界面主要部分說(shuō)明：

1）界面中間大空白部分，為設(shè)計(jì)拓?fù)鋱D工作區(qū)；

2）界面左下角，為設(shè)備種類(lèi)選擇區(qū)；

3）界面中下角，為設(shè)備型號(hào)區(qū)，與設(shè)備類(lèi)型相關(guān)；



2、向網(wǎng)絡(luò)拓?fù)渲刑砑游锢碓O(shè)備（包括路由器、主機(jī)、服務(wù)器等）

在軟件界面下，通過(guò)拖拽的方式，將路由器、主機(jī)、服務(wù)器等拖到工作界面下，按拓?fù)鋱D所示位置擺放。并按拓?fù)鋱D中要求修改各設(shè)備的名稱(chēng)。



注：

1）添加設(shè)備方式為，首先選中所要選的“設(shè)備種類(lèi)”，再到“設(shè)備型號(hào)“中選擇具體的設(shè)備，拖拽到工作區(qū)即可）。

2）路由器的型號(hào)選擇2911，其他所有設(shè)備型號(hào)都選擇“Generic”（即通用設(shè)備）。



3、設(shè)置設(shè)備之間的物理連接

點(diǎn)擊下左圖的連線圖標(biāo)（見(jiàn)紅框標(biāo)注），可以看到有各種連線，見(jiàn)下右圖。



選擇右圖中紅框所示連線類(lèi)型，即交叉線。

注：

關(guān)于網(wǎng)絡(luò)設(shè)備的定義和設(shè)備間連接方式一般規(guī)律：

1）兩類(lèi)設(shè)備定義：DTE類(lèi)設(shè)備和DCE類(lèi)設(shè)備。

DTE 類(lèi)設(shè)備：PC、路由器、交換機(jī)uplink口、HUB級(jí)聯(lián)口；

DCE 類(lèi)設(shè)備：交換機(jī)普通口、HUB普通口；

2）同類(lèi)設(shè)備間相連使用交叉線方式；異類(lèi)設(shè)備間相連使用直通線方式。

?

4、設(shè)置各物理設(shè)備的IP地址

1）pc0設(shè)置IP地址：雙擊pc0設(shè)備圖標(biāo)出現(xiàn)如下界面：

點(diǎn)擊IP Configuration紅框配置IP地址（按前面拓?fù)鋱D所規(guī)定IP地址進(jìn)行設(shè)置)。

其他的pc機(jī)和server都可以按照上述方式配置。

2）配置路由器接口及IP

雙擊路由器Router1圖標(biāo)，出現(xiàn)路由器詳情界面，點(diǎn)擊“CLI”菜單，即出現(xiàn)路由器的“用戶模式”。此時(shí)可進(jìn)入“特權(quán)模式”，并進(jìn)行相關(guān)配置，見(jiàn)下圖：

其他接口也按照這種方式配置。同樣，按這種方式配置好Router0和Router2。

5、配置路由

1）配置R0的路由：

R0(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

2）配置R1的路由：

R1(config)#router eigrp 1

R1(config-router)#network 10.1.1.0 0.0.0.255

R1(config-router)#network 12.1.1.0 0.0.0.3

R1(config-router)#no auto-summary

3）配置R2的路由:

R2(config)#router eigrp 1

R2(config-router)#no auto-summary

R2(config-router)#network 12.1.1.0 0.0.0.3

R2(config-router)#network 58.20.127.0 0.0.0.3

6、測(cè)試

1）在路由器R1上分別ping 與之相鄰的R0和R2的IP地址，能ping通了說(shuō)明配置好了。


2）在R0上分別ping兩臺(tái)pc機(jī)。


3）在R2上ping Server0。


注意：如果在測(cè)試環(huán)節(jié)中有任何一步測(cè)試不成功，必須先把問(wèn)題解決才能做后面的實(shí)驗(yàn)（后面實(shí)驗(yàn)步驟都將以本任務(wù)成功完成為前提），解決的辦法是，仔細(xì)查看每臺(tái)設(shè)備的IP地址配置、以及路由器的路由設(shè)置。

實(shí)驗(yàn)步驟二
任務(wù)描述：NAT設(shè)置

本任務(wù)包括三個(gè)子任務(wù)：

子任務(wù)一：靜態(tài)NAT配置；

子任務(wù)二：動(dòng)態(tài)NAT配置；

子任務(wù)三：PAT配置。

注：

1、本任務(wù)的前提，是已經(jīng)完成了實(shí)驗(yàn)步驟一的實(shí)驗(yàn)操作且結(jié)果正確。?

2、為了方便大家實(shí)驗(yàn)，在做實(shí)驗(yàn)時(shí)可以打開(kāi)桌面上的NAT&&ACL文件夾，里面有對(duì)應(yīng)實(shí)驗(yàn)的的pkt文件。

靜態(tài)NAT

本子任務(wù)將實(shí)現(xiàn)內(nèi)網(wǎng)IP與外網(wǎng)IP的靜態(tài)NAT。包含兩個(gè)映射：

1）內(nèi)網(wǎng)IP為192.168.1.1映射到外網(wǎng)IP為10.1.1.10。

2）內(nèi)網(wǎng)IP為192.168.2.1映射到外網(wǎng)IP為10.1.1.20。

拓?fù)浜吐酚稍O(shè)置（即完成步驟一）。


實(shí)驗(yàn)步驟如下：

1、打開(kāi)桌面NAT&&ACL文件夾中的“靜態(tài)nat.pkt”文件，加載初始化網(wǎng)絡(luò)環(huán)境；

2、在R0上配置靜態(tài)NAT

//配置靜態(tài)nat映射

R0(config)#ip nat inside source static 192.168.1.1 10.1.1.10

R0(config)#ip nat inside source static 192.168.2.1 10.1.1.20??

//配置nat內(nèi)部接口

R0(config)#int g0/0

R0(config-if)#ip nat inside

R0(config-if)#int g0/1

R0(config-if)#ip nat inside

//配置nat外部接口

R0(config-if)#int g0/2

R0(config-if)#ip nat outside

3、測(cè)試

1）在R0上，打開(kāi)debug，查看地址翻譯的過(guò)程：

R0#debug ip nat

在pc0或者pc1上ping 58.20.127.1 (Server0的地址)，此時(shí)路由器將輸出如下內(nèi)容：


2）在R0上查看NAT映射表

R0#show ip nat translations

可以看到靜態(tài)時(shí)映射表一直存在，表明了內(nèi)部全局地址和內(nèi)部局部地址的對(duì)應(yīng)關(guān)系。如下圖：

說(shuō)明：

內(nèi)部局部（inside local）地址：在內(nèi)部網(wǎng)絡(luò)使用的地址；

內(nèi)部全局（inside global）地址：用來(lái)代替一個(gè)或多個(gè)本地 IP 地址的、對(duì)外的、向 NIC 注冊(cè)過(guò)的地址；

外部局部（outside local）地址：一個(gè)外部主機(jī)相對(duì)于內(nèi)部網(wǎng)絡(luò)所用的 IP 地址。不一定是合法的地址；

外部全局（outside global）地址：外部網(wǎng)絡(luò)主機(jī)的合法 IP 地址。


動(dòng)態(tài)NAT配置

本子任務(wù)將實(shí)現(xiàn)內(nèi)網(wǎng)IP與外網(wǎng)IP的動(dòng)態(tài)NAT。其中：

1）內(nèi)網(wǎng)需要映射的IP有兩個(gè)：192.168.1.1和192.168.2.1。

2）外網(wǎng)可以用于映射的IP段：10.1.1.10至10.1.1.15。

?

前提：完成網(wǎng)絡(luò)拓?fù)浜吐酚稍O(shè)置（即完成步驟一）。

實(shí)驗(yàn)步驟如下：

1、打開(kāi)桌面NAT&&ACL文件夾中的“動(dòng)態(tài)nat.pkt”文件，加載初始化網(wǎng)絡(luò)環(huán)境；

2、在路由器R0上配置動(dòng)態(tài)NAT。

//配置動(dòng)態(tài)nat轉(zhuǎn)換的地址池

R0(config)#ip nat pool natPoolName 10.1.1.10 10.1.1.15 netmask 255.255.255.0

//配置動(dòng)態(tài)的nat映射，以及訪問(wèn)控制

R0(config)#ip nat inside source list 1 pool natPoolName

//訪問(wèn)控制列表1，允許全部訪問(wèn)

R0(config)#access-list 1 permit any

R0(config)#int g0/0

R0(config-if)#ip nat inside

R0(config-if)#int g0/1

R0(config-if)#ip nat inside

R0(config-if)#int g0/2

R0(config-if)#ip nat outside

3、測(cè)試，在R0上，打開(kāi)debug，查看地址翻譯的過(guò)程：

可以看到動(dòng)態(tài)映射關(guān)系只有在發(fā)起訪問(wèn)時(shí)存在，內(nèi)網(wǎng)192.168.1.1映射到了10.1.1.10，而192.168.2.1則映射到了10.1.1.11。如下圖：


端口PAT

本子任務(wù)將實(shí)現(xiàn)內(nèi)網(wǎng)到外網(wǎng)的PAT轉(zhuǎn)換。

前提：完成網(wǎng)絡(luò)拓?fù)浜吐酚稍O(shè)置（即完成步驟一）。

實(shí)驗(yàn)步驟如下：

1、打開(kāi)桌面NAT&&ACL文件夾中的“PAT.pkt”文件，加載初始化網(wǎng)絡(luò)環(huán)境；

2、在R0路由器上配置PAT

//配置pat，以及訪問(wèn)控制

R0(config)#ip nat inside source list 1 interface gigabitEthernet 0/2 overload

// 訪問(wèn)控制列表1，允許全部訪問(wèn)

R0(config)#access-list 1 permit any

R0(config)#int g0/0

R0(config-if)#ip nat inside

R0(config-if)#int g0/1

R0(config-if)#ip nat inside

R0(config-if)#int g0/2

R0(config-if)#ip nat outside

3、測(cè)試。

1）在R0上，打開(kāi)debug，查看地址翻譯的過(guò)程

R0#debug ip nat

在pc0或者pc1上ping 58.20.127.1 (Server0的地址)，此時(shí)路由器將輸出如下內(nèi)容：


2）在R0上查看NAT映射表

R0#show ip nat translations

可以看到靜態(tài)時(shí)映射表一直存在，表明了內(nèi)部全局地址和內(nèi)部局部地址的對(duì)應(yīng)關(guān)系。大體如下圖：



上圖可見(jiàn)，內(nèi)部IP經(jīng)PAT轉(zhuǎn)換后，使用同一個(gè)IP的不同端口。

實(shí)驗(yàn)步驟三
任務(wù)描述：使用訪問(wèn)控制列表進(jìn)行數(shù)據(jù)包過(guò)濾

本任務(wù)將使用ACL完成數(shù)據(jù)包過(guò)濾，實(shí)驗(yàn)拓?fù)鋱D：


說(shuō)明：拓?fù)鋱D與本實(shí)驗(yàn)的步驟一相同。

本任務(wù)包括三個(gè)子任務(wù)：

子任務(wù)一：標(biāo)準(zhǔn)ACL；

子任務(wù)二：擴(kuò)展ACL；

子任務(wù)三：命名ACL。

準(zhǔn)備工作：構(gòu)建網(wǎng)絡(luò)拓?fù)鋱D

本實(shí)現(xiàn)各子任務(wù)前，先把網(wǎng)絡(luò)拓?fù)鋱D構(gòu)建好，包括網(wǎng)絡(luò)設(shè)備、接口及IP地址，參見(jiàn)前面的步驟一：使用Packet Tracer構(gòu)建網(wǎng)絡(luò)拓?fù)鋱D。

注：只需把網(wǎng)絡(luò)拓?fù)鋱D、接口及IP地址做好，不要配置路由。



標(biāo)準(zhǔn)ACL

通過(guò)標(biāo)準(zhǔn)ACL實(shí)現(xiàn)如下要求：

192.168.1.0/24網(wǎng)段不能訪問(wèn)Server0

192.168.2.0/24網(wǎng)段可以訪問(wèn)Server0

只允許Server0可以telnet R1



前提：完成了網(wǎng)絡(luò)拓?fù)錁?gòu)建（即準(zhǔn)備工作）。

實(shí)驗(yàn)步驟如下：

1、打開(kāi)桌面NAT&&ACL文件夾中的“標(biāo)準(zhǔn)acl.pkt”文件，加載初始化網(wǎng)絡(luò)環(huán)境；

2、配置ACL

//拒絕192.168.1.0/24網(wǎng)段的主機(jī)接入

R1(config)#access-list 1 deny 192.168.1.0 0.0.0.255

R1(config)#access-list 1 permit any

//將訪問(wèn)控制列表應(yīng)用與接口

R1(config)#int g0/0

R1(config-if)#ip access-group 1 in

//允許主機(jī)58.20.127.1接入

R1(config)#access-list 2 permit host 58.20.127.1

R1(config)#line vty 0 4

R1(config-line)#password cisco

R1(config-line)#login

//應(yīng)用訪問(wèn)控制列表2

R1(config-line)#access-class 2 in

3、實(shí)驗(yàn)測(cè)試，達(dá)到如下效果即表明實(shí)驗(yàn)成功。

1）在pc0上ping Server0(58.20.127.1)

2）在pc1上ping Server0(58.20.127.1)

3）在pc1上telnet R1

4）在Server0上telnet R1

擴(kuò)展ACL

通過(guò)擴(kuò)展ACL實(shí)現(xiàn)如下要求：

實(shí)現(xiàn)192.168.1.0/24網(wǎng)段訪問(wèn)Server0的www和ftp；

實(shí)現(xiàn)192.168.2.0/24網(wǎng)段訪問(wèn)Server0的ftp

禁止ping Server0


前提：完成了網(wǎng)絡(luò)拓?fù)錁?gòu)建（即準(zhǔn)備工作）。

實(shí)驗(yàn)步驟如下：

1、打開(kāi)桌面NAT&&ACL文件夾中的“擴(kuò)展acl.pkt”文件，加載初始化網(wǎng)絡(luò)環(huán)境；

2、配置路由器R0

R0(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

R0(config)#ip nat inside source list 100 interface GigabitEthernet0/2 overload

R0(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 58.20.127.1 eq www

R0(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 58.20.127.1 eq ftp

R0(config)#access-list 100 permit tcp 192.168.2.0 0.0.0.255 host 58.20.127.1 eq ftp

R0(config)#access-list 100 permit icmp any any

R0(config)#int g0/0

R0(config-if)#ip nat inside

R0(config-if)#int g0/1

R0(config-if)#ip nat inside

R0(config-if)#int g0/2

R0(config-if)#ip nat outside

3、配置路由器R2

R2(config)#access-list 100 deny icmp any host 58.20.127.1

R2(config)#access-list 100 permit udp any host 58.20.127.1

R2(config)#access-list 100 permit tcp any host 58.20.127.1

R2(config)#access-list 100 permit eigrp any any

R2(config)#interface g0/0

R2(config-if)#ip access-group 100 in

4、實(shí)驗(yàn)測(cè)試

1）在pc0和pc1上分別ping Server0(58.20.127.1)


2）在pc0和pc1上分別ftp登陸Server0


3）在pc0上訪問(wèn)Server0的web服務(wù)，允許訪問(wèn)。

4）在pc1上訪問(wèn)Server0 的web服務(wù)，不允許訪問(wèn)（請(qǐng)求超時(shí)）。


命名ACL

本子任務(wù)包括兩個(gè)部分：標(biāo)準(zhǔn)命名ACL和擴(kuò)展命名ACL。

標(biāo)準(zhǔn)命名ACL

實(shí)現(xiàn)效果：

實(shí)現(xiàn)192.168.1.0/24網(wǎng)段(pc0所在網(wǎng)段)訪問(wèn)互聯(lián)網(wǎng)（Server0）。

實(shí)現(xiàn)192.168.2.0/24網(wǎng)段（pc1所在網(wǎng)段）禁止訪問(wèn)互聯(lián)網(wǎng)（Server0）。


前提：完成了網(wǎng)絡(luò)拓?fù)錁?gòu)建（即準(zhǔn)備工作）。

實(shí)驗(yàn)步驟：

1、打開(kāi)桌面NAT&&ACL文件夾中的“標(biāo)準(zhǔn)命名acl.pkt”文件，加載初始化網(wǎng)絡(luò)環(huán)境；

2、配置路由器R0

R0(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

R0(config)#ip nat inside source list stand interface gigabitEthernet 0/2 overload

R0(config)#ip access-list standard stand

R0(config-std-nacl)#permit 192.168.1.0 0.0.0.255

R0(config-std-nacl)#deny 192.168.2.0 0.0.0.255

R0(config)#interface g0/0

R0(config-if)#ip nat inside

R0(config-if)#int g0/1

R0(config-if)#ip nat inside

R0(config-if)#int g0/2

R0(config-if)#ip nat outside

3、實(shí)驗(yàn)測(cè)試

在pc0、pc1上ping Server0，測(cè)試連通性。


擴(kuò)展命名ACL

實(shí)現(xiàn)效果：

實(shí)現(xiàn)192.168.1.0/24網(wǎng)段（pc0所在網(wǎng)段）訪問(wèn)互聯(lián)網(wǎng)Server0的www；

實(shí)現(xiàn)192.168.2.0/24網(wǎng)段（pc1所在網(wǎng)段）訪問(wèn)互聯(lián)網(wǎng)Server0的ftp；

禁止icmp數(shù)據(jù)包通過(guò)


前提：完成了網(wǎng)絡(luò)拓?fù)錁?gòu)建（即準(zhǔn)備工作）。

實(shí)驗(yàn)步驟：

1、打開(kāi)桌面NAT&&ACL文件夾中的“擴(kuò)展命名acl.pkt”文件，加載初始化網(wǎng)絡(luò)環(huán)境；

2、配置路由器R0

R0(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

R0(config)#ip nat inside source list exte interface gigabitEthernet 0/2 overload

R0(config)#ip access-list extended exte

R0(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 host 58.20.127.1 eq www

R0(config-ext-nacl)#permit tcp 192.168.2.0 0.0.0.255 host 58.20.127.1 eq ftp

R0(config-ext-nacl)#deny icmp any any

R0(config)#int g0/0

R0(config-if)#ip nat inside

R0(config-if)#int g0/1

R0(config-if)#ip nat inside

R0(config-if)#int g0/2

R0(config-if)#ip nat outside

3、實(shí)驗(yàn)測(cè)試

在pc0（192.168.1.1）和pc1(192.168.2.1)上測(cè)試分別測(cè)試，都不能ping通Server0，但pc1可以用ftp登陸，pc0不能。


pc0可以訪問(wèn)web，pc1不能訪問(wèn)web。
文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-462663.html

到了這里，關(guān)于路由器防火墻配置（14）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！