04: 專案實戰一:part04
阿新 • • 發佈:2018-11-07
NSD PROJECT1 DAY04
1 案例1:標準ACL的配置(1)
1.1 問題
按照圖-1所示拓撲結構,禁止主機pc2與pc1通訊,而允許所有其他流量
圖-1
1.2 步驟
1,為路由器g0/0介面配置ip 192.168.1.254,為路由器g0/1介面配置ip 192.168.2.254
- Router(config)#interface gigabitEthernet 0/0
- Router(config-if)#ip address 192.168.1.254 255.255.255.0
- Router(config-if)#no shut
- Router(config)#interface gigabitEthernet 0/1
- Router(config-if)#ip address 192.168.2.254 255.255.255.0
- Router(config-if)#no shut
2,為每臺pc配置ip與閘道器
3,使用標準acl限制pc2
- Router(config)#access-list 1 deny 192.168.2.1 0.0.0.0
或
- Router(config)#access-list 1 deny host 192.168.2.1
以上兩條配置其中一條即可,效果相同。
4,放行其他資料
- Router(config)#access-list 1 permit any
5,在介面中應用acl
- Router(config)#interface gigabitEthernet 0/1
- Router(config-if)#ip access-group 1 in
2 案例2:標準ACL的配置(2)
2.1 問題
按照圖-2所示拓撲結構,允許主機pc2與pc1互通,而禁止其他裝置訪問pc1
圖-2
2.2 步驟
注:此配置需要在案例1的基礎上完成
- Router(config)#no access-list 1
- Router(config)#access-list 1 permit 192.168.2.1 0.0.0.0
或
- Router(config)#access-list 1 permit host 192.168.2.1
以上兩條配置其中一條即可,效果相同。
3 案例3:擴充套件訪問控制列表
3.1 問題
按照圖-3所示拓撲結構,禁止pc2訪問pc1的ftp服務,禁止pc3訪問pc1的www服務,所有主機的其他服務不受限制
圖-3
3.2 步驟
注:此配置需要在案例2的基礎上完成
- Router(config)#no access-list 1
- Router(config)#access-list 100 deny tcp host 192.168.2.1 host 192.168.1.1 eq 21
- Router(config)#access-list 100 deny tcp host 192.168.2.2 host 192.168.1.1 eq 80
- Router(config)#access-list 100 permit ip any any
在介面中應用acl
- Router(config)#interface gigabitEthernet 0/1
- Router(config-if)#ip access-group 100 in
4 案例4:配置靜態NAT
4.1 問題
按照圖-4拓撲圖所示,在R1上配置靜態NAT使192.168.1.1轉換為100.0.0.2,192.168.1.2轉換為100.0.0.3,實現外部網路訪問
圖-4
4.2 步驟
1,首先配置路由器的介面地址
- Router(config)#interface g0/1
- Router(config-if)#ip address 100.0.0.1 255.0.0.0
- Router(config-if)#no shut
- Router(config)#interface g0/0
- Router(config-if)#ip address 192.168.1.254 255.255.255.0
- Router(config-if)#no shut
2,配置靜態nat轉換
- Router(config)#ip nat inside source static 192.168.1.1 100.0.0.2
- Router(config)#ip nat inside source static 192.168.1.2 100.0.0.3
3,在內部和外部埠上啟用NAT
- Router(config)#interface g0/1
- Router(config-if)#ip nat outside
- Router(config)#interface g0/0
- Router(config-if)#ip nat inside
4,為pc配置ip地址與閘道器,pc3無需配置閘道器
5 案例5:埠對映
5.1 問題
按照圖-5所示拓撲結構,在R1上配置埠對映,將192.168.1.1的80埠對映為100.0.0.2的80埠,將其web服務釋出到Internet。
圖-5
5.2 步驟
注:此配置需要在練習4的基礎上完成
- Router(config)#no ip nat inside source static 192.168.1.1 100.0.0.2
- Router(config)#no ip nat inside source static 192.168.1.2 100.0.0.3
- Router(config)#ip nat inside source static tcp 192.168.1.1 80 100.0.0.2 80
6 案例6:埠多路複用
6.1 問題
按照圖-6所示的拓撲結構,在R1上配置PAT埠多路複用使企業內網192.168.1.0/24複用g0/1埠的ip,實現外部網路的訪問
圖-6
6.2 步驟
注:此配置需要在案例5的基礎上完成
- Router(config)#no ip nat inside source static tcp 192.168.1.1 80 100.0.0.2 80
使用acl定義內部ip地址
- Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
使用pat複用外網介面地址
- Router(config)#ip nat inside source list 1 interface g0/1 overload