网络综合练习一.doc

综合练习一、阅读说明，回答问题1、问题2、问题3，将解答填入答题纸的对应栏内。 说明某单位要与其下所属四个县局单位实现连网，具体设计如下：1、设计要求（1、）县局B终端用户包括：20个普通用户，县局C终端用包括：40个普通用户，县局D终端用户包括：20个普通用户，县局E终端用户包括：18个普通用户，市局A终端用户包括90个普通用。（2、）每个县局都有4个特殊用户，市局有10个特殊用户。（3、）服务器提供Web、DNS、E-mail服务。（所有服务器都其中在市局网络中心）（4、）支持远程培训，可以接入互联网，具有广域网访问的安全机制和网络管理功能。（5、）各县局与市局之间的距离都大于100公里。（6、）每个县局与市局都分布一个网段（县局B：10.244.90.0,县局C：10.244.91.0,县局D：10.244.92.0,县局E：10.244.93.0市局A：10.244.80.0）(7、)县局与市局通过光纤连接。 说明：所谓普通用户就是只能用于生产（只能县与县，县与市局连网，不能连internet）,不能上internet网，而特殊用户既可以生产也可上internet网。2、可选设备：设备名称数量特性交换机switch16台具有两个100BaseTX端口和24个10BaseTX端口交换机switch22台具有两个100BaseTX端口和48个10BaseTX端口路由器Router11台提供了对内的10/100M局域多接口，对外的128K的ISDN或专线连接，同时具有防火墙功能。路由器Router24台提供了对内的10/100M局域网接口，同/异步串口模块或ISDN模块问题1、请为该单位设计网络方案（画出其网络拓扑结构图）问题2、怎么实现普通用户只能用作生产用，而特殊用户既可以生产用，也可以上网？问题3、如果该单位用于生产的数据很重要，其安全性要求很高，而对外的internet与其连在一起对其安全造成很大威胁，在允许增加可选设备的条件下，你怎样处理？为什么那样处理？【参考答案】1、2、我们所选用的为A（市局）所选用的路由器为Router1(提供了对内的10/100M局域多接口，对外的128K的ISDN或专线连接，同时具有防火墙功能)。我们利用该路由器所具有的防火墙功能将内网和外网隔离开来，将需要上网的ip地址用访问列表加以控制。3、可以利用网络技术“非军事区结构模式”（DMZ）。在重要的数据服务器之前再增加一道防火墙。在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。综合练习二、 阅读以下说明，回答问题1、问题2。 说明： VPN是通过公用网络internet将分布在不同地点的终端联接在成的专用网络。目前大多采用IPSec实现IP网络上端点间的认证和加密服务。（见下图 一）VPN的基本配置公司总部网络子网为 192.168.1.0/24路由器为100.10.15.1公司分部服务器为 192.168.10.0/24路由器为200.20.25.1执行下列步骤：1 确定一个预先共享的密钥（保密密码）（保密密码假设为 ccidedu）2 为SA协商过程配置IKE。3 配置IPSecShelby(config)#crypto isakmp policy1 /policy1表示策略1，假如想多配几个VPN，可以写成policy2、policy3-Shelby(config-isakmp)#group1 /使用group1长度的密钥，group命令有两个参数值：1和2。参数1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥。Shelby(config-isakm)#authentication pre-share_ _(1)_Shelby(config-isakm)#ifetime 3600 /对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期到达中断。Shelby(config)#crypto isakmp key ccidedu address 200.20.25.1 /返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路幅器IP地址。相应地在另一端路由器配置也和以上命令类似，只不过把IP地址改成 100.10.15.1。配置IPSecShelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255 _(2)_Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac _(3)_Shelby(config)#crypto map shortsec 60 ipsec-isakmp /为定义生成新保密密钥的周期，如果攻击者破解了保密密钥，他就能够解使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期。比如，每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。Shelby(config-crypto-map)#set peer 200.20.25.1 _(4)_Shelby(config-crypto-map)#set transform-set vpn1 _(5)_Shelby(config-crypto-map)#match address 130 /访问列表Shelby(config)#interface s0Shelby(config-if)#crypto map shortsec /将刚才定义的密码图应用到路由器的外部接口。问题1、请简述IPSec协议问题2、解释_(n)_处标有下划线的部分含义。【参考答案】1、IPSec提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。IPSec 协议组包含Authentication Header（AH）协议、Encapsulating Security Payload（ESP）协议和Internet Key Exchange（IKE）协议。其中AH协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP协议定义了加密和可选认证的应用方法，提供可靠性保证。在实际进行IP通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务，不过，AH提供的认证服务要