实验环境:思科模拟器Cisco Packet Tracer
IP地址划分:
WEB:192.168.1.1DNS:192.168.1.2PC:192.168.1.3公网IP:100.0.0.1 100.0.0.2 100.0.0.3 100.0.0.4
实验目的:
内网能正常访问外网,外网只能访问内网的DNS服务器和WEB服务器
实验拓扑图:
在路由器上的配置:
1、添加标准ACL列表,允许所有Router(config)#access-list 1 permit any2、配置动态NAT,通过路由器g0/1的公网地址访问外网Router(config)#ip nat inside source list 1 interface gigabitEthernet 0/1 overload3、g0/1为出口,g0/0为入口Router(config)#interface gigabitEthernet 0/1Router(config-if)#ip nat outsideRouter(config)#interface gigabitEthernet 0/0Router(config-if)#ip nat inside
到此,内网可以正常访问外网。接下来需要在外网服务器上正常访问内网的域名
DNS服务器添加一个域名解析条目:
在路由器上配置:
1、静态NAT:WEB服务器--->100.0.0.3Router(config)#ip nat inside source static 192.168.1.1 100.0.0.32、静态NAT:DNS服务器--->100.0.0.4Router(config)#ip nat inside source static 192.168.1.2 100.0.0.4外网服务器的DNS设为100.0.0.4(非常关键)
在外网服务器上输入域名:,可以正常访问
外网访问内网流程:
外网服务器—>查找DNS(100.0.0.4)—>NAT转换为192.168.1.2—>解析出指向的IP地址100.0.0.3(由于外网服务器是通过静态NAT与192.168.1.1通信,因此只能通过100.0.0.3去访问192.168.1.1)—>NAT转换为192.168.1.1—>实现WEB服务器的正常访问