中小型校园网设计方案实例

1 中小型校园网设计方案实例 1 系统总体设计方案概述 校园网络 （ 文中也称为园区网络）是非常典型 的 综合网络实例 。 为了阐明主要问题，在本设计方案中对实际校园网的设计进行了适当的 和 必要的简化 。 同时 ， 将重点放在网络 主 干的设计上 ， 对于服务器的架设只作 简 单介绍，具体内容参考有关参考书 。 如 图 1示，是该校园网网络的总体拓扑结构图 。 图 1校园网网络的总体拓扑结构 2 在上面的拓扑图中，学校 的 6 个主要集中接入点（计算机系 、管理系、 建 筑系 、 财 务处 、 教 务处 、 学 生宿舍 ） 通过冗余的光纤链路上连到信息中心的 核 心层交换机上 。 核心层交换机通 过 640 路由器接入因特网 。 此外 ， 教 工 宿舍及移动办公用户通过拨号方式接入路由 器 3640 来访问校园网内网及因 特 网 。 图中，以计算机系为例展示了每个建筑物内部的网络设备拓扑结构，并 给 出了信息中心内部的网络设备拓扑结构 。 在接下来的讨论中，我们将 展 开并详细讨论每个模块的设计内容 。 系统组成与拓扑结构 为了实现网络设备的统一，本 设计方案中完全采用同一厂家的网络产品 ， 即 司的网络设备构建。全网使用同一 厂 商设备的主要好处在于可 以 实 现各种不同网络设备功能的互相配合和补充 。 本校园网设计方案主要由以下四大部分构 成 ： 交换模 块 、 广域网接入模 块 、 远程访问模块、服务器模块 。 整个网络系统的拓扑结构图如图 1示 。 3 图 1园网整体拓扑结构图 址规划 在一个大、中型网络里 ， 的划分是必不可少的步 骤 之一。在本校 园 网设计实例中，整个校园网 中 址方案如 表 1 所示 。 表 1 址方案 4 除了 表 1 中的内容外，拨号用户 从 7 中动态取 得 址 。 为了简化起见，除了管 理 外，这里只规划 了 8 个 时为每 个 义了一个由拼音缩写组成 的 称 。 2 交换模块设计 一个好的校园网设计应该是一个分层 的 设计。一般分为三层设计模型 。 为了简化交换网络设计 、 提高交换网 络 的可扩展性 ， 在园区网内部数据交换 模 块的部 署是分层进行的 。 园区网数据交换设备可以划分为三个 层 次：访问层、分布层、核心层 。 传统意义上的数据交换发生 在 型的 第 2 层。现代交换技术还实现了 第 3 层交换和多层交换。高层交换技术的 引 入不但提高了园区网数据交换的效 率 ， 更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的 需 要 。 现代交换网络还引入了虚拟局域 网 （ 的 概 念 。广播域限制在单 个 部，减小了 各 主机的广播通信对其 他 影 响 。 在 需要通信的时 候 ， 可以利 用 路由技术 来 实 现 。 当网络管理人员需要管理的 交 换机数量众多时，可以使 用 中继协 议 5 （ 化管理，它只需在单独一台交换机上定 义 所 有 后通 过 议 将 义传播到本管理域中的所有交 换 机上。这样，大大减轻了网 络 管理人员的工作负担和工作强度 。 当园区网络的交换机数量增多、交换机间链路增加时，交换网络的复杂 性 可能会造成交换环路问 题 ，这需要通过 在各交换机上运行生成树 协 议（ 解决 。 访问层交换服务的实现配置访问层交换机 访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的 是 2950 24 口交换机 （ 。该 交 换 机拥 有 24 个 10/100适应快速以太网端口 ， 运行的 是 作系统。这里 ， 以 图 2的访问层交换 机 例进行介 绍。如 图 2示 ： 图 2问层交换机 配 置 访 问 层 交 换 机 基 本 参 数 1、设置交换机名 称 设置交换机名称，也就是出现在交换 机 示符中的名字。一般以地 理 位置或行政划分来为交换机命 名 。 当需 要 录到若干台交换机以维护 一 个大型网络时 ， 通过交换机名称提示 符 提示自己当前配置交换机的位置是 很 有 必要的 。 如图 2示，为访问层交换机 名。 6 图 2访问层交换机 名 2、设置交换机的加密使能口 令 当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。 此 口令会 以 的形式加密，因此，当用户查看配置文件时，无法看到明文 形 式的口令 。 如图 2示，将交换机的加密使能口令设置为 图 2交换机设置加密使能口令 3、设置登录虚拟终端线时的口 令 对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管 理 人 员提供了很多的方便 。 但是 ， 出于 安 全考虑 ， 在能够远程管理交换机之前 网 络管理人员必须设置远程登录交换机的口令 。 如 图 2所示，设置登录交换机时需要验证用户身份，同时设置口令 为 图 2访问层交换机 名 4、设置终端线超时时 间 为了安全考虑，可以设置终端线超时时间。在设置的时间内，如果没有 检 测到键盘输入 ， 断开用户和交换机之间的连接 。 7 如 图 2所示，设置登录交换机的控制台终端 线 路及虚拟终端线的超时 时 间 为 5 分 30 秒钟 。 图 2置控制台终端线路和虚拟终端线路的超时时间 5、设置禁 用 址解析特 性 在交换机默认配置的情况下，当输入一条错误的交换机命令时，交换机 会 尝试将其广播给网络上 的 务器并将其解析成对应的 址。利用命 令 no ip 以禁用这个特性。如 图 2示，设置禁 用 址 解 析特性 。 图 2置禁用 址解析特性 6、设置启用消息同步特 性 有时，用户输入的交换机 配置命令会被交换机产生的消息打乱。可以使 用 命 令 置交换机在下一 行 示符后复制用户的输入 。 如 图 2示，设置启用消息同步特性 。 图 2置启用消息同步特性 配 置 访 问 层 交 换 机 管 理 默 认 网 关 访问层交换机 是 考模型的 第 2 层设 备 ， 即数据链路层的设备 。 因此 ， 给访问层交换机的每个端口设 置 址是没意义 的 。 但 是 ，为了使网络管理 人 员 可以从远程登录到访问层交换机上 进 行管理 ， 必 8 须给访问层交换机设置 一 个 管理 用 址。这种情况下，实际上是将交换机看成 和 一样的主机 。 给交换机设置管理 用 址只能 在 本 征 进行。按 照 表 2管 理 所在的子网是 ： 4 ，这里将访问层交换 机 管 理 址设为 ： 4。如 图 2示，显示了 为 访问层交换 机 置管 理 激活本 征 图 2置访问层交换机 管理 了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网 关 地 址 图 2示 。 图 2置访问层交换机 默认网关地址 配 置 访 问 层 交 换 机 提高效率的角度出发，在 本 校园网实现实例中使用 了 术。同时 ， 将分 布层交换 机 置成 为 务 器 ，其他交换机设置成 为 户机 。 这 里 访 问 层 交 换 机 将通 过 获得在分 布 层 交 换 机 定义的所 有 信息 。 如 图 2示 ， 设置访问层交换 机 为 户机 。 图 2 设置访问层交换机 为 户机 置 访 问 层 交 换 机 口 基 本参 数 1、端口双工配 置 可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可 以 强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情 况 下，建议手动设置端口双工模式 。 如 图 2示，设置访问层交换 机 所有端口均工作在 全 双工模式 。 图 2置访问层交换机 端口工作模式 2、端口速 度 可以设定某端口根据对端设备速度自动调整本端口速度，也可以强 制将 端 口速度设 为 10 100了解对端设备速度的情况下，建议手动 设 置端口速度 。 如 图 2所示，设置访问层交换 机 的所有端口的速度均 为 100 图 2置访问层交换机 端口速度 配 置 访 问 层 交 换 机 访 问 端 口 10 访问层交换 机 终端用户提供接入服务 。 在 图 2 ， 访 问 层交换 机 供接入服务 。 如 图 2示，设置访问层交换 机 端 口 1端 口 10 工 作 在访问（接入）模式。同时，设置端 口 1端 口 10 为 0 的成员 。 图 2置访问层交换机 端口 1 10 2、设置访问层交换 机 端 口 11 20 如 图 2 示 ， 设置访问层交换 机 端 口 11端口 20 工 作 在访问 （ 接入 ） 模式。同时，设置端 口 1端 口 10 为 0 的成员 。 图 2置访问层交换机 端口 11 20 3、设置快速端 口 默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个 阶 段 ： 阻塞 、 侦听 、 学 习 、 转发 。 在能够转发用户的数据包之前 ， 某个端口可 能 最多要 等 50 秒钟的 时 间 （ 20 秒的阻塞时间 15 秒的侦听延迟时间 15 秒的 学 习延迟时间） 。 对于直接接入终端工作站 的端口来 说 ， 用于阻塞和侦听的时间是不必要 的 。 为了加速 交换机端口状态转化时间，可以设 置 将某端口设置成为快速端 口 11 （ 设置为快速端口的端口当交换机 启 动或端口有工作站接入 时 ， 将 会直接进入转发状态 ， 而不会经历阻塞 、 侦听 、 学习状 态 （假设桥接表已经 建 立） 。 如 图 2示，设置访问层交换 机 端 口 1端口 20 为 快 速端口 。 图 2置快速端口 置 访 问 层 交 换 机 主 干 道端 口 如 图 2示 ， 访 问 层 交 换 机 过 端 口 0/23 上 连 到 分 布 层 交 换 机 端 口 。 同 时 ， 访问层 交 换 机 通过端 口 。 这 两 条 上 连 链 路 将 成 为 主 干 道 链 路 ， 在 这 两 条 上 连 链 路 上将运输多 个 数据 。 如 图 2 示 ，设置访问层交换 机 端 口 、 。 图 2置主干道端口 配 置 访 问 层 交 换 机 12 访问层交换 机 0 和 0 的用户提供接入服务 。 同 时 ， 分 别通过自己 的 、 、 端 口 。 如 图 2示，是访问层交换 机 连接示意图 。 图 2问层交换机 连接示意图 对 访 问 层 交 换 机 的 配 置 步 骤 、命 令 和 对 访问 层 交 换 机 配置类 似 。 这 里 ， 不再 详 细分 析 ， 只给出最后的配置文件内 容 （只留下了 必要的命令） 。 需要指出的是，为了提供主干道的吞吐量，可以采用链路捆绑（快速以 太 网信道）技术增加可用带宽 。 例如 ， 可以将访问层交换 机 端 口 ， 然后再上连到分布层交换 机 样 ， 也可以将访 问 层交换 机 端 口 ， 然 后 再 上 连 到 分 布 层 交 换 机 体的配置步骤和命令将在核 心 层交换机的配置一节中进 行 介绍 。 访 问 层 交 换 机 的 其 它 可 选 配 置 1、 问层交换 机 通过两条冗余上行链路分别接入分布层交 换 机 、 在生成 树的作用下 ， 其 中一条上 行 链路处于转发状态 ， 而另一条上行链 路 处于阻塞状 13 态 。 当 处于转发状态的链 路 因故障断开后，经过最多大 约 50 秒钟的时间，处于阻塞状态的链路才能 替 代 故障链路工作 。 特性可以使得当主上行链路失败后，处于阻塞状态的上行链 路 （备份上行链路）可以立即启用 。 如 图 2示，是在访问层交换 机 启 用 性 。 同样的步骤也可以在访问层交换 机 进行配置 。 图 2用 性 注意 ， 性只能在访问层交换机上启用 。 2、 作用 与 似 ， 也用于加快生成树的收敛 。 所不 同 的是 ， 可以检测到间接链路 （ 非直 连 链路 ）故障并立即使得相 应 阻塞端口的最大寿命计时器到时 ， 从而缩短该端口可以开始转发数据包的 时 间 。 如 图 2 示 ， 是 在 访 问 层 交 换 机 启 用 性。同样的步骤需要在网络 中 的所有交换机上进行配置 。 图 2用 性 注意 ， 性需要在网络中所有交换机上进行配置 。 分布层交换服务的实现配置分布层交换机 分 布 层 除 了 负 责 将 访 问 层 交 换 机 进 行 汇 集 外 ， 还 为 整 个 交换网络提 供 的路由选择功能 。 14 这里的分布层交换机采用的 是 550 交换 机 。作 为 3 层交换机 ， 3550 交换机拥 有 24 个 10/100适应快速以太网端口 ， 同 时还 有 2 个 1000 口供上连使用 ， 运行的 是 作系统。这里，以 图 2的分布层交换 机 例进 行 介绍。如 图 2示 ： 图 2布层交换机 配 置 分 布 层 交 换 机 基 本 参 数 对分布层交换 机 的基本参数的配置步骤与对访问层交 换 机 基本参数的配置类似。这里 ， 只给出实际的配置步骤， 不 再给出具体解释，如 图 2示 。 图 2置分布层交换机 基本参数 15 配 置 分 布 层 交 换 机 管 理 默 认 网 关 如 图 2 示 ， 显示了为分布层交换 机 置管 理 激 活本 征 时，还设置了默认网关的地址 。 图 2布层交换机 管 理 认网关 配 置 分 布 层 交 换 机 网络中交换机数量很多时 ， 需要分别在每 台 交换机上创建很多重复 的 工 作量很 大 、 过程很繁 琐 ， 并且容易出 错 。 在实际工作中常采 用 继协议 （ 解决这个问题 。 许在一 台交换机上创建所有 的 后，利用交换机之间的 互 相学习功 能 ，将创建好 的 义传播到整个网络中需要此 义的 所 有交换机 上 。 同 时 ， 有 关 删 除 、 参数更改操作均可传播到其他交换机 。 从而大大减轻了网络管理人 员 配置交换机的负担 。 在 本 校 园 网 实 现 实 例 中 使 用 了 技 术 。 同 时 ， 将分布层交 换 机 置成 为 务器，其他交换机设置成 为 户机 。 1、配 置 理 域 共享相 同 义数 据库的交换机构成一 个 理域。每一个 理域都有一个共同 的 理域域名。不 同 理域的交换机之间不 交 换 告信息 。 如 图 216 所示， 将 理域的域名定义为 “ 图 2置 理域的域名 2、设 置 务 器 工作 在 务器模式下的交换机可以创 建 、 删 除 修 改 数。同时，还有责任发送和转 发 新消息 。 如 图 2示，设置分布层交换 机 为 务器 。 图 2置分布层交换机 为 务器 3、激 活 裁功 能 默认情况下主干道传输所 有 用户数据。有时，交换网络中某台 交 换机的所有端口都属于同 一 成 员 ，没有必要接收其他 用户 数 据 。 这 时 ， 可 以激活主干道上 的 裁功 能 。当激活 了 裁功能以后 ， 交换机将自动剪裁本交换机没有定义 的 据 。 在一 个 下，只需 要 在 务器上激 活 裁功能。同 一 下的所有其他交换机也将自动激 活 裁功能 。 如 图 2示，设置激 活 裁功能 。 图 2活 裁功能 17 在 分 布 层 交 换 机 定 义 本校园网实现实例 中 ， 除了默认的本 征 外 ， 又额外定义 了 8 个 如 表 2示 。 由于使用 了 术 ， 所以 ， 所 有 定义都只需要 在 务器 ， 即分布层交换 机 进行 。 如 图 2示，定义 了 8 个 时为每 个 名 。 配 置 分 布 层 交 换 机 端 口 基 本 参 数 分 布 层 交 换 机 端 口 0/1 0/10 为服务器群提供接入服务 ， 而端 口 、 。 此 外 ， 分 布 层 交 换 机 通 过 自 己 的 千 兆 端 口 。 为 了 实 现 冗 余 设 计 ， 分 布 层 交 换 机 通过自己的千 兆端 口 0/2 连 接 另 一 台 到 分 布 层 交 换 机 的 。 如 图 2示，给出了对所有访问端口、主干 道 端口的配置步骤和命令 。 18 图 2义 2置分布层交换机 各端口参数 配 置 分 布 层 交 换 机 3 层 交 换 功 能 分布层交换 机 要为网络中的各 个 供路由功能 。 这需要首先启用分布层交换机的路由功能。如 图 2示 。 19 图 2用路由功能 接下来，需要为每 个 义自己的默认网关地址，如 图 2示 。 图 2义各 默认网关地址 此 外 ， 还 需要定义通 往 路 由 。 这里使用了一条缺省路由命 令 ， 如 图 2所示。其中 ， 下一跳地址 是 接入路由器的快速以 太网接 口 。 图 2义到 缺省路由 20 配 置 分 布 层 交 换 机 布 层 交 换 机 端 口 、。 此 外 ， 分 布 层 交 换 机 通 过 自 己 的 千 兆 端 口 。 为了实现冗余设计，分布层交换 机 还通过自己的千兆 端 口 。如 图 2示 。 图 2布层交换机 分布层交换 机 的配置步骤、命令和对分布层交换 机 配置类似。这里 ， 不再详细分析 。 它配 置 为 了 实 现 对 无 类 别 网 络 （ 以及全零子网（ 的支持 ， 在充 当 3 层 交 换 机 的 分 布 层 交 换 机 ， 还需要进 行 相应的配置 ， 如 图 2示 。 图 2义对无类别网络以及全零子网的支持 21 核心层交换服务的实现配置核心层交换机 核心层将各分布层交换机互连起来进 行 穿越园区网骨干的高速数据交换 。 本实例中的核心层交换机采用的 是 4006 交换机 ， 采用 了 500 I 作为交换机引 擎 。 运 行的 是 作系统 ， 其镜像文件 是 在作为核心层交换机 的 006 交换机 中 ，安装 了 000 6（ 模 块 ， 该模块提 供 了 5 个千兆光纤上连接口 ， 可以用来接 入 1000（ ） 。 这里 ， 以 图 2的核心层交换 机 例进行介绍。如 图 2示 ： 图 2心层交换机 配 置 核 心 层 交 换 机 基 本 参 数 对核心层交换 机 基本参数的配置步骤与对访问层交换 机 基本参数的配置类 似 。 这 里 ， 只 给出实际的配置步 骤 ， 不再 给 出具体解释，如 图 2示 。 22 图 2置核心层交换机 基本参数 配 置 核 心 层 交 换 机 管 理 默 认 网 关 如 图 2 示 ， 显 示了为核心层交换 机 置管 理 激活 本 征 时，还设置了默认网关的地址 。 图 2心层交换机 管理 认网关 配 置 核 心 层 交 换 机 的 本实例中，核心层交换 机 将作 为 户机 。 这 里 核 心 层 交 换 机 通 过 得 在 分 布 层 交 换 机 定义的所 有 信息 。 如 图 2示，设置核心层交换 机 为 户 23 机 。 图 2置核心层交换机 为 户机 配 置 核 心 层 交 换 机 端 口 参 数 核心层交换 机 过自己的端 口 4/3 同广域网接 入 模块 （ 路由器 ） 相 连 。 同 时 ， 核 心 层 交 换机 的端 口 3/1 3/2 分 别 下 连 到 分 布 层 交 换 机 端 口 。 如 图 2示，给出了对上述端口的配置命令 。 图 2置核心层交换机 各端口参数 此外 ， 为了提供主干道的吞吐量以及实现冗余设计 ， 在本设计中 ，将核 心 层交换 机 千 兆 端 口 、， 然后再连接到另一台核心层交换 机 如 图 2示，是设置核心层交换 机 千兆以太网信道的 步 骤 。 24 图 2置核心层交换机 千兆以太网信道 配 置 核 心 层 交 换 机 路 由 功 能 核心层交换 机 通过端 口 4/3 同广域网接入模 块 （ 由 器 ） 相 连 。 因 此 ， 需要启用核心层交换机的路由功 能 。同 时 ， 还 需要定义通 往 路 由 。 这里使用了一条缺省路由命 令 ，如 图 2示 。 其中，下一跳地址 是 入路由器的快速以太网接 口 。 图 2义到 缺省路由如图所示。 它配 置 为 了 实 现 对 无 类 别 网 络 （ 以 及 全 零 子 网（ 的支持 ， 在充 当 3 层交换机的核 心 层交换 机 也需要进行相应 的 配置 ， 如 图 2示 。 图 2义对无类别网络以及全零子网的支持 核 心 层 交 换 机 配 置 对于 图 2 配置步 骤 、 命令和对核心层 交 换 机 配置类似。这里 ， 不再详细 分 析。同时，对于配置核心 层 交换 机 连的一系列交换机，其连 接 方法以及配置步骤和命令 同 图 2 连 25 的一系列交换机的连接方法以及配 置 步骤和命令类似。这里也不再赘述 。 3 广域网接入模块设计 在 本 实 例 设 计 中 ， 广 域 网 接 入 模 块 的 功 能 是 由 广 域 网 接 入 路 由 器 完成的。采 用的 是 3640 路由器。它通过自己的串 行 接 口 0/0 使 用 128K）技术接入 作用主要是 在 校园网内网间路由数据包 。 除了完 成 主要的路由任务外 ， 利 用访问控制列 表 （ ， 广域网接入路由 器 可以用来 完 成以自身为中心的流量控制 和 过滤功能并实现一定的安全功 能 ，如图 3示 。 图 3域网接入路由器 配置接入路由 器 基本参数 对接入路由 器 基本参数的配置步骤与对访问层交换 机 基本参数的配置类 似 。 这 里 ， 只 给出实际的配置步 骤 ， 不再 给 出具体的解释 ， 如 图 3示 。 26 图 3置接入路由器 基本参数 配置接入路由 器 各接口参数 对 接 入 路 由 器 的 各 接 口 参 数 的 配 置 主 要 是 对 接 口 、子网掩码的配置 。 如 图 3示 ， 显示了为接入路由 器 各接口设 置 址、 子 网掩码 。 图 3置接入路由器 各接口参数 配置接入路由 器 路由功能 在接入路由 器 需要定义两个方向上的路 由 ： 到校园网内 部 的静态路由以及 到 的缺省路由 。 到 的路由需要定义一条缺省路由 ， 如 图 3示 。 其中 ， 下一 跳 指定从本路由器的接 口 。 27 图 3义到 缺省路由 到校园网内部的路由条目可以经过路 由 汇总后形成两条路由条 目 。如 图 3示 。 图 3义到校园网内部的路由 配置接入路由 器 的 于目 前 址资源非常稀缺 ， 不可能给校园 网 内部的所有工作站都分 配 一个公 有 路由 的 ） 地 址 。 为了解决所有工作站访 问 需 要 ， 必须使 用 网络地址转换 ） 技术 。 为了接 入 本校园网向当 地 请 了 9 个 址。其中一 个 址 ： 分配给 了 入路由器的串行接 口 ， 另 外 8 个 址 ： 作 配置可以分为以下几个步骤 ： 1、定 义 部、外部接 口 图 3示了如何定 义 部、外部接口 。 28 图 3义 部、外部接口 2、定义允许进 行 工作站的内部局 部 址范 围 图 3示了如何定义允许进 行 内部局 部 址范围 。 图 3义工作站的内部局部 址范围 3、为服务器定义静态地址转 换 图 3示了如何为服务器定义静态地址转换 。 图 3服务器定义静态地址转换 4、为其他工作站定义复用地址 转 换 图 3示了如何为其他工作站定义复用地址转换 。 图 3工作站定义复用地址转换 配置接入路由 器 的 由器是外网进入校园网内网的第一道关卡 ， 是网络防御的前沿阵地。 路 由器上的访问控制列 表 （ 是保护内网安全的有效 手 段。一个设计良好的访问控制列表不 仅 可以起到控制网络流量、流向的作 用 ， 还可以在不增加网络系统软 、 硬件投 资 的情 29 况下完成一般软 、 硬件防火墙产 品 的功能 。 由 于路由器介于企业内网和 外 网之间 ， 是外网与内网进行通信时的 第 一道屏障 ， 所以即使在网络系统安装 了 防火墙产品后 ， 仍 然有必要对路由器 的 访问控制列表进行缜密的设计，来对 企 业内网包括防火墙本身实施保护 。 在本实例设计中，将针对服务器以及内网工作站的安全给出广域网接入 路 由 器 配置方案 。 在网络环境中普遍存在着一些非常重要的、影响服务器群安全的隐患。 在 绝大多数网络环境的实现中它们都是应该对外 加 以屏蔽的 。主要应该做以 下 的 计 ： 1、对外屏蔽简 单网管协议， 即 利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有 两 种服务类型 ： 如 图 3示，显示了如何设置对外屏蔽简单网管协 议 图 3外屏蔽简单网管协议 、对外屏蔽远程登录协 议 先 ， 以登录到大多数网络设备 和 务 器 ， 并可以使用相 关 命令完全操纵它们 。 其次 ， 一种不安全的协议类型 。用户在使 用 录网络设备或服务器 时所使用的用 户 名和口令在网络中是以明文传输的 ， 很 容易被网络上的非法协议分析设备截 获 。这是极其危险 的 ， 因此必须加以屏蔽 。 如 图 3示，显示了如何对外屏蔽远程登录协 议 30 图 3外屏蔽远程登录协议 、对外屏蔽其它不安全的协议或服 务 这样的协议主要 有 S 的文件共享协议端 口 2049，远程执行（ 、 远程登录 （ 远