上海银联VOIP项目实施方案

1、欢迎共阅上海银联VOIP项目浙大图灵软件技术有限公司文件状态：文件标识：Tuli ng-Project-telecom草稿当前版本：0.1vf正式发布作者：蔡辉正在修改完成日期：2009-2-16第一部分工程描述 第二部分网络拓扑图. 第三部分设备清单 第四部分技术规划4.1 设备命错误！未定义书签。 错误！未定名规则4.2设备端口命名规则义书签。4. 3 IP地址规划 74. 4网络设备配置104. 5路由协议规划 164.6 CCM服务器的安装和配置164.7 Cisco IP电话的注册及基本功能 244.8 Cisco Unity 安装指南334.9设备的安全性85五部分项目进度安排计划

2、 89第一部分工程描述本次项目建设为上海银联 VOIP项目，内容为CCM艮务器、UNIT丫服务器、网络、IP电话等设 备。在设计时，采用业界主流的产品和先进技术以延长系统的生命周期；同时在性能要求与投资成本、适用性和可发展性方面的作了恰当的折衷。充分利用现有的设备，降低总建设成本，建设一个满足企业应用系统，实用性、高可靠性的 VOIP平台。? 第二部分网络拓扑图上海银联VOIP项目语音网络拓扑图（见附件）：机房核心交换机为 Catalyst4506分别连接Catalyst3560入办公网、连 CE500G入电话网络，接 入CISCO2851通过两根E1线路联接至网通PBX语音交换机。CCM、U

3、NITY服务器分别作为IP 电话的控制管理中心和语音留言系统接至核心 Catalyst4506中。第三部分设备清单序号型号配置数量1MCS7816I3-K9-CMB112LIC-CM6.0-7816=13LIC-CM-DL-10=714CISCO2851-V/K915PVDM2-48U6416VWIC2-2MFT-T1/E117CAB-E1-RK45BNC28CP-7960G=489CP-7936=410CP-7906G=25011UNITYU5-50USR-E112MCS-7815-I3-ECS1113-RAIL-7815-I3114-WS-CE500G-12TC115WS-CE500-24

4、TT116 1WS-C45061仃PWR-C45-1000AC218WS-X4515119WS-X4306-GB1201000BaseSX GBIC接 口模块6211000BaseSX SFP接 口模块12221000BaseLH SFF接 口模块4第四部分技术规划4.1设备命名规则：为了保证以后的管理方便，设备命名需有一定的规范性。根据全网的命名规则，建议采用以下命名方法：AABB_CCDD_X_YYYY_Z 。AABB表示本设备，采用地名（全拼首字母）加单位名简称（全拼首字母）的 命名方式；CCDD表示上联设备，采用地名（全拼首字母）加单位名简称（全拼首字母） 的命名方式；X :表示核心局

5、域网设备（L）或核心广域网设备（W）；YYYY表示设备型号，如OSR760交换机则使用Cisco7609 ；乙代表数量，第一台为1，第二台为2；4.2设备端口命名规则：为了保证以后的管理方便，设备连接端口命名需有一定的规范性。根据全网的命名规则，采用以下命名方法：LOCAL_NAME_PORT-to-REMOTE_NAME_PORTLOCAL_NAME_PO R表示本端设备的设备名称（根据设备命名规则规划），REMOTE_NAME_PO表示对端设备和本端设备连接的端I1 宀 、 2 I i /4.3 IP地址规划：I 上海银联VOIP网络建设的地址规划是网络设计的一个重要环节，涉及到IP电话通

6、讯、各业务的互通，因此，在进行IP地址规划时要充分考虑网络IP地址的应用的现状，充分考虑未来发 展的需要，在现有地址使用的基础上统一规划、长远考虑、分片分块分配的原则。4.3.1 IP地址划分原则：唯一性：IP地址必须唯一，一个IP地址对应一台数据通讯设备；连续性：为同一网络区域分配连续的网络地址，便于规划，同时提高路由器寻径效率；可扩充性：分配地址应预留一定量的备用地址块，以便网络节点增加后能保持地址的连续性; 可管理性：地址的分配应该有层次性，某个局部的变动不影响网络的其它部分； 高效性：综合网采用可变长子网掩码技术，要求采用支持可变长子网掩码技术的TCP/IP协议族；4.3.2 IP地址

7、划分：互联网网关：子网掩码：公网地址：DNS:内网 IP: -1724.3.3 vlan ip 设置.按楼层划分VLAN :Vlan号码所属部门需 求起始地址结束地址1设备管理152一层172.13二层4三层5四层6五层7IP电话305按部门戈【J分VLAN :Vlan号码所属部门需 求起始地址结束地址1设备管理151722部门13部门24部门35部门46部门x7IP电话3054333设备地址管理:设备名称放置地点IP地址VLAN号Catylyst4506中心机房VL

8、AN200Cisco 2851中心机房VLAN201Unity中心机房VLAN201CCM中心机房VLAN201CE500G中心机房VLAN200SHYL-CE500-24TT-1一层机放VLAN200SHYL-CE500-24TT-2二层机放VLAN200SHYL-CE500-24TT-3三层机放VLAN200SHYL-CE500-24TT-4三层机放VLAN200SHYL-CE500-24TT-5三层机放VLAN200SHYL-CE500-24TT-6四层机放VLAN200SHYL-CE500-24TT-7四层机放VLAN200SHYL-CE500-24TT-8四层机放VLAN200SHY

9、L-CE500-24TT-9五层机放X .1 VLAN200SHYL-CE500-24TT-10五层机放VLAN200433.4电话分配表:DNTypeMAC AddressExte nsionpho ne number: 0001 - 03051CP-7906G001E13E5E43D00012CP-7906G001E13E5E0F200023CP-7906G001E13E5E40C00034CP-7906G001E13E5E43400045CP-7906G001E13E5E42600056CP-7906G001E13E5E2C800067CP-7906G001E13E5E38900078C

10、P-7906G001E13E5E32900089CP-7906G001E13E5E458000910CP-7906G001E13E5E49400104.4网络设备配置:4.4.1核心交换机cisco4506配置:VLAN 2NAME Li ngDaoVLAN 3NAME BanGon gShiVia n 4Name CaiWuBuVLAN 5欢迎共阅Name Ren ShiBuVIAN 6Name ShiCha ngBuVLAN 9Name HuiYiBuVLAN 10Name Yan-1VLAN 20Name Yan-2VLAN 40Name ShuJuBuVla n 50Name JiSh

11、uBuVla n 60Name ZhiBaoBuVla n 70Name Yu nYi ngBuVLAN 30Name ShiYeBuVla n 9Name HuiYiBuVla n 80Name Jia nKon gShiVla n 100Name FuWuQiIn t vlan 2In t vlan 3In t vlan 4Int vla n 5In t vlan 6In t vlan 10In t vlan 2011In t vlan 40In t vlan 50In t vlan 60In t vlan 70In t vlan 30In t vlan 9In t vlan 80In t

12、 vlan 100Int gi 2/1SwitchportSwitchport trunk en cap dotSwitchport mode trunkip dhcp pool li ngdao n etwork 172.27.1欢迎共阅ip dhcp pool bangon gshin etwork 172.27.2ip dhcp pool caiwubun etwork 172.27.3ip dhcp pool ren shibun etwork 172.27.4ip dhcp pool shicha ngbun etwork 172.27.5ip dhcp pool yan 1bune

13、twork 172.27.10ip dhcp pool yan 2bun etwork 172.27.20ip dhcp pool shujubunetwork 172.27.40ip dhcp pool jishubun etwork 172.27.50ip dhcp pool zhibaobun etwork 172.27.60ip dhcp pool yunyin gbun etwork 172.27.70ip dhcp pool shiyebun etwork 172.27.30ip dhcp pool huiyibun etwork 172.27.9ip dhcp pool jia

14、nkon gshin etwork 172.27.89ip dhcp pool bangon gshin etwork 172.27.2CE500G4.4.2接入层交换机配置规划（由于CE 5 0 0只支持图形化界面，故配置略）11 2 I 1/4.4.3 cisco2851配置规划：I host name SHYL-C2851!card type e1 0 0card type e1 0 1en able secret 5 $1$Z.lq$/QabFRJHXm7U8s N. LQ5A4.!n etwork-clock-participate wic 0n etwork-clock-parti

15、cipate wic 1no ip dhcp use vrf conn ectedip dhcp excluded-address ip dhcp excluded-addressip dhcp excluded-address欢迎共阅ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-addressip dhcp pool data_1network 172.18.1!ip dhcp pool data_2network 172.18.2 d

16、efault-router ip dhcp pool data_3network 172.18.3 default-router ip dhcp pool data_4network 172.18.4 default-router ip dhcp pool data_5network 172.18.5 default-router ip dhcp pool data_6network 172.18.6 default-router ip dhcp pool phonenetwork 172.18

17、.7 default-router optio n 150 ip !isd n switch-type primary-n et5 voice-card 0dspfarmdsp services dspfarm!voice tran slatio n-rule 1rule 1 /rule 2 /rule 3 / /!voice tran slatio n-rule 2rule 1rule 2 / /rule 3 / /voice tran slatio n-profile in call tran slate called 2!voice transl

18、ation-profile pstn tran slate call ing 1con troller E1 0/0/0frami ng NO-CRC4欢迎共阅pri-group timeslots 1-31 !con troller E1 0/0/1 frami ng NO-CRC4 pri-group timeslots 1-31 !con troller E1 0/1/0 frami ng NO-CRC4 pri-group timeslots 1-31 !con troller E1 0/1/1 frami ng NO-CRC4 pri-group timeslots 1-31in t

19、erface GigabitEther net0/0 descripti on connect to CE500G no ip address duplex auto speed auto media-type rj45 no keepalivein terface GigabitEthernet0/0.100 descripti on : Voice_Vla n en capsulati on dot1Q 7 ip address 172.18.7!in terface GigabitEthernet0/1no ip address shutdow n duplex auto speed a

20、uto media-type rj45ino keepalivein terface Serial0/0/0:15no ip addressen capsulati on hdlcisd n switch-type primary-n et5isd n incomin g-voice voiceisd n map address . pla n isd n type unknown no cdp en able!in terface Serial0/0/1:15no ip addressen capsulati on hdlcisd n switch-type primary-n et5isd

21、 n incomin g-voice voice欢迎共阅no cdp en able!in terface Serial0/1/0:15no ip addressen capsulati on hdlcisd n switch-type primary-n et5isd n incomin g-voice voiceisd n map address . pla n isd n type unknown no cdp en able!in terface Serial0/1/1:15no ip addressen capsulati on hdlcisd n switch-type prima

22、ry-n et5isd n incomin g-voice voiceno cdp en ableip route 0.0.018.237.14voice-port 0/0/0:15cpto ne CNtimeouts call-disc onnect 5timeouts wait-release 5!voice-port 0/1/0:15cpto ne CNtimeouts call-disc onnect 5timeouts wait-release 5!voice-port 0/0/1:15cpto ne CNtimeouts call-disc onnect 5timeouts wai

23、t-release 5!voice-port 0/1/1:15cpto ne CNJ Itimeouts call-disc onnect 5timeouts wait-release 54.5路由协议规划上海银联网络都采用静态路由，静态路由完全满足网络需要。静态路由的优点如下：1、就带宽而言，静态路由没有开销。而在动态路由中，路由协议存在一个相关的带宽问题以维护 它与临近路由器的关系。尤其是基于距离向量的协议对带宽要求更高。2、就安全性而言，静态路由可以人工限定IP地址的访问权限，因此对于高安全行网络而言是非常欢迎共阅必要的。4.6 CCM服务器的安装和配置Installation Step

24、s1. Basic Installation Procedure2. C on figure Timez ones3. C on figure static IP address4. C on figure DNS Clie nt5. C on figure Platform Admi nistrator Log in6. C on figure certificates7. C on figure NTP8. C on figure Database Access Security9. C on figure SMTP10. C on figure password for CCMAdmi

25、nistrator4.7 Cisco ip电话的注册及基本功能：4.7.1 Cisco ip电话注册过程：IStep 1devic尸 phoneflduotiun :耐皿泸曲尹併I枷紳M v阴Cisco unified 匚訓阳他g郎 Adntlnutrition“ m .：側 r, - -.LyJJtd rh鼻弋帥MnEld尿吋5y細 iMimiodtH 比即Mat* 血存）MdcMfi UwMihMfl * Ul脚尬耐 1牌枷P刚滄ciM*训 啊審欣巾事贰*忖d 4料讯!S M上腑1詬惭*d來/创屮“ 1杆* qe卩巾冲 呻氏供轴血亍川唐r融彳圖匕 研Cw 曲血削牌X p时i爾d艸* w 叫

26、斤 和d叭 和环巾血叶口 -etptn, 怖繭卜血曲uh料州加 1*w鞘补鼎命m阳吋幽rtiM说樽缺蚀胖州F林 时曲輯當rdtoeiJIrs h出剛1Mb丽询 料艸#爐 沪曲 询 #削臥1林$ 4昭 啣*冋：仃孔MwmNr w*h U忌 wid 1kI Ii些 riHum Ifii piMwr irnrrf-h人fpnnivj vl W- IiCum .(*申1甲电粗Ml打(5 駅tilu，心竺d汕山寸时題ILL- L”T1忱趣山皿口血if fM retpif f呃岁屮网咚JriHjifr HfME 则 即 wdni BiwlStep 2add new欢迎共阅Step 3选择电话型号，next

27、:Step 4选择电话设备支持的协议SCCP, nextStep 5填写话机信息，带星号的必须填写，填好保存Step 6指定电话分机号点选line1 add a new DNStep 7在Directory Number处输入号码，保存4.7.2 Cisco ip电话的基本功能： 通话1. 提起听筒% I /I J2. 按“line ”键，拨你想打的号码3. 按下“newcall ”软功能键开始拨号4. 如使用耳机，再按下“ headset ”键5. 如使用免提，按下“speaker ”键6. 如使用快速拨号，按下“ speed dial ”键，选择号码进行拨号。7. 按下“ d

28、ial ”软功能键进行通话。8. 按下“ redial ”软功能键拨最近经常拨的号码。4722接听1. 直接拿起听筒，回应电话。I 2. 如果使用耳机，按下“ headset ”键。3. 如果使用免提，按“ answer”软功能键或按“ speaker ” 键。4723接听1. 直接拿起听筒，回应电话。2. 如果使用耳机，按下“ headset ”键。3. 如果使用免提，按“ answer”软功能键或按“ speaker ” 键。4724结束通话1. 挂起听筒2. 如果使用耳机，按下“ headset ”键或“ end call ”软功能键。3. 如果使用免提，按下“ speaker ”键或“

29、end call ”软功能键。4725静音再次按在通话过程中，静音功能是缺省禁止的，直接按下mute键即可，如果要解除静音状态,下“静音”键。4726挂起通话在通话过程中有另一个呼叫时，你可以将当前通话挂起，保持线路接通；然后回应新的呼叫。1. 按下“ hold ”软功能键挂起通话2. 按下“ resume”软功能键恢复通话3. 如果有多个电话同时打入，可以用 navigation 键选择。4727传送通话可以将来电传送到另一台话机上。1. 在通话过程中，按下“ transfer ”键挂起通话2. 再拨想传送的电话号码3. 当被叫端电话接通后，再按下“ transfer ”键接通，将本地听筒挂

30、起完成传送。4. 被传送端无响应时，可以按“ resume”键恢复初始通话。4727重拨键可以按下“ redial ”软功能键重拨常用号码。4728 call forwarding （电话转接）该功能允许将呼叫从你的ip电话机转移到另一个号码上。1. 按下cfwdall软功能键，随后应听到两下响应。2.输入你想转移到的话机号码。3.如果要结束的话，再次按下cfwdall软功能键。附注：如果呼叫转移无人接听，ip电话机会自动将呼叫重新转入语音邮件系统（可选功能）。4729电话会议7960型ip电话支持电话会议功能，有两种会议操作方式，具体步骤如下普通电话会议1. 在通话过程中，按下” more”

31、软功能键，然后再按下“ confrn ”软功能键，这样便自动激活一条新线路；并保持了第一路通话。2. 然后拨叫另一个参加会议者电话号码。3. 当电话接通后，再次按下“ confrn ”键，加入新的会议参加者。4. 重复以上步骤加入新的用户。电话会议提示：1. 如果会议发起人掉线的话，会议可以继续，但无法增加新用户。2. 可以使用静音键在会议过程中静音。3. 在会议过程中可以使用挂起功能。0 pick up常规用法：1. 按正在响铃的分机号2. 然后按pick up软功能键，这个电话就自动转到你电话上，接起:、-.I电话分组的用法：1. 按GPickUp软功能键。2. 输入话机所在

32、分组的数字3. 接听的电话就自动转到你的分机上来。1调节铃声1. 按下 settings 键2. 在设置菜单里选择ring type 选项3. 使用select键显示铃声列表。4. 选择铃声5. 按play键播放试听6. 按下select键及“ ok” 键确定。7. 按下save键保存设置。4.8 Cisco Unity安装指南Unity是Cisco作Voice Mail的软件，说白了就是IP电话留言，软件本身是免费的，License收 费，而且很贵，有兴趣的可以去看报价单。欢迎共阅本文介绍Unity 4.1.1第一步：安装 Windows 2000 Server一定要采用英文版

33、的 OS 2K Server,AD Server 都可以，2K3可以。Professional版本不成。系统分区表必须是NTFS如果不是，转换一下吧。安装系统的时候，装IIS，其中的ftp服务不需要，NNTP和SMT必须，安装消息队列，安装 DNS 服务和简单TCP/IP服务。系统安装完毕后，完成消息队列配置。第二步：打补丁安装win2kSP4和ie6 SP1，都要英文版的，以后软件都是英文版，不再多说了。win2K3安装sp1安完win2k p4的时候系统要求重起，安完ie6sp1的时候，系统要求继续重起。第三步：安装 Active Directory开始菜单里面运行dcpromo.exe，

34、如果当前环境有domain，你就加入，如果没有domain，自己做 域控制器。活动目录的安装方法就不多说了，网上文章有的是，注意 DNSS艮务让系统自己设置，有 问题 google 一下。活动目录的安装必须连接到网络。安装结束后要求重起。活动目录安装完毕的最显着特点就是慢， 开关系统都慢，没辙，因为人家要狂发广播通知整个 domai n,忍了吧。第四步：安装 Exchange 2000 Enterprise Edition最好安装Ex2K企业版，别的版本没有测试，Ex2K3也是可以的。IBM domino也是许可的。运行 setup/i386/setup.exe 。选择典型安装就可以了，然后就

35、是超常时间的等待。安装进度条可以不用 看，因为反复打开关闭服务。这段时间你大可以去干些别的。安装完毕后要求重起 第五步：打补丁运行 EX2KSP3_server.exe，解压缩，然后运行 server/setup/i386/update.exe ，安装 Ex2K的 sp3 又是一次无尽的等待，安装完毕后要求重起。重起回来运行exchange2000-KB870540-v2-x86-ENU.exe，安装 Ex2KSP3的 Update rollup 。以上两个补丁都是必须的，因为安装 Unity的时候需要他们。第六步：安装 SQL Server 2000Unity不像Callmanager那样自

36、带SQL所以需要自己安装。我安装的是Enterprise Edittion，安装SQL Server 2005也是可以的。选择典型安装就可以，使用domain和windows验证模式安装完毕后要求重起 第七步：打补丁运行Microsoft_sql2ksp4enu1.exe ，安装SQL2K的SP4安装完毕后要求重起第丿八步：安装.net Framework注意，只能安装1.1，2.0安装上Unity不认，尽管Unity最后会提示1.1 or higher 都可以，其 实不然。运行dotnetfx.exe 进行安装。第九步：打补丁使用Windows Update，上网把其余的补丁都打上。第十步：

37、Unity预备安装运行 CiscoUnity4.1.1欢迎共阅运行CD1中的ADSchemaSetup/ADSchemaSetup.exe双击选择英文，按照上图的默认配置选择0K就可以。运行CD仲的Setup.exe。这是Unity的安装向导，会在桌面上增加一个 CUICA的脚本，以后可以 用这个运行。选择Continue点击 Run the Cisco Unity Permissions Wizard选择Microsoft Exchange 2000 。如果问你有更新的文件是否连接下载，选择否，暂时不管。选择安装的帐户，用Administrator 就可以。 选择目录服务的帐户，也用 Adm

38、i ni strator选择信息存储服务的帐户，继续用 Admi ni strator 选择Unity新建的用户组和用户，使用默认就可以。选择Unity管理员的创建，使用默认。选择活动目里地址，使用默认 针对活动目录的设置，使用默认 选择邮件存储位置，使用默认 最后确认。给出一个summary下一步，开始安装第十一步：安装Unity继续看我们刚才那个安装向导。现实需要7步安装完成Unity。别疯，cisco东西就这么麻烦。点击 Run the Cisco Unity Setup Program双击选择英文，下一步Unity会检测你的系统是否符合安装 Unity的标准，如果前面那些软件和补丁你少

39、装了，这个时候 会提示你缺少东西，补上就可以。你放心，它不会一次把需要的东西都说出来，如果你没按照我说 的方法装，这个时候你会疯掉。你看我让你撞了多少个补丁，你就知道我疯了多少次了 输入公司信息，下一步文件安装地址，使用默认，下一步安装组建这块碱基安装 TTS,如果你有Intel Voice Card，那么你选择In stall Voice CardSoftware，需要 Unity 安装盘 CD2选择协议，默认G.711选择安装语言包，Un ity 4.1.1选择默认语言，如果是 Unity 4.0.5 ，你可以选择Chinese选择键位设置。建议按照默认，就是如下这样：Q（ 7）W（ 8）

40、E（ 9）A（ 4）S（ 5）D（ 6）Z（ 1）X（ 2）C（ 3）确认开始安装。安装过程中会反复提示你插于相应的语言包光盘，大概有5次左右，没有做过详细的统计。这个安装时间超级漫长，耐心等待吧。安装完毕后重起。第十二步：安装 Unity License 点击 Run the Cisco Un ity In stall Lice nse File Wizard欢迎共阅下一步你可以在这里添加自己选中你的License在Unity万状完毕后会带一个License，位置是 C:CommServerLicenseCiscoUnity41.lic，功能极少，基本就是看看用。买的 License。显示你

41、的License包含的内容。第十三步：配置Unity服务丿点击 Run the Cisco Unity Service Confiuration Wizard下一步选择你安装的Exchange版本输入活动目录管理员密码信息存储服务的管理帐户密码就不用输入了，直接下一步本地服务直接使用本地系统帐户就可以确认无误后下一步，完成安装第十四步：配置Unity信息存储丿点击 Run the Cisco Unity Message Store Configuration Wizard输入管理员密码选择Unity系统管理帐户选择你的Exchange版本选择mailbox地址活动目录配置选择创建Subscri

42、bers。继续选择管理员帐户，跟刚才一样。然后安装完毕第十五步：设置默认密码这是足可以逼死你的一步，耐心研究吧。点击Run the Password Harde ning Wizard欢迎共阅下一步设置管理组活动目录密码。动脑筋的时候开始了，设置密码的规则要求超级多，大家可以放大这张 图片仔细看。设置管理组的电话密码。这个规则也超级多，发达图片仔细看。设置Subscriber的活动目录密码设置Subscriber电话的密码确认，完成安装第十六步，让 Unity 挂上Callmanager点击 Run the Cisco Unity Telephony integration Manager点击

43、 Create Integration选择Callmanager。你要有别的厂家的设备，比如HP OpenCall什么的，可以选择用 SIP连接给这个集成起个名字输入Callmanager地址和TCP端口号，默认端口号 2000。如果没有在 Callmanager上作改 动的话，没有必要更改。可以点击Ping Server测试连通性。设置第二台CCM跟刚才方法一样。没有的话直接下一步。设置CCM勺MWI使用默认就可以，这个跟你的Unity License 有直接关系设置语音端口数，这个也跟你的Lincese有直接关系设置语音Tru nk访问代码确认配置。确认后会要求重起服务。第十七步：给Uni

44、ty启用SSL欢迎共阅这步可以跳过。建议使用SSL保证安全性，可以选择本地认证或者CA安装完毕后会给你一个 Summary大功告成了这个是4.0.5的界面，可以正常运行了4.9设备的安全性对网络设备的访问与配置，主要有以下两种方式：控制口 con sole的控制和远程登录tel net 的控制。4.9.1控制口 console的控制控制口（console ）是完成网络设备最初是配置的，它一般用来直接接一个终端，另外， AUX% I /I 1口作为辅助。通常，采用密码校验来控制用户访问 con sole 口，缺省设置是不需要密码就可以访问。 我们可以通过以下方法来控制 con sole 口的安全

45、：:、-.I用户模式密码（只能用一些查看设备状态的命令）；特权模式密码（能使用所有命令查看设备状态和配置设备）会话超时（con sole 口没有使用一段时间后自动断开）；密码加密（将密码以加密的格式保存）；11 同时，可以和访问列表结合，以保证只有合法的地址才能访问设备，对于具体网络环境， 我 们建议采用以下一些命令来加强安全性,其中exec-timeout命令用来设置会话超时，access-class 用来设置合法的IP地址访问列表，login authentication用来和TACACS或 RADIUS结合实现集中认证：line con 0exec-timeout 5 0access-c

46、lass 3 inlogin authentication Stringline aux 0exec-timeout 5 0 access-class 3 in欢迎共阅login authentication Stringaccess-list 3 permit 55 /* ACL limit vty accessaccess-list 3 deny any4.9.2远程登录telnet的控制通过telnet到网络设备上，我们可以进入用户模式和特权模式，完成查看和配置设备的全 部功能，一般的网络设备同时可以有几个虚拟终端口用来远程登陆。我们用上面提到的控制

47、con sole 口的方法来控制tel net的安全，还可以用访问列表来限制远程登陆的主机，还可以通过 设置TCP端口来控制远程登陆的权限。以上的方法都只有密码验证，没有用户名验证，我们还可以 用终端访问控制器访问控制系统（TACAC）来进行分用户管理tel net的访问权限，与con sole 口 控制类似，我们可以采用下面一些命令来加强telnet的管理其中exec-timeout命令用来设置会话超时，access-class用来设置合法的 IP 地址，login authentication用来和 TACACS或 RADIUS% 、I /I J结合实现集中认证：li ne vty 0 4

48、access-class 3 inexec-timeout 5 0login authentication Stringtran sport preferred noneaccess-list 3 permitaccess-list 3 deny any11 /*4.9.3网络病毒的控制路由器上面的设置推荐在CISCO4506上面做访问控制列表防止病毒在广域网上进行传播和攻击，对于目前已经知道的网络端口进行屏蔽。 具体如下：69（TFTP）; 135、136、137、138、139、445 （基于 Windows 的网络服务）；1433（ SQL）、4444等等。例如设备ACL 133acce

49、ss-list 133 deny access-list 133 deny access-list 133 deny access-list 133 deny access-list 133 denytcp any any eq 4444 udp any any eq tftp tcp any any eq 3127tcp any any eq 3128 tcp any any eq 3129欢迎共阅access-list access-list access-list access-list access-list access-list access-list access-list ac