实验要求:
A 内网主机PC1在VLAN10 网段,内网服务器server1在VLAN20 网段。
B 在内网环境中,内网主机PC1通过NAT地址转换只能访问外网服务器server2,不能访问外网76.12.12.0和76.12.20.0网段的任何设备。
C 外网主机PC2通过NAT地址转换访问http:// 76.12.12.80来访问内网服务器(server1)。
实验步骤:
1.配置主机PC1、PC2、PC3、server1、server2的地址。
(1)PC1的地址。
(2)主机PC3的IP地址。
(3)服务器server1的IP地址。
(4)主机PC2的IP地址。
(5)服务器server2的IP地址。
(6)路由器R1的IP地址。
(7)路由器R2的IP地址。
2. 在SW1上创建VLAN10、20、30。
3. 在SW1上,配置VLAN与接口绑定。
5.在SW1上,配置trunk所允许通过的VLAN。在这个实验环境,也可以配置switchport trunk allowed vlan 10,20。也可以配置允许所有通过的VLAN。
6.在SW2上,启用三层路由。
7.在SW2上,创建VLAN10、20、30。
8.在SW2上,配置VLAN30与SW2的接口g0/2绑定。
9.在SW2上,配置封装协议、配置trunk和其所允许通过的VLAN。
10.配置SW2的VLAN10、VLAN20、VLAN30的IP地址。
11.在SW2上配置默认路由,下一跳12.12.12.2。
12.在路由器R1配置静态路由。
① ip route 192.168.10.0 255.255.255.0 12.12.12.1
② ip route 192.168.20.0 255.255.255.0 12.12.12.1
③ ip route 0.0.0.0 0.0.0.0 76.12.12.2
13.第一步检测:内网互通,外网互通。
(1)内网互通:主机PC1能够访问路由器R1接口地址12.12.12.2。
(2)内网互通:主机PC3能够访问路由器R1接口地址12.12.12.2。
(3)内网互通:服务器server1能够访问路由器R1接口地址12.12.12.2。
(4)外网互通:PC2能够访问R1的接口地址76.12.12.1。
(5)外网互通:server2能够访问R1的接口地址76.12.12.1。
14.在内网环境中,主机PC1和PC2通过NAT地址转换访问外网服务器server2。
15.在内网环境中,主机PC1、PC3、server1通过NAT地址转换访问外网服务器server2。
16.外网主机PC2通过NAT地址转换访问http:// 76.12.12.80来访问内网服务器(server1)。
18.第二步检测: 内网能访问外网,而外网需要访问内网服务器所映射的公网地址76.12.12.80来访问浏览器。
(1)主机PC1能够访问外网。
(2)主机PC3能够访问外网。
(3)服务器server1能访问外网。
(4)外网服务器server2能通过内网服务器所映射的公网地址76.12.12.80来访问浏览器。
(5)外网主机PC2能通过内网服务器所映射的公网地址76.12.12.80来访问浏览器。
19. 在SW2上,配置ACL策略。
(1)拒绝主机192.168.10.1访问外网76.12.12.0和76.12.20.0网段的任何设备。
(2)允许所有访问。因为ACL默认规则是拒绝,这条规则是为了让192.168.10.0网段的其他设备还能去访问外网。如果不加这条策略,该拓扑图中主机192.168.10.2也被ACL过滤掉了。
20.第三步检测
(1)主机192.168.10.1访问不了76.12.12.0和76.12.20.0网段的设备。
(2)主机PC1能访问服务器server2。
(3)与主机PC1同网段的主机PC3,能够正常访问外网服务器server2。如果在SW2上不配置允许所有访问access-list 101 permit ip any any,那么此时PC3是PING不通的。