三级交换网络的构建与实现

三级交换网络的构建与实现 摘 要 网络技术的高速发展的今天，企业网络的优劣已经成为衡量企业竞争力的标准之一。针对我校整体的特点，本文介绍了一个行业专业网络的整体设计方案。充分考虑到网络的负载均衡和稳定性能，所以本方案采用典型三层网络结构。其中，汇聚层采用三台设备，对接入层进行访问控制。路由协议则是选择安全性高、收敛速度快的 OSPF 协议。我们采用锐捷交换机带宽聚合技术将多条物理线路捆绑为一条逻辑链路，使其有更高带宽。服务器群组则重点介绍了 FTP、邮件服务器及 WEB服务器等企业中较常用到的服务器的软件选择及搭 建方法。对于网络中可能存在的安全威胁，针对不同的需求，方案中提出了 VLAN 技术、访问控制列表、防火墙技术以及VPN 等安全解决方案，以求构建一个安全、高效、可靠的企业网络。 关键词： 网络层次化，虚拟局域网，安全，控制列表，防火墙 Abstract As the high-speed development of the network technique, the quality of enterprise network has already become one of the standards that measure the competition ability of the enterprise. According to the characteristics of the whole school, this paper will introduce an overall design of professional network applying for enterprise. Seriously Considering the load balance and stability of the network, we adopt three layers structure in the design. Convergence Layer adopts three equipments to the access of access control. The routing protocol chooses the protocol of OSPF, which has high security and rapidly converging. The server applications set the point on introducing the method of creation and software selection for the common enterprise server applications, such as FTP, the mail server and the WEB server etc. In order to set up a safety, fuel-efficient and reliable enterprise network, we put forward the VLAN technique, the fire wall technique and VPN for the different needs in resisting the safety threaten. Key words: Hierarchical Network, Vlan, security,ACL, Firewall 目 录 1 引言 . 1 2 需求分析 . 2 2.1 项目背景 . 2 2.2 设计目标 . 2 2.3 用户现实要求 . 3 3 网络整体设计 . 3 3.1 网络拓扑 . 3 3.2 网络层次化设计 . 3 3.2.1 核心层设计 . 4 3.2.2 汇聚层设计 . 4 3.2.3 接入层设计 . 5 3.2.4 路由协议选择 . 6 3.3 VLAN 的划分及 IP 地址规划 . 7 4 各层相关配置信息 . 7 4.1 IP 地址规划 . 7 4.2 相关配置 . 8 4.2.1 接入层基本配置信息 . 8 4.2.2 汇聚层基本配置信息 . 8 4.2.3 核心层基本配置信息 . 9 4.2.4 路由器 RG-R1762 基本配置信息 . 10 4.2.5 防火墙基本配置 . 11 4.3 路由配置信息 . 13 4.3.1 RG-S3550-24-1 路由配置 . 13 4.3.2 RG-S6806E 路由配置 . 13 4.3.3 路由器 RG-R1762 配置 . 14 4.4 安全配置信息 . 14 4.4.1 接入层防病毒配置 . 14 4.4.2 汇聚层安全配置 . 15 4.5 防火墙安全策略 . 15 4.6 路由 器的 NAT 配置 . 19 5 总结 . 20 参考文献 . 21 致 谢 . 22 可以联系我： QQ 784695063 TEL1 1 引言 现代网络及其复杂，对企业的成功尤为关键。随着组织程序持续增加带宽、可靠性和功能要求，网络设计人员面临着快速构建和改进网络，使用新协议和技术的挑战。网络设计人员还面临着适应互联网行业的持续和快速变化的挑战。现代组织环境中的网络操作人员和设计人员需要设计健壮、可靠、可扩展的网络。 网络是 IT基础设施，随着 IT技术的发展和应用的普及，在广度和深度上不断扩展和加强，已渗透到各行各业和不同领域，从大型企业网到中小型企业网、从电信网络到行业网络、从研究型网络到应用型网络，基于 IP 的网络部署和网络应用快速发展。网络建设开 始于网络规划和设计，同时，网络规划与设计也是网络建设过程中最重要的环节。良好的网络规划与设计是保证网络快速、稳定、安全运行的基础和关键。网络规划与设计的不完善和不合理会导致许多问题，例如：网络基础设施不能满足网络应用的需求，网络建设和运行成本过高，网络投资大于网络的收益，由于网络结构的不灵活性、可扩展性差而阻碍整个网络和网络业务的发展等。 开放式网络体系结构和网络协议的标准化使得在技术上实现网络互联并不难，但是规划和设计一个适应复杂环境、综合各种因素、满足用户需求的网络却不是一件容易的事情。有些情况是从无到 有规划设计一个全新的网络，而有些时候则需要在现有的网络基础设施里融进新的技术、扩展网络规模以适应网络上的新应用或业务发展。网络规划与设计必须满足用户的网络建设需求，没有一种网络规划与设计方案可以适合所有的网络。网络技术和网络应用发展日新月异，网络规划与设计方法和技术也越来越复杂，更新越来越快；网络设计工具往往功能单一而且很容易过时；网络协议的多样化和复杂化也增加了网络设计的技术难度和复杂性；在Internet 时代，各种组织或企业不得不基于 IP 技术组建网络。尽管 IP 技术发展迅速，但 IP 网络固有的缺陷仍然使得构 建高校、高性能、高安全、高可靠性的网络不能成为一件轻松、容易的事情。因此，网络规划与设计是一项高技术含量、高层次而且具有很强的工程性的工作。除了要求网络设计人员或网络工程师系统掌握网络互连的基础理论和相关技术外，还需要了解网络规划与设计流程，清楚流程中每一个阶段的任务，掌握设计内容以及设计原则、设计方法等 1。 可以联系我： QQ 784695063 TEL2 2 需求分析 2.1 项目背景 XX 校园是一所有悠久历史的高等院校，学校有中心机房，科技楼、行政楼、教学楼、教工楼、职工宿舍 6 栋楼需要联网，上网人数大约规划为 300 人左右，所有PC机都采用 TCP/IP协议，经一级交换机互连到一起，各楼的交换机出口通过光纤上行连到网络中心的三层交换机，进入郑州市城域网。 2.2 设计目标 除保证可靠性、安全性、先进性和开放性原则外，要遵循： 实用性原则：建设设计网络系统的出发点是基于学校目前和将来发展的需要，具有很强的实用性。应实现各部门、各层次信息查询与管理工作的科学化、规范化，并在用户发展的基础上，不断地扩充和完善。 经济性原则：投资合理 ,有良好的性能价格比。还要注意到由于逻辑上业务网和管理网必须分开，所以建成后企业网应能提供多个网段的划分和隔离，并能做到灵活改变 配置，以适应企业办公环境的调整和改变，即 VLAN 的整体划分。 考虑到校内数据的重要性、保密性，为了保证校内网络顺利运行，保证网络的不间断运行，网络平台应具有以下一些特点： 高可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证，在设计中选用高可靠性网络产品，合理设计网络架构，制定可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各个系统的正常运行。 高性能 承载网络性能是网络通讯系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保障各种信息（数据、语音、图像）的高质量传输。 标准开 放性 支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于保证与其他网络（如公共数据网、行内其他网络）之间的平滑连接互通，以及将来网络的扩展。 灵活性及可扩展性 根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和设备的调整。 可管理性 对网络实行集中监测、分权管理、并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。 可以联系我： QQ 784695063 TEL3 安全性 制订统一的骨干网安全策略，整体考虑网络平台的安全性 2。 2.3 用 户现实要求 （ 1） 实现学校内部资源共享，即文件服务器，但是对不同的资源要有相应的权限。 （ 2）满足校内日常的教学，及资料数据的传输和存储。 （ 3）院校各部门可以通过即时通信软件联系，建立公司邮件服务器。 （ 4）打印机共享。 （ 5）公司内部要网络接入 Internet。 （ 6）架设院校 web 服务器，发布院校网站。 （ 7）为保证安全， Internet 与公司内部网络间应采用防护措施，防止外界对内部网络未经授权的访问 3。 3 网络整体设计 3.1 网络拓扑 计算机网络的组成元素可以分为两大类，即网络节点（又可 分为端节点和转发节点）和通信链路，网络中节点的互联模式叫网络的拓扑结构。网络拓扑定义了网络中资源的链接方式，局域网中常用的拓扑结构有：总线型结构、环形结构、星型结构。 考虑到学校的分布情况我们这里采用形形拓扑结构，星型拓扑结构是由通过点到点链路接到中央节点的各站点组成的。星型网络中有一个唯一的转发节点（中央节点），每一台计算机都通过单独的通信线路连接到中央节点。 在星型拓扑中利用中央节点可方便地提供服务和重新配置网络；单个连接点故障只会影响故障点连接的一个设备，不会影响全网，容易监测隔离故障、便于维护；任何 一个连接只涉及到中央节点和一个站点，控制介质访问的方法很简单、从而访问协议也十分简单 4。 3.2 网络层次化设计 网络的设计模型主要包括层次化设计模型和非层次化设计模型两种。随着网络技术的迅速发展和网上应用量的增长，非层次化的网络设计已经不适合当今企业的网络应用，由于非层次化网络没有适当的规划，网络最终会发展成为非结构的形式，这样当网络设备之间相互通信时，设备上的 CPU 必然会承担相当大的负载，不利于网络的 可以联系我： QQ 784695063 TEL4 运行和发展，当大量的数据在网络中传输时，容易引起线路拥堵甚至网络的瘫痪。所以我们选择层次化的网络设计 。 多层设计模块化的网络容量可随着日后 网络节点的增加而不断增大。多层次网络有很大的确定性，因此在运行和扩展过程中进行故障查找和排除非常简单。多层模式使网络的移植更为简单易行，因为它保留着基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔离。 针对实际情况我们采用典型的三层结构模型，即核心层、分布层（汇聚层）、接入层。每个层次有不同的功能。核心层作为整个网络系统的核心，起主要的功能是高速、可靠的进行数据交换。分布层主要进行接入层的数据流量汇聚，并对数 据流量进行访问控制。接入层主要提供最终用户接入网络的途径。主要进行 VLAN 的划分、与分布层的连接等。 3.2.1 核心层设计 网络核心层（设在中心机房）是网络的中心，其功能是实现高性能的交换和传输。因此核心层设备应该是高性能的交换机，可实现高速度的交换传输，以连接服务器等核心设备；并且非常可靠，实现不间断工作。所以我们选择使用一台 RG-S6806E 多业务万兆路由交换机高性能、高可靠性、高可用性是我们主要考虑的因素。本区的安全性可以由边界防火墙提供，如果有需要，还可以在 6806 上面部署安全策略，使得核心交换区 的安全性进一步的增强。 RG-S6806E 系列凭借众多智能服务将控制扩展到网络边缘，其中包括现金的服务质量（ QoS）、支持流量控制（ Flow Control），支持端口镜像（ Port Mirror），支持IGMP 侦听（ Snooping），生成树协议支持， ACL 访问控制支持、 802.1x 认证支持、 MAC绑定与过滤支持、背板带宽可扩展 1.6T、 6 个模块化插槽（ 2 个用于管理引擎模块）、交换容量达 400G、路由表项 256K。锐捷网络的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报（ ROI），从而 在延长部署寿命的同时降低了拥有成本。可为中型企业提供价格合理、易于使用的可扩展性、创新安全性、集成可靠性和 灵活性。 3.2.2 汇聚层设计 汇聚层主要进行接入 层的数据流量汇聚，并对数据流量进行访问控制。包括访问控制列表、 VLAN 路由等等。这里采用三台锐捷 RG-S3550-24 作为汇聚交换机。保证 可以联系我： QQ 784695063 TEL5 网络的高可用性和稳定性，避免单台核心设备的负载太重导致网络性能问题。 RG-S3550 系列交换机是一个创新的产品系列，它结合世界领先的易用性和高冗余性，有效的提升了堆叠式交换机在局域网中的工作效率。该系列交换机硬件支 持 2至 4 层的多层线速交换，提供二到七层的智能的流分类和完善的服务质量（ QoS）以及组播管理特性，支持完善的高性能路由协议，并可以实施灵活多样的 ACL 访问控制策略。可通过 SNMP、 Telnet、 Web 和 Console 口等多种方式提供丰富的管理。 RG-S3550系列交换机为各类型网络提供线速多层交换、完善的端到端的服务质量，丰富的安全设置和基于策略的网络管理，最大化满足高速、安全、智能的企业网新需求。此系列交换机具有以下特性： 1.高性能多层交换； 2.完备的安全控制； 3.丰富的组播特性； 4.完善的 QoS 策 略。 3.2.3 接入层设计 接入层主要提供最终用户接入网络的途径。主要是进行 VLAN 的划分、与分布层的连接等。这里接入层交换机采用锐捷 RG-S2126/S2150 系列智能以太网交换机以千兆以太链路和汇聚交换机相连接，并为用户终端提供 10/100M 自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。办公系统所需的各种服务器如 FTP服务器、邮件服务器、 DHCP 服务器等组成服务器群，连接到汇聚交换机的千兆模块上面 ,因此，内部的局域网采用三层结构组建 5。 网络总体拓扑如图如（ 3-1） 可以联系我： QQ 784695063 TEL6 图 3-1 网络综合 拓扑 3.2.4 路由协议选择 为达到路由快速收敛、寻址以及方便网络管理员管理的目的，我们采用动态路由协议，目前较好的动态路由协议是 OSPF 协议， OSPF 以协议标准化强，支持厂家多，受到广泛应用。考虑网络的扩展性、数据资源的保护等原因，我们选择 OSPF 路由协议。 OSPF 协议采用链路状态协议算法，每个路由器维护一个相同的链路状态数据库，保存整个 AS 的拓扑结构（ AS 不划分情况下）。一旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短路径树，然后再根据最短路径构造路由表。对于大型的网络，为了进一步减少路由协议通信流量，利于管理和计算。OSPF 将整个 AS 划分为若干个区域，区域内的路由器维护一个相同的链路状态数据库，保存该区域的拓扑结构。 OSPF 路由器相互间交换信息，但交换的信息不是路由，而是链路状态。 OSPF 定义了 5 种分组： Hello 分组用于建立和维护连接；数据库描述分组初始化路由器的网络拓扑数据库；当发现数据库中的某部分信息已经过时后，路由器发送链路状态请求分组，请求邻站提供更新信息；路由器使用链路状态更新分组来主动扩散自己的链路状态数据库或对链路状态请求 分组进行响应；由于 OSPF 直接运行在 IP 层，协议本身要提供确认机制，链路状态应答分组是对链路状态更新分组进行确认。 相对于其它协议， OSPF 有许多优点。 OSPF 支持各种不同鉴别机制，并且允许各个系统或区域采用互不相同的鉴别机制；提供负载均衡功能，如果计算出到某个目 可以联系我： QQ 784695063 TEL7 的站有若干条费用相同的路由， OSPF 路由器会把通信流量均匀地分配给这几条路由，沿这几条路由把该分组发送出去；在一个自治系统内可划分出若干个区域，每个区域根据自己的拓扑结构计算最短路径，这减少了 OSPF 路由实现的工作量； OSPF 属动态的 自适应协议，对于网络的拓扑结构变化可以迅速地做出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比， OSPF 在对网络拓扑变化的处理过程中仅需要最少的通信流量； OSPF 提供点到多点接口。 公司现有网络规划为 area0，内部网络设备都规划为 area0。后期若有分支机构各区域接入路由器根据区域不同使用动态协议，或者使用静态路由与动态路由结合的方式 6。 3.3 VLAN 的划分及 IP 地址规划 VLAN 的划分一般有三种方法，一是基于端口、二是基于 MAC 地址、最后是基于路由的划分。在这里 我们采用基于端口的划分，把一个或者多个交换机上的端口放到一个 VLAN 内，这个方法是最简单最有效的，网络管理人员只需要对网络设备的交换端口进行分配即可，不用考虑端口所连接的设备。 IP 地址是 TCP/IP 协议族中的网络层逻辑地址，它被用来唯一地标示网络中的一个节点。 IP 地址空间的分配，要与网络层次结构相适应，既要有效的利用地址空间，又要体现网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化 的收敛速度。 根据校园联网的情况，每个部门划分为一个 VLAN，各部门分别属于不同的网段，各部门之间在逻辑上被隔离，但是各部门间的通讯，可根据需要对汇聚层交换机进行配置来实现 7。 4 各层相关配置信息 4.1 IP 地址规划及整体拓扑 图 IP 地址规划如下： 设备名称 VLAN 端口名称 IP 地址 端口连接情况 RG-S3550-24-1 VLAN1 /24 F0/1-RG-S2150G VLAN2 /24 F0/2-RG-S2126G VLAN10 /24 F0/10-RG-S6806E-F0/10 可以联系我： QQ 784695063 TEL8 RG-S3550-24-2 VLAN3 /24 F0/1-RG-S2150G VLAN4 /24 F0/2-RG-S2126G VLAN10 /24 F0/10-RG-S6806E-F0/11 RG-S3550-24-3 VLAN5 /24 F0/1-RG-S2150G VLAN6 /24 F0/2-RG-S2126G VLAN10 /24 F0/10-RG-S6806E-F0/12 RG-S6806E VLAN10 /24 F0/10-RG-S3760-1F0/10 VLAN10 /24 F0/11-RG-S3760-2F0/10 VLAN10 /24 F0/12-RG-S3760-3F0/10 VLAN11 1/24 F0/13 防火墙 eth0 VLAN24 /24 F0/24-内网服务器 RG-R1762 Fastethernet1/0 2/24 F1/0-防火墙 eth1 Serial 1/2(DTE) 外网 IP 外网接口 4.2 相关配置 4.2.1 接入层基本配置信息 主要是创建 VLAN，将端口加入 VLAN， A 区 vlan 创建命令如下： Switch(config)#vlan 1 Switch(config-vlan)#exit Switch(config)#interface range fa 0/1-24 Switch(config-if-range)#switchport access vlan 1 说明： B 区、 C 区 配置同上。 4.2.2 汇聚层基本配置信息 创建 VLAN，分配 IP，命令如下： Switch(config)#vlan 1 Switch(config-vlan)#exit Switch(config)#vlan 2 Switch(config-vlan)#exit Switch(config)#vlan 10 Switch(config-vlan)#exit 创建 vlan 信息 可以联系我： QQ 784695063 TEL9 Switch(config)#interface fa 0/1 Switch(config-if)#switch access vlan 1 Switch(config-if)#exit Switch(config)#interface fa 0/2 Switch(config-if)#switch access vlan 2 Switch(config-if)#exit Switch(config)#interface fa 0/10 Switch(config-if)#switch access vlan 10 Switch(config-if)#exit 将端口加入 vlan Switch(config)#interface vlan 1 Switch(config-if)#ip address Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)#interface vlan 2 Switch(config-if)#ip address Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)#interface vlan 10 Switch(config-if)#ip address Switch(config-if)#no shutdown Switch(config-if)#exit 配置 VLAN IP 4.2.3 核心层基本配置信息 进行接入层的数据流量汇聚 ，并对数据流量进行访问控制。配置命令如下： switch(config)#vlan 10 switch(config-vlan)#exit switch(config)#vlan 11 switch(config-vlan)#exit switch(config)#vlan 24 switch(config-vlan)#exit 创建 vlan switch(config)#interface range fa 0/10-12 可以联系我： QQ 784695063 TEL10 switch(config-if-range)#switch access vlan 10 switch(config-if)#exit switch(config)#interface fa 0/13 switch(config-if)#switch access vlan 11 switch(config-if)#exit switch(config)#interface fa 0/24 switch(config-if)#switch access vlan 24 switch(config-if)#exit 分配端口 switch(config)#interface vlan 10 switch(config-if)#ip address switch(config-if)#no shutdown switch(config-if)#exit switch(config)#interface vlan 11 switch(config-if)#ip address 1 switch(config-if)#no shutdown switch(config-if)#exit switch(config)#interface vlan 24 switch(config-if)#ip address switch(config-if)#no shutdown switch(config-if)#exit 分配 vlan IP 4.2.4 路由器 RG-R1762 基本配置信息 基本配置命令如下： Red-Giantenable Red-Giant#config terminal Red-Giant#interface fa 1/0 Red-Giant(config-if)#ip address 2 Red-Giant(config-if)#no shutdown Red-Giant(config-if)#exit Red-Giant(config)#interface serial 1/2 Red-Giant(config-if)#ip address WAN IP 可以联系我： QQ 784695063 TEL11 Red-Giant(config-if)#no shutdown8 4.2.5 防火墙基本配置 1 登 录 防火 墙，打开 管理 IP 地址 功能如图 4-1。 图 4-1 管理 IP 功能图 2 设置防火墙的管理地址为 /24 和 /24，如图 4-2。 图 4-2 管理地址图 3 设置防 火墙的工作模式为：网桥模式，如图 4-3、 4-3、 4-5、 4-6。 可以联系我： QQ 784695063 TEL12 图 4-3 网桥模式图 图 4-4 转换界面图 可以联系我： QQ 784695063 TEL13 图 4-5 确定转换图 图 4-6 完成 4.3 路由配置信息 4.3.1 RG-S3550-24-1 路由配置 命令如 下： Switch(config)#ip routing Switch(config)#ip route Switch(config)#show ip route 4.3.2 RG-S6806E 路由配置 命令如下： 可以联系我： QQ 784695063 TEL14 Switch(config)#ip routing Switch(config)#ip route 2 Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route 4.3.3 路由器 RG-R1762 配置 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 19 4.4 安全配置信息 4.4.1 接入层防病毒配置 RG-2126G(config)# ip access-list extended deny_worms RG-2126G(config-ext-nacl)# deny tcp any any eq 135 RG-2126G(config-ext-nacl)# deny tcp any any eq 136 RG-2126G(config-ext-nacl)# deny tcp any any eq 137 RG-2126G(config-ext-nacl)# deny tcp any any eq 138 RG-2126G(config-ext-nacl)# deny tcp any any eq 139 RG-2126G(config-ext-nacl)# deny tcp any any eq 445 RG-2126G(config-ext-nacl)# deny udp any any eq 135 RG-2126G(config-ext-nacl)# deny udp any any eq 136 RG-2126G(config-ext-nacl)# deny udp any any eq netbios-ns RG-2126G(config-ext-nacl)# deny udp any any eq netbios-dgm 可以联系我： QQ 784695063 TEL15 RG-2126G(config-ext-nacl)# deny udp any any eq netbios-ss RG-2126G(config-ext-nacl)# deny udp any any eq 445 RG-2126G(config-ext-nacl)# permit ip any any RG-2126G(config-ext-nacl)#exi RG-2126G(config)#inter range fa 0/1-24 RG-2126G(config-if-range)#ip access-group deny_worms in 说明： B,C区 RG-2126G， RG-S2150 配置同上。 4.4.2 汇聚层安全配置 Switch(config)# ip access-list extended deny_ftp Switch(config-ext-nacl)# deny tcp 55 55 eq ftp Switch(config-ext-nacl)# deny tcp 55 55 eq ftp-data Switch(config-ext-nacl)# permit ip any any Switch(config-ext-nacl)#end10 4.5 防火墙安全策略 1登录防火墙。 2选择“策略”“服务”选项。 可以联系我： QQ 784695063 TEL16 图 4-7 防火墙管理策略图 图 4-8 服务选项 3 在服务 中添加服务名称，并在服务名称中指定相关协议与接口。 可以联系我： QQ 784695063 TEL17 图 4-9 添加指定协议、接口 4添加多个规则，并且加入到服务组中 (服务组名称可在“服务组”选项中设定 )。 图 4-10 添加多个规则 5规则添加完毕。 可以联系我： QQ 784695063 TEL18 图 4-11 添加完毕 6在“策略”“规则”选项中将服务与源地址及目标地址关联。 图 4-12 关联服务与地址 图 4-13 关联服务与地址 7将访问规则中定义的接口的所 有源到所有目的的动作指定为拒绝，可在允许、拒绝、拒绝（ ICMP）拒绝（重设）这 4 个选项中，点选第二项 (拒绝 )。 可以联系我： QQ 784695063 TEL19 图 4-14 指定动作 4.6 路由器的 NAT 配置 Red-Giant(config)#access-list 1 permit 55 Red-Giant (config)#access-list 1 permit 55 Red-Giant (config)#int fa 1/0 Red-Giant (config-if)#ip nat inside Red