ENSP中小企业网示例[终]:路由配置、三层VLAN隔离及端口镜像
一、本篇简介
注意:这是一个系列性的教程,当前章节的配置可能需要依赖之前章节的相关配置而生效;如果读者仅查看本章节内容,相关配置命令仅供参考;
本篇的操作设备对象包括:路由器[AR]、核心交换机[LSW];
目标为在命令行配置界面下对路由器[AR]、核心交换机[LSW]进行相关配置,包括:1、配置合适的路由条目,实现各VLAN与路由器的互通,以实现对路由器网关外的访问;2、使用ACL规则,实现三层网络中对VLAN的隔离;3、核心交换机的监控口/镜像口的配置[仅供参考]。
二、路由配置
本节的重点是实现路由器[AR]与核心交换机[LSW]下与各VLAN的通信;在之前博文的配置中,通过对应VLAN的DHCP服务获取IP地址的主机,是无法访问路由器的[PING通192.168.5.1],这也就意味着,通过对应VLAN的DHCP服务获取IP地址的主机,此时是无法访问企业外网的。实际上,如果通过Wireshark等抓包工具在主物理链路上进行抓包,会发现报文是可以正常到达路由器的,只是由于缺失了相关的路由配置,所以引起了网异常。以下说明相关设备的路由配置,配置指令如下;
目标设备:路由器-AR[AR1220]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
[配置对应的回程路由] <AR>system-view # 进入系统视图; [AR]ip route-static 172.16.10.0 23 192.168.5.254 [AR]ip route-static 172.16.20.0 23 192.168.5.254 [AR]ip route-static 172.16.30.0 23 192.168.5.254 [AR]ip route-static 192.168.101.0 24 192.168.5.254 # 配置对应VLAN于路由器上的回程路由; [AR]quit [保存当前配置] <AR>save # 注意,本处将保存于"company.zip"文件中, # 这是由于前面章节的相关设定; |
目标设备:核心交换机-LSW[S5700]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
[交换机] <LSW>system-view # 进入系统视图; [LSW]interface Vlanif 1 # 进入并配置"VLAN 1"的虚拟接口"Vlanif 1"; # 注:"VLAN 1"为所有交换机的默认VLAN; # 该VLAN默认所有转发[非交换机内部转发]数据包均不带TAG标记; [LSW-Vlanif1]ip address 192.168.5.254 24 # 配置"Vlanif 1"虚拟接口的IP地址; # 注意:本地址必须与路由器上的"Eth-Trunk 1"虚拟接口的IP地址处于同一网段; [LSW-Vlanif1]quit [配置默认路由] [LSW]ip route-static 0.0.0.0 0 192.168.5.1 # 配置默认路由,实现各VLAN内设备对外网的访问; [保存配置] <LSW>save # 注意,本处将保存于"company.zip"文件中, # 这是由于前面章节的相关设定; |
效果验证:
进行以上配置后,各VLAN内的设备,通过对应DHCP获取到的IP地址后,正常PING通路由器的对应接口["192.168.5.1"]。
三、VLAN隔离[三层]
本处说明三层网络下实现VLAN间的隔离,本教程提供的示例文件使用方式二,见下文配置;特别说明一下,VLAN是有隔离功能的,但这仅限于在二层网络拓扑上实现,当在三层网络上为各VLAN配置上网关后,二层VLAN的隔离功能将失效;实际上也不能说是失效,只是隔离的原理问题,二层VLAN间的隔离实现,是基于数据包的广播范围进行控制,所以在三层网络中,VLAN的隔离功能看似失效了。以下配置,本教程将对访客网络[192.168.101.X]与办公网络[172.16.X.X]进行隔离配置;有兴趣的读者可以尝试一下,基于之前的配置,访客网络与办公网络是可以互相PING通的,这在企业中并不现实,这可能会引起一些安全问题。具体配置如下:
方式一:目标设备:核心交换机-LSW[S5700]----["traffic-filter vlan X outbound"方式]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
[ACL规则配置] <LSW>system-view [LSW]acl name Guest 3000 # 创建高级ACL规则,名为"Guest"; [LSW-acl-adv-Guest]rule 5 deny ip source 192.168.101.0 0.0.0.255 # 设定对所有源地址为"192.168.101.X"的规则为禁止"deny"; [LSW-acl-adv-Guest]quit [ACL规则绑定VLAN] [LSW]traffic-filter vlan 10 outbound acl name Guest [LSW]traffic-filter vlan 20 outbound acl name Guest [LSW]traffic-filter vlan 30 outbound acl name Guest # 于对应VLAN的出方向"outbound"上绑定ACL规则"Guest"; # 至此,已经实现了访客网络与办公网络的隔离; # # 非常重要!!!! # 关于"outbound"与"inbound": # 一般的想法是使用"inbound"禁止对源地址为"192.168.101.X"数据包进入以实现隔离, # 但实际操作中,这种方式是不可行的,错在那里?我们模拟一下,以VLAN 10为例, # 将以上配置的"outbound"配置为"inbound",将发生什么情况,当"192.168.101.X"发送ICMP数据包, # 数据包是从那个VLAN进入[inbound]?是VLAN 101!可见,根本不存在VLAN 101的过滤规则; # 然后交换机进行内部处理,变更VLAD ID以实现转发[VLAN ID由101变为10],可见存在VLAN 10的过滤规则! # 然而,此时的规则配置为传入"inbound",而数据包的操作实际是传出"outbound",于是过滤规则不生效! # 造成此情况的关键是,交换机内部对数据包的操作处理,是不受ACL规则影响的! # 那如何使用?见下文的另一种配置方式: # [目标设备:核心交换机-LSW[S5700]----["traffic-filter vlan X inbound"方式]] [保存配置] <LSW>save # 注意,本处将保存于"company.zip"文件中, # 这是由于前面章节的相关设定; |
方式二:目标设备:核心交换机-LSW[S5700]----["traffic-filter vlan X inbound"方式]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
[ACL规则配置] <LSW>system-view [LSW]acl name Guest 3000 # 创建高级ACL规则,名为"Guest"; [LSW-acl-adv-Guest]rule 5 deny ip destination 172.16.10.0 0.0.1.255 [LSW-acl-adv-Guest]rule 6 deny ip destination 172.16.20.0 0.0.1.255 [LSW-acl-adv-Guest]rule 7 deny ip destination 172.16.30.0 0.0.1.255 # 设定对所有源地址为"192.168.101.X"的规则为禁止"deny"; [LSW-acl-adv-Guest]quit [ACL规则绑定VLAN] [LSW]traffic-filter vlan 101 inbound acl name Guest # 于对应VLAN的出方向"outbound"上绑定ACL规则"Guest"; [保存配置] <LSW>save # 注意,本处将保存于"company.zip"文件中, # 这是由于前面章节的相关设定; |
效果验证:
进行以上配置后[方式一与方式二任意一种配置方式],实现访客网络与办公网络的隔离,使用PING命令测试访客网络"192.168.101.X"与企业网络"172.16.X.X"的连通情况,发现均无法相互PING通。另,各办公网络间互访正常。
四、端口镜像
本处说明镜像端口的配置方式,这当中有一个观察组的概念,读者请自行理解,配置如下:
目标设备:核心交换机-LSW[S5700]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
[端口镜像配置] <LSW>system-view [LSW]observe-port 1 interface GigabitEthernet 0/0/23 # 将端口"GigabitEthernet 0/0/23"划入"1"号观察组; # 注:一个观察组内可以包含多个镜像端口,同一观察组内多个镜像口所获取到的数据相同; [LSW]interface Eth-Trunk 1 # 进入将要被镜像数据的端口; # 本示例目标为镜像"Eth-Trunk 1"端口的数据; [LSW-Eth-Trunk1]port-mirroring to observe-port 1 outbound # 指定将本接口的数据镜像至"observe-port 1"观察端口组,数据镜像方式为"outbound"; # 注:所有"1"号观察组的成员端口将镜像到相同的数据; # 本示例"1"号观察组仅包含"GigabitEthernet 0/0/23"一个成员端口; # 关于数据镜像方式: # --> both :出方向 + 入方向流量 # --> inbound :入方向流量 # --> outbound :出方向流量 # 至此,已经可以从"GigabitEthernet 0/0/23"端口观察"Eth-Trunk 1"端口的出流量情况了; # 由于ENSP内无法对镜像端口进行数据抓包,本配置仅供参考; [保存配置] <LSW>save # 注意,本处将保存于"company.zip"文件中, # 这是由于前面章节的相关设定;; |
效果验证:
由于ENSP模拟器的限制,未能对镜像功能进行验证,本配置仅供参考。
结、
就像之前写的教程一样,在本系列的博文完成后,我还是得吐糟一番!!!!写这些原创性的博文,真的难啊~~这个系列的博文比我预计花的时间要多得多,中间伴我近十年的电脑,于此次博文的写作中,终于也支持不住了,出了极不稳定的情况,终于也是到了更换电脑的时间了……然而临近春节假期,又偏偏遇上这个冠状病毒,新电脑的购置也是一波三折啊~~~好不容易终于集齐了配件,组起了电脑,提笔准备完成这个系列的最后一篇博文,却发觉,短短两周,我似乎已经把这个系列忘记得差不多了,加上换电脑,原始资料也几乎忘记了在那了……还好,基础在啊,番了一下前篇的博文,还是把感觉找回来了,完成了这个系列……最后,就是对这个系列的博文进行一些小修补了~~~
最后最后,我最想说的是,这个该死的系列,我终于写完了!!!!!!
嗯~~对于系列性的教程,我真的很讨厌,不过呢,我的下一个系列可能是很多人感兴趣的DVWA系列哦~~不知道什么是DVWA?百度吧~~什么时候写?一年后吧~~~
本篇完,读者可点击以下链接返回上一章或返回第一章;
ENSP中小企业网示例[终]:路由配置、三层VLAN隔离及端口镜像:等您坐沙发呢!