【文章內(nèi)容簡介】 同的 VTP 管理域域名。不同 VTP 管理域的交換機之間不交換 VTP通告信息。將 VTP 管理域的域名定義為 “ cisco” 。 （ 2） 設(shè)置 VTP 服務(wù)器 vtp mode server 工作在 VTP 服務(wù)器模式下的交換機可以創(chuàng)建、刪除 VLAN、修改 VLAN 參數(shù)。同時，還有責(zé)任發(fā)送和轉(zhuǎn)發(fā) VLAN 更新消息。 （ 3） 激活 VTP 剪裁功能 12 vtp pruning 默認(rèn)情況下主干道傳輸所有 VLAN 的用戶數(shù)據(jù)。有時，交換網(wǎng)絡(luò)中某臺交換機的所有端口都屬于同一 VLAN 的成員，沒有必要接收其他 VLAN 的用戶數(shù)據(jù)。這時，可以激活主干道上的 VTP 剪裁功能。當(dāng)激活了 VTP 剪裁功能以后，交換機將自動剪裁本交換機沒有定義的 VLAN 數(shù)據(jù)。 在一個 VTP 域下，只需要在 VTP 服務(wù)器上激活 VTP 剪裁功能。同一 VTP 域下的所有其 他交換機也將自動激活 VTP 剪裁功能。 下圖為該交換機的配置參數(shù)： 3． 在分布層交換機 DistributeSwitch1 上定義 VLAN 在本企業(yè)網(wǎng)實現(xiàn)實例中，除了默認(rèn)的本征 VLAN 外，又定義了 6 個 VLAN。 由于使用了 VTP 技術(shù)，所以所有 VLAN 的定義只需要在 VTP 服務(wù)器，即分布層交換機 DistributeSwitch1 上進行。 如圖所示，定義了 6 個 VLAN，同時為每個 VLAN 命名。 4． 配置分布層交換機 DistributeSwitch1 的端口基本參數(shù) 分布層交換機 DistributeSwitch1的 端口 FastEther 0/1～ FastEther 13 0/5 連到接入層交換機 AccessSwitch15 的端口 FastEther 0/23，端口FastEther 0/10～ FastEther 0/12 為服務(wù)器群提供接入服務(wù) 。此外， 分布層交換機 DistributeSwitch1 還通過自己的千兆端口 GigabitEther 1/1上連到核心交換機 CoreSwitch1 的 GigabitEther 0/1。 為了實現(xiàn)冗余設(shè)計，分布層交換機 DistributeSwitch1 還通過自己的千兆端口 GigabitEther 1/2 連接另一臺到分布層交換機 DistributeSwitch2 的GigabitEther 1/2。 給出了對所有訪問端口、主干道端口的配置步驟和命令。 設(shè)置分布層交換機 DistributeSwitch1 的各端口參數(shù) 其中， f0/1f0/5， gi1/1,gi1/2 都被配為中繼端口，端口 f0/10f0/12 被劃分給 VLAN 100。 swi 為 switchport的縮寫， acc為 access的縮寫， gi為 gigabitEther的縮寫， 5． 配置分布層交換機 DistributeSwitch1 的 3 層交換功能 分布層交換機 DistributeSwitch1需要為網(wǎng)絡(luò)中的各個 VLAN提供路由功能。這需要首先啟用分布層交換機的路由功能。 接下來，需要為每個 VLAN 定義自己的默認(rèn)網(wǎng)關(guān)地址， 14 此外，還需要定義通往 Inter 的路由。這里使用了一條缺省路由命令， 其中，下一跳地址是 Inter 接入路由器的快速以太網(wǎng)接口 FastEther 0/0 的 IP 地址。6． 配置分布層交換機 DistributeSwitch2 分 布層交換機 DistributeSwitch2 的端口 FastEther 0/15 分別下連到接入層交換機 AccessSwitch15 的端口 FastEther 0/24。 15 此 外 ，分 布層 交 換機 DistributeSwitch2 還 通過 自 己的 千兆 端 口GigabitEther1/1 上連到核心交換機 CoreSwitch2 的 GigabitEther 0/1。 對分布層交換機 DistributeSwitch2 的配置步驟、命令和對分布層交換機DistributeSwitch1 的配置類似。 核心層交換服 務(wù)的實現(xiàn)－配置核心層交換機 1． 配置核心層交換機 CoreSwitch1 的基本參數(shù) 對核心層交換機 CoreSwitch1 的基本參數(shù)的配置步驟與對接入層交換機AccessSwitch1 的基本參數(shù)的配置類似。這里，只給出實際的配置步驟，不再給出解釋。 2． 配置核心層交換機 CoreSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) 如圖所示，顯示了為核心層交換機 CoreSwitch1 設(shè)置管理 IP 并激活本征VLAN。同時，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。 3． 配置核心層交換機 CoreSwitch1 的的 VLAN 及 VTP 在本實例中， 核心層交換機 CoreSwitch1 也將作為 VTP 客戶機。 這里核心層交換機 CoreSwitch1 將通過 VTP 獲得在分布層交換機DistributeSwitch1 中定義的所有 VLAN 的信息。 16 完整命令為： vtp mode client 4． 配置核心層交換機 CoreSwitch1 的端口參數(shù) 核心層交換機 CoreSwitch1 通過自己的端口 FastEther 0/22 同廣域網(wǎng)接入模塊（ Inter 路由器）相連。同時，核心層交換機 CoreSwitch1 的端口GigabitEther 0/1～ GigabitEther 0/2 分別下連到 接入 層交換機DistributeSwitch1 和 DistributeSwitch2 的端口 GigabitEther 1/1。 如圖所示，給出了對上述端口的配置命令。 此外，為了提供主干道的吞吐量以及實現(xiàn)冗余設(shè)計，在本設(shè)計中，將核心層交換機 CoreSwitch1 的千兆端口 GigabitEther 2/ GigabitEther 2/2捆綁在一起實現(xiàn) 2021Mbps 的千兆以太網(wǎng)信道，然后再連接到另一臺核心層交換機 CoreSwitch2。 下面 是設(shè)置核心層交換機 CoreSwitch1 的千兆以太網(wǎng)信道的步驟。 5． 配置核心層交換機 CoreSwitch1 的路由功能 核心層交換機 CoreSwitch1 通過端口 FastEther 0/22 同廣域網(wǎng)接入模塊（ Inter 路由器）相連。因此，需要啟用核心層交換機的路由功能。同時，還需要定義通往 Inter 的路由。這里使用了一條缺省路由命令，如圖所示。其中，下一跳地址是 Inter 接入路由器的快速以太網(wǎng)接口 FastEther 0/0的 IP 地址。 6． 核心層交換機 CoreSwitch2 的配置 17 核心層交換機 CoreSwitch2 的配置步驟、命令和對核心層交換機CoreSwitch1 的配置類似。這里，不再詳細(xì)分析。同時，對于配置核心層交換機CoreSwitch2 下連的一系列交換機，其連接方法以及配置步驟和命令同核心層交換機 CoreSwitch1 下連的一系列交換機的連接方法以及配置步驟和命令類似。這里，也不再贅述。 廣域網(wǎng)接入模塊設(shè)計 在本設(shè)計中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器 InterRouter來完成的。采用的是 Cisco 的 2811 路由器。它通過 添加 WIC2T 模塊 上帶的 串行接口 serial 0/0使用 DDN（ 128K）技術(shù)接入 Inter。它的作用主要是在 Inter和企業(yè)網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問控制列表（ Access Control List， ACL），廣域網(wǎng)接入路由器 InterRouter 還可以用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的安全功能 。 配置接入路由器 InterRouter 的基本參數(shù) 對接入路由器 InterRouter 的基本參數(shù)的配置步驟與對接入層交換機AccessSwitch1 的基本參 數(shù)的配置類似。 配置接入路由器 InterRouter 的各接口參數(shù) 對接入路由器 InterRouter 的各接口參數(shù)的配置主要是對接口FastEther 0/0 以及接口 Serial 0/0/0 的 IP 地址、子網(wǎng)掩碼的配置。 如圖 23 所示，顯示了為接入路由器 InterRouter 的各接口設(shè)置 IP 地址、 18 子網(wǎng)掩碼。 配置接入路由器 InterRouter 的路由功能 在接入路由器 InterRouter 上需要定義兩個方向上的路由：到企業(yè)網(wǎng) 內(nèi)部的靜態(tài)路由以及到 Inter 上的缺省路由。 到 Inter 上的路由需要定義一條缺省路由，如圖所示。其中，下一跳指定從本路由器的接口 serial 0/0/0 送出。 到企業(yè)網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖所示。 配置接入路由器 InterRouter 上的 NAT 由于目前 IP 地址資源非常稀缺，對不可能給企業(yè)網(wǎng)內(nèi)部的所有工作站都分配一個公有 IP（ Inter 可路由的）地址。為了解決所有工作站訪問 Inter的需要，必須使用 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。 為了接入 Inter，本企業(yè)網(wǎng)向當(dāng)?shù)?ISP 申請了 9 個 IP 地址。其中一個 IP地址： 被分配給了 Inter 接入路由器的串行接口，另外 8 個 IP 地址： ～ 用作 NAT。 NAT 的配置可以分為以下幾個步驟。 （ 1）定義 NAT 內(nèi)部、外部接口 Ip nat inside 定義端口為內(nèi)部端口； Ip nat outside 定義端口為外部端口。 （ 2）定義允許進行 NAT 的內(nèi)部局部 IP 地址范圍 19 內(nèi)部地址范圍為： ，??， ， 八個子網(wǎng)。 （ 3）為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換 將服務(wù)器的內(nèi)部 IP 地址改為公有地址。 （ 4） 為其他工作站定義 動態(tài) 地址轉(zhuǎn)換 將一個網(wǎng)絡(luò)中的所有需要轉(zhuǎn)換的私有地址用一個 ACL 來表示，再從 ISP 注冊到的共有地址一個地址池來表示，最后再將 ACL 與地址池做動態(tài)的轉(zhuǎn)換。 將除服務(wù)器外的內(nèi)部 IP 隨機轉(zhuǎn)換為地址池內(nèi)的 的公有地址。 Cisco 為地址 池名。 設(shè) 置接入路由器 InterRouter 上的 ACL 路由器是外網(wǎng)進入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表（ Access Control List， ACL）是保護內(nèi)網(wǎng)安全的有效手段。一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的 設(shè)計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護。 在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實現(xiàn)中它們都是應(yīng)該對外加以屏蔽的。主要應(yīng)該做以下的ACL 設(shè)計： （ 1）對外屏蔽簡單網(wǎng)管協(xié)議，即 SNMP。 利用這個協(xié)議，遠(yuǎn)程主機可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型： SNMP 和 SNMPTRAP。 20 對外屏蔽簡單網(wǎng)管協(xié)議 SNMP： （ 2）對外屏蔽遠(yuǎn)程登錄協(xié)議 tel 首先， tel 是一種不安全的協(xié)議類型。用戶在使用 tel 登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時所使用 的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次， tel 可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和 UNIX 服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。 對外屏蔽遠(yuǎn)程登錄協(xié)議 tel： （ 3）對外屏蔽其它不安全的協(xié)議或服務(wù) 這樣的協(xié)議主要有 SUN OS 的文件共享協(xié)議端口 2049，遠(yuǎn)程執(zhí)行（ rsh）、遠(yuǎn)程登錄（ rlogin）和遠(yuǎn)程命令（ rcmd）端口 51 51 514，遠(yuǎn)程過程調(diào)用（ SUNRPC）端口 111。可以將針對以上協(xié)議綜合進行設(shè)計，如圖所 示。 （ 4）針對 DoS 攻擊的設(shè)計 DoS 攻擊（ Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進程停止，嚴(yán)重時會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。 （ 5）保護路由器自身安全 作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護自身安全的重要性也是不言而喻的。 21 為