1、配置好各个网络设备的地址，保证全通。在R1上配置默认路由到R0。

2、在R0上做扩展ACL：

（1）外网只能访问服务器区域的192.168.0.1:80端口，其他拒绝。
（2）办公网只能访问外网的80端口，其他拒绝。
（3）办公网只能访问服务器区域的192.168.0.1:80，
另外运维PC允许访问服务器区域的所有主机22端口，
允许访问路由器R0的443端口，其他拒绝。

添加一个外网服务器并互通网络做验证：

（1）外网只能访问服务器区域的192.168.0.1:80端口，其他拒绝。

R0：

2R0(config)#access-list 101 permit tcp any host 192.168.0.1 eq 80
2R0(config)#access-list 101 deny ip any 192.168.0.0 0.0.255.255
2R0(config)#access-list 101 permit ip any host 172.0.0.1
2R0(config)#interface serial 0/1/0
2R0(config-if)#ip access-group 101 in

验证

（2）办公网只能访问外网的80端口，其他拒绝。

R0：

2R0(config)#access-list 102 permit tcp host 172.0.0.1 any eq 80
2R0(config)#access-list 102 deny ip host 172.0.0.1 any
2R0(config)#access-list 102 permit ip host 192.168.0.1 any
2R0(config)#interface serial 0/1/0
2R0(config-if)#ip access-group 101 out

验证

（3）办公网只能访问服务器区域的192.168.0.1:80，另外运维PC允许访问服务器区域的所有主机22端口，允许访问路由器R0的443端口，其他拒绝。

access-list 103 permit tcp host 172.0.0.100 host 192.168.0.1 eq 22
access-list 103 permit tcp host 172.0.0.100 host 192.168.0.2 eq 22
access-list 103 permit tcp host 172.0.0.100 host 192.168.0.3 eq 22
access-list 103 permit tcp host 172.0.0.100 host 172.0.0.254 eq 443
access-list 103 permit tcp host 172.0.0.1 host 192.168.0.1 eq 80
access-list 103 deny tcp host 172.0.0.1 host 192.168.0.2 eq 80
access-list 103 deny tcp host 172.0.0.1 host 192.168.0.3 eq 80
access-list 103 permit tcp host 172.0.0.1 any eq 80
access-list 103 deny ip host 172.0.0.1 192.168.0.0 0.0.255.255
access-list 103 deny tcp any host 192.168.0.1 eq 22
access-list 103 deny tcp any host 192.168.0.2 eq 22
access-list 103 deny tcp any host 192.168.0.3 eq 22
access-list 103 deny tcp any host 172.0.0.254 eq 443
2R0(config)#interface gigabitEthernet 0/0/0
2R0(config-if)#ip access-group 103 in
2R0(config-if)#exit

验证
内网1：

内网3：

外网：