H3C 设备网络拓扑实验:构建安全可靠的校园网络
H3C设备网络拓扑实验:构建安全可靠的校园网络
实验环境
本实验环境使用H3C设备,模拟某学校网络拓扑结构。
实验目标
- 熟悉H3C设备的基本配置。
- 学习VLAN划分、链路聚合、生成树协议、PPP链路、访问控制列表、NAT等网络技术。
- 构建一个安全可靠的校园网络环境。
实验步骤
-
将设备还原至上次完成时状态:
使用命令'reset saved-configuration'重启设备并还原配置。
-
在S5130和E328B上创建相应的VLAN:
- 在S5130上:
- 创建VLAN2:vlan 2
- 创建VLAN4:vlan 4
- 在E328B上:
- 创建VLAN3:vlan 3
- 在S5130上:
-
在两台交换机之间配置冗余链路:
- 在S5130和E328B之间配置LACP协议,使两条链路成为一条逻辑链路。使用命令'link-aggregation group 1 mode lacp',其中group 1是逻辑链路组号。
- 开启生成树协议,防止环路产生。使用命令'stp enable'。
-
E328B通过虚拟VLAN方式和RA互连:
- 在E328B上创建VLAN1:vlan 1
- 将E328B的GE0/0/5和GE0/0/6接口加入VLAN1:
- interface GigabitEthernet0/0/5
- port link-type access
- port default vlan 1
- 将RA的GE0/0/0接口加入VLAN1:
- interface GigabitEthernet0/0/0
- port link-type trunk
- port trunk allow-pass vlan 1
-
E328B配置实现VLAN间互连:
- 在E328B上创建VLAN间的路由接口:
- interface Vlan-interface2
- ip address 192.168.20.1 24
- interface Vlan-interface3
- ip address 192.168.30.1 24
- interface Vlan-interface4
- ip address 192.168.40.1 24
- 启用路由功能:
- ip routing
- 配置VLAN间的路由:
- ip route-static 192.168.20.0 24 192.168.10.1
- ip route-static 192.168.40.0 24 192.168.10.1
- 在E328B上创建VLAN间的路由接口:
-
RA和RB之间采用PPP链路,采用CHAP方式进行验证:
- 在RA上配置PPP链路:
- interface Serial2/0
- ip address 202.99.1.1 30
- encapsulation ppp
- 配置CHAP验证:
- ppp authentication-mode chap
- ppp chap user test password test
- 在RB上配置PPP链路:
- interface Serial2/0
- ip address 202.99.1.2 30
- encapsulation ppp
- 配置CHAP验证:
- ppp authentication-mode chap
- ppp chap user test password test
- 在RA上配置PPP链路:
-
在全网运行路由协议实现全网互连:
- 在RA和RB上配置静态路由:
- ip route-static 0.0.0.0 0.0.0.0 202.99.1.2
- ip route-static 192.168.20.0 24 192.168.10.2
- ip route-static 192.168.30.0 24 192.168.10.2
- ip route-static 192.168.40.0 24 192.168.10.2
- 在RA和RB上配置静态路由:
-
通过访问列表控制所有人可以正常访问服务器,只有VLAN4不可以访问WEB服务:
- 创建访问控制列表:
- acl number 2000
- rule permit ip source 192.168.20.0 0.0.0.255
- rule permit ip source 192.168.30.0 0.0.0.255
- rule deny ip source 192.168.40.0 0.0.0.255 destination 65.154.12.8 0.0.0.255
- rule permit ip
- 将访问控制列表应用到接口:
- interface GigabitEthernet0/0/0
- traffic-filter inbound acl 2000
- 创建访问控制列表:
-
将路由器A配置成NAT服务器,转VLAN3的IP地址,外网出口地址为RA的S0:
- 启用NAT功能:
- nat enable
- 创建NAT策略:
- nat-policy interzone nat policy1 source zone vlan3 destination zone untrust
- 配置NAT地址池:
- nat address-group 1 202.99.1.1 202.99.1.1
- 配置NAT地址池应用到策略:
- nat policy1 action source-nat address-group 1
- 启用NAT功能:
-
若VLAN3的IP地址被转换后,外网想访问networkadmin所发布的WEB,该如何做:
- 在RA上配置端口映射:
- interface Serial0
- port-mapping server enable
- port-mapping server ip 192.168.30.12 local-port 80 global-port 80
- 若你是网络管理员,你想保证VLAN中端口使用安全,可采取什么措施?如何实现(以某一VLAN为例):
- 可采取802.1X认证措施保证VLAN中端口使用安全。具体实现步骤如下:
- 在交换机上开启802.1X认证:
- aaa
- authentication-scheme eap
- authentication-mode eap
- quit
- dot1x
- dot1x enable
- dot1x authentication-method eap
- dot1x authentication-scheme eap
- dot1x port-method auto
- dot1x re-authenticate time 3600
- dot1x quiet-period 60
- dot1x guest-vlan 100
- interface GigabitEthernet0/0/1
- dot1x enable
- quit
- 在AAA服务器上配置认证策略:
- authentication-scheme eap
- authentication-mode eap
- authentication-user username password
- 将认证策略应用到VLAN中:
- vlan 3
- dot1x enable
- dot1x authentication-method eap
- dot1x authentication-scheme eap
- dot1x port-method auto
- 在交换机上开启802.1X认证:
- 通过相关命令显示相关配置结果,并进行验证:
- 显示交换机VLAN配置结果:
- display vlan
- 验证链路聚合结果:
- display link-aggregation summary
- 验证生成树配置结果:
- display stp
- 显示路由表信息:
- display ip routing-table
- 显示访问控制列表配置结果:
- display acl 2000
- 显示NAT配置结果:
- display nat-policy
- 显示端口映射配置结果:
- display port-mapping server
- 显示802.1X认证配置结果:
- display dot1x configuration
- 导出设备配置文件备查:
- 在设备上执行命令'save'保存配置文件,再执行命令'backup configuration to tftp ip-address filename'将配置文件导出至TFTP服务器。
注意:
- 以上命令仅供参考,具体配置参数可能会有所不同。
- 在进行配置之前,请务必备份设备配置文件。
- 完成配置后,请仔细验证配置结果,确保网络正常运行。
- 在进行任何操作之前,请务必仔细阅读相关文档,并确保您已充分理解相关操作的风险。
原文地址: https://www.cveoy.top/t/topic/ooNB 著作权归作者所有。请勿转载和采集!