【正文】 限于篇幅， 在 此不做介紹，感興趣的讀者可 以參看有關(guān)的參考書。 show modemcap命令 show modemcap 用于顯示了當(dāng)前路由器可以自動(dòng)配置的 Modem 列表。 debug ip nat命令 debug ip nat 用于打開對 NAT 的診斷。 show spanningtree summary命令 show spanningtree summary 用于顯示生成樹總結(jié)，包括本交換機(jī)是哪 些 VLAN 的根網(wǎng)橋 、端口快速特性是否啟用 、處于生成樹各個(gè)端口狀態(tài)的端 口數(shù)量等信息。 show spanningtree detail命令 show spanningtree detail 用于顯示生成樹詳細(xì)信息。該命令可以顯示系統(tǒng)所有的 VLAN 信息 ，包括 VLAN 編號 、VLAN 名稱 、VLAN 狀態(tài) 、VLAN 成員等信息。 VLAN、 VTP 測 試 、 診 斷命令 show interface vlan vlannum命令 show interface vlan vlannum 用于顯示 VLAN 是否已激活 、交換機(jī) MAC基地址、接口參數(shù)等。 show cdp interface命令 show cdp interface 用于顯示本地設(shè)備各個(gè)接口 的狀態(tài) 、接 口封裝格式、 CDP 包的周期發(fā)送時(shí)間以及 CDP 保持時(shí)間等。 CDP 測 試 、 診 斷 命 令 show cdp命令 show cdp 用于顯示 CDP 全局參數(shù)信息。 1 dir flash:命令 dir flash:用于顯示閃存中的文件清單。 1 show interfaces命令 show interface 用于顯示各接口的狀態(tài)及參數(shù)信息。 shutdown命令 shutdown 用于臨時(shí)將某個(gè)接口關(guān)閉。 show sessions命令 show sessions 用于顯示從當(dāng)前設(shè)備發(fā)出的所有呼出 Telnet 會(huì)話。擴(kuò)展 ping 命令還支持靈 活定義 ping 參數(shù)，如 ping 數(shù)據(jù)包的大小，發(fā)送包的個(gè)數(shù)， 等待響應(yīng)數(shù)據(jù)包的 超時(shí)時(shí)間等。 通 用 測 試 、 診 斷 命 令 ping 標(biāo)準(zhǔn) ping 命令。 至于具體的測試步驟，限于篇幅，不再贅述。 z 對廣域網(wǎng)接入路由器上的 NAT 進(jìn)行測試。 主要的測試內(nèi)容應(yīng)該包括： z 對管理 IP 地址的測試。 表 2 服務(wù)器硬件平臺(tái)、操作系統(tǒng)以及服務(wù)軟件的選型表限于篇幅，對于各種服務(wù)器的安裝、配置步驟以及運(yùn)行維護(hù)方法，這里不 再贅述。 z 網(wǎng)管服務(wù)器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。 z 數(shù)據(jù)庫服務(wù)器：提供各種數(shù)據(jù)庫服務(wù)。 圖 51 服務(wù)器群校園網(wǎng)網(wǎng)絡(luò)提供的常用服務(wù)（服務(wù)器）包括： z WEB 服務(wù)器：提供 WEB 網(wǎng)站服務(wù)。 圖 45 建立本地口令數(shù)據(jù)庫設(shè)置進(jìn)行 PAP 認(rèn)證 如圖 46 所示設(shè)置進(jìn)行 PAP 認(rèn)證。這需要耗 費(fèi)較多的 CPU 資源，因此只用在對安全要求很高的場合。 CHAP 認(rèn)證比 PAP 認(rèn)證更安全，因?yàn)?CHAP 不在線路上發(fā)送明文密碼，而 是發(fā)送經(jīng)過摘要算法加工過的隨機(jī)序列， 也 被稱 為 “ 挑戰(zhàn)字符串” 。 PAP 是一個(gè)簡單的、實(shí)用的身份驗(yàn)證協(xié)議。 圖 43 配置接口基本參數(shù)接下來，需要建立一個(gè)本地的 IP 地址池。 配置物理線路的基本參數(shù)對物理線路的配置包括配置線路速度（ DTE、 DCE 之間的速率）、停止位 位數(shù)、流控方式、允許呼入連接的協(xié)議 類型、允許流量的方向等。本設(shè)計(jì)所采用的異步連接封裝協(xié)議是 PPP。 因?yàn)槟壳按嬖谥罅堪惭b好的電話線 ，所 以這樣的環(huán)境是最容易滿足的 。不同的 廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同， 花 費(fèi)也不相同。 圖 315 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持4 遠(yuǎn)程訪問模塊設(shè)計(jì)遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。 應(yīng)只允許來自服務(wù)器群的 IP 地址訪問并配置路由器。 圖 312 對外屏蔽其它不安全的協(xié)議或服務(wù)針對 DoS 攻擊的設(shè)計(jì) DoS 攻擊（ Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見而且 極具破壞力的攻擊手段，它可以導(dǎo)致服 務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止 ， 嚴(yán)重時(shí)會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。這是極其危險(xiǎn)的 ，因此必須加以屏蔽。如圖 310 所示，顯示了如何設(shè)置對外屏蔽簡單網(wǎng)管協(xié)議 SNMP。在 絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對外加 以屏蔽的。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅 可以起到控制網(wǎng)絡(luò)流量、流向的作用 ， 還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資 的情況下完成一般軟、硬件防火墻產(chǎn)品 的功能。 圖 37 定義工作站的內(nèi)部局部 IP 地址范圍為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換 圖 38 顯示了如何為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換。 為了接入 Internet，本校園網(wǎng)向當(dāng)?shù)?ISP 申請了 9 個(gè) IP 地址。 圖 34 定義到 Internet 的缺省路由到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由 匯總后形成兩條路由條目 。 如圖 33 所示，顯示了為接入路由器 InternetRouter 的各接口設(shè)置 IP 地址、子 網(wǎng)掩碼。除了完成 主要的路由任務(wù)外，利 用訪問控制列表 （ Access Control List，ACL），廣域網(wǎng)接入路由器 InternetRouter 還可以用來完 成以自身為中心的流量控制和 過濾功能并實(shí)現(xiàn)一定的安全功能 ，如圖 31 所示。 3 廣域網(wǎng)接入模塊設(shè)計(jì)在 本 實(shí) 例 設(shè) 計(jì) 中 ， 廣 域 網(wǎng) 接 入 模 塊 的 功 能 是 由 廣 域 網(wǎng) 接 入 路 由 器 InternetRouter 來完成的。 圖 240 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持 核 心 層 交 換 機(jī) CoreSwitch2 的 配 置對于圖 21中的核心層交換機(jī) CoreSwitch2 的配置步驟 、命令和對核心層交 換機(jī) CoreSwitch1 的配置類似。這里使用了一條缺省路由命令 ，如 圖 239 所示。如圖 238 所示，是設(shè)置核心層交換機(jī) CoreSwitch1 的千兆以太網(wǎng)信道的步 驟。 圖 236 設(shè)置核心層交換機(jī) CoreSwitch1 成為 VTP 客戶機(jī) 配 置 核 心 層 交 換 機(jī) CoreSwitch1 的 端 口 參 數(shù)核心層交換機(jī) CoreSwitch1 通過自己的端口 FastEthernet 4/3 同廣域網(wǎng)接入 模塊（ Internet 路由器）相連。同時(shí)，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。這里，以圖 21 中的核心層交換機(jī) CoreSwitch1 為例進(jìn)行介紹。 圖 232 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持 核心層交換服務(wù)的實(shí)現(xiàn)－配置核心層交換機(jī)核心層將各分布層交換機(jī)互連起來進(jìn)行 穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。如圖 231 所示。其中，下一跳地址是 Internet 接入路由器的快速以太網(wǎng)接口 FastEthernet 0/0 的 IP 地址。如圖 228 所示。 為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī) DistributeSwitch1 還通過自己的千兆端口 GigabitEthernet 0/2 連 接 另 一 臺(tái) 到 分 布 層 交 換 機(jī) DistributeSwitch2 的 GigabitEthernet 0/2。 由于使用了 VTP 技術(shù)，所以，所有 VLAN 的定義都只需要在 VTP 服務(wù)器， 即分布層交換機(jī) DistributeSwitch1 上進(jìn)行。 在一個(gè) VTP 域下，只需要在 VTP 服務(wù)器上激活 VTP 剪裁功能。 圖 224 設(shè)置分布層交換機(jī) DistributeSwitch1 成為 VTP 服務(wù)器激活 VTP 剪裁功能 默認(rèn)情況下主干道傳輸所有 VLAN 的用戶數(shù)據(jù)。 如圖 223 所示，將 VTP 管理域的域名定義為“ chinaitlab”。同時(shí)，將分布層交換 機(jī)DistributeSwitch1 設(shè)置成為 VTP 服務(wù)器，其他交換機(jī)設(shè)置成為 VTP 客戶機(jī)。然后，利用交換機(jī)之間的互 相學(xué)習(xí)功能 ，將創(chuàng)建好的 VLAN 定義傳播到整個(gè)網(wǎng)絡(luò)中需要此 VLAN 定義的所 有交換機(jī)上 。 圖 222 分布層交換機(jī) DistributeSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) 配 置 分 布 層 交 換 機(jī) DistributeSwitch1 的 VTP當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí)，需要分別在每臺(tái) 交換機(jī)上創(chuàng)建很多重復(fù)的 VLAN。如圖 220 所示： 圖 220 分布層交換機(jī) DistributeSwitch1 配 置 分 布 層 交 換 機(jī) DistributeSwitch1 的 基 本 參 數(shù)對分布層交換機(jī) DistributeSwitch1 的基本參數(shù)的配置步驟與對訪問層交換 機(jī) AccessSwitch1 的基本參數(shù)的配置類似。 分布層交換服務(wù)的實(shí)現(xiàn)－配置分布層交換機(jī)分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供 VLAN 間的路由選擇功能。所不同 的是， Backbonefast 可以檢測到間接鏈路（非直連 鏈路）故障并立即使得相應(yīng) 阻塞端口的最大壽命計(jì)時(shí)器到時(shí)，從而縮短該端口可以開始轉(zhuǎn)發(fā)數(shù)據(jù)包的時(shí) 間。 如圖 218 所示，是在訪問層交換機(jī) AccessSwitch1 上啟用 Uplinkfast 特性。 訪 問 層 交 換 機(jī) 的 其 它 可 選 配 置 Uplinkfast訪問層交換機(jī) AccessSwitch1 通過兩條冗余上行鏈路分別接入分布層交換 機(jī) DistributeSwitch1 和 、DistributeSwitch2。 需要指出的是，為了提供主干道的吞吐量，可以采用鏈路捆綁（快速以太 網(wǎng)信道）技術(shù)增加可用帶寬。 同時(shí) ，分 別通過自己的 FastEthernet 0/23 、FastEthernet 0/24 上連到分布層交換 機(jī) DistributeSwitch DistributeSwitch2 的端口 FastEthernet 0/24。同時(shí) ，訪問層交 換機(jī) AccessSwitch1 還通過端口 FastEthernet 0/24 上連到分布層交換機(jī) DistributeSwitch2 的端口 FastEthernet 0/23。 為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間，可以設(shè)置 將某端口設(shè)置成為快速端口 （ Portfast）。同時(shí)，設(shè)置端口 1～端口 10 為 VLAN 20 的成員。在 圖 21 中，訪問 層交換機(jī) AccessSwitch1 為 VLAN VLAN20 提供接入服務(wù)。 圖 211 設(shè)置訪問層交換機(jī) AccessSwitch1 的端口工作模式端口速度 可以設(shè)定某端口根據(jù)對端設(shè)備速度自動(dòng)調(diào)整本端口速度，也可以強(qiáng)制將端 口速度設(shè)為 10Mpbs 或 100Mbps。 如圖 210 所示，設(shè)置訪問層交換機(jī) AccessSwitch1 成為 VTP 客戶機(jī)。如圖 29 所示。 給交換機(jī)設(shè)置管理用 IP 地址只能在 VLAN1，即本征 VLAN 中進(jìn)行。 圖 27 設(shè)置啟用消息同步特性 配 置 訪 問 層 交 換 機(jī) AccessSwitch1 的 管 理 IP、 默 認(rèn) 網(wǎng) 關(guān)訪問層交換機(jī)是 OSI 參考模型的第 2 層設(shè)備 ，即數(shù)據(jù)鏈路層的設(shè)備 。如圖 26 所示，設(shè)置禁用 IP 地址解 析特性。 如圖 25 所示，設(shè)置登錄交換機(jī)的控制臺(tái)終端線 路及虛擬終端線的超時(shí)時(shí) 間為 5 分 30 秒鐘。 但是，出于安 全考慮， 在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng) 絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。圖 22 為訪問層交換機(jī) AccessSwitch1 命名設(shè)置交換機(jī)的加密使能口令 當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí)，需要提供此口令。如圖 21 所示： 圖 21 訪問層交換機(jī) AccessSwitch1 配 置 訪 問 層 交 換 機(jī) AccessSwitch1 的 基 本 參 數(shù)設(shè)置交換機(jī)名稱 設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī) CLI 提示符中的名字。 訪問層交換服務(wù)的實(shí)現(xiàn)－配置訪問層交換機(jī)訪問層為所有的終端用戶提供一個(gè)接