NAT实现的单向访问

NAT实现的单向访问

实施环境：思科小凡模拟器

1、要求：

现有三台路由器分别连接三个不同的网段，现要求有一台路由器连接的网段可访问另两台路由器连接的网段，但另两台连接的网段不能访问这一台连接的网段（网段内可以连接PC）。

2、网络拓扑图

使用亿图工具绘制出网络拓扑图，如图1所示：

图1：网络拓扑图

3、设备配置

(1)路由器R1的配置

//进入特权模式

Router>enable

//进入用户模式

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

//修改名称

Router(config)#hostname R1

R1(config)#line console 0

//进行同步

R1(config-line)#logging synchronous
R1(config-line)#no exec-timeout

//进入接口f0/0

R1(config-line)#int f0/0

R1(config-if)#ip add

//配置IP地址

R1(config-if)#ip address 192.168.3.1 255.255.255.0

//开启端口

R1(config-if)#no shutdown

//进入接口是是s1/0

R1(config-if)#int s1/0

R1(config-if)#ip add

//配置IP地址

R1(config-if)#ip address 192.168.4.1 255.255.255.0

R1(config-if)#no shutdown

//进入接口s1/1

R1(config-if)#int s1/1

R1(config-if)#ip add

//配置IP地址

R1(config-if)#ip address 192.168.5.1 255.255.255.0

R1(config-if)#no shutdown

//配置静态路由协议

R1(config)#ip route 192.168.1.0 255.255.255.0 192.168.4.2

R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.5.2

//在接口f0/0上配置nat进入

R1(config)#int f0/0

R1(config-if)#ip na

R1(config-if)#ip nat i

R1(config-if)#ip nat inside

//在接口是s1/0上配置nat出入

R1(config-if)#int s1/0

R1(config-if)#ip nat

R1(config-if)#ip nat outside

//在接口是s1/1上配置nat出入

R1(config-if)#int s1/1

R1(config-if)#ip nat ou

R1(config-if)#ip nat outside

R1(config-if)#exit

//配置访问控制列表

R1(config)#$ access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

R1(config)#$ access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

//配置动态nat

R1(config)#ip nat inside source list 100 interface s1/1 overload

R1(config)#ip nat inside source list 101 interface s1/0 overload

(2)路由器R2的配置

//进入特权模式

Router>enable

//进入用户模式

Router#config t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#hos

//修改名称

Router(config)#hostname R2

R2(config)#line con

R2(config)#line console 0

R2(config-line)#logging sy

//进行同步

R2(config-line)#logging synchronous

R2(config-line)#no exec-t

R2(config-line)#no exec-timeout

R2(config-line)#int f0/0

R2(config-if)#ip add

//配置IP地址

R2(config-if)#ip address 192.168.1.1 255.255.255.0

//开启端口

R2(config-if)#no shut

R2(config-if)#int s1/0

R2(config-if)#ip add

//配置IP地址

R2(config-if)#ip address 192.168.4.2 255.255.255.0

R2(config-if)#no shut

(3)路由器R3的配置

//进入特权模式

Router>enable

//进入用户模式

Router#config t

Enter configuration commands, one per line.  End with CNTL/Z.

//修改名称

Router(config)#hostname R3

R3(config)#line con

R3(config)#line console 0

R3(config-line)#logging sy

//进行同步

R3(config-line)#logging synchronous

R3(config-line)#no exec-t

R3(config-line)#no exec-timeout

R3(config-line)#int s1/1

R3(config-if)#ip add

//配置IP地址

R3(config-if)#ip address 192.168.5.2 255.255.255.0

//开启端口

R3(config-if)#no shut

//进入接口f0/0

R3(config-if)#int f0/0

R3(config-if)#ip add

//配置IP地址

R3(config-if)#ip address 192.168.2.1 255.255.255.0

R3(config-if)#no shut

4、测试验证

（1）未配置nat时ping192.168.3.1和192.168.2.1的结果如下图：

（2）未配置nat时ping192.168.1.1的结果如下图：

（3）配置nat后ping192.168.2.1的结果：

（4）配置nat后ping192.168.1.1的结果：