XX
公司的一个分支机构正在建设中。根据公司的设计需要,分支机构的网络只能使用192.168.1x.0/24的网段,该网络中共有3个部门(分别是工程部、市场部、研发部)和一个DMZ区域(存放一台Server向企业内网和Internet提供网络服务)。
根据安全策略的要求,3个部门之间以及DMZ区域需要进行逻辑隔离;并且DMZ区域的主机禁止向内网发起Telnet、FTP等服务,但反之可以;对于所有的接入设备进行802.1X认证;内部网络之间使用OSPF进行互通,VLAN间的设备通过三层交换进行路由。
ISP
为分支机构提供一条专线,使用CHAP的方式进行验证;ISP作为主验证方,并且分配网段202.102.192.0/30作为和企业网关设备的互联地址,ISP设备上不允许配置任何路由信息。
实验分析与规划:
根据顾客要求制作了拓扑图,如下所示。
实验拓扑:
实验简述:
1、 PC1
、
PC3
、
PC3
分别属于
Vlan10
、
Vlan 20
、
Vlan30
2、 SW2
、
SW1
分别为二层交换和三层交换,通过
E1/0/1
和
E1/0/24
口相连,三层交换
SW1
和局域网网关设备
R2
用
G1/1/3
和
G0/0
相连,网关和
ISP
用
S6/0
口相连。
3、 Server
放在
DMZ
区域中,与
R2
的
G0/1
口相连。
4、
整个网络
IP
地址的规划如图所示。
实验器材:
1、
两台交换机均为:
H3C S3610
2、
两台路由器均为:
H3C MSR 30-20
实验目标:
1、
三个部门和服务器实现互相逻辑隔离。
2、
在三层交换机上实现
vlan
间路由
3、
全网用
OSPF
互通,并且可以访问外网
4、
所有接入的终端设备采用
802.1x
认证
5、
服务器不能向内网设备进行
telnet
、
ftp
操作,反之可以
6、
局域网网关设备和
ISP
设备链路采用
Chap
验证。
实验内容:
R1
的简要配置与分析:
#
interface Serial5/0
link-protocol ppp
ppp authentication-mode chap //ISP
设备作为
chap
的主验证方
ppp chap user r2
ip address 202.102.192.2 255.255.255.252
#
local-user r1 //CHAP
验证的本地用户列表
password simple r2
service-type ppp
R2
的简要配置与分析:
#
firewall enable //
开启防火墙
#
nat address-group 1 202.102.192.1 202.102.192.1 //nat
地址组
#
acl number 2001
rule 0 permit //
定义局域网内哪些设备可以访问外网的数据
#
acl number 3001 //
定义
Server
对局域网内设备进行某些操作
rule 0 deny tcp source 192.168.40.2 0 destination-port eq telnet
rule 5 deny tcp source 192.168.40.2 0 destination-port eq ftp
rule 10 deny tcp source 192.168.40.2 0 destination-port eq ftp-data
#
local-user r2 //CHAP
验证的本地用户列表
password simple r2
service-type ppp
#
interface Serial6/0
link-protocol ppp
ppp chap user r1 //
对端设备
CHAP
验证的用户名称
nat outbound 2001 address-group 1 //
将
nat
和定义的数据流在接口上进行绑定
ip address 202.102.192.1 255.255.255.252
#
interface GigabitEthernet0/0
port link-mode route
ip address 192.168.2.2 255.255.255.0
# //
连接到三层交换机上的接口地址
interface GigabitEthernet0/1
port link-mode route
firewall packet-filter 3001 inbound //
在接口上应用限制
server
访问内网的
ACL
ip address 192.168.40.1 255.255.255.0
#
ospf 1 router-id 2.2.2.2 //OSPF
的启用与宣告网络
area 0.0.0.0
network 192.168.2.0 0.0.0.255
network 202.102.192.0 0.0.0.3
network 192.168.40.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 202.102.192.2//
默认路由
#
SW1
的简要配置与分析:
#
vlan 10
#
vlan 20
#
vlan 30
#//
定义三个
vlan
,以便在三层交换机上进行
vlan
间路由
interface Vlan-interface10
ip address 192.168.10.1 255.255.255.0
#
interface Vlan-interface20
ip address 192.168.20.1 255.255.255.0
#
interface Vlan-interface30
ip address 192.168.30.1 255.255.255.0
# //
在各个
vlan
上配置三层地址,进行
vlan
间路由
interface Ethernet1/0/24
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#//
配置三层交换机和二层交换机连接的
trunk
口
interface GigabitEthernet1/1/3
port link-mode route
ip address 192.168.2.1 255.255.255.0
#//
配置三层交换机和网关设备连接的端口
ospf 1 router-id 1.1.1.1 //OSPF
的配置与宣告网络
area 0.0.0.0
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
SW2
的简要配置与分析:
#
dot1x
#
vlan 1
#
vlan 10
#
vlan 20
#
vlan 30
# //
定义三个
vlan
以便进行网络的逻辑隔离
local-user admin //
配置
802.1x
的本地用户列表
password simple admin
service-type lan-access
#
interface Ethernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
# //
配置与三层交换机连接的
trunk
口
interface Ethernet1/0/11
port link-mode bridge
port access vlan 10
dot1x //
启用
802.1x
认证
#
实验总结:
1、 NAT
技术在局域网应用中非常广泛,能够为企业节省很多的公网
IP
地址开销。
2、 802.1x
接入认证时可以用
windows xp
自带的客户端进行验证,但目前市场上的大部分
windows xp
系统都精简了这一部分的功能,因此需要额外安装认证软件,例如:
H3C Inode
3、
之所以在三层交换机上实现
vlan
间的路由而不用路由器来做,一是因为三层交换机的成本较低,端口较多,如果为了保证可靠性和带宽还可以在两个交换机之间进行端口聚合。二是因为路由器的端口紧缺,成本较高,若用单臂路由实现
vlan
间的访问,则路由器在转发速度上比交换机要弱,容易形成网络瓶颈,加之如果
vlan
间数据流量较大的话,此时中间的链路负载较重。
4、
企业网络中如果有对外提供服务的服务器,它一般会放在
DMZ(
非军事化区
)
中,和企业的网关设备互连,这样在带宽和访问速度上有较好的保证。
5、
通常我们会在网关上设置一条对外的静态默认路由路由。