HCNP路由交换实验指南(txt+pdf+epub+mobi电子书下载)-txtepub下载

作者：华为技术有限公司

格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT

HCNP路由交换实验指南试读：

前言

本书共有63个实验，每个实验都包括“原理概述”、“实验目的”、“实验内容”、“实验拓扑”、“实验编址表”、“实验步骤”、“思考”等模块。读者应首先阅读“原理概述”和“实验目的”，了解本实验应该掌握的知识和技能，然后再进行实验操作。实验过程中请读者仔细阅读“实验步骤”中的说明，这些内容将很好地展示实验的思路和方法。最后的“思考”模块，可以启发读者进一步的思考，能够更加全面而深刻地理解相关的知识。

为了便于读者学习和练习，我们把每个实验项目都做成了独立的eNSP实验软件包，包括每个实验的最终配置和思考题答案等内容都放到网站上供读者下载和学习，您可以在本书的“使用说明”中找到相应的网址。

适用读者对象

本书的基本定位是华为HCNP认证的参考书，全方位涵盖了HCNP的知识点。本书适合以下几类读者。

华为路由器和交换机的用户

本书可帮助华为路由器和交换机的用户更加熟练地操作和使用华为设备，加深对网络技术的理解，通过实验模拟现网，丰富项目经验。

ICT从业人员

本书可作为工具用书，帮助ICT从业人员熟悉华为设备，具备快速配置华为路由器和交换机的能力。本书更有助于ICT从业人员获取华为认证，提升在企业中的个人价值。

高校学生

本书可作为华为信息与网络技术学院的实验教材，也可作为计算机通信等相关专业学生的自学参考书。配合 eNSP 软件，本书可以帮助学生快速地熟悉华为网络设备的操作，理解和掌握信息和网络技术，使学生能够更快地积累企业网络实践经验，更早获得华为认证，在今后的职业生涯中有一个更好的起步。

信息和网络技术爱好者

本书可作为信息和网络技术爱好者的参考书籍，帮助爱好者了解华为产品和技术的特点，掌握华为产品和技术的应用，并为其技术探索活动提供有效的工具和指导。

本书主要内容

全书共分为8章，所有实验都以eNSP作为实验工具，并按照HCNP的知识点进行设计。

第1章：路由基础

本章回顾了最基本的路由知识，重点是增强读者对 ACL 和路由策略配置操作的熟练程度，因为在后续的实验中会经常用到这方面的知识和配置操作技能。

第2章：OSPF

本章聚焦于OSPF相关的各个知识点，具体包括OSPF基本配置，OSPF邻居邻接关系，OSPF 链路状态数据库，Stub 区域，NSSA 区域，虚链路，OSPF 网络类型，OSPF路由聚合，OSPF缺省路由，OSPF网络的监测、调试和排障。

第3章：BGP

本章聚焦于BGP相关的各个知识点，具体包括BGP邻居关系，BGP认证功能，BGP自动和手动路由聚合，各种常见的 BGP 路由属性分析，路由反射器，路由黑洞问题，BGP联盟，BGP路由的过滤、引入和衰减，BGP缺省路由，BGP网络的监测、调试和排障。

第4章：IS-IS

本章聚焦于IS-IS相关的各个知识点，具体包括IS-IS基本配置，IS-IS邻接关系，IS-IS链路状态数据库，IS-IS DIS，IS-IS 的接口开销值和IS-IS 路由的协议优先级，IS-IS 路由的聚合、引入、过滤和渗透，IS-IS缺省路由，IS-IS网络的监测、调试和排障。

第5章：IP组播

本章聚焦于IP组播相关的各个知识点，具体包括IP组播的基本概念，IGMP介绍，PIM-DM 和PIM-SM，Rendezvous Point 以及RPF 校验。

第6章：交换技术

本章聚焦于交换技术的各个知识点，具体包括MAC地址表分析，VLAN基础知识回顾，常见的VLAN间通信技术，Mux VLAN，MSTP/RSTP与STP的兼容性，MSTP/RSTP的保护功能。

第7章：MPLS

本章只涉及到MPLS相关的基础知识，介绍了MPLS和LDP的基本配置方法，并以BGP/MPLS VPN 为例，展示了MPLS 的典型应用。

第8章：其他

作为全书的结尾，本章给出了两个综合实验，以帮助读者综合运用并检验从本书中所学的知识。这两个实验的网络架构和网络需求都较为复杂，目的是锻炼读者分析和配置中小型企业网络的综合能力。

鸣谢

本书由华为技术有限公司与武汉誉天互联科技有限责任公司联合编写，经过双方多位编写老师半年多时间的辛勤工作，严格审校、修改和完善，这本实验指南终于高质量完成并得以顺利出版。在此感谢武汉誉天互联科技有限责任公司各位老师的付出和大力支持，感谢人民邮电出版社各位编辑老师，以及各位编委和审校人员的辛勤工作！

参与本书编写和审稿的老师虽然拥有多年ICT从业经验，但错漏之处在所难免，望读者朋友们不吝赐教，在此表示衷心的感谢。对于本书的任何意见和建议，敬请发送邮件至Learning@huawei.com。

以下是参与本书编写和技术审校的人员名单。（排名不分先后）

主编：涂文杰

编委人员：刘晶晶、江永红、宋新华、徐一鸣、阮维、龚腾、黄飞、管华、李海星、龚剑、张智勇、邹圣林

技术审校：江永红、徐一鸣、刘洋、杨瑞明、屠晓峰

华为认证简介

华为认证是华为公司凭借多年信息通信技术人才培养经验，以及对行业发展的深刻理解，基于ICT（Information Communication Technology，信息通信技术）产业链人才个人职业发展生命周期，搭载华为“云-管-端”融合技术，推出的覆盖 IP、IT、CT 以及ICT融合技术领域的认证体系，是业界唯一的ICT全技术领域认证体系。

华为技术有限公司经过20 多年在ICT行业培训和认证领域的积累，已经在全球形成了完整的培训认证体系，包括自有的培训中心、授权的培训中心以及与高校合作的教育项目，累计参加华为培训的人次已超过300万，培训与考试服务覆盖160多个国家。

对行业不同领域的人才，华为均有与之匹配的知识和技能培养解决方案，对其进行准确合理的能力评估。针对个人的职业发展历程，华为提供从工程师到资深工程师、专家、架构师层级，以及从单一的技术领域到ICT融合的职业技术认证体系。

如果希望全面了解华为认证培训相关信息，敬请访问华为培训认证主页（http://support. huawei.com/learning）；如果希望了解华为认证最新动态，敬请关注华为认证官方微博（http://e.weibo.com/hwcertification）；如果希望和广大用户一起进行技术问题的探讨，以及考试学习资料的分享，可通过华为官方论坛链接（http://support.huawei.com/ecommunity/bbs）点击进入华为认证版块。华为职业技术认证包含的内容如图1所示。图1 华为职业技术认证的内容

华为路由交换产品介绍

AR系列路由器

2011年，华为技术有限公司发布了第三代企业接入路由器 AR G3 系列。该系列采用多核CPU及大容量交换网，是集安全、语音、互联、无线于一体的多业务的企业路由器，通过了北美权威机构的评测，性能是业界水平的两倍以上，从根本上为企业多业务环境的优质体验提供了保证。

AR G3 系列企业路由器一般部署在企业内部与外部网络的连接处，是内部与外部网络之间数据流的唯一出入口，它能将多种业务部署在同一设备上，极大地降低企业网络建设的初期投资与长期运维成本。用户可以根据企业用户规模选择不同规格的AR G3 路由器，作为出口网关设备。AR系列路由器如图2所示。图2 AR系列路由器

Sx700系列交换机

华为技术有限公司于2010年6月推出了面向企业网络的Sx700系列交换机。Sx700系列交换机在提供高带宽、高性能服务的基础上，融合了可靠、安全、绿色环保等先进技术，具备强大的扩展性，可以满足企业网络的持续演进需求；在提高用户生产效率的同时，保证了网络最大正常的运行时间，从而降低了用户的总成本。基于新一代高性能硬件和统一的VRP平台，Sx700系列交换机特别适合于局域网络的部署和建设，以及数据中心的接入应用。在资质和认证方面，华为交换机在基本功能、节能减排、可靠性、互通性等方面都通过了北美权威评测机构的全方位测试和认证，是业界不可多得的高性价比网络产品。Sx700系列交换机如图3所示。图3 Sx700系列交换机

企业网络解决方案

企业网络的构建可根据企业本身的规模大小选择不同的解决方案。例如，一个小型分支机构，可使用S3700作为接入层交换机，直接连接到作为网络出口的AR系列路由器。大中型企业网络通常需要分层设计，接入层可部署S3700交换机，实现对不同类型用户终端的接入；汇聚层可采用S5700交换机，下行通过千兆接口接入交换机，上行通过万兆光口连接核心层路由器；核心层可根据需求选择不同规格的AR路由器。华为数通产品企业网络解决方案场景如图4所示。图4 华为数通产品企业网络解决方案场景

eNSP介绍

eNSP简介

eNSP（Enterprise Network Simulation Platform）是一款由华为技术有限公司自主开发的、免费的、可扩展的、图形化操作的网络仿真工具平台，主要是对企业网络路由器、交换机及相关物理设备进行软件仿真，完美呈现真实设备实景，支持大型网络模拟，可让广大用户能够在没有真实设备的情况下模拟演练，学习和探索网络技术。

eNSP（企业网络仿真平台）具有仿真程度高、更新及时、界面友好、操作方便等特点。这款仿真软件运行的是与真实设备一样的VRP操作系统，能够最大程度地模拟真实设备环境。用户可以利用 eNSP 模拟工程开局和网络测试，高效地构建企业优质的 ICT网络。eNSP 还支持与真实设备对接，以及数据包的实时抓取，可以帮助用户深刻理解网络协议的运行原理，协助用户进行网络技术的钻研和探索。另外，用户还可以利用eNSP模拟华为认证相关的实验（如R&S/Security/WLAN方向的HCNA/HCNP/HCIE实验），能够更轻松地获得华为认证，成就技术专家之路。

eNSP 的免费发布，为用户提供了近距离体验华为设备的机会。无论是操作数通产品、维护现网的技术工程师，还是教授网络技术的培训讲师，或者是想要获得华为认证、获得能力认可的在校学生，相信都可以因eNSP 而受益匪浅。

eNSP的特点

针对影响用户体验的主要问题，例如安装是否方便，仿真度是否够高，是否可视化操作，是否可更新等，eNSP 做到了扬各家之长，避各家之短，给用户带来极佳的操作体验，它具备以下几个特点。

1．人性化图形界面

eNSP全新的UI界面如图5所示。图形化界面不但美观，而且操作时可轻松上手，包括拓扑搭建和配置设备等。

2．设备图形化直观展示，支持插拔接口卡

在设备真实的图形化视图下，可将不同的接口卡拖曳到设备空槽位，单击电源开关即可启动或关闭设备，使用户对设备的感受更加直观。

3．多机互联，分布式部署

在4台服务器上最多可部署200台左右的模拟设备，并且实现互联，可以模拟大型复杂网络实验。图5 eNSP全新的UI界面

4．高度仿真，实景再现，支持设备功能多

高度仿真的二层转发，运行华为通用路由平台VRP系统，支持对路由器、交换机各种特性的仿真和模拟（包括STP/RSTP/MSTP、Mux VLAN、SEP、GVRP 等各种协议），提供AR全系列仿真款型，支持NAT、防火墙、IPSec、SSLVPN、MQC、AC等功能。

5．不断增加的功能特性模拟

随着真实产品的升级更新，eNSP 将支持增加更多更新的功能特性与之对应。用户发现任何问题都可以通过华为官网论坛（http://support.huawei.com/ecommunity）进行反馈，华为技术有限公司有专人负责技术支持和疑问解答，亦可通过邮箱eNetwork_tools@huawei.com 进行反馈，反馈的问题和建议将通过后续月度版本予以快速响应。

6．完全免费

软件完全免费，面向所有人群开放下载，用户可登录http://enterprise.huawei.com/cn/华为官方网站进行下载。

使用说明

本书所使用的eNSP软件版本为V100R002C00B210，请读者于官网上对应下载使用，以避免因使用软件版本不符而造成实际实验操作与书中内容不一致。

受篇幅所限，在本书的实验命令输出信息中，凡是不与实验主题相关的部分都以省略号“……”替代。

特别需要说明的是，在现实网络的部署中，公网IP地址和私网IP地址的使用范围和条件是有严格规定的。由于本书中的实验会用到大量的IP地址，稍有疏忽，便会记错并用错这些IP地址，为此，我们刻意淡化了公网和私网IP地址的严格区别，而只是从IP地址的易记性出发来选择实验所需的IP地址。

本书中每个实验的拓扑图、思考题答案及最终配置都以电子文件形式在网页上提供免费下载，详情请访问华为官方论坛链接（http://support.huawei.com/ecommunity/bbs），点击进入华为认证版块（二维码如图6所示）。图6 华为官方论坛中华为认证版块的二维码

本书常用图标第1章路由基础1.1访问控制列表

原理概述

访问控制列表（ACL：Access Control List）是一种常用的网络技术，它的基本功能是对经过网络设备的报文进行过滤处理。ACL是由permit和deny语句组成的一个有序规则的集合，它首先通过报文匹配过程来实现对报文的分类识别，然后根据报文的分类信息和相关的执行动作来判断哪些报文可以放行，哪些报文不能放行，从而实现对特定报文的过滤处理。除此之外，ACL 还有其他一些功能，这些功能常常被Route-Policy、QoS（Quality of Service）、IPSec（IP Security）、Firewall 等技术结合起来使用。

ACL的常见类型：基本ACL、高级ACL、二层ACL、用户自定义ACL等，其中应用最为广泛的是基本ACL和高级ACL。基本ACL可以根据源IP地址、报文分片标记和时间段信息来定义规则；高级ACL可以根据源/目的IP地址、TCP源/目的端口号、UDP 源/目的端口号、协议号、报文优先级、报文大小、时间段等信息来定义规则。高级ACL可以比基本ACL定义出精细度更高的规则。

基本ACL、高级ACL、二层ACL、用户自定义ACL的编号范围分别为2000～2999、3000～3999、4000～4999、5000～5999。使用ACL时，ACL的类型应该与相应的编号范围保持一致。

实验目的

● 掌握基本ACL 和高级ACL 在安全策略中的应用

● 掌握基于时间信息的ACL 配置

● 掌握使用基本ACL 保护路由器的VTY 线路

实验内容

实验拓扑如图1-1所示，实验编址如表1-1所示。本实验模拟了一个简单的公司网络，基本组成：一台Ftp-Server，一台Web-Server，一台HR部门的终端PC-1，一台SALES部门的终端PC-2，一台IT部门的终端PC-3，一台路由器R1和一台交换机SW1。为了满足公司的安全需求，要求在R1上使用ACL对部门之间的互访，以及用户对服务器的访问进行控制。另外，只允许SW1的VLANIF 1 接口的IP地址作为源地址远程登录到R1，以实现对R1的远程控制和管理。

实验拓扑图1-1 实验拓扑图

实验编址表表1-1 实验编址

实验步骤

1．基本配置

根据图1-1和表1-1进行相应的基本配置，并使用ping命令检测R1与PC-1之间的连通性。

ping –c 1 172.16.1.1

PING 172.16.1.1: 56 data bytes, press CTRL_C to break

Reply from 172.16.1.1: bytes=56 Sequence=1 ttl=255 time=90 ms

--- 172.16.1.1 ping statistics ---

1 packet(s) transmitted

1 packet(s) received

0.00% packet loss

round-trip min/avg/max = 90/90/90 ms

其余直连网段的连通性测试过程在此省略。

使用eNSP软件设置Ftp-Server，用鼠标右键单击拓扑图中的Ftp-Server图标，选择“设置”选项，出现配置界面。注意，在配置之前不要启动设备。如图1-2所示，在“基础配置”页面设置IP地址、子网掩码、网关。本实验直接采用IP地址方式访问服务器，所以无需设置域名服务器。图1-2 Ftp-Server“基础配置”页面

点击进入“服务器信息”页面，如图1-3所示，在左侧选择栏中选中“FtpServer”，设置端口号为21，设置文件根目录为F:\ftp。根目录下的ftptest.zip文件将作为测试文件在后续测试中使用，读者也可自行创建根目录名和测试文件。图1-3 Ftp-Server“服务器信息”页面

设置完成后，关闭设置窗口，右键点击 Ftp-Server 图标，选择“启动”选项，然后再次进入“服务器信息”页面，点击“启动”选项。如图1-4所示，“日志信息”页面中出现“FtpServer:FtpServerInfo: Listening!”提示，表明Ftp-Server已正常启动，此时关闭该窗口即可。图1-4 Ftp-Server“日志信息”页面

接下来，使用eNSP软件设置Web-Server，它的“基础配置”与Ftp-Server的“基础配置”类似，请参照图1-5。图1-5 Web-Server“基础配置”页面

然后，点击进入“服务器信息”页面，在左侧选择栏中选中“HttpServer”选项，设置端口号为 80 ，设置文件根目录为 F:\web。如图1-6 所示，在根目录下创建文件default.htm，文件内容为“Hello, Welcome to Huawei.com”。读者也可自行创建根目录名、文件名和文件内容。图1-6 Web-Server“服务器信息”页面

设置完成后，关闭窗口，右键点击Web-Server图标，选择“启动”选项，然后再次打开“服务器信息”页面，点击“启动”选项，“日志信息”页面中会出现“设备启动”的提示信息，表明Web-Server已经正常启动，如图1-7所示。图1-7 Web-Server“日志信息”页面

使用eNSP软件设置终端PC-1，右键单击拓扑图中的PC-1图标，选择“设置”选项，出现配置界面，然后在“基础配置”页面下，进行如图1-8所示的配置，最后点击“应用”。PC-2和PC-3的配置过程完全类似，故在此省略。图1-8 PC-1“基础配置”页面

2．为各部门创建安全区域

公司希望使用华为AR系列路由器的域间防火墙特性来提高安全性，所以需要在R1上为HR、SALES、IT这3个部门分别创建安全区域。区域的名称和部门名称一致，HR区域的安全级别设置为12，SALES区域的安全级别设置为10，IT区域的安全级别设置为 8。另外，还需要创建 Trust 区域，设置 Trust 区域的安全级别为 14，Ftp-Server 和Web-Server都属于Trust区域。AR系列路由器默认可以设置16种安全级别，取值范围为0～15，15保留给Local区域使用。

[R1]firewall zone HR

[R1-zone-HR]priority 12

[R1-zone-HR]firewall zone SALES

[R1-zone-SALES]priority 10

[R1-zone-SALES]firewall zone IT

[R1-zone-IT]priority 8

[R1-zone-IT]firewall zone trust

[R1-zone-trust]priority 14

将 R1 上连接不同部门的接口加入到相应部门的安全区域中，Ethernet 2/0/1 接口加入到Trust 区域中。

[R1]interface Ethernet 1/0/0

[R1-Ethernet1/0/0]zone HR

[R1-Ethernet1/0/0]interface Ethernet 1/0/1

[R1-Ethernet1/0/1]zone SALES

[R1-Ethernet1/0/1]interface Ethernet 2/0/0

[R1-Ethernet2/0/0]zone IT

[R1-Ethernet2/0/0]interface Ethernet 2/0/1

[R1-Ethernet2/0/1]zone trust

使用命令display firewall zone 查看相应区域的优先级，区域内包含接口名称、接口数量等信息。

[R1]display firewall zone

zone IT

priority is 8

interface of the zone is (total number 1): Ethernet2/0/0

zone SALES

priority is 10

interface of the zone is (total number 1): Ethernet1/0/1

zone HR

priority is 12

interface of the zone is (total number 1): Ethernet1/0/0

zone trust

priority is 14

interface of the zone is (total number 1): Ethernet2/0/1

zone Local

priority is 15

interface of the zone is (total number 0):

total number is : 5

从上面的显示信息可以看到，所有区域的配置工作已经完成。当把接口加入到相应的区域后，就可以实施基于安全区域的ACL了。

在配置AR系列路由器的防火墙特性时需要注意流量的方向。从较高安全级别区域去往较低安全级别区域的报文称为Outbound报文，从较低安全级别区域去往较高安全级别区域的报文称为Inbound报文。AR系列路由器的防火墙特性允许管理员在不同的区域之间进行报文的过滤处理。

3．禁止SALES部门和HR部门之间的互访

由于 SALES 和 HR 之间目前没有任何业务往来，为了保证部门信息安全，需要在R1上使用ACL来禁止这两个部门之间的互访。

启用SALES区域和HR区域的域间防火墙，命令中的HR和SALES的先后次序没有关系。

[R1]firewall interzone SALES HR

[R1-interzone-HR-SALES]firewall enable

命令firewall enable 的作用是启用域间防火墙。缺省情况下，当域间防火墙启用之后，安全级别较高的区域能够访问安全级别较低的区域，并且应答的报文也能够返回到安全级别较高的区域，但是安全级别较低的区域无法访问安全级别较高的区域。注意，这条命令在这里只开启了HR区域和SALES区域之间的防火墙特性，不会对HR区域和SALES区域与其他区域之间的报文运动有任何影响。

使用命令display firewall interzone HR SALES查看区域间的默认策略。

[R1]display firewall interzone SALES HR

interzone HR SALES

firewall enable

packet-filter default deny inbound

packet-filter default permit outbound

可以看到，区域间的默认策略为Inbound报文被拒绝通过，而Outbound报文被允许通过。由于HR区域的安全级别为12，SALES区域的安全级别为10，所以从HR区域到SALES区域的报文是Outbound报文，而从SALES区域到HR区域的报文是Inbound报文。

接下来使用ping命令测试PC-1与PC-2之间的连通性。右键单击拓扑图中的PC-1，先选择“设置”选项，然后选择“命令行”选项，使用命令 ping 172.16.2.1，结果如图1-9所示。图1-9 在PC-1上检测PC-1与PC-2之间的连通性

从图1-9显示的信息可以判定，Outbound方向的报文是被放行的，返回的Inbound方向的报文也是被放行的。

右键单击拓扑图中的 PC-2，选择“设置”选项，然后在“基础配置”页面上进行ping测试，目的IP地址输入172.16.1.1，次数为5，点击“发送”，结果如图1-10所示。图1-10 在PC-2上检测PC-2与PC-1之间的连通性

可以看到，结果显示为失败，其原因可以推断为Inbound方向的报文被拒绝通行。

为了禁止HR和SALES这两个部门之间的互访，管理员可以在它们之间使用ACL达到目的。由于默认SALES区域不能访问HR区域，因此，只需在Outbound方向上将HR去往SALES的报文全部过滤掉即可。

创建高级 ACL 3000 来定义从 HR 到 SALES 的报文，步长设置为 10。如果在配置ACL时没有给规则指定序列号，则起始序列号将为步长值，且后续序列号将以步长值的间隔进行累加递增。然后，在Outbound 方向上引用ACL 3000。

[R1]acl 3000

[R1-acl-adv-3000]step 10

[R1-acl-adv-3000]rule deny ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255

[R1-acl-adv-3000]firewall interzone SALES HR

[R1-interzone-HR-SALES]packet-filter 3000 outbound

配置完成后，在R1 上使用命令display acl 3000 查看ACL 的配置。

[R1]display acl 3000

Advanced ACL 3000, 1 rule

Acl's step is 10

rule 10 deny ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255

可以看到，ACL 3000 中只有1 个规则，步长为10，规则序列号也为10。

查看SALES和HR的域间Firewall策略。

[R1]display firewall interzone SALES HR

interzone HR SALES

firewall enable

packet-filter default deny inbound

packet-filter default permit outbound

packet-filter 3000 outbound

可以看到，ACL 3000 已经被应用在SALES和HR 的域间Outbound 方向上了。

在PC-1上重新测试与PC-2的连通性，如图1-11所示。图1-11 在PC-1上重新测试PC-1与PC-2之间的连通性

可以看到，在PC-1上现在无法ping通PC-2，说明相应的安全需求已经得到实现。

4．实现对Web-Server和Ftp-Server访问的控制

接下来的安全需求：SALES 部门的用户可以访问公司的 Web-Server，但禁止访问Ftp-Server。

开启SALES区域和Trust区域间的防火墙。由于SALES区域的安全级别为10，Trust区域的安全级别为14，因此，访问流量的方向为Inbound方向。根据区域间防火墙默认规则，SALES部门的用户是无法访问Trust 区域中的服务器的。因此，创建ACL 3001，在Inbound方向上明确放行SALES区域访问Trust区域的Web-Server的报文，其他访问报文被默认规则拒绝通行，如此便可实现相应的安全需求。

[R1]firewall interzone SALES trust

[R1-interzone-trust-SALES]firewall enable

在 PC-2 的“客户端信息”页面中进行 Web 服务的测试，在地址栏中输入“http://192.168.1.30/default.htm”，发现无法访问Web-Server，如图1-12所示。图1-12 PC-2“客户端信息”页面

创建ACL 3001，允许SALES部门的用户访问Web-Server，并应用在SALES和Trust的区域之间。

[R1]acl 3001

[R1-acl-adv-3001]rule 10 permit tcp source 172.16.2.0 0.0.0.255 destination 192.168.1.30 0 destination-port eq 80

[R1-acl-adv-3001]firewall interzone SALES trust

[R1-interzone-trust-SALES]packet-filter 3001 inbound

配置完成后，再次测试PC-2能否访问Web-Server，然后测试能否访问Ftp-Server，测试结果分别如图1-13和图1-14所示。图1-13 PC-2访问Web-Server图1-14 PC-2访问Ftp-Server

可以看到，结果是PC-2可以访问Web-Server，但是无法访问Ftp-Server，说明安全需求已经得到满足。

现在有个新的安全需求：IT 部门的用户可以随时访问 Ftp-Server，但只能在每天的14：00 至 16：00 才能访问 Web-Server，另外还要求 IT 部门的用户能够随时 ping 通Ftp-Server和Web-Server。

开启IT 和Trust 之间的域间防火墙。

[R1]firewall interzone IT trust

[R1-interzone-trust-IT]firewall enable

配置时间跨度为每天的14：00-16：00。

[R1]time-range access-web 14:00 to 16:00 daily

创建ACL 3003，放行IT 到 Trust 的Inbound 方向的FTP、HTTP、ICMP 的ECHO报文，步长设置为10。

[R1]acl 3003

[R1-acl-adv-3003]step 10

[R1-acl-adv-3003]rule permit tcp source 172.16.3.0 0.0.0.255 destination 192.168.1.30 0 destination-port eq 80 time-range access-web

[R1-acl-adv-3003]rule permit tcp source 172.16.3.0 0.0.0.255 destination 192.168.1.10 0 destination-port eq 21

[R1-acl-adv-3003]rule permit icmp source 172.16.3.0 0.0.0.255 destination 192.168.1.10 0

[R1-acl-adv-3003]rule permit icmp source 172.16.3.0 0.0.0.255 destination 192.168.1.30 0

配置完成后，在R1上查看ACL配置。

[R1]display acl 3003

Advanced ACL 3003, 4 rules

Acl's step is 10

rule 10 permit tcp source 172.16.3.0 0.0.0.255 destination 192.168.1.30 0 destination-port eq www time-range access-web (Inactive)

rule 20 permit tcp source 172.16.3.0 0.0.0.255 destination 192.168.1.10 0 destination-port eq ftp

rule 30 permit icmp source 172.16.3.0 0.0.0.255 destination 192.168.1.10 0

rule 40 permit icmp source 172.16.3.0 0.0.0.255 destination 192.168.1.30 0

可以看到，规则的序列号是以 10 为步长递增的。ACL 3003 的 rule 10 后面的Inactive 说明当前这条规则没有被激活，这是因为这条规则只在设备时间为time-range 所指定的范围时才会被激活。由于默认规则的存在，所以 IT 部门的用户只有在每天 14：00-16：00 才能访问 Web-Server，而访问 Ftp-Server则无时间上的限制。当 ACL 有多条规则时，默认情况下路由器将按照规则的序列号从低到高依次将报文与规则进行匹配，一旦某个报文匹配上了某条规则，则按规则指定的动作进行处理，不会再继续往下匹配；对于没有匹配上任何规则的报文，则按默认规则进行处理。

将 ACL 3003 应用在 IT 区域和 Trust 区域之间的 Inbound 方向上，并查看配置情况。

[R1]firewall interzone IT trust

[R1-interzone-trust-IT]packet-filter 3003 inbound

[R1]display firewall interzone IT trust

interzone trust IT

firewall enable

packet-filter default deny inbound

packet-filter default permit outbound

packet-filter 3003 inbound

现在可以测试PC-3是否能访问Web-Server和Ftp-Server，以及是否能ping通这两个服务器。图1-15 显示了在PC-3 上ping Web-Server的结果，其他测试请读者自行完成。注意，在测试Ftp-Server的时候，文件传输模式请选择PORT模式；正确的结果是能ping通，能以 PORT 模式访问 Ftp-Server。如果时间点正好在 time-range 范围内，则能访问Web-Server，否则无法访问。图1-15 在PC-3上ping Web-Server

5．实现对设备的安全控制和管理

为了实现对R1 的安全控制和管理，现在只允许SW1 上的VLANIF 1 接口的IP 地址192.168.1.1能够作为源地址登录到R1。

在SW1 上创建VLANIF 1 接口，配置IP 地址为192.168.1.1/24，在R1 上配置VTY用户接口，允许远程主机通过Telnet管理R1。本例中的Telnet密码为huawei。

[SW1]interface Vlanif 1

[SW1-Vlanif1]ip add 192.168.1.1 24

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):huawei

使用基本ACL对路由器的VTY终端进行保护，只允许源地址为192.168.1.1的报文访问R1的VTY终端。

[R1]acl 2000

[R1-acl-basic-2000]rule permit source 192.168.1.1 0

[R1-acl-basic-2000]user-interface vty 0 4

[R1-ui-vty0-4]acl 2000 inbound

在SW1上使用命令telnet，按照提示输入密码后，就可以登录到R1上了。

telnet 192.168.1.254

Trying 192.168.1.254 ...

Press CTRL+K to abort

Connected to 192.168.1.254 ...

Password:

现在，将SW1 的VLANIF 1 接口的IP 地址修改为192.168.1.2。

[SW1]interface Vlanif 1

[SW1-Vlanif1]ip add 192.168.1.2 24

在SW1的用户视图下，再次测试是否能登录到R1。

telnet 192.168.1.254

Trying 192.168.1.254 ...

Press CTRL+K to abort

Error: Can't connect to the remote host

测试结果显示，当SW1 的VLANIF 1 的IP 地址更换后，便无法登录到R1。通过上面的方法，可以防止未被允许的IP地址登录到路由器，从而实现对路由器的安全控制和管理。

思考

ACL 中的通配符掩码（Wildcard Mask）的作用是什么？如果需要将172.16.16.0/24～172.16.31.0/24这个范围内的所有IP地址用一条ACL规则表示，那么通配符掩码应该是多少？1.2基本的路由策略配置

原理概述

路由策略 Route-Policy 的应用非常广泛。例如，它可以规定路由器在发布路由时只发布某些满足特定条件的路由，在接收路由时只接收某些满足特定条件的路由，在引入路由时只引入某些满足特定条件的路由，如此等等。

Route-Policy 由一个或多个节点（Node）构成，Node 之间是“或”的关系。每个Node都有一个编号，路由项按照Node编号由小到大的顺序通过各个Node。每个Node下可以有若干个if-match和apply子句（特殊情况下可以完全没有if-match和apply子句），if-match之间是“与”的关系。If-match子句用来定义匹配规则，即路由项通过当前Node所需要满足的条件，匹配对象是路由项的某些属性，比如路由前缀、Next Hop、Cost、路由优先级等；apply子句用来规定处理动作。

Route-Policy的每个 Node都有相应的 permit模式或 deny模式。如果是 permit模式，则当路由项满足该Node的所有If-match子句时，就被允许通过该Node的过滤并执行该Node的apply子句，不再进入下一个Node；如果路由项没有满足该Node的所有If-match子句，则会进入下一个Node继续进行过滤。如果是deny模式，则当路由项满足该Node的所有If-match子句时，就被拒绝通过该Node的过滤，这时apply 子句不会被执行，并且不进入下一个 Node；否则就进入下一个 Node 继续进行过滤。

实验目的

● 掌握Route-Policy的基本配置方法

● 掌握使用Route-Policy进行路由过滤

● 掌握使用Route-Policy进行OSPF 路由属性的修改

实验内容

实验拓扑如图1-16所示，实验编址如表1-2所示。本实验中，R2、R3、R4为某公司总部的路由器，R1为合作方的路由器，R1与R2和R4之间运行RIPv2，R3与R2和R4之间运行OSPF。R1的Loopback 1、Loopback 2、Loopback 3、Loopback 4分别用来模拟合作方内部的4个网段。网络管理员希望通过配置路由策略来实现R3去往192.168.1.0/24网段和 192.168.3.0/24 网段的流量经由路径 R3-R2-R1，而去往 192.168.2.0/24 网段和192.168.4.0/24网段的流量经由路径R3-R4-R1，并且这两条路径互为备份。

实验拓扑图1-16 基本的路由策略配置

实验编址表表1-2 实验编址

实验步骤

1．基本配置

根据图1-16和表1-2进行相应的基本配置，并使用ping命令检测R2与R1之间的连通性。

ping -c 1 10.0.12.1

PING 10.0.12.1: 56 data bytes, press CTRL_C to break

Reply from 10.0.12.1: bytes=56 Sequence=1 ttl=255 time=60 ms

--- 10.0.12.1 ping statistics ---

1 packet(s) transmitted

1 packet(s) received

0.00% packet loss

round-trip min/avg/max = 60/60/60 ms

其余直连网段的连通性测试过程在此省略。

2．搭建OSPF和RIP网络

R1与R2和R4之间运行RIPv2，R3与R2和R4之间运行OSPF。在R2和R4上将RIP路由引入到OSPF协议中。

[R1]rip

[R1-rip-1]version 2

[R1-rip-1]undo summary

[R1-rip-1]network 10.0.0.0

[R1-rip-1]network 192.168.1.0

[R1-rip-1]network 192.168.2.0

[R1-rip-1]network 192.168.3.0

[R1-rip-1]network 192.168.4.0

[R2]rip

[R2-rip-1]version 2

[R2-rip-1]undo summary

[R2-rip-1]netwrok 10.0.0.0

[R2-rip-1]ospf 1

[R2-ospf-1]area 0

[R2-ospf-1-area-0.0.0.0]network 10.0.23.1 0.0.0.0

[R3]ospf 1

[R3-ospf-1]area 0

[R3-ospf-1-area-0.0.0.0]network 10.0.23.2 0.0.0.0

[R3-ospf-1-area-0.0.0.0]network 10.0.34.2 0.0.0.0

[R4]rip

[R4-rip-1]version 2

[R4-rip-1]undo summary

[R4-rip-1]network 10.0.0.0

[R4-rip-1]ospf 1

[R4-ospf-1]area 0

[R4-ospf-1-area-0.0.0.0]network 10.0.34.1 0.0.0.0

[R2]ospf 1

[R2-ospf-1]import-route rip 1

[R4]ospf 1

[R4-ospf-1]import-route rip 1

配置完成后，查看R3的IP路由表，检查R3是否接收到了RIP路由信息。

[R3]display ip routing-table

Route Flags: R - relay, D - download to fib

-------------------------------------------------------------------------------------------------------------------------------------------------------

Routing Tables:Public

Destinations : 19　Routes : 26

Destination/Mask　　　Proto　　PreCost　　Flags　NextHop　　　　Interface

10.0.1.1/32　　　O_ASE　150　1　　D　　　10.0.34.1　　Serial1/0/0