【正文】 ess /設置端口模式Core layer(configifrange)spanningtree portfast /設置快速端口由于Core layer是通過1和2號端口分別與匯聚層的交換機1和匯聚層交換機2相連，所以把Core layer的1和24號端口設置成為主干端口。命令如下：Core layer(config)interface range gigabitethernet 0/12Core layer(configifrange)switchport mode trunkCore layer(configifrange)exit為核心層Core layer交換機啟用路由功能Core layer (config) ip routingCore layer(config)ip route 為了實現(xiàn)對無類網(wǎng)絡（Classless）和全零子網(wǎng)（Subnetzero）的支持，進行如下的配置：Core layer(config)ip classlessCore layer(config)ip subnetzero到此對于核心層的配置已基本完成，接下來我們對路由器進行配置。第4章 連接廣域網(wǎng)在本企業(yè)網(wǎng)中采用的是CISCO3825的路由器，它通過自己的串行接口serial0/0使用DDN技術(shù)接入Internet。其作用主要是在Internet和企業(yè)網(wǎng)之間路由數(shù)據(jù)包。除了完成主要的路由任務外，利用訪問控制列表（Access Control List，ACL），路由器ZZrouter還可用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的安全功能。其基本配置與接入層交換機的配置類似，配置命令如下：(需說明的是由普通用戶進入特權(quán)模式輸入命令enable，由特權(quán)模式進入全局配置模式輸入命令config t(全寫為configure terminal))Routerconfigure terminalRouter(config)hostname R1outR1OUT(config)enable secret ciscoR1OUT(config)no ip domainlookupR1OUT(config)logging synchronousR1OUT(config)line con 0R1OUT(configline)exectimeout 5 30R1OUT(configline)line vty 0 4R1OUT(configline)password ciscoR1OUT(configline)loginR1OUT(configline)exectimeout 5 30R1OUT(configline)exit主要是對接口FastEthernet0/0以及接口serial0/0的IP地址、子網(wǎng)掩碼的配置。配置命令如下：R1OUT(config)interface fastethernet 0/0R1OUT(configif)ip address R1OUT(configif)no shutdownR1OUT(configif)interface serial 0/0R1OUT(configif)ip address R1OUT(configif)no shutdown在R1OUT路由器上需要定義兩個路由：到企業(yè)內(nèi)部的靜態(tài)路由和到Internet上的缺省路由。R1OUT(config)ip route 到企業(yè)網(wǎng)內(nèi)部的路由經(jīng)過路由匯總后形成兩個路由條目如下所示：R1OUT(config)ip route R1OUT(config)ip route 由于目前IP地址資源非常稀缺，不可能給企業(yè)網(wǎng)內(nèi)部的每臺工作站都分配一個公有IP地址，為了解決所有工作站訪問Internet的需要，必須使用NAT（網(wǎng)絡地址轉(zhuǎn)換）技術(shù)。為了接入Internet，本企業(yè)網(wǎng)向當?shù)氐腎SP申請了10個IP地址。,。其它就進行NAT轉(zhuǎn)換。R1OUT(config)interface fastethernet 0/0R1OUT(configif)ip nat insideR1OUT(configif)interface serial 0/0R1OUT(configif)ip nat outsideR1OUT(config)ip accesslist 1 permit （定義允許進行NAT轉(zhuǎn)換的工作站的IP地址范圍）（ACL）路由器是外網(wǎng)進入企業(yè)內(nèi)網(wǎng)的第一道關卡，是網(wǎng)絡防御的前沿陣地。路由器上的訪問控制列表（ACL）是保護內(nèi)網(wǎng)安全的有效手段。一個設計良好的訪問控制列表（ACL）不僅可以起到控制網(wǎng)絡流量、流向的作用，還可以在不增加網(wǎng)絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表（ACL）進行縝密的設計，來對企業(yè)內(nèi)網(wǎng)包括對防火墻本身實施保護。屏蔽文件共享協(xié)議端口2049，遠程執(zhí)行（rsh）端口512，遠程登錄（rlogin）端口513，遠程命令(rcmd) 端口514，遠程過程調(diào)用(sunrpc)端口111。命令如下：R1OUT(config)accesslist 101 deny udp any any ep snmpR1OUT(config)accesslist 101 deny udp any any ep snmptrapR1OUT(config)accesslist 101 deny tcp any any ep telnetR1OUT(config)accesslist 101 deny tcp any any range 512 514/屏蔽遠程執(zhí)行（rsh）端口512和遠程命令(rcmd) 端口514R1OUT(config)accesslist 101 deny tcp any any eq 111/屏蔽遠程過程調(diào)用(sunrpc)端口111R1OUT(config)accesslist 101 deny udp any any eq 111/屏蔽遠程過程調(diào)用(sunrpc)端口111R1OUT(config)accesslist 101 deny tcp any any eq 2049/屏蔽文件共享協(xié)議端口2049R1OUT(config)accesslist 101 permit ip any anyR1OUT(config)interface serial 0/0R1OUT(configif)ip accessgroup 101 in /acl端口應用設置只允許來自服務器的IP地址才能訪問并配置路由器命令如下：R1OUT(config)line vty 0 4R1OUT(configline)accessclass 2 in/建立訪問控制列表2（ACL2）R1OUT(configline)exitR1OUT(config)accesslist 2 permit 為了支持無類別網(wǎng)絡以及全零子網(wǎng)進行如下的配置：R1OUT(config)ip classlessR1OUT(config)ip subnetzero配置路由器的封裝協(xié)議和身份認證R1OUT(config)interface serial 0/0R1OUT(configif)encapsulation pppPpp提供了兩種可選的身份驗證方法:口令驗證協(xié)議PAP(Password Authentication protocol, PAP)和質(zhì)詢握手驗證協(xié)議CHAP(Challenge Handshake Authentication Protocol, CHAP)。CHAP比PAP更安全，因為CHAP不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過摘要算法加工過的隨機序列。但CHAP對端系統(tǒng)要求很高，需要耗費較多的CPU資源，一般只用在對安全性要求很高的場合。而PAP雖然用戶名和密碼是以明文的形式發(fā)送的，但它對端系統(tǒng)要求不高，所以我們普遍采用這種身份驗證機制。配置命令如下：首先要建立本地口令數(shù)據(jù)庫R1OUT(config)username remoteuser password zhangguoyouR1OUT(config)interface serial 0/0R1OUT(configif)ppp authentication pap到此路由器的配置就基本上完成了。第5章 總 結(jié)當今網(wǎng)絡無處不在的年代，網(wǎng)絡知識越發(fā)顯的重要，通過一段時間的學習與努力，不能說對網(wǎng)絡已經(jīng)非常熟悉，至少可以獨立設計一個可運行的中小型的園區(qū)網(wǎng)，通過對網(wǎng)絡資源的充分利用和在專業(yè)書籍的指導下，讓我了解到了的網(wǎng)絡組建的原理，并利用現(xiàn)有技術(shù)把企業(yè)網(wǎng)絡建設起來，通過主控中心的核心交換機，利用光纖連接各個樓樓層和廠房，每個辦公室放置的計算機，通過雙絞線與每個樓層的二層交換機相連，達到主干網(wǎng)絡千兆傳輸，辦公室計算機達到百兆傳輸。在學習過程中，發(fā)現(xiàn)網(wǎng)絡硬件搭建是比較容易的事情，但是如何讓其充分發(fā)揮作用卻是比較頭疼的問題，還有對網(wǎng)絡設備進行深入配置，合理利用帶寬和網(wǎng)絡資源也需要做深入的探討和研究，專業(yè)的中小型園區(qū)網(wǎng)絡組建能夠加快企業(yè)信息化建設的步伐，讓企業(yè)在激烈 的全球化競爭當中，不斷發(fā)展壯大。主要參考文獻資料：《計算機網(wǎng)絡基礎教程》清華大學出版社，2003年4月第一版 System：《思科網(wǎng)絡技術(shù)學院教程》（第一，二學期）人民郵電出版社，2004年7月第一版 System：《思科網(wǎng)絡技術(shù)學院教程》（第三，四學期）人民郵電出版社，2004年7月第一版 Webb主編：《組建Cisco多層交換網(wǎng)絡》人民郵電出版社，2002年9月第五版：《現(xiàn)代網(wǎng)絡技術(shù)教程》，電子工業(yè)出版社，2000年1月戴雄 編著：《計算機網(wǎng)絡》，中華人事出版社，2001年1月 S. Tsanenbaum著．熊桂喜、王小虎等譯．計算機網(wǎng)絡（第三版）．清華大學出版社，1998致 謝本論文在富眾杰老師的悉心指導和嚴格要求下業(yè)已完成，從課題選擇到具體構(gòu)思和內(nèi)容，無不凝聚著富老師的心血和汗水，這次做論文的經(jīng)歷也會使我終身受益，我感受到做論文是要真真正正用心去做的一件事情，是真正的自己學習的過程和研究的過程，沒有學習就不可能有研究的能力，沒有自己的研究，就不會有所突破，這次的經(jīng)歷能讓我在以后學習和工作中激勵我繼續(xù)進步。不積跬步何以至千里，本設計能夠順利的完成，要歸功于富老師多次關注論文的撰寫進程，并為我指點迷津，幫助我開拓研究思路，熱忱鼓勵。富老師一絲不茍的作風，嚴謹求實的態(tài)度，踏踏實實的精神，不僅授我以文，而且教我做人，給以終生受益無窮之道。在三年的?？茖W習和生活期間，也始終感受著各科老師的精心指導和無私的關懷，正是有了各位任課老師的認真負責，使我能夠很好的掌握和運用專業(yè)知識，并在設計中得以體現(xiàn)，在此向各位老師表示深深的感謝和崇高的敬意。您好，歡迎您閱讀我的文章，本W(wǎng)ORD文檔可編輯修改，也可以直接打印。閱讀過后，希望您提出保貴的意見或建議。閱讀和學習是一種非常好的習慣，堅持下去，讓我們共同進步。