柯侧耳倾听者 - 云代码空间
—— 翱翔在Java世界的海洋之上
一、实验目的与要求
1、理解NAT 网络地址转换的原理及功能,掌握静态NAT 的配置以及NAPT 的配置,实现局域网访问互联网;
2、理解VPN的基本概念及其工作机制,掌握VPN的配置及应用。
二、实验原理
1、网络地址转换NAT(Network Address Translation),被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT 不仅完美地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
默认情况下,内部IP地址是无法被路由到外网的,内部主机10.1.1.1 要与外部Internet通信,IP包到达NAT路由器时,IP 包头的源地址10.1.1.1 被替换成一个合法的外网IP,并在NAT 转发表中保存这条记录。当外部主机发送一个应答到内网时,NAT 路由器收到后,查看当前NAT转换表,用10.1.1.1 替换掉这个外网地址。
NAT 将网络划分为内部网络和外部网络两部分,局域网主机利用NAT 访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的IP地址)后转发数据包;NAT 分为两种类型:NAT(网络地址转换)和NAPT(网络端口地址转换IP地址对应一个全局地址)。静态NAT:实现内部地址与外部地址一对一的映射。现实中,一般都用于服务器;动态NAT:定义一个地址池,自动映射,也是一对一的。现实中,用得比较少;NAPT:使用不同的端口来映射多个内网IP地址到一个指定的外网IP地址,多对一。
2、NAPT 采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自Internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
3、虚拟专用网(Virtual Private Network,VPN)是一种连网技术,主要用于利用开放的公众网络(比如Internet)建立专用数据传输通道,将分处两地的机构网络连接起来,好象使用一条专线将分处两地的机构网络直接连接起来一样,并可实现保密通信。
按照连接对象的类型,虚拟专用网可分为两种类型:站点到站点的VPN和远程访问VPN;按照虚拟专用网实现的协议,虚拟专用网可分为三种类型:IPSec VPN、SSL VPN和MPLS VPN。
三、预习与准备
预习NAT与VPN的工作机制及其配置方法的相关知识点。准备好实验设备,安装好模拟器软件Packet Tracer 6.0。
四、实验内容与步骤
1、实验背景
(1)练习一实验背景:你是某公司的网络管理员,欲发布公司的WWW服务。现要求将内网Web 服务器IP 地址映射为全局IP 地址,实现外部网络可以访问公司内部Web 服务器。
(2)练习二实验背景:你是某公司的网络管理员,公司办公网需要接入互联网,公司只向ISP申请了一条专线,该专线分配了一个公司用的公网IP地址,配置实现全公司的主机都能访问外网。
(3)练习三实验背景:某企业总部与分部网络的示意图,如图10.3所示,左边Router0及以下为总部网络,右边Router1及以下为分部网络,中间的路由器Router2表示是Internet上的某个路由器,各路由器的接口的IP地址如图所示。现在要求在总部与分部之间建立一个站点到站点间的VPN。
2、实验设备
练习一:PC 1 台;Server-PT 1台;Switch_2950-24 1 台;Router-PT 2 台;直连线;交叉线;DCE 串口线。
练习二:PC 2 台;Server-PT 1台;Switch_2950-24 1 台;Router-PT 2台;直通线;交叉线;DCE 串口线。
练习三:PC 2 台;Switch 2960 2台;Router 2811 2台;Router 2621 1台;直通线;交叉线。
3、练习一 网络地址转换 NAT配置的配置
新建 Packet Tracer 拓扑图
(1)R0 为公司出口路由器,其与外部路由器之间通过V.35 电缆串口连接,DCE 端连接在R0 上,配置其时钟频率64000;
(2)配置PC机、服务器及路由器接口IP地址;
(3)在各路由器上配置静态路由协议,让PC 间能相互Ping通;
(4)在R0 上配置静态NAT。
(5)在R0 上定义内外网络接口。
(6)验证主机之间的互通性。
图10.1 练习一实验拓扑图
Server-PT
192.168.1.2
255.255.255.0
192.168.1.1
PC0
222.0.2.2
255.255.255.0
222.0.2.1
Router0
en
conf t
host R0
int fa 0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
int s 2/0
ip address 222.0.1.1 255.255.255.0
no shutdown
clock rate 64000
Router1
en
conf t
host R1
int s 2/0
ip address 222.0.1.2 255.255.255.0
no shut
int fa 0/0
ip address 222.0.2.1 255.255.255.0
no shutdown
Router0
exit
ip route 222.0.2.0 255.255.255.0 222.0.1.2
Router1
exit
ip route 192.168.1.0 255.255.255.0 222.0.1.1
end
show ip route
PC0
ping 192.168.1.2 (success)
Web浏览器
http://192.168.1.2 (success)
Router0
int fa 0/0
ip nat inside
int s 2/0
ip nat outside
exit
ip nat inside source static 192.168.1.2 222.0.1.3
end
show ip nat translations
PC0
Web浏览器
http://222.0.1.3 (success)
Router0
show ip nat translations
4、练习二 网络端口地址转换NAPT配置
新建 Packet Tracer 拓扑图
(1)R0为公司出口路由器,其与ISP 路由器之间通过V.35 电缆串口连接,DCE 端连接在R0上,配置其时钟频率64000;
(2)配置PC机、服务器及路由器接口IP地址;
(3)在各路由器上配置静态路由协议,让PC 间能相互Ping通;
(4)在R0上配置NAPT。
(5)在R0上定义内外网络接口。
(6)验证主机之间的互通性。
图10.2 练习二实验拓扑图
PC1
192.168.1.2
255.255.255.0
192.168.1.1
PC2
192.168.1.3
255.255.255.0
192.168.1.1
Server
200.1.2.2
255.255.255.0
200.1.2.1
Router0
en
conf t
host R0
int fa 0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
int s 2/0
ip address 200.1.1.1 255.255.255.0
no shutdown
clock rate 64000
Router1
en
conf t
host R1
int s 2/0
ip address 200.1.1.2 255.255.255.0
no shutdown
int fa 0/0
ip address 200.1.2.1 255.255.255.0
no shutdown
Router0
exit
ip route 200.1.2.0 255.255.255.0 200.1.1.2
Router1
exit
ip route 192.168.1.0 255.255.255.0 200.1.1.1
end
show ip route
PC1
ping 200.1.2.2 (success)
Web浏览器
http://200.1.2.2 (success)
Router0
int fa 0/0
ip nat inside
int s 2/0
ip nat outside
exit
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat pool 5ijsj 200.1.1.3 200.1.1.3 netmask 255.255.255.0
ip nat inside source list 1 pool 5ijsj overload (无overload 表示多对多,有overload表示多对一)
end
show ip nat translations (无结果)
PC1
Web浏览器
http://200.1.2.2 (success)
Router0
show ip nat translations (有1 个结果)
PC2
Web浏览器
http://200.1.2.2 (success)
Router0
show ip nat translations (有2 个结果)
5、练习三 VPN的配置
新建 Packet Tracer 拓扑图
(1)左边Router0及以下为总部网络,右边Router1及以下为分部网络,中间的路由器Router2表示Internet上的某个路由器(其中,Router0的f0/1口连接Router2的f0/0口,Router2的f0/1口连接Router1的f0/0口),各路由器的接口的IP地址如图所示;
(2)按图10.3所示配置各个PC机以及路由器的接口IP地址;
(3)在Router0、Router1上配置默认路由,配置完成后,从Router0上可以ping通PC0、Router1(222.2.2.2)。从Router1上可以ping通PC1、Router0(200.1.1.1);
(4)在Router0上进行VPN配置;
(5)在Router1上进行VPN配置;
(6)VPN验证。
(a)
(b)
图10.3 练习三实验拓扑图
PC0、PC1以及Router0、Router1和Router2的各个接口的IP地址配置(命令略)。
Router0
Router0(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2
Router1
Router1(config)#ip route 0.0.0.0 0.0.0.0 222.2.2.1
Router0
Router0#ping 192.168.1.2 (success)
Router0#ping 222.2.2.2 (success)
Router1
Router1#ping 172.16.1.2 (success)
Router1#ping 200.1.1.1 (success)
Router0
Router0(config)#access-list 111 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Router0(config)#crypto isakmp policy 10
Router0(config-isakmp)#encryption 3des
Router0(config-isakmp)#hash md5
Router0(config-isakmp)#authentication pre-share
Router0(config)#crypto isakmp key ABCD address 222.2.2.2
Router0(config)#crypto ipsec transform-set tf esp-3des
Router0(config)#crypto map vpnmap 5 ipsec-isakmp
Router0(config-crypto-map)#set peer 222.2.2.2
Router0(config-crypto-map)#set transform-set tf
Router0(config-crypto-map)#match address 111
Router0(config)#interface FastEthernet0/1
Router0(config-if)#crypto map vpnmap
Router1
Router1(config)#access-list 111 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
Router1(config)#crypto isakmp policy 10
Router1(config-isakmp)#encryption 3des
Router1(config-isakmp)#hash md5
Router1(config-isakmp)#authentication pre-share
Router1(config)#crypto isakmp key ABCD address 200.1.1.1
Router1(config)#crypto ipsec transform-set tf esp-3des
Router1(config)#crypto map vpnmap 5 ipsec-isakmp
Router1(config-crypto-map)#set peer 200.1.1.1
Router1(config-crypto-map)#set transform-set tf
Router1(config-crypto-map)#match address 111
Router1(config)#interface FastEthernet0/0
Router1(config-if)#crypto map vpnmap
PC0
ping 172.16.1.2 (success;在模拟状态下当包分别传输到Router0、Router1上时打开包查看源IP地址和目的IP地址的转换情况)
PC1
ping 192.168.1.2 (success;在模拟状态下当包分别传输到Router0、Router1上时打开包查看源IP地址和目的IP地址的转换情况)