第9讲:通过VPN访问企业网内部服务器设计讨论

Slides:



Advertisements
Similar presentations
维普考试服务平台使用指南. 资源与应用的有机整合 资源与应用并举。 职业资格考试、高校课 程试题、在线考试、移 动应用 4 个模块。 在线考试与系统题库资 源的完美整合。 1 多模块 2 在线考试 3 移动端 移动端的资源复用。
Advertisements

网络管理员考证辅导 —— 真题解析 广东水利电力职业技术学院 计算机系 温海燕
NAT与ICMP交互.
企业产品成本核算制度(试行) 培训课件 河北涿州 2013年11月15日.
会计从业资格 会计电算化 精讲班 主讲老师:黄德建.
实验一 DHCP服务的配置   实验目的:掌握DHCP服务的安装、配置和使用 实验内容:DHCP服务器的配置,DHCP客户机的配置
构建中型网络.
第7章 資訊與生涯及資訊的末來發展 7-1 資訊與生涯發展 7-2 資訊的未來發展.
计算机网络基础知识与日常维护 池州学院 刘玉艳.
说网络技术专业 江苏联合职业技术学院徐州财经分院 王 磊.
大理 你一生不能不到的地方 组员:施绍敏 韩水仙 李佳丽 张仲媛.
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 03 交换机干道技术 计算机网络技术专业.
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 02 认识虚拟局域网 计算机网络技术专业.
模块四 网络设备选型.
热烈欢迎 华容县各位领导参加教育信息化网络培训! 2015年8月.
第7章 网络互联技术.
2.3 网络域名及其管理.
实验八 配置动态路由-OSPF协议.
引言 路由器的主要工作就是为经过路由器的每个 IP数据报/分组 寻找一条最佳传输路径(寻径),并将该数据有效地传送到目的站点(转发)。
2017/4/6 课程整体设计 计算机组网技术 梁建华.
第17章 实现路由器.
计算机网络技术基础(第三版) 主编:尚晓航 高等教育出版社
第2章内容回顾 STP作用 STP的工作原理 PVST与CST的区别 PVST的配置 STP如何通过计算选择出被阻塞的端口
项目四 组建跨地区网络 授课教师:肖颖.
第4章 计算机组网设备 (二) 计算机系统与网络技术.
VOLANS认证培训 ——DNS域名解析.
宽带路由器配置与应用.
主要内容: 路由和路由器 NAT技术简介 D_LINK 604路由设备的初始配置 设计网络连接拓扑图 使用ADSL简单路由设备共享上网
服务器搭建与应用 模块七 配置路由和远程访问服务器 任务一 配置NAT服务器.
(BPO、电销、客服) 海德森IPCC纯软件呼叫中心方案
Cell organized Distributed File Storage
格物资讯开放ICON库 V1R1.
交换 Cisco三层模型 交换机基本配置 VLAN VTP.
第二讲 搭建Java Web开发环境 主讲人:孙娜
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
管理信息结构SMI.
实用组网技术 第一章 网络基础知识.
HL-013 访问控制列表和地址转换 ISSUE 5.1 江西陶瓷工艺美术职业技术学院.
無線路由器(AP)管理.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
格物资讯开放ICON库 V0R2.
LAN设计 LAN交换和无线 – 第一章.
项目三 构建小型办公网络网络实现文件服务 项目描述
E地通VPN设备部署.
第六次全国人口普查 近期数据处理工作部署 夏雨春 2010年12月28日.
常見網路設備簡介 A 周緯龍.
SOA – Experiment 2: Query Classification Web Service
VLAN间路由 LAN 交换及无线–第 6 章.
大学计算机基础 5-4 局域网组成.
2018 资产管理处 采购系统简介.
第四章 团队音乐会序幕: 团队协作平台的快速创建
实验七 安全FTP服务器实验 2019/4/28.
电子经费卡用户使用方法 浙江大学图书与信息中心.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
本节内容 类成员的访问控制 视频提供:昆山爱达人信息技术有限公司 官网地址: 联系QQ: QQ交流群 : 联系电话:
电子经费卡用户使用方法 浙江大学图书与信息中心.
大数据 西默路由器功能指导配置 上海西默通信技术有限公司
数据报分片.
谢聪.
实验九、基于ASPF的安全 检测实验 实验开发教师:谌黔燕.
网络技术实训 第7讲:网络安全实训 许成刚 信息技术学院
格物资讯ICON发布 V0R3.
网络技术实训 第8讲:NAT防火墙设计讨论 许成刚 信息技术学院
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
实验六静态路由.
四路视频编码器 快速安装手册 1、接口说明 2、安装连接 3、软件下载 4、注意事项 编码器软件下载地址
VLAN间路由 LAN 交换及无线–第 6 章.
Presentation transcript:

第9讲:通过VPN访问企业网内部服务器设计讨论 网络技术实训 第9讲:通过VPN访问企业网内部服务器设计讨论 许成刚 信息技术学院 2018.10

一、题目描述

通过VPN访问企业网内部服务器 1. 题目描述(1): 利用GNS3和VirtualBox进行设计; 企业网内共有4个部门,每个部门有50左右台电脑接入企业网,企 业网为三层架构; 各部门电脑分别属于不同子网,即不同VLAN; 部门1和部门2之间通过三层交换机RS1通信,部门3和部门4之间 通过三层交换机RS2通信。RS1和RS2通过路由器R4通信。

通过VPN访问企业网内部服务器 1. 题目描述(2): 企业网内部署有Web服务器,通过防火墙与边界路由器R3相连。 企业网内部署有VPN服务器,与边界路由器R3相连。 整个企业网通过边界路由器R3访问外网,其上联路由器是互联网 中的路由器R2。 企业网外部用户(即互联网用户),无法直接访问企业网内部的 Web服务器, 但可以通过路由器R2、R3,访问企业网的VPN服 务器,并通过VPN方式访问Web服务器。

通过VPN访问企业网内部服务器 1. 题目描述(3): 部门1和部门2的用户可以访问Web服务器,但部门3和部门4的用 户不能访问Web服务器。 企业网外部用户(即互联网用户),无法访问企业网内部各部门 的计算机。企业网内部各部门的计算机可以访问外部互联网。 企业网内部各部门的计算机如何获取IP地址,由学生自行设计。 VPN服务器和Web服务器的IP地址,由学生根据题意自行设计。

企业网接入互联网及边界防火墙部署设计 2. 实训要求 根据题目描述,自主设计项目实现方案,项目实现结果需要在实验室内向任课老师进行展示。 完成本实训项目的“《网络技术实训》课程综合实训项目报告”。并打印后提交任课教师。

讨论1 OPNsense的自身特点 LAN口和WAN口的配置特点 OPNsense的路由特性 OPNsense的NAT功能

步骤1: 按下图部署网络,配置IP地址,其他配置默认,测试网络连通性 说明: 172.16.100.1/24 10.0.0.1/24 WAN LAN 172.16.100.2/24 10.0.0.2/24 说明: 1、OPNsense只配置了WAN和LAN端口的地址,其他是默认配置。 2、关闭了PC1和PC2的防火墙

步骤1:OPNsense默认配置分析 1、NAT功能并没有起作用。 没有NAT规则

步骤1:OPNsense默认配置分析 1、NAT功能并没有起作用。 此时,PC2 ping PC1是通,但在PC1上抓包,可以发现从PC2发来的数据包,并没有被NAT,因为源地址是10.0.0.2,而不是WAN口的地址172.16.100.1

2、端口规则设置中,WAN接口默认不允许来自外网私有地址的数 据包通过,LAN接口默认允许来自内网的私有地址的数据包通过。 步骤1:OPNsense默认配置分析 2、端口规则设置中,WAN接口默认不允许来自外网私有地址的数 据包通过,LAN接口默认允许来自内网的私有地址的数据包通过。 LAN接口:此处不打勾,表明LAN口允许从内网私有地址发来的报文通过 WAN接口:此处打勾,表明WAN口不允许从外部私有地址发来的报文通过

步骤1:OPNsense默认配置分析 3、防火墙规则中,WAN接口默认没有配置从外向内的规则,即不允 许从外向内访问;LAN接口默认配置了允许从内网向外网的访问规则。

步骤1:OPNsense默认配置分析 4、接口规则(interfaces)优先于防火墙规则 (rules); 默认配置下,在WAN口增加防火墙规则,此规则会自动置于接口规则(interfaces)之下,且不可改变顺序。因此,若WAN口配置的是私有地址,则即使在WAN口增加防火墙规则,允许any to any,但由于WAN口默认不允许来自外网私有地址的数据包通过,且接口规则优先,因此此时仍然无法实现从外网向内网访问。 LAN口不是这样,因为其接口规则中,默认的是允许内网中从私有地址发来的报文通过。

图1-7-1

图1-7-2 当此处打勾时,如果外部网也用的是私有地址,则阻断从外到内的通信,即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回

图1-7-3 即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回

步骤1:OPNsense默认配置分析 5、OPNsense内置路由转发; 取消WAN口的端口规则(interfaces)中,关于来源是私有IP地址的相关限制;增加WAN口防火墙规则,允许any to any,如上图。此时: PC1 ping PC2 通 / PC2 ping PC1 通 说明Opnsense内置路由功能,可实现内、外网之间的转发,准确的讲,应该是WAN口和LAN口之间的路由转发,还需要实验证明。

步骤2:默认配置测试连通性 序号 源主机/端口 目的主机/端口 Ping 结果 抓包 抓包位置 通 图1-1 图1-2 图1-3 请求超时 PC2 LAN口 通 图1-1 2 WAN口 图1-2 3 PC1 图1-3 4 请求超时 图1-4 5 图1-5 6 图1-6

步骤1:测试连通性 序号 源主机/端口 目的主机/端口 Ping 结果 分析 通 请求超时 1 PC2 LAN口 2 WAN口 3 PC1 OPNsense只要配置好WAN和LAN端口地址,内置路由转发 4 请求超时 5 OPNsense在默认配置下,不允许从外向内的主动通信,但允许PC2访问PC1时的返回报文。(图1-7) 6

图1-1 返回

图1-2 返回

图1-3 返回

图1-4 返回

图1-5 返回

图1-6 返回

图1-7-1

图1-7-2 当此处打勾时,如果外部网也用的是私有地址,则阻断从外到内的通信,即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回

图1-7-3 即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回

讨论2 OPNsense的VPN功能 单一OPNsense连接内、外网配置分析

步骤3: 配置好VPN server 和VPN客户端,但是不启用VPN, PC1 ping PC2的抓包 WAN LAN 172.16.100.2/24 10.0.0.2/24

步骤3: 配置好VPN server 和VPN客户端,但是不启用VPN, PC1 ping PC2的抓包 返回

步骤3: 配置好VPN server 和VPN客户端,但是不启用VPN, PC1 ping PC2的抓包 抓包分析

步骤4: 启用VPN, PC1 ping PC2的抓包 抓包分析

讨论3 OPNsense的VPN功能 内、外间过路由器,OPNsense的VPN配置分析 OPNsense仅用一个接口(单臂)

步骤5: 单臂VPN 抓包分析

R1 R2 SW1 SW2 VPN PC2 PC1 f1/0 f1/1 f1/1 f1/0 61.1.1.1 10.0.0.1/24 10.0.0.2/24 192.168.1.1/24 SW1 SW2 PC2 PC1 VPN 61.1.1.10/24 61.1.1.20/24 192.168.1.254/24 192.168.1.10/24

PC1 08-00-27-CE-88-37 PC2 08-00-27-A6-88-89 R1-f1/0 CA-08-04-90-00-1C 端口 MAC地址 PC1 08-00-27-CE-88-37 PC2 08-00-27-A6-88-89 R1-f1/0 CA-08-04-90-00-1C R1-f1/1 CA-08-04-90-00-1D R2-f1/0 CA-09-1D-FC-00-1C R2-f1/1 CA-09-1D-FC-00-1D VPN-LAN 08-00-27-05-27-8E VPN-WAN 08-00-27-58-2D-8A

OPNsense设置:VPN PPTP server

OPNsense设置:VPN PPTP server

OPNsense设置:VPN PPTP server

OPNsense设置:VPN PPTP server

OPNsense设置:Firewall Rules—— WAN接口

OPNsense设置:Firewall Rules—— LAN接口

OPNsense设置:Firewall Rules—— PPTP VPN

OPNsense设置:接口设置(Interfaces)—— WAN接口设置

OPNsense设置:System-Routing—— 设置网关 Gateways 由于VPN客户端是通过路由访问到VPN服务器的,所以必须在OPNsense中设置回指路由。

OPNsense设置:System-Routing—— 设置路由 Routes 由于VPN客户端是通过路由访问到VPN服务器的,所以必须在OPNsense中设置回指路由。

讨论4 OPNsense的VPN功能 内、外间过路由器,OPNsense的VPN配置分析 OPNsense仅用一个接口(单臂)

步骤6: 单臂VPN and 不同网段 抓包分析

步骤6: 单臂VPN and 不同网段 ③ ① ② 10.0.0.1/24 10.0.0.2/24 172.16.100.1/24 61.1.1.1/24 192.168.1.1/24 172.16.100.10/24 ① ② 192.168.1.10/24 配置VPN VPN 61.1.1.20/24 192.168.1.254/24

步骤6: 单臂VPN and 不同网段 10.0.0.1/24 172.16.100.1/24 10.0.0.2/24 61.1.1.1/24 192.168.1.1/24 172.16.100.10/24 192.168.1.10/24 配置VPN VPN 61.1.1.20/24 192.168.1.254/24

步骤6: 单臂VPN and 不同网段

步骤6: R1的配置 单臂VPN and 不同网段 R1中需要配置到达172.16.100.0/24网段的路由吗? 10.0.0.1/24 172.16.100.1/24 10.0.0.2/24 61.1.1.1/24 192.168.1.1/24 172.16.100.10/24 192.168.1.10/24 配置VPN R1的配置 VPN 61.1.1.20/24 192.168.1.254/24

步骤6: R2的配置 单臂VPN and 不同网段 172.16.100.1/24 10.0.0.1/24 10.0.0.2/24 61.1.1.1/24 192.168.1.1/24 172.16.100.10/24 192.168.1.10/24 配置VPN R2的配置 VPN 61.1.1.20/24 192.168.1.254/24

思考: VPN服务器在给客户端分配IP地址时,是分配192.168.1.0/24的地址,还是分配172.16.100.0/24的地址? 192.168.1.200 ? 172.16.100.200 ?

步骤6: 单臂VPN and 不同网段 OPNsense设置:VPN PPTP server

步骤6: 单臂VPN and 不同网段 OPNsense设置:VPN PPTP server

步骤6: 单臂VPN and 不同网段 VPN服务器在给客户机分配IP地址时,分配172.16.100.0/24的地址

讨论5 实训2中,外网中的网络拓扑如何设计? 外网的IP地址如何设计?私有IP?共有IP地址? 外网中的用户如何访问到企业网的边界路由器R3? 外网中的路由器的路由表如何设计?

讨论6 实训2中,内网中的部门网络拓扑如何设计? 部门网络的路由器,其路由表如何设计? 部门网络如何接入互联网?NAT?路由? 思考前期的实训内容

讨论7 实训2中,内网中Web服务器所在网络拓扑如何设计? 防火墙的WAN口和LAN口如何设计? Web服务器所在网络的IP地址如何设计

讨论8 实训2中,内网中VPN服务器所在网络拓扑如何设计? VPN(OPNsense)的接口如何设置? VPN所在网络的IP地址如何设计?

讨论9 实训2中,整个企业网的网络拓扑如何设计? 企业网的边界路由器的路由表如何设计?

讨论10 实训2中,不启用VPN时: 企业网内部的通信情况分析 互联网用户访问企业网内部设备的情况分析

讨论11 实训2中,启用VPN时: 企业网内部的通信情况分析 互联网用户访问企业网内部设备的情况分析

讨论12 实训2中,测试方案的分析 NAT效果分析 防火墙效果分析 VPN效果分析

Thank