我的学号后两位是35，姓名拼音是wyw，按照这个实验步骤给出我实验拓扑图和具体的实验步骤

Question

Answer 1

下面按你的信息定制：

学号后两位：35
姓名拼音：wyw

所以实验中所有 xx 都替换成 35，ACL号用 35，地址池/命名ACL名称用 wyw。依据你上传的实验说明整理如下。

一、你的实验拓扑图

由于你上传的文档里是图片形式的拓扑，这里我给你画成可直接照着搭建的文字拓扑图。结合实验步骤，拓扑关系应为：

text
               内网                                  公网
   192.168.35.0/24                         202.222.35.0/24
+-----------+                         +-----------+     +-----------+
|   PC1     |                         |   Serv2   |     |   Serv3   |
|192.168.35.1|                        |202.222.35.10|   |202.222.35.20|
|GW 192.168.35.254|                   |GW 202.222.35.254|GW 202.222.35.254|
+-----------+                         +-----------+     +-----------+
       |                                      \             /
       |                                       \           /
       |                                        \         /
+------------------+      211.67.35.0/24      +------------------+
|        R1        |---------------------------|        R2        |
| F0/0 192.168.35.254 |  S2/0 211.67.35.1   S2/0 211.67.35.2 | F0/0 202.222.35.254 |
| 内网口 / NAT inside |                           | ACL接口 |
+------------------+                           +------------------+
       |
       |
+-----------+
|   Serv    |
|192.168.35.100|
|GW 192.168.35.254|
+-----------+

拓扑说明

R1：公司网络边界路由器，左边接内网，右边接公网
R2：公网侧路由器
PC1、Serv、Serv2、Serv3：都按主机用，关闭路由功能，并设置默认网关
PC1、Serv：在内网 192.168.35.0/24
R1 与 R2 串口链路：在 211.67.35.0/24
Serv2、Serv3：在公网 202.222.35.0/24

二、实验地址规划表

你可以直接写进报告：

设备	接口	IP地址	说明
PC1	网卡	192.168.35.1/24	内网主机
Serv	网卡	192.168.35.100/24	内网服务器，后面做静态NAT
R1	F0/0	192.168.35.254/24	内网网关
R1	S2/0	211.67.35.1/24	出口，公网侧
R2	S2/0	211.67.35.2/24	与R1相连
R2	F0/0	202.222.35.254/24	公网主机网关
Serv2	网卡	202.222.35.10/24	公网主机
Serv3	网卡	202.222.35.20/24	公网主机

三、具体实验步骤

下面我直接给你整理成按顺序操作版。

步骤1：搭建拓扑并配置4台“主机”

根据实验要求，PC1、Serv、Serv2、Serv3 都要关闭路由功能，并设置默认网关。

1）PC1

cisco
PC1(config)#no ip routing
PC1(config)#ip default-gateway 192.168.35.254
PC1(config)#interface f0/0
PC1(config-if)#ip address 192.168.35.1 255.255.255.0
PC1(config-if)#no shutdown

2）Serv

cisco
Serv(config)#no ip routing
Serv(config)#ip default-gateway 192.168.35.254
Serv(config)#interface f0/0
Serv(config-if)#ip address 192.168.35.100 255.255.255.0
Serv(config-if)#no shutdown

3）Serv2

cisco
Serv2(config)#no ip routing
Serv2(config)#ip default-gateway 202.222.35.254
Serv2(config)#interface f0/0
Serv2(config-if)#ip address 202.222.35.10 255.255.255.0
Serv2(config-if)#no shutdown

4）Serv3

cisco
Serv3(config)#no ip routing
Serv3(config)#ip default-gateway 202.222.35.254
Serv3(config)#interface f0/0
Serv3(config-if)#ip address 202.222.35.20 255.255.255.0
Serv3(config-if)#no shutdown

步骤2：配置R1和R2接口IP地址

1）R1

cisco
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.35.254 255.255.255.0
R1(config-if)#no shutdown

R1(config)#interface s2/0
R1(config-if)#ip address 211.67.35.1 255.255.255.0
R1(config-if)#clock rate 64000
R1(config-if)#no shutdown

2）R2

cisco
R2(config)#interface s2/0
R2(config-if)#ip address 211.67.35.2 255.255.255.0
R2(config-if)#no shutdown

R2(config)#interface f0/0
R2(config-if)#ip address 202.222.35.254 255.255.255.0
R2(config-if)#no shutdown

步骤3：在R1配置静态默认路由

实验要求：R1中配置静态默认路由，下一跳指向R2。

cisco
R1(config)#ip route 0.0.0.0 0.0.0.0 211.67.35.2

四、问题1的操作与结论

实验要求是在 R1 和 R2 开启 ICMP debug，然后在 PC1 上 ping R1 和 R2 的 S2/0 接口。

1）开启debug

cisco
R1#debug ip icmp
R2#debug ip icmp

2）在PC1执行

cisco
PC1#ping 192.168.35.254
PC1#ping 211.67.35.1
PC1#ping 211.67.35.2

3）查看路由表

cisco
R1#show ip route
R2#show ip route

4）结论怎么写

ping 192.168.35.254：能通
ping 211.67.35.1：一般能通，因为这是R1本机接口
ping 211.67.35.2：通常不通

5）原因

因为：

PC1 在内网 192.168.35.0/24
R1 有到公网的默认路由
但R2没有到 192.168.35.0/24 的回程路由
所以 PC1 发到 R2 的 echo request 可以到达 R2，但 R2 的 echo reply 不知道怎么回到 192.168.35.0/24

6）如果老师要你说明debug现象

可以写：

R2能收到来自 PC1 的 ICMP 请求
但由于没有返回到 192.168.35.0/24 的路由，响应报文无法回送
因此 ping R2 的 S2/0 接口失败

五、配置动态NAT

实验要求：在R1上配置动态NAT，地址池 211.67.35.10-211.67.35.30，允许 192.168.35.0/24 访问公网。

1）配置ACL 35

cisco
R1(config)#access-list 35 permit 192.168.35.0 0.0.0.255

2）建立地址池 wyw

cisco
R1(config)#ip nat pool wyw 211.67.35.10 211.67.35.30 netmask 255.255.255.0

3）指定 inside / outside

cisco
R1(config)#interface f0/0
R1(config-if)#ip nat inside

R1(config)#interface s2/0
R1(config-if)#ip nat outside

4）应用动态NAT

cisco
R1(config)#ip nat inside source list 35 pool wyw

六、问题2

在PC1测试

cisco
PC1#ping 202.222.35.10
PC1#ping 202.222.35.20

结论

一般不能同时都成功，甚至可能失败。原因是：

动态NAT只是把内网地址转换成公网地址池地址，但如果R2没有到NAT池地址的正确转发表项或返回流量不完整，通信可能失败；同时普通动态NAT是一对一地址映射，如果地址池未正确建立转换或回程路径问题没处理好，也会影响连通性。

查看转换表

cisco
R1#show ip nat translations

七、改为NAPT（PAT）

实验要求：把地址池配置改为 overload。

先删旧配置：

cisco
R1(config)#no ip nat inside source list 35 pool wyw

再配NAPT：

cisco
R1(config)#ip nat inside source list 35 pool wyw overload

八、问题3

在PC1再次测试：

cisco
PC1#ping 202.222.35.10
PC1#ping 202.222.35.20

结论

这时一般可以正常访问。

九、问题4：NAT 和 NAPT 的区别

查看：

cisco
R1#show ip nat translations

你可以这样写结论

普通动态NAT

一个内网地址对应一个公网地址
只做IP地址转换
同时在线主机数量受地址池数量限制

NAPT（PAT）

多个内网地址可以共用一个或多个公网地址
不仅转换IP，还会转换端口号
地址利用率更高

转换表现象

动态NAT：只看到内外地址对应关系
NAPT：会看到地址+端口的映射关系，更细

十、配置静态NAT

实验要求：把内部地址 192.168.35.100 转换为 211.67.35.100。

cisco
R1(config)#ip nat inside source static 192.168.35.100 211.67.35.100

注意：

211.67.35.100 不能和地址池 211.67.35.10-30 冲突
这里 .100 不冲突，可以用

十一、问题5

实验要求：在Serv上开icmp debug，在Serv2上 ping 211.67.35.100。

1）在Serv开启debug

cisco
Serv#debug ip icmp

2）在Serv2测试

cisco
Serv2#ping 211.67.35.100

3）结论

可以ping通。

4）Serv上是否收到ICMP报文

会收到。

5）收到报文的源地址和目的地址

到达 Serv 时：

源地址：202.222.35.10
目的地址：192.168.35.100

原因

因为在R1上做了静态NAT：

外部看到的是 211.67.35.100
报文进入R1后，被转换成真实内网地址 192.168.35.100

十二、配置扩展ACL（命名ACL）

实验要求：在R2配置命名扩展ACL，名称为 wyw。

配置命令

cisco
R2(config)#ip access-list extended wyw
R2(config-ext-nacl)#deny icmp host 202.222.35.20 host 211.67.35.100 echo
R2(config-ext-nacl)#permit ip host 202.222.35.20 host 211.67.35.100
R2(config-ext-nacl)#permit tcp host 202.222.35.10 host 211.67.35.100 eq telnet
R2(config-ext-nacl)#deny ip host 202.222.35.10 host 211.67.35.100
R2(config-ext-nacl)#permit ip any any

应用到R2的 f0/0 入方向

cisco
R2(config)#interface f0/0
R2(config-if)#ip access-group wyw in

十三、问题6

题目问：ACL也可以配置在R2的 s2/0 的 in/out 方向吗？配置在哪更好？

标准答案

可以配置在 R2 的 s2/0 in 或 out 方向，但更适合配置在 R2 的 f0/0 in 方向。

原因

因为扩展ACL的原则是：

尽量靠近源地址放置

本题中：

需要限制的源主机是 202.222.35.10 和 202.222.35.20
它们都连接在 R2 的 f0/0 所在网段

所以放在 R2 f0/0 的 in 方向最好，原因有三点：

尽早丢弃无用报文，节约带宽
减少路由器转发负担
更符合扩展ACL“靠近源端部署”的原则

十四、在Serv上开启Telnet

题目要求用户名为姓名拼音，密码为学号后5位。
你只给了后两位是35，后5位你自己替换成真实学号后5位。文档原例是格式说明。

假设你的学号后5位是 12345，则：

cisco
Serv(config)#username wyw secret 12345
Serv(config)#line vty 0 5
Serv(config-line)#login local

如果你的真实后5位不是 12345，把上面的 12345 换掉即可。

十五、问题7

实验要求分别在 Serv3 和 Serv2 上测试 ping / telnet 211.67.35.100。

1）在Serv3（202.222.35.20）测试

cisco
Serv3#ping 211.67.35.100
Serv3#telnet 211.67.35.100

结果

ping 211.67.35.100：失败
telnet 211.67.35.100：成功

原因

ACL中有：

cisco
deny icmp host 202.222.35.20 host 211.67.35.100 echo
permit ip host 202.222.35.20 host 211.67.35.100

说明：

禁止 Serv3 对该地址发 ping
但允许其余 IP 流量通过，所以 telnet 可以

2）在Serv2（202.222.35.10）测试

cisco
Serv2#ping 211.67.35.100
Serv2#telnet 211.67.35.100

结果

ping 211.67.35.100：成功
telnet 211.67.35.100：成功

注意

按你给的实验文字，其实ACL写的是：

cisco
permit tcp host 202.222.35.10 host 211.67.35.100 eq telnet
deny ip host 202.222.35.10 host 211.67.35.100

这表示：

Serv2 到 211.67.35.100 的 telnet 允许
其他流量都拒绝

所以更严谨地说应该是：

Serv2 ping 211.67.35.100：失败
Serv2 telnet 211.67.35.100：成功

这一点你在写报告时最好按ACL逻辑写，不要写反。

十六、你可以直接交的“实验结论”

1. ACL实验结论

通过在R2上配置命名扩展ACL wyw，实现了对不同源主机访问 211.67.35.100 的精确控制：

202.222.35.20 禁止 ping，允许其他访问
202.222.35.10 只允许 telnet，拒绝其他访问
其余主机允许通过

2. NAT实验结论

在R1上完成了：

动态NAT
NAPT（PAT）
静态NAT

并验证了：

动态NAT实现内网主机访问公网
NAPT通过端口复用提高公网地址利用率
静态NAT实现公网对内网服务器的固定映射访问

十七、你这份实验里要特别注意的地方

所有 xx 都换成 35
ACL号用 35
地址池名、命名ACL名都用 wyw
静态NAT地址必须写成：

cisco
ip nat inside source static 192.168.35.100 211.67.35.100

Serv 的 telnet 用户名写 wyw
Telnet 密码要写你真实学号后5位

如果你要，我下一条可以直接帮你整理成一份实验报告成品版，包括： 实验目的、拓扑、配置命令、问题答案、实验总结。

प्रश्न

विचार

उत्तर