项目六构建安全的校园网络.docVIP

项目六 构建安全的校园网络 保护网络的安全不仅包括直接面向用户的终端设备，如服务器、工作站等，更包括网络的传输设备，如路由器、交换机等。这些设备一旦出现问题，都会给网络带来灾难性的后果。保护网络的安全，首先需要保证网络内部的所有设备是安全、可靠的，为保护网络中接入设备的安全，一般可以在接入交换机的端口上，对网络中所有接入的用户进行认证和安全管理，从而保护网络内部的安全。而外部网络安全防范可以在路由器上实现。 项目1 交换机端口安全配置 一、项目描述 为了加强学校信息化建设，在学生宿舍中安装网络端口，需要上网的学生可以在网络管理中心申请账户。随着网络的开通，学生申请账户的数目很多，有的宿舍只开通一个账户，在端口上接一个集线器，宿舍中的学生通过集线器上网，由于无法确认最终用户，给网络带来了很多安全隐患。为保证网络安全，决定对交换机进行适当配置，保证校园网内只有合法的、授权的用户才可以接入网络，并且防止私自使用集线器增加接入计算机数量。 二、 三、项目实施环境 S2126S交换机1台，PC若干台。网络拓朴如图11所示。 图11 四、工作目标 1、利用交换机安全端口功能，控制用户的安全接入。 2、对交换机的端口配置最大连接数。 3、针对接入端口进行IP+MAC地址绑定。 五、项目实施步骤 1、按图11连接所有设备，分别开启所有设备，保证所有设备正常连接。 2、保证交换机设备的配置文件处于清空状态。 3、配置接入交换机端口的安全和端口的最大连接数。 Switch enable Switch# configure terminal Switch(config)# hostname S2126 S2126(config)# interface range fastethernet 0/1-2 S2126(config-range)#switchport mode access S2126(config-range)#switchport port-security S2126(config-range)#switchport port-security maximum 1 S2126(config-range)#switchport port-security violation shutdown 4、查看交换机的端口安全配置 S2126# show port-security 5、配置交换机端口的地址绑定 （1）查看PC1的IP地址和MAC地址 （2）配置地址绑定 Switch# configure terminal Switch(config)#interface fastethernet 0/3 S2126(config-if)#switchport port-security S2126(config-if)#switchport port-security mac-address 0015.f2dc.96ab ip-address 3 （3）查看地址安全绑定配置 S2126# show port-security address 5、测试 （1）改变PC1的IP地址，然后进行测试。 （2）把PC1接到其他端口进行测试。 6、写出测试结果。 项目2 标准访问控制列表（ACL）的配置 一、项目问题 你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。 二、项目实施环境 S2126交换机1台，S3670交换机2台，网络拓朴如图12所示。 图12 三、主要任务 在三层交换机上配置标准命名访问控制列表，保护办公网的安全。 四、项目实践目的 1、理解IP访问控制列表的意义； 2、掌握标准的IP访问控制列表的设置方法； 五、项目实施步骤 1、按图12连接部门网络的设备。 2、按图12配置PC机的IP地址。 3、S2126交换机的配置 Switch enable Switch# configure terminal Switch(config)# hostname S2126 S2126(config)# vlan 20 S2126(config-vlan)#exit S2126(config)# interface range fastethernet 0/9-10 S2126(config-if-range)#switchport access vlan 20 S2126(config-if-range)#exit S2126(config)# interface fastethernet 0/8 S2126(config-if)#switchport mode trunk S2126(config-if)#exit 4、S3760A交换机