复杂网络多区域 OSPF 与访问控制(ACL)实验

已于 2025-07-11 16:32:42 修改
阅读量732 收藏 10
点赞数 16
CC 4.0 BY-SA版权
文章标签: 网络 php 开发语言 智能路由器 运维 网络安全
于 2025-07-11 16:30:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t_suifeng/article/details/149277472

复杂网络多区域 OSPF 与访问控制实验文档

一、实验用途和意义

(一)用途

本实验围绕多区域 OSPF 部署与精细化访问控制展开,模拟企业级复杂网络场景:

  • 验证多区域 OSPF 架构中,跨区域路由传递、环回口宣告及网络收敛性。

  • 通过 ACL(访问控制列表)、策略路由等技术,实现不同网段(如 PC 所属网段)间的精细访问控制,模拟生产网中 “特定终端访问限制” 需求(如办公终端与服务器网段的访问隔离)。

  • 结合链路 down 操作,测试网络冗余与故障自愈能力,验证 OSPF 动态选路机制。

(二)意义

  1. 技术深化:掌握多区域 OSPF 配置(含骨干区域、非骨干区域规划)、环回口管理、路由策略与 ACL 联动,解决复杂网络中 “广域互联 + 访问安全” 双重需求。

  2. 场景适配:覆盖企业网络常见需求(如终端访问限制、链路冗余测试、全网可达性验证),为实际网络部署提供可复用的配置模板与排障思路。

  3. 排障强化:通过链路故障模拟、访问控制测试,熟悉 OSPF 邻居状态变化、路由表收敛过程,以及 ACL 规则调试方法,提升复杂网络运维能力。

二、实验拓扑

在这里插入图片描述

三、实验需求

  1. 基础配置:按拓扑配置设备接口 IP、环回口 IP(每台路由器 2 个环回口 )。

  2. OSPF 部署:按图示划分区域(area 0 为骨干区域,area 1、area 2 为非骨干区域 ),宣告所有接口网段及环回口到对应 OSPF 区域。

  3. 连通性验证

    • PC6 能 ping 通 PC7,且能访问 R1 - R5 所有环回口。
    • 模拟链路故障:在 R3 上 down 掉 GE_0/2、GE_0/1 接口,测试网络连通性并追踪路由。
  1. 访问控制
    • PC6 不能访问 192.168.4.0/24,但可访问其他网段;PC7 不能访问 192.168.1.0/24,但可访问其他网段。
    • 要求PC6不能访问PC7,但PC7可以访问PC6
    • PC6 不能 ping 通 R2 所有环回口,可访问其他网段;PC7 不能 ping 通 R1 所有环回口,可访问其他网段。
    • PC6 不能 ping 通 R5 所有环回口,可访问其他网段。

四、实验步骤(代码以华为设备 CLI 为例,其他厂商适配调整 )

步骤 1:基础 IP 与环回口配置(以R1为例)

<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]hostname r1
[r1]int g0/0
[r1-GigabitEthernet0/0]ip add 192.168.1.1 24
[r1]int g0/1
[r1-GigabitEthernet0/1]ip add 192.168.6.254 24
[r1-GigabitEthernet0/1]int lo0
[r1-LoopBack0]ip add 1.1.1.1 32
[r1-LoopBack0]int lo1
[r1-LoopBack1]ip add 11.11.11.11 32
[r1-LoopBack1]exit

步骤 2:多区域 OSPF 配置(以R3为例,其他路由器按区域号宣告相应物理接口网段)

代码逻辑:启用 OSPF 进程,按拓扑划分区域,宣告接口网段及环回口(环回口需精确宣告,如 32 位掩码用 0.0.0.0 反掩码 )。

[r3]ospf 1 router-id 3.3.3.3 # 用环回口IP 作为 Router-id 
[r3-ospf-1]area 0
[r3-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[r3-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[r3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
[r3-ospf-1-area-0.0.0.0]network 33.33.33.33 0.0.0.0
[r3-ospf-1-area-0.0.0.0]exit
[r3-ospf-1]area 2
[r3-ospf-1-area-0.0.0.2]network 192.168.1.0 0.0.0.255
[r3-ospf-1-area-0.0.0.2]exit

步骤 3:基础连通性验证(预配置检查)

代码说明:测试 PC 互通性。

<H3C>ping 192.168.7.7# 用pc6 ping pc7 
Ping 192.168.7.7 (192.168.7.7): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.7.7: icmp_seq=0 ttl=251 time=6.798 ms
56 bytes from 192.168.7.7: icmp_seq=1 ttl=251 time=7.752 ms
56 bytes from 192.168.7.7: icmp_seq=2 ttl=251 time=4.979 ms
56 bytes from 192.168.7.7: icmp_seq=3 ttl=251 time=6.141 ms
56 bytes from 192.168.7.7: icmp_seq=4 ttl=251 time=5.550 ms

--- Ping statistics for 192.168.7.7 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 4.979/6.244/7.752/0.967 ms

步骤 4:链路故障模拟与测试

代码逻辑:在每个路由器上面利用ip ttl-expires enable开启路由追踪,然后在 R3 上手动关闭接口,测试网络收敛性。

关闭g0/2,在pc6上面tracert pc7(记得后面要恢复 用undo shutdown):
[r3]int g0/2
[r3-GigabitEthernet0/2]shutdown

pc6:
<H3C>tracert 192.168.7.7
traceroute to 192.168.7.7 (192.168.7.7), 30 hops at most, 40 bytes each packet, press CTRL_C to break
 1  192.168.6.254 (192.168.6.254)  1.002 ms  2.182 ms  1.115 ms
 2  192.168.1.3 (192.168.1.3)  1.213 ms  2.312 ms  1.673 ms
 3  192.168.4.4 (192.168.4.4)  5.126 ms  3.350 ms  2.464 ms
 4  192.168.5.2 (192.168.5.2)  5.208 ms  5.443 ms  5.782 ms
 5
关闭g0/1,在pc6上面tracert pc7(记得后面要恢复 用undo shutdown):
[r3]int g0/1
[r3-GigabitEthernet0/1]shutdown

pc6:
<H3C>tracert 192.168.7.7
traceroute to 192.168.7.7 (192.168.7.7), 30 hops at most, 40 bytes each packet, press CTRL_C to break
 1  192.168.6.254 (192.168.6.254)  2.200 ms  0.830 ms  0.583 ms
 2  192.168.1.3 (192.168.1.3)  1.114 ms  2.539 ms  1.147 ms
 3  192.168.2.5 (192.168.2.5)  2.965 ms  1.852 ms  2.143 ms
 4  192.168.3.4 (192.168.3.4)  3.677 ms  2.790 ms  2.810 ms
 5  192.168.5.2 (192.168.5.2)  2.433 ms  2.540 ms  2.964 ms
 6

步骤 5:访问控制配置(ACL + 策略路由 / 接口应用 )

代码逻辑:通过 ACL 定义 “禁止访问的网段 / IP”,在接口或路由策略中调用,实现精细控制。

  1. PC6 不能访问 192.168.4.0/24,但可访问其他网段;PC7 不能访问 192.168.1.0/24,但可访问其他网段。在R1和R2中配置ACL
R1:
[r1]acl advanced 3000
[r1-acl-ipv4-adv-3000]rule deny icmp source 192.168.6.0 0.0.0.255 destination 19
2.168.4.0 0.0.0.255# PC6 网段 → 禁止4.0网段  
[r1-acl-ipv4-adv-3000]exit
[r1]int g0/1# 接口调用
[r1-GigabitEthernet0/1]packet-filter 3000 inbound# 入方向应用 ACL 
[r1-GigabitEthernet0/1]exit

R2:
[r2]acl advanced 3000
[r2-acl-ipv4-adv-3000]rule deny icmp source 192.168.7.0 0.0.0.255 destination 19
2.168.1.0 0.0.0.255# PC7 网段 → 禁止1.0网段 
[r2-acl-ipv4-adv-3000]exit
[r2]int g0/1# 接口调用
[r2-GigabitEthernet0/1]packet-filter 3000 inbound# 入方向应用 ACL
[r2-GigabitEthernet0/1]exit
  1. 要求PC6不能访问PC7,但PC7可以访问PC6,在R1中配置ACL
[r1]acl advanced 3000
[r1-acl-ipv4-adv-3000]rule deny icmp source 192.168.6.6 0 destination 192.168.7.
7 0# PC6 地址 → 禁止访问PC7地址
[r1-acl-ipv4-adv-3000]rule 4 permit icmp source 192.168.6.6 0 destination 192.16
8.7.7 0 icmp-type echo-reply# 允许回复包到达
[r1-acl-ipv4-adv-3000]exit
  1. PC6 不能 ping 通 R2 所有环回口,可访问其他网段;PC7 不能 ping 通 R1 所有环回口,可访问其他网段。在R1和R2中配置ACL
R1:
[r1]acl advanced 3000
[r1-acl-ipv4-adv-3000]rule deny icmp source 192.168.6.6 0 destination 2.2.2.2 0
[r1-acl-ipv4-adv-3000]rule deny icmp source 192.168.6.6 0 destination 22.22.22.2
2 0

R2:
[r2]acl advanced 3000
[r2-acl-ipv4-adv-3000]rule deny icmp source 192.168.7.7 0 destination 1.1.1.1 0
[r2-acl-ipv4-adv-3000]rule deny icmp source 192.168.7.7 0 destination 11.11.11.11 0
  1. PC6 不能 ping 通 R5 所有环回口,可访问其他网段。在R1中配置ACL
[r1]acl advanced 3000
[r1-acl-ipv4-adv-3000]rule deny icmp source 192.168.6.6 0 destination 5.5.5.5 0
[r1-acl-ipv4-adv-3000]rule deny icmp source 192.168.6.6 0 destination 55.55.55.5
5 0

步骤 6:最终连通性验证

代码说明:按需求逐项验证访问控制与互通性。

  1. PC6 测试访问 192.168.4.0/24(应不通) C7 测试访问 192.168.1.0/24(应不通)
PC6:
<H3C>ping 192.168.4.3
Ping 192.168.4.3 (192.168.4.3): 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

--- Ping statistics for 192.168.4.3 ---
5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss
<H3C>%Jul 11 16:10:05:716 2025 H3C PING/6/PING_STATISTICS: Ping statistics for 192.168.4.3: 5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss.
                    
RC7:
<H3C>ping 192.168.1.1
Ping 192.168.1.1 (192.168.1.1): 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

--- Ping statistics for 192.168.1.1 ---
5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss
  1. PC6不能访问PC7,但PC7可以访问PC6
PC6:
<H3C>ping 192.168.7.7
Ping 192.168.7.7 (192.168.7.7): 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

--- Ping statistics for 192.168.7.7 ---
5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss

PC7:
<H3C>ping 192.168.6.6
Ping 192.168.6.6 (192.168.6.6): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.6.6: icmp_seq=0 ttl=251 time=5.006 ms
56 bytes from 192.168.6.6: icmp_seq=1 ttl=251 time=5.499 ms
56 bytes from 192.168.6.6: icmp_seq=2 ttl=251 time=10.030 ms
56 bytes from 192.168.6.6: icmp_seq=3 ttl=251 time=5.751 ms
56 bytes from 192.168.6.6: icmp_seq=4 ttl=251 time=6.595 ms

--- Ping statistics for 192.168.6.6 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
  1. PC6 测试访问 R2 环回口(应不通) PC6 测试访问其他网段(如 R3 环回口,应通) PC7 测试访问 R1 环回口(应不通)
PC6:
<H3C>ping 2.2.2.2
Ping 2.2.2.2 (2.2.2.2): 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

--- Ping statistics for 2.2.2.2 ---
5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss

<H3C>ping 3.3.3.3
Ping 3.3.3.3 (3.3.3.3): 56 data bytes, press CTRL_C to break
56 bytes from 3.3.3.3: icmp_seq=0 ttl=254 time=3.571 ms
56 bytes from 3.3.3.3: icmp_seq=1 ttl=254 time=2.143 ms
56 bytes from 3.3.3.3: icmp_seq=2 ttl=254 time=2.570 ms
56 bytes from 3.3.3.3: icmp_seq=3 ttl=254 time=2.407 ms
56 bytes from 3.3.3.3: icmp_seq=4 ttl=254 time=3.833 ms

--- Ping statistics for 3.3.3.3 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss


PC7:
<H3C>ping 1.1.1.1
Ping 1.1.1.1 (1.1.1.1): 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

--- Ping statistics for 1.1.1.1 ---
5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss
  1. PC6 测试访问 R5 环回口(应不通)
<H3C>ping 5.5.5.5
Ping 5.5.5.5 (5.5.5.5): 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

--- Ping statistics for 5.5.5.5 ---
5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss

五、总结

  1. 核心价值
    • 验证多区域 OSPF 架构在复杂网络中的可行性,掌握环回口宣告、区域划分对路由收敛的影响。
    • 实现 “基于 ACL 的精细访问控制”,解决企业网中终端与特定网段、设备的隔离需求,强化网络安全性。
    • 模拟链路故障,验证 OSPF 动态选路与自愈能力,为网络冗余设计提供实践依据。
  1. 关键注意事项
    • OSPF 区域划分需严格遵循 “骨干区域(area 0)连通所有非骨干区域” 原则,否则可能引发路由黑洞。
    • ACL 规则需精准匹配 “源 / 目的网段”,并注意接口应用方向(inbound/outbound ),避免误封正常流量。
    • 路由引入与访问控制叠加时,需关注路由优先级与 ACL 执行顺序,防止出现 “路由存在但被 ACL 阻断” 等隐蔽问题。
  1. 扩展方向
    • 结合 OSPF 虚链路(Virtual Link) 解决非骨干区域跨骨干区域互联问题,模拟更复杂的网络拓扑。
    • 部署 QoS(Quality of Service) 与访问控制联动,保障关键业务流量优先通过,同时限制非授权访问。

通过本实验,可全面掌握多区域 OSPF 部署、链路冗余测试及精细化访问控制技术,为企业级复杂网络的规划、运维与优化提供完整解决方案。

失因
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值