校園網(wǎng)畢業(yè)設(shè)計(jì)6

1、<p><b>　　第一章 需求分析</b></p><p>　　在校園網(wǎng)絡(luò)中，視頻、音頻、數(shù)據(jù)集于一身，如果保證不了高帶寬、又多種視頻、音頻、數(shù)據(jù)流混雜在一起進(jìn)行傳輸，就沒(méi)法對(duì)流做出最高優(yōu)先級(jí)和次高優(yōu)先級(jí)及底優(yōu)先級(jí)的分類(lèi)，這樣就不能保證重要業(yè)務(wù)的暢通，造成網(wǎng)絡(luò)延遲、服務(wù)不可用。所以要想真正改變網(wǎng)絡(luò)的效率，更有效的保證應(yīng)用服務(wù)的運(yùn)營(yíng)，需要通過(guò)端到端的QOS，智能到邊緣的方式來(lái)保證。

2、通過(guò)智能到邊緣，端到端的應(yīng)用方式，可以減少對(duì)網(wǎng)絡(luò)核心設(shè)備的消耗，這樣保證了網(wǎng)絡(luò)的有效暢通。可以對(duì)園區(qū)網(wǎng)應(yīng)用中的，多媒體視頻點(diǎn)播服務(wù)、數(shù)據(jù)備份服務(wù)、文獻(xiàn)傳遞服務(wù)、E-mail服務(wù)、數(shù)據(jù)庫(kù)服務(wù)器等服務(wù)。對(duì)不同服務(wù)流進(jìn)行詳細(xì)的分類(lèi)，劃分優(yōu)先級(jí)，以及盡可能地避免發(fā)生擁塞。同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行，充分利用現(xiàn)有的帶寬。</p><p>　　在園區(qū)網(wǎng)絡(luò)中，存在多樣的網(wǎng)絡(luò)設(shè)備及系統(tǒng)應(yīng)用環(huán)境，并且要考慮在用戶(hù)迅速增長(zhǎng)的今天，考慮到

3、網(wǎng)絡(luò)設(shè)備的可擴(kuò)展性。保證在多樣網(wǎng)絡(luò)設(shè)備，用戶(hù)不斷增加的環(huán)境中，仍能保證網(wǎng)絡(luò)暢通。所以萬(wàn)兆骨干網(wǎng)絡(luò)平臺(tái)就應(yīng)具有良好的兼容性和可擴(kuò)展性，能與當(dāng)前校園網(wǎng)絡(luò)無(wú)縫銜接，同時(shí)預(yù)留空間符合當(dāng)前和以后的信息建設(shè)需要和足夠的升級(jí)空間。</p><p>　　在校園網(wǎng)絡(luò)建設(shè)中存在多用戶(hù),多服務(wù)的現(xiàn)狀。帶來(lái)了對(duì)網(wǎng)絡(luò)系統(tǒng)要求具有高效率等，以保證大數(shù)據(jù)量訪問(wèn)下有效的處理能力。針對(duì)需求設(shè)備要能對(duì)數(shù)據(jù)做到分布式處理，這樣的分布式處理可以節(jié)省主交

4、換引擎的消耗。使數(shù)據(jù)在獨(dú)立的板卡上就能做出對(duì)數(shù)據(jù)的識(shí)別，這樣比在中央處理器識(shí)別要快的多。并在大量的數(shù)據(jù)應(yīng)用，數(shù)據(jù)傳輸?shù)倪^(guò)程中，要保證所有硬件設(shè)備都可以進(jìn)行快速的轉(zhuǎn)發(fā)，要具備高背板帶寬（交換容量），所有端口都能保證線速轉(zhuǎn)發(fā)。這種分布式處理可以極大地提高整體處理能力，保證了網(wǎng)絡(luò)暢通。</p><p>　　現(xiàn)在的網(wǎng)絡(luò)環(huán)境中穩(wěn)定可靠是爭(zhēng)相談?wù)摰脑掝}，因現(xiàn)在在網(wǎng)絡(luò)中運(yùn)行了眾多重要應(yīng)用及服務(wù)，是要保證7*24小時(shí)不間斷的服務(wù)

5、。就要完全能保證網(wǎng)絡(luò)設(shè)備全天后的可用性。即使在設(shè)備出現(xiàn)問(wèn)題時(shí)切換到備用設(shè)備的過(guò)程中，也要保證較小的延遲，以滿(mǎn)足網(wǎng)絡(luò)應(yīng)用中的有效暢通的需要。在這樣的需求中利用，冗余的管理交換引擎、冗余的電源等關(guān)鍵部件的冗余，支持（802.1D、802.1W）802.1S多Vlan生成樹(shù)協(xié)議保證鏈路級(jí)的冗余和負(fù)載均衡，支持VRRP、OSPF等三層路由協(xié)議保證路由級(jí)的冗余，支持load balancing技術(shù)實(shí)現(xiàn)了應(yīng)用級(jí)的冗余備份和負(fù)載均衡。全方位的完全保證

6、了設(shè)備、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)的可靠性。</p><p>　　在校園網(wǎng)絡(luò)中，對(duì)于校園網(wǎng)的安全保障十分重要：校園網(wǎng)的信息點(diǎn)分布很廣，與一般企業(yè)網(wǎng)比較，校園網(wǎng)用戶(hù)的流動(dòng)性大，信息點(diǎn)存在隨意接入使用的問(wèn)題。學(xué)生及外來(lái)不明身份的用戶(hù)，在校園網(wǎng)中找到任何一個(gè)信息點(diǎn)，就可以進(jìn)入到校園網(wǎng)，可以肆意干擾和破壞校園網(wǎng)網(wǎng)絡(luò)平臺(tái)及應(yīng)用系統(tǒng)的正常運(yùn)行。另外校園網(wǎng)的網(wǎng)絡(luò)安全，還需要考慮與外網(wǎng)及內(nèi)網(wǎng)不同應(yīng)用系統(tǒng)之間的安全訪問(wèn)控制。為了發(fā)生安全事件后

7、，能夠有效、快捷地處理事故，采用上網(wǎng)審計(jì)手段是十分有必要的。由于當(dāng)前類(lèi)似“沖擊波、震蕩波病毒”的肆虐，一個(gè)健壯的網(wǎng)絡(luò)應(yīng)該提供必要的手段，禁止特定病毒的傳播以及由于病毒造成的流量擁塞。</p><p>　　我們采用自頂向下、模塊化的方法、參考3層模型來(lái)進(jìn)行工程的設(shè)計(jì)和實(shí)施。　 路由技術(shù)：路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能

8、力。除了可以完成主要的路由任務(wù)，利用訪問(wèn)控制列表（Access Control List，ACL），路由器還可以用來(lái)完成以路由器為中心的流量控制和過(guò)濾功能。在本設(shè)計(jì)中，內(nèi)網(wǎng)用戶(hù)不僅通過(guò)路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶(hù)之間也通過(guò)3層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換?！　　〗粨Q技術(shù)：傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層。現(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換

9、服務(wù)質(zhì)量，滿(mǎn)足了不同類(lèi)型網(wǎng)絡(luò)應(yīng)用程序的需要。現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個(gè)VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對(duì)其他VLAN的影響。在VLAN間需要通信的時(shí)候，可以利用VLAN間路由技術(shù)來(lái)實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用VLAN中繼協(xié)議（Vla</p><p><b>　　第二章 網(wǎng)絡(luò)規(guī)劃</b

10、></p><p>　　一 拓?fù)湓O(shè)計(jì)與設(shè)計(jì)原則</p><p>　　局域網(wǎng)采用星型網(wǎng)絡(luò)拓樸結(jié)構(gòu)，星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行的一種網(wǎng)絡(luò)結(jié)構(gòu)，它是以一臺(tái)中心處理機(jī)（通信設(shè)備）為主而構(gòu)成的網(wǎng)絡(luò)，其它入網(wǎng)機(jī)器僅與該中心處理機(jī)之間有直接的物理鏈路，中心處理機(jī)采用分時(shí)或輪詢(xún)的方法為入網(wǎng)機(jī)器服務(wù)，所有的數(shù)據(jù)必須經(jīng)過(guò)中心處理機(jī)。由于所有節(jié)點(diǎn)的往外傳輸都必須經(jīng)過(guò)中央節(jié)點(diǎn)來(lái)處理，因此，對(duì)中央節(jié)點(diǎn)的要求

11、比較高。 優(yōu)點(diǎn)是網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，易于維護(hù)，便于管理（集中式）；每臺(tái)入網(wǎng)機(jī)均需物理線路與處理機(jī)互連，線路利用率低；處理機(jī)負(fù)載重（需處理所有的服務(wù)），因?yàn)槿魏蝺膳_(tái)入網(wǎng)機(jī)之間交換信息，都必須通過(guò)中心處理機(jī)；入網(wǎng)主機(jī)故障不影響整個(gè)網(wǎng)絡(luò)的正常工作。對(duì)該網(wǎng)絡(luò)支持的設(shè)備生產(chǎn)廠商有較好的技術(shù)支持。</p><p>　　局域網(wǎng)內(nèi)的所有工作節(jié)點(diǎn)通過(guò)雙絞線與交換機(jī)相連形成一個(gè)星型網(wǎng)絡(luò)。辦公電腦建議采用品牌的商用機(jī)，商用機(jī)運(yùn)行比較穩(wěn)

12、定，而且比較耐用，運(yùn)算速度較快，較適于開(kāi)發(fā)使用。</p><p>　　校園網(wǎng)絡(luò)系統(tǒng)的建設(shè)在實(shí)用的前提下，應(yīng)當(dāng)在投資保護(hù)及長(zhǎng)遠(yuǎn)性方面做適當(dāng)考慮，在技術(shù)上、系統(tǒng)能力上要保持五年左右的先進(jìn)性。并且從學(xué)校的利益出發(fā)，從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開(kāi)放、可擴(kuò)充的、能與其它廠商產(chǎn)品配套使用的設(shè)計(jì)。</p><p>　　根據(jù)校園網(wǎng)的總體需求，結(jié)合對(duì)應(yīng)用系統(tǒng)的考慮，本次網(wǎng)絡(luò)建設(shè)的設(shè)計(jì)目標(biāo)是：高性能、高可靠性、高

13、穩(wěn)定性、高安全性、易管理的萬(wàn)兆骨干網(wǎng)絡(luò)平臺(tái)。</p><p>　　我們遵循以下的原則進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)：</p><p><b>　　1.實(shí)用性和經(jīng)濟(jì)性</b></p><p>　　網(wǎng)絡(luò)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)的萬(wàn)兆骨干網(wǎng)絡(luò)平臺(tái)，保護(hù)用戶(hù)的投資。</p><p><b>　　

14、2.先進(jìn)性和成熟性</b></p><p>　　網(wǎng)絡(luò)建設(shè)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來(lái)若干年內(nèi)占主導(dǎo)地位，保證貴校網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，采用萬(wàn)兆以太網(wǎng)技術(shù)來(lái)構(gòu)建網(wǎng)絡(luò)主干線路。</p><p><b>　　3.可靠性和穩(wěn)定性</b></p><

15、p>　　在考慮技術(shù)先進(jìn)性和開(kāi)放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及保修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無(wú)故障時(shí)間，Cisco公司作為知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。</p><p>　　為了保證骨干網(wǎng)絡(luò)平臺(tái)的健壯性和鏈路冗余性，網(wǎng)絡(luò)實(shí)施時(shí)在學(xué)校啟用千兆備份線路。在學(xué)校啟用物理鏈路冗余機(jī)制，保證任何一條線路出現(xiàn)故障后骨干網(wǎng)絡(luò)

16、平臺(tái)的可用性。</p><p><b>　　4.安全性和保密性</b></p><p>　　在網(wǎng)絡(luò)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括端口隔離、路由過(guò)濾、防DDoS拒絕服務(wù)攻擊、防IP掃描、系統(tǒng)安全機(jī)制、多種數(shù)據(jù)訪問(wèn)權(quán)限控制等，充分考慮Cisco公司安全性，針對(duì)的各種應(yīng)用，有

17、多種的保護(hù)機(jī)制，如劃分VLAN、IP/MAC地址綁定（過(guò)濾）、ACL、路由過(guò)濾、防DDoS拒絕服務(wù)攻擊、防IP掃描、802.1x認(rèn)證機(jī)制、SSH加密連接等具體技術(shù)提升整個(gè)網(wǎng)絡(luò)的安全性。</p><p>　　5.可擴(kuò)展性和可管理性</p><p>　　由于信息技術(shù)和人們對(duì)于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復(fù)投資，我們必須選擇具有一定擴(kuò)展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大的時(shí)

18、候，不需要增加新的設(shè)備，而只需要增加一定數(shù)量的模塊就行。最好能夠做到在網(wǎng)絡(luò)技術(shù)進(jìn)一步發(fā)展，現(xiàn)有模塊不支持新技術(shù)的情況下，只需要更換相應(yīng)模塊，而不需要更換整個(gè)設(shè)備。</p><p>　　為了適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化的要求，必須充分考慮以最簡(jiǎn)便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)。為了便于擴(kuò)展，對(duì)于核心設(shè)備必須采用模塊化高密度端口的設(shè)備，便于將來(lái)升級(jí)和擴(kuò)展。</p><p>　　先進(jìn)的設(shè)備必須配合

19、先進(jìn)的管理和維護(hù)方法，才能夠發(fā)揮最大的作用。全線采用基于SNMP標(biāo)準(zhǔn)的可網(wǎng)管產(chǎn)品，達(dá)到全程網(wǎng)管，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性、可管理性，同時(shí)又具有很好的可擴(kuò)充性。</p><p><b>　　二 網(wǎng)絡(luò)結(jié)構(gòu)分析</b></p><p><b>　　1．骨干層</b></p><p>　　網(wǎng)絡(luò)中心節(jié)點(diǎn)及其它核心節(jié)點(diǎn)作

20、為校園網(wǎng)絡(luò)系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時(shí)，對(duì)關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。另外作為整個(gè)網(wǎng)絡(luò)的交換中心，在保證高性能、無(wú)阻塞交換的同時(shí)，還必須保證穩(wěn)定可靠的運(yùn)行。</p><p>　　因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計(jì)上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。具體來(lái)說(shuō)核心節(jié)點(diǎn)的交換機(jī)有兩個(gè)基本要求：1）高密度端口情況下，還能保持各端口的線速轉(zhuǎn)發(fā)；2）關(guān)鍵模塊必須冗余，如管理引擎、電源、風(fēng)扇?！　?/p>

21、由于校園網(wǎng)建設(shè)最終必將采用萬(wàn)兆技術(shù)，因此需要考慮到核心設(shè)備對(duì)萬(wàn)兆的支持能力。</p><p>　　綜上所述，主干核心交換機(jī)屬于高端系列的產(chǎn)品，所以在本方案中，核心交換機(jī)采用多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)?？梢愿鶕?jù)用戶(hù)的需求靈活配置，靈活構(gòu)建彈性可擴(kuò)展的網(wǎng)絡(luò)。多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)高背板帶寬和二/三層包轉(zhuǎn)發(fā)速率可為用戶(hù)提供高速無(wú)阻塞的交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可為用戶(hù)提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心

22、骨干交換機(jī)的理想選擇。</p><p>　　在此方案中，校區(qū)網(wǎng)絡(luò)中心采用Cisco公司路由交換機(jī)作為核心交換機(jī)。核心層交換機(jī)跟匯聚接入層交換機(jī)之間的千兆鏈路可以捆綁，從而實(shí)現(xiàn)帶寬的靈活擴(kuò)展。</p><p><b>　　2．接入層</b></p><p>　　接入層網(wǎng)絡(luò)由樓棟交換節(jié)點(diǎn)和樓層交換節(jié)點(diǎn)組成，接入層網(wǎng)絡(luò)應(yīng)該可以滿(mǎn)足各種客戶(hù)的接入需要，

23、而且能夠?qū)崿F(xiàn)客戶(hù)化的接入策略，業(yè)務(wù)QOS保證，用戶(hù)接入訪問(wèn)控制等等。</p><p>　　樓層交換節(jié)點(diǎn)采用千兆智能堆疊交換機(jī)，提供智能的流分類(lèi)和完善的QoS特征。為各類(lèi)型網(wǎng)絡(luò)提供完善的端到端的服務(wù)質(zhì)量、豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿(mǎn)足高速、融合、安全的園區(qū)網(wǎng)新需求；本方案中各接入層交換機(jī)通過(guò)千兆鏈路上聯(lián)到各匯聚層設(shè)備，對(duì)下聯(lián)的桌面設(shè)備提供全雙工的百兆連接，為各類(lèi)用戶(hù)提供無(wú)阻塞的交換性能?！?lt;/p&

24、gt;<p><b>　　3．出口</b></p><p>　　因?yàn)樾@網(wǎng)出口采用以太網(wǎng)，所以采用路由器 + 防火墻的方式，起到如下作用：</p><p>　　防火墻提供強(qiáng)有力的服務(wù)器、內(nèi)網(wǎng)安全保護(hù)、提供IDS等安全特性；路由器提供出口路由功能，數(shù)據(jù)處理能力強(qiáng)，具有強(qiáng)大的NAT功能。</p><p>　　三　網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)與拓?fù)浣Y(jié)構(gòu)

25、　　　為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。</p><p>　　本校園網(wǎng)設(shè)計(jì)方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問(wèn)模塊、服務(wù)器群。整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如下圖所示。在后面將根據(jù)此圖分塊進(jìn)行分析?！　?</p><p>　　校園網(wǎng)

26、整體拓?fù)浣Y(jié)構(gòu)圖</p><p>　　表　VLAN及IP編址方案</p><p>　　除了表中的內(nèi)容外，撥號(hào)用戶(hù)從192.168.200.0/27中動(dòng)態(tài)取得IP地址。在這里為每個(gè)VLAN定義了一個(gè)由拼音縮寫(xiě)組成的VLAN名稱(chēng)。</p><p>　　第三章 主要技術(shù)設(shè)計(jì)的具體配置過(guò)程</p><p>　　為了簡(jiǎn)化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展

27、性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的?！　@區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：訪問(wèn)層、分布層、核心層?！　鹘y(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿(mǎn)足了不同類(lèi)型網(wǎng)絡(luò)應(yīng)用程序的需要。　　　現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個(gè)VLA

28、N內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對(duì)其他VLAN的影響。在VLAN間需要通信的時(shí)候，可以利用VLAN間路由技術(shù)來(lái)實(shí)現(xiàn)?！　‘?dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡(jiǎn)化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義所有VLAN。然后通過(guò)VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。　　當(dāng)園區(qū)網(wǎng)絡(luò)的交換

29、機(jī)數(shù)量增多、交換機(jī)間鏈路增加時(shí)，交換網(wǎng)絡(luò)的復(fù)雜性可能會(huì)造成交換環(huán)路問(wèn)題，這需要</p><p>　　一 訪問(wèn)層交換服務(wù)的實(shí)現(xiàn)——配置訪問(wèn)層交換機(jī)</p><p>　　訪問(wèn)層為所有的終端用戶(hù)提供一個(gè)接入點(diǎn)。這里的訪問(wèn)層交換機(jī)采用的是Cisco Catalyst 2950 24口交換機(jī)（WS-C2950-24）。交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是Cisco的IO

30、S操作系統(tǒng)。我們以下圖的訪問(wèn)層交換機(jī)AccessSwitch1進(jìn)行設(shè)置。</p><p>　　1. 配置訪問(wèn)層交換機(jī)AccessSwitch1的基本參數(shù)</p><p>　　Switch(config)#hostname AccessSwitch1</p><p>　　AcccessSwitch1(config)# enable secret 123Switch

31、 /設(shè)置交換機(jī)口令</p><p>　　AcccessSwitch1(config)#line vty 0 15 /設(shè)置登錄虛擬終端線時(shí)的口令</p><p>　　AcccessSwitch1(config-line)#login</p><p>　　AcccessSwitch1(config-line)#password youguess</p

32、><p>　　2. 配置訪問(wèn)層交換機(jī)AccessSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)</p><p>　　AcccessSwitch1(config)#interface vlan 1</p><p>　　AcccessSwitch1(config-if)#ip address 192.168.0.5 255.255.255.0</p><p>　

33、　AcccessSwitch1(config-if)#no shutddown</p><p>　　AcccessSwitch1(config)#ip drfault-gateway 192.168.0.254</p><p>　　3．配置訪問(wèn)層交換機(jī)AccessSwitch1的VLAN及VTP</p><p>　　AcccessSwitch1(config)#vt

34、p mode client</p><p>　　AcccessSwitch1(config)#interface range fatchernet 0/1 – 24</p><p>　　AcccessSwitch1(config-if-range)#duplex full</p><p>　　AcccessSwitch1(config)#interface rang

35、e fatchernet 0/1 – 24</p><p>　　AcccessSwitch1(config-if-range)#specd 100</p><p>　　4. 配置訪問(wèn)層交換機(jī)AccessSwitch1的訪問(wèn)端口</p><p>　　AcccessSwitch1(config)#Interface range fastchernet 0/1 -10&l

36、t;/p><p>　　AcccessSwitch1(config-if-range)#switchport mode access</p><p>　　AcccessSwitch1(config-if-range)#switchport access vlan 10</p><p>　　AcccessSwitch1(config)#Interface range fas

37、tchernet 0/11 -20</p><p>　　AcccessSwitch1(config-if-range)#switchport mode access</p><p>　　AcccessSwitch1(config-if-range)#switchport access vlan 20</p><p>　　AcccessSwitch1(config)#

38、Interface range fastchernet 0/11 -20</p><p>　　AcccessSwitch1(config-if-range)#spanning-tree portfast</p><p>　　5. 配置訪問(wèn)層交換機(jī)AccessSwitch1的主干道端口</p><p>　　AcccessSwitch1(config)#Interfac

39、e range fastchernet 0/23 -24</p><p>　　AcccessSwitch1(config-if-range)#switchport mode trunk</p><p>　　AcccessSwitch1(config)#spanning-tree uplinkfast / 冗余設(shè)計(jì)</p><p>　　Accce

40、ssSwitch1(config)#spanning-tree Backbonefast / 加快生成樹(shù)的收斂</p><p>　　7．配置訪問(wèn)層交換機(jī)AccessSwitch2與AccessSwitch1類(lèi)似</p><p>　　二 分布層交換服務(wù)的實(shí)現(xiàn)－配置分布層交換機(jī)</p><p>　　分布層除了負(fù)責(zé)將訪問(wèn)層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提

41、供VLAN間的路由選擇功能?！?這里的分布層交換機(jī)采用的是Cisco Catalyst 3550交換機(jī)。作為3層交換機(jī)，Cisco Catalyst 3550交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口，同時(shí)還有2個(gè)1000Mbps的GBIC端口供上連使用，運(yùn)行的是Cisco的Integrated IOS操作系統(tǒng)。我們以下圖中的分布層交換機(jī)DistributeSwitch1為例進(jìn)行設(shè)置。</p><p

42、>　　配置分布層交換機(jī)DistributeSwitch1的基本參數(shù)</p><p>　　Switch#configure terminal</p><p>　　Enter congifguration commands,one per line End with CNTL/Z</p><p>　　Switch(config)#hostname Distribu

43、teSwitch1</p><p>　　DistributeSwitch1(config)#enable secret youguess</p><p>　　DistributeSwitch1(config)#line con 0</p><p>　　DistributeSwitch1(config-line)#logging synchronous</p&g

44、t;<p>　　DistributeSwitch1(config-line)#exec-timeout 5 30</p><p>　　DistributeSwitch1(config-line)#line vty 0 15</p><p>　　DistributeSwitch1(config-line)#password abc</p><p>　　D

45、istributeSwitch1(config-line)#login</p><p>　　DistributeSwitch1(config-line)# exec-timeout 5 30</p><p>　　DistributeSwitch1(config-line)#exit</p><p>　　DistributeSwitch1(config)#no ip

46、domain-lookup</p><p>　　2．配置分布層交換機(jī)DistributeSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)</p><p>　　DistributeSwitch1(config)#interface vlan 1</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.0.3 255.255

47、.255.0</p><p>　　DistributeSwitch1(config-if)#no shutdown</p><p>　　DistributeSwitch1(config-if)#exit</p><p>　　DistributeSwitch1(config-if)#ip default-gateway 192.168.0.254</p>

48、<p>　　配置分布層交換機(jī)DistributeSwitch1的VTP</p><p>　　DistributeSwitch1(config)#vtp domain nciae /設(shè)置VTP管理域的域名</p><p>　　DistributeSwitch1(config)#vtp mode server /設(shè)置VTP服務(wù)器</p><p>

49、　　DistributeSwitch1(config)#vtp pruning /激活VTP剪裁功能</p><p>　　4. 在分布層交換機(jī)DistributeSwitch1上定義VLAN</p><p>　　Switch#configure terminal</p><p>　　Enter configuration commands,one per

50、 line.End with CNTL/Z</p><p>　　DistributeSwitch1(config)#vlan 10</p><p>　　DistributeSwitch1(config-vlan)#name JWC</p><p>　　DistributeSwitch1(config)#vlan 20</p><p>　　Di

51、stributeSwitch1(config-vlan)#name XSSS</p><p>　　DistributeSwitch1(config)#vlan 30</p><p>　　DistributeSwitch1(config-vlan)#name CWC</p><p>　　DistributeSwitch1(config)#vlan 40</p&g

52、t;<p>　　DistributeSwitch1(config-vlan)#name JGSS</p><p>　　DistributeSwitch1(config)#vlan 50</p><p>　　DistributeSwitch1(config-vlan)#name WXY</p><p>　　DistributeSwitch1(config

53、)#vlan 60</p><p>　　DistributeSwitch1(config-vlan)#name YYXY</p><p>　　DistributeSwitch1(config)#vlan 70</p><p>　　DistributeSwitch1(config-vlan)#name JSJXY</p><p>　　Distr

54、ibuteSwitch1(config)#vlan 100</p><p>　　DistributeSwitch1(config-vlan)#name FWQQ</p><p>　　5. 配置分布層交換機(jī)DistributeSwitch1的端口基本參數(shù)</p><p>　　DistributeSwitch1(config)#interface range faste

55、thernet 0/1 – 24</p><p>　　DistributeSwitch1(config-if-range)#dupex full</p><p>　　DistributeSwitch1(config-if-range)#speed 100</p><p>　　DistributeSwitch1(config-if-range)#interface r

56、ange fastethernet 0/1 – 10</p><p>　　DistributeSwitch1(config-if-range)#switchport mode access</p><p>　　DistributeSwitch1(config-if-range)#switchport access vlan 100</p><p>　　Distrib

57、uteSwitch1(config-if-range)#spanning-tree portfast</p><p>　　DistributeSwitch1(config-if-range)#interface range fastethernet 0/23 – 24</p><p>　　DistributeSwitch1(config-if-range)#switchport mode

58、trunk</p><p>　　DistributeSwitch1(config-if-range)#interface range gigabitEthernet 0/1– 2</p><p>　　DistributeSwitch1(config-if-range)#switchport mode trunk</p><p>　　6. 配置分布層交換機(jī)Distri

59、buteSwitch1的3層交換功能</p><p>　　DistributeSwitch1(config)#interface vlan 10</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.1.254 255.255.255.0</p><p>　　DistributeSwitch1(confi

60、g-if)#no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 20</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.2.254 255.255.255.0</p><p>　　DistributeSwitch1(config

61、-if)#no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 30</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.3.254 255.255.255.0</p><p>　　DistributeSwitch1(config-

62、if)#no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 40</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.4.254 255.255.255.0</p><p>　　DistributeSwitch1(config-i

63、f)#no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 50</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.5.254 255.255.255.0</p><p>　　DistributeSwitch1(config-if

64、)#no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 60</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.6.254 255.255.255.0</p><p>　　DistributeSwitch1(config-if)

65、#no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 70</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.7.254 255.255.255.0</p><p>　　DistributeSwitch1(config-if)#

66、no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 100</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.100.254 255.255.255.0</p><p>　　DistributeSwitch1(config-if

67、)#no shutdown</p><p>　　7．配置分布層交換機(jī)DistributeSwitch2</p><p>　　分布層交換機(jī)DistributeSwitch2的端口FastEthernet 0/23、FastEthernet 0/24分別下連到訪問(wèn)層交換機(jī)AccessSwitch1的端口FastEthernet 0/24以及訪問(wèn)層交換機(jī)AccessSwitch2的端口FastE

68、thernet 0/24。　　此外，分布層交換機(jī)DistributeSwitch2還通過(guò)自己的千兆端口GigabitEthernet 0/1上連到核心交換機(jī)CoreSwitch1的GigabitEthernet 3/2?！　榱藢?shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī)DistributeSwitch2還通過(guò)自己的千兆端口GigabitEthernet 0/2連接到分布層交換機(jī)DistributeSwitch1的GigabitEthernet 0/

69、2. </p><p>　　DistributeSwitch1(config)#ip route 0.0.0.0.0.0.0.0 192.168.0.254</p><p>　　另外. 為了實(shí)現(xiàn)對(duì)無(wú)類(lèi)別網(wǎng)絡(luò)（Classless Network）以及全零子網(wǎng)（Subnet-zero）的支持，在充當(dāng)3層交換機(jī)的分布層交換機(jī)DistributeSwitch1，還需要進(jìn)行適當(dāng)?shù)呐渲?</p&

70、gt;<p>　　DistributeSwitch1(config)#ip classless</p><p>　　DistributeSwitch1(config)#ip subnet-zero</p><p>　　/定義對(duì)無(wú)類(lèi)別網(wǎng)絡(luò)以及全零子網(wǎng)的支持.</p><p>　　三 核心層交換服務(wù)的實(shí)現(xiàn)——配置核心層交換機(jī)</p><

71、p>　　核心層將各分布層交換機(jī)互連起來(lái)進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換</p><p>　　本設(shè)計(jì)中的核心層交換機(jī)采用的是Cisco Catalyst 4006交換機(jī)，采用了Catalyst 4500 Supervisor II Plus（WS-X4013+）作為交換機(jī)引擎。運(yùn)行的是Cisco的Integrated IOS操作系統(tǒng)</p><p>　　在作為核心層交換機(jī)的Cisco

72、Catalyst 4006交換機(jī)中，安裝了WS-X4306-GB（Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC)）模塊，該模塊提供了5個(gè)千兆光纖上連接口，可以用來(lái)接入WS-G5484（1000BASE-SX　Short Wavelength　GBIC (Multimode only)）。以下圖中的核心層交換機(jī)CoreSwitch1為例進(jìn)行設(shè)置</p><p&

73、gt;　　1．配置核心層交換機(jī)CoreSwitch1的基本參數(shù)</p><p>　　Switch#configure terminal</p><p>　　Enter configuration commands,one per line.End with CNTL/Z</p><p>　　Switch(config)#hostname DistributeSwit

74、ch1</p><p>　　CoreSwitch1 (config)#enable secret youguess</p><p>　　CoreSwitch1 (config)#line con 0</p><p>　　CoreSwitch1 (config-line)#logging synchronous</p><p>　　CoreSw

75、itch1 (config-line)#exec-timeout 5 30</p><p>　　CoreSwitch1 (config-line)#line vty 0 15</p><p>　　CoreSwitch1 (config-line)#password abc</p><p>　　CoreSwitch1 (config-line)#login</p

76、><p>　　CoreSwitch1 (config-line)# exec-timeout 5 30</p><p>　　CoreSwitch1 (config-line)#exit</p><p>　　CoreSwitch1 (config)#no ip domain-lookup</p><p>　　2．配置核心層交換機(jī)CoreSwitch

77、1的管理IP、默認(rèn)網(wǎng)關(guān)</p><p>　　CoreSwitch1(config)#interface vlan 1</p><p>　　CoreSwitch1(config-if)#ip address 192.168.0.1 255.255.255.0</p><p>　　CoreSwitch1(config-if)#no shutdown</p>

78、<p>　　CoreSwitch1(config-if)#exit</p><p>　　CoreSwitch1(config-if)#ip default-gateway 192.168.0.254</p><p>　　3．配置核心層交換機(jī)CoreSwitch1的的VLAN及VTP</p><p>　　CoreSwith1(config)#vtp mod

79、e client</p><p>　　4．配置核心層交換機(jī)CoreSwitch1的端口參數(shù)</p><p>　　核心層交換機(jī)CoreSwitch1通過(guò)自己的端口FastEthernet 4/3同廣域網(wǎng)接入模塊（Internet路由器）相連。同時(shí)，核心層交換機(jī)CoreSwitch1的端口GigabitEthernet 3/1～GigabitEthernet 3/2分別下連到分布層交換機(jī)Dis

80、tributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。</p><p>　　DistributeSwitch1(config)#interface range fastethernet 0/1 – 24</p><p>　　DistributeSwitch1(config-if-range)#dupex full</p>

81、<p>　　DistributeSwitch1(config-if-range)#speed 100</p><p>　　DistributeSwitch1(config-if-range)#switchport mode access</p><p>　　DistributeSwitch1(config-if-range)#switchport access vlan 1&l

82、t;/p><p>　　DistributeSwitch1(config-if-range)#spanning-tree portfast</p><p>　　DistributeSwitch1(config-if-range)#interface range gigabitEthernet 3/1– 2</p><p>　　DistributeSwitch1(confi

83、g-if-range)#switchport mode trunk</p><p>　　此外，為了提供主干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計(jì)，在本設(shè)計(jì)中，將核心層交換機(jī)CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆綁在一起實(shí)現(xiàn)2000Mbps的千兆以太網(wǎng)信道，然后再連接到另一臺(tái)核心層交換機(jī)CoreSwitch2。</p><p>　

84、　CoreSwitch1 (config)#interface port-channel</p><p>　　CoreSwitch1 (config-if)#switchport</p><p>　　CoreSwitch1 (config-if)# interface gigabitEthernet 2/1– 2</p><p>　　CoreSwitch1 (con

85、fig-if)#channel-group 1 mode desiruble non-silent</p><p>　　CoreSwitch1 (config-if)#no shutdown</p><p>　　5．配置核心層交換機(jī)CoreSwitch1的路由功能 核心層交換機(jī)CoreSwitch1通過(guò)端口FastEthernet 4/3同廣域網(wǎng)接入模塊（Internet路由器）相連

86、。因此，需要啟用核心層交換機(jī)的路由功能。同時(shí)，還需要定義通往Internet的路由。這里使用了一條缺省路由命令。其中，下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。</p><p>　　CoreSwitch1(config)#ip routing</p><p>　　CoreSwitch1(config)#ip route 0.0.0.0

87、 0.0.0.0 192.168.2.254</p><p><b>　　6．其它配置</b></p><p>　　定義對(duì)無(wú)類(lèi)別網(wǎng)絡(luò)以及全零子網(wǎng)的支持</p><p>　　CoreSwith1(config)#ip classless</p><p>　　CoreSwith1(config)#ip subnet-zero

88、</p><p>　　CoreSwitch2的配置步驟、命令和CoreSwitch1的配置類(lèi)似.</p><p>　　四　配置接入路由器InternetRouter</p><p>　　1. 配置接入路由器InternetRouter的基本參數(shù)Router#configure terminal</p><p>　　Enter configu

89、ration commands,one per line.End with CNTL/Z</p><p>　　Switch(config)#hostname InternetRouter</p><p>　　InternetRouter (config)#enable secret youguess</p><p>　　InternetRouter (config)

90、#line con 0</p><p>　　InternetRouter (config-line)#logging synchronous</p><p>　　InternetRouter (config-line)#exec-timeout 5 30</p><p>　　InternetRouter (config-line)#line vty 0 15<

91、/p><p>　　InternetRouter (config-line)#password abc</p><p>　　InternetRouter (config-line)#login</p><p>　　InternetRouter (config-line)# exec-timeout 5 30</p><p>　　InternetRo

92、uter (config-line)#exit</p><p>　　InternetRouter (config)#no ip domain-lookup</p><p>　　2. 配置接入路由器InternetRouter的各接口參數(shù)</p><p>　　InternetRouter (config)#interface fastethernet 0/0</

93、p><p>　　InternetRouter (config-if)#ip address 192.168.0.254 255.255.255.0</p><p>　　InternetRouter (config-if)#no shutdown</p><p>　　InternetRouter (config-if)# interface serial 0/0<

94、/p><p>　　InternetRouter (config-if)#ip address 193.1.1.1 255.255.255.252</p><p>　　InternetRouter (config-if)#no shutdown</p><p>　　3. 配置接入路由器InternetRouter的路由功能</p><p>　　In

95、ternetRouter (config)#ip route 0.0.0.0 0.0.0.0 serial0/0</p><p>　　InternetRouter (config)#ip route 192.168.0.0 255.255. 248.0 192.168.0.3 /</p><p>　　InternetRouter (config)#ip route 192.168.100.

96、0 255.255. 255.0 192.168.0.3</p><p>　　/定義到校園網(wǎng)內(nèi)部的路由</p><p>　　4. 配置接入路由器InternetRouter上的NAT</p><p>　　為了接入Internet，本校園網(wǎng)向當(dāng)?shù)豂SP申請(qǐng)了9個(gè)IP地址。其中一個(gè)IP地址：193.1.1.1被分配給了Internet接入路由器的串行接口，另外8個(gè)IP地

97、址：202.206.222.1～202.206.222.8用作NAT。</p><p>　　InternetRouter (config)#interface fastethernet 0/0</p><p>　　InternetRouter (config-if)#ip nat inside</p><p>　　InternetRouter (config-if)

98、#interface serial 0/0</p><p>　　InternetRouter (config-if)#ip nat outside /定義NAT內(nèi)部、外部接口</p><p>　　InternetRouter (config)#ip access-list 1 permit 192.168.0.0 0.0.7.255</p><p&g

99、t;　　InternetRouter (config)#ip access-list 1 permit 192.168.100.0 0.0.0.255</p><p>　　InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.1</p><p>　　InternetRouter (con

100、fig)#ip nat inside source static 192.168.100.1 202.206.222.2</p><p>　　InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.3</p><p>　　…… / 為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換</p><p&

101、gt;　　InternetRouter (config)#ip nat inside source list 1 interface serial 0/0 overload</p><p>　　/ 為工作站定義復(fù)用地址轉(zhuǎn)換</p><p>　　5. 配置接入路由器InternetRouter上的安全訪問(wèn)ACL</p><p>　　1. 路由器是外網(wǎng)進(jìn)入校園網(wǎng)內(nèi)網(wǎng)的

102、第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問(wèn)控制列表（Access Control List，ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問(wèn)控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于校園網(wǎng)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對(duì)路由器的訪問(wèn)控制列表進(jìn)行縝密的設(shè)計(jì)，來(lái)對(duì)校園網(wǎng)

103、內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)。</p><p>　　在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對(duì)外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計(jì)： 對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議，即SNMP. 利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類(lèi)型：SNMP和SNMPTRAP。</p><p>　　設(shè)置對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議

104、SNMP:</p><p>　　InternetRouter (config) #ip route 192.168.0.0 255.255.248.0 192.168.0.3</p><p>　　InternetRouter (config)#ip route 192.168.100.0 255.255.255.0 192.168.0.3</p><p>　　2.

105、對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet. 首先，telnet是一種不安全的協(xié)議類(lèi)型。用戶(hù)在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶(hù)名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險(xiǎn)的，因此必須加以屏蔽。</p><p>　　屏蔽遠(yuǎn)程登錄協(xié)議telne</p><p&g

106、t;　　InternetRouter (config)#ip access-list 101 deny tcp any eq telnet</p><p>　　InternetRouter (config)#ip access-list 101 permit ip any any</p><p>　　3. 對(duì)外屏蔽其它不安全的協(xié)議或服務(wù). 這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口20

107、49，遠(yuǎn)程執(zhí)行（rsh）、遠(yuǎn)程登錄（rlogin）和遠(yuǎn)程命令（rcmd）端口512、513、514，遠(yuǎn)程過(guò)程調(diào)用（SUNRPC）端口111?？梢詫⑨槍?duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì)</p><p>　　InternetRouter (config)#ip access-list 101 deny tcp any any range 512 514</p><p>　　InternetRouter (

108、config)#ip access-list 101 deny tcp any any eq 111</p><p>　　InternetRouter (config)#ip access-list 101 deny udp any any eq 111</p><p>　　InternetRouter (config)#ip access-list 101 deny tcp any an

109、y range 2049</p><p>　　InternetRouter (config)#ip access-list 101 permit ip any any</p><p>　　4. 針對(duì)DoS攻擊的設(shè)計(jì). DoS攻擊（Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見(jiàn)而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會(huì)導(dǎo)致