《网络工程组网技术》第5章组建中小型企业网.ppt

5.5.2 IPSec VPN与SSL VPN的比较 IPSEC存在的不足之处： 通路安全，但安全的通路两端，存在很多不安全的因素，需要VPN两端同时确保安全性。 远程用户以IPSec VPN的方式与公司内部网络建立联机之后，远端用户是不安全因素。 一般企业在Internet联机入口，都是采取适当的防毒侦测措施。但如果采用IPSec联机，若是客户端电脑遭到病毒感染，则病毒就有机会感染到内部网络所连接的每台电脑。 不同的通讯协议，并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说，发信和收信一般都是采取SMTP和POP3通讯协议，而且两种通讯协议采用25和110端口，若是从远程电脑来联机Email服务器，就必须在防火墙上开放25和110端口，否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上，每开启一个通讯埠，就多一个黑客攻击机会。 5.5.2 IPSec VPN与SSL VPN的比较 SSL的优势特点有： 来自于它的简单性，它不需要配置。 客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行； 好处是兼容性好，传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件，而SSL VPN则完全没有这样的麻烦。 利用WebVPN，能够容易地访问多种企业应用。 5.5.3 IPSec VPN的配置 下面以图5-76所示的拓扑图为基础，介绍一下IPSec VPN的配置： ICG 2000 IPSec 拓扑 过程详见书本 5.5.4 MPLS VPN的介绍 MPLS VPN是指采用MPLS技术在骨干的宽带IP网络上构建企业IP专网，实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信并结合差别服务、流量工程等相关技术，将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起，为用户提供高质量的服务。 5.5.4 MPLS VPN的介绍 MPLS VPN中由三部分组成：CE、PE和P。 P路由器（Provide Router）：供应商路由器。位于MPLS域的内部。可以基于标签交换快速转发MPLS数据流。P路由器接收MPLS报文，交换标签后，输出MPLS报文。 PE路由器（Provide Edge Router）：供应商边界路由器。位于MPLS域的边界，用于转换IP报文和MPLS报文。PE路由器　 接收IP报文，压入MPLS标签后，输出MPLS报文；并且接收MPLS报文，弹出标签之后，输出IP报文。PE路由器上，与其他P路由器或者PE路由器连接的端口被称为“公网端口”，配置公网IP地址；与CE路由器连接的端口被称为“私网端口”，配置私网IP地址。 CE路由器（Customer Edge Router）：用户边界路由器。位于用户IP域边界，直接和PE路由器连接，用于汇聚用户数据，并把用户IP域的路由信息转发到PE路由器。 5.6 本章小结 本章以“组建中小型企业网”为项目驱动，提出了学习时应完成的五个任务： 任务1：中小型企业网总体方案的设计。 任务2：中小型企业网设备的选型和配置。 任务3：网络系统软件的选型及C/S服务器配置。 任务4：广域网接入技术的选型及配置。 任务5：虚拟专网VPN的配置。 上面的五个任务也分别对应本章五节的内容。 5.7 本章习题与实训 【本章习题】 点此打开 【本章实训】 点此打开 5.4.1 路由器基本配置 （5）“”模式 路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。 （6）设置对话状态 这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。 5.4.1 路由器基本配置 3）setup过程 首先是设置对话过程，然后显示提示信息，接着进行全局参数和接口参数的设置，利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。 5.4.1 路由器基本配置 4）常用命令 （1）帮助 在IOS CLI窗口中操作中，无论任何状态和位置，都可以键入“？”得到系统的帮助。 （2）改变状态命令?，如表5-10所示 5.4.1 路由器基本配置 （3）显示命令 （4）拷贝命令 用于IOS及CONFIG的备份和升级? 5.4.1 路由器基本配置 （5）网络命令 （6）基本设置命令 5.4