思科中小企业网络安全解决方案
思科中小企业网络安全解决方案 供应商:思科系统网络技术有限公司发布时间:2006-05-11 10:39:58 “为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏”。 ----国际标准化组织(ISO) 从“信息化高速公路”到“数字地球”,信息化浪潮席卷全球。Internet的迅猛发展不仅带动了信息产业和国民经济地快速增长,也为企业的发展带来了勃勃生机。 以Internet 为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力的提高,也逐渐成为提高企业竞争力的重要力量。 企业通过Internet 可以把遍布世界各地的资源互联互享,但因为其开放性,在Internet 上传输的信息在安全性上不可避免地会面临很多危险。当越来越多的企业把自己的商务活动放到网络上后,针对网络系统的各种非法入侵、病毒等活动也随之增多。 而我们面临的这些信息安全问题的解决,主要还是依赖于现代信息理论与技术手段;依赖于安全体系结构和网络安全通信协议等技术;依赖借助于此产生
的各种硬件的或软件的安全产品。这样,这些安全产品就成为大家解决安全问题的现实选择。 中国网络安全需求分析 网络现状分析 中国国内企业和政府机构都希望能具有竞争力并提高生产效率,这就必须对市场需求作出及时有力的响应,从而引发了依赖互联网来获取、共享信息的趋势,这样才能进一步提高生产效率进而推动未来增长。 然而,有网络的地方就有安全的问题。过去的网络大多是封闭式的,因而比较容易确保其安全性,简单的安全性设备就足以承担其任务。然而,当今的网络已经发生了变化,确保网络的安全性和可用性已经成为更加复杂而且必需的任务。用户每一次连接到网络上,原有的安全状况就会发生变化。所以,很多企业频繁地成为网络犯罪的牺牲品。因为当今网络业务的复杂性,依靠早期的简单安全设备已经对这些安全问题无能为力了。 主要网络安全问题及其危害---- 网络网络攻击在迅速地增多。 网络攻击通常利用网络某些内在特点,进行非授权的访问、窃取密码、拒绝服务等等。 考虑到业务的损失和生产效率的下降,以及排除
思科自防御网络安全方案典型配置 1. 用户需求分析 客户规模: ?客户有一个总部,具有一定规模的园区网络; ?一个分支机构,约有20-50名员工; ?用户有很多移动办公用户 客户需求: ?组建安全可靠的总部和分支LAN和WAN; ?总部和分支的终端需要提供安全防护,并实现网络准入控制,未来实现对VPN用户的网络准入检查; ?需要提供IPSEC/SSLVPN接入; ?在内部各主要部门间,及内外网络间进行安全区域划分,保护企业业务系统; ?配置入侵检测系统,检测基于网络的攻击事件,并且协调设备进行联动; ?网络整体必须具备自防御特性,实现设备横向联动抵御混合式攻击; ?图形化网络安全管理系统,方便快捷地控制全网安全设备,进行事件分析,结合拓扑发现攻击,拦截和阻断攻击; ?整体方案要便于升级,利于投资保护; 思科建议方案: ?部署边界安全:思科IOS 路由器及ASA防火墙,集成SSL/IPSec VPN; ?安全域划分:思科FWSM防火墙模块与交换机VRF及VLAN特性配合,完整实现安全域划分和实现业务系统之间的可控互访; ?部署终端安全:思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成; ?安全检测:思科IPS42XX、IDSM、ASA AIP模块,IOS IPS均可以实现安全检测并且与网络设备进行联动; ?安全认证及授权:部署思科ACS 4.0认证服务器; ?安全管理:思科安全管理系统MARS,配合安全配置管理系统CSM使用。
2. 思科建议方案设计图 点击放大 3. 思科建议方案总体配置概述 ?安全和智能的总部与分支网络 o LAN:总部,核心层思科Cat6500;分布层Cat4500;接入层Cat3560和CE500交换机,提供公司总部园区网络用户的接入;分支可以采用思科ASA5505 防火墙内嵌的 8FE接口连接用户,同时其头两个LAN端口支持POE以太网供电,可以连接AP及IP 电话等设备使用,并且ASA5505留有扩展槽为便于以后对于业务模块的支持。 o WAN:总部ISR3845 路由器,分支ISR2811或者ASA防火墙,实现总部和分支之间安全可靠地互联,可以采用专线,也可以经由因特网,采用VPN实现;并且为远程办公 用户提供IPSEC/SSL VPN的接入。 ?总部和分支自防御网络部署说明 o总部和分支路由器或者ASA防火墙,IPS,及IPSec VPN和WEB VPN功能,实现安全的网络访问和应用传输,以及高级的应用控制;另外,可利用思科Auto-Secure功能 快速部署基本的安全功能。 o安全域划分:实现行业用户内部业务系统逻辑隔离,并且保证在策略允许的情况下实现可控的互访,可以利用思科FWSM防火墙模块与C6K交换机完美集成,并且思科交换 机VRF特性相结合,二层VLAN隔离,三层VRF隔离,最终利用VRF终结业务对应不 同的虚拟防火墙,并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的 可控互访。 o终端安全:终端安全=NAC+CSA,利用思科NAC APPLINACE 解决方案通过配置CAM/CAS两台设备实现思科NAC解决方案保证对于网络内主机的入网健康检查,利用 思科CSA软件对于用户服务器及客户机进行安全加固、病毒零天保护、限制非法应用 (P2P)、限制U盘使用等操作,并且两套解决方案可以实现完美结合,并且CSA和与 MARS以及IPS进行横向联动,自动拦截攻击。 o安全检测:思科IPS42XX、IDSM、ASA AIP模块均可以实现安全检测并与网络设备进行联动,思科安全IPS设备支持并联和串连模式,旁路配置时可以监控各个安全域划分 区域内部业务,识别安全风险,与MARS联动,也可以与思科网络设备防火墙、C6K交
1 静态路由较之动态路由有哪两项优点?(请选择两项。) 正确响应您的 响应 静态路由随着网络不断发展而进行扩展。 正确实施静态路由所需的网络知识很少。 由于静态路由不通过网络进行通告,因此比较安全。 静态路由比动态路由使用的路由器资源少。 静态路由更容易进行大型网络配置。 静态路由需要充分了解整个网络才能正确实施。它非常容易出错,且不能针对大型网络扩展。 由器资源,因为更新路由不需要计算。由于它不通过网络通告,静态路由也比较安全。 此试题参考以下领域的内容: Routing and Switching Essentials 6.1.1 静态路由 2 请参和PC B 与Internet 上网站进行成功通信的最佳方式是什么? 正确您的
响应响应 配置一个从R1 到ISP 的静态路由和一个从ISP 到R1 的动态路由。 配置一个从R1 到ISP 的默认路由和一个从ISP 到R1 的静态路由。 在R1 和ISP 之间配置路由协议,并通告所有路由。 配置一个从R1 到ISP 的动态路由和一个从ISP 到R1 的静态路由。 必须创建两台路由器:R1 中的默认路由通往ISP,ISP 中的静态路由通往R1 用于返回流量。一旦PC A 和 这是最佳解决方案。此外,静态路由比动态路由使用较少的带宽。 此试题参考以下领域的内容: Routing and Switching Essentials ? 6.1.1 静态路由 3 哪种类型的路由允许路由器即使在其路由表中不含通 往目的网络的特定路由时也能转发数据包? 正确响应您的响应 默认路由 普通路由 动态路由 目的路由 此试题参考以下领域的内容: Routing and Switching Essentials ? 6.1.2 静态路由类型 4 为什么要将浮动静态路由的管理距离配置得高于同 一路由器上运行的动态路由协议的管理距离? 正确响应您的响应
网络应用基础课程实验报告 院系:________________________ 专业:_____ _________ 班级:__ ____________________指导老师:___________________________学号:_______________________姓名:________________________
目录 实验一Google地球和维基 ............ 错误!未定义书签。实验二AC网站注册 ....................... 错误!未定义书签。实验三网线制作 ............................ 错误!未定义书签。实验四Ad-Hoc点对点无线局域网方案错误!未定义书签。 实验五基本结构型无线局域网方案错误!未定义书签。实验六交换机的基本配置............. 错误!未定义书签。
实验一Google地球和维基 一、实验目的 1.了解Google地球的使用方法; 2.了解维基。 二、实验设备 1.PC机(要求内存128M及以上,带RJ-45接口的独立网卡,预装Win2000或Win XP系统); 2.HUB(集线器)或交换机1台; 3.制作完成的直通双绞线若干; 4.机房的电脑能上网。 三、实验内容 1.下载Google地球,安装并使用; 2.使用百度百科,了解维基等概念。 四、实验步骤 1 打开IE浏览器在百度中输入Google Earch 2 查找Google地球的界面并下载软件 3 下载完后进行安装 4 打开Google地球进行相关的操作,例如查找武汉长江职业学院。 在搜索界面输入武汉长江职业学院然后点击搜索,完成。 二 1 打开百度浏览器输入维基概念进行搜索 维基的概念是一个自由免费,内容开放的百科全书协作计划,参与者来自世界各地,这个站点使用wiki。这意味着任何人都可以编辑维基百科中的任何文章及条目。博客是由个人创建,而维基网页时有一群分享信息飞人一起创建,编辑的。
1 下列哪两项是路由器的功能?(选择两项。) 正确响应您的响应 确定发送数据包的最佳路径。 连接多个 IP 网络。 扩大广播域。 通过使用第 2 层地址控制数据流。 管理 VLAN 数据库。 此试题参考以下领域的内容: Routing and Switching Essentials ? 4.1.1 路由器的功能 2 为了将数据包发送到远程目的地,必须对主机上的哪三条信息进行配置?( 正确响应您的响应 IP 地址 DNS 服务器地址 默认网关 hostname DHCP 服务器地址 子网掩码 主机可以使用其 IP 地址和子网掩码来确定目的主机位于相同网络还是远程网络。如果位于远程网络,主机需 将数据包发送到远程目标。DNS 服务器将名称转换为 IP 地址,并且 DHCP 服务器用于将 IP 寻址信息自动分 都不必配置为基本远程连接。 此试题参考以下领域的内容: Routing and Switching Essentials
? 4.1.2 连接设备 3 请参见图示。如图所示,网络管理员已配置了 R1。当管理员检查串行接口的状态时,接口显示为管理性关闭。要打开 R1 的串行接口,必须在其中额外输入什么命令? 正确 响应 您的 响应 end no shutdown ipv6 enable clockrate 128000 默认情况下所有路由器接口关闭。要打开接口,管理员必须在接口模式发出 no shutdown 命令。 此试题参考以下领域的内容:
Routing and Switching Essentials ? 4.1.3 路由器上的基本设置 4 哪一项功能可以将路由器与第 2 层交换机区别 开来? 正确响应您的响应 路由器支持多种类型的接口。交换机通常支持以太网接口。 交换机使用信息表确定如何处理数据流量。路由器不是这样。 交换机将数据包从一个物理接口转发到另一个物理接口。路 由器不是这样。 路由器可以配置 IP 地址。交换机不能。 路由器支持多种接口连接 WAN,例如串行接口、DSL 和无线接口。交换机 通常连接到 LAN,并且仅支持以太网标准,例如快速以太网或千兆以太网。 路由器和交换机都可配置 IP 地址,并且可以将数据包从一个接口转发到 另一个接口。它们都使用数据表来确定如何处理数据流量,如路由表和 MAC 地址表。 此试题参考以下领域的内容: Routing and Switching Essentials ? 4.1.3 路由器上的基本设置 5 为了使路由器能够手动将指定的网络前缀与自动 生成的接口标识符相组合在一起,可以使用哪条 命令在路由器接口上配置 IPv6 地址? 正确响应您的 响应 ipv6 enable ipv6 address ipv6-address/prefix-length ipv6 address ipv6-address/prefix-length eui-64
《网络设计》实训报告 课题名称:网络设计 专业:计算机网络技术 班级:网络G092 学号: 27# 姓名: 指导教师: 2010年12月27日
目录《网络设计》实训报告0 一、课程设计目的2 二、课程设计题目描述2 三、课程设计报告内容3 3.1 设计任务3 3.2 设计要求及设计步骤3 3.3 设计概述4 3.4设计方案的论证16 3.5 设计代码18 四、结论25 五、结束语25 六、参考书目26
一、课程设计目的 课程设计是教学的一个重要环节,本次课程设计的主要目的: 1.进一步加深、巩固学生对所学网络的基础知识的掌握,对《思科网络技术》的基本概念的了解。 2.通过实训,达到让学生能够将书本的知识与实际操作相结合的目的,提理论的实践应用能力、提高高动手能力。 在设计的过程中,对于出现的新问题,有新的思路,能够使用更适合的方法处理,并且是自己自学能力和一学期学习效果的检验。 二、课程设计题目描述 2.1现有需求 某高校现有两个地理位置分离的分校区,每个校区入网信息点有2000多个,现准备通过科教网接入因特网,但从科教网只申请到4个B网络 (172.17.1.0\172.17.10.0\172.17.20.0\172.17.30.0)为了安全,要求每个分校区的学生公寓子网和教师子网不在同一广播域。同时,学校现有一台服务器供学校师生链接校园网站服务。 2.2未来发展 未来的3-5年,校园电脑会增加500台左右,主要增加在科研网,用于学校对学生的科研教育用。 2.3网络功能 根据学校现有的规模和需求及发展范围建立的网络有如下功能; 1)建立学校自己的网站,向外界发布信息,并进行网络上的服务 2)科教网连接Internet,供学生及教师的学习需求 3)校园内部网络实现资源共享,以提高工作效率 4)建立网络时应注意网络的扩展性,以方便日后的网络升级和增加计算机 5)在校园内部建立学生数据库,如学生档案,成绩评定,学习及考试日程
网络安全不断努力保护连接互联网的网络系统以及与系统相关的所有数据免受未经授权的使用或免受损害。 此试题参考以下领域的内容: Introduction to Cybersecurity 1.1.1 个人数据简介 数据完整性的目标包括数据在传输期间保持不变以及不会被未经授权的实体更改。身份验证和加密是确保机密性的方法。可用性的目标是确保数据始终可用。 考试结果 / 试题反馈报告 Introduction to Cybersecurity (版本 2) - 网络安全课后评估* 以下是针对您未获得满分的试题给出的反馈。 某些交互式试题可能不显示您的答案。 1 以下哪种说法正确描述了网络安全? 正确 您的 响应 响应 它是一种安全策略开发框架。 它是基于标准的模型,用于开发防火墙技术以对抗网络犯罪分子。 它是一种面向最终用户的综合安全应用的名称,该应用用于保护工作站免遭攻击。 它不断努力保护连接互联网的系统以及与这些系统相关的数据免遭未经授权的使用或免遭损害。 2 确保数据完整性的两个目标是什么?(选择两项。) 正确 您的 响应 响应 数据随时可用。 数据在传输过程中保持不变。 对数据的访问需经过身份验证。 数据不被未经授权的实体更改。 数据在传输过程中和存储在磁盘上时经过加密。
机密性确保数据只能由已获得授权的人员访问。身份验证将有助于验证人员的身份。 此试题参考以下领域的内容: Introduction to Cybersecurity 1.2.1 组织数据简介 3 Web 服务器管理员正在配置访问设置,要求用户在访问某些网页之前先进行身份验证。通过该配置可以满足哪项信息安全要求? 正确 您的 响应 响应 完 整 性 可扩展性 可用性 机密性 此试题参考以下领域的内容: Introduction to Cybersecurity 1.2.1 组织数据简介
1 请参见图示。下列陈述中,哪两项是正确的?(选择两项。) Router1 将安装到192.168.0.0/20 的路由 Router1 将安装到192.168.0.0/24 的路由 Router1 将安装到192.168.16.0/24 的路由 Router2 将安装到192.168.16.0/24 的路由 Router2 不会安装到192.168.16.0/20 的路由 2
请参见图示。如图所示的网络中同时包含Cisco 路由器和非Cisco 路由器。JAX 路由器上输入了命令debug ip rip。目前所有路由器都运行相同版本的RIP。路由器CHI 和路由器ORL 无法到达192.168.1.16/28 网络。使用什么方法可能解决此问题? 在网络中启用水平分割。 在JAX 路由器的RIP 配置中添加网络192.168.1.0。 将JAX Fa0/0 配置为被动接口。 启用JAX 路由器上的Serial0/0/0 接口。 将JAX 路由器Fa0/0 接口的IP 地址更改为192.168.1.1/24。 3
请参见图示。从如图所示的输出中能得到什么结论? 路由表被限制为只能有 2 条路由。 LAN 接口参与了路由过程。 已经从每个串行接口各发出一个更新并已收到 2 个更新。 此路由器上未配置no auto-summary。 4RIP v1 和RIP v2 的相似点有哪些?(选择三项。) 两者都使用跳数作为度量。 两者对无穷距离使用相同的度量值。 两者都向邻居广播其更新。 两者都在更新中发送子网掩码信息。 两者都对更新来源进行身份验证。 两者都使用水平分割来防止路由环路。
思科ACS网络设备安全管理方案 一、网络设备安全管理需求概述 就北京中行网络布局来看,网络的基础设施现包含几百个网络设备。在网络上支撑的业务日益关键,对网络安全和可靠性要求更为严格。 可以预测的是,大型网络管理需要多种网络管理工具协调工作,不同的网络管理协议、工具和技术将各尽其力,同时发挥着应有的作用。比如:对于Telnet 网络管理手段。有些人可能会认为,今后这些传统的设备管理手段,会减少使用甚或完全消失。但实际上,Telnet命令行设备管理仍因其速度、强大功能、熟悉程度和方便性而广受欢迎。尽管其他网络设备管理方式中有先进之处,基于Telnet 的管理在未来依然会是一种常用管理方式。 随着BOC网络设备数量的增加,为维持网络运作所需的管理员数目也会随之增加。这些管理员隶属于不同级别的部门,系统管理员结构也比较复杂。网络管理部门现在开始了解,如果没有一个机制来建立整体网络管理系统,以控制哪些管理员能对哪些设备执行哪些命令,网络基础设施的安全性和可靠性问题是无法避免的。 二、设备安全管理解决之道 建立网络设备安全管理的首要出发点是定义和规划设备管理范围, 从这一点我门又可以发现,网络设备安全管理的重点是定义设备操作和管理权限。对于新增加的管理员,我们并不需要对个体用户进行权限分配,而是通过分配到相应的组中,继承用户组的权限定义。 通过上面的例子,我们可以发现网络安全管理的核心问题就是定义以下三个
概念:设备组、命令组和用户组。设备组规划了设备管理范围;命令组制定了操作权限;用户组定义了管理员集合。根据BOC的设备管理计划,将它们组合在一起,构成BOC所需要的设备安全管理结构。 安全设备管理包括身份验证Authentication、授权Authorization和记帐Accounting三个方面的内容。例如:管理员需要通过远程Login或是本地Login 到目标设备,能否进入到设备上,首先要通过严格的身份认证;通过身份验证的管理员能否执行相应的命令,要通过检查该管理员的操作权限;管理员在设备上的操作过程,可以通过记帐方式记录在案。 AAA的应用大大简化了大型网络复杂的安全管理问题,提高了设备集中控制强度。目前AAA在企业网络中越来越成为网络管理人员不可缺少的网络管理工具。 Cisco Secure ACS 3.1以后的版本提供的Shell壳式授权命令集提供的工具可使用思科设备支持的高效、熟悉的TCP/IP协议及实用程序,来构建可扩展的网络设备安全管理系统。 三、Cisco ACS帮助BOC实现设备安全管理 熟悉Cisco IOS的用户知道,在IOS软件中,定义了16个级别权限,即从0到15。在缺省配置下,初次连接到设备命令行后,用户的特权级别就设置为1。为改变缺省特权级别,您必须运行enable启用命令,提供用户的enable password 和请求的新特权级别。如果口令正确,即可授予新特权级别。请注意可能会针对
思科网络技术学院网址:https://www.doczj.com/doc/f510157321.html,/web/learning/netacad/ 一、注册步骤: (1) 二、思科网院做作业和参加考试的方法。 (5) 一、注册步骤: 1.进入思科网络技术学院,点击右方Log In按钮。 2.输入临时用户名和密码。例如用户名为7370287 ,密码109707 3.点击!Accept按钮,确认思科网络技术学院学习协议。 4.选择国家和设置生日,注意:生日一定要填写真实的生日。
5.进入注册页面,用户名就设为你的名字拼音+2010,如wanyuwen2010,密码设置要求必须包含下划线,不能包含用户名,必须有数字,长度必须8位以上,建议密码设为你常用的密码加下划线加2010,如www007_2010.
5.注册成功,进入以下界面,此后要再次登陆思科网院,需用自己设定的用户名如wanyuwen2010和自己的密码登录。 二、思科网院做作业和参加考试的方法。 1.做作业位置,登录网院后,主界面下选择learn下面的班级如jxnucie2010-1
2.进入下面界面,点击take assessment开始选择作业,点击Gradebook可以查看作业的错误情况和正确答案。 注意:每章的作业都可以反复做,作业中途退出断网,已做部分会保存结果,请务必在1小时内重新登录确保作业提交,作业一旦开始,请务必做完提交,作业的分数无所谓,每个星期都会开一次作业。每章作业都包含中英文两种语言,选择一个或两个都做均可。 思科ccna的学习共四个学期,每个学期都含有一个期末考试final,只有final考试过了75分才有资格申请考试折扣号,final 考试机会1,2,3学期有2次,第4学期只有1次机会。 每个学期final考试结束后必须做一个feedback的作业(教学反馈),之后才能进入下个学期。
实验报告 实验课程:计算机网络原理 学生姓名:许伟伟 学号:5400209156 专业班级:物流091 2012年06月 01 日
目录 一、实验一网络操作系统的安装及配置………………………1-6 二、实验二以太网组网实验书…………………………………7-20 三、实验三域名服务器的配置书………………………………21-32 四、实验四FTP服务器安装……………………………………33-43 五、实验五WEB服务器安装应用………………………………44-48 六、实验六连接Internet及相关操作………………………49-53
南昌大学实验报告一 学生姓名:许伟伟学号:5400209156 专业班级:物流091 实验类型:□验证□综合□设计□创新实验日期:2012.4.19 实验成绩: 一、实验项目名称:对其它流行NOS的认识 二、实验目的: 1.进一步掌握网络操作系统的概念。 2.了解流行的NOS并对其进行比较。 3、选择适和自己的NOS使用。 三、实验基本原理 NOS:网络操作系统(NOS:Network Operating System) 网络操作系统(NOS)是一种包含将计算机和设备接入局域网或网联特殊功能的操作系统。较为普遍的DOS 和Windows 系统下的网络操作系统包括Novell Netware、Windows NT、Windows 2000、Sun Solaris 、Red Hat UnixWare 7.1.1、Linux 6.1和IBM OS/2。Cisco IOS (因特网操作系统)也是一种网络操作系统,它主要集中于英特网网络设备能力。几乎所有的思科网络设备如思科路由器、交换机等都安装了该系统。 四、主要仪器设备及耗材 PC机2台,HUB(集线器)1台,网线测试器1台,网卡(RJ-45接口)2块。 五、实验步骤 1、接入Internet;在搜索引擎中搜索相关网站、信息。
第一章:OSI参考模型与路由选择 一、开放系统互连(OSI) 应用层(第7层):处理应用层的网络进程 表示层(第6层):数据表示 会话层(第5层):主机间通信 传输层(第4层):端到端连接段 网络层(第3层):地址和最佳路径分组 数据链路层(第2层):介质访问帧 物理层(第1层)二进制传输比特 1.对等层通信: 协议数据单元(PDU):每一层协议与对等层交换的信息。 2.数据封装: 二、物理层: 1.以太网(Ethernet): 指所有使用带冲突检测载波监听多路访问(CSMA/CD)的局域网。 以太网和IEEE 802.3:同轴电缆和双绞10Mbit/s 100Mbit/s以太网:快速以太网双绞线100Mbit/s 1000Mbit/s以太网:吉比特以太网 2.以太网/802.3物理连接: 10Base2:细缆185m 10Base5:粗缆500m 10BaseT:双绞线100m 三、数据链路层: MAC地址用16进制表示,两种格式0000.0c12.3456和00-00-0c-12-34-56 四、网络层: IP协议:寻找一条把数据报移到目的地的路径。 因特网控制消息协议(ICMP):提供控制和发送消息的能力。 地址解析协议(ARP):根据已知IP地址决定数据链路层地址。 反向地址解析协议(RARP):在数据链路层地址已知时,决定网络层地址。 1.IP寻址与子网: IP地址分成网络号、子网号和主机,即每个地址包括网络地址、可选的子网地址和主机地址。网络地址和子网地址一起用于路由选择,主机地址用于表示网络或子网中独立的主机。子网掩码用于从IP地址中提取网络和子网信息。 2.路径选择: 指通信穿过网云所应该采取的传输路径。使路由器能评估到目的地的可用路径,并建立对分组的优先处理方式。 3.路径通信: 网络地址包含路径部分和主机部分。路径部分指明在网络云内被路由器使用的路径; 主机部分指明网络上的特定端口或设备。 4.ICMP:是通过IP数据报传送的,它用来发送错误和控制消息。 5.ARP: 以太网上进行通信,源站点必须知道目的站点的IP地址和MAC地址。
实验 1 PacketTrace基本使用 一、实验目的 掌握 Cisco Packet Tracer软件的使用方法。 二、实验任务 在 Cisco Packet Tracer中用HUB组建局域网,利用PING命令检测机器的互通性。 三、实验设备 集线器( HUB)一台,工作站PC三台,直连电缆三条。 四、实验环境 实验环境如图1-1 所示。 图 1-1交换机基本配置实验环境 五、实验步骤 (一)安装模拟器 1、运行“ PacketTracer53_setup”文件,并按如下图所示完成安装; 点“ Next ”
选择“ I accept the agreement”后,点“ next”不用更改安装目录,直接点“ next ” 点“ next ”
点“ next ” 点“ install”
正在安装 点“ Finish ”,安装完成。 2、进入页面。 (二)使用模拟器 1、运行Cisco Packet Tracer 软件,在逻辑工作区放入一台集线器和三台终端设备PC,用 直连线按下图将HUB 和PC工作站连接起 来, HUB端 接 Port 口, PC端分别接以太网口。
2、分别点击各工作站PC,进入其配置窗口,选择桌面项,选择运行IP 地址配置(IP Configuration ),设置IP 地址和子网掩码分别为PC0:1.1.1.1 ,255.255.255.0 ;PC1:1.1.1.2 ,255.255.255.0 ; PC2: 1.1.1.3 , 255.255.255.0 。 3、点击 Cisco Packet Tracer软件右下方的仿真模式按钮,如图1-2所示。将Cisco Packet Tracer的工作状态由实时模式转换为仿真模式。 图1-2 按Simulation Mode 按钮 4、点击PC0进入配置窗口,选择桌面Desktop 项,选择运行命令提示符Command Prompt,如图1-3 所示。 图5、在上述DOS命令行窗口中,输入(Simulation Panel)中点击自动捕获1-3进入PC配置窗口 Ping 1.1.1.3命令,回车运行。然后在仿真面板 / 播放( Auto Capture/Play)按钮,如图1-4 所示。 图 1-4 点击自动抓取 /运行按钮 6、观察数据包发送的演示过程,对应地在仿真面板的事件列表( 的类型。如图1-5 和图 1-6 所示。 Event List )中观察数据包
1 请参见图示。下列哪组设备仅包含中间设备? A、B、D、G A、B、E、F C、D、G、I G、H、I、J 2您所在的网际网络发生了路由问题。要鉴别此错误,应该检查以下哪种类型的设备? 接入点 主机 集线器 路由器 交换机 3 请参见图示。技术人员正在处理网络问题,需要验证路由器的LAN 接口。要确认路由器接口工作正常,应该从此主机pin
127.0.0.1 192.168.64.196 192.168.254.1 192.168.254.9 192.168.254.254 4下列哪三项陈述说明了传输层协议的特征?(选择三项) 应用层协议使用TCP 端口号和UDP 端口号。 T CP 使用端口号提供可靠的IP 数据包传输。 U DP 使用窗口和确认获得可靠的数据传输。 T CP 使用窗口和定序提供可靠的数据传输。 T CP 是面向连接的协议。UDP 是无连接协议。 5OSI 模型的哪两项功能在第2 层实现?(选择两项) 物理编址 编码 路由 布线 介质访问控制 6由于发生安全规规事件,必须更改路由器口令。从以下配置项可获知什么信息?(选择两项。) Router(config)#line vty 0 3 Router(config-line)# password c13c0 Router(config-line)#login 这些配置项对远程访问指定了三条Telnet 线路。 这些配置项对远程访问指定了四条Telnet 线路。 这些配置项将控制台口令和Telnet 口令设置为"c13c0"。 因为Telnet 配置不完整,所以Telnet 访问将遭到拒绝。 允许使用"c13c0" 作为口令访问Telnet。 7
职业学院课程教学大纲 院系 专业计算机网络技术 课程思科网络课程(1) 编者蒙任富 2009年8 月
课程教学大纲审核表
《思科网络课程(1)》课程教学大纲 一、课程基本情况说明 课程编号: 适用对象:高职高专计算机网络技术专业、计算机应用技术专业一年级学生 学分/总学时: 4/64 讲授学时:32 课内实践学时:0 课外实验(上机)学时:32 二、课程的性质、任务与课程的教学目标 1.课程的性质、任务 本课程是我院高职高专计算机网络技术专业、计算机应用技术专业的一门专业支持必修课程,也是思科网络技术学院CCNA Exploration 网络基础知识课程,是一门以培养学生技能为主的课程,也是理论与实操紧密联系的课程。近年来在计算机网络行业中,CISCO网络设备已应用广泛,本课程对培养计算机高级应用人才具有现实意义。 本课程的目的是介绍基本的网络概念和技术。这些在线课程教材将帮助学生掌握必要的技能,以便规划和实施不同应用场合下的小型网络。 2.课程的教学目标 本课程的重点是学习网络基础知识。本课程中介绍的实用技能和概念性技能将为学生奠定理解基本网络的基础。首先,学生将研究人际交流与网络通信之间的异同。接下来,我们将介绍用于规划和实施网络的两个主要模型:OSI 和 TCP/IP。学生将了解网络采用的“分层”方法并详细研究 OSI 和 TCP/IP 的各层以理解其功能和服务。学生将熟悉各种网络设备、网络编址方案以及用于通过网络传输数据的介质类型。 三、课程学时分配 学时分配表(以课题或知识单元编排)
四、主要教学内容及教学要求 (一)课程内容: 第1章生活在以网络为中心的世界 (2学时) 介绍通信的基本知识以及网络对我们生活的影响。学生将了解网络、数据、局域网(LAN)、广域网 (WAN)、服务质量 (QoS)、安全问题、网络协作服务和 Packet Tracer 练习的概念。通过实验,学生将了解如何设置维基以及如何建立即时消息会话。 第2章网络通信 (2学时) 主要内容是如何建立和使用网络模型。本章将介绍 OSI 和 TCP/IP 模型以及数据封装过程。学生将了解用于分析网络通信的网络工具Wireshark? 并研究实际网络与模拟网络之间的区别。在实验中,学生将搭建自己的第一个网络,一个小型点对点网络。 第3章应用层功能及协议 (6学时) 针对教学网络使用自上而下的方法,介绍网络模型的顶层应用层。在本章的相关内容中,学生将了解协议、服务和应用程序之间的交互,重点关注 HTTP、DNS、DHCP、SMTP/POP Telnet 和 FTP。通过实验,学生还将练习安装 Web 服务器/客户端并使用Wireshark? 分析网络通信。Packet Tracer 练习将帮助学生了解应用层协议的运作原理。 第4章传输层(4学时) 介绍传输层,并重点讲述如何将 TCP 和 UDP 协议应用于常见的应用程序。实验和练习将综合使用Wireshark?、Windows 实用程序命令 netstat 和 Packet Tracer 来研究这两种协议。 第5章网络层 (4学时) 介绍 OSI 网络层。学生将研究编址和路由的概念并了解路径确定、数据包和 IP 协议。
使用VPN 确保私有数据传输需要哪种技术? ? 可扩展性 ? 虚拟化 ? 加密 ? 授权 2 哪种类型的站点间VPN 使用受信任组成员来消除组成员之间的点到点IPsec 隧道?? GRE ? DMVPN ? MPLS ? GETVPN 3 必须允许哪三个协议通过公司防火墙,以建立IPsec 站点间VPN?(选择三项。)? NTP ? HTTPS ? AH ? ISAKMP ? ESP ? SSH 4 NAT-T 的目的是什么? ? 当VPN 的一端或两端使用NAT 时允许VPN 正常工作 ? 允许为IPv6 地址使用NAT ? 为基于PC 的VPN 客户端启用NAT ? 为IPv4 升级NAT
? 请参见图示。路由器如何处理与访问列表101 定义的流量不匹配的流量?? 它将以未加密的方式发送。 ? 它将被丢弃。 ? 它将被加密发送。 ? 它将被阻止。 导航条 6 以下哪两项是对IPsec 特征的准确描述?(选择两项。) ? IPsec 在网络层运行,并涵盖所有第2 层协议。 ? IPsec 在传输层工作,并保护网络层的数据。 ? IPsec 是依赖于现有算法的开放标准框架。 ? IPsec 在应用程序层工作,并保护所有应用程序数据。 ? IPsec 是依赖于思科特定算法的专有标准框架。 ? IPsec 是思科开发的标准框架,依赖于OSI 算法。 7 下列哪项是对VPN 的正确描述? ? VPN 使用开源虚拟化软件通过互联网创建隧道。 ? VPN 使用虚拟连接通过公共网络创建专用网络。 ? VPN 使用专用物理连接在远程用户之间传输数据。 ?
VPN 使用逻辑连接通过互联网创建公共网络。 8 在创建IPsec 隧道时,定义需要关注的流量需要什么? ? 访问列表 ? 散列算法 ? 安全关联 ? 转换集 9 如果使用IPsec VPN 隧道连接两个站点,何时会创建安全关联(SA)?? 仅在第1 阶段期间 ? 在第1 阶段和第2 阶段都创建 ? 仅在第2 阶段期间 ? 创建隧道后,发送流量之前 导航条 10 下列哪个术语描述了接口接收的VPN 流量被路由回同一接口的情况?? 拆分隧道 ? 发夹(Hairpinning) ? MPLS ? GRE 11 请考虑思科ASA 上的以下配置: crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac 此命令的用途是什么? ? 定义用于建立隧道的ISAKMP 参数 ? 定义用于构建IPsec 隧道的加密和完整性算法 ? 仅定义允许的加密算法
网络设计与实现 实验报告 学院: 班级: 姓名: 学号: 指导老师: 2013.6.30
Packet Tracer 是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络障碍提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。 线路测试与数据包的抓取:
操作:在模拟模式下,右击Auto Capture/Play,线路会自动进行包的抓取以测试线路的好坏,如果包发送成功则会在接受到的包上打钩,否则打叉。 数据包的分析: 在模拟模式下,右边对话框图的最上方有个Event List表示刚刚检测线路发生的一些事件,该对话框直观地显示当前捕获到的数据包的详细信息,包括持续时间、源设备、目的设备、协议类型和协议的详细信息,在事件清单的Info下左击相应颜色块即可显示详细的有关数据包的分析: 第五章实例 更改hostname 配置FastEthernet0/0端口
配置Serial2/0端口 配置默认路由,将路由地址、网关和下一跳地址输入然后单击add
也可以在cli窗口下键入命令来进行上述的配置 Enable 进入特权模式 Config t 进入全局配置模式 Interface 进入接口配置模式 组网实验1: 实验设备与材料,两台路由器,两台以太网交换机,四台PC(均能运行超级终端)一根串行电缆,四根Console线,七根以太网线 网络拓扑结构如图:
Pc1 ip 地址150.1.1.3 255.255.0.0 Pc2 ip 地址150.1.1.2 255.255.0.0 Pc3 ip 地址152.1.1.3 255.255.0.0 Pc4 ip 地址152.1.1.2 255.255.0.0 两台交换机不用配置 Router A 配置fastethernet0/0 ip 地址150.1.1.1 255.255.0.0 Serial2/0 ip 地址191.1.1.1 255.255.0.0 Static静态路由0.0.0.0/0 via 191.1.1.2 Clock rate 64000 Router B 配置fastethernet0/0 ip 地址152.1.1.1 255.255.0.0 Serial2/0 ip 地址191.1.1.2 255.255.0.0 Static静态路由150.1.1.0、24 via 191.1.1.1 从pc1上的run窗口ping pc4的地址152.1.1.2可以ping通,说明组网成功
1 在如图所示的网络中,主机192.168.1.66 无法ping 通主机192.168.1.130。必须如何配置EIGRP 才能让这两台主机连通?(选择两项。) R1(config-router)# network 192.168.1.128 R1(config-router)# auto-summary R1(config-router)# no auto-summary R2(config-router)# no auto-summary R2(config-router)# auto-summary R2(config-router)# network 192.168.1.64 2 请参见图示。在拓扑表中,数字3011840 和3128695 代表什么?
应用于该路由器EIGRP 路由的路由度量 路由信息来源的可信度 到目的网络的跳数和带宽的复合度量 由EIGRP 邻居通告的网络总度量 3如果到达某网络的链路断开,则EIGRP DUAL FSM 将会执行哪两项操作?(选择两项。) 将该路由置于被动模式 向邻居查询新路由 在路由表中搜索可行后继路由 运行SPF 算法找出新的后继路由 在拓扑表中搜索可行后继路由 4 请参见图示。下列哪条命令将通告192.168.1.64/30 网络而不是路由器 A 上的192.168.1.32 网络? network 192.168.1.0 network 192.168.1.0 255.255.255.0 network 192.168.1.64 0.0.0.3 network 192.168.1.64 0.0.0.7 network 192.168.1.64 0.0.0.255
集美大学 计算机工程学院 实验报告 实验名称基本静态路由配置 课程名称计算机网络 班级 日期— 成绩_________________ 一、实验目的 1、为接口分配适当的地址,并进行记录。 2、根据拓扑图进行网络布线。 3、清除启动配置并将路由器重新加载为默认状态。 4、在路由器上执行基本配置任务。 5、配置并激活串行接口和以太网接口。 6、确定适当的静态路由、总结路由和默认路由。 二、实验场景 对一个网络地址进行子网划分以便完成拓扑结构图所示的网络编址。连接到ISP路由器的LAN编址和HQ与ISP路由器之间的链路已经完成。但还需要配置静态路由以便非直连网络中的主机能够彼此通信。 实际拓扑图: 192.163.2. E伽
三、实验器材 (1 )直通以太网电缆 3 条 (2 )交叉以太网电缆 1 条 (3)PC机 3 台 (4)路由器 3 台 (5)交换器 2 台 四、实验内容 任务1 :对地址空间划分子网 步骤1 :研究网络要求。 在网络设计中,使用192.16820/24 地址空间。对该网络进行子网划分,以提供足够的IP地址来支持60台主机。 步骤2 :创建网络设计时思考以下问题: 需要将192.168.2.0/24 网络划分为多少个子网?_4个___ 这些子网的网络地址分别是什么? 子网0: _192.168.2. 0/26 ___________________________ 子网 1 : _192.168.2.64/26 __________________________ 子网2: _192.168.2.128/26 _________________________ 子网3: _192.168.2.192/26 _________________________ 这些网络以点分十进制格式表示的子网掩码是什么? 255.255.255.192 以斜杠格式表示的网络子网掩码是什么?_/26 ___ 每个子网可支持多少台主机?_62 ______ 步骤3 :为拓扑图分配子网地址。 1. 将子网1分配给连接到HQ的LAN。 2. 将子网2分配给HQ和BRANCH 之间的WAN链路。 3. 将子网3分配给连接到BRANCH的LAN。 4. 子网0用于供将来扩展。