文档介绍:综合练习一、阅读说明,回答问题1、问题2、问题3,将解答填入答题纸的对应栏内。
[说明]某单位要与其下所属四个县局单位实现连网,具体设计如下:
1、设计要求
(1、)县局B终端用户包括:20个普通用户,县局C终端用包括:40个普通用户,县局D终端用户包括:20个普通用户,县局E终端用户包括:18个普通用户,市局A终端用户包括90个普通用。
(2、)每个县局都有4个特殊用户,市局有10个特殊用户。
(3、)服务器提供Web、DNS、E-mail服务。(所有服务器都其中在市局网络中心)
(4、)支持远程培训,可以接入互联网,具有广域网访问的安全机制和网络管理功能。
(5、)各县局与市局之间的距离都大于100公里。
(6、)每个县局与市局都分布一个网段(县局B:,县局C:,县局D:,县局E::)
(7、)县局与市局通过光纤连接。
说明:所谓普通用户就是只能用于生产(只能县与县,县与市局连网,),网,网。
2、可选设备:
设备名称
数量
特性
交换机switch1
6台
具有两个100Base—TX端口和24个10Base—TX端口
交换机switch2
2台
具有两个100Base—TX端口和48个10Base—TX端口
路由器Router1
1台
提供了对内的10/100M局域多接口,对外的128K的ISDN或专线连接,同时具有防火墙功能。
路由器Router2
4台
提供了对内的10/100M局域网接口,同/异步串口模块或ISDN模块
问题1、请为该单位设计网络方案(画出其网络拓扑结构图)
问题2、怎么实现普通用户只能用作生产用,而特殊用户既可以生产用,也可以上网?
问题3、如果该单位用于生产的数据很重要,其安全性要求很高,与其连在一起对其安全造成很大威胁,在允许增加可选设备的条件下,你怎样处理?为什么那样处理?
【参考答案】
1、
2、我们所选用的为A(市局)所选用的路由器为Router1(提供了对内的10/100M局域多接口,对外的128K的ISDN或专线连接,同时具有防火墙功能)。我们利用该路由器所具有的防火墙功能将内网和外网隔离开来,将需要上网的ip地址用访问列表加以控制。
3、可以利用网络技术“非军事区结构模式”(DMZ)。在重要的数据服务器之前再增加一道防火墙。在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。而局域网内部,的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。
综合练习二、
阅读以下说明,回答问题1、问题2。
[说明:] 将分布在不同地点的终端联接在成的专用网络。目前大多采用IPSec实现IP网络上端点间的认证和加密服务。(见下图一)
VPN的基本配置
公司总部网络子网为
公司分部服务器为
执行下列步骤:
确定一个预先共享的密钥(保密密码)(idedu)
为SA协商过程配置IKE。
配置IPSec
Shelby(config)#crypto isakmp policy1 //policy1表示策略1,假如想多配几个VPN,可以写成policy2、policy3---
Shelby(config-isakmp)#group1 //使用group1长度的密钥,group命令有两个参数值:1和2。
参数1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥。
Shelby(config-isakm)#authentication pre-share_ __(1)____
Shelby(config-isakm)#ifetime 3600 //对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。
Shelby(config)#crypto isakmp idedu address //返回到全局设置模式确定要使用的预先共享