第一篇：LINUX系統(tǒng)實(shí)驗(yàn)內(nèi)容——幾個(gè)常用服務(wù)的配置

實(shí) 驗(yàn) 目 錄

LINUX-Shell編程...................................................................................................................................1 LINUX shell命令

（一）........................................................................................................................6 LINUX shell命令

（二）......................................................................................................................15 LINUX網(wǎng)絡(luò)管理...................................................................................................................................30 配置DHCP服務(wù)器...............................................................................................................................40 LINUX啟動(dòng)設(shè)置驗(yàn)證和SAMBA服務(wù)器與客戶配置.......................................................................45 LINUX軟件安裝實(shí)驗(yàn)（JAVA和GCC）...........................................................................................54 Apache 服務(wù)器的配置（1）................................................................................................................58

內(nèi) 容

LINUX-Shell編程

一．簡單SHELL實(shí)驗(yàn)：請(qǐng)?jiān)趘i中逐一編輯并執(zhí)行以下6個(gè)shell腳本程序 1.編寫一個(gè)簡單的回顯用戶名的shell程序。#vi dat #!/bin/bash #filename:dat echo “Mr.$USER,Today is:” echo `date`

echo Wish you a lucky day!#chmod +x dat #./dat 2.使用if-then語句創(chuàng)建簡單的shell程序。#vi bbbb #!/bin/bash #filename:bbbb echo-n “Do you want to continue: Y or N” read ANSWER if [ $ANSWER = N-o $ANSWER = n ] then exit fi #chmod +x bbbb #./bbbb

3.使用if-then-else語句創(chuàng)建一個(gè)根據(jù)輸入的分?jǐn)?shù)判斷是否及格的shell程序。#vi ak #!/bin/bash #filename:ak echo-n “please input a score:” read SCORE echo “You input Score is $SCORE” if [ $SCORE-ge 60 ];then echo-n “Congratulation!You Pass the examination.” else echo-n “Sorry!You Fail the examination!” fi echo-n “press any key to continue!” read $GOOUT #chmod +x ak #./ak

4.使用for語句創(chuàng)建簡單的shell程序。#vi mm #!/bin/bash #filename:mm for ab in 1 2 3 4 do echo $ab done #chmod +x mm #./mm

5.使用while語句創(chuàng)建一個(gè)計(jì)算1-5的平方的shell程序。#vi zx #!/bin/bash #filename:zx int=1 while [ $int-le 5 ] do sq=`expr $int * $int` echo $sq int=`expr $int + 1` done echo “Job completed” #chmod +x zx #./zx

6.使用while語句創(chuàng)建一個(gè)根據(jù)輸入的數(shù)值求累加和（1+2+3+4+…+n）的shell程序。#vi sum #!/bin/bash #filename:sum echo-n “Please Input Number:” read NUM number=0 sum=0 while [ $number-le $NUM ] do echo number echo “$number” number=`expr $number + 1 ` echo sum echo “$sum” sum=` expr $sum + $number ` done echo #chmod +x sum #./sum

二．較復(fù)雜SHELL實(shí)驗(yàn)(使用VI編輯 下面代碼)# vi testshell #!/bin/bash #filename:shelltest exsig=0 while true;do echo “" echo ”----歡迎使用本系統(tǒng)----“ echo ” 1.上班簽到“ echo ” 2.下班簽出“ echo ” 3.考勤信息查詢“ echo ” 4.退出系統(tǒng)“ echo ”----------------------“ echo ”“ echo ”請(qǐng)輸入你的選項(xiàng):“ read choice case $choice in 1)echo ”請(qǐng)輸入你的名字:“ read name echo ”請(qǐng)輸入你的密碼:“ read password if test-r /home/user/userinfo.dat then while read fname fpassword do echo ”$fname“ echo ”$fpassword“ if test ”$fname“ = ”$name“ then break fi done < /home/user/userinfo.dat else echo System Error:userinfo.dat does not exist!fi if test ”$fname“!= ”$name“ then echo ”不存在該用戶!“ elif test ”$fpassword“!= ”$password“ then echo ”密碼不正確!“ else hour=`date +%H` if test ”$hour“-gt 8 then echo ”你遲到了!“ echo ”$name 上班遲到---日期:`date`“ >>/home/user/check.dat else echo ”早上好,$name!“ fi fi;;2)echo ”請(qǐng)輸入你的名字:“ read name echo ”請(qǐng)輸入你的密碼:“ read password if test-r /home/user/userinfo.dat then while read fname fpassword do if test ”$fname“ = ”$name“ then break fi done < /home/user/userinfo.dat else echo System Error:userinfo.dat does not exist!fi if test ”$fname“!= ”$name“ then echo ” 不存在該用戶!“ elif test ”$fpassword“!= ”$password“ then echo ”密碼不正確!“ else hour=`date +%H` if test ”$hour“-lt 18 then echo ”你早退了!“ echo ”$name 下班早退----日期:`date`“>> /home/user/check.dat else echo ”再見,$name!“ fi fi;;3)echo ”請(qǐng)輸入你的名字:“ read name echo ”請(qǐng)輸入你的密碼:“ read password if test-r /home/user/userinfo.dat then while read fname fpassword do if test ”$fname“ = ”$name“ then break fi done < /home/user/userinfo.dat else echo System Error:userinfo.dat does not exist!fi if test ”$fname“!= ”$name“ then echo ”不存在該用戶!“ elif test ”$fpassword“!= ”$password“ then echo ”密碼不正確!“ else echo ”你的記錄:“ echo ”---------“ cat-b /home/user/check.dat|grep $name echo ”---------“ fi;;4)echo ”歡迎你的使用,再見!“ exsig=1;;*)echo ”請(qǐng)輸入合法的選項(xiàng)!“;;esac if test ”$exsig“ = ”1" then break fi done 三．試驗(yàn)運(yùn)行結(jié)果：

#chmod +x testshell #./testshell 四．注意事項(xiàng)

1.上面的實(shí)驗(yàn)需要在/home/user下有userinfo.dat文件 2.該userdat.dat文件內(nèi)容可如下樣式： Wang 23456 Li 22233 ……

LINUX shell命令

（一）（一）

LINUX shell命令

（二）（二）

LINUX網(wǎng)絡(luò)管理

QUICK LINUX 網(wǎng)絡(luò)接口配置文件具體如下:

按 i 鍵 開始移動(dòng)光標(biāo)編輯

編輯完后，按 ESC 鍵，再按:wq!存盤退出。

按 i 鍵 開始移動(dòng)光標(biāo)編輯

編輯完后，按 ESC 鍵，再按:wq!存盤退出。重啟計(jì)算機(jī)

下面的（ubuntu linux）有些不同:

配置DHCP服務(wù)器

一、實(shí)驗(yàn)基礎(chǔ) DHCP的工作原理

DHCP用的傳輸協(xié)議是非面向連接的UDP（用戶數(shù)據(jù)報(bào)協(xié)議），從DHCP客戶發(fā)出的DHCP消息被送往DHCP服務(wù)器的端口為67，DHCP服務(wù)器發(fā)給客戶的DHCP消息被送往DHCP客戶的端口為68，由于在取得服務(wù)器賦予的IP之前，DHCP客戶并沒有自己的IP，所以包含DHCP消息的UDP數(shù)據(jù)報(bào)的IP頭的源地址段是0.0.0.0，目的地址則是 255.255.255.255。1．分配IP地址過程

（1）CLIENT發(fā)送廣播dhcpdiscover尋找DHCP服務(wù)器。

（2）Server發(fā)送廣播dhcpoffer響應(yīng)client的請(qǐng)求（含有分配的IP）。（3）Client檢查得到的IP信息是否完整，且發(fā)送廣播dhcprequest通知DHCP服務(wù)器己獲得IP地址。

（4）Server發(fā)送廣播dhcpack,表示分配成功。2．更新租約

注：DHCP客戶機(jī)每次關(guān)機(jī)時(shí)都會(huì)釋放IP（1）50%時(shí)，Client的點(diǎn)到點(diǎn)方式發(fā)送dhcprequest請(qǐng)求服務(wù)器更新租約。（2）87.5%時(shí)，Client發(fā)送廣播dhcprequest,尋找其它DHCP服務(wù)的更新。3．DHCP服務(wù)相關(guān)的概念（1）作用域

一個(gè)作用域就是一個(gè)地址池，是一些IP地址的組合，就是一個(gè)合法的IP地址范，DHCP服務(wù)器利用該范圍向客戶機(jī)出租或分配IP地址。為了防止發(fā)生重復(fù)的IP地址問題，不應(yīng)在多個(gè)作用域中使用相同的IP地址。作用域可以利用作用域選項(xiàng)向客戶機(jī)提供其它的配置信息。如默認(rèn)網(wǎng)關(guān)，DNS服務(wù)器的IP地址。（2）排除地址

可以指定一個(gè)或多個(gè)要從作用域中排除的范圍。被排除的地址將不被指定給DHCP客戶機(jī)。這些被排除的IP地址通常是用于打印機(jī)或服務(wù)器等使用靜態(tài)IP地址的的計(jì)算機(jī)。（3）子網(wǎng)掩碼

提供給DHCP客戶機(jī)的子網(wǎng)掩碼。為了配置這個(gè)參數(shù)，輸入構(gòu)成該子網(wǎng)掩碼的二進(jìn)制位數(shù)，或者輸入該子網(wǎng)掩碼的IP地址。

注意：當(dāng)創(chuàng)建了一個(gè)作用域后，不能修改該作用域指定的子網(wǎng)掩碼。為了修改這個(gè)參數(shù)，需要先刪除該作用域，再重新利用正確的信息創(chuàng)建該作用域。（4）租約期限

IP地址租約通常是臨時(shí)的，因此DHCP客戶機(jī)必須通過DHCP服務(wù)器周期性地嘗試更新它們的租約。IP地址租約的時(shí)間長度用天數(shù)、小時(shí)和分鐘表示，默認(rèn)時(shí)間是8天?？梢愿鶕?jù)網(wǎng)絡(luò)的實(shí)際情況減少或增加租約期限長度。（5）作用域選項(xiàng)

除了可以利用DHCP服務(wù)器向客戶機(jī)提供IP地址之外，還可以向客戶機(jī)提供其它TCP/IP配置信息如默認(rèn)網(wǎng)關(guān)(路由器)，DNS服務(wù)器，WINS服務(wù)器的IP地址或是其它信息。（6）保留地址 可以讓DHCP服務(wù)器總是為某客戶機(jī)分配同一個(gè)IP地址，這稱為靜態(tài)IP（Static IP）或保留地址。在為客戶機(jī)保留一個(gè)IP地址時(shí)，需要說明客戶機(jī)的網(wǎng)卡的物理地址(MAC地址)。

二、實(shí)驗(yàn)要求：

分別完成基于控制臺(tái)的命令方式和WEBMIN的B/S模式配置DHCP服務(wù)器，并測(cè)試是否正確。

三、實(shí)驗(yàn)過程步驟：

1.基于控制臺(tái)的配置文件配置（1）拷貝配置文件到/etc目錄

（2）編輯修改配置文件

（3）開啟服務(wù)，查看進(jìn)程運(yùn)行情況

（4）客戶端使用netconfig或直接修改配置文件如下：（這里客戶端為LINUX。具體可參考文檔最后面）

# vi /etc/sysconfig/network 設(shè)置客戶端為自動(dòng)獲取IP地址。

（5）客戶端重啟配置服務(wù)：# service network restart 2.使用Webmin配置DHCP服務(wù)器

使用Webmin配置DHCP服務(wù)器很簡單，基本步驟如下：

進(jìn)入Webmin的DHCP服務(wù)器配置頁面，單擊【服務(wù)器】→【DHCP服務(wù)器】進(jìn)入DHCP服務(wù)器配置頁面。如圖所示。

A.創(chuàng)建子網(wǎng)

單擊【增加一個(gè)新的子網(wǎng)】鏈接，進(jìn)入【創(chuàng)建子網(wǎng)】頁面。如下圖所示。配置Client的子網(wǎng)絡(luò)與共用網(wǎng)絡(luò)范圍及Gateway，在下圖中的例子中，共用網(wǎng)絡(luò)范圍為：192.168.0.33-192.168.0.63，網(wǎng)絡(luò)號(hào)為：192.168.0.0。填寫完畢后，點(diǎn)擊【新建】按鈕。

B.配置客戶選項(xiàng)

點(diǎn)擊【DHCP服務(wù)器】頁面下方的【編輯客戶選項(xiàng)】配置dhcp server，如下圖所示。圖中的DNS IP 為210.38.192.33。

C.給某主機(jī)分配固定的IP地址

在【DHCP服務(wù)器】的【增加一個(gè)新的主機(jī)】鏈接可以給某一個(gè)主機(jī)分配固定的IP地址。如果點(diǎn)擊【增加一個(gè)新的主機(jī)】鏈接，出現(xiàn)的畫面如下圖所示：

指定主機(jī)名、被指定的主機(jī)類型、所分配的固定的IP地址和硬件地址。填寫完畢后，點(diǎn)擊【創(chuàng)建】按鈕。子網(wǎng)創(chuàng)建后返回到【子網(wǎng)和共享網(wǎng)絡(luò)】頁面，可以看到增加了的子網(wǎng)和主機(jī)。如圖所示。

（2）增加了的子網(wǎng)和新的主機(jī)

啟動(dòng)DHCP，點(diǎn)擊【啟動(dòng)服務(wù)器】按鈕啟動(dòng)DHCP。

D.配置DHCP客戶端

DHCP 的客戶端，可以是 Windows 也可以是 Linux。

在Linux客戶端使用netconfig設(shè)置網(wǎng)絡(luò)，把IP地址的獲得設(shè)置為DHCP。

或者直接修改/etc/sysconfig/network 文件，如下：

NETWORKING=yes DEVICE=eth0 BOOTPROTO=dhcp ONBOOT=yes 如果是Windows客戶端，則只需點(diǎn)擊【開始】→【設(shè)置】→【網(wǎng)絡(luò)】，在【TCP/IP屬性】中，勾選【自動(dòng)獲得IP地址】。

然后就是一直按下【確定】,直到回到正常的桌面為止！這樣就已經(jīng)正確的激活了！

進(jìn)入開始，運(yùn)行DOS（cmd），輸入：ipconfig 檢查是否取得了地址。

LINUX啟動(dòng)設(shè)置驗(yàn)證和SAMBA服務(wù)器與客戶配置 LINUX啟動(dòng)設(shè)置驗(yàn)證

注:實(shí)驗(yàn)前配置好網(wǎng)絡(luò)，安裝WINSCP軟件并把blubuntu-w.xpm.gz文件拷貝到linux的/grub目錄下。

(1)使用WINSCP 查看/BOOT/GRUB/MENU.LST文件（查看GRUB 的配置文件）

(2)試著改變TITLE和引導(dǎo)畫面(即修改splashimage參數(shù)的文件名)

(3)打開WEBMIN，選擇：系統(tǒng)，選擇：引導(dǎo)和關(guān)機(jī)

(4)找到 /ETC/RC.D/RC.LOCAL，打開該文件

編輯添加內(nèi)容

重啟，觀察變化 SAMBA服務(wù)器與客戶配置

SAMBA服務(wù)可以用來實(shí)現(xiàn)LINUX網(wǎng)絡(luò)的數(shù)據(jù)共享。配置SAMBA服務(wù)可基于簡單共享和認(rèn)證共享。

1.簡單共享配置：（配置前需自己配置好網(wǎng)絡(luò)）(a)首先做好配置文件的修改和測(cè)試共享目錄的建立

上面是/etc/samba/smb.conf配置文件的內(nèi)容，是SAMBA服務(wù)的主配置文件。為了避免錯(cuò)誤，可對(duì)smb.conf備份。

#cp /etc/samba/smb.conf /etc/samba/smb.confbak 可使用vi編輯器打開它，即： #vi /etc/samba/smb.conf 按i鍵，進(jìn)入編輯狀態(tài)，編輯按上面內(nèi)容對(duì)照。按:wq!保存并退出，而按:q!不保存退出.為了測(cè)試，注意/home/temp目錄是否存在，如不存在，先建立 # Mkdir /home/temp 使用touch命令建立三個(gè)測(cè)試用的共享文件。#touch /home/temp/aa #touch /home/temp/bb #touch /home/temp/ii.txt 配置好后，使用命令：# service smb restart,重啟samba服務(wù)。(b)測(cè)試配置效果

※ WINDOWS下測(cè)試是否可查看LINUX共享目錄: 下面是通過IE地址欄訪問LINUX共享目錄，注意soft目錄名

※ LINUX下測(cè)試是否可查看WINDOWS共享目錄: 查看網(wǎng)上鄰居，是否出現(xiàn)SAMBA機(jī)器，如沒有，搜索計(jì)算機(jī)。設(shè)置一個(gè)windows的目錄為共享，在LINUX中訪問：

LINUX中查看主機(jī)192.168.1.2（這是WINDOWS IP地址）的共享資源： # smbclient –-I 192.168.1.2 或#smbclient –-L 主機(jī)名

掛載該windows共享目錄到LINUX目錄樹中，以便訪問 # mount –-t smbfs //192.168.1.2/df /home/temp

卸載辦法：

# umount /home/temp

2.smb.conf文件中的message command的利用 這是當(dāng)linux與windows共存與網(wǎng)絡(luò)中，互發(fā)消息的一種辦法，Linux發(fā)送給windows 的消息,windows可直接接收，只要啟動(dòng)windows消息服務(wù)，辦法是: 1）點(diǎn)擊我的電腦，選擇管理

2）選擇服務(wù)和應(yīng)用程序，找到服務(wù)messager，點(diǎn)擊右鍵，把它啟動(dòng)。

3）Linux使用samba客戶端程序發(fā)消息給windows #echo ‘Hello,A popup Linux Message is sent’|smbclient M 你的windows

主機(jī)名

Windows彈出一個(gè)消息窗口，接收到該消息。

4）Windows 使用DOS命令 net send發(fā)消息給Linux,Linux以root用戶接收郵件的方式來接收消息，即smb.conf文件中message command的作用。(1)windows發(fā)送

(2)Linux 接收(mail命令)

第二篇：典型路由器實(shí)驗(yàn)配置文檔

典型路由器實(shí)驗(yàn)配置文檔

目錄

一，DHCP中繼代理配置實(shí)驗(yàn)案例(多個(gè)DHCP服務(wù)器).............................3 二，IPsecVPN穿越NAT實(shí)例配置..............................................5 三，雙PPPOE線路實(shí)驗(yàn)(神碼)..................................................9 四，外網(wǎng)通過IPsec_VPN服務(wù)器(在內(nèi)網(wǎng))訪問內(nèi)網(wǎng)服務(wù)器.........................15 五，DCR-2800和BSR-2800配置RIP路由.....................................21 六，DCR-2800 L2TP服務(wù)器配置..............................................24 七，總分部之間IPsecVPN對(duì)接................................................29 一，DHCP中繼代理配置實(shí)驗(yàn)案例(多個(gè)DHCP服務(wù)器)1，需求描述

如果DHCP客戶機(jī)與DHCP服務(wù)器在同一個(gè)物理網(wǎng)段，則客戶機(jī)可以正確地獲得動(dòng)態(tài)分配的ip地址。如果不在同一個(gè)物理網(wǎng)段，則需要DHCP Relay Agent(中繼代理)。用DHCP Relay代理可以去掉在每個(gè)物理的網(wǎng)段都要有DHCP服務(wù)器的必要,它可以傳遞消息到不在同一個(gè)物理子網(wǎng)的DHCP服務(wù)器，也可以將服務(wù)器的消息傳回給不在同一個(gè)物理子網(wǎng)的DHCP客戶機(jī)，而且一個(gè)網(wǎng)絡(luò)中有可能存在多個(gè)DHCP服務(wù)器作為冗余備份。2，拓?fù)鋱D

3，配置步驟

R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //啟用DHCP客戶端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服務(wù)器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服務(wù)器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限廣播DHCP報(bào)文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(開啟DHCP服務(wù)，sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(開啟DHCP服務(wù)，sh run 看不到)4，配置驗(yàn)證

Sh ip int br//查看端口信息

Show ip dhcp binding //查看所有的地址綁定信息

R1上抓包

R3上抓包

R4上抓包

5，注意事項(xiàng)

(1)必須開啟DHCP服務(wù) service dhcp(2)客戶端獲取一個(gè)地址后，廣播發(fā)送Request報(bào)文包含此地址的DHCP服務(wù)器(R3)ID，R4收到后回收已分配的地址，避免造成地址浪費(fèi)。

二，IPsecVPN穿越NAT實(shí)例配置

1，需求描述

IPSec協(xié)議的主要目標(biāo)是保護(hù)IP數(shù)據(jù)包的完整性，這意味著IPSec會(huì)禁止任何對(duì)數(shù)據(jù)包的修改。但是NAT處理過程是需要修改IP數(shù)據(jù)包的IP 包頭、端口號(hào)才能正常工作的。所以，如果從我們的網(wǎng)關(guān)出去的數(shù)據(jù)包經(jīng)過了ipsec的處理，當(dāng)這些數(shù)據(jù)包經(jīng)過NAT設(shè)備時(shí)，包內(nèi)容被NAT設(shè)備所改動(dòng)，修 改后的數(shù)據(jù)包到達(dá)目的地主機(jī)后其解密或完整性認(rèn)證處理就會(huì)失敗，于是這個(gè)數(shù)據(jù)包被認(rèn)為是非法數(shù)據(jù)而丟棄。無論傳輸模式還是隧道模式，AH都會(huì)認(rèn)證整個(gè)包 頭，不同于ESP 的是，AH 還會(huì)認(rèn)證位于AH頭前的新IP頭，當(dāng)NAT修改了IP 頭之后，IPSec就會(huì)認(rèn)為這是對(duì)數(shù)以完整性的破壞，從而丟棄數(shù)據(jù)包。因此，AH是約 可能與NAT一起工作的。

意思就是說，AH處理數(shù)據(jù)時(shí)，所使用的數(shù)據(jù)是整個(gè)數(shù)據(jù)包，甚至是IP包頭的IP地址，也是處理數(shù)據(jù)的一部分，對(duì)這些數(shù)據(jù)作整合，計(jì)算出一個(gè)值，這個(gè)值是唯一的，即只有相同的數(shù)據(jù)，才可能計(jì)算出相同的值。當(dāng)NAT設(shè)備修改了IP地址時(shí)，就不符合這個(gè)值了。這時(shí)，這個(gè)數(shù)據(jù)包就被破壞了。而ESP并不保護(hù)IP包頭，ESP保護(hù)的內(nèi)容是ESP字段到ESP跟蹤字段之間的內(nèi)容，因此，如何NAT只是轉(zhuǎn)換IP的話，那就不會(huì)影響ESP的計(jì)算。但是如果是使用PAT的話，這個(gè)數(shù)據(jù)包仍然會(huì)受到破壞。

所以，在NAT網(wǎng)絡(luò)中，只能使用IPSec的ESP認(rèn)證加密方法，不能用AH。但是也是有辦法解決這個(gè)缺陷的，不能修改受ESP保護(hù)的TCP／UDP，那就再加一個(gè)UDP報(bào)頭。解決方案：NAT穿越 2，拓?fù)鋱D

3，配置步驟 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP協(xié)議

ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址轉(zhuǎn)換

ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址轉(zhuǎn)換

R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4，配置驗(yàn)證

R1#f0/0上抓包

ISAKMP報(bào)文

ESP報(bào)文

R2#f1/0上抓包

ISAKMP報(bào)文

ESP報(bào)文

5，注意事項(xiàng)

(1)R1與R3上的對(duì)端地址均為公網(wǎng)地址，R1上要配缺省路由。

(2)IPsecVPN穿越NAT時(shí)要變換IP地址和端口，從而導(dǎo)致對(duì)方認(rèn)證失敗，所以應(yīng)該保證變換后的IP地址和端口和對(duì)端一致。

三，雙PPPOE線路實(shí)驗(yàn)(神碼)1.需求描述

現(xiàn)實(shí)網(wǎng)絡(luò)中有很多企業(yè)和機(jī)構(gòu)都采用雙線路來互相冗余備份，而其中有很多通過pppoe撥號(hào)(ADSL寬帶接入方式)來實(shí)現(xiàn)對(duì)每個(gè)接入用戶的控制和計(jì)費(fèi)。2.拓?fù)鋱D

3，配置步驟

R1# interface Virtual-tunnel0 //配置虛擬通道0 mtu 1492 //最大傳輸單元

ip address negotiated //IP地址自協(xié)商 no ip directed-broadcast ppp chap hostname DCN //chap認(rèn)證方式用戶名DCN ppp chap password 0 DCN //chap認(rèn)證方式密碼DCN

ppp pap sent-username DCN password 0 DCN //pap認(rèn)證方式用戶名DCN1密碼DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默認(rèn)路由走虛擬隧道0 ip route default Virtual-tunnel1 //默認(rèn)隧道走虛擬隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 啟用VPDN!vpdn-group poe0 建vpdn組 request-dialin 請(qǐng)求撥號(hào)

port Virtual-tunnel0 綁定虛擬隧道0 protocol pppoe 封裝PPPOE協(xié)議

pppoe bind f0/0 綁定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0！!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虛擬隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配給客戶端的地址池 aaa authentication ppp default local //開啟本地ppp認(rèn)證 username DCN password 0 DCN //本地認(rèn)證的用戶名密碼!interface Virtual-template0 //建立虛擬模版0 ip address 172.16.1.1 255.255.0.0 //設(shè)置ip地址 no ip directed-broadcast ppp authentication chap //PPP認(rèn)證為chap認(rèn)證方式(virtual-tunnel隧道不能配置此參數(shù)，否則只能完成發(fā)現(xiàn)階段，不能建立會(huì)話階段)ppp chap hostname DCN //chap認(rèn)證用戶名DCN ppp chap password 0 DCN //chap認(rèn)證密碼DCN

peer default ip address pool pppoe //給撥號(hào)上來的客戶端分配地址池里的地址 ip nat inside！interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //啟用vpdn!vpdn-group pppoe //建立vpdn組 accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬模版0 protocol pppoe //封裝pppoe協(xié)議

pppoe bind fastEthernet0/0 //綁定到物理接口fsatethnet0/0！ip nat inside source list natacl interface f1/0

R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!

username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap

ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside！ip route default 192.168.3.1！ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any！vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!

ip nat inside source list natacl interface f1/0!

4，驗(yàn)證配置

R1#sh ip int br

Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session

PPPOE Session Information: Total sessions 2

ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br

Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br

Interface

IP-Address

Method Protocol-Status FastEthernet0/0

unassigned

manual up

FastEthernet0/1

192.168.3.2

manual up Virtual-template0

192.168.1.1

manual down Virtual-access0

192.168.1.1

manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID

Remote_Address

State

Role

Interface BindOn

FC:FA:F7:D2:07:E9 Established

server

va0

f0/0

5，注意事項(xiàng)

（1），pppoe-client配置虛擬通道時(shí)，最大傳輸單元為1492(默認(rèn))，ip地址為自協(xié)商，ppp認(rèn)證方式為chap和pap(服務(wù)器提供的認(rèn)證方式有可能為chap或pap)。注意：不能配置ppp authentication chap(認(rèn)證方式為任意)。

（2），pppoe-client配置vpdn時(shí)，先啟用vpdn，創(chuàng)建vpdn組，請(qǐng)求撥號(hào)，應(yīng)用虛擬隧道，封裝pppoe協(xié)議，綁定到物理接口。

（3），pppoe-client配置默認(rèn)路由下一跳為虛擬隧道virual-tunnel0/virtual-tunnel1，配置NAT時(shí)，出接口為虛擬隧道virual-tunnel0/virtual-tunnel1。

（4），pppoe-server配置時(shí)注意配置分配給客戶端的地址池，開啟本地ppp認(rèn)證，配置本地認(rèn)證用戶名和密碼。

（5），pppoe-server配置虛擬模版時(shí)，最大傳輸單元1492，ip地址為固定ip(與地址池在同一網(wǎng)段，但不包含在地址池里)，ppp認(rèn)證方式為chap或pap，認(rèn)證的用戶名和密碼，給撥號(hào)上來的客戶端分配地址池里的地址。

（6），pppoe-server配置vpdn時(shí)，先啟用vpdn，創(chuàng)建vpdn組，允許撥號(hào)，應(yīng)用虛擬模版，封裝pppoe協(xié)議，綁定到物理接口。

四，外網(wǎng)通過IPsec_VPN服務(wù)器(在內(nèi)網(wǎng))訪問內(nèi)網(wǎng)服務(wù)器

1，需求描述

有些企業(yè)單位將VPN服務(wù)器放在內(nèi)網(wǎng)，需要讓在外網(wǎng)出差的用戶撥上VPN后能訪問內(nèi)網(wǎng)部分資源(如WEB服務(wù)器，辦公系統(tǒng)等)。2，拓?fù)鋱D

3，配置步驟 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //綁定轉(zhuǎn)換圖!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道協(xié)商的路由

ip route 172.16.1.0 255.255.255.0 10.1.1.1 //轉(zhuǎn)發(fā)VPN客戶端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Telnet_Server# aaa new-model //開啟AAA認(rèn)證!aaa authentication login default none //無認(rèn)證登錄 aaa authentication enable default none //無enable認(rèn)證!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //網(wǎng)關(guān)

NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服務(wù)器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封裝ESP協(xié)議 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射

IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 11.1.1.1 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //綁定轉(zhuǎn)換圖!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //轉(zhuǎn)發(fā)VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

4，驗(yàn)證配置 172.16.1.1訪問Telnet_Server Ping 10.1.1.3 source 172.16.1.1

IPsecVPN_Client f0/0上抓包

IPsecVPN_Server f0/0上抓包

NAT_Over f0/0上抓包

Telnet_Sever f0/0上抓包

5，注意事項(xiàng)

(1)，配置ipsecvpn時(shí)，注意將map綁定到物理接口。

(2)，nat_over路由器上配置的一條指向ipsecvpn服務(wù)器的路由。

(3)，ipsecvpn_sever和ipsecvpn_client上配置隧道路由和數(shù)據(jù)路由，數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)先查找路由從接口轉(zhuǎn)發(fā)時(shí)再看是否匹配ipsecacl，匹配才走ipsecvpn隧道。天津多外線內(nèi)部vpn服務(wù)器案例

五，DCR-2800和BSR-2800配置RIP路由

1，需求描述

路由信息協(xié)議（Routing Information Protocol，縮寫：RIP）是一種使用最廣泛的內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）。（IGP）是在內(nèi)部網(wǎng)絡(luò)上使用的路由協(xié)議(在少數(shù)情形下,也可以用于連接到因特網(wǎng)的網(wǎng)絡(luò))，它可以通過不斷的交換信息讓路由器動(dòng)態(tài)的適應(yīng)網(wǎng)絡(luò)連接的變化，這些信息包括每個(gè)路由器可以到達(dá)哪些網(wǎng)絡(luò)，這些網(wǎng)絡(luò)有多遠(yuǎn)等。RIP 屬于網(wǎng)絡(luò)層協(xié)議，并使用UDP作為傳輸協(xié)議。(RIP是位于網(wǎng)絡(luò)層的)

雖然RIP仍然經(jīng)常被使用，但大多數(shù)人認(rèn)為它將會(huì)而且正在被諸如OSPF和IS-IS這樣的路由協(xié)議所取代。當(dāng)然，我們也看到EIGRP，一種和RIP屬于同一基本協(xié)議類(距離矢量路由協(xié)議,Distance Vector Routing Protocol)但更具適應(yīng)性的路由協(xié)議，也得到了一些使用。2，拓?fù)涿枋?/p>

3，配置步驟 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.2 DCR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 C

192.168.2.0/24

is directly connected, GigaEthernet0/1 R

192.168.3.0/24

[120,1] via 192.168.1.2(on GigaEthernet0/0)

BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.1 BSR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 R

192.168.2.0/24

[120,1] via 192.168.1.1(on GigaEthernet0/0)C

192.168.3.0/24

is directly connected, GigaEthernet0/1 4，驗(yàn)證配置

DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes！！!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5，注意事項(xiàng)

（1），neighbor 為對(duì)端ip（2），在接口下 ip rip 1 enable 則宣告了這個(gè)接口的地址所在的網(wǎng)段，如果這個(gè)接口有兩個(gè)地址，例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 則只能成功宣告192.168.1.0 這個(gè)網(wǎng)段 如果一個(gè)接口分兩個(gè)邏輯子接口，例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 則能成功宣告兩個(gè)網(wǎng)段192.168.1.0，192.168.4.0 六，DCR-2800 L2TP服務(wù)器配置

1，需求描述

L2TP是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似，比如同樣可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行加密。不過也有不同之處，比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，L2TP要求面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗(yàn)證，而PPTP不支持。2，拓?fù)涿枋?/p>

3，配置步驟 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //開啟ppp認(rèn)證!interface Virtual-template0 //創(chuàng)建虛擬接口模版

ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址為任意地址

no ip directed-broadcast

ppp authentication chap //認(rèn)證方式為chap ppp chap hostname admin //認(rèn)證用戶名

ppp chap password 0 admin //認(rèn)證密碼

peer default ip address pool l2tp_pool //調(diào)用地址池!vpdn enable //開啟虛擬專用撥號(hào)!

vpdn-group l2tp //定義vpdn組

accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬接口模版

protocol l2tp //定義協(xié)議為l2tp local-name default force-local-chap //強(qiáng)制進(jìn)行CHAP驗(yàn)證

lcp-renegotiation //重新進(jìn)行LCP協(xié)商!PC上配置

網(wǎng)絡(luò)和共享中心->設(shè)置新的連接或網(wǎng)絡(luò)->連接到工作區(qū)->使用我的Internet連接VPN

4，驗(yàn)證配置

撥號(hào)成功

5，注意事項(xiàng)

(1)，L2TP服務(wù)器上virtual-template接口的地址為任意地址

(2)，force-local-chap //強(qiáng)制進(jìn)行CHAP驗(yàn)證，lcp-renegotiation //重新進(jìn)行LCP協(xié)商(3)，PC客戶端上配置可選加密，勾選三種認(rèn)證方式PAP，CHAP，MS-CHAP

七，總分部之間IPsecVPN對(duì)接

1，需求描述

導(dǎo)入IPSEC協(xié)議，原因有2個(gè)，一個(gè)是原來的TCP/IP體系中間，沒有包括基于安全的設(shè)計(jì)，任何人，只要能夠搭入線路，即可分析所有的通訊數(shù)據(jù)。IPSEC引進(jìn)了完整的安全機(jī)制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。另外一個(gè)原因，是因?yàn)镮nternet迅速發(fā)展，接入越來越方便，很多客戶希望能夠利用這種上網(wǎng)的帶寬，實(shí)現(xiàn)異地網(wǎng)絡(luò)的的互連通。

IPSEC協(xié)議通過包封裝技術(shù)，能夠利用Internet可路由的地址，封裝內(nèi)部網(wǎng)絡(luò)的IP地址，實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通。總部和分部之間通過IPsecVPN隧道通信，分部和分部之間通過和總部建立的IPsecVPN隧道通信。2，拓?fù)湫枨?/p>

3，配置步驟 總部：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B： crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255

Internet：

interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4，驗(yàn)證配置

總部：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

3.1.1.2

QM_IDLE 1.1.1.1

2.1.1.2

QM_IDLE 分部A：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

2.1.1.2

QM_IDLE 總部和分部A通信：

conn-id slot status

0 ACTIVE

0 ACTIVE

conn-id slot status

0 ACTIVE

Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1！！!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包：

分部A與分部B通信：

Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1??！!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 總部上抓包：

分部B上抓包：

分部B：

Router#sh crypto isakmp sa dst

src

state

conn-id slot status 1.1.1.1

3.1.1.2

QM_IDLE

0 ACTIVE 分部B與總部A通信：

Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1！！!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包：

分部B與分部A通信：

Router#ping 192.168.2.1 source 192.168.3.1

Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1??！!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 總部上抓包：

分部A上抓包：

5，注意事項(xiàng)

(1)，思科IPsecvpn內(nèi)網(wǎng)流量先查找路由后匹配策略，只有到達(dá)對(duì)端私網(wǎng)的路由，才能匹配策略加密封裝。

(2)，隧道協(xié)商需要公網(wǎng)路由的可達(dá)性，但是只有內(nèi)網(wǎng)有感興趣流量時(shí)才能觸發(fā)隧道協(xié)商，從而建立隧道，而且需要雙向的觸發(fā)。

第三篇：實(shí)驗(yàn)二：交換機(jī)硬件配置

e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二

eBridge通信實(shí)驗(yàn)指導(dǎo)書

(交換部分)

深圳市訊方通信技術(shù)有限公司

二零零八年三月 e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二

實(shí)驗(yàn)二

交換機(jī)硬件配置實(shí)驗(yàn)

一、實(shí)驗(yàn)?zāi)康?/p>

了解程控交換機(jī)的硬件結(jié)構(gòu)，按照模塊、機(jī)框、單板的順序進(jìn)行數(shù)據(jù)的配置。

二、實(shí)驗(yàn)器材

1、程控交換機(jī)

2、實(shí)驗(yàn)用維護(hù)終端。

三、實(shí)驗(yàn)內(nèi)容說明

組網(wǎng)情況：板位圖說明

本C&C08交換機(jī)為一獨(dú)立模塊，一共兩個(gè)機(jī)柜，一個(gè)主控柜，一個(gè)用戶柜。有12個(gè)功能框?？蚓幪?hào)從0開始。1、0框?yàn)锽AM框，其實(shí)質(zhì)是一臺(tái)工控制機(jī)，實(shí)際實(shí)驗(yàn)中，為了操作方便，采用外置BAM。運(yùn)行WINDOWS 2000操作系統(tǒng)和程控交換機(jī)應(yīng)用軟件，用于和交換機(jī)主機(jī)通信，并完成對(duì)交換機(jī)的管理。2、1、2框?yàn)闉橹骺乜?，有一塊大背母板外加其他功能板件構(gòu)成，具體如下：

1NOD板：節(jié)點(diǎn)板，主要用于MPU和用戶/中繼之間的通信，起到橋梁的作用，可以○根據(jù)實(shí)際用戶/中繼數(shù)量的多少進(jìn)行配置。

2SIG板：信號(hào)音板，用于提供交換機(jī)接續(xù)時(shí)所需要的各種信號(hào)音。交換機(jī)重要 ○部件之一。

3EMA板：雙機(jī)倒換板，用于監(jiān)視主備MPU之間的工作狀態(tài)?！?MPU板：交換機(jī)主處理板，是整個(gè)交換機(jī)的核心部分，對(duì)整個(gè)交換機(jī)進(jìn)行管理和控○制。

5NET板：中心交換網(wǎng)板，所有信號(hào)都在該交換網(wǎng)板進(jìn)行交換，交換機(jī)重要部件之一。○6CKV網(wǎng)絡(luò)驅(qū)動(dòng)板：為NET板提供信號(hào)的硬件驅(qū)動(dòng)?！?LAPA板：NO7號(hào)信令鏈路驅(qū)動(dòng)板，提供4路NO7鏈路，開NO7中繼電路必備板件?！?MFC32板：多頻互控板，提供32路雙音多頻互控信號(hào)，開NO1中繼電路必備板件?！?ALM板：告警板，為外接告警箱提供信號(hào)驅(qū)動(dòng)和連接功能?！?0PWC板：二次電源板，為主控框提供+/-12V，+/-5V工作電壓?！?/p>

3、用戶框：10框?yàn)橛脩艨颍ㄔ谟脩魴C(jī)柜中），為交換機(jī)系統(tǒng)提供用戶電路接口。（即提供電話接口）

1ASL32板：32路用戶電路板，提供32路用戶電路接口，其中第16、17路可以提供○反極性信號(hào)。

深圳市訊方通信技術(shù)有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二 2DRV32板：雙音驅(qū)動(dòng)板，提供32路DTMF雙音多頻信號(hào)的收發(fā)和解碼，并 ○對(duì)ASL32板提供驅(qū)動(dòng)電路。

3PWX板：二次電源板，為用戶框提供+/-12V，+/-5V工作電壓、~75V鈴流信號(hào)。○④TSS板：測(cè)試板，測(cè)試用戶內(nèi)外線。

重要：請(qǐng)注意PWX和PWC之間的區(qū)別，二者不能混用?。?/p>

4、中繼框：5框?yàn)橹欣^框，為交換機(jī)提供中繼電路功能。

1DTM板：2M中繼電路板，每塊DTM板提供2個(gè)2M口電路，可以配置成 ○N01中繼或者NO7中繼電路。

2PWC板：二次電源板，為中繼框提供+/-12V，+/-5V 工作電壓?！鹌渚唧w板位如下圖所示：

B獨(dú)主控柜

深圳市訊方通信技術(shù)有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二

四、實(shí)驗(yàn)步驟

1、學(xué)生在自己PC中桌面上雙擊“操作平臺(tái)，如圖

”圖標(biāo)，輸入服務(wù)器地址，進(jìn)入Ebridge登陸

2、點(diǎn)擊【確認(rèn)】鍵進(jìn)入EB界面模式，如圖

深圳市訊方通信技術(shù)有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二

3、雙擊【綜合通信試驗(yàn)平臺(tái)】中的【程控CC08】，進(jìn)入CC08實(shí)驗(yàn)?zāi)Ｊ剑鐖D：

4、單擊【清空數(shù)據(jù)】，提示是否進(jìn)行數(shù)據(jù)清空，單擊【確定】，如圖：

深圳市訊方通信技術(shù)有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二

5、數(shù)據(jù)清空完成后，點(diǎn)擊【確定】，然后點(diǎn)擊【業(yè)務(wù)操作終端】，出登陸窗口：

用戶名：cc08，密碼：cc08，局名選LOCAL（IP地址：127.0.0.1），點(diǎn)擊【確定】

6、在維護(hù)輸出窗口會(huì)顯示登陸成功的相關(guān)信息，并自動(dòng)執(zhí)行幾條系統(tǒng)查詢命令：

深圳市訊方通信技術(shù)有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二

7、點(diǎn)擊【系統(tǒng)】－》【執(zhí)行批命令】，或按CTRL+R

8、選擇已調(diào)試好的命令文件腳本“”，點(diǎn)擊【打開】。

系統(tǒng)會(huì)自動(dòng)執(zhí)行并在【維護(hù)輸出】窗口顯示執(zhí)行結(jié)果：

深圳市訊方通信技術(shù)有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二

9、等結(jié)果顯示處出現(xiàn)“數(shù)據(jù)格式轉(zhuǎn)換完成”后，在e-bridge系統(tǒng)中點(diǎn)擊【開始程控實(shí)驗(yàn)】，屏幕上方會(huì)顯示當(dāng)前占用服務(wù)器席位的客戶端，你申請(qǐng)席位的客戶端排在第幾位，剩余多長時(shí)間。然后單擊【申請(qǐng)加載數(shù)據(jù)】－》【確定】，同時(shí)數(shù)據(jù)開始加載。

深圳市訊方通信技術(shù)有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二

10、服務(wù)器會(huì)自動(dòng)進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換，并加載到交換機(jī)中，單擊【確定】，加載完成。

11、點(diǎn)擊【業(yè)務(wù)操作終端】出現(xiàn)登陸窗口：

深圳市訊方通信技術(shù)有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二

用戶名：cc08，密碼：cc08，局名：SERVER（IP地址：129.9.0.10）點(diǎn)擊【確定】登陸到BAM服務(wù)器

12、點(diǎn)擊【維護(hù)】－》【配置】－》【硬件配置狀態(tài)面板】，可看到交換機(jī)的單板運(yùn)行狀態(tài)：

附件：硬件數(shù)據(jù)配置參考

1、SET FMT: STS=OFF,CONFIRM=Y;

//關(guān)閉格式轉(zhuǎn)換。

2、SET CWSON: SWT=OFF,CONFIRM=Y;

//設(shè)置當(dāng)前工作站告警輸出為關(guān)

3、增加模塊

ADD SGLMDU: CKTP=NET, PE=FALSE, DE=FALSE, DW=TRUE, PW=TRUE,CONFIRM=Y;//設(shè)置B獨(dú)模塊，CKTP= NET：時(shí)鐘采用NET板的內(nèi)置時(shí)鐘。PE=FALSE：程序不可用。DE=FALSE,：數(shù)據(jù)不可用。DW=TRUE：數(shù)據(jù)可寫。PW=TRUE：程序可寫。

4、設(shè)置本局信息

SET OFI:

SN1=NAT，SN2=NAT，SN3=NAT，SN4=NAT, LOT=CMPX, NN=TRUE, NNC=“AAAAAA”,NNS=SP24,SCCP=NONE,TADT=0,STP=FALSE,LAC=K'0532,LNC=K'086;

//(LOT=CMPX：本局類型：長市農(nóng)合一。NN=TRUE：國內(nèi)網(wǎng)有效。SN1=NAT：網(wǎng)標(biāo)識(shí)1=國內(nèi)。SN2=NAT：網(wǎng)標(biāo)識(shí)2=國內(nèi)SN3=NAT：網(wǎng)標(biāo)識(shí)3=國內(nèi)。SN4=NAT：網(wǎng)標(biāo)識(shí)4=國內(nèi)。NNC=“AAAAAA”：國內(nèi)編碼=AAAAAA。NNS=SP24：國內(nèi)網(wǎng)編碼結(jié)構(gòu)：24位編碼方式。深圳市訊方通信技術(shù)有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二

SCCP=NONE：提供SCCP功能=不提供。TADT=0：傳輸允許時(shí)延=0，, STP=FALSE：STP功能標(biāo)志=否。LAC=K'532：本地區(qū)號(hào)=0532。LNC=K'0086：本國代碼=0086。)

5、增加機(jī)框 5.1增加控制框

ADD CFB: MN=1, F=1, LN=1, PNM=“河工大”, PN=1, ROW=1, COL=1;

//增加主控框,。MN=1：模塊號(hào)=1，F(xiàn)=1：框號(hào)=1，PNM=“河工大”：場(chǎng)地名=河工大。PN=1：場(chǎng)地號(hào)=1。, ROW=1：行號(hào)=1。COL=1：列號(hào)=1。5.2增加中繼框

ADD DTFB: MN=1, F=3, LN=1, PNM=“河工大”, PN=1, ROW=1, COL=1, BT=BP3, N1=0, N2=1, N3=255, HW1=90, HW2=91, HW3=88, HW4=89, HW5=255;

//增加DTM中繼框.，MN=1：模塊號(hào)=1。F=3：框號(hào)=3，PNM=“河工大”：場(chǎng)地名=河工大。PN=1：場(chǎng)地號(hào)=1。, ROW=1：行號(hào)=1。COL=1：列號(hào)=1。BT=BP3：板類型為DTM板。N1=0：主節(jié)點(diǎn)1=0。N2=1：主節(jié)點(diǎn)2=1，N3=255：主節(jié)點(diǎn)3以上不配，即其他空槽位不占用主節(jié)點(diǎn)，HW1=90, HW2=91, HW3=88, HW4=89,增加2塊DTM板，HW資源從88~91，HW5=255：HW5以上不配，其他空槽位不配HW資源。5.3增加32路用戶框

ADD USF32: MN=1, F=4, LN=1, PNM=“河工大”, PN=1, ROW=1, COL=1, N1=19, N2=23,HW1=0, HW2=1, HW3=2, HW4=3, HW5=255, BRDTP=ASL32,CONFIRM=Y;

//增加用戶框.: MN=1：模塊號(hào)=1。F=4：框號(hào)=4，PNM=“河工大”：場(chǎng)地名=河工大。PN=1：場(chǎng)地號(hào)=1。, ROW=1：行號(hào)=1。COL=1：列號(hào)=1。N1=19：左半框主節(jié)點(diǎn)=19。N2=23：右半框主節(jié)點(diǎn)=23。HW1=12, HW2=13, HW3=14, HW4=15：HW1、HW2、HW3、HW4分別為12、13、14、15。HW5=255, HW5以上不配，其他空槽位不配HW資源。BRDTP=ASL32;板類型為32路用戶板。

6、調(diào)整單板配置，因機(jī)框配置會(huì)默認(rèn)一些單板起來，我們需要根據(jù)我們機(jī)器實(shí)際配置進(jìn)行調(diào)整。6.1調(diào)整用戶框單板：3-11，13-23 RMV BRD: MN=1, F=4, S=3;

// RMV BRD：刪除單板。MN=1：模塊=1。F=4：框號(hào)=4。S=3：槽位=3。RMV BRD: MN=1, F=4, S=4;

RMV BRD: MN=1, F=4, S=5;深圳市訊方通信技術(shù)有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二

RMV BRD: MN=1, F=4, S=6;RMV BRD: MN=1, F=4, S=7;RMV BRD: MN=1, F=4, S=8;RMV BRD: MN=1, F=4, S=9;RMV BRD: MN=1, F=4, S=10;RMV BRD: MN=1, F=4, S=11;RMV BRD: MN=1, F=4, S=13;RMV BRD: MN=1, F=4, S=14;RMV BRD: MN=1, F=4, S=15;RMV BRD: MN=1, F=4, S=16;RMV BRD: MN=1, F=4, S=17;RMV BRD: MN=1, F=4, S=18;RMV BRD: MN=1, F=4, S=19;RMV BRD: MN=1, F=4, S=20;RMV BRD: MN=1, F=4, S=21;RMV BRD: MN=1, F=4, S=22;RMV BRD: MN=1, F=4, S=23;6.2調(diào)整主控框2：4-5,7-8,17-22；1：2-6,10,14,17-22 RMV BRD: MN=1, F=2, S=4;RMV BRD: MN=1, F=2, S=5;RMV BRD: MN=1, F=2, S=7;RMV BRD: MN=1, F=2, S=8;RMV BRD: MN=1, F=2, S=17;RMV BRD: MN=1, F=2, S=18;RMV BRD: MN=1, F=2, S=19;RMV BRD: MN=1, F=2, S=20;RMV BRD: MN=1, F=2, S=21;RMV BRD: MN=1, F=2, S=22;RMV BRD: MN=1, F=1, S=2;深圳市訊方通信技術(shù)有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二

RMV BRD: MN=1, F=1, S=3;RMV BRD: MN=1, F=1, S=4;RMV BRD: MN=1, F=1, S=5;RMV BRD: MN=1, F=1, S=6;RMV BRD: MN=1, F=1, S=8;RMV BRD: MN=1, F=1, S=9;RMV BRD: MN=1, F=1, S=10;RMV BRD: MN=1, F=1, S=14;RMV BRD: MN=1, F=1, S=17;RMV BRD: MN=1, F=1, S=18;RMV BRD: MN=1, F=1, S=19;RMV BRD: MN=1, F=1, S=20;RMV BRD: MN=1, F=1, S=21;RMV BRD: MN=1, F=1, S=22;RMV BRD: MN=1, F=1, S=23;ADD BRD: MN=1, F=2, S=17, BT=LPN7,CONFIRM=Y;ADD BRD: MN=1, F=2, S=18, BT=MFC,CONFIRM=Y;// ADD BRD:增加單板。MN=1：模塊=1。F=2：框號(hào)=2。S=17：槽位=17。BT=LPN7：板類型=LPN7。

7、加載設(shè)置

SET SMSTAT: MN=1, STAT=ACT;//設(shè)置模塊的后臺(tái)監(jiān)控狀態(tài)。MN=1：模塊＝1。STAT=ACT：狀態(tài)＝激活。SET FMT: STS=ON;//設(shè)置格式轉(zhuǎn)換的狀態(tài)。STS=ON：狀態(tài)＝開。FMT ALL:;//格式轉(zhuǎn)換。將數(shù)據(jù)轉(zhuǎn)換成交換機(jī)能接收的格式。

將數(shù)據(jù)轉(zhuǎn)換成交換機(jī)能接收的格式;重新啟動(dòng)程控交換機(jī)，等待加載數(shù)據(jù)到AM完成。

深圳市訊方通信技術(shù)有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實(shí)驗(yàn)指導(dǎo)書

CC08實(shí)驗(yàn)二

實(shí)驗(yàn)報(bào)告

一、畫圖

1、畫出硬件配置流程順序圖

答案：配置本局信息-----》配置模塊信息-----》配置功能框-----》刪除框內(nèi)多余單板-----》修改新增加的單板。

2、畫出交換機(jī)數(shù)據(jù)配置全過程圖

答案：啟動(dòng)EB軟件程控模塊-----》還原數(shù)據(jù)庫-----》啟動(dòng)EB軟件里的程控模塊里的“業(yè)務(wù)操作終端”-----》選擇登陸LOCAL服務(wù)器-----》逐條輸入配置命令-----》申請(qǐng)加載數(shù)據(jù)-----》加載數(shù)據(jù)-----》退出LOCAL服務(wù)器選擇登陸SERVER服務(wù)器-----》查看交換軟件版本-----》查看硬件配置狀態(tài)面板看交換機(jī)運(yùn)行狀況。

二、名詞解釋

1、格式轉(zhuǎn)換：配置好的交換機(jī)數(shù)據(jù)是以SQL數(shù)據(jù)庫表格形式生成的，要變換成MPU所識(shí)別的機(jī)器代碼文件，這個(gè)過程叫格式轉(zhuǎn)換。

三、思考題

1、EB軟件里面還原數(shù)據(jù)庫的作用是什么？

答：清空原來數(shù)據(jù)，為后面數(shù)據(jù)加載做好準(zhǔn)備，否則會(huì)數(shù)據(jù)沖突。

2、為什么加載后要登陸SERVER來查看交換機(jī)運(yùn)行狀態(tài)？

答：因?yàn)榭蛻舳塑浖]有直接連在CC08機(jī)上，必須登陸到BAM（即EB服務(wù)器）上才能查看數(shù)據(jù)。

深圳市訊方通信技術(shù)有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052

第四篇：實(shí)驗(yàn)十三 路由器的配置

實(shí)驗(yàn)實(shí)驗(yàn)十三：路由器的基本配置

一、實(shí)驗(yàn)?zāi)康?/p>

掌握路由器幾種配置方法；

掌握采用console線攬配置路由器的方法 掌握采用Telnet方式配置路由器的方法

熟悉路由器不同命令行操作模式以及各種模式之間的切換 掌握路由的基本配置命令

二、技術(shù)原理

1、新建packet tracer拓?fù)鋱D。

2、用標(biāo)準(zhǔn)console線纜用于連接計(jì)算機(jī)的串口和路由器的console口上。在計(jì)算機(jī)上啟用超級(jí)終端，并配置超級(jí)終端的參數(shù)，是計(jì)算機(jī)與路由器通過console接口建立連接

3、配置路由器的管理IP地址，并為Telnet用戶配置用戶名和登錄口令。配置計(jì)算機(jī)的IP地址（與路由器管理IP地址在同一個(gè)網(wǎng)段），通過網(wǎng)線將計(jì)算機(jī)和路由器相連，通過計(jì)算機(jī)Telnet到路由器上對(duì)交換機(jī)進(jìn)行查看。

4、更改路由器的主機(jī)名。

5、顯示當(dāng)前配置信息。

6、顯示歷史命令。

三、實(shí)驗(yàn)背景

1、你是某公司新進(jìn)的網(wǎng)管，公司要求你熟悉網(wǎng)絡(luò)產(chǎn)品，首先要求你登錄路由器，了解、掌握路由器的命令行操作。

2、作為網(wǎng)絡(luò)管理員，你第一次在設(shè)備機(jī)房對(duì)路由器進(jìn)行了初次配置后，希望以后在辦公室或出差時(shí)也可以對(duì)設(shè)備進(jìn)行遠(yuǎn)程管理，現(xiàn)要在路由器上做適當(dāng)配置

四、實(shí)驗(yàn)設(shè)備 硬件：個(gè)人電腦

軟件： windows操作系統(tǒng)，packet tracer5.3 Router_2811臺(tái)；PC1臺(tái)；交叉線；配置線

交叉線：路由器與及計(jì)算機(jī)相連 路由器與交換機(jī)相連 直通線：計(jì)算機(jī)與交換機(jī)相連

五、實(shí)驗(yàn)步驟

Router>en Router#conf t Enter configuration commands, one per line.End with CNTL/Z.Router(config)#hostname r1

// 設(shè)置路由器的名稱 r1(config)#enable secret 123456 // 設(shè)置特權(quán)模式密碼 r1(config)#exit %SYS-5-CONFIG_I: Configured from console by console r1# r1#conf t Enter configuration commands, one per line.End with CNTL/Z.r1(config)#line vty 0 4

//表示配置遠(yuǎn)程登錄線路，進(jìn)入虛擬終端。0~4是遠(yuǎn)程登錄的線路編號(hào)

r1(config-line)#password 1111

// 設(shè)置telnet遠(yuǎn)程登錄密碼 r1(config-line)#login

//用于打開登錄認(rèn)證功能 r1(config-line)#exit r1(config)#int f0/0

// 進(jìn)入路由器0模塊第0端口 r1(config-if)#ip add 192.168.1.1 255.255.255.0 // 該端口配置相應(yīng)的IP地址和子網(wǎng)掩碼

r1(config-if)#no shut // 開啟端口

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN:

Line

protocol

on

Interface FastEthernet0/0, changed state to up r1(config-if)#end r1# %SYS-5-CONFIG_I: Configured from console by console

六、實(shí)驗(yàn)步驟

第五篇：實(shí)驗(yàn)三 防火墻的配置

實(shí)驗(yàn)三 防火墻的配置

? 實(shí)驗(yàn)?zāi)康?/p>

1、了解防火墻的含義與作用

2、學(xué)習(xí)防火墻的基本配置方法

3、理解iptables工作機(jī)理

4、熟練掌握iptables包過濾命令及規(guī)則

5、學(xué)會(huì)利用iptables對(duì)網(wǎng)絡(luò)事件進(jìn)行審計(jì)

6、熟練掌握iptables NAT工作原理及實(shí)現(xiàn)流程

7、學(xué)會(huì)利用iptables+squid實(shí)現(xiàn)web應(yīng)用代理

? 實(shí)驗(yàn)原理

? 防火墻的基本原理

一．什么是防火墻

在古代，人們已經(jīng)想到在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢(shì)蔓延到別的寓所，于是有了“防火墻”的概念。

進(jìn)入信息時(shí)代后，防火墻又被賦予了一個(gè)類似但又全新的含義。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。

二．防火墻能做什么 1．防火墻是網(wǎng)絡(luò)安全的屏障

一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

2．防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。

3．對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

4．防止內(nèi)部信息的外泄

通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。

除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

三．NAT NAT英文全稱是“Network Address Translation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個(gè)IETF(Internet Engineering Task Force, Internet工程任務(wù)組)標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（Internet Protocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。

簡單的說，NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，就在網(wǎng)關(guān)（可以理解為出口，打個(gè)比方就像院子的門一樣）處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)（Internet）上正常使用，NAT可以使多臺(tái)計(jì)算機(jī)共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請(qǐng)一個(gè)合法IP地址，就把整個(gè)局域網(wǎng)中的計(jì)算機(jī)接入Internet中。這時(shí)，NAT屏蔽了內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)計(jì)算機(jī)對(duì)于公共網(wǎng)絡(luò)來說是不可見的，而內(nèi)部網(wǎng)計(jì)算機(jī)用戶通常不會(huì)意識(shí)到NAT的存在。這里提到的內(nèi)部地址，是指在內(nèi)部網(wǎng)絡(luò)中分配給節(jié)點(diǎn)的私有IP地址，這個(gè)地址只能在內(nèi)部網(wǎng)絡(luò)中使用，不能被路由（一種網(wǎng)絡(luò)技術(shù)，可以實(shí)現(xiàn)不同路徑轉(zhuǎn)發(fā)）。雖然內(nèi)部地址可以隨機(jī)挑選，但是通常使用的是下面的地址：10.0.0.0～10.255.255.255，172.16.0.0～172.16.255.255，192.168.0.0～192.168.255.255。NAT將這些無法在互聯(lián)網(wǎng)上使用的保留IP地址翻譯成可以在互聯(lián)網(wǎng)上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（網(wǎng)絡(luò)信息中心）或者ISP(網(wǎng)絡(luò)服務(wù)提供商)分配的地址，對(duì)外代表一個(gè)或多個(gè)內(nèi)部局部地址，是全球統(tǒng)一的可尋址的地址。

NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。比如Cisco路由器中已經(jīng)加入這一功能，網(wǎng)絡(luò)管理員只需在路由器的IOS中設(shè)置NAT功能，就可以實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的屏蔽。再比如防火墻將Web Server的內(nèi)部地址192.168.1.1映射為外部地址202.96.23.11，外部訪問202.96.23.11地址實(shí)際上就是訪問192.168.1.1。另外對(duì)資金有限的小型企業(yè)來說，現(xiàn)在通過軟件也可以實(shí)現(xiàn)這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。

NAT有三種類型：靜態(tài)NAT(Static NAT)、動(dòng)態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port－Level NAT）。

其中靜態(tài)NAT設(shè)置起來最為簡單和最容易實(shí)現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而動(dòng)態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。

動(dòng)態(tài)地址NAT只是轉(zhuǎn)換IP地址，它為每一個(gè)內(nèi)部的IP地址分配一個(gè)臨時(shí)的外部IP地址，主要應(yīng)用于撥號(hào)，對(duì)于頻繁的遠(yuǎn)程聯(lián)接也可以采用動(dòng)態(tài)NAT。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后，動(dòng)態(tài)地址NAT就會(huì)分配給他一個(gè)IP地址，用戶斷開時(shí)，這個(gè)IP地址就會(huì)被釋放而留待以后使用。

網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面。NAPT與動(dòng)態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上，同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號(hào)。

在Internet中使用NAPT時(shí)，所有不同的信息流看起來好像來源于同一個(gè)IP地址。這個(gè)優(yōu)點(diǎn)在小型辦公室內(nèi)非常實(shí)用，通過從ISP處申請(qǐng)的一個(gè)IP地址，將多個(gè)連接通過NAPT接入Internet。實(shí)際上，許多SOHO遠(yuǎn)程訪問設(shè)備支持基于PPP的動(dòng)態(tài)IP地址。這樣，ISP甚至不需要支持NAPT，就可以做到多個(gè)內(nèi)部IP地址共用一個(gè)外部IP地址訪問Internet，雖然這樣會(huì)導(dǎo)致信道的一定擁塞，但考慮到節(jié)省的ISP上網(wǎng)費(fèi)用和易管理的特點(diǎn)，用NAPT還是很值得的。

? Windows 2003防火墻

Windows 2003提供的防火墻稱為Internet連接防火墻，通過允許安全的網(wǎng)絡(luò)通信通過防火墻進(jìn)入網(wǎng)絡(luò)，同時(shí)拒絕不安全的通信進(jìn)入，使網(wǎng)絡(luò)免受外來威脅。Internet連接防火墻只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

在Windows2003服務(wù)器上，對(duì)直接連接到Internet的計(jì)算機(jī)啟用防火墻功能，支持網(wǎng)絡(luò)適配器、DSL適配器或者撥號(hào)調(diào)制解調(diào)器連接到Internet。它可以有效地?cái)r截對(duì)Windows 2003服務(wù)器的非法入侵，防止非法遠(yuǎn)程主機(jī)對(duì)服務(wù)器的掃描，從而提高Windows 2003服務(wù)器的安全性。同時(shí)，它也可以有效攔截利用操作系統(tǒng)漏洞進(jìn)行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構(gòu)造的虛擬路由器上啟用此防火墻功能，能夠?qū)φ麄€(gè)內(nèi)部網(wǎng)絡(luò)起到很好的保護(hù)作用。

1．啟用/關(guān)閉防火墻

（1）打開“網(wǎng)絡(luò)連接”，右擊要保護(hù)的連接，單擊“屬性”，出現(xiàn)“本地連接屬性”對(duì)話框。

（2）選擇“高級(jí)”選項(xiàng)卡，單擊“設(shè)置”按鈕，出現(xiàn)啟動(dòng)/停止防火墻界面。如果要啟用 Internet 連接防火墻，請(qǐng)單擊“啟用(O)”按鈕；如果要禁用Internet 連接防火墻，請(qǐng)單擊“關(guān)閉(F)”按鈕。

2．防火墻服務(wù)設(shè)置

Windows 2003 Internet連接防火墻能夠管理服務(wù)端口，例如HTTP的80端口、FTP的21端口等，只要系統(tǒng)提供了這些服務(wù)，Internet連接防火墻就可以監(jiān)視并管理這些端口。

（1）解除阻止設(shè)置。

在“例外”選項(xiàng)卡中，可以通過設(shè)定讓防火墻禁止和允許本機(jī)中某些應(yīng)用程序訪問網(wǎng)絡(luò)，加上“√”表示允許，不加“√”表示禁止。如果允許本機(jī)中某項(xiàng)應(yīng)用程序訪問網(wǎng)絡(luò)，則在對(duì)話框中間列表中所列出該項(xiàng)服務(wù)前加“√”（如果不存在則可單擊“添加程序”按鈕進(jìn)行添加）；如果禁止本機(jī)中某項(xiàng)應(yīng)用程序訪問網(wǎng)絡(luò)，則將該項(xiàng)服務(wù)前的“√”清除（如果不存在同樣可以添加）。在“Windows防火墻阻止程序時(shí)通知我”選項(xiàng)前打“√”則在主機(jī)出現(xiàn)列表框中不存在的應(yīng)用程序欲訪問網(wǎng)絡(luò)時(shí)，防火墻會(huì)彈出提示框詢問用戶是否允許該項(xiàng)網(wǎng)絡(luò)連接。

（2）高級(jí)設(shè)置。

在“高級(jí)”選項(xiàng)卡中，可以指定需要防火墻保護(hù)的網(wǎng)絡(luò)連接，雙擊網(wǎng)絡(luò)連接或單擊“設(shè)置”按鈕設(shè)置允許其他用戶訪問運(yùn)行于本主機(jī)的特定網(wǎng)絡(luò)服務(wù)。選擇“服務(wù)”選項(xiàng)卡，其中列舉出了網(wǎng)絡(luò)標(biāo)準(zhǔn)服務(wù)，加上“√”表示允許，不加“√”表示禁止。如果允許外部網(wǎng)絡(luò)用戶訪問網(wǎng)絡(luò)的某一項(xiàng)服務(wù)，則在對(duì)話框中間列表中所列出該項(xiàng)服務(wù)前加“√”（如果不存在則可單擊“添加程序”按鈕進(jìn)行添加）；如果禁止外部網(wǎng)絡(luò)用戶訪問內(nèi)部網(wǎng)絡(luò)的某一項(xiàng)服務(wù)，則將該項(xiàng)服務(wù)前的“√”清除（如果不存在同樣可以添加）。選擇“ICMP”選項(xiàng)卡，允許或禁止某些類型的ICMP響應(yīng)，建議禁止所有的ICMP響應(yīng)。

3．防火墻安全日志設(shè)置

Windows2003防火墻可以記錄所有允許和拒絕進(jìn)入的數(shù)據(jù)包，以便進(jìn)行進(jìn)一步的分析。在“高級(jí)”選項(xiàng)卡的“安全日志記錄”框中單擊“設(shè)置”按鈕，進(jìn)入“日志設(shè)置”界面。

如果要記錄被丟棄的包，則選中“記錄被丟棄的數(shù)據(jù)包”復(fù)選按鈕；如果要記錄成功的連接，則選中“記錄成功的連接”復(fù)選按鈕。

日志文件默認(rèn)路徑為C:WINDOWSpfirewall.log，用記事本可以打開，所生成的安全日志使用的格式為W3C擴(kuò)展日志文件格式，可以用常用的日志分析工具進(jìn)行查看分析。你也可以重新指定日志文件，而且還可以通過“大小限制”限定文件的最大使用空間。

「說明」 建立安全日志是非常必要的，在服務(wù)器安全受到威脅時(shí)，日志可以提供可靠的證據(jù)。

? linux防火墻-iptable的應(yīng)用

一．iptables簡介

從1.1內(nèi)核開始，linux就已經(jīng)具有包過濾功能了，在2.0的內(nèi)核中我們采用ipfwadm來操作內(nèi)核包過濾規(guī)則。之后在2.2內(nèi)核中，采用了大家并不陌生的ipchains來控制內(nèi)核包過濾規(guī)則。在2.4內(nèi)核中我們不再使用ipchains，而是采用一個(gè)全新的內(nèi)核包過濾管理工具—iptables。這個(gè)全新的內(nèi)核包過濾工具將使用戶更易于理解其工作原理，更容易被使用，當(dāng)然也將具有更為強(qiáng)大的功能。

實(shí)際上iptables只是一個(gè)內(nèi)核包過濾的工具，iptables可以加入、插入或刪除核心包過濾表格(鏈)中的規(guī)則。實(shí)際上真正來執(zhí)行這些過濾規(guī)則的是netfilter(Linux內(nèi)核中一個(gè)通用架構(gòu))及其相關(guān)模塊(如iptables模塊和nat模塊)。

netfilter提供了一系列的“表(tables)”，每個(gè)表由若干“鏈(chains)”組成，而每條鏈中有一條或數(shù)條規(guī)則(rule)組成。我們可以這樣來理解，netfilter是表的容器，表是鏈的容器，鏈又是規(guī)則的容器。

netfilter系統(tǒng)缺省的表為“filter”,該表中包含了INPUT、FORWARD和OUTPUT 3個(gè)鏈。每一條鏈中可以有一條或數(shù)條規(guī)則，每一條規(guī)則都是這樣定義的“如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個(gè)數(shù)據(jù)包”。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí)，系統(tǒng)就會(huì)從第一條規(guī)則開始檢查，看是否符合該規(guī)則所定義的條件：如果滿足，系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；如果不滿足則繼續(xù)檢查下一條規(guī)則。最后，如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話，系統(tǒng)就會(huì)根據(jù)預(yù)先定義的策略(policy)來處理該數(shù)據(jù)包。

圖3-2-1 網(wǎng)絡(luò)數(shù)據(jù)包在filter表中的流程

數(shù)據(jù)包在filter表中的流程如圖3-2-1所示。有數(shù)據(jù)包進(jìn)入系統(tǒng)時(shí)，系統(tǒng)首先根據(jù)路由表決定將數(shù)據(jù)包發(fā)給哪一條鏈，則可能有三種情況：

（1）如果數(shù)據(jù)包的目的地址是本機(jī)，則系統(tǒng)將數(shù)據(jù)包送往INPUT鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會(huì)將這個(gè)包丟掉。

（2）如果數(shù)據(jù)包的目的地址不是本機(jī)，也就是說，這個(gè)包將被轉(zhuǎn)發(fā)，則系統(tǒng)將數(shù)據(jù)包送往FORWARD鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會(huì)將這個(gè)包丟掉。

（3）如果數(shù)據(jù)包是由本地系統(tǒng)進(jìn)程產(chǎn)生的，則系統(tǒng)將其送往OUTPUT鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會(huì)將這個(gè)包丟掉。

當(dāng)我們?cè)谑褂胕ptables NAT功能的時(shí)候，我們所使用的表不再是“filter”表，而是“nat”表，所以我們必須使用“-t nat”選項(xiàng)來顯式地指明這一點(diǎn)。因?yàn)橄到y(tǒng)缺省的表是“filter”，所以在使用filter功能時(shí)，我們沒有必要顯式的指明“-t filter”。

同“filter”表一樣，nat表也有三條缺省的鏈，這三條鏈也是規(guī)則的容器，它們分別是：

（1）PREROUTING: 可以在這里定義進(jìn)行目的NAT的規(guī)則，因?yàn)槁酚善鬟M(jìn)行路由時(shí)只檢查數(shù)據(jù)包的目的IP地址，為了使數(shù)據(jù)包得以正確路由，我們必須在路由之前就進(jìn)行目的NAT。

（2）POSTROUTING: 可以在這里定義進(jìn)行源NAT的規(guī)則，在路由器進(jìn)行路由之后才進(jìn)行源NAT。（3）OUTPUT: 定義對(duì)本地產(chǎn)生的數(shù)據(jù)包的目的NAT規(guī)則。二．NAT工作原理

NAT的基本思想是為每個(gè)企業(yè)分配一個(gè)IP地址(或者是很少幾個(gè))來進(jìn)行Internet傳輸。在企業(yè)內(nèi)部，每個(gè)電腦取得一唯一的IP地址來為內(nèi)部傳輸做路由。然而，當(dāng)封包離開企業(yè)，進(jìn)入ISP之后，就需要進(jìn)行地址轉(zhuǎn)換了。為了使這個(gè)方案可行，IP地址的范圍被聲明為私有的，企業(yè)可以隨意在內(nèi)部使用他們。僅有的規(guī)則是，沒有包含這些地址的封包出現(xiàn)在Internet上。

「說明」 IP私有地址范圍是：10.0.0.0～10.255.255.255/

8、172.16.0.0 ～172.31.255.255/

12、192.168.0.0～192.168.255.255/16。

如圖3-2-2所示。在企業(yè)內(nèi)部，每個(gè)機(jī)器都有一個(gè)唯一的172.16.x.y形式的地址。然而，當(dāng)封包離開企業(yè)時(shí)，它要經(jīng)過NAT轉(zhuǎn)盒，NAT盒將內(nèi)部IP源地址，即圖中的172.16.0.50轉(zhuǎn)換成企業(yè)的真實(shí)地址(這個(gè)地址對(duì)于Internet來說是可見的)，此例中為202.198.168.150。NAT盒通常和防火墻一起綁定在一個(gè)設(shè)備上，這里的防火墻通過小心地控制進(jìn)出企業(yè)的封包提供了安全保障。

圖3-2-2 NAT地址轉(zhuǎn)換

三．iptables常用操作語法

對(duì)于任何協(xié)議及協(xié)議的擴(kuò)展，通用匹配都可以直接使用。（1）匹配指定協(xié)議。

匹配-p,--protocol／使用 iptables-A INPUT-p tcp-j ACCEPT／說明匹配指定的協(xié)議，指定協(xié)議的形式有以下幾種：①名字不分大小寫，但必須是在/etc/protocols中定義的；②可以使用協(xié)議相應(yīng)的整數(shù)值。例如，ICMP的值是1,TCP是6,UDP是17；③缺少設(shè)置ALL，相應(yīng)數(shù)值是0,要注意這只代表匹配TCP、UDP、ICMP，而不是/etc/protocols中定義的所有協(xié)議；④可以是協(xié)議列表，以英文逗號(hào)為分隔符，如：udp,tcp；⑤可以在協(xié)議前加英文的感嘆號(hào)表示取反，注意有空格,如：--protocol!tcp表示非TCP協(xié)議，也就是UDP和ICMP。可以看出這個(gè)取反的范圍只是TCP、UDP和ICMP。

（2）以IP源地址匹配包。

匹配-s,--src,--source／使用 iptables-A INPUT-s 192.168.0.1-j ACCEPT／說明以IP源地址匹配包。地址的形式如下：①單個(gè)地址，如192.168.0.1，也可寫成192.168.0.1/255.255.255.255或192.168.0.1/32；②網(wǎng)絡(luò)，如192.168.0.0/24,或192.168.0.0/255.255.255.0；③在地址前加英文感嘆號(hào)表示取反，注意空格，如—source!192.168.0.0/24表示除此地址外的所有地址；④缺省是所有地址。

（3）以IP目的地址匹配包。

匹配-d,--dst,--destination／使用 iptables-A INPUT-d 192.168.0.1-j ACCEPT／說明以IP目的地址匹配包。地址的形式和—source完全一樣。

（4）以包進(jìn)入本地使用的網(wǎng)絡(luò)接口匹配包。

匹配-i／使用 iptables-A INPUT-i eth0-j ACCEPT／說明以包進(jìn)入本地所使用的網(wǎng)絡(luò)接口來匹配包。要注意這個(gè)匹配操作只能用于INPUT,FORWARD和PREROUTING這三個(gè)鏈，用在其他任何地方會(huì)提示錯(cuò)誤信息。指定接口有以下方法：①指定接口名稱，如：eth0、ppp0等；②使用通配符，即英文加號(hào)，它代表字符數(shù)字串。若直接用一個(gè)加號(hào)，即iptables-A INPUT-i +表示匹配所有的包，而不考慮使用哪個(gè)接口。通配符還可以放在某一類接口的后面，如：eth+表示匹配所有從Ethernet接口進(jìn)入的包；③在接口前加英文感嘆號(hào)表示取反，如：-i!eth0意思是匹配來自除eth0外的所有包。

（5）以包離開本地所使用的網(wǎng)絡(luò)接口來匹配包。

匹配-o／使用 iptables-A OUTPUT-o eth1-j ACCEPT／說明以包離開本地所使用的網(wǎng)絡(luò)接口來匹配包。要注意這個(gè)匹配操作只能用于OUTPUT,FORWARD和POSTROUTING這三個(gè)鏈，用在其他任何地方會(huì)提示錯(cuò)誤信息。

（6）匹配通信源端口。

匹配--source-port,--sport／使用 iptables-A INPUT-p tcp--sport 1111／說明當(dāng)通信協(xié)議為TCP或UDP時(shí)，可以指定匹配的源端口，但必須與匹配協(xié)議相結(jié)合使用。

（7）匹配通信源端口。

匹配--destination-port,--dport／使用 iptables-A INPUT-p tcp--dport 80／說明當(dāng)通信協(xié)議為TCP或UDP時(shí)，可以指定匹配的目的端口，但必須與匹配協(xié)議相結(jié)合使用。

五．iptables功能擴(kuò)展 1．TCP擴(kuò)展

iptables可以擴(kuò)展，擴(kuò)展分為兩種：一種是標(biāo)準(zhǔn)的；另一種是用戶派生的。如果指定了“-p tcp”，那么TCP擴(kuò)展將自動(dòng)加載，通過--tcp-flags擴(kuò)展，我們指定TCP報(bào)文的哪些Flags位被設(shè)置，在其后跟隨兩個(gè)參數(shù)：第一個(gè)參數(shù)代表Mask,指定想要測(cè)驗(yàn)的標(biāo)志位；第二個(gè)參數(shù)指定哪些位被設(shè)置。

例：設(shè)置iptables防火墻禁止來自外部的任何tcp主動(dòng)請(qǐng)求，并對(duì)此請(qǐng)求行為進(jìn)行事件記錄。

其中ULOG指定對(duì)匹配的數(shù)據(jù)包進(jìn)行記錄,由日志生成工具ULOG生成iptables防火日志，--log-prefix選項(xiàng)為記錄前綴。

2．ICMP擴(kuò)展

例：設(shè)置iptables防火墻允許來自外部的某種類型/代碼的ICMP數(shù)據(jù)包。

其中--icmp-type為擴(kuò)展命令選項(xiàng)，其后參數(shù)可以是三種模式：（1）ICMP類型名稱（例如，host-unreachable）。（2）ICMP類型值(例如3)。（3）ICMP類型及代碼值（8/0）。六．狀態(tài)檢測(cè)

“狀態(tài)”的意思是指如果一個(gè)數(shù)據(jù)包是對(duì)先前從防火墻發(fā)出去的包的回復(fù)，則防火墻自動(dòng)不用檢查任何規(guī)則就立即允許該數(shù)據(jù)包進(jìn)入并返回給請(qǐng)求者，這樣就不用設(shè)置許多規(guī)則定義就可實(shí)現(xiàn)應(yīng)用的功能。

我們可以把請(qǐng)求端與應(yīng)答端之間建立的網(wǎng)絡(luò)通信連接稱為網(wǎng)絡(luò)會(huì)話，每個(gè)網(wǎng)絡(luò)會(huì)話都包括以下信息——源IP地址、目標(biāo)IP地址、源端口、目的端口，稱為套接字對(duì)；協(xié)議類型、連接狀態(tài)（TCP協(xié)議）和超時(shí)時(shí)間等。防火墻把這些信息稱為狀態(tài)(stateful)。狀態(tài)包過濾防火墻能在內(nèi)存中維護(hù)一個(gè)跟蹤狀態(tài)的表，比簡單的包過濾防火墻具有更大的安全性，而iptables就是一種基于狀態(tài)的防火墻。命令格式如下：

iptables-m state--state [!] state [,state,state,state] 其中，state表是一個(gè)由逗號(hào)分割的列表，用來指定連接狀態(tài)，狀態(tài)分為4種：（1）NEW: 該包想要建立一個(gè)新的連接（重新連接或連接重定向）

（2）RELATED:該包是屬于某個(gè)已經(jīng)建立的連接所建立的新連接。舉例：FTP的數(shù)據(jù)傳輸連接和控制連接之間就是RELATED關(guān)系。

（3）ESTABLISHED：該包屬于某個(gè)已經(jīng)建立的連接。（4）INVALID:該包不匹配于任何連接，通常這些包被DROP。七．NAT操作

前面提到在iptables防火墻中提供了3種策略規(guī)則表：Filter、Mangle和NAT，這3種表功能各不相同，而最為常用的就是filter和nat表。

nat表僅用于NAT,也就是網(wǎng)絡(luò)地址轉(zhuǎn)換。做過NAT操作的數(shù)據(jù)包的地址就被改變了，當(dāng)然這種改變是根據(jù)我們的規(guī)則進(jìn)行的。屬于流的包只會(huì)經(jīng)過這個(gè)表一次，經(jīng)一個(gè)包被允許做NAT,那么余下的包都會(huì)自動(dòng)地做相同的操作。也就是說，余下的包不會(huì)再通過這個(gè)表一個(gè)一個(gè)的被NAT，而是自動(dòng)完成的。常用操作分為以下幾類。

（1）SNAT(source network address translation，源網(wǎng)絡(luò)地址目標(biāo)轉(zhuǎn)換)。

SNAT是POSTROUTING鏈表的作用，在封包就要離開防火墻之前改變其源地址，這在極大程度上可以隱藏本地網(wǎng)絡(luò)或者DMZ等。比如，多個(gè)PC機(jī)使用路由器共享上網(wǎng)，每個(gè)PC機(jī)都配置了內(nèi)網(wǎng)IP(私有IP)，PC機(jī)訪問外部網(wǎng)絡(luò)的時(shí)候，路由器將數(shù)據(jù)包的報(bào)頭中的源地址替換成路由器的IP，當(dāng)外部網(wǎng)絡(luò)的服務(wù)器比如網(wǎng)站W(wǎng)eb服務(wù)器接到訪問請(qǐng)求的時(shí)候，它的日志記錄下來的路由器的IP，而不是PC機(jī)的內(nèi)網(wǎng)IP，這是因?yàn)椋@個(gè)服務(wù)器收到的數(shù)據(jù)包的報(bào)頭里邊的“源地址”已經(jīng)被替換了。所以叫做SNAT，基于源地址的地址轉(zhuǎn)換。

例如更改所有來自192.168.0.1/24的數(shù)據(jù)包的源IP地址為10.0.0.1，其iptables實(shí)現(xiàn)為：

（2）DNAT(destination network address translation，目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換)。

DNAT是PREROUTING鏈表的作用，在封包剛剛到達(dá)防火墻時(shí)改變其目的地址，以使包能重路由到某臺(tái)主機(jī)。典型的應(yīng)用是，有個(gè)Web服務(wù)器放在企業(yè)網(wǎng)絡(luò)DMZ區(qū)，其配置了內(nèi)網(wǎng)IP地址，企業(yè)防火墻的的外網(wǎng)接口配置了企業(yè)唯一的公網(wǎng)IP，互聯(lián)網(wǎng)上的訪問者使用公網(wǎng)IP來訪問這個(gè)網(wǎng)站，當(dāng)訪問的時(shí)候，客戶端發(fā)出一個(gè)數(shù)據(jù)包，這個(gè)數(shù)據(jù)包的報(bào)頭里邊，目標(biāo)地址寫的是防火墻的公網(wǎng)IP，然后再把這個(gè)數(shù)據(jù)包發(fā)送到DMZ區(qū)的Web服務(wù)器上，這樣，數(shù)據(jù)包就穿透了防火墻，并從公網(wǎng)IP變成了一個(gè)對(duì)DMZ區(qū)的訪問了。所以叫做DNAT，基于目標(biāo)的網(wǎng)絡(luò)地址轉(zhuǎn)換。

例如更改所有來自202.98.0.1/24的數(shù)據(jù)包的目的IP地址為192.168.0.1，其iptables實(shí)現(xiàn)為：

（3）REDIRECT(重定向)。

REDIRECT是DNAT的特殊情況是重定向，也就是所謂的Redirection，這時(shí)候就相當(dāng)于將符合條件的數(shù)據(jù)包的目的IP地址改為數(shù)據(jù)包進(jìn)入系統(tǒng)時(shí)的網(wǎng)絡(luò)接口的IP地址。通常是在與squid配置形成透明代理時(shí)使用，假設(shè)squid的監(jiān)聽端口是3128,我們可以通過以下語句來將來自192.168.0.1/24，目的端口為80的數(shù)據(jù)包重定向到squid監(jiān)聽：

（4）MASQUERADE(地址偽裝)。

在iptables中有著和SNAT相近的效果，但也有一些區(qū)別。在使用SNAT的時(shí)候，出口IP的地址范圍可以是一個(gè)，也可以是多個(gè)，例如把所有

192.168.0.0/2

4網(wǎng)段數(shù)據(jù)包

SNAT

成202.98.0.150/202.98.0.151/202.98.0.152等幾個(gè)IP然后發(fā)出去,其iptables實(shí)現(xiàn)為：

SNAT即可以NAT成一個(gè)地址，也可以NAT成多個(gè)地址。但是，對(duì)于SNAT來說不管是幾個(gè)地址，必須明確指定轉(zhuǎn)換的目標(biāo)地址IP。假如當(dāng)前系統(tǒng)用的是ADSL動(dòng)態(tài)撥號(hào)方式，那么每次撥號(hào)，出口IP都會(huì)改變，而且改變的幅度很大，不一定是202.98.0.150到202.98.0.152范圍內(nèi)的地址，這個(gè)時(shí)候如果使用SNAT的方式來配置iptables就會(huì)出現(xiàn)麻煩了，因?yàn)槊看螕芴?hào)后出口IP都會(huì)變化，而iptables規(guī)則內(nèi)的IP是不會(huì)隨著自動(dòng)變化的，每次地址變化后都必須手工修改一次iptables，把規(guī)則里邊的固定的IP改成新的IP，這樣是非常不好用的。

MASQUERADE就是針對(duì)這種場(chǎng)景而設(shè)計(jì)的，它的作用是從防火墻外網(wǎng)接口上自動(dòng)獲取當(dāng)前IP地址來做NAT，比如下邊的命令：

八．防火墻應(yīng)用代理 1．代理服務(wù)器概述

在TCP/IP網(wǎng)絡(luò)中，傳統(tǒng)的通信過程是這樣的：客戶端向服務(wù)器請(qǐng)求數(shù)據(jù)，服務(wù)器響應(yīng)該請(qǐng)求，將數(shù)據(jù)傳送給客戶端，如圖3-2-3所示。

圖3-2-3 直接訪問Internet 在引入了代理服務(wù)器以后，這一過程變成了這樣：客戶端向服務(wù)器發(fā)起請(qǐng)求，該請(qǐng)求被送到代理服務(wù)器；代理服務(wù)器分析該請(qǐng)求，先查看自己緩存中是否有請(qǐng)求數(shù)據(jù)，如果有就直接傳遞給客戶端，如果沒有就代替客戶端向該服務(wù)器發(fā)出請(qǐng)求。服務(wù)器響應(yīng)以后，代理服務(wù)將響應(yīng)的數(shù)據(jù)傳遞給客戶端，同時(shí)在自己的緩存中保留一份該數(shù)據(jù)的拷貝。這樣，再有客戶端請(qǐng)求相同的數(shù)據(jù)時(shí)，代理服務(wù)器就可以直接將數(shù)據(jù)傳送給客戶端，而不需要再向該服務(wù)器發(fā)起請(qǐng)求，如圖3-2-4所示。

圖3-2-4 通過代理服務(wù)器訪問Internet

2．代理服務(wù)器功能

一般說來，代理服務(wù)器具有以下的功能：（1）通過緩存增加訪問速度。

隨著Internet的迅猛發(fā)展，網(wǎng)絡(luò)帶寬變得越來越珍貴。所以為了提高訪問速度，好多ISP都提供代理服務(wù)器，通過代理服務(wù)器的緩存功能來加快網(wǎng)絡(luò)的訪問速度。一般說來，大多數(shù)的代理服務(wù)器都支持HTTP緩存，但是，有的代理服務(wù)器也支持FTP緩存。在選擇代理服務(wù)器時(shí)，對(duì)于大多數(shù)的組織，只需要HTTP緩存功能就足夠了。

通常，緩存有主動(dòng)緩存被動(dòng)緩存之分。所謂被動(dòng)緩存，指的是代理服務(wù)器只在客戶端請(qǐng)求數(shù)據(jù)時(shí)才將服務(wù)器返回的數(shù)據(jù)進(jìn)行緩存，如果數(shù)據(jù)過期了，又有客戶端請(qǐng)求相同的數(shù)據(jù)時(shí)，代理服務(wù)器又必須重新發(fā)起新的數(shù)據(jù)請(qǐng)求，在將響應(yīng)數(shù)據(jù)傳送給客戶端時(shí)又進(jìn)行新的緩存。所謂主動(dòng)緩存，就是代理服務(wù)器不斷地檢查緩存中的數(shù)據(jù)，一旦有數(shù)據(jù)過期，則代理服務(wù)器主動(dòng)發(fā)起新的數(shù)據(jù)請(qǐng)求來更新數(shù)據(jù)。這樣，當(dāng)有客戶端請(qǐng)求該數(shù)據(jù)時(shí)就會(huì)大大縮短響應(yīng)時(shí)間。對(duì)于數(shù)據(jù)中的認(rèn)證信息，大多數(shù)的代理服務(wù)器都不會(huì)進(jìn)行緩存的。

（2）提供用私有IP訪問Internet的方法。

IP地址是不可再生的寶貴資源，假如你只有有限的IP地址，但是需要提供整個(gè)組織的Internet訪問能力，那么，你可以通過使用代理服務(wù)器來實(shí)現(xiàn)這一點(diǎn)。

（3）提高網(wǎng)絡(luò)的安全性。

如果內(nèi)部用戶訪問Internet都是通過代理服務(wù)器，那么代理服務(wù)器就成為進(jìn)入Internet的唯一通道；反過來說，代理服務(wù)器也是Internet訪問內(nèi)部網(wǎng)絡(luò)的唯一通道，如果你沒有做反向代理，則對(duì)于Internet上的主機(jī)來說，你的整個(gè)內(nèi)部網(wǎng)只有代理服務(wù)器是可見的，從而大大增強(qiáng)了網(wǎng)絡(luò)的安全性。

3．傳統(tǒng)、透明和反向代理服務(wù)器（1）傳統(tǒng)代理服務(wù)器。

傳統(tǒng)代理常被用于緩存靜態(tài)網(wǎng)頁(例如：html文件和圖片文件等)到本地網(wǎng)絡(luò)上的一臺(tái)主機(jī)上(即代理服務(wù)器)。不緩存的頁面被第二次訪問的時(shí)候，瀏覽器將直接從本地代理服務(wù)器那里獲取請(qǐng)求數(shù)據(jù)而不再向原Web站點(diǎn)請(qǐng)求數(shù)據(jù)。這樣就節(jié)省了寶貴的網(wǎng)絡(luò)帶寬，而且提高了訪問速度。但是，要想實(shí)現(xiàn)這種方式，必須在每一個(gè)內(nèi)部主機(jī)的瀏覽器上明確指明代理服務(wù)器的IP地址和端口號(hào)。客戶端上網(wǎng)時(shí)，每次都把請(qǐng)求給代理服務(wù)器處理，代理服務(wù)器根據(jù)請(qǐng)求確定是否連接到遠(yuǎn)程Web服務(wù)器獲取數(shù)據(jù)。如果在本地緩沖區(qū)有目標(biāo)文件，則直接將文件傳給用戶即可。如果沒有的話則先取回文件，并在本地保存一份緩沖，然后將文件發(fā)給客戶端瀏覽器。

（2）透明代理服務(wù)器。

透明代理與傳統(tǒng)代理的功能完全相同。但是，代理操作對(duì)客戶端瀏覽器是透明的(即不需指明代理服務(wù)器的IP和端口)。透明代理服務(wù)器阻斷網(wǎng)絡(luò)通信，并且過濾出訪問外部的HTTP(80端口)流量。如果客戶端的請(qǐng)求在本地有緩沖則將緩沖的數(shù)據(jù)直接發(fā)給用戶，如果在本地沒有緩沖則向遠(yuǎn)程Web服務(wù)器發(fā)出請(qǐng)求，其余操作和傳統(tǒng)代理服務(wù)器完全相同。對(duì)于Linux操作系統(tǒng)來說，透明代理使用iptables實(shí)現(xiàn)。因?yàn)椴恍枰獙?duì)瀏覽器作任何設(shè)置，所以，透明代理對(duì)于ISP來說特別有用。

（3）反向代理服務(wù)器。

反向代理是和前兩種代理完全不同的一種代理服務(wù)。使用它可以降低原始Web服務(wù)器的負(fù)載。反向代理服務(wù)器承擔(dān)了對(duì)原始Web服務(wù)器的靜態(tài)頁面的請(qǐng)求，防止原始服務(wù)器過載。如圖3-2-5所示，它位于本地Web服務(wù)器和Internet之間，處理所有對(duì)Web服務(wù)器的請(qǐng)求。如果互聯(lián)網(wǎng)用戶請(qǐng)求的頁面在代理器上有緩沖的話，代理服務(wù)器直接將緩沖內(nèi)容發(fā)送給用戶。如果沒有緩沖則先向Web服務(wù)器發(fā)出請(qǐng)求，取回?cái)?shù)據(jù)，本地緩存后再發(fā)送給用戶。這種方式通過降低了向Web服務(wù)器的請(qǐng)求數(shù)從而降低了Web服務(wù)器的負(fù)載。

圖3-2-5 反向代理服務(wù)器位于Internet與組織服務(wù)器之間

4．代理服務(wù)器squid簡介

Squid是一個(gè)緩存Internet數(shù)據(jù)的一個(gè)開源軟件，它會(huì)接收用戶的下載申請(qǐng)，并自動(dòng)處理所下載的數(shù)據(jù)。也就是說，當(dāng)一個(gè)用戶要下載一個(gè)主頁時(shí)，他向squid發(fā)出一個(gè)申請(qǐng)，要求squid替它下載，squid連接申請(qǐng)網(wǎng)站并請(qǐng)求該主頁，然后把該主頁傳給用戶同時(shí)保留一個(gè)備份，當(dāng)別的用戶申請(qǐng)同樣的頁面時(shí)，squid把保存的備份立即傳給用戶，使用戶覺得速度相當(dāng)快。目前squid可以代理HTTP、FTP、GOPHER、SSL和WAIS協(xié)議，暫不能代理POP、NNTP等協(xié)議。但是已經(jīng)有人開始改進(jìn)squid，相信不久的將來，squid將能夠代理這些協(xié)議。

Squid不是對(duì)任何數(shù)據(jù)都進(jìn)行緩存。像信用卡賬號(hào)、可以遠(yuǎn)方執(zhí)行的Script、經(jīng)常變換的主頁等是不適合緩存的。Squid可以根據(jù)用戶的需要進(jìn)行設(shè)置，過濾掉不想要的東西。

Squid可用在很多操作系統(tǒng)中，如Digital Unix, FreeBSD, HP-UX, Linux, Solaris，OS/2等，也有不少人在其他操作系統(tǒng)中重新編譯過Squid。

Squid對(duì)內(nèi)存有一定的要求，一般不應(yīng)小于128M，硬盤最好使用服務(wù)器專用SCSI硬盤。

Squid是一個(gè)高性能的代理緩存服務(wù)器，和一般的代理緩存軟件不同，Squid用一個(gè)單獨(dú)的、非模塊化的、I/O驅(qū)動(dòng)的進(jìn)程來處理所有的客戶端請(qǐng)求。

Squid將數(shù)據(jù)元緩存在內(nèi)存中，同時(shí)也緩存DNS查詢的結(jié)果。此外，它還支持非模塊化的DNS查詢，對(duì)失敗的請(qǐng)求進(jìn)行消極緩存。Squid支持SSL，支持訪問控制。由于使用了ICP（輕量Internet緩存協(xié)議），Squid能夠?qū)崿F(xiàn)層疊的代理陣列，從而最大限度地節(jié)約帶寬。

Squid由一個(gè)主要的服務(wù)程序Squid,一個(gè)DNS查詢程序dnsserver，幾個(gè)重寫請(qǐng)求和執(zhí)行認(rèn)證的程序，以及幾個(gè)管理工具組成。當(dāng)Squid啟動(dòng)以后，它可以派生出預(yù)先指定數(shù)目的dnsserver進(jìn)程，而每一個(gè)dnsserver進(jìn)程都可以執(zhí)行單獨(dú)的DNS查詢，這樣就減少了服務(wù)器等待DNS查詢的時(shí)間。

5．Squid常用配置選項(xiàng)

因?yàn)槿笔〉呐渲梦募荒苁筍quid正常啟動(dòng)服務(wù)，所以我們必須首先修改該配置文件的有關(guān)內(nèi)容,才能讓Squid運(yùn)行起來。

下面是squid.conf文件的結(jié)構(gòu)。squid.conf配置文件的可以分為13個(gè)部分，這13個(gè)部分如下有所示。

雖然Squid的配置文件很龐大，但是如果你只是為一個(gè)中小型網(wǎng)絡(luò)提供代理服務(wù)，并且只準(zhǔn)備使用一臺(tái)服務(wù)器，則只需要修改配置文件中的幾個(gè)選項(xiàng)。

6．Squid常用命令選項(xiàng)（1）端口號(hào)。

http_port指令告訴squid在哪個(gè)端口偵聽HTTP請(qǐng)求。默認(rèn)端口是3128：http_port 3128，如果要squid作為加速器運(yùn)行則應(yīng)將它設(shè)為80。

你能使用附加http_port行來指squid偵聽在多個(gè)端口上。例如，來自某個(gè)部門的瀏覽器發(fā)送請(qǐng)求3128，然而另一個(gè)部門使8080端口?？梢詫蓚€(gè)端口號(hào)列舉出來：

http_port 3128 http_port 8080 Squid也可以使http_port指令偵聽在指定的接口地址上。squid作為防火墻運(yùn)行時(shí)，它有兩個(gè)網(wǎng)絡(luò)接口：一個(gè)內(nèi)部的和一個(gè)外部的。你可能不想接受來自外部的http請(qǐng)求。為了使squid僅僅偵聽在內(nèi)部接口上，簡單的將IP地址放在端口號(hào)前面：

http_port 192.168.1.1:3128（2）日志文件路徑。

默認(rèn)的日志目錄是squid安裝位置下的logs目錄，其路徑是/usr/local/squid/var/logs。

你必須確認(rèn)日志文件所存放的磁盤位置空間足夠。squid想確認(rèn)你不會(huì)丟失任何重要的日志信息，特別是你的系統(tǒng)被濫用或者被攻擊時(shí)。

Squid有三個(gè)主要的日志文件：cache.log、access.log和store.log。cache.log文件包含狀態(tài)性的和調(diào)試性的消息。access.log文件包含了對(duì)squid發(fā)起的每個(gè)客戶請(qǐng)求的單一行。每行平均約150個(gè)字節(jié)。假如因?yàn)槟承├碛?，你不想squid記錄客戶端請(qǐng)求日志，你能指定日志文件的路徑為/dev/null。store.log文件對(duì)大多數(shù)cache管理員來說并非很有用。它包含了進(jìn)入和離開緩存的每個(gè)目標(biāo)的記錄。平均記錄大小典型的是175-200字節(jié)。

如果squid的日志文件增加沒有限制。某些操作系統(tǒng)對(duì)單個(gè)文件強(qiáng)制執(zhí)行2G的大小限制，即使你有充足的磁盤空間。超過該限制會(huì)導(dǎo)致寫錯(cuò)誤，squid就會(huì)退出。（3）訪問控制。

squid默認(rèn)的配置文件拒絕每一個(gè)客戶請(qǐng)求。在任何人能使用代理之前，你必須在squid.conf文件里加入附加的訪問控制規(guī)則。最簡單的方法就是定義一個(gè)針對(duì)客戶IP地址的ACL和一個(gè)訪問規(guī)則，告訴squid允許來自這些地址的HTTP請(qǐng)求。squid有許多不同的ACL類型。src類型匹配客戶IP地址，squid會(huì)針對(duì)客戶HTTP請(qǐng)求檢查http_access規(guī)則。

acl MyNetwork src 192.168.0.0/16 http_access allow MyNetwork 請(qǐng)將這些行放在正確的位置。http_access的順序非常重要。在第一次編輯squid.conf文件時(shí)，請(qǐng)看如下注釋：

在該注釋之后，以及“http_access deny all”之前插入新規(guī)則。（4）命令選項(xiàng)。

這里的很多選項(xiàng)在實(shí)際應(yīng)用中從不會(huì)使用，另外有些僅僅在調(diào)試問題時(shí)有用。

? 實(shí)驗(yàn)步驟

? Windows 2003防火墻

一．防火墻基礎(chǔ)操作

操作概述：啟用windows2003系統(tǒng)防火墻，設(shè)置規(guī)則阻斷ICMP回顯請(qǐng)求數(shù)據(jù)包，并驗(yàn)證針對(duì)UDP連接工具的例外操作。

（1）在啟用防火墻之前，同組主機(jī)通過ping指令互相測(cè)試網(wǎng)絡(luò)連通性，確?；ハ嗍沁B通的，若測(cè)試未通過請(qǐng)排除故障。

（2）本機(jī)啟用防火墻，并設(shè)置防火墻僅對(duì)“本地連接”進(jìn)行保護(hù)。

（3）同組主機(jī)再次通過ping指令互相測(cè)試網(wǎng)絡(luò)連通性，確認(rèn)是否相互連通_______。（4）設(shè)置本機(jī)防火墻允許其傳入ICMP回顯請(qǐng)求。（5）第三次測(cè)試網(wǎng)絡(luò)連通性。二．防火墻例外操作

操作概述：啟用windows2003系統(tǒng)防火墻，在“例外”選項(xiàng)卡中添加程序“UDPtools” 允許UDPtools間通信，并彈出網(wǎng)絡(luò)連接提示信息。

（1）關(guān)閉防火墻，同組主機(jī)間利用UDPtools進(jìn)行數(shù)據(jù)通信，確保通信成功。

「說明」 UDPtools通信雙方應(yīng)分別為客戶端和服務(wù)端，其默認(rèn)通過2513/UDP端口進(jìn)行通信，可以自定義通信端口，運(yùn)行如圖3-1-1所示。

圖3-1-1 UDP連接工具

（2）本機(jī)啟用防火墻(僅對(duì)本地連接)，將本機(jī)作為UDPtools服務(wù)器端，同組主機(jī)以UDPtools客戶端身份進(jìn)行通信，確定客戶端通信請(qǐng)求是否被防火墻阻塞_______。

（3）斷開UDPtools通信，單擊“例外”選項(xiàng)卡，在“程序和服務(wù)”列表框添加程序“UDPtools.exe”（C:JLCSSTOOLSAnalysertoolsUdpTools.exe）并將其選中。再次啟動(dòng)UDPtools并以服務(wù)器身份運(yùn)行，同組主機(jī)仍以客戶端身份與其通信，確定客戶端通信請(qǐng)求是否被防火墻阻塞_______。

三．NAT操作

操作概述：Windows Server 2003“路由和遠(yuǎn)程訪問”服務(wù)包括NAT路由協(xié)議。如果將NAT路由協(xié)議安裝和配置在運(yùn)行“路由和遠(yuǎn)程訪問”的服務(wù)器上，則使用專用IP地址的內(nèi)部網(wǎng)絡(luò)客戶端可以通過NAT服務(wù)器的外部接口訪問Internet。

圖3-1-2 實(shí)驗(yàn)網(wǎng)絡(luò)連接示意

參看圖3-1-2，當(dāng)內(nèi)部網(wǎng)絡(luò)主機(jī)PC1發(fā)送要連接Internet主機(jī)PC2的請(qǐng)求時(shí)，NAT協(xié)議驅(qū)動(dòng)程序會(huì)截取該請(qǐng)求，并將其轉(zhuǎn)發(fā)到目標(biāo)Internet主機(jī)。所有請(qǐng)求看上去都像是來自NAT器的外部連接IP地址，這樣就隱藏了內(nèi)部網(wǎng)絡(luò)主機(jī)。

在這里我們將windows Server 2003主機(jī)配置成為“路由和遠(yuǎn)程訪問”NAT服務(wù)器，并模擬搭建Internet網(wǎng)絡(luò)環(huán)境對(duì)NAT服務(wù)器進(jìn)行測(cè)試。

（1）實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)湟?guī)劃。

按圖3-1-2所示，本實(shí)驗(yàn)需3臺(tái)主機(jī)共同完成，其中一臺(tái)主機(jī)扮演實(shí)驗(yàn)角色“內(nèi)網(wǎng)主機(jī)PC1”,一臺(tái)主機(jī)扮演實(shí)驗(yàn)角色“外網(wǎng)主機(jī)PC2”,最后一臺(tái)主機(jī)扮演“NAT服務(wù)器”。

默認(rèn)外部網(wǎng)絡(luò)地址202.98.0.0／24；內(nèi)部網(wǎng)絡(luò)地址172.16.0.0／24，也可根據(jù)實(shí)際情況指定內(nèi)網(wǎng)與外網(wǎng)地址。

默認(rèn)主機(jī)“本地連接”為內(nèi)部網(wǎng)絡(luò)接口；“外部連接“為外部網(wǎng)絡(luò)接口，也可指定“本地連接”為外部網(wǎng)絡(luò)接口。

（2）按步驟(1)中規(guī)劃分別為本機(jī)的“本地連接”、“外部連接”配置IP地址。

（3）配置NAT路由服務(wù)。依次單擊“開始”|“程序”|“管理工具”|“路由和遠(yuǎn)程訪問”，在“路由和遠(yuǎn)程訪問”MMC中，選擇要安裝NAT路由協(xié)議的服務(wù)器(這里為本地主機(jī))，右鍵單擊在彈出菜單中選擇“配置并啟用路由和遠(yuǎn)程訪問”。

「注」 操作期間若彈出“為主機(jī)名啟用了Windows防火墻/Internet連接共享服務(wù)……”警告信息，請(qǐng)先禁用“Windows防火墻/Internet連接共享”服務(wù)，后重試操作。具體做法：“開始”|“程序”| “管理工具”|“計(jì)算機(jī)管理”|“服務(wù)和應(yīng)用程序”|“服務(wù)”，在右側(cè)服務(wù)列表中選擇“Windows Firewall/Internet Connection Sharing(ICS)”服務(wù)，先將其停止，然后在啟動(dòng)類型中將其禁用。

（4）在“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А敝羞x擇“網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)”服務(wù)。

（5）在“NAT Internet連接”界面中指定連接到Internet的網(wǎng)絡(luò)接口，該網(wǎng)絡(luò)接口對(duì)于Internet來說是可見的。若在步驟(1)中已將“外部連接”指定為公共接口，則此處應(yīng)選擇“外部連接”。

（6）本實(shí)驗(yàn)中沒有應(yīng)用到DHCP、DNS服務(wù)，所以在“名稱和地址轉(zhuǎn)換服務(wù)”界面中選擇“我將稍后設(shè)置名稱和地址服務(wù)”。至最后完成路由和遠(yuǎn)程訪問配置。

（7）接下來的工作是對(duì)各NAT服務(wù)器進(jìn)行測(cè)試。下面以主機(jī)ABC為例進(jìn)行測(cè)試說明：參照?qǐng)D3-1-2，設(shè)定主機(jī)A為內(nèi)網(wǎng)主機(jī)PC1，將其內(nèi)部網(wǎng)絡(luò)接口(默認(rèn)為“本地連接”)的默認(rèn)網(wǎng)關(guān)指向主機(jī)B的內(nèi)部網(wǎng)絡(luò)接口(默認(rèn)為“本地連接”)；設(shè)定主機(jī)C為外網(wǎng)主機(jī)PC2。內(nèi)網(wǎng)主機(jī)A通過ping指令對(duì)外網(wǎng)主機(jī)C做連通性測(cè)試。

（8）ICMP會(huì)話分析。在主機(jī)A做連通性測(cè)試的同時(shí)，主機(jī)B打開“協(xié)議分析器”并定義過濾器，操作如下：依次單擊菜單項(xiàng)“設(shè)置”|“過濾器”，在“協(xié)議過濾”選項(xiàng)卡“協(xié)議樹”中選中“ICMP”協(xié)議。依次單擊按鈕“新建捕獲窗口”|“開始捕獲數(shù)據(jù)包”，在彈出的“適配器選擇”界面中選擇“外部連接”，開始捕獲。觀察狀態(tài)欄“捕獲幀數(shù)”窗格，當(dāng)捕獲到數(shù)據(jù)時(shí)單擊“停止捕獲數(shù)據(jù)包”按鈕，依次展開“會(huì)話分析樹”|“ICMP會(huì)話”，如圖3-1-3所示。

圖3-1-3 在NAT服務(wù)器外部接口上監(jiān)聽到的ICMP會(huì)話

（9）結(jié)合ICMP會(huì)話分析結(jié)果說出ICMP數(shù)據(jù)包的傳輸（路由）過程_________。

? linux防火墻-iptable的應(yīng)用

一．包過濾實(shí)驗(yàn)

操作概述：為了應(yīng)用iptables的包過濾功能，首先我們將filter鏈表的所有鏈規(guī)則清空，并設(shè)置鏈表默認(rèn)策略為DROP(禁止)。通過向INPUT規(guī)則鏈插入新規(guī)則，依次允許同組主機(jī)icmp回顯請(qǐng)求、Web請(qǐng)求，最后開放信任接口eth0。iptables操作期間需同組主機(jī)進(jìn)行操作驗(yàn)證。

（1）清空filter鏈表所有規(guī)則鏈規(guī)則。iptables命令________。

（2）確定同組主機(jī)已清空filter鏈表后，利用nmap（/opt/portscan/目錄下）對(duì)同組主機(jī)進(jìn)行端口掃描。

nmap端口掃描命令________。

「說明」 nmap具體使用方法可查看實(shí)驗(yàn)6｜練習(xí)1｜TCP端口掃描。查看端口掃描結(jié)果，并填寫下表。

（3）查看INPUT、FORWARD和OUTPUT鏈默認(rèn)策略。iptables命令_________。

? ?（4）將INPUT、FORWARD和OUTPUT鏈默認(rèn)策略均設(shè)置為DROP。iptables命令_________。

確定同組主機(jī)已將默認(rèn)策略設(shè)置為DROP后，本機(jī)再次利用nmap其進(jìn)行端口掃描，查看掃描結(jié)果，并利用ping命令進(jìn)行連通性測(cè)試。

（5）利用功能擴(kuò)展命令選項(xiàng)(ICMP)設(shè)置防火墻僅允許ICMP回顯請(qǐng)求及回顯應(yīng)答。ICMP回顯請(qǐng)求類型__________；代碼__________。ICMP回顯應(yīng)答類型__________；代碼__________。iptables命令__________ 利用ping指令測(cè)試本機(jī)與同組主機(jī)的連通性。（6）對(duì)外開放Web服務(wù)(默認(rèn)端口80/tcp)。iptables命令__________ 利用nmap對(duì)同組主機(jī)進(jìn)行端口掃描，查看掃描結(jié)果。

（7）設(shè)置防火墻允許來自eth0(假設(shè)eth0為內(nèi)部網(wǎng)絡(luò)接口)的任何數(shù)據(jù)通過。iptables命令_______ 利用nmap對(duì)同組主機(jī)進(jìn)行端口掃描，查看掃描結(jié)果。二．事件審計(jì)實(shí)驗(yàn)

操作概述：利用iptables的日志功能檢測(cè)、記錄網(wǎng)絡(luò)端口掃描事件，日志路徑 /var/log/iptables.log。（1）根據(jù)實(shí)驗(yàn)原理(TCP擴(kuò)展)設(shè)計(jì)iptables包過濾規(guī)則，并應(yīng)用日志生成工具ULOG對(duì)iptables捕獲的網(wǎng)絡(luò)事件進(jìn)行響應(yīng)。

iptables命令__________（2）同組主機(jī)應(yīng)用端口掃描工具對(duì)當(dāng)前主機(jī)進(jìn)行端口掃描，并觀察掃描結(jié)果。（3）在同組主機(jī)端口掃描完成后，當(dāng)前主機(jī)查看iptables日志，對(duì)端口掃描事件進(jìn)行審計(jì)，日志內(nèi)容如圖3-2-1所示。

圖3-2-1 iptables日志內(nèi)容

三．狀態(tài)檢測(cè)實(shí)驗(yàn)

操作概述：分別對(duì)新建和已建的網(wǎng)絡(luò)會(huì)話進(jìn)行狀態(tài)檢測(cè)。1．對(duì)新建的網(wǎng)絡(luò)會(huì)話進(jìn)行狀態(tài)檢測(cè)（1）清空filter規(guī)則鏈全部內(nèi)容。iptables命令__________（2）設(shè)置全部鏈表默認(rèn)規(guī)則為允許。iptables命令__________（3）設(shè)置規(guī)則禁止任何新建連接通過。iptables命令__________（4）同組主機(jī)對(duì)當(dāng)前主機(jī)防火墻規(guī)則進(jìn)行測(cè)試，驗(yàn)證規(guī)則正確性。2．對(duì)已建的網(wǎng)絡(luò)會(huì)話進(jìn)行狀態(tài)檢測(cè)

（1）清空filter規(guī)則鏈全部內(nèi)容，并設(shè)置默認(rèn)規(guī)則為允許。

（2）同組主機(jī)首先telnet遠(yuǎn)程登錄當(dāng)前主機(jī)，當(dāng)出現(xiàn)“l(fā)ogin:”界面時(shí)，暫停登錄操作。telnet登錄命令_________（3）iptables添加新規(guī)則(狀態(tài)檢測(cè))——僅禁止新建網(wǎng)絡(luò)會(huì)話請(qǐng)求。iptables命令___________ 或___________________ 同組主機(jī)續(xù)(1)步驟繼續(xù)執(zhí)行遠(yuǎn)程登錄操作，嘗試輸入登錄用戶名“guest”及口令“guestpass”，登錄是否成功__________。

同組主機(jī)啟動(dòng)Web瀏覽器訪問當(dāng)前主機(jī)Web服務(wù)，訪問是否成功__________。解釋上述現(xiàn)象______________________。

（4）刪除步驟（3）中添加的規(guī)則，并插入新規(guī)則(狀態(tài)檢測(cè))——僅禁止已建網(wǎng)絡(luò)會(huì)話請(qǐng)求。iptables命令______________________________ 或________________________________________ iptables命令______________________________ 或________________________________________ 重新操作實(shí)驗(yàn)步驟(1)(2)(4)。同組主機(jī)續(xù)(1)步驟繼續(xù)執(zhí)行遠(yuǎn)程登錄操作，嘗試輸入登錄用戶名“guest”及口令 “guestpass”，登錄是否成功__________。

同組主機(jī)啟動(dòng)Web瀏覽器訪問當(dāng)前主機(jī)Web服務(wù)，訪問是否成功__________。解釋上述現(xiàn)象_______________。

（5）當(dāng)前主機(jī)再次清空filter鏈表規(guī)則，并設(shè)置默認(rèn)策略為DROP,添加規(guī)則開放FTP服務(wù)，并允許遠(yuǎn)程用戶上傳文件至FTP服務(wù)器。

iptables命令______________________________________ 四．NAT轉(zhuǎn)換實(shí)驗(yàn)

實(shí)驗(yàn)概述：圖3-2-2描述了NAT轉(zhuǎn)換實(shí)驗(yàn)所應(yīng)用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。內(nèi)網(wǎng)主機(jī)與NAT服務(wù)器eth0接口位于同一網(wǎng)段(內(nèi)網(wǎng))；外網(wǎng)主機(jī)與NAT服務(wù)器eth1接口位于同一網(wǎng)絡(luò)(外網(wǎng))；NAT服務(wù)器提供NAT轉(zhuǎn)換。通過設(shè)置nat服務(wù)器的iptables NAT規(guī)則，實(shí)現(xiàn)內(nèi)、外網(wǎng)主機(jī)間的通信數(shù)據(jù)包的地址轉(zhuǎn)換，達(dá)到屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與轉(zhuǎn)發(fā)外網(wǎng)主機(jī)請(qǐng)求端口的目的。

圖3-2-2 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)

「說明」 本實(shí)驗(yàn)是在Linux系統(tǒng)下完成，Linux系統(tǒng)默認(rèn)安裝了2塊以太網(wǎng)卡，網(wǎng)絡(luò)接口分別為eth0和eth1，在設(shè)置NAT服務(wù)前請(qǐng)激活eth1網(wǎng)絡(luò)接口，命令ifconfig eth1 up。

1．確定各接口IP地址

本實(shí)驗(yàn)由ABC、DEF主機(jī)各為一實(shí)驗(yàn)小組。默認(rèn)實(shí)驗(yàn)角色：主機(jī)A為內(nèi)網(wǎng)主機(jī)、B為NAT服務(wù)器、C為外網(wǎng)主機(jī)。也可以自定義實(shí)驗(yàn)角色。

默認(rèn)內(nèi)網(wǎng)IP地址192.168.0.0/

24、外網(wǎng)IP地址202.98.0.0/24。配置完成內(nèi)網(wǎng)主機(jī)eth0接口IP地址及默認(rèn)網(wǎng)關(guān)(指向NAT服務(wù)器內(nèi)網(wǎng)接口)，NAT服務(wù)器eth0和eth1接口IP地址，外網(wǎng)主機(jī)eth0接口IP地址，并完成下列問題的填寫：

內(nèi)網(wǎng)主機(jī)IP____________________，其默認(rèn)網(wǎng)關(guān)____________________； 外網(wǎng)主機(jī)IP____________________；

NAT服務(wù)器內(nèi)網(wǎng)接口IP____________________、外網(wǎng)接口IP____________________。

內(nèi)網(wǎng)主機(jī)對(duì)NAT服務(wù)器內(nèi)網(wǎng)接口進(jìn)行連通性測(cè)試（ping）；外網(wǎng)主機(jī)對(duì)NAT服務(wù)器外網(wǎng)接口進(jìn)行連通性測(cè)試（ping）。

2．設(shè)置防火墻規(guī)則允許內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)

操作流程：首先開啟NAT服務(wù)器的路由功能(開啟網(wǎng)絡(luò)接口間數(shù)據(jù)的轉(zhuǎn)發(fā))，清空filter鏈表全部規(guī)則，并設(shè)置其默認(rèn)策略為DROP；繼續(xù)設(shè)置規(guī)則允許來自內(nèi)網(wǎng)的數(shù)據(jù)流進(jìn)入外網(wǎng)，并允許任何返回流量回到內(nèi)網(wǎng)；最后規(guī)則實(shí)現(xiàn)內(nèi)網(wǎng)、外網(wǎng)接口間的數(shù)據(jù)轉(zhuǎn)發(fā)。

（1）NAT服務(wù)器開啟路由功能。

基于安全的考慮，默認(rèn)情況下Linux路由數(shù)據(jù)包的功能是關(guān)閉的，通過下述命令開啟系統(tǒng)路由功能：

（2）設(shè)置filter表規(guī)則鏈，默認(rèn)策略為禁止。iptables命令_______________________（3）添加filter表新規(guī)則，允許來自防火墻的流量進(jìn)入Internet；允許任何相關(guān)的返回流量回到防火墻。

iptables命令_______________________（4）添加filter表新規(guī)則，實(shí)現(xiàn)NAT服務(wù)器內(nèi)部網(wǎng)絡(luò)接口eth0與外部網(wǎng)絡(luò)接口eth1間的數(shù)據(jù)轉(zhuǎn)發(fā)。iptables命令_______________________（5）主機(jī)C啟動(dòng)Snort（/opt/ids/snort）以網(wǎng)絡(luò)嗅探方式運(yùn)行(設(shè)置過濾器僅監(jiān)聽icmp數(shù)據(jù)包)，主機(jī)A ping探測(cè)主機(jī)C，是否ping通______？

將主機(jī)C的默認(rèn)網(wǎng)關(guān)指向NAT服務(wù)器的外網(wǎng)接口，主機(jī)A再次ping探測(cè)主機(jī)C，是否ping通__________？結(jié)合snort捕獲數(shù)據(jù)，對(duì)比實(shí)驗(yàn)現(xiàn)象，說明原因：___________________。

3．設(shè)置防火墻規(guī)則通過NAT屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

操作流程：在實(shí)現(xiàn)步驟2的操作基礎(chǔ)上，添加nat表新規(guī)則實(shí)現(xiàn)數(shù)據(jù)從內(nèi)網(wǎng)到外網(wǎng)的地址翻譯。（1）NAT服務(wù)器重新啟動(dòng)iptables服務(wù)。service iptables restart（2）重新操作步驟2(⑵～⑶)。

（3）添加nat表新規(guī)則，通過網(wǎng)絡(luò)地址翻譯實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換。iptables命令_______________________（4）添加filter表新規(guī)則，實(shí)現(xiàn)NAT內(nèi)部網(wǎng)絡(luò)接口eth0與外部網(wǎng)絡(luò)接口eth1之間的數(shù)據(jù)轉(zhuǎn)發(fā)。iptables命令_______________________（5）主機(jī)C重新將默認(rèn)網(wǎng)關(guān)指為空，重新啟動(dòng)Snort捕獲ICMP數(shù)據(jù)。主機(jī)A對(duì)主機(jī)C進(jìn)行ping探測(cè)，是否ping通__________？主機(jī)C停止Snort監(jiān)聽，查看已捕獲到ICMP數(shù)據(jù)，其源IP地址是__________？解釋實(shí)驗(yàn)象_____________________________________。

4．設(shè)置防火墻規(guī)則通過NAT實(shí)現(xiàn)外網(wǎng)請(qǐng)求端口轉(zhuǎn)發(fā)

操作流程：在實(shí)現(xiàn)步驟3的操作基礎(chǔ)，添加nat表新規(guī)則實(shí)現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯(端口轉(zhuǎn)發(fā))。（1）NAT服務(wù)器重新啟動(dòng)iptables服務(wù)。service iptables restart（2）重新操作步驟3(⑵～⑷)。

（3）添加nat表新規(guī)則，實(shí)現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯（80/tcp端口轉(zhuǎn)發(fā)）。iptables命令__________________(4)完成NAT外部接口eth1到內(nèi)部接口eth0之間的數(shù)據(jù)轉(zhuǎn)發(fā) iptables命令__________________（5）確定主機(jī)C默認(rèn)網(wǎng)關(guān)指為空，主機(jī)A和主機(jī)C啟動(dòng)Snort捕獲80/tcp數(shù)據(jù)，主機(jī)C啟動(dòng)Web瀏覽器，在地址欄中輸入：http://202.98.0.150，觀察訪問結(jié)果，回答下列問題：

主機(jī)C訪問是否成功__________？若成功，其訪問的是哪臺(tái)主機(jī)的Web主頁__________（主機(jī)A/主機(jī)B）？

主機(jī)C停止Snort捕獲，觀察80/tcp會(huì)話的源、目的IP地址對(duì)__________________。主機(jī)A停止Snort捕獲，觀察80/tcp會(huì)話的源、目的IP地址對(duì)__________________。解釋上述實(shí)驗(yàn)現(xiàn)象______________________________________________________。五．應(yīng)用代理實(shí)驗(yàn)

實(shí)驗(yàn)概述：使用iptables+squid方式來實(shí)現(xiàn)傳統(tǒng)代理、透明代理和反向代理。

實(shí)驗(yàn)角色說明如下：

內(nèi)網(wǎng)客戶端僅需啟用“本地連接”，其IP地址形式如下：172.16.X.Y，子網(wǎng)掩碼255.255.255.0,其中X為所屬實(shí)驗(yàn)組編號(hào)（1-32）,Y為主機(jī)編號(hào)（1-6）,例如第4組主機(jī)A的IP地址為172.16.4.4。

代理服務(wù)器需要啟動(dòng)內(nèi)部網(wǎng)絡(luò)接口eth0和外部網(wǎng)絡(luò)接口eth1。內(nèi)部IP地址形式同內(nèi)網(wǎng)客戶端，外部IP地址形式如下：202.98.X.Y，子網(wǎng)掩碼255.255.255.0，其中X為所屬實(shí)驗(yàn)組號(hào)（1-32）,Y為主機(jī)編號(hào)，例如第4組主機(jī)B的內(nèi)部IP地址為172.16.4.2，外部IP地址為202.98.4.2。

外網(wǎng)Web服務(wù)器僅需啟用“本地連接”，其IP地址形式如下：202.98.X.Y，子網(wǎng)掩碼255.255.255.0，其中X為所屬實(shí)驗(yàn)組號(hào)（1-32），Y為主機(jī)編號(hào)（1-6），例如第4組主機(jī)C的IP地址為202.98.4.3。

在進(jìn)行實(shí)驗(yàn)操作前，首先清空防火墻規(guī)則。1．傳統(tǒng)代理

（1）外網(wǎng)Web服務(wù)器手動(dòng)分配IP地址，并確認(rèn)本地Web服務(wù)已啟動(dòng)。

（2）代理服務(wù)器激活網(wǎng)絡(luò)接口eth1，并手動(dòng)分配IP地址，可通過以下兩種方式激活eth1： 通過“桌面”｜“管理”｜“網(wǎng)絡(luò)”激活eth1，并手動(dòng)分配IP地址； 在控制臺(tái)中輸入命令ifconfig eth1 up激活eth1,輸入命令ifconfig eth1 202.98.X.Y/24為eth1分配IP地址。（3）代理服務(wù)器配置squid。

代理服務(wù)器進(jìn)入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf。在squid.conf中配置如下選項(xiàng)：

第936行，使用默認(rèn)的端口http_port 3128；

第574行，添加行acl mynet src 主機(jī)A地址域。例如acl mynet src 172.16.1.0/24； 第610行，添加行http_access allow mynet。（4）運(yùn)行代理服務(wù)器

代理服務(wù)器進(jìn)入目錄/usr/local/squid/sbin/，輸入命令：./squid –NCd1啟動(dòng)代理服務(wù)。（5）通過代理訪問Web服務(wù)器

內(nèi)網(wǎng)客戶端打開IE瀏覽器，通過“工具”｜“Internet選項(xiàng)”｜“連接”｜“局域網(wǎng)設(shè)置”選中“為LAN使用代理服務(wù)器”，在“地址”中輸入代理服務(wù)器的內(nèi)網(wǎng)IP，在“端口”中輸入代理服務(wù)器的監(jiān)聽端口號(hào)，單擊“確定”按鈕，完成瀏覽器設(shè)置。

內(nèi)網(wǎng)客戶端在IE瀏覽器地址欄中輸入“http://外網(wǎng)Web服務(wù)器IP地址”，即可訪問到Web頁面。（6）驗(yàn)證代理服務(wù)器的作用

內(nèi)網(wǎng)客戶訪問外網(wǎng)Web服務(wù)，是否可以訪問到頁面__________。

外網(wǎng)Web服務(wù)器關(guān)閉Web服務(wù)，代理服務(wù)器訪問外網(wǎng)Web服務(wù)，是否可以訪問到頁面__________。內(nèi)網(wǎng)客戶端再次訪問外網(wǎng)Web服務(wù)，是否可以訪問到頁面__________，為什么？____________。2．透明代理

（1）外網(wǎng)Web服務(wù)器開啟Web服務(wù)。（2）代理服務(wù)器配置squid。

代理服務(wù)器進(jìn)入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf，配置如下選項(xiàng)： 第936行，修改為：http_port 主機(jī)B內(nèi)網(wǎng)IP:3128 transparent（3）代理服務(wù)器添加iptables規(guī)則。

對(duì)從代理服務(wù)器內(nèi)網(wǎng)接口進(jìn)入的、基于tcp協(xié)議的、目的端口是80的數(shù)據(jù)包，做“端口重定向”。將數(shù)據(jù)包重定向到3128端口，規(guī)則如下：

iptables-t nat-A PREROUTING-i eth0-p tcp-m tcp--dport 80-j REDIRECT--to-ports 3128（4）運(yùn)行代理服務(wù)器。

（5）通過代理訪問Web服務(wù)器。

內(nèi)網(wǎng)客戶端將本地連接的“默認(rèn)網(wǎng)關(guān)”設(shè)置為代理服務(wù)器的內(nèi)網(wǎng)IP，即代理服務(wù)器的eth0網(wǎng)絡(luò)接口的IP。內(nèi)網(wǎng)客戶端打開IE瀏覽器，通過“工具”｜“Internet選項(xiàng)”｜“連接”｜“局域網(wǎng)設(shè)置”，取消“為LAN使用代理服務(wù)器”。

內(nèi)網(wǎng)客戶端在IE瀏覽器地址欄輸入“http://外網(wǎng)Web服務(wù)器的IP”，即可訪問到外網(wǎng)Web服務(wù)器的Web頁面。

3．反向代理

（1）內(nèi)網(wǎng)客戶端開啟Web服務(wù)。（2）代理服務(wù)器配置squid。

代理服務(wù)器進(jìn)入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf，配置如下選項(xiàng)： 第936行，修改為：http_port 主機(jī)B外網(wǎng)地址:80 vhost。

第1499行，添加行：cache_peer 主機(jī)A的IP parent 80 0 no-query originserver。第574行，修改為：acl outside src 主機(jī)C地址域。例如acl outside src 202.98.1.0/24。第610行，修改為：http_access allow outside。（3）停止代理服務(wù)器的Web服務(wù)。

在代理服務(wù)器的終端輸入命令：service httpd stop。（4）刪除緩存文件。

刪除目錄/usr/local/squid/var/cache/00/00下所有文件。（5）運(yùn)行代理服務(wù)器。

（6）外網(wǎng)通過代理訪問內(nèi)網(wǎng)客戶端Web服務(wù)

外網(wǎng)Web服務(wù)器在IE瀏覽器地址欄中輸入“http://代理服務(wù)器外網(wǎng)IP”即可訪問到內(nèi)網(wǎng)客戶端的Web頁面。