兩層架構綜合實驗配置

• 2021 年 10 月 31 日
• 筆記
• 網路安全

一、實驗要求

1、企業內網劃分多個vlan，減少廣播域大小，提高網路穩定性。
2、用戶的網關配置在核心交換機
3、所有用戶均自動獲取IP地址
4、出口配置NAT
5、在企業出口將內網伺服器的80埠映射出去，允許外網訪問
6、企業財務伺服器不允許vlan30的用戶訪問，並禁止192.168.10.200訪問外網
7、所有設備在任何位置都可以telnet遠程管理
8、配置vlan修剪，以減少廣播發送的範圍，進一步提升網路穩定性。

二、劃分vlan

LSW1:
vlan batch 10 30 999 #999作為管理vlan,其他為業務vlan
int e0/0/1
port link-type access
port default vlan 10
int e0/0/2
port link-type access
port default vlan 30
int e0/0/3
port link-type trunk
port trunk allow-pass vlan all

LSW2:
vlan batch 200 999
port-group group-member e0/0/1 to e0/0/2
port link-type access
port default vlan 200
int e0/0/3
port link-type trunk
port trunk allow-pass vlan all

LSW3:
vlan batch 10 30 200 800 999
port-group group-member gi0/0/1 to gi0/0/2
port link-type trunk
port trunk allow-pass vlan all
int gi0/0/3
port link-type access
port default vlan 800

access配在交換機和PC連接的介面上，access不攜帶標籤
trunk配在交換機和交換機介面上，trunk可以攜帶標籤

三、核心交換機配置網關

LSW3:
int vlanif 10
ip add 192.168.10.1 24
int vlanif 30
ip add 192.168.30.1 24
int vlanif 200
ip add 192.168.200.1 24
int vlanif 800
ip add 192.168.168.1 24

注意：一個SVI虛擬介面UP的條件（有屬於改vlan的access口或者有trunk介面允許改vlan報文通過

四、自動獲取DHCP

LSW3:
dhcp enable 開啟DHCP服務
ip pool a 創建地址池a
gateway-list 192.168.10.1
dns-list 114.114.114.114
network 192.168.10.0 mask 24
ip pool b
gateway-list 192.168.30.1
dns-list 114.114.114.114
network 192.168.30.0 mask 24
int vlanif 10 在虛擬介面下分配IP
dhcp select global
int vlanif 30
dhcp select global

五、出口NAT配置

配置去包回包路由
LSW3：
ip route-static 0.0.0.0 0 192.168.168.2
AR1:
[Huawei]int gi0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.168.2 24
[Huawei-GigabitEthernet0/0/0]int gi0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 190.168.168.1 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]ip route-static 0.0.0.0 0 190.168.168.6
[Huawei]ip route-static 192.168.0.0 16 192.168.168.1

[Huawei]acl 2000
[Huawei-acl-basic-2000]int gi0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000

六、內網埠映射

作用：使外網訪問內網伺服器的同時保護了伺服器的安全
AR1
[Huawei]int gi0/0/1
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 190.168.168.2 80 ins
ide 192.168.200.10 80

客戶端訪問時需要通過映射的公網地址去訪問內網

七、ACL配置

1、使用高級ACL禁止源訪問目標
LSW3：
禁止vlan 30的用戶訪問財務伺服器
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 5 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.200.20 0
[Huawei-acl-adv-3000]q
全局調佣acl
[Huawei]traffic-filter vlan 200 outbound acl 3000

禁止192.168.10.200訪問外網
注意：需要在進方向調用才會生效，這是為防止NAT轉化後找不到要拒絕的IP
AR1：
[Huawei]acl 2001
[Huawei-acl-basic-2001]rule 10 deny source 192.168.10.200 0
[Huawei-acl-basic-2001]int gi0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2001

八、所有設備telnet遠程管理

注意：
1、管理流量和業務流量一般需要分開，避免業務流量受到攻擊導致託管
2、接入層需要配置指向核心交換機的預設路由，因為接入層交換機要給核心交換機回包，需要有路由才能到達
LSW3:
[Huawei]int vlanif 999
[Huawei-Vlanif999]ip add 192.168.254.3 24
[Huawei-Vlanif999]q

創建aaa用戶並設置服務類型
[Huawei]aaa
[Huawei-aaa]local-user aa privilege level 3 password cipher 123
Info: Add a new user.
[Huawei-aaa]local-user aa service-type telnet
[Huawei-aaa]q
設置認證模式
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode aaa

LSW2：
[Huawei]int vlanif 999
[Huawei-Vlanif999]ip add 192.168.254.2 24
[Huawei-Vlanif999]q
設置預設路由
[Huawei]ip route-static 0.0.0.0 0 192.168.254.3

[Huawei]aaa
[Huawei-aaa]local-user aa privilege level 3 password cipher 123
Info: Add a new user.
[Huawei-aaa]local-user aa service-type telnet
[Huawei-aaa]q
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode aaa

LSW1：
[Huawei]int vlanif 999
[Huawei-Vlanif999]ip add 192.168.254.1 24
[Huawei-Vlanif999]q
[Huawei]ip route-static 0.0.0.0 0 192.168.254.3

[Huawei]aaa
[Huawei-aaa]local-user aa privilege level 3 password cipher 123
Info: Add a new user.
[Huawei-aaa]local-user aa service-type telnet
[Huawei-aaa]q
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode aaa

AR1：
[Huawei]aaa
[Huawei-aaa]local-user aa privilege level 3 password cipher 123
Info: Add a new user.
[Huawei-aaa]local-user aa service-type telnet
[Huawei-aaa]q
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode aaa

模擬器上PC不支援telnet可以通過路由器模擬
路由器自動獲取IP
dhcp enable
int e0/0/0
ip add dhcp-alloc 自動獲取IP地址和網關
<>模式下telnet

九、vlan修剪配置

作用：防止不需要的Vlan發送到別的trunk鏈路上，通過修剪進一步提高網路穩定性。
LSW3:
[Huawei]int gi0/0/1
[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan all
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 30 999
[Huawei-GigabitEthernet0/0/1]int gi0/0/2
[Huawei-GigabitEthernet0/0/2]undo port trunk allow-pass vlan all
[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan 200 999

LSW2：
[Huawei]int e0/0/3
[Huawei-Ethernet0/0/3]undo port trunk allow-pass vlan all
[Huawei-Ethernet0/0/3]port trunk allow-pass vlan 200 999

LSW1：
[Huawei]int e0/0/3
[Huawei-Ethernet0/0/3]undo port trunk allow-pass vlan all
[Huawei-Ethernet0/0/3]port trunk allow-pass vlan 10 30 999