Лабораторная работа №3

# Лабораторная работа №3 МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РФ ФГАОУ ВО «СЕВЕРО-КАВКАЗСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ» ИНСТИТУТ ЦИФРОВОГО РАЗВИТИЯ ИМЕНИ ПРОФЕССОРА Н.И. ЧЕРВЯКОВА КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ **Отчёт по лабораторной работе №3** **NAT. Статическая и динамическая трансляция адресов.** По дисциплине «Сети и системы передачи информации» **Выполнил:** Кеньков Егор Александрович студент 3 курса группы ИБС-с-о-20-1 специальности 10.05.03 «Информационная безопасность автоматизированных систем» очной формы обучения **Проверил:** Емельянов Евгений Алексеевич Ставрополь, 2022 **Цель работы:** научиться использовать статическую и динамическую трансляцию адресов. **Ход работы:** Практическая часть. 1. Соберите топологию сети, представленную на рисунке 2. ![](https://i.imgur.com/3jaRIJO.png) *Рисунок 1 – Исходная топология сети* 2. Настроить IP-адресацию на устройствах. 3. На коммутаторе Switch2 создать vlan 100 и 200 для сетей 192.168.0.0/25 и 192.168.0.128/25 соответственно; настроить интерфейсы. 4. На маршрутизаторе ISP, имитирующего сеть провайдера, настроить интерфейсы соответствующим образом, маршрут по умолчанию: ip route 0.0.0.0 0.0.0.0 62.15.18.2 5. Выполнить настройку маршрутизатора R1: Создание списков доступа для NAT: / задает фильтр адресов, которые будут транслироваться во внешнюю сеть **ip access-list standard NAT permit 192.168.0.0 0.0.0.127** / задает фильтр, который запрещает выход с внешнего интерфейса пакетов, которые не были транслированы **ip access-list standard ACCESS-TO-ISP permit 62.15.18.0 0.0.0.7** Настройка интерфейсов: **interface gigabitEthernet 0/2.100 encapsulation dot1Q 100 ip address 192.168.0.1 255.255.255.128 ip nat inside** / отметим интерфейс подключенный к внутренней сети **no shutdown interface gigabitEthernet 0/2.200 encapsulation dot1Q 200 ip address 192.168.0.129 255.255.255.128 ip nat inside no shutdown interface gigabitEthernet 0/2 no shutdown interface gigabitEthernet 0/1 ip address 10.10.10.1 255.255.255.252 ip nat inside no shutdown interface gigabitEthernet 0/0 ip address 62.15.18.2 255.255.255.248 ip access-group ACCESS-TO-ISP out ip nat outside** / отметим интерфейс подключенный к внешней сети **no shutdown** Задание шлюза по умолчанию: **ip route 0.0.0.0 0.0.0.0 62.15.18.1** Создание правила для статического NAT: **ip nat inside source static 10.10.10.2 62.15.18.2** 6. Выполните команду ping с Server1 на PC0. ![](https://i.imgur.com/9vXxbEN.png) *Рисунок 2 – Ping с Server1 на PC0* Рассмотрите структуру пакета на границе с публичной сетью. Что изменилось в составе пакета? ![](https://i.imgur.com/xpwCWa3.png) *Рисунок 3 – Входящий пакет с Server1 на R1* ![](https://i.imgur.com/TxtakZf.png) *Рисунок 4 – Выходящий пакет с R1 на PC0* Как мы видим, Source IP на входящем в R1 пакете равен 10.10.10.2. А уже при выходе с R1 Source IP был подменён на IP адрес, который мы задали при помощи статической трансляции адресов. 7. Выполните команду ping с PC0 на Server1. ![](https://i.imgur.com/J6ZvErl.png) Рисунок 5 – Ping с PC0 на Server1 Рассмотрите структуру пакета на границе с публичной сетью. Что изменилось в составе пакета? ![](https://i.imgur.com/5fVmTyA.png) Рисунок 6 – Входящий пакет с PC0 на R1 ![](https://i.imgur.com/4cI9DHl.png) Рисунок 7 – Входящий пакет с R1 на Server1 Как мы видим, Destination IP на входящем в R1 пакете равен 65.15.18.2. А уже при выходе с R1 Destination IP был подменён на IP адрес, который мы задали при помощи статической трансляции адресов. 8. Зайдите на веб-страничку сервера. 10. Проанализируйте таблицу активных трансляций на R1 с помощью команды: show ip nat translations ![](https://i.imgur.com/wU73BmW.png) Рисунок 8 – Таблица активных трансляций маршрутизатора R1 Как мы видим, маршрутизатор создаёт таблицу, в которой указывает внутренний локальный, внутренний глобальный, внешний локальный и внешний глобальный адреса, а также тип пакета. Создание пула и правила для PAT: / cоздание пула адресов DNAT **ip nat pool DNAT 62.15.18.3 62.15.18.6 netmask 255.255.255.248 ip nat inside source list NAT pool DNAT overload** 10. Выполните команду ping с PC1 на PC0. Рассмотрите структуру пакета на границе с публичной сетью. Что изменилось в составе пакета? ![](https://i.imgur.com/KmaE00Y.png) Рисунок 9 – Смена Source IP при переходе пакета от PC0 на PC1 ![](https://i.imgur.com/1GaruA1.png) Рисунок 10 – Смена Source IP при переходе пакета от PC0 на PC1 При пинге с PC1 на PC0 Source IP адрес ICMP пакета, идущего к PC0, на границе с публичной сетью меняется на IP адрес из пула 62.15.18.3 – 62.15.18.6. 11. Выполните команду ping с PC0 на PC1. Объясните результат. При пинге с PC0 на PC1 IP адрес ICMP пакета, идущего к PC1, на границе с публичной сетью не меняется, но при возвращении ICMP пакета на границе с публичной сетью меняется Source IP, т.е. вместо IP адреса PC1 подставляется IP адрес из пула 62.15.18.3 – 62.15.18.6. ![](https://i.imgur.com/0q9BPZO.png) Рисунок 11 – Смена Source IP при переходе пакета от PC1 на PC0 ![](https://i.imgur.com/J1z0YkG.png) Рисунок 12 – Смена Source IP при переходе пакета от PC1 на PC0 12. Выполните команду ping с PC2 на PC0. Объясните результат. ![](https://i.imgur.com/kn67kkI.png) Рисунок 13 – Ping с PC2 на PC0 Как мы видим, возникает ошибка из-за того, что при составлении списка доступа NAT, мы не учитывали адреса из сети, которой принадлежит PC2. 13. Проанализируйте таблицу активных трансляций на R1 с помощью команды: show ip nat translations ![](https://i.imgur.com/A3ll1CD.png) Рисунок 8 – Таблица активных трансляций маршрутизатора R1 Как мы видим, маршрутизатор создаёт таблицу, в которой указывает внутренний локальный, внутренний глобальный, внешний локальный и внешний глобальный адреса, а также тип пакета. **Вывод:** мы научились использовать статическую и динамическую трансляцию адресов.