计算机网络实验指导书
自动化学院通信工程系
1
实验一 网络设备认识和线缆制作及测试
【实验目的】
通过对网络设备和连接线缆的观察,建立对计算机网络的一个基本的感性认识。 【实验任务】
1、实际观察交换机、路由器等设备外观,识别这些设备的网络连接接口。 2、识别用于连接设备的线缆。
3、观察一个实际的网络,认识其中的网络设备及其连接线缆和连接方式。 4、掌握常用网络命令 【实验背景】
网络设备主要包括路由器、交换机等,Cisco公司作为网络设备的主要提供商,提供各种系列的产品,尽管这些产品的处理能力和所支持的网络连接接口数目有相当大的差异,但它们都由相似的硬件构件所组成。系统的主要构成单元包括:中央处理器、闪存、只读存储器、随机存取存储器、非易失随机存取存储器、输入/输出接口和特定介质转换器等。了解路由器和交换机的内外部特性,对理解它们的功能和工作原理是有帮助的。 【实验内容】
网络设备认识
1.以太网交换机
交换机通过提供多个网络入口点而使多个设备连成网络。首先,交换机可以重复信号。其次,交换机可以与一个或多个交换机相连,以增加局域网中可以连接的设备数。
2
2.路由器
路由器:连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号的设备。 路由器英文名Router,路由器是互联网络的枢纽、\"交通警察\"。目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。
3.10M/100M以太网络接口卡介绍
网络适配器(NETWORK INTERFACE ADAPTER,NIA)又称为网络接口卡(NETWORK INTERFACE CARD-NIC),简称网卡。为了将网络各个接点连入网络中,需要在通讯介质和数据处理设备之间用网络接口设备进行物理连接。
4.10M/100M以太网中的非屏蔽双绞线介绍
双绞线是由按规则螺旋结构排列的两根绝缘线组成的。这些线被一层PVC薄膜包裹着,内线是铜质的
3
直通UTP电缆
交叉UTP电缆
4
网络联通测试指令介绍
各命令说明
(一)ipconfig 命令
Ipconfig命令应该是最最基础的命令了,主要功能就是显示用户所在主机内部的IP协议的配置信息等资料。
它的主要参数有:
1、all:显示与TCP/IP协议相关的所有细节信息,其中包括测试的主机名、IP地址、子网掩码、节点类型、是否启用IP路由、网卡的物理地址、默认网关等。
2、renew all:更新全部适配器的通信配置情况,所有测试重新开始。 3、release all:释放全部适配器的通信配置情况。
4、renew n:更新第n号适配器的通信配置情况,所有测试重新开始。 例如: C:\\>ipconfig ,显示如下 Windows IP Configuration Ethernet adapter 本地连接: Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.0.14 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.1 (二)ping命令
PING命令是一个在网络中非常重要的并且常用的命令,主要是用来测试网络是否连通。该命令通过发送一个ICMP(网络控制消息协议)包的回应来看是否和对方连通,一般我们用来测试目标主机是否可以连接,或者可以通过TTL值来判断对方的操作系统的版本。
常用参数说明:-a -t -r 使用举例:
Ping 计算机名 ping wangluo21 //获取计算机IP
Ping IP地址 ping -a 172.16.22.36 //获取计算机名 Ping 域名 ping www.ecjtu.jx.cn
5
比如你想测试你和IP地址为192.168.0.1的机器是否连通,那么就可以使用这个命令:ping 192.168.0.1,那么如果连通就会有如下返回:
C:\\>ping 192.168.0.1
Pinging 192.168.0.1 with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time<1ms TTL=128 。。。。。
Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 如果不连通的话,就会返回超时:
Pinging 192.168.0.1 with 32 bytes of data: Request timed out. 。。。。。。.
Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
那么就证明你和该计算机的网络不通,也许是对方没有上网,或者装了防火墙。
在局域网中,如果是同一个工作组的机器,你可以通过ping对方的机器名称获得对方的IP地址,
参数:
-t 可以不间断的向一个机器发送包
-l 包大小参数还能设定发送包的最大值,这样差不多句有了DoS的功能了,也就是在黑客技术中的洪水攻击,最大值为65500。如:
C:\\>ping 192.168.0.1 -t -l 65500
因为加了-t参数,ping命令本身是不会停止的,于是我们就可以使用Ctrl + C来终止该命令。ping命令还有一些别的参数,请自己参考帮助。
6
实验二 简单结构局域网组建与配置
【实验目的】
了解一个局域网的基本组成,掌握一个局域网设备互通所需的基本配置,掌握报文的基本传输过程。 【实验内容】
1、根据所认识的设备设计一个简单的局域网并在仿真环境中画出其逻辑拓扑。 2、配置拓扑中的各设备连通所需的参数。 3、在模拟模式下进行包传输路径跟踪测试。 【实验背景】
简单的局域网主要由交换机、HUB、PC等设备组建。他们的连接和配置比较简单,本实验构建的简单局域网对应在一个办公室或几个办公室的PC的组网 【实验拓扑与参数配置】
实验的参考拓扑图和参考配置参数如图所示。
参考拓扑图
配置参数表
PC信息 (子网掩码均为255.255.255.0) 主机名 PC0 PC1
IP地址 缺省网关 所属网段 192.168.1.0 192.168.1.0 192.168.1.2 192.168.1.1 192.168.1.3 192.168.1.1 7
PC2 PC3 SERVER0 192.168.1.4 192.168.1.1 192.168.1.5 192.168.1.1 192.168.1.11 192.168.1.1 192.168.1.0 192.168.1.0 192.168.1.0 【实验设备】
根据你所设计的局域网需要选择实验设备。在示例的拓扑中,使用了2950交换机2台, PC机4台,服务器1台(本实验在packet tracer 环境下完成)。 【实验步骤】
步骤1 设计一个局域网,并按照所设计的拓扑图进行连接。注意接口的选择以及连线所使用的线缆类型。
步骤2 按照表3.1参数配置表完成局域网中各主机,接口等的配置。
步骤2.1 主机的配置。主机的IP址和网关根据配置参数表分配好的地址进行设计即可。
步骤2.1.1 主机PC1的配置。
主机IP址和网关的配置在模拟环境下有两种方式。
(1)单击拓扑图中的PC1图标。在弹出的配置界面中,选择Config标签,点击左侧GLOBAL下的Settings便可以配置网关。点击左侧INTERFACE下的FastEthernet便可以配置IP址和掩码。
(2)单击拓扑图中的PC1图标。在弹出的配置界面中,选择Desktop标签,在选择IP Configuration ,便可配置主机IP址和网关。 步骤2.1.3 实际Windows环境的IP配置。
在实际Windows环境中的“开始”中选择“设置”中的“控制面板”。在“控制面板”窗口中选择“网络连接”。鼠标右键选择“本地连接”(或者相应的网卡名称),选择“属性”。在“属性”窗口中选择“TCP/IP协议”,就可配置相应的参数。这里注意一点:若是静态IP址,则选择“使用下面的IP地址”选项,若需DHCP动态分配,则选择“自动获得IP地址”。
步骤2.2 这里交换机具有2层交换功能,不需要配置。 步骤3.连通性测试和包传输路径跟踪测试。
8
步骤3.1 以PC0到PC1的连通性测试为例。单击拓扑图中的PC0图标。在弹出的配置界面中,选择Desktop标签,选择Command Prompt,键入ping 命令。 PC>ping 192.168.1.3
查看结果,如果Ping通则网络正常,Ping 不通,则就要进行故障排查。 步骤3.3 包传输路径跟踪测试。(在模拟模式下进行)
交换机上数据报的二层分析。由PC0 发送的ICMP数据报传送到交换机Switch 1时,Switch 1的Fa0/1接口接收数据。然后查看数据中的源MAC地址和目的MAC地址,如果交换机知道源MAC地址和目的MAC地址在一个网段内,会将数据报丢弃,无需传送(称为过滤);如果数据报的目的MAC地址不在交换机的MAC地址表中,交换机不知道目的网段,就会将数据报传送到除源网段以外的所有网段(称为泛洪);如果数据报的目的MAC地址在交换机的MAC地址表中,交换机就会将数据报传送到相应网段的出口(称为转发)。这是交换机的二层功能。在这里,Switch 1知道数据报的目的MAC地址在交换机的MAC地址表中,Switch 1就会将数据报转发到相应网段的出口Fa0/2。
步骤3.3.1当ICMP包传输到Switch 1时,可以单击Event List中右侧的Info框在弹出的PDU 信息界面中就可以查看包在Switch 1上的处理过程,也可以直接单击工作区中处于Switch 1上的包进入PDU 信息界面。
步骤3.3. 2 在图中选择Inbound PDU Details标签,便可查看进入Switch1数据报细节。在Ethernet II中可以看到以太网帧的源MAC地址00D0.BA92.EDA7和目的MAC地址0001.C9A2.2193;在IP中可以看到源IP地址192.168.1.2和目的IP地址192.168.1.3。ICMP显示了是一个ICMP数据帧。
同样在图3.8中选择Outbound PDU Details标签,便可查看出Switch1数据报细节。在图中同样可查看MAC地址和IP地址等信息。因为交换机依据目的MAC址转发数据帧, 步骤4 互联网协议测试
1、SERVER0服务器开启http服务:
9
2、在任一pc上访问服务器:
10
在pc0机器上在模拟环境下访问服务器的HTTP服务(网站)可以模拟出tcp协议数据传送的“三次握手”过程。
11
实验三 VLAN构建与配置
【实验目的】
通过该实验理解VLAN的基本概念,掌握在二层交换机上创建VLAN的方法。 【实验内容】
1、按照给出的参考拓扑图构建逻辑拓扑图。 2、按照给出的配置参数表配置各个设备。 3、在二层交换机上构建VLAN。 4、测试同一VLAN中的连通性。 【实验背景】
虚拟局域网VLAN是一组逻辑上的设备和用户,这些设备和用户并不受物理网段的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 1)减少网络设备的移动、添加和修改的管理开销; 2)可以控制广播活动; 3)可提高网络的安全性。
在实际应用中,假设某企业有3个主要部门:销售部,技术部和后勤部。这些部门的计算机分散连到2台交换机上,如要实现部门之间能相互通信,部门之间不能访问的需求就需要配置Vlan。
参考拓扑图
12
配置参数表
交换机信息 交换机名称 Switch A 类型 2950-24 接口 Fa0/5 F a0/10 Fa0/15 Fa0/24 Switch B 2950-24 Fa0/5 Fa0/10 Fa0/15 Fa0/24 PCS信息 (子网掩码均为 255.255.255.0) 主机名 IP 地址 缺省网关 所属网段 与Switch相连端口 PC0 PC1 PC2 PC3 PC4 PC5 192.168.10.2 192.168.10.3 192.168.10.4 192.168.10.5 192.168.10.6 192.168.10.7 192.168.10.1 192.168.10.0 SwitchA Fa0/5 192.168.10.1 192.168.10.0 SwitchA Fa0/10 192.168.10.1 192.168.10.0 SwitchA Fa0/15 192.168.10.1 192.168.10.0 Switch B Fa0/5 192.16810.1 192.168.10.0 SwitchB Fa0/10 所属VLAN Vlan 10 Vlan 20 Vlan 30 中继端口 Vlan 10 Vlan 20 Vlan 30 中继端口 192.168.10.1 192.168.10.0 SwitchB Fa0/15 【实验设备】
两台2950交换机,PC机6台,直通线缆6根,交叉线缆1根。
13
【实验步骤】
步骤1 按照参考拓扑图构建逻辑拓扑图,参数配置表配置各个设备。 步骤2 在交换机Switch A上创建三个vlan(vlan10,20,30)并分别命名(v10,v20,v30)。
(以交换机Switch A 为例,同样配置Switch B) 步骤2.1创建Vlan 10并命名为v10: Switch# configure terminal
Switch(config) #hostname SwitchA // 交换机改名 SwitchA(config)# vlan 10
SwitchA(config-vlan)# name v10 // 创建Vlan并命名为v10 步骤2.2 创建Vlan 20并命名为v20: SwitchA(config)#vlan 20
Switch A(config-vlan)#name v20 // 创建Vlan并命名为v20 步骤2.3创建Vlan 30并命名为v30: SwitchA(config)#vlan 30
SwitchA(config-vlan)#name v30 // 创建Vlan并命名为v10
14
步骤3 把端口划分到VLAN中去.
( 端口Fa0/5划到v10, 端口Fa0/10划到v20, 端口Fa0/15划到v30, ) 步骤3.1 将0/5端口划分到 Vlan 10 SwitchA(config)#interface FastEthernet0/5
SwitchA(config-if)# switchport access vlan 10 // 将0/5端口划分到 Vlan 10 步骤3.2将0/10端口划分到 Vlan 20 SwitchA(config)#interface FastEthernet0/10
SwitchA(config-if)# switchport access vlan 20 // 将0/10端口划分到 Vlan 20 步骤3.3将0/15端口划分到 Vlan 30 SwitchA(config)#interface FastEthernet0/15
SwitchA(config-if)# switchport access vlan 30 // 将0/15端口划分到 Vlan 30 步骤4.验证已创建的VLAN。 SwitchA# show vlan
VLAN Name Status Ports
---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24 10 v10 active Fa0/5 20 v20 active Fa0/10 30 v30 active Fa0/15 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active 步骤5按例给出交换机Switch B的配置。
15
步骤6 设置交换机Switch A上与Switch B相连的端口(Fa0/24).
Switch A上与Switch B相连的端口Fa0/24的模式设置为Trunk模式。Trunk是端口汇聚的意思,Trunk(干道)是一种封装技术,它是一条点到点的链路,主要功能就是仅通过一条链路就可以连接多个交换机从而扩展已配置的多个VLAN。
步骤6.1 交换机Switch A的Fa0/24的配置。 SwitchA(config)#interface FastEthernet0/24
SwitchA(config-if)# switchport mode trunk // 将Fa0/24设为Trunk模式 步骤6.2 按例给出交换机Switch B的Fa0/24的配置。
步骤7 验证PC0和PC3,PC1和PC4,PC2和PC5能相互通信,说明同一Vlan内的主机能相互连通。而PC0和PC4,PC5不能相互通信,说明了不同Vlan间不能通信。
步骤7.1 验证PC0和PC3能相互通信。(同样可验证PC1和PC4,PC2和PC5能连通)
各主机按照参数表中的IP地址和网关设置进行配置,并按照参数表要求与交换机相应的端口用直通线连接起来。
单击拓扑图中的PC0图标。在弹出的配置界面中,选择Desktop标签,选择Command Prompt,键入ping 192.168.10.3 命令。 PC>ping 192.168.10.5
16
实验四 多网段网络组建与静态路由配置
【实验目的】
通过设计有两个路由器的网络及静态路由的配置理解静态路由原理。 【实验内容】
1、按照给出的参考拓扑图构建逻辑拓扑图。 2、按照给出的配置参数表配置各个设备。 3、练习静态路由的配置。 4、完成连通性测试。 【实验背景】
静态路由是指由网络管理员手工给出的路由信息,建立路由表。静态路由适合在规模较小、不经常改变的网络。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。 静态路由选择有许多优点:
1、不需要动态路由选择协议,这减少了路由器的计算和带宽开销。 2、在小型互连网络上很容易配置。 3、可以控制路由选择。
参考拓扑图
17
配置参数表
路由器信息(子网掩码均为255.255.255.0) 路由器名称 Router a 类型 IP地址 Fa0/0: 192.168.1.1 S0/0: 192.168.2.1 56000 Router b 2620XM Fa0/0: 192.168.3.1 S0/0: 192.168.2.2 PC信息(子网掩码均为 255.255.255.0) 主机名 PC0 PC1 PC2 PC3 Hub信息 Hub名称 Hub 0 Hub 1 类型 Hub-PT Hub-PT 192.168.1.0 192.168.3.0 所属网段 IP 地址 192.168.1.2 192.168.1.3 192.168.3.2 192.168.3.3 缺省网关 192.168.1.1 192.168.1.1 192.168.3.1 192.168.3.1 所属网段 192.168.1.0 192.168.1.0 192.168.3.0 192.168.3.0 时钟频率 2620XM 【实验设备】
PC机4台;Cisco路由器2620XM 2台;串行线缆1对;HUB 2 台,直通线6根。
【实验步骤】
步骤1 按照参考拓扑图将设备连接起来,并按照参数配置表配置各个设备。 步骤1.1 以Router a和192.168.1.0网络设备的配置为例 步骤1.1.1 Router a的配置 1. 配置以太网端口 Route#configure terminal
Router(config)# hostname Ra (改名为Ra) Ra (config)# interface FastEthernet0/0
Ra (config-if)# ip address 192.168.1.1 255.255.255.0
18
Ra (config-if)# no shutdown 2.配置串行端口
Ra(config)# interface Serial0/0
Ra(config-if)# bandwidth 56 (串行线两端都需要设定带宽)
Ra(config-if)# clock rate 56000 (串行线中DCE端需设定时钟,DTE端则不需要)
Ra(config-if)# ip address 192.168.2.1 255.255.255.0 Ra(config-if) #no shutdown
步骤1.1.2 192.168.1.0网络中PC0和PC1的配置。
主机的IP址和网关根据配置参数表分配好的地址进行设计即可。192.168.1.0网络中的Hub不需要进行配置。
单击拓扑图中的PC0图标。在弹出的配置界面中,选择Desktop标签,在选择IP Configuration ,便可配置主机IP址和网关。同样可配置PC1。 步骤1.2 按例给出Router b和192.168.3.0网络设备的配置. 步骤2 配置静态路由。
步骤2.1 以Router a中静态路由配置为例。
(Router a上需配置到达所有网段的路由信息,才能与各个网段连通,因为参考拓扑比较简单,192.168.1.0 网段和192.168.2.0网段是直连的网段,所以只需要配置到192.168.3.0网段的路由信息。) 步骤2.1.1 登陆到路由器Router a 的CLI。 步骤2.1.2 进入全局模式,键入命令:
Ra (config) # ip route 192.168.3.0 255.255.255.0 192.168.2.2
步骤2.1.3 检查配置的路由信息是否在路由表中。用show ip route命令。 Ra# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B – BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR
19
P - periodic downloaded static route Gateway of last resort is not set
C 192.168.1.0/24 is directly connected, FastEthernet0/0 //指示192.168.1.0是Router a 的直连网络
C 192.168.2.0/24 is directly connected, Serial0/0
S 192.168.3.0/24 [1/0] via 192.168.2.2 //指示这条路由信息是静态配置而来,192.168.3.0网络是静态配置而得。
步骤2.1.4 在特权配置模式下输入:Ra # copy running-config startup-config 将运行的配置文件保存一下。
步骤2.2 按例给出Router b到达网络192.168.1.0的静态路由。 步骤3连通性和包传输路径的跟踪测试; 步骤3.1 连通性测试。 步骤3.1.1 主机间连通性测试。
以PC0到PC2的连通性测试为例。单击拓扑图中的PC0图标。在弹出的配置界面中,选择Desktop标签,选择Command Prompt,键入ping 命令。 PC> ping 192.168.3.2 选作:
请根据以下网络拓扑图和相关参数,对相应路由器进行静态路由的配置,使得网络连通。(所有计算机之间能连同)
Router A LAN0: 192.168.1.1/24 LAN1: 10.10.10.1/24
Router B LAN0: 192.168.2.1/24 LAN1: 10.10.10.2/24 LAN2: 10.10.20.1/24 Router C LAN0: 192.168.3.1/24 LAN1: 10.10.20.2/24 LAN 0 PC A 192.168.1.10/24 PC B 192.168.2.20/24 PC C 192.168.3.30/24 Switch A Router A LAN1 Router B LAN1 LAN 0 Switch B LAN 2 LAN 1 LAN 0 Switch C Router C 20
【注意事项】
1、 静态路由信息在缺省情况下是私有的,不会传递给其他的路由器。 2、在默认情况下,静态路由的出口方式指定优先级会比下一跳地址高,但是我们这里建议网络管理者使用下一跳地址做为静态路由,因为如果出口是在关闭状态下,那么这条静态路由便不会被装载到路由表中。
3、静态路由的另一个作用是作动态路由的备份路由选项,如果我们已经配置了动态路由,可以手动的更改静态路由的优先级,当动态路由出现问题的时候路由器便可以选择这条静态路由来转发数据包。
21
实验五 多网段网络组建与动态路由配置
【实验目的】
1、理解RIP动态路由原理。 2、练习动态路由配置。
3、掌握对路由器有关状态获取和分析的方法。 【实验任务】
1、按照拓扑构建一个小型局域网。 2、配置PC机的IP地址及网关。
3、配置路由器的各个接口、RIP路由协议。 4、完成连通性和包传输路径基本测试。 【实验背景】
动态路由协议可以允许网络快速的更新和适应于变化,大多数网络采用动态路由,因为它能使网络自动适应变化。其缺点是会增加网络的开销。在本实验中,将使用RIP作为路由选择协议,RIP设计用于工作在中等大小的局域网中,并不适用于更复杂的环境。
RIP经过若干年的发展,从一个有类路由选择协议RIP版本1改进到了无路由选择协议RIP版本2,RIP2除了具有RIPV2的所有功能还具有以下增强特性:支持身份验证、支持无类别子网掩码、使用路由标记、使用D类地址244.0.0.9组播传送路由选择更新信息。
参考拓扑图。
22
配置参数表
路由器信息(子网掩码均为255.255.255.0) 主机名 类型 IP地址 RIP路由网络 时钟频率 192.168.1.0 Router1 2620XM Fa0/0:192.168.1.1 Ser0/0:192.168.2.1 192.168.2.0 56000 Router2 2620XM Fa0/0:192.168.3.1 192.168.2.0 Ser0/0:192.168.2.2 192.168. 3.0 PC信息(子网掩码均为255.255.255.0) 主机名 PC0 PC1 交换机信息 主机名 Switch 0 Switch 1 【实验设备】
两台2620XM的路由器,二台PC机,二台2950-24的交换机,,DCE/DTE Cable一条,直通线四条。 【实验步骤】
步骤1 对路由器进行配置。
步骤1.1先进入全局配置模式,执行命令“earase startup-config” ,清除缓存的配置文件。使用“reload”命令重启路由器。 Router>enable
Router#erase startup-config Router#reload
开始对路由器的名字进行配置。 Router>enable Router#config terminal
Router(config)#hostname Router1
23
IP地址 192.168.1.2 192.168.3.3 默认网关 192.168.1.1 192.168.3.1 类型 2950-24 2950-24 Router(config)#hostname Router2
步骤1.2接下来进入接口配置模式对路由器的接口进行配置,包括IP地址,开启接口,对DCE进行时钟设置。 Router1 (config)#interface fas0/0
Router1 (config-if)#ip address 192.168.1.1 255.255.255.0 Router1 (config-if)#no shutdown Router1 (config)#interface serial 0/0
Router1 (config-if)#ip address 192.168.2.1 255.255.255.0 Router1 (config-if)#clock rate 56000 Router1 (config-if)#no shutdown
Router2 (config)#int ser0/0
Router2 (config-if)#ip address 192.168.2.2 255.255.255.0 Router2 (config-if)#no shutdown Router2 (config-if)#exit Router2 (config)#int fas0/0
Router2 (config-if)#ip address 192.168.3.1 255.255.255.0 Router2 (config-if)#no shutdown Router2 (config-if)#end Router2 #
步骤2 对各主机按以上拓扑所规定的IP地址子网掩码以及缺省网关进行配置。在各主机上可以通过“ping 网关的IP地址”即:PC0>ping 192.168.1.1,PC1>ping 192.168.1.2,PC0>ping 192.168.3.2分别来测试与网关的连通,测试PC0和PC1之间是否连通。
步骤3路由器的全局模式使用“router rip”进入路由器配置,对各路由器使用“network 端口所在的网络地址”进行RIP路由协议配置,。使用命令返回到全局模式。
步骤3.1对Router1进行RIP路由配置。 Router1 (config)#router rip
Router1 (config-router)#network 192.168.1.0
24
Router1 (config-router)#network 192.168.2.0 Router1 (config-router)#exit Router1 (config)#end
步骤3.2对Router2进行RIP路由配置。 Router2 (config)#router rip
Router2 (config-router)#network 192.168.2.0 Router2 (config-router)#network 192.168.3.0 Router2 (config-router)#end
步骤3.3使用“copy running-config startup-config”将配置从running-config保存到startup-config。
Router2 #copy running-config startup-config Router1 #copy running-config startup-config
然后在各主机上使用ping命令从PC0与PC1进行测试,看看是否是连通的。若没有则检查配置信息。
步骤4 检查路由器的基本配置。以路由器Router1为例,使用“show ip protocol ”命令来看一下路由协议是否为rip即Routing protocol is RIP . Router1#show ip protocol
Routing Protocol is \"rip\"//路由协议为rip
Sending updates every 30 seconds, next due in 24 seconds//路由选择的更新每30s广播,下一次更新在24s后发生。
Invalid after 180 seconds, hold down 180, flushed after 240//失效定时器的值为180s,抑制定时器的值为180s,刷新定时器的值为240s. Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set //所有的接口都没有设置进出路由器的过滤表。 Redistributing: rip
Default version control: send version 1, receive any version Interface Send Recv Triggered RIP Key-chain FastEthernet0/0 1 2 1 Serial0/0 1 2 1
25
Automatic network summarization is in effect Maximum path: 4 Routing for Networks: 192.168.1.0
192.168.2.0//路由器可以为去往这两个网络的包提供路由。 Passive Interface(s): Routing Information Sources:
Gateway Distance Last Update 192.168.2.2 120 Distance: (default is 120)
使用“show ip route” 命令来列出路由器直达的以及可到达的网络和端口号。 Router1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route
Gateway of last resort is not set//缺省网关没有配置 C 192.168.1.0/24 is directly connected, FastEthernet0/0
C 192.168.2.0/24 is directly connected, Serial0/0//这两个网络是直达的
R 192.168.3.0/24 [120/1] via 192.168.2.2, 00:00:23, Serial0/0->192.168.3.0//这个网络是通过192.168.2.2这个接口可达的。
选作:用RIP协议实现下图网络互联功能。(所有机器间你能联通)
26
27
实验六 网络访问控制与基本包过滤配置
【实验目的】
通过本实验理解基于IP源地址的包过滤原理和应用方法。掌握标准访问控制列表的设计、配置和测试。 【实验任务】
1、参照拓扑图建立网络拓扑。
2、配置路由器和PC,确保网络拓扑的连通性。 3、配置标准访问控制列表满足应用需求。 【背景描述】
在本次实验中我们首先组建一个简易的校园网,在此基础上利用标准访问控制列表实施访问控制。扩展包过滤实验和NAT/PAT实验做为后续实验仍然使用该拓扑,并在本次实验的基础上不断加强访问控制,最后形成一个基于路由器包过滤和地址转换技术的相对安全的校园网。
本次实验中我们在Packet Tracer的仿真环境中实现如下应用需求:教学网段和宿舍网段不能访问行政网段,管理网段中只允许PC1访问行政网段,行政网段可以访问DMZ中的WWW、FTP、SMTP服务器。
实验之前大家应该理解标准访问控制列表的基本特点,工作原理和应用的方法,熟练掌握其基本语法和配置步骤。会使用Show running-config、Show access-lists 等命令查看访问控制列表是否配置成功、以及在仿真环境中测试是否达到预期结果。 标准访问控制列表的基本语法如下:
Access-list access-list-number {deny | permit} source [source-wildcard] [log] access-list命令参数的含义如下:
(1) access-list-number:访问控制列表号,标准访问控制列表的号码范围是1~99。 (2) deny:如果满足条件,数据包被拒绝从该入口通过。 (3) permit:如果满足条件,数据包允许从该入口通过。
(4) source:数据包的源网络地址,源网络地址可以是具体的地址或any(任意),如果源地址是单个IP地址时,将\"source\"改成\"host\后再写IP地址即可。
(5) Source-wildcard:源地址通配符掩码,可选项。通配符掩码是一个32比特位的数字字符串,使用1或0来表示,它被用\".\"分成4组,每组8位。在通配符掩码位中,0
28
表示\"检查相应的位\而1表示不检查相应位。通配符掩码相当于子网掩码的反码。
(6) Log:可选项,生成日志信息,记录匹配permit或deny语句的包。
可以通过在\"access-list\"命令前加\"no\"的形式,来删除一个已经建立的标准ACL。 关键字any和host的用法
(1)any指定对允许所有的IP地址作为源地址。这样,当某环境下允许访问任何目的地址时,我们就不用输入source位为\"0.0.0.0\再输入通配符掩码为\"255.255.255.255\"了,直接使用\"any\"就可以了。下面两行指令是等价的。 access-list 1 permit 0.0.0.0 255.255.255.255 access-list 1 permit any
(2)host用在访问表中指定通配符掩码是0.0.0.0这样某环境下要输入单个的地址,如172.16.8.1,就不用输入172.16.8.1和通配符掩码0.0.0.0了,直接在地址前加host就可以了。ACL的使用
在创建了一个访问控制列表并分配了表号之后,为了让该访问控制列表起作用,用户必须把它配置到一个接口上且指明数据流方向。 其语法是:ip access-group access-list-number {in|out} (1) Ip:定义所用的协议。
(2) access-list-number:访问控制列表的号码。
(3) in |out:定义ACL是被应用到接口的流入方向(in),还是接口的流出方向(out)。
参考拓扑图
29
配置参数表
路由器配置信息(子网掩码均为255.255.255.0) 主机名 InsideRouter 类型 2620XM IP 地址 Fa0/0: 192.168.1.2 Eth1/0: 192.168.2.1 Eth1/1: 192.168.3.1 Eth1/2: 192.168.4.1 Eth1/3: 192.168.5.1 EageRouter 2620XM Fa0/0: 192.168.1.1 RIP路由网络 时钟频率 192.168.1.0 192.168.2.0 192.168.3.0 192.168.4.0 192.168.5.0 192.168.1.0 Ser0/0: 218.58.59.91 218.58.59.0 OutsideRouter 2620XM Fa0/0: 218.58.100.1 218.58.59.0 Ser0/0: 218.58.59.90 218.58.100.0 9600 PC和Server配置信息(子网掩码均为255.255.255.0) 主机名 PC0 PC1 PC2 PC3 PC4 PC5 WWW FTP SMTP Outside WWW 交换机配置信息 主机名 Manage Administration
IP 地址 192.168.2.2 192.168.2.3 192.168.3.2 192.168.4.2 192.168.5.2 218.58.100.2 192.168.1.3 192.168.1.4 192.168.1.5 218.58.100.3 默认网关 192.168.2.1 192.168.2.1 192.168.3.1 192.168.4.1 192.168.5.1 218.58.100.1 192.168.1.1 192.168.1.1 192.168.1.1 218.58.100.1 所属网段 192.168.2.0 192.168.2.0 192.168.3.0 192.168.4.0 192.168.5.0 218.58.100.0 192.168.1.0 192.168.1.0 192.168.1.0 218.58.100.0 类型 2950-24 2950-24 30
所属网段 192.168.2.0 192.168.3.0 备注 所属校园网管理网段 所属校园网行政网段 Teach Student Server Area Outside 【实验设备】
2950-24 2950-24 2950-24 2950-24 192.168.4.0 192.168.5.0 192.168.1.0 218.58.100.0 所属校园网教学网段 所属校园网宿舍网段 DMZ区 所属校外网 Cisco Router 2620XM 3台 Catalyst Switch 2950-24 6台 PC PC-PT 6台 Server Server-PT 4台 【实验步骤】
步骤1 建立网络拓扑并确保其连通性
参照拓扑图和配置信息表在Packet Tracer中建立网络拓扑、进行配置。测试连通性,确保网络中的任何两个设备间能相互访问(能Ping通)。然后保存该拓扑的一个复本,以备后用。
步骤2 配置标准访问控制列表满足应用需求 步骤2.1.
我们在InsideRouter上创建标准访问控制列表access –list 1,将其应用到InsideRouter 的Eth1/1端口上,配置命令如下: InsideRouter>en InsideRouter#config t
InsideRouter(config)#access-list 1 permit 192.168.1.0 0.0.0.255 InsideRouter(config)#access-list 1 permit host 192.168.2.3 InsideRouter(config)#exit InsideRouter#config t
InsideRouter(config)#interface e1/1 InsideRouter(config-if)#ip access-group 1 out InsideRouter(config-if)#end
步骤2.2我们查看一下刚刚建立的访问控制列表。 InsideRouter#show access-lists
31
会有如下信息: Standard IP access list 1 permit 192.168.1.0 0.0.0.255 permit host 192.168.2.3
显示信息表明访问控制列表已建立,接下来我们进行测试。
测试结果应该是管理网段中只有PC1访问行政网段。教学网段和宿舍网段不能访问行政网段。行政网段可以访问DMZ中的WWW、FTP、SMTP服务器。 在这个实验中我们暂时不考虑对外网的访问控制, 这部分内容我们将在以后的实验中逐步完善。 【参考配置】
OutsideRouter#show run version 12.2
hostname OutsideRouter interface FastEthernet0/0
ip address 218.58.100.1 255.255.255.0 duplex auto speed auto interface Serial0/0
ip address 218.58.59.90 255.255.255.0 clock rate 9600 interface Serial0/1 no ip address shutdown router rip
network 218.58.59.0 network 218.58.100.0 ip classless line con 0 end
EageRouter#show run
32
version 12.2
hostname EageRouter interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0 duplex auto speed auto interface Serial0/0
ip address 218.58.59.91 255.255.255.0 interface Serial0/1 no ip address shutdown
interface FastEthernet1/0 no ip address shutdown! router rip
network 192.168.1.0 network 218.58.59.0 ip classless line con 0 end
InsideRouter#show run version 12.2
hostname InsideRouter interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0 duplex auto speed auto interface Ethernet1/0
ip address 192.168.2.1 255.255.255.0 duplex auto
33
speed auto interface Ethernet1/1
ip address 192.168.3.1 255.255.255.0 ip access-group 1 out duplex auto speed auto interface Ethernet1/2
ip address 192.168.4.1 255.255.255.0 duplex auto speed auto interface Ethernet1/3
ip address 192.168.5.1 255.255.255.0 duplex auto speed auto router rip
network 192.168.1.0 network 192.168.2.0 network 192.168.3.0 network 192.168.4.0 network 192.168.5.0 ip classless
access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit host 192.168.2.3 line con 0 end
34
实验七 网络访问控制与扩展包过滤配置
【实验目的】
通过本实验理解基于IP地址、协议和端口的包过滤原理和应用方法,掌握扩展访问控制列表的设计、配置和测试。 【实验任务】
在实验六的基础上,配置扩展访问控制列表满足应用需求。 【实验背景】
在基本包过滤的实验中我们在一个简易的校园网拓扑上通过配置标准访问控制列表,加强了对行政网段的访问控制。在本节的实验中我们继续通过配置扩展访问控制列表加强对DMZ区和内外网之间的访问控制。 本次实验中我们有如下的应用需求: 禁止宿舍网段和校外网访问FTP服务器上。 外网可以访问www服务器和SMTP服务器。
所有的计算机都可以访问外网中outside www服务器。
实验之前大家应该理解扩展访问控制列表的基本特点,工作原理和应用的原则,熟练掌握其基本语法和配置步骤。会使用Show running-config、Show access-lists 等命令查看访问控制列表是否配置成功,以及在仿真环境中测试是否达到预期结果。 扩展访问控制列表的语法
扩展ACL也是在全局配置模式下进行设计的,其命令\"access-list\"的语法格式为: access-list access-list-number {deny|permit} protocol source[source-wildmask] destination [destination-wildmask] [operator operand] [established] 命令参数的含义如下:
(1) access-list-number:访问控制列表号,范围为100-199。 (2) deny:如果满足条件,数据包被拒绝通过。 (3) permit:如果满足条件,数据包允许通过。 (4) protocol:指定协议类型,如 IP/TCP/UDP/ICMP等。 (5) source:源地址。 (6) destination:目的地址。 (7) source-mask:源通配符掩码。
35
(8) destination-mask:目的通配符掩码。
(9) operator operand:可为it|gt|eq|neq,分别表示\"小于|大于|等于|不等于\"端口号。
(10) established:可选项,表示连接的状态。 协议及协议的端口号
可以使用扩展ACL来做到针对协议及其参数的更精细的包过滤,如TCP,UDP,ICMP和IP。在扩展ACL中,要指定上层TCP或UDP端口号,从而选择允许或拒绝的协议。常见的端口号及其对应协议为:FTP 20/21;Telnet 23;SMTP 25;TFTP 69;DNS 53;Http 80等。
扩展ACL的IP地址和通配符掩码的使用,同标准ACL,此处不再详述。
参考拓扑图
配置参数表
路由器配置信息(子网掩码均为255.255.255.0) 主机名 InsideRouter 类型 2620XM IP 地址 Fa0/0: 192.168.1.2 Eth1/0: 192.168.2.1 Eth1/1: 192.168.3.1 Eth1/2: 192.168.4.1 Eth1/3: 192.168.5.1 36
RIP路由网络 192.168.1.0 192.168.2.0 192.168.3.0 192.168.4.0 192.168.5.0 时钟频率 EageRouter 2620XM Fa0/0: 192.168.1.1 Ser0/0: 218.58.59.91 192.168.1.0 218.58.59.0 218.58.59.0 218.58.100.0 OutsideRouter 2620XM Fa0/0: 218.58.100.1 Ser0/0: 218.58.59.90 9600 PC和Server配置信息(子网掩码均为255.255.255.0) 主机名 PC0 PC1 PC2 PC3 PC4 PC5 WWW FTP SMTP Outside WWW 交换机配置信息 主机名 Manage Administration Teach Student Server Area Outside 【实验设备】
Cisco Router 2620XM 3台 Catalyst Switch 2950-24 6台 PC PC-PT 6台
37
IP 地址 192.168.2.2 192.168.2.3 192.168.3.2 192.168.4.2 192.168.5.2 218.58.100.2 192.168.1.3 192.168.1.4 192.168.1.5 218.58.100.3 默认网关 192.168.2.1 192.168.2.1 192.168.3.1 192.168.4.1 192.168.5.1 218.58.100.1 192.168.1.1 192.168.1.1 192.168.1.1 218.58.100.1 所属网段 192.168.2.0 192.168.2.0 192.168.3.0 192.168.4.0 192.168.5.0 218.58.100.0 192.168.1.0 192.168.1.0 192.168.1.0 218.58.100.0 类型 2950-24 2950-24 2950-24 2950-24 2950-24 2950-24 所属网段 192.168.2.0 192.168.3.0 192.168.4.0 192.168.5.0 192.168.1.0 218.58.100.0 备注 所属校园网管理网段 所属校园网行政网段 所属校园网教学网段 所属校园网宿舍网段 DMZ区 所属校外网 Server Server-PT 4台 【实验步骤】
我们利用上节实验最后保存的拓扑和配置信息,实验步骤如下: 步骤1
步骤1.1首先我们配置扩展访问控制列表满足禁止宿舍网段访问FTP服务器上的ftp资源的应用需求。
我们创建扩展访问控制列表access –list 100,将其应用到InsideRouter 的Fa0/0端口上。
InsideRouter#config t
InsideRouter(config)# access-list 100 deny tcp 192.168.5.0 0.0.0.255 host 192.168.1.4 eq 21
InsideRouter(config)# access-list 100 permit ip any any InsideRouter(config)#exit InsideRouter#config t
InsideRouter(config)#interface fa0/0
InsideRouter(config-if)#ip access-group 100 out 步骤1.2下面我们查看一下刚刚建立的访问控制列表 InsideRouter#show ip access-lists Standard IP access list 1 permit 192.168.1.0 0.0.0.255 permit host 192.168.2.3 Extended IP access list 100
deny tcp 192.168.5.0 0.0.0.255 host 192.168.1.4 eq 21 permit ip any any
显示信息表明访问控制列表已建立,接下来我们进行测试。 步骤1.3实验结果分析
宿舍网段无法访问FTP服务器,宿舍网段可以访问WWW服务器,宿舍网段可以访问SMTP服务器。 步骤2
38
步骤2.1我们创建扩展访问控制列表access –list 101,将其应用到EageRouter 的Fa0/0端口上,以满足其他的应用需求。 EageRouter#config t
EageRouter(config)#ip access-list extend 101
EageRouter(config)#access-list 101 deny tcp 218.58.100.0 0.0.0.255 host 192.168.1.4 eq 21
EageRouter(config)#access-list 101 permit tcp 218.58.100.0 0.0.0.255 192.168.1.3 eq 80
EageRouter(config)#access-list 101 permit tcp 218.58.100.0 0.0.0.255 192.168.1.5 eq 25
EageRouter(config)#access-list 101 permit tcp host 218.58.100.3 eq 80 any EageRouter(config)#exit EageRouter#config t
EageRouter(config)#interface fa0/0
EageRouter(config-if)#ip access-group 101 out EageRouter(config-if)#end
步骤2.2下面我们查看一下刚刚建立的访问控制列表 EageRouter#show access-lists Extended IP access list 101
deny tcp 218.58.100.0 0.0.0.255 host 192.168.1.4 eq 21 permit tcp 218.58.100.0 0.0.0.255 host 192.168.1.3 eq 80 permit tcp 218.58.100.0 0.0.0.255 host 192.168.1.5 eq 25 permit tcp host 218.58.100.3 eq 80 any
显示信息表明访问控制列表已建立,接下来我们进行测试。 1、外网不能访问内网的FTP服务器。 2、外网能访问内网的WWW服务器。 3、外网能访问内网的SMTP服务器。
4、管理网段能访问外网的Outside WWW服务器。 5、行政网段能访问外网的Outside WWW服务器。
39
host host 6、教学网段能访问外网的Outside WWW服务器。 7、宿舍网段能访问外网的Outside WWW服务器。 至此应用需求已经全部满足实验结束。 【参考配置】 InsideRouter#show run version 12.2
hostname InsideRouter interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0 ip access-group 100 out duplex auto speed auto interface Ethernet1/0
ip address 192.168.2.1 255.255.255.0 duplex auto speed auto interface Ethernet1/1
ip address 192.168.3.1 255.255.255.0 ip access-group 1 out duplex auto speed auto interface Ethernet1/2
ip address 192.168.4.1 255.255.255.0 duplex auto speed auto interface Ethernet1/3
ip address 192.168.5.1 255.255.255.0 duplex auto speed auto router rip
40
network 192.168.1.0 network 192.168.2.0 network 192.168.3.0 network 192.168.4.0 network 192.168.5.0 ip classless
access-list 1 deny 192.168.5.0 0.0.0.255 access-list 1 deny 192.168.4.0 0.0.0.255 access-list 1 permit host 192.168.2.3 access-list 1 deny 192.168.2.0 0.0.0.255 access-list 1 permit any
access-list 100 deny tcp 192.168.5.0 0.0.0.255 host 192.168.1.4 eq 21 access-list 100 permit ip any any line con 0 end
EageRouter#show run version 12.2
hostname EageRouter interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0 ip access-group 101 out duplex auto speed auto interface Serial0/0
ip address 218.58.59.91 255.255.255.0 interface Serial0/1 no ip address shutdown
interface FastEthernet1/0 no ip address
41
shutdown router rip
network 192.168.1.0 network 218.58.59.0 ip classless
access-list 101 deny tcp 218.58.100.0 0.0.0.255 host 192.168.1.4 eq 21 access-list 101 permit tcp 218.58.100.0 0.0.0.255 host 192.168.1.3 eq 80 access-list 101 permit tcp 218.58.100.0 0.0.0.255 host 192.168.1.5 eq 25 access-list 101 permit tcp host 218.58.100.3 eq 80 any line con 0 end
42
实验八 内外网结构下的网络地址转换(NAT/PAT)
【实验目的】
通过本实验理解网络地址转换的原理和技术,掌握扩展NAT/PAT设计、配置和测试。
【实验任务】
1、配置静态网络地址转换并完成相应的测试。 2、配置动态网络地址转换并完成相应的测试。 3、配置端口地址转换(PAT)并完成相应的测试。 【实验背景】
本次实验在前两次实验的基础上,利用NAT和PAT技术实现私有地址和公有地址的相互转换,进一步增强校园网的安全性。另外NAT和PAT也是解决IP地址不足的一个有效方法。
本次实验中我们有如下的应用需求: 1、将192.168.1.3 静态NAT到218.58.59.93。 2、将192.168.1.5 静态NAT到218.58.59.94。
3、将管理网段、行政网段的内部私有IP动态NAT到218.58.59.95和218.58.59.96。 4、将教学网段、宿舍网段的内部私有IP动态PAT到218.58.59.97。
学生在实验之前要理解网络地址转换的原理。会使用Show running-config、Show ip nat translation等命令查看访问控制列表是否配置成功,以及在仿真环境中测试是否达到预期结果。 静态NAT的配置。
1、Router(config)#ip nat inside source static local-ip global –ip 参数说明:
local-ip:内部本地地址。被转换的地址。
global-ip:内部全球地址。用来转换内部本地地址的地址。 2、指定内外部接口,命令格式如下: Router(config)#interface type slot#/port# Router(config-if)#ip nat inside
Router(config)#interface type slot#/port#
43
Router(config-if)#ip nat outside 动态NAT的配置。
1、定义一个可以根据需要进行分配的全球地址池。
Router(config)#ip nat pool name start-ip end-ip {netmask netmask| prefix-length prefix-lengh} 参数说明:
name:地址池名称。
start-ip:地址池中地址范围的起始IP地址。 end-ip:地址池中地址范围的结束IP地址。 netmask:网络掩码。
prefix-lengh:网络掩码中有多少位是1,规定地址池所属的网络的网络掩码。 2、定义一个标准访问控制列表。
Router(config )#access-list access-list-number permit source [source-wildcard] 3、建立动态地址转换,它引用2中定义的访问控制列表。
Router(config)#ip nat inside source list { access-list-number |name} pool name 4、指定内外部接口,命令格式如下: Router(config)#interface type number Router(config-if)#ip nat inside Router(config)#interface type number Router(config-if)#ip nat outside PAT的配置。
1、Router(config)#ip nat inside source static local-ip global –ip overload 2、指定内外部接口,命令格式如下: Router(config)#interface type number Router(config-if)#ip nat inside Router(config)#interface type number Router(config-if)#ip nat outside 内部地址和外部地址的说明。
对于网络地址转换的理解核心在于搞清楚NAT术语中所提到的四个地址。
44
inside local(内部本地地址):在自有网络中(归自己管理,进行IP规划的网络)分配给私有主机的地址,一般情况下该地址是RFC1918中定义的私有地址。 inside global(内部全局地址):私有主机使用的非自有网络的地址,通常情况下inside global地址是从合法的全球统一可寻址空间中分配的地址,也就是通常所说的公有IP。
outside local(外部本地地址):非私有主机在自有网络内表现出来的IP地址。该地址是自有网络的管理员为本网络以外的设备所准备的用于在自有网络内使用的 IP地址。outside local地址的特点是只会出现在自有网络内但是是供给非私有主机使用的。
outside global(外部全局地址):非私有主机在自有网络以外的区域使用的IP地址,是非私有主机所在网络的管理员负责管理其分配的。outside global地址的特点是不会出现在自有网络中而且不是给私有主机使用,不归自有网络的管理员负责。
参考拓扑图
配置参数表
路由器配置信息(子网掩码均为255.255.255.0) 主机名 InsideRouter 类型 2620XM IP 地址 Fa0/0: 192.168.1.2 Eth1/0: 192.168.2.1 45
RIP路由网络 192.168.1.0 192.168.2.0 时钟频率 Eth1/1: 192.168.3.1 Eth1/2: 192.168.4.1 Eth1/3: 192.168.5.1 EageRouter 2620XM Fa0/0: 192.168.1.1 Ser0/0: 218.58.59.91 OutsideRouter 2620XM Fa0/0: 218.58.100.1 Ser0/0: 218.58.59.90 192.168.3.0 192.168.4.0 192.168.5.0 192.168.1.0 218.58.59.0 218.58.59.0 218.58.100.0 9600 PC和Server配置信息(子网掩码均为255.255.255.0) 主机名 PC0 PC1 PC2 PC3 PC4 PC5 WWW FTP SMTP Outside WWW 交换机配置信息 主机名 Manage Administration Teach Student Server Area Outside
46
IP 地址 192.168.2.2 192.168.2.3 192.168.3.2 192.168.4.2 192.168.5.2 218.58.100.2 192.168.1.3 192.168.1.4 192.168.1.5 218.58.100.3 默认网关 192.168.2.1 192.168.2.1 192.168.3.1 192.168.4.1 192.168.5.1 218.58.100.1 192.168.1.1 192.168.1.1 192.168.1.1 218.58.100.1 所属网段 192.168.2.0 192.168.2.0 192.168.3.0 192.168.4.0 192.168.5.0 218.58.100.0 192.168.1.0 192.168.1.0 192.168.1.0 218.58.100.0 类型 2950-24 2950-24 2950-24 2950-24 2950-24 2950-24 所属网段 192.168.2.0 192.168.3.0 192.168.4.0 192.168.5.0 192.168.1.0 218.58.100.0 备注 所属校园网管理网段 所属校园网行政网段 所属校园网教学网段 所属校园网宿舍网段 DMZ区 所属校外网 【实验设备】
Cisco Router 2620XM 3台 Catalyst Switch 2950-24 6台 PC PC-PT 6台 Server Server-PT 4台 【实验步骤】 步骤1
步骤1.1我们首先将192.168.1.3 静态转换到218.58.59.93,配置过程如下: EageRouter#config t
EageRouter(config)#ip nat inside source static 192.168.1.3 218.58.59.93 EageRouter(config)#interface fa0/0 EageRouter(config-if)#ip nat inside EageRouter(config-if)#interface s0/0 EageRouter(config-if)#ip nat outside EageRouter(config-if)#end
步骤1.2我们来查看一下刚才的配置。 EageRouter#show ip nat translations
Pro Inside global Inside local Outside local Outside global --- 218.58.59.93 192.168.1.3 --- --- 以上显示信息说明配置已建立。
接下来我们进行测试,添加一个由PC5到218.58.59.93的HTTP访问
在Simulation模式下我们跟踪该PDU.4 PC5到218.58.59.93的HTTP PDU实验结果说明外网网段可以访问218.58.59.93上的HTTP资源。 步骤1.3实验结果分析
我们在Logical视图中单击EageRouter上的PDU,调出PDU Information对话框,在OSI Model选项卡中我们可以清楚的看到IP地址的转换过程,OSI Model下方的英文信息说明这一点。 步骤2
步骤2.1首先将192.168.1.5 静态转换到218.58.59.94,配置过程如下: EageRouter#config t
47
EageRouter(config)#ip nat inside source static 192.168.1.5 218.58.59.94 EageRouter(config)#interface fa0/0 EageRouter(config-if)#ip nat inside EageRouter(config-if)#interface s0/0 EageRouter(config-if)#ip nat outside EageRouter(config-if)#end
步骤2.2我们来查看一下刚才的配置。 EageRouter#show ip nat translations
Pro Inside global Inside local Outside local Outside global --- 218.58.59.93 192.168.1.3 --- --- --- 218.58.59.94 192.168.1.5 --- --- 以上显示信息说明配置完成。
接下来我们进行测试,添加一个由PC5到218.58.59.94的SMTP Complex PDU设置,在Simulation模式下我们跟踪该PDU。 步骤2.3实验结果分析。
我们单击EageRouter上的PDU,调出PDU Information对话框,在OSI Model选项卡中我们可以清楚的看到IP地址的转换过程,OSI Model下方的英文信息说明这一点。 步骤3
步骤3.1下面我们将管理网段(192.168.2.0)、行政网段(192.168.3.0)的内部私有IP动态转换到218.58.59.95和218.58.59.96。配置命令如下: EageRouter#config t
EageRouter(config)# access-list 1 permit 192.168.3.0 0.0.0.255 EageRouter(config)# access-list 1 permit 192.168.2.0 0.0.0.255 EageRouter(config)#exit
EageRouter(config)#ip nat pool mypool 218.58.59.95 218.58.59.96 netmask 255.255.255.0
EageRouter(config)#ip nat inside source list 1 pool mypool EageRouter(config)#interface fa0/0 EageRouter(config-if)#ip nat inside
48
EageRouter(config-if)#interface s0/0 EageRouter(config-if)#ip nat outside 步骤3.2我们来测试一下刚才的配置。 我们建立两个Complex PDU格式如下图所示: PC2到218.58.100.3的HTTP Complex PDU设置 PC0到218.58.100.3的HTTP Complex PDU设置
0号PDU和1号PDU的Successful状态分别说明管理网段和行政网段可以访问218.58.59.100.3上的HTTP资源。 此时我们用如下命令做进一步的验证。 EageRouter#show ip nat translations
Pro Inside global Inside local Outside local Outside global --- 218.58.59.93 192.168.1.3 --- --- --- 218.58.59.94 192.168.1.5 --- --- --- 218.58.59.95 192.168.2.2 --- --- --- 218.58.59.96 192.168.3.2 --- --- 信息显示又增加了两个条目,正好是刚才进行的NAT地址转换。 步骤3.3实验结果分析。
我们分别调出两个数据包在EageRouter上的PDU Information 面板,在各自OSI Model选项卡中我们可以清楚的看到各自的Ip地址的转换过程,OSI Model下方的英文信息说明这一点。 步骤4
步骤4.1我们将教学网段(192.168.4.0)、宿舍网段(192.168.5.0)的内部私有IP 通过端口地址转换转换到218.58.59.97,配置命令如下: EageRouter#config t
EageRouter(config)# access-list 2 permit 192.168.4.0 0.0.0.255 EageRouter(config)# access-list 2 permit 192.168.5.0 0.0.0.255 EageRouter(config-std-nacl)#exit
EageRouter(config)#ip nat pool mypool1 218.58.59.97 218.58.59.97 netmask 255.255.255.0
EageRouter(config)#ip nat inside source list 2 pool mypool1 overload
49
EageRouter(config)#interface fa0/0 EageRouter(config-if)#ip nat inside EageRouter(config-if)#interface s0/0 EageRouter(config-if)#ip nat outside EageRouter(config)#end 我们建立两个Complex PDU
PC3到218.58.100.3的HTTP Complex PDU PC4到218.58.100.3的HTTP Complex PDU
0号PDU和1号PDU的Successful状态分别说明教学网段和宿舍网段可以访问218.58.59.100.3上的HTTP资源。 此时我们用如下命令做进一步的验证。 EageRouter#show ip nat translations
Pro Inside global Inside local Outside local Outside global --- 218.58.59.93 192.168.1.3 --- --- --- 218.58.59.94 192.168.1.5 --- --- --- 218.58.59.95 192.168.2.2 --- --- --- 218.58.59.96 192.168.3.2 --- ---
tcp 218.58.59.97:1026 192.168.4.2:1026 218.58.100.3:80 218.58.100.3:1026 tcp 218.58.59.97:1024 192.168.5.2:1026 218.58.100.3:80 218.58.100.3:1024 黑体部分就是我们刚才PAT的结果。 步骤4.3实验结果分析。
我们分别调出两个数据包在EageRouter上的PDU Information 面板,在各自OSI Model选项卡中我们可以清楚的看到各自的IP地址的转换过程。下方的英文信息说明这一点,
至此实验内容全部结束。本次实验内容较多,希望大家理清头绪,好好总结。 【参考配置】 EageRouter#show run version 12.2
hostname EageRouter interface FastEthernet0/0
50
ip address 192.168.1.1 255.255.255.0 ip access-group 101 out ip nat inside duplex auto speed auto interface Serial0/0
ip address 218.58.59.91 255.255.255.0 ip nat outside interface Serial0/1 no ip address shutdown
interface FastEthernet1/0 no ip address shutdown router rip
network 192.168.1.0 network 218.58.59.0
ip nat pool mypool 218.58.59.95 218.58.59.96 netmask 255.255.255.0 ip nat pool mypool1 218.58.59.97 218.58.59.97 netmask 255.255.255.0 ip nat inside source list 1 pool mypool
ip nat inside source list 2 pool mypool1 overload ip nat inside source static 192.168.1.3 218.58.59.93 ip nat inside source static 192.168.1.5 218.58.59.94 ip classless
access-list 101 deny tcp 218.58.100.0 0.0.0.255 host 192.168.1.4 eq 21 access-list 101 permit tcp 218.58.100.0 0.0.0.255 host 192.168.1.3 eq 80 access-list 101 permit tcp 218.58.100.0 0.0.0.255 host 192.168.1.5 eq 25 access-list 101 permit tcp host 218.58.100.3 eq 80 any access-list 1 permit 192.168.3.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255
51
access-list 2 permit 192.168.4.0 0.0.0.255 access-list 2 permit 192.168.5.0 0.0.0.255 line con 0 end
OutsideRouter#show run version 12.2
hostname OutsideRouter interface FastEthernet0/0
ip address 218.58.100.1 255.255.255.0 duplex auto speed auto interface Serial0/0
ip address 218.58.59.90 255.255.255.0 clock rate 9600 interface Serial0/1 no ip address shutdown router rip
network 218.58.59.0 network 218.58.100.0 ip classless line con 0 end
InsideRouter#show run version 12.2
hostname InsideRouter interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
52
ip access-group 100 out duplex auto speed auto interface Ethernet1/0
ip address 192.168.2.1 255.255.255.0 duplex auto speed auto interface Ethernet1/1
ip address 192.168.3.1 255.255.255.0 ip access-group 1 out duplex auto speed auto interface Ethernet1/2
ip address 192.168.4.1 255.255.255.0 duplex auto speed auto interface Ethernet1/3
ip address 192.168.5.1 255.255.255.0 duplex auto speed auto router rip
network 192.168.1.0 network 192.168.2.0 network 192.168.3.0 network 192.168.4.0 network 192.168.5.0 ip classless
access-list 1 deny 192.168.5.0 0.0.0.255 access-list 1 deny 192.168.4.0 0.0.0.255 access-list 1 permit host 192.168.2.3
53
access-list 1 deny 192.168.2.0 0.0.0.255 access-list 1 permit any
access-list 100 deny tcp 192.168.5.0 0.0.0.255 host 192.168.1.4 eq 21 access-list 100 permit ip any any line con 0 end
54
因篇幅问题不能全部显示,请点此查看更多更全内容