華爲OSPF與ACL綜合應用實例講解

在企業中OSPF和ACL應用特別普遍，本文重點介紹ospf與acl用的實例講解。
    本實例企業拓撲圖以下：

項目案例要求：

1.企業內網運行OSPF路由協議，區域規劃如圖所示；
2.財務和研發所在的區域不受其餘區域鏈路不穩定性影響；
3.R一、R二、R3只容許被IT登陸管理；
4.YF和CW之間不能互通，但均可以與IT互通；
5.IT和YF能夠訪問Client1，但CW不能訪問Client1；
6.YF和CW只能訪問Server1的WWW服務；

項目規劃：

分析：
CW
1.YF和CW之間不能互通，但均可以與IT互通；
2.CW不能訪問Client1；
3.CW只能訪問Server1的WWW服務；
YF
1.YF和CW之間不能互通，但均可以與IT互通；
3.YF只能訪問Server1的WWW服務；
IT
1.R一、R二、R3只容許被IT登陸管理；
2.IT能夠訪問Client1；

項目實施：
階段一：配置基本網絡；

R1
sysname R1
interface GigabitEthernet0/0/0
ip address 1.1.1.254 255.255.255.0
interface GigabitEthernet0/0/1
ip address 192.168.12.1 255.255.255.0
interface GigabitEthernet0/0/2
ip address 192.168.13.1 255.255.255.0
quit
R2
sysname R2
interface GigabitEthernet0/0/0
ip address 192.168.12.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 192.168.10.254 255.255.255.0
interface GigabitEthernet0/0/2
ip address 192.168.20.254 255.255.255.0
quit
R3
sysname R3
interface GigabitEthernet0/0/0
ip address 192.168.13.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 192.168.30.254 255.255.255.0
interface GigabitEthernet0/0/2
ip address 192.168.40.254 255.255.255.0
quit

階段二：配置OSPF；

R1
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 192.168.12.0 0.0.0.255
network 192.168.13.0 0.0.0.255
area 0.0.0.1
network 1.1.1.0 0.0.0.255
quit
R2
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.12.0 0.0.0.255
area 0.0.0.2
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
stub no-summary
quit
R3
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 192.168.13.0 0.0.0.255
area 0.0.0.3
network 192.168.30.0 0.0.0.255
network 192.168.40.0 0.0.0.255
stub no-summary
quit
IT
sysname IT
interface GigabitEthernet0/0/0
ip address 192.168.10.1 255.255.255.0
ospf 1
area 0.0.0.2
network 192.168.10.0 0.0.0.255
stub
階段三：配置ACL,，知足企業需求；
財務部ACL設置
R3
acl number 2000
rule 10 permit source 192.168.10.0 0.0.0.255
user-interface vty 0 4
acl 2000 inbound
authentication-mode password
123
acl name cw
rule 10 deny ip source 192.168.30.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
rule 20 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 30 permit tcp source 192.168.30.0 0.0.0.255 destination 192.168.40.1 0 destination-port eq www
rule 40 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.40.1 0
interface GigabitEthernet0/0/1
traffic-filter inbound acl name cw
研發部ACL設置
R2
acl number 2000
rule 10 permit source 192.168.10.0 0.0.0.255
user-interface vty 0 4
acl 2000 inbound
authentication-mode password
123
acl name yf
rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule 20 permit tcp source 192.168.20.0 0.0.0.255 destination 192.168.40.1 0 destination-port eq www
rule 30 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
interface GigabitEthernet0/0/2
traffic-filter inbound acl 3name yf
IT部ACL設置
R1
acl number 2000
rule 10 permit source 192.168.10.0 0.0.0.255
user-interface vty 0 4
acl 2000 inbound
authentication-mode password
123
acl number 3000
rule 10 permit tcp source 1.1.1.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 destination-port eq www
rule 20 deny ip source 1.1.1.0 0.0.0.255 destination 192.168.40.1 0
interface GigabitEthernet0/0/1
traffic-filter inbound acl 3000

項目驗證：
    驗證一：在CW網絡進行驗證，以下
    財務能夠訪問server1服務器的web服務

但沒法ping通server1服務器

驗證二：在YF網絡進行驗證，以下

研發能夠訪問server1的web服務

但沒法ping通server1服務器

驗證三：R一、R二、R3只容許被IT登陸管理，以下

IT能夠登陸R2：

R1不能夠登錄R2：

因此項目要求驗證成功。。。。。。

        項目總結：
                    1.項目在配置ospf時必定要注意特殊區域的配置要完整；
                    2.在配置acl時要主要序列號和源、目標ip地址配置正確。