沈鑫剡编著《计算机网络工程》第4章配套课件.ppt

计算机网络工程 第四章 第 4 章 企业网设计方法和实现过程 本章主要内容 企业网结构； NAT； 创建动态和静态路由项； 端到端传输过程； 安全策略实现机制； 内部网之间通信过程。 4.1 企业网结构 本讲主要内容 内部网、DMZ和外部网； 私有IP地址和内部网路由项； 全球IP地址分配过程。 一、内部网、DMZ和外部网 内部网络实现内部终端和内部服务器之间的互连，内部终端和内部服务器分配私有IP地址。 DMZ是企业网向外发布信息及实现与外部网络之间信息交换的窗口 。 外部网络通常就是Internet 。 二、私有IP地址和内部网路由项 私有IP地址空间 /8 /12 /16 二、私有IP地址和内部网路由项 内部网路由项只需给出通往内部网的传输路径。 三、全球IP地址分配过程 路由器R1连接DMZ的接口 ，路由器R2和R3需要配置全球IP地址，配置全球IP地址后，路由器R1、R2和R3产生全球IP地址相关的直连路由项。 三、全球IP地址分配过程 4.2 NAT 动态NAT用于动态建立内部网络私有IP地址与全球IP地址之间的映射，动态NAT需要分配给内部网络一组，而不是一个全球IP地址 。 4.3 创建动态和静态路由项 本讲主要内容 OSPF配置； 创建动态路由项； 配置静态路由项。 一、OSPF配置 路由器R1接口3及接口3连接的网络参与OSPF创建动态路由项的过程 ； 路由器R2和R3所有接口及接口所连接的网络参与OSPF创建动态路由项过程 。 二、创建动态路由项 路由器R1、R2和R3通过OSPF创建用于指明通往DMZ和外部网的传输路径的路由项， OSPF创建的路由项类型是O; 直连路由项类型是C。 二、创建动态路由项 三、配置静态路由项 分配给内部网络的全球IP地址池不属于路由器接口连接的网络的全球IP地址，一般采用静态配置路由项的方法； 路由器R2和R3必须将目的地址属于全球IP地址池的IP分组转发给路由器R1。 三、配置静态路由项 红色为配置的静态路由项 4.4 端到端传输过程 本讲主要内容 终端A至web服务器传输过程； Web服务器至终端A传输过程。 一、终端A至web服务器传输过程 路由器R1的NAT过程 其他路由器的逐跳转发过程 一、终端A至web服务器传输过程 终端A根据配置的默认网关地址，经过内部网络将IP分组传输给路由器R1； 路由器R1完成IP分组源IP地址私有IP地址至全球IP地址转换，全球IP地址从全球IP地址池中获得； 路由器R2和R3经过逐跳转发，将IP分组传输给web服务器。 二、web服务器至终端A传输过程 Web服务器根据配置的默认网关地址，将IP分组传输给路由器R3； 路由器R2和R3经过逐跳转发，将IP分组传输给路由器R1； 路由器R1根据建立的地址转换项完成IP分组目的IP地址全球IP地址至私有IP地址转换。 二、web服务器至终端A传输过程 地址转化项建立私有IP地址与全球IP地址之间的绑定。 4.5 安全策略实现机制 本讲主要内容 安全策略配置 有状态分组过滤器 信息交换控制过程 一、安全策略配置 安全策略。 允许内部终端发起访问外部网络中的Web服务器； 允许内部终端发起访问DMZ中的Web服务器； 允许内部终端通过SMTP和POP3发起访问DMZ中的邮件服务器； 允许DMZ中的邮件服务器通过SMTP发起访问外部网络中的邮件服务器； 允许外部网络中的终端以只读方式发起访问DMZ中的Web服务器； 允许外部网络中的邮件服务器通过SMTP发起访问DMZ中的邮件服务器。 二、有状态分组过滤器 路由器R2有状态分组过滤器 从内部网络到外部网络：源IP地址=/28，目的IP地址=/32，HTTP GET服务； 从内部网络到非军事区：源IP地址=/28，目的IP地址=/32， HTTP服务； 从内部网络到非军事区：源IP地址=/28，目的IP地址=/32，SMTP+POP3服务； 从非军事区到外部网络：源IP地址=/32，目的IP地址=/32，SMTP服务； 从外部网络到非军事区：源IP地址=/24，目的IP地址=/32，HTTP GET服务； 从外部网络到非军事区：源IP地址=/32，目的IP地址=/32，SMTP服务。 三、信息交换控制过程 4.6 内部网之间通信过程 本讲主要内容 网络结构 基本配置 IP分组传输过程 一、网络结构 二、基本配置 静态配置通往另一个内部网络的路由项； 另一个内部网络的网络地址是为其配置的全球IP地址池 二、基本配置 内部网络1配置全球IP地址池6/28； 内部网络2建立私有地址与全球地址之间的静态映射。 三、IP分组传输过程 终端A根据配置的默认网关地址，经过内部网