实验7：防火墙配置与NAT配置hy

1、大连理工大学本科实验报告课程名称：网络综合实验学院（系）：软件学院专业：软件工程班级：1008班学号：201092132学生姓名：李博涵2012年 6 月 1 日大连理工大学实验报告学院（系）：软件学院专业:软件工程班级：1008 班姓名：李博涵学号：201092132组：10实验时间：2012年6月1日实验室：C310实验台：10指导教师签字:成绩：实验七：防火墙配置与NAT配置一、实验目的学习在路由器上配置包过滤防火墙和网络地址转换（NAT）二、实验原理和内容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墙的基本原理及配置4、NAT的基本原理及配置三、实验环境以及设备2台路由器

2、、1台交换机、4台Pc机、双绞线若干四、实验步骤（操作方法及思考题）警告：路由器高速同异步串口（即S 口）连接电缆时，无论插拔操作，必须在 路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同 /异步串口电缆， 否则容易引起设备及端口的损坏。1、 请在用户视图下使用“ reset saved-configuration”命令和“ reboot”命令分别 将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。2、在确保路由器电源关闭情况下，按图1联线组建实验环境。配置IP地址，以及配置PC A和B的缺省网关为 , PC C的缺省网关为 , PC D的缺省网关为。ABSOEO交叉线CE

3、1交叉线3、 在两台路由器上都启动 RIP,目标是使所有PC机之间能够ping通。请将为 达到此目标而在两台路由器上执行的启动RIP的命令写到实验报告中。（5 分）Routerinterface Ethernet 0Router -Ethernet0interface serial 0Router -Serial0shutdownRouter -Serial0undo shutdownRouter -Serial0quitRouterripRouter-ripnetwork all4、在AR18和/或 AR28上完成防火墙配置，使满足下述要求：（1）只有PC机A和B、A和C、B和D之间能通信，

4、其他PC机彼此之 间都不能通信。（注：对于不能通信，要求只要能禁止其中一个方向 就可以了。）（2） 防火墙的ACL列表只能作用于两台路由器的以太网接口上，即AR18 的E0、AR28的E0和E1，不允许在两台路由器的 S0 口上关联ACL。请将你所执行的配置命令写到实验报告中。（注：配置方法并不唯一，写出 其中任何一种即可）（15分）Routerfirewall enableRouterfirewall default permitRouteracl 3001 match-order autoRouter-acl-3001rule deny ip source any destination

5、any Router-acl-3001rule permit ip source 0 destination 0 Router-acl-3001rule permit ip source 0 destination 0 Router-acl-3001interface ethernet 0Router-Ethernet0firewall packet-filter 3001 inbound 5、请在用户视图下使用“ reset saved-configuration”命令和“ reboot”命令分别D交叉线C将两台

6、路由器的配置清空，以免前面实验留下的配置对下面的NAT配置实验产生影响。6请将图1中IP地址的配置改为图2,即我们将用IP网段作为 一个私网，AR18作为连接私网与公网的 NAT路由器，AR28作为公网上的 一个路由器。具体的，请按下述步骤完成NAT配置实验：（1）配置AR18-12为NAT路由器，它将私有IP网段中的 IP地址转换为接口 S0的公网IP地址。请将所执行的配置命 令写到实验报告中。（5分）Routeracl 2000 match-order autoRouter-acl-2000rule deny source anyRouter-acl-2000i nteface seria

7、l 0Router-Serial0 nat outbou nd 2000 in terface（2） 我们在每一台PC上都安装了 Web服务器IIS，它运行在TCP端口 80。 请把PC A的Web服务映射到公网IP地址和公网端口 80， 把PC B的Web服务映射到公网IP地址和公网端口 8080, 并把所执行的配置命令写到实验报告中。（5分）Router-Serial0 nat server global 80 in side www tcp Router-Serial0 nat server global 8080 in s

8、ide www tcp（3） 我们在每一台PC上都允许了远程桌面服务，该服务使用TCP端口 3389。请把PC B远程桌面服务映射到公网IP地址和公网端 口 3389,并把所执行的配置命令写到实验报告中。（5分）Router-Serial0 nat server global 3389 in side 3389 tcp 请在AR18上配置一条缺省静态路由，用于指定AR18的缺省网关为。注：路由相关配置只需上述一条命令即可，并不需要在AR18和AR28上启动RIP。不在AR18上启动RIP的原因是私网IP的路由信息不应该被广 播

9、到公网上；不在AR28上启动RIP的原因是在本实验中公网环境中只用一 台AR28路由器来模拟。AR2 8-11AR18-1219A19B三 S0e1交叉线E0在上述步骤完成后，NAT应该能够正常运转，下述现象应被观察到：（1）在PC A上执行：ping 202.022,结果为“通”。请将“通”的原因写到 实验报告中。（5分）答：因为AR18-12为NAT路由器的配置时规定所有私网地址都可访问公网即 rule permit source 55 由于 PCA 是私网机器 是 公网的地址，通过AR18上配置的缺省静态路由可以到达，所以可“通”。（2） 在PC D

10、上执行：ping 结果为“不通”。请将“不通”的原 因写到实验报告中。（5分）答：因为是私有网段中的IP地址，在公网中是看不 到的，AR28-11的路由表中没有对应的表项，所以不“通”。（3）在PC C上启动IE浏览“ ”，可以下载PC A Web服务器上 的网页，该网页大致内容为“网站正在建设中”。请将可以访问的原因写 到实验报告中。（5分）答：PC A的Web服务已经映射到公网IP地址和公网端口 80，因 此访问时，相当于是访问PCA的WWW服务，所以可以访 问。（4） 在PC C上启动IE浏览“ ”，不可以下载PC A Web服务

11、器上的网页。请将不能访问的原因写到实验报告中。（5分）答：因为是私有IP网段中的IP地址，属于公网 中的PC C要访问它的Web服务器需要访问它的公网地址。（5） 在PC B和C上都启动Ethereal,捕获所有TCP的包。然后在PC C上启 动IE浏览“:8080”，将发现可以下载PC B Web服务器上的 网页，该网页大致内容为“网站正在建设中”。请将用Ethereal观察到的 TCP包的源和目的IP地址、源和目的端口号在私网和公网上的变化情况写到实验报告中，并据此解释 NAT在上述HTTP访问过程中做了怎样的 地址转换。（5分）PC B:口沖加皿，口二 3;

12、LSC13t :-1刁門出式剧出丙曲】H詡1逍： fuscrlpt婕 测 Mhl M55 M H荒逍 SWJ抽 1拝匹個忙氓0丄!iitrlpt li：tp A t:p V瓯圧必1迢lefrOPC C:!192.011 mu TCP http-alt岫佃删啊0测躺 M 酣躺蝴皿窪?观讥1TCP M州血町)http-ilt肌 帥1 Md Ml MIB HB P Oil !M OK (tffl/tal)答：由上图可以看出PC B上捕捉的包都是在和之间进 行通信，而在PCC上捕捉的包都是在和之间进行通信，说明 NAT在上述HTTP访问过程中做了相应的地址转换，具体如下：1. 当NAT收到一个目的地址

13、是，目的端口号是 8080的包时，查 找地址转换表，找到相应的表项后，把包的目的地址改为 ,目的端口号改成80,再将包转发给对应的PC。2. 当NAT收到一个源地址是,源端口号是80的包时，查找地址 转换表，找到相应表项后，把包的源 IP地址和源端口号分别改为 和 8080，再把包转发出去。（6）在PC D上使用“程序附件通讯远程桌面连接”登录PC B,在登录 对话框中请输入IP地址“ ”。在提示用户名和密码时，请分别输 入“ admin”和“ admin123”，则可以登录PC B。仅验证此现象即可，不 要求写实验报告。做本实验时请注意：（1）关闭PC机上的防火墙。（2） 同异步串口配置完成后，一定要执行