构建中小型企业网(OSPF、DHCP 中继、NAT、ACL 综合实验)
一、使用的软件
这里使用的软件是 HCL_v5.10.3-Setup.exe。
二、实验名称
构建中小型企业网(OSPF、DHCP 中继、NAT、ACL 综合实验)
三、实验设备
路由器:4 台 MSR36-20(R1、R2、R3、R7)
交换机:1 台 S6850(SW4)
PC 终端:2 台(PC5、PC6)
补充说明:不同型号路由器功能稍有区别,注意查看接口。
查看接口的命令:display ip interface brief (用户视图和系统视图均可使用查看)
四、实验要求
1、企业网内部包含 10.0.0.0/24、20.0.0.0/24、30.0.0.0/24、40.0.0.0/24 等网段,核心与外部互2、联为 172.16.17.0/30(30 位掩码,可用地址两个)。
3、每台设备以设备编号作为 LoopBack0 地址(如 R1 为 1.1.1.1,R2 为 2.2.2.2 等)。
4、路由器 R1、R2、R3 运行 OSPF Area 0,其他网段使用静态路由。
5、交换机 SW4 划分 VLAN10、VLAN20、VLAN30、VLAN40,对应不同接入网段。
6、路由器 R2 通过 DHCP 中继为 PC5 分配地址及网关。
7、路由器 R3 通过 DHCP 中继为 PC6 分配地址及网关。
8、PC5、PC6 需能访问内部及外部所有合法网段。
9、PC5 网段(30.0.0.0/24)可访问 R1 的 1.1.1.1,PC6 网段(40.0.0.0/24)不可访问,通过 ACL 实现。
10、新增路由器 R7,连接 R1 并配置 LoopBack0 地址 7.7.7.7 模拟外部互联网。
11、内部 PC 网段通过 NAT 访问 7.7.7.7,私网使用默认路由,内部无外部明细路由。
五、端口连接概况
R1 的 GE0/0 接口与 R2 的 GE0/0 接口相连;
R1 的 GE0/1 接口与 R3 的 GE0/0 接口相连;
R1 的 GE0/2 接口与 R7 的 GE0/0 接口相连;
R2 的 GE0/2 接口与 SW4 的 GE1/0/1 接口相连;
R3 的 GE0/2 接口与 SW4 的 GE1/0/2 接口相连;
R2 的 GE0/1 接口与 R3的 GE0/1 接口相连;
SW4 的 GE1/0/3 接口与 PC5 的 GE0/1 接口相连;
SW4 的 GE1/0/4 接口与 PC6 的 GE0/1 接口相连。
六、实验拓扑图
(拓扑图含核心层(R1、R7)、汇聚层(R2、R3)、接入层(SW4)及 PC 终端,各设备接口连接见 “端口连接概况”)
七、实验配置
(注意:进入用户视图 Ctrl + C)
如何进入 PC 的可视化界面
鼠标右击拓扑中的 PC 设备,在显示的选项中点击配置选项。注意:启用接口管理,启用 IPv4 的动态获取(DHCP),再点击上方的刷新!
PC5 配置:
IP 自动分配:30.0.0.1
子网掩码:255.255.255.0
网关:30.0.0.2
PC6 配置:
IP 自动分配:40.0.0.1
子网掩码:255.255.255.0
网关:40.0.0.2
SW4 配置:
<H3C>system-view ---- 进入系统视图
[H3C]sysname SW4 ---- 设备重命名为SW4
[SW4]vlan 10 ---- 创建VLAN10
[SW4-vlan10]vlan 20 ---- 创建VLAN20
[SW4-vlan20]vlan 30 ---- 创建VLAN30
[SW4-vlan30]vlan 40 ---- 创建VLAN40
[SW4-vlan40]quit ---- 退出VLAN视图
[SW4]interface ge1/0/1 ---- 进入接口GE1/0/1
[SW4-GigabitEthernet1/0/1]port access vlan 10 ---- 接口划入VLAN10
[SW4-GigabitEthernet1/0/1]quit ---- 退出接口视图
[SW4]interface ge1/0/2 ---- 进入接口GE1/0/2
[SW4-GigabitEthernet1/0/2]port access vlan 20 ---- 接口划入VLAN20
[SW4-GigabitEthernet1/0/2]quit ---- 退出接口视图
[SW4]interface ge1/0/3 ---- 进入接口GE1/0/3
[SW4-GigabitEthernet1/0/3]port access vlan 30 ---- 接口划入VLAN30
[SW4-GigabitEthernet1/0/3]quit ---- 退出接口视图
[SW4]interface ge1/0/4 ---- 进入接口GE1/0/4
[SW4-GigabitEthernet1/0/4]port access vlan 40 ---- 接口划入VLAN40
[SW4-GigabitEthernet1/0/4]quit ---- 退出接口视图
[SW4]interface LoopBack 0 ---- 进入LoopBack0接口
[SW4-LoopBack0]ip address 4.4.4.4 24 ---- 配置交换机LoopBack地址
[SW4-LoopBack0]quit ---- 退出接口视图
[SW4]interface Vlan-interface 10 ---- 进入VLAN10接口
[SW4-Vlan-interface10]ip address 10.0.0.1 24 ---- 配置VLAN10接口IP
[SW4-Vlan-interface10]quit ---- 退出接口视图
[SW4]interface Vlan-interface 20 ---- 进入VLAN20接口
[SW4-Vlan-interface20]ip address 20.0.0.1 24 ---- 配置VLAN20接口IP
[SW4-Vlan-interface20]quit ---- 退出接口视图
[SW4]interface Vlan-interface 30 ---- 进入VLAN30接口
[SW4-Vlan-interface30]ip address 30.0.0.2 24 ---- 配置VLAN30接口IP(PC5网关)
[SW4-Vlan-interface30]quit ---- 退出接口视图
[SW4]interface Vlan-interface 40 ---- 进入VLAN40接口
[SW4-Vlan-interface40]ip address 40.0.0.2 24 ---- 配置VLAN40接口IP(PC6网关)
[SW4-Vlan-interface40]quit ---- 退出接口视图
[SW4]dhcp enable ---- 启用DHCP功能
[SW4]interface vlan 30 ---- 进入VLAN30接口
[SW4-Vlan-interface30]dhcp select relay ---- 配置DHCP中继模式
[SW4-Vlan-interface30]dhcp relay server-address 10.0.0.2 ---- 指定DHCP服务器地址(R2的GE0/2接口)
[SW4-Vlan-interface30]quit ---- 退出接口视图
[SW4]interface vlan 40 ---- 进入VLAN40接口
[SW4-Vlan-interface40]dhcp select relay ---- 配置DHCP中继模式
[SW4-Vlan-interface40]dhcp relay server-address 20.0.0.2 ---- 指定DHCP服务器地址(R3的GE0/2接口)
[SW4-Vlan-interface40]quit ---- 退出接口视图
[SW4]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2 ---- 配置默认路由指向R2
[SW4]ip route-static 0.0.0.0 0.0.0.0 20.0.0.2 ---- 配置默认路由指向R3
R2 配置:
<H3C>system-view ---- 进入系统视图
[H3C]sysname R2 ---- 设备重命名为R2
[R2]interface ge0/0 ---- 进入GE0/0接口
[R2-GigabitEthernet0/0]ip address 12.0.0.1 24 ---- 配置接口IP
[R2-GigabitEthernet0/0]quit ---- 退出接口视图
[R2]interface ge0/1 ---- 进入GE0/1接口
[R2-GigabitEthernet0/1]ip address 23.0.0.1 24 ---- 配置接口IP
[R2-GigabitEthernet0/1]quit ---- 退出接口视图
[R2]interface ge0/2 ---- 进入GE0/2接口
[R2-GigabitEthernet0/2]ip address 10.0.0.2 24 ---- 配置接口IP(SW4的DHCP中继目标)
[R2-GigabitEthernet0/2]quit ---- 退出接口视图
[R2]interface LoopBack 0 ---- 进入LoopBack0接口
[R2-LoopBack0]ip address 2.2.2.2 24 ---- 配置路由器LoopBack地址
[R2-LoopBack0]quit ---- 退出接口视图
[R2]dhcp enable ---- 启用DHCP功能
[R2]dhcp server ip-pool p_30 ---- 创建DHCP地址池p_30
[R2-dhcp-pool-p_30]network 30.0.0.0 24 ---- 配置地址池网段
[R2-dhcp-pool-p_30]gateway-list 30.0.0.2 ---- 配置网关地址
[R2-dhcp-pool-p_30]dns-list 8.8.8.8 ---- 配置DNS服务器
[R2-dhcp-pool-p_30]quit ---- 退出地址池视图
[R2]ip route-static 30.0.0.0 24 10.0.0.1 ---- 配置到30.0.0.0网段的静态路由
[R2]ip route-static 40.0.0.0 24 10.0.0.1 ---- 配置到40.0.0.0网段的静态路由
[R2]ip route-static 4.4.4.0 24 10.0.0.1 ---- 配置到4.4.4.0网段的静态路由
[R2]ip route-static 172.16.17.0 30 12.0.0.2 ---- 配置到外部互联网的静态路由
[R2]ip route-static 7.7.7.0 24 12.0.0.2 ---- 配置到7.7.7.0网段的静态路由
[R2]ospf 1 router-id 2.2.2.2 ---- 启用OSPF进程1,配置Router-ID
[R2-ospf-1]area 0 ---- 加入OSPF区域0
[R2-ospf-1-area-0.0.0.0]network 12.0.0.0 0.0.0.255 ---- 宣告直连网段
[R2-ospf-1-area-0.0.0.0]network 23.0.0.0 0.0.0.255 ---- 宣告直连网段
[R2-ospf-1-area-0.0.0.0]network 2.2.2.0 0.0.0.255 ---- 宣告LoopBack网段
[R2-ospf-1-area-0.0.0.0]quit ---- 退出区域视图
[R2-ospf-1]quit ---- 退出OSPF视图
[R2]acl number 3000 ---- 创建高级ACL 3000
[R2-acl-ipv4-adv-3000]rule 0 permit ip source 30.0.0.0 0.0.0.255 destination 1.1.1.1 0.0.0.255 ---- 允许PC5网段访问R1的LoopBack地址
[R2-acl-ipv4-adv-3000]rule 5 deny ip source 40.0.0.0 0.0.0.255 destination 1.1.1.1 0.0.0.255 ---- 拒绝PC6网段访问R1的LoopBack地址
[R2-acl-ipv4-adv-3000]quit ---- 退出ACL视图
[R2]interface ge0/2 ---- 进入GE0/2接口
[R2-GigabitEthernet0/2]packet-filter 3000 inbound ---- 在接口入方向应用ACL 3000
[R2-GigabitEthernet0/2]quit ---- 退出接口视图
R3 配置:
<H3C>system-view ---- 进入系统视图
[H3C]sysname R3 ---- 设备重命名为R3
[R3]interface ge0/0 ---- 进入GE0/0接口
[R3-GigabitEthernet0/0]ip address 13.0.0.1 24 ---- 配置接口IP
[R3-GigabitEthernet0/0]quit ---- 退出接口视图
[R3]interface ge0/1 ---- 进入GE0/1接口
[R3-GigabitEthernet0/1]ip address 23.0.0.2 24 ---- 配置接口IP
[R3-GigabitEthernet0/1]quit ---- 退出接口视图
[R3]interface ge0/2 ---- 进入GE0/2接口
[R3-GigabitEthernet0/2]ip address 20.0.0.2 24 ---- 配置接口IP(SW4的DHCP中继目标)
[R3-GigabitEthernet0/2]quit ---- 退出接口视图
[R3]interface LoopBack 0 ---- 进入LoopBack0接口
[R3-LoopBack0]ip address 3.3.3.3 24 ---- 配置路由器LoopBack地址
[R3-LoopBack0]quit ---- 退出接口视图
[R3]dhcp enable ---- 启用DHCP功能
[R3]dhcp server ip-pool p_40 ---- 创建DHCP地址池p_40
[R3-dhcp-pool-p_40]network 40.0.0.0 24 ---- 配置地址池网段
[R3-dhcp-pool-p_40]gateway-list 40.0.0.2 ---- 配置网关地址
[R3-dhcp-pool-p_40]dns-list 114.114.114.114 ---- 配置DNS服务器
[R3-dhcp-pool-p_40]quit ---- 退出地址池视图
[R3]ip route-static 30.0.0.0 24 20.0.0.1 ---- 配置到30.0.0.0网段的静态路由
[R3]ip route-static 40.0.0.0 24 20.0.0.1 ---- 配置到40.0.0.0网段的静态路由
[R3]ip route-static 4.4.4.0 24 20.0.0.1 ---- 配置到4.4.4.0网段的静态路由
[R3]ip route-static 172.16.17.0 30 13.0.0.2 ---- 配置到外部互联网的静态路由
[R3]ip route-static 7.7.7.0 24 13.0.0.2 ---- 配置到7.7.7.0网段的静态路由
[R3]ospf 1 router-id 3.3.3.3 ---- 启用OSPF进程1,配置Router-ID
[R3-ospf-1]area 0 ---- 加入OSPF区域0
[R3-ospf-1-area-0.0.0.0]network 13.0.0.0 0.0.0.255 ---- 宣告直连网段
[R3-ospf-1-area-0.0.0.0]network 23.0.0.0 0.0.0.255 ---- 宣告直连网段
[R3-ospf-1-area-0.0.0.0]network 3.3.3.0 0.0.0.255 ---- 宣告LoopBack网段
[R3-ospf-1-area-0.0.0.0]quit ---- 退出区域视图
[R3-ospf-1]quit ---- 退出OSPF视图
[R3]acl number 3000 ---- 创建高级ACL 3000
[R3-acl-ipv4-adv-3000]rule 0 permit ip source 30.0.0.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 ---- 允许PC5网段访问R1的LoopBack网段
[R3-acl-ipv4-adv-3000]rule 5 deny ip source 40.0.0.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 ---- 拒绝PC6网段访问R1的LoopBack网段
[R3-acl-ipv4-adv-3000]quit ---- 退出ACL视图
[R3]interface ge0/2 ---- 进入GE0/2接口
[R3-GigabitEthernet0/2]packet-filter 3000 inbound ---- 在接口入方向应用ACL 3000
[R3-GigabitEthernet0/2]quit ---- 退出接口视图
R1 配置:
<H3C>system-view ---- 进入系统视图
[H3C]sysname R1 ---- 设备重命名为R1
[R1]interface ge0/0 ---- 进入GE0/0接口
[R1-GigabitEthernet0/0]ip address 12.0.0.2 24 ---- 配置接口IP
[R1-GigabitEthernet0/0]quit ---- 退出接口视图
[R1]interface ge0/1 ---- 进入GE0/1接口
[R1-GigabitEthernet0/1]ip address 13.0.0.2 24 ---- 配置接口IP
[R1-GigabitEthernet0/1]quit ---- 退出接口视图
[R1]interface ge0/2 ---- 进入GE0/2接口
[R1-GigabitEthernet0/2]ip address 172.16.17.1 30 ---- 配置与外部互联网互联的接口IP
[R1-GigabitEthernet0/2]quit ---- 退出接口视图
[R1]interface loopback 0 ---- 进入LoopBack0接口
[R1-LoopBack0]ip address 1.1.1.1 24 ---- 配置路由器LoopBack地址
[R1-LoopBack0]quit ---- 退出接口视图
[R1]ospf 1 router-id 1.1.1.1 ---- 启用OSPF进程1,配置Router-ID
[R1-ospf-1]area 0 ---- 加入OSPF区域0
[R1-ospf-1-area-0.0.0.0]network 12.0.0.0 0.0.0.255 ---- 宣告直连网段
[R1-ospf-1-area-0.0.0.0]network 13.0.0.0 0.0.0.255 ---- 宣告直连网段
[R1-ospf-1-area-0.0.0.0]network 1.1.1.0 0.0.0.255 ---- 宣告LoopBack网段
[R1-ospf-1-area-0.0.0.0]quit ---- 退出区域视图
[R1-ospf-1]quit ---- 退出OSPF视图
[R1]nat address-group 1 ---- 创建NAT地址池1
[R1-address-group-1]address 172.16.17.10 172.16.17.20 ---- 配置地址池范围
[R1-address-group-1]quit ---- 退出地址池视图
[R1]acl number 3000 ---- 创建高级ACL 3000
[R1-acl-ipv4-adv-3000]rule 0 permit ip source 30.0.0.0 0.0.0.255 destination 7.7.7.0 0.0.0.255 ---- 允许PC5网段访问7.7.7.0网段
[R1-acl-ipv4-adv-3000]rule 5 permit ip source 40.0.0.0 0.0.0.255 destination 7.7.7.0 0.0.0.255 ---- 允许PC6网段访问7.7.7.0网段
[R1-acl-ipv4-adv-3000]quit ---- 退出ACL视图
[R1]interface ge0/2 ---- 进入GE0/2接口
[R1-GigabitEthernet0/2]nat outbound 3000 address-group 1 ---- 启用NAT,将ACL 3000匹配的流量通过地址池1转换
[R1-GigabitEthernet0/2]quit ---- 退出接口视图
[R1]ip route-static 4.4.4.0 24 12.0.0.1 ---- 配置到4.4.4.0网段的静态路由
[R1]ip route-static 4.4.4.0 24 13.0.0.1 ---- 配置到4.4.4.0网段的静态路由
[R1]ip route-static 30.0.0.0 24 12.0.0.1 ---- 配置到30.0.0.0网段的静态路由
[R1]ip route-static 30.0.0.0 24 13.0.0.1 ---- 配置到30.0.0.0网段的静态路由
[R1]ip route-static 40.0.0.0 24 12.0.0.1 ---- 配置到40.0.0.0网段的静态路由
[R1]ip route-static 40.0.0.0 24 13.0.0.1 ---- 配置到40.0.0.0网段的静态路由
[R1]ip route-static 10.0.0.0 24 12.0.0.1 ---- 配置到10.0.0.0网段的静态路由
[R1]ip route-static 20.0.0.0 24 13.0.0.1 ---- 配置到20.0.0.0网段的静态路由
[R1]ip route-static 7.7.7.0 24 172.16.17.2 ---- 配置到7.7.7.0网段的静态路由
R7 配置:
<H3C>system-view ---- 进入系统视图
[H3C]sysname R7 ---- 设备重命名为R7
[R7]interface ge0/0 ---- 进入GE0/0接口
[R7-GigabitEthernet0/0]ip address 172.16.17.2 30 ---- 配置与R1互联的接口IP
[R7-GigabitEthernet0/0]quit ---- 退出接口视图
[R7]interface LoopBack 0 ---- 进入LoopBack0接口
[R7-LoopBack0]ip address 7.7.7.7 24 ---- 配置路由器LoopBack地址(模拟外部互联网)
[R7-LoopBack0]quit ---- 退出接口视图
[R7]ip route-static 0.0.0.0 0.0.0.0 172.16.17.1 ---- 配置默认路由指向R1
八、实验结果
1. 验证 DHCP 地址分配
在 PC5 和 PC6 上查看 IP 地址,确认 PC5 获取到30.0.0.1/24,PC6 获取到40.0.0.1/24,网关分别为30.0.0.2和40.0.0.2,DHCP 中继配置生效。
PC5:
PC6:
2. 验证 OSPF 路由互通
在 R1、R2、R3 上执行display ospf peer,OSPF 邻居状态为Full;执行display ip routing-table,存在到对方 LoopBack 地址及直连网段的 OSPF 路由,动态路由互联正常。
R1:
R2:
R3:
3. 验证 ACL 访问控制
PC5 ping R1 的 LoopBack 地址1.1.1.1,能 ping 通;
PC6 ping R1 的 LoopBack 地址1.1.1.1,无法 ping 通,ACL 规则精准生效。
4. 验证 NAT 访问外部互联网
PC5 和 PC6 分别 ping 7.7.7.7,均能 ping 通;在 R1 上执行display nat session,可看到 NAT 转换会话,私网流量成功通过 NAT 访问外部网段。
PC5 ping 7.7.7.7:
PC5 ping 7.7.7.7 第一次转公网IP
PC6 ping 7.7.7.7:
PC6 ping 7.7.7.7 第一次转公网IP
九、结论
本实验成功构建了分层架构的中小型企业网络,整合了OSPF 动态路由、DHCP 中继、NAT 地址转换、ACL 访问控制等核心技术。PC5 和 PC6 通过 DHCP 获取地址后,可按需访问内部资源(PC5 允许访问 R1 的 LoopBack 地址,PC6 拒绝)及外部互联网(7.7.7.7),所有配置完全满足实验要求,达成预期目标。
十、总结
本实验体现了企业网络 “分层设计、功能分离、安全可控” 的架构理念:
OSPF 用于核心与汇聚层的动态路由互联,减少静态路由维护成本;
DHCP 中继 实现接入层对多 VLAN 网段的地址分配,简化地址管理;
NAT 解决私网访问公网的地址冲突问题;
ACL 实现基于网段的细粒度访问控制,保障网络安全。
各技术模块配置逻辑清晰,验证步骤完整,可作为企业网络部署的参考范例,为复杂网络场景的技术整合提供了实践思路。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
