【eNSP 华为模拟器】小型校园网模拟环境的设计与配置（2）ACL的应用

一、实验概述

按照以下的拓扑连接，自行设计VLAN和IP地址等网络参数，实现PC1到PC2的IP通信。其中，R1，R2为路由器；LSW1，LSW4为3层交换机；LSW2，LSW3 ，LSW6， LSW7为2层交换机；CLIENT1-CLIENT12为PC机。
拓扑图

课程设计要求：

要求：
（1）按照拓扑连接好，并配置VLAN端口划分，然后配置TRUNK参数，最后配置3层交换机的路由端口，以及路由器的各个端口参数，能够确保VLAN间通信节点通信的顺利进行。
（2）可应用策略路由、或者访问控制列表ACL，完成以下的访问控制要求：假定在CLIENT3计算机上装载WEB服务器程序，提供WEB网页访问服务。在CLIENT11计算机上加载FTP服务器程序，提供FTP文件上下载服务。
CLIENT1 —CLIENT6 可访问WEB服务器
CLIENT7----CLIENT12可访问FTP服务器
VLAN200 可访问FTP服务器，VLAN100，VLAN300不可访问FTP服务器。VLAN500 可访问WEB服务器，VLAN400，VLAN600不可访问WEB服务器。请配置正确的ACL，并放置在合理的位置。

实验环境

依据实验要求，计划设置八个VLAN，分别是：

VLAN10(LSW1) 和VLAN10(LSW2)创建的原因：需要给两个三层交换机的出口配置IP地址，但由于交换机的端口不能直接设置IP地址，只能将交换机端口划入vlan，然后给这个vlan interface 设置IP地址。

二、交换机的配置

2.1 二层交换机的配置

二层交换机上配置过程的思想：以二层交换机LSW7为例，其他二层交换机的配置同理。需要要在LSW7上划分VALN。首先，进入交换机的全局配置模式，建立VLAN100、VLAN200、VLAN300，将e0/0/1口、e0/0/2口、e0/0/3口一起设置为access模式并依次分给VLAN100、VLAN200、VLAN300。然后，将二层交换机出口e0/0/4口设置为trunk模式，并允许所有的vlan通过。

二层交换机的配置命令如下：

<Switch7>sys
[Switch7]undo info-center enable  //关闭消息提示
[Switch7]vlan batch 100 200 300
Info: This operation may take a few seconds. Please wait for a moment...done.
[Switch7]interface Ethernet0/0/1
[Switch7-Ethernet0/0/1]port link-type access 
[Switch7-Ethernet0/0/1]port default vlan 100

[Switch7]interface Ethernet0/0/2
[Switch7-Ethernet0/0/2]port link-type access 
[Switch7-Ethernet0/0/2]port default vlan 200

[Switch7]interface Ethernet0/0/3
[Switch7-Ethernet0/0/3]port link-type access 
[Switch7-Ethernet0/0/3]port default vlan 300

[Switch7]interface Ethernet0/0/4
[Switch7-Ethernet0/0/4]port link-type trunk 
[Switch7-Ethernet0/0/4]port trunk allow-pass vlan all

2.2 三层交换机的配置

三层交换机上配置过程的思想：以三层交换机LSW2为例，其他三层交换机的配置同理。首先，需要要在LSW2上划分VALN；进入交换机的全局配置模式，建立VLAN100、VLAN200、VLAN300；依次进入VLAN内部配置VLAN的IP地址为VLAN所在的网段。然后，将三层交换机与二层交换机之间的接口g0/0/1和g0/0/2设置为trunk模式，并允许所有的vlan通过。为了给g0/0/3配置一个IP地址，先创建一个VLAN10，分配给g0/0/03，设置模式为access，然后给Vlan10配置IP地址。接着，为三层交换机开启OSPF路由，建立一个区域0，宣告网络。

三层交换机的配置命令如下：

<Switch2>sys
[Switch2]undo info-center enable  //关闭消息提示
[Switch2]vlan batch 100 200 300
Info: This operation may take a few seconds. Please wait for a moment...done.
[Switch2]int vlanif 100
[Switch2-Vlanif100]ip address 192.168.10.1 24
[Switch2]int vlanif 200
[Switch2-Vlanif200]ip address 192.168.20.1 24
[Switch2]int vlanif 300
[Switch2-Vlanif300]ip address 192.168.30.1 24
[Switch2]int g0/0/1
[Switch2-GigabitEthernet0/0/1]port link-type trunk 
[Switch2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[Switch2]int g0/0/2
[Switch2-GigabitEthernet0/0/2]port link-type trunk 
[Switch2-GigabitEthernet0/0/1]port trunk allow-pass vlan all

[Switch2]vlan 10
[Switch2]int g0/0/3
[Switch2- GigabitEthernet 0/0/3]port link-type access 
[Switch2 GigabitEthernet 0/0/3]port default vlan 10
[Switch2]int vlanif 10
[Switch2-lanif10]ip address 172.16.3.1 24

[Switch2]ospf
[Switch2-ospf-1]area 0
[Switch2-ospf-1-area-0.0.0.0] network 192.168.10.0 0.0.0.255
[Switch2-ospf-1-area-0.0.0.0] network 192.168.20.0 0.0.0.255
[Switch2-ospf-1-area-0.0.0.0] network 192.168.30.0 0.0.0.255
[Switch2-ospf-1-area-0.0.0.0] network 172.16.3.0 0.0.0.255

三、路由器的配置（OSPF和ACL配置）

路由器上配置过程的思想：以路由器R2为例，其他路由器的配置同理。首先，需要给e0/0/0口和s0/0/0口配置IP地址；然后启动ospf协议，并宣告网络。然后在路由器与三层交换机的接口GE0/0/0上配置高级ACL（访问控制列表）。

路由器的配置命令如下

[R2]int e0/0/0
[R2-Ethernet0/0/0]ip address 172.16.3.2
[R2-Ethernet0/0/0]int s0/0/0
[R2-Serial0/0/0]ip address 172.16.2.2 24
[R2]ospf
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255

[R2]acl 3001
[R2-acl-adv-3001]rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 192.1
68.50.22 0 destination-port eq 21
[R2-acl-adv-3001]rule 10 deny tcp source 192.168.30.0 0.0.0.255 destination 192.
168.50.22 0 destination-port eq 21
[R2-acl-adv-3001]rule 15 permit tcp source 192.168.20.0 0.0.0.255 destination 19
2.168.50.22 0 destination-port eq 21
[R2-acl-adv-3001]q

[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001

四、实验结果

经过上述的配置，跨交换机路由器的校园网模拟环境的设计与配置就已经完成了。
以下是IP通信的截图
Vlan100尝试访问FTP服务器失败，如下图。

Vlan200中的Client5访问FTP服务器成功，并成功下载到FTP服务器的文件。

Vlan400 500 600 访问WEB服务器的结果，其中VLAN 400内的Client7和VLAN 600内的Client9都访问失败，只有VLAN 500内的Client8访问成功，如下图所示。

Vlan100 200 300 访问WEB服务器的结果，全部都访问成功，如下图所示。

Vlan400 500 600访问WEB服务器的结果，全部都访问成功，如下图所示。

自此，通信验证完毕。

五、实验总结

在本次实验中，我用了高级ACL，来检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号，从而实现了对某种访问进行控制；信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性。这次实验使我更加深入理解ACL的设计与配置。

六、补充

问题一：当我们设置好ACL并将ACL配置到接口上的时候，该如何删除ACL呢？首先需要在接口上把ACL给删除，然后在系统视图下删除ACL。
华骑小技巧：进入接口配置模式，输入disp this，看看配置的哪条命令，然后在前面加undo。
下图举例

从接口上删除ACL后，只需在系统视图下用undo acl acl-id 即可。

问题二：两台路由器被要求使用广域网接口S口连接，而大多数ensp里的路由器都没有S口怎么办？
答：S口是一个组件，需要在路由器关机状态下，右键路由器，按设置，即可进入到一个路由器实体的页面。在这里，我们将手动为路由器添加一个含有广域网接口S口的组件即可。下图示例

参考文献：
eNSP华为模拟器使用——（3）eNSP模拟FTP服务器
eNSP华为模拟器使用——（4）eNSP模拟HTTP服务器
ensp中的ACL
标准ACL与扩展ACL有什么区别？