畢業(yè)設(shè)計（論文）基于Cisco技術(shù)的某學(xué)校網(wǎng)絡(luò)規(guī)劃設(shè)計與實(shí)現(xiàn)

1、1 摘要摘 要：“基于cisco技術(shù)的某學(xué)校網(wǎng)絡(luò)規(guī)劃設(shè)計與實(shí)現(xiàn)”，在這個設(shè)計中用到了cisco的交換與路由技術(shù)、cisco的安全技術(shù)等等?；赾isco技術(shù)的某學(xué)校網(wǎng)絡(luò)規(guī)劃設(shè)計與實(shí)現(xiàn)是完成一個學(xué)校的網(wǎng)絡(luò)通信，用有限的資金最優(yōu)的完成網(wǎng)絡(luò)通信問題。學(xué)校的幾個主要地方都可以在內(nèi)部進(jìn)行通信也可以和外部進(jìn)行通信。在這個設(shè)計中分成了三個層次，最上面是核心層，用的是千兆的帶寬；其次是分布層，用的是百兆的帶寬；最下面是接入層，在接入層中針對不同的用戶需求，用不同的帶寬，但以十兆為大多數(shù)。每個不同的層次有不同的功能，核心層在學(xué)校的中心機(jī)房，主要負(fù)責(zé)這個學(xué)校的網(wǎng)絡(luò)維護(hù)，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通信，提供高的可靠性，提

2、供冗余鏈路等等；分布層是網(wǎng)絡(luò)核心層和接入層之間的分界點(diǎn)，這一層主要功能實(shí)現(xiàn)如策略、安全、vlan、路由間的重分布，靜態(tài)和動態(tài)路由選擇協(xié)議之間的劃分，介質(zhì)翻譯等等；接入層是為用戶提供對網(wǎng)絡(luò)中的本地網(wǎng)段的訪問，對分布層的訪問控制和策略進(jìn)行支持，建立獨(dú)立的沖突域等等。在這個設(shè)計中最重要也是最關(guān)鍵的是cisco公司的交換機(jī)和路由器進(jìn)行配置，在配置時是按照設(shè)計時的層次來的這樣可以減少出錯并且能更加的體現(xiàn)每一層次的特點(diǎn)、功能。加在遠(yuǎn)程訪問路由器后面的pix防火墻是cisco公司著名的軟硬件結(jié)合的專用安全設(shè)備，所有流經(jīng)pix的數(shù)據(jù)都必須接受嚴(yán)格而全面的檢驗，檢驗內(nèi)容包括數(shù)據(jù)的源和目標(biāo)地址、tcp隨機(jī)序列號、

3、tcp端口號和附加標(biāo)志等，只有滿足特定條件的數(shù)據(jù)才能穿過這道防火墻。在網(wǎng)絡(luò)規(guī)劃和設(shè)計過程中，從完成拓?fù)涞阶詈蟮臏y試都非常順利。關(guān)鍵詞：cisco 核心層 分布層 接入層 pix防火墻 2 abstractabstract: based on cisco technology in a school network design and implementation in this design used in the cisco exchange and routing technology、ciscos security technology, and so on.based on cisc

4、o technology in a school network planning 、design and implementation of a complete communications network of schools, with limited funds to complete the optimal network communications. several schools are the main places in the internal communication can and external communications. in the design ca

5、rved into three levels, the top of the core layer, with the gigabit bandwidth; secondly, the distribution layer, the 100m is the bandwidth; access is the lowermost layer, access layer for different needs of users with different bandwidth. but for the majority of advances.，each different levels have

6、different functions, the core layer in the center of the school room, primarily responsible for the maintenance of the school network, the internal network and external communications network to provide high reliability, provide redundant links, and so on. distribution of the core layer is the netwo

7、rk layer and the access layer boundaries, this layer of the main functions of achieving such as strategy, security, vlan, the re-routing distribution, static and dynamic routing agreement between the division and medium interpreters; access layer is to provide users of the network of local network v

8、isit to the distribution layer of access control and support strategy, the establishment of an independent conflict-domain, and so on. in this design the most important and most crucial is ciscos switches and routers configured it was in accordance with the design of the level of such errors can be

9、reduced and can be more a reflection of the characteristics of each level. added to the remote access router behind cisco pix firewall is a well-known software company with special security set up equipment, all the data flowing through pix had to be rigorous and comprehensive testing, test data inc

10、luding the source and destination addresses, tcp random sequence, tcp port, and additional signage. only by meeting specific conditions of this data across firewalls. network planning and design process, from the completion of the final topology of the tests are very smoothly. keyword: core layer di

11、stribution layer access layer pix firewall3 目錄1摘要12abstract23目錄44引言64.1如今的網(wǎng)絡(luò)社會64.2本課題的目的64.3關(guān)于cisco65用戶需求分析85.1網(wǎng)絡(luò)需求分析85.2資金預(yù)算86網(wǎng)絡(luò)系統(tǒng)的建議方案96.1網(wǎng)絡(luò)主干96.2教學(xué)樓的接入116.3圖書館的接入116.4辦公樓的接入116.5學(xué)生機(jī)房的接入116.6學(xué)生宿舍的聯(lián)網(wǎng)126.7pix防火墻126.8cisco 2610 遠(yuǎn)程訪問路由器126.9網(wǎng)絡(luò)管理137網(wǎng)絡(luò)總體設(shè)計方案147.1網(wǎng)絡(luò)拓?fù)?47.2vlan及ip地址規(guī)劃148交換模塊設(shè)計168.1訪問層交換服務(wù)

12、的實(shí)現(xiàn)配置訪問層交換機(jī)168.1.1設(shè)置交換機(jī)名稱178.1.2設(shè)置交換機(jī)的加密使能口令178.1.3設(shè)置登錄虛擬終端線時的口令188.1.4設(shè)置終端線超時時間198.1.5設(shè)置禁用ip地址解析特性208.1.6設(shè)置啟用消息同步特性218.1.7配置訪問層交換機(jī)jxl的管理ip、默認(rèn)網(wǎng)關(guān)228.1.8端口雙工配置248.1.9端口速度248.1.10設(shè)置快速端口258.1.11配置訪問層交換機(jī)jxl的主干道端口268.1.12配置其余的訪問層交換機(jī)278.2分布層交換服務(wù)的實(shí)現(xiàn)配置分布層交換機(jī)288.2.1配置分布層交換機(jī)jxq 的基本參數(shù)288.2.2配置分布層交換機(jī)jxq 的管理ip、默認(rèn)

13、網(wǎng)關(guān)298.2.3配置分布層交換機(jī)jxq的vlan298.2.4配置分布層交換機(jī)jxq 的端口基本參數(shù)308.2.5配置分布層交換機(jī)jxq 的3層交換功能318.2.6配置分布層交換機(jī)ssq338.3核心層交換服務(wù)的實(shí)現(xiàn)配置核心層交換機(jī)348.3.1配置核心層交換機(jī)coreswitch1的基本參數(shù)348.3.2配置核心層交換機(jī)coreswitch1的管理ip、默認(rèn)網(wǎng)關(guān)358.3.3配置核心層交換機(jī)coreswitch1的端口參數(shù)368.3.4配置核心層交換機(jī)coreswitch1的路由功能369pix防火墻的接入389.1pix防火墻的管理訪問模式399.2pix防火墻的基本命令3910廣域網(wǎng)

14、接入設(shè)計4010.1配置接入路由器internetrouter的基本參數(shù)4010.2配置接入路由器internetrouter的各接口參數(shù)4110.3配置接入路由器internetrouter的路由功能4110.4配置接入路由器internetrouter上的nat4210.4.1定義nat內(nèi)部、外部接口4210.4.2定義允許進(jìn)行nat的工作站的內(nèi)部局部ip地址范圍4310.5配置接入路由器internetrouter上的acl4410.5.1對外屏蔽簡單網(wǎng)管協(xié)議，即snmp4410.5.2對外屏蔽遠(yuǎn)程登錄協(xié)議telnet4510.5.3對外屏蔽其它不安全的協(xié)議或服務(wù)4611結(jié)束語4812致

15、謝4913參考文獻(xiàn)504 引言4.1 如今的網(wǎng)絡(luò)社會當(dāng)今的世界正從工業(yè)化社會向信息化社會轉(zhuǎn)變。一方面，社會經(jīng)濟(jì)已由基于資源的經(jīng)濟(jì)逐漸轉(zhuǎn)向基于知識的經(jīng)濟(jì)，人們對信息的需求越來越迫切，信息在經(jīng)濟(jì)的發(fā)展中起著越來越重要的作用，信息的交流成為發(fā)展經(jīng)濟(jì)最重要的因素。另一方面，隨著計算機(jī)、網(wǎng)絡(luò)和多媒體等信息技術(shù)的飛速發(fā)展，信息的傳遞越來越快捷，信息的處理能力越來越強(qiáng)，信息的表現(xiàn)形式也越來越豐富，對社會經(jīng)濟(jì)和人們的生活產(chǎn)生了深刻的影響。這一切促使通信網(wǎng)絡(luò)由傳統(tǒng)的電話網(wǎng)絡(luò)向高速多媒體信息網(wǎng)發(fā)展。由于web技術(shù)和多媒體技術(shù)的出現(xiàn)，近幾年來internet得到了突飛猛進(jìn)的發(fā)展，聯(lián)入網(wǎng)絡(luò)的節(jié)點(diǎn)和信息資源迅速增長。4

16、.2 本課題的目的學(xué)校肩負(fù)著培養(yǎng)技術(shù)新人和對學(xué)生進(jìn)行教學(xué)等重要任務(wù)。校園網(wǎng)的建設(shè)主要是為了教學(xué)應(yīng)用，而多媒體輔助教學(xué)和多媒體教室是教學(xué)應(yīng)用的核心，在網(wǎng)絡(luò)建設(shè)時應(yīng)考慮多媒體信息的特點(diǎn)，如信息量大，對時間延遲敏感等；在校園網(wǎng)中常會出現(xiàn)幾十個學(xué)生執(zhí)行相同操作的現(xiàn)象，所以要考慮并發(fā)信息的控制；學(xué)生利用網(wǎng)絡(luò)做作業(yè)，教師要在家撥號訪問學(xué)校網(wǎng)絡(luò)，學(xué)籍管理信息在網(wǎng)上傳輸，所以也要考慮網(wǎng)絡(luò)的安全性，防止黑客破壞網(wǎng)絡(luò)，學(xué)生抄襲作業(yè)；校園網(wǎng)又是面向不同知識層次的教師、學(xué)生和辦公人員的工具，它幫助我們更好地提高教學(xué)水平、辦公效率和學(xué)習(xí)興趣，所以應(yīng)用和管理應(yīng)簡便易行，界面友好，不宜太專業(yè)化。還要考慮學(xué)校的具體情況如性質(zhì)

17、、規(guī)模、財務(wù)等，本設(shè)計最終要完成學(xué)校的網(wǎng)絡(luò)通信。4.3 關(guān)于ciscocisco是交換和路由領(lǐng)域的領(lǐng)軍力量，cisco在因特網(wǎng)聯(lián)網(wǎng)領(lǐng)域確定了世界級的領(lǐng)導(dǎo)地位，它的聯(lián)網(wǎng)解決方案很容易讓不同網(wǎng)絡(luò)中的各種不同設(shè)備的用戶互相連接起來。cisco的網(wǎng)絡(luò)產(chǎn)品使得人們很容易互相訪問并傳送信息，而無需顧及到時間、地點(diǎn)和平臺的差異。5 用戶需求分析5.1 網(wǎng)絡(luò)需求分析校園網(wǎng)的網(wǎng)絡(luò)部分的設(shè)計應(yīng)滿足以下要求：1、 骨干網(wǎng)必須是高速局域網(wǎng)，能支持虛擬分段和多媒體應(yīng)用。2、 多媒體教室主要完成多媒體網(wǎng)絡(luò)教學(xué)任務(wù)，要求支持60個用戶同時上網(wǎng)。3、 利用學(xué)?，F(xiàn)有的小總機(jī)的閑置資源，為教職工提供低廉的家庭撥號入網(wǎng)服務(wù)，減少家

18、庭市話線入網(wǎng)而長時間占線帶來的話費(fèi)大幅增加。撥號入網(wǎng)用戶可以訪問本校資源和視聆通，從而實(shí)現(xiàn)移動辦公。4、 支持圖書館網(wǎng)絡(luò)和其它網(wǎng)絡(luò)之間資源的雙向訪問。5、 接入校園網(wǎng)的所有電腦應(yīng)能訪問內(nèi)部服務(wù)器的資源。6、 網(wǎng)絡(luò)要有足夠的擴(kuò)展能力，當(dāng)網(wǎng)絡(luò)擴(kuò)大時，網(wǎng)絡(luò)性能不會大幅度下降。7、 網(wǎng)絡(luò)要易于維護(hù)和管理，有方便的網(wǎng)絡(luò)管理工具。8、 網(wǎng)絡(luò)應(yīng)有一定的安全機(jī)制，防止濫用。5.2 資金預(yù)算設(shè)備報價：設(shè)備數(shù)量（臺）價格（元）cisco 261019800pix防火墻（pix-525-r-bun）152000catalyst 4503148200catalyst 3550234000catalyst 294072

19、8000catalyst 295015200交換機(jī)和路由器模塊價格共50000元光纖、網(wǎng)線、水晶頭等等價格共30000元6 網(wǎng)絡(luò)系統(tǒng)的建議方案考慮到校園網(wǎng)上今后大量的應(yīng)用是多媒體業(yè)務(wù)，對網(wǎng)絡(luò)帶寬的需求較高，而且網(wǎng)上連接的節(jié)點(diǎn)也較多，因此主干網(wǎng)絡(luò)應(yīng)采用高速局域網(wǎng)技術(shù)。目前的高速局域網(wǎng)主要有atm、fddi和fast ethernet。雖然atm和fddi性能比較優(yōu)越，但技術(shù)上實(shí)現(xiàn)都較為復(fù)雜，價格昂貴，而且atm還沒有完全實(shí)現(xiàn)標(biāo)準(zhǔn)化，不同產(chǎn)家產(chǎn)品之間的互操作性也不是很好，網(wǎng)上開放的應(yīng)用也受到一定的限制。fast ethernet是在傳統(tǒng)的10mbps ethernet網(wǎng)絡(luò)技術(shù)上發(fā)展起來的，速率可達(dá)

20、到100mbps，而且目前實(shí)現(xiàn)的產(chǎn)品大部分能實(shí)現(xiàn)10mbps和100mbps速率的自適應(yīng)，與原有的網(wǎng)絡(luò)存在較好的兼容性，價格也比較低廉。因此，在本系統(tǒng)中我們主要采用了100mbps快速以太網(wǎng)技術(shù)。6.1 網(wǎng)絡(luò)主干校園網(wǎng)的網(wǎng)絡(luò)主干采用了catalyst4500系列和catalyst3550交換機(jī)。catalyst4500系列的交換機(jī)有1個引擎插槽，2個線卡插槽，最多116個端口。20個線速千兆以太網(wǎng)（ge）端口（12個千兆以太網(wǎng)poe銅線端口、8個千兆以太網(wǎng)sfp光端口）。線卡 百兆以太網(wǎng)銅線 - 百兆以太網(wǎng)線卡包括24端口和48端口連接類型，都帶可任選poe。 百兆以太網(wǎng)光纖 - 支持多模光纖

21、和單模光纖，以及fx、lx和bx收發(fā)器。 千兆以太網(wǎng)銅線 - 提供24端口或48端口，帶或不帶poe。 千兆以太網(wǎng)光纖 - 千兆以太網(wǎng)光纖卡提供高性能千兆以太網(wǎng)上行鏈路和服務(wù)器群連接。提供多種端口數(shù)和光接口類型（千兆位接口轉(zhuǎn)換器gbic和sfp光接口）。 集中式架構(gòu)為實(shí)現(xiàn)特性豐富的線速性能，明智的以太網(wǎng)交換機(jī)廠商采用了三重內(nèi)容可定址內(nèi)存（tcam）。cisco catalyst 4500系列交換機(jī)使用獨(dú)立tcam資源，以獨(dú)立于線速智能服務(wù)處理的方式處理第三層路由。其架構(gòu)讓每個功能和特性都擁有大量專用tcam空間，以保證獲得出色性能。cisco catalyst 4500系列的優(yōu)點(diǎn) 安全、強(qiáng)大

22、- 通過冗余組件提供高可靠性 服務(wù)中升級 - 熱插拔和刪除組件 千兆以太網(wǎng)的價格 - 比可堆疊設(shè)備更為經(jīng)濟(jì)有效（大于48個端口） 自適應(yīng)性 - 不需要大規(guī)模升級就能提供萬兆以太網(wǎng)上行鏈路 極高的安全性 - 利用cisco catalyst集成式安全特性，能夠提供思科最全面的局域網(wǎng)接入保護(hù) 戰(zhàn)略性思科平臺 - 已安裝了400,000多個機(jī)箱 集中式體系結(jié)構(gòu) - 簡潔、擴(kuò)展能力強(qiáng)、性能高 支持ip語音 投資保護(hù) 是目前部署最廣泛的模塊化交換機(jī) cisco catalyst 3550系列智能化以太網(wǎng)交換機(jī)是一個可堆疊的多層企業(yè)級交換機(jī)系列，可以提供高水平的可用性、安全性和服務(wù)質(zhì)量，從而提高網(wǎng)絡(luò)的運(yùn)行

23、效率。因為具有多種快速以太網(wǎng)和千兆位以太網(wǎng)配置，因此catalyst 3550系列既可以作為一個功能強(qiáng)大的接入層交換機(jī)，用于中型企業(yè)的布線室；也可以作為一個小型網(wǎng)絡(luò)的骨干網(wǎng)交換機(jī)?？蛻艨梢栽谡麄€網(wǎng)絡(luò)中部署多種智能化服務(wù)，例如高級qos、速度限制、思科安全訪問控制列表、組播管理和高性能的ip路由同時保持傳統(tǒng)局域網(wǎng)（lan）交換的簡便性。內(nèi)嵌在cisco catalyst 3550系列交換機(jī)中的思科集群管理套件（cms）讓用戶可以利用任何一個標(biāo)準(zhǔn)的web瀏覽器，同時配置和診斷多個catalyst桌面交換機(jī)。cisco cms軟件提供了新的配置向?qū)?，它可以大幅度簡化融合網(wǎng)絡(luò)和智能化網(wǎng)絡(luò)服務(wù)的部署。6

24、.2 教學(xué)樓的接入教學(xué)樓，主要用于提供教學(xué)。我們采用一個catalyst2940來實(shí)現(xiàn)，并通過百兆鏈路連接到分布層的3550系列的交換機(jī)上。cisco catalyst 2940系列交換機(jī)是小型、獨(dú)立的可管理交換機(jī)，帶8個快速以太網(wǎng)端口和一條集成快速以太網(wǎng)或千兆位以太網(wǎng)上行鏈路。該系列交換機(jī)是為在最終用戶工作場所中、布線室以外使用而設(shè)計的，擁有耐久的金屬外殼，無風(fēng)扇，可實(shí)現(xiàn)靜音操作，便于在墻上或桌下安裝，安全鎖定插槽可以防竊，線路防護(hù)裝置可以保護(hù)以太網(wǎng)電纜和交換機(jī)。6.3 圖書館的接入圖書館采用的是一個10兆的以太網(wǎng)，采用普通的10兆的共享hub來連接各個終端。由于圖書館和中心網(wǎng)絡(luò)相距有300

25、米以上，必須采用光纖才能支持如此遠(yuǎn)距離的聯(lián)網(wǎng)。因此我們在圖書館的網(wǎng)絡(luò)上用一個catalyst2940 10/100 fast ethernet switch，該switch包括一個100base-fx光纖模塊，以支持與中心網(wǎng)絡(luò)switch的聯(lián)網(wǎng)。6.4 辦公樓的接入辦公樓的接入，采用了100兆的帶寬到桌面。這樣可以便于教師的網(wǎng)絡(luò)瀏覽和資料傳輸。6.5 學(xué)生機(jī)房的接入cisco catalyst 2950系列智能以太網(wǎng)交換機(jī)是一個固定配置、可堆疊的獨(dú)立設(shè)備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接。這是一款最廉價的cisco交換產(chǎn)品系列，為中型網(wǎng)絡(luò)和城域接入應(yīng)用提供了智能服務(wù)。作為思科最為廉價

26、的交換產(chǎn)品系列，cisco catalyst 2950系列在網(wǎng)絡(luò)或城域接入邊緣實(shí)現(xiàn)了智能服務(wù)。學(xué)生機(jī)房要求的網(wǎng)絡(luò)訪問量大于學(xué)校的其它地方，所以在學(xué)生機(jī)房的接入上采用了catalyst 2950交換機(jī)，此交換機(jī)支持1000m的帶寬接入，也用了1000m的帶寬接入，到達(dá)每臺學(xué)生機(jī)的帶寬為100m。這樣的速率可以支持學(xué)生網(wǎng)上教學(xué)、瀏覽網(wǎng)頁、查找資料、下載資料等等。6.6 學(xué)生宿舍的聯(lián)網(wǎng)學(xué)生宿舍樓有四層每層有20個宿舍，所以用了四臺交換機(jī)，每層一臺，每個交換機(jī)有24個接口，每個接口都提供了100m的帶寬，宿舍樓聯(lián)網(wǎng)采用在分布層千兆位、百兆位到樓層、獨(dú)立100兆位到桌面的方式。學(xué)生在宿舍就可以瀏覽網(wǎng)頁，

27、課后的娛樂，瀏覽學(xué)校的服務(wù)器和web等等。6.7 pix防火墻加在遠(yuǎn)程訪問路由器2610后的pix防火墻是思科公司著名的軟硬件結(jié)合的專用安全設(shè)備，也是本方案的亮點(diǎn)之一，它體現(xiàn)出用戶對網(wǎng)絡(luò)安全的極度關(guān)注。所有流經(jīng)pix的數(shù)據(jù)都必須接受嚴(yán)格而全面的檢驗，檢驗內(nèi)容包括數(shù)據(jù)的源和目標(biāo)地址、tcp隨機(jī)序列號、tcp端口號和附加標(biāo)志等，只有滿足特定條件的數(shù)據(jù)才能穿過這道防火墻；相對集成在路由器上的防火墻和軟件防火墻而言，pix使用自己專有的軟件系統(tǒng)，不需借助于外部操作平臺，內(nèi)核技術(shù)不公開，因此能更有效地阻止網(wǎng)絡(luò)黑客的攻擊；而配套的硬件組成使其數(shù)據(jù)處理效率更高；此外，pix還支持網(wǎng)絡(luò)地址翻譯的功能，能夠?qū)崿F(xiàn)

28、內(nèi)部ip到合法ip的轉(zhuǎn)換，方便更多的用戶利用有限地ip地址資源作internet訪問。6.8 cisco 2610 遠(yuǎn)程訪問路由器cisco 2610 支持端到端的解決方案，表現(xiàn)在以下幾方面：1、 多業(yè)務(wù)集成 它實(shí)現(xiàn)了多業(yè)務(wù)語音/數(shù)據(jù)集成功能的承諾，使客戶能控制成本，為服務(wù)供應(yīng)商提供更廣泛的可管理服務(wù)選項。2、 投資保護(hù) 它支持對模塊組件進(jìn)行現(xiàn)場投資升級，所以客戶能夠很容易地更新網(wǎng)絡(luò)接口，而無需對整個遠(yuǎn)程分支機(jī)構(gòu)進(jìn)行全面升級。cisco 2600 平臺的新型aim插槽具有良好的可擴(kuò)充能力，可支持高級業(yè)務(wù)。3、 降低成本 cisco 2600系列將csu/dsu、isdn網(wǎng)絡(luò)終端設(shè)備以及遠(yuǎn)程分支

29、機(jī)構(gòu)布線室中的其他設(shè)備集成到一臺很小的設(shè)備中，提供一種節(jié)省空間的解決方案，使用網(wǎng)絡(luò)管理軟件可對此方案進(jìn)行遠(yuǎn)程管理4、 支持多種協(xié)議 cisco 2600 全面支持cisco ios 的功能，其中包括intranet、多種協(xié)議、服務(wù)質(zhì)量。5、 方便管理 cisco2600 系列模塊化路由器可以通過ciscoworks、ciscoview、cisco voice manager 和configmaker等許多網(wǎng)絡(luò)管理工具進(jìn)行管理6、 靈活的擴(kuò)展空間 cisco2600系列具有1個或2個局域網(wǎng)端口、1個網(wǎng)絡(luò)模塊插槽、2個廣域網(wǎng)接口卡插槽和一個內(nèi)置的aim插槽7、 數(shù)據(jù)、語音、傳真集成 cisco 2

30、600系列支持語音模塊6.9 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理是整個網(wǎng)絡(luò)的核心。為了確保網(wǎng)絡(luò)的正常運(yùn)行，必須對網(wǎng)絡(luò)上各節(jié)點(diǎn)的運(yùn)行狀況和網(wǎng)上的數(shù)據(jù)流量進(jìn)行監(jiān)控，以便分析網(wǎng)絡(luò)的性能，從而優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。這必須依靠強(qiáng)有力的網(wǎng)絡(luò)管理系統(tǒng)來支持。網(wǎng)絡(luò)管理包括網(wǎng)絡(luò)配置管理、故障管理、性能管理、安全管理和性能統(tǒng)計等。校園網(wǎng)的所有的交換器、集線器、路由器、和遠(yuǎn)程接入服務(wù)器上都配置了snmp代理模塊，可以采用snmp兼容的網(wǎng)絡(luò)管理系統(tǒng)進(jìn)行管理。這里我們選用intel公司的landesk network manager和landesk management suite對網(wǎng)絡(luò)設(shè)備和網(wǎng)上工作站及服務(wù)器進(jìn)行管理。landesk netw

31、ork manager主要對hub和switch等網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控和管理。landesk network manager能自動生成和維護(hù)整個網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖，能監(jiān)視每個網(wǎng)絡(luò)端口的信息流量及配置，并且能將網(wǎng)絡(luò)系統(tǒng)劃分為虛擬網(wǎng)段，優(yōu)化網(wǎng)絡(luò)的性能，它還能提供網(wǎng)絡(luò)系統(tǒng)的故障檢測和報警。landesk management suite主要對網(wǎng)上的服務(wù)器和工作站進(jìn)行管理，包括工作站硬件配置的監(jiān)視，服務(wù)器狀態(tài)的監(jiān)控和告警事件的處理，軟件的分發(fā)，生成包括使用率、服務(wù)器統(tǒng)計情況和告警等的統(tǒng)計報告。7 網(wǎng)絡(luò)總體設(shè)計方案7.1 網(wǎng)絡(luò)拓?fù)錇榱藢?shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即cisco公司

32、的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的主要好處在于可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。 本校園網(wǎng)設(shè)計方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器模塊。整個網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如圖4-1圖4-17.2 vlan及ip地址規(guī)劃 在一個大、中型網(wǎng)絡(luò)里，vlan的劃分是必不可少的步驟之一。在本校園網(wǎng)設(shè)計實(shí)例中，整個校園網(wǎng)中vlan及ip編址方案如表1所示。 vlan號vlan名稱ip網(wǎng)段默認(rèn)網(wǎng)關(guān)說明vlan1-19216810/241921681254管理vlanvlan2jxl19216820/241921682154教學(xué)樓vlanvlan3bgl192168

33、30/241921683254辦公樓vlanvlan4xsjf19216840/241921684254機(jī)房vlanvlan5tsg19216850/241921685254圖書館vlanvlan6xsss19216860/241921686254宿舍vlan表一8 交換模塊設(shè)計一個好的校園網(wǎng)設(shè)計應(yīng)該是一個分層的設(shè)計。一般分為三層設(shè)計模型。 為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換模塊的部署是分層進(jìn)行的。 園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：訪問層、分布層、核心層。 傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在osi模型的第2層?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3層交換和多層交換。高層交換技術(shù)

34、的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。 現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（virtual lan，vlan）的概念。vlan將廣播域限制在單個vlan內(nèi)部，減小了各vlan間主機(jī)的廣播通信對其他vlan的影響。在vlan間需要通信的時候，可以利用vlan間路由技術(shù)來實(shí)現(xiàn)。 當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時，可以使用vlan中繼協(xié)議（vlan trunking protocol，vtp）簡化管理，它只需在單獨(dú)一臺交換機(jī)上定義所有vlan。然后通過vtp協(xié)議將vlan定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)

35、管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。 當(dāng)園區(qū)網(wǎng)絡(luò)的交換機(jī)數(shù)量增多、交換機(jī)間鏈路增加時，交換網(wǎng)絡(luò)的復(fù)雜性可能會造成交換環(huán)路問題，這需要通過在各交換機(jī)上運(yùn)行生成樹協(xié)議（spanning tree protocol，stp）來解決。 8.1 訪問層交換服務(wù)的實(shí)現(xiàn)配置訪問層交換機(jī) 訪問層為所有的終端用戶提供一個接入點(diǎn)。這里的訪問層交換機(jī)采用的是cisco catalyst 2940 24口交換機(jī)（ws-c2940-24）和cisco catalyst 2950 24口交換機(jī)（ws-c2950-24）。該交換機(jī)擁有24個10/100mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是cisco的ios操作系統(tǒng)。這里，以圖4

36、.1-1中的訪問層交換機(jī)教學(xué)樓交換機(jī)為例進(jìn)行介紹。 8.1.1 設(shè)置交換機(jī)名稱設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī)cli提示符中的名字。一般以地理位置或行政劃分來為交換機(jī)命名。當(dāng)需要telnet登錄到若干臺交換機(jī)以維護(hù)一個大型網(wǎng)絡(luò)時，通過交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。 如圖5-1所示，為訪問層交換機(jī)jxl命名。 圖5-1 為訪問層交換機(jī)jxl命名 8.1.2 設(shè)置交換機(jī)的加密使能口令 當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時，需要提供此口令。此口令會以md5的形式加密，因此，當(dāng)用戶查看配置文件時，無法看到明文形式的口令。 如圖5-2所示，將交換機(jī)的加密使能口令設(shè)置

37、為secretpasswd。 圖5-2 為交換機(jī)設(shè)置加密使能口令 8.1.3 設(shè)置登錄虛擬終端線時的口令 對于一個已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來說，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是，出于安全考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。 如圖5-3所示，設(shè)置登錄交換機(jī)時需要驗證用戶身份，同時設(shè)置口令為youguess。 圖5-3 為訪問層交換機(jī)jxl命名 8.1.4 設(shè)置終端線超時時間 為了安全考慮，可以設(shè)置終端線超時時間。在設(shè)置的時間內(nèi)，如果沒有檢測到鍵盤輸入，ios將斷開用戶和交換機(jī)之間的連接。 如圖5-4所示，設(shè)置登錄交換機(jī)的控制臺終端線路及虛擬

38、終端線的超時時間為5分30秒鐘。 圖5-4 設(shè)置控制臺終端線路和虛擬終端線路的超時時間 8.1.5 設(shè)置禁用ip地址解析特性 在交換機(jī)默認(rèn)配置的情況下，當(dāng)輸入一條錯誤的交換機(jī)命令時，交換機(jī)會嘗試將其廣播給網(wǎng)絡(luò)上的dns服務(wù)器并將其解析成對應(yīng)的ip地址。利用命令no ip domain-lookup。可以禁用這個特性。如圖5-5所示，設(shè)置禁用ip地址解析特性。 圖5-5 設(shè)置禁用ip地址解析特性 8.1.6 設(shè)置啟用消息同步特性 有時，用戶輸入的交換機(jī)配置命令會被交換機(jī)產(chǎn)生的消息打亂?？梢允褂妹頻ogging synchronous設(shè)置交換機(jī)在下一行cli提示符后復(fù)制用戶的輸入。如圖5-6所示

39、，設(shè)置啟用消息同步特性。 圖5-6 設(shè)置啟用消息同步特性 8.1.7 配置訪問層交換機(jī)jxl的管理ip、默認(rèn)網(wǎng)關(guān) 訪問層交換機(jī)是osi參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問層交換機(jī)的每個端口設(shè)置ip地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到訪問層交換機(jī)上進(jìn)行管理，必須給訪問層交換機(jī)設(shè)置一個管理用ip地址。這種情況下，實(shí)際上是將交換機(jī)看成和pc機(jī)一樣的主機(jī)。 給交換機(jī)設(shè)置管理用ip地址只能在vlan1，即本征vlan中進(jìn)行。按照表2-1，管理vlan所在的子網(wǎng)是：192.168.1.0/24，這里將訪問層交換機(jī)jxl的管理ip地址設(shè)為：192.168.1.1/24。

40、如圖5-7所示，顯示了為訪問層交換機(jī)jxl設(shè)置管理ip并激活本征vlan。 圖5-7 設(shè)置訪問層交換機(jī)jxl的管理ip 為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址192.168.1.254。如圖5-8所示。 圖5-8 設(shè)置訪問層交換機(jī)jxl的默認(rèn)網(wǎng)關(guān)地址 8.1.8 端口雙工配置可以設(shè)定某端口根據(jù)對端設(shè)備雙工類型自動調(diào)整本端口雙工模式，也可以強(qiáng)制將端口雙工模式設(shè)為半雙工或全雙工模式。在了解對端設(shè)備類型的情況下，建議手動設(shè)置端口雙工模式。 如圖5-9所示，設(shè)置訪問層交換機(jī)jxl的所有端口均工作在全雙工模式。 圖5-9 設(shè)置訪問層交換機(jī)jxl的端口工作模式 8.1.9 端

41、口速度 可以設(shè)定某端口根據(jù)對端設(shè)備速度自動調(diào)整本端口速度，也可以強(qiáng)制將端口速度設(shè)為10mpbs或100mbps。在了解對端設(shè)備速度的情況下，建議手動設(shè)置端口速度。 如圖5-10所示，設(shè)置訪問層交換機(jī)jxl的部分端口的速度均為100mbps。 圖5-10 設(shè)置訪問層交換機(jī)jxl的端口速度 8.1.10 設(shè)置快速端口 默認(rèn)情況下，交換機(jī)在剛加電啟動時，每個端口都要經(jīng)歷生成樹的四個階段：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個端口可能最多要等50秒鐘的時間（20秒的阻塞時間15秒的偵聽延遲時間15秒的學(xué)習(xí)延遲時間）。 對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。

42、為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時間，可以設(shè)置將某端口設(shè)置成為快速端口（portfast）。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動或端口有工作站接入時，將會直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)（假設(shè)橋接表已經(jīng)建 立）。 如圖5-11所示，設(shè)置訪問層交換機(jī)jxl的1-23端口為快速端口。 圖5-11 設(shè)置快速端口 8.1.11 配置訪問層交換機(jī)jxl的主干道端口 如圖2-1所示，訪問層交換機(jī)jxl通過端口fastethernet 0/24上連到分布層交換機(jī)jxq的端口fastethernet 0/24。這一條上連鏈路將成為主干道鏈路，在這一條上連鏈路上將運(yùn)輸多個vlan的數(shù)據(jù)。 如圖5-12所示

43、，設(shè)置訪問層交換機(jī)jxl的端口fastethernet 0/24為主干道端口。 圖5-12 設(shè)置主干道端口 8.1.12 配置其余的訪問層交換機(jī)對其余訪問層交換機(jī)的配置步驟、命令和對訪問層交換機(jī)jxl的配置類似。這里，不再詳細(xì)分析，只給出最后的配置文件內(nèi)容（只留下了必要的命令）。 需要指出的是，為了提供主干道的吞吐量，可以采用鏈路捆綁（快速以太網(wǎng)信道）技術(shù)增加可用帶寬。例如，可以將訪問層交換機(jī)jxl 的端口fastethernet 0/21 和fastethernet 0/22捆綁在一起實(shí)現(xiàn)200mbps的快速以太網(wǎng)信道，然后再上連到分布層交換機(jī)jxq 。具體的配置步驟和命令將在核心層交換機(jī)的

44、配置一節(jié)中進(jìn)行介紹。 8.2 分布層交換服務(wù)的實(shí)現(xiàn)配置分布層交換機(jī) 分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外，還為整個交換網(wǎng)絡(luò)提供vlan間的路由選擇功能。 這里的分布層交換機(jī)采用的是cisco catalyst 3550交換機(jī)。作為3層交換機(jī)，cisco catalyst 3550交換機(jī)擁有24個10/100mbps自適應(yīng)快速以太網(wǎng)端口，同 時還有2個1000mbps的gbic端口供上連使用，運(yùn)行的是cisco的integrated ios操作系統(tǒng)。這里，以圖4-1中的分布層交換機(jī)jxq（教學(xué)區(qū)）為例進(jìn)行介紹。8.2.1 配置分布層交換機(jī)jxq 的基本參數(shù) 對分布層交換機(jī)jxq 的基本參數(shù)的配

45、置步驟與對訪問層交換機(jī)jxq 的基本參數(shù)的配置類似。這里，只給出實(shí)際的配置步驟，不再給出具體解釋，如圖5-13所示。 圖5-13 配置分布層交換機(jī)jxq 的基本參數(shù) 8.2.2 配置分布層交換機(jī)jxq 的管理ip、默認(rèn)網(wǎng)關(guān) 如圖 5-14 所示，顯示了為分布層交換機(jī) jxq 設(shè)置管理 ip 并激 活本征 vlan。同時，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。 圖 5-14 分布層交換機(jī) jxq 的管理ip、默認(rèn)網(wǎng)關(guān) 8.2.3 配置分布層交換機(jī)jxq的vlan 在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中，除了默認(rèn)的本征vlan外，又額外定義了5個vlan，如表一所示。 如圖5-15所示，定義了5個vlan，同時為每個vlan命名

46、，在jxq的交換機(jī)上有四個vlan。圖5-15 定義vlan 8.2.4 配置分布層交換機(jī)jxq 的端口基本參數(shù) 分布層交換機(jī)jxq 的端口fastethernet 0/21fastethernet 0/24為教學(xué)區(qū)里的交換機(jī)提供接入服務(wù)。此外，分布層交換機(jī)jxq 還通過自己的千兆端口 gigabitethernet 0/1上連到核心交換機(jī)coreswitch1的gigabitethernet 3/1。 為了實(shí)現(xiàn)冗余設(shè)計，分布層交換機(jī)jxq 還通過自己的千兆端口gigabitethernet 0/2連接另一臺到分布層交換機(jī)ssq 的gigabitethernet 0/2。 如圖5-16 所示，

47、給出了對所有訪問端口、主干道端口的配置步驟和命令。 圖5-16 設(shè)置分布層交換機(jī)jxq 的各端口參數(shù) 8.2.5 配置分布層交換機(jī)jxq 的3層交換功能 分布層交換機(jī)jxq 需要為網(wǎng)絡(luò)中的各個vlan提供路由功能。這需要首先啟用分布層交換機(jī)的路由功能。如圖5-17所示。 圖5-17 啟用路由功能接下來，需要為每個vlan定義自己的默認(rèn)網(wǎng)關(guān)地址，如圖5-18所示。 圖5-18 定義各vlan的默認(rèn)網(wǎng)關(guān)地址 此外，還需要定義通往internet的路由。這里使用了一條缺省路由命令，如圖5-19所示。其中，下一跳地址是internet接入路由器的快速以太網(wǎng)接口fastethernet 0/0的ip地址

48、。 圖5-19 定義到internet的缺省路由 8.2.6 配置分布層交換機(jī)ssq 分布層交換機(jī)ssq的端口fastethernet 0/21-24分別下連到訪問層交換機(jī)的端口。此外，分布層交換機(jī)ssq 還通過自己的千兆端口 gigabitethernet 0/1上連到核心交換機(jī)coreswitch1的gigabitethernet 3/2。 為了實(shí)現(xiàn)冗余設(shè)計，分布層交換機(jī)ssq還通過自己的千兆端口gigabitethernet 0/2連接到分布層交換機(jī)jxq 的gigabitethernet 0/2。 對分布層交換機(jī)ssq的配置步驟、命令和對分布層交換機(jī)ssq的配置類似。這里，不再詳細(xì)分析

49、。 8.3 核心層交換服務(wù)的實(shí)現(xiàn)配置核心層交換機(jī) 核心層將各分布層交換機(jī)互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。 本實(shí)例中的核心層交換機(jī)采用的是cisco catalyst 4503交換機(jī)，采用了catalyst 4500 supervisor ii plus（ws-x4013+）作為交換機(jī)引擎。運(yùn)行的是cisco的integrated ios操作系統(tǒng)，其鏡像文件是cat400.6-3-5.bin。 在作為核心層交換機(jī)的cisco catalyst 4503交換機(jī)中，安裝了ws-x4306-gb（catalyst 4000 gigabit ethernet module, 6-ports （

50、gbic）模塊，該模塊提供了5個千兆光纖上連接口，可以用來接入ws-g5484（1000base-sx short wavelength gbic （multimode only）。這里，以圖4-1中的核心層交換機(jī)coreswitch1為例進(jìn)行介紹。8.3.1 配置核心層交換機(jī)coreswitch1的基本參數(shù) 對核心層交換機(jī)coreswitch1的基本參數(shù)的配置步驟與對訪問層交換機(jī)jxq的基本參數(shù)的配置類似。這里，只給出實(shí)際的配置步驟，不再給出具體解釋，如圖5-20 所示。 圖5-20 配置核心層交換機(jī)coreswitch1的基本參數(shù) 8.3.2 配置核心層交換機(jī)coreswitch1的管理i

51、p、默認(rèn)網(wǎng)關(guān) 如圖5-21所示，顯示了為核心層交換機(jī)coreswitch1設(shè)置管理ip并激活本 圖5-21 核心層交換機(jī)coreswitch1的管理ip、默認(rèn)網(wǎng)關(guān) 8.3.3 配置核心層交換機(jī)coreswitch1的端口參數(shù) 核心層交換機(jī)coreswitch1通過自己的端口fastethernet 4/3同廣域網(wǎng)接入模塊（pix防火墻）相連。同時，核心層交換機(jī)coreswitch1的端口gigabitethernet 3/1gigabitethernet 3/2分別下連到分布層交換機(jī)jxq和ssq的端口gigabitethernet 0/1。 它的配置和jxq交換機(jī)的配置沒有什么區(qū)別，這里就沒

52、有在詳細(xì)說明。此外，為了提供主干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計，在本設(shè)計中，將核心層交換機(jī)coreswitch1的千兆端口gigabitethernet 2/1、gigabitethernet 2/2捆綁在一起實(shí)現(xiàn)2000mbps的千兆以太網(wǎng)信道。 如圖5-23所示，是設(shè)置核心層交換機(jī)coreswitch1的千兆以太網(wǎng)信道的步驟。 圖5-23 設(shè)置核心層交換機(jī)coreswitch1的千兆以太網(wǎng)信道 8.3.4 配置核心層交換機(jī)coreswitch1的路由功能 核心層交換機(jī)coreswitch1通過端口fastethernet 4/3同廣域網(wǎng)接入模塊（pix防火墻）相連。因此，需要啟用核心層交換機(jī)的

53、路由功能。同時，還需要定義通往internet的路由。這里使用了一條缺省路由命令，如圖5-24所示。其中，下一跳地址是internet接入路由器的快速以太網(wǎng)接口fastethernet 0/0的ip地址。 圖5-24 定義到internet的缺省路由如圖所示9 pix防火墻的接入任何企業(yè)安全策略的一個主要部分都是實(shí)現(xiàn)和維護(hù)防火墻，因此防火墻在網(wǎng)絡(luò)安全的實(shí)現(xiàn)當(dāng)中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣，這使得內(nèi)部網(wǎng)絡(luò)與internet之間或者與其他外部網(wǎng)絡(luò)互相隔離，并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。在眾多的企業(yè)

54、級主流防火墻中，cisco pix防火墻是所有同類產(chǎn)品性能最好的一種。cisco pix系列防火墻目前有5種型號pix506，515，520，525，535。其中pix535是pix 500系列中最新，功能也是最強(qiáng)大的一款。它可以提供運(yùn)營商級別的處理能力，適用于大型的isp等服務(wù)提供商。但是pix特有的os操作系統(tǒng)，使得大多數(shù)管理是通過命令行來實(shí)現(xiàn)的，不象其他同類的防火墻通過web管理界面來進(jìn)行網(wǎng)絡(luò)管理，這樣會給初學(xué)者帶來不便。本文將通過實(shí)例介紹如何配置cisco pix防火墻。在配置pix防火墻之前，先來介紹一下防火墻的物理特性。防火墻通常具有至少3個接口，但許多早期的防火墻只具有2個接口；

55、當(dāng)使用具有3個接口的防火墻時，就至少產(chǎn)生了3個網(wǎng)絡(luò)，描述如下：內(nèi)部區(qū)域（內(nèi)網(wǎng)）。 內(nèi)部區(qū)域通常就是指企業(yè)內(nèi)部網(wǎng)絡(luò)或者是企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分。它是互連網(wǎng)絡(luò)的信任區(qū)域，即受到了防火墻的保護(hù)。外部區(qū)域（外網(wǎng)）。 外部區(qū)域通常指internet或者非企業(yè)內(nèi)部網(wǎng)絡(luò)。它是互連網(wǎng)絡(luò)中不被信任的區(qū)域，當(dāng)外部區(qū)域想要訪問內(nèi)部區(qū)域的主機(jī)和服務(wù)，通過防火墻，就可以實(shí)現(xiàn)有限制的訪問。 ?；饏^(qū)（dmz）。 ?；饏^(qū)是一個隔離的網(wǎng)絡(luò)，或幾個網(wǎng)絡(luò)。位于?；饏^(qū)中的主機(jī)或服務(wù)器被稱為堡壘主機(jī)。一般在?；饏^(qū)內(nèi)可以放置web服務(wù)器，mail服務(wù)器等。?；饏^(qū)對于外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問企業(yè)的公開信息，但卻不

56、允許他們訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。注意：2個接口的防火墻是沒有停火區(qū)的。9.1 pix防火墻的管理訪問模式非特權(quán)模式。 pix防火墻開機(jī)自檢后，就是處于這種模式。系統(tǒng)顯示為pixfirewall特權(quán)模式。 輸入enable進(jìn)入特權(quán)模式，可以改變當(dāng)前配置。顯示為pixfirewall# 配置模式。 輸入configure terminal進(jìn)入此模式，絕大部分的系統(tǒng)配置都在這里進(jìn)行。顯示為pixfirewall(config)#監(jiān)視模式。 pix防火墻在開機(jī)或重啟過程中，按住escape鍵或發(fā)送一個“break”字符，進(jìn)入監(jiān)視模式。這里可以更新操作系統(tǒng)映象和口令恢復(fù)。顯示為monitor9.2 pix防火墻的基本命令nameif，inte