二、实验目的
1.把pc0和pc1划入vlan10网段,vlan10 :192.168.1.0/24
2.公司路由器R1通过外网与运维员家路由器R2联通
3.在R1上使用动态nat划分内外地址转换:让公司内网原地址转换成购买的外网地址
4.在R1中使用端口映射,让运维员可以使用电脑远程访问公司内网的pc0主机(tcp协议的)
三、所需设备以及相关设置
三台pc机、一台交换机、两台路由器、三根直通线,两根交叉线
1.Pc机设置
设备 | ip地址 | 子网掩码 | ip网关 |
---|---|---|---|
PC0 | 192.168.1.1 | 255.255.255.0 | 192.168.1.254 |
Pc1 | 192.168.1.2 | 255.255.255.0 | 192.168.1.254 |
Pc4 | 200.1.1.1 | 255.255.255.0 | 200.1.1.254 |
—————————————————————————
2.交换机SW1设置
接口 | 模式 | 所属vlan |
---|---|---|
fastethernet 0/1-3 | access | vlan10 |
—————————————————————————
3.路由器设置
设备 | 端口 | 网关 |
---|---|---|
R1 | GIg0/0 | 192.168.1.254/24 |
R1 | GIg0/1 | 100.1.1.1/24 |
R2 | GIg0/1 | 200.1.1.254/24 |
R2 | GIg0/0 | 100.1.1.2/24 |
——————————————————————————
4.R1需要使用acl来监测并捕获公司网段192.168.1.0/24网段,使用nat转换成外网ip 100.1.1.1
四、配置思路以及代码展示
1.SW1配置思路:创建公司内网vlan10,把pc0和pc1加入。
Switch>enable //进入特权模式
Switch#configure terminal //进入全局配置模式
Switch(config)#vlan 10 //创建vlan10
Switch(config-vlan)#exit //退出
Switch(config)#interface range fastEthernet 0/1-3 //把接口f0/1-3加入组
Switch(config-if-range)#switchport mode access //给组设置为接入模式
Switch(config-if-range)#switchport access vlan 10 //让组加入vlan10
Switch(config-if-range)#exit //退出
2.R1配置思路:给公司vlan10配置网关,在接口gig0/0上:192.168.1.254/24。在接口gig0/1上设置外网ip:100.1.1.1/24,设置静态路由:200.1.1.0 255.255.255.0 100.1.1.2 。要能用到动态的nat设置,需要使用acl进行捕获所需要的ip段,因此需要设置acl,捕获192.168.1.0/24的ip,进入接口gig0/0设置nat为inside(内边界),进入接口gig0/1设置nat为outside(外边界),把内网acl捕获的ip转换为外网ip:100.1.1.1。设置端口映射让程序员可以使用IP+端口号访问pc0。
Router>enable //进入特权模式
Router#configure terminal //进入全局配置模式
Router(config)#interface gigabitEthernet 0/0 //进入接口gig0/0
Router(config-if)#no shutdown //开启端口
Router(config-if)#ip address 192.168.1.254 255.255.255.0 //设置vlan10的网关ip
Router(config-if)#ip nat inside //设置nat的内边界
Router(config-if)#exit //退出
Router(config)#interface gigabitEthernet 0/1 //进入接口gig0/1
Router(config-if)#no shutdown //开启端口
Router(config-if)#ip address 100.1.1.1 255.255.255.0 //设置外网的ip
Router(config-if)#ip nat outside //设置nat的外边界
Router(config-if)#exit //退出
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 //设置acl,捕获ip网段192.168.1.0/24网段
Router(config)#ip nat inside source list 1 interface gigabitEthernet 0/1 //设置nat,内边界原ip是acl捕获的ip,转换为外网接口上设置的ip
Router(config)#ip nat inside source static tcp 192.168.1.1 23 100.1.1.1 1234 //设置端口映射nat,23和1234是端口号
Router(config)#ip route 200.1.1.0 255.255.255.0 100.1.1.2 //设置静态路由
.R2配置思路:设置运维员家里的路由器,gig0/0接口是外网ip:100.1.1.2/24,gig0/1接口是内网ip网关:200.1.1.254/24,设置静态路由192.168.1.0 255.255.255.0 100.1.1.1 。
Router>enable //进入特权模式
Router#configure terminal //进入全局配置模式
Router(config)#interface gigabitEthernet 0/0 //进入接口gig0/0
Router(config-if)#no shutdown //开启端口
Router(config-if)#ip address 100.1.1.2 255.255.255.0 //设置外网ip
Router(config-if)#exit //退出
Router(config)#interface gigabitEthernet 0/1 //进入接口gig0/1
Router(config-if)#no shutdown //开启端口
Router(config-if)#ip address 200.1.1.254 255.255.255.0 //设置运维员家网关ip
Router(config-if)#exit //退出
Router(config)#ip route 192.168.1.0 255.255.255.0 100.1.1.1 //设置静态路由
五、检测截图和检测命令截图
1.SW1验证:Switch#show vlan //查看vlan
Router#show ip nat statistics //查看 NAT 的简要配置信息
Router#show ip access-lists // 查看配置好的 ACL
Router#show ip nat translations // 查看 NAT 的核心工作表
Router#show ip route static //查看静态路由设置
Router#show running-config //查看所有设置,看一下ip网关设置
Router#show ip route static //查看静态路由设置
Router#show running-config //查看所有设置,看一下ip网关设置
4.pc4验证ping通pc0PC>ping 192.168.1.1
————————————————————————————PC>telnet 192.168.1.1:1234
不通的原因是,因为是模拟器,pc0电脑没有开启端口23的功能,是无法访问的,但是可以见证是可以访问的。
六、拓扑问题
整个图谱做的并不是很完善,想实现外网程序员必须使用ip+端口才能访问公司网站pc机但是还是没有思路,希望好心人可以在下面留言告知,必有重金相谢!!!!
原文:http://blog.51cto.com/13445059/2061806