实验拓扑:

中小型公司***的配置及NAT应用案例

实验目的:

如图所示,某软件开发公司在中小城市建立了分支公司,分支公司开发项目小组所在网
络地址为 172.16.10.0/24,该网络的主机可以通过 ××× 访问总公司开发数据服务器
(10.10.33.0/24)。分支公司的其他客户端(172.16.20.0/24 网段)可以访问 Internet,让研发小组访问总公司研发服务时走×××其他时间走NAT

地址规划:

分支公司内网路由器R1 g0/0 192.168.20.254/24

分支公司内网路由器R1 G0/1 192.168.10.254/24

分支公司内网路由器R1 G0/2 192.168.1.1/24

分支公司边界路由器R2 f0/0 192.168.1.2/24

分支公司边界路由器R2 f0/1 100.0.0.1/30

运营商 IPS 路由器 f0/0 100.0.0.2/30

运营商IPS路由器 f0/1 200.0.0.2/30

总公司边界路由器 f0/0 200.0.0.1/30

总公司边界路由器 f0/1 10.10.33.254/24

分支公司普通部门地址:
中小型公司***的配置及NAT应用案例

分支公司研发小组地址:

中小型公司***的配置及NAT应用案例

总公司研发服务器地址:

中小型公司***的配置及NAT应用案例

配置及思路:

一、配置分支公司的路由器

Router>enable

Router#configure
.
Router(config)#int g0/0

Router(config-if)#no shutdown

Router(config-if)#ip add 172.16.20.254 255.255.255.0

Router(config-if)#int g0/1

Router(config-if)#no shutdown

Router(config-if)#ip add 172.16.10.254 255.255.255.0

Router(config-if)#int g0/2

Router(config-if)#no shutdown

Router(config-if)#ip add 192.168.1.1 255.255.255.0

Router(config-if)#e

Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2

Router(config)#

二、配置分支公司边界路由器 ×××及nat

Router>enable

Router#configure
.
Router(config)#int f0/0

Router(config-if)#no shutdown

Router(config-if)#ip add 192.168.1.2 255.255.255.0

Router(config-if)#int f0/1

Router(config-if)#no shutdown

Router(config-if)#e

Router(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2

Router(config)#cry

Router(config)#crypto is

Router(config)#crypto isakmp p

Router(config)#crypto isakmp policy 1

Router(config-isakmp)#en

Router(config-isakmp)#encryption 3des

Router(config-isakmp)#ha

Router(config-isakmp)#hash sha

Router(config-isakmp)#aut

Router(config-isakmp)#authentication pr

Router(config-isakmp)#authentication pre-share

Router(config-isakmp)#g

Router(config-isakmp)#group 2

Router(config-isakmp)#exit

Router(config)#cry

Router(config)#crypto is

Router(config)#crypto isakmp key tedu add

Router(config)#crypto isakmp key tedu address 200.0.0.1

Router(config)#acc

Router(config)#access-list 100 per

Router(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255

Router(config)#cr

Router(config)#crypto ip

Router(config)#crypto ipsec tr

Router(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des

Router(config)#cry

Router(config)#crypto map yf-map 1 ip

Router(config)#crypto map yf-map 1 ipsec-isakmp

Router(config-crypto-map)#set peer 200.0.0.1

Router(config-crypto-map)#set tr

Router(config-crypto-map)#set transform-set yf-set

Router(config-crypto-map)#match add

Router(config-crypto-map)#match address 100

Router(config-crypto-map)#int f0/1

Router(config-if)#cry

Router(config-if)#crypto map yf-map

Router(config-if)#e

Router(config)#acc

Router(config)#access-list 1 per

Router(config)#access-list 1 permit 172.16.20.0 0.0.0.255

Router(config)#ip nat in

Router(config)#ip nat inside s

Router(config)#ip nat inside source l

Router(config)#ip nat inside source list 1 intface f0/1ov

Router(config)#ip nat inside source list 1 intface f0/1 ov

Router(config)#ip nat inside source list 1 intface f0/1 over

Router(config)#ip nat inside source list 1 in

Router(config)#ip nat inside source list 1 interface f0/1 ov

Router(config)#ip nat inside source list 1 interface f0/1 overload

Router(config)#int f0/1

Router(config-if)#ip nat o

Router(config-if)#ip nat outside

Router(config-if)#int f0/0

Router(config-if)#ip nat in

Router(config-if)#ip nat inside

Router(config-if)#e

Router(config)#ip route 172.16.20.0 255.255.255.0 192.168.1.1

Router(config)#ip route 172.16.10.0 255.255.255.0 192.168.1.1

Router>enable

Router#configure

Router(config)#acc

Router(config)#access-list 110 de

Router(config)#access-list 110 deny ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255

Router(config)#acc

Router(config)#access-list 110 per

Router(config)#access-list 110 permit ip any any

Router(config)#ip nat in

Router(config)#ip nat inside s

Router(config)#ip nat inside source l

Router(config)#ip nat inside source list 110 in

Router(config)#ip nat inside source list 110 interface f0/1 ov

Router(config)#ip nat inside source list 110 interface f0/1 overload

Router(config)#int f0/1

Router(config-if)#ip nat ou

Router(config-if)#ip nat outside

Router(config-if)#int f0/0

Router(config-if)#ip nat in

Router(config-if)#ip nat inside

三、IPS配置

Router>enable

Router#configure

Router(config)#int f0/0

Router(config-if)#no shutdown

Router(config-if)#ip add 100.0.0.2 255.255.255.252

Router(config-if)#int f0/1

Router(config-if)#no shutdown

Router(config-if)#ip add 200.0.0.2 255.255.255.252

Router(config-if)#

四、配置总公司边界的路由器

Router>enable

Router#configure

Router(config)#int f0/0

Router(config-if)#no shutdown

Router(config-if)#ip add 200.0.0.1 255.255.255.252

Router(config-if)#int f0/1

Router(config-if)#no shutdown

Router(config-if)#ip add 10.10.33.254 255.255.255.0

Router(config-if)#e

Router(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

Router(config)#cry

Router(config)#crypto is

Router(config)#crypto isakmp p

Router(config)#crypto isakmp policy 1

Router(config-isakmp)#en

Router(config-isakmp)#encryption 3des

Router(config-isakmp)#h

Router(config-isakmp)#hash sha

Router(config-isakmp)#aut

Router(config-isakmp)#authentication pre

Router(config-isakmp)#authentication pre-share

Router(config-isakmp)#gr

Router(config-isakmp)#group 2

Router(config-isakmp)#exit

Router(config)#cry

Router(config)#crypto is

Router(config)#crypto isakmp key tedu ad

Router(config)#crypto isakmp key tedu address 100.0.0.1

Router(config)#ac

Router(config)#access-list 100 per

Router(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255

Router(config)#cry

Router(config)#crypto ip

Router(config)#crypto ipsec tr

Router(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des

Router(config)#cr

Router(config)#crypto map yf-map 1 ip

Router(config)#crypto map yf-map 1 ipsec-isakmp

Router(config-crypto-map)#set peer 100.0.0.1

Router(config-crypto-map)#set tr

Router(config-crypto-map)#set transform-set yf-set

Router(config-crypto-map)#ma

Router(config-crypto-map)#match add

Router(config-crypto-map)#match address 100

Router(config-crypto-map)#int f0/0

Router(config-if)#cry

Router(config-if)#crypto map yf-map

五 验证测试:

研发小组可以通过×××访问到研发服务器

中小型公司***的配置及NAT应用案例

普通部门可以上网单不能访问到研发服务器

中小型公司***的配置及NAT应用案例

研发小组可以走NAT也可以走×××

中小型公司***的配置及NAT应用案例