实验五：路由器课案.ppt

* e.g.4 访问控制列表实验 1. 基本访问列表 [RouterC]firewall enable [RouterC]firewall default permit （acl acl-number { inbound | outbound } acl 命令用来通过引用ACL 控制列表，对VTY（Telnet、SSH 等）用户的呼入/呼出权限进行限制） [RouterC]acl 10 [RouterC-acl-10]rule normal deny source [RouterC-acl-10]rule normal permit source any [RouterC]int s0 [RouterC-Serial0]firewall packet-filter 10 inbound [RouterC-Serial0]quit [RouterC]display acl * e.g.4 访问控制列表实验 [root@PCA root]#ping 不通 [root@PCB root]#ping 通 [RouterC]undo acl 10 [RouterC]display acl [root@PCA root]#ping 通 [root@PCB root]#ping 通 [RouterC]acl 11 [RouterC-acl-11]rule normal deny source 55 [RouterC-acl-11]rule normal permit source any [RouterC]int s0 [RouterC-Serial0]firewall packet-filter 11 inbound [RouterC]display acl [root@PCA root]#ping 不通 [root@PCB root]#ping 不通 [RouterC]undo acl 11 * e.g.4 访问控制列表实验 2．扩展访问控制列表 [RouterC]firewall enable [RouterC]firewall default permit [RouterC]acl 101 [RouterC-acl-101]rule deny tcp source 0 destination 0 [RouterC-acl-101]rule permit ip source any destination any [RouterC]int s1 [RouterC-Serial1]firewall packet-filter 101 outbound [RouterC-Serial1]quit [RouterC]dis acl [root@PCA root]#ping 不通 [root@PCA root]#ping 通 [root@PCB root]#ping 通 [RouterC]undo acl [root@PCA root]#ping 通 * e.g.5地址转换NAT实验 NAT（Network Address Translation，地址转换）是将IP数据报报头中的IP地址转换为另一个IP 地址的过程。在实际应用中，NAT 主要用于实现私有网络访问外部网络的功能。这种通过使用少量的公有IP 地址代表多数的私有IP 地址的方式将有助于减缓可用IP 地址空间枯竭的速度。 说明： 私有地址是指内部网络或主机地址，公有地址是指在因特网上全球唯一的 IP 地址。 RFC1918 为私有网络预留出了三个IP 地址块，如下： A 类：～55 B 类：～55 C 类：～55 上述三个范围内的地址不会在因特网上被分配，因而可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。 * e.g.5地址转换NAT实验 如下图所示，一个公司通过H3C 路由器的地址转换功能连接到广域网。要求该公司能够通过H3C 路由器串口3/0/0 访问internet，公司内部对外提供WWW、FTP 和SMTP 服务，而且提供两台WWW的服务器。公司内部网址为/16。其中，内部FTP 服务器地址为，内部WWW 服务器1 地址为，内部WWW服务器2 地址为，内部SMTP 服务器地址为，并且希望可以对外提供统一的服务器的IP 地址。内部/24 网段可以访问Internet，其它网段的PC 机则不能访问Internet。外部的PC 可以访问内部的服务器。公司具有00 至 05 六个合法的IP 地址。选用 00 作为公司对外的IP 地址，WWW服务器2 对外采用8080 端口。 * e.g.5地址转换NAT实验 * e.g.5地址转换NAT实验 # 配置地址池和访问控制列表。 [H3C] nat address-group 1