CCNA实验八 DHCP_NAT_ACL.ppt

* * * * * ITE PC v4.0 Chapter 1 * ? 2007 Cisco Systems, Inc. All rights reserved. Cisco Public ? 2007 Cisco Systems, Inc. All rights reserved. Cisco Public ITE PC v4.0 Chapter 1 * DHCP+NAT+ACLCase Study 实验目的 1．了解DHCP原理，掌握在路由器上配置DHCP服务器的方法 2．了解IP Helper Address原理和配置方法 3．掌握NAT原理和配置方法 4．理解和掌握ACL的作用；学会配置各种ACL 5．参与网络的设计和实现 实验原理1－－ DHCP 网络管理员可以利用DHCP服务器从事先定义好的地址池里为客户机动态分配IP配置以及DNS服务器、域名等参数。 若需跨网域进行自动地址分配，IP helper-address命令可以让路由器中继广播请求，并把它们转发到特定的服务器上。 实验原理2－－ NAT 私有地址和公有地址 NAT的类型： 静态NAT 动态NAT 端口地址转换(PAT) 实验原理3－－ACL 标准ACL：只对数据包的源IP地址进行过滤，放在距目的地路由器尽可能近的地方。 扩展ACL：对源和目的IP地址、端口号等进行过滤，放在离源近的地方。 ACL的配置：1) 定义ACL；2) 绑定ACL到接口/虚拟端口 每一种被路由协议，在路由器的每个接口上的每个方向（in和out），最多只能绑定一条ACL。 ACL语句是按顺序进行处理的，一旦找到匹配的语句则立刻执行，剩下语句不再处理。如果没有匹配的语句，数据包将被丢弃。 实验拓扑 某公司的网络－－ 1）3个VLAN，其中VLAN2为一般员工使用，VLAN4为来访客户使用，VLAN3有公司的http和ftp服务器。 2）LAN5为网络管理员使用。 3）公司网络通过边界路由器R3连接到ISP（用主机模拟）。 实验任务 1、IP地址分配：在公司的网络内部，使用私有地址，地址范围为/24网段。VLAN3的服务器的IP地址为手动配置的固定地址；VLAN2、VLAN4、LAN5的主机的IP地址由DHCP自动获取，路由器R2为DHCP服务器，R1上配置了IP Helper Address。 实验任务 2、NAT：当公司内部需要和外部通信时，通过边界路由器R3进行NAT转换，可用的内部全局地址为28/26网段。其中VLAN3的服务器使用的是静态NAT转换，以使外部网络能对服务器进行访问；而VLAN2、VLAN4、LAN5的主机使用的是PAT，以节省内部全局地址。 实验任务 3、配置ACL，使得： 1）VLAN2能访问VLAN3、VLAN4、LAN5以及Internet，但不能被VLAN4、Internet的用户访问。 2）VLAN3能被VLAN2、LAN5的用户访问，而被VLAN4、Internet的用户只能通过http和ftp访问。 3）路由器的虚拟终端只允许LAN5用户的登录。 实验内容 1、按拓扑连线 2、配置路由器名称、接口 3、配置交换机 4、配置路由 5、配置DHCP 6、配置NAT 7、配置ACL 实验内容 1、按拓扑连线 注意：不允许热插拔flash卡；必须确认线路连接正确后才能打开路由器电源；拔插串口线前请关闭电源。 实验内容 2、配置路由器名称、接口（包括子接口） 实验内容 3、配置交换机 (1)清空交换机原先的配置 (2)配置VLAN并绑定到相应的端口 (3)配置trunk 实验内容 4、配置路由 (1)内部网络配置OSPF路由协议 (2)R3配置默认路由，传播到内部网络 (3)ISP配置IP地址和默认网关 实验内容 5、配置DHCP (1)在R2配置DHCP服务 (2)在R1配置helper address (3)将主机设置为用DHCP获取IP地址 实验内容 6、在R3配置NAT (1)Server1用静态NAT (2)VLAN2、VLAN4、LAN5用动态NAT (3)VLAN2、VLAN4、LAN5改为使用PAT 实验内容 7、配置ACL (1)在R1的f0.2口绑定ACL，使VLAN2能访问VLAN3、VLAN4、LAN5以及Internet，但不能被VLAN4、Internet的用户访问 (2)在R1的f0.3口绑定ACL，使VLAN3能被VLAN2、LAN5的用户访问，而被VLAN4、Internet的用户只能通过http和ftp访问 (3)虚拟端口绑定ACL，只允许LAN5用户的telnet登录 * * * 网络管理员可以利用DHCP服务器从事先定义好的地址池里为客户机动态分配IP配置以及DNS服务器