1、防止考试作弊。校园内,需要用到外网的某个考试站点时,只允许浏览器访问考试网站,别的网站不允许访问时(避免使用搜索引擎搜索参考或答案)。 2、网络流量给教学资源,杜绝网络娱乐沉迷。某些专业课程的学习,只允许学生访问某些教学资源时,根据专业系的要求,只对教学资源相关的外网存储、网盘、网站(能提供ip或域名进行控制)开放,不允许访问娱乐、游戏……之类的网站(精准开放学习资源,如视频、课件、文档等)。 3、网络监管设备相对完善。校园内有网络管理的设备与资源,能够对不同的网段提供访问控制的需求,如华为、H3C等网络设备(网络管理设备精准实现访问控制,本例采用的是华为设备)。 4、本例的网络资源限制或控制较严格,需要合理配置。适合于某些专业自备电脑,初学某专业指定的技能时,教学资源比较完备集中时(比如教学资源集中于某几个网站、或某几台服务器、或某些存储设备)。不合适的场景,比如:某些专业学习的内容复杂,需要用到很多类不同的资源时,则不合适使用此方法)。
1、无线网区域的终端笔记本STA与终端手机STA连接教学AP1后,只允许访问HTTP server3,其他任何站点都不允许访问。(假设HTTP server1是搜索引擎网站,HTTP server2是商业网站,HTTP server3是考试酷网站)。 2、无线网区域的终端笔记本与终端手机不允许访问办公网络,可以访问服务器区域。 3、所有终端能从DHCP server自动获取到ip地址。
1、ISP1路由器配置(模拟网络运营商1的路由器): System-view sysname ISP1 interface GigabitEthernet0/0/1 ip address 10.1.1.1 255.255.255.252
interface GigabitEthernet0/0/2 ip address 172.16.1.254 255.255.255.0
interface GigabitEthernet2/0/0 ip address 172.16.2.254 255.255.255.0
ospf 1 router-id 5.5.5.5 area 0.0.0.0 network 10.1.1.0 0.0.0.3 network 172.16.1.0 0.0.0.255 network 172.16.2.0 0.0.0.255
2、ISP2路由器配置(模拟网络运营商2的路由器): System-view sysname ISP1 interface GigabitEthernet0/0/1 ip address 10.1.2.1 255.255.255.252
interface GigabitEthernet0/0/2 ip address 172.16.3.254 255.255.255.0
ospf 1 router-id 6.6.6.6 area 0.0.0.0 network 10.1.2.0 0.0.0.3 network 172.16.3.0 0.0.0.255
3、DHCP server(用于给无线网区域和办公区域的终端分配业务网络的ip地址) System-view sysname DHCP_server DHCP enable ip pool vlan20 gateway-list 192.168.20.254 network 192.168.20.0 mask 255.255.255.0 dns-list 202.96.128.86 ip pool AP gateway-list 192.168.93.254 192.168.93.1 network 192.168.93.0 mask 255.255.255.0 excluded-ip-address 192.168.93.2 dns-list 8.8.8.8
ip pool vlan10 gateway-list 192.168.10.254 network 192.168.10.0 mask 255.255.255.0 dns-list 8.8.8.8
ip pool vlan30 gateway-list 192.168.30.254 network 192.168.30.0 mask 255.255.255.0 dns-list 8.8.8.8 interface GigabitEthernet0/0/1 description to_Firewall ip address 192.168.95.1 255.255.255.0 dhcp select global ospf 1 router-id 4.4.4.4 area 0.0.0.0 network 192.168.95.0 0.0.0.255
4、三层交换机配置 System-view sysname hexin
vlan batch 3 to 4 10 20 30 interface Vlanif3 description to_AC ip address 192.168.93.1 255.255.255.0
interface Vlanif4 description to_firewall ip address 192.168.94.1 255.255.255.0
interface Vlanif10 ip address 192.168.10.254 255.255.255.0 dhcp select relay dhcp relay server-ip 192.168.95.1
interface Vlanif20 ip address 192.168.20.254 255.255.255.0 dhcp select relay dhcp relay server-ip 192.168.95.1
interface Vlanif30 ip address 192.168.30.254 255.255.255.0 dhcp select relay dhcp relay server-ip 192.168.95.1
interface GigabitEthernet0/0/1 description to_firewall port link-type access port default vlan 4
interface GigabitEthernet0/0/2 description to_bangong port link-type trunk port trunk allow-pass vlan 20
interface GigabitEthernet0/0/3 description to_AC port link-type access port default vlan 3
interface GigabitEthernet0/0/4 description to_AP1 port link-type trunk port trunk pvid vlan 3 port trunk allow-pass vlan 3 10
interface GigabitEthernet0/0/5 description to_AP2 port link-type trunk port trunk pvid vlan 3 port trunk allow-pass vlan 3 30
ospf 1 router-id 2.2.2.2 area 0.0.0.0 network 192.168.93.0 0.0.0.255 network 192.168.94.0 0.0.0.255 network 192.168.10.0 0.0.0.255 network 192.168.20.0 0.0.0.255 network 192.168.30.0 0.0.0.255
5、办公网络交换机: System-view sysname bangong
vlan batch 20 interface Ethernet0/0/1 description terminal_pc port link-type access port default vlan 20 interface GigabitEthernet0/0/1 description bangong_main port link-type trunk port trunk allow-pass vlan 20
(1)防火墙上的OSPF邻居、邻接,有4个邻居,建立了邻接关系,正常,如下图: 
(2)防火墙上的ip路由表,包含了全网的ip路由网段,正常,如下图:
(3)在PC1上使用ping命令测试网络的连通性,正常,如下图: 
1、为了让各AP正确获取到ip地址,(使用92网段作为AP与AC的管理网络)在三层交换机上配置如下: (1)新建vlan 92,并配置vlan的ip地址,开启vlan的DHCP基于接口模式,使允许vlan92的默认接口能获取到192.168.92.0/24网段的ip地址: System-view Dhcp enable vlan batch 92 interface Vlanif92 ip address 192.168.92.254 255.255.255.0 dhcp select interface dhcp server excluded-ip-address 192.168.92.251 (192.168.92.251给AC,为避免AP与AC的ip地址冲突,排除这个ip的分配)
(2)配置连接AP的2个接口的默认vlan为92,使AP能正确获取基于接口模式的DHCP地址池中的ip 地址 
2、三层交换机与AC端的连接配置,使AC拥有192.168.92.251/24这个ip地址,使AC与AP在同一个网段,为后面发放AP的配置做准备: (1)三层交换机配置,如下图: 
(2)AC上配置vlan 92的ip地址,并使vlan 92成为默认vlan: 
3、查看AP是否正确获取到ip地址,并测试AC与AP之间的连通性: (1)AP1上查看,能正确获取到192.168.92.0/24网段的ip地址,如下图: 
(2)AP2上查看,AP刚刚启动未获取到正确的ip地址时,如下图: 
(3)AP2上查看,正确获取到ip地址之后,如下图: 
4、在AC上完成AP的配置,并下发配置到AP上: (1)AC上配置AP1: undo terminal monitor system-view wlan security-profile name jiaoxue1 security wpa-wpa2 psk pass-phrase 12345678 aes
ssid-profile name jiaoxue1 ssid jiaoxue1
vap-profile name jiaoxue1 service-vlan vlan-id 10 ssid-profile jiaoxue1 security-profile jiaoxue1
rrm-profile name default calibrate auto-channel-select disable calibrate auto-txpower-select disable
ap-group name jiaoxue1 radio 0 vap-profile jiaoxue1 wlan 1 radio 1 vap-profile jiaoxue1 wlan 1
ap-id 1 ap-mac 00e0-fc7a-2140 ap-name jiaoxue1 ap-group jiaoxue1 radio 0 channel 20mhz 1 eirp 127 radio 1 channel 40mhz-minus 40 eirp 127
(2)AC上配置AP2: wlan security-profile name jiaoxue2 security wpa-wpa2 psk pass-phrase 12345678 aes
ssid-profile name jiaoxue2 ssid jiaoxue2
vap-profile name jiaoxue2 service-vlan vlan-id 30 ssid-profile jiaoxue2 security-profile jiaoxue2
rrm-profile name default calibrate auto-channel-select disable calibrate auto-txpower-select disable
ap-group name jiaoxue2 radio 0 vap-profile jiaoxue2 wlan 1 radio 1 vap-profile jiaoxue2 wlan 1
ap-id 2 ap-mac 00e0-fc1a-6710 ap-name jiaoxue2 ap-group jiaoxue2 radio 0 channel 20mhz 6 eirp 126 radio 1 channel 40mhz-minus 48 eirp 126
(3)上面的配置中,需要加入AP的MAC地址,查看的方法如下: 
(4)该vlanif 92地址被设置成了capwap隧道源接口或源地址。用于在AC上下发配置给2个AP,让AP上线: capwap source interface vlanif92
5、查看AC上连接到的2个AP状态正常,如下图: 
6、查看上线的AP效果图,很明显已经有发射出信号的wifi,如下图: 
7、查看连接WIFI后的拓扑图: (1)打开终端笔记本1,可以看到覆盖区域内的wifi名称 
(2)选择其中一个wifi,连接,输入在AC上配置的wifi密码12345678,如下图: 
(3)终端笔记本通过密码验证后,连接时从网络中获取ip地址(此时的业务网络ip地址由DHCP服务器的ip pool地址池提供,三层交换机只做了一个DHCP的中继)
(4)拓扑图的三层交换机G0/0/4接口抓包,验证业务网络ip获取的过程,可以看到,回应的DHCP并不是vlan 92的管理网络,而是192.168.95.1这个DHCP服务器专门分配业务网络ip,得到的ip是192.168.10.253,如下图: 
(5)从笔记本终端上查看自己的ip地址是不是192.168.10.253,验证正确,如下图:
1、配置cloud,增加以太网的internal内部接口、以太网的public全局接口,virtual network是虚拟网卡,出入端口号分别配置为1、2,增加,如下图: 
2、连接cloud到防火墙的G0/0/0接口,通过物理机的浏览器则可管理防火墙 (1)配置防火墙G0/0/0接口的ip地址为192.168.96.100/24,与clound虚拟网卡同一个网段,如下图: 
(2)此时通过物理机的CMD窗口ping防火墙的G0/0/0接口192.168.96.100是不通的,因为防火墙默认不允许ping,如下图: 
(3)在防火墙的G0/0/0接口上开启允许ping,如下图: 
(4)此时再使用物理机的CMD窗口ping防火墙的G0/0/0接口192.168.96.100,能正常通信了,如下图: 
(5)在防火墙的G0/0/0接口上开启https服务,允许cloud连接的物理机通过浏览器访问防火墙,如下图: 
(6)在物理机上通过浏览器访问防火墙,https://192.168.96.100:8443 
(7)输入华为模拟器默认的用户名和密码admin Admin@123 若修改过密码则输入修改之后的密码,登录后的界面如下图: 
3、配置华为防火墙的各接口ip地址: interface GigabitEthernet1/0/0 undo shutdown ip address 10.1.1.2 255.255.255.252
interface GigabitEthernet1/0/1 undo shutdown ip address 192.168.95.100 255.255.255.0
interface GigabitEthernet1/0/2 undo shutdown ip address 192.168.94.100 255.255.255.0
interface GigabitEthernet1/0/3 undo shutdown ip address 10.1.2.2 255.255.255.252
4、配置华为防火墙的各区域接口 firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet1/0/2
firewall zone untrust set priority 5 add interface GigabitEthernet1/0/0 add interface GigabitEthernet1/0/3
firewall zone dmz set priority 50 add interface GigabitEthernet1/0/1
5、配置域间策略内网区域到外网区域允许访问 (1)内网区域到外网区域允许访问trust_untrust,源安全区域、目的安全区域、新建源地址,如下图: 
(2)新建的源地址“无线网区域”指定地址范围:192.168.10.0/24,如下图: 
(3)新建“办公网区域”指定地址范围:192.168.20.0/24,并加入到源地址,如下图: 
6、配置域间策略trust_dmz,无线网区域、办公网区域到服务器区域允许访问 (1)无线网区域、办公网区域到服务器区域允许访问trust_dmz,指定源地址为办公网区域、无线网区域,如下图: 
(2)指定目的地址为dmz区域的内网服务器,即内网服务器区域的ip地址范围,如下图: 
7、配置域间策略dmz_trust,允许服务器回数据包给内网用户,如下图: 
8、安全策略配置完成后,可看到的策略列表如下图: 
9、配置NAT源地址转换,使内网终端与办公区域可以上外网 (1)新建NAT策略,如下图: 
(2)NAT策略列表如下图: 
10、保存防火墙配置,如下图: 
1、办公区域的电脑能正确从DHCP server获取到ip地址,如下图: 
2、办公区域到外网的HTTP server3可访问,如下图: (1)启动http server服务 
(2)使用http client访问HTTP server3时,正常,如下图:
(3)使用http client访问HTTP server1时,正常,如下图: 
3、无线区域的终端笔记本电脑、手机能正确连到wifi获取到ip地址,如下图: 
4、无线网络区域使用http client访问HTTP server 2时,正常,如下图:
(要求是连接本网络环境中的WIFI后,实现考生只能访问指定的站点,若本例指定是HTTP server3作为考试站点,则不允许访问外网的HTTP server1与HTTP server2)
1、配置安全策略允许无线网络区域访问HTTP server3考试服务器 (1)新建安全策略,允许无线网络区域访问HTTP server3考试服务器,如下图: 
(2)新建策略后列表中的结果,将策略移动最顶部,因为策略匹配时是按策略的先后顺序匹配的,如下图:
2、禁止无线区域访问任何其他站点(即只允许访问考试服务器HTTP Server3),如下图: (1)新建安全策略,禁止无线区域访问any,如下图: 
(2)建好安全策略后,将这条策略放在第2条,如下图: 
3、配置全局选路策略 
4、配置策略路由:
1、办公区域访问3台服务器,正常,如下图: 
2、无线区域访问测试: (1)无线区域访问考试服务器之外的HTTP Server1时,被防火墙的安全策略拦截,预期目标实现,如下图: 
(2)无线区域访问HTTP Server3考试服务器,正常,如下图: 
1、被控制区域周围的WIFI影响:使用AC+AP的模式后,虽然可以避免隐蔽站和暴露站的问题,但是若覆盖的区域中,有其他非AC+AP的WIFI出现时,用户连接到别的WIFI时,是不受本网络环境控制的。 2、使用手机数据网络时的影响:使用手机数据网络时,使用的网络流量是运营商管理,并非本网络环境所控制。 3、使用移动WIFI对本例网络的影响:当使用移动WIFI时,移动卡式的WIFI非本网络环境所控制。 所以,考场周围的环境,要注意其他WIFI信号的加密或屏蔽,不准考生携带移动WIFI设备,不能使用手机的数据网络,就可以受本网络环境的策略控制,只允许用户连接WIFI后,打开考试对应的网站。