畢業(yè)論文論文題目校園網(wǎng)絡(luò)信息中心設(shè)計(jì)及實(shí)施學(xué)生姓名謝興明學(xué)生學(xué)號(hào)201312050002專業(yè)計(jì)算機(jī)網(wǎng)絡(luò)工程指導(dǎo)教師鮮敏系部電氣信息工程系校園網(wǎng)絡(luò)網(wǎng)管中心設(shè)計(jì)摘要隨著INTERNET的迅猛發(fā)展，人們對(duì)于網(wǎng)絡(luò)信息時(shí)代的需求越來(lái)越迫切，網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛。作為高等人才的培訓(xùn)場(chǎng)所，校園網(wǎng)建設(shè)的需求也越來(lái)越大，教師、學(xué)生、管理人員等對(duì)一個(gè)先進(jìn)的網(wǎng)絡(luò)環(huán)境的要求也十分迫切。因此，建設(shè)校園網(wǎng)具有非常大的理論意義和實(shí)踐意義。本設(shè)計(jì)實(shí)在局域網(wǎng)技術(shù)和目前網(wǎng)絡(luò)發(fā)展技術(shù)的基礎(chǔ)上，分析了校園網(wǎng)的各種功能需求和建設(shè)原則，并且闡述了網(wǎng)絡(luò)結(jié)構(gòu)技術(shù)和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)。在網(wǎng)絡(luò)設(shè)計(jì)中，實(shí)現(xiàn)各個(gè)網(wǎng)絡(luò)對(duì)應(yīng)各種的功能，實(shí)現(xiàn)校園的一體化、資源化、共享化等，從而保證校園網(wǎng)絡(luò)能適應(yīng)未來(lái)網(wǎng)絡(luò)的快速發(fā)展。關(guān)鍵詞網(wǎng)絡(luò)，安全，系統(tǒng)，技術(shù)，配置THEDESIGNANDCONFIGURTIONOFCAMPUSNETWORKSAFETYABSTRACTWITHTHERAPIDDEVELOPMENTOFINTERNET,THEDEMANDFORNETWORKINFORMATIONAGEISMOREANDMOREURGENT,THEAPPLICATIONOFNETWORKISMOREANDMOREWIDELYASTHEHIGHERTALENTSTRAININGVENUES,THECONSTRUCTIONOFCAMPUSNETWORKISALSOGROWINGDEMAND,TEACHERS,STUDENTS,MANAGERSANDOTHERREQUIREMENTSFORANADVANCEDNETWORKENVIRONMENTISALSOVERYURGENTTHEREFORE,ITHASVERYLARGETHEORETICALANDPRACTICALSIGNIFICANCEOFTHECONSTRUCTIONOFCAMPUSNETWORKTHEBASISFORTHISDESIGNISLANTECHNOLOGYANDTHECURRENTNETWORKTECHNOLOGYDEVELOPMENT,ANALYSISOFTHEVARIOUSFUNCTIONALREQUIREMENTSANDPRINCIPLEOFCONSTRUCTIONOFCAMPUSNETWORK,ANDDESCRIBESTHESTRUCTUREOFTHENETWORKTECHNOLOGYANDNETWORKTOPOLOGYDESIGNINTHENETWORKDESIGN,THEREALIZATIONOFEVERYNETWORKCORRESPONDINGTOVARIOUSFUNCTIONS,INTEGRATION,RESOURCESHARING,ETCSOASTOENSURETHEREALIZATIONOFTHECAMPUS,THECAMPUSNETWORKCANADAPTTOTHERAPIDDEVELOPMENTOFTHENETWORKOFTHEFUTUREKEYWORDSNETWORK,SAFETY,SYSTEM,TECHNOLOGY,CONFIGURE目錄第一章綜述6第二章項(xiàng)目介紹721設(shè)計(jì)目標(biāo)722設(shè)計(jì)的關(guān)鍵7第三章網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖931系統(tǒng)設(shè)計(jì)原則932網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計(jì)1033可管理性與維護(hù)原則1034安全性與保密性原則1035穩(wěn)定性和可靠性10第四章設(shè)備選型1041核心路由器選型1142核心交換機(jī)選型1243防火墻選型14第五章基本配置1551VLAN的應(yīng)用1552VLAN的劃分及配置1553IP地址分配及配置1654路由器基本配置2055灌注CISCO路由器IOS2056防火墻基本配置21第六章網(wǎng)絡(luò)主要配置2361配置動(dòng)態(tài)路由協(xié)議2362三層交換機(jī)路由配置2463路由器路由配置2464雙出口網(wǎng)絡(luò)2565NAT的配置26第七章網(wǎng)絡(luò)安全與管理2871網(wǎng)絡(luò)安全2872造成這些現(xiàn)狀的原因2873安全接入和配置29總結(jié)32參考文獻(xiàn)33致謝34第一章綜述隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，校園網(wǎng)已經(jīng)成為高等院校走向信息化時(shí)代的必然發(fā)展趨勢(shì)，使我國(guó)高等教育管理向智能化發(fā)展。它是網(wǎng)絡(luò)技術(shù)和電子信息技術(shù)和高等院校發(fā)展相結(jié)合的產(chǎn)物。校園網(wǎng)以信息資源為根本，硬件網(wǎng)絡(luò)系統(tǒng)為物質(zhì)基礎(chǔ)，同時(shí)以網(wǎng)絡(luò)軟件系統(tǒng)實(shí)現(xiàn)系統(tǒng)的管理與使用，是一個(gè)具有寬帶通路和交互功能的專業(yè)性局域網(wǎng)，應(yīng)具有教學(xué)、科研、管理和通訊等四大功能。校園網(wǎng)網(wǎng)絡(luò)的安全十分重要，它承載著學(xué)校的教務(wù)、行政、后勤、圖書(shū)資料、對(duì)外聯(lián)絡(luò)等方面的事務(wù)處理。但是，緊隨信息化發(fā)展的網(wǎng)絡(luò)安全問(wèn)題日漸突出，網(wǎng)絡(luò)安全問(wèn)題已成為信息時(shí)代人類共同面臨的挑戰(zhàn)，網(wǎng)絡(luò)信息安全問(wèn)題成為當(dāng)務(wù)之急，如果不能很好地解決這個(gè)問(wèn)題，必將阻礙信息化發(fā)展的進(jìn)程。校園網(wǎng)絡(luò)的建設(shè)并不是一件容易的事情，在建設(shè)過(guò)程中，我們應(yīng)該考慮校園網(wǎng)的特殊情況，考慮滿足網(wǎng)絡(luò)設(shè)施、路由配置、信息資源等等的需求。冰球考慮到未來(lái)校園擴(kuò)建的可能和在校人數(shù)的增加，我們要針對(duì)這種情況考慮到網(wǎng)絡(luò)擴(kuò)容的必要性。第二章項(xiàng)目介紹21設(shè)計(jì)目標(biāo)校園網(wǎng)的設(shè)計(jì)目標(biāo)簡(jiǎn)而言之是將各種不同應(yīng)用的信息資源通過(guò)高性能的網(wǎng)絡(luò)設(shè)備相互連接起來(lái)，形成校園區(qū)內(nèi)部的INTRANET系統(tǒng)，對(duì)外通過(guò)路由設(shè)備接入廣域網(wǎng)。具體而言這樣的設(shè)計(jì)目標(biāo)應(yīng)該是建設(shè)一個(gè)以辦公自動(dòng)化、計(jì)算機(jī)輔助教學(xué)、現(xiàn)代計(jì)算機(jī)校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托、技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、覆蓋全校樓宇的校園主干網(wǎng)絡(luò)，將學(xué)校的各種PC機(jī)工作站、終端設(shè)備和局域網(wǎng)連接起來(lái)，并與有關(guān)廣域網(wǎng)相連在網(wǎng)上宣傳和獲取教育資源在此基礎(chǔ)上建立能滿足教學(xué)、科研和管理工作需要的軟、硬件環(huán)境開(kāi)發(fā)各類信息庫(kù)和應(yīng)用系統(tǒng)，為學(xué)校各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)系統(tǒng)總體設(shè)計(jì)本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性、良好的開(kāi)放性、可擴(kuò)展性，以及建設(shè)經(jīng)濟(jì)性。22設(shè)計(jì)的關(guān)鍵221網(wǎng)絡(luò)技術(shù)選型在校園網(wǎng)網(wǎng)絡(luò)的建設(shè)中，主干網(wǎng)選擇何種網(wǎng)絡(luò)技術(shù)對(duì)網(wǎng)絡(luò)建設(shè)的成功與否起著決定性的作用。選擇適合校園網(wǎng)絡(luò)需求特點(diǎn)的主流網(wǎng)絡(luò)技術(shù)，不但能保證網(wǎng)絡(luò)的高性能，還能保證網(wǎng)絡(luò)的先進(jìn)性和擴(kuò)展性，能夠在未來(lái)向更新技術(shù)平滑過(guò)度，保護(hù)用戶的投資。所以要根據(jù)實(shí)際應(yīng)用的需要，采用千兆以太網(wǎng)作為校園網(wǎng)的主干網(wǎng)，因?yàn)樽鳛檎麄€(gè)校園網(wǎng)的信息交換中心，網(wǎng)絡(luò)的速度會(huì)直接影響到其他各子網(wǎng)的性能在建設(shè)多媒體教室時(shí)，由于網(wǎng)絡(luò)中將會(huì)有很多的圖像和聲音的傳輸，因此對(duì)帶寬和傳輸速度有很高的要求，采用快速以太網(wǎng)就是最好的選擇；而對(duì)于其他一些只有諸如簡(jiǎn)單文件傳輸之類的應(yīng)用的環(huán)境，采用以太網(wǎng)就能滿足要求。不同網(wǎng)絡(luò)技術(shù)的復(fù)雜程度，在一定程度上直接影響校園網(wǎng)的維護(hù)、管理和使用效果。千兆以太網(wǎng)繼承了以太網(wǎng)的技術(shù)簡(jiǎn)單，容易學(xué)習(xí)掌握的特點(diǎn)，是校園網(wǎng)的首選技術(shù)。222校園網(wǎng)的出口解決方案目前，高校校園網(wǎng)IP資源及注冊(cè)域名基本來(lái)源于中國(guó)教育科研計(jì)算機(jī)網(wǎng)CERNET，但資費(fèi)比較高，除了重點(diǎn)高校，帶寬也受到了很大限制。而隨著用戶數(shù)量的不斷增加，多數(shù)高校原有CERNET接入帶寬已不能滿足需求，擴(kuò)大校園網(wǎng)出口帶寬迫在眉睫，但擴(kuò)大出口帶寬帶來(lái)的一個(gè)直接問(wèn)題便是網(wǎng)絡(luò)信息費(fèi)的急劇增大，與CERNET相比，通過(guò)本地ISP接入CHINANET，在相同接入帶寬的情況下費(fèi)用較低。所以，采用雙出口方案是高校校園網(wǎng)發(fā)展的一個(gè)新趨勢(shì)，它綜合運(yùn)用了靜態(tài)、網(wǎng)絡(luò)地址轉(zhuǎn)換和策略路由等技術(shù)，充分整合了CERNET及本地ISP的優(yōu)勢(shì)資源，是一種行之有效的校園網(wǎng)出口瓶頸解決方案。223網(wǎng)絡(luò)核心設(shè)備的選擇1骨干帶寬的選擇網(wǎng)絡(luò)應(yīng)用的增加對(duì)網(wǎng)絡(luò)帶寬提出了直接的需求。事實(shí)上，從1983年8023標(biāo)準(zhǔn)的正是成立開(kāi)始，以太網(wǎng)技術(shù)經(jīng)過(guò)20年的發(fā)展，已進(jìn)入萬(wàn)兆以太網(wǎng)（8023AE標(biāo)準(zhǔn)）的時(shí)代。校園網(wǎng)絡(luò)應(yīng)用也是極其豐富的。并且隨著組播技術(shù)在校園的應(yīng)用，校園網(wǎng)核心層將面臨嚴(yán)峻的考驗(yàn)。出于對(duì)網(wǎng)絡(luò)發(fā)展的考慮，基于網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展，在擁有近萬(wàn)個(gè)信息點(diǎn)的高校采用萬(wàn)兆以太網(wǎng)技術(shù)構(gòu)建核心層是可行的。目前業(yè)務(wù)還沒(méi)完全開(kāi)展起來(lái)，先采用千兆骨干，但核心設(shè)備必須支持萬(wàn)兆，并且在教育行業(yè)有應(yīng)用，證明核心產(chǎn)品的成熟性和穩(wěn)定性。在實(shí)現(xiàn)端到端的以太網(wǎng)訪問(wèn)的同時(shí)提高了傳輸?shù)男剩行У乇ＷC了多媒體教學(xué)、數(shù)字圖書(shū)館等業(yè)務(wù)的開(kāi)展。2處理能力核心層是網(wǎng)絡(luò)高速交換的骨干，被設(shè)計(jì)成盡可能高速包轉(zhuǎn)發(fā)率，同時(shí)能夠提供高速的INTERNET的接入和高冗余性能，同時(shí)由于各高?；静捎昧薎NTERNET和CERNET雙出口，而且出口的速率不同，所以所選擇的網(wǎng)絡(luò)核心層設(shè)備應(yīng)該能夠提供多網(wǎng)絡(luò)出口的智能選擇的功能，本身能夠提供冗余特性。核心層設(shè)備須能夠支持多種不同模塊的插槽和提供多種不同的網(wǎng)絡(luò)模塊，支持到流媒體所需的網(wǎng)絡(luò)的組播協(xié)議和網(wǎng)絡(luò)的多播協(xié)議的處理能力，需要線速的數(shù)據(jù)轉(zhuǎn)發(fā)和數(shù)據(jù)交換功能，即高背板帶寬支持和高性能網(wǎng)絡(luò)處理芯片的支持；由于是核心設(shè)備，還必須考慮整體網(wǎng)絡(luò)的災(zāi)難備份和設(shè)備冗余，在設(shè)計(jì)中考慮的設(shè)備冗余需要有設(shè)備支持和協(xié)議支持，設(shè)備支持就是指在核心不能由單臺(tái)設(shè)備進(jìn)行整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)交換，需要有至少兩臺(tái)設(shè)備對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行有效的支撐，并已經(jīng)具備災(zāi)難備份的硬件支撐能力。在協(xié)議上，需要支持冗余協(xié)議，實(shí)現(xiàn)整體網(wǎng)絡(luò)冗余。支持在單臺(tái)設(shè)備失效的同時(shí)，在最短的時(shí)間切換，避免網(wǎng)絡(luò)損失。對(duì)于核心設(shè)備在網(wǎng)絡(luò)中的舉足輕重的位置，安全對(duì)于整個(gè)網(wǎng)絡(luò)來(lái)說(shuō)也整個(gè)網(wǎng)絡(luò)的至關(guān)重要的，對(duì)于外部的黑客攻擊和內(nèi)部的病毒攻擊的屏蔽，是保證整個(gè)網(wǎng)絡(luò)運(yùn)行的關(guān)鍵。核心設(shè)備要提供完善的ACL訪問(wèn)控制策略的定制，防止非法內(nèi)容的訪問(wèn)；廣播包抑制及廣播源定位功能，保證網(wǎng)絡(luò)用戶安全。3對(duì)于未來(lái)的擴(kuò)展設(shè)計(jì)對(duì)于在中心位置的核心設(shè)備的設(shè)計(jì)而言，隨著時(shí)代的改變，其業(yè)務(wù)結(jié)構(gòu)和規(guī)模也會(huì)改變，這樣需要整個(gè)網(wǎng)絡(luò)設(shè)備能夠?qū)ξ磥?lái)的變化具備應(yīng)對(duì)措施；由于核心設(shè)備是數(shù)據(jù)和業(yè)務(wù)的核心，所以，不能輕易的進(jìn)行更換，同時(shí)，考慮到成本的因素，除非核心設(shè)備已經(jīng)完全不能支撐目前業(yè)務(wù)的進(jìn)行，否則，基本都會(huì)采取在原來(lái)的設(shè)備增加功能支撐來(lái)滿足新業(yè)務(wù)的需求。這樣，對(duì)于未來(lái)的擴(kuò)展性就變得異常重要，核心設(shè)備擴(kuò)展槽，接插模塊類型，端口密度數(shù)應(yīng)有所考慮，以保證整體設(shè)備的高性價(jià)比。第三章網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖31系統(tǒng)設(shè)計(jì)原則網(wǎng)絡(luò)拓?fù)鋱D如圖1圖1校園網(wǎng)絡(luò)網(wǎng)管中心總體拓?fù)鋱D校園網(wǎng)管中心基于傳統(tǒng)的INTRANET網(wǎng)絡(luò)改進(jìn)，INTRANE是在傳統(tǒng)網(wǎng)絡(luò)的基礎(chǔ)上引入了INTERNET技術(shù)發(fā)展起來(lái)的，與一般網(wǎng)絡(luò)相比，該網(wǎng)絡(luò)它具有以下優(yōu)點(diǎn)1該網(wǎng)絡(luò)相對(duì)是開(kāi)放的，獨(dú)立于硬件平臺(tái)和操作系統(tǒng)，基于TCP/IP通訊協(xié)議的內(nèi)部網(wǎng)絡(luò)。2組件容易，管理方便，成本較低。在傳統(tǒng)的網(wǎng)絡(luò)上組建該網(wǎng)絡(luò)。3由于局域網(wǎng)大多基于高帶寬的媒介，傳輸速度快。4在網(wǎng)絡(luò)的安全方面而提供更加有效的控制措施，當(dāng)INTRANET介入INTERNET，他們?cè)谖锢砩嫌梅阑饓?lái)隔離，保證了網(wǎng)絡(luò)內(nèi)部的安全。32網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計(jì)校園網(wǎng)網(wǎng)絡(luò)整體分為三個(gè)層次核心層、匯聚層、接入層。為實(shí)現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層由2個(gè)核心節(jié)點(diǎn)組成，包括教學(xué)區(qū)區(qū)域、服務(wù)器群；匯聚層每片區(qū)域設(shè)置一個(gè)匯聚節(jié)點(diǎn)，匯聚層為高性能“中核心”型交換機(jī)，為了保證數(shù)據(jù)傳輸和交換的效率，同時(shí)提高了網(wǎng)絡(luò)的安全性；接入層為每個(gè)區(qū)域的接入交換機(jī)，是直接與用戶相連的設(shè)備。本實(shí)施方案從網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性、安全性及易于維護(hù)性出發(fā)進(jìn)行設(shè)計(jì)，以滿足客戶需求。33可管理性與維護(hù)原則網(wǎng)絡(luò)建設(shè)的一項(xiàng)重點(diǎn)在于網(wǎng)絡(luò)的管理，網(wǎng)絡(luò)的建設(shè)必須保證網(wǎng)絡(luò)運(yùn)行的可管理性。在網(wǎng)絡(luò)出故障時(shí)能迅速簡(jiǎn)便地進(jìn)行網(wǎng)絡(luò)故障的診斷。我院學(xué)校網(wǎng)絡(luò)系統(tǒng)的節(jié)點(diǎn)數(shù)目大，分布范圍廣，通信介質(zhì)多種多樣，采用的網(wǎng)絡(luò)技術(shù)也較先進(jìn)，網(wǎng)絡(luò)的管理任務(wù)加重了，如何有效地管理好網(wǎng)絡(luò)關(guān)系,是否充分有效地利用網(wǎng)絡(luò)的系統(tǒng)資源等問(wèn)題就擺在我們面前。用圖形化的管理界面和簡(jiǎn)潔的操作方式，合理地網(wǎng)絡(luò)規(guī)劃策略,可以提供強(qiáng)大的網(wǎng)絡(luò)管理功能，使網(wǎng)絡(luò)日常的維護(hù)和操作變得直觀、簡(jiǎn)便和高效。34安全性與保密性原則信息系統(tǒng)安全問(wèn)題是信息中心的任務(wù)，保證網(wǎng)絡(luò)的通暢。確保經(jīng)過(guò)該網(wǎng)絡(luò)安全地獲取信息，并保證該信息的完整和可靠。保證系統(tǒng)可靠運(yùn)行，在網(wǎng)絡(luò)設(shè)計(jì)時(shí)，將從內(nèi)部訪問(wèn)控制和外部防火墻兩方面保證我院校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的安全。35穩(wěn)定性和可靠性可靠性對(duì)于一個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是至關(guān)重要的，在局域網(wǎng)中經(jīng)常發(fā)生節(jié)點(diǎn)故障或傳輸介質(zhì)故障，一個(gè)可靠性高的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)除了可以使這些故障對(duì)整個(gè)網(wǎng)絡(luò)的影響盡可能小以外，同時(shí)還應(yīng)具有良好的故障診斷和故障隔離功能。第四章設(shè)備選型網(wǎng)絡(luò)中心設(shè)備預(yù)算表，如表1名稱型號(hào)生產(chǎn)商單位數(shù)量單價(jià)金額核心交換機(jī)CISCO3560思科臺(tái)27,5000015,00000路由器CISCO2901思科臺(tái)310,0000030,00000交換機(jī)CISCO2960思科臺(tái)13,500003,50000機(jī)柜圖騰（TOTEN）K36622圖騰個(gè)13,000003,00000水晶頭安普（AMP）5547203安普個(gè)10010010000雙絞線安普（AMP）2194202安普箱16000060000插板公牛（BULLGN109K公牛個(gè)5600030000光纖模塊思科XENPAK10GBER思科個(gè)23,700007,40000防火墻思科（CISCO）ASA5505K8思科臺(tái)13,000003,00000筆記本聯(lián)想Z400聯(lián)想臺(tái)44,0000016,00000路由器CISCO2801思科臺(tái)15,000005,00000表1網(wǎng)絡(luò)中心設(shè)備預(yù)算表41核心路由器選型網(wǎng)絡(luò)中心將網(wǎng)絡(luò)主干部分稱為核心層采用兩臺(tái)路由器，核心層的主要目的在于通過(guò)高速轉(zhuǎn)發(fā)通信，提供可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機(jī)應(yīng)擁有更高的可靠性，性能和吞吐量。思科（CISCO）CISCO2901/K9路由器圖片及參數(shù)如圖2、圖3圖2思科（CISCO）CISCO2901/K9路由器圖片圖3思科（CISCO）CISCO2901/K9路由器參數(shù)42核心交換機(jī)選型通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問(wèn)網(wǎng)絡(luò)的部分稱為接入層，將位于接入層和核心層之間的部分稱為分布層或匯聚層，接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機(jī)具有低成本和高端口密度特性；匯聚層交換機(jī)是多臺(tái)接入層交換機(jī)的匯聚點(diǎn)，它必須能夠處理來(lái)自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機(jī)與接入層交換機(jī)比較，需要更高的性能，更少的接口和更高的交換速率。而將網(wǎng)絡(luò)主干部分稱為核心層，核心層的主要目的在于通過(guò)高速轉(zhuǎn)發(fā)通信，提供優(yōu)化、可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機(jī)應(yīng)用有更高的可靠性能和吞吐量。思科（CISCO）CISCOWSC296024TSL圖片及參數(shù)如圖4、圖5圖4思科（CISCO）CISCOWSC296024TSL圖片圖5思科（CISCO）CISCOWSC296024TSL參數(shù)43防火墻選型在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)如INTERNET分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話說(shuō)，如果不通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪問(wèn)INTERNET，INTERNET上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。CISCOASA5505K8圖片及參數(shù)如圖6、圖7圖6CISCOASA5505K8圖片圖7CISCOASA5505K8參數(shù)第五章基本配置51VLAN的應(yīng)用VLAN是一個(gè)在物理網(wǎng)絡(luò)上根據(jù)用途，工作組、應(yīng)用等來(lái)邏輯劃分的局域網(wǎng)絡(luò)，是一個(gè)廣播域，與用戶的物理位置沒(méi)有關(guān)系。VLAN中的網(wǎng)絡(luò)用戶是通過(guò)LAN交換機(jī)來(lái)通信的。一個(gè)VLAN中的成員看不到另一個(gè)VLAN中的成員。同一個(gè)VLAN中的所有成員共同擁有一個(gè)VLANID，組成一個(gè)虛擬局域網(wǎng)絡(luò)；同一個(gè)VLAN中的成員均能收到同一個(gè)VLAN中的其他成員發(fā)來(lái)的廣播包，但收不到其他VLAN中成員發(fā)來(lái)的廣播包；不同VLAN成員之間不可直接通信，需要通過(guò)路由支持才能通信，而同一VLAN中的成員通過(guò)VLAN交換機(jī)可以直接通信，不需路由支持。VLAN的特性是控制通信活動(dòng)，隔離廣播數(shù)據(jù)順化網(wǎng)絡(luò)管理，便于工作組優(yōu)化組合，VLAN中的成員只要擁有一個(gè)VLANID就可以不受物理位置的限制，隨意移動(dòng)工作站的位置；增加網(wǎng)絡(luò)的安全性，VLAN交換機(jī)就是一道道屏風(fēng)，只有具備VLAN成員資格的分組數(shù)據(jù)才能通過(guò)，這比用計(jì)算機(jī)服務(wù)器做防火墻要安全得多；網(wǎng)絡(luò)帶寬得到充分利用，網(wǎng)絡(luò)性能大大提高。52VLAN的劃分及配置521VLAN的劃分表，如表2VLAN10連接到辦公區(qū)域VLAN20連接到教學(xué)區(qū)域VLAN30連接到宿舍區(qū)域VLAN40連接到內(nèi)部防火墻和服務(wù)器表2VLAN的劃分表S1INTERFACEFASTETHERNET0/3SWITCHPORTACCESSVLAN10SWITCHPORTMODEACCESS/S1將FA0/3端口應(yīng)用于VLAN10INTERFACEFASTETHERNET0/4SWITCHPORTACCESSVLAN20SWITCHPORTMODEACCES/S1將FA0/4端口應(yīng)用于VLAN20INTERFACEFASTETHERNET0/5SWITCHPORTACCESSVLAN30SWITCHPORTMODEACCESS/S1將FA0/5端口應(yīng)用于VLAN30INTERFACEFASTETHERNET0/6SWITCHPORTACCESSVLAN40SWITCHPORTMODEACCESS/S1將FA0/6端口應(yīng)用于VLAN40S2與S1VLAN劃分相同53IP地址分配及配置IP地址是我們進(jìn)行TCP/IP通訊的基礎(chǔ)，每個(gè)連接到網(wǎng)絡(luò)上的計(jì)算機(jī)都必須有一個(gè)IP地址。我們目前使用的IP地址是32位的，通常以點(diǎn)分十進(jìn)制表示。一個(gè)簡(jiǎn)單的IP地址其實(shí)包含了網(wǎng)絡(luò)地址和主機(jī)地址兩部分重要的信息。531設(shè)備管理IP地址規(guī)劃表，如表3名稱設(shè)備名稱接口IP地址子網(wǎng)掩碼VLAN備注S0/3/12021152551182552552550連接INTERNETZHUR1互聯(lián)網(wǎng)路由器1CISCO2901S0/3/02021152541222552552550連接到BEIFENR2S0/3/02186166252552552550連接到ZHUR1互聯(lián)網(wǎng)路由器2CISCO2901S0/3/12186165232552552550連接到BEIFENR2S0/3/12021152551192552552550連接到互聯(lián)網(wǎng)路由器1S0/3/02186166262552552550連接到互聯(lián)網(wǎng)路由器2互聯(lián)網(wǎng)路由器ZHUR1CISCO2901FA0/0101212552552550連接到S1FA0/1101112552552550連接到S2FA0/2101222552552550連接到ZHUR1FA0/1101322552552550連接到BEIFENR2FA0/31921681012552552550VLAN10連接到辦公區(qū)域FA0/41921682012552552550VLAN20連接到教學(xué)區(qū)域FA0/51921683012552552550VLAN30連接到宿舍區(qū)域三層交換機(jī)S1CISCO3560FA0/61921684012552552550VLAN40連接到內(nèi)部服務(wù)器FA0/1101422552552550連接到BEIFENR2FA0/2101112552552550連接到ZHUR1FA0/31921681022552552550VLAN10連接到辦公區(qū)域FA0/41921682022552552550VLAN20連接到教學(xué)區(qū)域三層交換機(jī)S2CISCO3560FA0/51921683022552552550VLAN30連接到宿舍區(qū)域FA0/61921684022552552550VLAN40連接到內(nèi)部服務(wù)器二層交換機(jī)CISCO2960連接到S1和S2，防火墻OUTSIDEE0/019216840102552552550連接到S1和S2INSIDEE0/1192168412542552552550連接到管理PC防火墻CISCO5505DMZ192168422542552552550連接到服務(wù)器群聯(lián)想計(jì)算機(jī)PCFA0/01921684122552552550連接到防火墻INSIDE服務(wù)器群FA0/01921684222552552550連接到防火墻DMZ表3設(shè)備管理IP地址規(guī)劃表ZHUR1INTERFACEGIGABITETHERNET0/0IPADDRESS101212552552550/配置ZHUR1GI0/0接口IP地址INTERFACEGIGABITETHERNET0/1IPADDRESS101112552552550/配置ZHUR1GI0/1接口IP地址INTERFACESERIAL0/3/0IPADDRESS2186166262552552550/配置ZHUR1S0/3/0接口IP地址INTERFACESERIAL0/3/1IPADDRESS2021152551192552552550/配置ZHUR1S0/3/1接口IP地址BEIFENR2INTERFACEFASTETHERNET0/0IPADDRESS101312552552550/配置BEIFENR2FA0/0接口IP地址INTERFACEFASTETHERNET0/1IPADDRESS101412552552550/配置BEIFENR2FA0/1接口IP地址INTERFACESERIAL0/3/0IPADDRESS2021152541212552552550/配置BEIFENR2S0/3/0接口IP地址INTERFACESERIAL0/3/1IPADDRESS2186165242552552550/配置BEIFENR2S0/3/1接口IP地址S1INTERFACEPORTCHANNEL1NOSWITCHPORTIPADDRESS101522552552550/配置交換機(jī)S1聚合端PORTCHANNEL1IP地址INTERFACEFASTETHERNET0/1NOSWITCHPORTIPADDRESS101322552552550/配置交換機(jī)S1FA0/1IP地址INTERFACEFASTETHERNET0/2NOSWITCHPORTIPADDRESS101222552552550/配置交換機(jī)S1FA0/2IP地址INTERFACEVLAN10IPADDRESS1921681012552552550/配置VLAN10IP地址INTERFACEVLAN20IPADDRESS1921682012552552550/配置VLAN20IP地址INTERFACEVLAN30IPADDRESS1921683012552552550/配置VLA30IP地址INTERFACEVLAN40IPADDRESS1921684012552552550/配置VLAN40IP地址S2INTERFACEPORTCHANNEL1NOSWITCHPORTIPADDRESS101512552552550/配置交換機(jī)S2聚合端PORTCHANNEL1IP地址INTERFACEFASTETHERNET0/1NOSWITCHPORTIPADDRESS101422552552550/配置交換機(jī)S2FA0/1IP地址INTERFACEFASTETHERNET0/2NOSWITCHPORTIPADDRESS101122552552550/配置交換機(jī)S2FA0/2IP地址INTERFACEVLAN10IPADDRESS1921681022552552550/配置VLAN10IP地址INTERFACEVLAN20IPADDRESS1921682022552552550/配置VLAN20IP地址INTERFACEVLAN30IPADDRESS1921683022552552550/配置VLAN30IP地址INTERFACEVLAN40IPADDRESS1921684022552552550/配置VLAN40IP地址54路由器基本配置ZHUR1HOSTNAMEZHUR1/配置路由器主機(jī)名LINECON0PASSWORD123456LOGIN/配置路由器控制口登錄密碼LINEVTY04PASSWORDCISCOLOGIN/配置路由器遠(yuǎn)程登錄密碼（其他設(shè)備大多配置相同）55灌注CISCO路由器IOS步驟1設(shè)置電腦的IP地址為19216812（這個(gè)隨便，只要和路由器設(shè)的在同一個(gè)網(wǎng)段就行），子網(wǎng)掩碼2552552550，默認(rèn)網(wǎng)關(guān)19216811,如圖8圖8設(shè)置電腦的IP2打開(kāi)電腦的TFTP_SERVER服務(wù)器軟件，將目錄改為下載下來(lái)的IOS文件目錄，不要關(guān)閉這個(gè)軟件。3用交叉線和CONSOLE線連接電腦和路由器，打開(kāi)電腦的SECURECRT軟件，選擇SERIAL口COM。啟動(dòng)路由器，快速按下CTRLBREAK，這是CRT中顯示ROMMON1，提示你輸入命令。配置步驟如下ROMMON1TFTPDNLD/這時(shí)顯示出現(xiàn)提示，相關(guān)信息沒(méi)有配置ROMMON2IP_ADDRESS19216811/設(shè)置路由器IP，保證電腦與路由器在同一網(wǎng)段ROMMON3IP_SUBNET_MASK2552552550/設(shè)置路由器子網(wǎng)掩碼ROMMON4DEFAULT_GATEWAY1921681254/設(shè)置默認(rèn)網(wǎng)關(guān)ROMMON5TFTP_SERVER19216812/服務(wù)器IP地址，這里是電腦IP地址ROMMON6TFTP_FILEC3640JK9O3SMZ12412BIN/IOS文件名ROMMON7TFTPDNLD/啟動(dòng)接收文件這時(shí)候會(huì)提示你是否刪除FLASH中的所有文件，選擇Y，接著開(kāi)始接收IOS文件。傳輸完成后，會(huì)自動(dòng)進(jìn)行相關(guān)初始化和配置，等這個(gè)過(guò)程結(jié)束后，輸入RESET重啟路由器就可以正常試用了。56防火墻基本配置INTERFACEVLAN11NAMEIFOUTSIDE/把VLAN11配置為OUTSIDE口SECURITYLEVEL0/配置OUTSIDE口的安全級(jí)別為0IPADDRESS19216840102552552550/配置IP地址INTERFACEVLAN22NAMEIFINSIDE/把VLAN11配置為OUTSIDE口SECURITYLEVEL100/配置OUTSIDE口的安全級(jí)別為0IPADDRESS192168412542552552550/配置IP地址INTERFACEVLAN33NOFORWARDINTERFACEVLAN2/由于ASA5505限制，配置DMZ轉(zhuǎn)寄NAMEIFDMZ/把VLAN11配置為OUTSIDE口SECURITYLEVEL50/配置OUTSIDE口的安全級(jí)別為0IPADDRESS192168422542552552550/配置IP地址其它配置ACCESSLISTIN_TO_OUTEXTENDEDPERMITIP1921680025525500ANYACCESSLISTIN_TO_DMZEXTENDEDPERMITIP19216841025525525501921684202552552550ACCESSLISTACL_OUTEXTENDEDPERMITTCPANYANYEQWWWACCESSLISTACL_OUTEXTENDEDPERMITTCPANYANYEQHTTPSACCESSLISTACL_OUTEXTENDEDPERMITICMPANYANYACCESSLIST102EXTENDEDPERMITICMPANYANYACCESSLIST102EXTENDEDPERMITIPANYANYACCESSLISTACL_DMZEXTENDEDPERMITICMPANYANYGLOBALOUTSIDE1192168403192168409NETMASK2552552550NATINSIDE11921680025525500NATINSIDE100000000ACCESSGROUPACL_OUTININTERFACEOUTSIDEACCESSGROUPACL_DMZININTERFACEDMZACCESSGROUPACL_IN_TO_OUTININTERFACEINSIDEACCESSGROUPACL_IN_TO_DMZININTERFACEINSIDEROUTEOUTSIDE000000001921684011TIMEOUTXLATE30000TIMEOUTCONN10000HALFCLOSED01000UDP00200ICMP00002TIMEOUTSUNRPC01000H32300500H22510000MGCP00500MGCPPAT00500TIMEOUTSIP03000SIP_MEDIA00200SIPINVITE00300SIPDISCONNECT00200TIMEOUTSIPPROVISIONALMEDIA00200UAUTH00500ABSOLUTETIMEOUTTCPPROXYREASSEMBLY00100TIMEOUTFLOATINGCONN00000DYNAMICACCESSPOLICYRECORDDFLTACCESSPOLICYNOSNMPSERVERLOCATIONNOSNMPSERVERCONTACTSNMPSERVERENABLETRAPSSNMPAUTHENTICATIONLINKUPLINKDOWNCOLDSTARTCRYPTOIPSECSECURITYASSOCIATIONLIFETIMESECONDS28800CRYPTOIPSECSECURITYASSOCIATIONLIFETIMEKILOBYTES4608000TELNET1921684102552552550INSIDETELNETTIMEOUT5SSHTIMEOUT5CONSOLETIMEOUT0DHCPDADDRESS1921684111921684132INSIDEDHCPDENABLEINSIDETHREATDETECTIONBASICTHREATTHREATDETECTIONSTATISTICSACCESSLISTNOTHREATDETECTIONSTATISTICSTCPINTERCEPTCLASSMAPINSPECTION_DEFAULTMATCHDEFAULTINSPECTIONTRAFFICPOLICYMAPTYPEINSPECTDNSPRESET_DNS_MAPPARAMETERSMESSAGELENGTHMAXIMUMCLIENTAUTOMESSAGELENGTHMAXIMUM512POLICYMAPGLOBAL_POLICYCLASSINSPECTION_DEFAULTINSPECTDNSPRESET_DNS_MAP第六章網(wǎng)絡(luò)主要配置路由器主要有以下幾種功能第一，網(wǎng)絡(luò)互連，路由器支持各種局域網(wǎng)和廣域網(wǎng)接口，主要用于互連局域網(wǎng)和廣域網(wǎng)，實(shí)現(xiàn)不同網(wǎng)絡(luò)互相通信第二，數(shù)據(jù)處理，提供包括分組過(guò)濾、分組轉(zhuǎn)發(fā)、優(yōu)先級(jí)、復(fù)用、加密、壓縮和防火墻等功能；第三，網(wǎng)絡(luò)管理，路由器提供包括配置管理、性能管理、容錯(cuò)管理和流量控制等功能。61配置動(dòng)態(tài)路由協(xié)議是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過(guò)程。它能實(shí)時(shí)地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。如果路由更新信息表明發(fā)生了網(wǎng)絡(luò)變化，路由選擇軟件就會(huì)重新計(jì)算路由，并發(fā)出新的路由更新信息。這些信息通過(guò)各個(gè)網(wǎng)絡(luò)，引起各路由器重新啟動(dòng)其路由算法，并更新各自的路由表以動(dòng)態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?。?dòng)態(tài)路由適用于網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓?fù)鋸?fù)雜的網(wǎng)絡(luò)。當(dāng)然，各種動(dòng)態(tài)路由協(xié)議會(huì)不同程度地占用網(wǎng)絡(luò)帶寬和CPU資源。62三層交換機(jī)路由配置S1ROUTEROSPF1NETWORK10120000255AREA0NETWORK10130000255AREA0NETWORK10150000255AREA0NETWORK192168100000255AREA0NETWORK192168200000255AREA0NETWORK192168300000255AREA0NETWORK192168400000255AREA0NETWORK20211500000255AREA0/配置S1的動(dòng)態(tài)路由協(xié)議OSPFS2ROUTEROSPF1NETWORK10110000255AREA0NETWORK10140000255AREA0NETWORK10150000255AREA0NETWORK192168100000255AREA0NETWORK192168200000255AREA0NETWORK192168300000255AREA0NETWORK192168400000255AREA0/配置S2的動(dòng)態(tài)路由協(xié)議63路由器路由配置ZHUR1ROUTEROSPF1NETWORK10110000255AREA0NETWORK10120000255AREA0/配置R1路由器的動(dòng)態(tài)路由協(xié)議IPROUTE00000000SERIAL0/3/1/配置R1路由器默認(rèn)路由BEIFENR2ROUTEROSPF1NETWORK10130000255AREA0NETWORK10140000255AREA0/配置R2路由器的動(dòng)態(tài)路由協(xié)議IPROUTE00000000SERIAL0/3/0/配置R1路由器默認(rèn)路由64雙出口網(wǎng)絡(luò)由于中國(guó)教育科研網(wǎng)與一般的電信級(jí)運(yùn)營(yíng)網(wǎng)絡(luò)不同，沒(méi)有非常充裕的線路、設(shè)備冗余，有可能發(fā)生單點(diǎn)故障，對(duì)于校園網(wǎng)的穩(wěn)定運(yùn)行有一定的影響。同時(shí)，通過(guò)CERNET訪問(wèn)其他的共眾網(wǎng)如CHINANET、GBNET等速率緩慢。隨著校園網(wǎng)用戶量增加和基于校園網(wǎng)絡(luò)的各種網(wǎng)絡(luò)應(yīng)用的展開(kāi)，要求校園網(wǎng)絡(luò)出口具有較高的網(wǎng)絡(luò)帶寬，原有單一的CERNET出口已不能滿足，有必要進(jìn)一步擴(kuò)大帶寬，通過(guò)當(dāng)?shù)鼐W(wǎng)絡(luò)服務(wù)提供商（ISP）開(kāi)辟第二出口連入INTERNET是較好的解決途徑，許多學(xué)校采用了教育網(wǎng)和電信（或聯(lián)通、電信等）第二出口的雙出口方案，既可以保留教育網(wǎng)資源，同時(shí)可以增加帶寬，提高了訪問(wèn)INTERNET資源的速度。641配置基于策略的路由協(xié)議傳統(tǒng)上，路由器使用路由表，根據(jù)目的地址進(jìn)行報(bào)文的轉(zhuǎn)發(fā)?；诓呗缘穆酚蔀榫W(wǎng)絡(luò)管理者提供了比傳統(tǒng)路由協(xié)議對(duì)報(bào)文的轉(zhuǎn)發(fā)和存儲(chǔ)更強(qiáng)的控制能力，策略路由不僅能夠根據(jù)目的地址而且能夠根據(jù)報(bào)文大小，應(yīng)用或IP源地址等來(lái)選擇轉(zhuǎn)發(fā)路徑。策略路由使網(wǎng)絡(luò)管理者能根據(jù)實(shí)際需要，靈活的決定一個(gè)報(bào)文采取的具體路徑。而在當(dāng)今復(fù)雜的網(wǎng)絡(luò)中，這種選擇的自由性是很重要的。策略路由是設(shè)置在接收?qǐng)?bào)文接口而不是發(fā)送接口，它采用MATCH和SET語(yǔ)句實(shí)現(xiàn)路徑的選擇。當(dāng)前的主流路由設(shè)備路由器，多層交換機(jī)基本上都可以支持策略路由。642基于源的策略基于源策略的路由選擇允許用戶根據(jù)信息量的始發(fā)地做出路由選擇決定。ZHUR1ACCESSLIST10PERMIT192168100000255ACCESSLIST20PERMIT192168200000255ACCESSLIST30PERMIT192168300000255ACCESSLIST40PERMIT192168400000255/配置允許的數(shù)據(jù)流量ROUTEMAPCISCO1PERMIT20MATCHIPADDRESS20SETINTERFACESERIAL0/3/0SERIAL0/3/1/配置20網(wǎng)段首先走S0/3/0,其次走路S0/3/1ROUTEMAPCISCO1PERMIT30MATCHIPADDRESS30SETINTERFACESERIAL0/3/0SERIAL0/3/1/配置30網(wǎng)段首先走S0/3/0,其次走路S0/3/1ROUTEMAPCISCOPERMIT10MATCHIPADDRESS10SETINTERFACESERIAL0/3/1SERIAL0/3/0/配置10網(wǎng)段首先走S0/3/1,其次走路S0/3/0ROUTEMAPCISCOPERMIT40MATCHIPADDRESS40SETINTERFACESERIAL0/3/1SERIAL0/3/0/配置40網(wǎng)段首先走S0/3/1,其次走路S0/3/0BEIFENR2ACCESSLIST10PERMIT192168100000255ACCESSLIST20PERMIT192168200000255ACCESSLIST30PERMIT192168300000255ACCESSLIST40PERMIT192168400000255/配置允許的數(shù)據(jù)流量ROUTEMAPCISCO1PERMIT20MATCHIPADDRESS20SETINTERFACESERIAL0/3/1SERIAL0/3/0/配置20網(wǎng)段首先走S0/3/1,其次走路S0/3/0ROUTEMAPCISCO1PERMIT30MATCHIPADDRESS30SETINTERFACESERIAL0/3/1SERIAL0/3/0/配置30網(wǎng)段首先走S0/3/1,其次走路S0/3/0ROUTEMAPCISCOPERMIT10MATCHIPADDRESS10SETINTERFACESERIAL0/3/0SERIAL0/3/1/配置10網(wǎng)段首先走S0/3/0,其次走路S0/3/1ROUTEMAPCISCOPERMIT40MATCHIPADDRESS40SETINTERFACESERIAL0/3/0SERIAL0/3/1/配置40網(wǎng)段首先走S0/3/0,其次走路S0/3/165NAT的配置651末節(jié)路由器的NATNAT的作用是把內(nèi)網(wǎng)的私有地址，轉(zhuǎn)化成外網(wǎng)的公有地址。使得內(nèi)部網(wǎng)絡(luò)上的被設(shè)置為私有IP地址的主機(jī)可以訪問(wèn)INTERNET。ZHUR1路由的NAT配置IPNATINSIDESOURCELISTNATINTERFACESERIAL0/3/1OVERLOAD/在S0/3/1借口上應(yīng)用命名訪問(wèn)控制列表的NAT為INSIDE原地址。IPNATINSIDESOURCELISTNATAINTERFACESERIAL0/3/0OVERLOAD/在S0/3/0借口上應(yīng)用命名訪問(wèn)控制列表的NATA為INSIDE原地址。IPNATINSIDESOURCEROUTEMAPCISCOINTERFACESERIAL0/3/1OVERLOAD/在S0/3/1借口上也應(yīng)用策略路由的路由圖CISCO的原地址。IPNATINSIDESOURCEROUTEMAPCISCO1INTERFACESERIAL0/3/0OVERLOAD/在S0/3/0借口上也應(yīng)用策略路由的路由圖CISCO1的原地址。IPROUTE00000000SERIAL0/3/1/設(shè)置默認(rèn)路由。IPACCESSLISTSTANDARDNAT/定義命名ACLNAT的地址PERMIT192168100000255PERMIT192168400000255DENYANYIPACCESSLISTSTANDARDNATA/定義命名ACLNATA的地址PERMIT192168200000255PERMIT192168300000255DENYANYACCESSLIST10PERMIT192168100000255/定義標(biāo)準(zhǔn)ACL10的地址ACCESSLIST20PERMIT192168200000255/定義標(biāo)準(zhǔn)ACL20的地址ACCESSLIST30PERMIT192168300000255/定義標(biāo)準(zhǔn)ACL30的地址ACCESSLIST40PERMIT192168400000255/定義標(biāo)準(zhǔn)ACL40的地址ROUTEMAPCISCO1PERMIT20/路由圖CISCO1允許ACL10D的流量MATCHIPADDRESS20/匹配的IP地址20SETINTERFACESERIAL0/3/0SERIAL0/3/1/設(shè)置接口ROUTEMAPCISCO1PERMIT30MATCHIPADDRESS30SETINTERFACESERIAL0/3/0SERIAL0/3/1ROUTEMAPCISCOPERMIT10MATCHIPADDRESS10SETINTERFACESERIAL0/3/1SERIAL0/3/0ROUTEMAPCISCOPERMIT40MATCHIPADDRESS40SETINTERFACESERIAL0/3/1SERIAL0/3/0注BENFENGR2上的NAT和ZHUR1的NAT大致相同。652防火墻的NAT在我們CISCO防火墻ASA5505上需配置NAT才能通訊。防火墻ASA5505上的配置ACCESSLISTIN_TO_OUTEXTENDEDPERMITIP1921680025525500ANY/定義擴(kuò)展ACLIN_TO_OUT允許的IP流量ACCESSLISTIN_TO_DMZEXTENDEDPERMITIP19216841025525525501921684202552552550/定義擴(kuò)展ACLIN_TO_DMZ允許的IP流量ACCESSLISTACL_OUTEXTENDEDPERMITTCPANYANYEQWWW/定義擴(kuò)展ACLOUT允許任意地址到任意地址訪問(wèn)WWW服務(wù)。ACCESSLISTACL_OUTEXTENDEDPERMITTCPANYANYEQHTTPS/定義擴(kuò)展ACLOUT允許任意地址到任意地址訪問(wèn)HTTPS服務(wù)。ACCESSLISTACL_OUTEXTENDEDPERMITICMPANYANY/定義擴(kuò)展ACLOUT允許PING任意地址到任意地址ACCESSLISTACL_DMZEXTENDEDPERMITICMPANYANY/定義擴(kuò)展ACLDMZ允許PING任意地址到任意地址GLOBALOUTSIDE1192168403192168409NETMASK2552552550/定義動(dòng)態(tài)NAT的外部地址池。NATINSIDE11921680025525500/定義動(dòng)態(tài)NAT的內(nèi)部地址段。ACCESSGROUPACL_OUTININTERFACEOUTSIDE/應(yīng)用ACLOUT在OUTSIDE接口ACCESSGROUPACL_DMZININTERFACEDMZ/應(yīng)用ACLDMZ在OUTSIDE接口ACCESSGROUPACL_IN_TO_OUTININTERFACEINSIDE/應(yīng)用ACLIN_TO_OUT在INSIDE接口ACCESSGROUPACL_IN_TO_DMZININTERFACEINSIDE/應(yīng)用ACLIN_TO_DMZ在INSIDE接口第七章網(wǎng)絡(luò)安全與管理71網(wǎng)絡(luò)安全校園網(wǎng)的安全威脅主要來(lái)源于兩大塊，一塊是來(lái)自于網(wǎng)內(nèi)，一塊來(lái)自于網(wǎng)外。來(lái)源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。根據(jù)統(tǒng)計(jì)，威脅校園網(wǎng)安全的攻擊行為大概有40左右是來(lái)自于網(wǎng)絡(luò)內(nèi)部，如何防范來(lái)自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系需要重點(diǎn)關(guān)注的地方。72造成這些現(xiàn)狀的原因1）網(wǎng)絡(luò)安全維護(hù)的投入不足。網(wǎng)絡(luò)安全維護(hù)的工作量是很大的,并且很困難,需要一定的人力、物力,然而大多數(shù)學(xué)校在校園網(wǎng)上的設(shè)備投入和人員投入很不充足,有限的經(jīng)費(fèi)也往往主要用在網(wǎng)絡(luò)設(shè)備購(gòu)置上,對(duì)于網(wǎng)絡(luò)安全建設(shè),普遍沒(méi)有比較系統(tǒng)的投入。2）網(wǎng)絡(luò)管理員責(zé)任心不強(qiáng)。很多學(xué)校的網(wǎng)絡(luò)管理員的都具有一定的專業(yè)水平,基本可以勝任本職工作,但是可能由于學(xué)校領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)安全不是很重視,或者因?yàn)閭€(gè)人某些方面的原因,造成工作熱情不高、責(zé)任心不強(qiáng),所以也就不會(huì)花很多的心思去維護(hù)網(wǎng)絡(luò)、維護(hù)硬件。3）師生的網(wǎng)絡(luò)安全意識(shí)和觀念淡薄。很多學(xué)生包括部分教師對(duì)網(wǎng)絡(luò)安全不夠重視,法律意識(shí)也不是很強(qiáng)。通過(guò)網(wǎng)絡(luò),或通過(guò)帶毒的移動(dòng)存儲(chǔ)介質(zhì),經(jīng)常有意無(wú)意的傳播病毒,攻擊校園網(wǎng)系統(tǒng),干擾校園網(wǎng)的安全運(yùn)行。4）盜版資源泛濫。由于缺乏版權(quán)意識(shí),