网络工程项目六构建安全的校园网络.docx
《网络工程项目六构建安全的校园网络.docx》由会员分享,可在线阅读,更多相关《网络工程项目六构建安全的校园网络.docx(12页珍藏版)》请在冰豆网上搜索。
网络工程项目六构建安全的校园网络
工程六构建平安的校园网络
保护网络的平安不仅包括直接面向用户的终端设备,如效劳器、工作站等,更包括网络的传输设备,如路由器、交换机等。
这些设备一旦出现问题,都会给网络带来灾难性的后果。
保护网络的平安,首先需要保证网络内部的所有设备是平安、可靠的,为保护网络中接入设备的平安,一般可以在接入交换机的端口上,对网络中所有接入的用户进展认证和平安管理,从而保护网络内部的平安。
而外部网络平安防X可以在路由器上实现。
工程1交换机端口平安配置
一、工程描述
为了加强学校信息化建立,在学生宿舍中安装网络端口,需要上网的学生可以在网络管理中心申请账户。
随着网络的开通,学生申请账户的数目很多,有的宿舍只开通一个账户,在端口上接一个集线器,宿舍中的学生通过集线器上网,由于无法确认最终用户,给网络带来了很多平安隐患。
为保证网络平安,决定对交换机进展适当配置,保证校园网内只有合法的、授权的用户才可以接入网络,并且防止私自使用集线器增加接入计算机数量。
二、需求分析
为保证网络内部的平安,规定校园网内只有合法授权的用户才可以接入,需要在交换机端口丰进展地址绑定。
为了防止私自使用集线器,可在交换机的端口上限制设备的连接数量。
三、工程实施环境
S2126S交换机1台,PC假设干台。
网络拓朴如图11所示。
图11
四、工作目标
1、利用交换机平安端口功能,控制用户的平安接入。
2、对交换机的端口配置最XX接数。
3、针对接入端口进展IP+MAC地址绑定。
五、工程实施步骤
1、按图11连接所有设备,分别开启所有设备,保证所有设备正常连接。
2、保证交换机设备的配置文件处于清空状态。
3、配置接入交换机端口的平安和端口的最XX接数。
Switch>enable
Switch#configureterminal
Switch(config)#hostnameS2126
S2126(config)#interfacerangefastethernet0/1-2
S2126(config-range)#switchportmodeaccess
S2126(config-range)#switchportport-security
S2126(config-range)#switchportport-securitymaximum1
S2126(config-range)#switchportport-securityviolationshutdown
4、查看交换机的端口平安配置
S2126#showport-security
5、配置交换机端口的地址绑定
〔1〕查看PC1的IP地址和MAC地址
〔2〕配置地址绑定
Switch#configureterminal
Switch(config)#interfacefastethernet0/3
S2126(config-if)#switchportport-security
S2126(config-if)#switchportport-securitymac-address0015.f2dc.96abip-address172.16.1.23
〔3〕查看地址平安绑定配置
S2126#showport-securityaddress
5、测试
〔1〕改变PC1的IP地址,然后进展测试。
〔2〕把PC1接到其他端口进展测试。
6、写出测试结果。
工程2标准访问控制列表〔ACL〕的配置
一、工程问题
你是某校园网管,领导要你对网络的数据流量进展控制,要求校长可以访问财务的主机,但教师机不可以访问。
二、工程实施环境
S2126交换机1台,S3670交换机2台,网络拓朴如图12所示。
图12
三、主要任务
在三层交换机上配置标准命名访问控制列表,保护办公网的平安。
四、工程实践目的
1、理解IP访问控制列表的意义;
2、掌握标准的IP访问控制列表的设置方法;
五、工程实施步骤
1、按图12连接部门网络的设备。
2、按图12配置PC机的IP地址。
3、S2126交换机的配置
Switch>enable
Switch#configureterminal
Switch(config)#hostnameS2126
S2126(config)#vlan20
S2126(config-vlan)#exit
S2126(config)#interfacerangefastethernet0/9-10
S2126(config-if-range)#switchportaccessvlan20
S2126(config-if-range)#exit
S2126(config)#interfacefastethernet0/8
S2126(config-if)#switchportmodetrunk
S2126(config-if)#exit
4、S3760A交换机的配置
Switch>enable
Switch#configureterminal
Switch(config)#hostnameS3760A
S3760A(config)#vlan10
S3760A(config-vlan)#exit
S3760A(config)#interfacefastethernet0/1
S3760A(config-if)#switchportaccessvlan10
S3760A(config-if)#exit
S3760A(config)#interfacefastethernet0/2
S3760A(config-if)#switchportmodetrunk
5、S3760B交换机的配置
Switch>enable
Switch#configureterminal
Switch(config)#hostnameS3760B
S3760B(config)#vlan10
S3760B(config-vlan)#exit
S3760B(config)#vlan20
S3760B(config-vlan)#exit
S3760B(config)#interfacefastethernet0/5
S3760B(config-if)#switchportmodetrunk
S3760B(config-if)#exit
S3760B(config)#interfacefastethernet0/6
S3760B(config-if)#switchportmodetrunk
S3760B(config-if)#exit
6、s3760b交换机配置路由,实现VLAN间互访
S3760B(config)#interfacevlan10
S3760B(config-if)#ipaddress192.168.1.1255.255.255.0
S3760B(config-if)#noshutdown
S3760B(config-if)#exit
S3760B(config)#interfacevlan20
S3760B(config-if)#ipaddress192.168.2.1255.255.255.0
S3760B(config-if)#noshutdown
S3760B(config-if)#exit
7、测试网络连通性,此时全网应连通,假设不通,请检查配置。
C:
>/ ping192.168.2.8
8、配置标准命名访问控制列表,使PC3不能访问PC1,PC2能访问PC1。
在S3760A交换机上进展配置
S3760A(config)#ipaccess-liststandardabc
S3760A(config-std-nacl)#permithost192.168.2.8
S3760A(config-std-nacl)#deny192.168.2.00.0.0.255
S3760A(config-std-nacl)#permitany
S3760A(config-std-nacl)#exit
S3760A(config)#intfacevlan10
S3760A(config-if)#ipaccess-groupabcout
S3760A(config-if)#end
S3760A#showipaccess-listsabc
9、重新测试网络连通性。
用ping命令检测,从PC2可以ping通PC1,从PC3不可以ping通PC1。
六、练习题
你是某医院网管,领导要求你对网络的数据流量进展控制。
网络拓朴构造如图13所示,领导要求门诊部的主机需要正常划价收费,可以访问收银效劳器192.168.2.8,但不能访问财务部的其他主机。
要求用标准访问控制列表实现。
图13
工程3扩展访问控制列表〔ACL〕的配置
一、工程问题
某校园网络由三个网段组成,教工宿舍、学生宿舍和网络中心分属三个网段,通过两台路由器进展连接,在网络中心安装有各种效劳器〔包括FTP效劳器〕,学校规定学生宿舍所在的网段192.168.1.0不能通过FTP效劳器上网。
对路由器进展配置以实现这一目的。
二、工程实施环境
R2624路由器2台,V35DCE1根,V35DTE1根,路由器之间通过串口采用V35DCE/DTE电缆连接。
网络拓朴如图14所示,PC1的IP地址和子网掩码为192.168.1.2/24,默认网关为192.168.1.1,PC2的IP地址和子网掩码为192.168.2.2/24,默认网关为192.168.2.1,PC3的IP地址和子网掩码为192.168.3.2/24,默认网关为192.168.3.1。
图14
三、主要任务
1、配置路由协议;
2、配置扩展的IP访问控制列表;
3、在网络端口上引用IP访问控制列表;
4、查看和监测IP访问控制列表;
四、工程实践目的
1、理解IP访问控制列表的意义;
2、掌握扩展的IP访问控制列表的设置方法;
五、工程实施步骤
1、设置PC1的IP地址和子网掩码为:
192.168.1.2/24,默认网关为:
192.168.1.1。
PC2的IP地址和子网掩码为:
192.168.2.2/24,默认网关为:
192.168.2.1。
PC3的IP地址和子网掩码为:
192.168.3.2/24,默认网关为:
192.168.3.1。
2、设置router1的地址和路由协议
Router>
Router>enable
Router# configureterminal
Router(config)# hostnamerouter1
router1(config)#
router1(config)# enablepasswordcalab
router1(config)# enablesecretcisco
设置router1的FastEthernet1/1端口
router1(config)# interfaceFastethernet1/1
router1(config-if)#ipaddress192.168.1.1255.255.255.0
router1(config-if)#noshutdown
设置router1的FastEthernet1/0端口
router1(config)# interfaceFastethernet1/0
router1(config-if)#ipaddress192.168.2.1255.255.255.0
router1(config-if)#noshutdown
设置router1的s1/2端口
router1(config-if)# interfaces1/2
router1(config-if)#ipaddress172.16.1.1255.255.255.0
假设S1/2为DCE端,那么在DCE端一定要设置时钟
router1(config-if)# clockrate64000
router1(config-if)#noshutdown
在Router1中设置动态路由
router1(config)# routerrip
router1(config-router)# network172.16.0.0
router1(config-router)# network192.168.1.0
router1(config-router)# network192.168.2.0
router1(config-router)#version2
router1(config-router)#noauto-summory
Router1(config-router)#end
Router1#showiproute
3、设置router2的地址和路由协议
Router>
Router>enable
Router# configureterminal
Router(config)# hostnamerouter2
Router2(config)#
Router2(config)# enablepasswordcalab
Router2(config)# enablesecretcisco
设置router2的FastEthernet0端口:
Router2(config)# interfaceFastethernet1/1
Router2(config-if)#ipaddress192.168.3.1255.255.255.0
Router2(config-if)#noshutdown
设置router2的s1/2端口
Router2(config-if)# interfaces1/2
Router2(config-if)#ipaddress172.16.1.2255.255.255.0
Router2(config-if)#noshutdown
在Router2中设置动态路由
Router2(config)# routerrip
Router2(config-router)# network172.16.0.0
Router2(config-router)# network192.168.3.0
Router2(config-router)#version2
Router2(config-router)#noauto-summory
Router2(config-router)#end
Router2#showiproute
4、测试网络连通性,从PC1pingPC2和PC3,应该能ping通,假设不通,请检查配置。
C:
>/ ping192.168.3.2
5、配置扩展访问控制列表,使FTP效劳不能通过。
Router2(config)# access-list101denytcp192.168.1.0 0.0.0.255192.168.3.00.0.0.255eqftp
Router2(config)# access-list1permitipanyany
Router2(config)# interfaceserial1/2
Router2(config-if)# ipaccess-group101in
Router2(config-if)#end
Router2#showipinterface
问题1.可以把控制列表用于接口的出站连接吗?
如何设置?
问题2.在扩展访问控制列表与标准访问控制列表有何不同?
问题3:
在扩展的IP访问控制列表中有哪两种描述主机地址的方法?
六、练习题
你是某医院网管,领导要求你配置网络,提高网络的有效利用,保证网络的平安。
要求:
1、所有的用户都可以浏览网页,获取有价值信息。
2、所有上网用户都可以收发电子
3、公安部最近通知63.5.8.1为某反动,请屏蔽该地址。
4、为了平安,其他效劳制止访问。
图15
升级会员 