目录
一、题目:
二、地址转换原理:
2.1 NAT的种类及实现命令:
2.2 NAT的显示及调试命令:
三、地址转换典型配置举例:
3.1 设备:
3.2 拓扑结构图:
3.3 配置命令:
四、调试分析:
4.1 测试各功能的实现:
4.2 抓包分析:
4.3 调试过程中遇到的问题是如何解决的以及对设计与实现的回顾讨论和分析:
4.4 经验和体会等:
一、题目:
学习使用路由器的访问控制列表(ACL)进行过滤和IP地址转换(NAT)(内网可以访问WWW、FTP服务,外网只能访问WWW服务),实现私有网络可以访问公有网络的资源,公有网络不能访问私有网络的资源。
二、地址转换原理:
2.1 NAT的种类及实现命令:
NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。
1)静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
配置静态NAT,将主机A的IP地址10.0.10.2与地址222.10.10.10固定绑定
配置静态NAT,将主机B的IP地址10.0.10.3与地址222.10.10.20固定绑定
配置静态NAT,将服务器WWW的IP地址10.0.20.2 80端口与地址222.10.10.30 80端口固定绑定
配置静态NAT,将服务器FTP的IP地址10.0.20.3 20端口和21端口分别与地址222.10.10.40 20端口和222.10.10.50 21端口固定绑定
在路由器R0应用NAT到接口
2.2 NAT的显示及调试命令:
1)使用show ip nat translations命令查看NAT转换表中的地址转换条目
2)使用show ip nat statistics 命令查看NAT转换的统计信息
3)使用debug ip nat 命令查看NAT路由转换的各数据分组详细信息
三、地址转换典型配置举例:
3.1 设备:
Cisco Packet Tracer模拟器,两个2960-24TT交换机,两个1841路由器,一个3560-24PS三层交换机
内网:两个PC机,分别为PCA、PCB。两个服务器分别为WWW服务器和FTP服务器。
外网:一个PC机为PCC,一个服务器为Server服务器
3.2 拓扑结构图:
配置之前的网络拓扑结构图
配置之后的网络拓扑结构图
3.3 配置命令:
1)配置主机PCA、PCB、PCC、服务器WWW、FTP、Server的地址
①配置主机A的IP地址为10.0.10.2子网掩码为255.255.255.0默认网关为10.0.10.1
②配置主机B的IP地址为10.0.10.3子网掩码为255.255.255.0默认网关为10.0.10.1
③配置服务器WWW的IP地址为10.0.20.2子网掩码为255.255.255.0默认网关为10.0.20.1
④配置服务器FTP的IP地址为10.0.20.3子网掩码为255.255.255.0默认网关为10.0.20.1
⑤配置主机C的IP地址为222.0.10.2子网掩码为255.255.255.0默认网关为222.0.10.1
⑥配置服务器的IP地址为222.0.10.3子网掩码为255.255.255.0默认网关为222.0.10.1
⑦配置路由器R0的IP地址
查看路由器R0的接口配置信息
⑧配置路由器R1的IP地址
查看路由器R1的接口配置信息
2)对交换机Switch0进行配置
①创建两个VLAN,VLAN10和VLAN20
②进行VLAN与接口的绑定
③在交换机Switch0上配置Trunk模式
④在交换机Switch0上,配置Trunk模式允许通过的VLAN,在这个实验环境下也可以配置switchport trunk allowed vlan all。
3) 对交换机Multilayer Switch0进行配置
①在交换机全局配置模式下开启交换机Multilayer Switch0的三层路由功能
②在交换机上Multilayer Switch0创建VLAN10,VLAN20,VLAN30
③在交换机Multilayer Switch0上配置VLAN30与接口f0/2的绑定
④在交换机Multilayer Switch0上,配置封装协议、配置trunk和其所允许通过的VLAN
⑤在交换机Multilayer Switch0上,配置VLAN10,VLAN20,VLAN30
的IP地址
⑥在交换机Multilayer Switch0上,配置默认路由,下一跳为192.168.10.2
4)在路由器R0上配置静态路由
5)在路由器R1上配置静态路由
Router(config)#ip route 0.0.0.0 0.0.0.0 222.10.10.1
内网互联互通:主机A能直接访问路由器R0接口地址192.168.10.2
内网互联互通:主机B能直接访问路由器R0接口地址192.168.10.2
内网互联互通:服务器WWW能直接访问路由器R0接口地址192.168.10.2
内网互联互通:服务器FTP能直接访问路由器R0接口地址192.168.10.2
外网互联互通:主机C能直接访问路由器R0接口地址222.10.10.1
外网互联互通:服务器Server能直接访问路由器R0接口地址222.10.10.1
6)在路由器R0上配置ACL 创建基于命名的扩展ACL
配置完ACL发现外网无法访问内网了,实现屏蔽内网的功能
四、调试分析:
4.1 测试各功能的实现:
内网主机A可以用ping命令访问外网主机C和服务器Server
内网主机B可以用ping命令访问外网主机C和服务器Server
外网与内网的主机进行通讯
外网主机C访问内网WWW服务器
外网服务器访问内网WWW服务器
外网主机C访问内网FTP服务器
外网服务器访问内网FTP服务器
内网主机A访问内网FTP服务器
内网主机B访问内网FTP服务器
内网主机A访问内网WWW服务器
内网主机B访问内网WWW服务器
4.2 抓包分析:
1)没有配置NAT之前用内网的主机Bping外网主机C的抓包如下
配置NAT之后用内网主机Aping外网主机C的抓包如下
由上我们发现NAT将内部的网络地址转换了,将内网的地址转换为我们设置的NAT转换的地址了,实现了私有地址到公有地址的转换过程,上图所圈红色部分即为配置NAT之后的变化过程
2)内网ping外网抓包分析:
下面的包是内网中主机A发送信息给外网的主机C,然后外网主机再将信息发送回来,下面是数据包的格式
以上我们发现10.0.10.2和222.0.10.2可以进行应答与接收,内网和外网可以相通。
3)外网主机C访问内网WWW服务器
进行WWW服务的发送与接收包
以下是第一个数据包的格式
由于ACL中将服务器外网地址222.10.10.30:80的80端口打开,因此外网可以通过HTTP对内网服务器进行访问。
4) 外网使用FTP访问内网FTP服务器:
进行FTP服务的发送与接收包
下面是数据包的格式
5)内网进行FTP和HTTP的服务:
进行FTP服务的发送与接收包
下面是数据包的格式
进行WWW服务的发送与接收包
下面是数据包的格式
因为内网PC和内网服务器虽然不属同一VLAN,但是我们用三层交换机来进行了配置使得内网PC内网与内网服务器之间可以通过交换机进行访问交流。
4.3 调试过程中遇到的问题是如何解决的以及对设计与实现的回顾讨论和分析:
由于要实现内网可以访问WWW、FTP服务,外网只能访问WWW服务的任务需求,因此我们考虑内网可以通过一个二层交换机和三层交换机来实现内网之间服务的互相访问,将主机和服务器设计在不同的VLAN中,通过两个路由来实现ACL和NAT的配置,和路由转发。由于区分内网与外网,我们在外网设置一个交换机一个主机一个服务器
通过静态分配IP地址给主机和服务器,还有NAT路由对外的IP来进行实现NAT的配置与测试。在此次大作业中,由于配置的较复杂,出现了许多问题,如内网无法ping通外网、外网无法访问内网等问题。
通过重新的配置与设计,找到在发送或者接收的过程中,某个环节出现了问题,然后针对这个环节,进行探讨可能是什么地方出现了问题,然后通过进行发送包来观看和查阅书籍上网寻找问题的解决方法,来找出错误所在并进行更正。
4.4 经验和体会等:
通过此次实验,我收获了很多,一方面学习到了许多以前没学过的专业知识与知识的应用,另一方面还提高了自我动手做项目的本事,让我更加的了解了Cisco Packet Tracer的使用,通过此次的实验配置,我对NAT、VLAN、ACL路由的配置等知识有了更深的理解和学习。对二层交换机、三层交换机、路由器配置的使用更加熟练,通过对报文的分析,可以对问题进行快速的定位,学会使用NAT技术去实现内部网络中如何共享一个地址去与外部网络访问,学会了通过ACL表的配置限制进入端口的流量或者离开端口的流量。
