H3CNE综合实验

实验背景：

XX公司的一个分支机构正在建设中。根据公司的设计需要，分支

机构的网络只能使用192.168.1x.0/24的网段，该网络中共有3个部门（分别是工程部、市场部、研发部）和一个DMZ区域（存放一台Server向企业内网和Internet提供网络服务）。

根据安全策略的要求，3个部门之间以及DMZ区域需要进行逻辑

隔离；并且DMZ区域的主机禁止向内网发起Telnet、FTP等服务，但反之可以；对于所有的接入设备进行802.1X认证；内部网络之间使用OSPF进行互通，VLAN间的设备通过三层交换进行路由。

ISP为分支机构提供一条专线，使用CHAP的方式进行验证；ISP

作为主验证方，并且分配网段202.102.192.0/30作为和企业网关设备的互联地址，ISP设备上不允许配置任何路由信息。

实验分析与规划：

根据顾客要求制作了拓扑图，如下所示。

实验拓扑：

实验简述：

1、 PC1、PC3、PC3分别属于Vlan10、Vlan 20、Vlan30 2、 SW2、SW1分别为二层交换和三层交换，通过E1/0/1

和E1/0/24口相连，三层交换SW1和局域网网关设备R2用G1/1/3和G0/0相连，网关和ISP用S6/0口相连。

3、 Server放在DMZ区域中，与R2的G0/1口相连。 4、 整个网络IP地址的规划如图所示。

实验器材：

1、 两台交换机均为：H3C S3610 2、 两台路由器均为：H3C MSR 30-20

实验目标：

1、 三个部门和服务器实现互相逻辑隔离。

2、 在三层交换机上实现vlan间路由 3、 全网用OSPF互通，并且可以访问外网 4、 所有接入的终端设备采用802.1x认证

5、 服务器不能向内网设备进行telnet、ftp操作，反之可以 6、 局域网网关设备和ISP设备链路采用Chap验证。

实验内容：

#

R1的简要配置与分析：

interface Serial5/0 link-protocol ppp

ppp authentication-mode chap ppp chap user r2

ip address 202.102.192.2 255.255.255.252 #

local-user r1

//CHAP验证的本地用户列表 //ISP设备作为chap的主验证方

password simple r2 service-type ppp #

firewall enable #

//开启防火墙

R2的简要配置与分析：

nat address-group 1 202.102.192.1 202.102.192.1 #

acl number 2001 rule 0 permit #

acl number 3001

//nat地址组

//定义局域网内哪些设备可以访问外网的数据

//定义Server对局域网内设备进行某些操作

rule 0 deny tcp source 192.168.40.2 0 destination-port eq telnet rule 5 deny tcp source 192.168.40.2 0 destination-port eq ftp rule 10 deny tcp source 192.168.40.2 0 destination-port eq ftp-data #

local-user r2

//CHAP验证的本地用户列表

password simple r2 service-type ppp #

interface Serial6/0 link-protocol ppp ppp chap user r1

//对端设备CHAP验证的用户名称

nat outbound 2001 address-group 1 //将nat和定义的数据流在接口上进行绑定

ip address 202.102.192.1 255.255.255.252 #

interface GigabitEthernet0/0