网络工程项目六构建安全的校园网络[1].doc

项目六 构建安全的校园网络 保护网络的安全不仅包括直接面向用户的终端设备，如服务器、工作站等，更包括网络的传输设备，如路由器、交换机等。这些设备一旦出现问题，都会给网络带来灾难性的后果。保护网络的安全，首先需要保证网络内部的所有设备是安全、可靠的，为保护网络中接入设备的安全，一般可以在接入交换机的端口上，对网络中所有接入的用户进行认证和安全管理，从而保护网络内部的安全。而外部网络安全防范可以在路由器上实现。 项目1 交换机端口安全配置 一、项目描述 为了加强学校信息化建设，在学生宿舍中安装网络端口，需要上网的学生可以在网络管理中心申请账户。随着网络的开通，学生申请账户的数目很多，有的宿舍只开通一个账户，在端口上接一个集线器，宿舍中的学生通过集线器上网，由于无法确认最终用户，给网络带来了很多安全隐患。为保证网络安全，决定对交换机进行适当配置，保证校园网内只有合法的、授权的用户才可以接入网络，并且防止私自使用集线器增加接入计算机数量。 二、需求分析 为保证网络内部的安全，规定校园网内只有合法授权的用户才可以接入，需要在交换机端口丰进行地址绑定。为了防止私自使用集线器，可在交换机的端口上限制设备的连接数量。 三、项目实施环境 S2126S交换机1台，PC若干台。网络拓朴如图11所示。 图11 四、工作目标 1、利用交换机安全端口功能，控制用户的安全接入。 2、对交换机的端口配置最大连接数。 3、针对接入端口进行IP+MAC地址绑定。 五、项目实施步骤 1、按图11连接所有设备，分别开启所有设备，保证所有设备正常连接。 2、保证交换机设备的配置文件处于清空状态。 3、配置接入交换机端口的安全和端口的最大连接数。 Switch> enable Switch# configure terminal Switch(config)# hostname S2126 S2126(config)# interface range fastethernet 0/1-2 S2126(config-range)#switchport mode access S2126(config-range)#switchport port-security S2126(config-range)#switchport port-security maximum 1 S2126(config-range)#switchport port-security violation shutdown 4、查看交换机的端口安全配置 S2126# show port-security 5、配置交换机端口的地址绑定 （1）查看PC1的IP地址和MAC地址 （2）配置地址绑定 Switch# configure terminal Switch(config)#interface fastethernet 0/3 S2126(config-if)#switchport port-security S2126(config-if)#switchport port-security mac-address 0015.f2dc.96ab ip-address 172.16.1.23 （3）查看地址安全绑定配置 S2126# show port-security address 5、测试 （1）改变PC1的IP地址，然后进行测试。 （2）把PC1接到其他端口进行测试。 6、写出测试结果。 项目2 标准访问控制列表（ACL）的配置 一、项目问题 你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。 二、项目实施环境 S2126交换机1台，S3670交换机2台，网络拓朴如图12所示。 图12 三、主要任务 在三层交换机上配置标准命名访问控制列表，保护办公网的安全。 四、项目实践目的 1、理解IP访问控制列表的意义； 2、掌握标准的IP访问控制列表的设置方法； 五、项目实施步骤 1、按图12连接部门网络的设备。 2、按图12配置PC机的IP地址。 3、S2126交换机的配置 Switch> enable Switch# configure terminal Switch(config)# hostname S2126 S2126(config)# vlan 20 S2126(config-vlan)#exit S2126(config)# interface range fastethernet 0/9-10 S2126(config-if-range)#switchport access vlan 20 S2126(config-if-range)#exit S2126(config)# interface fastethernet 0/8 S2126(config-if)#switchport mode trunk S2126(config-if)#exit 4、S3760A交换机的配置 Switch> enable Switch# configure terminal Switch(config)# hostname S3760A S3760A(config)# vlan 10 S3760A(config-vlan)#exit S3760A(config)# interface fastethernet 0/1 S3760A(config-if)#switchport access vlan 10 S3760A(config-if)#exit S3760A(config)# interface fastethernet 0/2 S3760A(config-if)#switchport mode trunk 5、S3760B交换机的配置 Switch> enable Switch# configure terminal Switch(config)# hostname S3760B S3760B(config)# vlan 10 S3760B(config-vlan)#exit S3760B(config)# vlan 20 S3760B(config-vlan)#exit S3760B(config)# interface fastethernet 0/5 S3760B(config-if)# switchport mode trunk S3760B(config-if)#exit S3760B(config)# interface fastethernet 0/6 S3760B(config-if)#switchport mode trunk S3760B(config-if)#exit 6、s3760b交换机配置路由，实现VLAN间互访 S3760B(config)# interface vlan 10 S3760B(config-if)#ip address 192.168.1.1 255.255.255.0 S3760B(config-if)#no shutdown S3760B(config-if)#exit S3760B(config)# interface vlan 20 S3760B(config-if)#ip address 192.168.2.1 255.255.255.0 S3760B(config-if)#no shutdown S3760B(config-if)#exit 7、测试网络连通性，此时全网应连通，若不通，请检查配置。 C:>/  ping 192.168.2.8 8、配置标准命名访问控制列表，使PC3不能访问PC1，PC2能访问PC1。 在S3760A交换机上进行配置 S3760A(config)#ip access-list standard abc S3760A(config-std-nacl)#permit host 192.168.2.8 S3760A(config-std-nacl)#deny 192.168.2.0 0.0.0.255 S3760A(config-std-nacl)#permit any S3760A(config-std-nacl)#exit S3760A(config)#intface vlan 10 S3760A(config-if)#ip access-group abc out S3760A(config-if)#end S3760A# show ip access-lists abc 9、重新测试网络连通性。 用ping命令检测，从PC2可以ping通PC1，从PC3不可以ping通PC1。 六、练习题 你是某医院网管，领导要求你对网络的数据流量进行控制。网络拓朴结构如图13所示，领导要求门诊部的主机需要正常划价收费，可以访问收银服务器192.168.2.8,但不能访问财务部的其他主机。要求用标准访问控制列表实现。 图13 项目3 扩展访问控制列表（ACL）的配置 一、项目问题 某校园网络由三个网段组成，教工宿舍、学生宿舍和网络中心分属三个网段，通过两台路由器进行连接，在网络中心安装有各种服务器（包括FTP服务器），学校规定学生宿舍所在的网段192.168.1.0不能通过FTP服务器上网。对路由器进行配置以实现这一目的。 二、项目实施环境 R2624路由器2台，V35DCE 1根，V35DTE 1根，路由器之间通过串口采用V35DCE/DTE电缆连接。网络拓朴如图14所示，PC1的IP地址和子网掩码为192.168.1.2/24，默认网关为192.168.1.1，PC2的IP地址和子网掩码为192.168.2.2/24，默认网关为192.168.2.1，PC3的IP地址和子网掩码为192.168.3.2/24，默认网关为192.168.3.1。 图14 三、主要任务 1、配置路由协议； 2、配置扩展的IP访问控制列表； 3、在网络端口上引用IP访问控制列表； 4、查看和监测IP访问控制列表； 四、项目实践目的 1、理解IP访问控制列表的意义； 2、掌握扩展的IP访问控制列表的设置方法； 五、项目实施步骤 1、设置PC1的IP地址和子网掩码为：192.168.1.2/24，默认网关为：192.168.1.1。PC2的IP地址和子网掩码为：192.168.2.2/24，默认网关为：192.168.2.1。PC3的IP地址和子网掩码为：192.168.3.2/24，默认网关为：192.168.3.1。 2、设置router1的地址和路由协议 Router> Router> enable Router#  configure terminal Router(config)#  hostname router1 router1(config)# router1(config)#  enable password ccnalab router1(config)#  enable secret cisco 设置router1的FastEthernet1/1端口 router1(config)#  interface Fastethernet1/1 router1(config-if)# ip address 192.168.1.1 255.255.255.0 router1(config-if)# no shutdown 设置router1的FastEthernet1/0端口 router1(config)#  interface Fastethernet1/0 router1(config-if)# ip address 192.168.2.1 255.255.255.0 router1(config-if)# no shutdown 设置router1的s1/2端口 router1(config-if)# interface s1/2 router1(config-if)# ip address 172.16.1.1 255.255.255.0 假设S1/2为DCE端，则在DCE端一定要设置时钟 router1(config-if)#  clock rate 64000 router1(config-if)# no shutdown 在Router1中设置动态路由 router1(config)#  router rip router1(config-router)#  network 172.16.0.0 router1(config-router)#  network 192.168.1.0 router1(config-router)#  network 192.168.2.0 router1(config-router)#version 2 router1(config-router)#no auto-summory Router1(config- router )#end Router1#show ip route 3、设置router2的地址和路由协议 Router> Router> enable Router#  configure terminal Router(config)#  hostname router2 Router2(config)# Router2(config)#  enable password ccnalab Router2(config)#  enable secret cisco 设置router2的FastEthernet0端口： Router2(config)#  interface Fastethernet1/1 Router2(config-if)# ip address 192.168.3.1 255.255.255.0 Router2(config-if)# no shutdown 设置router2的s1/2端口 Router2(config-if)# interface s1/2 Router2(config-if)# ip address 172.16.1.2 255.255.255.0 Router2(config-if)# no shutdown 在Router2中设置动态路由 Router2(config)#  router rip Router2(config-router)#  network 172.16.0.0 Router2(config-router)#  network 192.168.3.0 Router2(config-router)#version 2 Router2(config-router)#no auto-summory Router2(config- router )#end Router2#show ip route 4、测试网络连通性，从PC1 ping PC2和PC3，应该能ping通，若不通，请检查配置。 C:>/  ping 192.168.3.2 5、配置扩展访问控制列表，使FTP服务不能通过。 Router2(config)# access-list 101 deny tcp 192.168.1.0  0.0.0.255 192.168.3.0 0.0.0.255 eq ftp Router2(config)#  access-list 1 permit ip any any Router2(config)#  interface serial 1/2 Router2(config-if)#  ip access-group 101 in Router2(config-if)#end Router2#show ip interface 问题1. 可以把控制列表用于接口的出站连接吗？如何设置？ 问题2. 在扩展访问控制列表与标准访问控制列表有何不同? 问题3: 在扩展的IP访问控制列表中有哪两种描述主机地址的方法？ 六、练习题 你是某医院网管，领导要求你配置网络，提高网络的有效利用，保证网络的安全。 要求： 1、所有的用户都可以浏览网页，获取有价值信息。 2、所有上网用户都可以收发电子邮件 3、公安部最近通知63.5.8.1为某反动网站，请屏蔽该地址。 ４、为了安全，其他服务禁止访问。 图15 13