Jump to content
Калькуляторы

эмулятор Huawei eNSP моделирование сети

Всем доброго дня.Может кто сталкивался с Huawei eNSP? Для дипломного проекта спроектировал в eNSP сеть, не могу разобраться как настроить маршрутизацию между VLAN, точнее настроить ее можно - хосты с разных влан видят друг-друга. А как сделать чтоб, например, все vlanы видели только один vlan, но не видели другие?

Share this post


Link to post
Share on other sites

вы путаете тёплое с мягким. маршрутизация может быть между сетями, а уж как эти сети разделены (физически, vlan, etc) - маршрутизатору пофик.

то, что вы хотите - access list. на каждый ip-интерфейс вешаете акцес лист, в нём рисуете правила хождения трафика.

Share this post


Link to post
Share on other sites

вы путаете тёплое с мягким. маршрутизация может быть между сетями, а уж как эти сети разделены (физически, vlan, etc) - маршрутизатору пофик.

то, что вы хотите - access list. на каждый ip-интерфейс вешаете акцес лист, в нём рисуете правила хождения трафика.

access list-ами я пробовал, конфигурировал точно по инструкции.В Cisco Packet Traser все работает, а вот с Huawei не идет. Может дело в эмуляторе, проверить на реальном оборудование нет возможности.

Share this post


Link to post
Share on other sites

[Huawei]acl 3100 //создали лист

[Huawei-acl-adv-3100]rule permit(либо deny) ip source 192.168.12.0 0.0.0.255 destination 19 2.168.13.0 0.0.0.255 //создали правило

Share this post


Link to post
Share on other sites

tihon85

На хуавее обычно блокируют/разрешают трафик с помощью traffic-policy

 

пишите traff class (в котором используете ACL-и с permit)

потом пишите traff behavior. если надо блокировать, то пишите deny

 

в traff policy связываете classifier-ы и behavior-ы , затем применяете traff policy на интерфейс

Share this post


Link to post
Share on other sites

ну я обычно пишу через 2 акли.

acl 3000 
rule permit ip source 192.168.0.0 0.0.0.255 
acl 3001
rule deny ip

traffic classifier access oper and
if-match acl 3000
traffic classifier reject oper and
if-match acl 3001

traffic behavior access
permit
traffic behavior reject
deny

traffic policy pol
classifier access behavior access
classifier reject behavior reject

 

А потом на порту уже

 

 traffic-policy pol inbound

Share this post


Link to post
Share on other sites

Сконфигурировал я коммутатор, применил настройки traffic-policy, трафик между разными сетями, где необходимо идет, где запрещено там нет. Все это замечательно, но это в примере одного коммутатора и на каждом порту свой VLAN. В реальности сеть больше, маршрутизацию должен выполнять маршрутизатор, подключенный к внутренней сети через интерфейс, разделенный на подинтерфейсы (количество подинтерфейсов соответствует числу VLAN в сети. Вопрос в следующем - применимы ли настройки traffic-policy к подинтерфейсам на маршрутизаторе? Конфигурируя подинтерфейсы по аналогии с простым примером, трафик между сетями (виланами) не идет. Либо я что-то не так делаю, либо сам эмулятор Huawei eNSP в этом плане "подрезан".

post-124916-006642600 1422209803_thumb.jpg

Share this post


Link to post
Share on other sites

tihon85

конфиги выкладывайте и говорите с какого source на какой destination не идёт и куда(на какой саб) приходит пакет

Share this post


Link to post
Share on other sites

для наглядности сеть упростил,с конфигурацией коммутатора, я думаю все просто, порты на компьютеры в режиме access, порт на маршрутизатор trunk со всеми виланами.На схеме сети стрелками указаны нужный трафик, перечеркнутые стрелки, где не нужен.Весь трафик должен идти через маршрутизатор.

 

vlan batch 10 20 30 40

#

stp disable

#

set cpu-usage threshold 80 restore 75

#

acl number 3002

rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

acl number 3003

rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

#

traffic classifier c_market operator or

if-match acl 3002

traffic classifier c_rd operator or

if-match acl 3003

#

traffic behavior b_market

deny

#

traffic policy p_market

classifier c_market behavior b_market

traffic policy p_rd

#

interface Vlanif10

ip address 192.168.1.1 255.255.255.0

#

interface Vlanif20

ip address 192.168.2.1 255.255.255.0

#

interface Vlanif30

ip address 192.168.3.1 255.255.255.0

#

interface Vlanif40

ip address 192.168.4.1 255.255.255.0

#

interface GigabitEthernet0/0/0

#

interface GigabitEthernet0/0/1

#

interface GigabitEthernet0/0/1.1

dot1q termination vid 10

#

interface GigabitEthernet0/0/1.2

dot1q termination vid 20

traffic-policy p_market inbound

#

interface GigabitEthernet0/0/1.3

dot1q termination vid 30

#

interface GigabitEthernet0/0/1.4

dot1q termination vid 40

traffic-policy p_rd inbound

пппппп.bmp

post-124916-031894600 1422214852_thumb.jpg

Edited by tihon85

Share this post


Link to post
Share on other sites

обычно traffic-policy вешают там же, где и висит ip-адрес. зачем вы вообще так сделали?(повесили ip адрес на интерфейс-влан, а не саб)

 

без traffic-policy оно вообще работает? (трафик маршрутизируется, но не режется?)

Share this post


Link to post
Share on other sites

в том то и дело что без traffic-policy тоже не работает, хотя по логике должен маршрутизироваться. пробовал вместо маршрутизатора коммутатор, связывал его с первым через транк интерфейс и создавал влан интерфейсы во втором коммутаторе, в итоге все компьютеры с разных виланов видят друг друга.

Share this post


Link to post
Share on other sites

повесьте ip-адреса в сабы.

 

то, как у вас сейчас настроено я не знаю как должно работать, скорее всего никак

 

покажите dis ip rout и dis interface brief

Share this post


Link to post
Share on other sites

с ip адресами в сабах тоже не работает. Значит первоначально настройки не те. С traffic-policy столкнулся впервые, да и вообще с huawei. Попробую объяснить сначала, подскажите, пожалуста, как сконфигурировать и где я не прав. Дана сеть, в сети коммутатор и маршрутизатор, даны четыре вилана - 10,20,30,40. 30 вилан предназначен для подключения сервера.Необходимо сконфигурировать так, чтобы трафик был между 30 виланом и остальными, но между остальными виланами 10,20 и 40 трафика не было(проще говоря, все видят сервер, но не видят друг друга).Важно - маршрутизация трафика в маршрутизаторе. С коммутатором все понятно- создаем виланы, конфигурируем порты,вешаем на них виланы. Маршрутизатор-конфигурируем подинтерфейсы:

[Huawei-GigabitEthernet0/0/1.1]dot1q termination vid 10

[Huawei-GigabitEthernet0/0/1.1]ip address 192.168.1.1 24

и так четыре подинтерфейса,под каждый вилан

создаем ACL:

acl number 3005

rule 5 permit ip source any destination 192.168.3.0 0.0.0.255 // разрешили трафик между всеми и сетью сервера

далее запретил трафик между остальными сетями:

rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

rule 15 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255

rule 20 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.0 0.0.0.255

а как действовать дальше не пойму.

post-124916-036810400 1422384421_thumb.jpg

Share this post


Link to post
Share on other sites

в такой конфигурации у вас все хосты должны друг друга пинговать, пока трафик полиси не повесите на интерфейс.

На хуавее, в отличи от циски, ацл непосредственно к интерфейсу не прикручивается. Поэтому, фильтровать надо через трафик-полиси.

Share this post


Link to post
Share on other sites

т.е. , согласно хорошему примеру выше, вам надо что-то вроде:

acl 3000

rule permit ip source any destination 192.168.3.0 0.0.0.25

acl 3001

rule deny ip

 

traffic classifier access oper and

if-match acl 3000

traffic classifier reject oper and

if-match acl 3001

 

traffic behavior access

permit

traffic behavior reject

deny

 

traffic policy client-pol

classifier access behavior access

classifier reject behavior reject

 

 

Huawei-GigabitEthernet0/0/1.10

traffic-policy client-pol inbound

Huawei-GigabitEthernet0/0/1.20

traffic-policy client-pol inbound

Huawei-GigabitEthernet0/0/1.40

traffic-policy client-pol inbound

Share this post


Link to post
Share on other sites

спасибо большое за подсказку в конфигурировании, сегодня попробую запустить

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this