通过部署基于用户身份 的802.1x 认证，防止非法 用户和非法电脑的接入 局域网和无线网
Unauthorized User
Authorized Vendor
也可以将非法用户的电 脑接入一个特定网段 (Guest VLAN)，限制访问 的资源
Cisco 入侵监测和在线入侵保护（IDS/IPS）
黑客1 11.1.76.8
考试与评估 教学论坛 实验手册 电子教程
思科网络技术学院教材和实验环境：CCNA
IPv4 IPv6
Cat3750
IPv4
IPv4
IPv6
广域网
IPv6
或
IPv4
Internet
IPv4
IPv6
IPv6
IPv4 IPv6
Cat3750
思科网络技术学院教材和实验环境：网络安全基础
网络安全实验室
广域网 或
课程的学习（具体数量视开课形式而定）。 4、指派至少两名教师参加教师培训，开展具体的教学工作。
申请步骤（申请周期不超过1个月）： 1、填写申请表格。 2、审核。 3、批准和授权。
从获得授权，参加教师培训到开展教学的准备周期为3－6月时间。
思科网络技术学院预算考虑
1、电子教材、电子讲义、辅助教学软件、e-learning学习平台（免费）。 2、师资培训：
CCNA CCNP 网络安全基础 无线局域网络基础
培训费每人 3600元 8000元 2500元 2500元
天数 22天 40天 12天 10天
注：思科为每所新申请学院提供两名免费的CCNA师资培训名额。 差旅费学校自理、其它课程培训价格请参照思科网络技术学院理事会网站。
3、实验室建设预算。
4、思科网络技术学院理事会提供后续技术支持服务，会员费每年1500元人 民币。（详情请参照理事会网站 ）
项目开展案例—— 培训模式
学校：清华大学、北京邮电大学 培训对象：学生及社会人员 课程周期：CCNA课程 4－6个月 收费标准：CCNA课程 1500—2000元
详细情况请参照网站：
Presentation_ID
© 2003, Cisco Systems, Inc. All rights reserved.
32
思科先进技术实验室总结
• 展示了思科先进的网络技术 • 为用户提供教学和科研的高级技术平台 • 随时进行相关领域前沿技术的测试试验 • 提高教师和学生的网络科研和应用整体水平 • 通过结合Cisco 网络学院计划，您可以提供
对学校/教师： • 多媒体的教材和完善的课件 • 丰富有效的实验讲义 • 教材每三个月更新一次 • E-learning在线工具，可以掌握到每一个
学生的情况而不需要过多的纸面工作 • 参与到跨全球范围的教育项目中，拓宽
交流领域
思科网络技术学院现状
全球
• 10,025所学校 • 162个国家,地区 • 449,622名在校学习的学生 • 296,092名毕业学生
Internet
用户认证 授权服务器
主机 入侵保护
防火墙
IPv4 IPv6
入侵保护 路由器
网络入侵 检测(IDS)
防火墙
IPv4 IPv6
入侵保护 路由器
网络准入 实验
思科网络技术学院的教与学
教师授课
动手实践 实验室
E-learning教学平台实现“循环式的上升的教学模式”
• 每个学生参加每一次的在线测试 ，评估系统会自动产生一份 “Personalized Feedback”
13
思科网络技术学院项目
思科网络技术学院项目是思科公司回馈社会、完全 非赢利的网络技术教育项目
• 为学校而专门设立 • 包括了CCNA、CCNP、网络安全和无线局域网络等总计15门、
1050小时的电子教程 • 采用先进的E-Learning学习方式 • 培养学生掌握从设计、建立到运行计算机网络全面的知识体系和
• —针对每个学生没有掌握的知识 点的列表
• —鼠标点击相应的知识点可以直 接回到相应章节的电子教材
• —教师可以根据全班学生掌握知 识点的情况，进行有针对性的调 整。
思科网络技术学院带来的好处
对学生： • 获得权威国际认证 • 提高就业竞争力 • 锻炼实践技能，增强了自信心 • 获得了进入IT领域的敲门砖
全球领先的IT培训课程，提高学校的知名度 ，提高学生的就业能力
Cisco 基于身份的网络服务（IBNS）
Authorized User
OK
用户面临的挑战:
CiscoSecure ACS Who are you? I am Joe Cisco
Microsoft AD
非法用户的电脑可以轻 易接入网络，并获取重 要数据
Cisco 的解决方案:
Authorized AP
成功故事
叶婧
电子科技大学学生。现在上海 证券交易所工作。曾代表中国 思科网络技术学院的学生，参 加联合国妇女大会（2000）
•杨月 （右二）
天津耀华中学学生，担任了天津华冠中学思科 网络技术学院的教师助理，辅导了多名中学生获 得CCNA认证。她自己也已经被美国麻省理工学 院录取，全额奖学金。
思科高级网络技术实验室 设备清单
Internet
在线监测入侵， 并可将攻击实时
阻断
网管服务器 11.1.72.101
Cisco IDS
Catalyst3750
IDS/IPS 路由器
Write the ACL
在汇聚交换机中动态下 载访问控制列表 ACL，
实现动态的入侵防御
内部黑客 7.7.7.101
园De区tec网t th络e attack
3. “受感染”的用户 – 部分不符合安全策略 用户端的反病毒软件不符合安全策略，可能未升级到最新的版本，也可能未安 装反病毒软件，因此拒绝它对网络的访问，并在其屏幕上弹出通知信息，通知 其与网管中心联系。
Enhanced Service
Cisco IPSec VPN 实验室
动态多点VPN实验室 Dynamic Multipoint IPSec VPNs
NAC 实验内容
1. “健康”用户 – 符合安全策略 用户端的操作系统信息和反病毒软件更新版本与安全策略一致，发出“欢迎”信 息框，并准许访问。
2. “危险”的“未知”型用户 – 完全不符合安全策略 无法探测到用户端的操作系统信息和反病毒软件信息，不能确定其是否符合安 全策略，可能是“访客”或“危险”的“未知”用户，浏览页面将被转向特定的通知页 面。
入侵保护 路由器
网络入侵 检测(IDS)
• 用户集中认证和访问控制实验
• 防火墙实验室
防火墙
IPv4 IPv6
• 网络入侵检测、防范实验室
入侵保护
路由器 • 主机入侵检测、防范实验室
网络准入 • 网络准入控制（NAC）实验室 实验 • VPN 实验室
高级防火墙设计、部署实验室
非法置案例
实验室设备机架案例
网络学院案例——必修课模式：南京大学软件学院
本科生课程 • 针对本科生开设必修课程计算机网络 • 采用教材为思科网络技术学院教程（CCNA） • 课程为4学分，其中每周进行3学时课堂讲授, 2学时实验(实际超过2学
时)，每学期为17周
研究生课程 • 针对一年级硕士研究生开设选修课程高级计算机网络 • 主要的教学内容来自思科CCNP教程
思科高级网络技术实验 室解决方案
2020/8/1
网络安全实验室
Presentation_ID
© 2003, Cisco Systems, Inc. All rights reserved.
2
网络安全实验室结构和功能
网络安全实验室
广域网 或
Internet
用户认证 授权服务器
主机 入侵保护
防火墙
IPv4 IPv6
中国
• 214所学校 • 19,399名在校学习学生 • 27,637名毕业生
截至2005年2月6日
如何申请加入？
凡购买思科网络实验室的学校将具备优先申请的资格。
申请单位需要符合的条件： 1、学校（高等院校、职业学院和高中）。 2、承诺开课（培训、选修课或者必修课）。 3、在确保教学质量的情况下，每年要保证一定数量的学生完成思科网络技术学院
Deny
172.29.29.2 汇聚交换机 Catalyst 3750
NAC网络准入实验室
IP
1
8
2
EAPoUDP
4
3
CTA
Router
ACS
Network
7 6
5 HCAP
Vendor Server
1. 用户端发起对Internet或受保护网段的访问，触发路由器（网络准 入设备）上的初始访问控制列表 2. 路由器发起对用户端的状态验证（EAPoUDP），要求用户端的CTA进 行相应 3. CTA向路由器发送状态证书（EAPoUDP） 4. 路由器将证书发往ACS（访问控制服务器） 5. ACS与后端认证服务器一起进行用户端的证书验证（HCAP） 6. ACS确定用户端状态，决定其访问授权 7. ACS向路由器发送授权策略（包括ACL和URL），并在用户端屏幕上显 示通知信息 8. 路由器根据授权策略决定对用户端的访问控制
包括多区域OSPF、组播、IPv6、多层交换、园区网等 • 课程为3学分，其中每周进行2学时课堂讲授, 2学时实验 • 每学期为12-13周
南京大学软件学院网站：
网络学院开展案例——职业技术学院
• 温州大学 将思科网络技术学院课程全面纳入计算机网络工程专业， 取得了良好的效果, 获得教育部国家精品课程 /
IPSec承载路由实验室 Easy VPN实验室 业界标准 IPSec VPN