大连理工大学
本科实验报告
课程名称: 网络综合实验
学院(系): 软件学院
专 业: 软件工程
班 级: 1006
学 号: 201092356
学生姓名: 赵旭凯
20##年 5月 23日
大连理工大学实验报告
学院(系): 软件学院 专业 软件工程 班级: 1006
姓 名: 赵旭凯 学号: 201092356 组: 13 ___
实验时间: 2012年5月23日 实验室: C310 实验台: 13
指导教师签字: 成绩:
实验七:防火墙配置与NAT配置
一、实验目的
学习在路由器上配置包过滤防火墙和网络地址转换(NAT)
二、实验原理和内容
1、路由器的基本工作原理
2、配置路由器的方法和命令
3、防火墙的基本原理及配置
4、NAT的基本原理及配置
三、实验环境以及设备
2台路由器、1台交换机、4台Pc机、双绞线若干
四、实验步骤(操作方法及思考题)
{警告:路由器高速同异步串口(即S口)连接电缆时,无论插拔操作,必须在路由器电源关闭情况下进行;严禁在路由器开机状态下插拔同/异步串口电缆,否则容易引起设备及端口的损坏。}
1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空,以免以前实验留下的配置对本实验产生影响。
2、在确保路由器电源关闭情况下,按图1联线组建实验环境。配置IP地址,以及配置PC A 和B的缺省网关为 202.0.0.1,PC C 的缺省网关为 202.0.1.1,PC D 的缺省网关为 202.0.2.1。
图 1
3、在两台路由器上都启动RIP,目标是使所有PC机之间能够ping通。请将为达到此目标而在两台路由器上执行的启动RIP的命令写到实验报告中。(5分)
AR18-12
[Router]interface e0
[Router -Ethernet0]ip address 202.0.0.1 255.255.255.0
[Router -Ethernet0]interface s0
[Router - Serial0]ip address 192.0.0.1 255.255.255.0
[Router -Serial0]quit
[Router]rip
[Router -rip]network all
AR28-11:
[Quidway]interface e0/0
[Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0
[Quidway-Ethernet0/0]interface ethernet0/1
[Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0
[Quidway-Ethernet0/1]interface serial0/0
[Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0
[Quidway-Serial0/0]quit
[Quidway]rip
[Quidway-rip]network 0.0.0.0
4、在AR18和/或AR28上完成防火墙配置,使满足下述要求:
(1) 只有PC机A和B、A和C、B和D之间能通信,其他PC机彼此之间都不能通信。(注:对于不能通信,要求只要能禁止其中一个方向就可以了。)
(2) 防火墙的ACL列表只能作用于两台路由器的以太网接口上,即AR18的E0、AR28的E0和E1,不允许在两台路由器的S0口上关联ACL。
请将你所执行的配置命令写到实验报告中。(注:配置方法并不唯一,写出其中任何一种即可)(15分)
AR28-11
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl number 3001 match-order auto
[Quidway-acl-adv-3001]rule deny ip source any destination any
[Quidway-acl-adv-3001]rule permit ip source 202.0.0.2 0 destination 202.0.1.2 0
[Quidway-acl-adv-3001]int e0/0
[Quidway-Ethernet0/0]firewall packet-filter 3001 inbound
[Quidway-Ethernet0/0]quit
[Quidway]acl number 3002 match-order auto
[Quidway-acl-adv-3002]rule deny ip source any destination any
[Quidway-acl-adv-3002]rule permit ip source 202.0.0.3 0 destination 202.0.2.2 0 [Quidway-acl-adv-3002]int e0/1
[Quidway-Ethernet0/1]firewall packet-filter 3002 inbound
AR18-12[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 3001 match-order auto
[Quidway-acl-3001]rule deny ip source any destination any
[Quidway-acl-3001]rule permit ip source 202.0.1.2 0 destination 202.0.0.2 0
[Quidway-acl-3001]rule permit ip source 202.0.2.2 0 destination 202.0.0.3 0 [Quidway-acl-3001]int e0
[Quidway-Ethernet0]firewall packet-filter 3001 outbound
5、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空,以免前面实验留下的配置对下面的NAT配置实验产生影响。
6、请将图1中IP地址的配置改为图2,即我们将用IP 网段192.168.1.0/24作为一个私网,AR18作为连接私网与公网的NAT路由器,AR28作为公网上的一个路由器。具体的,请按下述步骤完成NAT配置实验:
(1) 配置AR18-12为NAT路由器,它将私有IP 网段192.168.1.0/24中的IP地址转换为接口S0的公网IP 地址192.0.0.1。请将所执行的配置命令写到实验报告中。(10分)
[Quidway]acl 20## match-order auto
[Quidway-acl-2000]rule permit source 192.168.1.0 0.0.0.255
[Quidway-acl-2000]rule deny source any
[Quidway-acl-2000]quit
[Quidway] nat address-group 192.0.0.1 192.0.0.1 pool1
[Quidway]int s0
[Quidway-Serial0] nat outbound 20## address-group pool1
(2) 我们在每一台PC上都安装了Web服务器IIS,它运行在TCP端口80。请把PC A的Web服务映射到公网IP地址192.0.0.1和公网端口80,把PC B的Web服务映射到公网IP地址192.0.0.1和公网端口8080,并把所执行的配置命令写到实验报告中。(10分)
[Router-Serial0]nat server global 192.0.0.1 80 inside 192.168.1.2 80 tcp
[Router-Serial0]nat server global 192.0.0.1 8080 inside 192.168.1.3 80 tcp
(3) 我们在每一台PC上都允许了远程桌面服务,该服务使用TCP端口3389。请把PC B远程桌面服务映射到公网IP地址192.0.0.1和公网端口3389,并把所执行的配置命令写到实验报告中。(10分)
[Router-Serial0]nat server global 192.0.0.1 3389 inside 192.168.1.3 3389 tcp
[Router-Serial0]Shutdown
[Router-Serial0]Undo shutdown
请在AR18上配置一条缺省静态路由,用于指定AR18的缺省网关为192.0.0.2。
[Quidway] ip route-static 0.0.0.0 0 192.0.0.2
注:路由相关配置只需上述一条命令即可,并不需要在AR18和AR28上启动RIP。不在AR18上启动RIP的原因是私网IP的路由信息不应该被广播到公网上;不在AR28上启动RIP的原因是在本实验中公网环境中只用一台AR28路由器来模拟。
图2
在上述步骤完成后,NAT应该能够正常运转,下述现象应被观察到:
(1) 在PC A上执行:ping 202.0.2.2,结果为“通”。请将“通”的原因写到实验报告中。(10分)
因为AR18-12为NAT路由器的配置时规定所有私网地址都可访问公网即rule permit source 192.168.1.0 0.0.0.255 ,由于PCA是私网的机器,202.0.2.2是公网的地址,路由器的路由表有其对应的路由表项,所以可以通
(2) 在PC D上执行:ping 192.168.1.2,结果为“不通”。请将“不通”的原因写到实验报告中。(10分)
答:192.168.1.1这是一个私网的IP,在公网中是看不到的,路由表中没有对应的表项,所以不能通
(3) 在PC C上启动IE浏览“http://192.0.0.1”,可以下载PC A Web服务器上的网页,该网页大致内容为“网站正在建设中”。请将可以访问的原因写到实验报告中。(10分)
答:因为我们将PC A的Web服务映射到公网IP地址192.0.0.1和公网端口80,当我们用IE访问http://192.0.0.1时,相当于是访问PCA的WWW服务,所以可以访问
(4) 在PC C上启动IE浏览“http://192.168.1.2”,不可以下载PC A Web服务器上的网页。请将不能访问的原因写到实验报告中。(10分)
答:192.168.1.2是一个私网IP,在公网中是看不到的,路由表中没有对应的表项。
(5) 在PC B和C上都启动Ethereal,捕获所有TCP的包。然后在PC C上启动IE浏览“http://192.0.0.1:8080”,将发现可以下载PC B Web服务器上的网页,该网页大致内容为“网站正在建设中”。请将用Ethereal观察到的TCP包的源和目的IP地址、源和目的端口号在私网和公网上的变化情况写到实验报告中,并据此解释NAT在上述HTTP访问过程中做了怎样的地址转换。(10分)
PCB
PCC
答:我们在NAT路由器上做了如下配置:nat server global 192.0.0.1 8080 inside 192.168.1.3 80 tcp,所以当包经过NAT路由器后会做如下工作:
1.当NAT收到一个目的地址是192.0.0.1,目的端口号是8080的包,于是查找地址转换表,找到相应的表项后,把包的目的地址改为192.168.1.3,把包的目的端口号改成80,再由NAT路由器转发给PC。
2.当NAT收到一个源地址是192.168.1.3,源端口号是80的包后,查找相应的地址转换表,找到相应表项后,把包的源IP地址和源端口号分别改为192.0.0.1和8080,再把包转发出去。
(6) 在PC D上使用“程序à附件à通讯à远程桌面连接”登录PC B,在登录对话框中请输入IP地址“192.0.0.1”。在提示用户名和密码时,请分别输入“administrator”和“admin,则可以登录PC B。仅验证此现象即可,不要求写实验报告。
做本实验时请注意:
(1) 关闭PC机上的防火墙。
(2) 同异步串口配置完成后,一定要执行“shutdown”和“undo shutdown”命令,从而使之生效。
五、讨论、建议、质疑
本次试验完成的不是很快,但是还算比较顺利。预习好实验内容是完成实验的必要条件。
第二篇:防火墙基础配置
实验五:防火墙的基础配置
一、实验目的:
通过IP地址地址控制范围权限来配置防火墙。
二、实验拓扑图:
三、实验配置命令:
防火墙的配置文件如下:
interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 192.168.5.1 255.255.255.0
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0
interface GigabitEthernet0/0/2
interface GigabitEthernet0/0/3
interface GigabitEthernet0/0/4
interface GigabitEthernet0/0/5
interface GigabitEthernet0/0/6
interface GigabitEthernet0/0/7
interface GigabitEthernet0/0/8
interface NULL0
alias NULL0
firewall zone local
set priority 100
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1
firewall zone dmz
set priority 50
aaa
local-user admin password cipher %$%$+]-Q6oc_PB`a@O*w$HGO3-$x%$%$
local-user admin service-type web terminal telnet
local-user admin level 15
authentication-scheme default
#
authorization-scheme default
#
accounting-scheme default
#
domain default
#
#
nqa-jitter tag-version 1
#
banner enable
#
user-interface con 0
authentication-mode none
user-interface vty 0 4
authentication-mode none
protocol inbound all
#
ip address-set ip_deny type object
address 0 192.168.5.2 0
address 1 192.168.5.3 0
address 2 192.168.5.6 0
#
slb
#
right-manager server-group
#
sysname SRG
#
l2tp domain suffix-separator @
#
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction outbound
firewall packet-filter default permit interzone local dmz direction outbound
#
ip df-unreachables enable
#
firewall ipv6 session link-state check
firewall ipv6 statistic system enable
#
dns resolve
#
firewall statistic system enable
#
pki ocsp response cache refresh interval 0
pki ocsp response cache number 0
#
undo dns proxy
#
license-server domain lic.huawei.com
#
web-manager enable
#
policy interzone trust untrust outbound
policy 0
action deny
policy source address-set ip_deny
policy 1
action permit
policy source 192.168.5.0 0
#
return