在工作中,可以能有這樣的需求,有些部門需要訪問互聯網,一些不讓訪問互聯網,但是在局域網內部,不同部門可能有業務的來往,所以需要互通。一般情況下,會使用訪問控制列表來實現這個需求。
如下圖的拓撲
上圖的R1為出口路由,通過連接到運營商自動獲取IP上網。內部局域網通過NAT方式上網。按照上圖的需求,直接把VLAN30的網段做NAT就能實現上網,VLAN20和30不做NAT就實現不能上互聯網的需求了。
1、把不同部門的加入到相對應的vlan中
2、為每個VLAN配置VLANIF的IP地址,作為此網段的網關地址
3、在SW1和SW2的級聯口配置,運行VLAN10到VLAN30通過。
4、SW1和R1配置互聯IP
5、在SW1上配置默認路由,把去往互聯網的數據包交給R1處理。
6、R1上指定數據包回來的路由。
7、匹配要做NAT的網段
8、在R1的GE0接口上應用NAT。
在SW2中,把財務部、開發部和訪客分別加入到vlan10、vlan20和30中。
SW2
在SW1上為vlan10、vlan20和vlan30配置 ,VLANIF的IP地址
SW1
把SW1和SW2的GE23端口配置trunk模式,并允許vlan10到30通過。
配置R1和SW1的互聯IP地址
R1
在R1和SW1配置路由信息.
在SW上執行如下命令,意思是把去往互聯網的數據包交給路由器處理。192.168.100.2是路由器R1的GE02接口IP.
ip route-static 0.0.0.0 0.0.0.0 192.168.100.2 同時,還需要在路由器R1上指定回來的路由走向,如果在路由器不配置回來的路由,會造成有去無回的現象
在路由器R1上執行如下命令,意思是以192.168.開頭的數據包交給SW1處理。192.168.100.1為SW1的接口IP
ip route-static 192.168.0.0 255.255.0.0 192.168.100.1到此局域內部是可以相互訪問的,但是去往互聯網還是不通的,原因由于私有IP不能再公網路由,所有,我們需要把私網地址轉換成公網IP。這時會用到NAT技術。
根據需求,只需要訪客VALN30的網段需要上網,因此,采用訪問控制列表。把VALN30的網段匹配到。
acl number 2000 rule 5 permit source 192.168.30.0 0.0.0.255 定義公網地址池
nat address-group 1 192.168.224.135 192.168.224.135在R1的GE0接口應用NAT
interface GigabitEthernet0/0/0 nat outbound 2000 address-group 1 ip address dhcp-alloc到此上述的功能已經完成了。好了,我們看看效果吧
PC3
PC1
通過上圖可以看到訪客可以正常訪問互聯網和內網的其他部門。開發部和財務部均不能訪問互聯網。
我們還可以通過在R1上執行display nat session all,查看nat轉換的情況,如下圖。
可以看到內部IP地址192.168.30.10被轉換成192.168.224.135這個地址。
想獲取此拓撲和詳細的配置文件,請關注并轉發,私信回復“ACL”獲取。感謝大家的一路支持。
步驟1:鼠標右鍵點擊右下角的顯示器圖標。
圖1-1 單擊鼠標右鍵紅色箭頭所示
步驟2:選擇打開“網絡和Internet”設置。
圖1-2 單擊鼠標左鍵紅色箭頭所示
步驟3:界面往下拉,找到“查看硬件和連接屬性”選項,鼠標左鍵單擊進入。
圖1-3 單擊鼠標左鍵紅色箭頭所示
步驟4:找到“以太網”的信息,其對應的IPv4地址就是我們所說的電腦IP地址了,如圖所示,我們可知IP地址為172.20.29.28;其中,172.20.29.28/24中“/24”并非IP地址部分,“/24”是子網掩碼的設置,是指子網掩碼中有連續的24個“1”,是一種用cidr形式表示的一個網段,或者說子網。例如在32位二進制系統里,前24位為1,后面8位為0,即11111111 11111111 11111111 000000,若將其轉化為十進制,也就是255.255.255.0。
圖1-4 紅色框所示為IP地址
步驟1:在桌面找到“網絡”圖標,單擊鼠標右鍵,選擇“屬性”。
圖2-1 單擊鼠標左鍵紅色箭頭所示
步驟2:進入網絡和共享中心界面,找到“以太網”,單擊鼠標左鍵進入。
圖2-2 單擊鼠標左鍵紅色箭頭所示
步驟3:進入以太網狀態的界面,然后單擊鼠標左鍵“屬性”進入。
圖2-3 單擊鼠標左鍵紅色箭頭所示
步驟4:進入以太網屬性的界面,找到“Internet協議版本4(TCP/IPv4)”,然后雙擊鼠標左鍵進入。
圖2-4 雙擊鼠標左鍵紅色箭頭所示
步驟5:進入Internet協議版本4(TCP/IPv4)屬性的界面,如下圖紅框所示便是IP地址。后面的255.255.255.0便是方法一的步驟4的172.20.29.28/24中的“/24”子網掩碼。
圖2-5 紅框所示為IP地址
步驟1:(a)在桌面左下角,單擊搜索“命令提示符”進入CMD命令窗口。或者
(b)使用快捷鍵“Win”+"R"進入CMD命令窗口。其中,Win鍵是在鍵盤左下角區域的,類似“田”形狀的鍵盤(Windows商標狀)。
圖3-1(a) 通過搜索“命令提示符”打開命令窗口
圖3-1(b) win+R鍵的快捷鍵示意圖
步驟2:通過快捷鍵Win+R方式進入,會彈出運行窗口,輸入cmd三個小寫字母(不區分大小寫),點擊“確定”,便可進入CMD命令操作窗口。
圖3-2 輸入cmd可進入命令窗口
步驟3:在CMD命令窗口輸入“ipconfig”后,然后在鍵盤上按一下“Enter”回車鍵,便可獲取ip相關的信息。
圖3-3 輸入ipconfig命令后按Enter鍵
步驟4:獲取ip相關信息后,找到IPv4地址,對應的172.20.29.28便是該電腦IP地址。
圖3-4 紅框所示為IP地址信息
此方法查詢到的是公網IP地址,而非局域網電腦IP地址,是對外訪問的IP地址,一般用不上,這個網址還以查詢到IP所在的地理位置,實用性不錯。
圖4-1 通過https://ip.cn獲取IP地址信息