计算机网络管理与安全实训任务书.doc

计算机网络管理与安全课程实训任务书一、实训概况1. 实训班级： 计算机3091 2. 课程名称：计算机网络管理与安全3. 实训时间： 2011 年 12 月 12 日 2011 年 12 月 16 日4. 实训地点：计算机网络工程实训室二、实训目标：初步掌握实现可管理的、安全的园区网的基本技能三、基本要求1. 熟悉网络管理与安全的基本知识。2. 熟悉VLAN的基本知识，掌握PVID的基本配置技能。3. 熟悉路由冗余的基本概念，掌握浮动路由的基本配置方法。4. 熟悉AAA、dot1x的基本概念，掌握AAA的配置及RDI。5. 掌握日志服务器的配置与常用的攻击防范的基本方法。四、实训项目巩固项目：防火墙与虚拟机VPN项目一 安全、高效园区网的规划，交换机VLAN技术实训-PVID的配置项目二 路由冗余技术及浮动路由项目三 AAA的配置与RDAUS服务器的配置项目四 攻击防范与入侵检测五、进度安排课程实训进度计划（注：仅供参考）星期时间内容课时1上午复习：虚拟机VPN和防火墙应用4下午项目1-1： 安全、高效的网络设计与规划与VLAN-122上午项目1-2： 安全、高效的网络设计与规划与VLAN-24下午项目2： 路由冗余技术及浮动路由 +技术实践23上午项目3： AAA的配置与RADIUS服务器的概念+技术实践：PVID的配置与测试4下午4上午技术实践：AAA dot1x radius配置4下午项目4：攻击防范与入侵检测+技术实践25上午实训总结、完成实训报告4下午成绩评定2实训项目一-1：安全、高效园区网的规划【原理回顾】 LAN、WAN、INTERNET【 实际应用需求描述】从典型网络案例建立对网络技术的实际认知，从真实环境出发，设计、建立、管理和安全规划一个高可用性网络环境老校区办公、教学楼已经组建了网络（90节点）并使用ADSL（4M）接入互联网，教学区300节点未接入互联网。老校区将进行信息化建设：教学区新采购200台电脑；办公、教学楼新采购50台电脑，同时将教学区原300节点并入校园网和接入互联网。同时需要覆盖宿舍区每个房间，并能计费。部分区域无线覆盖。组建信息中心，自建立WEB、教学、课件点播等服务器。因旧网络暴露出的性能、扩展、管理等问题，此次建设将需要易于管理、安全和高效，并能随时扩展的网络建设。即建立网络的同时要充分考虑管理和安全问题。即将投入使用的新校区也需要网路建设、管理等需求，目前确定的是需要和老校区实现一条专线传输敏感数据如考题。【网络拓扑分析】园区网分层模型【考虑冗余环境】一、 基本要求l 了解网络设计规划的基本概念l 画出详细明确、清晰可读的网络拓扑图l 在网络拓扑图上进行网络地址分配和规划,标明主机的IP地址、子网掩码l 进行网络设备选型、确定传输介质、 标明主机网卡的型号规格，标明拓扑图中所有网络设备的型号规格、连接端口， l 标明子网划分、每个子网内中使用的IP地址,标明VLAN的划分及SVI的IP地址l 标明主机的默认网关的IP地址，标明网络设备的管理IP地址。l 说明本组网络设计方案的优缺点。二、 实训步骤1 网络规划与设计2 设计拓扑图3 设备选型4 提交设计方案报告三、 网络规划拓扑图：要求标注出主机IP地址分配、设备管理IP地址、VLAN划分等四、 网络设计方案设备清单序号名称规格型号单位数量是否可管理IP地址（管理）子网掩码默认网关所属部门备注五、 具体设计方案描述（需自行单独完成）六、 出现的问题及处理方法实训项目一-2： 交换机VLAN技术实训【配置目标】1、 1口与2口的计算机可以相互访问2、 3口与4口的计算机可以相互访问3、 1口、2口的计算机不能访问3口、4口的计算机4、 1口、2口、3口、4口的计算机都可以访问9端口的公共服务器【具体配置要求】1、 端口1、2：VID:10 PVID:102、 端口3、4：VID：20 PVID：203、 端口9： VID 10、 20、 30 PVID:30【实训拓扑图】【实验步骤】1、 创建VLAN 10、20、302、 划分端口1和2到VLAN 10中，配置NATIVE VLAN 为10，改变端口工作模式为混杂。3、 划分端口3和4到VLAN 20 中，配置NATIVE VLAN 为20，改变端口工作模式为混杂。4、 配置端口9的链路工作模式为HYBRID（混杂模式），配置NATIVE VLAN 为30【设备配置参数】【出现的问题及处理方法】特别是实训操作过程中出现的异常情况，请同学们详细记录【参考配置信息】interface FastEthernet 0/1 switchport mode hybrid switchport hybrid native vlan 10 switchport hybrid allowed vlan remove 20!interface FastEthernet 0/3 switchport mode hybrid switchport hybrid native vlan 20 switchport hybrid allowed vlan remove 10!interface FastEthernet 0/9 switchport mode hybrid switchport hybrid native vlan 30!实训项目二：浮动路由配置【配置目标】有核心网络如拓扑图所示，为防止单点故障造成的网络通讯失败，在三台路由器上配置浮动路由，以实现路由的冗余配置。【实验拓扑图】F1/1F1/0S1/22.2.2.2/8192.168.0.1/241.1.1.2/8R1762-10-13.3.3.2/8R1762-10-2F1/03.3.3.1/82.2.2.1/8R1762-9-1192.168.0.125/24网关:192.168.0.1 xF1/1F1/0S1/2Loopback：172.16.0.1/16Loopback：8.8.8.8/81.1.1.1/8【R1762-9-1配置参考】注：此处仅以R1762-9-1配置举例，其他两个路由器照此例配置1、 静态路由配置目标网络：192.168.0.0 下一跳地址：2.2.2.2目标网络：8.0.0.0 下一跳地址：3.3.3.22、冗余(浮动路由)配置目标网络：192.168.2.0 下一跳地址：3.3.3.2 200r1762-9-1(config)# ip route 192.168.0.0 255.255.255.0 3.3.3.2 222目标网络：8.0.0.0 下一跳地址：2.2.2.2 200r1762-9-1(config)# ip route 8.0.0.0 255.0.0.0 2.2.2.2 222【实训步骤】1、 按拓扑图使用静态路由完成全网互连互通，使用PING命令测试连通性并记录。2、 在路由器上配置浮动路由，具体配置参考【配置参考】3、 在PC机上使用tracert 命令跟踪路由信息，记录实验结果。 Tracert 8.8.8.8Tracert 172.16.0.14、 断掉R1762-10-1与R1762-9-1之间的连线。5、 再次使用Tracert命令跟踪路由，记录实验结果。（注意：路由跟踪时请耐心等候）【参考配置信息】-r1762-10-1#show running-configBuilding configuration.Current configuration : 767 bytes!version RGNOS 10.2.00(2), Release(27335)(Tue Dec 4 14:20:11 CST 2007 -ubuntu-2)hostname r1762-10-1no service password-encryptioninterface serial 1/2 ip address 1.1.1.2 255.0.0.0 clock rate 64000!interface serial 1/3 clock rate 64000!interface FastEthernet 1/0 ip address 2.2.2.2 255.0.0.0 duplex auto speed auto!interface FastEthernet 1/1 ip address 192.168.0.1 255.255.255.0 duplex auto speed auto!ip route 8.0.0.0 255.0.0.0 1.1.1.1ip route 8.0.0.0 255.0.0.0 2.2.2.1 222ip route 172.16.0.0 255.255.0.0 2.2.2.1ip route 172.16.0.0 255.255.0.0 1.1.1.1 222!line con 0line aux 0line vty 0 4 login password 7 072d173a11172911!endr1762-10-1#-R1762-10-2#show running-configBuilding configuration.Current configuration : 785 bytes!version RGNOS 10.2.00(2), Release(27335)(Tue Dec 4 14:20:11 CST 2007 -ubuntu-2)hostname R1762-10-2no service password-encryptioninterface serial 1/2 ip address 1.1.1.1 255.0.0.0interface serial 1/3 clock rate 64000interface FastEthernet 1/0 ip address 3.3.3.2 255.0.0.0 duplex auto speed autointerface FastEthernet 1/1 duplex auto speed autointerface Loopback 1 ip address 8.8.8.8 255.255.255.0!ip route 172.16.0.0 255.255.0.0 3.3.3.1ip route 172.16.0.0 255.255.0.0 1.1.1.2 222ip route 192.168.0.0 255.255.255.0 1.1.1.2ip route 192.168.0.0 255.255.255.0 3.3.3.1 222!-R1762-9-1#show running-configBuilding configuration.Current configuration : 794 bytes!version RGNOS 10.2.00(2), Release(27335)(Tue Dec 4 14:20:11 CST 2007 -ubuntu-2)hostname R1762-9-1no service password-encryptioninterface serial 1/2 clock rate 64000!interface serial 1/3 clock rate 64000!interface FastEthernet 1/0 ip address 3.3.3.1 255.0.0.0 duplex auto speed auto!interface FastEthernet 1/1 ip address 2.2.2.1 255.0.0.0 duplex auto speed auto!interface Loopback 1 ip address 172.16.0.1 255.255.0.0!ip route 8.0.0.0 255.0.0.0 3.3.3.2ip route 8.0.0.0 255.0.0.0 2.2.2.2 222ip route 192.168.0.0 255.255.255.0 2.2.2.2ip route 192.168.0.0 255.255.255.0 3.3.3.2 222!line con 0line aux 0line vty 0 4 login password 7 06152a162b101c33!endR1762-9-1#实训项目三 AAA服务器的安装与配置【实验拓扑图】【配置目标】在交换机上配置启用基于端口的用户接入安全认证(DOT1X)，使得连接在端口1的计算机必须经过认证（输入用户名和密码），才能连接到网络，认证使用RADUIS服务器。【实训步骤】1、实现双机互联互通2、在交换机上配置AAA：1） AAA基本配置：启用AAA2） RADIUS服务器信息配置：指定RADIUS服务器的地址3） 全局配置：开启DOT1.X 4） 在端口中启用DOT1.X5） 配置交换机的管理IP地址3、选择F0/2口上计算机作为AAA服务器，安装WINRADIUS认证软件，并测试其有效性及与交换机的连通性。4、把F0/1口上的计算机作为客户端，安装锐捷提供的专用认证客户端软件。5、为防止身份验证冲突，如图所示关闭客户机上操作系统所带的身份验证功能。6、打开锐捷客户端认证程序，输入用户名和密码进行认证。【设备参考配置信息】con taaa new-modelaaa group server radius test server 192.168.2.96aaa accounting network test start-stop group radiusaaa authentication dot1x default group radius localradius-server host 192.168.2.96radius-server key 7 0312654bdot1x accounting defaultdot1x authentication defaultdot1x client-probe enabledot1x auth-mode chapinterface FastEthernet 0/1 dot1x port-control auto dot1x port-control-mode port-basedexitinterface FastEthernet 0/4 dot1x port-control auto dot1x port-control-mode port-basedexitinterface VLAN 1 no ip proxy-a