項目四

應用互聯(lián)網(wǎng)技術項目四

應用互聯(lián)網(wǎng)技術

“互聯(lián)網(wǎng)+”是近年來的熱點詞匯之一，指的是將互聯(lián)網(wǎng)和其他行業(yè)緊密結合的發(fā)展策略和理念，其核心是利用互聯(lián)網(wǎng)技術、平臺和資源推動傳統(tǒng)行業(yè)的創(chuàng)新、升級和轉型。電子支付、無人駕駛等場景都印證了互聯(lián)網(wǎng)的發(fā)展已經(jīng)使人們的生產(chǎn)、生活方式發(fā)生了巨大的改變?！卷椖棵枋觥?/p>

某企業(yè)是一家專門從事線上服裝銷售的電商企業(yè)，該企業(yè)有50名員工，現(xiàn)在需要向電信運營商申請電信網(wǎng)絡接入，以滿足企業(yè)的上網(wǎng)需求。企業(yè)內部希望實現(xiàn)網(wǎng)上辦公，能夠快速訪問網(wǎng)絡資源，線上直播賣貨時網(wǎng)絡穩(wěn)定、流暢等。企業(yè)內部網(wǎng)絡使用交換機連接終端計算機，使用路由器作為網(wǎng)絡出口連接運營商網(wǎng)絡。圖4-1是企業(yè)連接互聯(lián)網(wǎng)的示意圖。圖4-1

企業(yè)連接互聯(lián)網(wǎng)【知識梳理】【項目目標】4學時任務1

設置網(wǎng)絡接入互聯(lián)網(wǎng)

某企業(yè)已經(jīng)完成內部局域網(wǎng)的組建，現(xiàn)在需要向運營商申請電信網(wǎng)絡接入，以滿足公司50名員工訪問互聯(lián)網(wǎng)的需求。如果你是該企業(yè)的網(wǎng)絡管理員，試為該企業(yè)制訂一個合理的寬帶接入方案并實施。【任務描述】【任務分析】

首先需要明確的是，企業(yè)寬帶和家用寬帶是不一樣的，兩者的價格也大不相同。企業(yè)寬帶是指依托于國內骨干網(wǎng)搭建的寬帶網(wǎng)絡，以專線形式接入企業(yè)用戶，使用固定的公網(wǎng)IP地址；而家庭寬帶大多數(shù)是租賃IP地址和共享帶寬的，即多個用戶共用一個公網(wǎng)IP地址，IP地址會經(jīng)常變化。

在選擇帶寬時，需要考慮多個方面的因素，包括企業(yè)規(guī)模、業(yè)務需求、網(wǎng)絡環(huán)境等。一般的小型企業(yè)可能只需要一個低帶寬的網(wǎng)絡連接，通常建議選擇帶寬在100Mbit/s以下的寬帶，以滿足基本的互聯(lián)網(wǎng)訪問和電子郵件傳輸需求；而大中型企業(yè)（特別是有傳輸大量數(shù)據(jù)、進行視頻會議等高帶寬需求的企業(yè)）則需要更高的帶寬，它們通常使用百兆、千兆的寬帶。如果某企業(yè)的業(yè)務覆蓋在線客服、線上直播等，那么該企業(yè)對寬帶的穩(wěn)定性和實時性要求較高，需要百兆以上的寬帶?！局R準備】--

互聯(lián)網(wǎng)概述

互聯(lián)網(wǎng)屬于廣域網(wǎng)，是廣域網(wǎng)的一個實例，是目前全球最大的、開放的、由眾多網(wǎng)絡和計算機互聯(lián)而成的網(wǎng)絡。

互聯(lián)網(wǎng)主要提供的應用服務可分為：

（1）通信類：該類服務向用戶提供多向性的信息交換，如電子郵件服務等。

（2）信息類：用戶通過該類服務能夠取得網(wǎng)絡中的各項資源，如文件傳輸服務、遠程登錄服務等。

（3）檢索類：用戶通過該類服務能夠便捷地尋找所需信息，如萬維網(wǎng)（WorldWideWeb，WWW）服務。【知識準備】--

IPv4地址的組成表4-1

互聯(lián)網(wǎng)提供的基本服務服務名稱作用使用的協(xié)議WWW服務WWW服務也稱Web服務，通過瀏覽器可以瀏覽信息和檢索信息HTTP電子郵件服務也稱E-mail服務，通過網(wǎng)絡的電子郵件系統(tǒng)提供信息交換的通信方式SMTP、POP3遠程登錄服務也稱Telnet服務，允許用戶在聯(lián)網(wǎng)的計算機上登錄到遠程系統(tǒng)中，然后像使用自己的計算機一樣使用該遠程系統(tǒng)Telnet協(xié)議文件傳輸服務也稱FTP服務，允許用戶將一臺計算機上的文件（支持所有文件類型）傳輸?shù)搅硪慌_計算機上FTP【知識準備】--互聯(lián)網(wǎng)接入技術寬帶接入是一種高速、大容量的互聯(lián)網(wǎng)接入技術，其提供了比傳統(tǒng)的撥號接入更高的帶寬。常見的寬帶接入技術包括非對稱數(shù)字用戶線（AsymmetricDigitalSubscriberLine，ADSL）接入技術、光纖接入技術、有線電視寬帶（如電纜寬帶）接入網(wǎng)技術等。其中，ADSL接入和光纖接入是較典型的寬帶接入方式。1.寬帶接入技術ADSL接入技術是運行在原有普通電話線上的一種高速寬帶技術，其利用現(xiàn)有的一對電話銅線為用戶提供上行、下行非對稱的傳輸速率（帶寬）。ADSL接入主要有虛擬撥號和專線接入兩種方式。ADSL支持的上行速率為640kbit/s～1Mbit/s，下行速率為1～8Mbit/s，其有效的傳輸距離為3～5km。一般把傳輸速率超過1Mbit/s的接入稱為寬帶接入。ADSL接入技術光纖到戶（FibreToTheHome，F(xiàn)TTH）技術是一種主流的光纖接入技術，是指將光網(wǎng)絡單元（OpticalNetworkUnit，ONU）安裝在家庭用戶或企業(yè)用戶處。根據(jù)不同的技術標準和設備配置，F(xiàn)TTH的傳輸速率有所差異，目前商用的FTTH服務通常提供10Gbit/s的上行、下行對稱速率。光纖是寬帶網(wǎng)絡的多種傳輸介質中最理想的一種，與ADSL和電纜等傳統(tǒng)接入方式相比，具有速度更快、帶寬更高、網(wǎng)絡質量更穩(wěn)定等優(yōu)點。光纖上網(wǎng)的優(yōu)點是帶寬獨享、性能穩(wěn)定、升級改造費用低、不受電磁干擾、損耗小、安全、保密性強、傳輸距離長等。光纖接入技術DDN是使用數(shù)字信道傳輸數(shù)字信號的數(shù)據(jù)傳輸網(wǎng)。DDN專線的特點是用戶獨占、費用很高、有較高的速率、有固定的IP地址、線路運行可靠、永久連接。2.DDN接入技術無線接入技術允許用戶通過無線信號連接到互聯(lián)網(wǎng)。其中，Wi-Fi技術可以使設備通過WLAN連接到路由器或基站，移動網(wǎng)絡技術（如4G、5G）允許移動設備在范圍廣泛的地區(qū)內連接到互聯(lián)網(wǎng)。3.無線接入技術PPPoE是將點到點協(xié)議（Point-to-PointProtocol，PPP）封裝在以太網(wǎng)框架中的一種網(wǎng)絡隧道協(xié)議，實現(xiàn)以太網(wǎng)接入互聯(lián)網(wǎng)的同時提供良好的訪問控制和計費功能?，F(xiàn)在無論是家庭還是企業(yè)，ADSL和光纖接入都是用PPPoE方式連接互聯(lián)網(wǎng)。局域網(wǎng)的計算機通過NAT技術將私有IP地址轉換為公有IP地址，進而訪問互聯(lián)網(wǎng)。4.PPPoE【知識準備】--互聯(lián)網(wǎng)接入技術路由器單擊添加標題單擊添加文本具體內容，簡明扼要地闡述您的觀點。根據(jù)需要可酌情增減文字添加文本路由功能路由功能是路由器的核心功能。當收到來自一個網(wǎng)絡的數(shù)據(jù)包時，路由器會根據(jù)目標IP地址和路由表（RoutingTable）中的信息選擇最佳路徑，將數(shù)據(jù)包轉發(fā)到目標網(wǎng)絡。當網(wǎng)絡中有多個路由器時，需要使用靜態(tài)路由協(xié)議和動態(tài)路由協(xié)議讓它們共享信息。靜態(tài)路由協(xié)議的路由是不變的，由管理員手動配置；動態(tài)路由協(xié)議的路由由路由器通過路由選擇協(xié)議自動獲取。01【知識準備】--網(wǎng)絡互聯(lián)設備表4-2

主流的路由協(xié)議路由協(xié)議類型應用場景靜態(tài)路由協(xié)議靜態(tài)路由協(xié)議具有配置簡單且占用CPU時間少的優(yōu)點，一般只適用于小型、簡單的網(wǎng)絡拓撲動態(tài)路由協(xié)議路由信息協(xié)議（RoutingInformationProtocol，RIP）RIP使用跳數(shù)作為度量標準來計算路徑成本。每經(jīng)過一個路由器，跳數(shù)增加1。RIP允許的最大跳數(shù)是15，跳數(shù)超過15的網(wǎng)絡視為不可達。RIP配置簡單，是小型網(wǎng)絡的絕佳選擇開放最短路徑優(yōu)先（OpenShortestPathFirst，OSPF）OSPF是流行的鏈路狀態(tài)路由協(xié)議，主要應用于中大型網(wǎng)絡邊界網(wǎng)關協(xié)議（BorderGatewayProtocol，BGP）BGP與OSPF、RIP不同，其著眼點不在于發(fā)現(xiàn)和計算路由，而在于控制路由的傳播和選擇最佳路由。BGP用于ISP網(wǎng)絡，處理各ISP之間的路由傳遞【知識準備】--網(wǎng)絡互聯(lián)設備IP地址分發(fā)功能路由器具有DHCP服務器功能，可以自動為連接到網(wǎng)絡的設備分配IP地址。網(wǎng)絡連接功能路由器可以接收來自不同網(wǎng)絡的數(shù)據(jù)包，并將其傳輸?shù)侥繕司W(wǎng)絡。路由功能單擊添加文本，簡明扼要地闡述您的觀點。根據(jù)需要可酌情增減文字添加文本網(wǎng)絡管理功能路由器提供包括配置管理、性能管理、容錯管理和流量控制等網(wǎng)絡管理功能。01020304路由器【知識準備】--網(wǎng)絡互聯(lián)設備

防火墻是保護局域網(wǎng)安全的重要設備，由系統(tǒng)管理員設置規(guī)則以對數(shù)據(jù)流進行過濾。防火墻根據(jù)安全等級來劃分區(qū)域

本地區(qū)域（local）優(yōu)先級為85非受信區(qū)（untrust）優(yōu)先級為100非軍事化區(qū)（DMZ）優(yōu)先級為50受信區(qū)（trust）防火墻優(yōu)先級為5【知識準備】--網(wǎng)絡互聯(lián)設備優(yōu)先級：local>trust>DMZ>untrust

防火墻中的訪問控制列表（AccessControlList，ACL）是用于規(guī)定網(wǎng)絡中流量的訪問控制策略的一種機制。

通過配置ACL規(guī)則，可以限制特定的IP地址或者IP地址段的訪問。例如，要拒絕一組特定的IP地址00/32和00/32訪問內部網(wǎng)絡，可以配置以下兩條ACL規(guī)則。

（1）規(guī)則1：拒絕IP地址為00/32的主機訪問內部網(wǎng)絡。

（2）規(guī)則2：拒絕IP地址為00/32的主機訪問內部網(wǎng)絡。

通過以上兩條ACL規(guī)則可以實現(xiàn)：除了IP地址為00/32和00/32的主機，其他設備數(shù)據(jù)放行。【知識準備】--網(wǎng)絡互聯(lián)設備【任務實施】--配置局域網(wǎng)通過PPPoE方式接入互聯(lián)網(wǎng)

本任務使用eNSP進行模擬實驗，使用設備包括2臺AR2220（AR1模擬局域網(wǎng)出口路由器，AR2模擬運營商接入控制設備）、2臺S3700、3臺計算機和1臺Server（模擬Web服務器）。局域網(wǎng)使用網(wǎng)段/24，AR1和AR2使用網(wǎng)段/24連接。AR2作為PPPoE服務器同時開啟DHCP服務，為PPPoE客戶端分發(fā)公有IP地址；AR1作為PPPoE客戶端連接AR2，AR1的GE

0/0/1接口可獲取到公有IP地址。局域網(wǎng)的計算機通過NAT技術將私有IP地址轉換為公有IP地址（共享AR1GE

0/0/1接口的公有IP地址），進而訪問互聯(lián)網(wǎng)。

局域網(wǎng)通過PPPoE方式接入互聯(lián)網(wǎng)的拓撲圖如圖4-2所示。圖4-2

局域網(wǎng)通過PPPoE方式接入互聯(lián)網(wǎng)的拓撲圖PPPoE的配置思路【任務實施】--配置局域網(wǎng)通過PPPoE方式接入互聯(lián)網(wǎng)

步驟1：組網(wǎng)，配置IP地址。啟動eNSP，根據(jù)圖4-2連接設備并啟動，4臺終端設備配置IP地址、子網(wǎng)掩碼和網(wǎng)關地址，如圖4-4所示?！救蝿諏嵤?-配置局域網(wǎng)通過PPPoE方式接入互聯(lián)網(wǎng)

步驟2：配置AR2。（1）配置接口IP地址。[Huawei]interfaceG0/0/1//配置接口GE0/0/1[Huawei-GigabitEthernet0/0/1]ipaddress24//接口配置IP地址[Huawei-GigabitEthernet0/0/1]quit（2）定義公有IP地址池。[Huawei]ippoolR2//創(chuàng)建公有IP地址池，名稱為R2[Huawei-ip-pool-R2]networkmask//定義地址池范圍[Huawei-ip-pool-R2]gateway-list54//定義地址池網(wǎng)段的網(wǎng)關地址[Huawei-ip-pool-R2]quit（3）定義認證方案、域、授權用戶。[Huawei]aaa//進入AAA模式[Huawei-aaa]authentication-schemerz //創(chuàng)建認證方案rz[Huawei-aaa-authen-rz]authentication-modelocal //配置認證模式為本地認證[Huawei-aaa-authen-rz]quit //返回AAA模式[Huawei-aaa]domainyu //創(chuàng)建域yu[Huawei-aaa-domain-yu]authentication-schemerz //配置域的認證方案為rz[Huawei-aaa-domain-yu]quit//創(chuàng)建本地用戶aaa1，密碼為bbb1，密碼采用cipher加密方式[Huawei-aaa]local-useraaa1passwordcipherbbb1[Huawei-aaa]local-useraaa1service-typeppp //本地用戶aaa1的服務類型為PPP[Huawei-aaa]quit【任務實施】--配置局域網(wǎng)通過PPPoE方式接入互聯(lián)網(wǎng)

（4）定義虛擬接口模板。[Huawei]interfaceVirtual-Template1//創(chuàng)建虛擬接口模板，最多能夠創(chuàng)建25個//設置本端的PPP對對端設備的認證方式為chap，認證采用的域名為yu[Huawei-Virtual-Template1]pppauthentication-modechapdomainyu[Huawei-Virtual-Template1]ipaddress5424//配置虛擬模板接口的IP地址[Huawei-Virtual-Template1]remoteaddresspoolR2//為PPPoE客戶端指定地址池[Huawei-Virtual-Template1]quit（5）建立虛擬接口模板與局域網(wǎng)接口之間的關聯(lián)。[Huawei]interfaceG0/0/0//配置接口GE0/0/0//設置本設備為PPPoE服務器，并且關聯(lián)虛擬模板接口[Huawei-GigabitEthernet0/0/0]pppoe-serverbindvirtual-template1[Huawei-GigabitEthernet0/0/0]quit[Huawei]【任務實施】--配置局域網(wǎng)通過PPPoE方式接入互聯(lián)網(wǎng)

步驟3：配置AR1。（1）接口配置IP地址。[Huawei]interfaceG0/0/0//配置接口GE0/0/0//接口配置IP地址，該地址是內網(wǎng)網(wǎng)關地址[Huawei-GigabitEthernet0/0/0]ipaddress5424[Huawei-GigabitEthernet0/0/0]quit（2）創(chuàng)建并配置Dialer接口。[Huawei]interfaceDialer1 //創(chuàng)建并進入Dialer接口[Huawei-Dialer1]dialeruseraaa2 //指定對端設備用戶名，必須配置本地有效[Huawei-Dialer1]dialerbundle1 //定義Dialerbundle為1，用于綁定到物理端口[Huawei-Dialer1]pppchapuseraaa1 //設定用戶PPP協(xié)商的用戶名為aaa1[Huawei-Dialer1]pppchappasswordcipherbbb1 //設定用戶PPP協(xié)商的密碼為bbb1[Huawei-Dialer1]ipaddressppp-negotiate//設定PPP協(xié)商完成后IP地址通過協(xié)商獲得[Huawei-Dialer1]quit【任務實施】--配置局域網(wǎng)通過PPPoE方式接入互聯(lián)網(wǎng)

（3）建立物理接口與Dialerbundle之間的關聯(lián)。[Huawei]interfaceG0/0/1//配置接口GE0/0/1//本物理接口的PPPoE客戶端進程與Dialerbundle1綁定[Huawei-GigabitEthernet0/0/1]pppoe-clientdial-bundle-number1[Huawei-GigabitEthernet0/0/1]quit（4）創(chuàng)建ACL，規(guī)定需要進行NAT的私有IP地址范圍。[Huawei]acl2000//創(chuàng)建基本ACL，編號是2000//抓取源IP地址屬于/24網(wǎng)段[Huawei-acl-basic-2000]rule10permitsource55[Huawei-acl-basic-2000]quit[Huawei]interfaceDialer1//配置Dialer1//ACL2000匹配的IP地址轉換成該接口的IP地址，作為源地址[Huawei-Dialer1]natoutbound2000[Huawei-Dialer1]quit（5）配置路由協(xié)議。//配置靜態(tài)路由協(xié)議，訪問公網(wǎng)的數(shù)據(jù)從Dialer1接口發(fā)出[Huawei]iproute-static0Dialer1【任務實施】--配置局域網(wǎng)通過PPPoE方式接入互聯(lián)網(wǎng)

【任務實施】--配置局域網(wǎng)通過PPPoE方式接入互聯(lián)網(wǎng)

步驟4：測試。

使用PC1和PC2分別pingWebServer、PC3，能ping通。在AR1上使用“displayipinterfacebrief”命令查看接口的信息，如圖4-5所示，可以看到AR1的Dialer

1接口從PPPoE服務器獲取到IP地址53/32。再在AR1上使用“displaynatsessionall”命令查看NAT映射表項，可以看到PC1和PC2的地址轉換信息。圖4-6和圖4-7顯示了PC1和PC2ping

Web

Server過程中，PC1的私有IP地址

和PC2的私有IP地址都轉換成公有IP地址53，進而通過該公有IP地址與互聯(lián)網(wǎng)設備通信。圖4-5

AR1使用“displayipinterfacebrief”命令查看接口的信息圖4-6

PC1訪問

WebServer過程中IP地址的轉換圖4-7

PC2訪問

WebServer過程中IP地址的轉換【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)

部分企業(yè)使用防火墻作為局域網(wǎng)出口設備。防火墻既能實現(xiàn)內外網(wǎng)互聯(lián)，又可以作為內網(wǎng)的第一道防線，過濾不安全數(shù)據(jù)，控制外部網(wǎng)絡訪問。試根據(jù)圖4-8進行組網(wǎng)，實現(xiàn)局域網(wǎng)內部計算機能夠訪問互聯(lián)網(wǎng)，并為WebServer添加端口映射功能，使外網(wǎng)可以訪問局域網(wǎng)中的WWW服務。圖4-8

局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)的拓撲圖【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)步驟1：搭建網(wǎng)絡拓撲，配置IP地址。啟動eNSP，根據(jù)拓撲圖連接設備并啟動，為4臺終端設備配置IP地址、子網(wǎng)掩碼和網(wǎng)關地址，如圖4-9所示。配置路由器AR1的接口IP地址，如圖4-8所示。局域網(wǎng)的Web

Server開啟Web服務的步驟如圖4-10所示，需要在本機的D:\web目錄下創(chuàng)建網(wǎng)頁文件default.htm。圖4-10

WebServer開啟Web服務的步驟【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)步驟2：配置云，物理計算機連接防火墻。（1）查看虛擬網(wǎng)卡的IP地址信息。使用VMwareNetworkAdapterVMnet1作為連接的虛擬網(wǎng)卡，網(wǎng)段使用/24（可使用任意私有地址網(wǎng)段）?？梢来螁螕簟翱刂泼姘濉薄熬W(wǎng)絡和Internet”→“網(wǎng)絡和共享中心”→“更改適配器設置”，選擇“VMwareNetworkAdapterVMnet1”，查看和修改虛擬網(wǎng)卡的IP地址信息。（2）配置云。雙擊云，打開云的配置界面，添加一個UDP和一個要綁定的網(wǎng)卡信息（建議使用虛擬網(wǎng)卡，安裝VMwareWorkstation時可創(chuàng)建虛擬網(wǎng)卡VMwareNetworkAdapterVMnet1和VMwareNetworkAdapterVMnet8）。按照圖4-11所示的順序添加UDP和網(wǎng)卡：首先選擇UDP，單擊“增加”按鈕；選擇“VMwareNetworkAdapterVMnet1-IP:”后再次單擊“增加”按鈕；設置出端口編號為“2”，選中“雙向通道”復選框后單擊“增加”按鈕。圖4-11

配置云的具體步驟【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)（3）登錄并配置防火墻。雙擊防火墻USG6000V，首次配置需要導入設備包，設備包導入界面如圖4-12所示。單擊“瀏覽”按鈕，選擇設備包后單擊“導入”按鈕，即可完成設備包導入。設備包可在華為官網(wǎng)下載。再次雙擊USG6000V，進入命令配置界面，輸入賬號（Username）和密碼（Password），防火墻初始賬號為admin，初始密碼為Admin@123。登錄后會詢問是否更改密碼，輸入“y”則表示更改密碼。該過程需要先輸入舊密碼，接著連續(xù)輸入兩次新密碼（對密碼復雜度有要求），密碼修改提示界面如圖4-13所示。密碼修改成功后，可以正式進入防火墻。修改Web管理接口GE0/0/0的IP地址為/24（需是網(wǎng)段/24的IP地址），設置放行策略，如圖4-14所示。圖4-12

設備包導入界面圖4-13

密碼修改提示界面圖4-14

接口GE0/0/0配置IP地址和放行策略【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)（4）物理計算機連接防火墻。打開瀏覽器，輸入“:8443”，防火墻Web登錄頁面如圖4-15所示。輸入賬號、密碼后進入防火墻，防火墻配置主頁如圖4-16所示。圖4-15

防火墻Web登錄頁面圖4-16

防火墻配置主頁【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)步驟3：配置接口。配置接口GE1/0/0，依次單擊“網(wǎng)絡”→“接口”→“GE1/0/0”，進入接口GE1/0/0的配置界面。接口GE1/0/0連接的是互聯(lián)網(wǎng)，所以安全區(qū)域設置為“untrust”，靜態(tài)IP地址為/，如圖4-17所示；接口GE1/0/1的配置方法和GE1/0/0一樣，但是接口GE1/0/1連接的是局域網(wǎng)，所以安全區(qū)域設置為“trust”。查看所有接口的設置情況，如圖4-18所示。圖4-17

防火墻GE1/0/0接口設置圖4-18

查看防火墻接口的設置情況【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)為了方便測試，打開接口GE1/0/0的所有管理服務，具體命令如下。[USG6000V1]interfaceG1/0/0//配置接口GE1/0/0[USG6000V1-GigabitEthernet1/0/0]service-manageallpermit//開啟所有管理服務【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)步驟4：創(chuàng)建NAT策略。（1）創(chuàng)建NAT策略，將私有IP地址/24轉換為公有IP地址。依次單擊“策略”→“NAT策略”→“NAT策略”→“新建”按鈕，創(chuàng)建NAT策略，如圖4-19所示。彈出“修改NAT策略”對話框，在“名稱”和“描述”文本框中輸入該NAT策略的相關信息，“NAT類型”選擇“NAT”，“轉換模式”選擇“僅轉換源地址”，“源安全區(qū)域”選擇“trust”，“目的安全區(qū)域”選擇“untrust”。設置“源地址”前需要添加/24IP地址組，方法是單擊“新建”→“新建地址組”（“新建地址”用于創(chuàng)建單個地址），在彈出的“修改地址組”對話框中輸入“名稱”和“IP地址/范圍或MAC地址”，設置步驟和內容如圖4-20所示。“目的地址”和“服務”設置為“any”，源地址轉換為“出接口地址”，單擊“確定”按鈕。【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)（a）步驟1

（b）步驟2圖4-20

添加/24IP地址組【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)（2）創(chuàng)建端口映射NAT策略。依次單擊“策略”→“NAT策略”→“服務器映射”→“新建”按鈕，創(chuàng)建NAT映射策略。彈出“修改服務器映射”對話框，在“名稱”文本框內輸入映射的相關信息，“安全區(qū)域”選擇“untrust”，在“公網(wǎng)地址”文本框內輸入“”，在“私網(wǎng)地址”文本框內輸入“”，取消選中“配置黑洞路由”復選框，單擊“確定”按鈕，如圖4-21所示。圖4-21

服務器映射設置步驟【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)（3）查看NAT策略列表，可看到所有的列表信息，如圖4-22所示。圖4-22

NAT策略列表【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)步驟5：創(chuàng)建安全策略。（1）創(chuàng)建一條放行策略，允許數(shù)據(jù)從內網(wǎng)傳輸?shù)酵饩W(wǎng)。依次單擊“策略”→“安全策略”→“新建安全策略”按鈕，彈出“修改安全策略”對話框，在“名稱”和“描述”文本框內輸入該NAT策略的相關信息，“源安全區(qū)域”選擇“trust”，“目的安全區(qū)域”選擇“untrust”，“動作”選擇“允許”，其他設置為默認的“any”即可，單擊“確定”按鈕，如圖4-23所示。圖4-23

內網(wǎng)到外網(wǎng)的安全策略配置步驟【任務拓展】--局域網(wǎng)使用防火墻接入互聯(lián)網(wǎng)（2）創(chuàng)建一條放行策略，允許外網(wǎng)訪問內網(wǎng)WebServer的數(shù)據(jù)。依次單擊“策略”→“安全策略”→“新建安全策略”按鈕，如圖4-24所示，彈出“修改安全策略”對話框，在“名稱”和“描述”文本框內中輸入該NAT策略的相關信息，“源安全區(qū)域”選擇“untrust”，“目的安全區(qū)域”選擇“trust”，“源地址/地區(qū)”選擇“any”。設置“目的地址/地區(qū)”前需添加“webserver”地址，添加方法與步驟4添加地址組的方法相似，也可在“對象”→“地址”中添加，具體設置步驟如圖4-25所示。“動作”選擇“允許”，其他設置為默認的“any”，單擊“確定”按鈕。步驟6：配置路由協(xié)議。在命令行模式下，為防火墻添加一條默認路由“iproute-static0”，使局域網(wǎng)能夠訪問網(wǎng)段/24。步驟7：測試。使用PC1ping和00，都能夠ping通，并且在安全策略列表中可以看到數(shù)據(jù)已匹配安全策略。如圖4-26所示，PC1的ping操作匹配了“NAT_ALL”安全策略。圖4-24

外網(wǎng)到內網(wǎng)Web

Server的安全策略配置步驟圖4-26

查看安全策略列表圖4-25

在“對象”→“地址”中創(chuàng)建地址圖4-26

查看安全策略列表2學時任務2

設置互聯(lián)網(wǎng)應用【任務描述】

2023年《政府工作報告》提出，加快傳統(tǒng)產(chǎn)業(yè)和中小企業(yè)數(shù)字化轉型，著力提升高端化、智能化、綠色化水平。企業(yè)通過培訓等方式提升員工的信息技術水平、工作效率，加快企業(yè)數(shù)字化轉型步伐?；ヂ?lián)網(wǎng)的基本使用、電子郵件的收發(fā)和管理、瀏覽器的基本使用等是信息技術培訓的重要內容之一。作為企業(yè)信息技術部門的技術人員，試制訂一個針對互聯(lián)網(wǎng)應用的培訓方案，并對新員工開展技能培訓。。【任務分析】

工作中，常用的互聯(lián)網(wǎng)應用有信息檢索、網(wǎng)絡通信、網(wǎng)絡存儲、電子商務、社交媒體等，技術人員根據(jù)本任務的描述制訂的培訓內容主要如下。

（1）使用360安全瀏覽器快速瀏覽信息。

（2）使用百度搜索引擎快速搜索資源。

（3）使用和管理QQ郵箱的電子郵件。

（4）使用和管理百度網(wǎng)盤。【知識準備】--域名服務

域名是由一串用點分隔的英文字母等組合成的名稱，便于人們記憶，如“”。IP地址和域名是一對多的關系。一個IP地址可以對應多個域名，但是一個域名只能對應一個IP地址。域名和IP地址之間的轉換通過域名系統(tǒng)（DomainNameSystem，DNS）實現(xiàn)，其能使用戶通過域名輕松訪問互聯(lián)網(wǎng)上的資源和服務。01位于域名的最后，表示域名的分類或國家/地區(qū)代碼，如.com、.org、.cn等。頂級域名例如，“”中，“.com”是頂級域名，“.ryjiaoyu”是二級域名，“www”是主機名；“”中，“.com”是頂級域名，“.cn”是二級域名，“.ptpress”是三級域名，“www”是主機名。02位于頂級域名之前，具有獨特意義，可以用來標識企業(yè)、組織和個人。二級域名分為兩種，一種是在國際頂級域名下的二級域名，如“”；另一種是國家/地區(qū)頂級域名下的二級域名，如“.”中的“.com”是置于國家/地區(qū)頂級域名“.cn”下的二級域名，表示商業(yè)機構。二級域名03位于二級域名之前，可以用來對域名進行更詳細的劃分，依次類推

子域名域名空間結構圖4-27

域名空間結構【知識準備】--域名服務

【知識準備】--WWW服務WWW服務是一種交互式圖形界面的互聯(lián)網(wǎng)服務，主要提供網(wǎng)上信息瀏覽服務。WWW服務靠統(tǒng)一資源定位符（UniformResourceLocator，URL）進行定位，通過HTTP傳送給使用者，再由超文本標記語言（HyperTextMarkapLanguage，HTML）進行文檔的展現(xiàn)。WWW服務（使用HTTP）的默認端口是80，加密的WWW服務（使用HTTPS）的默認端口是443。URL是一個全世界通用的、負責給WWW資源定位的系統(tǒng)。URL由4部分組成：<協(xié)議>://<主機>:<端口>/<路徑>。（1）<協(xié)議>：表示使用什么協(xié)議獲取文檔，之后的“://”不能省略。其常用協(xié)議有HTTP、HTTPS、FTP。（2