1.课题背景:
在 IT 飞速发展的时代,为了解决企业内部通信以及信息保密的问题,中小型企业网络发挥了重要的作用。很多中小型公司在多年前构架的基础平面网络已经无法满足公司日益增长的信息化办公的需求,只有通过对现有的企业网络升级才能满足当下对于企业内部网络的要求。
2.上次报告完成情况及本次规划:
在上一阶段的报告中我们完成了对内网的VLAN划分,并设置了三层网络设备实现了不同VLAN之间的访问控制,除此之外还实现了ACL内外网的分离,通过NAT技术实现网络地址转换进而实现内网对外网的访问,实现了内外网络的基本功能,为这一阶段各种功能的丰富提供技术支持。
在此阶段实验中我们将进一步丰富网络的功能,为其添加了DHCP、NATserver、DNS、HTTP、WLAN等服务,使企业网络的功能性、可扩展性、实用性得到了极大的增强。
3.本次使用技术及原理
3.1 DHCP技术:
3.1.1 DHCP简介:
DHCP(动态主机配置协议)是一个局域网的网络协议。指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。默认情况下,DHCP作为Windows Server的一个服务组件不会被系统自动安装,还需要管理员手动安装并进行必要的配置。
3.1.2 DHCP特点:
(1)管理员可以集中为整个互联网指定通用和特定子网的TCP/IP参数,并且可以定义使用保留地址的客户机的参数。
(2) 提供安全可信的配置。DHCP避免了在每台计算机上手工输入数值引起的配置错误,还能防止网络上计算机配置地址的冲突。
(3) 使用DHCP服务器能大大减少配置花费的开销和重新配置网络上计算机的时间,服务器可以在指派地址租约时配置所有的附加配置值。
(4) 客户机不需手工配置TCP/IP。
(5) 客户机在子网间移动时,旧的IP地址自动释放以便再次使用。在再次启动客户机时,DHCP服务器会自动为客户机重新配置TCP/IP。
(6) 大部分路由器可以转发DHCP配置请求,因此,互联网的每个子网并不都需要DHCP服务器。
3.2 NAT server:
3.2.1 NAT server简介:
NAT Server是最常用的基于目的地址的NAT 。当内网部署了一台服务器,其真实IP是私网地址,但是希望公网用户可以通过一个公网地址来访问该服务器,这时可以配置NAT Server,使设备将公网用户访问该公网地址的报文自动转发给内网服务器。
NAT Server功能使得内部服务器可以供外部网络访问。外部网络的用户访问内部服务器时,NAT将请求报文的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言,NAT还会自动将回应报文的源地址(私网地址)转换成公网地址。
NAT Server可以通过静态IP(即global IP地址)和动态IP(即接口IP地址)两种方式实现地址转换。当通过global IP地址配置NAT Server后,再通过基于接口地址的方式配置NAT Server,当被借用的接口的地址与global IP地址相同时,二者冲突,基于接口方式的NAT Server不生效。
3.2.1 NAT server优点:
(1)有效的节约INTERNET公网地址,使得所有的内部主机使用有限的合法地址都可以连接到INTERNET网络。
(2)地址转换技术可以有效的隐藏内部局域网中的主机,因此同时是一种有效的网络安全保护技术。
(3)网络发生变化时,避免重新编址
3.2 HTTP服务
3.2.1 HTTP简介:
HTTP协议(HyperText Transfer Protocol,超文本传输协议)是用于从WWW服务器传输超文本到本地浏览器的传送协议。它通常运行在TCP之上,指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头部以ASCII码形式给出;而消息内容则具有一个类似MIME的格式。
3.2.2 工作过程及原理
HTTP是基于客户/服务器模式,且面向连接的。典型的HTTP事务处理有如下的过程:
(1)客户与服务器建立连接;
(2)客户向服务器提出请求;
(3)服务器接受请求,并根据请求返回相应的文件作为应答;
(4)客户与服务器关闭连接。
客户与服务器之间的HTTP连接是一种一次性连接,它限制每次连接只处理一个请求,当服务器返回本次请求的应答后便立即关闭连接,下次请求再重新建立连接。这种一次性连接主要考虑到WWW服务器面向的是Internet中成干上万个用户,且只能提供有限个连接,故服务器不会让一个连接处于等待状态,及时地释放连接可以大大提高服务器的执行效率。
HTTP是一种无状态协议,即服务器不保留与客户交易时的任何状态。这就大大减轻了服务器记忆负担,从而保持较快的响应速度。HTTP是一种面向对象的协议。允许传送任意类型的数据对象。它通过数据类型和长度来标识所传送的数据内容和大小,并允许对数据进行压缩传送。当用户在一个HTML文档中定义了一个超文本链后,浏览器将通过TCP/IP协议与指定的服务器建立连接。
从技术上讲是客户在一个特定的TCP端口(端口号一般为80)上打开一个套接字。如果服务器一直在这个周知的端口上倾听连接,则该连接便会建立起来。然后客户通过该连接发送一个包含请求方法的请求块。
HTTP规范定义了9种请求方法,每种请求方法规定了客户和服务器之间不同的信息交换方式,常用的请求方法是GET和POST。服务器将根据客户请求完成相应操作,并以应答块形式返回给客户,最后关闭连接。
3.3 DNS服务
3.3.1 DNS简介:
DNS(Domain Name Server,域名服务器)是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表,以解析消息的域名。域名是Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。域名是由一串用点分隔的名字组成的,通常包含组织名,而且始终包括两到三个字母的后缀,以指明组织的类型或该域所在的国家或地区。
3.3.2 DNS过程:
当 DNS 客户机需要查询程序中使用的名称时,它会查询本地DNS 服务器来解析该名称。客户机发送的每条查询消息都包括3条信息,以指定服务器应回答的问题。
(1)指定的 DNS 域名,表示为完全合格的域名 (FQDN) 。
(2)指定的查询类型,它可根据类型指定资源记录,或作为查询操作的专门类型。
(3)DNS域名的指定类别。
对于DNS 服务器,它始终应指定为 Internet 类别。例如,指定的名称可以是计算机的完全合格的域名,如http://im.qq.com,并且指定的查询类型用于通过该名称搜索地址资源记录。
DNS 查询以各种不同的方式进行解析。客户机有时也可通过使用从以前查询获得的缓存信息就地应答查询。DNS 服务器可使用其自身的资源记录信息缓存来应答查询,也可代表请求客户机来查询或联系其他 DNS 服务器,以完全解析该名称,并随后将应答返回至客户机。这个过程称为递归。
另外,客户机自己也可尝试联系其他的 DNS 服务器来解析名称。如果客户机这么做,它会使用基于服务器应答的独立和附加的查询,该过程称作迭代,即DNS服务器之间的交互查询就是迭代查询。
3.4 VPN服务
3.4.1 VPN简介:
虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。
3.4.2 VPN工作原理
1)通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。
2)网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。
3)网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址。
4)网络一的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。
5)网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
6)网络二的VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。
7)从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。
通过上述说明可以发现,在VPN网关对数据包进行处理时,有两个参数对于VPN通讯十分重要:原始数据包的目标地址(VPN目标地址)和远程VPN网关地址。根据VPN目标地址,VPN网关能够判断对哪些数据包进行VPN处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址,即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。
3.5 WLAN技术
WLAN是Wireless Local Area Network的简称,指应用无线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的网络体系。无线局域网本质的特点是不再使用通信电缆将计算机与网络连接起来,而是通过无线的方式连接,从而使网络的构建和终端的移动更加灵活。
它是相当便利的数据传输系统,它利用射频(Radio Frequency; RF)的技术,使用电磁波,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络,在空中进行通信连接,使得无线局域网络能利用简单的存取架构让用户透过它,达到“信息随身化、便利走天下”的理想境界。
4.本次实验进展情况:
整体拓扑图:
4.1 NAT server相关:
以RouterA为例,展示部署在出口路由器的NAT server :
此处10.10.30.2为内网服务器IP,通过NATserver映射为202.10.1.19,开放80端口作为HTTP端口,开放53端口作为DNS端口。
4.2 DNS服务相关:
DNS服务器信息配置情况:
在本服务器中为了实验只配置了一个域名为“wangluo.cn”,ip地址为“202.10.1.19”的DNS项目信息。
4.3 HTTP服务相关:
利用外网访问客户端验证:
通过访问http服务器接收并保存一个index.html文件,其中文件内容如下图所示:
此步同时验证了NATserver、DNS服务和HTTP服务的实现
4.4 IPSec VPN相关:
为了实现总部和分支之间进行私网VPN互通,在总部出口路由器和分支出口路由器之间部署IPSec VPN,通过Internet构建IPSec VPN,实现总部和分支之间的安全通信。
以下接口配置信息展示均以
RouterC为例:
隧道建立时,RouterC关联到总部的两个出口路由:RouterA和RouterB的地址:
ipsec服务集配置信息:
4.4.1 VPN互通效果实现:
PC7 ping两个出口网关无法ping通:
但通过vpn可以直接ping通10.10.200.0网络的两台主机:
4.5 DHCP部署:
在CORE交换机上配置,VLAN10的ip池:
VLAN20的ip池:
在支部出口路由器RouterC上部署的DHCP服务:
PC验证:
4.6 WLAN服务:
5.下一阶段计划
在本阶段中完成了中小型企业网络的主体内容搭建,并进行了一些功能的丰富,包括对DHCP、NATserver、HTTP、DNS、IPSecVPN、WLAN等服务的支持,以更好的满足员工对企业网络的需求。
在下一阶段的报告中我们将完成对网络的整体完善和测试,并对前期工作进行总结。