【正文】 。 總 結(jié)需要說明的是 ，一個完整的校園網(wǎng)網(wǎng)絡(luò) 系統(tǒng)設(shè)計不僅包含上述設(shè)備或系統(tǒng) ， 還應(yīng)該包括計費系統(tǒng)、 防火墻系統(tǒng)、 入 侵檢測系統(tǒng)等組成部分。 debug ppp negotiation命令 debug ppp negotiation 用于打開對 PPP 協(xié)議參數(shù)協(xié)商的診斷。 遠 程 訪 問 測 試 、 診 斷 命 令 show line命令 show line 用于查看當(dāng)前系統(tǒng)所有的線路及其狀態(tài)。 ACL 測 試 、 診 斷 命 令 show accesslists命令 show accesslists 用于顯示所有已定義的訪問控制列表內(nèi)容及命中情 況。 show ip nat statistics命令 show ip nat statistics 用于顯示 NAT 運行情況統(tǒng)計。 NAT 測 試 、 診 斷 命 令 show ip nat translation命令 show ip nat translation 用于顯示當(dāng)前正在進行的 NAT 情況。 此命令用于顯示指定 VLAN 的生成樹內(nèi)容。 show spanningtree interface命令 show spanningtree interface 用于顯示生成樹中某端口相關(guān)狀態(tài)。 show spanningtree blockedports命令 show spanningtree blockedports 用于顯示處于阻塞狀態(tài)的端口。 命令 show vtp status 用于檢查 VTP 配置情況。 show vlan命令 show vlan 用于查看 VLAN 創(chuàng)建情況。 show macaddresstable命令 show macaddresstable 用于顯示 CAM，即 橋接表的內(nèi)容 。 show ip protocols命令 show ip protocols 用于顯示動態(tài)路由協(xié)議的配置參數(shù)信息。 show cdp traffic命令 show cdp traffic 用于顯示和 CDP 相關(guān)的流量統(tǒng)計信息 ，包括接收和發(fā) 送的 CDP 包數(shù)量、包括頭部錯誤、校驗錯誤、封 裝錯誤等在內(nèi)的錯誤數(shù)量等。 show cdp entry命令 show cdp entry 用于顯示指定鄰居設(shè)備的相關(guān)信息。 命令 show cdp neighbors 用于顯示 CDP 鄰居設(shè)備的摘要信息。 2 undebug all命令 undebug all 用于停止所有診斷過程。 1 dir nvram:命令 dir nvram:用于顯示非易失性內(nèi)存中的文件清單。 1 Ctrl+Shift+6+x該命令也被稱為“退出序列”，用于終止正在執(zhí)行的某條命令或操作，也 用于從呼出 Telnet 會話中暫時切換到本地連接。 1 show ip interface命令 show ip interface 用于顯示 IP 接口的狀態(tài)及配置信息。 1 show ip arp命令 show ip arp 用于顯示 IP ARP 緩存（ ARP 表）的內(nèi)容。 1 no shutdown命令 no shutdown 用于手動啟動（激活）處于管理性關(guān)閉的接口。 命令 clear line 用于斷開遠程主機的呼入 Telnet 連接。 disconnect命令 disconnect 用于斷開與遠程目標(biāo)主機的 Telnet 會話。 show startupconfig命令 show startupconfig 用于顯示路由器、交換機啟 動配置文件的內(nèi)容。 traceroute 命令 traceroute 用于跟蹤、顯示路由信息。也 用于測試設(shè)備間的物理連通性 。用于測試設(shè)備間的物理連通性。同時 ，還給出了每一命令的作用。這里，只給出相關(guān)測試、診 斷命令。 z 對各種服務(wù)器提供的服務(wù)進行測試。 z 對廣域網(wǎng)接入路由器上的 ACL 進行測試。 z 對冗余鏈路的工作狀態(tài)進行測試。 z 對相同 VLAN 內(nèi)的通信進行測試。當(dāng)校 園網(wǎng)初具規(guī)模后，還應(yīng)該對校園網(wǎng)的整 體運行情況做一下細致的測試和評估 。感興趣的讀者可以參看有關(guān)參考書。 圖 52 各服務(wù)器 IP 地址配置表 2 給出了所有的服務(wù)器硬件平臺、操 作系統(tǒng)以及服務(wù)軟件的選型表。 如圖 52 所示。 z 流媒體服務(wù)器：提供各種流媒 體播放、點播服務(wù)。 z 打印服務(wù)器：提供打印機共享服務(wù)。 z 郵件服務(wù)器：提供郵件收發(fā)服務(wù)。 z DNS、目錄服務(wù)器：提供域名解析以及目錄服務(wù)。如圖 51 所示。 圖 46 設(shè)置進行 PAP 認證5 服務(wù)器模塊設(shè)計服務(wù)器模塊用來對校園網(wǎng)的接入用戶提供各種服務(wù)。 建立本地口令數(shù)據(jù)庫 如圖 45 所示建立本地口令數(shù)據(jù)庫。 PAP 雖然有著用戶名和密碼是明文發(fā)送的弱 點，但是認證只在鏈路建立初 期進行，因此節(jié)省了寶貴的鏈路帶寬。 CHAP 對端系統(tǒng)要求很高，因為需要多次進行 身份質(zhì)詢、響應(yīng)。 同 時， 身 份認證可以隨時進行，包括在雙方正常通信過程 中。 如果認證失 敗，則直接釋放鏈路。 PAP 認證進程只在雙方的通信 鏈路建立初期進行。圖 44 指定 IP 地址池 配置身份認證PPP 提供了兩種可選的身份認證方法：口令驗證協(xié)議 PAP （ Password Authentication Protocol ， PAP ） 和 質(zhì) 詢 握 手 協(xié) 議 （ Challenge Handshake Authentication Protocol， CHAP）。如圖 44 所示，建立了一個名為 rasclients 的 IP 地址池。這里，設(shè)置遠程客戶從 IP地址池 rasclients 中獲得 IP 地址。如圖 42 所 示。 以下介紹一下配置異步撥號模塊 NM16AM 的步驟。在本設(shè)計中采用了可以集成在廣域網(wǎng)接入路由器 InternetRotuer 中的異步 Modem 模塊 NM16AM（ 16 Port Analog Modem Network Module）提供遠程訪 問服務(wù)。其中，PPP 除了提供身份認證功能外，還可以提供 其他很多可選項配置，包括鏈路壓縮 、 多鏈路捆綁 、回叫等 ，因此更具優(yōu)勢 。因此， 異步撥號連接也就成為最為方 便和普遍的遠程訪問類型。傳統(tǒng) PSTN 提 供的服務(wù)也被稱為簡易老式電話業(yè)務(wù)（ Plan Old Telephone System， POTS）。 在本設(shè)計中，由于面對 的用戶群規(guī)模、業(yè)務(wù)量較小，所以 采用了異步撥號連接作為遠程訪問的技術(shù)手 段。 圖 41 遠程訪問服務(wù)遠程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。它可以為家庭辦公用戶和出 差在外的員工提供遠程、移動接入服務(wù)。 圖 314 保護路由器自身安全 其它配置為了實現(xiàn)對無類別網(wǎng)絡(luò)（ Classless Network）以及全零子網(wǎng)（ Subnetzero） 的支持，在接入路由器 InternetRouter 上還需要進行適當(dāng)?shù)呐渲?，如圖 315 所 示。這時，可以使用 ACCESSCLASS 命令進行 VTY 訪問控制。 為了阻止黑客入侵路由器，必 須對路由器的訪問位置加以限制。圖 313 顯示了如何設(shè)計針對常見 DoS 攻 擊的 ACL。可以將針對以上協(xié)議綜合進行設(shè)計，如圖 312 所示。 如圖 311 所示，顯示了如何對外屏蔽遠程登錄協(xié)議 telnet。用戶在使用 telnet 登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時所使用的用戶 名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，?容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲 。圖 310 對外屏蔽簡單網(wǎng)管協(xié)議 SNMP對外屏蔽遠程登錄協(xié)議 telnet首先 ，telnet 可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和 UNIX 服務(wù)器 ，并可以使用相關(guān) 命令完全操縱它們。它有兩 種服務(wù)類型： SNMP 和 SNMPTRAP。主要應(yīng)該做以下 的 ACL 設(shè)計： 對外屏蔽簡單網(wǎng)管協(xié)議，即 SNMP。 在網(wǎng)絡(luò)環(huán)境中普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。由于路由器介于企業(yè)內(nèi)網(wǎng)和外 網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第 一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了 防火墻產(chǎn)品后，仍 然有必要對路由器的 訪問控制列表進行縝密的設(shè)計，來對企 業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護。路 由器上的訪問控制列表 （ Access Control List， ACL） 是保護內(nèi)網(wǎng)安全的有效手 段。 圖 38 為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換為其他工作站定義復(fù)用地址轉(zhuǎn)換 圖 39 顯示了如何為其他工作站定義復(fù)用地址轉(zhuǎn)換。 圖 36 定義 NAT 內(nèi)部、外部接口定義允許進行 NAT 的工作站的內(nèi)部局部 IP 地址范圍 圖 37 顯示了如何定義允許進行 NAT 的內(nèi)部局部 IP 地址范圍。其中一個 IP地址 ： 被分配給了 Internet 接入路由器的串行接口 ，另外 8 個 IP 地址： ～ 用作 NAT。為了解決所有工作站訪問 Internet 的需 要，必須使用 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。如圖 35所示。其中，下一跳 指定從本路由器的接口 serial 0/0 送出。 圖 33 設(shè)置接入路由器 InternetRouter 的各接口參數(shù) 配置接入路由器 InternetRouter 的路由功能在接入路由器 InternetRouter 上需要定義兩個方向上的路由 ：到校園網(wǎng)內(nèi)部 的靜態(tài)路由以及到 Internet 上的缺省路由。 圖 32 配置接入路由器 InternetRouter 的基本參數(shù) 配置接入路由器 InternetRouter 的各接口參數(shù)對 接 入 路 由 器 InternetRouter 的 各 接 口 參 數(shù) 的 配 置 主 要 是 對 接 口 FastEthernet 0/0 以及接口 Serial 0/0 的 IP 地址、子網(wǎng)掩碼的配置。 圖 31 廣域網(wǎng)接入路由器 InternetRouter 配置接入路由器 InternetRouter 的基本參數(shù)對接入路由器 InternetRouter 的基本參數(shù)的配置步驟與對訪問層交換機 AccessSwitch1 的基本參數(shù)的配置類似 。其作用主要是在 Internet 和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。采用的是 Cisco 的 3640 路由器。這里也不再贅述。這里，不再詳細分 析。 其 它配置 為了實現(xiàn)對無類別網(wǎng)絡(luò)（ Classless Network）以及全零子網(wǎng)（ Subnetzero） 的支持，在充當(dāng) 3 層交換機的核心層交換機 CoreSwitch1，也需要進行相應(yīng)的 配置，如圖 240 所示。 其中，下一跳地址是 Internet 接入路由器的快速以太網(wǎng)接口 FastEthernet 0/0 的IP 地址。同時 ，還 需要定義通往 Internet 的路由 。 圖 238 設(shè)置核心層交換機 CoreSwitch1 的千兆以太網(wǎng)信道 配 置 核 心 層 交 換 機 CoreSwitch1 的 路 由 功 能核心層交換機 CoreSwitch1 通過端口 FastEthernet 4/3 同廣域網(wǎng)接入模塊 （ Internet 路由器 ）相連 。 圖 237 設(shè)置核心層交換機 CoreSwitch1 的各端口參數(shù)此外，為了提供主干道的吞吐量以及實現(xiàn)冗余設(shè)計，在本設(shè)計中，將核心 層交換機 CoreSwitch1 的千兆端口 GigabitEthernet 2/GigabitEthernet 2/2 捆綁 在一起實現(xiàn) 2000Mbps 的千兆以太網(wǎng)信道，然后再連接到另一臺核心層交換機 CoreSwitch2。同時，核心層交換機 CoreSwitch1 的端口 GigabitEthernet 3/1 ～ GigabitEthernet 3/2 分 別 下 連 到 分 布 層 交 換 機 DistributeSwitch1 和 DistributeSwitch2 的端口 GigabitEthernet 0/1。 如圖 236 所示，設(shè)置核心層交換機 CoreSwitch1 成為 VT