【ensp】nat与高级acl的配置(内附ospf与ssh)

最新推荐文章于 2024-08-27 14:53:44 发布
最新推荐文章于 2024-08-27 14:53:44 发布
阅读量3.1k 收藏 38
点赞数 11
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55803921/article/details/117172683
版权

文章目录

实验要求:

在这里插入图片描述

  1. 合理配置IP地址
  2. 如图规划VLAN信息,PC1/PC2/PC5属于VLAN103,AR1属于VLAN101
  3. 需要合理配置MSTP,ETH-TRUNK,VRRP使网络达到最佳可用性
  4. 配置动态路由协议,使全网互通,私有地址不允许出现在ISP中 要求:AR3不允许配置任何路由
  5. 在AR3上配置SSH功能,使AR1可以使用admin1/admin1登陆到AR1上进行远程管理
  6. 只允许AR1SSH到AR3,不可以ping通AR3,只允许PC5ping通AR3,不能SSH到AR3

第一步 规划拓扑

在这里插入图片描述

第二步 划分vlan,规划合理的mstp

划分vlan

[lsw1]vlan b 101 103
[lsw1]int g 0/0/3
[lsw1-GigabitEthernet0/0/3]interface g 0/0/3
[lsw1-GigabitEthernet0/0/3]port link-type trunk
[lsw1-GigabitEthernet0/0/3]port trunk allow-pass vlan 101 103
[lsw1-GigabitEthernet0/0/3]interface g 0/0/4
[lsw1-GigabitEthernet0/0/4]port link-type trunk
[lsw1-GigabitEthernet0/0/4]port trunk allow-pass vlan 101 103
[lsw1-GigabitEthernet0/0/4]quit
[lsw1]interface Eth-Trunk1
[lsw1-Eth-Trunk1] trunkport g 0/0/1 0/0/2
[lsw1-Eth-Trunk1]port link-type trunk
[lsw1-Eth-Trunk1]port trunk allow-pass vlan 101 103

在这里插入图片描述

[lsw2]vlan b 101 103
[lsw2]int g 0/0/3
[lsw2-GigabitEthernet0/0/3]interface g 0/0/3
[lsw2-GigabitEthernet0/0/3]port link-type trunk
[lsw2-GigabitEthernet0/0/3]port trunk allow-pass vlan 101 103
[lsw2-GigabitEthernet0/0/3]interface g 0/0/4
[lsw2-GigabitEthernet0/0/4]port link-type trunk
[lsw2-GigabitEthernet0/0/4]port trunk allow-pass vlan 101 103
[lsw2-GigabitEthernet0/0/4]quit
[lsw2]interface Eth-Trunk1
[lsw2-Eth-Trunk1]trunkport g 0/0/1 0/0/2
[lsw2-Eth-Trunk1]port link-type trunk
[lsw2-Eth-Trunk1]port trunk allow-pass vlan 101 103

在这里插入图片描述

[lsw3]vlan b 101 103
[lsw3]int g 0/0/1
[lsw3-GigabitEthernet0/0/1]port link-type trunk
[lsw3-GigabitEthernet0/0/1]port trunk allow-pass vlan 101 103
[lsw3-GigabitEthernet0/0/1]interface g 0/0/2
[lsw3-GigabitEthernet0/0/2]port link-type trunk
[lsw3-GigabitEthernet0/0/2]port trunk allow-pass vlan 101 103
[lsw3-GigabitEthernet0/0/2]interface g 0/0/3
[lsw3-GigabitEthernet0/0/3]port link-type access
[lsw3-GigabitEthernet0/0/3]port default vlan 101 
[lsw3-GigabitEthernet0/0/3]interface g 0/0/4
[lsw3-GigabitEthernet0/0/4]port link-type access
[lsw3-GigabitEthernet0/0/4]port default vlan 103

在这里插入图片描述

[lsw4]vlan b 101 103
[lsw4]int g 0/0/1
[lsw4-GigabitEthernet0/0/1]port link-type trunk
[lsw4-GigabitEthernet0/0/1]port trunk allow-pass vlan 101 103
[lsw4-GigabitEthernet0/0/1]interface g 0/0/2
[lsw4-GigabitEthernet0/0/2]port link-type trunk
[lsw4-GigabitEthernet0/0/2]port trunk allow-pass vlan 101 103
[lsw4-GigabitEthernet0/0/2]interface g 0/0/3
[lsw4-GigabitEthernet0/0/3]port link-type access
[lsw4-GigabitEthernet0/0/3]port default vlan 103 
[lsw4-GigabitEthernet0/0/3]interface g 0/0/4
[lsw4-GigabitEthernet0/0/4]port link-type access
[lsw4-GigabitEthernet0/0/4]port default vlan 103

在这里插入图片描述

配置mstp

[lsw1]stp region-configuration
[lsw1-mst-region]region-name cake
[lsw1-mst-region]revision-level 2021
[lsw1-mst-region]instance 1 vlan 101
[lsw1-mst-region]instance 2 vlan 103
[lsw1-mst-region]active region-configuration

[lsw2]stp region-configuration
[lsw2-mst-region]region-name cake
[lsw2-mst-region]revision-level 2021
[lsw2-mst-region]instance 1 vlan 101
[lsw2-mst-region]instance 2 vlan 103
[lsw2-mst-region]active region-configuration

[lsw3]stp region-configuration
[lsw3-mst-region]region-name cake
[lsw3-mst-region]revision-level 2021
[lsw3-mst-region]instance 1 vlan 101
[lsw3-mst-region]instance 2 vlan 103
[lsw3-mst-region]active region-configuration

[lsw4]stp region-configuration
[lsw4-mst-region]region-name cake
[lsw4-mst-region]revision-level 2021
[lsw4-mst-region]instance 1 vlan 101
[lsw4-mst-region]instance 2 vlan 103
[lsw4-mst-region]active region-configuration

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
为了使网络达到最佳可用性,我们把lsw1设为实例1的根桥 实例2的备份根桥,把lsw2设为实例2的根桥 实例1的备份根桥.

[lsw1]stp instance 1 root primary
[lsw1]stp instance 2 root secondary

[lsw2]stp instance 2 root primary
[lsw2]stp instance 1 root secondary

检查实例1的根桥是否为lsw1
在这里插入图片描述
在这里插入图片描述
检查实例2的根桥是否为lsw2
在这里插入图片描述
在这里插入图片描述

第三步 配置ip,配置vrrp

配置ip

[lsw1]interface Vlanif101
[lsw1-Vlanif101]ip address 192.168.101.252 24
[lsw1-Vlanif101]interface Vlanif103
[lsw1-Vlanif103]ip address 192.168.103.252 24

[lsw2]interface Vlanif101
[lsw2-Vlanif101]ip address 192.168.101.253 24
[lsw2-Vlanif101]interface Vlanif103
[lsw2-Vlanif103]ip address 192.168.103.253 24

[ar1]interface g 0/0/0
[ar1-GigabitEthernet0/0/0]ip address 192.168.101.1 24
[ar1]ip route-static 0.0.0.0 0.0.0.0 192.168.101.254
//此时为了让全网互通,在ar1中以lsw1中的vlanif101中的虚拟
IP地址192.168.101.254为下一跳接口配置默认路由

在这里插入图片描述

[ar2]interface g 0/0/0
[ar2-GigabitEthernet0/0/0]ip address 192.168.10.1 24
[ar2-GigabitEthernet0/0/0]interface g 0/0/1
[ar2-GigabitEthernet0/0/1]ip address 192.168.20.1 24
[ar2-GigabitEthernet0/0/1]interface g 0/0/2
[ar2-GigabitEthernet0/0/2]ip address 100.1.1.1 24

在这里插入图片描述

[ar3]interface LoopBack1
[ar3-LoopBack1]ip address 8.8.8.8 24
[ar3-LoopBack1]interface g 0/0/0
[ar3-GigabitEthernet0/0/0]ip address 100.1.1.2 24

在这里插入图片描述

[pc5]interface g 0/0/0
[pc5-GigabitEthernet0/0/0]ip address 192.168.103.4 24
[pc5]ip route-static 0.0.0.0 0.0.0.0 192.168.103.254
//此时为了让全网互通,在pc5中以lsw2中的vlanif103中的虚拟
IP地址192.168.103.254为下一跳接口配置默认路由

在这里插入图片描述

//为了让交换机可以联通路由器,我们规划一个新的vlan,在新
的vlan中配置ip地址,此ip地址与连接路由器的接口ip网段一致。
[lsw1-Vlanif10]interface Vlanif10
[lsw1-Vlanif10]ip address 192.168.10.5 24

//与上同理
[lsw2-Vlanif20]interface Vlanif20
[lsw2-Vlanif20]ip address 192.168.20.5 24

在这里插入图片描述
在这里插入图片描述

配置vrrp

此时为了vrrp达到最佳可用性,我们让lsw1 成为vrrp101 的master lsw2成为 vrrp103 的master

[lsw1]interface Vlanif101
[lsw1-Vlanif101]vrrp vrid 101 virtual-ip 192.168.101.254
[lsw1-Vlanif101]vrrp vrid 101 priority 105 
[lsw1-Vlanif103]interface Vlanif103
[lsw1-Vlanif103]vrrp vrid 103 virtual-ip 192.168.103.254

[lsw2]interface Vlanif101
[lsw2-Vlanif101]vrrp vrid 101 virtual-ip 192.168.101.254 
[lsw2-Vlanif101]interface Vlanif103
[lsw2-Vlanif103]vrrp vrid 103 virtual-ip 192.168.103.254
[lsw2-Vlanif103]vrrp vrid 101 priority 105

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

检查vrrp101的master是否为lsw1,有没有出现双master的状况
在这里插入图片描述
检查vrrp103的master是否为lsw2,有没有出现双master的状况

在这里插入图片描述

测试直连网段联通性
在这里插入图片描述
在这里插入图片描述

第四步 配置ospf

[ar2]ip route-static 0.0.0.0 0.0.0.0 100.1.1.2
[ar2]ospf 10
[ar2-ospf-10]default-route-advertise always  //通告默认路由,
使其他使用ospf的路由上拥有这个默认路由(这个得看路由表)
[ar2-ospf-10]area 0
[ar2-ospf-10-area-0.0.0.0]network 192.168.10.0 0.0.0.255 
[ar2-ospf-10-area-0.0.0.0]network 192.168.20.0 0.0.0.255

[lsw1]ospf 10
[lsw1-ospf-10]area 0.0.0.0
[lsw1-ospf-10-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[lsw1-ospf-10-area-0.0.0.0]network 192.168.101.0 0.0.0.255
[lsw1-ospf-10-area-0.0.0.0]network 192.168.103.0 0.0.0.255
[lsw1-ospf-10-area-0.0.0.0]quit
[lsw1-ospf-10]silent-interface Vlanif101 
[lsw1-ospf-10]silent-interface Vlanif103  //由于lsw1与lsw2没
必要建立邻接关系,所以配置静默接口,让接口不发出hello包。

[lsw2]ospf 10
[lsw2-ospf-10]area 0.0.0.0
[lsw2-ospf-10-area-0.0.0.0]network 192.168.20.0 0.0.0.255
[lsw2-ospf-10-area-0.0.0.0]network 192.168.101.0 0.0.0.255
[lsw2-ospf-10-area-0.0.0.0]network 192.168.103.0 0.0.0.255
[lsw2-ospf-10-area-0.0.0.0]quit
[lsw2-ospf-10]silent-interface Vlanif101 
[lsw2-ospf-10]silent-interface Vlanif103   //同上

在这里插入图片描述
在这里插入图片描述
查看ospf邻接关系
在这里插入图片描述
测试内网连通性。
在这里插入图片描述
在这里插入图片描述

第五步 在AR2上配置nat使全网互通

[ar2]acl 2000  //首先进入acl2000。
[ar2-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255  
//允许192.168.10.0/24这个网段的主机通过。
[ar2-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255 
//允许192.168.168.20/24这个网段的主机通过。
[ar2-acl-basic-2000]rule permit source 192.168.101.0 0.0.0.255 
//允许192.168.101.0/24 这个网段的主机通过。
[ar2-acl-basic-2000]rule permit source 192.168.103.0 0.0.0.255 
//允许192.168.103.0/24 这个网段的主机通过。
[ar2-acl-basic-2000]interface g 0/0/2
[ar2-GigabitEthernet0/0/2]nat outbound 2000
//进入接口0/0/2,将acl2000允许的网段的私有ip地址转换为本接口ip地址。

在这里插入图片描述
在这里插入图片描述
本步做完,测试与外网的连通性。
在这里插入图片描述

第六步 配置ssh,配置高级acl达到需求

配置ssh

[ar3]stelnet server enable
[ar3]aaa
[ar3-aaa]local-user cake password cipher 123456 privilege level 15 
//创建本地用户cake 密码为123456权限等级为15
[ar3-aaa]local-user cake service-type ssh  
//本地用户cake的服务种类为ssh
[ar3-aaa]quit
[ar3]user-interface vty 0 4 
[ar3-ui-vty0-4]authentication-mode aaa  
//认证模式为aaa
[ar3-ui-vty0-4]protocol inbound ssh  
//进入协议为ssh(默认协议为telnet)

在ar1,ar2上测试stelnet功能

[ar1]ssh client first-time enable
[ar1]stelnet 8.8.8.8

[ar2]ssh client first-time enable
[ar2]stelnet 8.8.8.8

在这里插入图片描述
在这里插入图片描述

配置高级acl

[ar2]acl 3000
[ar2-acl-adv-3000]rule deny icmp source 192.168.101.1 0 destination 8.8.8.8 0 
 //因为要求是只允AR1ssh到AR3,不可以ping通AR3。
 所以拒绝icmp协议的源192.168.101.1目的为8.8.8.8的流量通过 
[ar2-acl-adv-3000]rule deny icmp source 192.168.101.1 0 destination 100.1.1.2 0  
//同上,拒绝icmp的源192.168.101.1目的为100.1.1.2的流量通过
[ar2-acl-adv-3000]rule deny tcp source 192.168.103.4 0 destination 8.8.8.8 0  
//因为要求是允许PC5ping通AR3,不能ssh到AR3。
所以拒绝 tcp 的源为192.168.103.4目的为8.8.8.8的流量通过
[ar2-acl-adv-3000]rule deny tcp source 192.168.103.4 0 destination 100.1.1.2 0  
//同上,拒绝 tcp 的源为192.168.103.4目的为100.1.1.2的流量通过

在这里插入图片描述
这里由于拒绝tcp的源为192.168.103.4 目的为8.8.8.8的目的端口号等于23(telnet)不成功,故直接把tcp的全给禁了,如有更好的办法欢迎评论解惑。

做此步时注意,高级acl不应做在接口0/0/2上,因为如果到了0/0/2,路由将会进行地址转换,此时源地址变为接口ip,不符合我们源地址为192.168.101.1,故acl允许它通过,过滤不成功。
在这里插入图片描述
所以此时应该在接g 0/0/0与g 0/0/1上应用高级acl,这样它就不会因为nat转换导致源地址变更而起不到理想的过滤效果。

[ar2]interface g 0/0/0
[ar2-GigabitEthernet0/0/0]traffic-filter inbound acl 30 
[ar2-GigabitEthernet0/0/0] interface g 0/0/1
[ar2-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

在这里插入图片描述

查看是否可以达到需求。

在这里插入图片描述
在这里插入图片描述
达到需求,实验成功。

云归959
关注
专栏目录
ensp小实验(ospf+dhcp+防火墙)
2401_86544677的博客
08-20 1325
今天给大家分享一个ensp的小实验,里面包含了ospf、dhcp、防火墙的内容,如果需要文件的可以私我。
ACL+NAT综合实验
01-10
在Router 上作NAT并且做一条默认路由指向File Server的IP,要求在Router 上能查看到NAT映射的效果,并且能实现PC 1通过NAT ping 通File Server……
ACL的基本配置
最新发布
lwljh134的博客
08-27 2191
(2)在交换机LSW1上创建VLAN10和20,把g0/0/1划分到vlan10,把g0/0/2划分到vlan20,把g0/0/3设置成trunk。PC1的配置,在ipv4下选择静态配置,输入对应的ip地址、子网掩码和网关,然后点击应用。(3)如图11-1所示,在路由器上配置IP地址,并配置单臂路由让PC1和PC2可以相互访问。华为ACL总结:如果配置在接口上,则默认规则为允许,如果配置在其他地方,则默认规则为拒绝。在g0/0/口的入方向配置流量过滤,当匹配到acl2000流量则执行相应的过滤掉动作。
ENSPACLNAT配置
weixin_59629968的博客
07-19 2261
了解nat配置ACL配置
natacl及单臂路由实验(ensp
Gjqhs的博客
12-24 678
拓扑: S1: 添vl10 添vl20 all:所有 <Huawei>sy Enter system view, return user view with Ctrl+Z. [Huawei]un in e Info: Information center is disabled. [Huawei]int e0/0/2 [Huawei-Ethernet0/0/2]po [Huawei-Ethernet0/0/2]port li [Huawei-Ethern.
华为eNSP:高级ACL
fanshizhiren的博客
06-19 1078
灵活性高级ACL作为一种强大的网络管理工具,不仅能够提高网络的安全性,还能够优化网络的性能。它通过精细的规则配置,实现了对不同网络流量的高效管理和控制。对于追求高安全和高质量的网络服务的企业来说,正确配置和维护高级ACL是确保网络稳定运行的重要工作。
eNSP高级ACL配置
m0_46237205的博客
10-23 4229
实验拓扑图如下: 实验目的:只有192.168.3.0网段可以ping通server1 192.168.4.4 PC1的配置: PC2的配置: server1 的配置: 路由器AR1的配置: <Huawei>sys [Huawei]undo info-center enable [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.2.254 24 [Huawei-GigabitEthernet0/0/0]undo
华为ENSP网络实验:交换机配置与网络通信
"华为ENSP网络实验 (3).pdf提供了多个网络实验操作练习,涵盖了交换机基础配置、VLAN、RSTP、路由协议、VRRP、DHCP、NATACL、链路聚合、DHCPSnooping与地址绑定等内容,旨在提升网络工程师的实践技能。" 在华为...
华为ENSP网络实验指南:交换机配置与协议实践
"华为ENSP网络实验.pdf是一个关于网络实验的操作练习手册,涵盖了多个网络技术领域,包括交换机配置、VLAN、RSTP、路由协议(如静态路由、RIP和OSPF)、VRRP、DHCP、NATACL、链路聚合、DHCPSnooping和地址绑定等。...
华为ENSP网络实验指南:交换机配置与VLAN通信
"华为ENSP网络实验文档涵盖了交换机的基本配置、VLAN的配置与通信、RSTP的配置、路由协议(静态路由、RIP、OSPF)、VRRP、DHCP、NATACL、链路聚合、DHCPSnooping与地址绑定等内容,旨在提升网络操作和实践能力。...
网络工程校园网络规划与设计(ensp)
weixin_44675999的博客
05-31 1694
ensp简单的校园网络设计
综合组网实验(eNSP)(vlan、vlan间通信、nat地址转换acl、dhcp、ospf……)
01-09
综合组网实验 一、概述 本次实验模拟学校实验室的网络环境,通过虚拟环境进行组网,通过vlan、路由、访问控制等,实现不同实验室之间的通信,并且可以通过ACL控制某一个实验室的网络通信,进行简单的组网分析 二、应用的网络知识 Vlan Vlan间通信 静态路由 动态路由 链路聚合 链路备份 Nat地址转换 ACL访问控制 DHCP 三、实验拓扑 四、实验分析 五、实验详细配置 1. LSW1的配置 1.1 划分vlan 将G0/0/1接口划入vlan201,G0/0/2接口划入vlan202 sys Enter system view, return user view with Ctrl+Z
ensp四个路由器配置
06-27
ENSP(Enhanced Network Services Platform)是华为的一种路由器软件平台,它提供了丰富的网络服务和高级功能。配置四个路由器通常涉及以下几个步骤: 1. **基础配置**: - 连接路由器:使用Console线或网络连接,...
网络安全综合实验(eNSP)(DHCP、OSPFNAT防火墙ACL)
热门推荐
!不将就的博客
06-04 2万+
网络安全综合实验 一、概述 1.1 实验背景及要求 配置ACL,过滤具有某种特点的分组。 配置NAT。在企业内部结构化分层使用NAT地址。 实验测试一种网络攻击,比如SYN_Flood、MAC泛洪攻击或ARP攻击。 配置防火墙,禁止某种网络服务(防火墙在企业内网与外网之间)。 配置VPN。企业内网与外网之间可能有防火墙,也可能有NAT。从企业外部,用户不能直接访问企业内部。企业员工外出,或跨地区、跨国家企业都有跨越公众互联网,访问企业内部网络的需求。配置NAT某种VPN,比如L2TP VPN 或SSL V
enspacl高级配置练习
m0_61979385的博客
10-26 3369
如上图拓扑: 因为ensp的pc不支持telnet,故用路由器代替pc R1 与 R2 之间的网段为192.168.12.0/24 R1 下方的网段为 192.168.1.0/24 PC1: 192.168.1.1/24 PC2: 192.168.1.2/24 R1 0/0/0: 192.168.1.254/24 R1 0/0/1:192.168.12.1/24 R2 0/0/0: 192.168.12.2/24 一, 实验要求: 1.PC1可以te...
eNSP下园区网综合实验分步配置(5)出口路由、NAT Server、ACL、策略路由、Telnet
m0_51770049的博客
04-23 5117
出口路由、NAT Server、ACL、策略路由、Telnet配置
ensp模拟器下的nat-acl
m0_59113926的博客
09-18 716
NAT:Network address Translation (网络地址转换) 实现内网的IP地址与公网的地址之间的相互转换,将大量的内网IP地址转换为一个或少量的公网地址,减少公网IP地址的占用。 NAT转换条目有两种获得方式: 1.手动添,即“静态NAT” 2.设备转发数据以后,自动形成的,俗称“动态NATACL:Access Control list (访问控制列表) 读取TCP/IP第五层模型的第三层、第四层的报文信息,根据定义好的规则对报文进行过滤。 每个ACL可以包含多..
华为ensp配置ACL
2301_77324496的博客
06-21 1万+
基础ACL高级ACL配置
ensp中的ACL (访问控制列表)
hwhale的博客
12-27 1万+
ACL(Access control list).访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全-------摘自百度百科 拓扑如下: ACL 分类 [ar2]acl ? INTEGER<2000-2999> Basic access-list(add to current using ru
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值