注:此时PC上如有其他网关,请全部暂时取消!
用Ping命令验证:当前在没有设置访问控制列表前所有的访问都是正常联通的。即PC1、PC2和 PC3之间可以互相ping通,比如:在PC1上运行ping 192.168.2.2,结果见下图:
在PC3上运行ping 192.168.1.2,结果见下图:
在PC2上的验证略。 (2)配置标准访问控制列表
①意图:在完成以上配置,确认网络各网段内主机是连通的情况下,设置标号为“15”的标准访问控制列表,禁止来自192.168.2.0网段的主机访问192.168.1.0网段内的主机。 ②输入的命令如下:
R2801-A(config-if)Access-list 15 deny 192.168.2.0 0.0.0.255 R2801-A(config-if)Access-list 15 permit any R2801-A(config-if)interface s0/2/0
R2801-A(config-if)ip access-group 15 in 上面输入的命令如下图:
41
查看访问控制列表的情况可以运行命令:show access-list,见下图: #show access-list
③验证结果:
根据该访问控制列表的设置,192.168.1.0和192.168.2.0之间是无法ping通的,作为对比,192.168.1.0和192.168.3.0之间的主机却是可以ping通的!见如下结果。
下图是在PC1主机(192.168.1.2)上运行“ping 192.168.2.2”的结果。显然应该不通!
下图是在PC1主机(192.168.1.2)上运行“ping 192.168.3.2”的结果。显然应该通!
42
将上述结果与前面的情况对比,显然是由于本访问控制列表造成PC1和PC2之间不通!
(3) 扩展访问控制列表
上面的实验还可以用扩展访问控制列表来实现,只需要把前面的“15”号标准访问列表取消,产生下面的“105”号扩展访问列表即可。 在R2801-A上:
(config)no access-list 15 (config)end
#show access-list /* 验证标准访问列表“15”已被取消 #conf t
(config)#ip access-list extended 105
(config-ext-nacl)#deny ip 192.168.2.0 0.0.0.255 host 192.168.1.2 /* 禁止来自192.168.2.0网段的主机访问192.168.1.2主机 (config-ext-nacl)#permit ip any any (config-ext-nacl)#int s0/2/0
(config-if)#ip access-group 105 in (config-if)#end #show access-list
#
用扩展访问控制列表来实现的“105”访问控制的验证方法同前,故略。
43
2.7实验7:网络地址转换NAT
1、实验原理及目的
NAT(网络地址翻译)能解决不少令人头疼的问题:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址,在Internet上使用;在一定程度上NAT可以解决IP地址资源匮乏的问题。比如:只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况。其具体的做法是把IP包内的地址域用合法的IP地址来替换。
本实验主要完成在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址再在Internet上使用。
2、实验设备
路由器2台,PC机2台; 串行线1对 交叉线2根
设备连接:用串行线通过Serial 口将2台路由器直接连接起来;每台路由器用交叉线通过FastEthernet口各连接1台PC机;
3、实验要求
(1)实验任务
用串行线通过Serial 口将2台路由器直接连接起来;每台路由器通过FastEthernet口连接1台PC机,对路由器启用路由协议作路由配置后,查验NAT表内容,并通过debug ip nat查看NAT转换结果。 (2)实验预习
复习路由器IP地址的配置和路由协议的启用和配置,学习有关NAT的工作原理及配置NAT的相关命令。 (3)实验报告
①简要叙述NAT的工作原理。
②实验中遇到了什么问题,如何解决的,以及本人的收获与体会。
4、实验步骤 4.1 一对一NAT
4.1.1静态地址转换适用的环境
静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务 4.1.2 网络拓朴
44
4.1.3配置 RouterA: RouterA# conf t RouterA(config)# no ip domain lookup RouterA(config)# int s0/2/0 RouterA(config-if)# ip add 192.168.1.1 255.255.255.0 RouterA(config-if)# no shutdown RouterA(config-if)# ip nat outside /*指定连接外部网络的外部端口 RouterA(config-if)# int f0/0 RouterA(config-if)# ip add 10.1.1.1 255.255.255.0 RouterA(config-if)# no shutdown RouterA(config-if)# ip nat inside /*指定连接网络的内部端口 RouterA(config-if)# exit
RouterA(config)# ip route 152.1.1.1 255.255.255.255 s0/2/0 RouterA(config)# ip nat inside source static 10.1.1.1 192.168.1.3 /*在内部本地地
址与内部合法地址之间建立静态地址转换
RouterB
RouterB# conf t
RouterB(config)# no ip domain lookup RouterB(config)# int s0/2/0 RouterB(config-if)# ip add 192.168.1.2 255.255.255.0 RouterB(config-if)# no shutdown
RouterB(config-if)# int f0/0
RouterB(config-if)# ip add 152.1.1.1 255.255.255.0
RouterB(config-if)# no shutdown
4.1.4测试方法
在路由器A上执行debug ip nat 命令,然后使用扩展 ping ,将源IP 地址 10.1.1.1 转换为192.168.1.3
45