计算机网络实验八DHCPNATACL的实现.docx
- 文档编号:8116239
- 上传时间:2023-01-28
- 格式:DOCX
- 页数:18
- 大小:97.03KB
计算机网络实验八DHCPNATACL的实现.docx
《计算机网络实验八DHCPNATACL的实现.docx》由会员分享,可在线阅读,更多相关《计算机网络实验八DHCPNATACL的实现.docx(18页珍藏版)》请在冰豆网上搜索。
计算机网络实验八DHCPNATACL的实现
实验八DHCP+NAT+ACL(casestudy)
【实验目的】
一、了解DHCP原理,掌握在路由器上配置DHCP服务器的方法
二、了解IPHelperAddress原理和配置方法
三、掌握NAT原理,掌握静态和动态NAT、PAT的配置方法
四、理解和掌握ACL的作用;学会配置各种ACL
五、参与网络的设计和实现
【实验拓扑及器材】
本实验需用到路由器3台,交换机1台,串行线、直通线、交叉线、console线若干,
主机7台。
实验拓扑如下:
场景描述:
上图为某小型公司的网络。
1.拓扑描述:
1)3个VLAN,其中VLAN2(PC1所在VLAN)为一般员工使用,VLAN4(PC2所在
VLAN)为来访客户使用,VLAN3(Server1所在VLAN)有公司的http和ftp服务器。
2)LAN5(即PC3所在的LAN),为网络管理员使用。
3)公司网络通过边界路由器R3连接到ISP(用主机模拟)。
2.IP地址:
1)在公司的网络内部,使用私有地址,地址范围为192.168.1.0/24网段。
VLAN3的服
务器的IP地址为手动配置的固定地址;VLAN2、VLAN4、LAN5的主机的IP地址由DHCP
-92-
自动获取,路由器R2上配置了DHCP服务,而路由器R1上配置了IPHelperAddress。
2)当公司内部需要和外部通信时,通过边界路由器R3进行NAT转换,可用的内部全
局地址为202.116.64.128/26网段。
其中VLAN3的服务器使用的是静态NAT转换,以使外
部网络能对服务器进行访问;而VLAN2、VLAN4、LAN5的主机使用的是PAT,以节省内
部全局地址。
3.公司内部的路由器上配有ACL,使得:
1)VLAN2能访问VLAN3、VLAN4、LAN5以及Internet,但不能被VLAN4、Internet
的用户访问。
2)VLAN3能被VLAN2、LAN5的用户访问,而被VLAN4、Internet的用户只能通过
http和ftp访问
3)路由器的虚拟终端只允许LAN5用户的登录。
【实验重难点】
一、DHCP&IPHelperAddress
1.
DHCP(动态主机配置协议)
网络管理员可以利用DHCP服务器从事先定义好的地址池里为客户机动态分配IP配置
以及DNS服务器、域名等参数。
DHCP对客户端的配置过程主要包括以下四个步骤:
1)客户端需要IP配置的时候,向所有节点发送DHCPDISCOVER广播寻找DHCP服
务器;
2)服务器用单播方式向客户端发送DHCPOFFER响应,提供IP建议配置信息;
3)客户端如果觉得该建议配置可以接受,就向所有节点发DHCPREQUEST广播;
4)服务器向客户端单点传送一个DHCPACK以确认该配置的正式化。
2.
IPHelperAddress
网络中有多种类似DHCP这样需要通过广播寻找服务器的服务。
而在大型的网络中,
往往不是所有客户都与这些主要服务器处于同一子网中。
缺省情况下路由器不会将客户的广
播转发到他们的子网之外,因此这些定位服务器的广播包将无法到达服务器。
为了既能让客户能定位服务器而又避免在每一个子网上放置服务器,CiscoIOS提供了
帮助地址特性。
IPhelper-address命令可以让路由器中继这些主要UDP服务的广播请求,并
把它们转发到特定的服务器上,从而服务器能基于请求作出响应,给请求客户以它们所需要
的信息。
在DHCP包中有一个GIADDR字段,若需跨网域进行自动地址分配,则此字段为中继
代理的地址,否则为0。
DHCP服务器可以从代理的地址识别该请求主机对应的网段,从而
能正确地分配地址。
二、NAT
1.私有地址和地址转换
IANA保留了下列三块IP地址空间作为私有地址:
10.0.0.0~10.255.255.255(一个单独A类网络号码)
172.16.0.0~172.31.255.255(16个相邻的B类网络号)
192.168.0.0~192.168.255.255(256个相邻的C类网络号)
-93-
任何组织可以不经IANA或因特网登记处的允许就可以使用私有地址。
取得私有IP地
址的主机能和组织内部任何其他主机连接,但是如果不经过一个代理网关就不能和组织外的
主机连接。
地址转换,即NAT功能,就是指在一个组织网络内部,根据需要可以使用私有的IP地
址(不需要经过申请),在组织内部,各计算机间通过私有IP地址进行通讯,而当组织内部的
计算机要与外部网络进行通讯时,具有NAT功能的设备负责将其私有IP地址转换为公有IP
地址,即用该组织申请的合法IP地址进行通信。
2.NAT几个主要术语
1)内部局部地址(InsideLocal):
在内部网络中分配给主机的私有IP地址。
2)内部全局地址(InsideGlobal):
一个合法的IP地址,它对外代表一个或多个内部局
部IP地址。
3)外部全局地址(OutsideGlobal):
由其所有者给外部网络上的主机分配的IP地址。
4)外部局部地址(OutsideLocal):
外部主机在内部网络中表现出来的IP地址。
3.NAT的类型
静态地址转换将内部局部地址与内部全局地址进行一对一的转换,内部局部地址被永久
映射成某个固定的全局地址。
如果内部网络有E-mail服务器或FTP服务器等可以为外部用
户共用的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些
服务。
动态地址转换也是将内部局部地址与内部全局地址一对一的转换,它从内部全局地址池
中动态地选择一个未使用的地址对内部局部地址进行转换,即采用动态分配的方法映射内部
局部地址和内部全局地址。
端口地址转换(PAT)是一种动态地址转换,它允许多个内部局部地址地址映射到同一个
全局地址。
NAT设备通过映射TCP或UDP端口号来跟踪记录不同的会话。
4.NAT的工作原理
当内部网络中的一台主机想传输数据到外部网络时,在它传输到外部网络之前要经过
NAT路由器。
该路由器检查数据包的报头,获取该数据包的源IP信息,并检查是否满足地
址转换条件。
如果不满足,则直接对数据包按常规进行路由处理。
如果满足动态地址转换条
件,则从该路由器的内部全局地址表中分配一个内部全局地址给该内部局部地址,并形成内
部局部地址和内部全局地址的映射表。
静态地址转换的映射表则是固定生成的。
NAT路由
器把该数据包的源地址,用它的内部全局地址代替,把此数据包传输到外部网络中。
当外部网络对内部主机进行应答时,应答数据包穿越外部网络到达发送端的NAT路由
器上。
此路由器分析目的IP地址,当发现此目的IP地址为内部全局地址时,它将查找NAT
映射表,从而获得内部局部地址;然后将数据包的目的地址替换成内部局部地址,并将数据
包转发到内部网络中,最终到达发送的主机。
三、ACL(访问控制列表)
ACL能允许或拒绝数据包穿过规定的路由器接口,是应用在IP地址或上层协议(如TCP
层)的允许和拒绝条件的一个有序的集合。
ACL的主要作用是对数据包进行过滤,从而有助
于控制通过网络的数据包传输,达到限制网络数据流以及限制某些用户或设备对网络进行访
问的目的,具有简单的网络安全功能。
-94-
ACL语句是按顺序进行处理的,若找到匹配的语句则立刻执行permit或deny,剩下语
句不再进行处理;若所有语句都不匹配,数据包将被deny。
每一种被路由协议(如IP、IPX),
在路由器的每个接口上的每个方向上(in和out),最多只能绑定一条ACL。
后面绑定的ACL
会覆盖前面绑定的,也就是说后面绑定的ACL会取代前面绑定的ACL而起作用。
标准ACL:
它只对数据包的源IP地址进行控制和过滤,配置时的编号范围是1~99和
1300~1999。
放置规则是将它们放在距目的地路由器尽可能近的地方以进行有效的控制。
理
由是标准ACL只能指定源地址,所以在数据流被拒绝点之后的路径中的任何设备都不能进
行通信。
不过要注意的是,这就意味着数据流会通过网络被转发,只在距目的地近的地方才
被拒绝。
配置方法是――
(1)定义ACL:
Router(config)#access-list
址[通配符掩码];
(2)绑定ACL到接口:
Router(config-if)#ipaccess-group
扩展ACL:
它会对源和目的IP地址都进行过滤和控制,配置时的编号范围是100~199
和2000~2699。
放置规则是将它们放在离源近的地方以减少非法流穿越多台路由器以及
ICMP的管理性拒绝消息。
理由是扩展ACL除了源的信息外,还指定了目的地的相关信息,
如IP地址、TCP层的端口号等。
配置方法是――
(1)定义ACL:
Router(config)#access-list
符掩码[eq|neq|gt|lt目的端口][otheroptions];
(2)绑定ACL到接口:
Router(config-if)#ip
access-group
标准或扩展ACL修改时无法修改特定条目,只有完全删除后再按正确的方式重新建立
才行。
标准和扩展ACL对于由路由器自身发出的数据包不起限制作用。
命名ACL:
命名ACL允许在标准ACL和扩展ACL中,使用一个字母数字组合的字符
串(名字)来表示ACL号。
命名ACL可以删除某一特定的条目,而不用通过完全删除一个
ACL,然后再重新建立一个ACL来删除某一条特定的条目。
限制虚拟终端:
出于安全性的考虑,我们需要限制主机或者其它路由器对虚拟终端的访
问。
类似物理接口,我们可以在虚拟端口绑定ACL。
【实验内容】
一、按照拓扑配置路由器名称、接口(包括子接口)
二、配置交换机(配置方法可参考实验五)
1.
2.
3.
清空交换机原先的配置
配置VLAN并绑定到相应的端口
配置trunk
三、配置路由
1.
2.
3.
在内部网络配置OSPF路由协议
在R3上配置默认路由,并传播到整个内部网络
R3(config)#iproute0.0.0.00.0.0.0202.116.64.1
R3(config)#routerospf1
R3(config-router)#default-informationoriginate
把ISP的IP地址设为202.116.64.1,网关设为202.116.64.2。
四、配置DHCP
-95-
1.
在R2配置DHCP服务:
VLAN2对应地址池是192.168.1.64/26,VLAN4对应地址
池是192.168.1.128/26,LAN5对应地址池是192.168.1.32/27
1)配置192.168.1.64/26网段的DHCP服务:
R2(config)#ipdhcppoolVLAN2pool//建立一个地址池
R2(dhcp-config)#network192.168.1.64255.255.255.192//指定分配的IP地址范围
R2(dhcp-config)#default-router192.168.1.65
R2(dhcp-config)#dns-server202.116.64.1
R2(dhcp-config)#exit
R2(config)#ipdhcpexcluded-address192.168.1.65
2)配置192.168.1.128/26网段的DHCP服务:
R2(config)#ipdhcppoolVLAN4pool
R2(dhcp-config)#network192.168.1.128255.255.255.192
R2(dhcp-config)#default-router192.168.1.129
R2(dhcp-config)#dns-server202.116.64.1
R2(dhcp-config)#exit
R2(config)#ipdhcpexcluded-address192.168.1.129
3)配置192.168.1.32/27网段的DHCP服务:
R2(config)#ipdhcppoolLAN5pool
R2(dhcp-config)#network192.168.1.32255.255.255.224
R2(dhcp-config)#default-router192.168.1.33
R2(dhcp-config)#dns-server202.116.64.1
R2(dhcp-config)#exit
R2(config)#ipdhcpexcluded-address192.168.1.33
在R1的三个子接口上配置helperaddress
R1(config)#interfacef0.2
R1(config-if)#iphelper-address192.168.1.5
R1(config)#interfacef0.3
R1(config-if)#iphelper-address192.168.1.5
R1(config)#interfacef0.4
R1(config-if)#iphelper-address192.168.1.5
//指定网关
//指定DNS服务器
//指定不能分配的地址
2.
3.
4.
主机设置为用DHCP获取IP地址,并查看获取地址的结果
检验DHCP的常用命令
showipdhcpbinding
showipdhcpserverstatistics
debugipdhcpserverevents
debugipdhcpserverpacket
五、在R3配置NAT
1.
Server1用静态NAT映射到202.116.64.129
R3(config)#ipnatinsidesourcestatic192.168.1.194202.116.64.129
//在内部接口上启用源地址转换
R3(config)#interfaces0
R3(config-if)#ipnatinside
//指定内部接口
-96-
R3(config-if)#interfaces1
R3(config-if)#ipnatoutside
2.
//指定外部接口
3.
4.
VLAN2、VLAN4、LAN5的主机用动态NAT映射到地址池202.116.64.130~
202.116.64.254
R3(config)#ipnatpoolCISCO202.116.64.130202.116.64.254netmask
255.255.255.128
R3(config)#access-list1deny192.168.1.1920.0.0.63
R3(config)#access-list1permit192.168.1.00.0.0.255
R3(config)#ipnatinsidesourcelist1poolCISCO
把动态NAT改为使用PAT
1)删除NAT配置,清除所有NAT转换表项:
R3#clearipnattranslation*
R3#clearipnatstatistics
R3(config)#noipnatinsidesourcelist1poolCISCO
2)配置PAT:
R3(config)#ipnatinsidesourcelist1poolCISCOoverload
检验NAT的常用命令
showipnattranslations[verbose]
showipnatstatistics
debugipnat
六、配置ACL
1.
//查看映射表
2.
在R1的f0.2口绑定ACL,使VLAN2能访问VLAN3、VLAN4、LAN5以及Internet,
但不能被VLAN4、Internet的用户访问
R1(config)#access-list100permitip192.168.1.1920.0.0.63any
R1(config)#access-list100permitip192.168.1.320.0.0.31any
R1(config)#access-list100permittcpanyanyestablished
R1(config)#interfacef0.2
R1(config-if)#ipaccess-group100out
在R1的f0.3口绑定ACL,使VLAN3能被VLAN2、LAN5的用户访问,而被VLAN4、
Internet的用户只能通过http和ftp访问
R1(config)#access-list101permitip192.168.1.640.0.0.63any
R1(config)#access-list101permitip192.168.1.320.0.0.31any
R1(config)#access-list101permittcpanyanyeq80
R1(config)#access-list101permittcpanyanyeq20
R1(config)#access-list101permittcpanyanyeq21
R1(config)#access-list101permittcpanyanyestablished
R1(config)#interfacef0.3
R1(config-if)#ipaccess-group101out
-97-
3.
在R1、R2、R3的虚拟终端绑定ACL,只允许LAN5用户的telnet登录
以R1为例:
1)
2)
配置telnet
R1(config)#enablepasswordcisco
R1(config)#linevty04
R1(config-line)#passwordCisco
R1(config-line)#login
在虚拟终端绑定ACL
R1(config)#access-list1permit192.168.1.320.0.0.31
R1(config)#linevty04
R1(config-line)#access-class1in
4.
检验ACL的常用命令
showaccess-lists
showrun
showipinterface
【实验思考题】
1.在DHCP中,IPHELPERADDRESS的工作过程是怎么样的?
2.实验中NAT部分都是进行源转化,其实还有目的转化,思考一下目的转化有什么作用?
3.在虚拟终端绑定ACL,和在物理端口绑定限制23端口的ACL,效果有什么区别?
【实验备忘】
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络 实验 DHCPNATACL 实现