【正文】 模式Core layer(configifrange)speed 100 /設(shè)置端口速度Core layer(configifrange)switchport mode access /設(shè)置端口模式Core layer(configifrange)spanningtree portfast /設(shè)置快速端口由于Core layer是通過(guò)1和2號(hào)端口分別與匯聚層的交換機(jī)1和匯聚層交換機(jī)2相連，所以把Core layer的1和24號(hào)端口設(shè)置成為主干端口。命令如下：Core layer(config)interface range gigabitethernet 0/12Core layer(configifrange)switchport mode trunkCore layer(configifrange)exit為核心層Core layer交換機(jī)啟用路由功能Core layer (config) ip routingCore layer(config)ip route 為了實(shí)現(xiàn)對(duì)無(wú)類(lèi)網(wǎng)絡(luò)（Classless）和全零子網(wǎng)（Subnetzero）的支持，進(jìn)行如下的配置：Core layer(config)ip classlessCore layer(config)ip subnetzero到此對(duì)于核心層的配置已基本完成，接下來(lái)我們對(duì)路由器進(jìn)行配置。第4章 連接廣域網(wǎng)在本企業(yè)網(wǎng)中采用的是CISCO3825的路由器，它通過(guò)自己的串行接口serial0/0使用DDN技術(shù)接入Internet。其作用主要是在Internet和企業(yè)網(wǎng)之間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問(wèn)控制列表（Access Control List，ACL），路由器ZZrouter還可用來(lái)完成以自身為中心的流量控制和過(guò)濾功能并實(shí)現(xiàn)一定的安全功能。其基本配置與接入層交換機(jī)的配置類(lèi)似，配置命令如下：(需說(shuō)明的是由普通用戶(hù)進(jìn)入特權(quán)模式輸入命令enable，由特權(quán)模式進(jìn)入全局配置模式輸入命令config t(全寫(xiě)為configure terminal))Routerconfigure terminalRouter(config)hostname R1outR1OUT(config)enable secret ciscoR1OUT(config)no ip domainlookupR1OUT(config)logging synchronousR1OUT(config)line con 0R1OUT(configline)exectimeout 5 30R1OUT(configline)line vty 0 4R1OUT(configline)password ciscoR1OUT(configline)loginR1OUT(configline)exectimeout 5 30R1OUT(configline)exit主要是對(duì)接口FastEthernet0/0以及接口serial0/0的IP地址、子網(wǎng)掩碼的配置。配置命令如下：R1OUT(config)interface fastethernet 0/0R1OUT(configif)ip address R1OUT(configif)no shutdownR1OUT(configif)interface serial 0/0R1OUT(configif)ip address R1OUT(configif)no shutdown在R1OUT路由器上需要定義兩個(gè)路由：到企業(yè)內(nèi)部的靜態(tài)路由和到Internet上的缺省路由。R1OUT(config)ip route 到企業(yè)網(wǎng)內(nèi)部的路由經(jīng)過(guò)路由匯總后形成兩個(gè)路由條目如下所示：R1OUT(config)ip route R1OUT(config)ip route 由于目前IP地址資源非常稀缺，不可能給企業(yè)網(wǎng)內(nèi)部的每臺(tái)工作站都分配一個(gè)公有IP地址，為了解決所有工作站訪問(wèn)Internet的需要，必須使用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。為了接入Internet，本企業(yè)網(wǎng)向當(dāng)?shù)氐腎SP申請(qǐng)了10個(gè)IP地址。,。其它就進(jìn)行NAT轉(zhuǎn)換。R1OUT(config)interface fastethernet 0/0R1OUT(configif)ip nat insideR1OUT(configif)interface serial 0/0R1OUT(configif)ip nat outsideR1OUT(config)ip accesslist 1 permit （定義允許進(jìn)行NAT轉(zhuǎn)換的工作站的IP地址范圍）（ACL）路由器是外網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問(wèn)控制列表（ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問(wèn)控制列表（ACL）不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對(duì)路由器的訪問(wèn)控制列表（ACL）進(jìn)行縝密的設(shè)計(jì)，來(lái)對(duì)企業(yè)內(nèi)網(wǎng)包括對(duì)防火墻本身實(shí)施保護(hù)。屏蔽文件共享協(xié)議端口2049，遠(yuǎn)程執(zhí)行（rsh）端口512，遠(yuǎn)程登錄（rlogin）端口513，遠(yuǎn)程命令(rcmd) 端口514，遠(yuǎn)程過(guò)程調(diào)用(sunrpc)端口111。命令如下：R1OUT(config)accesslist 101 deny udp any any ep snmpR1OUT(config)accesslist 101 deny udp any any ep snmptrapR1OUT(config)accesslist 101 deny tcp any any ep telnetR1OUT(config)accesslist 101 deny tcp any any range 512 514/屏蔽遠(yuǎn)程執(zhí)行（rsh）端口512和遠(yuǎn)程命令(rcmd) 端口514R1OUT(config)accesslist 101 deny tcp any any eq 111/屏蔽遠(yuǎn)程過(guò)程調(diào)用(sunrpc)端口111R1OUT(config)accesslist 101 deny udp any any eq 111/屏蔽遠(yuǎn)程過(guò)程調(diào)用(sunrpc)端口111R1OUT(config)accesslist 101 deny tcp any any eq 2049/屏蔽文件共享協(xié)議端口2049R1OUT(config)accesslist 101 permit ip any anyR1OUT(config)interface serial 0/0R1OUT(configif)ip accessgroup 101 in /acl端口應(yīng)用設(shè)置只允許來(lái)自服務(wù)器的IP地址才能訪問(wèn)并配置路由器命令如下：R1OUT(config)line vty 0 4R1OUT(configline)accessclass 2 in/建立訪問(wèn)控制列表2（ACL2）R1OUT(configline)exitR1OUT(config)accesslist 2 permit 為了支持無(wú)類(lèi)別網(wǎng)絡(luò)以及全零子網(wǎng)進(jìn)行如下的配置：R1OUT(config)ip classlessR1OUT(config)ip subnetzero配置路由器的封裝協(xié)議和身份認(rèn)證R1OUT(config)interface serial 0/0R1OUT(configif)encapsulation pppPpp提供了兩種可選的身份驗(yàn)證方法:口令驗(yàn)證協(xié)議PAP(Password Authentication protocol, PAP)和質(zhì)詢(xún)握手驗(yàn)證協(xié)議CHAP(Challenge Handshake Authentication Protocol, CHAP)。CHAP比PAP更安全，因?yàn)镃HAP不在線(xiàn)路上發(fā)送明文密碼，而是發(fā)送經(jīng)過(guò)摘要算法加工過(guò)的隨機(jī)序列。但CHAP對(duì)端系統(tǒng)要求很高，需要耗費(fèi)較多的CPU資源，一般只用在對(duì)安全性要求很高的場(chǎng)合。而PAP雖然用戶(hù)名和密碼是以明文的形式發(fā)送的，但它對(duì)端系統(tǒng)要求不高，所以我們普遍采用這種身份驗(yàn)證機(jī)制。配置命令如下：首先要建立本地口令數(shù)據(jù)庫(kù)R1OUT(config)username remoteuser password zhangguoyouR1OUT(config)interface serial 0/0R1OUT(configif)ppp authentication pap到此路由器的配置就基本上完成了。第5章 總 結(jié)當(dāng)今網(wǎng)絡(luò)無(wú)處不在的年代，網(wǎng)絡(luò)知識(shí)越發(fā)顯的重要，通過(guò)一段時(shí)間的學(xué)習(xí)與努力，不能說(shuō)對(duì)網(wǎng)絡(luò)已經(jīng)非常熟悉，至少可以獨(dú)立設(shè)計(jì)一個(gè)可運(yùn)行的中小型的園區(qū)網(wǎng)，通過(guò)對(duì)網(wǎng)絡(luò)資源的充分利用和在專(zhuān)業(yè)書(shū)籍的指導(dǎo)下，讓我了解到了的網(wǎng)絡(luò)組建的原理，并利用現(xiàn)有技術(shù)把企業(yè)網(wǎng)絡(luò)建設(shè)起來(lái)，通過(guò)主控中心的核心交換機(jī)，利用光纖連接各個(gè)樓樓層和廠房，每個(gè)辦公室放置的計(jì)算機(jī)，通過(guò)雙絞線(xiàn)與每個(gè)樓層的二層交換機(jī)相連，達(dá)到主干網(wǎng)絡(luò)千兆傳輸，辦公室計(jì)算機(jī)達(dá)到百兆傳輸。在學(xué)習(xí)過(guò)程中，發(fā)現(xiàn)網(wǎng)絡(luò)硬件搭建是比較容易的事情，但是如何讓其充分發(fā)揮作用卻是比較頭疼的問(wèn)題，還有對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行深入配置，合理利用帶寬和網(wǎng)絡(luò)資源也需要做深入的探討和研究，專(zhuān)業(yè)的中小型園區(qū)網(wǎng)絡(luò)組建能夠加快企業(yè)信息化建設(shè)的步伐，讓企業(yè)在激烈 的全球化競(jìng)爭(zhēng)當(dāng)中，不斷發(fā)展壯大。主要參考文獻(xiàn)資料：《計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)教程》清華大學(xué)出版社，2003年4月第一版 System：《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程》（第一，二學(xué)期）人民郵電出版社，2004年7月第一版 System：《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程》（第三，四學(xué)期）人民郵電出版社，2004年7月第一版 Webb主編：《組建Cisco多層交換網(wǎng)絡(luò)》人民郵電出版社，2002年9月第五版：《現(xiàn)代網(wǎng)絡(luò)技術(shù)教程》，電子工業(yè)出版社，2000年1月戴雄 編著：《計(jì)算機(jī)網(wǎng)絡(luò)》，中華人事出版社，2001年1月 S. Tsanenbaum著．熊桂喜、王小虎等譯．計(jì)算機(jī)網(wǎng)絡(luò)（第三版）．清華大學(xué)出版社，1998致 謝本論文在富眾杰老師的悉心指導(dǎo)和嚴(yán)格要求下業(yè)已完成，從課題選擇到具體構(gòu)思和內(nèi)容，無(wú)不凝聚著富老師的心血和汗水，這次做論文的經(jīng)歷也會(huì)使我終身受益，我感受到做論文是要真真正正用心去做的一件事情，是真正的自己學(xué)習(xí)的過(guò)程和研究的過(guò)程，沒(méi)有學(xué)習(xí)就不可能有研究的能力，沒(méi)有自己的研究，就不會(huì)有所突破，這次的經(jīng)歷能讓我在以后學(xué)習(xí)和工作中激勵(lì)我繼續(xù)進(jìn)步。不積跬步何以至千里，本設(shè)計(jì)能夠順利的完成，要?dú)w功于富老師多次關(guān)注論文的撰寫(xiě)進(jìn)程，并為我指點(diǎn)迷津，幫助我開(kāi)拓研究思路，熱忱鼓勵(lì)。富老師一絲不茍的作風(fēng)，嚴(yán)謹(jǐn)求實(shí)的態(tài)度，踏踏實(shí)實(shí)的精神，不僅授我以文，而且教我做人，給以終生受益無(wú)窮之道。在三年的專(zhuān)科學(xué)習(xí)和生活期間，也始終感受著各科老師的精心指導(dǎo)和無(wú)私的關(guān)懷，正是有了各位任課老師的認(rèn)真負(fù)責(zé)，使我能夠很好的掌握和運(yùn)用專(zhuān)業(yè)知識(shí)，并在設(shè)計(jì)中得以體現(xiàn)，在此向各位老師表示深深的感謝和崇高的敬意。