【正文】 serial 0/0使用DDN（128K）技術接入Internet。它的作用主要是在Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務外，利用訪問控制列表（Access Control List，ACL），廣域網(wǎng)接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的安全功能。圖341 廣域網(wǎng)接入路由器1．配置接入路由器InternetRouter的基本參數(shù) 對接入路由器InternetRouter的基本參數(shù)的配置步驟與對訪問層交換機XingZhengLou的基本參數(shù)的配置類似。這里，如圖342所示，只給出實際的配置步驟，不再給出解釋?！D342　配置接入路由器InternetRouter的基本參數(shù)2．配置接入路由器InternetRouter的各接口參數(shù)對接入路由器InternetRouter的各接口參數(shù)的配置主要是對接口FastEthernet 0/0以及接口Serial 0/0/0的IP地址、子網(wǎng)掩碼的配置。 如圖343所示，顯示了為接入路由器InternetRouter的各接口設置IP地址、子網(wǎng)掩碼。圖343　接入路由器InternetRouter的管理IP、默認網(wǎng)關3．配置接入路由器InternetRouter的路由功能 在接入路由器InternetRouter上需要定義兩個方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由，如圖344所示。其中，下一跳指定從本路由器的接口serial 0/0/0送出。圖344　定義到Internet的缺省路由到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖345所示：　圖345　定義到校園網(wǎng)內(nèi)部的路由4．配置接入路由器InternetRouter上的NAT　由于目前IP地址資源非常稀缺，對不可能給校園網(wǎng)內(nèi)部的所有工作站都分配一個公有IP（Internet可路由的）地址。為了解決所有工作站訪問Internet的需要，必須使用NAT（網(wǎng)絡地址轉換）技術。為了接入Internet，假設本校園網(wǎng)向ISP申請了9個IP地址。其中一個IP地址：，另外8個IP地址：～。 NAT的配置可以分為以下幾個步驟。（1) 定義NAT內(nèi)部、外部接口 　圖346顯示了如何定義NAT內(nèi)部、外部接口。圖346　定義NAT內(nèi)部、外部接口（2) 定義允許進行NAT的內(nèi)部局部IP地址范圍 圖347顯示了如何定義允許進行NAT的內(nèi)部局部IP地址范圍。　圖347　定義內(nèi)部局部IP地址范圍為服務器定義靜態(tài)地址轉換圖348顯示了如何為服務器定義靜態(tài)地址轉換?！?圖348　為服務器定義靜態(tài)地址轉換5．配置接入路由器InternetRouter上的ACL 路由器是外網(wǎng)進入校園網(wǎng)內(nèi)網(wǎng)的第一道關卡，是網(wǎng)絡防御的前沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護內(nèi)網(wǎng)安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網(wǎng)絡流量、流向的作用，還可以在不增加網(wǎng)絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護。這里，在本次設計中，我將針對服務器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器InternetRouter上ACL的配置方案。 在網(wǎng)絡環(huán)境中還普遍存在著一些非常重要的、影響服務器群安全的隱患。在絕大多數(shù)網(wǎng)絡環(huán)境的實現(xiàn)中它們都是應該對外加以屏蔽的。主要應該做以下的ACL設計：（1) 對外屏蔽簡單網(wǎng)管協(xié)議，即SNMP。 利用這個協(xié)議，遠程主機可以監(jiān)視、控制網(wǎng)絡上的其它網(wǎng)絡設備。它有兩種服務類型：SNMP和SNMPTRAP。 如圖349所示，顯示了如何設置對外屏蔽簡單網(wǎng)管協(xié)議SNMP。　圖349　對外屏蔽簡單網(wǎng)管協(xié)議SNMP（2) 對外屏蔽遠程登錄協(xié)議telnet 首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡設備或服務器時所使用的用戶名和口令在網(wǎng)絡中是以明文傳輸?shù)?，很容易被網(wǎng)絡上的非法協(xié)議分析設備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡設備和UNIX服務器，并可以使用相關命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。如圖3410所示，顯示了如何對外屏蔽遠程登錄協(xié)議telnet 　圖3410　對外屏蔽遠程登錄協(xié)議telnet（3) 對外屏蔽其它不安全的協(xié)議或服務 這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049，遠程執(zhí)行（rsh）、遠程登錄（rlogin）和遠程命令（rcmd）端口5151514，遠程過程調(diào)用（SUNRPC）端口111。可以將針對以上協(xié)議綜合進行設計，如圖3411所示。圖3411　對外屏蔽其它不安全的協(xié)議或服務（4) 保護路由器自身安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。應只允許來自服務器群的IP地址訪問并配置路由器。這時，可以使用accessclass命令進行VTY訪問控制。如圖3412所示?！D3412　保護路由器自身安全 服務器模塊設計 服務器模塊用來對校園網(wǎng)的接入用戶提供各種服務。在本設計方案中，所有的服務器被集中到VLAN 100構成服務器群并通過分別層交換機DistributeSwitch1的端口fastethernet 1～10接入校園網(wǎng)。如圖所示。　圖51　服務器群校園網(wǎng)提供的常見的服務（服務器）包括：WEB服務器：提供WEB網(wǎng)站服務；FTP文件服務器：提供文件傳輸、共享服務；郵件服務器：提供郵件收發(fā)服務；網(wǎng)管服務器：對校園網(wǎng)網(wǎng)絡設備進行綜合管理。如圖所示。顯示了各服務器IP地址配置情況。表給出了所有的服務器硬件平臺、操作系統(tǒng)以及服務軟件的選型表。表11　VLAN及IP編址方案第4章 測試 系統(tǒng)測試 前面幾章中，我們對如何設計一個較為完整的校園網(wǎng)網(wǎng)絡進行了詳細的介紹。當校園網(wǎng)初具規(guī)模后，還應該對校園網(wǎng)的整體運行情況做一下細致的測試和評估。主要的測試內(nèi)容應該包括：對管理IP地址的測試；對相同VLAN內(nèi)的通信進行測試；對不同VLAN內(nèi)的通信進行測試；對冗余鏈路的工作狀態(tài)進行測試；對廣域網(wǎng)接入路由器上的NAT進行測試；對廣域網(wǎng)接入路由器上的ACL進行測試；對遠程訪問服務進行測試；對各種服務器提供的服務進行測試。 相關測試、診斷命令 在本章的最后，我們按不同的功能按每種技術分類，給出相關的測試、診斷命令列表同時還給出了命令的作用。 通用測試、診斷命令 （1) ping ：用于測試設備間的物理連通性。 （2) traceroute ：用于跟蹤、顯示路由信息。 （3) show runningconfig：用于顯示路由器、交換機運行配置文件的內(nèi)容。（4) show startupconfig：用于顯示路由器、交換機啟動配置文件的內(nèi)容。 （5) shutdown：用于臨時將某個接口關閉。（6) no shutdown：用于手動啟動（激活）處于管理性關閉的接口。 （7) show interfaces：用于顯示各接口的狀態(tài)及參數(shù)信息。 （8) show ip interface：用于顯示IP接口的狀態(tài)及配置信息。 （9) show version：用于顯示路由器硬件配置、軟件版本等信息。（10) dir flash：用于顯示閃存中的文件清單。 （11) dir nvram：用于顯示非易失性內(nèi)存中的文件清單。（12) show debugging：用于顯示正在進行的診斷過程清單。 CDP測試、診斷命令 （1) show cdp：用于顯示CDP全局參數(shù)信息。 （2) show cdp neighbors detail：用于顯示CDP鄰居設備的詳細信息，包括：鄰居設備名稱、鄰居設備接口IP地址、鄰居設備軟件版本信息、設備性能、設備平臺、本地設備接口、鄰居設備接口、CDP緩存條目保持時間、CDP廣播版本、接口雙工方式等。 （3) show cdp interface：用于顯示本地設備各個接口的狀態(tài)、接口封裝格式、CDP包的周期發(fā)送時間以及CDP保持時間等。 路由和路由協(xié)議測試、診斷命令 （1) show ip route：用于顯示當前路由表內(nèi)容。 （2) show ip protocols：用于顯示動態(tài)路由協(xié)議的配置參數(shù)信息。 VLAN、VTP測試、診斷命令 （1) show macaddresstable：用于顯示CAM，即橋接表的內(nèi)容。該命令可列出學習到的主機MAC地址及其所屬VLAN、所處端口、條目類型（靜態(tài)STATIC、動態(tài)DYNAMIC等）以及滿足列表條件的MAC地址數(shù)目。 （2) show vlan：用于查看VLAN創(chuàng)建情況。該命令可以顯示系統(tǒng)所有的VLAN信息，包括VLAN編號、VLAN名稱、VLAN狀態(tài)、VLAN成員等信息。 （3) show vtp status：用于檢查VTP配置情況。 生成樹測試、診斷命令 （1) show spanningtree detail：用于顯示生成樹詳細信息。（2) show spanningtree interface：用于顯示生成樹中某端口相關狀態(tài)。 （3) show spanningtree vlan：當有多個VLAN時，Catalyst交換機會為每個VLAN運行一個生成樹實例。此命令用于顯示指定VLAN的生成樹內(nèi)容。 （4) show spanningtree summary：用于顯示生成樹總結，包括本交換機是哪些VLAN的根網(wǎng)橋、端口快速特性是否啟用、處于生成樹各個端口狀態(tài)的端口數(shù)量等信息。 NAT測試、診斷命令 （1) show ip nat translation：用于顯示并觀察當前正在進行的NAT情況。 （2) show ip nat statistics：用于顯示NAT運行情況統(tǒng)計。 （3) debug ip nat：用于打開對NAT的診斷。 （4) show accesslists 命令：用于顯示所有已定義的訪問控制列表內(nèi)容及命中情況。 需要說明的是，一個完整的校園網(wǎng)網(wǎng)絡系統(tǒng)設計不僅包含上述設備，還應該有計費系統(tǒng)、防火墻系統(tǒng)、入侵檢測系統(tǒng)等組成部分。在此次設計中，對此不作介紹。總結本畢業(yè)設計從校園網(wǎng)的建設思想、目標、可以選用的網(wǎng)絡技術以及對絡設備的介紹和選擇等多方面的論述，使我對校園網(wǎng)建設工程有了一個比較深入的了解，校園網(wǎng)絡建設作為一項重要的系統(tǒng)工程，它的所用到的各種技術是多方面的，即有網(wǎng)絡技術、工程施工技術，也有管理制度等各個面的知識。網(wǎng)絡技術的發(fā)展是永無止境的，在前進的過程中必 將有更多的知識需要我們?nèi)W習與研究，并能將其應用到實際的網(wǎng)絡工程建設之中。由于校園網(wǎng)功能齊全，技術含量高，接觸面廣，在網(wǎng)絡設計、規(guī)劃和建設中都非常復雜，在論述中不可能面面具到，同時也由于本人的知識水平有限，文中的不足和錯誤在所難免，敬請各位老師多多指點和更正。本設計是吉林省經(jīng)濟管理干部學院譚曉輝老師的指導下完成的，還得到了多位同學的指點與幫助，我在此對傳授我知識的各位老師和幫助我的同學表示崇高的敬意和誠摯的謝意。致謝此次畢業(yè)設計和學位論文撰寫過程中，得到了老師、同學、朋友的關心、指導和幫助。入學以來，各位老師一直以來的辛勤工作和教誨使我能順利地度過這難忘的三年，使我在綜合素質(zhì)提高、專業(yè)理論知識學習和實踐工作能力等各方面受益匪淺。在此，衷心地感謝我的指導教師譚曉輝老師！她在我的設計過程中給予了及時、準確的建議和指導，她豐富的知識、嚴謹?shù)闹螌W態(tài)度和全面的指導，對我啟發(fā)頗多，收獲頗豐。 感謝三年以來眾多同學和朋友的幫助，大家一起在緊張的學習之余度過了許多愉快的時光。參考文獻.《校園網(wǎng)組建與管理》.清華大學出版社2. 雷震甲編著：《網(wǎng)絡工程師教程》清華大學出版社，20083. 斯桃枝、楊宴春、俞利君編著：《網(wǎng)絡工程》人民郵電出版社，20054. 崔鑫、呂昌泰編著：《計算機網(wǎng)路實驗指導》清華大學出版社，2007：《網(wǎng)絡硬件完全手冊》主重慶大學出版社，2002年5月。6. 譚珂、全惠民編著：《局域網(wǎng)組建與管理實手冊》中國青年出版社，2003年2月.：《校園網(wǎng)系統(tǒng)集成技術與應用》，清華大學出版社，2002年6月 Odom.（北京郵電大學譯）《思科網(wǎng)絡技術學院教程CCNA1網(wǎng)絡基礎》、《思科網(wǎng)絡技術學院教程CCNA2路由器與路由基礎》.