实验7：防火墙配置与NAT配置

大连理工大学

本科实验报告

课程名称： 计算机网络实验 学院（系）： 软件学院 专 业： 软件工程(日强) 班 级： 0801 组员姓名： 学 号：

2010年 12月 30 日

大连理工大学实验报告

学院（系）： 软件学院 专业： 软件工程（日强） 班级： 0801 姓 名： 高友楠 学号： 200893080 组： 9 ___ 实验时间： 2010-12-23 实验室： D407 实验台： 9 指导教师签字： 成绩：

实验七：防火墙配置与NAT配置

一、实验目的

学习在路由器上配置包过滤防火墙和网络地址转换（NAT）

二、实验原理和内容

1、路由器的基本工作原理 2、配置路由器的方法和命令 3、防火墙的基本原理及配置 4、NAT的基本原理及配置

三、实验环境以及设备

2台路由器、1台交换机、4台Pc机、双绞线若干 四、实验步骤（操作方法及思考题）

{警告：路由器高速同异步串口（即S口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏。}

1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。

2、在确保路由器电源关闭情况下，按图1联线组建实验环境。配置IP地址，以

及配置PC A 和B的缺省网关为 202.0.0.1，PC C 的缺省网关为 202.0.1.1，PC D 的缺省网关为 202.0.2.1。

AR18-12192.0.0.1/24S0E0202.0.0.1/24192.0.0.2/24S0202.0.1.1/24E0AR28-11202.0.2.1/24E1交叉线202.0.2.2/24D交叉线202.0.0.2/24A202.0.0.3/24B202.0.1.2/24C

图 1

3、在两台路由器上都启动RIP，目标是使所有PC机之间能够ping通。请将为达到此目标而在两台路由器上执行的启动RIP的命令写到实验报告中。（5分） 答：AR28：

[Router]rip

[Router-rip]network 0.0.0.0

AR18:

[Router]rip

[Router-rip]network all

4、在AR18和/或AR28上完成防火墙配置，使满足下述要求：

（1） 只有PC机A和B、A和C、B和D之间能通信，其他PC机彼此之

间都不能通信。（注：对于不能通信，要求只要能禁止其中一个方向就可以了。）

（2） 防火墙的ACL列表只能作用于两台路由器的以太网接口上，即AR18

的E0、AR28的E0和E1，不允许在两台路由器的S0口上关联ACL。 请将你所执行的配置命令写到实验报告中。（注：配置方法并不唯一，写出其中任何一种即可）（15分）

答：AR18上的配置： [Router]firewall enable

[Router]firewall default permit [Router]acl 3001 match-order auto

[Router -acl-3001] rule deny ip source any destination any

[Router -acl-3001]rule permit ip source 202.0.0.2 0 destination 202.0.1.2 0 [Router -acl-3001]rule permit ip source 202.0.0.3 0 destination 202.0.2.2 0 [Router-Ethernet0] firewall packet-filter 3001 inbound AR28上的配置：

[Router] firewall enable [Router] firewall default permit

[Router] acl number 3000 match-order auto

[Router -acl-adv-3000] rule deny ip source any destination any

[Router -acl-adv-3000]rule permit ip source202.0.1.2 0 destination 202.0.0.2 0

[Router -Ethernet0/0] firewall packet-filter 3000 inbound

[Router] acl number 3001 match-order auto

[Router -acl-adv-3001] rule deny ip source any destination any

[Router -acl-adv-3001]rule permit ip source202.0.2.2 0 destination 202.0.0.3 0

[Router -Ethernet1/1] firewall packet-filter 3001 inbound

5、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免前面实验留下的配置对下面的NAT配置实验产生影响。

6、请将图1中IP地址的配置改为图2，即我们将用IP 网段192.168.1.0/24作为一个私网，AR18作为连接私网与公网的NAT路由器，AR28作为公网上的一个路由器。具体的，请按下述步骤完成NAT配置实验：

（1） 配置AR18-12为NAT路由器，它将私有IP 网段192.168.1.0/24中的

IP地址转换为接口S0的公网IP 地址192.0.0.1。请将所执行的配置命令写到实验报告中。（5分）

答：[Router] acl 2000 match-order auto

[Router -acl-2000] rule permit source 192.168.1.0 0.0.0.255 [Router -acl-2000] rule deny source any

[Router -acl-2000] intface s 0

[Router -Serial0] nat outbound 2000 interface

（2） 我们在每一台PC上都安装了Web服务器IIS，它运行在TCP端口80。

请把PC A的Web服务映射到公网IP地址192.0.0.1和公网端口80，把PC B的Web服务映射到公网IP地址192.0.0.1和公网端口8080，并把所执行的配置命令写到实验报告中。（5分） 答：

[Router -Serial0] nat server global 192.0.0.1 80 inside 192.168.1.2 80 tcp [Router -Serial0] nat server global 192.0.0.1 8080 inside 192.168.1.3 80 tcp

（3） 我们在每一台PC上都允许了远程桌面服务，该服务使用TCP端口

3389。请把PC B远程桌面服务映射到公网IP地址192.0.0.1和公网端口3389，并把所执行的配置命令写到实验报告中。（5分） 答：

[RA-Serial0] nat server global 192.0.0.1 3389 inside 192.168.1.3 3389 tcp [RA-Serial0]ip route-static 0.0.0.0 0 192.0.0.2

请在AR18上配置一条缺省静态路由，用于指定AR18的缺省网关为192.0.0.2。

注：路由相关配置只需上述一条命令即可，并不需要在AR18和AR28