实验7：防火墙配置与NAT配置最新完整版

网络综合实验七最新最全最实用

大连理工大学

本科实验报告

课程名称： 网络综合实验 学院（系）： 软件学院 专 业：

2012年 3月 30日

网络综合实验七最新最全最实用

大连理工大学实验报告

实验七：防火墙配置与NAT配置

一、实验目的

学习在路由器上配置包过滤防火墙和网络地址转换（NAT）

二、实验原理和内容

1、路由器的基本工作原理 2、配置路由器的方法和命令 3、防火墙的基本原理及配置 4、NAT的基本原理及配置

三、实验环境以及设备

2台路由器、1台交换机、4台Pc机、双绞线若干 四、实验步骤（操作方法及思考题）

{警告：路由器高速同异步串口（即S口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏。}

1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。

2、在确保路由器电源关闭情况下，按图1联线组建实验环境。配置IP地址，以及配置PC A 和B的缺省网关为 202.0.0.1，PC C 的缺省网关为 202.0.1.1，PC D 的缺省网关为 202.0.2.1。

网络综合实验七最新最全最实用

AR18-12

AR28-11

202.0.0.2/24

A202.0.0.3/24

B

C

图 1

3、在两台路由器上都启动RIP，目标是使所有PC机之间能够ping通。请将为达到此目标而在两台路由器上执行的启动RIP的命令写到实验报告中。（5分） AR18-12

[Router]interface ethernet0

[Router -Ethernet0]ip address 202.0.0.1 255.255.255.0 [Router -Ethernet0]interface serial0

[Router - Serial0]ip address 192.0.0.1 255.255.255.0 [Router - Serial0]quit [Router]rip

[Router -rip]network all

AR28-11

[Quidway]interface e0/0

[Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [Quidway-Ethernet0/0]interface ethernet0/1

[Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [Quidway-Ethernet0/1]interface serial/0

[Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0 [Quidway-Serial0/0]quit [Quidway]rip

[Quidway-rip]network 0.0.0.0

Ping结果如下：全都ping通

网络综合实验七最新最全最实用

4、在AR18和/或AR28上完成防火墙配置，使满足下述要求：

（1） 只有PC机A和B、A和C、B和D之间能通信，其他PC机彼此之

间都不能通信。（注：对于不能通信，要求只要能禁止其中一个方向就可以了。）

（2） 防火墙的ACL列表只能作用于两台路由器的以太网接口上，即AR18

的E0、AR28的E0和E1，不允许在两台路由器的S0口上关联ACL。 请将你所执行的配置命令写到实验报告中。（注：配置方法并不唯一，写出其中任何一种即可）（15分）

[RTB]firewall enable

[RTB]firewall default permit

[RTB]acl number 3001 match-order auto 禁止C和D通信

[RTB-acl-adv-3001]rule deny ip source 202.0.1.2 0 destination 202.0.2.2 0 禁止C和B通信

[RTB-acl-adv-3001]rule deny ip source 202.0.1.2 0 destination 202.0.0.3 0

[RTB-acl-adv-3001]int e0/0

讲规则3001作用于接口0/0进入的包

[RTB-Ethernet0/0]firewall packet-filter 3001 inbound [RTB-Ethernet0/0]quit

[RTB]acl number 3002 match-order auto

网络综合实验七最新最全最实用

禁止D和A通信

[RTB-acl-adv-3002]rule deny ip source 202.0.2.2 0 destination 202.0.0.2 0

[RTB-acl-adv-3002]int e 0/1

将规则3002作用于接口0/1进入的包

[RTB-Ethernet0/1]firewall packet-filter 3002 inbound [RTB-Ethernet0/1]quit

Ping结果如下：主机D与B(202.0.0.3) ping通，与C(202.0.1.2) A(202.0.0.2) ping不通

5、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免前面实验留下的配置对下面的NAT配置实验产生影响。

6、请将图1中IP地址的配置改为图2，即我们将用IP 网段192.168.1.0/24作为一个私网，AR18作为连接私网与公网的NAT路由器，AR28作为公网上的一个路由器。具体的，请按下述步骤完成NAT配置实验：

（1） 配置AR18-12为NAT路由器，它将私有IP 网段192.168.1.0/24中的

IP地址转换为接口S0的公网IP 地址192.0.0.1。请将所执行的配置命令写到实验报告中。（10分）

网络综合实验七最新最全最实用

[RTA]acl number 2000 match-order auto

[RTA-acl-2000]rule permit source 192.168.1.0 0.0.0.255 [RTA-acl-2000]rule deny source any [RTA-acl-2000]interface serial 5/0

[RTA]nat address-group 1 192.0.0.1 192.0.0.1 [RTA]interface serial5/0

[RTA-Serial5/0]nat outbound 2000 address-group 1

（2） 我们在每一台PC上都安装了Web服务器IIS，它运行在TCP端口80。

请把PC A的Web服务映射到公网IP地址192.0.0.1和公网端口80，把PC B的Web服务映射到公网IP地址192.0.0.1和公网端口8080，并把所执行的配置命令写到实验报告中。（10分）

[RTA-Serial5/0]nat server protocol tcp global 192.0.0.1 80 inside 192.168.1.2 80

[RTA-Serial5/0]nat server protocol tcp global 192.0.0.1 8080 inside 192.168.1.3 80

（3） 我们在每一台PC上都允许了远程桌面服务，该服务使用TCP端口

3389。请把PC B远程桌面服务映射到公网IP地址192.0.0.1和公网端口3389，并把所执行的配置命令写到实验报告中。（10分）

[RTA-Serial5/0]nat server protocol tcp global 192.0.0.1 3389 inside 192.168.1.3 3389

[RTA-Serial5/0]shutdown

[RTA-Serial5/0]undo shutdown

请在AR18上配置一条缺省静态路由，用于指定AR18的缺省网关为192.0.0.2。

[RTA]ip route-static 0.0.0.0 0 192.0.0.2

注：路由相关配置只需上述一条命令即可，并不需要在AR18和AR28

上启动RIP。不在AR18上启动RIP的原因是私网IP的路由信息不应该被广播到公网上；不在AR28上启动RIP的原因是在本实验中公网环境中只用一台AR28路由器来模拟。

网络综合实验七最新最全最实用

AR18-12

AR28-11

192.168.1.2/24

A192.168.1.3/24

B

C

图2

在上述步骤完成后，NAT应该能够正常运转，下述现象应被观察到： （1） 在PC A上执行：ping 202.0.2.2，结果为“通”。请将“通”的原因写到

实验报告中。（10分）

因为202.0.2.2是公网IP，作为NAT路由器的RTA允许私网——192.168.1.0/24网段内的机器通过地址转换后访问公网，故PC A能ping通 202.0.2.2。

（2） 在PC D上执行：ping 192.168.1.2，结果为“不通”。请将“不通”的原

因写到实验报告 …… 此处隐藏：3489字，全部文档内容请下载后查看。喜欢就下载吧 ……