实验背景:
XX公司的一个分支机构正在建设中。根据公司的设计需要,分支机构的网络只能使用192.168.1x.0/24的网段,该网络中共有3个部门(分别是工程部、市场部、研发部)和一个DMZ区域(存放一台Server向企业内网和Internet提供网络服务)。
根据安全策略的要求,3个部门之间以及DMZ区域需要进行逻辑隔离;并且DMZ区域的主机禁止向内网发起Telnet、FTP等服务,但反之可以;对于所有的接入设备进行802.1X认证;内部网络之间使用OSPF进行互通,VLAN间的设备通过三层交换进行路由。
ISP为分支机构提供一条专线,使用CHAP的方式进行验证;ISP作为主验证方,并且分配网段202.102.192.0/30作为和企业网关设备的互联地址,ISP设备上不允许配置任何路由信息。
实验分析与规划:
根据顾客要求制作了拓扑图,如下所示。
实验拓扑:
实验简述:
1、 PC1、PC3、PC3分别属于Vlan10、Vlan 20、Vlan30
2、 SW2、SW1分别为二层交换和三层交换,通过E1/0/1和E1/0/24口相连,三层交换SW1和局域网网关设备R2用G1/1/3和G0/0相连,网关和ISP用S6/0口相连。
3、 Server放在DMZ区域中,与R2的G0/1口相连。
4、 整个网络IP地址的规划如图所示。
实验器材:
1、 两台交换机均为:H3C S3610
2、 两台路由器均为:H3C MSR 30-20
实验目标:
1、 三个部门和服务器实现互相逻辑隔离。
2、 在三层交换机上实现vlan间路由
3、 全网用OSPF互通,并且可以访问外网
4、 所有接入的终端设备采用802.1x认证
5、 服务器不能向内网设备进行telnet、ftp操作,反之可以
6、 局域网网关设备和ISP设备链路采用Chap验证。
实验内容:
R1的简要配置与分析:
#
interface Serial5/0
link-protocol ppp
ppp authentication-mode chap //ISP设备作为chap的主验证方
ppp chap user r2
ip address 202.102.192.2 255.255.255.252
#
local-user r1 //CHAP验证的本地用户列表
password simple r2
service-type ppp
R2的简要配置与分析:
#
firewall enable //开启防火墙
#
nat address-group 1 202.102.192.1 202.102.192.1 //nat地址组
#
acl number 2001
rule 0 permit //定义局域网内哪些设备可以访问外网的数据
#
acl number 3001 //定义Server对局域网内设备进行某些操作
rule 0 deny tcp source 192.168.40.2 0 destination-port eq telnet
rule 5 deny tcp source 192.168.40.2 0 destination-port eq ftp
rule 10 deny tcp source 192.168.40.2 0 destination-port eq ftp-data
#
local-user r2 //CHAP验证的本地用户列表
password simple r2
service-type ppp
#
interface Serial6/0
link-protocol ppp
ppp chap user r1 //对端设备CHAP验证的用户名称
nat outbound 2001 address-group 1 //将nat和定义的数据流在接口上进行绑定
ip address 202.102.192.1 255.255.255.252
#
interface GigabitEthernet0/0
port link-mode route
ip address 192.168.2.2 255.255.255.0
# //连接到三层交换机上的接口地址
interface GigabitEthernet0/1
port link-mode route
firewall packet-filter 3001 inbound //在接口上应用限制server访问内网的ACL
ip address 192.168.40.1 255.255.255.0
#
ospf 1 router-id 2.2.2.2 //OSPF的启用与宣告网络
area 0.0.0.0
network 192.168.2.0 0.0.0.255
network 202.102.192.0 0.0.0.3
network 192.168.40.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 202.102.192.2//默认路由
#
SW1的简要配置与分析:
#
vlan 10
#
vlan 20
#
vlan 30
#//定义三个vlan ,以便在三层交换机上进行vlan间路由
interface Vlan-interface10
ip address 192.168.10.1 255.255.255.0
#
interface Vlan-interface20
ip address 192.168.20.1 255.255.255.0
#
interface Vlan-interface30
ip address 192.168.30.1 255.255.255.0
# //在各个vlan上配置三层地址,进行vlan间路由
interface Ethernet1/0/24
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#//配置三层交换机和二层交换机连接的trunk口
interface GigabitEthernet1/1/3
port link-mode route
ip address 192.168.2.1 255.255.255.0
#//配置三层交换机和网关设备连接的端口
ospf 1 router-id 1.1.1.1 //OSPF的配置与宣告网络
area 0.0.0.0
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
SW2的简要配置与分析:
#
dot1x
#
vlan 1
#
vlan 10
#
vlan 20
#
vlan 30
# //定义三个vlan以便进行网络的逻辑隔离
local-user admin //配置802.1x的本地用户列表
password simple admin
service-type lan-access
#
interface Ethernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
# //配置与三层交换机连接的trunk口
interface Ethernet1/0/11
port link-mode bridge
port access vlan 10
dot1x //启用802.1x认证
#
实验总结:
1、 NAT技术在局域网应用中非常广泛,能够为企业节省很多的公网IP地址开销。
2、 802.1x接入认证时可以用windows xp自带的客户端进行验证,但目前市场上的大部分windows xp系统都精简了这一部分的功能,因此需要额外安装认证软件,例如:H3C Inode
3、 之所以在三层交换机上实现vlan 间的路由而不用路由器来做,一是因为三层交换机的成本较低,端口较多,如果为了保证可靠性和带宽还可以在两个交换机之间进行端口聚合。二是因为路由器的端口紧缺,成本较高,若用单臂路由实现vlan间的访问,则路由器在转发速度上比交换机要弱,容易形成网络瓶颈,加之如果vlan间数据流量较大的话,此时中间的链路负载较重。
4、 企业网络中如果有对外提供服务的服务器,它一般会放在DMZ(非军事化区)中,和企业的网关设备互连,这样在带宽和访问速度上有较好的保证。
5、 通常我们会在网关上设置一条对外的静态默认路由路由。
