计算机网络实验八DHCP_NAT_ACL的实现

1、实验八 DHCP+NAT+ACL(case study) 【实验目的】 一、了解 DHCP 原理，掌握在路由器上配置 DHCP 服务器的方法 二、了解 IP Helper Address 原理和配置方法 三、掌握 NAT 原理，掌握静态和动态 NAT、PAT 的配置方法 四、理解和掌握 ACL 的作用；学会配置各种 ACL 五、参与网络的设计和实现 【实验拓扑及器材】 本实验需用到路由器 3 台，交换机 1 台，串行线、直通线、交叉线、console 线若干， 主机 7 台。实验拓扑如下： 场景描述： 上图为某小型公司的网络。 1. 拓扑描述： 1）3 个 VLAN，其中 VLAN2（PC1

2、所在 VLAN）为一般员工使用，VLAN4（PC2 所在 VLAN）为来访客户使用，VLAN3（Server1 所在 VLAN）有公司的 http 和 ftp 服务器。 2）LAN5（即 PC3 所在的 LAN），为网络管理员使用。 3）公司网络通过边界路由器 R3 连接到 ISP（用主机模拟）。 2. IP 地址： 1）在公司的网络内部，使用私有地址，地址范围为 /24 网段。VLAN3 的服 务器的 IP 地址为手动配置的固定地址；VLAN2、VLAN4、LAN5 的主机的 IP 地址由 DHCP - 92 - 自动获取，路由器 R2 上配置了 DHCP 服务，而路由

3、器 R1 上配置了 IP Helper Address。 2）当公司内部需要和外部通信时，通过边界路由器 R3 进行 NAT 转换，可用的内部全 局地址为 28/26 网段。其中 VLAN3 的服务器使用的是静态 NAT 转换，以使外 部网络能对服务器进行访问；而 VLAN2、VLAN4、LAN5 的主机使用的是 PAT，以节省内 部全局地址。 3. 公司内部的路由器上配有 ACL，使得： 1）VLAN2 能访问 VLAN3、VLAN4、LAN5 以及 Internet，但不能被 VLAN4、Internet 的用户访问。 2）VLAN3 能被 VLAN2、LAN5 的

4、用户访问，而被 VLAN4、Internet 的用户只能通过 http 和 ftp 访问 3）路由器的虚拟终端只允许 LAN5 用户的登录。 【实验重难点】 一、DHCP & IP Helper Address 1. DHCP（动态主机配置协议） 网络管理员可以利用 DHCP 服务器从事先定义好的地址池里为客户机动态分配 IP 配置 以及 DNS 服务器、域名等参数。 DHCP 对客户端的配置过程主要包括以下四个步骤： 1）客户端需要 IP 配置的时候，向所有节点发送 DHCPDISCOVER 广播寻找 DHCP 服 务器； 2）服务器用单播方式向客户端发送 DHCPOFFER 响应，提供 I

5、P 建议配置信息； 3）客户端如果觉得该建议配置可以接受，就向所有节点发 DHCPREQUEST 广播； 4）服务器向客户端单点传送一个 DHCPACK 以确认该配置的正式化。 2. IP Helper Address 网络中有多种类似 DHCP 这样需要通过广播寻找服务器的服务。而在大型的网络中， 往往不是所有客户都与这些主要服务器处于同一子网中。缺省情况下路由器不会将客户的广 播转发到他们的子网之外，因此这些定位服务器的广播包将无法到达服务器。 为了既能让客户能定位服务器而又避免在每一个子网上放置服务器，Cisco IOS 提供了 帮助地址特性。IP helper-address 命令可以

6、让路由器中继这些主要 UDP 服务的广播请求，并 把它们转发到特定的服务器上，从而服务器能基于请求作出响应，给请求客户以它们所需要 的信息。 在 DHCP 包中有一个 GIADDR 字段，若需跨网域进行自动地址分配，则此字段为中继 代理的地址，否则为 0。DHCP 服务器可以从代理的地址识别该请求主机对应的网段，从而 能正确地分配地址。 二、NAT 1. 私有地址和地址转换 IANA 保留了下列三块 IP 地址空间作为私有地址： 55(一个单独 A 类网络号码) 55(16 个相邻的 B 类网络号) 192.1

7、68.0.055(256 个相邻的 C 类网络号) - 93 - 任何组织可以不经 IANA 或因特网登记处的允许就可以使用私有地址。取得私有 IP 地 址的主机能和组织内部任何其他主机连接，但是如果不经过一个代理网关就不能和组织外的 主机连接。 地址转换，即 NAT 功能，就是指在一个组织网络内部，根据需要可以使用私有的 IP 地 址 (不需要经过申请)，在组织内部，各计算机间通过私有 IP 地址进行通讯，而当组织内部的 计算机要与外部网络进行通讯时，具有 NAT 功能的设备负责将其私有 IP 地址转换为公有 IP 地址，即用该组织申请的合法 IP 地址进行通信。

8、2NAT 几个主要术语 1）内部局部地址（Inside Local）：在内部网络中分配给主机的私有 IP 地址。 2）内部全局地址（Inside Global）：一个合法的 IP 地址，它对外代表一个或多个内部局 部 IP 地址。 3）外部全局地址（Outside Global）：由其所有者给外部网络上的主机分配的 IP 地址。 4）外部局部地址（Outside Local）：外部主机在内部网络中表现出来的 IP 地址。 3NAT 的类型 静态地址转换将内部局部地址与内部全局地址进行一对一的转换，内部局部地址被永久 映射成某个固定的全局地址。如果内部网络有 E-mail 服务器或 FTP 服务

9、器等可以为外部用 户共用的服务，这些服务器的 IP 地址必须采用静态地址转换，以便外部用户可以使用这些 服务。 动态地址转换也是将内部局部地址与内部全局地址一对一的转换，它从内部全局地址池 中动态地选择一个未使用的地址对内部局部地址进行转换，即采用动态分配的方法映射内部 局部地址和内部全局地址。 端口地址转换(PAT)是一种动态地址转换，它允许多个内部局部地址地址映射到同一个 全局地址。NAT 设备通过映射 TCP 或 UDP 端口号来跟踪记录不同的会话。 4NAT 的工作原理 当内部网络中的一台主机想传输数据到外部网络时，在它传输到外部网络之前要经过 NAT 路由器。该路由器检查数据包的报头

10、，获取该数据包的源 IP 信息，并检查是否满足地 址转换条件。如果不满足，则直接对数据包按常规进行路由处理。如果满足动态地址转换条 件，则从该路由器的内部全局地址表中分配一个内部全局地址给该内部局部地址，并形成内 部局部地址和内部全局地址的映射表。静态地址转换的映射表则是固定生成的。NAT 路由 器把该数据包的源地址，用它的内部全局地址代替，把此数据包传输到外部网络中。 当外部网络对内部主机进行应答时，应答数据包穿越外部网络到达发送端的 NAT 路由 器上。此路由器分析目的 IP 地址，当发现此目的 IP 地址为内部全局地址时，它将查找 NAT 映射表，从而获得内部局部地址；然后将数据包的目的

11、地址替换成内部局部地址，并将数据 包转发到内部网络中，最终到达发送的主机。 三、ACL（访问控制列表） ACL 能允许或拒绝数据包穿过规定的路由器接口，是应用在 IP 地址或上层协议(如 TCP 层 )的允许和拒绝条件的一个有序的集合。ACL 的主要作用是对数据包进行过滤，从而有助 于控制通过网络的数据包传输，达到限制网络数据流以及限制某些用户或设备对网络进行访 问的目的，具有简单的网络安全功能。 - 94 - ACL 语句是按顺序进行处理的，若找到匹配的语句则立刻执行 permit 或 deny，剩下语 句不再进行处理；若所有语句都不匹配，数据包将被 deny。每一种被路由协议（如 IP、I

12、PX ）， 在路由器的每个接口上的每个方向上（in 和 out），最多只能绑定一条 ACL。后面绑定的 ACL 会覆盖前面绑定的，也就是说后面绑定的 ACL 会取代前面绑定的 ACL 而起作用。 标准 ACL：它只对数据包的源 IP 地址进行控制和过滤，配置时的编号范围是 199 和 13001999。放置规则是将它们放在距目的地路由器尽可能近的地方以进行有效的控制。理 由是标准 ACL 只能指定源地址，所以在数据流被拒绝点之后的路径中的任何设备都不能进 行通信。不过要注意的是，这就意味着数据流会通过网络被转发，只在距目的地近的地方才 被拒绝。配置方法是(1)定义 ACL：Router(con

13、fig)#access-list permit |deny 源地 址 通配符掩码；(2)绑定 ACL 到接口：Router(config-if)#ip access-group in|out。 扩展 ACL：它会对源和目的 IP 地址都进行过滤和控制，配置时的编号范围是 100199 和 20002699。放置规则是将它们放在离源近的地方以减少非法流穿越多台路由器以及 ICMP 的管理性拒绝消息。理由是扩展 ACL 除了源的信息外，还指定了目的地的相关信息， 如 IP 地址、TCP 层的端口号等。配置方法是(1) 定义 ACL：Router(config)#access-list permit

14、 | deny 协议 源地址 通配符掩码 eq | neq | gt | lt 源端口 目的地址 通配 符掩码 eq | neq | gt | lt 目的端口 other options；(2) 绑定 ACL 到接口：Router(config-if)#ip access-group in|out。 标准或扩展 ACL 修改时无法修改特定条目，只有完全删除后再按正确的方式重新建立 才行。标准和扩展 ACL 对于由路由器自身发出的数据包不起限制作用。 命名 ACL：命名 ACL 允许在标准 ACL 和扩展 ACL 中，使用一个字母数字组合的字符 串（名字）来表示 ACL 号。命名 ACL 可以删

15、除某一特定的条目，而不用通过完全删除一个 ACL，然后再重新建立一个 ACL 来删除某一条特定的条目。 限制虚拟终端：出于安全性的考虑，我们需要限制主机或者其它路由器对虚拟终端的访 问。类似物理接口，我们可以在虚拟端口绑定 ACL。 【实验内容】 一、 按照拓扑配置路由器名称、接口（包括子接口） 二、 配置交换机（配置方法可参考实验五） 1. 2. 3. 清空交换机原先的配置 配置 VLAN 并绑定到相应的端口 配置 trunk 三、 配置路由 1. 2. 3. 在内部网络配置 OSPF 路由协议 在 R3 上配置默认路由，并传播到整个内部网络 R3(config)#ip route 0.0.

16、0.0 R3(config)#router ospf 1 R3(config-router)#default-information originate 把 ISP 的 IP 地址设为 ，网关设为 。 四、 配置 DHCP - 95 - 1. 在 R2 配置 DHCP 服务：VLAN2 对应地址池是 4/26，VLAN4 对应地址 池是 28/26，LAN5 对应地址池是 2/27 1) 配置 4/26 网段的 DHC

17、P 服务： R2(config)#ip dhcp pool VLAN2pool /建立一个地址池 R2(dhcp-config)#network 4 92 /指定分配的 IP 地址范围 R2(dhcp-config)#default-router 5 R2(dhcp-config)#dns-server R2(dhcp-config)#exit R2(config)#ip dhcp excluded-address 5 2) 配置 28/26 网段的 DH

18、CP 服务： R2(config)#ip dhcp pool VLAN4pool R2(dhcp-config)#network 28 92 R2(dhcp-config)#default-router 29 R2(dhcp-config)#dns-server R2(dhcp-config)#exit R2(config)#ip dhcp excluded-address 29 3) 配置 2/27 网段的 DHCP 服务： R2(config)#ip

19、dhcp pool LAN5pool R2(dhcp-config)#network 2 24 R2(dhcp-config)#default-router 3 R2(dhcp-config)#dns-server R2(dhcp-config)#exit R2(config)#ip dhcp excluded-address 3 在 R1 的三个子接口上配置 helper address R1(config)#interface f0.2 R1(config-if)#ip h

20、elper-address R1(config)#interface f0.3 R1(config-if)#ip helper-address R1(config)#interface f0.4 R1(config-if)#ip helper-address /指定网关 /指定 DNS 服务器 /指定不能分配的地址 2. 3. 4. 主机设置为用 DHCP 获取 IP 地址，并查看获取地址的结果 检验 DHCP 的常用命令 show ip dhcp binding show ip dhcp server statistic

21、s debug ip dhcp server events debug ip dhcp server packet 五、 在 R3 配置 NAT 1. Server1 用静态 NAT 映射到 29 R3(config)#ip nat inside source static 94 29 /在内部接口上启用源地址转换 R3(config)#interface s0 R3(config-if)#ip nat inside /指定内部接口 - 96 - R3(config-if)#interface s1 R3(config-if

22、)#ip nat outside 2. /指定外部接口 3. 4. VLAN2、VLAN4、LAN5 的主机用动态 NAT 映射到地址池 30 54 R3(config)#ip nat pool CISCO 30 54 netmask 28 R3(config)#access-list 1 deny 92 3 R3(config)#access-list 1 permit 55 R3(config)#

23、ip nat inside source list 1 pool CISCO 把动态 NAT 改为使用 PAT 1) 删除 NAT 配置，清除所有 NAT 转换表项: R3#clear ip nat translation * R3#clear ip nat statistics R3(config)#no ip nat inside source list 1 pool CISCO 2) 配置 PAT： R3(config)#ip nat inside source list 1 pool CISCO overload 检验 NAT 的常用命令 show ip nat translation

24、s verbose show ip nat statistics debug ip nat 六、 配置 ACL 1. /查看映射表 2. 在 R1 的 f0.2 口绑定 ACL，使 VLAN2 能访问 VLAN3、VLAN4、 LAN5 以及 Internet， 但不能被 VLAN4、Internet 的用户访问 R1(config)#access-list 100 permit ip 92 3 any R1(config)#access-list 100 permit ip 2 1 any R1(config)#access-list 100 permit tcp any any established R1(config)#interface f0.2 R1(config-if)#ip access-group 100 out 在 R1 的 f0.3 口绑定 ACL，使 VLAN3 能被 VLAN2、 LAN5 的用户访问，而被 VLAN4、 Internet 的用户只能通过 http 和 ftp 访问 R1(config)#access-list 101 permit ip 4 3 any R1(config)#access-list 101 permi