拓?fù)鋱D
涉及端口trunk涧至、access配置
DHCP配置
nat外網(wǎng)地址映射和服務(wù)器地址映射
靜態(tài)路由
ACL設(shè)置
配置過(guò)程:
1偎蘸、先配置SW3和SW1的上下連口。
批量創(chuàng)建Vlan操作。vlan batch 10 20 30 40 100
上連接口配置turnk
port link-type trunk
port trunk allow-pass vlan all
下連口配置access
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
2、在SW1上配置vlanif秕衙,注意三層交換機(jī)不能直接配置IP。需要在配置vlanif接口僵刮,并將物理接口配置為access型,配置dns服務(wù)
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select interface
dhcp server dns-list 172.16.100.1
3据忘、配置路由器互聯(lián)接口
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.0
4、配置靜態(tài)路由
4.1搞糕、sw1交換機(jī)出口路由
ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
4.2勇吊、R1出口路由和回程到PC機(jī)和服務(wù)器的路由
ip route-static 0.0.0.0 0.0.0.0 64.1.1.10
ip route-static 172.16.100.0 255.255.255.0 10.10.10.2
ip route-static 192.168.0.0 255.255.0.0 10.10.10.2
5、配置acl和nat
5.1 在路由器配置NAT出口地址轉(zhuǎn)換
acl number 2000
rule 5 permit source 192.168.0.0 0.0.255.255
將192.168的出口組地址轉(zhuǎn)換為64.1.1.5
nat address-group 1 64.1.1.5 64.1.1.5
在R1出接口0/0/1配置
nat outbound 2000 address-group 1
5.2窍仰、PC1不允許訪問(wèn)互聯(lián)網(wǎng)汉规,PC2和PC3可以訪問(wèn)互聯(lián)網(wǎng)
新建acl2001規(guī)則
acl number 2001
rule 5 deny source 192.168.10.0 0.0.0.255
rule 10 permit
在R1的入接口進(jìn)行實(shí)施封堵策略。
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.0
traffic-filter inbound acl 2001
5.3內(nèi)網(wǎng)服務(wù)器對(duì)外發(fā)布的地址為64.1.1.3驹吮,互聯(lián)網(wǎng)用戶可以訪問(wèn)這臺(tái)服務(wù)器针史?
在R1路由器出接口0/0/1配置:
nat server global 64.1.1.3 inside 172.16.100.1
擴(kuò)展:
查看nat配置情況
display nat address-group
查看過(guò)濾策略生效情況
dis traffic-filter applied-record
