實驗7：防火墻配置與NAT配置

大連理工大學(xué)本科實驗報告課程名稱：網(wǎng)絡(luò)綜合實驗學(xué)院（系）：專業(yè)：班級：學(xué)號：學(xué)生姓名：年月日

大連理工大學(xué)實驗報告學(xué)院（系）：專業(yè)：班級：姓名：學(xué)號：組：實驗時間：實驗室：實驗臺：指導(dǎo)教師簽字：成績：實驗七：防火墻配置與NAT配置一、實驗?zāi)康膶W(xué)習(xí)在路由器上配置包過濾防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）二、實驗原理和內(nèi)容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墻的基本原理及配置4、NAT的基本原理及配置三、實驗環(huán)境以及設(shè)備2臺路由器、1臺交換機(jī)、4臺Pc機(jī)、雙絞線若干四、實驗步驟（操作方法及思考題）{警告：路由器高速同異步串口（即S口）連接電纜時，無論插拔操作，必須在路由器電源關(guān)閉情況下進(jìn)行；嚴(yán)禁在路由器開機(jī)狀態(tài)下插拔同/異步串口電纜，否則容易引起設(shè)備及端口的損壞。}請在用戶視圖下使用“resetsaved-configuration”命令和“reboot”命令分別將兩臺路由器的配置清空，以免以前實驗留下的配置對本實驗產(chǎn)生影響。在確保路由器電源關(guān)閉情況下，按圖1聯(lián)線組建實驗環(huán)境。配置IP地址，以及配置PCA和B的缺省網(wǎng)關(guān)為，PCC的缺省網(wǎng)關(guān)為，PCD的缺省網(wǎng)關(guān)為。圖1在兩臺路由器上都啟動RIP，目標(biāo)是使所有PC機(jī)之間能夠ping通。請將為達(dá)到此目標(biāo)而在兩臺路由器上執(zhí)行的啟動RIP的命令寫到實驗報告中。（5分）答：（我們組的路由器都是AR28的機(jī)器）第一臺：[h3c]interfacee0/0[h3c-Ethernet0/0]ipaddress[h3c-Ethernet0/0]interfaces1/0[h3c–Serial1/0]ipaddress[h3c–Serial1/0]quit[h3c]rip [h3c-rip]network第二臺：[h3c]interfacee0/0[h3c-Ethernet0/0]ipaddress[h3c-Ethernet0/0]interfaceethernet0/1[h3c-Ethernet0/1]ipaddress[h3c-Ethernet0/1]interfaceserial1/0[h3c-Serial1/0]ipaddress[h3c-Serial1/0]quit[h3c]rip [h3c-rip]network在AR18和/或AR28上完成防火墻配置，使?jié)M足下述要求：只有PC機(jī)A和B、A和C、B和D之間能通信，其他PC機(jī)彼此之間都不能通信。（注：對于不能通信，要求只要能禁止其中一個方向就可以了。）防火墻的ACL列表只能作用于兩臺路由器的以太網(wǎng)接口上，即AR18的E0、AR28的E0和E1，不允許在兩臺路由器的S0口上關(guān)聯(lián)ACL。請將你所執(zhí)行的配置命令寫到實驗報告中。（注：配置方法并不唯一，寫出其中任何一種即可）（15分）[Quidway]firewallenable[Quidway]firewalldefaultpermit[Quidway]aclnumber3001match-orderauto[Quidway-acl-adv-3001]ruledenyipsource0destination0[Quidway-acl-adv-3001]ruledenyipsource0destination0[Quidway-acl-adv-3001]inte0/0[Quidway-Ethernet0/0]firewallpacket-filter3001inbound[Quidway-Ethernet0/0]shutdown[Quidway-Ethernet0/0]undoshutdown[Quidway-Ethernet0/0]quit[Quidway]aclnumber3002match-orderauto[Quidway-acl-adv-3002]ruledenyipsource0destination0[Quidway-acl-adv-3002]inte0/1[Quidway-Ethernet0/1]firewallpacket-filter3002inbound[Quidway-Ethernet0/1]shutdown[Quidway-Ethernet0/1]undoshutdown[Quidway-Ethernet0/1]quit請在用戶視圖下使用“resetsaved-configuration”命令和“reboot”命令分別將兩臺路由器的配置清空，以免前面實驗留下的配置對下面的NAT配置實驗產(chǎn)生影響。請將圖1中IP地址的配置改為圖2，即我們將用IP網(wǎng)段/24作為一個私網(wǎng)，AR18作為連接私網(wǎng)與公網(wǎng)的NAT路由器，AR28作為公網(wǎng)上的一個路由器。具體的，請按下述步驟完成NAT配置實驗：配置AR18-12為NAT路由器，它將私有IP網(wǎng)段/24中的IP地址轉(zhuǎn)換為接口S0的公網(wǎng)IP地址。請將所執(zhí)行的配置命令寫到實驗報告中。（10分）我們在每一臺PC上都安裝了Web服務(wù)器IIS，它運(yùn)行在TCP端口80。請把PCA的Web服務(wù)映射到公網(wǎng)IP地址和公網(wǎng)端口80，把PCB的Web服務(wù)映射到公網(wǎng)IP地址和公網(wǎng)端口8080，并把所執(zhí)行的配置命令寫到實驗報告中。（10分）我們在每一臺PC上都允許了遠(yuǎn)程桌面服務(wù)，該服務(wù)使用TCP端口3389。請把PCB遠(yuǎn)程桌面服務(wù)映射到公網(wǎng)IP地址和公網(wǎng)端口3389，并把所執(zhí)行的配置命令寫到實驗報告中。（10分）[h3c-Serial1/0]natserverglobal3389inside3389tcp[h3c-Serial1/0]shutdown[h3c-Serial1/0]undoshutdown請在AR18上配置一條缺省靜態(tài)路由，用于指定AR18的缺省網(wǎng)關(guān)為。[h3c]iproute-static0注：路由相關(guān)配置只需上述一條命令即可，并不需要在AR18和AR28上啟動RIP。不在AR18上啟動RIP的原因是私網(wǎng)IP的路由信息不應(yīng)該被廣播到公網(wǎng)上；不在AR28上啟動RIP的原因是在本實驗中公網(wǎng)環(huán)境中只用一臺AR28路由器來模擬。圖2在上述步驟完成后，NAT應(yīng)該能夠正常運(yùn)轉(zhuǎn)，下述現(xiàn)象應(yīng)被觀察到：在PCA上執(zhí)行：ping，結(jié)果為“通”。請將“通”的原因?qū)懙綄嶒瀳蟾嬷?。?0分）答：配置時規(guī)定所有私網(wǎng)地址都可訪問公網(wǎng)，PCA是私網(wǎng)的機(jī)器， 是公網(wǎng)的地址，路由器的路由表有其對應(yīng)的路由表項，所以可以ping通在PCD上執(zhí)行：ping，結(jié)果為“不通”。請將“不通”的原因?qū)懙綄嶒瀳蟾嬷?。?0分）答：因為是私網(wǎng)地址在PCC上啟動IE瀏覽“”，可以下載PCAWeb服務(wù)器上的網(wǎng)頁，該網(wǎng)頁大致內(nèi)容為“網(wǎng)站正在建設(shè)中”。請將可以訪問的原因?qū)懙綄嶒瀳蟾嬷?。?0分）答：因為我們將PCA的Web服務(wù)映射到公網(wǎng)IP地址和公網(wǎng) 端口80，所以可以訪問，當(dāng)還在建設(shè)中在PCC上啟動IE瀏覽“”，不可以下載PCAWeb服務(wù)器上的網(wǎng)頁。請將不能訪問的原因?qū)懙綄嶒瀳蟾嬷?。?0分）答：因為是私網(wǎng)地址在PCB和C上都啟動Ethereal，捕獲所有TCP的包。然后在PCC上啟動IE瀏覽“:8080”，將發(fā)現(xiàn)可以下載PCBWeb服務(wù)器上的網(wǎng)頁，該網(wǎng)頁大致內(nèi)容為“網(wǎng)站正在建設(shè)中”。請將用Ethereal觀察到的TCP包的源和目的IP地址、源和目的端口號在私網(wǎng)和公網(wǎng)上的變化情況寫到實驗報告中，并據(jù)此解釋NAT在上述HTTP訪問過程中做了怎樣的地址轉(zhuǎn)換。（10分）答：NAT在收到一個目的地址為端口號為8080的包時，查詢自己的地址轉(zhuǎn)換表，然后將包的目的地址改為端口號改為80后發(fā)給PCB；NAT在收到一個源地址為端口號為80的包后，將源地址改為端口號改為8080，然后把包發(fā)送出去。在PCD上使用“程序附件通訊遠(yuǎn)程桌面連接”登錄PCB，在登錄對話框中請輸入IP地址“”。在提示用戶名和密碼時，請分別輸入“admin”和“admin123”，則可以登錄PCB。僅驗證此現(xiàn)象即可，不要求寫實驗報告。做本實驗時請注意：關(guān)閉