大连理工大学
本科实验报告
课程名称: 网络综合实验
学院(系): 软件学院
专 业: 软件工程
20##年 3月 30日
大连理工大学实验报告
实验七:防火墙配置与NAT配置
一、实验目的
学习在路由器上配置包过滤防火墙和网络地址转换(NAT)
二、实验原理和内容
1、路由器的基本工作原理
2、配置路由器的方法和命令
3、防火墙的基本原理及配置
4、NAT的基本原理及配置
三、实验环境以及设备
2台路由器、1台交换机、4台Pc机、双绞线若干
四、实验步骤(操作方法及思考题)
{警告:路由器高速同异步串口(即S口)连接电缆时,无论插拔操作,必须在路由器电源关闭情况下进行;严禁在路由器开机状态下插拔同/异步串口电缆,否则容易引起设备及端口的损坏。}
1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空,以免以前实验留下的配置对本实验产生影响。
2、在确保路由器电源关闭情况下,按图1联线组建实验环境。配置IP地址,以及配置PC A 和B的缺省网关为 202.0.0.1,PC C 的缺省网关为 202.0.1.1,PC D 的缺省网关为 202.0.2.1。
图 1
3、在两台路由器上都启动RIP,目标是使所有PC机之间能够ping通。请将为达到此目标而在两台路由器上执行的启动RIP的命令写到实验报告中。(5分)
AR18-12
[Router]interface ethernet0
[Router -Ethernet0]ip address 202.0.0.1 255.255.255.0
[Router -Ethernet0]interface serial0
[Router - Serial0]ip address 192.0.0.1 255.255.255.0
[Router - Serial0]quit
[Router]rip
[Router -rip]network all
AR28-11
[Quidway]interface e0/0
[Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0
[Quidway-Ethernet0/0]interface ethernet0/1
[Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0
[Quidway-Ethernet0/1]interface serial/0
[Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0
[Quidway-Serial0/0]quit
[Quidway]rip
[Quidway-rip]network 0.0.0.0
Ping结果如下:全都ping通
4、在AR18和/或AR28上完成防火墙配置,使满足下述要求:
(1) 只有PC机A和B、A和C、B和D之间能通信,其他PC机彼此之间都不能通信。(注:对于不能通信,要求只要能禁止其中一个方向就可以了。)
(2) 防火墙的ACL列表只能作用于两台路由器的以太网接口上,即AR18的E0、AR28的E0和E1,不允许在两台路由器的S0口上关联ACL。
请将你所执行的配置命令写到实验报告中。(注:配置方法并不唯一,写出其中任何一种即可)(15分)
[RTB]firewall enable
[RTB]firewall default permit
[RTB]acl number 3001 match-order auto
禁止C和D通信
[RTB-acl-adv-3001]rule deny ip source 202.0.1.2 0 destination 202.0.2.2 0
禁止C和B通信
[RTB-acl-adv-3001]rule deny ip source 202.0.1.2 0 destination 202.0.0.3 0
[RTB-acl-adv-3001]int e0/0
讲规则3001作用于接口0/0进入的包
[RTB-Ethernet0/0]firewall packet-filter 3001 inbound
[RTB-Ethernet0/0]quit
[RTB]acl number 3002 match-order auto
禁止D和A通信
[RTB-acl-adv-3002]rule deny ip source 202.0.2.2 0 destination 202.0.0.2 0
[RTB-acl-adv-3002]int e 0/1
将规则3002作用于接口0/1进入的包
[RTB-Ethernet0/1]firewall packet-filter 3002 inbound
[RTB-Ethernet0/1]quit
Ping结果如下:主机D与B(202.0.0.3) ping通,与C(202.0.1.2) A(202.0.0.2) ping不通
5、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空,以免前面实验留下的配置对下面的NAT配置实验产生影响。
6、请将图1中IP地址的配置改为图2,即我们将用IP 网段192.168.1.0/24作为一个私网,AR18作为连接私网与公网的NAT路由器,AR28作为公网上的一个路由器。具体的,请按下述步骤完成NAT配置实验:
(1) 配置AR18-12为NAT路由器,它将私有IP 网段192.168.1.0/24中的IP地址转换为接口S0的公网IP 地址192.0.0.1。请将所执行的配置命令写到实验报告中。(10分)
[RTA]acl number 20## match-order auto
[RTA-acl-2000]rule permit source 192.168.1.0 0.0.0.255
[RTA-acl-2000]rule deny source any
[RTA-acl-2000]interface serial 5/0
[RTA]nat address-group 1 192.0.0.1 192.0.0.1
[RTA]interface serial5/0
[RTA-Serial5/0]nat outbound 20## address-group 1
(2) 我们在每一台PC上都安装了Web服务器IIS,它运行在TCP端口80。请把PC A的Web服务映射到公网IP地址192.0.0.1和公网端口80,把PC B的Web服务映射到公网IP地址192.0.0.1和公网端口8080,并把所执行的配置命令写到实验报告中。(10分)
[RTA-Serial5/0]nat server protocol tcp global 192.0.0.1 80 inside 192.168.1.2 80
[RTA-Serial5/0]nat server protocol tcp global 192.0.0.1 8080 inside 192.168.1.3
80
(3) 我们在每一台PC上都允许了远程桌面服务,该服务使用TCP端口3389。请把PC B远程桌面服务映射到公网IP地址192.0.0.1和公网端口3389,并把所执行的配置命令写到实验报告中。(10分)
[RTA-Serial5/0]nat server protocol tcp global 192.0.0.1 3389 inside 192.168.1.3
3389
[RTA-Serial5/0]shutdown
[RTA-Serial5/0]undo shutdown
请在AR18上配置一条缺省静态路由,用于指定AR18的缺省网关为192.0.0.2。
[RTA]ip route-static 0.0.0.0 0 192.0.0.2
注:路由相关配置只需上述一条命令即可,并不需要在AR18和AR28上启动RIP。不在AR18上启动RIP的原因是私网IP的路由信息不应该被广播到公网上;不在AR28上启动RIP的原因是在本实验中公网环境中只用一台AR28路由器来模拟。
图2
在上述步骤完成后,NAT应该能够正常运转,下述现象应被观察到:
(1) 在PC A上执行:ping 202.0.2.2,结果为“通”。请将“通”的原因写到实验报告中。(10分)
因为202.0.2.2是公网IP,作为NAT路由器的RTA允许私网——192.168.1.0/24网段内的机器通过地址转换后访问公网,故PC A能ping通 202.0.2.2。
(2) 在PC D上执行:ping 192.168.1.2,结果为“不通”。请将“不通”的原因写到实验报告中。(10分)
192.168.1.2是内网私有ip,路由器AR28-11内没有对应的路由表表项,故PC D不能ping通192.168.1.2
(3) 在PC C上启动IE浏览“http://192.0.0.1”,可以下载PC A Web服务器上的网页,该网页大致内容为“网站正在建设中”。请将可以访问的原因写到实验报告中。(10分)
因为PC A的Web服务已被映射到公网ip地址192.0.0.1和公网端口80,PC C在IE访问http://192.0.0.1时,该地址和端口被NAT路由器转换为PC A的私网ip地址和端口,故可以访问到PC AWeb服务器上的网页
(4) 在PC C上启动IE浏览“http://192.168.1.2”,不可以下载PC A Web服务器上的网页。请将不能访问的原因写到实验报告中。(10分)
因为192.168.1.2是PC A的私网ip地址,在路由器AR28-11上无对应路由表项,故不可访问
(5) 在PC B和C上都启动Ethereal,捕获所有TCP的包。然后在PC C上启动IE浏览“http://192.0.0.1:8080”,将发现可以下载PC B Web服务器上的网页,该网页大致内容为“网站正在建设中”。请将用Ethereal观察到的TCP包的源和目的IP地址、源和目的端口号在私网和公网上的变化情况写到实验报告中,并据此解释NAT在上述HTTP访问过程中做了怎样的地址转换。(10分)
PC B上的抓包情况:
私网中的PC B上接收包的源ip地址为PC C的ip地址,源端口号为1052,目的ip地址为PC B的私网ip地址,目的端口为80;发送包的源ip地址为PC B的私网ip地址,源端口号为80,目的ip地址为PC C的ip地址,目的端口号为1052。
NAT的作用:接受包来自公网,查找地址转换表,将它们转换为私网对应的地址和端口,并将包转发到对应PC上;接受包来自私网,查找地址转换表,将其转换为对应的公网地址和端口号,并将包转发到公网中。
(6) 在PC D上使用“程序à附件à通讯à远程桌面连接”登录PC B,在登录对话框中请输入IP地址“192.0.0.1”。在提示用户名和密码时,请分别输入“administrator”和“admin,则可以登录PC B。仅验证此现象即可,不要求写实验报告。
做本实验时请注意:
(1) 关闭PC机上的防火墙。
(2) 同异步串口配置完成后,一定要执行“shutdown”和“undo shutdown”命令,从而使之生效。
五、讨论、建议、质疑
第二篇:实验7:防火墙配置与NAT配置
大连理工大学
本科实验报告
课程名称: 网络综合实验
学院(系): 软件学院
专 业: 软件工程
班 级:
学 号:
学生姓名:
20##年 7月 20日
大连理工大学实验报告
学院(系): 软件学院 专业: 软件工程 组: 3 ___
实验时间: 2010.7.20 实验室: D图407 实验台: 3
指导教师签字: 成绩:
实验七:防火墙配置与NAT配置
一、实验目的
学习在路由器上配置包过滤防火墙和网络地址转换(NAT)
二、实验原理和内容
1、路由器的基本工作原理
2、配置路由器的方法和命令
3、防火墙的基本原理及配置
4、NAT的基本原理及配置
三、实验环境以及设备
2台路由器、1台交换机、4台Pc机、双绞线若干
四、实验步骤(操作方法及思考题)
{警告:路由器高速同异步串口(即S口)连接电缆时,无论插拔操作,必须在路由器电源关闭情况下进行;严禁在路由器开机状态下插拔同/异步串口电缆,否则容易引起设备及端口的损坏。}
1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空,以免以前实验留下的配置对本实验产生影响。
2、在确保路由器电源关闭情况下,按图1联线组建实验环境。配置IP地址,以及配置PC A 和B的缺省网关为 202.0.0.1,PC C 的缺省网关为 202.0.1.1,PC D 的缺省网关为 202.0.2.1。
图 1
3、在两台路由器上都启动RIP,目标是使所有PC机之间能够ping通。请将为达到此目标而在两台路由器上执行的启动RIP的命令写到实验报告中。(5分)
AR18-12
[Router]interface e0
[Router -Ethernet0]ip address 202.0.0.1 255.255.255.0
[Router -Ethernet0]interface s0
[Router - Serial0]ip address 192.0.0.1 255.255.255.0
[Router -Serial0]quit
[Router]rip
[Router -rip]network all
AR28-11:
[Quidway]interface e0/0
[Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0
[Quidway-Ethernet0/0]interface ethernet0/1
[Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0
[Quidway-Ethernet0/1]interface serial0/0
[Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0
[Quidway-Serial0/0]quit
[Quidway]rip
[Quidway-rip]network 0.0.0.0
4、在AR18和/或AR28上完成防火墙配置,使满足下述要求:
(1) 只有PC机A和B、A和C、B和D之间能通信,其他PC机彼此之间都不能通信。(注:对于不能通信,要求只要能禁止其中一个方向就可以了。)
(2) 防火墙的ACL列表只能作用于两台路由器的以太网接口上,即AR18的E0、AR28的E0和E1,不允许在两台路由器的S0口上关联ACL。
请将你所执行的配置命令写到实验报告中。(注:配置方法并不唯一,写出其中任何一种即可)(15分)
AR28-11
[Quidway]firewall enable
[Quidway]firewall default permit
创建ACL3001
[Quidway]acl number 3001 match-order auto
禁止C与D通信
[Quidway-acl-adv-3001]rule deny ip source 202.0.1.2 0 destination 202.0.2.2 0 禁止C与B通信
[Quidway-acl-adv-3001]rule deny ip source 202.0.1.2 0 destination 202.0.0.3 0
[Quidway-acl-adv-3001]int e0/0
将规则3001作用于从接口Ethernet0 进入的包
[Quidway-Ethernet0/0]firewall packet-filter 3001 inbound
[Quidway-Ethernet0/0]quit
创建ACL3002
[Quidway]acl number 3002 match-order auto
禁止D与A通信
[Quidway-acl-adv-3002]rule deny ip source 202.0.2.2 0 destination 202.0.0.2 0
[Quidway-acl-adv-3002]int e0/1
将规则3002作用于从接口Ethernet1 进入的包。
[Quidway-Ethernet0/1]firewall packet-filter 3002 inbound
[Quidway-Ethernet0/1]quit
5、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空,以免前面实验留下的配置对下面的NAT配置实验产生影响。
6、请将图1中IP地址的配置改为图2,即我们将用IP 网段192.168.1.0/24作为一个私网,AR18作为连接私网与公网的NAT路由器,AR28作为公网上的一个路由器。具体的,请按下述步骤完成NAT配置实验:
(1) 配置AR18-12为NAT路由器,它将私有IP 网段192.168.1.0/24中的IP地址转换为接口S0的公网IP 地址192.0.0.1。请将所执行的配置命令写到实验报告中。(5分)
创建ACL2000
[Quidway]acl 20## match-order auto
[Quidway-acl-2000]rule permit source 192.168.1.0 0.0.0.255
[Quidway-acl-2000]rule deny source any
[Quidway-acl-2000]interface serial0
定义接口S0与ACL2000的关联(EASY IP )
[Quidway-Serial0]nat outbound 20## interface
(2) 我们在每一台PC上都安装了Web服务器IIS,它运行在TCP端口80。请把PC A的Web服务映射到公网IP地址192.0.0.1和公网端口80,把PC B的Web服务映射到公网IP地址192.0.0.1和公网端口8080,并把所执行的配置命令写到实验报告中。(5分)
[Quidway-Serial0]nat server global 192.0.0.1 80 inside 192.168.1.2 80 tcp
[Quidway-Serial0]nat server global 192.0.0.1 8080 inside 192.168.1.3 80 tcp
(3) 我们在每一台PC上都允许了远程桌面服务,该服务使用TCP端口3389。请把PC B远程桌面服务映射到公网IP地址192.0.0.1和公网端口3389,并把所执行的配置命令写到实验报告中。(5分)
[Quidway-Serial0]nat server global 192.0.0.1 3389 inside 192.168.1.3 3389 tcp
[Quidway-Serial0]shutdown
[Quidway-Serial0]undo shutdown
请在AR18上配置一条缺省静态路由,用于指定AR18的缺省网关为192.0.0.2。
[Quidway]ip route-static 0.0.0.0 0 192.0.0.2
注:路由相关配置只需上述一条命令即可,并不需要在AR18和AR28上启动RIP。不在AR18上启动RIP的原因是私网IP的路由信息不应该被广播到公网上;不在AR28上启动RIP的原因是在本实验中公网环境中只用一台AR28路由器来模拟。
图2
在上述步骤完成后,NAT应该能够正常运转,下述现象应被观察到:
(1) 在PC A上执行:ping 202.0.2.2,结果为“通”。请将“通”的原因写到实验报告中。(5分)
因为202.0.2.2是公网IP,作为NAT路由器的AR18-12允许私网——192.168.1.0/24网段内的机器通过地址转换后访问公网(见于ACL2000),故PC A能ping通 202.0.2.2。
(2) 在PC D上执行:ping 192.168.1.2,结果为“不通”。请将“不通”的原因写到实验报告中。(5分)
因为192.168.1.2是内网私有IP,路由器AR28-11内没有对应的路由表项,
故PC D不能ping通192.168.1.2。
(3) 在PC C上启动IE浏览“http://192.0.0.1”,可以下载PC A Web服务器上的网页,该网页大致内容为“网站正在建设中”。请将可以访问的原因写到实验报告中。(5分)
因为PC A的Web服务已被映射到公网IP地址192.0.0.1和公网端口80,PC C在IE访问http://192.0.0.1时,该地址和端口被NAT路由器转换为PC A的私网IP地址和端口,故可以下载PC A Web服务器上的网页。
(4) 在PC C上启动IE浏览“http://192.168.1.2”,不可以下载PC A Web服务器上的网页。请将不能访问的原因写到实验报告中。(5分)
因为192.168.1.2是PC A的私网IP地址,在路由器AR28-11上无对应的路由表项,故不可下载。
(5) 在PC B和C上都启动Ethereal,捕获所有TCP的包。然后在PC C上启动IE浏览“http://192.0.0.1:8080”,将发现可以下载PC B Web服务器上的网页,该网页大致内容为“网站正在建设中”。请将用Ethereal观察到的TCP包的源和目的IP地址、源和目的端口号在私网和公网上的变化情况写到实验报告中,并据此解释NAT在上述HTTP访问过程中做了怎样的地址转换。(5分)
PC B上的抓包截图:
由上图可见,私网中在PC B上接收到的包的源IP地址为PC C的IP地址,源端口号为1052,目的IP地址为PC B的私网IP地址,目的端口号为80;发送的包的源IP地址为PC B的私网IP地址,源端口号为80,目的IP地址为PC C的IP地址,目的端口号为1052。
PC C上的抓包截图:
由上图可知,公网中PC C上发送的包的源IP地址为PC C的IP地址,源端口号为1052,目的IP地址为PC B的公网IP地址,目的端口号为8080;接收的包的源IP地址为PC B的公网IP地址,源端口号为8080,目的IP地址为PC C的IP地址,目的端口号为1052。
综上,NAT路由器的作用如下:
一、 若收到的包来自公网,目的IP地址为192.0.0.1,目的端口号为8080,则查找地址转换表,将它们转换成私网内对应的地址192.168.1.3和端口号80,再将包转发到PC B;
二、 若收到的包来自私网,源IP地址为192.168.1.3,源端口号为80,则查找地址转换表,将它们转换成对应的公网地址192.0.0.1和端口号8080,再将包转发到公网中。
(6) 在PC D上使用“程序à附件à通讯à远程桌面连接”登录PC B,在登录对话框中请输入IP地址“192.0.0.1”。在提示用户名和密码时,请分别输入“admin”和“admin123”,则可以登录PC B。仅验证此现象即可,不要求写实验报告。
做本实验时请注意:
(1) 关闭PC机上的防火墙。
(2) 同异步串口配置完成后,一定要执行“shutdown”和“undo shutdown”命令,从而使之生效。
五、讨论、建议、质疑
工欲善其事,必先利其器——做实验前就已预习了课件并将本次实验每步需要的命令写在报告中了,因而做起来很轻松,做好预习工作的确很有必要。