第3章企业网设计实验
企业网设计的关键是内部网络私有IP地址分配、网络地址转换(NetworkAddres
Translation,NAT)和访问控制策略实现。私有IP地址使得内部网络对于外部网络
(t和行业服务网)是透明的。NAT允许配置私有IP地址的内部网络终端访问外部
Interne
网络资源。访问控制策略严格限制内部网络与Internet之间的信息交换过程。
3.企业网结构和实施过程
1
3.1
企业网结构
1.
1所示, DMZ 、
口3连接Internet,路由器R2成为防火墙通往Internet的默认网关。同样,路由器R1端口
3连接行业服务网,路由器R3成为路由器R1通往行业服务网的默认网关。交换机S7和
Web服务器1、E-mail服务器构成DMZ 。内部网络终端通过三层交换机S5和S6连接防火
墙和路由器R1,三层交换机S5和S6构成冗余网关。内部网络终端分为普通终端、业务员
终端和管理层终端,允许所有类型终端访问Internet,只允许业务员终端和管理层终端访问
行业服务网。
企业网结构如图3.由内部网络、Internet和行业服务网组成。防火墙端
图3.
1 企业网结构
�
第3 章 企业网设计实验
81
3.1.2 实施过程
实施过程分为两个阶段:数据通信网络配置实验和防火墙配置实验。
1.数据通信网络配置实验
将不同类型的终端划分到不同的VLAN,连接到不同VLAN 的终端通过DHCP(动态
主机配置协议)自动从DHCP 服务器获取网络信息。S5和S6通过虚拟路由冗余协议
(VirtualRouterRedundancyProtocol,VRRP)组成冗余网关。内部网络使用私有IP地址,
内部网络终端访问Internet和行业服务网时,分别由防火墙和路由器R1完成端口地址转
换(PortAddressTranslation,PAT)过程。
2.防火墙配置实验
防火墙配置实验用于实现以下安全策略。
(1)允许内部终端发起访问Internet中的Web服务器。
(2)允许内部终端发起访问DMZ中的Web服务器。
(3)允许内部终端通过SMTP和POP3发起访问DMZ中的邮件服务器。
(4)允许DMZ中的邮件服务器通过SMTP发起访问外部网络中的邮件服务器。
(5)允许外部网络中的终端以只读方式发起访问DMZ中的Web服务器。
(6)允许外部网络中的邮件服务器通过SMTP发起访问DMZ中的邮件服务器。
3.2 数据通信网络配置实验
3.2.1 实验内容
(1)在接入交换机S1、S2、S3、S4中创建VLAN2、VLAN3和VLAN4,分别用于连接
普通终端、业务员终端和管理员终端。在三层交换机S5和S6中创建VLAN2、VLAN3和
VLAN4,分别用于定义VLAN1、VLAN2、VLAN3和VLAN4对应的IP接口。在三层
交换机S5中创建分别用于连接防火墙和路由器R1的VLAN5和VLAN6。在三层交换
机S6中创建分别用于连接防火墙和路由器R1的VLAN7和VLAN8。
(2)在三层交换机S5和S6中分别定义VLAN1、VLAN2、VLAN3和VLAN4对应
的IP接口。三层交换机S5和S6成为VLAN1、VLAN2、VLAN3和VLAN4的冗余网
关。在三层交换机S5中定义VLAN5和VLAN6对应的IP接口。在三层交换机S6中定
义VLAN7和VLAN8对应的IP接口。
(3)通过配置路由信息协议(RoutingInformationProtocol,RIP)和静态路由项生成用
于指明通往内部网络各个子网、Internet和行业服务网的传输路径的路由项。
(4)通过配置OSPF(开放式最短路径优先)协议分别生成用于指明通往Internet和
DMZ的传输路径的路由项。
(5)完成防火墙和路由器R1有关PAT的配置过程。
(6)在DHCP服务器中创建VLAN2、VLAN3和VLAN4对应的作用域,使得各种
类型终端可以通过DHCP自动从DHCP服务器获取网络信息。
(7)本实验由路由器AR0代替DHCP服务器。
�
计算机网络工程实验教程———基于华为eNSP
82
3.2.2 实验目的
(1)掌握VLAN 配置过程。
(2)掌握三层交换机VRRP配置过程。
(3)掌握RIP配置过程。
(4)掌握OSPF配置过程。
(5)掌握静态路由项配置过程。
(6)掌握路由器PAT配置过程。
(7)掌握DHCP服务器配置过程。
3.2.3 实验原理
DHCP服务器(由路由器AR0仿真)接入VLAN1,普通终端、业务员终端和管理员终
端分别接入VLAN2、VLAN3和VLAN4,建立DHCP服务器、各种类型终端与三层交换
机S5和S6中各个VLAN 对应的IP接口之间的交换路径。通过在三层交换机S5和S6中
完成VRRP配置过程,使得三层交换机S5 和S6 成为VLAN1、VLAN2、VLAN3 和
VLAN4的冗余网关。三层交换机S5和S6分别建立与防火墙和路由器R1之间的传输路
径。防火墙和路由器R1完成PAT配置过程,使得所有内部网络终端都可以访问Internet,
但只有业务员终端和管理员终端可以访问行业服务网。在DHCP服务器中创建VLAN2、
VLAN3和VLAN4对应的作用域,在三层交换机S5和S6VLAN2、VLAN3和VLAN4
对应的IP接口中启动DHCP中继功能,配置DHCP服务器地址。
3.2.4 关键命令说明
1.RIP配置命令
以下命令序列用于完成图3.2中三层交换机LSW5的RIP配置过程。
[Huawei]rip
[Huawei-rip-1]network 192.168.1.0
[Huawei-rip-1]network 192.168.2.0
[Huawei-rip-1]network 192.168.3.0
[Huawei-rip-1]network 192.168.4.0
[Huawei-rip-1]network 192.168.5.0
[Huawei-rip-1]network 192.168.6.0
[Huawei-rip-1]quit
rip是系统视图下使用的命令,该命令的作用是启动RIP进程,并进入RIP视图。由于
没有给出进程编号,因此启动编号为1的rip进程。
network192.168.1.0是RIP视图下使用的命令,紧随命令network的参数通常是分类
网络地址。192.168.1.0是C类网络地址,其IP地址空间为192.168.1.0~192.168.1.255。
该命令的作用有两个:一是启动所有配置的IP地址属于网络地址192.168.1.0的路由器接
口的RIP功能,允许这些接口接收和发送RIP路由消息;二是如果网络192.168.1.0是该路
由器直接连接的网络,或者划分网络192.168.1.0后产生的若干个子网是该路由器直接连接
�
第3 章 企业网设计实验
83
的网络,网络192.168.1.0对应的直连路由项(启动路由项聚合功能情况),或者划分网络
192.168.1.0后产生的若干个子网对应的直连路由项(取消路由项聚合功能情况)参与RIP
建立动态路由项的过程,即其他路由器的路由表中会生成用于指明通往网络192.168.1.0
(启动路由项聚合功能情况),或者划分网络192.168.1.0后产生的若干个子网(取消路由项
聚合功能情况)的传输路径的路由项。
2.静态路由项配置命令
[Huawei]ip route-static 200.0.1.0 24 192.168.6.253
[Huawei]ip route-static 0.0.0.0 0 192.168.5.253
iproute-static200.0.1.024192.168.6.253是系统视图下使用的命令,该命令的作用
是配置一项静态路由项,其中200.0.1.0是目的网络的网络地址,24是目的网络的网络前
缀长度,这两项用于确定目的网络的网络地址200.0.1.0/24。192.168.6.253是下一跳IP
地址。由于下一跳结点连接在该三层交换机某个IP接口连接的网络中,根据下一跳结点
的IP地址,可以确定下一跳结点所连接的网络,进而确定连接该网络的IP接口。如三层
交换机VLAN6对应的IP接口所连接的网络是VLAN6对应的网络192.168.6.0/24,由
于下一跳IP地址192.168.6.253属于网络192.168.6.0/24,因而可以确定输出接口是
VLAN6对应的IP接口,因此,只要在静态路由项配置命令中给出了下一跳IP地址,就
无须给出输出接口。
iproute-static0.0.0.00192.168.5.253是系统视图下使用的命令,该命令的作用是配置
一项默认路由项,默认路由项是特殊的静态路由项,该路由项的目的网络与任意IP地址匹
配。默认路由项的网络地址为0.0.0.0,网络前缀长度为0,即子网掩码为0.0.0.0。由于任意
IP地址和子网掩码“0.0.0.0”进行“与”操作的结果都是“0.0.0.0”,因此,任意IP地址都属于
目的网络地址0.0.0.0 和子网掩码0.0.0.0指定的目的网络。192.168.5.253是下一跳IP
地址。
3.VRRP配置命令
以下命令序列用于完成三层交换机LSW5中连接VLAN1的IP接口的VRRP配置
过程。
[Huawei]interface vlanif 1
[Huawei-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.250
[Huawei-Vlanif1]vrrp vrid 1 priority 120
[Huawei-Vlanif1]vrrp vrid 1 preempt-mode time delay 20
[Huawei-Vlanif1]quit
vrrpvrid1virtual-ip192.168.1.250是接口视图下使用的命令,该命令的作用是在指定
接口(这里是VLAN1对应的IP接口)中创建编号为1的VRRP备份组,并为该VRRP备
份组分配虚拟IP地址192.168.1.250。
vrrpvrid1priority120是接口视图下使用的命令,该命令的作用是配置接口所在设备
在编号为1的VRRP备份组中的优先级值。默认优先级值是100,优先级值越大,则优先级
越高,优先级最高的设备成为VRRP备份组的主路由器。执行该命令前,必须先创建编号
为1的VRRP备份组。
vrrpvrid1preempt-modetimerdelay20是接口视图下使用的命令,该命令的作用是
�
计算机网络工程实验教程———基于华为eNSP
84
在编号为1的VRRP备份组中,将接口所在设备设置成延迟抢占方式,即如果接口所在设
备的优先级值大于当前主路由器的优先级值,经过20s延时后,接口所在设备成为主路由
器。执行该命令前,必须先创建编号为1的VRRP备份组。
4.路由器PAT配置命令
1)确定需要地址转换的内网私有IP地址范围
以下命令序列通过基本过滤规则集将内网需要转换的私有IP地址范围定义为CIDR
地址块192.168.3.0/24和192.168.4.0/24。
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 10 permit source 192.168.3.0 0.0.0.255
[Huawei-acl-basic-2000]rule 20 permit source 192.168.4.0 0.0.0.255
[Huawei-acl-basic-2000]quit
acl2000是系统视图下使用的命令,该命令的作用是创建一个编号为2000的基本过滤
规则集,并进入基本acl视图。
rule10permitsource192.168.3.00.0.0.255是基本acl视图下使用的命令,该命令的作
用是创建允许源IP地址属于CIDR地址块192.168.3.0/24的IP分组通过的过滤规则。这
里,该过滤规则的含义变为对源IP地址属于CIDR 地址块192.168.3.0/24的IP分组实施
地址转换过程。
2)建立基本过滤规则集与公共接口之间的联系
[Huawei]interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2]nat outbound 2000
[Huawei-GigabitEthernet0/0/2]quit
natoutbound2000是接口视图下使用的命令,该命令的作用是建立编号为2000的基
本过滤规则集与指定接口(这里是接口GigabitEthernet0/0/2)之间的联系。建立该联系
后,一是如果某个IP分组从该接口输出,且该IP分组的源IP地址属于编号为2000的基本
过滤规则集指定的允许通过的源IP地址范围,则对该IP分组实施地址转换过程;二是指定
该接口的IP地址作为IP分组完成地址转换过程后的源IP地址。
5.防火墙USG6000VPAT配置命令
1)定义IP地址对象
以下命令序列用于创建一个名为aa,涵盖CIDR(无类别域间路由)地址块192.168.2.0/24、
192.168.3.0/24和192.168.4.0/24的地址对象。
[USG6000V1]ip address-set aa type object
[USG6000V1-object-address-set-aa]address 10 192.168.2.0 0.0.0.255
[USG6000V1-object-address-set-aa]address 20 192.168.3.0 0.0.0.255
[USG6000V1-object-address-set-aa]address 30 192.168.4.0 0.0.0.255
[USG6000V1-object-address-set-aa]quit
ipaddress-setaatypeobject是系统视图下使用的命令,该命令的作用是创建一个名为
aa的地址对象,并进入地址对象视图。类型object表明创建的是地址对象。
address10192.168.2.00.0.0.255是系统视图下使用的命令,该命令的作用是在地址对
�
第3 章 企业网设计实验
85
象中添加CIDR地址块192.168.2.0/24。其中10是添加的地址块的序号,192.168.2.0是
CIDR地址块192.168.2.0/24的起始地址,0.0.0.255是反掩码,对应子网掩码255.255.255.0,
用于将CIDR地址块网络前缀长度确定为24。
2)将接口加入安全区域中
以下命令序列用于将接口GigabitEthernet1/0/0和GigabitEthernet1/0/3加入名为
trust的安全区域中。USG6000V 默认状态下存在4个安全区域,分别是安全区域trust、
untrust、dmz和local,这些安全区域的优先级是固定的。local的优先级最高,之后依次是
trust、dmz和untrust。安全区域local中不能分配接口。
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet1/0/0
[USG6000V1-zone-trust]add interface GigabitEthernet1/0/3
[USG6000V1-zone-trust]quit
firewallzonetrust是系统视图下使用的命令,该命令的作用是进入名为trust的安全
区域视图。
addinterfaceGigabitEthernet1/0/0是安全区域视图下使用的命令,该命令的作用是将
接口GigabitEthernet1/0/0加入当前安全区域(这里是名为trust的安全区域)。
3)配置安全策略
默认状态下,允许信息流从高优先级安全区域传输到低优先级安全区域,禁止信息流从
低优先级安全区域传输到高优先级安全区域。通过配置安全策略,可以实现双向传输过程,
即安全策略一旦允许访问请求从x 安全区域传输到y 安全区域,即允许该访问请求对应的
访问响应从y 安全区域传输到x 安全区域。
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy1
[USG6000V1-policy-security-rule-policy1]source-zone trust
[USG6000V1-policy-security-rule-policy1]destination-zone untrust
[USG6000V1-policy-security-rule-policy1]source-address address-set aa
[USG6000V1-policy-security-rule-policy1]action permit
[USG6000V1-policy-security-rule-policy1]quit
[USG6000V1-policy-security]quit
security-policy是系统视图下使用的命令,该命令的作用是进入安全策略视图。
rulenamepolicy1 是安全策略视图下使用的命令,该命令的作用是创建一条名为
policy1的规则,并进入安全策略规则视图。policy1是规则名称。
source-zonetrust是安全策略规则视图下使用的命令,该命令的作用是为当前规则(这
里是名为policy1的规则)指定源安全区域。这里指定的源安全区域是区域trust。
destination-zoneuntrust是安全策略规则视图下使用的命令,该命令的作用是为当前
规则(这里是名为policy1的规则)指定目的安全区域。这里指定的目的安全区域是区域
untrust。
source-addressaddress-setaa是安全策略规则视图下使用的命令,该命令的作用是为
当前规则(这里是名为policy1的规则)指定源IP地址范围。这里指定的源IP地址范围是
�
计算机网络工程实验教程———基于华为eNSP
86
名为aa的地址对象所涵盖的地址范围,即CIDR地址块192.168.2.0/24、192.168.3.0/24和
192.168.4.0/24。
actionpermit是安全策略规则视图下使用的命令,该命令的作用是为当前规则(这里是
名为policy1的规则)指定动作。这里的动作是允许,即允许继续转发符合规则中所有条件
的IP分组。
需要说明的是,对于实现允许内部网络访问Internet的访问控制策略的规则,只需要在
区域trust至区域untrust方向配置允许传输与内部网络访问Internet有关的请求报文的
规则,无须在区域untrust至区域trust方向配置允许传输Internet发送给内部网络的响应
报文的规则,这是有状态分组过滤器的特点,在区域trust至区域untrust方向已经传输内
部网络发送给Internet的请求报文后,区域untrust至区域trust方向自动添加允许传输
Internet发送给内部网络的响应报文的规则,且该规则的条件根据监测到的内部网络发送
给Internet的请求报文的字段值产生。
4)配置NAT策略
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name policy2
[USG6000V1-policy-nat-rule-policy2]source-zone trust
[USG6000V1-policy-nat-rule-policy2]destination-zone untrust
[USG6000V1-policy-nat-rule-policy2]source-address address-set aa
[USG6000V1-policy-nat-rule-policy2]action source-nat easy-ip
[USG6000V1-policy-nat-rule-policy2]quit
[USG6000V1-policy-nat]quit
nat-policy是系统视图下使用的命令,该命令的作用是进入NAT策略视图。
rulenamepolicy2是NAT 策略视图下使用的命令,该命令的作用是创建一条名为
policy2的规则,并进入NAT策略规则视图。policy2是规则名称。
actionsource-nateasy-ip是NAT策略规则视图下使用的命令,该命令的作用是为当前
规则(这里是名为policy2的规则)指定动作。这里的动作是基于PAT实施源地址转换,用
信息流的输出接口的IP地址作为转换后的信息流的源IP地址。
3.2.5 实验步骤
(1)启动eNSP,按照如图3.1所示的企业网结构放置和连接设备。完成设备放置和连
接后的eNSP界面如图3.2所示。启动所有设备。图3.2中的防火墙FW1是USG6000V。
(2)完成交换机LSW1~LSW6VLAN 配置过程和端口分配过程。LSW1、LSW5和
LSW6中创建的VLAN 和分配给各个VLAN 的交换机端口如图3.3~图3.5所示。LSW1
中创建分别用于连接普通终端和业务员终端的VLAN2和VLAN3,默认VLAN(这里是
VLAN1)连接作为DHCP服务器的AR0。LSW5和LSW6中创建分别用于连接普通终
端、业务员终端和管理层终端的VLAN2、VLAN3和VLAN4。创建这些VLAN 的目的
是定义这些VLAN 对应的IP 接口。LSW5中还创建了分别用于连接FW1 和AR1 的
VLAN5和VLAN6。LSW6 中还创建了分别用于连接FW1 和AR1 的VLAN7 和
VLAN8。
�
第3 章 企业网设计实验
87
图3.2 完成设备放置和连接后的eNSP界面
图3.3 LSW1有关VLAN的状态
�
计算机网络工程实验教程———基于华为eNSP
88
图3.4 LSW5有关VLAN的状态
图3.5 LSW6有关VLAN的状态
�
第3 章 企业网设计实验
89
(3)在三层交换机LSW5和LSW6中定义各个VLAN 对应的IP接口,为这些IP接口
分配IP地址和子网掩码。LSW5和LSW6中各个VLAN 对应的IP接口的状态分别如
图3.6和图3.7所示。需要说明的是,LSW5和LSW6中分别定义了VLAN1~VLAN4对
应的IP接口,针对同一个VLAN 对应的IP接口,LSW5和LSW6分别分配网络号相同、主
机号不同的IP地址,如针对VLAN1对应的IP接口,LSW5和LSW6分别分配IP地址和
子网掩码192.168.1.254/24和192.168.1.253/24。FW1、AR2、AR1和AR3各个IP接口配
置的IP地址和子网掩码如图3.8~图3.11所示。
图3.6 LSW5中各个VLAN对应的IP接口的状态
图3.7 LSW6中各个VLAN对应的IP接口的状态
(4)针对VLAN1~VLAN4,配置冗余网关,将LSW5中这4个VLAN 对应的IP接
口作为活跃IP接口,将LSW6中这4个VLAN 对应的IP接口作为备份IP接口。图3.12
所示的LSW5冗余网关信息表明,VRID分别为1、2、3和4的虚拟路由器接口都是主路由
器接口。图3.13所示的LSW6冗余网关信息表明,VRID分别为1、2、3和4的虚拟路由器
接口都是备份路由器接口。
VLAN1~VLAN4对应的冗余网关的虚拟IP地址(VirtualIP)分别是192.168.1.250、
192.168.2.250、192.168.3.250和192.168.4.250。
�
计算机网络工程实验教程———基于华为eNSP
90
图3.8 防火墙FW1各个IP接口配置的IP地址和子网掩码
图3.9 路由器AR2各个IP接口配置的IP地址和子网掩码
图3.10 路由器AR1各个IP接口配置的IP地址和子网掩码
�
第3 章 企业网设计实验
91
图3.11 路由器AR3各个IP接口配置的IP地址和子网掩码
图3.12 LSW5冗余网关信息
图3.13 LSW6冗余网关信息
(5)完成LSW5、LSW6、防火墙FW1和路由器AR1的RIP配置过程。完成防火墙
FW1,路由器AR2、AR1和AR3的OSPF配置过程。LSW5、LSW6、防火墙FW1和路由器
AR1通过RIP创建用于指明通往内部网络各个子网的传输路径的路由项。防火墙FW1,
路由器AR2、AR1和AR3通过OSPF创建用于指明通往Internet和行业服务网的传输路
径的路由项。LSW5、LSW6、FW1、AR2、AR1和AR3的完整路由表如图3.14~图3.20所
�
计算机网络工程实验教程———基于华为eNSP
92
图3.14 LSW5的完整路由表
图3.15 LSW6的完整路由表
�
第3 章 企业网设计实验
93
图3.16 防火墙FW1的完整路由表
图3.17 AR2的完整路由表
�
计算机网络工程实验教程———基于华为eNSP
94
图3.18 AR1的完整路由表(一)
图3.19 AR1的完整路由表(二)
图3.20 AR3的完整路由表
�
第3 章 企业网设计实验
95
示。LSW5和LSW6完整路由表中不但有RIP建立的用于指明通往内部网络各个子网的传输
路径的路由项,还有用于指明通往Internet和行业服务网的传输路径的静态路由项。防火墙
FW1的路由表中,不仅包含RIP生成的用于指明通往内部网络各个子网的传输路径的路由
项,还包含OSPF生成的用于指明通往DMZ和Internet的传输路径的路由项。路由器AR2的
路由表中,只包含OSPF生成的用于指明通往DMZ和Internet的传输路径的路由项,内部网
络对AR2是透明的。同样,路由器AR1的路由表中,不仅包含RIP生成的用于指明通往内部
网络各个子网的传输路径的路由项,还包含OSPF生成的用于指明通往行业服务网的传输路
径的路由项。路由器AR3的路由表中,只包含用于指明通往路由器AR1连接行业服务网的
接口和行业服务网200.0.1.0/24的传输路径的路由项,内部网络对AR3也是透明的。
(6)在仿真DHCP服务器的路由器AR0上创建VLAN2、VLAN3和VLAN4对应
的作用域,这3个作用域对应的IP地址池如图3.21所示。分别在三层交换机LSW5和
LSW6中VLAN2、VLAN3和VLAN4对应的IP 接口上启动DHCP 中继功能,配置
DHCP服务器的IP地址。三层交换机LSW5和LSW6配置的中继信息分别如图3.22和
图3.23所示。完成DHCP配置过程后,各个终端可以自动获取网络信息。如图3.24所示
为PC1的基础配置界面,选择DHCP自动获取网络信息方式。如图3.25所示为PC1自动
获取的网络信息。如图3.26所示为PC2自动获取的网络信息。PC1是普通用户终端,连接
在VLAN2上。PC2是业务员终端,连接在VLAN3上。
图3.21 仿真DHCP服务器的AR0配置的作用域
(7)在防火墙FW1和路由器AR1中完成有关PAT 的配置过程,允许连接在VLAN2、
VLAN3和VLAN4上的终端访问Internet,允许连接在VLAN3和VLAN4上的终端访问行
�
计算机网络工程实验教程———基于华为eNSP
96
图3.22 LSW5配置的中继信息
图3.23 LSW6配置的中继信息
图3.24 PC1的基础配置界面
�
第3 章 企业网设计实验
97
图3.25 PC1自动获取的网络信息
图3.26 PC2自动获取的网络信息
业服务网。防火墙通过地址转换策略完成PAT 配置过程,指定允许进行地址转换的内部
网络私有IP地址范围的IP地址集如图3.27所示,涵盖内部网络中的子网192.168.2.0/24、
192.168.3.0/24和192.168.4.0/24。为了实现内部网络访问Internet的过程,需要配置允许
内部网络访问Internet的安全策略。为了通过OSPF建立用于指明通往Internet的传输路
径的路由项,需要配置允许OSPF消息传输给防火墙FW1的安全策略。防火墙FW1配置
的安全策略如图3.28所示。防火墙FW1配置的NAT策略如图3.29所示,easy-ip表明采
用PAT方式。
图3.27 防火墙FW1配置的地址集
�
计算机网络工程实验教程———基于华为eNSP
98
图3.28 防火墙FW1配置的安全策略
图3.29 防火墙FW1配置的NAT策略
路由器AR1通过配置访问控制列表(ACL)指定允许进行地址转换的内部网络私有IP
地址范围,访问控制列表指定的私有IP地址范围是192.168.3.0/24和192.168.4.0/24,如
图3.30所示。在路由器AR1连接行业服务网的接口启动PAT功能,如图3.30所示。
图3.30 路由器AR1配置的ACL和实施PAT的接口
�
第3 章 企业网设计实验
99
(8)验证连接在VLAN2、VLAN3和VLAN4上的终端可以访问Internet,只有连接
在VLAN3和VLAN4上的终端可以访问行业服务网。因此,PC1只能ping通连接在
Internet上的WebServer2,PC2可以ping通连接在Internet上的WebServer2和连接在行
业服务网上的WebServer3。WebServer2和WebServer3的基础配置界面分别如图3.31
和图3.32所示。PC1和PC2的命令行操作界面分别如图3.33和图3.34所示。
图3.31 WebServer2的基础配置界面
图3.32 WebServer3的基础配置界面
�