中小型企業(yè)網(wǎng)絡(luò)設(shè)計及安全實現(xiàn)

1、-. z. . - . -可修- .編號本科生畢業(yè)設(shè)計中小型企業(yè)網(wǎng)絡(luò)設(shè)計及平安實現(xiàn)Network Design And Security of Small And Medium Sized Enterprises學(xué)生王振陽專業(yè)軟件工程*1242130指導(dǎo)教師剛分院信息工程分院2016年6月摘要經(jīng)過對中小型企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析，組建一套適合企業(yè)自身的網(wǎng)絡(luò)環(huán)境是十分必要的，本文通過網(wǎng)絡(luò)構(gòu)建的設(shè)計方案、基于平安的網(wǎng)絡(luò)根本配置方案、網(wǎng)絡(luò)管理方案三方面，主要運用了HTTP、DNS、FTP、DHCP應(yīng)用效勞器來實現(xiàn)一個企業(yè)網(wǎng)絡(luò)間接入與訪問,并且建立了一種中小型網(wǎng)絡(luò)的平安方案。在對中小型網(wǎng)絡(luò)系統(tǒng)有了確切的了解之

2、后，將局域網(wǎng)總體子網(wǎng)劃分為三個平安等級，每個等級中包含假設(shè)干子網(wǎng)，各類子網(wǎng)設(shè)置了各自的平安策略。按照計算機網(wǎng)絡(luò)平安設(shè)計的目標(biāo)及其計算機網(wǎng)絡(luò)平安系統(tǒng)的總體規(guī)劃，對計算機網(wǎng)絡(luò)平安問題進展了全面的分析。依照各個平安等級的平安需求，設(shè)計了中小型網(wǎng)絡(luò)的平安方案。在滿足各子網(wǎng)系統(tǒng)建立的前提下，提出了包括病毒防護、動態(tài)口令身份認(rèn)證、平安審計管理、訪問控制、信息加密策略、入侵檢測系統(tǒng)的部署、漏洞掃描系統(tǒng)等管理措施和平安技術(shù)在的整套解決方案。目的是建立一個完整的、立體的網(wǎng)絡(luò)及平安防御體系，使網(wǎng)絡(luò)及平安系統(tǒng)真正獲得較好的效果。關(guān)鍵詞：局域網(wǎng)網(wǎng)絡(luò)管理子網(wǎng)劃分病毒防護效勞器-. z.AbstractThrough t

3、he analysis of the status of small and medium-sized enterprise network, the formation of a network environment suitable for the enterprise itself is very necessary, through network building design, safe network configuration, network management scheme based on, the main use of the HTTP, DNS, FTP, us

4、ing DHCP server to achieve a enterprise network access, and the construction of a secure scheme for a small network. After the small and medium-sized network system has a certain understanding, the local area network is divided into three security levels, each of which contains a number of sub netwo

5、rk, all kinds of sub network set up their own security policy. According to the goal of puter network security design and the overall plan of the puter network security system, a prehensive analysis is made on the puter network security problem. According to the security requirements of each securit

6、y level, the security scheme of the medium and small scale network is designed. In the premise of satisfying each sub network system construction, including virus protection, dynamic password identity authentication, security audit management, access control, information encryption strategies and in

7、trusion detection system deployment, vulnerability scanning system management and safety technology, set of solutions proposed. The goal is to establish a plete, three-dimensional network and security defense system, so that the network and security system to really get better results.Key Words：LAN

8、Network management Sub network partitioning Virus protection Server -. z.目錄 TOC o 1-3 h z u HYPERLINK l _Toc453677762緒論 PAGEREF _Toc453677762 h 3HYPERLINK l _Toc453677763第一章需求分析 PAGEREF _Toc453677763 h 3HYPERLINK l _Toc453677764第二章網(wǎng)絡(luò)系統(tǒng)設(shè)計 PAGEREF _Toc453677764 h 3HYPERLINK l _Toc4536777652.1網(wǎng)絡(luò)系統(tǒng)設(shè)計規(guī)劃

9、PAGEREF _Toc453677765 h 3HYPERLINK l _Toc453677766網(wǎng)絡(luò)設(shè)計指導(dǎo)原則 PAGEREF _Toc453677766 h 3HYPERLINK l _Toc453677767網(wǎng)絡(luò)設(shè)計總體目標(biāo) PAGEREF _Toc453677767 h 3HYPERLINK l _Toc453677768網(wǎng)絡(luò)通信聯(lián)網(wǎng)協(xié)議 PAGEREF _Toc453677768 h 3HYPERLINK l _Toc453677769網(wǎng)絡(luò) IP 地址規(guī)劃 PAGEREF _Toc453677769 h 3HYPERLINK l _Toc453677770網(wǎng)絡(luò)設(shè)備方案設(shè)計PAGE

10、REF _Toc453677770 h 3HYPERLINK l _Toc4536777712.2網(wǎng)絡(luò)拓?fù)鋱D PAGEREF _Toc453677771 h 3HYPERLINK l _Toc4536777722.3 IP地址規(guī)劃 PAGEREF _Toc453677772 h 3HYPERLINK l _Toc4536777732.4網(wǎng)絡(luò)設(shè)備選型 PAGEREF _Toc453677773 h 3HYPERLINK l _Toc453677774集線器的選型 PAGEREF _Toc453677774 h 3HYPERLINK l _Toc453677775交換機的選型 PAGEREF _T

11、oc453677775 h 3HYPERLINK l _Toc453677776路由器的選型 PAGEREF _Toc453677776 h 3HYPERLINK l _Toc453677777效勞器的選型 PAGEREF _Toc453677777 h 3HYPERLINK l _Toc453677778第三章網(wǎng)絡(luò)平安的方案設(shè)計 PAGEREF _Toc453677778 h 3HYPERLINK l _Toc4536777793.1中小型公司網(wǎng)絡(luò)平安系統(tǒng)設(shè)計 PAGEREF _Toc453677779 h 3HYPERLINK l _Toc453677780平安體系構(gòu)造網(wǎng)絡(luò) PAGEREF

12、 _Toc453677780 h 3HYPERLINK l _Toc453677781平安體系層次模型 PAGEREF _Toc453677781 h 3HYPERLINK l _Toc453677782平安體系設(shè)計 PAGEREF _Toc453677782 h 3HYPERLINK l _Toc4536777833.2平安產(chǎn)品的配置與應(yīng)用 PAGEREF _Toc453677783 h 3HYPERLINK l _Toc453677784防病毒及特洛伊木馬軟件 PAGEREF _Toc453677784 h 3HYPERLINK l _Toc453677785動態(tài)口令身份認(rèn)證方案 PAGE

13、REF _Toc453677785 h 3HYPERLINK l _Toc453677786訪問控制：防火墻系統(tǒng) PAGEREF _Toc453677786 h 3HYPERLINK l _Toc453677787第四章網(wǎng)絡(luò)效勞器的安裝與配置 PAGEREF _Toc453677787 h 3HYPERLINK l _Toc4536777884.1網(wǎng)絡(luò)配置 PAGEREF _Toc453677788 h 3HYPERLINK l _Toc4536777894.1.1 VLAN配置 PAGEREF _Toc453677789 h 3HYPERLINK l _Toc4536777904.1.2 路

14、由配置 PAGEREF _Toc453677790 h 3HYPERLINK l _Toc4536777914.2 效勞器配置 PAGEREF _Toc453677791 h 3HYPERLINK l _Toc4536777924.2.1 DNS配置 PAGEREF _Toc453677792 h 3HYPERLINK l _Toc4536777934.2.2 HTTP配置 PAGEREF _Toc453677793 h 3HYPERLINK l _Toc4536777944.2.3 配置三層交換機和DHCP效勞器 PAGEREF _Toc453677794 h 3HYPERLINK l _T

15、oc4536777954.2.4 FTP配置 PAGEREF _Toc453677795 h 3HYPERLINK l _Toc453677796第五章網(wǎng)絡(luò)調(diào)試 PAGEREF _Toc453677796 h 3HYPERLINK l _Toc4536777975.1 ping命令格式 PAGEREF _Toc453677797 h 3HYPERLINK l _Toc4536777985.2 調(diào)試過程 PAGEREF _Toc453677798 h 3HYPERLINK l _Toc4536777995.3遇到在問題及解決方法 PAGEREF _Toc453677799 h 3HYPERLIN

16、K l _Toc453677800問題 PAGEREF _Toc453677800 h 3HYPERLINK l _Toc453677801解決方法 PAGEREF _Toc453677801 h 3HYPERLINK l _Toc453677802結(jié)論 PAGEREF _Toc453677802 h 3HYPERLINK l _Toc453677803參考文獻 PAGEREF _Toc453677803 h 3HYPERLINK l _Toc453677804致 PAGEREF _Toc453677804 h 3-. z.緒論計算機網(wǎng)絡(luò)是計算機技術(shù)與通信技術(shù)結(jié)合的產(chǎn)物。自從20世紀(jì)60年代計

17、算機網(wǎng)絡(luò)開展至今，計算機網(wǎng)絡(luò)對現(xiàn)代人的生產(chǎn)、經(jīng)濟、生活等各個方面都產(chǎn)生了巨大的影響。在過去的20多年里，計算機和計算機網(wǎng)絡(luò)技術(shù)取得了驚人的開展。處理和傳輸信息的計算機網(wǎng)絡(luò)已經(jīng)成為了信息社會的命脈和開展知識經(jīng)濟的重要根底，不管是企事業(yè)單位、社會團體或個人，他們的生產(chǎn)效率和工作效率都由于使用計算機和計算機網(wǎng)絡(luò)技術(shù)而有了實質(zhì)性的提高。在當(dāng)今的信息社會中，人們不斷地依靠計算機網(wǎng)絡(luò)來處理個人和工作上的事務(wù)，而這種趨勢也使得計算機和計算機網(wǎng)絡(luò)發(fā)揮出更強大的功能。Internet網(wǎng)絡(luò)是目前主要的網(wǎng)絡(luò)構(gòu)建模式。本文通過實際的應(yīng)用案例給出了構(gòu)建Internet 1網(wǎng)絡(luò)的系統(tǒng)設(shè)計過程。在案例中省去了一些無關(guān)緊要的

18、容，突出了重要的技術(shù)環(huán)節(jié)，有助于中小企業(yè)構(gòu)建Internet時作為參考的依據(jù)。局域網(wǎng)系統(tǒng)正逐漸成為不少興旺國家教育機構(gòu)、院校或部門的重要組成局部2，既是企業(yè)網(wǎng)絡(luò)應(yīng)用的根底，也是企業(yè)建立的前提。原因很簡單，沒有局域網(wǎng)的中小型企業(yè)通常都不會搭建自己的。利用網(wǎng)絡(luò)不僅可以把這一切做得更好，而且還能完成許多單機所無法想象的任務(wù)，比方打印共享、文件傳輸、協(xié)同工作和資源共享等等，從而極提高工作效率，減少設(shè)備資金投入，為企業(yè)帶來極大的利潤。國際標(biāo)準(zhǔn)化組織(IS0)對計算機系統(tǒng)平安的定義是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的平安保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。從此我們

19、可以看出網(wǎng)絡(luò)系統(tǒng)平安單靠*些平安技術(shù)手段是缺乏以完全解決問題是的，而且網(wǎng)絡(luò)攻擊手段不斷變化3，病毒木馬不斷升級，故此對應(yīng)的防御手段也需要不斷進展更新與強大以此抗擊外界的網(wǎng)絡(luò)系統(tǒng)的干擾。在這樣的形勢下，以保護網(wǎng)絡(luò)中的信息免受各種攻擊為根本目的網(wǎng)絡(luò)平安變得越來越重要。網(wǎng)絡(luò)平安威脅一般分為外部闖入、部滲透和不當(dāng)行為三種類型。外部闖入是指未經(jīng)授權(quán)計算機系統(tǒng)用戶的入侵;部突破是指己授權(quán)的計算機系統(tǒng)用戶訪問未經(jīng)授權(quán)的數(shù)據(jù);不正當(dāng)行為是指用戶雖經(jīng)授權(quán)，但對授權(quán)數(shù)據(jù)和資源的使用不合法或濫用授權(quán)。網(wǎng)絡(luò)自身的缺陷、開放性以及黑客的攻擊是造成網(wǎng)絡(luò)不平安的主要原因。由于計算機網(wǎng)絡(luò)最重要的資源是它向用戶提供的效勞及所擁

20、有的信息，因而計算機網(wǎng)絡(luò)的平安性可以定義為：保障網(wǎng)絡(luò)效勞的可用性和網(wǎng)絡(luò)信息的完整性。前者要求網(wǎng)絡(luò)向所有用戶有選擇地隨時提供各自應(yīng)得到的網(wǎng)絡(luò)效勞，后者則要求網(wǎng)絡(luò)保證信息資源的性、完整性、可用性和準(zhǔn)確性?？梢娊⑵桨驳木W(wǎng)絡(luò)系統(tǒng)要解決的根本問題是如何在保證網(wǎng)絡(luò)的連通性、可用性的同時對網(wǎng)絡(luò)效勞的種類、圍等行使適當(dāng)程度的控制以保障系統(tǒng)的可用性和信息的完整性不受影響4。一個平安的計算機網(wǎng)絡(luò)應(yīng)該具有以下幾個特點：1.可靠性是網(wǎng)絡(luò)系統(tǒng)平安最根本的要求?？煽啃灾饕侵妇W(wǎng)絡(luò)系統(tǒng)硬件和軟件無故障運行的性能。2.可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信息效勞在需要時，能夠保證授權(quán)用戶使用。3.性是指網(wǎng)絡(luò)信息

21、不被泄露的特性。性是在可靠性和可用性的根底上保證網(wǎng)絡(luò)信息平安的非常重要的手段。性可以保證信息即使泄露，非授權(quán)用戶在有限的時間也不能識別真正的信息容。4.完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進展改變的特性，即網(wǎng)絡(luò)信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保也稱做不可否認(rèn)性，主要用于網(wǎng)絡(luò)信息的交換過程，保證信息交換的參與者都不可能否認(rèn)或抵賴曾進展的操作，類似于在發(fā)文或收文過程中的簽名和簽收的過程。從技術(shù)角度看，網(wǎng)絡(luò)平安的容大體包括4個方面：1.網(wǎng)絡(luò)實體平安2.軟件平安3.網(wǎng)絡(luò)數(shù)據(jù)平安4.網(wǎng)絡(luò)平安管理由此可見，計算機網(wǎng)絡(luò)平安不僅要保護計算機網(wǎng)絡(luò)設(shè)備平安，還要保護數(shù)據(jù)平安等。其特征

22、是針對計算機網(wǎng)絡(luò)本身可能存在的平安問題，實施網(wǎng)絡(luò)平安保護方案，以保證算機網(wǎng)絡(luò)自身的平安性為目標(biāo)。第一章需求分析隨著近年來企業(yè)信息化建立的深入，企業(yè)的運作越來越融入到計算機網(wǎng)絡(luò)中中小型企業(yè)利用網(wǎng)絡(luò)實現(xiàn)部的數(shù)據(jù)流轉(zhuǎn)、實現(xiàn)與外界的實時交流、實現(xiàn)網(wǎng)絡(luò)效勞與應(yīng)用等。例如文件傳輸、資源共享、打印共享和協(xié)同工作等等。中小型企業(yè)構(gòu)建網(wǎng)絡(luò)能夠極提高工作效率，減少設(shè)備資金投入。由于當(dāng)前計算機都帶有網(wǎng)絡(luò)設(shè)備，所以在組網(wǎng)的時候只需配置網(wǎng)線，交換機等設(shè)備。除了這些根本的需要外，用于充當(dāng)效勞器的計算機還必須對存和硬盤容量等硬件進展一些必要的升級過更新，使其能夠更好的效勞所有用戶。例如，效勞器需要為每個部門的員工提供一定的

23、私有空間及公用空間，因此必須要有超大容量的硬盤。網(wǎng)絡(luò)上的要求穩(wěn)定，有平安機制，升級擴展容易，用戶使用簡單，維護容易等;系統(tǒng)要求配置簡單方便，系統(tǒng)運行有高穩(wěn)定性，可管理性等;用戶要求,滿足根本帶寬5要求，保存一定的余量供擴展等;設(shè)備要求技術(shù)上具有先進性，易管理，具有良好的性價比。企業(yè)網(wǎng)已經(jīng)越來越多地被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在供給商、客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通。這直接關(guān)系到企業(yè)能否獲得關(guān)鍵的競爭優(yōu)勢。近年來越來越多的企業(yè)都在加快構(gòu)建自身的信息網(wǎng)絡(luò)，而其中絕大多數(shù)都是中小企業(yè)。通過網(wǎng)絡(luò)建立能夠?qū)崿F(xiàn)企業(yè)部資源的共享，降低企業(yè)本錢，可以更好的與外界進展溝通，讓外部更加了解企

24、業(yè)。目前中小型企業(yè)建立過程中，存在很多問題，如有些中小型企業(yè)不考慮自身需求，一味追求高性能，構(gòu)建的網(wǎng)絡(luò)往往造成不必要的浪費；或另一方面，有些中小型企業(yè)建成的網(wǎng)絡(luò)根本達(dá)不到應(yīng)用本身對網(wǎng)絡(luò)的需求。企業(yè)網(wǎng)絡(luò)應(yīng)分為部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個局部，其中還包括在這兩局部上的實際應(yīng)用，中小型企業(yè)在網(wǎng)絡(luò)設(shè)計之初就應(yīng)該充分考慮到自身的需求，通過這些需求來具體設(shè)計適合自己需求的網(wǎng)絡(luò)。因此，在建立局域網(wǎng)時應(yīng)該考慮到網(wǎng)絡(luò)的先進性、可擴展性、高可靠性、穩(wěn)定性、高帶寬、經(jīng)濟性。第二章網(wǎng)絡(luò)系統(tǒng)設(shè)計2.1網(wǎng)絡(luò)系統(tǒng)設(shè)計規(guī)劃網(wǎng)絡(luò)設(shè)計指導(dǎo)原則網(wǎng)絡(luò)設(shè)計應(yīng)該遵循開放性和標(biāo)準(zhǔn)化原則、可用性原則、高性能原則、經(jīng)濟性原則、可靠性原則、平安第一原則

25、、適度的可擴展性原則、易管理性原則、易維護性原則、最正確的性能價格比原則、QoS保證網(wǎng)絡(luò)設(shè)計總體目標(biāo)靈活性：系統(tǒng)具有較高的適應(yīng)變化的能力。布線系統(tǒng)且具有一定的擴展能力。實用性：使用方便、簡單、易擴展的特點。布線系統(tǒng)應(yīng)在滿足各種需求的情況下盡可能降低材料本錢；布線系統(tǒng)具有操作簡單、使用方便、易于擴展的特點。平安性：具有高平安性。網(wǎng)絡(luò)通信聯(lián)網(wǎng)協(xié)議TCP/IP：每種網(wǎng)絡(luò)協(xié)議都有自己的優(yōu)點，但是只有TCP/IP允許與Internet完全的連接。Telnet：遠(yuǎn)程登錄訪問協(xié)議，使其他跨省區(qū)域的用戶通過遠(yuǎn)程訪問總部的外，在遠(yuǎn)程訪問時，會設(shè)置相應(yīng)的ACL認(rèn)證和相對的權(quán)限設(shè)置。SNMP網(wǎng)絡(luò)管理協(xié)議：SNMP

26、用于在 IP 網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點效勞器、工作站、路由器、交換機及 HUBS 等的一種標(biāo)準(zhǔn)協(xié)議，它是一種應(yīng)用層協(xié)議。SNMP 使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能，發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長。通過 SNMP 接收隨機消息及事件報告網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題。路由協(xié)議：OSPF。網(wǎng)絡(luò) IP 地址規(guī)劃企業(yè)園區(qū)網(wǎng)方案使用私有的A類IP地址。企業(yè)園區(qū)網(wǎng)的IP地址分配原則如下：企業(yè)使用IPv4地址方案。企業(yè)使用私有IP地址空間：。企業(yè)使用VLSM(變長子網(wǎng)掩碼)技術(shù)分配IP地址空間。企業(yè)IP地址分配滿足集團的利用。企業(yè)IP地址分配滿足便于路由會聚。企業(yè)IP地址分配滿足分類控制等。企業(yè)IP地址分配滿足未來公

27、司網(wǎng)絡(luò)擴容的需要。網(wǎng)絡(luò)設(shè)備方案設(shè)計1.路由器：CISCO 2811 參考價：5200思科2811路由器采用模塊化端口構(gòu)造，傳輸速率 10/100Mbps 設(shè)置一個10/100Mbps固定廣域網(wǎng)接口，2個固定局域網(wǎng)接口10/100Mbps，支持4個擴展模塊插槽，1個NM插槽和1個Console控制端口，配有RS-232的控制端口。該產(chǎn)品搭載Motorola MPC860 160MHz的處理器，配備最大256MB的Flash閃存和最大760MB的DRAM存，極大的提高了該產(chǎn)品的平安性能。思科2811支持IEEE 802.3*6網(wǎng)絡(luò)協(xié)議以及SNMP網(wǎng)管協(xié)議，同時還配備Cisco ClickStart

28、網(wǎng)管軟件，支持VPN-虛擬專用網(wǎng)，以及QoS，協(xié)議方面支持比擬完善。平安方面，2811置了防火墻，并支持UL 60950:CAN/CSA C22.2 No. 60950、IEC 60950、EN 60950-1、AS/NZS 60950等眾多平安標(biāo)準(zhǔn)，為企業(yè)用戶提供更平安的網(wǎng)絡(luò)效勞。2.三層交換機：采用友訊網(wǎng)絡(luò)D-LinkDES-3326 參考價：6300元DES-3326是友訊網(wǎng)絡(luò)公司推出的一款可網(wǎng)管、支持千兆的10/100M智能三層交換機，是一款線速第三層交換機，提供了24個10/100BASE-T*端口及1個擴展插槽，可擴展2個可選千兆以太網(wǎng)端口。DES-3326交換機將第二層線速交換及

29、第三層IP路由以及效勞質(zhì)量(QoS)有機集成為一體，并可采用支持SNMP標(biāo)準(zhǔn)的網(wǎng)管系統(tǒng)進展配置、監(jiān)控和管理。DES-3326交換機前面板插槽可選插2口千兆模塊，不同模塊可支持1000BASE-S*、1000BASE-T標(biāo)準(zhǔn)。所有模塊支持流量控制和全雙工，可處理大量數(shù)據(jù)。支持優(yōu)先級隊列和QoS機制，優(yōu)先級隊列功能可以根據(jù)數(shù)據(jù)交換的重要性進展排隊，優(yōu)先交換重要數(shù)據(jù)。該款交換機具有端口聚合功能，最大可將8個10/100Mbps端口聚合成一個端口，而聚合之后的這個端口性能非常強大，這項功能主要是幫助那些需要高帶寬端口而又不想投入過多資金的用戶使用，而這項功能最主要的應(yīng)用場合是VLAN劃分，VLAN劃分

30、需要設(shè)置會聚鏈路，而會聚鏈路對帶寬要求非常高，通過端口聚合功能可提供一個高帶寬的端口。DES-3326支持SNMP管理和RMON監(jiān)控功能，并且還支持端口鏡像功能，通過這些功能，管理員可對該款交換機進展管理、配置以及對此款交換機所連接的網(wǎng)絡(luò)進展監(jiān)控。DES-3326交換機還提供了流量控制功能，支持VLAN劃分，提供了冗余電源接口等。3.二層交換機：D-Link DES-1024D 參考價：530它符合百兆以太網(wǎng)標(biāo)準(zhǔn)，提供了24個自適應(yīng)全/半雙工10/100Mbps端口，可自動判斷連入設(shè)備的類型提供相應(yīng)的連接方式和帶寬。另外利用配備的16K的MAC地址表和2.5MB緩存，它可以利用IEEE802.

31、3*7流量控制技術(shù)動態(tài)將緩存分配到各個端口，保持網(wǎng)絡(luò)暢通。2.2網(wǎng)絡(luò)拓?fù)鋱D如下列圖2.1所示圖2.1 網(wǎng)絡(luò)拓?fù)鋱D2.3 IP地址規(guī)劃1.VLAN 10 財務(wù)部IP地址：網(wǎng)關(guān)2.VLAN 20 營銷部IP地址：網(wǎng)關(guān)：3.VLAN 30 工程部IP地址：網(wǎng)關(guān)：4.VLAN 40 人事部IP地址：網(wǎng)關(guān)：2.4網(wǎng)絡(luò)設(shè)備選型網(wǎng)絡(luò)設(shè)備是指集線器、交換機、路由器、效勞器和網(wǎng)絡(luò)存儲設(shè)備等。布線決定著網(wǎng)絡(luò)所能夠提供的最大潛在帶寬，集線設(shè)備即集線器和交換機決定著網(wǎng)絡(luò)當(dāng)前能夠提供的最大網(wǎng)絡(luò)帶寬，路由器決定著網(wǎng)絡(luò)之間或網(wǎng)絡(luò)與Internet之間的連接速率。網(wǎng)絡(luò)設(shè)備就像F1賽道上的汽車，決定最高時速的只有其排量和性能。

32、集線器的選型目前，集線器作為一種廉價的集線設(shè)備，主要廣泛應(yīng)用于數(shù)據(jù)傳輸量不大，用戶數(shù)量不多的小型網(wǎng)絡(luò)，或作為中型網(wǎng)絡(luò)的一種補充。交換機的選型選擇交換機時，應(yīng)選擇在國市場上有相當(dāng)?shù)姆蓊~，具有高性能、高可靠性、高平安性、高可擴展性、高可維護性的產(chǎn)品，如中興、3、華為的產(chǎn)品市場份額較大。既要看產(chǎn)品的品牌又要看生產(chǎn)廠商和銷售商品是否有強大的技術(shù)支持、良好的售后效勞，否則買回的交換機出現(xiàn)故障時既沒有技術(shù)支持又沒有產(chǎn)品效勞，使企業(yè)蒙受損失。路由器的選型采用成熟的、經(jīng)實踐證明其實用性的技術(shù)。所使用的設(shè)備應(yīng)支持 VLAN 劃分技術(shù)、HSRP熱備份路由協(xié)議技術(shù)、OSPF 等協(xié)議，保證網(wǎng)絡(luò)的傳輸性能和路由快速改斂

33、性，抑制局域網(wǎng)播送風(fēng)暴，減少數(shù)據(jù)傳輸延時；不盲目追求高性能產(chǎn)品，要購置適合自身需求的產(chǎn)品。效勞器的選型為了保證網(wǎng)絡(luò)的正常運轉(zhuǎn)，用戶選擇的效勞器首先要確保穩(wěn)定。在具體選購效勞器時，用戶應(yīng)該考察廠商是否有一套面向客戶的完善的效勞體系及未來在該領(lǐng)域的開展方案。第三章網(wǎng)絡(luò)平安的方案設(shè)計3.1中小型公司網(wǎng)絡(luò)平安系統(tǒng)設(shè)計平安體系構(gòu)造網(wǎng)絡(luò)平安體系構(gòu)造主要考慮平安機制和平安對象，平安對象主要有網(wǎng)絡(luò)平安、信息平安、設(shè)備平安、系統(tǒng)平安、數(shù)據(jù)庫平安、信息介質(zhì)平安和計算機病毒防治等。還以此為根基對企業(yè)網(wǎng)絡(luò)的平安建立進展了研究并提出建立方位性強、多層次、細(xì)致全面的網(wǎng)絡(luò)平安解決方案8。平安體系層次模型按照網(wǎng)絡(luò)OSI的7層

34、模型，網(wǎng)絡(luò)平安貫穿于整個7層。針對網(wǎng)絡(luò)系統(tǒng)實際運行的TCP/IP協(xié)議，網(wǎng)絡(luò)平安貫穿于信息系統(tǒng)的4個層次。1.物理層。物理層信息平安，主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊(干擾等)。2.鏈路層。鏈路層的網(wǎng)絡(luò)平安需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分VLAN、加密通訊等手段。3.網(wǎng)絡(luò)層。網(wǎng)絡(luò)層的平安要保證網(wǎng)絡(luò)只給授權(quán)的人員使用授權(quán)的效勞，保證網(wǎng)絡(luò)路由正確，防止被監(jiān)聽或攔截。4.操作系統(tǒng)。操作系統(tǒng)平安要求保證客戶資料、操作系統(tǒng)訪問控制的平安，同時能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進展平安審計。5.應(yīng)用平臺。應(yīng)用平臺指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件效勞，如數(shù)據(jù)庫效勞器、電子效勞器

35、、Web效勞器等。由于應(yīng)用平臺的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)來增強應(yīng)用平臺的平安性。6.應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目的是為用戶效勞。應(yīng)用系統(tǒng)的平安與系統(tǒng)設(shè)計和實現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺提供的平安效勞來保證根本平安，如通訊雙方的認(rèn)證，通訊容平安，審計等手段平安體系設(shè)計平安體系設(shè)計原則在進展計算機網(wǎng)絡(luò)平安設(shè)計和規(guī)劃時，應(yīng)遵循以下原則：1.需求、風(fēng)險、代價平衡分析的原則對任一網(wǎng)絡(luò)來說，絕對平安難以到達(dá)，也不一定必要。對一個網(wǎng)絡(luò)要進展實際分析，對網(wǎng)絡(luò)面臨的威脅及可能承當(dāng)?shù)娘L(fēng)險進展定性與定量相結(jié)合的分析，然后制定規(guī)和措施，確定本系統(tǒng)的平安策略。保護本錢與被保護信息的價值必須平衡，價值僅2萬元的

36、信息如果用6萬元的技術(shù)和設(shè)備去保護是一種不適當(dāng)?shù)谋Ｗo。2.綜合性、整體性原則運用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的平安問題，并制定具體措施。一個較好的平安措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機網(wǎng)絡(luò)包括個人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們在網(wǎng)絡(luò)平安中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去對待和分析，才可能獲得有效、可行的措施。3.一致性原則這主要是指網(wǎng)絡(luò)平安問題應(yīng)與整個網(wǎng)絡(luò)的工作周期同時存在，制定的平安體系構(gòu)造必須與網(wǎng)絡(luò)的平安需求相一致。實際上，在網(wǎng)絡(luò)建立之初就應(yīng)考慮網(wǎng)絡(luò)平安對策，比等網(wǎng)絡(luò)建立好后再考慮，不但容易，而且花費也少很多。4.平安、可靠性原則最大保證系統(tǒng)的平安性。使用的信息

37、平安產(chǎn)品和技術(shù)方案在設(shè)計和實現(xiàn)的全過程中有具體的措施來充分保證其平安性;對工程實施過程實現(xiàn)嚴(yán)格的技術(shù)管理和設(shè)備的冗余配置，保證產(chǎn)品質(zhì)量，保證系統(tǒng)運行的可靠性。5.先進、標(biāo)準(zhǔn)、兼容性原則先進的技術(shù)體系，標(biāo)準(zhǔn)化的技術(shù)實現(xiàn)。6.易操作性原則平安措施要由人來完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了平安性。其次，采用的措施不會影響系統(tǒng)正常運行。7.適應(yīng)性、靈活性原則平安措施必須能隨著網(wǎng)絡(luò)性能及平安需求的變化而變化，要容易修改、容易適應(yīng)。8.多重保護原則任何平安保護措施都不是絕對平安的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當(dāng)一層保護被攻破時，還有其它層保護信息的平安。平安

38、管理的實現(xiàn)信息系統(tǒng)的平安管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的性，制訂相應(yīng)的管理制度或采用相應(yīng)規(guī)，其具體工作是：1.確定該系統(tǒng)的平安等級。根據(jù)確定的平安等級，確定平安管理的圍。2.制訂相應(yīng)的機房出入管理制度。對平安等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。3.制訂嚴(yán)格的操作規(guī)程。操作規(guī)程要根據(jù)職責(zé)別離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄圍。4.制訂完備的系統(tǒng)維護制度。維護時，要首先經(jīng)主管部門批準(zhǔn)，并有平安管理人員在場，故障原因、維護容和維護前后的情況要詳細(xì)記錄。5.制訂應(yīng)急措施。要制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。6.建立人員雇

39、用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整相應(yīng)的授權(quán)。平安系統(tǒng)需要由人來方案和管理，任何系統(tǒng)平安設(shè)施也不能完全由計算機系統(tǒng)獨立承當(dāng)系統(tǒng)平安保障的任務(wù)。一方面，各級領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)平安方面的各項措施。網(wǎng)絡(luò)平安設(shè)計由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來實現(xiàn)，各個層的功能特性和平安特性也不同，因而其網(wǎng)絡(luò)平安措施也不一樣。對網(wǎng)絡(luò)進展級別劃分與控制，網(wǎng)絡(luò)級別的劃分大致包括外網(wǎng)與網(wǎng)等，其中Internet外網(wǎng)的接口要采用專用防火墻，各網(wǎng)絡(luò)級別的接口利用物理隔離設(shè)備、防火墻、平安效勞器、路由器的可控路由表、平安撥號驗證效勞器和平安級別較高的操作系統(tǒng)。從技術(shù)角度來看

40、，入侵檢測技術(shù)可劃分為兩種9，一種是異常檢測模型，第二種是誤用檢測模型增強網(wǎng)絡(luò)互連的分割和過濾控制，也可以大大提高平安性。3.2平安產(chǎn)品的配置與應(yīng)用防病毒及特洛伊木馬軟件為了實現(xiàn)在整個局域網(wǎng)杜絕病毒的感染、傳播和發(fā)作，我們應(yīng)該在整個網(wǎng)絡(luò)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺病毒等多種功能。網(wǎng)絡(luò)采用上機機房與辦公區(qū)相別離的構(gòu)造。1.在企業(yè)機房的 WindowS2000效勞器上安裝瑞星殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心，負(fù)責(zé)管理2000多個員工主機網(wǎng)點。2.在各辦公室分別安裝瑞星殺毒軟件網(wǎng)絡(luò)版

41、的客戶端。3.安裝完瑞星殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進展定時查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進展對本機的查殺毒。4.網(wǎng)絡(luò)中心負(fù)責(zé)整個企業(yè)網(wǎng)的升級工作。為了平安和管理的方便，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動地到瑞星上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等)，然后自動將最新的升級文件分發(fā)到其他2000多個主機網(wǎng)點的客戶端與效勞器端，并自動對瑞星殺毒軟件網(wǎng)絡(luò)版進展更新。在平安級別較高的子網(wǎng)采用的防病毒措施為：1.客戶端防毒：采用趨勢科技的Officescan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使管理者通過單點控制所有客戶機上的防毒模塊

42、，并可以自動對所有客戶端的防毒模塊進展更新。其最大特點是擁有靈活的產(chǎn)品集中部署方式，不受WindowS域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純W己b的部署方式。2.防毒：采用趨勢科技的 SacllMailforNoteS。該產(chǎn)品可以和Domino的群件效勞器無縫相結(jié)合并嵌到Notes的數(shù)據(jù)庫中，可防止病毒入侵到LotueNoteS的數(shù)據(jù)庫及電子，實時掃描并去除隱藏于數(shù)據(jù)庫及信件附件中的病毒?？赏ㄟ^任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作，并提供實時監(jiān)控病毒流量的活動記錄報告。3.效勞器防毒：采用趨勢科技的ServerProtect。該產(chǎn)品的最大特點是含集中

43、管理的概念，防毒模塊和管理模塊可分開安裝。一方面使所有效勞器的防毒系統(tǒng)可以從單點進展部署，管理和更新，另一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響，Serve少rotect產(chǎn)品支持WindowsNT/2000、NovellNetware，同時ServerProtect是業(yè)界第一款支持Lin吧平臺的防病毒產(chǎn)品。動態(tài)口令身份認(rèn)證方案動態(tài)口令身份認(rèn)證具有隨機性、動態(tài)性、一次性、不可逆等特點，不僅保存了靜態(tài)口令方便性的優(yōu)點，而且很好地彌補了靜態(tài)口令存在的各種缺陷。動態(tài)口令系統(tǒng)在國際公開的密碼算法根底上，結(jié)合生成動態(tài)口令的特點，加以精心修改，通過數(shù)十次以上的非線性迭代運算，完成時間參數(shù)與密鑰充分的混合擴散。

44、在此根底上，采用先進的身份認(rèn)證及加解密10流程、先進的密鑰管理方式，從整體上保證了系統(tǒng)的平安性。本網(wǎng)絡(luò)系統(tǒng)采用眾力科技生產(chǎn)的VPN動態(tài)口令身份認(rèn)證系統(tǒng)。VPN動態(tài)口令身份認(rèn)證系統(tǒng)主要由以下幾個主要模塊組成：認(rèn)證系統(tǒng)管理員界面、管理效勞器(UAM)、RADIUS認(rèn)證效勞器、NAS(網(wǎng)絡(luò)接入效勞器采用帶VPN功能的防火墻，例如：NOKIAIP380)、ORACLE數(shù)據(jù)庫管理系統(tǒng)、VPN客戶端、防火墻管理軟件(例如：NOKIA防火墻軟件CheekPointE*press)。VPN用戶從頂temet遠(yuǎn)程訪問部網(wǎng)絡(luò)，需要對用戶身份進展認(rèn)證，允許合法的用戶訪問網(wǎng)絡(luò)，不合法的用戶不允許訪問。密碼通過遠(yuǎn)程網(wǎng)絡(luò)

45、傳輸有被黑客攔截的危險，而采用動態(tài)口令作為密碼，真正做到一次一密，即每次用戶通過身份認(rèn)證后本次密碼立即失效。用戶下次登錄時，通過VPN客戶端獲得新的密碼，并通過手機短信將新密碼發(fā)送給用戶。采用該方案后，在中小型公司的認(rèn)證系統(tǒng)中能夠?qū)崿F(xiàn)：1.密鑰/時間雙因素的身份認(rèn)證機制;2.登錄口令隨時間變化;3.口令使用次數(shù)和時效自由控制，有效抵御重播攻擊行為;4.開放的應(yīng)用程序接口，與應(yīng)用系統(tǒng)方便集成;5.使用經(jīng)過國家認(rèn)可的自主密碼算法，具有優(yōu)秀的平安性;6.提供客戶端設(shè)備與認(rèn)證效勞器之間的時間補償機制，提高系和可用性7.用戶端設(shè)備設(shè)計小巧，性能穩(wěn)定，使用方便;8.提供完善靈活的平安事件日志審計和查詢功能

46、。9.網(wǎng)絡(luò)數(shù)據(jù)流竊聽(Sniffer)10.認(rèn)證信息截取/重放(Reeord/Rplay)11.字典攻擊12.窮舉嘗試(BruteForee)訪問控制：防火墻系統(tǒng)防火墻是目前最為流行、使用最廣泛的一種網(wǎng)絡(luò)平安技術(shù)，它的核心思想是在不平安的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對平安的子網(wǎng)環(huán)境。防火墻主要用來執(zhí)行兩個網(wǎng)絡(luò)之間的訪問控制策略，它能限制被保護的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進展的信息存取、傳遞操作。防火墻是一種隔離控制技術(shù)，可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的出入口，能根據(jù)企業(yè)的平安策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。通過在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊數(shù)據(jù)，根據(jù)預(yù)先設(shè)定的平安規(guī)則

47、，提供一種平安的網(wǎng)間網(wǎng)數(shù)據(jù)通訊?，F(xiàn)在市場上的防火墻產(chǎn)品品種繁多，例如全球領(lǐng)先的網(wǎng)絡(luò)解決方案供給商思科公司、Checkpoint 軟件技術(shù)公司11、網(wǎng)屏技術(shù)公司，天融信、東軟等。防火墻主要有三種類型：包過濾型、代理效勞器型、全狀態(tài)包過濾型。防火墻的使用是非常靈活的，可以在以太網(wǎng)絡(luò)的任意部位進展鏈路上分割，構(gòu)成平安的網(wǎng)絡(luò)圍。中小型公司平安網(wǎng)由多個具有不同平安信任度的網(wǎng)絡(luò)局部構(gòu)成，在控制不可信連接、分辨非法訪問、區(qū)分身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對網(wǎng)絡(luò)平安的重要隱患。防火墻能夠支持HTTP、FTP、TELNET、SMTP、NOTES、Oracle數(shù)據(jù)庫、Sybase數(shù)據(jù)庫、SQL數(shù)據(jù)庫等

48、主流應(yīng)用。當(dāng)然，對不同的控制點，對防火墻的要求會不完全一樣。有效地反映網(wǎng)絡(luò)攻擊，保證網(wǎng)絡(luò)系統(tǒng)及其業(yè)務(wù)的可用性、可靠性。要適合中小型公司網(wǎng)絡(luò)接入模式、接口規(guī)、帶寬要求，防火墻不能成為網(wǎng)絡(luò)或業(yè)務(wù)的瓶頸。防火墻要符合國家相關(guān)標(biāo)準(zhǔn)和規(guī)。防火墻要具有很高的可靠性，不會降低網(wǎng)絡(luò)系統(tǒng)現(xiàn)有的可靠性。深層日志及靈活、強大審計分析功能，提供豐富的日志信息，用戶可根據(jù)特定的需要進展日志選項(不做日志、通信日志(即傳統(tǒng)的日志)、應(yīng)用層協(xié)議日志、應(yīng)用層容日志)。獨創(chuàng)的網(wǎng)絡(luò)實時監(jiān)測信息，可詳細(xì)審計命令級操作，便于入侵行為的分析和追蹤，通過分析此數(shù)據(jù)狀態(tài)來判斷是否讓通過12。大大提高防火墻的審計分析的有效性。更好地支持業(yè)界

49、公認(rèn)的TOPSEC協(xié)議，防火墻應(yīng)具有聯(lián)動功能，能夠?qū)崿F(xiàn)與入侵檢測設(shè)備的通訊。采用獨創(chuàng)的最新最先進核檢測技術(shù)，即基于OS核的會話檢測技術(shù)，在OS核實現(xiàn)對應(yīng)用層訪問控制。它相對于包過濾和應(yīng)用代理防火墻來講，不但更加成功地實現(xiàn)了對應(yīng)用層的細(xì)粒度控制，同時，更有效保證了防火墻的性能。第四章網(wǎng)絡(luò)效勞器的安裝與配置4.1網(wǎng)絡(luò)配置 VLAN配置如下列圖4.1所示：圖4.1 VLAN配置路由配置如下列圖4. 2所示圖4.2路由配置4.2 效勞器配置4.2.1 DNS配置1.在Windows組建向?qū)Т翱谔砑泳W(wǎng)絡(luò)效勞中的域名系統(tǒng)DNS并安裝，過程如下列圖所示。圖4.3組件向?qū)D4.4網(wǎng)絡(luò)效勞2.翻開開場菜單，單擊

50、程序管理工具DNS命令，翻開DNS窗口，選擇要創(chuàng)立搜索區(qū)域的DNS效勞器，如下列圖4.5所示。圖4.5新建區(qū)域向?qū)?.單擊操作創(chuàng)立新區(qū)域命令，系統(tǒng)啟動新建區(qū)域向?qū)?，該向?qū)⒁龑?dǎo)用戶創(chuàng)立新區(qū)域，如下列圖4.6所示。圖4.6區(qū)域類型4.單擊下一步，步驟如下列圖所示。圖4.7區(qū)域名稱圖4.8創(chuàng)立新區(qū)域文件圖4.9完成新建區(qū)域向?qū)?.2.2 HTTP配置1.在Windows組建向?qū)Т翱谔砑討?yīng)用程序效勞器中的IIS并安裝，過程如下列圖所示。圖4.10組件向?qū)D4.11應(yīng)用程序效勞器2.翻開開場菜單，單擊程序管理工具IIS管理器，翻開IIS管理器窗口，選擇默認(rèn)屬性，如下列圖所示。圖4.12屬性主目錄圖

51、4.13屬性圖4.14屬性目錄平安性圖4.15身份驗證方法4.2.3 配置三層交換機和DHCP效勞器1.配置三層交換機如圖4.16所示：*網(wǎng)絡(luò)中心采用一臺DHCP效勞器為用戶分配IP地址，三層交換機作為DHCP效勞器的中繼，并且為每個樓宇劃分了不同的Vlan。要求每個樓宇的計算機都能自動的獲得自己的IP地址。請配置三層交換機和DHCP效勞器以實現(xiàn)上述目的。圖4.16三層交換機1創(chuàng)立VLAN(缺省為VTP server模式)：Switchvan databaseSwitch(Van)vlan 10 name client1Switch(Vlan)vlan 20 name client2Switc

52、h(vlan)vlan30 name client3Switch(vlan)e*it2啟用DHCP中繼代理：SwitchenableSwitch#conf tSwitch(Config)#service dhcp3設(shè)置VLAN IP地址：Switch(Config)int vlan10Switch(Config-vlan)no shutSwitch(Config-vlan)int vlan 30Switch(Config-vlan)no shutSwitch(Config-vlan)e*it4將端口添加到VLAN10，20，30中Switch(Config)interface range fa

53、 0/1 - 8Switch(Config-if-range)switchport mode accessSwitch(Config-if-range)switchport access vlan 20Switch(Config)interface range fa 0/9 - 16Switch(Config-if-range)switchport mode accessSwitch(Config-if-range)switchport access vlan 30Switch(Config-if-range)e*it5設(shè)定DHCP效勞器地址Switch(Config-vlan)e*it6啟用

54、路由Switch (Config)ip routingSwitch (Config) e*it7完畢并保存配置Switch#copy run start2.DHCP配置1在Windows組建向?qū)Т翱谔砑泳W(wǎng)絡(luò)效勞中的DHCP并安裝，過程如下列圖所示。圖4.17組件向?qū)D4.18網(wǎng)絡(luò)效勞2翻開開場菜單，單擊程序管理工具DHCP命令，翻開DHCP窗口，選擇要創(chuàng)立作用域的效勞器，單擊操作新建作用域命令，系統(tǒng)啟動作用域名對話框，該向?qū)⒁龑?dǎo)用戶創(chuàng)立新區(qū)域，如下列圖4.19所示。圖4.19新建作用域3單擊下一步，步驟如下列圖所示。圖4.20添加排除圖4.21租約期限圖4.22設(shè)置默認(rèn)網(wǎng)關(guān)圖4.23 vin

55、s效勞器4.2.4 FTP配置1.在Windows組建向?qū)Т翱谔砑覫IS中的FTP效勞并安裝，過程如下列圖4.24所示。圖4.24信息效勞IIS2.翻開開場菜單，單擊程序管理工具IIS管理器，翻開IIS管理器窗口，選擇默認(rèn)FTP站點屬性，如下列圖所示。圖4.25默認(rèn)FTP屬性圖4.26 FTP主目錄圖4.27 FTP目錄平安性第五章網(wǎng)絡(luò)調(diào)試5.1 ping命令格式Ping命令是DOS命令中的一種，但使用卻較為廣泛。我們平常使用電腦的時候可以用ping命令來檢測網(wǎng)速和連接是否正常等常規(guī)操作13。Ping命令可以測試TCP/IP協(xié)議是否安裝正確以及網(wǎng)絡(luò)是否通暢。Ping命令完整格式為：ping -

56、t -a -n count -l length -f -i ttl -v tos -r count -s count -j -Host list | -k Host-list -w timeout destination-list。5.2 調(diào)試過程利用ping命令測試，假設(shè)連接正常，所有發(fā)送的包均被成功接收，丟包率為0；假設(shè)連接不正常，所有發(fā)送的包均未被成功接收，丟包率為100%。5.3遇到的問題及解決方法問題1.本地主機不能與遠(yuǎn)程主機通訊原因：1DNS工作不正常；2沒有連到遠(yuǎn)程主機的路由；3缺少缺省網(wǎng)關(guān)；4管理拒絕ACL。2.不能ping遠(yuǎn)程主機原因：1ACL；2沒有連到遠(yuǎn)程主機的路由；3沒

57、有設(shè)置缺省網(wǎng)關(guān)；4遠(yuǎn)程主機down。3.缺少路由原因：1沒有正確配置路由協(xié)議；2發(fā)布列表；3被動接口；4沒有通告路由的鄰居；5路由協(xié)議版本不一致，鄰居關(guān)系沒有建立。解決方法1. 本地主機不能與遠(yuǎn)程主機通訊解決方法：1DNS工作不正常時，可以在配置DNS主機的配置和DNS效勞器，使用 nslookup校驗DNS效勞器的工作。2要是在公司的話，遠(yuǎn)程登錄路由器下的電腦，可以用以下的方法：開啟公司計算機的遠(yuǎn)程桌面功能，或者安裝Pcanywhere之類的遠(yuǎn)程控制軟件;在公司的路由器上做這臺計算機的端口映射，將上述軟件需要的端口映射出去，如遠(yuǎn)程桌面就是TCP3389;.端口映射根據(jù)路由器品牌型號的不同設(shè)置

58、區(qū)別比擬大，有的叫做端口映射，有的則叫做特殊效勞之類的，但是都是需要設(shè)置網(wǎng)ip地址和對應(yīng)端口到外網(wǎng)的ip地址和對應(yīng)端口就可以了?，F(xiàn)在很少路由器不支持DNS，也許不同的路由器叫不同的名字比方直接稱為動態(tài)域名的。3如果網(wǎng)關(guān)設(shè)備支持dhcp，在cmd窗口里運行ipconfig/all可以查看網(wǎng)關(guān)如果不支持dhcp，通過用抓包軟件抓包來查看。4本地管理員是有權(quán)限設(shè)置本地文件夾域用戶訪問權(quán)限的，出現(xiàn)拒絕訪問的主要原因在于C盤中有很多目錄，默認(rèn)管理員是沒有權(quán)限寫入的如平安性選項卡中ACL列表為空，需要用管理員權(quán)限C盤平安性界面你的高級中設(shè)置Administrators組取得所有權(quán)并替換子目錄的所有權(quán)，這樣

59、就可以設(shè)置普通域用戶的權(quán)限了。但注意，一般我們不建議對整個C盤設(shè)置用戶的訪問權(quán)限，存有一定的風(fēng)險。2. 不能ping遠(yuǎn)程主機解決方法：1沒有到遠(yuǎn)程主機的路由時，可以使用ipconfig /all檢查缺省網(wǎng)關(guān)或者用show ip route查看是否相應(yīng)路由。2如果沒有該路由，用show ip route查看是否有缺省網(wǎng)關(guān)。3如有網(wǎng)關(guān)，檢查到目標(biāo)的下一跳；如無網(wǎng)關(guān)，修正問題。4如果一直是線路問題，端口狀態(tài)是一直down。有active狀態(tài)也有可能是線路松動。出現(xiàn)active再down對于交換機二層設(shè)備無法預(yù)知，一般有幾個檢查的地方：全雙工，半雙工問題，半雙工容易出現(xiàn)這個問題；端口平安是不是有平安特

60、殊限制。3. 缺少路由解決方法：1網(wǎng)絡(luò)沒有配置以處理應(yīng)用程序查看路由器配置。2缺少路由時，可以在第1臺路由器上用show ip route查看所學(xué)到的路由。3校驗相鄰路由器。4有正確的路由network和neighbor語句。5對OSPF，校驗通配符掩碼，檢查應(yīng)用到接口上的distribute list驗證鄰居的IP配置。結(jié)論本方案是在Windows Server 2003系統(tǒng)下完成的，用到的技術(shù)、方法、原理主要有如下幾點：1.網(wǎng)絡(luò)平臺技術(shù)：網(wǎng)絡(luò)平臺技術(shù)一般定義為保證網(wǎng)絡(luò)端到端連通性的根本網(wǎng)絡(luò)技術(shù);2.網(wǎng)絡(luò)管理技術(shù)：網(wǎng)絡(luò)管理技術(shù)貫穿了整個網(wǎng)絡(luò)系統(tǒng)，是基于簡單網(wǎng)絡(luò)管理協(xié)議SNMP的一系列技術(shù)的統(tǒng)