前两篇讲解了动态NAT地址转换,以及静态NAT地址转换,本篇文章主要讲解如何理由NAT实现外网主机访问内网服务器,含有重分布教学
情境分析
公司只申请了一个公网IP地址,基于私有地址与公有地址不能直接通信的原则,公网的计算机是不能直接访问内网服务器,要实现内网服务器上的服务能够被外网主机访问,就要将内网服务器的私有IP地址通过基于Web端口的静态转换映射到公网的IP地址上,这样互联网上的用户才能通过公网IP地址访问到内网服务器的Web服务。此外,对于公司内网用户访问互联网可以通过动态NAPT的方式来实现。
所需设备:
(1)Cisco 2911路由器2台。
(2)Cisco-HWIC-2T高速同步串行模块2个。
(3)Cisco 3560交换机1台。
(4)Cisco Catalyst 2960交换机2台。
(5)DCE串口和DTE串口线1条。
(6)直通线4条。
(7)交叉线2条。
(8)PC机3台,服务器1台。
(9)Console线1条。
任务拓扑,如图5-3-7所示。
图5-3-7 利用NAT实现外网主机访问内网服务器
网络设备和PC的IP地址及端口信息,如表5-3-3所示。
表5-3-3 网络设备和PC的IP地址及端口信息表
设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
Router-A | Gig0/0 | 192.168.10.2 | 255.255.255.0 | |
Se0/3/0 | 201.1.1.1 | 255.255.255.0 | ||
Router-B | Se0/3/0(DCE) | 201.1.1.10 | 255.255.255.0 | |
Gig0/0 | 202.1.1.254 | 255.255.255.0 | ||
C3560 | Gig0/1 | 192.168.10.1 | 255.255.255.0 | |
VLAN10 | 192.168.1.254 | 255.255.255.0 | ||
VLAN20 | 192.168.2.254 | 255.255.255.0 | ||
VLAN30 | 192.168.3.254 | 255.255.255.0 | ||
PC1 | 192.168.1.1 | 255.255.255.0 | 192.168.1.254 | |
PC2 | 192.168.2.1 | 255.255.255.0 | 192.168.2.254 | |
WEB服务器 | 192.168.3.1 | 255.255.255.0 | 192.168.3.254 | |
外网主机 | 202.1.1.1 | 255.255.255.0 | 202.1.1.254 |
步骤实现
步骤1:按照如图5-3-7所示,连接网络拓扑结构图。
步骤2:按照如表5-3-3所示,配置计算机和服务器的IP地址、子网掩码和网关。
步骤3:配置路由器A的主机名称和接口IP地址。
Router>enableRouter#conf tRouter(config)#hostname Router-A 修改主机名ROUTER-A(config)#int g0/0 进入端口ROUTER-A(config-if)#ip address 192.168.10.2 255.255.255.0ROUTER-A(config-if)#no shutdown 打开端口ROUTER-A(config)#int s0/3/0ROUTER-A(config-if)#ip address 201.1.1.1 255.255.255.0ROUTER-A(config-if)#no shutdownROUTER-A(config-if)#
步骤4:配置路由器B的主机名称和接口IP地址。
Router>enableRouter#conf tRouter(config)#hostname Router-B 设置主机名Router-B(config)#int s0/3/0Router-B(config-if)#clock rate 64000 时钟速率设置为64000Router-B(config-if)#ip address 201.1.1.10 255.255.255.0 给接口配置一个网段Router-B(config-if)#no shutdown 打开端口Router-B(config)#int g0/0 进入端口Router-B(config-if)#ip address 202.1.1.254 255.255.255.0Router-B(config-if)#no shutdownRouter-B(config-if)#
步骤5:配置交换机C3560的主机名称和接口IP地址。
Switch>enableSwitch#conf tSwitch(config)#hostname C3560Switch(config)#ip routingC3560(config)#int g0/1C3560(config-if)#no switchport 把端口转换为物理端口,具备通信功能C3560(config-if)#ip address 192.168.10.1 255.255.255.0C3560(config-if)#no shutdownC3560(config-if)#
步骤6:配置交换机C2960的主机名称,创建vlan10和20,将fa0/1划入vlan10,fa0/2划入vlan20。
Switch>enableSwitch#conf tSwitch(config)#hostname C2960 修改主机名C2960(config)#vlan 10C2960(config-vlan)#exitC2960(config)#vlan 20C2960(config-vlan)#exitC2960(config)#int f0/1C2960(config-if)#switchport mode accessC2960(config-if)#switchport access vlan 10C2960(config)#int f0/2C2960(config-if)#switchport mode accessC2960(config-if)#switchport access vlan 20C2960(config-if)#
步骤7:在交换机C3560上创建VLAN、配置中继链路,设置SVI接口IP地址。
C3560(config)#vlan 10C3560(config-vlan)#exitC3560(config)#vlan 20C3560(config-vlan)#exitC3560(config)#vlan 30C3560(config-vlan)#exitC3560(config)#int f0/2C3560(config-if)#switchport mode accessC3560(config-if)#switchport access vlan 30C3560(config)#int f0/1C3560(config-if)#switchport mode trunk 设置为trunk模式,允许所有流量通过C3560(config)#int vlan 10C3560(config-if)#ip address 192.168.1.254 255.255.255.0C3560(config-if)#no shutdownC3560(config)#int vlan 20C3560(config-if)#ip address 192.168.2.254 255.255.255.0C3560(config-if)#no shutdownC3560(config)#int vlan 30C3560(config-if)#ip address 192.168.3.254 255.255.255.0C3560(config-if)#no shutdownC3560(config-if)#
步骤8:在C3560配置RIPv2动态路由,实现各部门与公司网络出口的链路通信
C3560(config)#router ripC3560(config-router)#version 2C3560(config-router)#no auto-summary 关闭自动汇总C3560(config-router)#network 192.168.1.0C3560(config-router)#network 192.168.2.0C3560(config-router)#network 192.168.3.0 设置允许通过的网段C3560(config-router)#network 192.168.10.0C3560(config-router)#exit
RIP详细教学:http://t.csdn.cn/yOt5K
步骤8:在ROUTER-A配置RIPv2动态路由,实现各部门与公司网络出口的链路通信。
ROUTER-A(config)#router ripROUTER-A(config-router)#version 2Router-A(config-router)#no auto-summaryRouter-A(config-router)#network 192.168.10.0Router-A(config-router)#default-information originate !重分布默认路由 重分发Router-A(config-router)#exitRouter-A(config)#ip route 0.0.0.0 0.0.0.0 201.1.1.10
步骤9:在Router-A上配置动态NAPT实现公司内网部门用户可以访问外网。
Router-A(config)#access-list 10 permit 192.168.1.0 0.0.0.255Router-A(config)#access-list 10 permit 192.168.2.0 0.0.0.255!配置访问控制列表,定义需要访问外网的用户网段。Router-A(config)#ip nat pool to_internet 201.1.1.1 201.1.1.1 netmask 255.255.255.0Router-A(config)#ip nat inside source list 10 pool 名字 overloadRouter-A(config)#int s0/3/0Router-A(config-if)#ip nat outsideRouter-A(config-if)#exitRouter-A(config)#int g0/0Router-A(config-if)#ip nat insideRouter-A(config-if)#exit
步骤10:配置基于端口的静态地址映射,实现外网用户访问内网Web服务器
Router-A(config)#ip nat inside source static tcp 192.168.3.1 80 201.1.1.1 80
!配置基于80端口(Web服务)的静态地址映射
每日一言:
我不去想,是否能够成功 ,既然选择了远方 ,便只顾风雨兼程。