PC0
int s 2/0
ip access-group 5ijsj out end
PC1
ping 172.16.4.2 (success)
ping 172.16.4.2 (Replay from 172.16.2.1: Destination host
unreachable)
第十七章 扩展IP访问控制列表配置
实验目标
理解标准IP访问控制列表的原理及功能; 掌握编号的标准IP访问控制列表的配置方法; 你是公司的网络管理员,公司的经理部、财务部们和销
实验背景
售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。
PC1代表经理部的主机、PC2代表销售部的主机、PC3
PC0
扩展IP访问列表的配置包括以下两部:
定义扩展IP访问列表
将扩展IP访问列表应用于特定接口上
21
IP:
172.16.1.2 255.255.255.0 172.16.1.1 172.16.4.2 255.255.255.0 172.16.4.1
Submask: Gateway: IP:
代表财务部的主机。 技术原理
访问列表中定义的典型规则主要有以下:源地址、目标
地址、上层协议、时间区域;
扩展IP访问列表(编号100-199、2000、2699)使用以上
Server0
Submask: Gateway: en conf t host R0 int fa 0/0
ip address 172.16.1.1 255.255.255.0 no shutdown int fa 1/0
ip address 172.16.2.1 255.255.255.0 no shutdown exit en conf t host R1 int fa 1/0
ip address 172.16.2.2 255.255.255.0 no shutdown int s 2/0
ip address 172.16.3.1 255.255.255.0 no shutdown
四种组合来进行转发或阻断分组;可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
Router0
实验步骤
新建Packet Tracer拓扑图
(1)分公司出口路由器与外路由器之间通过V.35电缆串
口连接,DCE端连接在R2上,配置其时钟频率64000;主机与路由器通过交叉线连接。
(2)配置PC机、服务器及路由器接口IP地址。 (3)在各路由器上配置静态路由协议,让PC间能相互(4)在R2上配置编号的IP扩展访问控制列表。 (5)将扩展IP访问列表应用到接口上、。 (6)验证主机之间的互通性。
PC 1台;Server-PT 1台; Router-PT 3台;交叉线;DCE串口线
ping通,因为只有在互通的前提下才涉及到访问控制列表。
Router1
实验设备
clock rate 64000 en conf t host R2 int s 2/0
ip address 172.16.3.2 255.255.255.0 no shutdown int fa 0/0
ip address 172.16.4.1 255.255.255.0 no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.2.2 exit
ip route 0.0.0.0 0.0.0.0 172.16.3.1 eixt
ip route 172.16.1.0 255.255.255.0 172.16.2.1
PC0 echo PC0
ip route 172.16.4.0 255.255.255.0 172.16.3.2 end
show ip route
ping 172.16.4.2(success)
Web浏览器:http://172.16.4.2(success) conf t
access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq access-lint 100 deny icmp host 172.16.1.2 host 172.16.4.2 int s 2/0
ip access-group 100 out end
Web浏览器:http://172.16.4.2(success)
ping 172.16.4.2(Reply from 172.16.2.2: Destination host
Router2
Router1
www
Router0 Router2
Router1
unreachable)
第十八章 网络地址转换NAT配置
实验目标
理解NAT网络地址转换的原理及功能;
掌握静态NAT的配置,实现局域网访问互联网; 你是某公司的网络管理员,欲发布公司的WWW服务。
NAT分为两种类型:NAT(网络地址转换)和NAPT(网
静态NAT:实现内部地址与外部地址一对一的映射。动态NAT:定义一个地址池,自动映射,也是一对NAPT:使用不同的端口来映射多个内网IP地址到
络端口地址转换IP地址对应一个全局地址)。 现实中,一般都用于服务器;
实验背景
现要求将内网Web服务器IP地址映射为全局IP地址,实现外部网络可以访问公司内部Web服务器。 技术原理
网络地址转换NAT(Network Address Translation),被广
一的。现实中,用得比较少;
一个指定的外网IP地址,多对一。 实验步骤
新建Packet Tracer拓扑图
(1)R1为公司出口路由器,其与外部路由器之间通过
泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
默认情况下,内部IP地址是无法被路由到外网的,内部
V.35电缆串口连接,DCE端连接在R1上,配置其时钟频率64000;
(2)配置PC机、服务器及路由器接口IP地址; (3)在各路由器上配置静态路由协议,让PC间能相互(4)在R1上配置静态NAT。 (5)在R1上定义内外网络接口。 (6)验证主机之间的互通性。
PC 1台;Server-PT 1台;Switch_2950-24 1台;Router-PT
主机10.1.1.1要与外部Internet通信,IP包到达NAT路由器时, IP包头的源地址10.1.1.1被替换成一个合法的外网IP,并在NAT转发表中保存这条记录。当外部主机发送一个应答到内网时,NAT路由器受到后,查看当前NAT转换表,用10.1.1.1替换掉这个外网地址。
NAT将网络划分为内部网络和外部网络两部分,局域网
Ping通;
实验设备
主机利用NAT访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的IP地址)后转发数据包;
2台;直连线;交叉线;DCE串口线 22
Server-PT PC0
222.0.2.2 255.255.255.0 222.0.2.1 en conf t host R0 int fa 0/0
ip address 192.168.1.1 255.255.255.0 no shutdown int s 2/0
ip address 222.0.1.1 255.255.255.0 no shutdown clock rate 64000 en conf t host R1 int s 2/0 192.168.1.2 255.255.255.0 192.168.1.1
PC0 PC0
Web浏览器
http://222.0.1.3 (success) CMD
ping 192.168.1.2 (success) http://192.168.1.2 (success) Web浏览器
ip address 222.0.1.2 255.255.255.0 no shut int fa 0/0
ip address 222.0.2.1 255.255.255.0 no shutdown exit;
ip route 222.0.2.0 255.255.255.0 222.0.1.2 exit
ip route 192.168.1.0 255.255.255.0 222.0.1.1 end
show ip route
Router0
Router1
Router0
Router0
int fa 0/0 ip nat inside int s 2/0 ip nat outside exit
ip nat inside source static 192.168.1.2 222.0.1.3 end
show ip nat translations
Router1
Router0
show ip nat translations
第十九章 网络端口地址转换NAPT配置
实验目的
理解NAT网络地址转换的原理及功能; 掌握NAPT的配置,实现局域网访问互联网;
主机利用NAT访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的IP地址)后转发数据包;
NAT分为两种类型:NAT(网络地址转换)和NAPT(网
NAPT:使用不同的端口来映射多个内网IP地址到
实验背景 络端口地址转换IP地址对应一个全局地址)。 一个指定的外网IP地址,多对一。
NAPT采用端口多路复用方式。内部网络的所有主机均可
你是某公司的网络管理员,公司办公网需要接入互联网,
公司只向ISP申请了一条专线,该专线分配了一个公司IP地址,配置实现全公司的主机都能访问外网。 技术原理
NAT将网络划分为内部网络和外部网络两部分,局域网
共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有23
主机,有效避免来自Internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。 实验步骤
新建Packet Tracer拓扑图
(1)R1为公司出口路由器,其与ISP路由器之间通过
PC1
int s 2/0
ip address 200.1.1.1 255.255.255.0 no shutdown clock rate 64000 en conf t host R1 int s 2/0
ip address 200.1.1.2 255.255.255.0 no shutdown int fa 0/0
ip address 200.1.2.1 255.255.255.0 no shutdown exit
ip route 200.1.2.0 255.255.255.0 200.1.1.2 exit
ip route 192.168.1.0 255.255.255.0 200.1.1.1 end
show ip route CMD
ping 200.1.2.2 (success) http://200.1.2.2 (success) Web浏览器
Router1
V.35电缆串口连接,DCE端连接在R1上,配置其时钟频率64000;
(2)配置PC机、服务器及路由器接口IP地址; (3)在各路由器上配置静态路由协议,让PC间能相互(4)在R1上配置NAPT。 (5)在R1上定义内外网络接口。 (6)验证主机之间的互通性。
PC 2台;Server-PT 1台;Switch_2950-24 1台Router-PT 2台;直通线;交叉线;DCE串口线
Ping通;
实验设备
Router0
Router1
PC1 PC2
192.168.1.3 255.255.255.0 192.168.1.1 200.1.2.2 255.255.255.0 200.1.2.1 en conf t host R0 int fa 0/0
ip address 192.168.1.1 255.255.255.0 no shutdown 192.168.1.2 255.255.255.0 192.168.1.1
Router0 PC1 PC2 24
Web浏览器 Web浏览器
http://200.1.2.2 (success) int fa 0/0 ip nat inside int s 2/0 ip nat outside exit
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat pool 5ijsj 200.1.1.3 200.1.1.3 netmask 255.255.255.0 ip nat inside source list 1 pool 5ijsj overload (无overload表end
show ip nat translations(无结果)
Server
示多对多,有overload表示多对一)
Router0
Router0
show ip nat translations(有1个结果)