實驗4.2 網(wǎng)絡(luò)地址轉(zhuǎn)換實驗_第1頁
實驗4.2 網(wǎng)絡(luò)地址轉(zhuǎn)換實驗_第2頁
實驗4.2 網(wǎng)絡(luò)地址轉(zhuǎn)換實驗_第3頁
實驗4.2 網(wǎng)絡(luò)地址轉(zhuǎn)換實驗_第4頁
實驗4.2 網(wǎng)絡(luò)地址轉(zhuǎn)換實驗_第5頁
已閱讀5頁,還剩11頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

XXX實驗4.2

網(wǎng)絡(luò)地址轉(zhuǎn)換實驗實驗背景1實驗?zāi)康呐c內(nèi)容2實驗設(shè)備3實驗步驟4實驗背景網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslation,NAT)是一個Internet工程任務(wù)組(InternetEngineeringTaskForce,IETF)標(biāo)準(zhǔn),用于允許專用網(wǎng)絡(luò)上的多臺PC(使用專用地址段,例如10.x.x.x、192.168.x.x、172.16.x.x-172.31.x.x)共享單個、全局路由的IPv4地址。IPv4地址日益不足是經(jīng)常部署NAT的一個主要原因。WindowsXP和WindowsMe中的“Internet連接共享”及許多Internet網(wǎng)關(guān)設(shè)備都使用NAT,尤其是在通過DSL或電纜調(diào)制解調(diào)器連接寬帶網(wǎng)的情況下。網(wǎng)絡(luò)地址轉(zhuǎn)換是通過將專用網(wǎng)絡(luò)地址(如企業(yè)內(nèi)部網(wǎng))轉(zhuǎn)換為公用地址(如互聯(lián)網(wǎng)),從而對外隱藏了內(nèi)部管理的IP地址。這樣,通過在內(nèi)部使用非注冊的IP地址,并將它們轉(zhuǎn)換為一小部分外部注冊的IP地址,從而減少了IP地址注冊的費用及節(jié)省了目前越來越缺乏的地址空間(即IPV4)。同時,這也隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險。NAT分為三種類型:靜態(tài)NAT(StaticNAT)、NAT池(PooledNAT)和端口NAT(PAT)。其中靜態(tài)NAT是將內(nèi)部網(wǎng)絡(luò)中的每個主機都永久映射成外部網(wǎng)絡(luò)中的某個合法地址;NAT池是在外部網(wǎng)絡(luò)中定義一系列的合法地址,采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò);端口NAT是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。通過DHCP服務(wù)器的協(xié)助來控管各個客戶端(執(zhí)行中的用戶端)上不可缺少的網(wǎng)絡(luò)配置參數(shù),包括域名服務(wù)(DomainNameService,DNS)、Windows互聯(lián)網(wǎng)名字服務(wù)(WindowsInternetNameService,WINS)等。內(nèi)網(wǎng)用戶通過路由器的NAT功能訪問Internet。為了限制局域網(wǎng)內(nèi)主機對外發(fā)起的連接數(shù),可利用路由器上配置NAT限制的最大連接數(shù)特性,對源地址發(fā)起的連接數(shù)進行限制。實驗?zāi)康呐c內(nèi)容【實驗?zāi)康摹浚?)理解NAT使用的背景及方法。(2)掌握NAT的配置方法。【實驗內(nèi)容】(1)用出口接口地址做EasyNAT。(2)地址池方式做NAT。(3)對外提供FTP、WWW和SMTP服務(wù)實驗設(shè)備H3C系列交換機一臺,H3C系列路由器兩臺,計算機5臺,專用配置電纜一根,網(wǎng)線6根,配置電纜一根,標(biāo)準(zhǔn)V35電纜一對。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4.2所示。圖4.2網(wǎng)絡(luò)地址轉(zhuǎn)換實驗網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

實驗步驟(1)按照圖4.2所示將網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)搭建好,并將各個計算機配置好。(2)配置各個路由器的接口地址、路由協(xié)議,將網(wǎng)絡(luò)連通為后面的實驗做準(zhǔn)備。對RT1做如下配置:<H3C>system-view[H3C]interfaceGigabitethernet0/0[H3C-GigabitEthernet0/0]ipaddress[H3C-GigabitEthernet0/0]interfaceGigabitEthernet0/1[H3C-GigabitEthernet0/1]ipaddress[H3C-GigabitEthernet0/1]quit(3)靜態(tài)地址轉(zhuǎn)換配置內(nèi)網(wǎng)IP地址1到外網(wǎng)地址之間的一對一靜態(tài)地址轉(zhuǎn)換映射<H3C>system-view[H3C]natstaticoutbound1[H3C]interfaceGigabitethernet0/1[H3C-GigabitEthernet0/1]natstaticenable[H3C-GigabitEthernet0/1]quit實驗步驟(4)內(nèi)網(wǎng)用戶通過NAT訪問外網(wǎng)(地址不重疊)。①按照圖4.2配置各接口的IP地址,具體配置過程略。②配置地址組0,包含兩個外網(wǎng)地址和。<H3C>system-view[H3C]nataddress-group0[H3C-nat-address-group-0]address[H3C-nat-address-group-0]quit③配置ACL2000,僅允許對內(nèi)部網(wǎng)絡(luò)中/24網(wǎng)段的用戶報文進行地址轉(zhuǎn)換。[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource55[H3C-acl-basic-2000]quit④在接口GigabitEthernet0/1上配置出方向動態(tài)地址轉(zhuǎn)換,允許使用地址組0中的地址對匹配ACL2000的報文進行源地址轉(zhuǎn)換,并在轉(zhuǎn)換過程中使用端口信息。[H3C]interfaceGigabitEthernet0/1[H3C-GigabitEthernet0/1]natoutbound2000address-group0[H3C-GigabitEthernet0/1]quit實驗步驟(5)內(nèi)網(wǎng)用戶通過NAT訪問外網(wǎng)(地址重疊)①按照組網(wǎng)圖4.2配置各接口的IP地址,具體配置過程略。②開啟DNS的NATALG功能。<H3C>system-view[H3C]natalgdns③配置ACL2000,僅允許對/24網(wǎng)段的用戶報文進行地址轉(zhuǎn)換。[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource55[H3C-acl-basic-2000]quit④創(chuàng)建地址組1并添加地址組成員。[H3C]nataddress-group1[H3C-nat-address-group-1]address[H3C-nat-address-group-1]quit實驗步驟⑤創(chuàng)建地址組2并添加地址組成員。[H3C]nataddress-group2[H3C-nat-address-group-2]address[H3C-nat-address-group-2]quit⑥在接口GigabitEthernet0/1上配置入方向動態(tài)地址轉(zhuǎn)換,允許使用地址組1中的地址對DNS應(yīng)答報文載荷中的外網(wǎng)地址進行轉(zhuǎn)換,并在轉(zhuǎn)換過程中不使用端口信息,以及允許反向地址轉(zhuǎn)換。[H3C]interfacegigabitethernet0/1[H3C-GigabitEthernet0/1]natinbound2000address-group1no-patreversible⑦在接口GigabitEthernet0/1上配置出方向動態(tài)地址轉(zhuǎn)換,允許使用地址組2中的地址對內(nèi)網(wǎng)訪問外網(wǎng)的報文進行源地址轉(zhuǎn)換,并在轉(zhuǎn)換過程中使用端口信息。[H3C-GigabitEthernet0/1]natoutbound2000address-group2[H3C-GigabitEthernet0/1]quit⑧配置靜態(tài)路由,目的地址為外網(wǎng)服務(wù)器NAT地址的報文出接口為GigabitEthernet0/1。[H3C]iproute-static32GigabitEthernet0/1實驗步驟如果要做連接數(shù)限制,還要對服務(wù)器做如下設(shè)置:[H3C]connection-limitpolicy0①配置連接數(shù)限制規(guī)則0,允許匹配ACL3000的全部主機最多只能與外網(wǎng)建立20000條連接,超過20000時,需要等連接數(shù)恢復(fù)到19000以下才允許建立新的連接。[H3C-connection-limit-policy-0]limit0acl3000amount2000019000②配置連接限制規(guī)則1,允許匹配ACL3001的服務(wù)器最多接受10000條連接請求,超過10000時,需要等連接數(shù)降到9800以下才允許建立新的連接。[H3C-connection-limit-policy-0]limit13001per-destination100009800[H3C-connection-limit-policy-0]quit[H3C]connection-limitpolicy1//創(chuàng)建連接數(shù)限制策略1③配置連接數(shù)限制規(guī)則0,允許匹配ACL3000的每臺主機最多只能與外網(wǎng)建立100條連接,超過100時需要等連接數(shù)恢復(fù)到90以下才允許建立新的連接。[H3C-connection-limit-policy-1]limit0acl3000per-sourceamount10090[H3C-connection-limit-policy-1]quit[H3C]connection-limitapplyglobalpolicy0//在全局應(yīng)用連接數(shù)限制策略0[H3C]interfacegigabitethernet0/1//在接口GigabitEthernet0/1上應(yīng)用連接數(shù)限制策略1[H3C-GigabitEthernet0/1]connection-limitapplypolicy1[H3C-GigabitEthernet0/1]quit實驗步驟(6)外網(wǎng)用戶通過外網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器某公司內(nèi)部對外提供Web、FTP和SMTP服務(wù),而且提供兩臺Web服務(wù)器。公司內(nèi)部網(wǎng)址為/24。其中,內(nèi)部FTP服務(wù)器地址為3/24,內(nèi)部Web服務(wù)器1的IP地址為1/14,內(nèi)部Web服務(wù)器2的IP地址為2/24,內(nèi)部SMTP服務(wù)器的IP地址為4/24。公司擁有~三個公網(wǎng)IP地址。需要實現(xiàn)如下功能:外部的主機可以訪問內(nèi)部的服務(wù)器;選用作為公司對外提供服務(wù)的IP地址,Web服務(wù)器2對外采用8080端口。①按照圖4.2配置各接口的IP地址,具體配置過程略。②進入接口GigabitEthernet0/1。<H3C>system-view[H3C]interfaceGigabitEthernet0/1③配置內(nèi)部FTP服務(wù)器,允許外網(wǎng)主機使用地址,端口號21訪問內(nèi)網(wǎng)FTP服務(wù)器。[H3C-GigabitEthernet0/1]natserverprotocoltcpglobal21inside3ftp④配置內(nèi)部Web服務(wù)器1,允許外網(wǎng)主機使用地址,端口號80訪問內(nèi)網(wǎng)Web服務(wù)器1。[H3C-GigabitEthernet0/1]natserverprotocoltcpglobal80inside1www⑤配置內(nèi)部Web服務(wù)器2,允許外網(wǎng)主機使用地址,端口號8080訪問內(nèi)網(wǎng)Web服務(wù)器2。[H3C-GigabitEthernet0/1]natserverprotocoltcpglobal8080inside2www實驗步驟⑥配置內(nèi)部SMTP服務(wù)器,允許外網(wǎng)主機使用地址21及SMTP協(xié)議定義的端口訪問內(nèi)網(wǎng)SMTP服務(wù)器。[H3C-GigabitEthernet0/1]natserverprotocoltcpglobalsmtpinside4smtp[H3C-GigabitEthernet0/1]quit如果要實現(xiàn)負(fù)載分擔(dān)內(nèi)部兩臺Web服務(wù)器,需要做如下設(shè)置:配置內(nèi)部服務(wù)器組0及其成員1和2。<H3C>system-view[H3C]natserver-group0[H3C-nat-server-group-0]insideip1port80[H3C-nat-server-group-0]insideip1port8080[H3C-nat-server-group-0]quit在接口GigabitEthernet0/1上配置負(fù)載分擔(dān)內(nèi)部服務(wù)器,引用內(nèi)部服務(wù)器組0,該組內(nèi)的主機共同對外提供FTP服務(wù)。[H3C]interfaceGigabitEthernet0/1[H3C-GigabitEthernet0/1]natserverprotocoltcpglobalwwwinsideserver-group0[H3C-GigabitEthernet0/1]quit實驗步驟(7)外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器(地址不重疊)某公司內(nèi)部對外提供Web服務(wù),Web服務(wù)器地址為2/24。該公司在內(nèi)網(wǎng)有一臺DNS服務(wù)器,IP地址為3/24,用于解析Web服務(wù)器的域名。該公司擁有三個外網(wǎng)IP地址:、和。需要實現(xiàn)外網(wǎng)主機可以通過域名訪問內(nèi)網(wǎng)的Web服務(wù)器。①按照圖4.2配置各接口的IP地址,具體配置過程略。<H3C>system-view[H3C]natalgdns//開啟DNS協(xié)議的ALG功能②配置ACL2000,允許對內(nèi)部網(wǎng)絡(luò)中2的報文進行地址轉(zhuǎn)換。[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource20[H3C-acl-basic-2000]quit③創(chuàng)建地址組1并添加地址組成員。[H3C]nataddress-group1[H3C-nat-address-group-1]address[H3C-nat-address-group-1]quit④在接口GigabitEthernet0/1上配置NAT內(nèi)部服務(wù)器,允許外網(wǎng)主機使用地址訪問內(nèi)網(wǎng)DNS服務(wù)器。[H3C]interfaceGigabitEthernet0/1[H3C-GigabitEthernet0/1]natserverprotocoludpglobalinside3domain實驗步驟⑤在接口GigabitEthernet0/1上配置出方向動態(tài)地址轉(zhuǎn)換,允許使用地址組1中的地址對DNS應(yīng)答報文載荷中的內(nèi)網(wǎng)地址進行轉(zhuǎn)換,并在轉(zhuǎn)換過程中不使用端口信息,以及允許反向地址轉(zhuǎn)換。[H3C-GigabitEthernet0/1]natoutbound2000address-group1no-patreversible[H3C-GigabitEthernet0/1]quit8、外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器(地址重疊)。某公司內(nèi)部對外提供Web服務(wù),Web服務(wù)器地址為2/24。該公司在內(nèi)網(wǎng)有一臺DNS服務(wù)器,IP地址為3/24,用于解析Web服務(wù)器的域名。該公司擁有三個外網(wǎng)IP地址:、和。需要實現(xiàn)外網(wǎng)主機可以通過域名訪問與其地址重疊的內(nèi)網(wǎng)Web服務(wù)器。①按照圖4.2配置各接口的IP地址,具體配置過程略。②開啟DNS協(xié)議的ALG功能。<H3C>system-view[H3C]natalgdns③配置ACL2000,允許對內(nèi)部網(wǎng)絡(luò)中/24網(wǎng)段的報文進行地址轉(zhuǎn)換。[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource55[H3C-acl-basic-2000]quit實驗步驟④創(chuàng)建地址組1并添加地址組成員。[H3C]nataddress-group1[H3C-nat-address-group-1]address[H3C-nat-address-group-1]quit⑤創(chuàng)建地址

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論