标签:AR1 112.17 接口 acl 实验 NAT 172.16 ACL 路由
实验报告四 ACL NAT
实验拓扑图
requirment
- 注意:IP网段统统使用 24/子网掩码
- 依照网络规划进行全网互联实施,内网管理vlan为vlan10,Server的地址为172.16.1.1,Switch的管理地址为172.16.1.2,PC属于vlan20,地址为172.16.2.1。
- 在网关上配置单臂路由,起相应子接口f0/0.10和f0/0.20,对应地址如上。要求实现vlan10和vlan20之间的通信,PC可以正常访问内部Server。
- R2、R3为广域网上的路由器,对应接口IP地址如图,要求在R2和R3上起OSPF协议,默认为area0,实现R2和R3之间的路由学习。ISP-Server为外部服务器,地址为112.18.1.1(在R3上通过回环接口模拟)。
- 在网关上通过默认路由与NAT实现内网与外网通信,要求采用easy-ip实现。写出相应配置。要求PC可以正常访问ISP-Server服务器。
- 在网关上配置基本访问列表,要求交换机不能telnet登录该网关,而其他设备可以正常telnet登录,并在相应的vty链路下调用该访问控制列表。
- 在网关上配置静态端口映射,将内部Server的80端口映射到外网接口的80端口,使得外部可以通过购买的ip 112.17.12.10/24这个地址访问内部服务器。
- 在网关配置高级ACL,使得内部Server可以ping通PC,但是PC不能ping通Server
- 在R2上配置高级的ACL,使得R1可以telnet登录R3,R3无法telnet登录R1
实验步骤
-
首先在ensp上面进行实验拓扑图的搭建:
-
然后按照实验拓扑图进行全网IP地址的规划,并且正确的配置在PC、服务器、路由器、客户端上面,配置命令不在详细罗列出,前三个实验已经详细说明,不在累赘
-
实验的1、2步为单臂路由的配置过程,实验的第3步为动态路由OSPF的协议配置过程,这里不再累赘,详细见实验二和实验三,我们这里主要针对ACL和NAT地址转换的过程进行详细介绍
-
我们直接开始实验的第4步,但是这里有两个问题:
-
问题1:路由器AR1作为边界路由器,划分了内网和外网的边界,内网由两个vlan组成,通过单臂路由进行通信,外网由两个路由器AR2和AR3进行通信,之间通过OSPF动态路由协议生成各自的路由表,现在最大的问题在于,内网使用的是私有IP,外网使用的是外网专用的公有IP,因此这里必须在路由器AR1上面做一个NAT地址转换,把来自内网的数据包的IP源地址,转换成外网专用的公有IP地址,相关命令如下:
- [AR1]acl 2000 //建立访问控制列表,编号2000,属于基本的访问控制列表
- [AR1-acl-basic-2000]rule permit source 172.16.2.1 0 //建立一条规则允许源IP为172.16.2.1的数据包通过
- [AR1-acl-basic-2000]rule deny source any //拒绝所有的规则,因为华为的ACL默认如果一个acl条目都没有匹配的话,那么久允许通过,所以我们需要加上这一个规则
- [AR1-GigabitEthernet0/0/1]nat outbound 2000 //路由器AR1的g0/0/1出接口方向上做一个端口nat(easy-ip),采用编号为2000的acl访问控制列表中的规则,你会发现,这里只允许PC1的发出的数据包进行nat转换
- 大功告成,你可以发现PC1发送的数据包可以把源IP地址转换成g0/0/1这个接口的IP地址,不管内网有多少台PC,转换后源IP地址都为g0/0/1这个接口的IP地址,这也是端口nat的优点,可以节约IP地址
-
问题2:虽然nat的问题解决了,但是AR1还没有通往外网的路由条目,这可该咋办了,有同学会说,给AR1也配个动态路由吧,你这是在开玩笑了,哈哈!实际工作中AR1外面可不止AR2和AR3这两台路由器了,那咋办了,好解决,给AR1配一个默认路由就解决了问题,为什么了?因为配上默认路由之后,AR2相当于是AR1的网关,凡是AR1转发的数据包,都可以通过AR2进行帮助转发,相关命令如下:
- [AR1]ip route-static 0.0.0.0 0.0.0.0 112.17.12.2 //任何需要转发的数据包,都找我的下一跳112.17.12.2这个接口路由器
-
通过解决上面两个,问题,PC1就可以ping通AR3上面的回环口,也就是IPC-SERVER了
-
结果如下:
-
-
实验第5步,要求交换机telnet vlan10的网关,大家可能很奇怪,交换机,属于数据链路层次的设备,连IP报头都不能封装,何谈telnet网关,上面实验不是给交换机配置了一个虚拟接口吗?,如下图:
-
- 我们就看vlanif10这个接口,顾明思意,接口属于vlan10,其ip地址为172.16.1.2 /24,这不就可以封装IP报头了吗
-
下一步进入路由器AR1,配置acl,以及vty,命令如下:
-
[AR1]acl 2001 //建立编号为2001的acl访问控制列表
-
[AR1-acl-basic-2001]rule deny source 172.16.1.2 0 //建立一条规则,拒绝源ip地址为172.16.1.2的数据包
-
[AR1]user-interface vty 0 4 //进入vty 0~4这5个线路
-
[AR1-ui-vty0-4]authentication-mode password //配置密码
-
[AR1-ui-vty0-4]user privilege level 15 //登入到这个终端的用户,权限为15,最高
-
[AR1-ui-vty0-4]acl 2001 inbound //把访问控制列表应用在vty的登入方向上面
-
这里需要注意,在vty里面,acl表会默认加上一条拒绝所有的规则,大家一定要注意
-
-
然后我们就可以发现交换机不能telnet网关了,而其它设备却可以的
-
-
实验第六步,通过客户端通过http协议访问内网服务器Server1,这里我们只需要做一个NAT服务器,并且做一个简单的映射就好了,命令如下
- [AR1-GigabitEthernet0/0/1]nat server protocol tcp global 112.17.12.10 www inside 172.16.1.1 www //当访问目标ip为112.17.12.10的主机时候,很明显112.17.12.10和112.17.12.0 /24这个网段最匹配,所以数据包从AR2的g0/0/0出去,到达AR1的g0/0/1接口,并且做一个NAT转换,把目标ip改成了172.16.1.1,端口号映射为www这个服务对应的端口号,然后客户端就可以正常访问服务器了
-
实验第7部,这个很简单,做一个单向的限制icmp协议的ACL就可以了,在AR1g0/0/0.20虚拟接口的入方向上,命令如下:
- [AR1]acl 3000
- [AR1-acl-adv-3000]rule deny icmp source 172.16.2.1 0 destination 172.16.1.1 0 ic
mp-type echo //限制相应IP地址的ping命令请求包 - [AR1]int g0/0/0.20
- [AR1-GigabitEthernet0/0/0.20]traffic-filter inbound acl 3000
- 然后可以发现,PC1无法ping通服务器了
-
实验第8步:直接在AR2的g0/0/1接口的入方向
-
[AR2-acl-adv-3000]
-
[AR2-acl-adv-3000]rule deny tcp source 112.17.23.1 0 destination 112.17.12.1 0 destination-port
eq telnet -
然后你就可以发现AR3无法telnetAR1了:
<AR3>telnet 112.17.12.1 Press CTRL_] to quit telnet mode Trying 112.17.12.1 ... Error: Can't connect to the remote host
-
实验总结
- 通过本次,把之前学习过的单臂路由、OSPF协议的配置和默认路由全部复习巩固了一遍,此外还把ACL和NAT这两种技术学习了一遍,但是我发现自己还是有很多的不足,我会再接再励!
标签:AR1,112.17,接口,acl,实验,NAT,172.16,ACL,路由 来源: https://blog.csdn.net/qq_27306971/article/details/101162300
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。