cisco网络安全专周实训报告

专周实训

需求分析：

四川北普网络有限公司是一家有200名员工的中小型网络公司，主要以IDC服务、云计算、无线互联、游戏研发运营为核心产业，并全心致力于互联网高新技术产品的研发和运营。公司目前在成都有一个运营中心，约80台计算机及一些服务器，在南充有一个办事处，约30台计算机及工作站；公司对网络的依赖性很强，主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要，因此构建健全的网络安全体系是当前的重中之重。

公司网络安全需求：

四川北普有限公司根据业务发展需求，现有Web、Mail、NTP、Syslog、SSH等服务器和办公区客户机。R1路由器作为成都运营中心边界路由器，并充当CBAC防火墙，办公区内有NTP、Syslog、Mail服务器及一台工作站，vlan划分为财务部门（20台）和业务部门（60台），需要他们之间相互隔离。R2路由器作为南充办事处的边界路由器，该办事处网络内有SSH 服务器和Web服务器；vlan划分为财务部门（5台）、业务部门（12台）及市场部（13台）；同时由于考虑到Internet的安全性，以及网络安全等一些因素，如DDoS、ARP欺骗、mac 地址溢出等。因此本企业的网络安全构架要求如下：

（1）根据公司现有的网络设备组网规划

（2）通过强密码保护边界路由器安全

（3）为保证安全配置AAA认证

（4）配置SSH服务器保证加密安全

（5）为路由器配置syslog服务器及NTP

（6）在R1及R2路由器上配置CBAC及ZPF防火墙策略

（7）保护局域网交换机安全及端口保护

（8）实现网络的安全管理。

安全实现：

R3路由器连接R1、R2路由器，充当ISP的角色，在R1和R2之间配置Ipsec VPN以保证数据通信安全，合理划分并命名各vlan以保证局域网安全及防范危害扩散；通过防火墙策略实现运营中心及办事处网络设备仅能被管理主机安全管理等需求。

安全设计要求：

1IP地址划分不限、设备选型不限、路由方式不限；但在实训报告中要求给出详细地址表

1 根据密码安全策略路由器密码最小长度6并开启密码加密

2 配置路由器交换机控制线路及虚拟线路密码；登出时间为5分钟

3 在路由器上对窥探者声明“no unauthorized access”

4 在边界路由器上开启AAA服务

5 将R1路由器配置为NTP客户端，并采用MD5加密认证方式

6 将R1路由器配置为Syslog客户端并接收路由器登录信息并加以验证配置成功

7 在R2路由器上配置SSH服务，要求ssh超时时间为90秒，最大尝试次数2

8 位于运营中心的管理主机可任意管理网络设备及DMZ区的各个服务器（含办事处）

9 运营中心内的工作站仅能被运营中心所访问

10 位于成都运营中的mail服务器仅对内网所有主机（含南充）提供收发邮件服务，外网主机无访问权限

11 办事处web服务器对外网正常服务；但外网主机不得ping探测web服务器

12 在R1路由器上部署CBAC防火墙防止来自外网的主机icmp探测

13 在R2路由器上部署ZPF防火墙防止来自外网主机的探测并应用在正确的端口上

14在内部交换机上关闭接收DTP信息，设置风暴控制值为40%，在各接入端口上开启端口安全以及bpdu保护，trunk接口上启用root保护

15 在连接管理主机的端口上开启mac地址绑定，有非法主机接入时关闭端口以保证内网安全

5 备注：

实验报告中要求有每一台网络设备配置详细命令信息及说明实验报告中无完整详细拓扑结构图0分

无地址表及vlan划分方案0分

无用户名密码数据库表0分

实验报告未提供ACL及对应测试结果0分

实验报告未提供服务器测试结果0分

周5下午提交PT文件及实验报告

四川电力职业技术学院

网

络

安

全

专

周

实

训

报

告

姓名：钟玉平

学号：112034 专业班级：计算机网络

）根据公司现有的网络设备组网规划，合理划分并命名各vlan

保证局域网安全及防范危害扩散。

）在成都运营中心和南充办事处之间配置Ipsec VPN以保证数据通信安全。

通过防火墙策略实现运营中心及办事处网络设备仅能被管理主机安全管理等需求。

1.配置ip地址及rip路由协议使网络实现基层互通。

telnet 登陆MS1：

telnet 10.1.13.2 Password：ms1net112 enable Password:ms1net112

telnet 登陆R1：

telnet 10.1.14.1 username:AAA Password：aaanet112 enable Password: r1net112

运营中心主机不能远程访问R2和MS2效果:

南充办事处主机PC5也能通过mail服务器收发邮件，效果如下：

用命令show ip inspect all 查看CBAC配置情况：

在成都运营中心的服务器群区中，任意接入一台客户端接到management管理主机的接入端口f0/4上，将不能连接，交换机会在自动执行no shutdown 命令。

当登录R1系统日志客户端时，在Syslog服务器上将会显示如下图所示的登录信息：

NTP服务器工作正常：时间为2013年11月（时间同步）

我们对该学期CCNA安全课程有了一个全面系统的复习，对网络安全有了进一步的认识，对网络安全技术有了进一步的了解。

这次课程的实训，一方面我们能将课堂上学习的知识在试验中得到验证，加深对相

CCNA网络安全常用命令的配置，进一步深入理解了网络安全策略中涉及到的相关概念。同时，我们还能够综合评估一个网络中存在的安全隐患

另一方面通过此次上机的实践，我发现在网络安全中制定一套有效的安全策略不是自己想象中的那么简单容易的，需要我们有清晰地逻辑思维能