【正文】 serial 0/0使用DDN（128K）技術(shù)接入Internet。它的作用主要是在Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問控制列表（Access Control List，ACL），廣域網(wǎng)接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的安全功能。圖341 廣域網(wǎng)接入路由器1．配置接入路由器InternetRouter的基本參數(shù) 對接入路由器InternetRouter的基本參數(shù)的配置步驟與對訪問層交換機XingZhengLou的基本參數(shù)的配置類似。這里，如圖342所示，只給出實際的配置步驟，不再給出解釋。　圖342　配置接入路由器InternetRouter的基本參數(shù)2．配置接入路由器InternetRouter的各接口參數(shù)對接入路由器InternetRouter的各接口參數(shù)的配置主要是對接口FastEthernet 0/0以及接口Serial 0/0/0的IP地址、子網(wǎng)掩碼的配置。 如圖343所示，顯示了為接入路由器InternetRouter的各接口設(shè)置IP地址、子網(wǎng)掩碼。圖343　接入路由器InternetRouter的管理IP、默認網(wǎng)關(guān)3．配置接入路由器InternetRouter的路由功能 在接入路由器InternetRouter上需要定義兩個方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由，如圖344所示。其中，下一跳指定從本路由器的接口serial 0/0/0送出。圖344　定義到Internet的缺省路由到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖345所示：　圖345　定義到校園網(wǎng)內(nèi)部的路由4．配置接入路由器InternetRouter上的NAT　由于目前IP地址資源非常稀缺，對不可能給校園網(wǎng)內(nèi)部的所有工作站都分配一個公有IP（Internet可路由的）地址。為了解決所有工作站訪問Internet的需要，必須使用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。為了接入Internet，假設(shè)本校園網(wǎng)向ISP申請了9個IP地址。其中一個IP地址：，另外8個IP地址：～。 NAT的配置可以分為以下幾個步驟。（1) 定義NAT內(nèi)部、外部接口 　圖346顯示了如何定義NAT內(nèi)部、外部接口。圖346　定義NAT內(nèi)部、外部接口（2) 定義允許進行NAT的內(nèi)部局部IP地址范圍 圖347顯示了如何定義允許進行NAT的內(nèi)部局部IP地址范圍?！D347　定義內(nèi)部局部IP地址范圍為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換圖348顯示了如何為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換?！?圖348　為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換5．配置接入路由器InternetRouter上的ACL 路由器是外網(wǎng)進入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護內(nèi)網(wǎng)安全的有效手段。一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設(shè)計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護。這里，在本次設(shè)計中，我將針對服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器InternetRouter上ACL的配置方案。 在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實現(xiàn)中它們都是應(yīng)該對外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計：（1) 對外屏蔽簡單網(wǎng)管協(xié)議，即SNMP。 利用這個協(xié)議，遠程主機可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRAP。 如圖349所示，顯示了如何設(shè)置對外屏蔽簡單網(wǎng)管協(xié)議SNMP?！D349　對外屏蔽簡單網(wǎng)管協(xié)議SNMP（2) 對外屏蔽遠程登錄協(xié)議telnet 首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。如圖3410所示，顯示了如何對外屏蔽遠程登錄協(xié)議telnet 　圖3410　對外屏蔽遠程登錄協(xié)議telnet（3) 對外屏蔽其它不安全的協(xié)議或服務(wù) 這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049，遠程執(zhí)行（rsh）、遠程登錄（rlogin）和遠程命令（rcmd）端口5151514，遠程過程調(diào)用（SUNRPC）端口111?？梢詫⑨槍σ陨蠀f(xié)議綜合進行設(shè)計，如圖3411所示。圖3411　對外屏蔽其它不安全的協(xié)議或服務(wù)（4) 保護路由器自身安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。應(yīng)只允許來自服務(wù)器群的IP地址訪問并配置路由器。這時，可以使用accessclass命令進行VTY訪問控制。如圖3412所示?！D3412　保護路由器自身安全 服務(wù)器模塊設(shè)計 服務(wù)器模塊用來對校園網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計方案中，所有的服務(wù)器被集中到VLAN 100構(gòu)成服務(wù)器群并通過分別層交換機DistributeSwitch1的端口fastethernet 1～10接入校園網(wǎng)。如圖所示?！D51　服務(wù)器群校園網(wǎng)提供的常見的服務(wù)（服務(wù)器）包括：WEB服務(wù)器：提供WEB網(wǎng)站服務(wù)；FTP文件服務(wù)器：提供文件傳輸、共享服務(wù)；郵件服務(wù)器：提供郵件收發(fā)服務(wù)；網(wǎng)管服務(wù)器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進行綜合管理。如圖所示。顯示了各服務(wù)器IP地址配置情況。表給出了所有的服務(wù)器硬件平臺、操作系統(tǒng)以及服務(wù)軟件的選型表。表11　VLAN及IP編址方案第4章 測試 系統(tǒng)測試 前面幾章中，我們對如何設(shè)計一個較為完整的校園網(wǎng)網(wǎng)絡(luò)進行了詳細的介紹。當校園網(wǎng)初具規(guī)模后，還應(yīng)該對校園網(wǎng)的整體運行情況做一下細致的測試和評估。主要的測試內(nèi)容應(yīng)該包括：對管理IP地址的測試；對相同VLAN內(nèi)的通信進行測試；對不同VLAN內(nèi)的通信進行測試；對冗余鏈路的工作狀態(tài)進行測試；對廣域網(wǎng)接入路由器上的NAT進行測試；對廣域網(wǎng)接入路由器上的ACL進行測試；對遠程訪問服務(wù)進行測試；對各種服務(wù)器提供的服務(wù)進行測試。 相關(guān)測試、診斷命令 在本章的最后，我們按不同的功能按每種技術(shù)分類，給出相關(guān)的測試、診斷命令列表同時還給出了命令的作用。 通用測試、診斷命令 （1) ping ：用于測試設(shè)備間的物理連通性。 （2) traceroute ：用于跟蹤、顯示路由信息。 （3) show runningconfig：用于顯示路由器、交換機運行配置文件的內(nèi)容。（4) show startupconfig：用于顯示路由器、交換機啟動配置文件的內(nèi)容。 （5) shutdown：用于臨時將某個接口關(guān)閉。（6) no shutdown：用于手動啟動（激活）處于管理性關(guān)閉的接口。 （7) show interfaces：用于顯示各接口的狀態(tài)及參數(shù)信息。 （8) show ip interface：用于顯示IP接口的狀態(tài)及配置信息。 （9) show version：用于顯示路由器硬件配置、軟件版本等信息。（10) dir flash：用于顯示閃存中的文件清單。 （11) dir nvram：用于顯示非易失性內(nèi)存中的文件清單。（12) show debugging：用于顯示正在進行的診斷過程清單。 CDP測試、診斷命令 （1) show cdp：用于顯示CDP全局參數(shù)信息。 （2) show cdp neighbors detail：用于顯示CDP鄰居設(shè)備的詳細信息，包括：鄰居設(shè)備名稱、鄰居設(shè)備接口IP地址、鄰居設(shè)備軟件版本信息、設(shè)備性能、設(shè)備平臺、本地設(shè)備接口、鄰居設(shè)備接口、CDP緩存條目保持時間、CDP廣播版本、接口雙工方式等。 （3) show cdp interface：用于顯示本地設(shè)備各個接口的狀態(tài)、接口封裝格式、CDP包的周期發(fā)送時間以及CDP保持時間等。 路由和路由協(xié)議測試、診斷命令 （1) show ip route：用于顯示當前路由表內(nèi)容。 （2) show ip protocols：用于顯示動態(tài)路由協(xié)議的配置參數(shù)信息。 VLAN、VTP測試、診斷命令 （1) show macaddresstable：用于顯示CAM，即橋接表的內(nèi)容。該命令可列出學(xué)習(xí)到的主機MAC地址及其所屬VLAN、所處端口、條目類型（靜態(tài)STATIC、動態(tài)DYNAMIC等）以及滿足列表條件的MAC地址數(shù)目。 （2) show vlan：用于查看VLAN創(chuàng)建情況。該命令可以顯示系統(tǒng)所有的VLAN信息，包括VLAN編號、VLAN名稱、VLAN狀態(tài)、VLAN成員等信息。 （3) show vtp status：用于檢查VTP配置情況。 生成樹測試、診斷命令 （1) show spanningtree detail：用于顯示生成樹詳細信息。（2) show spanningtree interface：用于顯示生成樹中某端口相關(guān)狀態(tài)。 （3) show spanningtree vlan：當有多個VLAN時，Catalyst交換機會為每個VLAN運行一個生成樹實例。此命令用于顯示指定VLAN的生成樹內(nèi)容。 （4) show spanningtree summary：用于顯示生成樹總結(jié)，包括本交換機是哪些VLAN的根網(wǎng)橋、端口快速特性是否啟用、處于生成樹各個端口狀態(tài)的端口數(shù)量等信息。 NAT測試、診斷命令 （1) show ip nat translation：用于顯示并觀察當前正在進行的NAT情況。 （2) show ip nat statistics：用于顯示NAT運行情況統(tǒng)計。 （3) debug ip nat：用于打開對NAT的診斷。 （4) show accesslists 命令：用于顯示所有已定義的訪問控制列表內(nèi)容及命中情況。 需要說明的是，一個完整的校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)設(shè)計不僅包含上述設(shè)備，還應(yīng)該有計費系統(tǒng)、防火墻系統(tǒng)、入侵檢測系統(tǒng)等組成部分。在此次設(shè)計中，對此不作介紹。總結(jié)本畢業(yè)設(shè)計從校園網(wǎng)的建設(shè)思想、目標、可以選用的網(wǎng)絡(luò)技術(shù)以及對絡(luò)設(shè)備的介紹和選擇等多方面的論述，使我對校園網(wǎng)建設(shè)工程有了一個比較深入的了解，校園網(wǎng)絡(luò)建設(shè)作為一項重要的系統(tǒng)工程，它的所用到的各種技術(shù)是多方面的，即有網(wǎng)絡(luò)技術(shù)、工程施工技術(shù)，也有管理制度等各個面的知識。網(wǎng)絡(luò)技術(shù)的發(fā)展是永無止境的，在前進的過程中必 將有更多的知識需要我們?nèi)W(xué)習(xí)與研究，并能將其應(yīng)用到實際的網(wǎng)絡(luò)工程建設(shè)之中。由于校園網(wǎng)功能齊全，技術(shù)含量高，接觸面廣，在網(wǎng)絡(luò)設(shè)計、規(guī)劃和建設(shè)中都非常復(fù)雜，在論述中不可能面面具到，同時也由于本人的知識水平有限，文中的不足和錯誤在所難免，敬請各位老師多多指點和更正。本設(shè)計是吉林省經(jīng)濟管理干部學(xué)院譚曉輝老師的指導(dǎo)下完成的，還得到了多位同學(xué)的指點與幫助，我在此對傳授我知識的各位老師和幫助我的同學(xué)表示崇高的敬意和誠摯的謝意。致謝此次畢業(yè)設(shè)計和學(xué)位論文撰寫過程中，得到了老師、同學(xué)、朋友的關(guān)心、指導(dǎo)和幫助。入學(xué)以來，各位老師一直以來的辛勤工作和教誨使我能順利地度過這難忘的三年，使我在綜合素質(zhì)提高、專業(yè)理論知識學(xué)習(xí)和實踐工作能力等各方面受益匪淺。在此，衷心地感謝我的指導(dǎo)教師譚曉輝老師！她在我的設(shè)計過程中給予了及時、準確的建議和指導(dǎo)，她豐富的知識、嚴謹?shù)闹螌W(xué)態(tài)度和全面的指導(dǎo)，對我啟發(fā)頗多，收獲頗豐。 感謝三年以來眾多同學(xué)和朋友的幫助，大家一起在緊張的學(xué)習(xí)之余度過了許多愉快的時光。參考文獻.《校園網(wǎng)組建與管理》.清華大學(xué)出版社2. 雷震甲編著：《網(wǎng)絡(luò)工程師教程》清華大學(xué)出版社，20083. 斯桃枝、楊宴春、俞利君編著：《網(wǎng)絡(luò)工程》人民郵電出版社，20054. 崔鑫、呂昌泰編著：《計算機網(wǎng)路實驗指導(dǎo)》清華大學(xué)出版社，2007：《網(wǎng)絡(luò)硬件完全手冊》主重慶大學(xué)出版社，2002年5月。6. 譚珂、全惠民編著：《局域網(wǎng)組建與管理實手冊》中國青年出版社，2003年2月.：《校園網(wǎng)系統(tǒng)集成技術(shù)與應(yīng)用》，清華大學(xué)出版社，2002年6月 Odom.（北京郵電大學(xué)譯）《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程CCNA1網(wǎng)絡(luò)基礎(chǔ)》、《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程CCNA2路由器與路由基礎(chǔ)》.