址进行子网划分。 1,首先将192.168.1.0/24的IP地址进行子网划分,取其中五段子网,用来作为可用网段使用,其他作为备用网段。 子网划分结果: 192.168.1.0/27 192.168.1.32/27 192.168.1.64/27 192.168.1.96/27 192.168.1.128/27 192.168.1.160/27 192.168.1.192/27 192.168.1.224/27 2,将192.168.1.0/27的
HCIA/HCIP使用eNSP模拟路由综合实验
skawngur111的博客
11-25 2416
使用eNSP模拟路由综合实验 路由综合 目录使用eNSP模拟路由综合实验拓扑预览一、配置RIP区域(粉色)1.配置R2 g0/0/0与回环口并宣告路由2.配置R1 g0/0/0 g0/0/1并宣告路由3.测试二、配置OSPF区域(黄色)1.配置R42.配置R53.配置R64.配置R75.路由宣告网段的计算 与 反掩码的计算6.测试三、配置静态区域(蓝色)1.配置静态路由2.在R4中发布缺省路由3.配置R3配置完成 开始测试 拓扑预览 拓扑配置如图所示 要求: 1.R1 R2 配置RIP 2.R4 R
华为ensp 模拟校园网实验
05-19
实验过程中,可以通过eNSP提供的仿真环境模拟各种网络故障,例如链路断开、路由故障等,以便进行网络故障排除和应急处理。同时,eNSP还支持多用户协同操作,方便教师和学生进行网络实验教学。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值