第八章 综合NAT小实验2【单臂路由+动态NAT+ACL+FTP检测】

要求1：PC0和PC1通过单臂路由访问
要求2：在R0上做动态NAT，地址池为222.1.1.3-222.1.1.9。使PC0和PC1能够访问服务器server0。
要求3：PC0不能访问服务器server0的ftp。

实验思路：

1.配置交换机SW1。
SW1(config)#vlan 2 【创建VLAN2】
SW1(config-vlan)#vlan 3 【创建VLAN3】
SW1(config-vlan)#int f0/11
SW1(config-if)#switchport access vlan 2 【将VLAN2与接口f0/11绑定】
SW1(config-if)#int f0/12
SW1(config-if)#switchport access vlan 3 【将VLAN3与接口f0/12绑定】
SW1(config-if)#int f0/1
SW1(config-if)#switchport mode trunk 【配置f0/1接口为trunk模式】【单臂路由必备】

2. 配置路由器地址。
R0(config)#int g0/1.1
R0(config-subif)#encapsulation dot1Q 2 【子接口开启802.1Q协议，所属VLAN2】
R0(config-subif)#ip add 192.168.2.1 255.255.255.0 【配置主机PC0的网关】
R0(config-subif)#int g0/1.2
R0(config-subif)#en dot1q 3 【子接口开启802.1Q协议，所属VLAN3】
R0(config-subif)#ip add 192.168.3.1 255.255.255.0
R0(config-subif)#int g0/2
R0(config-if)#ip add 222.1.1.1 255.255.255.0

3. 检测单臂路由。【私网可以互通】
（1）主机PC0可以ping通网关192.168.2.1 。

（2）主机PC1可以ping通自己的网关192.168.3.1.

4. 配置路由器Router0默认路由，使公网互通。
R0(config)#ip route 0.0.0.0 0.0.0.0 222.1.1.2 【默认路由】
R0(config)#do ping 8.8.8.8 【ping公网服务器8.8.8.8，成功代表公网可以互通】

5. 配置路由器router0。
【配置ACL策略，使PC0不能访问服务器server0的ftp。】
R0(config)#access-list 101 deny tcp 192.168.2.2 0.0.0.255 8.8.8.8 0.0.0.255 eq ftp
【配置ACL策略，使PC0和PC1允许通过，可以进行NAT转换。】
R0(config)#access-list 101 permit ip any any
【查看配置的access访问列表】
R0(config)#do show access-list

【 配置动态NAT的地址池，起始地址222.1.1.3，末尾地址222.1.1.9】
R0(config)#ip nat pool poola 222.1.1.3 222.1.1.9 netmask 255.255.255.0
【将NAT地址池与ACL绑定】
R0(config)#ip nat inside source list 101 pool poola

【进入外网接口g0/2】
R0(config)#int g0/2
【将NAT应用到接口上】
R0(config-if)#ip nat outside

【进入内网子接口g0/1.1】
R0(config-if)#int g0/1.1
【将NAT应用到接口上】
R0(config-subif)#ip nat inside

【进入内网子接口g0/1.2】
R0(config-subif)#int g0/1.2
【将NAT应用到接口上】
R0(config-subif)#ip nat inside

6. 检测NAT。
（1）主机PC0可以访问公网服务器server0。【NAT配置正确】

（2）主机PC1可以访问公网服务器server0。【NAT配置正确】

（3）主机PC0不能ftp到服务器。【配置ACL限制成功】

（4）主机PC1能ftp到服务器。