h3cne综合实验.docVIP

H3CNE综合实验 实验背景： XX公司的一个分支机构正在建设中。根据公司的设计需要，分支机构的网络只能使用192.168.1x.0/24的网段，该网络中共有3个部门（分别是工程部、市场部、研发部）和一个DMZ区域（存放一台Server向企业内网和Internet提供网络服务）。 根据安全策略的要求，3个部门之间以及DMZ区域需要进行逻辑隔离；并且DMZ区域的主机禁止向内网发起Telnet、FTP等服务，但反之可以；对于所有的接入设备进行802.1X认证；内部网络之间使用OSPF进行互通，VLAN间的设备通过三层交换进行路由。 ISP为分支机构提供一条专线，使用CHAP的方式进行验证；ISP作为主验证方，并且分配网段/30作为和企业网关设备的互联地址，ISP设备上不允许配置任何路由信息。 实验分析与规划： 根据顾客要求制作了拓扑图，如下所示。 ? ? 实验拓扑： 实验简述： 1、????????? PC1、PC3、PC3分别属于Vlan10、Vlan 20、Vlan30 2、????????? SW2、SW1分别为二层交换和三层交换，通过E1/0/1和E1/0/24口相连，三层交换SW1和局域网网关设备R2用G1/1/3和G0/0相连，网关和ISP用S6/0口相连。 3、????????? Server放在DMZ区域中，与R2的G0/1口相连。 4、????????? 整个网络IP地址的规划如图所示。 实验器材： 1、????????? 两台交换机均为：H3C S3610 2、????????? 两台路由器均为：H3C MSR 30-20 实验目标： 1、????????? 三个部门和服务器实现互相逻辑隔离。 2、????????? 在三层交换机上实现vlan间路由 3、????????? 全网用OSPF互通，并且可以访问外网 4、????????? 所有接入的终端设备采用802.1x认证 5、????????? 服务器不能向内网设备进行telnet、ftp操作，反之可以 6、????????? 局域网网关设备和ISP设备链路采用Chap验证。 实验内容： R1的简要配置与分析： # interface Serial5/0 link-protocol ppp ppp authentication-mode chap //ISP设备作为chap的主验证方 ppp chap user r2 ip address 52 # local-user r1 //CHAP验证的本地用户列表 password simple r2 service-type ppp R2的简要配置与分析： # firewall enable //开启防火墙 # nat address-group 1 //nat地址组 # acl number 2001 rule 0 permit //定义局域网内哪些设备可以访问外网的数据 # acl number 3001 //定义Server对局域网内设备进行某些操作 rule 0 deny tcp source 0 destination-port eq telnet rule 5 deny tcp source 0 destination-port eq ftp rule 10 deny tcp source 0 destination-port eq ftp-data # local-user r2 //CHAP验证的本地用户列表 password simple r2 service-type ppp # interface Serial6/0 link-protocol ppp ppp chap user r1 //对端设备CHAP验证的用户名称 nat outbound 2001 address-group 1 //将nat和定义的数据流在接口上进行绑定 ip address 52 # interface GigabitEthernet0/0 port link-mode route ip address # //连接到三层交换机上的接口地址 interface GigabitEthernet0/1 port link-mode route firewall packet-filter 3001 inbound //在接口上应用限制server访问内网的ACL ip address # ospf 1 router-id //OSPF的启用与宣告网络 area network 55 network network 55 # ip route-static //默认路由 #