【正文】 AN 10CoreSwitch 1(config)standby 1 ip CoreSwitch 1(config)standby 1 priority 150 CoreSwitch 1(config)standby 1 preemptCoreSwitch 1(config)internet VLAN 20CoreSwitch 1(config)standby 2 ip CoreSwitch 1(config)standby 2 priority 150 CoreSwitch 1(config)standby 2 preemptCoreSwitch 1(config)internet VLAN 30CoreSwitch 1(config)standby 3 ip CoreSwitch 1(config)standby 3 priority 150 CoreSwitch 1(config)standby 3 preemptCoreSwitch 1(config)internet VLAN 40CoreSwitch 1(config)standby 4 ip CoreSwitch 1(config)internet VLAN 50CoreSwitch 1(config)standby 5 ip CoreSwitch 1(config)internet VLAN100CoreSwitch 1(config)standby 6 ip 在CoreSwitch 2上為每個(gè)VLAN配置與其CoreSwitch 1上一樣的HSRP備用組和虛擬地址。同時(shí)，在VLAN40 、VALN50、 VLAN100上，將其在各自的HSRP備用組中的優(yōu)先級設(shè)置為150,使在優(yōu)先級高于默認(rèn)優(yōu)級100，并設(shè)置搶占機(jī)制。CoreSwitch 1(config)internet VLAN 10CoreSwitch 1(config)standby 1 ip CoreSwitch 1(config)internet VLAN 20CoreSwitch 1(config)standby 2 ip CoreSwitch 1(config)internet VLAN 30CoreSwitch 1(config)standby 3 ip CoreSwitch 1(config)internet VLAN 40CoreSwitch 1(config)standby 4 ip CoreSwitch 1(config)standby 4 priority 150 CoreSwitch 1(config)standby 4preemptCoreSwitch 1(config)internet VLAN 50CoreSwitch 1(config)standby 5 ip CoreSwitch 1(config)standby 5 priority 150 CoreSwitch 1(config)standby 5 preemptCoreSwitch 1(config)internet VLAN100CoreSwitch 1(config)standby 6 ip CoreSwitch 1(config)standby 6 priority 150 CoreSwitch 1(config)standby 6 preempt通過上面配置，將CoreSwitch 1和CoreSwitch 2作為不同備用組的活躍路由器可以實(shí)現(xiàn)負(fù)載分配，同時(shí)配置搶占選項(xiàng)以便在CoreSwitch 1和CoreSwitch 2發(fā)生故障并恢復(fù)后仍然是各備用組原來的活躍路由器，進(jìn)而確保負(fù)載分配。附錄3廣域網(wǎng)模塊配置在本設(shè)計(jì)方案中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器IRouter來完成的。采用的是Cisco的3640路由器。它通過自己的串行接口serial 0/0使用DDN（128K）技術(shù)接入Internet，如圖3所示。它的作用主要是在Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問控制列表（Access Control List，ACL），廣域網(wǎng)接入路由器IRouter還可以用來完成以自身為中心的流量控制和過濾功能并實(shí)現(xiàn)一定的安全功能。圖3　接入Internet的路由器l 配置路由器IRouter的基本參數(shù) 路由器的基本參數(shù)配置和前面交換機(jī)的配置類似，配置如下：RouterenRouterconfig t Switch(config)hostname IRouter IRouter(config) enable secret pany IRouter(config)line vty 0 15 IRouter(configline)password yuancheng IRouter(configline)login IRouter(configline)exectimeout 6 0 IRouter(configline)line con 0IRouter(configline)exectimeout 6 0 IRouter(configline)logging synchronous IRouter(config)no ip domainlookup 對路由器IRouter的各接口參數(shù)的配置主要是對接口Fa0/0、Fa0/1以及接口S0/0的IP地址、子網(wǎng)掩碼的配置。IRouter(config)interface f0/0IRouter(config)ip add IRouter(config)no shutdownIRouter(config)interface f0/1IRouter(config)ip add IRouter(config)no shutdownIRouter(config)intetface s0/0IRouter(config)ip add IRouter(config)no shutdown //配置路由器IRouter的各接口的IP地址、子網(wǎng)掩碼。在接入路由器IRouter上需要定義兩個(gè)方向上的路由：到企業(yè)網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。 到Internet上的路由需要定義一條缺省路由，下一跳指定從本路由器的接口s 0/0送出。IRouter(config)ip route S0/0 //定義到Internet的缺省路由 由于企業(yè)內(nèi)部配置了負(fù)載均衡，所以到企業(yè)網(wǎng)內(nèi)部的路由有兩條路徑，一條經(jīng)由CoreSwitch 1進(jìn)入企業(yè)網(wǎng)內(nèi)部，另一條是經(jīng)由CoreSwitch2進(jìn)入企業(yè)網(wǎng)內(nèi)部。每一條路徑的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。IRouter(config)ip route IRouter(config)ip route //定義經(jīng)過CoreSwitch 1到校園網(wǎng)內(nèi)部的路由 IRouter(config)ip route IRouter(config)ip route //定義經(jīng)過CoreSwitch 2到校園網(wǎng)內(nèi)部的路由 l NAT地址轉(zhuǎn)換根據(jù)前文對企業(yè)網(wǎng)的需求分析，企業(yè)向當(dāng)?shù)豂SP申請了9個(gè)IP地址。其中一個(gè)IP地址：，另外8個(gè)IP地址：～。 這里使用的是動態(tài)NAT地址轉(zhuǎn)換。下面配置NAT地址轉(zhuǎn)換：IRouter(config)interface S0/0IRouter(configif)ip nat outsideIRouter(configif)interface F0/0IRouter(configif)ip nat insideIRouter(configif)interface F0/1IRouter(configif)ip nat insideIRouter(configif)exitIRouter(config)accesslist 1 permit IRouter(config)accesslist 1 permit IRouter(config)ip nat pool NAT_P prefixlength 29IRouter(config)ip nat inside source list 1 pool NAT_P overload l ACL訪問控制對外屏蔽簡單網(wǎng)管協(xié)議，即SNMP 利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRAP。在路由器上配置ACL可以對外屏蔽簡單網(wǎng)管協(xié)議SNMP。IRouter(config)accesslist 100 deny udp any any eq snmpIRouter(config)accesslist 100 deny udp any any eq snmptrapIRouter(config)accesslist 100 permit ip any any //配置ACL對外屏蔽簡單網(wǎng)管協(xié)議SNMP對外屏蔽遠(yuǎn)程登錄協(xié)議telnet IRouter(config)accesslist 100 deny tcp any any eq telnetIRouter(config)accesslist 100 permit ip any any 對外屏蔽其它不安全的協(xié)議或服務(wù) 這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049，遠(yuǎn)程執(zhí)行（rsh）、遠(yuǎn)程登錄（rlogin）和遠(yuǎn)程命令（rcmd）端口5151514，遠(yuǎn)程過程調(diào)用（SUNRPC）端口111?？梢詫⑨槍σ陨蠀f(xié)議綜合進(jìn)行設(shè)計(jì)，IRouter(config)accesslist 100 deny tcp any any range 512 514IRouter(config)accesslist 100 deny tcp any any eq 111IRouter(config)accesslist 100 deny udp any any eq 111IRouter(config)accesslist 100 deny tcp any any range 2049IRouter(config)accesslist 100 permit ip any any 針對DoS攻擊的設(shè)計(jì) DoS攻擊（Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。 IRouter(config)accesslist 100 deny icmp any any eq echorequestIRouter(config)accesslist 100 deny udp any any eq echo保護(hù)路由器自身安全 作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。 應(yīng)只允許來自服務(wù)器群的IP地址訪問并配置路由器。這時(shí)，可以使用ACCESSCLASS命令進(jìn)行VTY訪問控制。IRouter(config)accesslist 200 permit IRouter(config)line vty 0 4IRouter(configline)accessclass 2 inIRouter(configline)exitl 應(yīng)用配置好的ACLAccesslist 100是對針對外網(wǎng)進(jìn)行訪問控制的，所以應(yīng)該應(yīng)用在路由器的出接口，即連接到Internet的端口S0/0上，方向是in。IRouter(config)interface s0/0IRouter(configif)ip accessgroup 100 in //在S0/0的in方向上應(yīng)用accesslist 100IRouter(configif)interface fa0/0IRouter(config)no ip directedbroadcast// 禁止定向廣播通過此接口Accesslist 2是在VTY訪問控制，應(yīng)該應(yīng)用在VTY上。IRouter(config)line vty 0 4IRouter(configline)accessclass 2 inIRouter(configline)exit為了實(shí)現(xiàn)對無類別網(wǎng)絡(luò)（Classless Network）以及全零子網(wǎng)（Subnetzero）的支持，在路由器上，也需要進(jìn)行適當(dāng)?shù)呐渲谩Router(config)ip classless　 //當(dāng)目的網(wǎng)絡(luò)沒有出現(xiàn)在路由表中時(shí)通過默認(rèn)路由轉(zhuǎn)發(fā)數(shù)據(jù)包IRouter(config)ip subnetzero //定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持l 遠(yuǎn)程訪問模塊設(shè)計(jì)遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù)。在本設(shè)計(jì)方案中，我們采用的遠(yuǎn)程接入方式是Easy VPN。無論從成本還是安全性上來說，Easy VPN無疑是目前最適合中小型企業(yè)使用的遠(yuǎn)程接入方式，如圖4所示。圖4 遠(yuǎn)程訪問模塊致謝感謝張老師對我的悉心教誨，使我順利地完成了畢業(yè)論文設(shè)計(jì)，在論文完成之際，衷心感謝老師對我的關(guān)心和培養(yǎng)！感謝我同組同學(xué)及同班同學(xué)的幫助和關(guān)心！最后向?qū)忛喖夹g(shù)報(bào)告的老師致以深深的謝意！總結(jié)體會此次的局域網(wǎng)網(wǎng)絡(luò)方案設(shè)計(jì)，讓我第一次摸索網(wǎng)絡(luò)的需求去搭建一個(gè)符合要求的基