收藏
下载资源 加入VIP免费专享

网络课程设计企业网中的访问控制列表.doc

上传人:仙人指路1688 文档编号:2402069 上传时间:2023-02-17 格式:DOC 页数:13 大小:1.08MB
返回 下载 相关 举报
网络课程设计企业网中的访问控制列表.doc_第1页
第1页 / 共13页
网络课程设计企业网中的访问控制列表.doc_第2页
第2页 / 共13页
网络课程设计企业网中的访问控制列表.doc_第3页
第3页 / 共13页
网络课程设计企业网中的访问控制列表.doc_第4页
第4页 / 共13页
网络课程设计企业网中的访问控制列表.doc_第5页
第5页 / 共13页
点击查看更多>>
资源描述

《网络课程设计企业网中的访问控制列表.doc》由会员分享,可在线阅读,更多相关《网络课程设计企业网中的访问控制列表.doc(13页珍藏版)》请在三一办公上搜索。

1、网络原理及应用课程设计 题目:企业网中的访问控制列表主 题: 静态NAT实验 专 业: 10软件技术(1)班 院 系: 信息工程学院 指导老师: 齐晓霞 小组成员: 聂芳芳、冉莉、田甜甜、 王敏、齐冬有、刘应超、 梁涛、黄广德、胡明、 张朝阳 完成时间: 2012年月日 摘要 访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包。最初的网络只是连接有限的LAN和PC,随着路由器连接内部和外部的网络,以及Internet网的普及,控制访问成为新的挑战。网络管理员面临两难的局面:如何拒绝不期望的访问而允许需要的访问?访问控制列表增加了在路由器接口上过滤数据包出入的灵活性,可以帮助管

2、理员限制网络流量,也可控制用户和设备对网络的使用。它根据网络中每个数据包所包含的信息内容决定是否允许该数据包通过接口。NAT即网络地址转换,静态NAT是其实现方式中的一种。静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。关键字:访问控制列表、静态NAT、转换地址目录摘 要第一章 系统描述1.1 绪论1.2 系统简介1.3 需求分析第二章 网络规划布局2.1 校园网络应用2.2 网络安全规划2.3网络安全技术2.4网络设计原则第三章 静

3、态NAT实验3.1 实验目的3.2 实验原理.3.3 实验拓扑图.3.4 实验步骤3.4 实验结果参考文献.第一章 系统描述1.1 绪论Internet是当今信息社会的一个巨大的信息资源宝藏,是全球最大的计算机网络。随着Internet技术的不断发展,网络已经应用到工作、生活的各个方面, 网络上丰富的资源产生了巨大的吸引力,接入Internet、访问Internet成为当今信息业最为迫切的需求,IP地址资源也就愈加显得捉襟见肘,珍贵的网络地址分配给专用网络终于被视作是一种对宝贵网络资源,网络地址转换技术在某种程度上解决了这一问题。采用NAT技术,可以使校园内部大量私有地址的计算机通过少数合法的

4、IP地址上互联网,从而扩展互联网的能力,缓解IP地址不足的问题。通过在路由器上使用NAT技术,实现小型计算机网络上的所有计算机能同时上Internet,提高了计算机网络的应用效率。1.2 系统简介以小型局域网为例,有2栋教学楼、2栋学生公寓、1栋图书馆以及实验楼,运用静态NAT技术实现访问权限及地址转换。1.3 需求分析此系统要求汇聚层的教学楼1、教学楼2,、公寓1、公寓2、图书馆、实验室接入层的PC机能进行相互通信,但是PC机不能访问核心层,相当于一个内网,在核心层接入一个外网,通过静态NAT技术可以将内网里的私有地址转换为公有地址,可以在外网路由器中看到地址的变化,还可以使内网里的PC机可

5、以访问外网里的服务器,但外网的服务器不能访问内网里实验室与图书馆。第二章 网络规划布局2.1 校园网络应用当前随着全国高等教育信息化的推进,校园网建设在全国高教系统迅速普及。计算机网络在现代高等教育中的应用越来越受到人们的重视。在应用系统建设方面,高校已取得了长足的进展。作为学校对外宣传的窗口,学校网站建设成效明显;办公自动化系统、 财务系统和教务教学管理系统的应用已成型;高校毕业生就业网快速发展;一卡通系统信息基础设施的建立使得实现数字化、信息化和资源共享进一步紧密。由此可见校园网不仅做为重要的IT基础设施肩负着学校信息化教学的重任,而且承载着网络办公、资源管理、信息发布等多项核心业务及应用

6、系统。而上述的信息管理系统,绝大部分都是基于TCP/IP这个主流技术,IP通信网络的好坏直接影响管理信息系统,从而影响日常校园信息化的正常运作。目前福清学院规模并不是很大,作为福建师范大学的一个校区,在规模上应该中小型校园网,网络应用在目前的情况下还不是很多,不过随着学校的发展,特别是近几年的发展;其功能服务将会日堪完善。而现在学院提供的主要网络服务有宽带网络接入、校园网站、图书馆系统、教学上的教务管理系统、学生学籍管理系统及其它的Internet服务(如DNS,FTP等)。2.2 网络安全规划校园网络与企业或政府网络相比,由于自身的特点导致出现的安全问题非常复杂,具体体现在以下几个方面:1.

7、 校园网的规模大和速度快,高校校园网络目前普遍使用千兆互连、百兆到桌面。用户群体比较打,比较密集。正是由于高带宽和大用户量的特点,网络安全问题一般蔓延快、影响大。2. 用户群体活跃,高校的学生和部分教师通常是最活跃的网络用户。对网络新技术充满好奇,勇于尝试。可能对网络造成一定的影响和破坏。3. 系统管理比较复杂,对校园网中的所有用户端系统实施统一的安全策略非常困难。出现安全问题后也较难份清责任。4. 网络的开放性,校园网由于其目的性,以教学和科研为主的目的决定了校园网络的环境应该是开放的,管理也是比较宽松的,至少在校园网的主干不能实施过多的限制,否则一些新的应用、新的技术很难在校园网内部实施。

8、开放的网络环境必然会带来安全上的问题。2.3 网络安全技术2.3.1 加密技术加密技术是网络安全最有效的技术之一,它不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法。加密技术就是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获取信息真实内容的一种技术手段,目前常用的有链路加密、节点加密、端到端加密。其密码体制也有对称和非对称之分。对称密钥加密即收发双方使用相同密钥的密码,采用的加密算法有DES,PCR,IDEA,3DES等,其中DES使用最普遍, DES主要采用替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密,运算速度快,密钥生产容易,适合于在当

9、前大多数计算机上用软件方法实现。而非对称加密则是收发双方使用不同密钥的密码,公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可以方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。RSA是其最有影响的代表。2.3.2 访问控制技术访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。它是网络安全防范和保护的主要策略,访问控制在用户身份认证和授权之后,根据预先设定的规则对用户访问进行控制,只有规则允许时才能访问,违反预定的安全规则的访问行为将被拒绝。常用的访

10、问控制技术有访问控制列表(Access Control List,ACL), ACL技术在是一种基于包过滤的流控制技术。它先建立一个访问规则,对符合条件的数据包允许通过。不符合的,则拒绝通过。用ACL来控制对局域网内部资源的访问能力,进而来保障这些资源的安全性。2.3.4 虚拟局域网技术虚拟局域网(Virtual Local Area Network),即VLAN,是在交换环境中为了克服网络物理分段的限制而建立的逻辑网络段。VLAN技术在物理网络的基础上,能根据需要灵活的划出许多逻辑网络,从而摆脱了建筑物、楼层、地址空间等物理地域限制,能根据用户实际需要灵活地建立逻辑的专用网络;它主要是在以太

11、网帧的基础上增加了VLAN头,用VLAN ID是一个虚拟局域网,从而限制广播范围。VLAN让网络更安全、更畅通、更便于管理和让带宽更有保证。而各个逻辑网络之间的通信则是通过路由器或者是具有路由功能的三层交换机来实现。2.3.5病毒防护技术防病毒技术是通过部署杀毒系统,对整体网络进行统一、有效的规划,使得网络能及时的发现病毒和清除病毒,目前防病毒技术主要应用在以下两方面:1.主机防病毒。主机防病毒的特点是通过主机防病毒代理引擎,实时监测电脑的文件访问和网络交换,把文件与预存的病毒特征码相比对,发现病毒就通过删除病毒特征串实现解毒,或把文件隔离成非执行文件的方式,保护电脑主机不受侵害。2.网关防病

12、毒。网关防病毒是重要的防病毒措施,它采用御毒于网门之外的原则,在网关位置对可能导致病毒进入的途径,进行截留查杀,对于管理规范的网络是必要的安全措施。2.4网络设计原则网络信息安全系统应遵循如下设计原则5:1.满足因特网的分级管理需求:根据Internet网络规模大、用户众多的特点,对Internet&Intranet信息安全实施分级管理的解决方案。 2.需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际的研究并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。3.综合性、整体性原则:应用系统工程的观

13、点、方法,分析网络的安全及具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。4.可用性原则:安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。第三章 静态NAT2.1 实验目的1、熟悉内部本地址与内部合法地址之间建立静态地址转换的配置2、掌握NAT的工作原理以及其应用特点3、理解静态NAT的工作过程和配置方法2.2 实验原理 随着接入Internet的计算机数量的不断猛增,IP地址资源也

14、就显得愈加紧张。在实际应用中,一般用户几乎申请不到整段的C类和B类IP地址。当我们的企业向ISP申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求。为了缓解供给和需求不可调和的矛盾,使用NAT技术便成为了企业和ISP的必然选择。企业使用NAT时,一般认为应当使用RFC1918规定的三段私有地址部署企业内部网络。当企业内部设备试图以私有地址为源,向外部网络(Internet)发送数据包的时候,NAT可以对IP包头进行修改,先前的源IP地址-私有地址被转换成合法的公有IP地址(前提是,该共有IP地址应当是企业已经从ISP申请到的合法公网IP

15、),这样,对于一个局域网来说,无需对内部网络的私有地址分配做大的修改,就可以满足内网设备和外网通信的需求。由于设备的源IP地址被NAT替换成了公网IP地址,设备对于外网用户来说就显得“不透明”,达到了保证设备安全性的目的。在这种情况下,内部私有地址和外部公有地址是一一对应的。甚至,我们只需使用少量公网IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。在静态NAT 中,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail 服务器或FTP

16、 服务器等可以为外部用户提供的服务,这些服务器的IP 地址必须采用静态地址转换,以便外部用户可以使用这些服务。2.3 实验拓扑图图2.3.1 实验拓扑图2.4 实验步骤(1)根据需求分析,我们将此系统分为内网和外网,在内网中我们分为三层:接入层、汇聚层、核心层,因为网络具有可扩展性,所以在接入层接上若干PC机和6台两层交换机,在汇聚层接入6台三层交换机,在核心层接入1台三层交换机和一台路由器,在外网中接入一台路由器和一台服务器,以此来实现地址转换和彼此通信的功能。(2)在规划好拓扑图过后,来进行配置(3)在接入层对PC机配置IP地址(如下是各PC机的地址) PC机号IP地址子网掩码网络地址PC

17、0192.168.1.2255.255.255.0192.168.1.1PC1192.168.2.2255.255.255.0192.168.2.1PC2192.168.3.2255.255.255.0192.168.3.1PC3192.168.4.2255.255.255.0192.168.4.1PC4192.168.5.2255.255.255.0192.168.5.1PC5192.168.6.2255.255.255.0192.168.6.1表2.4.1 PC地址(4)在核心层上的三层交换机上进行操作(以教学楼1为例)1 、进入端口0/3 SwitchenableSwitch#conf

18、terminal Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#interface fastEthernet 0/32、关闭交换机的交换功能Switch(config-if)#no switchport %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet

19、0/3, changed state to upSwitch(config-if)#3、配置IP地址Switch(config-if)#ip address 192.168.1.1 255.255.255.04、开始端口Switch(config-if)#no shutdown5、做动态路由Switch(config-router)#exitSwitch(config)#router ripSwitch(config-router)#network 192.168.1.0Switch(config-router)#network 192.168.10.0Switch(config-router

20、)#%LINK-5-CHANGED: Interface FastEthernet0/5, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up(5)在路由器R1上进行配置1、进入端口0/0Routerenable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#interface fast

21、Ethernet 0/02、配置端口0/0的IP地址Switch(config-if)#ip address 192.168.10.2 255.255.255.0Switch(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up3、进入时钟端口1/0Router(config)#interface serial

22、1/0Router(config-if)#no shutdown %LINK-5-CHANGED: Interface Serial1/0, changed state to down4、始终端口配置始终主频 Router(config-if)#clock rate 64000 Router(config-if)#no shutdownLINK-5-CHANGED: Interface serial 0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed s

23、tate to up5、声明直连网段Router (config-router)#exitRouter (config)#router ripRouter (config-router)#network 192.168.1.0Router (config-router)#network 192.168.10.0Router (config-router)#%LINK-5-CHANGED: Interface FastEthernet0/5, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern

24、et0/5, changed state to up(6)在路由器R1上进行配置 1、进入时钟端口1/0并开启Routerenable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#interface serial 1/0Router(config-if)#NO SHutdown Router(config-if)#%LINK-5-CHANGED: Interface Serial1/0, changed state to upRouter

25、(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to up2、给时钟端口1/0配置IP地址Router(config-if)#ip address 202.96.1.2 255.255.255.0Router(config-if)#exit3、声明直联网段Router(config)#router ripRouter(config-router)#network 192.168.10.0Router(config-router)#network 202.96.1.0Rout

26、er(config-router)#2.5 实验结果1、教学楼1与教学楼2 PING后的结果如下图所示:图2.5.1 教学楼1与教学楼2 PING后的结果2、教学楼1与公寓1 PING后的结果如下图所示:图2.5.2 教学楼1与公寓1 PING后的结果3、在未用静态NAT时教学楼1与外网PING后结果如下图所示:图2.5.3 在未用静态NAT时教学楼1与外网PING后结果4、应用静态NAT后教学楼1与外网PING后的结果如下图所示:Routerenable Router#debug ip natIP NAT debugging is onRouter#NAT: s=192.168.1.2-20

27、2.96.1.3, d=202.96.1.2 21NAT*: s=202.96.1.2, d=202.96.1.3-192.168.1.2 40NAT: s=192.168.1.2-202.96.1.3, d=202.96.1.2 22NAT*: s=202.96.1.2, d=202.96.1.3-192.168.1.2 43NAT: s=192.168.1.2-202.96.1.3, d=202.96.1.2 23NAT*: s=202.96.1.2, d=202.96.1.3-192.168.1.2 44NAT: s=192.168.1.2-202.96.1.3, d=202.96.1.

28、2 24NAT*: s=202.96.1.2, d=202.96.1.3-192.168.1.2 45Router#Router#NAT: expiring 202.96.1.3 (192.168.1.2) icmp 21 (21)NAT: expiring 202.96.1.3 (192.168.1.2) icmp 22 (22)NAT: expiring 202.96.1.3 (192.168.1.2) icmp 23 (23)NAT: expiring 202.96.1.3 (192.168.1.2) icmp 24 (24) 图2.5.4 应用静态NAT后教学楼1与外网PING后的结果1 计算机网络基础 韩希义 高等教育出版社,2004 2 计算机网络 徐敬东等 清华大学出版社,2002 3 计算机网络工程与实训 沈辉等 清华大学出版社,2002 4 计算机网络技术实用教程 褚建立等 电子工业出版社,2003 5计算机网络原理与技术 刘化君 电子工业出版社,20056 计算机网络 谢希仁 电子工业出版社,19997 计算机网络技术 陆姚远 高等教育出版社,20008 网络工程 刘习华等 重庆大学出版社,20049 计算机网络实用教程 彭澎 电子工业出版社,200010使用组网技术实训教程陈月波 科学出版社,200311计算机网络实训教程李冬 清华大学出版社,2004

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 建筑/施工/环境 > 项目建议


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号