網(wǎng)絡(luò)工程與應(yīng)用課程設(shè)計(jì)范本.doc

武漢軟件工程職業(yè)學(xué)院目錄一、項(xiàng)目概況31.校園工程區(qū)建筑結(jié)構(gòu)圖:32.建筑網(wǎng)絡(luò)范圍:33. 信息樓五樓概要設(shè)計(jì)布圖4二、概要設(shè)計(jì)41. 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下：42.綜合布線系統(tǒng)設(shè)計(jì)方案43. IP地址規(guī)劃方案5(1)參照校園網(wǎng)拓樸圖5(2)IP地址分配總則，54配置：7三、web服務(wù)器29四、群集服務(wù)配置32一、項(xiàng)目概況1.校園工程區(qū)建筑結(jié)構(gòu)圖:2.建筑網(wǎng)絡(luò)范圍:武漢軟件工程職業(yè)學(xué)院是學(xué)院地處“國(guó)家自主創(chuàng)新示范區(qū)”武漢市東湖高新技術(shù)開(kāi)發(fā)區(qū)，即“武漢中國(guó)光谷”腹地，環(huán)境優(yōu)美，設(shè)施優(yōu)良。占地面積1200余畝，建筑面積40余萬(wàn)平方米，3. 信息樓五樓概要設(shè)計(jì)布圖二、概要設(shè)計(jì) 1. 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下： 2.綜合布線系統(tǒng)設(shè)計(jì)方案信息插座到終端設(shè)備這個(gè)區(qū)域稱為工作區(qū)子系統(tǒng)。它包括有連接軟線、適配器和其他電子器件。由于工作區(qū)子系統(tǒng)的設(shè)計(jì)與用戶的終端設(shè)備有關(guān)。本設(shè)計(jì)中工作區(qū)子系統(tǒng)為數(shù)據(jù)的應(yīng)用，暫定為N信息點(diǎn)，信息點(diǎn)分布情況暫為學(xué)校供的預(yù)計(jì)數(shù)量，施工按實(shí)際情況定，信息點(diǎn)數(shù)見(jiàn)下表：建筑物網(wǎng)絡(luò)綜合布線信息點(diǎn)數(shù)量統(tǒng)計(jì)表常用表格建筑物網(wǎng)絡(luò)和語(yǔ)音信息點(diǎn)數(shù)統(tǒng)計(jì)表房間或者區(qū)域編號(hào)樓層編號(hào)501502503504505506507508509510511512513514數(shù)據(jù)點(diǎn)數(shù)合計(jì)語(yǔ)音點(diǎn)數(shù)合計(jì)信息點(diǎn)數(shù)合計(jì)數(shù)據(jù)語(yǔ)音數(shù)據(jù)語(yǔ)音數(shù)據(jù)語(yǔ)音數(shù)據(jù)語(yǔ)音數(shù)據(jù)語(yǔ)音數(shù)據(jù)語(yǔ)音數(shù)據(jù)語(yǔ)音數(shù)據(jù)語(yǔ)音數(shù)據(jù)語(yǔ)音數(shù)據(jù)語(yǔ)音數(shù)據(jù)語(yǔ)音數(shù)據(jù)語(yǔ)音數(shù)據(jù)語(yǔ)音數(shù)據(jù)語(yǔ)音第5層222222222222222800000000 0 000000合計(jì)28注：教室信息點(diǎn)2個(gè) 辦公室信息點(diǎn)4個(gè) 機(jī)房信息點(diǎn)2個(gè) 實(shí)驗(yàn)室信息點(diǎn)4個(gè)3. IP地址規(guī)劃方案(1)參照校園網(wǎng)拓樸圖(2)IP地址分配總則：1：R4是internet路由器，不能對(duì)其做任何路由配置，R4上啟用PPPOE撥號(hào)，外部辦公人員使用PC0撥號(hào)上網(wǎng)，然后撥號(hào)總部EZVPN server對(duì)內(nèi)部網(wǎng)絡(luò)做網(wǎng)管2：R1，R2，SW1,ASA之間運(yùn)行OSPF，ASA使用默認(rèn)路由指向internet，保證全網(wǎng)的連通性。3：ASA防火墻連接internet，在ASA上做NAT，使得內(nèi)部能夠訪問(wèn)internet，保證DMZ的HTTP server0 能夠正常對(duì)外提供訪問(wèn)，所以需要對(duì)它做靜態(tài)NAT，外部地址為004：R2和SW1上做單臂路由和HSRP 的負(fù)載均衡，vlan 2 的流量走R2，網(wǎng)關(guān)為00；vlan 3 的流量走SW1，網(wǎng)關(guān)為00.并且開(kāi)啟鏈路追蹤5：SW2 和SW3 之間的鏈路做冗余備份并且保證負(fù)載均衡6：R1 是DHCP 服務(wù)器，為內(nèi)部用戶分配IP地址。內(nèi)部WEB服務(wù)器使用固定IP7：為了防止ARP攻擊，接入交換機(jī)SW2,SW3上需要做DHCP SNOOPING 和DAI1：R4是internet路由器，不能對(duì)其做任何路由配置，R4上啟用PPPOE撥號(hào)，外部辦公人員使用PC0撥號(hào)上網(wǎng)，然后撥號(hào)總部EZVPN server對(duì)內(nèi)部網(wǎng)絡(luò)做網(wǎng)管2：R1，R2，SW1,ASA之間運(yùn)行OSPF，ASA使用默認(rèn)路由指向internet，保證全網(wǎng)的連通性。3：ASA防火墻連接internet，在ASA上做NAT，使得內(nèi)部能夠訪問(wèn)internet，保證DMZ的HTTP server0 能夠正常對(duì)外提供訪問(wèn)，所以需要對(duì)它做靜態(tài)NAT，外部地址為004：R2和SW1上做單臂路由和HSRP 的負(fù)載均衡，vlan 2 的流量走R2，網(wǎng)關(guān)為00；vlan 3 的流量走SW1，網(wǎng)關(guān)為00.并且開(kāi)啟鏈路追蹤5：SW2 和SW3 之間的鏈路做冗余備份并且保證負(fù)載均衡6：R1 是DHCP 服務(wù)器，為內(nèi)部用戶分配IP地址。內(nèi)部WEB服務(wù)器使用固定IP7：為了防止ARP攻擊，接入交換機(jī)SW2,SW3上需要做DHCP SNOOPING 和DAI8：R1作為EZVPN server，方便外部移動(dòng)辦公人員撥號(hào)EZVPN 對(duì)內(nèi)部做網(wǎng)管，EZVPN 的地址池為-009：.考慮到內(nèi)部服務(wù)器作為公司的私有WEB服務(wù)器，主要是用于對(duì)內(nèi)提供服務(wù)，對(duì)于internet的訪問(wèn)需要通過(guò)認(rèn)證以后才能提供正常訪問(wèn)。10：為了防止DDOS攻擊,限定外部用戶對(duì)于內(nèi)部的HTTP服務(wù)器的訪問(wèn)最大連接數(shù)不能超過(guò)1000，最大半打開(kāi)連接數(shù)不能超過(guò)500，對(duì)于HTTP1服務(wù)器的最大半打開(kāi)不能超過(guò)100個(gè).當(dāng)外部用戶到達(dá)內(nèi)部的連接時(shí)間超過(guò)10分鐘的時(shí)候防火墻自動(dòng)清除連接，并且在最短時(shí)間內(nèi)，盡快清除死亡連接。11：對(duì)于內(nèi)部用戶到taobao網(wǎng)的訪問(wèn)，必須嚴(yán)厲禁止。12：公司分部可能需要對(duì)內(nèi)部的WEB服務(wù)器進(jìn)行訪問(wèn)，所以R1和R3之間建立L2L 的IPSec vpn，允許分部訪問(wèn)內(nèi)部的WEB服務(wù)器8：R1作為EZVPN server，方便外部移動(dòng)辦公人員撥號(hào)EZVPN 對(duì)內(nèi)部做網(wǎng)管，EZVPN 的地址池為-009：.考慮到內(nèi)部服務(wù)器作為公司的私有WEB服務(wù)器，主要是用于對(duì)內(nèi)提供服務(wù)，對(duì)于internet的訪問(wèn)需要通過(guò)認(rèn)證以后才能提供正常訪問(wèn)。10：為了防止DDOS攻擊,限定外部用戶對(duì)于內(nèi)部的HTTP服務(wù)器的訪問(wèn)最大連接數(shù)不能超過(guò)1000，最大半打開(kāi)連接數(shù)不能超過(guò)500，對(duì)于HTTP1服務(wù)器的最大半打開(kāi)不能超過(guò)100個(gè).當(dāng)外部用戶到達(dá)內(nèi)部的連接時(shí)間超過(guò)10分鐘的時(shí)候防火墻自動(dòng)清除連接，并且在最短時(shí)間內(nèi)，盡快清除死亡連接。11：對(duì)于內(nèi)部用戶到taobao網(wǎng)的訪問(wèn)，必須嚴(yán)厲禁止。12：公司分部可能需要對(duì)內(nèi)部的WEB服務(wù)器進(jìn)行訪問(wèn)，所以R1和R3之間建立L2L 的IPSec vpn，允許分部訪問(wèn)內(nèi)部的WEB服務(wù)器通過(guò)以上網(wǎng)絡(luò)架構(gòu)，我們可以進(jìn)行以下校園網(wǎng)劃分：4配置：1：IP配置R1(config)#int e0/0R1(config-if)#ip add R1(config-if)#no shuR1(config-if)#exitR1(config)#int e0/1R1(config-if)#ip add R1(config-if)#no shR1(config-if)#exitR1(config)#int e0/2R1(config-if)#ip add R1(config-if)#no shR1(config-if)#exitR2(config)#int e0/0R2(config-if)#ip add R2(config-if)#no shutdown R2(config-if)#exitR2(config)#int e0/1R2(config-if)#no shutdown R2(config-if)#exitR2(config)#int e0/1.2R2(config-subif)#encapsulation dot 2R2(config-subif)#ip add 00 R2(config-subif)#no shR2(config-subif)#exitR2(config)#int e0/1.3R2(config-subif)#en dot 3R2(config-subif)#ip add 00 R2(config-subif)#no shuR2(config-subif)#exitSW1(config)#int f0/1SW1(config-if)#no switchport SW1(config-if)#ip add SW1(config-if)#no shSW1(config-if)#exitSW1(config)#int f0/2 SW1(config-if)#sw tr en dotSW1(config-if)#sw mo trSW1(config-if)#no shSW1(config-if)#exitSW1(config)#int vlan 2SW1(config-if)#ip add 00 SW1(config-if)#exitSW1(config)#int vlan 3SW1(config-if)#ip add 00 SW1(config-if)#exit R4(config)#int e0/0R4(config-if)#ip add R4(config-if)#no shuR4(config-if)#exitR4(config)#int e0/1R4(config-if)#ip add R4(config-if)#no shuR4(config-if)#exitR4(config)#int e0/2R4(config-if)#ip add R4(config-if)#no shuR4(config-if)#exitciscoasa(config)# int g0ciscoasa(config-if)# nameif insideINFO: Security level for inside set to 100 by default.ciscoasa(config-if)# ip add 00 ciscoasa(config-if)# no shuciscoasa(config-if)# exitciscoasa(config)# int g1ciscoasa(config-if)# nameif outsideINFO: Security level for outside set to 0 by default.ciscoasa(config-if)# ip add 00 ciscoasa(config-if)# no shuciscoasa(config-if)# exitciscoasa(config)# int g2ciscoasa(config-if)# nameif dmzINFO: Security level for dmz set to 0 by default.ciscoasa(config-if)# security-level 50ciscoasa(config-if)# ip add 00 ciscoasa(config-if)# no shuciscoasa(config-if)# exit2：配置OSPF R1(config)#router ospf 1R1(config-router)#net 55 area 0R1(config-router)#net 55 area 0R1(config-router)#net 55 area 0R1(config-router)#exitR2(config)#router ospf 1R2(config-router)#net 55 area 0R2(config-router)#net 55 area 0R2(config-router)#net 55 area 0R2(config-router)#exitSW1(config)#ip routing SW1(config)#router ospf 1SW1(config-router)#net 55 area 0SW1(config-router)#net 55 area 0SW1(config-router)#net 55 area 0SW1(config-router)#exitciscoasa(config)# router ospf 1ciscoasa(config-router)# net area 0ciscoasa(config-router)# default-information originate alwaysciscoasa(config-router)# exit配置完成以后在R1上查看鄰居關(guān)系R1#sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface00 1 FULL/BDR 00:00:39 00 Ethernet0/2 1 FULL/BDR 00:00:37 Ethernet0/1 1 FULL/BDR 00:00:33 Ethernet0/0OSPF 鄰居已經(jīng)全部建立在ASA上添加默認(rèn)路由ciscoasa(config)# route outside 0 0 3：在ASA上做NAT，讓內(nèi)網(wǎng)可以訪問(wèn)internet，并且使內(nèi)部服務(wù)器正常對(duì)外提供訪問(wèn)ciscoasa(config)# object network inside_userciscoasa(config-network-object)# range 55ciscoasa(config-network-object)# nat (inside,outside) dynamic interface ciscoasa(config-network-object)# exit在ASA上放行ICMP 流量方便測(cè)試ciscoasa(config)# access-list outacl permit icmp any anyciscoasa(config)# access-group outacl in interface outside在R2上測(cè)試連通性R2#ping source 00Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:Packet sent with a source address of 00 !Success rate is 100 percent (5/5), round-trip min/avg/max = 12/53/76 ms內(nèi)部已經(jīng)能夠正常訪問(wèn)internet下面為內(nèi)部HTTP做靜態(tài)NATciscoasa(config)# object network global_httpciscoasa(config-network-object)# host 00ciscoasa(config-network-object)# exitciscoasa(config)# object network httpciscoasa(config-network-object)# host 0ciscoasa(config-network-object)# nat (dmz,outside) static global_httpciscoasa(config-network-object)# exit做好以后在HTTP上測(cè)試連通性4：在R1上配置DHCP server，R2和SW1啟用DHCP relay，保證內(nèi)部PC可以獲得IP地址R1(config)#service dhcpR1(config)#ip dhcp pool vlan2R1(dhcp-config)#network R1(dhcp-config)#default-router 00R1(dhcp-config)#exitR1(config)#ip dhcp pool vlan3R1(dhcp-config)#network R1(dhcp-config)#default-router 00R1(dhcp-config)#exitR2(config)#int e0/1.2R2(config-subif)#ip helper-address R2(config-subif)#exitR2(config)#int e0/1.3 R2(config-subif)#ip helper-address R2(config-subif)#exitSW1(config)#int vlan 2SW1(config-if)#ip helper-address SW1(config-if)#exitSW1(config)#int vlan 3 SW1(config-if)#ip helper-address SW1(config-if)#exit內(nèi)部服務(wù)器使用固定的IP地址WEB_SERVER(config)#int e0/0WEB_SERVER(config-if)#ip add WEB_SERVER(config-if)#no shuWEB_SERVER(config-if)#exitWEB_SERVER(config)#no ip routingWEB_SERVER(config)#ip deWEB_SERVER(config)#ip default-gWEB_SERVER(config)#ip default-gateway 00PC(config)#int e0/0PC(config-if)#ip add dhcp PC(config-if)#no shutdown PC(config-if)#exitPC(config)#no ip routingPC#sh ip itn b*Mar 1 00:38:36.331: %SYS-5-CONFIG_I: Configured from console by consolePC#sh ip int b Interface IP-Address OK? Method Status ProtocolEthernet0/0 YES DHCP up up PC已經(jīng)通過(guò)DHCP獲得地址5：HSRP負(fù)載均衡R2(config)#int e0/1.2 R2(config-subif)#standby 1 preempt R2(config-subif)#standby 1 ip 00R2(config-subif)#standby 1 priority 200R2(config-subif)#standby 1 track e0/0 120R2(config-subif)#exitR2(config)#int e0/1.3R2(config-subif)#standby 2 preemptR2(config-subif)#standby 2 ip 00SW1(config)#int vlan 2SW1(config-if)#standby 1 preempt SW1(config-if)#standby 1 ip 00SW1(config-if)#exitSW1(config)#int vlan 3SW1(config-if)#standby 2 preempt SW1(config-if)#standby 2 ip 00 SW1(config-if)#standby 2 priority 200SW1(config-if)#standby 2 track f0/1 120SW1(config-if)#exit配置完成后檢查狀態(tài)是否正常R2#sh standby brief P indicates configured to preempt. |Interface Grp Prio P State Active Standby Virtual IP Et0/1.2 1 200 P Active local 3 00 Et0/1.3 2 100 P Standby 3 local 00 SW1#sh standby brief P indicates configured to preempt. |Interface Grp Prio P State Active Standby Virtual IP Vl2 1 100 P Standby 2 local 00 Vl3 2 200 P Active local 2 00 6：SW2 和SW3 之間的鏈路做冗余備份并且保證負(fù)載均衡SW2(config)#spanning-tree vlan 2 root primary SW2(config)#spanning-tree vlan 3 root secondary SW3(config)#spanning-tree vlan 2 root secondary SW3(config)#spanning-tree vlan 3 root primary7：SW2,SW3上做DHCP SNOOPING 和DAISW2Ip dhcp snoopingIp dhcp snooping database werite-relay 15Ip dhcp snooping database flash:/snoop1.dbIp dhcp snooping vlan 2Ip dhcp snooping vlan 3Int r f0/1 -4Ip dhcp snooping trust 所有trunk配置為trust，允許轉(zhuǎn)發(fā)DHCP 的請(qǐng)求和回復(fù)Int r f0/12 -13Ip dhcp snooping limit rate 5 對(duì)access接口做DHCP 請(qǐng)求的限速，防止DHCP 的DDOS攻擊由于內(nèi)部WEB服務(wù)器使用的是靜態(tài)IP，所以需要ARP ACL來(lái)放行服務(wù)器的流量Arp access-list arp_acl permit ip mac 0002.0002.0002Ip arp inspection filter arp_acl vlan 2Ip arp inspection vlan 2Ip arp inspection vlan 3Int r f0/1 - 4Ip arp inspection trust 所有trunk配置為trustSW3Ip dhcp snoopingIp dhcp snooping database werite-relay 15Ip dhcp snooping database flash:/snoop1.dbIp dhcp snooping vlan 2Ip dhcp snooping vlan 3Int r f0/3 -4Ip dhcp snooping trust 所有trunk配置為trust，允許轉(zhuǎn)發(fā)DHCP 的請(qǐng)求和回復(fù)Int r f0/12 -13Ip dhcp snooping limit rate 5 Ip arp inspection vlan 2Ip arp inspection vlan 3Int r f0/1 - 4Ip arp inspection trust 8: R4 配置為PPPOE的server，外部移動(dòng)辦公人員使用PPPOE撥號(hào)上網(wǎng)R4(config)#vpdn enable R4(config)#vpdn-group ADSLR4(config-vpdn)#accept-dialin R4(config-vpdn-acc-in)#protocol pppoe R4(config-vpdn-acc-in)#exiR4(config-vpdn)#bba-group pppoe globalR4(config-bba-group)#virtual-template 1R4(config-bba-group)#exitR4(config)#int virtual-template 1R4(config-if)# ip unnumbered e0/3R4(config-if)#encapsulation pppR4(config-if)#ppp authentication pap R4(config-if)#peer default ip address pool poolR4(config-if)#exitR4(config)#ip local pool pool 00R4(config)#username cisco password ciscoR4(config)#int e0/3R4(config-if)#pppoe enable R4(config-if)#exit配置完成以后在PC上測(cè)試是否能夠正常撥號(hào)PPPOE添加新的網(wǎng)絡(luò)連接點(diǎn)擊連接已經(jīng)成功撥號(hào)了。9：R1配置為EZVPN serverR1(config)#aaa new-model R1(config)#aaa authentication login nocon none R1(config)#line console 0R1(config-line)#login authentication noconR1(config-line)#exitR1(config)#aaa authentication login ezvon localR1(config)#aaa authorization network ezvpn local R1(config)#username cisco password ciscoR1(config)#crypto isakmp policy 10R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encryption 3des R1(config-isakmp)#hash sha R1(config-isakmp)#group 2R1(config-isakmp)#exitR1(config)#crypto isakmp client configuration group ezvpngroupR1(config-isakmp-group)#acl 101 定義分離隧道R1(config-isakmp-group)#key cisco123R1(config-isakmp-group)#pool poolR1(config-isakmp-group)#exitR1(config)#access-list 101 permit ip 55 anyR1(config)#access-list 101 permit ip 55 any 到總部?jī)?nèi)網(wǎng)的流量走VPN，其他流量正常走internetR1(config)#ip local pool pool 00R1(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac R1(cfg-crypto-trans)#exitR1(config)#crypto dynamic-map dmap 10R1(config-crypto-map)#set transform-set mysetR1(config-crypto-map)#reverse-route 開(kāi)啟反向路由注入R1(config-crypto-map)#exitR1(config)#crypto map map isakmp authorization list ezvpnR1(config)#crypto map map client configuration address respond R1(config)#crypto map map client authentication list ezvpn R1(config)#int e0/3R1(config-if)#cryR1(config-if)#crypto map map R1(config-if)#exit現(xiàn)在EZVPN已經(jīng)配置完成了，但是外部想要撥號(hào)進(jìn)來(lái)的話需要在防火墻上放行UDP 500 和UDP 4500，而且還需要在ASA上對(duì)R1 的e0/3地址做靜態(tài)NATciscoasa(config)# object network global_ezvpnciscoasa(config-network-object)# host 01ciscoasa(config-network-object)# exitciscoasa(config)# object network ezvpnciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (inside,outside) static global_ezvpnciscoasa(config-network-object)# exitciscoasa(config)# access-list outacl permit udp any host eq 500ciscoasa(config)# access-list outacl permit udp any host eq 4500在PC上裝好EZVPN 的client后撥號(hào)這里提示輸入用戶名和密碼說(shuō)明已經(jīng)沒(méi)有問(wèn)題了已經(jīng)成功撥號(hào)ezvpn，并且分離隧道也已經(jīng)做好了，可以在PC上測(cè)試可以正常訪問(wèn)internet公司內(nèi)網(wǎng)服務(wù)器也可以訪問(wèn)了10：對(duì)訪問(wèn)公司內(nèi)網(wǎng)的WEB 服務(wù)器的流量，ASA需要對(duì)其做截取認(rèn)證在ASA上做靜態(tài)NAT映射 到02ciscoasa(config)# object network global_webciscoasa(config-network-object)# host 02ciscoasa(config-network-object)# exitciscoasa(config)# object network webciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (inside,Outside) static global_webciscoasa(config-network-object)# exitciscoasa(config)# access-list auth permit tcp any host eq 80ciscoasa(config)# aaa authentication match auth outside LOCALciscoasa(config)# username cisco password cisco 對(duì)訪問(wèn)的HTTP流量做認(rèn)證，認(rèn)證采用本地?cái)?shù)據(jù)庫(kù)做完以后還要在ASA上放行訪問(wèn)內(nèi)部WEB的流量ciscoasa(config)# access-list outacl permit tcp any host eq 8011：在ASA配置策略防止DDOS攻擊ciscoasa(config)# class-map httpciscoasa(config-cmap)# match port tcp eq 80ciscoasa(config-cmap)# exitciscoasa(config)# policy-map global_policyciscoasa(config-pmap)# class httpciscoasa(config-pmap-c)# set connection conn-max 1000ciscoasa(config-pmap-c)# set connection embryonic-conn-max 500ciscoasa(config-pmap-c)# exitciscoasa(config-pmap)# exitciscoasa(config)# class-map webciscoasa(config-cmap)# match access-list authciscoasa(config-cmap)# exitciscoasa(config)# policy-map global_policyciscoasa(config-pmap)# class webciscoasa(config-pmap-c)# set connection embryonic-conn-max 100ciscoasa(config-pmap-c)# exitciscoasa(config-pmap)# exitciscoasa(config)# class-map anyciscoasa(config-cmap)# matciscoasa(config-cmap)# match anyciscoasa(config-cmap)# exitciscoasa(config)# policy-map global_policyciscoasa(config-pmap)# class anyciscoasa(config-pmap-c)# set connection timeout idle 0:10:00 ciscoasa(config-pmap-c)# set connection timeout dcd 0:05:00 312：禁止內(nèi)部用戶訪問(wèn)在ASA上采用干掉DNS請(qǐng)求中有taobao關(guān)鍵字的流量ciscoasa(config)# regex taobao taobaociscoasa(config)# class-map type inspect dns L7-dns-classciscoasa(config-cmap)# match domain-name regex taobao ciscoasa(config-cmap)# exitciscoasa(config)# policy-map type inspect dns L7-dns-policyciscoasa(config-pmap)# class L7-dns-classciscoasa(config-pmap-c)# drop logciscoasa(config-pmap-c)# exitciscoasa(config-pmap)# exitciscoasa(config)# policy-map global_policyciscoasa(config-pmap)# class inspection_defaultciscoasa(config-pmap-c)# no inspect dnsciscoasa(config-pmap-c)# inspect dns L7-dns-policyciscoasa(config-pmap-c)# exitciscoasa(config-pmap)# exit內(nèi)部PC打開(kāi)DNS服務(wù)，把DNS服務(wù)器指到PC(config)#ip domain-lookup PC(config)#ip name-server 在ASA上開(kāi)啟日志ciscoasa(config)# logging onciscoasa(config)# logging console 7在PC上輸入PC#Translating .domain server ()在ASA上看到一下輸出信息ciscoasa(config)# %ASA-7-710005: UDP request discarded from 54/59030 to inside:52/5355%ASA-7-710005: UDP request discarded from 54/59030 to inside:52/5355%ASA-7-710005: UDP request discarded from /59030 to outside:52/5355%ASA-7-609001: Built local-host inside:%ASA-7-609001: Built local-host outside:%ASA-6-305011: Built dynam