【正文】 serial 0/0使用DDN（128K）技術(shù)接入Internet。它的作用主要是在Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問控制列表（Access Control List，ACL），廣域網(wǎng)接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實(shí)現(xiàn)一定的安全功能。圖341 廣域網(wǎng)接入路由器1．配置接入路由器InternetRouter的基本參數(shù) 對(duì)接入路由器InternetRouter的基本參數(shù)的配置步驟與對(duì)訪問層交換機(jī)XingZhengLou的基本參數(shù)的配置類似。這里，如圖342所示，只給出實(shí)際的配置步驟，不再給出解釋?！D342　配置接入路由器InternetRouter的基本參數(shù)2．配置接入路由器InternetRouter的各接口參數(shù)對(duì)接入路由器InternetRouter的各接口參數(shù)的配置主要是對(duì)接口FastEthernet 0/0以及接口Serial 0/0/0的IP地址、子網(wǎng)掩碼的配置。 如圖343所示，顯示了為接入路由器InternetRouter的各接口設(shè)置IP地址、子網(wǎng)掩碼。圖343　接入路由器InternetRouter的管理IP、默認(rèn)網(wǎng)關(guān)3．配置接入路由器InternetRouter的路由功能 在接入路由器InternetRouter上需要定義兩個(gè)方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由，如圖344所示。其中，下一跳指定從本路由器的接口serial 0/0/0送出。圖344　定義到Internet的缺省路由到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖345所示：　圖345　定義到校園網(wǎng)內(nèi)部的路由4．配置接入路由器InternetRouter上的NAT　由于目前IP地址資源非常稀缺，對(duì)不可能給校園網(wǎng)內(nèi)部的所有工作站都分配一個(gè)公有IP（Internet可路由的）地址。為了解決所有工作站訪問Internet的需要，必須使用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。為了接入Internet，假設(shè)本校園網(wǎng)向ISP申請(qǐng)了9個(gè)IP地址。其中一個(gè)IP地址：，另外8個(gè)IP地址：～。 NAT的配置可以分為以下幾個(gè)步驟。（1) 定義NAT內(nèi)部、外部接口 　圖346顯示了如何定義NAT內(nèi)部、外部接口。圖346　定義NAT內(nèi)部、外部接口（2) 定義允許進(jìn)行NAT的內(nèi)部局部IP地址范圍 圖347顯示了如何定義允許進(jìn)行NAT的內(nèi)部局部IP地址范圍?！D347　定義內(nèi)部局部IP地址范圍為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換圖348顯示了如何為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換?！?圖348　為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換5．配置接入路由器InternetRouter上的ACL 路由器是外網(wǎng)進(jìn)入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對(duì)路由器的訪問控制列表進(jìn)行縝密的設(shè)計(jì)，來對(duì)企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)。這里，在本次設(shè)計(jì)中，我將針對(duì)服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器InternetRouter上ACL的配置方案。 在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對(duì)外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計(jì)：（1) 對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議，即SNMP。 利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRAP。 如圖349所示，顯示了如何設(shè)置對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議SNMP?！D349　對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議SNMP（2) 對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet 首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險(xiǎn)的，因此必須加以屏蔽。如圖3410所示，顯示了如何對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet 　圖3410　對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet（3) 對(duì)外屏蔽其它不安全的協(xié)議或服務(wù) 這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049，遠(yuǎn)程執(zhí)行（rsh）、遠(yuǎn)程登錄（rlogin）和遠(yuǎn)程命令（rcmd）端口5151514，遠(yuǎn)程過程調(diào)用（SUNRPC）端口111?？梢詫⑨槍?duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì)，如圖3411所示。圖3411　對(duì)外屏蔽其它不安全的協(xié)議或服務(wù)（4) 保護(hù)路由器自身安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對(duì)路由器的訪問位置加以限制。應(yīng)只允許來自服務(wù)器群的IP地址訪問并配置路由器。這時(shí)，可以使用accessclass命令進(jìn)行VTY訪問控制。如圖3412所示?！D3412　保護(hù)路由器自身安全 服務(wù)器模塊設(shè)計(jì) 服務(wù)器模塊用來對(duì)校園網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計(jì)方案中，所有的服務(wù)器被集中到VLAN 100構(gòu)成服務(wù)器群并通過分別層交換機(jī)DistributeSwitch1的端口fastethernet 1～10接入校園網(wǎng)。如圖所示?！D51　服務(wù)器群校園網(wǎng)提供的常見的服務(wù)（服務(wù)器）包括：WEB服務(wù)器：提供WEB網(wǎng)站服務(wù)；FTP文件服務(wù)器：提供文件傳輸、共享服務(wù)；郵件服務(wù)器：提供郵件收發(fā)服務(wù)；網(wǎng)管服務(wù)器：對(duì)校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。如圖所示。顯示了各服務(wù)器IP地址配置情況。表給出了所有的服務(wù)器硬件平臺(tái)、操作系統(tǒng)以及服務(wù)軟件的選型表。表11　VLAN及IP編址方案第4章 測(cè)試 系統(tǒng)測(cè)試 前面幾章中，我們對(duì)如何設(shè)計(jì)一個(gè)較為完整的校園網(wǎng)網(wǎng)絡(luò)進(jìn)行了詳細(xì)的介紹。當(dāng)校園網(wǎng)初具規(guī)模后，還應(yīng)該對(duì)校園網(wǎng)的整體運(yùn)行情況做一下細(xì)致的測(cè)試和評(píng)估。主要的測(cè)試內(nèi)容應(yīng)該包括：對(duì)管理IP地址的測(cè)試；對(duì)相同VLAN內(nèi)的通信進(jìn)行測(cè)試；對(duì)不同VLAN內(nèi)的通信進(jìn)行測(cè)試；對(duì)冗余鏈路的工作狀態(tài)進(jìn)行測(cè)試；對(duì)廣域網(wǎng)接入路由器上的NAT進(jìn)行測(cè)試；對(duì)廣域網(wǎng)接入路由器上的ACL進(jìn)行測(cè)試；對(duì)遠(yuǎn)程訪問服務(wù)進(jìn)行測(cè)試；對(duì)各種服務(wù)器提供的服務(wù)進(jìn)行測(cè)試。 相關(guān)測(cè)試、診斷命令 在本章的最后，我們按不同的功能按每種技術(shù)分類，給出相關(guān)的測(cè)試、診斷命令列表同時(shí)還給出了命令的作用。 通用測(cè)試、診斷命令 （1) ping ：用于測(cè)試設(shè)備間的物理連通性。 （2) traceroute ：用于跟蹤、顯示路由信息。 （3) show runningconfig：用于顯示路由器、交換機(jī)運(yùn)行配置文件的內(nèi)容。（4) show startupconfig：用于顯示路由器、交換機(jī)啟動(dòng)配置文件的內(nèi)容。 （5) shutdown：用于臨時(shí)將某個(gè)接口關(guān)閉。（6) no shutdown：用于手動(dòng)啟動(dòng)（激活）處于管理性關(guān)閉的接口。 （7) show interfaces：用于顯示各接口的狀態(tài)及參數(shù)信息。 （8) show ip interface：用于顯示IP接口的狀態(tài)及配置信息。 （9) show version：用于顯示路由器硬件配置、軟件版本等信息。（10) dir flash：用于顯示閃存中的文件清單。 （11) dir nvram：用于顯示非易失性內(nèi)存中的文件清單。（12) show debugging：用于顯示正在進(jìn)行的診斷過程清單。 CDP測(cè)試、診斷命令 （1) show cdp：用于顯示CDP全局參數(shù)信息。 （2) show cdp neighbors detail：用于顯示CDP鄰居設(shè)備的詳細(xì)信息，包括：鄰居設(shè)備名稱、鄰居設(shè)備接口IP地址、鄰居設(shè)備軟件版本信息、設(shè)備性能、設(shè)備平臺(tái)、本地設(shè)備接口、鄰居設(shè)備接口、CDP緩存條目保持時(shí)間、CDP廣播版本、接口雙工方式等。 （3) show cdp interface：用于顯示本地設(shè)備各個(gè)接口的狀態(tài)、接口封裝格式、CDP包的周期發(fā)送時(shí)間以及CDP保持時(shí)間等。 路由和路由協(xié)議測(cè)試、診斷命令 （1) show ip route：用于顯示當(dāng)前路由表內(nèi)容。 （2) show ip protocols：用于顯示動(dòng)態(tài)路由協(xié)議的配置參數(shù)信息。 VLAN、VTP測(cè)試、診斷命令 （1) show macaddresstable：用于顯示CAM，即橋接表的內(nèi)容。該命令可列出學(xué)習(xí)到的主機(jī)MAC地址及其所屬VLAN、所處端口、條目類型（靜態(tài)STATIC、動(dòng)態(tài)DYNAMIC等）以及滿足列表?xiàng)l件的MAC地址數(shù)目。 （2) show vlan：用于查看VLAN創(chuàng)建情況。該命令可以顯示系統(tǒng)所有的VLAN信息，包括VLAN編號(hào)、VLAN名稱、VLAN狀態(tài)、VLAN成員等信息。 （3) show vtp status：用于檢查VTP配置情況。 生成樹測(cè)試、診斷命令 （1) show spanningtree detail：用于顯示生成樹詳細(xì)信息。（2) show spanningtree interface：用于顯示生成樹中某端口相關(guān)狀態(tài)。 （3) show spanningtree vlan：當(dāng)有多個(gè)VLAN時(shí)，Catalyst交換機(jī)會(huì)為每個(gè)VLAN運(yùn)行一個(gè)生成樹實(shí)例。此命令用于顯示指定VLAN的生成樹內(nèi)容。 （4) show spanningtree summary：用于顯示生成樹總結(jié)，包括本交換機(jī)是哪些VLAN的根網(wǎng)橋、端口快速特性是否啟用、處于生成樹各個(gè)端口狀態(tài)的端口數(shù)量等信息。 NAT測(cè)試、診斷命令 （1) show ip nat translation：用于顯示并觀察當(dāng)前正在進(jìn)行的NAT情況。 （2) show ip nat statistics：用于顯示NAT運(yùn)行情況統(tǒng)計(jì)。 （3) debug ip nat：用于打開對(duì)NAT的診斷。 （4) show accesslists 命令：用于顯示所有已定義的訪問控制列表內(nèi)容及命中情況。 需要說明的是，一個(gè)完整的校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)不僅包含上述設(shè)備，還應(yīng)該有計(jì)費(fèi)系統(tǒng)、防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)等組成部分。在此次設(shè)計(jì)中，對(duì)此不作介紹。總結(jié)本畢業(yè)設(shè)計(jì)從校園網(wǎng)的建設(shè)思想、目標(biāo)、可以選用的網(wǎng)絡(luò)技術(shù)以及對(duì)絡(luò)設(shè)備的介紹和選擇等多方面的論述，使我對(duì)校園網(wǎng)建設(shè)工程有了一個(gè)比較深入的了解，校園網(wǎng)絡(luò)建設(shè)作為一項(xiàng)重要的系統(tǒng)工程，它的所用到的各種技術(shù)是多方面的，即有網(wǎng)絡(luò)技術(shù)、工程施工技術(shù)，也有管理制度等各個(gè)面的知識(shí)。網(wǎng)絡(luò)技術(shù)的發(fā)展是永無止境的，在前進(jìn)的過程中必 將有更多的知識(shí)需要我們?nèi)W(xué)習(xí)與研究，并能將其應(yīng)用到實(shí)際的網(wǎng)絡(luò)工程建設(shè)之中。由于校園網(wǎng)功能齊全，技術(shù)含量高，接觸面廣，在網(wǎng)絡(luò)設(shè)計(jì)、規(guī)劃和建設(shè)中都非常復(fù)雜，在論述中不可能面面具到，同時(shí)也由于本人的知識(shí)水平有限，文中的不足和錯(cuò)誤在所難免，敬請(qǐng)各位老師多多指點(diǎn)和更正。本設(shè)計(jì)是吉林省經(jīng)濟(jì)管理干部學(xué)院譚曉輝老師的指導(dǎo)下完成的，還得到了多位同學(xué)的指點(diǎn)與幫助，我在此對(duì)傳授我知識(shí)的各位老師和幫助我的同學(xué)表示崇高的敬意和誠(chéng)摯的謝意。致謝此次畢業(yè)設(shè)計(jì)和學(xué)位論文撰寫過程中，得到了老師、同學(xué)、朋友的關(guān)心、指導(dǎo)和幫助。入學(xué)以來，各位老師一直以來的辛勤工作和教誨使我能順利地度過這難忘的三年，使我在綜合素質(zhì)提高、專業(yè)理論知識(shí)學(xué)習(xí)和實(shí)踐工作能力等各方面受益匪淺。在此，衷心地感謝我的指導(dǎo)教師譚曉輝老師！她在我的設(shè)計(jì)過程中給予了及時(shí)、準(zhǔn)確的建議和指導(dǎo)，她豐富的知識(shí)、嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度和全面的指導(dǎo)，對(duì)我啟發(fā)頗多，收獲頗豐。 感謝三年以來眾多同學(xué)和朋友的幫助，大家一起在緊張的學(xué)習(xí)之余度過了許多愉快的時(shí)光。參考文獻(xiàn).《校園網(wǎng)組建與管理》.清華大學(xué)出版社2. 雷震甲編著：《網(wǎng)絡(luò)工程師教程》清華大學(xué)出版社，20083. 斯桃枝、楊宴春、俞利君編著：《網(wǎng)絡(luò)工程》人民郵電出版社，20054. 崔鑫、呂昌泰編著：《計(jì)算機(jī)網(wǎng)路實(shí)驗(yàn)指導(dǎo)》清華大學(xué)出版社，2007：《網(wǎng)絡(luò)硬件完全手冊(cè)》主重慶大學(xué)出版社，2002年5月。6. 譚珂、全惠民編著：《局域網(wǎng)組建與管理實(shí)手冊(cè)》中國(guó)青年出版社，2003年2月.：《校園網(wǎng)系統(tǒng)集成技術(shù)與應(yīng)用》，清華大學(xué)出版社，2002年6月 Odom.（北京郵電大學(xué)譯）《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程CCNA1網(wǎng)絡(luò)基礎(chǔ)》、《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程CCNA2路由器與路由基礎(chǔ)》.