《实验十二NAT配置》实验参考答案(思科5.30)(6页).doc

《《实验十二NAT配置》实验参考答案(思科5.30)(6页).doc》由会员分享，可在线阅读，更多相关《《实验十二NAT配置》实验参考答案(思科5.30)(6页).doc（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-实验十二 NAT配置实验参考答案(思科 5.30)-第 6 页实验十二 NAT配置班级 组名 姓名 一、实验目的1. 掌握NAT工作原理；2. 掌握NAT配置。二、实验设备主机、网线、交换机、路由器。三、实验内容组网需求：某公司通过一台路由器接口Serial1/0 访问 Internet，公司内部对外提供 WWW、FTP 和 Telnet服务，假设公司内部网络使用的IP地址段为192.168.1.1 192.168.1.254，子网掩码为255.255.255.0，其中，内部 FTP 服务器PC1、Telnet 服务器PC2、WWW服务器PC3、主机PC4、PC5的IP地址分配如表12-1所

2、示（核心设备使用较小的地址），路由器R1的以太网口g0/0的IP地址为。该单位申请到的合法的IP地址为，假设路由器R1串口s2/0的IP地址为200.1.1.1/30，R2串口s3/0的IP地址为200.1.1.2/30（交换机SwitchB连接私有网络时，R2串口s3/0的IP地址一般是该私有网络所属单位申请的公有IP地址)。配置要求：(1) 内网192.168.1.0中的服务器和主机PC4可以访问Internet，PC5等其他主机不能访问Internet；(2) 外网主机PC6(IP地址为200.1.2.1)可以访问内网服务器，但不能访问内网主机PC4和PC5；(3) 外网主机PC7不能访

3、问192.168.1.0网络。表12-1 服务器和主机IP地址主机IP地址子网掩码网关地址备注PC1内网FTP服务器PC2内网Telnet服务器PC3内网WWW服务器PC4内网主机PC5内网主机PC625外网主机PC7外网主机四、相关知识华为和H3C的NAT配置相关命令如表12-2表12-5所示、CISCO设备配合命令参考网络课程中的相关课件。表12-2 访问控制列表与接口关联的配置命令 表12-3 定义地址池命令表12-4 访问控制列表与地址池关联的配置命令表12-5 查看、删除NAT配置命令五、实验步骤1. 构建网络拓朴图根据组网需求构建网络拓朴图如图12-1所示。2. 配置主机IP地址按

4、表12-1或图12-1配置主机的IP地址和网关地址。图12-1 网络拓朴图3. 配置路由器IP地址和路由协议路由器R1和R2的IP地址和路由协议配置命令如下：（1）路由器R1配置Router1#configureConfiguring from terminal, memory, or network terminal? Enter configuration commands, one per line. End with CNTL/Z.Router1(config)# int fa0/0Router1(config-if)#no shutdownRouter1(config-if)#Rou

5、ter1(config-if)#int Serial2/0Router1(config-if)#no shutdown（2）路由器R1的rip协议配置Router1#configureConfiguring from terminal, memory, or network terminal? Enter configuration commands, one per line. End with CNTL/Z.Router1(config)#router ripRouter1(config-router)#network路由器R2配置Router2enableRouter2#configur

6、eConfiguring from terminal, memory, or network terminal? Enter configuration commands, one per line. End with CNTL/Z.Router2(config)#int fa0/0Router2(config-if)#no shutdownRouter2(config-if)#int Serial3/0Router2(config-if)#no shutdown路由器R2 rip协议配置Router2(config)#router ripRouter2(config-router)#Rout

7、er2(config-router)#exitRouter2(config)#静态路由协议配置Router2Router14. 验证路由协议配置是否正确 PC1PC65. 配置高级访问控制列表(1) 配置访问控制列表规则允许内网192.168.1.0网络中的服务器和主机PC4访问Internet，不允许PC5及其他主机访问Internet；(2) 配置访问控制列表规则使外网用户PC6可以访问内网服务器，但不能访问内网主机PC4和PC5；(3) 配置访问控制列表规则使外网主机PC7不能访问192.168.1.0网络中的主机；配置命令如下：（1）Router1enRouter1#conf tEnt

8、er configuration commands, one per line. End with CNTL/Z.Router1(config)#access-list 100 permit ip host 192.168.1.1 anyRouter1(config)#access-list 100 permit ip host 192.168.1.2 anyRouter1(config)#access-list 100 permit ip host 192.168.1.3 anyRouter1(config)#access-list 100 permit ip host 192.168.1.

9、4 anyRouter1(config)#access-list 100 deny ip host 192.168.1.0 anyRouter1(config)#int f0/0Router1(config-if)#ip access-group 100 inRouter1(config-if)#end（2）Router2enRouter2#conf tEnter configuration commands, one per line. End with CNTL/Z.Router2(config)#Router2(config)#int f0/0Router2(config-if)#ip

10、access-group 101 in(验证过程)pc1 ping pc6Pc5 ping pc6Pc6 ping pc5Pc6 ping pc4Pc6 ping pc1Router2(config-if)#no ip access-group 101 inRouter2#conf tEnter configuration commands, one per line. End with CNTL/Z.Router2(config)#int f0/0Router2(config-if)#ip access-group 102 in验证ACL配置是否正确。pc1 ping pc7Pc5 ping

11、 pc7(3)Pc7 ping pc5Pc7 ping pc4Pc7 ping pc16. 配置地址转换为了提高外网用户访问服务器的速度，配置NAT时采用固定的公网IP 地址：(1) 内网ftp服务器192.168.1.1通过公有IP地址200.1.1.3访问外网；(2) 内网Telnet服务器192.168.1.2通过公有IP地址200.1.1.4访问外网；(3) 内网WWW服务器192.168.1.3通过公有IP地址200.1.1.5访问外网； 如果我们只有一个公网地址且已经分配给了R1的S0/0口，可以使用下面的命令来对这仅有的一个公网地址反复利用或叫超载。 Router(config)

12、#ip nat inside source list 10 interface serial 0 overload /就是在R1上不设置地址池，因为只有一个公网地址，而只对S0/0接口的地址超载。 配置命令如下：（13）Router1enRouter1#conf tEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#int f0/0Router1(config-if)#ip nat insideRouter1(config-if)#no shutdownRouter1(config-if)#in

13、t s2/0Router1(config-if)#ip nat outsideRouter1(config-if)#no shutdown（4）Router1#conf tEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#ip nat pool NAT 200.1.1.3 200.1.1.10 netmask 255.255.255.0 Router1(config)#ip nat inside source list 1 pool NAT /配置动态NAT映射/定义标准访问控制列表1 允许动

14、态NAT转换的内部地址范围Router1(config)#int f0/0Router1(config-if)#ip nat inside /把f0/0接口配置成NAT的内部接口Router1(config-if)#exitRouter1(config)#int s2/0Router1(config-if)#ip nat outside /把s2/0接口配置成NAT的内部接口Router1(config-if)#Router1(config-if)#exit7. 验证NAT配置是否正确用表12-5命令查看NAT配置是否正确。(13)(4)六、知识拓展 网络拓朴图如图12-2所示，PC1和PC2属于同一子网，网关为R1的g0/0，路由器R1与R2间不配置任何路由协议，要求： (1) 在路由器R1上启用NAT功能，使PC1和PC2能访问路由器R2； (2) 在路由器R1上启用防火墙功能，禁止PC2访问路由器R2。图12-2 网络拓朴图配置命令如下： 七、实验体会