基于cisco設(shè)備的校園網(wǎng)設(shè)計和安全實現(xiàn)

基于cisco設(shè)備的校園網(wǎng)設(shè)計和安全實現(xiàn)摘要校園網(wǎng)是以網(wǎng)絡(luò)技術(shù)為基礎(chǔ)，實現(xiàn)學(xué)校整體信息化的集成應(yīng)用系統(tǒng)。它以網(wǎng)絡(luò)設(shè)備的互聯(lián)、安全運(yùn)行為基礎(chǔ)，以應(yīng)用軟件和教育資源為核心，以建構(gòu)現(xiàn)代教育技術(shù)及管理模式為目的，為學(xué)校信息化建設(shè)提供了全方位的服務(wù)。隨著互聯(lián)網(wǎng)的普及和國內(nèi)各高校網(wǎng)絡(luò)建設(shè)的不斷發(fā)展，大多數(shù)高校都建立了自己的校園網(wǎng)，它己經(jīng)成為高校信息化的重要部分，網(wǎng)絡(luò)安全已成為不容忽視的問題，如何在開放網(wǎng)絡(luò)環(huán)境中保證數(shù)據(jù)和系統(tǒng)的安全性已經(jīng)成為眾多業(yè)內(nèi)人士關(guān)心的問題，并越來越迫切和重要，作為一個面向大眾的開放系統(tǒng)，計算機(jī)網(wǎng)絡(luò)面臨著來自各方面的威脅和攻擊。因此，網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建是一個非常重要的問題，它涉及到從系統(tǒng)硬件到軟件，從單機(jī)到網(wǎng)絡(luò)的各個方面。本論文在論述校園局域網(wǎng)的規(guī)劃和建設(shè)的過程中，提出了網(wǎng)絡(luò)設(shè)計的基本目標(biāo)，在研究和分析了當(dāng)今各種局域網(wǎng)技術(shù)的基礎(chǔ)上，針對校園網(wǎng)建設(shè)需求，提出了校園網(wǎng)建網(wǎng)的原則和內(nèi)容、選擇了校園網(wǎng)系統(tǒng)的技術(shù)類型、完成了拓?fù)浣Y(jié)構(gòu)的選擇，繪出了網(wǎng)絡(luò)拓?fù)鋱D，完成了網(wǎng)絡(luò)設(shè)備的選擇，同時考慮到網(wǎng)絡(luò)安全在校園網(wǎng)建設(shè)中的重要性，完成了網(wǎng)絡(luò)安全設(shè)計。結(jié)合校園網(wǎng)的實際，根據(jù)現(xiàn)有設(shè)備條件，運(yùn)用VLAN技術(shù)、NAT技術(shù)、幀中繼交換技術(shù)、路由器訪問控制列表實現(xiàn)了對校園網(wǎng)的基本安全防護(hù)。關(guān)鍵詞：三層交換，網(wǎng)絡(luò)安全，虛擬局域網(wǎng)，虛擬專用網(wǎng)，網(wǎng)絡(luò)地址轉(zhuǎn)換，三層路由，幀中繼交換設(shè)備。目錄TOC\o"1-2"\h\z\u第一章前言 11.1課題研究的背景，目的及意義 11.2主要研究內(nèi)容 2第二章系統(tǒng)總體方案設(shè)計 32.1應(yīng)用的主用技術(shù)及說明 32.2相關(guān)設(shè)備的選擇 13第三章校園網(wǎng)設(shè)計及安全方案實現(xiàn) 153.1校園網(wǎng)組網(wǎng)設(shè)計 153.2校園網(wǎng)絡(luò)安全設(shè)計的配置實現(xiàn) 19第四章總結(jié) 304.1本人所完成的工作 304.2不足之處及進(jìn)一步研究的方向 30第五章致謝和參考文獻(xiàn) 32第一章前言1.1課題研究的背景，目的及意義計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展給人類社會帶來史無前例的沖擊，因特網(wǎng)的重要性和巨大優(yōu)勢有目共睹，在大大擴(kuò)展了信息資源共享尺度的同時也大大縮小了信息服務(wù)的時間尺度。隨著網(wǎng)絡(luò)規(guī)模的變化，以太網(wǎng)技術(shù)從一個辦公室網(wǎng)絡(luò)走向一個辦公樓的局域網(wǎng)乃至整個園區(qū)網(wǎng)，而在1998年之前，園區(qū)網(wǎng)技術(shù)往往會采用最早的FDDI技術(shù)和ATM技術(shù)。這種應(yīng)用變化對三層交換機(jī)提出了更高的性能要求，對數(shù)據(jù)轉(zhuǎn)發(fā)的控制能力和廣域網(wǎng)之間的路由互聯(lián)能力的要求也更高，同時可靠性、可用性要求也大大增強(qiáng)，二、三層交換功能也發(fā)展到由一個單獨(dú)芯片完成，交換容量也從最初的5Gbps發(fā)展到百千Gaps的水平，因此出現(xiàn)了VLAN、NAT等關(guān)鍵技術(shù)。在信息流動更加自由、可用資源更為豐富的同時，校園網(wǎng)必須為網(wǎng)絡(luò)可能面臨的全部威脅作好防御。雖然這些威脅形式多樣，但都將導(dǎo)致一定程度上的泄密以及對信息或資源的惡意破壞，從而造成巨大的經(jīng)濟(jì)損失甚至學(xué)校聲譽(yù)和經(jīng)濟(jì)利益的損壞。知道網(wǎng)絡(luò)的哪個部分更容易受到入侵，以及常見的攻擊者與他們所使用的攻擊方式和其他威脅的來源都是很重要的。過去人們傾向于信任內(nèi)部的用戶而不信任來自因特網(wǎng)的用戶。對內(nèi)部和那些被授權(quán)從企業(yè)外部使用內(nèi)部網(wǎng)資源的人員的信任固然重要，但是信任也必須依據(jù)現(xiàn)實情況。資料顯示，至少60％或更多的攻擊是由內(nèi)部的人員所為，不信任內(nèi)部用戶和采取更加嚴(yán)格的安全措施已經(jīng)成為一種越來越普遍的傾向。我們需要對網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備和關(guān)鍵資源的使用進(jìn)行限制，只有確實需要訪問網(wǎng)絡(luò)的人才能訪問，這樣一來就可以阻止危害計算機(jī)網(wǎng)絡(luò)安全的許多威脅。近年來，網(wǎng)絡(luò)安全產(chǎn)品從簡單的防火墻到目前的具備報警、預(yù)警、分析、審計、監(jiān)測等全面功能的網(wǎng)絡(luò)安全系統(tǒng)，在技術(shù)角度已經(jīng)實現(xiàn)了巨大進(jìn)步，也為企業(yè)在構(gòu)建網(wǎng)絡(luò)安全體系方面提供了更加多樣化的選擇，但是，網(wǎng)絡(luò)面臨的威脅卻并未隨著技術(shù)的進(jìn)步而有所抑制，反而使矛盾更加突出，從層出不窮的網(wǎng)絡(luò)犯罪到日益猖獗的黑客攻擊，似乎網(wǎng)絡(luò)世界正面臨著前所未有的挑戰(zhàn)，下面簡單分析網(wǎng)絡(luò)安全環(huán)境的現(xiàn)狀。1．在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)保護(hù)方面采取了安全措施，網(wǎng)絡(luò)／應(yīng)用系統(tǒng)分別部署防火墻、訪問控制設(shè)備等安全產(chǎn)品，采取了備份、負(fù)載均衡、硬件冗余等安全措施；2．實現(xiàn)了區(qū)域性的集中防病毒，實現(xiàn)了病毒庫的升級和防病毒客戶端的監(jiān)控和管理；3．安全工作由各網(wǎng)絡(luò)／應(yīng)用系統(tǒng)具體的維護(hù)人員兼職負(fù)責(zé)，安全工作分散到各個維護(hù)人員；4．應(yīng)用系統(tǒng)賬號管理、防病毒等方面具有一定流程，在網(wǎng)絡(luò)安全管理方面的流程相對比較薄弱，需要進(jìn)一步進(jìn)行修訂；5．員工安全意識有待加強(qiáng)，日常辦公中存在一定非安全操作情況，終端使用和接入情況復(fù)雜。本設(shè)計是在對校園的網(wǎng)絡(luò)的結(jié)構(gòu)以及安全需求進(jìn)行嚴(yán)格的分析之后提出來的網(wǎng)絡(luò)安全設(shè)計方案，傾向于更多地保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全，通過對學(xué)?？赡苁艿降耐{來源進(jìn)行分析，并為之做出一一對應(yīng)的防護(hù)措施，從而保障校園網(wǎng)絡(luò)不受到來自內(nèi)部網(wǎng)用戶、外部網(wǎng)用戶威脅。1.2主要研究內(nèi)容本課題研究的主要內(nèi)容是路由器與交換機(jī)的應(yīng)用技術(shù)，主要方向是通過對路由器和交換機(jī)的配置使一個網(wǎng)絡(luò)中不同的VLAN間可以互相訪問，VLAN中的用戶可以訪問外網(wǎng)Internet。設(shè)計中，采用了VLAN(虛擬局域網(wǎng))、VPN(虛擬專用網(wǎng))和幀中繼技術(shù)，配合訪問控制列表、以及NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)解決了內(nèi)部網(wǎng)、服務(wù)器與外網(wǎng)之間的通訊中存在的安全問題，并且為遠(yuǎn)程用戶提供了通過安全VPN接入校園內(nèi)部網(wǎng)的服務(wù)。第2章系統(tǒng)總體方案設(shè)計2.1應(yīng)用的主用技術(shù)及說明2.1.1三層交換VLAN技術(shù)交換機(jī)的每一個端口均為自己獨(dú)立的沖突域，但問時對于所有處于一個IP網(wǎng)段的網(wǎng)絡(luò)設(shè)備來說，卻處在一個廣播域中，當(dāng)工作站的數(shù)量較多、信息流很大的時候，就容易形成廣播風(fēng)暴，甚者造成網(wǎng)絡(luò)的癱瘓。在采用交換技術(shù)的網(wǎng)絡(luò)模式中，對于網(wǎng)絡(luò)結(jié)構(gòu)的劃分采用的僅僅是物理網(wǎng)段的劃分。這樣的網(wǎng)絡(luò)結(jié)構(gòu)從效率和安全性的角度來考慮都是有所欠缺的，而且在很大程度上限制了網(wǎng)絡(luò)的靈活性，如果需要將一個廣播域分開，那么就需要甚另外購買交換機(jī)并且要人工重新布線。但是，進(jìn)行虛擬網(wǎng)絡(luò)(VLAN)設(shè)置后就不需要另外購買交換機(jī)了。一個好的校園網(wǎng)設(shè)計應(yīng)該是一個分層的設(shè)計。為了簡化交換網(wǎng)絡(luò)的設(shè)計、提高網(wǎng)絡(luò)的可擴(kuò)展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換模塊的部署是分層進(jìn)行的。數(shù)據(jù)交換設(shè)備可以劃分為三個層次：訪問層、分布房、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第二層.隨著科技的進(jìn)一步發(fā)展，現(xiàn)代交換技術(shù)還實現(xiàn)了第二層交換和多層交換。高層交換技術(shù)的引入不但提高網(wǎng)絡(luò)數(shù)據(jù)交換的效率，更大大增加了校園網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。在現(xiàn)代的校園網(wǎng)中，大部引入了虛擬局域網(wǎng)(VLAN)的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減少了單個VLAN間VLAN主機(jī)的廣播通信對其它VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實現(xiàn).隨著校園規(guī)模的不斷擴(kuò)大，一個校園網(wǎng)的工作站就不斷增加。這時網(wǎng)絡(luò)管理人員需要的交換機(jī)數(shù)最就增加，這時我們就可以使用VLAN中繼協(xié)議(VLANTrunkingProtocol.VTP)簡化管理。通過中繼協(xié)議，只需在單獨(dú)臺交換機(jī)上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義到本管理域中的所有交換機(jī)上。這樣就可以大大的減輕網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。在一個規(guī)模較大的校園中，其下屬有多個部門，在各部門的孤立網(wǎng)絡(luò)進(jìn)行互連時，出于對不同職能部門的管理、安全和整體網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，我們進(jìn)行了VLAN的劃分。VLAN對于網(wǎng)絡(luò)用戶來說是完全透明的，用戶感覺不到使用中與交換式網(wǎng)絡(luò)有任何的差別，但對于網(wǎng)絡(luò)管理人員則有很大的不同，因為這主要取決于VLAN的幾點優(yōu)勢：對網(wǎng)絡(luò)中的廣播風(fēng)暴的控制，提高網(wǎng)絡(luò)的整體安全性，通過路由訪問列表、MAC地址分配等VLAN劃分原則，可以控制用戶的訪問權(quán)限和邏輯網(wǎng)段的大小。網(wǎng)絡(luò)管理的簡單、直觀。2.1.2NAT技術(shù)在此網(wǎng)絡(luò)設(shè)計方案中還采用了NAT技術(shù)。NAT(NetworkAddressTranslation)顧名思義就是網(wǎng)絡(luò)IP地址的轉(zhuǎn)換。NAT的出現(xiàn)是為了解決IP日益短缺的問題，將多個內(nèi)部地址映射為少數(shù)幾個甚至一個公網(wǎng)地址。這樣，就可以讓我們內(nèi)部網(wǎng)中的計算機(jī)通過偽IP訪問INTERNET的資源。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是一個Internet工程任務(wù)組(InternetEngineeringTaskForce.IETF)標(biāo)準(zhǔn)，用于允許專用網(wǎng)絡(luò)上的多臺PC(使用專用地址段，例如1O.0.x.x，192.168.x.x.，172.x.x.x)共享單個、全局路由的IPv4地址。IPv4地址日益不足是經(jīng)常部署NAT的一個主要原因。WindowsXP中的“Internet連接共享”及許多Internet網(wǎng)關(guān)設(shè)備都使用NAT，尤其是在通過DSL或電纜調(diào)制解調(diào)器連接寬帶網(wǎng)的情況下。NAT與防火墻或代現(xiàn)服務(wù)器不同，但它對網(wǎng)絡(luò)安全特別有利.在內(nèi)部網(wǎng)絡(luò)通過安金網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄.系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安余網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。設(shè)置NAT功能的路由器至少要有一個內(nèi)部端口(Insíde)。一個外部端口(Outsíde)。內(nèi)部端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部IP地址(私有IP)，外部端口連接的是外部的網(wǎng)絡(luò)，使用電信部門分配給我們的IP地址。NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、復(fù)用動態(tài)地址轉(zhuǎn)換。(1)靜態(tài)地址轉(zhuǎn)換靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進(jìn)行一對一地轉(zhuǎn)換，且需要指定和哪個合法地址進(jìn)行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)有www服務(wù)器或FTP服務(wù)器等可以為外部用戶提供服務(wù)，則這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。(2)動態(tài)地址轉(zhuǎn)換動態(tài)地址轉(zhuǎn)換也是將內(nèi)部本地地址與內(nèi)部合法地址一對一地轉(zhuǎn)換，但是動態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動態(tài)地選擇一個未使用的地址來對內(nèi)部本地地址進(jìn)行轉(zhuǎn)換的。(3)復(fù)用動態(tài)地址轉(zhuǎn)換復(fù)用動態(tài)地址轉(zhuǎn)換首先是一種動態(tài)地址轉(zhuǎn)換，但是它可以允許多個內(nèi)部本地地址共用一個內(nèi)部合法地址。對只申請到少量IP地址但卻經(jīng)常同時有多個用戶上外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換極為有用。PAT(PortAddressTranslatíon)也稱為NAPT，就是將多個內(nèi)部地址映射為一個公網(wǎng)地址.但以不同的協(xié)議端口號與不同的內(nèi)部地址相對應(yīng)。這種方式常用于撥號上Internet網(wǎng)?？傊?，NAT的功能就是指將使用私有地址的網(wǎng)絡(luò)與公用網(wǎng)絡(luò)INTERNET相連，使用私有地址的內(nèi)部網(wǎng)絡(luò)通過NAT路由器發(fā)送數(shù)據(jù)時，私有地址將被轉(zhuǎn)化為合法注冊的IP地址從而可以與INTERNET上的其他主機(jī)進(jìn)行通訊。NAT路由器被置于內(nèi)部網(wǎng)和INTERNET的邊界上并且在把數(shù)據(jù)包發(fā)送到外部網(wǎng)絡(luò)前將數(shù)據(jù)包的源地址轉(zhuǎn)換為合法的IP地址。當(dāng)多個內(nèi)部主機(jī)共享一個合法IP地址時，地址轉(zhuǎn)換是通過端口多路復(fù)用即改變外出數(shù)據(jù)包的源端口并進(jìn)行端口映射。2.1.3VPN技術(shù)VPN(VirtualPrivateNetwork)，即虛擬專用網(wǎng)是利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，通過“隧道”技術(shù)、加密技術(shù)、認(rèn)證技術(shù)和訪問控制等手段提供一種通過公用網(wǎng)絡(luò)安全地對單位內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。也就是說可以通過公共IP網(wǎng)利用VPN技術(shù)來建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分校區(qū)、移動辦公人員和校園內(nèi)網(wǎng)連接起來，并提供安全的端到端的數(shù)據(jù)通訊。隨著互聯(lián)網(wǎng)的普及、通信技術(shù)的進(jìn)步、信息化程度的提高，國內(nèi)高校也越來越重視數(shù)字化校園的開發(fā)，依托先進(jìn)的網(wǎng)絡(luò)技術(shù)開展電化教學(xué)、教學(xué)資源、信息化管理等平臺的建設(shè)。伴隨我國高校改革深入和逐年擴(kuò)招，各地高校都在擴(kuò)建或新建校區(qū)，校校之間實行合并或聯(lián)合辦學(xué)，如何實現(xiàn)這些分布在各地的校區(qū)網(wǎng)絡(luò)的互聯(lián)，實現(xiàn)校園內(nèi)網(wǎng)資源的共享，成為一個急需解決的問題；同時由于家庭互聯(lián)網(wǎng)絡(luò)的普及以及移動辦公和科研的需要，師生員工也對從校外訪問校內(nèi)資源提出了新的需求。通過虛擬專用網(wǎng)技術(shù)即VPN技術(shù)，設(shè)計一套可管理、可認(rèn)證、安全的遠(yuǎn)程訪問校園內(nèi)網(wǎng)的解決方案，不僅可以實現(xiàn)異地多校區(qū)間透明的互聯(lián)，同時可使校外用戶通過鑒權(quán)后擁有校內(nèi)地址，進(jìn)而訪問校內(nèi)數(shù)字資源數(shù)據(jù)。例子如圖2.1—1所示：

圖2.1—1

r1(config)#intf0/0

r1(config-if)#ipadd0

r1(config-if)#noshu

r1(config-if)#intf1/0

r1(config-if)#ipadd0

r1(config-if)#noshu

r1(config)#iproute1

做一條默認(rèn)路由使全網(wǎng)互通

r1(config)#cryptoisakmppolicy1

r1(config-isakmp)#authenticationpre-share

啟用定義共享密鑰

r1(config-isakmp)#encryption3des

加密使用3DES算法

r1(config-isakmp)#hashmd5

驗證密鑰使用MD5雜湊算法

r1(config)#cryptoisakmpkey0123address1設(shè)置共享密鑰為123和對端地址

r1(config)#cryptoisakmptransform-setzhaoah-md5-hesp-3des傳輸模式名為zhao驗證為md5加密為3des

r1(config)#accress-list101permitip5555配置ACL

r1(config)#cryptomapjin1ipsec-isakmp

創(chuàng)建cryptomap名字為jin

r1(config-crypto-map)#setpeer1

指定鏈路對端IP地址

r1(config-crypto-map)#settransfrom-setzhao

指定傳輸模式zhao

r1(config-crypto-map)#matchaddress101

指定應(yīng)用訪控列表

r1(config)#intf0/0

r1(config)#cryptomapjin

應(yīng)用到接口

r2(config)#intf0/0r2(config-if)#ipadd0

r2(config-if)#noshut

r2(config-if)#intf1/0

r2(config-if)#ipadd1

r2(config-if)#noshut

r2(config)#iproute0

做一條默認(rèn)路由使全網(wǎng)互通

r2(config)#cryptoisakmppolicy1

r2(config-isakmp)#authenticationpre-share

啟用定義共享密鑰

r2(config-isakmp)#encryption3des

加密使用3DES算法

r2(config-isakmp)#hashmd5

驗證密鑰使用MD5雜湊算法

r2(config)#cryptoisakmpkey0123address0

設(shè)置共享密鑰為123和對端地址

r2(config)#cryptoisakmptransform-setzhaoah-md5-hesp-3des

傳輸模式名為zhao驗證為md5加密為3des

r2(config)#accress-list101permitip5555

配置ACL

r2(config)#cryptomapjin1ipsec-isakmp

創(chuàng)建cryptomap名字為jin

r2(config-crypto-map)#setpeer1

指定鏈路對端IP地址

r2(config-crypto-map)#settransfrom-setzhao

指定傳輸模式zhao

r2(config-crypto-map)#matchaddress101

指定應(yīng)用訪控列表

r2(config)#intf0/0

r2(config)#cryptomapjin

vpcs1:ip8024

vpcs2:ip9024

vpcs3:ip8024

vpcs4:ip9024

之后ping測試。

show看效果，用到的show命令為：

查看端口應(yīng)用：r1#showcryptomap

查看IKE協(xié)商：r1#showcryptoisakmppolicy

查看傳輸模式：r1#showcryptoipsectransform-set

IPSec(IntemetProtocolSecurity)即因特網(wǎng)安全協(xié)議是—個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信，主要是為IP通信提供加密和認(rèn)證，它為數(shù)據(jù)在通過公用網(wǎng)絡(luò)(一般為因特網(wǎng))在網(wǎng)絡(luò)層進(jìn)行傳輸時提供安全保障。通信雙方要建立IPSec通道，首先要采用一定的方式建立通信連接。因為IPSec協(xié)議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，這包括如加密運(yùn)算法則和身份驗證方法類型等。在IPSec協(xié)議中，一旦IPSec通道建立，所有在網(wǎng)絡(luò)層之上的協(xié)議在通信雙方都經(jīng)過加密，如TCP、UDP、ICMP等，而不管這些通道構(gòu)建時所采用的安全和加密方法如何。IPSec的VPN通道是在兩個局域網(wǎng)之間通過Intemet建立的安全連接，保護(hù)的是點對點之間的通信，并且它不局限于Web等特定的應(yīng)用，還能構(gòu)建局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，功能和應(yīng)用的擴(kuò)展性更強(qiáng)，對于普通用戶根本無需關(guān)心局域網(wǎng)間的連接方式，就像在一個網(wǎng)內(nèi)一樣，實現(xiàn)了透明的訪問。2.1.4幀中繼交換技術(shù)幀中繼已成為世界上使用最廣泛的WAN技術(shù)。大型企業(yè)、政府、ISP和小公司紛紛選用幀中繼，主要是因為幀中繼具有成本低、靈活性高的優(yōu)點。隨著組織的發(fā)展壯大，組織越來越依賴于可靠的數(shù)據(jù)傳輸，此時傳統(tǒng)租用線路解決方案的成本將變得高不可攀。技術(shù)領(lǐng)域的日新月異和網(wǎng)絡(luò)行業(yè)的合并與收購都需要更高的靈活性。由于所需的設(shè)備較少，復(fù)雜性較低，并且更容易實現(xiàn)，因此幀中繼可以降低網(wǎng)絡(luò)的成本。更重要的是，與私有或租用線路相比，幀中繼提供更高的帶寬、可靠性和彈性。為了順應(yīng)全球化與一對多分支機(jī)構(gòu)拓?fù)涞陌l(fā)展潮流，幀中繼提供更簡單的體系結(jié)構(gòu)和更低的擁有成本。DTE設(shè)備和DCE設(shè)備之間的連接由物理層組件和鏈路層組件組成：物理層組件定義設(shè)備間連接的機(jī)械、電氣、功能和規(guī)程規(guī)范。最常用的一種物理層接口規(guī)范是RS-232規(guī)范。鏈路層組件定義在DTE設(shè)備（例如路由器）和DCE設(shè)備（例如交換機(jī)）之間建立連接的協(xié)議。（1）.虛電路：兩個DTE之間通過幀中繼網(wǎng)絡(luò)實現(xiàn)的連接叫做虛電路(VC)。這種電路之所以叫做虛電路是因為端到端之間并沒有直接的電路連接。這種連接是邏輯連接，數(shù)據(jù)不通過任何直接電路即從一端移動到另一端。利用虛電路，幀中繼允許多個用戶共享帶寬，而無需使用多條專用物理線路，便可在任意站點間實現(xiàn)通信。（2）.逆向ARP：逆向地址解析協(xié)議(ARP)從第2層地址（例如幀中繼網(wǎng)絡(luò)中的DLCI）中獲取其它站點的第3層地址。逆向地址解析協(xié)議主要用于幀中繼和ATM網(wǎng)絡(luò)，在這兩種網(wǎng)絡(luò)中，虛電路的第2層地址有時從第2層信號中獲取，但在虛電路投入使用之前，必須解析出對應(yīng)的第3層地址。ARP將第3層地址轉(zhuǎn)換為第2層地址，逆向ARP則反其道而行之。（3）.本地管理接口(LMI)：大體而言，LMI是一種keepalive（保持連接）的機(jī)制，提供路由器(DTE)和幀中繼交換機(jī)(DCE)之間的幀中繼連接的狀態(tài)信息。終端設(shè)備每10秒（或大概如此）輪詢一次網(wǎng)絡(luò)，請求啞序列響應(yīng)或通道狀態(tài)信息。如果網(wǎng)絡(luò)沒有響應(yīng)請求的信息，用戶設(shè)備可能會認(rèn)為連接已關(guān)閉。網(wǎng)絡(luò)作出FULLSTATUS響應(yīng)時，響應(yīng)中包含為該線路分配的DLCI的狀態(tài)信息。終端設(shè)備可以使用此信息判斷邏輯連接是否能夠傳遞數(shù)據(jù)。校園網(wǎng)設(shè)計圖配置如下：（4）.南校區(qū)實訓(xùn)樓路由器配置：R2#conftR2(config)#ints1/1/1R2(config-if)#encapsulationframe-relayR2(config-if)#frame-relaymapip102broadcastciscoR2(config-if)#frame-relaymapip103broadcastciscoR2(config-if)#bandwidth256R2(config-if)#frame-relaylmi-typeciscoR2(config-if)#exitR2(config)#iprouteR2(config)#iprouteR2(config)#iproute（5）.北校區(qū)路由器配置如下：R0#conftR0(config)#ints0/1/0R0(config-if)#encapsulationframe-relayR0(config-if)#frame-relaymapip301broadcastciscoR0(config-if)#frame-relaymapip302broadcastciscoR0(config-if)#frame-relaylmi-typeciscoR0(config-if)#bandwidth256R0(config-if)#exitR0(config)#iprouteR0(config)#iproute（6）.防火墻路由器配置如下：R1#conftR1(config)#ints1/1R1(config-if)#encapsulationframe-relayR1(config-if)#frame-relaymapip201broadcastciscoR1(config-if)#frame-relaymapip203broadcastciscoR1(config-if)#frame-relaylmi-typeciscoR1(config-if)#bandwidth256R1(config-if)#exitR1(config)#iprouteR1(config)#iprouteR1(config)#iproute（7）.幀中繼交換機(jī)的配置如下圖所示：圖2.1-2設(shè)置ATM交換機(jī)Serial1接口上的LMI模式和接口的DLCI標(biāo)識；圖2.1-3設(shè)置ATM交換機(jī)Serial1接口上的LMI模式和接口的DLCI標(biāo)識；圖2.1-4設(shè)置ATM交換機(jī)Serial2接口上的LMI模式和接口的DLCI標(biāo)識；圖2.1-5設(shè)置ATM交換機(jī)Serial1、Serial0、Serial2接口上的相互之間的DLCI映射關(guān)系。綜合以上技術(shù)分析，設(shè)計選用了幀中繼交換技術(shù)作為校區(qū)之間互聯(lián)的解決方案。2.1.5MAC地址綁定技術(shù)在cisco交換機(jī)中為了防止ip被盜用或員工亂改ip，可以做以下措施，既ip與mac地址的綁定，和ip與交換機(jī)端口的綁定。（1）.通過IP查端口（2）.ip與mac地址的綁定，這種綁定可以簡單有效的防止ip被盜用，別人將ip改成了你綁定了mac地址的ip后，其網(wǎng)絡(luò)不同，（tcp/udp協(xié)議不同，但netbios網(wǎng)絡(luò)共項可以訪問），具體做法：方案一：基于端口的MAC地址綁定S1(config)#Interfacefastethernet0/1＃進(jìn)入具體端口配置模式S1(config-if)#Switchportport-secruity＃配置端口安全模式S1(config-if)#switchportport-securitymac-addressMAC(主機(jī)的MAC地址)

＃配置該端口要綁定的主機(jī)的MAC地址

注意：以上命令設(shè)置交換機(jī)上某個端口綁定一個具體的MAC地址，這樣只有這個主機(jī)可以使用網(wǎng)絡(luò)，如果對該主機(jī)的網(wǎng)卡進(jìn)行了更換或者其他PC機(jī)想通過這個端口使用網(wǎng)絡(luò)都不可用，除非刪除或修改該端口上綁定的MAC地址，才能正常使用。方案二：基于MAC地址的擴(kuò)展訪問列表S1(config)#Macaccess-listextendedMAC10

＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10

S1(config-ext-nacl)#permithost0009.6bc4.d4bfany＃定義MAC地址為0009.6bc4.d4bf的主機(jī)可以訪問任意主機(jī)

S1(config-ext-nacl)#permitanyhost0009.6bc4.d4bf＃定義所有主機(jī)可以訪問MAC地址為0009.6bc4.d4bf的主機(jī)

S1(config)#interfaceFa0/20#進(jìn)入配置具體端口的模式S1(config-if)#macaccess-groupMAC10in＃在該端口上應(yīng)用名為MAC10的訪問列表（即前面定義的訪問策略）此功能與應(yīng)用一大體相同，但它是基于端口做的MAC地址訪問控制列表限制，可以限定特定源MAC地址與目的地址范圍。注意：以上功能在思科2950、3550、4500、6500系列交換機(jī)上可以實現(xiàn)，但是需要注意的是2950、3550需要交換機(jī)運(yùn)行增強(qiáng)的軟件鏡像（EnhancedImage）。

方案三：IP地址的MAC地址綁定

S1(config)#Macaccess-listextendedMAC10＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10

S1(config-ext-nacl)#permithost0009.6bc4.d4bfany

＃定義MAC地址為0009.6bc4.d4bf的主機(jī)可以訪問任意主機(jī)

S1(config-ext-nacl)#permitanyhost0009.6bc4.d4bf＃定義所有主機(jī)可以訪問MAC地址為0009.6bc4.d4bf的主機(jī)S1(config)#Ipaccess-listextendedIP10＃定義一個IP地址訪問控制列表并且命名該列表名為IP10S1(config-ext-nacl)#Permitany＃定義IP地址為的主機(jī)可以訪問任意主機(jī)S1(config-ext-nacl)#Permitany＃定義所有主機(jī)可以訪問IP地址為的主機(jī)S1(config)#interfaceFa0/20#進(jìn)入配置具體端口的模式S1(config-if)#macaccess-groupMAC10in＃在該端口上應(yīng)用名為MAC10的訪問列表（即前面定義的訪問策略）S1(config-if)#Ipaccess-groupIP10in＃在該端口上應(yīng)用名為IP10的訪問列表（即前面定義的訪問策略）上述所提到的應(yīng)用1是基于主機(jī)MAC地址與交換機(jī)端口的綁定，方案2是基于MAC地址的訪問控制列表，前兩種方案所能實現(xiàn)的功能大體一樣。如果要做到IP與MAC地址的綁定只能按照方案3來實現(xiàn)，可根據(jù)需求將方案1或方案2與IP訪問控制列表結(jié)合起來使用以達(dá)到自己想要的效果。2.2相關(guān)設(shè)備的選擇為了實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。在校園網(wǎng)中，全網(wǎng)使用同一廠商設(shè)備。其好處在于可以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。（1）.訪問層交換機(jī)CiscoCatalyst295024口交換機(jī)（WS-C2950-24）。交換機(jī)擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是Cisco的IOS操作系統(tǒng)分布層交換機(jī)：這里的分布層交換機(jī)采用的是CiscoCatalyst3550交換機(jī)。作為3層交換機(jī)，CiscoCatalyst3550交換機(jī)擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口，同時還有2個1000Mbps的GBIC（GigaBitrateInterfaceConverter，是將千兆位電信號轉(zhuǎn)換為光信號的接口器件）端口供上連使用，運(yùn)行的是Cisco的IntegratedIOS操作系統(tǒng)。核心層交換機(jī)：本實例中的核心層交換機(jī)采用的是CiscoCatalyst4006交換機(jī)，采用了Catalyst4500SupervisorIIPlus（WS-X4013+）作為交換機(jī)引擎。運(yùn)行的是Cisco的IntegratedIOS操作系統(tǒng)。在作為核心層交換機(jī)的CiscoCatalyst4006交換機(jī)中，安裝了WS-X4306-GB（Catalyst4000GigabitEthernetModule,6-Ports(GBIC)）模塊，該模塊提供了5個千兆光纖上連接口，可以用來接入WS-G5484（1000BASE-SXShortWavelengthGBIC(Multimodeonly)）路由器：Cisco2811提供了靈活、可擴(kuò)展的集成解決方案，可簡化管理分支機(jī)構(gòu)網(wǎng)絡(luò)解決方案的流程。Cisco2811提供了全面的特性集，適用于：(1).多服務(wù)語音／數(shù)據(jù)集成(2).帶防火墻和加密選項的VPN接入(3).模擬撥號接入服務(wù)(4).帶寬管理的路由(5).VLAN問路由(6).高速企業(yè)級DsL接入的提供(7).經(jīng)濟(jì)有效的ATM接入(8).靈活路由和低密交換的集成第三章校園網(wǎng)設(shè)計及安全方案實現(xiàn)3.1校園網(wǎng)組網(wǎng)設(shè)計3.1.1建網(wǎng)需求分析校園網(wǎng)工程是一項高科技的綜合性建設(shè)項目，它不僅涉及了許多方面的技術(shù)，同時也涉及到學(xué)校的各個部門。校園網(wǎng)建設(shè)的總體目標(biāo)是建成一個主干網(wǎng)，其上連接多個子網(wǎng)，使全校的教學(xué)、科研、管理等項目工作都能在網(wǎng)上進(jìn)行，充分利用這個速度高、功能強(qiáng)的信息傳輸和處理媒介，共享網(wǎng)上的軟、硬件資源。校園網(wǎng)建設(shè)是一項長期的工程，除建設(shè)和實施工程外，還有運(yùn)行管理、維護(hù)和發(fā)展的任務(wù)。因此，就要求所建的校園網(wǎng)即建即能使用，且好用實用。技術(shù)上采用當(dāng)前先進(jìn)的軟件、硬件技術(shù)，且具有良好的升級、擴(kuò)展功能，以滿足今后大容量、超高速、多媒體數(shù)據(jù)傳輸?shù)男枰峁┤珪r的服務(wù)，此外，網(wǎng)絡(luò)還應(yīng)具有良好的兼容性，以保證有好的互連性。為建立一個適合于本學(xué)校的校園網(wǎng)，結(jié)合學(xué)校的實際情況，通過比較詳細(xì)的需求分析工作，本課題主要針對以下幾個方面：(1).連接校內(nèi)所有教學(xué)樓、實驗室、辦公樓等各建筑物中的計算機(jī)。(2).同時支持約2000用戶瀏覽Internet。(3).提供基本的Internet網(wǎng)絡(luò)服務(wù)功能：如文件傳輸、http服務(wù)、電子公告牌等。(4).提供足夠的帶寬，為教學(xué)和科研提高良好的條件。(5).經(jīng)廣域網(wǎng)接口，提供國內(nèi)外計算機(jī)系統(tǒng)的互連，為國際間的信息交流和科研合作，為學(xué)?？焖佾@得最新教學(xué)成果及技術(shù)合作等創(chuàng)造良好的信息通路。(6).應(yīng)用多種網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)技術(shù)實現(xiàn)校園網(wǎng)絡(luò)的基本安全。3.1.2網(wǎng)絡(luò)拓?fù)湓O(shè)計我院校園網(wǎng)總投資200多萬元，于1999年3月建成并投入使用。校園網(wǎng)由東校區(qū)和南校區(qū)兩個部分組成，骨干鏈路采用千兆以太網(wǎng)交換技術(shù)，已覆蓋校園大部分范圍如辦公樓、教學(xué)樓、學(xué)生公寓等，現(xiàn)有網(wǎng)絡(luò)節(jié)點1400多個。校園網(wǎng)出口為電信100M光纖，實現(xiàn)東校區(qū)與南校區(qū)互聯(lián)。學(xué)院的網(wǎng)絡(luò)平臺和應(yīng)用系統(tǒng)都有了一定的基礎(chǔ)，在教學(xué)、科研、實訓(xùn)、研究、辦公都已得到廣泛的應(yīng)用。校園網(wǎng)上已經(jīng)開展了辦公自動化、信息瀏覽、電子郵件、精品課程、多媒體教學(xué)、教學(xué)管理等服務(wù)。但是我院校園網(wǎng)可管理性差，主干設(shè)備缺乏可拓展性，沒有冗余功能。隨著時間的推移這些問題更加突出。在過去的幾年中校園網(wǎng)經(jīng)常出現(xiàn)病毒泛濫和斷線等情況，由于設(shè)備的落后，出現(xiàn)問題后不能及時找到問題源頭，給廣大師生帶來了一定的影響。故此，在本設(shè)計中提出了對校園網(wǎng)進(jìn)行改造。改造的目的在于提高網(wǎng)絡(luò)的性能，更好的為廣大師生服務(wù)。在本設(shè)計中采用cisco三層網(wǎng)絡(luò)體系，為校園網(wǎng)主干提供冗余。同時可管理的設(shè)備加強(qiáng)整個校園網(wǎng)的安全性和可擴(kuò)展性。設(shè)計拓?fù)鋱D如下：圖1校園網(wǎng)拓?fù)鋱D3.1.3配置說明校園網(wǎng)主干：由一臺ciscocatalyst4006交換機(jī)和2臺ciscocatalyst3550兩兩互聯(lián)構(gòu)成環(huán)形。出口：學(xué)校到中國電信的網(wǎng)絡(luò)接口帶寬為100M。域名：IP地址范圍:29—423.1.4整個校園網(wǎng)中VLAN及IP編址方案VLAN號VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)管說明VLAN2second/2526/25男生宿舍樓2號樓第二層VLAN3third/2526/25男生宿舍樓2號樓第三層VLAN4fourth/2526/25男生宿舍樓2號樓第四層Vlan5fifth/2526/25男生宿舍樓2號樓第五層VLAN6sixth/2526/25男生宿舍樓2號樓第六層VLAN7seventh/2526/25男生宿舍樓2號樓第七層VLAN10tenth/2526/25女生宿舍4號樓第1到2層VLAN11eleventh28/2554/25女生宿舍4號樓第3到4層VLAN12twelfth/2526/25女生宿舍4號樓第5到6層VLAN20Mix1/2526/25混合寢室樓第1到2層VLAN21Mix228/2554/25混合寢室樓第3層VLAN30Girl1/2526/25女生宿舍5號樓第1層VLAN31Girl228/2554/25女生宿舍5號樓第2層VLAN32Girl3/2526/25女生宿舍5號樓第3層VLAN33Girl428/2554/25女生宿舍5號樓第4層VLAN34Girl5/2526/25女生宿舍5號樓第5層Vlan35Girl628/2554/25女生宿舍5號樓第6層Vlan40jiaowuchu/284/28教務(wù)處Vlan41studentwork6/292/29學(xué)生工作處Vlan42caiwu4/290/29財務(wù)處Vlan43houqinchu2/298/29后勤處Vlan50Jiaoshi1-2/2454/24教師樓1到2層Vlan51Jiaoshi3-4/2454/24教師樓3到4層Vlan52Jiaoshi5-6/2454/24教師樓5到6層Vlan53tushu0/296/29圖書館Vlan60Jifang1f/2454/241樓機(jī)房Vlan61Jifang3f/2454/243樓機(jī)房Vlan62Jifang4f/2454/244樓機(jī)房Vlan63Jifang5f/2454/245樓機(jī)房Vlan64guanli8/294/29管理員Vlan65Fuwuqi16/307/30DNS、DHCP服務(wù)器Vlan66Fuwuqi20/301/30WEB、FTP服務(wù)器Vlan67qinshi/24/24北院寢室Vlan68jiaoxue/24/24教學(xué)表1VLAN及IP編址方案表3.2校園網(wǎng)絡(luò)安全設(shè)計的配置實現(xiàn)3.2.1網(wǎng)絡(luò)設(shè)備的基本配置校園網(wǎng)采用的核心交換機(jī)是：cisco3560，分布層采用的是若干臺cisco3560。接入層采用的是：cisco2960。路由器是：Cisco2811網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)的核心，所以它的安全性影響到整個校園網(wǎng)的安全。除了應(yīng)該把它放置到專門的配線間，還應(yīng)該對其進(jìn)行基本的登錄密碼配置。下面以Cisco2811路由器為例進(jìn)行配置說明。R1>enable /*由用戶模式進(jìn)入特權(quán)模式R1#configureterminal /*由特權(quán)模式進(jìn)入全局配置模式R1(config)#enablesecretcisco /*配置特權(quán)模式密碼為ciscoRouter(config)#lineconsole0 Router(config-line)#passwordcisco /*配置登陸console口的密碼為ciscoRouter(config-line)#login /*啟用登入檢測Router(config-line)#linevty04 Router(config-line)#passwordcisco /*配置telnet的密碼為ciscoRouter(config-line)#login /*啟用登入檢測Router(config)#servicepassword-encryption /*對配置的密碼進(jìn)行加密，這樣用showrun看到的都是加密后的密文。本實例中為了方便，所以把密碼都設(shè)置成了cisco，但實際操作應(yīng)該配置強(qiáng)密碼。其他設(shè)備的密碼設(shè)置方法同上，不另加說明。3.2.2VLAN和三層交換機(jī)的配置我們采用的VLAN劃分是以端口為中心的，與節(jié)點相連的端口將確定它駐留的VLAN。先在VTP（VLANTrunkingProtocol）sever上建立VLAN，然后將每個端口分配給相應(yīng)的VLAN。核心交換機(jī)命名為：S1；分布層交換機(jī)分別為：3560-1、3560-2，分別通過光纖模塊與核心交換機(jī)相連。訪問層交換機(jī)分別2960-1，2960-2，……(1).設(shè)置VTPDOMAIN，VTPDOMAIN稱為管理域。交換VTP更新信息的所有交換機(jī)必須配置為相同的管理域。S1(config)#vtpdomainabc /*設(shè)置vtp管理域名稱S1(config)#vtppasswordcisco/*設(shè)置vtp管理域密碼S1(config)#vtpmodeserver/*設(shè)置交換機(jī)為vtp服務(wù)器模式S1(config)#vtpdomainabc/*設(shè)置vtp管理域名稱S1(config)#vtppasswordcisco/*設(shè)置vtp管理域密碼S1(config)#vtpmodeclient/*設(shè)置交換機(jī)為vtp服務(wù)器模式……這里設(shè)置交換機(jī)為Server模式是指允許在本交換機(jī)上創(chuàng)建、修改、刪除VLAN及其他一些對整個VTP域的配置參數(shù)，同步本VTP域中其他交換機(jī)傳遞來的最新的VLAN信息。Client模式是指本交換機(jī)不能創(chuàng)建、刪除、修改VLAN配置，也不能在NVRAM中存儲VLAN配置，但可以同步由本VTP域中其他交換機(jī)傳遞來的VLAN信息。(2).配置中繼為了保證管理域能夠覆蓋所有的分支交換機(jī)，必須配置中繼(trunk)。中繼是一個在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，通過在交換機(jī)直接相連的端口配置dotlq封裝，即可跨越交換機(jī)進(jìn)行整個網(wǎng)絡(luò)的VLAN分配和進(jìn)行配置。核心交換機(jī)配置如下：S1(config)#interfacerangefastethernet0/2-3S1(config-if)#switchportmodetrunk/*配置fastethernet0/2和fastethernet0/3為中繼接口S1(config-if)#switchporttrunkencapsulationdot1q/*配置trunk封裝dot1q，這是默認(rèn)的封裝，故可以省略分支交換機(jī)端配置如下：S2(config)#interfacefastethernet0/5S2(config)#switchportmodetrunkS2(config)#switchporttrunkencapsulationdot1q……此時，管理域算是設(shè)置完畢了。(3).創(chuàng)建VLAN一旦建立了管理域，就可以創(chuàng)建VLAN了。S1(config)#vlan60S1(vlan)#vlan60namejifang1f/*創(chuàng)建一個編號為60名字為jifang1f的VLANS1(vlan)#vlan61namejifang3f/*創(chuàng)建一個編號為61名字為jifang3f的VLAN……這里的VLAN是在核心交換機(jī)上建立的，其實，只要是在管理域中的任何一臺VTP屬性為Server的交換機(jī)上建立VLAN，它就會通過VTP通告整個管理域中的所有的交換機(jī)。但是如果要將交換機(jī)的端口劃入某個VLAN,就必須在該端口所屬的交換機(jī)上進(jìn)行設(shè)置。(4).將交換機(jī)端口劃入VLANS1(config)#ingterfacefastethernet0/6/*配置端口6S1(config)#switchportaccessvlan64 /*歸屬guanliVLANS1(config)#ingterfacefastethernet0/8/*配置端口8S1(config)#switchportaccessvlan65/*歸屬fuwuqi1VLAN……(5).配置三層交換VLAN劃分完畢后，VLAN間實現(xiàn)三層（網(wǎng)絡(luò)層）交換時就要給各VLAN分配網(wǎng)絡(luò)（IP）地址了。按照表1的方案配置。首先在核心層交換機(jī)上分別設(shè)置各VLAN的接口IP地址，如下所示:S1(config)#interfacevlan64S1(config-if)#ipaddress448/*定義VLAN64接口IPS1(config)#interfacevlan65S1(config-if)#ipaddress752/*定義VLAN65接口IPS1(config)#interfacevlan66S1(config-if)#ipaddress152/*定義VLAN66接口IP……S1(config)#iprouting/*啟用三層交換功能S1(config)#ipclassless/*啟用無類路由S1(config)#ipsubnet-zero/*啟用對零子網(wǎng)的支持再在各接入VLAN的計算機(jī)上設(shè)置與所屬VLAN的網(wǎng)絡(luò)地址一致的IP地址，并且把默認(rèn)網(wǎng)關(guān)設(shè)置為該VLAN的接口地址。這樣，所有的VLAN也可以互訪了。VLAN的劃分可以隔離廣播，同時可以采用訪問控制列表來對每個VLAN進(jìn)行控制。(6).為各VLAN配置DHCP服務(wù)為了方便各個VLAN內(nèi)IP地址的配置，減少網(wǎng)絡(luò)管理員的負(fù)擔(dān)，所以為每個VLAN配置DHCP服務(wù)，這樣每個VLAN內(nèi)的用戶都將使用DHCP服務(wù)自動獲取IP，以防止IP沖突的出現(xiàn)。在核心交換機(jī)上配置DHCP服務(wù)的命令如下：S1（config）#ipdhcppoolQWE /*配置QWE的地址池S1(dhcp-config)#network848/*設(shè)定分配地址為8/29S1(dhcp-config)#dns-server8/*設(shè)置DNS為8S1(dhcp-config)#default-router4/*設(shè)置默認(rèn)網(wǎng)關(guān)為4S1（config）#ipdhcppoolDASD /*配置DASD的地址池S1(dhcp-config)#network/*設(shè)定分配地址為/24S1(dhcp-config)#dns-server8/*設(shè)置DNS為8S1(dhcp-config)#default-router54/*設(shè)置默認(rèn)網(wǎng)關(guān)為54……(7).配置ACL禁止某些部門的相互通信我們常常對交換機(jī)的訪問列表進(jìn)行配置，以實現(xiàn)禁止兩個辦公室之間的相互訪問，提高內(nèi)網(wǎng)的安全性。S1(config)#access-list103denyicmpany8echoS1(config)#access-list103permitipanyany/*配置號碼為102的擴(kuò)展訪問列表，禁止任何網(wǎng)段訪問8/29的網(wǎng)絡(luò)S1(config)#access-list21permit8S1(config)#access-list21denyanyS1(config)#linevty04S1(config-line)#access-class21inS1(config-line)#exit/*在所有設(shè)備上設(shè)置只允許管理員網(wǎng)段的主機(jī)能夠通過telnet登陸到設(shè)備上進(jìn)行配置。S1(config)#ipdomain-name/*配置SSH加密的域名S1(config)#cryptokeygeneratersa/*通過SSH加密隨機(jī)生成密匙S1(config)#usernamestudentprivilege15secretcisco/*配置登陸用戶名和密碼，并且對于student用戶設(shè)置權(quán)限為最高級15級，密碼為cisco。S1(config)#linevty04S1(config-line)#notransportinput/*設(shè)置不允許任何方式遠(yuǎn)程登陸到設(shè)備S1(config-line)#transportinputssh/*配置遠(yuǎn)程登陸設(shè)備只允許加密的SSH方式S1(config-line)#transportinputtelnet/*配置允許telnet方式登陸設(shè)備進(jìn)行遠(yuǎn)程配置S1(config-line)#loginlocal/*將以上配置應(yīng)用于本地登陸S1(config-line)#exec-timeout3/*配置VTY超時，防止空閑會話無止境的消耗VTY。S1(config-line)#exitS1(config)#ipsshauthentication-retries2/*設(shè)置身份驗證重試次數(shù)為2次S1(config)#ipsshtime-out15/*配置SSH超時為15s。S3(config)#access-list102permiticmp18echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp10echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102denyicmp155echo-replyS3(config)#access-list102permiticmpanyany/*配置號碼為102的擴(kuò)展訪問列表，禁止除了管理員以外的任何網(wǎng)段訪問/27網(wǎng)絡(luò)。然后將兩個訪問列表分別應(yīng)用到邏輯接口的出口上：S1(config)#intfastethernet0/1/*將號碼為102的訪問控制列表應(yīng)用到fastethernet0/1上S1(config-if)#ipaccess-group102out3.2.3NAT的應(yīng)用實例中的使用的路由器是cisco2811，接入電信的接口為：serial1/0，IP地址為：29，接入內(nèi)網(wǎng)的接口為：serial1/1，ip地址為：/30。圖2NAT示意圖（1）.配置實訓(xùn)樓路由器的接口IP為：，在核心路由器ciscocatalyst2811上指定默認(rèn)路由：R1(config)#iprouteserial1/0（2）.配置靜態(tài)路由在路由器上指定到內(nèi)部網(wǎng)的路徑：R1(config)#iproute……（3）.配置NAT，從內(nèi)部主機(jī)訪問InternetR1(config)#access-list10permit55/*設(shè)置用于NAT的訪問控制列表，用于指定內(nèi)部地址R1（config）#ipnatpoolabcd3142netmask40/*定義用戶NAT的外部地址池R1（config）#ipnatinsidesourcelist10poolabcdoverload/*配置NAT過載（配置PAT）……（4）.配置NAT，實現(xiàn)外網(wǎng)對www和ftp服務(wù)器的訪問 www服務(wù)器Ip地址為：2，ftp服務(wù)器地址為：2R1(config)#ipnatinsidesourcestatic229/*設(shè)置靜態(tài)NAT，實現(xiàn)對www服務(wù)器的訪問R1(config)#ipnatinsidesourcestatic229/*設(shè)置靜態(tài)NAT，實現(xiàn)對ftp服務(wù)器的訪問（5）.把NAT應(yīng)用到端口R1(config)#interfaceSerial1/0R1(config-if)#ipnatoutsideR1(config)#interfaceSerial1/1R1(config)#ipnatinside 3.2.4路由器控制列表的應(yīng)用 目前在網(wǎng)絡(luò)中使用的cisco2811路由器連接到Intenet。在路由器上采用訪問控制列表（access-list）來實現(xiàn)一些防火墻的功能。使用ACL提供基本的流量過濾功能，來實現(xiàn)網(wǎng)絡(luò)的安全。R1（config）#access-list140permittcpany285eq80R1(config)#access-list140permittcpany285eq443R1(config)#access-list140permittcpany285eqftp此訪問控制列表的效果是除了允許對www服務(wù)器(29)的HTTP、HTTPS端口以及FTP服務(wù)器(29)的FTP端口的訪問外，別的訪問都將會被阻止。R1（config）#interfaceSerial1/0R1（config）#ipaccess-group140in/*應(yīng)用ACL到端口access-list140denytcpanyanyeq4444access-list140denytcpanyanyeq69/*用于控制Blaster蠕蟲的傳播R1（config）#access-list140denytcpanyanyeq135R1（config）#access-list140denyudpanyanyeq135R1（config）#access-list140denytcpanyanyeq139R1（config）#access-list140denyudpanyanyeq139R1（config）#access-list140denytcpanyanyeq445R1（config）#access-list140denyudpanyanyeq445R1（config）#access-list140denytcpanyanyeq593R1（config）#access-list140denyudpanyanyeq493/*用于控制Blaster蠕蟲的掃描和攻擊R1（config）#access-list140denyudpanyanyeq1434R1（config）#access-list140permitipanyany/*用于控制Slammer蠕蟲的傳播R1（config）#interfaceSerial1/0R1（config）#ipaccess-group140inR1（config）#ipaccess-group140out/*把訪問列表應(yīng)用到接口幾個潛在安全風(fēng)險的分析與對策(1).源路由選擇的使用源路由選擇的使用數(shù)據(jù)鏈路層的信息，來為數(shù)據(jù)包進(jìn)行路由選擇，它己穿越過了網(wǎng)絡(luò)層、所以就有可能允許攻擊者為本地網(wǎng)上的數(shù)據(jù)包指定一個不正確的路由，那么攻擊者就可以獲得本應(yīng)只在本地傳輸?shù)男畔ⅰＯ旅婷羁梢越故褂迷绰酚蛇x擇:R1(config)#noipsource-route(2).拒絕服務(wù)攻擊(DOS)由于我們經(jīng)常會開啟一些小服務(wù)，例如echo(回顯)端口和discard(丟棄)端口，用于診斷，回顯端口將重放那些端口所接受到的數(shù)據(jù)包，而丟棄端口則將數(shù)據(jù)包丟棄，由于丟棄數(shù)據(jù)包或回顯數(shù)據(jù)包都會消耗CPU周期，一些DOS攻擊就采用這些端口。另外，也有DOS攻擊采用直接廣播技術(shù)。Smurf攻擊即為典型。所以建議在路由器接口上關(guān)閉這些服務(wù)。R1(config)#noserviceudp-small-serversR1(config)#noservicetcp-small-serversR1(config)#noservicefingerR1(config)#noipdirected-broadcast(3).ICMP重定向攻擊攻擊者利用ICMP重定向來對路由器進(jìn)行重定向，將本應(yīng)送到正確目標(biāo)的信息重定向到他們指定的機(jī)器，從而獲得不應(yīng)有的信息訪問權(quán)。另一方面，ICMP對內(nèi)部網(wǎng)絡(luò)是非常有用的。所以應(yīng)當(dāng)在外部網(wǎng)絡(luò)進(jìn)入路由器的接口上禁止ICMP重定向。R1(config)#noipredirects(4).使用UnicastReversePathForwarding檢查訪問者的來源它通過反向路由表查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處，因此，利用UnicastReversePathForwarding可減少假IP地址的出現(xiàn)，有助于提高網(wǎng)絡(luò)安全性。R1(config)#ipverifyUnicastreverse-path3.2.6VPN的應(yīng)用本實例采用IPSEC建立sitetosite的VPN以實現(xiàn)分校區(qū)對主校區(qū)的安全訪問，實例中以兩個校區(qū)圖書館的互聯(lián)進(jìn)行說明，為了方便配置采用SDM進(jìn)行配置。圖3VPN示意圖參照圖中所示的拓?fù)?，登陸cisco路由器的web配置實用程序配置的各項設(shè)置，并啟用一個名為站點到站點的VPN，該VPN采用MD5身份驗證和3DES加密，并且預(yù)共享密鑰為cisco123。首先登陸主校區(qū)的路由器，按照要求進(jìn)行如下配置： 圖4VPN配置在完成了主校區(qū)的路由器VPN配置后，登錄分校區(qū)的路由器，進(jìn)行VPN的配置，配置過程與上圖類似，故省略。這樣主校區(qū)和分校區(qū)的圖書館之間的VPN連接就建立好了，分校區(qū)的師生能通過VPN方便的訪問主校區(qū)的圖書館信息，就像訪問本地的局域網(wǎng)一樣。第四章總結(jié)4.1本人所完成的工作根據(jù)湖南鐵路科技職業(yè)技術(shù)學(xué)院技術(shù)學(xué)院的網(wǎng)絡(luò)現(xiàn)狀和網(wǎng)絡(luò)需求及校園網(wǎng)的特點，提出了一個可行的校園網(wǎng)升級方案。設(shè)計中采用分層網(wǎng)絡(luò)體系，將學(xué)校網(wǎng)絡(luò)設(shè)備劃分為：核心層，分布層和接入層。這樣做加強(qiáng)了學(xué)校網(wǎng)絡(luò)的可管理理性和可擴(kuò)張性，適應(yīng)了學(xué)校進(jìn)一步發(fā)展的要求。同時采用VLAN技術(shù)按職能劃分虛擬子網(wǎng)，通過這種方式減小廣播域的大小，提高網(wǎng)絡(luò)整體性能，同時增強(qiáng)了網(wǎng)絡(luò)的安全性。設(shè)計中通過路由器的ACL技術(shù)，對數(shù)據(jù)包進(jìn)行過濾，阻止非授權(quán)訪問。NAT技術(shù)的應(yīng)用解決了私有地址訪問Internet的問題，實現(xiàn)了整個校園網(wǎng)主機(jī)對Internet的訪問，對校園內(nèi)部網(wǎng)進(jìn)行保護(hù)，阻止未授權(quán)的外網(wǎng)用戶的訪問。學(xué)院本部和分校區(qū)之間通過VPN技術(shù)進(jìn)行連接，確保了數(shù)據(jù)在Internet上傳輸?shù)陌踩?，防止惡意代碼、黑客等的入侵。本設(shè)計以本院校園網(wǎng)為藍(lán)本，充分考慮了真實校園網(wǎng)網(wǎng)絡(luò)環(huán)境的情況。考慮了校園網(wǎng)網(wǎng)絡(luò)可能會需求的內(nèi)部網(wǎng)規(guī)模，在VLAN中使用B類的私有地址，這樣就為以后網(wǎng)絡(luò)的擴(kuò)充留下了足夠的地址空間。訪問層交換機(jī)使用CiscoCatalyst3550系列交換機(jī)，如果以后需要擴(kuò)展，則只需進(jìn)行交換機(jī)的堆疊。設(shè)計之初也充分考慮了實用性和系統(tǒng)的可行性，并在模擬設(shè)備中調(diào)試成功，可直接用于實際應(yīng)用。4.2不足之處及進(jìn)一步研究的方向4.2.1不足之處本設(shè)計沒有采用防火墻等網(wǎng)絡(luò)安全設(shè)備，而是使用路由器做為Internet接入設(shè)備，利用路由器實現(xiàn)網(wǎng)絡(luò)的基本安全。4.2.2進(jìn)一步研究方向無線網(wǎng)絡(luò)的應(yīng)用。無線網(wǎng)絡(luò)較有線網(wǎng)絡(luò)擁有移動性強(qiáng)，靈活性高，成本低等眾多優(yōu)點，隨著無線技術(shù)的越發(fā)成熟，網(wǎng)線網(wǎng)絡(luò)在園區(qū)和校園網(wǎng)中應(yīng)用越來越廣泛。新概念安全產(chǎn)品的出現(xiàn)。安全產(chǎn)業(yè)正在從原有的防火墻、緊急響應(yīng)系統(tǒng)、風(fēng)險評估系統(tǒng)等各個產(chǎn)品各自為政的情況中走出，各種產(chǎn)品之間相互融合，取長補(bǔ)短，成為一個完整的網(wǎng)絡(luò)安全體系，這種兼有兩種或者幾種功能的產(chǎn)品正在逐漸走向成熟。負(fù)載均衡和Qos（QualityofService服務(wù)質(zhì)量）的應(yīng)用能更加優(yōu)化網(wǎng)絡(luò)的結(jié)構(gòu)，提高網(wǎng)絡(luò)的性能。校園網(wǎng)絡(luò)建設(shè)是一項復(fù)雜的系統(tǒng)工程，其安全建設(shè)要求統(tǒng)一考慮，長遠(yuǎn)規(guī)劃，保證技術(shù)的先進(jìn)性和可擴(kuò)展性。在技術(shù)上要求適應(yīng)網(wǎng)絡(luò)動態(tài)變化，建立自適應(yīng)的安全保障體系。目前校園網(wǎng)只是實施了部分安全措施，在下一步的網(wǎng)絡(luò)安全建設(shè)中，將根據(jù)網(wǎng)絡(luò)安全模型，在不斷完善網(wǎng)絡(luò)安全方案的同時，逐步實施，因此，本設(shè)計方案還要在網(wǎng)絡(luò)建設(shè)、實施和運(yùn)行過程中不斷完善和優(yōu)化。第五章致謝和參考文獻(xiàn)值此論文完成之際，我要對我的導(dǎo)師吳廷焰老師致以最誠摯的謝意。在課題研究及論文撰寫過程中，吳老師對我的研究工作給予了指導(dǎo)，他創(chuàng)新敬業(yè)的工作熱情和真摯平和的待人態(tài)度影響著我，使我不僅學(xué)到了許多有用的知識與經(jīng)驗，并且對我以后的工作有很大的幫助。我還要感謝文冬林老師他們在我撰寫論文的過程中提供了很多有用的建議。同時我感謝那些教過我的老師，是他們授予了我知識。他們淵博的學(xué)識，兢兢業(yè)業(yè)、勤奮刻苦的工作態(tài)度給我樹立了學(xué)習(xí)的榜樣。最后我要感謝我的家人，在我求學(xué)期間，是他們對我的無私關(guān)愛、理解支持使我能順利地完成學(xué)業(yè)，正是因為有了他們的支持和鼓勵，使我堅定了不斷前進(jìn)的信心。我將永遠(yuǎn)感謝所有給我?guī)椭椭С值呐笥?。參考文獻(xiàn)：1.ToddLammle.CCNA學(xué)習(xí)指南(640-801)[M].北京:電子工業(yè)出版社,2008．2.西格瑞斯.Cisco局域網(wǎng)交換配置技術(shù)[M].北京:機(jī)械工業(yè)出版社,2003．3.wadeEdwaIds.CCNP四合一學(xué)習(xí)指南中文版[M].北京:電子工業(yè)出版社,2005．4.RkhaIdFmom,BaIajiSivsubmmanian,EmmFmhim.CCNP自學(xué)指南組建Cisco多層交換網(wǎng)絡(luò)(BCMSN)[M].北京:人民郵電出版社,2006.5.魏大新,李育龍,強(qiáng)振海.cisco網(wǎng)絡(luò)工程案例精粹[M].北京:電子工業(yè)出版社,2007．6.謝希仁.計算機(jī)網(wǎng)絡(luò)(第4版)[M].北京:電子工業(yè)出版社,2004．7.李山秀明,任勇.網(wǎng)絡(luò)安全概述[M].北京:中國工程科學(xué)2004.1．8.MerikeKaeo,CCIE#1287.網(wǎng)絡(luò)安全性設(shè)計[M].北京:人民郵電出版社,2005.93-434．9.何寶宏.IP虛擬專用網(wǎng)技術(shù)[M].北京:人民郵電出版社2002．57-124．10王達(dá)等.虛擬專用網(wǎng)(VPN)精解[M].北京:清華大學(xué)出版社2004.21-46．11.劉慶紅,李爍.校園網(wǎng)的建設(shè)[J].情報科學(xué),2004,22(9):1119-1121．12.EricMaiwald.網(wǎng)絡(luò)安全實用指南[M].北京:清華大學(xué)出版社,2003．湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)論文(設(shè)計)指導(dǎo)教師評閱表專業(yè)班級姓名：學(xué)號：日期：年月日課題名稱

評價內(nèi)容評價指標(biāo)評分權(quán)值評定成績文獻(xiàn)綜述能獨(dú)立查閱文獻(xiàn)和從事其他調(diào)研；綜合分析的正確性和設(shè)計、計算的正確性；論證的充分性0.10

業(yè)務(wù)水平有扎實的基礎(chǔ)理論知識和專業(yè)知識；獨(dú)立工作能力和學(xué)習(xí)能力強(qiáng)；能運(yùn)用所學(xué)知識和技能去發(fā)現(xiàn)與解決實際問題；能正確處理各類數(shù)據(jù)；能對課題進(jìn)行理論分析，得出有價值的結(jié)論0.20

論文(設(shè)計說明書、圖紙)質(zhì)量綜述簡練完整，有見解；立論正確，論述充分，結(jié)論嚴(yán)謹(jǐn)合理；驗正正確，分析處理科學(xué)；文字通順，技術(shù)用語準(zhǔn)確，符號標(biāo)準(zhǔn)統(tǒng)一，編號齊全，書寫工整規(guī)范，圖表完備、整潔、正確；論文結(jié)果有應(yīng)用價值；圖紙繪制符合國家標(biāo)準(zhǔn)，質(zhì)量符合要求；計算及測試結(jié)果準(zhǔn)確；工作中有創(chuàng)新意識；對前人工作有改進(jìn)或突破，或有獨(dú)特見解0.60

工作量、工作態(tài)度按期完成規(guī)定的任務(wù)，工作量飽滿，難度較大；工作努力，遵守紀(jì)律；工作作風(fēng)嚴(yán)謹(jǐn)務(wù)實0.10

合計

指導(dǎo)教師評語

指導(dǎo)教師(簽名)：

湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)論文(設(shè)計)評閱教師評閱表專業(yè)班級姓名：學(xué)號：日期：年月日課題名稱

評價內(nèi)容評價指標(biāo)評分權(quán)值評定成績文獻(xiàn)綜述查閱文獻(xiàn)有一定廣泛性；綜合分析的正確性和設(shè)計、計算的正確性；論證的充分性0.10

業(yè)務(wù)水平能運(yùn)用所學(xué)知識和技能去發(fā)現(xiàn)與解決實際問題；能正確處理各類數(shù)據(jù)；能對課題進(jìn)行分析，得出有價值的結(jié)論0.20

論文(設(shè)計說明書、圖紙)質(zhì)量綜述簡練完整，有見解；立論正確，論述充分，結(jié)論嚴(yán)謹(jǐn)合理；驗正正確，分析處理科學(xué)；文字通順，技術(shù)用語準(zhǔn)確，符號標(biāo)準(zhǔn)統(tǒng)一，編號齊全，書寫工整規(guī)范，圖表完備、整潔、正確；論文結(jié)果有應(yīng)用價值；圖紙繪制符合國家標(biāo)準(zhǔn)，質(zhì)量符合要求；工作中有創(chuàng)新意識；對前人工作有改進(jìn)或突破，或有獨(dú)特見解0.60

工作量、難度按期完成規(guī)定的任務(wù)，工作量飽滿，難度較大0.10

合計

評閱教師(簽名)：

湖南鐵路科技職業(yè)技術(shù)