如何在eNSP配置nat外网访问技术

实验拓扑：

实验需求：

1、为了使网络互通，请在ROUTER和GW上配置对应的明细静态路由，实现全网互联；

ROUTER可以配置一条默认路由，也可以分开匹配三条，也可以汇总为10.0.0.0/8网段

2、根据教育部要求，需要对网络进行一些限制，具体如下：

​ a)、要求仅有老师才能对出口网关设备进行登陆管理；

​ b)、为了防范ping攻击，要求服务器不能收到所有设备PING的流量，但是服务器可以去ping网络内任何设备测试网络联通性；（死亡ping攻击-DOS攻击）

​ c)、要求老师和学生能够正常访问外网，用外网DNS服务器8.8.8.8来测试到外网的访问，但学生在工作日内只能于8:00-22:00能够访问外网；

​ d)、要求学校官网能够在互联网发布，外网client可以通过www.goktech.com来访问学校官网；

使用到的命令

Nat outbound 2000 配置easyip并应用acl2000的规则

User-interface vty 0 4 进入vty视图

Authentication-mode password 配置密码

Acl 2000 inbound 将acl2000规则配置在入方向

Rule denyicmp source 源IP 通配符 destination 目的IP 通配符 cvmp-type echo阻止该源IPPing目的IP

Traffic-filter outbound acl 3000 配置acl3000在该端口的出方向

Time-range 名字 时间 to 时间 日期（working-day 工作日off-day 周末） 配置时间规则

Dis time-range 名字 查看设置的时间规则

Rule 5 premit source 源IP 通配符 time-range 名字 将该条时间规则应用到该规则中

Dis clock 查看时间

Clock datetime 时间 日期 修改时间

Nat server global 公网IP inside 私网IP 给私网中的服务器配置nat服务器（配置一个公网IP）

重点与分析

本次实验主要是继续学习acl中的一些配置操作，并且加入了nat，使得实验可以划

分为内网区域和外网区域，很好的诠释了现在IP地址不足的解决方案的练习。实验

的主要难点个人认为是在要充分理解nat的原理才能将其运用到实验当中，实现实

验中的局域网与外网的互通。

实现局域网与外网互通的nat方法有很多，在本次实验中我采用的是easy ip。

需要注意的几点是路由器的默认接口数只有3个，需要自己在路由器未启动的情况

下自己增加接口。由于GW路由器隔绝了外网与内网，而R3路由器属于外网，所以

R3路由器不需要配置路由，仅需要对R1配置一条默认路由，GW配置一条出的默认

路由与进入的路由即可。在为服务器实现防ping攻击功能时，需要注意配置的接口

的方向。

实验步骤：

1、 为了使网络互通，请在ROUTER和GW上配置对应的明细静态路由，实现全网互联；

ROUTER可以配置一条默认路由，也可以分开匹配三条，也可以汇总为10.0.0.0/8网段.

首先为各个接口配置IP

配置路由器

（此处GW忘记截图，GW的配置应为一条默认路由，下一跳为R3的g0/0/0接口，以及一条静态路由，目的IP为与R1直连的设备的网络的合并，下一跳为R1的g0/0/2接口）

测试局域网内能否通信

为了接下来的实验需要让局域网内的设备能与外网设备通信，所以需要Nat技术，采用easy ip。

测试是否能与外网设备进行通信

2、 根据教育部要求，需要对网络进行一些限制，具体如下：

a) 、要求仅有老师才能对出口网关设备进行登陆管理；

b) 、为了防范ping攻击，要求服务器不能收到所有设备PING的流量，但是服务器可以去ping网络内任何设备测试网络联通性；（死亡ping攻击-DOS攻击）

首先配置规则（ping操作基于icmp echo ping请求 echo-reply ping回复）
然后将其应用在靠近服务器的接口的出接口（他人的请求在出路由器时被拦截）

测试

服务器ping其他主机

Pc1ping服务器

c) 、要求老师和学生能够正常访问外网，用外网DNS服务器8.8.8.8来测试到外网的访问，但学生在工作日内只能于8:00-22:00能够访问外网；

首先配置时间规则（时间规则的配置中时间只能由小到大）

将写好的时间规则配置在acl规则中

测试

修改时间后再进行测试

发现已经无法Ping通

d) 、要求学校官网能够在互联网发布，外网client可以通过www.haochen1204.com来访问学校官网；

首先配置Nat服务器

配置完成后完成dns服务器与web服务器相应的配置并开启服务

实验成功

实验总结

本次实验中学习了如何再acl中增加实验的配置与nat配置的操作，通过本次实验不

仅学习到了局域网与外网通信的原理，也学习到了如何将时间规则应用到acl中，

同时也学习到了安全防护的一些配置。在实验中遇到的问题主要是最后一步使用ip

与域名访问服务器都无法与服务器连接，最后发现是dns服务器未开启，并且将ip

最后一位配置为了.0。经过修改后成功实现了访问服务器。