實驗7：防火墻配置與NAT配置hy

1、大連理工大學本科實驗報告課程名稱：網絡綜合實驗學院（系）：軟件學院專業(yè)：軟件工程班級：1008班學號：201092132學生姓名：李博涵2012年 6 月 1 日大連理工大學實驗報告學院（系）：軟件學院專業(yè):軟件工程班級：1008 班姓名：李博涵學號：201092132組：10實驗時間：2012年6月1日實驗室：C310實驗臺：10指導教師簽字:成績：實驗七：防火墻配置與NAT配置一、實驗目的學習在路由器上配置包過濾防火墻和網絡地址轉換（NAT）二、實驗原理和內容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墻的基本原理及配置4、NAT的基本原理及配置三、實驗環(huán)境以及設備2臺路由器

2、、1臺交換機、4臺Pc機、雙絞線若干四、實驗步驟（操作方法及思考題）警告：路由器高速同異步串口（即S 口）連接電纜時，無論插拔操作，必須在 路由器電源關閉情況下進行；嚴禁在路由器開機狀態(tài)下插拔同 /異步串口電纜， 否則容易引起設備及端口的損壞。1、 請在用戶視圖下使用“ reset saved-configuration”命令和“ reboot”命令分別 將兩臺路由器的配置清空，以免以前實驗留下的配置對本實驗產生影響。2、在確保路由器電源關閉情況下，按圖1聯(lián)線組建實驗環(huán)境。配置IP地址，以及配置PC A和B的缺省網關為 , PC C的缺省網關為 , PC D的缺省網關為。ABSOEO交叉線CE

3、1交叉線3、 在兩臺路由器上都啟動 RIP,目標是使所有PC機之間能夠ping通。請將為 達到此目標而在兩臺路由器上執(zhí)行的啟動RIP的命令寫到實驗報告中。（5 分）Routerinterface Ethernet 0Router -Ethernet0interface serial 0Router -Serial0shutdownRouter -Serial0undo shutdownRouter -Serial0quitRouterripRouter-ripnetwork all4、在AR18和/或 AR28上完成防火墻配置，使?jié)M足下述要求：（1）只有PC機A和B、A和C、B和D之間能通信，

4、其他PC機彼此之 間都不能通信。（注：對于不能通信，要求只要能禁止其中一個方向 就可以了。）（2） 防火墻的ACL列表只能作用于兩臺路由器的以太網接口上，即AR18 的E0、AR28的E0和E1，不允許在兩臺路由器的 S0 口上關聯(lián)ACL。請將你所執(zhí)行的配置命令寫到實驗報告中。（注：配置方法并不唯一，寫出 其中任何一種即可）（15分）Routerfirewall enableRouterfirewall default permitRouteracl 3001 match-order autoRouter-acl-3001rule deny ip source any destination

5、any Router-acl-3001rule permit ip source 0 destination 0 Router-acl-3001rule permit ip source 0 destination 0 Router-acl-3001interface ethernet 0Router-Ethernet0firewall packet-filter 3001 inbound 5、請在用戶視圖下使用“ reset saved-configuration”命令和“ reboot”命令分別D交叉線C將兩臺

6、路由器的配置清空，以免前面實驗留下的配置對下面的NAT配置實驗產生影響。6請將圖1中IP地址的配置改為圖2,即我們將用IP網段作為 一個私網，AR18作為連接私網與公網的 NAT路由器，AR28作為公網上的 一個路由器。具體的，請按下述步驟完成NAT配置實驗：（1）配置AR18-12為NAT路由器，它將私有IP網段中的 IP地址轉換為接口 S0的公網IP地址。請將所執(zhí)行的配置命 令寫到實驗報告中。（5分）Routeracl 2000 match-order autoRouter-acl-2000rule deny source anyRouter-acl-2000i nteface seria

7、l 0Router-Serial0 nat outbou nd 2000 in terface（2） 我們在每一臺PC上都安裝了 Web服務器IIS，它運行在TCP端口 80。 請把PC A的Web服務映射到公網IP地址和公網端口 80， 把PC B的Web服務映射到公網IP地址和公網端口 8080, 并把所執(zhí)行的配置命令寫到實驗報告中。（5分）Router-Serial0 nat server global 80 in side www tcp Router-Serial0 nat server global 8080 in s

8、ide www tcp（3） 我們在每一臺PC上都允許了遠程桌面服務，該服務使用TCP端口 3389。請把PC B遠程桌面服務映射到公網IP地址和公網端 口 3389,并把所執(zhí)行的配置命令寫到實驗報告中。（5分）Router-Serial0 nat server global 3389 in side 3389 tcp 請在AR18上配置一條缺省靜態(tài)路由，用于指定AR18的缺省網關為。注：路由相關配置只需上述一條命令即可，并不需要在AR18和AR28上啟動RIP。不在AR18上啟動RIP的原因是私網IP的路由信息不應該被廣 播

9、到公網上；不在AR28上啟動RIP的原因是在本實驗中公網環(huán)境中只用一 臺AR28路由器來模擬。AR2 8-11AR18-1219A19B三 S0e1交叉線E0在上述步驟完成后，NAT應該能夠正常運轉，下述現(xiàn)象應被觀察到：（1）在PC A上執(zhí)行：ping 202.022,結果為“通”。請將“通”的原因寫到 實驗報告中。（5分）答：因為AR18-12為NAT路由器的配置時規(guī)定所有私網地址都可訪問公網即 rule permit source 55 由于 PCA 是私網機器 是 公網的地址，通過AR18上配置的缺省靜態(tài)路由可以到達，所以可“通”。（2） 在PC D

10、上執(zhí)行：ping 結果為“不通”。請將“不通”的原 因寫到實驗報告中。（5分）答：因為是私有網段中的IP地址，在公網中是看不 到的，AR28-11的路由表中沒有對應的表項，所以不“通”。（3）在PC C上啟動IE瀏覽“ ”，可以下載PC A Web服務器上 的網頁，該網頁大致內容為“網站正在建設中”。請將可以訪問的原因寫 到實驗報告中。（5分）答：PC A的Web服務已經映射到公網IP地址和公網端口 80，因 此訪問時，相當于是訪問PCA的WWW服務，所以可以訪 問。（4） 在PC C上啟動IE瀏覽“ ”，不可以下載PC A Web服務

11、器上的網頁。請將不能訪問的原因寫到實驗報告中。（5分）答：因為是私有IP網段中的IP地址，屬于公網 中的PC C要訪問它的Web服務器需要訪問它的公網地址。（5） 在PC B和C上都啟動Ethereal,捕獲所有TCP的包。然后在PC C上啟 動IE瀏覽“:8080”，將發(fā)現(xiàn)可以下載PC B Web服務器上的 網頁，該網頁大致內容為“網站正在建設中”。請將用Ethereal觀察到的 TCP包的源和目的IP地址、源和目的端口號在私網和公網上的變化情況寫到實驗報告中，并據此解釋 NAT在上述HTTP訪問過程中做了怎樣的 地址轉換。（5分）PC B:口沖加皿，口二 3;

12、LSC13t :-1刁門出式劇出丙曲】H詡1逍： fuscrlpt婕 測 Mhl M55 M H荒逍 SWJ抽 1拝匹個忙氓0丄!iitrlpt li：tp A t:p V甌圧必1迢lefrOPC C:!192.011 mu TCP http-alt岫佃刪啊0測躺 M 酣躺蝴皿窪?觀譏1TCP M州血町)http-ilt肌 帥1 Md Ml MIB HB P Oil !M OK (tffl/tal)答：由上圖可以看出PC B上捕捉的包都是在和之間進 行通信，而在PCC上捕捉的包都是在和之間進行通信，說明 NAT在上述HTTP訪問過程中做了相應的地址轉換，具體如下：1. 當NAT收到一個目的地址

13、是，目的端口號是 8080的包時，查 找地址轉換表，找到相應的表項后，把包的目的地址改為 ,目的端口號改成80,再將包轉發(fā)給對應的PC。2. 當NAT收到一個源地址是,源端口號是80的包時，查找地址 轉換表，找到相應表項后，把包的源 IP地址和源端口號分別改為 和 8080，再把包轉發(fā)出去。（6）在PC D上使用“程序附件通訊遠程桌面連接”登錄PC B,在登錄 對話框中請輸入IP地址“ ”。在提示用戶名和密碼時，請分別輸 入“ admin”和“ admin123”，則可以登錄PC B。僅驗證此現(xiàn)象即可，不 要求寫實驗報告。做本實驗時請注意：（1）關閉PC機上的防火墻。（2） 同異步串口配置完成后，一定要執(zhí)行