计算机网络管理与安全实训任务书.docx

《计算机网络管理与安全》课程实训任务书 一、实训概况 1. 实训班级： 计算机3091 2. 课程名称：《计算机网络管理与安全》 3. 实训时间： 2011 年 12 月 12 日～ 2011 年 12 月 16 日 4. 实训地点：计算机网络工程实训室 二、实训目标：初步掌握实现可管理的、安全的园区网的基本技能 三、基本要求 1. 熟悉网络管理与安全的基本知识。 2. 熟悉VLAN的基本知识，掌握PVID的基本配置技能。 3. 熟悉路由冗余的基本概念，掌握浮动路由的基本配置方法。 4. 熟悉AAA、dot1x的基本概念，掌握AAA的配置及RDI。 5. 掌握日志服务器的配置与常用的攻击防范的基本方法。 四、实训项目 巩固项目：防火墙与虚拟机VPN 项目一 安全、高效园区网的规划，交换机VLAN技术实训 -PVID的配置 项目二 路由冗余技术及浮动路由 项目三 AAA的配置与RDAUS服务器的配置 项目四 攻击防范与入侵检测 五、进度安排 课程实训进度计划（注：仅供参考） 星期 时间 内容 课时 1 上午 复习：虚拟机VPN和防火墙应用 4 下午 项目1-1： 安全、高效的网络设计与规划与VLAN-1 2 2 上午 项目1-2： 安全、高效的网络设计与规划与VLAN-2 4 下午 项目2： 路由冗余技术及浮动路由 +技术实践 2 3 上午 项目3： AAA的配置与RADIUS服务器的概念+技术实践：PVID的配置与测试 4 下午 4 上午 技术实践：AAA dot1x radius配置 4 下午 项目4：攻击防范与入侵检测+技术实践 2 5 上午 实训总结、完成实训报告 4 下午 成绩评定 2 实训项目一-1：安全、高效园区网的规划 【原理回顾】 LAN、WAN、INTERNET 【 实际应用需求描述】 从典型网络案例建立对网络技术的实际认知，从真实环境出发，设计、建立、管理和安全规划一个高可用性网络环境 •老校区办公、教学楼已经组建了网络（90节点）并使用ADSL（4M）接入互联网，教学区300节点未接入互联网。 •老校区将进行信息化建设：教学区新采购200台电脑；办公、教学楼新采购50台电脑，同时将教学区原300节点并入校园网和接入互联网。同时需要覆盖宿舍区每个房间，并能计费。部分区域无线覆盖。 •组建信息中心，自建立WEB、教学、课件点播等服务器。 •因旧网络暴露出的性能、扩展、管理等问题，此次建设将需要易于管理、安全和高效，并能随时扩展的网络建设。即建立网络的同时要充分考虑管理和安全问题。 •即将投入使用的新校区也需要网路建设、管理等需求，目前确定的是需要和老校区实现一条专线传输敏感数据如考题。 【网络拓扑分析】 园区网分层模型 【考虑冗余环境】 一、 基本要求 l 了解网络设计规划的基本概念 l 画出详细明确、清晰可读的网络拓扑图 l 在网络拓扑图上进行网络地址分配和规划,标明主机的IP地址、子网掩码 l 进行网络设备选型、确定传输介质、 标明主机网卡的型号规格，标明拓扑图中所有网络设备的型号规格、连接端口， l 标明子网划分、每个子网内中使用的IP地址,标明VLAN的划分及SVI的IP地址 l 标明主机的默认网关的IP地址，标明网络设备的管理IP地址。 l 说明本组网络设计方案的优缺点。 二、 实训步骤 1． 网络规划与设计 2． 设计拓扑图 3． 设备选型 4． 提交设计方案报告 三、 网络规划拓扑图：要求标注出主机IP地址分配、设备管理IP地址、VLAN划分等 四、 网络设计方案设备清单 序号 名称 规格型号 单位 数量 是否可管理 IP地址（管理） 子网掩码 默认网关 所属部门 备注 五、 具体设计方案描述（需自行单独完成） 六、 出现的问题及处理方法 实训项目一-2： 交换机VLAN技术实训 【配置目标】 1、 1口与2口的计算机可以相互访问 2、 3口与4口的计算机可以相互访问 3、 1口、2口的计算机不能访问3口、4口的计算机 4、 1口、2口、3口、4口的计算机都可以访问9端口的公共服务器 【具体配置要求】 1、 端口1、2：VID:10 PVID:10 2、 端口3、4：VID：20 PVID：20 3、 端口9： VID 10、 20、 30 PVID:30 【实训拓扑图】 【实验步骤】 1、 创建VLAN 10、20、30 2、 划分端口1和2到VLAN 10中，配置NATIVE VLAN   为10，改变端口工作模式为混杂。 3、 划分端口3和4到VLAN 20 中，配置NATIVE VLAN 为20，改变端口工作模式为混杂。 4、 配置端口9的链路工作模式为HYBRID（混杂模式），配置NATIVE VLAN 为30 【设备配置参数】 【出现的问题及处理方法】 特别是实训操作过程中出现的异常情况，请同学们详细记录 【参考配置信息】 interface FastEthernet 0/1 switchport mode hybrid switchport hybrid native vlan 10 switchport hybrid allowed vlan remove 20 ! interface FastEthernet 0/3 switchport mode hybrid switchport hybrid native vlan 20 switchport hybrid allowed vlan remove 10 ! ! interface FastEthernet 0/9 switchport mode hybrid switchport hybrid native vlan 30 ! 实训项目二：浮动路由配置 【配置目标】有核心网络如拓扑图所示，为防止单点故障造成的网络通讯失败，在三台路由器上配置浮动路由，以实现路由的冗余配置。 【实验拓扑图】 F1/1 F1/0 S1/2 2.2.2.2/8 192.168.0.1/24 1.1.1.2/8 R1762-10-1 3.3.3.2/8 R1762-10-2 F1/0 3.3.3.1/8 2.2.2.1/8 R1762-9-1 192.168.0.125/24 网关:192.168.0.1 x F1/1 F1/0 S1/2 Loopback： 172.16.0.1/16 Loopback： 8.8.8.8/8 1.1.1.1/8 【R1762-9-1配置参考】注：此处仅以R1762-9-1配置举例，其他两个路由器照此例配置 1、 静态路由配置 目标网络：192.168.0.0 下一跳地址：2.2.2.2 目标网络：8.0.0.0 下一跳地址：3.3.3.2 2、冗余(浮动路由)配置 目标网络：192.168.2.0 下一跳地址：3.3.3.2 >200 r1762-9-1(config)# ip route 192.168.0.0 255.255.255.0 3.3.3.2 222 目标网络：8.0.0.0 下一跳地址：2.2.2.2 >200 r1762-9-1(config)# ip route 8.0.0.0 255.0.0.0 2.2.2.2 222 【实训步骤】 1、 按拓扑图使用静态路由完成全网互连互通，使用PING命令测试连通性并记录。 2、 在路由器上配置浮动路由，具体配置参考【配置参考】 3、 在PC机上使用tracert 命令跟踪路由信息，记录实验结果。   Tracert 8.8.8.8 Tracert 172.16.0.1 4、 断掉R1762-10-1与R1762-9-1之间的连线。 5、 再次使用Tracert命令跟踪路由，记录实验结果。（注意：路由跟踪时请耐心等候） 【参考配置信息】 -------------------------------------- r1762-10-1#show running-config Building configuration... Current configuration : 767 bytes ! version RGNOS 10.2.00(2), Release(27335)(Tue Dec 4 14:20:11 CST 2007 -ubuntu-2) hostname r1762-10-1 no service password-encryption interface serial 1/2 ip address 1.1.1.2 255.0.0.0 clock rate 64000 ! interface serial 1/3 clock rate 64000 ! interface FastEthernet 1/0 ip address 2.2.2.2 255.0.0.0 duplex auto speed auto ! interface FastEthernet 1/1 ip address 192.168.0.1 255.255.255.0 duplex auto speed auto ! ip route 8.0.0.0 255.0.0.0 1.1.1.1 ip route 8.0.0.0 255.0.0.0 2.2.2.1 222 ip route 172.16.0.0 255.255.0.0 2.2.2.1 ip route 172.16.0.0 255.255.0.0 1.1.1.1 222 ! line con 0 line aux 0 line vty 0 4 login password 7 072d173a11172911 ! ! end r1762-10-1# -------------------------------------------------------------- R1762-10-2#show running-config Building configuration... Current configuration : 785 bytes ! version RGNOS 10.2.00(2), Release(27335)(Tue Dec 4 14:20:11 CST 2007 -ubuntu-2) hostname R1762-10-2 no service password-encryption interface serial 1/2 ip address 1.1.1.1 255.0.0.0 interface serial 1/3 clock rate 64000 interface FastEthernet 1/0 ip address 3.3.3.2 255.0.0.0 duplex auto speed auto interface FastEthernet 1/1 duplex auto speed auto interface Loopback 1 ip address 8.8.8.8 255.255.255.0 ! ! ! ip route 172.16.0.0 255.255.0.0 3.3.3.1 ip route 172.16.0.0 255.255.0.0 1.1.1.2 222 ip route 192.168.0.0 255.255.255.0 1.1.1.2 ip route 192.168.0.0 255.255.255.0 3.3.3.1 222 ! ! ---------------------------------------------------------------- R1762-9-1#show running-config Building configuration... Current configuration : 794 bytes ! version RGNOS 10.2.00(2), Release(27335)(Tue Dec 4 14:20:11 CST 2007 -ubuntu-2) hostname R1762-9-1 no service password-encryption interface serial 1/2 clock rate 64000 ! interface serial 1/3 clock rate 64000 ! interface FastEthernet 1/0 ip address 3.3.3.1 255.0.0.0 duplex auto speed auto ! interface FastEthernet 1/1 ip address 2.2.2.1 255.0.0.0 duplex auto speed auto ! interface Loopback 1 ip address 172.16.0.1 255.255.0.0 ! ip route 8.0.0.0 255.0.0.0 3.3.3.2 ip route 8.0.0.0 255.0.0.0 2.2.2.2 222 ip route 192.168.0.0 255.255.255.0 2.2.2.2 ip route 192.168.0.0 255.255.255.0 3.3.3.2 222 ! line con 0 line aux 0 line vty 0 4 login password 7 06152a162b101c33 ! end R1762-9-1# 实训项目三 AAA服务器的安装与配置 【实验拓扑图】 【配置目标】 在交换机上配置启用基于端口的用户接入安全认证(DOT1X)，使得连接在端口1的计算机必须经过认证（输入用户名和密码），才能连接到网络，认证使用RADUIS服务器。 【实训步骤】 1、实现双机互联互通 2、在交换机上配置AAA： 1） AAA基本配置：启用AAA 2） RADIUS服务器信息配置：指定RADIUS服务器的地址 3） 全局配置：开启DOT1.X 4） 在端口中启用DOT1.X 5） 配置交换机的管理IP地址 3、选择F0/2口上计算机作为AAA服务器，安装WINRADIUS认证软件，并测试其有效性及与交换机的连通性。 4、把F0/1口上的计算机作为客户端，安装锐捷提供的专用认证客户端软件。 5、为防止身份验证冲突，如图所示关闭客户机上操作系统所带的身份验证功能。 6、打开锐捷客户端认证程序，输入用户名和密码进行认证。 【设备参考配置信息】 con t aaa new-model aaa group server radius test server 192.168.2.96 aaa accounting network test start-stop group radius aaa authentication dot1x default group radius local radius-server host 192.168.2.96 radius-server key 7 0312654b dot1x accounting default dot1x authentication default dot1x client-probe enable dot1x auth-mode chap interface FastEthernet 0/1 dot1x port-control auto dot1x port-control-mode port-based exit interface FastEthernet 0/4 dot1x port-control auto dot1x port-control-mode port-based exit interface VLAN 1 no ip proxy-arp ip address 192.168.2.90 255.255.255.0 end wr 第二部分 实训个人总结 一、实训内容总结 此部分说明本人在《计算机网络管理与安全》课程实训中承担的任务及完成的情况，遇到的问题以及处理的方法。 二、实训心得体会 此部分请大家结合自己在此次实训中承担的任务、学到的技能、与同学的合作、与指导老师的交流等方面谈一下心得体会，并请填写下面的调查问卷。 （此环节报告字数不少于500字。） 第三部分　实训调查问卷 请用红色文字在括号中填写，第1至10题每题满分10分： 1、 你认为此次实训的设计题目设置合理度可得（ ）分。 2、 你认为此次实训指导教师的负责程度可得（ ）分。 3、 你认为此次实训的时间设置合理度可得（ ）分。 4、 你认为此次实训的设备提供可得（ ）分。 5、 你认为此次实训对课程学习的帮助程度可得（ ）分。 6、 你认为此次实训和以后工作生活实践的结合度可得（ ）分。 7、 你认为此次实训中与其他同学在小组协作中合作满意度可得（ ）分。 8、 你认为此次实训内容引起学习兴趣程度可得（ ）分。 9、 你对此次实训的总体评价可得（ ）分。 10、 你对此次实训指导教师的整体评价可得（ ）分。 11、 你认为此次实训的优点有哪些： 12、 你认为此次实训的不足有哪些： 13、 你认为此次实训指导教师的优点有哪些： 14、 你认为此次实训指导教师的不足有哪些： 15、 你对计算机系下次安排下次实训有哪些建议： 16、 你对计算机系或此次实训的指导教师有什么寄语： 西安理工大学高等技术学院计算机系 网络与多媒体教研室 编 2010年12月31日