ACL，NAT的使用

 项目练习

练习一：

练习目的：通过配置路由器的dhcp功能使pc自动获取ip地址。

Router>enable

Router#configure terminal

Router(config)#interface fastEthernet 0/0

Router(config-if)#ip address 192.168.0.254 255.255.255.0

Router(config-if)#no shutdown

配置dhcp功能

Router(config)#ip dhcp pool test01

Router(dhcp-config)#network 192.168.0.0 255.255.255.0

Router(dhcp-config)#default-router 192.168.0.254

Router(dhcp-config)#dns-server 8.8.8.8

---

练习二：配置标准acl

配置标准ACL实现拒绝PC1（IP地址为192.168.1.1）对外问网络192.168.2.1的访问

 

步骤一：在R1上配置接口IP

tarena-R1(config)#interface f0/0

tarena-R1(config-if)#ip address 192.168.1.254 255.255.255.0

tarena-R1(config-if)#no shutdown

tarena-R1(config-if)#interface f0/1

tarena-R1(config-if)#ip address 192.168.2.254 255.255.255.0

tarena-R1(config-if)#no shutdown

测试主机到192.168.2.1的连通性

在实施ACL之前先检查网络是否能够正常通信，因为没有任何限制，网络应该是处于连通状态。

步骤二：在R1上配置标准访问控制列表，并应用到Fa0/0端口

ACL的匹配规则中，最后有一条隐含拒绝全部。如果语句中全部是拒绝条目，那么最后必须存在允许语句，否则所有数据通信都将被拒绝。

tarena-R1(config)#access-list 1 deny host 192.168.1.1

tarena-R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255

tarena-R1(config)#interface f0/0

tarena-R1(config-if)#ip access-group 1 in

步骤三：分别在两台主机上测试到192.168.2.1的连通性

结果显示PC2（IP地址为192.168.1.2）可以正常访问192.168.2.1，而PC1（IP地址为192.168.1.1）已经被192.168.1.254（R1）拒绝。

步骤五：在R1上查看相关的ACL信息

tarena-R1#show ip access-lists

Standard IP access list 1

10 deny host 192.168.1.1 (4 match(es))

20 permit 192.168.1.0 0.0.0.255 (8 match(es)

---

练习三：配置扩展ACL

在网络中很有可能要允许或拒绝的并不是某一个源IP地址，而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。

2.1 问题

配置扩展ACL允许pc1访问pc4的www服务但拒绝访问PC4的其他服务，PC2、PC3无限制。

2.2 方案

为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。

步骤一：在三台路由器中配置IP、ospf动态路由实现全网互通

步骤二：测试192.168.4.1的http服务能否在PC1、PC2和PC3上正常访问

步骤三：R1上配置扩展访问控制列表，PC1仅允许到Web Server的HTTP服务（不允许访问其他服务），PC2、PC3无限制

tarena-R1(config)#access-list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq 80

tarena-R1(config)#access-list 100 deny ip host 192.168.1.1 host 192.168.4.1

tarena-R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1

tarena-R1(config)#interface fastEthernet 0/0

tarena-R1(config-if)#ip access-group 100 in

步骤四：在PC1上验证

结果是PC1到Web Server的http服务访问没有受到影响但不能访问其他服务。

---

练习四：配置静态NAT

通过配置静态nat使内网的服务器通过公网地址100.0.0.2发布到外网

使外网pc可以通过100.0.0.2访问服务器

=

配置ip地址与网关，并打开路由器接口

配置nat条目

Router>enable

Router#configure terminal

Router(config)#ip nat inside source static 192.168.0.1 100.0.0.2

Router(config)#interface fastEthernet 0/0

Router(config-if)#ip nat inside

Router(config)#interface fastEthernet 0/1

Router(config-if)#ip nat outside

---

练习五：配置静态NAT端口映射

通过配置静态nat端口映射使内网的服务器通过公网地址100.0.0.2只将www服务发布到外网

1，配置ip地址与网关，并打开路由器接口

2，配置nat条目

Router>enable

Router#configure terminal

Router(config)#ip nat inside source static tcp 192.168.0.1 80 100.0.0.2 80

Router(config)#interface fastEthernet 0/0

Router(config-if)#ip nat inside

Router(config)#interface fastEthernet 0/1

Router(config-if)#ip nat outside

---

练习六：配置PAT

通过配置pat使pc主机都可以使用路由器f0/1的公网地址访问外网服务器

Router>enable

Router#configure terminal

Router(config)#access-list 1 permit any

Router(config)#ip nat inside source list 1 interface fastEthernet 0/1 overload

Router(config)#interface fastEthernet 0/0

Router(config-if)#ip nat inside

Router(config)#interface fastEthernet 0/1

Router(config-if)#ip nat outside

---

dhcp配置需求：

ip范围

子网掩码

网关

dns

保留范围

使用标准acl限制192.168.2.2访问1.1

1,确定被限制的主机,使用access-list 1 deny host 192.168.2.2  创建acl列表

为了使192.168.2.3可以通过,需要追加access-list 1 permit host 192.168.2.3

2,把列表应用在接口中,先进入接口模式,然后根据数据来源的方向配置ip access-group 1 in

A 1~127     10.0.0.0

B 128~191   172.16.0.0~172.31.255.255

C 192~223   192.168.0.0~192.168.255.255

使用PAT（端口多路复用）

1，配置ip

2，使用标准acl确定哪个范围的主机可以访问外网

access-list 1 permit any

3，配置PAT条目

ip nat inside source list 1 interface FastEthernet0/1 overload

4，在接口中应用

内网接口 ip nat inside

外网接口 ip nat outside

察看nat缓存记录

Router#show ip nat translations

清空nat缓存记录

Router#clear ip nat translation *

开启nat排错功能

Router#debug ip nat

关闭排错功能能

Router#u all