【正文】 static （ 4）為其他工作站定義復用地址轉換 ^Cisco3660(config)ip nat inside source list 1 interface serial 0/0 overload 配置接入路由器 Cisco3660 上的 ACL .r amp。 路由器是外網(wǎng)進入 企業(yè) 網(wǎng)內網(wǎng)的第一道關卡，是網(wǎng)絡防御的前沿陣地。路由器上的訪問控制列表（ Access Control List， ACL）是保護內網(wǎng)安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網(wǎng)絡流量、流向的作用，還可以在不增加網(wǎng)絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內網(wǎng)和外網(wǎng)之間 ，是外網(wǎng)與內網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對企業(yè)內網(wǎng)包括防火墻本身實施保護 。 在網(wǎng)絡環(huán)境中還普遍存在著一些非常重要的、影響服務器群安全的隱患。在絕大多數(shù)網(wǎng)絡環(huán)境的實現(xiàn)中它們都是應該對外加以屏蔽的。主要應該做以下的 ACL 設計： （ 1） 對外屏蔽遠程登錄協(xié)議 tel 首先， tel 是一種不安全的協(xié)議類型。用戶在使用 tel 登錄網(wǎng)絡設備或服務器時所使用的用戶名和口令在網(wǎng)絡中是以明文傳輸?shù)?，很容易被網(wǎng)絡上的非法協(xié)議分析 設備截獲。 其次， tel 可以登錄到大多數(shù)網(wǎng)絡設備和 UNIX 服務器，并可以使用相關命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。 Cisco3660(config)accesslist 101 deny tcp and eq tel Cisco3660(config)accesslist 101 permit ip any any （ 2） 對外屏蔽其它不安全的協(xié)議或服務 這樣的協(xié)議主要有 SUN OS 的文件共享協(xié)議端口 2049，遠程執(zhí)行（ rsh）、遠程登錄（ rlogin）和遠程命令（ rcmd） 端口 51 51 514，遠程過程調用（ SUNRPC）端口 111?？梢詫⑨槍σ陨蠀f(xié)議綜合進行設計，如 下 所示。 Cisco3660(config)accesslist 101 deny tcp any any range 512 514 Cisco3660(config)accesslist 101 deny tcp any any eq 111 Cisco3660(config)accesslist 101 deny udp any any eq 111 Cisco3660(config)accesslist 101 deny tcp any any range 2049 Cisco3660(config)accesslist 101 permit ip any any 遠程訪問也是園區(qū)網(wǎng)絡必須提供的服務之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務。 如圖 35 所示 圖 35 遠程訪問有三種可選的服務類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務質量不同，花費也不相同。在本設計中，由于面對的用戶群規(guī)模、業(yè)務量較小，所以采用了異步撥 號連接作為遠程訪問的技術手段。 異步撥號連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換電話網(wǎng)（ Public Switched Telephone Network， PSTN）上提供服務的。傳統(tǒng) PSTN 提供的服務也被稱為簡易老式電話業(yè)務（ Plan Old Telephone System， POTS）。因為目前存在著大量安裝好的電話線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號連接也就成為最為方便和普遍的遠程訪問類型。 廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如 HDLC、 PPP 等。其中， PPP 除了提供身份認 證功能外，還可以提供其他很多可選項配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢。也是本設計所采用的異步連接封裝協(xié)議。 配置接口基本參數(shù) 對接口基本參數(shù)的配置包括：接口封裝協(xié)議類型、接口異步模式、 IP 地址、為遠程客戶分配 IP 地址的方式等。這里，設置遠程客戶從 IP 地址池 rasclients中獲得 IP 地址。 Router(config)hostname RAS RAS(config)interface async97 RAS(configif)ip address RAS(configif)clock rate 64000 RAS(configif)encapsulation ppp RAS(configif)async mode dedicated RAS(configif)peer default ip address poor rasclients 接下來，需要建立一個本地的 IP 地址池。如下所示，建立了一個名為rasclients 的 IP 地址池。其 IP 地址范圍是： ～ 。 RAS(config)ip local pool rasclients 配置身份認證 PPP 提供了兩種可選的身份認證方法：口令驗證協(xié)議 PAP（ Password Authentication Protocol， PAP）和質詢握手協(xié)議（ Challenge Handshake Authentication Protocol， CHAP）。 PAP 是一個簡單的、實用的身份驗證協(xié)議。 PAP 認證進程只在雙方的通信鏈路建立初期進行。如果認證 成功，在通信過程中不再進行認證。如果認證失敗，則直接釋放鏈路。 CHAP 認證比 PAP 認證更安全，因為 CHAP 不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過摘要算法加工過的隨機序列，也被稱為 挑戰(zhàn)字符串 。如圖 1415 所示。同時，身份認證可以隨時進行，包括在雙方正常通信過程中。因此，非法用戶就算截獲并成功破解了一次密碼，此密碼也將在一段時間內失效。 CHAP 對端系統(tǒng)要求很高，因為需要多次進行身份質詢、響應。這需要耗費較多的 CPU 資源，因此只用在對安全要求很高的場合。 PAP 雖然有著用戶名和密碼是明文發(fā)送的弱點，但是 認證只在鏈路建立初期進行，因此節(jié)省了寶貴的鏈路帶寬。 本設計中將采用 PAP 身份認證方法。 （ 1）建立本地口令數(shù)據(jù)庫 RAS(config)username remoteuser password userpwd （ 3） 設置進行 PAP 認證 RAS(config)interface serial 0/0 RAS(config)ppp authentication pap 由于本 畢業(yè)設計 主要是在 Cisco 環(huán)境下，所以把服務器這塊省略掉了。 僅給出圖片 ，如圖 36 所示 圖 36 的模擬 由于本 畢業(yè)設計 主要是在 模擬 環(huán)境下 完成的 ， 所以 Inter 也是通過一臺路由器來完成的 ， 以 ping 通 loopback0 接口為 驗成功的標準。大家可以根據(jù)學校具體實驗設備來搭建實驗環(huán)境 。 實驗如圖 37 所示。 圖 37 只給路由器的配置，具體不解釋 Routerenable Routerconfigure terminal Router(config)hostname R1 Router(config)interface s0/2 Router(configif)clock rate 64000 Router(configif)ip address Router(configif)exit Router(config)interface loopback0 Router(configif) （其他、測試） 前面，我們對如何設計一個較為完整的 企業(yè) 網(wǎng)網(wǎng)絡 進行了詳細的介紹。當 企業(yè) 網(wǎng)初具規(guī)模后，還應該對 企業(yè) 網(wǎng)的整體運行情況做一下細致的測試和評估。 主要的測試內容應該包括： 對管理 IP 地址的測試。 對相同 VLAN 內的通信進行測試。 對不同 VLAN 內的通信進行測試。 對冗余鏈路的工作狀態(tài)進行測試。 對廣域網(wǎng)接入路由器上的 NAT 進行測試。 對廣域網(wǎng)接入路由器上的 ACL 進行測試。 對遠程訪問服務進行測試。 對各種服務器提供的服務進行測試。 至于具體的測試步驟，限于篇幅這里不再贅述。 需要說明的是，一個完整的 企業(yè) 網(wǎng)網(wǎng)絡系統(tǒng)設計不僅包含上述設備，還應該有計費系統(tǒng)、防火墻 系統(tǒng)、入侵檢測系統(tǒng)等組成部分。限于 所學知識所限制 ，在此不 再進一步分析。 、診斷命令 在本章的最后，我們按不同的功能按每種技術分類，給出相關的測試、診斷命令