一、概述:

企业的边界网络设备一般是路由器或者多层交换机,主要实现的功能如下:(1)实现内网部分设备访问外网;(2)客户从公网访问企业内网的Web服务器等;(3)运维人员从外网访问企业内部的部分设备进行远程维护。其中第一项功能需求通过ACL和端口复用(PAT)技术实现,第二、三项功能需求通过端口映射技术实现。

本文结合拓扑图讲述上述几项功能的实现技术及具体配置。

二、拓扑图说明:

a924f0436d15c6d7635fa7b55b5d2395.png-wh_

如上图所示,绿色背景部分为企业内部网络环境(COMPANY-Network),蓝色背景部分为运营商网络环境(ISP-Network),褐色背景部分为用户客户端网络(HOME-Network)。

今天要讨论的就是红色圈中的企业边界路由器(BR)的配置。涉及的相关网络技术说明如下:

1、访问控制列表(ACL):

访问控制列表路由器交换机接口的指令列表,用来控制端口进出的数据包。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。

本实验中使用ACL技术实现允许VLAN10的用户访问外网。

2、端口复用(PAT):

企业内部网络中使用内部地址,通过NAT把内部地址翻译成公网IP地址,即为NAT技术。IPv4 地址日益不足是部署 NAT 的一个主要原因。

PAT与NAT类似,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个TCP端口号。

本实验中将企业内网的192.168.10.0地址段映射为企业边界路由器的外网端口地址。

3、端口映射:

端口映射是将一台主机的内网IP地址映射成一个公网IP地址,当用户访问提供映射端口主机的某个端口时,服务器将请求转发到本地局域网内部提供这种特定服务的主机;利用端口映射功能还可以将一台外网IP地址机器的多个端口映射到内网不同机器上的不同端口。 

本实验中实现两个映射:(1)将内网WEB服务器192.168.30.249的80端口映射为企业边界路由器的外网端口地址的80端口,用于客户访问企业的WEB服务;(2)将内网核心交换机SW1的23端口映射为企业边界路由器的外网端口地址的1919端口,用于运维人员远程维护。

三、配置说明:

对于边界网络设备,首先要定义明确内部端口和外部端口,本实验中GigabitEthernet0/0、GigabitEthernet0/1为内部端口,GigabitEthernet0/2为外部端口。具体配置如下:

2122f1a6e824b30e8ced814a76820ac5.png-wh_

1、访问控制列表(ACL):

定义访问控制列表的命令如下:

266ff79d783f0da0443d46b112c88a84.png-wh_

2、端口复用(PAT):

应用该访问控制列表,即端口复用的命令如下:

ff596cf96083b88636498780a69082a7.png-wh_

3、端口映射:

实现端口映射的命令如下:


37cfd8f69a897eb3898eb4e63d6c52f1.png-wh_

四、验证测试:

1、访问控制列表(ACL)与端口复用(PAT):

拓扑图中PC1-1为VLAN10的服务器,WEB-Server1为VLAN30的服务器,按照配置PC1-1应该可以ping通ISP1路由器(与企业边界路由器相邻的运营商路由器)的端口IP12.1.1.2,验证结果如下:

9e8572e1a0de7f6a9ff31f6d1d03390f.png-wh_

而WEB-Server1无法ping通12.1.1.2,验证如下:

2e455bca73c2a73079362577d1cec61e.png-wh_

2、端口映射:

从ISP1(与企业边界路由器相邻的运营商路由器)上面telnet 12.1.1.1,应该可以远程登陆到内网核心交换机SW1,验证如下:

b50f00969417eb5d3ff22bbd1e7ed4f3.png-wh_

五、总结:

企业边界网络设备,一般要实现允许内网部分用户访问外网,这个需求由访问控制列表(ACL)和端口复用(PAT)技术实现(当然还可以根据需要实现更精确的访问控制)。而外部用户访问企业内部的提供公网服务的WEB服务器等,则由端口映射技术实现。