DynamipsGUI搭建ISCW实验机架.docVIP

【原创】DynamipsGUI搭建ISCW实验机架 试验需求：1、所有这三个路由器上不必要的服务都应该被关闭，这需要手动完成。对所有路由器的访问使用SSH（阻塞Telnet服务）。只允许网络管理员（2、3、4和5)访问EXEC。2、每个管理员有一个单独的帐号来访问路由器。使用AAA设置对路由器的访问认证。所有执行的命令和系统事件应该被记录。AAA服务器将使用CISCO Secure ACS，以TACACS—+作为安全协议。即使是分支机构的路由器上也设置AAA功能。3、标准的扩展ACL用来在内部路由器上执行策略限制。标准的扩展ACL也用在分支机构路由器———路由器C。4、边界路由器———路由器A上将使用标准的扩展ACL和机遇上下问的访问控制（Context-Based Access Control,CBAC)组合来实施过滤。对E-mail和HTTP应该建立审查机制。内部路由器也使用CBAC，允许从外部返回的流量并审查SMTP流量。5、在边界路由器上通过Websense服务器对Web流量实施过滤。6、在边界路由器上需要碑志地址转换，对DMZ设备需要静态转换，对所有其他要访问Internet的内部设备实施动态转换。对VPN连接，应该关闭地址转换。7、由于子网数目很少，应该使用静态路由作路由选择，使用逆向路径转发（Reverse-path forwarding，RPF）来防止某种类型的欺骗攻击。8、在公司总部和分支机构的边界路由器上实施IDS，用于提供增强的保护。任何攻击都被记录在系统日志服务器上，对TCP连接攻击使用TCO复位。9、使用CBAC来组织一连接攻击，包括TCP SYN洪水攻击。10、由于Internet访问限制ICMP和UDP的使用，公司关注使用这些协议的DoS攻击，因此决定通过NBAR来实施速率限制。11、使用NTP来同步设备的时间。内部系统日志服务器也用作主NTP时间源，认证被用来严整设备的身份。所有三个路由器都使用时间戳将日志消息记录到日志服务器。对分支机构的路由器C，这些消息应该被加密。12、使用战到战的IPSec VPN来保护分支机构和公司总部之间的流量。所有的分布流量必须通过该连接，包括最终Internet的流量。设备的认证采用预共享秘匙完成。13、实施EasyVPN来处理远程接入用户。有三个组的用户：admin、accounting和user。Admin组包括网络管理员。accounting组包括远程接入的财务人员，对这些人员要实施适当的限制。User组包括其他所有的员工。这些用户如果要访问Inetrnet，则需要安装软件放火墙；所有公司发送到公司总部的流量都应该被保护。本机架使用DynamipsGUI搭建完成，IOS使用7200高级安全版经测试稳定运行，内存占用低，只需要1G内存就可轻松完成试验！试验机架下载后可以直接使用 注意修改idle-pc值 CCNP-ISCW.jpg (131.98 KB) 2008-9-6 19:24 配置开始：基础配置及IP地址请参照拓扑图配置注意：请将所有设备的接口改为全双工在接口模式下 duplex full不然会报双工不匹配的错误在所有路由器上关闭不需要的服务RouterA RouterB RouterCno cdp runno service tcp-small-serverno service udp-small-serverno ip fingerno ip identdno service fingerno ip source-routeno ftp-server enableno ip http serverno ip http secure-serverno snmp-server community public ROno snmp-server community private RWno snmp-server enable trapsno snmp-server system-shutdownno snmp-server trap-authno snmp-serverno ip domain-lookupno ip boot serverno service dhcpno service padno boot networkno service config接口上 no ip directed-broadcastno ip unreachablesno ip redirectno ip mask-reply删除超时连接，坏连接service tcp-keepalives-inservice tcp-keepalives-ou