理地址为172.16规划进行全网互联实施,内网管理vlan为vlan10,Server的地址为172.16.1.1,Switch的管.1.2,PC属于vlan20,地址为172.16.2.1。在网关上配置单臂路由,起相应子接口f0/0.10和f0/0.20,对应地址如上。要求实现vlan10和vlan20之间的通信,PC可以正常访问内部Server。
先在server和pc上关闭路由功能,配置正常的端口,并配置网关
server(config)#intf0/0
server(config-if)#ipadd172.16.1.1255.255.255.0
server(config-if)#noshut
server(config)#noiprouting
server(config)#ipde
server(config)#ipdefault-ga
server(config)#ipdefault-gateway172.16.1.254
pc(config)#intf0/0
pc(config-if)#ipadd172.16.2.1255.255.255.0
pc(config-if)#noshut
pc(config)#noiprouting
pc(config)#ipde
pc(config)#ipdefault-gate
pc(config)#ipdefault-gateway172.16.2.254
然后在switch上配置
switch(config)#noiprouting
switch#vlandata
switch#vlandatabase
switch(vlan)#vlan10
switch(vlan)#vlan20
switch(config)#intvlan10
switch(config-if)#ipadd172.16.1.2255.255.255.0
switch(config-if)#exit
switch(config)#ipdefault-gateway172.16.1.254
switch(config)#intf0/0
switch(config-if)#switchportmodeaccess
switch(config-if)#switchportaccessvlan10
switch(config-if)#exit
switch(config)#intf0/1
switch(config-if)#switchportm
switch(config-if)#switchportmodeac
switch(config-if)#switchportmodeaccess
switch(config-if)#switchportaccessvlan20
switch(config)#intf0/2
switch(config-if)#sw
switch(config-if)#switchportt
switch(config-if)#switchporttrunken
switch(config-if)#switchporttrunkencapsulationdo
switch(config-if)#switchporttrunkencapsulationdot1q
switch(config-if)#swi
switch(config-if)#switchportmo
switch(config-if)#switchportmodet
switch(config-if)#switchportmodetrunk
在R1上配置单臂路由
R1(config)#intf0/0
R1(config-if)#noshut
R1(config)#intf0/0.10
R1(config-subif)#encapsulationdot1Q10
R1(config-subif)#ipadd172.16.1.254255.255.255.0
R1(config-subif)#exit
R1(config)#intf0/0.20
R1(config-subif)#en
R1(config-subif)#encapsulationdo
R1(config-subif)#encapsulationdot1Q20
R1(config-subif)#ipadd172.16.2.254255.255.255.0
用pcpingserver可以通了
在网关上通过默认路由与NAT实现内网与外网通信,要求采用PAT实现。写出相应配置。
R2、R3为广域网上的路由器,对应接口IP地址如图,要求在R2和R3上起OSPF协议,默认为area0,实现R2和R3之间的路由学习。ISP-Server为外部服务器,地址为112.18.1.1(在R3上通过loop接口模拟,并且设置对应接口的OSPF网络类型为point-to-point)。要求PC可以正常访问该服务器。
先在R2和R3上配置基本端口,并配置ospf协议。
R2(config)#intf0/0
R2(config-if)#ipadd112.17.12.2255.255.255.252
R2(config-if)#noshut
R2(config-if)#intf1/0
R2(config-if)#ipadd112.17.23.2255.255.255.252
R2(config-if)#noshut
R2(config-if)#routerospf1
R2(config-router)#network112.17.23.20.0.0.0area0
R2(config-router)#network112.17.12.20.0.0.0area0
R3(config-if)#routerospf1
R3(config-router)#network112.17.23.10.0.0.0area0
R3(config-router)#network112.18.1.10.0.0.0area0
R3(config)#intlo1
R3(config-if)#ipospfne
R3(config-if)#ipospfnetworkpoin
R3(config-if)#ipospfnetworkpoint-to-p
R3(config-if)#ipospfnetworkpoint-to-point
貌似在端口中也能配置ospf协议
在网关上配置默认路由和pat,实现内网与外网通信
R1(config)#iproute0.0.0.00.0.0.0112.17.12.2
R1(config)#access-list1permit172.16.1.00.0.0.255
R1(config)#access-list1permit172.16.2.00.0.0.255
R1(config)#ipnatinsidesourcelist1interfacef1/0overload
R1(config)#interfacef1/0
R1(config-if)#ipnato
R1(config-if)#ipnatoutside
R1(config-if)#intf0/0.10
R1(config-subif)#ipnatin
R1(config-subif)#ipnatinside
R1(config-subif)#intf0/0.20
R1(config-subif)#ipnatin
R1(config-subif)#ipnatinside
用pc可以与外部服务器相通了
在网关上配置标准访问列表12,要求PC不能telnet登录该网关,而其他设备可以正常telnet登录,并在相应的vty链路下调用该访问控制列表。
先通过pctelent该网关,在该网关上配置密码
pc#telnet112.17.12.1
Trying112.17.12.1...Open
Passwordrequired,butnoneset
R1(config)#linevty04
R1(config-line)#pass
R1(config-line)#passwordcisco
R1(config-line)#exit
在该网关上配置标准访问列表12,要求pc不能telnet该网关,而其他设备可以正常登录
R1(config)#access-list12deny172.16.2.10.0.0.0
R1(config)#acc
R1(config)#access-list12per
R1(config)#access-list12permitany
R1(config)#linevty04
R1(config-line)#acc
R1(config-line)#access-class12in
R1(config-line)#exit
用pc已经无法telnet该网关,其他设备可以
在网关上配置静态端口映射,将内部Server的23端口映射到外网接口的23端口,使得外部可以通过112.17.12.1这个地址telnet登录内部服务器。
在网关上配置静态端口映射
R1(config)#ipnatinsidesourcestatictcp172.16.1.123112.17.12.123
在sever上配置vty密码
server(config)#linevty04
server(config-line)#pa
server(config-line)#pass
server(config-line)#passwordcisco
server(config-line)#exit
检验
R3#telnet112.17.12.1
Trying112.17.12.1...Open
UserAccessVerification
Password:
server>
在网关配置扩展ACL,使得内部Server可以ping通PC,但是PC不能ping通Server。
在网关上配置ACL
R1(config)#access-list101denyicmphost172.16.2.1host172.16.1.1echo
R1(config)#acc
R1(config)#access-list101pe
R1(config)#access-list101permitipanyany
R1(config)#intf0/0.20
R1(config-subif)#ipac
R1(config-subif)#ipacc
R1(config-subif)#ipaccess
R1(config-subif)#ipaccess-group101in
R1(config-subif)#exit
检验
选做:在R2上配置扩展的ACL,使得R1可以telnet登录R3,R3无法telnet登录R1
在R2上配置ACL
R2(config)#access-list111denytcphost112.17.23.1host112.17.12.1eq23
R2(config)#access-list111permitipanyany
R2(config)#intf1/0
R2(config-if)#ipacc
R2(config-if)#ipacce
R2(config-if)#ipaccess-group111in
|
|
