04.构建复杂办公网-2

项目四构建复杂办公网(任务5-任务7),中小型网络组建技术,项目四构建复杂办公网,任务4保障办公网交换设备,任务1扩展办公网络,任务3办公网全网互通,任务6保障区域网络安全:ACL,任务7用VPN保障网络安全,任务2隔离办公网络干扰,任务5初识路由器,任务5初识路由器,2001年某学校校园网络改造后，扩充更多信息点以满足师生员工对网络的需求，网络的范围也不断扩大，需要划分很多子网实现网络效率。在简单交换网络中，很少使用路由器来实现不同网络互连。校园网中更多使用三层交换机替代路由器安装在网络中。路由器作用是连通不同网络，选择快捷近路通信，大大提高速度，减轻网络系统负荷，提高网络畅通率，让网络系统发挥出更大效益来。随着Internet迅猛发展，为解决不同类型网络之间互相连通，路由器成为网络中最重要设备。,一任务分析,路由器是互联网中不可少网络设备之一。连接多个网络或网段，将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂，从而构成一个更大的网络。校园网中更多使用三层交换机替代路由器安装在网络中，提高传输效率。随着Internet发展，为解决不同类型网络之间的互相连通，路由器成为网络中最重要的设备。,二相关知识:使用路由器改善校园网,网络层互联设备-路由器,路由器物理硬件构造,路由器内存体系介绍,ROM相当于PC机的BIOSFLASH相当于PC机硬盘,包含IOSNVRAM保存配置文件随机存储器除RAM以外，所有这些类型的存储器都是永久性存储器。,路由器接口组成,路由器配置接口,路由器接口,局域网接口,AUI接口(同轴电缆)RJ-45接口SC接口(光纤),路由器接口,广域网接口,高速同步串口(serial)异步串口(ASYNC)-modemISDNBRI端口(BRI),路由器的硬件连接,路由器与局域网的连接100MbpsFastEthernet:100BaseTX-使用5类UTP和1类STP，传输100M，距离100米。100BaseFX-使用光纤，传输100M，距离400米。,路由器的硬件连接,路由器与广域网的连接,用户设备,DTE,DCE,服务提供商,DTE,在DCE端必须配置时钟频率Router(config)#interfaceS0Router(config-if)#Clockrate64000,路由器的配置访问方式,通过带外对路由器进行管理(PC与交换机控制线直接相连)-通过Telnet对路由器进行远程管理通过Web对路由器进行远程管理通过SNMP工作站对路由器进行远程管理通过AUX和MODEM对路由器进行远程管理(PC与交换机网络线直接相连),路由器的配置端口,Console端口的连接方式计算机配置路由器，必须使用反转线,将路由器的Console口与计算机的串口连接在一起。AUX端口的连接方式通过Modem之类的拨号设备，以远程方式实现对路由器的配置时，就需要采用AUX端口进行。AUX接口在外观与RJ-45一样，只是里面所对应的电路秒同，实现的功能也不同而已。根据Modem的端口情况不同，来确定通过AUX端口与Modem进行连接，也必须借助于RJ-45-to-DB9或RJ-45-to-DB25的收发器。RJ45端口的连接方式,常用的路由器配置方法,带外路由器配置,波特率：9600数据位：8停止位：1无校验，无流量控制,路由器配置命令模式,用户模式Router特权模式Router#全局模式Router(config)#端口模式Router(config-if)#线程配置模式Router(config-line)#路由协议配置模式Router(config-router)#,基本配置模式介绍,一般用户模式,特权用户模式,全局配置模式,接口配置模式,路由协议配置,访问列表配置,其他子配置,以太口配置,串口配置,拨号接口配置,RIP协议配置,OSPF协议配置,标准访问控制列表,扩展访问控制列表,E1接口配置,用户模式Router路由器信息的查看，简单测试命令特权模式Router#查看、管理路由器配置信息，测试、调试,路由器配置命令模式,进入配置模式Router#configureterminalRouter(config)#线路配置模式Router(config-line)#路由协议配置模式Router(config-router)#配置接口参数Router(config-if)#,路由器的操作模式:配置模式,1.进入全局配置模式下Red-Giant#configureterminal2.进入线路配置模式Red-Giant(config)#linevty04Red-Giant(config-line)#exitRed-Giant(config)#3.进入接口配置模式Red-Giant(config)#interfaceserial0Red-Giant(config-if)#exitRed-Giant(config)#4.进入路由协议配置模式Red-Giant(config)#routerripRed-Giant(config-router)#,路由器的操作模式:配置模式,Red-Giant#configureterminalRed-Giant(config)#hostnameR2620R2620(config)#,配置主机名,查看配置情况,控制台,IOS,showstartup-config,showrunning-config,将配置参数保存到NVRAM中,Config,Config,RAM,NVRAM,查看版本以及引导信息：showversion查看运行配置：showrunning-config查看开机装入配置：showstartup-config显示FLASH的文件信息：showflash显示路由协议信息：showiproute查看端口配置：showinterfacetypeslot/number显示接口的状态showinterfaces显示接口的摘要信息showipinterfacebrief,路由器查看常用的命令,显示当前运行的配置参数Red-Giant#showrunning-config显示NVRAM中配置参数的副本Red-Giant#showstartup-config将配置信息保存到NVRAMRed-Giant#write删除NVRAM中配置信息Red-Giant#erasestartup-config注：eraseflash为删除操作系统,常用路由器show命令,配置特权密码Red-Giant(config)#enablepasswordstarRed-Giant(config)#enablesecretstar,配置路由器特权口令,注：Password为不加密，当showrun可以看到明文密码，而Secret为加密，当showrun看到的是密文。如果同时配置这两个密码，则Secret生效。,配置console登陆密码Red-Giant(config)#lineconsole0Red-Giant(config-line)#loginRed-Giant(config-line)#passwordstar配置VTY登陆密码Red-Giant(config)#linevty04Red-Giant(config-line)#loginRed-Giant(config-line)#passwordstar,配置路由器登陆口令,配置接口IP地址Red-Giant(config)#interfacefa0/1Red-Giant(config-if)#ipaddressRed-Giant(config-if)#noshutdown将接口关闭Red-Giant(config-if)#shutdown,路由器接口配置命令,RouterenableRouter#configterminalRouter(config)#ints0Router(config-if)#ipaddressRouter(config-if)#clockrate64000Router(config-if)#noshutdownRouter(config-if)#Z,路由器串口配置命令,接口IP地址配置的基本原则,路由器的物理网络端口需要有一个IP地址相邻路由器的相邻端口IP地址在同一网段同一路由器不同端口在不同网段上,路由器接口显示命令,Red-Giant#showinterfacesserial0serial0isup,lineprotocolisup(表示物理层协议正常)(表示数据链路层协议正常)serial0isup,lineprotocolisdown(表示物理层协议正常)(表示数据链路层协议不正常)serial0isdown,lineprotocolisdown(表示物理层协议不正常)serial0isadministrativelydown,lineprotocolisdown(表示从管理上将该接口处于关闭状态),配置文件的管理,保存文件:将当前运行的参数保存到flash中用于系统初始化时初始化参数。Router#copyrunning-configstartup-configRouter#writememoryRouter#writeRouter#showrunning-config。Router#erasestartup-config擦除初始配置文件，注意不能用eraseflash命令,任务实施：初识路由器,【网络场景】,方圆职业技术学院为满足学校发展建设需求，除原来的老校区外，又合并了附近地区的一所中专学校。由于学校老校园和新并入的校园都建有独立的网络，使用不同的子网段规划地址，造成了两个校区不能互相连通。希望通过路由设备，实现两个校园网络连通,任务实施：初识路由器,【施工拓扑】,【施工设备】多任务模块化路由器（1台）、测试PC（若干台）。,【操作步骤】步骤1安装网络工作环境，连接网络中连接的设备步骤2测试网络连通步骤3配置路由器步骤4验证测试：,任务实施：初识路由器,任务6保障区域网络安全:ACL技术,校园网络扩建工程完成后，由于只在接入交换机上实施了端口安全控制技术，没有实施部门网之间安全策略和分校区网络之间安全策略，网络建成不久就面临一堆问题：有老师反映办公网访问流量过大，每天上午都造成网络堵塞；有老师报告说有学生登录到教师网查看试卷；又有报告说有学生向FTP服务器上传垃圾文件网络管理员整天被这些安全事件搞得焦头烂额。为了保证校园网的整体安全，保障校园网为广大师生员工提供有效服务，在专业技术人员指导下，网络中心重新进行安全规划，首先实施了一系列访问控制列表安全技术措施，以维护校园网的安全，其中包括禁止学生宿舍网访问行政办公网，但允许学生访问教师网，共享网络资源；同时为方便教师办公，在教师网中安装一台FTP服务器，提供教师之间共享服务，这台FTP服务器禁止学生访问。,一任务分析：,二相关知识,访问控制列表技术是一种重要的软件防火墙技术，配置在网络互联设备上，为网络提供安全保护功能。访问控制列表中包含了一组安全控制和检查的命令列表，一般应用在交换机或者路由器接口上，这些指令列表告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。至于什么样特征的数据包被接收还是被拒绝，可以由数据包中携带的源地址、目的地址、端口号、协议等包的特征信息来决定。访问控制列表技术通过对网络中所有的输入和输出访问数据流进行控制，过滤掉网络中非法的未授权的数据服务，限制通过网络中的流量流，对通信信息起到控制的手段，提高网络安全性能。,ISP,什么是访问列表,ACL对经过设备的数据包，根据一定的规则，进行数据包的过滤。,FTP,访问列表的组成,定义访问列表的步骤第一步：定义规则（哪些数据允许通过，哪些不允许）第二步：将规则应用在设备接口上访问控制列表的分类：1、标准2、扩展3、命名（标准扩展）访问控制列表规则元素源IP、目的IP、源端口、目的端口、协议、服务,访问列表规则的应用,访问列表对流经接口的数据包进行控制：1.入栈应用（in）2.出栈应用（out）,ACL的基本准则,一切未被允许的就是禁止的。路由器缺省允许所有的信息流通过;防火墙缺省封锁所有的信息流，对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许、拒绝”,Y,拒绝,Y,是否匹配测试条件1?,允许,N,拒绝,允许,是否匹配测试条件2?,拒绝,是否匹配最后一个测试条件?,Y,Y,N,Y,Y,允许,被系统隐含拒绝,N,一个访问列表多个测试条件,标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,ACL分类,标准访问列表只根据源IP地址，进行数据包的过滤。,学生网段,校领导网段,教研网段,三任务实施（一）配置路由器标准访问控制列表,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99号列表,IP标准访问列表（2）,1、定义标准ACLRouter(config)#access-listpermit|deny源地址反掩码Switch(config)#Ipaccess-listpermit|deny源地址反掩码2、应用ACL到接口Router(config-if)#ipaccess-group|namein|out,access-list1permit55(access-list1deny55)interfaceserial0ipaccess-group1out,,,F0,S0,F1,Internet,IP标准访问列表配置（3）,只允许网络中的计算机访问互联网络,IP标准访问列表配置技术,阻止5主机通过E0访问网络，而允许其他的机器访问Router（config）#access-list1denyhost5Router（config）#access-list1permitanyRouter（config）#interfaceethernet0Router（config-if）#ipaccess-group1in,0表示检查相应的地址比特1表示不检查相应的地址比特,0,0,0,0,0,0,0,0,反掩码（通配符）,通配符掩码是一个32比特位。其中0表示“检查相应的位”，1表示“不检查相应的位”。,在IP子网掩码中，数字1和0用来决定是网络，还是主机的IP地址。通配符掩码与子网掩码工作原理是不同的。如表示这个网段，使用通配符掩码应为55。在通配符掩码用55表示所有IP地址，全为1说明所有32位都不检查，这是可以用any来取代。的通配符掩码则表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。,三任务实施（一）配置路由器标准访问控制列表,【任务场景】如图4-42所示的网络拓扑是该校学生网和行政办公网网络的工作场景，要实现学生网（）和行政办公网（）的隔离，禁止来自学生网中的主机访问学院的行政办公网络，可以在其中R1路由器上做标准ACL技术控制，以实现网络之间的隔离。实际校园网的工作场景是在核心交换机上实施标准ACL技术，本项目的解决方法是为了体现网络数据流的控制技术，选择路由器作为问题的解决方案，更容易理解和实现。【工程拓扑】,三任务实施（一）配置路由器标准访问控制列表,【任务目标】在校园网路由器上配置标准ACL，保护网络部分区域安全。【材料清单】路由器（2台）、网络连线（若干根）、测试PC（2台）、配置PC（1台）。【地址规划】,三任务实施（一）配置路由器标准访问控制列表,【实施步骤】步骤1连接设备步骤2配置行政办公网络路由器R1步骤3配置学生网络的路由器R2步骤4测试从学生网到行政办公网的连通性步骤5禁止学生网访问行政办公网（1）在路由器R1配置标准ACL控制规则。（2）在路由器R1的Fa1/0端口上使用编制好的ACL控制规则。（3）使用ping命令测试连通性,三任务实施（二）配置路由器扩展访问控制列表,扩展ACL可以根据数据包内的源、目的地址，应用服务进行过滤。,邮件server,WEBserver,目的地址,源地址,协议,端口号,100-199号列表,TCP/UDP,数据,IP,eg.HDLC,IP扩展访问列表,IP扩展访问列表的配置,1、定义扩展的ACLRouter(config)#access-listpermit/deny协议源地址反掩码源端口目的地址反掩码目的端口2、应用ACL到接口Router(config-if)#ipaccess-group|namein|out,IP扩展访问列表配置实例1,允许网络内所有主机访问HTTP服务器，拒绝其它主机使用网络。Switch(config)#access-list111permittcp55hosteqwwwSwitch#showaccess-lists,IP扩展访问列表配置实例2,Router(config)#access-list101permittcpanyhosteqsmtpRouter(config)#access-list101permittcpanyhosteqwww第一个语句允许来自任何主机的TCP报文到达特定主机的smtp服务端口(25)。第二个语句允许任何来自任何主机的TCP报文到达指定的主机的www或http服务端口(80)。,三任务实施（二）配置路由器扩展访问控制列表,【任务目标】在校园网的路由器上配置扩展ACL，保护教师网络中FTP服务器的安全；【材料清单】路由器（2台）、网络连线（若干根）、测试PC（2台）、配置PC（1台）。【地址规划】,三任务实施（二）配置路由器扩展访问控制列表,【实施步骤】步骤1按照项目实施（一）连接设备、配置教师网的路由器R1、配置学生网的路由器R2、测试从学生网到教师网的连通性。步骤2禁止学生网访问教师网中的FTP服务器（1）在路由器R2上配置扩展ACL控制规则（2）在路由器R2的Fa1/0端口上使用编制好的ACL控制规则步骤3【网络测试】没有在路由器R2上实施扩展ACL列表技术前，从学生网络的测试主机上，使用Ping测试命令，可以实现网络的连通。Ping！（可以通信）由于需要实施网络措施安全，在路由器R2上实施扩展ACL列表技术，从学生网络的测试主机上，使用Ping测试命令，无法实现网络的连通。Ping（无法通信）,三任务实施（二）配置路由器扩展访问控制列表,【任务场景】如图4-49所示的网络拓扑是该校学生网和行政办公网网络的工作场景，要实现教师网（）和学生网（）之间的互相连通，但不允许学生网访问教师网中的FTP服务器，可以在路由器R2上做扩展ACL技术控制，以实现网络之间的隔离。实际校园网的工作场景是在核心交换机上实施扩展的ACL技术，本项目的解决方法是为了体现网络数据流的控制技术，选择路由器作为问题的解决方案，更容易理解和实现。【工程拓扑】,三任务实施（三）配置交换机命名访问控制列表,该校为了实现学院内部网络中，不同网络中用户之间安全防范促施，学院需要实现学生网和行政办公网的隔离，需要在三层交换机上做标准命名ACL技术控制，以实现网络之间的隔离。以编号来区分ACL称为编号访问控制列表，编号ACL在应用时，如果需要取消一条ACL规则，在指定接口上使用noaccess-listnumber命令即可完成。但如果需要修改其中的某一条指令时，无法进行，需要取消全部重新编制才能达到目的。在应用的过程中很不方便。此外针对同一个协议，在同一接口上超过100条ACL规则时，编号ACL将出现超过限度溢出的情况。命名ACL很好地解决这一问题，命名ACL不使用编号而使用字符串来定义规则。在网络管理过程中，随时根据网络变化修改某一条规则，调整用户访问权限。命名ACL也包括标准和扩展两种类型，语句指令格式与编号ACL相似。通过字符串组成的名字直观地表示特定ACL。不受编号ACL中100条限制。可以方便的对ACL进行修改，无需删除重新配置。,命名访问控制列表,1、定义命名的扩展ACLipaccess-listextendednamedeny|permitprotocolsourcewildcarddestinationwildcardoperatorport2、应用ACL到接口Router(config-if)#ipaccess-groupnamein|out,在3550-24上连着提供WWW和FTP的服务器，还连接学生宿舍楼网络和教工宿舍楼网络学校规定学生只能对服务器进行FTP访问，不能进行WWW访问，教工则没有此限制。,命名访问控制列表示例,配置命名扩展IP访问控制列表3550-24(config)#ipaccess-listextendeddenystudentwww3550-24(config-ext-nacl)#denytcp5555eqwww3550-24(config-ext-nacl)#permitipanyany把访问控制列表在接口下应用(交换机上只有IN方向)3550-24(config)#intvlan30(VLAN是双向的)3550-24(config-if)#ipaccess-groupdenystudentwwwin,命名访问控制列表示例,访问列表的验证,显示全部的访问列表Router#showaccess-lists显示指定的访问列表Router#showaccess-lists显示接口的访问列表应用Router#showipinterface,访问列表的注意事项,1、在进行规则匹配时，从上至下，匹配成功马上停止，不会继续匹配下面的规则。2、所有访问列表默认规则是拒绝所有数据包3、处理方式只有允许通过和拒绝通过4、锐捷路由器只能编写编号方式的规则5、锐捷交换机只能编写命名方式的规则6、一个端口在某一方向只能应用一组访问列表,【任务场景】,图所示的网络拓扑图是该校学生网和行政办公网网络工作场景，要禁止学生网（）访问行政办公网（）中的设备，需要在三层交换机上做标准命名ACL技术控制，以实现网络之间的隔离。,三任务实施（三）配置交换机命名访问控制列表,【网络拓扑】,【任务目标】在校园网的三层交换机上配置标准命名ACL，保护行政办公网的安全；【材料清单】交换机（2台）、网络连线（若干根）、测试PC（2台）、配置PC（1台）。【地址规划】,三任务实施（三）配置交换机命名访问控制列表,【实施步骤】步骤1连接部门网络设备步骤2测试网络连通性步骤3规划地址信息重新规划不同部门网络设备，学院学生网和行政办公网中设备网络地址规划如下表。步骤4配置交换机步骤5重新测试网络连通性步骤6禁止学生网访问行政办公网步骤7重新测试网络连通性,三任务实施（三）配置交换机命名访问控制列表,练习,如图4-51所示网络拓扑图是该校学生网和行政办公网网络工作场景，学生网的子网地址为/24，行政办公网的子网地址为/24。为方便教师的教学需要，在行政办公网络内搭建了FTP服务器，提供教师资源共享，但禁止学生访问该服务器。现在需要在行政办公网络的三层交换机上实施命名的扩展ACL技术，要允许学生网访问行政办公网中的设备，但禁止学生访问行政办公网中FTP服务器，以保障网络之间的安全隔离。,任务7VPN保障网络安全连接,张明是该校计算机专业毕业的学生，目前张明所工作的公司，在全国均建有独立分公司，各分司都拥有自己的网络，通过Internet和总公司连接为一体。由于公司业务的增长，业务人员需要频繁出差。张明在该校的校园网络资源时直接通过Internet就可以实现，但张明在出差时访问公司内网、邮件服务器等资源时，数据在Internet公网上传输，由于Internet网络的开放性，公司数据传输安全没有方法保障，因此公司启用VPN私有专用网络。这就使得张明在公司外面通过Internet网络访问公司网络资源时，需要通过启动VPN技术和公司建立专用数据通道，实现安全访问公司内部资源。,任务分析：VPN保障网络安全连接,二相关知识,VPN（VirtualPrivateNetwork）技术也就是虚拟专用网技术，顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。,LAN与LAN之间彼此孤立,虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”：是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。,为什么使用VPN,？,用户的需求,用户的需求是虚拟专用网技术诞生的直接原因随着Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题。因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络，因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。自身的的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。,信息在传输中可能泄密,数据被黑客窃听,总部,分支机构,移动用户A,黑客,我的密码是CAF,我的密码是CAF,VPN的需求之一：数据机密性保护,移动用户B,Internet,信息在传输中可能失真,总部,分支机构,移动用户A,黑客,同意2000元成交,VPN的需求之二：数据完整性保护,移动用户B,Internet,黑客篡改数据,同意5000元成交,信息的来源可能伪造的,总部,分支机构,黑客,交易服务器,VPN的需求之三：数据源发性保护,移动用户,Internet,谁是真的Bob？,我是Bob，请求交易,“我是Bob”，请求交易,信息传输的成本可能很高,移动用户A,PSTN,PSTN,长途拨号：010-163,市话拨号：163,上海的拨号服务器,上海,北京的拨号服务器,10010010101010,数据在公网传输不安全？,长途拨号，成本太高？,VPN的需求之四：降低远程传输成本,Internet,使用VPN的优势,防止数据在公网传输中被窃听防止数据在公网传输中被篡改可以验证数据的真实来源成本低廉（相对于专线、长途拨号）应用灵活、可扩展性好,VPN的应用类型,AccessVPN（远程访问虚拟网）,AccessVPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。CA中心或者Radius服务器可对员工进行身份授权和验证，保证连接的安全。,VPN客户端,企业总部,VPN,Internet,移动用户,移动用户,移动用户,移动用户,VPN客户端,VPN客户端,VPN客户端,IntranetVPN（企业内部虚拟网）,企业的发展、机构网点的增加，使得网络的结构趋于复杂，链路费用昂贵。利用VPN特性，在Internet上组建世界范围内的IntranetVPN，保证信息在整个IntranetVPN上安全传输。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。,企业总部,分支机构,办事处,VPN,VPN,VPN,ExtranetVPN（企业扩展虚拟网）,各个企业之间的合作关系也越来越多，信息交换日益频繁。利用VPN技术组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。,企业总部,分支机构,合作伙伴,合作伙伴,VPN的安全技术,四项技术,VPN主要采用四项技术来保证安全隧道技术（Tunneling）加解密技术（Encryption&Decryption）密钥管理技术（KeyManagement）认证技术（Authentication）,隧道技术,隧道技术的基本过程是在源局域网与公用网的接口处将局域网发送的数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公用网上传输的数据格式中，在目的局域网与公用网的接口处将公用网的数据解封装后，取出负载即源局域网发送的数据向目的局域网传输。由于封装与解封装只在两个接口处由设备按照隧道协议配置进行，局域网中的其他设备将不会觉察到这一过程。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。,加解密技术1,现代密码学中，加密算法被分为对称加密算法和非对称加密算法。对称加密算法采用同一个密钥进行加密和解密，优点是速度快，但密钥的分发与交换不便于管理。对称加密算法：国际数据加密算法（IDEA：InternationalDataEncryptionAlgorithm）：128位长密钥，把64位的明文块加密成64位的密文块。DES和3DES加密算法(TheDataEncryptionStandard):DES有64位长密钥,实际上只使用56位密钥。AES：Rijndial加密算法,加解密技术2,使用不对称加密算法加密时，通讯各方使用两个不同的密钥,一个是只有发送方知道的私有密钥，另一个则是对应的公开密钥，任何人都可以获得公开密钥。私有密钥和公开密钥在加密算法上相互关联，一个用于数据加密，另一个用于数据解密。由于不对称加密运算量大，一般用于加密对称加密算法中使用的密钥。不对称加密还有一个重要用途即数字签名。不对称加密算法RSA椭圆曲线制算法,密钥管理技术,密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。,认证技术,认证技术可以区分真实数据与伪造、被篡改过的数据。认证协议一般都要采用一种称为摘要的技术。摘要技术主要是采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。验证数据的完整性。发送方将数据报文和报文摘要一同发送,接收方通过计算报文摘要,与发来摘要比较,相同则说明报文未经修改。用户认证。该功能实际上是上一种功能的延伸。当一方希望验证对方，但又不希望验证秘密在网络上传送，这时一方可以发送一段随机报文，要求对方将秘密信息连接上该报文作摘要后发回，接收方可以通过验证摘要是否正确来确定对方是否拥有秘密信息，从而达到验证对方的目的。常用的HASH函数有MD5，SHA-1等。,任务实施：VPN保障网络安全连接,【网络场景】,张明工作的公司，在全国均建有独立分公司，拥有自己的网络，通过Internet和总公司连接为一体。由于Internet网络开放性，公司数据传输安全没有方法保障，因此公司启用VPN私有专用网络。张明在出差时访问公司内网、邮件服务器以及通过Internet网络访问公司网络资源时，需要通过启动VPN技术和公司建立专用数据通道，实现安全访问公司内部资源。因此需要在张明的个人计算机上建立VPN连接技术右图所示的网络拓扑图是张明在出差途中，需要利用VPN技术，通过Internet和公司网络连接的工作场景。由于公司的安全需要，建立了VPN网络环境，因此张明需要在自己的计算机上安装VPN客户端连接，实现和公司网络的安全访问。,任务实施：（一）配置客户端VPN连接技术,【网络拓扑】,【任务目标】在客户机上安装VPN客户端连接，实现和公司的安全访问.【施工设备】PC（1台）、VPN帐号（1个）,任务实施：（一）配置客户端VPN连接技术,【配置过程】右键单击网络邻居，在网络连接中创建一个新的连接在新建时可能会有如下提示，选择不拨初始链接在网络连接类型中选择“连接到我的工作场所的网络”，之后在网络连接选项中选择创建“虚拟专用网连接”，连接名填写ruijie便可。VPN服务器选择页面将VPN服务器地址填入最后选择在桌面创建快捷方式，单击“完成”按钮运行桌面的快捷方式，输入用户名口令，单击连接单击连接之后，系统会进行拨号拨号连接上之后，便会在右下角出现一个连接,任务实施：（一）配置客户端VPN连接技术,【任务背景】总部设在北京的国内某人寿保险公司，总部使用“用友U8”财务管理软件，网络应用服务器放置在总部局域网内。为了保证财务数据安全，总部要求全国分支机构的终端系统，通过Internet建立虚拟专用网络对总部局域网内的应用服务器进行远程安全访问。广州公司的财务总监王总需要访问北京公司服务器资源，王总在广州必须通过先和公司建立VPN隧道，获得访问内部服务器资源的权利。【网络拓扑】,任务实施：（二）配置IPSecVPN隧道，熟悉移动办公下VPN隧道的建立,【任务背景】总部设在北京的国内某人寿保险公司，总部使用“用友U8”财务管理软件，网络应用服务器放置在总部局域网内。为了保证财务数据安全，总部要求全国分支机构的终端系统，通过Internet建立虚拟专用网络对总部局域网内的应用服务器进行远程安全访问。广州公司的财务总监王总需要访问北京公司服务器资源，王总在广州必须通过先和公司建立VPN隧道，获得访问内部服务器资源的权利。【网络拓扑】如图4-74所示的网络拓扑是北京国内某人寿保险公司建立在北京的财务服务器，广州公司的财务总监王总需要访问北京公司服务器资源，在外地和北京公司建立VPN连接的拓扑结构，希望通过Internet进行安全信息传输，访问北京公司内部的服务器资源。,任务实施：（二）配置IPSecVPN隧道，熟悉移动办公下VPN隧道的建立,【工程设备】,任务实施：（二）配置IPSecVPN隧道，熟悉移动办公下VPN隧道的建立,【工程过程】第1步配置北京总部VPN设备和服务器第2步配置客户机VPN接入北京总部VPN设备,任务实施：（二）配置IPSecVPN隧道，熟悉移动办公下VPN隧道的建立,实训项目1骨干链路聚合技术，实现网络高带宽,1实训目的与要求学会配置校园网络中骨干链路之间带宽，在主干链路之间使用双链路，采用聚合链路技术以保证网络高带宽。2实训内容实训内容为任务1中项目实施内容，按照规划任务内容，实施实训。3实训设备与材料二层交换机（1台）、三层交换机（1台）、网络线（若干根）、测试PC（若干台）。4实训拓扑如图4-17所示的方园职业技术学院计算机系办公楼接入拓扑所示意网络场景。5思考如图4-17所示的方园职业技术学院计算机系办公楼接入拓扑示意网络场景中，在项目实施中，如果骨干链路之间的聚合链路，不设置干道（trunk）技术，如何测试网络连通性？,实训项目2骨干链路冗余技术，实现网络稳定性,1实训目的与要求学会配置校园网络中骨干链路