实验四 ACL NAT

实验报告四 ACL NAT

实验拓扑图

实验四 ACL NAT_第1张图片

requirment

  • 注意:IP网段统统使用 24/子网掩码
    1. 依照网络规划进行全网互联实施,内网管理vlan为vlan10,Server的地址为172.16.1.1,Switch的管理地址为172.16.1.2,PC属于vlan20,地址为172.16.2.1。
    2. 在网关上配置单臂路由,起相应子接口f0/0.10和f0/0.20,对应地址如上。要求实现vlan10和vlan20之间的通信,PC可以正常访问内部Server。
    3. R2、R3为广域网上的路由器,对应接口IP地址如图,要求在R2和R3上起OSPF协议,默认为area0,实现R2和R3之间的路由学习。ISP-Server为外部服务器,地址为112.18.1.1(在R3上通过回环接口模拟)。
    4. 在网关上通过默认路由与NAT实现内网与外网通信,要求采用easy-ip实现。写出相应配置。要求PC可以正常访问ISP-Server服务器。
    5. 在网关上配置基本访问列表,要求交换机不能telnet登录该网关,而其他设备可以正常telnet登录,并在相应的vty链路下调用该访问控制列表。
    6. 在网关上配置静态端口映射,将内部Server的80端口映射到外网接口的80端口,使得外部可以通过购买的ip 112.17.12.10/24这个地址访问内部服务器。
    7. 在网关配置高级ACL,使得内部Server可以ping通PC,但是PC不能ping通Server
    8. 在R2上配置高级的ACL,使得R1可以telnet登录R3,R3无法telnet登录R1

实验步骤

  • 首先在ensp上面进行实验拓扑图的搭建:

    实验四 ACL NAT_第2张图片

  • 然后按照实验拓扑图进行全网IP地址的规划,并且正确的配置在PC、服务器、路由器、客户端上面,配置命令不在详细罗列出,前三个实验已经详细说明,不在累赘

  • 实验的1、2步为单臂路由的配置过程,实验的第3步为动态路由OSPF的协议配置过程,这里不再累赘,详细见实验二和实验三,我们这里主要针对ACL和NAT地址转换的过程进行详细介绍

  • 我们直接开始实验的第4步,但是这里有两个问题:

    1. 问题1:路由器AR1作为边界路由器,划分了内网和外网的边界,内网由两个vlan组成,通过单臂路由进行通信,外网由两个路由器AR2和AR3进行通信,之间通过OSPF动态路由协议生成各自的路由表,现在最大的问题在于,内网使用的是私有IP,外网使用的是外网专用的公有IP,因此这里必须在路由器AR1上面做一个NAT地址转换,把来自内网的数据包的IP源地址,转换成外网专用的公有IP地址,相关命令如下:

      • [AR1]acl 2000 //建立访问控制列表,编号2000,属于基本的访问控制列表
      • [AR1-acl-basic-2000]rule permit source 172.16.2.1 0 //建立一条规则允许源IP为172.16.2.1的数据包通过
      • [AR1-acl-basic-2000]rule deny source any //拒绝所有的规则,因为华为的ACL默认如果一个acl条目都没有匹配的话,那么久允许通过,所以我们需要加上这一个规则
      • [AR1-GigabitEthernet0/0/1]nat outbound 2000 //路由器AR1的g0/0/1出接口方向上做一个端口nat(easy-ip),采用编号为2000的acl访问控制列表中的规则,你会发现,这里只允许PC1的发出的数据包进行nat转换
      • 大功告成,你可以发现PC1发送的数据包可以把源IP地址转换成g0/0/1这个接口的IP地址,不管内网有多少台PC,转换后源IP地址都为g0/0/1这个接口的IP地址,这也是端口nat的优点,可以节约IP地址
    2. 问题2:虽然nat的问题解决了,但是AR1还没有通往外网的路由条目,这可该咋办了,有同学会说,给AR1也配个动态路由吧,你这是在开玩笑了,哈哈!实际工作中AR1外面可不止AR2和AR3这两台路由器了,那咋办了,好解决,给AR1配一个默认路由就解决了问题,为什么了?因为配上默认路由之后,AR2相当于是AR1的网关,凡是AR1转发的数据包,都可以通过AR2进行帮助转发,相关命令如下:

      • [AR1]ip route-static 0.0.0.0 0.0.0.0 112.17.12.2 //任何需要转发的数据包,都找我的下一跳112.17.12.2这个接口路由器
    3. 通过解决上面两个,问题,PC1就可以ping通AR3上面的回环口,也就是IPC-SERVER了

    4. 结果如下:

      实验四 ACL NAT_第3张图片

  • 实验第5步,要求交换机telnet vlan10的网关,大家可能很奇怪,交换机,属于数据链路层次的设备,连IP报头都不能封装,何谈telnet网关,上面实验不是给交换机配置了一个虚拟接口吗?,如下图:

    1. 实验四 ACL NAT_第4张图片

      • 我们就看vlanif10这个接口,顾明思意,接口属于vlan10,其ip地址为172.16.1.2 /24,这不就可以封装IP报头了吗
    2. 下一步进入路由器AR1,配置acl,以及vty,命令如下:

      • [AR1]acl 2001 //建立编号为2001的acl访问控制列表

      • [AR1-acl-basic-2001]rule deny source 172.16.1.2 0 //建立一条规则,拒绝源ip地址为172.16.1.2的数据包

      • [AR1]user-interface vty 0 4 //进入vty 0~4这5个线路

      • [AR1-ui-vty0-4]authentication-mode password //配置密码

      • [AR1-ui-vty0-4]user privilege level 15 //登入到这个终端的用户,权限为15,最高

      • [AR1-ui-vty0-4]acl 2001 inbound //把访问控制列表应用在vty的登入方向上面

      • 这里需要注意,在vty里面,acl表会默认加上一条拒绝所有的规则,大家一定要注意

    3. 然后我们就可以发现交换机不能telnet网关了,而其它设备却可以的

  • 实验第六步,通过客户端通过http协议访问内网服务器Server1,这里我们只需要做一个NAT服务器,并且做一个简单的映射就好了,命令如下

    1. [AR1-GigabitEthernet0/0/1]nat server protocol tcp global 112.17.12.10 www inside 172.16.1.1 www //当访问目标ip为112.17.12.10的主机时候,很明显112.17.12.10和112.17.12.0 /24这个网段最匹配,所以数据包从AR2的g0/0/0出去,到达AR1的g0/0/1接口,并且做一个NAT转换,把目标ip改成了172.16.1.1,端口号映射为www这个服务对应的端口号,然后客户端就可以正常访问服务器了
  • 实验第7部,这个很简单,做一个单向的限制icmp协议的ACL就可以了,在AR1g0/0/0.20虚拟接口的入方向上,命令如下:

    1. [AR1]acl 3000
    2. [AR1-acl-adv-3000]rule deny icmp source 172.16.2.1 0 destination 172.16.1.1 0 ic
      mp-type echo //限制相应IP地址的ping命令请求包
    3. [AR1]int g0/0/0.20
    4. [AR1-GigabitEthernet0/0/0.20]traffic-filter inbound acl 3000
    5. 然后可以发现,PC1无法ping通服务器了 实验四 ACL NAT_第5张图片
  • 实验第8步:直接在AR2的g0/0/1接口的入方向

    1. [AR2-acl-adv-3000]

    2. [AR2-acl-adv-3000]rule deny tcp source 112.17.23.1 0 destination 112.17.12.1 0 destination-port
      eq telnet

    3. 然后你就可以发现AR3无法telnetAR1了:

      telnet 112.17.12.1
       Press CTRL_] to quit telnet mode
       Trying 112.17.12.1 ...
       Error: Can't connect to the remote host
      

实验总结

  • 通过本次,把之前学习过的单臂路由、OSPF协议的配置和默认路由全部复习巩固了一遍,此外还把ACL和NAT这两种技术学习了一遍,但是我发现自己还是有很多的不足,我会再接再励!

你可能感兴趣的:(华为router,and,switcher)