【正文】 R1 （ config） accesslist 140 permit tcp any eq 80 R1 (config)accesslist 140 permit tcp any eq 443 R1 (config)accesslist 140 permit tcp any eq ftp 此訪問控制列表的效果是除了允許對 服務器 ()的 HTTP、 HTTPS端口以 及 FTP服務器 ()的 FTP端口的訪問外，別的訪問都將會被阻止。 然后將兩個訪問列表分別應用到 邏輯接口的 出口上： S1 (config)int fastether 0/1 /*將號碼為 102的訪問控制列表應用到fastether 0/1上 S1 (configif)ip accessgroup 102 out NAT 的應用 實例中的使用的路由器是 cisco 2811，接入電信的接口為： serial 1/0， IP地址為：，接入內網(wǎng)的接口為： serial 1/1， ip地址為： 。 S1 (config) ip domainname /*配置 SSH加密的域名 S1(config)crypto key generate rsa /*通過 SSH加密隨機生成密匙 S1(config)username student privilege 15 secret cisco /*配置登陸用戶名和密碼，并且對于 student用戶設置權限為最高級 15級，密碼為cisco。 VLAN的劃分可以隔離廣播，同時可以采用訪問控制列表來對每個 VLAN進行 控制。 (4).將交換機端口劃入 VLAN S1 (config)ingterface fastether 0/6 /*配置端口 6 S1 (config)switchport access vlan64 /*歸屬 guanli VLAN S1 (config)ingterface fastether 0/8 /*配置端口 8 S1 (config)switchport access vlan65 /*歸屬 fuwuqi1VLAN ?? (5).配置三層交換 VLAN劃分完畢后， VLAN間實現(xiàn)三層（網(wǎng)絡層）交換時就要給各 VLAN分配網(wǎng)絡（ IP）地址了。 核心交換機配置如下： S1 (config)interface range fastether 0/2 3 S1 (configif)switchport mode trunk /*配置 fastether0/2和 fastether0/3為中繼接口 S1 (configif)switchport trunk encapsulation dot1q /*配置 trunk封裝 dot1q，這是默認的封裝，故可以省略 分支交換機端配置如下： S2 (config)interface fastether 0/5 S2 (config)switchport mode trunk 湖南鐵路科技職業(yè)技術學院畢業(yè)設計（論文） 第 3章 校園網(wǎng)設計及安全方案實現(xiàn) 22 S2 (config)switchport trunk encapsulation dot1q ?? 此時，管理域算是設置完畢了。 S1 (config)vtp domain abc /*設置 vtp管理域名稱 S1 (config)vtp password cisco /*設置 vtp管理域密碼 S1 (config)vtp mode server /*設置交換機為 vtp服務器模式 S1 (config)vtp domain abc /*設置 vtp管理域名稱 S1 (config)vtp password cisco /*設置 vtp管理域密碼 S1 (config)vtp mode client /*設置交換機為 vtp服務器模式 ?? 這里設置交換機為 Server模式是指允許在本交換機上創(chuàng)建、修改、刪除 VLAN及其他一些對整個 VTP域的配置 參數(shù) ，同步本 VTP域中其他交換機傳遞來的最新的 VLAN信息 。先在 VTP（ VLAN Trunking Protocol） sever上建立 VLAN，然后將每個端口分配給相應的 湖南鐵路科技職業(yè)技術學院畢業(yè)設計（論文） 第 3章 校園網(wǎng)設計及安全方案實現(xiàn) 21 VLAN。 R1 enable /*由用戶模式進入特權模式 R1 configure terminal /*由特權模式進入全局配置模式 R1 (config) enable secret cisco /*配置特權模式密碼為 cisco Router(config)line console 0 Router(configline)password cisco /*配置登陸 console口的密碼為 cisco Router(configline)login /*啟用登入檢測 Router(configline)line vty 0 4 Router(configline)password cisco /*配置 tel的密碼為 cisco Router(configline)login /*啟用登入檢測 Router(config)service passwordencryption /*對配置的密碼進行加密，這樣 用 show run 看到的都是加密后的密文。接入層采用的是： cisco 2960。同時可管理的設備加強整個校園網(wǎng)的安全性和可擴展性。在過去的幾年中校園網(wǎng)經(jīng)常出現(xiàn)病毒泛濫和斷線等情況，由于設備的落后，出現(xiàn)問題后不能及時找到問題源頭，給廣大師生帶來了一定的影響。 湖南鐵路科技職業(yè)技術學院畢業(yè)設計（論文） 第 3章 校園網(wǎng)設計及安全方案實現(xiàn) 17 學院的網(wǎng)絡平臺和應用系統(tǒng)都有了一定的基礎，在教學、科研、實訓、研究、辦公都已得到廣泛的應用。 (6).應用多種網(wǎng)絡設備和網(wǎng)絡技術實現(xiàn)校園網(wǎng)絡的基本安全。 (2).同時支持約 2021用戶瀏覽 Inter。 校園網(wǎng) 建設 是一項長期的工程，除建設和實施工程外，還有運行管理、維護和發(fā)展的任務。運行的是 Cisco的 Integrated IOS操作系統(tǒng) 。 湖南鐵路科技職業(yè)技術學院畢業(yè)設計（論文） 第 3章 校園網(wǎng)設計及安全方案實現(xiàn) 15 （ 1） .訪問層交換機 Cisco Catalyst 2950 24口 交換機 （ WSC295024）。如果要做到 IP 與 MAC 地址的綁定只能按照方案 3 來實現(xiàn)，可根據(jù)需求將方案 1 或方案 2 與 IP 訪問控制列表結合起來使用以達到自己想要的效果。 （ 1） . 通過 IP 查端口 （ 2） . ip 與 mac 地址的綁定，這種綁定可以簡單有效的防止 ip 被 盜用，別人將 ip改成了你綁定了 mac 地址的 ip 后，其網(wǎng)絡不同，（ tcp/udp 協(xié) 議不同，但 bios 網(wǎng)絡共項可以訪問），具體做法： 方案一： 基于端口的 MAC 地址綁定 S1(config) Interface fastether 0/1 ＃進入具體端口配置模式 S1(configif)Switchport portsecruity ＃配置端口安全模式 S1(configif) switchport portsecurity macaddress MAC(主機的 MAC 地址 ) ＃配置該端口要綁定的主機的 MAC 地址 注意： 以上命令設置交換機上某個端口綁定一個具體的 MAC 地址，這樣只有這個主機可以使用網(wǎng)絡，如果對該主機的網(wǎng)卡進行了更換或者其他 PC 機想通過這個端口使用網(wǎng)絡都不可用，除非刪除或修改該端口上綁定的 MAC 地址，才能正常使用。終端設備可以使用此信息判斷邏 輯連接是否能夠傳遞數(shù)據(jù)。 （ 3） .本地管理接口 (LMI)： 大體而言， LMI 是一種 keepalive（保持連接）的機制，提供路由器 (DTE) 和幀中繼交換機 (DCE) 之間的幀中繼連接的狀態(tài)信息。利用虛電路，幀中繼允許多個用戶共享帶寬，而無需使用多條專用物理線路，便可在任意站點間實現(xiàn)通信。 鏈路層組件定義在 DTE 設備（例如路由器）和 DCE 設備（例如交換機）之間建立連接的協(xié)議。更重要的是，與私有 或租用線路相比，幀中繼提供更高的帶寬、可靠性和彈性。大型企業(yè)、政府、 ISP 和小公司紛紛選用幀中繼，主要是因為幀中繼具有成本低、靈活性高的優(yōu)點。 湖南鐵路科技職業(yè)技術學院畢業(yè)設計（論文） 第 3章 校園網(wǎng)設計及安全方案實現(xiàn) 9 因為 IPSec協(xié)議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，這包括如加密運算法則和身份驗證方法類型等。 例子如圖 — 1所示 ： 圖 — 1 r1(config)int f0/0 r1(configif)ip add r1(configif)no shu r1(configif)int f1/0 r1(configif)ip add r1(configif)no shu r1(config)ip route 做一條默認路由使全網(wǎng)互通 r1(config)crypto isakmp policy 1 r1(configisakmp)authentication preshare 啟用定義共享密鑰 r1(configisakmp)encryption 3des 加密使用 3DES算法 r1(configisakmp)hash md5 驗證密鑰使用 MD5雜湊算法 r1(config)crypto isakmp key 0 123 address 設置共享密鑰為 123和對 湖南鐵路科技職業(yè)技術學院畢業(yè)設計（論文） 第 3章 校園網(wǎng)設計及安全方案實現(xiàn) 7 端地址 r1(config)crypto isakmp transformset zhao ahmd5h esp3des 傳輸模式名為 zhao驗證為 md5加密為 3des r1(config)accresslist 101 permit ip 配置 ACL r1(config)crypto map jin 1 ipsecisakmp 創(chuàng)建 crypto map名字為 jin r1(configcryptomap)set peer 指定鏈路對端 IP地址 r1(configcryptomap)set transfromset zhao 指定傳輸模式 zhao r1(configcryptomap)match address 101 指定應用訪控列表 r1(config)int f0/0 r1(config)crypto map jin 應用到接口 r2(config)int f0/0r2(configif)ip add r2(configif)no shut r2(configif)int f1/0 r2(configif)ip add r2(configif)no shut r2(config)ip route 做一條默認路由使全網(wǎng)互通 r2(config)crypto isakmp policy 1 r2(configisakmp)authentication preshare 啟用定義共享密鑰 r2(configisakmp)encryption 3des 加密使用 3DES算法 r2(configisakmp)hash md5 驗證密鑰使用 MD5雜湊算