2024《计算机网络》实验指导书(8)

实验5 网络地址转换NAT

一、实验目的

1. 了解NAT的作用。 2. 掌握NAT的配置方法。 二、实验内容 1. 配置NAT的目的

一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换。 2. 配置NAT的好处

1) 合法的IP地址资源日益短缺，可以节约IP地址。

2) 地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安

全保护作用。

3) 地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务。 3. 设备

? 路由器2台：2626和1702 ? 二层交换机1台：3950 ? PC 机4台 ? 交叉线2根 ? 直通线4根

4. 网络拓扑（假设1702的f0/0端口IP为20.0.0.1）

20.0.0.0/8 30.0.0.0/8 1702-1 2626-1 f0/0 f0/0 f0/3 e0/1 24 内部网络 1 外部网络 2 3950-1 1 2 3 PC 3-1 PC 3-2 PC 3-3 PC3-8 172.16.0.31 172.16.0.32 172.20.0.33 30.0.0.38 255.255.0.0 255.255.0.0 255.255.0.0 255.0.0.0 172.16.0.1 172.16.0.1 172.20.0.1 30.0.0.1 VLAN 2 VLAN 3 36

5. 为主机的“本地连接2”分配IP、子网掩码和网关。 6. 参照网络拓扑图进行连线。 7. 交换机恢复出厂设置。 8. 路由器恢复出厂设置。

9. 3950根据端口静态划分VLAN。 10. 3950的24端口设为trunk。 11. R1的e0/1端口做单臂路由。

12. R1、R2各端口分配IP地址，loopback分配IP地址。 13. R1、R2启动单区域ospf，并宣告直连网络。

注：R1不要宣布172.16.0.0/16和172.20.0.0/16两个直连网段。 14. R1、R2上查看路由表，并测试主机之间的连通性。

15. 定义内部网络中允许访问外部网络的ACL。（在R1的全局模式下）

? access-list 1 permit 172.0.0.0 0.255.255.255 16. 网络地址转换映射。（在R1的全局模式下）

? ip nat inside source list 1 interface f0/0 overload

17. 启动NAT。（在R1的全局模式下）

? int f0/0

? ip nat outside ? exit

? int e0/1

? ip nat inside ? exit

18. 测试主机之间的连通性。

【请独立完成，记录命令和测试结果，并写入实验报告】

19. NAT检查和排错的相关命令。

1) 测试连通性

? show ip nat translations ? show ip nat statistics 2) NAT的debug

? debug ip nat

3) 清除NAT转换表中的所有条目

? clear ip nat translation *

37

实验6 端口与地址绑定

一、实验目的

1. 了解端口与地址绑定的作用。

2. 掌握交换机端口与主机MAC地址绑定的配置方法。 3. 掌握交换机端口与主机MAC地址+IP地址绑定的配置方法。

二、实验内容 1. 绑定方法

1）静态switchport port-security：

Switch(Config-Ethernet0/0/1)# switchport port-security //开启端口绑定功能

Switch(Config-Ethernet0/0/1)#switchport 00-03-0F-FE-2E-D3

//将此MAC地址与端口进行绑定，此后此MAC地址只能在本端口进行通信，但是本端口也可以和其他MAC地址通信。

switchport port-security maximum 5

//端口最大安全MAC地址数,取值范围1~128,端口最大默认安全MAC地址数为1

switch(Config-Ethernet0/0/1)#switchport port-security lock

//锁定端口，此端口不能学习其他MAC地址，只能与绑定的MAC地址进行通信

2）动态switchport port-security：自动学习第一个获得的MAC地址，其他设备再与本端口连接时不再进行学习

switch(Config)#interface ethernet 0/0/1

switch(Config-Ethernet0/0/1)#switchport port-security switch(Config-Ethernet0/0/1)#switchport port-security lock

switch(Config-Ethernet0/0/1)#switchport port-security convert //自动学习第一个获得的MAC地址，其他设备再与本端口连接时不再进行学习

3）Access Management：将合法用户的IP（MAC-IP）地址绑定到指定的端口上

38

port-security mac-address

只有指定IP（MAC-IP）地址的用户发出的报文才能通过该端口转发。

switch(Config)#am enable

switch(Config)#interface ethernet 0/0/1

switch(Config-Ethernet0/0/1)#am 192.168.1.101

Switch(Config)#interface ethernet 0/0/2 Switch(Config-Ethernet0/0/2)#no am port 默认拒绝所有

mac-ip-pool

00-A0-D1-D1-07-FF

39