校园网络工程设计方案Microsoft Word 文档

校园网络工程设计方案目录\l“_TOC_250016“前言 2\l“_TOC_250015“第一章需求分析 3\l“_TOC_250014“其次章网络规划 5\l“_TOC_250013“—拓扑设计与设计原则 5\l“_TOC_250012“二 网络构造分析 6\l“_TOC_250011“三 网络架构设计与拓扑构造 7\l“_TOC_250010“第三章主要技术设计的具体配置过程 9\l“_TOC_250009“—访问层交换效劳的实现——配置访问层交换机 10\l“_TOC_250008“二分布层交换效劳的实现－配置分布层交换机 12\l“_TOC_250007“三核心层交换效劳的实现——配置核心层交换机 15\l“_TOC_250006“四 配置接入路由器InternetRouter 17\l“_TOC_250005“五 远程访问模块设计 19\l“_TOC_250004“六效劳器模块设计 21\l“_TOC_250003“第四章总结 22\l“_TOC_250002“第五章设计体会 23\l“_TOC_250001“感谢 24\l“_TOC_250000“参考文献 243前言统的网络向高速多媒体信息网进展。快速、高效的传播和利用信息资源是21世纪的根本特征。把握丰富的计算机及网络信校校园网的有无及水平的凹凸，也将成为评价学校及学生选择学校的的标准之一。Internet及WWW应用的迅猛进展，极大的转变着我们的生活方式。信息通过网络，以通过网络充分发挥其教育功能，已成为当今的热门话题。随着学校教育手段的现代化，很多学校已经渐渐开头将学校的治理和教学过程向电子时把握丰富的计算机及网络信息学问，毫无疑问，这是学生综合素养中极为重要的一局部；另一方面，基于先进的网络平台和其上的应用系统，将极大的促进学校教育的现代化进程，实现高水平的教学和治理。学校目前正加紧对信息化教育的规划和建设。开展的校园网络建设，旨在推动学校信息化建设，其最终建设目标是将建设成为一个借助信息化教育和治理手段的高水平的智能10G，为用户供给高速接入网络，并实现网络远程教学、在线效劳、教育资源共享等各种应用；利用现代信息技术从事治理、时事把握和治理。数据流混杂在一起进展传输，就没法对流做出最高优先级和次高优先级及底优先级的分类，率，更有效的保证应用效劳的运营，需要通过端到端的QOS，智能到边缘的方式来保证。通E-mail免发生拥塞。同时保证网络的高效运行，充分利用现有的带宽。缝连接，同时预留空间符合当前和以后的信息建设需要和足够的升级空间。在校园网络建设中存在多用户,多效劳的现状。带来了对网络系统要求具有高效率等，件设备都可以进展快速的转发，要具备高背板带宽〔交换容量，全部端口都能保证线速转发。这种分布式处理可以极大地提高整体处理力气，保证了网络畅通。现在的网络环境中稳定牢靠是争相谈论的话题7*24小时不连续的效劳。就要完全能保证网络设备全天后的可用性。即使〔802.1802.1802.1S多Vlan生成树协议保证链路级的冗余和负载均衡VRR、OSPFloadbalancing份和负载均衡。全方位的完全保证了设备、网络、应用系统的牢靠性。网审计手段是格外有必要的。由于当前类似“冲击波、震荡波病毒”的肆虐，一个强健的网络应当供给必要的手段，制止特定病毒的传播以及由于病毒造成的流量拥塞。我们承受自顶向下、模块化的方法、参考3层模型来进展工程的设计和实施。路由技术：路由协议工作在OSI3层，因此它的作用主要是在通信子网路由任务，利用访问把握列表AccessControlLisACL，路由器还可以用来完成以路3OSI23了虚拟局域网〔VirtualLAN，VLAN〕的概念。VLANVLAN了各VLANVLANVLANVLAN间路由技术来实现。当网络治理人员需要治理的交换机数量众多时，可以使用VLAN中继协议〔VlanTrunkingProtocol，VTP〕简化治理，它只需在单独一台交换机上定义全部VLAN。VTPVLAN区网内部数据交换的部署是分层进展的机进展集合外，还为整个交换网络供给VLAN间的路由选择功能；核心层将各分布层交换机互连起来进展穿越园区网骨干的高速数据交换置。适合企业自身需要的广域网接入方案〕在本设计中，分别承受专线连接〔到因特网〕和电路交换〔到校园网〕两种方式实现远程访问需求。—拓扑设计与设计原则〔通信设备比较高。优点是网络构造简洁，易于维护，便于治理〔集中式理机互连，线路利用率低；处理机负载重〔需处理全部的效劳持的设备生产厂商有较好的技术支持。局域网内的全部工作节点通过双绞线与交换机相连形成一个星型网络用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。校园网络系统的建设在有用的前提下，应当在投资保护及长远性方面做适当考虑，在标准、开放、可扩大的、能与其它厂商产品配套使用的设计。依据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高牢靠性、高稳定性、高安全性、易治理的万兆骨干网络平台。我们遵循以下的原则进展网络设计：有用性和经济性网络建设应始终贯彻面对应用，留意实效的方针，坚持有用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。先进性和成熟性网络建设设计既要承受先进的概念、技术和方法，又要留意构造、设备、工具的相对保证贵校网络建设的领先地位，承受万兆以太网技术来构建网络主干线路。牢靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统构造、技术措施、设备性能、系统管均无故障时间，Cisco公司作为知名品牌，网络领导厂商，其产品的牢靠性和稳定性是一流的。为了保证骨干网络平台的强健性和链路冗余性在学校启用物理链路冗余机制，保证任何一条线路消灭故障后骨干网络平台的可用性。安全性和保密性在网络设计中，既考虑信息资源的充分共享，更要留意信息的保护和隔离分别针对不同的应用和不同的网络通信环境，实行不同的措施，包括端口隔离、路由过滤、DDoS拒绝效劳攻击、防IP扫描、系统安全机制、多种数据访问权限把握等，充分考虑Cisco公司安全性，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定〔过滤、ACL、路由过滤、防DDoS拒绝效劳攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。可扩展性和可治理性由于信息技术和人们对于技术的需求进展都格外快速，为了避开不必要的重复投资，模块不支持技术的状况下，只需要更换相应模块，而不需要更换整个设备。为了适应网络构造变化的要求，必需充分考虑以最简便的方法、最低的投资，实现系来升级和扩展。先进的设备必需协作先进的治理和维护方法，才能够发挥最大的作用。全线承受基于SNMP标准的可网管产品，到达全程网管，降低了人力资源的费用，提高网络的易用性、可治理性，同时又具有很好的可扩大性。骨干层证高性能、无堵塞交换的同时，还必需保证稳定牢靠的运行。因此在网络中心的设备选型和构造设计上必需考虑整体网络的高性能和高牢靠性。具体来说核心节点的交换机有两个根本要求：1〕高密度端口状况下，还能保持各端口的线速转发；2〕关键模块必需冗余，如治理引擎、电源、风扇。由于校园网建设最终必将承受万兆技术，因此需要考虑到核心设备对万兆的支持力气。综上所述，主干核心交换机属于高端系列的产品，所以在本方案中，核心交换机承受多业务万兆核心路由交换机。可以依据用户的需求灵敏配置，灵敏构建弹性可扩展的网络。多业务万兆核心路由交换机高背板带宽和二/三层包转发速率可为用户供给高速无堵塞的交核心骨干交换机的抱负选择。在此方案中，校区网络中心承受Cisco公司路由交换机作为核心交换机。核心层交换机跟会聚接入层交换机之间的千兆链路可以捆绑，从而实现带宽的灵敏扩展。接入层接入层网络由楼栋交换节点和楼层交换节点组成，接入层网络应当可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问把握等等。楼QoS型网络供给完善的端到端的效劳质量融合、安全的园区网需求；本方案中各接入层交换机通过千兆链路上联到各会聚层设备，对下联的桌面设备供给全双工的百兆连接，为各类用户供给无堵塞的交换性能。出口由于校园网出口承受以太网，所以承受路由器+防火墙的方式，起到如下作用：IDS能，数据处理力气强，具有强大的NAT三网络架构设计与拓扑构造为了实现网络设备的统一，本设计方案中完全承受同一厂家的网络产品，即Cisco公协作和补充。块、效劳器群。整个网络系统的拓扑构造图如以以下图所示。在后面将依据此图分块进展分析。校园网整体拓扑构造图7VLANVLANIPVLANVLANIP默认网关说明VLAN1--/2454治理 VLANVLAN10JWC/2454教务处VLANVLAN20XSSS/2454学生宿舍VLANVLAN30CWC/2454财务处VLANVLAN40JGSS/2454教工宿舍VLANVLAN50WXY/2454文学院VLANVLAN60YYXY/2454音乐学院VLANVLAN70JSJXY/2454计算机学院VLANVLAN100FWQQ/2454效劳器群VLAN/27中动态取得IPVLANVLAN为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进展的。园区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。传统意义上的数据交换发生在OSI23据交换效劳质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网〔VirtualLAN，VLAN〕的概念。VLAN制在单个VLANVLANVLANVLAN通信的时候，可以利用VLAN8当网络治理人员需要治理的交换机数量众多时VLAN〔VlanTrunkingProtocol，VTP〕简化治理，它只需在单独一台交换机上定义全部VLAN。然后通过VTP协议将VLAN定义传播到本治理域中的全部交换机上。这样，大大减轻了网络治理人员的工作负担和工作强度。换环路问题，这需要通过在各交换机上运行生成树协议〔SpanningTreeProtocol，STP〕来解决。一个好的校园网设计应当是一个分层的设计。一般分为三层设计模型。访问层为全部的终端用户供给一个接入点。这里的访问层交换机承受的是CiscoCatalyst295024口交换机WS-C2950-2。交换机拥有24个10/100Mbps太网端口，运行的是Cisco的IOS操作系统。我们以以以下图的访问层交换机AccessSwitch1进展设置。配置访问层交换机AccessSwitch1的根本参数Switch(config)#hostnameAccessSwitch1AcccessSwitch1(config)#enablesecret123Switch /设置交换机口令AcccessSwitch1(config)#linevty015 /设置登录虚拟终端线时的口令AcccessSwitch1(config-line)#loginAcccessSwitch1(config-line)#passwordyouguess配置访问层交换机AccessSwitch1的治理IP、默认网关AcccessSwitch1(config)#interfacevlan1AcccessSwitch1(config-if)#ipaddress9AcccessSwitch1(config-if)#noshutddownAcccessSwitch1(config)#ipdrfault-gateway543．配置访问层交换机AccessSwitch1的VLAN及VTPAcccessSwitch1(config)#vtpmodeclientAcccessSwitch1(config)#interfacerangefatchernet0/1–24AcccessSwitch1(config-if-range)#duplexfullAcccessSwitch1(config)#interfacerangefatchernet0/1–24AcccessSwitch1(config-if-range)#specd1004.AccessSwitch1的访问端口AcccessSwitch1(config)#Interfacerangefastchernet0/1-10AcccessSwitch1(config-if-range)#switchportmodeaccessAcccessSwitch1(config-if-range)#switchportaccessvlan10AcccessSwitch1(config)#Interfacerangefastchernet0/11-20AcccessSwitch1(config-if-range)#switchportmodeaccessAcccessSwitch1(config-if-range)#switchportaccessvlan20AcccessSwitch1(config)#Interfacerangefastchernet0/11-20AcccessSwitch1(config-if-range)#spanning-treeportfast5.AccessSwitch1的主干道端口AcccessSwitch1(config)#Interfacerangefastchernet0/23-24AcccessSwitch1(config-if-range)#switchportmodetrunkAcccessSwitch1(config)#spanning-treeuplinkfast/冗余设计AcccessSwitch1(config)#spanning-treeBackbonefast/加快生成树的收敛7AccessSwitch2AccessSwitch1类似10分布层除了负责将访问层交换机进展集合外，还为整个交换网络供给VLAN间的路由选择功能。这里的分布层交换机承受的是CiscoCatalyst3550交换机。作为3层交换机，CiscoCatalyst35502410/100Mbps自适应快速以太网端口21000MbpsGBIC端口供上连使用，运行的是CiscoIntegratedIOS操作系统。我们以以以下图中的分布层交换机DistributeSwitch1为例进展设置。配置分布层交换机DistributeSwitch1的根本参数Switch#configureterminalEntercongifgurationcommands,oneperlineEndwithCNTL/ZSwitch(config)#hostnameDistributeSwitch1DistributeSwitch1(config)#enablesecretyouguessDistributeSwitch1(config)#linecon0DistributeSwitch1(config-line)#loggingsynchronousDistributeSwitch1(config-line)#exec-timeout530DistributeSwitch1(config-line)#linevty015DistributeSwitch1(config-line)#passwordabcDistributeSwitch1(config-line)#loginDistributeSwitch1(config-line)#exec-timeout530DistributeSwitch1(config-line)#exitDistributeSwitch1(config)#noipdomain-lookupIP、默认网关DistributeSwitch1(config)#interfacevlan1DistributeSwitch1(config-if)#ipaddressDistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config-if)#exitDistributeSwitch1(config-if)#ipdefault-gateway541112配置分布层交换机DistributeSwitch1的VTPDistributeSwitch1(config)#vtpdomainnciae 域的域名DistributeSwitch1(config)#vtpmodeserver /设置VTP效劳器DistributeSwitch1(config)#vtppruning /激活VTP剪裁功能VLANSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZDistributeSwitch1(config)#vlan10DistributeSwitch1(config-vlan)#nameJWCDistributeSwitch1(config)#vlan20DistributeSwitch1(config-vlan)#nameXSSSDistributeSwitch1(config)#vlan30DistributeSwitch1(config-vlan)#nameCWCDistributeSwitch1(config)#vlan40DistributeSwitch1(config-vlan)#nameJGSSDistributeSwitch1(config)#vlan50DistributeSwitch1(config-vlan)#nameWXYDistributeSwitch1(config)#vlan60DistributeSwitch1(config-vlan)#nameYYXYDistributeSwitch1(config)#vlan70DistributeSwitch1(config-vlan)#nameJSJXYDistributeSwitch1(config)#vlan100DistributeSwitch1(config-vlan)#nameFWQQDistributeSwitch1的端口根本参数DistributeSwitch1(config)#interfacerangefastethernet0/1–24DistributeSwitch1(config-if-range)#dupexfullDistributeSwitch1(config-if-range)#speed100DistributeSwitch1(config-if-range)#interfacerangefastethernet0/1–10DistributeSwitch1(config-if-range)#switchportmodeaccessDistributeSwitch1(config-if-range)#switchportaccessvlan100DistributeSwitch1(config-if-range)#spanning-treeportfastDistributeSwitch1(config-if-range)#interfacerangefastethernet0/23–24DistributeSwitch1(config-if-range)#switchportmodetrunkDistributeSwitch1(config-if-range)#interfacerangegigabitEthernet0/1–2DistributeSwitch1(config-if-range)#switchportmodetrunkDistributeSwitch13层交换功能DistributeSwitch1(config)#interfacevlan10DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan20DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan30DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan40DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan50DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan60DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan70DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan100DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdown配置分布层交换机DistributeSwitch2分布层交换机DistributeSwitch2FastEthernet0/23、FastEthernet0/24别下连到访问层交换机AccessSwitch1的端口FastEthernet0/24以及访问层交换机AccessSwitch2FastEthernet0/24。此外，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet0/1上连到核心交换机CoreSwitch1GigabitEthernet3/2。为了实现冗余设计，分布层交换机 DistributeSwitch2还通过自己的千兆端口GigabitEthernet0/2连接到分布层交换机DistributeSwitch1的GigabitEthernet0/2.DistributeSwitch1(config)#iproute.54另外.为了实现对无类别网络〔ClasslessNetwork〕以及全零子网〔Subnet-zero〕的3DistributeSwitch1，还需要进展适当的配置.DistributeSwitch1(config)#ipclasslessDistributeSwitch1(config)#ipsubnet-zero/定义对无类别网络以及全零子网的支持.核心层将各分布层交换机互连起来进展穿越园区网骨干的高速数据交换本设计中的核心层交换机承受的是CiscoCatalyst4006Catalyst4500SupervisorIIPlus〔WS-X4013+〕作为交换机引擎。运行的是Cisco的IntegratedIOS操作系统在作为核心层交换机的CiscoCatalyst4006WS-X4306-G〔Catalyst4000GigabitEthernetModule,6-Ports(GBI)模块，该模块供给了5个千兆光纤上连WS-G548〔1000BASE-SXShortWavelengthGBIC(Multimodeonly以以以下图中的核心层交换机CoreSwitch1配置核心层交换机CoreSwitch1的根本参数Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZSwitch(config)#hostnameDistributeSwitch1CoreSwitch1(config)#enablesecretyouguessCoreSwitch1(config)#linecon0CoreSwitch1(config-line)#loggingsynchronousCoreSwitch1(config-line)#exec-timeout530CoreSwitch1(config-line)#linevty015CoreSwitch1(config-line)#passwordabcCoreSwitch1(config-line)#loginCoreSwitch1(config-line)#exec-timeout530CoreSwitch1(config-line)#exitCoreSwitch1(config)#noipdomain-lookup1415IP、默认网关CoreSwitch1(config)#interfacevlan1CoreSwitch1(config-if)#ipaddressCoreSwitch1(config-if)#noshutdownCoreSwitch1(config-if)#exitCoreSwitch1(config-if)#ipdefault-gateway54VLANVTPCoreSwith1(config)#vtpmodeclient配置核心层交换机CoreSwitch1的端口参数核心层交换机CoreSwitch1通过自己的端口FastEthernet4/3同广域网接入模块〔InternetCoreSwitch1的端口GigabitEthernet3/1～GigabitEthernet3/2DistributeSwitch1DistributeSwitch2的端口GigabitEthernet0/1。DistributeSwitch1(config)#interfacerangefastethernet0/1–24DistributeSwitch1(config-if-range)#dupexfullDistributeSwitch1(config-if-range)#speed100DistributeSwitch1(config-if-range)#switchportmodeaccessDistributeSwitch1(config-if-range)#switchportaccessvlan1DistributeSwitch1(config-if-range)#spanning-treeportfastDistributeSwitch1(config-if-range)#interfacerangegigabitEthernet3/1–2DistributeSwitch1(config-if-range)#switchportmodetrunk此外，为了供给主干道的吞吐量以及实现冗余设计，在本设计中，将核心层交换机CoreSwitch1的千兆端口GigabitEthernet2/1、GigabitEthernet2/2捆绑在一起实现2023MbpsCoreSwitch2。CoreSwitch1(config)#interfaceport-channelCoreSwitch1(config-if)#switchportCoreSwitch1(config-if)#interfacegigabitEthernet2/1–2CoreSwitch1(config-if)#channel-group1modedesirublenon-silentCoreSwitch1(config-if)#noshutdown配置核心层交换机CoreSwitch1的路由功能CoreSwitch1FastEthernet4/3〔Internet路由器Internet的路由。这里使用了一条缺省路由命令。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet0/0IPCoreSwitch1(config)#iproutingCoreSwitch1(config)#iproute54其它配置定义对无类别网络以及全零子网的支持CoreSwith1(config)#ipclasslessCoreSwith1(config)#ipsubnet-zeroCoreSwitch2CoreSwitch1的配置类似.四配置接入路由器InternetRouter的根本参数Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZSwitch(config)#hostnameInternetRouterInternetRouter(config)#enablesecretyouguessInternetRouter(config)#linecon0InternetRouter(config-line)#loggingsynchronousInternetRouter(config-line)#exec-timeout530InternetRouter(config-line)#linevty015InternetRouter(config-line)#passwordabcInternetRouter(config-line)#loginInternetRouter(config-line)#exec-timeout530InternetRouter(config-line)#exitInternetRouter(config)#noipdomain-lookup的各接口参数InternetRouter(config)#interfacefastethernet0/0InternetRouter(config-if)#ipaddress54 InternetRouter(config-if)#noshutdownInternetRouter(config-if)#interfaceserial0/0InternetRouter(config-if)#ipaddress52InternetRouter(config-if)#noshutdownInternetRouter的路由功能InternetRouter(config)#iprouteserial0/0InternetRouter(config)#iproute255.255.248.0/InternetRouter(config)#iproute255.255.255.0/定义到校园网内部的路由InternetRouterNAT为了接入InternetISP申请了9个IPIP地址：被安排给了Internet接入路由器的串行接口8个IPNAT。InternetRouter(config)#interfacefastethernet0/0InternetRouter(config-if)#ipnatinsideInternetRouter(config-if)#interfaceserial0/0InternetRouter(config-if)#ipnatoutside /NAT内部、外部接口InternetRouter(config)#ipaccess-list1permit 55InternetRouter(config)#ipaccess-list1permit 55InternetRouter(config)#ipnatinsidesourcestaticInternetRouter(config)#ipnatinsidesourcestaticInternetRouter(config)#ipnatinsidesourcestatic/为效劳器定义静态地址转换InternetRouter(config)#ipnatinsidesourcelist1interfaceserial0/0overload/为工作站定义复用地址转换InternetRouterACL路由器是外网进入校园网内网的第一道关卡，是网络防范的前沿阵地。路由器上的访问把握列表〔AccessControlList，ACL〕是保护内网安全的有效手段。一个设计良好的必要对路由器的访问把握列表进展缜密的设计，来对校园网内网包括防火墙本身实施保护。络环境的实现中它们都是应当对外加以屏蔽的。主要应当做以下的ACL对外屏蔽简洁网管协议，即SNMP.利用这个协议，远程主机可以监视、把握网络上的其它网络设备。它有两种效劳类型：SNMPSNMPTRAP。设置对外屏蔽简洁网管协议SNMP:InternetRouter(config)#iprouteInternetRouter(config)#iproute对外屏蔽远程登录协议telnet.首先，telnet是一种担忧全的协议类型。用户在使用telnet登录网络设备或效劳器时所使用的用户名和口令在网络中是以明文传输的，很简洁被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX效劳器，并可以使用相关命令完全操纵它们。这是极其危急的，因此必需加以屏蔽。屏蔽远程登录协议telneInternetRouter(config)#ipaccess-list101denytcpanyeqtelnetInternetRouter(config)#ipaccess-list101permitipanyany对外屏蔽其它担忧全的协议或效劳.这样的协议主要有SUNOS的文件共享协议端口204，远程执行rs、远程登录rlogi〕和远程命令rcm〕端口51、51、远程过程调用〔SUNRPC〕111。可以将针对以上协议综合进展设计InternetRouter(config)#ipaccess-list101denytcpanyanyrange512514InternetRouter(config)#ipaccess-list101denytcpanyanyeq111InternetRouter(config)#ipaccess-list101denyudpanyanyeq111InternetRouter(config)#ipaccess-list101denytcpanyanyrange2049InternetRouter(config)#ipaccess-list101permitipanyanyDoSDoS〔DenialofServiceAttack，拒绝效劳攻击〕是，严峻时会导致效劳器操作系统崩溃。InternetRouter(config)#ipaccess-list101denyicmpanyanyeqecho-requsetInternetRouter(config)#ipaccess-list101denyudpanyanyeqechoInternetRouter(config)#interfaceserial0/0InternetRouter(config-if)#ipaccess-group101mInternetRouter(config-if)#interfacefastethernet0/0InternetRouter(config-if)#noipdirected-broadcast保护路由器自身安全.作为内网、外网间屏障的路由器，保护自身安全的重要性也自效劳器群的IPACCESS-CLASS命令进展VTY把握InternetRouter(config)#linevty04InternetRouter(config-line)#access-class2inInternetRouter(config-line)#exitInternetRouter(config-line)#access-list2permit55InternetRouter(config)#ipclassless 对无类别网络以及全零子网的支持InternetRouter(config)#ipsubnet-zero五远程访问模块设计远程访问也是园区网络必需供给的效劳之一。远程访问效劳18所以承受了异步拨号连接作为远程访问的技术手段。异步拨号连接属于电路交换类型的广域网连接，它是在传统公共交换网〔PublicSwitchedTelephoneNetwork，PSTN〕PSTN老式业务PlanOldTelephoneSystePOT类型。广域网连接可以承受不同类型的封装协议，如HDLC、PPP等。其中，PPP除了供给身份认证功能外，还可以供给其他很多可选项配置，包括链路压缩、多链路捆绑、回叫等，因此更具优势。也是本设计所承受的异步连接封装协议。在本设计中承受了可以集成在广域网接入路由器InternetRotuer中的异步Modem模块NM-16AM〔8PortAnalogModemNetworkModule〕供给远程访问效劳。它可以同时对最多161．配置物理线路的根本参数〔DTEDCE之间的速率允许呼入连接的协议类型、允许流量的方向等.InternetRouter(config)#line97InternetRouter(config-line)#modermInOurInternetRouter(config-line)#transportinputallInternetRouter(config-line)#stopbitsInternetRouter(config-line)#speed115200InternetRouter(config-line)#flowcontrolhardware配置接口根本参数对接口根本参数的配置包括：接口封装协议类型、接口异步模式、IP地址、为远程客户安排IPIP地址池rasclients中获得IPInternetRouter(config)#interfaceasync97InternetRouter(config)#ipaddr