H3CNE综合实验

实验背景:

       XX公司的一个分支机构正在建设中。根据公司的设计需要,分支机构的网络只能使用192.168.1x.0/24的网段,该网络中共有3个部门(分别是工程部、市场部、研发部)和一个DMZ区域(存放一台Server向企业内网和Internet提供网络服务)。

      根据安全策略的要求,3个部门之间以及DMZ区域需要进行逻辑隔离;并且DMZ区域的主机禁止向内网发起TelnetFTP等服务,但反之可以;对于所有的接入设备进行802.1X认证;内部网络之间使用OSPF进行互通,VLAN的设备通过三层交换进行路由。

      ISP为分支机构提供一条专线,使用CHAP的方式进行验证;ISP作为主验证方,并且分配网段202.102.192.0/30作为和企业网关设备的互联地址,ISP设备上不允许配置任何路由信息

实验分析与规划:

      根据顾客要求制作了拓扑图,如下所示。

 

 

实验拓扑:

H3CNE综合实验_第1张图片

实验简述:

1、          PC1PC3PC3分别属于Vlan10Vlan 20Vlan30

2、          SW2SW1分别为二层交换和三层交换,通过E1/0/1E1/0/24口相连,三层交换SW1和局域网网关设备R2G1/1/3G0/0相连,网关和ISPS6/0口相连。

3、          Server放在DMZ区域中,与R2G0/1口相连。

4、          整个网络IP地址的规划如图所示。

实验器材:

1、          两台交换机均为:H3C S3610

2、          两台路由器均为:H3C MSR 30-20

实验目标:

1、          三个部门和服务器实现互相逻辑隔离。

2、          在三层交换机上实现vlan间路由

3、          全网用OSPF互通,并且可以访问外网

4、          所有接入的终端设备采用802.1x认证

5、          服务器不能向内网设备进行telnetftp操作,反之可以

6、          局域网网关设备和ISP设备链路采用Chap验证。

实验内容:

            R1的简要配置与分析:

      #

interface Serial5/0

 link-protocol ppp

 ppp authentication-mode chap           //ISP设备作为chap的主验证方

 ppp chap user r2

 ip address 202.102.192.2 255.255.255.252

#

local-user r1                                    //CHAP验证的本地用户列表

 password simple r2

 service-type ppp

           R2的简要配置与分析:

#

 firewall enable         //开启防火墙

#

 nat address-group 1 202.102.192.1 202.102.192.1        //nat地址组

#

acl number 2001

 rule 0 permit           //定义局域网内哪些设备可以访问外网的数据

#

acl number 3001       //定义Server对局域网内设备进行某些操作

 rule 0 deny tcp source 192.168.40.2 0 destination-port eq telnet

 rule 5 deny tcp source 192.168.40.2 0 destination-port eq ftp

 rule 10 deny tcp source 192.168.40.2 0 destination-port eq ftp-data

#

local-user r2        //CHAP验证的本地用户列表

 password simple r2

 service-type ppp

#

interface Serial6/0

 link-protocol ppp

 ppp chap user r1          //对端设备CHAP验证的用户名称

 nat outbound 2001 address-group 1   //nat和定义的数据流在接口上进行绑定

 ip address 202.102.192.1 255.255.255.252

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 192.168.2.2 255.255.255.0

#    //连接到三层交换机上的接口地址

interface GigabitEthernet0/1

 port link-mode route

 firewall packet-filter 3001 inbound     //在接口上应用限制server访问内网的ACL

 ip address 192.168.40.1 255.255.255.0

#

ospf 1 router-id 2.2.2.2  //OSPF的启用与宣告网络

 area 0.0.0.0

  network 192.168.2.0 0.0.0.255

  network 202.102.192.0 0.0.0.3

  network 192.168.40.0 0.0.0.255

#

 ip route-static 0.0.0.0 0.0.0.0 202.102.192.2//默认路由

#

           SW1的简要配置与分析:

#

vlan 10

#

vlan 20

#

vlan 30

#//定义三个vlan ,以便在三层交换机上进行vlan间路由

interface Vlan-interface10

 ip address 192.168.10.1 255.255.255.0

#

interface Vlan-interface20

 ip address 192.168.20.1 255.255.255.0

#

interface Vlan-interface30

 ip address 192.168.30.1 255.255.255.0

#         //在各个vlan上配置三层地址,进行vlan间路由

interface Ethernet1/0/24

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan all

#//配置三层交换机和二层交换机连接的trunk

interface GigabitEthernet1/1/3

 port link-mode route

 ip address 192.168.2.1 255.255.255.0

#//配置三层交换机和网关设备连接的端口

ospf 1 router-id 1.1.1.1        //OSPF的配置与宣告网络

 area 0.0.0.0

  network 192.168.10.0 0.0.0.255

  network 192.168.20.0 0.0.0.255

  network 192.168.30.0 0.0.0.255

  network 192.168.2.0 0.0.0.255

#

                 SW2的简要配置与分析:

#

 dot1x

#

vlan 1

#

vlan 10

#

vlan 20

#

vlan 30

# //定义三个vlan以便进行网络的逻辑隔离

local-user admin  //配置802.1x的本地用户列表

 password simple admin

 service-type lan-access

#

interface Ethernet1/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan all

#    //配置与三层交换机连接的trunk

interface Ethernet1/0/11

 port link-mode bridge

 port access vlan 10

 dot1x   //启用802.1x认证

#             

实验总结:

1、          NAT技术在局域网应用中非常广泛,能够为企业节省很多的公网IP地址开销。

2、          802.1x接入认证时可以用windows xp自带的客户端进行验证,但目前市场上的大部分windows xp系统都精简了这一部分的功能,因此需要额外安装认证软件,例如:H3C Inode

3、          之所以在三层交换机上实现vlan 间的路由而不用路由器来做,一是因为三层交换机的成本较低,端口较多,如果为了保证可靠性和带宽还可以在两个交换机之间进行端口聚合。二是因为路由器的端口紧缺,成本较高,若用单臂路由实现vlan间的访问,则路由器在转发速度上比交换机要弱,容易形成网络瓶颈,加之如果vlan间数据流量较大的话,此时中间的链路负载较重。

4、          企业网络中如果有对外提供服务的服务器,它一般会放在DMZ(非军事化区)中,和企业的网关设备互连,这样在带宽和访问速度上有较好的保证。

5、          通常我们会在网关上设置一条对外的静态默认路由路由。