畢業(yè)論文-校園網(wǎng)絡(luò)網(wǎng)管中心

計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)論文（設(shè)計(jì)）題目校園網(wǎng)絡(luò)網(wǎng)管中心班級13級網(wǎng)絡(luò)工程（1班）作者學(xué)號培養(yǎng)單位四川工程職業(yè)技術(shù)學(xué)院指導(dǎo)教師日期 校園網(wǎng)絡(luò)網(wǎng)管中心【摘要】隨著Internet的迅猛發(fā)展，人們對于網(wǎng)絡(luò)信息時代的需求越來越迫切，網(wǎng)絡(luò)的應(yīng)用越來越廣泛。作為高等人才的培訓(xùn)場所，校園網(wǎng)建設(shè)的需求也越來越大，教師、學(xué)生、管理人員等對一個先進(jìn)的網(wǎng)絡(luò)環(huán)境的要求也十分迫切。因此，建設(shè)校園網(wǎng)具有非常大的理論意義和實(shí)踐意義。本設(shè)計(jì)實(shí)在局域網(wǎng)技術(shù)和目前網(wǎng)絡(luò)發(fā)展技術(shù)的基礎(chǔ)上，分析了校園網(wǎng)的各種功能需求和建設(shè)原則，并且闡述了網(wǎng)絡(luò)結(jié)構(gòu)技術(shù)和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)。在網(wǎng)絡(luò)設(shè)計(jì)中，實(shí)現(xiàn)各個網(wǎng)絡(luò)對應(yīng)各種的功能，實(shí)現(xiàn)校園的一體化、資源化、共享化等，從而保證校園網(wǎng)絡(luò)能適應(yīng)未來網(wǎng)絡(luò)的快速發(fā)展?！娟P(guān)鍵詞】：網(wǎng)絡(luò)安全系統(tǒng)技術(shù)配置Thedesignandconfigurationofcampusnetworksafety[Abstract]WiththerapiddevelopmentofInternet,thedemandfornetworkinformationageismoreandmoreurgent,theapplicationofnetworkismoreandmorewidely.Asthehighertalentstrainingvenues,theconstructionofcampusnetworkisalsogrowingdemand,Teachers,students,managersandotherrequirementsforanadvancednetworkenvironmentisalsoveryurgent.Therefore,ithasverylargetheoreticalandpracticalsignificanceoftheconstructionofcampusnetwork.ThebasisforthisdesignisLANtechnologyandthecurrentnetworktechnologydevelopment,analysisofthevariousfunctionalrequirementsandprincipleofconstructionofcampusnetwork,anddescribesthestructureofthenetworktechnologyandnetworktopologydesign.Inthenetworkdesign,therealizationofeverynetworkcorrespondingtovariousfunctions,integration,resourcesharing,etc.soastoensuretherealizationofthecampus,thecampusnetworkcanadapttotherapiddevelopmentofthenetworkofthefuture.[Keyword]:NetworkSafetySystemTechnologyconfigureTOC\o"1-3"\h\u前言 前言科學(xué)技術(shù)的發(fā)展日新月異，九十年代，在計(jì)算機(jī)技術(shù)和通信技術(shù)結(jié)合下，網(wǎng)絡(luò)技術(shù)得到了飛速的發(fā)展。如今，不僅計(jì)算機(jī)已經(jīng)和網(wǎng)絡(luò)緊密結(jié)合，整個社會都不可能脫離網(wǎng)絡(luò)而存在。網(wǎng)絡(luò)技術(shù)已經(jīng)成為現(xiàn)代信息技術(shù)的主流，人們對網(wǎng)絡(luò)的認(rèn)識也隨著網(wǎng)絡(luò)應(yīng)用的逐漸普及而迅速改變。在不久的將來，網(wǎng)絡(luò)必將成為和電話一樣通用的工具，成為人們生活、工作、學(xué)習(xí)中必不可少的分。

Internet，即國際互聯(lián)網(wǎng)，是現(xiàn)在網(wǎng)絡(luò)應(yīng)用的主流，從它最初在美國誕生至今已經(jīng)經(jīng)歷了三十多年。這個以TCP/IP協(xié)議為主體的國際互聯(lián)網(wǎng)絡(luò)已經(jīng)成為覆蓋全世界一百五十多個國家和地區(qū)的大型數(shù)據(jù)通信網(wǎng)絡(luò)。最初的Internet是由科研網(wǎng)絡(luò)形成的，主要是由一些大學(xué)和研究所等科研教育單位連接而成，逐漸發(fā)展到今天的規(guī)模。而進(jìn)入九十年代后，由于各種商業(yè)信息進(jìn)入了Internet，使得Internet得到了極大地發(fā)展，其擁有的主機(jī)數(shù)，連接的網(wǎng)絡(luò)數(shù)以及覆蓋面一直呈指數(shù)形式上升?，F(xiàn)在在Internet上可以提供或者獲得各種各樣的服務(wù)，比如通過電子郵件進(jìn)行合同的起草和簽訂，或Intern物。

Internet是一個資源的網(wǎng)絡(luò)，其中擁有的信息資源幾乎覆蓋所有的領(lǐng)域。Internet面向人類的社會，世界上數(shù)以億計(jì)的人們利用它進(jìn)行通信和信息共享，通過發(fā)送和接收電子郵件，或組并免費(fèi)使用各種信息資源實(shí)現(xiàn)信息共享。

Internet也是一個服務(wù)的網(wǎng)絡(luò)。在Internet上，許多單位、公司和組織提供了各種各樣的服務(wù)。比如WWW（World

Wide

Web全球信息網(wǎng)）服務(wù)、信息查詢服務(wù)等，向網(wǎng)絡(luò)上的其他用戶展示自己各方面的情況找到需要的信息。

第1章需求分析1.1網(wǎng)絡(luò)應(yīng)用需求這方面的需求不同學(xué)校有著明顯不同，大體都可以分為，教學(xué)、辦公、服務(wù)這四方面應(yīng)用。如對教學(xué)、科研方面的網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮穩(wěn)定、擴(kuò)展、安全等問題；辦公、服務(wù)等帶寬是要著重考慮的方面，所以學(xué)校應(yīng)該根據(jù)自己的實(shí)際情況來考慮網(wǎng)絡(luò)的結(jié)構(gòu)，及安全問題。校園網(wǎng)絡(luò)應(yīng)用方面包括一下幾個方面：校園辦公管理；校園教務(wù)管理；校園教學(xué)管理；校園宿舍管理；1.2校園網(wǎng)絡(luò)性能需求由于計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)技術(shù)發(fā)展迅速，加之學(xué)校的辦學(xué)資金比較緊張，計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)不可能一步到位，否則不利于校園網(wǎng)的發(fā)展，也將限制學(xué)校的發(fā)展，根據(jù)學(xué)校的要求確定了計(jì)算機(jī)網(wǎng)絡(luò)規(guī)劃的原則：依據(jù)需求、總體規(guī)劃、適當(dāng)超前、分步實(shí)施、技術(shù)成熟、安全可靠。性能需求：有服務(wù)效率、服務(wù)質(zhì)量、網(wǎng)絡(luò)吞吐率、網(wǎng)絡(luò)響應(yīng)時間、數(shù)據(jù)傳輸速度、資源利用率、可靠性、性能/價格比等；第2章網(wǎng)絡(luò)總體設(shè)計(jì)2.1網(wǎng)絡(luò)架構(gòu)分析現(xiàn)代網(wǎng)絡(luò)結(jié)構(gòu)化布線工程中多采用星型結(jié)構(gòu)，主要用于同一層，它具有施工簡單，擴(kuò)展性高，成本低和可管理性好等優(yōu)點(diǎn)；而校園網(wǎng)在分層布線主要采用樹型結(jié)構(gòu)；每個區(qū)域的交換機(jī)或者路由器連接到本層的交換機(jī)，由此構(gòu)成了校園網(wǎng)的拓補(bǔ)結(jié)構(gòu)因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計(jì)上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性，我們選擇熱路由備份可以有效地提高核心交換的可靠性。2.2設(shè)計(jì)思路進(jìn)行校園網(wǎng)總體設(shè)計(jì)，首先要進(jìn)行對象研究和需求調(diào)查，明確學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)及系統(tǒng)建設(shè)的需求和條件，對學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定學(xué)校Intranet服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和管理等方面的目標(biāo)；第三是確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和功能，根據(jù)應(yīng)用需求建設(shè)目標(biāo)和學(xué)校主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)；第四，確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；第五，規(guī)劃校園網(wǎng)建設(shè)的實(shí)施步驟。

校園網(wǎng)總體設(shè)計(jì)方案的科學(xué)性，應(yīng)該體現(xiàn)在能否滿足以下基本要求方面：

（1）整體規(guī)劃安排；

（2）先進(jìn)性、開放性和標(biāo)準(zhǔn)化相結(jié)合；

（3）結(jié)構(gòu)合理，便于維護(hù)；

（4）高效實(shí)用；

（5）支持寬帶多媒體業(yè)務(wù)；

（6）能夠?qū)崿F(xiàn)快速信息交流、協(xié)同工作和形象展示。2.3校園網(wǎng)出口解決目前，高校校園網(wǎng)IP資源及注冊域名基本來源于中國教育科研計(jì)算機(jī)網(wǎng)——CERNET，但資費(fèi)比較高，除了重點(diǎn)高校，帶寬也受到了很大限制。而隨著用戶數(shù)量的不斷增加，多數(shù)高校原有CERNET接入帶寬已不能滿足需求，擴(kuò)大校園網(wǎng)出口帶寬迫在眉睫，但擴(kuò)大出口帶寬帶來的一個直接問題便是網(wǎng)絡(luò)信息費(fèi)的急劇增大，與CERNET相比，通過本地ISP接入CHINANET，在相同接入帶寬的情況下費(fèi)用較低。所以，采用雙出口方案是高校校園網(wǎng)發(fā)展的一個新趨勢，它綜合運(yùn)用了靜態(tài)、網(wǎng)絡(luò)地址轉(zhuǎn)換和策略路由等技術(shù)，充分整合了CERNET及本地ISP的優(yōu)勢資源，是一種行之有效的校園網(wǎng)出口瓶頸解決方案。2.4網(wǎng)絡(luò)三層設(shè)計(jì)校園網(wǎng)網(wǎng)絡(luò)整體分為三個層次：核心層、匯聚層、接入層。為實(shí)現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層由2個核心節(jié)點(diǎn)組成，包括教學(xué)區(qū)區(qū)域、服務(wù)器群；匯聚層每片區(qū)域設(shè)置一個匯聚節(jié)點(diǎn)，匯聚層為高性能“中核心”型交換機(jī)，為了保證數(shù)據(jù)傳輸和交換的效率，同時提高了網(wǎng)絡(luò)的安全性；接入層為每個區(qū)域的接入交換機(jī)，是直接與用戶相連的設(shè)備。本實(shí)施方案從網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性、安全性及易于維護(hù)性出發(fā)進(jìn)行設(shè)計(jì)，以滿足客戶需求。設(shè)備及線纜選型：序號

N.O.名稱

Equipment型號

Model生產(chǎn)商

Brand單位

Unit數(shù)量

Quantity單價

Price金額

Total1核心交換機(jī)cisco3560思科臺27,500.0015,000.002路由器cisco2901思科臺310,000.0030,000.003交換機(jī)cisco2960思科臺13,500.003,500.004思福迪思科臺1150,000.00150,000.005機(jī)柜圖騰（TOTEN）K3.6622圖騰個13,000.003,000.006水晶頭安普（AMP）554720-3安普個1001.00100.007雙絞線安普（AMP）219420-2安普箱1600.00600.008插板公牛（BULL)GN-109K公牛個560.00300.009光纖模塊思科XENPAK-10GB-ER思科個23,700.007,400.0010防火墻思科（CISCO）ASA5505-K8思科臺13,000.003,000.0011筆記本聯(lián)想Z400聯(lián)想臺44,000.0016,000.0012路由器Cisco2801聯(lián)想臺15,000.005,000.002.5安全性與保密性原則信息系統(tǒng)安全問題是信息中心的任務(wù)，保證網(wǎng)絡(luò)的通暢。確保經(jīng)過該網(wǎng)絡(luò)安全地獲取信息，并保證該信息的完整和可靠。保證系統(tǒng)可靠運(yùn)行，在網(wǎng)絡(luò)設(shè)計(jì)時，將從內(nèi)部訪問控制和外部防火墻兩方面保證我院校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的安全。2.6穩(wěn)定性和可靠性可靠性對于一個網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是至關(guān)重要的，在局域網(wǎng)中經(jīng)常發(fā)生節(jié)點(diǎn)故障或傳輸介質(zhì)故障，一個可靠性高的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)除了可以使這些故障對整個網(wǎng)絡(luò)的影響盡可能小以外，同時還應(yīng)具有良好的故障診斷和故障隔離功能。2.7核心路由器選型通常將網(wǎng)絡(luò)主干部分稱為核心層采用4臺路由器，其中兩臺模擬外網(wǎng)，核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機(jī)應(yīng)擁有更高的可靠性，性能和吞吐量。思科（Cisco）CISCO2901/K9路由器圖片及參數(shù)如下：2.8核心交換機(jī)選型通常將網(wǎng)絡(luò)主干部分稱為核心層，核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供油畫，可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機(jī)應(yīng)擁有更高的可靠性，性能和吞吐量。

核心層交換機(jī)選擇ciscoS2960交換機(jī)，配置兩臺交換機(jī)選擇思科（Cisco）WS-C2960-24LC-S，外觀如下圖：2.9防火墻選型校園網(wǎng)絡(luò)選用的防火墻是ciscoASA5505第3章網(wǎng)絡(luò)拓?fù)鋱D3.1校園網(wǎng)絡(luò)拓?fù)鋱D3.2Internet接入方式幀中繼方式入網(wǎng)幀中繼是在OSI第二層上用簡化的方法傳送和交換數(shù)據(jù)單元的一種技術(shù)。通過幀中繼入網(wǎng)需申請幀中繼電路，配備支持TCP/IP協(xié)議的路由器，用戶必須有LAN（局域網(wǎng)）或IP主機(jī)，同時需申請IP地址和域名。入網(wǎng)后用戶網(wǎng)上的所有工作站均可享受Internet的所有服務(wù)。

幀中繼上網(wǎng)特點(diǎn)：通信效率高，租費(fèi)低，適用于LAN之間的遠(yuǎn)程互聯(lián)，傳輸速率在9600bps~2048kbps之間。

3.3VLAN的劃分及IP地址的分配VLAN技術(shù)在在網(wǎng)絡(luò)領(lǐng)域等到了廣泛應(yīng)用，

尤其在網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全上方面起到了不可忽視的作用。采用VLAN技術(shù)對整個網(wǎng)絡(luò)進(jìn)行集中管理，能夠更容易地實(shí)現(xiàn)網(wǎng)絡(luò)的管理性。例如，在添加、刪除和移動網(wǎng)絡(luò)用戶時，不用重新布線，也不用直接對成員進(jìn)行配置。

VLAN提供的安全機(jī)制，可以限制用戶對安全設(shè)備的訪問，例如，限制普通用戶對計(jì)費(fèi)服務(wù)器，安全交換機(jī)等的訪問。Vlan控制廣播組的大小和位置，甚至鎖定網(wǎng)絡(luò)成員的MAC地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對網(wǎng)絡(luò)的使用增強(qiáng)網(wǎng)絡(luò)管理。3.3.1VLAN號(ID)的分配規(guī)劃VLAN劃分原則：便于管理。

VLAN劃分理念：將幾個樓劃分在同一VLAN，便于操作管理。

VLAN詳細(xì)劃分：將VLAN10劃分到辦公區(qū)域；將VLAN20劃分到教學(xué)區(qū)域；將VLAN30劃分到宿舍區(qū)域；將VLAN40劃分到內(nèi)部防火墻；3.3.2具體VLAN詳細(xì)表：VLAN10連接到辦公區(qū)域VLAN20連接到教學(xué)區(qū)域VLAN30連接到宿舍區(qū)域VLAN40連接到內(nèi)部防火墻和服務(wù)器3.4IP地址分配表IP地址的統(tǒng)一、合理規(guī)劃以及整個網(wǎng)絡(luò)向IPv6的演進(jìn)是關(guān)系到整體分層網(wǎng)絡(luò)穩(wěn)定、快速收斂的關(guān)鍵，也是某職業(yè)技術(shù)學(xué)院校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)。IP地址規(guī)劃的好壞，不僅影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，更影響到網(wǎng)絡(luò)的性能和穩(wěn)定以及網(wǎng)絡(luò)的擴(kuò)展和管理，也必將直接影響到相關(guān)新業(yè)務(wù)的開拓和網(wǎng)絡(luò)應(yīng)用的進(jìn)一步可持續(xù)性發(fā)展。

劃分時注意使用VLAN，充分節(jié)約IP地址，使路由交換機(jī)上能夠采用聚合進(jìn)行路由的合并，減少路由表的大小。出口到互聯(lián)網(wǎng)可以采用NAT防火墻上做地址轉(zhuǎn)換實(shí)現(xiàn)。校區(qū)內(nèi)接入到同一匯聚層交換機(jī)的區(qū)域建議采用連續(xù)IP地址段，以便做路由匯聚。IP地址分配表：互聯(lián)網(wǎng)路由器1cisco2901s0/3/118連接InternetzhuR1s0/3/022連接到beifenR2互聯(lián)網(wǎng)路由器2cisco2901s0/3/05連接到zhuR1s0/3/13連接到beifenR2互聯(lián)網(wǎng)路由器beifenR2cisco2800s0/3/012連接到互聯(lián)網(wǎng)路由器1s0/3/14連接到互聯(lián)網(wǎng)路由器2fa0/0連接到S1fa0/連接到S2互聯(lián)網(wǎng)路由器zhuR1cisco2901s0/3/119連接到互聯(lián)網(wǎng)路由器1s0/3/06連接到互聯(lián)網(wǎng)路由器2fa0/0連接到S1fa0/連接到S2三層交換機(jī)S1cisco3560fa0/連接到zhuR1fa0/連接到beifenR2fa0/3VLAN10連接到辦公區(qū)域fa0/4VLAN20連接到教學(xué)區(qū)域fa0/5VLAN30連接到宿舍區(qū)域fa0/6VLAN40連接到內(nèi)部服務(wù)器三層交換機(jī)S2cisco3560fa0/連接到beifenR2fa0/連接到zhuR1fa0/3VLAN10連接到辦公區(qū)域fa0/4VLAN20連接到教學(xué)區(qū)域fa0/5VLAN30連接到宿舍區(qū)域fa0/6VLAN40連接到內(nèi)部服務(wù)器二層交換機(jī)cisco2960連接到S1和S2，防火墻防火墻cisco5505outside/e0/00連接到S1和S2inside/e0/154連接到管理PCdmz54連接到服務(wù)器群聯(lián)想計(jì)算機(jī)PCfa0/0連接到防火墻inside服務(wù)器群fa0/0連接到防火墻DMZ第4章網(wǎng)絡(luò)安全與管理4.1雙出口網(wǎng)絡(luò)由于中國教育科研網(wǎng)與一般的電信級運(yùn)營網(wǎng)絡(luò)不同，沒有非常充裕的線路、設(shè)備冗余，有可能發(fā)生單點(diǎn)故障，對于校園網(wǎng)的穩(wěn)定運(yùn)行有一定的影響。同時，通過CERNET訪問其他的共眾網(wǎng)如CHINANET、GBNET等速率緩慢。隨著校園網(wǎng)用戶量增加和基于校園網(wǎng)絡(luò)的各種網(wǎng)絡(luò)應(yīng)用的展開，要求校園網(wǎng)絡(luò)出口具有較高的網(wǎng)絡(luò)帶寬，原有單一的CERNET出口已不能滿足，有必要進(jìn)一步擴(kuò)大帶寬，通過當(dāng)?shù)鼐W(wǎng)絡(luò)服務(wù)提供商（ISP）開辟第二出口連入INTERNET是較好的解決途徑，許多學(xué)校采用了教育網(wǎng)和電信（或聯(lián)通、電信等）第二出口的雙出口方案，既可以保留教育網(wǎng)資源，同時可以增加帶寬，提高了訪問INTERNET資源的速度。4.2網(wǎng)絡(luò)安全校園網(wǎng)的安全威脅主要來源于兩大塊，一塊是來自于網(wǎng)內(nèi)，一塊來自于網(wǎng)外。來源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。根據(jù)統(tǒng)計(jì)，威脅校園網(wǎng)安全的攻擊行為大概有40％左右是來自于網(wǎng)絡(luò)內(nèi)部，如何防范來自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系需要重點(diǎn)關(guān)注的地方。4.2.1威脅網(wǎng)絡(luò)安全因素分析計(jì)算機(jī)網(wǎng)絡(luò)安全受到的威脅包括：

1.“黑客”的攻擊；

2.

計(jì)算機(jī)病毒；

3.

拒絕服務(wù)攻擊（Denial

of

Service

Attack）。

安全威脅的類型：

1、非授權(quán)訪問。指對網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享。

2、冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達(dá)到占用合法用戶資源的目的。

3、破壞數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。

4、干擾系統(tǒng)正常運(yùn)行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。指改變系統(tǒng)的正常運(yùn)行方法，減慢系統(tǒng)的響應(yīng)時間等手段。這會使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格響應(yīng)時間要求的服務(wù)不能及時得到響應(yīng)。

5、病毒與惡意攻擊。指通過網(wǎng)絡(luò)傳播病毒或惡意Java、active

X等，其破壞性非常高，而且用戶很難防范。

6、軟件的漏洞和“后門”。軟件不可能沒有安全漏洞和設(shè)計(jì)缺陷，這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒有什么安全可言。如Windows的安全漏洞便有很多。

7、電磁輻射。電磁輻射對網(wǎng)絡(luò)信息安全有兩方面影響。一方面，電磁輻射能夠破壞網(wǎng)絡(luò)中的數(shù)據(jù)和軟件，這種輻射的來源主要是網(wǎng)絡(luò)周圍電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源。另一方面，電磁泄漏可以導(dǎo)致信息泄露。4.2網(wǎng)絡(luò)安全策略4.2.1安全接入和配置安全接入和配置是指在物理(控制臺)或邏輯(telnet)端口接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備前必須通過認(rèn)證和授權(quán)限制，從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全性。限制遠(yuǎn)程訪問的安全設(shè)置方法如下表：訪問方式保證網(wǎng)絡(luò)設(shè)備安全的方法備注Console控制接口的訪問

設(shè)置密碼和超時限制建議超時限制設(shè)成5分鐘進(jìn)入特權(quán)exec和設(shè)備配置級別的命令行

配置Radius來記錄logon/logout時間和操作活動；配置至少一個本地賬戶作應(yīng)急之用

telnet訪問

采用ACL限制，指定從特定的IP地址來進(jìn)行telnet訪問；配置Radius安全紀(jì)錄方案；設(shè)置超時限制

SSH訪問

激活SSH訪問，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸SNMP訪問常規(guī)的SNMP訪問是用ACL限制從特定IP地址來進(jìn)行SNMP訪問；記錄非授權(quán)的SNMP訪問并禁止非授權(quán)的SNMP企圖和攻擊為增加安全,建議更改缺省的SNMP

Commutiy子串

4.2.2配置ACLS1：access-list101permitip55any在交換機(jī)上配置允許網(wǎng)段遠(yuǎn)程登錄到S1access-list101denytcp55anyeqtelnet在交換機(jī)上配置禁止網(wǎng)段遠(yuǎn)程登錄到S1access-list101denytcp55anyeqtelnet在交換機(jī)上配置禁止網(wǎng)段遠(yuǎn)程登錄到S1access-list101denytcp55anyeqtelnet在交換機(jī)上配置禁止網(wǎng)段遠(yuǎn)程登錄到S1access-list101permitipanyanyInterface0/3把協(xié)議應(yīng)用到0/3端口的in方向ipaccess-group101inInterface0/4把協(xié)議應(yīng)用到0/4端口的in方向ipaccess-group101inInterface0/5把協(xié)議應(yīng)用到0/5端口的in方向ipaccess-group101inInterface0/6把協(xié)議應(yīng)用到0/6端口的in方向ipaccess-group101inS2：access-list101permitip55any在交換機(jī)上配置允許網(wǎng)段遠(yuǎn)程登錄到S1access-list101denytcp55anyeqtelnet在交換機(jī)上配置禁止網(wǎng)段遠(yuǎn)程登錄到S1access-list101denytcp55anyeqtelnet在交換機(jī)上配置禁止網(wǎng)段遠(yuǎn)程登錄到S1access-list101denytcp55anyeqtelnet在交換機(jī)上配置禁止網(wǎng)段遠(yuǎn)程登錄到S1access-list101permitipanyanyInterface0/3把協(xié)議應(yīng)用到0/3端口的in方向ipaccess-group101inInterface0/4把協(xié)議應(yīng)用到0/4端口的in方向ipaccess-group101inInterface0/5把協(xié)議應(yīng)用到0/5端口的in方向ipaccess-group101inInterface0/6把協(xié)議應(yīng)用到0/6端口的in方向ipaccess-group101in4.2.3配置防火墻首先保護(hù)用戶網(wǎng)絡(luò)安全。作為狀態(tài)監(jiān)視器強(qiáng)化安全策略進(jìn)行包的過濾主要配置：interfaceVlan11nameifoutsidesecurity-level0ipaddress0!interfaceVlan22nameifinsidesecurity-level100ipaddress54!interfaceVlan33noforwardinterfaceVlan22nameifdmzsecurity-level50ipaddress54!ftpmodepassiveaccess-listin_to_outextendedpermitipanyaccess-listin_to_dmzextendedpermitipaccess-listacl_outextendedpermittcpanyanyeqwwwaccess-listacl_outextendedpermittcpanyanyeqhttpsaccess-listacl_outextendedpermiticmpanyanyaccess-list102extendedpermiticmpanyanyaccess-list102extendedpermitipanyanyaccess-listacl_dmzextendedpermiticmpanyanyglobal(outside)1-netmasknat(inside)1nat(inside)1access-groupacl_outininterfaceoutsideaccess-groupacl_dmzininterfacedmzrouteoutside1telnetinsidetelnettimeout5sshtimeout5consoletimeout0dhcpdaddress-2insidedhcpdenableinside第5章網(wǎng)絡(luò)主要配置5.1配置OSPF協(xié)議5.1.1交換機(jī)配置S1：routerospf1network55area0network55area0network55area0network55area0network55area0network55area0network55area0network55area0S2：routerospf1network55area0network55area0network55area0network55area0network55area0network55area0network55area05.1.2路由器配置ZhuR1:routerospf1network55area0network55area0iprouteSerial0/3/1配置默認(rèn)路由5.2灌注cisco路由器IOS方法：使用3CDaemon,設(shè)置tftp服務(wù)器為tftp服務(wù)器配置一個ip地址(運(yùn)行3D的PC地址)將ios放到一個根目錄下的某個文件夾(如:D:\2960)在3D中的tftp設(shè)置上傳/下載目錄,選擇存放ios的文件夾通過網(wǎng)線將Rack_03_Tserver與r2連接(傳輸速率更快)進(jìn)入r2,備份原有iosRouter#dirflash://查看目前IOS映象文件名Router#copyflashtftp//備份IOS文件Sourcefilename[]？原有ios文件名Addressornameofremotehost[]？tftp服務(wù)器地址升級新版iosRouter#copytftpflashAddressornameofremotehost[]？tftp服務(wù)器地址Sourcefilename[]？需升級的新IOS映象文件名Destinationfilename[新ios文件名]？Doyouwanttooverwrite？[confirm]保存配置wr重新啟動路由器選擇啟動的flashbootsystemflash:新的ios文件名刪除舊版本iosdelateflash:+舊版本ios文件名5.2.1修改路由器寄存器值方法：重啟路由器，在啟動過程中同時按住CTRL+PAUSEBREAK進(jìn)入>rommon模式配置：Confreg0X2102保存配置后重啟路由器。5.3配置基于策略的路由協(xié)議5.3.1使用策略路由在當(dāng)今的互聯(lián)網(wǎng)絡(luò)中組織需要按照自己定義的策略以超越傳統(tǒng)路由選擇的方式自由地實(shí)現(xiàn)報(bào)文轉(zhuǎn)發(fā)和路徑選擇。通過使用基于策略的路由選擇能夠根據(jù)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口和協(xié)議類型讓報(bào)文選擇不同的路徑。策略路由還提供了一種用不同服務(wù)類型ToSTypeofService標(biāo)記報(bào)文的機(jī)制可以將這項(xiàng)功能與QoSQualityofService服務(wù)質(zhì)量機(jī)制一起使用使特定類型的數(shù)據(jù)流優(yōu)先得到服務(wù)。策略路由提供了一種功能強(qiáng)大、簡單而靈活的工具來實(shí)現(xiàn)其解決方案在網(wǎng)絡(luò)中使用策略路由有以下優(yōu)點(diǎn)。靈活地操縱報(bào)文ISP和其他組織可使用策略路由將不同用戶產(chǎn)生的數(shù)據(jù)流通過不同的路徑傳輸。服務(wù)質(zhì)量組織可以在網(wǎng)絡(luò)外圍的路由器中設(shè)置IP報(bào)頭中的優(yōu)先級Precedence或ToS值然后在網(wǎng)絡(luò)的核心或主干中利用QoS機(jī)制隊(duì)列、監(jiān)管等對不同優(yōu)先級的數(shù)據(jù)提供不同的服務(wù)等級。節(jié)省費(fèi)用組織可以讓與特定業(yè)務(wù)相關(guān)的大流量通信使用一條高帶寬、高費(fèi)用鏈路同時在一條低帶寬、低費(fèi)用鏈路上為交互式數(shù)據(jù)流提供傳輸從而合理地利用鏈路帶寬。負(fù)載均衡除了基于目的地的路由選擇所提供的動態(tài)負(fù)載均衡功能外通過策略路由可以實(shí)現(xiàn)多條路徑之間的流量負(fù)載。策略路由是一種入站機(jī)制用于入站報(bào)文。啟用策略路由的路由器會對從接口收到的報(bào)文進(jìn)行檢測然后根據(jù)路由映射表中定義的規(guī)則將報(bào)文轉(zhuǎn)發(fā)到適當(dāng)?shù)南乱惶刂坊蜻m當(dāng)?shù)谋镜爻鼋涌?。策略路由的操作覆蓋了即優(yōu)先于路由器正常的通過查找路由表的路由選擇過程。正常情況下路由器根據(jù)路由選擇表中的信息將報(bào)文轉(zhuǎn)發(fā)到相應(yīng)的出接口和下一跳但策略路由不根據(jù)目標(biāo)地址進(jìn)行路由選擇它讓網(wǎng)絡(luò)管理員能夠根據(jù)下列準(zhǔn)則確定并實(shí)現(xiàn)路由選擇策略。1.源系統(tǒng)的身份。2.運(yùn)行的應(yīng)用程序。3.使用的協(xié)議。4.報(bào)文的長度5.3.2配置基于策略的路由選擇1.route-map命令配置策略路由的第一步是要創(chuàng)建并配置路由映射表route-maproute-map中包含了指導(dǎo)數(shù)據(jù)轉(zhuǎn)發(fā)的各種策略。在全局模式下使用route-mapname[permit|deny][sequence-number]命令創(chuàng)建route-mapRoute-map使用名稱進(jìn)行標(biāo)識route-map中的每條子句都使用編號進(jìn)行標(biāo)識每條子句都包含允許或拒絕permit或deny的動作。如果route-map子句被配置為permit則表示對符合條件的報(bào)文執(zhí)行基于策略的路由選擇。如果route-map子句被配置為deny則表示對符合條件的報(bào)文不執(zhí)行策略路由報(bào)文將按照正常的路由選擇操作而被路由即通過查找路由表對報(bào)文進(jìn)行轉(zhuǎn)發(fā)并不是將報(bào)文丟棄。對于沒有在route-map中找到匹配規(guī)則的報(bào)文也將按照正常的路由選擇操作而被轉(zhuǎn)發(fā)報(bào)文不會被丟棄。對于與指定條件不匹配的報(bào)文若不希望它返回到正常轉(zhuǎn)發(fā)狀態(tài)而是要丟棄它可以在路由映射表的最后配置一條set語句將報(bào)文路由到接口null0。在配置route-map的規(guī)則時需要使用match和set命令以告訴路由器對哪些報(bào)文執(zhí)行什么樣的策略。最后需要將route-map應(yīng)用于接收報(bào)文的接口match命令Route-map中的配置命令matchipaddress{access-list-number|name}[…access-list-number|name]使用IP標(biāo)準(zhǔn)或擴(kuò)展訪問控制列表來指定報(bào)文的匹配條件。標(biāo)準(zhǔn)IP訪問控制列表可用于指定基于報(bào)文源地址的匹配條件擴(kuò)展列表可用于指定基于源地址、目標(biāo)地址、源端口、目的端口、協(xié)議類型、ToS和IP優(yōu)先級的匹配條件。Route-map中的配置命令matchlengthminmax可用于指定基于報(bào)文長度大小的匹配條件。例如網(wǎng)絡(luò)管理員可以將匹配長度作為區(qū)分交互數(shù)據(jù)流和文件傳送數(shù)據(jù)流的條件因?yàn)槲募魉蛿?shù)據(jù)流的報(bào)文通常都較大set命令如果滿足match語句的條件則可使用一個或多個set語句來指定對報(bào)文的操作規(guī)則。當(dāng)配置了多個設(shè)置下一跳地址或本地出接口的set語句后只有第一條set語句會被執(zhí)行后續(xù)set語句將被忽略。Route-map中的配置命令setipnext-hopip-address[…ip-address]提供了一個IP地址列表用于指定報(bào)文前往目的地路徑中相鄰下一跳路由器的地址。如果指定了多個下一跳地址當(dāng)與第一個下一跳地址相關(guān)聯(lián)的本地接口的狀態(tài)為DOWN時路由器會按照順序輪流嘗試后續(xù)的下一跳地址。使用setipnext-hop命令時將檢查路由選擇表以確定是否可以到達(dá)下一跳地址而不會檢查路由表中是否存在前往報(bào)文目標(biāo)地址的顯式路由。Route-map中的配置命令setinterfaceinterface[…interface]提供了一個接口列表用于指定報(bào)文被轉(zhuǎn)發(fā)的本地出接口。如果指定了多個出接口第一個狀態(tài)為up的接口將用于轉(zhuǎn)發(fā)報(bào)文如果接口狀態(tài)為DOWN路由器將嘗試后續(xù)的出接口。如果想將符合匹配條件的報(bào)文丟棄可以使用setinterfacenull0命令將報(bào)文發(fā)送到Null0接口。Null0接口是路由器中的一個虛擬的空接口發(fā)送到該接口的報(bào)文將被丟棄。Route-map中的配置命令setipdefaultnext-hopip-address[…ip-address]提供了一個默認(rèn)下一跳地址的列表。如果指定了多個下一跳地址當(dāng)與第一個下一跳地址相關(guān)聯(lián)的本地接口的狀態(tài)為DOWN時路由器會按照順序輪流嘗試后續(xù)的下一跳地址。需要注意的是僅當(dāng)路由選擇表中沒有到達(dá)報(bào)文目標(biāo)地址的顯式路由時才將報(bào)文路由到指定的默認(rèn)下一跳地址。Route-map中的配置命令setdefaultinterfaceinterface[…interface]提供了一個默認(rèn)接口列表。如果指定了多個出接口第一個狀態(tài)為Up的接口將用于轉(zhuǎn)發(fā)報(bào)文如果接口狀態(tài)為DOWN路由器將嘗試后續(xù)的出接口。僅當(dāng)路由選擇表中沒有前往報(bào)文目標(biāo)地址的顯示路由時才將報(bào)文路由到setdefaultinterface命令指定的默認(rèn)出接口。Route-map還提供了使用命令setiptos和setipprecedence對報(bào)文進(jìn)行標(biāo)記的機(jī)制。Route-map中的命令setiptos[number|name]用于設(shè)置IP報(bào)文中的IPToS值。設(shè)置ToS值時可以使用數(shù)值或名稱具體配置：ZhuR1:access-list10permit55access-list20permit55access-list30permit55access-list40permit55!route-mapcisco1permit20matchipaddress20setinterfaceSerial0/3/0Serial0/3/1!route-mapcisco1permit30matchipaddress30setinterfaceSerial0/3/0Serial0/3/1!route-mapciscopermit10matchipaddress10setinterfaceSerial0/3/1Serial0/3/0!route-mapciscopermit40matchipaddress40setinterfaceSerial0/3/1Serial0/3/0BeifenR2:access-list10permit55access-list20permit55access-list30permit55access-list40permit55route-mapcisco1permit20matchipaddress20setinterfaceSerial0/3/1Serial0/3/0!route-mapcisco1permit30matchipaddress30setinterfaceSeri