1、 毕 业 设 计题目: 局域网网络安全设计 局域网网络安全设计摘 要近几年来,Internet 技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代 Internet 技术向以提供网络数据信息服务为特征的第二代 Internet 技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet 自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使 Internet 自身安全受到严重威胁,与它有关的安全事故屡有发生。网络安全的威胁主要表现
2、在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。因此本论文为企业构架网络安全体系,主要运用 vlan 划分、防火墙技术、病毒防护等技术,来实现企业的网络安全。关键词:端口安全,网络,安全,防火墙,vlanII AbstractIn recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of I
3、nternet technology to provide network data services for the characteristics of the second generation of Internet technology transition. These all contributed to the rapid computer networking technology of large-scale use. As we all know, the worlds largest information network use of, Internet openne
4、ss of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources. However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security,
5、 and its related security incidents happened quite frequently. Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this
6、 paper for the enterprise architecture network security system, mainly by the use of vlan, firewall, virus protection and other technologies to achieve corporate network security. Keywords: Port Security,network, security, firewall, vlan一、 引言随着计算机运用到各个领域,计算机用户的数量逐渐增多,这就涉及到越来越多的重要信息被计算机存储下来,所以对于计算机安全
7、问题的解决以及预防是刻不容缓的任务。计算机容易受到黑客、病毒的侵入,而这些不仅会影响到计算机的安全,更加会影响到用户信息的安全,会给用户造成极大的危害,所以计算机的安全问题必须值得深思和研究。二、 项目需求分析(黑体 4 号)1局域网安全威胁分析 局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类: (1)欺骗性的软件使数据安全性降低; (2)计算机病毒及恶意代码
8、的威胁; (3)服务器区域没有进行独立防护;. (4)IP 地址冲突; (5)局域网用户安全意识不强; 正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。2. 局域网安全解决办法 当前,保证局域网安全的解决办法有以下几种:(1)网络分段 网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。 目前,一般的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交
9、换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。(2)VLAN 的划分 为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。 目前的 VLAN 技术主要有三种:基于交换机端口的 VLAN、基于节点MAC 地址的 VLAN 和基于应用协议的 VLAN。基于端口的 VLAN 虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于 MAC 地址的 VLAN 为移动计算提供了可能性,但同时也潜藏着遭受 MAC 欺诈攻击的隐患。而基于协议的 VLAN,理论上非常
10、理想,但实际应用却尚不成熟。 在集中式网络环境下,我们通常将中心的所有主机系统集中到一个 VLAN里,在这个 VLAN 里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的 VLAN 内,互不侵扰。三、项目设计利用华为模拟器 eNsp 模拟一个小型企业的局域网局部内部网络,其拓扑图如下:1.设计任务:A 该公司内部主机的地址全部通过 dhcp 获取,R1 做 dhcp 服务器,业务部为 vlan10,它的地址网段为 192.168.10.0/24,其中 192.168.10.1 作为vla
11、n10 的网关;会计部为 vlan20,它的地址网段为 192.168.20.0/24,其中192.168.20.1 作为 vlan20 的网关B 在接入交换机中开启端口安全,配置接口 MAC 地址学习限制数为 1;配置端口安全功能的保护动作为 shutdown;开启接口 Sticky MAC 功能。C 在 R1 跟防火墙之间使用动态路由协议 ospfD 在防火墙中配置区域安全,并设置安全策略,在防火墙做 NAT,将内部的私有地址映射出去,允许内部地址访问外部网络。2.原理分析:AVlanVLAN(Virtual Local Area Network)的中文名为“虚拟局域网“。虚拟局域网(VL
12、AN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。VLAN 是一种比较新的技术,工作在 OSI 参考模型的第 2 层和第 3 层,一个 VLAN 就是一个广播域,VLAN 之间的通信是通过第 3 层的路由器来完成的。与传统的局域网技术相比较,VLAN 技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不
13、同的广播域是相互隔离的。不同的广播域之间想要通信,需要通过一个或多个路由器。这样的一个广播域就称为 VLAN。 划分 VLAN 后,不同 VLAN 之间不能直接通信。如果要实现 VLAN 间通信,可以采取以下方案:图 2 通过子接口实现 VLAN 间的通信a子接口如上图 2 所示,DeviceA 为支持配置子接口的三层设备,DeviceB 为二层交换设备。LAN 通过 DeviceB 的以太网接口(交换式以太网接口)与 DeviceA 的以太网接口(路由式以太网接口)相连。用户主机被划分到两个 VLAN:VLAN2和 VLAN3。可通过如下配置实现 VLAN 间互通。在 DeviceA 的以太
14、网接口(与 DeviceB 相连的以太网接口)上创建 2 个子接口 Port1.1 和 Port2.1,并配置 802.1Q 封装与 VLAN2 和 VLAN3 分别对应。配置子接口的 IP 地址,保证两个子接口对应的 IP 地址路由可通。将 DeviceB 与 DeviceA 相连的以太网接口类型配置为 Trunk 或 Hybrid 类型,允许 VLAN2 和 VLAN3 的帧通过。将用户设备的缺省网关设置为所属 VLAN 对应子接口的 IP 地址。主机 A 和 C 的通信过程如下:主机 A 将主机 C 的 IP 地址和自己所在网段进行比较,发现主机 C 和自己不在同一个子网。主机 A 发送
15、 ARP 请求给自己的网关 DeviceA,请求网关的 MAC 地址。DeviceA 收到该 ARP 请求后,返回 ARP 应答报文,报文中源 MAC 地址为VLAN2 对应子接口的 MAC 地址。主机 A 学习到网关的 MAC 地址。主机 A 向网关发送目的 MAC 为子接口 MAC 地址、目的 IP 为主机 C 的 IP 地址的报文。DeviceA 收到该报文后进行三层转发,发现主机 C 的 IP 地址为直连路由,报文将通过 VLAN3 关联的子接口进行转发。DeviceA 作为 VLAN3 内主机的网关,向 VLAN3 内发送一个 ARP 广播,请求主机 C 的 MAC 地址。主机 C
16、收到网关发送的 ARP 广播后,对此请求进行 ARP 应答。网关收到主机 C 的应答后,就把主机 A 的报文发送给主机 C。主机 A 之后要发给 C 的报文都先发送给网关,由网关做三层转发。bVLANIF 接口三层交换技术是将路由技术与交换技术合二为一的技术,在交换机内部实现了路由,提高了网络的整体性能。三层交换机通过路由表传输第一个数据流后,会产生一个 MAC 地址与 IP 地址的映射表。当同样的数据流再次通过时,将根据此表直接从二层通过而不是通过三层,从而消除了路由器进行路由选择而造成的网络延迟,提高了数据包转发效率。为了保证第一次数据流通过路由表正常转发,路由表中必须有正确的路由表项。因
17、此必须在三层交换机上部署三层接口并部署路由协议,实现三层路由可达。VLANIF 接口由此而产生。VLANIF 接口是三层逻辑接口,可以部署在三层交换机上,也可以部署在路由器上。在下图 3 所示的网络中,交换机上划分了 2 个 VLAN:VLAN2 和 VLAN3。可通过如下配置实现 VLAN 间互通。在 Device 上创建 2 个 VLANIF 接口并配置 VLANIF 接口的 IP 地址,保证两个 VLANIF 接口对应的 IP 地址路由可通。将用户设备的缺省网关设置为所属 VLAN 对应 VLANIF 接口的 IP 地址。图 3 通过 VLANIF 接口实现 VLAN 间的通信主机 A
18、和 C 的通信过程如下:主机 A 将主机 C 的 IP 地址和自己所在网段进行比较,发现主机 C 和自己不在同一个子网。主机 A 发送 ARP 请求给自己的网关 Device,请求网关的 MAC 地址。Device 收到该 ARP 请求后,返回 ARP 应答报文,报文中源 MAC 地址为VLANIF2 的 MAC 地址。主机 A 学习到网关的 MAC 地址。主机 A 向网关发送目的 MAC 为 VLANIF 接口 MAC 地址、目的 IP 为主机 C 的IP 地址的报文。Device 收到该报文后进行三层转发,发现主机 C 的 IP 地址为直连路由,报文将通过 VLANIF3 接口进行转发。D
19、evice 作为 VLAN3 内主机的网关,向 VLAN3 内发送一个 ARP 广播,请求主机 C 的 MAC 地址。主机 C 收到网关发送的 ARP 广播后,对此请求进行 ARP 应答。网关收到主机 C 的应答后,就把主机 A 的报文发送给主机 C。主机 A 之后要发给 C 的报文都先发送给网关,由网关做三层转发。B端口安全端口安全是一种基于 MAC 地址对网络接入进行控制的安全机制,是对已有的 802.1X 认证和 MAC 地址认证的扩充。这种机制通过检测端口收到的数据帧中的源 MAC 地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的 MAC 地址来控制对非授权设备的访
20、问。 端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源 MAC 地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指: a 禁止 MAC 地址学习时,收到的源 MAC 地址为未知 MAC 的报文; b 端口学习到的 MAC 地址达到端口所允许的最大 MAC 地址数后,收到的源MAC 地址为未知 MAC 的报文; c 未通过认证的用户发送的报文。C.OSPFOSPF 是一种分层次的路由协议,其层次中最大的实体是 AS(自治系统) ,即遵循共同路由策略管
21、理下的一部分网络实体。在每个 AS 中,将网络划分为不同的区域。每个区域都有自己特定的标识号。对于主干(backbone)区域,负责在区域之间分发链路状态信息。这种分层次的网络结构是根据 OSPF 的实际提出来的。当网络中自治系统非常大时,网络拓扑数据库的内容就更多,所以如果不分层次的话,一方面容易造成数据库溢出,另一方面当网络中某一链路状态发生变化时,会引起整个网络中每个节点都重新计算一遍自己的路由表,既浪费资源与时间,又会影响路由协议的性能(如聚合速度、稳定性、灵活性等) 。因此,需要把自治系统划分为多个域,每个域内部维持本域一张唯一的拓扑结构图,且各域根据自己的拓扑图各自计算路由,域边界
22、路由器把各个域的内部路由总结后在域间扩散。这样,当网络中的某条链路状态发生变化时,此链路所在的域中的每个路由器重新计算本域路由表,而其它域中路由器只需修改其路由表中的相应条目而无须重新计算整个路由表,节省了计算路由表的时间。 OSPF 由两个互相关联的主要部分组成:“呼叫”协议和“可靠泛洪”机制。呼叫协议检测邻居并维护邻接关系,可靠泛洪算法可以确保统一域中的所有的OSPF 路由器始终具有一致的链路状态数据库,而该数据库构成了对域的网络拓扑和链路状态的映射。链路状态数据库中每个条目称为 LSA(链路状态通告) ,共有 5 种不同类型的 LSA,路由器间交换信息时就是交换这些 LSA。每个路由器都
23、维护一个用于跟踪网络链路状态的数据库,然后各路由器的路由选择就是基于链路状态,通过 Dijkastra 算法建立起来最短路径树,用该树跟踪系统中的每个目标的最短路径。最后再通过计算域间路由、自治系统外部路由确定完整的路由表。与此同时,OSPF 动态监视网络状态,一旦发生变化则迅速扩散达到对网络拓扑的快速聚合,从而确定出新的网络路由表。 OSPF 的设计实现要涉及到指定路由器、备份指定路由器的选举、协议包的接收、发送、泛洪机制、路由表计算等一系列问题。D.NATNAT(Network Address Translation,网络地址转换)是 1994 年提出的。当在专用网内部的一些主机本来已经分
24、配到了本地 IP 地址(即仅在本专用网内使用的专用地址) ,但现在又想和因特网上的主机通信(并不需要加密)时,可使用 NAT 方法。这种方法需要在专用网连接到因特网的路由器上安装 NAT 软件。装有 NAT软件的路由器叫做 NAT 路由器,它至少有一个有效的外部全球 IP 地址。这样,所有使用本地地址的主机在和外界通信时,都要在 NAT 路由器上将其本地地址转换成全球 IP 地址,才能和因特网连接。另外,这种通过使用少量的公有 IP 地址代表较多的私有 IP 地址的方式,将有助于减缓可用的 IP 地址空间的枯竭。借助于 NAT,私有(保留)地址的“内部“网络通过路由器发送数据包时,私有地址被转
25、换成合法的 IP 地址,一个局域网只需使用少量 IP 地址(甚至是1 个)即可实现私有地址网络内所有计算机与 Internet 的通信需求。NAT 将自动修改 IP 报文的源 IP 地址和目的 IP 地址,Ip 地址校验则在 NAT处理过程中自动完成。有些应用程序将源 IP 地址嵌入到 IP 报文的数据部分中,所以还需要同时对报文的数据部分进行修改,以匹配 IP 头中已经修改过的源IP 地址。否则,在报文数据部分嵌入 IP 地址的应用程序就不能正常工作。Nat-工作流程 1如右图这个 client(终端) 的 gateway (网关)设定为 NAT 主机,所以当要连上 Internet 的时候
26、,该封包就会被送到 NAT 主机,这个时候的封包 Header 之 source IP(源 IP) 为 192.168.1.100 ;而透过这个 NAT 主机,它会将 client 的对外联机封包的 source IP ( 192.168.1.100 ) 伪装成 ppp0 ( 假设为拨接情况 )这个接口所具有的公共 IP ,因为是公共 IP 了,所以这个封包就可以连上 Internet 了,同时 NAT 主机并且会记忆这个联机的封包是由哪一个 ( 192.168.1.100 ) client 端传送来的;Nat 工作流程 2由 Internet 传送回来的封包,当然由 NAT 主机来接收了,这
27、个时候, NAT 主机会去查询原本记录的路由信息,并将目标 IP 由 ppp0 上面的公共 IP 改回原来的 192.168.1.100 ;最后则由 NAT 主机将该封包传送给原先发送封包的 Client 。E.DHCPDHCP 协议采用 UDP 作为传输协议,主机发送请求消息到 DHCP 服务器的 67号端口,DHCP 服务器回应应答消息给主机的 68 号端口。详细的交互过程如下图。1. DHCP Client 以广播的方式发出 DHCP Discover 报文。2. 所有的 DHCP Server 都能够接收到 DHCP Client 发送的 DHCP Discover报文,所有的 DHC
28、P Server 都会给出响应,向 DHCP Client 发送一个DHCP Offer 报文。DHCP Offer 报文中“Your(Client) IP Address”字段就是 DHCP Server能够提供给 DHCP Client 使用的 IP 地址,且 DHCP Server 会将自己的 IP 地址放在“option”字段中以便 DHCP Client 区分不同的 DHCP Server。DHCP Server 在发出此报文后会存在一个已分配 IP 地址的纪录。3. DHCP Client 只能处理其中的一个 DHCP Offer 报文,一般的原则是 DHCP Client 处理最
29、先收到的 DHCP Offer 报文。DHCP Client 会发出一个广播的 DHCP Request 报文,在选项字段中会加入选中的 DHCP Server 的 IP 地址和需要的 IP 地址。4. DHCP Server 收到 DHCP Request 报文后,判断选项字段中的 IP 地址是否与自己的地址相同。如果不相同,DHCP Server 不做任何处理只清除相应 IP 地址分配记录;如果相同,DHCP Server 就会向 DHCP Client 响应一个 DHCP ACK 报文,并在选项字段中增加 IP 地址的使用租期信息。5. DHCP Client 接收到 DHCP ACK
30、报文后,检查 DHCP Server 分配的 IP 地址是否能够使用。如果可以使用,则 DHCP Client 成功获得 IP 地址并根据 IP 地址使用租期自动启动续延过程;如果 DHCP Client 发现分配的IP 地址已经被使用,则 DHCP Client 向 DHCPServer 发出 DHCP Decline报文,通知 DHCP Server 禁用这个 IP 地址,然后 DHCP Client 开始新的地址申请过程。6. DHCP Client 在成功获取 IP 地址后,随时可以通过发送 DHCP Release报文释放自己的 IP 地址,DHCP Server 收到 DHCP R
31、elease 报文后,会回收相应的 IP 地址并重新分配。在使用租期超过 50%时刻处,DHCP Client 会以单播形式向 DHCP Server 发送 DHCPRequest 报文来续租 IP 地址。如果 DHCP Client 成功收到 DHCP Server发送的 DHCP ACK 报文,则按相应时间延长 IP 地址租期;如果没有收到 DHCP Server 发送的 DHCP ACK 报文,则 DHCP Client 继续使用这个 IP 地址。在使用租期超过 87.5%时刻处,DHCP Client 会以广播形式向 DHCP Server发送 DHCPRequest 报文来续租 IP
32、 地址。如果 DHCP Client 成功收到 DHCP Server 发送的 DHCP ACK 报文,则按相应时间延长 IP 地址租期;如果没有收到DHCP Server 发送的 DHCP ACK 报文,则 DHCP Client 继续使用这个 IP 地址,直到 IP 地址使用租期到期时,DHCP Client 才会向 DHCP Server 发送 DHCP Release 报文来释放这个 IP 地址,并开始新的 IP 地址申请过程。需要说明的是:DHCP 客户端可以接收到多个 DHCP 服务器的 DHCPOFFER 数据包,然后可能接受任何一个 DHCPOFFER 数据包,但客户端通常只接
33、受收到的第一个 DHCPOFFER 数据包。另外,DHCP 服务器 DHCPOFFER 中指定 1 的地址不一定为最终分配的地址,通常情况下,DHCP 服务器会保留该地址直到客户端发出正式请求。正式请求 DHCP 服务器分配地址 DHCPREQUEST 采用广播包,是为了让其它所有发送 DHCPOFFER 数据包的 DHCP 服务器也能够接收到该数据包,然后释放已经OFFER(预分配)给客户端的 IP 地址。如果发送给 DHCP 客户端的地址已经被其他 DHCP 客户端使用,客户端会向服务器发送 DHCPDECLINE 信息包拒绝接受已经分配的地址信息。在协商过程中,如果 DHCP 客户端发送
34、的 REQUEST 消息中的地址信息不正确,如客户端已经迁移到新的子网或者租约已经过期,DHCP 服务器会发送 DHCPNAK消息给 DHCP 客户 端,让客户端重新发起地址请求过程。四、项目实现1.配置 dhcp 地址池R1ip pool vlan10R1-ip-pool-vlan10 gateway-list 192.168.10.1 R1-ip-pool-vlan10 network 192.168.10.0 mask 255.255.255.0 R1-ip-pool-vlan10 lease day 10 hour 0 minute 0 R1-ip-pool-vlan10 dns-li
35、st 8.8.8.8 114.114.114.114 R1-ip-pool-vlan10ip pool vlan20R1-ip-pool-vlan20 gateway-list 192.168.20.1 R1-ip-pool-vlan20 network 192.168.20.0 mask 255.255.255.0 R1-ip-pool-vlan20 lease day 10 hour 0 minute 0 R1-ip-pool-vlan20 dns-list 8.8.8.8 114.114.114.114 查看主机分配情况2.端口安全SW2int Ethernet 0/0/2SW2-Eth
36、ernet0/0/2port link-type accessSW2-Ethernet0/0/2 port default vlan 10SW2-Ethernet0/0/2 port-security enableSW2-Ethernet0/0/2 port-security protect-action shutdownSW2-Ethernet0/0/2 port-security mac-address stickySW2-Ethernet0/0/2quitSW2int Ethernet 0/0/3SW2-Ethernet0/0/3port link-type accessSW2-Ethe
37、rnet0/0/3 port default vlan 10SW2-Ethernet0/0/3 port-security enableSW2-Ethernet0/0/3 port-security protect-action shutdownSW2-Ethernet0/0/3 port-security mac-address sticky查看地址 stikey 情况3.ospf 配置R1 ospf 1 router-id 1.1.1.1 R1-ospf-1 area 0.0.0.0 R1-ospf-1-area-0.0.0.0 network 10.1.1.0 0.0.0.3 R1-os
38、pf-1-area-0.0.0.0 network 192.168.10.0 0.0.0.255 R1-ospf-1-area-0.0.0.0 network 192.168.20.0 0.0.0.255 Eudemonospf 1 router-id 2.2.2.2Eudemon-ospf-1 area 0.0.0.0Eudemon-ospf-1-area-0.0.0.0 network 10.1.1.0 0.0.0.34.安全策略配置Eudemonfirewall zone trust Eudemon-zone-trustset priority 85Eudemon-zone-trust
39、add interface GigabitEthernet0/0/0Eudemon-zone-trustqEudemonfirewall zone untrust Eudemon-zone-untrustset priority 5Eudemon-zone-untrust add interface GigabitEthernet0/0/1Eudemon firewall packet-filter default permit interzone trust untrust direction outbound /当数据流无法匹配域间包过滤中的 ACL 规则时,会按照域间缺省包过滤规则转发或
40、丢弃该数据流的报文5.NAT 配置Eudemon interface GigabitEthernet 1/0/2Eudemon-GigabitEthernet1/0/2 ip address 202.169.10.1 24Eudemon-GigabitEthernet1/0/2 quitEudemon acl 2000Eudemon-acl-basic-2000 rule permit source 192.168.10.0 0.0.0.255Eudemon-acl-basic-2000 rule permit source 192.168.20.0 0.0.0.255Eudemon-acl-
41、basic-2000 quit /创建基本 ACL 2000,配置源地址为192.168.10.0/24 和 192.168.20.0/24 的规则Eudemon nat address-group 1 202.169.10.3 202.169.10.6 /配置 NAT 地址池。Eudemonnat-policy interzone trust untrust outbound Eudemon-nat-policy-interzone-trust-untrust-outboundpolicy 1Eudemon-nat-policy-interzone-trust-untrust-outboun
42、d-1action source-nat Eudemon-nat-policy-interzone-trust-untrust-outbound-1address-group 1 /配置 Trust 区域和 Untrust 区域的 NAT Eudemon ip route-static 202.169.10.3 32 NULL 0Eudemon ip route-static 202.169.10.4 32 NULL 0Eudemon ip route-static 202.169.10.5 32 NULL 0Eudemon ip route-static 202.169.10.6 32 NU
43、LL 0 /配置黑洞路由查看结果五、总 结时光飞逝,转眼间我们就要大学毕业了。这次毕业设计给了我很大的感想!通过这次的毕业设计真的让我学到了很多东西。在毕业设计的这段时间里,我发现自己了的缺陷和不足,而且还非常的缺乏经验,令我印象最深刻的是在设计过程中会遇到各种各样细节上的问题,这些问题给我的进度造成了一些很大的影响,但我并没有气馁,在查阅了大量资料反复演算,点点滴滴的修改后终于解决。设计过程中也会遇到麻烦,比如怎样最清晰的表达自己的设计思路,如何去解决面临的以前自己没有涉及的领域!六、致谢 大学生活一晃而过,回首走过的岁月,心中倍感充实,当我写完这篇毕业论文的时候,有一种如释重负的感觉,感慨
44、良多。首先诚挚的感谢我的论文指导老师龚发根老师。他在忙碌的教学工作中挤出时间来审查、修改我的论文。还有教过我的所有老师们,你们严谨细致、一丝不苟的作风一直是我工作、学习中的榜样;他们循循循善诱的教导和不拘一格的思路给予我无尽的启迪。感谢三年中陪伴在我身边的同学、朋友、感谢他们为我提出的有意的建议和意见,有了他们的支持、鼓励和帮助,我才能充实的度过了三年的学习生活。最后祝各位老师,同学身体健康,万事如意。参考文献 1 王达.网管员必读网络安全.北京:机械工业出版社,2009 2 黄传河.网络规划设计师教程.北京:机械工业出版社,2009 3 张千里,陈光英. 网络安全新技术.北京:人民邮电出版社,2003 4 王卫红,李晓明.计算机网络与互联网.北京:机械工业出版社,2009 5 易建勋 .计算机网络技术 .北京:人民邮电出版社,2007. 6 扬卫东 .网络系统集成与工程设计,2007.
