【正文】 圖 36 定義NAT內(nèi)部、外部接口定義允許進(jìn)行NAT的工作站的內(nèi)部局部ip地址范圍Router（config）ip accesslist 1 permit 圖 37 定義工作站的內(nèi)部局部地址范圍為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換 圖38顯示了如何為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換Router（config）ip nat inside source static Router（config）ip nat inside source static Router（config）ip nat inside source static Router（config）ip nat inside source static 圖 38 為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換為其他工作站定義復(fù)用地址轉(zhuǎn)換Router（config） ip nat inside source list 1 interface serial0/0 overload圖 39 為工作站定義復(fù)用地址轉(zhuǎn)換 配置接入路由器上的ACL路由器是外網(wǎng)進(jìn)入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進(jìn)行縝密的設(shè)計，來對企業(yè)網(wǎng)包括防火墻本身實(shí)施保護(hù)。在本實(shí)例設(shè)計中，將針對服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器上ACL的配置方案。在網(wǎng)絡(luò)環(huán)境中普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計：對外屏蔽簡單網(wǎng)管協(xié)議，即SNMP利用這個協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRAP。如圖310所示，顯示了如何設(shè)置對外屏蔽簡單網(wǎng)管協(xié)議SNMP。Router（config）accesslist 101 deny udp any any eq snmpRouter（config） accesslist 101 deny udp any any eq snmptrapRouter（config） accesslist 101 permit ip any anyRouter（config） interface serial 0/0Router（configif）ip accessgroup 101 in圖310 對外屏蔽簡單網(wǎng)關(guān)協(xié)議SNMP對外屏蔽遠(yuǎn)程登錄協(xié)議telnet首先，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器，并可以使用相關(guān)命令完全操縱它們。其次，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)模苋菀妆痪W(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。這是極其危險的，因此必須加以屏蔽。如圖311所示，顯示了如何對外屏蔽遠(yuǎn)程登錄協(xié)議telnet。Router（config） accesslist 102 deny tcp any any eq telnetRouter（config） accesslist 102 permit ip any anyRouter（config） interface serial 0/0Router（configif）ip accessgroup 102 in圖 311 對外屏蔽遠(yuǎn)程登錄協(xié)議telnet對外屏蔽其它不安全的協(xié)議或服務(wù)這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049，遠(yuǎn)程執(zhí)行（rsh）、遠(yuǎn)程登錄和遠(yuǎn)程命令端口5151514，如圖312所示。Router（config） accesslist 103 deny tcp any any range 512 514Router（config） accesslist 103 deny tcp any any eq 111Router（config） accesslist 103 deny udp any any eq 111Router（config） accesslist 103 deny tcp any any range 2049Router（config） accesslist 103 permit ip any anyRouter（config） interface serial 0/0Router（configif）ip accessgroup 103 in圖312 對外屏蔽其它不安全的協(xié)議或服務(wù)針對DoS攻擊的設(shè)計針對DoS攻擊是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。圖313顯示了如何設(shè)計針對常見DoS攻擊的ACL。Router（config） accesslist 104 deny icmp any any eqechorequestRouter（config） accesslist 104 deny udp any any eqechoRouter（config） interface serial 0/0Router（configif） no ip directedbroadcast圖313 針對DoS攻擊的設(shè)計保護(hù)路由器的自身安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。應(yīng)只允許來自服務(wù)器群的ip地址訪問并配置路由器。這時，可以使用ACCESSCLASS命令進(jìn)行VTY訪問控制。如圖314所示。Router（config）line vty 0 4Router（configline）accessclass 2 inRouter（configline）exitRouter（config）accesslist 2 permit 圖314 保護(hù)路由器自身安全為了實(shí)現(xiàn)對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持，在接入路由器上還需要進(jìn)行適當(dāng)?shù)呐渲?，如圖315所示。Router（config）ip classlessRouter（config）ip subnetzero圖315 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持第四章 遠(yuǎn)程訪問模塊設(shè)計遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)提供服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供遠(yuǎn)程、移動接入服務(wù)。如圖41所示。圖41遠(yuǎn)程服務(wù)類型有三種：分別是專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。本設(shè)計采用了異步撥號連接作為遠(yuǎn)程訪問的技術(shù)手段。 配置物理線路的基本參數(shù)對物理線路的配置包括配置線路速度（DTE、DCE之間的速率）、停止位數(shù)、流控方式、允許呼入連接的協(xié)議類型、允許流量的方向等。如圖42所示Router（config）line 77Router（configline）modem inoutRouter（configline）transport inputRouter（configline）stopbits 1Router（configline）speed 115200Router（configline）flowecontrol hardware圖42 配置物理線路的基本參數(shù) 配置接口基本參數(shù)對接口基本參數(shù)的配置包括：接口封裝協(xié)議類型、接口異步模式、ip地址、為遠(yuǎn)程客戶分配ip地址的方式等，如圖43所示。這里，設(shè)置遠(yuǎn)程客戶從ip地址池liuqing中獲取ip地址。Router（config）interface asynchronous 77Router（configif）ip address Router（configif）encapsulation pppRouter（configif）asynchronous mode dedicatedRouter（configif）peer default ip address pool liuqing圖43 配置接口基本參數(shù)接下來，需要建立一個本地的ip地址池。如圖44所示，建立了一個名為liuqing的ip地址池。其中ip地址范圍是：~。Router（config）ip local pool liuqing 圖44 指定ip地址池 配置身份認(rèn)證PPP提供了兩種可選的身份認(rèn)證方法：口令驗(yàn)證協(xié)議PAP和質(zhì)詢握手協(xié)議CHAP，本設(shè)計中將采用PAP身份認(rèn)證方法。建立本地口令數(shù)據(jù)庫如圖45所示建立本地口令數(shù)據(jù)庫。Router（config）username remoteuser password userpwd圖45 建立本地口令數(shù)據(jù)庫設(shè)置進(jìn)行PAP認(rèn)證如圖46所示設(shè)置進(jìn)行PAP認(rèn)證。Router（config）interface aRouter（configif）ppp authentication pap圖46 設(shè)置進(jìn)行PAP認(rèn)證第五章 服務(wù)器模塊設(shè)計服務(wù)器模塊用來對校園網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計實(shí)例中，所有的服務(wù)器被集中到vlan 100，構(gòu)成服務(wù)器群并通過分布層交換機(jī)的端口fastehernet1~20接入校園網(wǎng)。圖51所示。圖51校園網(wǎng)網(wǎng)絡(luò)提供的常用服務(wù)器包括：Web服務(wù)器：提供web網(wǎng)站的服務(wù)。DNS、目錄服務(wù)器：提供域名解析以及目錄服務(wù)。FTP、文件服務(wù)器：提供文件傳輸、共享服務(wù)。網(wǎng)管服務(wù)器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。如圖52所示。顯示了各服務(wù)器ip地址配置情況。圖52表2 給出了所有的服務(wù)器硬件平臺、操作系統(tǒng)以及服務(wù)軟件的選型。服務(wù)器編號服務(wù)器名稱硬件平臺操作系統(tǒng)服務(wù)軟件Server 1Web服務(wù)器HP LH3000Windows 2003 serverIIS Server 2ftp、文件服務(wù)器HP LH3000Windows 2003 serverSERVU Server 3DNS、目錄服務(wù)器HP TC4100Windows 2003 serverActive DirectoryServer 4網(wǎng)管服務(wù)器HP TC4100Windows 2003 serverCisco Works 2000致謝:在本次論文設(shè)計過程中，劉正峰老師對該論文從選題，構(gòu)思到最后定稿的各個環(huán)節(jié)給予細(xì)心指引與教導(dǎo),使我得以最終完成畢業(yè)論文設(shè)計。在學(xué)習(xí)中,老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、豐富淵博的知識、敏銳的學(xué)術(shù)思維、精益求精的工作態(tài)度以及侮人不倦的師者風(fēng)范是我終生學(xué)習(xí)的楷模，導(dǎo)師們的高深精湛的造詣與嚴(yán)謹(jǐn)求實(shí)的治學(xué)精神，將永遠(yuǎn)激勵著我。這三年中還得到眾多老師和同學(xué)的關(guān)心支持和幫助。在此，謹(jǐn)向老師和同學(xué)們致以衷心的感謝和崇高的敬意！最后，我要向百忙之中抽時間對本文進(jìn)行審閱，評議，對幫助我的同學(xué)和參與本人論文答辯的各位老師表示感謝。參考文獻(xiàn)[1] 賀平、沈岳、汪雙頂，《 路由、交換和無線項(xiàng)目試驗(yàn)指導(dǎo)書》2007年12月出版[2] 鐘樂海、王朝斌、李艷梅，《網(wǎng)絡(luò)安全技術(shù)》 2008年05月出版[3] 尹敬齊，《局域網(wǎng)組建與管理》 2008年04月出版[4] 譚方勇，《交換與路由技術(shù)實(shí)用教程》2008年07月出版[5] 劉易斯，《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程CCNA 3 交換基礎(chǔ)與中級路由》2008年02月出版[6] 宋文官，《網(wǎng)絡(luò)技術(shù)與應(yīng)用》2000年03月出版28