校园网系统集成方案设计
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2、对系统进行设计,给出拓扑结构图
如图所示:
核心交换机、防火墙、服务器、边界路由器设备放置在网络中心机房、汇聚层交换机和接入层交换机中主要放置在办公楼和教学楼中,由于图书馆和教学楼之间有一段距离,图书馆的交换机通过100BASE-FX多模光纤接入到教学楼的汇聚层交换机上,办公楼和教学楼的汇聚层交换机通过1000BASE-LX标准单模光纤接入到核心交换机上。由于服务器需要经常被访问,为了防止网络瓶颈,服务器也通过1000BASE-SX标准的多模光纤接到防火墙的DMZ区中。在用户接入方面,我们采用100BASE-TX 标准的五类双绞线。
5、采用模拟器进行测试
由于Cisco Packet Tracer V5.3 版本的限制我们采用Cisco模块化路由器来代替PIX525防火墙。如图所示:
1.根据拓扑图构建基本网络。
2.配置主机、交换机、路由器、防火墙、服务器的IP地址。
4.根据要求配置不同的VLAN,配置路由协议(这里我们采用的是OSPF协议)实现全网可以相互通信。
5.对路由器进行安全性配置,提高路由器的安全性,保护内部网络。
6.对防火墙进行NAT地址转换配置,把内网地址转换为公网地址
7.在防火墙上通过配置ACL来实现外网对内网的访问控制。
8.对园区网进行最终安全性调试,撰写课程设计报告。
6.实验结果及分析
1.全网可以实现互通从PC1 ping 园区网边界路由器接口
2.不同VLAN之间可以实现相互通信从VLAN10访问VLAN20和VLAN30的主机。
3.PC1访问校园网内部WEB服务器 (通过DNS进行域名解析)
3.在PIX防火墙处进行NAT地址转换从PC1 访问外部网络
4.通过PIX525防火墙对外网访问内网信息进行访问控制(通过ACL进行控制)要求:
外网不可以访问内网的数据库和流媒体服务器
外网地址不可以ping内网(防止Ddos攻击)其他行为可以放行
从外网访问内部数据库服务器(无法访问)
访问数据被ACL拒绝(5个数据包匹配)
5.对路由器进行安全管理
启动口令口令加密
line vty 0 4
login
password hello
exec-timeout 10 //10s钟超时退出登录
line con 0
transport input none
password hello
应用密码策略
service password-encryption
enable secret hello
利用ACL禁止ping相关端口
access-list 101 deny icmp any host 61.177.7.3 echo access-list 101 permit ip any any
ip access-group 101 in
关闭CDP协议
no cdp run 全局配置
no cdp enable 端口配置
no ip domain-lookup 关闭域名解析
no ip bootp server 关闭地址分配
no snmp-server 关闭snmp协议支持