网络工程项目六构建安全的校园网络.docx

1、网络工程项目六构建安全的校园网络工程六 构建平安的校园网络保护网络的平安不仅包括直接面向用户的终端设备，如效劳器、工作站等，更包括网络的传输设备，如路由器、交换机等。这些设备一旦出现问题，都会给网络带来灾难性的后果。保护网络的平安，首先需要保证网络内部的所有设备是平安、可靠的，为保护网络中接入设备的平安，一般可以在接入交换机的端口上，对网络中所有接入的用户进展认证和平安管理，从而保护网络内部的平安。而外部网络平安防X可以在路由器上实现。工程1 交换机端口平安配置一、工程描述为了加强学校信息化建立，在学生宿舍中安装网络端口，需要上网的学生可以在网络管理中心申请账户。随着网络的开通，学生申请账户的

2、数目很多，有的宿舍只开通一个账户，在端口上接一个集线器，宿舍中的学生通过集线器上网，由于无法确认最终用户，给网络带来了很多平安隐患。为保证网络平安，决定对交换机进展适当配置，保证校园网内只有合法的、授权的用户才可以接入网络，并且防止私自使用集线器增加接入计算机数量。二、需求分析为保证网络内部的平安，规定校园网内只有合法授权的用户才可以接入，需要在交换机端口丰进展地址绑定。为了防止私自使用集线器，可在交换机的端口上限制设备的连接数量。三、工程实施环境S2126S交换机1台，PC假设干台。网络拓朴如图11所示。图11四、工作目标1、利用交换机平安端口功能，控制用户的平安接入。2、对交换机的端口配置

3、最XX接数。3、针对接入端口进展IP+MAC地址绑定。五、工程实施步骤1、按图11连接所有设备，分别开启所有设备，保证所有设备正常连接。2、保证交换机设备的配置文件处于清空状态。3、配置接入交换机端口的平安和端口的最XX接数。Switch enable Switch# configure terminalSwitch(config)# hostname S2126S2126(config)# interface range fastethernet 0/1-2S2126(config-range)#switchport mode accessS2126(config-range)#switch

4、port port-security S2126(config-range)#switchport port-security maximum 1S2126(config-range)#switchport port-security violation shutdown4、查看交换机的端口平安配置S2126# show port-security5、配置交换机端口的地址绑定1查看PC1的IP地址和MAC地址2配置地址绑定Switch# configure terminalSwitch(config)#interface fastethernet 0/3S2126(config-if)#swi

5、tchport port-security S2126(config-if)#switchport port-security mac-address 0015.f2dc.96ab ip-address 172.16.1.233查看地址平安绑定配置S2126# show port-security address5、测试1改变PC1的IP地址，然后进展测试。2把PC1接到其他端口进展测试。6、写出测试结果。工程2 标准访问控制列表ACL的配置一、工程问题你是某校园网管，领导要你对网络的数据流量进展控制,要求校长可以访问财务的主机，但教师机不可以访问。二、工程实施环境S2126交换机1台，S36

6、70交换机2台，网络拓朴如图12所示。图12三、主要任务在三层交换机上配置标准命名访问控制列表，保护办公网的平安。四、工程实践目的1、理解IP访问控制列表的意义；2、掌握标准的IP访问控制列表的设置方法；五、工程实施步骤1、按图12连接部门网络的设备。2、按图12配置PC机的IP地址。3、S2126交换机的配置Switch enable Switch# configure terminalSwitch(config)# hostname S2126S2126(config)# vlan 20S2126(config-vlan)#exitS2126(config)# interface rang

7、e fastethernet 0/9-10S2126(config-if-range)#switchport access vlan 20S2126(config-if-range)#exitS2126(config)# interface fastethernet 0/8S2126(config-if)#switchport mode trunkS2126(config-if)#exit4、S3760A交换机的配置Switch enable Switch# configure terminalSwitch(config)# hostname S3760AS3760A(config)# vla

8、n 10S3760A(config-vlan)#exitS3760A(config)# interface fastethernet 0/1S3760A(config-if)#switchport access vlan 10S3760A(config-if)#exitS3760A(config)# interface fastethernet 0/2S3760A(config-if)#switchport mode trunk5、S3760B交换机的配置Switch enable Switch# configure terminalSwitch(config)# hostname S3760

9、BS3760B(config)# vlan 10S3760B(config-vlan)#exitS3760B(config)# vlan 20S3760B(config-vlan)#exitS3760B(config)# interface fastethernet 0/5S3760B(config-if)#switchport mode trunk S3760B(config-if)#exitS3760B(config)# interface fastethernet 0/6S3760B(config-if)#switchport mode trunkS3760B(config-if)#ex

10、it6、s3760b交换机配置路由，实现VLAN间互访S3760B(config)# interface vlan 10S3760B(config-if)#ip address 192.168.1.1 255.255.255.0S3760B(config-if)#no shutdownS3760B(config-if)#exitS3760B(config)# interface vlan 20S3760B(config-if)#ip address 192.168.2.1 255.255.255.0S3760B(config-if)#no shutdownS3760B(config-if)#e

11、xit7、测试网络连通性，此时全网应连通，假设不通，请检查配置。C:/ ping 192.168.2.88、配置标准命名访问控制列表，使PC3不能访问PC1，PC2能访问PC1。在S3760A交换机上进展配置S3760A(config)#ip access-list standard abcS3760A(config-std-nacl)#permit host 192.168.2.8 S3760A(config-std-nacl)#deny 192.168.2.0 0.0.0.255S3760A(config-std-nacl)#permit anyS3760A(config-std-nacl

12、)#exitS3760A(config)#intface vlan 10S3760A(config-if)#ip access-group abc outS3760A(config-if)#endS3760A# show ip access-lists abc9、重新测试网络连通性。用ping命令检测，从PC2可以ping通PC1，从PC3不可以ping通PC1。六、练习题你是某医院网管，领导要求你对网络的数据流量进展控制。网络拓朴构造如图13所示，领导要求门诊部的主机需要正常划价收费，可以访问收银效劳器192.168.2.8,但不能访问财务部的其他主机。要求用标准访问控制列表实现。图13工程

13、3 扩展访问控制列表ACL的配置一、工程问题某校园网络由三个网段组成，教工宿舍、学生宿舍和网络中心分属三个网段，通过两台路由器进展连接，在网络中心安装有各种效劳器包括FTP效劳器，学校规定学生宿舍所在的网段192.168.1.0不能通过FTP效劳器上网。对路由器进展配置以实现这一目的。二、工程实施环境R2624路由器2台，V35DCE 1根，V35DTE 1根，路由器之间通过串口采用V35DCE/DTE电缆连接。网络拓朴如图14所示，PC1的IP地址和子网掩码为192.168.1.2/24，默认网关为192.168.1.1，PC2的IP地址和子网掩码为192.168.2.2/24，默认网关为1

14、92.168.2.1，PC3的IP地址和子网掩码为192.168.3.2/24，默认网关为192.168.3.1。图14三、主要任务1、配置路由协议；2、配置扩展的IP访问控制列表；3、在网络端口上引用IP访问控制列表；4、查看和监测IP访问控制列表；四、工程实践目的1、理解IP访问控制列表的意义；2、掌握扩展的IP访问控制列表的设置方法；五、工程实施步骤1、设置PC1的IP地址和子网掩码为：192.168.1.2/24，默认网关为：192.168.1.1。PC2的IP地址和子网掩码为：192.168.2.2/24，默认网关为：192.168.2.1。PC3的IP地址和子网掩码为：192.16

15、8.3.2/24，默认网关为：192.168.3.1。2、设置router1的地址和路由协议RouterRouter enableRouter# configure terminalRouter(config)# hostname router1router1(config)#router1(config)# enable password calabrouter1(config)# enable secret cisco设置router1的FastEthernet1/1端口router1(config)# interface Fastethernet1/1router1(config-if)

16、# ip address 192.168.1.1 255.255.255.0router1(config-if)# no shutdown设置router1的FastEthernet1/0端口router1(config)# interface Fastethernet1/0router1(config-if)# ip address 192.168.2.1 255.255.255.0router1(config-if)# no shutdown设置router1的s1/2端口router1(config-if)#interface s1/2router1(config-if)# ip add

17、ress 172.16.1.1 255.255.255.0假设S1/2为DCE端，那么在DCE端一定要设置时钟router1(config-if)# clock rate 64000router1(config-if)# no shutdown在Router1中设置动态路由router1(config)# router riprouter1(config-router)# network 172.16.0.0router1(config-router)# network 192.168.1.0router1(config-router)# network 192.168.2.0router1(

18、config-router)#version 2router1(config-router)#no auto-summoryRouter1(config- router )#endRouter1#show ip route3、设置router2的地址和路由协议RouterRouter enableRouter# configure terminalRouter(config)# hostname router2Router2(config)#Router2(config)# enable password calabRouter2(config)# enable secret cisco设置r

19、outer2的FastEthernet0端口：Router2(config)# interface Fastethernet1/1Router2(config-if)# ip address 192.168.3.1 255.255.255.0Router2(config-if)# no shutdown设置router2的s1/2端口Router2(config-if)#interface s1/2Router2(config-if)# ip address 172.16.1.2 255.255.255.0Router2(config-if)# no shutdown在Router2中设置动态

20、路由Router2(config)# router ripRouter2(config-router)# network 172.16.0.0Router2(config-router)# network 192.168.3.0Router2(config-router)#version 2Router2(config-router)#no auto-summoryRouter2(config- router )#endRouter2#show ip route4、测试网络连通性，从PC1 ping PC2和PC3，应该能ping通，假设不通，请检查配置。C:/ ping 192.168.3.

21、25、配置扩展访问控制列表，使FTP效劳不能通过。Router2(config)#access-list 101 denytcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq ftpRouter2(config)# access-list 1 permit ip any anyRouter2(config)# interface serial 1/2Router2(config-if)# ip access-group 101inRouter2(config-if)#endRouter2#show ip interface问题1. 可以把控制列表用于接口的出站连接吗？如何设置？问题2. 在扩展访问控制列表与标准访问控制列表有何不同?问题3:在扩展的IP访问控制列表中有哪两种描述主机地址的方法？六、练习题你是某医院网管，领导要求你配置网络，提高网络的有效利用，保证网络的平安。要求： 1、所有的用户都可以浏览网页，获取有价值信息。 2、所有上网用户都可以收发电子 3、公安部最近通知63.5.8.1为某反动，请屏蔽该地址。 、为了平安，其他效劳制止访问。图15