设为首页收藏本站language 语言切换
查看: 1991|回复: 8
收起左侧

[已解决] CCNA综合题求助

[复制链接]
发表于 2012-12-3 15:06:35 | 显示全部楼层 |阅读模式
下面的实验,如何实现通过ACL控制实现除了PC3在内网的PC无法通过内网访问总部的Server,可以通过外网访问server 另外外网只能访问server的80端口? 哪位大侠帮忙分析一下这个访问列表如何配置
我的操作是:
外网只能访问80端口:
ip nat inside source list 2 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.10.130 80 193.168.10.10 8080
ip classless
问题:好像不知道如何验证?

配置内网的pc无法访问server配置如下:
access-list 2 permit 192.168.10.128 0.0.0.127
ip access-list extended gfh
deny ip 192.168.10.0 0.0.0.127 host 192.168.10.130
permit ip any any
并且应用到R3的s0/0/0 s0/0/1 fa0/1 的in端口
问题:觉得这样好像无法做到出了PC3都不能访问,好像只要接到上海的PC都可以访问

interface FastEthernet0/0
ip address 193.168.10.9 255.255.255.248
ip access-group gfh in
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.10.254 255.255.255.128
ip nat inside
duplex auto
speed auto
!
interface Serial0/0/0
ip address 192.168.10.1 255.255.255.252
ip access-group gfh in
!
interface Serial0/0/1
ip address 192.168.10.5 255.255.255.252
ip access-group gfh in
!
interface Vlan1
no ip address
shutdown
!
router ospf 1
router-id 1.1.1.1
log-adjacency-changes
network 192.168.10.128 0.0.0.127 area 0
network 192.168.10.0 0.0.0.3 area 0
network 192.168.10.4 0.0.0.3 area 0
network 193.168.10.8 0.0.0.7 area 0
!
ip nat inside source list 2 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.10.130 80 193.168.10.10 8080
ip classless
ip route 0.0.0.0 0.0.0.0 193.168.10.10
!
!
access-list 2 permit 192.168.10.128 0.0.0.127
ip access-list extended gfh
deny ip 192.168.10.0 0.0.0.127 host 192.168.10.130
permit ip any any
!
!
!
!
!
line con 0
line vty 0 4
login
无标题.jpg
 楼主| 发表于 2012-12-3 19:59:02 | 显示全部楼层
回复 支持 反对

举报

发表于 2012-12-3 22:01:51 | 显示全部楼层
板凳 2012-12-3 22:01:51 回复 收起回复
回复 支持 反对

举报

发表于 2012-12-3 23:03:17 | 显示全部楼层
以下仅为个人浅见:

下面的实验,如何实现通过ACL控制实现除了PC3在内网的PC无法通过内网访问总部的Server,可以通过外网访问server 另外外网只能访问server的80端口? 哪位大侠帮忙分析一下这个访问列表如何配置
我的操作是:
外网只能访问80端口:
ip nat inside source list 2 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.10.130 80 193.168.10.10 8080
ip classless
问题:好像不知道如何验证?

外网访问内网server时,外网地址经过R3会nat转换成内网IP:192.168.10.130,所以,要外网能访问内网,ACL一定要允许192.168.10.130:80,
ip nat inside source static tcp 192.168.10.130 80 193.168.10.10 8080


配置内网的pc无法访问server配置如下:
access-list 2 permit 192.168.10.128 0.0.0.127
ip access-list extended gfh
deny ip 192.168.10.0 0.0.0.127 host 192.168.10.130
permit ip any any
并且应用到R3的s0/0/0 s0/0/1 fa0/1 的in端口
问题:觉得这样好像无法做到出了PC3都不能访问,好像只要接到上海的PC都可以访问

这个的确上海网段的都可以访问server,只允许主机就行了。

综合上面是否可以单独对PC3、广州和福州做acl,用扩展的acl是否方便些?
access-list 110
permit ip host 192.168.10.129 host 192.168.10.130
permit tcp host 192.168.10.130 host 192.168.10.130 eq 80
deny ip 192.168.10.64 0.0.0.63 host 192.168.10.130
inter fa0/1
ip access-group out
用在R3的fa0/1口out方向,也不对,其实最好的是用在R3上面的三层交换机fa0/2口out
方向
地板 2012-12-3 23:03:17 回复 收起回复
回复 支持 反对

举报

发表于 2012-12-3 23:03:55 | 显示全部楼层
没做验证,只是草草看了下,不知道对不对,明天再看看
5# 2012-12-3 23:03:55 回复 收起回复
回复 支持 反对

举报

 楼主| 发表于 2012-12-4 23:19:33 | 显示全部楼层
justforyoumm 发表于 2012-12-3 23:03
没做验证,只是草草看了下,不知道对不对,明天再看看

多谢大侠啦
6# 2012-12-4 23:19:33 回复 收起回复
回复 支持 反对

举报

发表于 2012-12-6 11:58:30 | 显示全部楼层
附上拓扑
7# 2012-12-6 11:58:30 回复 收起回复
回复 支持 反对

举报

 楼主| 发表于 2012-12-6 14:21:12 | 显示全部楼层
cisco_123_456 发表于 2012-12-6 11:58
附上拓扑

http://bbs.hh010.com/thread-247283-1-1.html  这个是拓扑和需求
8# 2012-12-6 14:21:12 回复 收起回复
回复 支持 反对

举报

发表于 2012-12-6 18:03:08 | 显示全部楼层
欢迎加盟网络群282815004,大家一起讨论
9# 2012-12-6 18:03:08 回复 收起回复
回复 支持 反对

举报

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-7-10 02:43 , Processed in 0.147954 second(s), 23 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表