一、拓扑

二、配置

2.1基本配置

PC1

Clinent1

Server1

启动http服务

启动Ftp服务

Client2

Server2

启动Ftp服务

启动http服务

2.2路由器配置

网关路由器Gateway

<Huawei>system-view

[Huawei]sysname Gateway

[Gateway]interface GigabitEthernet 0/0/2

[Gateway-GigabitEthernet0/0/2]ip address 192.168.1.1 24

[Gateway]interface GigabitEthernet 0/0/0

[Gateway-GigabitEthernet0/0/0]ip address 200.1.1.2 29

互联网路由器Interner

<Huawei>system-view

[Huawei]sysname Internet

[Internet]interface GigabitEthernet 0/0/0

[Internet-GigabitEthernet0/0/0]ip address 200.1.1.1 29

[Internet]interface GigabitEthernet 0/0/2

[Internet-GigabitEthernet0/0/2]ip address 100.1.1.1 24

2.3默认路由配置

如果内网用户想要访问公网设备，那么首先内网网关路由器可以访问，本实验中目前网关路由器Gateway无法访问100.1.1.1这台服务器

[Gateway]ping 100.1.1.1

由上图知悉，网关路由器Ping不通公网上的100.1.1.1这台主机，下面在网关路由器上查看路由表

[Gateway]disp ip routing-table

由上图知悉，在网关路由器上没有到100.1.1.0网段的路由，自然也就无法ping通。

所以在Gateway网关路由器上写一条默认路由到Internet路由器上，

[Gateway]ip route-static 0.0.0.0 0 200.1.1.1

再测试

[Gateway]ping 100.1.1.1

由上图知悉，已经链路通了

同时公网上的设备Client2也可以访问网关路由器Gateway的200.1.1.2接口

此时网关路由器到Internet的链路已经打通。

三、实验需求

PC1不能访问Internet

Client1可以访问Internet

Server1为Internet提供http服务,不提供Ftp 服务

Client1可以访问Server2的http服务和ftp服务

Client2可以访问Server1的http服务

Server1被访问的地址是200.1.1.3，Client1的上网方式为Nat 的EasyIp方式

四、完成实验要求

4.1网关路由器配置

先调通所有的网络，再做限制。

定义一个规则编号是2001，这个规则的内容是允许源是192.168.1.0网段的设备通过

[Gateway]acl 2001

[Gateway-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255

进入网关路由器连接公网的接口ge0/0/0，把2001规则应用到nat的出口上，这就是EasyIp.

[Gateway]interface GigabitEthernet 0/0/0

[Gateway-GigabitEthernet0/0/0]nat outbound 2001

查看

[Gateway-GigabitEthernet0/0/0]disp nat outbound

测试

在内网的PC1上ping公网上的Server2

由上图知悉，内网的PC1可以访问公网上的Server2。

内网的Client1也可以访问到公网的Server2的http服务

内网的Client1也可以访问到公网的Server2的ftp服务

目前为止，内网用户完全可以访问外网设备，为了达到实验要求，必须先使网络全部打通，然后根据策略，完成要求操作，这是配置策略的一般思路。

4.2按照要求限制

PC1不能访问Internet

一种方法是在acl 2001规则中增加一条要求，阻止PC1访问外网即可，这个要求必须放置在rule 5之前。

[Gateway]disp acl 2001

[Gateway-acl-basic-2001]rule 3 deny source 192.168.1.100 0

再次查看

[Gateway-acl-basic-2001]dis th

测试

内网的PC1到外网的Server2

由上图知悉，现在内网的PC1到外网的Server2网络不通了。

Client1可以访问Internet

Client1可以访问Server2的http服务和ftp服务

Server1为Internet提供http服务,不提供Ftp 服务，Server1被Client2访问的地址是200.1.1.3

首先在内网测试Server1上ftp和http服务是否正常

由上图知悉，内网的Client到Server1上ftp和http服务是正常的，说明Server1提供的http和ftp服务是正常的。

在网关路由器的公网接口ge0/0/0上做服务器的nat映射

[Gateway]int g0/0/0

[Gateway-GigabitEthernet0/0/0]nat server protocol tcp global 200.1.1.3 80 inside

192.168.1.150 80

Nat服务器映射协议是tcp，外网地址是200.1.1.3，端口是80，内网服务器地址是192.168.1.150，端口是80.

查看

[Gateway-GigabitEthernet0/0/0]disp this

这里看到nat server和nat outbound可以同时存在于一个端口上，互不影响。

测试

抓包显示

由以上知悉，外网的Client2可以访问200.1.1.3（内网的192.168.1.150）的http服务，但是不能访问200.1.1.3（内网的192.168.1.150）的ftp服务。