PC1

Clinent1

Server1

啟動http服務

啟動Ftp服務

Client2

Server2

啟動ftp服務

啟動http服務

網關路由器Gateway

<Huawei>system-view

[Huawei]sysname Gateway

[Gateway]interface GigabitEthernet 0/0/2

[Gateway-GigabitEthernet0/0/2]ip address 192.168.1.1 24

[Gateway]interface GigabitEthernet 0/0/0

[Gateway-GigabitEthernet0/0/0]ip address 200.1.1.2 29

互聯網路由器Interner

<Huawei>system-view

[Huawei]sysname Internet

[Internet]interface GigabitEthernet 0/0/0

[Internet-GigabitEthernet0/0/0]ip address 200.1.1.1 29

[Internet]interface GigabitEthernet 0/0/2

[Internet-GigabitEthernet0/0/2]ip address 100.1.1.1 24

如果内網用戶想要訪問公網設備，那麼首先内網網關路由器可以訪問，本實驗中目前網關路由器Gateway無法訪問100.1.1.1這台服務器

[Gateway]ping 100.1.1.1

由上圖知悉，網關路由器Ping不通公網上的100.1.1.1這台主機，下面在網關路由器上查看路由表

[Gateway]disp ip routing-table

由上圖知悉，在網關路由器上沒有到100.1.1.0網段的路由，自然也就無法ping通。

所以在Gateway網關路由器上寫一條默認路由到Internet路由器上，

[Gateway]ip route-static 0.0.0.0 0 200.1.1.1

再測試

[Gateway]ping 100.1.1.1

由上圖知悉，已經鍊路通了

同時公網上的設備Client2也可以訪問網關路由器Gateway的200.1.1.2接口

此時網關路由器到Internet的鍊路已經打通。

PC1不能訪問Internet

Client1可以訪問Internet

Server1為Internet提供http服務,不提供Ftp 服務

Client1可以訪問Server2的http服務和ftp服務

Client2可以訪問Server1的http服務

Server1被訪問的地址是200.1.1.3，Client1的上網方式為Nat 的EasyIp方式

先調通所有的網絡，再做限制。

定義一個規則編号是2001，這個規則的内容是允許源是192.168.1.0網段的設備通過

[Gateway]acl 2001

[Gateway-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255

進入網關路由器連接公網的接口ge0/0/0，把2001規則應用到nat的出口上，這就是EasyIp.

[Gateway]interface GigabitEthernet 0/0/0

[Gateway-GigabitEthernet0/0/0]nat outbound 2001

查看

[Gateway-GigabitEthernet0/0/0]disp nat outbound

測試

在内網的PC1上ping公網上的Server2

由上圖知悉，内網的PC1可以訪問公網上的Server2。

内網的Client1也可以訪問到公網的Server2的http服務

内網的Client1也可以訪問到公網的Server2的ftp服務

目前為止，内網用戶完全可以訪問外網設備，為了達到實驗要求，必須先使網絡全部打通，然後根據策略，完成要求操作，這是配置策略的一般思路。

PC1不能訪問Internet

一種方法是在acl 2001規則中增加一條要求，阻止PC1訪問外網即可，這個要求必須放置在rule 5之前。

[Gateway]disp acl 2001

[Gateway-acl-basic-2001]rule 3 deny source 192.168.1.100 0

再次查看

[Gateway-acl-basic-2001]dis th

測試

内網的PC1到外網的Server2

由上圖知悉，現在内網的PC1到外網的Server2網絡不通了。

Client1可以訪問Internet

Client1可以訪問Server2的http服務和ftp服務

Server1為Internet提供http服務,不提供Ftp 服務，Server1被Client2訪問的地址是200.1.1.3

首先在内網測試Server1上ftp和http服務是否正常

由上圖知悉，内網的Client到Server1上ftp和http服務是正常的，說明Server1提供的http和ftp服務是正常的。

在網關路由器的公網接口ge0/0/0上做服務器的nat映射

[Gateway]int g0/0/0

[Gateway-GigabitEthernet0/0/0]nat server protocol tcp global 200.1.1.3 80 inside

192.168.1.150 80

Nat服務器映射協議是tcp，外網地址是200.1.1.3，端口是80，内網服務器地址是192.168.1.150，端口是80.

查看

[Gateway-GigabitEthernet0/0/0]disp this

這裡看到nat server和nat outbound可以同時存在于一個端口上，互不影響。

測試

抓包顯示

由以上知悉，外網的Client2可以訪問200.1.1.3（内網的192.168.1.150）的http服務，但是不能訪問200.1.1.3（内網的192.168.1.150）的ftp服務。