PC1
Clinent1
Server1
啟動http服務
啟動Ftp服務
Client2
Server2
啟動ftp服務
啟動http服務
網關路由器Gateway
<Huawei>system-view
[Huawei]sysname Gateway
[Gateway]interface GigabitEthernet 0/0/2
[Gateway-GigabitEthernet0/0/2]ip address 192.168.1.1 24
[Gateway]interface GigabitEthernet 0/0/0
[Gateway-GigabitEthernet0/0/0]ip address 200.1.1.2 29
互聯網路由器Interner
<Huawei>system-view
[Huawei]sysname Internet
[Internet]interface GigabitEthernet 0/0/0
[Internet-GigabitEthernet0/0/0]ip address 200.1.1.1 29
[Internet]interface GigabitEthernet 0/0/2
[Internet-GigabitEthernet0/0/2]ip address 100.1.1.1 24
如果内網用戶想要訪問公網設備,那麼首先内網網關路由器可以訪問,本實驗中目前網關路由器Gateway無法訪問100.1.1.1這台服務器
[Gateway]ping 100.1.1.1
由上圖知悉,網關路由器Ping不通公網上的100.1.1.1這台主機,下面在網關路由器上查看路由表
[Gateway]disp ip routing-table
由上圖知悉,在網關路由器上沒有到100.1.1.0網段的路由,自然也就無法ping通。
所以在Gateway網關路由器上寫一條默認路由到Internet路由器上,
[Gateway]ip route-static 0.0.0.0 0 200.1.1.1
再測試
[Gateway]ping 100.1.1.1
由上圖知悉,已經鍊路通了
同時公網上的設備Client2也可以訪問網關路由器Gateway的200.1.1.2接口
此時網關路由器到Internet的鍊路已經打通。
三、實驗需求PC1不能訪問Internet
Client1可以訪問Internet
Server1為Internet提供http服務,不提供Ftp 服務
Client1可以訪問Server2的http服務和ftp服務
Client2可以訪問Server1的http服務
Server1被訪問的地址是200.1.1.3,Client1的上網方式為Nat 的EasyIp方式
四、完成實驗要求4.1網關路由器配置先調通所有的網絡,再做限制。
定義一個規則編号是2001,這個規則的内容是允許源是192.168.1.0網段的設備通過
[Gateway]acl 2001
[Gateway-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255
進入網關路由器連接公網的接口ge0/0/0,把2001規則應用到nat的出口上,這就是EasyIp.
[Gateway]interface GigabitEthernet 0/0/0
[Gateway-GigabitEthernet0/0/0]nat outbound 2001
查看
[Gateway-GigabitEthernet0/0/0]disp nat outbound
測試
在内網的PC1上ping公網上的Server2
由上圖知悉,内網的PC1可以訪問公網上的Server2。
内網的Client1也可以訪問到公網的Server2的http服務
内網的Client1也可以訪問到公網的Server2的ftp服務
目前為止,内網用戶完全可以訪問外網設備,為了達到實驗要求,必須先使網絡全部打通,然後根據策略,完成要求操作,這是配置策略的一般思路。
4.2按照要求限制PC1不能訪問Internet
一種方法是在acl 2001規則中增加一條要求,阻止PC1訪問外網即可,這個要求必須放置在rule 5之前。
[Gateway]disp acl 2001
[Gateway-acl-basic-2001]rule 3 deny source 192.168.1.100 0
再次查看
[Gateway-acl-basic-2001]dis th
測試
内網的PC1到外網的Server2
由上圖知悉,現在内網的PC1到外網的Server2網絡不通了。
Client1可以訪問Internet
Client1可以訪問Server2的http服務和ftp服務
Server1為Internet提供http服務,不提供Ftp 服務,Server1被Client2訪問的地址是200.1.1.3
首先在内網測試Server1上ftp和http服務是否正常
由上圖知悉,内網的Client到Server1上ftp和http服務是正常的,說明Server1提供的http和ftp服務是正常的。
在網關路由器的公網接口ge0/0/0上做服務器的nat映射
[Gateway]int g0/0/0
[Gateway-GigabitEthernet0/0/0]nat server protocol tcp global 200.1.1.3 80 inside
192.168.1.150 80
Nat服務器映射協議是tcp,外網地址是200.1.1.3,端口是80,内網服務器地址是192.168.1.150,端口是80.
查看
[Gateway-GigabitEthernet0/0/0]disp this
這裡看到nat server和nat outbound可以同時存在于一個端口上,互不影響。
測試
抓包顯示
由以上知悉,外網的Client2可以訪問200.1.1.3(内網的192.168.1.150)的http服務,但是不能訪問200.1.1.3(内網的192.168.1.150)的ftp服務。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!