【正文】 22 以隨時(shí)進(jìn)行，包括在雙方正常通信過(guò)程中。如果認(rèn)證失敗，則直接釋放鏈路。 PAP 認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)行。 PPP 提供了兩種可選的身份認(rèn)證方法：口令驗(yàn)證協(xié)議 PAP（ Password Authentication Protocol， PAP）和質(zhì)詢握手協(xié)議（ Challenge Handshake Authentication Protocol， CHAP）。其中， PPP 除了提供身份認(rèn)證功能外，還可以提供其他很多可選項(xiàng)配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢(shì)。因此，異步撥號(hào)連接也就成為最為方便和普遍的遠(yuǎn)程訪問(wèn)類(lèi)型。傳統(tǒng) PSTN 提供的服務(wù) 也被稱(chēng)為簡(jiǎn)易老式電話業(yè)務(wù)（ Plan Old Telephone System， POTS）。在本設(shè)計(jì)中，由于面對(duì)的用戶群規(guī)模、業(yè)務(wù)量較小，所以采用了異步撥號(hào)連接作為遠(yuǎn)程訪問(wèn)的技術(shù)手段。 遠(yuǎn)程訪問(wèn)有三種可選的服務(wù)類(lèi)型：專(zhuān)線連接、電路交換和包交換。如圖所示 遠(yuǎn)程訪問(wèn)設(shè)計(jì) 和 程訪問(wèn)模塊設(shè) 遠(yuǎn)程訪問(wèn)也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。 應(yīng)只允許來(lái)自服務(wù)器群的 IP 地址訪問(wèn)并配置路由器。 （ 5）保護(hù)路由器自身安全 作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的?？梢詫⑨槍?duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì)，如圖所 示。這是極其危險(xiǎn)的，因此必須加以屏蔽。用戶在使用 tel 登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用 的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。它有兩種服務(wù)類(lèi)型： SNMP 和 SNMPTRAP。主要應(yīng)該做以下的ACL 設(shè)計(jì)： （ 1）對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議，即 SNMP。 在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。一個(gè)設(shè)計(jì)良好的訪問(wèn)控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。 設(shè) 置接入路由器 InterRouter 上的 ACL 路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。 將除服務(wù)器外的內(nèi)部 IP 隨機(jī)轉(zhuǎn)換為地址池內(nèi)的 的公有地址。 （ 3）為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換 將服務(wù)器的內(nèi)部 IP 地址改為公有地址。 （ 1）定義 NAT 內(nèi)部、外部接口 Ip nat inside 定義端口為內(nèi)部端口； Ip nat outside 定義端口為外部端口。其中一個(gè) IP地址： 被分配給了 Inter 接入路由器的串行接口，另外 8 個(gè) IP 地址： ～ 用作 NAT。為了解決所有工作站訪問(wèn) Inter的需要，必須使用 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。如圖所示。其中，下一跳指定從本路由器的接口 serial 0/0/0 送出。 配置接入路由器 InterRouter 的路由功能 在接入路由器 InterRouter 上需要定義兩個(gè)方向上的路由：到企業(yè)網(wǎng) 內(nèi)部的靜態(tài)路由以及到 Inter 上的缺省路由。 配置接入路由器 InterRouter 的各接口參數(shù) 對(duì)接入路由器 InterRouter 的各接口參數(shù)的配置主要是對(duì)接口FastEther 0/0 以及接口 Serial 0/0/0 的 IP 地址、子網(wǎng)掩碼的配置。除了完成主要的路由任務(wù)外，利用訪問(wèn)控制列表（ Access Control List， ACL），廣域網(wǎng)接入路由器 InterRouter 還可以用來(lái)完成以自身為中心的流量控制和過(guò)濾功能并實(shí)現(xiàn)一定的安全功能 。它通過(guò) 添加 WIC2T 模塊 上帶的 串行接口 serial 0/0使用 DDN（ 128K）技術(shù)接入 Inter。 廣域網(wǎng)接入模塊設(shè)計(jì) 在本設(shè)計(jì)中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器 InterRouter來(lái)完成的。同時(shí)，對(duì)于配置核心層交換機(jī)CoreSwitch2 下連的一系列交換機(jī)，其連接方法以及配置步驟和命令同核心層交換機(jī) CoreSwitch1 下連的一系列交換機(jī)的連接方法以及配置步驟和命令類(lèi)似。 6． 核心層交換機(jī) CoreSwitch2 的配置 17 核心層交換機(jī) CoreSwitch2 的配置步驟、命令和對(duì)核心層交換機(jī)CoreSwitch1 的配置類(lèi)似。這里使用了一條缺省路由命令，如圖所示。因此，需要啟用核心層交換機(jī)的路由功能。 下面 是設(shè)置核心層交換機(jī) CoreSwitch1 的千兆以太網(wǎng)信道的步驟。 如圖所示，給出了對(duì)上述端口的配置命令。 16 完整命令為： vtp mode client 4． 配置核心層交換機(jī) CoreSwitch1 的端口參數(shù) 核心層交換機(jī) CoreSwitch1 通過(guò)自己的端口 FastEther 0/22 同廣域網(wǎng)接入模塊（ Inter 路由器）相連。 3． 配置核心層交換機(jī) CoreSwitch1 的的 VLAN 及 VTP 在本實(shí)例中， 核心層交換機(jī) CoreSwitch1 也將作為 VTP 客戶機(jī)。 2． 配置核心層交換機(jī) CoreSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) 如圖所示，顯示了為核心層交換機(jī) CoreSwitch1 設(shè)置管理 IP 并激活本征VLAN。 核心層交換服 務(wù)的實(shí)現(xiàn)－配置核心層交換機(jī) 1． 配置核心層交換機(jī) CoreSwitch1 的基本參數(shù) 對(duì)核心層交換機(jī) CoreSwitch1 的基本參數(shù)的配置步驟與對(duì)接入層交換機(jī)AccessSwitch1 的基本參數(shù)的配置類(lèi)似。 15 此 外 ，分 布層 交 換機(jī) DistributeSwitch2 還 通過(guò) 自 己的 千兆 端 口GigabitEther1/1 上連到核心交換機(jī) CoreSwitch2 的 GigabitEther 0/1。這里使用了一條缺省路由命令， 其中，下一跳地址是 Inter 接入路由器的快速以太網(wǎng)接口 FastEther 0/0 的 IP 地址。這需要首先啟用分布層交換機(jī)的路由功能。 設(shè)置分布層交換機(jī) DistributeSwitch1 的各端口參數(shù) 其中， f0/1f0/5， gi1/1,gi1/2 都被配為中繼端口，端口 f0/10f0/12 被劃分給 VLAN 100。 為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī) DistributeSwitch1 還通過(guò)自己的千兆端口 GigabitEther 1/2 連接另一臺(tái)到分布層交換機(jī) DistributeSwitch2 的GigabitEther 1/2。 4． 配置分布層交換機(jī) DistributeSwitch1 的端口基本參數(shù) 分布層交換機(jī) DistributeSwitch1的 端口 FastEther 0/1～ FastEther 13 0/5 連到接入層交換機(jī) AccessSwitch15 的端口 FastEther 0/23，端口FastEther 0/10～ FastEther 0/12 為服務(wù)器群提供接入服務(wù) 。 由于使用了 VTP 技術(shù)，所以所有 VLAN 的定義只需要在 VTP 服務(wù)器，即分布層交換機(jī) DistributeSwitch1 上進(jìn)行。同一 VTP 域下的所有其 他交換機(jī)也將自動(dòng)激活 VTP 剪裁功能。當(dāng)激活了 VTP 剪裁功能以后，交換機(jī)將自動(dòng)剪裁本交換機(jī)沒(méi)有定義的 VLAN 數(shù)據(jù)。有時(shí)，交換網(wǎng)絡(luò)中某臺(tái)交換機(jī)的所有端口都屬于同一 VLAN 的成員，沒(méi)有必要接收其他 VLAN 的用戶數(shù)據(jù)。同時(shí)，還有責(zé)任發(fā)送和轉(zhuǎn)發(fā) VLAN 更新消息。將 VTP 管理域的域名定義為 “ cisco” 。每一個(gè) VTP 管理域都有一個(gè)共同的 VTP 管理域域名。同時(shí)，將分布層 交換機(jī)DistributeSwitch1 設(shè)置成為 VTP 服務(wù)器，其他交換機(jī)設(shè)置成為 VTP 客戶機(jī)。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機(jī)負(fù)擔(dān)。然后，利用交換機(jī)之間的互相學(xué)習(xí)功能，將創(chuàng)建好的 VLAN 定義傳播到整個(gè)網(wǎng)絡(luò)中需要此 VLAN 定義的所有交換機(jī)上。我們常采用 VLAN 中繼協(xié)議（ Vlan Trunking Protocol， VTP）來(lái)解決這個(gè)問(wèn)題。 2． 配置分布層交換機(jī) DistributeSwitch1 的 VTP 當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí)，需要分別在每臺(tái)交換機(jī)上創(chuàng)建很多重復(fù)的VLAN。同時(shí)，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。這里，只給出實(shí)際的配置 。 分布層交換服務(wù)的 實(shí)現(xiàn)－配置分布層交換機(jī) 分布層除了負(fù)責(zé)將接入層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供 VLAN間的路由選擇功能。同時(shí)，分別通過(guò)自己的 FastEther 0/23 、FastEther 0/24 上連到分布層交換機(jī) DistributeSwitch1 、DistributeSwitch2 的端口 FastEther 0/2。 設(shè)置接入層交換機(jī) AccessSwitch1的端口 FastEther 0/2 FastEther 0/24 為主干道端口 ，即為配置這兩個(gè)端口的中繼。同時(shí)，接入層交換機(jī)AccessSwitch1 還通過(guò)端口 FastEther 0/24 上 連 到 分 布 層 交 換 機(jī)DistributeSwitch2 的端口 FastEther 0/1。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動(dòng)或端口有工作站接入時(shí)，將會(huì)直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會(huì)經(jīng)歷阻塞、偵聽(tīng)、學(xué)習(xí)狀態(tài)（假設(shè)橋接表已經(jīng)建立） 。 對(duì)于直接接入終端工作站的端口來(lái)說(shuō)，用于阻塞和偵聽(tīng)的時(shí)間是不必要的。 （ 2） 設(shè)置快速端口 默認(rèn)情況下，交換機(jī)在剛加電啟動(dòng)時(shí)，每個(gè)端口都要經(jīng)歷生成樹(shù)的四個(gè)階段：阻塞、偵聽(tīng)、學(xué)習(xí)、轉(zhuǎn)發(fā)。 （ 1）設(shè)置接入層交換機(jī) AccessSwitch1 的端口 1～ 22 如圖所示，設(shè)置接入層交換機(jī) AccessSwitch1 的端口 1～端口 24 工作在接入模式。 9 Swi 為 switchport 的縮寫(xiě)， mo 為 mode 的縮寫(xiě)， acc 為 access 的縮寫(xiě)。 5. 配置接入層交換機(jī) AccessSwitch1 的接入端口 接入層交換機(jī) AccessSwitch1 為終端用戶提供接入服務(wù)。 設(shè)置接入層交換機(jī) AccessSwitch1 的所有端口 （ 124） 的速度均為 100Mbps。 4. 配置接入層交換機(jī) AccessSwitch1 端口基本參數(shù) ： 端口速度 可以設(shè)定某端口根據(jù)對(duì)端設(shè)備速度自動(dòng)調(diào)整本端口速度，也可以強(qiáng)制將端口速度設(shè)為 10Mpbs 或 100Mbps。以后都將使用這些縮寫(xiě)。 設(shè)置接入層交換機(jī) AccessSwitch1 成為 VTP 客戶機(jī)。同時(shí)，將分布層交換機(jī) DistributeSwitch1 設(shè)置成為 VTP 服務(wù)器，其他交換機(jī)設(shè)置成為VTP 客戶機(jī)。 給交換機(jī) 設(shè)置管理用 IP 地址只能在 VLAN1，即本征 VLAN 中進(jìn)行。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到接入層交換機(jī)上進(jìn)行管理，必要給接入層交換機(jī)設(shè)置一個(gè)管理用 IP 地址。 2. 配置接入層交換機(jī) AccessSwitch1 的管理 IP、默認(rèn) 網(wǎng)關(guān) 接入層交換機(jī)是 OSI 參考模型的第 2 層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備?？梢越眠@個(gè)特性 （ 6）設(shè)置啟用消息同 步特性 有時(shí)，用戶輸入的交換機(jī)配置命令會(huì)被交換機(jī)產(chǎn)生的消息打亂。 （ 5）設(shè)置禁用 IP 地址解析特性 在交換機(jī)默認(rèn)配置的情況下，當(dāng)我們輸入一條錯(cuò)誤的交換機(jī)命令時(shí)，交換機(jī)會(huì)嘗試將其廣播給網(wǎng)絡(luò)上的 DNS 服務(wù)器并將其解析成對(duì)應(yīng)的 IP 地址。在設(shè)置的時(shí)間內(nèi)，如果沒(méi)有檢測(cè)到鍵盤(pán)輸入， IOS 將斷開(kāi)用戶和交換機(jī)之間的連接。但是，處于安全考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。 （ 3）設(shè)置登錄虛擬終端線時(shí)的口令 Line vty 0 15 Password cisco Login Login 對(duì)這個(gè)配置很重要，沒(méi)有他你就算配了密碼也無(wú)法登陸。 當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí)，需要提供此口令。 其中 h 是 hostname 的簡(jiǎn)寫(xiě)，（在真實(shí)環(huán)境中也 支持簡(jiǎn)寫(xiě)）可以用該命令實(shí)現(xiàn)設(shè)備的重命名。一般我們會(huì)以地理位置或行政劃分來(lái)為交換機(jī)命名。交換機(jī)擁有 24 個(gè) 10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是 Cisco 的 IOS 操作系統(tǒng)。 交換模塊設(shè)計(jì) 接入層交換服務(wù)的實(shí)現(xiàn)－配置 接入 層交換機(jī) 接入層為所有的終端用戶提供一個(gè)接入點(diǎn)。 網(wǎng)絡(luò)拓?fù)淙缦聢D所示： 6 3 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)及配置 這里我將使用思科的一款虛擬軟件（ cisco packet tracer）完成配置，該軟件功能有限，一些配置并不能在該軟件上實(shí)現(xiàn)。全網(wǎng)使用同一廠商設(shè)備的好處 是可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。該層設(shè)備有時(shí)被稱(chēng)為大樓介入