緯育 2026-0608
出自頂極製作所
S1
- VLAN12
- vlan 12
- name RD
- VLAN13
- vlan 13
- name sales
- VLAN14
- vlan 14
- name IT
- VLAN99
- vlan 99
- name MGMT
- exit
- interface vlan 99
- ip address 10.1.99.101 255.255.255.0
- no shutdown
- exit
- trunk allowed VLAN
- interface range fa0/23 - 24
- switchport mode trunk
- switchport trunk allowed vlan 12,13,14,99
- no shutdown
- exit
- ip default-gateway 10.1.99.254
- S1 to R1 Trunk
- configure terminal
- interface fa0/5
- switchport mode trunk
- switchport trunk allowed vlan 12,13,14,99
- no shutdown
- exit
- Fa0/21
- interface fa0/21
- switchport mode access
- switchport access vlan 99
- no shutdown
- Fa0/11
- interface fa0/11
- switchport mode access
- switchport access vlan 12
- no shutdown
- exit
- Fa0/15
- interface fa0/15
- switchport mode access
- switchport access vlan 13
- no shutdown
- exit
單機設定
- S1 網管 IP
- 10.1.99.101
- 255.255.255.0
- 10.1.99.254
- VLAN12-RD1
- 10.1.12.17
- 255.255.255.240
- 10.1.12.30
- VLAN13-Sales1
- 10.1.13.25
- 255.255.255.248
- 10.1.13.30
- Mgmt Server IP
- 10.1.99.100
- 255.255.255.0
- 10.1.99.254
S2
- VLAN12
- vlan 12
- name RD
- Fa0/11
- interface fa0/11
- switchport mode access
- switchport access vlan 12
- no shutdown
- VLAN13
- vlan 13
- name sales
- VLAN14
- vlan 14
- name IT
- VLAN99
- vlan 99
- name MGMT
- exit
- interface vlan 99
- ip address 10.1.99.102 255.255.255.0
- no shutdown
- exit
- ip default-gateway 10.1.99.254
- trunk allowed VLAN
- interface range fa0/23 - 24
- switchport mode trunk
- switchport trunk allowed vlan 12,13,14,99
- no shutdown
- Fa0/15
- interface fa0/15
- switchport mode access
- switchport access vlan 13
- no shutdown
- exit
- Fa0/19
- interface fa0/19
- switchport mode access
- switchport access vlan 14
- no shutdown
- exit
單機設定
- S2 IP
- 10.1.99.102
- 255.255.255.0
- 10.1.99.254
- VLAN12-RD2
- 10.1.12.18
- 255.255.255.240
- 10.1.12.30
- VLAN13-Sales2
- 10.1.13.26
- 255.255.255.248
- 10.1.13.30
- VLAN14-IT
- 10.1.14.65
- 255.255.255.224
- 10.1.14.94
R1
- no ip domain-lookup
- Fa0/0
- interface fa0/0
- no shutdown
- Serial 0/0/0
- interface serial0/0/0
- ip address 192.168.123.1 255.255.255.252
- bandwidth 128
- no shutdown
- exit
- Serial 0/0/1
- interface serial0/0/1
- ip address 192.168.123.5 255.255.255.252
- bandwidth 64
- clock rate 64000
- no shutdown
- exit
- router ospf 1
- no passive-interface serial0/0/1
- network 192.168.123.4 0.0.0.3 area 0
- 子介面
- interface fa0/0.2
- encapsulation dot1Q 12
- ip address 10.1.12.30 255.255.255.240
- interface fa0/0.3
- encapsulation dot1Q 13
- ip address 10.1.13.30 255.255.255.248
- interface fa0/0.4
- encapsulation dot1Q 14
- ip address 10.1.14.94 255.255.255.224
- interface fa0/0.99
- encapsulation dot1Q 99
- ip address 10.1.99.254 255.255.255.0
- no shutdown
- R1 to R3 靜態路由
- ip route 10.3.2.0 255.255.255.0 192.168.123.6
- exit
- R1 to R2 靜態路由備援
- ip route 10.3.2.0 255.255.255.0 192.168.123.2 2
- exit
- OSPF
- Loopback0
- interface loopback0
- 192.168.99.1 255.255.255.255
- router ospf 1
- router-id 192.168.99.1
- passive-interface default
- no passive-interface serial0/0/0
- no passive-interface serial0/0/1
- network 192.168.123.0 0.0.0.3 area 0
- network 192.168.123.4 0.0.0.3 area 0
- network 10.1.12.16 0.0.0.15 area 0
- network 10.1.13.24 0.0.0.7 area 0
- network 192.168.99.1 0.0.0.0 area 0
- R1 把 VLAN99 加入 OSPF Area 0
- router ospf 1
- network 10.1.99.0 0.0.0.255 area 0
- 對接 Internet
- interface serial0/1/1
- ip address 193.16.1.254 255.255.255.252
- no shutdown
- exit
- ip route 0.0.0.0 0.0.0.0 193.16.1.253
R2
- no ip domain-lookup
- R2 to R3
- interface s0/0/1
- ip address 192.168.123.9 255.255.255.252
- bandwidth 128
- clock rate 128000
- no shutdown
- exit
- R2 to R1
- interface serial0/0/0
- ip address 192.168.123.2 255.255.255.252
- bandwidth 128
- no shutdown
- exit
- Fa0/0
- interface fa0/0
- ip address 172.16.100.254 255.255.255.0
- no shutdown
- exit
- R2 支援 VLAN14 ↔ R3-PC2 備援路徑的靜態路由
- ip route 10.3.2.0 255.255.255.0 192.168.123.10
- 滿足VLAN 14 IT 的路由:ip route 10.1.14.64 255.255.255.224 192.168.123.1
- exit
- OSPF
- interface loopback0
- ip address 192.168.99.2 255.255.255.255
- router ospf 2
- router-id 192.168.99.2
- network 192.168.123.2 0.0.0.0 area 0
- network 192.168.123.9 0.0.0.0 area 0
- network 172.16.100.254 0.0.0.0 area 2
- network 192.168.99.2 0.0.0.0 area 2
- passive-interface fa0/0
- 等價路由特別設定
- interface serial0/0/0
- bandwidth 128
- exit
- interface serial0/0/1
- bandwidth 128
- no shutdown
- exit
- router ospf 2
- network 192.168.123.9 0.0.0.0 area 0
- no passive-interface serial0/0/1
單機設定
- R2-Server1
- 172.16.100.101
- 255.255.255.0
- 172.16.100.254
- R2-Server2
- 172.16.100.102
- 255.255.255.0
- 172.16.100.254
- R2-Private
- 172.16.100.103
- 255.255.255.0
- 172.16.100.254
R3
- no ip domain-lookup
- VPN 前置整理:
- 第一階段 R3 暫不參與 R1 ↔ R6 IPSec VPN 測試。
- 目前 R3 只保留到 VLAN14 的靜態路由:
- R3 to R1 靜態路由
- ip route 10.1.14.64 255.255.255.224 192.168.123.5
- R3 to VLAN14 靜態路由備援
- ip route 10.1.14.64 255.255.255.224 192.168.123.9 2
- exit
- Fa0/0
- interface fa0/0
- ip address 10.3.1.254 255.255.255.0
- ip ospf 3 area 0
- no shutdown
- end
- F0/1
- interface fa0/1
- ip address 10.3.2.254 255.255.255.0
- no shutdown
- end
- OSPF
- interface loopback0
- ip address 192.168.99.3 255.255.255.255
- ip ospf 3 area 3
- exit
- router ospf 3
- router-id 192.168.99.3
- R3 Serial 加入 Area 0
- interface serial0/0/0
- ip address 192.168.123.6 255.255.255.252
- bandwidth 64
- no shutdown
- ip ospf 3 area 0
- exit
- interface serial0/0/1
- ip address 192.168.123.10 255.255.255.252
- bandwidth 128
- ip ospf 3 area 0
- no shutdown
- R3 OSPF process
- router ospf 3
- passive-interface fa0/0
- 等價路由特別設定
- interface serial0/0/0
- bandwidth 64
- exit
- interface serial0/0/1
- bandwidth 128
- exit
- end
單機設定
- R3-PC1
- 10.3.1.10
- 255.255.255.0
- 10.3.1.254
- R3-PC2
- 10.3.2.10
- 255.255.255.0
- 10.3.2.254
ACL
- ACL 設定條件
- 把 telnet 改成 SSH 連線。
- 只允許 IT 部門 (也就是 VLAN 14 的網段 10.1.14.64/27) 使用 SSH 遠端連入。
- 到該網路設備做網管,可同時允許 6 條 SSH sessions 連入 R3。
- SSH 條件:
- username user
- password 123
- 網址 ckc.com
- crypto 1024
- ACL 指令
- username user password 123
- ip domain-name ckc.com
- crypto key generate rsa
- 1024
- ip ssh version 2
- access-list 12 permit 10.1.14.64 0.0.0.31
- line vty 0 5
- login local
- transport input ssh
- access-class 12 in
- exit
- line vty 6 15
- transport input none
- exit
- end
R6
- no ip domain-lookup
- hostname R6
- Loopback0
- interface loopback0
- ip address 192.168.99.6 255.255.255.255
- exit
- Internet Router 對面:193.16.6.253/30
- R6 指令集:
- Fa0/1
- interface fastEthernet0/1
- ip address 10.5.0.254 255.255.255.0
- no shutdown
- exit
- Fa0/0
- interface fastEthernet0/0
- ip address 10.6.0.254 255.255.255.0
- no shutdown
- exit
- 對接 Internet Router
- interface serial0/0/0
- ip address 193.16.6.254 255.255.255.252
- no shutdown
- exit
- ip route 0.0.0.0 0.0.0.0 193.16.6.253
單機設定
- R6-PC5:10.5.0.10/24
- IP Address:10.5.0.10
- Subnet Mask:255.255.255.0
- Default Gateway:10.5.0.254
- R6-PC6:10.6.0.10/24
- IP Address:10.6.0.10
- Subnet Mask:255.255.255.0
- Default Gateway:10.6.0.254
Internet
- no ip domain-lookup
- hostname Internet
- 對接 R6
- interface serial0/0/1
- ip address 193.16.6.253 255.255.255.252
- clock rate 64000
- no shutdown
- exit
- Internet_WWW
- interface fastEthernet0/0
- ip address 200.200.200.254 255.255.255.0
- no shutdown
- exit
- Internet_User
- interface fastEthernet0/1
- ip address 201.201.201.254 255.255.255.0
- no shutdown
- exit
- 對接 R1
- interface serial0/0/0
- ip address 193.16.1.253 255.255.255.252
- clock rate 64000
- no shutdown
- exit
單機設定
- Internet WWW
- IP Address:200.200.200.200
- Subnet Mask:255.255.255.0
- Default Gateway:200.200.200.254
- Internet User
- IP Address:201.201.201.201
- Subnet Mask:255.255.255.0
- Default Gateway:201.201.201.254
更新版整理
更新版整理:NAT / PAT / VPN / ACL 最終完成紀錄
本段紀錄 2026-0608 Lab 後半段完成內容,包含 NAT、PAT、Dynamic NAT、Static NAT、IPSec VPN 與 Exted ACL 100。
一、最終完成狀態總表
| 項目 | 完成狀態 | 驗證重點 |
|---|---|---|
| VLAN12 PAT | 完成 | VLAN12-RD1 可以 ping / http Internet WWW |
| VLAN13 Dynamic NAT | 完成 | VLAN13-Sales2 可以 ping / http Internet WWW,並產生 NAT translation |
| R2-DMZ Static NAT | 完成 | 172.16.100.102 對應 171.69.233.209 |
| R6-PC5 PAT | 完成 | R6-PC5 可以 ping / http Internet WWW |
| Internet Router 回程路由 | 完成 | 171.69.233.208/28 指回 R1 外部 IP 193.16.1.254 |
| R1 ↔ R6 IPSec VPN Phase 1 | 完成 | show crypto isakmp sa 顯示 QM_IDLE / ACTIVE |
| R1 ↔ R6 IPSec VPN Phase 2 | 完成 | show crypto ipsec sa 顯示 encaps / decaps 數字增加 |
| R2 Exted ACL 100 | 完成 | Permit / Deny 規則皆有 match |
二、R1 補充設定
R1-1 Default Route
輸入指令:
conf t ip route 0.0.0.0 0.0.0.0 193.16.1.253
說明:
- R1 是企業內部對外連接 Internet 的邊界路由器。
- R1 必須先有靜態 Default Route,後續才能透過 OSPF 將預設路由宣告給 R2 / R3。
驗證指令:
show ip route show ip route 0.0.0.0
系統回應 / 驗證結果應看到:
S* 0.0.0.0/0 [1/0] via 193.16.1.253
R1-2 OSPF 宣告 Default Route
輸入指令:
conf t router ospf 1 default-information originate
說明:
- R1 將自己的 Default Route 透過 OSPF 宣告給內部路由器。
- R2 / R3 應該學到 O*E2 0.0.0.0/0。
驗證指令:
show ip route
在 R2 / R3 的系統回應 / 驗證結果應看到:
O*E2 0.0.0.0/0
R1-3 NAT Inside / Outside 介面設定
輸入指令:
conf t interface fa0/0.2 ip nat inside interface fa0/0.3 ip nat inside interface serial0/0/0 ip nat inside interface serial0/0/1 ip nat inside interface serial0/1/1 ip nat outside
說明:
- VLAN12、VLAN13、R2 / R3 方向屬於 NAT inside。
- R1 對 Internet 的 Serial0/1/1 屬於 NAT outside。
驗證指令:
show running-config interface fa0/0.2 show running-config interface fa0/0.3 show running-config interface serial0/0/0 show running-config interface serial0/0/1 show running-config interface serial0/1/1
系統回應 / 驗證結果應看到:
ip nat inside ip nat outside
R1-4 VLAN12 PAT 設定
輸入指令:
conf t access-list 12 permit 10.1.12.16 0.0.0.15 ip nat inside source list 12 interface serial0/1/1 overload
說明:
- VLAN12 網段為 10.1.12.16/28。
- VLAN12 使用 R1 Serial0/1/1 的公有 IP 做 PAT overload。
驗證指令:
show ip nat translations show access-lists 12
測試來源:
VLAN12-RD1> ping 200.200.200.200 VLAN12-RD1> 使用 Web Browser 開啟 http://200.200.200.200
系統回應 / 驗證結果:
VLAN12-RD1 ping Internet WWW:OK VLAN12-RD1 http Internet WWW:OK R1 show ip nat translations 可看到 PAT 轉址紀錄
R1-5 VLAN13 Dynamic NAT 設定
輸入指令:
conf t access-list 13 permit 10.1.13.24 0.0.0.7 ip nat pool VLAN13_POOL 171.69.233.210 171.69.233.222 netmask 255.255.255.240 ip nat inside source list 13 pool VLAN13_POOL
說明:
- VLAN13 網段為 10.1.13.24/29。
- Dynamic NAT 公有 IP 池為 171.69.233.210 到 171.69.233.222。
- 171.69.233.209 保留給 R2-DMZ Static NAT 使用。
驗證指令:
show ip nat translations show ip nat statistics show access-lists 13
測試來源:
VLAN13-Sales2> ping 200.200.200.200 VLAN13-Sales2> 使用 Web Browser 開啟 http://200.200.200.200
系統回應 / 驗證結果:
VLAN13-Sales2 ping Internet WWW:OK VLAN13-Sales2 http Internet WWW:OK R1 show ip nat translations 可看到 10.1.13.26 轉成 171.69.233.210
R1-6 R2-DMZ Static NAT 設定
輸入指令:
conf t ip nat inside source static 172.16.100.102 171.69.233.209
說明:
- R2-DMZ 私有 IP:172.16.100.102。
- 對外公有 IP:171.69.233.209。
- Static NAT 不需要先通過流量,設定完成後 NAT table 內就會看到固定轉址紀錄。
驗證指令:
show ip nat translations
系統回應 / 驗證結果應看到:
Pro Inside global Inside local Outside local Outside global --- 171.69.233.209 172.16.100.102 --- ---
R1-7 IPSec VPN 設定
說明:
- R1 與 R6 外部介面建立 IPSec Tunnel。
- R1 外部 IP:193.16.1.254。
- R6 外部 IP:193.16.6.254。
- R3-PC1 網段:10.3.1.0/24。
- R6-PC6 網段:10.6.0.0/24。
- PSK:SeCrEt。
- Phase 1:3DES / SHA / Group 2。
- Phase 2:ESP / AES / MD5。
輸入指令:
conf t crypto isakmp policy 10 encr 3des hash sha authentication pre-share group 2 lifetime 86400 exit crypto isakmp key SeCrEt address 193.16.6.254 crypto ipsec transform-set ts16 esp-aes esp-md5-hmac access-list 110 permit ip 10.3.1.0 0.0.0.255 10.6.0.0 0.0.0.255 crypto map map16 10 ipsec-isakmp set peer 193.16.6.254 set transform-set ts16 match address 110 exit interface serial0/1/1 crypto map map16
驗證指令:
show crypto isakmp sa show crypto ipsec sa show access-lists 110
系統回應 / 驗證結果應看到:
show crypto isakmp sa: QM_IDLE / ACTIVE show crypto ipsec sa: #pkts encaps 有數字 #pkts decaps 有數字
三、R2 補充設定
R2-1 Exted ACL 100 設定
說明:
- ACL 套用路由器:R2。
- ACL 套用介面:Fa0/0。
- ACL 套用方向:out。
- 控制目標一:R2-Private,172.16.100.101。
- 控制目標二:R2-DMZ,172.16.100.102。
輸入指令:
conf t no access-list 100 access-list 100 permit tcp 10.1.12.16 0.0.0.15 172.16.100.101 0.0.0.0 eq 20 access-list 100 permit tcp 10.1.12.16 0.0.0.15 172.16.100.101 0.0.0.0 eq 21 access-list 100 deny ip 10.1.12.16 0.0.0.15 172.16.100.101 0.0.0.0 access-list 100 deny ip 10.0.0.0 0.255.255.255 172.16.100.101 0.0.0.0 access-list 100 permit tcp any 172.16.100.102 0.0.0.0 eq 80 access-list 100 permit icmp any 172.16.100.102 0.0.0.0 access-list 100 deny ip any 172.16.100.102 0.0.0.0 interface fa0/0 ip access-group 100 out
驗證指令:
show access-lists 100 show running-config interface fa0/0
系統回應 / 驗證結果應看到:
interface FastEthernet0/0 ip access-group 100 out
R2-2 ACL 100 測試前清除計數器
輸入指令:
clear access-list counters 100
系統回應:
沒有錯誤訊息即代表完成。
R2-3 ACL 100 測試項目
| 測試來源 | 目的地 | 測試服務 | 預期結果 | 實測結果 |
|---|---|---|---|---|
| VLAN12-RD1 | 172.16.100.101 | FTP | OK | OK,成功登入 FTP |
| VLAN12-RD1 | 172.16.100.101 | ping | Not OK | Not OK,Destination host unreachable |
| R3-PC | 172.16.100.101 | ping | Not OK | Not OK,Destination host unreachable |
| R3-PC | 172.16.100.102 | ping | OK | OK,4/4 replies |
| R3-PC | 172.16.100.102 | HTTP | OK | OK,網頁成功開啟 |
| R3-PC | 172.16.100.102 | FTP | Not OK | Not OK,Timed out |
R2-4 ACL 100 Match 驗證
輸入指令:
show access-lists 100
系統回應 / 驗證結果:
Exted IP access list 100 permit tcp 10.1.12.16 0.0.0.15 host 172.16.100.101 eq 20 permit tcp 10.1.12.16 0.0.0.15 host 172.16.100.101 eq ftp (11 match(es)) deny ip 10.1.12.16 0.0.0.15 host 172.16.100.101 (4 match(es)) deny ip 10.0.0.0 0.255.255.255 host 172.16.100.101 (101 match(es)) permit tcp any host 172.16.100.102 eq www (5 match(es)) permit icmp any host 172.16.100.102 (4 match(es)) deny ip any host 172.16.100.102 (12 match(es))
判定:
ACL Permit 測試:完成 ACL Deny 測試:完成 R2 Fa0/0 outbound ACL 100:完成
四、R3 補充紀錄
R3-1 本階段角色
說明:
- R3 本階段主要作為 ACL 測試來源與 VPN 遠端內網目的端。
- R3-PC1:10.3.1.10。
- R3-PC:10.3.2.10。
- R3 本身在 NAT / ACL / VPN 最終階段沒有新增主要設定,重點是確認路由與 OSPF 正常。
R3-2 驗證指令
輸入指令:
show ip route show ip route 0.0.0.0 show ip ospf neighbor
系統回應 / 驗證結果應看到:
R3 有正常路由。 R3 可作為 ACL 測試來源。 R3-PC1 10.3.1.10 可作為 VPN 遠端目的端。
R3-3 R3-PC 測試紀錄
輸入指令:
R3-PC> ping 172.16.100.101 R3-PC> ping 172.16.100.102 R3-PC> ftp 172.16.100.102
系統回應 / 驗證結果:
R3-PC ping 172.16.100.101:Not OK R3-PC ping 172.16.100.102:OK R3-PC http 172.16.100.102:OK R3-PC ftp 172.16.100.102:Not OK
五、R6 補充設定
R6-1 Default Route
輸入指令:
conf t ip route 0.0.0.0 0.0.0.0 193.16.6.253
驗證指令:
show ip route show ip route 0.0.0.0
系統回應 / 驗證結果應看到:
S* 0.0.0.0/0 [1/0] via 193.16.6.253
R6-2 PAT 設定
說明:
- R6-PC5 網段:10.5.0.0/24。
- R6-PC5 Gateway:10.5.0.254。
- R6 PAT outside:Serial0/0/0。
- PAT 公網位址:193.16.6.254。
輸入指令:
conf t access-list 5 permit 10.5.0.0 0.0.0.255 interface fastEthernet0/1 ip nat inside interface serial0/0/0 ip nat outside ip nat inside source list 5 interface serial0/0/0 overload
驗證指令:
show ip nat translations show access-lists 5
測試來源:
R6-PC5> ping 200.200.200.200 R6-PC5> 使用 Web Browser 開啟 http://200.200.200.200
系統回應 / 驗證結果:
R6-PC5 ping Internet WWW:OK R6-PC5 http Internet WWW:OK R6 show ip nat translations 可看到 PAT 轉址紀錄
R6-3 IPSec VPN 設定
說明:
- R6-PC6:10.6.0.10。
- R3-PC1:10.3.1.10。
- R6 外部 IP:193.16.6.254。
- R1 外部 IP:193.16.1.254。
- PSK:SeCrEt。
- Phase 1:3DES / SHA / Group 2。
- Phase 2:ESP / AES / MD5。
輸入指令:
conf t crypto isakmp policy 10 encr 3des hash sha authentication pre-share group 2 lifetime 86400 exit crypto isakmp key SeCrEt address 193.16.1.254 crypto ipsec transform-set ts61 esp-aes esp-md5-hmac access-list 110 permit ip 10.6.0.0 0.0.0.255 10.3.1.0 0.0.0.255 crypto map map61 10 ipsec-isakmp set peer 193.16.1.254 set transform-set ts61 match address 110 exit interface serial0/0/0 crypto map map61
R6-4 VPN 查修時重掛 Crypto Map
說明:
- 若 ACL 110 有 match,但是 show crypto ipsec sa 的 encaps / decaps 仍為 0,可重新套用 crypto map。
- 本次查修時曾使用此方式讓 Packet Tracer 重新吃到設定。
輸入指令:
conf t interface serial0/0/0 no crypto map map61 crypto map map61
系統回應:
沒有錯誤訊息即代表重新套用完成。
R6-5 VPN 驗證指令
輸入指令:
show crypto isakmp sa show crypto ipsec sa show access-lists 110
系統回應 / 驗證結果:
show crypto isakmp sa: IPv4 Crypto ISAKMP SA dst src state conn-id slot status 193.16.1.254 193.16.6.254 QM_IDLE 1024 0 ACTIVE
系統回應 / 驗證結果:
show crypto ipsec sa: #pkts encaps: 7 #pkts encrypt: 7 #pkts decaps: 6 #pkts decrypt: 6 inbound esp sas: Status: ACTIVE outbound esp sas: Status: ACTIVE
系統回應 / 驗證結果:
show access-lists 110: permit ip 10.6.0.0 0.0.0.255 10.3.1.0 0.0.0.255 (7 match(es))
R6-6 VPN 端點測試
輸入指令:
R6-PC6> ping 10.3.1.10
系統回應 / 驗證結果:
Reply from 10.3.1.10 Sent = 4, Received = 4, Lost = 0
判定:
IPSec VPN Phase 1:完成 IPSec VPN Phase 2:完成 R6-PC6 到 R3-PC1 通訊:完成
六、Internet Router 補充設定
Internet-1 公有 IP 池回程路由
說明:
- Dynamic NAT 與 Static NAT 使用的公有 IP 範圍:
* 171.69.233.209 ~ 171.69.233.222
- 歸納網段:
* 171.69.233.208/28
- 回程下一跳:
* R1 外部 IP:193.16.1.254
輸入指令:
conf t ip route 171.69.233.208 255.255.255.240 193.16.1.254
驗證指令:
show ip route show running-config | include 171.69.233.208
系統回應 / 驗證結果應看到:
S 171.69.233.208/28 [1/0] via 193.16.1.254
Internet-2 Internet Router 注意事項
說明:
Internet Router 不應設定指向企業內部私有 IP 的 static route。 Internet Router 不應出現指向 10.0.0.0/8 的 static route。 Internet Router 不應出現指向 172.16.100.0/24 的 static route。 Internet Router 不應出現指向 192.168.123.0/30 的 static route。 Internet Router 只需要知道如何回到 NAT 公有 IP 池 171.69.233.208/28。
七、終端設備測試紀錄
VLAN12-RD1 測試
輸入指令:
ping 200.200.200.200 ftp 172.16.100.101 ping 172.16.100.101
系統回應 / 驗證結果:
ping 200.200.200.200:OK ftp 172.16.100.101:OK ping 172.16.100.101:Not OK
R3-PC 測試
輸入指令:
ping 172.16.100.101 ping 172.16.100.102 ftp 172.16.100.102
系統回應 / 驗證結果:
ping 172.16.100.101:Not OK ping 172.16.100.102:OK http 172.16.100.102:OK ftp 172.16.100.102:Not OK
R6-PC6 VPN 測試
輸入指令:
ping 10.3.1.10
系統回應 / 驗證結果:
ping 10.3.1.10:OK Sent = 4, Received = 4, Lost = 0
八、最終結論
| 大項 | 結果 |
|---|---|
| NAT / PAT | 完成 |
| Dynamic NAT | 完成 |
| Static NAT | 完成 |
| IPSec VPN | 完成 |
| Exted ACL 100 | 完成 |
| Permit 測試 | 完成 |
| Deny 測試 | 完成 |
2026-0608 ACL / NAT / PAT / VPN Lab 已完成。
