企业网中型局域网组建方案

1、一、概述- 设计者： xxxx- 机构： xx大学校园- 校园占地面积： 200 多万平方米- 教职工人数： 4000- 学生总数 : ：3 万余人- 网络面临的挑战： 网络具有传递语音、图形、图像等多种信息媒体功能，具备性能优越的资源共享功能； 校园网中各终端间具有快速交换功能； 中心系统交换机采用虚拟网技术，对网络用户具有分类控制功能； 对网络资源的访问提供完善的权限控制； 网络具有防止及便于捕杀病毒功能，以保证网络使用安全； 校园网与 internet 网相连后，应具有“防火墙”过滤功能， 以防止网络黑客入侵网络系统； 可对接入因特网的各网络用户进行权限控制。-关键网络系统： cisco

2、 3640 路由器、 cisco catalyst 2950 24口交换机（ ws-c2950-24）、 cisco catalyst 3550 交换机、 cisco catalyst 4006 交换机-网络解决办法：对校园网系统整体方案设计；对访问层交换机进行配置；对分布层交换机进行配置；对核心层交换机进行配置；对广域网接入路由器进行配置；对远程访问服务器进行配置；对整个校园网系统进行诊断；二、分析：路由、交换与远程访问技术不仅仅是思科的 ccnp课程及考试的重点。更是现代计算机网络领域中三大支撑技术体系。 它们几乎涵盖了一个完整园区网实现的方方面面。常常有学员说无法学以致用，其实， ccn

3、p课程中的每个章节都对应着实际工程中的每个小的案例。 只不过，实际工程是各个小案例的综合。 在遇到一个实际工程的时候， 我们不防采用自顶向下、 模块化的方法、 参考 3 层模型.来进行工程的设计和实施。三、系统总体设计方案概述为了阐明主要问题，在本设计方案中对实际校园网的设计进行了适当和必要的简化。同时，将重点放在网络主干的设计上， 对于服务器的架设只作简单介绍。（一） 1.1系统组成与拓扑结构为了实现网络设备的统一， 本设计方案中完全采用同一厂家的网络产品， 即 cisco 公司的网络设备构建。 全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。本校园网设计方案主要由

4、以下四大部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。1.2vlan及 ip 地址规划（二）、交换模块设计为了简化交换网络设计、 提高交换网络的可扩展性， 在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。2.1访问层交换服务的实现配置访问层交换机访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是 cisco catalyst2950 24 口交换机（ ws-c2950-24）。交换机拥有 24 个 10/100mbps自适应快速以太网端口，运行的是 cisco 的 ios 操作系统。2.2 配置访问层交换机acc

5、essswitch1 的基本参数（1）设置交换机名称设置交换机名称， 也就是出现在交换机 cli 提示符中的名字。 一般我们会以地理位置或行政划分来为交换机命名。当我们需要 telnet 登录到若干台交换机以维护一个大型网络时， 通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。（2）设置交换机的加密使能口令当用户在普通用户模式而想要进入特权用户模式时， 需要提供此口令。 此口令会以 md5的形式加密， 因此，当用户查看配置文件时， 无法看到明文形式的口令。（3）设置登录虚拟终端线时的口令对于一个已经运行着的交换网络来说， 交换机的带内远程管理为网络管理人员提供了很多的方便。 但是

6、，处于安全考虑， 在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。（4）设置终端线超时时间为了安全考虑， 可以设置终端线超时时间。 在设置的时间内， 如果没有检测到键盘输入， ios 将断开用户和交换机之间的连接。（5）设置禁用 ip 地址解析特性在交换机默认配置的情况下， 当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的dns服务器并将其解析成对应的ip 地址。利用命令no ip domain-lookup。可以禁用这个特性（6）设置启用消息同步特性有时，用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用命.令 logging synchronous

7、 设置交换机在下一行 cli 提示符后复制用户的输入。 2.3 配置访问层交换机 accessswitch1 的管理 ip 、默认网关访问层交换机是 osi 参考模型的第 2 层设备，即数据链路层的设备。因此，给访问层交换机的每个端口设置 ip 地址是没意义的。但是，为了使网络管理人员可以从远程登录到访问层交换机上进行管理， 必要给访问层交换机设置一个管理用 ip 地址。这种情况下，实际上是将交换机看成和 pc机一样的主机。给交换机设置管理用ip 地址只能在 vlan1，即本征 vlan中进行。为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址 .3配置访问层交换机acces

8、sswitch1 的 vlan及 vtp从提高效率的角度出发， 在本校园网实现实例中使用了 vtp技术。同时，将分布层交换机 distributeswitch1 设置成为 vtp 服务器，其他交换机设置成为vtp客户机。这里访问层交换机 accessswitch1 将通过 vtp 获得在分布层交换机 distributeswitch1 中定义的所有 vlan的信息。设置访问层交换机accessswitch1 成为 vtp客户机。4配置访问层交换机accessswitch1 端口基本参数（1）端口双工配置可以设定某端口根据对端设备双工类型自动调整本端口双工模式， 也可以强制将端口双工模式设为半双

9、工或全双工模式。 在了解对端设备类型的情况下， 建议手动设置端口双工模式。如图所示，设置访问层交换机accessswitch1 的所有端口均工作在全双工模式。图设置访问层交换机accessswitch1 的端口工作模式（ 2）端口速度可以设定某端口根据对端设备速度自动调整本端口速度， 也可以强制将端口速度设为 10mpbs或 100mbps。在了解对端设备速度的情况下，建议手动设置端口速度。如图所示，设置访问层交换机accessswitch1的所有端口的速度均为100mbps。.图设置访问层交换机accessswitch1 的端口速度5配置访问层交换机accessswitch1 的访问端口访问

10、层交换机 accessswitch1 为终端用户提供接入服务。 在图中，访问层交换机 accessswitch1 为 vlan10、vlan20提供接入服务。（1）设置访问层交换机accessswitch1 的端口 1 10如图所示，设置访问层交换机accessswitch1 的端口 1端口 10 工作在访问（接入）模式。同时，设置端口1端口 10 为 vlan 10的成员。图设置访问层交换机accessswitch1 的端口 110（ 2）设置访问层交换机 accessswitch1 的端口 1120如图所示，设置访问层交换机 accessswitch1 的端口 11端口 20 工作在访问（

11、接入）模式。同时，设置端口1端口 10 为 vlan 20的成员。.图设置访问层交换机 accessswitch1 的端口 1120（ 3）设置快速端口默认情况下，交换机在刚加电启动时， 每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。在能够转发用户的数据包之前，某个端口可能最多要等 50 秒钟的时间（ 20 秒的阻塞时间 15 秒的侦听延迟时间 15 秒的学习延迟时间）。对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口（ portfast ）。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会

12、直接进入转发状态， 而不会经历阻塞、侦听、学习状态（假设桥接表已经建立） 。如图所示，设置访问层交换机 accessswitch1 的端口 1端口 20 为快速端口。图设置快速端口6配置访问层交换机accessswitch1 的主干道端口如图所示，访问层交换机accessswitch1 通过端口 fastethernet0/23 上连到分布层交换机distributeswitch1的端口 fastethernet0/23 。同时，访问层.交换机 accessswitch1 还通过端口 fastethernet 0/24 上连到分布层交换机 distributeswitch2 的端口 faste

13、thernet 0/23 。这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个vlan的数据。如图所示，设置访问层交换机accessswitch1 的端口 fastethernet 0/23、fastethernet 0/24为主干道端口。图设置主干道端口switch(config)#spanning-tree uplinkfast7配置访问层交换机accessswitch2访问层交换机 accessswitch2 为 vlan 30和 vlan 40的用户提供接入服务。同时，分别通过自己的 fastethernet 0/23 、 fastethernet 0/24 上连到分布层交换

14、机 distributeswitch1 、distributeswitch2 的端口 fastethernet 0/24 。如图所示，是访问层交换机accessswitch2 的连接示意图。图访问层交换机accessswitch2 的连接示意图对访问层交换机 accessswitch2 的配置步骤、命令和对访问层交换机 accessswitch1 的配置类似。.8访问层交换机的其它可选配置（1）uplinkfast访问层交换机accessswitch1通过两条冗余上行链路分别接入分布层交换机 distributeswitch1和、 distributeswitch2 。在生成树的作用下，其中一

15、条上行链路处于转发状态， 而另一条上行链路处于阻塞状态。 当处于转发状态的链路因故障断开后，经过大约 50 秒钟的时间，处于阻塞状态的链路才能替代故障链路工作。uplinkfast特性可以使得当主上行链路失败后，处于阻塞状态的上行链路（备份上行链路）可以立即启用。如图所示，是在访问层交换机 accessswitch1 上启用 uplinkfast 特性。同样的步骤也可以在访问层交换机 accessswitch2 上进行配置。图启用 uplinkfast特性注意， uplinkfast特性只能在访问层交换机上启用。（2）backbonefastbackbonefast 的作用与 uplinkfa

16、st 类似，也用于加快生成树的收敛。所不同的是， backbonefast 可以检测到间接链路（非直连链路）故障并立即使得相应阻塞端口的最大寿命计时器到时，从而缩短该端口可以开始转发数据包的时间。如图所示，是在访问层交换机accessswitch1 上启用 backbonefast 特性。同样的步骤需要在网络中的所有交换机上进行配置。.图启用 backbonefast 特性注意， backbonefast 特性需要在网络中所有交换机上进行配置。2.2分布层交换服务的实现配置分布层交换机分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供 vlan 间的路由选择功能。这里的分布层交换机采

17、用的是 cisco catalyst 3550 交换机。作为 3 层交换机，cisco catalyst 3550 交换机拥有 24 个 10/100mbps 自适应快速以太网端口，同时还有 2 个 1000mbps的 gbic端口供上连使用，运行的是 cisco 的 integrated ios 操作系统。我们以图 1-1 中的分布层交换机 distributeswitch1 为例进行介绍。如图 2-1 所示：图分布层交换机distributeswitch11配置分布层交换机distributeswitch1的基本参数.对分布层交换机 distributeswitch1 的基本参数的配置步骤

18、与对访问层交换机 accessswitch1 的基本参数的配置类似。这里，只给出实际的配置步骤。图配置分布层交换机distributeswitch1的基本参数2配置分布层交换机distributeswitch1的管理 ip 、默认网关如图 2-3 所示，显示了为分布层交换机distributeswitch1设置管理 ip 并激活本征 vlan。同时，还设置了默认网关的地址。图分布层交换机distributeswitch1的管理 ip 、默认网关3配置分布层交换机distributeswitch1的 vtp当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的vlan。工作量很大、过程很

19、繁琐，并且容易出错。 我们常采用 vlan中继协议（vlantrunking protocol， vtp）来解决这个问题。vtp允许我们在一台交换机上创建所有的 vlan。然后，利用交换机之间的互相学习功能，将创建好的 vlan定义传播到整个网络中需要此 vlan定义的所有交换机上。同时，有关 vlan的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机负担。在本校园网实现实例中使用了vtp技术。同时，将分布层交换机.distributeswitch1设置成为 vtp服务器，其他交换机设置成为vtp客户机。（1）配置 vtp管理域共享相同 vlan定义数据库的交换机构

20、成一个 vtp管理域。每一个 vtp管理域都有一个共同的 vtp管理域域名。不同 vtp管理域的交换机之间不交换 vtp 通告信息。如图 9-4-2 所示，将 vtp管理域的域名定义为 nciae 。图设置 vtp管理域的域名（2）设置 vtp服务器工作在 vtp服务器模式下的交换机可以创建、删除vlan、修改 vlan参数。同时，还有责任发送和转发vlan更新消息。如图所示，设置分布层交换机distributeswitch1成为 vtp服务器。图设置分布层交换机distributeswitch1成为 vtp服务器（3）激活 vtp剪裁功能默认情况下主干道传输所有vlan的用户数据。有时，交换

21、网络中某台交换机的所有端口都属于同一vlan的成员，没有必要接收其他vlan的用户数据。这时，可以激活主干道上的vtp剪裁功能。 当激活了 vtp剪裁功能以后， 交换机将.自动剪裁本交换机没有定义的vlan数据。在一个 vtp域下，只需要在 vtp服务器上激活 vtp剪裁功能。同一 vtp域下的所有其他交换机也将自动激活 vtp剪裁功能。如图所示，设置激活vtp剪裁功能。图激活 vtp剪裁功能4在分布层交换机distributeswitch1上定义 vlan在本校园网实现实例中，除了默认的本征vlan外，又定义了 8 个 vlan。由于使用了 vtp技术，所以所有vlan的定义只需要在 vtp

22、服务器，即分布层交换机 distributeswitch1上进行。如图所示，定义了8 个 vlan，同时为每个 vlan命名。图定义 vlan.5配置分布层交换机distributeswitch1的端口基本参数分布层交换机 distributeswitch1的端口 fastethernet 0/1fastethernet 0/10为服务器群提供接入服务，而端口fastethernet 0/23、fastethernet 0/24分别下连到访问层交换机accessswitch1 的端口fastethernet 0/23以及访问层交换机accessswitch2 的端口 fastethernet0

23、/23 。此外，分布层交换机distributeswitch1还通过自己的千兆端口gigabitethernet0/1 上连到核心交换机coreswitch1 的 gigabitethernet3/1 。为了实现冗余设计，分布层交换机 distributeswitch1还通过自己的千兆端口 gigabitethernet 0/2连接另一台到分布层交换机distributeswitch2的gigabitethernet 0/2。如图所示，给出了对所有访问端口、主干道端口的配置步骤和命令。图设置分布层交换机distributeswitch1的各端口参数6配置分布层交换机distributeswit

24、ch1的 3 层交换功能分布层交换机 distributeswitch1需要为网络中的各个vlan提供路由功能。这需要首先启用分布层交换机的路由功能。如图所示。.图启用路由功能接下来，需要为每个vlan定义自己的默认网关地址，如图所示。图定义各 vlan的默认网关地址此外，还需要定义通往 internet 的路由。这里使用了一条缺省路由命令，如图所示。其中，下一跳地址是 internet 接入路由器的快速以太网接口fastethernet 0/0的 ip 地址。.图定义到 internet的缺省路由7配置分布层交换机distributeswitch2分布层交换机 distributeswitc

25、h2的端口 fastethernet 0/23、fastethernet 0/24分别下连到访问层交换机accessswitch1 的端口fastethernet 0/24以及访问层交换机accessswitch2 的端口 fastethernet0/24 。此外，分布层交换机distributeswitch2还通过自己的千兆端口gigabitethernet0/1 上连到核心交换机coreswitch1 的 gigabitethernet3/2 。为了实现冗余设计，分布层交换机 distributeswitch2 还通过自己的千兆端口 gigabitethernet 0/2 连接到分布层交换

26、机 distributeswitch1 的 gigabitethernet 0/2 。如图所示。图分布层交换机distributeswitch2对分布层交换机 distributeswitch2 的配置步骤、命令和对分布层交换机 distributeswitch1 的配置类似。这里，不再详细分析。.8其它配置为了实现对无类别网络 （classless network ）以及全零子网（subnet-zero ）的支持，在充当 3 层交换机的分布层交换机 distributeswitch1 ，还需要进行适当的配置，如图所示。图定义对无类别网络以及全零子网的支持（三）、系统硬件、软件选型及版本1.1

27、核心层交换服务的实现配置核心层交换机核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。本实例中的核心层交换机采用的是cisco catalyst 4006交换机，采用了catalyst 4500 supervisor ii plus（ ws-x4013+）作为交换机引擎。运行的是cisco 的 integrated ios操作系统。在作为核心层交换机的cisco catalyst4006 交换机中，安装了 ws-x4306-gb（ catalyst 4000 gigabit ethernet module, 6-ports (gbic)）模块，该模块提供了 5 个千兆光纤上连接口

28、，可以用来接入 ws-g5484（1000base-sx short wavelength gbic (multimode only) ）。我们以图 1-1 中的核心层交换机 coreswitch1 为例进行介绍。如图 2-1 所示.1.2配置核心层交换机coreswitch1 的基本参数对核心层交换机 coreswitch1 的基本参数的配置步骤与对访问层交换机 accessswitch1 的基本参数的配置类似。这里，只给出实际的配置步骤，不再给出解释。图配置核心层交换机coreswitch1 的基本参数1.3 配置核心层交换机coreswitch1 的管理 ip 、默认网关如图所示，显示了

29、为核心层交换机 coreswitch1 设置管理 ip 并激活本征vlan。同时，还设置了默认网关的地址。.图核心层交换机coreswitch1 的管理 ip 、默认网关1.4配置核心层交换机coreswitch1 的的 vlan及 vtp在本实例中，核心层交换机coreswitch1 也将作为 vtp客户机。这 里 核 心层 交 换 机 coreswitch1 将 通 过 vtp 获得 在 分 布 层 交 换 机 distributeswitch1 中定义的所有 vlan的信息。如图所示，设置核心层交换机coreswitch1 成为 vtp客户机。图设置核心层交换机coreswitch1 成

30、为 vtp客户机1.5配置核心层交换机coreswitch1 的端口参数核心层交换机 coreswitch1 通过自己的端口fastethernet 4/3同广域网接入模块（ internet路由器）相连。同时，核心层交换机coreswitch1的端口gigabitethernet 3/1 gigabitethernet 3/2 分别 下 连 到 分 布 层 交 换 机 distributeswitch1 和 distributeswitch2 的端口 gigabitethernet 0/1 。如图所示，给出了对上述端口的配置命令。.图设置核心层交换机coreswitch1的各端口参数此外，为

31、了提供主干道的吞吐量以及实现冗余设计， 在本设计中， 将核心层交换机 coreswitch1 的千兆端口 gigabitethernet 2/1 、gigabitethernet 2/2 捆绑在一起实现 2000mbps的千兆以太网信道，然后再连接到另一台核心层交换机 coreswitch2 。如图所示，是设置核心层交换机coreswitch1 的千兆以太网信道的步骤。图设置核心层交换机coreswitch1 的千兆以太网信道1.4配置核心层交换机coreswitch1 的路由功能核心层交换机 coreswitch1 通过端口 fastethernet 4/3同广域网接入模块（ interne

32、t 路由器）相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往 internet 的路由。这里使用了一条缺省路由命令，如图所示。其中，下一跳地址是 internet 接入路由器的快速以太网接口 fastethernet 0/0的 ip 地址。图 2-2 定义到 internet 的缺省路由如图所示。 1.5 其它配置.为了实现对无类别网络 （classless network ）以及全零子网（subnet-zero ）的支持，在充当 3 层交换机的核心层交换机 coreswitch1 ，还需要进行适当的配置，如图所示。图定义对无类别网络以及全零子网的支持1.6 核心层交换机 co

33、reswitch2 的配置对于图 1-1- 中的核心层交换机 coreswitch2 的配置步骤、命令和对核心层交换机 coreswitch1 的配置类似。这里，不再详细分析。同时，对于配置核心层交换机 coreswitch2 下连的一系列交换机， 其连接方法以及配置步骤和命令同图 1-1- 中核心层交换机 coreswitch1 下连的一系列交换机的连接方法以及配置步骤和命令类似。这里，也不再赘述。（四）、广域网接入模块设计在 本 设 计 中 ， 广 域 网 接 入 模 块 的 功 能 是 由 广 域 网 接 入 路 由 器 internetrouter 来完成的。采用的是 cisco 的

34、3640 路由器。它通过自己的串行接口 serial 0/0 使用 ddn（128k）技术接入 internet 。它的作用主要是在 internet 和校园网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表（ access control list ，acl），广域网接入路由器 internetrouter 还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。.图 3-11.1配置接入路由器 internetrouter的基本参数对接入路由器 internetrouter 的基本参数的配置步骤与对访问层交换机 accessswitch1 的基本参数的配置类似。这里

35、，只给出实际的配置步骤，不再给出解释。图配置接入路由器 internetrouter的基本参数1.2配置接入路由器 internetrouter的各接口参数对 接入 路由器internetrouter的 各接 口参 数的 配置 主要 是对 接口fastethernet 0/0以及接口 serial 0/0的 ip 地址、子网掩码的配置。如图 2-3 所示，显示了为接入路由器internetrouter的各接口设置 ip 地址、子网掩码。.图接入路由器 internetrouter的管理 ip 、默认网关1.3配置接入路由器 internetrouter的路由功能在接入路由器 internetr

36、outer上需要定义两个方向上的路由：到校园网内部的静态路由以及到internet上的缺省路由。到 internet上的路由需要定义一条缺省路由，如图所示。其中，下一跳指定从本路由器的接口serial 0/0送出。图定义到 internet的缺省路由到校园网内部的路由条目可以经过路由汇总后形成两条路由条目。如图所示。.图定义到校园网内部的路由1.4配置接入路由器 internetrouter上的 nat由于目前 ip 地址资源非常稀缺，对不可能给校园网内部的所有工作站都分配一个公有 ip（ internet可路由的）地址。为了解决所有工作站访问internet的需要，必须使用nat（网络地址转

37、换）技术。为了接入 internet，本校园网向当地isp 申请了 9 个 ip 地址。其中一个 ip地址： 193.1.1.1被分配给了 internet接入路由器的串行接口，另外8 个 ip 地址： 202.206.222.1 202.206.222.8用作 nat。nat的配置可以分为以下几个步骤。（1）定义 nat内部、外部接口图显示了如何定义nat内部、外部接口。图定义 nat内部、外部接口（ 2）定义允许进行 nat的内部局部 ip 地址范围图显示了如何定义允许进行 nat的内部局部 ip 地址范围。.图定义内部局部ip 地址范围（ 3）为服务器定义静态地址转换图显示了如何为服务器

38、定义静态地址转换。图为服务器定义静态地址转换（ 4）为其他工作站定义复用地址转换图显示了如何为其他工作站定义复用地址转换。.snmp。图为工作站定义复用地址转换1.5置接入路由器 internetrouter上的 acl路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。 路由器上的访问控制列表 （access control list ，acl）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、 流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所

39、以即使在网络系统安装了防火墙产品后， 仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。在网络环境中还普遍存在着一些非常重要的、 影响服务器群安全的隐患。 在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的acl设计：（1）对外屏蔽简单网管协议，即snmp。利用这个协议， 远程主机可以监视、 控制网络上的其它网络设备。 它有两种服务类型： snmp和 snmptrap。如图所示，显示了如何设置对外屏蔽简单网管协议.图对外屏蔽简单网管协议snmp（ 2）对外屏蔽远程登录协议telnet首先， telnet 是一种不安全的协议类型。用户在使用

40、telnet 登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的， 很容易被网络上的非法协议分析设备截获。其次， telnet 可以登录到大多数网络设备和 unix服务器，并可以使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽。如图所示，显示了如何对外屏蔽远程登录协议telnet图对外屏蔽远程登录协议telnet（ 3）对外屏蔽其它不安全的协议或服务这样的协议主要有 sun os的文件共享协议端口 2049，远程执行（ rsh ）、远程登录（rlogin ）和远程命令（rcmd）端口 512、513、514，远程过程调用（sunrpc）端口 111。可以将针对以上协议综

41、合进行设计，如图所示。图对外屏蔽其它不安全的协议或服务（ 4）针对 dos攻击的设计dos攻击（ denial of service attack，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，.严重时会导致服务器操作系统崩溃。图显示了如何设计针对常见dos攻击的 acl图针对 dos攻击的设计（ 5）保护路由器自身安全作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制。应只允许来自服务器群的 ip 地址访问并配置路由器。这时，可以使用access-class命令进行 vty访问控制。如图所示图保护路由器自身安全1.6 其它配置为了实现对无类别网络 （classless network ）以及全零子网（subnet-zero ）的支持，在充当 3 层交换机的核心层交换机 coreswitch1 ，还需要进行适当的配置，如图所示。.图定义对无类别网络以及全零子网的支持五、远程访