【文章內(nèi)容簡介】 驗(yàn)證密鑰使用 MD5雜湊算法 r1(config)crypto isakmp key 0 123 address 設(shè)置共享密鑰為 123和對 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 7 端地址 r1(config)crypto isakmp transformset zhao ahmd5h esp3des 傳輸模式名為 zhao驗(yàn)證為 md5加密為 3des r1(config)accresslist 101 permit ip 配置 ACL r1(config)crypto map jin 1 ipsecisakmp 創(chuàng)建 crypto map名字為 jin r1(configcryptomap)set peer 指定鏈路對端 IP地址 r1(configcryptomap)set transfromset zhao 指定傳輸模式 zhao r1(configcryptomap)match address 101 指定應(yīng)用訪控列表 r1(config)int f0/0 r1(config)crypto map jin 應(yīng)用到接口 r2(config)int f0/0r2(configif)ip add r2(configif)no shut r2(configif)int f1/0 r2(configif)ip add r2(configif)no shut r2(config)ip route 做一條默認(rèn)路由使全網(wǎng)互通 r2(config)crypto isakmp policy 1 r2(configisakmp)authentication preshare 啟用定義共享密鑰 r2(configisakmp)encryption 3des 加密使用 3DES算法 r2(configisakmp)hash md5 驗(yàn)證密鑰使用 MD5雜湊算法 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 8 r2(config)crypto isakmp key 0 123 address 設(shè)置共享密鑰為 123和對端地址 r2(config)crypto isakmp transformset zhao ahmd5h esp3des 傳輸模式名為 zhao驗(yàn)證為 md5加密為 3des r2(config)accresslist 101 permit ip 配置 ACL r2(config)crypto map jin 1 ipsecisakmp 創(chuàng)建 crypto map名字為 jin r2(configcryptomap)set peer 指定鏈路對端 IP地址 r2(configcryptomap)set transfromset zhao 指定傳輸模式 zhao r2(configcryptomap)match address 101 指定應(yīng)用訪控列表 r2(config)int f0/0 r2(config)crypto map jin vpcs1:ip 24 vpcs2:ip 24 vpcs3:ip 24 vpcs4:ip 24 之后 ping測試。 show看效果，用到的 show命令為： 查看端口應(yīng)用： r1 show crypto map 查看 IKE協(xié)商： r1 show crypto isakmp policy 查看傳輸模式： r1 show crypto ipsec transformset IPSec(Intemet Protocol Security)即因特網(wǎng)安全協(xié)議是 — 個(gè)范圍廣泛、開 放的虛擬專用網(wǎng)安全協(xié)議。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信，主要是為 IP通信提供加密和認(rèn)證，它為數(shù)據(jù)在通過公用網(wǎng)絡(luò) (一般為因特網(wǎng) )在網(wǎng)絡(luò)層進(jìn)行傳輸時(shí)提供安全保障。通信雙方要建立 IPSec通道，首 先要采用一定的方式建立通信連接 。 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 9 因?yàn)?IPSec協(xié)議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，這包括如加密運(yùn)算法則和身份驗(yàn)證方法類型等。在 IPSec協(xié)議中，一旦 IPSec通道建立，所有在網(wǎng)絡(luò)層之上的協(xié)議在通信雙方都經(jīng)過加密，如 TCP、 UDP、 ICMP等，而不管這些通道構(gòu)建時(shí)所采用的安全和加密方法如何。 IPSec的 VPN通道是在兩個(gè)局域網(wǎng)之間通過 Intemet建立的安全連接，保護(hù)的是點(diǎn)對點(diǎn)之間的通信，并且它不局限于 Web等特定的應(yīng)用，還能構(gòu)建局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，功能和應(yīng)用的擴(kuò)展性 更強(qiáng)，對于普通用戶根本無需關(guān)心局域網(wǎng)間的連接方式，就像在一個(gè)網(wǎng)內(nèi)一樣，實(shí)現(xiàn)了透明的訪問。 幀中繼交換 技術(shù) 幀中繼已成為世界上使用最廣泛的 WAN 技術(shù)。大型企業(yè)、政府、 ISP 和小公司紛紛選用幀中繼，主要是因?yàn)閹欣^具有成本低、靈活性高的優(yōu)點(diǎn)。隨著組織的發(fā)展壯大，組織越來越依賴于可靠的數(shù)據(jù)傳輸，此時(shí)傳統(tǒng)租用線路解決方案的成本將變得高不可攀。技術(shù)領(lǐng)域的日新月異和網(wǎng)絡(luò)行業(yè)的合并與收購都需要更高的靈活性。 由于所需的設(shè)備較少，復(fù)雜性較低，并且更容易實(shí)現(xiàn)，因此幀中繼可以降低網(wǎng)絡(luò)的成本。更重要的是，與私有 或租用線路相比，幀中繼提供更高的帶寬、可靠性和彈性。為了順應(yīng)全球化與一對多分支機(jī)構(gòu)拓?fù)涞陌l(fā)展潮流，幀中繼提供更簡單的體系結(jié)構(gòu)和更低的擁有成本。 DTE 設(shè)備和 DCE 設(shè)備之間的連接由物理層組件和鏈路層組件組成： 物理層組件定義設(shè)備間連接的機(jī)械、電氣、功能和規(guī)程規(guī)范。最常用的一種物理層接口規(guī)范是 RS232 規(guī)范。 鏈路層組件定義在 DTE 設(shè)備（例如路由器）和 DCE 設(shè)備（例如交換機(jī)）之間建立連接的協(xié)議。 （ 1） .虛電路 ： 兩個(gè) DTE 之間通過幀中繼網(wǎng)絡(luò)實(shí)現(xiàn)的連接叫做虛電路 (VC)。這種電路之所以 叫做虛電路是因?yàn)槎说蕉酥g并沒有直接的電路連接。這種連接是邏輯連接，數(shù)據(jù)不通過任何直接電路即從一端移動(dòng)到另一端。利用虛電路，幀中繼允許多個(gè)用戶共享帶寬，而無需使用多條專用物理線路，便可在任意站點(diǎn)間實(shí)現(xiàn)通信。 （ 2） .逆向 ARP： 逆向地址解析協(xié)議 (ARP) 從第 2 層地址（例如幀中繼網(wǎng)絡(luò)中的 DLCI）中獲取其它站點(diǎn)的第 3 層地址。逆向地址解析協(xié)議主要用于幀中繼和 ATM 網(wǎng)絡(luò)，在這兩種網(wǎng)絡(luò) 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 10 中，虛電路的第 2 層地址有時(shí)從第 2 層信號中獲取，但在虛電路投入使用之前，必須解析出對應(yīng)的第 3 層地址。 ARP 將第 3 層地址轉(zhuǎn)換為第 2 層地址，逆向 ARP 則反其道而行之。 （ 3） .本地管理接口 (LMI)： 大體而言， LMI 是一種 keepalive（保持連接）的機(jī)制，提供路由器 (DTE) 和幀中繼交換機(jī) (DCE) 之間的幀中繼連接的狀態(tài)信息。終端設(shè)備每 10 秒（或大概如此）輪詢一次網(wǎng)絡(luò)，請求啞序列響應(yīng)或通道狀態(tài)信息。如果網(wǎng)絡(luò)沒有響應(yīng)請求的信息，用戶設(shè)備可能會認(rèn)為連接已關(guān)閉。網(wǎng)絡(luò)作出 FULL STATUS 響應(yīng)時(shí)，響應(yīng)中包含為該線路分配的 DLCI 的狀態(tài)信息。終端設(shè)備可以使用此信息判斷邏 輯連接是否能夠傳遞數(shù)據(jù)。 校園網(wǎng)設(shè)計(jì)圖配置如下： （ 4） .南校區(qū)實(shí)訓(xùn)樓路由器配置： R2conf t R2(config)int s1/1/1 R2(configif)encapsulation framerelay R2(configif)framerelay map ip 102 broadcast cisco R2(configif)framerelay map ip 103 broadcast cisco R2(configif)bandwidth 256 R2(configif)framerelay lmitype cisco R2(configif)exit R2(config)ip route R2(config)ip route R2(config)ip route （ 5） .北校區(qū)路 由器配置如下： R0conf t R0(config)int s0/1/0 R0(configif)encapsulation framerelay R0(configif)framerelay map ip 301 broadcast cisco R0(configif)framerelay map ip 302 broadcast cisco R0(configif)framerelay lmitype cisco R0(configif)bandwidth 256 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 11 R0(configif)exit R0(config)ip route R0(config)ip route （ 6） .防火墻路由器配置如下： R1conf t R1(config)int s1/1 R1(configif)encapsulation framerelay R1(configif)framerelay map ip 201 broadcast cisco R1(configif)framerelay map ip 203 broadcast cisco R1(configif)framerelay lmitype cisco R1(configif)bandwidth 256 R1(configif)exit R1(config) ip route R1(config) ip route R1(config) ip route （ 7） .幀中繼交換機(jī)的配置如下 圖所示 ： 圖 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 12 設(shè)置 ATM交換機(jī) Serial1接口上的 LMI模式和接口的 DLCI標(biāo)識； 圖 設(shè)置 ATM交換機(jī) Serial1接口上的 LMI模式和接口的 DLCI標(biāo)識； 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 13 圖 設(shè)置 ATM交換機(jī) Serial2接口上的 LMI模式和接口的 DLCI標(biāo)識； 圖 設(shè)置 ATM交換機(jī) Serial Serial0、 Serial2接口上的相互之間的 DLCI映射關(guān)系。 綜合以上技術(shù)分析，設(shè)計(jì)選用了 幀中繼交換技術(shù) 作為校區(qū)之間互聯(lián)的解決方案。 MAC 地址綁定技術(shù) 在 cisco 交換 機(jī)中為了防止 ip 被盜用或員工亂改 ip，可以做以下措施，既 ip與mac 地址的綁定，和 ip 與 交換 機(jī)端口的綁定。 （ 1） . 通過 IP 查端口 （ 2） . ip 與 mac 地址的綁定，這種綁定可以簡單有效的防止 ip 被 盜用，別人將 ip改成了你綁定了 mac 地址的 ip 后，其網(wǎng)絡(luò)不同，（ tcp/udp 協(xié) 議不同，但 bios 網(wǎng)絡(luò)共項(xiàng)可以訪問），具體做法： 方案一： 基于端口的 MAC 地址綁定 S1(config) Interface fastether 0/1 ＃進(jìn)入具體端口配置模式 S1(configif)Switchport portsecruity ＃配置端口安全模式 S1(configif) switchport portsecurity macaddress MAC(主機(jī)的 MAC 地址 ) ＃配置該端口要綁定的主機(jī)的 MAC 地址 注意： 以上命令設(shè)置交換機(jī)上某個(gè)端口綁定一個(gè)具體的 MAC 地址，這樣只有這個(gè)主機(jī)可以使用網(wǎng)絡(luò)，如果對該主機(jī)的網(wǎng)卡進(jìn)行了更換或者其他 PC 機(jī)想通過這個(gè)端口使用網(wǎng)絡(luò)都不可用，除非刪除或修改該端口上綁定的 MAC 地址，才能正常使用。 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 14 方案二： 基于 MAC 地址的擴(kuò)展 訪問列表 S1(config) Mac accesslist extended MAC10 ＃定義一個(gè) MAC 地址訪問控制列表并且命名該列表名為 MAC10 S1(configextnacl)permit host any ＃定義 MAC 地址為 的主機(jī)可以訪問任意主機(jī) S1(configextnacl)permit any host ＃定義所有主機(jī)可以訪問 MAC 地址為 的主機(jī) S1(config) interface Fa0/20 進(jìn)入配置具體端口的模式 S1(configif) mac accessgroup MAC10 in ＃在該端口上應(yīng)用名為 MAC10 的訪問列表（即前面定義的訪問策略） 此功能與應(yīng)用一大體相同，但它是基于端口做的 MAC 地址訪問控制列表限制，可以限定特定源 MAC 地址與目的地