在本設計中，廣域網接入模塊的功能是由廣域網接入路由器InternetRouter來完成的。采用的是Cisco的3640路由器。它通過自己的串行接口serial 0/0使用DDN（128K）技術接入Internet。它的作用主要是在Internet和校園網內網間路由數據包。除了完成主要的路由任務外，利用訪問控制列表（access Control List，ACL），廣域網接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實現一定的安全功能。

　

　圖3-1

　3.1　配置接入路由器InternetRouter的基本參數

　對接入路由器InternetRouter的基本參數的配置步驟與對訪問層交換機AccessSwitch1的基本參數的配置類似。這里，只給出實際的配置步驟，不再給出解釋。

　

　圖2-1　配置接入路由器InternetRouter的基本參數

　3.2　配置接入路由器InternetRouter的各接口參數

　對接入路由器InternetRouter的各接口參數的配置主要是對接口FastEthernet 0/0以及接口Serial 0/0的ip地址、子網掩碼的配置。

　如圖2-3所示，顯示了為接入路由器InternetRouter的各接口設置IP地址、子網掩碼。

　

　圖2-2　接入路由器InternetRouter的治理IP、默認網關

　3.3　配置接入路由器InternetRouter的路由功能

　在接入路由器InternetRouter上需要定義兩個方向上的路由：到校園網內部的靜態路由以及到Internet上的缺省路由。

　到Internet上的路由需要定義一條缺省路由，如圖所示。其中，下一跳指定從本路由器的接口serial 0/0送出。

　

　圖2-2　定義到Internet的缺省路由

　到校園網內部的路由條目可以經過路由匯總后形成兩條路由條目。如圖所示。

　

　圖2-2　定義到校園網內部的路由

　3.4　配置接入路由器InternetRouter上的NAT

　由于目前IP地址資源非常稀缺，對不可能給校園網內部的所有工作站都分配一個公有IP（Internet可路由的）地址。為了解決所有工作站訪問Internet的需要，必須使用NAT（網絡地址轉換）技術。

　為了接入Internet，本校園網向當地ISP申請了9個IP地址。其中一個IP地址：193.1.1.1被分配給了Internet接入路由器的串行接口，另外8個IP地址：202.206.222.1～202.206.222.8用作NAT。

　NAT的配置可以分為以下幾個步驟。

　（1）定義NAT內部、外部接口

　圖3-3顯示了如何定義NAT內部、外部接口。

　

　圖2-1　定義NAT內部、外部接口

　（2）定義答應進行NAT的內部局部IP地址范圍

　圖3-3顯示了如何定義答應進行NAT的內部局部IP地址范圍。

　

　圖2-2　定義內部局部IP地址范圍

　（3）為服務器定義靜態地址轉換

　圖3-3顯示了如何為服務器定義靜態地址轉換。

　

　圖2-1　為服務器定義靜態地址轉換

　（4）為其他工作站定義復用地址轉換

　圖3-3顯示了如何為其他工作站定義復用地址轉換。

　

　圖2-1　為工作站定義復用地址轉換

　3.5　配置接入路由器InternetRouter上的ACL

　路由器是外網進入校園網內網的第一道關卡，是網絡防御的前沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護內網安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網絡流量、流向的作用，還可以在不增加網絡系統軟、硬件投資的情況下完成一般軟、硬件防火墻產品的功能。由于路由器介于企業內網和外網之間，是外網與內網進行通信時的第一道屏障，所以即使在網絡系統安裝了防火墻產品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對企業內網包括防火墻本身實施保護。

　這里，在本實例中，我們將針對服務器以及內網工作站的安全給出廣域網接入路由器InternetRouter上ACL的配置方案。

　在網絡環境中還普遍存在著一些非常重要的、影響服務器群安全的隱患。在絕大多數網絡環境的實現中它們都是應該對外加以屏蔽的。主要應該做以下的ACL設計：

　（1）對外屏蔽簡單網管協議，即SNMP。

　利用這個協議，遠程主機可以監視、控制網絡上的其它網絡設備。它有兩種服務類型：SNMP和SNMPTRAP。

　如圖所示，顯示了如何設置對外屏蔽簡單網管協議SNMP。

　

　圖2-1　對外屏蔽簡單網管協議SNMP

　（2）對外屏蔽遠程登錄協議telnet

　首先，telnet是一種不安全的協議類型。用戶在使用telnet登錄網絡設備或服務器時所使用的用戶名和口令在網絡中是以明文傳輸的，很輕易被網絡上的非法協議分析設備截獲。其次，telnet可以登錄到大多數網絡設備和UNIX服務器，并可以使用相關命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。

　如圖所示，顯示了如何對外屏蔽遠程登錄協議telnet

　

　圖2-1　對外屏蔽遠程登錄協議telnet

　（3）對外屏蔽其它不安全的協議或服務

　這樣的協議主要有SUN OS的文件共享協議端口2049，遠程執行（rsh）、遠程登錄（rlogin）和遠程命令（rcmd）端口512、513、514，遠程過程調用（SUNRPC）端口111。可以將針對以上協議綜合進行設計，如圖所示。

　

　圖2-1　對外屏蔽其它不安全的協議或服務

　（4）針對DoS攻擊的設計

　DoS攻擊（Denial of Service Attack，拒絕服務攻擊）是一種非經常見而且極具破壞力的攻擊手段，它可以導致服務器、網絡設備的正常服務進程停止，嚴重時會導致服務器操作系統崩潰。

　圖顯示了如何設計針對常見DoS攻擊的ACL

　

　圖2-1　針對DoS攻擊的設計

　（5）保護路由器自身安全

　作為內網、外網間屏障的路由器，保護自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。

　應只答應來自服務器群的IP地址訪問并配置路由器。這時，可以使用ACCESS-CLASS命令進行VTY訪問控制。如圖所示。

　

　圖2-1　保護路由器自身安全

　3.6　其它配置

　為了實現對無類別網絡（Classless Network）以及全零子網（Subnet-zero）的支持，在充當3層交換機的核心層交換機CoreSwitch1，還需要進行適當的配置，如圖所示。

　圖2-2　定義對無類別網絡以及全零子網的支持