close
投影片 4
UbuntuServer 簡易安裝
投影片 4
¢Linux 伺服器(Ubuntu 10.04) 建立以下服務(192.168.2.200/24)
l網頁伺服器(Aapche2)
l
lSSH 登入服務
l
¢位於 dmz 區,提供測試投影片 5
UbuntuDesk 簡易安裝(192.168.1.64/24)
投影片 5
投影片 6
投影片 5
¢安裝 Ubuntu Desktop
¢作為 inside 桌面主機以供測試
¢可安裝網路客戶端各式應用軟體
lFirefox
lSSH client
Student XP 學生主機(140.137.214.223/24)
投影片 6
Internet(internet gateway 140.137.214.254 internet DNS 168.95.1.1)
真實 Global Internet 環境
測試所有 Global Services
可以透過 Gateway (router, IP 分享器, Proxy…) 等連接全球網際網路
Internet DNS 可以以 Hinet DNS 作為測試點
網路架構 (Network & Routers)
Network Topology: inside, dmz, outside 三區
inside zone
192.168.1.0 /24 網路
連接 VMnet1,即 “HostOnly” 虛擬網卡
企業內部網路,完全保護區
dmz zone
192.168.2.0 /24 網路
連接 VMnet2 (須先新增另一個HostOnly 虛擬網卡)
企業內部網路,開放服務區
Outside zone - 140.137.214.0 /24 網路
連接 VMnet0,即 “Bridge” 虛擬網卡
也是 Internet 網路(公開位址)
Routers:
linsideRouter
•連接 inside 與 dmz
•提供企業內部主機連外上網
•保護企業內部網路不受入侵
•提供 DHCP 服務
loutsideRouter
•連接 dmz 與 outside
•提供外部主機連入,存取企業網路開放服務(WWW, FTP…)
•保護企業內部網路未開放之服務
•提供 NAT/PAT 轉址服務
內部 inside 網路 - 192.168.1.0/24
DHCP 用戶 ( .64 - .95 ) 共 32 位址自動分配
位址 .1 為 insideRouter fa0/0 介面位址 (內部 inside Gateway)
內部 dmz 網路 - 192.168.2.0/24
DHCP 用戶 ( .64 - .95 ) 共 32 位址自動分配
位址 .1 為 outsideRouter fa1/0 介面位址 (內部 dmz Gateway)
位址 .2 為 InsodeRouter fa1/0 介面位址
位址 .200 為 Web, Mail, FTP 伺服器位址
網際網路 outside 網路 – 140.137.214.0/24
公司向 ISP 申請 class B 網路的子網段 (140.137.214.0/24) 供配置使用
位址 .254 為外部路由器位址 (外部 outside Gateway)
位址 .161 為 outsideRouter fa2/0 介面位址
位址 .163 為 Web, Mail, FTP 伺服器網際網路位址 (NAT 轉址)
位址 .171-.175 為 inside 內部網路主機的網際網路位址 (NAT 轉址)
位址 .176-.180 為內部 dmz 網路主機的網際網路位址 (NAT 轉址)
NAT/PAT Policy
內部 inside 網路 192.168.1.0/24 所有主機
出 outside 網路時,來源位址轉為 140.137.214.171 – .175
出 dmz 網路時,不作轉址
內部 dmz 網路 192.168.2.0/24 所有主機
出 outside 網路時,來源位址轉為 140.137.214.176 – .180
出 inside 網路時,不作轉址
Web, Mail, FTP 伺服器位址對映 (static mapping)
(真實位址) 內部 dmz 網路位址 - 192.168.2.200
(公開位址) 網際網路 outside 網路位址 - 140.137.214.163
IP Routing
Default Route (0.0.0.0 0.0.0.0)
insideRouter: 由 RIP 學得 (outsideRouter 告知)
outsideRouter: 140.137.214.254
Dynamic Routing Protocol
RIPv2 with auto-summary
Routing Network
192.168.1.0/24
192.168.2.0/24
Passive-Interface
outsideRouter fa0/0
MD5 驗證
建立 key-chain (金鑰),採取 MD5 密文模式
Access Policy (Services)
網際網路 (outside) 上的用戶
可存取內部 dmz 網路上的 Web、Mail 與 FTP伺服器
拒絕其對內部 dmz 網路上其他主機的存取
拒絕其對內部 inside 網路上其他主機的存取
內部 dmz 網路上的所有用戶
可以不受限制地存取網際網路 (outside)
拒絕其對內部 inside 網路上其他主機的存取
內部 inside 網路上的所有用戶
可以存取網際網路與內部 dmz 網路
只開放內部建立的 TCP 連線與必要 UDP 連線
Access Policy (PING Rule)
內部 inside 網路用戶
內部 inside 網路用戶可以 ping 在網際網路與內部 dmz 網路上的設備
內部 dmz 網路用戶
內部 dmz 網路用戶可以 ping 在網際網路上的設備
內部 dmz 網路用戶不能 ping 在內部 inside 網路上的設備
網際網路上的用戶
網際網路上的用戶只能 ping 到內部 dmz 網路上的 Web、Mail 與 FTP伺服器,但不能 ping 到其他設備
網際網路上的用戶不能 ping 到內部 inside 網路上的設備
Access Policy (Telnet Rule)
outsideRouter / insideRouter
只允許由內部 inside 網路用戶做 telnet 連線
必須使用 Local User 登入
Local User: cisco
Password: cisco
Privilege password (level 15)
enable secret: cisco
enable password: 12345
InsideRouter 設定檔
hostname insideRouter
enable secret cisco
enable password 12345
no service config
no service password-encryption
ip routing
ip subnet-zero
ip cef
ip classless
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
no shutdown
interface FastEthernet1/0
ip address 192.168.2.2 255.255.255.0
duplex auto
speed auto
no shutdown
key chain rip2password
key 1
key-string cisco1
key 2
key-string cisco2
router rip
version 2
network 192.168.1.0
network 192.168.2.0
auto-summary
interface FastEthernet0/0
ip rip authentication mode md5
ip rip authentication key-chain rip2password
interface FastEthernet1/0
ip rip authentication mode md5
ip rip authentication key-chain rip2password
ip dhcp pool subnet64
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 168.95.1.1
domain-name cnp.tw
ip dhcp excluded-address 192.168.1.1 192.168.1.63
ip dhcp excluded-address 192.168.1.96 192.168.1.254
username cisco password cisco
ip access-list standard permitTelnet
permit 192.168.1.0 0.0.0.255
line vty 0 4
access-class permitTelnet in
logging synchronous
login local
access-list 100 permit tcp any 192.168.1.0 0.0.0.255 established
access-list 100 permit icmp any 192.168.1.0 0.0.0.255 echo-reply
access-list 100 permit icmp any 192.168.1.0 0.0.0.255 time-exceeded
access-list 100 permit icmp any 192.168.1.0 0.0.0.255 unreachable
access-list 100 permit udp any eq domain 192.168.1.0 0.0.0.255
interface FastEthernet0/0
ip access-group 100 out
end
OutsideRouter 設定檔
hostname outsideRouter
enable secret cisco
enable password 12345
no service config
no service password-encryption
ip routing
ip subnet-zero
ip cef
ip classless
interface FastEthernet0/0
ip address 140.137.214.161 255.255.255.0
duplex auto
speed auto
no shutdown
interface FastEthernet1/0
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
no shutdown
ip route 0.0.0.0 0.0.0.0 140.137.214.254
key chain rip2password
key 1
key-string cisco1
key 2
key-string cisco2
router rip
version 2
network 192.168.2.0
redistribute static metric 10
passive-interface FastEthernet0/0
auto-summary
interface FastEthernet1/0
ip rip authentication mode md5
ip rip authentication key-chain rip2password
ip access-list extended natlist1
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended natlist2
permit ip 192.168.2.0 0.0.0.255 any
ip nat pool natpool1 140.137.214.171 140.137.214.175 netmask 255.255.255.0
ip nat pool natpool2 140.137.214.176 140.137.214.180 netmask 255.255.255.0
ip nat inside source list natlist1 pool natpool1 overload
ip nat inside source list natlist2 pool natpool2 overload
ip nat inside source static 192.168.2.200 140.137.214.163
interface FastEthernet0/0
ip nat outside
interface FastEthernet1/0
ip nat inside
username cisco password cisco
ip access-list standard permitTelnet
permit 192.168.1.0 0.0.0.255
line vty 0 4
access-class permitTelnet in
logging synchronous
login local
access-list 100 permit tcp any 192.168.2.0 0.0.0.255 established
access-list 100 permit tcp any 192.168.1.0 0.0.0.255 established
access-list 100 permit tcp any host 192.168.2.200 eq www
access-list 100 permit tcp any host 192.168.2.200 eq ftp
access-list 100 permit tcp any host 192.168.2.200 eq smtp
access-list 100 permit tcp any host 192.168.2.200 eq pop3
access-list 100 permit udp any eq domain 192.168.2.0 0.0.0.255
access-list 100 permit udp any eq domain 192.168.1.0 0.0.0.255
access-list 100 permit icmp any 192.168.2.0 0.0.0.255 echo-reply
access-list 100 permit icmp any 192.168.2.0 0.0.0.255 time-exceeded
access-list 100 permit icmp any 192.168.2.0 0.0.0.255 unreachable
access-list 100 permit icmp any 192.168.1.0 0.0.0.255 echo-reply
access-list 100 permit icmp any 192.168.1.0 0.0.0.255 time-exceeded
access-list 100 permit icmp any 192.168.1.0 0.0.0.255 unreachable
interface FastEthernet1/0
ip access-group 100 out
end
投影片 9
投影片 6
¢位於實際教室網路上
¢代表 outside / Internet 區
¢可以 VMware 架設 Guest XP
¢或直接使用教室實體主機
¢可架設各項服務(Server)提供測試
¢可擔任外部測試桌面主機(Client)
Internet(internet gateway 140.137.214.254 internet DNS 168.95.1.1)
真實 Global Internet 環境
測試所有 Global Services
可以透過 Gateway (router, IP 分享器, Proxy…) 等連接全球網際網路
Internet DNS 可以以 Hinet DNS 作為測試點
網路架構 (Network & Routers)
Network Topology: inside, dmz, outside 三區
inside zone
192.168.1.0 /24 網路
連接 VMnet1,即 “HostOnly” 虛擬網卡
企業內部網路,完全保護區
dmz zone
192.168.2.0 /24 網路
連接 VMnet2 (須先新增另一個HostOnly 虛擬網卡)
企業內部網路,開放服務區
Outside zone - 140.137.214.0 /24 網路
連接 VMnet0,即 “Bridge” 虛擬網卡
也是 Internet 網路(公開位址)
Routers:
linsideRouter
•連接 inside 與 dmz
•提供企業內部主機連外上網
•保護企業內部網路不受入侵
•提供 DHCP 服務
loutsideRouter
•連接 dmz 與 outside
•提供外部主機連入,存取企業網路開放服務(WWW, FTP…)
•保護企業內部網路未開放之服務
•提供 NAT/PAT 轉址服務
內部 inside 網路 - 192.168.1.0/24
DHCP 用戶 ( .64 - .95 ) 共 32 位址自動分配
位址 .1 為 insideRouter fa0/0 介面位址 (內部 inside Gateway)
內部 dmz 網路 - 192.168.2.0/24
DHCP 用戶 ( .64 - .95 ) 共 32 位址自動分配
位址 .1 為 outsideRouter fa1/0 介面位址 (內部 dmz Gateway)
位址 .2 為 InsodeRouter fa1/0 介面位址
位址 .200 為 Web, Mail, FTP 伺服器位址
網際網路 outside 網路 – 140.137.214.0/24
公司向 ISP 申請 class B 網路的子網段 (140.137.214.0/24) 供配置使用
位址 .254 為外部路由器位址 (外部 outside Gateway)
位址 .161 為 outsideRouter fa2/0 介面位址
位址 .163 為 Web, Mail, FTP 伺服器網際網路位址 (NAT 轉址)
位址 .171-.175 為 inside 內部網路主機的網際網路位址 (NAT 轉址)
位址 .176-.180 為內部 dmz 網路主機的網際網路位址 (NAT 轉址)
NAT/PAT Policy
內部 inside 網路 192.168.1.0/24 所有主機
出 outside 網路時,來源位址轉為 140.137.214.171 – .175
出 dmz 網路時,不作轉址
內部 dmz 網路 192.168.2.0/24 所有主機
出 outside 網路時,來源位址轉為 140.137.214.176 – .180
出 inside 網路時,不作轉址
Web, Mail, FTP 伺服器位址對映 (static mapping)
(真實位址) 內部 dmz 網路位址 - 192.168.2.200
(公開位址) 網際網路 outside 網路位址 - 140.137.214.163
IP Routing
Default Route (0.0.0.0 0.0.0.0)
insideRouter: 由 RIP 學得 (outsideRouter 告知)
outsideRouter: 140.137.214.254
Dynamic Routing Protocol
RIPv2 with auto-summary
Routing Network
192.168.1.0/24
192.168.2.0/24
Passive-Interface
outsideRouter fa0/0
MD5 驗證
建立 key-chain (金鑰),採取 MD5 密文模式
Access Policy (Services)
網際網路 (outside) 上的用戶
可存取內部 dmz 網路上的 Web、Mail 與 FTP伺服器
拒絕其對內部 dmz 網路上其他主機的存取
拒絕其對內部 inside 網路上其他主機的存取
內部 dmz 網路上的所有用戶
可以不受限制地存取網際網路 (outside)
拒絕其對內部 inside 網路上其他主機的存取
內部 inside 網路上的所有用戶
可以存取網際網路與內部 dmz 網路
只開放內部建立的 TCP 連線與必要 UDP 連線
Access Policy (PING Rule)
內部 inside 網路用戶
內部 inside 網路用戶可以 ping 在網際網路與內部 dmz 網路上的設備
內部 dmz 網路用戶
內部 dmz 網路用戶可以 ping 在網際網路上的設備
內部 dmz 網路用戶不能 ping 在內部 inside 網路上的設備
網際網路上的用戶
網際網路上的用戶只能 ping 到內部 dmz 網路上的 Web、Mail 與 FTP伺服器,但不能 ping 到其他設備
網際網路上的用戶不能 ping 到內部 inside 網路上的設備
Access Policy (Telnet Rule)
outsideRouter / insideRouter
只允許由內部 inside 網路用戶做 telnet 連線
必須使用 Local User 登入
Local User: cisco
Password: cisco
Privilege password (level 15)
enable secret: cisco
enable password: 12345
InsideRouter 設定檔
hostname insideRouter
enable secret cisco
enable password 12345
no service config
no service password-encryption
ip routing
ip subnet-zero
ip cef
ip classless
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
no shutdown
interface FastEthernet1/0
ip address 192.168.2.2 255.255.255.0
duplex auto
speed auto
no shutdown
key chain rip2password
key 1
key-string cisco1
key 2
key-string cisco2
router rip
version 2
network 192.168.1.0
network 192.168.2.0
auto-summary
interface FastEthernet0/0
ip rip authentication mode md5
ip rip authentication key-chain rip2password
interface FastEthernet1/0
ip rip authentication mode md5
ip rip authentication key-chain rip2password
ip dhcp pool subnet64
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 168.95.1.1
domain-name cnp.tw
ip dhcp excluded-address 192.168.1.1 192.168.1.63
ip dhcp excluded-address 192.168.1.96 192.168.1.254
username cisco password cisco
ip access-list standard permitTelnet
permit 192.168.1.0 0.0.0.255
line vty 0 4
access-class permitTelnet in
logging synchronous
login local
access-list 100 permit tcp any 192.168.1.0 0.0.0.255 established
access-list 100 permit icmp any 192.168.1.0 0.0.0.255 echo-reply
access-list 100 permit icmp any 192.168.1.0 0.0.0.255 time-exceeded
access-list 100 permit icmp any 192.168.1.0 0.0.0.255 unreachable
access-list 100 permit udp any eq domain 192.168.1.0 0.0.0.255
interface FastEthernet0/0
ip access-group 100 out
end
OutsideRouter 設定檔
hostname outsideRouter
enable secret cisco
enable password 12345
no service config
no service password-encryption
ip routing
ip subnet-zero
ip cef
ip classless
interface FastEthernet0/0
ip address 140.137.214.161 255.255.255.0
duplex auto
speed auto
no shutdown
interface FastEthernet1/0
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
no shutdown
ip route 0.0.0.0 0.0.0.0 140.137.214.254
key chain rip2password
key 1
key-string cisco1
key 2
key-string cisco2
router rip
version 2
network 192.168.2.0
redistribute static metric 10
passive-interface FastEthernet0/0
auto-summary
interface FastEthernet1/0
ip rip authentication mode md5
ip rip authentication key-chain rip2password
ip access-list extended natlist1
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended natlist2
permit ip 192.168.2.0 0.0.0.255 any
ip nat pool natpool1 140.137.214.171 140.137.214.175 netmask 255.255.255.0
ip nat pool natpool2 140.137.214.176 140.137.214.180 netmask 255.255.255.0
ip nat inside source list natlist1 pool natpool1 overload
ip nat inside source list natlist2 pool natpool2 overload
ip nat inside source static 192.168.2.200 140.137.214.163
interface FastEthernet0/0
ip nat outside
interface FastEthernet1/0
ip nat inside
username cisco password cisco
ip access-list standard permitTelnet
permit 192.168.1.0 0.0.0.255
line vty 0 4
access-class permitTelnet in
logging synchronous
login local
access-list 100 permit tcp any 192.168.2.0 0.0.0.255 established
access-list 100 permit tcp any 192.168.1.0 0.0.0.255 established
access-list 100 permit tcp any host 192.168.2.200 eq www
access-list 100 permit tcp any host 192.168.2.200 eq ftp
access-list 100 permit tcp any host 192.168.2.200 eq smtp
access-list 100 permit tcp any host 192.168.2.200 eq pop3
access-list 100 permit udp any eq domain 192.168.2.0 0.0.0.255
access-list 100 permit udp any eq domain 192.168.1.0 0.0.0.255
access-list 100 permit icmp any 192.168.2.0 0.0.0.255 echo-reply
access-list 100 permit icmp any 192.168.2.0 0.0.0.255 time-exceeded
access-list 100 permit icmp any 192.168.2.0 0.0.0.255 unreachable
access-list 100 permit icmp any 192.168.1.0 0.0.0.255 echo-reply
access-list 100 permit icmp any 192.168.1.0 0.0.0.255 time-exceeded
access-list 100 permit icmp any 192.168.1.0 0.0.0.255 unreachable
interface FastEthernet1/0
ip access-group 100 out
end
投影片 9
¢
全站熱搜
留言列表
