【文章內(nèi)容簡介】 的兩端分別對數(shù)據(jù)報進行封裝及解封裝。特點：通過GRE，用戶可以利用公共IP網(wǎng)絡(luò)連接非IP網(wǎng)絡(luò)VPN通過GRE，還可以使用保留地址進行網(wǎng)絡(luò)互聯(lián)，或者對公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。擴大了網(wǎng)絡(luò)的工作范圍，包括那些路由網(wǎng)關(guān)有限的協(xié)議。只封裝不加密，路由器性能影響較小，設(shè)備檔次要求相對較低。缺點只封裝不加密，不能防止網(wǎng)絡(luò)監(jiān)聽和攻擊，所以在實際環(huán)境中經(jīng)常與IPSec一起使用。基于隧道的VPN實現(xiàn)方式，所以IPSec VPN在管理、組網(wǎng)上的缺陷，GRE VPN也同樣具有。對原有IP報文進行了重新封裝，所以同樣無法實施IP QoS策略。題目二、基于IP的數(shù)據(jù)會議網(wǎng)絡(luò) 實訓(xùn)任務(wù) 組網(wǎng)需求組網(wǎng)如下圖所示，熟悉通過ME5000服務(wù)器召集基于IP地址的多點會議以及TOPVIEW數(shù)據(jù)終端的應(yīng)用。 組網(wǎng)圖 組網(wǎng)圖 配置要求先熟悉兩種新設(shè)備MG6030和ME5000，并做好地址規(guī)劃。（1）配置MG6030媒體網(wǎng)關(guān)。（2）配置ME5000服務(wù)器。()（3）實現(xiàn)通過ME5000服務(wù)器召集基于IP地址的多點會議。（4）實現(xiàn)TOPVIEW數(shù)據(jù)終端的安裝和配置。()（5）實驗拓撲圖。圖 實驗組網(wǎng)圖 實驗配置（1）MCU終端添加如下圖所示。圖 終端添加（2）ME5000終端會議管理。圖 終端管理（3）創(chuàng)建會議，將分屏改成三分層，文字大小是小，字幕位置是下移，字體顏色是綠色，播放形式是滾動，播放速度是中速，循環(huán)次數(shù)是9次等圖 創(chuàng)建會議（4）會議控制圖 會議控制設(shè)置圖 會議控制設(shè)置（5）TOPVIEW會議召開。1）加入會議開始開會。圖 加入會議2）程序共享圖 程序共享3）文件傳輸圖 文件傳輸 問題回答？，它是主叫用戶為呼叫移動通信網(wǎng)中用戶所需撥號的號碼。其格式為：CC+NDC+SN，也可以表示為：國家代碼+N1N2N3+H0H1H2H3＋ABCD（CC=國家碼，中國為86；NDC=國內(nèi)目的碼；SN=用戶號碼）。采用ENUM解決電話和數(shù)據(jù)業(yè)務(wù)的惟一號碼問題，但是，實現(xiàn)ENUM機制需要分配一個新的號碼，如圖1所示是一個PSTN用戶對一個SIP用戶的呼叫。呼叫首先要接到ENUM網(wǎng)關(guān)，如圖1中的第三步，然后到域名服務(wù)器去查找用戶相關(guān)的信息，獲得該用戶的域名，再到域名服務(wù)器查找SIP服務(wù)的相關(guān)的IP地址，通過SIP服務(wù)器將呼叫接到SIP的客戶端。該種業(yè)務(wù)完全依賴于DNS系統(tǒng)，用戶的個人信息也將在DNS系統(tǒng)中包括，因此ENUM的引入還有一個安全的問題，目前我國正在對于ENUM的引入進行研究。在實現(xiàn)號碼個人化方面還有一個相關(guān)的業(yè)務(wù)就是號碼攜帶業(yè)務(wù)，當一個用戶需要更換運營商的時候，如果也要做到號碼的惟一性，就需要解決號碼的攜帶問題，因為這時的號碼翻譯不是在一個運營商的平臺就能完成的，需要運營商間的合作才能提供。題目三、網(wǎng)絡(luò)安全綜合實驗 實訓(xùn)任務(wù)某企業(yè)采用SecPath防火墻設(shè)備和IPS設(shè)備構(gòu)建安全防范體系。防火墻上要求實現(xiàn)ipsweep和portscan攻擊防范動態(tài)加入黑名單功能。防火墻上實現(xiàn)分片報文攻擊防范、常見flood攻擊防范。防火墻墻上添加相應(yīng)的規(guī)則，進行常見病毒攻擊的防護。防火墻郵件主題過濾、網(wǎng)頁地址過濾實現(xiàn)。圖 實驗拓撲圖防火墻上要求實現(xiàn)ipsweep和portscan攻擊防范動態(tài)加入黑名單功能。（1）配置文檔給各個端口配置IP地址[F]interface Ethernet 0/0[FEthernet0/0]ip add 24[FEthernet0/0]quit[F]interface Ethernet0/1[FEthernet0/1]ip add 24[FEthernet0/1]quit防火墻打開[F]firewall packetfilter enable [F]firewall packetfilter default permit 全局模式啟用統(tǒng)計功能[F]firewall statistic system enable 啟用黑名單功能[F]firewall blacklist enable手工添加到黑名單條目[F]firewall blacklist [F]firewall zone trust [Fzonetrust]add interface Ethernet 0/0[Fzonetrust] statistic enable ip inzone//連接發(fā)起域入方向啟用IP統(tǒng)計功能[Fzonetrust]quit[F]firewall zone untrust [Fzoneuntrust]add interface Ethernet 0/1[Fzoneuntrust]statistic enable ip outzone//連接發(fā)起域出方向啟用IP統(tǒng)計功能[Fzoneuntrust]statistic enable ip inzone[Fzoneuntrust]quit配置ipsweep防范屬性[F]firewall defend ipsweep maxrate 300 blacklisttimeout 15配置portscan防范屬性[F]firewall defend portscan maxrate 300 blacklisttimeout 10 （2）當我們將配置全部敲完后，我們將要查看實驗效果，然后就是用軟件nmap來攻擊我們的web服務(wù)器，也可以說是要掃描web服務(wù)器端口。，下圖就是我們軟件端口掃描。圖 端口掃描當我們端口掃描完后，我們就在防火墻中進行查看，代碼如下：顯示黑名單表項[F]dis firewall blacklist item Firewall blacklist item : Current manual insert items : 1 Current automatic insert items : 1 Need aging items : 1 IP Address Insert reason Insert time Age time(minutes) Manual 2013/01/13 12:29:14 Permanent Port Scan 2013/01/13 14:56:05 10顯示攻擊防范統(tǒng)計[F] dis firewall statistic system defend Display firewall defend statistic:IPsweep, 2 time(s)TCP portscan, 2 time(s)UDP portscan, 0 time(s)total, 4 time(s)防火墻上實現(xiàn)分片報文攻擊防范、常見flood攻擊防范。（1）防火墻實現(xiàn)分片攻擊防范。打開防火墻[F]firewall packetfilter enable [F]firewall packetfilter default permit [F]firewall statistic system enable 設(shè)置阻止到達server的IP分片報文，并且允許FTP分片報文通過。[F]acl number 3000[Facladv3000]rule 1 deny ip destination 0 fragment [Facladv3000]rule 2 permit tcp destination 0 destinationport eq ftp fragment [Facladv3000]quit在接口上面應(yīng)用ACL。[F]interface Ethernet 0/0[FEthernet0/0]ip add 24[FEthernet0/0]firewall packetfilter 3000 inbound [FEthernet0/0]quit[F]interface Ethernet 0/1[FEthernet0/1]ip add 24[FEthernet0/1]quit[F]firewall zone trust [Fzonetrust]add interface Ethernet 0/0[Fzonetrust]quit[F]firewall zone untrust [Fzoneuntrust]add interface Ethernet 0/1[Fzoneuntrust]quit[F]FTP server enable //FTP服務(wù)開啟% Start FTP server（2）常見flood攻擊防范。[F]firewall packetfilter enable //開啟防火墻[F]firewall packetfilter default permit [F]firewall statistic system enable //開啟報文全局統(tǒng)計[F]acl number 3000//acl配置[Facladv3000]rule 1 permit ip source [Facladv3000]quit[F]interface Ethernet0/0//地址配置[FEthernet0/0]ip add 24[FEthernet0/0]quit[F]int Ethernet 0/1[FEthernet0/1]ip add 24[FEthernet0/1]quit[F]firewall zone trust [Fzonetrust]add interface Ethernet 0/1[Fzonetrust]quit[F]firewall zone untrust [Fzoneuntrust]add interface Ethernet 0/0[Fzoneuntrust]statistic enable ip inzone //開啟所在域入方向的報文統(tǒng)計[Fzoneuntrust]quit[F]FTP server enable % Start FTP server[F]firewall defend land\\防范Land攻擊[F]firewall defend smurf \\防范smurf攻擊[F]firewall defend winnuke \\防范winnuke攻擊[F]firewall defend synflood enable //使能synflood攻擊防范[F]firewall defend synflood ip maxrate 100 tcpproxy //設(shè)置受保護主機和啟用TCP代理[F]firewall defend icmpflood ip //設(shè)置受保護主機（3）實驗效果驗證[F]dis firewall statistic system defend Display firewall defend statistic: IPspoofing, 0 time(s) Land, 0 time(s) Smurf, 0 time(s) Fraggle, 0 time(s) Winnuke, 0 time(s) SYNflood, 5 time(s) ICMPflood, 0 time(s) UDPflood, 0 time(s) ICMPredirect, 0 time(s) ICMPunreachable, 0 time(s) Tracert, 0 time(s) Tcpflag, 0 time(s) Pingofdeath, 0 time(s) Teardrop, 0 time(s) IPfragment, 0 time(s) IPswee