收藏
下载资源 加入VIP免费专享

实验七:防火墙配置与NAT配置.doc

上传人:scccc 文档编号:13509249 上传时间:2022-01-12 格式:DOC 页数:8 大小:178.50KB
返回 下载 相关 举报
实验七:防火墙配置与NAT配置.doc_第1页
第1页 / 共8页
实验七:防火墙配置与NAT配置.doc_第2页
第2页 / 共8页
实验七:防火墙配置与NAT配置.doc_第3页
第3页 / 共8页
亲,该文档总共8页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《实验七:防火墙配置与NAT配置.doc》由会员分享,可在线阅读,更多相关《实验七:防火墙配置与NAT配置.doc(8页珍藏版)》请在三一文库上搜索。

1、大连理工大学实验报告学院(系):专业:班级:姓名:学号:组:实验时间:实验室:实验台:指导教师签字:成绩:实验七:防火墙配置与NAT配置一、实验目的学习在路由器上配置包过滤防火墙和网络地址转换( NAT)二、实验原理和内容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墙的基本原理及配置4、NAT的基本原理及配置三、实验环境以及设备2台路由器、1台交换机、4台Pc机、双绞线若干四、实验步骤(操作方法及思考题)警告:路由器高速同异步串口(即S 口)连接电缆时,无论插拔操作,必须在 路由器电源关闭情况下进行;严禁在路由器开机状态下插拔同 /异步串口电缆, 否则容易引起设备及端口的损坏。1

2、、请在用户视图下使用“ reset saved-configuration”命令和“ reboot”命令分别 将两台路由器的配置清空,以免以前实验留下的配置对本实验产生影响。2、在确保路由器电源关闭情况下,按图1联线组建实验环境。配置IP地址,以及配置PC A和B的缺省网关为 202.0.0.1, PC C的缺省网关为 202.0.1.1, PC D的缺省网关为202.0.2.1。AR18-12AR2 8-11202.0.2.1/24E0 202.0.0.1/24佃 2.0.0.2/24图1交叉线202.0.2.2/24D3、在两台路由器上都启动 RIP,目标是使所有PC机之间能够ping通。

3、请将为 达到此目标而在两台路由器上执行的启动RIP的命令写到实验报告中。(5 分)答:(本组四台路由器均为 AR-28)PC A上命令:H3Cinterface ethernet 00H3C-Ethernet00ip address 202.0.0.1 255.255.255.0 H3C-Ethemet00interface serial /0H3C-Serial/0ip address 192.0.0.1 255.255.255.0 H3C-Serial/0shutdownH3C-Serial/0undo shutdownH3CripH3C-ripnetwork 0.0.0.0PC C上命令

4、:H3Cinterface ethernet 00H3C-Ethernet00ip address 202.0.1.1 255.255.255.0 H3C-Ethernet00interface ethernet 0/1H3C-Ethernet01ip address 202.0.2.1 255.255.255.0 H3C-Ethernet01 interface serial 0/1H3C-Serial0/1ip address 192.0.0.2 255.255.255.0 H3C-Serial0/1shutdownH3C-Serial0/1undo shutdownH3CripH3C-r

5、ipnetwork 0.0.0.0 4、在AR18和/或 AR28上完成防火墙配置,使满足下述要求:(1)只有PC机A和B、A和C、B和D之间能通信,其他PC机彼此之 间都不能通信。(注:对于不能通信,要求只要能禁止其中一个方向 就可以了。)(2)防火墙的ACL列表只能作用于两台路由器的以太网接口上, 即AR18 的EO、AR28的E0和E1,不允许在两台路由器的 SO 口上关联ACL。请将你所执行的配置命令写到实验报告中。(注:配置方法并不唯一,写出 其中任何一种即可)(15分)答:(本组四台路由器均为 AR-28)H3Cfirewall enableH3Cfirewall default

6、permitH3Cacl number 3001 match-order autoH3C-acl-adv-3001rule deny ip source 202.0.1.2 0 destination 202.0.2.2 0 H3C-acl-adv-3001rule deny ip source 202.0.1.2 0 destination 202.0.0.3 0 H3C-acl-adv-3001interface ethernet 0/H3C-Ethernet00firewall packet-filter 3001 inboundH3Cacl number 3002 match-orde

7、r autoH3C-acl-adv-3002rule deny ip source 202.0.2.2 0 destination 202.0.0.2 0H3C-acl-adv-3001interface ethernet 0/1H3C-Ethernet01 firewall packet-filter 3002 inbound5、请在用户视图下使用“ reset saved-configuration”命令和“ reboot”命令分别 将两台路由器的配置清空,以免前面实验留下的配置对下面的NAT配置实验产生影响。6请将图1中IP地址的配置改为图2,即我们将用IP网段192.168.1.0/2

8、4作为 一个私网,AR18作为连接私网与公网的 NAT路由器,AR28作为公网上的 一个路由器。具体的,请按下述步骤完成NAT配置实验:(1)配置AR18-12为NAT路由器,它将私有IP网段192.168.1.0/24中的 IP地址转换为接口 S0的公网IP地址192.0.0.1。请将所执行的配置命 令写到实验报告中。(10分)(2)我们在每一台PC上都安装了 Web服务器IIS,它运行在TCP端口 80。 请把PC A的Web服务映射到公网IP地址192.0.0.1和公网端口 80, 把PC B的Web服务映射到公网IP地址192.0.0.1和公网端口 8080, 并把所执行的配置命令写到

9、实验报告中。(10分)(3) 我们在每一台PC上都允许了远程桌面服务,该服务使用TCP端口 3389。请把PC B远程桌面服务映射到公网IP地址192.0.0.1和公网端 口 3389,并把所执行的配置命令写到实验报告中。(10分)请在AR18上配置一条缺省静态路由,用于指定 AR18的缺省网关为192.0.0.2。 答:(本组四台路由器均为 AR-28)H3Cacl number 2000 match-order autoH3C-acl-basic-2000rule permit source 192.168.1.0 0.0.0.255 H3C-acl-basic-2000rule deny

10、 source anyH3C-acl-basic-2000nat address-group 1 192.0.0.1 192.0.0.1 H3CinterfaceH3C-Serial/0nat outbound 3001 address-group 1H3C-Serial/0nat server protocol tcp global 192.0.0.1 80 inside 192.168.1.2 80H3C-Serial/0nat server protocol tcp global 192.0.0.1 8080 inside 192.168.1.3 80H3C-Serial/0nat ou

11、tbound 2000 address-group 1H3C-Serial/0nat server protocol tcp global 192.0.0.1 3389 inside 192.168.1.3 3389 H3C-Serial/0shutdownH3C-Serial/0undo shutdownH3C-Serial2)quitH3Cip route-static 0.0.0.0 0 192.0.0.2注:路由相关配置只需上述一条命令即可,并不需要在AR18和AR28AR2 8-11AR18-12192.168.1.2/24192.168.1.3/24AB佃 2.0.0.2/2420

12、2.0.1.1/24 E0交叉线202.0.1.2/24C202.0.2.1/24交叉线202.0.2.2/24D上启动RIP。不在AR18上启动RIP的原因是私网IP的路由信息不应该被广 播到公网上;不在AR28上启动RIP的原因是在本实验中公网环境中只用一 台AR28路由器来模拟。在上述步骤完成后,NAT应该能够正常运转,下述现象应被观察到:(1)在PC A上执行:ping 202.022,结果为“通”。请将“通”的原因写到 实验报告中。(10分)答:因为根据ACL2000规则,NAT路由器允许私网192.168.1.0/24 网段内的PC 机(PC A)通过地址转换后访问公网 202.0

13、.2.2。(2)在PC D上执行:ping 192.168.1.2结果为“不通”。请将“不通”的原 因写到实验报告中。(10分)答:因为192.168.1.2 是PC A的私有IP地址,在路由器 AR28-11中没有相应 的转发表项,因此数据包会被丢弃,PC D不能ping通。(3) 在PC C上启动IE浏览“ http:/192.0.0.1”,可以下载PC A Web服务器上 的网页,该网页大致内容为“网站正在建设中”。请将可以访问的原因写 到实验报告中。(10分)答:因为PC A的Web服务已被映射到公网IP地址192.0.0.1和公网端口 80, PC C在IE访问http:/192.0

14、.0.1时,该地址和端口被 NAT路由器转换为PC A的私网IP地址192.168.1.2和端口,所以可以下载 PC A Web服务器上的网页。(4)在PC C上启动IE浏览“ http:/192.168.1.2” 不可以下载PC A Web服务 器上的网页。请将不能访问的原因写到实验报告中。(10分)答:因为192.168.1.2 是PC A的私有IP地址,在路由器 AR28-11中没有相应 的转发表项,因此无法访问。(5)在PC B和C上都启动Ethereal,捕获所有TCP的包。然后在PC C上启 动IE浏览“http:/192.0.0.1:8080”,将发现可以下载PC B Web服务

15、器上的 网页,该网页大致内容为“网站正在建设中”。请将用Ethereal观察到的 TCP包的源和目的IP地址、源和目的端口号在私网和公网上的变化情况 写到实验报告中,并据此解释 NAT在上述HTTP访问过程中做了怎样的 地址转换。(10分)答:TCP2 C.OC0O291.168.1.3202.0,L2TCP3 C,O1G851血丄2192.1531.3TCPi C(O622E8202.0.1,?192丄3HTTP5個处192A68A.3muTCPa run-server 忙 dPC B抓包:GET / KTTP/L1http怜汕吃住讯ACK Seq=C Act=l亦癌仞 armi-serve

16、r http KK測=1 Ack=l vin=65535 Len=0TH卩制M哎临以河=1皿4 9 5谢痂241汶e Frame 1 (62 bytes on igre, 62 byt?s capture J)i Ethernei IIS src:汨;打;酌:兀:lf:呻(QJ:再朋:m;lf:4心 E: 13:D3;73:加:扣:軒(19:U;7J:ba:i2:ce卜 irrternet Protoco, 5rc: 202,01,2 (沖?. 1,?人 Dit: 192,168,1,3 (192,168.1,3)t: Transmssion control Protocolh src Por

17、t: armi-seuer (3174)k ost Port: hctp (80),量c: 0, Len: D根据PC B捕获的信息,原IP地址为PC C的IP地址202.0.1.2,原端口号为3174;目的IP地址为PC B的私网IP地址192.168.1.3,目的端口号为 80。 PC C抓包:4 12.00516(120J.0.1.2192.0.01TCParml-server http-alt sffl seq-0 阳間5 5茹 Len=o m5 12,025034igj.o.o.1202.0.1.2TCPhrtp-alt arnd-server snij ack seq-o Ack-

18、1 ln6 12,025051202.0,1.2192,0,:.:TC=armi-server http-alT朋seq-1 Ack-1 wh-6j535 |712.0252QD202.0,1.2HTTPGET / HTTP/1.1812.220865192.0,0.1202.0,1.2TCPktp-alt ariri-serverkK seq=l Ack=295 *in=65241& 16,297387192.0,0.1202.0,1.2l-TTPhttpA-I 200 ok ;ten/html i202,0,1.219?.0,01HTTPget /pigerfor.f f h” 1116,

19、55060519LO.O,!302.0,1.2TCPTCP seBfit of i reasserbled pdu1216J656L3202.0.1.2192,0,0.1TCPtl-d-aver-ip htrp-alt 5YN 5eq-0 Wir-65535 Len-013 16.74973319J.0.D.12D2.0.1.2TCPTCP 丸界Eit of a reassenitlsd pdu14比丽血兀二0丄2Uh卫1TCP屹# SEq讯仍 就討靈2胃讪M5|15 16.770210192.0,0.1202.0,1.2l-TTPi-ttpA.1 200 OK (gif關a)16 16.77

20、601Q192.0.0.1202.0.1.2TCPhttp-il: tl-el-wer-lp syn, ack seq-o AcM w1n=根据PC C捕获的信息,原IP地址为PC C的IP 地址 202.0.1.2,原端口号为3174;目的IP地址经NAT映射为公网IP地址192.0.0.1 ,目的端口为映射的公网端口 8080。NAT路由器的作用有:将私网的网络服务IP地址及端口号经过查找地址转换表,映射为公网的IP地址及端口号并转发;将公网的网络服务IP地址及端口号经过查找地址转换表,映射为私网的IP地址及端口号并转发。(6)在PC D上使用“程序附件通讯远程桌面连接”登录PC B,在登录 对话框中请输入IP地址“ 192.0.0.1”。在提示用户名和密码时,请分别输 入“ administrator”和“ admin,则可以登录PC B。仅验证此现象即可, 不要求写实验报告。做本实验时请注意:(1)关闭PC机上的防火墙。(2) 同异步串口配置完成后,一定要执行“ shutdown”和“ undo shutdown” 命令,从而使之生效。五、讨论、建议、质疑

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 社会民生


经营许可证编号:宁ICP备18001539号-1