收藏
下载资源

建筑工程管理网络工程师综合网络配置练习手册

上传人:蜀歌 文档编号:145861988 上传时间:2020-09-24 格式:PDF 页数:56 大小:583.21KB
返回 下载 相关 举报
建筑工程管理网络工程师综合网络配置练习手册_第1页
第1页 / 共56页
建筑工程管理网络工程师综合网络配置练习手册_第2页
第2页 / 共56页
建筑工程管理网络工程师综合网络配置练习手册_第3页
第3页 / 共56页
建筑工程管理网络工程师综合网络配置练习手册_第4页
第4页 / 共56页
建筑工程管理网络工程师综合网络配置练习手册_第5页
第5页 / 共56页
点击查看更多>>
资源描述

《建筑工程管理网络工程师综合网络配置练习手册》由会员分享,可在线阅读,更多相关《建筑工程管理网络工程师综合网络配置练习手册(56页珍藏版)》请在金锄头文库上搜索。

1、建筑工程管理网络工程师综合网 络配置练习手册 建筑工程管理网络工程师综合网 络配置练习手册 综合练习一、阅读说明,回答问题 1、问题 2、问题 3,将解答填入答题纸的对应栏内。 说明某单位要与其下所属四个县局单位实现连网,具体设计如下: 1、设计要求设计要求 (1、 )县局 B 终端用户包括:20 个普通用户,县局 C 终端用包括:40 个普通用户,县局 D 终端用户包括:20 个普通用户,县局 E 终端用户包括:18 个普通用户,市局 A 终端用户包 括 90 个普通用。 (2、 )每个县局都有 4 个特殊用户,市局有 10 个特殊用户。 (3、 )服务器提供 Web、DNS、E-mail

2、服务。 (所有服务器都其中在市局网络中心) (4、 )支持远程培训,可以接入互联网,具有广域网访问的安全机制和网络管理功能。 (5、 )各县局与市局之间的距离都大于 100 公里。 (6、 )每个县局与市局都分布一个网段(县局 B:10.244.90.0,县局 C:10.244.91.0,县局 D:10.244.92.0,县局 E:10.244.93.0 市局 A:10.244.80.0) (7、)县局与市局通过光纤连接。 说明 : 所谓普通用户就是只能用于生产(只能县与县,县与市局连网,不能连 internet) , 不能上 internet 网,而特殊用户既可以生产也可上 internet

3、 网。 2、可选设备:可选设备: 设备名称设备名称数量数量特性特性 交换机 switch16 台具有两个 100BaseTX 端口和 24 个 10BaseTX 端口 交换机 switch22 台具有两个 100BaseTX 端口和 48 个 10BaseTX 端口 路由器 Router11 台提供了对内的 10/100M 局域多接口,对外的 128K 的 ISDN 或 专线连接,同时具有防火墙功能。 路由器 Router24 台提供了对内的 10/100M 局域网接口, 同/异步串口模块或 ISDN 模块 问题 1问题 1、请为该单位设计网络方案(画出其网络拓扑结构图) 问题 2问题 2、怎

4、么实现普通用户只能用作生产用,而特殊用户既可以生产用,也可以上网? 问题 3问题 3、如果该单位用于生产的数据很重要,其安全性要求很高,而对外的 internet 与其 连在一起对其安全造成很大威胁, 在允许增加可选设备的条件下, 你怎样处理?为什么那样 处理? 【参考答案】 1、 2、我们所选用的为 A(市局)所选用的路由器为 Router1(提供了对内的 10/100M 局域多接 口,对外的 128K 的 ISDN 或专线连接,同时具有防火墙功能)。我们利用该路由器所具有的 防火墙功能将内网和外网隔离开来,将需要上网的 ip 地址用访问列表加以控制。 3、可以利用网络技术“非军事区结构模式

5、” (DMZ) 。在重要的数据服务器之前再增加一道防 火墙。在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所 有内部网络对 DMZ 的访问。 内部防火墙管理 DMZ 对于内部网络的访问。 内部防火墙是内部网 络的第三道安全防线(前面有了外部防火墙和堡垒主机), 当外部防火墙失效的时候, 它还可 以起到保护内部网络的功能。 而局域网内部, 对于 Internet 的访问由内部防火墙和位于 DMZ 的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部 防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大 大加强,但投

6、资成本也是最高的。 综合练习二、 阅读以下说明,回答问题 1、问题 2。 说明: VPN 是通过公用网络 internet 将分布在不同地点的终端联接在成的专用网 络。目前大多采用 IPSec 实现 IP 网络上端点间的认证和加密服务。 (见下图 一) VPN 的基本配置 公司总部网络子网为 192.168.1.0/24 路由器为 100.10.15.1 公司分部服务器为 192.168.10.0/24 路由器为 200.20.25.1 执行下列步骤: 1 确定一个预先共享的密钥(保密密码) (保密密码假设为 ccidedu) 2 为 SA 协商过程配置 IKE。 3 配置 IPSec She

7、lby(config)#crypto isakmp policy1 /policy1 表示策略 1, 假如想多配几个 VPN, 可以写成 policy2、policy3- Shelby(config-isakmp)#group1 /使用 group1 长度的密钥,group 命令有两个参数值 : 1 和 2。 参数 1 表示密钥使用 768 位密钥,参数值 2 表示密钥使用 1024 位密钥。 Shelby(config-isakm)#authentication pre-share_ _(1)_ Shelby(config-isakm)#ifetime 3600 /对生成新 SA 的周期进行

8、调整。这个值以秒为单 位,默认值为 86400,也就是一天。值得注意的是两端的路由器都要设置相同的 SA 周期, 否则 VPN 在正常初始化之后,将会在较短的一个 SA 周期到达中断。 Shelby(config)#crypto isakmp key ccidedu address 200.20.25.1 /返回到全局设置 模式确定要使用的预先共享密钥和指归 VPN 另一端路由器 IP 地址,即目的路由器 IP 地址。 相应地在另一端路由器配置也和以上命令类似,只不过把 IP 地址改成 100.10.15.1。 配置 IPSec Shelby(config)#access-list 130 p

9、ermit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255 _(2)_ Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac _(3)_ Shelby(config)#crypto map shortsec 60 ipsec-isakmp /为定义生成新保密密钥的周 期,如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因, 我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在 VPN 两端 的路由器上

10、必须匹配。参数 shortsec 是我们给这个配置定义的名称,稍后可以将它与路由 器的外部接口建立关联。 Shelby(config-crypto-map)#set peer 200.20.25.1 _(4)_ Shelby(config-crypto-map)#set transform-set vpn1 _(5)_ Shelby(config-crypto-map)#match address 130 /访问列表 Shelby(config)#interface s0 Shelby(config-if)#crypto map shortsec /将刚才定义的密码图应用到路由器的外部接 口。

11、 问题 1、请简述 IPSec 协议 问题 2、解释_(n)_处标有下划线的部分含义。 【参考答案】 1、IPSec 提供了两种安全机制:认证和加密。认证机制使 IP 通信的数据接收方能够确认数 据发送方的真实身份以及数据在传输过程中是否遭篡改。 加密机制通过对数据进行编码来保 证数据的机密性,以防数据在传输过程中被窃听。IPSec 协议组包含 Authentication Header( AH) 协 议 、 Encapsulating Security Payload( ESP) 协 议 和 Internet Key Exchange(IKE) 协议。 其中 AH 协议定义了认证的应用方法,

12、 提供数据源认证和完整性保证 ; ESP 协议定义了加密和可选认证的应用方法,提供可靠性保证。在实际进行 IP 通信时,可 以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH 和 ESP 都可以提供认 证服务,不过,AH 提供的认证服务要强于 ESP。IKE 用于密钥交换。 2、 (1)采用预共享密钥认证方法 (2)建立访问控制列表 (3)配置名为 vpn1 的交换集,指定 ah-md5-hmac esp-des esp-md5-hmac 三种变换 (4)指定允许的 ipsec 对等体的 ip 地址为 200.20.25.1 (5)此加密图使用交换集 vpn1 综合练习: 请先看下

13、面的叙述,然后回答问题 1,问题 2,问题 3。 VLAN(Virtual Local Area Network)的中文名为“虚拟局域网” 。VLAN 是一种将局域 网设备从逻辑上划分(不是从物理上划分)成一个个网段, 从而实现虚拟工作组的新兴数 据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。 但又不是所有交换机都具有此功能, 只有 VLAN 协议的第三层以上交换机才具有此功能。 VLAN 技术的出现, 使得管理员根据实际应用需求, 把同一物理局域网内的不同用户逻辑的划分成 不同的广播域, 每一个 VLAN 都包含一组有着相同需求的计算机工作站, 与物理上形成

14、的 LAN 有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个 VLAN 内的各 个工作站没有限制在同一物理范围内,即这些工作站可以在不同物理 LAN 网段。 某公司有 100 台计算机左右,主要使用网络的部门有:生产部(20) ,财务部(15) , 人事部(8)和信息中心(12)四大部分,如图所示。 (图中另外两台交换机未画) 网络的基本结构为:整个网络中干部分采用 3 台网管型交换机(分别命名为: Switch1,Switch2 和 Switch3, 各交换机根据需要下接若干个集线器, 主要用于非 VLAN 用户, 如行政文书,临时用户等) ,一台 Cisco 路由器,整

15、个网络都通过路由器与外部互连网进行 连接。 1 user(s) now active on Management Console. User Interface Menu M Menus K Command Line I IP Configuration Enter Selection CLI session with the switch is open. To end the CLI session ,enterExit. #config t Enter configuration commends,one per line.End with CNTL/Z (config)# 下面 Swi

16、tch1 的配置代码如下: (config)#hostname Switch1 Switch1(config)#enable password level 15 Switch1(config)# Switch1(config)#vlan 2 name Prod Switch2(config)#vlan 3 name Ecom Switch3(config)#vlan 4 name Empl Switch4(config)#vlan 5 name Info VLAN 端口号应用配置如下: (1)名为”Switch1”的交换机的 VLAN 端口号配置如下: Switch1(config)#int e0/2 Switch1(config-if)#vlan-membership static 2 Switch1(config-if)#int e0/3 Switch1(config-if)#vlan-membership static 2 Switch1(config-if)#int e0/4 Switch1(conf

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 经营企划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号