企業(yè)網(wǎng)絡(luò)管理與安全實(shí)訓(xùn)

第1局部企業(yè)網(wǎng)絡(luò)組建實(shí)訓(xùn)PAGE88第二局部企業(yè)網(wǎng)絡(luò)管理與平安實(shí)訓(xùn)在企業(yè)組建網(wǎng)絡(luò)根底設(shè)施后，還需要提供應(yīng)用戶各種的網(wǎng)絡(luò)和信息效勞，同時(shí)隨著互聯(lián)網(wǎng)各種應(yīng)用的不斷開(kāi)展，大量的網(wǎng)絡(luò)應(yīng)用成為黑客/病毒制造者的攻擊目標(biāo)，需要企業(yè)采取必要的技術(shù)、設(shè)備和措施來(lái)保證企業(yè)網(wǎng)絡(luò)的正常穩(wěn)定運(yùn)行，還需要運(yùn)用各種網(wǎng)絡(luò)管理工具、軟件、設(shè)備對(duì)企業(yè)網(wǎng)絡(luò)的交換設(shè)備、路由設(shè)備、效勞器、防火墻等各種網(wǎng)絡(luò)設(shè)備進(jìn)行進(jìn)行配置管理、性能管理、故障管理、平安管理和計(jì)費(fèi)管理，保障網(wǎng)絡(luò)的正常運(yùn)行和性能優(yōu)化。。工程5校園網(wǎng)數(shù)據(jù)中心系統(tǒng)實(shí)施5.1工程內(nèi)容某學(xué)院校園網(wǎng)根底設(shè)施已根據(jù)工程2組建完成，并通過(guò)兩條線路分別接入了電信互聯(lián)網(wǎng)和CERTNET教育網(wǎng)，現(xiàn)在需要提供校內(nèi)外用戶提供各種網(wǎng)絡(luò)效勞和信息效勞，分別提供校園網(wǎng)IP地址分配、內(nèi)外網(wǎng)域名解析、學(xué)院網(wǎng)站、FTP資源下載等效勞，請(qǐng)給出解決方法并進(jìn)行實(shí)施。5.2工程流程SKIPIF1<0圖5-1工程流程圖5.3工程調(diào)查與需求分析5.3.1工程本工程針對(duì)學(xué)院需要提供各種根底網(wǎng)絡(luò)效勞，分別實(shí)現(xiàn)IP地址分配、內(nèi)外網(wǎng)域名解析、學(xué)院網(wǎng)站、FTP資源下載等效勞。5.3.2需求1〕具體需求經(jīng)調(diào)查和與用戶溝通，具體的需求如下:需求1：為校園網(wǎng)各區(qū)域用戶提供IP地址等參數(shù)分配，需要兩臺(tái)效勞器提供效勞，一臺(tái)備用。需求2：為校園網(wǎng)各區(qū)域用戶提供校園網(wǎng)各效勞器的域名解析和互聯(lián)網(wǎng)的域名解析，需要兩臺(tái)效勞器提供效勞，一臺(tái)備用，學(xué)院的域名解析可根據(jù)校園網(wǎng)的兩條線路分別對(duì)不同來(lái)源IP地址解析出對(duì)應(yīng)線路的效勞器IP以提高用戶訪問(wèn)效率。需求3:架設(shè)校園網(wǎng)的WWW效勞器提供信息訪問(wèn)、FTP效勞器提供資源下載，WWW效勞器需要為多個(gè)部門(mén)提供不同網(wǎng)站，并考慮效勞器的平安和穩(wěn)定性。3〕需求分析分析1：按照要求需要一臺(tái)DHCP效勞器為校園網(wǎng)用戶分配IP地址、一臺(tái)作為備用DHCP效勞器。兩臺(tái)效勞器分別位于不同的主機(jī)。 分析2：需要為校園網(wǎng)用戶的各個(gè)效勞器提供域名解析系統(tǒng)〔DNS〕，同樣需要兩臺(tái)DNS效勞器，一臺(tái)主DNS效勞器，一臺(tái)輔助DNS效勞器。分析3：校園網(wǎng)WWW效勞器，F(xiàn)TP效勞器，WWW效勞器可以通過(guò)FTP效勞器上傳或下載資料，管理員可以通過(guò)FTP效勞器為WWW效勞器更新信息。FTP效勞器不允許匿名登錄。兩臺(tái)效勞器可以在同一臺(tái)主機(jī)上完成。 5.4工程實(shí)訓(xùn)要求要求1〔必做〕：模擬本工程的網(wǎng)絡(luò)效勞組建并完成工程的需求分析、規(guī)劃、實(shí)施文檔。要求2〔必做〕：安裝配置DHCP效勞器、DNS效勞器、WEB效勞器、FTP效勞器，分別在WindowsServer和Linux環(huán)境下進(jìn)行安裝配置提供相同功能。要求3〔選做〕在Linux下實(shí)現(xiàn)DNS效勞器對(duì)于同一域名根據(jù)來(lái)源不同的IP解析出不同的地址。5.5工程實(shí)施5.51．可靠性提供網(wǎng)絡(luò)效勞的效勞器必須穩(wěn)定可靠，為校園網(wǎng)用戶和校外用戶提供可靠的網(wǎng)絡(luò)效勞。2．平安性各項(xiàng)效勞應(yīng)考慮和保證其平安性，防止出現(xiàn)網(wǎng)絡(luò)平安事故而影響校園網(wǎng)效勞。3．可擴(kuò)充性校園網(wǎng)需要提供的效勞將隨著信息效勞的需求和開(kāi)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)效勞應(yīng)具有可擴(kuò)充性。4．實(shí)用性校園網(wǎng)具有用戶數(shù)量多、應(yīng)用環(huán)境復(fù)雜的特點(diǎn)，應(yīng)能使用戶方便實(shí)用地訪問(wèn)各種校園網(wǎng)效勞。5.5.2工程DHCP效勞器DHCP〔DynamicHostConfigurationProtocol，動(dòng)態(tài)主機(jī)配置協(xié)議〕可以減少管理的復(fù)雜性和負(fù)擔(dān)，DHCP使用了租約的概念，或稱為計(jì)算機(jī)IP地址的有效期。租用時(shí)間是不定的，主要取決于用戶在某地聯(lián)接Internet需要多久，這對(duì)于用戶頻繁改變的環(huán)境是很實(shí)用的。通過(guò)較短的租期，DHCP能夠在一個(gè)計(jì)算機(jī)比可用IP地址多的環(huán)境中動(dòng)態(tài)地重新配置網(wǎng)絡(luò)。1〕DHCP系統(tǒng)組成DHCP客戶：DHCP客戶通過(guò)DHCP來(lái)獲得網(wǎng)絡(luò)配置參數(shù)Internet主機(jī)，通常就是普通用戶的工作站DHCP效勞器：DHCP效勞器提供網(wǎng)絡(luò)設(shè)置參數(shù)給DHCP客戶Internet主機(jī)DHCP中繼代理：在DHCP客戶和效勞器之間轉(zhuǎn)發(fā)DHCP消息的主機(jī)或路由器2〕DHCP效勞器DHCP效勞器控制一段IP地址范圍，客戶機(jī)登錄效勞器時(shí)就可以自動(dòng)獲得效勞器分配的IP地址和子網(wǎng)掩碼。DHCP作用域是一個(gè)網(wǎng)絡(luò)中的所有可分配的IP地址的連續(xù)范圍。作用域主要用來(lái)定義網(wǎng)絡(luò)中單一的物理子網(wǎng)的IP地址范圍。作用域是效勞器用來(lái)管理分配給網(wǎng)絡(luò)客戶的IP地址的主要手段。DHCP效勞器可以使用WindowsServer、Linux等網(wǎng)絡(luò)操作系統(tǒng)擔(dān)當(dāng)，也可以使用具有DHCP功能的交換機(jī)、路由器等設(shè)備。DNS效勞器DNS〔DomainNameSystem，域名系統(tǒng)〕是因特網(wǎng)的一項(xiàng)核心效勞,它作為可以將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使人更方便的訪問(wèn)互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。DNS是一種包含DNS主機(jī)名到IP地址映射的分布式、分層式數(shù)據(jù)庫(kù)，DNS是Internet名稱方案的根底和企業(yè)名稱方案的根底。InterNIC負(fù)責(zé)全球域名空間的委派管理和域名注冊(cè)。DNS組件DNS效勞器：運(yùn)行DNS效勞的計(jì)算機(jī)，承載一個(gè)名稱空間或局部名稱空間〔域〕，對(duì)名稱空間或域具有權(quán)威性，負(fù)責(zé)解析DNS客戶端〔DNS客戶端即解析器〕提交的名稱解析請(qǐng)求。DNS客戶端：運(yùn)行DNS客戶端效勞的計(jì)算機(jī)DNS資源記錄：DNS數(shù)據(jù)庫(kù)中將主機(jī)名映射到資源的工程因特網(wǎng)上的因特網(wǎng)上的DNS效勞器DNS效勞器DNS客戶端根“.〞.資源記錄資源記錄圖5-1 DNS組件DNS域名空間DNS命名格式中，域名空間的授權(quán)以及域名與地址的轉(zhuǎn)換采用的都是分層和分布式結(jié)構(gòu)，一些授權(quán)的機(jī)構(gòu)可以各自轉(zhuǎn)換其權(quán)限以內(nèi)的名字和IP地址。DNS的命名是為全球性的網(wǎng)絡(luò)設(shè)備分配名字，由分布式名字效勞器組實(shí)施。區(qū)域是DNS名稱空間的一個(gè)管理單元，它可以由單一的DNS域或者結(jié)合了局部或全部子域的域組成；DNS效勞器的管轄范圍不是以“域〞為單位，而是以“區(qū)域〞為單位。SKIPIF1<0圖5-2DNS域名空間結(jié)構(gòu)DNS效勞器的類(lèi)型根域名效勞器：根域名效勞器是最重要的域名效勞器。所有的根域名效勞器都知道所有的頂級(jí)域名效勞器的域名和IP地址。不管是哪一個(gè)本地域名效勞器，假設(shè)要對(duì)因特網(wǎng)上任何一個(gè)域名進(jìn)行解析，只要自己無(wú)法解析，就首先求助于根域名效勞器。在因特網(wǎng)上共有13個(gè)不同IP地址的根域名效勞器，它們的名字是用一個(gè)英文字母命名，從a一直到m〔前13個(gè)字母〕。頂級(jí)域名效勞器：負(fù)責(zé)管理在該頂級(jí)域名效勞器注冊(cè)的所有二級(jí)域名。當(dāng)收到DNS查詢請(qǐng)求時(shí)，就給出相應(yīng)的答復(fù)〔可能是最后的結(jié)果，也可能是下一步應(yīng)當(dāng)找的域名效勞器的IP地址〕。權(quán)限域名效勞器：負(fù)責(zé)一個(gè)區(qū)的域名效勞器。當(dāng)一個(gè)權(quán)限域名效勞器還不能給出最后的查詢答復(fù)時(shí)，就會(huì)告訴發(fā)出查詢請(qǐng)求的DNS客戶，下一步應(yīng)當(dāng)找哪一個(gè)權(quán)限域名效勞器。本地域名效勞器：本地域名效勞器對(duì)域名系統(tǒng)非常重要。當(dāng)一個(gè)主機(jī)發(fā)出DNS查詢請(qǐng)求時(shí)，這個(gè)查詢請(qǐng)求報(bào)文就發(fā)送給本地域名效勞器。每一個(gè)因特網(wǎng)效勞提供者都可以擁有一個(gè)本地域名效勞器，這種域名效勞器有時(shí)也稱為默認(rèn)域名效勞器。4〕DNS查詢查詢是向DNS效勞器發(fā)出的名稱解析請(qǐng)求。查詢有兩種類(lèi)型：遞歸查詢和迭代查詢。遞歸查詢：遞歸查找是將查詢提交給DNS效勞器，DNS客戶端需要DNS效勞器提供一個(gè)完整的查詢應(yīng)答。迭代查詢：迭代查詢是DNS客戶端向DNS效勞器發(fā)出的查詢請(qǐng)求，DNS效勞器無(wú)需通過(guò)其他DNS效勞器而給出查詢結(jié)果的查詢。迭代查詢通常發(fā)生在上級(jí)域指引到下級(jí)域。SKIPIF1<0圖5-3DNS查詢過(guò)程DNS效勞器可以使用WindowsServer2024安裝和配置DNS效勞作為DNS效勞器，Linux效勞器使用著名的BIND〔BerkeleyInternetNameDomain〕軟件實(shí)現(xiàn)，DNS客戶端可通過(guò)DHCP效勞器分配DNS參數(shù)或手動(dòng)指定。WEB效勞器WEB效勞器也稱為WWW(WorldWideWeb)效勞器，主要功能是提供網(wǎng)上信息瀏覽效勞，是互聯(lián)網(wǎng)開(kāi)展最快和目前用的最廣泛的效勞。。其應(yīng)用層使用HTTP協(xié)議，使用HTML文檔格式傳輸信息資源，客戶機(jī)瀏覽器使用統(tǒng)一資源定位器(URL)來(lái)訪問(wèn)WEB效勞器資源。目前使用最多的webserver效勞器軟件有：微軟的信息效勞器〔IIS〕和Apache：1〕IISIIS是英文InternetInformationServer〔Internet信息效勞〕的縮寫(xiě)，它是微軟公司主推的WEB效勞器，IIS與WindowServer完全集成在一起，因而用戶能夠利用WindowsServer和NTFS內(nèi)置的平安特性，建立強(qiáng)大，靈巧而平安的Internet站點(diǎn)。IIS支持HTTP〔HypertextTransferProtocol，超文本傳輸協(xié)議〕，F(xiàn)TP〔FeleTransferProtocol，文件傳輸協(xié)議〕以及SMTP協(xié)議，通過(guò)使用CGI和ISAPI，IIS可以得到高度的擴(kuò)展。IIS支持與語(yǔ)言無(wú)關(guān)的腳本編寫(xiě)和組件，通過(guò)IIS，開(kāi)發(fā)人員就可以開(kāi)發(fā)新一代動(dòng)態(tài)的，富有魅力的Web站點(diǎn)。IIS不需要開(kāi)發(fā)人員學(xué)習(xí)新的腳本語(yǔ)言或者編譯應(yīng)用程序，IIS完全支持VBscript，Jscript開(kāi)發(fā)軟件以及Java，它也支持CGI和WinCGI，以及ISAPI擴(kuò)展和過(guò)濾器。2〕ApacheHTTPServerApacheHTTPServer源于NCSAhttpd效勞器，經(jīng)過(guò)屢次修改，成為世界上最流行的Web效勞器軟件之一。Apache的特點(diǎn)是簡(jiǎn)單、速度快、性能穩(wěn)定，并可做代理效勞器來(lái)使用。因?yàn)樗亲杂绍浖?，所以不斷有人?lái)為它開(kāi)發(fā)新的功能、新的特性、修改原來(lái)的缺陷。Apache支持許多特性，大局部通過(guò)編譯的模塊實(shí)現(xiàn)。這些特性從效勞器端的編程語(yǔ)言支持到身份認(rèn)證方案。一些通用的語(yǔ)言接口支持Perl，Python，Tcl和PHP。流行的認(rèn)證模塊包括mod_access，mod_auth和mod_digest。其他的例子有SSL和TLS支持〔mod_ssl〕，代理效勞器(proxy)模塊，很有用的URL重寫(xiě)〔由mod_rewrite實(shí)現(xiàn)〕，定制日志文件〔mod_log_config〕，以及過(guò)濾支持〔mod_include和mod_ext_filter〕。Apache日志可以通過(guò)網(wǎng)頁(yè)瀏覽器使用免費(fèi)的腳本AWStats或Visitors來(lái)進(jìn)行分析。FTP效勞器文件傳輸協(xié)議(FTP)是一種常用的應(yīng)用層協(xié)議。FTP用于客戶端和效勞器之間的文件傳輸。FTP客戶端是一種在計(jì)算機(jī)上運(yùn)行的應(yīng)用程序。通過(guò)運(yùn)行FTP守護(hù)程序(FTPd)，F(xiàn)TP客戶端可以從效勞器中收發(fā)文件。為了保障文件的成功傳輸，F(xiàn)TP要求在客戶端和效勞器之間建立兩條連接：一條是命令和回復(fù)連接，另一條是實(shí)際文件傳輸連接?？蛻舳嗽赥CP的21號(hào)端口建立第一條連接。該連接由客戶端命令和效勞器回復(fù)組成，用于管理傳輸流量；第二條連接建立在TCP的20號(hào)端口。每當(dāng)有文件需要傳輸時(shí)建立該連接，用于實(shí)際文件傳輸。在兩個(gè)方向上，都可以進(jìn)行文件傳輸。即客戶端可以從效勞器中下載〔取〕文件，也可以向效勞器中上傳〔放〕文件。常用的組建FTP效勞器方法有：Windows下使用IIS架設(shè)FTP站點(diǎn)、Linux下的wu-ftpd、vsftpd、使用FTP效勞器軟件〔Serv-U、Gene6等〕。5.5實(shí)訓(xùn)設(shè)備與軟件設(shè)備類(lèi)型設(shè)備型號(hào)數(shù)量〔每組〕備注交換機(jī)H3C31001臺(tái)效勞器宏基P42臺(tái)計(jì)算機(jī)宏基P44臺(tái)效勞器操作系統(tǒng)WindowsServer20242可使用虛擬機(jī)環(huán)境效勞器操作系統(tǒng)CentOS5.22可使用虛擬機(jī)環(huán)境效勞器命名規(guī)那么效勞器命名沒(méi)有絕對(duì)的標(biāo)準(zhǔn)，一般都是按工程慣例和管理標(biāo)準(zhǔn)來(lái)進(jìn)行命名，應(yīng)本著明確、簡(jiǎn)潔、無(wú)二義性的原那么。實(shí)訓(xùn)工程中效勞器命名規(guī)那么建議如下：SrvDHCP-01序號(hào)效勞器功能序號(hào)效勞器功能效勞器功能中，Srv表示效勞器、DHCP表示效勞器功能。效勞器序號(hào)中，01代表第一臺(tái)，02代表第二臺(tái)，依此類(lèi)推。效勞器參數(shù)及分配的網(wǎng)絡(luò)參數(shù)規(guī)劃表效勞器名稱IP地址SrvDHCP-01/18SrvDHCP-02 /18主DNS/18輔助DNS/18WWW/18 FTP/18DHCP地址分配范圍為–/18大約可同時(shí)為兩萬(wàn)名用戶提供上網(wǎng)需求。地址租期為1天注：由于模擬環(huán)境不好操作，所以全部采用同一個(gè)網(wǎng)段的IP作為分配地址。分配區(qū)域IP地址分配范圍默認(rèn)網(wǎng)關(guān)效勞器－/18宿舍區(qū)－/18教師辦公區(qū)－/18教學(xué)區(qū)－/18教師公寓－/18其它區(qū)域－/18實(shí)施步驟規(guī)劃1〕規(guī)劃分配效勞器參數(shù)2〕安裝效勞器操作系統(tǒng)3〕安裝配置DHCP、DNS、WEB、FTP等網(wǎng)絡(luò)效勞4〕配置計(jì)算機(jī)參數(shù)并根據(jù)需求驗(yàn)證實(shí)現(xiàn)的功能5〕完成工程文檔資料5.5.4實(shí)施步驟〔請(qǐng)將主要實(shí)施一．DHCP效勞器的配置〔1〕根據(jù)實(shí)訓(xùn)拓?fù)鋱D進(jìn)行交換機(jī)、計(jì)算機(jī)的線纜連接，配置DHCPSERVER的IP地址?！?〕在SERVER上安裝DHCP效勞器在安裝DHCP效勞器之前，請(qǐng)注意以下事項(xiàng)：只有效勞器等級(jí)的計(jì)算機(jī)可以安裝DHCP效勞器，例如WindowsServer2024，而WindowsXP等客戶端計(jì)算機(jī)無(wú)此功能。DHCP效勞器本身的IP地址必須是靜態(tài)的，也就是其IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等信息必須以手工的方式輸入。事先規(guī)劃好可出租給客戶端計(jì)算機(jī)的IP地址池〔也就是IP作用域〕。單擊“開(kāi)始〞→“管理工具〞→“配置您的效勞器向?qū)Ж?，選中“DHCP效勞器〞，然后單擊“下一步〞按鈕，開(kāi)始安裝DHCP效勞器。如圖3-7，圖3-8所示：圖3-7圖3-8安裝完成之后將彈出“新建作用域向?qū)Ж晫?duì)話框，使用此向?qū)?chuàng)立作用域。1、填寫(xiě)新建作用域的名稱和說(shuō)明文字。此名稱和說(shuō)明性文字并無(wú)特別要求，只是起一個(gè)區(qū)別于其他作用域的作用。此處，將作用域名稱填成“總經(jīng)理〞，說(shuō)明性文字為“總經(jīng)理辦公室〞.如圖3-9所示：圖3-92、再點(diǎn)“下一步〞，進(jìn)入設(shè)置IP地址范圍和子網(wǎng)掩碼的對(duì)話框，在“起始IP地址〞項(xiàng)中填寫(xiě)該IP地址段的起始IP地址長(zhǎng)就為18。填寫(xiě)完后，如圖3-10所示：圖3-103、單擊“下一步〞進(jìn)入下一個(gè)對(duì)話框，設(shè)置想排除開(kāi)不用于分配的IP地址范圍。。如圖3-11所示圖3-114、填寫(xiě)完成后點(diǎn)“下一步〞進(jìn)入IP租期設(shè)置對(duì)話框了。租期將設(shè)置客戶機(jī)分配到IP地址的使用期限。當(dāng)客戶機(jī)使用分配到的IP地址時(shí)間超過(guò)了此租期，效勞器將強(qiáng)行收回分配給客戶機(jī)的IP地址。此處設(shè)置為1天。如圖3-12所示：圖3-125、單擊“下一步〞進(jìn)入配置DHCP選項(xiàng)的對(duì)話框。在此對(duì)話框中，將選擇是否需要對(duì)客戶機(jī)分配DNS、路由器、WINNS等效勞器的IP地址。在大型網(wǎng)絡(luò)中，特別是與internet互聯(lián)的網(wǎng)，這些效勞都是很重要的。在此選擇“是〞。如圖3-13所示：圖3-136、單擊“下一步〞進(jìn)入設(shè)置路由器〔即網(wǎng)關(guān)〕的設(shè)置。在“IP地址〞項(xiàng)中填寫(xiě)路由器的IP地址。此處填寫(xiě)為：。填寫(xiě)完成后點(diǎn)“添加〞按鈕即。如圖3-14所示：圖3-147、單擊“下一步〞進(jìn)入域名和DNS效勞器的設(shè)置對(duì)話框了。此處設(shè)置的域名和DNS效勞器的地址將被分配給客戶機(jī)。在“父域〞選項(xiàng)中填寫(xiě)DNS的父域名〔參考DNS效勞器配置實(shí)訓(xùn)〕此處填寫(xiě)成在“效勞器名〞選項(xiàng)中填寫(xiě)DNS效勞器的效勞器名稱。此處我們填寫(xiě)為dns。在“IP地址〞項(xiàng)中填寫(xiě)DNS效勞器的IP地址。此處填寫(xiě)為.填寫(xiě)完成后點(diǎn)“添加〞按鈕即可。如圖3-15所示：圖3-158、點(diǎn)擊“下一步〞，進(jìn)入WINS效勞器的設(shè)置對(duì)話框?？梢圆辉O(shè)置9、點(diǎn)擊“下一步〞進(jìn)入激活作用域的對(duì)話框。在此對(duì)話框中將選擇“是，我想現(xiàn)在就激活此作用域〞。如圖3-17所示：圖3-1710、單擊“下一步〞再點(diǎn)“完成〞即完成該作用域的建立了。如圖3-18所示：二．DNS效勞器的設(shè)置在主機(jī)上安裝DNS配置軟件，然后創(chuàng)立區(qū)域圖3-11單擊“下一步〞進(jìn)入?yún)^(qū)域名稱設(shè)置對(duì)話框。此對(duì)話框指定正向區(qū)域名稱〔區(qū)域名稱應(yīng)與其管理的域相對(duì)應(yīng)〕。此處填寫(xiě)為“〞。如圖3-12所示：圖3-12單擊“下一步〞進(jìn)入動(dòng)態(tài)更新的設(shè)置。在此對(duì)話框中指定創(chuàng)立的區(qū)域是否支持動(dòng)態(tài)更新，此處選擇“不允許動(dòng)態(tài)更新〞如圖3-14所示：圖3-14單擊“下一步〞選擇是否創(chuàng)立反向查找區(qū)域。在此處，選擇“是〞如圖3-10所示：圖3-15單擊“下一步〞進(jìn)入?yún)^(qū)域類(lèi)型對(duì)話框，此處選擇“主要區(qū)域〞。如圖3-16所示：圖3-16單擊“下一步〞進(jìn)入“反向查找區(qū)域名稱〞對(duì)話框。在此對(duì)話框中指定反向區(qū)域的名稱〔可以輸入IP地址的網(wǎng)絡(luò)ID，由系統(tǒng)自動(dòng)指定反向區(qū)域名稱；也可以自行輸入反向區(qū)域名稱〕，此處填寫(xiě)“192.168.1”圖3-17單擊“下一步〞區(qū)域文件對(duì)話框。在此對(duì)話框中，將選擇創(chuàng)立新的反向區(qū)域文件〔名稱可自行指定〕或使用現(xiàn)存的反向區(qū)域文件，在此填寫(xiě)“1.168.192..dns〞。如圖3-18所示：圖3-18單擊“下一步〞配置轉(zhuǎn)發(fā)查詢，此處選擇“否，不向前轉(zhuǎn)發(fā)查詢〞。如圖3-19所示：圖3-19單擊“下一步〞完成DNS向?qū)渲谩Ｈ鐖D3-19所示：圖3-19〔3〕在Server1上創(chuàng)立資源記錄：翻開(kāi)DNS管理控制臺(tái)，在左側(cè)控制臺(tái)樹(shù)中選擇要?jiǎng)?chuàng)立資源記錄的正向主要區(qū)域，然后在右側(cè)控制臺(tái)窗口的空白處右擊，在彈出菜單中選擇相應(yīng)功能項(xiàng)即可創(chuàng)立資源記錄。如圖選擇“新建主機(jī)〔A〕〞，翻開(kāi)“新建主機(jī)〞對(duì)話框，通過(guò)此對(duì)話框創(chuàng)立“host〞記錄，如圖選擇“新建別名〔CHANE〕〞，翻開(kāi)“新建資源記錄〞對(duì)話框，在左側(cè)控制臺(tái)樹(shù)中選擇要?jiǎng)?chuàng)立資源記錄的反向主要區(qū)域〔4〕在Server1上指定輔助DNS效勞器：在正向主要區(qū)域上右擊，在彈出的菜單中選擇“屬性〞命令，如圖在翻開(kāi)的區(qū)域?qū)傩詫?duì)話框中單擊“名稱效勞器〞，將翻開(kāi)“名稱效勞器〞選項(xiàng)卡；在該選項(xiàng)卡中單擊“添加〞，在此添加輔助DNS效勞器。如圖單擊“確定〞，完成配置，然后采用同樣的方法在反向主要區(qū)域上指定輔助DNS效勞器，如圖〔5〕在Server2上安裝輔助DNS效勞器：參考步驟1，安裝DNS效勞。翻開(kāi)“區(qū)域類(lèi)型〞對(duì)話框；在此對(duì)話框中選擇“輔助區(qū)域〞如圖單擊“下一步〞，“區(qū)域名稱〞對(duì)話框中，輸入?yún)^(qū)域名稱，該名稱應(yīng)與該DNS區(qū)域的主DNS區(qū)域的主DSN效勞器上的主要區(qū)域名稱完全相同，如圖單擊“下一步〞“主DNS效勞器〞對(duì)話框。在此對(duì)話框中指定DNS效勞器的IP地址，如圖單擊“下一步〞完成輔助DNS配置，返回DNS管理控制臺(tái)，此時(shí)能夠看到從主DNS效勞器復(fù)制而來(lái)的區(qū)域數(shù)據(jù)。如圖采用同樣的方法，創(chuàng)立反向輔助區(qū)域。三．FTP效勞器的創(chuàng)立1〕根據(jù)實(shí)訓(xùn)拓?fù)鋱D進(jìn)行交換機(jī)、計(jì)算機(jī)的線纜連接，配置PC1、PC2、WebServer的IP地址?！?〕WebServer上安裝IIS效勞。單擊“開(kāi)始〞→“管理工具〞→“配置您的效勞器向?qū)Ж暎x中“DHCP效勞器〞，然后單擊“下一步〞按鈕，開(kāi)始安裝DHCP效勞器。如圖3-7，圖3-8所示：〔3〕WebServer上創(chuàng)立總公司網(wǎng)站。單擊“開(kāi)始〞→“管理工具〞→“Internet信息效勞〔IIS〕管理器〞，翻開(kāi)“Internet信息效勞〔IIS〕管理器〞控制臺(tái)。右擊“網(wǎng)站〞，在彈出的菜單中選擇“新建〞→“網(wǎng)站〞，將翻開(kāi)“網(wǎng)站創(chuàng)立向?qū)Ж晫?duì)話框。單擊“下一步〞按鈕，將出現(xiàn)“IP地址和端口設(shè)置〞對(duì)話框，在此對(duì)話框中設(shè)置網(wǎng)站IP地址“”，TCP端口號(hào)“80〞，主機(jī)頭、“〞〔主機(jī)頭即網(wǎng)站的FQDN，參考5.2.3對(duì)DNS進(jìn)行配置，實(shí)現(xiàn)對(duì)新主機(jī)頭www.scetop單擊“下一步〞按鈕，將出現(xiàn)“網(wǎng)站主目錄〞對(duì)話框，在此對(duì)話框設(shè)置網(wǎng)站主目錄“E:\practrain-web〞和是否允許以匿名方式訪問(wèn)此網(wǎng)站。如圖單擊“下一步〞按鈕，將出現(xiàn)“網(wǎng)站權(quán)限訪問(wèn)〞對(duì)話框，在此對(duì)話框中可以設(shè)置網(wǎng)站的訪問(wèn)權(quán)限，如圖單擊“下一步〞按鈕，完成網(wǎng)站的創(chuàng)立。〔6〕WebServer上安裝FTP效勞。(7)雙擊“Internet信息效勞器〔IIS〕〞，將翻開(kāi)“Internet信息效勞器〔IIS〕〞對(duì)話框。選中“文件傳輸協(xié)議〔FTP〕效勞〞復(fù)選框，如圖點(diǎn)擊“確定〞按鈕，返回“Windows組件〞對(duì)話框；單擊“下一步〞按鈕，開(kāi)始安裝FTP效勞。WebServer上創(chuàng)立FTP管理員站點(diǎn)并添加管理員用戶〔禁止匿名訪問(wèn)〕。單擊“開(kāi)始〞→“管理工具〞→“Internet信息效勞〔IIS〕管理器〞，翻開(kāi)“Internet信息效勞〔IIS〕管理器〞控制臺(tái)。右擊“FTP站點(diǎn)〞，在彈出菜單中選擇“新建〞→“FTP站點(diǎn)〞，翻開(kāi)“FTP站點(diǎn)創(chuàng)立向?qū)Ж暼鐖D單擊“下一步〞按鈕，將出現(xiàn)“IP地址設(shè)置和端口設(shè)置〞對(duì)話框，在此對(duì)話框中設(shè)置FTP站點(diǎn)所使用的IP地址“”及端口號(hào)“單擊“下一步〞按鈕，將出現(xiàn)“FTP用戶隔離〞對(duì)話框，此對(duì)話框可以使設(shè)置FTP用戶隔離的選項(xiàng)，如圖單擊“下一步〞按鈕，將出現(xiàn)“FTP站點(diǎn)主目錄〞對(duì)話框，此對(duì)話框設(shè)置FTP站點(diǎn)的主目錄“WEB〞，如圖單擊“下一步〞按鈕，將出現(xiàn)“FTP站點(diǎn)訪問(wèn)權(quán)限〞對(duì)話框，此對(duì)話框設(shè)置FTP站點(diǎn)的訪問(wèn)權(quán)限，如圖單擊“下一步〞按鈕，完成FTP站點(diǎn)創(chuàng)立，如圖右擊“FTP站點(diǎn)〞下“practrain〞站點(diǎn)，在彈出菜單中選擇“屬性〞，在彈出的屬性對(duì)話框中選擇“平安賬戶〞，將允許匿名連接去掉，點(diǎn)擊確定完成FTP站點(diǎn)配置，如圖單擊“開(kāi)始〞→“管理工具〞→“計(jì)算機(jī)管理〞，翻開(kāi)“計(jì)算機(jī)管理〞控制臺(tái)。選擇“本地用戶和用戶組〞→“用戶〞，右擊新建“admin〞用戶，如圖選中E盤(pán)下“web〞文件夾右擊選擇“屬性〞，彈出“web屬性〞對(duì)話框中選擇“平安〞，點(diǎn)擊添加按鈕，如圖選擇“admin〞用戶，點(diǎn)擊確定，如圖添加“admin〞用戶的“修改〞和“寫(xiě)入〞權(quán)限，如圖點(diǎn)擊確定，完成設(shè)置。單擊“下一步〞按鈕，將出現(xiàn)“FTP站點(diǎn)內(nèi)容目錄〞對(duì)話框，在“路徑〞文本框中輸入虛擬目錄映射的物理位置.如圖單擊“下一步〞按鈕，將出現(xiàn)“虛擬目錄訪問(wèn)權(quán)限〞對(duì)話框，在此處選擇“讀取〞和“寫(xiě)入〞復(fù)選框，如圖任務(wù)驗(yàn)收配置驗(yàn)收〔1〕查看DHCP配置信息翻開(kāi)“管理工具〞中“DHCP〞對(duì)話框，查看兩個(gè)作用域中的各種配置選項(xiàng)，如圖圖3-205.6工程驗(yàn)收.DHCP功能在PC1、上將本地網(wǎng)絡(luò)連接設(shè)置為“自動(dòng)獲得IP地址〞和“自動(dòng)獲得DNS效勞器地址〞，圖3-21在命令提示符界面中鍵入“ipconfig/all〞敲Enter鍵將可查看到客戶機(jī)獲得IP地址等參數(shù)情況，如圖3-22所示：圖3-22DNS驗(yàn)證：查看Internet信息效勞〔IIS〕管理器配置功能驗(yàn)收網(wǎng)站訪問(wèn)FTP功能驗(yàn)收“admin〞用戶登錄，擁有該目錄下面所有文件及文件夾的修改刪除權(quán)限管理員登錄，擁有該目錄下面所有文件及文件夾的修改刪除權(quán)限刪除文件夾5.7工程總結(jié)實(shí)驗(yàn)過(guò)程沒(méi)有劃分為不同網(wǎng)段，如需劃分網(wǎng)段需要添加DHCP效勞器的網(wǎng)卡，并在其他主機(jī)上面配置DHCP中繼代理，為了使不同網(wǎng)段能夠通信，還要設(shè)置路由。WEB跟FTP效勞器的配置相對(duì)簡(jiǎn)單，F(xiàn)TP效勞器的權(quán)限是要注意的重點(diǎn)。用戶的訪問(wèn)是FTP效勞器權(quán)限與文件夾權(quán)限的疊加。針對(duì)某集團(tuán)公司辦公區(qū)網(wǎng)站建設(shè)任務(wù)內(nèi)容和目標(biāo)，通過(guò)需求分析進(jìn)行了實(shí)訓(xùn)的規(guī)劃和實(shí)施，通過(guò)本任務(wù)進(jìn)行了DNS,DHCP、WEB、FTP根底配置等方面的實(shí)訓(xùn)。

工程6集團(tuán)公司網(wǎng)絡(luò)集中管理6.1工程內(nèi)容某集團(tuán)公司一家在全國(guó)各地區(qū)有多個(gè)分公司的物流大型企業(yè)，在完成工程3內(nèi)容的組建根底上，現(xiàn)需要對(duì)公司網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理，總部和各地分公司都能使用統(tǒng)一賬號(hào)訪問(wèn)公司資源，為了保證網(wǎng)絡(luò)信息平安，需要提供公司各效勞器和計(jì)算機(jī)微軟操作系統(tǒng)的補(bǔ)丁自動(dòng)更新，請(qǐng)進(jìn)行規(guī)劃和模擬實(shí)施。6.2工程流程SKIPIF1<0圖6-1工程流程圖6.3工程調(diào)查與需求分析6.3.1工程本工程針對(duì)集團(tuán)軍公司的網(wǎng)絡(luò)進(jìn)行管理，實(shí)現(xiàn)使用統(tǒng)一賬號(hào)訪問(wèn)公司資源，并提供操作系統(tǒng)的補(bǔ)丁更新。6.3.21)具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，該集團(tuán)公司分為總部和三個(gè)分公司網(wǎng)絡(luò)，分公司通過(guò)專線與總部連接，總部約有400臺(tái)計(jì)算機(jī)和多臺(tái)效勞器，各分公司分別有50-100臺(tái)計(jì)算機(jī)，各分公司也各有1臺(tái)效勞器提供網(wǎng)絡(luò)效勞。2〕具體需求需求1：采用先進(jìn)的網(wǎng)絡(luò)技術(shù)和合理的結(jié)構(gòu)完成企業(yè)網(wǎng)的網(wǎng)絡(luò)集中管理，以實(shí)現(xiàn)企業(yè)信息化的根底。需求2：在總部和各地分公司均使用統(tǒng)一賬號(hào)高效穩(wěn)定地登錄和訪問(wèn)公司資源，簡(jiǎn)單有效。需求3：在總公司架設(shè)一臺(tái)效勞器以提供公司各效勞器和計(jì)算機(jī)操作系統(tǒng)的補(bǔ)丁自動(dòng)更新。3〕需求分析分析1：需要建立一個(gè)域，并把公司計(jì)算機(jī)參加域中分析2：創(chuàng)立一個(gè)帳號(hào)，使全公司成員都能登錄進(jìn)域中分析3：需要用WSUS來(lái)進(jìn)行全公司的系統(tǒng)更新6.4工程實(shí)訓(xùn)要求要求1〔必做〕：模擬本工程的網(wǎng)絡(luò)效勞組建并完成工程的需求分析、規(guī)劃、實(shí)施文檔。要求2〔必做〕：模擬本工程的網(wǎng)絡(luò)組建并完成工程實(shí)施的文檔，模擬實(shí)現(xiàn)企業(yè)網(wǎng)總部及1個(gè)分公司區(qū)域的網(wǎng)絡(luò)，實(shí)現(xiàn)統(tǒng)一管理和站點(diǎn)登錄。要求3〔選做〕：在以上根底上實(shí)現(xiàn)公司微軟操作系統(tǒng)補(bǔ)丁效勞器的架設(shè)和配置。6.5工程實(shí)施6.51．可靠性提供網(wǎng)絡(luò)效勞的效勞器必須穩(wěn)定可靠，為企業(yè)網(wǎng)用戶提供可靠的網(wǎng)絡(luò)效勞。2．平安性各項(xiàng)效勞應(yīng)考慮和保證其平安性，防止出現(xiàn)網(wǎng)絡(luò)平安事故而影響企業(yè)網(wǎng)效勞。3．可擴(kuò)充性企業(yè)網(wǎng)需要提供的效勞將隨著信息效勞的需求和開(kāi)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)效勞應(yīng)具有可擴(kuò)充性。4．實(shí)用性應(yīng)能使用戶方便實(shí)用地訪問(wèn)各種企業(yè)網(wǎng)效勞并接受管理。6.5.2工程活動(dòng)目錄〔ActiveDirctory〕活動(dòng)目錄〔ActiveDirectory〕是Windows2024完全實(shí)現(xiàn)的目錄效勞，也是Windows2000網(wǎng)絡(luò)體系的根本結(jié)構(gòu)模型，是Windows2024網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心管理機(jī)構(gòu)。ActiveDirectory是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目錄效勞。ActiveDirectory存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。ActiveDirectory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為根底對(duì)目錄信息進(jìn)行符合邏輯的分層組織Microsoft在Windows2024中提供的活動(dòng)目錄是一個(gè)全面的目錄效勞管理方案，也是一個(gè)企業(yè)級(jí)的目錄效勞，具有很好的可伸縮性?；顒?dòng)目錄采用了Internet的標(biāo)準(zhǔn)協(xié)議，它與操作系統(tǒng)緊密地集成在一起?；顒?dòng)目錄不僅可以管理根本的網(wǎng)絡(luò)資源，比方計(jì)算機(jī)對(duì)象、用戶賬戶、打印機(jī)等，它也充分考慮了現(xiàn)代應(yīng)用的業(yè)務(wù)需求，為這些應(yīng)用提供了根本的管理對(duì)象模型，比方用戶賬戶對(duì)象具有辦公電話、手機(jī)、呼機(jī)、住址、上司、下屬、電子郵件等屬性。幾乎所有的應(yīng)用可以直接利用系統(tǒng)提供的目錄效勞結(jié)構(gòu)，而且活動(dòng)目錄也具有很好的擴(kuò)充能力，允許應(yīng)用程序定制目錄中對(duì)象的屬性或者添加新的對(duì)象類(lèi)型?；顒?dòng)目錄用戶與組WindowsServer2024所支持的用戶賬戶分為以下兩種類(lèi)型：域用戶賬戶：域用戶賬戶存儲(chǔ)在域控制器的ActiveDirectory數(shù)據(jù)庫(kù)內(nèi)。用戶可以利用域用戶賬戶登錄域，并利用它訪問(wèn)網(wǎng)絡(luò)上的資源，本地用戶賬戶：本地用戶賬戶是創(chuàng)立在非域控制器的“本地平安賬戶數(shù)據(jù)庫(kù)〞內(nèi)，而不是域控制器的ActiveDirectory數(shù)據(jù)庫(kù)內(nèi)。WindowsServer2024將位于域中的組分為以下兩種類(lèi)型：平安組：平安組可以被用來(lái)設(shè)置權(quán)限，例如，可以設(shè)置讓平安組對(duì)文件具備“讀取〞的權(quán)限。平安組也可以用在與平安無(wú)關(guān)的任務(wù)上，例如，可以通過(guò)電子郵件軟件將電子郵件發(fā)送給平安組。分布式組：分布式組是用在與平安〔權(quán)限的設(shè)置等〕無(wú)關(guān)的任務(wù)上，例如，可以通過(guò)電子郵件軟件將電子郵件發(fā)送給分布式組。用戶無(wú)法設(shè)置分布式組的權(quán)限?；顒?dòng)目錄站點(diǎn)與復(fù)制活動(dòng)目錄“站點(diǎn)〞是由一個(gè)或多個(gè)IP子網(wǎng)所組成，這些子網(wǎng)絡(luò)之間是通過(guò)高速連接所串接起來(lái)的，而這里所謂的“高速〞是指這些子網(wǎng)之間的連接速度要夠快才可以，否那么應(yīng)該將它們分別規(guī)劃為不同的站點(diǎn)。域是邏輯的分組，站點(diǎn)是物理的分組。每個(gè)站點(diǎn)可能包含多個(gè)域，一個(gè)域內(nèi)的計(jì)算機(jī)可能同時(shí)分別屬于不同的站點(diǎn)。同一個(gè)站點(diǎn)內(nèi)的同一個(gè)域控制器會(huì)自動(dòng)設(shè)置執(zhí)行復(fù)制，其默認(rèn)的復(fù)制頻率比不同站點(diǎn)之間快。除了非常小的網(wǎng)絡(luò)之外，目錄數(shù)據(jù)必須駐留在網(wǎng)絡(luò)上的多個(gè)位置，以便于所有用戶均等地使用。通過(guò)復(fù)制，ActiveDirectory目錄效勞在多個(gè)域控制器上保存目錄數(shù)據(jù)的副本，從而確保所有用戶的目錄可用性和性能。ActiveDirectory使用一種多主機(jī)復(fù)制模型，允許在任何域控制器上〔而不只是委派的主域控制器上〕更改目錄。ActiveDirectory依靠站點(diǎn)概念來(lái)保持復(fù)制的效率，并依靠知識(shí)一致性檢查器(KCC)來(lái)自動(dòng)確定網(wǎng)絡(luò)的最正確復(fù)制拓?fù)?。組策略組策略是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過(guò)使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略，可以完成用戶所需軟件的自動(dòng)安裝、自動(dòng)定制用戶環(huán)境、自動(dòng)將用戶的文件夾重定向等一系列高級(jí)功能。例如，可使用“組策略〞幫助用戶自動(dòng)安裝軟件、從桌面刪除圖標(biāo)、自定義“開(kāi)始〞菜單并簡(jiǎn)化“控制面板〞。此外,還可添加在計(jì)算機(jī)上〔在計(jì)算機(jī)啟動(dòng)或停止時(shí)，以及用戶登錄或注銷(xiāo)時(shí)〕運(yùn)行的腳本，甚至可配置InternetExplorer等多種功能。要實(shí)現(xiàn)用“組策略〞管理網(wǎng)絡(luò)中的計(jì)算機(jī)和用戶，需要網(wǎng)絡(luò)中有ActiveDirectory效勞器，工作站須是Windows2000、WindowsXP或WindowsServer2024等操作系統(tǒng)，并且參加到ActiveDirectory域中，還需創(chuàng)立與配置“組織單位〞的組策略。MicrosoftWindowsServerUpdateServices(WSUS)MicrosoftWindowsServerUpdateServices(WSUS)是設(shè)計(jì)用來(lái)大量精簡(jiǎn)IT系統(tǒng)在執(zhí)行重大更新時(shí)的程序。通過(guò)使用WindowsServer更新效勞(WSUS)，管理員可以快速而可靠地將Windows2000操作系統(tǒng)和更高版本、OfficeXP和更高版本、ExchangeServer2024以及SQLServer2000的最新關(guān)鍵更新和平安更新部署到Windows2000和更高版本的操作系統(tǒng)。Windows自動(dòng)更新是Windows的一項(xiàng)功能，當(dāng)適用于您的計(jì)算機(jī)的重要更新發(fā)布時(shí)，它會(huì)及時(shí)提醒用戶下載和安裝。使用自動(dòng)更新可以在第一時(shí)間更新操作系統(tǒng)，修復(fù)系統(tǒng)漏洞，保護(hù)計(jì)算機(jī)平安。在小規(guī)模的網(wǎng)絡(luò)當(dāng)中，客戶端可以通過(guò)windows系統(tǒng)自帶的自動(dòng)更新來(lái)從微軟下載補(bǔ)丁。但在大中型的網(wǎng)絡(luò)當(dāng)中，如果每臺(tái)計(jì)算機(jī)都單獨(dú)去微軟更新補(bǔ)丁，那么那么會(huì)極大的影響企業(yè)的外部網(wǎng)絡(luò)帶寬。WSUS的思路是先用一臺(tái)計(jì)算機(jī)〔wsus〕去微軟檢測(cè)并選擇要下載補(bǔ)丁，然后網(wǎng)絡(luò)內(nèi)其他的計(jì)算機(jī)從WSUS效勞器來(lái)下載補(bǔ)丁，它也可直接下發(fā)補(bǔ)丁。這樣也既不會(huì)浪費(fèi)外部網(wǎng)絡(luò)帶寬，也能讓所有的計(jì)算機(jī)得到更新。6.5.3實(shí)訓(xùn)設(shè)備與軟件設(shè)備類(lèi)型設(shè)備型號(hào)數(shù)量〔每組〕備注交換機(jī)H3C31001臺(tái)效勞器宏基P43臺(tái)計(jì)算機(jī)宏基P43臺(tái)效勞器操作系統(tǒng)WindowsServer20243可使用虛擬機(jī)環(huán)境效勞器參數(shù)及分配的網(wǎng)絡(luò)參數(shù)規(guī)劃表效勞器名角色I(xiàn)P地址SrvAD-01域控制器0SrvAD-02域成員3實(shí)施步驟規(guī)劃1〕規(guī)劃分配效勞器參數(shù)2〕安裝配置WindowsServer2024活動(dòng)目錄〔用戶管理、計(jì)算機(jī)參加域、站點(diǎn)與復(fù)制〕3〕安裝配置WSUS效勞器〔WSUS、組策略〕4〕配置計(jì)算機(jī)參數(shù)并根據(jù)需求驗(yàn)證實(shí)現(xiàn)的功能5〕完成工程文檔資料6.5.4實(shí)施步驟〔請(qǐng)將主要實(shí)施步驟整理列出〕1.在SrvAD-01上安裝域控制器2.在SrvAD-02上安裝子域控制器3.建立賬號(hào)，用來(lái)集中管理4.設(shè)置組策略

6.6工程驗(yàn)收兩臺(tái)效勞器的域控制器站點(diǎn)驗(yàn)證統(tǒng)一管理用戶驗(yàn)證平安策略驗(yàn)證6.7工程總結(jié)通過(guò)這次實(shí)訓(xùn)，讓我了解到在企業(yè)里面應(yīng)用域來(lái)管理計(jì)算機(jī)能大大的節(jié)省人力和時(shí)間，并能夠增強(qiáng)平安。在本次實(shí)訓(xùn)工程中，讓我們收獲了很多以前沒(méi)有了解的知識(shí)面。才知道以前我們上課掌握的知識(shí)真的是太少了，在這之前我對(duì)于一些效勞器安裝和配置都有一些陌生，在建立域之前，應(yīng)收集實(shí)際環(huán)境的信息，按照實(shí)際來(lái)設(shè)計(jì)和配置每個(gè)效勞器和個(gè)人電腦的角色。從而強(qiáng)化我們的動(dòng)手能力和應(yīng)對(duì)能力。在實(shí)際的環(huán)境中也能揮曬自如。

工程7校園網(wǎng)網(wǎng)絡(luò)平安系統(tǒng)7.1工程內(nèi)容某高等職業(yè)學(xué)院已經(jīng)在工程2的根底上組建了校園園區(qū)網(wǎng)，校園各區(qū)域均已連通，校園網(wǎng)方案有兩條出口線路分別與CHINANET和CERNET連接，需實(shí)現(xiàn)校園網(wǎng)所有用戶對(duì)外訪問(wèn)，同時(shí)校園網(wǎng)的WEB、FTP等效勞器需要提供校外用戶訪問(wèn)，還可提供學(xué)校用戶在家訪問(wèn)學(xué)校的一些內(nèi)部網(wǎng)絡(luò)應(yīng)用，同時(shí)為了保障校園網(wǎng)絡(luò)平安，需要對(duì)校園網(wǎng)的效勞器操作系統(tǒng)進(jìn)行平安防護(hù)，并且方案部署全網(wǎng)的防病毒系統(tǒng)，請(qǐng)進(jìn)行校園網(wǎng)的平安進(jìn)行規(guī)劃和模擬實(shí)施。7.2工程流程SKIPIF1<0圖7-1工程流程圖7.3工程調(diào)查與需求分析7.3.本工程針對(duì)校園園區(qū)網(wǎng)的網(wǎng)絡(luò)平安進(jìn)行建設(shè)和管理，提供內(nèi)外網(wǎng)轉(zhuǎn)換和外部平安訪問(wèn)校園網(wǎng)內(nèi)部，并進(jìn)行防病毒系統(tǒng)的部署。7.3.1)具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，校園網(wǎng)有近6000用戶、約30臺(tái)效勞器提供效勞，校園網(wǎng)通過(guò)租用1條100M電信線路和1條10M教育網(wǎng)線路分別連接互聯(lián)網(wǎng)和CERNET。其中互聯(lián)網(wǎng)線路分配的其中局部IP地址范圍為：30/27—2〕具體需求需求1：采用先進(jìn)的網(wǎng)絡(luò)通信技術(shù)和合理的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行校園網(wǎng)出口局部的建設(shè)，實(shí)現(xiàn)內(nèi)部用戶快捷平安訪問(wèn)互聯(lián)網(wǎng)和教育網(wǎng)。需求2：一些校園網(wǎng)效勞器需提供外部的公共訪問(wèn)效勞〔WWW、FTP等效勞〕，使互聯(lián)網(wǎng)用戶能平安方便地訪問(wèn)學(xué)校的公共資源和信息。需求3：一些校園網(wǎng)內(nèi)部的資源〔例如辦公系統(tǒng)、電子圖書(shū)等〕需要提供學(xué)校的教職員工在外平安訪問(wèn)。需求4：保障和加強(qiáng)效勞器平安性，對(duì)校園網(wǎng)的效勞器操作系統(tǒng)進(jìn)行平安防護(hù)，為校園網(wǎng)系統(tǒng)提供穩(wěn)定的網(wǎng)絡(luò)效勞。需求5：為保障校園網(wǎng)全網(wǎng)平安，加強(qiáng)各用戶計(jì)算機(jī)的平安防護(hù)，安裝使用防病毒軟件。3〕需求分析分析1：使用合理規(guī)劃的ＩＰ地址和路由協(xié)議使校園網(wǎng)用戶可以連接到Ｉｎｔｅｒｎｅｔ,并通過(guò)專線連接到教育網(wǎng)分析2：為了使互聯(lián)網(wǎng)用戶可以訪問(wèn)到校園網(wǎng)資源，必須在校園網(wǎng)內(nèi)安裝WEB與FTP效勞器為用戶提供訪問(wèn)。分析3：配置虛擬專用網(wǎng)〔VPN〕為校外出差人員提供遠(yuǎn)程訪問(wèn)。分析4：在校園網(wǎng)出口位置配置NAT防火墻。提供私有地址與公共IP地址轉(zhuǎn)換。分析5：安裝必要的殺毒軟件7.4工程實(shí)訓(xùn)要求要求1〔必做〕：模擬本工程的網(wǎng)絡(luò)平安系統(tǒng)組建并完成工程實(shí)施的文檔，模擬實(shí)現(xiàn)校園網(wǎng)絡(luò)的平安防護(hù)。要求2〔必做〕：使用防火墻或軟件進(jìn)行校園網(wǎng)出口互聯(lián)網(wǎng)局部的內(nèi)外網(wǎng)轉(zhuǎn)換〔NAT〕，效勞器的對(duì)外發(fā)布訪問(wèn)和平安〔SAT〕。要求3〔必做〕：進(jìn)行效勞器操作系統(tǒng)的平安配置和防護(hù)?！仓鳈C(jī)平安〕要求3〔選做〕：使用防火墻或軟件進(jìn)行校園網(wǎng)的外部平安訪問(wèn)內(nèi)部網(wǎng)絡(luò)〔VPN〕。要求4〔選做〕：進(jìn)行校園網(wǎng)的網(wǎng)絡(luò)防病毒系統(tǒng)配置和實(shí)施。7.5工程實(shí)施7.51．可靠性提供網(wǎng)絡(luò)效勞的效勞器必須穩(wěn)定可靠，為校園網(wǎng)用戶和校外用戶提供可靠的網(wǎng)絡(luò)效勞。2．平安性各項(xiàng)效勞應(yīng)考慮和保證其平安性，防止出現(xiàn)網(wǎng)絡(luò)平安事故而影響校園網(wǎng)效勞。3．可擴(kuò)充性校園網(wǎng)需要提供的效勞將隨著信息效勞的需求和開(kāi)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)效勞應(yīng)具有可擴(kuò)充性。4．實(shí)用性校園網(wǎng)具有用戶數(shù)量多、應(yīng)用環(huán)境復(fù)雜的特點(diǎn)，應(yīng)能使用戶方便實(shí)用地訪問(wèn)各種校園網(wǎng)效勞。7.5.2工程防火墻傳統(tǒng)意義的防火墻被設(shè)計(jì)用來(lái)防止火從大廈的一部份。在網(wǎng)絡(luò)上防火墻簡(jiǎn)單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的可以用主機(jī)甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)。設(shè)置防火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡(jiǎn)化網(wǎng)絡(luò)的平安管理。防火墻是一種高級(jí)訪問(wèn)控制設(shè)備，置于不同平安域之間，是不同平安域之間的唯一通道，能根據(jù)企業(yè)有關(guān)的平安政策執(zhí)行允許，拒絕，監(jiān)視，記錄進(jìn)出網(wǎng)絡(luò)的行為。防火墻是一個(gè)或一組系統(tǒng)，用于管理兩個(gè)網(wǎng)絡(luò)直接的訪問(wèn)控制及策略，所有從內(nèi)部訪問(wèn)外部的數(shù)據(jù)流和外部訪問(wèn)內(nèi)部的數(shù)據(jù)流均必須通過(guò)防火墻；只有在被定義的數(shù)據(jù)流才可以通過(guò)防火墻(如果通過(guò)其他方式帶出信息，那么無(wú)法防范〕，防火墻本身必須有很強(qiáng)的免疫力。防火墻技術(shù)防火墻通常使用的平安控制手段主要有包過(guò)濾、狀態(tài)檢測(cè)、代理效勞。包過(guò)濾技術(shù)是一種簡(jiǎn)單、有效的平安控制技術(shù)，它通過(guò)在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)那么，對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過(guò)濾的最大優(yōu)點(diǎn)是對(duì)用戶透明，傳輸性能高。但由于平安控制層次在網(wǎng)絡(luò)層、傳輸層，平安控制的力度也只限于源地址、目的地址和端口號(hào)，因而只能進(jìn)行較為初步的平安控制，對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，那么無(wú)能為力。狀態(tài)檢測(cè)是比包過(guò)濾更為有效的平安控制方法。對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的平安規(guī)那么，允許符合規(guī)那么的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過(guò)。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心局部建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理。應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過(guò)程，從而提高網(wǎng)絡(luò)的平安性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過(guò)打破客戶機(jī)／效勞器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)／效勞器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到效勞器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的效勞程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的效勞程序，否那么不能使用該效勞。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。防火墻工作模式防火墻一般位于企業(yè)內(nèi)部網(wǎng)絡(luò)出口與互聯(lián)網(wǎng)直接相連是企業(yè)網(wǎng)絡(luò)的第一道屏障。根據(jù)防火墻和內(nèi)外網(wǎng)絡(luò)的結(jié)構(gòu),防火墻具有三種工作模式透明模式、路由模式和混合模式。1.透明模式透明模式的防火墻就好象是一臺(tái)網(wǎng)橋，不改動(dòng)其原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)設(shè)備和所有計(jì)算機(jī)的設(shè)置〔包括IP地址和網(wǎng)關(guān)〕無(wú)須改變，同時(shí)解析所有通過(guò)它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的平安性，又降低了用戶管理的復(fù)雜程度。透明模式的防火墻結(jié)構(gòu)如以下列圖所示。2.路由模式傳統(tǒng)防火墻一般工作于路由模式，防火墻可以讓處于不同網(wǎng)段的計(jì)算機(jī)通過(guò)路由轉(zhuǎn)發(fā)的方式互相通信并可將內(nèi)部私有IP地址轉(zhuǎn)換為互聯(lián)網(wǎng)地址。路由模式的防火墻結(jié)構(gòu)如以下列圖所示:3.混合模式在企業(yè)復(fù)雜的網(wǎng)絡(luò)環(huán)境中常常需要使用透明及路由的混合模式?；旌夏Ｊ椒阑饓Y(jié)構(gòu)如以下列圖所示:防火墻產(chǎn)品簡(jiǎn)介1．阿姆瑞特防火墻阿姆瑞特防火墻為"無(wú)系統(tǒng)內(nèi)核"，即：防火墻沒(méi)有操作系統(tǒng)，因此不會(huì)存在通用操作系統(tǒng)的漏洞，從而在底層保證防火墻的平安性；同時(shí)，因?yàn)椴僮飨到y(tǒng)需要不斷地去維護(hù)、升級(jí)，無(wú)操作系統(tǒng)就不存在此類(lèi)問(wèn)題，這也排除了因?yàn)橄到y(tǒng)升級(jí)、打補(bǔ)丁破壞防火墻功能、性能的問(wèn)題。阿姆瑞特防火墻內(nèi)核啟動(dòng)后，可直接管理防火墻的所有硬件〔CPU、網(wǎng)卡、總線等〕，它可以在底層從硬件設(shè)備中接管進(jìn)出防火墻數(shù)據(jù)并進(jìn)行處理，利用了所有可能的硬件性能，同時(shí)減少了操作系統(tǒng)的開(kāi)銷(xiāo)，因此可以最快的處理數(shù)據(jù)，使其成為市場(chǎng)上現(xiàn)有的最快的防火墻之一。2．ISA〔InternetSecurityandAccelerationServer〕ISAServer是微軟公司出品的企業(yè)級(jí)別的路由軟件防火墻，它可以讓企業(yè)內(nèi)部網(wǎng)絡(luò)平安、快速的連接到Internet，性能可以和硬件防火墻媲美，并且深層次的應(yīng)用層識(shí)別功能是目前很多基于包過(guò)濾的硬件防火墻都不具備的，可以在網(wǎng)絡(luò)的任何地方，如兩個(gè)或多個(gè)網(wǎng)絡(luò)的邊緣層(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、單個(gè)主機(jī)上配置ISAServer來(lái)對(duì)網(wǎng)絡(luò)或主機(jī)進(jìn)行防護(hù)。ISAServer的主要特性：〔1〕多層防火墻平安防火墻可以通過(guò)各種方法增強(qiáng)平安性，包括數(shù)據(jù)包篩選、電路層篩選和應(yīng)用程序篩選。高級(jí)的企業(yè)防火墻，如ISAServer所提供的那一種，綜合了所有這三種方法，在多個(gè)網(wǎng)絡(luò)層提供保護(hù)，為企業(yè)提供最低的投入的根底上最高的回報(bào)。(2〕狀態(tài)檢測(cè)狀態(tài)檢查檢查通過(guò)防火墻的協(xié)議環(huán)境中的數(shù)據(jù)以及連接的狀態(tài)。在數(shù)據(jù)包層，ISAServer檢查在IP消息頭中指明的通信來(lái)源和目標(biāo)，以及在標(biāo)識(shí)所采用的網(wǎng)絡(luò)效勞或應(yīng)用程序的TCP或UDP消息頭中的端口。動(dòng)態(tài)數(shù)據(jù)包篩選器能夠使窗口的翻開(kāi)只響應(yīng)用戶的請(qǐng)求，并且翻開(kāi)端口的持續(xù)時(shí)間恰好滿足該請(qǐng)求的需要，從而減少與翻開(kāi)端口相關(guān)的攻擊。ISAServer可以動(dòng)態(tài)地確定，哪些數(shù)據(jù)包可以傳送到內(nèi)部網(wǎng)絡(luò)的電路層和應(yīng)用程序?qū)有?。管理員可以配置訪問(wèn)策略規(guī)那么，以便只在允許的情況下自動(dòng)翻開(kāi)端口，然后當(dāng)通信結(jié)束時(shí)關(guān)閉端口。這一過(guò)程稱為動(dòng)態(tài)數(shù)據(jù)包篩選，它使兩個(gè)方向上暴露的端口數(shù)量減到最少，并為網(wǎng)絡(luò)提供更高的平安性，使問(wèn)題較少發(fā)生。(3〕集成的入侵檢測(cè)ISAServer利用一家名為InternetSecuritySystems的公司所提供的技術(shù)，提供幫助管理員識(shí)別諸如端口掃描、WinNuke和PingofDeath之類(lèi)的常見(jiàn)網(wǎng)絡(luò)攻擊的這種效勞。并且ISA能夠自動(dòng)對(duì)其作出響應(yīng)。這項(xiàng)技術(shù)給ISAServer提供了能識(shí)別此類(lèi)攻擊的集成入侵檢測(cè)機(jī)制。當(dāng)識(shí)別出這種攻擊時(shí)，警報(bào)還能同時(shí)指出ISAServer應(yīng)采取什么行動(dòng)，這些行動(dòng)可包括向系統(tǒng)管理員發(fā)送電子郵件或?qū)ず?，停止Firewall效勞，寫(xiě)入到系統(tǒng)事件日志，或運(yùn)行任何程序或腳本。(4〕高性能Web緩存ISAServer對(duì)Web緩存進(jìn)行了徹底的重新設(shè)計(jì)，使它可以將緩存放入RAM中——我知道現(xiàn)在很多的使用WINGATE的用戶都希望能夠得到這種緩存解決方案。這種高性能的Web緩存可提供更強(qiáng)的后端可伸縮性，并提供了更快的Web客戶機(jī)總體響應(yīng)時(shí)間。這對(duì)于企業(yè)內(nèi)部來(lái)說(shuō)尤其重要，因?yàn)閱T工需要快速訪問(wèn)Web內(nèi)容，而企業(yè)也需要適當(dāng)?shù)墓?jié)省網(wǎng)絡(luò)帶寬。這種高速的Web緩存正能夠滿足您的這種需要。(5〕緩存陣列路由協(xié)議ISAServer使用了緩存陣列路由協(xié)議(CacheArrayRoutingProtocol，CARP)。因此您可以通過(guò)多臺(tái)ISAServer計(jì)算機(jī)組成的陣列來(lái)提供無(wú)縫縮放和更高的效率。(6)活動(dòng)緩存通過(guò)一個(gè)叫做活動(dòng)緩存的功能，可配置ISAServer使其自動(dòng)更新緩存中的對(duì)象。使用這種功能，ISAServer可通過(guò)主動(dòng)刷新內(nèi)容來(lái)優(yōu)化帶寬的使用。通過(guò)活動(dòng)緩存，經(jīng)常被訪問(wèn)的對(duì)象在它們到期之前，在低網(wǎng)絡(luò)流量時(shí)段自動(dòng)更新。(7)統(tǒng)一管理ISAServer利用基于WindowsServer的平安性，ActiveDirectory效勞、VPN和Microsoft管理控制臺(tái)(MMC，MicrosoftManagementConsole)。所有這些功能，特別是MMC，會(huì)使得管理更容易，因?yàn)椴僮魅藛T熟悉它，并可從一個(gè)控制臺(tái)同時(shí)管理防火墻和Web緩存。(8)企業(yè)策略和訪問(wèn)控制ISAServer還支持創(chuàng)立企業(yè)級(jí)和本地陣列策略，用于集中實(shí)施或本地實(shí)施。ISAServer可作為獨(dú)立效勞器安裝或作為陣列成員安裝。為便于管理，各個(gè)陣列成員都使用相同的配置。對(duì)陣列配置進(jìn)行修改時(shí)，陣列中的所有ISAServer計(jì)算機(jī)也都將得到修改，包括所有訪問(wèn)和緩存策略。VPN〔VirtualPrivateNetwork〕VPN即虛擬專用網(wǎng)絡(luò)，是通過(guò)Internet公共網(wǎng)絡(luò)在局域網(wǎng)絡(luò)之間或單點(diǎn)之間平安地傳遞數(shù)據(jù)的技術(shù)。虛擬專用網(wǎng)絡(luò)(VPN)是專用網(wǎng)絡(luò)的擴(kuò)展。同Internet一樣，該網(wǎng)絡(luò)包含共享網(wǎng)絡(luò)或公用網(wǎng)絡(luò)之間的鏈接。使用VPN，可以通過(guò)共享網(wǎng)絡(luò)或公用網(wǎng)絡(luò)以模擬點(diǎn)對(duì)點(diǎn)專用鏈接的方式在兩臺(tái)計(jì)算機(jī)之間發(fā)送數(shù)據(jù)。虛擬專用網(wǎng)絡(luò)連接是一種創(chuàng)立和配置虛擬專用網(wǎng)絡(luò)的操作。使用VPN連接，在家辦公或旅行的用戶可以通過(guò)公用Internet網(wǎng)絡(luò)〔如Internet〕提供的結(jié)構(gòu)，獲得到組織效勞器的遠(yuǎn)程訪問(wèn)連接。從用戶的角度來(lái)說(shuō)，VPN是計(jì)算機(jī)〔VPN客戶端〕和組織效勞器〔VPN效勞器〕之間的點(diǎn)對(duì)點(diǎn)連接。VPN與共享網(wǎng)絡(luò)或公用網(wǎng)絡(luò)的具體結(jié)構(gòu)無(wú)關(guān)，因?yàn)閿?shù)據(jù)就象是通過(guò)專用的鏈接發(fā)送的。VPN技術(shù)的效果類(lèi)似于傳統(tǒng)的DDN專線聯(lián)網(wǎng)方式，網(wǎng)絡(luò)拓?fù)淙缫韵铝袌D所示。VPN的類(lèi)型〔1〕AccessVPN移動(dòng)用戶在任何地方、時(shí)間采用撥號(hào)、ISDN、DSL、移動(dòng)IP和電纜技術(shù)通過(guò)公用網(wǎng)絡(luò)與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡(luò)連接。在AccessVPN的應(yīng)用中，利用了二層網(wǎng)絡(luò)隧道技術(shù)在公用網(wǎng)絡(luò)上建立VPN隧道連接來(lái)傳輸私有網(wǎng)絡(luò)數(shù)據(jù)?！?〕IntranetVPNIntranetVPN通過(guò)公用網(wǎng)絡(luò)進(jìn)行企業(yè)各個(gè)分布點(diǎn)互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴(kuò)展或替代形式。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實(shí)質(zhì)是通過(guò)公用網(wǎng)在各個(gè)路由器之間建立VPN平安隧道來(lái)傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSEC、GRE等。結(jié)合效勞商提供的QOS機(jī)制，可以有效而且可靠的使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量?！?〕ExtranetVPN利用VPN將企業(yè)網(wǎng)伸至合作伙伴與客戶。Extranet用戶對(duì)于ExtranetVPN的訪問(wèn)權(quán)限可以通過(guò)防火墻等手段來(lái)設(shè)置與管理。VPN使用的協(xié)議〔1〕鏈路層L2TP、PPTP協(xié)議PPTPPPTP是PPP的擴(kuò)展，它增加了一個(gè)新的平安等級(jí)，并且可以通過(guò)Internet進(jìn)行多協(xié)議通信，它支持通過(guò)公共網(wǎng)絡(luò)〔如Internet〕建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡(luò)。PPTP可以建立隧道或?qū)P、IPX或NetBEUI協(xié)議封裝在PPP數(shù)據(jù)包內(nèi)，因此允許用戶遠(yuǎn)程運(yùn)行依賴特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。PPTP在基于TCP/IP協(xié)議的數(shù)據(jù)網(wǎng)絡(luò)上創(chuàng)立VPN連接，實(shí)現(xiàn)從遠(yuǎn)程計(jì)算機(jī)到專用效勞器的平安數(shù)據(jù)傳輸。VPN效勞器執(zhí)行所有的平安檢查和驗(yàn)證，并啟用數(shù)據(jù)加密，使得在不平安的網(wǎng)絡(luò)上發(fā)送信息變得更加平安。尤其是使用EAP后，通過(guò)啟用PPTP的VPN傳輸數(shù)據(jù)就象在企業(yè)的一個(gè)局域網(wǎng)內(nèi)那樣平安。另外還可以使用PPTP建立專用LAN到LAN的網(wǎng)絡(luò)。L2TP是一個(gè)工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，它和PPTP的功能大致相同。L2TP也會(huì)壓縮PPP的幀，從而壓縮IP、IPX或NetBEUI協(xié)議，同樣允許用戶遠(yuǎn)程運(yùn)行依賴特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。與PPTP不同的是，L2TP使用新的網(wǎng)際協(xié)議平安(IPSec)機(jī)制來(lái)進(jìn)行身份驗(yàn)證和數(shù)據(jù)加密?！?〕網(wǎng)絡(luò)層IPsec協(xié)議基于PKI技術(shù)的IPSec協(xié)議現(xiàn)在已經(jīng)成為架構(gòu)VPN的根底，它可以為路由器之間、防火墻之間或者路由器和防火墻之間提供經(jīng)過(guò)加密和認(rèn)證的通信。雖然它的實(shí)現(xiàn)會(huì)復(fù)雜一些，但其平安性比其他協(xié)議都完善得多。由于IPSec是IP層上的協(xié)議，因此很容易在全世界范圍內(nèi)形成一種標(biāo)準(zhǔn)，具有非常好的通用性，而且IPSec本身就支持面向未來(lái)的協(xié)議——IPv6。3〕傳輸層SSL、TLS、SOCKS協(xié)議SSLVPN即指采用SSL(SecuritySocketLayer)協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSLVPN是解決遠(yuǎn)程用戶訪問(wèn)敏感公司數(shù)據(jù)最簡(jiǎn)單最平安的解決技術(shù)。與復(fù)雜的IPSecVPN相比，SSL通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。主機(jī)平安系統(tǒng)漏洞系統(tǒng)漏洞是指網(wǎng)絡(luò)操作系統(tǒng)本身所存在的技術(shù)缺陷。系統(tǒng)漏洞往往會(huì)被病毒利用侵入并攻擊用戶計(jì)算機(jī)。漏洞會(huì)影響到的范圍很大，包括系統(tǒng)本身及其支撐軟件，網(wǎng)絡(luò)客戶和效勞器軟件，網(wǎng)絡(luò)路由器和平安防火墻等。換而言之，在這些不同的軟硬件設(shè)備中都可能存在不同的平安漏洞問(wèn)題。在不同種類(lèi)的軟、硬件設(shè)備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會(huì)存在各自不同的平安漏洞問(wèn)題。Windows系統(tǒng)漏洞問(wèn)題是與時(shí)間緊密相關(guān)的。一個(gè)windows系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會(huì)被不斷暴露出來(lái)，這些早先被發(fā)現(xiàn)的漏洞也會(huì)不斷被系統(tǒng)供應(yīng)商微軟公司發(fā)布的補(bǔ)丁軟件修補(bǔ)，或在以后發(fā)布的新版系統(tǒng)中得以糾正。而在新版系統(tǒng)糾正了舊版本中具有漏洞的同時(shí)，也會(huì)引入一些新的漏洞和錯(cuò)誤。Windows操作系統(tǒng)供應(yīng)商將定期對(duì)的系統(tǒng)漏洞發(fā)布補(bǔ)丁程序，用戶只要定期下載并安裝補(bǔ)丁程序，可以保證計(jì)算機(jī)不會(huì)輕易被病毒、黑客入侵。一般情況下，在網(wǎng)絡(luò)邊界處企業(yè)都會(huì)部署硬件或軟件防火墻，能根據(jù)企業(yè)的平安策略控制出入網(wǎng)絡(luò)的信息流，，本身具有較強(qiáng)的抗攻擊能力。但是防火墻也存在一定的局限性：防火墻不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和平安問(wèn)題，對(duì)于防火墻內(nèi)部各主機(jī)間的攻擊行為，防火墻也無(wú)法處理；防火墻無(wú)法解決TCP/IP等協(xié)議的漏洞，例如Dos攻擊〔拒絕效勞攻擊〕。防火墻對(duì)于合法開(kāi)發(fā)端口的攻擊無(wú)法阻止。例如利用開(kāi)放的FTP、遠(yuǎn)程桌面端口漏洞提升權(quán)限問(wèn)題。防火墻不能防止受病毒感染文件或木馬文件的傳輸。防火墻本身不具備查殺病毒、木馬的功能。防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。有些數(shù)據(jù)郵寄或傳輸?shù)絻?nèi)部主機(jī)被執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。防火墻不能防止內(nèi)部的泄密行為以及自身平安漏洞的問(wèn)題。漏洞掃描漏洞掃描式網(wǎng)絡(luò)平安防御中的一項(xiàng)重要技術(shù)，其原理是采用模擬攻擊的形式對(duì)目標(biāo)可能存在的平安漏洞進(jìn)行逐項(xiàng)檢查。其目標(biāo)是效勞器、工作站、交換機(jī)、數(shù)據(jù)庫(kù)應(yīng)用、WEB應(yīng)用等各種應(yīng)用設(shè)施，然后根據(jù)掃描結(jié)果向網(wǎng)絡(luò)管理員提供可靠的平安性評(píng)估分析報(bào)告，以便管理員能及時(shí)進(jìn)行漏洞修補(bǔ)和加強(qiáng)平安防護(hù)，從而提高網(wǎng)絡(luò)平安整體水平。漏洞掃描主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)效勞，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的平安漏洞掃描，如測(cè)試弱勢(shì)口令等。假設(shè)模擬攻擊成功，那么說(shuō)明目標(biāo)主機(jī)系統(tǒng)存在平安漏洞。在網(wǎng)絡(luò)平安體系的建設(shè)中，平安掃描是一種花費(fèi)低、效果好、見(jiàn)效快、獨(dú)立于網(wǎng)絡(luò)運(yùn)行、安裝運(yùn)行簡(jiǎn)單的網(wǎng)絡(luò)工具，可以減少網(wǎng)絡(luò)管理員大量的手工重復(fù)勞動(dòng)，有利于保持全網(wǎng)平安的穩(wěn)定和統(tǒng)一標(biāo)準(zhǔn)。目前市場(chǎng)上有很多漏洞掃描工具，按照不同的技術(shù)〔基于網(wǎng)絡(luò)、基于主機(jī)、基于代理、Client/Server〕、不同的特征、不同的報(bào)告方式和不同的監(jiān)聽(tīng)模式，可以分為很多種。在選擇漏洞掃描工具時(shí)要充分考慮各種技術(shù)和漏洞庫(kù)信息，漏洞庫(kù)信息是基于網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)的漏洞掃描的主要判斷依據(jù)。如果漏洞庫(kù)信息不全面或得不到即時(shí)的更新，不但不能發(fā)揮漏洞掃描的作用，還會(huì)給系統(tǒng)管理員以錯(cuò)誤的引導(dǎo)，從而對(duì)系統(tǒng)的平安隱患不能采取有效措施并及時(shí)的消除。目前常用的漏洞掃描工具有：〔1〕微軟平安掃描工具M(jìn)BSAMBSA〔MicrosoftBaselineSecurityAnalyzer〕是微軟公司提供的免費(fèi)平安掃描工具，系統(tǒng)管理員可以通過(guò)它來(lái)對(duì)一些常用的微軟平安漏洞進(jìn)行評(píng)估，包括缺少的平安更新。MBSA將掃描基于Windows的計(jì)算機(jī)，并檢查操作系統(tǒng)和已安裝的其他組件〔如：InternetInformationServices〔IIS〕和SQLServer〕，以發(fā)現(xiàn)平安方面的配置錯(cuò)誤，并及時(shí)通過(guò)推薦的平安更新進(jìn)行修補(bǔ)。MBSA目前可以運(yùn)行在Windows2000、WindowsXP和WindowsServer2024環(huán)境中。該軟件可以檢查到Windows2000、WindowsXP、WindowsServer2024、InternetInformationServer(IIS)、SQLServer、InternetExplorer和Office等軟件包中的結(jié)構(gòu)性錯(cuò)誤，還可以檢查出Windows2000、WindowsXP、WindowsServer2024、IIS、SQLServer、InternetExplorer、Office、ExchangeServer、WindowsMediaPlayer、MicrosoftDataAccessComponents(MDAC)、MSXML、MicrosoftVirtualMachine、CommerceServer、ContentManagementServer、BizTalkServer、HostIntegrationServer中遺漏的平安更新。MBSA2.0.檢查Windows操作系統(tǒng)平安內(nèi)容：檢查將確定并列出屬于LocalAdministrators組的用戶賬戶。檢查將確定在被掃描的計(jì)算機(jī)上是否啟用了審核。檢查將確定在被掃描的計(jì)算機(jī)上是否啟用了“自動(dòng)登錄〞功能。檢查是否有不必要的效勞。檢查將確定正在接受掃描的計(jì)算機(jī)是否為一個(gè)域控制器。檢查將確定在每一個(gè)硬盤(pán)上使用的是哪一種文件系統(tǒng)，以確保它是NTFS文件系統(tǒng)。檢查將確定在被掃描的計(jì)算機(jī)上是否啟用了內(nèi)置的來(lái)賓賬戶。檢查將找出使用了空白密碼或簡(jiǎn)單密碼的所有本地用戶賬戶。檢查將列出被掃描計(jì)算機(jī)上的每一個(gè)本地用戶當(dāng)前采用的和建議的IE區(qū)域平安設(shè)置。檢查將確定在被掃描的計(jì)算機(jī)上運(yùn)行的是哪一個(gè)操作系統(tǒng)。檢查將確定是否有本地用戶賬戶設(shè)置了永不過(guò)期的密碼。檢查將確定被掃描的計(jì)算機(jī)上是否使用了RestrictAnonymous注冊(cè)表項(xiàng)來(lái)限制匿名連接ServicePack和即時(shí)修復(fù)程序。MBSA2.0.檢查IIS的平安分析：檢查將確定MSADC〔樣本數(shù)據(jù)訪問(wèn)腳本〕和腳本虛擬目錄是否已安裝在被掃描的IIS計(jì)算機(jī)上。檢查將確定IISADMPWD目錄是否已安裝在被掃描的計(jì)算機(jī)上。檢查將確定IIS是否在一個(gè)作為域控制器的系統(tǒng)上運(yùn)行。檢查將確定IIS鎖定工具是否已經(jīng)在被掃描的計(jì)算機(jī)上運(yùn)行。檢查將確定IIS日志記錄是否已啟用，以及W3C擴(kuò)展日志文件格式是否已使用。檢查將確定在被掃描的計(jì)算機(jī)上是否啟用了ASPEnableParentPaths設(shè)置。檢查將確定以下IIS例如文件目錄是否安裝在計(jì)算機(jī)上。MBSA2.0的SQLServer平安分析功能：檢查將確定Sysadmin角色的成員的數(shù)量，并將結(jié)果顯示在平安報(bào)告中。檢查將確定是否有本地SQLServer賬戶采用了簡(jiǎn)單密碼〔如空白密碼〕。檢查將確定被掃描的SQLServer上使用的身份驗(yàn)證模式。檢查將驗(yàn)證SQLServer目錄是否都將訪問(wèn)權(quán)只限制到SQL效勞賬戶和本地Administrators。檢查將確定SQLServer7.0和SQLServer2000sa賬戶密碼是否以明文形式寫(xiě)到%temp%\sqlstp.log和%temp%\setup.iss文件中。檢查將確定SQLServerGuest賬戶是否具有訪問(wèn)數(shù)據(jù)庫(kù)〔MASTER、TEMPDB和MSDB除外〕的權(quán)限。檢查將確定SQLServer是否在一個(gè)擔(dān)任域控制器的系統(tǒng)上運(yùn)行。檢查將確保Everyone組對(duì)"HKLM\Software\Microsoft\MicrosoftSQLServer"和"HKLM\Software\Microsoft\MSSQLServer"兩注冊(cè)表項(xiàng)的訪問(wèn)權(quán)被限制為讀取權(quán)限。如果Everyone組對(duì)這些注冊(cè)表項(xiàng)的訪問(wèn)權(quán)限高于讀取權(quán)限，那么這種情況將在平安掃描報(bào)告中被標(biāo)記為嚴(yán)重平安漏洞。檢查將確定SQLServer效勞賬戶在被掃描的計(jì)算機(jī)上是否為本地或DomainAdministrators組的成員，或者是否有SQLServer效勞賬戶在LocalSystem上下文中運(yùn)行。MBSA2.0新版本使用WindowsUpdateAgent(WUA)2.0連接掃描結(jié)果。如果找到某個(gè)產(chǎn)品有新版本或更新，它會(huì)提供相關(guān)更新信息和下載連接。此外，MBSA還能識(shí)別出操作系統(tǒng)版本和效勞包。掃描報(bào)告還能列出需要升級(jí)的最近安裝的更新?！?〕漏洞掃描軟件X-ScanX-Scan是一款優(yōu)秀的國(guó)產(chǎn)免費(fèi)漏洞掃描軟件，X-Scan采用多線程方式對(duì)指定IP地址段(或單機(jī))進(jìn)行平安漏洞檢測(cè)，支持插件功能，提供了圖形界面和命令行兩種操作方式，掃描內(nèi)容包括：遠(yuǎn)程操作系統(tǒng)類(lèi)型及版本，標(biāo)準(zhǔn)端口狀態(tài)及端口BANNER信息，CGI漏洞，IIS漏洞，RPC漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用戶，NT效勞器NETBIOS信息等。掃描結(jié)果保存在/log/目錄中，index_*.htm為掃描結(jié)果索引文件。安裝、部署一套效勞器操作系統(tǒng)難度比較高，平安配置也是一項(xiàng)具有難度的網(wǎng)絡(luò)技術(shù)，權(quán)限配置太嚴(yán)格，許多應(yīng)用程序不能正常運(yùn)行；權(quán)限配置的太松，又很容易被非法入侵者侵入。WindowsServer2024操作系統(tǒng)是目前企業(yè)使用比較成熟和廣泛的網(wǎng)絡(luò)效勞器器平臺(tái)，其平安性相對(duì)于WindowsServer2000有了極大的提高。Windows系統(tǒng)平臺(tái)的平安無(wú)疑是構(gòu)建效勞器平安的根底，涉及操作系統(tǒng)合應(yīng)用程序的安裝、系統(tǒng)效勞、系統(tǒng)設(shè)置和用戶帳戶等多方面平安配置。病毒防護(hù)病毒與防護(hù)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒的危害：(1)傳染性(2)未經(jīng)授權(quán)而執(zhí)行(3)隱蔽性(4)潛伏性(5)破壞性(6)不可預(yù)見(jiàn)性病毒的預(yù)防措施：(1) 安裝防病毒軟件(2) 定期升級(jí)防病毒軟件(3) 不隨便翻開(kāi)不明來(lái)源的郵件附件(4) 盡量減少其他人使用你的計(jì)算機(jī)(5) 及時(shí)打系統(tǒng)補(bǔ)丁(6) 從外面獲取數(shù)據(jù)先檢察(7) 建立系統(tǒng)恢復(fù)盤(pán)(8) 定期備份文件病毒防護(hù)網(wǎng)絡(luò)版網(wǎng)絡(luò)工作站的防護(hù)位于企業(yè)防毒體系中的最底層，對(duì)企業(yè)計(jì)算機(jī)用戶而言，也是最后一道防、殺病毒的要塞。考慮到網(wǎng)絡(luò)中的工作站數(shù)量少那么幾十臺(tái)，多那么數(shù)百上千臺(tái)甚至更多。如果需要靠網(wǎng)管人員逐一到每臺(tái)計(jì)算機(jī)上安裝單機(jī)防病毒軟件，費(fèi)時(shí)費(fèi)力，同時(shí)難以實(shí)施統(tǒng)一的防病毒策略，日后的維護(hù)和更新工作也十分繁瑣。因此在企業(yè)中常常需要使實(shí)施防病毒軟件的網(wǎng)絡(luò)版，國(guó)內(nèi)外的病毒防護(hù)軟件廠商非常多，目前在企業(yè)中應(yīng)用較廣的主要有四種，即SymantecAntivus、Mcafee、趨勢(shì)、卡巴斯基和瑞星等。防毒墻網(wǎng)絡(luò)版中的防病毒功能是通過(guò)客戶機(jī)提供的，客戶機(jī)向效勞器報(bào)告并從效勞器獲取更新。通過(guò)防毒墻網(wǎng)絡(luò)版控制臺(tái)，管理員可以配置、監(jiān)控和更新客戶機(jī)的防病毒軟件及病毒代碼。

7.5.3工程實(shí)訓(xùn)設(shè)備與軟件設(shè)備類(lèi)型設(shè)備型號(hào)數(shù)量〔每組〕備注防火墻AmarantenF50-NP1臺(tái)交換機(jī)H3C31001臺(tái)效勞器宏基P42臺(tái)計(jì)算機(jī)宏基P43臺(tái)效勞器操作系統(tǒng)WindowsServer20242防火墻軟件ISA20241防病毒網(wǎng)絡(luò)版TrendOfficeScan7.31拓?fù)浣Y(jié)構(gòu)圖請(qǐng)畫(huà)出本實(shí)訓(xùn)工程拓?fù)浣Y(jié)構(gòu)圖〔visio繪制〕。規(guī)劃的網(wǎng)絡(luò)參數(shù)表實(shí)施步驟規(guī)劃1)規(guī)劃防火墻、效勞器等網(wǎng)絡(luò)參數(shù)2〕根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)安裝和連接效勞器和網(wǎng)絡(luò)設(shè)備3〕配置防火墻實(shí)現(xiàn)NAT和SAT4〕安裝平安掃描軟件和根據(jù)結(jié)果配置主機(jī)平安5〕安裝和配置VPN6〕安裝和配置防病毒軟件網(wǎng)絡(luò)版7〕根據(jù)需求驗(yàn)證實(shí)現(xiàn)的功能7.5.4

7.6工程驗(yàn)收.7工程總結(jié)本次實(shí)驗(yàn)主要完成了WEB效勞器FTP效勞器VPN及NAT的配置。VPN與其它遠(yuǎn)程訪問(wèn)不同的是它可以同時(shí)創(chuàng)立的連接比他們多得多。NAT效勞器必須與內(nèi)部網(wǎng)相連，也要與外部網(wǎng)相連，所以它應(yīng)同時(shí)具有私有與共有的IP地址。NAT效勞器可以提供地址轉(zhuǎn)換，從而節(jié)約公用IP地址。降低Internet接入本錢(qián)。同時(shí)可以將內(nèi)部私有網(wǎng)絡(luò)隱藏起來(lái)，起到了保護(hù)內(nèi)部網(wǎng)的作用。

工程8校園網(wǎng)網(wǎng)絡(luò)管理與備份系統(tǒng)8.1工程內(nèi)容某高等職業(yè)學(xué)院已經(jīng)在工程2和工程7的根底上組建了校園園區(qū)網(wǎng)和互聯(lián)網(wǎng)連接，并已進(jìn)行了網(wǎng)絡(luò)平安防護(hù)，對(duì)于校園網(wǎng)眾多的網(wǎng)絡(luò)設(shè)備和通信線路，需要進(jìn)行監(jiān)測(cè)和管理運(yùn)行情況，以便在出現(xiàn)故障時(shí)及時(shí)處理，還需要遠(yuǎn)程管理和操作各種效勞器，同時(shí)為了保證校園網(wǎng)提供各種網(wǎng)絡(luò)和應(yīng)用的效勞器的數(shù)據(jù)平安，方案進(jìn)行重要數(shù)據(jù)的統(tǒng)一存儲(chǔ)和備份，請(qǐng)進(jìn)行工程規(guī)劃設(shè)計(jì)和模擬實(shí)施。8.2工程流程SKIPIF1<0圖8-1工程流程圖8.3工程調(diào)查與需求分析8.3.本工程針對(duì)校園網(wǎng)的網(wǎng)絡(luò)設(shè)備的通信線路進(jìn)行監(jiān)測(cè)和管理，遠(yuǎn)程管理效勞器，建立數(shù)據(jù)的存儲(chǔ)和備份系統(tǒng)。8.3.21)具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，校園網(wǎng)有近200臺(tái)各層次交換機(jī)〔其中核心層2臺(tái)、會(huì)聚層10臺(tái)〕、約30臺(tái)效勞器以及防火墻、網(wǎng)絡(luò)認(rèn)證系統(tǒng)等設(shè)備提供校園網(wǎng)效勞。需要監(jiān)控的設(shè)備和線路具體如下：設(shè)備類(lèi)型設(shè)備名稱/型號(hào)IP地址運(yùn)行業(yè)務(wù)用途交換機(jī)NortelPassport8003核心交換機(jī)交換交換機(jī)ZTET64G0核心交換機(jī)交換交換機(jī)BitWay6424會(huì)聚交換機(jī)交換交換機(jī)NortelBay450會(huì)聚交換機(jī)交換效勞器DELL14209FTPFTP下載效勞器DELL14208WEB網(wǎng)站效勞器DELL44009DNSDNS效勞器CompaqML3701SQLServer數(shù)據(jù)庫(kù)線路類(lèi)型發(fā)起端設(shè)備〔IP〕發(fā)起端口對(duì)端設(shè)備〔IP〕對(duì)端設(shè)備口對(duì)端位置光纖Port1/3Port24行政樓光纖Port1/4Port25圖書(shū)館光纖Port1/6Port25教學(xué)樓光纖0Gei_2/12Gei_2/22宿舍樓雙絞線Port2/2Port24實(shí)訓(xùn)樓雙絞線0Gei_4/244Port18互聯(lián)網(wǎng)2〕具體需求需求1：采用先進(jìn)的網(wǎng)絡(luò)管理技術(shù)對(duì)校園網(wǎng)設(shè)備和線路進(jìn)行監(jiān)控和管理，監(jiān)控實(shí)時(shí)運(yùn)行狀態(tài)，應(yīng)能管理不同廠家和類(lèi)型的設(shè)備，并在出現(xiàn)故障時(shí)進(jìn)行告警。需求2：對(duì)校園網(wǎng)的各效勞器進(jìn)行遠(yuǎn)程管理，便于遠(yuǎn)程操作和控制效勞器。需求3：進(jìn)行效勞器數(shù)據(jù)的統(tǒng)一大容量存儲(chǔ)，盡量采用投資較小的技術(shù)和設(shè)備，能與現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和環(huán)境相結(jié)合，進(jìn)行數(shù)據(jù)的統(tǒng)一管理和備份。需求4：對(duì)效勞器重要數(shù)據(jù)進(jìn)行統(tǒng)一備份，能實(shí)現(xiàn)各種備份方式定時(shí)備份，以便出現(xiàn)故障時(shí)及時(shí)恢復(fù)數(shù)據(jù)。3〕需求分析分析1：運(yùn)用SNMP協(xié)議與網(wǎng)絡(luò)管理軟件的網(wǎng)絡(luò)設(shè)備提供實(shí)時(shí)檢測(cè)與報(bào)警分析2：創(chuàng)立效勞器遠(yuǎn)程桌面連接。方便對(duì)效勞器的管理分析3：安裝配置網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)〔ISCSI〕軟件，模擬數(shù)據(jù)統(tǒng)一存儲(chǔ)分析4：通過(guò)備份來(lái)為網(wǎng)絡(luò)數(shù)據(jù)提供恢復(fù)能力8.4工程實(shí)訓(xùn)要求要求1〔必做〕：組建本工程的網(wǎng)絡(luò)管理系統(tǒng)和備份系統(tǒng)，組建并完成工程實(shí)施的文檔，模擬實(shí)現(xiàn)校園網(wǎng)絡(luò)的管理與備份。要求2〔必做〕：組建本工程的網(wǎng)絡(luò)管理系統(tǒng)，進(jìn)行校園網(wǎng)設(shè)備和線路的監(jiān)控。要求3〔必做〕：安裝配置效勞器的遠(yuǎn)程管理，進(jìn)行效勞器的遠(yuǎn)程控制。要求4〔選做〕：安裝配置網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)〔ISCSI〕軟件，模擬數(shù)據(jù)統(tǒng)一存儲(chǔ)。要求4〔選做〕：安裝配置數(shù)據(jù)備份系統(tǒng)〔備份軟件〕，模擬數(shù)據(jù)統(tǒng)一備份。8.5工程實(shí)施8.51．可靠性對(duì)校園網(wǎng)設(shè)備進(jìn)行監(jiān)控應(yīng)不影響設(shè)備的運(yùn)行可靠性和穩(wěn)定性，導(dǎo)致網(wǎng)絡(luò)故障和效率低下，不能改動(dòng)原有拓?fù)浣Y(jié)構(gòu)。對(duì)效勞器進(jìn)行遠(yuǎn)程管理應(yīng)不影響業(yè)務(wù)的正常運(yùn)行，確保其可靠性和穩(wěn)定性，使系統(tǒng)的運(yùn)營(yíng)風(fēng)險(xiǎn)降低到最小。對(duì)數(shù)據(jù)進(jìn)行備份應(yīng)不影響業(yè)務(wù)的正常運(yùn)行，確保其可靠性和穩(wěn)定性，使系統(tǒng)的運(yùn)營(yíng)風(fēng)險(xiǎn)降低到最小。2．平安性對(duì)校園網(wǎng)設(shè)備進(jìn)行監(jiān)控應(yīng)保障設(shè)備和網(wǎng)絡(luò)的平安，不得因監(jiān)測(cè)對(duì)設(shè)備和效勞器產(chǎn)生平安故障，遠(yuǎn)程管理系統(tǒng)不能出現(xiàn)平安漏洞而導(dǎo)致降低系統(tǒng)的平安性，最終目的是確保遠(yuǎn)程效勞器的平安運(yùn)行和管理。數(shù)據(jù)備份系統(tǒng)構(gòu)成應(yīng)用系統(tǒng)的保障子系統(tǒng)，數(shù)據(jù)備份系統(tǒng)的最終目的是確保應(yīng)用系統(tǒng)的平安運(yùn)行和故障恢復(fù)機(jī)制。3．可擴(kuò)充