成都理工大学工程技术学院
如果要让 PC1 不能 ping 通Server,但是能够访问 Server 上共享的资源,那么,我们可以使用高级访问控制列表,ACL number 为:100-199。 我们保持原路由器的接口配置信息,删除已经配置的标准访问控制列表,加入扩展访问控制列表。
在R1上设置扩展访问控制列表:
R1(config)#access-list 101 deny icmp host 1.1.1.2 host 3.1.1.2 R1(config)#access-list 101 permit ip host 1.1.1.2 host 3.1.1.2 R1(config)#access-list 101 permit ip any any R1(config)#^Z
R1(config)#int serial 1/0
R1(config-if)#ip access-group 101 out R1(config-if)#^Z
在PC1上ping 服务器server
图5.7
在PC1上访问WEB SERVER
图5.8
说明了PC1 不能 ping 通 PC2,但是能够访问 PC2 上共享的资源,完成了扩展访问控制列表的设置。
34
成都理工大学工程技术学院
实验六:PPP协议 网络地址转换
一、实验目的
1. 掌握PPP协议的配置命令
2. PPP的验证配置命令(PAP/CHAP) 3. 掌握静态NAT、动态NAT、PAT的配置 二、 实验内容
1. PPP协议的验证配置(PAP/CHAP) 2. 静态NAT、动态NAT、PAT的配置 三、 实验设备
路由器:思科2611、2811 交换机:华为 2950 计算机两台 四、 实验步骤
A. PPP协议的验证配置(CHAP) 拓扑图:
图6.1
P地址规划:
路由器left的s1/0接口ip地址为:1.1.1.1/24 路由器right的s1/0接口的ip地址为:1.1.1.2/24 在路由器left上:
Router(config)#hostname left
left(config)#username right password cisco left(config)#int s1/0
left(config-if)#ip add 1.1.1.1 255.255.255.0 left(config-if)#clock rate 64000 left(config-if)#no shutdown
left(config-if)#encapsulation ppp
lleft(config-if)#ppp authentication chap
35
成都理工大学工程技术学院
left(config-if)#^Z 在路由器right上:
Router(config)#hostname right
right(config)#username left password cisco right(config)#int s1/0
right(config-if)#ip address 1.1.1.2 255.255.255.0 right(config-if)#en
right(config-if)#encapsulation ppp
right(config-if)#ppp authentication chap right(config-if)#^Z
right(config)#ping 1.1.1.1 Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5),round-trip min/avg/max = 31/31/32 ms
right(config)#debug ppp authentication 使用上述命令可以检验PPP验证的过程。 B. 静态NAT、动态NAT、PAT的配置 (1) 静态NAT 拓扑图:
图6.2
拓扑说明:
主机HOST通过以太网口和 LAN+ISP的F0/0相连,LAN+ISP通过 F0/1 和模拟ISP的路由器的F0/1接口相连。 IP规划为;
HOST:192.168.1.2 255.255.255.0
LAN+ISP: F0/0: 192.168.1.1 255.255.255.0(gateway) F0/1: 1.1.1.1 255.255.255.0
36
成都理工大学工程技术学院
ISP F0/1: 1.1.1.2 255.255.255.0 Loopback 1 :2.2.2.2 255.255.255.0 实现:
在主机,路由上配置好 IP地址后,HOST 能够 ping通 ISP路由器上的模拟的 Internet接口地址2.2.2.2,试验中 ISP路由器上的L1 接口用于模拟 Internet。 先将路由器和主机的 IP配置成功。 LAN+ISP: Router>en Router#conf t
Router(config)#hostname LAN+ISP LAN+ISP(config)#interface f0/0
LAN+ISP(config-if)#ip address 192.168.1.1 255.255.255.0 LAN+ISP(config-if)#no sh LAN+ISP(config-if)#exit
LAN+ISP(config)#interface fastEthernet 0/1 LAN+ISP(config-if)#no sh
LAN+ISP(config-if)#ip address 1.1.1.1 255.255.255.0 LAN+ISP(config-if)#exit ISP: Router>en
Router#configure terminal
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip address 1.1.1.2 255.255.255.0 Router(config-if)#no sh Router(config-if)#exit
Router(config)#interface loopback 1
Router(config-if)#ip address 2.2.2.2 255.255.255.0
此时,路由器上的 IP 已近配置完成,现在将需要做 NAT 来让 192.168.1.2 能够通过 NAT 到Internet,配置为: LAN+ISP:
LAN+ISP(config)#interface fastEthernet 0/0
LAN+ISP(config-if)#ip nat inside (此接口转换内部网络) LAN+ISP(config-if)#exit
LAN+ISP(config)#interface fastEthernet 0/1
LAN+ISP(config-if)#ip nat outside (此接口转换到外部 internet) LAN+ISP(config-if)#exit
LAN+ISP(config)#ip nat inside source static 192.168.1.2 1.1.1.1
37
成都理工大学工程技术学院
LAN+ISP(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2
OK,现在 NAT 上也配置完成,我们通过 HOST 来 ping 远程的模拟 Internet,也就是 2.2.2.2, 看看结果如何:
图6.3
静态NAT配置成功。 (2) 动态NAT 拓扑图:
图6.4
拓扑说明:
在拓扑图中,LAN+ISP的路由器上,连接交换机的是 F0/0接口,连接 ISP的是F0/1接口,
在 ISP 路由器上,用 F0/0 接口连接 LAN+ISP 路由器,交换机连接路由器是 F0/1 接口。IP 地址规划如下:掩码全是24位 LAN+ISP: F0/0 : 192.168.1.254 (gateway) F0/1 :202.101.6.1 ISP: F0/0: 202.101.6.2
38