实验7：防火墙配置与NAT配置

大连理工大学本科实验报告课程名称：网络综合实验学院（系）：软件学院专业：软件工程班级：学号：学生姓名：2010年7月20日大连理工大学实验报告学院（系）：软件学院专业：软件工程组：3___实验时间：2010.7.20实验室：D图407实验台：3指导教师签字：成绩：实验七：防火墙配置与NAT配置一、实验目的学习在路由器上配置包过滤防火墙和网络地址转换（NAT）二、实验原理和内容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墙的基本原理及配置4、NAT的基本原理及配置三、实验环境以及设备2台路由器、1台交换机、4台Pc机、双绞线若干四、实验步骤（操作方法及思考题）{警告：路由器高速同异步串口（即S口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏。}请在用户视图下使用“resetsaved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。在确保路由器电源关闭情况下，按图1联线组建实验环境。配置IP地址，以及配置PCA和B的缺省网关为，PCC的缺省网关为，PCD的缺省网关为。图1在两台路由器上都启动RIP，目标是使所有PC机之间能够ping通。请将为达到此目标而在两台路由器上执行的启动RIP的命令写到实验报告中。（5分） AR18-12[Router]interfacee0[Router-Ethernet0]ipaddress[Router-Ethernet0]interfaces0[Router-Serial0]ipaddress[Router-Serial0]quit[Router]rip [Router-rip]networkallAR28-11:[Quidway]interfacee0/0[Quidway-Ethernet0/0]ipaddress[Quidway-Ethernet0/0]interfaceethernet0/1[Quidway-Ethernet0/1]ipaddress[Quidway-Ethernet0/1]interfaceserial0/0[Quidway-Serial0/0]ipaddress[Quidway-Serial0/0]quit[Quidway]rip [Quidway-rip]network在AR18和/或AR28上完成防火墙配置，使满足下述要求：只有PC机A和B、A和C、B和D之间能通信，其他PC机彼此之间都不能通信。（注：对于不能通信，要求只要能禁止其中一个方向就可以了。）防火墙的ACL列表只能作用于两台路由器的以太网接口上，即AR18的E0、AR28的E0和E1，不允许在两台路由器的S0口上关联ACL。请将你所执行的配置命令写到实验报告中。（注：配置方法并不唯一，写出其中任何一种即可）（15分）AR28-11[Quidway]firewallenable[Quidway]firewalldefaultpermit创建ACL3001[Quidway]aclnumber3001match-orderauto禁止C与D通信[Quidway-acl-adv-3001]ruledenyipsource0destination0 禁止C与B通信[Quidway-acl-adv-3001]ruledenyipsource0destination0[Quidway-acl-adv-3001]inte0/0将规则3001作用于从接口Ethernet0进入的包[Quidway-Ethernet0/0]firewallpacket-filter3001inbound[Quidway-Ethernet0/0]quit创建ACL3002[Quidway]aclnumber3002match-orderauto禁止D与A通信[Quidway-acl-adv-3002]ruledenyipsource0destination0[Quidway-acl-adv-3002]inte0/1将规则3002作用于从接口Ethernet1进入的包。[Quidway-Ethernet0/1]firewallpacket-filter3002inbound[Quidway-Ethernet0/1]quit请在用户视图下使用“resetsaved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免前面实验留下的配置对下面的NAT配置实验产生影响。请将图1中IP地址的配置改为图2，即我们将用IP网段/24作为一个私网，AR18作为连接私网与公网的NAT路由器，AR28作为公网上的一个路由器。具体的，请按下述步骤完成NAT配置实验：配置AR18-12为NAT路由器，它将私有IP网段/24中的IP地址转换为接口S0的公网IP地址。请将所执行的配置命令写到实验报告中。（5分）创建ACL2000[Quidway]acl2000match-orderauto[Quidway-acl-2000]rulepermitsource55[Quidway-acl-2000]ruledenysourceany[Quidway-acl-2000]interfaceserial0定义接口S0与ACL2000的关联（EASYIP）[Quidway-Serial0]natoutbound2000interface我们在每一台PC上都安装了Web服务器IIS，它运行在TCP端口80。请把PCA的Web服务映射到公网IP地址和公网端口80，把PCB的Web服务映射到公网IP地址和公网端口8080，并把所执行的配置命令写到实验报告中。（5分）[Quidway-Serial0]natserverglobal80inside80tcp[Quidway-Serial0]natserverglobal8080inside80tcp我们在每一台PC上都允许了远程桌面服务，该服务使用TCP端口3389。请把PCB远程桌面服务映射到公网IP地址和公网端口3389，并把所执行的配置命令写到实验报告中。（5分）[Quidway-Serial0]natserverglobal3389inside3389tcp[Quidway-Serial0]shutdown[Quidway-Serial0]undoshutdown请在AR18上配置一条缺省静态路由，用于指定AR18的缺省网关为。[Quidway]iproute-static0注：路由相关配置只需上述一条命令即可，并不需要在AR18和AR28上启动RIP。不在AR18上启动RIP的原因是私网IP的路由信息不应该被广播到公网上；不在AR28上启动RIP的原因是在本实验中公网环境中只用一台AR28路由器来模拟。图2在上述步骤完成后，NAT应该能够正常运转，下述现象应被观察到：在PCA上执行：ping，结果为“通”。请将“通”的原因写到实验报告中。（5分）因为是公网IP，作为NAT路由器的AR18-12允许私网——/24网段内的机器通过地址转换后访问公网（见于ACL2000），故PCA能ping通。在PCD上执行：ping，结果为“不通”。请将“不通”的原因写到实验报告中。（5分）因为是内网私有IP，路由器AR28-11内没有对应的路由表项，故PCD不能ping通。在PCC上启动IE浏览“”，可以下载PCAWeb服务器上的网页，该网页大致内容为“网站正在建设中”。请将可以访问的原因写到实验报告中。（5分）因为PCA的Web服务已被映射到公网IP地址和公网端口80，PCC在IE访问时，该地址和端口被NAT路由器转换为PCA的私网IP地址和端口，故可以下载PCAWeb服务器上的网页。在PCC上启动IE浏览“”，不可以下载PCAWeb服务器上的网页。请将不能访问的原因写到实验报告中。（5分）因为是PCA的私网IP地址，在路由器AR28-11上无对应的路由表项，故不可下载。在PCB和C上都启动Ethereal，捕获所有TCP的包。然后在PCC上启动IE浏览“:8080”，将发现可以下载PCBWeb服务器上的网页，该网页大致内容为“网站正在建设中”。请将用Ethereal观察到的TCP包的源和目的IP地址、源和目的端口号在私网和公网上的变化情况写到实验报告中，并据此解释NAT在上述HTTP访问过程中做了怎样的地址转换。（5分）PCB上的抓包截图：由上图可见，私网中在PCB上接收到的包的源IP地址为PCC的IP地址，源端口号为1052，目的IP地址为PCB的私网IP地址，目的端口号为80；发送的包的源IP地址为PCB的私网IP地址，源端口号为80，目的IP地址为PCC的IP地址，目的端口号为1052。PCC上的抓包截图：由上图可知，公网中PCC上发送的包的源IP地址为PCC的IP地址，源端口号为1052，目的IP地址为PCB的公网IP地址，目的端口号为8080；接收的包的源IP地址为PCB的公网IP地址，源端口号为8080，目的IP地址为PCC的IP地址，目的端口号为1052。综上，NAT路由器的作用如下：若收到的包来自公网，目的IP地址为，目的端口号为8080，则查找地址转换表，将它们转换成私网内对应的地址和端口号80，再将包转发到PCB；若收到的包来自私网，源IP地址为，源端口号为80，则查找地址转换表，将它们转换成对应的公网地址和端口号8080，再将包转发到公网中。在PCD上使用“程序附件通讯远程桌面连接”登录PC