H3CNE综合实验

2023-01-31 04:01:28 实验综合 H3CNE

实验背景：

XX公司的一个分支机构正在建设中。根据公司的设计需要，分支机构的网络只能使用192.168.1x.0/24的网段，该网络中共有3个部门（分别是工程部、市场部、研发部）和一个DMZ区域（存放一台Server向企业内网和Internet提供网络服务）。

根据安全策略的要求，3个部门之间以及DMZ区域需要进行逻辑隔离；并且DMZ区域的主机禁止向内网发起Telnet、FTP等服务，但反之可以；对于所有的接入设备进行802.1X认证；内部网络之间使用OSPF进行互通，VLAN间的设备通过三层交换进行路由。

ISP为分支机构提供一条专线，使用CHAP的方式进行验证；ISP作为主验证方，并且分配网段202.102.192.0/30作为和企业网关设备的互联地址，ISP设备上不允许配置任何路由信息。

实验分析与规划：

根据顾客要求制作了拓扑图，如下所示。

实验拓扑：

实验简述：

1、 PC1、PC3、PC3分别属于Vlan10、Vlan 20、Vlan30

2、 SW2、SW1分别为二层交换和三层交换，通过E1/0/1和E1/0/24口相连，三层交换SW1和局域网网关设备R2用G1/1/3和G0/0相连，网关和ISP用S6/0口相连。

3、 Server放在DMZ区域中，与R2的G0/1口相连。

4、整个网络IP地址的规划如图所示。

实验器材：

1、两台交换机均为：H3C S3610

2、两台路由器均为：H3C MSR 30-20

实验目标：

1、三个部门和服务器实现互相逻辑隔离。

2、在三层交换机上实现vlan间路由

3、全网用OSPF互通，并且可以访问外网

4、所有接入的终端设备采用802.1x认证

5、服务器不能向内网设备进行telnet、ftp操作，反之可以

6、局域网网关设备和ISP设备链路采用Chap验证。

实验内容：

R1的简要配置与分析：

interface Serial5/0

link-protocol ppp

ppp authentication-mode chap //ISP设备作为chap的主验证方

ppp chap user r2

ip address 202.102.192.2 255.255.255.252

local-user r1 //CHAP验证的本地用户列表

passWord simple r2

service-type ppp

R2的简要配置与分析：

firewall enable //开启防火墙

nat address-group 1 202.102.192.1 202.102.192.1 //nat地址组

acl number 2001

rule 0 permit //定义局域网内哪些设备可以访问外网的数据

acl number 3001 //定义Server对局域网内设备进行某些操作

rule 0 deny tcp source 192.168.40.2 0 destination-port eq telnet

rule 5 deny tcp source 192.168.40.2 0 destination-port eq ftp

rule 10 deny tcp source 192.168.40.2 0 destination-port eq ftp-data

local-user r2 //CHAP验证的本地用户列表

password simple r2

service-type ppp

interface Serial6/0

link-protocol ppp

ppp chap user r1 //对端设备CHAP验证的用户名称

nat outbound 2001 address-group 1 //将nat和定义的数据流在接口上进行绑定

ip address 202.102.192.1 255.255.255.252

interface GigabitEthernet0/0

port link-mode route

ip address 192.168.2.2 255.255.255.0

# //连接到三层交换机上的接口地址

interface GigabitEthernet0/1

port link-mode route

firewall packet-filter 3001 inbound //在接口上应用限制server访问内网的ACL

ip address 192.168.40.1 255.255.255.0

ospf 1 router-id 2.2.2.2 //OSPF的启用与宣告网络

area 0.0.0.0

network 192.168.2.0 0.0.0.255

network 202.102.192.0 0.0.0.3

network 192.168.40.0 0.0.0.255

ip route-static 0.0.0.0 0.0.0.0 202.102.192.2//默认路由

SW1的简要配置与分析：

vlan 10

vlan 20

vlan 30

#//定义三个vlan ，以便在三层交换机上进行vlan间路由

interface Vlan-interface10

ip address 192.168.10.1 255.255.255.0

interface Vlan-interface20

ip address 192.168.20.1 255.255.255.0

interface Vlan-interface30

ip address 192.168.30.1 255.255.255.0

# //在各个vlan上配置三层地址，进行vlan间路由

interface Ethernet1/0/24

port link-mode bridge

port link-type trunk

port trunk permit vlan all

#//配置三层交换机和二层交换机连接的trunk口

interface GigabitEthernet1/1/3

port link-mode route

ip address 192.168.2.1 255.255.255.0

#//配置三层交换机和网关设备连接的端口

ospf 1 router-id 1.1.1.1 //OSPF的配置与宣告网络

area 0.0.0.0

network 192.168.10.0 0.0.0.255

network 192.168.20.0 0.0.0.255

network 192.168.30.0 0.0.0.255

network 192.168.2.0 0.0.0.255

SW2的简要配置与分析：

dot1x

vlan 1

vlan 10

vlan 20

vlan 30

# //定义三个vlan以便进行网络的逻辑隔离

local-user admin //配置802.1x的本地用户列表

password simple admin

service-type lan-access

interface Ethernet1/0/1

port link-mode bridge

port link-type trunk

port trunk permit vlan all

# //配置与三层交换机连接的trunk口

interface Ethernet1/0/11

port link-mode bridge

port access vlan 10

dot1x //启用802.1x认证

实验总结：

1、 NAT技术在局域网应用中非常广泛，能够为企业节省很多的公网IP地址开销。

2、 802.1x接入认证时可以用windows xp自带的客户端进行验证，但目前市场上的大部分windows xp系统都精简了这一部分的功能，因此需要额外安装认证软件，例如：H3C Inode

3、之所以在三层交换机上实现vlan 间的路由而不用路由器来做，一是因为三层交换机的成本较低，端口较多，如果为了保证可靠性和带宽还可以在两个交换机之间进行端口聚合。二是因为路由器的端口紧缺，成本较高，若用单臂路由实现vlan间的访问，则路由器在转发速度上比交换机要弱，容易形成网络瓶颈，加之如果vlan间数据流量较大的话，此时中间的链路负载较重。

4、企业网络中如果有对外提供服务的服务器，它一般会放在DMZ(非军事化区)中，和企业的网关设备互连，这样在带宽和访问速度上有较好的保证。

5、通常我们会在网关上设置一条对外的静态默认路由路由。

相关文章