1、综合练习一、阅读说明,回答问题 1、问题 2、问题 3,将解答填入答题纸的对应栏内。说明 某单位要与其下所属四个县局单位实现连网,具体设计如下:1、设计要求(1、 )县局 B 终端用户包括: 20 个普通用户,县局 C 终端用包括: 40 个普通用户,县局D 终端用户包括:20 个普通用户,县局 E 终端用户包括:18 个普通用户,市局 A 终端用户包括 90 个普通用。(2、 )每个县局都有 4 个特殊用户,市局有 10 个特殊用户。(3、 )服务器提供 Web、DNS、E-mail 服务。 (所有服务器都其中在市局网络中心)(4、 )支持远程培训,可以接入互联网,具有广域网访问的安全机制和
2、网络管理功能。(5、 )各县局与市局之间的距离都大于 100 公里。(6、 )每个县局与市局都分布一个网段(县局 B:10.244.90.0,县局 C:10.244.91.0,县局D:10.244.92.0,县局 E:10.244.93.0 市局 A:10.244.80.0)(7、)县局与市局通过光纤连接。说明:所谓普通用户就是只能用于生产(只能县与县,县与市局连网,不能连internet),不能上 internet 网,而特殊用户既可以生产也可上 internet 网。2、可选设备:设备名称 数量 特性交换机 switch1 6 台 具有两个 100BaseTX 端口和 24 个 10Bas
3、eTX 端口交换机 switch2 2 台 具有两个 100BaseTX 端口和 48 个 10BaseTX 端口路由器 Router1 1 台 提供了对内的 10/100M 局域多接口,对外的 128K 的 ISDN或专线连接,同时具有防火墙功能。路由器 Router2 4 台 提供了对内的 10/100M 局域网接口,同 /异步串口模块或ISDN 模块问题 1、请为该单位设计网络方案(画出其网络拓扑结构图)问题 2、怎么实现普通用户只能用作生产用,而特殊用户既可以生产用,也可以上网?问题 3、如果该单位用于生产的数据很重要,其安全性要求很高,而对外的 internet 与其连在一起对其安全
4、造成很大威胁,在允许增加可选设备的条件下,你怎样处理?为什么那样处理?【参考答案】1、AB C D EInternet路 由 器 Router1路 由 器 Router2 路 由 器 Router2 路 由 器 Router2 路 由 器 Router2交 换 机 switch2 交 换 机 switch2交 换 机 switch1 交 换 机 switch1交 换 机 switch1交 换 机 switch1 交 换 机 switch1路 由 器路 由 器 路 由 器 路 由 器 路 由 器交 换 机 交 换 机交 换 机 交 换 机 交 换 机 交 换 机 交 换 机2、我们所选用的为 A
5、(市局)所选用的路由器为 Router1(提供了对内的 10/100M 局域多接口,对外的 128K 的 ISDN 或专线连接,同时具有防火墙功能)。我们利用该路由器所具有的防火墙功能将内网和外网隔离开来,将需要上网的 ip 地址用访问列表加以控制。3、可以利用网络技术“非军事区结构模式”(DMZ ) 。在重要的数据服务器之前再增加一道防火墙。在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对 DMZ 的访问。内部防火墙管理 DMZ 对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机) ,当外部防火墙失效的时候,它还可以起
6、到保护内部网络的功能。而局域网内部,对于 Internet 的访问由内部防火墙和位于 DMZ 的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域( 外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。综合练习二、阅读以下说明,回答问题 1、问题 2。说明: VPN 是通过公用网络 internet 将分布在不同地点的终端联接在成的专用网络。目前大多采用 IPSec 实现 IP 网络上端点间的认证和加密服务。 (见下图 一)VPN 的基本配置公司总部网络子网为 192.168.1.0/24路由器为 100.10
7、.15.1公司分部服务器为 192.168.10.0/24路由器为 200.20.25.1执行下列步骤:1 确定一个预先共享的密钥(保密密码) (保密密码假设为 ccidedu)2 为 SA 协商过程配置 IKE。3 配置 IPSecShelby(config)#crypto isakmp policy1 /policy1 表示策略 1,假如想多配几个 VPN,可以写成 policy2、 policy3-Shelby(config-isakmp)#group1 /使用 group1 长度的密钥, group 命令有两个参数值:1 和2。参数 1 表示密钥使用 768 位密钥,参数值 2 表示密
8、钥使用 1024 位密钥。Shelby(config-isakm)#authentication pre-share_ _(1)_Shelby(config-isakm)#ifetime 3600 /对生成新 SA 的周期进行调整。这个值以秒为单位,默认值为 86400,也就是一天。值得注意的是两端的路由器都要设置相同的 SA 周期,否则VPN 在正常初始化之后,将会在较短的一个 SA 周期到达中断。Shelby(config)#crypto isakmp key ccidedu address 200.20.25.1 /返回到全局设置模式确定要使用的预先共享密钥和指归 VPN 另一端路由器
9、IP 地址,即目的路幅器 IP 地址。相应地在另一端路由器配置也和以上命令类似,只不过把 IP 地址改成 100.10.15.1。配置 IPSecShelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255 _(2)_Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac _(3)_Shelby(config)#crypto map shortsec 60 ipsec-isakmp /
10、为定义生成新保密密钥的周期,如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在 VPN 两端的路由器上必须匹配。参数 shortsec 是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。Shelby(config-crypto-map)#set peer 200.20.25.1 _(4)_Shelby(config-crypto-map)#set transform-set vpn1 _(5)_Shelby(config-crypto-map)#match address 130
11、 /访问列表Shelby(config)#interface s0Shelby(config-if)#crypto map shortsec /将刚才定义的密码图应用到路由器的外部接口。问题 1、请简述 IPSec 协议问题 2、解释_(n)_处标有下划线的部分含义。【参考答案】1、IPSec 提供了两种安全机制:认证和加密。认证机制使 IP 通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。IPSec 协议组包含 Authentication Header(AH )协议、Encapsulati
12、ng Security Payload(ESP)协议和 Internet Key Exchange(IKE)协议。其中 AH 协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP 协议定义了加密和可选认证的应用方法,提供可靠性保证。在实际进行 IP 通信时,可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH 和 ESP 都可以提供认证服务,不过,AH 提供的认证服务要强于 ESP。IKE 用于密钥交换。2、(1)采用预共享密钥认证方法(2)建立访问控制列表(3)配置名为 vpn1 的交换集,指定 ah-md5-hmac esp-des esp-md5-hmac 三种变换(4)指定允许的 ipsec 对等体的 ip 地址为 200.20.25.1(5)此加密图使用交换集
