實驗需求:
1.僅僅允許內網中的10.1.1.0的主機訪問外部網絡
2.允許外網用戶訪問內網服務器Server1的www服務
3.允許運營商路由器可以遠程管理訪問內網SW1,遠程管理的密碼是HCIE
4.公司申請購買的公網IP地址是110.1.1.1 和 110.1.1.3
交換機SW1的配置:
vlan 10
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
想要與外網通信還需要配置路由:
ip route-static 0.0.0.0 0.0.0.0 10.1.1.254
配置虛接口地址:
interface Vlanif10
ip address 10.1.1.11 255.255.255.0
user-interface vty 0 4
user privilege level 15
set authentication password simple HCIE
企業邊緣路由器AR1配置:
acl number 2000
rule 10 permit source 10.1.1.0 0.0.0.255
nat address-group 1 110.1.1.3 110.1.1.3
interface GigabitEthernet0/0/0
ip address 10.1.1.254 255.255.255.0
interface GigabitEthernet0/0/1
ip address 110.1.1.1 255.255.255.0
nat server protocol tcp global 110.1.1.88 80 inside 10.1.1.88 80
nat server protocol tcp global 110.1.1.88 2019 inside 10.1.1.11 23
nat outbound 2000 address-group 1
還需要配置路由:
ip route-static 0.0.0.0 0.0.0.0 110.1.1.2
外網ISP路由器配置:
interface GigabitEthernet0/0/0
ip address 110.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 200.1.1.254 255.255.255.0
測試:
企業內部主機PC1訪問外網主機client1 ,企業內部主機PC1訪問外網服務器Server2
企業內部服務器Server1訪問外網主機client1 ,企業內部服務器Server1訪問外網服務器Server2
ISP路由器遠程登陸SW1:
外網主機client1訪問內網服務器Server1的www服務:
成功