实验拓扑
实验需求
- 按照图示配置 IP 地址
- 私网 A 通过 R1 接入到互联网,私网 B 通过 R3 接入到互联网
- 私网 A 内部存在 Vlan10 和 Vlan20,通过 R1 上单臂路由访问外部网络
- 私网 A 通过 NAPT 使 Vlan10 和 Vlan20 都能够使用 R1 的公网地址访问互联网
- 私网 B 通过在 R3 上配置 EASY IP 访问互联网
- 私网 A 配置 NAT SERVER 把 FTPA 的 FTP 服务发布到公网,使 PCB 可以访问
实验解法
一、配置IP地址和VLAN
在配置FTP server和PC1,PC2时候。因为使用路由器充当PC,没有网关配置,所以需要配置默认路由。
FTP
[FTPsever]int g0/0
[FTPsever-GigabitEthernet0/0]ip add 192.168.1.10 24
[FTPsever-GigabitEthernet0/0]qu
[FTPsever]ip route-static 0.0.0.0 0 192.168.1.254
PC1
[PC1]int g0/0
[PC1-GigabitEthernet0/0]ip add 192.168.2.10 24
[PC1-GigabitEthernet0/0]quit
[PC1]ip route-static 0.0.0.0 0 192.168.2.254
SWA
因为二层交换机不能配置IP地址,配置VLAN,并将对应接口加入
[SWA]vlan 10 20
[SWA]vlan 10
[SWA-vlan10]port g1/0/1
[SWA-vlan10]quit
[SWA]vlan 20
[SWA-vlan20]port g1/0/2
[SWA-vlan20]quit[SWA]int g1/0/3
[SWA-GigabitEthernet1/0/3]port link-type trunk
[SWA-GigabitEthernet1/0/3]port trunk permit vlan 10 20
[SWA-GigabitEthernet1/0/3]quit
R1
连接FTP和PC1的对应接口没有配置,因为要开启单臂路由
[R1]int g0/1
[R1-GigabitEthernet0/1]ip add 100.1.1.1 24
[R1-GigabitEthernet0/1]quit
R2
[R2]int g0/0
[R2-GigabitEthernet0/0]ip add 100.1.1.2 24
[R2-GigabitEthernet0/0]quit
[R2]int g0/1
[R2-GigabitEthernet0/1]ip add 100.2.2.2 24
[R2-GigabitEthernet0/1]quit
R3
[R3]int g0/0
[R3-GigabitEthernet0/0]ip add 100.2.2.3 24
[R3-GigabitEthernet0/0]quit
[R3]int g0/1
[R3-GigabitEthernet0/1]ip add 192.168.1.254 24
[R3-GigabitEthernet0/1]quit
PC2
[PC2]int g0/0
[PC2-GigabitEthernet0/0]ip add 192.168.1.30 24
[PC2-GigabitEthernet0/0]quit
[PC2]ip route-static 0.0.0.0 0 192.168.1.254
二、配置单臂路由
[R1]vlan 10
[R1-vlan10]vlan 20
[R1-vlan20]quit
[R1]int g0/0.1
[R1-GigabitEthernet0/0.1]vlan-type dot1q vid 10[R1-GigabitEthernet0/0.1]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0.1]quit
[R1]int g0/0.2[R1-GigabitEthernet0/0.2]vlan-type dot1q vid 20
[R1-GigabitEthernet0/0.2]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0.2]quit
三、通过默认路由使公网互通
[R1]ip route-static 0.0.0.0 0 100.1.1.2
[R3]ip route-static 0.0.0.0 0 100.2.2.2
R1能ping通R3
发现FTP还是不能ping通PC2,原因是因为中间要经过公网。私网地址不能通过公网
四、私网 A 通过 NAPT 使 Vlan10 和 Vlan20 都能够使用 R1 的公网地址访问互联网
步骤一:用基本ACL匹配VLAN 10和VLAN 20的流量
[R1]acl basic 2000
[R1-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1-acl-ipv4-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[R1-acl-ipv4-basic-2000]quit
步骤二:创建地址池
因为NAPT需要地址池,根据题意地址池内地址为100.1.1.1
[R1]nat address-group 1
[R1-address-group-1]address 100.1.1.1 100.1.1.1
[R1-address-group-1]quit
步骤三:在对应接口下发
[R1]int g0/1
[R1-GigabitEthernet0/1]nat outbound 2000 address-group 1
[R1-GigabitEthernet0/1]quit
五、私网 B 通过在 R3 上配置 EASY IP 访问互联网
easy IP不用配置地址池
步骤一:创建基本ACL,匹配192.168.1.0/24网段
[R3]acl basic 2000
[R3-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R3-acl-ipv4-basic-2000]quit
步骤二:在对应接口下发
[R3]int g0/0
[R3-GigabitEthernet0/0]nat outbound 2000
[R3-GigabitEthernet0/0]quit
六、私网 A 配置 NAT SERVER 把 FTPA 的 FTP 服务发布到公网,使 PCB 可以访问
步骤一:先配置FTP
[FTPsever]ftp server enable
[FTPsever]local-user wangdaye class manage
[FTPsever-luser-manage-wangdaye]password simple admin12345
[FTPsever-luser-manage-wangdaye]authorization-attribute user-role level-15
[FTPsever-luser-manage-wangdaye]service-type ftp
[FTPsever-luser-manage-wangdaye]quit
步骤二:在R1的公网接口配置配置NAT server,将TCP端口映射给FTP服务器地址192.168.1.10
[R1]int g0/1
[R1-GigabitEthernet0/1]nat server protocol tcp global current-interface 20 21 inside 192.168.1.10 20 21
[R1-GigabitEthernet0/1]quit
