【正文】 p any any eq snmp //對外禁用 snmpR2811A (config)accesslist 101 deny udp any any eq snmptrap //對外禁用 snmptrap第五章 Inter 接入模塊33 對外屏蔽其他不安全的協(xié)議或服務(wù)這樣的協(xié)議主要有 SUN OS 的文件共享協(xié)議端口 2049，遠程執(zhí)行（rsh ） 、遠程登錄（rlogin）和遠程命令（rcmd）端口 5151514，遠程過程調(diào)用（SUNRPC）端口 111。可以將針對以上協(xié)議綜合進行設(shè)計，如下所示。R2811A (config)accesslist 101 deny tcp any any range 512 514 //屏蔽遠程執(zhí)行、遠程登錄和遠程命令R2811A (config)accesslist 101 deny udp any any eq 111 針對 DoS 攻擊的設(shè)計DoS 攻擊（Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進程停止，嚴(yán)重時會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。 R2811A (config)accesslist 101 deny icmp any any eq echorequestR2811A (config)accesslist 101 deny udp any any eq echoR2811A (config)accesslist 101 permit ip any any//將 ACL 應(yīng)用于 f0/0 接口R2811A (config)int f0/0R2811A (configif)ip accessgroup 101 in保護企業(yè)網(wǎng)免受攻擊，路由器的安全就顯得十分重要，有條件的話可以在買一個專業(yè)防火墻，然后配置它。或者直接在路由器上配置訪問控制列表（ACL） ，在一定程度上限制外網(wǎng)訪問。第六章 遠程訪問模塊34第六章 遠程訪問模塊遠程訪問是只對企業(yè)內(nèi)部網(wǎng)絡(luò)進行連接的人員，不是通過企業(yè)辦公地點的網(wǎng)絡(luò)線路進行，遠程訪問一般是為出差人員、外地小型辦公機構(gòu)設(shè)立。雖然這些人不在企業(yè)所在地，但通過遠程訪問，仍能夠與企業(yè)聯(lián)系，訪問企業(yè)的數(shù)據(jù)，取得企業(yè)的文件，接收自己的電子郵件，因此與企業(yè)的聯(lián)系依然存在。遠程訪問使得企業(yè)人員無論身處何地，只需一條電話線，就如同企業(yè)就在身邊。當(dāng)一個人出差在外遇到問題時，他可以通過遠程訪問連接到企業(yè)網(wǎng)上，得到企業(yè)的最新信息。即使出差工作中遇到了較大的難題，他也能夠?qū)栴}和有關(guān)參數(shù)、數(shù)據(jù)通過遠程訪問傳遞到企業(yè)，企業(yè)組織力量快速解決問題后，把結(jié)果傳送回出差人員，使得出差人員不必再次往返，既節(jié)約了時間，也省去了奔波勞累和旅行費用，提高工作的效率。遠程訪問模塊模擬圖如圖 61 所示。圖 61 遠程訪問模擬圖 IPSec 遠程接入 EVS 設(shè)置 配置過程在 EVS 路由器上設(shè)置 IPSec 遠程接入時，需要執(zhí)行以下基本任務(wù)：第六章 遠程訪問模塊35任務(wù) 1—為設(shè)備的認(rèn)證和用戶認(rèn)證（XAUTH）定義 AAA 策略（預(yù)共享密鑰和 RSA 簽名） ；任務(wù) 2—為遠程客戶端定義組信息，包括組策略；任務(wù) 3—建立 IKE 階段 1 策略；任務(wù) 4—建立動態(tài)加密映射，用于遠程接入連接；任務(wù) 5—建立靜態(tài)加密映射，包括動態(tài)加密映射作為一個條目（靜態(tài)加密映射引用動態(tài)加密映射） ；任務(wù) 6—驗證配置，確保客戶端連接時正確的； 認(rèn)證策略要為遠程接入執(zhí)行客戶端認(rèn)證，可以讓路由器在本地執(zhí)行 XAUTH 認(rèn)證，首先要激活 AAA，而后設(shè)置 AAA 認(rèn)證和授權(quán)，同時還需要為每一個用戶配置用戶名和密碼。R2811AenR2811Aconfig tR2811A(config)aaa newmodel //激活路由器 AAAR2811A(config)username wang secret wang //為每位用戶設(shè)置用戶名密碼R2811A(config)username zhang secret zhangR2811A(config)aaa authentication login vpnauthenticate local//設(shè)置 AAA 認(rèn)證R2811A(config)aaa authorization work vpngroup1 local//設(shè)置 AAA 授權(quán)第六章 遠程訪問模塊36 設(shè)置組策略在設(shè)置了認(rèn)證策略后，我們可以定義用戶的組策略。R2811A(config)ip local pool remotepool //定義分配給遠程接入客戶端的地址池 到 R2811A(config)crypto isakmp client configuration group vpngroup1 //建立遠程接入組 vpngroup1R2811A(configisakmpgroup)pool remotepoolR2811A(configisakmpgroup)key myvpnkey //設(shè)置預(yù)共享密鑰 myvpnkeyR2811A(configisakmpgroup)exit IKE 階段 1 策略在定義了遠程接入組后，可以進行 IKE 階段 1 策略配置了。該策略要與遠程接入組中的客戶端的 VPN 能力相匹配R2811A(config)crypto isakmp policy 10R2811A(configisakmp)anthentication preshareR2811A(configisakmp)encryption 3desR2811A(configisakmp)hash md5 R2811A(configisakmp)group 2 //DH 組 2 密鑰R2811A(configisakmp)exitR2811A(config)crypto isakmp keepalive 20 10 R2811A(config)crypto isakmp xauth timeout 45 第六章 遠程訪問模塊37//XAUTH 認(rèn)證時間周期改為 45 秒 動態(tài)加密映射R2811A(config)cryto ipsec transformset easyclients esp3des espshahmac //建立變換集R2811A(config)cryto dynamicmap dynamic_map 10//建立動態(tài)加密映射，并為遠程接入客戶端指定變換集R2811A(configcrytomap)set transformset easyclientsR2811A(configcrytomap)exit 靜態(tài)加密映射R2811A(config)cryto map static_map client authentication list Vpnauthenticate //將 VPN 認(rèn)證列表（vpnauthenticate）綁定到靜態(tài)加密映射R2811A(config)cryto map static_map client authorization list vpngroup1 //將遠程接入組 vpngroup1 關(guān)聯(lián)到靜態(tài)加密映射R2811A(config)cryto map static_map client client configuration address respond //響應(yīng) IKE 模式的請求，并將他們初始化到客戶端R2811A(config)cryto map static_map 100 ipsecisakmp dynamic dynamic_map //遠程接入動態(tài)加密映射在靜態(tài)加密映射中被引用R2811A(config)int f0/0R2811A(configif) crypto map static_map //在路由器 f0/0 端口激活靜態(tài)映射第六章 遠程訪問模塊38 IPSec 遠程接入 EVC 設(shè)置下載 Cisco EasyVPN Client 軟件安裝，打開主界面如圖 62 所示。圖 62 Cisco EasyVPN Client 主界面點擊“new”創(chuàng)建一個新條目，打開界面如圖 63 所示。圖 63 新建 VPN 連接第六章 遠程訪問模塊39設(shè)置 Easy VPN Server 的 IP 地址以及組名和對應(yīng)的 preshare key因為本 VPN 設(shè)計設(shè)置了 Xauth 擴展認(rèn)證，在連接的過程中會提示輸入用戶名和口令。 VPN 訪問連接測試在 Packet Tracer 模擬 VPN 連接設(shè)置如圖 64 所示。圖 64 VPN 連接設(shè)置第六章 遠程訪問模塊40在 Packet Tracer 模擬 VPN 連接測試結(jié)果如圖 65 所示。圖 65 VPN 連接結(jié)果總 結(jié)41總 結(jié)本企業(yè)網(wǎng)設(shè)計中，我們從交換模塊、Inter 接入模塊、遠程訪問模塊三個部分進行設(shè)計。交換模塊我們根據(jù)各部門職能不同劃分了 12 個 VLAN，各部門 VLAN 被劃分為多個廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點外，通過啟動三層交換機路由功能同時設(shè)置 ACL，還可以用于控制網(wǎng)絡(luò)中不同部門間的互相訪問。同時為服務(wù)器群單獨創(chuàng)建了一個VLAN 7，方便員工訪問內(nèi)部資源。Inter 接入模塊通過設(shè)置路由器的 NAT，使企業(yè)內(nèi)部員工可以訪問Inter,對于 Inter 隱藏了內(nèi)部網(wǎng)的 IP 地址,提高了安全性。通過設(shè)置路由器的 ACL，限制 Inter 對企業(yè)內(nèi)部網(wǎng)的訪問，增強了網(wǎng)絡(luò)安全性。遠程訪問模塊是為在外辦公的移動用戶設(shè)計的，采用 Cisco Easy VPN 技術(shù),讓路由器充當(dāng) Easy VPN Server 并對路由器進行相關(guān)設(shè)置。而客戶端只需下載Cisco Easy VPN Client 軟件根據(jù)提示操作即可完成對企業(yè)網(wǎng)的遠程訪問。參考文獻42參考文獻1. James F. Kurose amp。 Keith W. Ross，陳鳴譯，計算機網(wǎng)絡(luò)—自頂向下方法（第 4 版） ，北京：機械工業(yè)出版社，2022。 Deal，邢京武譯，CCNA 學(xué)習(xí)指南，人民郵電出版社，2022。 李立軍，電子工業(yè)出版社，2022。、李文俊，網(wǎng)絡(luò)硬件搭建與配置實踐，電子工業(yè)出版社，2022。5. 謝希仁，計算機網(wǎng)絡(luò)（第 5 版） ，北京：電子工業(yè)出版社，2022。6. 王鳳英，計算機網(wǎng)絡(luò)，北京：清華大學(xué)出版社，2022。7. 銳捷公司路由器、交換機隨機手冊。致 謝43致 謝在此要感謝我的指導(dǎo)老師程震對我悉心的指導(dǎo)，感謝老師給我的幫助。在設(shè)計過程中，我通過查閱大量有關(guān)資料，與同學(xué)交流經(jīng)驗和自學(xué)，并向老師請教等方式，使自己學(xué)到了不少知識，也經(jīng)歷了不少艱辛，但收獲同樣巨大。在整個設(shè)計中我懂得了許多東西，也培養(yǎng)了我獨立工作的能力，樹立了對自己工作能力的信心，相信會對今后的學(xué)習(xí)工作生活有非常重要的影響。而且大大提高了動手的能力，使我充分體會到了在創(chuàng)造過程中探索的艱難和成功時的喜悅。本人 2022 年的畢業(yè)設(shè)計，索取在 Cisco Packet Tracer 上的網(wǎng)絡(luò)模擬拓?fù)鋱D請聯(lián)系 VISIO 版供編輯。雖然這個設(shè)計做的也不太好，但是在設(shè)計過程中所學(xué)到的東西是這次畢業(yè)設(shè)計的最大收獲和財富，使我終身受益