生活随笔
收集整理的這篇文章主要介紹了
基于ensp的网络设计【实现网络互联、限制访问、内外网地址转换】
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
| 做下來覺得比較像是計(jì)算機(jī)網(wǎng)絡(luò)的課設(shè),有用的話就點(diǎn)個(gè)👍,謝謝您嘞 |
??? ?建議先簡單了解一下ensp各種設(shè)備和簡單指令,文章和視頻教程都很多就不做推薦了。
??? ?文章里包括拓?fù)鋱D設(shè)計(jì)、路由設(shè)置以及部分關(guān)鍵命令。
目錄
- 開發(fā)環(huán)境
- 一、校區(qū)互聯(lián)
- 實(shí)驗(yàn)要求
- 物理設(shè)備
- 拓?fù)鋱D
- VLAN配置
- 路由配置
- 安全策略要求
- 驗(yàn)證
- 二、校園網(wǎng)絡(luò)安全設(shè)置
- 實(shí)驗(yàn)要求
- 物理設(shè)備
- 拓?fù)鋱D
- VLAN配置
- 路由配置
- 安全策略要求
- 驗(yàn)證
開發(fā)環(huán)境
- ENSP V3【V2也差不多、且更推薦可以識(shí)別簡化指令的V2】
一、校區(qū)互聯(lián)
實(shí)驗(yàn)要求
- 某高校包括3個(gè)校區(qū)(F校區(qū)、X校區(qū)、T校區(qū)),通過租用運(yùn)營商的專線實(shí)現(xiàn)互聯(lián),每個(gè)校區(qū)均劃分為3個(gè)網(wǎng)段,包括科研、教學(xué)和財(cái)務(wù)
- 3個(gè)校區(qū)之間要求互聯(lián)互通
- T校區(qū)財(cái)務(wù)服務(wù)器IP地址為10.0.3.2且僅提供3個(gè)校區(qū)的財(cái)務(wù)vlan能夠訪問,其他vlan不能訪問
物理設(shè)備
設(shè)備數(shù)量命名及用途備注
AR1220
路由器 | 4 | F | F校區(qū) | ? 1220型具有交換功能,如用其他型號(hào)需在路由器下接交換機(jī)實(shí)現(xiàn)相應(yīng)功能 |
| X | X校區(qū) |
| T | T校區(qū) |
| R | 學(xué)校總路由器 |
| 服務(wù)器 | 1 | 財(cái)務(wù)服務(wù)器 | 學(xué)校內(nèi)部財(cái)務(wù)服務(wù)器 | 僅財(cái)務(wù)可訪問 |
| PC | 9 | F財(cái)務(wù) | 代表F校區(qū)財(cái)務(wù)網(wǎng)段 | 每臺(tái)PC劃分一個(gè)網(wǎng)段 |
| F教學(xué) | 代表F校區(qū)教學(xué)網(wǎng)段 |
| F科研 | 代表F校區(qū)科研網(wǎng)段 |
| X財(cái)務(wù) | 代表X校區(qū)財(cái)務(wù)網(wǎng)段 |
| X教學(xué) | 代表X校區(qū)教學(xué)網(wǎng)段 |
| X科研 | 代表X校區(qū)科研網(wǎng)段 |
| T財(cái)務(wù) | 代表T校區(qū)財(cái)務(wù)網(wǎng)段 |
| T教學(xué) | 代表T校區(qū)教學(xué)網(wǎng)段 |
| T科研 | 代表T校區(qū)科研網(wǎng)段 |
拓?fù)鋱D
VLAN配置
- F校區(qū)
在F路由器中劃分三個(gè)vlan;
其中vlan 1的ip為192.168.1.1/24,vlan 2的ip為192.168.2.1/24,vlan3的ip為192.168.3.1/24。 - X校區(qū)
在X路由器中劃分三個(gè)vlan;
其中vlan 1的ip為192.168.4.1/24,vlan 2的ip為192.168.5.1/24,vlan3的ip為192.168.6.1/24。 - T校區(qū)
在T路由器中劃分三個(gè)vlan;
其中vlan 1的ip為192.168.7.1/24,vlan 2的ip為192.168.8.1/24,vlan3的ip為192.168.9.1/24。
路由配置
interface Ethernet0/0/2port link-type accessport default vlan 2 //將教學(xué)網(wǎng)段鏈接至vlan 2
#
interface Ethernet0/0/3port link-type accessport default vlan 3 //將科研網(wǎng)段鏈接至vlan 3
#
interface Vlanif1ip address 192.168.1.1 255.255.255.0 //設(shè)置財(cái)務(wù)網(wǎng)關(guān)
#
interface Vlanif2ip address 192.168.2.1 255.255.255.0 //設(shè)置教學(xué)網(wǎng)關(guān)
#
interface Vlanif3ip address 192.168.3.1 255.255.255.0 //設(shè)置科研網(wǎng)關(guān)
#
interface GigabitEthernet0/0/0ip address 20.0.1.2 255.255.255.0 //配置對(duì)外端口ip
#
ip route-static 0.0.0.0 0.0.0.0 20.0.1.1 //配置默認(rèn)轉(zhuǎn)發(fā)下一跳
interface Ethernet0/0/2port link-type accessport default vlan 2 //將教學(xué)網(wǎng)段鏈接至vlan 2
#
interface Ethernet0/0/3port link-type accessport default vlan 3 //將科研網(wǎng)段鏈接至vlan 3
#
interface Vlanif1ip address 192.168.4.1 255.255.255.0 //設(shè)置財(cái)務(wù)網(wǎng)關(guān)
#
interface Vlanif2ip address 192.168.5.1 255.255.255.0 //設(shè)置教學(xué)網(wǎng)關(guān)
#
interface Vlanif3ip address 192.168.6.1 255.255.255.0 //設(shè)置科研網(wǎng)關(guān)
#
interface GigabitEthernet0/0/0ip address 20.0.2.2 255.255.255.0 //配置對(duì)外端口ip
#
ip route-static 0.0.0.0 0.0.0.0 20.0.2.1 //配置默認(rèn)轉(zhuǎn)發(fā)下一跳
acl number 3000 rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.3.2 0 rule 2 permit ip source 192.168.4.0 0.0.0.255 destination 10.0.3.2 0 rule 3 permit ip source 192.168.7.0 0.0.0.255 destination 10.0.3.2 0 rule 4 deny ip destination 10.0.3.2 0 //配置ACL規(guī)則,限制財(cái)務(wù)服務(wù)器訪問
#
interface Ethernet0/0/2port link-type accessport default vlan 2 //將教學(xué)網(wǎng)段鏈接至vlan 2
#
interface Ethernet0/0/3port link-type accessport default vlan 3 //將科研網(wǎng)段鏈接至vlan 3
#
interface Ethernet0/0/4port link-type accessport default vlan 4 //將服務(wù)器網(wǎng)段鏈接至vlan 4
#
interface Vlanif1ip address 192.168.7.1 255.255.255.0 //設(shè)置財(cái)務(wù)網(wǎng)關(guān)
#
interface Vlanif2ip address 192.168.8.1 255.255.255.0 //設(shè)置教學(xué)網(wǎng)關(guān)
#
interface Vlanif3ip address 192.168.9.1 255.255.255.0 //設(shè)置科研網(wǎng)關(guān)
#
interface Vlanif4ip address 10.0.3.1 255.255.255.0 //設(shè)置服務(wù)器網(wǎng)關(guān)
#
interface GigabitEthernet0/0/0ip address 20.0.3.2 255.255.255.0 //配置對(duì)外端口iptraffic-filter outbound acl 3000traffic-filter inbound acl 3000 //設(shè)置ACL規(guī)則
#
ip route-static 0.0.0.0 0.0.0.0 20.0.3.1 //配置默認(rèn)轉(zhuǎn)發(fā)下一跳
interface GigabitEthernet2/0/1ip address 20.0.1.1 255.255.255.0 //配置向F端口ip
#
interface GigabitEthernet2/0/2ip address 20.0.2.1 255.255.255.0 //配置向X端口ip
#
interface GigabitEthernet2/0/3ip address 20.0.3.1 255.255.255.0 //配置向T端口ip
#
ip route-static 10.0.3.0 255.255.255.0 20.0.3.2 //服務(wù)器
ip route-static 192.168.1.0 255.255.255.0 20.0.1.2
ip route-static 192.168.2.0 255.255.255.0 20.0.1.2
ip route-static 192.168.3.0 255.255.255.0 20.0.1.2 //F
ip route-static 192.168.4.0 255.255.255.0 20.0.2.2
ip route-static 192.168.5.0 255.255.255.0 20.0.2.2
ip route-static 192.168.6.0 255.255.255.0 20.0.2.2 //X
ip route-static 192.168.7.0 255.255.255.0 20.0.3.2
ip route-static 192.168.8.0 255.255.255.0 20.0.3.2
ip route-static 192.168.9.0 255.255.255.0 20.0.3.2 //T
//配置路由轉(zhuǎn)發(fā)下一跳
安全策略要求
- 在T路由器中設(shè)置ACL規(guī)則實(shí)現(xiàn)財(cái)務(wù)服務(wù)器限制訪問:
acl number 3000 rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.3.2 0 //允許翡翠湖財(cái)務(wù)訪問rule 2 permit ip source 192.168.4.0 0.0.0.255 destination 10.0.3.2 0 //允許宣城財(cái)務(wù)訪問rule 3 permit ip source 192.168.7.0 0.0.0.255 destination 10.0.3.2 0 //允許屯溪路財(cái)務(wù)訪問rule 4 deny ip destination 10.0.3.2 0 //拒絕其他ip訪問
驗(yàn)證
二、校園網(wǎng)絡(luò)安全設(shè)置
實(shí)驗(yàn)要求
- 老校區(qū)內(nèi)部網(wǎng)絡(luò)分為辦公區(qū)域和服務(wù)器區(qū)域
- 辦公區(qū)域內(nèi)部IP地址段為192.168.1.0/24
- ISP提供的公網(wǎng)地址為202.102.192.9
- 服務(wù)器區(qū)域有一臺(tái)內(nèi)部文件服務(wù)器(內(nèi)部IP:192.168.0.10),ISP提供的公網(wǎng)IP地址為202.102.192.10
- 新校區(qū)IP地址段為200.110.10.0/24
- 未授權(quán)用戶IP地址段為100.110.10.0/24
- 辦公區(qū)域用戶要求訪問互聯(lián)網(wǎng)
- 內(nèi)部文件服務(wù)器僅對(duì)外提供21端口的訪問
- 文件服務(wù)器僅允許新校區(qū)授權(quán)IP地址能夠訪問,非授權(quán)IP地址不能訪問
物理設(shè)備
設(shè)備數(shù)量命名及用途備注
AR1220
路由器 | 5 | Internet | 外網(wǎng) | ? 1220型具有交換功能,如用其他型號(hào)需在路由器下接交換機(jī)實(shí)現(xiàn)相應(yīng)功能 |
| Non | 未授權(quán)用戶 |
| NEW | 新校區(qū) |
| OLD | 老校區(qū) |
| R | 學(xué)校總路由器 |
| 交換機(jī) | 1 | LSW | 新校區(qū)內(nèi)部互聯(lián) | 沒啥用可刪除,是之前沒理清思路加上去的,刪除注意修改路由表 |
| 服務(wù)器 | 1 | FileSystem | 老校區(qū)內(nèi)部文件服務(wù)器 | 僅內(nèi)網(wǎng)可訪問 |
| PC | 7 | NEW1 | 新校區(qū)PC機(jī) | — |
| NEW2 |
| NEW3 | 新校區(qū)客戶機(jī) |
| OLD1 | 老校區(qū)PC機(jī) |
| OLD2 | 老校區(qū)客戶機(jī) |
| CLIENT | 未授權(quán)用戶客戶機(jī) |
| USER | 未授權(quán)用戶PC機(jī) |
拓?fù)鋱D
VLAN配置
- 老校區(qū)
在OLD路由器中劃分兩個(gè)vlan;
其中vlan 1的ip為192.168.1.1/24,vlan 2的ip為192.168.0.1/24。
路由配置
interface GigabitEthernet0/0/0ip address 202.102.192.10 255.255.255.0 //配置公網(wǎng)ip
ip route-static 0.0.0.0 0.0.0.0 100.110.10.1 //配置默認(rèn)轉(zhuǎn)發(fā)下一跳
#
interface GigabitEthernet0/0/0ip address 100.110.10.3 255.255.255.0 //配置向外端口ipnat static global 100.110.10.33 inside 192.168.3.3 netmask 255.255.255.255
nat static enable //配置靜態(tài)NAT
#
interface GigabitEthernet0/0/1ip address 192.168.3.1 255.255.255.0 //配置向內(nèi)端口ip
interface GigabitEthernet0/0/0ip address 200.110.10.3 255.255.255.0 //配置向外端口ipnat static global 200.110.10.33 inside 192.168.10.3 netmask 255.255.255.255nat static global 200.110.10.44 inside 192.168.10.4 netmask 255.255.255.255nat static global 200.110.10.55 inside 192.168.10.5 netmask 255.255.255.255nat static enable //配置靜態(tài)NAT
#
interface GigabitEthernet0/0/1ip address 192.168.11.1 255.255.255.0 //配置向內(nèi)端口ip
#
ip route-static 0.0.0.0 0.0.0.0 200.110.10.1 //向外
ip route-static 192.168.10.0 255.255.255.0 192.168.11.3 //向內(nèi)
//配置轉(zhuǎn)發(fā)下一跳
acl number 3000 rule 0 permit ip source 192.168.1.0 0.0.0.255 //服務(wù)于NATacl number 3001 rule 0 permit tcp source 200.110.10.0 0.0.0.255 destination 192.168.0.10 0 destination-port eq ftp rule 1 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.0.10 0 destination-port eq ftp
acl number 3002 rule 0 deny icmp
//服務(wù)Server,僅提供21端口
//設(shè)置ACL規(guī)則
#nat alg ftp enable //開啟alg ftp支持
#
interface Vlanif1ip address 192.168.1.1 255.255.255.0 //配置辦公區(qū)域網(wǎng)關(guān)
#
interface GigabitEthernet2/0/0ip address 192.168.0.1 255.255.255.0 //配置服務(wù)器區(qū)域網(wǎng)關(guān)traffic-filter outbound acl 3002traffic-filter inbound acl 3002 //設(shè)置對(duì)服務(wù)器ACL規(guī)則
#
interface GigabitEthernet0/0/0ip address 200.110.11.3 255.255.255.0 //配置向內(nèi)網(wǎng)端口iptraffic-filter inbound acl 3001 //設(shè)置對(duì)服務(wù)器ACL規(guī)則
#
interface GigabitEthernet0/0/1ip address 202.102.192.9 255.255.255.0 //配置向外網(wǎng)端口ipnat outbound 3000 //配置NAT
#
ip route-static 100.110.10.0 255.255.255.0 200.110.11.1 //未授權(quán)用戶
ip route-static 200.110.10.0 255.255.255.0 200.110.11.1 //新校區(qū)
ip route-static 202.102.192.0 255.255.255.0 202.102.192.10 //訪問外網(wǎng)
//配置路由轉(zhuǎn)發(fā)下一跳
interface GigabitEthernet0/0/1ip address 100.110.10.1 255.255.255.0 //配置向未授權(quán)用戶端口ip
#
interface GigabitEthernet2/0/1ip address 200.110.10.1 255.255.255.0 //配置向新校區(qū)端口ip
#
interface GigabitEthernet2/0/2ip address 200.110.11.1 255.255.255.0 //配置向老校區(qū)端口ip
#
ip route-static 100.110.10.0 255.255.255.0 100.110.10.3 //未授權(quán)用戶
ip route-static 192.168.0.0 255.255.255.0 200.110.11.3 //老校區(qū)服務(wù)器區(qū)域
ip route-static 192.168.1.0 255.255.255.0 200.110.11.3 //老校區(qū)辦公區(qū)域
ip route-static 200.110.10.0 255.255.255.0 200.110.10.3 //新校區(qū)
//配置路由轉(zhuǎn)發(fā)下一跳
安全策略要求
- 在OLD路由器中設(shè)置ACL規(guī)則實(shí)現(xiàn)內(nèi)部服務(wù)器限制訪問:
acl number 3001
rule 0 permit tcp source 200.110.10.0 0.0.0.255 destination 192.168.0.10 0 destination-port eq ftp //允許新校區(qū)IP訪問服務(wù)器,并限制端口
rule 1 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.0.10 0 destination-port eq ftp //允許老校區(qū)IP訪問服務(wù)器,并限制端口
acl number 3002 rule 0 deny icmp //拒絕ICMP訪問
驗(yàn)證
-
新校區(qū)與老校區(qū)辦公區(qū)域
- 新校區(qū)→老校區(qū)辦公區(qū)域
- 老校區(qū)辦公區(qū)域→新校區(qū)
-
老校區(qū)辦公區(qū)域訪問外網(wǎng)
-
服務(wù)器訪問
- 新校區(qū)→服務(wù)器
- 老校區(qū)辦公區(qū)域→服務(wù)器
- 未授權(quán)用戶→服務(wù)器
實(shí)現(xiàn)方法并不唯一,文中也并非最優(yōu)解
歡迎交流討論與指正 |
總結(jié)
以上是生活随笔為你收集整理的基于ensp的网络设计【实现网络互联、限制访问、内外网地址转换】的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò),歡迎將生活随笔推薦給好友。
