【正文】 debug ppp authentication命令 debug ppp authentication 用于打開(kāi)對(duì) PPP 身份認(rèn)證過(guò)程的診斷。 show ip nat translation verbose命令 show ip nat translation verbose 用于顯示當(dāng)前正在進(jìn)行的 NAT 更為詳細(xì) 的情況。 生 成 樹(shù) 測(cè) 試 、 診 斷 命 令 show spanningtree命令 show spanningtree 用于顯示生成樹(shù)協(xié)議中交換 機(jī)及其端口的情況。 show ip route命令 show ip route 用于顯示當(dāng)前路由表內(nèi)容。 show debugging命令 show debugging 用于顯示正在進(jìn)行的診斷過(guò)程清單。 1 show arp命令 show arp 用于顯示 ARP 緩存（ ARP 表）的內(nèi)容。 show runningconfig命令 show runningconfig 用于顯示路由器、交換機(jī)運(yùn)行配置文件的內(nèi)容。 相關(guān)測(cè)試、診斷命令本文的最后，按不同的功能按每種技術(shù)分類(lèi)，給出路由器或交換機(jī)上常用 的相關(guān)測(cè)試、診斷命令。 z 對(duì)不同 VLAN 內(nèi)的通信進(jìn)行測(cè)試。顯示了各服務(wù)器 IP 地址配置情況。 z FTP、文件服務(wù)器：提供文件傳輸、共享服務(wù)。 本設(shè)計(jì)中將采用 PAP 身份認(rèn)證方法。 如果認(rèn)證成功， 在 通信過(guò)程中不再進(jìn)行認(rèn)證。 圖 42 配置物理線路的基本參數(shù) 配置接口基本參數(shù)對(duì)接口基本參數(shù)的配置包括 ：接 口封裝協(xié)議類(lèi)型 、接口異步模式 、IP 地址、 為遠(yuǎn)程客戶分配 IP 地址的方式等，如圖 43 所示。 廣域網(wǎng)連接可以采用不同類(lèi)型的封裝協(xié)議，如 HDLC、PPP 等。如圖 41 所示。圖 313 針對(duì) DoS 攻擊的設(shè)計(jì)保護(hù)路由器自身安全 作為內(nèi)網(wǎng) 、外網(wǎng)間屏障的路由器 ，保護(hù) 自身安全的重要性也是不言而喻的 。其次，telnet 是一種不安全的協(xié)議類(lèi)型。 在本實(shí)例設(shè)計(jì)中，將針對(duì)服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路 由器 InternetRouter 上 ACL 的配置方案。NAT 的配置可以分為以下幾個(gè)步驟： 定義 NAT 內(nèi)部、外部接口 圖 36 顯示了如何定義 NAT 內(nèi)部、外部接口。 到 Internet 上的路由需要定義一條缺省路由，如圖 34 所示。它通過(guò)自己的串行 接口 serial 0/0 使用 DDN（ 128K）技術(shù)接入 Internet。 圖 239 定義到 Internet 的缺省路由如圖所示。如圖 237 所示，給出了對(duì)上述端口的配置命令。這里 ，只 給出實(shí)際的配置步驟 ，不再給 出具體解釋?zhuān)鐖D 234 所示。這里，不再詳細(xì)分析。 圖 229 定義各 VLAN 的默認(rèn)網(wǎng)關(guān)地址此外 ，還 需要定義通往 Internet 的路由 。 配 置 分 布 層 交 換 機(jī) DistributeSwitch1 的 端 口 基 本 參 數(shù)分布層交換機(jī) DistributeSwitch1 的端口 FastEthernet 0/1～ FastEthernet 0/10 為服務(wù)器群提供接入服務(wù)，而端口 FastEthernet 0/2 FastEthernet 0/24 分別下 連到訪問(wèn)層交換機(jī) AccessSwitch1 的端口 FastEthernet 0/23 以及訪問(wèn)層交換機(jī) AccessSwitch2 的端口 FastEthernet 0/23。這時(shí) ，可 以激活主干道上的 VTP 剪裁功能 。每一個(gè) VTP 管理域都有一個(gè)共同的 VTP 管理域域名。在實(shí)際工作中常采用 VLAN 中繼協(xié)議（ Vlan Trunking Protocol， VTP）來(lái)解決這個(gè)問(wèn)題。作為 3 層交換機(jī)， Cisco Catalyst 3550 交換機(jī)擁有 24 個(gè) 10/100Mbps 自適應(yīng)快速以太網(wǎng)端口，同 時(shí)還有 2 個(gè) 1000Mbps 的 GBIC 端口供上連使用，運(yùn)行的是 Cisco 的 IntegratedIOS 操作系統(tǒng)。 圖 218 啟用 Uplinkfast 特性注意， Uplinkfast 特性只能在訪問(wèn)層交換機(jī)上啟用。同樣，也可以將訪問(wèn) 層交換機(jī) AccessSwitch1 的端口 FastEthernet 0/23 和 FastEthernet 0/24 捆綁在一 起 實(shí) 現(xiàn) 200Mbps 的 快 速 以 太 網(wǎng) 信 道 ， 然 后 再 上 連 到 分 布 層 交 換 機(jī) DistributeSwitch2。 如圖 216 所示 ，設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口 FastEthernet 0/2FastEthernet 0/24 為主干道端口。 在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前， 某個(gè)端口可能 最多要等 50 秒鐘的時(shí) 間（ 20 秒的阻塞時(shí)間＋ 15 秒的偵聽(tīng)延遲時(shí)間＋ 15 秒的學(xué) 習(xí)延遲時(shí)間）。 如圖 212 所示，設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的所有端口的速度均為 100Mbps。同時(shí)， 將分布層交換機(jī) DistributeSwitch1 設(shè)置成為 VTP 服務(wù)器 ，其他交換機(jī)設(shè)置成為 VTP 客戶機(jī)。但是 ，為了使網(wǎng)絡(luò)管理人 員可以從遠(yuǎn)程登錄到訪問(wèn)層交換機(jī)上進(jìn) 行管理，必須給訪問(wèn)層交換機(jī)設(shè)置一 個(gè) 管理用 IP 地址。利用命令 no ip domainlookup。 如圖 23 所示，將交換機(jī)的加密使能口令設(shè)置為 secretpasswd。該交換機(jī)擁有 24 個(gè)10/100Mbps 自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是 Cisco 的 IOS 操作系統(tǒng)。VLAN 將廣播域限制在單個(gè) VLAN 內(nèi)部，減小了各 VLAN 間主機(jī)的廣播通信對(duì)其他 VLAN 的影響 。 2 交換模塊設(shè)計(jì)一個(gè)好的校園網(wǎng)設(shè)計(jì)應(yīng)該是一個(gè)分層的 設(shè)計(jì)。 系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品， 即 Cisco 公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。 為了闡明主要問(wèn)題，在本設(shè)計(jì)方案中對(duì)實(shí)際校園網(wǎng)的設(shè)計(jì)進(jìn)行了適當(dāng)?shù)暮?必要的簡(jiǎn)化。同時(shí)， 將重點(diǎn)放在網(wǎng)絡(luò)主 干的設(shè)計(jì)上， 對(duì)于服務(wù)器的架設(shè)只作簡(jiǎn) 單介紹，具體內(nèi)容參考有關(guān)參考書(shū)。全網(wǎng)使用同一廠 商設(shè)備的主要好處在于可以 實(shí) 現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。一般分為三層設(shè)計(jì)模型。在 VLAN 間需要通信的時(shí)候 ，可以利用 VLAN 間路由技術(shù)來(lái) 實(shí) 現(xiàn)。這里， 以圖 21 中的訪問(wèn)層交換機(jī) AccessSwitch1 為例進(jìn)行介紹。圖 23 為交換機(jī)設(shè)置加密使能口令設(shè)置登錄虛擬終端線時(shí)的口令 對(duì)于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來(lái)說(shuō)，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理 人員提供了很多的方便?？梢越眠@個(gè)特性。這種情況下，實(shí)際上是將交換機(jī)看成和 PC 機(jī)一樣的主機(jī)。 這里訪問(wèn)層交換機(jī) AccessSwitch1 將通過(guò) VTP 獲得在分布層交換機(jī) DistributeSwitch1 中定義的所有 VLAN 的信息。圖 212 設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口速度 配 置 訪 問(wèn) 層 交 換 機(jī) AccessSwitch1 的 訪 問(wèn) 端 口訪問(wèn)層交換機(jī) AccessSwitch1 為終端用戶提供接入服務(wù)。 對(duì)于直接接入終端工作站的端口來(lái)說(shuō) ，用于阻塞和偵聽(tīng)的時(shí)間是不必要的 。 圖 216 設(shè)置主干道端口 配 置 訪 問(wèn) 層 交 換 機(jī) AccessSwitch2訪問(wèn)層交換機(jī) AccessSwitch2 為 VLAN 30 和 VLAN 40 的用戶提供接入服務(wù)。具體的配置步驟和命令將在核心 層交換機(jī)的配置一節(jié)中進(jìn)行 介紹。 BackbonefastBackbonefast 的作用與 Uplinkfast 類(lèi)似 ，也用于加快生成樹(shù)的收斂 。這里，以圖 21 中的分布層交換機(jī) DistributeSwitch1 為例進(jìn)行 介紹。 VTP 允許在一臺(tái)交換機(jī)上創(chuàng)建所有的 VLAN。不同 VTP 管理域的交換機(jī)之間不交 換 VTP 通告信息。當(dāng)激活了 VTP 剪裁功能以后， 交換機(jī)將自動(dòng)剪裁本交換機(jī)沒(méi)有定義的 VLAN 數(shù)據(jù)。此 外 ， 分 布 層 交 換 機(jī) DistributeSwitch1 還 通 過(guò) 自 己 的 千 兆 端 口 GigabitEthernet 0/1 上連到核心交換機(jī) CoreSwitch1 的 GigabitEthernet 3/1。這里使用了一條缺省路由命令 ，如 圖 230 所示。 其 它配置 為了實(shí)現(xiàn)對(duì)無(wú)類(lèi)別網(wǎng)絡(luò)（ Classless Network）以及全零子網(wǎng)（ Subnetzero） 的支持，在充當(dāng) 3 層交換機(jī)的分布層交換機(jī) DistributeSwitch1 上，還需要進(jìn)行 相應(yīng)的配置，如圖 232 所示。 圖 234 配置核心層交換機(jī) CoreSwitch1 的基本參數(shù) 配 置 核 心 層 交 換 機(jī) CoreSwitch1 的 管 理 IP、 默 認(rèn) 網(wǎng) 關(guān)如圖 235 所示 ，顯 示了為核心層交換機(jī) CoreSwitch1 設(shè)置管理 IP 并激活本 征 VLAN。 圖 237 設(shè)置核心層交換機(jī) CoreSwitch1 的各端口參數(shù)此外，為了提供主干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計(jì)，在本設(shè)計(jì)中，將核心 層交換機(jī) CoreSwitch1 的千兆端口 GigabitEthernet 2/GigabitEthernet 2/2 捆綁 在一起實(shí)現(xiàn) 2000Mbps 的千兆以太網(wǎng)信道，然后再連接到另一臺(tái)核心層交換機(jī) CoreSwitch2。 其 它配置 為了實(shí)現(xiàn)對(duì)無(wú)類(lèi)別網(wǎng)絡(luò)（ Classless Network）以及全零子網(wǎng)（ Subnetzero） 的支持，在充當(dāng) 3 層交換機(jī)的核心層交換機(jī) CoreSwitch1，也需要進(jìn)行相應(yīng)的 配置，如圖 240 所示。其作用主要是在 Internet 和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。其中，下一跳 指定從本路由器的接口 serial 0/0 送出。 圖 36 定義 NAT 內(nèi)部、外部接口定義允許進(jìn)行 NAT 的工作站的內(nèi)部局部 IP 地址范圍 圖 37 顯示了如何定義允許進(jìn)行 NAT 的內(nèi)部局部 IP 地址范圍。 在網(wǎng)絡(luò)環(huán)境中普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。用戶在使用 telnet 登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶 名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，?容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲 。 為了阻止黑客入侵路由器，必 須對(duì)路由器的訪問(wèn)位置加以限制。 圖 41 遠(yuǎn)程訪問(wèn)服務(wù)遠(yuǎn)程訪問(wèn)有三種可選的服務(wù)類(lèi)型：專(zhuān)線連接、電路交換和包交換。其中，PPP 除了提供身份認(rèn)證功能外，還可以提供 其他很多可選項(xiàng)配置，包括鏈路壓縮 、 多鏈路捆綁 、回叫等 ，因此更具優(yōu)勢(shì) 。這里，設(shè)置遠(yuǎn)程客戶從 IP地址池 rasclients 中獲得 IP 地址。 如果認(rèn)證失 敗，則直接釋放鏈路。 建立本地口令數(shù)據(jù)庫(kù) 如圖 45 所示建立本地口令數(shù)據(jù)庫(kù)。 z 郵件服務(wù)器：提供郵件收發(fā)服務(wù)。 圖 52 各服務(wù)器 IP 地址配置表 2 給出了所有的服務(wù)器硬件平臺(tái)、操 作系統(tǒng)以及服務(wù)軟件的選型表。 z 對(duì)冗余鏈路的工作狀態(tài)進(jìn)行測(cè)試。同時(shí) ，還給出了每一命令的作用。 show startupconfig命令 show startupconfig 用于顯示路由器、交換機(jī)啟 動(dòng)配置文件的內(nèi)容。 1 show ip arp命令 show ip arp 用于顯示 IP ARP 緩存（ ARP 表）的內(nèi)容。 2 undebug all命令 undebug all 用于停止所有診斷過(guò)程。 show ip protocols命令 show ip protocols 用于顯示動(dòng)態(tài)路由協(xié)議的配置參數(shù)信息。 show spanningtree blockedports命令 show spanningtree blockedports 用于顯示處于阻塞狀態(tài)的端口。 show ip nat statistics命令 show ip nat statistics 用于顯示 NAT 運(yùn)行情況統(tǒng)計(jì)。 總 結(jié)需要說(shuō)明的是 ，一個(gè)完整的校園網(wǎng)網(wǎng)絡(luò) 系統(tǒng)設(shè)計(jì)不僅包含上述設(shè)備或系統(tǒng) ， 還應(yīng)該包括計(jì)費(fèi)系統(tǒng)、 防火墻系統(tǒng)、 入 侵檢測(cè)系統(tǒng)等組成部分。