路由交換筆記（28）--ACL-NAT-VLAN-DHCP綜合實驗配置

ACL-NAT-VLAN-DHCP綜合實驗配置

 

實驗拓撲圖：

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

實驗目的：
（一）禁止pc3上網，其他局域網內主機不受影響
（二）使局域網內所有主機都能上網。(只有一個公網地址)
（三）局域網內主機ip地址自動獲取。
（四）r1提供單臂路由和dhcp功能，實現vlan間通信

結合上面的要求，要讓所有主機都能上網，並只有一個公網地址，所以要用NAT，因爲要禁止pc3上網，要配置ACL，因爲所有主機的ip地址是從dhcp自動獲取，所以限制pc3不能基於ip地址（如果是靜態分配的地址，那pc3也可以更改ip地址），可以劃分vlan來實現。

 

因爲要禁止pc3，所以把pc3單獨放到vlan2裏。然後禁止vlan2所有成員也就禁止了pc3，就算pc3更改ip地址也不能上網。

 

基本信息配置（略）

r1(config)#in f0/0
r1(config-if)#no ip add            //主接口不能有ip地址
r1(config-if)#no shut              //主接口必須激活,否則子接口不能激活
r1(config-if)#in f0/0.1            //進入子接口
r1(config-subif)#encapsulation dot1Q 1    //封裝類型爲dot1q並給vlan1使用
r1(config-subif)#ip add 192.168.1.1 255.255.255.0    //配ip地址，也是vlan的網關地址
r1(config-subif)#no shut                 //激活子接口
r1(config-subif)#in f0/0.2              
r1(config-subif)#encapsulation dot1Q 2   //封裝類型爲dot1q並給vlan2使用
r1(config-subif)#ip add 192.168.2.1 255.255.255.0
r1(config-subif)#no shut
r1(config-subif)#in f0/0.3
r1(config-subif)#encapsulation d 3      //封裝類型爲dot1q並給vlan3使用
r1(config-subif)#ip add 192.168.3.1 255.255.255.0
r1(config-subif)#no shut
r1(config-subif)#exi

r1(config)#ip dhcp pool v1        //建一個名爲v1的ip地址池
r1(dhcp-config)#network 192.168.1.0 /24    //要分配的ip地址池                
r1(dhcp-config)#default-router 192.168.1.1  //網關地址
r1(dhcp-config)#lease 4                     //租約爲4天
r1(dhcp-config)#exi
r1(config)#ip dhcp pool v2
r1(dhcp-config)#netw 192.168.2.0 /25
r1(dhcp-config)#default-router 192.168.2.1
r1(dhcp-config)#lease 4
r1(dhcp-config)#exi
r1(config)#ip dhcp pool v3
r1(dhcp-config)#netw 192.168.3.0 /24
r1(dhcp-config)#default-router 192.168.3.1
r1(dhcp-config)#lease 4
r1(dhcp-config)#exi
r1(config)#ip dhcp excluded-address 192.168.1.1     //指定不分發的ip地址
r1(config)#ip dhcp excluded-address 192.168.2.1
r1(config)#ip dhcp excluded-address 192.168.3.1

 

 

vlan劃分規劃：vlan1（sw1和sw3）vlan2（pc3）vlan3（pc2和pc4）

sw1(config)#in vlan 1
sw1(config-if)#ip add dhcp    //ip地址從dhcp獲取
sw1(config-if)#exi
sw1(config)#vlan 2      //新建vlan2
sw1(config-vlan)#name v2  //給vlan2取名
sw1(config-vlan)#vlan 3
sw1(config-vlan)#name v3
sw1(config-vlan)#exi
sw1(config)#in f1/2
sw1(config-if)#switchport mode access    //接口模式設爲訪問端口
sw1(config-if)#switchport access vlan 3  //接口加入vlan 3
sw1(config-if)#exi
sw1(config)#in f1/0
sw1(config-if)#swi m trunk     //接口模式爲中繼端口
sw1(config-if)#swi t en d      //封裝類型爲dot1q
sw1(config-if)#exi
sw1(config)#in f1/15
sw1(config-if)#swi m t
sw1(config-if)#swi t en d     //必須和對端的封裝類型一樣
sw1(config-if)#exi
sw1(config)#vtp m server      //vtp服務端
sw1(config)#vtp domain sw     //vtp域名
sw1(config)#vtp pass abc      //vtp密碼
sw1(config)#vtp pruning       //vtp修剪

sw2(config)#in f1/15
sw2(config-if)#swi m t
sw2(config-if)#swi t en d
sw2(config-if)#exi
sw2(config)#in vlan 1
sw2(config-if)#ip add dhcp
sw2(config-if)#exi
sw2(config)#vtp m c
sw2(config)#vtp domain sw
sw2(config)#vtp pass abc
sw2(config)#vtp pru

sw2(config)#in f1/1
sw2(config-if)#swi m a
sw2(config-if)#swi a v 3
sw2(config-if)#exi
sw2(config)#in f1/0
sw2(config-if)#swi m a
sw2(config-if)#swi a v 2
sw2(config-if)#exi

所有pc的配置一樣，如下：
pc2(config)#in f0/0
pc2(config-if)#ip add dhcp   //從dhcp獲取
pc2(config-if)#no shut
pc2(config-if)#exi

測試：
pc2(config)#do p 192.168.3.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/26/64 ms

pc2(config)#do p 192.168.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/41/76 ms

相同vlan間能通信，不同vlan間也能通信。

r1(config)#in s1/0
r1(config-if)#ip add 219.146.0.1 255.255.255.0
r1(config-if)#no shut
r1(config-if)#exi

r2(config)#in s1/0
r2(config-if)#ip add 219.146.0.2 255.255.255.0
r2(config-if)#no shut
r2(config-if)#exi

 

測試pc2和外網的連通性：
pc2(config)#do p 219.146.0.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 219.146.0.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

 

不能通信，因爲路由沒有私有地址的路由表

 

r1(config)#access-list 10 permit 192.168.1.0 0.0.0.255  //新建列表10，允許192.168.1.0網段的地址  
r1(config)#access-list 10 permit 192.168.2.0 0.0.0.255  //添加列表10的項。允許192.168.2.0網段的地址
r1(config)#access-list 10 permit 192.168.3.0 0.0.0.255  //添加列表10的項。允許192.168.3.0網段的地址

r1(config)#in s1/0
r1(config-if)#ip nat out    //標記爲外部接口
r1(config-if)#in f0/0.1     //必須進入子接口，應用在主接口上沒有作用
r1(config-subif)#ip nat in  //標記爲內部接口
r1(config-subif)#in f0/0.2
r1(config-subif)#ip nat in
r1(config-subif)#in f0/0.3
r1(config-subif)#ip nat in
r1(config-subif)#exi

測試：
r1(config)#ip nat inside source list 10 interface s1/0 overload

pc2(config)#do p 219.146.0.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 219.146.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/113/188 ms

pc3(config)#do p 219.146.0.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 219.146.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/65/148 ms

現在所有內網主機都能和外網通信。

現在要禁止pc3的上網服務，這裏以telnet爲例：

r1(config)#access-list 110 deny tcp 192.168.2.0 0.0.0.255 any eq telnet  //拒絕192.168.2.0網段的主機和任何人telnet。
r1(config)#access-list 110 permit ip a a   //允許所有人的所有服務

r1(config)#in f0/0.2
r1(config-subif)#ip access-group 110 in    //必須在子接口應用
r1(config-subif)#exi

測試：

pc3(config)#do telnet 219.146.0.2
Trying 219.146.0.2 ...
% Destination unreachable; gateway or host down

已經不能telnet，測試一下其他服務：

pc3(config)#do p 219.146.0.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 219.146.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/113/220 ms

可以，說明已經做成功了。

再測試一下其他主機：

pc2(config)#do telnet 219.146.0.2
Trying 219.146.0.2 ... Open

User Access Verification

Password:
r2>
r2>
r2>exi

[Connection to 219.146.0.2 closed by foreign host]

沒問題。實驗完成。

 

常用調試命令：
show vtp status:           查看vtp狀態
show vlan-switch brief     查看vlan信息
show ip access-lists       查看ip訪問列表
show access-lists          查看所有訪問列表
show ip nat translations   查看所有活動的轉換條目
show ip nat statisics      查看所有靜態轉換條目
clear ip nat translation * 清除所有動態的轉換條目