项目练习
练习一:
练习目的:通过配置路由器的dhcp功能使pc自动获取ip地址。
Router>enable
Router#configure terminal
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip address 192.168.0.254 255.255.255.0
Router(config-if)#no shutdown
配置dhcp功能
Router(config)#ip dhcp pool test01
Router(dhcp-config)#network 192.168.0.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.0.254
Router(dhcp-config)#dns-server 8.8.8.8
练习二:配置标准acl
配置标准ACL实现拒绝PC1(IP地址为192.168.1.1)对外问网络192.168.2.1的访问
步骤一:在R1上配置接口IP
tarena-R1(config)#interface f0/0
tarena-R1(config-if)#ip address 192.168.1.254 255.255.255.0
tarena-R1(config-if)#no shutdown
tarena-R1(config-if)#interface f0/1
tarena-R1(config-if)#ip address 192.168.2.254 255.255.255.0
tarena-R1(config-if)#no shutdown
测试主机到192.168.2.1的连通性
在实施ACL之前先检查网络是否能够正常通信,因为没有任何限制,网络应该是处于连通状态。
步骤二:在R1上配置标准访问控制列表,并应用到Fa0/0端口
ACL的匹配规则中,最后有一条隐含拒绝全部。如果语句中全部是拒绝条目,那么最后必须存在允许语句,否则所有数据通信都将被拒绝。
tarena-R1(config)#access-list 1 deny host 192.168.1.1
tarena-R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
tarena-R1(config)#interface f0/0
tarena-R1(config-if)#ip access-group 1 in
步骤三:分别在两台主机上测试到192.168.2.1的连通性
结果显示PC2(IP地址为192.168.1.2)可以正常访问192.168.2.1,而PC1(IP地址为192.168.1.1)已经被192.168.1.254(R1)拒绝。
步骤五:在R1上查看相关的ACL信息
tarena-R1#show ip access-lists
Standard IP access list 1
10 deny host 192.168.1.1 (4 match(es))
20 permit 192.168.1.0 0.0.0.255 (8 match(es)
练习三:配置扩展ACL
在网络中很有可能要允许或拒绝的并不是某一个源IP地址,而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。
2.1 问题
配置扩展ACL允许pc1访问pc4的www服务但拒绝访问PC4的其他服务,PC2、PC3无限制。
2.2 方案
为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。
步骤一:在三台路由器中配置IP、ospf动态路由实现全网互通
步骤二:测试192.168.4.1的http服务能否在PC1、PC2和PC3上正常访问
步骤三:R1上配置扩展访问控制列表,PC1仅允许到Web Server的HTTP服务(不允许访问其他服务),PC2、PC3无限制
tarena-R1(config)#access-list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq 80
tarena-R1(config)#access-list 100 deny ip host 192.168.1.1 host 192.168.4.1
tarena-R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1
tarena-R1(config)#interface fastEthernet 0/0
tarena-R1(config-if)#ip access-group 100 in
步骤四:在PC1上验证
结果是PC1到Web Server的http服务访问没有受到影响但不能访问其他服务。
练习四:配置静态NAT
通过配置静态nat使内网的服务器通过公网地址100.0.0.2发布到外网
使外网pc可以通过100.0.0.2访问服务器
=
配置ip地址与网关,并打开路由器接口
配置nat条目
Router>enable
Router#configure terminal
Router(config)#ip nat inside source static 192.168.0.1 100.0.0.2
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip nat outside
练习五:配置静态NAT端口映射
通过配置静态nat端口映射使内网的服务器通过公网地址100.0.0.2只将www服务发布到外网
1,配置ip地址与网关,并打开路由器接口
2,配置nat条目
Router>enable
Router#configure terminal
Router(config)#ip nat inside source static tcp 192.168.0.1 80 100.0.0.2 80
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip nat outside
练习六:配置PAT
通过配置pat使pc主机都可以使用路由器f0/1的公网地址访问外网服务器
Router>enable
Router#configure terminal
Router(config)#access-list 1 permit any
Router(config)#ip nat inside source list 1 interface fastEthernet 0/1 overload
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip nat outside
dhcp配置需求:
ip范围
子网掩码
网关
dns
保留范围
使用标准acl限制192.168.2.2访问1.1
1,确定被限制的主机,使用access-list 1 deny host 192.168.2.2 创建acl列表
为了使192.168.2.3可以通过,需要追加access-list 1 permit host 192.168.2.3
2,把列表应用在接口中,先进入接口模式,然后根据数据来源的方向配置ip access-group 1 in
A 1~127 10.0.0.0
B 128~191 172.16.0.0~172.31.255.255
C 192~223 192.168.0.0~192.168.255.255
使用PAT(端口多路复用)
1,配置ip
2,使用标准acl确定哪个范围的主机可以访问外网
access-list 1 permit any
3,配置PAT条目
ip nat inside source list 1 interface FastEthernet0/1 overload
4,在接口中应用
内网接口 ip nat inside
外网接口 ip nat outside
察看nat缓存记录
Router#show ip nat translations
清空nat缓存记录
Router#clear ip nat translation *
开启nat排错功能
Router#debug ip nat
关闭排错功能能
Router#u all