《網(wǎng)絡(luò)規(guī)劃與組建》-項目五-接入廣域網(wǎng)課件

網(wǎng)絡(luò)規(guī)劃與組建項目五接入廣域網(wǎng)

網(wǎng)絡(luò)規(guī)劃與組建項目五接入廣域網(wǎng)1項目五接入廣域網(wǎng)

本項目主要針對局域網(wǎng)接入廣域網(wǎng)進(jìn)行規(guī)劃和組建，通過基礎(chǔ)知識點(diǎn)的學(xué)習(xí)以及任務(wù)的實施，使學(xué)生對于目前比較常用的局域網(wǎng)接入廣域網(wǎng)技術(shù)有比較清晰的認(rèn)識，能夠掌握具體的管理和配置方法。

項目五接入廣域網(wǎng)本項目主要針對局域網(wǎng)接入廣域網(wǎng)進(jìn)行規(guī)劃和25.1任務(wù)一代理服務(wù)器接入Internet

學(xué)習(xí)目標(biāo)：【知識目標(biāo)】了解公有地址和私有地址熟悉代理服務(wù)軟件【技能目標(biāo)】會搭建代理服務(wù)器，并通過代理服務(wù)器接入Interent掌握代理服務(wù)軟件的安裝與配置5.1任務(wù)一代理服務(wù)器接入Internet學(xué)習(xí)目35.1任務(wù)一代理服務(wù)器接入Internet

5.1.1任務(wù)陳述了解公有地址和私有地址的區(qū)別，了解代理服務(wù)器軟件的類型和作用，在服務(wù)器上安裝配置代理服務(wù)器軟件（包括網(wǎng)關(guān)型代理服務(wù)軟件sygate、代理型代理服務(wù)軟件CCProxy），使內(nèi)網(wǎng)主機(jī)能夠通過代理服務(wù)器方便接入Internet。5.1任務(wù)一代理服務(wù)器接入Internet5.145.1任務(wù)一代理服務(wù)器接入Internet

5.1.2知識準(zhǔn)備1.公有地址和私有地址（1）公有地址公有地址（Publicaddress）由InterNIC（InternetNetworkInformationCenter因特網(wǎng)信息中心）負(fù)責(zé)。這些IP地址分配給注冊并向InterNIC提出申請的組織機(jī)構(gòu)。使用公有地址可以直接訪問因特網(wǎng)，且具有唯一性。

5.1任務(wù)一代理服務(wù)器接入Internet5.155.1任務(wù)一代理服務(wù)器接入Internet

（2）私有地址

私有地址（privateaddress）由InterNIC分配專門作為保留地址，它使用在局域網(wǎng)中，無法直接訪問Internet。私有地址范圍：～（）～（）～（）

5.1任務(wù)一代理服務(wù)器接入Internet（2）65.1任務(wù)一代理服務(wù)器接入Internet

這三組地址可在不同的局域網(wǎng)中使用，而如果需要訪問Internet，則必須將私有地址轉(zhuǎn)換成公有地址。

5.1任務(wù)一代理服務(wù)器接入Internet這三組75.1任務(wù)一代理服務(wù)器接入Internet

（2）代理服務(wù)軟件

代理服務(wù)軟件分為網(wǎng)關(guān)型代理服務(wù)軟件與代理型代理服務(wù)軟件兩大類：①網(wǎng)關(guān)型代理服務(wù)軟件主要作用是實現(xiàn)端口地址轉(zhuǎn)換（PAT，常常也叫作NAT），網(wǎng)關(guān)型代理有時也稱為軟件路由。網(wǎng)關(guān)型代理服務(wù)軟件有Windows自帶的Internet連接共享、Windows2000/2003的路由功能，Sygate、WinRoute（NAT模式時）等。

5.1任務(wù)一代理服務(wù)器接入Internet（2）85.1任務(wù)一代理服務(wù)器接入Internet

客戶機(jī)配置：在使用網(wǎng)關(guān)型代理服務(wù)軟件的網(wǎng)絡(luò)中，客戶機(jī)不需要特別的配置，只需設(shè)置好TCP/IP，將默認(rèn)網(wǎng)關(guān)地址設(shè)置為安裝了網(wǎng)關(guān)型代理服務(wù)軟件的主機(jī)的IP地址。

5.1任務(wù)一代理服務(wù)器接入Internet客戶機(jī)95.1任務(wù)一代理服務(wù)器接入Internet

②代理型代理服務(wù)軟件

作用是代理客戶機(jī)上網(wǎng)。它建立在應(yīng)用層，安裝、設(shè)置稍為復(fù)雜，對每一種應(yīng)用，都要分別在服務(wù)器和客戶端進(jìn)行設(shè)置。代理型代理服務(wù)軟件有ISAServer、CCProxy、WinRouter、WinGate等?？蛻魴C(jī)配置：在使用代理型代理服務(wù)軟件的網(wǎng)絡(luò)中，客戶機(jī)需要作一些特別的配置，不僅僅是TCP/IP的配置，并且對不同的網(wǎng)絡(luò)應(yīng)用軟件（如IE游覽器，F(xiàn)TP軟件）要分別進(jìn)行配置。

5.1任務(wù)一代理服務(wù)器接入Internet②代105.1任務(wù)一代理服務(wù)器接入Internet

5.1.3任務(wù)實施

以網(wǎng)關(guān)型代理服務(wù)軟件版為例1.搭建網(wǎng)絡(luò)5.1任務(wù)一代理服務(wù)器接入Internet5.1115.1任務(wù)一代理服務(wù)器接入Internet2.安裝與配置Sygate（1）安裝Sygate5.1任務(wù)一代理服務(wù)器接入Internet2.安裝與配置125.1任務(wù)一代理服務(wù)器接入Internet

（2）配置Sygate5.1任務(wù)一代理服務(wù)器接入Internet（2）135.1任務(wù)一代理服務(wù)器接入Internet

（3）客戶端配置5.1任務(wù)一代理服務(wù)器接入Internet（3）145.1任務(wù)一代理服務(wù)器接入Internet

5.1.4任務(wù)拓展以國產(chǎn)代理型代理服務(wù)軟件CCProxy2010為例1.安裝與配置CCProxy5.1任務(wù)一代理服務(wù)器接入Internet5.1155.1任務(wù)一代理服務(wù)器接入Internet

5.1任務(wù)一代理服務(wù)器接入Internet165.1任務(wù)一代理服務(wù)器接入Internet

5.1.5項目實訓(xùn)（1）使用網(wǎng)關(guān)型代理服務(wù)軟件接入Internet。（2）使用代理型代理服務(wù)軟件接入Internet。5.1.6作業(yè)習(xí)題（1）代理服務(wù)使用在何種場合下使用？（2）代理服務(wù)軟件分為哪兩種？各自有什么優(yōu)缺點(diǎn)？5.1任務(wù)一代理服務(wù)器接入Internet5.1175.2任務(wù)二ACL配置

學(xué)習(xí)目標(biāo)：【知識目標(biāo)】了解ACL的作用及分類理解ACL的工作原理理解不同類型的ACL的使用場合【技能目標(biāo)】掌握基本ACL的配置掌握擴(kuò)展ACL的配置5.2任務(wù)二ACL配置學(xué)習(xí)目標(biāo)：185.2任務(wù)二ACL配置5.2.1任務(wù)陳述

了解ACL的功能和作用，以及ACL的應(yīng)用場合，理解ACL的工作原理，在路由器或防火墻上配置ACL規(guī)則，在接口上啟用ACL并指定方向，對出入內(nèi)外網(wǎng)之間的數(shù)據(jù)包進(jìn)行過濾，以達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的作用。5.2任務(wù)二ACL配置5.2.1任務(wù)陳述195.2任務(wù)二ACL配置5.2.2知識準(zhǔn)備1.ACL概述ACL（AccessControlList，訪問控制列表）通過一系列的匹配條件對數(shù)據(jù)包進(jìn)行分類處理，實現(xiàn)數(shù)據(jù)識別，并決定對數(shù)據(jù)包是轉(zhuǎn)發(fā)或丟棄。

5.2任務(wù)二ACL配置5.2.2知識準(zhǔn)備205.2任務(wù)二ACL配置ACL可以在許多場合下進(jìn)行應(yīng)用，包括：包過濾防火墻功能NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）QoS（服務(wù)質(zhì)量）的數(shù)據(jù)分類路由策略和過濾按需撥號5.2任務(wù)二ACL配置ACL可以在許多場合下進(jìn)行應(yīng)用，包215.2任務(wù)二ACL配置2.ACL的工作原理

在路由器上實現(xiàn)包過濾防火墻功能的核心就是ACL。包過濾防火墻功能配置在路由器的接口上，是具有方向性的，可分為入方向（inbound）和出方向（outbound）。

5.2任務(wù)二ACL配置2.ACL的工作原理225.2任務(wù)二ACL配置對于入站的數(shù)據(jù)包先進(jìn)行入站方向的ACL的處理，再進(jìn)行路由，然后再進(jìn)行出站方向的ACL處理。ACL規(guī)則的動作有允許（permit）或拒絕（deny）。ACL規(guī)則的匹配條件主要包括數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議號、源端口號、目的端口號等。

5.2任務(wù)二ACL配置對于入站的數(shù)據(jù)包先進(jìn)行入站方向的A235.2任務(wù)二ACL配置入站數(shù)據(jù)包處理過程

5.2任務(wù)二ACL配置入站數(shù)據(jù)包處理過程245.2任務(wù)二ACL配置出站數(shù)據(jù)包處理過程

5.2任務(wù)二ACL配置出站數(shù)據(jù)包處理過程255.2任務(wù)二ACL配置3.ACL的分類

CiscoACL有兩種類型：①標(biāo)準(zhǔn)ACL只根據(jù)源地址IP地址過濾數(shù)據(jù)包。編號范圍為1～99和1300～1999。②擴(kuò)展ACL可根據(jù)源IP地址信息、目的IP地址信息、協(xié)議的TCP端口號等信息過濾數(shù)據(jù)包。編號范圍為100～199和2000～2699。5.2任務(wù)二ACL配置3.ACL的分類265.2任務(wù)二ACL配置H3CACL有四種類型：①基本ACL只根據(jù)源IP地址過濾數(shù)據(jù)包。編號范圍為2000～2999。②高級ACL根據(jù)源IP地址信息、目的IP地址信息、IP承載的協(xié)議類型、協(xié)議的特性第三、四層信息過濾數(shù)據(jù)包。編號范圍為3000～3999。5.2任務(wù)二ACL配置H3CACL有四種類型：275.2任務(wù)二ACL配置③二層ACL根據(jù)源MAC地址、目的MAC地址、VLAN優(yōu)先級、二層協(xié)議類型等二層信息過濾數(shù)據(jù)包。編號范圍為4000～4999。④用戶自定義ACL根據(jù)報文頭、IP頭等為基準(zhǔn)，指定從第幾個字節(jié)開始與掩碼進(jìn)行“與”操作，將從報文提取出來的字符串和用戶自定義的字符串進(jìn)行比較，找到匹配的報文。編號范圍為5000～5999。5.2任務(wù)二ACL配置③二層ACL285.2任務(wù)二ACL配置4.ACL應(yīng)用位置

①標(biāo)準(zhǔn)ACL由于標(biāo)準(zhǔn)ACL無法指定目的地址，因此在應(yīng)用ACL時應(yīng)盡量靠近目的網(wǎng)段，以免“誤傷”其它數(shù)據(jù)包。②擴(kuò)展ACL由于擴(kuò)展ACL更精確，因此在應(yīng)用ACL時應(yīng)盡量靠近被拒絕數(shù)據(jù)包的地方，可以將不必要的數(shù)據(jù)盡早過濾掉。5.2任務(wù)二ACL配置4.ACL應(yīng)用位置295.2任務(wù)二ACL配置5.ACL的匹配順序（1）CiscoACL①按順序執(zhí)行，只要有一條滿足，則不會繼續(xù)查找。②隱含拒絕，如果都不匹配，那么一定匹配最后的隱含拒絕條目，思科默認(rèn)拒絕。③任何條件下只給用戶能滿足他們需求的最小權(quán)限。5.2任務(wù)二ACL配置5.ACL的匹配順序305.2任務(wù)二ACL配置（2）H3CACL

支持兩種匹配順序：①順序匹配（config）：按照用戶配置規(guī)則的先后順序進(jìn)行規(guī)則匹配。②自動排序（auto）：按照“深度優(yōu)先”的順序進(jìn)行規(guī)則匹配，即優(yōu)先考慮地址范圍小的規(guī)則。注：在配置華為H3C的ACL時的過程中，一定要注意匹配順序，默認(rèn)情況下為順序匹配（config）。

5.2任務(wù)二ACL配置（2）H3CACL315.2任務(wù)二ACL配置6.通配符掩碼通配符掩碼（wildcard-mask）路由器使用的通配符掩碼（或反掩碼）與源或目標(biāo)地址一起來分辨匹配的地址范圍，它跟子網(wǎng)掩碼剛好相反。通配符掩碼＝255－掩碼.255－掩碼.255－掩碼.255－掩碼舉例：求子網(wǎng)掩碼通配符掩碼。通配符掩碼＝255－掩碼.255－掩碼.255－掩碼.255－掩碼，即：

5.2任務(wù)二ACL配置6.通配符掩碼325.2任務(wù)二ACL配置5.2.3任務(wù)實施

采用Cisco設(shè)備5.2任務(wù)二ACL配置5.2.3任務(wù)實施335.2任務(wù)二ACL配置5.2任務(wù)二ACL配置345.2任務(wù)二ACL配置（1）標(biāo)準(zhǔn)ACL配置

①禁止源地址為的數(shù)據(jù)流訪問服務(wù)器，該ACL應(yīng)用在RTB的S0/0入站方向上。②允許網(wǎng)絡(luò)中的PCA訪問RTA，其余都不允許，該ACL應(yīng)用在RTA的S0/0入站方向。5.2任務(wù)二ACL配置（1）標(biāo)準(zhǔn)ACL配置355.2任務(wù)二ACL配置（2）擴(kuò)展ACL配置①只允許源地址為的數(shù)據(jù)流訪問服務(wù)器的FTP服務(wù)，該ACL應(yīng)用在RTA的S0/0出站方向上。②禁止所有地址對服務(wù)器的Ping的請求包，該ACL應(yīng)用在RTA的E0/0出站方向。5.2任務(wù)二ACL配置（2）擴(kuò)展ACL配置365.2任務(wù)二ACL配置5.2.4任務(wù)拓展采用華為或H3C設(shè)備（1）基本ACL配置（2）高級ACL配置5.2任務(wù)二ACL配置5.2.4任務(wù)拓展375.2任務(wù)二ACL配置5.2.5項目實訓(xùn)

（1）在Cisco設(shè)備上完成上述標(biāo)準(zhǔn)和擴(kuò)展ACL配置。（2）在H3C設(shè)備上完成上述基本和高級ACL配置。5.2任務(wù)二ACL配置5.2.5項目實訓(xùn)385.2任務(wù)二ACL配置5.2.6作業(yè)習(xí)題

（1）ACL的作用？（2）ACL的類型及不同類型的應(yīng)用位置？5.2任務(wù)二ACL配置5.2.6作業(yè)習(xí)題395.3任務(wù)三NAT配置

學(xué)習(xí)目標(biāo)：【知識目標(biāo)】了解NAT的作用及分類理解NAT的工作原理理解NAT的優(yōu)缺點(diǎn)【技能目標(biāo)】掌握NAT重載的配置掌握靜態(tài)NAT的配置5.3任務(wù)三NAT配置學(xué)習(xí)目標(biāo)：405.3任務(wù)三NAT配置

5.3.1任務(wù)陳述

了解NAT的作用及應(yīng)用的背景，理解NAT的類型及工作原理。通過配置基于端口的NAT，實現(xiàn)內(nèi)網(wǎng)地址轉(zhuǎn)換為外網(wǎng)地址，使局域網(wǎng)中的大量主機(jī)通過少量公有地址訪問Internet。根據(jù)需求配置NAT映射，將內(nèi)網(wǎng)服務(wù)器映射到外網(wǎng)，實現(xiàn)外網(wǎng)用戶能夠訪問內(nèi)網(wǎng)的服務(wù)器。

5.3任務(wù)三NAT配置5.3.1任務(wù)陳述415.3任務(wù)三NAT配置

5.3.2知識準(zhǔn)備1.NAT概述隨著接入Internet的計算機(jī)數(shù)量的不斷猛增，目前使用的IPv4地址資源匱乏，雖然IPv6具有巨大的地址資源，但是全面升級到IPv6還需要漫長的時間。

5.3任務(wù)三NAT配置5.3.2知識準(zhǔn)備425.3任務(wù)三NAT配置

局域網(wǎng)用戶需要給內(nèi)部網(wǎng)絡(luò)中的每個主機(jī)來分配IP地址，一是全部采用公有地址，二是內(nèi)部主機(jī)全部采用私有地址，進(jìn)入Internet時共享少量公有地址。NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)可將私有地址轉(zhuǎn)換成公有地址，使私有網(wǎng)絡(luò)中的主機(jī)可以通過共享少量公有地址訪問Internet。5.3任務(wù)三NAT配置局域網(wǎng)用戶需要給內(nèi)部網(wǎng)絡(luò)中的每個435.3任務(wù)三NAT配置

2.NAT的類型（1）靜態(tài)NAT在私有IP地址和公有IP地址之間建立一對一的地址映射關(guān)系，而且映射關(guān)系保持不變。內(nèi)部網(wǎng)絡(luò)中的每個主機(jī)都被映射成外部網(wǎng)絡(luò)中的某個固定的合法IP地址，例如10個私有地址對應(yīng)10個公網(wǎng)地址。5.3任務(wù)三NAT配置2.NAT的類型445.3任務(wù)三NAT配置

（2）動態(tài)NAT私有IP地址映射到一組公有IP地址中的任意一個。（3）NAT重載NAT重載，又稱為PAT（PortaddressTranslation，端口多路復(fù)用），或稱為NAPT（NetworkAddressPortTranslation，網(wǎng)絡(luò)地址端口轉(zhuǎn)換）。

5.3任務(wù)三NAT配置（2）動態(tài)NAT455.3任務(wù)三NAT配置

3.NAT的工作原理

5.3任務(wù)三NAT配置3.NAT的工作原理465.3任務(wù)三NAT配置

4.NAT的優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：①NAT技術(shù)可以使內(nèi)部網(wǎng)絡(luò)使用私有地址，可以節(jié)省大量的公網(wǎng)地址。②使用NAT技術(shù)提高了內(nèi)部網(wǎng)絡(luò)的安全性，由于內(nèi)網(wǎng)主機(jī)的IP地址是通過轉(zhuǎn)換后再訪問Internet，所以對于外網(wǎng)而言，地址不透明，安全性相對較高。③可以比較靈活的對內(nèi)網(wǎng)地址進(jìn)行轉(zhuǎn)換。可以使用多個地址組成的地址池也可以只使用一個地址進(jìn)行轉(zhuǎn)換。5.3任務(wù)三NAT配置4.NAT的優(yōu)缺點(diǎn)475.3任務(wù)三NAT配置

缺點(diǎn)：①影響網(wǎng)絡(luò)的性能。IP報文每次進(jìn)出內(nèi)網(wǎng)都必須進(jìn)行轉(zhuǎn)換，增加了延遲。②無法對數(shù)據(jù)進(jìn)行端到端的跟蹤。③影響某些協(xié)議和功能，許多Internet協(xié)議和應(yīng)用程序依賴端到端的功能，要求IP報文從源到目的地的過程中不能被修改。5.3任務(wù)三NAT配置缺點(diǎn)：485.3任務(wù)三NAT配置

5.3.3任務(wù)實施采用Cisco設(shè)備（1）NAT重載（地址池）（2）NAT重載（單個地址）（3）內(nèi)網(wǎng)服務(wù)器映射到外網(wǎng)

5.3任務(wù)三NAT配置5.3.3任務(wù)實施495.3任務(wù)三NAT配置

5.3.4任務(wù)拓展

采用華為或H3C設(shè)備（1）NAT重載（地址池）（2）NAT重載（單個地址）（3）內(nèi)網(wǎng)服務(wù)器映射到外網(wǎng)5.3任務(wù)三NAT配置5.3.4任務(wù)拓展505.3任務(wù)三NAT配置

5.3.5項目實訓(xùn)（1）在Cisco設(shè)備上完成上述NAT配置。（2）在H3C設(shè)備上完成上述NAT配置。5.3任務(wù)三NAT配置5.3.5項目實訓(xùn)515.3任務(wù)三NAT配置

作業(yè)習(xí)題（1）NAT分類。（2）NAT優(yōu)缺點(diǎn)。5.3任務(wù)三NAT配置作業(yè)習(xí)題52網(wǎng)絡(luò)規(guī)劃與組建項目五接入廣域網(wǎng)

網(wǎng)絡(luò)規(guī)劃與組建項目五接入廣域網(wǎng)53項目五接入廣域網(wǎng)

本項目主要針對局域網(wǎng)接入廣域網(wǎng)進(jìn)行規(guī)劃和組建，通過基礎(chǔ)知識點(diǎn)的學(xué)習(xí)以及任務(wù)的實施，使學(xué)生對于目前比較常用的局域網(wǎng)接入廣域網(wǎng)技術(shù)有比較清晰的認(rèn)識，能夠掌握具體的管理和配置方法。

項目五接入廣域網(wǎng)本項目主要針對局域網(wǎng)接入廣域網(wǎng)進(jìn)行規(guī)劃和545.1任務(wù)一代理服務(wù)器接入Internet

學(xué)習(xí)目標(biāo)：【知識目標(biāo)】了解公有地址和私有地址熟悉代理服務(wù)軟件【技能目標(biāo)】會搭建代理服務(wù)器，并通過代理服務(wù)器接入Interent掌握代理服務(wù)軟件的安裝與配置5.1任務(wù)一代理服務(wù)器接入Internet學(xué)習(xí)目555.1任務(wù)一代理服務(wù)器接入Internet

5.1.1任務(wù)陳述了解公有地址和私有地址的區(qū)別，了解代理服務(wù)器軟件的類型和作用，在服務(wù)器上安裝配置代理服務(wù)器軟件（包括網(wǎng)關(guān)型代理服務(wù)軟件sygate、代理型代理服務(wù)軟件CCProxy），使內(nèi)網(wǎng)主機(jī)能夠通過代理服務(wù)器方便接入Internet。5.1任務(wù)一代理服務(wù)器接入Internet5.1565.1任務(wù)一代理服務(wù)器接入Internet

5.1.2知識準(zhǔn)備1.公有地址和私有地址（1）公有地址公有地址（Publicaddress）由InterNIC（InternetNetworkInformationCenter因特網(wǎng)信息中心）負(fù)責(zé)。這些IP地址分配給注冊并向InterNIC提出申請的組織機(jī)構(gòu)。使用公有地址可以直接訪問因特網(wǎng)，且具有唯一性。

5.1任務(wù)一代理服務(wù)器接入Internet5.1575.1任務(wù)一代理服務(wù)器接入Internet

（2）私有地址

私有地址（privateaddress）由InterNIC分配專門作為保留地址，它使用在局域網(wǎng)中，無法直接訪問Internet。私有地址范圍：～（）～（）～（）

5.1任務(wù)一代理服務(wù)器接入Internet（2）585.1任務(wù)一代理服務(wù)器接入Internet

這三組地址可在不同的局域網(wǎng)中使用，而如果需要訪問Internet，則必須將私有地址轉(zhuǎn)換成公有地址。

5.1任務(wù)一代理服務(wù)器接入Internet這三組595.1任務(wù)一代理服務(wù)器接入Internet

（2）代理服務(wù)軟件

代理服務(wù)軟件分為網(wǎng)關(guān)型代理服務(wù)軟件與代理型代理服務(wù)軟件兩大類：①網(wǎng)關(guān)型代理服務(wù)軟件主要作用是實現(xiàn)端口地址轉(zhuǎn)換（PAT，常常也叫作NAT），網(wǎng)關(guān)型代理有時也稱為軟件路由。網(wǎng)關(guān)型代理服務(wù)軟件有Windows自帶的Internet連接共享、Windows2000/2003的路由功能，Sygate、WinRoute（NAT模式時）等。

5.1任務(wù)一代理服務(wù)器接入Internet（2）605.1任務(wù)一代理服務(wù)器接入Internet

客戶機(jī)配置：在使用網(wǎng)關(guān)型代理服務(wù)軟件的網(wǎng)絡(luò)中，客戶機(jī)不需要特別的配置，只需設(shè)置好TCP/IP，將默認(rèn)網(wǎng)關(guān)地址設(shè)置為安裝了網(wǎng)關(guān)型代理服務(wù)軟件的主機(jī)的IP地址。

5.1任務(wù)一代理服務(wù)器接入Internet客戶機(jī)615.1任務(wù)一代理服務(wù)器接入Internet

②代理型代理服務(wù)軟件

作用是代理客戶機(jī)上網(wǎng)。它建立在應(yīng)用層，安裝、設(shè)置稍為復(fù)雜，對每一種應(yīng)用，都要分別在服務(wù)器和客戶端進(jìn)行設(shè)置。代理型代理服務(wù)軟件有ISAServer、CCProxy、WinRouter、WinGate等?？蛻魴C(jī)配置：在使用代理型代理服務(wù)軟件的網(wǎng)絡(luò)中，客戶機(jī)需要作一些特別的配置，不僅僅是TCP/IP的配置，并且對不同的網(wǎng)絡(luò)應(yīng)用軟件（如IE游覽器，F(xiàn)TP軟件）要分別進(jìn)行配置。

5.1任務(wù)一代理服務(wù)器接入Internet②代625.1任務(wù)一代理服務(wù)器接入Internet

5.1.3任務(wù)實施

以網(wǎng)關(guān)型代理服務(wù)軟件版為例1.搭建網(wǎng)絡(luò)5.1任務(wù)一代理服務(wù)器接入Internet5.1635.1任務(wù)一代理服務(wù)器接入Internet2.安裝與配置Sygate（1）安裝Sygate5.1任務(wù)一代理服務(wù)器接入Internet2.安裝與配置645.1任務(wù)一代理服務(wù)器接入Internet

（2）配置Sygate5.1任務(wù)一代理服務(wù)器接入Internet（2）655.1任務(wù)一代理服務(wù)器接入Internet

（3）客戶端配置5.1任務(wù)一代理服務(wù)器接入Internet（3）665.1任務(wù)一代理服務(wù)器接入Internet

5.1.4任務(wù)拓展以國產(chǎn)代理型代理服務(wù)軟件CCProxy2010為例1.安裝與配置CCProxy5.1任務(wù)一代理服務(wù)器接入Internet5.1675.1任務(wù)一代理服務(wù)器接入Internet

5.1任務(wù)一代理服務(wù)器接入Internet685.1任務(wù)一代理服務(wù)器接入Internet

5.1.5項目實訓(xùn)（1）使用網(wǎng)關(guān)型代理服務(wù)軟件接入Internet。（2）使用代理型代理服務(wù)軟件接入Internet。5.1.6作業(yè)習(xí)題（1）代理服務(wù)使用在何種場合下使用？（2）代理服務(wù)軟件分為哪兩種？各自有什么優(yōu)缺點(diǎn)？5.1任務(wù)一代理服務(wù)器接入Internet5.1695.2任務(wù)二ACL配置

學(xué)習(xí)目標(biāo)：【知識目標(biāo)】了解ACL的作用及分類理解ACL的工作原理理解不同類型的ACL的使用場合【技能目標(biāo)】掌握基本ACL的配置掌握擴(kuò)展ACL的配置5.2任務(wù)二ACL配置學(xué)習(xí)目標(biāo)：705.2任務(wù)二ACL配置5.2.1任務(wù)陳述

了解ACL的功能和作用，以及ACL的應(yīng)用場合，理解ACL的工作原理，在路由器或防火墻上配置ACL規(guī)則，在接口上啟用ACL并指定方向，對出入內(nèi)外網(wǎng)之間的數(shù)據(jù)包進(jìn)行過濾，以達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的作用。5.2任務(wù)二ACL配置5.2.1任務(wù)陳述715.2任務(wù)二ACL配置5.2.2知識準(zhǔn)備1.ACL概述ACL（AccessControlList，訪問控制列表）通過一系列的匹配條件對數(shù)據(jù)包進(jìn)行分類處理，實現(xiàn)數(shù)據(jù)識別，并決定對數(shù)據(jù)包是轉(zhuǎn)發(fā)或丟棄。

5.2任務(wù)二ACL配置5.2.2知識準(zhǔn)備725.2任務(wù)二ACL配置ACL可以在許多場合下進(jìn)行應(yīng)用，包括：包過濾防火墻功能NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）QoS（服務(wù)質(zhì)量）的數(shù)據(jù)分類路由策略和過濾按需撥號5.2任務(wù)二ACL配置ACL可以在許多場合下進(jìn)行應(yīng)用，包735.2任務(wù)二ACL配置2.ACL的工作原理

在路由器上實現(xiàn)包過濾防火墻功能的核心就是ACL。包過濾防火墻功能配置在路由器的接口上，是具有方向性的，可分為入方向（inbound）和出方向（outbound）。

5.2任務(wù)二ACL配置2.ACL的工作原理745.2任務(wù)二ACL配置對于入站的數(shù)據(jù)包先進(jìn)行入站方向的ACL的處理，再進(jìn)行路由，然后再進(jìn)行出站方向的ACL處理。ACL規(guī)則的動作有允許（permit）或拒絕（deny）。ACL規(guī)則的匹配條件主要包括數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議號、源端口號、目的端口號等。

5.2任務(wù)二ACL配置對于入站的數(shù)據(jù)包先進(jìn)行入站方向的A755.2任務(wù)二ACL配置入站數(shù)據(jù)包處理過程

5.2任務(wù)二ACL配置入站數(shù)據(jù)包處理過程765.2任務(wù)二ACL配置出站數(shù)據(jù)包處理過程

5.2任務(wù)二ACL配置出站數(shù)據(jù)包處理過程775.2任務(wù)二ACL配置3.ACL的分類

CiscoACL有兩種類型：①標(biāo)準(zhǔn)ACL只根據(jù)源地址IP地址過濾數(shù)據(jù)包。編號范圍為1～99和1300～1999。②擴(kuò)展ACL可根據(jù)源IP地址信息、目的IP地址信息、協(xié)議的TCP端口號等信息過濾數(shù)據(jù)包。編號范圍為100～199和2000～2699。5.2任務(wù)二ACL配置3.ACL的分類785.2任務(wù)二ACL配置H3CACL有四種類型：①基本ACL只根據(jù)源IP地址過濾數(shù)據(jù)包。編號范圍為2000～2999。②高級ACL根據(jù)源IP地址信息、目的IP地址信息、IP承載的協(xié)議類型、協(xié)議的特性第三、四層信息過濾數(shù)據(jù)包。編號范圍為3000～3999。5.2任務(wù)二ACL配置H3CACL有四種類型：795.2任務(wù)二ACL配置③二層ACL根據(jù)源MAC地址、目的MAC地址、VLAN優(yōu)先級、二層協(xié)議類型等二層信息過濾數(shù)據(jù)包。編號范圍為4000～4999。④用戶自定義ACL根據(jù)報文頭、IP頭等為基準(zhǔn)，指定從第幾個字節(jié)開始與掩碼進(jìn)行“與”操作，將從報文提取出來的字符串和用戶自定義的字符串進(jìn)行比較，找到匹配的報文。編號范圍為5000～5999。5.2任務(wù)二ACL配置③二層ACL805.2任務(wù)二ACL配置4.ACL應(yīng)用位置

①標(biāo)準(zhǔn)ACL由于標(biāo)準(zhǔn)ACL無法指定目的地址，因此在應(yīng)用ACL時應(yīng)盡量靠近目的網(wǎng)段，以免“誤傷”其它數(shù)據(jù)包。②擴(kuò)展ACL由于擴(kuò)展ACL更精確，因此在應(yīng)用ACL時應(yīng)盡量靠近被拒絕數(shù)據(jù)包的地方，可以將不必要的數(shù)據(jù)盡早過濾掉。5.2任務(wù)二ACL配置4.ACL應(yīng)用位置815.2任務(wù)二ACL配置5.ACL的匹配順序（1）CiscoACL①按順序執(zhí)行，只要有一條滿足，則不會繼續(xù)查找。②隱含拒絕，如果都不匹配，那么一定匹配最后的隱含拒絕條目，思科默認(rèn)拒絕。③任何條件下只給用戶能滿足他們需求的最小權(quán)限。5.2任務(wù)二ACL配置5.ACL的匹配順序825.2任務(wù)二ACL配置（2）H3CACL

支持兩種匹配順序：①順序匹配（config）：按照用戶配置規(guī)則的先后順序進(jìn)行規(guī)則匹配。②自動排序（auto）：按照“深度優(yōu)先”的順序進(jìn)行規(guī)則匹配，即優(yōu)先考慮地址范圍小的規(guī)則。注：在配置華為H3C的ACL時的過程中，一定要注意匹配順序，默認(rèn)情況下為順序匹配（config）。

5.2任務(wù)二ACL配置（2）H3CACL835.2任務(wù)二ACL配置6.通配符掩碼通配符掩碼（wildcard-mask）路由器使用的通配符掩碼（或反掩碼）與源或目標(biāo)地址一起來分辨匹配的地址范圍，它跟子網(wǎng)掩碼剛好相反。通配符掩碼＝255－掩碼.255－掩碼.255－掩碼.255－掩碼舉例：求子網(wǎng)掩碼通配符掩碼。通配符掩碼＝255－掩碼.255－掩碼.255－掩碼.255－掩碼，即：

5.2任務(wù)二ACL配置6.通配符掩碼845.2任務(wù)二ACL配置5.2.3任務(wù)實施

采用Cisco設(shè)備5.2任務(wù)二ACL配置5.2.3任務(wù)實施855.2任務(wù)二ACL配置5.2任務(wù)二ACL配置865.2任務(wù)二ACL配置（1）標(biāo)準(zhǔn)ACL配置

①禁止源地址為的數(shù)據(jù)流訪問服務(wù)器，該ACL應(yīng)用在RTB的S0/0入站方向上。②允許網(wǎng)絡(luò)中的PCA訪問RTA，其余都不允許，該ACL應(yīng)用在RTA的S0/0入站方向。5.2任務(wù)二ACL配置（1）標(biāo)準(zhǔn)ACL配置875.2任務(wù)二ACL配置（2）擴(kuò)展ACL配置①只允許源地址為的數(shù)據(jù)流訪問服務(wù)器的FTP服務(wù)，該ACL應(yīng)用在RTA的S0/0出站方向上。②禁止所有地址對服務(wù)器的Ping的請求包，該ACL應(yīng)用在RTA的E0/0出站方向。5.2任務(wù)二ACL配置（2）擴(kuò)展ACL配置885.2任務(wù)二ACL配置5.2.4任務(wù)拓展采用華為或H3C設(shè)備（1）基本ACL配置（2）高級ACL配置5.2任務(wù)二ACL配置5.2.4任務(wù)拓展895.2任務(wù)二ACL配置5.2.5項目實訓(xùn)

（1）在Cisco設(shè)備上完成上述標(biāo)準(zhǔn)和擴(kuò)展ACL配置。（2）在H3C設(shè)備上完成上述基本和高級ACL配置。5.2任務(wù)二ACL配置5.2.5項目實訓(xùn)905.2任務(wù)二ACL配置5.2.6作業(yè)習(xí)題

（1）ACL的作用？（2）ACL的類型及不同類型的應(yīng)用位置？5.2任務(wù)二ACL配置5.2.6作業(yè)習(xí)題915.3任務(wù)三NAT配置

學(xué)習(xí)目標(biāo)：【知識目標(biāo)】了解NAT的作用及分類理解NAT的工作原理理解NAT的優(yōu)缺點(diǎn)【技能目標(biāo)】掌握NAT重載的配置掌握靜態(tài)NAT的配置5.3任務(wù)三NAT配置學(xué)習(xí)目標(biāo)：925.3任務(wù)三NAT配置

5.3.1任務(wù)陳述

了解NAT的作用及應(yīng)用的背景，理解NAT的類型及工作原理。通過配置基于端口的NAT，實現(xiàn)內(nèi)網(wǎng)地址轉(zhuǎn)換為外網(wǎng)地址，使局域網(wǎng)中的大量主機(jī)通過少量公有地址訪問Internet。根據(jù)需求配置NAT映射，將內(nèi)網(wǎng)服務(wù)器映射到外網(wǎng)，實現(xiàn)外網(wǎng)用戶能夠訪問內(nèi)網(wǎng)的服務(wù)器。

5.3任務(wù)三NAT配置5.3.1任務(wù)陳述935.3任務(wù)三NAT配置

5.3.2知識準(zhǔn)備1.NAT概述隨著接入Internet的計算機(jī)數(shù)量的不斷猛增，目前使用的IPv4地址資源匱乏，雖然IPv6具有巨大的地址資源，但是全面升級到IPv6還需要漫長的