拓扑图

拓扑.png

涉及端口trunk、access配置

DHCP配置

nat外网地址映射和服务器地址映射

静态路由

ACL设置

配置过程：
1、先配置SW3和SW1的上下连口。
批量创建Vlan操作。vlan batch 10 20 30 40 100
上连接口配置turnk
port link-type trunk
port trunk allow-pass vlan all
下连口配置access
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
2、在SW1上配置vlanif，注意三层交换机不能直接配置IP。需要在配置vlanif接口，并将物理接口配置为access型,配置dns服务
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select interface
dhcp server dns-list 172.16.100.1
3、配置路由器互联接口
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.0
4、配置静态路由
4.1、sw1交换机出口路由
ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
4.2、R1出口路由和回程到PC机和服务器的路由
ip route-static 0.0.0.0 0.0.0.0 64.1.1.10
ip route-static 172.16.100.0 255.255.255.0 10.10.10.2
ip route-static 192.168.0.0 255.255.0.0 10.10.10.2
5、配置acl和nat
5.1 在路由器配置NAT出口地址转换

acl number 2000
rule 5 permit source 192.168.0.0 0.0.255.255
将192.168的出口组地址转换为64.1.1.5
nat address-group 1 64.1.1.5 64.1.1.5
在R1出接口0/0/1配置
nat outbound 2000 address-group 1
5.2、PC1不允许访问互联网，PC2和PC3可以访问互联网
新建acl2001规则
acl number 2001
rule 5 deny source 192.168.10.0 0.0.0.255
rule 10 permit
在R1的入接口进行实施封堵策略。
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.0
traffic-filter inbound acl 2001
5.3内网服务器对外发布的地址为64.1.1.3，互联网用户可以访问这台服务器？
在R1路由器出接口0/0/1配置：
nat server global 64.1.1.3 inside 172.16.100.1
扩展：
查看nat配置情况
display nat address-group
查看过滤策略生效情况
dis traffic-filter applied-record