访问控制列表配置题库.ppt

训练2 利用NAT实现外网主机访问内网服务器 训练描述 你是某公司的网络管理员，公司只向ISP申请了一个公网IP地址，现公司的网站在内网，要求在因特网也可以访问公司网站，请你实现。网络拓扑图如图所示，其中，是Web服务器的IP地址。 训练2 利用NAT实现外网主机访问内网服务器 训练要求 添加1台计算机代表因特网上的计算机，1台服务器代表公司内部的一台Web服务器。 添加2台2811路由器使用DCE串口线互联，模拟与公网互联。 在Lan-router上进行NAT配置，实现公网的计算机能访问内网服务器上的Web服务。 训练分析 公司通过路由器与外网互联，公司只有一个公网地址，那就是与公网直连的路由器端口的IP，即。公网的计算机是不能直接访问内网计算机的，要实现内网服务器上的服务被外网访问，则要将内网服务器的IP映射到公网的IP上，因特网上的计算机通过公网IP访问到内网服务器上的Web服务。 训练2 利用NAT实现外网主机访问内网服务器 训练步骤 内网路由器的基本配置 训练2 利用NAT实现外网主机访问内网服务器 训练步骤 公网路由器的基本配置 在Lan-router上配置默认路由 训练2 利用NAT实现外网主机访问内网服务器 训练步骤 配置静态NAT映射 训练2 利用NAT实现外网主机访问内网服务器 训练测试 在主机0上测试访问/index.html。 在路由器Lan-router查看NAT映射关系： Lan-router#show ip nat translations Pro Inside global Inside local Outside local Outside global Tcp :80 :80 :1025 :1025 训 练 小 结 不要把Inside和Outside应用的接口弄错。 如果使用方法一，则服务器的所有服务都映射到公网IP上；如果使用方法二，则只是Web服务的转换。建议使用第二种方法。 首页 任务一 任务二 首页 任务一 任务二 首页 任务一 任务二 项目四 网络的安全配置 项目说明 对于许多网络管理员来说，配置路由器的访问控制列表是一种经常性的工作。可以说，路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制，它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问列表来管理信息流，以制定公司内部网络的相关策略。这些策略可以描述安全功能，并且反映流量的优先级别。例如，某个组织可能希望允许或拒绝Internet对内部Web服务器的访问，或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。这些功能都可以通过访问列表来达到目的。 技能目标 任务一 IP访问列表 任务二 网络地址转换 任务一 IP访问列表 任务描述 IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。主要分为标准IP访问列表和扩展IP访问列表两种。其中，标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。 IP ACL是基于接口进行规则的应用，分为入栈应用和出栈应用。入栈应用是指由外部经该接口进入路由器的数据包进行过滤；出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。IP ACL的配置有两种方式：按照编号的访问列表；按照命名的访问列表。标准IP访问列表的编号范围是1～99、1300～1999；扩展IP访问列表的编号范围是100～199、2000～2699。本任务分以下3个训练进行学习。 训练1 标准访问控制列表的配置。 训练2 扩展访问控制列表的配置。 训练3 专家级访问控制列表的配置。 训练1 标准访问控制列表的配置 训练描述 你是一个公司的网络管理员，公司的经理部、财务部和销售部分属不同的3个网段，3部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。 下面用一个训练来学习路由器标准访问控制列表的配置方法，实验拓扑如图所示。其中，PC1代表经理部的主机；PC2代表销售部的主机；PC3代表财务部的主机。 训练1 标准访问控制列表的配置 训练要求 添加3台计算机分别命名为PC1、PC2、PC3，根据实验拓扑图配置IP地址； 添加2台路由，分别命名为Router1和Router2，为它们添加WIC-1T模块，使用DCE串口线互联； 使用静态路由实现全网互通； 在Router2上配