實驗:NAT、ACL綜合實驗
NAT、ACL綜合實驗
一、使北京總部PC通過DHCP伺服器自動獲取IP
1、三個交換機的設定,整個實驗只有下面這些
給北京總部下的三臺交換機分別建立4個vlan,並將埠新增到相應的vlan,併為相應埠設定trunk
2、DHCP伺服器的設定,整個實驗只有下面2步。
給DHCP伺服器配置靜態IP、掩碼、閘道器、DNS
給DHCP伺服器配置DHCP服務
3、配置核心交換機
進入核心交換機,建立4個vlan,並分別給4個vlan設定4個閘道器
分別將DHCP伺服器的IP地址中繼到各個vlan中
北京總部下PC已成功通過DHCP伺服器獲取到IP
4、給核心交換機連線外網的埠配置IP
開啟核心路由器三層交換功能,並將核心交換機二層埠升級為三層埠,併為該三層埠配置10網段IP
再給連線到分公司的埠升級為三層埠,並設定IP
二、讓分公司與總部實現全網互通:
為分公司R1設定路由表
為分公司R2設定路由表
在核心交換機增加路由表
經此三步,總部與分公司實現互通。
三、讓內網上網訪問外網,即設定NAT
完善IP、路由配置
分別為路由器R3、R4 及 網際網路上一臺主機配置IP如下
給核心交換機sw0和路由器R3配置 路由表
給路由器R3定義 內網介面、外網介面、內部地址池、動態對映
全網互通後,設定用外網PC訪問web服務
設定web伺服器靜態地址為192.168.4.252,在給web伺服器設定靜態埠對映
驗證:成功使用外網PC通過web訪問100.1.1.1 ,能對映到web伺服器的web服務上
設定ACL
禁止vlan20的銷售部上網,禁止任何人訪問vlan30的財務部,但允許伺服器訪問財務部,允許財務部上網
acc 100 deny ip 192.168.2.0 0.0.0.255 200.1.1.0 0.0.0.255
acc 100 permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
acc 100 permit ip 200.1.1.0 0.0.0.255 192.168.3.0 0.0.0.255
acc 100 permit ip 192.168.3.0 0.0.0.255 200.1.1.0 0.0.0.255
acc 100 deny ip 192.168.0.0 0.0.255.255 192.168.3.0 0.0.0.255
acc 100 permit ip any any
驗證
Vlan20的銷售部ping 不通外網
內網的pc也無法ping通財務部
財務部能上網
實驗成功
另 ACL
ip access-list extended 101
如果要刪除表101在out的方向。
由於 101表貼在vlan30口,因此
先進入該口 int vlan 30
再刪除 no ip access-group 101 out
如果刪了out方向的表,功能依然相同。其他PC訪問財務部,不是“主機不可達”,而是“請求超時”。
ACL許可權設定的其他更精簡的方案
acc 100 permit ip any 192.168.0.0 0.0.255.255
acc 100 deny ip any any
int vlan 20
ip access-group 100 in
acc 101 permit ip 192.168.4.0 0.0.0.255 any
acc 101 deny ip 192.168.0.0 0.0.255.255 any
acc 101 permit ip any any
int vlan 30
ip access-group 101 out
總部的WEB伺服器192.168.4.2中繼到100.1.1.1上
在網際網路的DNS伺服器上新增域名和對映的地址,網際網路PC可以通過訪問對映的地址或域名訪問。