网络使用技术实验三.docVIP

贵州大学实验报告 学院：计信学院 专业：计算机科学与技术 班级： 计科101班 姓名 罗琳 学号 1008060016 实验地点 博学楼802 实验时间 2013.11.27 指导教师 孔广黔 实验成绩 实验项目名称 ACL和NAT配置 实验目的 1．加深对ACL、NAT的理解； 2．掌握使用CPT构建网络拓扑及对路由器进行ACL、NAT配置的方法。 实验要求 1. 网络拓扑如下： 2. 在路由器xingzheng_Router上配置ACL，不允许外部网络访问除WWW以外的其它服务；在路由器jiaoxue_Router上配置NAT，使配置私有地址的内部网络可以访问外网，同时，外网可通过固定地址访问Server0上的WWW服务。 3. 提交配置脚本、撰写实验报告。 实验原理 1、ACL：访问控制列表 ACL：访问控制列表，是应用在路由器接口上的指令列表。这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。 ACL通过在访问控制列表中对目的地进行归类，来管理通信流量和处理特定的数据包。归类处理激活每个特定接口的ACL，从而通过该接口的所有通信流量都要按照ACL所指示的条件接受检测。 创建ACL的主要任务包括： 使用通常的全局路由器配置进程来创建ACL； 指定一个访问控制列表的表号在1到99之间，就意味着指示路由器接受标准的ACL条件判断语句。指定一个访问控制列表的表号在100到199之间，意味着指示路由器接受扩展的ACL条件判断语句； 选择所要检查的IP协议，任何其他的IP协议都不被检查； 使用访问控制列表地址通配符掩码来过滤IP地址，以便表明怎么检查或忽略相应的IP地址位。 ACL的配置通常可以分为两个步骤： 第一步：使用下列命令定义访问控制列表ACL： Router(config)# access-list access-list-number { permit | deny } { test conditions } 第二步：使用access-group命令把该访问控制列表应用到某个接口上： Router(config-if)# { protocol } access-group access-list-number {in | out} 2、NAT：网络地址转换 NAT：网络地址转换协议。在一个网络内部，可以根据需要使用私有地址，不需要经过申请。而当内部计算机要与互联网进行通信时，使用具有NAT功能的设备（如路由器）负责将内部IP地址转换为合法的IP地址进行通信。 NAT适用于以下网络环境： 1）一个企业申请的合法IP地址很少，而内部网络用户很多，可通过NAT功能实现多个用户同时公用一个合法IP地址与外网通信。 2）一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部网络隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。 NAT配置方法： （a）静态配置 静态地址转换将内部本地地址与合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。 静态地址转换基本配置步骤： （1）在内部本地址地址与合法地址之间建立静态地址转换。在全局配置模式下输入： ip nat inside source static 内部本地地址 内部合法地址 （2）指定连接网络的内部端口，在接口配置模式下输入： ip nat inside （3）指定连接外部网络的外部端口，在接口配置模式下输入： ip nat outside （b）动态配置 动态地址转换也是将本地地址与合法地址一对一的转换，但是动态地址转换是从合法地址池中动态地选择一个示使用的地址对本地地址进行转换。 动态地址转换基本配置步骤： （1）在全局配置模式下，定义合法地址池 ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码 其中地址池名称可以任意设定。 （2）在全局配置模式下，定义一个标准的access-list规则以通话哪些内部地址可以进行动态地址转换。 access-list 标号 permit 源地址 通配符 其中标号为1-99之间的整数 （3）在全局配置模式下，将由access-list指定的内部本地地址与指定的合法地址池进行地址转换。 ip nat inside source list 访问列表标号 pool 合法地址池名字 （4）在接口配置模式下，指定与内部网络相连的内部端口 ip nat inside （5）在接口配置模式下，指定与外部网络相连的外部