1. 網(wǎng)絡(luò)搭建

根據(jù)所給定的拓?fù)湟?，將給定的網(wǎng)絡(luò)設(shè)備互連，搭建物理網(wǎng)絡(luò)。

2. IP 地址規(guī)劃

根據(jù)要求確定所需子網(wǎng)的數(shù)量，每個(gè)子網(wǎng)的主機(jī)數(shù)量，設(shè)計(jì)適當(dāng)?shù)木幹贩桨?，填寫網(wǎng)絡(luò)地址規(guī)劃表和設(shè)備地址表。

3. 網(wǎng)絡(luò)設(shè)備的安全配置

根據(jù)任務(wù)書中指出的安全需求，完成數(shù)據(jù)網(wǎng)絡(luò)安全配置。

4 數(shù)據(jù)網(wǎng)絡(luò)安全測試

安全配置后進(jìn)行完全效果測試，并分析對應(yīng)的數(shù)據(jù)包，理解背后的原理。

一、綜合實(shí)訓(xùn)內(nèi)容描述

《網(wǎng)絡(luò)設(shè)備安全配置與管理》綜合實(shí)訓(xùn)目的在于通過實(shí)際案例需求分析完成設(shè)備的仿真配置，同時(shí)根據(jù)需求完成網(wǎng)絡(luò)安全配置與管理，保證數(shù)據(jù)網(wǎng)絡(luò)安全正常運(yùn)行。從而能在實(shí)際工程中理解網(wǎng)絡(luò)安全通信的含義。

二、實(shí)施中需要完成的工作任務(wù)

1. 網(wǎng)絡(luò)搭建

根據(jù)所給定的拓?fù)湟螅瑢⒔o定的網(wǎng)絡(luò)設(shè)備互連，搭建物理網(wǎng)絡(luò)。

2. IP 地址規(guī)劃

根據(jù)要求確定所需子網(wǎng)的數(shù)量，每個(gè)子網(wǎng)的主機(jī)數(shù)量，設(shè)計(jì)適當(dāng)?shù)木幹贩桨福顚懢W(wǎng)絡(luò)地址規(guī)劃表和設(shè)備地址表。

3. 網(wǎng)絡(luò)設(shè)備的安全配置

根據(jù)任務(wù)書中指出的安全需求，完成數(shù)據(jù)網(wǎng)絡(luò)安全配置。

4 數(shù)據(jù)網(wǎng)絡(luò)安全測試

安全配置后進(jìn)行完全效果測試，并分析對應(yīng)的數(shù)據(jù)包，理解背后的原理。

三、注意事項(xiàng)

項(xiàng)目完成后需要提交相關(guān)的WORD規(guī)劃文件以及相應(yīng)的配置文檔。兩份文檔存儲在文件夾中上交。文件及文件夾命名規(guī)則如下：

四、網(wǎng)絡(luò)拓?fù)鋱D如下

五、根據(jù)網(wǎng)絡(luò)安全需求，進(jìn)行網(wǎng)絡(luò)安全配置

（一）基礎(chǔ)配置

1、在Packet Tracer中繪制如圖所示拓?fù)鋱D，模擬某公司分隔兩地的總公司和分公司之間通過Internet 連接。（注意：XX為學(xué)號最后2位）

2、IP地址規(guī)劃和配置

（1）IP地址規(guī)劃：

如拓?fù)鋱D所示，2個(gè)分公司內(nèi)部采用私網(wǎng)地址，Internet采用公網(wǎng)地址，地址表規(guī)劃如下：

（2）IP地址配置：

按拓?fù)鋱D地址規(guī)劃要求：

給各路由器配置對應(yīng)的IP地址、子網(wǎng)掩碼；

給各PC機(jī)配置對應(yīng)的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)。

配置命令如下：（注意：配置命令要大概說明其含義）

R1 IP 地址配置

R1> enable													#進(jìn)入特權(quán)模式
R1# configure terminal										#進(jìn)入全局模式
R1(config)# interface fastEthernet 0/0						#進(jìn)入fa0/0端口
R1(config-if)# ip address 10.10.11.254 255.255.255.0		#配置IP和子網(wǎng)掩碼
R1(config-if)# no shutdown 									#啟用端口
R1(config-if)# exit											#退出fa0/0端口
R1(config)# interface fastEthernet 1/0						#進(jìn)入fa1/0端口
R1(config-if)# ip address 100.1.1.1 255.255.255.252 		#配置IP和子網(wǎng)掩碼
R1(config-if)# no shutdown 									#啟用端口
R1(config-if)# exit											#退出fa1/0端口

R3 IP 地址配置

R3> enable													#進(jìn)入特權(quán)模式
R3# configure terminal										#進(jìn)入全局模式
R3(config)# interface fastEthernet 0/0						#進(jìn)入fa0/0端口
R3(config-if)# ip address 192.168.11.254 255.255.255.0		#配置IP和子網(wǎng)掩碼
R3(config-if)# no shutdown 									#啟用端口
R3(config-if)# exit											#退出fa0/0端口
R3(config)# interface fastEthernet 1/0						#進(jìn)入fa1/0端口
R3(config-if)# ip address 200.1.1.1 255.255.255.252 		#配置IP和子網(wǎng)掩碼
R3(config-if)# no shutdown 									#啟用端口
R3(config-if)# exit											#退出fa1/0端口

ISP 配置

ISP> enable													#進(jìn)入特權(quán)模式
ISP# configure terminal 									#進(jìn)入全局模式
ISP(config)# interface fastEthernet 4/0						#進(jìn)入fa4/0端口
ISP(config-if)# ip address 100.1.1.2 255.255.255.252		#配置IP和子網(wǎng)掩碼
ISP (config-if)# no shutdown 								#啟用端口
ISP(config-if)# exit										#退出fa4/0端口
ISP(config)# interface fastEthernet 5/0						#進(jìn)入fa5/0端口
ISP(config-if)# ip address 200.1.1.2 255.255.255.252		#配置IP和子網(wǎng)掩碼
ISP(config-if)# no shutdown 								#啟用端口
ISP(config-if)# exit										#退出fa5/0端口
ISP(config)# interface fastEthernet 0/0						#進(jìn)入fa0/0端口
ISP(config-if)# ip address 201.1.1.254 255.255.255.0		#配置IP和子網(wǎng)掩碼
ISP(config-if)# no shutdown 								#啟用端口
ISP(config-if)# exit										#退出fa0/0端口

3、在總公司和分公司邊界路由器上配置默認(rèn)路由，達(dá)到總公司和分公司公網(wǎng)地址互通，配置命令如下：（注意：配置命令要大概說明其含義）

R1 配置默認(rèn)路由

R1(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.2	#配置默認(rèn)路由

R3 配置默認(rèn)路由

R3(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.2	#配置默認(rèn)路由

4、測試R1和R3的公網(wǎng)地址間的互通性（驗(yàn)證Internet互通），截圖如下：（注意：說明為什么）

答：可以互通，因?yàn)镽1配置了默認(rèn)路由，全部數(shù)據(jù)包轉(zhuǎn)發(fā)給了ISP的Fa4/0端口，而R3配置了默認(rèn)路由，全部數(shù)據(jù)包轉(zhuǎn)發(fā)給了ISP的Fa5/0端口，最終數(shù)據(jù)包在同一個(gè)路由器的兩個(gè)端口上，所以可以直接通信。

（二）路由器R1的SSH登錄服務(wù)配置：

1、SSH登錄要求：

在路由器R1上配置SSH登錄服務(wù)，其中所有的域名、用戶名、密碼等皆為wtctx-YYY（YYY為姓名縮寫）

2、配置命令如下：（注意：配置命令要大概說明其含義）

R1(config)# hostname R1						#配置ssh前必須修改主機(jī)名
R1(config)# ip domain-name wtctx-qh			#給路由器設(shè)置域名
R1(config)# crypto key generate rsa			#生成rsa秘鑰
R1(config)# line vty 0 15					#進(jìn)入vty端口，最多15人同時(shí)在線
R1(config-line)# transport input ssh		#啟用SSH登錄
R1(config-line)# privilege level 15			#設(shè)置用戶操作等級為最高級
R1(config-line)# login local				#使用本地驗(yàn)證
R1(config-line)# exit						#退出到全局模式
R1(config)# username wtctx-qh password wtctx-qh	#創(chuàng)建用戶名和密碼
R1(config)# enable secret wtctx-qh			#設(shè)置密文密碼

3、測試PC2 SSH登錄R1，截圖如下：

（三）交換機(jī)端口安全配置：

1、在總公司交換機(jī)上端口安全要求：

（1）f0/1端口采用靜態(tài)MAC地址學(xué)習(xí)方式，指定服務(wù)器0的MAC地址，端口最大MAC地址數(shù)為？違規(guī)處理方式shutdown

（2）f0/2端口采用sticky MAC地址學(xué)習(xí)方式，端口最大MAC地址數(shù)為？違規(guī)處理方式restrict

2、相關(guān)配置命令如下：（注意：配置命令要大概說明其含義）

Fa0/1 端口配置

Switch> en													#進(jìn)入特權(quán)模式
Switch# configure terminal									#進(jìn)入全局模式
Switch(config)# interface fastEthernet 0/1					#進(jìn)入Fa0/1端口
Switch(config-if)# shutdown									#關(guān)閉端口，清空mac地址表
Switch(config-if)# switchport mode access					#端口定義為access口
Switch(config-if)# switchport port-security					#開啟端口安全功能
Switch(config-if)# switchport nonegotiate					#禁用DTP
Switch(config-if)# switchport port-security maximum 1		#設(shè)置允許最大地址數(shù)為1
Switch(config-if)# switchport port-security mac-address 0090.0C62.168A   #綁定允許接入的地址
Switch(config-if)# switchport port-security violation shutdown		   #指定違規(guī)處理行為
Switch(config-if)# no shutdown									   #啟用端口

解析：端口最大mac地址數(shù)為1即可，由于Fa0/1與服務(wù)器0是直連的，綁定服務(wù)器0的mac地址即可限制其它設(shè)備接入。

Fa0/2 端口配置

Switch> en												#進(jìn)入特權(quán)模式
Switch# configure terminal									#進(jìn)入全局模式
Switch(config)# interface fastEthernet 0/2					#進(jìn)入Fa0/1端口
Switch(config-if)# shutdown									#關(guān)閉端口，清空mac地址表
Switch(config-if)# switchport mode access						#端口定義為access口
Switch(config-if)# switchport port-security					#開啟端口安全功能
Switch(config-if)# switchport nonegotiate						#禁用DTP
Switch(config-if)# switchport port-security maximum 3			#設(shè)置允許最大地址數(shù)為3
Switch(config-if)# switchport port-security mac-address sticky	#綁定允許接入的地址
Switch(config-if)# switchport port-security violation restrict	#指定違規(guī)處理行為
Switch(config-if)# no shutdown								#啟用端口

解析：端口最大mac地址數(shù)為3，通過觀察交換機(jī)的mac地址表可以看出，交換機(jī)一共粘貼到了三個(gè)地址，F(xiàn)a0/2端口下另外一個(gè)交換機(jī)的Fa0/1號端口的mac地址，和PC1與PC5的mac地址。添加其他設(shè)備發(fā)現(xiàn)無法通信，表明最大數(shù)為3是正確的。

（四）無線局域網(wǎng)安全配置：

在分公司無線路由器上做安全配置：

1、基礎(chǔ)安全設(shè)置：（XX為學(xué)號最后2位）

1）修改無線路由器默認(rèn)的管理密碼為：wtctx

2）修改LAN口地址：192.168.XX+1.1/24

3）修改SSID：wtctx18

4）無線安全配置：

認(rèn)證：WPA2-PSK

加密：AES

預(yù)共享密鑰：wtctx2020

2、進(jìn)一步安全配置：

1）隱藏SSID

2）無線mac地址過濾

只允許圖中3臺無線設(shè)備laptop0、Smartphone0、Table PC0的mac地址接入，其他不允許

3、測試各無線終端與PC6的連通性，截圖顯示如下：

（五）GRE over IPSec VPN配置：

1、在企業(yè)總公司和分公司間配置GRE over IPSec VPN (企業(yè)總公司和分公司間參數(shù)一致)，要求：

（1）GRE tunnel兩端地址分別為：1.1.1.1/24和1.1.1.2/24 ，tunnel編號為120

（2）企業(yè)總公司和分公司間運(yùn)行rip協(xié)議或OSPF實(shí)現(xiàn)互通

（3）IPSec配置：設(shè)置IKE參數(shù),策略優(yōu)先級為1（預(yù)共享驗(yàn)證、DES加密、MD5驗(yàn)證，DH組2，預(yù)共享驗(yàn)證密鑰為wtctx）

（4）Ipsec SA 參數(shù)設(shè)置：ESP-DES加密、ESP-MD5-HMAC驗(yàn)證

（5）VPN數(shù)據(jù)流acl編號為110

（6）transform-set 命名為wtctxset1，crypto map命名為wtctxmap

2、配置如下：（注意：配置命令要大概說明其含義）

R1(config)#interface tunnel 120					#創(chuàng)建虛擬tunnel端口
R1(config-if)#ip address 1.1.1.1 255.255.255.0		#定義tunnel接口的IP地址
R1(config-if)#tunnel source fastEthernet 1/0		#定義tunnel通道的源地址
R1(config-if)#tunnel destination 200.1.1.1		#定義tunnel通道的目的地址
R1(config)#router rip							#啟用rip路由協(xié)議
R1(config-router)#version 2						#定義rip v2版本
R1(config-router)#no auto-summary					#關(guān)閉自動(dòng)匯總
R1(config-router)#network 10.10.11.0				#宣告自己的網(wǎng)段
R1(config-router)#network 1.1.1.1					#宣告自己的網(wǎng)段
R1(config-router)# exit							#回到全局模式
R1(config)# crypto isakmp enable						#啟用IKE
R1(config)# crypto isakmp policy 1						#建立IKE策略，優(yōu)先級為1
R1(config-isakmp)# authentication pre-share				#使用預(yù)共享的密碼進(jìn)行身份驗(yàn)證
R1(config-isakmp)# encryption des						#使用DES加密方式
R1(config-isakmp)# hash md5							#指定Hash算法為MD5
R1(config-isakmp)# group 2								#指定秘鑰位數(shù)，group2安全性更高
R1(config-isakmp)# exit								#回到全局模式
R1(config)#access-list 110 permit gre host 100.1.1.1 host 200.1.1.1	 #定義感興趣流量
R1(config)# crypto isakmp key wtctx address 200.1.1.1	#設(shè)置預(yù)共享秘鑰和對端IP
R1(config)#crypto ipsec transform-set wtctxset1 esp-des esp-md5-hmac #配置IPSec交換集
R1(config)#crypto map wtctxmap 1 ipsec-isakmp			#創(chuàng)建加密圖
R1(config-crypto-map)#set peer 200.1.1.1				#標(biāo)識對方路由器IP地址
R1(config-crypto-map)#set transform-set wtctxset1		#指定加密圖使用的IPSec交換集
R1(config-crypto-map)#match address 110				#用ACL來定義加密的通信
R1(config-crypto-map)#exit							#回到全局模式
R1(config)#interface fastEthernet 1/0					#進(jìn)入Fa1/0端口
R1(config-if)#crypto map wtctxmap						#應(yīng)用加密圖到接口
R3(config)#interface tunnel 120					#創(chuàng)建虛擬tunnel端口
R3(config-if)#ip address 1.1.1.2 255.255.255.0		#定義tunnel接口的IP地址
R3(config-if)#tunnel source fastEthernet 1/0		#定義tunnel通道的源地址
R3(config-if)#tunnel destination 100.1.1.1		#定義tunnel通道的目的地址
R3(config)#router rip							#啟用rip路由協(xié)議
R3(config-router)#version 2						#定義rip v2版本
R3(config-router)#no auto-summary					#關(guān)閉自動(dòng)匯總
R3(config-router)#network 192.168.11.0			#宣告自己的網(wǎng)段
R3(config-router)#network 1.1.1.2					#宣告自己的網(wǎng)段
R3(config)# crypto isakmp enable					#啟用IKE
R3(config)# crypto isakmp policy 1				#建立IKE策略，優(yōu)先級為1
R3(config-isakmp)# authentication pre-share		#使用預(yù)共享的密碼進(jìn)行身份驗(yàn)證
R3(config-isakmp)# encryption des					#使用DES加密方式
R3(config-isakmp)# hash md5						#指定Hash算法為MD5
R3(config-isakmp)# group 2						#指定秘鑰位數(shù)，group2安全性更高
R3(config-isakmp)# exit							#回到全局模式
R3(config)#access-list 110 permit gre host 200.1.1.1 host 100.1.1.1	 #定義感興趣流量
R3(config)# crypto isakmp key wtctx address 100.1.1.1		#設(shè)置預(yù)共享秘鑰和對端IP
R3(config)#crypto ipsec transform-set wtctxset1 esp-des esp-md5-hmac #配置IPSec交換集
R3(config)#crypto map wtctxmap 1 ipsec-isakmp			#創(chuàng)建加密圖
R3(config-crypto-map)#set peer 100.1.1.1				#標(biāo)識對方路由器IP地址
R3(config-crypto-map)#set transform-set wtctxset1		#指定加密圖使用的IPSec交換集
R3(config-crypto-map)#match address 110				#用ACL來定義加密的通信
R3(config-crypto-map)#exit							#回到全局模式
R3(config)#interface fastEthernet 1/0					#進(jìn)入Fa1/0端口
R3(config-if)#crypto map wtctxmap						#應(yīng)用加密圖到接口

3、測試：

總公司PC5和分公司PC6間以私有地址互訪，截圖如下：

4、分析GRE over Ipsec VPN的數(shù)據(jù)包

答：可以看到入站前源地址和目的地址都是私網(wǎng)地址，經(jīng)過路由器，從出站方向可以看到添加了GRE頭部，然后添加了公網(wǎng)地址的頭部，源地址和目的地址都為公網(wǎng)地址，然后經(jīng)過IPsec加密，最后添加了公網(wǎng)地址的頭部進(jìn)行傳送。

（六）Easy VPN配置：

1、在R1上配置Easy VPN，配置策略要求如下：

（1）設(shè)置IKE參數(shù),策略優(yōu)先級為2（預(yù)共享驗(yàn)證、DES加密、MD5驗(yàn)證、DH組2）

（2）啟動(dòng)aaa，設(shè)置認(rèn)證組名為wtc-a，授權(quán)組名為wtc-o，用戶名和密碼為wtc

（3）設(shè)置策略組名為wtcgroup、密碼為wtckey，地址池為wtcpool，地址范圍172.16.1.1—172.16.1.254

（4）設(shè)置 transform-set 命名為wtctxset2（ESP-DES加密、ESP-MD5-HMAC驗(yàn)證），動(dòng)態(tài)crypto map命名為wtcdmap，靜態(tài)crypto map命名為wtctxmap

2、配置命令如下：（注意：配置命令要大概說明其含義）

R1(config)# crypto isakmp policy 2					##建立IKE策略，優(yōu)先級為2
R1(config-isakmp)# authentication pre-share			#使用預(yù)共享的密碼進(jìn)行身份驗(yàn)證
R1(config-isakmp)# encryption des					#使用DES加密方式
R1(config-isakmp)# hash md5						#指定Hash算法為MD5
R1(config-isakmp)# group 2							#指定秘鑰位數(shù)，group2安全性更高
R1(config)# aaa new-model							#啟用aaa
R1(config)# aaa authentication login wtc-a local			#認(rèn)證
R1(config)# aaa authorization network wtc-o local		#授權(quán)
R1(config)# username wtc password wtc				#在交換機(jī)本地設(shè)置一個(gè)用戶
R1(config)# ip local pool wtcpool 172.16.1.1 172.16.1.254	#定義地址池
R1(config)# crypto isakmp client configuration group wtcgroup		#配置用戶組策略
R1(config-isakmp-group)# key wtckey							#定義密碼
R1(config-isakmp-group)# pool wtcpool						#定義使用的地址池
R1(config-isakmp-group)# exit								#回到全局模式
R1(config)# crypto ipsec transform-set wtctxset2 esp-des esp-md5-hmac	  #配置IPSec交換集R1(config)# crypto dynamic-map wtcdmap 2					#定義動(dòng)態(tài)保密圖
R1(config-crypto-map)# set transform-set wtctxset2				#設(shè)置調(diào)用的IPsec交換集
R1(config-crypto-map)# reverse-route							#路由器必須配置此功能
R1(config-crypto-map)# exit									#回到全局模式
R1(config)# crypto map wtctxmap client authentication list wtc-a	#設(shè)置認(rèn)證用戶列表
R1(config)# crypto map wtctxmap isakmp authorization list wtc-o	#設(shè)置授權(quán)用戶列表
R1(config)# crypto map wtctxmap client configuration address respond	# VPN地址推送方式
R1(config)# crypto map wtctxmap 2 ipsec-isakmp dynamic wtcdmap	#將動(dòng)態(tài)保密圖映射到靜態(tài)保密圖
R1(config-crypto-map)# exit									#回到全局模式
R1(config)# interface fastEthernet 1/0							#進(jìn)入Fa1/0端口
R1(config-if)# crypto map wtctxmap							#關(guān)聯(lián)到Fa1/0端口

3、測試：

出差員工PC以VPN登錄，能訪問公總司PC，截圖顯示

4、分析easy VPN的數(shù)據(jù)包

答：位于公網(wǎng)的電腦，登錄easy VPN之后會自動(dòng)獲取到一個(gè)我們設(shè)置的地址池地址，和位于公司總部的電腦進(jìn)行通信時(shí)，首先在公網(wǎng)這邊的路由器ISP進(jìn)站源地址是分配的地址池IP，目的地址為分公司私網(wǎng)地址，出站后添加了ESP頭部，然后添加了公網(wǎng)地址頭。在總公司路由器進(jìn)站則是將添加了私網(wǎng)地址頭，源地址為公網(wǎng)電腦登錄VPN分配的地址池IP，目的地址為總公司內(nèi)部的私網(wǎng)地址。

（七）NAT配置：

1、在企業(yè)總公司邊界路由器R1上配置靜態(tài)一對多nat，實(shí)現(xiàn)公網(wǎng)PC能訪問內(nèi)網(wǎng)服務(wù)器0的web服務(wù)和ftp服務(wù)，要求：

內(nèi)網(wǎng)服務(wù)器對應(yīng)的公網(wǎng)地址為：202.56.110.1

2、在企業(yè)總公司邊界路由器R1上配置PAT，實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問公網(wǎng)WWW服務(wù)器和公網(wǎng)PC，要求：

（1）公網(wǎng)IP地址直接為私網(wǎng)接口地址；

（2）私網(wǎng)地址acl編號為1

3、配置命令如下：（注意：配置命令要大概說明其含義）

R1(config)#interface fastEthernet 0/0			#進(jìn)入Fa0/0端口
R1(config-if)#ip nat inside					#定義對于NAT來說內(nèi)部接口
R1(config)#interface fastEthernet 1/0			#進(jìn)入Fa1/0端口
R1(config-if)#ip nat outside					#定義對于NAT來說外部接口
R1(config)#ip nat inside source static tcp 10.10.11.1 80 202.56.110.1 80
R1(config)#ip nat inside source static tcp 10.10.11.1 20 202.56.110.1 20
R1(config)#ip nat inside source static tcp 10.10.11.1 21 202.56.110.1 21

ISP(config)#ip route 202.56.110.1 255.255.255.255 100.1.1.1	#配置靜態(tài)路由

R1(config)#access-list 1 permit 10.10.11.0 0.0.0.255   #acl列表
R1(config)#ip nat inside source list 1 interface fastEthernet 1/0 overload #定義轉(zhuǎn)換源

4、測試：

（1）公網(wǎng)PC能訪問總公司內(nèi)網(wǎng)服務(wù)器0的www服務(wù)，截圖如下：

（2）公網(wǎng)PC能訪問總公司內(nèi)網(wǎng)服務(wù)器0的ftp服務(wù)，截圖如下：

（3）總公司PC能訪問公網(wǎng)服務(wù)器，截圖如下：

文章來源地址http://www.zghlxwxcb.cn/news/detail-840469.html

到了這里，關(guān)于Cisco Packet Tracer實(shí)戰(zhàn) - 網(wǎng)絡(luò)設(shè)備安全配置綜合實(shí)訓(xùn)的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！