【正文】 首頁 任務(wù)一 任務(wù)二 演講完畢，謝謝觀看！ 。 如果使用方法一，則服務(wù)器的所有服務(wù)都映射到公網(wǎng) IP上；如果使用方法二，則只是 Web服務(wù)的轉(zhuǎn)換。公網(wǎng)的計(jì)算機(jī)是不能直接訪問內(nèi)網(wǎng)計(jì)算機(jī)的，要實(shí)現(xiàn)內(nèi)網(wǎng)服務(wù)器上的服務(wù)被外網(wǎng)訪問，則要將內(nèi)網(wǎng)服務(wù)器的 IP映射到公網(wǎng)的 IP上，因特網(wǎng)上的計(jì)算機(jī)通過公網(wǎng)IP訪問到內(nèi)網(wǎng)服務(wù)器上的 Web服務(wù)。 在 Lanrouter上進(jìn)行 NAT配置，實(shí)現(xiàn)公網(wǎng)的計(jì)算機(jī)能訪問內(nèi)網(wǎng)服務(wù)器上的 Web服務(wù)。 首頁 任務(wù)一 任務(wù)二 訓(xùn)練 2 利用 NAT實(shí)現(xiàn)外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)服務(wù)器 訓(xùn)練要求 添加 1臺計(jì)算機(jī)代表因特網(wǎng)上的計(jì)算機(jī)， 1臺服務(wù)器代表公司內(nèi)部的一臺 Web服務(wù)器。 首頁 任務(wù)一 任務(wù)二 訓(xùn)練 2 利用 NAT實(shí)現(xiàn)外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)服務(wù)器 訓(xùn)練描述 你是某公司的網(wǎng)絡(luò)管理員，公司只向 ISP申請了一個(gè)公網(wǎng) IP地址，現(xiàn)公司的網(wǎng)站在內(nèi)網(wǎng)，要求在因特網(wǎng)也可以訪問公司網(wǎng)站，請你實(shí)現(xiàn)。 要加上能使數(shù)據(jù)包向外轉(zhuǎn)發(fā)的路由，比如默認(rèn)路由。 訓(xùn)練分析 公司通過路由器與外網(wǎng)互聯(lián)，公司只有一個(gè)公網(wǎng)地址，那就是與公網(wǎng)直連的路由器端口的 IP，即 ，要實(shí)現(xiàn)內(nèi)網(wǎng)訪問因特網(wǎng)，只能在內(nèi)網(wǎng)路由器上進(jìn)行 NAPT配置才能實(shí)現(xiàn)。 添加 2臺 2811路由器使用 DCE串口線互聯(lián)模擬與公網(wǎng)互聯(lián)。 首頁 任務(wù)一 任務(wù)二 訓(xùn)練 1 利用動態(tài) NAPT實(shí)現(xiàn)局域網(wǎng)訪問因特網(wǎng) 訓(xùn)練描述 你是某公司的網(wǎng)絡(luò)管理員，公司只向 ISP申請了一個(gè)公網(wǎng) IP地址，希望全公司的主機(jī)都能訪問外網(wǎng)，請你實(shí)現(xiàn)。 訓(xùn)練 1 利用動態(tài) NAPT實(shí)現(xiàn)局域網(wǎng)訪問因特網(wǎng) 。 NAT主要分為兩種類型： NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）和 NAPT（網(wǎng)絡(luò)地址端口轉(zhuǎn)換）。 NAT將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)（ Inside）和外部網(wǎng)絡(luò)（ Outside）兩部分。 NAT技術(shù)能較好地解決現(xiàn)階段 IP v4地址短缺的問題。 首頁 任務(wù)一 任務(wù)二 任務(wù)二 網(wǎng)絡(luò)地址轉(zhuǎn)換 任務(wù)描述 NAT（ Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）的功能是將企業(yè)內(nèi)部自行定義的私有 IP地址轉(zhuǎn)換為 Inter公網(wǎng)上可識別的合法 IP地址。 訓(xùn) 練 小 結(jié) 專家級訪問列表用于過濾二層和三層、四層數(shù)據(jù)流。 首頁 任務(wù)一 任務(wù)二 訓(xùn)練 3 專家級訪問控制列表的配置 訓(xùn)練步驟 路由器基本配置 驗(yàn)證路由器配置 Routeren Routerconf t Router(conf ig)int erface f astethe r 0/ 0 Router(conf ig i f ) i p a d d r e s s 1 7 2 . 1 6 . 1 . 2 2 5 5 . 2 5 5 . 2 5 5 . 0 Router(conf ig i f ) n o s h u t d o w n Router(conf ig i f ) e x i t Router(conf ig)int erface f astethe r 0/ 1 Ro uter(conf ig i f ) i p a d d r e s s 1 6 0 . 1 6 . 1 . 2 2 5 5 . 2 5 5 . 2 5 5 . 0 Router(conf ig i f ) n o s h u t d o w n Router(conf ig)exi t Router Routershow ip int erface b rief I Interface IP A d d r e s s O K ? M e t h o d S t a t u s P r o t o c o l FastEtherne t0/0 . 1 . 2 YES manual up up FastEtherne t0/1 YES manual up up Vlan1 u n a s s i g n e d YES unset adminis trativel y down down 首頁 任務(wù)一 任務(wù)二 訓(xùn)練 3 專家級訪問控制列表的配置 訓(xùn)練步驟 在交換機(jī)上配置專家級訪問控制列表 驗(yàn)證訪問列表配置 在接口上應(yīng)用專家級訪問控制列表 Switch(conf ig)ip access l i s t e x t e n d e d t e s t 1 Switch(conf ig ext nacl)de ny ip h ost 1 7 2 . 1 6 . 1 . 1 h o s t 1 6 0 . 1 6 . 1 . 1 ！禁止 1 7 2 . 1 6 . 1 . 1 訪問 . 1 Switch(conf ig ext nacl)pe rmit ip any an y Switchshow access l i s t s t e s t 1 Extended IP access list te st1 d e n y i p h o s t 1 7 2 . 1 6 . 1 . 1 h o s t 1 6 0 . 1 6 . 1 . 1 p e r m i t i p a n y a n y Switch(conf ig)int erface v lan 1 Switch(conf ig i f ) i p a c c e s s g r o u p t e s t 1 i n 首頁 任務(wù)一 任務(wù)二 訓(xùn)練 3 專家級訪問控制列表的配置 訓(xùn)練測試 PC1可 ping通 PC2，但不能訪問服務(wù)器。從而更加靈活地控制網(wǎng)絡(luò)的流量，保證網(wǎng)絡(luò)的安全運(yùn)行。 在交換機(jī)上配置限制 PC1不能訪問服務(wù)器任何服務(wù)，但 PC2不受限制。 PC 1 PC 2 F 0 / 1 F 0 / 2 F 0 / 0 F 0 / 1 F 0 / 3 1 7 2 . 1 6 . 1 . 2 I P: 1 7 2 . 1 6 . 1 . 1 默認(rèn)網(wǎng)關(guān) 1 7 2 . 1 6 . 1 . 2 I P: 1 7 2 . 1 6 . 1 . 3 默認(rèn)網(wǎng)關(guān) 1 7 2 . 1 6 . 1 . 2 Mu l t i l ay er Sw i t c h 2 3 5 6 0 2 4 PS 2 8 1 1 1 6 0 . 1 6 . 1 . 2 Ro u t er I P: 1 6 0 . 1 6 . 1 . 1 Serv er 首頁 任務(wù)一 任務(wù)二 訓(xùn)練 3 專家級訪問控制列表的配置 訓(xùn)練要求 添加 2臺計(jì)算機(jī)和 1臺服務(wù)器， 2臺 PC代表公司內(nèi)部的計(jì)算機(jī)，服務(wù)器為公司的 Web和 FTP服務(wù)器。 為了提高網(wǎng)絡(luò)訪問的安全性 ， 你需要利用專家級的訪問列表 ， 根據(jù)用戶的 IP地址和 MAC地址進(jìn)行網(wǎng)絡(luò)訪問的控制 。 （ 2）要注意 deny某個(gè)網(wǎng)段后要 permit其他網(wǎng)段。測試發(fā)現(xiàn)，學(xué)生網(wǎng)段不能訪問網(wǎng)頁，教學(xué)宿舍網(wǎng)段可以訪問網(wǎng)頁。 訓(xùn)練分析 本任務(wù)只是要求限制學(xué)生機(jī)對校服務(wù)器的 Web服務(wù)，此限制只是根據(jù)服務(wù)器提供的某種服務(wù)進(jìn)行控制，是基于服務(wù)端口進(jìn)行控制的，因此不能使用標(biāo)準(zhǔn)訪問列表來實(shí)現(xiàn)。 添加 1臺 3560交換機(jī)，在交換機(jī)上劃分 3個(gè) Vlan，分別為 VlanVlan Vlan30，開啟三層路由功能實(shí)現(xiàn)全網(wǎng)互通。 實(shí)驗(yàn)拓?fù)淙鐖D所示 。 （ 2）標(biāo)準(zhǔn)控制列表要應(yīng)用在盡量靠近目的地址的接口。 在 PC2上測試 PC3，結(jié)果是不通的。 訓(xùn)練分析 根據(jù)實(shí)驗(yàn)拓?fù)鋱D為所有的計(jì)算機(jī)設(shè)置 IP、掩碼和網(wǎng)關(guān)，使用正確的線纜連接所有的設(shè)備；兩個(gè)路由器之間使用默認(rèn)的廣域網(wǎng) HDLC協(xié)議封裝。其中， PC1代表經(jīng)理部的主機(jī)； PC2代表銷售部的主機(jī)； PC3代表財(cái)務(wù)部的主機(jī)。 首頁 任務(wù)一 任務(wù)二 訓(xùn)練 1 標(biāo)準(zhǔn)訪問控制列表的配置 訓(xùn)練描述 你是一個(gè)公司的網(wǎng)絡(luò)管理員，公司的經(jīng)理部、財(cái)務(wù)部和銷售部分屬不同的 3個(gè)網(wǎng)段， 3部門之間用路由器進(jìn)行信息傳遞，為了安全起見，公司領(lǐng)導(dǎo)要求銷售部門不能對財(cái)務(wù)部進(jìn)行訪問，但經(jīng)理部可以對財(cái)務(wù)部進(jìn)行訪問。 訓(xùn)練 2 擴(kuò)展訪問控制列表的配置 。本任務(wù)分以下 3個(gè)訓(xùn)練進(jìn)行學(xué)習(xí)。 IP ACL的配置有兩種方式：按照編號的訪問列表；按照命名的訪問列表。 IP ACL是基于接口進(jìn)行規(guī)則的應(yīng)用，分為入棧應(yīng)用和出棧應(yīng)用。主要分為標(biāo)準(zhǔn)IP訪問列表和擴(kuò)展 IP訪問列表兩種。 這些功能都可以通過訪問列表來達(dá)到目的 。 這些策略可以描述安全功能 ， 并且反映流