1、項(xiàng)目六 構(gòu)建安全的校園網(wǎng)絡(luò)愛護(hù)網(wǎng)絡(luò)的安全不僅包括直接面向用戶的終端設(shè)備,如服務(wù)器、工作站等，更包括網(wǎng)絡(luò)的傳輸設(shè)備,如路由器、交換機(jī)等。這些設(shè)備一旦出現(xiàn)問題，都會給網(wǎng)絡(luò)帶來災(zāi)難性的后果。愛護(hù)網(wǎng)絡(luò)的安全,首先需要保證網(wǎng)絡(luò)內(nèi)部的所有設(shè)備是安全、可靠的，為愛護(hù)網(wǎng)絡(luò)中接入設(shè)備的安全，一般能夠在接入交換機(jī)的端口上,對網(wǎng)絡(luò)中所有接入的用戶進(jìn)行認(rèn)證和安全治理,從而愛護(hù)網(wǎng)絡(luò)內(nèi)部的安全。而外部網(wǎng)絡(luò)安全防范能夠在路由器上實(shí)現(xiàn)。項(xiàng)目1 交換機(jī)端口安全配置一、項(xiàng)目描述為了加強(qiáng)學(xué)校信息化建設(shè)，在學(xué)生宿舍中安裝網(wǎng)絡(luò)端口，需要上網(wǎng)的學(xué)生能夠在網(wǎng)絡(luò)治理中心申請賬戶。隨著網(wǎng)絡(luò)的開通，學(xué)生申請賬戶的數(shù)目專門多,有的宿舍只開通一個(gè)賬

2、戶，在端口上接一個(gè)集線器,宿舍中的學(xué)生通過集線器上網(wǎng),由于無法確認(rèn)最終用戶,給網(wǎng)絡(luò)帶來了專門多安全隱患。為保證網(wǎng)絡(luò)安全,決定對交換機(jī)進(jìn)行適當(dāng)配置,保證校園網(wǎng)內(nèi)只有合法的、授權(quán)的用戶才能夠接入網(wǎng)絡(luò),同時(shí)防止私自使用集線器增加接入計(jì)算機(jī)數(shù)量。二、需求分析為保證網(wǎng)絡(luò)內(nèi)部的安全，規(guī)定校園網(wǎng)內(nèi)只有合法授權(quán)的用戶才能夠接入,需要在交換機(jī)端口豐進(jìn)行地址綁定。為了防止私自使用集線器，可在交換機(jī)的端口上限制設(shè)備的連接數(shù)量。三、項(xiàng)目實(shí)施環(huán)境S216交換機(jī)1臺，PC若干臺。網(wǎng)絡(luò)拓樸如圖11所示。圖11四、工作目標(biāo)1、利用交換機(jī)安全端口功能,操縱用戶的安全接入。2、對交換機(jī)的端口配置最大連接數(shù)。、針對接入端口進(jìn)行P+

3、MAC地址綁定。五、項(xiàng)目實(shí)施步驟1、按圖11連接所有設(shè)備,分不開啟所有設(shè)備，保證所有設(shè)備正常連接。、保證交換機(jī)設(shè)備的配置文件處于清空狀態(tài)。3、配置接入交換機(jī)端口的安全和端口的最大連接數(shù)。Switch nableSwitch# configure tmialSwitch(cnig)# hostame S212S126(config） iterace range astethent 01-2S2126(onfg-rage）stchpr me cessS212(ofigrange)#swihort port-surityS2126(nfig-rane)#swichp ort-serity maimm

4、 212(confi-rage)witchpr port-security vltonshutdw、查看交換機(jī)的端口安全配置S226# so prt-security5、配置交換機(jī)端口的地址綁定()查看P1的IP地址和MA地址(2)配置地址綁定Swch# onfgue termialSwitch（confg）#intface fasethent 0S212(coig-if）#swtchport ot-secriyS2126(congif）#witchport t-scurty ma-ades 0015.2dc96ab i-adress172.16.13（3)查看地址安全綁定配置212# sho

5、w prt-scurityadress5、測試（1）改變C1的IP地址，然后進(jìn)行測試。（）把PC1接到其他端口進(jìn)行測試。6、寫出測試結(jié)果。項(xiàng)目2 標(biāo)準(zhǔn)訪問操縱列表（AC）的配置一、項(xiàng)目問題你是某校園網(wǎng)管,領(lǐng)導(dǎo)要你對網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行操縱,要求校長能夠訪問財(cái)務(wù)的主機(jī),但教師機(jī)不能夠訪問。二、項(xiàng)目實(shí)施環(huán)境2126交換機(jī)臺,S370交換機(jī)2臺，網(wǎng)絡(luò)拓樸如圖1所示。圖12三、要緊任務(wù)在三層交換機(jī)上配置標(biāo)準(zhǔn)命名訪問操縱列表,愛護(hù)辦公網(wǎng)的安全。四、項(xiàng)目實(shí)踐目的、理解P訪問操縱列表的意義;、掌握標(biāo)準(zhǔn)的I訪問操縱列表的設(shè)置方法；五、項(xiàng)目實(shí)施步驟1、按圖12連接部門網(wǎng)絡(luò)的設(shè)備。2、按圖12配置P機(jī)的IP地址。、

6、S216交換機(jī)的配置tchenabl witc conigre ermnalSwtc(confg）# honame 212S2126(ofig)#vlan02126(confi-vla）#xit212(cnig)#interferg fsetere9-126(config-ifan)#switport acss vlan 20S22(conig-i-ane)exitS2126(con）#itrfc fathnet 0/S12(cong-if)wtort mode tunkS2(conig-i)ext4、30A交換機(jī)的配置SitceableSitch# onfigure inaSith(ofig

7、) hstnam S60S376（confg) vlan10S370A(onfg-la)#exitS37（config) intrace fatethernet /13760A(oni-if）#swihort acsn 10S3760A(onfigif)eitS760A（cofi) inerf fthernet 0/70A（onfig-if)#swithort mode runk5、S30交換機(jī)的配置Switeble witch# configrterialSwitch(conig)# hostname S370S37B（cofig)# van10S3760(conigvln)exiS3760

8、B(confi)# vla0S370B(nf-n)#exS376B(confi） inece sternet0/5S3760(config-if) swihpr me trk S60B(cni-if）#eitS760B（conig）#intefce sternt0/660B(onfiif)#switchpor mde trunkS3760B(cnig-f)#ext6、3760b交換機(jī)配置路由,實(shí)現(xiàn)LA間互訪3760B(cong)# intefe vlan 1S60(cnfigi)ip ddess 1916.1.1 S370B(ofi-i)# shutdwS3760B(con

9、fgi)#exitS760（config)# nterce ln 20S3760B(ofig-i)#i addess 192.168.21 S360B(onfig-i)#no sdon376B（confg-if)#e7、測試網(wǎng)絡(luò)連通性，現(xiàn)在全網(wǎng)應(yīng)連通，若不通,請檢查配置。C:/ ping 8、配置標(biāo)準(zhǔn)命名訪問操縱列表,使PC不能訪問PC1，PC2能訪問C1。在S360A交換機(jī)上進(jìn)行配置S370A(config)#ip ccess-ist stard abcS3760(config-stnacl)ermi host 12.16.2 376(ofig-std-na

10、cl）eny .0.0.2576A(confi-td-cl)#ermit anyS360A(fgstdncl）#exS370A(coni）#intfce ln 10S376(cong-i)#i ccess-grp bc out S3760A（ni-f)dS60# sow p ace-list abc、重新測試網(wǎng)絡(luò)連通性。 用pin命令檢測,從PC2能夠pin通PC1,從P不能夠ping通PC1。六、練習(xí)題你是某醫(yī)院網(wǎng)管，領(lǐng)導(dǎo)要求你對網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行操縱。網(wǎng)絡(luò)拓樸結(jié)構(gòu)如圖1所示,領(lǐng)導(dǎo)要求門診部的主機(jī)需要正常劃價(jià)收費(fèi)，能夠訪問收銀服務(wù)器1,但不能訪問財(cái)務(wù)部的其他主機(jī)。要求用標(biāo)準(zhǔn)

11、訪問操縱列表實(shí)現(xiàn)。圖13項(xiàng)目 擴(kuò)展訪問操縱列表（AC)的配置一、項(xiàng)目問題某校園網(wǎng)絡(luò)由三個(gè)網(wǎng)段組成，教工宿舍、學(xué)生宿舍和網(wǎng)絡(luò)中心分屬三個(gè)網(wǎng)段，通過兩臺路由器進(jìn)行連接，在網(wǎng)絡(luò)中心安裝有各種服務(wù)器（包括TP服務(wù)器）,學(xué)校規(guī)定學(xué)生宿舍所在的網(wǎng)段19281.0不能通過FTP服務(wù)器上網(wǎng)。對路由器進(jìn)行配置以實(shí)現(xiàn)這一目的。二、項(xiàng)目實(shí)施環(huán)境R264路由器2臺，35E 根,V35TE 1根,路由器之間通過串口采納V35DCE/D電纜連接。網(wǎng)絡(luò)拓樸如圖14所示，C1的I地址和子網(wǎng)掩碼為12181./24，默認(rèn)網(wǎng)關(guān)為,C2的地址和子網(wǎng)掩碼為/24，默認(rèn)網(wǎng)關(guān)為192682.1,PC的I地址和子網(wǎng)掩碼為1

12、168.2/24,默認(rèn)網(wǎng)關(guān)為。圖三、要緊任務(wù)、配置路由協(xié)議;2、配置擴(kuò)展的IP訪問操縱列表；3、在網(wǎng)絡(luò)端口上引用IP訪問操縱列表；4、查看和監(jiān)測I訪問操縱列表；四、項(xiàng)目實(shí)踐目的1、理解IP訪問操縱列表的意義；2、掌握擴(kuò)展的IP訪問操縱列表的設(shè)置方法；五、項(xiàng)目實(shí)施步驟1、設(shè)置1的I地址和子網(wǎng)掩碼為:192.168.2/24，默認(rèn)網(wǎng)關(guān)為:12168.1。PC的IP地址和子網(wǎng)掩碼為：19.18.2./24，默認(rèn)網(wǎng)關(guān)為：192.16.。PC3的IP地址和子網(wǎng)掩碼為：2.168.2/24,默認(rèn)網(wǎng)關(guān)為：。、設(shè)置rouer1的地址和路由協(xié)議RoterRoteebleRourconfre

13、terinaRouter(ofig)# ostm rutue1(cnfg)#rote1（config) nabl ssword cnlaroutr1(nig) nbe secetisco設(shè)置oute1的Fstthent1/1端口our1(cong)# interaceatehrnet1/1roter1(cofigi)#ip ddes92.168.1 255.25250uter1(confg-i)# nstdwn設(shè)置rut1的athrnt1/端口router1(cnfg)#interfce Fstenet10route1（conif)# ip addrs 5525525.0otr1(config

14、-if） no uton設(shè)置ruter1的12端口routr1（config-if)#ineface/2oute1(config-if)#i adres 12.16.11555525.假設(shè)S/為DCE端，則在DCE端一定要設(shè)置時(shí)鐘rote1（confi-if) cock rte 6000roer1(confg-if)# o shudown在Roter1中設(shè)置動態(tài)路由utr1(cnf) rouer iruer1(configrot) netwok ruer(nfigruter)# netwr 192181.0outer1(onigrouer)#netwr19.16.20router1(coni-

15、route)#vsion2rutr1（onfi-router)no autsummoryuter(onfig out)#endRoutr1#show iprou3、設(shè)置rot2的地址和路由協(xié)議outRuter eableRouter cnigre teilRoute(coni)#hostname rotr2Routr（config)uter2(config)# bl asswor ccnalabRoter2(cofi）#nble sct cisco設(shè)置rutr2的FastEert0端口：Route(cn) intrfe Fstethene/1Rutr2(onfig-if)# padress.1

16、6.3.2555.25.0oer2（coiif) nsutdn設(shè)置router2的1/2端口Router(config-i)inerfs1Rote2(conf-i） ipadres 17.16125525.255.0er2(cofig-i) n sutdown在uer2中設(shè)置動態(tài)路由oute2（onfg）# oer ipRutr(onfig-outr)#etwok172.1.00Router2(cnig-router)network 92.13.oer2（confirout)#rsi uter2(config-route)#no o-summoyRoue(cfg- rer )#endoute2

17、show i route4、測試網(wǎng)絡(luò)連通性，從PC1 ping PC2和P3，應(yīng)該能png通,若不通，請檢查配置。C:/ pg 5、配置擴(kuò)展訪問操縱列表，使FTP服務(wù)不能通過。Ror2(conig）#acces-list 101 dey c 192.18.1. 55 1916800.0.025 e ftRo2(cni)# ccess-lst1 permit i ay anyRoutr2(ng)# inerace serial 1/2Roer(coig-if)# accssgroup101Ruer2(confg-if)#ndRotr2sow ip interfa問題1. 能夠把操縱列表用于接口的出站連接嗎?如何設(shè)置？問題2. 在擴(kuò)展訪問操縱列表與標(biāo)準(zhǔn)訪問操縱列表有何不同?問題3:在擴(kuò)展的訪問操縱列表中有哪兩種描述主機(jī)地址的方法？ 六、練習(xí)題你是某醫(yī)院網(wǎng)管，領(lǐng)導(dǎo)要求你配置網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的有效利用,保證網(wǎng)絡(luò)的安全。要求: 1、所有的用戶都能夠掃瞄網(wǎng)頁，獵取有價(jià)值信息。 2、所有上網(wǎng)用戶都能夠收發(fā)電子郵件 3、公安部最近通知為某反動網(wǎng)站，請屏蔽該地址。 4、為了安全，其他服務(wù)