一、项目拓扑
二、项目实现
1.NET配置
点击左侧的NetWorks,设置与图相同的配置,实现实验环境桥接到物理网络
2.GW配置
进入特权模式
enable进入全局模式
configure terminal 更改名称为GW
hostname GW进入g0/0接口
interface g0/0将g0/0接口IP地址配置为192.168.1.2/24
ip address 192.168.1.2 255.255.255.0退出到上一级
exit进入g0/1接口
interface g0/1将g0/1接口IP地址配置为10.1.1.1/8
ip address 10.1.1.1 255.0.0.0退出到上一级
exit设置默认路由 下一跳地址
ip route 0.0.0.0 0.0.0.0 192.168.1.1进入g0/0外网接口
interface g0/0将g0/0接口标识为nat的出接口(ip nat outside(常用于连接外部的运营商接口)
ip nat outside退出到上一级
exit进入g0/1内网接口
interface g0/1将g0/1接口标识为nat的入接口(ip nat inside(常用于连接内部的局域网接口)
ip nat inside退出到上一级
exit创建标准ACL1,允许10.1.1.0网段的数据通过
access-list 1 permit 10.1.1.0 0.0.0.255创建NAT映射
将ACL1匹配的条目映射到interface g0/0接口上,使用端口复用
ip nat inside source list 1 interface g0/0 overload创建扩展ACL100
允许源地址10.1.1.10通过tcp协议下的的http协议与任意目的地址通信
access-list 100 permit tcp host 10.1.1.10 any eq 80允许源地址10.1.1.10通过tcp协议下的的https协议与任意目的地址通信
access-list 100 permit tcp host 10.1.1.10 any eq 443允许源地址10.1.1.10通过udp协议下的的DNS协议与任意目的地址通信
access-list 100 permit udp host 10.1.1.10 any eq 53 进入g0/1接口
interface g0/1将ACL100应用到g0/1接口的入方向
ip access-group 100 in退出到上一级
exit 退出到上一级
exit显示正在运行的配置信息
show run
3.PC配置
4.ACL配置思路
- 根据ACL默认阻止数据的特性,ACL在配置时只需要写允许条目,没有允许的条目服务默认会禁止访问,需要PC正常访问网页需要开启①HTTP服务②HTTPS法务③DNS服务,只有三项都允许了PC才可以正常访问网页。
- HTTP--------端口:80--------基于TCP
- HTTPS------端口:443------基于TCP
- DNS---------端口:53---------基于UDP
三、项目效果
1.限制前
既可以ping(基于ICMP)百度,也可以访问百度网页(TCP+UDP)
2.限制后
不可以ping(基于ICMP)百度,只可以访问百度网页(TCP+UDP)