畢業(yè)設(shè)計(jì)---典型校園網(wǎng)的設(shè)計(jì)

1、<p><b>　　畢業(yè)設(shè)計(jì)（論文）</b></p><p>　　一個典型校園網(wǎng)的設(shè)計(jì)</p><p>　　學(xué)生姓名： </p><p>　　院 系： 計(jì)算機(jī)系 </p><p>　　專 業(yè)： 網(wǎng)絡(luò)技術(shù)

2、 </p><p>　　指導(dǎo)教師： </p><p>　　日 期： </p><p><b>　　[摘 要]</b></p><p>　　校園網(wǎng)是建構(gòu)在多媒體技術(shù)和現(xiàn)代網(wǎng)絡(luò)技術(shù)之上的為教學(xué)活動、科研活動、管理活動服務(wù)的并與因特網(wǎng)連

3、接的校園內(nèi)的局域網(wǎng)絡(luò)環(huán)境，是一種教育科研網(wǎng)絡(luò)。建好校園網(wǎng)，構(gòu)建現(xiàn)代化教育環(huán)境，是教育現(xiàn)代化的重要內(nèi)容。進(jìn)入二十一世紀(jì)，全球信息化、網(wǎng)絡(luò)化的時(shí)代正在到來，以現(xiàn)代化的教育手段取代舊的、傳統(tǒng)的落后教學(xué)手段，實(shí)現(xiàn)教育網(wǎng)絡(luò)化、教育資源共享是時(shí)代的需要。用好校園網(wǎng)，是貫徹鄧小平同志"三個面向"指示精神，實(shí)現(xiàn)教育現(xiàn)代化的需要。</p><p>　　關(guān)鍵詞：中繼協(xié)議 生成樹協(xié)議 質(zhì)詢握手</p&

4、gt;<p><b>　　Abstract</b></p><p>　　It was teaching activity that campus network built constructing on the multimedia technology and modern network technology, what scientific research activ

5、ity, management activity serve and office land network environment in the campus connected with Internet, it is network of a kind of education and scientific research. Build up campus network and construct modernized edu

6、cational environment, it is the important content of the educational modernization. Enter 21st century, global informationizat</p><p>　　Keywords: Trunking Protocol Spanning Tree Protocol Challenge-Handsha

7、ke</p><p><b>　　目錄</b></p><p>　　第一章 系統(tǒng)總體設(shè)計(jì)方案概述5</p><p>　　1.1 系統(tǒng)的組成與拓?fù)浣Y(jié)構(gòu)5</p><p>　　1.2 VLAN 即 IP 地址劃分6</p><p>　　第二章 交換機(jī)模塊設(shè)計(jì)6</p><

8、p>　　2.1 接入層交換服務(wù)的實(shí)現(xiàn)—配置接入層交換機(jī)7</p><p>　　2.1.1 配置接入層交換機(jī)Switch1的基本參數(shù)7</p><p>　　2.1.2 配置接入層交換機(jī)Switch1的管理ip、默認(rèn)網(wǎng)關(guān)9</p><p>　　2.1.3 配置接入層交換機(jī)的vlan及vtp9</p><p>　　2.1.4 配置

9、接入層交換機(jī)端口的基本參數(shù)9</p><p>　　2.1.5 配置接入層交換機(jī)的訪問端口10</p><p>　　2.1.6 配置接入層交換機(jī)的主干道端口10</p><p>　　2.1.7 配置接入層交換機(jī) Switch211</p><p>　　2.1.8 接入層交換機(jī)的其它可選配置11</p><p>

10、;　　2.2 分布層交換機(jī)服務(wù)的實(shí)現(xiàn)—配置分布層交換機(jī)12</p><p>　　2.2.1 配置分布層交換機(jī)DistributeSwitch1的基本參數(shù)12</p><p>　　2.2.2 配置分布層交換機(jī)的管理ip、默認(rèn)網(wǎng)關(guān)13</p><p>　　2.2.3 配置分布層交換機(jī)DistributeSwitch1的vtp13</p><p

11、>　　2.2.4 在分布層交換機(jī)DistributeSwitch1上定義vlan14</p><p>　　2.2.5 配置分布層交換機(jī)DistributeSwitch1的端口基本參數(shù)15</p><p>　　2.2.6 配置分布層交換機(jī)DistributeSwitch1的3層交換功能16</p><p>　　2.2.7 配置分布層交換機(jī)Distribut

12、eSwitch217</p><p>　　2.2.8 其它配置17</p><p>　　2.3 核心層交換服務(wù)的實(shí)現(xiàn)—配置核心層交換機(jī)17</p><p>　　2.3.1 配置核心層交換機(jī)Cswitch1 的基本參數(shù)的配置18</p><p>　　2.3.2 配置核心層交換機(jī)Cswitch1的管理ip、默認(rèn)網(wǎng)關(guān)18</p>

13、;<p>　　2.3.3 配置核心層交換機(jī)Cswitch1的vlan及vtp19</p><p>　　2.3.4 配置核心層交換機(jī)Cswitch1的端口參數(shù)19</p><p>　　2.3.5 配置核心層交換機(jī)Cswitch1的路由功能19</p><p>　　2.3.6 其它配置20</p><p>　　2.3.7 核

14、心層交換機(jī)Cswitch2的配置20</p><p>　　第三章 廣域網(wǎng)接入模塊設(shè)計(jì)20</p><p>　　3.1 配置接入路由器Router的基本參數(shù)20</p><p>　　3.2 配置接入路由器的各個接口參數(shù)21</p><p>　　3.3配置接入路由器的路由功能21</p><p>　　3.4配置

15、接入路由器上的NAT22</p><p>　　3.5 配置接入路由器上的ACL24</p><p>　　3.6其它配置24</p><p>　　第四章 遠(yuǎn)程訪問模塊設(shè)計(jì)24</p><p>　　4.1 配置物理線路的基本參數(shù)25</p><p>　　4.2 配置接口基本參數(shù)25</p><

16、;p>　　4.3 配置身份認(rèn)證26</p><p>　　第五章 服務(wù)器模塊設(shè)計(jì)26</p><p><b>　　參考文獻(xiàn)28</b></p><p><b>　　[引 言]</b></p><p>　　目前，校園網(wǎng)的建設(shè)與應(yīng)用被越來越多的高校視為實(shí)現(xiàn)教學(xué)改革，提高教學(xué)質(zhì)量以適應(yīng)時(shí)代對人

17、才培養(yǎng)需求的關(guān)鍵。校園網(wǎng)絡(luò)作為一種在高校應(yīng)用的局域網(wǎng)，有其特定含義和應(yīng)用范疇，我們可以將校園網(wǎng)定義為：一種為學(xué)校學(xué)習(xí)活動、教學(xué)活動、科研活動和管理活動服務(wù)的校園內(nèi)局域網(wǎng)絡(luò)環(huán)境，并且它是建構(gòu)在多媒體技術(shù)和現(xiàn)代網(wǎng)絡(luò)技術(shù)之上并與因特網(wǎng)連接的。對于校園網(wǎng)建設(shè)來說，其應(yīng)用是目的，網(wǎng)絡(luò)環(huán)境是基礎(chǔ)，網(wǎng)絡(luò)教學(xué)資源是核心，而人員培訓(xùn)與網(wǎng)絡(luò)維護(hù)是保障。下面我就針對校園網(wǎng)的設(shè)計(jì)方案進(jìn)行詳細(xì)的解說和配置說明。</p><p>　　第一章

18、 系統(tǒng)總體設(shè)計(jì)方案概述</p><p>　　本校園網(wǎng)是一個復(fù)雜而比較全面的網(wǎng)絡(luò)，是對校園主干網(wǎng)的設(shè)計(jì)和服務(wù)器的安裝作出了詳細(xì)的介紹。如圖1-1所示，是該校園網(wǎng)的總體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)</p><p>　　圖1-1 X X 校園網(wǎng)絡(luò)的總體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖</p><p>　　在上面的拓?fù)鋱D中，學(xué)院有6個主要集中接入點(diǎn)（計(jì)算機(jī)系、學(xué)生宿舍、財(cái)務(wù)處、管理系、教務(wù)處、外語系）

19、通過冗余的光纖鏈路上連接到信息中心的核心交換機(jī)上。核心層交換機(jī)通過Cisco3640路由器接入Internet上。此外，教工宿舍及移動辦公用戶通過撥號方式接入路由器3640來訪問校園網(wǎng)及因特網(wǎng)。</p><p>　　圖中以計(jì)算機(jī)系為例來展示每個建筑物內(nèi)部的網(wǎng)絡(luò)設(shè)備拓?fù)浣Y(jié)構(gòu)并給處了信息中心的內(nèi)部網(wǎng)絡(luò)設(shè)備拓?fù)浣Y(jié)構(gòu)。</p><p>　　下面我們將展開詳細(xì)的討論每個模塊的設(shè)計(jì)。</p>

20、;<p>　　1.1系統(tǒng)的組成與拓?fù)浣Y(jié)構(gòu)</p><p>　　為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco 公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的主要好處在于可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。</p><p>　　本校園網(wǎng)設(shè)計(jì)方案主要由以下四大部分構(gòu)成：交換機(jī)模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器模塊。整個網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)

21、圖如圖1-2所示。</p><p>　　圖1-2 校園網(wǎng)整體拓?fù)浣Y(jié)構(gòu)圖</p><p>　　1.2 VLAN 即 IP 地址劃分</p><p>　　在一個大、中型網(wǎng)絡(luò)里，vlan的劃分是必不可少的步驟之一。在本校園網(wǎng)設(shè)計(jì)實(shí)例中，整個校園網(wǎng)中vlan即ip編址方案如表1所示</p><p>　　表1 vlan即ip編址方案</p>

22、;<p>　　第二章 交換機(jī)模塊設(shè)計(jì)</p><p>　　一個好的校園網(wǎng)設(shè)計(jì)應(yīng)該是一個分層的設(shè)計(jì)。一般分為三層設(shè)計(jì)模塊。為了簡化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換模塊的部署是分層進(jìn)行的。</p><p>　　園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：接入層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模塊的第2層?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3 層交換和多層

23、交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。</p><p>　　現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)的概念。Vlan將廣播域限制在單個vlan內(nèi)部，減小了各vlan間主機(jī)的廣播通信對其他vlan的影響。在vlan間需要通信的時(shí)候，可以利用vlan間路由技術(shù)來實(shí)現(xiàn)。</p><p>　　當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換

24、機(jī)數(shù)量眾多時(shí)，可以使用vlan中繼協(xié)議（vtp）簡化管理，它只需在單獨(dú)一臺交換機(jī)上定義所有vlan。然后通過vtp協(xié)議將vlan定義傳播到本管理域中的所有交換機(jī)上，這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。</p><p>　　當(dāng)園區(qū)網(wǎng)絡(luò)的交換機(jī)數(shù)量增多、交換機(jī)間鏈路增加時(shí)，交換網(wǎng)絡(luò)的復(fù)雜性可能會造成交換環(huán)路問題，這需要通過在各交換機(jī)上運(yùn)行生成樹協(xié)議（stp）來解決。</p><p&g

25、t;　　2.1 接入層交換服務(wù)的實(shí)現(xiàn)—配置接入層交換機(jī)</p><p>　　接入層為所有的終端用戶提供一個接入點(diǎn)。這里的接入層交換機(jī)采用的是Cisco Catalyst 2950 24 口交換機(jī)（WS-C2950-24）。該交換機(jī)擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是Cisco的ISO操作系統(tǒng)。這里，以圖2-1中的接入層交換機(jī)Switch1為例進(jìn)行介紹。如圖2-1所示：</p>

26、<p>　　圖2-1 接入層交換機(jī)Switch1</p><p>　　2.1.1 配置接入層交換機(jī)Switch1的基本參數(shù)</p><p><b>　　1、設(shè)置交換機(jī)名稱</b></p><p>　　設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī)CLI提示符中的名字。一般一地理位置行政劃分來為交換機(jī)命名。當(dāng)需要Telnet登錄到若干臺交換機(jī)以維

27、護(hù)一個大型網(wǎng)絡(luò)時(shí)，通過交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。</p><p>　　如圖2-2所示，為接入層交換機(jī)Swtich1命名。</p><p>　　圖2-2 為接入層交換機(jī)Switch1命名</p><p>　　2、設(shè)置交換機(jī)的加密使能口令</p><p>　　當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí)，需要提供

28、口令。此口令會以MD5的形式加密，因此，當(dāng)用戶查看配置文件時(shí)，無法看到明文形式的口令。</p><p>　　如圖2-3所示，將交換機(jī)的加密使能口令設(shè)置為cisco。</p><p>　　圖2-3 為交換機(jī)設(shè)置加密使能口令</p><p>　　3、設(shè)置登錄虛擬終端線時(shí)的口令</p><p>　　對于一個已經(jīng)運(yùn)行著的交換機(jī)網(wǎng)絡(luò)來說，交換機(jī)的帶內(nèi)

29、遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是，處于安全考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)口令。如圖2-4 所示，設(shè)置登錄交換機(jī)的需要驗(yàn)證用戶身份，同時(shí)設(shè)置口令為liumaochen。</p><p>　　圖2-4 為接入層交換機(jī)Switch1設(shè)置虛擬端口</p><p>　　4、設(shè)置終端線超時(shí)時(shí)間</p><p>　　為了安全考慮，可

30、以設(shè)置終端線超時(shí)時(shí)間。在設(shè)置的時(shí)間內(nèi)，如果沒有檢測到鍵盤輸入，ISO將斷開用戶和交換機(jī)之間的連接。</p><p>　　如圖2-5 所示，設(shè)置登錄交換機(jī)的控制臺終端線路及虛擬終端線的超時(shí)時(shí)間為永不超時(shí)。</p><p>　　圖2-5 設(shè)置控制臺終端線路和虛擬終端線路的超時(shí)時(shí)間</p><p>　　5、設(shè)置禁用ip地址解析特性</p><p>

31、　　在交換機(jī)默認(rèn)配置的情況下，當(dāng)輸入一條錯誤的交換機(jī)命令時(shí)，交換機(jī)會嘗試將其廣播給網(wǎng)絡(luò)上的DNS服務(wù)器并將其解析成對應(yīng)的ip地址。利用命令no ip domain-lookup?？梢越眠@個特性。如圖2-6 所示，設(shè)置禁用ip地址解析特性。</p><p>　　圖2-6 設(shè)置禁用ip地址解析特性</p><p>　　6、設(shè)置啟用消息同步特性</p><p>　　有時(shí)

32、，用戶輸入的交換機(jī)配置命令會被交換機(jī)產(chǎn)生的消息打亂?？梢允褂妹頻ogging synchronous 設(shè)置交換機(jī)在下一行CLI提示符后復(fù)制用戶的輸入。如圖2-7所示，設(shè)置啟用消息同步特性。</p><p>　　圖2-7 設(shè)置啟用消息同步特性</p><p>　　2.1.2 配置接入層交換機(jī)Switch1的管理ip、默認(rèn)網(wǎng)關(guān)</p><p>　　接入層交換機(jī)是OS

33、I參考模型的第2 層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給接入層交換機(jī)的每個端口設(shè)置ip地址是沒有意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到接入層交換機(jī)上進(jìn)行管理，必須給接入層交換機(jī)設(shè)置一個管理用得ip地址。在這種情況下，實(shí)際上是將交換機(jī)看成和pc一樣的主機(jī)。</p><p>　　給交換機(jī)設(shè)置管理用的ip地址只能在vlan1中，即本征vlan中進(jìn)行。按照表2-1，管理vlan所在的子網(wǎng)是：192.168.0.0

34、/24，這里將接入層交換機(jī)Switch1的管理ip地址設(shè)為：192.168.0.5/24。如圖2-8所示，顯示了為接入層交換機(jī)Switch1設(shè)置管理ip并激活本征vlan。</p><p>　　圖2-8 設(shè)置接入層交換機(jī)的管理ip</p><p>　　為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址：192.168.0.254.如圖2-9所示。</p>

35、<p>　　圖2-9 設(shè)置接入層交換機(jī)的默認(rèn)網(wǎng)關(guān)地址</p><p>　　2.1.3 配置接入層交換機(jī)的vlan及vtp</p><p>　　從提高效率的角度出發(fā)，在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中使用了vtp技術(shù)。同時(shí)，將分布層交換機(jī)設(shè)置成為vtp服務(wù)器，其它交換機(jī)設(shè)置成為vtp客戶端。這里接入層交換機(jī)將通過vtp獲得在分布層交換機(jī)中定義的所有vlan的信息。</p><

36、;p>　　如圖2-10所示，設(shè)置接入層交換機(jī)成為vtp客戶機(jī)。</p><p>　　圖2-10 設(shè)置接入層交換機(jī)Switch1成為vtp客戶機(jī)</p><p>　　2.1.4 配置接入層交換機(jī)端口的基本參數(shù)</p><p>　　1、端口雙工和速度配置</p><p>　　可以設(shè)定某端口，設(shè)備端口自動調(diào)整為雙工模式，也可以強(qiáng)制將端口雙工模

37、式設(shè)為半雙工或全雙工模式。建議手動設(shè)置端口為雙工模式?？梢栽O(shè)定某端口根據(jù)對端設(shè)備速度自動調(diào)整本端口速度，也可以強(qiáng)制將端口速度設(shè)為10Mpbs或100Mbps。在了解對端設(shè)備速度的情況下，建議手動設(shè)置端口速度。</p><p>　　如圖2-11所示，設(shè)置接入層交換機(jī)的所有端口均為全雙工模式和端口速度。</p><p>　　圖2-11 設(shè)置接入層交換機(jī)的端口工作模式和端口速度</p>

38、;<p>　　2.1.5 配置接入層交換機(jī)的訪問端口</p><p>　　接入層交換機(jī)為終端用戶提供接入服務(wù)。在圖2-1中，接入層交換機(jī)Switch1為vlan10、vlan20提供接入服務(wù)。</p><p>　　1、設(shè)置接入層交換機(jī)Switch1端口1-10</p><p>　　如圖2-13所示，設(shè)置接入層交換機(jī)Switch1的端口1-10工作在接入

39、層模式。同時(shí)，設(shè)置端口1-10為vlan10的成員。</p><p>　　圖2-13 設(shè)置接入層交換機(jī)Switch1的端口1-10</p><p>　　2、設(shè)置接入層交換機(jī)Switch1端口11-20</p><p>　　如圖2-14所示，設(shè)置接入層交換機(jī)Switch1的端口11-20工作在接入層模式。同時(shí)，設(shè)置端口11-20為vlan20的成員。</p>

40、;<p>　　圖2-14 設(shè)置接入層交換機(jī)Switch1的端口11-20</p><p><b>　　3、 設(shè)置快速端口</b></p><p>　　默認(rèn)情況下，交換機(jī)在剛加電啟動的時(shí)，每個端口都要經(jīng)歷生成樹的四個階段：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶數(shù)據(jù)包之前，某個端口可能最多要等50秒的時(shí)間（20s的阻塞時(shí)間+15s的偵聽延遲時(shí)間+15s的學(xué)習(xí)

41、延遲時(shí)間）。</p><p>　　對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時(shí)間是不必要的。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間，可以設(shè)置將某端口設(shè)置成為快速端口（Portfast）。設(shè)置為Portfast的端口當(dāng)交換機(jī)啟動或端口有工作站接入時(shí)，將會直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)。如圖2-15所示，設(shè)置交換機(jī)Switch1的端口1-20為Portfast 端口</p><p

42、>　　圖2-15 設(shè)置快速端口</p><p>　　2.1.6 配置接入層交換機(jī)的主干道端口</p><p>　　如圖2-1 所示，接入層交換機(jī)Switch1通過端口FastEthernet 0/23上連到分布層交換機(jī)DistributeSwitch1的端口FastEthernet 0/23。同時(shí)，接入層交換機(jī)Switch1還通過FastEthernet 0/24上連到分布層交換機(jī)D

43、istributeSwitch2的端口FastEthernet 0/24。這兩條連上的鏈路將成為主干道鏈路，在這兩條上鏈路上將運(yùn)輸多個vlan的數(shù)據(jù)。</p><p>　　如圖2-16所示，設(shè)置接入層交換機(jī)Switch1的端口FastEthernet 0/23、FastEthernet 0/24為主干道端口。</p><p>　　圖2-16 設(shè)置主干道端口</p><p

44、>　　2.1.7 配置接入層交換機(jī) Switch2</p><p>　　接入層交換機(jī)Switch2為vlan30和vlan40的用戶提供接入服務(wù)。同時(shí)，分別通過自己的FastEthernet 0/23、FastEthernet 0/24上連到分布層交換機(jī)DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/24。 如圖2-17 所示，是接入層交換機(jī)Swi

45、tch2的鏈接示意圖。</p><p>　　對接入層交換機(jī)Switch2 的配置步驟、命令和對接入層交換機(jī)Switch1的配置類似。這里就不再詳細(xì)分析了，只給出配置文件內(nèi)容（只留下了必要的命令）。</p><p>　　需要指出的是，為了提供主干道的吞吐量，可以采用鏈路聚合（快速以太網(wǎng)信道）技術(shù)增加可用帶寬。例如，可以將接入層交換機(jī)Switch1的端口FastEthernet0/21和Fas

46、tEthernet0/22聚合在一起實(shí)現(xiàn)200Mbps的快速以太網(wǎng)信道，然后再上連到分布層交換機(jī)DistributeSwitch1。同樣，也可以將接入層交換機(jī)Switch2的端口FastEthernet0/23和FastEthernet0/24聚合在一起實(shí)現(xiàn)200Mbps的快速以太網(wǎng)信道，然后再上連到分布層交換機(jī)DistributeSwitch2。具體的配置實(shí)現(xiàn)的介紹將在核心層交換機(jī)的配置一節(jié)中進(jìn)行詳細(xì)介紹。</p>&l

47、t;p>　　2.1.8 接入層交換機(jī)的其它可選配置</p><p>　　1、Uplinkfast </p><p>　　接入層交換機(jī)Switch1 通過兩條冗余上行鏈路分別接入分布層交換機(jī)DistributeSwitch1和DistributeSwitch2。在生成樹的作用下，其中一條上行鏈路處于轉(zhuǎn)發(fā)狀態(tài)，而另一條上行鏈路處于阻塞狀態(tài)。當(dāng)處于轉(zhuǎn)發(fā)狀態(tài)的鏈路因故障斷開后，經(jīng)過最多大約5

48、0s鐘的時(shí)間，處于阻塞狀態(tài)的鏈路才能替代故障鏈路的工作。</p><p>　　Uplinkfast 特性可以使得當(dāng)主上行鏈路失敗后，處于阻塞狀態(tài)的上行鏈路可以立即啟用。</p><p>　　如圖2-18 所示，是在接入層交換機(jī)Switch1 上啟用Uplinkfast 特性。同樣的步驟也可以在接入層交換機(jī)Switch2 上進(jìn)行配置。</p><p>　　圖2-18

49、啟用Uplinkfast特性</p><p>　　注意，這種特性只能在接入層交換機(jī)上啟用。</p><p>　　2、Backbonefast </p><p>　　Backbonefast的作用與Uplinkfast類似，也用于加快生成樹的收斂。所不同的是，Backbonefast可以檢測到間接鏈路（非直連鏈路）故障并立即使得相應(yīng)阻塞端口的最大壽命計(jì)時(shí)器到時(shí)，從而縮

50、短該端口可以開始轉(zhuǎn)發(fā)數(shù)據(jù)包的時(shí)間。同樣的步驟需要在網(wǎng)絡(luò)中的所有交換機(jī)上進(jìn)行配置。</p><p>　　圖2-19 啟用Backbonefast特性</p><p>　　注意，Backbonefast特性需要在網(wǎng)絡(luò)中所有交換機(jī)上進(jìn)行配置。</p><p>　　2.2 分布層交換機(jī)服務(wù)的實(shí)現(xiàn)—配置分布層交換機(jī)</p><p>　　分布層除了負(fù)責(zé)將

51、接入層交換機(jī)進(jìn)行匯聚外，還為整個交換網(wǎng)絡(luò)提供vlan間的路由選擇功能。</p><p>　　這里的分布層交換機(jī)采用的是Cisco Catalyst 3550交換機(jī)。作為3層交換機(jī)，Cisco Catalyst 3550交換機(jī)擁有24個10、100Mbps自適應(yīng)快速以太網(wǎng)端口，同樣還有2個1000Mbps的GBIC端口供上連使用，運(yùn)行的是Cisco的integrated ISO 操作系統(tǒng)。這里，以圖2-1中的分布層

52、交換機(jī)DistributeSwitch1為例進(jìn)行介紹。如圖2-20所示：</p><p><b>　　圖2-20</b></p><p>　　2.2.1 配置分布層交換機(jī)DistributeSwitch1的基本參數(shù)</p><p>　　對分布層交換機(jī)DistributeSwitch1的基本參數(shù)的配置步驟與對接入層交換機(jī)Switch1的基本參數(shù)的

53、配置類似。這里，只給出實(shí)際的配置步驟，不再給出具體的解釋，如圖2-21所示。</p><p>　　圖2-21 配置分布層交換機(jī)的基本參數(shù)</p><p>　　2.2.2 配置分布層交換機(jī)的管理ip、默認(rèn)網(wǎng)關(guān)</p><p>　　如圖2-22所示，顯示了分布層交換機(jī)設(shè)置管理ip并激活本征vlan。還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。</p><p>　　圖

54、2-22 分布層交換機(jī)設(shè)置管理ip并激活本征vlan</p><p>　　2.2.3 配置分布層交換機(jī)DistributeSwitch1的vtp</p><p>　　當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí)，需要分別在每臺交換機(jī)上創(chuàng)建很多重復(fù)的vlan。工作量很大、過程很繁瑣，并且容易出錯。在實(shí)際工作中常采用vlan中繼協(xié)議（vtp）來解決這個問題。</p><p>　　Vtp 允

55、許在一臺交換機(jī)上創(chuàng)建所有的vlan。然后，利用交換機(jī)之間的互相學(xué)習(xí)功能，將創(chuàng)建好的vlan定義傳播到整個網(wǎng)絡(luò)中需要此vlan定義的所有交換機(jī)上。同時(shí)，有關(guān)vlan的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機(jī)的負(fù)擔(dān)。</p><p>　　在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中使用了vtp技術(shù)。同時(shí)，將分布層交換機(jī)DistributeSwitch1設(shè)置成vtp服務(wù)器，其他交換機(jī)設(shè)置成為vtp客戶機(jī)。&

56、lt;/p><p>　　1、配置vtp管理域</p><p>　　共享相同vlan定義數(shù)據(jù)庫的交換機(jī)構(gòu)成一個管理域。每一個vtp管理域都有一個共同的vtp管理域域名。不同管理域的交換機(jī)之間不交換vtp通告信息。</p><p>　　如圖2-23所示，將vtp管理域的域名定義為liu。</p><p><b>　　圖2-23</b&

57、gt;</p><p>　　2、設(shè)置vtp服務(wù)器</p><p>　　工作在vtp服務(wù)器模式下的交換機(jī)可以創(chuàng)建、刪除vlan、修改vlan參數(shù)。同時(shí)，還有責(zé)任發(fā)送和轉(zhuǎn)發(fā)vlan更新消息。</p><p>　　如圖2-24 所示，設(shè)置分布層交換機(jī)DistributeSwitch1成為vtp服務(wù)器。</p><p><b>　　圖2-2

58、4</b></p><p>　　3、激活vtp剪裁功能</p><p>　　默認(rèn)情況下主干道傳輸所有vlan的用戶數(shù)據(jù)。有時(shí)，交換網(wǎng)絡(luò)中某臺交換機(jī)的所有端口都屬于同一vlan的成員，沒有必要接收其他vlan的用戶數(shù)據(jù)。這時(shí)，可以激活主干道上的vtp剪裁功能。當(dāng)激活了vtp剪裁功能以后，交換機(jī)將自動剪裁本交換機(jī)沒有定義的vlan數(shù)據(jù)。</p><p>　　

59、在一個vtp域下，只需要在vtp服務(wù)器上激活vtp剪裁功能。同一vtp域下的所有其他交換機(jī)也將自動激活vtp剪裁功能。</p><p>　　如圖 2-25所示，設(shè)置激活vtp剪裁功能。</p><p>　　圖2-25 激活vtp剪裁功能</p><p>　　2.2.4 在分布層交換機(jī)DistributeSwitch1上定義vlan</p><p&

60、gt;　　在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中，除了默認(rèn)的本征vlan外，又額外定義8個vlan，如圖2-1所示。</p><p>　　由于使用了vtp技術(shù)，所以，所有vlan的定義都只需要在vtp服務(wù)器，即分布層交換機(jī)DistributeSwitch1上進(jìn)行。</p><p>　　如圖2-26所示，定義了8個vlan，同時(shí)為每個vlan命名。</p><p>　　圖2-26 定義

61、vlan</p><p>　　2.2.5 配置分布層交換機(jī)DistributeSwitch1的端口基本參數(shù)</p><p>　　分布層交換機(jī)DistributeSwitch1的端口FastEthernet0/1~ FastEthernet0/10為服務(wù)器群提供接入服務(wù)，而端口FastEthernet0/23、FastEthernet0/24分別下連到接入層交換機(jī)Switch1的端口Fast

62、Ethernet0/23以及接入層交換機(jī)Switch2的端口FastEthernet0/23.</p><p>　　此外，分布層交換機(jī)DistributeSwitch1還通過自己的千兆端口GigabitEthernet0/1上連到核心交換機(jī)Cswitch1的GigabitEthernet3/1。為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī)DistributeSwitch1還通過自己的千兆端口GigabitEthernet0/2

63、連接另一臺到分布層交換機(jī)DistributeSwitch2的GigabitEthernet0/2。</p><p>　　如圖2-27所示，給出了對所有訪問端口、主干道端口的配置步驟和命令。</p><p>　　圖2-27 設(shè)置分布層交換機(jī)DistributeSwitch1的各端口參數(shù)</p><p>　　2.2.6 配置分布層交換機(jī)DistributeSwitch1

64、的3層交換功能</p><p>　　分布層交換機(jī)DistributeSwitch1需要為網(wǎng)絡(luò)中的各個vlan提供路由功能。這需要首先啟用分布層交換機(jī)的路由功能。如圖2-28所示。</p><p>　　圖2-28 啟用路由功能</p><p>　　接下來，需要為每個vlan定義自己的默認(rèn)網(wǎng)關(guān)地址，如圖2-29所示。</p><p>　　圖2-2

65、9 定義vlan的默認(rèn)網(wǎng)關(guān)地址</p><p>　　此外，還需要定義通往Internet 的路由。這里使用了一條缺省路由命令，如圖2-30 所示。其中，下一跳地址是Internet接入路由器的快速以太網(wǎng)接口fastethernet0/0的ip地址。</p><p>　　圖2-30 定義到Internet的缺省路由</p><p>　　2.2.7 配置分布層交換機(jī)Di

66、stributeSwitch2</p><p>　　分布層交換機(jī)DistributeSwitch2的端口FastEthernet0/23、FastEthernet0/24分別下連到接入層交換機(jī)Switch1的端口FastEthernet0/24以及接入層交換機(jī)Switch2的端口FastEthernet0/24。</p><p>　　此外，分布層交換機(jī)DistributeSwitch2還通

67、過自己的千兆端口GigabitEthernet0/1上連到核心交換機(jī)Cswitch1的GigabitEthernet3/2.</p><p>　　為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī)DistributeSwitch2還通過自己的千兆端口GigabitEthernet0/2連接到分布層交換機(jī)DistributeSwitch1的GigabitEthernet0/2。如圖2-31所示。</p><p>

68、;　　圖2-31 分布層交換機(jī)DistributeSwitch2</p><p>　　2.2.8 其它配置</p><p>　　為了實(shí)現(xiàn)對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持，在充當(dāng)3層交換機(jī)的分布層交換機(jī)DistributeSwitch1上，還需要進(jìn)行相應(yīng)的配置，如圖2-32所示。</p><p>　　圖2-32 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持</p>

69、<p>　　2.3 核心層交換服務(wù)的實(shí)現(xiàn)—配置核心層交換機(jī)</p><p>　　核心層將各分布層交換機(jī)相互連起來進(jìn)行穿越園區(qū)骨干的高速數(shù)據(jù)交換。本實(shí)例中的核心層交換機(jī)采用的是Cisco Catalyst 4006 交換機(jī)，采用了Catalyst 4500 SupervisorII Plus （WS-X4013+）作為交換機(jī)引擎。運(yùn)行的是Cisco 的Integrated ISO操作系統(tǒng)。</p&

70、gt;<p>　　在作為核心層交換機(jī)的Cisco Catalyst 4006交換機(jī)中安裝了GBIC模塊。如圖2-33所示：</p><p>　　圖2-33 核心層交換機(jī)Cswitch1</p><p>　　2.3.1 配置核心層交換機(jī)Cswitch1 的基本參數(shù)的配置</p><p>　　核心層交換機(jī)Cswitch1 的基本參數(shù)的配置步驟與接入層交換機(jī)

71、Switch1的基本參數(shù)的配置類似。這里，只給出實(shí)際的配置步驟，不再給出具體的解釋，如圖2-34所示。</p><p>　　圖2-34 配置核心層交換機(jī)Cswitch1的基本參數(shù)</p><p>　　2.3.2 配置核心層交換機(jī)Cswitch1的管理ip、默認(rèn)網(wǎng)關(guān)</p><p>　　如圖2-35 所示，顯示了核心層交換機(jī)Cswitch1設(shè)置管理ip并激活本征vla

72、n。同時(shí)，還設(shè)置了默認(rèn)網(wǎng)關(guān)地址。</p><p>　　圖 2-35 核心層交換機(jī)Cswitch1的管理ip、默認(rèn)網(wǎng)關(guān)</p><p>　　2.3.3 配置核心層交換機(jī)Cswitch1的vlan及vtp</p><p>　　在本實(shí)例中，核心層交換機(jī)Cswitch1也將作為vtp客戶機(jī)。這里核心層交換機(jī)Cswitch1將通過vtp獲得在分布層交換機(jī)DistributeS

73、witch1中定義的所有vlan的信息。</p><p>　　如圖 2-36 所示，設(shè)置核心層交換機(jī)Cswitch1成為vtp客戶機(jī)。</p><p>　　圖 2-36 設(shè)置核心層交換機(jī)Cswitch1成為vtp客戶機(jī)</p><p>　　2.3.4 配置核心層交換機(jī)Cswitch1的端口參數(shù)</p><p>　　核心層交換機(jī)Cswitch1

74、通過自己的端口FastEthernet4/3同廣域網(wǎng)接入模塊相連。同時(shí)，核心層交換機(jī)Cswitch1的端口GigabitEthernet3/1~ GigabitEthernet3/2分別下連到分布層交換機(jī)DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet0/1。</p><p>　　如圖 2-37所示，給出了對上述端口的配置命令。</p>&l

75、t;p>　　圖 2-37 設(shè)置核心層交換機(jī)Cswitch1的各個端口參數(shù)</p><p>　　此外，為了提供主干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計(jì)，在本設(shè)計(jì)中，將核心層交換機(jī)Cswitch1的千兆端口GigabitEthernet2/1、GigabitEthernet2/2聚合在一起實(shí)現(xiàn)200Mbps的千兆以太網(wǎng)信道，然后再連接到另一臺核心層交換機(jī)Cswitch2。</p><p>　　如圖

76、2-38所示，是設(shè)置核心層交換機(jī)Cswitch1的千兆以太網(wǎng)信道的步驟。</p><p>　　圖2-38 設(shè)置核心層交換機(jī)Cswitch1的千兆以太網(wǎng)信道</p><p>　　2.3.5 配置核心層交換機(jī)Cswitch1的路由功能</p><p>　　核心層交換機(jī)Cswitch1通過端口fastehernet4/3同廣域網(wǎng)接入模塊相連。因此，需要啟用核心層交換機(jī)的路

77、由功能。同時(shí)，還需要定義通往Internet 的路由。這里使用了一條缺省路由命令，如圖2-39所示。其中，下一跳地址是Internet 接入路由器的快速以太網(wǎng)接口fastehernet0/0的ip地址。</p><p>　　圖2-39 定義到Internet 的缺省路由如圖所示。</p><p>　　2.3.6 其它配置</p><p>　　為了實(shí)現(xiàn)對無類別網(wǎng)絡(luò)以及

78、全零子網(wǎng)的支持，在充當(dāng)3層交換機(jī)的核心層交換機(jī)Cswitch1上，還需要進(jìn)行相應(yīng)的配置，如圖2-40所示。</p><p>　　圖2-40定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持</p><p>　　2.3.7 核心層交換機(jī)Cswitch2的配置</p><p>　　對于圖2-1中的核心層交換機(jī)Cswitch2的配置步驟、命令和對核心層交換機(jī)Cswitch1的配置類似。這

79、里，不再詳細(xì)分析。同時(shí)，對于配置核心層交換機(jī)Cswitch2下連的一系列交換機(jī)，其連接方法以及配置步驟和命令同圖2-1中核心層交換機(jī)Cswitch1下連的一系列交換機(jī)的連接方法以及配置步驟和命令類似。這里也不再介紹。</p><p>　　第三章 廣域網(wǎng)接入模塊設(shè)計(jì)</p><p>　　在本實(shí)例設(shè)計(jì)中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器Router來完成的。采用的是Cisco 的36

80、40路由器。它通過自己的串行接口serial0/0使用DDN（128K）技術(shù)接入Internet。其作用主要是在Internet和校園內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問控制列表，廣域網(wǎng)接入路由器還可以用來完成以自身為中心的流量控制和過濾功能并實(shí)現(xiàn)一定的安全功能，如圖3-1所示。</p><p>　　圖3-1 廣域網(wǎng)接入路由器Router</p><p>　　3.1 配

81、置接入路由器Router的基本參數(shù)</p><p>　　對接入路由器的基本參數(shù)的配置步驟與對接入層交換機(jī)的基本參數(shù)的配置類似。這里，只給出實(shí)際的配置步驟，不再給出具體的解釋，如圖3-2所示。</p><p>　　圖3-2 配置接入路由器Router的基本參數(shù)</p><p>　　3.2 配置接入路由器的各個接口參數(shù)</p><p>　　對接入

82、路由器的各個接口參數(shù)的配置主要是對接口fastethernet0/0以及接口serial0/0的ip地址、子網(wǎng)掩碼的配置。如圖3-3所示，顯示了為接入路由器的各個接口設(shè)置ip地址、子網(wǎng)掩碼。</p><p>　　圖3-3 設(shè)置接入路由器的各個接口參數(shù)</p><p>　　3.3配置接入路由器的路由功能</p><p>　　在接入路由器上需要定義兩個方向上的路由：到校

83、園網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。</p><p>　　到Internet上的路由需要定義一定缺省路由，如圖3-4所示。其中，下一跳指定從本路由的接口serial0/0送出。</p><p>　　圖3-4 定義到Internet的缺省路由</p><p>　　到校園內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖3-5所示。</p&g

84、t;<p>　　圖 3-5 定義到校園網(wǎng)內(nèi)部的路由</p><p>　　3.4配置接入路由器上的NAT</p><p>　　由于目前ip地址資源非常稀缺，不可能給校園網(wǎng)內(nèi)部的所有工作站都分配一個共有ip地址。為了解決所有工作站訪問Internet的需要，必須使用NAT技術(shù)。</p><p>　　為了接入Internet，本校園網(wǎng)向當(dāng)?shù)豂SP申請了5個i

85、p地址。此ip地址分配給接入路由器的串行接口并作用NAT。</p><p>　　NAT的配置可以分為以下幾個步驟：</p><p>　　1、定義NAT內(nèi)部、外部接口</p><p>　　如圖 3-6所示定義NAT內(nèi)部、外部接口</p><p>　　圖 3-6 定義NAT內(nèi)部、外部接口</p><p>　　2、定義允許進(jìn)

86、行NAT的工作站的內(nèi)部局部ip地址范圍</p><p>　　圖 3-7 定義工作站的內(nèi)部局部地址范圍</p><p>　　3、為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換</p><p>　　圖3-8顯示了如何為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換</p><p>　　圖 3-8 為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換</p><p>　　4、為其他工作站定義復(fù)用地

87、址轉(zhuǎn)換</p><p>　　圖 3-9 為工作站定義復(fù)用地址轉(zhuǎn)換</p><p>　　3.5 配置接入路由器上的ACL</p><p>　　路由器是外網(wǎng)進(jìn)入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、

88、硬件防火產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進(jìn)行縝密的設(shè)計(jì)，來對企業(yè)網(wǎng)包括防火墻本身實(shí)施保護(hù)。</p><p>　　在本實(shí)例設(shè)計(jì)中，將針對服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器上ACL的配置方案。</p><p>　　在網(wǎng)絡(luò)環(huán)境中普遍存在著一些非常重要的、影響服務(wù)器群

89、安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計(jì)：</p><p>　　1、對外屏蔽簡單網(wǎng)管協(xié)議，即SNMP</p><p>　　利用這個協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRAP。</p><p>　　如圖3-10所示，顯示了如何設(shè)置對外屏蔽簡單網(wǎng)管協(xié)議SNMP。<

90、;/p><p>　　圖3-10 對外屏蔽簡單網(wǎng)關(guān)協(xié)議SNMP</p><p>　　2、對外屏蔽遠(yuǎn)程登錄協(xié)議telnet</p><p>　　首先，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器，并可以使用相關(guān)命令完全操縱它們。其次，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)

91、絡(luò)上的非法協(xié)議分析設(shè)備截獲。這是極其危險(xiǎn)的，因此必須加以屏蔽。</p><p>　　如圖3-11所示，顯示了如何對外屏蔽遠(yuǎn)程登錄協(xié)議telnet。</p><p>　　圖 3-11 對外屏蔽遠(yuǎn)程登錄協(xié)議telnet</p><p>　　3、對外屏蔽其它不安全的協(xié)議或服務(wù)</p><p>　　這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口204

92、9，遠(yuǎn)程執(zhí)行（rsh）、遠(yuǎn)程登錄和遠(yuǎn)程命令端口512、513、514，遠(yuǎn)程過程調(diào)用端口111.可以將針對以上協(xié)議綜合進(jìn)行設(shè)計(jì)，如圖3-12所示。</p><p>　　圖3-12 對外屏蔽其它不安全的協(xié)議或服務(wù)</p><p>　　4、針對DoS攻擊的設(shè)計(jì)</p><p>　　針對DoS攻擊是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)

93、程停止，嚴(yán)重時(shí)會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。圖3-13顯示了如何設(shè)計(jì)針對常見DoS攻擊的ACL。</p><p>　　圖3-13 針對DoS攻擊的設(shè)計(jì)</p><p>　　5、保護(hù)路由器的自身安全</p><p>　　作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。應(yīng)只允許來自服務(wù)器群的ip地址訪

94、問并配置路由器。這時(shí)，可以使用ACCESS-CLASS命令進(jìn)行VTY訪問控制。如圖3-14所示。</p><p>　　圖3-14 保護(hù)路由器自身安全</p><p><b>　　3.6其它配置</b></p><p>　　為了實(shí)現(xiàn)對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持，在接入路由器上還需要進(jìn)行適當(dāng)?shù)呐渲茫鐖D3-15所示。</p><

95、;p>　　圖3-15 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持</p><p>　　第四章 遠(yuǎn)程訪問模塊設(shè)計(jì)</p><p>　　遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)提供服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供遠(yuǎn)程、移動接入服務(wù)。如圖4-1所示。</p><p><b>　　圖4-1</b></p><p>　　遠(yuǎn)程服務(wù)類型有

96、三種：分別是專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。本設(shè)計(jì)采用了異步撥號連接作為遠(yuǎn)程訪問的技術(shù)手段。</p><p>　　4.1 配置物理線路的基本參數(shù)</p><p>　　對物理線路的配置包括配置線路速度（DTE、DCE之間的速率）、停止位數(shù)、流控方式、允許呼入連接的協(xié)議類型、允許流量的方向等。如圖4-2所示</p><p&g

97、t;　　圖4-2 配置物理線路的基本參數(shù)</p><p>　　4.2 配置接口基本參數(shù)</p><p>　　對接口基本參數(shù)的配置包括：接口封裝協(xié)議類型、接口異步模式、ip地址、為遠(yuǎn)程客戶分配ip地址的方式等，如圖4-3所示。這里，設(shè)置遠(yuǎn)程客戶從ip地址池liuqing中獲取ip地址。</p><p>　　圖4-3 配置接口基本參數(shù)</p><p&

98、gt;　　接下來，需要建立一個本地的ip地址池。如圖4-4所示，建立了一個名為liuqing的ip地址池。其中ip地址范圍是：192.168.200.1~192.168.200.16。</p><p>　　圖4-4 指定ip地址池</p><p>　　4.3 配置身份認(rèn)證</p><p>　　PPP提供了兩種可選的身份認(rèn)證方法：口令驗(yàn)證協(xié)議PAP和質(zhì)詢握手協(xié)議CHA

99、P，本設(shè)計(jì)中將采用PAP身份認(rèn)證方法。</p><p>　　1、建立本地口令數(shù)據(jù)庫</p><p>　　如圖4-5所示建立本地口令數(shù)據(jù)庫。</p><p>　　圖4-5 建立本地口令數(shù)據(jù)庫</p><p>　　2、設(shè)置進(jìn)行PAP認(rèn)證</p><p>　　如圖4-6所示設(shè)置進(jìn)行PAP認(rèn)證。</p><

100、p>　　圖4-6 設(shè)置進(jìn)行PAP認(rèn)證</p><p>　　第五章 服務(wù)器模塊設(shè)計(jì)</p><p>　　服務(wù)器模塊用來對校園網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計(jì)實(shí)例中，所有的服務(wù)器被集中到vlan 100，構(gòu)成服務(wù)器群并通過分布層交換機(jī)的端口fastehernet1~20接入校園網(wǎng)。圖5-1所示。</p><p><b>　　圖5-1</b>

101、;</p><p>　　校園網(wǎng)網(wǎng)絡(luò)提供的常用服務(wù)器包括：Web服務(wù)器：提供web網(wǎng)站的服務(wù)。DNS、目錄服務(wù)器：提供域名解析以及目錄服務(wù)。FTP、文件服務(wù)器：提供文件傳輸、共享服務(wù)。網(wǎng)管服務(wù)器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。如圖5-2所示。顯示了各服務(wù)器ip地址配置情況。</p><p><b>　　圖5-2</b></p><p>　　表2

102、給出了所有的服務(wù)器硬件平臺、操作系統(tǒng)以及服務(wù)軟件的選型。</p><p><b>　　致謝:</b></p><p>　　在本次論文設(shè)計(jì)過程中，**老師對該論文從選題，構(gòu)思到最后定稿的各個環(huán)節(jié)給予細(xì)心指引與教導(dǎo),使我得以最終完成畢業(yè)論文設(shè)計(jì)。在學(xué)習(xí)中,老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、豐富淵博的知識、敏銳的學(xué)術(shù)思維、精益求精的工作態(tài)度以及侮人不倦的師者風(fēng)范是我終生學(xué)習(xí)的楷模，導(dǎo)師們

103、的高深精湛的造詣與嚴(yán)謹(jǐn)求實(shí)的治學(xué)精神，將永遠(yuǎn)激勵著我。這三年中還得到眾多老師和同學(xué)的關(guān)心支持和幫助。在此，謹(jǐn)向老師和同學(xué)們致以衷心的感謝和崇高的敬意！</p><p>　　最后，我要向百忙之中抽時(shí)間對本文進(jìn)行審閱，評議，對幫助我的同學(xué)和參與本人論文答辯的各位老師表示感謝。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1]

104、 賀平、沈岳、汪雙頂，《 路由、交換和無線項(xiàng)目試驗(yàn)指導(dǎo)書》2007年12月出版</p><p>　　[2] 鐘樂海、王朝斌、李艷梅，《網(wǎng)絡(luò)安全技術(shù)》 2008年05月出版</p><p>　　[3] 尹敬齊，《局域網(wǎng)組建與管理》 2008年04月出版</p><p>　　[4] 譚方勇，《交換與路由技術(shù)實(shí)用教程》2008年07月出版</p><p