本文主要是介绍ensp模拟实验,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
实验背景:办公室网络实验
基本组成:1台Ftp-server,1台Web-server,一台HR部门的终端pc-1,一台SALES部门的终端pc-2,一台IT部门的终端pc-3,一台路由器R1和一台交换机LSW3。为了满足公司的安全需求,要求在R1上使用ACL对部门之间的互访,以及用户对服务器的访问控制。另外,只允许LSW3的Vlanif 1接口的ip地址作为源地址远程登陆到R1,以实现R1的远程控制和管理。
实验拓扑如下:
R1地址配置如下:
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int g4/0/1
[Huawei-GigabitEthernet4/0/1]ip address 192.168.11.254 24
[Huawei-GigabitEthernet4/0/1]int g4/0/2
[Huawei-GigabitEthernet4/0/2]ip address 192.168.12.254 24
[Huawei-GigabitEthernet4/0/2]int g4/0/3
[Huawei-GigabitEthernet4/0/3]ip address 192.168.13.254 24
[Huawei-GigabitEthernet4/0/3]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.111.254 24
LSW3地址配置如下:
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan 1
[Huawei-vlan1]int vlan1
[Huawei-Vlanif1]ip address 192.168.111.11 24
Client1地址配置:192.168.11.1 24 网关:192.168.11.254 24
Client2地址配置:192.168.12.2 24 网关:192.168.12.254 24
Client3地址配置:192.168.13.3 24 网关:192.168.13.254 24
服务器地址设置:
Ftp服务器地址设置: 192.168.111.111 24 网关:192.168.111.254 24
Web服务器地址设置:192.168.111.222 24 网关:192.168.111.254 24
如上配置,此时全网已经可以互通!如下,用client进行ping服务器,发现可以发送成功。证明网络可以互通,其他client也是如此,图略。
根据客户要求实现具体操作:
要求1:
为各部门创建安全区域,公司希望使用华为ar系列路由器的区域间防火墙特性来提高安全性,所以在R1上为client1部门,c2部门,c3部门分别创建安全区域。区域名字与部门名字一致,c1安全级别为12,c2级别为10,c3级别为8。另外创建trust区域,级别为14,两台服务器都在该区域。配置如下:
AR1(创建安全区域)
[Huawei]firewall zone c1
[Huawei-zone-c1]priority 12
[Huawei-zone-c1]q
[Huawei]firewall zone c2
[Huawei-zone-c2]priority 10
[Huawei-zone-c2]q
[Huawei]firewall zone c3
[Huawei-zone-c3]priority 8
[Huawei-zone-c3]q
[Huawei]firewall zone trust
[Huawei-zone-trust]priority 14
将AR1上连接不同部门的接口加入到相应的安全区域中,配置如下:
[Huawei]int g4/0/1
[Huawei-GigabitEthernet4/0/1]zone c1
[Huawei-GigabitEthernet4/0/1]int g4/0/2
[Huawei-GigabitEthernet4/0/2]zone c2
[Huawei-GigabitEthernet4/0/2]int g4/0/3
[Huawei-GigabitEthernet4/0/3]zone c3
[Huawei-GigabitEthernet4/0/3]int g0/0/1
[Huawei-GigabitEthernet0/0/1]zone trust
此时各自接口已经划分到相应的安全区域,使用display firewall zone 查看相应信息,如下:
要求2:禁止c1和c2部门之间的互访
实现方法如下:
启用c1和c2区域间的防火墙
[Huawei]firewall interzone c1 c2
[Huawei-interzone-c1-c2]firewall enable
进行上面配置后,防火墙功能启动,此时c1可以访问c2,但c2不能访问c1.
使用display firewall interzone c1 c2查看c1和c2区域间的默认策略
inbound是c2去往c1的数据,outbound是c1去c2的数据,上图看出inbound被deny,outbound是permit。
由于默认的c2不能访问c1,因此只需要在outbound方向将c1去往c2的报文过滤即可。
创建高级acl 3000来定义从c1到c2的报文。配置如下:
[Huawei]acl 3000
[Huawei-acl-adv-3000]step 10
[Huawei-acl-adv-3000]rule deny ip source 192.168.11.1 0.0.0.0 destination 192.16
8.12.2 0.0.0.0
[Huawei-acl-adv-3000]q
[Huawei]firewall interzone c1 c2
[Huawei-interzone-c1-c2]packet-filter 3000 outbound
此时c1去往c2的报文也被禁止,此时已经双方都相互ping不通,使用命令查看:可以看出acl 3000已经被应用在c1和c2的outbound方向。
此时,实现了c1和c2双向禁止访问的需求。
要求3:实现对Web-server和Ftp-server访问的控制
c2可以访问web但是禁止访问ftp。
首先开启c2和trust之间的防火墙,因为trust级别高,此时c2不能访问trust方向上的服务器。
然后创建acl 3001,允许c2访问web,并应用在c2和trust之间。
配置如下:
[Huawei]firewall interzone c2 trust
[Huawei-interzone-trust-c2]firewall enable
[Huawei-interzone-trust-c2]q
[Huawei]acl 3001
[Huawei-acl-adv-3001]rule 10 permit tcp source 192.168.12.2 0.0.0.0 destination
192.168.111.2 0 destination-port eq 80
[Huawei-acl-adv-3001]q
[Huawei]firewall interzone c2 trust
[Huawei-interzone-trust-c2]packet-filter 3001 inbound
此时,c2可以访问web,但是访问不了ftp,如下:
如上图,说明要求已经得到满足。
新的要求:
c3部门可以随时访问ftp,但是只能每天的14:00至16:00才能访问web,还要求c3能随时ping通ftp和web。
思路:
首先使能c3和trust之前的防火墙,因为trust高,所以trust可以访问c3,c3不能访问trust
设置策略放行ftp inbound方向上的流量,放行web 14:00-16:00 inbound 方向上的流量,放行icmp inbound方向上的流量。
配置如下:
[Huawei]firewall interzone c3 trust
[Huawei-interzone-trust-c3]firewall enable
[Huawei-interzone-trust-c3]q
[Huawei]time-range access-web 14:00 to 16:00 daily
[Huawei]acl 3003
[Huawei-acl-adv-3003]step 10
[Huawei-acl-adv-3003]rule permit tcp source 192.168.13.3 0 destination 192.168.1
11.2 0 destination-port eq 80 time-range access-web
[Huawei-acl-adv-3003]rule permit tcp source 192.168.13.3 0 destination 192.168.1
11.1 0 destination-port eq 21
[Huawei-acl-adv-3003]rule permit icmp source 192.168.13.3 0 destination 192.168.
111.1 0
[Huawei-acl-adv-3003]rule permit icmp source 192.168.13.3 0 destination 192.168.
111.2 0
[Huawei-acl-adv-3003]q
[Huawei]firewall interzone c3 trust
[Huawei-interzone-trust-c3]packet-filter 3003 inbound
如上配置,要求已经实现,测试图略。
新要求:实现对设备的安全管理和控制
为了实现对AR1的安全管理,只允许Sw1上的vlanif1接口的ip地址192.168.111.11能够作为源地址登录到AR1.
思路:在R1上配置vty用户接口,允许远程主机通过tlenet管理R1.本例中telnet密码为huawei
配置如下:
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
使用基本acl对路由器的vty终端进行保护,只允许192.168.111.11的报文访问R1的vty终端。
配置如下:
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.111.11 0
[Huawei-acl-basic-2000]q
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]acl 2000 inbound
如上配置,此时在Sw1上就可以远程登录R1
现在将地址修改一下,将vlanif1修改为别的地址
[Huawei]int vlan 1
[Huawei-Vlanif1]dis this
#
interface Vlanif1
ip address 192.168.111.11 255.255.255.0
#
return
[Huawei-Vlanif1]ip address 192.168.111.222 24
<Huawei>telnet 192.168.111.254
Trying 192.168.111.254 ...
Press CTRL+K to abort
此时,已经无法登录,实验成功!
这篇关于ensp模拟实验的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
