【正文】 因此 ，需要啟用核心層交換機(jī)的路由功能 。這里使用了一條缺省路由命令 ，如 圖 239 所示。 圖 239 定義到 Internet 的缺省路由如圖所示。 圖 240 定義對(duì)無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持 核 心 層 交 換 機(jī) CoreSwitch2 的 配 置對(duì)于圖 21中的核心層交換機(jī) CoreSwitch2 的配置步驟 、命令和對(duì)核心層交 換機(jī) CoreSwitch1 的配置類似。同時(shí)，對(duì)于配置核心層 交換機(jī) CoreSwitch2 下連的一系列交換機(jī)，其連接 方法以及配置步驟和命令同 圖 21中核心層交換機(jī) CoreSwitch1 下連的一系列交換機(jī)的連接方法以及配置 步驟和命令類似。 3 廣域網(wǎng)接入模塊設(shè)計(jì)在 本 實(shí) 例 設(shè) 計(jì) 中 ， 廣 域 網(wǎng) 接 入 模 塊 的 功 能 是 由 廣 域 網(wǎng) 接 入 路 由 器 InternetRouter 來完成的。它通過自己的串行 接口 serial 0/0 使用 DDN（ 128K）技術(shù)接入 Internet。除了完成 主要的路由任務(wù)外，利 用訪問控制列表 （ Access Control List，ACL），廣域網(wǎng)接入路由器 InternetRouter 還可以用來完 成以自身為中心的流量控制和 過濾功能并實(shí)現(xiàn)一定的安全功能 ，如圖 31 所示。這里 ，只 給出實(shí)際的配置步驟 ，不再給 出具體的解釋，如圖 32 所示。 如圖 33 所示，顯示了為接入路由器 InternetRouter 的各接口設(shè)置 IP 地址、子 網(wǎng)掩碼。 到 Internet 上的路由需要定義一條缺省路由，如圖 34 所示。 圖 34 定義到 Internet 的缺省路由到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由 匯總后形成兩條路由條目 。 圖 35 定義到校園網(wǎng)內(nèi)部的路由 配置接入路由器 InternetRouter 上的 NAT由于目前 IP 地址資源非常稀缺，不可能給校園網(wǎng) 內(nèi)部的所有工作站都分配 一個(gè)公有 IP（ Internet 可路由的 ）地址 。 為了接入 Internet，本校園網(wǎng)向當(dāng)?shù)?ISP 申請(qǐng)了 9 個(gè) IP 地址。NAT 的配置可以分為以下幾個(gè)步驟： 定義 NAT 內(nèi)部、外部接口 圖 36 顯示了如何定義 NAT 內(nèi)部、外部接口。 圖 37 定義工作站的內(nèi)部局部 IP 地址范圍為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換 圖 38 顯示了如何為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換。 圖 39 為工作站定義復(fù)用地址轉(zhuǎn)換 配置接入路由器 InternetRouter 上的 ACL路由器是外網(wǎng)進(jìn)入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅 可以起到控制網(wǎng)絡(luò)流量、流向的作用 ， 還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資 的情況下完成一般軟、硬件防火墻產(chǎn)品 的功能。 在本實(shí)例設(shè)計(jì)中，將針對(duì)服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路 由器 InternetRouter 上 ACL 的配置方案。在 絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對(duì)外加 以屏蔽的。利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。如圖 310 所示，顯示了如何設(shè)置對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議 SNMP。其次，telnet 是一種不安全的協(xié)議類型。這是極其危險(xiǎn)的 ，因此必須加以屏蔽。圖 311 對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議 telnet對(duì)外屏蔽其它不安全的協(xié)議或服務(wù) 這樣的協(xié)議主要有 SUN OS 的文件共享協(xié)議端口 2049，遠(yuǎn)程執(zhí)行（ rsh）、 遠(yuǎn)程登錄（ rlogin）和遠(yuǎn)程命令（ rcmd ）端口 51 51 514，遠(yuǎn)程過程調(diào)用 （ SUNRPC）端口 111。 圖 312 對(duì)外屏蔽其它不安全的協(xié)議或服務(wù)針對(duì) DoS 攻擊的設(shè)計(jì) DoS 攻擊（ Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見而且 極具破壞力的攻擊手段，它可以導(dǎo)致服 務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止 ， 嚴(yán)重時(shí)會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。圖 313 針對(duì) DoS 攻擊的設(shè)計(jì)保護(hù)路由器自身安全 作為內(nèi)網(wǎng) 、外網(wǎng)間屏障的路由器 ，保護(hù) 自身安全的重要性也是不言而喻的 。 應(yīng)只允許來自服務(wù)器群的 IP 地址訪問并配置路由器。如圖 314 所示。 圖 315 定義對(duì)無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持4 遠(yuǎn)程訪問模塊設(shè)計(jì)遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。如圖 41 所示。不同的 廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同， 花 費(fèi)也不相同。 異步撥號(hào)連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換電話 網(wǎng)（ Public Switched Telephone Network，PSTN）上 提供服務(wù)的。 因?yàn)槟壳按嬖谥罅堪惭b好的電話線 ，所 以這樣的環(huán)境是最容易滿足的 。 廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如 HDLC、PPP 等。本設(shè)計(jì)所采用的異步連接封裝協(xié)議是 PPP。它可以同時(shí)對(duì)最多 16 路撥號(hào)用戶提供遠(yuǎn)程接入服務(wù)。 配置物理線路的基本參數(shù)對(duì)物理線路的配置包括配置線路速度（ DTE、 DCE 之間的速率）、停止位 位數(shù)、流控方式、允許呼入連接的協(xié)議 類型、允許流量的方向等。 圖 42 配置物理線路的基本參數(shù) 配置接口基本參數(shù)對(duì)接口基本參數(shù)的配置包括 ：接 口封裝協(xié)議類型 、接口異步模式 、IP 地址、 為遠(yuǎn)程客戶分配 IP 地址的方式等，如圖 43 所示。 圖 43 配置接口基本參數(shù)接下來，需要建立一個(gè)本地的 IP 地址池。其 IP 地址范圍是： ～ 。 PAP 是一個(gè)簡(jiǎn)單的、實(shí)用的身份驗(yàn)證協(xié)議。 如果認(rèn)證成功， 在 通信過程中不再進(jìn)行認(rèn)證。 CHAP 認(rèn)證比 PAP 認(rèn)證更安全，因?yàn)?CHAP 不在線路上發(fā)送明文密碼，而 是發(fā)送經(jīng)過摘要算法加工過的隨機(jī)序列， 也 被稱 為 “ 挑戰(zhàn)字符串” 。 因此，非法用戶就算截獲 并成功破解了一次密碼，此密 碼也將在一段時(shí)間內(nèi)失效。這需要耗 費(fèi)較多的 CPU 資源，因此只用在對(duì)安全要求很高的場(chǎng)合。 本設(shè)計(jì)中將采用 PAP 身份認(rèn)證方法。 圖 45 建立本地口令數(shù)據(jù)庫設(shè)置進(jìn)行 PAP 認(rèn)證 如圖 46 所示設(shè)置進(jìn)行 PAP 認(rèn)證。在本設(shè)計(jì)實(shí)例中，所 有的服務(wù)器被集中到 VLAN 100 ，構(gòu)成服務(wù)器群并通過分布層交換機(jī) DistributeSwitch1 的端口 fastethernet 1～ 20 接入校園網(wǎng)。 圖 51 服務(wù)器群校園網(wǎng)網(wǎng)絡(luò)提供的常用服務(wù)（服務(wù)器）包括： z WEB 服務(wù)器：提供 WEB 網(wǎng)站服務(wù)。 z FTP、文件服務(wù)器：提供文件傳輸、共享服務(wù)。 z 數(shù)據(jù)庫服務(wù)器：提供各種數(shù)據(jù)庫服務(wù)。 z 實(shí)時(shí)通信服務(wù)器：提供實(shí)時(shí)通信服務(wù)。 z 網(wǎng)管服務(wù)器：對(duì)校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。顯示了各服務(wù)器 IP 地址配置情況。 表 2 服務(wù)器硬件平臺(tái)、操作系統(tǒng)以及服務(wù)軟件的選型表限于篇幅，對(duì)于各種服務(wù)器的安裝、配置步驟以及運(yùn)行維護(hù)方法，這里不 再贅述。 6 系統(tǒng)測(cè)試 系統(tǒng)測(cè)試前面幾節(jié)對(duì)如何設(shè)計(jì)一個(gè)較為完整的校園網(wǎng)網(wǎng)絡(luò)進(jìn)行了詳細(xì)的介紹。 主要的測(cè)試內(nèi)容應(yīng)該包括： z 對(duì)管理 IP 地址的測(cè)試。 z 對(duì)不同 VLAN 內(nèi)的通信進(jìn)行測(cè)試。 z 對(duì)廣域網(wǎng)接入路由器上的 NAT 進(jìn)行測(cè)試。 z 對(duì)遠(yuǎn)程訪問服務(wù)進(jìn)行測(cè)試。 至于具體的測(cè)試步驟，限于篇幅，不再贅述。 相關(guān)測(cè)試、診斷命令本文的最后，按不同的功能按每種技術(shù)分類，給出路由器或交換機(jī)上常用 的相關(guān)測(cè)試、診斷命令。 通 用 測(cè) 試 、 診 斷 命 令 ping 標(biāo)準(zhǔn) ping 命令。 ping擴(kuò)展 ping 命令 。擴(kuò)展 ping 命令還支持靈 活定義 ping 參數(shù)，如 ping 數(shù)據(jù)包的大小，發(fā)送包的個(gè)數(shù)， 等待響應(yīng)數(shù)據(jù)包的 超時(shí)時(shí)間等。 show runningconfig命令 show runningconfig 用于顯示路由器、交換機(jī)運(yùn)行配置文件的內(nèi)容。 show sessions命令 show sessions 用于顯示從當(dāng)前設(shè)備發(fā)出的所有呼出 Telnet 會(huì)話。 show users命令 show users 用于查看呼入 Telnet 會(huì)話情況。 shutdown命令 shutdown 用于臨時(shí)將某個(gè)接口關(guān)閉。 1 show arp命令 show arp 用于顯示 ARP 緩存（ ARP 表）的內(nèi)容。 1 show interfaces命令 show interface 用于顯示各接口的狀態(tài)及參數(shù)信息。 命令 show version 用于顯示路由器硬件配置、軟件版本等信息。 1 dir flash:命令 dir flash:用于顯示閃存中的文件清單。 show debugging命令 show debugging 用于顯示正在進(jìn)行的診斷過程清單。 CDP 測(cè) 試 、 診 斷 命 令 show cdp命令 show cdp 用于顯示 CDP 全局參數(shù)信息。 show cdp neighbors detail命令 show cdp neighbors detail 用于顯示 CDP 鄰居設(shè)備的詳細(xì)信息，包括： 鄰居設(shè)備名稱 、鄰居設(shè)備接口 IP 地址 、鄰居設(shè)備軟件版本信息 、設(shè) 備性能 、設(shè) 備平臺(tái) 、本地設(shè)備接口 、鄰居設(shè)備接口 、CDP 緩存條目保持時(shí)間 、CDP 廣播版 本、接口雙工方式等。 show cdp interface命令 show cdp interface 用于顯示本地設(shè)備各個(gè)接口 的狀態(tài) 、接 口封裝格式、 CDP 包的周期發(fā)送時(shí)間以及 CDP 保持時(shí)間等。 show ip route命令 show ip route 用于顯示當(dāng)前路由表內(nèi)容。 VLAN、 VTP 測(cè) 試 、 診 斷命令 show interface vlan vlannum命令 show interface vlan vlannum 用于顯示 VLAN 是否已激活 、交換機(jī) MAC基地址、接口參數(shù)等。該命令可列 出學(xué)習(xí)到的主機(jī) MAC 地址及其所屬 VLAN、所處端口 、條目類 型（靜態(tài) STATIC、 動(dòng)態(tài) DYNAMIC 等）以及滿足列表?xiàng)l件的 MAC 地址數(shù)目。該命令可以顯示系統(tǒng)所有的 VLAN 信息 ，包括 VLAN 編號(hào) 、VLAN 名稱 、VLAN 狀態(tài) 、VLAN 成員等信息。 生 成 樹 測(cè) 試 、 診 斷 命 令 show spanningtree命令 show spanningtree 用于顯示生成樹協(xié)議中交換 機(jī)及其端口的情況。 show spanningtree detail命令 show spanningtree detail 用于顯示生成樹詳細(xì)信息。 show spanningtree vlan當(dāng)有多個(gè) VLAN 時(shí) ，Catalyst 交換機(jī)會(huì)為每個(gè) VLAN 運(yùn)行一個(gè)生成樹實(shí)例。 show spanningtree summary命令 show spanningtree summary 用于顯示生成樹總結(jié)，包括本交換機(jī)是哪 些 VLAN 的根網(wǎng)橋 、端口快速特性是否啟用 、處于生成樹各個(gè)端口狀態(tài)的端 口數(shù)量等信息。 show ip nat translation verbose命令 show ip nat translation verbose 用于顯示當(dāng)前正在進(jìn)行的 NAT 更為詳細(xì) 的情況。 debug ip nat命令 debug ip nat 用于打開對(duì) NAT 的診斷。 show ip accesslists命令 show ip accesslists 用于顯示所有已定義的 IP 訪問控制列表內(nèi)容及命 中情況。 show modemcap命令 show modemcap 用于顯示了當(dāng)前路由器可以自動(dòng)配置的 Modem 列表。 debug ppp authentication命令 debug ppp authentication 用于打開對(duì) PPP 身份認(rèn)證過程的診斷。 限于篇幅， 在 此不做介紹，感興趣的讀者可 以參看有關(guān)的