图5-6-3
3.配置接入路由器netrouter的路由功能
在接入路由器netrouter上需要定义两个方向上的路由:到校园网内部的静态路由以及到Internet上的缺省路由。
到Internet上的路由需要定义一条缺省路由,如图5-6-4所示。其中,下一跳指定从本路由器的接口serial 0/2/0送出。
图5-6-4
4.配置接入路由器netrouter上的NAT
由于目前IP地址资源非常稀缺,对不可能给校园网内部的所有工作站都分配一个公有IP(Internet可路由的)地址。为了解决所有工作站访问Internet的需要,必须使用NAT(网络地址转换)技术。
为了接入Internet,假设本校园网向ISP申请了5个IP地址。其中一个IP地址:222.245.129.82被分配给了Internet接入路由器的串行接口,另外4个IP地址:222.245.129.83~222.245.129.86用作NAT。 NAT的配置可以分为以下几个步骤。
(1)定义NAT内部、外部接口
图5-6-5显示了如何定义NAT内部、外部接口。
图5-6-5
(2)定义允许进行NAT的内部局部IP地址范围
图5-6-6显示了如何定义允许进行NAT的内部局部IP地址范围。
图5-6-6
25
图5-6-7显示了如何为服务器定义静态地址转换。
图5-6-7
5.配置接入路由器InternetRouter上的ACL
路由器上的访问控制列表(Access Control List,ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对内网包括防火墙本身实施保护。
这里,在本次设计中,我将针对服务器以及内网工作站的安全给出广域网接入路由器netrouter上ACL的配置方案。
(1)对外屏蔽远程登录协议telnet
首先,telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。其次,telnet可以登录到大多数网络设备和UNIX服务器,并可以使用相关命令完全操纵它们。这是极其危险的,因此必须加以屏蔽。
如图5-6-8所示,显示了如何对外屏蔽远程登录协议telnet
图5-6-8
(2)对外屏蔽其它不安全的协议或服务
这样的协议主要有SUN OS的文件共享协议端口2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用(SUNRPC)端口111。可以将针对以上协议综合进行设计,如图5-6-9所示。
图5-6-9
26
结 论
此次对理工学院的校园网规划,是对网络知识的又一次系统的学习,而且是一次更加完整的学习。以前在课堂上,由于是在学习,积累知识的阶段。还没有在大的项目上操作过。经过此次的校园网规划,学到了很多实际应用的知识。
在这次校园网规划中,规划之前做到了从实际出发,考察学院的情况,这为以后的网络规划提供了丰富的引导条件。在之后规划中中,以建立使用性、可靠性、先进性相结合,满足管理需求、安全需求、通信量需求与网络拓展需求为原则的校园网。
但是,网络设计中还是有一些需要完善的地方,例如建立DNS、DHCP等服务器的具体配置方法等方面。
通过这次校园规划,我丰富了自己对网络知识的了解。使我学到了更多关于交换机、路由器、服务器的使用技巧和理念。我有了更好的提高。
27
结 束 语
在此次毕业设计中,我受到了很多人的帮助,在此我真诚的表示感谢。 在设计之初,对网络情况和需求调查的重点不甚了解,赵显衡老师指导了我方向,让我有迹可循,提高了设计的效率和完善性。在此,表示衷心的感谢!
在设计阶段,我得到了赵显衡老师和同学们的关心和帮助,使我的毕业设计能顺利的进行。在这期间,为我解决了许多关于具体命令的使用和整体设计的问题。在此,我表示真诚的感谢。
28
参考文献
[1]Allan Reid,思科网络技术学院教程CCNA Discovery:家庭和小型企业网络[M],人民邮电出版社,2008 [2]Allan Reid,思科网络技术学院教程CCNA Discovery:在中小型企业或ISP工作[M],人民邮电出版社,2009
[3]Todd Lammle,CCNA指南[M],电子工业出版社,2008 [4]谢希仁,计算机网络(第五版)[M],电子工业出版社,2008
29
