单臂路由+ 三层组网+ OSPF + ACL访问控制

最新推荐文章于 2023-10-05 12:09:52 发布
最新推荐文章于 2023-10-05 12:09:52 发布
阅读量1k 收藏 9
点赞数
分类专栏: 网络 文章标签: 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43472459/article/details/124362472
版权

实验目标:
不同Vlan可以访问外网,vlan间互相隔离。vlan10可以管理所有vlan
实验拓扑:
在这里插入图片描述

access和trunk模式大致原理解析:
接收:
access收到的帧通常是不带vlanTag的,收到无tag的帧会打上vlanTag(将该端口PVID作为该tag的vlanID)
access也有可能收到带tag的帧(通常是被攻击),收到带tag的同样会将tag中的vlanID更改为该端口的PVID,因为不能转发到不同vlan端口不代表不能收不同vlan帧。可以直接理解为带tag的帧若与端口pvid不相同则不转发并丢弃
trunk收到无tag的帧跟access一样处理,会打上vlanTag(将该端口PVID作为该tag的vlanID)
trunk收到带tag的帧则pvid保持不变
发送
access转发的出口PVID必须和该帧中的vlanID一致,否则不会转发,同时转发前移除vlanTag
trunk转发则是需要看该帧的valnID是否在转发出口的allow-pass中,在就直接转发,否则不会转发
参考文章:access与trunk收发数据包区别
大致思路:
1.首先完成ip地址的设计,不同子网的划分。交换机vlan的基本配置,接口模式设计
2.R1配置单臂路由,通过子接口实现。配置dot1q用来剥离tag,同时在转发时打上pvid,子接口开启arp广播
3.SW2做三层交换机,通过vlanif实现ip地址配置。优先完成链路聚合,实现PC3和PC4全网通
4.三层交换机接路由器用access即可,直连先打通。再完成ospf,宣告直连网段。全网打通
5.配置acl规则,实现访问控制
配置代码:
R1

[R1-GigabitEthernet0/0/0.1]dis th
interface GigabitEthernet0/0/0.1
 dot1q termination vid 10
 ip address 192.168.10.254 255.255.255.0 
 arp broadcast enable
#
[R1-GigabitEthernet0/0/0.2]dis th
interface GigabitEthernet0/0/0.2
 dot1q termination vid 20
 ip address 192.168.20.254 255.255.255.0 
 traffic-filter outbound acl 3000  //最后配置acl3000,放在接口上来生效。先不配
 arp broadcast enable
#
interface GigabitEthernet0/0/1
 ip address 10.1.1.1 255.255.255.0 
#
interface GigabitEthernet2/0/0
 ip address 192.168.1.109 255.255.255.0 
 #
[R1-ospf-1]dis this   //配置ospf做全网打通
ospf 1 router-id 1.1.1.1 
 area 0.0.0.0 
  network 10.1.1.0 0.0.0.255 
  network 192.168.1.0 0.0.0.255 
  network 192.168.10.0 0.0.0.255 
  network 192.168.20.0 0.0.0.255 
  #
  [R1-acl-adv-3000]dis this   //最后配置的acl规则放在子接口上应用
#
acl number 3000  
 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.2
55 
 rule 10 deny ip 
#

SW2做三层交换机

[SW2]int eth0
[SW2-Eth-Trunk0]trunkport g0/0/2
[SW2-Eth-Trunk0]trunkport g0/0/3  链路聚合
[SW2]vlan batch 30 40 100
interface Vlanif30
 ip address 192.168.30.254 255.255.255.0
interface Vlanif40
 ip address 192.168.40.254 255.255.255.0
interface Vlanif100
 ip address 10.1.1.2 255.255.255.0 
[SW2-Eth-Trunk0]dis this 
#
interface Eth-Trunk0
 port link-type trunk
 port trunk allow-pass vlan 30 40
 traffic-filter outbound acl 2000  //acl规则在最后全网打通后配置
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 100
#
[SW2-ospf-1]dis this   //配置ospf实现全网打通
ospf 1 router-id 2.2.2.2      
 area 0.0.0.0
  network 192.168.30.0 0.0.0.255
  network 192.168.40.0 0.0.0.255
  network 10.1.1.0 0.0.0.255
#
[SW2-acl-basic-2000]dis this   //acl规则最后配置
acl number 2000
 rule 5 deny source 192.168.20.0 0.0.0.255
 rule 10 deny source 192.168.30.0 0.0.0.255
 rule 15 deny source 192.168.40.0 0.0.0.255
 rule 20 permit
#

SW1

[SW1]vlan batch 10 20
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 20
#
 interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20
#

SW3

[SW3]vlan batch 30 40
[SW3]int eth0
[SW3-Eth-Trunk0]trunkport g0/0/1
[SW3-Eth-Trunk0]trunkport g0/0/2  链路聚合
[SW3-Eth-Trunk0]dis this 
interface Eth-Trunk0
 port link-type trunk
 port trunk allow-pass vlan 30 40
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 30
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 40
#

主机配置见上面拓扑图即可。

测试阶段
PC1 vlan 10 测试
在这里插入图片描述
PC2 vlan 20 测试
在这里插入图片描述
PC3 vlan 30 测试
在这里插入图片描述
PC4 vlan 40 测试
在这里插入图片描述
成功实现需求。

总结
合理规划网络ip地址,理解网络拓扑架构中用到的技术点,数据包接收,发送 规则。acl入方向和出方向规则设计
路漫漫其修远兮,兄弟们下一站再见。走之前记得留下你来过的印记

被代码撸的小宇
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OSPF技术连载6:OSPF 多区域,近7000字,非常详细!
网络技术联盟站
07-15 481
本文详细介绍了什么是OSPF多区域以及如何在不同厂商设备上配置和部署复杂的OSPF多区域网络。我们分别以华为、思科和Juniper设备为例,提供了详细的配置步骤和拓扑示例。在配置过程中,我们首先进行了基本的设备配置,确保设备能够正常运行。然后,我们配置了区域间连接,包括将物理接口添加到相应区域和配置区域间连接。接着,我们在每个区域内配置了区域内路由,确保区域内的路由信息传播正常。通过以上步骤,我们成功地配置了复杂的OSPF多区域网络。
Taro如何实现页面之间通信_VLAN是二层隔离技术,如何实现VLAN三层通信呢?今天教你3种方法...
weixin_39697096的博客
11-20 335
上一章节我们介绍了VLAN的原理,交换机是如何转发带有VLAN的数据帧的?一文带你搞懂VLAN技术原理。知道了VLAN可以隔离二层广播域,属于不同VLAN的用户之间不能进行二层通信。但是在实际应用中往往要求实现不同VLAN之间的主机通信,那么如何实现vlan间的通信呢?可以借助三层路由将报文从一个VLAN转发到另外一个VLANVLAN路由可以通过二层交换机配合路由器来实现,也可以通过三层交换机来...
实训记录2——单臂路由OSPFACL
爱未央的博客
07-23 835
单臂路由 1、网络拓扑图 2、PC配置 3、配置交换机SW1、SW2 SW1配置: <Huawei>undo ter mo //停止自动记录命令行 Info: Current terminal monitor is off. <Huawei>sy //进入系统 Enter system view, return user view with Ctrl+Z. [Huawei]sy sw1 //改名为sw1 [sw1]vlan br [sw
三层交换机【Vlanif详解】开启OSPF与路由器互通【eNSP实现】
热门推荐
Infinity_and_beyond的博客
04-20 1万+
交换机属于二层设备,只能通过MAC地址表进行转发且转发范围受VLAN限制 若我们想跨VLAN进行通信,通常方法有两种 利用路由器实现单臂路由 通过三层交换机的虚拟接口Vlanif进行转发,Vlanif接口编号必须与VLAN编号一一对应 实验目的 理解Vlanif接口的作用 了解数据的转发过程 了解OSPF三层交换机上的特殊形式 实验拓扑 实验步骤 手动为各个PC分配好图示IP地址,掩码与网关,在S1上创建VLAN 10,在S2上创建VLAN 20,并将两个接口分别配置为Access类型与Tr
VLAN基础&VLAN间路由联动OSPF实验
Z3300529971的博客
11-20 6074
VLAN 前言以及技术背景 随着网络中计算机的数量越来越多,传统的以太网网络开始面临广播泛滥以及安全性无法保障等各种问题、 VLAN(Virtual Local Area Network) 即虚拟局域网,是一个将物理局域网在逻辑上划分多个广播域的技术。通过在交换机上配置VLAN,以实现在同一个VALN内的用户可以进行二层互访,而不同的VLAN间的用户被二层隔离。这样既可以隔离广播域,又能提升网络的安全性。 交换机的所有接口属于同一个广播域,往往也是一个逻辑子网; 用户无法根据业务需要灵活的在交换机上进行
【路由与交换】基于思科模拟器的路由与交换实训报告(单臂路由三层交换机实现vlan通信、ospf、rip、dhcp、acl、nat技术总结)
weixin_51338719的博客
05-05 7725
本博客是路由与交换实训报告,基于思科模拟器分别做了单臂路由三层交换机实现vlan间通信、ospf、rip、dhcp、nat的实验,最后的nat综合实验是本次实训的大拓扑,综合了上述的几个技术。大家可以当作一些思科小实验的总结,供网络工程、计算机网络等专业同学学习参考栏
单臂路由-静态路由-OSPF-DHCP
小赵同学的博客
12-30 1949
OSPF(开放最短路径优先) 工作原理:OSPF的简单说就是两个相邻的路由器通过发报文的形式成为邻居关系,邻居再相互发送链路状态信息形成邻接关系,之后各自根据最短路径算法算出路由,放在OSPF路由表,OSPF路由与其他路由比较后优的加入全局路由表。 配置IP略 R5 ospf 1 //进入OSPF area0 //区域 0是骨干区域 int g0/0/1 network 192.168.1.0 0.0.0.255 //公告网段 取掩码反码 network 192.168.2.0 0.0.0.255
20: OSPF 、 传输层 、 ACL
weixin_46575696的博客
11-10 309
CASE Top NSD NETWORK DAY03 案例1:动态路由 案例2:基本ACL的配置(1) 案例3:基本ACL的配置(2) 案例4:高级ACL ...
【HUAWEI】VLAN+OSPF+单臂路由
大虾好吃吗
10-05 1万+
VLANVLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。OSPFOSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,AS)内决策路由。
华为ensp单臂路由OSPF实验
傻傻的心动的博客
09-27 3455
在这个实验中,我们模拟了一个复杂的网络环境,该网络环境包括多个子网和交换机。这个实验旨在帮助网络工程师和管理员了解如何配置单臂路由和使用开放最短路径优先(OSPF协议来实现不同子网之间的通信。当你刚开始学习网络配置,不要担心复杂性。耐心学习基础知识,多做实验,不怕犯错。向他人请教,保持学习动力。成功需要时间,但坚持会让一切变得更容易。
eNSP 单臂路由+OSPF协议实验.zip
05-25
这是一个基于eNSP的 单臂路由+OSPF路由协议已经配置好了的拓扑图,可以直接进行通信,里面含有各个设备的配置命令。
OSPF,RIP,单臂路由综合组网
01-02
ENSP仿真配置文件
HCNA实验集合(包括RIP+OSPF+VLAN+单臂路由+VRRP等必会实验)
10-22
HCNA实验集合(包括RIP+OSPF+VLAN+单臂路由+VRRP等必会实验)
华为路由器三层路由防环专题 03 BGP OSPF协议互引路由场景分析
03-31
1 BGP/OSPF协议互引路由概述 2 典型组网 3 环路产生原理 4 导致环路的错误配置示例 5 防止环路的建议配置示例 6 适用产品和版本 7 总结与建议
六台路由+OSPF+RIP实验.doc
06-29
六台路由+OSPF+RIP实验 实验目的 通过实验了解OSPF配置,了解如何设置NSSA如何设置末梢 实验拓补图
eNSP单臂路由OSPF动态路由综合
qq_56182387的博客
09-27 442
开启端口GigabitEthernet0/0/0,用来作为vlan10.20的载体,此处不必管,ensp默认打开。1,在LSW1上创建vlan10.20,然后将与之对应的端口划分到对应的vlan。开启子接口1:GigabitEthernet0/0/0.10。开启子接口2:GigabitEthernet0/0/0.20。将路由器与交换机接口设置为trunk模式。将路由器与交换机接口设置为trunk模式。
OSPF LSA限制
金色%夕阳的博客
08-07 257
OSPF LSA限制 1.划分区域 2.特殊区域 3.LSA汇总 4. LSA 过滤 特殊区域: 1. stub 区域, 末节区域 1.不得出现 4 5类LSA ,stub区域不能进行重发布,不能存ASBR 2.stub区域边界ABR会自动产生3类缺省LSA,保证stub区域路由器与外网保持通信。 3.特殊区域不能使用虚链路 4.stub区域不能为骨干区域 5.若设置stub区域,存在该区域的所有路由器都必须设置 查看ABR产生的3类缺省LSA :默认metric值为1 2.完全的末节
ensp 交换机与路由器ospf_eNSP——实现OSPFACL综合实验
weixin_34167684的博客
01-12 1172
OSPFACL再前几个随笔中提到了,现在我们来做一个实例。拓扑图: 实验案例要求:1.企业内网运行OSPF路由协议,区域规划如图所示;2.财务和研发所在的区域不受其他区域链路不稳定性影响;3.R1、R2、R3只允许被IT登录管理;4.YF和CW之间不能互通,但都可以与IT互通;5.IT和YF可以访问Client1,但CW不能访问Client1;6.YF和CW只能访问Server1的WWW服务;实...
acl拒绝网段访问dns_03:OSPF 、传输层、ACL
weixin_28929351的博客
12-31 1480
三层交换机同时具备交换机与路由器功能的强大网络设备三层交换=二层交换+三层转发按图搭建拓扑,最上面的设备是s5700三层交换机system-view //进入系统视图[Huawei]undo info-center enable //关日志[Huawei]vlan batch 2 3 //创建vlan2与3[Huawei]display vlan //检查[Huaw...
VLAN单臂路由+ospf配置
最新发布
11-10
以下是VLAN单臂路由+OSPF配置的步骤: 1. 配置交换机S1的VLAN接口和IP地址: ``` interface vlan 30 ip address 192.168.30.254 255.255.255.0 interface vlan 40 ip address 192.168.40.254 255.255.255.0 ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值