Добавил:
Да поможет вам Котельников Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Лабораторные / 4LR_MSIS

.docx
Скачиваний:
40
Добавлен:
23.06.2024
Размер:
540.92 Кб
Скачать

Федеральное агентство связи

Государственное образовательное учреждение высшего профессионального образования

Московский Технический Университет Связи и Информатики

(МТУСИ)

Кафедра сети связи и системы коммутации

Лабораторная работа №4

ОСНОВЫ РАБОТЫ МЕЖСЕТЕВОГО ЭКРАНА И НАСТРОЙКА NAT

по дисциплине

МУЛЬТИСЕРВИСНЫЕ СИСТЕМЫ И СЕТИ

Выполнили:

студенты группы БЗС2002

Ломакин А. А. Протасова Т. Н.

Умаров К. И.

Проверила:

Канищева М. Г.

Москва 2023

Содержание

1. Цель работы 3

2. Задание 4

3. Выполнение 4

3.1. Настройка статического NAT 4

3.2. Настройка динамического NAT 7

3.3. Настройка PAT 8

3.4. Редактирование Zone-based Firewall (ZBF) 8

3.5. Выводы по результатам проделанной работы 13

4. Контрольные вопросы 13

  1. Цель работы

Изучить принципы работы списков доступа и применить на практике полученные

знания с использованием сетевого эмулятора Cisco Packet Tracer.

  1. Задание

  1. Изучить принципы работы и методы настройки списков доступа по материалам раздела 4.3 и списку литературы в разделе 4.7 (Список литературы).

  2. Запустить CiscoPacket Tracer, собрать заданную топологию и выполнить требуемые настройки.

  3. При выполнении лабораторной работы, сделать необходимые снимки экрана и ответить на вопросы.

  4. Изучить полученную информацию и оформить ее в соответствии с требованиями раздела 4.5 (Содержание отчета).

  1. Выполнение

3.1. Настройка статического NAT

Построение топологии сети в программном приложении Cisco Packet Tracer:

Рис. 1. Топология сети

Табл. 1. Сетевые параметры устройств

Модель устройства, имя (hostname)

Интерфейс

IP адрес

Сетевая маска

Шлюз

Router 2811, Core-R

fa0/0

10.1.1.1

255.255.255.0

-

Router 2811, Core-R

fa0/1

192.168.1.1

255.255.255.252

Router 2911, Internet-R

gi0/1

192.168.1.2

255.255.255.252

-

Router 2911, Internet-R

gi0/2

172.16.1.1

255.255.255.0

PC-PT, PC-1

eth

10.1.1.2

255.255.255.0

10.1.1.1

PC-PT, PC-2

eth

10.1.1.3

255.255.255.0

10.1.1.1

Server-PT, Internet-Server

eth

172.16.1.2

255.255.255.0

172.16.1.1

Проверка связности между компьютерами, маршрутизаторами и сервером:

Рис. 2. Ping с PC1 на PC2

Рис. 3. Ping с PC1 на Core-R

Рис. 4. Ping с PC1 на Internet-Server

Рис. 5. Ping с Core-R на Internet-R

Рис. 6. Доступ по HTTP к Internet-Server

Проверка созданной статической записи NAT:

Рис. 7. Выполнение команды show ip nat translations

Просмотр трансляций NAT при подключении по HTTP с PC1 на Internet-Server:

Рис. 8. Трансляции NAT

Просмотр результатов трансляции адресов:

Рис. 9. Команда show ip nat statistics

Рис. 10. Команда show ip nat translations

3.2. Настройка динамического NAT

Просмотр результатов трансляции адресов:

Рис. 11. Команда show ip nat statistics

Рис. 12. Команда show ip nat translations

Расширенная команда ping:

Рис. 13. Расширенный ping

Просмотр таблицы NAT после её очистки и расширенного ping:

Рис. 14. Таблица NAT

3.3. Настройка PAT

Проверка работы PAT:

Рис. 15. Доступ по HTTP к Internet-Server

Просмотр результатов трансляции адресов:

Рис. 16. Команда show ip nat statistics

Рис. 17. Команда show ip nat translations

3.4. Редактирование Zone-based Firewall (ZBF)

Изменение топологии сети:

Рис. 18. Загрузка страница по HTTP на PC4

Сетевые настройки подключенных устройств:

Табл. 2. Сетевые параметры устройств

Модель устройства, имя (hostname)

Интерфейс

IP адрес

Сетевая маска

Шлюз

Router 2811, Core-R

fa1/0

10.2.2.1

255.255.255.0

-

Server-PT, DMZ-server

eth

10.2.2.2

255.255.255.0

10.2.2.1

Проверка межсетевого экрана:

Рис. 19. Ping с PC1 на Internet-Server

Рис. 20. Ping с PC2 на Internet-Server

Рис. 21. Ping с PC1 на Internet-R

Рис. 22. Ping с PC2 на Internet-R

Рис. 23. Доступ по HTTP к Internet-Server на PC1

Рис. 24. Доступ по HTTP к Internet-Server на PC2

Рис. 25. Ping с PC1 на DMZ-server

Рис. 26. Ping с PC2 на DMZ-server

Рис. 27. Нет доступа по HTTP к DMZ-server на PC1

Рис. 28. Нет доступа по HTTP к DMZ-server на PC2

Рис. 29. Ping с Internet-Server на PC1, PC2, DMZ-server

Рис. 30. Ping с Internet-R на PC1, PC2, DMZ-server

Рис. 31. Доступ по HTTP к DMZ-server на Internet-Server

3.5. Выводы по результатам проделанной работы

В данной лабораторной работе удалось изучить принципы работы списков доступа и применить на практике полученные знания с использованием сетевого эмулятора Cisco Packet Tracer.

  1. Контрольные вопросы

  1. Зачем нужен NAT, какие задачи он выполняет?

NAT (Network Address Translation) - ACL определяет трафик, который надо транслировать; Трансляция сетевых адресов (Network Address Translation, NAT) — это технология, которая позволяет преобразовывать (изменять) IP адреса и порты TCP/UDP .

Технология NAT используется для преобразования частных адресов в глобальные (маршрутизируемые в Интернете). 

Кроме возможности доступа в глобальную сеть (Интернет), NAT имеет ещё несколько достоинств. Трансляция сетевых адресов позволяет скрывать внутреннюю структуру сети и ограничивать к ней доступ, что повышает безопасность. Также, эта технология позволяет использовать меньше IP адресов для выхода во внешнюю сеть, поскольку под одним глобальным адресом в Интернет может выходить множество хостов.

  1. Опишите принцип работы NAT.

Технология NAT преобразует адрес источника или получателя в IP-пакет. Когда пакет с IP-адресом частного источника достигает выхода из сети, устройство NAT преобразует частный IP-адрес в действительный общедоступный IP-адрес и пересылает пакет в общедоступную сеть. Когда поступает возвращенный пакет данных, устройство NAT преобразует IP-адрес назначения в предыдущий частный IP-адрес.

  1. Перечислите типы NAT и их особенности.

Статический NAT (Static NAT) — преобразование IP адреса один к одному, то есть сопоставляется один адрес из внутренней сети с одним адресом из внешней сети

Динамический NAT (Dynamic NAT) — преобразование внутреннего адреса/ов в один из группы внешних адресов

Overloading NAT — позволяет преобразовывать множество внутренних адресов в один внешний (рис.5.3.3). Для осуществления такой трансляции используются порты TCP/UDP, поэтому иногда такой NAT называют PAT (Port Address Translation).

  1. Опишите функциональность и работу межсетевых экранов.

Межсетевой экран представляет собой одно из наиболее эффективных средств безопасности, защищающее сеть от внешних угроз. Межсетевой экран разделяет две сети или более и контролирует проходящий между ними трафик, одновременно предотвращая несанкционированный доступ.

Межсетевые экраны поддерживают один или несколько подобных механизмов фильтрации и блокирования. Кроме того, межсетевые экраны часто выполняют преобразование сетевых адресов (NAT).

Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше уровень защиты, им обеспечиваемый.

Размещение межсетевого экрана в качестве пограничного устройства между внутренней сетью и внешней (например, Интернетом) позволяет контролировать весь исходящий и входящий IP трафик и управлять его прохождением.

  1. Что такое зона DMZ и когда необходима ее реализация?

Между внутренней и внешней сетью создается защитный рубеж при реализации межсетевого экрана. Однако некоторым внешним клиентам может потребоваться доступ к внутренним ресурсам. Для этого можно предусмотреть демилитаризованную зону (DeMilitarized Zone, DMZ).

В компьютерных сетях демилитаризованной зоной называется участок сети, доступный как внутренним, так и внешним пользователям. Он более защищен по сравнению с внешней сетью, но менее защищен по сравнению с внутренней сетью.

DMZ создается посредством использования одного или нескольких межсетевых экранов, разграничивающих внутреннюю сеть, DMZ и внешнюю сеть. В DMZ часто размещаются веб-серверы, открытые для доступа извне.

Соседние файлы в папке Лабораторные