堂-DayDayUP VIM Linux Life
堂-DayDayUP
VIM Linux Life

思科ACL、DHCP、NAT配置

已发表 -更新

配置标准ACL

实验拓扑:

实验目标:

1:学会配置编号标准ACL

2:学会配置命名标准ACL

3:理解命名ACL 的优点

实验步骤:

1:配置全网OSPF 路由协议,实现全网通信

2:部署合适的编号标准ACL,实现PC0不能访问S0,其它均可正常访问

3:使用命名标准ACL 完成此实验

实验配置:

1:配置OSPF

R1(config)#router ospf 1

R1(config-router)#network 192.168.1.254 0.0.0.0 area 0

R1(config-router)#network 192.168.2.254 0.0.0.0 area 0

R1(config-router)#network 192.168.12.1 0.0.0.0 area 0

R2(config)#router ospf 1

R2(config-router)#network 172.16.1.254 0.0.0.0 area 0

R2(config-router)#network 192.168.12.2 0.0.0.0 area 0

2:配置标准ACL(使用编号)

R2(config)#access-list 1 deny host 192.168.1.1

R2(config)#access-list 1 permit any

R2(config)#interface fa0/0

R2(config-if)#ip access-group 1 out

PC0 测试全网通信

R2#show ip interface fa0/0

FastEthernet0/0 is up, line protocol is up (connected)

Internet address is 172.16.1.254/24

Broadcast address is 255.255.255.255

Address determined by setup command

MTU is 1500 bytes

Helper address is not set

Directed broadcast forwarding is disabled

Outgoing access list is 1

Inbound access list is not set

(以下省略部分输出)

R2#show access-lists

Standard IP access list 1

deny host 192.168.1.1 (2 match(es))

permit any

3:编号ACL存在的问题

删除语句问题:

R1(config)#access-list 10 permit host 10.1.1.1

R1(config)#access-list 10 permit host 10.1.1.2

R1(config)#access-list 10 permit host 10.1.1.3

R1(config)#access-list 10 permit host 10.1.1.4

R1(config)#do show access-list 10

Standard IP access list 10

permit host 10.1.1.1

permit host 10.1.1.2

permit host 10.1.1.3

permit host 10.1.1.4

R1(config)#no access-list 10 permit host 10.1.1.3

R1(config)#do show access-list 10

插入语句问题:

R1(config)#access-list 11 permit 10.1.1.0 0.0.0.255

R1(config)#access-list 11 permit 10.1.2.0 0.0.0.255

R1(config)#access-list 11 permit 10.1.3.0 0.0.0.255

R1(config)#do show access-list 11

Standard IP access list 11

permit 10.1.1.0 0.0.0.255

permit 10.1.2.0 0.0.0.255

permit 10.1.3.0 0.0.0.255

R1(config)#access-list 11 deny host 10.1.1.1

R1(config)#access-list 11 deny host 10.1.1.2

R1(config)#do show access-list 11

Standard IP access list 11

permit 10.1.1.0 0.0.0.255

permit 10.1.2.0 0.0.0.255

permit 10.1.3.0 0.0.0.255

deny host 10.1.1.1

deny host 10.1.1.2

4:配置命名标准ACL

R2(config)#no access-list 1

R2(config)#interface fa0/0

R2(config-if)#no ip access-group 1 out

R2(config)#ip access-list standard ccna

R2(config-std-nacl)#deny host 192.168.1.1

R2(config-std-nacl)#permit any

R2(config-std-nacl)#interface fa0/0

R2(config-if)#ip access-group ccna out

 

配置扩展ACL

实验拓扑:

实验目标:

1:学会配置编号扩展ACL

2:学会配置命名扩展ACL

实验步骤:

1:使用编号扩展ACL,在拓扑一中实现不允许PC0 ping R1,但是允许R1PC0 进行ping测试

2:使用命名扩展ACL,在拓扑二中实现只允许PC1R2进行telnet 远程管理

3:使用标准ACL 完成步骤2

实验配置:

1:拓扑一的基本配置

R1(config)#enable secret ccna

R1(config)#line vty 0 4

R1(config-line)#password ccna

R1(config-line)#login

PC0 R1互相做ping 测试(略)

2:配置拓扑一的ACL

R1(config)#access-list 100 deny icmp host 192.168.1.1 host 192.168.1.254 echo

R1(config)#access-list 100 permit ip any any

R1(config)#interface fa0/0

R1(config-if)#ip access-group 100 in

R1#ping 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 0/8/33 ms

3:拓扑二的基本配置

R2(config)#enable secret ccna

R2(config)#line vty 0 10

R2(config-line)#login

R2(config-line)#password ccna

PC1PC2PC3分别对路由器做telnet测试(略)

4:配置拓扑二的ACL(命名扩展)

R2(config)#ip access-list extended ccna

R2(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.1.254 eq 23

R2(config-ext-nacl)#deny tcp any host 192.168.1.254 eq 23

R2(config-ext-nacl)#permit ip any any

R2(config-ext-nacl)#interface fa0/0

R2(config-if)#ip access-group ccna in

PC1 telnet R1测试:

PC2 telnet R1测试,并用ping 测试其他流量是否正常:

PC3 telnet R1测试,并用ping 测试其他流量是否正常:

5:使用标准ACL实现telnet访问控制

R2(config)#access-list 1 permit host 192.168.1.1

R2(config)#line vty 0 15

R2(config-line)#access-class 1 in

 

DHCP基础配置

1:配置R1 DHCP 服务器,为本地网段分配地址

R1(config)#ip dhcp pool ccna

R1(dhcp-config)#network 192.168.1.0 255.255.255.0

R1(dhcp-config)#default-router 192.168.1.254

R1(dhcp-config)#dns-server 61.177.7.1

R1(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.9

R1(config)#ip dhcp excluded-address 192.168.1.251 192.168.1.254

2:配置OSPF 协议

R1(config)#router ospf 1

R1(config-router)#network 192.168.12.0 0.0.0.255 area 0

R1(config-router)#network 192.168.1.0 0.0.0.255 area 0

R2(config)#router ospf 1

R2(config-router)#network 192.168.12.0 0.0.0.255 area 0

R2(config-router)#network 192.168.2.0 0.0.0.255 area 0

3:为PC3 配置DHCP 地址池

R1(config)#ip dhcp pool ccnp

R1(dhcp-config)#network 192.168.2.0 255.255.255.0

R1(dhcp-config)#default-router 192.168.2.254

R1(dhcp-config)#dns-server 61.177.7.1

R1(dhcp-config)#exit

R1(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.9

R1(config)#ip dhcp excluded-address 192.168.2.251 192.168.2.254

4:配置DHCP 中继,为跨网段终端提供地址

R2(config)#interface fa0/0

R2(config-if)#ip helper-address 192.168.12.1

 

NAT基础配置

1:配置R1静态默认路由,模拟内网

2:配置动态NAT,使得内网可以用端口S0/3/0 访问外部网络

3:配置静态NAT,实现PC1 可以访问S0web 服务和FTP服务,FTP 用户名密码均为默认

实验配置:

1:配置内网边界默认路由

R1(config)#ip route 0.0.0.0 0.0.0.0 s0/3/0

2:配置内网动态NAT,实现内网访问外网

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255

R1(config)#ip nat inside source list 1 interface s0/3/0 overload

R1(config)#interface fa0/0

R1(config-if)#ip nat inside

R1(config-if)#interface s0/3/0

R1(config-if)#ip nat outside

3:配置静态NAT,实现外网访问内网部分资源

R1(config)#ip nat inside source static tcp 192.168.1.2 80 12.1.1.1 80

R1(config)#ip nat inside source static tcp 192.168.1.2 20 12.1.1.1 20

R1(config)#ip nat inside source static tcp 192.168.1.2 21 12.1.1.1 21

配置思科NAT 静态端口映射

实验目标:

1:理解NAT 的工作原理

2:实现NAT 静态端口映射,实现外网访问内网资源

实验步骤:

1:配置R1静态默认路由,模拟内网

2:配置动态NAT,使得内网可以用端口S0/3/0 访问外部网络

3:配置静态NAT,实现PC1 可以访问S0web 服务和FTP服务,FTP 用户名密码均为默认

实验配置:

1:配置内网边界默认路由

R1(config)#ip route 0.0.0.0 0.0.0.0 s0/3/0

2:配置内网动态NAT,实现内网访问外网

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255

R1(config)#ip nat inside source list 1 interface s0/3/0 overload

R1(config)#interface fa0/0

R1(config-if)#ip nat inside

R1(config-if)#interface s0/3/0

R1(config-if)#ip nat outside

PC0S0 上测试访问外网PC1

查看 NAT 转换表

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

icmp 12.1.1.1:2 192.168.1.1:2 192.168.2.1:2 192.168.2.1:2

icmp 12.1.1.1:3 192.168.1.1:3 192.168.2.1:3 192.168.2.1:3

icmp 12.1.1.1:4 192.168.1.1:4 192.168.2.1:4 192.168.2.1:4

icmp 12.1.1.1:1024 192.168.1.2:1 192.168.2.1:1 192.168.2.1:1024

icmp 12.1.1.1:1025 192.168.1.2:2 192.168.2.1:2 192.168.2.1:1025

icmp 12.1.1.1:1026 192.168.1.2:3 192.168.2.1:3 192.168.2.1:1026

icmp 12.1.1.1:1027 192.168.1.2:4 192.168.2.1:4 192.168.2.1:1027

3:配置静态NAT,实现外网访问内网部分资源

R1(config)#ip nat inside source static tcp 192.168.1.2 80 12.1.1.1 80

R1(config)#ip nat inside source static tcp 192.168.1.2 20 12.1.1.1 20

R1(config)#ip nat inside source static tcp 192.168.1.2 21 12.1.1.1 21

在外部主机PC1测试访问内网服务器资源