【正文】 e /*配置SSH加密的域名S1(config)crypto key generate rsa/*通過SSH加密隨機(jī)生成密匙S1(config)username student privilege 15 secret cisco/*配置登陸用戶名和密碼，并且對于student用戶設(shè)置權(quán)限為最高級15級，密碼為cisco。S1(config)line vty 0 4S1(configline)no transport input湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計（論文） 第 3 章 校園網(wǎng)設(shè)計及安全方案實現(xiàn) 26/*設(shè)置不允許任何方式遠(yuǎn)程登陸到設(shè)備S1(configline)transport input ssh/*配置遠(yuǎn)程登陸設(shè)備只允許加密的SSH方式S1(configline)transport input tel/*配置允許tel方式登陸設(shè)備進(jìn)行遠(yuǎn)程配置S1(configline)login local/*將以上配置應(yīng)用于本地登陸S1(configline)exectimeout 3/*配置VTY超時，防止空閑會話無止境的消耗VTY。S1(configline)exitS1 (config)ip ssh authenticationretries 2/*設(shè)置身份驗證重試次數(shù)為2次S1 (config)ip ssh timeout 15/*配置SSH超時為15s。S3 (config)accesslist 102 permit icmp echoreplyS3 (config)accesslist 102 deny icmp echoreplyS3 (config)accesslist 102 deny icmp echoreplyS3 (config)accesslist 102 deny icmp echoreplyS3 (config)accesslist 102 deny icmp echoreplyS3 (config)accesslist 102 deny icmp echoreplyS3 (config)accesslist 102 deny icmp echoreplyS3 (config)accesslist 102 deny icmp 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計（論文） 第 3 章 校園網(wǎng)設(shè)計及安全方案實現(xiàn) 27 echoreplyS3 (config)accesslist 102 deny icmp echoreplyS3 (config)accesslist 102 deny icmp echoreplyS3 (config)accesslist 102 deny icmp echoreplyS3 (config)accesslist 102 deny icmp echoreplyS3 (config)accesslist 102 permit icmp any any /*配置號碼為102的擴(kuò)展訪問列表，禁止除了管理員以外的任何網(wǎng)段訪問。然后將兩個訪問列表分別應(yīng)用到邏輯接口的出口上：S1 (config)int fastether 0/1 /*將號碼為102的訪問控制列表應(yīng)用到fastether 0/1上S1 (configif)ip accessgroup 102 out NAT 的應(yīng)用實例中的使用的路由器是cisco 2811，接入電信的接口為：serial 1/0，IP地址為：，接入內(nèi)網(wǎng)的接口為：serial 1/1，ip地址為：。湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計（論文） 第 3 章 校園網(wǎng)設(shè)計及安全方案實現(xiàn) 28圖2 NAT示意圖（1）.配置實訓(xùn)樓路由器的接口IP為：，在核心路由器cisco catalyst 2811上指定默認(rèn)路由：R1 (config)ip route serial 1/0（2）.配置靜態(tài)路由在路由器上指定到內(nèi)部網(wǎng)的路徑：R1 (config)ip route ……（3）.配置NAT，從內(nèi)部主機(jī)訪問InterR1 (config)accesslist 10 permit /*設(shè)置用于NAT的訪問控制列表，用于指定內(nèi)部地址R1 （config） ip nat pool abcd mask /*定義用戶NAT的外部地址池 R1 （config） ip nat inside source list 10 pool abcd overload/*配置NAT過載（配置PAT）……（4）.配置NAT，實現(xiàn)外網(wǎng)對和ftp服務(wù)器的訪問服務(wù)器Ip地址為：，ftp服務(wù)器地址為：R1 (config) ip nat inside source static /*設(shè)置靜態(tài)NAT，實現(xiàn)對服務(wù)器的訪問R1 (config) ip nat inside source static /*設(shè)置靜態(tài)NAT，實現(xiàn)對ftp服務(wù)器的訪問（5）.把NAT應(yīng)用到端口R1 (config)interface Serial1/0 R1 (configif)ip nat outsideR1 (config)interface Serial1/1湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計（論文） 第 3 章 校園網(wǎng)設(shè)計及安全方案實現(xiàn) 29R1 (config)ip nat inside 路由器控制列表的應(yīng)用目前在網(wǎng)絡(luò)中使用的cisco 2811路由器連接到Inte。在路由器上采用訪問控制列表（accesslist）來實現(xiàn)一些防火墻的功能。使用ACL提供基本的流量過濾功能，來實現(xiàn)網(wǎng)絡(luò)的安全。R1 （config）accesslist 140 permit tcp any eq 80R1 (config)accesslist 140 permit tcp any eq 443R1 (config)accesslist 140 permit tcp any eq ftp此訪問控制列表的效果是除了允許對服務(wù)器()的HTTP、HTTPS端口以及FTP服務(wù)器()的FTP端口的訪問外，別的訪問都將會被阻止。R1 （config）interface Serial1/0R1 （config）ip accessgroup 140 in/*應(yīng)用ACL到端口accesslist 140 deny tcp any any eq 4444accesslist 140 deny tcp any any eq 69/*用于控制Blaster蠕蟲的傳播R1 （config）accesslist 140 deny tcp any any eq 135R1 （config）accesslist 140 deny udp any any eq 135R1 （config）accesslist 140 deny tcp any any eq 139R1 （config）accesslist 140 deny udp any any eq 139R1 （config）accesslist 140 deny tcp any any eq 445R1 （config）accesslist 140 deny udp any any eq 445R1 （config）accesslist 140 deny tcp any any eq 593R1 （config）accesslist 140 deny udp any any eq 493/*用于控制Blaster蠕蟲的掃描和攻擊湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計（論文） 第 3 章 校園網(wǎng)設(shè)計及安全方案實現(xiàn) 30R1 （config）accesslist 140 deny udp any any eq 1434R1 （config）accesslist 140 permit ip any any/*用于控制Slammer蠕蟲的傳播R1 （config）interface Serial1/0R1 （config）ip accessgroup 140 inR1 （config）ip accessgroup 140 out/*把訪問列表應(yīng)用到接口 幾個潛在安全風(fēng)險的分析與對策(1).源路由選擇的使用源路由選擇的使用數(shù)據(jù)鏈路層的信息，來為數(shù)據(jù)包進(jìn)行路由選擇，它己穿越過了網(wǎng)絡(luò)層、所以就有可能允許攻擊者為本地網(wǎng)上的數(shù)據(jù)包指定一個不正確的路由，那么攻擊者就可以獲得本應(yīng)只在本地傳輸?shù)男畔?。下面命令可以禁止使用源路由選擇:R1 (config)no ip sourceroute(2).拒 絕 服 務(wù)攻擊(DOS)由于 我 們 經(jīng)常會開啟一些小服務(wù)，例如echo(回顯)端口和discard(丟棄)端口，用于診斷，回顯端口將重放那些端口所接受到的數(shù)據(jù)包，而丟棄端口則將數(shù)據(jù)包丟棄，由于丟棄數(shù)據(jù)包或回顯數(shù)據(jù)包都會消耗CPU周期，一些DOS攻擊就采用這些端口。另外，也有DOS攻擊采用直接廣播技術(shù)。Smurf攻擊即為典型。所以建議在路由器接口上關(guān)閉這些服務(wù)。R1 (config)no service udpsmallserversR1 (config)no service tcpsmallserversR1 (config)no service fingerR1 (config)no ip directedbroadcast(3).ICMP重定向攻擊攻擊者利用ICMP重定向來對路由器進(jìn)行重定向，將本應(yīng)送到正確目標(biāo)的信息重定向到他們指定的機(jī)器，從而獲得不應(yīng)有的信息訪問權(quán)。另一方面，ICMP對內(nèi)部網(wǎng)絡(luò)是非常有用的。所以應(yīng)當(dāng)在外部網(wǎng)絡(luò)進(jìn)入路由器的接口上禁止ICMP重定向。R1 (config)no ip redirects湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計（論文） 第 3 章 校園網(wǎng)設(shè)計及安全方案實現(xiàn) 31(4).使用Unicast Reverse Path Forwarding檢查訪問者的來源它通過反向路由表查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處，因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn)，有助于提高網(wǎng)絡(luò)安全性。R1 (config) ip verify Unicast reversepath VPN 的應(yīng)用本實例采用IPSEC建立site to site的VPN以實現(xiàn)分校區(qū)對主校區(qū)的安全訪問，實例中以兩個校區(qū)圖書館的互聯(lián)進(jìn)行說明，為了方便配置采用SDM進(jìn)行配置。 圖3 VPN示意圖參照圖中所示的拓?fù)洌顷慶isco路由器的web配置實用程序配置的各項設(shè)置，并啟用一個名為站點到站點的VPN，該VPN采用MD5身份驗證和3DES加密，并且預(yù)共享密鑰為cisco123。首先登陸主校區(qū)的路由器，按照要求進(jìn)行如下配置：湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計（論文） 第 3 章 校園網(wǎng)設(shè)計及安全方案實現(xiàn) 32圖4 VPN配置在完成了主校區(qū)的路由器VPN配置后，登錄分校區(qū)的路由器，進(jìn)行VPN的配置，配置過程與上圖類似，故省略。這樣主校區(qū)和分校區(qū)的圖書館之間的VPN連接就建立好了，分校區(qū)的師生能通過VPN方便的訪問主校區(qū)的圖書館信息，就像訪問本地的局域網(wǎng)一樣。湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計（論文） 第 4 章 總結(jié) 33第四章 總結(jié) 本人所完成的工作根據(jù)湖南鐵路科技職業(yè)技術(shù)學(xué)院技術(shù)學(xué)院的網(wǎng)絡(luò)現(xiàn)狀和網(wǎng)絡(luò)需求及校園網(wǎng)的特點，提出了一個可行的校園網(wǎng)升級方案。設(shè)計中采用分層網(wǎng)絡(luò)體系，將學(xué)校網(wǎng)絡(luò)設(shè)備劃分為：核心層，分布層和接入層。這樣做加強(qiáng)了學(xué)校網(wǎng)絡(luò)的可管理理性和可擴(kuò)張性，適應(yīng)了學(xué)校進(jìn)一步發(fā)展的要求。同時采用VLAN技術(shù)按職能劃分虛擬子網(wǎng)，通過這種方式減小廣播域的大小，提高網(wǎng)絡(luò)整體性能，同時增強(qiáng)了網(wǎng)絡(luò)的安全性。設(shè)計中通過路由器的ACL技術(shù)，對數(shù)據(jù)包進(jìn)行過濾，阻止非授權(quán)訪問。NAT技術(shù)的應(yīng)用解決了私有地址訪問Inter的問題，實現(xiàn)了整個校園網(wǎng)主機(jī)對Inter的訪問，對校園內(nèi)部網(wǎng)進(jìn)行保護(hù)，阻止未授權(quán)的外網(wǎng)用戶的訪問。學(xué)院本部和分校區(qū)之間通過VPN技術(shù)進(jìn)行連接，確保了數(shù)據(jù)在Inter上傳輸?shù)陌踩乐箰阂獯a、黑客等的入侵。本設(shè)計以本院校園網(wǎng)為藍(lán)本，充分考慮了真實校園網(wǎng)網(wǎng)絡(luò)環(huán)境的情況?？紤]了校園網(wǎng)網(wǎng)絡(luò)可能會需求的內(nèi)部網(wǎng)規(guī)模，在VLAN中使用B類的私有地址，這樣就為以后網(wǎng)絡(luò)的擴(kuò)充留下了足夠的地址空間。訪問層交換機(jī)使用Cisco Catalyst 3550系列交換機(jī)，如果以后需要擴(kuò)展，則只需進(jìn)行交換機(jī)的堆疊。設(shè)計之初也充分考慮了實用性和系統(tǒng)的可行性