2.16.3关键技术
配置标准IP访问控制列表:
Ra(config)#access-list 10 deny 172.16.1.0 0.0.0.255 ! 拒绝来自172.16.2.0网段的流量通过 Ra(config)#access-list 10 permit any ! 允许所有网段的流量通过 把访问控制列表在接口下应用。
Ra(config)# interface fastEthernet 0/1
Ra(config-if)#ip access-group 1 in ! 在接口下访问控制列表出栈流量调用
2.16.4故障诊断调试
都能访问主机3;没有配置好拒绝来自主机1的命令
2.16.5 注意事项及心得体会
注意事项:1、注意在访问控制列表的网络掩码是反掩码2、标准控制列表要应用在尽量靠近目的地址的端口上设置
心得体会:掌握了路由器上编号的标准IP访问列表规则及配置,学到了实现网段间互相访问的安全控制的方法。
2.17项目17利用IP扩展ACL实现应用服务的访问限制
2.17.1项目介绍:利用IP扩展访问列表实现应用服务的访问限制 2.17.2项目拓扑
20
2.17.3关键技术
配置命名扩展IP访问控制列表:
3550-24(config)#access-list 101 deny tcp 172.16.3.0 0.0.0.255 host 172.16.1.2 eq FTP ! 禁止FTP服务
3550-24(config)# access-list 101 permit ip any any !允许其它服务
把访问控制列表在靠近目的地址的端口上应用: 3550-24(config)#interface vlan 30
3550-24(config-if)#ip access-group 101 out
2.17.4故障诊断调试
其他服务不能用,没有配置其他服务,没有把访问控制列表在靠近目的地址的端口上应用
2.17.5 注意事项及心得体会
注意事项:1、访问控制列表要在接口下应用;2、要注意deny某个网段后要peimit其他网段。 心得体会:掌握了在交换机上命名的扩展IP访问列表规则及配置,知道了如何实现网段间互相访问的安全控制。
2.18项目18利用NAT实现外网主机访问内网服务器 2.18.1项目介绍:利用NAT实现外网主机访问内网服务器 2.18.2项目拓扑
172.16.8.5/24
F1/0
NAT Lan-router
internet-router
Internet PC
200.1.8.7/24
S1/2
200.1.8.8/24
S1/2
63.19.6.1/24
F1/0
63.19.6.2/24
172.16.8.1/24
Web server FTP server
2.18.3关键技术
在Lan-router上配置静态NAT地址映射关系 lan-router (config)#interface fastethernet 1/0
lan-router (config-if)#ip nat inside !定义F1/0为内部网接口 lan-router (config-if)#exit
lan-router (config)#interface serial 1/2
lan-router (config-if)#ip nat outside !定义S1/2为外部网接口 lan-router (config-if)#exit
lan-router (config)#ip nat inside source static 172.16.8.5 200.1.8.7!定义静态地址映射关系
2.18.4故障诊断调试
外网不能访问内网;路由命令没有配置好
21
2.18.5 注意事项及心得体会
注意事项:1、不要把inside和outside应用的接口弄错;2、要加上能使数据包向外转发的路由,比如默认路由
心得体会:掌握了NAT源地址转换和目的地址转换的区别以及如何向外网发布内网的服务器,学到了如何使内网服务器转换成外网公网IP,被互联网访问。
2.19项目19利用动态NAPT实现局域网访问互联网 2.19.1项目介绍:路由器动态NAPT配置 2.19.2项目拓扑
2.19.3关键技术
配置路由器的动态NAPT:
R1(config)#interface fastethernet 1/0
R1 (config-if)#ip nat inside !定义F1/0为内部网接口 R1 (config)#interface serial 1/2
R1 (config-if)#ip nat outside !定义S1/2为外部网接口
R1(config)#ip nat pool wangluo 200.1.1.1 200.1.1.1 netmask 255.255.255.0 !定义全局地址池,地址池名为wangluo
R1(config)#access-list 2 permit 172.16.1.0 0.0.0.255 !定义允许转换的地址
R1(config)#ip nat inside source list 2 pool wangluo overload !为内部本地调用转换地址池
2.19.4故障诊断调试
局域网不能访问因特网;没有配置好内部本地调用转换地址
2.19.5 注意事项及心得体会
注意事项:1、不要把inside和outside应用的接口弄错;2、要加上能使数据包向外转发的路由,比如默认路由;3、尽量不要用广域网接口地址作为映射的全局地址;
心得体会:理解了NAT网络地址转换的原理及功能以及路由器动态NAPT的配置,从而实现局域网访问互联网;
2.20项目20 综合项目训练一
22
2.20.1项目介绍:通过配置使主机能访问服务器 2.20.2项目拓扑
2.20.3关键技术
spanning-tree vlan 100 priority 8192 interface FastEthernet0/10 no switchport
ip address 10.1.1.2 255.255.255.0 duplex auto speed auto interface Vlan80
ip address 192.168.80.1 255.255.255.0 router rip version 2 network 10.0.0.0 network 192.168.20.0 network 192.168.30.0 network 192.168.80.0 no auto-summary
2.20.4故障诊断调试
路由表没有配置齐全,功能不能全部实现;重新配置路由表,把命令补全。2.20.5 注意事项及心得体会
配置路由表时要细心,将命令写全;
熟悉了路由表的配置,锻炼了自己配置大型网络的能力。
2.21项目21 综合项目训练二
2.21.1项目介绍:配置不同VLAN,使固定主机能访问服务器
23
