（中职）第7单元 企业网络安全配置要点1ppt课件.pptx

《（中职）第7单元 企业网络安全配置要点1ppt课件.pptx》由会员分享，可在线阅读，更多相关《（中职）第7单元 企业网络安全配置要点1ppt课件.pptx（53页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、在此输入您的封面副标题（中职）第7单元 企业网络安全配置要点1 网络设备安装与调试中国铁道出版社网络设备安装与调试任务一任务二任务三任务四单元七单元七第七单元第七单元 企业网络安全配置要点企业网络安全配置要点任务一：ACL先知网络访问任务二：ACL先知服务端口防攻击任务三：ACL先知服务器服务时间 任务四：用过VPN拨号接入网络任务二任务三任务四网络设备安装与调试任务二任务三任务四单元七单元七第七单元第七单元 企业网络安全配置要点企业网络安全配置要点单元能力目标：1.定义ACL及其应用2.配置ACL先知上网时间3.VPN L2TP拨号的应用4.配置ACL禁止访问指定端口任务一任务二任务三任务四

2、网络设备安装与调试任务二任务三任务四单元七单元七第七单元第七单元 企业网络安全配置要点企业网络安全配置要点 在网络世界里存在着许多危害到网络稳定及安全的病毒，例如：ARP病毒、木马病毒、冲击波、震荡波，这些病毒都对网络造成威胁性，甚至影响用户操作系统的正常运行。我们如何防范这些病毒入侵呢？这里不得不介绍一下路由器所拥有的ACL（访问控制列表）安全功能。ACL能够有效防止病毒/网络蠕虫、对网络服务器漏洞的攻击、基于缓冲区溢出的攻击、与Active Code相关的攻击、与协议弱点相关的攻击、与不完全的密码相关的攻击。本单元将介绍如何在路由器上配置ACL(Access Control List)访问

3、控制列表，通过以下的任务让大家认识ACL这个庞大的功能。任务一任务二任务三任务四网络设备安装与调试任务二任务三任务四单元七单元七第七单元第七单元 企业网络安全配置要点企业网络安全配置要点 本单元还讲述了如何配置VPN（虚拟专用网）的功能，VPN英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就

4、好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或Windows2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。任务一任务二任务三任务四网络设备安装与调试任务描述：任务描述： 某公司有财务部、采购部、生产部、和人事部四个部门，公司要求只允许人事部访问财务部的计算机，其余部门都不能访问财务部。公司网络管理员为了执行公司要求，他在公司的路由器配置了一个标准ACL，只允许人事部访问财务部，其余部门都禁止访问。以下实验将模拟上述情况在路由器上配置一个标准ACL来限制网络

5、访问。任务一任务一 ACL限制网络访问限制网络访问任务一任务二任务三任务四网络设备安装与调试所需设备：所需设备： 1台路由器，1台三层交换机，4台PC机。任务一任务一 ACL限制网络访问限制网络访问任务一任务二任务三任务四任务实现：任务实现：步骤1：按图拓扑图所示，制作图中所需的网线，并按照拓扑图连接。步骤2：配置三层交换机S3，创建vlan并加入端口，设置f0/24端口管理地址。Switch(config)#hostname S3S3(config)#vlan 20S3(config-vlan)#vlan 30S3(config-vlan)#vlan 40S3(config-vlan)#ex

6、itS3(config)#interface vlan 20S3(config-vlan20)#exit网络设备安装与调试S3(config)#interface vlan 30S3(config-vlan30)#exitS3(config)#interface vlan 40S3(config-vlan40)#exitS3(config)#interface range fastethernet 0/6-10S3(config-range-if)#switchport access vlan 20S3(config-range-if)#exitS3(config)#interface ran

7、ge fastethernet 0/11-15S3(config-range-if)#switchport access vlan 30S3(config-range-if)#exitS3(config)#interface range fastethernet 0/16-20S3(config-range-if)#switchport access vlan 40S3(config-range-if)#exit任务一任务一 ACL限制网络访问限制网络访问任务一任务二任务三任务四网络设备安装与调试S3(config)#interface fastethernet 0/24S3(config-i

8、f)#no switchportS3(config-if)#exitS3(config)#route ospf 1S3(config-route)#network 192.168.2.0 255.255.255.0 area 0S3(config-route)#network 192.168.3.0 255.255.255.0 area 0S3(config-route)#network 192.168.4.0 255.255.255.0 area 0S3(config-route)#network 20.0.0.0 255.255.255.0 area 0步骤3：配置路由器Router，配置

9、端口管理地址。Ruijie(config)#hostname Router Router(config)#interface fastethernet 0/0 Router(config-if)#exit Router(config)#interface fastethernet 0/1 Router(config-if)#exit任务一任务一 ACL限制网络访问限制网络访问任务一任务二任务三任务四网络设备安装与调试Router(config)#route ospf 1Router(config-route)#network 192.168.1.0 255.255.255.0 area 0Ro

10、uter(config-route)#network 20.0.0.0 255.255.255.0 area 0步骤4：在路由器Router配置ACL。Router(config)#access-list 101 permit ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255 ！创建扩展ACL，编号为101，允许人事部的网段访问财经部的网段。Router(config)#interface fastethernet 0/1 ！进入F0/1端口Router(config-if)#ip access-list 101 in ！绑定编号为101的ACL到此

11、接口的入口处任务一任务一 ACL限制网络访问限制网络访问任务一任务二任务三任务四小贴士小贴士 为什么步骤4在配置ACL时最后不增加一条deny ip any any的命令来拒绝其他部门访问财经部呢？因为每个ACL最后都隐含着一条deny ip any any，所以不必再加上去。网络设备安装与调试验证配置：验证配置：1使用生产部的电脑ping财务部的电脑，如图所示，若不通则表明ACL配置成功。2使用人事部的电脑ping财务部的电脑，如图所示，若ping通则表明ACL配置成功。任务一任务一 ACL限制网络访问限制网络访问任务一任务二任务三任务四网络设备安装与调试小贴士小贴士 对 ACL中的表项的检

12、查是自上而下的，只要匹配一条表项，对此 ACL的检查就马上结束。任务一任务一 ACL限制网络访问限制网络访问任务一任务二任务三任务四知识点拨知识点拨1.使用访问列表对数据进行过滤，首先必须通过命令access-list定义一系列访问列表规则语句。学生可以根据具体安全需要使用不同种类的访问列表，例如：（1）标准IP访问列表（1-99，1300-1999）只对源地址进行控制。（2）扩展IP访问列表（100-199，2000-2699），可以根据源目的地址进行复杂的控制。（3）MAC扩展列表（700-799），可以根据源和目的MAC地址以及以太网类型进行匹配Expert扩展访问列表（2700-289

13、9）。网络设备安装与调试2. Access-list动作及默认动作分为两种：允许通过（permit）或拒绝通过（deny）。具体有如下：（1）在一个access-list内，可以有多条规则（rule）。对数据包的过滤从第一条规则（rule）开始，直到匹配到一条规则（rule），其后的规则（rule）不再进行匹配。 （2）全局默认动作只对端口入口方向的IP包有效。 对入口的非IP数据包以及出口的所有数据包，其默认转发动作均为允许通过（permit）。（3）只有在包过滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配入口的全局的默认动作。（4）当一条access-list被绑

14、定到一个端口的出方向时，其规则（rule）的动作只能为拒绝通过（deny）。任务一任务一 ACL限制网络访问限制网络访问任务一任务二任务三任务四网络设备安装与调试拓展训练拓展训练:1参照图所示拓扑，按下面要求对路由器和交换机进行配置，要求如下：（1）修改各网络设备名字，制作相应的网线，按照拓扑图进行连接。（2）S1创建VLAN10，把F0/1-3端口加入VLAN10，设置VLAN网关地址：；创建VLAN20，把F0/4-6端口加入VLAN20，设置VLAN网关地址：；设置F0/24端口的管理地址为：；（3）S2创建VLAN30，把F0/1-3端口加入VLAN30，设置网关地址：；创建VLAN4

15、0，把F0/6-8端口加入VLAN40，设置网关地址：；设置F0/24端口的管理地址为：（4）在路由器设置F0/0端口的IP地址：；设置F0/1端口的IP地址。任务一任务一 ACL限制网络访问限制网络访问任务一任务二任务三任务四网络设备安装与调试（5）分别在路由器、三层交换机S1、三层交换机S2配置OSPF路由协议，使能全网互通。（6）在路由器扩展创建ACL，组号为105，配置允许财务部访问生产部，但生产部不能访问财务部，完成后将ACL绑定到F0/0的入口处。（7）配置完成后对实验进行验证测试。任务一任务一 ACL限制网络访问限制网络访问任务一任务二任务三任务四网络设备安装与调试任务描述：任务

16、描述：某网吧基于安全原因，防止病毒、黑客入侵或攻击网吧服务器，网管人员在路由器配置了限制访问端口的ACL，只允许开放网页、DNS、Mail等端口。以下实验将模拟上述情况在路由器上配置限制访问端口的ACL。任务二任务二 ACL限制服务端口防攻击限制服务端口防攻击任务二所需设备：所需设备： 1台路由器，2台计算机，2条网线。任务一任务三任务四网络设备安装与调试任务实现：任务实现：步骤1：按图拓扑图所示，制作图中所需的网线，并按照拓扑图连接。步骤2：配置路由器端口IP地址。Router(config)#interface fastethernet 0/0Router(config-if)#exitR

17、outer(config)#interface fastethernet 0/1Router(config-if)#exit步骤3：创建ACL，命名为dkdeny，添加过滤规则。Router(config)#ip access-list extended dkdenyRouter(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.100 eq www ！允许该网段访问服务器的www服务（80端口）。 任务二任务二 ACL限制服务端口防攻击限制服务端口防攻击任务二任务一任务三任务四网络设备安装与调试Router(c

18、onfig-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.100 eq domain ！允许该网段访问服务器的DNS服务（53端口）。Router(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.100 eq smtp ！允许该网段访问服务器的SMTP服务（25端口）。Router(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.100 eq pop3 ！允

19、许该网段访问服务器的POP3服务（110端口）。！禁止其他机器通过tcp端口访问服务器Router(config-ext-nacl)# permit ip any any ！允许其他通过步骤4：绑定ACL。Router(config)# interface fastethernet0/0Router(config-if)# ip access-group dkdeny in ！将ACL绑定在端口的入口处任务二任务二 ACL限制服务端口防攻击限制服务端口防攻击任务二任务一任务三任务四网络设备安装与调试验证配置：验证配置：学生可通过访问服务器的www、dns、smtp、pop3、ftp服务测试AC

20、L是否配置正确，如图所示，访问服务器的www服务，从PC机的IE浏览器输入http:/192.168.2.100,如果浏览器能正常与服务器通信并打开了网页，则表示ACL配置正确。 任务二任务二 ACL限制服务端口防攻击限制服务端口防攻击任务二任务一任务三任务四网络设备安装与调试如图所示，在配置基于端口的ACL后，试图FTP服务，结果不能连接，则表明ACL配置正确。任务二任务二 ACL限制服务端口防攻击限制服务端口防攻击任务二任务一任务三任务四知识点拨：知识点拨：1.访问控制列表的作用（1）内网部署安全策略，保证内网安全权限的资源访问。（2）内网访问外网时，进行安全数据过滤。（3）防止常见病毒、

21、木马、攻击对用户的破坏。网络设备安装与调试2.访问控制列表基本上分为标准的访问控制列表和扩展的控制列表：（1）标准的访问控制列表只能基于源IP进行过滤，在标准访问列表配置模式下，指定一个或多个允许或不允许条件。这决定该包通过还是不通过。（2）扩展的访问控制列表可以同时基于源和目的IP地址，还有源端口和目的端口等多种条件来进行过滤。在扩展访问列表配置模式下，也可以指定一个或多个允许或不允许条件。这决定该包通过还是不通过。（3）在初始建立访问列表后，任何后续的增加部分都放入表的尾部。换句话说，你不能从指定的访问列表选择增加访问列表命令。但是，你可以使用no permit和no deny命令从名字访

22、问列表中删除项。任务二任务二 ACL限制服务端口防攻击限制服务端口防攻击任务二任务一任务三任务四网络设备安装与调试3.配置基于端口的ACL时，要禁止某个端口时必须要知道该端口属于哪个协议，而ACL能禁止的协议有icmp、tcp、udp等。4.基于端口的ACL格式说明列子：permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.100 eq pop3意思：允许该网段访问主机中TCP协议的pop3（110端口）。其中，例子里面的permit代表允许的意思，tcp代表协议种类，eq代表定义端口，pop3代表协议或端口号（可以自行打端口号）。任务二任务二 ACL

23、限制服务端口防攻击限制服务端口防攻击任务二任务一任务三任务四网络设备安装与调试拓展训练：拓展训练：一参照图所示拓扑，按下面要求对路由器进行配置，要求如下：1.设置PC机IP地址，制作2条网线，按照拓扑图进行连接。2.按照拓扑图配置路由器各端口IP地址。3.创建ACL，命名为duankou，配置允许该网段访问服务器TCP协议的80、110、53、8080、23、21、20端口，其余端口一律禁止。4.在服务器中分别创建FTP站点、网站服务器、邮箱服务等，创建完毕使用任意一台客户端连接这些服务。若这些服务都能正常访问，则表示ACL配置正确。任务二任务二 ACL限制服务端口防攻击限制服务端口防攻击任务

24、二任务一任务三任务四网络设备安装与调试任务描述任务描述:某校园为防止学生沉迷网络，深夜还在上网，严重影响学习，学校为了防止这现象继续下去，网络管理员在校内的路由器上配置了一个ACL，定义晚上的00:00到凌晨7:00这段时间内不能于外部网络通信。以下实验将模拟上述情况在路由器上配置ACL限制上网时间的功能。任务三任务三 配置配置IP地址地址任务三所需设备：所需设备：1台路由器，1台二层交换机，3台计算机，4条网线。任务一任务二任务四网络设备安装与调试任务实现任务实现:步骤1：按图拓扑图所示，制作图中所需的网线，并按照拓扑图连接。步骤2：按照拓扑结构图，设置好计算机的IP地址。步骤3：按照以下命

25、令，在路由器配置各端口地址。Router(config)#interface fastethernet 0/1Router(config-if)#exitRouter(config)#interface fastethernet 0/0Router(config-if)#exit步骤4：定义时间列表并配置ACL。Router(config)# time-range no-time ！创建时间列表，名为no-timeRouter(config-time-range)# periodic weekdays 0:00 to 6:59 ！定义时间段为凌晨0点至7点任务三任务三 配置配置IP地址地址任务

26、三任务一任务二任务四网络设备安装与调试Router(config)# exitRouter(config)# ip access-list extended jinzhi ！创建扩展ACL，名为jinzhiRouter(config-ext-nacl)# deny ip any host 10.0.0.1 time-range no-time ！禁止所有计算机在每天凌晨0点至7点的时间段与外部通信。 Router(config)# exitRouter(config-ext-nacl)# exit步骤5：绑定ACL。Router(config)# interface fastethernet0

27、/1Router(config-if)# ip access-group jinzhi in ！将ACL绑定在端口的入口处任务三任务三 配置配置IP地址地址任务三小贴士小贴士 time-range 的实现依赖于系统时钟，如果你要使用这个功能，必须保证系统有一个可靠的时钟。任务一任务二任务四网络设备安装与调试验证配置验证配置:验证配置有时间列表的ACL，可以将路由器的系统时间调制到ACL所允许或禁止的时间段内进行验证。步骤1：把路由器的系统时间设置到ACL所禁止访问网页的时间范围内。如图所示，使用任意一台学生电脑访问外部网络，若在该时段内不能连接外部网络则表明ACL配置正确。以下是设置路由器系统

28、时间的命令:Router(config)# clock set 01:00:00 10 15 2010 ！设置路由器系统时间为凌晨1点。任务三任务三 配置配置IP地址地址任务三任务一任务二任务四网络设备安装与调试步骤3：把路由器的系统时间设置到ACL所允许访问网页的时间范围内。如图所示，使用任意一台学生电脑访问外部网络，若在该时段内能ping通外部网络则表明AC正确。以下是设置路由器系统时间的命令:Switch(config)# clock set 09:00:00 10 15 2010 ！设置路由器系统时间为早上9点。任务三任务三 配置配置IP地址地址任务三小贴士小贴士 全局配置模式下可以使

29、用no time-range time-range-name来删除指定的time-range。任务一任务二任务四网络设备安装与调试知识点拨知识点拨:1.访问列表规则的引用路由器应用访问列表对流经接口的数据包进行控制（1）入口应用（in） 经某接口进入设备内部的数据包进行安全规则过滤。（2）出口应用（out） 设备从某接口向外发送数据包时进行安全规则过来。2.一个接口在一个方向只能应用一组访问控制列表。3.定义访问控制列表的步骤第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）第二步，将规则应用在路由器（或交换机）的接口上。任务三任务三 配置配置IP地址地址任务三任务一任务二任务四网络设备

30、安装与调试拓展训练拓展训练:1参照图所示拓扑，按下面要求对路由器进行配置，要求如下：（1）制作4条网线，按照拓扑图进行连接,并设置好PC机的IP地址。（2）创建时间列表，命名为time1定义时间是每周的一、三、五的9：00-16：30。（3）创建扩展ACL，命名为timeacl，配置禁止PC机在每周的一、三、五的9：00-16：30访问外部网络，其余时间允许访问。任务三任务三 配置配置IP地址地址任务三任务一任务二任务四网络设备安装与调试（4）绑定ACL在F0/0端口的入口处。（5）配置完成后对实验进行验证测试。任务三任务三 配置配置IP地址地址任务三任务一任务二任务四网络设备安装与调试任务实

31、现：任务实现：步骤1：按图拓扑图所示，制作图中所需的网线，并按照拓扑图连接。步骤2：在路由器Router中配置端口地址。Ruijie(config)#hostname RouterRouter(config)#interface fastethernet 0/0Router(config)#interface fastethernet 0/1Router(config-if)#exit步骤3：启动VPN功能，创建并配置L2TP VPN。Router(config)#vpdn enable ！启用VPN功能Router(config)#username ruijie password 0 rui

32、jie！创建VPN用户名和密码，是为了对试图远程L2TP接入本地的客户端进行用户身份验证Router(config)#ip local pool l2tp 192.168.10.100 192.168.10.200 ！创建分配给予客户端的地址池任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试Router(config)#interface virtual-template 1 ！创建virtual-template 1Router(config)#ip unnumbered fastethernet 0/0 ！配置F0/0端口作为拨入端口R

33、outer(config-if)#peer default ip address pool l2tp！绑定分配给予客户端的地址池Router(config)#vpdn-group 1 ！创建vpdn-group组Router(config-vpdn)#accept-dialin ！允许接受远程客户端拨入Router(config-vpdn-acc-in)#protocol l2tp ！设置隧道协议为L2TP协议Router(config-vpdn-acc-in)#virtual-template 1 ！关联virtual-template 1Router(config-vpdn-acc-in)

34、#exitRouter(config-vpdn)#exit步骤4：在PC机上修改注册表，更改完成后必须重新启动PC机。注册表路径：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters新建DWORD值，命名为ProhibitIPSec，并设置为十六进制，数值为1。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试小贴士小贴士 为什么要修改注册表？由于WinXP/2K默认的L2TP+IPSec是需要“证书”来支持的，当然，这个功能在本教材使用的路由器上面还不支持，也就是

35、说：默认情况下Windows和BDCOM router还无法进行L2TP+IPSec的连接。所以在Windows系统下使用L2TP拨号时需要修改注册表方可正常拨号。步骤5：依次打开“开始设置网络连接”，如图7-4-2所示，选择“创建一个新的连接”。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试步骤6：如图所示，选择“下一步”。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试步骤7：如图所示，选择“连接到我的工作场所的网络”。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任

36、务四任务一任务二任务三网络设备安装与调试步骤9：如图所示，这里可以输入连接到VPN服务器的名称，也选择为空不填。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试步骤10：如图所示，输入连接VPN服务器的IP地址。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试步骤11：如图所示，选择“完成”。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试步骤12：如图所示，选择“属性”更改拨号参数。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨

37、号接入网络任务四任务一任务二任务三网络设备安装与调试步骤13：如图所示，打开“安全”选项卡，选择“高级（自定义设置）”，点击“设置”。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试步骤14：如图所示，在数据加密的下列菜单里选择“可选加密”，然后选择“确定”。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试步骤15：如图所示，输入拨号用户名和密码，然后选择“连接”。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试步骤16：如图所示，已

38、成功拨入VPN服务器并获取服务器分配的地址信息。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试小贴士小贴士 L2TP 使用以下两种信息类型，即控制信息和数据信息。控制信息用于隧道和呼叫的建立、维持和清除。数据信息用于封装隧道所携带的 PPP 帧。控制信息利用 L2TP 中的一个可靠控制通道来确保发送。当发生包丢失时，不转发数据信息。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试验证配置验证配置：（1）客户端拨入VPN服务器时必须测试本机与VPN服务器是否能正常通信，可通过ping命令

39、进行对服务器测试通信是否正常（2）若L2TP拨号不成功，请先检查本机系统是否已修改注册表并重新启动电脑。（3）如图所示，客户端拨号成功后使用ping命令ping公司内部PC，若能ping通则表明VPN配置正确。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试知识点拨知识点拨：1. L2TP协议是由IETF起草，微软、Ascend、Cisco、3COM等公司参予制定的二层隧道协议它结合了PPTP和L2F两种二层隧道协议的优点，为众多公司所接受，已经成为IETF有关二层通道协议的工业标准，基于微软的点对点隧道协议 (PPTP)和思科二层转发协议

40、(L2F)之上的，被一个因特网服务提供商和公司使用使这个虚拟私有网络的操作能够通过因特网。2. L2TP的主要特性有：（1）L2TP适合单个或少数用户接入企业的情况，其点到网连接的特性是其承载协议PPP所约定的。（2）由于L2TP对私有网的数据包进行了封装因此在Internet上传输数据时对数据包的网络地址是透明的，并支持接入用户的内部动态地址分配；任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试（3）与PPP模块配合，支持本地和远端的AAA功能（认证、授权和记费）对用户的接入也可根据需要采用全用户名，用户域名和用户拨入的特殊服务号码来识别

41、是否为VPN用户。（4）对数据报文的安全性可采用IPSEC协议采用该协议即可以在用户发往Internet之前对数据报文加密即用户控制方式也可采用在VPN端系统LAC侧加密即服务提供商控制方式。（5）对于拨号用户可以配置相应的VPN拨号软件，发起由用户直接对企业私有网的连接，这样用户在上网时可以灵活选择是否需要VPN服务。3. L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的，这些消息再通过UDP的1701端口承载于TCP/IP之上。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试4. L2TP报文分为控制报文和数据报

42、文两类。控制报文包括L2TP通道的建立、维护、拆除，基于通道连接的会话连接的建立、维护、拆除，控制消息中的参数用AVP值对（Attribute Value Pair）来表示，使得协议具有很好的扩展性；在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了L2TP层传输的可靠性；5.为什么Windows系统下要修改注册表才能拨号到L2TP？因为Win2K/XP在L2TP+IPSec上的基本相似，虽然配置的界面稍有差别，但不影响讲述，后面就以WinXP为例：由于WinXP/2K默认的L2TP+IPSec是需要“证书”来支持的，当然，这个功能在我们路由器上面还无法支持，也就是说

43、：默认情况下Windows和BDCOM router还无法进行L2TP+IPSec的连接！任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试不过，如果利用之前所讲的，修改注册表将WinXP中L2TP和IPSec默认的绑定关系拆开，然后在分别配置L2TP连接和IPSec加密，这种方式和绑定时的差别就是：可以自己定义Ipsec的加密方式，或者说可以不必使用“证书”！实验证明也是可行的。6. 客户端拨入VPN服务器时必须测试本机与VPN服务器是否能正常通信，可通过ping命令进行对服务器测试通信是否正常。任务四任务四 电脑通过电脑通过VPN拨号接入

44、网络拨号接入网络任务四任务一任务二任务三拓展训练拓展训练：1参照图所示拓扑，按下面要求对路由器进行配置，要求如下：（1）按照拓扑图地址信息，配置路由器F0/0和F0/1端口地址。（2）创建组号为2的virtual-template；创建分配给予客户端的地址池，命名为dizhi,地址范围为；绑定F0/0作为客户端拨入端口。网络设备安装与调试（3）全局下启动VPN功能，在路由器上创建组号为2的vpdn-group组，配置允许接受远程客户端拨入，使用L2TP协议。（4）将所创建的virtual-template 2关联到vpdn-group 2中。（5）创建VPN用户和密码，用户名l2tpuser密

45、码123456。（6）修改PC机的系统注册表，修改完毕后创建虚拟专用网络连接并拨号连接到公司内部网络。（7）配置完成后对实验进行验证测试。任务四任务四 电脑通过电脑通过VPN拨号接入网络拨号接入网络任务四任务一任务二任务三网络设备安装与调试任务二任务三任务四单元七单元七第七单元第七单元 企业网络安全配置要点企业网络安全配置要点单元小结单元小结 本单元所讲述的4个任务都是围绕着路由器安全功能为主，其中包括ACL限制网络访问、ACL限制服务端口防攻击、ACL限制服务器服务时间、电脑通过VPN拨号接入网络，通过这些任务加强学生对路由器的安全功能认识。学生课后应将本单元中各个任务的拓展训练进行练习，在练习的过程中不能麻木地把配置命令照抄，应该认真理解每一条配置命令的意义。任务中学生如果碰到一些不明白的术语，可到网上查询自行查询其意思。需要注意的是，每个任务配置完成后要进行一次配置验证，确保配置是成功的。任务一任务二任务三任务四