绝对实用 NAT + VLAN +ACL管理企业网络

在企业中,要实现所有的员工都能与互联网进行通信,每个人各使用一个公网地址是很不现实的。一般,企业有1个或几个公网地址,而企业有几十、几百个员工。要想让所有的员工使用这仅有的几个公网地址与互联网通信该怎么做呢?使用NAT技术!

在企业中,一般会有多个部门,像财务部、技术部、工程部等等。每个部门有每个部门的职责。像财务部这种重要的部门有些资料是不允许被其他员工知道的。怎样能清楚的区分不同的部门,以便于管理呢?使用VLAN技术

为了工作方便、增强工作效率,各部门经理必须能相互通信。但不允许员工之间相互通信。我们又该怎样做呢?使用ACL技术!

今天我们来学习如何使用NAT + VLAN +ACL管理企业网络。如下是试验环境:

环境介绍:

企业中只有一个公网地址,172.16.1.1/24
    企业中共有三个部门工程部、财务部、技术部。
    PC1  PC3  PC5 分别为三个部门的部门经理使用。
    PC1 的ip地址为192.168.1.2/24
    PC2 的ip地址为192.168.1.3/24
    PC3 的ip地址为192.168.2.2/24
    PC4 的ip地址为192.168.2.3/24
    PC5 的ip地址为192.168.3.2/24
    PC6 的ip地址为192.168.3.3/24
    试验目的:
    通过配置NAT使企业中所有的计算机都能通过唯一的公网地址与互联网通信。
    通过配置VLAN划分各个部门,并配置ACL实现每个部门经理之间能够通讯,普通员工之间不能相互通讯。

OK,知道目的了,让我们开始工作吧!

首先在R1 和 R2上做基本配置,(由于试验过程中要使用VLAN间路由,所以需要使用dot1Q 进行封装来配置子接口)
    R1
    Router>en
    Router#conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Router(config)#host r1
    r1(config)#int s0/0
    r1(config-if)#ip addr 172.16.1.1 255.255.255.0
    r1(config-if)#no shut
    %LINK-5-CHANGED: Interface Serial0/0, changed state to up
    r1(config-if)#clock rate 64000
    %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to u
    r1(config-if)#exit
    r1(config)#int f0/0
    r1(config-if)#no ip addr
    r1(config-if)#no shut
    r1(config-if)#exit
    r1(config)#int f0/0.1                                  配置子接口,
    r1(config-subif)#encapsulation dot1Q 2     配置子接口必须使用dot1Q进行封装
    r1(config-subif)#ip addr 192.168.1.1 255.255.255.0
    r1(config-subif)#no shut
    r1(config-subif)#exit
    r1(config)#int f0/0.2                                 配置子接口
    r1(config-subif)#encapsulation dot1Q 3    配置子接口必须使用dot1Q进行封装
    r1(config-subif)#ip addr 192.168.2.1 255.255.255.0
    r1(config-subif)#no shut
    r1(config-subif)#exit
    r1(config)#int f0/0.3                                  配置子接口
    r1(config-subif)#encapsulation dot1Q 4      配置子接口必须使用dot1Q进行封装
    r1(config-subif)#ip addr 192.168.3.1 255.255.255.0

因为我们把R2当作公网使用,所以只需要在R2的S0/0口上配置ip就可以啦
    R2

Router>en
    Router#conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Router(config)#host r2
    r2(config)#int s0/0
    r2(config-if)#ip addr 172.16.1.2 255.255.255.0
    r2(config-if)#no shut

基本配置完成了,接下来第一步,我们要让企业中的所有员工都能通过唯一的公网ip 172.16.1.1/24 与互联网相互通信。
    R1
    r1(config)#ip nat pool internet 172.16.1.1 172.16.1.1 netmask 255.255.255.0 定义全局地址池
    r1(config)#access-list 10 permit 192.168.0.0 0.0.255.255通过标准访问控制列表定义内部网络的上网条件
    r1(config)#ip nat inside source list 10 pool internet overload 建立全局地址池与标准访问控制列表之间的映射关系
    r1(config)#int s0/0
    r1(config-if)#ip nat outside  外网接口绑定(要想配置能实现应用必须在内外网接口上绑定)
    r1(config-if)#exit
    r1(config)#int f0/0
    r1(config-if)#ip nat inside   内网接口绑定

通过配置VLAN划分各个部门,并配置ACL以实现每个部门经理之间能够通讯,普通员工之间不能相互通讯。

Sw

Switch>en
    Switch#conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Switch(config)#int f0/1
    Switch(config-if)#switchport mode trunk       配置Trunk链路

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
    %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
    Switch(config-if)#exit
    Switch(config)#vlan 2                                   创建VLAN 2
    Switch(config-vlan)#name gongchengbu       vlan2为工程部
    Switch(config-vlan)#exit
    Switch(config)#vlan 3                                      创建VLAN 3
    Switch(config-vlan)#name caiwubu            VLAN3为财务部
    Switch(config-vlan)#exit
    Switch(config-vlan)#vlan 4                             创建VLAN 4
    Switch(config-vlan)#name jishubu             VLAN4为技术部
    Switch(config-vlan)#exit
    Switch(config)#int f0/2
    Switch(config-if)#switchport access vlan 2      给VLAN 2手工添加成员
    Switch(config-if)#exit
    Switch(config)#int f0/3
    Switch(config-if)#switchport access vlan 2
    Switch(config-if)#exit
    Switch(config)#int f0/4
    Switch(config-if)#switchport access vlan 3      给VLAN 3手工添加成员
    Switch(config-if)#exit
    Switch(config)#int f0/5
    Switch(config-if)#switchport access vlan 3
    Switch(config-if)#exit
    Switch(config)#int f0/6
    Switch(config-if)#switchport access vlan 4      给VLAN 3手工添加成员
    Switch(config-if)#exit
    Switch(config)#int f0/7
    Switch(config-if)#switchport access vlan 4
    Switch(config-if)#exit

定义访问控制列表
    定义访问控制列表时要细心,要把最特殊的访问控制列表放在最上面。(在此例中,允许一台特定主机而拒绝一个网段,所以要把拒绝主机放在上面)。
    注意:要想一个访问列表能够得到应用,必须在接口绑定。

R1

r1(config)#access-list 10 permit 192.168.2.2 0.0.0.0
    r1(config)#access-list 10 deny 192.168.2.0 0.0.0.255
    r1(config)#access-list 10 permit 192.168.3.2 0.0.0.0
    r1(config)#access-list 10 deny 192.168.3.0 0.0.0.255
    r1(config)#access-list 10 permit any
    r1(config)#int f0/0.1
    r1(config-subif)#ip access-group 10 out
    r1(config-subif)#exit
    r1(config)#access-list 11 permit 192.168.1.2 0.0.0.0
    r1(config)#access-list 11 deny 192.168.1.0 0.0.0.255
    r1(config)#access-list 11 permit 192.168.3.2 0.0.0.0
    r1(config)#access-list 11 deny 192.168.3.0 0.0.0.255
    r1(config)#access-list 11 permit any
    r1(config)#int f0/0.2
    r1(config-subif)#ip access-group 11 out
    r1(config-subif)#exit
    r1(config)#access-list 12 permit 192.168.1.2 0.0.0.0
    r1(config)#access-list 12 deny 192.168.1.0 0.0.0.255
    r1(config)#access-list 12 permit 192.168.2.2 0.0.0.0
    r1(config)#access-list 12 deny 192.168.2.0 0.0.0.255
    r1(config)#access-list 12 permit any
    r1(config)#int f0/0.3
    r1(config-subif)#ip access-group 12 out
    r1(config-subif)#exit

OK了,现在通过配置后所有的员工都能与互联网通讯。(由于主机较多就不一一列述)

PC>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Reply from 172.16.1.2: bytes=32 time=94ms TTL=254
    Reply from 172.16.1.2: bytes=32 time=94ms TTL=254
    Reply from 172.16.1.2: bytes=32 time=94ms TTL=254
    Reply from 172.16.1.2: bytes=32 time=90ms TTL=254

Ping statistics for 172.16.1.2:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
    Minimum = 90ms, Maximum = 94ms, Average = 93ms

配置完成后,PC 1 、PC 3 和 PC5之间,即每个部门的部门经理之间能相互通信。

PC1  ping  PC3

PC1>ping 192.168.2.2

Pinging 192.168.2.2 with 32 bytes of data:

Reply from 192.168.2.2: bytes=32 time=125ms TTL=127
    Reply from 192.168.2.2: bytes=32 time=110ms TTL=127
    Reply from 192.168.2.2: bytes=32 time=110ms TTL=127
    Reply from 192.168.2.2: bytes=32 time=125ms TTL=127

Ping statistics for 192.168.2.2:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
    Minimum = 110ms, Maximum = 125ms, Average = 117ms

PC1  PING   PC5

PC1>ping 192.168.3.2

Pinging 192.168.3.2 with 32 bytes of data:

Reply from 192.168.3.2: bytes=32 time=111ms TTL=127
    Reply from 192.168.3.2: bytes=32 time=120ms TTL=127
    Reply from 192.168.3.2: bytes=32 time=111ms TTL=127
    Reply from 192.168.3.2: bytes=32 time=105ms TTL=127

Ping statistics for 192.168.3.2:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 105ms, Maximum = 120ms, Average = 111ms

PC3  PING   PC5

PC3>ping 192.168.3.2

Pinging 192.168.3.2 with 32 bytes of data:

Reply from 192.168.3.2: bytes=32 time=125ms TTL=127
    Reply from 192.168.3.2: bytes=32 time=125ms TTL=127
    Reply from 192.168.3.2: bytes=32 time=109ms TTL=127
    Reply from 192.168.3.2: bytes=32 time=94ms TTL=127

Ping statistics for 192.168.3.2:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 94ms, Maximum = 125ms, Average = 113ms

PC2  PC4和 PC6之间,即普通员工之间是不能相互通信的。

PC 2  PING  PC4

PC2>ping 192.168.2.3

Pinging 192.168.2.3 with 32 bytes of data:

Request timed out.
    Request timed out.
    Request timed out.
    Request timed out.

Ping statistics for 192.168.2.3:
        Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

PC2   PING  PC6

PC2>ping 192.168.3.3

Pinging 192.168.3.3 with 32 bytes of data:

Request timed out.
    Request timed out.
    Request timed out.
    Request timed out.

Ping statistics for 192.168.3.3:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

PC 4   PING   PC 6

PC4>ping 192.168.3.3

Pinging 192.168.3.3 with 32 bytes of data:

Request timed out.
    Request timed out.
    Request timed out.
    Request timed out.

Ping statistics for 192.168.3.3:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

通过以上所有的配置,我们达到了目的:所有的员工通过一个公网地址与互联网通讯;使各部门经理之间能相互通信,普通员工之间不能相互通信。

时间: 2024-10-12 09:04:13

绝对实用 NAT + VLAN +ACL管理企业网络的相关文章

企业网络的安全接入

随着互联网与网络技术的不断发展与越来越广泛深入的应用,以及网络建设的复杂化,企业网络宽带的安全越来越受到人们的重视,在信息化时代的今天,企业网络安全接入作为企业网络安全建设的一个重要方面,接入方式以及设备的好坏直接关系到内部网络的安全和稳定. 一个重要的解决过程大致可以描述为,在传统的802.1x协议的基础上,综合采用802.1x验证,基于用户的vlan划分和ACL,交换机的二层安全机制,IP放盗用等安全措施,从验证,授权,审计3个层面将安全防御措施扩展到边缘接入层,从用户的接入源头进行安全防护

《小牛试刀:企业网络组建——阶段二项目练习》

本实例为大家分享利用OSPF.PAT.MSTP.DHCP.VLAN技术实现企业内外网的组建互通的过程,如下图所示 其中,红色区域代表ISP互联网服务商,蓝色区域代表公司内网,要求实现公司内外网互通,且可以访问内网的服务器和网络设备 实验要求如下:1.内网交换机实现流量负载均衡:2.企业内网使用OSPF路由协议;3.确保PC1自动获取IP地址,且与PC2网络互通:4.PC2可以远程访问内网交换机SW1;5.Client1和访问内网Server1. 第一步:企业内网配置MSTP,实现流量负载均衡SW

浅析IRF虚拟化技术增强企业网络架构的弹性

浅析IRF虚拟化技术增强企业网络架构的弹性  [摘要]随着"云"时代到来和各种虚拟化技术日趋成熟,对传统企业网络架构提出新挑战.例如:在不破坏企业原有网络架构和资产投入情况下,可以为企业网络提供更好的扩展性,其中包括简化管理.简化网络运行.降低整体投入成本.扩展端口密度和带宽容量.保护用户投资,使企业网络具备高可用性和持续的.不间断的运行效果.为了达到此效果,可利用H3C的IRF虚拟化技术在企业网络架构中增强弹性,现浅析如下. 关键词:云时代.企业网络.虚拟化技术.持续不间断.IRF.

HSRP的工作原理和在企业网络中的应用

HSRP的工作原理和在企业网络中的应用 一.HSRP的简介 SHRP即热备份路由协议,它主要是向我们提供了这样一种机制,它的设计目的主要在于支持IP协议传输失败情况下的不中断服务,保证了网络的高可用性.具体说,就是本协议用于在源主机无法动态地学习到首跳路由器IP地址的情况下防止首跳路由的失败.它主要用于多接入,多播和广播局域网(例如以太网). 二.HSRP的工作原理 HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器.如果一个路由器的优先级设置的比所有其他路由

中小型企业网络构建2

中小型企业网络构建一.默认路由1.什么是默认路由?-- 默认路由是一种特殊的静态路由,对于末梢的主机来说,也是默认网关.-- 默认路由的目标网络为0.0.0.0/0.0.0.0,可匹配任何目标地址.-- 只有当从路由表中找不到任何明确匹配的路由条目时,才会使用默认路由,2.配置默认路由-- 当访问Internet时,一些网络出口只有一个,此时没有必要配置所有的静态路由<Huawei>system-view[Huawei]ip route-static 0.0.0.0 0.0.0.0 吓一跳地址

中小型企业网络构建之STP、MSTP

中小型企业网络构建一.生成树算法(STP)1.广播风暴(1)交换机工作原理-- 根据MAC地址表转发数据帧,如果地址未知,则广播:-- 如果交换机接收到广播帧也会向所有端口发送:(2)当网络中存在物理环路,会产生广播风暴:(3)广播风暴最终会导致网络资源耗尽,交换机死机.2.STP概述(1)STP -- Spanning Tree Protocol(生成树协议)用于在局域网中消除数据链路层环路.-- 逻辑上断开环路,防止广播风暴的产生:-- 当线路故障,阻塞接口被激活,恢复通信,起到备份线路的作

中小型企业网络构建之综合布线和子网划分

中小型企业网络构建之综合布线和子网划分一.布线系统概述1.布线系统的概念建筑物综合布线系统(PDS)是一个用于传输语言.数据.影响和其他信息的标准结构化不限系统.2.综合布线系统分为六个独立的子系统-- 工作区子系统:工作区子系统由终端设备连接到信息插座之间的设备组成.包括:信息插座.插座盒.连接跳线和适配器组成.-- 水平区子系统:水平区子系统应由工作区用的信息插座,楼层分配线设备至信息插座的水平电缆.楼层配线设备和跳线等组成.水平子系统根据整个综合布线系统的要求,应在二级交接间.交接间或设备

五大免费企业网络入侵检测工具(IDS)

Snort一直都是网络入侵检测(IDS)和入侵防御工具(IPS)的领导者,并且,随着开源社区的持续发展,为其母公司Sourcefire(多年来,Sourcefire提供有供应商支持和即时更新的功能齐全的商业版本Snort,同时仍然免费提供功能有限的免费版本Snort)持续不断的支持,Snort很可能会继续保持其领导地位. 虽然Snort"称霸"这个市场,但也有其他供应商提供类似的免费工具.很多这些入侵检测系统(IDS)供应商(即使不是大多数)结合Snort或其他开源软件的引擎来创建强大

NAT与ACL执行顺序解析

防火墙数据包处理流程图 ACL与NAT的顺序不是固定的,各厂商数据流先ACL或先NAT不一. 引用<浅析ACL与NAT的执行顺序>-张少芳  一文中的结论如下: H3C 出站:先匹配出站ACL,然后进行地址转换 入站:先进行地址转换,然后匹配入站ACL CISCO 出站:先进行地址转换,然后匹配出站ACL 入站:先匹配入站ACL,然后进行地址转换(即上图所示数据流顺序) 结论 H3C设备和CISCO设备在对ACL与NAT的执行顺序处理上完全相反.由于在实际的网络中可能存在来自不同厂商的设备,因