实验7：防火墙配置与NAT配置(2013).doc

1、大连理工大学本科实验报告课程名称： 网络综合实验 学院（系）： 软件学院 专 业： 软件工程（日强） 班 级： 软日 10 学 号： 201093 学生姓名： 学长 2013 年 4 月 13 日大连理工大学实验报告学院（系）：软件学院 专业：软件工程（日强） 班级： 姓 名： 学号： 组： 实验时间： 实验室：网络综合实验室 实验台： 指导教师签字： 成绩： 实验七：防火墙配置与 NAT 配置一、实验目的学习在路由器上配置包过滤防火墙和网络地址转换（NAT）二、实验原理和内容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墙的基本原理及配置4、NAT 的基本原理及配置三、实验环境以

2、及设备2 台路由器、1 台交换机、4 台 Pc 机、双绞线若干四、实验步骤（操作方法及思考题）警告：路由器高速同异步串口（即 S 口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏。1、请在用户视图下使用“reset saved-configuration”命令和“reboot ”命令分别将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。2、在确保路由器电源关闭情况下，按图 1 联线组建实验环境。配置 IP 地址，以及配置 PC A 和 B 的缺省网关为 202.0.0.1，PC C 的缺省网关为

3、 202.0.1.1，PC D 的缺省网关为 202.0.2.1。2 0 2 . 0 . 0 . 2 / 2 42 0 2 . 0 . 1 . 2 / 2 41 9 2 . 0 . 0 . 1 / 2 4 1 9 2 . 0 . 0 . 2 / 2 42 0 2 . 0 . 0 . 1 / 2 4 2 0 2 . 0 . 1 . 1 / 2 4S 0 S 0E 0 E 02 0 2 . 0 . 0 . 3 / 2 42 0 2 . 0 . 2 . 2 / 2 4E 12 0 2 . 0 . 2 . 1 / 2 4A R 1 8 - 1 2 A R 2 8 - 1 1交叉线交叉线A BCD图 1

4、3、在两台路由器上都启动 RIP，目标是使所有 PC 机之间能够 ping 通。请将为达到此目标而在两台路由器上执行的启动 RIP 的命令写到实验报告中。 （5分）AR28-11Quidwayinterface e0/0Quidway-Ethernet0/0ip address 202.0.1.1 255.255.255.0Quidway-Ethernet0/0interface ethernet0/1Quidway-Ethernet0/1ip address 202.0.2.1 255.255.255.0Quidway-Ethernet0/1interface serial0/0Quidwa

5、y-Serial0/0ip address 192.0.0.2 255.255.255.0Quidway-Serial0/0quitQuidwayripQuidway-ripnetwork 0.0.0.0AR18-12Routerinterface e0Router -Ethernet0ip address 202.0.0.1 255.255.255.0Router -Ethernet0interface s0Router - Serial0ip address 192.0.0.1 255.255.255.0Router -Ethernet0quitRouterripRouter -ripne

6、twork all4、在 AR18 和/或 AR28 上完成防火墙配置，使满足下述要求：（1） 只有 PC 机 A 和 B、A 和 C、B 和 D 之间能通信，其他 PC 机彼此之间都不能通信。 （注：对于不能通信，要求只要能禁止其中一个方向就可以了。 ）（2） 防火墙的 ACL 列表只能作用于两台路由器的以太网接口上，即AR18 的 E0、AR28 的 E0 和 E1，不允许在两台路由器的 S0 口上关联 ACL。请将你所执行的配置命令写到实验报告中。 （注：配置方法并不唯一，写出其中任何一种即可） （15 分）AR28-11Quidwayfirewall enableQuidwayfire

7、wall default permitQuidwayacl number 3001 match-order auto-阻止 C、D 通信Quidway-acl-adv-3001rule deny ip source 202.0.1.2 0 destination 202.0.2.2 0 -阻止 C、B 通信Quidway-acl-adv-3001rule deny ip source 202.0.1.2 0 destination 202.0.0.3 0Quidway-acl-adv-3001int e0/0Quidway-Ethernet0/0firewall packet-filter 3

8、001 inboundQuidway-Ethernet0/0shutdownQuidway-Ethernet0/0undo shutdownQuidway-Ethernet0/0quitQuidwayacl number 3002 match-order auto-阻止 D、A 通信Quidway-acl-adv-3002rule deny ip source 202.0.2.2 0 destination 202.0.0.2 0 Quidway-acl-adv-3002int e0/1Quidway-Ethernet0/1firewall packet-filter 3002 inbound

9、Quidway-Ethernet0/1shutdownQuidway-Ethernet0/1undo shutdownQuidway-Ethernet0/1quit本机为 DpingA 不通pingB 通pingC 不通5、请在用户视图下使用“reset saved-configuration”命令和“reboot ”命令分别将两台路由器的配置清空，以免前面实验留下的配置对下面的 NAT 配置实验产生影响。6、请将图 1 中 IP 地址的配置改为图 2，即我们将用 IP 网段 192.168.1.0/24 作为一个私网，AR18 作为连接私网与公网的 NAT 路由器，AR28 作为公网上的一个

10、路由器。具体的，请按下述步骤完成 NAT 配置实验：（1） 配置 AR18-12 为 NAT 路由器，它将私有 IP 网段 192.168.1.0/24 中的 IP 地址转换为接口 S0 的公网 IP 地址 192.0.0.1。请将所执行的配置命令写到实验报告中。 （10 分）Quidwayacl 2000 match-order autoQuidway-acl-2000rule permit source 192.168.1.0 0.0.0.255Quidway-acl-2000rule deny source anyQuidway-acl-2000quitQuidwaynat addres

11、s-group 192.0.0.1 192.0.0.1 pool1Quidwayint s0Quidway-Serial0 nat outbound 2000 address-group pool1（2） 我们在每一台 PC 上都安装了 Web 服务器 IIS，它运行在 TCP 端口80。请把 PC A 的 Web 服务映射到公网 IP 地址 192.0.0.1 和公网端口80，把 PC B 的 Web 服务映射到公网 IP 地址 192.0.0.1 和公网端口8080，并把所执行的配置命令写到实验报告中。 （10 分）Quidway-Serial0nat server global 192.

12、0.0.1 80 inside 192.168.1.2 80 tcpQuidway-Serial0nat server global 192.0.0.1 8080 inside 192.168.1.3 80 tcpQuidway-Serial0shutdownQuidway-Serial0undo shutdown（3） 我们在每一台 PC 上都允许了远程桌面服务，该服务使用 TCP 端口3389。请把 PC B 远程桌面服务映射到公网 IP 地址 192.0.0.1 和公网端口 3389，并把所执行的配置命令写到实验报告中。 （10 分）Quidway-Serial0nat server g

13、lobal 192.0.0.1 3389 inside 192.168.1.3 3389 tcpQuidway-Serial0shutdownQuidway-Serial0undo shutdown请在 AR18 上配置一条缺省静态路由，用于指定 AR18 的缺省网关为192.0.0.2。Quidwayip route-static 0.0.0.0 0 192.0.0.2注：路由相关配置只需上述一条命令即可，并不需要在 AR18 和AR28 上启动 RIP。不在 AR18 上启动 RIP 的原因是私网 IP 的路由信息不应该被广播到公网上；不在 AR28 上启动 RIP 的原因是在本实验中公网

14、环境中只用一台 AR28 路由器来模拟。1 9 2 . 1 6 8 . 1 . 2 / 2 42 0 2 . 0 . 1 . 2 / 2 41 9 2 . 0 . 0 . 1 / 2 4 1 9 2 . 0 . 0 . 2 / 2 41 9 2 . 1 6 8 . 1 . 1 / 2 4 2 0 2 . 0 . 1 . 1 / 2 4S 0 S 0E 0 E 01 9 2 . 1 6 8 . 1 . 3 / 2 42 0 2 . 0 . 2 . 2 / 2 4E 12 0 2 . 0 . 2 . 1 / 2 4A R 1 8 - 1 2 A R 2 8 - 1 1交叉线交叉线A BCD图 2在

15、上述步骤完成后，NAT 应该能够正常运转，下述现象应被观察到：（1） 在 PC A 上执行：ping 202.0.2.2，结果为“通” 。请将“通”的原因写到实验报告中。 （10 分）因为配置 AR18-12 为 NAT 路由器时规定所有私网地址都可访问公网，即 rule permit source 192.168.1.0 0.0.0.255 ，所以位于私网中的 PCA 可以 ping 通公网地址 202.0.2.2。（2） 在 PC D 上执行：ping 192.168.1.2，结果为“不通” 。请将“不通”的原因写到实验报告中。 （10 分）192.168.1.2 是位于私网的地址，PCD

16、 是公网中的机器，私网运用 NAT协议时，公网地址是无法直接访问私网 ip 的。（3） 在 PC C 上启动 IE 浏览“http:/192.0.0.1” ，可以下载 PC A Web 服务器上的网页，该网页大致内容为“网站正在建设中” 。请将可以访问的原因写到实验报告中。 （10 分）PCA 的 Web 服务映射到公网 IP 地址 192.0.0.1 和公网端口 80，PCC 访问 http:/192.0.0.1 时，访问 http 默认的端口号 80，通过 NAT 地址表转换，相当于访问 PCA 的 Web 服务器（4） 在 PC C 上启动 IE 浏览“http:/192.168.1.2

17、” ，不可以下载 PC A Web 服务器上的网页。请将不能访问的原因写到实验报告中。 （10 分）192.168.1.2 是私网地址，对公网不可见，所以 PCC 不能访问。（5） 在 PC B 和 C 上都启动 Ethereal，捕获所有 TCP 的包。然后在 PC C 上启动 IE 浏览“ http:/192.0.0.1:8080”，将发现可以下载 PC B Web 服务器上的网页，该网页大致内容为“网站正在建设中” 。请将用 Ethereal 观察到的 TCP 包的源和目的 IP 地址、源和目的端口号在私网和公网上的变化情况写到实验报告中，并据此解释 NAT 在上述 HTTP 访问过程中

18、做了怎样的地址转换。 （10 分）PCBPCCPCC访问地址 192.0.0.1 的 8080 端口，发送目的地址是 192.0.0.1，目的端口号是 8080 的数据包接收源地址是 192.0.0.1，源端口号是 8080 的数据包NAT 路由 AR18-12发现包的目的地址是 192.0.0.1，目的端口号是 8080，查找 NAT 地址转换表，将包的目的地址替换成 192.168.1.3，目的端口号替换成 80，然后转发出去发现包的源地址是 192.168.1.3，源端口号是 80，查找 NAT 地址转换表后，将包的源地址替换成 192.0.0.1，源端口号替换成 8080，然后转发出去

19、PCD接收目的地址是 192.168,.1.3，目的端口号是 80 的数据包发送源地址是 192.168.1.3，源端口号是 80 的数据包（6） 在 PC D 上使用“程序附件通讯远程桌面连接”登录 PC B，在登录对话框中请输入 IP 地址“192.0.0.1” 。在提示用户名和密码时，请分别输入“administrator”和 “admin，则可以登录 PC B。仅验证此现象即可，不要求写实验报告。做本实验时请注意：（1） 关闭 PC 机上的防火墙。（2） 同异步串口配置完成后，一定要执行“shutdown ”和“undo shutdown”命令，从而使之生效。五、讨论、建议、质疑路由器型号不同命令有微小差别，需自行查阅课件和 指导手册