HCIA（终）eNSP网络基础综合实验：静态路由、OSPF动态路由、Telnet连接、NAT地址转换、ACL规则配置

路由管理帮助用户认识到设备为了实现数据的转发，路由设备、路由表和路由协议是必不可少的。还可以帮助用户对路由设备，路由表有初步认识，知悉路由协议是用于发现路由，生成路由表，路由表中保存了各种路由协议发现的路由，路由设备用来选择路由，实现数据转发。 
eNSP是图形化网络仿真平台，该平台通过对真实网络设备的仿真模拟，帮助广大ICT从业者和客户快速熟悉华为数通系列产品，了解并掌握相关产品的操作和配置、提升对企业ICT网络的规划、建设、运维能力，从而帮助企业构建更高效，更优质的企业ICT网络。

HCIA的最后一个综合实验，使用课程中的技术，提高综合运用能力，解决实际网络问题，主要考查：

1. 掌握IP地址配置、VLAN及IP规划。
2. 理解OSPF协议的工作原理及配置方法。
3. 掌握NAT、ACL的配置和使用。
4. 理解静态路由和默认路由的应用。
5. 掌握DHCP、Telnet的配置与登录。

题目

网络拓扑：

实验要求：

1. ISP路由器仅配置IP地址
2. test-1和test-2仅作为代替终端设备进行测试使用，路由采用静态路由
3. R1/R2之间使用OSPF做到内网全通，单区域，OSPF使用一条命令进行宣告（直接宣告192.168.1.0网段）；
   router-ID分别为1.1.1.1和2.2.2.2；OSPF进程为1
4. PC1-PC4使用DHCP获取地址，地址池名称使用1，2
5. PC1不能访问PC5，acl编号为3000
6. R2出口只拥有一个公网IP
7. test-1设备可以登录内网telnet服务器，test-2不行；acl编号为3000
8. telnet服务器的账号密码为huawei/123456
9. 内网用户可以正常访问ISP（边界做默认路由）
10. 公网设备的路由表不能有私网的路由，使用nat（acl编号为2000）
11. 内网设备的路由表不能有公网的路由，边界下发默认路由
12. VLAN及IP规划如下（所有trunk链路按照最少VLAN透传原则放通）

IP规划：

全网可达

要求：
	4、PC1-PC4使用DHCP获取地址，地址池名称使用1，2
	11、内网设备的路由表不能有公网的路由，边界下发默认路由
	12、VLAN及IP规划

内网1

交换机1配置

1. 新增VLAN2、VLAN3、VLAN4，
2. 并配置g0/0/2接口绑定VLAN2，
3. g0/0/3接口绑定VLAN3，
4. g0/0/4接口绑定VLAN4，
5. g0/0/1接口设置主干道并允许通过VLAN2、3、4：

[Huawei]vlan batch 2 to 4
[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2

[Huawei-GigabitEthernet0/0/2]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3

[Huawei-GigabitEthernet0/0/3]int g 0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 4

[Huawei-GigabitEthernet0/0/4]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 4

并使用display vlan查看虚拟局域网配置情况：

路由器1配置

单臂路由（router-on-a-stick）是指在路由器的一个接口上通过配置子接口（或“逻辑接口”，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通。
dot1q就是802.1q，配置trunk的封装协议，vlan的一种封装方式 先根据《IP规划》给路由器配置两个DHCP地址池

[Huawei]dhcp enable
[Huawei]ip pool 1
[Huawei-ip-pool-1]net 192.168.1.0 mask 27
[Huawei-ip-pool-1]dns 8.8.8.8
[Huawei-ip-pool-1]gate 192.168.1.30
[Huawei-ip-pool-1]q
[Huawei]ip pool 2
[Huawei-ip-pool-2]net 192.168.1.32 mask 27
[Huawei-ip-pool-2]dns 8.8.8.8
[Huawei-ip-pool-2]gate 192.168.1.62

然后给g0/0/0的物理接口划分成多个逻辑接口实现单臂路由：

1. g0/0/0.1配置VLAN2，网关192.168.1.30、开启ARP广播、DHCP
2. g0/0/0.2配置VLAN3，网关192.168.1.62、开启ARP广播、DHCP
3. g0/0/0.3配置VLAN4，网关192.168.1.158、开启ARP广播

[Huawei]int g 0/0/0.1
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 2
[Huawei-GigabitEthernet0/0/0.1]ip ad 192.168.1.30 27
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.1]dhcp global enable

[Huawei-GigabitEthernet0/0/0.1]int g 0/0/0.2
[Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 3
[Huawei-GigabitEthernet0/0/0.2]ip ad 192.168.1.62 27
[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.2]dhcp select global

[Huawei-GigabitEthernet0/0/0.2]int g 0/0/0.3
[Huawei-GigabitEthernet0/0/0.3]dot1q termination vid 4
[Huawei-GigabitEthernet0/0/0.3]ip ad 192.168.1.158 27
[Huawei-GigabitEthernet0/0/0.3]arp broadcast enable

最后设置g0/0/1接口地址为192.168.1.161/27：

[Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]ip ad 192.168.1.161 27

查看接口信息：

内网2

同理为内网2配置基本IP

交换机2

1. 新增VLAN20、VLAN30
2. 并配置g0/0/2接口绑定VLAN20，
3. g0/0/3接口绑定VLAN30，
4. g0/0/1接口设置主干道并允许通过VLAN20、30

[Huawei]vlan batch 20 30

[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 20

[Huawei-GigabitEthernet0/0/2]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 30

[Huawei-GigabitEthernet0/0/3]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 20 30

路由器2配置

要求：
	6、R2出口只拥有一个公网IP

先根据《IP规划》给路由器2配置两个DHCP地址池：

[Huawei]dhcp enable
[Huawei]ip pool 1
[Huawei-ip-pool-1]net 192.168.1.64 mask 27
[Huawei-ip-pool-1]dns 8.8.8.8
[Huawei-ip-pool-1]gate 192.168.1.94

[Huawei-ip-pool-1]ip pool 2
[Huawei-ip-pool-2]net 192.168.1.96 mask 27
[Huawei-ip-pool-2]dns 8.8.8.8
[Huawei-ip-pool-2]gate 192.168.1.126

然后给g0/0/0实现单臂路由：

1. g0/0/0.1配置VLAN20，网关192.168.1.94、开启ARP广播、DHCP
2. g0/0/0.2配置VLAN30，网关192.168.1.126、开启ARP广播、DHCP

[Huawei]int g 0/0/0.1
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 20
[Huawei-GigabitEthernet0/0/0.1]ip ad 192.168.1.94 27
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.1]dhcp select global

[Huawei-GigabitEthernet0/0/0.1]int g 0/0/0.2
[Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 30
[Huawei-GigabitEthernet0/0/0.2]ip ad 192.168.1.126 27
[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.2]dhcp select global

设置接口g0/0/1静态地址为192.168.1.162
设置接口g0/0/2静态地址为202.1.1.1：

[Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]ip ad 192.168.1.162 27
[Huawei-GigabitEthernet0/0/1]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]ip ad 202.1.1.1 30

展示当前接口情况：

OSPF宣告

要求：
	3、R1/R2之间使用OSPF做到内网全通，单区域，OSPF使用一条命令进行宣告（直接宣告192.168.1.0网段）；router-ID分别为1.1.1.1和2.2.2.2；OSPF进程为1

路由器1配置

[Huawei]ospf 1 router-id 1.1.1.1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]net 192.168.1.0 0.0.0.255

路由器2配置

[Huawei]ospf 1 router-id 2.2.2.2
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]net 192.168.1.0 0.0.0.255

宣告完成后等待双方成为邻接关系，查看当前路由表：

测试连通性

PC1 Ping通 PC2、PC3、PC4测试连接情况：

ISP网络配置

要求：
	1、ISP路由器仅配置IP地址
	2、test-1和test-2仅作为代替终端设备进行测试使用，路由采用静态路由

ISP路由器根据《IP规划》为接口配置IP：

[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 202.1.1.2 30
[Huawei-GigabitEthernet0/0/0]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]ip ad 203.1.1.254 24

test-1配置IP和缺省路由：

[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 203.1.1.1 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 0.0.0.0 0 203.1.1.254

test-2配置IP和缺省路由：

[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 203.1.1.2 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 0.0.0.0 0 203.1.1.254

PC5配置：

NAT

要求：
	10、公网设备的路由表不能有私网的路由，使用nat（acl编号为2000）

在访问外网时可以使用ACL技术进行抓取内网流量，在R2路由器上将源地址为192.168.1.0/24网段的流量抓取向外网发送，这样内网地址转换为可用的公网地址12.1.1.1

[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]nat outbound 2000

边界路由

要求：
	9、内网用户可以正常访问ISP（边界做默认路由）

路由器2设置缺省路由访问ISP网络并下发默认路由：

[Huawei]ip route-static 0.0.0.0 0 202.1.1.2
[Huawei]ospf 1 router-id 2.2.2.2
[Huawei-ospf-1]default-route-advertise 

连接

测试内网与外网连接情况：

到此就完成全网可达，即题目1、2、3、4、6、9、10、11、12。

其它配置

Telnet

要求：
	8、telnet服务器的账号密码为huawei/123456

配置Telnet服务器的IP和设置缺省路由

[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 192.168.1.129 27
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 0.0.0.0 0 192.168.1.158

进入AAA谁管理配置Telent服务器的账号密码为huawei/123456、并允许建立五个设备进行Telnet会话：

[Huawei]aaa
[Huawei-aaa]local-user huawei privilege level 15 password cipher 123456
[Huawei-aaa]local-user huawei service-type telnet
[Huawei-aaa]q
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode aaa

ACL

路由器1配置

要求：
	5、PC1不能访问PC5，acl编号为3000

进入R1路由器配置ACL规则 ，不允许来源PC1的IP访问目标为PC5的IP：

[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny ip source 192.168.1.29 0 destination 203.1.1.100 0
[Huawei-acl-adv-3000]int g 0/0/0.1
[Huawei-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000

测试

结果为PC1无法Ping通PC5，测试通过：

路由器2配置

要求：
	7、test-1设备可以登录内网telnet服务器，test-2不行；acl编号为3000

配置高级ACL拒绝test-2IP访问Telnet端口：

[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny tcp source 203.1.1.2 0 destination-port eq 23
[Huawei-acl-adv-3000]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]traffic-filter inbound acl 3000

配置路由器访问该接口的Telnet商品时转换为Telnet服务器的内网IP：

[Huawei-GigabitEthernet0/0/2]nat server protocol tcp global current-interface telnet inside 192.168.1.129 telnet
Warning:The port 23 is well-known port. If you continue it may cause function fa
ilure.
Are you sure to continue?[Y/N]:Y

测试test-1设备登录Telnet服务器：

可以登录。
再测试test-2能否登录Telnet：

被拒绝登录了，证明策略成功。

结果

到此12个配置要求全部测试通过，算是HCIA学习阶段的一个综合性实验，且意义在于：

1. 实际模拟网络环境，加深对网络技术的理解。
2. 掌握实际工作中常见的网络配置方法。
3. 提高解决复杂网络问题的能力。
4. 为将来的工作实践打下基础。

拓展思路：

• 深入研究OSPF协议，了解其他OSPF区域类型及配置方法。
• 探索其他路由协议如EIGRP、BGP等，比较不同路由协议的优缺点。
• 深入了解NAT的其他类型和应用场景。
• 研究ACL的高级用法，如基于时间的ACL、动态ACL等。
• 探索如何优化网络性能，如使用策略路由、QoS等。