构建复杂办公网

1、项目四 构建复杂办公网(任务5-任务7),中小型网络组建技术,项目四 构建复杂办公网,任务4 保障办公网交换设备,任务1 扩展办公网络,任务3 办公网全网互通,任务6 保障区域网络安全:ACL,任务7 用VPN保障网络安全,任务2 隔离办公网络干扰,任务5 初识路由器,任务5 初识路由器,2001年某学校校园网络改造后，扩充更多信息点以满足师生员工对网络的需求，网络的范围也不断扩大，需要划分很多子网实现网络效率。在简单交换网络中，很少使用路由器来实现不同网络互连。校园网中更多使用三层交换机替代路由器安装在网络中。 路由器作用是连通不同网络，选择快捷近路通信，大大提高速度，减轻网络系统负荷，提高

2、网络畅通率，让网络系统发挥出更大效益来。随着Internet迅猛发展，为解决不同类型网络之间互相连通，路由器成为网络中最重要设备。,一 任务分析,路由器是互联网中不可少网络设备之一。连接多个网络或网段，将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂，从而构成一个更大的网络。 校园网中更多使用三层交换机替代路由器安装在网络中，提高传输效率。 随着Internet发展，为解决不同类型网络之间的互相连通，路由器成为网络中最重要的设备。,二 相关知识:使用路由器改善校园网,网络层互联设备-路由器,路由器物理硬件构造,路由器内存体系介绍, ROM 相当于PC机的BIOS FLASH

3、 相当于PC机硬盘,包含IOS NVRAM 保存配置文件 随机存储器 除RAM以外，所有这些类型的存储器都是永久性存储器。,路由器接口组成,路由器配置接口,路由器接口,局域网接口,AUI接口(同轴电缆) RJ-45接口 SC接口(光纤),路由器接口,广域网接口,高速同步串口(serial) 异步串口(ASYNC)-modem ISDN BRI端口 (BRI),路由器的硬件连接, 路由器与局域网的连接 100Mbps FastEthernet: 100BaseTX-使用5类UTP和1类STP，传输100M，距离100米。 100BaseFX-使用光纤，传输100M，距离400米。,路由器的硬件连

4、接, 路由器与广域网的连接,用户设备,DTE,DCE,服务提供商,DTE,在DCE端必须配置时钟频率 Router(config)#interface S0 Router(config-if)#Clock rate 64000,路由器的配置访问方式,通过带外对路由器进行管理 (PC 与交换机控制线直接相连) - 通过Telnet 对路由器进行远程管理 通过Web 对路由器进行远程管理 通过SNMP 工作站对路由器进行远程管理 通过AUX和MODEM对路由器进行远程管理 (PC 与交换机网络线直接相连),路由器的配置端口, Console端口的连接方式 计算机配置路由器，必须使用反转线,将路由器

5、的Console口与计算机的串口连接在一起。 AUX端口的连接方式 通过Modem之类的拨号设备，以远程方式实现对路由器的配置时，就需要采用AUX端口进行。 AUX接口在外观与RJ-45一样，只是里面所对应的电路秒同，实现的功能也不同而已。 根据Modem的端口情况不同，来确定通过AUX端口与Modem进行连接，也必须借助于RJ-45-to-DB9或RJ-45-to-DB25的收发器。 RJ45端口的连接方式,常用的路由器配置方法,带外路由器配置,波特率：9600 数据位：8 停止位：1 无校验，无流量控制,路由器配置命令模式,用户模式 Router 特权模式 Router # 全局模式 Ro

6、uter(config)# 端口模式 Router(config-if)# 线程配置模式 Router(config-line)# 路由协议配置模式 Router(config-router)#,基本配置模式介绍,一般用户模式,特权用户模式,全局配置模式,接口配置模式,路由协议配置,访问列表配置,其他子配置,以太口配置,串口配置,拨号接口配置,RIP协议配置,OSPF协议配置,标准访问控制列表,扩展访问控制列表,E1 接 口 配 置, 用户模式 Router 路由器信息的查看，简单测试命令 特权模式 Router # 查看、管理路由器配置信息，测试、调试,路由器配置命令模式, 进入配置模式 R

7、outer#configure terminal Router(config)# 线路配置模式 Router(config-line)# 路由协议配置模式 Router(config-router)# 配置接口参数 Router(config-if)#,路由器的操作模式:配置模式,1.进入全局配置模式下Red-Giant#configure terminal 2.进入线路配置模式Red-Giant(config)#line vty 0 4Red-Giant(config-line)#exitRed-Giant(config)# 3.进入接口配置模式Red-Giant(config)#inter

8、face serial 0Red-Giant(config-if)#exitRed-Giant(config)# 4.进入路由协议配置模式 Red-Giant(config)#router rip Red-Giant(config-router)#,路由器的操作模式:配置模式,Red-Giant# configure terminal Red-Giant(config)#hostname R2620 R2620(config)#,配置主机名,查看配置情况,控制台,IOS,show startup-config,show running-config,将配置参数保存到NVRAM中,Config,

9、Config,RAM,NVRAM,查看版本以及引导信息： show version 查看运行配置： show running-config 查看开机装入配置： show startup-config 显示FLASH的文件信息： show flash 显示路由协议信息： show ip route 查看端口配置： show interface type slot/number 显示接口的状态 show interfaces 显示接口的摘要信息 show ip interface brief,路由器查看常用的命令,显示当前运行的配置参数Red-Giant#show running-config 显

10、示NVRAM中配置参数的副本Red-Giant#show startup-config 将配置信息保存到NVRAMRed-Giant#write 删除NVRAM中配置信息Red-Giant#erase startup-config 注：erase flash为删除操作系统,常用路由器show命令, 配置特权密码 Red-Giant(config)#enable password star Red-Giant(config)#enable secret star,配置路由器特权口令,注： Password为不加密，当show run可以看到明文密码， 而Secret为加密，当show run看到

11、的是密文。 如果同时配置这两个密码，则Secret生效。, 配置console登陆密码Red-Giant(config)#line console 0Red-Giant(config-line)#loginRed-Giant(config-line)#password star 配置VTY登陆密码Red-Giant(config)#line vty 0 4Red-Giant(config-line)#loginRed-Giant(config-line)#password star,配置路由器登陆口令,配置接口IP地址 Red-Giant(config)#interface fa0/1 Red

12、-Giant(config-if)#ip address Red-Giant(config-if)#no shutdown 将接口关闭Red-Giant(config-if)#shutdown,路由器接口配置命令,Routerenable Router#config terminal Router(config)#int s0 Router(config-if)#ip address Router(config-if)#clock rate 64000 Router(config-if)#n

13、o shutdown Router(config-if)#Z,路由器串口配置命令,接口IP地址配置的基本原则,路由器的物理网络端口需要有一个IP地址 相邻路由器的相邻端口IP地址在同一网段 同一路由器不同端口在不同网段上,路由器接口显示命令, Red-Giant#show interfaces serial 0 serial0 is up, line protocol is up (表示物理层协议正常) (表示数据链路层协议正常) serial0 is up, line protocol is down (表示物理层协议正常) (表示数据链路层协议不正常) serial0 is down, l

14、ine protocol is down (表示物理层协议不正常) serial0 is administratively down, line protocol is down (表示从管理上将该接口处于关闭状态),配置文件的管理,保存文件: 将当前运行的参数保存到flash 中用于系统初始化时初始化参数。 Router#copy running-config startup-config Router#write memory Router#write Router#show running-config。 Router#erase startup-config 擦除初始配置文件，注意不能

15、用erase flash命令,任务实施：初识路由器,【网络场景】,方圆职业技术学院为满足学校发展建设需求，除原来的老校区外，又合并了附近地区的一所中专学校。 由于学校老校园和新并入的校园都建有独立的网络，使用不同的子网段规划地址，造成了两个校区不能互相连通。希望通过路由设备，实现两个校园网络连通,任务实施：初识路由器,【施工拓扑】,【施工设备】 多任务模块化路由器（1台）、测试PC（若干台）。,【操作步骤】 步骤1 安装网络工作环境， 连接网络中连接的设备 步骤2 测试网络连通 步骤3 配置路由器 步骤4 验证测试：,任务实施：初识路由器,任务6 保障区域网络安全:ACL技术,校园网络扩建工程

16、完成后，由于只在接入交换机上实施了端口安全控制技术，没有实施部门网之间安全策略和分校区网络之间安全策略，网络建成不久就面临一堆问题：有老师反映办公网访问流量过大，每天上午都造成网络堵塞；有老师报告说有学生登录到教师网查看试卷；又有报告说有学生向FTP服务器上传垃圾文件网络管理员整天被这些安全事件搞得焦头烂额。 为了保证校园网的整体安全，保障校园网为广大师生员工提供有效服务，在专业技术人员指导下，网络中心重新进行安全规划，首先实施了一系列访问控制列表安全技术措施，以维护校园网的安全，其中包括禁止学生宿舍网访问行政办公网，但允许学生访问教师网，共享网络资源；同时为方便教师办公，在教师网中安装一台F

17、TP服务器，提供教师之间共享服务，这台FTP服务器禁止学生访问。,一任务分析：,二 相关知识,访问控制列表技术是一种重要的软件防火墙技术，配置在网络互联设备上，为网络提供安全保护功能。 访问控制列表中包含了一组安全控制和检查的命令列表，一般应用在交换机或者路由器接口上，这些指令列表告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。至于什么样特征的数据包被接收还是被拒绝，可以由数据包中携带的源地址、目的地址、端口号、协议等包的特征信息来决定。 访问控制列表技术通过对网络中所有的输入和输出访问数据流进行控制，过滤掉网络中非法的未授权的数据服务，限制通过网络中的流量流，对通信信息起到控制的手段，提高

18、网络安全性能。,ISP,什么是访问列表, ACL对经过设备的数据包，根据一定的规则，进行数据包的过滤。,FTP,访问列表的组成, 定义访问列表的步骤 第一步：定义规则（哪些数据允许通过，哪些不允许） 第二步：将规则应用在设备接口上 访问控制列表的分类： 1、标准 2、扩展 3、命名（标准扩展） 访问控制列表规则元素 源IP、目的IP、源端口、目的端口、协议、服务,访问列表规则的应用,访问列表对流经接口的数据包进行控制： 1. 入栈应用（in） 2. 出栈应用（out）,ACL的基本准则, 一切未被允许的就是禁止的。 路由器缺省允许所有的信息流通过; 防火墙缺省封锁所有的信息流，对希望提供的服务

19、逐项开放。 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝”,Y,拒绝,Y,是否匹配测试条件1 ?,允许,N,拒绝,允许,是否匹配测试条件2 ?,拒绝,是否匹配最后一个测试条件?,Y,Y,N,Y,Y,允许,被系统隐含拒绝,N,一个访问列表多个测试条件, 标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,ACL分类, 标准访问列表 只根据源IP地址，进行数据包的过滤。,学生网段,校领导网段,教研网段,三 任务

20、实施 （一）配置路由器标准访问控制列表,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表（2）,1、定义标准ACL Router(config)# access-list permit |deny 源地址 反掩码 Switch(config)# Ip access-list permit |deny 源地址 反掩码 2、应用ACL到接口 Router(config-if)#ip access-group |name in | out ,access-list 1 permit 55 (access-list 1 deny

21、 55) interface serial 0 ip access-group 1 out,,,F0,S0,F1,Internet ,IP标准访问列表配置（3）,只允许网络中的计算机访问互联网络,IP标准访问列表配置技术,阻止5主机通过E0访问网络，而允许其他的机器访问 Router（config） # access-list 1 deny host 5 Router（config） # access-list 1 permit

22、any Router（config） # interface ethernet 0 Router（config-if） # ip access-group 1 in,0表示检查相应的地址比特 1表示不检查相应的地址比特,0,0,0,0,0,0,0,0,反掩码（通配符）,通配符掩码是一个32比特位。其中0表示“检查相应的位”，1表示“不检查相应的位”。,在IP子网掩码中，数字1和0用来决定是网络，还是主机的IP地址。 通配符掩码与子网掩码工作原理是不同的。如表示这个网段，使用通配符掩码应为55。 在通配符掩码用55表示所有IP地址，

23、全为1说明所有32位都不检查，这是可以用any来取代。 的通配符掩码则表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。,三 任务实施 （一）配置路由器标准访问控制列表,【任务场景】 如图4-42所示的网络拓扑是该校学生网和行政办公网网络的工作场景，要实现学生网（）和行政办公网（）的隔离，禁止来自学生网中的主机访问学院的行政办公网络，可以在其中R1路由器上做标准ACL技术控制，以实现网络之间的隔离。 实际校园网的工作场景是在核心交换机上实施标准ACL技术，本项目的解决方法是为了体现网络数据流的控制技术，选择路由器作为问

24、题的解决方案，更容易理解和实现。 【工程拓扑】,三 任务实施 （一）配置路由器标准访问控制列表,【任务目标】 在校园网路由器上配置标准ACL，保护网络部分区域安全。 【材料清单】 路由器（2台）、网络连线（若干根）、测试PC（2台）、配置PC（1台）。 【地址规划】,三 任务实施 （一）配置路由器标准访问控制列表,【实施步骤】 步骤1 连接设备 步骤2 配置行政办公网络路由器R1 步骤3 配置学生网络的路由器R2 步骤4 测试从学生网到行政办公网的连通性 步骤5 禁止学生网访问行政办公网 （1）在路由器R1配置标准ACL控制规则。 （2）在路由器R1的Fa1/0端口上使用编制好的ACL控制规则

25、。 （3）使用ping命令测试连通性,三 任务实施 （二）配置路由器扩展访问控制列表, 扩展ACL可以根据数据包内的源、目的地址，应用服务进行过滤。,邮件server,WEBserver,目的地址,源地址,协议,端口号,100-199号列表,TCP/UDP,数据,IP,eg.HDLC,IP扩展访问列表,IP扩展访问列表的配置,1、定义扩展的ACL Router(config)# access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 2、应用ACL到接口 Router(config-if)#ip access-group |name in |

26、 out ,IP扩展访问列表配置实例1,允许网络内所有主机访问HTTP服务器，拒绝其它主机使用网络。 Switch (config)# access-list 111 permit tcp 55 host eq www Switch # show access-lists,IP扩展访问列表配置实例2,Router(config)#access-list 101 permit tcp any host eq smtp Router(config)#access

27、-list 101 permit tcp any host eq www 第一个语句允许来自任何主机的TCP报文到达特定主机的smtp服务端口(25)。第二个语句允许任何来自任何主机的TCP报文到达指定的主机的www或http服务端口(80)。,三 任务实施 （二）配置路由器扩展访问控制列表,【任务目标】 在校园网的路由器上配置扩展ACL，保护教师网络中FTP服务器的安全； 【材料清单】 路由器（2台）、网络连线（若干根）、测试PC（2台）、配置PC（1台）。 【地址规划】,三 任务实施 （二）配置路由器扩展访问控制列表,【实

28、施步骤】 步骤1 按照项目实施（一）连接设备、配置教师网的路由器R1、配置学生网的路由器R2 、测试从学生网到教师网的连通性。 步骤2 禁止学生网访问教师网中的FTP服务器 （1）在路由器R2上配置扩展ACL控制规则 （2）在路由器R2的Fa1/0端口上使用编制好的ACL控制规则 步骤3【网络测试】 没有在路由器R2上实施扩展ACL列表技术前，从学生网络的测试主机上，使用Ping测试命令，可以实现网络的连通。 Ping ！ （可以通信） 由于需要实施网络措施安全，在路由器R2上实施扩展ACL列表技术，从学生网络的测试主机上，使用Ping测试命令，无法实现网络的连通。 Pi

29、ng （无法通信）,三 任务实施 （二）配置路由器扩展访问控制列表,【任务场景】 如图4-49所示的网络拓扑是该校学生网和行政办公网网络的工作场景，要实现教师网（）和学生网（）之间的互相连通，但不允许学生网访问教师网中的FTP服务器，可以在路由器R2上做扩展ACL技术控制，以实现网络之间的隔离。实际校园网的工作场景是在核心交换机上实施扩展的ACL技术，本项目的解决方法是为了体现网络数据流的控制技术，选择路由器作为问题的解决方案，更容易理解和实现。 【工程拓扑】,三 任务实施 （三）配置交换机命名访问控制列表,该校为了实现学院内部网络

30、中，不同网络中用户之间安全防范促施，学院需要实现学生网和行政办公网的隔离，需要在三层交换机上做标准命名ACL技术控制，以实现网络之间的隔离。 以编号来区分ACL称为编号访问控制列表，编号ACL在应用时，如果需要取消一条ACL规则，在指定接口上使用no access-list number 命令即可完成。但如果需要修改其中的某一条指令时，无法进行，需要取消全部重新编制才能达到目的。在应用的过程中很不方便。此外针对同一个协议，在同一接口上超过100条ACL规则时，编号ACL将出现超过限度溢出的情况。 命名ACL很好地解决这一问题，命名ACL不使用编号而使用字符串来定义规则。在网络管理过程中，随时根

31、据网络变化修改某一条规则，调整用户访问权限。命名ACL也包括标准和扩展两种类型，语句指令格式与编号ACL相似。 通过字符串组成的名字直观地表示特定ACL。 不受编号ACL中100条限制。 可以方便的对ACL进行修改，无需删除重新配置。,命名访问控制列表,1、定义命名的扩展ACL ip access-list extended name deny | permit protocolsource wildcard destination wildcard operator port 2、应用ACL到接口 Router(config-if)#ip access-group name in | out

32、 ,在3550-24上连着提供WWW和FTP的服务器，还连接学生宿舍楼网络和教工宿舍楼网络 学校规定学生只能对服务器进行FTP访问，不能进行WWW访问，教工则没有此限制。,命名访问控制列表示例, 配置命名扩展IP访问控制列表 3550-24(config) # ip access-list extended denystudentwww 3550-24(config-ext-nacl)# deny tcp 55 55 eq www 3550-24(config-ext-nacl)# permit ip any an

33、y 把访问控制列表在接口下应用(交换机上只有IN方向) 3550-24(config)# int vlan 30 (VLAN是双向的) 3550-24(config-if)# ip access-group denystudentwww in,命名访问控制列表示例,访问列表的验证,显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 显示接口的访问列表应用 Router#show ip interface ,访问列表的注意事项,1、在进行规则匹配时，从上至下，匹配成功马上停止，不会继续匹配下面的规则。 2、所

34、有访问列表默认规则是拒绝所有数据包 3、处理方式只有允许通过和拒绝通过 4、锐捷路由器只能编写编号方式的规则 5、锐捷交换机只能编写命名方式的规则 6、一个端口在某一方向只能应用一组访问列表,【任务场景】,图所示的网络拓扑图是该校学生网和行政办公网网络工作场景，要禁止学生网（）访问行政办公网（）中的设备，需要在三层交换机上做标准命名ACL技术控制，以实现网络之间的隔离。,三 任务实施 （三）配置交换机命名访问控制列表,【网络拓扑】,【任务目标】 在校园网的三层交换机上配置标准命名ACL，保护行政办公网的安全； 【材料清单】 交换机（2台）、网络连线（若干

35、根）、测试PC（2台）、配置PC（1台）。 【地址规划】,三 任务实施 （三）配置交换机命名访问控制列表,【实施步骤】 步骤1 连接部门网络设备 步骤2 测试网络连通性 步骤3 规划地址信息 重新规划不同部门网络设备，学院学生网和行政办公网中设备网络地址规划如下表。 步骤4 配置交换机 步骤5 重新测试网络连通性 步骤6 禁止学生网访问行政办公网 步骤7 重新测试网络连通性,三 任务实施 （三）配置交换机命名访问控制列表,练习,如图4-51所示网络拓扑图是该校学生网和行政办公网网络工作场景，学生网的子网地址为/24，行政办公网的子网地址为/24。为方便教

36、师的教学需要，在行政办公网络内搭建了FTP服务器，提供教师资源共享，但禁止学生访问该服务器。 现在需要在行政办公网络的三层交换机上实施命名的扩展ACL技术，要允许学生网访问行政办公网中的设备，但禁止学生访问行政办公网中FTP服务器，以保障网络之间的安全隔离。,任务7 VPN保障网络安全连接,张明是该校计算机专业毕业的学生，目前张明所工作的公司，在全国均建有独立分公司，各分司都拥有自己的网络，通过Internet和总公司连接为一体。由于公司业务的增长，业务人员需要频繁出差。张明在该校的校园网络资源时直接通过Internet就可以实现，但张明在出差时访问公司

37、内网、邮件服务器等资源时，数据在Internet公网上传输，由于Internet网络的开放性，公司数据传输安全没有方法保障，因此公司启用VPN私有专用网络。 这就使得张明在公司外面通过Internet网络访问公司网络资源时，需要通过启动VPN技术和公司建立专用数据通道，实现安全访问公司内部资源。,任务分析：VPN保障网络安全连接,二 相关知识,VPN（Virtual Private Network）技术也就是虚拟专用网技术，顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。,LAN与LAN之间彼此孤立,虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服

38、务提供商），在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。 IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”：是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。,为什么使用VPN,？,用户的需求,用户的需求是虚拟专用网技术诞生的直接原因 随着Internet和电子商务的蓬勃发展，经济全

39、球化的最佳途径是发展基于Internet的商务应用。 随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。 合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题。因为Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络，因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。 自身的的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在

40、连接分支机构方面也感到日益棘手。,信息在传输中可能泄密,数据被黑客窃听,总 部,分支机构,移动用户A,黑 客,我的密码是CAF,我的密码是CAF,VPN的需求之一： 数据机密性保护,移动用户B,Internet,信息在传输中可能失真,总 部,分支机构,移动用户A,黑 客,同意2000元成交,VPN的需求之二 ：数据完整性保护,移动用户B,Internet,黑客篡改数据,同意 5000 元成交,信息的来源可能伪造的,总 部,分支机构,黑 客,交易服务器,VPN的需求之三：数据源发性保护,移动用户,Internet,谁是真的Bob？,我是Bob，请求交易,“我是Bob”，请求交易,信息传输的成本可

41、能很高,移动用户A,PSTN,PSTN,长途拨号：010-163,市话拨号：163,上海的拨号服务器,上海,北京的拨号服务器,10010010101010,数据在公网传输不安全？,长途拨号，成本太高？,VPN的需求之四：降低远程传输成本,Internet,使用VPN的优势,防止数据在公网传输中被窃听 防止数据在公网传输中被篡改 可以验证数据的真实来源 成本低廉（相对于专线、长途拨号） 应用灵活、可扩展性好,VPN的应用类型,Access VPN（远程访问虚拟网）,Access VPN最适用于公司内部经常有流动人员远程办公的情况。 出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关

42、建立私有的隧道连接。 CA中心或者Radius服务器可对员工进行身份授权和验证，保证连接的安全。,VPN 客户端,企业总部,VPN,Internet,移动用户,移动用户,移动用户,移动用户,VPN 客户端,VPN 客户端,VPN 客户端,Intranet VPN（企业内部虚拟网）,企业的发展、机构网点的增加，使得网络的结构趋于复杂，链路费用昂贵。 利用VPN特性，在Internet上组建世界范围内的Intranet VPN，保证信息在整个Intranet VPN上安全传输。 企业拥有与专用网络的相同政策，包括安全、服务质量 (QoS)、可管理性和可靠性。,企业总部,分支机构,办事处,VPN,V

43、PN,VPN,Extranet VPN（企业扩展虚拟网）,各个企业之间的合作关系也越来越多，信息交换日益频繁。 利用VPN技术组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。,企业总部,分支机构,合作伙伴,合作伙伴,VPN的安全技术,四项技术,VPN主要采用四项技术来保证安全 隧道技术（Tunneling） 加解密技术（Encryption & Decryption） 密钥管理技术（Key Management） 认证技术（Authentication）,隧道技术,隧道技术的基本过程是在源局域网与公用网的接口处将局域网发送的数据(可以是IS

44、O七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公用网上传输的数据格式中，在目的局域网与公用网的接口处将公用网的数据解封装后，取出负载即源局域网发送的数据向目的局域网传输。 由于封装与解封装只在两个接口处由设备按照隧道协议配置进行，局域网中的其他设备将不会觉察到这一过程。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。,加解密技术 1,现代密码学中，加密算法被分为对称加密算法和非对称加密算法。 对称加密算法采用同一个密钥进行加密和解密，优点是速度快，但密钥的分发与交换不便于管理。 对称加密算法： 国际数据加

45、密算法（IDEA：International DataEncryption Algorithm）：128位长密钥，把64位的明文块加密成64位的密文块。 DES和3DES加密算法 (The Data Encryption Standard):DES有64位长密钥,实际上只使用56位密钥。 AES：Rijndial加密算法,加解密技术 2,使用不对称加密算法加密时，通讯各方使用两个不同的密钥,一个是只有发送方知道的私有密钥，另一个则是对应的公开密钥，任何人都可以获得公开密钥。 私有密钥和公开密钥在加密算法上相互关联，一个用于数据加密，另一个用于数据解密。 由于不对称加密运算量大，一般用于加密对称

46、加密算法中使用的密钥。不对称加密还有一个重要用途即数字签名。 不对称加密算法 RSA 椭圆曲线制算法,密钥管理技术,密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。 现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。 SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥； 在ISAKMP中，双方都有两把密钥，分别用于公用、私用。,认证技术,认证技术可以区分真实数据与伪造、被篡改过的数据。 认证协议一般都要采用一种称为摘要的技术。摘要技术主要是采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。 验证数据的完整性。发送方将

47、数据报文和报文摘要一同发送,接收方通过计算报文摘要,与发来摘要比较,相同则说明报文未经修改。 用户认证。该功能实际上是上一种功能的延伸。当一方希望验证对方，但又不希望验证秘密在网络上传送，这时一方可以发送一段随机报文，要求对方将秘密信息连接上该报文作摘要后发回，接收方可以通过验证摘要是否正确来确定对方是否拥有秘密信息，从而达到验证对方的目的。 常用的HASH函数有MD5，SHA-1等。,任务实施： VPN保障网络安全连接,【 网络场景】,张明工作的公司，在全国均建有独立分公司，拥有自己的网络，通过Internet和总公司连接为一体。由于Internet网络开放性，公司数据传输安全没有方法保障，

48、因此公司启用VPN私有专用网络。 张明在出差时访问公司内网、邮件服务器以及通过Internet网络访问公司网络资源时，需要通过启动VPN技术和公司建立专用数据通道，实现安全访问公司内部资源。因此需要在张明的个人计算机上建立VPN连接技术 右图所示的网络拓扑图是张明在出差途中，需要利用VPN技术，通过Internet和公司网络连接的工作场景。由于公司的安全需要，建立了VPN网络环境，因此张明需要在自己的计算机上安装VPN客户端连接，实现和公司网络的安全访问。,任务实施：（一）配置客户端VPN连接技术,【 网络拓扑】,【任务目标】 在客户机上安装VPN客户端连接，实现和公司的安全访问. 【施工设备

49、】 PC（1台）、VPN帐号（1个）,任务实施：（一）配置客户端VPN连接技术,【配置过程】 右键单击网络邻居，在网络连接中创建一个新的连接 在新建时可能会有如下提示，选择不拨初始链接 在网络连接类型中选择“连接到我的工作场所的网络”， 之后在网络连接选项中选择创建“虚拟专用网连接”， 连接名填写ruijie便可。 VPN服务器选择页面将VPN服务器地址填入 最后选择在桌面创建快捷方式，单击“完成”按钮 运行桌面的快捷方式，输入用户名口令，单击连接 单击连接之后，系统会进行拨号 拨号连接上之后，便会在右下角出现一个连接,任务实施：（一）配置客户端VPN连接技术,【任务背景】 总部设在北京的国内

50、某人寿保险公司，总部使用“用友U8”财务管理软件，网络应用服务器放置在总部局域网内。为了保证财务数据安全，总部要求全国分支机构的终端系统，通过Internet建立虚拟专用网络对总部局域网内的应用服务器进行远程安全访问。广州公司的财务总监王总需要访问北京公司服务器资源，王总在广州必须通过先和公司建立VPN隧道，获得访问内部服务器资源的权利。 【网络拓扑】,任务实施：（二）配置IPSec VPN隧道，熟悉移动办公下VPN隧道的建立,【任务背景】 总部设在北京的国内某人寿保险公司，总部使用“用友U8”财务管理软件，网络应用服务器放置在总部局域网内。为了保证财务数据安全，总部要求全国分支机构的终端系统

51、，通过Internet建立虚拟专用网络对总部局域网内的应用服务器进行远程安全访问。广州公司的财务总监王总需要访问北京公司服务器资源，王总在广州必须通过先和公司建立VPN隧道，获得访问内部服务器资源的权利。 【网络拓扑】 如图4-74所示的网络拓扑是北京国内某人寿保险公司建立在北京的财务服务器，广州公司的财务总监王总需要访问北京公司服务器资源，在外地和北京公司建立VPN连接的拓扑结构，希望通过Internet进行安全信息传输，访问北京公司内部的服务器资源。,任务实施：（二）配置IPSec VPN隧道，熟悉移动办公下VPN隧道的建立,【工程设备】,任务实施：（二）配置IPSec VPN隧道，熟悉移

52、动办公下VPN隧道的建立,【工程过程】 第1步 配置北京总部VPN设备和服务器 第2步 配置客户机VPN接入北京总部VPN设备 ,任务实施：（二）配置IPSec VPN隧道，熟悉移动办公下VPN隧道的建立,实训项目1 骨干链路聚合技术，实现网络高带宽,1实训目的与要求 学会配置校园网络中骨干链路之间带宽，在主干链路之间使用双链路，采用聚合链路技术以保证网络高带宽。 2实训内容 实训内容为任务1中项目实施内容，按照规划任务内容，实施实训。 3实训设备与材料 二层交换机（1台）、三层交换机（1台）、网络线（若干根）、测试PC（若干台）。 4实训拓扑 如图4-17所示的方园职业技术学院计算机系办公楼接入拓扑所示意网络场景。 5思考 如图4-17所示的方园职业技术学院计算机系办公楼接入拓扑示意网络场景中，在项目实施中，如果骨干链路之间的聚合链路，不设置干道（trunk）技术，如何测试网络连通性？,实训项目2 骨干链路冗余技术，实现网络稳定性,1实训目的与要求