第一篇：LINUX系統(tǒng)實驗內容——幾個常用服務的配置

實 驗 目 錄

LINUX-Shell編程...................................................................................................................................1 LINUX shell命令

（一）........................................................................................................................6 LINUX shell命令

（二）......................................................................................................................15 LINUX網絡管理...................................................................................................................................30 配置DHCP服務器...............................................................................................................................40 LINUX啟動設置驗證和SAMBA服務器與客戶配置.......................................................................45 LINUX軟件安裝實驗（JAVA和GCC）...........................................................................................54 Apache 服務器的配置（1）................................................................................................................58

內 容

LINUX-Shell編程

一．簡單SHELL實驗：請在vi中逐一編輯并執(zhí)行以下6個shell腳本程序 1.編寫一個簡單的回顯用戶名的shell程序。#vi dat #!/bin/bash #filename:dat echo “Mr.$USER,Today is:” echo `date`

echo Wish you a lucky day!#chmod +x dat #./dat 2.使用if-then語句創(chuàng)建簡單的shell程序。#vi bbbb #!/bin/bash #filename:bbbb echo-n “Do you want to continue: Y or N” read ANSWER if [ $ANSWER = N-o $ANSWER = n ] then exit fi #chmod +x bbbb #./bbbb

3.使用if-then-else語句創(chuàng)建一個根據(jù)輸入的分數(shù)判斷是否及格的shell程序。#vi ak #!/bin/bash #filename:ak echo-n “please input a score:” read SCORE echo “You input Score is $SCORE” if [ $SCORE-ge 60 ];then echo-n “Congratulation!You Pass the examination.” else echo-n “Sorry!You Fail the examination!” fi echo-n “press any key to continue!” read $GOOUT #chmod +x ak #./ak

4.使用for語句創(chuàng)建簡單的shell程序。#vi mm #!/bin/bash #filename:mm for ab in 1 2 3 4 do echo $ab done #chmod +x mm #./mm

5.使用while語句創(chuàng)建一個計算1-5的平方的shell程序。#vi zx #!/bin/bash #filename:zx int=1 while [ $int-le 5 ] do sq=`expr $int * $int` echo $sq int=`expr $int + 1` done echo “Job completed” #chmod +x zx #./zx

6.使用while語句創(chuàng)建一個根據(jù)輸入的數(shù)值求累加和（1+2+3+4+…+n）的shell程序。#vi sum #!/bin/bash #filename:sum echo-n “Please Input Number:” read NUM number=0 sum=0 while [ $number-le $NUM ] do echo number echo “$number” number=`expr $number + 1 ` echo sum echo “$sum” sum=` expr $sum + $number ` done echo #chmod +x sum #./sum

二．較復雜SHELL實驗(使用VI編輯 下面代碼)# vi testshell #!/bin/bash #filename:shelltest exsig=0 while true;do echo “" echo ”----歡迎使用本系統(tǒng)----“ echo ” 1.上班簽到“ echo ” 2.下班簽出“ echo ” 3.考勤信息查詢“ echo ” 4.退出系統(tǒng)“ echo ”----------------------“ echo ”“ echo ”請輸入你的選項:“ read choice case $choice in 1)echo ”請輸入你的名字:“ read name echo ”請輸入你的密碼:“ read password if test-r /home/user/userinfo.dat then while read fname fpassword do echo ”$fname“ echo ”$fpassword“ if test ”$fname“ = ”$name“ then break fi done < /home/user/userinfo.dat else echo System Error:userinfo.dat does not exist!fi if test ”$fname“!= ”$name“ then echo ”不存在該用戶!“ elif test ”$fpassword“!= ”$password“ then echo ”密碼不正確!“ else hour=`date +%H` if test ”$hour“-gt 8 then echo ”你遲到了!“ echo ”$name 上班遲到---日期:`date`“ >>/home/user/check.dat else echo ”早上好,$name!“ fi fi;;2)echo ”請輸入你的名字:“ read name echo ”請輸入你的密碼:“ read password if test-r /home/user/userinfo.dat then while read fname fpassword do if test ”$fname“ = ”$name“ then break fi done < /home/user/userinfo.dat else echo System Error:userinfo.dat does not exist!fi if test ”$fname“!= ”$name“ then echo ” 不存在該用戶!“ elif test ”$fpassword“!= ”$password“ then echo ”密碼不正確!“ else hour=`date +%H` if test ”$hour“-lt 18 then echo ”你早退了!“ echo ”$name 下班早退----日期:`date`“>> /home/user/check.dat else echo ”再見,$name!“ fi fi;;3)echo ”請輸入你的名字:“ read name echo ”請輸入你的密碼:“ read password if test-r /home/user/userinfo.dat then while read fname fpassword do if test ”$fname“ = ”$name“ then break fi done < /home/user/userinfo.dat else echo System Error:userinfo.dat does not exist!fi if test ”$fname“!= ”$name“ then echo ”不存在該用戶!“ elif test ”$fpassword“!= ”$password“ then echo ”密碼不正確!“ else echo ”你的記錄:“ echo ”---------“ cat-b /home/user/check.dat|grep $name echo ”---------“ fi;;4)echo ”歡迎你的使用,再見!“ exsig=1;;*)echo ”請輸入合法的選項!“;;esac if test ”$exsig“ = ”1" then break fi done 三．試驗運行結果：

#chmod +x testshell #./testshell 四．注意事項

1.上面的實驗需要在/home/user下有userinfo.dat文件 2.該userdat.dat文件內容可如下樣式： Wang 23456 Li 22233 ……

LINUX shell命令

（一）（一）

LINUX shell命令

（二）（二）

LINUX網絡管理

QUICK LINUX 網絡接口配置文件具體如下:

按 i 鍵 開始移動光標編輯

編輯完后，按 ESC 鍵，再按:wq!存盤退出。

按 i 鍵 開始移動光標編輯

編輯完后，按 ESC 鍵，再按:wq!存盤退出。重啟計算機

下面的（ubuntu linux）有些不同:

配置DHCP服務器

一、實驗基礎 DHCP的工作原理

DHCP用的傳輸協(xié)議是非面向連接的UDP（用戶數(shù)據(jù)報協(xié)議），從DHCP客戶發(fā)出的DHCP消息被送往DHCP服務器的端口為67，DHCP服務器發(fā)給客戶的DHCP消息被送往DHCP客戶的端口為68，由于在取得服務器賦予的IP之前，DHCP客戶并沒有自己的IP，所以包含DHCP消息的UDP數(shù)據(jù)報的IP頭的源地址段是0.0.0.0，目的地址則是 255.255.255.255。1．分配IP地址過程

（1）CLIENT發(fā)送廣播dhcpdiscover尋找DHCP服務器。

（2）Server發(fā)送廣播dhcpoffer響應client的請求（含有分配的IP）。（3）Client檢查得到的IP信息是否完整，且發(fā)送廣播dhcprequest通知DHCP服務器己獲得IP地址。

（4）Server發(fā)送廣播dhcpack,表示分配成功。2．更新租約

注：DHCP客戶機每次關機時都會釋放IP（1）50%時，Client的點到點方式發(fā)送dhcprequest請求服務器更新租約。（2）87.5%時，Client發(fā)送廣播dhcprequest,尋找其它DHCP服務的更新。3．DHCP服務相關的概念（1）作用域

一個作用域就是一個地址池，是一些IP地址的組合，就是一個合法的IP地址范，DHCP服務器利用該范圍向客戶機出租或分配IP地址。為了防止發(fā)生重復的IP地址問題，不應在多個作用域中使用相同的IP地址。作用域可以利用作用域選項向客戶機提供其它的配置信息。如默認網關，DNS服務器的IP地址。（2）排除地址

可以指定一個或多個要從作用域中排除的范圍。被排除的地址將不被指定給DHCP客戶機。這些被排除的IP地址通常是用于打印機或服務器等使用靜態(tài)IP地址的的計算機。（3）子網掩碼

提供給DHCP客戶機的子網掩碼。為了配置這個參數(shù)，輸入構成該子網掩碼的二進制位數(shù)，或者輸入該子網掩碼的IP地址。

注意：當創(chuàng)建了一個作用域后，不能修改該作用域指定的子網掩碼。為了修改這個參數(shù)，需要先刪除該作用域，再重新利用正確的信息創(chuàng)建該作用域。（4）租約期限

IP地址租約通常是臨時的，因此DHCP客戶機必須通過DHCP服務器周期性地嘗試更新它們的租約。IP地址租約的時間長度用天數(shù)、小時和分鐘表示，默認時間是8天?？梢愿鶕?jù)網絡的實際情況減少或增加租約期限長度。（5）作用域選項

除了可以利用DHCP服務器向客戶機提供IP地址之外，還可以向客戶機提供其它TCP/IP配置信息如默認網關(路由器)，DNS服務器，WINS服務器的IP地址或是其它信息。（6）保留地址 可以讓DHCP服務器總是為某客戶機分配同一個IP地址，這稱為靜態(tài)IP（Static IP）或保留地址。在為客戶機保留一個IP地址時，需要說明客戶機的網卡的物理地址(MAC地址)。

二、實驗要求：

分別完成基于控制臺的命令方式和WEBMIN的B/S模式配置DHCP服務器，并測試是否正確。

三、實驗過程步驟：

1.基于控制臺的配置文件配置（1）拷貝配置文件到/etc目錄

（2）編輯修改配置文件

（3）開啟服務，查看進程運行情況

（4）客戶端使用netconfig或直接修改配置文件如下：（這里客戶端為LINUX。具體可參考文檔最后面）

# vi /etc/sysconfig/network 設置客戶端為自動獲取IP地址。

（5）客戶端重啟配置服務：# service network restart 2.使用Webmin配置DHCP服務器

使用Webmin配置DHCP服務器很簡單，基本步驟如下：

進入Webmin的DHCP服務器配置頁面，單擊【服務器】→【DHCP服務器】進入DHCP服務器配置頁面。如圖所示。

A.創(chuàng)建子網

單擊【增加一個新的子網】鏈接，進入【創(chuàng)建子網】頁面。如下圖所示。配置Client的子網絡與共用網絡范圍及Gateway，在下圖中的例子中，共用網絡范圍為：192.168.0.33-192.168.0.63，網絡號為：192.168.0.0。填寫完畢后，點擊【新建】按鈕。

B.配置客戶選項

點擊【DHCP服務器】頁面下方的【編輯客戶選項】配置dhcp server，如下圖所示。圖中的DNS IP 為210.38.192.33。

C.給某主機分配固定的IP地址

在【DHCP服務器】的【增加一個新的主機】鏈接可以給某一個主機分配固定的IP地址。如果點擊【增加一個新的主機】鏈接，出現(xiàn)的畫面如下圖所示：

指定主機名、被指定的主機類型、所分配的固定的IP地址和硬件地址。填寫完畢后，點擊【創(chuàng)建】按鈕。子網創(chuàng)建后返回到【子網和共享網絡】頁面，可以看到增加了的子網和主機。如圖所示。

（2）增加了的子網和新的主機

啟動DHCP，點擊【啟動服務器】按鈕啟動DHCP。

D.配置DHCP客戶端

DHCP 的客戶端，可以是 Windows 也可以是 Linux。

在Linux客戶端使用netconfig設置網絡，把IP地址的獲得設置為DHCP。

或者直接修改/etc/sysconfig/network 文件，如下：

NETWORKING=yes DEVICE=eth0 BOOTPROTO=dhcp ONBOOT=yes 如果是Windows客戶端，則只需點擊【開始】→【設置】→【網絡】，在【TCP/IP屬性】中，勾選【自動獲得IP地址】。

然后就是一直按下【確定】,直到回到正常的桌面為止！這樣就已經正確的激活了！

進入開始，運行DOS（cmd），輸入：ipconfig 檢查是否取得了地址。

LINUX啟動設置驗證和SAMBA服務器與客戶配置 LINUX啟動設置驗證

注:實驗前配置好網絡，安裝WINSCP軟件并把blubuntu-w.xpm.gz文件拷貝到linux的/grub目錄下。

(1)使用WINSCP 查看/BOOT/GRUB/MENU.LST文件（查看GRUB 的配置文件）

(2)試著改變TITLE和引導畫面(即修改splashimage參數(shù)的文件名)

(3)打開WEBMIN，選擇：系統(tǒng)，選擇：引導和關機

(4)找到 /ETC/RC.D/RC.LOCAL，打開該文件

編輯添加內容

重啟，觀察變化 SAMBA服務器與客戶配置

SAMBA服務可以用來實現(xiàn)LINUX網絡的數(shù)據(jù)共享。配置SAMBA服務可基于簡單共享和認證共享。

1.簡單共享配置：（配置前需自己配置好網絡）(a)首先做好配置文件的修改和測試共享目錄的建立

上面是/etc/samba/smb.conf配置文件的內容，是SAMBA服務的主配置文件。為了避免錯誤，可對smb.conf備份。

#cp /etc/samba/smb.conf /etc/samba/smb.confbak 可使用vi編輯器打開它，即： #vi /etc/samba/smb.conf 按i鍵，進入編輯狀態(tài)，編輯按上面內容對照。按:wq!保存并退出，而按:q!不保存退出.為了測試，注意/home/temp目錄是否存在，如不存在，先建立 # Mkdir /home/temp 使用touch命令建立三個測試用的共享文件。#touch /home/temp/aa #touch /home/temp/bb #touch /home/temp/ii.txt 配置好后，使用命令：# service smb restart,重啟samba服務。(b)測試配置效果

※ WINDOWS下測試是否可查看LINUX共享目錄: 下面是通過IE地址欄訪問LINUX共享目錄，注意soft目錄名

※ LINUX下測試是否可查看WINDOWS共享目錄: 查看網上鄰居，是否出現(xiàn)SAMBA機器，如沒有，搜索計算機。設置一個windows的目錄為共享，在LINUX中訪問：

LINUX中查看主機192.168.1.2（這是WINDOWS IP地址）的共享資源： # smbclient –-I 192.168.1.2 或#smbclient –-L 主機名

掛載該windows共享目錄到LINUX目錄樹中，以便訪問 # mount –-t smbfs //192.168.1.2/df /home/temp

卸載辦法：

# umount /home/temp

2.smb.conf文件中的message command的利用 這是當linux與windows共存與網絡中，互發(fā)消息的一種辦法，Linux發(fā)送給windows 的消息,windows可直接接收，只要啟動windows消息服務，辦法是: 1）點擊我的電腦，選擇管理

2）選擇服務和應用程序，找到服務messager，點擊右鍵，把它啟動。

3）Linux使用samba客戶端程序發(fā)消息給windows #echo ‘Hello,A popup Linux Message is sent’|smbclient M 你的windows

主機名

Windows彈出一個消息窗口，接收到該消息。

4）Windows 使用DOS命令 net send發(fā)消息給Linux,Linux以root用戶接收郵件的方式來接收消息，即smb.conf文件中message command的作用。(1)windows發(fā)送

(2)Linux 接收(mail命令)

第二篇：典型路由器實驗配置文檔

典型路由器實驗配置文檔

目錄

一，DHCP中繼代理配置實驗案例(多個DHCP服務器).............................3 二，IPsecVPN穿越NAT實例配置..............................................5 三，雙PPPOE線路實驗(神碼)..................................................9 四，外網通過IPsec_VPN服務器(在內網)訪問內網服務器.........................15 五，DCR-2800和BSR-2800配置RIP路由.....................................21 六，DCR-2800 L2TP服務器配置..............................................24 七，總分部之間IPsecVPN對接................................................29 一，DHCP中繼代理配置實驗案例(多個DHCP服務器)1，需求描述

如果DHCP客戶機與DHCP服務器在同一個物理網段，則客戶機可以正確地獲得動態(tài)分配的ip地址。如果不在同一個物理網段，則需要DHCP Relay Agent(中繼代理)。用DHCP Relay代理可以去掉在每個物理的網段都要有DHCP服務器的必要,它可以傳遞消息到不在同一個物理子網的DHCP服務器，也可以將服務器的消息傳回給不在同一個物理子網的DHCP客戶機，而且一個網絡中有可能存在多個DHCP服務器作為冗余備份。2，拓撲圖

3，配置步驟

R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //啟用DHCP客戶端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服務器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服務器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限廣播DHCP報文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(開啟DHCP服務，sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(開啟DHCP服務，sh run 看不到)4，配置驗證

Sh ip int br//查看端口信息

Show ip dhcp binding //查看所有的地址綁定信息

R1上抓包

R3上抓包

R4上抓包

5，注意事項

(1)必須開啟DHCP服務 service dhcp(2)客戶端獲取一個地址后，廣播發(fā)送Request報文包含此地址的DHCP服務器(R3)ID，R4收到后回收已分配的地址，避免造成地址浪費。

二，IPsecVPN穿越NAT實例配置

1，需求描述

IPSec協(xié)議的主要目標是保護IP數(shù)據(jù)包的完整性，這意味著IPSec會禁止任何對數(shù)據(jù)包的修改。但是NAT處理過程是需要修改IP數(shù)據(jù)包的IP 包頭、端口號才能正常工作的。所以，如果從我們的網關出去的數(shù)據(jù)包經過了ipsec的處理，當這些數(shù)據(jù)包經過NAT設備時，包內容被NAT設備所改動，修 改后的數(shù)據(jù)包到達目的地主機后其解密或完整性認證處理就會失敗，于是這個數(shù)據(jù)包被認為是非法數(shù)據(jù)而丟棄。無論傳輸模式還是隧道模式，AH都會認證整個包 頭，不同于ESP 的是，AH 還會認證位于AH頭前的新IP頭，當NAT修改了IP 頭之后，IPSec就會認為這是對數(shù)以完整性的破壞，從而丟棄數(shù)據(jù)包。因此，AH是約 可能與NAT一起工作的。

意思就是說，AH處理數(shù)據(jù)時，所使用的數(shù)據(jù)是整個數(shù)據(jù)包，甚至是IP包頭的IP地址，也是處理數(shù)據(jù)的一部分，對這些數(shù)據(jù)作整合，計算出一個值，這個值是唯一的，即只有相同的數(shù)據(jù)，才可能計算出相同的值。當NAT設備修改了IP地址時，就不符合這個值了。這時，這個數(shù)據(jù)包就被破壞了。而ESP并不保護IP包頭，ESP保護的內容是ESP字段到ESP跟蹤字段之間的內容，因此，如何NAT只是轉換IP的話，那就不會影響ESP的計算。但是如果是使用PAT的話，這個數(shù)據(jù)包仍然會受到破壞。

所以，在NAT網絡中，只能使用IPSec的ESP認證加密方法，不能用AH。但是也是有辦法解決這個缺陷的，不能修改受ESP保護的TCP／UDP，那就再加一個UDP報頭。解決方案：NAT穿越 2，拓撲圖

3，配置步驟 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP協(xié)議

ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址轉換

ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址轉換

R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4，配置驗證

R1#f0/0上抓包

ISAKMP報文

ESP報文

R2#f1/0上抓包

ISAKMP報文

ESP報文

5，注意事項

(1)R1與R3上的對端地址均為公網地址，R1上要配缺省路由。

(2)IPsecVPN穿越NAT時要變換IP地址和端口，從而導致對方認證失敗，所以應該保證變換后的IP地址和端口和對端一致。

三，雙PPPOE線路實驗(神碼)1.需求描述

現(xiàn)實網絡中有很多企業(yè)和機構都采用雙線路來互相冗余備份，而其中有很多通過pppoe撥號(ADSL寬帶接入方式)來實現(xiàn)對每個接入用戶的控制和計費。2.拓撲圖

3，配置步驟

R1# interface Virtual-tunnel0 //配置虛擬通道0 mtu 1492 //最大傳輸單元

ip address negotiated //IP地址自協(xié)商 no ip directed-broadcast ppp chap hostname DCN //chap認證方式用戶名DCN ppp chap password 0 DCN //chap認證方式密碼DCN

ppp pap sent-username DCN password 0 DCN //pap認證方式用戶名DCN1密碼DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默認路由走虛擬隧道0 ip route default Virtual-tunnel1 //默認隧道走虛擬隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 啟用VPDN!vpdn-group poe0 建vpdn組 request-dialin 請求撥號

port Virtual-tunnel0 綁定虛擬隧道0 protocol pppoe 封裝PPPOE協(xié)議

pppoe bind f0/0 綁定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0！!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虛擬隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配給客戶端的地址池 aaa authentication ppp default local //開啟本地ppp認證 username DCN password 0 DCN //本地認證的用戶名密碼!interface Virtual-template0 //建立虛擬模版0 ip address 172.16.1.1 255.255.0.0 //設置ip地址 no ip directed-broadcast ppp authentication chap //PPP認證為chap認證方式(virtual-tunnel隧道不能配置此參數(shù)，否則只能完成發(fā)現(xiàn)階段，不能建立會話階段)ppp chap hostname DCN //chap認證用戶名DCN ppp chap password 0 DCN //chap認證密碼DCN

peer default ip address pool pppoe //給撥號上來的客戶端分配地址池里的地址 ip nat inside！interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //啟用vpdn!vpdn-group pppoe //建立vpdn組 accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬模版0 protocol pppoe //封裝pppoe協(xié)議

pppoe bind fastEthernet0/0 //綁定到物理接口fsatethnet0/0！ip nat inside source list natacl interface f1/0

R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!

username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap

ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside！ip route default 192.168.3.1！ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any！vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!

ip nat inside source list natacl interface f1/0!

4，驗證配置

R1#sh ip int br

Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session

PPPOE Session Information: Total sessions 2

ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br

Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br

Interface

IP-Address

Method Protocol-Status FastEthernet0/0

unassigned

manual up

FastEthernet0/1

192.168.3.2

manual up Virtual-template0

192.168.1.1

manual down Virtual-access0

192.168.1.1

manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID

Remote_Address

State

Role

Interface BindOn

FC:FA:F7:D2:07:E9 Established

server

va0

f0/0

5，注意事項

（1），pppoe-client配置虛擬通道時，最大傳輸單元為1492(默認)，ip地址為自協(xié)商，ppp認證方式為chap和pap(服務器提供的認證方式有可能為chap或pap)。注意：不能配置ppp authentication chap(認證方式為任意)。

（2），pppoe-client配置vpdn時，先啟用vpdn，創(chuàng)建vpdn組，請求撥號，應用虛擬隧道，封裝pppoe協(xié)議，綁定到物理接口。

（3），pppoe-client配置默認路由下一跳為虛擬隧道virual-tunnel0/virtual-tunnel1，配置NAT時，出接口為虛擬隧道virual-tunnel0/virtual-tunnel1。

（4），pppoe-server配置時注意配置分配給客戶端的地址池，開啟本地ppp認證，配置本地認證用戶名和密碼。

（5），pppoe-server配置虛擬模版時，最大傳輸單元1492，ip地址為固定ip(與地址池在同一網段，但不包含在地址池里)，ppp認證方式為chap或pap，認證的用戶名和密碼，給撥號上來的客戶端分配地址池里的地址。

（6），pppoe-server配置vpdn時，先啟用vpdn，創(chuàng)建vpdn組，允許撥號，應用虛擬模版，封裝pppoe協(xié)議，綁定到物理接口。

四，外網通過IPsec_VPN服務器(在內網)訪問內網服務器

1，需求描述

有些企業(yè)單位將VPN服務器放在內網，需要讓在外網出差的用戶撥上VPN后能訪問內網部分資源(如WEB服務器，辦公系統(tǒng)等)。2，拓撲圖

3，配置步驟 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //綁定轉換圖!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道協(xié)商的路由

ip route 172.16.1.0 255.255.255.0 10.1.1.1 //轉發(fā)VPN客戶端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Telnet_Server# aaa new-model //開啟AAA認證!aaa authentication login default none //無認證登錄 aaa authentication enable default none //無enable認證!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //網關

NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服務器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封裝ESP協(xié)議 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射

IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 11.1.1.1 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //綁定轉換圖!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //轉發(fā)VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

4，驗證配置 172.16.1.1訪問Telnet_Server Ping 10.1.1.3 source 172.16.1.1

IPsecVPN_Client f0/0上抓包

IPsecVPN_Server f0/0上抓包

NAT_Over f0/0上抓包

Telnet_Sever f0/0上抓包

5，注意事項

(1)，配置ipsecvpn時，注意將map綁定到物理接口。

(2)，nat_over路由器上配置的一條指向ipsecvpn服務器的路由。

(3)，ipsecvpn_sever和ipsecvpn_client上配置隧道路由和數(shù)據(jù)路由，數(shù)據(jù)轉發(fā)時先查找路由從接口轉發(fā)時再看是否匹配ipsecacl，匹配才走ipsecvpn隧道。天津多外線內部vpn服務器案例

五，DCR-2800和BSR-2800配置RIP路由

1，需求描述

路由信息協(xié)議（Routing Information Protocol，縮寫：RIP）是一種使用最廣泛的內部網關協(xié)議（IGP）。（IGP）是在內部網絡上使用的路由協(xié)議(在少數(shù)情形下,也可以用于連接到因特網的網絡)，它可以通過不斷的交換信息讓路由器動態(tài)的適應網絡連接的變化，這些信息包括每個路由器可以到達哪些網絡，這些網絡有多遠等。RIP 屬于網絡層協(xié)議，并使用UDP作為傳輸協(xié)議。(RIP是位于網絡層的)

雖然RIP仍然經常被使用，但大多數(shù)人認為它將會而且正在被諸如OSPF和IS-IS這樣的路由協(xié)議所取代。當然，我們也看到EIGRP，一種和RIP屬于同一基本協(xié)議類(距離矢量路由協(xié)議,Distance Vector Routing Protocol)但更具適應性的路由協(xié)議，也得到了一些使用。2，拓撲描述

3，配置步驟 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.2 DCR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 C

192.168.2.0/24

is directly connected, GigaEthernet0/1 R

192.168.3.0/24

[120,1] via 192.168.1.2(on GigaEthernet0/0)

BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.1 BSR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 R

192.168.2.0/24

[120,1] via 192.168.1.1(on GigaEthernet0/0)C

192.168.3.0/24

is directly connected, GigaEthernet0/1 4，驗證配置

DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes！！!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5，注意事項

（1），neighbor 為對端ip（2），在接口下 ip rip 1 enable 則宣告了這個接口的地址所在的網段，如果這個接口有兩個地址，例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 則只能成功宣告192.168.1.0 這個網段 如果一個接口分兩個邏輯子接口，例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 則能成功宣告兩個網段192.168.1.0，192.168.4.0 六，DCR-2800 L2TP服務器配置

1，需求描述

L2TP是一種工業(yè)標準的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似，比如同樣可以對網絡數(shù)據(jù)流進行加密。不過也有不同之處，比如PPTP要求網絡為IP網絡，L2TP要求面向數(shù)據(jù)包的點對點連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗證，而PPTP不支持。2，拓撲描述

3，配置步驟 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //開啟ppp認證!interface Virtual-template0 //創(chuàng)建虛擬接口模版

ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址為任意地址

no ip directed-broadcast

ppp authentication chap //認證方式為chap ppp chap hostname admin //認證用戶名

ppp chap password 0 admin //認證密碼

peer default ip address pool l2tp_pool //調用地址池!vpdn enable //開啟虛擬專用撥號!

vpdn-group l2tp //定義vpdn組

accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬接口模版

protocol l2tp //定義協(xié)議為l2tp local-name default force-local-chap //強制進行CHAP驗證

lcp-renegotiation //重新進行LCP協(xié)商!PC上配置

網絡和共享中心->設置新的連接或網絡->連接到工作區(qū)->使用我的Internet連接VPN

4，驗證配置

撥號成功

5，注意事項

(1)，L2TP服務器上virtual-template接口的地址為任意地址

(2)，force-local-chap //強制進行CHAP驗證，lcp-renegotiation //重新進行LCP協(xié)商(3)，PC客戶端上配置可選加密，勾選三種認證方式PAP，CHAP，MS-CHAP

七，總分部之間IPsecVPN對接

1，需求描述

導入IPSEC協(xié)議，原因有2個，一個是原來的TCP/IP體系中間，沒有包括基于安全的設計，任何人，只要能夠搭入線路，即可分析所有的通訊數(shù)據(jù)。IPSEC引進了完整的安全機制，包括加密、認證和數(shù)據(jù)防篡改功能。另外一個原因，是因為Internet迅速發(fā)展，接入越來越方便，很多客戶希望能夠利用這種上網的帶寬，實現(xiàn)異地網絡的的互連通。

IPSEC協(xié)議通過包封裝技術，能夠利用Internet可路由的地址，封裝內部網絡的IP地址，實現(xiàn)異地網絡的互通?？偛亢头植恐g通過IPsecVPN隧道通信，分部和分部之間通過和總部建立的IPsecVPN隧道通信。2，拓撲需求

3，配置步驟 總部：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B： crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255

Internet：

interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4，驗證配置

總部：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

3.1.1.2

QM_IDLE 1.1.1.1

2.1.1.2

QM_IDLE 分部A：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

2.1.1.2

QM_IDLE 總部和分部A通信：

conn-id slot status

0 ACTIVE

0 ACTIVE

conn-id slot status

0 ACTIVE

Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1??！!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包：

分部A與分部B通信：

Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1?。?Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 總部上抓包：

分部B上抓包：

分部B：

Router#sh crypto isakmp sa dst

src

state

conn-id slot status 1.1.1.1

3.1.1.2

QM_IDLE

0 ACTIVE 分部B與總部A通信：

Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1??！!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包：

分部B與分部A通信：

Router#ping 192.168.2.1 source 192.168.3.1

Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1！！!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 總部上抓包：

分部A上抓包：

5，注意事項

(1)，思科IPsecvpn內網流量先查找路由后匹配策略，只有到達對端私網的路由，才能匹配策略加密封裝。

(2)，隧道協(xié)商需要公網路由的可達性，但是只有內網有感興趣流量時才能觸發(fā)隧道協(xié)商，從而建立隧道，而且需要雙向的觸發(fā)。

第三篇：實驗二：交換機硬件配置

e-Bridge 程控實驗指導書

CC08實驗二

eBridge通信實驗指導書

(交換部分)

深圳市訊方通信技術有限公司

二零零八年三月 e-Bridge 程控實驗指導書

CC08實驗二

實驗二

交換機硬件配置實驗

一、實驗目的

了解程控交換機的硬件結構，按照模塊、機框、單板的順序進行數(shù)據(jù)的配置。

二、實驗器材

1、程控交換機

2、實驗用維護終端。

三、實驗內容說明

組網情況：板位圖說明

本C&C08交換機為一獨立模塊，一共兩個機柜，一個主控柜，一個用戶柜。有12個功能框?？蚓幪枏?開始。1、0框為BAM框，其實質是一臺工控制機，實際實驗中，為了操作方便，采用外置BAM。運行WINDOWS 2000操作系統(tǒng)和程控交換機應用軟件，用于和交換機主機通信，并完成對交換機的管理。2、1、2框為為主控框，有一塊大背母板外加其他功能板件構成，具體如下：

1NOD板：節(jié)點板，主要用于MPU和用戶/中繼之間的通信，起到橋梁的作用，可以○根據(jù)實際用戶/中繼數(shù)量的多少進行配置。

2SIG板：信號音板，用于提供交換機接續(xù)時所需要的各種信號音。交換機重要 ○部件之一。

3EMA板：雙機倒換板，用于監(jiān)視主備MPU之間的工作狀態(tài)。○4MPU板：交換機主處理板，是整個交換機的核心部分，對整個交換機進行管理和控○制。

5NET板：中心交換網板，所有信號都在該交換網板進行交換，交換機重要部件之一?！?CKV網絡驅動板：為NET板提供信號的硬件驅動。○7LAPA板：NO7號信令鏈路驅動板，提供4路NO7鏈路，開NO7中繼電路必備板件?！?MFC32板：多頻互控板，提供32路雙音多頻互控信號，開NO1中繼電路必備板件?！?ALM板：告警板，為外接告警箱提供信號驅動和連接功能?！?0PWC板：二次電源板，為主控框提供+/-12V，+/-5V工作電壓?！?/p>

3、用戶框：10框為用戶框（在用戶機柜中），為交換機系統(tǒng)提供用戶電路接口。（即提供電話接口）

1ASL32板：32路用戶電路板，提供32路用戶電路接口，其中第16、17路可以提供○反極性信號。

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二 2DRV32板：雙音驅動板，提供32路DTMF雙音多頻信號的收發(fā)和解碼，并 ○對ASL32板提供驅動電路。

3PWX板：二次電源板，為用戶框提供+/-12V，+/-5V工作電壓、~75V鈴流信號。○④TSS板：測試板，測試用戶內外線。

重要：請注意PWX和PWC之間的區(qū)別，二者不能混用??！

4、中繼框：5框為中繼框，為交換機提供中繼電路功能。

1DTM板：2M中繼電路板，每塊DTM板提供2個2M口電路，可以配置成 ○N01中繼或者NO7中繼電路。

2PWC板：二次電源板，為中繼框提供+/-12V，+/-5V 工作電壓?！鹌渚唧w板位如下圖所示：

B獨主控柜

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

四、實驗步驟

1、學生在自己PC中桌面上雙擊“操作平臺，如圖

”圖標，輸入服務器地址，進入Ebridge登陸

2、點擊【確認】鍵進入EB界面模式，如圖

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

3、雙擊【綜合通信試驗平臺】中的【程控CC08】，進入CC08實驗模式，如圖：

4、單擊【清空數(shù)據(jù)】，提示是否進行數(shù)據(jù)清空，單擊【確定】，如圖：

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

5、數(shù)據(jù)清空完成后，點擊【確定】，然后點擊【業(yè)務操作終端】，出登陸窗口：

用戶名：cc08，密碼：cc08，局名選LOCAL（IP地址：127.0.0.1），點擊【確定】

6、在維護輸出窗口會顯示登陸成功的相關信息，并自動執(zhí)行幾條系統(tǒng)查詢命令：

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

7、點擊【系統(tǒng)】－》【執(zhí)行批命令】，或按CTRL+R

8、選擇已調試好的命令文件腳本“”，點擊【打開】。

系統(tǒng)會自動執(zhí)行并在【維護輸出】窗口顯示執(zhí)行結果：

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

9、等結果顯示處出現(xiàn)“數(shù)據(jù)格式轉換完成”后，在e-bridge系統(tǒng)中點擊【開始程控實驗】，屏幕上方會顯示當前占用服務器席位的客戶端，你申請席位的客戶端排在第幾位，剩余多長時間。然后單擊【申請加載數(shù)據(jù)】－》【確定】，同時數(shù)據(jù)開始加載。

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

10、服務器會自動進行數(shù)據(jù)格式轉換，并加載到交換機中，單擊【確定】，加載完成。

11、點擊【業(yè)務操作終端】出現(xiàn)登陸窗口：

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

用戶名：cc08，密碼：cc08，局名：SERVER（IP地址：129.9.0.10）點擊【確定】登陸到BAM服務器

12、點擊【維護】－》【配置】－》【硬件配置狀態(tài)面板】，可看到交換機的單板運行狀態(tài)：

附件：硬件數(shù)據(jù)配置參考

1、SET FMT: STS=OFF,CONFIRM=Y;

//關閉格式轉換。

2、SET CWSON: SWT=OFF,CONFIRM=Y;

//設置當前工作站告警輸出為關

3、增加模塊

ADD SGLMDU: CKTP=NET, PE=FALSE, DE=FALSE, DW=TRUE, PW=TRUE,CONFIRM=Y;//設置B獨模塊，CKTP= NET：時鐘采用NET板的內置時鐘。PE=FALSE：程序不可用。DE=FALSE,：數(shù)據(jù)不可用。DW=TRUE：數(shù)據(jù)可寫。PW=TRUE：程序可寫。

4、設置本局信息

SET OFI:

SN1=NAT，SN2=NAT，SN3=NAT，SN4=NAT, LOT=CMPX, NN=TRUE, NNC=“AAAAAA”,NNS=SP24,SCCP=NONE,TADT=0,STP=FALSE,LAC=K'0532,LNC=K'086;

//(LOT=CMPX：本局類型：長市農合一。NN=TRUE：國內網有效。SN1=NAT：網標識1=國內。SN2=NAT：網標識2=國內SN3=NAT：網標識3=國內。SN4=NAT：網標識4=國內。NNC=“AAAAAA”：國內編碼=AAAAAA。NNS=SP24：國內網編碼結構：24位編碼方式。深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

SCCP=NONE：提供SCCP功能=不提供。TADT=0：傳輸允許時延=0，, STP=FALSE：STP功能標志=否。LAC=K'532：本地區(qū)號=0532。LNC=K'0086：本國代碼=0086。)

5、增加機框 5.1增加控制框

ADD CFB: MN=1, F=1, LN=1, PNM=“河工大”, PN=1, ROW=1, COL=1;

//增加主控框,。MN=1：模塊號=1，F(xiàn)=1：框號=1，PNM=“河工大”：場地名=河工大。PN=1：場地號=1。, ROW=1：行號=1。COL=1：列號=1。5.2增加中繼框

ADD DTFB: MN=1, F=3, LN=1, PNM=“河工大”, PN=1, ROW=1, COL=1, BT=BP3, N1=0, N2=1, N3=255, HW1=90, HW2=91, HW3=88, HW4=89, HW5=255;

//增加DTM中繼框.，MN=1：模塊號=1。F=3：框號=3，PNM=“河工大”：場地名=河工大。PN=1：場地號=1。, ROW=1：行號=1。COL=1：列號=1。BT=BP3：板類型為DTM板。N1=0：主節(jié)點1=0。N2=1：主節(jié)點2=1，N3=255：主節(jié)點3以上不配，即其他空槽位不占用主節(jié)點，HW1=90, HW2=91, HW3=88, HW4=89,增加2塊DTM板，HW資源從88~91，HW5=255：HW5以上不配，其他空槽位不配HW資源。5.3增加32路用戶框

ADD USF32: MN=1, F=4, LN=1, PNM=“河工大”, PN=1, ROW=1, COL=1, N1=19, N2=23,HW1=0, HW2=1, HW3=2, HW4=3, HW5=255, BRDTP=ASL32,CONFIRM=Y;

//增加用戶框.: MN=1：模塊號=1。F=4：框號=4，PNM=“河工大”：場地名=河工大。PN=1：場地號=1。, ROW=1：行號=1。COL=1：列號=1。N1=19：左半框主節(jié)點=19。N2=23：右半框主節(jié)點=23。HW1=12, HW2=13, HW3=14, HW4=15：HW1、HW2、HW3、HW4分別為12、13、14、15。HW5=255, HW5以上不配，其他空槽位不配HW資源。BRDTP=ASL32;板類型為32路用戶板。

6、調整單板配置，因機框配置會默認一些單板起來，我們需要根據(jù)我們機器實際配置進行調整。6.1調整用戶框單板：3-11，13-23 RMV BRD: MN=1, F=4, S=3;

// RMV BRD：刪除單板。MN=1：模塊=1。F=4：框號=4。S=3：槽位=3。RMV BRD: MN=1, F=4, S=4;

RMV BRD: MN=1, F=4, S=5;深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

RMV BRD: MN=1, F=4, S=6;RMV BRD: MN=1, F=4, S=7;RMV BRD: MN=1, F=4, S=8;RMV BRD: MN=1, F=4, S=9;RMV BRD: MN=1, F=4, S=10;RMV BRD: MN=1, F=4, S=11;RMV BRD: MN=1, F=4, S=13;RMV BRD: MN=1, F=4, S=14;RMV BRD: MN=1, F=4, S=15;RMV BRD: MN=1, F=4, S=16;RMV BRD: MN=1, F=4, S=17;RMV BRD: MN=1, F=4, S=18;RMV BRD: MN=1, F=4, S=19;RMV BRD: MN=1, F=4, S=20;RMV BRD: MN=1, F=4, S=21;RMV BRD: MN=1, F=4, S=22;RMV BRD: MN=1, F=4, S=23;6.2調整主控框2：4-5,7-8,17-22；1：2-6,10,14,17-22 RMV BRD: MN=1, F=2, S=4;RMV BRD: MN=1, F=2, S=5;RMV BRD: MN=1, F=2, S=7;RMV BRD: MN=1, F=2, S=8;RMV BRD: MN=1, F=2, S=17;RMV BRD: MN=1, F=2, S=18;RMV BRD: MN=1, F=2, S=19;RMV BRD: MN=1, F=2, S=20;RMV BRD: MN=1, F=2, S=21;RMV BRD: MN=1, F=2, S=22;RMV BRD: MN=1, F=1, S=2;深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

RMV BRD: MN=1, F=1, S=3;RMV BRD: MN=1, F=1, S=4;RMV BRD: MN=1, F=1, S=5;RMV BRD: MN=1, F=1, S=6;RMV BRD: MN=1, F=1, S=8;RMV BRD: MN=1, F=1, S=9;RMV BRD: MN=1, F=1, S=10;RMV BRD: MN=1, F=1, S=14;RMV BRD: MN=1, F=1, S=17;RMV BRD: MN=1, F=1, S=18;RMV BRD: MN=1, F=1, S=19;RMV BRD: MN=1, F=1, S=20;RMV BRD: MN=1, F=1, S=21;RMV BRD: MN=1, F=1, S=22;RMV BRD: MN=1, F=1, S=23;ADD BRD: MN=1, F=2, S=17, BT=LPN7,CONFIRM=Y;ADD BRD: MN=1, F=2, S=18, BT=MFC,CONFIRM=Y;// ADD BRD:增加單板。MN=1：模塊=1。F=2：框號=2。S=17：槽位=17。BT=LPN7：板類型=LPN7。

7、加載設置

SET SMSTAT: MN=1, STAT=ACT;//設置模塊的后臺監(jiān)控狀態(tài)。MN=1：模塊＝1。STAT=ACT：狀態(tài)＝激活。SET FMT: STS=ON;//設置格式轉換的狀態(tài)。STS=ON：狀態(tài)＝開。FMT ALL:;//格式轉換。將數(shù)據(jù)轉換成交換機能接收的格式。

將數(shù)據(jù)轉換成交換機能接收的格式;重新啟動程控交換機，等待加載數(shù)據(jù)到AM完成。

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

實驗報告

一、畫圖

1、畫出硬件配置流程順序圖

答案：配置本局信息-----》配置模塊信息-----》配置功能框-----》刪除框內多余單板-----》修改新增加的單板。

2、畫出交換機數(shù)據(jù)配置全過程圖

答案：啟動EB軟件程控模塊-----》還原數(shù)據(jù)庫-----》啟動EB軟件里的程控模塊里的“業(yè)務操作終端”-----》選擇登陸LOCAL服務器-----》逐條輸入配置命令-----》申請加載數(shù)據(jù)-----》加載數(shù)據(jù)-----》退出LOCAL服務器選擇登陸SERVER服務器-----》查看交換軟件版本-----》查看硬件配置狀態(tài)面板看交換機運行狀況。

二、名詞解釋

1、格式轉換：配置好的交換機數(shù)據(jù)是以SQL數(shù)據(jù)庫表格形式生成的，要變換成MPU所識別的機器代碼文件，這個過程叫格式轉換。

三、思考題

1、EB軟件里面還原數(shù)據(jù)庫的作用是什么？

答：清空原來數(shù)據(jù)，為后面數(shù)據(jù)加載做好準備，否則會數(shù)據(jù)沖突。

2、為什么加載后要登陸SERVER來查看交換機運行狀態(tài)？

答：因為客戶端軟件沒有直接連在CC08機上，必須登陸到BAM（即EB服務器）上才能查看數(shù)據(jù)。

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區(qū)南海大道西海明珠大廈F712

郵編：518052

第四篇：實驗十三 路由器的配置

實驗實驗十三：路由器的基本配置

一、實驗目的

掌握路由器幾種配置方法；

掌握采用console線攬配置路由器的方法 掌握采用Telnet方式配置路由器的方法

熟悉路由器不同命令行操作模式以及各種模式之間的切換 掌握路由的基本配置命令

二、技術原理

1、新建packet tracer拓撲圖。

2、用標準console線纜用于連接計算機的串口和路由器的console口上。在計算機上啟用超級終端，并配置超級終端的參數(shù)，是計算機與路由器通過console接口建立連接

3、配置路由器的管理IP地址，并為Telnet用戶配置用戶名和登錄口令。配置計算機的IP地址（與路由器管理IP地址在同一個網段），通過網線將計算機和路由器相連，通過計算機Telnet到路由器上對交換機進行查看。

4、更改路由器的主機名。

5、顯示當前配置信息。

6、顯示歷史命令。

三、實驗背景

1、你是某公司新進的網管，公司要求你熟悉網絡產品，首先要求你登錄路由器，了解、掌握路由器的命令行操作。

2、作為網絡管理員，你第一次在設備機房對路由器進行了初次配置后，希望以后在辦公室或出差時也可以對設備進行遠程管理，現(xiàn)要在路由器上做適當配置

四、實驗設備 硬件：個人電腦

軟件： windows操作系統(tǒng)，packet tracer5.3 Router_2811臺；PC1臺；交叉線；配置線

交叉線：路由器與及計算機相連 路由器與交換機相連 直通線：計算機與交換機相連

五、實驗步驟

Router>en Router#conf t Enter configuration commands, one per line.End with CNTL/Z.Router(config)#hostname r1

// 設置路由器的名稱 r1(config)#enable secret 123456 // 設置特權模式密碼 r1(config)#exit %SYS-5-CONFIG_I: Configured from console by console r1# r1#conf t Enter configuration commands, one per line.End with CNTL/Z.r1(config)#line vty 0 4

//表示配置遠程登錄線路，進入虛擬終端。0~4是遠程登錄的線路編號

r1(config-line)#password 1111

// 設置telnet遠程登錄密碼 r1(config-line)#login

//用于打開登錄認證功能 r1(config-line)#exit r1(config)#int f0/0

// 進入路由器0模塊第0端口 r1(config-if)#ip add 192.168.1.1 255.255.255.0 // 該端口配置相應的IP地址和子網掩碼

r1(config-if)#no shut // 開啟端口

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN:

Line

protocol

on

Interface FastEthernet0/0, changed state to up r1(config-if)#end r1# %SYS-5-CONFIG_I: Configured from console by console

六、實驗步驟

第五篇：實驗三 防火墻的配置

實驗三 防火墻的配置

? 實驗目的

1、了解防火墻的含義與作用

2、學習防火墻的基本配置方法

3、理解iptables工作機理

4、熟練掌握iptables包過濾命令及規(guī)則

5、學會利用iptables對網絡事件進行審計

6、熟練掌握iptables NAT工作原理及實現(xiàn)流程

7、學會利用iptables+squid實現(xiàn)web應用代理

? 實驗原理

? 防火墻的基本原理

一．什么是防火墻

在古代，人們已經想到在寓所之間砌起一道磚墻，一旦火災發(fā)生，它能夠防止火勢蔓延到別的寓所，于是有了“防火墻”的概念。

進入信息時代后，防火墻又被賦予了一個類似但又全新的含義。防火墻是指設置在不同網絡(如可信任的企業(yè)內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和Internet之間的任何活動，保證了內部網絡的安全。

二．防火墻能做什么 1．防火墻是網絡安全的屏障

一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協(xié)議才能通過防火墻，所以網絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2．防火墻可以強化網絡安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。

3．對網絡存取和訪問進行監(jiān)控審計

如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁┚W絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統(tǒng)計對網絡需求分析和威脅分析等而言也是非常重要的。

4．防止內部信息的外泄

通過利用防火墻對內部網絡的劃分，可實現(xiàn)內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節(jié)如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。

除了安全作用，防火墻還支持具有Internet服務特性的企業(yè)內部網絡技術體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或專用子網，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。

三．NAT NAT英文全稱是“Network Address Translation”，中文意思是“網絡地址轉換”，它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標準，允許一個整體機構以一個公用IP（Internet Protocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內部私有網絡地址（IP地址）翻譯成合法網絡IP地址的技術。

簡單的說，NAT就是在局域網內部網絡中使用內部地址，而當內部節(jié)點要與外部網絡進行通訊時，就在網關（可以理解為出口，打個比方就像院子的門一樣）處，將內部地址替換成公用地址，從而在外部公網（Internet）上正常使用，NAT可以使多臺計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請一個合法IP地址，就把整個局域網中的計算機接入Internet中。這時，NAT屏蔽了內部網絡，所有內部網計算機對于公共網絡來說是不可見的，而內部網計算機用戶通常不會意識到NAT的存在。這里提到的內部地址，是指在內部網絡中分配給節(jié)點的私有IP地址，這個地址只能在內部網絡中使用，不能被路由（一種網絡技術，可以實現(xiàn)不同路徑轉發(fā)）。雖然內部地址可以隨機挑選，但是通常使用的是下面的地址：10.0.0.0～10.255.255.255，172.16.0.0～172.16.255.255，192.168.0.0～192.168.255.255。NAT將這些無法在互聯(lián)網上使用的保留IP地址翻譯成可以在互聯(lián)網上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（網絡信息中心）或者ISP(網絡服務提供商)分配的地址，對外代表一個或多個內部局部地址，是全球統(tǒng)一的可尋址的地址。

NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。比如Cisco路由器中已經加入這一功能，網絡管理員只需在路由器的IOS中設置NAT功能，就可以實現(xiàn)對內部網絡的屏蔽。再比如防火墻將Web Server的內部地址192.168.1.1映射為外部地址202.96.23.11，外部訪問202.96.23.11地址實際上就是訪問192.168.1.1。另外對資金有限的小型企業(yè)來說，現(xiàn)在通過軟件也可以實現(xiàn)這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。

NAT有三種類型：靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網絡地址端口轉換NAPT（Port－Level NAT）。

其中靜態(tài)NAT設置起來最為簡單和最容易實現(xiàn)的一種，內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。而動態(tài)地址NAT則是在外部網絡中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內部網絡。NAPT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。

動態(tài)地址NAT只是轉換IP地址，它為每一個內部的IP地址分配一個臨時的外部IP地址，主要應用于撥號，對于頻繁的遠程聯(lián)接也可以采用動態(tài)NAT。當遠程用戶聯(lián)接上之后，動態(tài)地址NAT就會分配給他一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以后使用。

網絡地址端口轉換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉換方式。NAPT普遍應用于接入設備中，它可以將中小型的網絡隱藏在一個合法的IP地址后面。NAPT與動態(tài)地址NAT不同，它將內部連接映射到外部網絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP端口號。

在Internet中使用NAPT時，所有不同的信息流看起來好像來源于同一個IP地址。這個優(yōu)點在小型辦公室內非常實用，通過從ISP處申請的一個IP地址，將多個連接通過NAPT接入Internet。實際上，許多SOHO遠程訪問設備支持基于PPP的動態(tài)IP地址。這樣，ISP甚至不需要支持NAPT，就可以做到多個內部IP地址共用一個外部IP地址訪問Internet，雖然這樣會導致信道的一定擁塞，但考慮到節(jié)省的ISP上網費用和易管理的特點，用NAPT還是很值得的。

? Windows 2003防火墻

Windows 2003提供的防火墻稱為Internet連接防火墻，通過允許安全的網絡通信通過防火墻進入網絡，同時拒絕不安全的通信進入，使網絡免受外來威脅。Internet連接防火墻只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

在Windows2003服務器上，對直接連接到Internet的計算機啟用防火墻功能，支持網絡適配器、DSL適配器或者撥號調制解調器連接到Internet。它可以有效地攔截對Windows 2003服務器的非法入侵，防止非法遠程主機對服務器的掃描，從而提高Windows 2003服務器的安全性。同時，它也可以有效攔截利用操作系統(tǒng)漏洞進行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火墻功能，能夠對整個內部網絡起到很好的保護作用。

1．啟用/關閉防火墻

（1）打開“網絡連接”，右擊要保護的連接，單擊“屬性”，出現(xiàn)“本地連接屬性”對話框。

（2）選擇“高級”選項卡，單擊“設置”按鈕，出現(xiàn)啟動/停止防火墻界面。如果要啟用 Internet 連接防火墻，請單擊“啟用(O)”按鈕；如果要禁用Internet 連接防火墻，請單擊“關閉(F)”按鈕。

2．防火墻服務設置

Windows 2003 Internet連接防火墻能夠管理服務端口，例如HTTP的80端口、FTP的21端口等，只要系統(tǒng)提供了這些服務，Internet連接防火墻就可以監(jiān)視并管理這些端口。

（1）解除阻止設置。

在“例外”選項卡中，可以通過設定讓防火墻禁止和允許本機中某些應用程序訪問網絡，加上“√”表示允許，不加“√”表示禁止。如果允許本機中某項應用程序訪問網絡，則在對話框中間列表中所列出該項服務前加“√”（如果不存在則可單擊“添加程序”按鈕進行添加）；如果禁止本機中某項應用程序訪問網絡，則將該項服務前的“√”清除（如果不存在同樣可以添加）。在“Windows防火墻阻止程序時通知我”選項前打“√”則在主機出現(xiàn)列表框中不存在的應用程序欲訪問網絡時，防火墻會彈出提示框詢問用戶是否允許該項網絡連接。

（2）高級設置。

在“高級”選項卡中，可以指定需要防火墻保護的網絡連接，雙擊網絡連接或單擊“設置”按鈕設置允許其他用戶訪問運行于本主機的特定網絡服務。選擇“服務”選項卡，其中列舉出了網絡標準服務，加上“√”表示允許，不加“√”表示禁止。如果允許外部網絡用戶訪問網絡的某一項服務，則在對話框中間列表中所列出該項服務前加“√”（如果不存在則可單擊“添加程序”按鈕進行添加）；如果禁止外部網絡用戶訪問內部網絡的某一項服務，則將該項服務前的“√”清除（如果不存在同樣可以添加）。選擇“ICMP”選項卡，允許或禁止某些類型的ICMP響應，建議禁止所有的ICMP響應。

3．防火墻安全日志設置

Windows2003防火墻可以記錄所有允許和拒絕進入的數(shù)據(jù)包，以便進行進一步的分析。在“高級”選項卡的“安全日志記錄”框中單擊“設置”按鈕，進入“日志設置”界面。

如果要記錄被丟棄的包，則選中“記錄被丟棄的數(shù)據(jù)包”復選按鈕；如果要記錄成功的連接，則選中“記錄成功的連接”復選按鈕。

日志文件默認路徑為C:WINDOWSpfirewall.log，用記事本可以打開，所生成的安全日志使用的格式為W3C擴展日志文件格式，可以用常用的日志分析工具進行查看分析。你也可以重新指定日志文件，而且還可以通過“大小限制”限定文件的最大使用空間。

「說明」 建立安全日志是非常必要的，在服務器安全受到威脅時，日志可以提供可靠的證據(jù)。

? linux防火墻-iptable的應用

一．iptables簡介

從1.1內核開始，linux就已經具有包過濾功能了，在2.0的內核中我們采用ipfwadm來操作內核包過濾規(guī)則。之后在2.2內核中，采用了大家并不陌生的ipchains來控制內核包過濾規(guī)則。在2.4內核中我們不再使用ipchains，而是采用一個全新的內核包過濾管理工具—iptables。這個全新的內核包過濾工具將使用戶更易于理解其工作原理，更容易被使用，當然也將具有更為強大的功能。

實際上iptables只是一個內核包過濾的工具，iptables可以加入、插入或刪除核心包過濾表格(鏈)中的規(guī)則。實際上真正來執(zhí)行這些過濾規(guī)則的是netfilter(Linux內核中一個通用架構)及其相關模塊(如iptables模塊和nat模塊)。

netfilter提供了一系列的“表(tables)”，每個表由若干“鏈(chains)”組成，而每條鏈中有一條或數(shù)條規(guī)則(rule)組成。我們可以這樣來理解，netfilter是表的容器，表是鏈的容器，鏈又是規(guī)則的容器。

netfilter系統(tǒng)缺省的表為“filter”,該表中包含了INPUT、FORWARD和OUTPUT 3個鏈。每一條鏈中可以有一條或數(shù)條規(guī)則，每一條規(guī)則都是這樣定義的“如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個數(shù)據(jù)包”。當一個數(shù)據(jù)包到達一個鏈時，系統(tǒng)就會從第一條規(guī)則開始檢查，看是否符合該規(guī)則所定義的條件：如果滿足，系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；如果不滿足則繼續(xù)檢查下一條規(guī)則。最后，如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話，系統(tǒng)就會根據(jù)預先定義的策略(policy)來處理該數(shù)據(jù)包。

圖3-2-1 網絡數(shù)據(jù)包在filter表中的流程

數(shù)據(jù)包在filter表中的流程如圖3-2-1所示。有數(shù)據(jù)包進入系統(tǒng)時，系統(tǒng)首先根據(jù)路由表決定將數(shù)據(jù)包發(fā)給哪一條鏈，則可能有三種情況：

（1）如果數(shù)據(jù)包的目的地址是本機，則系統(tǒng)將數(shù)據(jù)包送往INPUT鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應的本地進程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會將這個包丟掉。

（2）如果數(shù)據(jù)包的目的地址不是本機，也就是說，這個包將被轉發(fā)，則系統(tǒng)將數(shù)據(jù)包送往FORWARD鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應的本地進程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會將這個包丟掉。

（3）如果數(shù)據(jù)包是由本地系統(tǒng)進程產生的，則系統(tǒng)將其送往OUTPUT鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應的本地進程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會將這個包丟掉。

當我們在使用iptables NAT功能的時候，我們所使用的表不再是“filter”表，而是“nat”表，所以我們必須使用“-t nat”選項來顯式地指明這一點。因為系統(tǒng)缺省的表是“filter”，所以在使用filter功能時，我們沒有必要顯式的指明“-t filter”。

同“filter”表一樣，nat表也有三條缺省的鏈，這三條鏈也是規(guī)則的容器，它們分別是：

（1）PREROUTING: 可以在這里定義進行目的NAT的規(guī)則，因為路由器進行路由時只檢查數(shù)據(jù)包的目的IP地址，為了使數(shù)據(jù)包得以正確路由，我們必須在路由之前就進行目的NAT。

（2）POSTROUTING: 可以在這里定義進行源NAT的規(guī)則，在路由器進行路由之后才進行源NAT。（3）OUTPUT: 定義對本地產生的數(shù)據(jù)包的目的NAT規(guī)則。二．NAT工作原理

NAT的基本思想是為每個企業(yè)分配一個IP地址(或者是很少幾個)來進行Internet傳輸。在企業(yè)內部，每個電腦取得一唯一的IP地址來為內部傳輸做路由。然而，當封包離開企業(yè)，進入ISP之后，就需要進行地址轉換了。為了使這個方案可行，IP地址的范圍被聲明為私有的，企業(yè)可以隨意在內部使用他們。僅有的規(guī)則是，沒有包含這些地址的封包出現(xiàn)在Internet上。

「說明」 IP私有地址范圍是：10.0.0.0～10.255.255.255/

8、172.16.0.0 ～172.31.255.255/

12、192.168.0.0～192.168.255.255/16。

如圖3-2-2所示。在企業(yè)內部，每個機器都有一個唯一的172.16.x.y形式的地址。然而，當封包離開企業(yè)時，它要經過NAT轉盒，NAT盒將內部IP源地址，即圖中的172.16.0.50轉換成企業(yè)的真實地址(這個地址對于Internet來說是可見的)，此例中為202.198.168.150。NAT盒通常和防火墻一起綁定在一個設備上，這里的防火墻通過小心地控制進出企業(yè)的封包提供了安全保障。

圖3-2-2 NAT地址轉換

三．iptables常用操作語法

對于任何協(xié)議及協(xié)議的擴展，通用匹配都可以直接使用。（1）匹配指定協(xié)議。

匹配-p,--protocol／使用 iptables-A INPUT-p tcp-j ACCEPT／說明匹配指定的協(xié)議，指定協(xié)議的形式有以下幾種：①名字不分大小寫，但必須是在/etc/protocols中定義的；②可以使用協(xié)議相應的整數(shù)值。例如，ICMP的值是1,TCP是6,UDP是17；③缺少設置ALL，相應數(shù)值是0,要注意這只代表匹配TCP、UDP、ICMP，而不是/etc/protocols中定義的所有協(xié)議；④可以是協(xié)議列表，以英文逗號為分隔符，如：udp,tcp；⑤可以在協(xié)議前加英文的感嘆號表示取反，注意有空格,如：--protocol!tcp表示非TCP協(xié)議，也就是UDP和ICMP?？梢钥闯鲞@個取反的范圍只是TCP、UDP和ICMP。

（2）以IP源地址匹配包。

匹配-s,--src,--source／使用 iptables-A INPUT-s 192.168.0.1-j ACCEPT／說明以IP源地址匹配包。地址的形式如下：①單個地址，如192.168.0.1，也可寫成192.168.0.1/255.255.255.255或192.168.0.1/32；②網絡，如192.168.0.0/24,或192.168.0.0/255.255.255.0；③在地址前加英文感嘆號表示取反，注意空格，如—source!192.168.0.0/24表示除此地址外的所有地址；④缺省是所有地址。

（3）以IP目的地址匹配包。

匹配-d,--dst,--destination／使用 iptables-A INPUT-d 192.168.0.1-j ACCEPT／說明以IP目的地址匹配包。地址的形式和—source完全一樣。

（4）以包進入本地使用的網絡接口匹配包。

匹配-i／使用 iptables-A INPUT-i eth0-j ACCEPT／說明以包進入本地所使用的網絡接口來匹配包。要注意這個匹配操作只能用于INPUT,FORWARD和PREROUTING這三個鏈，用在其他任何地方會提示錯誤信息。指定接口有以下方法：①指定接口名稱，如：eth0、ppp0等；②使用通配符，即英文加號，它代表字符數(shù)字串。若直接用一個加號，即iptables-A INPUT-i +表示匹配所有的包，而不考慮使用哪個接口。通配符還可以放在某一類接口的后面，如：eth+表示匹配所有從Ethernet接口進入的包；③在接口前加英文感嘆號表示取反，如：-i!eth0意思是匹配來自除eth0外的所有包。

（5）以包離開本地所使用的網絡接口來匹配包。

匹配-o／使用 iptables-A OUTPUT-o eth1-j ACCEPT／說明以包離開本地所使用的網絡接口來匹配包。要注意這個匹配操作只能用于OUTPUT,FORWARD和POSTROUTING這三個鏈，用在其他任何地方會提示錯誤信息。

（6）匹配通信源端口。

匹配--source-port,--sport／使用 iptables-A INPUT-p tcp--sport 1111／說明當通信協(xié)議為TCP或UDP時，可以指定匹配的源端口，但必須與匹配協(xié)議相結合使用。

（7）匹配通信源端口。

匹配--destination-port,--dport／使用 iptables-A INPUT-p tcp--dport 80／說明當通信協(xié)議為TCP或UDP時，可以指定匹配的目的端口，但必須與匹配協(xié)議相結合使用。

五．iptables功能擴展 1．TCP擴展

iptables可以擴展，擴展分為兩種：一種是標準的；另一種是用戶派生的。如果指定了“-p tcp”，那么TCP擴展將自動加載，通過--tcp-flags擴展，我們指定TCP報文的哪些Flags位被設置，在其后跟隨兩個參數(shù)：第一個參數(shù)代表Mask,指定想要測驗的標志位；第二個參數(shù)指定哪些位被設置。

例：設置iptables防火墻禁止來自外部的任何tcp主動請求，并對此請求行為進行事件記錄。

其中ULOG指定對匹配的數(shù)據(jù)包進行記錄,由日志生成工具ULOG生成iptables防火日志，--log-prefix選項為記錄前綴。

2．ICMP擴展

例：設置iptables防火墻允許來自外部的某種類型/代碼的ICMP數(shù)據(jù)包。

其中--icmp-type為擴展命令選項，其后參數(shù)可以是三種模式：（1）ICMP類型名稱（例如，host-unreachable）。（2）ICMP類型值(例如3)。（3）ICMP類型及代碼值（8/0）。六．狀態(tài)檢測

“狀態(tài)”的意思是指如果一個數(shù)據(jù)包是對先前從防火墻發(fā)出去的包的回復，則防火墻自動不用檢查任何規(guī)則就立即允許該數(shù)據(jù)包進入并返回給請求者，這樣就不用設置許多規(guī)則定義就可實現(xiàn)應用的功能。

我們可以把請求端與應答端之間建立的網絡通信連接稱為網絡會話，每個網絡會話都包括以下信息——源IP地址、目標IP地址、源端口、目的端口，稱為套接字對；協(xié)議類型、連接狀態(tài)（TCP協(xié)議）和超時時間等。防火墻把這些信息稱為狀態(tài)(stateful)。狀態(tài)包過濾防火墻能在內存中維護一個跟蹤狀態(tài)的表，比簡單的包過濾防火墻具有更大的安全性，而iptables就是一種基于狀態(tài)的防火墻。命令格式如下：

iptables-m state--state [!] state [,state,state,state] 其中，state表是一個由逗號分割的列表，用來指定連接狀態(tài)，狀態(tài)分為4種：（1）NEW: 該包想要建立一個新的連接（重新連接或連接重定向）

（2）RELATED:該包是屬于某個已經建立的連接所建立的新連接。舉例：FTP的數(shù)據(jù)傳輸連接和控制連接之間就是RELATED關系。

（3）ESTABLISHED：該包屬于某個已經建立的連接。（4）INVALID:該包不匹配于任何連接，通常這些包被DROP。七．NAT操作

前面提到在iptables防火墻中提供了3種策略規(guī)則表：Filter、Mangle和NAT，這3種表功能各不相同，而最為常用的就是filter和nat表。

nat表僅用于NAT,也就是網絡地址轉換。做過NAT操作的數(shù)據(jù)包的地址就被改變了，當然這種改變是根據(jù)我們的規(guī)則進行的。屬于流的包只會經過這個表一次，經一個包被允許做NAT,那么余下的包都會自動地做相同的操作。也就是說，余下的包不會再通過這個表一個一個的被NAT，而是自動完成的。常用操作分為以下幾類。

（1）SNAT(source network address translation，源網絡地址目標轉換)。

SNAT是POSTROUTING鏈表的作用，在封包就要離開防火墻之前改變其源地址，這在極大程度上可以隱藏本地網絡或者DMZ等。比如，多個PC機使用路由器共享上網，每個PC機都配置了內網IP(私有IP)，PC機訪問外部網絡的時候，路由器將數(shù)據(jù)包的報頭中的源地址替換成路由器的IP，當外部網絡的服務器比如網站Web服務器接到訪問請求的時候，它的日志記錄下來的路由器的IP，而不是PC機的內網IP，這是因為，這個服務器收到的數(shù)據(jù)包的報頭里邊的“源地址”已經被替換了。所以叫做SNAT，基于源地址的地址轉換。

例如更改所有來自192.168.0.1/24的數(shù)據(jù)包的源IP地址為10.0.0.1，其iptables實現(xiàn)為：

（2）DNAT(destination network address translation，目標網絡地址轉換)。

DNAT是PREROUTING鏈表的作用，在封包剛剛到達防火墻時改變其目的地址，以使包能重路由到某臺主機。典型的應用是，有個Web服務器放在企業(yè)網絡DMZ區(qū)，其配置了內網IP地址，企業(yè)防火墻的的外網接口配置了企業(yè)唯一的公網IP，互聯(lián)網上的訪問者使用公網IP來訪問這個網站，當訪問的時候，客戶端發(fā)出一個數(shù)據(jù)包，這個數(shù)據(jù)包的報頭里邊，目標地址寫的是防火墻的公網IP，然后再把這個數(shù)據(jù)包發(fā)送到DMZ區(qū)的Web服務器上，這樣，數(shù)據(jù)包就穿透了防火墻，并從公網IP變成了一個對DMZ區(qū)的訪問了。所以叫做DNAT，基于目標的網絡地址轉換。

例如更改所有來自202.98.0.1/24的數(shù)據(jù)包的目的IP地址為192.168.0.1，其iptables實現(xiàn)為：

（3）REDIRECT(重定向)。

REDIRECT是DNAT的特殊情況是重定向，也就是所謂的Redirection，這時候就相當于將符合條件的數(shù)據(jù)包的目的IP地址改為數(shù)據(jù)包進入系統(tǒng)時的網絡接口的IP地址。通常是在與squid配置形成透明代理時使用，假設squid的監(jiān)聽端口是3128,我們可以通過以下語句來將來自192.168.0.1/24，目的端口為80的數(shù)據(jù)包重定向到squid監(jiān)聽：

（4）MASQUERADE(地址偽裝)。

在iptables中有著和SNAT相近的效果，但也有一些區(qū)別。在使用SNAT的時候，出口IP的地址范圍可以是一個，也可以是多個，例如把所有

192.168.0.0/2

4網段數(shù)據(jù)包

SNAT

成202.98.0.150/202.98.0.151/202.98.0.152等幾個IP然后發(fā)出去,其iptables實現(xiàn)為：

SNAT即可以NAT成一個地址，也可以NAT成多個地址。但是，對于SNAT來說不管是幾個地址，必須明確指定轉換的目標地址IP。假如當前系統(tǒng)用的是ADSL動態(tài)撥號方式，那么每次撥號，出口IP都會改變，而且改變的幅度很大，不一定是202.98.0.150到202.98.0.152范圍內的地址，這個時候如果使用SNAT的方式來配置iptables就會出現(xiàn)麻煩了，因為每次撥號后出口IP都會變化，而iptables規(guī)則內的IP是不會隨著自動變化的，每次地址變化后都必須手工修改一次iptables，把規(guī)則里邊的固定的IP改成新的IP，這樣是非常不好用的。

MASQUERADE就是針對這種場景而設計的，它的作用是從防火墻外網接口上自動獲取當前IP地址來做NAT，比如下邊的命令：

八．防火墻應用代理 1．代理服務器概述

在TCP/IP網絡中，傳統(tǒng)的通信過程是這樣的：客戶端向服務器請求數(shù)據(jù)，服務器響應該請求，將數(shù)據(jù)傳送給客戶端，如圖3-2-3所示。

圖3-2-3 直接訪問Internet 在引入了代理服務器以后，這一過程變成了這樣：客戶端向服務器發(fā)起請求，該請求被送到代理服務器；代理服務器分析該請求，先查看自己緩存中是否有請求數(shù)據(jù)，如果有就直接傳遞給客戶端，如果沒有就代替客戶端向該服務器發(fā)出請求。服務器響應以后，代理服務將響應的數(shù)據(jù)傳遞給客戶端，同時在自己的緩存中保留一份該數(shù)據(jù)的拷貝。這樣，再有客戶端請求相同的數(shù)據(jù)時，代理服務器就可以直接將數(shù)據(jù)傳送給客戶端，而不需要再向該服務器發(fā)起請求，如圖3-2-4所示。

圖3-2-4 通過代理服務器訪問Internet

2．代理服務器功能

一般說來，代理服務器具有以下的功能：（1）通過緩存增加訪問速度。

隨著Internet的迅猛發(fā)展，網絡帶寬變得越來越珍貴。所以為了提高訪問速度，好多ISP都提供代理服務器，通過代理服務器的緩存功能來加快網絡的訪問速度。一般說來，大多數(shù)的代理服務器都支持HTTP緩存，但是，有的代理服務器也支持FTP緩存。在選擇代理服務器時，對于大多數(shù)的組織，只需要HTTP緩存功能就足夠了。

通常，緩存有主動緩存被動緩存之分。所謂被動緩存，指的是代理服務器只在客戶端請求數(shù)據(jù)時才將服務器返回的數(shù)據(jù)進行緩存，如果數(shù)據(jù)過期了，又有客戶端請求相同的數(shù)據(jù)時，代理服務器又必須重新發(fā)起新的數(shù)據(jù)請求，在將響應數(shù)據(jù)傳送給客戶端時又進行新的緩存。所謂主動緩存，就是代理服務器不斷地檢查緩存中的數(shù)據(jù)，一旦有數(shù)據(jù)過期，則代理服務器主動發(fā)起新的數(shù)據(jù)請求來更新數(shù)據(jù)。這樣，當有客戶端請求該數(shù)據(jù)時就會大大縮短響應時間。對于數(shù)據(jù)中的認證信息，大多數(shù)的代理服務器都不會進行緩存的。

（2）提供用私有IP訪問Internet的方法。

IP地址是不可再生的寶貴資源，假如你只有有限的IP地址，但是需要提供整個組織的Internet訪問能力，那么，你可以通過使用代理服務器來實現(xiàn)這一點。

（3）提高網絡的安全性。

如果內部用戶訪問Internet都是通過代理服務器，那么代理服務器就成為進入Internet的唯一通道；反過來說，代理服務器也是Internet訪問內部網絡的唯一通道，如果你沒有做反向代理，則對于Internet上的主機來說，你的整個內部網只有代理服務器是可見的，從而大大增強了網絡的安全性。

3．傳統(tǒng)、透明和反向代理服務器（1）傳統(tǒng)代理服務器。

傳統(tǒng)代理常被用于緩存靜態(tài)網頁(例如：html文件和圖片文件等)到本地網絡上的一臺主機上(即代理服務器)。不緩存的頁面被第二次訪問的時候，瀏覽器將直接從本地代理服務器那里獲取請求數(shù)據(jù)而不再向原Web站點請求數(shù)據(jù)。這樣就節(jié)省了寶貴的網絡帶寬，而且提高了訪問速度。但是，要想實現(xiàn)這種方式，必須在每一個內部主機的瀏覽器上明確指明代理服務器的IP地址和端口號?？蛻舳松暇W時，每次都把請求給代理服務器處理，代理服務器根據(jù)請求確定是否連接到遠程Web服務器獲取數(shù)據(jù)。如果在本地緩沖區(qū)有目標文件，則直接將文件傳給用戶即可。如果沒有的話則先取回文件，并在本地保存一份緩沖，然后將文件發(fā)給客戶端瀏覽器。

（2）透明代理服務器。

透明代理與傳統(tǒng)代理的功能完全相同。但是，代理操作對客戶端瀏覽器是透明的(即不需指明代理服務器的IP和端口)。透明代理服務器阻斷網絡通信，并且過濾出訪問外部的HTTP(80端口)流量。如果客戶端的請求在本地有緩沖則將緩沖的數(shù)據(jù)直接發(fā)給用戶，如果在本地沒有緩沖則向遠程Web服務器發(fā)出請求，其余操作和傳統(tǒng)代理服務器完全相同。對于Linux操作系統(tǒng)來說，透明代理使用iptables實現(xiàn)。因為不需要對瀏覽器作任何設置，所以，透明代理對于ISP來說特別有用。

（3）反向代理服務器。

反向代理是和前兩種代理完全不同的一種代理服務。使用它可以降低原始Web服務器的負載。反向代理服務器承擔了對原始Web服務器的靜態(tài)頁面的請求，防止原始服務器過載。如圖3-2-5所示，它位于本地Web服務器和Internet之間，處理所有對Web服務器的請求。如果互聯(lián)網用戶請求的頁面在代理器上有緩沖的話，代理服務器直接將緩沖內容發(fā)送給用戶。如果沒有緩沖則先向Web服務器發(fā)出請求，取回數(shù)據(jù)，本地緩存后再發(fā)送給用戶。這種方式通過降低了向Web服務器的請求數(shù)從而降低了Web服務器的負載。

圖3-2-5 反向代理服務器位于Internet與組織服務器之間

4．代理服務器squid簡介

Squid是一個緩存Internet數(shù)據(jù)的一個開源軟件，它會接收用戶的下載申請，并自動處理所下載的數(shù)據(jù)。也就是說，當一個用戶要下載一個主頁時，他向squid發(fā)出一個申請，要求squid替它下載，squid連接申請網站并請求該主頁，然后把該主頁傳給用戶同時保留一個備份，當別的用戶申請同樣的頁面時，squid把保存的備份立即傳給用戶，使用戶覺得速度相當快。目前squid可以代理HTTP、FTP、GOPHER、SSL和WAIS協(xié)議，暫不能代理POP、NNTP等協(xié)議。但是已經有人開始改進squid，相信不久的將來，squid將能夠代理這些協(xié)議。

Squid不是對任何數(shù)據(jù)都進行緩存。像信用卡賬號、可以遠方執(zhí)行的Script、經常變換的主頁等是不適合緩存的。Squid可以根據(jù)用戶的需要進行設置，過濾掉不想要的東西。

Squid可用在很多操作系統(tǒng)中，如Digital Unix, FreeBSD, HP-UX, Linux, Solaris，OS/2等，也有不少人在其他操作系統(tǒng)中重新編譯過Squid。

Squid對內存有一定的要求，一般不應小于128M，硬盤最好使用服務器專用SCSI硬盤。

Squid是一個高性能的代理緩存服務器，和一般的代理緩存軟件不同，Squid用一個單獨的、非模塊化的、I/O驅動的進程來處理所有的客戶端請求。

Squid將數(shù)據(jù)元緩存在內存中，同時也緩存DNS查詢的結果。此外，它還支持非模塊化的DNS查詢，對失敗的請求進行消極緩存。Squid支持SSL，支持訪問控制。由于使用了ICP（輕量Internet緩存協(xié)議），Squid能夠實現(xiàn)層疊的代理陣列，從而最大限度地節(jié)約帶寬。

Squid由一個主要的服務程序Squid,一個DNS查詢程序dnsserver，幾個重寫請求和執(zhí)行認證的程序，以及幾個管理工具組成。當Squid啟動以后，它可以派生出預先指定數(shù)目的dnsserver進程，而每一個dnsserver進程都可以執(zhí)行單獨的DNS查詢，這樣就減少了服務器等待DNS查詢的時間。

5．Squid常用配置選項

因為缺省的配置文件不能使Squid正常啟動服務，所以我們必須首先修改該配置文件的有關內容,才能讓Squid運行起來。

下面是squid.conf文件的結構。squid.conf配置文件的可以分為13個部分，這13個部分如下有所示。

雖然Squid的配置文件很龐大，但是如果你只是為一個中小型網絡提供代理服務，并且只準備使用一臺服務器，則只需要修改配置文件中的幾個選項。

6．Squid常用命令選項（1）端口號。

http_port指令告訴squid在哪個端口偵聽HTTP請求。默認端口是3128：http_port 3128，如果要squid作為加速器運行則應將它設為80。

你能使用附加http_port行來指squid偵聽在多個端口上。例如，來自某個部門的瀏覽器發(fā)送請求3128，然而另一個部門使8080端口?？梢詫蓚€端口號列舉出來：

http_port 3128 http_port 8080 Squid也可以使http_port指令偵聽在指定的接口地址上。squid作為防火墻運行時，它有兩個網絡接口：一個內部的和一個外部的。你可能不想接受來自外部的http請求。為了使squid僅僅偵聽在內部接口上，簡單的將IP地址放在端口號前面：

http_port 192.168.1.1:3128（2）日志文件路徑。

默認的日志目錄是squid安裝位置下的logs目錄，其路徑是/usr/local/squid/var/logs。

你必須確認日志文件所存放的磁盤位置空間足夠。squid想確認你不會丟失任何重要的日志信息，特別是你的系統(tǒng)被濫用或者被攻擊時。

Squid有三個主要的日志文件：cache.log、access.log和store.log。cache.log文件包含狀態(tài)性的和調試性的消息。access.log文件包含了對squid發(fā)起的每個客戶請求的單一行。每行平均約150個字節(jié)。假如因為某些理由，你不想squid記錄客戶端請求日志，你能指定日志文件的路徑為/dev/null。store.log文件對大多數(shù)cache管理員來說并非很有用。它包含了進入和離開緩存的每個目標的記錄。平均記錄大小典型的是175-200字節(jié)。

如果squid的日志文件增加沒有限制。某些操作系統(tǒng)對單個文件強制執(zhí)行2G的大小限制，即使你有充足的磁盤空間。超過該限制會導致寫錯誤，squid就會退出。（3）訪問控制。

squid默認的配置文件拒絕每一個客戶請求。在任何人能使用代理之前，你必須在squid.conf文件里加入附加的訪問控制規(guī)則。最簡單的方法就是定義一個針對客戶IP地址的ACL和一個訪問規(guī)則，告訴squid允許來自這些地址的HTTP請求。squid有許多不同的ACL類型。src類型匹配客戶IP地址，squid會針對客戶HTTP請求檢查http_access規(guī)則。

acl MyNetwork src 192.168.0.0/16 http_access allow MyNetwork 請將這些行放在正確的位置。http_access的順序非常重要。在第一次編輯squid.conf文件時，請看如下注釋：

在該注釋之后，以及“http_access deny all”之前插入新規(guī)則。（4）命令選項。

這里的很多選項在實際應用中從不會使用，另外有些僅僅在調試問題時有用。

? 實驗步驟

? Windows 2003防火墻

一．防火墻基礎操作

操作概述：啟用windows2003系統(tǒng)防火墻，設置規(guī)則阻斷ICMP回顯請求數(shù)據(jù)包，并驗證針對UDP連接工具的例外操作。

（1）在啟用防火墻之前，同組主機通過ping指令互相測試網絡連通性，確?；ハ嗍沁B通的，若測試未通過請排除故障。

（2）本機啟用防火墻，并設置防火墻僅對“本地連接”進行保護。

（3）同組主機再次通過ping指令互相測試網絡連通性，確認是否相互連通_______。（4）設置本機防火墻允許其傳入ICMP回顯請求。（5）第三次測試網絡連通性。二．防火墻例外操作

操作概述：啟用windows2003系統(tǒng)防火墻，在“例外”選項卡中添加程序“UDPtools” 允許UDPtools間通信，并彈出網絡連接提示信息。

（1）關閉防火墻，同組主機間利用UDPtools進行數(shù)據(jù)通信，確保通信成功。

「說明」 UDPtools通信雙方應分別為客戶端和服務端，其默認通過2513/UDP端口進行通信，可以自定義通信端口，運行如圖3-1-1所示。

圖3-1-1 UDP連接工具

（2）本機啟用防火墻(僅對本地連接)，將本機作為UDPtools服務器端，同組主機以UDPtools客戶端身份進行通信，確定客戶端通信請求是否被防火墻阻塞_______。

（3）斷開UDPtools通信，單擊“例外”選項卡，在“程序和服務”列表框添加程序“UDPtools.exe”（C:JLCSSTOOLSAnalysertoolsUdpTools.exe）并將其選中。再次啟動UDPtools并以服務器身份運行，同組主機仍以客戶端身份與其通信，確定客戶端通信請求是否被防火墻阻塞_______。

三．NAT操作

操作概述：Windows Server 2003“路由和遠程訪問”服務包括NAT路由協(xié)議。如果將NAT路由協(xié)議安裝和配置在運行“路由和遠程訪問”的服務器上，則使用專用IP地址的內部網絡客戶端可以通過NAT服務器的外部接口訪問Internet。

圖3-1-2 實驗網絡連接示意

參看圖3-1-2，當內部網絡主機PC1發(fā)送要連接Internet主機PC2的請求時，NAT協(xié)議驅動程序會截取該請求，并將其轉發(fā)到目標Internet主機。所有請求看上去都像是來自NAT器的外部連接IP地址，這樣就隱藏了內部網絡主機。

在這里我們將windows Server 2003主機配置成為“路由和遠程訪問”NAT服務器，并模擬搭建Internet網絡環(huán)境對NAT服務器進行測試。

（1）實驗網絡拓撲規(guī)劃。

按圖3-1-2所示，本實驗需3臺主機共同完成，其中一臺主機扮演實驗角色“內網主機PC1”,一臺主機扮演實驗角色“外網主機PC2”,最后一臺主機扮演“NAT服務器”。

默認外部網絡地址202.98.0.0／24；內部網絡地址172.16.0.0／24，也可根據(jù)實際情況指定內網與外網地址。

默認主機“本地連接”為內部網絡接口；“外部連接“為外部網絡接口，也可指定“本地連接”為外部網絡接口。

（2）按步驟(1)中規(guī)劃分別為本機的“本地連接”、“外部連接”配置IP地址。

（3）配置NAT路由服務。依次單擊“開始”|“程序”|“管理工具”|“路由和遠程訪問”，在“路由和遠程訪問”MMC中，選擇要安裝NAT路由協(xié)議的服務器(這里為本地主機)，右鍵單擊在彈出菜單中選擇“配置并啟用路由和遠程訪問”。

「注」 操作期間若彈出“為主機名啟用了Windows防火墻/Internet連接共享服務……”警告信息，請先禁用“Windows防火墻/Internet連接共享”服務，后重試操作。具體做法：“開始”|“程序”| “管理工具”|“計算機管理”|“服務和應用程序”|“服務”，在右側服務列表中選擇“Windows Firewall/Internet Connection Sharing(ICS)”服務，先將其停止，然后在啟動類型中將其禁用。

（4）在“路由和遠程訪問服務器安裝向導”中選擇“網絡地址轉換(NAT)”服務。

（5）在“NAT Internet連接”界面中指定連接到Internet的網絡接口，該網絡接口對于Internet來說是可見的。若在步驟(1)中已將“外部連接”指定為公共接口，則此處應選擇“外部連接”。

（6）本實驗中沒有應用到DHCP、DNS服務，所以在“名稱和地址轉換服務”界面中選擇“我將稍后設置名稱和地址服務”。至最后完成路由和遠程訪問配置。

（7）接下來的工作是對各NAT服務器進行測試。下面以主機ABC為例進行測試說明：參照圖3-1-2，設定主機A為內網主機PC1，將其內部網絡接口(默認為“本地連接”)的默認網關指向主機B的內部網絡接口(默認為“本地連接”)；設定主機C為外網主機PC2。內網主機A通過ping指令對外網主機C做連通性測試。

（8）ICMP會話分析。在主機A做連通性測試的同時，主機B打開“協(xié)議分析器”并定義過濾器，操作如下：依次單擊菜單項“設置”|“過濾器”，在“協(xié)議過濾”選項卡“協(xié)議樹”中選中“ICMP”協(xié)議。依次單擊按鈕“新建捕獲窗口”|“開始捕獲數(shù)據(jù)包”，在彈出的“適配器選擇”界面中選擇“外部連接”，開始捕獲。觀察狀態(tài)欄“捕獲幀數(shù)”窗格，當捕獲到數(shù)據(jù)時單擊“停止捕獲數(shù)據(jù)包”按鈕，依次展開“會話分析樹”|“ICMP會話”，如圖3-1-3所示。

圖3-1-3 在NAT服務器外部接口上監(jiān)聽到的ICMP會話

（9）結合ICMP會話分析結果說出ICMP數(shù)據(jù)包的傳輸（路由）過程_________。

? linux防火墻-iptable的應用

一．包過濾實驗

操作概述：為了應用iptables的包過濾功能，首先我們將filter鏈表的所有鏈規(guī)則清空，并設置鏈表默認策略為DROP(禁止)。通過向INPUT規(guī)則鏈插入新規(guī)則，依次允許同組主機icmp回顯請求、Web請求，最后開放信任接口eth0。iptables操作期間需同組主機進行操作驗證。

（1）清空filter鏈表所有規(guī)則鏈規(guī)則。iptables命令________。

（2）確定同組主機已清空filter鏈表后，利用nmap（/opt/portscan/目錄下）對同組主機進行端口掃描。

nmap端口掃描命令________。

「說明」 nmap具體使用方法可查看實驗6｜練習1｜TCP端口掃描。查看端口掃描結果，并填寫下表。

（3）查看INPUT、FORWARD和OUTPUT鏈默認策略。iptables命令_________。

? ?（4）將INPUT、FORWARD和OUTPUT鏈默認策略均設置為DROP。iptables命令_________。

確定同組主機已將默認策略設置為DROP后，本機再次利用nmap其進行端口掃描，查看掃描結果，并利用ping命令進行連通性測試。

（5）利用功能擴展命令選項(ICMP)設置防火墻僅允許ICMP回顯請求及回顯應答。ICMP回顯請求類型__________；代碼__________。ICMP回顯應答類型__________；代碼__________。iptables命令__________ 利用ping指令測試本機與同組主機的連通性。（6）對外開放Web服務(默認端口80/tcp)。iptables命令__________ 利用nmap對同組主機進行端口掃描，查看掃描結果。

（7）設置防火墻允許來自eth0(假設eth0為內部網絡接口)的任何數(shù)據(jù)通過。iptables命令_______ 利用nmap對同組主機進行端口掃描，查看掃描結果。二．事件審計實驗

操作概述：利用iptables的日志功能檢測、記錄網絡端口掃描事件，日志路徑 /var/log/iptables.log。（1）根據(jù)實驗原理(TCP擴展)設計iptables包過濾規(guī)則，并應用日志生成工具ULOG對iptables捕獲的網絡事件進行響應。

iptables命令__________（2）同組主機應用端口掃描工具對當前主機進行端口掃描，并觀察掃描結果。（3）在同組主機端口掃描完成后，當前主機查看iptables日志，對端口掃描事件進行審計，日志內容如圖3-2-1所示。

圖3-2-1 iptables日志內容

三．狀態(tài)檢測實驗

操作概述：分別對新建和已建的網絡會話進行狀態(tài)檢測。1．對新建的網絡會話進行狀態(tài)檢測（1）清空filter規(guī)則鏈全部內容。iptables命令__________（2）設置全部鏈表默認規(guī)則為允許。iptables命令__________（3）設置規(guī)則禁止任何新建連接通過。iptables命令__________（4）同組主機對當前主機防火墻規(guī)則進行測試，驗證規(guī)則正確性。2．對已建的網絡會話進行狀態(tài)檢測

（1）清空filter規(guī)則鏈全部內容，并設置默認規(guī)則為允許。

（2）同組主機首先telnet遠程登錄當前主機，當出現(xiàn)“l(fā)ogin:”界面時，暫停登錄操作。telnet登錄命令_________（3）iptables添加新規(guī)則(狀態(tài)檢測)——僅禁止新建網絡會話請求。iptables命令___________ 或___________________ 同組主機續(xù)(1)步驟繼續(xù)執(zhí)行遠程登錄操作，嘗試輸入登錄用戶名“guest”及口令“guestpass”，登錄是否成功__________。

同組主機啟動Web瀏覽器訪問當前主機Web服務，訪問是否成功__________。解釋上述現(xiàn)象______________________。

（4）刪除步驟（3）中添加的規(guī)則，并插入新規(guī)則(狀態(tài)檢測)——僅禁止已建網絡會話請求。iptables命令______________________________ 或________________________________________ iptables命令______________________________ 或________________________________________ 重新操作實驗步驟(1)(2)(4)。同組主機續(xù)(1)步驟繼續(xù)執(zhí)行遠程登錄操作，嘗試輸入登錄用戶名“guest”及口令 “guestpass”，登錄是否成功__________。

同組主機啟動Web瀏覽器訪問當前主機Web服務，訪問是否成功__________。解釋上述現(xiàn)象_______________。

（5）當前主機再次清空filter鏈表規(guī)則，并設置默認策略為DROP,添加規(guī)則開放FTP服務，并允許遠程用戶上傳文件至FTP服務器。

iptables命令______________________________________ 四．NAT轉換實驗

實驗概述：圖3-2-2描述了NAT轉換實驗所應用的網絡拓撲結構。內網主機與NAT服務器eth0接口位于同一網段(內網)；外網主機與NAT服務器eth1接口位于同一網絡(外網)；NAT服務器提供NAT轉換。通過設置nat服務器的iptables NAT規(guī)則，實現(xiàn)內、外網主機間的通信數(shù)據(jù)包的地址轉換，達到屏蔽內部網絡拓撲結構與轉發(fā)外網主機請求端口的目的。

圖3-2-2 實驗網絡拓撲結

「說明」 本實驗是在Linux系統(tǒng)下完成，Linux系統(tǒng)默認安裝了2塊以太網卡，網絡接口分別為eth0和eth1，在設置NAT服務前請激活eth1網絡接口，命令ifconfig eth1 up。

1．確定各接口IP地址

本實驗由ABC、DEF主機各為一實驗小組。默認實驗角色：主機A為內網主機、B為NAT服務器、C為外網主機。也可以自定義實驗角色。

默認內網IP地址192.168.0.0/

24、外網IP地址202.98.0.0/24。配置完成內網主機eth0接口IP地址及默認網關(指向NAT服務器內網接口)，NAT服務器eth0和eth1接口IP地址，外網主機eth0接口IP地址，并完成下列問題的填寫：

內網主機IP____________________，其默認網關____________________； 外網主機IP____________________；

NAT服務器內網接口IP____________________、外網接口IP____________________。

內網主機對NAT服務器內網接口進行連通性測試（ping）；外網主機對NAT服務器外網接口進行連通性測試（ping）。

2．設置防火墻規(guī)則允許內部網絡訪問外部網絡

操作流程：首先開啟NAT服務器的路由功能(開啟網絡接口間數(shù)據(jù)的轉發(fā))，清空filter鏈表全部規(guī)則，并設置其默認策略為DROP；繼續(xù)設置規(guī)則允許來自內網的數(shù)據(jù)流進入外網，并允許任何返回流量回到內網；最后規(guī)則實現(xiàn)內網、外網接口間的數(shù)據(jù)轉發(fā)。

（1）NAT服務器開啟路由功能。

基于安全的考慮，默認情況下Linux路由數(shù)據(jù)包的功能是關閉的，通過下述命令開啟系統(tǒng)路由功能：

（2）設置filter表規(guī)則鏈，默認策略為禁止。iptables命令_______________________（3）添加filter表新規(guī)則，允許來自防火墻的流量進入Internet；允許任何相關的返回流量回到防火墻。

iptables命令_______________________（4）添加filter表新規(guī)則，實現(xiàn)NAT服務器內部網絡接口eth0與外部網絡接口eth1間的數(shù)據(jù)轉發(fā)。iptables命令_______________________（5）主機C啟動Snort（/opt/ids/snort）以網絡嗅探方式運行(設置過濾器僅監(jiān)聽icmp數(shù)據(jù)包)，主機A ping探測主機C，是否ping通______？

將主機C的默認網關指向NAT服務器的外網接口，主機A再次ping探測主機C，是否ping通__________？結合snort捕獲數(shù)據(jù)，對比實驗現(xiàn)象，說明原因：___________________。

3．設置防火墻規(guī)則通過NAT屏蔽內部網絡拓撲結構

操作流程：在實現(xiàn)步驟2的操作基礎上，添加nat表新規(guī)則實現(xiàn)數(shù)據(jù)從內網到外網的地址翻譯。（1）NAT服務器重新啟動iptables服務。service iptables restart（2）重新操作步驟2(⑵～⑶)。

（3）添加nat表新規(guī)則，通過網絡地址翻譯實現(xiàn)內部網絡地址轉換。iptables命令_______________________（4）添加filter表新規(guī)則，實現(xiàn)NAT內部網絡接口eth0與外部網絡接口eth1之間的數(shù)據(jù)轉發(fā)。iptables命令_______________________（5）主機C重新將默認網關指為空，重新啟動Snort捕獲ICMP數(shù)據(jù)。主機A對主機C進行ping探測，是否ping通__________？主機C停止Snort監(jiān)聽，查看已捕獲到ICMP數(shù)據(jù)，其源IP地址是__________？解釋實驗象_____________________________________。

4．設置防火墻規(guī)則通過NAT實現(xiàn)外網請求端口轉發(fā)

操作流程：在實現(xiàn)步驟3的操作基礎，添加nat表新規(guī)則實現(xiàn)數(shù)據(jù)從外網到內網的地址翻譯(端口轉發(fā))。（1）NAT服務器重新啟動iptables服務。service iptables restart（2）重新操作步驟3(⑵～⑷)。

（3）添加nat表新規(guī)則，實現(xiàn)數(shù)據(jù)從外網到內網的地址翻譯（80/tcp端口轉發(fā)）。iptables命令__________________(4)完成NAT外部接口eth1到內部接口eth0之間的數(shù)據(jù)轉發(fā) iptables命令__________________（5）確定主機C默認網關指為空，主機A和主機C啟動Snort捕獲80/tcp數(shù)據(jù)，主機C啟動Web瀏覽器，在地址欄中輸入：http://202.98.0.150，觀察訪問結果，回答下列問題：

主機C訪問是否成功__________？若成功，其訪問的是哪臺主機的Web主頁__________（主機A/主機B）？

主機C停止Snort捕獲，觀察80/tcp會話的源、目的IP地址對__________________。主機A停止Snort捕獲，觀察80/tcp會話的源、目的IP地址對__________________。解釋上述實驗現(xiàn)象______________________________________________________。五．應用代理實驗

實驗概述：使用iptables+squid方式來實現(xiàn)傳統(tǒng)代理、透明代理和反向代理。

實驗角色說明如下：

內網客戶端僅需啟用“本地連接”，其IP地址形式如下：172.16.X.Y，子網掩碼255.255.255.0,其中X為所屬實驗組編號（1-32）,Y為主機編號（1-6）,例如第4組主機A的IP地址為172.16.4.4。

代理服務器需要啟動內部網絡接口eth0和外部網絡接口eth1。內部IP地址形式同內網客戶端，外部IP地址形式如下：202.98.X.Y，子網掩碼255.255.255.0，其中X為所屬實驗組號（1-32）,Y為主機編號，例如第4組主機B的內部IP地址為172.16.4.2，外部IP地址為202.98.4.2。

外網Web服務器僅需啟用“本地連接”，其IP地址形式如下：202.98.X.Y，子網掩碼255.255.255.0，其中X為所屬實驗組號（1-32），Y為主機編號（1-6），例如第4組主機C的IP地址為202.98.4.3。

在進行實驗操作前，首先清空防火墻規(guī)則。1．傳統(tǒng)代理

（1）外網Web服務器手動分配IP地址，并確認本地Web服務已啟動。

（2）代理服務器激活網絡接口eth1，并手動分配IP地址，可通過以下兩種方式激活eth1： 通過“桌面”｜“管理”｜“網絡”激活eth1，并手動分配IP地址； 在控制臺中輸入命令ifconfig eth1 up激活eth1,輸入命令ifconfig eth1 202.98.X.Y/24為eth1分配IP地址。（3）代理服務器配置squid。

代理服務器進入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf。在squid.conf中配置如下選項：

第936行，使用默認的端口http_port 3128；

第574行，添加行acl mynet src 主機A地址域。例如acl mynet src 172.16.1.0/24； 第610行，添加行http_access allow mynet。（4）運行代理服務器

代理服務器進入目錄/usr/local/squid/sbin/，輸入命令：./squid –NCd1啟動代理服務。（5）通過代理訪問Web服務器

內網客戶端打開IE瀏覽器，通過“工具”｜“Internet選項”｜“連接”｜“局域網設置”選中“為LAN使用代理服務器”，在“地址”中輸入代理服務器的內網IP，在“端口”中輸入代理服務器的監(jiān)聽端口號，單擊“確定”按鈕，完成瀏覽器設置。

內網客戶端在IE瀏覽器地址欄中輸入“http://外網Web服務器IP地址”，即可訪問到Web頁面。（6）驗證代理服務器的作用

內網客戶訪問外網Web服務，是否可以訪問到頁面__________。

外網Web服務器關閉Web服務，代理服務器訪問外網Web服務，是否可以訪問到頁面__________。內網客戶端再次訪問外網Web服務，是否可以訪問到頁面__________，為什么？____________。2．透明代理

（1）外網Web服務器開啟Web服務。（2）代理服務器配置squid。

代理服務器進入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf，配置如下選項： 第936行，修改為：http_port 主機B內網IP:3128 transparent（3）代理服務器添加iptables規(guī)則。

對從代理服務器內網接口進入的、基于tcp協(xié)議的、目的端口是80的數(shù)據(jù)包，做“端口重定向”。將數(shù)據(jù)包重定向到3128端口，規(guī)則如下：

iptables-t nat-A PREROUTING-i eth0-p tcp-m tcp--dport 80-j REDIRECT--to-ports 3128（4）運行代理服務器。

（5）通過代理訪問Web服務器。

內網客戶端將本地連接的“默認網關”設置為代理服務器的內網IP，即代理服務器的eth0網絡接口的IP。內網客戶端打開IE瀏覽器，通過“工具”｜“Internet選項”｜“連接”｜“局域網設置”，取消“為LAN使用代理服務器”。

內網客戶端在IE瀏覽器地址欄輸入“http://外網Web服務器的IP”，即可訪問到外網Web服務器的Web頁面。

3．反向代理

（1）內網客戶端開啟Web服務。（2）代理服務器配置squid。

代理服務器進入目錄/usr/local/squid/etc/，使用vim編輯器打開配置文件squid.conf，配置如下選項： 第936行，修改為：http_port 主機B外網地址:80 vhost。

第1499行，添加行：cache_peer 主機A的IP parent 80 0 no-query originserver。第574行，修改為：acl outside src 主機C地址域。例如acl outside src 202.98.1.0/24。第610行，修改為：http_access allow outside。（3）停止代理服務器的Web服務。

在代理服務器的終端輸入命令：service httpd stop。（4）刪除緩存文件。

刪除目錄/usr/local/squid/var/cache/00/00下所有文件。（5）運行代理服務器。

（6）外網通過代理訪問內網客戶端Web服務

外網Web服務器在IE瀏覽器地址欄中輸入“http://代理服務器外網IP”即可訪問到內網客戶端的Web頁面。