Presentation is loading. Please wait.

Presentation is loading. Please wait.

第9讲:通过VPN访问企业网内部服务器设计讨论

Similar presentations


Presentation on theme: "第9讲:通过VPN访问企业网内部服务器设计讨论"— Presentation transcript:

1 第9讲:通过VPN访问企业网内部服务器设计讨论
网络技术实训 第9讲:通过VPN访问企业网内部服务器设计讨论 许成刚 信息技术学院

2 一、题目描述

3 通过VPN访问企业网内部服务器 1. 题目描述(1): 利用GNS3和VirtualBox进行设计;
企业网内共有4个部门,每个部门有50左右台电脑接入企业网,企 业网为三层架构; 各部门电脑分别属于不同子网,即不同VLAN; 部门1和部门2之间通过三层交换机RS1通信,部门3和部门4之间 通过三层交换机RS2通信。RS1和RS2通过路由器R4通信。

4 通过VPN访问企业网内部服务器 1. 题目描述(2): 企业网内部署有Web服务器,通过防火墙与边界路由器R3相连。
企业网内部署有VPN服务器,与边界路由器R3相连。 整个企业网通过边界路由器R3访问外网,其上联路由器是互联网 中的路由器R2。 企业网外部用户(即互联网用户),无法直接访问企业网内部的 Web服务器, 但可以通过路由器R2、R3,访问企业网的VPN服 务器,并通过VPN方式访问Web服务器。

5 通过VPN访问企业网内部服务器 1. 题目描述(3):
部门1和部门2的用户可以访问Web服务器,但部门3和部门4的用 户不能访问Web服务器。 企业网外部用户(即互联网用户),无法访问企业网内部各部门 的计算机。企业网内部各部门的计算机可以访问外部互联网。 企业网内部各部门的计算机如何获取IP地址,由学生自行设计。 VPN服务器和Web服务器的IP地址,由学生根据题意自行设计。

6 企业网接入互联网及边界防火墙部署设计 2. 实训要求 根据题目描述,自主设计项目实现方案,项目实现结果需要在实验室内向任课老师进行展示。
完成本实训项目的“《网络技术实训》课程综合实训项目报告”。并打印后提交任课教师。

7 讨论1 OPNsense的自身特点 LAN口和WAN口的配置特点 OPNsense的路由特性 OPNsense的NAT功能

8 步骤1: 按下图部署网络,配置IP地址,其他配置默认,测试网络连通性 说明:
/24 /24 WAN LAN /24 /24 说明: 1、OPNsense只配置了WAN和LAN端口的地址,其他是默认配置。 2、关闭了PC1和PC2的防火墙

9 步骤1:OPNsense默认配置分析 1、NAT功能并没有起作用。 没有NAT规则

10 步骤1:OPNsense默认配置分析 1、NAT功能并没有起作用。 此时,PC2 ping PC1是通,但在PC1上抓包,可以发现从PC2发来的数据包,并没有被NAT,因为源地址是 ,而不是WAN口的地址

11 2、端口规则设置中,WAN接口默认不允许来自外网私有地址的数 据包通过,LAN接口默认允许来自内网的私有地址的数据包通过。
步骤1:OPNsense默认配置分析 2、端口规则设置中,WAN接口默认不允许来自外网私有地址的数 据包通过,LAN接口默认允许来自内网的私有地址的数据包通过。 LAN接口:此处不打勾,表明LAN口允许从内网私有地址发来的报文通过 WAN接口:此处打勾,表明WAN口不允许从外部私有地址发来的报文通过

12 步骤1:OPNsense默认配置分析 3、防火墙规则中,WAN接口默认没有配置从外向内的规则,即不允 许从外向内访问;LAN接口默认配置了允许从内网向外网的访问规则。

13 步骤1:OPNsense默认配置分析 4、接口规则(interfaces)优先于防火墙规则 (rules);
默认配置下,在WAN口增加防火墙规则,此规则会自动置于接口规则(interfaces)之下,且不可改变顺序。因此,若WAN口配置的是私有地址,则即使在WAN口增加防火墙规则,允许any to any,但由于WAN口默认不允许来自外网私有地址的数据包通过,且接口规则优先,因此此时仍然无法实现从外网向内网访问。 LAN口不是这样,因为其接口规则中,默认的是允许内网中从私有地址发来的报文通过。

14 图1-7-1

15 图1-7-2 当此处打勾时,如果外部网也用的是私有地址,则阻断从外到内的通信,即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回

16 图1-7-3 即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回

17 步骤1:OPNsense默认配置分析 5、OPNsense内置路由转发;
取消WAN口的端口规则(interfaces)中,关于来源是私有IP地址的相关限制;增加WAN口防火墙规则,允许any to any,如上图。此时: PC1 ping PC2 通 / PC2 ping PC1 通 说明Opnsense内置路由功能,可实现内、外网之间的转发,准确的讲,应该是WAN口和LAN口之间的路由转发,还需要实验证明。

18 步骤2:默认配置测试连通性 序号 源主机/端口 目的主机/端口 Ping 结果 抓包 抓包位置 通 图1-1 图1-2 图1-3 请求超时
PC2 LAN口 图1-1 2 WAN口 图1-2 3 PC1 图1-3 4 请求超时 图1-4 5 图1-5 6 图1-6

19 步骤1:测试连通性 序号 源主机/端口 目的主机/端口 Ping 结果 分析 通 请求超时 1 PC2 LAN口 2 WAN口 3 PC1
OPNsense只要配置好WAN和LAN端口地址,内置路由转发 4 请求超时 5 OPNsense在默认配置下,不允许从外向内的主动通信,但允许PC2访问PC1时的返回报文。(图1-7) 6

20 图1-1 返回

21 图1-2 返回

22 图1-3 返回

23 图1-4 返回

24 图1-5 返回

25 图1-6 返回

26 图1-7-1

27 图1-7-2 当此处打勾时,如果外部网也用的是私有地址,则阻断从外到内的通信,即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回

28 图1-7-3 即使在防火墙模块中,增加了WAN口的策略(rules),允许any to any,依然无法实现外网PC与WAN口的通信。 返回

29 讨论2 OPNsense的VPN功能 单一OPNsense连接内、外网配置分析

30 步骤3: 配置好VPN server 和VPN客户端,但是不启用VPN, PC1 ping PC2的抓包 WAN LAN
/24 /24

31 步骤3: 配置好VPN server 和VPN客户端,但是不启用VPN, PC1 ping PC2的抓包 返回

32 步骤3: 配置好VPN server 和VPN客户端,但是不启用VPN, PC1 ping PC2的抓包 抓包分析

33 步骤4: 启用VPN, PC1 ping PC2的抓包 抓包分析

34 讨论3 OPNsense的VPN功能 内、外间过路由器,OPNsense的VPN配置分析 OPNsense仅用一个接口(单臂)

35 步骤5: 单臂VPN 抓包分析

36 R1 R2 SW1 SW2 VPN PC2 PC1 f1/0 f1/1 f1/1 f1/0 61.1.1.1 10.0.0.1/24
/24 /24 SW1 SW2 PC2 PC1 VPN /24 /24 /24 /24

37 PC1 08-00-27-CE-88-37 PC2 08-00-27-A6-88-89 R1-f1/0 CA-08-04-90-00-1C
端口 MAC地址 PC1 CE-88-37 PC2 A R1-f1/0 CA C R1-f1/1 CA D R2-f1/0 CA-09-1D-FC-00-1C R2-f1/1 CA-09-1D-FC-00-1D VPN-LAN E VPN-WAN D-8A

38 OPNsense设置:VPN PPTP server

39 OPNsense设置:VPN PPTP server

40 OPNsense设置:VPN PPTP server

41 OPNsense设置:VPN PPTP server

42 OPNsense设置:Firewall Rules—— WAN接口

43 OPNsense设置:Firewall Rules—— LAN接口

44 OPNsense设置:Firewall Rules—— PPTP VPN

45 OPNsense设置:接口设置(Interfaces)—— WAN接口设置

46 OPNsense设置:System-Routing—— 设置网关 Gateways
由于VPN客户端是通过路由访问到VPN服务器的,所以必须在OPNsense中设置回指路由。

47 OPNsense设置:System-Routing—— 设置路由 Routes
由于VPN客户端是通过路由访问到VPN服务器的,所以必须在OPNsense中设置回指路由。

48 讨论4 OPNsense的VPN功能 内、外间过路由器,OPNsense的VPN配置分析 OPNsense仅用一个接口(单臂)

49 步骤6: 单臂VPN and 不同网段 抓包分析

50 步骤6: 单臂VPN and 不同网段 ③ ① ② 10.0.0.1/24 10.0.0.2/24 172.16.100.1/24
/24 /24 /24 /24 配置VPN VPN /24 /24

51 步骤6: 单臂VPN and 不同网段 /24 /24 /24 /24 /24 /24 /24 配置VPN VPN /24 /24

52 步骤6: 单臂VPN and 不同网段

53 步骤6: R1的配置 单臂VPN and 不同网段 R1中需要配置到达172.16.100.0/24网段的路由吗?
/24 /24 /24 /24 /24 /24 /24 配置VPN R1的配置 VPN /24 /24

54 步骤6: R2的配置 单臂VPN and 不同网段 172.16.100.1/24 10.0.0.1/24 10.0.0.2/24
/24 /24 /24 /24 配置VPN R2的配置 VPN /24 /24

55 思考: VPN服务器在给客户端分配IP地址时,是分配192.168.1.0/24的地址,还是分配172.16.100.0/24的地址?

56 步骤6: 单臂VPN and 不同网段 OPNsense设置:VPN PPTP server

57 步骤6: 单臂VPN and 不同网段 OPNsense设置:VPN PPTP server

58 步骤6: 单臂VPN and 不同网段 VPN服务器在给客户机分配IP地址时,分配 /24的地址

59 讨论5 实训2中,外网中的网络拓扑如何设计? 外网的IP地址如何设计?私有IP?共有IP地址?
外网中的用户如何访问到企业网的边界路由器R3? 外网中的路由器的路由表如何设计?

60 讨论6 实训2中,内网中的部门网络拓扑如何设计? 部门网络的路由器,其路由表如何设计? 部门网络如何接入互联网?NAT?路由?
思考前期的实训内容

61 讨论7 实训2中,内网中Web服务器所在网络拓扑如何设计? 防火墙的WAN口和LAN口如何设计? Web服务器所在网络的IP地址如何设计

62 讨论8 实训2中,内网中VPN服务器所在网络拓扑如何设计? VPN(OPNsense)的接口如何设置? VPN所在网络的IP地址如何设计?

63 讨论9 实训2中,整个企业网的网络拓扑如何设计? 企业网的边界路由器的路由表如何设计?

64 讨论10 实训2中,不启用VPN时: 企业网内部的通信情况分析 互联网用户访问企业网内部设备的情况分析

65 讨论11 实训2中,启用VPN时: 企业网内部的通信情况分析 互联网用户访问企业网内部设备的情况分析

66 讨论12 实训2中,测试方案的分析 NAT效果分析 防火墙效果分析 VPN效果分析

67 Thank


Download ppt "第9讲:通过VPN访问企业网内部服务器设计讨论"

Similar presentations


Ads by Google