实验中运用的主要技术:
NAT地址转换
什么是NAT?
NAT(Network Address Translation),是指网络地址转换,1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。这种方法需要在专用网(私网IP)连接到因特网(公网IP)的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址(公网IP地址)。这样,所有使用本地地址(私网IP地址)的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。另外,这种通过使用少量的全球IP地址(公网IP地址)代表较多的私有IP地址的方式,将有助于减缓可用的IP地址空间的枯竭。在RFC 2663中有对NAT的说明。
NAT有三种实现方式:
静态转换(Static NAT)
动态转换(Dynamic Nat)
端口多路复用(Port address Translation,PAT)
静态NAT:将特定的公网地址和端口 一对一 的映射到特定的私网地址和端口,且每个私网地址都是确定的。
动态地址NAT :将内部地址与公网地址一对一的转换,但是动态地址是从合法的地址池中动态的选择未使用的公网地址,是随机的;当用户断开连接后,再次连接,可能外部地址就会切换成了另一个
网络地址端口转换NAPT(端口多路复用) :这也算是一种动态的,将多个内部地址转换为同一个公网地址,用不同的端口来区别不同的主机,可以分为圆锥型NAT和对称性NAT
ACL访问控制列表
什么是ACL?
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
ACL的分类
基本ACL(2000~2999):基本ACL规则只包含源IP地址,对设备的CPU消耗较少,可用于简单的部署,但是使用场景有限,不能提供强大的安全保障。
高级ACL(3000~3999):相较于基本ACL,高级ACL提供更高的扩展性,可以对流量进行更精细的匹配。通过配置高级ACL,可以阻止特定主机或者整个网段的源或者目标。除此之外,还可以使用协议信息(IP、ICMP、TCP、UDP)去过滤相应的流量。
IP地址映射
将web服务器的私网地址映射为公网地址,用户可以通过公网地址来访问web服务器。
配置:
先把pc与客户端配上相应ip地址
路由器与交换机配置
sw1
<Huawei>sys
[Huawei]sysname sw1
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]port link-type access
[sw1]vlan b 10 20
[sw1]un in en
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]port default vlan 10
[sw1-Ethernet0/0/1]int e0/0/2
[sw1-Ethernet0/0/2]port link-type access
[sw1-Ethernet0/0/2]port default vlan 10
[sw1-Ethernet0/0/2]int e0/0/3
[sw1-Ethernet0/0/3]port link-type trunk
[sw1-Ethernet0/0/3]port trunk allow-pass vlan all
[sw1-Ethernet0/0/3]q
sw2配置
<Huawei>sys
[Huawei]sysname sw2
[sw2]un in en
[sw2]vlan b 10 20
[sw2]int e0/0/1
[sw2-Ethernet0/0/1]port link-type access
[sw2-Ethernet0/0/1]port default vlan 20
[sw2-Ethernet0/0/1]int e0/0/2
[sw2-Ethernet0/0/2]port link-type access
[sw2-Ethernet0/0/2]port default vlan 20
[sw2-Ethernet0/0/2]int e0/0/3
[sw2-Ethernet0/0/3]port link-type trunk
[sw2-Ethernet0/0/3]port trunk allow-pass vlan all
[sw2-Ethernet0/0/3]q
sw5配置
<Huawei>sys
[Huawei]sysname sw5
[sw5]un in en
[sw5]vlan b 10 20 30 40
[sw5]int Vlanif 10
[sw5-Vlanif10]ip address 192.168.1.254 24
[sw5-Vlanif10]int Vlanif 20
[sw5-Vlanif20]ip address 192.168.2.254 24
[sw5-Vlanif20]int Vlanif 30
[sw5-Vlanif30]ip address 192.168.3.254 24
[sw5-Vlanif30]int Vlanif 40
[sw5-Vlanif40]ip address 192.168.4.1 24
[sw5-Vlanif40]q
[sw5]
[sw5]int g0/0/1
[sw5-GigabitEthernet0/0/1]port link-type trunk
[sw5-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw5-GigabitEthernet0/0/1]int g0/0/2
[sw5-GigabitEthernet0/0/2]port link-type trunk
[sw5-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[sw5-GigabitEthernet0/0/2]int g0/0/3
[sw5-GigabitEthernet0/0/3]port link-type access
[sw5-GigabitEthernet0/0/3]port default vlan 30
[sw5-GigabitEthernet0/0/3]int g0/0/4
[sw5-GigabitEthernet0/0/4]port link-type access
[sw5-GigabitEthernet0/0/4]port default vlan 30
[sw5-GigabitEthernet0/0/4]int g0/0/5
[sw5-GigabitEthernet0/0/5]port link-type access
[sw5-GigabitEthernet0/0/5]port default vlan 40
[sw5-GigabitEthernet0/0/5]q
[sw5]ospf 1 rou
[sw5]ospf 1 router-id 1.1.1.1
[sw5-ospf-1]area 0
[sw5-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[sw5-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[sw5-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[sw5-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[sw5-ospf-1-area-0.0.0.0]q
[sw5-ospf-1]q
[sw5]acl 2000
[sw5-acl-basic-2000]rule 5 deny source 192.168.1.0 0.0.0.255
[sw5-acl-basic-2000]q
[sw5]int g0/0/4
[sw5-GigabitEthernet0/0/4]traffic-filter outbound acl 2000
[sw5-GigabitEthernet0/0/4]q
[sw5]acl 2010
[sw5-acl-basic-2010]rule 5 deny source 192.168.2.0 0.0.0.255
[sw5-acl-basic-2010]q
[sw5]int g0/0/3
[sw5-GigabitEthernet0/0/3]traffic-filter outbound acl 2010
[sw5-GigabitEthernet0/0/3]q
AR3配置
<Huawei>sys
[Huawei]un in en
[Huawei]sysname r3
[r3]int g0/0/0
[r3-GigabitEthernet0/0/0]ip address 192.168.4.2 24
[r3-GigabitEthernet0/0/0]int g0/0/1
[r3-GigabitEthernet0/0/1]ip address 100.100.100.1 24
[r3-GigabitEthernet0/0/1]q
[r3]ospf 1 router-id 2.2.2.2
[r3-ospf-1]area 0
[r3-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[r3-ospf-1-area-0.0.0.0]q
[r3-ospf-1]q
[r3]ip route-static 0.0.0.0 0 100.100.100.2
[r3]ospf 1
[r3-ospf-1]default-route-advertise
[r3-ospf-1]q
[r3]acl 2000
[r3-acl-basic-2000]rule 5 permit source any
[r3-acl-basic-2000]int g0/0/1
[r3-GigabitEthernet0/0/1]nat outbound 2000
[r3-GigabitEthernet0/0/1]q
[r3]int g0/0/1
[r3-GigabitEthernet0/0/1]nat server protocol tcp global 100.100.100.3 80 inside
192.168.3.1 80
[r3-GigabitEthernet0/0/1]q
AR4配置
<Huawei>sys
[Huawei]sysname r4
[r4]un in en
[r4]int g0/0/0
[r4-GigabitEthernet0/0/0]ip address 100.100.100.2 24
[r4-GigabitEthernet0/0/0]int g0/0/1
[r4-GigabitEthernet0/0/1]ip address 100.100.200.254 24
[r4-GigabitEthernet0/0/1]q
测试
外网用户能通过映射的公网地址访问web服务器
1.0网段能访问ftp不能访问web
2.0能访问web不能访问ftp
成功!