計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)八DHCP_NAT_ACL的實(shí)現(xiàn)

1、實(shí)驗(yàn)八 DHCP+NAT+ACL(case study) 【實(shí)驗(yàn)?zāi)康摹?一、了解 DHCP 原理，掌握在路由器上配置 DHCP 服務(wù)器的方法 二、了解 IP Helper Address 原理和配置方法 三、掌握 NAT 原理，掌握靜態(tài)和動(dòng)態(tài) NAT、PAT 的配置方法 四、理解和掌握 ACL 的作用；學(xué)會(huì)配置各種 ACL 五、參與網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)現(xiàn) 【實(shí)驗(yàn)拓?fù)浼捌鞑摹?本實(shí)驗(yàn)需用到路由器 3 臺(tái)，交換機(jī) 1 臺(tái)，串行線、直通線、交叉線、console 線若干， 主機(jī) 7 臺(tái)。實(shí)驗(yàn)拓?fù)淙缦拢?場景描述： 上圖為某小型公司的網(wǎng)絡(luò)。 1. 拓?fù)涿枋觯?1）3 個(gè) VLAN，其中 VLAN2（PC1

2、所在 VLAN）為一般員工使用，VLAN4（PC2 所在 VLAN）為來訪客戶使用，VLAN3（Server1 所在 VLAN）有公司的 http 和 ftp 服務(wù)器。 2）LAN5（即 PC3 所在的 LAN），為網(wǎng)絡(luò)管理員使用。 3）公司網(wǎng)絡(luò)通過邊界路由器 R3 連接到 ISP（用主機(jī)模擬）。 2. IP 地址： 1）在公司的網(wǎng)絡(luò)內(nèi)部，使用私有地址，地址范圍為 /24 網(wǎng)段。VLAN3 的服 務(wù)器的 IP 地址為手動(dòng)配置的固定地址；VLAN2、VLAN4、LAN5 的主機(jī)的 IP 地址由 DHCP - 92 - 自動(dòng)獲取，路由器 R2 上配置了 DHCP 服務(wù)，而路由

3、器 R1 上配置了 IP Helper Address。 2）當(dāng)公司內(nèi)部需要和外部通信時(shí)，通過邊界路由器 R3 進(jìn)行 NAT 轉(zhuǎn)換，可用的內(nèi)部全 局地址為 28/26 網(wǎng)段。其中 VLAN3 的服務(wù)器使用的是靜態(tài) NAT 轉(zhuǎn)換，以使外 部網(wǎng)絡(luò)能對服務(wù)器進(jìn)行訪問；而 VLAN2、VLAN4、LAN5 的主機(jī)使用的是 PAT，以節(jié)省內(nèi) 部全局地址。 3. 公司內(nèi)部的路由器上配有 ACL，使得： 1）VLAN2 能訪問 VLAN3、VLAN4、LAN5 以及 Internet，但不能被 VLAN4、Internet 的用戶訪問。 2）VLAN3 能被 VLAN2、LAN5 的

4、用戶訪問，而被 VLAN4、Internet 的用戶只能通過 http 和 ftp 訪問 3）路由器的虛擬終端只允許 LAN5 用戶的登錄。 【實(shí)驗(yàn)重難點(diǎn)】 一、DHCP & IP Helper Address 1. DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議） 網(wǎng)絡(luò)管理員可以利用 DHCP 服務(wù)器從事先定義好的地址池里為客戶機(jī)動(dòng)態(tài)分配 IP 配置 以及 DNS 服務(wù)器、域名等參數(shù)。 DHCP 對客戶端的配置過程主要包括以下四個(gè)步驟： 1）客戶端需要 IP 配置的時(shí)候，向所有節(jié)點(diǎn)發(fā)送 DHCPDISCOVER 廣播尋找 DHCP 服 務(wù)器； 2）服務(wù)器用單播方式向客戶端發(fā)送 DHCPOFFER 響應(yīng)，提供 I

5、P 建議配置信息； 3）客戶端如果覺得該建議配置可以接受，就向所有節(jié)點(diǎn)發(fā) DHCPREQUEST 廣播； 4）服務(wù)器向客戶端單點(diǎn)傳送一個(gè) DHCPACK 以確認(rèn)該配置的正式化。 2. IP Helper Address 網(wǎng)絡(luò)中有多種類似 DHCP 這樣需要通過廣播尋找服務(wù)器的服務(wù)。而在大型的網(wǎng)絡(luò)中， 往往不是所有客戶都與這些主要服務(wù)器處于同一子網(wǎng)中。缺省情況下路由器不會(huì)將客戶的廣 播轉(zhuǎn)發(fā)到他們的子網(wǎng)之外，因此這些定位服務(wù)器的廣播包將無法到達(dá)服務(wù)器。 為了既能讓客戶能定位服務(wù)器而又避免在每一個(gè)子網(wǎng)上放置服務(wù)器，Cisco IOS 提供了 幫助地址特性。IP helper-address 命令可以

6、讓路由器中繼這些主要 UDP 服務(wù)的廣播請求，并 把它們轉(zhuǎn)發(fā)到特定的服務(wù)器上，從而服務(wù)器能基于請求作出響應(yīng)，給請求客戶以它們所需要 的信息。 在 DHCP 包中有一個(gè) GIADDR 字段，若需跨網(wǎng)域進(jìn)行自動(dòng)地址分配，則此字段為中繼 代理的地址，否則為 0。DHCP 服務(wù)器可以從代理的地址識(shí)別該請求主機(jī)對應(yīng)的網(wǎng)段，從而 能正確地分配地址。 二、NAT 1. 私有地址和地址轉(zhuǎn)換 IANA 保留了下列三塊 IP 地址空間作為私有地址： 55(一個(gè)單獨(dú) A 類網(wǎng)絡(luò)號(hào)碼) 55(16 個(gè)相鄰的 B 類網(wǎng)絡(luò)號(hào)) 192.1

7、68.0.055(256 個(gè)相鄰的 C 類網(wǎng)絡(luò)號(hào)) - 93 - 任何組織可以不經(jīng) IANA 或因特網(wǎng)登記處的允許就可以使用私有地址。取得私有 IP 地 址的主機(jī)能和組織內(nèi)部任何其他主機(jī)連接，但是如果不經(jīng)過一個(gè)代理網(wǎng)關(guān)就不能和組織外的 主機(jī)連接。 地址轉(zhuǎn)換，即 NAT 功能，就是指在一個(gè)組織網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以使用私有的 IP 地 址 (不需要經(jīng)過申請)，在組織內(nèi)部，各計(jì)算機(jī)間通過私有 IP 地址進(jìn)行通訊，而當(dāng)組織內(nèi)部的 計(jì)算機(jī)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，具有 NAT 功能的設(shè)備負(fù)責(zé)將其私有 IP 地址轉(zhuǎn)換為公有 IP 地址，即用該組織申請的合法 IP 地址進(jìn)行通信。

8、2NAT 幾個(gè)主要術(shù)語 1）內(nèi)部局部地址（Inside Local）：在內(nèi)部網(wǎng)絡(luò)中分配給主機(jī)的私有 IP 地址。 2）內(nèi)部全局地址（Inside Global）：一個(gè)合法的 IP 地址，它對外代表一個(gè)或多個(gè)內(nèi)部局 部 IP 地址。 3）外部全局地址（Outside Global）：由其所有者給外部網(wǎng)絡(luò)上的主機(jī)分配的 IP 地址。 4）外部局部地址（Outside Local）：外部主機(jī)在內(nèi)部網(wǎng)絡(luò)中表現(xiàn)出來的 IP 地址。 3NAT 的類型 靜態(tài)地址轉(zhuǎn)換將內(nèi)部局部地址與內(nèi)部全局地址進(jìn)行一對一的轉(zhuǎn)換，內(nèi)部局部地址被永久 映射成某個(gè)固定的全局地址。如果內(nèi)部網(wǎng)絡(luò)有 E-mail 服務(wù)器或 FTP 服務(wù)

9、器等可以為外部用 戶共用的服務(wù)，這些服務(wù)器的 IP 地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些 服務(wù)。 動(dòng)態(tài)地址轉(zhuǎn)換也是將內(nèi)部局部地址與內(nèi)部全局地址一對一的轉(zhuǎn)換，它從內(nèi)部全局地址池 中動(dòng)態(tài)地選擇一個(gè)未使用的地址對內(nèi)部局部地址進(jìn)行轉(zhuǎn)換，即采用動(dòng)態(tài)分配的方法映射內(nèi)部 局部地址和內(nèi)部全局地址。 端口地址轉(zhuǎn)換(PAT)是一種動(dòng)態(tài)地址轉(zhuǎn)換，它允許多個(gè)內(nèi)部局部地址地址映射到同一個(gè) 全局地址。NAT 設(shè)備通過映射 TCP 或 UDP 端口號(hào)來跟蹤記錄不同的會(huì)話。 4NAT 的工作原理 當(dāng)內(nèi)部網(wǎng)絡(luò)中的一臺(tái)主機(jī)想傳輸數(shù)據(jù)到外部網(wǎng)絡(luò)時(shí)，在它傳輸?shù)酵獠烤W(wǎng)絡(luò)之前要經(jīng)過 NAT 路由器。該路由器檢查數(shù)據(jù)包的報(bào)頭

10、，獲取該數(shù)據(jù)包的源 IP 信息，并檢查是否滿足地 址轉(zhuǎn)換條件。如果不滿足，則直接對數(shù)據(jù)包按常規(guī)進(jìn)行路由處理。如果滿足動(dòng)態(tài)地址轉(zhuǎn)換條 件，則從該路由器的內(nèi)部全局地址表中分配一個(gè)內(nèi)部全局地址給該內(nèi)部局部地址，并形成內(nèi) 部局部地址和內(nèi)部全局地址的映射表。靜態(tài)地址轉(zhuǎn)換的映射表則是固定生成的。NAT 路由 器把該數(shù)據(jù)包的源地址，用它的內(nèi)部全局地址代替，把此數(shù)據(jù)包傳輸?shù)酵獠烤W(wǎng)絡(luò)中。 當(dāng)外部網(wǎng)絡(luò)對內(nèi)部主機(jī)進(jìn)行應(yīng)答時(shí)，應(yīng)答數(shù)據(jù)包穿越外部網(wǎng)絡(luò)到達(dá)發(fā)送端的 NAT 路由 器上。此路由器分析目的 IP 地址，當(dāng)發(fā)現(xiàn)此目的 IP 地址為內(nèi)部全局地址時(shí)，它將查找 NAT 映射表，從而獲得內(nèi)部局部地址；然后將數(shù)據(jù)包的目的

11、地址替換成內(nèi)部局部地址，并將數(shù)據(jù) 包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)中，最終到達(dá)發(fā)送的主機(jī)。 三、ACL（訪問控制列表） ACL 能允許或拒絕數(shù)據(jù)包穿過規(guī)定的路由器接口，是應(yīng)用在 IP 地址或上層協(xié)議(如 TCP 層 )的允許和拒絕條件的一個(gè)有序的集合。ACL 的主要作用是對數(shù)據(jù)包進(jìn)行過濾，從而有助 于控制通過網(wǎng)絡(luò)的數(shù)據(jù)包傳輸，達(dá)到限制網(wǎng)絡(luò)數(shù)據(jù)流以及限制某些用戶或設(shè)備對網(wǎng)絡(luò)進(jìn)行訪 問的目的，具有簡單的網(wǎng)絡(luò)安全功能。 - 94 - ACL 語句是按順序進(jìn)行處理的，若找到匹配的語句則立刻執(zhí)行 permit 或 deny，剩下語 句不再進(jìn)行處理；若所有語句都不匹配，數(shù)據(jù)包將被 deny。每一種被路由協(xié)議（如 IP、I

12、PX ）， 在路由器的每個(gè)接口上的每個(gè)方向上（in 和 out），最多只能綁定一條 ACL。后面綁定的 ACL 會(huì)覆蓋前面綁定的，也就是說后面綁定的 ACL 會(huì)取代前面綁定的 ACL 而起作用。 標(biāo)準(zhǔn) ACL：它只對數(shù)據(jù)包的源 IP 地址進(jìn)行控制和過濾，配置時(shí)的編號(hào)范圍是 199 和 13001999。放置規(guī)則是將它們放在距目的地路由器盡可能近的地方以進(jìn)行有效的控制。理 由是標(biāo)準(zhǔn) ACL 只能指定源地址，所以在數(shù)據(jù)流被拒絕點(diǎn)之后的路徑中的任何設(shè)備都不能進(jìn) 行通信。不過要注意的是，這就意味著數(shù)據(jù)流會(huì)通過網(wǎng)絡(luò)被轉(zhuǎn)發(fā)，只在距目的地近的地方才 被拒絕。配置方法是(1)定義 ACL：Router(con

13、fig)#access-list permit |deny 源地 址 通配符掩碼；(2)綁定 ACL 到接口：Router(config-if)#ip access-group in|out。 擴(kuò)展 ACL：它會(huì)對源和目的 IP 地址都進(jìn)行過濾和控制，配置時(shí)的編號(hào)范圍是 100199 和 20002699。放置規(guī)則是將它們放在離源近的地方以減少非法流穿越多臺(tái)路由器以及 ICMP 的管理性拒絕消息。理由是擴(kuò)展 ACL 除了源的信息外，還指定了目的地的相關(guān)信息， 如 IP 地址、TCP 層的端口號(hào)等。配置方法是(1) 定義 ACL：Router(config)#access-list permit

14、 | deny 協(xié)議 源地址 通配符掩碼 eq | neq | gt | lt 源端口 目的地址 通配 符掩碼 eq | neq | gt | lt 目的端口 other options；(2) 綁定 ACL 到接口：Router(config-if)#ip access-group in|out。 標(biāo)準(zhǔn)或擴(kuò)展 ACL 修改時(shí)無法修改特定條目，只有完全刪除后再按正確的方式重新建立 才行。標(biāo)準(zhǔn)和擴(kuò)展 ACL 對于由路由器自身發(fā)出的數(shù)據(jù)包不起限制作用。 命名 ACL：命名 ACL 允許在標(biāo)準(zhǔn) ACL 和擴(kuò)展 ACL 中，使用一個(gè)字母數(shù)字組合的字符 串（名字）來表示 ACL 號(hào)。命名 ACL 可以刪

15、除某一特定的條目，而不用通過完全刪除一個(gè) ACL，然后再重新建立一個(gè) ACL 來刪除某一條特定的條目。 限制虛擬終端：出于安全性的考慮，我們需要限制主機(jī)或者其它路由器對虛擬終端的訪 問。類似物理接口，我們可以在虛擬端口綁定 ACL。 【實(shí)驗(yàn)內(nèi)容】 一、 按照拓?fù)渑渲寐酚善髅Q、接口（包括子接口） 二、 配置交換機(jī)（配置方法可參考實(shí)驗(yàn)五） 1. 2. 3. 清空交換機(jī)原先的配置 配置 VLAN 并綁定到相應(yīng)的端口 配置 trunk 三、 配置路由 1. 2. 3. 在內(nèi)部網(wǎng)絡(luò)配置 OSPF 路由協(xié)議 在 R3 上配置默認(rèn)路由，并傳播到整個(gè)內(nèi)部網(wǎng)絡(luò) R3(config)#ip route 0.0.

16、0.0 R3(config)#router ospf 1 R3(config-router)#default-information originate 把 ISP 的 IP 地址設(shè)為 ，網(wǎng)關(guān)設(shè)為 。 四、 配置 DHCP - 95 - 1. 在 R2 配置 DHCP 服務(wù)：VLAN2 對應(yīng)地址池是 4/26，VLAN4 對應(yīng)地址 池是 28/26，LAN5 對應(yīng)地址池是 2/27 1) 配置 4/26 網(wǎng)段的 DHC

17、P 服務(wù)： R2(config)#ip dhcp pool VLAN2pool /建立一個(gè)地址池 R2(dhcp-config)#network 4 92 /指定分配的 IP 地址范圍 R2(dhcp-config)#default-router 5 R2(dhcp-config)#dns-server R2(dhcp-config)#exit R2(config)#ip dhcp excluded-address 5 2) 配置 28/26 網(wǎng)段的 DH

18、CP 服務(wù)： R2(config)#ip dhcp pool VLAN4pool R2(dhcp-config)#network 28 92 R2(dhcp-config)#default-router 29 R2(dhcp-config)#dns-server R2(dhcp-config)#exit R2(config)#ip dhcp excluded-address 29 3) 配置 2/27 網(wǎng)段的 DHCP 服務(wù)： R2(config)#ip

19、dhcp pool LAN5pool R2(dhcp-config)#network 2 24 R2(dhcp-config)#default-router 3 R2(dhcp-config)#dns-server R2(dhcp-config)#exit R2(config)#ip dhcp excluded-address 3 在 R1 的三個(gè)子接口上配置 helper address R1(config)#interface f0.2 R1(config-if)#ip h

20、elper-address R1(config)#interface f0.3 R1(config-if)#ip helper-address R1(config)#interface f0.4 R1(config-if)#ip helper-address /指定網(wǎng)關(guān) /指定 DNS 服務(wù)器 /指定不能分配的地址 2. 3. 4. 主機(jī)設(shè)置為用 DHCP 獲取 IP 地址，并查看獲取地址的結(jié)果 檢驗(yàn) DHCP 的常用命令 show ip dhcp binding show ip dhcp server statistic

21、s debug ip dhcp server events debug ip dhcp server packet 五、 在 R3 配置 NAT 1. Server1 用靜態(tài) NAT 映射到 29 R3(config)#ip nat inside source static 94 29 /在內(nèi)部接口上啟用源地址轉(zhuǎn)換 R3(config)#interface s0 R3(config-if)#ip nat inside /指定內(nèi)部接口 - 96 - R3(config-if)#interface s1 R3(config-if

22、)#ip nat outside 2. /指定外部接口 3. 4. VLAN2、VLAN4、LAN5 的主機(jī)用動(dòng)態(tài) NAT 映射到地址池 30 54 R3(config)#ip nat pool CISCO 30 54 netmask 28 R3(config)#access-list 1 deny 92 3 R3(config)#access-list 1 permit 55 R3(config)#

23、ip nat inside source list 1 pool CISCO 把動(dòng)態(tài) NAT 改為使用 PAT 1) 刪除 NAT 配置，清除所有 NAT 轉(zhuǎn)換表項(xiàng): R3#clear ip nat translation * R3#clear ip nat statistics R3(config)#no ip nat inside source list 1 pool CISCO 2) 配置 PAT： R3(config)#ip nat inside source list 1 pool CISCO overload 檢驗(yàn) NAT 的常用命令 show ip nat translation

24、s verbose show ip nat statistics debug ip nat 六、 配置 ACL 1. /查看映射表 2. 在 R1 的 f0.2 口綁定 ACL，使 VLAN2 能訪問 VLAN3、VLAN4、 LAN5 以及 Internet， 但不能被 VLAN4、Internet 的用戶訪問 R1(config)#access-list 100 permit ip 92 3 any R1(config)#access-list 100 permit ip 2 1 any R1(config)#access-list 100 permit tcp any any established R1(config)#interface f0.2 R1(config-if)#ip access-group 100 out 在 R1 的 f0.3 口綁定 ACL，使 VLAN3 能被 VLAN2、 LAN5 的用戶訪問，而被 VLAN4、 Internet 的用戶只能通過 http 和 ftp 訪問 R1(config)#access-list 101 permit ip 4 3 any R1(config)#access-list 101 permi