第七章 NAT综合小实验一【SNAT+DNAT+ACL】

实验要求：
A 内网主机PC1在VLAN10 网段，内网服务器server1在VLAN20 网段。
B 在内网环境中，内网主机PC1通过NAT地址转换只能访问外网服务器server2，不能访问外网76.12.12.0和76.12.20.0网段的任何设备。
C 外网主机PC2通过NAT地址转换访问http:// 76.12.12.80来访问内网服务器（server1）。

实验思路：

实验步骤：
1.配置主机PC1、PC2、PC3、server1、server2的地址。
（1）PC1的地址。

（2）主机PC3的IP地址。

（3）服务器server1的IP地址。

（4）主机PC2的IP地址。

（5）服务器server2的IP地址。

（6）路由器R1的IP地址。

（7）路由器R2的IP地址。

2. 在SW1上创建VLAN10、20、30。

3. 在SW1上，配置VLAN与接口绑定。

4.在SW1上，配置trunk模式。

5.在SW1上，配置trunk所允许通过的VLAN。在这个实验环境，也可以配置switchport trunk allowed vlan 10,20。也可以配置允许所有通过的VLAN。

6.在SW2上，启用三层路由。

7.在SW2上，创建VLAN10、20、30。

8.在SW2上，配置VLAN30与SW2的接口g0/2绑定。

9.在SW2上，配置封装协议、配置trunk和其所允许通过的VLAN。

10.配置SW2的VLAN10、VLAN20、VLAN30的IP地址。

11.在SW2上配置默认路由，下一跳12.12.12.2。

12.在路由器R1配置静态路由。
① ip route 192.168.10.0 255.255.255.0 12.12.12.1
② ip route 192.168.20.0 255.255.255.0 12.12.12.1
③ ip route 0.0.0.0 0.0.0.0 76.12.12.2

13.第一步检测：内网互通，外网互通。
（1）内网互通：主机PC1能够访问路由器R1接口地址12.12.12.2。

（2）内网互通：主机PC3能够访问路由器R1接口地址12.12.12.2。

（3）内网互通：服务器server1能够访问路由器R1接口地址12.12.12.2。

（4）外网互通：PC2能够访问R1的接口地址76.12.12.1。

（5）外网互通：server2能够访问R1的接口地址76.12.12.1。

14.在内网环境中，主机PC1和PC2通过NAT地址转换访问外网服务器server2。

15.在内网环境中，主机PC1、PC3、server1通过NAT地址转换访问外网服务器server2。

16.外网主机PC2通过NAT地址转换访问http:// 76.12.12.80来访问内网服务器（server1）。

17.在路由器R1上，应用NAT到接口。

18.第二步检测： 内网能访问外网，而外网需要访问内网服务器所映射的公网地址76.12.12.80来访问浏览器。
（1）主机PC1能够访问外网。

（2）主机PC3能够访问外网。

（3）服务器server1能访问外网。

（4）外网服务器server2能通过内网服务器所映射的公网地址76.12.12.80来访问浏览器。

（5）外网主机PC2能通过内网服务器所映射的公网地址76.12.12.80来访问浏览器。

19. 在SW2上，配置ACL策略。
（1）拒绝主机192.168.10.1访问外网76.12.12.0和76.12.20.0网段的任何设备。

（2）允许所有访问。因为ACL默认规则是拒绝，这条规则是为了让192.168.10.0网段的其他设备还能去访问外网。如果不加这条策略，该拓扑图中主机192.168.10.2也被ACL过滤掉了。

（3）在SW2的VLAN10上，应用ACL策略到接口。

20.第三步检测
（1）主机192.168.10.1访问不了76.12.12.0和76.12.20.0网段的设备。

（2）主机PC1能访问服务器server2。


（3）与主机PC1同网段的主机PC3，能够正常访问外网服务器server2。如果在SW2上不配置允许所有访问access-list 101 permit ip any any，那么此时PC3是PING不通的。