《网络信息安全课程设计》由会员分享,可在线阅读,更多相关《网络信息安全课程设计(35页珍藏版)》请在金锄头文库上搜索。
1、网络信息安全课程设计项目背景:应某公司要求,拓扑图如下。公司分为两部分,总部在A地,子公司在B地。1、由于专线过于昂贵,现想通过ISP与子公司建立隧道。2、SW1所在部门由于工作需要,所接入的用户比较不确定,为了安全起见需要进行认证。项目背景:3、SW1与SW2之间的通信涉及到工作效率,为了可靠性对通信链路的控制要求使用策略路由。4、为了更好的监控SW2连着E1/0/2接口的主机,要求在SW2上E1/0/2出对进出的流量做镜像,传给E1/0/3所在的服务器。5、企业网内部运行路由协议要求能够互访。设备名称:3020路由器一台2020路由器一台S3610交换两台项目网络拓扑图 项目需求:1、PC
2、2与SW1之间做认证2、R1与R2之间做IPSEC VPN3、在SW1与SW2之间做策略路由4、SW3与PC3的接口处做镜像传给PC45、企业网内部运行RIP协议项目设计要求与分析 1.正确配置IP地址。 2.在总部配置策略路由,根据具体情况采用策略路由选择相应路径。 3.使用策略路由技术将数据送往正确的接口。 4.使用802.1X实现认证。 5.使用本地端口镜像来检测数据 6.使用IPsec VPN技术实现总公司和分公司内部网络相互访问和数据 加密。IP地址规划实施项目1、PC2与SW1之间做认证 在没做认证前首先要保证通信可达做认证在SW1上配置: local-user userpassw
3、ord simple passservice-type lan-accessPC2没做认证时在PC2上设置:PC2 上验证PC2上验证认证后2、R1与R2之间做IPSEC VPNR1:port-security enableacl number 3000rule 0 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.1.0 0.0.0.255ike peer r1 pre-shared-key cipher UXbCHBX4Rsw= remote-address 12.12.12.1 local-address 12.12.
4、12.2ipsec proposal prop1 esp authentication-algorithm sha1 esp encryption-algorithm aes 128ipsec policy policy1 10 isakmp security acl 3000 R1与R2之间做IPSEC VPNR2: sysname R2 domain default enable system dar p2p signature-file cfa0:/p2p_default.mtd port-security enableacl number 3000 rule 0 permit ip s
5、ource 192.168.1.0 0.0.0.255 destination 192.168.10.0 0.0.0.255ike peer r2 pre-shared-key cipher UXbCHBX4Rsw= remote-address 12.12.12.2 local-address 12.12.12.1R1与R2之间做IPSEC VPNipsec proposal prop1 esp authentication-algorithm sha1 esp encryption-algorithm aes 128ipsec policy policy1 10 isakmp securi
6、ty acl 3000 ike-peer r2 proposal prop1interface Ethernet0/1 port link-mode route ip address 12.12.12.1 255.255.255.0 ipsec policy policy1rip 1 network 192.168.11.0 ip route-static 192.168.10.0 255.255.255.0 12.12.12.2R1与R2之间做IPSEC VPNike-peer r1 proposal prop1interface GigabitEthernet0/0port link-mo
7、de routeip address 192.168.10.254 255.255.255.0interface GigabitEthernet0/1 port link-mode route ip address 12.12.12.2 255.255.255.0 ipsec policy policy1 ip route-static 192.168.1.0 255.255.255.0 GigabitEthernet0/1 12.12.12.1user-interface con 0user-interface tty 13user-interface aux 0user-interface
8、 vty 0 4authentication-mode schemedisplay ike sa 显示第一阶段的SA R1dis ik sa total phase-1 SAs: 1 connection-id peer flag phase doi - 9 12.12.12.1 RD|ST 1 IPSEC 10 12.12.12.1 RD|ST 2 IPSEC flag meaning RD-READY ST-STAYALIVE RL-REPLACED FD-FADING TO-TIMEOUTdisplay ipsec sa 显示第二阶段R1dis ipsec sa=Interface: G
9、igabitEthernet0/1 path MTU: 1500= - IPsec policy name: policy1 sequence number: 10 mode: isakmp - connection id: 2 encapsulation mode: tunnel perfect forward secrecy: tunnel: local address: 12.12.12.2 remote address: 12.12.12.1 display ipsec sa 显示第二阶段flow: sour addr: 192.168.10.0/255.255.255.0 port:
10、 0 protocol: IP dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: IP inbound ESP SAs spi: 1798260280 (0x6b2f4638) proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1 sa duration (kilobytes/sec): 1843200/3600 sa remaining duration (kilobytes/sec): 1843200/1329 max received sequence-number: 1 anti-replay
11、 check enable: Y anti-replay window size: 32 udp encapsulation used for nat traversal: N display ipsec sa 显示第二阶段 outbound ESP SAs spi: 154513006 (0x935ae6e) proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1 sa duration (kilobytes/sec): 1843200/3600 sa remaining duration (kilobytes/sec): 1843191/1329 max r
12、eceived sequence-number: 125 udp encapsulation used for nat traversal: N从这个现象可以看出发起方源IP地址和响应方目的IP地址相同,由于有了IPSEC VPN所以我们没有做NAT ,可见总部访问分公司成功。3、镜像 SW2与PC3的接口处做镜像传给PC4SW2mirroring-group 1 local SW2mirroring-group 1 mirroring-port e1/0/2 bothSW2mirroring-group 1 monitor-port e1/0/3在软件上的体现在软件上的体现在软件上的体现在软
13、件上的体现在软件上的体现4、在SW1与SW2之间做策略路由没做策略路由之前,首先认证通过,然后查看PC2下一跳从192.168.5.2转发在SW1做策略路由acl number 3000rule 0 permit ip source 192.168.1.0traffic classifier aaa operatoif-match acl 3000traffic behavior bbbredirect next-hop 192.168.4.2qos policy cccclassifier aaa behavior bbbinterface Ethernet1/0/2 port link-mode bridge port access vlan 2 qos apply policy ccc inboundrip 1 network 192.168.1.0 network 192.168.4.0 network 192.168.5.0做完策略路由后通过在做完策略路由后通过在PC2PC2上进行路由跟踪就上进行路由跟踪就可以看到清楚看到下一跳从可以看到清楚看到下一跳从192.168.4.2192.168.4.2转发转发在这个项目中,有一些比较基础的技术没有一一体现出来, 比如在为了公司总部内部的全网可达性我们采用了RIP协议等。
