绝对实用 NAT + VLAN +ACL管理企业网络-阿里云开发者社区

绝对实用 NAT + VLAN +ACL管理企业网络

2017-11-08 1487

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

公网NAT网关，每月750个小时 15CU

简介：

在企业中，要实现所有的员工都能与互联网进行通信，每个人各使用一个公网地址是很不现实的。一般，企业有1个或几个公网地址，而企业有几十、几百个员工。要想让所有的员工使用这仅有的几个公网地址与互联网通信该怎么做呢？使用NAT技术！

在企业中，一般会有多个部门，像财务部、技术部、工程部等等。每个部门有每个部门的职责。像财务部这种重要的部门有些资料是不允许被其他员工知道的。怎样能清楚的区分不同的部门，以便于管理呢？使用VLAN技术！

为了工作方便、增强工作效率，各部门经理必须能相互通信。但不允许员工之间相互通信。我们又该怎样做呢？使用ACL技术！

今天我们来学习如何使用NAT + VLAN +ACL管理企业网络。如下是试验环境：

环境介绍：

企业中只有一个公网地址，172.16.1.1/24

企业中共有三个部门工程部、财务部、技术部。

PC1 PC3 PC5 分别为三个部门的部门经理使用。

PC1 的ip地址为192.168.1.2/24

PC2 的ip地址为192.168.1.3/24

PC3 的ip地址为192.168.2.2/24

PC4 的ip地址为192.168.2.3/24

PC5 的ip地址为192.168.3.2/24

PC6 的ip地址为192.168.3.3/24

试验目的：

通过配置NAT使企业中所有的计算机都能通过唯一的公网地址与互联网通信。

通过配置VLAN划分各个部门，并配置ACL实现每个部门经理之间能够通讯，普通员工之间不能相互通讯。

OK，知道目的了，让我们开始工作吧！

首先在R1 和 R2上做基本配置，（由于试验过程中要使用VLAN间路由，所以需要使用dot1Q 进行封装来配置子接口）

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#host r1

r1(config)#int s0/0

r1(config-if)#ip addr 172.16.1.1 255.255.255.0

r1(config-if)#no shut

%LINK-5-CHANGED: Interface Serial0/0, changed state to up

r1(config-if)#clock rate 64000

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to u

r1(config-if)#exit

r1(config)#int f0/0

r1(config-if)#no ip addr

r1(config-if)#no shut

r1(config-if)#exit

r1(config)#int f0/0.1 配置子接口，

r1(config-subif)#encapsulation dot1Q 2 配置子接口必须使用dot1Q进行封装

r1(config-subif)#ip addr 192.168.1.1 255.255.255.0

r1(config-subif)#no shut

r1(config-subif)#exit

r1(config)#int f0/0.2 配置子接口

r1(config-subif)#encapsulation dot1Q 3 配置子接口必须使用dot1Q进行封装

r1(config-subif)#ip addr 192.168.2.1 255.255.255.0

r1(config-subif)#no shut

r1(config-subif)#exit

r1(config)#int f0/0.3 配置子接口

r1(config-subif)#encapsulation dot1Q 4 配置子接口必须使用dot1Q进行封装

r1(config-subif)#ip addr 192.168.3.1 255.255.255.0

因为我们把R2当作公网使用，所以只需要在R2的S0/0口上配置ip就可以啦

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#host r2

r2(config)#int s0/0

r2(config-if)#ip addr 172.16.1.2 255.255.255.0

r2(config-if)#no shut

基本配置完成了，接下来第一步，我们要让企业中的所有员工都能通过唯一的公网ip 172.16.1.1/24 与互联网相互通信。

r1(config)#ip nat pool internet 172.16.1.1 172.16.1.1 netmask 255.255.255.0 定义全局地址池

r1(config)#access-list 10 permit 192.168.0.0 0.0.255.255通过标准访问控制列表定义内部网络的上网条件

r1(config)#ip nat inside source list 10 pool internet overload 建立全局地址池与标准访问控制列表之间的映射关系

r1(config)#int s0/0

r1(config-if)#ip nat outside 外网接口绑定（要想配置能实现应用必须在内外网接口上绑定）

r1(config-if)#exit

r1(config)#int f0/0

r1(config-if)#ip nat inside 内网接口绑定

通过配置VLAN划分各个部门，并配置ACL以实现每个部门经理之间能够通讯，普通员工之间不能相互通讯。

Switch>en

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#int f0/1

Switch(config-if)#switchport mode trunk 配置Trunk链路

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

Switch(config-if)#exit

Switch(config)#vlan 2 创建VLAN 2

Switch(config-vlan)#name gongchengbu vlan2为工程部

Switch(config-vlan)#exit

Switch(config)#vlan 3 创建VLAN 3

Switch(config-vlan)#name caiwubu VLAN3为财务部

Switch(config-vlan)#exit

Switch(config-vlan)#vlan 4 创建VLAN 4

Switch(config-vlan)#name jishubu VLAN4为技术部

Switch(config-vlan)#exit

Switch(config-if)#switchport access vlan 2 给VLAN 2手工添加成员

Switch(config-if)#exit

Switch(config)#int f0/3

Switch(config-if)#switchport access vlan 2

Switch(config-if)#exit

Switch(config)#int f0/4

Switch(config-if)#switchport access vlan 3 给VLAN 3手工添加成员

Switch(config-if)#exit

Switch(config)#int f0/5

Switch(config-if)#switchport access vlan 3

Switch(config-if)#exit

Switch(config)#int f0/6

Switch(config-if)#switchport access vlan 4 给VLAN 3手工添加成员

Switch(config-if)#exit

Switch(config)#int f0/7

Switch(config-if)#switchport access vlan 4

Switch(config-if)#exit

定义访问控制列表

定义访问控制列表时要细心，要把最特殊的访问控制列表放在最上面。（在此例中，允许一台特定主机而拒绝一个网段，所以要把拒绝主机放在上面）。

注意：要想一个访问列表能够得到应用，必须在接口绑定。

0.0.0

r1(config)#access-list 10 permit any

r1(config)#int f0/0.1

r1(config-subif)#ip access-group 10 out

r1(config-subif)#exit

0.0.0

r1(config)#access-list 11 permit any

r1(config)#int f0/0.2

r1(config-subif)#ip access-group 11 out

r1(config-subif)#exit

0.0.0

r1(config)#access-list 12 permit any

r1(config)#int f0/0.3

r1(config-subif)#ip access-group 12 out

r1(config-subif)#exit

OK了，现在通过配置后所有的员工都能与互联网通讯。（由于主机较多就不一一列述）

PC>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Reply from 172.16.1.2: bytes=32 time=94ms TTL=254

Reply from 172.16.1.2: bytes=32 time=90ms TTL=254

Ping statistics for 172.16.1.2:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 90ms, Maximum = 94ms, Average = 93ms

配置完成后，PC 1 、PC 3 和 PC5之间，即每个部门的部门经理之间能相互通信。

PC1 ping PC3

PC1>ping 192.168.2.2

Pinging 192.168.2.2 with 32 bytes of data:

Reply from 192.168.2.2: bytes=32 time=125ms TTL=127

Reply from 192.168.2.2: bytes=32 time=110ms TTL=127

Reply from 192.168.2.2: bytes=32 time=125ms TTL=127

Ping statistics for 192.168.2.2:

Approximate round trip times in milli-seconds:

Minimum = 110ms, Maximum = 125ms, Average = 117ms

PC1>ping 192.168.3.2

Pinging 192.168.3.2 with 32 bytes of data:

Reply from 192.168.3.2: bytes=32 time=111ms TTL=127

Reply from 192.168.3.2: bytes=32 time=120ms TTL=127

Reply from 192.168.3.2: bytes=32 time=111ms TTL=127

Reply from 192.168.3.2: bytes=32 time=105ms TTL=127

Ping statistics for 192.168.3.2:

Approximate round trip times in milli-seconds:

PC3>ping 192.168.3.2

Pinging 192.168.3.2 with 32 bytes of data:

Reply from 192.168.3.2: bytes=32 time=125ms TTL=127

Reply from 192.168.3.2: bytes=32 time=109ms TTL=127

Reply from 192.168.3.2: bytes=32 time=94ms TTL=127

Ping statistics for 192.168.3.2:

Approximate round trip times in milli-seconds:

PC2 PC4和 PC6之间，即普通员工之间是不能相互通信的。

PC2>ping 192.168.2.3

Pinging 192.168.2.3 with 32 bytes of data:

Request timed out.

Ping statistics for 192.168.2.3:

PC2>ping 192.168.3.3

Pinging 192.168.3.3 with 32 bytes of data:

Request timed out.

Ping statistics for 192.168.3.3:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

PC4>ping 192.168.3.3

Pinging 192.168.3.3 with 32 bytes of data:

Request timed out.

Ping statistics for 192.168.3.3:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

通过以上所有的配置，我们达到了目的：所有的员工通过一个公网地址与互联网通讯; 使各部门经理之间能相互通信，普通员工之间不能相互通信。

嘿嘿，还是很实用吧！

本文转自范琳琳 51CTO博客，原文链接：http://blog.51cto.com/fanlinlin/146803，如需转载请自行联系原作者

绝对实用 NAT + VLAN +ACL管理企业网络

热门文章

最新文章

相关课程

相关电子书

相关实验场景