河南中医药大学（河南中医学院）：《网络技术实训》课程教学资源（PPT课件讲稿）第9讲 通过VPN访问企业网内部服务器设计讨论

网络技术实训 第9讲:通过WPN访间企业网内部服务器设计讨论 信息技术学院 2018.10

网络技术实训 第9讲：通过VPN访问企业网内部服务器设计讨论 许成刚 信息技术学院 2018.10 1

、题目描述

一、题目描述 2

通过vPN访问企业网内部服务器 口1.题目描述(1): ①利用GNS3和 VirtualBox进行设计 ②企业网内共有4个部门],每个部门有50左右台电脑接入企业网,企 业网为三层架构; ③各部电脑分别属于不同子网,即不同VLAN; ④部门1和部门]2之间通过三层交换机RS1通信,部门3和部门4之间 通过三层交换机RS通信。RS1和RS2通过路由器R4通信

通过VPN访问企业网内部服务器 3  1. 题目描述（1）： ① 利用GNS3和VirtualBox进行设计； ② 企业网内共有4个部门，每个部门有50左右台电脑接入企业网，企 业网为三层架构； ③ 各部门电脑分别属于不同子网，即不同VLAN； ④ 部门1和部门2之间通过三层交换机RS1通信，部门3和部门4之间 通过三层交换机RS2通信。RS1和RS2通过路由器R4通信

通过vPN访问企业网内部服务器 口1.题目描述(2): ⑤企业网内部署有Web服务器,通过防火墙与边界路由器R3相连。 ⑥企业网内部署有VPN服务器,与边界路由器R3相连。 ⑦整个企业网通过边界路由器R3访问外网,其上联路由器是互联网 中的路由器R2。 ⑧企业网外部用户(即互联网用户),无法直接访问企业网内部的 Web服务器,但可以通过路由器R2、R3,访问企业网的WPN服 务器,并通过VPN方式访问Web服务器

通过VPN访问企业网内部服务器 4  1. 题目描述（2）： ⑤ 企业网内部署有Web服务器，通过防火墙与边界路由器R3相连。 ⑥ 企业网内部署有VPN服务器，与边界路由器R3相连。 ⑦ 整个企业网通过边界路由器R3访问外网，其上联路由器是互联网 中的路由器R2。 ⑧ 企业网外部用户（即互联网用户），无法直接访问企业网内部的 Web服务器， 但可以通过路由器R2、R3，访问企业网的VPN服 务器，并通过VPN方式访问Web服务器

通过vPN访问企业网内部服务器 口1.题目描述(3): 部门1和部门]2的用户可以访问Web服务器,但部门]3和部4的用 户不能访问Meb服务器。 ⑩企业网外部用户(即互联网用户),无法访问企业网内部各部 的计算机。企业网内部各部门的计算机可以访问外部互联网。 企业网内部各部门的计算机如何获取P地址,由学生自行设计。 VPN服务器和Web服务器的P地址,由学生根据题意自行设计

通过VPN访问企业网内部服务器 5  1. 题目描述（3）： ⑨ 部门1和部门2的用户可以访问Web服务器，但部门3和部门4的用 户不能访问Web服务器。 ⑩ 企业网外部用户（即互联网用户），无法访问企业网内部各部门 的计算机。企业网内部各部门的计算机可以访问外部互联网。 ⑪ 企业网内部各部门的计算机如何获取IP地址，由学生自行设计。 ⑫ VPN服务器和Web服务器的IP地址，由学生根据题意自行设计

企业网接入互联网及边界防火墙部署设计 口2.实训要求 ■根据题目描述,自主设计项目实现方案,项日实现结果需要在实验 室内向任课老师进行展示 ■完成本实训项目的“《网络技术实训》课程综合实训项目报告”。 并打印后提交任课教师

企业网接入互联网及边界防火墙部署设计 6  2. 实训要求 ◼ 根据题目描述，自主设计项目实现方案，项目实现结果需要在实验 室内向任课老师进行展示。 ◼ 完成本实训项目的“《网络技术实训》课程综合实训项目报告”。 并打印后提交任课教师

讨论1 a0 INSense的自身特点 ■LAN口和WAN口的配置特点 ■0 INSense的路由特性 ■0 INsense的NAT功能

 OPNsense的自身特点 ◼ LAN口和WAN口的配置特点 ◼ OPNsense的路由特性 ◼ OPNsense的NAT功能 7 讨论 1

步骤1:按下图部署网络,配置P地址,其他配置默认,测试网络连通性 PC1 OP*sense PC2 1610124-10024 WAN 172161002/24 1000224 说明 1、 PNsense只配置了WAN和LAN端口的地址,其他是默认配置。 2、关闭了PC1和PC2的防火墙

172.16.100.1/24 10.0.0.1/24 WAN LAN 10.0.0.2/24 172.16.100.2/24 按下图部署网络，配置IP地址，其他配置默认，测试网络连通性 说明： 1、OPNsense只配置了WAN和LAN端口的地址，其他是默认配置。 2、关闭了PC1和PC2的防火墙 步骤1：

步骤1: OPNsense默认配置分析1、NAT功能并没有起作用 A User Firewall: NAT: Outbound o System A Interfaces Port Forward Outbound s firewall Automatic outbound NAT rule generation 6 Hybrid Outbound NA rule generation Automatic Outbound NAT + rules below) Rules O Manual Outbound NAT rule generation Disable Outbound NAT rule gener (AON-Advanced Outbound NAT) (No Outbound NAT rule Schedule raffic Shaper 没有NAT规则 e System Interfaces Destination Interface Source port Destination NAT Address Static Port Description Automatic rules: Destination Schedules nterface Source ce port Destination NAT Address NAT Port Static Port Description

步骤1：OPNsense默认配置分析 1、NAT功能并没有起作用。 没有NAT规则

步骤1:0 INSense默认配置分析1、NAT功能并没有起作用 OPNsense PC2 网 172161001/24 网 10001/24 17216100224 1000224 Destination Protocol Length I 1016.65910.0.212.16.190.2I0P4cho(ping) request i0,1992454tt12( reply in) 11165417216.108,210.0.0.20M74cho(ping) reply id=01,seqg=94/2464,tt-128( request in18) 1217.66278710.0.0.2 172.16.100.2ICMP 74 Echo(ping) request id=0x0001, seq= 95/24320, ttl-127(reply in 13 1317.662950172.16.100.218.9.8.2 74 Echo(ping) reply id=0x0001, 5eq= 95/24320, ttl=128 (request in 12) 此时,PC2 ping PC1是通,但在PC1上抓包,可以发现从PC2发来的数据包,并没有被NAT,因为源 地址是1002,而不是WAN口的地址172161001

步骤1：OPNsense默认配置分析 1、NAT功能并没有起作用。 此时，PC2 ping PC1是通，但在PC1上抓包，可以发现从PC2发来的数据包，并没有被NAT，因为源 地址是10.0.0.2，而不是WAN口的地址172.16.100.1