配置广域网接入模块

学 习 情 境
任务实施 ２.配置接入路由器InternetRouter的路由功能
对接入路由器InternetRouter上需要定义两个方向上的路由，分别为到校园网内部的静态路由以及到Internet 上的默认路由。 到Internet上的默认路由是一条缺省路由，其下一跳指定从本路由器的接口fastethernet 1/0送出。 InternetRouter(Config)# ip route 0.0.0.0 0.0.0.0 fastethernet 1/0 到校园网内部的静态路由（也可以汇总为一条路由） InternetRouter(Config)# ip route 192.168.11.0 255.255.255.0 172.16.1.1 InternetRouter(Config)# ip route 192.168.12.0 255.255.255.0 172.16.1.1 InternetRouter(Config)# ip route 192.168.13.0 255.255.255.0 172.16.1.1
境
InternetRouter(Config)# access-list 101 deny icmp any any eq
echo-request
InternetRouter(Config)# access-list 101 deny udp any any eq echo
InternetRouter(Config)# access-list 101 permit ip any any
学 习 情 境
配置广域网接入模块
任务实施 ３.配置接入路由器InternetRouter上的NAT
（1）定义NAT内部、外部接口 InternetRouter(Config)# interface fastethernet 0/0 InternetRouter(Config-if)# ip nat inside InternetRouter(Config-if)# interface fastethernet 1/0 InternetRouter(Config-if)# ip nat outside （2）定义允许进行NAT的内部局部地址IP地址范围 InternetRouter(Config)# access-list 10 permit 192.168.11.0 0.0.0.255 InternetRouter(Config)# access-list 10 permit 192.168.12.0 0.0.0.255 InternetRouter(Config)# access-list 10 permit 192.168.13.0 0.0.0.255 （3）定义允许进行NAT的内部全局地址IP地址范围，地址池名为：dflg InternetRouter(Config)# ip nat pool dflg 200.1.1.3 200.1.1.6 netmask 255.255.255.0 （4）为服务器定义静态地址转换 InternetRouter(Config)# ip nat inside source static tcp 192.168.13.254 80 200.1.1.7 80 （5）为其他工作站定义复用地址转换 InternetRouter(Config)# ip nat inside source list 10 pool dflg overload
网络设备管理与维护
学 习 情 境
配置广域网接入模块
学 习 情 境
任务描述
1. 应用背景 在本任务中，广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。采用的是
InternetRouter通过自己的接口Fa00使用DDN（数字数据网）技术接入Internet。它的主要作用是在Internet 和校园网（或企业网、园区网）间路由数据包。除了完成主要的路由任务外，还可以利用访问控制列表来完 成以自身为中心的流量控制和过滤功能，并实现一定的安全控制。 2. 网络拓扑
配置广域网接入模块
任务实施
４. 配置接入路由器InternetRouter上的ACL
学
（5）针对DOS攻击的配置
习
DOS攻击（Denial of Service，拒绝服务攻击）是一种非常常见的而且极具破坏力的攻击手段，
情
它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃。
InternetRouter(Config)# interface fastethernet 0/1
InternetRouter(Config-if)# ip access-group 101 in
学 习 情 境
配置广域网接入模块
任务实施 ５. 保护路由器InternetRouter的自身安全
作为内、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位 置加以限制。我们已经在前面对外屏蔽了Telnet，但是对内也应只允许具有权限的用户访问并配置路由器。这里，我们主要 是通过配置路由器的Console口登录口令、Telnet登录口令和特权用户口令的方式来保护路由器的。 InternetRouter(Config)# enable secret xxhua InternetRouter(Config)# line con 0 InternetRouter(Config-line)# login InternetRouter(Config-line)# exec-timeout 5 30 InternetRouter(Config-line)# password xiao InternetRouter(Config-line)# line vty 0 15 InternetRouter(Config-line)# login InternetRouter(Config-line)# exec-timeout 5 30 InternetRouter(Config-line)# password xxhua1682
配置广域网接入模块
任务实施
４. 配置接入路由器InternetRouter上的ACL
学
（4）对外屏蔽其他不安全的协议或服务
习
这样的协议主要有SUN操作系统的文件共享协议端口2049，远程执行（rsh），远程登录
情
（rlogin），远程命令（rcmd）端口512、513、514和远程过程调用（SUNRPC）端口111。
InternetRouter(Config-if)# ip address 200.1.1.1 255.255.255.240
InternetRouter(Config-if)# no shutdown
InternetRouter(Config)# no ip domain-lookup
配置广域网接入模块
学 习 情 境
配置广域网接入模块
任务描述
（汇聚交换机）
Fa0/11 Fa0/0
Fa1/0
Internet
（核心交换机） InternetRouter （内网出口路由器）
（接入交换机）
设备名称 汇聚交换机
（接入交换机） Server （VL（VLAN10 用户） （VLAN20 用户）
通过合理的三层网络构架，实现用户接入网络的安全和快捷。对于内网出口路由器（广域网的接入路 由器），要求：配置NAT功能，使内网用户使用200.1.1.3～200.1.1.6这段地址访问互联网；将内网的Web 服务发布到互联网上，使用内网地址为192.168.13.254，公网地址为200.1.1.7，并要求可以通过内网地址访 问Web服务器；使用ACL防止冲击波病毒。网络拓扑图如下图所示。
配置广域网接入模块
学 习 情 境
任务实施 ４. 配置接入路由器InternetRouter上的ACL
（3）对外屏蔽冲击波病毒 该病毒于2002年8月12日被瑞星全球反病毒监测网率先截获。冲击波病毒运行时会不停地利用IP扫描技术寻 找网络上系统为Windows 2000或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻 击成功，病毒体将会被传送到对方计算机中进行传播，使系统操作异常、不停地重启、甚至导致系统崩溃。 在2002年8月16日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。因此，必须进行如下设 置来屏蔽该病毒。 InternetRouter(Config)# access-list 101 deny tcp any any eq 445 InternetRouter(Config)# access-list 101 deny tcp any any eq 593 InternetRouter(Config)# access-list 101 deny tcp any any eq 4444 InternetRouter(Config)# access-list 101 deny udp any any eq tftp InternetRouter(Config)# access-list 101 deny udp any any eq 135 InternetRouter(Config)# access-list 101 deny tcp any any eq 135
InternetRouter(Config-if)# ip address 172.16.1.2 255.255.255.252
InternetRouter(Config-if)# no shutdown
InternetRouter(Config-if)# interface fastethernet 1/0
配置广域网接入模块
学 习 情 境
任务实施 ４. 配置接入路由器InternetRouter上的ACL
（1）对外屏蔽简单网管协议（SNMP） 远程主机可以利用这个协议监视、控制网络上的其他网络设备。简单网管协议有两种服务类型，分别为 SNMP和SNMPTRAP。 InternetRouter(Config)# access-list 101 deny udp any any eq snmp InternetRouter(Config)# access-list 101 deny udp any any eq snmptrap （2）对外屏蔽远程登录协议（Telnet） Telnet是一种不安全的协议类型。用户在使用Telnet登录网络设备或服务器时所使用的用户名和口令在网络 中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，Telnet可以登录到大多数网络设备和 Unix服务器上，并可以使用相关命令完全操作它们。这是非常危险的，因此必须加以屏蔽。 InternetRouter(Config)# access-list 101 deny tcp any any eqtelnet
境
InternetRouter(Config)# access-list 101 deny tcp any any eq 512
InternetRouter(Config)# access-list 101 deny tcp any any eq 513
InternetRouter(Config)# access-list 101 deny tcp any any eq 514
配置广域网接入模块
任务实施
１.配置接入路由器InternetRouter的各接口参数
学
对接入路由器InternetRouter的各接口参数的配置主要是对接口F0/0以及S0/0的IP地址、子网
习
掩码的配置。
情
Reijie(config)# hostname InternetRouter
境
InternetRouter(Config)# interface fastethernet 0/0
InternetRouter(Config)# access-list 101 deny tcp any any eq 111
InternetRouter(Config)# access-list 101 deny udp any any eq 111
InternetRouter(Config)# access-list 101 deny tcp any any eq 2049
内网出口路 由器
端口名称
VLAN10 VLAN20 VLAN30 VLAN10 VLAN20 VLAN30 FA0/11 FA0/0 FA1/0
IP 地址 192.168.11.1/24 192.168.12.1/24 192.168.13.1/24 192.168.11.2/24 192.168.12.2/24 192.168.13.2/24 172.16.1.1/24 172.16.1.2/24 200.1.1.1/28