绝对实用+NAT+2B+VLAN+2BACL管理企业网络.docx
- 文档编号:29350852
- 上传时间:2023-07-22
- 格式:DOCX
- 页数:11
- 大小:31.42KB
绝对实用+NAT+2B+VLAN+2BACL管理企业网络.docx
《绝对实用+NAT+2B+VLAN+2BACL管理企业网络.docx》由会员分享,可在线阅读,更多相关《绝对实用+NAT+2B+VLAN+2BACL管理企业网络.docx(11页珍藏版)》请在冰豆网上搜索。
绝对实用+NAT+2B+VLAN+2BACL管理企业网络
绝对实用NAT+VLAN+ACL管理企业网络
ZDNet网络频道更新时间:
2009-04-29作者:
51cto来源:
51cto
本文关键词:
网管VLANNAT
在企业中,要实现所有的员工都能与互联网进行通信,每个人各使用一个公网地址是很不现实的。
一般,企业有1个或几个公网地址,而企业有几十、几百个员工。
要想让所有的员工使用这仅有的几个公网地址与互联网通信该怎么做呢?
使用NAT技术!
在企业中,一般会有多个部门,像财务部、技术部、工程部等等。
每个部门有每个部门的职责。
像财务部这种重要的部门有些资料是不允许被其他员工知道的。
怎样能清楚的区分不同的部门,以便于管理呢?
使用VLAN技术!
为了工作方便、增强工作效率,各部门经理必须能相互通信。
但不允许员工之间相互通信。
我们又该怎样做呢?
使用ACL技术!
今天我们来学习如何使用NAT+VLAN+ACL管理企业网络。
如下是试验环境:
环境介绍:
企业中只有一个公网地址,172.16.1.1/24
企业中共有三个部门工程部、财务部、技术部。
PC1PC3PC5分别为三个部门的部门经理使用。
PC1的ip地址为192.168.1.2/24
PC2的ip地址为192.168.1.3/24
PC3的ip地址为192.168.2.2/24
PC4的ip地址为192.168.2.3/24
PC5的ip地址为192.168.3.2/24
PC6的ip地址为192.168.3.3/24
试验目的:
通过配置NAT使企业中所有的计算机都能通过唯一的公网地址与互联网通信。
通过配置VLAN划分各个部门,并配置ACL实现每个部门经理之间能够通讯,普通员工之间不能相互通讯。
OK,知道目的了,让我们开始工作吧!
首先在R1和R2上做基本配置,(由于试验过程中要使用VLAN间路由,所以需要使用dot1Q进行封装来配置子接口)
R1
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#hostr1
r1(config)#ints0/0
r1(config-if)#ipaddr172.16.1.1255.255.255.0
r1(config-if)#noshut
%LINK-5-CHANGED:
InterfaceSerial0/0,changedstatetoup
r1(config-if)#clockrate64000
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceSerial0/0,changedstatetou
r1(config-if)#exit
r1(config)#intf0/0
r1(config-if)#noipaddr
r1(config-if)#noshut
r1(config-if)#exit
r1(config)#intf0/0.1配置子接口,
r1(config-subif)#encapsulationdot1Q2配置子接口必须使用dot1Q进行封装
r1(config-subif)#ipaddr192.168.1.1255.255.255.0
r1(config-subif)#noshut
r1(config-subif)#exit
r1(config)#intf0/0.2配置子接口
r1(config-subif)#encapsulationdot1Q3配置子接口必须使用dot1Q进行封装
r1(config-subif)#ipaddr192.168.2.1255.255.255.0
r1(config-subif)#noshut
r1(config-subif)#exit
r1(config)#intf0/0.3配置子接口
r1(config-subif)#encapsulationdot1Q4配置子接口必须使用dot1Q进行封装
r1(config-subif)#ipaddr192.168.3.1255.255.255.0
因为我们把R2当作公网使用,所以只需要在R2的S0/0口上配置ip就可以啦
R2
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#hostr2
r2(config)#ints0/0
r2(config-if)#ipaddr172.16.1.2255.255.255.0
r2(config-if)#noshut
基本配置完成了,接下来第一步,我们要让企业中的所有员工都能通过唯一的公网ip172.16.1.1/24与互联网相互通信。
R1
r1(config)#ipnatpoolinternet172.16.1.1172.16.1.1netmask255.255.255.0定义全局地址池
r1(config)#access-list10permit192.168.0.00.0.255.255通过标准访问控制列表定义内部网络的上网条件
r1(config)#ipnatinsidesourcelist10poolinternetoverload建立全局地址池与标准访问控制列表之间的映射关系
r1(config)#ints0/0
r1(config-if)#ipnatoutside外网接口绑定(要想配置能实现应用必须在内外网接口上绑定)
r1(config-if)#exit
r1(config)#intf0/0
r1(config-if)#ipnatinside内网接口绑定
通过配置VLAN划分各个部门,并配置ACL以实现每个部门经理之间能够通讯,普通员工之间不能相互通讯。
Sw
Switch>en
Switch#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Switch(config)#intf0/1
Switch(config-if)#switchportmodetrunk配置Trunk链路
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/1,changedstatetodown
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/1,changedstatetoup
Switch(config-if)#exit
Switch(config)#vlan2创建VLAN2
Switch(config-vlan)#namegongchengbuvlan2为工程部
Switch(config-vlan)#exit
Switch(config)#vlan3创建VLAN3
Switch(config-vlan)#namecaiwubuVLAN3为财务部
Switch(config-vlan)#exit
Switch(config-vlan)#vlan4创建VLAN4
Switch(config-vlan)#namejishubuVLAN4为技术部
Switch(config-vlan)#exit
Switch(config)#intf0/2
Switch(config-if)#switchportaccessvlan2给VLAN2手工添加成员
Switch(config-if)#exit
Switch(config)#intf0/3
Switch(config-if)#switchportaccessvlan2
Switch(config-if)#exit
Switch(config)#intf0/4
Switch(config-if)#switchportaccessvlan3给VLAN3手工添加成员
Switch(config-if)#exit
Switch(config)#intf0/5
Switch(config-if)#switchportaccessvlan3
Switch(config-if)#exit
Switch(config)#intf0/6
Switch(config-if)#switchportaccessvlan4给VLAN3手工添加成员
Switch(config-if)#exit
Switch(config)#intf0/7
Switch(config-if)#switchportaccessvlan4
Switch(config-if)#exit
定义访问控制列表
定义访问控制列表时要细心,要把最特殊的访问控制列表放在最上面。
(在此例中,允许一台特定主机而拒绝一个网段,所以要把拒绝主机放在上面)。
注意:
要想一个访问列表能够得到应用,必须在接口绑定。
R1
r1(config)#access-list10permit192.168.2.20.0.0.0
r1(config)#access-list10deny192.168.2.00.0.0.255
r1(config)#access-list10permit192.168.3.20.0.0.0
r1(config)#access-list10deny192.168.3.00.0.0.255
r1(config)#access-list10permitany
r1(config)#intf0/0.1
r1(config-subif)#ipaccess-group10out
r1(config-subif)#exit
r1(config)#access-list11permit192.168.1.20.0.0.0
r1(config)#access-list11deny192.168.1.00.0.0.255
r1(config)#access-list11permit192.168.3.20.0.0.0
r1(config)#access-list11deny192.168.3.00.0.0.255
r1(config)#access-list11permitany
r1(config)#intf0/0.2
r1(config-subif)#ipaccess-group11out
r1(config-subif)#exit
r1(config)#access-list12permit192.168.1.20.0.0.0
r1(config)#access-list12deny192.168.1.00.0.0.255
r1(config)#access-list12permit192.168.2.20.0.0.0
r1(config)#access-list12deny192.168.2.00.0.0.255
r1(config)#access-list12permitany
r1(config)#intf0/0.3
r1(config-subif)#ipaccess-group12out
r1(config-subif)#exit
OK了,现在通过配置后所有的员工都能与互联网通讯。
(由于主机较多就不一一列述)
PC>ping172.16.1.2
Pinging172.16.1.2with32bytesofdata:
Replyfrom172.16.1.2:
bytes=32time=94msTTL=254
Replyfrom172.16.1.2:
bytes=32time=94msTTL=254
Replyfrom172.16.1.2:
bytes=32time=94msTTL=254
Replyfrom172.16.1.2:
bytes=32time=90msTTL=254
Pingstatisticsfor172.16.1.2:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=90ms,Maximum=94ms,Average=93ms
配置完成后,PC1、PC3和PC5之间,即每个部门的部门经理之间能相互通信。
PC1pingPC3
PC1>ping192.168.2.2
Pinging192.168.2.2with32bytesofdata:
Replyfrom192.168.2.2:
bytes=32time=125msTTL=127
Replyfrom192.168.2.2:
bytes=32time=110msTTL=127
Replyfrom192.168.2.2:
bytes=32time=110msTTL=127
Replyfrom192.168.2.2:
bytes=32time=125msTTL=127
Pingstatisticsfor192.168.2.2:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=110ms,Maximum=125ms,Average=117ms
PC1PINGPC5
PC1>ping192.168.3.2
Pinging192.168.3.2with32bytesofdata:
Replyfrom192.168.3.2:
bytes=32time=111msTTL=127
Replyfrom192.168.3.2:
bytes=32time=120msTTL=127
Replyfrom192.168.3.2:
bytes=32time=111msTTL=127
Replyfrom192.168.3.2:
bytes=32time=105msTTL=127
Pingstatisticsfor192.168.3.2:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=105ms,Maximum=120ms,Average=111ms
PC3PINGPC5
PC3>ping192.168.3.2
Pinging192.168.3.2with32bytesofdata:
Replyfrom192.168.3.2:
bytes=32time=125msTTL=127
Replyfrom192.168.3.2:
bytes=32time=125msTTL=127
Replyfrom192.168.3.2:
bytes=32time=109msTTL=127
Replyfrom192.168.3.2:
bytes=32time=94msTTL=127
Pingstatisticsfor192.168.3.2:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=94ms,Maximum=125ms,Average=113ms
PC2PC4和PC6之间,即普通员工之间是不能相互通信的。
PC2PINGPC4
PC2>ping192.168.2.3
Pinging192.168.2.3with32bytesofdata:
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
Pingstatisticsfor192.168.2.3:
Packets:
Sent=4,Received=0,Lost=4(100%loss),
PC2PINGPC6
PC2>ping192.168.3.3
Pinging192.168.3.3with32bytesofdata:
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
Pingstatisticsfor192.168.3.3:
Packets:
Sent=4,Received=0,Lost=4(100%loss),
PC4PINGPC6
PC4>ping192.168.3.3
Pinging192.168.3.3with32bytesofdata:
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
Pingstatisticsfor192.168.3.3:
Packets:
Sent=4,Received=0,Lost=4(100%loss),
通过以上所有的配置,我们达到了目的:
所有的员工通过一个公网地址与互联网通讯;使各部门经理之间能相互通信,普通员工之间不能相互通信。
嘿嘿,还是很实用吧!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 绝对 实用 NAT VLAN BACL 管理 企业 网络
![提示](https://static.bdocx.com/images/bang_tan.gif)