校園網(wǎng)絡(luò)信息中心設(shè)計

1、校園網(wǎng)絡(luò)信息中心設(shè)計及實施 TOC o 1-5 h z HYPERLINK l bookmark86 o Current Document 第一章綜述3 HYPERLINK l bookmark94 o Current Document 第二章工程介紹4 HYPERLINK l bookmark96 o Current Document 設(shè)計目標(biāo)4 HYPERLINK l bookmark98 o Current Document 設(shè)計的關(guān)鍵4第三章 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖6系統(tǒng)設(shè)計原那么6 HYPERLINK l bookmark103 o Current Document 網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計7 HY

2、PERLINK l bookmark105 o Current Document 可管理性與維護(hù)原那么7 HYPERLINK l bookmark107 o Current Document 平安性與保密性原那么7 HYPERLINK l bookmark109 o Current Document 穩(wěn)定性和可靠性7 HYPERLINK l bookmark111 o Current Document 第四章設(shè)備選型7 HYPERLINK l bookmark113 o Current Document 1核心路由器選型8 HYPERLINK l bookmark115 o Current D

3、ocument 4.2核心交換機(jī)選型9 HYPERLINK l bookmark6 o Current Document 4.3防火墻選型11 HYPERLINK l bookmark8 o Current Document 第五章基本配置12 HYPERLINK l bookmark10 o Current Document 1VLAN 的應(yīng)用12 HYPERLINK l bookmark12 o Current Document 2VLAN的劃分及配置12 HYPERLINK l bookmark14 o Current Document 3IP地址分配及配置13 HYPERLINK l

4、bookmark18 o Current Document 4路由器基本配置17 HYPERLINK l bookmark24 o Current Document 5灌注cisco路由器IOS17 HYPERLINK l bookmark52 o Current Document 6防火墻基本配置18 HYPERLINK l bookmark56 o Current Document 第六章網(wǎng)絡(luò)主要配置20 HYPERLINK l bookmark58 o Current Document 配置動態(tài)路由協(xié)議20 HYPERLINK l bookmark60 o Current Documen

5、t 三層交換機(jī)路由配置21 HYPERLINK l bookmark62 o Current Document 路由器路由配置21 HYPERLINK l bookmark64 o Current Document 雙出口網(wǎng)絡(luò)22 HYPERLINK l bookmark66 o Current Document 5 nat的配置23 HYPERLINK l bookmark74 o Current Document 第七章網(wǎng)絡(luò)平安與管理25思科(Cisco)思SCO WS-C2960-24TS-L圖片及參數(shù)如圖4、圖5：圖 4 思科(Cisco) CISCO WS-C2960-24TS-L

6、圖片圖 4 思科(Cisco) CISCO WS-C2960-24TS-L 圖片CISCO WS-C2960S-24TS-L慘數(shù)規(guī)格主要券數(shù)產(chǎn)品類型企業(yè)級交換機(jī)一應(yīng)用層級口層傳輸速率100/1 ODOMbp s立口向在下RAM內(nèi)存：128MB產(chǎn)口口門仔后期內(nèi)存:64MB交換方式二小儲-轉(zhuǎn)發(fā)二Z 背板帶寬p8Gbps包轉(zhuǎn)發(fā)率叵TMppsMAC地址表8K查看：更多信息或更多圖片武口參薇端口結(jié)構(gòu)都塊化端口額里2日個端口描述演個以太網(wǎng)10/100/1000Mbps端口，4個IGbE SFP湍口傳輸模式二 全雙工/半雙工自適應(yīng)toii鼎t一IEEE 802.ID, IEEE 802.Ip, IEEE 8

7、02.IQ, IEEE 802.Is, IEEE 802.Iw, IEEE 802.IX? 網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 802. lab, IEEE 802. 3ad, IEEE 802. 3ah，IEEE 802. 3x, IEEE 802.3, IEEE802.3u, IEEE 802.3ab, IEEE 802.3zVLAN支持QOS 支持其它參數(shù)狀態(tài)指示燈每端口，系統(tǒng)電源電壓產(chǎn)品尺寸 產(chǎn)品重里二 平均無故障時電源電壓產(chǎn)品尺寸 產(chǎn)品重里二 平均無故障時AC 100-24DV, 50-60Hz300 X 445 X 45mmK 5kg349, 824小時工作溫度：-5-45杯悟桿、住工作濕度：1。%

8、一95% (非冷凝)可境標(biāo)茂存儲溫度：-5-45管存儲濕度：10%-95% (非泠凝)數(shù)據(jù)來源：中關(guān)村在線報價口心(detail, zol. com. cn)圖 5 思科(Cisco) CISCO WS-C2960-24TS-L 參數(shù)3防火墻選型在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法, 它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允 許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地 阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法 訪問Interne

9、t, Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。CISCO ASA5505-k8圖片及參數(shù)如圖6、圖7：圖 6 CISCO ASA5505-k8 圖片圖 6 CISCO ASA5505-k8 圖片CISCO ASA5505-K8主要參效.設(shè)備類型企業(yè)級防火t嗇一并發(fā)連接數(shù) 25000網(wǎng)絡(luò)吞吐里二工50Mbps平安過德帶寬100Mbps查看：更多信息或更多圖片用戶數(shù)限制用戶數(shù)限制108控制端口consol% RJ-45管理思科平安管理器觸j平安標(biāo)準(zhǔn) UL 60950, CSA C22.2 No. 60950, EN 60950 IEC 60950, AS/NZS60950一般釜效電源|

10、100240VAC, 50/60Hz產(chǎn)品尺寸174, 5*200. 4*44. 5mm齊品重里 X8kg，一：_ 人 人-適用環(huán)境蓑翳:0如匕工作濕度：595%無凝結(jié),存儲溫度：-2570匕存緒濕度:5-95%時仙比酢的高通能防火墻、工PS、以及工PSec和SSL VFN和工FSec VPN （15。個設(shè)備對）軟件，支持防垃縣何性的 圾郵件、URL阻攔和過濾,以及防網(wǎng)絡(luò)釣魚數(shù)據(jù)來源：中關(guān)村在線報價中心（detail, zol. com. cn）圖 7 CISCO ASA5505-k8 參數(shù)第五章基本配置1 VLAN的應(yīng)用VLAN是一個在物理網(wǎng)絡(luò)上根據(jù)用途，工作組、應(yīng)用等來邏輯劃分的局域網(wǎng)絡(luò)，是

11、一個 廣播域，與用戶的物理位置沒有關(guān)系。VLAN中的網(wǎng)絡(luò)用戶是通過LAN交換機(jī)來通信的。一 個VLAN中的成員看不到另一個VLAN中的成員。同一個VLAN中的所有成員共同擁有一個VLAN ID,組成一個虛擬局域網(wǎng)絡(luò)；同一個VLAN 中的成員均能收到同一個VLAN中的其他成員發(fā)來的廣播包，但收不到其他VLAN中成員發(fā) 來的廣播包；不同VLAN成員之間不可直接通信，需要通過路由支持才能通信，而同一 VLAN 中的成員通過VLAN交換機(jī)可以直接通信，不需路由支持。VLAN的特性是：控制通信活動，隔離廣播數(shù)據(jù)順化網(wǎng)絡(luò)管理，便于工作組優(yōu)化組合， VLAN中的成員只要擁有一個VLAN ID就可以不受物理位

12、置的限制，隨意移開工作站的位置; 增加網(wǎng)絡(luò)的平安性，VLAN交換機(jī)就是一道道屏風(fēng)，只有具備VLAN成員資格的分組數(shù)據(jù)才能 通過，這比用計算機(jī)服務(wù)器做防火墻要平安得多；網(wǎng)絡(luò)帶寬得到充分利用，網(wǎng)絡(luò)性能大大 提高。2 VLAN的劃分及配置5.2.1VLAN的劃分表,如表2：VLAN10連接到辦公區(qū)域VLAN20連接到教學(xué)區(qū)域VLAN30連接到宿舍區(qū)域VLAN40連接到內(nèi)部防火墻和服務(wù)器表2 VLAN的劃分表S1#interface FastEthernetO/3switchport access vlan 10switchport mode access S1 將 fa 0/3 端口應(yīng)用于 VLAN

13、10interface FastEthernetO/4switchport access vlan 20switchport mode acces S1 將 fa 0/4 端口應(yīng)用于 VLAN20interface FastEthernetO/5switchport access vlan 30switchport mode access S1 將 fa 0/5 端口應(yīng)用于 VLAN30interface FastEthernetO/6switchport access vlan 40switchport mode access S1 將 fa 0/6 端口應(yīng)用于 VLAN40S2與S1VLA

14、N劃分相同5. 3 IP地址分配及配置IP地址是我們進(jìn)行TCP/IP通訊的基礎(chǔ)，每個連接到網(wǎng)絡(luò)上的計算機(jī)都必須有一個IP 地址。我們目前使用的IP地址是32位的，通常以點分十進(jìn)制表示。一個簡單的IP地址其 實包含了網(wǎng)絡(luò)地址和主機(jī)地址兩局部重要的信息。5.3. 1設(shè)備管理IP地址規(guī)劃表，如表3：名稱設(shè)備 名稱接 IP地址子網(wǎng) 掩碼VLAN備注互聯(lián)網(wǎng) 路由器1cisco2901s0/3/118連接InternetzhuRls0/3/022連接到beifenR2互聯(lián)網(wǎng) 路由器2cisco2901s

15、0/3/05連接到zhuRls0/3/13連接至beifenR2互聯(lián)網(wǎng) 路由器 zhuRlcisco2901s0/3/119連接到互聯(lián)網(wǎng)路由 器1s0/3/06連接到互聯(lián)網(wǎng)路由 器2faO/o連接到S1faO/I連接到S2三層交 換機(jī)S1cisco3560faO/連接到zhu

16、RlfaO/I連接到beifenR2faO/3VLAN10連接到辦公區(qū)域faO/4VLAN20連接到教學(xué)區(qū)域faO/5VLAN30連接到宿舍區(qū)域faO/6VLAN40連接到內(nèi)部服務(wù)器三層交 換機(jī)S2cisco3560faO/I連接到beifenR2faO/連接到zhuRl

17、faO/3VLAN10連接到辦公區(qū)域faO/4VLAN20連接到教學(xué)區(qū)域faO/5VLAN30連接到宿舍區(qū)域faO/6VLAN40連接到內(nèi)部服務(wù)器 11 1一層父cisco連接到S1和S2 ,換機(jī)2960防火墻out192.255.side168.255.連接到S1和S2e0/040. 10255.0防火墻cisco5505ins ide e0/l192.168.41. 254255.255.25

18、5.0連接到管理PC192.255.dmz168.255.連接到服務(wù)器群42. 254255.0聯(lián)想計算機(jī)|MPCfaO/o連接到防火墻 inside服務(wù) 器群faO/o192.168.42. 2連接到防火墻DMZ表3設(shè)備管理IP地址規(guī)劃表zhuRl#interface GigabitEthernetO/Oip address 10. 1.2. 1 255. 255. 255. 0 配置 zhuRl gi 0/0 接口 IP 地址interface GigabitEthernetO/1ip address 10. 1.

19、 1. 1 255. 255. 255. 0 配置 zhuRl gi 0/1 接口 IP 地址interface Serial0/3/0ip address 218. 6. 166. 26 255. 255. 255. 0 配置 zhuRl s0/3/0 接口 IP 地址interface SerialO/3/1ip address 202. 115. 255. 119 255. 255. 255. 0 /配置 zhuRl sO/3/1 接口 IP 地址 beifenR2#interface FastEthernetO/Oip address 10. 1.3. 1 255. 255. 255.

20、 0配置 beifenR2 faO/O 接口 IP 地址interface FastEthernetO/1ip address 10. 1.4. 1 255. 255. 255. 0配置 beifenR2 faO/1 接口 IP 地址interface Serial0/3/0ip address 202. 115. 254. 121 255. 255. 255. 0配置 beifenR2 s0/3/0 接口 IP 地址 interface SerialO/3/1ip address 218. 6. 165. 24 255. 255. 255. 0配置 beifenR2 sO/3/1 接口 IP

21、 地址 SI#interface Port-channel1no switchportip address 10. 1. 5. 2 255. 255. 255. 0 配置交換機(jī) SI 聚合端 Port-channelIP 地 址interface FastEthernetO/1no switchportip address 10. 1.3.2 255. 255. 255. 0配置交換機(jī) SI fa0/l IP 地址interface FastEthernetO/2no switchportip address 10. 1.2.2 255. 255. 255. 0配置交換機(jī) SI faO/2 I

22、P 地址interface VlanlOip address 192. 168. 10. 1 255. 255. 255. 0 配置 VLAN 10 IP 地址interface Vlan20ip address 192. 168. 20. 1 255. 255. 255. 0 配置 VLAN20 IP 地址interface Vlan30ip address 192. 168. 30. 1 255. 255. 255. 0配置 VLA30 IP 地址interface Vlan40ip address 192. 168. 40. 1 255. 255. 255. 0配置 VLAN40 IP

23、地址S2#interface Port-channel1no switchportip address 10. 1.5. 1 255. 255. 255. 0 配置交換機(jī) S2 聚合端 Port-channelIP 地 址interface FastEthernetO/1no switchportip address 10. 1.4.2 255. 255. 255. 0配置交換機(jī) S2 fa0/l IP 地址interface FastEthernetO/2no switchportip address 10. 1. 1.2 255. 255. 255. 0配置交換機(jī) S2 faO/2 IP

24、地址interface VlanlOip address 192. 168. 10. 2 255. 255. 255. 0配置 VLAN 10 IP 地址 interface Vlan20IP地址IP地址IP地址ip address 192. 168. 20. 2 255. 255. 255. 0酉己置 VLAN20interface Vlan30ip address 192. 168. 30. 2 255. 255. 255. 0配置 VLAN30interface Vlan40ip address 192. 168. 40. 2 255. 255. 255. 0配置 VLAN405. 4路

25、由器基本配置zhuRl#hostname zhuRl /配置路由器主機(jī)名 line con 0 password 123456login 配置路由器控制口登錄密碼line vty 0 4password ciscologin 配置路由器遠(yuǎn)程登錄密碼 （其他設(shè)備大多配置相同）5. 5灌注 cisco 路由器I0S步驟：1）設(shè)置電腦的IP地址為192. 168.1.2 （這個隨便，只要和路由器設(shè)的在同一個網(wǎng)段就 行），子網(wǎng)掩碼,默認(rèn)網(wǎng)關(guān)192. 168. 1. 1,如圖8：O目嫡得ip地址9） TOC o 1-5 h z 使用下面的ip地址 ：1IP 地址：192.168. 1.2子網(wǎng)掩碼（U）:

26、255,255. 255.0默認(rèn)網(wǎng)關(guān)（D）:192,168. 1.1圖8設(shè)置電腦的IP2）翻開電腦的tftp_server服務(wù)器軟件，將目錄改為下載下來的I0S文件目錄，不要關(guān)閉這個軟件。3）用交叉線和console線連接電腦和路由器，翻開電腦的SecureCRT軟件，選擇serial 口 COM*。啟動路由器，快速按下Ctrl+Break,這是CRT中顯示rommonl,提示你輸入命令。配置步驟如下：Rommonltftpdnld/這時顯示出現(xiàn)提示，相關(guān)信息沒有配置Rommon2IP_ADDRESS=192. 168. 1. 1設(shè)置路由器IP,保證電腦與路由器在同一網(wǎng)段Rommon3IPSU

27、BNET_MASK=255. 255. 255. 0設(shè)置路由器子網(wǎng)掩碼Rommon4DEFAULT GATEWAY=54設(shè)置默認(rèn)網(wǎng)關(guān)Rommon5TFTP_SERVER=192. 168. 1. 2服務(wù)器IP地址，這里是電腦IP地址Rommon6TFTP_FILE= c3640-jk9o3s-mz. 124-12. bin/IOS文件名Rommon7tftpdnld啟動接收文件這時候會提示你是否刪除flash中的所有文件，選擇y,接著開始接收IOS文件。傳輸 完成后，會自動進(jìn)行相關(guān)初始化和配置，等這個過程結(jié)束后，輸入reset重啟路由器就可 以正常試用了。5. 6防火墻基本配置interfac

28、e Vlanllname if outside 把 VLAN11 配置為 outside 口security-level 0配置 outside 口 的平安級別為 0ip address 192. 168. 40. 10 255. 255. 255. 0 /配置 IP 地址interface Vlan22name if inside 把 VLAN11 配置為 outside 口security-level 100配置 outside 口 的平安級別為 0ip address 192. 168.41.254 255. 255. 255. 0 配置 IP 地址interface Vlan33no

29、forward interface Vlan2由于 asa5505 限制,配置 dmz 轉(zhuǎn)寄 name if dmz 把 VLAN11 配置為 outside 口security-level 50配置 outside 口 的平安級別為 0ip address 192. 168. 42. 254 255. 255. 255. 0配置 IP 地址其它配置：access-list in_to_out extended permit ip anyaccess-list acl_out extended permit tcp any any eq wwwaccess-list acl_out exten

30、ded permit tcp any any eq saccess-list acl_out extended permit icmp any anyaccess-list 102 extended permit icmp any anyaccess-list 102 extended permit ip any anyaccess-list acl_dmz extended permit icmp any anyaccess-group acl_out in interface outsideaccess-group acl_dmz in interface dmzaccess-group

31、acl_in_to_out in interface insideaccess-group acl_in_to_dmz in interface insideroute outside 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-

32、invite 0:03:00 sip-disconnect 0:02:00timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolutetimeout tcp-proxy-reassembly 0:01:00timeout floating-conn 0:00:00dynamic-access-policy-record DfltAccessPolicyno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication lin

33、kup linkdown coldstartcrypto ipsec security-association lifetime seconds 28800crypto ipsec security-association lifetime kilobytes 4608000telnet insidetelnet timeout 5ssh timeout 5console timeout 0 TOC o 1-5 h z HYPERLINK l bookmark76 o Current Document 1網(wǎng)絡(luò)平安25 HYPERLINK l bookmark78 o Current Docum

34、ent 造成這些現(xiàn)狀的原因25 HYPERLINK l bookmark80 o Current Document 平安接入和配置26 HYPERLINK l bookmark84 o Current Document 總結(jié)29 HYPERLINK l bookmark88 o Current Document 參考文獻(xiàn)30dhcpd address -2 inside dhcpd enable insidethreat-detection basic-threatthreat-detection statistics access-listno threat-detection statis

35、tics tcp-interceptclass-map inspection_defaultmatch default-inspection-trafficpolicy-map type inspect dns preset_dns_map parametersmessage-length maximum client automessage-length maximum 512policy-map global_policyclass inspection_default inspect dns preset_dns_map第六章網(wǎng)絡(luò)主要配置路由器主要有以下幾種功能：第一，網(wǎng)絡(luò)互連，路由器支

36、持各種局域網(wǎng)和廣域網(wǎng)接口， 主要用于互連局域網(wǎng)和廣域網(wǎng)，實現(xiàn)不同網(wǎng)絡(luò)互相通信；第二，數(shù)據(jù)處理，提供包括分組過 濾、分組轉(zhuǎn)發(fā)、優(yōu)先級、復(fù)用、加密、壓縮和防火墻等功能；第三，網(wǎng)絡(luò)管理，路由器提 供包括配置管理、性能管理、容錯管理和流量控制等功能。6.1配置動態(tài)路由協(xié)議是網(wǎng)絡(luò)中的 路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器 表的過程。它能實時地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。如果 路由更新信息說明發(fā)生了網(wǎng)絡(luò)變 化， 路由選擇軟件就會重新計算路由，并發(fā)出新的路由更新信息。這些 信息通過各個 網(wǎng)絡(luò)，引起各 路由器重新啟動其 路由算法，并更新各自的 路由表以動態(tài)地反映 網(wǎng) 絡(luò)拓?fù)渥兓?。動態(tài) 路由適

37、用于網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓?fù)鋸?fù)雜的網(wǎng)絡(luò)。當(dāng)然，各種動態(tài) 路 由協(xié)議會不同程度地占用網(wǎng)絡(luò)帶寬和CPU資源。6. 2三層交換機(jī)路由配置si：router ospf 1 TOC o 1-5 h z network10.1.2. 00.0. 0. 255area0network10.1.3. 00.0. 0. 255area0network10.1.5. 00.0. 0. 255area0 network 192. 168. 10. 0 0. 0. 0. 255 area 0network 192.168.20. 00.0. 0. 255area0network 192.168.30. 00.0. 0.

38、255area0network 192.168.40. 00.0. 0. 255area0network 202. 115. 0. 0 0. 0. 0. 255 area 0/配置 SI 的動態(tài)路由協(xié)議 ospfS2：router ospf 1network 10.1.1. 00.0.0. 255area0network 10.1.4. 00.0.0. 255area0network 10.1.5. 00.0.0. 255area0 network 192. 168. 10. 0 0. 0. 0. 255 area 0network 192. 168. 20. 0 0. 0. 0. 255 a

39、rea 0networknetworknetwork192. 168. 30. 0 0. 0. 0. 255 area 0 192. 168. 40.0 0. 0. 0. 255 area 0配置 S2 的動態(tài)路由協(xié)議3路由器路由配置ZhuRl:router ospf 1network 10. 1. 1. 0 0. 0. 0. 255 area 0network 10. 1.2.0 0. 0. 0. 255 area 0配置RI路由器的動態(tài)路由協(xié)議 ip route 0. 0. 0. 0 0. 0. 0. 0 Serial0/3/l配置 RI 路由器默認(rèn)路由 beifenR2#router o

40、spf 1network 10. 1. 3. 0 0. 0. 0. 255 area 0network 10. 1.4.0 0. 0. 0. 255 area 0配置R2路由器的動態(tài)路由協(xié)議ip route 0. 0. 0. 0 0. 0. 0. 0 Serial0/3/0配置 R1 路由器默認(rèn)路由6.4雙出口網(wǎng)絡(luò)由于中國教育科研網(wǎng)與一般的電信級運(yùn)營網(wǎng)絡(luò)不同，沒有非常充裕的線路、設(shè)備冗余, 有可能發(fā)生單點故障，對于校園網(wǎng)的穩(wěn)定運(yùn)行有一定的影響。同時，通過CERNET訪問其他 的共眾網(wǎng)如CHINANET. GBNET等速率緩慢。隨著校園網(wǎng)用戶量增加和基于校園網(wǎng)絡(luò)的各種 網(wǎng)絡(luò)應(yīng)用的展開，要求校園網(wǎng)

41、絡(luò)出口具有較高的網(wǎng)絡(luò)帶寬，原有單一的CERNET出口已不能 滿足，有必要進(jìn)一步擴(kuò)大帶寬，通過當(dāng)?shù)鼐W(wǎng)絡(luò)服務(wù)提供商（ISP）開辟第二出口連入INTERNET 是較好的解決途徑，許多學(xué)校采用了教育網(wǎng)和電信（或聯(lián)通、電信等）第二出口的雙出口 方案，既可以保存教育網(wǎng)資源，同時可以增加帶寬，提高了訪問INTERNET資源的速度。6. 4.1配置基于策略的路由協(xié)議傳統(tǒng)上，路由器使用路由表，根據(jù)目的地址進(jìn)行報文的轉(zhuǎn)發(fā)。基于策略的路由為網(wǎng)絡(luò)管理者提供了比傳統(tǒng)路由協(xié)議對報文的轉(zhuǎn)發(fā)和存儲更強(qiáng)的控制 能力，策略路由不僅能夠根據(jù)目的地址而且能夠根據(jù)報文大小，應(yīng)用或IP源地址等來選擇 轉(zhuǎn)發(fā)路徑。策略路由使網(wǎng)絡(luò)管理者能根據(jù)

42、實際需要，靈活的決定一個報文采取的具體路徑。而在 當(dāng)今復(fù)雜的網(wǎng)絡(luò)中，這種選擇的自由性是很重要的。策略路由是設(shè)置在接收報文接口而不 是發(fā)送接口，它采用MATCH和SET語句實現(xiàn)路徑的選擇。當(dāng)前的主流路由設(shè)備（路由器，多 層交換機(jī)）基本上都可以支持策略路由。6. 4. 2基于源的策略基于源策略的路由選擇允許用戶根據(jù)信息量的始發(fā)地做出路由選擇決定。ZhuRl:access-list10 permit 192. 168. 10.0 0. 0. 0. 255access-list 20 permitaccess-list 20 permit192. 168. 20. 0 0. 0. 0. 255acce

43、ss-list 30 permitaccess-list 30 permit192. 168. 30. 0 0. 0. 0. 255access-list 40 permit192. 168. 40. 0 0. 0. 0. 255配置允許的數(shù)據(jù)流量route-map ciscol permit 20match ip address 20set interface Serial0/3/0 SerialO/3/1 配置 20 網(wǎng)段首先走 s0/3/0,其次走路sO/3/1route-map ciscol permit 30match ip address 30set interface Seria

44、l0/3/0 SerialO/3/1/配置 30 網(wǎng)段首先走 s0/3/0,其次走路 sO/3/1route-map cisco permit 10match ip address 10set interface SerialO/3/1 Serial0/3/0配置 10 網(wǎng)段首先走 sO/3/1,其次走路 sO/3/Oroute-map cisco permit 40match ip address 40set interface SerialO/3/1 Serial0/3/0/配置 40 網(wǎng)段首先走 sO/3/1,其次走路 sO/3/OBeifenR2:access-list 10 perm

45、it192. 168. 10.0 0. 0. 0. 255access-listaccess-list20 permit192. 168. 20. 00. 0. 0. 255access-list30 permit192. 168. 30. 00. 0. 0. 255access-list40 permit192. 168. 40. 00. 0. 0. 255配置允許的數(shù)據(jù)流量route-map ciscol permit 20match ip address 20網(wǎng)段首先走sO/3/1,其次走路set interface SerialO/3/1 Serial0/3/0配置 20 sO/3/O

46、route-map ciscol permit 30match ip address 30set interface SerialO/3/1 Serial0/3/0配置 30 網(wǎng)段首先走 sO/3/1,其次走路 sO/3/Oroute-map cisco permit 10match ip address 10set interface Serial0/3/0 Serial0/3/l配置 10 網(wǎng)段首先走 s0/3/0,其次走路 sO/3/1route-map cisco permit 40match ip address 40set interface Serial0/3/0 Serial0

47、/3/l配置 40 網(wǎng)段首先走 s0/3/0,其次走路 sO/3/16. 5 nat 的配置6. 5. 1末節(jié)路由器的natNAT的作用是把內(nèi)網(wǎng)的私有地址，轉(zhuǎn)化成外網(wǎng)的公有地址。使得內(nèi)部網(wǎng)絡(luò)上的（被設(shè)置 為私有IP地址的）主機(jī)可以訪問Internet。zhuRl路由的nat配置：ip nat inside source list nat interface SerialO/3/1 overload 在 sO/3/1 借 口上應(yīng)用命名訪問控 制列表的nat為inside原地址。ip nat inside source list nata interface Serial0/3/0 overloa

48、d在 s0/3/0 借口上應(yīng)用命名訪問 控制列表的nata為inside原地址。ip nat inside source route-map cisco interface SerialO/3/1 overload 在 sO/3/1 借口上也應(yīng)用 策略路由的路由圖Cisco的原地址。ip nat inside source route-map cisco 1 interface Serial0/3/0 overload 在 s0/3/0 借口 上也應(yīng) 用策略路由的路由圖Ciscol的原地址。ip route SerialO/3/1 設(shè)置默認(rèn)路由。ip access-list standard

49、nat 定義命名 acl nat 的地址deny anyip access-list standard nata 定義命名 acl nata 的地址deny anyaccess-list 10permit定義標(biāo)準(zhǔn) acl10的地址access-list 20permit定義標(biāo)準(zhǔn) acl20的地址access-list 30定義標(biāo)準(zhǔn) acl30的地址access-list 40permit定義標(biāo)準(zhǔn) acl40的地址route-m叩 ciscol permit 20 /路由圖 Ciscol 允許 acl lOd 的流量match ip address 20 匹配的 ip 地址 20set inte

50、rface Serial0/3/0 SerialO/3/1設(shè)置接 口route-map ciscol permit 30match ip address 30set interface Serial0/3/0 SerialO/3/1route-map cisco permit 10match ip address 10set interface SerialO/3/1 Serial0/3/0route-map cisco permit 40match ip address 40set interface SerialO/3/1 Serial0/3/0.注：benfengR2上的nat和zhuR

51、l的nat大致相同。6. 5. 2防火墻的nat在我們Cisco防火墻asa5505上需配置nat才能通訊。防火墻asa5505上的配置：access-list in_to_out extended permit ip any 定義擴(kuò)展 acl in_to_out允許的IP流量 定義擴(kuò)展 acl in_to_dmz 允許的 IP 流量access-list acl_out extended permit tcp any any eq www 定義擴(kuò)展 acl out 允許任意地址至lj 任意地址訪問WWW服務(wù)。access-list acl_out extended permit tcp an

52、y any eq s 定義擴(kuò)展 acl out 允許任意地址到 任意地址訪問 s服務(wù)。access-list acl_out extended permit icmp any any 定義擴(kuò)展 acl out 允許 ping 任意地址至U 任意地址access-list acl_dmz extended permit icmp any any 定義擴(kuò)展 acl dmz 允許 ping 任意地址到 任意地址global (outside) 1 定義動態(tài)nat的外部地址池。nat (inside) 1 定義動態(tài) nat 的內(nèi)部地址段。access-group acl_out in interfac

53、e outside 應(yīng)用 acl out 在 outside 接 口access-group acl_dmz in interface dmz 應(yīng)用 acl dmz 在 outside 接 口access-group acl_in_to_out in interface inside 應(yīng)用 acl in_to_out 在 inside 接口access-group acl_in_to_dmz in interface inside 應(yīng)用 acl in_to_dmz 在 inside 接 口第七章網(wǎng)絡(luò)平安與管理網(wǎng)絡(luò)平安校園網(wǎng)的平安威脅主要來源于兩大塊，一塊是來自于網(wǎng)內(nèi)，一塊來自于網(wǎng)外。來源于 網(wǎng)

54、內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。根據(jù)統(tǒng)計，威脅校園網(wǎng)平安的攻擊行為大概 有40%左右是來自于網(wǎng)絡(luò)內(nèi)部，如何防范來自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡(luò)平安防護(hù)體系需 要重點關(guān)注的地方。造成這些現(xiàn)狀的原因1）網(wǎng)絡(luò)平安維護(hù)的投入缺乏。網(wǎng)絡(luò)平安維護(hù)的工作量是很大的，并且很困難，需要一定 的人力、物力，然而大多數(shù)學(xué)校在校園網(wǎng)上的設(shè)備投入和人員投入很不充足，有限的經(jīng)費(fèi)也往往主要用在網(wǎng)絡(luò)設(shè)備購置上,對于網(wǎng)絡(luò)平安建設(shè),普遍沒有比擬系統(tǒng)的投入。2）網(wǎng)絡(luò)管理員責(zé)任心不強(qiáng)。很多學(xué)校的網(wǎng)絡(luò)管理員的都具有一定的專業(yè)水平,基本可 以勝任本職工作,但是可能由于學(xué)校領(lǐng)導(dǎo)對網(wǎng)絡(luò)平安不是很重視,或者因為個人某些方面的 原因,造成工作

55、熱情不高、責(zé)任心不強(qiáng),所以也就不會花很多的心思去維護(hù)網(wǎng)絡(luò)、維護(hù)硬件。3）師生的網(wǎng)絡(luò)平安意識和觀念淡薄。很多學(xué)生包括局部教師對網(wǎng)絡(luò)平安不夠重視，法 律意識也不是很強(qiáng)。通過網(wǎng)絡(luò),或通過帶毒的移動存儲介質(zhì)，經(jīng)常有意無意的傳播病毒,攻擊 校園網(wǎng)系統(tǒng),干擾校園網(wǎng)的平安運(yùn)行。4）盜版資源泛濫。由于缺乏版權(quán)意識，盜版軟件、影視資源在校園網(wǎng)中普遍使用，這些 軟件的傳播一方面占用了大量的網(wǎng)絡(luò)帶寬,另一方面也給網(wǎng)絡(luò)平安帶來了一定的隱患。比方, 盜版安裝的計算機(jī)系統(tǒng)今后會留下大量的平安漏洞。系統(tǒng)自動更新引起的電腦黑屏事件,就 是因為Microsoft公司對盜版的XP操作系統(tǒng)的更新作了限制。另一方面,從網(wǎng)絡(luò)上隨意下

56、載的軟件中可能隱藏木馬、后門等惡意代碼,許多系統(tǒng)因此被攻擊者侵入和利用。7. 3平安接入和配置平安接入和配置是指在物理（控制臺）或邏輯（telnet）端口接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備前必須 通過認(rèn)證和授權(quán)限制，從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供平安性。限制遠(yuǎn)程訪問的平安設(shè)置方法如 表3：訪問方式保證網(wǎng)絡(luò)設(shè)備平安 的方法備注Console控制接口 的訪問設(shè)置密碼和超時限 制建議超時限制設(shè)成 5分鐘進(jìn)入特權(quán)exec和設(shè) 備配置級別的命令行配置Radius來記錄 logon/logout時間和操 作活動；配置至少一個 本地賬戶作應(yīng)急之用telnet訪問采用ACL限制，指 定從特定的IP地址來 進(jìn)行telnet訪問；配置

57、 Radius女全紀(jì)錄方案； 設(shè)置超時限制SSH訪問激活SSH訪問，從 而允許操作員從網(wǎng)絡(luò)的 外部環(huán)境進(jìn)行設(shè)備平安 登陸SNMP訪問常規(guī)的SNMP訪問 是用ACL限制從特定 IP地址來進(jìn)行SNMP訪 問；記錄非授權(quán)的 SNMP訪問并禁止非授 權(quán)的SNMP企圖和攻擊為增加平安，建議 更改缺省的 SNMP Commutiy 子串表3限制遠(yuǎn)程訪問的平安設(shè)置方法配置ACLS1： access-list 101 permit ip 55 any在交換機(jī)上配置允許192. 168. 40. 0網(wǎng)段遠(yuǎn)程登錄到S1access-list 101 deny tcp 192. 168.10. 0 55 any e

58、q telnet在交換機(jī)上配置禁止192. 168. 10. 0網(wǎng)段遠(yuǎn)程登錄到SIaccess-list 101 deny tcp 192. 168.20. 0 55 any eq telnet 在交換機(jī)上配置禁止192. 168. 20. 0網(wǎng)段遠(yuǎn)程登錄到SIaccess-list 101 deny tcp 192. 168.30. 0 55 any eq telnet在交換機(jī)上配置禁止192. 168. 30. 0網(wǎng)段遠(yuǎn)程登錄到S1access-list 101 permit ip any anyInterface 0/3 把協(xié)議應(yīng)用到0/3端口的in方向 ip access-group

59、101 inInterface 0/4 把協(xié)議應(yīng)用到0/4端口的in方向 ip access-group 101 inInterface 0/5 把協(xié)議應(yīng)用到0/5端口的in方向 ip access-group 101 inInterface 0/6 /把協(xié)議應(yīng)用到0/6端口的in方向 ip access-group 101 inS2： access-list 101 permit ip 55 any在交換機(jī)上配置允許192. 168. 40. 0網(wǎng)段遠(yuǎn)程登錄到SIaccess-list 101 deny tcp 192. 168.10. 0 55 any eq telnet/在交換機(jī)上配置禁

60、止192. 168. 10. 0網(wǎng)段遠(yuǎn)程登錄到S1 access-list 101 deny tcp 192. 168.20.0 55 any eq telnet 在交換機(jī)上配置禁止192. 168. 20.0網(wǎng)段遠(yuǎn)程登錄到SI access-list 101 deny tcp 192. 168.30.0 55 any eq telnet 在交換機(jī)上配置禁止192. 168. 30.0網(wǎng)段遠(yuǎn)程登錄到SI access-list 101 permit ip any any Interface 0/3 把協(xié)議應(yīng)用到0/3端口的in方向 ip access-group 101 in Interfac