一. 实验拓扑图
二.实验要求
1.企业内网运行OSPF路由协议,区域规划如图所示;
2.财务和研发所在的区域不受其他区域链路不稳定性影响;
3.AR1、AR2、AR3只允许被IT登录管理;
4.YF和CW之间不能互通,但都可以与IT互通;
5.IT和YF可以访问Client1,但CW不能访问Client1;
6.YF和CW只能访问Server1的WWW服务;
三.实验步骤
1.配置基本网络
根据拓扑图配置AR1的基本接口的IP地址设置,
具体代码如下:
AR1:
sysname Hm-AR1 undo info enable interface GigabitEthernet0/0/0 ip address 1.1.1.254 24 interface GigabitEthernet0/0/1 ip address 192.168.12.1 24 interface GigabitEthernet0/0/2 ip address 192.168.13.1 24 quit
AR2:
sysname Hm-AR2 undo info enable interface GigabitEthernet0/0/0 ip address 192.168.12.2 24 interface GigabitEthernet0/0/1 ip address 192.168.10.254 24 interface GigabitEthernet0/0/2 ip address 192.168.20.254 24 quit
AR3:
sysname Hm-AR3 undo info enable interface GigabitEthernet0/0/0 ip address 192.168.13.2 24 interface GigabitEthernet0/0/1 ip address 192.168.30.254 24 interface GigabitEthernet0/0/2 ip address 192.168.40.254 24 quit
配置如下图所示:
同理设置AR2 、AR3的基本接口的IP地址设置:
2.因为要让各个路由器之间可以知道全网络,我选择将网络中的路由器配置路由的OSPF协议,建立邻居关系。
具体代码如下:
AR1:
ospf 1 router-id 1.1.1.1 area 0 network 192.168.12.0 0.0.0.255 network 192.168.13.0 0.0.0.255 area 1 network 1.1.1.0 0.0.0.255 quit
在这里复习一下OSPF的rout ID
1、OSPF的Router ID选举规则
a)如果通过命令设置了routerID,则选择此作为ROUTER ID
b)如果没通过命令设置routerID,若有loopback地址,则选择最大的loopback地址作为router ID;若无loopback地址,则选择其他接口中地址最大的作为router ID。
2、OSPF的router ID刷新规则
a)当且仅当被选举为routerID的接口的地址被删除或修改,才会触发选举过程,此过程需要reset OSPF进程才生效;
b)被选择的接口状态改变、新配置更大的loopback或其他接口地址,均不会导致router id重新选举;
c)router ID不可以是0.0.0.0 或 255.255.255.255
3、router ID作用
a)作为OSPF区域中本路由器的唯一标识;
b)DR、BDR选举中,在优先级相同的时候,router ID大的选举为DR。
操作如图所示:
AR2:
ospf 1 router-id 2.2.2.2 area 0 network 192.168.12.0 0.0.0.255 area 2 network 192.168.10.0 0.0.0.255 network 192.168.20.0 0.0.0.255 stub no-summary quit
这里为了让财务和研发所在的区域不受其他区域链路不稳定性影响,AR2的area 2 中使用了stub no-summary命令来配置Totally Stub区域,(目的是为了在大型网络中减少路由器的压力)Totally Stub区域不接受类型3、4、5 、6的LSA,Totally Stub 区域只可以携带区域内路由和区域间路由,使得区域中路由器OSPF 数据库和路由表以及路由表信息传递量都会大大减少,为了可以和外部路由联系,路由器会把去往外部的信息采用缺省路由 0.0.0.0(即生成一条默认路由0.0.0.0)发送出去,该区域只存在一条缺省路由与区域外通信。
Stub、Totally Stub区域是为了减小路由表条目,优化网络性能。
满足以下四个条件的区域可以被认定为Stub、Totally Stub区域:
1,只有一个默认路由作为其区域的出口。
2,区域不能作为虚链路的穿越区域。
3,Stub区域里无自治系统边界路由器ASBR。
4,不是骨干区域area0.
Stub、Totally Stub区别在于:stub区域需要在区域内每个路由器上面配置,Totally Stub只需要在边界路由器ABR上面配置。Stub区域没有类型4,5,6 ,Totally Stub区域没有类型3,4,5,6,从而进一步减小路由表。
操作如图所示:
同理AR3与AR2相似操作,具体命令如下:
ospf 1 router-id 3.3.3.3 area 0 network 192.168.13.0 0.0.0.255 area 3 network 192.168.30.0 0.0.0.255 network 192.168.40.0 0.0.0.255 stub no-summary quit
具体操作如图所示:
下面配置一下IT部门的基本配置,这里因为属于area 2 区域 ,但是因为我们在设置AR2的时候将area 2设置成了Totally Stub区域 ,所以在IT部门的配置中添加进Totally Stub区域具体命令行如下:
interface GigabitEthernet0/0/0 ip address 192.168.10.1 255.255.255.0 ospf 1 area 2 network 192.168.10.0 0.0.0.255 stub
具体代码运行如下图所示:
接下来,根据实验要求我们可以分析到,AR3上的规则有
1.为了满足CW的client机器可以访问被IT的访问并且登录到CW , 所以在其所在链路上的核心路由器上,通过定义ACL规则并且在此基础上设置用户登陆验证,(以路由为参考系来设置inbound还是outbound,可以看出从IT访问到CW经过AR3是inbound),
2.再设置一个CW的ACL,原因是要禁止CW访问R1交换机设置禁止30网段访问到1.0网段,
3.其次要禁止CW访问YF,规则 设置成30网段禁止访问20 网段
AR3的配置如下所示:
acl 2000 rule 10 permit source 192.168.10.0 0.0.0.255 user-interface vty 0 4 acl 2000 inbound authentication-mode password huawei
acl name cw
rule 10 deny ip source 192.168.30.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
rule 20 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 30 permit tcp source 192.168.30.0 0.0.0.255 destination 192.168.40.1 0 destination-port eq www
rule 40 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.40.1 0
interface GigabitEthernet0/0/1
traffic-filter inbound acl name cw
过程如下图所示:
然后配置IT部门设备ACL上的配置
1.设置一个ACL 2000 ,IT可以访问出去在vty的入口实现,并设置密码登录
2.设置一个ACL 3000,允许IT访问www服务器,并禁止20网段访问40网段,并在接口实现inpound ACL规则
操作命令行如下所示:
acl 2000 rule 10 permit source 192.168.10.0 0.0.0.255 user-interface vty 0 4 acl 2000 inbound authentication-mode password huawei acl 3000 rule 10 permit tcp source 1.1.1.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 destination-port eq www rule 20 deny ip source 1.1.1.0 0.0.0.255 destination 192.168.40.1 0 interface GigabitEthernet0/0/1 traffic-filter inbound acl 3000
操作步骤如下图:
AR2的ACL 规则
1.先设置个2000的规则,使IT部可以访问出去在vty的入口进行实现,并设置密码登录,
2.设置name 高级 ACL规则,设置禁止20网段到30网段,允许20网段访问www服务器,禁止20网段访问40网段
配置命令行如下:
acl 2000 rule 10 permit source 192.168.10.0 0.0.0.255 user-interface vty 0 4 acl 2000 inbound authentication-mode password huawei acl name yf rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 20 permit tcp source 192.168.20.0 0.0.0.255 destination 192.168.40.1 0 destination-port eq www rule 30 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 interface GigabitEthernet0/0/2 traffic-filter inbound acl name yf
操作步骤如下图:
配置完成之后。我们来检测一下:
使用CW 访问www 服务:
但是CW 不能ping通 :
YF 同 CW 一样:
不能ping通 但是可以访问
IT可以Telnet登陆AR2:
另外还总结一了一些知识点,仅供参考:
ACL的类型根据不同的划分规则可以有不同的分类。例如:
按照创建ACL时的命名方式分为数字型ACL和命名型ACL:
创建ACL时指定一个编号,称为数字型ACL。
编号为ACL功能的标示。
例如2000~2999为基本ACL,3000~3999为高级ACL。
创建ACL时指定一个名称,称为命名型ACL。
在指定命名型ACL时,也可以同时配置对应编号。如果没有配置对应编号,系统在记录此命名型ACL时会自动为其分配一个数字型ACL的编号。
ACL的名称对于ACL全局唯一,但允许基本ACL与基本ACL6,高级ACL与高级ACL6使用相同的名称。
在这里在网上找到了一个较为详细的ACL的功能表,引来给大家参考一下:
|
分类 |
适用的IP版本 |
功能介绍 |
说明 |
|
基本ACL |
IPv4 |
可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则。 |
基本IPv4 ACL简称基本ACL。编号范围为2000~2999。 |
|
高级ACL |
IPv4 |
既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP(User Datagram Protocol)源端口/目的端口号等来定义规则。 |
高级IPv4 ACL简称高级ACL。编号范围为3000~3999。 |
|
二层ACL |
IPv4&IPv6 |
可根据报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、以太帧协议类型等。 |
编号范围为4000~4999。 |
|
用户自定义ACL |
IPv4&IPv6 |
可根据偏移位置和偏移量从报文中提取出一段内容进行匹配。 |
编号范围为5000~5999。 |
|
用户ACL |
IPv4 |
既可使用IPv4报文的源IP地址或源UCL(User Control List)组,也可使用目的地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。 |
编号范围为6000~6999。 |
|
基本ACL6 |
IPv6 |
可使用IPv6报文的源IP地址、分片标记和时间段信息来定义规则。 |
基本IPv6 ACL简称基本ACL6。编号范围为2000~2999。 |
|
高级ACL6 |
IPv6 |
可以使用IPv6报文的源地址、目的地址、IP承载的协议类型、针对协议的特性(例如TCP的源端口、目的端口、ICMPv6协议的类型、ICMPv6 Code)等内容定义规则。 |
高级IPv6 ACL简称高级ACL6。编号范围为3000~3999。 |