用户注册



邮箱:

密码:

用户登录


邮箱:

密码:
记住登录一个月忘记密码?

发表随想


还能输入:200字

柯侧耳倾听者    -  云代码空间

—— 翱翔在Java世界的海洋之上

NAT与VPN的配置

2017-12-18|1601阅||

摘要:实验十  NAT与VPN的配置 一、实验目的与要求 1、理解NAT 网络地址转换的原理及功能,掌握静态NAT 的配置以及NAPT 的配置,实现局域网访问互联网; 2、理解VPN的基本概念及其工作机制,掌握VPN的配置及应用。 二、实验原理 1、网络地

实验十  NATVPN的配置

一、实验目的与要求

1、理解NAT 网络地址转换的原理及功能,掌握静态NAT 的配置以及NAPT 的配置,实现局域网访问互联网;

2、理解VPN的基本概念及其工作机制,掌握VPN的配置及应用。

二、实验原理

1、网络地址转换NAT(Network Address Translation),被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT 不仅完美地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。

默认情况下,内部IP地址是无法被路由到外网的,内部主机10.1.1.1 要与外部Internet通信,IP包到达NAT路由器时,IP 包头的源地址10.1.1.1 被替换成一个合法的外网IP,并在NAT 转发表中保存这条记录。当外部主机发送一个应答到内网时,NAT 路由器收到后,查看当前NAT转换表,用10.1.1.1 替换掉这个外网地址。

NAT 将网络划分为内部网络和外部网络两部分,局域网主机利用NAT 访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的IP地址)后转发数据包;NAT 分为两种类型:NAT(网络地址转换)和NAPT(网络端口地址转换IP地址对应一个全局地址)。静态NAT:实现内部地址与外部地址一对一的映射。现实中,一般都用于服务器;动态NAT:定义一个地址池,自动映射,也是一对一的。现实中,用得比较少;NAPT:使用不同的端口来映射多个内网IP地址到一个指定的外网IP地址,多对一。

2、NAPT 采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自Internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。

3、虚拟专用网(Virtual Private Network,VPN)是一种连网技术,主要用于利用开放的公众网络(比如Internet)建立专用数据传输通道,将分处两地的机构网络连接起来,好象使用一条专线将分处两地的机构网络直接连接起来一样,并可实现保密通信。

按照连接对象的类型,虚拟专用网可分为两种类型:站点到站点的VPN和远程访问VPN;按照虚拟专用网实现的协议,虚拟专用网可分为三种类型:IPSec VPN、SSL VPN和MPLS VPN。

三、预习与准备

预习NATVPN的工作机制及其配置方法的相关知识点。准备好实验设备,安装好模拟器软件Packet Tracer 6.0

四、实验内容与步骤

1、实验背景

1)练习一实验背景:你是某公司的网络管理员,欲发布公司的WWW服务。现要求将内网Web 服务器IP 地址映射为全局IP 地址,实现外部网络可以访问公司内部Web 服务器。

2)练习二实验背景:你是某公司的网络管理员,公司办公网需要接入互联网,公司只向ISP申请了一条专线,该专线分配了一个公司用的公网IP地址,配置实现全公司的主机都能访问外网。

3)练习三实验背景:某企业总部与分部网络的示意图,如图10.3所示,左边Router0及以下为总部网络,右边Router1及以下为分部网络,中间的路由器Router2表示是Internet上的某个路由器,各路由器的接口的IP地址如图所示。现在要求在总部与分部之间建立一个站点到站点间的VPN。

2、实验设备

练习一:PC 1 台;Server-PT 1台;Switch_2950-24 1 台;Router-PT 2 台;直连线;交叉线;DCE 串口线。

练习二:PC 2 台;Server-PT 1台;Switch_2950-24 1 台;Router-PT 2台;直通线;交叉线;DCE 串口线。

练习三:PC 2 台;Switch 2960 2台;Router 2811 2台;Router 2621 1台;直通线;交叉线。

3、练习一  网络地址转换 NAT配置的配置

新建 Packet Tracer 拓扑图

(1)R0 为公司出口路由器,其与外部路由器之间通过V.35 电缆串口连接,DCE 端连接在R0 上,配置其时钟频率64000;

(2)配置PC机、服务器及路由器接口IP地址;

(3)在各路由器上配置静态路由协议,让PC 间能相互Ping通;

(4)在R0 上配置静态NAT。

(5)在R0 上定义内外网络接口。

(6)验证主机之间的互通性。

 

10.1  练习一实验拓扑图

Server-PT

192.168.1.2

255.255.255.0

192.168.1.1

PC0

222.0.2.2

255.255.255.0

222.0.2.1

Router0

en

conf t

host R0

int fa 0/0

ip address 192.168.1.1 255.255.255.0

no shutdown

int s 2/0

ip address 222.0.1.1 255.255.255.0

no shutdown

clock rate 64000

Router1

en

conf t

host R1

int s 2/0

ip address 222.0.1.2 255.255.255.0

no shut

int fa 0/0

ip address 222.0.2.1 255.255.255.0

no shutdown

Router0

exit

ip route 222.0.2.0 255.255.255.0 222.0.1.2

Router1

exit

ip route 192.168.1.0 255.255.255.0 222.0.1.1

end

show ip route

PC0

ping 192.168.1.2 (success)

Web浏览器

http://192.168.1.2 (success)

 

 

 

Router0

int fa 0/0

ip nat inside

int s 2/0

ip nat outside

exit

ip nat inside source static 192.168.1.2 222.0.1.3

end

show ip nat translations

PC0

Web浏览器

http://222.0.1.3 (success)

Router0

show ip nat translations

 

 

 

4、练习二  网络端口地址转换NAPT配置

新建 Packet Tracer 拓扑图

(1)R0为公司出口路由器,其与ISP 路由器之间通过V.35 电缆串口连接,DCE 端连接在R0上,配置其时钟频率64000;

(2)配置PC机、服务器及路由器接口IP地址;

(3)在各路由器上配置静态路由协议,让PC 间能相互Ping通;

(4)在R0上配置NAPT。

(5)在R0上定义内外网络接口。

(6)验证主机之间的互通性。

 

10.2  练习二实验拓扑图

PC1

192.168.1.2

255.255.255.0

192.168.1.1

PC2

192.168.1.3

255.255.255.0

192.168.1.1

Server

200.1.2.2

255.255.255.0

200.1.2.1

Router0

en

conf t

host R0

int fa 0/0

ip address 192.168.1.1 255.255.255.0

no shutdown

int s 2/0

ip address 200.1.1.1 255.255.255.0

no shutdown

clock rate 64000

Router1

en

conf t

host R1

int s 2/0

ip address 200.1.1.2 255.255.255.0

no shutdown

int fa 0/0

ip address 200.1.2.1 255.255.255.0

no shutdown

Router0

exit

ip route 200.1.2.0 255.255.255.0 200.1.1.2

Router1

exit

ip route 192.168.1.0 255.255.255.0 200.1.1.1

end

show ip route

PC1

ping 200.1.2.2 (success)

Web浏览器

http://200.1.2.2 (success)

 

 

 

Router0

int fa 0/0

ip nat inside

int s 2/0

ip nat outside

exit

access-list 1 permit 192.168.1.0 0.0.0.255

ip nat pool 5ijsj 200.1.1.3 200.1.1.3 netmask 255.255.255.0

ip nat inside source list 1 pool 5ijsj overload       (overload 表示多对多,有overload表示多对一)

end

show ip nat translations     (无结果)

 

PC1

Web浏览器

http://200.1.2.2            (success)

 

Router0

show ip nat translations     (有1 个结果)

 

PC2

Web浏览器

http://200.1.2.2            (success)

 

Router0

show ip nat translations      (有2 个结果)

 

5、练习三  VPN的配置

新建 Packet Tracer 拓扑图

(1)左边Router0及以下为总部网络,右边Router1及以下为分部网络,中间的路由器Router2表示Internet上的某个路由器(其中,Router0的f0/1口连接Router2的f0/0口,Router2的f0/1口连接Router1的f0/0口),各路由器的接口的IP地址如图所示;

(2)按图10.3所示配置各个PC机以及路由器的接口IP地址;

(3)在Router0、Router1上配置默认路由,配置完成后,从Router0上可以ping通PC0、Router1(222.2.2.2)。从Router1上可以ping通PC1、Router0(200.1.1.1);

(4)在Router0上进行VPN配置;

(5)在Router1上进行VPN配置;

(6VPN验证。

 

a)

b

10.3  练习三实验拓扑图

PC0、PC1以及Router0、Router1和Router2的各个接口的IP地址配置(命令略)。

Router0

Router0(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2

Router1

Router1(config)#ip route 0.0.0.0 0.0.0.0 222.2.2.1

Router0

Router0#ping 192.168.1.2    (success)

Router0#ping 222.2.2.2      (success)

 

Router1

Router1#ping 172.16.1.2     (success) 

Router1#ping 200.1.1.1      (success)

 

Router0

Router0(config)#access-list 111 permit ip 192.168.1.0  0.0.0.255 172.16.1.0  0.0.0.255

Router0(config)#crypto isakmp policy 10     

Router0(config-isakmp)#encryption 3des     

Router0(config-isakmp)#hash md5               

Router0(config-isakmp)#authentication pre-share    

Router0(config)#crypto isakmp key ABCD address 222.2.2.2

Router0(config)#crypto  ipsec  transform-set  tf  esp-3des

Router0(config)#crypto  map vpnmap 5  ipsec-isakmp   

Router0(config-crypto-map)#set peer 222.2.2.2       

Router0(config-crypto-map)#set transform-set tf     

Router0(config-crypto-map)#match address 111     

Router0(config)#interface FastEthernet0/1

Router0(config-if)#crypto map vpnmap

 

Router1

Router1(config)#access-list 111 permit ip 172.16.1.0  0.0.0.255 192.168.1.0  0.0.0.255

Router1(config)#crypto isakmp policy 10     

Router1(config-isakmp)#encryption 3des      

Router1(config-isakmp)#hash md5           

Router1(config-isakmp)#authentication pre-share       

Router1(config)#crypto isakmp key ABCD address 200.1.1.1

Router1(config)#crypto  ipsec  transform-set  tf  esp-3des

Router1(config)#crypto  map vpnmap 5  ipsec-isakmp       

Router1(config-crypto-map)#set peer 200.1.1.1       

Router1(config-crypto-map)#set transform-set tf     

Router1(config-crypto-map)#match address 111     

Router1(config)#interface FastEthernet0/0

Router1(config-if)#crypto map vpnmap

 

PC0

    ping 172.16.1.2    (success;在模拟状态下当包分别传输到Router0、Router1上时打开包查看源IP地址和目的IP地址的转换情况)

 

 

PC1

ping 192.168.1.2    (success;在模拟状态下当包分别传输到Router0、Router1上时打开包查看源IP地址和目的IP地址的转换情况)

 

 

顶 0踩 0收藏
文章评论
    发表评论

    个人资料

    • 昵称: 柯侧耳倾听者
    • 等级: 初级设计师
    • 积分: 2220
    • 代码: 64 个
    • 文章: 64 篇
    • 随想: 5 条
    • 访问: 44 次
    • 关注

    标签

    最新提问

      站长推荐