【正文】 或服務(wù)器時(shí)所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險(xiǎn)的，因此必須加以屏蔽。 屏蔽遠(yuǎn)程登錄協(xié)議telneInternetRouter (config)ip accesslist 101 deny tcp any eq telnetInternetRouter (config)ip accesslist 101 permit ip any any 3. 對(duì)外屏蔽其它不安全的協(xié)議或服務(wù). 這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049，遠(yuǎn)程執(zhí)行（rsh）、遠(yuǎn)程登錄（rlogin）和遠(yuǎn)程命令（rcmd）端口5151514，遠(yuǎn)程過(guò)程調(diào)用（SUNRPC）端口111?？梢詫⑨槍?duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì)InternetRouter (config)ip accesslist 101 deny tcp any any range 512 514InternetRouter (config)ip accesslist 101 deny tcp any any eq 111InternetRouter (config)ip accesslist 101 deny udp any any eq 111InternetRouter (config)ip accesslist 101 deny tcp any any range 2049InternetRouter (config)ip accesslist 101 permit ip any any 4. 針對(duì)DoS攻擊的設(shè)計(jì). DoS攻擊（Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見(jiàn)而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。InternetRouter (config)ip accesslist 101 deny icmp any any eq echorequsetInternetRouter (config)ip accesslist 101 deny udp any any eq echoInternetRouter (config)interface serial 0/0InternetRouter (configif)ip accessgroup 101 mInternetRouter (configif)interface fastethernet 0/0InternetRouter (configif)no ip directedbroadcast 5. 保護(hù)路由器自身安全. 作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對(duì)路由器的訪問(wèn)位置加以限制。應(yīng)只允許來(lái)自服務(wù)器群的IP地址訪問(wèn)并配置路由器。這時(shí)，可以使用ACCESSCLASS命令進(jìn)行VTY訪問(wèn)控制InternetRouter (config)line vty 0 4InternetRouter (configline)accessclass 2 inInternetRouter (configline)exitInternetRouter (configline)accesslist 2 permit InternetRouter (config)ip classless /對(duì)無(wú)類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持InternetRouter (config)ipsubnetzero五　遠(yuǎn)程訪問(wèn)模塊設(shè)計(jì)遠(yuǎn)程訪問(wèn)也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。遠(yuǎn)程訪問(wèn)有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。在本設(shè)計(jì)中，由于面對(duì)的用戶群規(guī)模、業(yè)務(wù)量較小，所以采用了異步撥號(hào)連接作為遠(yuǎn)程訪問(wèn)的技術(shù)手段?！　‘惒綋芴?hào)連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換電話網(wǎng)（Public Switched Telephone Network，PSTN）上提供服務(wù)的。傳統(tǒng)PSTN提供的服務(wù)也被稱為簡(jiǎn)易老式電話業(yè)務(wù)（Plan Old Telephone System，POTS）。因?yàn)槟壳按嬖谥罅堪惭b好的電話線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號(hào)連接也就成為最為方便和普遍的遠(yuǎn)程訪問(wèn)類型。 廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如HDLC、PPP等。其中，PPP除了提供身份認(rèn)證功能外，還可以提供其他很多可選項(xiàng)配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢(shì)。也是本設(shè)計(jì)所采用的異步連接封裝協(xié)議?！　≡诒驹O(shè)計(jì)中采用了可以集成在廣域網(wǎng)接入路由器InternetRotuer中的異步Modem模塊NM16AM（8Port Analog Modem Network Module）提供遠(yuǎn)程訪問(wèn)服務(wù)。它可以同時(shí)對(duì)最多16路撥號(hào)用戶提供遠(yuǎn)程接入服務(wù)。配置異步撥號(hào)模塊NM16AM的步驟:1．配置物理線路的基本參數(shù)對(duì)物理線路的配置包括配置線路速度（DTE、DCE之間的速率）、停止位位數(shù)、流控方式、允許呼入連接的協(xié)議類型、允許流量的方向等.InternetRouter (config)line 97InternetRouter (configline)moderm InOurInternetRouter (configline)transport input allInternetRouter (configline)stopbitsInternetRouter (configline)speed 115200InternetRouter (configline)flowcontrol hardware2. 配置接口基本參數(shù)對(duì)接口基本參數(shù)的配置包括：接口封裝協(xié)議類型、接口異步模式、IP地址、為遠(yuǎn)程客戶分配IP地址的方式等。這里，設(shè)置遠(yuǎn)程客戶從IP地址池rasclients中獲得IP地址。InternetRouter (config)interface async97InternetRouter (config)ip address InternetRouter (config)encapsulation pppInternetRouter (config)async mode dedicatedInternetRouter (config)peer default address pool rasclientsInternetRouter (config)ip local pool rasclients /建立了一個(gè)名為rasclients的IP地址池3. 配置身份認(rèn)證PPP提供了兩種可選的身份認(rèn)證方法：口令驗(yàn)證協(xié)議PAP（Password Authentication Protocol，PAP）和質(zhì)詢握手協(xié)議（Challenge Handshake Authentication Protocol，CHAP）?！　AP是一個(gè)簡(jiǎn)單的、實(shí)用的身份驗(yàn)證協(xié)議。PAP認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)行。如果認(rèn)證成功，在通信過(guò)程中不再進(jìn)行認(rèn)證。如果認(rèn)證失敗，則直接釋放鏈路?！　HAP認(rèn)證比PAP認(rèn)證更安全，因?yàn)镃HAP不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過(guò)摘要算法加工過(guò)的隨機(jī)序列，也被稱為挑戰(zhàn)字符串。如圖1415所示。同時(shí)，身份認(rèn)證可以隨時(shí)進(jìn)行，包括在雙方正常通信過(guò)程中。因此，非法用戶就算截獲并成功破解了一次密碼，此密碼也將在一段時(shí)間內(nèi)失效?！　HAP對(duì)端系統(tǒng)要求很高，因?yàn)樾枰啻芜M(jìn)行身份質(zhì)詢、響應(yīng)。這需要耗費(fèi)較多的CPU資源，因此只用在對(duì)安全要求很高的場(chǎng)合?！　AP雖然有著用戶名和密碼是明文發(fā)送的弱點(diǎn)，但是認(rèn)證只在鏈路建立初期進(jìn)行，因此節(jié)省了寶貴的鏈路帶寬?！　”驹O(shè)計(jì)中將采用PAP身份認(rèn)證方法。InternetRouter (config)username remoteuser password userpwdInternetRouter (config)interface a / 設(shè)置進(jìn)行pap認(rèn)證InternetRouter (config)PPP authentication pap第四章 服務(wù)器模塊設(shè)計(jì) 服務(wù)器模塊用來(lái)對(duì)校園網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計(jì)方案中，所有的服務(wù)器被集中到VLAN 100構(gòu)成服務(wù)器群并通過(guò)分別層交換機(jī)DistributeSwitch1的端口fastethernet 1～20接入校園網(wǎng)。如圖所示。校園網(wǎng)提供的常見(jiàn)的服務(wù)（服務(wù)器）包括：　　　WEB服務(wù)器：提供WEB網(wǎng)站服務(wù)?！　　NS、目錄服務(wù)器：提供域名解析以及目錄服務(wù)?！　　TP、文件服務(wù)器：提供文件傳輸、共享服務(wù)?！　　∴]件服務(wù)器：提供郵件收發(fā)服務(wù)?！　　?shù)據(jù)庫(kù)服務(wù)器：提供各種數(shù)據(jù)庫(kù)服務(wù)?！　　〈蛴》?wù)器：提供打印機(jī)共享服務(wù)?！　　?shí)時(shí)通信服務(wù)器：提供實(shí)時(shí)通信服務(wù)?！　　×髅襟w服務(wù)器：提供各種流媒體播放、點(diǎn)播服務(wù)。　　　網(wǎng)管服務(wù)器：對(duì)校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。如下圖所示。顯示了各服務(wù)器IP地址配置情況一 、結(jié)構(gòu)化布線設(shè)計(jì)應(yīng)該滿足以下目標(biāo)1. 滿足實(shí)驗(yàn)樓、教學(xué)樓、教師和學(xué)生公寓樓等各項(xiàng)主要業(yè)務(wù)的需求，且兼顧未來(lái)長(zhǎng)遠(yuǎn)發(fā)展。2. 符合當(dāng)前和長(zhǎng)遠(yuǎn)的信息傳輸要求3. 布線系統(tǒng)設(shè)計(jì)遵從國(guó)際（ISO/IEC 11801） 標(biāo)準(zhǔn)和郵電部和建設(shè)部標(biāo)準(zhǔn),布線系統(tǒng)采用國(guó)際標(biāo)準(zhǔn)建議的星型拓?fù)浣Y(jié)構(gòu)4. 布線系統(tǒng)將支持語(yǔ)音、數(shù)據(jù)等綜合信息（如 ADSL、B－ISDN 、ATM 等）的高質(zhì)量傳輸，并適應(yīng)各種不同類型不同廠商的電腦及網(wǎng)絡(luò)產(chǎn)品5. 布線系統(tǒng)的信息出口采用國(guó)際標(biāo)準(zhǔn)的RJ45插座，以同一的線路規(guī)格和設(shè)備接口，使任意信息點(diǎn)都能接插不同類型的終端設(shè)備，如電腦、打印機(jī)、網(wǎng)絡(luò)終端、電話機(jī)、傳真機(jī)等，以支持話音、數(shù)據(jù)、圖象等數(shù)據(jù)信息和多媒體信息的傳輸6. 布線系統(tǒng)符合綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)ISDN的要求，以便與國(guó)內(nèi)國(guó)際其它網(wǎng)絡(luò)互連。二 、系統(tǒng)設(shè)計(jì)原則1. 設(shè)計(jì)標(biāo)準(zhǔn)：a) ISO 11801國(guó)際綜合布線標(biāo)準(zhǔn)b) IEEE 802標(biāo)準(zhǔn)c) EIA/TIA 568工業(yè)標(biāo)準(zhǔn)及國(guó)際商務(wù)建筑布線標(biāo)準(zhǔn)2. 安裝與設(shè)計(jì)規(guī)范a) 建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范CECS 72:97b) 建筑與建筑群綜合布線工程施工及驗(yàn)收規(guī)范CECS 89:97c) 中國(guó)建筑電氣設(shè)計(jì)規(guī)范d) 工業(yè)企業(yè)通信設(shè)計(jì)規(guī)范三 、設(shè)計(jì)目標(biāo)實(shí)用性實(shí)施后的布線系統(tǒng)，將能夠在現(xiàn)在和將來(lái)適應(yīng)技術(shù)的發(fā)展，并且實(shí)現(xiàn)數(shù)據(jù)通信、語(yǔ)音通信、圖像通信。靈活性布線系統(tǒng)能夠滿足靈活應(yīng)用的要求，即任一信息點(diǎn)能夠連接不同類型的設(shè)計(jì)，如計(jì)算機(jī)、打印機(jī)、終端或電話、傳真機(jī)。模塊化布線系統(tǒng)中，除去敷設(shè)在建筑內(nèi)的纜線外，其余所有的接插件都應(yīng)是積木式的標(biāo)準(zhǔn)件，以方便管理和使用。擴(kuò)充性由于所有基礎(chǔ)設(shè)施（材料、部件、通信設(shè)備）都采用國(guó)際標(biāo)準(zhǔn)，無(wú)論計(jì)算機(jī)設(shè)備、通信設(shè)備、控制設(shè)備隨技術(shù)如何發(fā)展，將來(lái)都可很方便地將這些設(shè)備擴(kuò)充到系統(tǒng)中去。經(jīng)濟(jì)性在滿足應(yīng)用要求的基礎(chǔ)上，盡可能低造價(jià)。第五章 總結(jié) 、高速的、充分冗余的、基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)，該網(wǎng)絡(luò)能夠支持融合了話音、視頻、圖像和數(shù)據(jù)的應(yīng)用程序. Cisco公司作為知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。 3640路由器、Cisco Catalyst 2950 24口交換機(jī)（WSC295024）、Cisco Catalyst 3550交換機(jī)、Cisco Catalyst . 將重點(diǎn)放在網(wǎng)絡(luò)主干的設(shè)計(jì)上，對(duì)于服務(wù)器的架設(shè)只作簡(jiǎn)單介紹。.本設(shè)計(jì)中所采取的技術(shù)與產(chǎn)品充分考慮到了網(wǎng)絡(luò)未來(lái)的升級(jí)與發(fā)展，無(wú)論從校園網(wǎng)的擴(kuò)展到廣域網(wǎng)的建設(shè)都作了周密的考慮。再是由于系統(tǒng)選擇的是最成熟與標(biāo)準(zhǔn)的快速以太網(wǎng)技術(shù)，把網(wǎng)絡(luò)已構(gòu)筑了高速和堅(jiān)固的信息高速公路，面對(duì)未來(lái)的發(fā)展將處于非常有利的境界。26 / 27教師評(píng)語(yǔ)成績(jī)：年 月 日