項(xiàng)目六構(gòu)建安全的校園網(wǎng)絡(luò)

1、PAGE PAGE 16項(xiàng)目六 構(gòu)建安全的校園網(wǎng)絡(luò)保護(hù)網(wǎng)絡(luò)的安全不僅包括直接面向用戶的終端設(shè)備，如服務(wù)器、工作站等，更包括網(wǎng)絡(luò)的傳輸設(shè)備，如路由器、交換機(jī)等。這些設(shè)備一旦出現(xiàn)問題，都會(huì)給網(wǎng)絡(luò)帶來災(zāi)難性的后果。保護(hù)網(wǎng)絡(luò)的安全，首先需要保證網(wǎng)絡(luò)內(nèi)部的所有設(shè)備是安全、可靠的，為保護(hù)網(wǎng)絡(luò)中接入設(shè)備的安全，一般可以在接入交換機(jī)的端口上，對網(wǎng)絡(luò)中所有接入的用戶進(jìn)行認(rèn)證和安全管理，從而保護(hù)網(wǎng)絡(luò)內(nèi)部的安全。而外部網(wǎng)絡(luò)安全防范可以在路由器上實(shí)現(xiàn)。項(xiàng)目1 交換機(jī)端口安全配置一、項(xiàng)目描述為了加強(qiáng)強(qiáng)學(xué)校信信息化建建設(shè)，在在學(xué)生宿宿舍中安安裝網(wǎng)絡(luò)絡(luò)端口，需要上上網(wǎng)的學(xué)學(xué)生可以以在網(wǎng)絡(luò)絡(luò)管理中中心申請請賬戶。隨著網(wǎng)網(wǎng)絡(luò)的

2、開開通，學(xué)學(xué)生申請請賬戶的的數(shù)目很很多，有有的宿舍舍只開通通一個(gè)賬賬戶，在在端口上上接一個(gè)個(gè)集線器器，宿舍舍中的學(xué)學(xué)生通過過集線器器上網(wǎng)，由于無無法確認(rèn)認(rèn)最終用用戶，給給網(wǎng)絡(luò)帶帶來了很很多安全全隱患。為保證證網(wǎng)絡(luò)安安全，決決定對交交換機(jī)進(jìn)進(jìn)行適當(dāng)當(dāng)配置，保證校校園網(wǎng)內(nèi)內(nèi)只有合合法的、授權(quán)的的用戶才才可以接接入網(wǎng)絡(luò)絡(luò)，并且且防止私私自使用用集線器器增加接接入計(jì)算算機(jī)數(shù)量量。二、需求求分析為保證網(wǎng)網(wǎng)絡(luò)內(nèi)部部的安全全，規(guī)定定校園網(wǎng)網(wǎng)內(nèi)只有有合法授授權(quán)的用用戶才可可以接入入，需要要在交換換機(jī)端口口豐進(jìn)行行地址綁綁定。為為了防止止私自使使用集線線器，可可在交換換機(jī)的端端口上限限制設(shè)備備的連接接數(shù)量。三、

3、項(xiàng)目目實(shí)施環(huán)環(huán)境S21226S交交換機(jī)11臺(tái)，PPC若干干臺(tái)。網(wǎng)網(wǎng)絡(luò)拓樸樸如圖111所示示。圖11四、工作作目標(biāo)1、利用用交換機(jī)機(jī)安全端端口功能能，控制制用戶的的安全接接入。2、對交交換機(jī)的的端口配配置最大大連接數(shù)數(shù)。3、針對對接入端端口進(jìn)行行IP+MACC地址綁綁定。五、項(xiàng)目目實(shí)施步步驟1、按圖圖11連連接所有有設(shè)備，分別開開啟所有有設(shè)備，保證所所有設(shè)備備正常連連接。2、保證證交換機(jī)機(jī)設(shè)備的的配置文文件處于于清空狀狀態(tài)。3、配置置接入交交換機(jī)端端口的安安全和端端口的最最大連接接數(shù)。Swittch ennablle Swittch# coonfiigurre ttermminaalSwittc

4、h(connfigg)# hosstnaame S21126S21226(cconffig)# iinteerfaace raangee ffasttethhernnet 0/11-2S21226(cconffig-rannge)#swwitcchpoort moode acccesssS21226(cconffig-rannge)#swwitcchpoort poort-seccuriity S21226(cconffig-rannge)#swwitcchpoort poort-seccuriity maaximmum 1S21226(cconffig-rannge)#swwitcchpoo

5、rt poort-seccuriity viiolaatioon sshuttdowwn4、查看看交換機(jī)機(jī)的端口口安全配配置S21226# shoow porrt-ssecuuritty5、配置置交換機(jī)機(jī)端口的的地址綁綁定（1）查查看PCC1的IIP地址址和MAAC地址址（2）配配置地址址綁定Swittch# coonfiigurre ttermminaalSwittch(connfigg)#iinteerfaace faasteetheerneet 00/3S21226(cconffig-if)#swwitcchpoort poort-seccuriity S21226(cconffig-i

6、f)#swwitcchpoort poort-seccuriity maac-aaddrresss 000155.f22dc.96aab ip-adddresss 173（3）查查看地址址安全綁綁定配置置S21226# shoow porrt-ssecuuritty aaddrresss5、測試試（1）改改變PCC1的IIP地址址，然后后進(jìn)行測測試。（2）把把PC11接到其其他端口口進(jìn)行測測試。6、寫出出測試結(jié)結(jié)果。項(xiàng)目2 標(biāo)準(zhǔn)準(zhǔn)訪問控控制列表表（ACCL）的的配置一、項(xiàng)目目問題你是某校校園網(wǎng)管管，領(lǐng)導(dǎo)導(dǎo)要你對對網(wǎng)絡(luò)的的數(shù)據(jù)流流量進(jìn)行行控制,要求校校長可以以訪問財(cái)財(cái)務(wù)的主主

7、機(jī)，但但教師機(jī)機(jī)不可以以訪問。二、項(xiàng)目目實(shí)施環(huán)環(huán)境S21226交換換機(jī)1臺(tái)臺(tái)，S336700交換機(jī)機(jī)2臺(tái)，網(wǎng)絡(luò)拓拓樸如圖圖12所示示。圖12三、主要要任務(wù)在三層交交換機(jī)上上配置標(biāo)標(biāo)準(zhǔn)命名名訪問控控制列表表，保護(hù)護(hù)辦公網(wǎng)網(wǎng)的安全全。四、項(xiàng)目目實(shí)踐目目的1、理解解IP訪訪問控制制列表的的意義；2、掌握握標(biāo)準(zhǔn)的的IP訪訪問控制制列表的的設(shè)置方方法；五、項(xiàng)目目實(shí)施步步驟1、按圖圖12連連接部門門網(wǎng)絡(luò)的的設(shè)備。2、按圖圖12配配置PCC機(jī)的IIP地址址。3、S221266交換機(jī)機(jī)的配置置Swittch ennablle Swittch# coonfiigurre ttermminaalSwittch(c

8、onnfigg)# hosstnaame S21126S21226(cconffig)# vvlann 200S21226(cconffig-vlaan)#exiitS21226(cconffig)# iinteerfaace raangee ffasttethhernnet 0/99-100S21226(cconffig-if-rannge)#swwitcchpoort acccesss vllan 20S21226(cconffig-if-rannge)#exxitS21226(cconffig)# iinteerfaace faasteetheerneet 00/8S21226(ccon

9、ffig-if)#swwitcchpoort moode trrunkkS21226(cconffig-if)#exxit4、S337600A交換換機(jī)的配配置Swittch ennablle Swittch# coonfiigurre ttermminaalSwittch(connfigg)# hosstnaame S37760AAS37660A(connfigg)# vlaan 110S37660A(connfigg-vllan)#exxitS37660A(connfigg)# intterffacee ffasttethhernnet 0/11S37660A(connfigg-iff)#s

10、swittchpportt acccesss vvlann 100S37660A(connfigg-iff)#eexittS37660A(connfigg)# intterffacee ffasttethhernnet 0/22S37660A(connfigg-iff)#sswittchpportt mmodee ttrunnk5、S337600B交換換機(jī)的配配置Swittch ennablle Swittch# coonfiigurre ttermminaalSwittch(connfigg)# hosstnaame S37760BBS37660B(connfigg)# vlaan 110S

11、37660B(connfigg-vllan)#exxitS37660B(connfigg)# vlaan 220S37660B(connfigg-vllan)#exxitS37660B(connfigg)# intterffacee ffasttethhernnet 0/55S37660B(connfigg-iff)#sswittchpportt mmodee ttrunnk S37660B(connfigg-iff)#eexittS37660B(connfigg)# intterffacee ffasttethhernnet 0/66S37660B(connfigg-iff)#sswittc

12、hpportt mmodee ttrunnkS37660B(connfigg-iff)#eexitt6、s337600b交換換機(jī)配置置路由，實(shí)現(xiàn)VVLANN間互訪訪S37660B(connfigg)# intterffacee vvlann 110S37660B(connfigg-iff)#iip adddresss 1922.1668.11.1 2555.2255.2555.0S37660B(connfigg-iff)#nno shuutdoownS37660B(connfigg-iff)#eexittS37660B(connfigg)# intterffacee vvlann 220S37

13、660B(connfigg-iff)#iip adddresss 1922.1668.22.1 2555.2255.2555.0S37660B(connfigg-iff)#nno shuutdoownS37660B(connfigg-iff)#eexitt7、測試試網(wǎng)絡(luò)連連通性，此時(shí)全全網(wǎng)應(yīng)連連通，若若不通，請檢查查配置。C:/ ppingg 1992.1168.2.88、配置置標(biāo)準(zhǔn)命命名訪問問控制列列表，使使PC33不能訪訪問PCC1，PPC2能能訪問PPC1。在S37760AA交換機(jī)機(jī)上進(jìn)行行配置S37660A(connfigg)#iip aacceess-lisst sstanndarr

14、d aabcS37660A(connfigg-sttd-nnacll)#ppermmit hosst 1192.1688.2.8 S37660A(connfigg-sttd-nnacll)#ddenyy 1992.1168.2.00 0.0.00.2555S37660A(connfigg-sttd-nnacll)#ppermmit anyyS37660A(connfigg-sttd-nnacll)#eexittS37660A(connfigg)#iintffacee vllan 10S37660A(connfigg-iff)#iip aacceess-grooup abcc ouutS3766

15、0A(connfigg-iff)#eendS37660A# shhow ip acccesss-liistss abbc9、重新新測試網(wǎng)網(wǎng)絡(luò)連通通性。用用pinng命令令檢測，從PCC2可以以pinng通PPC1，從PCC3不可可以piing通通PC11。六、練習(xí)習(xí)題你是某醫(yī)醫(yī)院網(wǎng)管管，領(lǐng)導(dǎo)導(dǎo)要求你你對網(wǎng)絡(luò)絡(luò)的數(shù)據(jù)據(jù)流量進(jìn)進(jìn)行控制制。網(wǎng)絡(luò)絡(luò)拓樸結(jié)結(jié)構(gòu)如圖圖13所所示，領(lǐng)領(lǐng)導(dǎo)要求求門診部部的主機(jī)機(jī)需要正正常劃價(jià)價(jià)收費(fèi)，可以訪訪問收銀銀服務(wù)器器1922.1668.22.8,但不能能訪問財(cái)財(cái)務(wù)部的的其他主主機(jī)。要要求用標(biāo)標(biāo)準(zhǔn)訪問問控制列列表實(shí)現(xiàn)現(xiàn)。圖13項(xiàng)目3 擴(kuò)展訪訪問控制制列表（ACLL）的配配

16、置一、項(xiàng)目目問題某校園網(wǎng)網(wǎng)絡(luò)由三三個(gè)網(wǎng)段段組成，教工宿宿舍、學(xué)學(xué)生宿舍舍和網(wǎng)絡(luò)絡(luò)中心分分屬三個(gè)個(gè)網(wǎng)段，通過兩臺(tái)路由由器進(jìn)行行連接，在在網(wǎng)絡(luò)中中心安裝裝有各種種服務(wù)器器（包括括FTPP服務(wù)器器），學(xué)學(xué)校規(guī)定定學(xué)生宿宿舍所在在的網(wǎng)段段1922.1668.11.0不不能通過過FTPP服務(wù)器器上網(wǎng)。對路由由器進(jìn)行行配置以以實(shí)現(xiàn)這這一目的的。二、項(xiàng)目目實(shí)施環(huán)環(huán)境R26224路由由器2臺(tái)臺(tái)，V335DCCE 11根，VV35DDTE 1根，路由器器之間通通過串口口采用VV35DDCE/DTEE電纜連連接。網(wǎng)網(wǎng)絡(luò)拓樸樸如圖114所示示，PCC1的IIP地址址和子網(wǎng)網(wǎng)掩碼為為1922.1668.11.2/24

17、，默認(rèn)網(wǎng)網(wǎng)關(guān)為1192.1168.1.1，PPC2的IP地地址和子子網(wǎng)掩碼碼為1992.1168.2.22/244，默認(rèn)認(rèn)網(wǎng)關(guān)為為1922.1668.2.1，PC33的IP地地址和子子網(wǎng)掩碼碼為1992.1168.3.22/244，默認(rèn)認(rèn)網(wǎng)關(guān)為為1922.1668.3.1。圖14三、主要要任務(wù)1、配置置路由協(xié)協(xié)議；2、配置置擴(kuò)展的的IP訪訪問控制制列表；3、在網(wǎng)網(wǎng)絡(luò)端口口上引用用IP訪訪問控制制列表；4、查看看和監(jiān)測測IP訪訪問控制制列表；四、項(xiàng)目目實(shí)踐目目的1、理解解IP訪訪問控制制列表的的意義；2、掌握握擴(kuò)展的的IP訪訪問控制制列表的的設(shè)置方方法；五、項(xiàng)目目實(shí)施步步驟1、設(shè)置置PC11的I

18、PP地址和和子網(wǎng)掩掩碼為：1922.1668.11.2/24，默認(rèn)網(wǎng)網(wǎng)關(guān)為：1922.1668.11.1。PC22的IPP地址和和子網(wǎng)掩掩碼為：1922.1668.22.2/24，默認(rèn)網(wǎng)網(wǎng)關(guān)為：1922.1668.22.1。PC33的IPP地址和和子網(wǎng)掩掩碼為：1922.1668.33.2/24，默認(rèn)網(wǎng)網(wǎng)關(guān)為：1922.1668.33.1。2、設(shè)置置rouuterr1的地地址和路路由協(xié)議議RoutterRoutter ennablleRoutter# cconffiguure terrminnalRoutter(connfigg)# hoostnnamee roouteer1routter11

19、(coonfiig)#routter11(coonfiig)# eenabble passswoord ccnnalaabroutter11(coonfiig)# eenabble seccrett ciiscoo設(shè)置roouteer1的的FasstEttherrnett1/11端口routter11(coonfiig)# iinteerfaace Fasstettherrnett1/11routter11(coonfiig-iif)# ipp adddreess 1922.1688.1.1 2255.2555.2555.00routter11(coonfiig-iif)# noo shhut

20、ddownn設(shè)置roouteer1的的FasstEttherrnett1/00端口routter11(coonfiig)# iinteerfaace Fasstettherrnett1/00routter11(coonfiig-iif)# ipp adddreess 1922.1688.2.1 2555.2555.2255.0routter11(coonfiig-iif)# noo shhutddownn設(shè)置roouteer1的的s1/2端口口routter11(coonfiig-iif)#innterrfacce ss1/22routter11(coonfiig-iif)# ipp addd

21、reess 17 2555.2255.2555.0假設(shè)S11/2為為DCEE端，則則在DCCE端一一定要設(shè)設(shè)置時(shí)鐘鐘routter11(coonfiig-iif)# cclocck rratee 6440000routter11(coonfiig-iif)# noo shhutddownn在Rouuterr1中設(shè)設(shè)置動(dòng)態(tài)態(tài)路由routter11(coonfiig)# rroutter ripproutter11(coonfiig-rroutter)# nettworrk 1routter11(coonfiig-rroutter)# nettworrk 1192.1168.

22、1.0routter11(coonfiig-rroutter)# nettworrk 1192.1168.2.0routter11(coonfiig-rroutter)#veersiion 2routter11(coonfiig-rroutter)#noo auuto-summmorryRoutter11(coonfiig- rouuterr )#enddRoutter11#shoow iip rroutte3、設(shè)置置rouuterr2的地地址和路路由協(xié)議議RoutterRoutter ennablleRoutter# cconffiguure terrminnalRoutter(connfi

23、gg)# hoostnnamee roouteer2Routter22(coonfiig)#Routter22(coonfiig)# eenabble passswoord ccnnalaabRoutter22(coonfiig)# eenabble seccrett ciiscoo設(shè)置roouteer2的的FasstEttherrnett0端口口：Routter22(coonfiig)# iinteerfaace Fasstettherrnett1/11Routter22(coonfiig-iif)# ipp adddreess 1922.1688.3.1 2555.2255.2555.0R

24、outter22(coonfiig-iif)# noo shhutddownn設(shè)置roouteer2的的s1/2端口口Routter22(coonfiig-iif)#innterrfacce ss1/22Routter22(coonfiig-iif)# ipp adddreess 17 2555.2255.2555.0Routter22(coonfiig-iif)# noo shhutddownn在Rouuterr2中設(shè)設(shè)置動(dòng)態(tài)態(tài)路由Routter22(coonfiig)# rroutter rippRoutter22(coonfiig-rroutter)# nettworrk 1172.11

25、6.0.0Routter22(coonfiig-rroutter)# nettworrk 1192.1168.3.0Routter22(coonfiig-rroutter)#veersiion 2Routter22(coonfiig-rroutter)#noo auuto-summmorryRoutter22(coonfiig- rouuterr )#enddRoutter22#shoow iip rroutte4、測試試網(wǎng)絡(luò)連連通性，從PCC1 ppingg PPC2和和PC33，應(yīng)該該能piing通通，若不不通，請請檢查配配置。C:/ ppingg 1992.1168.3.25、配置置擴(kuò)展訪訪問控制制列表，使FTTP服務(wù)務(wù)不能通通過。Routter22(coonfiig)#acccesss-llistt 1001 ddenyytcpp 192.1168.1.0 0.0.00.2