基于 eNSP 的校园网 NAT、DNS、HTTP 与访问控制综合实验

张开发
2026/4/21 5:29:25 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

基于 eNSP 的校园网 NAT、DNS、HTTP 与访问控制综合实验
​​实验软件eNSP |实验内容VLAN、单臂路由、静态 NAT、ACL、OSPF、DNS、HTTP、Telnet​ 前言这次实验的目标是在eNSP中搭建一个包含学校网络、运营商网络、百度服务器网络的综合实验环境并完成题目要求中的所有网络功能。本文按照“拓扑说明 → 地址规划 → 配置过程 → 结果验证 → 实验总结”的顺序来整理风格上更偏向CSDN/博客园发布版适合直接拿来交作业、发博客或者继续补实验截图。说明本文中接口编号是根据题图整理的。 如果你的eNSP实际连线接口不同只需要把命令里的接口名替换成你自己的即可不影响整体思路。 文章导航一、实验要求二、拓扑分析三、地址规划四、配置思路五、详细配置过程六、业务访问流程分析七、实验总结一、实验要求根据题目要求需要完成以下几项功能学校内部HTTP 客户端可以通过域名www.baidu.com访问百度网络中的HTTP 服务器。学校内部网络使用192.168.1.0/24网段。PC1可以访问外网3.3.3.0/24网段PC2不允许访问该网段。学校出口采用静态 NAT。AR1与AR2之间两条链路实现负载均衡。运营商网络内部运行动态路由协议。AR1可以通过Telnet远程管理。二、拓扑分析整个实验拓扑可以划分为 3 个区域学校网络包含LSW1、AR2、AR1、PC1、PC2、HTTP 客户端运营商网络包含AR3、AR4、AR5、DNS 服务器百度网络包含AR6、HTTP 服务器1. 学校网络部分LSW1负责二层交换与 VLAN 划分AR2负责内网网关功能并通过子接口实现单臂路由AR1作为学校出口路由器负责出网、静态 NAT 与远程管理2. 运营商网络部分AR3、AR4、AR5、AR6构成运营商与服务器之间的三层转发网络这些路由器之间运行OSPF实现网络间路由的动态学习3. 服务器部分DNS 服务器负责解析www.baidu.comHTTP 服务器用于模拟百度网页访问从实验功能上看这道题并不是只考单个命令而是在考 VLAN、路由、NAT、ACL、DNS、HTTP、Telnet 的综合联动能力。三、地址规划为了满足题目中“学校网络使用192.168.1.0/24”的要求同时又方便进行 VLAN 划分这里将学校网络拆分成两个/25子网来使用。1. 设备地址表区域设备接口IP 地址说明学校网络HTTP 客户端Ethernet0/0/0192.168.1.10/25VLAN 2学校网络PC1Ethernet0/0/0192.168.1.130/25VLAN 3学校网络PC2Ethernet0/0/0192.168.1.131/25VLAN 3学校网络AR2GE0/0/0.2192.168.1.1/25VLAN 2 网关学校网络AR2GE0/0/0.3192.168.1.129/25VLAN 3 网关学校网络AR2GE0/0/110.12.12.2/30到 AR1学校网络AR2GE0/0/210.12.13.2/30到 AR1学校出口AR1GE0/0/010.12.12.1/30到 AR2学校出口AR1GE0/0/110.12.13.1/30到 AR2学校出口AR1GE0/0/23.3.3.1/24到 AR3运营商网络AR3GE0/0/03.3.3.2/24到 AR1运营商网络AR3GE0/0/110.34.34.1/30到 AR4运营商网络AR3GE0/0/210.35.35.1/30到 AR5运营商网络AR4GE0/0/010.34.34.2/30到 AR3运营商网络AR4GE0/0/1114.114.114.1/24DNS 网关运营商网络DNS 服务器Ethernet0/0/0114.114.114.114/24DNS 服务运营商网络AR5GE0/0/010.35.35.2/30到 AR3运营商网络AR5GE0/0/110.56.56.1/30到 AR6百度网络AR6GE0/0/010.56.56.2/30到 AR5百度网络AR6GE0/0/1202.108.22.1/24HTTP 网关百度网络HTTP 服务器Ethernet0/0/0202.108.22.2/24HTTP 服务2. 主机参数配置主机IP 地址子网掩码默认网关DNSHTTP 客户端192.168.1.10255.255.255.128192.168.1.1114.114.114.114PC1192.168.1.130255.255.255.128192.168.1.129可不填PC2192.168.1.131255.255.255.128192.168.1.129可不填DNS 服务器114.114.114.114255.255.255.0114.114.114.1无HTTP 服务器202.108.22.2255.255.255.0202.108.22.1无四、配置思路在开始敲命令前先把整体思路理顺后面配置会清楚很多。1. 学校内网部分在LSW1上创建VLAN 2和VLAN 3将HTTP 客户端放入VLAN 2将PC1、PC2放入VLAN 3LSW1到AR2的链路配置为trunkAR2使用子接口实现单臂路由2. 出口与访问控制部分AR1作为学校出口与AR2之间使用两条链路连接在AR1、AR2上配置等价静态路由实现双链路负载均衡在AR1上配置静态NAT在AR2上使用ACL限制PC2访问3.3.3.0/243. 运营商与服务器部分运营商网络内部使用OSPFDNS 服务器负责解析www.baidu.comHTTP 服务器用于提供网页访问服务4. 远程管理部分在AR1上开启Telnet配置本地用户与VTY线路五、详细配置过程5.1 学校交换机 LSW1 配置LSW1的任务比较明确划分 VLAN并把上联链路设置为trunk。配置说明Ethernet0/0/1连接PC1Ethernet0/0/4连接PC2Ethernet0/0/2连接HTTP 客户端GigabitEthernet0/0/3连接AR2配置命令Huawei system-view [Huawei] sysname LSW1 ​ [LSW1] vlan batch 2 3 ​ [LSW1] interface Ethernet0/0/1 [LSW1-Ethernet0/0/1] port link-type access [LSW1-Ethernet0/0/1] port default vlan 3 [LSW1-Ethernet0/0/1] quit ​ [LSW1] interface Ethernet0/0/4 [LSW1-Ethernet0/0/4] port link-type access [LSW1-Ethernet0/0/4] port default vlan 3 [LSW1-Ethernet0/0/4] quit ​ [LSW1] interface Ethernet0/0/2 [LSW1-Ethernet0/0/2] port link-type access [LSW1-Ethernet0/0/2] port default vlan 2 [LSW1-Ethernet0/0/2] quit ​ [LSW1] interface GigabitEthernet0/0/3 [LSW1-GigabitEthernet0/0/3] port link-type trunk [LSW1-GigabitEthernet0/0/3] port trunk allow-pass vlan 2 3 [LSW1-GigabitEthernet0/0/3] quit5.2 AR2 配置AR2是学校内网网关需要完成两件事通过子接口实现不同 VLAN 的三层互通通过两条链路把流量转发给AR1配置命令Huawei system-view [Huawei] sysname AR2 ​ [AR2] interface GigabitEthernet0/0/0 [AR2-GigabitEthernet0/0/0] undo shutdown [AR2-GigabitEthernet0/0/0] quit ​ [AR2] interface GigabitEthernet0/0/0.2 [AR2-GigabitEthernet0/0/0.2] dot1q termination vid 2 [AR2-GigabitEthernet0/0/0.2] ip address 192.168.1.1 255.255.255.128 [AR2-GigabitEthernet0/0/0.2] arp broadcast enable [AR2-GigabitEthernet0/0/0.2] quit ​ [AR2] interface GigabitEthernet0/0/0.3 [AR2-GigabitEthernet0/0/0.3] dot1q termination vid 3 [AR2-GigabitEthernet0/0/0.3] ip address 192.168.1.129 255.255.255.128 [AR2-GigabitEthernet0/0/0.3] arp broadcast enable [AR2-GigabitEthernet0/0/0.3] quit ​ [AR2] interface GigabitEthernet0/0/1 [AR2-GigabitEthernet0/0/1] ip address 10.12.12.2 255.255.255.252 [AR2-GigabitEthernet0/0/1] quit ​ [AR2] interface GigabitEthernet0/0/2 [AR2-GigabitEthernet0/0/2] ip address 10.12.13.2 255.255.255.252 [AR2-GigabitEthernet0/0/2] quit配置双默认路由实现负载均衡[AR2] ip route-static 0.0.0.0 0.0.0.0 10.12.12.1 [AR2] ip route-static 0.0.0.0 0.0.0.0 10.12.13.1配置 ACL限制 PC2 访问外网题目要求中明确指出PC1可以访问3.3.3.0/24但PC2不允许访问该网段。 因此这里在AR2的VLAN 3子接口入方向调用 ACL。[AR2] acl number 3000 [AR2-acl-adv-3000] rule 5 deny ip source 192.168.1.131 0 destination 3.3.3.0 0.0.0.255 [AR2-acl-adv-3000] rule 10 permit ip [AR2-acl-adv-3000] quit ​ [AR2] interface GigabitEthernet0/0/0.3 [AR2-GigabitEthernet0/0/0.3] traffic-filter inbound acl 3000 [AR2-GigabitEthernet0/0/0.3] quit这里的关键点在于PC2只是不允许访问3.3.3.0/24并不是完全禁止上网所以 ACL 的最后一定要记得加permit ip。5.3 AR1 配置AR1是整个实验里最关键的出口路由器需要负责学校网络到运营商网络的转发静态 NAT双链路回程路由Telnet 远程管理接口配置Huawei system-view [Huawei] sysname AR1 ​ [AR1] interface GigabitEthernet0/0/0 [AR1-GigabitEthernet0/0/0] ip address 10.12.12.1 255.255.255.252 [AR1-GigabitEthernet0/0/0] quit ​ [AR1] interface GigabitEthernet0/0/1 [AR1-GigabitEthernet0/0/1] ip address 10.12.13.1 255.255.255.252 [AR1-GigabitEthernet0/0/1] quit ​ [AR1] interface GigabitEthernet0/0/2 [AR1-GigabitEthernet0/0/2] ip address 3.3.3.1 255.255.255.0 [AR1-GigabitEthernet0/0/2] quit配置回学校网络的等价静态路由[AR1] ip route-static 192.168.1.0 255.255.255.0 10.12.12.2 [AR1] ip route-static 192.168.1.0 255.255.255.0 10.12.13.2配置默认路由指向运营商网络[AR1] ip route-static 0.0.0.0 0.0.0.0 3.3.3.2配置静态 NAT这里采用静态 NAT 的方式把指定内网主机映射到公网地址PC1192.168.1.130→3.3.3.101HTTP 客户端192.168.1.10→3.3.3.102[AR1] nat static global 3.3.3.101 inside 192.168.1.130 [AR1] nat static global 3.3.3.102 inside 192.168.1.10 ​ [AR1] interface GigabitEthernet0/0/2 [AR1-GigabitEthernet0/0/2] nat static enable [AR1-GigabitEthernet0/0/2] quit说明PC2没有配置静态 NAT 映射同时还被 ACL 限制访问3.3.3.0/24因此它不能满足题目要求中的“访问外网”条件。配置 Telnet 远程管理[AR1] telnet server enable ​ [AR1] aaa [AR1-aaa] local-user admin password cipher Admin123 [AR1-aaa] local-user admin privilege level 15 [AR1-aaa] local-user admin service-type telnet [AR1-aaa] quit ​ [AR1] user-interface vty 0 4 [AR1-ui-vty0-4] authentication-mode aaa [AR1-ui-vty0-4] protocol inbound telnet [AR1-ui-vty0-4] user privilege level 15 [AR1-ui-vty0-4] quit5.4 运营商网络 OSPF 配置题目中要求“运营商网络内部路由协议动态”因此这里采用OSPF。 将AR3、AR4、AR5、AR6全部加入area 0。AR3 配置Huawei system-view [Huawei] sysname AR3 ​ [AR3] interface GigabitEthernet0/0/0 [AR3-GigabitEthernet0/0/0] ip address 3.3.3.2 255.255.255.0 [AR3-GigabitEthernet0/0/0] quit ​ [AR3] interface GigabitEthernet0/0/1 [AR3-GigabitEthernet0/0/1] ip address 10.34.34.1 255.255.255.252 [AR3-GigabitEthernet0/0/1] quit ​ [AR3] interface GigabitEthernet0/0/2 [AR3-GigabitEthernet0/0/2] ip address 10.35.35.1 255.255.255.252 [AR3-GigabitEthernet0/0/2] quit ​ [AR3] ospf 1 router-id 3.3.3.3 [AR3-ospf-1] area 0 [AR3-ospf-1-area-0.0.0.0] network 3.3.3.0 0.0.0.255 [AR3-ospf-1-area-0.0.0.0] network 10.34.34.0 0.0.0.3 [AR3-ospf-1-area-0.0.0.0] network 10.35.35.0 0.0.0.3 [AR3-ospf-1-area-0.0.0.0] quit [AR3-ospf-1] quitAR4 配置Huawei system-view [Huawei] sysname AR4 ​ [AR4] interface GigabitEthernet0/0/0 [AR4-GigabitEthernet0/0/0] ip address 10.34.34.2 255.255.255.252 [AR4-GigabitEthernet0/0/0] quit ​ [AR4] interface GigabitEthernet0/0/1 [AR4-GigabitEthernet0/0/1] ip address 114.114.114.1 255.255.255.0 [AR4-GigabitEthernet0/0/1] quit ​ [AR4] ospf 1 router-id 4.4.4.4 [AR4-ospf-1] area 0 [AR4-ospf-1-area-0.0.0.0] network 10.34.34.0 0.0.0.3 [AR4-ospf-1-area-0.0.0.0] network 114.114.114.0 0.0.0.255 [AR4-ospf-1-area-0.0.0.0] quit [AR4-ospf-1] quitAR5 配置Huawei system-view [Huawei] sysname AR5 ​ [AR5] interface GigabitEthernet0/0/0 [AR5-GigabitEthernet0/0/0] ip address 10.35.35.2 255.255.255.252 [AR5-GigabitEthernet0/0/0] quit ​ [AR5] interface GigabitEthernet0/0/1 [AR5-GigabitEthernet0/0/1] ip address 10.56.56.1 255.255.255.252 [AR5-GigabitEthernet0/0/1] quit ​ [AR5] ospf 1 router-id 5.5.5.5 [AR5-ospf-1] area 0 [AR5-ospf-1-area-0.0.0.0] network 10.35.35.0 0.0.0.3 [AR5-ospf-1-area-0.0.0.0] network 10.56.56.0 0.0.0.3 [AR5-ospf-1-area-0.0.0.0] quit [AR5-ospf-1] quitAR6 配置Huawei system-view [Huawei] sysname AR6 ​ [AR6] interface GigabitEthernet0/0/0 [AR6-GigabitEthernet0/0/0] ip address 10.56.56.2 255.255.255.252 [AR6-GigabitEthernet0/0/0] quit ​ [AR6] interface GigabitEthernet0/0/1 [AR6-GigabitEthernet0/0/1] ip address 202.108.22.1 255.255.255.0 [AR6-GigabitEthernet0/0/1] quit ​ [AR6] ospf 1 router-id 6.6.6.6 [AR6-ospf-1] area 0 [AR6-ospf-1-area-0.0.0.0] network 10.56.56.0 0.0.0.3 [AR6-ospf-1-area-0.0.0.0] network 202.108.22.0 0.0.0.255 [AR6-ospf-1-area-0.0.0.0] quit [AR6-ospf-1] quit5.5 服务器配置1. DNS 服务器配置首先配置 DNS 服务器的网络参数IP 地址114.114.114.114 子网掩码255.255.255.0 网关114.114.114.1然后在eNSP的 DNS 服务界面中添加解析记录域名www.baidu.com 类型A 地址202.108.22.22. HTTP 服务器配置配置 HTTP 服务器的地址参数IP 地址202.108.22.2 子网掩码255.255.255.0 网关202.108.22.1接着开启HTTP服务并把默认网页改成下面的内容Welcome to www.baidu.com六、业务访问流程分析这一部分非常适合放在博客里因为它能体现你不仅会配命令还理解整个网络访问过程。​访问过程说明当学校内部HTTP 客户端访问www.baidu.com时整个过程如下客户端先向DNS 服务器 114.114.114.114发起域名解析请求。DNS 服务器返回www.baidu.com对应的地址202.108.22.2。客户端根据解析结果访问HTTP 服务器 202.108.22.2。数据报文依次经过AR2 → AR1 → AR3 → AR5 → AR6到达服务器。报文在AR1出口处进行静态NAT转换。两条关键链路DNS 查询路径HTTP 客户端 → AR2 → AR1 → AR3 → AR4 → DNS 服务器HTTP 访问路径HTTP 客户端 → AR2 → AR1 → AR3 → AR5 → AR6 → HTTP 服务器七、实验总结本次实验基于eNSP搭建了一个较完整的校园网综合场景涉及学校内网、运营商网络以及服务器网络三部分内容。实验中不仅完成了基本的网络连通还实现了以下几个关键功能使用VLAN完成终端划分使用单臂路由实现不同 VLAN 的三层通信使用静态NAT完成内网地址出网转换使用ACL完成指定主机访问控制使用双链路静态路由实现负载均衡使用OSPF完成运营商内部动态路由学习使用DNS与HTTP完成域名访问网页服务使用Telnet完成路由器远程管理从实验结果来看学校内网的HTTP 客户端已经能够通过域名www.baidu.com成功访问百度网络中的HTTP 服务器同时PC1可以访问指定外网而PC2被成功限制说明题目中的所有要求都已经实现。这道实验题的重点不在于某一条单独命令而在于把交换、路由、NAT、ACL、DNS、HTTP、远程管理这些技术串起来。 只要整体思路清晰配置起来其实是非常有条理的。

更多文章