网络安全运行与维护教学课件 M7-2 提高企业网间路由系统安全保障.ppt

《网络安全运行与维护教学课件 M7-2 提高企业网间路由系统安全保障.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、《网络安全运行与维护》模块七网络互联系统安全运行与维护能力总体概述为有效地利用公司带宽，并对员工进行上网行为的控制，实现办公网的安全管理与维护，公司希望采取以下措施保障公司网络安全。在接入交换机上配置接入安全策略，提高网络接入安全在汇聚层交换机上配置安全策略，提高网络抗攻击能力对办公区用户群进行访问控制，提高办公区网络访问安全生产网络办公网络能力单元2提高企业网间路由系统安全任务描述随着拓维公司业务拓展的需要，除在天津开设分公司外，还相继在上海、南京、广州等地都开设了分公司，各分公司的办公网络通过Internet和北京总部网络连通，实现全公司通过网络协

2、同办公。由于公司的业务数据在通过Internet传输时，可能导致泄密，给公司信息带来安全隐患，因此，公司希望通过实施路由加密认证技术和VPN私有专用网安全技术，保障全公司网络通信安全。任务分析路由器可能会接收非法路由选择更新消息，该更新消息可能来自网络攻击者或路由器故障，网络攻击者可能试图破坏网络，或试图通过欺骗路由器来捕获路由器中通信的数据包。针对拓维公司的网络运行现状，公司决定对全公司的办公网络进行改造，增加安全机制以保证公司网络之间的通信安全。在边界路由器上，通过实施路由安全认证技术、访问控制技术、接入认证技术和VPN技术，实现低代价、跨地域的安

3、全访问，确保内部网络的访问安全。①建立相应的安全认证准入机制，保证公司访问外网的带宽能够得到合理使用②开启路由协议的认证功能，保证路由器在获取和更新路由表时，能有一个有效且合理的信息来源③在接入路由器上实施VPN安全，既保证网络的接入安全，还可以降低网络改造的费用，使办公网改造低成本接入。相关知识1．RIPv2认证安全通常情况下RIPv1报文为广播报文，而其第二代的版本RIPv2报文则为组播报文，组播地址为224.0.0.9。RIPv2是无类路由协议，它会在路由更新中包含子网掩码，因此RIPv2对当今路由环境的适应性更强，其增强功能包括：路由更新中包含

4、下一跳地址，使用组播地址发送更新，可选择使用检验功能。RIPv2通过更改RIP消息中第一个路由条目的字段来支持认证，并提供了MD5认证来代替简单口令认证。相关知识2．OSPF邻居身份验证安全（1）OSPF协议介绍OSPF是在单一自治系统内决策的路由协议，与RIP动态路由协议不同的是，OSPF是链路状态路由协议。OSPF协议通过路由器之间通告的网络接口状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。（2）OSPF协议路由验证在OSPF路由协议中，所有的路由信息交换都必须经过验证，从而保证路由通信的安全。OSPF路由

5、协议支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息，而且OSPF对不同的区域可以定义不同的验证方式，提高网络的安全。拓扑结构操作步骤〖步骤1〗网络拓扑搭建第1步：配置计算机的IP地址及网关信息第2步：配置路由器的接口IP地址①配置RA的F0/0、F0/1和F0/2接口的IP地址②配置RB的F0/1和F0/2接口的IP地址③配置RC的F0/1和F0/2接口的IP地址④配置RD的F0/1和F0/2接口的IP地址操作步骤〖步骤1〗网络拓扑搭建第3步：配置路由器的OSPF路由协议①配置RA的OSPF路由协议，并将所有直连网络加入区域0RA(co

6、nfig)#routerospf10RA(config-router)#network192.168.3.00.0.0.255area0RA(config-router)#network192.168.5.00.0.0.255area0RA(config-router)#network172.16.1.00.0.0.255area0操作步骤〖步骤1〗网络拓扑搭建第3步：配置路由器的OSPF路由协议②配置RB的OSPF路由协议，并将所有直连网络加入区域0③配置RC的OSPF路由协议，并将所有直连网络加入区域0④配置RD的OSPF路由协议，并将所有直连网络

7、加入区域0第4步：测试配置结果操作步骤〖步骤2〗配置接入路由的设备安全在公司的网络拓扑上，路由器RA和RB分别是总公司和外地分公司网络的骨干路由器，在网络中具有最高安全级别比。为保护骨干设备安全，需要设置密码验证登录，而且为了实现全网远程管理需要，还需要配置SSH加密验证登录，实现远程登录安全。操作步骤〖步骤2〗配置接入路由的设备安全第1步：配置路由器的enable密码R(config)#enablesecretlevel15ruijie第2步：为路由器创建管理用户R(config)#usernameruijiepasswordstar第3步：配置路由

8、器的console接口登录认证R(config)#linecon0R(config-line)