【正文】 p authorization list ezo加密組tom的密鑰授權(quán)管理方式調(diào)用上面的eza組crypto map tom client configuration address respond加密組tom為客戶分配IP地址crypto map tom 10 ipsecisakmp dynamic ezmap加密組tom調(diào)用隧道加密格式名稱為ezmap !interface FastEthernet0/0 ip address ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 routerid logadjacencychanges network area 6 defaultinformation originate 向其他ospf鄰居宣告默認(rèn)路由!ip local pool ez 配置VPN登入進來后分配的IP地址池ip nat inside source list 1 interface Serial0/2/0 overload 設(shè)置動態(tài)NAT將acl 1的地址轉(zhuǎn)化為s0/2/0并多路復(fù)用ip classlessip route Serial0/2/0 默認(rèn)路由 都走s0/2/0!!accesslist 1 permit accesslist 10 permit host !no cdp run 關(guān)閉鄰居發(fā)現(xiàn)協(xié)議!!radiusserver host authport 1645 key 123 指定AAA服務(wù)器地址與Easy VPN 端口號以及對應(yīng)密鑰!line con 0 password cisco loginline vty 0 4 accessclass 10 in password cisco login local!End 服務(wù)器AAA服務(wù)器配置：HTTP服務(wù)器：DNS服務(wù)器：第六章 項目測試Packet Tracer 模擬器實驗拓撲圖 所有設(shè)備的用戶名為：beijiangong 密碼：ciscoVPN 登錄配置：組名：beijiangongKey:123服務(wù)器IP： 用戶名：123密碼：123北京總公司 圖A分公司以及ISP網(wǎng)絡(luò) 圖B DHCP驗證 北京總公司內(nèi)網(wǎng)所有設(shè)備都是通過DHCP獲取的IP地址，但是不同VLAN所獲得的IP地址段是不同的，驗證其在不同VLAN下是否獲得正確的IP地址、網(wǎng)關(guān)、掩碼和DNS。1）經(jīng)理辦公室 VLAN 10配置方法，首先在Packet Tracer下，點擊相應(yīng)的PC，如圖611圖611點擊左上角第一欄，ip Configuration 進入IP地址配置畫面 如圖612 IP地址配置畫面 圖612 點擊DHCP，獲取IP地址，等待12S后查看結(jié)果 如圖613圖613根據(jù)提示可以看出獲得了正確的IP地址。2） 財政部 VLAN 20 如圖614圖6143） 軟件部 VLAN 30 如圖615圖6154） 市場部 VLAN 40 如圖 616圖6165） 系統(tǒng)集成部 VLAN 50 如圖617圖6176) 參觀中心 VLAN 60 如圖 618圖618 網(wǎng)絡(luò)連通性 建立好網(wǎng)絡(luò)后，最重要的一點就是網(wǎng)絡(luò)連通性，根據(jù)公司需求，內(nèi)部計算機獲得自己IP地址，自己的DNS服務(wù)器與網(wǎng)關(guān)，那應(yīng)該可以去訪問外網(wǎng)服務(wù)器，以達到訪問公網(wǎng)的目的。 1）隨便開啟一臺PC機，如經(jīng)理辦公室PC 圖621圖621點擊Command prompt 進入其電腦的CMD命令格式 圖622圖622 輸入ping 命令，在虛擬網(wǎng)絡(luò)中，如圖Ａ　 所以先ping運行商網(wǎng)關(guān)。在命令行中輸入ping ，可能第一個包會因為ARP的關(guān)系而丟失，但是后續(xù)會很穩(wěn)定。如圖623圖6232） 檢查網(wǎng)絡(luò)內(nèi)部DNS的正確性打開PC機瀏覽器，如下圖所示624圖624如圖B所示，在公網(wǎng)中，有一個百度的服務(wù)器，.. 通過瀏覽器訪問百度看是否成功。如圖625圖625如圖所示，訪問成功，表示公司內(nèi)部網(wǎng)絡(luò)連通性已經(jīng)保證暢通。 網(wǎng)絡(luò)安全性在保證了連通性的基礎(chǔ)上，驗證其安全性 SSH 與console的權(quán)限在設(shè)備安裝完畢后，公司內(nèi)部不可能派專門的保安去看護，所以網(wǎng)絡(luò)設(shè)備的安全就需要有所保證，不能讓人們輕易的進入其配置模式，輕易的去更改配置，所以要設(shè)置用戶名密碼。如圖631所示，一臺PC需要console核心交換機 圖631如圖627所示，需要點擊下圖所示單元進入console連接模式圖632選好會話數(shù)，速率等基本參數(shù)后點擊OK連接設(shè)備的控制臺 如圖633圖633發(fā)現(xiàn)需要輸入用戶名密碼，否側(cè)無法進入控制界面，輸入用戶名密碼后進入用戶模式，進入特權(quán)模式需要輸入特權(quán)密碼，輸入正確用戶名密碼后才能進入。如圖634圖634 當(dāng)然console的限制很大，有監(jiān)控設(shè)備，與機柜鎖，能夠最大限度的保證其安全性，所以console的安全性問題不是很大，而telnet 的控制起來就需要用策略來限制了。 如果想telnet設(shè)備需要知道其設(shè)備上的IP地址，而本公司DHCP中的網(wǎng)關(guān)地址基本都是在核心上，所以設(shè)備上的IP地址基本誰都知道，而核心設(shè)備僅僅需要網(wǎng)絡(luò)管理員去管理，所以加了acl去選擇telnet 的對象。而在加密方面我選擇了SSH而不是非加密的Telnet. 如圖所示，僅有網(wǎng)絡(luò)管理員才能ssh設(shè)備，其他員工無法ssh設(shè)備。這是管理員ssh的效果，輸入正確的用戶名密碼后，進入其配置界面。如圖635圖6210這是其他設(shè)備ssh的效果，無論嘗試幾個設(shè)備上的地址都被拒絕了，這樣就能保證設(shè)備控制的安全性。雖然能夠訪問其地址，但是無法取得其TCP端口號22的訪問權(quán) 如圖636圖636 網(wǎng)絡(luò)連通安全性在一個公司內(nèi)部，雖然大家共享上網(wǎng)資源，但是各部門之間的資料還是有一些機密的，特別是財政部，一個公司財政信息都是很機密的，所以不希望其他公司內(nèi)部Pc能夠連通到此部門，所以也要通過acl去限制，去隔離一些區(qū)域。財政部IP 軟件部IP 市場部IP 正常情況下，三個部門是可以正常ping通的，但是財政部的安全性，所以其他2個部門無法訪問財政部，但是可以互相訪問。如圖637所示，軟件部無法訪問財政部，但是可以訪問市場部圖637這樣就保證了財政部的獨立性，保證了其安全，由于公司內(nèi)部需要有客人訪問，而客人往往需要上網(wǎng)，所以需要控制其上網(wǎng)行為，如果有惡意行為，盜取公司其他部門資料，那也會造成嚴(yán)重的損失，所以，要保證其在公司參觀中心上網(wǎng)，只能訪問外網(wǎng)，不能訪問公司內(nèi)部其他主機。如圖638所示，參觀中心的終端能夠訪問外網(wǎng)百度服務(wù)器，但是無法訪問內(nèi)部市場部PC設(shè)備。圖638 分公司與總公司安全性由于分公司之間通過ISP與總公司通信，所以數(shù)據(jù)通信需要安全性，在這里我選擇了EASY VPN，由于各分公司內(nèi)部全部使用私網(wǎng)地址，所以無法與總公司內(nèi)部通信，因為私網(wǎng)地址無法宣告到公網(wǎng)中，而通過easy vpn連接后，本部通過給客戶分配總公司自己的私網(wǎng)地址，使其能夠訪問公司內(nèi)部，而通信過程中數(shù)據(jù)時加密的，無法竊取，保證了其安全性。如圖641連接easy vpn首先要在客戶端PC打開VPN連接。圖641在這里設(shè)置好用戶組、用戶名、總公司的公網(wǎng)地址以及密碼后連接VPN 如圖642圖642連接后需要等23秒，即連接成功，而且顯示被分配的IP地址 如圖643圖643進行Ping命令就可以訪問北京總部的內(nèi)網(wǎng)地址終端了。如圖644圖644這樣網(wǎng)絡(luò)的安全性就得到了很大的提升?？? 結(jié)隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。本論文從企業(yè)角度描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護機制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個方面的網(wǎng)絡(luò)安全問題的解決，可以使讀者有對網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。在本方案設(shè)計之初，我對網(wǎng)絡(luò)安全的理解還是很淺，包括到了現(xiàn)在我對它的還是只有一點點的認(rèn)知，但是通過這次設(shè)計，讓我對網(wǎng)絡(luò)安全產(chǎn)生了很濃厚的興趣，很高興能夠選到這個課題，但這只是一次虛擬題，希望以后有機會在工作中能夠得到真實的項目去完成網(wǎng)絡(luò)安全的設(shè)計方案，但是，路還很長，需要學(xué)習(xí)的知識還很多，但是有興趣才是王道。致 謝在這幾個多月的畢業(yè)設(shè)計中，我真誠的感謝老師的指導(dǎo)，在老師的幫助下我才順利的完成畢業(yè)設(shè)計。做畢業(yè)實際就需要把平時學(xué)到的東西在復(fù)習(xí)一遍，因為平時上課還有課后自己的學(xué)習(xí)，都主要在基于理論方面的，雖然也做很多實驗，但當(dāng)把畢業(yè)設(shè)計當(dāng)作一個實際的工程來做的時候就會發(fā)現(xiàn)很多的問題，這就需要老師的指導(dǎo)了。所以很感謝老師的幫助，讓我更好的將理論和實踐相結(jié)合，最后完成了此次畢業(yè)設(shè)計，同時也為以后工作做了很好的準(zhǔn)備。參考文獻[ 1 ] Richard Froom著 田果 ：人民郵電出版社，2011．[ 2 ] JeffDoyie著 \IP 路由技術(shù) ：人民郵電出版社，2009．[ 3 ] 王寶生 朱培棟. ：人民郵電出版社，2008.[ 4 ] 王衛(wèi)紅，：機械工業(yè)出版社，2009．[ 5 ] ：人民郵電出版社，2007.[ 6 ] ，2007.[ 7 ] 張千里，陳光英. ：人民郵電出版社，2003[ 8 ] ，電子工業(yè)出版社，2005年3月[ 9 ] ,海洋出版社，2006年[10 ] 高永強，郭世澤. ：人民郵電出版社，200