一、适用场景:
1、防止考试作弊。校园内,需要用到外网的某个考试站点时,只允许浏览器访问考试网站,别的网站不允许访问时(避免使用搜索引擎搜索参考或答案)。
2、网络流量给教学资源,杜绝网络娱乐沉迷。某些专业课程的学习,只允许学生访问某些教学资源时,根据专业系的要求,只对教学资源相关的外网存储、网盘、网站(能提供ip或域名进行控制)开放,不允许访问娱乐、游戏……之类的网站(精准开放学习资源,如视频、课件、文档等)。
3、网络监管设备相对完善。校园内有网络管理的设备与资源,能够对不同的网段提供访问控制的需求,如华为、H3C等网络设备(网络管理设备精准实现访问控制,本例采用的是华为设备)。
4、本例的网络资源限制或控制较严格,需要合理配置。适合于某些专业自备电脑,初学某专业指定的技能时,教学资源比较完备集中时(比如教学资源集中于某几个网站、或某几台服务器、或某些存储设备)。不合适的场景,比如:某些专业学习的内容复杂,需要用到很多类不同的资源时,则不合适使用此方法)。
二、网络拓扑图与需求:
(一)网络拓扑图:
(二)实际需求:
1、无线网区域的终端笔记本STA与终端手机STA连接教学AP1后,只允许访问HTTP server3,其他任何站点都不允许访问。(假设HTTP server1是搜索引擎网站,HTTP server2是商业网站,HTTP server3是考试酷网站)。
2、无线网区域的终端笔记本与终端手机不允许访问办公网络,可以访问服务器区域。
3、所有终端能从DHCP server自动获取到ip地址。
三、配置方案与思路:
(一)配置网络互通
1、ISP1路由器配置(模拟网络运营商1的路由器):
System-view
sysname ISP1
interface GigabitEthernet0/0/1
ip address 10.1.1.1 255.255.255.252
interface GigabitEthernet0/0/2
ip address 172.16.1.254 255.255.255.0
interface GigabitEthernet2/0/0
ip address 172.16.2.254 255.255.255.0
ospf 1 router-id 5.5.5.5
area 0.0.0.0
network 10.1.1.0 0.0.0.3
network 172.16.1.0 0.0.0.255
network 172.16.2.0 0.0.0.255
2、ISP2路由器配置(模拟网络运营商2的路由器):
System-view
sysname ISP1
interface GigabitEthernet0/0/1
ip address 10.1.2.1 255.255.255.252
interface GigabitEthernet0/0/2
ip address 172.16.3.254 255.255.255.0
ospf 1 router-id 6.6.6.6
area 0.0.0.0
network 10.1.2.0 0.0.0.3
network 172.16.3.0 0.0.0.255
3、DHCP server(用于给无线网区域和办公区域的终端分配业务网络的ip地址)
System-view
sysname DHCP_server
DHCP enable
ip pool vlan20
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
dns-list 202.96.128.86
ip pool AP
gateway-list 192.168.93.254 192.168.93.1
network 192.168.93.0 mask 255.255.255.0
excluded-ip-address 192.168.93.2
dns-list 8.8.8.8
ip pool vlan10
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
dns-list 8.8.8.8
ip pool vlan30
gateway-list 192.168.30.254
network 192.168.30.0 mask 255.255.255.0
dns-list 8.8.8.8
interface GigabitEthernet0/0/1
description to_Firewall
ip address 192.168.95.1 255.255.255.0
dhcp select global
ospf 1 router-id 4.4.4.4
area 0.0.0.0
network 192.168.95.0 0.0.0.255
4、三层交换机配置
System-view
sysname hexin
vlan batch 3 to 4 10 20 30
interface Vlanif3
description to_AC
ip address 192.168.93.1 255.255.255.0
interface Vlanif4
description to_firewall
ip address 192.168.94.1 255.255.255.0
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.95.1
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.95.1
interface Vlanif30
ip address 192.168.30.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.95.1
interface GigabitEthernet0/0/1
description to_firewall
port link-type access
port default vlan 4
interface GigabitEthernet0/0/2
description to_bangong
port link-type trunk
port trunk allow-pass vlan 20
interface GigabitEthernet0/0/3
description to_AC
port link-type access
port default vlan 3
interface GigabitEthernet0/0/4
description to_AP1
port link-type trunk
port trunk pvid vlan 3
port trunk allow-pass vlan 3 10
interface GigabitEthernet0/0/5
description to_AP2
port link-type trunk
port trunk pvid vlan 3
port trunk allow-pass vlan 3 30
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.93.0 0.0.0.255
network 192.168.94.0 0.0.0.255
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255
5、办公网络交换机:
System-view
sysname bangong
vlan batch 20
interface Ethernet0/0/1
description terminal_pc
port link-type access
port default vlan 20
interface GigabitEthernet0/0/1
description bangong_main
port link-type trunk
port trunk allow-pass vlan 20
(二)检查已配置网络的OSPF路由与ip路由表,查看网络连通性:
(1)防火墙上的OSPF邻居、邻接,有4个邻居,建立了邻接关系,正常,如下图:
(2)防火墙上的ip路由表,包含了全网的ip路由网段,正常,如下图:
(3)在PC1上使用ping命令测试网络的连通性,正常,如下图:
(三)配置无线网络,使AP上线:
1、为了让各AP正确获取到ip地址,(使用92网段作为AP与AC的管理网络)在三层交换机上配置如下:
(1)新建vlan 92,并配置vlan的ip地址,开启vlan的DHCP基于接口模式,使允许vlan92的默认接口能获取到192.168.92.0/24网段的ip地址:
System-view
Dhcp enable
vlan batch 92
interface Vlanif92
ip address 192.168.92.254 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 192.168.92.251 (192.168.92.251给AC,为避免AP与AC的ip地址冲突,排除这个ip的分配)
(2)配置连接AP的2个接口的默认vlan为92,使AP能正确获取基于接口模式的DHCP地址池中的ip 地址
2、三层交换机与AC端的连接配置,使AC拥有192.168.92.251/24这个ip地址,使AC与AP在同一个网段,为后面发放AP的配置做准备:
(1)三层交换机配置,如下图:
(2)AC上配置vlan 92的ip地址,并使vlan 92成为默认vlan:
3、查看AP是否正确获取到ip地址,并测试AC与AP之间的连通性:
(1)AP1上查看,能正确获取到192.168.92.0/24网段的ip地址,如下图:
(2)AP2上查看,AP刚刚启动未获取到正确的ip地址时,如下图:
(3)AP2上查看,正确获取到ip地址之后,如下图:
4、在AC上完成AP的配置,并下发配置到AP上:
(1)AC上配置AP1:
undo terminal monitor
system-view
wlan
security-profile name jiaoxue1
security wpa-wpa2 psk pass-phrase 12345678 aes
ssid-profile name jiaoxue1
ssid jiaoxue1
vap-profile name jiaoxue1
service-vlan vlan-id 10
ssid-profile jiaoxue1
security-profile jiaoxue1
rrm-profile name default
calibrate auto-channel-select disable
calibrate auto-txpower-select disable
ap-group name jiaoxue1
radio 0
vap-profile jiaoxue1 wlan 1
radio 1
vap-profile jiaoxue1 wlan 1
ap-id 1 ap-mac 00e0-fc7a-2140
ap-name jiaoxue1
ap-group jiaoxue1
radio 0
channel 20mhz 1
eirp 127
radio 1
channel 40mhz-minus 40
eirp 127
(2)AC上配置AP2:
wlan
security-profile name jiaoxue2
security wpa-wpa2 psk pass-phrase 12345678 aes
ssid-profile name jiaoxue2
ssid jiaoxue2
vap-profile name jiaoxue2
service-vlan vlan-id 30
ssid-profile jiaoxue2
security-profile jiaoxue2
rrm-profile name default
calibrate auto-channel-select disable
calibrate auto-txpower-select disable
ap-group name jiaoxue2
radio 0
vap-profile jiaoxue2 wlan 1
radio 1
vap-profile jiaoxue2 wlan 1
ap-id 2 ap-mac 00e0-fc1a-6710
ap-name jiaoxue2
ap-group jiaoxue2
radio 0
channel 20mhz 6
eirp 126
radio 1
channel 40mhz-minus 48
eirp 126
(3)上面的配置中,需要加入AP的MAC地址,查看的方法如下:
(4)该vlanif 92地址被设置成了capwap隧道源接口或源地址。用于在AC上下发配置给2个AP,让AP上线:
capwap source interface vlanif92
5、查看AC上连接到的2个AP状态正常,如下图:
6、查看上线的AP效果图,很明显已经有发射出信号的wifi,如下图:
7、查看连接WIFI后的拓扑图:
(1)打开终端笔记本1,可以看到覆盖区域内的wifi名称
(2)选择其中一个wifi,连接,输入在AC上配置的wifi密码12345678,如下图:
(3)终端笔记本通过密码验证后,连接时从网络中获取ip地址(此时的业务网络ip地址由DHCP服务器的ip pool地址池提供,三层交换机只做了一个DHCP的中继)
(4)拓扑图的三层交换机G0/0/4接口抓包,验证业务网络ip获取的过程,可以看到,回应的DHCP并不是vlan 92的管理网络,而是192.168.95.1这个DHCP服务器专门分配业务网络ip,得到的ip是192.168.10.253,如下图:
(5)从笔记本终端上查看自己的ip地址是不是192.168.10.253,验证正确,如下图:
(四)配置防火墙
1、配置cloud,增加以太网的internal内部接口、以太网的public全局接口,virtual network是虚拟网卡,出入端口号分别配置为1、2,增加,如下图:
2、连接cloud到防火墙的G0/0/0接口,通过物理机的浏览器则可管理防火墙
(1)配置防火墙G0/0/0接口的ip地址为192.168.96.100/24,与clound虚拟网卡同一个网段,如下图:
(2)此时通过物理机的CMD窗口ping防火墙的G0/0/0接口192.168.96.100是不通的,因为防火墙默认不允许ping,如下图:
(3)在防火墙的G0/0/0接口上开启允许ping,如下图:
(4)此时再使用物理机的CMD窗口ping防火墙的G0/0/0接口192.168.96.100,能正常通信了,如下图:
(5)在防火墙的G0/0/0接口上开启https服务,允许cloud连接的物理机通过浏览器访问防火墙,如下图:
(6)在物理机上通过浏览器访问防火墙,https://192.168.96.100:8443
(7)输入华为模拟器默认的用户名和密码admin Admin@123
若修改过密码则输入修改之后的密码,登录后的界面如下图:
3、配置华为防火墙的各接口ip地址:
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.1.1.2 255.255.255.252
interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.95.100 255.255.255.0
interface GigabitEthernet1/0/2
undo shutdown
ip address 192.168.94.100 255.255.255.0
interface GigabitEthernet1/0/3
undo shutdown
ip address 10.1.2.2 255.255.255.252
4、配置华为防火墙的各区域接口
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/2
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/3
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/1
5、配置域间策略内网区域到外网区域允许访问
(1)内网区域到外网区域允许访问trust_untrust,源安全区域、目的安全区域、新建源地址,如下图:
(2)新建的源地址“无线网区域”指定地址范围:192.168.10.0/24,如下图:
(3)新建“办公网区域”指定地址范围:192.168.20.0/24,并加入到源地址,如下图:
6、配置域间策略trust_dmz,无线网区域、办公网区域到服务器区域允许访问
(1)无线网区域、办公网区域到服务器区域允许访问trust_dmz,指定源地址为办公网区域、无线网区域,如下图:
(2)指定目的地址为dmz区域的内网服务器,即内网服务器区域的ip地址范围,如下图:
7、配置域间策略dmz_trust,允许服务器回数据包给内网用户,如下图:
8、安全策略配置完成后,可看到的策略列表如下图:
9、配置NAT源地址转换,使内网终端与办公区域可以上外网
(1)新建NAT策略,如下图:
(2)NAT策略列表如下图:
10、保存防火墙配置,如下图:
四、验证无线网区域与办公区域访问外网的服务器:
1、办公区域的电脑能正确从DHCP server获取到ip地址,如下图:
2、办公区域到外网的HTTP server3可访问,如下图:
(1)启动http server服务
(2)使用http client访问HTTP server3时,正常,如下图:
(3)使用http client访问HTTP server1时,正常,如下图:
3、无线区域的终端笔记本电脑、手机能正确连到wifi获取到ip地址,如下图:
4、无线网络区域使用http client访问HTTP server 2时,正常,如下图:
五、考试环境配置
(要求是连接本网络环境中的WIFI后,实现考生只能访问指定的站点,若本例指定是HTTP server3作为考试站点,则不允许访问外网的HTTP server1与HTTP server2)
(一)配置2条安全策略 (1条允许无线区域访问考试服务器HTTP Server3,1条禁止无线区域访问any任意其他站点)
1、配置安全策略允许无线网络区域访问HTTP server3考试服务器
(1)新建安全策略,允许无线网络区域访问HTTP server3考试服务器,如下图:
(2)新建策略后列表中的结果,将策略移动最顶部,因为策略匹配时是按策略的先后顺序匹配的,如下图:
2、禁止无线区域访问任何其他站点(即只允许访问考试服务器HTTP Server3),如下图:
(1)新建安全策略,禁止无线区域访问any,如下图:
(2)建好安全策略后,将这条策略放在第2条,如下图:
3、配置全局选路策略
4、配置策略路由:
(二)测试结果:
1、办公区域访问3台服务器,正常,如下图:
2、无线区域访问测试:
(1)无线区域访问考试服务器之外的HTTP Server1时,被防火墙的安全策略拦截,预期目标实现,如下图:
(2)无线区域访问HTTP Server3考试服务器,正常,如下图:
六、当考生使用场景周围别的WIFI或网络时,则不受本网络策略的控制,主要情形有:
1、被控制区域周围的WIFI影响:使用AC+AP的模式后,虽然可以避免隐蔽站和暴露站的问题,但是若覆盖的区域中,有其他非AC+AP的WIFI出现时,用户连接到别的WIFI时,是不受本网络环境控制的。
2、使用手机数据网络时的影响:使用手机数据网络时,使用的网络流量是运营商管理,并非本网络环境所控制。
3、使用移动WIFI对本例网络的影响:当使用移动WIFI时,移动卡式的WIFI非本网络环境所控制。
所以,考场周围的环境,要注意其他WIFI信号的加密或屏蔽,不准考生携带移动WIFI设备,不能使用手机的数据网络,就可以受本网络环境的策略控制,只允许用户连接WIFI后,打开考试对应的网站。
本文至此结束,不足之处敬请批评指正。