【正文】 圖 36 定義NAT內(nèi)部、外部接口定義允許進行NAT的工作站的內(nèi)部局部ip地址范圍Router（config）ip accesslist 1 permit 圖 37 定義工作站的內(nèi)部局部地址范圍為服務器定義靜態(tài)地址轉(zhuǎn)換 圖38顯示了如何為服務器定義靜態(tài)地址轉(zhuǎn)換Router（config）ip nat inside source static Router（config）ip nat inside source static Router（config）ip nat inside source static Router（config）ip nat inside source static 圖 38 為服務器定義靜態(tài)地址轉(zhuǎn)換為其他工作站定義復用地址轉(zhuǎn)換Router（config） ip nat inside source list 1 interface serial0/0 overload圖 39 為工作站定義復用地址轉(zhuǎn)換 配置接入路由器上的ACL路由器是外網(wǎng)進入校園網(wǎng)內(nèi)網(wǎng)的第一道關卡，是網(wǎng)絡防御的前沿陣地。路由器上的訪問控制列表是保護內(nèi)網(wǎng)安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網(wǎng)絡流量、流向的作用，還可以在不增加網(wǎng)絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對企業(yè)網(wǎng)包括防火墻本身實施保護。在本實例設計中，將針對服務器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器上ACL的配置方案。在網(wǎng)絡環(huán)境中普遍存在著一些非常重要的、影響服務器群安全的隱患。在絕大多數(shù)網(wǎng)絡環(huán)境的實現(xiàn)中它們都是應該對外加以屏蔽的。主要應該做以下的ACL設計：對外屏蔽簡單網(wǎng)管協(xié)議，即SNMP利用這個協(xié)議，遠程主機可以監(jiān)視、控制網(wǎng)絡上的其它網(wǎng)絡設備。它有兩種服務類型：SNMP和SNMPTRAP。如圖310所示，顯示了如何設置對外屏蔽簡單網(wǎng)管協(xié)議SNMP。Router（config）accesslist 101 deny udp any any eq snmpRouter（config） accesslist 101 deny udp any any eq snmptrapRouter（config） accesslist 101 permit ip any anyRouter（config） interface serial 0/0Router（configif）ip accessgroup 101 in圖310 對外屏蔽簡單網(wǎng)關協(xié)議SNMP對外屏蔽遠程登錄協(xié)議telnet首先，telnet可以登錄到大多數(shù)網(wǎng)絡設備和UNIX服務器，并可以使用相關命令完全操縱它們。其次，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡設備或服務器時所使用的用戶名和口令在網(wǎng)絡中是以明文傳輸?shù)?，很容易被網(wǎng)絡上的非法協(xié)議分析設備截獲。這是極其危險的，因此必須加以屏蔽。如圖311所示，顯示了如何對外屏蔽遠程登錄協(xié)議telnet。Router（config） accesslist 102 deny tcp any any eq telnetRouter（config） accesslist 102 permit ip any anyRouter（config） interface serial 0/0Router（configif）ip accessgroup 102 in圖 311 對外屏蔽遠程登錄協(xié)議telnet對外屏蔽其它不安全的協(xié)議或服務這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049，遠程執(zhí)行（rsh）、遠程登錄和遠程命令端口5151514，如圖312所示。Router（config） accesslist 103 deny tcp any any range 512 514Router（config） accesslist 103 deny tcp any any eq 111Router（config） accesslist 103 deny udp any any eq 111Router（config） accesslist 103 deny tcp any any range 2049Router（config） accesslist 103 permit ip any anyRouter（config） interface serial 0/0Router（configif）ip accessgroup 103 in圖312 對外屏蔽其它不安全的協(xié)議或服務針對DoS攻擊的設計針對DoS攻擊是一種非常常見而且極具破壞力的攻擊手段，它可以導致服務器、網(wǎng)絡設備的正常服務進程停止，嚴重時會導致服務器操作系統(tǒng)崩潰。圖313顯示了如何設計針對常見DoS攻擊的ACL。Router（config） accesslist 104 deny icmp any any eqechorequestRouter（config） accesslist 104 deny udp any any eqechoRouter（config） interface serial 0/0Router（configif） no ip directedbroadcast圖313 針對DoS攻擊的設計保護路由器的自身安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。應只允許來自服務器群的ip地址訪問并配置路由器。這時，可以使用ACCESSCLASS命令進行VTY訪問控制。如圖314所示。Router（config）line vty 0 4Router（configline）accessclass 2 inRouter（configline）exitRouter（config）accesslist 2 permit 圖314 保護路由器自身安全為了實現(xiàn)對無類別網(wǎng)絡以及全零子網(wǎng)的支持，在接入路由器上還需要進行適當?shù)呐渲茫鐖D315所示。Router（config）ip classlessRouter（config）ip subnetzero圖315 定義對無類別網(wǎng)絡以及全零子網(wǎng)的支持第四章 遠程訪問模塊設計遠程訪問也是園區(qū)網(wǎng)絡提供服務之一。它可以為家庭辦公用戶和出差在外的員工提供遠程、移動接入服務。如圖41所示。圖41遠程服務類型有三種：分別是專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務質(zhì)量不同，花費也不相同。本設計采用了異步撥號連接作為遠程訪問的技術手段。 配置物理線路的基本參數(shù)對物理線路的配置包括配置線路速度（DTE、DCE之間的速率）、停止位數(shù)、流控方式、允許呼入連接的協(xié)議類型、允許流量的方向等。如圖42所示Router（config）line 77Router（configline）modem inoutRouter（configline）transport inputRouter（configline）stopbits 1Router（configline）speed 115200Router（configline）flowecontrol hardware圖42 配置物理線路的基本參數(shù) 配置接口基本參數(shù)對接口基本參數(shù)的配置包括：接口封裝協(xié)議類型、接口異步模式、ip地址、為遠程客戶分配ip地址的方式等，如圖43所示。這里，設置遠程客戶從ip地址池liuqing中獲取ip地址。Router（config）interface asynchronous 77Router（configif）ip address Router（configif）encapsulation pppRouter（configif）asynchronous mode dedicatedRouter（configif）peer default ip address pool liuqing圖43 配置接口基本參數(shù)接下來，需要建立一個本地的ip地址池。如圖44所示，建立了一個名為liuqing的ip地址池。其中ip地址范圍是：~。Router（config）ip local pool liuqing 圖44 指定ip地址池 配置身份認證PPP提供了兩種可選的身份認證方法：口令驗證協(xié)議PAP和質(zhì)詢握手協(xié)議CHAP，本設計中將采用PAP身份認證方法。建立本地口令數(shù)據(jù)庫如圖45所示建立本地口令數(shù)據(jù)庫。Router（config）username remoteuser password userpwd圖45 建立本地口令數(shù)據(jù)庫設置進行PAP認證如圖46所示設置進行PAP認證。Router（config）interface aRouter（configif）ppp authentication pap圖46 設置進行PAP認證第五章 服務器模塊設計服務器模塊用來對校園網(wǎng)的接入用戶提供各種服務。在本設計實例中，所有的服務器被集中到vlan 100，構(gòu)成服務器群并通過分布層交換機的端口fastehernet1~20接入校園網(wǎng)。圖51所示。圖51校園網(wǎng)網(wǎng)絡提供的常用服務器包括：Web服務器：提供web網(wǎng)站的服務。DNS、目錄服務器：提供域名解析以及目錄服務。FTP、文件服務器：提供文件傳輸、共享服務。網(wǎng)管服務器：對校園網(wǎng)網(wǎng)絡設備進行綜合管理。如圖52所示。顯示了各服務器ip地址配置情況。圖52表2 給出了所有的服務器硬件平臺、操作系統(tǒng)以及服務軟件的選型。服務器編號服務器名稱硬件平臺操作系統(tǒng)服務軟件Server 1Web服務器HP LH3000Windows 2003 serverIIS Server 2ftp、文件服務器HP LH3000Windows 2003 serverSERVU Server 3DNS、目錄服務器HP TC4100Windows 2003 serverActive DirectoryServer 4網(wǎng)管服務器HP TC4100Windows 2003 serverCisco Works 2000致謝:在本次論文設計過程中，劉正峰老師對該論文從選題，構(gòu)思到最后定稿的各個環(huán)節(jié)給予細心指引與教導,使我得以最終完成畢業(yè)論文設計。在學習中,老師嚴謹?shù)闹螌W態(tài)度、豐富淵博的知識、敏銳的學術思維、精益求精的工作態(tài)度以及侮人不倦的師者風范是我終生學習的楷模，導師們的高深精湛的造詣與嚴謹求實的治學精神，將永遠激勵著我。這三年中還得到眾多老師和同學的關心支持和幫助。在此，謹向老師和同學們致以衷心的感謝和崇高的敬意！最后，我要向百忙之中抽時間對本文進行審閱，評議，對幫助我的同學和參與本人論文答辯的各位老師表示感謝。參考文獻[1] 賀平、沈岳、汪雙頂，《 路由、交換和無線項目試驗指導書》2007年12月出版[2] 鐘樂海、王朝斌、李艷梅，《網(wǎng)絡安全技術》 2008年05月出版[3] 尹敬齊，《局域網(wǎng)組建與管理》 2008年04月出版[4] 譚方勇，《交換與路由技術實用教程》2008年07月出版[5] 劉易斯，《思科網(wǎng)絡技術學院教程CCNA 3 交換基礎與中級路由》2008年02月出版[6] 宋文官，《網(wǎng)絡技術與應用》2000年03月出版28