第9章企業(yè)局域網(wǎng)組建

主講人：姜公信第9章企業(yè)局域網(wǎng)的組建學(xué)習(xí)目標(biāo)了解企業(yè)局域網(wǎng)組建方式和創(chuàng)建與管理VPN服務(wù)器。掌握網(wǎng)絡(luò)打印機(jī)的安裝和WindowsServer2003郵件服務(wù)器的使用。知識(shí)要點(diǎn)基礎(chǔ)知識(shí)：局域網(wǎng)組建方式、服務(wù)器的選擇。重點(diǎn)知識(shí)：創(chuàng)建與管理VPN服務(wù)器。了解知識(shí)：安裝網(wǎng)絡(luò)打印服務(wù)器。提高知識(shí)：IP地址規(guī)劃和子網(wǎng)劃分、WindowsServer2003郵件服務(wù)器的安裝配置。29.1企業(yè)局域網(wǎng)組建知識(shí)首先我們要學(xué)習(xí)企業(yè)局域網(wǎng)組建的相關(guān)知識(shí)，了解其網(wǎng)絡(luò)組成和模式、服務(wù)器的選擇以及IP地址規(guī)劃、子網(wǎng)劃分等。39.1.1企業(yè)局域網(wǎng)的組成企業(yè)局域網(wǎng)的組成和其他網(wǎng)絡(luò)的組成基本上一樣，包括工作站(個(gè)人PC)、傳輸介質(zhì)(同軸電纜、雙絞線、光纜和無線電磁波)、服務(wù)器(包括系統(tǒng)軟件)和網(wǎng)絡(luò)設(shè)備(集線器、交換機(jī)、路由器等)。49.1.2網(wǎng)絡(luò)結(jié)構(gòu)和模式的選擇目前，企業(yè)局域網(wǎng)一般選擇星型網(wǎng)絡(luò)結(jié)構(gòu)，規(guī)模較大的企業(yè)局域網(wǎng)一般也選擇多個(gè)星型結(jié)構(gòu)組成的擴(kuò)展星型結(jié)構(gòu)(也叫樹型結(jié)構(gòu))。一般企業(yè)局域網(wǎng)有下面3種模式。專用服務(wù)器模式(Server/Baseb)

客戶機(jī)/服務(wù)器模式(Client/Server)

對(duì)等模式(Peer-to-Peer)59.1.3IP地址規(guī)劃和子網(wǎng)劃分

IP地址規(guī)劃目前，按照慣例，局域網(wǎng)內(nèi)部一般使用以下幾類私有地址，其地址范圍如下。A類地址：～55。B類地址：～55。C類地址：～55。

子網(wǎng)劃分1)利用子網(wǎng)掩碼進(jìn)行子網(wǎng)劃分2)利用VLAN技術(shù)來進(jìn)行子網(wǎng)劃分6對(duì)于0，掩碼為的地址，采用二進(jìn)制的方式，計(jì)算：

該地址的網(wǎng)絡(luò)ID？（用二進(jìn)制、十進(jìn)制兩種方式表示）該子網(wǎng)的主機(jī)地址的范圍？（采用二進(jìn)制、十進(jìn)制兩種方式表示）該子網(wǎng)的廣播地址為多少？對(duì)于網(wǎng)絡(luò)ID為的A類地址，以為子網(wǎng)掩碼，請(qǐng)劃分8個(gè)子網(wǎng)，各個(gè)子網(wǎng)的網(wǎng)絡(luò)ID為多少？主機(jī)地址的范圍為多少？網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)平面廣域網(wǎng)拓?fù)浣Y(jié)構(gòu)平面網(wǎng)絡(luò)即是無層次網(wǎng)絡(luò)。平面廣域網(wǎng)拓?fù)浣Y(jié)構(gòu)適用于跳數(shù)少的互聯(lián)網(wǎng)絡(luò)，易于路由器迅速收斂，有較好的容錯(cuò)性；跳數(shù)多時(shí)，平面回路結(jié)構(gòu)將導(dǎo)致延時(shí)的增加和較高的出錯(cuò)率，此時(shí)應(yīng)當(dāng)引入層次冗余結(jié)構(gòu)。在平面結(jié)構(gòu)小型局域網(wǎng)中，采用集線器與第二層交換機(jī)結(jié)合，或用第二層交換機(jī)替換集線器進(jìn)行組網(wǎng)有利于減小沖突；通過第三層交換設(shè)備引入分層設(shè)計(jì)（即進(jìn)行子網(wǎng)或網(wǎng)段劃分），可以減少無效廣播數(shù)量。平面結(jié)構(gòu)小型局域網(wǎng)網(wǎng)狀拓?fù)浣Y(jié)構(gòu)能滿足較高的可用性要求。每個(gè)路由器或交換機(jī)都與其他路由器或交換機(jī)相連。任何兩個(gè)站點(diǎn)之間均只有一個(gè)單跳時(shí)延。使用和維護(hù)成本高；性能優(yōu)化、排錯(cuò)和升級(jí)很困難；不能按特定功能優(yōu)化網(wǎng)絡(luò)互連設(shè)備；因?yàn)楦戮W(wǎng)絡(luò)的某個(gè)部分很困難，網(wǎng)絡(luò)升級(jí)也就成了問題。網(wǎng)絡(luò)設(shè)計(jì)要求保證每條鏈路上的廣播通信量不超過總通信量的20%。這就限制了連接到路由器的設(shè)備的數(shù)量。為了解決這個(gè)限制，可采用層次型網(wǎng)絡(luò)結(jié)構(gòu)，因?yàn)榉謱釉O(shè)計(jì)方法限制鄰接路由器的數(shù)量。層次網(wǎng)絡(luò)結(jié)構(gòu)層次結(jié)構(gòu)優(yōu)點(diǎn)減輕網(wǎng)絡(luò)設(shè)備CPU的因廣播分組造成的中斷。進(jìn)行網(wǎng)絡(luò)局部優(yōu)化配置，降低網(wǎng)絡(luò)成本。局部設(shè)計(jì)簡化，有利于維護(hù)和管理員培訓(xùn)。易于規(guī)劃和擴(kuò)展容易發(fā)揮互連設(shè)備的優(yōu)勢(shì)，提升網(wǎng)絡(luò)的綜合性能。典型的三層模型園區(qū)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)VLAN與冗余LAN網(wǎng)段VLAN有利于將平面網(wǎng)絡(luò)劃分為網(wǎng)段集，網(wǎng)段間通信仍然需要第三層交換設(shè)備。物理上過于分散的VLAN會(huì)降低網(wǎng)絡(luò)整體性能鏈路層交換網(wǎng)IEEE802.1d的生成樹（鏈路冗余）中，任何鏈路的通信都指向根網(wǎng)橋，且任一時(shí)刻只有一條鏈路是活動(dòng)的，其它可作為備用。IEEE802.1d與VLAN聯(lián)合方案可以在實(shí)現(xiàn)冗余問題解決同時(shí)進(jìn)行負(fù)載均衡。VLAN概覽分段靈活性安全性3rdFloor2ndFloor1stFloorSalesHRENGAVLAN=ABroadcastDomain=LogicalNetwork(Subnet)VLAN操作SwitchAGreenVLANBlackVLANRedVLAN每個(gè)邏輯的VLAN和物理的網(wǎng)橋作用一致；VLAN

操作SwitchAGreenVLANBlackVLANRedVLANSwitchBGreenVLANBlackVLANRedVLAN每個(gè)邏輯的VLAN和物理的網(wǎng)橋作用一致；VLANS可以跨越多個(gè)交換機(jī)；VLAN

操作SwitchAGreenVLANBlackVLANRedVLANSwitchBGreenVLANBlackVLANRedVLAN

Trunk每個(gè)邏輯的VLAN和物理的網(wǎng)橋作用一致；VLANS可以跨越多個(gè)交換機(jī)；中繼可以傳送多個(gè)VLAN的數(shù)據(jù)；中繼采用不同的封裝來區(qū)分不同的VLANS;

FastEthernetVLAN成員模式VLAN5StaticVLANDynamicVLANMAC=1111.1111.1111TrunkVMPS1111.1111.1111=VLAN10

VLAN10Porte0/9Porte0/4ISL標(biāo)識(shí)ISL中繼使VLAN穿過主干使用ASIC完成不通知客戶機(jī)，客戶機(jī)看不到ISL幀頭在交換機(jī)、路由器與交換機(jī)之間、交換機(jī)與帶有ISL網(wǎng)絡(luò)接口卡的服務(wù)器之間，ISL標(biāo)識(shí)有效VLANTagAddedbyIncomingPortVLANTagStrippedbyForwardingPortInter-SwitchLinkCarriesVLANIdentifierISL封裝ISLHeader26BytesEncapsulatedEthernetFrameCRC4Bytes帶有ISL字頭和CRC校驗(yàn)的幀支持的最大VLAN數(shù)（1024）VLAN區(qū)域BPDU位DATypeUserSALENVLANAAAA03BPDUHSAVLANBPDUBPDUINDXRESVLAN干道協(xié)議(VTP)信息系統(tǒng)廣播VLAN配置信息通過正常的管理域，維護(hù)VLAN配置的一致性在TRUNK口發(fā)送廣播支持混合介質(zhì)干道(FastEthernet,FDDI,ATM)1.NewVLANAdded3.SynctotheLatestVLANInformation2VTPDomain“ICND”VTP模式ServerClientTransparent發(fā)送/轉(zhuǎn)發(fā)廣播；同步；不保存設(shè)置；創(chuàng)建VLAN;修改VLAN;刪除VLAN;發(fā)送/轉(zhuǎn)發(fā)廣播；同步；保存設(shè)置；創(chuàng)建VLAN;修改VLAN;刪除VLAN;發(fā)送/轉(zhuǎn)發(fā)廣播；不同步；保存設(shè)置；VTP的工作方式VTP幀以組播的方式發(fā)送；VTP服務(wù)器和客戶機(jī)以最新的修訂號(hào)同步；VTP通告每5分鐘發(fā)布一次，或當(dāng)網(wǎng)絡(luò)有變化時(shí)發(fā)送；VTP幀以組播的方式發(fā)送；VTP服務(wù)器和客戶機(jī)以最新的修訂號(hào)同步；VTP通告每5分鐘發(fā)布一次，或當(dāng)網(wǎng)絡(luò)有變化時(shí)發(fā)送；VTP工作方式1.AddNewVLAN2.Rev3-->Rev4ServerClientClient4.Rev3-->Rev45.SyncNewVLANInformation334.Rev3-->Rev45.SyncNewVLANInformationVTP修剪

通過降低不必要的泛洪數(shù)據(jù)，增加帶寬的利用率；如:A發(fā)送廣播，廣播數(shù)據(jù)僅向被分配到紅色VLAN區(qū)傳送；Switch4Switch2Switch6Switch3Switch1Port2Flooded

TrafficIs

PrunedRed

VLANPort1Switch5ABSecureMonitorTestImproveSecurityPolicy網(wǎng)絡(luò)安全的步驟網(wǎng)絡(luò)安全是以安全策略為核心的一個(gè)連續(xù)的過程.Step1:SecureStep2:MonitorStep3:TestStep4:ImproveSecureMonitorTestImproveSecurityPolicy防護(hù)網(wǎng)絡(luò)應(yīng)用安全解決方案AuthenticationfirewallsVPNspatching停止或阻止非授權(quán)進(jìn)入.SecureMonitorTestImproveSecurityPolicy監(jiān)控網(wǎng)絡(luò)檢測(cè)對(duì)于安全策略的攻擊Systemauditingreal-timeintrusiondetection驗(yàn)證防護(hù)網(wǎng)絡(luò)SecureMonitorTestImproveSecurityPolicy測(cè)試網(wǎng)絡(luò)通過審計(jì)與漏洞掃描驗(yàn)證安全策略的有效性SecureMonitorTestImproveSecurityPolicy改善網(wǎng)絡(luò)使用監(jiān)控、測(cè)試得到的信息，改善安全應(yīng)用調(diào)整安全策略，降低安全風(fēng)險(xiǎn)四種類型的安全威脅有四種主要的安全威脅:UnstructuredthreatsStructuredthreatsExternalthreatsInternalthreats偵查在未授權(quán)下，探測(cè)、映像系統(tǒng)、服務(wù)的缺陷進(jìn)入未授權(quán)下的數(shù)據(jù)操作、進(jìn)入系統(tǒng)（DOS）DenialofService破壞網(wǎng)絡(luò)系統(tǒng)與服務(wù)偵查方法常用命令與管理工具如:nslookup,ping,netcat,telnet,finger,rpcinfo,FileExplorer,srvinfo,dumpacl黑客工具如:SATAN,NMAP,Nessus,customscriptsAccess方法破譯密碼

DefaultBruteforce攻擊管理服務(wù)

IPservicesTrustrelationshipsFilesharingAccess方法(cont.)勘查應(yīng)用上的漏洞非法的輸入數(shù)據(jù)Accessoutsideapplicationdomain,bufferoverflows,raceconditions協(xié)議漏洞

Fragmentation,TCPsessionhijackTrojan木馬ProgramsthatintroduceaninconspicuousbackdoorintoahostDenialofService方法資源過載

Diskspace,bandwidth,buffersPingfloods,SYNflood,UDPbombsUnsolicitedCommercialE-mail(UCE)碎片與不可能的數(shù)據(jù)包

LargeICMPpacketsIPfragmentoverlaySameSourceandDestinationIPpacket入侵檢測(cè)能夠檢測(cè)出網(wǎng)絡(luò)中的攻擊網(wǎng)絡(luò)中有三種類型的攻擊偵查-Reconnaissance進(jìn)入-AccessDOS-Denialofservice非規(guī)則的入侵檢測(cè)需要統(tǒng)計(jì)攻擊用戶的行為很難查獲這種攻擊無法定義入侵行為基于簽名的入侵檢測(cè)需要更新簽名更容易檢測(cè)

FirewallCorporatenetworkAgentUntrusted

networkAgentAgentAgentAgentAgentDNSserverWWWserverAgentAgentHost-BasedIntrusionDetection（HIDS）CSPMCorporatenetworkDNSserverWWWserverSensorSensorFirewallUntrusted

networkNetwork-BasedIntrusionDetection（NIDS）MonitoringUntrusted

networkTargetsCommandandControlSensorCSPMOperatorHackerCIDSCIDS功能顯示并記錄各類攻擊對(duì)于各種攻擊可以有三種防御措施TerminatesessionsBlocktheattackinghostCreateanIPsessionlog可以遠(yuǎn)程配置傳感器AlarmDisplayAlarmsaredisplayedin

CSPM.AlarmLoggingAlarmscanbe

loggedonthe

Sensorandon

CSPM.LogFileDatabase顯示并記錄報(bào)警信息KillthesessionBlockattackerDenyTCPResetAutomatickillofoffending

sessionBlockingAutoormanualblock

ofoffendingIP

addressIntrusionResponseIPLoggingAutomaticcaptureofsuspicioushostornetworktrafficSessionlogSessionlogIntrusionResponse(cont.)防火墻的概念防火墻是一個(gè)系統(tǒng)或者一組系統(tǒng)，用于管理不同網(wǎng)絡(luò)間數(shù)據(jù)的訪問防火墻技術(shù)防火墻的操作基于以下三種技術(shù):包過濾代理服務(wù)器ProxyserverStatefulpacketfilteringACL包過濾基于源和目的地址的數(shù)據(jù)過濾代理服務(wù)器提供防火墻內(nèi)部的客戶端與外網(wǎng)之間的連接StatefulPacketFiltering不僅根據(jù)源與目的地址進(jìn)行限制，同時(shí)根據(jù)數(shù)據(jù)包的內(nèi)容進(jìn)行過濾；VPN定義Virtualprivatenetwork(VPN)—用于私網(wǎng)之間通過公網(wǎng)（如internet）進(jìn)行加密連接；ServerMobileuserRemotesiteAnalogISDNCableDSLCentralsiteInternetRemotesitePOPDSLcableMobilePOPExtranetConsumer-to-businessTelecommuter遠(yuǎn)程VPN接入CentralSiteRouterInternetRemoteaccessclientororRemoteaccessVPN—用于終端用戶Site-to-SiteVPNsSite-to-SiteVPN—傳統(tǒng)廣域網(wǎng)的擴(kuò)展IntranetDSLcableExtranetBusiness-to-businessRouterInternetPOPRemotesiteCentralsiteor基于防火墻的VPN方案IntranetExtranetBusiness-to-businessInternetCentralsiteRemotesite什么是IPSECIETF

制定的在對(duì)等體之間進(jìn)行加密通信的標(biāo)準(zhǔn)用于安全通信的公開標(biāo)準(zhǔn)公開標(biāo)準(zhǔn)的框架提供數(shù)據(jù)機(jī)密性、完整性、與可靠性Perimeter

routerMainsitePIX

FirewallVPN

ConcentratorSOHOwithaCisco

ISDN/DSLrouterPOPMobileworkerwithaCiscoVPNClient

onalaptopcomputerBusinesspartnerwithaCiscorouterRegionalofficewithaPIXFirewallCorporateIPSecVPN的主要功能ConfidentialityDataintegrityOriginauthentication可信度

(Encryption)InternetThisquarterlyreportdoesnotlooksogood.Hmmm....ServerEarningsoffby15%加密類型InternetPaytoTerrySmith$100.00OneHundredandxx/100Dollars4ehIDx67NMop9eRU78IOPotVBn45TRPaytoTerrySmith$100.00OneHundredandxx/100DollarsHmmm....Icannot

readathing.Encryptionalgorithm4ehIDx67NMop9eRU78IOPotVBn45TREncryptionalgorithmDiffie-Hellman(DH)

KeyExchangeTerryAlexpublickeyA+privatekeyBsharedsecretkey(BA)InternetPaytoTerrySmith$100.00OneHundredandxx/100DollarsPaytoTerrySmith$100.00OneHundredandxx/100DollarspublickeyB+privatekeyAsharedsecretkey(AB)=4ehIDx67NMop9eRU78IOPotVBn45TR4ehIDx67NMop9eRU78IOPotVBn45TRKeyKeyEncryptDecryptRSAEncryptionKeyKeyRemote’spublickeyRemote’sprivatekeyKJklzeAidJfdlwiej47DlItfd578MNSbXoELocalRemotePaytoTerrySmith$100.00OneHundredandxx/100DollarsPaytoTerrySmith$100.00OneHundredandxx/100DollarsEncryptDecryptPaytoTerrySmith$100.00OneHundredandxx/100DollarsEncryptionAlgorithmsEncryptionalgorithmsDES3DESRSAKeyKeyEncryptionkeyDecryptionkeyPaytoTerrySmith$100.00OneHundredandxx/100Dollars4ehIDx67NMop9eRU78IOPotVBn45TREncryptDecryptDataIntegrityPaytoTerrySmith$100.00OneHundredandxx/100DollarsInternetPaytoAlexJones$1000.00OneThousandandxx/100DollarsYes,IamAlexJones4ehIDx67NMop912ehqPx67NMoXMatch=NochangesNomatch=AlterationsHashAlgorithmReceivedmessageHash

function4ehIDx67NMop9PaytoTerrySmith$100.00OneHundredandxx/100DollarsPaytoTerrySmith$100.00OneHundredandxx/100Dollars4ehIDx67NMop9Message+HashShared

secretkey

Variable-length

inputmessageShared

secretkey

Hash

function4ehIDx67NMop9PaytoTerrySmith$100.00OneHundredandxx/100DollarsLocalRemote12DigitalSignaturesPaytoTerrySmith$100.00OneHundredandxx/100DollarsInternetPaytoTerrySmith$100.00OneHundredandxx/100Dollars4ehIDx67NMop9HashalgorithmEncryptionalgorithmHashDecryptionalgorithmHashPrivatekeyPublickeyLocalRemotePaytoTerrySmith$100.00OneHundredandxx/100Dollars4ehIDx67NMop9HashMatchDataOriginAuthenticationDataoriginauthenticationmethods:Pre-sharedkeysRSAsignaturesRSAencryptednoncesHRserversInternetDataoriginauthenticationRemoteofficeCorporateOfficePre-SharedKeysAuthenticatinghash(Hash_L)+IDInformationLocalPeerRemoteRouterHashInternetComputedhash(Hash_L)HashReceivedhash(Hash_L)=Auth.Key+IDInformationAuth.KeyRSASignaturesInternetEncryptionalgorithmHash_LDecryptionalgorithmHash_LPrivatekeyPublickeyLocalRemoteHash=+IDInformationHashAuth.KeyDigitalSignatureDigitalSignature+IDInformationHashAuth.Key12DigitalCert+DigitalCertRSAEncryptedNoncesAuthenticatinghash(Hash_L)+IDInformationLocalPeerRemoteRouterHashInternetComputedhash(Hash_L)HashReceivedhash(Hash_L)=Auth.Key+IDInformationAuth.KeyIPSecSecurityProtocolsTheEncapsulatingSecurityPayload

providesthefollowing:EncryptionAuthenticationIntegrityAlldataincleartextRouterARouterBDatapayloadisencryptedRouterARouterBTheAuthenticationHeader

providesthefollowing:AuthenticationIntegrityAlldataincleartextRouterARouterBAuthenticationHeaderEnsuresdataintegrityProvidesoriginauthentication(ensurespacketsdefinitelycamefrompeerrouter)Useskeyed-hashmechanismDoesnotprovideconfidentiality(noencryption)ProvidesoptionalreplayprotectionAuthenticationdata(00ABCDEF)IPheader+dataAHAuthenticationandIntegrityRouterARouterBHashInternetRe-computedhash(00ABCDEF)IPheader+dataHashReceivedhash(00ABCDEF)=DataAHIPHDRDataAHIPHDRDatapayloadisencryptedRouterARouterBEncapsulatingSecurityPayloadDataconfidentiality(encryption)DataintegrityDataoriginauthenticationOptionalanti-replayprotectionESPProtocolProvidesESPconfidentialitywithencryptionProvidesintegritywithauthenticationRouterRouterESPHDRNewIPHDRESPTrailerESPAuthInternetIPHDRDataIPHDRDataEncryptedAuthenticatedIPHDRDataModesofUse—TunnelversusTransportmodeIPHDREncryptedESPHDRDataIPHDRDataESPHDRIPHDRNewIPHDRDataTunnelmodeTransportmodeESPTrailerESPAuthESPTrailerESPAuthAuthenticatedEncryptedAuthenticatedTunnelModeHRserversInternetTunnelmodeRemoteofficeCorporateofficeHRserversInternetTunnelmodeCorporateofficeHomeofficeIPSecProtocol-

FrameworkMD5SHAIPSec

FrameworkDES3DESDH2DH1ESPESP+AHESPEncryptionDiffie-HellmanAuthenticationChoices:FiveStepsofIPSec1.HostAsendsinterestingtraffictoHostB.2.RouterAandBnegotiateanIKEPhase1session.IKESAIKESAIKEPhase15.TheIPSectunnelisterminated.3.RouterAandBnegotiateanIKEPhase2session.IKEPhase2IPSecSAIPSecSA4.InformationisexchangedviatheIPSectunnel.IPSectunnelHostAHostBRouterARouterBStep1—InterestingTrafficExtendedaccesslistdefineswhattraffictoencryptPermit—trafficmustbeencryptedDeny—trafficsentunencryptedaccess-list101permitip

55

55HostAHostBRouterARouterBEncryptStep2—IKEPhase1HostAHostBRouterARouterBIKEPhase1:mainmodeexchangeNegotiatethe

policyDiffie-HellmanexchangeVerifythepeeridentityNegotiatethe

policyDiffie-HellmanexchangeVerifythepeeridentityIKEPolicySetsIKEPolicy15DESMD5pre-shareDH1lifetimeIKEPolicy10DESMD5pre-shareDH1lifetimeIKEPolicySetsIKEPolicy203DESSHApre-shareDH1lifetimeHostAHostBRouterARouterBNegotiatethepoliciesNegotiatesmatchingIKEpoliciestoprotectIKEexchangeDiffie-HellmanKeyExchangeTerryAlexpublickeyA+privatekeyBsharedsecretkey(BA)InternetPaytoTerrySmith$100.00OneHundredandxx/100DollarsPaytoTerrySmith$100.00OneHundredandxx/100DollarspublickeyB+privatekeyAsharedsecretkey(AB)=4ehIDx67NMop9eRU78IOPotVBn45TR4ehIDx67NMop9eRU78IOPotVBn45TRKeyKeyEncryptDecryptAuthenticatePeerIdentityPeerauthenticationmethodsPre-sharedkeysRSAsignaturesRSAencryptednoncesHRserversInternetPeerauthenticationRemoteofficeCorporateofficeStep3—IKEPhase2HostAHostBRouterARouterBNegotiateIPSecsecurityparametersIPSecTransformSetsAtransformsetisacombinationofalgorithmsandprotocolsthatenactasecuritypolicyfortrafficTransformset55ESP3DESSHATunnelLifetimeTransformset30ESP3DESSHATunnelLifetimeIPSecTransformSetsTransformset40ESPDESMD5TunnelLifetimeHostAHostBRouterARouterBNegotiatetransformsetsSecurityAssociationSecurityassociationPeeraddressSPITransformsetModeKeylifetimeSPI–123DES/SHAtunnel28800Internet

SPI–39DES/MD5tunnel28800Step4—IPSecEncryptedTunnelIPSectunnelSAsareexchangedviaanIPSectunnel.Interestingtrafficisencryptedanddecrypted.HostAHostBRouterARouterBStep5—TunnelTerminationIPSecTunnelAtunnelisterminatedByTCPsessionterminationByanSAlifetimetimeoutIfthepacketcounterisexceededRemovesIPSecSAHostAHostBRouterARouterB9.2.1創(chuàng)建VPN服務(wù)器

第一步選擇管理工具中的“路由和遠(yuǎn)程訪問”命令，彈出如圖9-3所示的“路由和遠(yuǎn)程訪問”窗口。第二步在“路由和遠(yuǎn)程訪問”窗口左側(cè)，右擊服務(wù)器名“FUWUQI(本地)”，在彈出的快捷菜單中選擇“配置并啟用路由遠(yuǎn)程訪問”命令，彈出“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А睂?duì)話框，單擊“下一步”按鈕，彈出如圖9-4所示的對(duì)話框，選中“遠(yuǎn)程訪問(撥號(hào)或VPN)”單選按鈕。909.2.1創(chuàng)建VPN服務(wù)器

第三步單擊“下一步”按鈕，選中“VPN(V)”復(fù)選框，如圖9-5所示。再單擊“下一步”按鈕，要求用戶選擇連接到Internet的網(wǎng)絡(luò)接口，如圖9-6所示，這里選擇“本地連接2”。919.2.1創(chuàng)建VPN服務(wù)器

第四步單擊“下一步”按鈕，確定遠(yuǎn)程客戶端是從專用網(wǎng)絡(luò)上的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器接收IP地址，還是從正在配置的遠(yuǎn)程訪問VPN服務(wù)器接收IP地址。如果希望遠(yuǎn)程訪問VPN服務(wù)器從指定的范圍指派IP地址，則必須確定該范圍。這里選中“來自一個(gè)指定的地址范圍”單選按鈕，單擊“下一步”按鈕，如圖9-7所示。929.2.1創(chuàng)建VPN服務(wù)器

第五步打開如圖9-8所示的對(duì)話框，單擊“新建”按鈕，在此可以為VPN客戶機(jī)指定所指派的IP地址范圍，比如準(zhǔn)備指派的IP地址范圍為0～50，則按照提示分別輸入起始和結(jié)束地址，如圖9-9所示，單擊“確定”按鈕，即可返回“地址范圍指定”界面。939.2.1創(chuàng)建VPN服務(wù)器

第六步單擊“下一步”按鈕，如果打算安裝RADIUS服務(wù)器，則選擇“是，設(shè)置此服務(wù)器與RADIUS服務(wù)器一起工作”單選按鈕，否則選中“否，使用路由和遠(yuǎn)程訪問來對(duì)連接請(qǐng)求進(jìn)行身份驗(yàn)證”單選按鈕即可，如圖9-10所示，該選項(xiàng)將服務(wù)器配置為使用Windows身份驗(yàn)證、Windows記賬和本地存儲(chǔ)的遠(yuǎn)程訪問策略，在本地對(duì)連接請(qǐng)求進(jìn)行身份驗(yàn)證。949.2.1創(chuàng)建VPN服務(wù)器

第七步單擊“下一步”按鈕，出現(xiàn)如圖9-11所示的對(duì)話框，在此可以查看摘要，然后單擊“完成”按鈕。959.2.1創(chuàng)建VPN服務(wù)器

第八步單擊“完成”按鈕后，彈出要支持DHCP消息從遠(yuǎn)程訪問客戶端中繼到DHCP服務(wù)器，則必須使用DHCP服務(wù)器的IP地址配置DHCP中繼代理程序的屬性這樣一個(gè)對(duì)話框，如圖9-12所示。單擊“確定”按鈕，屏幕上將彈出一個(gè)名為“正在啟動(dòng)路由和遠(yuǎn)程訪問服務(wù)”的窗口，過一會(huì)兒將自動(dòng)退出向?qū)?，返回“路由和遠(yuǎn)程訪問”窗口，這樣路由和遠(yuǎn)程訪問服務(wù)器的安裝就完成了。969.2.2用戶撥入VPN權(quán)限設(shè)置

第一步右擊“我的電腦”圖標(biāo)，在彈出的快捷菜單中選擇“管理”選項(xiàng)，彈出如圖9-13所示的“計(jì)算機(jī)管理”窗口。第二步在“計(jì)算機(jī)管理”窗口左側(cè)展開“本地用戶和組”\“用戶”節(jié)點(diǎn)，在右側(cè)窗格內(nèi)會(huì)列出該計(jì)算機(jī)的所有用戶，此時(shí)雙擊要授予權(quán)限的用戶名稱，如“賀全榮”，即可彈出如圖9-14所示的用戶“賀全榮屬性”對(duì)話框。979.2.2用戶撥入VPN權(quán)限設(shè)置

第三步切換到“撥入”選項(xiàng)卡，在“遠(yuǎn)程訪問權(quán)限(撥入或VPN)”選項(xiàng)組中選中“允許訪問”單選按鈕，如圖9-15所示。單擊“確定”按鈕，返回“計(jì)算機(jī)管理”窗口，結(jié)束授予“賀全榮”用戶撥入權(quán)限的設(shè)置。用同樣的方法可以為其他用戶授予撥入權(quán)限。989.2.3連接VPN服務(wù)器

第一步在“網(wǎng)上鄰居”圖標(biāo)上右擊，在彈出的快捷菜單中選擇“屬性”命令，彈出“網(wǎng)絡(luò)連接”窗口。單擊“創(chuàng)建一個(gè)新的連接”超鏈接，如圖9-16所示，彈出“新建連接向?qū)А睂?duì)話框，單擊“下一步”按鈕。第二步在彈出的“網(wǎng)絡(luò)連接類型”界面中選中“連接到我的工作場(chǎng)所的網(wǎng)絡(luò)”單選按鈕，如圖9-17所示。再單擊“下一步”按鈕，選擇“虛擬專用網(wǎng)絡(luò)連接”。999.2.3連接VPN服務(wù)器

第三步再單擊“下一步”按鈕，在彈出的對(duì)話框中輸入此連接的名稱，如“辦公室”，繼續(xù)單擊“下一步”按鈕，在彈出的對(duì)話框中的“主機(jī)名或IP地址”文本框中輸入VPN服務(wù)器的公網(wǎng)IP，如“93”，如圖9-18所示。1009.2.3連接VPN服務(wù)器

第四步依次單擊“下一步”按鈕和“完成”按鈕，完成對(duì)VPN客戶端的設(shè)置。此時(shí)將自動(dòng)彈出連接對(duì)話框，在“用戶名”和“密碼”文本框中分別輸入VPN服務(wù)器授權(quán)的用戶名和密碼，如圖9-19所示。然后單擊“連接”按鈕，即可登錄VPN服務(wù)器。1019.3網(wǎng)絡(luò)打印機(jī)的使用在網(wǎng)絡(luò)中添加一臺(tái)網(wǎng)絡(luò)打印機(jī)是一個(gè)很好的解決方案，這樣局域網(wǎng)中其他用戶都可以使用網(wǎng)絡(luò)打印機(jī)來打印了。這樣既充分發(fā)揮了企業(yè)局域網(wǎng)的優(yōu)勢(shì)，節(jié)約了購買多臺(tái)打印機(jī)的費(fèi)用，也方便了打印機(jī)的統(tǒng)一管理及維護(hù)。1029.3.1網(wǎng)絡(luò)打印概述網(wǎng)絡(luò)打印，目前一般有兩種方式，一種是計(jì)算機(jī)上安裝普通打印機(jī)，然后把該打印機(jī)在網(wǎng)絡(luò)中共享，其他計(jì)算機(jī)就可以使用該打印機(jī)了，我們稱之為共享普通打印機(jī)；另外一種就是使用網(wǎng)絡(luò)打印機(jī)，網(wǎng)絡(luò)打印機(jī)不需要安裝到某臺(tái)計(jì)算機(jī)中，直接接入網(wǎng)絡(luò)，然后網(wǎng)絡(luò)中的其他計(jì)算機(jī)可以使用它，我們稱之為網(wǎng)絡(luò)打印機(jī)。下面簡單介紹這兩種網(wǎng)絡(luò)打印方式。共享普通打印機(jī)

網(wǎng)絡(luò)打印機(jī)1039.3.2安裝網(wǎng)絡(luò)打印機(jī) 下面以惠普HP

2015N激光網(wǎng)絡(luò)打印機(jī)為例來詳細(xì)介紹安裝過程，其他品牌網(wǎng)絡(luò)打印機(jī)安裝方法類似。把網(wǎng)絡(luò)打印機(jī)和一臺(tái)計(jì)算機(jī)通過雙絞線用集線器或者交換機(jī)連接，給計(jì)算機(jī)設(shè)置一個(gè)和網(wǎng)絡(luò)打印機(jī)出廠默認(rèn)IP能正常通信的IP地址，一般在同一個(gè)網(wǎng)段就可以。運(yùn)行光盤中的安裝程序，這個(gè)程序既是打印機(jī)的驅(qū)動(dòng)，又可以用來設(shè)置打印機(jī)IP地址等。當(dāng)出現(xiàn)選擇打印機(jī)與計(jì)算機(jī)之間的連接方式的時(shí)候，選中“通過網(wǎng)絡(luò)”單選按鈕，然后單擊“下一步”按鈕，程序會(huì)自動(dòng)檢測(cè)網(wǎng)絡(luò)中的打印機(jī)，當(dāng)搜索到這臺(tái)打印機(jī)后出現(xiàn)如圖9-21所示的對(duì)話框，默認(rèn)的IP地址為“9”。1049.3.2安裝網(wǎng)絡(luò)打印機(jī) 選中“Yes,installthisprinter”單選按鈕，然后單擊Next按鈕，出現(xiàn)設(shè)置IP地址的對(duì)話框，如圖9-22所示。輸入IP等信息后，單擊Next按鈕，最后單擊“完成”按鈕，網(wǎng)絡(luò)打印機(jī)設(shè)置完畢。此時(shí)可以將它接入網(wǎng)絡(luò)使用了。1059.3.3設(shè)置其他計(jì)算機(jī)網(wǎng)絡(luò)打印機(jī)安裝好并接入網(wǎng)絡(luò)后，網(wǎng)絡(luò)中其他需要使用網(wǎng)絡(luò)打印機(jī)的計(jì)算機(jī)也需要安裝光盤中的程序，這個(gè)時(shí)候由于打印機(jī)的IP地址已經(jīng)改好，就不需要改動(dòng)。1069.4安裝與管理WindowsServer2003郵件服務(wù)器目前，很多大型企業(yè)都需要建立屬于自己的郵件服務(wù)器來發(fā)送、接收郵件，傳遞文件。郵件服務(wù)器軟件比較多，這里以比較常用的WindowsServer2003系統(tǒng)自帶的郵件服務(wù)器為例，介紹如何安裝與管理郵件服務(wù)器。1079.4.1安裝郵件服務(wù)器

第一步選擇“開始”|“管理工具”|“管理您的服務(wù)器”命令，運(yùn)行“管理您的服務(wù)器”。單擊“添加或刪除角色”選項(xiàng)，彈出“配置您的服務(wù)器向?qū)А睂?duì)話框。單擊“下一步”按鈕，彈出“服務(wù)器角色”界面，選擇“郵件服務(wù)器(POP3,SMTP)選項(xiàng)，如圖9-23所示。

108第二步單擊“下一步”按鈕，出現(xiàn)“配置POP3服務(wù)”界面，設(shè)置用戶身份的驗(yàn)證方法。身份驗(yàn)證方法包括“本地Windows帳戶”身份驗(yàn)證和“加密密碼文件”身份驗(yàn)證兩種方式，如果該計(jì)算機(jī)升級(jí)為域控制器，就會(huì)有ActiveDirectory集成的身份驗(yàn)證和加密密碼文件身份驗(yàn)證兩種方式，然后在“電子郵件域名”文本框中輸入電子郵件域名，如圖9-24所示。1099.4.1安裝郵件服務(wù)器

第三步單擊“下一步”按鈕，彈出“選擇總結(jié)”對(duì)話框，查看配置選項(xiàng)是否有誤，檢查無錯(cuò)誤后，單擊“下一步”按鈕開始安裝。其中會(huì)提示將WindowsServer2003的安裝光盤放到光驅(qū)中，POP3服務(wù)組件的安裝即將開始。出現(xiàn)“正在配置組