【正文】 unk /*配置 fastether0/2和 fastether0/3為中繼接口 S1 (configif)switchport trunk encapsulation dot1q /*配置 trunk封裝 dot1q，這是默認(rèn)的封裝，故可以省略 分支交換機(jī)端配置如下： S2 (config)interface fastether 0/5 S2 (config)switchport mode trunk 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 22 S2 (config)switchport trunk encapsulation dot1q ?? 此時(shí)，管理域算是設(shè)置完畢了。 (3).創(chuàng)建 VLAN 一旦建立了管理域，就可以創(chuàng)建 VLAN了。 S1 (config)vlan 60 S1 (vlan)vlan 60 name jifang1f /*創(chuàng)建一個(gè)編號(hào)為 60名字為 jifang1f的 VLAN S1 (vlan)vlan 61 name jifang3f /*創(chuàng)建一個(gè)編號(hào)為 61名字為 jifang3f的 VLAN ?? 這里的 VLAN是在核心交換機(jī)上建立的，其實(shí)，只要是在管理域中的任何一 臺(tái) VTP屬性為 Server的交換機(jī)上建立 VLAN，它就會(huì)通過(guò) VTP通告整個(gè)管理域中 的所有的交換機(jī)。但是如果要將交換機(jī)的端口劃入某個(gè) VLAN,就 必須在該端口 所屬的交換機(jī)上進(jìn)行設(shè)置。 (4).將交換機(jī)端口劃入 VLAN S1 (config)ingterface fastether 0/6 /*配置端口 6 S1 (config)switchport access vlan64 /*歸屬 guanli VLAN S1 (config)ingterface fastether 0/8 /*配置端口 8 S1 (config)switchport access vlan65 /*歸屬 fuwuqi1VLAN ?? (5).配置三層交換 VLAN劃分完畢后， VLAN間實(shí)現(xiàn)三層（網(wǎng)絡(luò)層）交換時(shí)就要給各 VLAN分配網(wǎng)絡(luò)（ IP）地址了。按照表 1的方案配置。 首先在核心層交換機(jī)上分別設(shè)置各 VLAN的接口 IP地址，如下所示 : S1 (config)interface vlan 64 S1 (configif)ip address /*定義 VLAN64接口 IP S1 (config)interface vlan 65 S1 (configif)ip address /*定義 VLAN65接口 IP 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 23 S1 (config)interface vlan 66 S1 (configif)ip address /*定義 VLAN66接口 IP ?? S1 (config)ip routing /*啟用三層交換功能 S1 (config)ip classless /*啟用無(wú) 類(lèi)路由 S1 (config)ip subzero /*啟用對(duì)零子網(wǎng)的支持 再在各接入 VLAN的計(jì)算機(jī)上設(shè)置與所屬 VLAN的網(wǎng)絡(luò)地址一致的 IP地址，并且把默認(rèn)網(wǎng)關(guān)設(shè)置為該 VLAN的接口地址。這樣，所有的 VLAN也可以互訪了。 VLAN的劃分可以隔離廣播，同時(shí)可以采用訪問(wèn)控制列表來(lái)對(duì)每個(gè) VLAN進(jìn)行 控制。 (6).為各 VLAN配置 DHCP服務(wù) 為了方便各個(gè) VLAN內(nèi) IP地址的配置，減少網(wǎng)絡(luò)管理員的負(fù)擔(dān)，所以為每個(gè) VLAN配置DHCP服務(wù)，這樣每個(gè) VLAN內(nèi)的用戶(hù)都將使用 DHCP服務(wù)自動(dòng)獲取 IP，以 防止 IP沖突的出現(xiàn)。在核心交換機(jī)上配置 DHCP服務(wù)的命令如下： S1 （ config） ip dhcp pool QWE /*配置 QWE的地址池 S1 (dhcpconfig)work /*設(shè)定分配地址為 S1 (dhcpconfig)dnsserver /*設(shè)置 DNS為 S1 (dhcpconfig)defaultrouter /*設(shè)置默認(rèn)網(wǎng)關(guān)為 S1 （ config） ip dhcp pool DASD /*配置 DASD的地址池 S1 (dhcpconfig)work /*設(shè)定分配地址為 S1 (dhcpconfig)dnsserver /*設(shè)置 DNS為 S1 (dhcpconfig)defaultrouter /*設(shè)置默認(rèn)網(wǎng)關(guān)為 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 24 ?? (7).配置 ACL禁止某些部門(mén)的相互通信 我們常常對(duì)交換機(jī)的訪問(wèn)列表進(jìn)行配置，以實(shí)現(xiàn)禁止兩個(gè)辦公室之間的相互訪問(wèn)，提高內(nèi)網(wǎng)的安全性。 S1 (config) accesslist 103 deny icmp any echo S1 (config) accesslist 103 permit ip any any /*配置號(hào)碼為 102的擴(kuò)展訪問(wèn)列表，禁止 任何網(wǎng)段訪問(wèn) S1 (config)accesslist 21 permit S1 (config)accesslist 21 deny any S1 (config)line vty 0 4 S1(configline)accessclass 21 in S1(configline)exit /*在所有設(shè)備上設(shè)置只允許管理員網(wǎng)段的主機(jī)能夠通過(guò) tel登陸到設(shè)備上進(jìn)行配置。 S1 (config) ip domainname /*配置 SSH加密的域名 S1(config)crypto key generate rsa /*通過(guò) SSH加密隨機(jī)生成密匙 S1(config)username student privilege 15 secret cisco /*配置登陸用戶(hù)名和密碼，并且對(duì)于 student用戶(hù)設(shè)置權(quán)限為最高級(jí) 15級(jí)，密碼為cisco。 S1(config)line vty 0 4 S1(configline)no transport input /*設(shè)置不允許任何方式遠(yuǎn)程登陸到設(shè)備 S1(configline)transport input ssh /*配置遠(yuǎn)程登陸設(shè)備只允許加密的 SSH方式 S1(configline)transport input tel /*配置允許 tel方式登陸設(shè)備進(jìn)行遠(yuǎn)程配置 S1(configline)login local /*將以上配置應(yīng)用于本地登陸 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 25 S1(configline)exectimeout 3 /*配置 VTY超時(shí)，防止空閑會(huì)話無(wú)止境的消耗 VTY。 S1(configline)exit S1 (config)ip ssh authenticationretries 2 /*設(shè)置身份驗(yàn)證重試次數(shù)為 2次 S1 (config)ip ssh timeout 15 /*配置 SSH超時(shí)為 15s。 S3 (config)accesslist 102 permit icmp echoreply S3 (config)accesslist 102 deny icmp echoreply S3 (config)accesslist 102 deny icmp echoreply S3 (config)accesslist 102 deny icmp echoreply S3 (config)accesslist 102 deny icmp echoreply S3 (config)accesslist 102 deny icmp echoreply S3 (config)accesslist 102 deny icmp echoreply S3 (config)accesslist 102 deny icmp echoreply S3 (config)accesslist 102 deny icmp echoreply S3 (config)accesslist 102 deny icmp echoreply S3 (config)accesslist 102 deny icmp echoreply S3 (config)accesslist 102 deny icmp 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 26 echoreply S3 (config)accesslist 102 permit icmp any any /*配置號(hào)碼為 102的擴(kuò)展訪問(wèn)列表， 禁止除了管理員以外的任何網(wǎng)段訪問(wèn)。 然后將兩個(gè)訪問(wèn)列表分別應(yīng)用到 邏輯接口的 出口上： S1 (config)int fastether 0/1 /*將號(hào)碼為 102的訪問(wèn)控制列表應(yīng)用到fastether 0/1上 S1 (configif)ip accessgroup 102 out NAT 的應(yīng)用 實(shí)例中的使用的路由器是 cisco 2811，接入電信的接口為： serial 1/0， IP地址為：，接入內(nèi)網(wǎng)的接口為： serial 1/1， ip地址為： 。 圖 2 NAT示意圖 （ 1） .配置實(shí)訓(xùn)樓路由器 的接口 IP為： ， 在核心路由器 cisco catalyst 2811上指定默認(rèn)路由： R1 (config)ip route serial 1/0 （ 2） .配置靜態(tài)路由 在路由器上指定到內(nèi)部網(wǎng)的路徑： R1 (config)ip route ?? （ 3） .配置 NAT，從內(nèi)部主機(jī)訪問(wèn) Inter 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 27 R1 (config)accesslist 10 permit /*設(shè)置用于 NAT的訪問(wèn)控制列表，用于指定內(nèi)部地址 R1 （ config） ip nat pool abcd mask /*定義用戶(hù) NAT的外部地址池 R1 （ config） ip nat inside source list 10 pool abcd overload /*配置 NAT過(guò)載（配置 PAT） ?? （ 4） .配置 NAT，實(shí)現(xiàn)外網(wǎng)對(duì) 和 ftp服務(wù)器的訪問(wèn) 服務(wù)器 Ip地址為： ， ftp服務(wù)器地址為： R1 (config) ip nat inside source static /*設(shè)置靜態(tài) NAT，實(shí)現(xiàn)對(duì) 服務(wù)器的訪問(wèn) R1 (config) ip nat inside source static /*設(shè)置靜態(tài) NAT，實(shí)現(xiàn)對(duì) ftp服務(wù)器的訪問(wèn) （ 5） .把 NAT應(yīng)用到端口 R1 (config)interface Serial1/0 R1 (configif)ip nat outside R1 (config)interface Serial1/1 R1 (config)ip nat inside 路由器控制列表的應(yīng)用 目前在網(wǎng)絡(luò)中使用的 cisco 2811路由器連接到 Inte。在路由器上采用訪問(wèn)控制列表（ accesslist）來(lái)實(shí)現(xiàn)一些防火墻的功能。使用 ACL提供基本的流量過(guò)濾功能，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全。 R1 （ config） accesslist 140 permit tcp any eq 80 R1 (config)accesslist 140 permit tcp any eq 443 R1 (config)accesslist 140 permit tcp any eq ftp 此訪問(wèn)控制列表的效果是除了允許對(duì) 服務(wù)器 ()的 HTTP、 HTTPS端口以 及 FTP服務(wù)器 ()的 FTP端口的訪問(wèn)外，別的訪問(wèn)都將會(huì)被阻止。 R1 （ config） interface Serial1/0 湖南鐵路科技職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 3章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn) 28 R1 （ config） ip accessgroup 140 in /*應(yīng)用 ACL到端口 accesslist 140 deny tcp any any eq 4444 accesslist 140 deny tcp any any eq 69 /*用于控制 Blaster蠕蟲(chóng)的傳播 R1 （ config） accesslist 140 deny tcp any any eq 135 R1 （ config） accesslist 140 deny udp any any eq 135 R1 （ config） accesslist 140 deny tcp any any eq 139 R1 （ config） accesslist 140 deny udp any any eq 139 R1 （ config） accesslist 140 deny tcp any any eq 445 R1 （ config） accesslist 140 deny udp any any eq 445 R1 （ config） acc