DHCP+NAPT+RIP+ACL实现企业对互联网提供服务

背景

最近同事反馈说在公司电脑用WiFi、物联网设备连网线没法调试,因为不在同一个网段,而且不同网段之间也无法通信。问了网络实施团队,他们给的理由是一个接了专线,一个接了宽带。

第二件事情是同事在国外项目上需要本地化部署系统,专线是拉好了,但是物联网设备无法访问到内部的服务器,以至于数据上不来。

为此,不得不搬出早已生疏的Cisco Packet Tracer,本来想用华为的ENSP、新华三HCL、GNS3、EVE-NG等工具,因为毕竟国内华为、杭州华三用的多,但是因为要在macOS上使用,太折腾了(坐等鸿蒙PC),所以即便EVE-NG有多么的强悍,最终还是选了Cisco Packet Tracer。

实验

思路

图1 总体思路

首先的话,本次实验的思路是模拟现实场景,两个路由器之间的通信,以及外部网络访问企业提供的服务。所以左边代表的是互联网的访问,路由器之间通过Serial口模拟互联网连接。右边表示企业,有一个边界路由器接入互联网,内部还有一个路由器模拟连接宽带的设备,这里省里了宽带的连接。考虑到企业安全,内部服务器不是所有端口、IP都能访问的,所以开启了ACL访问控制列表。

方案

路由器Serial口之间采用PPP协议进行通信,内部PC均使用NAT(NAPT)进行外网访问。企业内部使用了静态路由和RIP动态路由。不同终端使用DHCP获取IP地址。

配置

路由器各网口的配置如图1 总体思路,这里不再赘述。

首先设置DHCP服务器,以DHCP-2服务器为例,设置IP地址池,PC启用DHCP即可。

图2 DHCP配置示例

路由器配置

R1:
interface serial 2/0
ip address 220.10.9.10 255.255.255.0
clock rate 64000
encapsulation ppp
no shutdown 

ip route 220.10.10.0 255.255.255.0 220.10.9.11
ip route 192.168.0.0 255.255.255.0 220.10.9.11
ip route 192.168.2.0 255.255.255.0 220.10.9.11

interface FastEthernet 0/0
ip nat inside
interface serial 2/0
ip nat outside
access-list 1 permit 172.16.69.0 0.0.0.255
ip nat pool poola 220.10.9.20 220.10.9.254 netmask 255.255.255.0
ip nat inside source list 1 pool poola overload
show ip nat translations
边界路由器:
interface fastEthernet 0/0
ip address 192.168.0.1 255.255.255.0
no shutdown
exit
interface fastEthernet 4/0
ip address 220.10.10.10 255.255.255.0
no shutdown
exit
interface fastEthernet 1/0
ip address 192.168.2.1 255.255.255.0
no shutdown
exit
interface serial 2/0
ip address 220.10.9.11 255.255.255.0
encapsulation ppp
no shutdown
exit
ip route 192.168.3.0 255.255.255.0 192.168.2.2
ip route 172.16.69.0 255.255.255.0 220.10.9.10
router rip 
version 2
network 192.168.2.0
network 220.10.9.0
default-information originate
exit
interface serial 2/0
ip nat outside
exit
interface fastEthernet 1/0
ip nat inside
exit
ip nat inside source list 1 interface serial 2/0 overload
access-list 101 permit tcp any host 192.168.3.2 eq 443
access-list 101 deny tcp any host 192.168.3.2 eq 80
access-list 101 permit tcp any host 192.168.0.3 eq 443
access-list 101 permit tcp any host 220.10.10.11 eq 443
access-list 101 permit tcp any host 220.10.10.11 eq 80
interface serial 2/0
ip access-group 101 in
内网路由器:
ip route 192.168.0.0 255.255.255.0 192.168.2.1
router rip
network 192.168.2.0
network 192.168.3.0

配置完成后,可以通过PC0-0访问https://192.168.0.3和https://192.168.3.2(Web Server服务器通过DHCP分配到的地址),因为开启了 ACL,所以原本可以访问的80端口无法访问了,即http://192.168.0.3和http://192.168.3.2是访问不了的。

图3 总体配置效果

  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值