Cisco Packet Tracer 思科模拟器利用NAT实现外网主机访问内网服务器

前两篇讲解了动态NAT地址转换，以及静态NAT地址转换，本篇文章主要讲解如何理由NAT实现外网主机访问内网服务器，含有重分布教学

情境分析

公司只申请了一个公网IP地址，基于私有地址与公有地址不能直接通信的原则，公网的计算机是不能直接访问内网服务器，要实现内网服务器上的服务能够被外网主机访问，就要将内网服务器的私有IP地址通过基于Web端口的静态转换映射到公网的IP地址上，这样互联网上的用户才能通过公网IP地址访问到内网服务器的Web服务。此外，对于公司内网用户访问互联网可以通过动态NAPT的方式来实现。

所需设备：

（1）Cisco 2911路由器2台。

（2）Cisco-HWIC-2T高速同步串行模块2个。

（3）Cisco 3560交换机1台。

（4）Cisco Catalyst 2960交换机2台。

（5）DCE串口和DTE串口线1条。

（6）直通线4条。

（7）交叉线2条。

（8）PC机3台，服务器1台。

（9）Console线1条。

任务拓扑，如图5-3-7所示。

图5-3-7 利用NAT实现外网主机访问内网服务器

网络设备和PC的IP地址及端口信息，如表5-3-3所示。

表5-3-3 网络设备和PC的IP地址及端口信息表

设备	接口	IP地址	子网掩码	默认网关
Router-A	Gig0/0	192.168.10.2	255.255.255.0
Router-A	Se0/3/0	201.1.1.1	255.255.255.0
Router-B	Se0/3/0（DCE）	201.1.1.10	255.255.255.0
Router-B	Gig0/0	202.1.1.254	255.255.255.0
C3560	Gig0/1	192.168.10.1	255.255.255.0
	VLAN10	192.168.1.254	255.255.255.0
	VLAN20	192.168.2.254	255.255.255.0
	VLAN30	192.168.3.254	255.255.255.0
PC1		192.168.1.1	255.255.255.0	192.168.1.254
PC2		192.168.2.1	255.255.255.0	192.168.2.254
WEB服务器		192.168.3.1	255.255.255.0	192.168.3.254
外网主机		202.1.1.1	255.255.255.0	202.1.1.254

步骤实现

步骤1：按照如图5-3-7所示，连接网络拓扑结构图。

步骤2：按照如表5-3-3所示，配置计算机和服务器的IP地址、子网掩码和网关。

步骤3：配置路由器A的主机名称和接口IP地址。

Router>enableRouter#conf tRouter(config)#hostname Router-A  修改主机名ROUTER-A(config)#int g0/0  进入端口ROUTER-A(config-if)#ip address 192.168.10.2 255.255.255.0ROUTER-A(config-if)#no shutdown  打开端口ROUTER-A(config)#int s0/3/0ROUTER-A(config-if)#ip address 201.1.1.1 255.255.255.0ROUTER-A(config-if)#no shutdownROUTER-A(config-if)#

步骤4：配置路由器B的主机名称和接口IP地址。

Router>enableRouter#conf tRouter(config)#hostname Router-B 设置主机名Router-B(config)#int s0/3/0Router-B(config-if)#clock rate 64000  时钟速率设置为64000Router-B(config-if)#ip address 201.1.1.10 255.255.255.0  给接口配置一个网段Router-B(config-if)#no shutdown  打开端口Router-B(config)#int g0/0  进入端口Router-B(config-if)#ip address 202.1.1.254 255.255.255.0Router-B(config-if)#no shutdownRouter-B(config-if)#

步骤5：配置交换机C3560的主机名称和接口IP地址。

Switch>enableSwitch#conf tSwitch(config)#hostname C3560Switch(config)#ip routingC3560(config)#int g0/1C3560(config-if)#no switchport  把端口转换为物理端口，具备通信功能C3560(config-if)#ip address 192.168.10.1 255.255.255.0C3560(config-if)#no shutdownC3560(config-if)#

步骤6：配置交换机C2960的主机名称，创建vlan10和20，将fa0/1划入vlan10，fa0/2划入vlan20。

Switch>enableSwitch#conf tSwitch(config)#hostname C2960  修改主机名C2960(config)#vlan 10C2960(config-vlan)#exitC2960(config)#vlan 20C2960(config-vlan)#exitC2960(config)#int f0/1C2960(config-if)#switchport mode accessC2960(config-if)#switchport access vlan 10C2960(config)#int f0/2C2960(config-if)#switchport mode accessC2960(config-if)#switchport access vlan 20C2960(config-if)#

步骤7：在交换机C3560上创建VLAN、配置中继链路，设置SVI接口IP地址。

C3560(config)#vlan 10C3560(config-vlan)#exitC3560(config)#vlan 20C3560(config-vlan)#exitC3560(config)#vlan 30C3560(config-vlan)#exitC3560(config)#int f0/2C3560(config-if)#switchport mode accessC3560(config-if)#switchport access vlan 30C3560(config)#int f0/1C3560(config-if)#switchport mode trunk  设置为trunk模式，允许所有流量通过C3560(config)#int vlan 10C3560(config-if)#ip address 192.168.1.254 255.255.255.0C3560(config-if)#no shutdownC3560(config)#int vlan 20C3560(config-if)#ip address 192.168.2.254 255.255.255.0C3560(config-if)#no shutdownC3560(config)#int vlan 30C3560(config-if)#ip address 192.168.3.254 255.255.255.0C3560(config-if)#no shutdownC3560(config-if)#

步骤8：在C3560配置RIPv2动态路由，实现各部门与公司网络出口的链路通信

C3560(config)#router ripC3560(config-router)#version 2C3560(config-router)#no auto-summary  关闭自动汇总C3560(config-router)#network 192.168.1.0C3560(config-router)#network 192.168.2.0C3560(config-router)#network 192.168.3.0  设置允许通过的网段C3560(config-router)#network 192.168.10.0C3560(config-router)#exit

RIP详细教学：http://t.csdn.cn/yOt5K

步骤8：在ROUTER-A配置RIPv2动态路由，实现各部门与公司网络出口的链路通信。

ROUTER-A(config)#router ripROUTER-A(config-router)#version 2Router-A(config-router)#no auto-summaryRouter-A(config-router)#network 192.168.10.0Router-A(config-router)#default-information originate   ！重分布默认路由  重分发Router-A(config-router)#exitRouter-A(config)#ip route 0.0.0.0 0.0.0.0 201.1.1.10

步骤9：在Router-A上配置动态NAPT实现公司内网部门用户可以访问外网。

Router-A(config)#access-list 10 permit 192.168.1.0 0.0.0.255Router-A(config)#access-list 10 permit 192.168.2.0 0.0.0.255！配置访问控制列表，定义需要访问外网的用户网段。Router-A(config)#ip nat pool to_internet 201.1.1.1 201.1.1.1 netmask 255.255.255.0Router-A(config)#ip nat inside source list 10 pool 名字 overloadRouter-A(config)#int s0/3/0Router-A(config-if)#ip nat outsideRouter-A(config-if)#exitRouter-A(config)#int g0/0Router-A(config-if)#ip nat insideRouter-A(config-if)#exit

步骤10：配置基于端口的静态地址映射，实现外网用户访问内网Web服务器

Router-A(config)#ip nat inside source static tcp 192.168.3.1 80 201.1.1.1 80

！配置基于80端口（Web服务）的静态地址映射

每日一言：

我不去想，是否能够成功，既然选择了远方，便只顾风雨兼程。