学习目的:
1.掌握VLAN的划分和配置方法。
2.掌握NAT服务的配置方法。
相关理论:
- NAT(Network Address Translation,网络地址转换)
- 工作原理:
- – 借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
- – NAT将自动修改IP报文的源IP地址和目的IP地址,IP地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文的数据部分进行修改,以匹配IP头中已经修改过的源IP地址。否则,在报文数据部分嵌入IP地址的应用程序就不能正常工作。
- 功能:
- – NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
- – 宽带分享:这是 NAT 主机的最大功能。
- – 安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描) 的时候,就侦测不到源Client 端的 PC。
学习内容:
- 通过对三层交换机VLAN配置,学习配置NAT服务。
- 利用第三层交换机划分VLAN,实现VLAN的划分的网络之间互相访问,实现VLAN间路由,VLAN网络中的设备访问服务器Server1。
- 通过VLAN划分网络中的设备访问到外网web服务器,外界在进行 portscan(端口扫描) 的时候,就侦测不到内网中的 PC,从而确保了内网的网络安全。
一、建立如下Packet Tracer拓扑图。配置Server1,Server1服务器的IP地址及网关,启动路由器接口,配置路由器端口IP、子网掩码。
一、配置路由器Router2,Router3,采用静态路由协议。
Router>en
Router#conf t
Router(config)#interface fa0/0
Router(config-if)#ip address 10.1.1.20 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fa0/1
Router(config-if)#ip address 30.1.1.10 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface eth1/0
Router(config-if)#ip address 20.1.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#ip route 40.1.1.0 255.255.255.0 30.1.1.20
Router(config)#
Router>en
Router#conf t
Router(config)#interface fa0/0
Router(config-if)#ip address 30.1.1.20 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fa0/1
Router(config-if)#ip address 40.1.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#ip route 10.1.1.0 255.255.255.0 30.1.1.10
Router(config)#ip route 20.1.1.0 255.255.255.0 30.1.1.10
Router(config)#exit
二、交换机Switch0,Switch1配置VLAN10与VLAN20,及在三层交换机上创建 vlan及vlan 端口配置,与计算机网络之三层交换机VLAN间路由配置相同,在此基础上进行配置即可。
Switch>en
Switch#conf t
Switch(config)#interface vlan 10
Switch(config-if)#ip helper-address 192.168.4.10
Switch(config-if)#exit
Switch(config)#interface vlan 20
Switch(config-if)#ip helper-address 192.168.4.10
Switch(config-if)#exit
//指定默认路由 边界路由器内网接口地址
Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.20
三、配置Server1上DHCP服务及DNS服务。实现VLAN10与VLAN20动态获取IP。配置Server2为DNS服务器,进行域名解析,Server0为Web服务器启用HTTP服务。
四、配置边界路由器Router1。
Router>en
Router#conf t
Router(config)#interface fa0/0
Router(config-if)#ip address 192.168.3.20 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fa0/1
Router(config-if)#ip address 10.1.1.10 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface eth1/0
Router(config-if)#ip address 192.168.4.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#route rip
Router(config-router)#network 192.168.3.0
Router(config-router)#network 192.168.4.0
Router(config-router)#version 2
Router(config-router)#exit
Router(config)#
//边际路由器上路由表设置内网动态,外网静态写访问控制列表
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit 192.168.2.0 0.0.0.255
//内外网地址转换,允许以上网段地址(list 1)转换到公网接口传输,fa0/1指外网接口
Router(config)#ip nat inside source list 1 interface fa0/1
//指定路由器内外网接口
Router(config)#interface fa0/1
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#interface fa0/0
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#interface eth1/0
Router(config-if)#ip nat inside
Router(config-if)#exit
//配置静态路由
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip route 20.1.1.0 255.255.255.0 10.1.1.20
Router(config)#ip route 30.1.1.0 255.255.255.0 10.1.1.20
Router(config)#ip route 40.1.1.0 255.255.255.0 10.1.1.20
Router(config)#do show ip route
五、获取到IP地址及DNS服务器地址,ping通外网,实现Web上网。
六、注意事项。1.在三层交换机上开启路由功能 ip routing。2.检查网关是否存在,有时不能ping通是网关掉了。3.用tracert命令查找哪里ping不通。
