《实验十二NAT配置》实验参考答案思科530.docx
《《实验十二NAT配置》实验参考答案思科530.docx》由会员分享,可在线阅读,更多相关《《实验十二NAT配置》实验参考答案思科530.docx(12页珍藏版)》请在冰豆网上搜索。
《实验十二NAT配置》实验参考答案思科530
《实验十二--NAT配置》实验参考答案(思科--5.30)
实验十二NAT配置
班级组名姓名
一、实验目的
1.掌握NAT工作原理;
2.掌握NAT配置。
二、实验设备
主机、网线、交换机、路由器。
三、实验内容
组网需求:
某公司通过一台路由器接口Serial1/0访问Internet,公司内部对外提供WWW、FTP和Telnet服务,假设公司内部网络192.168.1.0使用的IP地址段为192.168.1.1~192.168.1.254,子网掩码为255.255.255.0,其中,内部FTP服务器PC1、Telnet服务器PC2、WWW服务器PC3、主机PC4、PC5的IP地址分配如表12-1所示(核心设备使用较小的地址),路由器R1的以太网口g0/0的IP地址为192.168.1.254。
该单位申请到的合法的IP地址为200.1.1.1,200.1.1.3~200.1.1.10,假设路由器R1串口s2/0的IP地址为200.1.1.1/30,R2串口s3/0的IP地址为200.1.1.2/30(交换机SwitchB连接私有网络时,R2串口s3/0的IP地址一般是该私有网络所属单位申请的公有IP地址)。
配置要求:
(1)内网192.168.1.0中的服务器和主机PC4可以访问Internet,PC5等其他主机不能访问Internet;
(2)外网主机PC6(IP地址为200.1.2.1)可以访问内网服务器,但不能访问内网主机PC4和PC5;
(3)外网主机PC7不能访问192.168.1.0网络。
表12-1服务器和主机IP地址
主机
IP地址
子网掩码
网关地址
备注
PC1
192.168.1.1
255.255.255.0
192.168.1.254
内网FTP服务器
PC2
192.168.1.2
255.255.255.0
192.168.1.254
内网Telnet服务器
PC3
192.168.1.3
255.255.255.0
192.168.1.254
内网WWW服务器
PC4
192.168.1.4
255.255.255.0
192.168.1.254
内网主机
PC5
192.168.1.5
255.255.255.0
192.168.1.254
内网主机
PC6
200.1.2.1
255.255.255.0
200.1.2.254
外网主机
PC7
200.1.2.2
255.255.255.0
200.1.2.254
外网主机
四、相关知识
华为和H3C的NAT配置相关命令如表12-2~表12-5所示、CISCO设备配合命令参考网络课程中的相关课件。
表12-2访问控制列表与接口关联的配置命令
表12-3定义地址池命令
表12-4访问控制列表与地址池关联的配置命令
表12-5查看、删除NAT配置命令
[terminal]?
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router1(config)#intfa0/0
Router1(config-if)#ipaddress192.168.1.254255.255.255.0
Router1(config-if)#noshutdown
Router1(config-if)#
Router1(config-if)#intSerial2/0
Router1(config-if)#ipaddress200.1.1.1255.255.255.252
Router1(config-if)#noshutdown
(2)路由器R1的rip协议配置
Router1#configure
Configuringfromterminal,memory,ornetwork[terminal]?
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router1(config)#routerrip
Router1(config-router)#network192.168.1.0
Router1(config-router)#network200.1.1.0
路由器R2配置
Router2>enable
Router2#configure
Configuringfromterminal,memory,ornetwork[terminal]?
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router2(config)#intfa0/0
Router2(config-if)#ipaddress200.1.2.254255.255.255.0
Router2(config-if)#noshutdown
Router2(config-if)#intSerial3/0
Router2(config-if)#ipaddress200.1.1.2255.255.255.252
Router2(config-if)#noshutdown
路由器R2rip协议配置
Router2(config)#routerrip
Router2(config-router)#network200.1.2.0
Router2(config-router)#network200.1.1.0
Router2(config-router)#exit
Router2(config)#
静态路由协议配置
Router2(config)#iproute192.168.1.0255.255.255.0200.1.1.1
Router1(config)#iproute200.1.2.0255.255.255.0200.1.1.2
4.验证路由协议配置是否正确
PC1
PC6
5.配置高级访问控制列表
(1)配置访问控制列表规则允许内网192.168.1..0网络中的服务器和主机PC4访问Internet,不允许PC5及其他主机访问Internet;
(2)配置访问控制列表规则使外网用户PC6可以访问内网服务器,但不能访问内网主机PC4和PC5;
(3)配置访问控制列表规则使外网主机PC7不能访问192.168.1.0网络中的主机;
配置命令如下:
(1)
Router1>en
Router1#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router1(config)#access-list100permitiphost192.168.1.1any
Router1(config)#access-list100permitiphost192.168.1.2any
Router1(config)#access-list100permitiphost192.168.1.3any
Router1(config)#access-list100permitiphost192.168.1.4any
Router1(config)#access-list100denyiphost192.168.1.0any
Router1(config)#intf0/0
Router1(config-if)#ipaccess-group100in
Router1(config-if)#end
(2)
Router2>en
Router2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router2(config)#access-list101permitiphost200.1.2.1host192.168.1.1
Router2(config)#access-list101permitiphost200.1.2.1host192.168.1.2
Router2(config)#access-list101permitiphost200.1.2.1host192.168.1.3
Router2(config)#access-list101denyiphost200.1.2.1host192.168.1.4
Router2(config)#access-list101denyiphost200.1.2.1host192.168.1.5
Router2(config)#intf0/0
Router2(config-if)#ipaccess-group101in
(验证过程)
pc1pingpc6
Pc5pingpc6
Pc6pingpc5
Pc6pingpc4
Pc6pingpc1
Router2(config-if)#noipaccess-group101in
Router2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router2(config)#access-list102permitiphost200.1.2.2host192.168.1.1
Router2(config)#access-list102permitiphost200.1.2.2host192.168.1.2
Router2(config)#access-list102permitiphost200.1.2.2host192.168.1.3
Router2(config)#access-list102denyiphost200.1.2.2host192.168.1.0
Router2(config)#intf0/0
Router2(config-if)#ipaccess-group102in
验证ACL配置是否正确。
pc1pingpc7
Pc5pingpc7
(3)Pc7pingpc5
Pc7pingpc4
Pc7pingpc1
6.配置地址转换
为了提高外网用户访问服务器的速度,配置NAT时采用固定的公网IP地址:
(1)内网ftp服务器192.168.1.1通过公有IP地址200.1.1.3访问外网;
(2)内网Telnet服务器192.168.1.2通过公有IP地址200.1.1.4访问外网;
(3)内网WWW服务器192.168.1.3通过公有IP地址200.1.1.5访问外网;
(4)内网其他主机,通过地址池200.1.1.3~200.1.1.10访问外网,在路由器R1的出接口Serial1/0配置地址转换。
ipnatpoolNAT200.1.1.3200.1.1.10netmask255.255.255.0
如果我们只有一个公网地址且已经分配给了R1的S0/0口,可以使用下面的命令来对这仅有的一个公网地址反复利用或叫超载。
Router(config)#ipnatinsidesourcelist10interfaceserial0overload//就是在R1上不设置地址池,因为只有一个公网地址,而只对S0/0接口的地址超载。
配置命令如下:
(1~3)
Router1>en
Router1#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router1(config)#ipnatinsidesourcestatic192.168.1.1200.1.1.3
Router1(config)#ipnatinsidesourcestatic192.168.1.2200.1.1.4
Router1(config)#ipnatinsidesourcestatic192.168.1.3200.1.1.5
Router1(config)#intf0/0
Router1(config-if)#ipaddress192.168.1.254255.255.255.0
Router1(config-if)#ipnatinside
Router1(config-if)#noshutdown
Router1(config-if)#ints2/0
Router1(config-if)#ipaddress200.1.1.1255.255.255.252
Router1(config-if)#ipnatoutside
Router1(config-if)#noshutdown
(4)
Router1#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
//配置动态NAT转换的地址池,包括IP地址200.1.1.3到200.1.1.10
Router1(config)#ipnatpoolNAT200.1.1.3200.1.1.10netmask255.255.255.0
Router1(config)#ipnatinsidesourcelist1poolNAT//配置动态NAT映射
//定义标准访问控制列表1允许动态NAT转换的内部地址范围
Router1(config)#access-list1permit192.168.1.2540.0.0.0
Router1(config)#intf0/0
Router1(config-if)#ipnatinside//把f0/0接口配置成NAT的内部接口
Router1(config-if)#exit
Router1(config)#ints2/0
Router1(config-if)#ipnatoutside//把s2/0接口配置成NAT的内部接口
Router1(config-if)#
Router1(config-if)#exit
7.验证NAT配置是否正确
用表12-5命令查看NAT配置是否正确。
(1~3)
Ping200.1.1.2
(4)
六、知识拓展
网络拓朴图如图12-2所示,PC1和PC2属于同一子网,网关为R1的g0/0,路由器R1与R2间不配置任何路由协议,要求:
(1)在路由器R1上启用NAT功能,使PC1和PC2能访问路由器R2;
(2)在路由器R1上启用防火墙功能,禁止PC2访问路由器R2。
图12-2网络拓朴图
配置命令如下:
七、实验体会
升级会员 