实验7：防火墙配置与NAT配置最新完整版(共9页).doc

精选优质文档-倾情为你奉上大连理工大学本科实验报告课程名称： 网络综合实验 学院（系）： 软件学院 专 业： 软件工程 2012年 3月 30日 大连理工大学实验报告 实验七：防火墙配置与NAT配置一、实验目的学习在路由器上配置包过滤防火墙和网络地址转换（NAT）二、实验原理和内容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墙的基本原理及配置4、NAT的基本原理及配置三、实验环境以及设备2台路由器、1台交换机、4台Pc机、双绞线若干四、实验步骤（操作方法及思考题）警告：路由器高速同异步串口（即S口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏。1、 请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。2、 在确保路由器电源关闭情况下，按图1联线组建实验环境。配置IP地址，以及配置PC A 和B的缺省网关为 202.0.0.1，PC C 的缺省网关为 202.0.1.1，PC D 的缺省网关为 202.0.2.1。图 1 3、 在两台路由器上都启动RIP，目标是使所有PC机之间能够ping通。请将为达到此目标而在两台路由器上执行的启动RIP的命令写到实验报告中。（5分）AR18-12 Routerinterface ethernet0 Router -Ethernet0ip address 202.0.0.1 255.255.255.0Router -Ethernet0interface serial0Router - Serial0ip address 192.0.0.1 255.255.255.0Router - Serial0quitRouterripRouter -ripnetwork allAR28-11Quidwayinterface e0/0Quidway-Ethernet0/0ip address 202.0.1.1 255.255.255.0Quidway-Ethernet0/0interface ethernet0/1Quidway-Ethernet0/1ip address 202.0.2.1 255.255.255.0Quidway-Ethernet0/1interface serial/0Quidway-Serial0/0ip address 192.0.0.2 255.255.255.0Quidway-Serial0/0quitQuidwayripQuidway-ripnetwork 0.0.0.0Ping结果如下：全都ping通4、 在AR18和/或AR28上完成防火墙配置，使满足下述要求：（1） 只有PC机A和B、A和C、B和D之间能通信，其他PC机彼此之间都不能通信。（注：对于不能通信，要求只要能禁止其中一个方向就可以了。）（2） 防火墙的ACL列表只能作用于两台路由器的以太网接口上，即AR18的E0、AR28的E0和E1，不允许在两台路由器的S0口上关联ACL。请将你所执行的配置命令写到实验报告中。（注：配置方法并不唯一，写出其中任何一种即可）（15分）RTBfirewall enableRTBfirewall default permitRTBacl number 3001 match-order auto禁止C和D通信RTB-acl-adv-3001rule deny ip source 202.0.1.2 0 destination 202.0.2.2 0禁止C和B通信RTB-acl-adv-3001rule deny ip source 202.0.1.2 0 destination 202.0.0.3 0 RTB-acl-adv-3001int e0/0 讲规则3001作用于接口0/0进入的包RTB-Ethernet0/0firewall packet-filter 3001 inboundRTB-Ethernet0/0quitRTBacl number 3002 match-order auto禁止D和A通信RTB-acl-adv-3002rule deny ip source 202.0.2.2 0 destination 202.0.0.2 0RTB-acl-adv-3002int e 0/1将规则3002作用于接口0/1进入的包RTB-Ethernet0/1firewall packet-filter 3002 inboundRTB-Ethernet0/1quitPing结果如下：主机D与B(202.0.0.3) ping通，与C(202.0.1.2) A(202.0.0.2) ping不通 5、 请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免前面实验留下的配置对下面的NAT配置实验产生影响。6、 请将图1中IP地址的配置改为图2，即我们将用IP 网段192.168.1.0/24作为一个私网，AR18作为连接私网与公网的NAT路由器，AR28作为公网上的一个路由器。具体的，请按下述步骤完成NAT配置实验：（1） 配置AR18-12为NAT路由器，它将私有IP 网段192.168.1.0/24中的IP地址转换为接口S0的公网IP 地址192.0.0.1。请将所执行的配置命令写到实验报告中。（10分）RTAacl number 2000 match-order autoRTA-acl-2000rule permit source 192.168.1.0 0.0.0.255RTA-acl-2000rule deny source anyRTA-acl-2000interface serial 5/0RTAnat address-group 1 192.0.0.1 192.0.0.1RTAinterface serial5/0RTA-Serial5/0nat outbound 2000 address-group 1（2） 我们在每一台PC上都安装了Web服务器IIS，它运行在TCP端口80。请把PC A的Web服务映射到公网IP地址192.0.0.1和公网端口80，把PC B的Web服务映射到公网IP地址192.0.0.1和公网端口8080，并把所执行的配置命令写到实验报告中。（10分）RTA-Serial5/0nat server protocol tcp global 192.0.0.1 80 inside 192.168.1.2 80RTA-Serial5/0nat server protocol tcp global 192.0.0.1 8080 inside 192.168.1.380（3） 我们在每一台PC上都允许了远程桌面服务，该服务使用TCP端口3389。请把PC B远程桌面服务映射到公网IP地址192.0.0.1和公网端口3389，并把所执行的配置命令写到实验报告中。（10分） RTA-Serial5/0nat server protocol tcp global 192.0.0.1 3389 inside 192.168.1.33389RTA-Serial5/0shutdownRTA-Serial5/0undo shutdown请在AR18上配置一条缺省静态路由，用于指定AR18的缺省网关为192.0.0.2。RTAip route-static 0.0.0.0 0 192.0.0.2注：路由相关配置只需上述一条命令即可，并不需要在AR18和AR28上启动RIP。不在AR18上启动RIP的原因是私网IP的路由信息不应该被广播到公网上；不在AR28上启动RIP的原因是在本实验中公网环境中只用一台AR28路由器来模拟。图2 在上述步骤完成后，NAT应该能够正常运转，下述现象应被观察到：（1） 在PC A上执行：ping 202.0.2.2，结果为“通”。请将“通”的原因写到实验报告中。（10分） 因为202.0.2.2是公网IP，作为NAT路由器的RTA允许私网192.168.1.0/24网段内的机器通过地址转换后访问公网，故PC A能ping通 202.0.2.2。（2） 在PC D上执行：ping 192.168.1.2，结果为“不通”。请将“不通”的原因写到实验报告中。（10分）192.168.1.2是内网私有ip，路由器AR28-11内没有对应的路由表表项，故PC D不能ping通192.168.1.2（3） 在PC C上启动IE浏览“http:/192.0.0.1”，可以下载PC A Web服务器上的网页，该网页大致内容为“网站正在建设中”。请将可以访问的原因写到实验报告中。（10分）因为PC A的Web服务已被映射到公网ip地址192.0.0.1和公网端口80，PC C在IE访问http:/192.0.0.1时，该地址和端口被NAT路由器转换为PC A的私网ip地址和端口，故可以访问到PC AWeb服务器上的网页（4） 在PC C上启动IE浏览“http:/192.168.1.2”，不可以下载PC A Web服务器上的网页。请将不能访问的原因写到实验报告中。（10分）因为192.168.1.2是PC A的私网ip地址，在路由器AR28-11上无对应路由表项，故不可访问（5） 在PC B和C上都启动Ethereal，捕获所有TCP的包。然后在PC C上启动IE浏览“http:/192.0.0.1:8080”，将发现可以下载PC B Web服务器上的网页，该网页大致内容为“网站正在建设中”。请将用Ethereal观察到的TCP包的源和目的IP地址、源和目的端口号在私网和公网上的变化情况写到实验报告中，并据此解释NAT在上述HTTP访问过程中做了怎样的地址转换。（10分）PC B上的抓包情况： 私网中的PC B上接收包的源ip地址为PC C的ip地址，源端口号为1052，目的ip地址为PC B的私网ip地址，目的端口为80；发送包的源ip地址为PC B的私网ip地址，源端口号为80，目的ip地址为PC C的ip地址，目的端口号为1052。NAT的作用：接受包来自公网，查找地址转换表，将它们转换为私网对应的地址和端口，并将包转发到对应PC上；接受包来自私网，查找地址转换表，将其转换为对应的公网地址和端口号，并将包转发到公网中。（6） 在PC D上使用“程序à附件à通讯à远程桌面连接”登录PC B，在登录对话框中请输入IP地址“192.0.0.1”。在提示用户名和密码时，请分别输入“administrator”和“admin，则可以登录PC B。仅验证此现象即可，不要求写实验报告。做本实验时请注意：（1） 关闭PC机上的防火墙。（2） 同异步串口配置完成后，一定要执行“shutdown”和“undo shutdown”命令，从而使之生效。五、讨论、建议、质疑专心-专注-专业