项目六构建安全的校园网络

1、PAGE PAGE 16项目六 构建安全的校园网络保护网络的安全不仅包括直接面向用户的终端设备，如服务器、工作站等，更包括网络的传输设备，如路由器、交换机等。这些设备一旦出现问题，都会给网络带来灾难性的后果。保护网络的安全，首先需要保证网络内部的所有设备是安全、可靠的，为保护网络中接入设备的安全，一般可以在接入交换机的端口上，对网络中所有接入的用户进行认证和安全管理，从而保护网络内部的安全。而外部网络安全防范可以在路由器上实现。项目1 交换机端口安全配置一、项目描述为了加强强学校信信息化建建设，在在学生宿宿舍中安安装网络络端口，需要上上网的学学生可以以在网络络管理中中心申请请账户。随着网网络的

2、开开通，学学生申请请账户的的数目很很多，有有的宿舍舍只开通通一个账账户，在在端口上上接一个个集线器器，宿舍舍中的学学生通过过集线器器上网，由于无无法确认认最终用用户，给给网络带带来了很很多安全全隐患。为保证证网络安安全，决决定对交交换机进进行适当当配置，保证校校园网内内只有合合法的、授权的的用户才才可以接接入网络络，并且且防止私私自使用用集线器器增加接接入计算算机数量量。二、需求求分析为保证网网络内部部的安全全，规定定校园网网内只有有合法授授权的用用户才可可以接入入，需要要在交换换机端口口丰进行行地址绑绑定。为为了防止止私自使使用集线线器，可可在交换换机的端端口上限限制设备备的连接接数量。三、

3、项目目实施环环境S21226S交交换机11台，PPC若干干台。网网络拓朴朴如图111所示示。图11四、工作作目标1、利用用交换机机安全端端口功能能，控制制用户的的安全接接入。2、对交交换机的的端口配配置最大大连接数数。3、针对对接入端端口进行行IP+MACC地址绑绑定。五、项目目实施步步骤1、按图图11连连接所有有设备，分别开开启所有有设备，保证所所有设备备正常连连接。2、保证证交换机机设备的的配置文文件处于于清空状状态。3、配置置接入交交换机端端口的安安全和端端口的最最大连接接数。Swittch ennablle Swittch# coonfiigurre ttermminaalSwittc

4、h(connfigg)# hosstnaame S21126S21226(cconffig)# iinteerfaace raangee ffasttethhernnet 0/11-2S21226(cconffig-rannge)#swwitcchpoort moode acccesssS21226(cconffig-rannge)#swwitcchpoort poort-seccuriity S21226(cconffig-rannge)#swwitcchpoort poort-seccuriity maaximmum 1S21226(cconffig-rannge)#swwitcchpoo

5、rt poort-seccuriity viiolaatioon sshuttdowwn4、查看看交换机机的端口口安全配配置S21226# shoow porrt-ssecuuritty5、配置置交换机机端口的的地址绑绑定（1）查查看PCC1的IIP地址址和MAAC地址址（2）配配置地址址绑定Swittch# coonfiigurre ttermminaalSwittch(connfigg)#iinteerfaace faasteetheerneet 00/3S21226(cconffig-if)#swwitcchpoort poort-seccuriity S21226(cconffig-i

6、f)#swwitcchpoort poort-seccuriity maac-aaddrresss 000155.f22dc.96aab ip-adddresss 173（3）查查看地址址安全绑绑定配置置S21226# shoow porrt-ssecuuritty aaddrresss5、测试试（1）改改变PCC1的IIP地址址，然后后进行测测试。（2）把把PC11接到其其他端口口进行测测试。6、写出出测试结结果。项目2 标准准访问控控制列表表（ACCL）的的配置一、项目目问题你是某校校园网管管，领导导要你对对网络的的数据流流量进行行控制,要求校校长可以以访问财财务的主主

7、机，但但教师机机不可以以访问。二、项目目实施环环境S21226交换换机1台台，S336700交换机机2台，网络拓拓朴如图图12所示示。图12三、主要要任务在三层交交换机上上配置标标准命名名访问控控制列表表，保护护办公网网的安全全。四、项目目实践目目的1、理解解IP访访问控制制列表的的意义；2、掌握握标准的的IP访访问控制制列表的的设置方方法；五、项目目实施步步骤1、按图图12连连接部门门网络的的设备。2、按图图12配配置PCC机的IIP地址址。3、S221266交换机机的配置置Swittch ennablle Swittch# coonfiigurre ttermminaalSwittch(c

8、onnfigg)# hosstnaame S21126S21226(cconffig)# vvlann 200S21226(cconffig-vlaan)#exiitS21226(cconffig)# iinteerfaace raangee ffasttethhernnet 0/99-100S21226(cconffig-if-rannge)#swwitcchpoort acccesss vllan 20S21226(cconffig-if-rannge)#exxitS21226(cconffig)# iinteerfaace faasteetheerneet 00/8S21226(ccon

9、ffig-if)#swwitcchpoort moode trrunkkS21226(cconffig-if)#exxit4、S337600A交换换机的配配置Swittch ennablle Swittch# coonfiigurre ttermminaalSwittch(connfigg)# hosstnaame S37760AAS37660A(connfigg)# vlaan 110S37660A(connfigg-vllan)#exxitS37660A(connfigg)# intterffacee ffasttethhernnet 0/11S37660A(connfigg-iff)#s

10、swittchpportt acccesss vvlann 100S37660A(connfigg-iff)#eexittS37660A(connfigg)# intterffacee ffasttethhernnet 0/22S37660A(connfigg-iff)#sswittchpportt mmodee ttrunnk5、S337600B交换换机的配配置Swittch ennablle Swittch# coonfiigurre ttermminaalSwittch(connfigg)# hosstnaame S37760BBS37660B(connfigg)# vlaan 110S

11、37660B(connfigg-vllan)#exxitS37660B(connfigg)# vlaan 220S37660B(connfigg-vllan)#exxitS37660B(connfigg)# intterffacee ffasttethhernnet 0/55S37660B(connfigg-iff)#sswittchpportt mmodee ttrunnk S37660B(connfigg-iff)#eexittS37660B(connfigg)# intterffacee ffasttethhernnet 0/66S37660B(connfigg-iff)#sswittc

12、hpportt mmodee ttrunnkS37660B(connfigg-iff)#eexitt6、s337600b交换换机配置置路由，实现VVLANN间互访访S37660B(connfigg)# intterffacee vvlann 110S37660B(connfigg-iff)#iip adddresss 1922.1668.11.1 2555.2255.2555.0S37660B(connfigg-iff)#nno shuutdoownS37660B(connfigg-iff)#eexittS37660B(connfigg)# intterffacee vvlann 220S37

13、660B(connfigg-iff)#iip adddresss 1922.1668.22.1 2555.2255.2555.0S37660B(connfigg-iff)#nno shuutdoownS37660B(connfigg-iff)#eexitt7、测试试网络连连通性，此时全全网应连连通，若若不通，请检查查配置。C:/ ppingg 1992.1168.2.88、配置置标准命命名访问问控制列列表，使使PC33不能访访问PCC1，PPC2能能访问PPC1。在S37760AA交换机机上进行行配置S37660A(connfigg)#iip aacceess-lisst sstanndarr

14、d aabcS37660A(connfigg-sttd-nnacll)#ppermmit hosst 1192.1688.2.8 S37660A(connfigg-sttd-nnacll)#ddenyy 1992.1168.2.00 0.0.00.2555S37660A(connfigg-sttd-nnacll)#ppermmit anyyS37660A(connfigg-sttd-nnacll)#eexittS37660A(connfigg)#iintffacee vllan 10S37660A(connfigg-iff)#iip aacceess-grooup abcc ouutS3766

15、0A(connfigg-iff)#eendS37660A# shhow ip acccesss-liistss abbc9、重新新测试网网络连通通性。用用pinng命令令检测，从PCC2可以以pinng通PPC1，从PCC3不可可以piing通通PC11。六、练习习题你是某医医院网管管，领导导要求你你对网络络的数据据流量进进行控制制。网络络拓朴结结构如图图13所所示，领领导要求求门诊部部的主机机需要正正常划价价收费，可以访访问收银银服务器器1922.1668.22.8,但不能能访问财财务部的的其他主主机。要要求用标标准访问问控制列列表实现现。图13项目3 扩展访访问控制制列表（ACLL）的配配

16、置一、项目目问题某校园网网络由三三个网段段组成，教工宿宿舍、学学生宿舍舍和网络络中心分分属三个个网段，通过两台路由由器进行行连接，在在网络中中心安装装有各种种服务器器（包括括FTPP服务器器），学学校规定定学生宿宿舍所在在的网段段1922.1668.11.0不不能通过过FTPP服务器器上网。对路由由器进行行配置以以实现这这一目的的。二、项目目实施环环境R26224路由由器2台台，V335DCCE 11根，VV35DDTE 1根，路由器器之间通通过串口口采用VV35DDCE/DTEE电缆连连接。网网络拓朴朴如图114所示示，PCC1的IIP地址址和子网网掩码为为1922.1668.11.2/24

17、，默认网网关为1192.1168.1.1，PPC2的IP地地址和子子网掩码码为1992.1168.2.22/244，默认认网关为为1922.1668.2.1，PC33的IP地地址和子子网掩码码为1992.1168.3.22/244，默认认网关为为1922.1668.3.1。图14三、主要要任务1、配置置路由协协议；2、配置置扩展的的IP访访问控制制列表；3、在网网络端口口上引用用IP访访问控制制列表；4、查看看和监测测IP访访问控制制列表；四、项目目实践目目的1、理解解IP访访问控制制列表的的意义；2、掌握握扩展的的IP访访问控制制列表的的设置方方法；五、项目目实施步步骤1、设置置PC11的I

18、PP地址和和子网掩掩码为：1922.1668.11.2/24，默认网网关为：1922.1668.11.1。PC22的IPP地址和和子网掩掩码为：1922.1668.22.2/24，默认网网关为：1922.1668.22.1。PC33的IPP地址和和子网掩掩码为：1922.1668.33.2/24，默认网网关为：1922.1668.33.1。2、设置置rouuterr1的地地址和路路由协议议RoutterRoutter ennablleRoutter# cconffiguure terrminnalRoutter(connfigg)# hoostnnamee roouteer1routter11

19、(coonfiig)#routter11(coonfiig)# eenabble passswoord ccnnalaabroutter11(coonfiig)# eenabble seccrett ciiscoo设置roouteer1的的FasstEttherrnett1/11端口routter11(coonfiig)# iinteerfaace Fasstettherrnett1/11routter11(coonfiig-iif)# ipp adddreess 1922.1688.1.1 2255.2555.2555.00routter11(coonfiig-iif)# noo shhut

20、ddownn设置roouteer1的的FasstEttherrnett1/00端口routter11(coonfiig)# iinteerfaace Fasstettherrnett1/00routter11(coonfiig-iif)# ipp adddreess 1922.1688.2.1 2555.2555.2255.0routter11(coonfiig-iif)# noo shhutddownn设置roouteer1的的s1/2端口口routter11(coonfiig-iif)#innterrfacce ss1/22routter11(coonfiig-iif)# ipp addd

21、reess 17 2555.2255.2555.0假设S11/2为为DCEE端，则则在DCCE端一一定要设设置时钟钟routter11(coonfiig-iif)# cclocck rratee 6440000routter11(coonfiig-iif)# noo shhutddownn在Rouuterr1中设设置动态态路由routter11(coonfiig)# rroutter ripproutter11(coonfiig-rroutter)# nettworrk 1routter11(coonfiig-rroutter)# nettworrk 1192.1168.

22、1.0routter11(coonfiig-rroutter)# nettworrk 1192.1168.2.0routter11(coonfiig-rroutter)#veersiion 2routter11(coonfiig-rroutter)#noo auuto-summmorryRoutter11(coonfiig- rouuterr )#enddRoutter11#shoow iip rroutte3、设置置rouuterr2的地地址和路路由协议议RoutterRoutter ennablleRoutter# cconffiguure terrminnalRoutter(connfi

23、gg)# hoostnnamee roouteer2Routter22(coonfiig)#Routter22(coonfiig)# eenabble passswoord ccnnalaabRoutter22(coonfiig)# eenabble seccrett ciiscoo设置roouteer2的的FasstEttherrnett0端口口：Routter22(coonfiig)# iinteerfaace Fasstettherrnett1/11Routter22(coonfiig-iif)# ipp adddreess 1922.1688.3.1 2555.2255.2555.0R

24、outter22(coonfiig-iif)# noo shhutddownn设置roouteer2的的s1/2端口口Routter22(coonfiig-iif)#innterrfacce ss1/22Routter22(coonfiig-iif)# ipp adddreess 17 2555.2255.2555.0Routter22(coonfiig-iif)# noo shhutddownn在Rouuterr2中设设置动态态路由Routter22(coonfiig)# rroutter rippRoutter22(coonfiig-rroutter)# nettworrk 1172.11

25、6.0.0Routter22(coonfiig-rroutter)# nettworrk 1192.1168.3.0Routter22(coonfiig-rroutter)#veersiion 2Routter22(coonfiig-rroutter)#noo auuto-summmorryRoutter22(coonfiig- rouuterr )#enddRoutter22#shoow iip rroutte4、测试试网络连连通性，从PCC1 ppingg PPC2和和PC33，应该该能piing通通，若不不通，请请检查配配置。C:/ ppingg 1992.1168.3.25、配置置扩展访访问控制制列表，使FTTP服务务不能通通过。Routter22(coonfiig)#acccesss-llistt 1001 ddenyytcpp 192.1168.1.0 0.0.00.2