华为数通HCIA小型拓扑综合实验,运用OSPF动态路由协议、ACL访问控制列表,交换机生成树协议,修改交换机根桥、交换机划分vlan、链路聚合等相关数通技术、NAT地址转换以及NAT网络地址转换的配置

本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介: 华为数通HCIA小型拓扑综合实验,运用OSPF动态路由协议、ACL访问控制列表,交换机生成树协议,修改交换机根桥、交换机划分vlan、链路聚合等相关数通技术、NAT地址转换以及NAT网络地址转换的配置、ACL访问控制列表的配置方法。访问控制列表的书写技巧、ACL访问控制列表的匹配原则。...

华为数通HCIA综合实验拓扑
image.png

 各交换机路由器的配置:
SW1交换机配置:

/端口部分参考SW3.cfg的注释

vlan batch 10 20 30 1000 #连续创建vlan 10 20 30 1000

stp mode stp //设置生成树模式为标准单实例生成树
stp instance 0 root primary //设置自己成为根桥交换机
dhcp enable //开启DHCP功能

interface Vlanif10 //进入虚拟接口VLAN10
ip address 192.168.1.1 255.255.255.0 //配置IP地址192.168.1.1/24
dhcp select interface //设置dhcp运行模式为接口模式
dhcp server dns-list 114.114.114.114 //设置DHCP dns列表114.114.114.114

/参考vlanif10注释

interface Vlanif20
ip address 192.168.2.1 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114

/参考vlanif10注释

interface Vlanif30
ip address 192.168.3.1 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114

interface Vlanif1000 //进入虚拟接口vlan1000
ip address 10.1.1.1 255.255.255.0 //设置IP地址10.1.1.1/24

interface Eth-Trunk1 //创建并进入链路聚合接口ETH-Trunk1
port link-type access //设置端口连接类型为access
port default vlan 1000 //设置端口默认的PVID为vlan1000

interface GigabitEthernet0/0/1
eth-trunk 1 //使当前物理接口加入到eth-trunk1中

interface GigabitEthernet0/0/2
eth-trunk 1 //使当前物理接口加入到eth-trunk1中

interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 30

interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20 30

ospf 1 router-id 2.2.2.2 //创建ospf进程1,route-id为2.2.2.2
area 0.0.0.0 //创建区域0
network 192.168.0.0 0.0.3.255 //宣告网络段192.168.0.0/22
network 10.1.1.0 0.0.0.255 //宣告网络段10.1.1.0/24

SW2交换机配置:

/参考SW3.cfg中的注释

vlan batch 10 20 30 //创建vlan 10 20 30

stp mode stp //设置生成树模式为标准单实例生成树
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30

interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30

interface GigabitEthernet0/0/3
port link-type access
port default vlan 10

interface GigabitEthernet0/0/4
port link-type access
port default vlan 20

SW3交换机配置:

vlan batch 10 20 30 //批量创建VLAN 10 20 30

stp mode stp //设置生成树模式为标准单实例生成树

interface GigabitEthernet0/0/1
port link-type trunk //设置端口连接类型为Trunk模式
port trunk allow-pass vlan 10 20 30 //设置端口允许通过的vlan10 20 30

interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30

interface GigabitEthernet0/0/3
port link-type access //设置端口连接类型为access
port default vlan 30 //设置端口默认的PVID为vlan 30

AR1路由器配置:

acl number 2000 //创建基本访问控制列表2000
rule 5 permit //放行所有来源IP数据

interface Dialer1 //创建拨号接口Dialer1
link-protocol ppp //接口连接协议类型为PPP协议
ppp pap local-user heyong password simple 10086 //设置ppp pap模式认证用户为heyong,密码为10086,明文保存
ip address ppp-negotiate //IP地址为PPP远程协商分配
dialer user 10086 //设置连接名称为 10086
dialer bundle 1 //设置PPPoE流量通道为1
dialer-group 1
nat outbound 2000 //接口出方向配置EASY-IP进行网络地址转换

interface Eth-Trunk1 //创建链路聚合接口ETH-trunk1
undo portswitch //升级链路聚合端口为三层接口
ip address 10.1.1.2 255.255.255.0 //配置IP地址为10.1.1.2/24

interface GigabitEthernet0/0/0
eth-trunk 1 //使当前物理接口加入到eth-Trunk1

interface GigabitEthernet0/0/1
eth-trunk 1 //使当前物理接口加入到eth-Trunk1

interface GigabitEthernet0/0/2
pppoe-client dial-bundle-number 1 //接口以PPPoE客户端模式进行拨号.绑定拨号接口1

dialer-rule
dialer-rule 1 ip permit //放行拨号流量

ospf 1 router-id 1.1.1.1 //创建ospf进程1,route-id为1.1.1.1
default-route-advertise always //一直下发缺省路由给其他路由器
area 0.0.0.0 //创建区域0
network 10.1.1.0 0.0.0.255 //宣告网络段10.1.1.0/24

ip route-static 0.0.0.0 0.0.0.0 Dialer1 //手工添加缺省路由从Dialer1接口发出
AR2路由器配置:
sysname ISP //改名ISP

dhcp enable //开启DHCP功能

ip pool khd //设置地址池名为khd
gateway-list 200.1.1.2 //设置地址池网关为200.1.1.2
network 200.1.1.0 mask 255.255.255.0 //设置地址网络段范围200.1.1.0/24

aaa //进入AAA系统视图
local-user heyong password cipher 10086 //创建本地用户heyong,设置密码为10086,密文保存
local-user heyong service-type ppp //设置本地用户heyong,使用的服务类型为ppp协议

interface Virtual-Template1 //设置PPPoE服务端模板接口,ID为1
ppp authentication-mode pap //设置ppp 认证模式为pap
remote address pool khd //设置远程地址分配来源为地址池khd
ppp ipcp dns 114.114.114.114 //设置ppp拨号分配dns 114.114.114.114
ip address 200.1.1.2 255.255.255.0 //设置IP地址为网关地址200.1.1.2

interface GigabitEthernet0/0/0 //进入物理接口G0/0/0
pppoe-server bind Virtual-Template 1 //以PPPoE服务端模式绑定服务端接口1

interface GigabitEthernet0/0/1
ip address 172.16.1.1 255.255.255.0
dhcp select interface
NAT访问控制列表:
NAT---->网络地址转换------->出方向时候,转换的是源IP地址,入方向时候,转换的是目的IP地址。

NAT配置示例:

创建访问控制列表,编号为2000 ----空的列表

acl 2000   
例:示例两个条目

 添加条目 编号为5 拒绝 来源IP为 192.168.1.0 /24的数据,IP地址后面接的是通配符。

rule 5 deny source 192.168.1.0 0.0.0.255     
添加条目 5 拒绝 来源所有的IP地址,去向114.114.114.114主机的53端口的TCP协议数据。

rule 5 deny any tcp destination 114.114.114.114 0 destination-port eq domain
子网掩码:
是连续的1.1来锁定该bit位,IP地址的值

通配符:
是用0来锁定该bit位的,IP地址的值,他不需要使用连续的0或1

NAT------>网络地址转换
缺点:
减缓了IP地址的消耗速度
使得内网相对于外网来说,变得不在透明
能够实现1对多的外网访问
缺点:
     1、破坏了端到端的访问

应用:
解决我们多个主机访问外网的问题
解决外网访问内部主机资源的问题
解决地址访问安全的问题
ACL访问控制列表的匹配原则:
自上而下,序号从小到大依次匹配
如果命中规则,则停止匹配下方规则,直接作出规则的指定行为
如果数据未命中规则,则视为此数据为未命中数据,默认发送
ACL配置过程:

1、创建访控制列表(此时ACL是为空)
acl 2000
2、 添加条目:
rule deny source 192.168.2.0 0.0.0.255
3、口处使用流量控制器:(需进入接口) 
traffic-filter outbound acl 2000
访问控制列表书写的技巧:
先写少数的----极端个例(少数的特例先书写,大范围可直接概括)
先写拒绝的----及早丢弃不需要传输的数据,提高转发效率(因为不在拒绝列表就会默认通行,允许列表可以一次放通)

相关文章
|
2天前
|
机器学习/深度学习 网络协议 网络性能优化
[计算机网络]深度学习传输层TCP协议
[计算机网络]深度学习传输层TCP协议
7 1
|
6天前
|
监控 网络协议 安全
Verilog代码在上网行为管理软件中的网络设备控制与协议分析
**Verilog摘要:** Verilog是硬件描述语言,用于数字电路设计和网络设备控制。它在上网行为管理软件中用于控制路由器、交换机等,例如通过简单模块控制端口状态。此外,Verilog还支持协议分析,如解析以太网帧提取MAC地址。监控数据可结合Verilog实现自动化提交,例如通过HTTP发送请求到服务器,实现实时监控和响应。这些示例展示了Verilog在网络安全和性能优化中的应用潜力。
40 1
|
2天前
用UDP协议实现发送接收的网络聊天室
用UDP协议实现发送接收的网络聊天室
7 0
|
2天前
|
机器学习/深度学习 安全 数据安全/隐私保护
【计算机网络】深度学习HTTPS协议
【计算机网络】深度学习HTTPS协议
5 0
|
2天前
|
机器学习/深度学习 前端开发 JavaScript
【计算机网络】深度学习使用应用层的HTTP协议
【计算机网络】深度学习使用应用层的HTTP协议
4 0
|
10天前
|
缓存 网络协议 Unix
网络常用协议
网络常用协议
|
10天前
|
网络协议 Unix Linux
网络层协议及IP编址
网络层协议及IP编址
|
1月前
|
消息中间件 Java Linux
2024年最全BATJ真题突击:Java基础+JVM+分布式高并发+网络编程+Linux(1),2024年最新意外的惊喜
2024年最全BATJ真题突击:Java基础+JVM+分布式高并发+网络编程+Linux(1),2024年最新意外的惊喜
|
16天前
|
网络协议 算法 Linux
【嵌入式软件工程师面经】Linux网络编程Socket
【嵌入式软件工程师面经】Linux网络编程Socket
33 1
|
1天前
|
安全 物联网 Linux
学习Linux对网络安全的重要性
**学习Linux对网络安全至关重要:** 1. 开源操作系统广泛应用于服务器、网络设备,掌握Linux是安全专家必备技能。 2. Linux内置安全特性,如最小权限和防火墙,加上丰富的安全工具,提供强大保障。 3. 可定制性允许灵活配置,满足安全需求,开源社区提供持续更新和教育资源。 4. 学习Linux能提升攻防能力,用于系统加固和渗透测试,适应跨平台安全场景。 5. 随着云计算和物联网发展,Linux在网络安全中的角色日益关键。
10 3