实验六：可靠、安全网络实验室局域网的设计11160xb_网络安全实验六

实验六：可靠、安全网络实验室局域网的设计11160xb由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“网络安全实验六”。

实验六：可靠、安全网络实验室局域网的设计

1、实验目的（1）掌握设计高可靠性网络技能与方法。

（2）掌握设计网络安全方案的基本技能和方法，并掌握防火墙原理。（3）用visco绘制可靠、安全网络拓扑图

2、实验内容

1、网络实验室办公楼到网络中心办公楼要求具备高传输速率，而且要求高可靠性。2、3、4、采用千兆到交换机，百兆到桌面的传输方案。

采用双交换机互为高速备份的联网方案，采用服务器间的数据备份 通过设置DMZ区确保代理、ftp、www.daodoc.comID-1800-MS型号的神舟数码防火墙。实验室共有48台Great Wall PC机作为学生端，一台Great Wall PC机作为主机，即教师端。依据不同的层次，可以选择不同类型的设备。

实验室中计算机运行两种操作系统分别是：Redhat Linux 9.0和Windows Server 2003 Enterprise Edition。

如利用visco给出可靠、安全网络实验室设计方案的拓扑图。

5、实验步骤

（1）步骤1：需求分析

提醒：冗余设计确保可靠性；链接聚合技术确保可用性；数据备份、异地互为备份确保安全性；生成树协议确保可用性等

（2）步骤2：给出网络拓扑图

提醒：利用visco绘图工具给出可靠、安全网络实验室设计方案的拓扑图。建议为了交换机提高可靠性和可用性，可采用双交换机联网到网络中心的方案；为提高速度和可用性，三层交换机采用UPS供电和端口链路聚合技术，服务器建议设置在三层交换机上，以便提高访问速度和充分利用带宽等，同时提供数据备份。

DMZ万兆线缆千兆线缆百兆线缆S1S2S3PC

图 6-1 网络拓扑图

（3）步骤3：给出详细的设计方案

1服务器安全设计 ○公共服务器安全设计的方法是将服务器放在受防火墙保护的DMZ内、在服务器本身上运行防火墙、激活Dos保护、限制每个时间帧的连接数、使用可靠、打了最新安全补丁的操作系统、模块化维护（如Web服务器不同时运行其他服务）。并且可以通过布置网络和主机IDS监控服务器子网和单个服务器、配置过滤器限制服务器的连接以防服务器受到危害、修补服务器操作系统已经知道的安全缺陷、服务器的访问和管理需要鉴别和授权、将Root口令限制为少数人、避免客户账号等方面实现。

2交换机设计与配置 ○交换机的基本配置： S(config)#enable secret cisco//配置密码 S(config)#line vty 0 15 S(config-line)# paword cisco S(config-line)#login 在交换机上配置STP生成树协议，在网络中形成一个逻辑上没有环路的拓扑。

Switch(config)#spanning-tree mode rapid-pvst 在交换机上划分VLAN S(config)#vtp mode server

//配置VTP模式 S(config)#vtp domain ccna

//定义VTP域 S(config)#vlan 10

//添加vlan 10 S(config-vlan)#name VLAN1

//命名vlan 10为VLAN1 交换机之间设置TRUNK S(config)#interface vlan 10 S(config-if)#switchport mode trunk 3DMZ的设计、防火墙的配置（可通过ACL实现）○Route>enable Router(config)#acce-list permit 100 any host 202.192.32.7 eq www Router(config)#serial 0/0/0 Router(config-if)#ip acce-group 100 in6、实验故障排除与调试

1、可能导致连通性故障的原因: 1.网卡未安装，或未安装正确，或与其他设备有冲突;2.网卡硬件故障;3.网络协议未安装，或设置不正确;4.网线、跳线或信息插座故障;5.UPS电源故障

2、软件故障： 1．检查网卡设置

2．检查网络协议：(1)ping 127.0.0.1(2)ping 本机的IP地址(3)ping 本地网关(4)ping 网址

3、不能访问服务器

首先测试一下这一故障是否只影响一台工作站，这可以通过其他工作站访问服务器来证实。如果有类似故障的工作站出现在同一网段或连接在同一交换机上，那么就要分析这一网段子网掩码是否设置正确，交换机是否正常工作。

7、实验总结和心得体会

本次试验从理论上阐明了安全网络实验室局域网设计的基本方法，并利用ping命令测试了网络服务的可访问性。最后分析DMZ区域是内网和外网都可以访问的区域，为了提供更好的网络服务，提高网络带宽的利用率，可以只允许外网访问WWW服务。

本次实验让我们看到了自己的不足：基本功不扎实，对基本概念模糊，不能解决实际工作中遇到的问题。

但是，本次的网络安全实验增加了我的知识，使我对实际问题有了一个形象的认识。同时我也学会了网络的可靠性与可用性设计，学会了一些网络故障的诊断与排除。