基于cisco設備的校園網(wǎng)設計和安全實現(xiàn)

基于cisco設備的校園網(wǎng)設計和安全實現(xiàn)摘要校園網(wǎng)是以網(wǎng)絡技術為基礎，實現(xiàn)學校整體信息化的集成應用系統(tǒng)。它以網(wǎng)絡設備的互聯(lián)、安全運行為基礎，以應用軟件和教育資源為核心，以建構現(xiàn)代教育技術及管理模式為目的，為學校信息化建設提供了全方位的服務。隨著互聯(lián)網(wǎng)的普及和國內(nèi)各高校網(wǎng)絡建設的不斷發(fā)展，大多數(shù)高校都建立了自己的校園網(wǎng)，它己經(jīng)成為高校信息化的重要部分，網(wǎng)絡安全已成為不容忽視的問題，如何在開放網(wǎng)絡環(huán)境中保證數(shù)據(jù)和系統(tǒng)的安全性已經(jīng)成為眾多業(yè)內(nèi)人士關心的問題，并越來越迫切和重要，作為一個面向大眾的開放系統(tǒng)，計算機網(wǎng)絡面臨著來自各方面的威脅和攻擊。因此，網(wǎng)絡安全系統(tǒng)的構建是一個非常重要的問題，它涉及到從系統(tǒng)硬件到軟件，從單機到網(wǎng)絡的各個方面。本論文在論述校園局域網(wǎng)的規(guī)劃和建設的過程中，提出了網(wǎng)絡設計的基本目標，在研究和分析了當今各種局域網(wǎng)技術的基礎上，針對校園網(wǎng)建設需求，提出了校園網(wǎng)建網(wǎng)的原則和內(nèi)容、選擇了校園網(wǎng)系統(tǒng)的技術類型、完成了拓撲結構的選擇，繪出了網(wǎng)絡拓撲圖，完成了網(wǎng)絡設備的選擇，同時考慮到網(wǎng)絡安全在校園網(wǎng)建設中的重要性，完成了網(wǎng)絡安全設計。結合校園網(wǎng)的實際，根據(jù)現(xiàn)有設備條件，運用VLAN技術、NAT技術、幀中繼交換技術、路由器訪問控制列表實現(xiàn)了對校園網(wǎng)的基本安全防護。關鍵詞：三層交換，網(wǎng)絡安全，虛擬局域網(wǎng)，虛擬專用網(wǎng)，網(wǎng)絡地址轉(zhuǎn)換，三層路由，幀中繼交換設備。目錄TOC\o"1-2"\h\z\u第一章前言 11.1課題研究的背景，目的及意義 11.2主要研究內(nèi)容 2第二章系統(tǒng)總體方案設計 32.1應用的主用技術及說明 32.2相關設備的選擇 13第三章校園網(wǎng)設計及安全方案實現(xiàn) 153.1校園網(wǎng)組網(wǎng)設計 153.2校園網(wǎng)絡安全設計的配置實現(xiàn) 19第四章總結 304.1本人所完成的工作 304.2不足之處及進一步研究的方向 30第五章致謝和參考文獻 32第一章前言1.1課題研究的背景，目的及意義計算機網(wǎng)絡技術的飛速發(fā)展給人類社會帶來史無前例的沖擊，因特網(wǎng)的重要性和巨大優(yōu)勢有目共睹，在大大擴展了信息資源共享尺度的同時也大大縮小了信息服務的時間尺度。隨著網(wǎng)絡規(guī)模的變化，以太網(wǎng)技術從一個辦公室網(wǎng)絡走向一個辦公樓的局域網(wǎng)乃至整個園區(qū)網(wǎng)，而在1998年之前，園區(qū)網(wǎng)技術往往會采用最早的FDDI技術和ATM技術。這種應用變化對三層交換機提出了更高的性能要求，對數(shù)據(jù)轉(zhuǎn)發(fā)的控制能力和廣域網(wǎng)之間的路由互聯(lián)能力的要求也更高，同時可靠性、可用性要求也大大增強，二、三層交換功能也發(fā)展到由一個單獨芯片完成，交換容量也從最初的5Gbps發(fā)展到百千Gaps的水平，因此出現(xiàn)了VLAN、NAT等關鍵技術。在信息流動更加自由、可用資源更為豐富的同時，校園網(wǎng)必須為網(wǎng)絡可能面臨的全部威脅作好防御。雖然這些威脅形式多樣，但都將導致一定程度上的泄密以及對信息或資源的惡意破壞，從而造成巨大的經(jīng)濟損失甚至學校聲譽和經(jīng)濟利益的損壞。知道網(wǎng)絡的哪個部分更容易受到入侵，以及常見的攻擊者與他們所使用的攻擊方式和其他威脅的來源都是很重要的。過去人們傾向于信任內(nèi)部的用戶而不信任來自因特網(wǎng)的用戶。對內(nèi)部和那些被授權從企業(yè)外部使用內(nèi)部網(wǎng)資源的人員的信任固然重要，但是信任也必須依據(jù)現(xiàn)實情況。資料顯示，至少60％或更多的攻擊是由內(nèi)部的人員所為，不信任內(nèi)部用戶和采取更加嚴格的安全措施已經(jīng)成為一種越來越普遍的傾向。我們需要對網(wǎng)絡基礎設施設備和關鍵資源的使用進行限制，只有確實需要訪問網(wǎng)絡的人才能訪問，這樣一來就可以阻止危害計算機網(wǎng)絡安全的許多威脅。近年來，網(wǎng)絡安全產(chǎn)品從簡單的防火墻到目前的具備報警、預警、分析、審計、監(jiān)測等全面功能的網(wǎng)絡安全系統(tǒng)，在技術角度已經(jīng)實現(xiàn)了巨大進步，也為企業(yè)在構建網(wǎng)絡安全體系方面提供了更加多樣化的選擇，但是，網(wǎng)絡面臨的威脅卻并未隨著技術的進步而有所抑制，反而使矛盾更加突出，從層出不窮的網(wǎng)絡犯罪到日益猖獗的黑客攻擊，似乎網(wǎng)絡世界正面臨著前所未有的挑戰(zhàn)，下面簡單分析網(wǎng)絡安全環(huán)境的現(xiàn)狀。1．在網(wǎng)絡和應用系統(tǒng)保護方面采取了安全措施，網(wǎng)絡／應用系統(tǒng)分別部署防火墻、訪問控制設備等安全產(chǎn)品，采取了備份、負載均衡、硬件冗余等安全措施；2．實現(xiàn)了區(qū)域性的集中防病毒，實現(xiàn)了病毒庫的升級和防病毒客戶端的監(jiān)控和管理；3．安全工作由各網(wǎng)絡／應用系統(tǒng)具體的維護人員兼職負責，安全工作分散到各個維護人員；4．應用系統(tǒng)賬號管理、防病毒等方面具有一定流程，在網(wǎng)絡安全管理方面的流程相對比較薄弱，需要進一步進行修訂；5．員工安全意識有待加強，日常辦公中存在一定非安全操作情況，終端使用和接入情況復雜。本設計是在對校園的網(wǎng)絡的結構以及安全需求進行嚴格的分析之后提出來的網(wǎng)絡安全設計方案，傾向于更多地保證網(wǎng)絡基礎設施的安全，通過對學校可能受到的威脅來源進行分析，并為之做出一一對應的防護措施，從而保障校園網(wǎng)絡不受到來自內(nèi)部網(wǎng)用戶、外部網(wǎng)用戶威脅。1.2主要研究內(nèi)容本課題研究的主要內(nèi)容是路由器與交換機的應用技術，主要方向是通過對路由器和交換機的配置使一個網(wǎng)絡中不同的VLAN間可以互相訪問，VLAN中的用戶可以訪問外網(wǎng)Internet。設計中，采用了VLAN(虛擬局域網(wǎng))、VPN(虛擬專用網(wǎng))和幀中繼技術，配合訪問控制列表、以及NAT(網(wǎng)絡地址轉(zhuǎn)換)解決了內(nèi)部網(wǎng)、服務器與外網(wǎng)之間的通訊中存在的安全問題，并且為遠程用戶提供了通過安全VPN接入校園內(nèi)部網(wǎng)的服務。第2章系統(tǒng)總體方案設計2.1應用的主用技術及說明2.1.1三層交換VLAN技術交換機的每一個端口均為自己獨立的沖突域，但問時對于所有處于一個IP網(wǎng)段的網(wǎng)絡設備來說，卻處在一個廣播域中，當工作站的數(shù)量較多、信息流很大的時候，就容易形成廣播風暴，甚者造成網(wǎng)絡的癱瘓。在采用交換技術的網(wǎng)絡模式中，對于網(wǎng)絡結構的劃分采用的僅僅是物理網(wǎng)段的劃分。這樣的網(wǎng)絡結構從效率和安全性的角度來考慮都是有所欠缺的，而且在很大程度上限制了網(wǎng)絡的靈活性，如果需要將一個廣播域分開，那么就需要甚另外購買交換機并且要人工重新布線。但是，進行虛擬網(wǎng)絡(VLAN)設置后就不需要另外購買交換機了。一個好的校園網(wǎng)設計應該是一個分層的設計。為了簡化交換網(wǎng)絡的設計、提高網(wǎng)絡的可擴展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換模塊的部署是分層進行的。數(shù)據(jù)交換設備可以劃分為三個層次：訪問層、分布房、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第二層.隨著科技的進一步發(fā)展，現(xiàn)代交換技術還實現(xiàn)了第二層交換和多層交換。高層交換技術的引入不但提高網(wǎng)絡數(shù)據(jù)交換的效率，更大大增加了校園網(wǎng)數(shù)據(jù)交換服務質(zhì)量，滿足了不同類型網(wǎng)絡應用程序的需要。在現(xiàn)代的校園網(wǎng)中，大部引入了虛擬局域網(wǎng)(VLAN)的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減少了單個VLAN間VLAN主機的廣播通信對其它VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現(xiàn).隨著校園規(guī)模的不斷擴大，一個校園網(wǎng)的工作站就不斷增加。這時網(wǎng)絡管理人員需要的交換機數(shù)最就增加，這時我們就可以使用VLAN中繼協(xié)議(VLANTrunkingProtocol.VTP)簡化管理。通過中繼協(xié)議，只需在單獨臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義到本管理域中的所有交換機上。這樣就可以大大的減輕網(wǎng)絡管理人員的工作負擔和工作強度。在一個規(guī)模較大的校園中，其下屬有多個部門，在各部門的孤立網(wǎng)絡進行互連時，出于對不同職能部門的管理、安全和整體網(wǎng)絡的穩(wěn)定運行，我們進行了VLAN的劃分。VLAN對于網(wǎng)絡用戶來說是完全透明的，用戶感覺不到使用中與交換式網(wǎng)絡有任何的差別，但對于網(wǎng)絡管理人員則有很大的不同，因為這主要取決于VLAN的幾點優(yōu)勢：對網(wǎng)絡中的廣播風暴的控制，提高網(wǎng)絡的整體安全性，通過路由訪問列表、MAC地址分配等VLAN劃分原則，可以控制用戶的訪問權限和邏輯網(wǎng)段的大小。網(wǎng)絡管理的簡單、直觀。2.1.2NAT技術在此網(wǎng)絡設計方案中還采用了NAT技術。NAT(NetworkAddressTranslation)顧名思義就是網(wǎng)絡IP地址的轉(zhuǎn)換。NAT的出現(xiàn)是為了解決IP日益短缺的問題，將多個內(nèi)部地址映射為少數(shù)幾個甚至一個公網(wǎng)地址。這樣，就可以讓我們內(nèi)部網(wǎng)中的計算機通過偽IP訪問INTERNET的資源。網(wǎng)絡地址轉(zhuǎn)換(NAT)是一個Internet工程任務組(InternetEngineeringTaskForce.IETF)標準，用于允許專用網(wǎng)絡上的多臺PC(使用專用地址段，例如1O.0.x.x，192.168.x.x.，172.x.x.x)共享單個、全局路由的IPv4地址。IPv4地址日益不足是經(jīng)常部署NAT的一個主要原因。WindowsXP中的“Internet連接共享”及許多Internet網(wǎng)關設備都使用NAT，尤其是在通過DSL或電纜調(diào)制解調(diào)器連接寬帶網(wǎng)的情況下。NAT與防火墻或代現(xiàn)服務器不同，但它對網(wǎng)絡安全特別有利.在內(nèi)部網(wǎng)絡通過安金網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄.系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址。在外部網(wǎng)絡通過非安余網(wǎng)卡訪問內(nèi)部網(wǎng)絡時，它并不知道內(nèi)部網(wǎng)絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。設置NAT功能的路由器至少要有一個內(nèi)部端口(Insíde)。一個外部端口(Outsíde)。內(nèi)部端口連接的網(wǎng)絡用戶使用的是內(nèi)部IP地址(私有IP)，外部端口連接的是外部的網(wǎng)絡，使用電信部門分配給我們的IP地址。NAT設置可以分為靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、復用動態(tài)地址轉(zhuǎn)換。(1)靜態(tài)地址轉(zhuǎn)換靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進行一對一地轉(zhuǎn)換，且需要指定和哪個合法地址進行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡有www服務器或FTP服務器等可以為外部用戶提供服務，則這些服務器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務。(2)動態(tài)地址轉(zhuǎn)換動態(tài)地址轉(zhuǎn)換也是將內(nèi)部本地地址與內(nèi)部合法地址一對一地轉(zhuǎn)換，但是動態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動態(tài)地選擇一個未使用的地址來對內(nèi)部本地地址進行轉(zhuǎn)換的。(3)復用動態(tài)地址轉(zhuǎn)換復用動態(tài)地址轉(zhuǎn)換首先是一種動態(tài)地址轉(zhuǎn)換，但是它可以允許多個內(nèi)部本地地址共用一個內(nèi)部合法地址。對只申請到少量IP地址但卻經(jīng)常同時有多個用戶上外部網(wǎng)絡的情況，這種轉(zhuǎn)換極為有用。PAT(PortAddressTranslatíon)也稱為NAPT，就是將多個內(nèi)部地址映射為一個公網(wǎng)地址.但以不同的協(xié)議端口號與不同的內(nèi)部地址相對應。這種方式常用于撥號上Internet網(wǎng)?？傊?，NAT的功能就是指將使用私有地址的網(wǎng)絡與公用網(wǎng)絡INTERNET相連，使用私有地址的內(nèi)部網(wǎng)絡通過NAT路由器發(fā)送數(shù)據(jù)時，私有地址將被轉(zhuǎn)化為合法注冊的IP地址從而可以與INTERNET上的其他主機進行通訊。NAT路由器被置于內(nèi)部網(wǎng)和INTERNET的邊界上并且在把數(shù)據(jù)包發(fā)送到外部網(wǎng)絡前將數(shù)據(jù)包的源地址轉(zhuǎn)換為合法的IP地址。當多個內(nèi)部主機共享一個合法IP地址時，地址轉(zhuǎn)換是通過端口多路復用即改變外出數(shù)據(jù)包的源端口并進行端口映射。2.1.3VPN技術VPN(VirtualPrivateNetwork)，即虛擬專用網(wǎng)是利用公共網(wǎng)絡基礎設施，通過“隧道”技術、加密技術、認證技術和訪問控制等手段提供一種通過公用網(wǎng)絡安全地對單位內(nèi)部專用網(wǎng)絡進行遠程訪問的連接方式。也就是說可以通過公共IP網(wǎng)利用VPN技術來建立私有數(shù)據(jù)傳輸通道，將遠程的分校區(qū)、移動辦公人員和校園內(nèi)網(wǎng)連接起來，并提供安全的端到端的數(shù)據(jù)通訊。隨著互聯(lián)網(wǎng)的普及、通信技術的進步、信息化程度的提高，國內(nèi)高校也越來越重視數(shù)字化校園的開發(fā)，依托先進的網(wǎng)絡技術開展電化教學、教學資源、信息化管理等平臺的建設。伴隨我國高校改革深入和逐年擴招，各地高校都在擴建或新建校區(qū)，校校之間實行合并或聯(lián)合辦學，如何實現(xiàn)這些分布在各地的校區(qū)網(wǎng)絡的互聯(lián)，實現(xiàn)校園內(nèi)網(wǎng)資源的共享，成為一個急需解決的問題；同時由于家庭互聯(lián)網(wǎng)絡的普及以及移動辦公和科研的需要，師生員工也對從校外訪問校內(nèi)資源提出了新的需求。通過虛擬專用網(wǎng)技術即VPN技術，設計一套可管理、可認證、安全的遠程訪問校園內(nèi)網(wǎng)的解決方案，不僅可以實現(xiàn)異地多校區(qū)間透明的互聯(lián)，同時可使校外用戶通過鑒權后擁有校內(nèi)地址，進而訪問校內(nèi)數(shù)字資源數(shù)據(jù)。例子如圖2.1—1所示：

圖2.1—1

r1(config)#intf0/0

r1(config-if)#ipadd0

r1(config-if)#noshu

r1(config-if)#intf1/0

r1(config-if)#ipadd0

r1(config-if)#noshu

r1(config)#iproute1

做一條默認路由使全網(wǎng)互通

r1(config)#cryptoisakmppolicy1

r1(config-isakmp)#authenticationpre-share

啟用定義共享密鑰

r1(config-isakmp)#encryption3des

加密使用3DES算法

r1(config-isakmp)#hashmd5

驗證密鑰使用MD5雜湊算法

r1(config)#cryptoisakmpkey0123address1設置共享密鑰為123和對端地址

r1(config)#cryptoisakmptransform-setzhaoah-md5-hesp-3des傳輸模式名為zhao驗證為md5加密為3des

r1(config)#accress-list101permitip5555配置ACL

r1(config)#cryptomapjin1ipsec-isakmp

創(chuàng)建cryptomap名字為jin

r1(config-crypto-map)#setpeer1

指定鏈路對端IP地址

r1(config-crypto-map)#settransfrom-setzhao

指定傳輸模式zhao

r1(config-crypto-map)#matchaddress101

指定應用訪控列表

r1(config)#intf0/0

r1(config)#cryptomapjin

應用到接口

r2(config)#intf0/0r2(config-if)#ipadd0

r2(config-if)#noshut

r2(config-if)#intf1/0

r2(config-if)#ipadd1

r2(config-if)#noshut

r2(config)#iproute0

做一條默認路由使全網(wǎng)互通

r2(config)#cryptoisakmppolicy1

r2(config-isakmp)#authenticationpre-share

啟用定義共享密鑰

r2(config-isakmp)#encryption3des

加密使用3DES算法

r2(config-isakmp)#hashmd5

驗證密鑰使用MD5雜湊算法

r2(config)#cryptoisakmpkey0123address0

設置共享密鑰為123和對端地址

r2(config)#cryptoisakmptransform-setzhaoah-md5-hesp-3des

傳輸模式名為zhao驗證為md5加密為3des

r2(config)#accress-list101permitip5555

配置ACL

r2(config)#cryptomapjin1ipsec-isakmp

創(chuàng)建cryptomap名字為jin

r2(config-crypto-map)#setpeer1

指定鏈路對端IP地址

r2(config-crypto-map)#settransfrom-setzhao

指定傳輸模式zhao

r2(config-crypto-map)#matchaddress101

指定應用訪控列表

r2(config)#intf0/0

r2(config)#cryptomapjin

vpcs1:ip8024

vpcs2:ip9024

vpcs3:ip8024

vpcs4:ip9024

之后ping測試。

show看效果，用到的show命令為：

查看端口應用：r1#showcryptomap

查看IKE協(xié)商：r1#showcryptoisakmppolicy

查看傳輸模式：r1#showcryptoipsectransform-set

IPSec(IntemetProtocolSecurity)即因特網(wǎng)安全協(xié)議是—個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。它提供所有在網(wǎng)絡層上的數(shù)據(jù)保護，提供透明的安全通信，主要是為IP通信提供加密和認證，它為數(shù)據(jù)在通過公用網(wǎng)絡(一般為因特網(wǎng))在網(wǎng)絡層進行傳輸時提供安全保障。通信雙方要建立IPSec通道，首先要采用一定的方式建立通信連接。因為IPSec協(xié)議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，這包括如加密運算法則和身份驗證方法類型等。在IPSec協(xié)議中，一旦IPSec通道建立，所有在網(wǎng)絡層之上的協(xié)議在通信雙方都經(jīng)過加密，如TCP、UDP、ICMP等，而不管這些通道構建時所采用的安全和加密方法如何。IPSec的VPN通道是在兩個局域網(wǎng)之間通過Intemet建立的安全連接，保護的是點對點之間的通信，并且它不局限于Web等特定的應用，還能構建局域網(wǎng)之間的虛擬專用網(wǎng)絡，功能和應用的擴展性更強，對于普通用戶根本無需關心局域網(wǎng)間的連接方式，就像在一個網(wǎng)內(nèi)一樣，實現(xiàn)了透明的訪問。2.1.4幀中繼交換技術幀中繼已成為世界上使用最廣泛的WAN技術。大型企業(yè)、政府、ISP和小公司紛紛選用幀中繼，主要是因為幀中繼具有成本低、靈活性高的優(yōu)點。隨著組織的發(fā)展壯大，組織越來越依賴于可靠的數(shù)據(jù)傳輸，此時傳統(tǒng)租用線路解決方案的成本將變得高不可攀。技術領域的日新月異和網(wǎng)絡行業(yè)的合并與收購都需要更高的靈活性。由于所需的設備較少，復雜性較低，并且更容易實現(xiàn)，因此幀中繼可以降低網(wǎng)絡的成本。更重要的是，與私有或租用線路相比，幀中繼提供更高的帶寬、可靠性和彈性。為了順應全球化與一對多分支機構拓撲的發(fā)展潮流，幀中繼提供更簡單的體系結構和更低的擁有成本。DTE設備和DCE設備之間的連接由物理層組件和鏈路層組件組成：物理層組件定義設備間連接的機械、電氣、功能和規(guī)程規(guī)范。最常用的一種物理層接口規(guī)范是RS-232規(guī)范。鏈路層組件定義在DTE設備（例如路由器）和DCE設備（例如交換機）之間建立連接的協(xié)議。（1）.虛電路：兩個DTE之間通過幀中繼網(wǎng)絡實現(xiàn)的連接叫做虛電路(VC)。這種電路之所以叫做虛電路是因為端到端之間并沒有直接的電路連接。這種連接是邏輯連接，數(shù)據(jù)不通過任何直接電路即從一端移動到另一端。利用虛電路，幀中繼允許多個用戶共享帶寬，而無需使用多條專用物理線路，便可在任意站點間實現(xiàn)通信。（2）.逆向ARP：逆向地址解析協(xié)議(ARP)從第2層地址（例如幀中繼網(wǎng)絡中的DLCI）中獲取其它站點的第3層地址。逆向地址解析協(xié)議主要用于幀中繼和ATM網(wǎng)絡，在這兩種網(wǎng)絡中，虛電路的第2層地址有時從第2層信號中獲取，但在虛電路投入使用之前，必須解析出對應的第3層地址。ARP將第3層地址轉(zhuǎn)換為第2層地址，逆向ARP則反其道而行之。（3）.本地管理接口(LMI)：大體而言，LMI是一種keepalive（保持連接）的機制，提供路由器(DTE)和幀中繼交換機(DCE)之間的幀中繼連接的狀態(tài)信息。終端設備每10秒（或大概如此）輪詢一次網(wǎng)絡，請求啞序列響應或通道狀態(tài)信息。如果網(wǎng)絡沒有響應請求的信息，用戶設備可能會認為連接已關閉。網(wǎng)絡作出FULLSTATUS響應時，響應中包含為該線路分配的DLCI的狀態(tài)信息。終端設備可以使用此信息判斷邏輯連接是否能夠傳遞數(shù)據(jù)。校園網(wǎng)設計圖配置如下：（4）.南校區(qū)實訓樓路由器配置：R2#conftR2(config)#ints1/1/1R2(config-if)#encapsulationframe-relayR2(config-if)#frame-relaymapip102broadcastciscoR2(config-if)#frame-relaymapip103broadcastciscoR2(config-if)#bandwidth256R2(config-if)#frame-relaylmi-typeciscoR2(config-if)#exitR2(config)#iprouteR2(config)#iprouteR2(config)#iproute（5）.北校區(qū)路由器配置如下：R0#conftR0(config)#ints0/1/0R0(config-if)#encapsulationframe-relayR0(config-if)#frame-relaymapip301broadcastciscoR0(config-if)#frame-relaymapip302broadcastciscoR0(config-if)#frame-relaylmi-typeciscoR0(config-if)#bandwidth256R0(config-if)#exitR0(config)#iprouteR0(config)#iproute（6）.防火墻路由器配置如下：R1#conftR1(config)#ints1/1R1(config-if)#encapsulationframe-relayR1(config-if)#frame-relaymapip201broadcastciscoR1(config-if)#frame-relaymapip203broadcastciscoR1(config-if)#frame-relaylmi-typeciscoR1(config-if)#bandwidth256R1(config-if)#exitR1(config)#iprouteR1(config)#iprouteR1(config)#iproute（7）.幀中繼交換機的配置如下圖所示：圖2.1-2設置ATM交換機Serial1接口上的LMI模式和接口的DLCI標識；圖2.1-3設置ATM交換機Serial1接口上的LMI模式和接口的DLCI標識；圖2.1-4設置ATM交換機Serial2接口上的LMI模式和接口的DLCI標識；圖2.1-5設置ATM交換機Serial1、Serial0、Serial2接口上的相互之間的DLCI映射關系。綜合以上技術分析，設計選用了幀中繼交換技術作為校區(qū)之間互聯(lián)的解決方案。2.1.5MAC地址綁定技術在cisco交換機中為了防止ip被盜用或員工亂改ip，可以做以下措施，既ip與mac地址的綁定，和ip與交換機端口的綁定。（1）.通過IP查端口（2）.ip與mac地址的綁定，這種綁定可以簡單有效的防止ip被盜用，別人將ip改成了你綁定了mac地址的ip后，其網(wǎng)絡不同，（tcp/udp協(xié)議不同，但netbios網(wǎng)絡共項可以訪問），具體做法：方案一：基于端口的MAC地址綁定S1(config)#Interfacefastethernet0/1＃進入具體端口配置模式S1(config-if)#Switchportport-secruity＃配置端口安全模式S1(config-if)#switchportport-securitymac-addressMAC(主機的MAC地址)

＃配置該端口要綁定的主機的MAC地址

注意：以上命令設置交換機上某個端口綁定一個具體的MAC地址，這樣只有這個主機可以使用網(wǎng)絡，如果對該主機的網(wǎng)卡進行了更換或者其他PC機想通過這個端口使用網(wǎng)絡都不可用，除非刪除或修改該端口上綁定的MAC地址，才能正常使用。方案二：基于MAC地址的擴展訪問列表S1(config)#Macaccess-listextendedMAC10

＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10

S1(config-ext-nacl)#permithost0009.6bc4.d4bfany＃定義MAC地址為0009.6bc4.d4bf的主機可以訪問任意主機

S1(config-ext-nacl)#permitanyhost0009.6bc4.d4bf＃定義所有主機可以訪問MAC地址為0009.6bc4.d4bf的主機

S1(config)#interfaceFa0/20#進入配置具體端口的模式S1(config-if)#macaccess-groupMAC10in＃在該端口上應用名為MAC10的訪問列表（即前面定義的訪問策略）此功能與應用一大體相同，但它是基于端口做的MAC地址訪問控制列表限制，可以限定特定源MAC地址與目的地址范圍。注意：以上功能在思科2950、3550、4500、6500系列交換機上可以實現(xiàn)，但是需要注意的是2950、3550需要交換機運行增強的軟件鏡像（EnhancedImage）。

方案三：IP地址的MAC地址綁定

S1(config)#Macaccess-listextendedMAC10＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10

S1(config-ext-nacl)#permithost0009.6bc4.d4bfany

＃定義MAC地址為0009.6bc4.d4bf的主機可以訪問任意主機

S1(config-ext-nacl)#permitanyhost0009.6bc4.d4bf＃定義所有主機可以訪問MAC地址為0009.6bc4.d4bf的主機S1(config)#Ipaccess-listextendedIP10＃定義一個IP地址訪問控制列表并且命名該列表名為IP10S1(config-ext-nacl)#Permitany＃定義IP地址為的主機可以訪問任意主機S1(config-ext-nacl)#Permitany＃定義所有主機可以訪問IP地址為的主機S1(config)#interfaceFa0/20#進入配置具體端口的模式S1(config-if)#macaccess-groupMAC10in＃在該端口上應用名為MAC10的訪問列表（即前面定義的訪問策略）S1(config-if)#Ipaccess-groupIP10in＃在該端口上應用名為IP10的訪問列表（即前面定義的訪問策略）上述所提到的應用1是基于主機MAC地址與交換機端口的綁定，方案2是基于MAC地址的訪問控制列表，前兩種方案所能實現(xiàn)的功能大體一樣。如果要做到IP與MAC地址的綁定只能按照方案3來實現(xiàn)，可根據(jù)需求將方案1或方案2與IP訪問控制列表結合起來使用以達到自己想要的效果。2.2相關設備的選擇為了實現(xiàn)網(wǎng)絡設備的統(tǒng)一，本設計方案中完全采用同一廠家的網(wǎng)絡產(chǎn)品，即cisco公司的網(wǎng)絡設備構建。在校園網(wǎng)中，全網(wǎng)使用同一廠商設備。其好處在于可以實現(xiàn)各種不同網(wǎng)絡設備功能的互相配合和補充。（1）.訪問層交換機CiscoCatalyst295024口交換機（WS-C2950-24）。交換機擁有24個10/100Mbps自適應快速以太網(wǎng)端口，運行的是Cisco的IOS操作系統(tǒng)分布層交換機：這里的分布層交換機采用的是CiscoCatalyst3550交換機。作為3層交換機，CiscoCatalyst3550交換機擁有24個10/100Mbps自適應快速以太網(wǎng)端口，同時還有2個1000Mbps的GBIC（GigaBitrateInterfaceConverter，是將千兆位電信號轉(zhuǎn)換為光信號的接口器件）端口供上連使用，運行的是Cisco的IntegratedIOS操作系統(tǒng)。核心層交換機：本實例中的核心層交換機采用的是CiscoCatalyst4006交換機，采用了Catalyst4500SupervisorIIPlus（WS-X4013+）作為交換機引擎。運行的是Cisco的IntegratedIOS操作系統(tǒng)。在作為核心層交換機的CiscoCatalyst4006交換機中，安裝了WS-X4306-GB（Catalyst4000GigabitEthernetModule,6-Ports(GBIC)）模塊，該模塊提供了5個千兆光纖上連接口，可以用來接入WS-G5484（1000BASE-SXShortWavelengthGBIC(Multimodeonly)）路由器：Cisco2811提供了靈活、可擴展的集成解決方案，可簡化管理分支機構網(wǎng)絡解決方案的流程。Cisco2811提供了全面的特性集，適用于：(1).多服務語音／數(shù)據(jù)集成(2).帶防火墻和加密選項的VPN接入(3).模擬撥號接入服務(4).帶寬管理的路由(5).VLAN問路由(6).高速企業(yè)級DsL接入的提供(7).經(jīng)濟有效的ATM接入(8).靈活路由和低密交換的集成第三章校園網(wǎng)設計及安全方案實現(xiàn)3.1校園網(wǎng)組網(wǎng)設計3.1.1建網(wǎng)需求分析校園網(wǎng)工程是一項高科技的綜合性建設項目，它不僅涉及了許多方面的技術，同時也涉及到學校的各個部門。校園網(wǎng)建設的總體目標是建成一個主干網(wǎng)，其上連接多個子網(wǎng)，使全校的教學、科研、管理等項目工作都能在網(wǎng)上進行，充分利用這個速度高、功能強的信息傳輸和處理媒介，共享網(wǎng)上的軟、硬件資源。校園網(wǎng)建設是一項長期的工程，除建設和實施工程外，還有運行管理、維護和發(fā)展的任務。因此，就要求所建的校園網(wǎng)即建即能使用，且好用實用。技術上采用當前先進的軟件、硬件技術，且具有良好的升級、擴展功能，以滿足今后大容量、超高速、多媒體數(shù)據(jù)傳輸?shù)男枰峁┤珪r的服務，此外，網(wǎng)絡還應具有良好的兼容性，以保證有好的互連性。為建立一個適合于本學校的校園網(wǎng)，結合學校的實際情況，通過比較詳細的需求分析工作，本課題主要針對以下幾個方面：(1).連接校內(nèi)所有教學樓、實驗室、辦公樓等各建筑物中的計算機。(2).同時支持約2000用戶瀏覽Internet。(3).提供基本的Internet網(wǎng)絡服務功能：如文件傳輸、http服務、電子公告牌等。(4).提供足夠的帶寬，為教學和科研提高良好的條件。(5).經(jīng)廣域網(wǎng)接口，提供國內(nèi)外計算機系統(tǒng)的互連，為國際間的信息交流和科研合作，為學?？焖佾@得最新教學成果及技術合作等創(chuàng)造良好的信息通路。(6).應用多種網(wǎng)絡設備和網(wǎng)絡技術實現(xiàn)校園網(wǎng)絡的基本安全。3.1.2網(wǎng)絡拓撲設計我院校園網(wǎng)總投資200多萬元，于1999年3月建成并投入使用。校園網(wǎng)由東校區(qū)和南校區(qū)兩個部分組成，骨干鏈路采用千兆以太網(wǎng)交換技術，已覆蓋校園大部分范圍如辦公樓、教學樓、學生公寓等，現(xiàn)有網(wǎng)絡節(jié)點1400多個。校園網(wǎng)出口為電信100M光纖，實現(xiàn)東校區(qū)與南校區(qū)互聯(lián)。學院的網(wǎng)絡平臺和應用系統(tǒng)都有了一定的基礎，在教學、科研、實訓、研究、辦公都已得到廣泛的應用。校園網(wǎng)上已經(jīng)開展了辦公自動化、信息瀏覽、電子郵件、精品課程、多媒體教學、教學管理等服務。但是我院校園網(wǎng)可管理性差，主干設備缺乏可拓展性，沒有冗余功能。隨著時間的推移這些問題更加突出。在過去的幾年中校園網(wǎng)經(jīng)常出現(xiàn)病毒泛濫和斷線等情況，由于設備的落后，出現(xiàn)問題后不能及時找到問題源頭，給廣大師生帶來了一定的影響。故此，在本設計中提出了對校園網(wǎng)進行改造。改造的目的在于提高網(wǎng)絡的性能，更好的為廣大師生服務。在本設計中采用cisco三層網(wǎng)絡體系，為校園網(wǎng)主干提供冗余。同時可管理的設備加強整個校園網(wǎng)的安全性和可擴展性。設計拓撲圖如下：圖1校園網(wǎng)拓撲圖3.1.3配置說明校園網(wǎng)主干：由一臺ciscocatalyst4006交換機和2臺ciscocatalyst3550兩兩互聯(lián)構成環(huán)形。出口：學校到中國電信的網(wǎng)絡接口帶寬為100M。域名：IP地址范圍:29—423.1.4整個校園網(wǎng)中VLAN及IP編址方案VLAN號VLAN名稱IP網(wǎng)段默認網(wǎng)管說明VLAN2second/2526/25男生宿舍樓2號樓第二層VLAN3third/2526/25男生宿舍樓2號樓第三層VLAN4fourth/2526/25男生宿舍樓2號樓第四層Vlan5fifth/2526/25男生宿舍樓2號樓第五層VLAN6sixth/2526/25男生宿舍樓2號樓第六層VLAN7seventh/2526/25男生宿舍樓2號樓第七層VLAN10tenth/2526/25女生宿舍4號樓第1到2層VLAN11eleventh28/2554/25女生宿舍4號樓第3到4層VLAN12twelfth/2526/25女生宿舍4號樓第5到6層VLAN20Mix1/2526/25混合寢室樓第1到2層VLAN21Mix228/2554/25混合寢室樓第3層VLAN30Girl1/2526/25女生宿舍5號樓第1層VLAN31Girl228/2554/25女生宿舍5號樓第2層VLAN32Girl3/2526/25女生宿舍5號樓第3層VLAN33Girl428/2554/25女生宿舍5號樓第4層VLAN34Girl5/2526/25女生宿舍5號樓第5層Vlan35Girl628/2554/25女生宿舍5號樓第6層Vlan40jiaowuchu/284/28教務處Vlan41studentwork6/292/29學生工作處Vlan42caiwu4/290/29財務處Vlan43houqinchu2/298/29后勤處Vlan50Jiaoshi1-2/2454/24教師樓1到2層Vlan51Jiaoshi3-4/2454/24教師樓3到4層Vlan52Jiaoshi5-6/2454/24教師樓5到6層Vlan53tushu0/296/29圖書館Vlan60Jifang1f/2454/241樓機房Vlan61Jifang3f/2454/243樓機房Vlan62Jifang4f/2454/244樓機房Vlan63Jifang5f/2454/245樓機房Vlan64guanli8/294/29管理員Vlan65Fuwuqi16/307/30DNS、DHCP服務器Vlan66Fuwuqi20/301/30WEB、FTP服務器Vlan67qinshi/24/24北院寢室Vlan68jiaoxue/24/24教學表1VLAN及IP編址方案表3.2校園網(wǎng)絡安全設計的配置實現(xiàn)3.2.1網(wǎng)絡設備的基本配置校園網(wǎng)采用的核心交換機是：cisco3560，分布層采用的是若干臺cisco3560。接入層采用的是：cisco2960。路由器是：Cisco2811網(wǎng)絡設備是網(wǎng)絡的核心，所以它的安全性影響到整個校園網(wǎng)的安全。除了應該把它放置到專門的配線間，還應該對其進行基本的登錄密碼配置。下面以Cisco2811路由器為例進行配置說明。R1>enable /*由用戶模式進入特權模式R1#configureterminal /*由特權模式進入全局配置模式R1(config)#enablesecretcisco /*配置特權模式密碼為ciscoRouter(config)#lineconsole0 Router(config-line)#passwordcisco /*配置登陸console口的密碼為ciscoRouter(config-line)#login /*啟用登入檢測Router(config-line)#linevty04 Router(config-line)#passwordcisco /*配置telnet的密碼為ciscoRouter(config-line)#login /*啟用登入檢測Router(config)#servicepassword-encryption /*對配置的密碼進行加密，這樣用showrun看到的都是加密后的密文。本實例中為了方便，所以把密碼都設置成了cisco，但實際操作應該配置強密碼。其他設備的密碼設置方法同上，不另加說明。3.2.2VLAN和三層交換機的配置我們采用的VLAN劃分是以端口為中心的，與節(jié)點相連的端口將確定它駐留的VLAN。先在VTP（VLANTrunkingProtocol）sever上建立VLAN，然后將每個端口分配給相應的VLAN。核心交換機命名為：S1；分布層交換機分別為：3560-1、3560-2，分別通過光纖模塊與核心交換機相連。訪問層交換機分別2960-1，2960-2，……(1).設置VTPDOMAIN，VTPDOMAIN稱為管理域。交換VTP更新信息的所有交換機必須配置為相同的管理域。S1(config)#vtpdomainabc /*設置vtp管理域名稱S1(config)#vtppasswordcisco/*設置vtp管理域密碼S1(config)#vtpmodeserver/*設置交換機為vtp服務器模式S1(config)#vtpdomainabc/*設置vtp管理域名稱S1(config)#vtppasswordcisco/*設置vtp管理域密碼S1(config)#vtpmodeclient/*設置交換機為vtp服務器模式……這里設置交換機為Server模式是指允許在本交換機上創(chuàng)建、修改、刪除VLAN及其他一些對整個VTP域的配置參數(shù)，同步本VTP域中其他交換機傳遞來的最新的VLAN信息。Client模式是指本交換機不能創(chuàng)建、刪除、修改VLAN配置，也不能在NVRAM中存儲VLAN配置，但可以同步由本VTP域中其他交換機傳遞來的VLAN信息。(2).配置中繼為了保證管理域能夠覆蓋所有的分支交換機，必須配置中繼(trunk)。中繼是一個在交換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，通過在交換機直接相連的端口配置dotlq封裝，即可跨越交換機進行整個網(wǎng)絡的VLAN分配和進行配置。核心交換機配置如下：S1(config)#interfacerangefastethernet0/2-3S1(config-if)#switchportmodetrunk/*配置fastethernet0/2和fastethernet0/3為中繼接口S1(config-if)#switchporttrunkencapsulationdot1q/*配置trunk封裝dot1q，這是默認的封裝，故可以省略分支交換機端配置如下：S2(config)#interfacefastethernet0/5S2(config)#switchportmodetrunkS2(config)#switchporttrunkencapsulationdot1q……此時，管理域算是設置完畢了。(3).創(chuàng)建VLAN一旦建立了管理域，就可以創(chuàng)建VLAN了。S1(config)#vlan60S1(vlan)#vlan60namejifang1f/*創(chuàng)建一個編號為60名字為jifang1f的VLANS1(vlan)#vlan61namejifang3f/*創(chuàng)建一個編號為61名字為jifang3f的VLAN……這里的VLAN是在核心交換機上建立的，其實，只要是在管理域中的任何一臺VTP屬性為Server的交換機上建立VLAN，它就會通過VTP通告整個管理域中的所有的交換機。但是如果要將交換機的端口劃入某個VLAN,就必須在該端口所屬的交換機上進行設置。(4).將交換機端口劃入VLANS1(config)#ingterfacefastethernet0/6/*配置端口6S1(config)#switchportaccessvlan64 /*歸屬guanliVLANS1(config)#ingterfacefastethernet0/8/*配置端口8S1(config)#switchportaccessvlan65/*歸屬fuwuqi1VLAN……(5).配置三層交換VLAN劃分完畢后，VLAN間實現(xiàn)三層（網(wǎng)絡層）交換時就要給各VLAN分配網(wǎng)絡（IP）地址了。按照表1的方案配置。首先在核心層交換機上分別設置各VLAN的接口IP地址，如下所示:S1(config)#interfacevlan64S1(config-if)#ipaddress448/*定義VLAN64接口IPS1(config)#interfacevlan65S1(config-if)#ipaddress752/*定義VLAN65接口IPS1(config)#interfacevlan66S1(config-if)#ipaddress152/*定義VLAN66接口IP……S1(config)#iprouting/*啟用三層交換功能S1(config)#ipclassless/*啟用無類路由S1(config)#ipsubnet-zero/*啟用對零子網(wǎng)的支持再在各接入VLAN的計算機上設置與所屬VLAN的網(wǎng)絡地址一致的IP地址，并且把默認網(wǎng)關設置為該VLAN的接口地址。這樣，所有的VLAN也可以互訪了。VLAN的劃分可以隔離廣播，同時可以采用訪問控制列表來對每個VLAN進行控制。(6).為各VLAN配置DHCP服務為了方便各個VLAN內(nèi)IP地址的配置，減少網(wǎng)絡管理員的負擔，所以為每個VLAN配置DHCP服務，這樣每個VLAN內(nèi)的用戶都將使用DHCP服務自動獲取IP，以防止IP沖突的出現(xiàn)。在核心交換機上配置DHCP服務的命令如下：S1（config）#ipdhcppoolQWE /*配置QWE的地址池S1(dhcp-config)#network848/*設定分配地址為8/29S1(dhcp-config)#dns-server8/*設置DNS為8S1(dhcp-config)#default-router4/*設置默認網(wǎng)關為4S1（config）#ipdhcppoolDASD /*配置DASD的地址池S1(dhcp-config)#network/*設定分配地址為/24S1(dhcp-config)#dns-server8/*設置DNS為8S1(dhcp-config)#default-router54/*設置默認網(wǎng)關為54……(7).配置ACL禁止某些部門的相互通信我們常常對交換機的訪問列表進行配置，以實現(xiàn)禁止兩個辦公室之間的相互訪問，提高內(nèi)網(wǎng)的安全性。S1(config)#access-list103denyicmpany8echoS1(config)#access-list103permitipanyany/*配置號碼為102的擴展訪問列表，禁止任何網(wǎng)段訪問8/29的網(wǎng)絡S1(config)#access-list21permit8S1(config)#access-list21denyanyS1(config)#linevty04S1(config-line)#access-class21inS1(config-line)#exit/*在所有設備上設置只允許管理員網(wǎng)段的主機能夠通過telnet登陸到設備上進行配置。S1(config)#ipdomain-name/*配置SSH加密的域名S1(config)#cryptokeygeneratersa/*通過SSH加密隨機生成密匙S1(config)#usernamestudentprivilege15secretcisco/*配置登陸用戶名和密碼，并且對于student用戶設置權限為最高級15級，密碼為cisco。S1(config)#linevty04S1(config-line)#notransportinput/*設置不允許任何方式遠程登陸到設備S1(config-line)#transportinputssh/*配置遠程登陸設備只允許加密的SSH方式S1(config-line)#transportinputtelnet/*配置允許telnet方式登陸設備進行遠程配置S1(config-line)#loginlocal/*將以上配置應用于本地登陸S1(config-line)#exec-timeout3/*配置VTY超時，防止空閑會話無止境的消耗VTY。S1(config-line)#exitS1(config)#ipsshauthentication-retries2/*設置身份驗證重試次數(shù)為2次S1(config)#ipsshtime-out15/*配置SSH超時為15s。S3(config)#access-list102permiticmp18echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp10echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102permiticmpanyany/*配置號碼為102的擴展訪問列表，禁止除了管理員以外的任何網(wǎng)段訪問/27網(wǎng)絡。然后將兩個訪問列表分別應用到邏輯接口的出口上：S1(config)#intfastethernet0/1/*將號碼為102的訪問控制列表應用到fastethernet0/1上S1(config-if)#ipaccess-group102out3.2.3NAT的應用實例中的使用的路由器是cisco2811，接入電信的接口為：serial1/0，IP地址為：29，接入內(nèi)網(wǎng)的接口為：serial1/1，ip地址為：/30。圖2NAT示意圖（1）.配置實訓樓路由器的接口IP為：，在核心路由器ciscocatalyst2811上指定默認路由：R1(config)#iprouteserial1/0（2）.配置靜態(tài)路由在路由器上指定到內(nèi)部網(wǎng)的路徑：R1(config)#iproute……（3）.配置NAT，從內(nèi)部主機訪問InternetR1(config)#access-list10permit55/*設置用于NAT的訪問控制列表，用于指定內(nèi)部地址R1（config）#ipnatpoolabcd3142netmask40/*定義用戶NAT的外部地址池R1（config）#ipnatinsidesourcelist10poolabcdoverload/*配置NAT過載（配置PAT）……（4）.配置NAT，實現(xiàn)外網(wǎng)對www和ftp服務器的訪問 www服務器Ip地址為：2，ftp服務器地址為：2R1(config)#ipnatinsidesourcestatic229/*設置靜態(tài)NAT，實現(xiàn)對www服務器的訪問R1(config)#ipnatinsidesourcestatic229/*設置靜態(tài)NAT，實現(xiàn)對ftp服務器的訪問（5）.把NAT應用到端口R1(config)#interfaceSerial1/0R1(config-if)#ipnatoutsideR1(config)#interfaceSerial1/1R1(config)#ipnatinside 3.2.4路由器控制列表的應用 目前在網(wǎng)絡中使用的cisco2811路由器連接到Intenet。在路由器上采用訪問控制列表（access-list）來實現(xiàn)一些防火墻的功能。使用ACL提供基本的流量過濾功能，來實現(xiàn)網(wǎng)絡的安全。R1（config）#access-list140permittcpany285eq80R1(config)#access-list140permittcpany285eq443R1(config)#access-list140permittcpany285eqftp此訪問控制列表的效果是除了允許對www服務器(29)的HTTP、HTTPS端口以及FTP服務器(29)的FTP端口的訪問外，別的訪問都將會被阻止。R1（config）#interfaceSerial1/0R1（config）#ipaccess-group140in/*應用ACL到端口access-list140denytcpanyanyeq4444access-list140denytcpanyanyeq69/*用于控制Blaster蠕蟲的傳播R1（config）#access-list140denytcpanyanyeq135R1（config）#access-list140denyudpanyanyeq135R1（config）#access-list140denytcpanyanyeq139R1（config）#access-list140denyudpanyanyeq139R1（config）#access-list140denytcpanyanyeq445R1（config）#access-list140denyudpanyanyeq445R1（config）#access-list140denytcpanyanyeq593R1（config）#access-list140denyudpanyanyeq493/*用于控制Blaster蠕蟲的掃描和攻擊R1（config）#access-list140denyudpanyanyeq1434R1（config）#access-list140permitipanyany/*用于控制Slammer蠕蟲的傳播R1（config）#interfaceSerial1/0R1（config）#ipaccess-group140inR1（config）#ipaccess-group140out/*把訪問列表應用到接口幾個潛在安全風險的分析與對策(1).源路由選擇的使用源路由選擇的使用數(shù)據(jù)鏈路層的信息，來為數(shù)據(jù)包進行路由選擇，它己穿越過了網(wǎng)絡層、所以就有可能允許攻擊者為本地網(wǎng)上的數(shù)據(jù)包指定一個不正確的路由，那么攻擊者就可以獲得本應只在本地傳輸?shù)男畔ⅰＯ旅婷羁梢越故褂迷绰酚蛇x擇:R1(config)#noipsource-route(2).拒絕服務攻擊(DOS)由于我們經(jīng)常會開啟一些小服務，例如echo(回顯)端口和discard(丟棄)端口，用于診斷，回顯端口將重放那些端口所接受到的數(shù)據(jù)包，而丟棄端口則將數(shù)據(jù)包丟棄，由于丟棄數(shù)據(jù)包或回顯數(shù)據(jù)包都會消耗CPU周期，一些DOS攻擊就采用這些端口。另外，也有DOS攻擊采用直接廣播技術。Smurf攻擊即為典型。所以建議在路由器接口上關閉這些服務。R1(config)#noserviceudp-small-serversR1(config)#noservicetcp-small-serversR1(config)#noservicefingerR1(config)#noipdirected-broadcast(3).ICMP重定向攻擊攻擊者利用ICMP重定向來對路由器進行重定向，將本應送到正確目標的信息重定向到他們指定的機器，從而獲得不應有的信息訪問權。另一方面，ICMP對內(nèi)部網(wǎng)絡是非常有用的。所以應當在外部網(wǎng)絡進入路由器的接口上禁止ICMP重定向。R1(config)#noipredirects(4).使用UnicastReversePathForwarding檢查訪問者的來源它通過反向路由表查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處，因此，利用UnicastReversePathForwarding可減少假IP地址的出現(xiàn)，有助于提高網(wǎng)絡安全性。R1(config)#ipverifyUnicastreverse-path3.2.6VPN的應用本實例采用IPSEC建立sitetosite的VPN以實現(xiàn)分校區(qū)對主校區(qū)的安全訪問，實例中以兩個校區(qū)圖書館的互聯(lián)進行說明，為了方便配置采用SDM進行配置。圖3VPN示意圖參照圖中所示的拓撲，登陸cisco路由器的web配置實用程序配置的各項設置，并啟用一個名為站點到站點的VPN，該VPN采用MD5身份驗證和3DES加密，并且預共享密鑰為cisco123。首先登陸主校區(qū)的路由器，按照要求進行如下配置： 圖4VPN配置在完成了主校區(qū)的路由器VPN配置后，登錄分校區(qū)的路由器，進行VPN的配置，配置過程與上圖類似，故省略。這樣主校區(qū)和分校區(qū)的圖書館之間的VPN連接就建立好了，分校區(qū)的師生能通過VPN方便的訪問主校區(qū)的圖書館信息，就像訪問本地的局域網(wǎng)一樣。第四章總結4.1本人所完成的工作根據(jù)湖南鐵路科技職業(yè)技術學院技術學院的網(wǎng)絡現(xiàn)狀和網(wǎng)絡需求及校園網(wǎng)的特點，提出了一個可行的校園網(wǎng)升級方案。設計中采用分層網(wǎng)絡體系，將學校網(wǎng)絡設備劃分為：核心層，分布層和接入層。這樣做加強了學校網(wǎng)絡的可管理理性和可擴張性，適應了學校進一步發(fā)展的要求。同時采用VLAN技術按職能劃分虛擬子網(wǎng)，通過這種方式減小廣播域的大小，提高網(wǎng)絡整體性能，同時增強了網(wǎng)絡的安全性。設計中通過路由器的ACL技術，對數(shù)據(jù)包進行過濾，阻止非授權訪問。NAT技術的應用解決了私有地址訪問Internet的問題，實現(xiàn)了整個校園網(wǎng)主機對Internet的訪問，對校園內(nèi)部網(wǎng)進行保護，阻止未授權的外網(wǎng)用戶的訪問。學院本部和分校區(qū)之間通過VPN技術進行連接，確保了數(shù)據(jù)在Internet上傳輸?shù)陌踩乐箰阂獯a、黑客等的入侵。本設計以本院校園網(wǎng)為藍本，充分考慮了真實校園網(wǎng)網(wǎng)絡環(huán)境的情況?？紤]了校園網(wǎng)網(wǎng)絡可能會需求的內(nèi)部網(wǎng)規(guī)模，在VLAN中使用B類的私有地址，這樣就為以后網(wǎng)絡的擴充留下了足夠的地址空間。訪問層交換機使用CiscoCatalyst3550系列交換機，如果以后需要擴展，則只需進行交換機的堆疊。設計之初也充分考慮了實用性和系統(tǒng)的可行性，并在模擬設備中調(diào)試成功，可直接用于實際應用。4.2不足之處及進一步研究的方向4.2.1不足之處本設計沒有采用防火墻等網(wǎng)絡安全設備，而是使用路由器做為Internet接入設備，利用路由器實現(xiàn)網(wǎng)絡的基本安全。4.2.2進一步研究方向無線網(wǎng)絡的應用。無線網(wǎng)絡較有線網(wǎng)絡擁有移動性強，靈活性高，成本低等眾多優(yōu)點，隨著無線技術的越發(fā)成熟，網(wǎng)線網(wǎng)絡在園區(qū)和校園網(wǎng)中應用越來越廣泛。新概念安全產(chǎn)品的出現(xiàn)。安全產(chǎn)業(yè)正在從原有的防火墻、緊急響應系統(tǒng)、風險評估系統(tǒng)等各個產(chǎn)品各自為政的情況中走出，各種產(chǎn)品之間相互融合，取長補短，成為一個完整的網(wǎng)絡安全體系，這種兼有兩種或者幾種功能的產(chǎn)品正在逐漸走向成熟。負載均衡和Qos（QualityofService服務質(zhì)量）的應用能更加優(yōu)化網(wǎng)絡的結構，提高網(wǎng)絡的性能。校園網(wǎng)絡建設是一項復雜的系統(tǒng)工程，其安全建設要求統(tǒng)一考慮，長遠規(guī)劃，保證技術的先進性和可擴展性。在技術上要求適應網(wǎng)絡動態(tài)變化，建立自適應的安全保障體系。目前校園網(wǎng)只是實施了部分安全措施，在下一步的網(wǎng)絡安全建設中，將根據(jù)網(wǎng)絡安全模型，在不斷完善網(wǎng)絡安全方案的同時，逐步實施，因此，本設計方案還要在網(wǎng)絡建設、實施和運行過程中不斷完善和優(yōu)化。第五章致謝和參考文獻值此論文完成之際，我要對我的導師吳廷焰老師致以最誠摯的謝意。在課題研究及論文撰寫過程中，吳老師對我的研究工作給予了指導，他創(chuàng)新敬業(yè)的工作熱情和真摯平和的待人態(tài)度影響著我，使我不僅學到了許多有用的知識與經(jīng)驗，并且對我以后的工作有很大的幫助。我還要感謝文冬林老師他們在我撰寫論文的過程中提供了很多有用的建議。同時我感謝那些教過我的老師，是他們授予了我知識。他們淵博的學識，兢兢業(yè)業(yè)、勤奮刻苦的工作態(tài)度給我樹立了學習的榜樣。最后我要感謝我的家人，在我求學期間，是他們對我的無私關愛、理解支持使我能順利地完成學業(yè)，正是因為有了他們的支持和鼓勵，使我堅定了不斷前進的信心。我將永遠感謝所有給我?guī)椭椭С值呐笥选⒖嘉墨I：1.ToddLammle.CCNA學習指南(640-801)[M].北京:電子工業(yè)出版社,2008．2.西格瑞斯.Cisco局域網(wǎng)交換配置技術[M].北京:機械工業(yè)出版社,2003．3.wadeEdwaIds.CCNP四合一學習指南中文版[M].北京:電子工業(yè)出版社,2005．4.RkhaIdFmom,BaIajiSivsubmmanian,EmmFmhim.CCNP自學指南組建Cisco多層交換網(wǎng)絡(BCMSN)[M].北京:人民郵電出版社,2006.5.魏大新,李育龍,強振海.cisco網(wǎng)絡工程案例精粹[M].北京:電子工業(yè)出版社,2007．6.謝希仁.計算機網(wǎng)絡(第4版)[M].北京:電子工業(yè)出版社,2004．7.李山秀明,任勇.網(wǎng)絡安全概述[M].北京:中國工程科學2004.1．8.MerikeKaeo,CCIE#1287.網(wǎng)絡安全性設計[M].北京:人民郵電出版社,2005.93-434．9.何寶宏.IP虛擬專用網(wǎng)技術[M].北京:人民郵電出版社2002．57-124．10王達等.虛擬專用網(wǎng)(VPN)精解[M].北京:清華大學出版社2004.21-46．11.劉慶紅,李爍.校園網(wǎng)的建設[J].情報科學,2004,22(9):1119-1121．12.EricMaiwald.網(wǎng)絡安全實用指南[M].北京:清華大學出版社,2003．湖南鐵路科技職業(yè)技術學院畢業(yè)論文(設計)指導教師評閱表專業(yè)班級姓名：學號：日期：年月日課題名稱

評價內(nèi)容評價指標評分權值評定成績文獻綜述能獨立查閱文獻和從事其他調(diào)研；綜合分析的正確性和設計、計算的正確性；論證的充分性0.10

業(yè)務水平有扎實的基礎理論知識和專業(yè)知識；獨立工作能力和學習能力強；能運用所學知識和技能去發(fā)現(xiàn)與解決實際問題；能正確處理各類數(shù)據(jù)；能對課題進行理論分析，得出有價值的結論0.20

論文(設計說明書、圖紙)質(zhì)量綜述簡練完整，有見解；立論正確，論述充分，結論嚴謹合理；驗正正確，分析處理科學；文字通順，技術用語準確，符號標準統(tǒng)一，編號齊全，書寫工整規(guī)范，圖表完備、整潔、正確；論文結果有應用價值；圖紙繪制符合國家標準，質(zhì)量符合要求；計算及測試結果準確；工作中有創(chuàng)新意識；對前人工作有改進或突破，或有獨特見解0.60

工作量、工作態(tài)度按期完成規(guī)定的任務，工作量飽滿，難度較大；工作努力，遵守紀律；工作作風嚴謹務實0.10

合計

指導教師評語

指導教師(簽名)：

湖南鐵路科技職業(yè)技術學院畢業(yè)論文(設計)評閱教師評閱表專業(yè)班級姓名：學號：日期：年月日課題名稱

評價內(nèi)容評價指標評分權值評定成績文獻綜述查閱文獻有一定廣泛性；綜合分析的正確性和設計、計算的正確性；論證的充分性0.10

業(yè)務水平能運用所學知識和技能去發(fā)現(xiàn)與解決實際問題；能正確處理各類數(shù)據(jù)；能對課題進行分析，得出有價值的結論0.20

論文(設計說明書、圖紙)質(zhì)量綜述簡練完整，有見解；立論正確，論述充分，結論嚴謹合理；驗正正確，分析處理科學；文字通順，技術用語準確，符號標準統(tǒng)一，編號齊全，書寫工整規(guī)范，圖表完備、整潔、正確；論文結果有應用價值；圖紙繪制符合國家標準，質(zhì)量符合要求；工作中有創(chuàng)新意識；對前人工作有改進或突破，或有獨特見解0.60

工作量、難度按期完成規(guī)定的任務，工作量飽滿，難度較大0.10

合計

評閱教師(簽名)：

湖南鐵路科技職業(yè)技術