网络工程与系统集成实验报告.pdf

《网络工程与系统集成实验报告.pdf》由会员分享，可在线阅读，更多相关《网络工程与系统集成实验报告.pdf（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、word 格式文档 网络工程与系统集成实验报告 专业整理 word 格式文档 实验一 Voice VLAN 配置 一.实验目的 1.根据实验要求的物理拓扑结构连接局域网 2.根据实验要求的创建 Voice VLAN ，并将用户的 IP 电话划分到指定的 Voice VLAN 中 3.根据要求设置语音服务器参数 4.根据要求设置 DHCP 服务。二.实验内容 1.将交换机所连接 IP Phone 的接口加入 vioce vlan 中 2.配置 DHCP，为 IP Phone 动态分配地址 专业整理 word 格式文档 3.配置路由器的电话服务功能，并配置一些参数 4.配置 IP 电话号码 5.验

2、证 IP 语音服务 三.实验原理、方法和手段 1.IP 电话的工作原理 与其他网络设备一样，IP 电话也需要 IP 地址才能在网络中正常通信。IP 电话获取 IP 地址的方式有两种：通过 DHCP 自动获取，通过用户手工配置 在自动获取 IP 地址时，IP 电话还可以向 DHCP 服务器同时请求 Voice VLAN 信息，如果 DHCP 服务器返回了 Voice VLAN 信息，IP 电话就可以直接发送携带有 Voice VLAN Tag 的语音流（以下简称 tagged 语音流）；如果 DHCP 服务器没有返回 Voice VLAN 信息，IP 电话就只能发送不带 VLAN Tag 的语音

3、流（以下简称 untagged 语音流）。同样，在用户在 IP 电话上手工设置 IP 地址时，也可以设置或不设置 Voice VLAN 信息，IP 电话会根据用户的配置发出 tagged/untagged 语音流。2.IP 电话自动获取 IP 地址的过程 第一步：IP 电话发送不带 VLAN Tag 的 DHCP 请求，并在该请求中携带 Option184 信 息，即请求软件下载服务器（也称为 NCP，Network Call Processor）地址以及 Voice VLAN 信息。第二步：DHCP server1 收到该请求后，将根据自身的配置为 IP 电话分配 IP 地址，同 时回复 V

4、oice VLAN 、软件下载服务器地址及其他 Option184 选项信息。第三步：IP 电话向软件下载服务器发出下载申请。专业整理 word 格式文档 第四步：软件下载服务器响应 IP 电话的下载请求，向 IP 电话发送软件。第五步：软件下载完成后，IP 电话将通知 DHCP server1，释放第一次获取的 IP 地址。第六步：IP 电话利用从 DHCP server1 获取的 Voice VLAN 信息，重新构造 DHCP 请求报 文，并为该报文封装 Voice VLAN 的标签，在 Voice VLAN 内进行广播。第七步：位于 Voice VLAN 内的 DHCP server2

5、收到该请求后，根据自己的地址池配置，为 IP 电话分配新的 IP 地址。第八步：IP 电话使用新的 IP 地址与语音网关进行注册，开始语音通信过程。3.各类型端口与发送 tagged 语音流的 IP 电话配合 IP 电话发送 tagged 语音流需要具备的条件是该电话已经通过自动获取或手工配置的方 式得到了 Voice VLAN 信息，针对这种情况，不同类型的端口需要进行相应的配置，才 能使语音报文能够在 Voice VLAN 中正常传输，同时不影响交换机对普通业务报文的转 发处理。4.各类型端口与发送 untagged 语音流的 IP 电话配合 IP 电话在以下两种情况下会发送/接收 unt

6、agged 语音流：自动获取 IP 地址，但没有获取到 Voice VLAN 信息 手工配置 IP 地址，但没有配置 Voice VLAN 信息 四.实验组织运行要求 1.学生在实验前，请先对实验中的常用网络命令的功能和使用方法进行预习，并在预 习报告中给出这些信息。2.实验过程中，请记录每条命令使用后的显示信息，并在实验报告中对这些信息进行说明和解释。专业整理 word 格式文档 五.实验条件 1.以太网环境 2.思科 Catalyst 3560 、2960 交换机 3.思科 7960 IP 电话 六.实验步骤 Step 1：连接如图所示的网络环境 Step 2：将交换机所连接 IP Pho

7、ne 的接口加入 vioce vlan 中 Switch#conf t Switch(config)#interface range f0/1 3 Switch(config ifrange)#switchport voice vlan 1 Step 3：配置 DHCP，为 IP Phone 动态分配地址 Router(config)#ip dhcp pool Router(dhcp config)#network 192.168.1.0 255.255.255.0 Router(dhcp config)#default router 192.168.1.1 Router(dhcp confi

8、g)#option 150 ip 192.168.1.1 专业整理 word 格式文档 Step 4：配置路由器的电话服务功能，并配置相应参数 Router(config)#telephony service Router(config telephony)#auto assign 1 to 5 Router(config telephony)#max ephones 5 Router(config telephony)#max dn 5 Router(config telephony)#ip source address 192.168.1.1 port 2000 Step 5：配置 IP

9、电话号码 Router(config)#ephone dn 1 Router(config ephone dn)#number 84401160 Router(config)#ephone dn 2 Router(config ephone dn)#number 84401161 Step 6：验证 IP Phone 已从路由器上获取到 IP 地址和电话号码 Step 7：验证 IP Phone 之间的语音服务是否可用 七实验结果 专业整理 word 格式文档 八.思考题 1.如何对数据服务和语音服务提供合适的 QoS？QoS 旨在针对各种应用的不同需求，为其提供不同的服务质量。如：可以限制骨

10、干网上 FTP 使用的带宽，也可以给数据库访问以较高优先级。对于 ISP，其用户可能传送语音、视频或其他实时业务，QoS 使 ISP 能区分这些不同的报 文，并提供不同服务。可以为时间敏感的多媒体业务提供带宽和低时延保证，而其他业务在使用网络时，也不会 影响这些时间敏感的业务。2.配合了 Voice VLAN 的交换机如何处理来自用户的 tagged 帧？1、下面是定义的各种端口类型对各种数据帧的处理方法；in=进交换器 out=出交换机 2、所谓的 Untagged Port 和 tagged Port 不是讲述物理端口的状态，而是将是物理端口所 专业整理 word 格式文档 拥有的某一个

11、VID 的状态，所以一个物理端口可以在某一个 VID 上是 Untagged Port ，在 另一个 VID 上是 tagged Port；3、一个物理端口只能拥有一个 PVID，当一个物理端口拥有了一个 PVID 的时候，必定会拥 有和 PVID 的 TAG 等同的 VID，而且在这个 VID 上，这个物理端口必定是 Untagged Port；4、PVID 的作用只是在交换机从外部接受到可以接受 Untagged 数据帧的时候给数据帧添 加 TAG 标记用的，在交换机内部转发数据的时候 PVID 不起任何作用 ；5、拥有和 TAG 标记一致的 VID 的物理端口，不论是否在这个 VID 上

12、是 Untagged Port 或 者 tagged Port ，都可以接受来自交换机内部的标记了这个 TAG 标记的 tagged 数据帧；6、拥有和 TAG 标记一致的 VID 的物理端口，只有在这个 VID 上是 tagged Port，才可以接 受来自交换机外部的标记了这个 TAG 标记的 tagged 数据帧；专业整理 word 格式文档 实验二 PPP 协议配置 一.实验目的 1.根据实验要求的拓扑结构 ，利用路由器及交换机连接成网络 2.正确配置路由器接口参数 ，包括设置 IP 地址和 PPP 协议的绑定 3.掌握 PPP 中 PAP 验证的配置方法 4.掌握 PPP 中 CHA

13、P 验证的配置方法 二.实验内容 1.配置 PPP 协议的封装 2.配置 PAP 验证方式 3.配置 CHAP 验证方式 三.实验原理、方法和手段 PPP 协议是目前广域网上应用最广泛的数据链路层协议之一，它的优点在于结构简单、具 备用户验证能力、可以解决 IP 分配等。PPP 在经过多年的发现和扩充后，已成为一个功能 相当完备，而且涵盖了许多其它协议的庞大协议系统。PPP 在串行线路中对上层数据包进 专业整理 word 格式文档 行封装，用于建立、配置和检测数据链路连接的链路控制协议(LCP)以及不同网络层协议的 网络控制协议 (NCP)协议簇。PPP 封装用于消除上层多种协议数据包的歧义，

14、加入帧头、帧 尾，使之成为互相独立的串行数据帧 PPP 帧。四.实验组织运行要求 1.学生在实验前，请先对实验中的常用网络命令的功能和使用方法进行预习，并在预 习报告中给出这些信息。2.实验过程中，请记录每条命令使用后的显示信息，并在实验报告中对这些信息进行说明和解释。五.实验条件 1.局域网环境 2.思科 2811 路由器/华为 3Com AR2811 路由器 六.实验步骤 Step 1：为思科 2811 路由器增加 WIC 2T 接口模块，并完成路由器之间的串行线路连接 Step 2：设置串行口封装的链路层协议为 PPP，配置 IP 参数并启动接口（注意 DCE 端 clock rate

15、的设置）Step 3：配置 PAP 验证方式，设定路由器的主验证和被验证角色 Step 4：PAP 主验证端在全局配置模式下创建用户帐号，在串行口模式下设置 PPP 验证 方式为 PAP Step 5：PAP 被验证端在串行口模式下设置 PAP 发送的用户帐号信息 专业整理 word 格式文档 Step 6：重起串行口，测试 PAP 验证的有效性 Step 7：关闭 PAP 验证方式，配置 CHAP 验证方式，设定路由器的主验证和被验证角色 Step 8：设置验证双方路由器的 hostname，用于确定在对端路由器中的账号 Step 9：CHAP 主验证端在串行口模式下设置 PPP 验证方式为

16、 CHAP Step 10：两端路由器在全局模式下，为对端路由器增加账号信息 Step 11：重新其中一台路由器的串行口，测试 CHAP 的有效性 配置示例 1（PAP 验证，假设主验证端为 DCE）被验证端：Router0#config terminal Router0(config)#interface se0/3/0 Router0(config if)#encapsulation ppp Router0(config if)#ppp pap sent username julychang password 123456 Router0(config if)#no shutdown 主验

17、证端：Router1#config terminal Router1(config)#username julychang password 123456 Router1(config)#interface se0/3/0 Router1(config if)#clock rate 56000 Router1(config if)#encapsulation ppp Router1(config if)#ppp authentication pap Router1(config if)#no shutdown 配置示例 2（CHAP 验证，假设主验证端为 DCE）专业整理 word 格式文档

18、被验证端：Router0#config terminal Router0(config)#hostname Slave Slave(config)#username Master password 123456 Slave(config)#interface se0/3/0 Slave(config if)#encapsulation ppp Slave(config if)#no shutdown 主验证端：Router1#config terminal Router1(config)#hostname Master Master(config)#username Master passwo

19、rd 123456 Master(config)#interface se0/3/0 Master(config if)#clock rate 56000 Master(config if)#encapsulation ppp Master(config if)#ppp authentication chap Master(config if)#no shutdown 七实验结果 专业整理 word 格式文档 PPP 帧配置 结果查看界面 专业整理 word 格式文档 发送数据界面 八.思考题 1.PPP 的验证过程发生在链路协议协商的什么阶段？ppp 链路建立的过程分为三个阶段:创建阶段、认

20、证阶段和网络协商阶段。PPP 的验证过程发生在认证阶段。2.在 CHAP 方式中，为什么双方在对端的账号密码必须一致？必须一致,被认证端在进行 CHAP 认证时,需要根据主仁政端发来的用户名查找相应的密码来 对随机报文进行加密。专业整理 word 格式文档 实验三 防火墙配置 一.实验目的 1.根据实验要求的拓扑结构 ，利用路由器及交换机连接成网络 2.根据要求对数据流进行分类 ，并配置相应的 ACL 3.选择最佳部署位置的路由器 ，开启基于包过滤的防火墙功能 4.将 ACL 绑定到正确接口 ，并指定其作用于接口的正确队列 二.实验内容 1.创建标准访问控制列表 专业整理 word 格式文档

21、2.创建扩展访问控制列表 3.将 ACL 绑定到路由器的接口 三.实验原理、方法和手段 建立用户和修改密码跟 Cisco IOS 路由器基本一样。激活以太端口必须用 enable 进入，然后进入 configure 模式 PIX525enable Password:PIX525#config t PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 auto 在默认情况下 ethernet0 是属外部网卡 outside,ethernet1 是属内部网卡 inside,inside 在初始化配置成功

22、的情况下已经被激活生效了，但是 outside 必须命令配置激活。采用命令 nameif PIX525(config)#nameif ethernet0 outside security0 security100 security0 是外部端口 outside 的安全级别（100 安全级别最高）security100 是内部端口 inside 的安全级别 ,如果中间还有以太口，则 security10，security20 等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为 DMZ(Demilitarized Zones 非武装区域 )。采用命令为：ip address 如：内部网络

23、为：192.168.1.0 255.255.255.0 专业整理 word 格式文档 外部网络为：222.20.16.0 255.255.255.0 PIX525(config)#ip address inside 192.168.1.1 255.255.255.0 PIX525(config)#ip address outside 222.20.16.1 255.255.255.0 在默然情况下，PIX 的以太端口是不允许 telnet 的，这一点与路由器有区别。Inside 端口可 以做 telnet 就能用了,但 outside 端口还跟一些安全配置有关 。PIX525(config)#

24、telnet 192.168.1.1 255.255.255.0 inside PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside 测试 telnet 在开始-运行 telnet 192.168.1.1 PIX passwd:输入密码：cisco 此功能与 Cisco IOS 基本上是相似的 ，也是 Firewall 的主要部分，有 permit 和 deny 两个功 能，网络协议一般有 IP|TCP|UDP|ICMP 等等，如：只允许访问主机 :222.20.16.254 的 www,端口为：80 PIX525(config)#ac

25、cess-list 100permit ip any host 222.20.16.254 eq www deny ip any any PIX525(config)#access-group 100 in interface outside NAT 跟路由器基本是一样的，首先必须定义 IP Pool，提供给内部 IP 地址转换的地址段，接着定义内部网段。PIX525(config)#global(outside)1 222.20.16.100-222.20.16.200 netmask 255.255.255.0 PIX525(config)#nat(outside)1 192.168.0.

26、0 255.255.255.0 专业整理 word 格式文档 如果是内部全部地址都可以转换出去则：PIX525(config)#nat(outside)1 0.0.0.0 0.0.0.0 则某些情况下，外部地址是很有限的，有些主机必须单独占用一个 IP 地址，必须解决的是 公用一个外部 IP(222.20.16.201),则必须多配置一条命令，这种称为（PAT），这样就能解 决更多用户同时共享一个 IP,有点像代理服务器一样的功能。配置如下：PIX525(config)#global(outside)1 222.20.16.100-222.20.16.200 netmask 255.255.2

27、55.0 PIX525(config)#global(outside)1 222.20.16.201 netmask 255.255.255.0 PIX525(config)#nat(outside)1 0.0.0.0 0.0.0.0 在内部网络，为了维护的集中管理和充分利用有限 IP 地址，都会启用动态主机分配 IP 地址 服务器（DHCP Server），Cisco Firewall PIX 都具有这种功能，下面简单配置 DHCP Server,地址段为 192.168.1.100 192.168.1.200 DNS:主 202.96.128.68 备 202.96.144.47 主域名称

28、：DHCP Client 通过 PIX Firewall PIX525(config)#ip address dhcp DHCP Server 配置 PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47 PIX525(config)#dhcp domain 静态端口重定向(Port Redirection with Statics)专业整理 word 格式文档 在 PIX 版本 6.0 以上，增加了端口重定向的功能，允

29、许外部用户通过一个特殊的 IP 地址/端 口通过 Firewall PIX 传输到内部指定的内部服务器。这种功能也就是可以发布内部 WWW、FTP、Mail 等服务 器了，这种方式并不是直接连接，而是通过端口重定向，使得内部服务器很安全。命令格式：static (internal_if_name,external_if_name)global_ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq static (internal_if_name,external_if_name)tcp|udpglobal_

30、ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq !-外部用户直接访问地址 222.20.16.99 telnet 端口，通过 PIX 重定向到内部主机 192.168.1.99 的 telnet 端口（23）。PIX525(config)#static(inside,outside)tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0 !-外部用户直接访问地址 222.20.16.99 FTP，通过 PIX 重定

31、向到内部 192.168.1.3 的 FTP Server。PIX525(config)#static(inside,outside)tcp 222.20.16.99 专业整理 word 格式文档 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0 !-外部用户直接访问地址 222.20.16.208 www(即 80 端口)，通过 PIX 重定向到内部 192.168.123 的主机的 www(即 80 端口)。www 192.168.1.2 www netmask 255.255.255.255 0 0!-外部用户直接访问地址 222.20.16

32、.201 HTTP(8080 端口)，通过 PIX 重定向到内部 192.168.1.4 的主机的 www(即 80 端口)。8080 192.168.1.4 www netmask 255.255.255.255 0 0 !-外部用户直接访问地址 222.20.16.5 smtp(25 端口)，通过 PIX 重定向到内部 192.168.1.5 的邮件主机的 smtp(即 25 端口)smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0 显示命令 show config 保存命令 write memory 四.实验组织运行要求 1.学生在实验前，

33、请先对实验中的常用网络命令的功能和使用方法进行预习，并在预 习报告中给出这些信息。2.实验过程中，请记录每条命令使用后的显示信息，并在实验报告中对这些信息进行说明和解释。五.实验条件 1.以太网环境 2.思科 2811 路由器 专业整理 word 格式文档 3.计算机及服务器 六.实验步骤 Step 1：创建标准 ACL，拒绝来自某 IP 子网的所有分组 配置示例：Router0#config terminal Router0(confg)#access list 1 deny 192.168.1.0 0.0.0.255 Router0(config)#access list 1 permit

34、 any Step 2：创建扩展 ACL，拒绝来自某套接字的分组 配置示例：Router0#config terminal Router0(config)#access list 100 deny tcp 192.168.1.10 0.0.0.0 192.168.2.10 0.0.0.0 eq www Router0(config)#access list 100 permit ip any any Step 3：将 ACL 绑定到路由器接口上 Router0(config)#interface fa0/0 Router0(config if)#ip access group 100 in S

35、tep 4：测试网络的连通性并记录结果 七实验结果 专业整理 word 格式文档 八.思考题 1.ACL 在定义规则时，除了五元组以外还可以参考哪些信息？1、huawei 设置 acl ：专业整理 word 格式文档 acl number 3000rule 0 permit ip source 服务器端的子网 掩码的反码/允许哪些子网访 问服务器 rule 5 deny ip destination 服务器端的子网 掩码的反码/不允许哪些子网访问 服务器。2、绑定到端口：interface gig 0/1/进入服务器所在的交换机端口 GigabitEthernet0/1 firewall pa

36、cket-filter 3000 inbound/把 acl 绑定到端口 2.放置标准 ACL 和扩展 ACL 的策略有什么不同？这两种 ACL 的区别是，标准 ACL 只检查数据包的源地址;扩展 ACL 既检查数据包的源地 址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。网络管理员可以使用标准 ACL 阻止来自某一网络的所有通信流量，或者允许来自某一特 定网络的所有通信流量，或者拒绝某一协议簇（比如 IP）的所有通信流量。扩展 ACL 比标准 ACL 提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外 来的 Web 通信流量通过，拒绝外来的 FTP 和 T

37、elnet 等通信流量 ”，那么，他可以使用扩展 ACL 来达到目的，标准 ACL 不能控制这么精确。在路由器配置中，标准 ACL 和扩展 ACL 的区别是由 ACL 的表号来体现的，上表指出了每 种协议所允许的合法表号的取值范围。专业整理 word 格式文档 实验四 NAT 配置 一.实验目的 1.根据实验要求的拓扑结构 ，利用路由器及交换机连接成网络 2.根据要求对数据流进行分类 ，并配置相应的 ACL 3.掌握基于 EasyIP 的 NAT 配置方法 4.掌握基于地址池的 NAT 配置方法 专业整理 word 格式文档 二.实验内容 1.设置路由器接口的 inside 和 outside

38、 角色 2.创建 IP 地址池和 ACL 3.关联对应的 IP 地址池和 ACL 4.配置套接字的静态映射关系 三.实验原理、方法和手段 在计算机网络中，NAT（网络地址转换、Network Address Translation）是对 IP 包首部地 址信息进行修改的过程。图 A1 NAT 原理 如图 A1，运行 NAT 功能的路由器会将它不同接口所连接的 IP 网络分为 inside 网络（内 网）和 outside 网络（外网）。当 IP 分组经过 NAT 路由器时，若是从 inside 网去向 outside 网，则 NAT 路由器会修改 IP 包首部的源 IP 地址（即 SA）；若

39、IP 分组是从 outside 网去 向 inside 网，则 NAT 路由器会修改 IP 包首部的目的 IP 地址（即 DA）。最简单的 NAT 类型是提供 one to one（一对一）的 IP 地址转换。RFC 2663 称之为 basic NAT （基本 NAT），basic NAT 只对 IP 首部的 IP 地址和校验和（checksum）进行修改，首部 的其它部分不进行改动（at least for basic TCP/UDP functionality,some higher level 专业整理 word 格式文档 protocols may need further tran

40、slation）。Basic NAT 通常运用于这种需求，即互联的两 个 IP 网络在寻址上不兼容，如用户的网络使用私有地址空间，而运行商网络使用共有地址 空间，私有地址在运营商的网络中是不兼容的，即无法寻址。相较 basic NAT，更通常的做法是将整个一段 IP 地址空间（通常是私有地址）隐藏在一 个单独 IP 地址或数量不多的一组 IP 地址（通常是公有地址）后。所以，这种转换是一 种 one to many（一对多）、或 some to many（多对多）的模式。为了解决这两种模式可能带来的歧义性，NAT 不仅改动 IP 首部信息，还会修改 TCP/UDP 的首部信息，当 IP 地址和

41、 TCP/UDP 端口被转换时，NAT 还会将这些转换记录在转换表中（translation table），以便数据流回发时能正确转换。这两种模式在 RFC 2663 中被称为 NAPT（Network and Port Translation，地址及端口转换），在很多文献或书籍中也会用术语 PAT（Port Address Translation ，端口地址转换）、IP masquerading（IP 伪装）、或 NAT Overload（NAT 过载）。前面几种类型 NAT 只能使能由用户网络（masqueraded network、即地址空间对于运营 商网络是隐藏的）内发起的通信，如用户

42、网络中某用户的浏览器可以浏览公网上某站点，但公网上的浏览器无法浏览用户网络的站点。其实大多数运行 NAT 的设备都允许管理 员手工配置 NAT 转换表，这种特性被称为 static NAT （静态 NAT）或 port 转发。Static NAT 允许由外部公网发起的通信，使其可以寻址到用户网络内的指定主机。在 1990 年代中期，NAT 成为了缓和 IPv4 地址耗尽的有效工具，它成为了家用路由器、专业整理 word 格式文档 小型商业 Internet 接入的标准和必要的特性。但 NAT 也存在的一些缺陷，如 Internet 连 接质量会下降（IP 首部处理的额外处理开销）、割断了原先

43、IP 设想的 end to end（端到 端）连接模型（双方无法寻址到对方的真实地址）。所以，NAT 只是一种解决地址耗尽 问题的过渡方法。四.实验组织运行要求 1.学生在实验前，请先对实验中的常用网络命令的功能和使用方法进行预习，并在预 习报告中给出这些信息。2.实验过程中，请记录每条命令使用后的显示信息，并在实验报告中对这些信息进行说明和解释。五.实验条件 1.以太网环境 2.思科 2811 路由器 六.实验步骤 场景 1 及其配置 图 A 2 由 inside 发起连接的 NAT 测试场景 如图 A2，由用户的计算机组成的 LAN 作为 inside 网络，网关路由器的 se0/1/0

44、接口连 专业整理 word 格式文档 接的 Internet 属于 outside 网络。LAN 中的计算机通过共享网关路由器的 IP 地址池、即 动态 NAT，来获得访问 Internet 的合法公网地址。Step 1：路由器的 fa0/0 接口作为 NAT 的 inside 接口 配置示例：Router(config)#interface fa0/0 Router(config if)#ip address 192.168.0.1 255.255.255.0 Router(config if)#no shutdown Router(config if)#ip nat inside Step

45、 2：路由器的 se0/1/0 接口作为 NAT 的 outside 接口 配置示例：Router(config)#interface se0/1/0 Router(config if)#ip address 1.1.1.10 255.255.255.0 Router(config if)#no shutdown Router(config if)#ip nat outside Step 3：通过访问控制列表设定可以使用 NAT 的用户计算机地址范围 配置示例：Router(config)#access list 1 permit 192.168.0.2 192.168.0.1 0.0.0.2

46、55 Step 4：创建进行 NAT 转换时，可以使用的公网地址池 配置示例：Router(config)#ip nat pool mypool 1.1.1.201 1.1.1.210 netmask 255.255.255.0 Step 5：设定 NAT 在进行地址转换时所用的 IP 地址池 配置示例：专业整理 word 格式文档 Router(config)#ip nat inside source list 1 pool mypool 场景 2 及其配置 图 A3 由 outside 发起连接的 NAT 测试场景 如图 A3，用户所在的 LAN 上存在一些服务器，其服务要提供给 Inte

47、rnet 上的用户使用。由于服务器所使用的 IP 地址是 inside 网路所使用的私有地址，因此需要实现在网关路 由器上将内部服务的地址及传输层端口映射到一个 Internet 可访问到的公网地址和端口，即使用静态 NAT。Step 1：路由器的 fa0/0 接口作为 NAT 的 inside 接口 配置示例：Router(config)#interface fa0/0 Router(config if)#ip address 192.168.0.1 255.255.255.0 Router(config if)#no shutdown Router(config if)#ip nat in

48、side Step 2：路由器的 se0/1/0 接口作为 NAT 的 outside 接口 配置示例：Router(config)#interface se0/1/0 Router(config if)#ip address 1.1.1.11 255.255.255.0 Router(config if)#no shutdown Router(config if)#ip nat outside 专业整理 word 格式文档 Step 3：将 inside 网络中的 Web 服务器套接字 192.168.0.2:80 转换到公网 1.1.1.11:8080 配置示例：Router(config

49、)#ip nat inside source static tcp 192.168.0.2 80 1.1.1.11 8080 Step 4：将 inside 网络中的 Email 服务器套接字 192.168.0.2:80 转换到公网 1.1.1.11:8080 配置示例：Router(config)#ip nat inside source static tcp 192.168.0.3 53 1.1.1.11 8090 七实验结果 PC0 测试：PC1 测试：专业整理 word 格式文档 八.思考题 1.当把内部服务器的套接字映射到路由器公网接口时，内部用户访问内部服务器时，用哪个地址来访问

50、服务器，为什么？通过公网 ip 地址 内部服务器开放了有限的端口，或者说是用得着的端口，并不是所有端口，所谓端口就代 表这某项服务，有些已知的服务是存在漏洞的，比如蠕虫病毒使用的 TCP 135 端口就使用 RPC DCOM 服务的漏洞。如果内部服务器开放端口较多，那么就要求收集所有端口，一一 做成内部服务器的端口映射，如此一来配置可能就稍显麻烦。2.当路由器公网接口地址是动态分配时，如何保证 NAT 地址映射的有效性？网络管理员在使用这个技术的时候，必须要了解它们之间的差异，然后结合企业的实际情况，选择合适的实现手段。还可以查看相关的配置信息；判断其连通性；NAT 故障的分析与排除；专业整理