當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

基于ensp的网络设计【实现网络互联、限制访问、内外网地址转换】

發布時間：2023/12/14 编程问答 26 豆豆

生活随笔收集整理的這篇文章主要介紹了基于ensp的网络设计【实现网络互联、限制访问、内外网地址转换】小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

做下來覺得比較像是計算機網絡的課設，有用的話就點個👍，謝謝您嘞

??? ?建議先簡單了解一下ensp各種設備和簡單指令，文章和視頻教程都很多就不做推薦了。
??? ?文章里包括拓撲圖設計、路由設置以及部分關鍵命令。

開發環境

ENSP V3【V2也差不多、且更推薦可以識別簡化指令的V2】

一、校區互聯

實驗要求

某高校包括3個校區（F校區、X校區、T校區），通過租用運營商的專線實現互聯，每個校區均劃分為3個網段，包括科研、教學和財務
3個校區之間要求互聯互通
T校區財務服務器IP地址為10.0.3.2且僅提供3個校區的財務vlan能夠訪問，其他vlan不能訪問

物理設備

設備數量命名及用途備注

AR1220 路由器	4	F	F校區	? 1220型具有交換功能，如用其他型號需在路由器下接交換機實現相應功能
		X	X校區
		T	T校區
		R	學校總路由器
服務器	1	財務服務器	學校內部財務服務器	僅財務可訪問
PC	9	F財務	代表F校區財務網段	每臺PC劃分一個網段
		F教學	代表F校區教學網段
		F科研	代表F校區科研網段
		X財務	代表X校區財務網段
		X教學	代表X校區教學網段
		X科研	代表X校區科研網段
		T財務	代表T校區財務網段
		T教學	代表T校區教學網段
		T科研	代表T校區科研網段

拓撲圖

物理連接與設備基本配置

VLAN配置

F校區
在F路由器中劃分三個vlan；
其中vlan 1的ip為192.168.1.1/24，vlan 2的ip為192.168.2.1/24，vlan3的ip為192.168.3.1/24。
X校區
在X路由器中劃分三個vlan；
其中vlan 1的ip為192.168.4.1/24，vlan 2的ip為192.168.5.1/24，vlan3的ip為192.168.6.1/24。
T校區
在T路由器中劃分三個vlan；
其中vlan 1的ip為192.168.7.1/24，vlan 2的ip為192.168.8.1/24，vlan3的ip為192.168.9.1/24。

路由配置

F校區

interface Ethernet0/0/2port link-type accessport default vlan 2 //將教學網段鏈接至vlan 2 # interface Ethernet0/0/3port link-type accessport default vlan 3 //將科研網段鏈接至vlan 3 # interface Vlanif1ip address 192.168.1.1 255.255.255.0 //設置財務網關 # interface Vlanif2ip address 192.168.2.1 255.255.255.0 //設置教學網關 # interface Vlanif3ip address 192.168.3.1 255.255.255.0 //設置科研網關 # interface GigabitEthernet0/0/0ip address 20.0.1.2 255.255.255.0 //配置對外端口ip # ip route-static 0.0.0.0 0.0.0.0 20.0.1.1 //配置默認轉發下一跳

X校區

interface Ethernet0/0/2port link-type accessport default vlan 2 //將教學網段鏈接至vlan 2 # interface Ethernet0/0/3port link-type accessport default vlan 3 //將科研網段鏈接至vlan 3 # interface Vlanif1ip address 192.168.4.1 255.255.255.0 //設置財務網關 # interface Vlanif2ip address 192.168.5.1 255.255.255.0 //設置教學網關 # interface Vlanif3ip address 192.168.6.1 255.255.255.0 //設置科研網關 # interface GigabitEthernet0/0/0ip address 20.0.2.2 255.255.255.0 //配置對外端口ip # ip route-static 0.0.0.0 0.0.0.0 20.0.2.1 //配置默認轉發下一跳

T校區

acl number 3000 rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.3.2 0 rule 2 permit ip source 192.168.4.0 0.0.0.255 destination 10.0.3.2 0 rule 3 permit ip source 192.168.7.0 0.0.0.255 destination 10.0.3.2 0 rule 4 deny ip destination 10.0.3.2 0 //配置ACL規則，限制財務服務器訪問 # interface Ethernet0/0/2port link-type accessport default vlan 2 //將教學網段鏈接至vlan 2 # interface Ethernet0/0/3port link-type accessport default vlan 3 //將科研網段鏈接至vlan 3 # interface Ethernet0/0/4port link-type accessport default vlan 4 //將服務器網段鏈接至vlan 4 # interface Vlanif1ip address 192.168.7.1 255.255.255.0 //設置財務網關 # interface Vlanif2ip address 192.168.8.1 255.255.255.0 //設置教學網關 # interface Vlanif3ip address 192.168.9.1 255.255.255.0 //設置科研網關 # interface Vlanif4ip address 10.0.3.1 255.255.255.0 //設置服務器網關 # interface GigabitEthernet0/0/0ip address 20.0.3.2 255.255.255.0 //配置對外端口iptraffic-filter outbound acl 3000traffic-filter inbound acl 3000 //設置ACL規則 # ip route-static 0.0.0.0 0.0.0.0 20.0.3.1 //配置默認轉發下一跳

interface GigabitEthernet2/0/1ip address 20.0.1.1 255.255.255.0 //配置向F端口ip # interface GigabitEthernet2/0/2ip address 20.0.2.1 255.255.255.0 //配置向X端口ip # interface GigabitEthernet2/0/3ip address 20.0.3.1 255.255.255.0 //配置向T端口ip # ip route-static 10.0.3.0 255.255.255.0 20.0.3.2 //服務器 ip route-static 192.168.1.0 255.255.255.0 20.0.1.2 ip route-static 192.168.2.0 255.255.255.0 20.0.1.2 ip route-static 192.168.3.0 255.255.255.0 20.0.1.2 //F ip route-static 192.168.4.0 255.255.255.0 20.0.2.2 ip route-static 192.168.5.0 255.255.255.0 20.0.2.2 ip route-static 192.168.6.0 255.255.255.0 20.0.2.2 //X ip route-static 192.168.7.0 255.255.255.0 20.0.3.2 ip route-static 192.168.8.0 255.255.255.0 20.0.3.2 ip route-static 192.168.9.0 255.255.255.0 20.0.3.2 //T //配置路由轉發下一跳

安全策略要求

在T路由器中設置ACL規則實現財務服務器限制訪問：

acl number 3000 rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.3.2 0 //允許翡翠湖財務訪問rule 2 permit ip source 192.168.4.0 0.0.0.255 destination 10.0.3.2 0 //允許宣城財務訪問rule 3 permit ip source 192.168.7.0 0.0.0.255 destination 10.0.3.2 0 //允許屯溪路財務訪問rule 4 deny ip destination 10.0.3.2 0 //拒絕其他ip訪問

驗證

三校區互聯
- F→X

- F→T

- X→F

- X→T

- T→F
- T→X
財務服務器限制訪問
- 財務訪問

- 教學、科研訪問

二、校園網絡安全設置

實驗要求

老校區內部網絡分為辦公區域和服務器區域
辦公區域內部IP地址段為192.168.1.0/24
ISP提供的公網地址為202.102.192.9
服務器區域有一臺內部文件服務器（內部IP：192.168.0.10），ISP提供的公網IP地址為202.102.192.10
新校區IP地址段為200.110.10.0/24
未授權用戶IP地址段為100.110.10.0/24
辦公區域用戶要求訪問互聯網
內部文件服務器僅對外提供21端口的訪問
文件服務器僅允許新校區授權IP地址能夠訪問，非授權IP地址不能訪問

物理設備

設備數量命名及用途備注

AR1220 路由器	5	Internet	外網	? 1220型具有交換功能，如用其他型號需在路由器下接交換機實現相應功能
		Non	未授權用戶
		NEW	新校區
		OLD	老校區
		R	學校總路由器
交換機	1	LSW	新校區內部互聯	沒啥用可刪除，是之前沒理清思路加上去的，刪除注意修改路由表
服務器	1	FileSystem	老校區內部文件服務器	僅內網可訪問
PC	7	NEW1	新校區PC機	—
		NEW2	新校區PC機
		NEW3	新校區客戶機
		OLD1	老校區PC機
		OLD2	老校區客戶機
		CLIENT	未授權用戶客戶機
		USER	未授權用戶PC機

拓撲圖

物理連接與設備基本配置

VLAN配置

老校區
在OLD路由器中劃分兩個vlan；
其中vlan 1的ip為192.168.1.1/24，vlan 2的ip為192.168.0.1/24。

路由配置

Internet（外網）

interface GigabitEthernet0/0/0ip address 202.102.192.10 255.255.255.0 //配置公網ip

Non（未授權用戶）

ip route-static 0.0.0.0 0.0.0.0 100.110.10.1 //配置默認轉發下一跳 # interface GigabitEthernet0/0/0ip address 100.110.10.3 255.255.255.0 //配置向外端口ipnat static global 100.110.10.33 inside 192.168.3.3 netmask 255.255.255.255 nat static enable //配置靜態NAT # interface GigabitEthernet0/0/1ip address 192.168.3.1 255.255.255.0 //配置向內端口ip

NEW（新校區）

interface GigabitEthernet0/0/0ip address 200.110.10.3 255.255.255.0 //配置向外端口ipnat static global 200.110.10.33 inside 192.168.10.3 netmask 255.255.255.255nat static global 200.110.10.44 inside 192.168.10.4 netmask 255.255.255.255nat static global 200.110.10.55 inside 192.168.10.5 netmask 255.255.255.255nat static enable //配置靜態NAT # interface GigabitEthernet0/0/1ip address 192.168.11.1 255.255.255.0 //配置向內端口ip # ip route-static 0.0.0.0 0.0.0.0 200.110.10.1 //向外 ip route-static 192.168.10.0 255.255.255.0 192.168.11.3 //向內 //配置轉發下一跳

OLD（老校區）

acl number 3000 rule 0 permit ip source 192.168.1.0 0.0.0.255 //服務于NATacl number 3001 rule 0 permit tcp source 200.110.10.0 0.0.0.255 destination 192.168.0.10 0 destination-port eq ftp rule 1 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.0.10 0 destination-port eq ftp acl number 3002 rule 0 deny icmp //服務Server，僅提供21端口 //設置ACL規則 #nat alg ftp enable //開啟alg ftp支持 # interface Vlanif1ip address 192.168.1.1 255.255.255.0 //配置辦公區域網關 # interface GigabitEthernet2/0/0ip address 192.168.0.1 255.255.255.0 //配置服務器區域網關traffic-filter outbound acl 3002traffic-filter inbound acl 3002 //設置對服務器ACL規則 # interface GigabitEthernet0/0/0ip address 200.110.11.3 255.255.255.0 //配置向內網端口iptraffic-filter inbound acl 3001 //設置對服務器ACL規則 # interface GigabitEthernet0/0/1ip address 202.102.192.9 255.255.255.0 //配置向外網端口ipnat outbound 3000 //配置NAT # ip route-static 100.110.10.0 255.255.255.0 200.110.11.1 //未授權用戶 ip route-static 200.110.10.0 255.255.255.0 200.110.11.1 //新校區 ip route-static 202.102.192.0 255.255.255.0 202.102.192.10 //訪問外網 //配置路由轉發下一跳

R（學校總路由器）

interface GigabitEthernet0/0/1ip address 100.110.10.1 255.255.255.0 //配置向未授權用戶端口ip # interface GigabitEthernet2/0/1ip address 200.110.10.1 255.255.255.0 //配置向新校區端口ip # interface GigabitEthernet2/0/2ip address 200.110.11.1 255.255.255.0 //配置向老校區端口ip # ip route-static 100.110.10.0 255.255.255.0 100.110.10.3 //未授權用戶 ip route-static 192.168.0.0 255.255.255.0 200.110.11.3 //老校區服務器區域 ip route-static 192.168.1.0 255.255.255.0 200.110.11.3 //老校區辦公區域 ip route-static 200.110.10.0 255.255.255.0 200.110.10.3 //新校區 //配置路由轉發下一跳

安全策略要求

在OLD路由器中設置ACL規則實現內部服務器限制訪問：

acl number 3001 rule 0 permit tcp source 200.110.10.0 0.0.0.255 destination 192.168.0.10 0 destination-port eq ftp //允許新校區IP訪問服務器，并限制端口 rule 1 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.0.10 0 destination-port eq ftp //允許老校區IP訪問服務器，并限制端口 acl number 3002 rule 0 deny icmp //拒絕ICMP訪問

驗證

新校區與老校區辦公區域
- 新校區→老校區辦公區域

- 老校區辦公區域→新校區
老校區辦公區域訪問外網
服務器訪問
- 新校區→服務器

- 老校區辦公區域→服務器

- 未授權用戶→服務器

實現方法并不唯一，文中也并非最優解
歡迎交流討論與指正

總結

以上是生活随笔為你收集整理的基于ensp的网络设计【实现网络互联、限制访问、内外网地址转换】的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：杨文俊的座右铭“君子欲讷于言而敏于行”
下一篇：进度管理PV,AC,EV

编程问答

基于ensp的网络设计【实现网络互联、限制访问、内外网地址转换】

目錄

開發環境

一、校區互聯

實驗要求

物理設備

拓撲圖

VLAN配置

路由配置

安全策略要求

驗證

二、校園網絡安全設置

實驗要求

物理設備

拓撲圖

VLAN配置

路由配置

安全策略要求

驗證

總結