一、拓扑
二、配置
2.1基本配置
PC1
Clinent1
Server1
启动http服务
启动Ftp服务
Client2
Server2
启动Ftp服务
启动http服务
2.2路由器配置
网关路由器Gateway
<Huawei>system-view
[Huawei]sysname Gateway
[Gateway]interface GigabitEthernet 0/0/2
[Gateway-GigabitEthernet0/0/2]ip address 192.168.1.1 24
[Gateway]interface GigabitEthernet 0/0/0
[Gateway-GigabitEthernet0/0/0]ip address 200.1.1.2 29
互联网路由器Interner
<Huawei>system-view
[Huawei]sysname Internet
[Internet]interface GigabitEthernet 0/0/0
[Internet-GigabitEthernet0/0/0]ip address 200.1.1.1 29
[Internet]interface GigabitEthernet 0/0/2
[Internet-GigabitEthernet0/0/2]ip address 100.1.1.1 24
2.3默认路由配置
如果内网用户想要访问公网设备,那么首先内网网关路由器可以访问,本实验中目前网关路由器Gateway无法访问100.1.1.1这台服务器
[Gateway]ping 100.1.1.1
由上图知悉,网关路由器Ping不通公网上的100.1.1.1这台主机,下面在网关路由器上查看路由表
[Gateway]disp ip routing-table
由上图知悉,在网关路由器上没有到100.1.1.0网段的路由,自然也就无法ping通。
所以在Gateway网关路由器上写一条默认路由到Internet路由器上,
[Gateway]ip route-static 0.0.0.0 0 200.1.1.1
再测试
[Gateway]ping 100.1.1.1
由上图知悉,已经链路通了
同时公网上的设备Client2也可以访问网关路由器Gateway的200.1.1.2接口
此时网关路由器到Internet的链路已经打通。
三、实验需求
PC1不能访问Internet
Client1可以访问Internet
Server1为Internet提供http服务,不提供Ftp 服务
Client1可以访问Server2的http服务和ftp服务
Client2可以访问Server1的http服务
Server1被访问的地址是200.1.1.3,Client1的上网方式为Nat 的EasyIp方式
四、完成实验要求
4.1网关路由器配置
先调通所有的网络,再做限制。
定义一个规则编号是2001,这个规则的内容是允许源是192.168.1.0网段的设备通过
[Gateway]acl 2001
[Gateway-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255
进入网关路由器连接公网的接口ge0/0/0,把2001规则应用到nat的出口上,这就是EasyIp.
[Gateway]interface GigabitEthernet 0/0/0
[Gateway-GigabitEthernet0/0/0]nat outbound 2001
查看
[Gateway-GigabitEthernet0/0/0]disp nat outbound
测试
在内网的PC1上ping公网上的Server2
由上图知悉,内网的PC1可以访问公网上的Server2。
内网的Client1也可以访问到公网的Server2的http服务
内网的Client1也可以访问到公网的Server2的ftp服务
目前为止,内网用户完全可以访问外网设备,为了达到实验要求,必须先使网络全部打通,然后根据策略,完成要求操作,这是配置策略的一般思路。
4.2按照要求限制
PC1不能访问Internet
一种方法是在acl 2001规则中增加一条要求,阻止PC1访问外网即可,这个要求必须放置在rule 5之前。
[Gateway]disp acl 2001
[Gateway-acl-basic-2001]rule 3 deny source 192.168.1.100 0
再次查看
[Gateway-acl-basic-2001]dis th
测试
内网的PC1到外网的Server2
由上图知悉,现在内网的PC1到外网的Server2网络不通了。
Client1可以访问Internet
Client1可以访问Server2的http服务和ftp服务
Server1为Internet提供http服务,不提供Ftp 服务,Server1被Client2访问的地址是200.1.1.3
首先在内网测试Server1上ftp和http服务是否正常
由上图知悉,内网的Client到Server1上ftp和http服务是正常的,说明Server1提供的http和ftp服务是正常的。
在网关路由器的公网接口ge0/0/0上做服务器的nat映射
[Gateway]int g0/0/0
[Gateway-GigabitEthernet0/0/0]nat server protocol tcp global 200.1.1.3 80 inside
192.168.1.150 80
Nat服务器映射协议是tcp,外网地址是200.1.1.3,端口是80,内网服务器地址是192.168.1.150,端口是80.
查看
[Gateway-GigabitEthernet0/0/0]disp this
这里看到nat server和nat outbound可以同时存在于一个端口上,互不影响。
测试
抓包显示
由以上知悉,外网的Client2可以访问200.1.1.3(内网的192.168.1.150)的http服务,但是不能访问200.1.1.3(内网的192.168.1.150)的ftp服务。
相关推荐
-
如何重新设置路由器的密码(怎样重新设置路由器的密码)
如何重新设置路由器密码?现在许多人都是用路由器上网的,特别是大学里,一台路由器连接了很多电脑。而许多同学为了宽带限制别人,通常会干出修改路由器设置的事情,比如限制某个IP的流量;这将会导致对方上网速度受...
-
无线路由器桥接扩展无线信号(无线wifi路由器桥接教程)
随着我国人民生活水平的不断提高,群众的人均住房面积越来越大,由此也引发了一些生活上的问题,例如无线路由器信号无法在所有房间都保持稳定。为了改善这种情况,小编将向各位网友介绍利用两个以上无线路由器进行桥...
-
无线路由器的安装方法图解(无线路由器的安装步骤)
很多人都想在家或是宿舍里安装一台无线路由器,使自己的移动终端能接到互联网上,下面我就给大家介绍一下无线路由器安装或配置,不会的朋友可以参考下: 步骤一:以腾达路由器为例,首先要确定网络是否通畅,接着将...
-
手机配置路由器的基本步骤(手机怎么设置路由器设置步骤图解)
路由器已经成为每个家庭必不可少的网络设备,而新购的路由器需要配置才可以使用,下面看看手机如何配置一台新的路由器,不要怕配置坏,路由器带有恢复功能,如果配置出错用一根牙签插进路由器后面一个RESET的小孔中...
-
华为、H3C、锐捷三家交换机配置命令详解(交换机配置命令详解)
一直以来,对于华为、H3C、锐捷交换机的命令配置,不断的有微信群群友留言,三家交换机的配置命令容易弄混,经常在实际项目配置中出错,因此,本期我们将来介绍这三家交换机的基础配置命令,大家可以分别来看下他们...
-
荣耀路由pro2深度评测(荣耀路由pro2是千兆吗)
随着荣耀路由Pro2的发售,凌霄、全千兆等关键词再次被网上热议,但其实在消费者的实际使用中,这些功能都被保留在了那个美观方正的白盒子里。就像电脑,用户最直观的感受就是否卡顿。而荣耀路由Pro2承载的是Wi-Fi覆...