實(shí)驗(yàn)七:防火墻配置與NAT配置_第1頁(yè)
實(shí)驗(yàn)七:防火墻配置與NAT配置_第2頁(yè)
實(shí)驗(yàn)七:防火墻配置與NAT配置_第3頁(yè)
已閱讀5頁(yè),還剩3頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、大連理工大學(xué)實(shí)驗(yàn)報(bào)告學(xué)院(系):專業(yè):班級(jí):姓名:學(xué)號(hào):組:實(shí)驗(yàn)時(shí)間:實(shí)驗(yàn)室:實(shí)驗(yàn)臺(tái):指導(dǎo)教師簽字:成績(jī):實(shí)驗(yàn)七:防火墻配置與NAT配置一、實(shí)驗(yàn)?zāi)康膶W(xué)習(xí)在路由器上配置包過(guò)濾防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)換( NAT)二、實(shí)驗(yàn)原理和內(nèi)容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墻的基本原理及配置4、NAT的基本原理及配置三、實(shí)驗(yàn)環(huán)境以及設(shè)備2臺(tái)路由器、1臺(tái)交換機(jī)、4臺(tái)Pc機(jī)、雙絞線若干四、實(shí)驗(yàn)步驟(操作方法及思考題)警告:路由器高速同異步串口(即S 口)連接電纜時(shí),無(wú)論插拔操作,必須在 路由器電源關(guān)閉情況下進(jìn)行;嚴(yán)禁在路由器開機(jī)狀態(tài)下插拔同 /異步串口電纜, 否則容易引起設(shè)備及端口的損壞。1

2、、請(qǐng)?jiān)谟脩粢晥D下使用“ reset saved-configuration”命令和“ reboot”命令分別 將兩臺(tái)路由器的配置清空,以免以前實(shí)驗(yàn)留下的配置對(duì)本實(shí)驗(yàn)產(chǎn)生影響。2、在確保路由器電源關(guān)閉情況下,按圖1聯(lián)線組建實(shí)驗(yàn)環(huán)境。配置IP地址,以及配置PC A和B的缺省網(wǎng)關(guān)為 , PC C的缺省網(wǎng)關(guān)為 , PC D的缺省網(wǎng)關(guān)為。AR18-12AR2 8-11/24E0 /24佃 /24圖1交叉線/24D3、在兩臺(tái)路由器上都啟動(dòng) RIP,目標(biāo)是使所有PC機(jī)之間能夠ping通。

3、請(qǐng)將為 達(dá)到此目標(biāo)而在兩臺(tái)路由器上執(zhí)行的啟動(dòng)RIP的命令寫到實(shí)驗(yàn)報(bào)告中。(5 分)答:(本組四臺(tái)路由器均為 AR-28)PC A上命令:H3Cinterface ethernet 00H3C-Ethernet00ip address H3C-Ethemet00interface serial /0H3C-Serial/0ip address H3C-Serial/0shutdownH3C-Serial/0undo shutdownH3CripH3C-ripnetwork PC C上命令

4、:H3Cinterface ethernet 00H3C-Ethernet00ip address H3C-Ethernet00interface ethernet 0/1H3C-Ethernet01ip address H3C-Ethernet01 interface serial 0/1H3C-Serial0/1ip address H3C-Serial0/1shutdownH3C-Serial0/1undo shutdownH3CripH3C-r

5、ipnetwork 4、在AR18和/或 AR28上完成防火墻配置,使?jié)M足下述要求:(1)只有PC機(jī)A和B、A和C、B和D之間能通信,其他PC機(jī)彼此之 間都不能通信。(注:對(duì)于不能通信,要求只要能禁止其中一個(gè)方向 就可以了。)(2)防火墻的ACL列表只能作用于兩臺(tái)路由器的以太網(wǎng)接口上, 即AR18 的EO、AR28的E0和E1,不允許在兩臺(tái)路由器的 SO 口上關(guān)聯(lián)ACL。請(qǐng)將你所執(zhí)行的配置命令寫到實(shí)驗(yàn)報(bào)告中。(注:配置方法并不唯一,寫出 其中任何一種即可)(15分)答:(本組四臺(tái)路由器均為 AR-28)H3Cfirewall enableH3Cfirewall default

6、permitH3Cacl number 3001 match-order autoH3C-acl-adv-3001rule deny ip source 0 destination 0 H3C-acl-adv-3001rule deny ip source 0 destination 0 H3C-acl-adv-3001interface ethernet 0/H3C-Ethernet00firewall packet-filter 3001 inboundH3Cacl number 3002 match-orde

7、r autoH3C-acl-adv-3002rule deny ip source 0 destination 0H3C-acl-adv-3001interface ethernet 0/1H3C-Ethernet01 firewall packet-filter 3002 inbound5、請(qǐng)?jiān)谟脩粢晥D下使用“ reset saved-configuration”命令和“ reboot”命令分別 將兩臺(tái)路由器的配置清空,以免前面實(shí)驗(yàn)留下的配置對(duì)下面的NAT配置實(shí)驗(yàn)產(chǎn)生影響。6請(qǐng)將圖1中IP地址的配置改為圖2,即我們將用IP網(wǎng)段/2

8、4作為 一個(gè)私網(wǎng),AR18作為連接私網(wǎng)與公網(wǎng)的 NAT路由器,AR28作為公網(wǎng)上的 一個(gè)路由器。具體的,請(qǐng)按下述步驟完成NAT配置實(shí)驗(yàn):(1)配置AR18-12為NAT路由器,它將私有IP網(wǎng)段/24中的 IP地址轉(zhuǎn)換為接口 S0的公網(wǎng)IP地址。請(qǐng)將所執(zhí)行的配置命 令寫到實(shí)驗(yàn)報(bào)告中。(10分)(2)我們?cè)诿恳慌_(tái)PC上都安裝了 Web服務(wù)器IIS,它運(yùn)行在TCP端口 80。 請(qǐng)把PC A的Web服務(wù)映射到公網(wǎng)IP地址和公網(wǎng)端口 80, 把PC B的Web服務(wù)映射到公網(wǎng)IP地址和公網(wǎng)端口 8080, 并把所執(zhí)行的配置命令寫到

9、實(shí)驗(yàn)報(bào)告中。(10分)(3) 我們?cè)诿恳慌_(tái)PC上都允許了遠(yuǎn)程桌面服務(wù),該服務(wù)使用TCP端口 3389。請(qǐng)把PC B遠(yuǎn)程桌面服務(wù)映射到公網(wǎng)IP地址和公網(wǎng)端 口 3389,并把所執(zhí)行的配置命令寫到實(shí)驗(yàn)報(bào)告中。(10分)請(qǐng)?jiān)贏R18上配置一條缺省靜態(tài)路由,用于指定 AR18的缺省網(wǎng)關(guān)為。 答:(本組四臺(tái)路由器均為 AR-28)H3Cacl number 2000 match-order autoH3C-acl-basic-2000rule permit source 55 H3C-acl-basic-2000rule deny

10、 source anyH3C-acl-basic-2000nat address-group 1 H3CinterfaceH3C-Serial/0nat outbound 3001 address-group 1H3C-Serial/0nat server protocol tcp global 80 inside 80H3C-Serial/0nat server protocol tcp global 8080 inside 80H3C-Serial/0nat ou

11、tbound 2000 address-group 1H3C-Serial/0nat server protocol tcp global 3389 inside 3389 H3C-Serial/0shutdownH3C-Serial/0undo shutdownH3C-Serial2)quitH3Cip route-static 0 注:路由相關(guān)配置只需上述一條命令即可,并不需要在AR18和AR28AR2 8-11AR18-12/24/24AB佃 /2420

12、/24 E0交叉線/24C/24交叉線/24D上啟動(dòng)RIP。不在AR18上啟動(dòng)RIP的原因是私網(wǎng)IP的路由信息不應(yīng)該被廣 播到公網(wǎng)上;不在AR28上啟動(dòng)RIP的原因是在本實(shí)驗(yàn)中公網(wǎng)環(huán)境中只用一 臺(tái)AR28路由器來(lái)模擬。在上述步驟完成后,NAT應(yīng)該能夠正常運(yùn)轉(zhuǎn),下述現(xiàn)象應(yīng)被觀察到:(1)在PC A上執(zhí)行:ping 202.022,結(jié)果為“通”。請(qǐng)將“通”的原因?qū)懙?實(shí)驗(yàn)報(bào)告中。(10分)答:因?yàn)楦鶕?jù)ACL2000規(guī)則,NAT路由器允許私網(wǎng)/24 網(wǎng)段內(nèi)的PC 機(jī)(PC A)通過(guò)地址轉(zhuǎn)換后訪問(wèn)公網(wǎng) 202.0

13、.2.2。(2)在PC D上執(zhí)行:ping 結(jié)果為“不通”。請(qǐng)將“不通”的原 因?qū)懙綄?shí)驗(yàn)報(bào)告中。(10分)答:因?yàn)?是PC A的私有IP地址,在路由器 AR28-11中沒(méi)有相應(yīng) 的轉(zhuǎn)發(fā)表項(xiàng),因此數(shù)據(jù)包會(huì)被丟棄,PC D不能ping通。(3) 在PC C上啟動(dòng)IE瀏覽“ ”,可以下載PC A Web服務(wù)器上 的網(wǎng)頁(yè),該網(wǎng)頁(yè)大致內(nèi)容為“網(wǎng)站正在建設(shè)中”。請(qǐng)將可以訪問(wèn)的原因?qū)?到實(shí)驗(yàn)報(bào)告中。(10分)答:因?yàn)镻C A的Web服務(wù)已被映射到公網(wǎng)IP地址和公網(wǎng)端口 80, PC C在IE訪問(wèn)http:/192.0

14、.0.1時(shí),該地址和端口被 NAT路由器轉(zhuǎn)換為PC A的私網(wǎng)IP地址和端口,所以可以下載 PC A Web服務(wù)器上的網(wǎng)頁(yè)。(4)在PC C上啟動(dòng)IE瀏覽“ ” 不可以下載PC A Web服務(wù) 器上的網(wǎng)頁(yè)。請(qǐng)將不能訪問(wèn)的原因?qū)懙綄?shí)驗(yàn)報(bào)告中。(10分)答:因?yàn)?是PC A的私有IP地址,在路由器 AR28-11中沒(méi)有相應(yīng) 的轉(zhuǎn)發(fā)表項(xiàng),因此無(wú)法訪問(wèn)。(5)在PC B和C上都啟動(dòng)Ethereal,捕獲所有TCP的包。然后在PC C上啟 動(dòng)IE瀏覽“:8080”,將發(fā)現(xiàn)可以下載PC B Web服務(wù)

15、器上的 網(wǎng)頁(yè),該網(wǎng)頁(yè)大致內(nèi)容為“網(wǎng)站正在建設(shè)中”。請(qǐng)將用Ethereal觀察到的 TCP包的源和目的IP地址、源和目的端口號(hào)在私網(wǎng)和公網(wǎng)上的變化情況 寫到實(shí)驗(yàn)報(bào)告中,并據(jù)此解釋 NAT在上述HTTP訪問(wèn)過(guò)程中做了怎樣的 地址轉(zhuǎn)換。(10分)答:TCP2 C.OC0O2202.0,L2TCP3 C,O1G851血丄2192.1531.3TCPi C(O622E8202.0.1,?192丄3HTTP5個(gè)處192A68A.3muTCPa run-server > 忙 dPC B抓包:GET / KTTP/L1http憐汕吃住訊ACK Seq=C Act=l亦癌仞 armi-

16、server > http KK測(cè)=1 Ack=l vin=65535 Len=0TH卩制M哎"臨以河=1皿4 9 5謝痂241汶e Frame 1 (62 bytes on igre, 62 byt?s capture J)i Ethernei IIS src:汨;打;酌:兀:lf:呻(QJ:再朋:m;lf:4心 E: 13:D3;73:加:扣:軒(19:U;7J:ba:i2:ce卜 irrternet Protoco', 5rc: 202,01,2 (沖?. 1,?人 Dit: 192,168,1,3 (192,168.1,3)t: Transm'ssion

17、 control Protocolh src Port: armi-se'uer (3174)k ost Port: hctp (80),量c: 0, Len: D根據(jù)PC B捕獲的信息,原IP地址為PC C的IP地址,原端口號(hào)為3174;目的IP地址為PC B的私網(wǎng)IP地址,目的端口號(hào)為 80。 PC C抓包:4 12.00516(120J.0.1.2192.0.01TCParml-server > http-alt sffl seq-0 陽(yáng)間5 5茹 Len=o m5 12,025034igj.o.o.1TCPhrtp

18、-alt > arnd-server snij ack seq-o Ack-1 ¥ln>6 12,025051202.0,1.2192,0,:'.:TC=armi-server > http-alT朋seq-1 Ack-1 wh-6j535 |712.0252QD202.0,1.2HTTPGET / HTTP/1.1812.220865192.0,0.1202.0,1.2TCPktp-alt > ariri-serverkK seq=l Ack=295 *in=65241& 16,297387192.0,0.1202.0,1.2l-TTPhttpA-I 200 ok ;ten/html i202,0,1.219?.0,0>1HTTPget /pigerfor.f f h” 1116,55060519LO.O,!302.0,1.2TCP'TCP seBfit of i reasserbled pdu1216J656L3192,0,0.1TCPtl-d-aver-ip > htrp-alt 5YN 5eq-0 Wir-65535 Len-013 16.74973319J.0.D.12DTC

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論