拓扑图如下:

实验目的:

172.16.10.0/24网段主机可以通过×××访问服务器;172.16.20.0/24网段主机可以也只能访问Internet

实验步骤:

一、配置IP

PC0:

PC1:

SERVER0:

R0:

R1:

ISP:

R2:

二、配置NAT

1、配置网关路由器上的默认路由以及边界路由上的默认路由

    目的:使PC的流量可以到达边界路由

R0:

R1:

因为只允许PC0进行外网访问,所以在边界的路由配置过程中只允许172.16.20.0/24网段即可

2、配置ISP路由以及NAT配置(我要是说刚刚忘了截图所以这段咱们口述你们会不会揍我?好吧放下刀,我打字~)

ISP:

router rip 

    version 2

    no auto-summary

    network 100.0.0.0

    network 200.0.0.0

    passive-int f0/0       

R2:

router rip

    version 2

    no auto-summary

    network 200.0.0.0

OK现在让我们回到边界路由 

R1:

配置NAT边界(顺别一提,只有思科这么搞,华为不搞边界)

int f0/1

    ip nat inside

int f0/0

    ip nat outside

配置NAT转化条目(注意:所有的转化条目运行的端口,都是这个边界路由的“出端口 ”)

access-list 1 permit 172.16.20.0 255.255.255.0

ip nat inside source list 1 int f0/0


结果测试:

现在开启“debug ip nat”来测试一下

呐,如图所示,源地址为172.16.20.1换换成了100.0.0.1,然后目标地址是200.0.0.2;然后人家给回包,源地址是200.0.0.2 转换成了100.0.0.1,然后目标地址是172.16.20.1~

由这些图可以看出:PC0可以访问Internet,但不能访问服务器;并且在访问的过程中,IP地址转换成功,实验目的达成。

怎么来理解呢,举个非常简单的例子:比方说我把你打了一拳(对没错就是你,看这篇文章的那个),那你肯定要把我打一拳对吧;那现在我想揍你又不想被你揍怎么办呢,那我就找了一个叫“100.0.0.1”的家伙替我揍你,那他打你一拳,你肯定也要还手啊,他挨了打,生我气啊,我教唆的,所以他会再来打我一拳(回个包~),其实NAT转换就这样,希望有帮助。

三、配置×××

R1:(从上到下不同颜色框内的目的分别是)

由每个的配置:

配置ISAKMP策略

配置ACL:

配置IPSec策略(转换集):

配置加密映射集:

将映射集应用在接口:

R2:(与R1一致)

窝草忘了个挺重要的东西:

测试:

由这些图可以看出,172.16.10.0/24可以访问服务器,但不能访问Internet,实验目的达成