局域網(wǎng)課程設計

1、局域網(wǎng)技術課程設計報告題 目 校園網(wǎng)的規(guī)劃與設計 姓 名 _ 學 號 _ 專 業(yè) _ 指導教師 成 績 網(wǎng)絡工程系年 月日校園網(wǎng)的規(guī)劃與設計目 錄第一章 需求分析3第二章 網(wǎng)絡規(guī)劃5 一 拓撲設計與設計原則 5二 網(wǎng)絡結構分析6三網(wǎng)絡架構設計與拓撲結構7第三章 主要技術設計的具體配置過程9一 訪問層交換服務的實現(xiàn)配置訪問層交換機10二 分布層交換服務的實現(xiàn)配置分布層交換機12三 核心層交換服務的實現(xiàn)配置核心層交換機15四配置接入路由器Router17五 服務器模塊設計 21第四章 設計體會23第一章 需求分析大學是一所極具現(xiàn)代意識、以現(xiàn)代化教學為特色的地方。為了更好地使用電腦這一現(xiàn)代化的高科技

2、產(chǎn)物，使其在教學、管理等方面發(fā)揮應有的作用，我們按照“統(tǒng)一規(guī)劃、分布實施、講究實效、安全可靠”的原則，進行校園網(wǎng)綜合系統(tǒng)設計，以滿足校園內(nèi)計算機網(wǎng)絡系統(tǒng)的需要，為全校教師、科研人員、管理人員、學生提供一個先進的計算機網(wǎng)絡環(huán)境。由于將有越來越多的資料信息和管理平臺放到校園網(wǎng)上，越來越多的用戶使用校園網(wǎng)，校園網(wǎng)的可擴展性和可靠性成為選擇合作伙伴的重要標準。 隨著計算機應用成本的迅速降低，計算機用于辦公輔助管理已越來越普及。單機用戶由于協(xié)作工作關系，數(shù)據(jù)交換和信息查詢的需求迅猛增長，辦公自動化和無紙化的呼聲日益強烈。信息化時代的到來，使以獲取并傳授知識信息為主體的學校，感受到了莫大的發(fā)展和生存的壓力

3、。建設能覆蓋全校主要建筑的校園網(wǎng)絡，更好地疏通教與學的授、受渠道則是解決這些問題的最佳途徑，因此校園網(wǎng)建設的總體需求是：1) 建設一個能將散布在學校各處的各種服務器、PC機、終端設備、各類網(wǎng)絡設備以及局域網(wǎng)、有線電視廣播網(wǎng)、電話通訊網(wǎng)等信息連接起來，形成結構合理并與有關廣域網(wǎng)相連的校園計算機網(wǎng)絡系統(tǒng)。2) 在上述基礎上以現(xiàn)代教育技術為指導，建立滿足學校員工教學、科研、管理工作和學生自主學習所需要的軟硬件環(huán)境和各類信息資源庫和應用系統(tǒng)，使其成為內(nèi)接外連的教育信息服務體。3) 培訓校園網(wǎng)管理人員，建立校園網(wǎng)信息資源開發(fā)、收集、整理隊伍，培訓員工校園網(wǎng)的使用技能。促進教學、管理改革。4) 建立、健全

4、校園網(wǎng)維護、使用和信息資源開發(fā)、收集的獎勵等管理制度。 第二章 網(wǎng)絡規(guī)劃一 拓撲設計與設計原則局域網(wǎng)采用星型網(wǎng)絡拓樸結構，以一臺中心處理機（通信設備）為主而構成的網(wǎng)絡，其它入網(wǎng)機器僅與該中心處理機之間有直接的物理鏈路，中心處理機采用分時或輪詢的方法為入網(wǎng)機器服務，所有的數(shù)據(jù)必須經(jīng)過中心處理機。由于所有節(jié)點的往外傳輸都必須經(jīng)過中央節(jié)點來處理，因此，對中央節(jié)點的要求比較高。這樣的優(yōu)點是網(wǎng)絡結構簡單，易于維護，便于管理；每臺入網(wǎng)機均需物理線路與處理機互連，線路利用率低；處理機負載重，因為任何兩臺入網(wǎng)機之間交換信息，都必須通過中心處理機；入網(wǎng)主機故障不影響整個網(wǎng)絡的正常工作。對該網(wǎng)絡支持的設備生產(chǎn)廠商

5、有較好的技術支持。在實用的前提下，應當在投資保護及長遠性方面做適當考慮。并且從學校的利益出發(fā)，從技術上講應該采用標準、開放、可擴充的、能與其它廠商產(chǎn)品配套使用的設計。我們遵循以下的原則進行網(wǎng)絡設計：一、網(wǎng)絡建設應始終貫徹面向應用，注重實效的方針，堅持實用、經(jīng)濟的原則，建設的萬兆骨干網(wǎng)絡平臺，保護用戶的投資。二、既能反映當今的先進水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)占主導地位，保證校網(wǎng)絡建設的領先地位，采用萬兆以太網(wǎng)技術來構建網(wǎng)絡主干線路。三、在考慮技術先進性和開放性的同時，還應從系統(tǒng)結構、技術措施、設備性能、系統(tǒng)管理、廠商技術支持及保修能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性，達到

6、最大的平均無故障時間，Cisco公司作為知名品牌，網(wǎng)絡領導廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。四、系統(tǒng)應分別針對不同的應用和不同的網(wǎng)絡通信環(huán)境，采取不同的措施，包括端口隔離、路由過濾、防DDoS拒絕服務攻擊、防IP掃描、系統(tǒng)安全機制、多種數(shù)據(jù)訪問權限控制等，充分考慮Cisco公司安全性，針對的各種應用，有多種的保護機制，如劃分VLAN、IP/MAC地址綁定（過濾）、ACL、路由過濾、防DDoS拒絕服務攻擊、防IP掃描、802.1x認證機制、SSH加密連接等具體技術提升整個網(wǎng)絡的安全性。五、選擇具有一定擴展能力的設備，能夠保證在網(wǎng)絡規(guī)模逐漸擴大的時候，不需要增加新的設備，而只需要增加一定數(shù)量的

7、模塊就行。二 網(wǎng)絡結構分析1骨干層網(wǎng)絡中心節(jié)點及其它核心節(jié)點作為校園網(wǎng)絡系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當網(wǎng)絡流量較大時，對關鍵業(yè)務的服務質(zhì)量提供保障。另外作為整個網(wǎng)絡的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運行。主干核心交換機屬于高端系列的產(chǎn)品，所以在本方案中，核心交換機采用多業(yè)務萬兆核心路由交換機?？梢愿鶕?jù)用戶的需求靈活配置，靈活構建彈性可擴展的網(wǎng)絡。多業(yè)務萬兆核心路由交換機高背板帶寬和二/三層包轉發(fā)速率可為用戶提供高速無阻塞的交換，強大的交換路由功能、安全智能技術可為用戶提供完整的端到端解決方案，是大型網(wǎng)絡核心骨干交換機的理想選擇。在此方案中，校區(qū)網(wǎng)絡中心采

8、用Cisco公司路由交換機作為核心交換機。核心層交換機跟匯聚接入層交換機之間的千兆鏈路可以捆綁，從而實現(xiàn)帶寬的靈活擴展。2接入層 接入層網(wǎng)絡由樓棟交換節(jié)點和樓層交換節(jié)點組成，接入層網(wǎng)絡應該可以滿足各種客戶的接入需要，而且能夠實現(xiàn)客戶化的接入策略，業(yè)務QOS保證，用戶接入訪問控制等等。樓層交換節(jié)點采用千兆智能堆疊交換機，提供智能的流分類和完善的QoS特征。為各類型網(wǎng)絡提供完善的端到端的服務質(zhì)量、豐富的安全設置和基于策略的網(wǎng)管，最大化滿足高速、融合、安全的園區(qū)網(wǎng)新需求；本方案中各接入層交換機通過千兆鏈路上聯(lián)到各匯聚層設備，對下聯(lián)的桌面設備提供全雙工的百兆連接，為各類用戶提供無阻塞的交換性能。3出口

9、校園網(wǎng)出口采用以太網(wǎng)，所以采用路由器加防火墻的方式，起到如下作用：防火墻提供強有力的服務器、內(nèi)網(wǎng)安全保護、提供IDS等安全特性；路由器提供出口路由功能，數(shù)據(jù)處理能力強，具有強大的NAT功能。三網(wǎng)絡架構設計與拓撲結構為了實現(xiàn)網(wǎng)絡設備的統(tǒng)一，本設計方案中完全采用同一廠家的網(wǎng)絡產(chǎn)品，即Cisco公司的網(wǎng)絡設備構建。全網(wǎng)使用同一廠商設備的好處是可以實現(xiàn)各種不同網(wǎng)絡設備功能的互相配合和補充。本校園網(wǎng)設計方案主要由以下四大部分構成：交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊、服務器群。整個網(wǎng)絡系統(tǒng)的拓撲結構圖如下圖所示。在后面將根據(jù)此圖分塊進行分析。 校園網(wǎng)整體拓撲結構圖第三章 主要技術設計的具體配置過程 為

10、了簡化交換網(wǎng)絡設計、提高交換網(wǎng)絡的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。園區(qū)網(wǎng)數(shù)據(jù)交換設備可以劃分為三個層次：訪問層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術還實現(xiàn)了第3層交換和多層交換。高層交換技術的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了園區(qū)網(wǎng)數(shù)據(jù)交換服務質(zhì)量，滿足了不同類型網(wǎng)絡應用程序的需要?，F(xiàn)代交換網(wǎng)絡還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現(xiàn)。當網(wǎng)絡管理人員需

11、要管理的交換機數(shù)量眾多時，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡管理人員的工作負擔和工作強度。當園區(qū)網(wǎng)絡的交換機數(shù)量增多、交換機間鏈路增加時，交換網(wǎng)絡的復雜性可能會造成交換環(huán)路問題，這需要通過在各交換機上運行生成樹協(xié)議（Spanning Tree Protocol，STP）來解決。一個好的校園網(wǎng)設計應該是一個分層的設計。一般分為三層設計模型。一 訪問層交換服務的實現(xiàn)配置訪問層交換機 訪問層為所有的終端用戶提供一個接入點

12、。這里的訪問層交換機采用的是Cisco Catalyst 2950 24口交換機（WS-C2950-24）。交換機擁有24個10/100Mbps自適應快速以太網(wǎng)端口，運行的是Cisco的IOS操作系統(tǒng)。我們以下圖的訪問層交換機AccessSwitch1進行設置。1. 配置訪問層交換機jieruSwitch1的基本參數(shù)Switch(config)#hostname jieruSwitch1jieruSwitch1(config)# enable secret zian jieruSwitch1(config)#line vty 0 15 jieruSwitch1(config-line)#log

13、injieruSwitch1(config-line)#password zian2. 配置訪問層交換機jieruSwitch1的管理IP、默認網(wǎng)關jieruSwitch1(config)#interface vlan 1jieruSwitch1(config-if)#ip address 192.168.0.5 255.255.255.0jieruSwitch1(config-if)#no shutddownjieruSwitch1(config)#ip drfault-gateway 192.168.0.2543配置訪問層交換機jieruSwitch1的VLAN及VTPjieruSwitc

14、h1(config)#vtp mode clientjieruSwitch1(config)#interface range fatchernet 0/1 24jieruSwitch1(config-if-range)#duplex fulljieruSwitch1(config)#interface range fatchernet 0/1 24jieruSwitch1(config-if-range)#specd 1004. 配置訪問層交換機jieruSwitch1的訪問端口jieruSwitch1(config)#interface range fastchernet 0/1 -10ji

15、eruSwitch1(config-if-range)#switchport mode accessjieruSwitch1(config-if-range)#switchport access vlan 10jieruSwitch1(config)#Interface range fastchernet 0/11 -20jieruSwitch1(config-if-range)#switchport mode accessjieruSwitch1(config-if-range)#switchport access vlan 20jieruSwitch1(config)#Interface

16、range fastchernet 0/11 -20jieruSwitch1(config-if-range)#spanning-tree portfast5. 配置訪問層交換機jieruSwitch1的主干道端口jieruSwitch1(config)#Interface range fastchernet 0/23 -24jieruSwitch1(config-if-range)#switchport mode trunkjieruSwitch1(config)#spanning-tree uplinkfast jieruSwitch1(config)#spanning-tree Back

17、bonefast 7配置訪問層交換機jieruSwitch2與jieruSwitch1類似二 分布層交換服務的實現(xiàn)配置分布層交換機分布層除了負責將訪問層交換機進行匯集外，還為整個交換網(wǎng)絡提供VLAN間的路由選擇功能。 這里的分布層交換機采用的是Cisco Catalyst 3550交換機。作為3層交換機，Cisco Catalyst 3550交換機擁有24個10/100Mbps自適應快速以太網(wǎng)端口，同時還有2個1000Mbps的GBIC端口供上連使用，運行的是Cisco的Integrated IOS操作系統(tǒng)。我們以下圖中的分布層交換機Swich1為例進行設置。1 配置分布層交換機Swich1的

18、基本參數(shù)Switch#configure terminalSwitch(config)#hostname Swich1Swich1(config)#enable secret zianSwich1(config)#line con 0Swich1(config-line)#logging zianSwich1(config-line)#line vty 0 15Swich1(config-line)#password zianSwich1(config-line)#loginSwich1(config-line)#exit2配置分布層交換機Swich1的管理IP、默認網(wǎng)關Swich1(conf

19、ig)#interface vlan 1Swich1(config-if)#ip address 192.168.0.3 255.255.255.0Swich1(config-if)#no shutdownSwich1(config-if)#exitSwich1(config-if)#ip default-gateway 192.168.0.2543配置分布層交換機Swich1的VTPSwich1(config)#vtp domain zian /Swich1(config)#vtp mode server Swich1(config)#vtp pruning 4. 在分布層交換機Swich1

20、上定義VLANSwitch#configure terminalSwich1(config)#vlan 10Swich1(config)#vlan 20Swich1(config)#vlan 30Swich1(config)#vlan 40Swich1(config)#vlan 50Swich1(config)#vlan 60Swich1(config)#vlan 70Swich1(config)#vlan 1005. 配置分布層交換機Swich1的端口基本參數(shù)Swich1(config)#interface range fastethernet 0/1 24Swich1(config-if-

21、range)#dupex fullSwich1(config-if-range)#speed 100Swich1(config-if-range)#interface range fastethernet 0/1 10Swich1(config-if-range)#switchport mode accessSwich1(config-if-range)#switchport access vlan 100Swich1(config-if-range)#spanning-tree portfastSwich1(config-if-range)#interface range fastether

22、net 0/23 24Swich1(config-if-range)#switchport mode trunkSwich1(config-if-range)#interface range gigabitEthernet 0/1 2Swich1(config-if-range)#switchport mode trunk6. 配置分布層交換機Swich1的3層交換功能Swich1(config)#interface vlan 10Swich1(config-if)#ip address 192.168.1.254 255.255.255.0Swich1(config-if)#no shutd

23、ownSwich1(config)#interface vlan 20Swich1(config-if)#ip address 192.168.2.254 255.255.255.0Swich1(config-if)#no shutdownSwich1(config)#interface vlan 30Swich1(config-if)#ip address 192.168.3.254 255.255.255.0Swich1(config-if)#no shutdownSwich1(config)#interface vlan 40Swich1(config-if)#ip address 19

24、2.168.4.254 255.255.255.0Swich1(config-if)#no shutdownSwich1(config)#interface vlan 50Swich1(config-if)#ip address 192.168.5.254 255.255.255.0Swich1(config-if)#no shutdownSwich1(config)#interface vlan 60Swich1(config-if)#ip address 192.168.6.254 255.255.255.0Swich1(config-if)#no shutdownSwich1(confi

25、g)#interface vlan 70Swich1(config-if)#ip address 192.168.7.254 255.255.255.0Swich1(config-if)#no shutdownSwich1(config)#interface vlan 100Swich1(config-if)#ip address 192.168.100.254 255.255.255.0Swich1(config-if)#no shutdown7配置分布層交換機Swich2分布層交換機Swich2的端口FastEthernet 0/23、FastEthernet 0/24分別下連到訪問層交換

26、機jieruSwitch1的端口FastEthernet 0/24以及訪問層交換機jieruSwitch2的端口FastEthernet 0/24。此外，分布層交換機Swich2還通過自己的千兆端口GigabitEthernet 0/1上連到核心交換機CoreSwitch1的GigabitEthernet 3/2。為了實現(xiàn)冗余設計，分布層交換機Swich2還通過自己的千兆端口GigabitEthernet 0/2連接到分布層交換機Swich1的GigabitEthernet 0/2. Swich1(config)#ip route 0.0.0.0.0.0.0.0 192.168.0.254三

27、核心層交換服務的實現(xiàn)配置核心層交換機核心層將各分布層交換機互連起來進行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換本設計中的核心層交換機采用的是Cisco Catalyst 4006交換機。運行的是Cisco的Integrated IOS操作系統(tǒng)在作為核心層交換機的Cisco Catalyst 4006交換機中，安裝了WS-X4306-GB（Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC)）模塊，該模塊提供了5個千兆光纖上連接口，可以用來接入WS-G5484（1000BASE-SXShort WavelengthGBIC (Multimode only

28、)）。1配置核心層交換機CoreSwitch1的基本參數(shù)Switch#configure terminalSwitch(config)#hostname CoreSwich1CoreSwitch1 (config)#enable secret zianCoreSwitch1 (config)#line con 0CoreSwitch1 (config-line)#logging zianCoreSwitch1 (config-line)#line vty 0 15CoreSwitch1 (config-line)#password zianCoreSwitch1 (config-line)#l

29、oginCoreSwitch1 (config-line)#exit2配置核心層交換機CoreSwitch1的管理IP、默認網(wǎng)關CoreSwitch1(config)#interface vlan 1CoreSwitch1(config-if)#ip address 192.168.0.1 255.255.255.0CoreSwitch1(config-if)#no shutdownCoreSwitch1(config-if)#exitCoreSwitch1(config-if)#ip default-gateway 192.168.0.2543配置核心層交換機CoreSwitch1的的VLA

30、N及VTPCoreSwith1(config)#vtp mode client4配置核心層交換機CoreSwitch1的端口參數(shù)核心層交換機CoreSwitch1通過自己的端口FastEthernet 4/3同廣域網(wǎng)接入模塊（Internet路由器）相連。同時，核心層交換機CoreSwitch1的端口GigabitEthernet 3/1GigabitEthernet 3/2分別下連到分布層交換機Swich1和Swich2的端口GigabitEthernet 0/1。Swich1(config)#interface range fastethernet 0/1 24Swich1(config-

31、if-range)#switchport mode accessSwich1(config-if-range)#switchport access vlan 1Swich1(config-if-range)#spanning-tree portfastSwich1(config-if-range)#interface range gigabitEthernet 3/1 2Swich1(config-if-range)#switchport mode trunk此外，為了提供主干道的吞吐量以及實現(xiàn)冗余設計，在本設計中，將核心層交換機CoreSwitch1的千兆端口GigabitEthernet

32、2/1、GigabitEthernet 2/2捆綁在一起實現(xiàn)2000Mbps的千兆以太網(wǎng)信道，然后再連接到另一臺核心層交換機CoreSwitch2。CoreSwitch1 (config)#interface port-channelCoreSwitch1 (config-if)#switchportCoreSwitch1 (config-if)# interface gigabitEthernet 2/1 2CoreSwitch1 (config-if)#channel-group 1 mode desiruble non-silentCoreSwitch1 (config-if)#no s

33、hutdown5配置核心層交換機CoreSwitch1的路由功能 核心層交換機CoreSwitch1通過端口FastEthernet 4/3同廣域網(wǎng)接入模塊（Internet路由器）相連。因此，需要啟用核心層交換機的路由功能。同時，還需要定義通往Internet的路由。這里使用了一條缺省路由命令。其中，下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。CoreSwitch1(config)#ip routingCoreSwitch1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254CoreSwitch2

34、的配置步驟、命令和CoreSwitch1的配置類似.四配置接入路由器Router1. 配置接入路由器Router的基本參數(shù)Router#configure terminalSwitch(config)#hostname RouterRouter (config)#enable secret zianRouter (config)#line con 0Router (config-line)#logging zianRouter (config-line)#line vty 0 15Router (config-line)#password zianRouter (config-line)#lo

35、ginRouter (config-line)#exit2. 配置接入路由器Router的各接口參數(shù)Router (config)#interface fastethernet 0/0Router (config-if)#ip address 192.168.0.254 255.255.255.0Router (config-if)#no shutdownRouter (config-if)# interface serial 0/0Router (config-if)#ip address 193.1.1.1 255.255.255.252Router (config-if)#no shut

36、down3. 配置接入路由器Router的路由功能Router (config)#ip route 0.0.0.0 0.0.0.0 serial0/0Router (config)#ip route 192.168.0.0 255.255. 248.0 192.168.0.3 Router (config)#ip route 192.168.100.0 255.255. 255.0 192.168.0.34. 配置接入路由器Router上的NAT為了接入Internet，本校園網(wǎng)向當?shù)豂SP申請了公網(wǎng)IP地址。Router (config)#interface fastethernet 0/0

37、Router (config-if)#ip nat insideRouter (config-if)#interface serial 0/0Router (config-if)#ip nat outside Router (config)#ip access-list 1 permit 192.168.0.0 0.0.7.255Router (config)#ip access-list 1 permit 192.168.100.0 0.0.0.255Router (config)#ip nat inside source static 192.168.100.1 202.206.222.1

38、Router (config)#ip nat inside source static 192.168.100.1 202.206.222.2Router (config)#ip nat inside source static 192.168.100.1 202.206.222.3 / 為服務器定義靜態(tài)地址轉換Router (config)#ip nat inside source list 1 interface serial 0/0 overload / 為工作站定義復用地址轉換5. 配置接入路由器Router上的安全訪問ACL1. 路由器是外網(wǎng)進入校園網(wǎng)內(nèi)網(wǎng)的第一道關卡，是網(wǎng)絡防御的前

39、沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護內(nèi)網(wǎng)安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網(wǎng)絡流量、流向的作用，還可以在不增加網(wǎng)絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于校園網(wǎng)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對校園網(wǎng)內(nèi)網(wǎng)包括防火墻本身實施保護。在網(wǎng)絡環(huán)境中還普遍存在著一些非常重要的、影響服務器群安全的隱患。在絕大多數(shù)網(wǎng)絡環(huán)境的實現(xiàn)中它們都是應該對外加以屏蔽的。主要應該做以下的ACL設計：Router (config) #ip route 192.168.0.0 255.255.248.0 192.168.0.3Router (config)#ip route 192.168.100.0 255.255.255.0 192.168.0.3 2. 對外屏蔽遠程登錄協(xié)議telnet. 用戶在使用telnet登錄網(wǎng)絡設備或服務器時所使用的用戶名和口令在網(wǎng)絡中是以明文傳輸?shù)?，很容易被網(wǎng)絡上的非法協(xié)議分析設備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡設備和UNIX服務器，并可以使用相關命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。屏蔽