3. 配置接入路由器InternetRouter的路由功能
InternetRouter (config)#ip route 0.0.0.0 0.0.0.0 serial0/0
InternetRouter (config)#ip route 192.168.0.0 255.255. 248.0 192.168.0.3 /
InternetRouter (config)#ip route 192.168.100.0 255.255. 255.0 192.168.0.3
/定义到校园网内部的路由
4. 配置接入路由器InternetRouter上的NAT
为了接入Internet,本校园网向当地ISP申请了9个IP地址。其中一个IP地址:193.1.1.1被分配给了Internet接入路由器的串行接口,另外8个IP地址:202.206.222.1~202.206.222.8用作NAT。
InternetRouter (config)#interface fastethernet 0/0
InternetRouter (config-if)#ip nat inside
InternetRouter (config-if)#interface serial 0/0
InternetRouter (config-if)#ip nat outside /定义NAT内部、外部接口
InternetRouter (config)#ip access-list 1 permit 192.168.0.0 0.0.7.255
InternetRouter (config)#ip access-list 1 permit 192.168.100.0 0.0.0.255
InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.1
InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.2
InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.3
…… / 为服务器定义静态地址转换
InternetRouter (config)#ip nat inside source list 1 interface serial 0/0 overload
/ 为工作站定义复用地址转换
5. 配置接入路由器InternetRouter上的安全访问ACL
1. 路由器是外网进入校园网内网的第一道关卡,是网络防御的前沿阵地。路由器上的访问控制列表(Access Control List,ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于校园网内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对校园网内网包括防火墙本身实施保护。
在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计:
对外屏蔽简单网管协议,即SNMP. 利用这个协议,远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型:SNMP和SNMPTRAP。
设置对外屏蔽简单网管协议SNMP:
InternetRouter (config) #ip route 192.168.0.0 255.255.248.0 192.168.0.3
InternetRouter (config)#ip route 192.168.100.0 255.255.255.0 192.168.0.3
2. 对外屏蔽远程登录协议telnet. 首先,telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。其次,telnet可以登录到大多数网络设备和UNIX服务器,并可以使用相关命令完全操纵它们。这是极其危险的,因此必须加以屏蔽。
屏蔽远程登录协议telne
InternetRouter (config)#ip access-list 101 deny tcp any eq telnet
InternetRouter (config)#ip access-list 101 permit ip any any
3. 对外屏蔽其它不安全的协议或服务. 这样的协议主要有SUN OS的文件共享协议端口2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用(SUNRPC)端口111。可以将针对以上协议综合进行设计
InternetRouter (config)#ip access-list 101 deny tcp any any range 512 514
InternetRouter (config)#ip access-list 101 deny tcp any any eq 111
InternetRouter (config)#ip access-list 101 deny udp any any eq 111
InternetRouter (config)#ip access-list 101 deny tcp any any range 2049
InternetRouter (config)#ip access-list 101 permit ip any any
4. 针对DoS攻击的设计. DoS攻击(Denial of Service Attack,拒绝服务攻击)是一种非常常见而且极具破坏力的攻击手段,它可以导致服务器、网络设备的正常服务进程停止,严重时会导致服务器操作系统崩溃。
InternetRouter (config)#ip access-list 101 deny icmp any any eq echo-requset
InternetRouter (config)#ip access-list 101 deny udp any any eq echo
InternetRouter (config)#interface serial 0/0
InternetRouter (config-if)#ip access-group 101 m
InternetRouter (config-if)#interface fastethernet 0/0
InternetRouter (config-if)#no ip directed-broadcast
5. 保护路由器自身安全. 作为内网、外网间屏障的路由器,保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器,必须对路由器的访问位置加以限制。应只允许来自服务器群的IP地址访问并配置路由器。这时,可以使用ACCESS-CLASS命令进行VTY访问控制
InternetRouter (config)#line vty 0 4
InternetRouter (config-line)#access-class 2 in
InternetRouter (config-line)#exit
InternetRouter (config-line)#access-list 2 permit 192.168.100.0 0.0.0.255
InternetRouter (config)#ip classless /对无类别网络以及全零子网的支持
InternetRouter (config)#ipsubnet-zero
五 远程访问模块设计
远程访问也是园区网络必须提供的服务之一。
远程访问服务
远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。在本设计中,由于面对的用户群规模、业务量较小,所以采用了异步拨号连接作为远程访问的技术手段。
异步拨号连接属于电路交换类型的广域网连接,它是在传统公共交换电话网(Public Switched Telephone Network,PSTN)上提供服务的。传统PSTN提供的服务也被称为简易老式电话业务(Plan Old Telephone System,POTS)。因为目前存在着大量安装好的电话线,所以这样的环境是最容易满足的。因此,异步拨号连接也就成为最为方便和普遍的远程访问类型。
广域网连接可以采用不同类型的封装协议,如HDLC、PPP等。其中,PPP除了提供身份认证功能外,还可以提供其他很多可选项配置,包括链路压缩、多链路捆绑、回叫等,因此更具优势。也是本设计所采用的异步连接封装协议。
在本设计中采用了可以集成在广域网接入路由器InternetRotuer中的异步Modem模块NM-16AM(8Port Analog Modem Network Module)提供远程访问服务。它可以同时对最多16路拨号用户提供远程接入服务。
配置异步拨号模块NM-16AM的步骤:
1.配置物理线路的基本参数
对物理线路的配置包括配置线路速度(DTE、DCE之间的速率)、停止位位数、流控方式、允许呼入连接的协议类型、允许流量的方向等.
InternetRouter (config)#line 97
InternetRouter (config-line)#moderm InOur
InternetRouter (config-line)#transport input all
InternetRouter (config-line)#stopbits
InternetRouter (config-line)#speed 115200
InternetRouter (config-line)#flowcontrol hardware
2. 配置接口基本参数
对接口基本参数的配置包括:接口封装协议类型、接口异步模式、IP地址、为远程客
上一页 [1] [2] [3] [4] [5] [6] [7] 下一页