【正文】 p any any eq snmp //對(duì)外禁用 snmpR2811A (config)accesslist 101 deny udp any any eq snmptrap //對(duì)外禁用 snmptrap第五章 Inter 接入模塊33 對(duì)外屏蔽其他不安全的協(xié)議或服務(wù)這樣的協(xié)議主要有 SUN OS 的文件共享協(xié)議端口 2049，遠(yuǎn)程執(zhí)行（rsh ） 、遠(yuǎn)程登錄（rlogin）和遠(yuǎn)程命令（rcmd）端口 5151514，遠(yuǎn)程過(guò)程調(diào)用（SUNRPC）端口 111?？梢詫⑨槍?duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì)，如下所示。R2811A (config)accesslist 101 deny tcp any any range 512 514 //屏蔽遠(yuǎn)程執(zhí)行、遠(yuǎn)程登錄和遠(yuǎn)程命令R2811A (config)accesslist 101 deny udp any any eq 111 針對(duì) DoS 攻擊的設(shè)計(jì)DoS 攻擊（Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見(jiàn)而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。 R2811A (config)accesslist 101 deny icmp any any eq echorequestR2811A (config)accesslist 101 deny udp any any eq echoR2811A (config)accesslist 101 permit ip any any//將 ACL 應(yīng)用于 f0/0 接口R2811A (config)int f0/0R2811A (configif)ip accessgroup 101 in保護(hù)企業(yè)網(wǎng)免受攻擊，路由器的安全就顯得十分重要，有條件的話可以在買一個(gè)專業(yè)防火墻，然后配置它?；蛘咧苯釉诼酚善魃吓渲迷L問(wèn)控制列表（ACL） ，在一定程度上限制外網(wǎng)訪問(wèn)。第六章 遠(yuǎn)程訪問(wèn)模塊34第六章 遠(yuǎn)程訪問(wèn)模塊遠(yuǎn)程訪問(wèn)是只對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行連接的人員，不是通過(guò)企業(yè)辦公地點(diǎn)的網(wǎng)絡(luò)線路進(jìn)行，遠(yuǎn)程訪問(wèn)一般是為出差人員、外地小型辦公機(jī)構(gòu)設(shè)立。雖然這些人不在企業(yè)所在地，但通過(guò)遠(yuǎn)程訪問(wèn)，仍能夠與企業(yè)聯(lián)系，訪問(wèn)企業(yè)的數(shù)據(jù)，取得企業(yè)的文件，接收自己的電子郵件，因此與企業(yè)的聯(lián)系依然存在。遠(yuǎn)程訪問(wèn)使得企業(yè)人員無(wú)論身處何地，只需一條電話線，就如同企業(yè)就在身邊。當(dāng)一個(gè)人出差在外遇到問(wèn)題時(shí)，他可以通過(guò)遠(yuǎn)程訪問(wèn)連接到企業(yè)網(wǎng)上，得到企業(yè)的最新信息。即使出差工作中遇到了較大的難題，他也能夠?qū)?wèn)題和有關(guān)參數(shù)、數(shù)據(jù)通過(guò)遠(yuǎn)程訪問(wèn)傳遞到企業(yè)，企業(yè)組織力量快速解決問(wèn)題后，把結(jié)果傳送回出差人員，使得出差人員不必再次往返，既節(jié)約了時(shí)間，也省去了奔波勞累和旅行費(fèi)用，提高工作的效率。遠(yuǎn)程訪問(wèn)模塊模擬圖如圖 61 所示。圖 61 遠(yuǎn)程訪問(wèn)模擬圖 IPSec 遠(yuǎn)程接入 EVS 設(shè)置 配置過(guò)程在 EVS 路由器上設(shè)置 IPSec 遠(yuǎn)程接入時(shí)，需要執(zhí)行以下基本任務(wù)：第六章 遠(yuǎn)程訪問(wèn)模塊35任務(wù) 1—為設(shè)備的認(rèn)證和用戶認(rèn)證（XAUTH）定義 AAA 策略（預(yù)共享密鑰和 RSA 簽名） ；任務(wù) 2—為遠(yuǎn)程客戶端定義組信息，包括組策略；任務(wù) 3—建立 IKE 階段 1 策略；任務(wù) 4—建立動(dòng)態(tài)加密映射，用于遠(yuǎn)程接入連接；任務(wù) 5—建立靜態(tài)加密映射，包括動(dòng)態(tài)加密映射作為一個(gè)條目（靜態(tài)加密映射引用動(dòng)態(tài)加密映射） ；任務(wù) 6—驗(yàn)證配置，確保客戶端連接時(shí)正確的； 認(rèn)證策略要為遠(yuǎn)程接入執(zhí)行客戶端認(rèn)證，可以讓路由器在本地執(zhí)行 XAUTH 認(rèn)證，首先要激活 AAA，而后設(shè)置 AAA 認(rèn)證和授權(quán)，同時(shí)還需要為每一個(gè)用戶配置用戶名和密碼。R2811AenR2811Aconfig tR2811A(config)aaa newmodel //激活路由器 AAAR2811A(config)username wang secret wang //為每位用戶設(shè)置用戶名密碼R2811A(config)username zhang secret zhangR2811A(config)aaa authentication login vpnauthenticate local//設(shè)置 AAA 認(rèn)證R2811A(config)aaa authorization work vpngroup1 local//設(shè)置 AAA 授權(quán)第六章 遠(yuǎn)程訪問(wèn)模塊36 設(shè)置組策略在設(shè)置了認(rèn)證策略后，我們可以定義用戶的組策略。R2811A(config)ip local pool remotepool //定義分配給遠(yuǎn)程接入客戶端的地址池 到 R2811A(config)crypto isakmp client configuration group vpngroup1 //建立遠(yuǎn)程接入組 vpngroup1R2811A(configisakmpgroup)pool remotepoolR2811A(configisakmpgroup)key myvpnkey //設(shè)置預(yù)共享密鑰 myvpnkeyR2811A(configisakmpgroup)exit IKE 階段 1 策略在定義了遠(yuǎn)程接入組后，可以進(jìn)行 IKE 階段 1 策略配置了。該策略要與遠(yuǎn)程接入組中的客戶端的 VPN 能力相匹配R2811A(config)crypto isakmp policy 10R2811A(configisakmp)anthentication preshareR2811A(configisakmp)encryption 3desR2811A(configisakmp)hash md5 R2811A(configisakmp)group 2 //DH 組 2 密鑰R2811A(configisakmp)exitR2811A(config)crypto isakmp keepalive 20 10 R2811A(config)crypto isakmp xauth timeout 45 第六章 遠(yuǎn)程訪問(wèn)模塊37//XAUTH 認(rèn)證時(shí)間周期改為 45 秒 動(dòng)態(tài)加密映射R2811A(config)cryto ipsec transformset easyclients esp3des espshahmac //建立變換集R2811A(config)cryto dynamicmap dynamic_map 10//建立動(dòng)態(tài)加密映射，并為遠(yuǎn)程接入客戶端指定變換集R2811A(configcrytomap)set transformset easyclientsR2811A(configcrytomap)exit 靜態(tài)加密映射R2811A(config)cryto map static_map client authentication list Vpnauthenticate //將 VPN 認(rèn)證列表（vpnauthenticate）綁定到靜態(tài)加密映射R2811A(config)cryto map static_map client authorization list vpngroup1 //將遠(yuǎn)程接入組 vpngroup1 關(guān)聯(lián)到靜態(tài)加密映射R2811A(config)cryto map static_map client client configuration address respond //響應(yīng) IKE 模式的請(qǐng)求，并將他們初始化到客戶端R2811A(config)cryto map static_map 100 ipsecisakmp dynamic dynamic_map //遠(yuǎn)程接入動(dòng)態(tài)加密映射在靜態(tài)加密映射中被引用R2811A(config)int f0/0R2811A(configif) crypto map static_map //在路由器 f0/0 端口激活靜態(tài)映射第六章 遠(yuǎn)程訪問(wèn)模塊38 IPSec 遠(yuǎn)程接入 EVC 設(shè)置下載 Cisco EasyVPN Client 軟件安裝，打開(kāi)主界面如圖 62 所示。圖 62 Cisco EasyVPN Client 主界面點(diǎn)擊“new”創(chuàng)建一個(gè)新條目，打開(kāi)界面如圖 63 所示。圖 63 新建 VPN 連接第六章 遠(yuǎn)程訪問(wèn)模塊39設(shè)置 Easy VPN Server 的 IP 地址以及組名和對(duì)應(yīng)的 preshare key因?yàn)楸?VPN 設(shè)計(jì)設(shè)置了 Xauth 擴(kuò)展認(rèn)證，在連接的過(guò)程中會(huì)提示輸入用戶名和口令。 VPN 訪問(wèn)連接測(cè)試在 Packet Tracer 模擬 VPN 連接設(shè)置如圖 64 所示。圖 64 VPN 連接設(shè)置第六章 遠(yuǎn)程訪問(wèn)模塊40在 Packet Tracer 模擬 VPN 連接測(cè)試結(jié)果如圖 65 所示。圖 65 VPN 連接結(jié)果總 結(jié)41總 結(jié)本企業(yè)網(wǎng)設(shè)計(jì)中，我們從交換模塊、Inter 接入模塊、遠(yuǎn)程訪問(wèn)模塊三個(gè)部分進(jìn)行設(shè)計(jì)。交換模塊我們根據(jù)各部門職能不同劃分了 12 個(gè) VLAN，各部門 VLAN 被劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，通過(guò)啟動(dòng)三層交換機(jī)路由功能同時(shí)設(shè)置 ACL，還可以用于控制網(wǎng)絡(luò)中不同部門間的互相訪問(wèn)。同時(shí)為服務(wù)器群?jiǎn)为?dú)創(chuàng)建了一個(gè)VLAN 7，方便員工訪問(wèn)內(nèi)部資源。Inter 接入模塊通過(guò)設(shè)置路由器的 NAT，使企業(yè)內(nèi)部員工可以訪問(wèn)Inter,對(duì)于 Inter 隱藏了內(nèi)部網(wǎng)的 IP 地址,提高了安全性。通過(guò)設(shè)置路由器的 ACL，限制 Inter 對(duì)企業(yè)內(nèi)部網(wǎng)的訪問(wèn)，增強(qiáng)了網(wǎng)絡(luò)安全性。遠(yuǎn)程訪問(wèn)模塊是為在外辦公的移動(dòng)用戶設(shè)計(jì)的，采用 Cisco Easy VPN 技術(shù),讓路由器充當(dāng) Easy VPN Server 并對(duì)路由器進(jìn)行相關(guān)設(shè)置。而客戶端只需下載Cisco Easy VPN Client 軟件根據(jù)提示操作即可完成對(duì)企業(yè)網(wǎng)的遠(yuǎn)程訪問(wèn)。參考文獻(xiàn)42參考文獻(xiàn)1. James F. Kurose amp。 Keith W. Ross，陳鳴譯，計(jì)算機(jī)網(wǎng)絡(luò)—自頂向下方法（第 4 版） ，北京：機(jī)械工業(yè)出版社，2022。 Deal，邢京武譯，CCNA 學(xué)習(xí)指南，人民郵電出版社，2022。 李立軍，電子工業(yè)出版社，2022。、李文俊，網(wǎng)絡(luò)硬件搭建與配置實(shí)踐，電子工業(yè)出版社，2022。5. 謝希仁，計(jì)算機(jī)網(wǎng)絡(luò)（第 5 版） ，北京：電子工業(yè)出版社，2022。6. 王鳳英，計(jì)算機(jī)網(wǎng)絡(luò)，北京：清華大學(xué)出版社，2022。7. 銳捷公司路由器、交換機(jī)隨機(jī)手冊(cè)。致 謝43致 謝在此要感謝我的指導(dǎo)老師程震對(duì)我悉心的指導(dǎo)，感謝老師給我的幫助。在設(shè)計(jì)過(guò)程中，我通過(guò)查閱大量有關(guān)資料，與同學(xué)交流經(jīng)驗(yàn)和自學(xué)，并向老師請(qǐng)教等方式，使自己學(xué)到了不少知識(shí)，也經(jīng)歷了不少艱辛，但收獲同樣巨大。在整個(gè)設(shè)計(jì)中我懂得了許多東西，也培養(yǎng)了我獨(dú)立工作的能力，樹(shù)立了對(duì)自己工作能力的信心，相信會(huì)對(duì)今后的學(xué)習(xí)工作生活有非常重要的影響。而且大大提高了動(dòng)手的能力，使我充分體會(huì)到了在創(chuàng)造過(guò)程中探索的艱難和成功時(shí)的喜悅。本人 2022 年的畢業(yè)設(shè)計(jì)，索取在 Cisco Packet Tracer 上的網(wǎng)絡(luò)模擬拓?fù)鋱D請(qǐng)聯(lián)系 VISIO 版供編輯。雖然這個(gè)設(shè)計(jì)做的也不太好，但是在設(shè)計(jì)過(guò)程中所學(xué)到的東西是這次畢業(yè)設(shè)計(jì)的最大收獲和財(cái)富，使我終身受益