Top

NSD PROJECT1 DAY04

1. 案例1：標準ACL的配置（1）
2. 案例2：標準ACL的配置（2）
3. 案例3：擴充套件訪問控制列表
4. 案例4：配置靜態NAT
5. 案例5：埠對映
6. 案例6：埠多路複用

1 案例1：標準ACL的配置（1）

1.1 問題

按照圖-1所示拓撲結構，禁止主機pc2與pc1通訊，而允許所有其他流量

圖-1

1.2 步驟

1，為路由器g0/0介面配置ip 192.168.1.254，為路由器g0/1介面配置ip 192.168.2.254

1. Router(config)#interface gigabitEthernet 0/0
2. Router(config-if)#ip address 192.168.1.254 255.255.255.0
3. Router(config-if)#no shut
4.  
5. Router(config)#interface gigabitEthernet 0/1
6. Router(config-if)#ip address 192.168.2.254 255.255.255.0
7. Router(config-if)#no shut

2，為每臺pc配置ip與閘道器

3，使用標準acl限制pc2

1. Router(config)#access-list 1 deny 192.168.2.1 0.0.0.0

或

1. Router(config)#access-list 1 deny host 192.168.2.1

以上兩條配置其中一條即可，效果相同。

4，放行其他資料

1. Router(config)#access-list 1 permit any

5，在介面中應用acl

1. Router(config)#interface gigabitEthernet 0/1
2. Router(config-if)#ip access-group 1 in

2 案例2：標準ACL的配置（2）

2.1 問題

按照圖-2所示拓撲結構，允許主機pc2與pc1互通，而禁止其他裝置訪問pc1

圖-2

2.2 步驟

注：此配置需要在案例1的基礎上完成

1. Router(config)#no access-list 1
2. Router(config)#access-list 1 permit 192.168.2.1 0.0.0.0

或

1. Router(config)#access-list 1 permit host 192.168.2.1

以上兩條配置其中一條即可，效果相同。

3 案例3：擴充套件訪問控制列表

3.1 問題

按照圖-3所示拓撲結構，禁止pc2訪問pc1的ftp服務，禁止pc3訪問pc1的www服務，所有主機的其他服務不受限制

圖-3

3.2 步驟

注：此配置需要在案例2的基礎上完成

1. Router(config)#no access-list 1
2. Router(config)#access-list 100 deny tcp host 192.168.2.1 host 192.168.1.1 eq 21
3. Router(config)#access-list 100 deny tcp host 192.168.2.2 host 192.168.1.1 eq 80
4. Router(config)#access-list 100 permit ip any any

在介面中應用acl

1. Router(config)#interface gigabitEthernet 0/1
2. Router(config-if)#ip access-group 100 in

4 案例4：配置靜態NAT

4.1 問題

按照圖-4拓撲圖所示，在R1上配置靜態NAT使192.168.1.1轉換為100.0.0.2,192.168.1.2轉換為100.0.0.3，實現外部網路訪問

圖-4

4.2 步驟

1，首先配置路由器的介面地址

1. Router(config)#interface g0/1
2. Router(config-if)#ip address 100.0.0.1 255.0.0.0
3. Router(config-if)#no shut
4. Router(config)#interface g0/0
5. Router(config-if)#ip address 192.168.1.254 255.255.255.0
6. Router(config-if)#no shut

2，配置靜態nat轉換

1. Router(config)#ip nat inside source static 192.168.1.1 100.0.0.2
2. Router(config)#ip nat inside source static 192.168.1.2 100.0.0.3

3，在內部和外部埠上啟用NAT

1. Router(config)#interface g0/1
2. Router(config-if)#ip nat outside
3. Router(config)#interface g0/0
4. Router(config-if)#ip nat inside

4，為pc配置ip地址與閘道器，pc3無需配置閘道器

5 案例5：埠對映

5.1 問題

按照圖-5所示拓撲結構，在R1上配置埠對映，將192.168.1.1的80埠對映為100.0.0.2的80埠，將其web服務釋出到Internet。

圖-5

5.2 步驟

注：此配置需要在練習4的基礎上完成

1. Router(config)#no ip nat inside source static 192.168.1.1 100.0.0.2
2. Router(config)#no ip nat inside source static 192.168.1.2 100.0.0.3
3.  
4. Router(config)#ip nat inside source static tcp 192.168.1.1 80 100.0.0.2 80

6 案例6：埠多路複用

6.1 問題

按照圖-6所示的拓撲結構，在R1上配置PAT埠多路複用使企業內網192.168.1.0/24複用g0/1埠的ip，實現外部網路的訪問

圖-6

6.2 步驟

注：此配置需要在案例5的基礎上完成

1. Router(config)#no ip nat inside source static tcp 192.168.1.1 80 100.0.0.2 80

使用acl定義內部ip地址

1. Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

使用pat複用外網介面地址

1. Router(config)#ip nat inside source list 1 interface g0/1 overload