《实验十二NAT配置》实验参考答案思科530.docx
《《实验十二NAT配置》实验参考答案思科530.docx》由会员分享,可在线阅读,更多相关《《实验十二NAT配置》实验参考答案思科530.docx(14页珍藏版)》请在冰点文库上搜索。
《实验十二NAT配置》实验参考答案思科530
《实验十二--NAT配置》实验参考答案(思科--5.30)
实验十二NAT配置
班级组名姓名
一、实验目的
1.掌握NAT工作原理;
2.掌握NAT配置。
二、实验设备
主机、网线、交换机、路由器。
三、实验内容
组网需求:
某公司通过一台路由器接口Serial1/0访问Internet,公司内部对外提供WWW、FTP和Telnet服务,假设公司内部网络192.168.1.0使用的IP地址段为192.168.1.1~192.168.1.254,子网掩码为255.255.255.0,其中,内部FTP服务器PC1、Telnet服务器PC2、WWW服务器PC3、主机PC4、PC5的IP地址分配如表12-1所示(核心设备使用较小的地址),路由器R1的以太网口g0/0的IP地址为192.168.1.254。
该单位申请到的合法的IP地址为200.1.1.1,200.1.1.3~200.1.1.10,假设路由器R1串口s2/0的IP地址为200.1.1.1/30,R2串口s3/0的IP地址为200.1.1.2/30(交换机SwitchB连接私有网络时,R2串口s3/0的IP地址一般是该私有网络所属单位申请的公有IP地址)。
四、相关知识
华为和H3C的NAT配置相关命令如表12-2~表12-5所示、CISCO设备配合命令参考网络课程中的相关课件。
表12-2访问控制列表与接口关联的配置命令
表12-3定义地址池命令
表12-4访问控制列表与地址池关联的配置命令
表12-5查看、删除NAT配置命令
五、实验步骤
1.构建网络拓朴图
根据组网需求构建网络拓朴图如图12-1所示。
2.配置主机IP地址
按表12-1或图12-1配置主机的IP地址和网关地址。
图12-1网络拓朴图
3.配置路由器IP地址和路由协议
路由器R1和R2的IP地址和路由协议配置命令如下:
(1)路由器R1配置
Router1#configure
Configuringfromterminal,memory,ornetwork[terminal]?
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router1(config)#intfa0/0
Router1(config-if)#ipaddress192.168.1.254255.255.255.0
Router1(config-if)#noshutdown
Router1(config-if)#
Router1(config-if)#intSerial2/0
Router1(config-if)#ipaddress200.1.1.1255.255.255.252
Router1(config-if)#noshutdown
(2)路由器R1的rip协议配置
Router1#configure
Configuringfromterminal,memory,ornetwork[terminal]?
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router1(config)#routerrip
Router1(config-router)#network192.168.1.0
Router1(config-router)#network200.1.1.0
路由器R2配置
Router2>enable
Router2#configure
Configuringfromterminal,memory,ornetwork[terminal]?
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router2(config)#intfa0/0
Router2(config-if)#ipaddress200.1.2.254255.255.255.0
Router2(config-if)#noshutdown
Router2(config-if)#intSerial3/0
Router2(config-if)#ipaddress200.1.1.2255.255.255.252
Router2(config-if)#noshutdown
路由器R2rip协议配置
Router2(config)#routerrip
Router2(config-router)#network200.1.2.0
Router2(config-router)#network200.1.1.0
Router2(config-router)#exit
Router2(config)#
静态路由协议配置
Router2(config)#iproute192.168.1.0255.255.255.0200.1.1.1
Router1(config)#iproute200.1.2.0255.255.255.0200.1.1.2
4.验证路由协议配置是否正确
PC1
PC6
5.配置高级访问控制列表
(1)配置访问控制列表规则允许内网192.168.1..0网络中的服务器和主机PC4访问Internet,不允许PC5及其他主机访问Internet;
(2)配置访问控制列表规则使外网用户PC6可以访问内网服务器,但不能访问内网主机PC4和PC5;
(3)配置访问控制列表规则使外网主机PC7不能访问192.168.1.0网络中的主机;
配置命令如下:
(1)
Router1>en
Router1#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router1(config)#access-list100permitiphost192.168.1.1any
Router1(config)#access-list100permitiphost192.168.1.2any
Router1(config)#access-list100permitiphost192.168.1.3any
Router1(config)#access-list100permitiphost192.168.1.4any
Router1(config)#access-list100denyiphost192.168.1.0any
Router1(config)#intf0/0
Router1(config-if)#ipaccess-group100in
Router1(config-if)#end
(2)
Router2>en
Router2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router2(config)#access-list101permitiphost200.1.2.1host192.168.1.1
Router2(config)#access-list101permitiphost200.1.2.1host192.168.1.2
Router2(config)#access-list101permitiphost200.1.2.1host192.168.1.3
Router2(config)#access-list101denyiphost200.1.2.1host192.168.1.4
Router2(config)#access-list101denyiphost200.1.2.1host192.168.1.5
Router2(config)#intf0/0
Router2(config-if)#ipaccess-group101in
(验证过程)
pc1pingpc6
Pc5pingpc6
Pc6pingpc5
Pc6pingpc4
Pc6pingpc1
Router2(config-if)#noipaccess-group101in
Router2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router2(config)#access-list102permitiphost200.1.2.2host192.168.1.1
Router2(config)#access-list102permitiphost200.1.2.2host192.168.1.2
Router2(config)#access-list102permitiphost200.1.2.2host192.168.1.3
Router2(config)#access-list102denyiphost200.1.2.2host192.168.1.0
Router2(config)#intf0/0
Router2(config-if)#ipaccess-group102in
验证ACL配置是否正确。
pc1pingpc7
Pc5pingpc7
(3)Pc7pingpc5
Pc7pingpc4
Pc7pingpc1
6.配置地址转换
为了提高外网用户访问服务器的速度,配置NAT时采用固定的公网IP地址:
(1)内网ftp服务器192.168.1.1通过公有IP地址200.1.1.3访问外网;
(2)内网Telnet服务器192.168.1.2通过公有IP地址200.1.1.4访问外网;
(3)内网WWW服务器192.168.1.3通过公有IP地址200.1.1.5访问外网;
(4)内网其他主机,通过地址池200.1.1.3~200.1.1.10访问外网,在路由器R1的出接口Serial1/0配置地址转换。
ipnatpoolNAT200.1.1.3200.1.1.10netmask255.255.255.0
如果我们只有一个公网地址且已经分配给了R1的S0/0口,可以使用下面的命令来对这仅有的一个公网地址反复利用或叫超载。
Router(config)#ipnatinsidesourcelist10interfaceserial0overload//就是在R1上不设置地址池,因为只有一个公网地址,而只对S0/0接口的地址超载。
配置命令如下:
(1~3)
Router1>en
Router1#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router1(config)#ipnatinsidesourcestatic192.168.1.1200.1.1.3
Router1(config)#ipnatinsidesourcestatic192.168.1.2200.1.1.4
Router1(config)#ipnatinsidesourcestatic192.168.1.3200.1.1.5
Router1(config)#intf0/0
Router1(config-if)#ipaddress192.168.1.254255.255.255.0
Router1(config-if)#ipnatinside
Router1(config-if)#noshutdown
Router1(config-if)#ints2/0
Router1(config-if)#ipaddress200.1.1.1255.255.255.252
Router1(config-if)#ipnatoutside
Router1(config-if)#noshutdown
(4)
Router1#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
//配置动态NAT转换的地址池,包括IP地址200.1.1.3到200.1.1.10
Router1(config)#ipnatpoolNAT200.1.1.3200.1.1.10netmask255.255.255.0
Router1(config)#ipnatinsidesourcelist1poolNAT//配置动态NAT映射
//定义标准访问控制列表1允许动态NAT转换的内部地址范围
Router1(config)#access-list1permit192.168.1.2540.0.0.0
Router1(config)#intf0/0
Router1(config-if)#ipnatinside//把f0/0接口配置成NAT的内部接口
Router1(config-if)#exit
Router1(config)#ints2/0
Router1(config-if)#ipnatoutside//把s2/0接口配置成NAT的内部接口
Router1(config-if)#
Router1(config-if)#exit
7.验证NAT配置是否正确
用表12-5命令查看NAT配置是否正确。
(1~3)
Ping200.1.1.2
(4)
六、知识拓展
网络拓朴图如图12-2所示,PC1和PC2属于同一子网,网关为R1的g0/0,路由器R1与R2间不配置任何路由协议,要求:
(1)在路由器R1上启用NAT功能,使PC1和PC2能访问路由器R2;
(2)在路由器R1上启用防火墙功能,禁止PC2访问路由器R2。
图12-2网络拓朴图
配置命令如下:
七、实验体会
升级会员 