防火墻課程設(shè)計(jì)

目錄TOC\o"1-2"\h\u1.課題研究的目的和意義 21.1防火墻安全控制的背景 21.2防火墻安全控制的目的 21.3防火墻安全控制的意義 22.防火墻安全控制程序原理 42.1防火墻安全控制概念 42.2防火墻安全控制基本原理 42.3防火墻安全控制常用技術(shù) 52.4防火墻安全控制程序的IP過濾功能 7A3.防火墻安全控制程序總體結(jié)構(gòu) 93.1防火墻安全控制程序設(shè)計(jì)整體架構(gòu) 93.2防火墻安全控制拓?fù)鋱D及其分析 93.3防火墻防火墻安全控制部署方案 114.防火墻安全控制程序詳細(xì)設(shè)計(jì) 144.1開發(fā)環(huán)境 144.2防火墻安全控制程序的實(shí)現(xiàn)方法 144.3主要模塊的程序?qū)崿F(xiàn) 155.系統(tǒng)結(jié)果與分析 186.總結(jié)與展望 206.1總結(jié) 206.2展望 20參考文獻(xiàn) 錯誤!未定義書簽。1.課題研究的目的和意義1.1防火墻安全控制的背景據(jù)了解，從1997年底至今，我國的政府部門、證券公司、銀行等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。公安機(jī)關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國的產(chǎn)品和技術(shù)，在電子政務(wù)、電子商務(wù)和各行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段，以上這些領(lǐng)域的大型計(jì)算機(jī)網(wǎng)絡(luò)工程都由國內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術(shù)力量，同時一些負(fù)責(zé)網(wǎng)絡(luò)安全的工程技術(shù)人員對許多潛在風(fēng)險(xiǎn)認(rèn)識不足。缺乏必要的技術(shù)設(shè)施和相關(guān)處理經(jīng)驗(yàn)。也正是由于受技術(shù)條件的限制，很多人對網(wǎng)絡(luò)安全的意識僅停留在如何防范病毒階段，對網(wǎng)絡(luò)安全缺乏整體意識。隨著網(wǎng)絡(luò)的逐步普及，網(wǎng)絡(luò)安全的問題已經(jīng)日益突。它關(guān)系到互連網(wǎng)的進(jìn)一步發(fā)展和普及，甚至關(guān)系著互連網(wǎng)的生存。目前在互連網(wǎng)上大約有將近80%以上的用戶曾經(jīng)遭受過黑客的困擾，而與此同時，更讓人不安的是，互連網(wǎng)上病毒和黑客的聯(lián)姻、不斷增多的黑客網(wǎng)站，使學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變的輕而易舉。這樣，使原本就十分脆弱的互連網(wǎng)越發(fā)顯得不安全。1.2防火墻安全控制的目的一般的防火墻都可以達(dá)到以下目的：①限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶；②防止入侵者接近內(nèi)部網(wǎng)絡(luò)的防御設(shè)施；③限制人們訪問特殊站點(diǎn)；④為監(jiān)視Internet安全提供方便。由于防火墻是一種被動技術(shù)，因此對內(nèi)部的非法訪問難以有效控制，防火墻適合于相對獨(dú)立的網(wǎng)絡(luò)。由于防火墻是網(wǎng)絡(luò)安全的一個屏障，因此一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)來降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)安全環(huán)境變得更安全。例如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻還可以同時保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。而網(wǎng)絡(luò)安全控制是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計(jì)算機(jī)和網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。1.3防火墻安全控制的意義圖2-1內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)其中DMZ(demilitarizedzone)【3】的縮寫中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。根據(jù)已經(jīng)設(shè)置好的安全規(guī)則，決定是允許（allow）或者拒絕（deny）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接，如圖2-2所示。2.3防火墻安全控制常用技術(shù)2.3.1防火墻技術(shù)網(wǎng)絡(luò)安全所說的防火墻(FireWall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點(diǎn)上。所有來自Internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。圖2-2內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接2.3.2數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密【4】技術(shù)就是對信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息、的真實(shí)內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲加密技術(shù)是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證，達(dá)到保密的要求，系統(tǒng)通過對比驗(yàn)證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù)。2.3.3系統(tǒng)容災(zāi)技術(shù)集群技術(shù)是一種系統(tǒng)級的系統(tǒng)容錯技術(shù)，通過對系統(tǒng)的整體冗余和容錯來解決系統(tǒng)任何部件失效而引起的系統(tǒng)死機(jī)和不可用問題。集群系統(tǒng)可以采用雙機(jī)熱備份、本地集群網(wǎng)絡(luò)和異地集群網(wǎng)絡(luò)等多種形式實(shí)現(xiàn)，分別提供不同的系統(tǒng)可用性和容災(zāi)性。其中異地集群網(wǎng)絡(luò)的容災(zāi)性是最好的。存儲、備份和容災(zāi)技術(shù)的充分結(jié)合，構(gòu)成的數(shù)據(jù)存儲系統(tǒng)，是數(shù)據(jù)技術(shù)發(fā)展的重要階段。隨著存儲網(wǎng)絡(luò)化時代的發(fā)展，傳統(tǒng)的功能單一的存儲器，將越來越讓位于一體化的多功能網(wǎng)絡(luò)存儲器。2.3.4入侵檢測技術(shù)

入侵檢測【5】技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），并對這些信息進(jìn)行分析和判斷。通過檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報(bào)警等響應(yīng)，從而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術(shù)）、對攻擊行為或異常行為進(jìn)行響應(yīng)、審計(jì)和跟蹤等。2.4防火墻安全控制程序?qū)υ碔P地址和目的IP過濾功能所有基于Windows操作系統(tǒng)的個人防火墻核心技術(shù)在于Windows操作系統(tǒng)下數(shù)據(jù)包攔截技術(shù)。包過濾系統(tǒng)工作在OSI模型中的網(wǎng)絡(luò)層，可以根據(jù)數(shù)據(jù)包報(bào)頭等信息來制定規(guī)則。數(shù)據(jù)包過濾是包過濾路由器可以決定對它所收到的每個數(shù)據(jù)包的取舍。是基于路由器技術(shù)的，建立在網(wǎng)絡(luò)層、傳輸層上。路由器對每發(fā)送或接收來的數(shù)據(jù)包審查是否與某個包過濾規(guī)則相匹配。包過濾規(guī)則即訪問控制表，通過檢查每個分組的源IP地址、目的地址來決定該分組是否應(yīng)該轉(zhuǎn)發(fā)。如果找到一個匹配，且規(guī)則允許該數(shù)據(jù)包通過，則該數(shù)據(jù)包根據(jù)路由表中的信息向前轉(zhuǎn)發(fā)。如果找到一個與規(guī)則不相匹配的，且規(guī)則拒絕此數(shù)據(jù)包，則該數(shù)據(jù)包將被舍棄。包過濾系統(tǒng)的工作流程圖如圖2-3所示圖2-3防火墻過濾系統(tǒng)工作流程3.防火墻安全控制程序總體結(jié)構(gòu)3.1防火墻安全控制程序設(shè)計(jì)整體架構(gòu)如圖3-1所示，如果內(nèi)部網(wǎng)絡(luò)地址為的主機(jī)希望訪問Internet上地址為的Web服務(wù)器，那么它就會產(chǎn)生一個源地址S=，目的地址為的分組為1。NAT常與代理、防火墻技術(shù)一起使用。在防火墻中起到了重要的作用。圖3-1工作原理圖防火墻安全控制程序設(shè)計(jì)的實(shí)現(xiàn)框圖如圖3-2所示:3.2防火墻安全控制拓?fù)鋱D及其分析分層設(shè)計(jì)將一個規(guī)模較大的網(wǎng)絡(luò)系統(tǒng)分為幾個較小的層次，這些層次之間既相對獨(dú)立又相對關(guān)聯(lián)，他們之間可以看做是一個層次疊加的關(guān)系。每一層都有自己特定的作用。核心層主要高速處理數(shù)據(jù)流，提供節(jié)點(diǎn)之間的高速數(shù)據(jù)轉(zhuǎn)發(fā)，優(yōu)化傳輸鏈路，并實(shí)現(xiàn)安全通信。從網(wǎng)絡(luò)設(shè)計(jì)來看，它的結(jié)構(gòu)相對簡單，但是對核心層的設(shè)備性能的十分嚴(yán)格。一般采用高性能的多層模塊化交換機(jī)，并要盡量減少核心層的路由器配置的復(fù)雜程度，并且核心層設(shè)備應(yīng)該具有足夠的路由信息，將數(shù)據(jù)包發(fā)往網(wǎng)絡(luò)中的任意目的主機(jī)。圖3-2防火墻安全控制程序設(shè)計(jì)實(shí)現(xiàn)框圖匯聚層主要提供基于策略的網(wǎng)絡(luò)連接，負(fù)責(zé)路由聚合，收斂數(shù)據(jù)流量，將網(wǎng)絡(luò)服連接到接入層。匯聚層是核心層與接入層的分界面，接入層經(jīng)常處于變化之中，為了避免接入層的變化對核心層的影響，可以利用匯聚層隔離接入層拓?fù)浣Y(jié)構(gòu)的變化，是核心層的交換機(jī)處于穩(wěn)定，不受外界的干擾。圖3-3防火墻安全控制拓?fù)鋱D接入層為用戶提供網(wǎng)絡(luò)訪問功能，并負(fù)責(zé)將網(wǎng)絡(luò)流量饋入到匯聚層，執(zhí)行用戶認(rèn)證和訪問控制，并提供相關(guān)的網(wǎng)絡(luò)服務(wù)。接入層一般采用星型的拓?fù)浣Y(jié)構(gòu)，而且一般不提供路由功能，也不進(jìn)行路由信息的交換。通過這樣三層的網(wǎng)絡(luò)設(shè)計(jì)，可以將網(wǎng)絡(luò)分解程序多的小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性；可以使網(wǎng)絡(luò)更容易的處理廣播風(fēng)暴、信號循環(huán)問題；而且分層的設(shè)計(jì)模型降低了設(shè)備配置的復(fù)雜性，網(wǎng)絡(luò)故障也會更容易的排除，是網(wǎng)絡(luò)更容易的管理，使企業(yè)的網(wǎng)絡(luò)更安全、穩(wěn)定。3.3防火墻防火墻安全控制部署方案防火墻是一個或一組系統(tǒng),隔離堡壘主機(jī)通過運(yùn)行在其上面的防火墻軟件，控制應(yīng)用程序的轉(zhuǎn)發(fā)以及提供其他服務(wù)，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略,同時也是一種綜合性的技術(shù)，涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、密碼技術(shù)安全技術(shù)、軟件技術(shù)、安全協(xié)議、網(wǎng)絡(luò)標(biāo)準(zhǔn)化組織的服務(wù)。防火墻的主要實(shí)現(xiàn)功能：1.防止外部的IP地址欺騙：IP地址欺騙是一種常見的對企業(yè)內(nèi)部服務(wù)器的攻擊手段外部網(wǎng)的攻擊者將其數(shù)據(jù)包的源地址偽裝成內(nèi)部網(wǎng)合法的IP地址或Loopback地址，以繞過防火墻，實(shí)現(xiàn)非法訪問?？梢栽诜阑饓Φ娜趾徒涌谂渲弥?，通過命令來實(shí)現(xiàn)防止外部IP地址的欺騙.2.控制內(nèi)部網(wǎng)的非法IP地址進(jìn)入外部網(wǎng);通過設(shè)置訪問列表，可以控制內(nèi)部網(wǎng)的哪些機(jī)器可以進(jìn)入外部網(wǎng)，哪些機(jī)器不可以進(jìn)入外部網(wǎng)，保障內(nèi)部網(wǎng)的安全和可靠。3.對內(nèi)部網(wǎng)資源主機(jī)的訪問控制：企業(yè)內(nèi)部網(wǎng)的服務(wù)器是非法訪問者的重點(diǎn)攻擊對象，同時它又必須為外部用戶提供一定的服務(wù)，對于特定的服務(wù)器，可以只允許訪問特定的服務(wù)。也就是說，對于Web服務(wù)器只允許訪問Web服務(wù)；而對FTP服務(wù)器，只允許訪問FTP服務(wù)。4.防止外部的ICMP重定向欺騙5.防止外部的資源路由選擇欺騙6.對撥號上網(wǎng)用戶的訪問控制7.防止內(nèi)部用戶盜用IP方法8.防止對路由器的攻擊9.內(nèi)部網(wǎng)絡(luò)流量的控制防火墻的核心技術(shù)：包過濾防火墻【6】。包過濾防火墻也稱為訪問控制表或屏蔽路由器，它通過查看所流經(jīng)的數(shù)據(jù)包，根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，并根據(jù)是否與規(guī)則匹配來決定是否讓該數(shù)據(jù)包通過。包過濾防火墻將對每一個接收到的包做出允許或拒絕的決定。具體地講，它針對每一個數(shù)據(jù)報(bào)的報(bào)頭，按照包過濾規(guī)則進(jìn)行判定，與規(guī)則相匹配的包依據(jù)路由信息繼續(xù)轉(zhuǎn)發(fā)，否則就丟棄。包過濾是在IP層實(shí)現(xiàn)的，包過濾根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口等報(bào)頭信息及數(shù)據(jù)包傳輸方向等信息來判斷是否允許數(shù)據(jù)包通過。包過濾也包括與服務(wù)相關(guān)的過濾，這是指基于特定的服務(wù)進(jìn)行包過濾，由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCP/UDP端口，因此，為阻斷所有進(jìn)入特定服務(wù)的鏈接，防火墻只需將所有包含特定TCP/UDP目的端口的包丟棄即可。包過濾的原則：(1)包過濾規(guī)則必須被包過濾設(shè)備端口存儲起來。(2)當(dāng)包到達(dá)端口時，對包報(bào)頭進(jìn)行語法分析。大多數(shù)包過濾設(shè)備只檢查IP、TCP、或UDP報(bào)頭中的字段。(3)包過濾規(guī)則以特殊的方式存儲。應(yīng)用于包的規(guī)則的順序與包過濾器規(guī)則存儲順序必須相同。(4)若一條規(guī)則阻止包傳輸或接收，則此包便不被允許。(5)若一條規(guī)則允許包傳輸或接收，則此包便可以被繼續(xù)處理。(6)若包不滿足任何一條規(guī)則，則此包便被阻塞。4.防火墻安全控制程序詳細(xì)設(shè)計(jì)4.1開發(fā)環(huán)境VisualC++6.0【7】簡稱VC或者VC6.0.是一個基于Windows操作系統(tǒng)的可視化集成開發(fā)環(huán)境（integrateddevelopmentenvironment，IDE）。VisualC++6.0由許多組件組成，包括編輯器、調(diào)試器以及程序向?qū)ppWizard、類向?qū)lassWizard等開發(fā)工具。這些組件通過一個名為DeveloperStudio的組件集成為和諧的開發(fā)環(huán)境。VisualC++它大概可以分成三個主要的部分：DeveloperStudio，這是一個集成開發(fā)環(huán)境，我們?nèi)粘９ぷ鞯?9%都是在它上面完成的，DeveloperStudio提供了一個很好的編輯器和很多Wizard，但實(shí)際上它沒有任何編譯和鏈接程序的功能。MFC，從理論上來講，MFC也不是專用于VisualC++，BorlandC++，C++Builder和SymantecC++同樣可以處理MFC。PlatformSDK，這才是VisualC++和整個VisualStudio的精華和靈魂，PlatformSDK是以MicrosoftC/C++編譯器為核心，配合MASM，輔以其他一些工具和文檔資料。4.2防火墻安全控制程序的實(shí)現(xiàn)方法這次設(shè)計(jì)的重點(diǎn)在于防火墻安全控制程序的配置，在配置防火墻的過程中，重點(diǎn)在于設(shè)置NAT和ACL，NAT用來配置內(nèi)網(wǎng)計(jì)算機(jī)訪問外網(wǎng)時的地址轉(zhuǎn)換，保證內(nèi)網(wǎng)與外網(wǎng)的計(jì)算機(jī)相互之間能夠成功地訪問對方。ACL是訪問控制，主要用來設(shè)置內(nèi)網(wǎng)計(jì)算機(jī)的訪問權(quán)限，通過配置ACL，可以禁止或允許內(nèi)網(wǎng)中的計(jì)算機(jī)之間的相互訪問以及內(nèi)網(wǎng)計(jì)算機(jī)訪問外網(wǎng)。防火墻是在內(nèi)網(wǎng)和外網(wǎng)中設(shè)置的氣到網(wǎng)絡(luò)安全的。實(shí)現(xiàn)防火墻技術(shù)的實(shí)驗(yàn)就需要建立內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)中的局域網(wǎng)都是通過交換機(jī)來設(shè)計(jì)的。首先是內(nèi)部網(wǎng)絡(luò)是將PC2、Edge和Core連接起來，然后利用超級終端軟件對各個設(shè)備進(jìn)行配置，配置如下：首先在PC2計(jì)算機(jī)中對網(wǎng)絡(luò)地址進(jìn)行配置，IP地址設(shè)置為5，子網(wǎng)掩碼為；其次對交換機(jī)2626B進(jìn)行配置，將其分為多個局域網(wǎng)，此次實(shí)驗(yàn)只分配Vlan1，其IP地址的范/24。其次是對HPProCurve5308xl三層交換機(jī)，其背板交換引擎速度為76.8Gbps，吞吐量高達(dá)48mpps，并配置雙冗余電影，保證核心層高速、可靠的三層交換；給它配置兩個Vlan，Vlan1的地址為/24，Vlan10的地址為/24，并在vlan10上配置中繼端口B1，在vlan1上配置中繼端口在vlan10上配置中繼端口B2，啟用三層轉(zhuǎn)發(fā)協(xié)議。在內(nèi)部網(wǎng)絡(luò)的各個設(shè)備設(shè)置完后，嘗試使用PC2ping7102A的出口地址，但是因?yàn)槿鄙俾酚?，所以ping不通。所以我們還需要在5308上寫上內(nèi)網(wǎng)默認(rèn)路由，在7102A上添加網(wǎng)絡(luò)的出口路由，指令如下：Core(config)#IprouteNAT(config)#Iproute5添加上默認(rèn)路由后，內(nèi)部網(wǎng)絡(luò)即構(gòu)建完畢。如果從PC2ping7102A的出口地址，不通的話，還需要認(rèn)真的檢查確保各vlan或端口之間的tagged和untagged配置是否正確。4.3主要模塊的程序?qū)崿F(xiàn)具體程序如下：typedefstructIpHeader{UCHARiphVerLen；//版本號和頭長度UCHARipTos；//服務(wù)類型USHORTipLength；//總的數(shù)據(jù)包大小USHORTipID；//特殊標(biāo)識符USHORTipFlags；//標(biāo)志USHORTipTTL；//生存期UCHARipProtocol；//協(xié)議USHORTipChecksum；//數(shù)據(jù)包檢驗(yàn)和ULONGipSource；//源地址ULONGipDestination；//目的地址}IPPacket；（2）TCP數(shù)據(jù)包數(shù)據(jù)結(jié)構(gòu)TCP數(shù)據(jù)定義：typedefstruct_TCPHeader{USHORTsourcePort；//源端口號USHORTdestinationPort；//目的端口號ULONGsequenceNumber；//序號ULONGacknowledgeNumber；//確認(rèn)序號UCHARdataoffset；//數(shù)據(jù)指針UCHARflags；//標(biāo)志USHORTwindows；//窗口大小USHORTchecksum；//校驗(yàn)和USHORTurgentPointer；//緊急指針}TCPHeader；（3）UDP數(shù)據(jù)包數(shù)據(jù)結(jié)構(gòu)UDP數(shù)據(jù)定義：typedefstruct_UDPHeader{USHORTsourcePort；//源端口號USHORTdestinationPort；//目的端口號USHORTlen；//封包長度USHORTchecksum；//校驗(yàn)和}UDPHeader；（4）過濾規(guī)則的設(shè)計(jì)過濾規(guī)則定義：structCIPFilter{USHORTprotocol；//使用的協(xié)議ULONGsourceIP；//源IP地址ULONGdestinationIP；//目標(biāo)IP地址ULONGsourceMask；//源地址屏蔽碼ULONGdestinationMask；//目的地址屏蔽碼USHORTsourcePort；//源端口號USHORTdestinationPort；//目的端口號BOOLEANbDrop；//是否丟棄此封包}；規(guī)則列表定義：structCFilterList{CIPFilteripf；//過濾規(guī)則CFilterList*pNext；//指向下一個CFilterList結(jié)構(gòu)}；5.系統(tǒng)結(jié)果與分析在超級終端上的命令是：2626B(config)#Vlan12626B(Vlan-1)#ipaddress/242626B(Vlan-1)#Vlan110tagged25調(diào)試結(jié)果如圖5-1所示：圖5-1調(diào)試結(jié)果設(shè)置局域網(wǎng)Vlan1：Core(config)#Vlan1Core（Vlan-1）#ipaddress/24Core（Vlan-1）#taggedB2設(shè)置局域網(wǎng)Vlan10：Core(config)#Vlan10ipaddress/24Core(config)#Vlan110taggedB1調(diào)試結(jié)果如圖5-2所示：給7102的兩個以太網(wǎng)口配置地址，并激活。ETH0/1的地址為/24，ETH0/2的地址為/24，指令如下：NAT(config)#interfaceEthernet0/1NAT(config-eth0/1)#ipaddressNAT(config-eth0/1)#noshutdownNAT(config)#interfaceEthernet0/2NAT(config-eth0/2)#ipaddress運(yùn)行如圖5-3所示：圖5-2調(diào)試結(jié)果圖5-3調(diào)試結(jié)果6.總結(jié)與