实验7：防火墙配置与NAT-6000字.docx

    实验7防火墙配置与NAT6000字    大连理工大学本科实验报告课程名称： 网络工程实验 学院（系）： 专 业： 班 级： 0718班 学生姓名：20xx年 6 月 12 日大连理工大学实验报告学院（系）： 软件学院 专业： 软件工程 班级： 0718 姓 名： 学号： 组： 5 ___ 实验时间： 2010/6/12 实验室： 图书馆407 实验台： 5 指导教师签字： 成绩：实验七：防火墙配置与NAT配置一、实验目的学习在路由器上配置包过滤防火墙和网络地址转换（NAT）二、实验原理和内容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墙的基本原理及配置4、NAT的基本原理及配置三、实验环境以及设备2台路由器、1台交换机、4台Pc机、双绞线若干四、实验步骤（操作方法及思考题）{警告：路由器高速同异步串口（即S口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏}1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。

2、在确保路由器电源关闭情况下，按图1联线组建实验环境配置IP地址，以及配置PC A 和B的缺省网关为 202.0.0.1，PC C 的缺省网关为 202.0.1.1，PC D 的缺省网关为 202.0.2.1AR18-12AR28-11202.0.0.2/24A202.0.0.3/24BC图 13、在两台路由器上都启动RIP，目标是使所有PC机之间能够ping通请将为达到此目标而在两台路由器上执行的启动RIP的命令写到实验报告中5分） 答： AR28-11[Quidway]interface e0/0[Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [Quidway-Ethernet0/0]interface ethernet0/1[Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [Quidway-Ethernet0/1]interface serial0/0[Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0 [Quidway-Serial0/0]quit [Quidway]rip[Quidway-rip]network 0.0.0.0AR18-12 [Router]interface e0[Router -Ethernet0]ip address 202.0.0.1 255.255.255.0 [Router -Ethernet0]interface s0[Router - Serial0]ip address 192.0.0.1 255.255.255.0 [Router -Ethernet0]quit [Router]rip[Router -rip]network all4、在AR18和/或AR28上完成防火墙配置，使满足下述要求：（1） 只有PC机A和B、A和C、B和D之间能通信，其他PC机彼此之间都不能通信。

注：对于不能通信，要求只要能禁止其中一个方向就可以了2） 防火墙的ACL列表只能作用于两台路由器的以太网接口上，即AR18的E0、AR28的E0和E1，不允许在两台路由器的S0口上关联ACL 请将你所执行的配置命令写到实验报告中注：配置方法并不唯一，写出其中任何一种即可）（15分）答：AR28-11[Quidway]firewall enable[Quidway]firewall default permit[Quidway]acl number 3001 match-order auto[Quidway-acl-adv-3001]rule deny ip source 202.0.1.2 0 destination 202.0.2.2 0 -----------阻止CD[Quidway-acl-adv-3001]rule deny ip source 202.0.1.2 0 destination 202.0.0.3 0 -----------阻止CB[Quidway-acl-adv-3001]int e0/0[Quidway-Ethernet0/0]firewall packet-filter 3001 inbound[Quidway-Ethernet0/0]shutdown[Quidway-Ethernet0/0]undo shutdown[Quidway-Ethernet0/0]quit[Quidway]acl number 3002 match-order auto[Quidway-acl-adv-3002]rule deny ip source 202.0.2.2 0 destination 202.0.0.2 0 -----------阻止DA[Quidway-acl-adv-3002]int e0/1[Quidway-Ethernet0/1]firewall packet-filter 3002 inbound[Quidway-Ethernet0/1]shutdown[Quidway-Ethernet0/1]undo shutdown[Quidway-Ethernet0/1]quit5、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免前面实验留下的配置对下面的NAT配置实验产生影响。

6、请将图1中IP地址的配置改为图2，即我们将用IP 网段192.168.1.0/24作为一个私网，AR18作为连接私网与公网的NAT路由器，AR28作为公网上的一个路由器具体的，请按下述步骤完成NAT配置实验：（1） 配置AR18-12为NAT路由器，它将私有IP 网段192.168.1.0/24中的IP地址转换为接口S0的公网IP 地址192.0.0.1请将所执行的配置命令写到实验报告中5分）答：?? [Router]nat address-group 192.0.0.1 192.0.0.1 pool1[Router]acl 2000 match-order auto[Router-acl-2000]rule permit source 192.168.1.0 0.0.0.255?? Rule has been added to normal packet-filtering rules[Router-acl-2000]rule deny source any?? Rule has been added to normal packet-filtering rules[Router-acl-2000]interface serial0[Router-Serial0]nat outbound 2000 ?? address-group pool1 应该interface（2） 我们在每一台PC上都安装了Web服务器IIS，它运行在TCP端口80。

请把PC A的Web服务映射到公网IP地址192.0.0.1和公网端口80，把PC B的Web服务映射到公网IP地址192.0.0.1和公网端口8080，并把所执行的配置命令写到实验报告中5分）答：[Router-Serial0]nat server global 192.0.0.1 80 inside 192.168.1.2 80 tcp [Router-Serial0]nat server global 192.0.0.1 8080 inside 192.168.1.3 80 tcp [Router-Serial0]shutdown [Router-Serial0]undo shutdown（3） 我们在每一台PC上都允许了远程桌面服务，该服务使用TCP端口3389请把PC B远程桌面服务映射到公网IP地址192.0.0.1和公网端口3389，并把所执行的配置命令写到实验报告中5分）答：[Router-Serial0]nat server global 192.0.0.1 3389 inside 192.168.1.3 3389 tcp [Router-Serial0]shutdown [Router-Serial0]undo shutdown请在AR18上配置一条缺省静态路由，用于指定AR18的缺省网关为192.0.0.2。

答：[Router]ip route-static 0.0.0.0 0 192.0.0.2注：路由相关配置只需上述一条命令即可，并不需要在AR18和AR28上启动RIP不在AR18上启动RIP的原因是私网IP的路由信息不应该被广播到公网上；不在AR28上启动RIP的原因是在本实验中公网环境中只用一台AR28路由器来模拟AR18-12AR28-11192.168.1.2/24A192.168.1.3/24BC图2在上述步骤完成后，NAT应该能够正常运转，下述现象应被观察到：（1） 在PC A上执行：ping 202.0.2.2，结果为“通”请将“通”的原因写到实验报告中5分）答：因为AR18-12为NAT路由器的配置时规定所有私网地址都可访问 公网即rule permit source 192.168.1.0 0.0.0.255 ，由于PCA是私网的机器， 202.0.2.2是公网的地址，路由器的路由表有其对应的路由表项，所以可以ping通（2） 在PC D上执行：ping 192.168.1.2，结果为“不通”请将“不通”的原因写到实验报告中5分）答：192.168.1.2这是一个私网的IP，在公网中是看不到的，路由表中没 有对应的表项，所以不能够ping通（3） 在PC C上启动IE浏览“http://192.0.0.1”，可以下载PC A Web服务器上的网页，该网页大致内容为“网站正在建设中”。

请将可以访问的原因写到实验报告中5分）答：因为我们将PC A的Web服务映射到公网IP地址192.0.0.1和公网 端口80，当我们用IE访问http://192.0.0.1时，通过NAT地址表转换， 相当于是访问PCA的WWW 服务，所以可以访问（4） 在PC C上启动IE浏览“http://192.168.1.2”，不可以下载PC A Web服务器上的网页请将不能访问的原因写到实验报告中5分）答：192.168.1.2是一个私网IP地址，在公网中是看不到的，路由表中没有对应的表项，因此无法访问5） 在PC B和C上都启动Ethereal，捕获所有TCP的包然后在PC C上启动IE浏览“http://192.0.0.1:8080”，将发现可以下载PC B Web服务器上的网页，该网页大致内容为“网站正在建设中”请将用Ethereal观察到的TCP包的源和目的IP地址、源和目的端口号在私网和公网上的变化情况写到实验报告中，并据此解释NAT在上述HTTP访问过程中做了怎样的地址转换5分）答：PC B上的抓包图，我们没保存下来，所以只能列出PC C上的图，但我们通过实验已经对其原理理解了PC C答：我们在NAT。