[R1-GigabitEthernet0/0/1]nat outbound 2000 [R1]display nat outbound acl 2000 NAT Outbound Information:
-------------------------------------------------------------------------- Interface Acl Address-group/IP/Interface Type -------------------------------------------------------------------------- GigabitEthernet0/0/1 2000 119.0.28.3 easyip -------------------------------------------------------------------------- Total : 1 4.查看NAT会话信息
允许访问公网的内网地址为192.168.1.1/24—192.168.1.15/24 在PC1上执行 PC>ping 119.0.29.3 然后在R1上查看NAT会话的详细信息 [R1]display nat session all NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.15 DestAddr Vpn : 119.0.29.3 Type Code IcmpId : 0 8 15465 NAT-Info
New SrcAddr : 119.0.28.3 New DestAddr : ---- New IcmpId : 10249
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.15 DestAddr Vpn : 119.0.29.3 Type Code IcmpId : 0 8 15464 NAT-Info
New SrcAddr : 119.0.28.3 New DestAddr : ---- New IcmpId : 10248 ……… Total : 5
实验9 配置基本ACL(考试重点) 9.1组网及业务描述
访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
图9-1 配置基本ACL功能组网图
ACL可以通过定义规则来允许或拒绝流量的通过。
本实验要求拒绝源IP地址为10.0.4.1~10.0.4.7的数据流通过R1。
9.2 配置与验证
一、配置基于ACL的流量过滤器
#定义ACL规则
[R1]acl 2000 #创建一个ACL并进入ACL视图
#定义规则,禁止源地址为10.0.4.1~10.0.4.7的数据包
[R1-acl-basic-2000]rule deny source 10.0.4.0 0.0.0.7 [R1-acl-basic-2000]quit
[R1]display acl 2000 #查看ACL规则的配置信息
#将ACL规则应用到R1的接口 [R1]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 #在R1接口的出方向上
应用规则
二、验证配置结果
配置完成后,PCA无法ping通Server,PCB可以ping通Server。 附注:
通配符掩码(wildcard mask):0为绝对匹配,必须严格匹配才行,而1为任意。
(1)ACL中的反掩码的意义就是为了实现跨网段的匹配。例如匹配一个192.X.168.X这样一个包含多个网段的地址,正常的掩码应该是255.0.255.0,但根据掩码的定义,这样的掩码是不被允许的,所以有了wildcard的出现。
(2)wildcard在下发ACL规则时就与我们所配置的IP地址进行“与”操作,匹配时wildcard再同报文中相应的字段进行“与”操作,两个“与”操作的结果进行对比,如果相同则认为匹配,不同则认为不匹配。这里“与”操作的对象可以理解为正常掩码类似的字段进行。例如反掩码0.255.0.255,在作与操作时需要换算成255.0.255.0对报文和我们配置的源IP进行“与”操作。
实验10 配置三层交换 10.1组网及业务描述
在企业网络中,通过使用三层交换机可以简便地实现VLAN间通信。作为企业的网络管理员,需要在三层交换机配置VLANIF接口的三层功能,使得网络能够实现VLAN间通信。
图14-1配置三层交换拓扑图
PC21和PC31属于VLAN10,PC22和PC32属于VLAN20。
10.2配置与验证
一、配置端口所属VLAN
1.配置SW2
[SW2]interface e0/0/8
[SW2-Ethernet0/0/8]port link-type access #配置端口为Access端口 [SW2-Ethernet0/0/8]port default vlan 10 #端口加入VLAN10 [SW2]interface e0/0/9
[SW2-Ethernet0/0/9]port link-type access #配置端口为Access端口# [SW2-Ethernet0/0/9]port default vlan 20 #端口加入VLAN20 2.配置SW3
[SW2]interface e0/0/8
[SW2-Ethernet0/0/8]port link-type access #配置端口为Access端口 [SW2-Ethernet0/0/8]port default vlan 10 #端口加入VLAN10 [SW2]interface e0/0/9
[SW2-Ethernet0/0/9]port link-type access #配置端口为Access端口# [SW2-Ethernet0/0/9]port default vlan 20 #端口加入VLAN20
二、配置Trunk 端口
1.配置SW2
[SW2]interface e0/0/1
[SW2-Ethernet0/0/1]port link-type trunk #配置本端口为Trunk端口#
[SW2-Ethernet0/0/1]port trunk allow-pass vlan 10 20 #本端口允许VLAN10、VLAN20通过# 2.配置SW3
[SW3]interface e0/0/1
[SW3-Ethernet0/0/1]port link-type trunk #配置本端口为Trunk端口#
[SW3-Ethernet0/0/1]port trunk allow-pass vlan 10 20 #本端口允许VLAN10、VLAN20通过#
三、配置VLANIF接口
[SW2]interface vlanif 10 #创建VLANIF接口并进入VLANIF视图 [SW2-Vlanif10]ip address 210.0.3.33 27 [SW2-Vlanif10]quit
[SW3]interface vlanif 20 #创建VLANIF接口并进入VLANIF视图 [SW3-Vlanif20]ip address 210.0.3.65 27 [SW3-Vlanif20]quit
#VLANIF是三层逻辑接口,只有配置了IP地址,才可以实现网络层的设备相互通信。 #VLANIF的接口编号必须对应已创建的VLAN。
四、检查配置结果
在VLAN10中的PC上配置网关为VLANIF10的IP地址210.0.3.33/27。 在VLAN20中的PC上配置网关为VLANIF20的IP地址210.0.3.65/27。 配置完成后,VLAN10的PC与VLAN20的PC之间可以ping通。
#若要使VLAN内的用户不能通过VLANIF接口与其他VLAN内用户通信,可以在VLANIF接口视图
下执行shutdown命令。
[SW2-Vlanif10]shutdown
关闭VLANIF接口后,VLAN内用户还可以互相通信。
华为实验指导书(更新)
