网络安全大作业4-路由器的配置与防火墙设置

继续上次的实验


路由器配置实验

首先看实验要求:

根据要求来看,我们其实是将路由器划分成两个端口,然后让不同的端口之间相互沟通。然后我们看接下来的代码可知:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
[h3c-switch]
Vlan 41 // 配置41局域网
Port e1/0/2 // 指定端口
Int vlan-interface 41 // 然后指定对应端口的接口
Ip address 142.16.1.1 24 // 端口的ip
Qu
Vlan 42
Port e1/0/1
Int vlan-interface 42
Ip address 142.16.2.1 24
qu
[h3c-route]

Int g0/0 // 路由器配置g0/0
Ip address 142.16.1.2 24 // 设置路由器g比特以太网的0端口上的ip
Qu
Int g0/1 // 路由器配置g0/1
Ip address 142.16.3.1 24 // 设置路由器g比特以太网的1端口上的ip
Qu
Ospf 1
Area 0
Network 142.16.1.2 0.0.0.255
Network 142.16.3.1 0.0.0.255
qu

配置vlan41和vlan42:
142.16.1.1/24 和 142.16.2.1/24 然后将 vlan42 下的其中一个口与路由器的 g0 口相连,然后设置路由器的 g0 口和 vlan42 位于同一个网段,在配置 g1 口即可.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++=
晚上做完实验才被告知,实验中没有提供完整的代码,而且提供的网络拓扑图是错的。。。干,怪不得上述的代码看上去不能运行的样子。。。

真实要求:
让主机142.16.1.66通过路由器与交换机进行数据传输,并且在最后实现和vlan41下的某台主机进行通信。

上述的代码只是在配置交换机而已,于是这里需要配置一下路由器:
首先复习一下我们的网络设备:

于是根据我们实现的网络拓扑图的要求,我们需要将主机与路由器15端口相连接,并且简单配置路由器中的状态(路由器的配置代码如上)。
此时我们第一次检查我们端口情况,发现是可以ping通的。于是检查此时的路由器中的配置情况:

当Link下出现了up状态的时候,就说明此事后的路由是接通的。其实这里一开始有个小插曲,我们一开始的时候并没有将路由器的g1/0完成接通,因为我以为,路由器的内部是这样的:

然而实际上,路由器的内部就好像电路一样。只有接通了的时候才会发生连接。于是第二次的时候,我把路由器接到了接线口A中的交换机里面(注意我们之前提到过的,A口中的为二层交换机,并不具备路由功能),结果依然是失败了。。。。
最后在助教的帮助下,终于意识到交换机的问题,将网线从A19接到了B8,才终于把这一关过了。。。

虽然上述代码实现了从142.16.1.2路由到142.16.3.1的功能,但是为了实现到交换机的路由,我们还需要配置一下交换机:


由于此时路由器g0/1和交换机的eht1/0/8设置在了同一网段内,所以交换机会自动进行转发,然后我们同构设置142.16.3.7、142.16.4.1和142.16.2.3进行osfp转发,实现不同数据包的传输。
(PS:由于计算机的数量不足+搞得太晚了,于是我们在这里只是完成了142.16.4.1的配置,于是另一个接口就down掉了。。。)
最后我们还要将目标机子的ip设置在同一个ip网段内,并且设置网关,让数据包默认走142.16.4.1,从而主机通过路由器,与不同网段内的交换机中的vlan下主机进行交互

多路由器连接

实验要求:

由上图可知,大概是模拟现实中的路由器之间的连接,然后利用ospf完成ip查找。根据拓扑图,我们设置路由器1的g0(A15)与路由器2的g0(A14)相连接,并且让两台主机分别与路由器1g1(A19)和路由器2g1(A20)连接。
代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
[H3C-route1]
int g0/0
ip address 172.16.1.1
shutdown // 原先这个接口是关闭的,要输入此指令将接口打开
qu
int g0/1
ip address 172.16.5.5
shutdown
qu

// 设置ospf协议
ospf 1
area 0
network 172.16.1.1 0.0.0.255
network 172.16.5.5 0.0.0.255
qu

[H3C-route2]
int g0/0
ip address 172.16.1.2
shutdown
qu
int g0/1
ip address 172.16.3.1
shutdown
qu

ospf 1
area 0tuo
network 172.16.1.2 0.0.0.255
network 172.16.3.1 0.0.0.255

设置完该协议(关键记得shutdown打开端口),然后我们进行ping测试:

(172.16.3.22 对 172.16.1.1 网关ping)

(172.16.5.54 对 172.16.1.1 网关ping)

(172.16.3.22 对 172.16.5.54 ping)

防火墙配置

由之前的实验,我们大概了解了路由器和交换机之间的基本数据传输的过程,那么我们就可以通过设置防火墙来进行包的过滤:
由于防火墙设置好了,我们就不需要接线处理了,于是我们只需要输入代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
定义源 IP 为 172.16.3.22 的 ACL
# 进入 ACL2000 视图。
[H3C] acl number 2000
# 定义源 IP 为 192.16.3.22 的访问规则。
[H3C-acl-basic-2000] rule deny source 172.16.5.54 0
[H3C-acl-basic-2000] quit
21
(3) 在端口上应用 ACL
# 在端口上应用 ACL 2000。
[H3C] interface ethernet0/0
[H3C-Ethernet0/0] packet-filter 2000 inbound
(5)去除规则 // 完成试验后使用
Undo acl number XXX

我们直接使用了上一张图中的网络拓扑图,所以大致逻辑还是一样的。我们产生的结果就是,此时172.16.5.54企图ping 172.16.3.22的时候会被拦截下来。