综合实验室（NAT、第 3 层交换、静态路由）

实验目的

一、SW1为傻瓜交换机（如腾达，不可做任何配置），
    SW2为可网管型交换机，L3SW为三层交换机，server0为服务器，Router0为路由器。
    除以上设备外，其他均为运营商和互联网用户的设备，只可查看配置，不可修改。
二、互联网出口地址为64.1.1.1/29，ISP网关为64.1.1.6
三、研发部、技术部、销售部、总经办分别属于vlan10、20、30、40，服务器属于vlan100，
    ip地址为192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.168.40.0/24、
    172.16.100.0/24，其他所需地址可自行规划
四、各工作部门可自动获取地址   （DHCP自动获取）
五、除研发部门外，所有部门均可上互联网
  （在浏览器里可打开[www.ruijie.com.cn）](http://www.ruijie.com.cn）
六、禁止技术部和销售部的互访，其他部门间要互联互通
七、内部用户和外部用户均可通过www.cntd.com访问公司web服务器。
八、技术部PC可管理二层及三层交换机，且只允许技术部PC管理。

实验拓扑图

验证：

1、各工作部门自动获取IP地址

2、除研发部门外，所有部门均可上互联网(http://www.ruijie.com.cn）

3、禁止技术部和销售部的互访，其他部门间要互联互通

4、内部用户和外部用户均可通过www.cntd.com访问公司web服务器。

5、 技术部PC可管理二层及三层交换机，且只允许技术部PC管理。

配置命令

SW2

interface FastEthernet0/1
switchport access vlan 20
!
interface FastEthernet0/2
switchport access vlan 30
!
interface FastEthernet0/3
switchport access vlan 40
!
interface Vlan55
ip address 192.168.55.55 255.255.255.0
!
access-list 55 permit 192.168.20.0 0.0.0.255
line con 0
!
line vty 0 4
access-class 55 in
password 123

L3SW

ip dhcp pool v10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 172.16.100.1

ip dhcp pool v20
network 192.168.20.0 255.255.255.0
default-router 192.168.20.254
dns-server 172.16.100.1

ip dhcp pool v30
network 192.168.30.0 255.255.255.0
default-router 192.168.30.254
dns-server 172.16.100.1

ip dhcp pool v40
network 192.168.40.0 255.255.255.0
default-router 192.168.40.254
dns-server 172.16.100.1

ip routing

interface FastEthernet0/1
no switchport
ip address 10.10.10.1 255.255.255.0

interface FastEthernet0/10
switchport access vlan 100

interface FastEthernet0/23
switchport access vlan 10
!
interface FastEthernet0/24
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Vlan10
ip address 192.168.10.254 255.255.255.0
!
interface Vlan20
ip address 192.168.20.254 255.255.255.0
ip access-group no-jishu-xiaoshou in
!
interface Vlan30
ip address 192.168.30.254 255.255.255.0
!
interface Vlan40
ip address 192.168.40.254 255.255.255.0
!
interface Vlan66
ip address 192.168.66.66 255.255.255.0
!
interface Vlan100
ip address 172.16.100.254 255.255.255.0
!
ip route 8.8.8.0 255.255.255.0 10.10.10.2
!
ip access-list extended no-jishu-xiaoshou
deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
permit ip 192.168.20.0 0.0.0.255 any
access-list 66 permit 192.168.20.0 0.0.0.255
access-list 66 deny any

line vty 0 4
access-class 66 in
password 123

路由器

interface FastEthernet0/0
ip address 64.1.1.1 255.255.255.248
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.10.10.2 255.255.255.0
ip nat inside
duplex auto
speed auto

ip nat pool ck 64.1.1.2 64.1.1.5 netmask 255.0.0.0
ip nat inside source list 1 pool ck overload
ip nat inside source static 172.16.100.1 64.1.1.2
ip classless
ip route 8.8.8.0 255.255.255.0 64.1.1.6
ip route 192.168.0.0 255.255.0.0 10.10.10.1
ip route 172.16.100.0 255.255.255.0 10.10.10.1
ip route 0.0.0.0 0.0.0.0 64.1.1.6

access-list 1 deny 192.168.10.0 0.0.0.255
access-list 1 permit any