第一篇:網絡組建通信協議和OSI模型的理解
網絡組建通信協議和OSI模型的理解
在計算機網絡中,通信協議和OSI模型的概念非常重要。通過此實驗,希望能夠加深用戶對通信協議和OSI模型概念的理解。
1.實驗目的了解網絡通信協議。
掌握OSI模型的特性,能夠清楚明白協議棧及棧間通信的原理。
2.實驗環境
Windows操作系統的計算機,具備Internet環境。
3.實驗重點及難點
重點理解OSI模型體系結構,以及各層功能。
難點協議棧及棧間通信的原理
4.實驗內容
在戰斗中,某軍隊須向位于后方的總部發送一份4頁紙的文件。由于該文件關乎戰斗的勝利,屬于高度機密文件,所以文件中的每一頁應該單獨發送。總部為了理解整個文件的內容而必須收到全部的4頁文件。文件中的每一個單詞都被對方加密,再由接受方進行解密。發送發(軍方)通過常規的郵件服務發送郵件,但是需要接受方(總部)的應答以確保文件的安全。
1.思考計算機網絡中數據幀之間的通信與現實生活中的信件通信有什么共同點和區別。
2.畫出OSI協議的模型結構,并說明每層結構的作用以及各層間的聯系。
3.畫出數據包通過OSI模型各層傳輸的示意圖。
第二篇:網絡osi七層模型各層功能總結
1.物理層 在OSI參考模型中,物理層(Physical Layer)是參考模型的最低層,也是OSI模型的第一層。物理層的主要功能是:利用傳輸介質為數據鏈路層提供物理連接,實現比特流的透明傳輸。物理層的作用是實現相鄰計算機節點之間比特流的透明傳送,盡可能屏蔽掉具體傳輸介質和物理設備的差異。需要注意的是,物理層并不是指連接計算機的具體物理設備或傳輸介質,如雙絞線、同軸電纜、光纖等,而是要使其上面的數據鏈路層感覺不到這些差異,這樣可使數據鏈路層只需要考慮如何完成本層的協議和服務,而不必考慮網絡的具體傳輸介質是什么。“透明傳送比特流”表示經實際電路傳送后的比特流沒有發生變化,對傳送的比特流來說,這個電路好像是看不見的,當然,物理層并不需要知道哪幾個比特代表什么意思。為了實現物理層的功能,該層所涉及的內容主要有以下幾個方面:(1)通信連接端口與傳輸媒體的物理和電氣特性 ? 機械特性:規定了物理連接器的現狀、尺寸、針腳的數量,以及排列狀況等。例如EIA-RS-232-D標準規定使用25根引腳的DB-25插頭座,其兩個固定螺絲之間的距離為47.04±0.17mm等。? 電氣特性:規定了在物理連接信道上傳輸比特流時的信號電平、數據編碼方式、阻抗及其匹配、傳輸速率和連接電纜最大距離的限制等。例如EIA-RS-232-D標準采用負邏輯,即邏輯0(相當于數據“0”)或控制線處于接通狀態時,相對信號的地線有+5~+15V的電壓;當其連接電纜不超過15米時,允許的傳輸速率不超過20Kb/s。? 功能特性:規定了物理接口各個信號線的確切功能和含義,如數據線和控制線等。例如EIA-RS-232-D標準規定的DB-25插頭座的引腳2和引腳3均為數據線。
? 規程特性:利用信號線進行比特流傳輸時的操作過程,例如信號線的工作規則和時序等。(2)比特數據的同步和傳輸方式 物理層指定收發雙方在傳輸時使用的傳輸方式,以及為保持雙方步調一致而采用的同步技術。例如在采用串行傳輸時,其同步技術是采用同步傳輸方式還是異步傳輸方式。(3)網絡的物理拓撲結構 物理拓撲規定了節點之間外部連接的方式。例如星形拓撲、總線型拓撲、環形拓撲和網狀拓撲等。(4)物理層完成的其他功能
? 數據的編碼。
調制技術。?
通信接口標準。? 2.數據鏈路層 數據鏈路層(Data Link Layer)是OSI模型的第二層,負責建立和管理節點間的鏈路。該層的主要功能是:通過各種控制協議,將有差錯的物理信道變為無差錯的、能可靠傳輸數據幀的數據鏈路。(交換機)在計算機網絡中由于各種干擾的存在,物理鏈路是不可靠的。因此,這一層的主要功能是在物理層提供的比特流的基礎上,通過差錯控制、流量控制方法,使有差錯的物理線路變為無差錯的數據鏈路,即提供可靠的通過物理介質傳輸數據的方法。該層通常又被分為介質訪問控制(MAC)和邏輯鏈路控制(LLC)兩個子層。MAC子層的主要任務是解決共享型網絡中多用戶對信道競爭的問題,完成網絡介質的訪問控制;LLC子層的主要任務是建立和維護網絡連接,執行差錯校驗、流量控制和鏈路控制。數據鏈路層的具體工作是接收來自物理層的位流形式的數據,并加工(封裝)成幀,傳送到上一層;同樣,也將來自上層的數據幀,拆裝為位流形式的數據轉發到物理層;并且,還負責處理接收端發回的確認幀的信息,以便提供可靠的數據傳輸。數據鏈路層的主要功能如下:
? 數據幀的處理:處理數據幀的封裝與分解。
? 物理地址尋址:通過數據幀頭部中的物理地址信息,建立源節點到目的節點的數據鏈路,并進行維護與釋放鏈路的管理工作。
? 流量控制:對鏈路中所發送的數據幀的速率進行控制,以達到數據幀流量控制的目的。
? 幀同步:對數據幀的傳輸順序進行控制(即幀的同步和順序控制)。
? 差錯檢測與控制:通常在幀的尾部加入用于差錯控制的信息,并采用檢錯檢測和重發式的差錯控制技術。例如處理接收端發回的確認幀。3.網絡層
網絡層(Network Layer)是OSI模型的第三層,它是OSI參考模型中最復雜的一層,也是通信子網的最高一層。它在下兩層的基礎上向資源子網提供服務。其主要任務是:通過路由選擇算法,為報文或分組通過通信子網選擇最適當的路徑。該層控制數據鏈路層與傳輸層之間的信息轉發,建立、維持和終止網絡的連接。具體地說,數據鏈路層的數據在這一層被轉換為數據包,然后通過路徑選擇、分段組合、順序、進/出路由等控制,將信息從一個網絡設備傳送到另一個網絡設備。
一般地,數據鏈路層是解決同一網絡內節點之間的通信,而網絡層主要解決不同子網間的通信。例如在廣域網之間通信時,必然會遇到路由(即兩節點間可能有多條路徑)選擇問題。在實現網絡層功能時,需要解決的主要問題如下:
? 尋址:數據鏈路層中使用的物理地址(如MAC地址)僅解決網絡內部的尋址問題。在不同子網之間通信時,為了識別和找到網絡中的設備,每一子網中的設備都會被分配一個唯一的地址。由于各子網使用的物理技術可能不同,因此這個地址應當是邏輯地址(如IP地址)。
? 交換:規定不同的信息交換方式。常見的交換技術有:線路交換技術和存儲轉發技術,后者又包括報文交換技術和分組交換技術。
? 路由算法:當源節點和目的節點之間存在多條路徑時,本層可以根據路由算法,通過網絡為數據分組選擇最佳路徑,并將信息從最合適的路徑由發送端傳送到接收端。
? 連接服務:與數據鏈路層流量控制不同的是,前者控制的是網絡相鄰節點間的流量,后者控制的是從源節點到目的節點間的流量。其目的在于防止阻塞,并進行差錯檢測。4.傳輸層
OSI下3層的主要任務是數據通信,上3層的任務是數據處理。而傳輸層(Transport Layer)是OSI模型的第4層。因此該層是通信子網和資源子網的接口和橋梁,起到承上啟下的作用。該層的主要任務是:向用戶提供可靠的端到端的差錯和流量控制,保證報文的正確傳輸。傳輸層的作用是向高層屏蔽下層數據通信的細節,即向用戶透明地傳送報文。該層常見的協議:TCP/IP中的TCP協議、Novell網絡中的SPX協議和微軟的NetBIOS/NetBEUI協議。
傳輸層提供會話層和網絡層之間的傳輸服務,這種服務從會話層獲得數據,并在必要時,對數據進行分割。然后,傳輸層將數據傳遞到網絡層,并確保數據能正確無誤地傳送到網絡層。因此,傳輸層負責提供兩節點之間數據的可靠傳送,當兩節點的聯系確定之后,傳輸層則負責監督工作。綜上,傳輸層的主要功能如下:
? 傳輸連接管理:提供建立、維護和拆除傳輸連接的功能。傳輸層在網絡層的基礎上為高層提供“面向連接”和“面向無接連”的兩種服務。
? 處理傳輸差錯:提供可靠的“面向連接”和不太可靠的“面向無連接”的數據傳輸服務、差錯控制和流量控制。在提供“面向連接”服務時,通過這一層傳輸的數據將由目標設備確認,如果在指定的時間內未收到確認信息,數據將被重發。
? 監控服務質量。5.會話層
會話層(Session Layer)是OSI模型的第5層,是用戶應用程序和網絡之間的接口,主要任務是:向兩個實體的表示層提供建立和使用連接的方法。將不同實體之間的表示層的連接稱為會話。因此會話層的任務就是組織和協調兩個會話進程之間的通信,并對數據交換進行管理。用戶可以按照半雙工、單工和全雙工的方式建立會話。當建立會話時,用戶必須提供他們想要連接的遠程地址。而這些地址與MAC(介質訪問控制子層)地址或網絡層的邏輯地址不同,它們是為用戶專門設計的,更便于用戶記憶。域名(DN)就是一種網絡上使用的遠程地址例如:www.tmdps.cn就是一個域名。會話層的具體功能如下:
? 會話管理:允許用戶在兩個實體設備之間建立、維持和終止會話,并支持它們之間的數據交換。例如提供單方向會話或雙向同時會話,并管理會話中的發送順序,以及會話所占用時間的長短。
? 會話流量控制:提供會話流量控制和交叉會話功能。
尋址:使用遠程地址建立會話連接。?
? 出錯控制:從邏輯上講會話層主要負責數據交換的建立、保持和終止,但實際的工作卻是接收來自傳輸層的數據,并負責糾正錯誤。會話控制和遠程過程調用均屬于這一層的功能。但應注意,此層檢查的錯誤不是通信介質的錯誤,而是磁盤空間、打印機缺紙等類型的高級錯誤。
6.表示層
表示層(Presentation Layer)是OSI模型的第六層,它對來自應用層的命令和數據進行解釋,對各種語法賦予相應的含義,并按照一定的格式傳送給會話層。其主要功能是“處理用戶信息的表示問題,如編碼、數據格式轉換和加密解密”等。表示層的具體功能如下:
? 數據格式處理:協商和建立數據交換的格式,解決各應用程序之間在數據格式表示上的差異。
? 數據的編碼:處理字符集和數字的轉換。例如由于用戶程序中的數據類型(整型或實型、有符號或無符號等)、用戶標識等都可以有不同的表示方式,因此,在設備之間需要具有在不同字符集或格式之間轉換的功能。
? 壓縮和解壓縮:為了減少數據的傳輸量,這一層還負責數據的壓縮與恢復。
數據的加密和解密:可以提高網絡的安全性。? 7.應用層
應用層(Application Layer)是OSI參考模型的最高層,它是計算機用戶,以及各種應用程序和網絡之間的接口,其功能是直接向用戶提供服務,完成用戶希望在網絡上完成的各種工作。它在其他6層工作的基礎上,負責完成網絡中應用程序與網絡操作系統之間的聯系,建立與結束使用者之間的聯系,并完成網絡用戶提出的各種網絡服務及應用所需的監督、管理和服務等各種協議。此外,該層還負責協調各個應用程序間的工作。應用層為用戶提供的服務和協議有:文件服務、目錄服務、文件傳輸服務(FTP)、遠程登錄服務(Telnet)、電子郵件服務(E-mail)、打印服務、安全服務、網絡管理服務、數據庫服務等。上述的各種網絡服務由該層的不同應用協議和程序完成,不同的網絡操作系統之間在功能、界面、實現技術、對硬件的支持、安全可靠性以及具有的各種應用程序接口等各個方面的差異是很大的。應用層的主要功能如下:
? 用戶接口:應用層是用戶與網絡,以及應用程序與網絡間的直接接口,使得用戶能夠與網絡進行交互式聯系。
? 實現各種服務:該層具有的各種應用程序可以完成和實現用戶請求的各種服務。8.7層模型的小結
由于OSI是一個理想的模型,因此一般網絡系統只涉及其中的幾層,很少有系統能夠具有所有的7層,并完全遵循它的規定。在7層模型中,每一層都提供一個特殊的網絡功能。從網絡功能的角度觀察:下面4層(物理層、數據鏈路層、網絡層和傳輸層)主要提供數據傳輸和交換功能,即以節點到節點之間的通信為主;第4層作為上下兩部分的橋梁,是整個網絡體系結構中最關鍵的部分;而上3層(會話層、表示層和應用層)則以提供用戶與應用程序之間的信息和數據處理功能為主。簡言之,下4層主要完成通信子網的功能,上3層主要完成資源子網的功能。9.建立OSI參考模型的目的和作用
建立OSI參考模型的目的除了創建通信設備之間的物理通道之外,還規劃了各層之間的功能,并為標準化組織和生產廠家制定了協議的原則。這些規定使得每一層都具有一定的功能。從理論上講,在任何一層上符合OSI標準的產品都可以被其他符合標準的產品所取代。因此,OSI參考模型的基本作用如下:
? OSI的分層邏輯體系結構使得人們可以深刻地理解各層協議所應解決的問題,并明確各個協議在網絡體系結構中所占據的位置。
? OSI參考模型的每一層在功能上與其他層有著明顯的區別,從而使得網絡系統可以按功能劃分。這樣,網絡或通信產品就不必面面俱到。例如,當某個產品只需完成某一方面的功能時,它可以只考慮并遵循所涉及層的標準。
? OSI參考模型有助于分析和了解每一種比較復雜的協議。
以后還會介紹其他參考模型或協議,例如TCP/IP、IEEE 802和X.25協議等,因此,還會比較它們與OSI模型的關系,從而使讀者進一步理解網絡體系結構、模型和各種協議的工作原理。
第三篇:公司網絡組建方案
通睿廣告傳媒公司 網絡組建方案
方案策劃人:蕭瑟秋風
目錄
一、背景分析
二、網絡需求分析
1)
2)3)4)5)公司需求 技術需求 服務需求 可行性分析 技術分析
三、網絡方案設計
1.邏輯方案設計
1)所選設備及設備型號
2)傳輸介質
3)拓撲結構方案
2.物理方案設計
1)2)3)4)5)6)7)8)9)
安裝服務器操作系統 安裝活動目錄 安裝DNS服務器 安裝DHCP服務器 安裝IIS 創建WEB服務器 創建FTP服務器 打印服務 監控措施
2)站點上傳與發布 3)站點推廣 后續工作:1)注冊域名
四、安全策略
1)防火墻策略
2)網絡監測與檢測策略 3)數據加密策略
五、后期維護
六、組建總結
具體組建措施
一、背景分析
貴公司是一家廣告公司,專營廣告業務活動。根據對貴公司各方面的考察,可定義貴公司為一家中小型企業,又根據廣告公司所固有的特點,可判斷貴公司對網絡建設要求較高,以應對眾多廣告公司的競爭壓力,尤其是在網絡安全方面,必定要極力防止數據及廣告創意的外泄,因而,本組網方案在保證其他配置均處于當前領先地位外,特別關注近期比較危險的網絡,保護貴公司的數據安全。此外,對于貴公司的站點推廣方面,我們又有極為獨到的見解,加強貴公司的市場競爭力。
二、網絡需求分析 1)公司需求
貴公司屬于中小型企業,由七個部門組成(總經理,副經理,創業部,客戶服務部,媒介部,財務部,人力資源部)。為了滿足企業未來的發展需求,現在企業擁有100臺計算機,需要分配給各部門,企業需要構建一個全新的網絡。建立一個技術先進,滿足企業管理和業務的需求的企業網絡系統。企業網的總體目標是實現辦公的自動化,訪問需要權限,可以和外進行通信連接,信息獲取自動化。具體目標是企業各部門間不能進行訪問,企業的一些重要資料可以受內網和外網的訪問,建設財務網絡管理,涉及網絡管理等系統。并通過路由器與Internet連同。2)技術需求
1、建立一個為各部門和企業員工為服務對象的網絡平臺,為企業各部門和員工提供高效的網絡信息服務。網絡具有傳輸數據,語音,圖形和圖像等多媒體信息功能,具備性能優越的資源共享功能。
2、企業網各終端間具有快速交換功能,中心系統交換機采用虛擬網絡技術,對網內用戶具有分類控制功能。
3、對網絡資源的訪問提供完善的權限控制,能提供有效的身份識別,能基于企業網對各部門和員工進行管理。
4、網絡具有防止和捕殺病毒的功能,以保證網絡安全,與Internet連接后具有“防火墻”功能,以防止網絡“黑客”侵入網絡系統。
5、可對接入Internet的各網絡用戶進行訪問權限控制。3)服務需求
企業網絡服務需求,根據企業自身特點都有不同的情況。以企業內部網為例,Intranet, 它以TCP/IP協議作為基礎,以Web為核心應用,可以提供Web、郵件、FTP、Telnet等功能強大的服務。Intranet能夠大大提高企業的內部通信能力和信息交換能力。與Interner連接后,可以實現互聯網應用。4)可行性分析
1、優勢strength:
1)我們采用的是星型局域網。星型拓撲結構是由中央節點和通過點到點鏈接到中央節點的各個站點組成,易于拓展,可靠性高;星型網特點:每個節點都連接到公共中心節點;任意兩點間的通信均要通過中心節點;中心節點是一個中繼器(或是一臺交換機);星狀網絡便于安裝和管理,任何一個終端的故障都不會影響其它終端的正常通信。
2)我們組網總共用了600萬,我們采用的都是高端先進的設備,設備的配置很高,因而我們為該公司組建的網絡速度快,質量高。
3)我們公司會對我們公司負責組建的網絡進行定期的升級和排查故障等,保證公司網絡的通暢。⒉劣勢weakness 1)我們組建的小型局域網,還存在一定的網絡風暴等風險。這是所有公司都無法避免的問題。
2)網絡組建投入的資金比較的多,可能在有些方面會造成不必要的浪費
(二)外部因素
⒈機會opportunity,指廣告專業網站存在的機會,是網站本身以外的有利因素。如國家的政策法律的支持、技術的支持、受眾的需要等。
⒉威脅threat,這是針對自網站以外的不利因素。如傳統廣告業影響力仍將持續、政策法律不完善、商業網站的威脅、網站運營成本增加等。5)技術分析
1、采用千兆以太網技術,具有高帶寬1000Mbps 速率的主干,運行目前的各種應用系統綽綽有余,還可輕松應付將來一段時間內的應用要求,且易于升級和擴展,最大限度的保護用戶投資;
2、網絡設備選型為國際知名產品,性能穩定可靠、技術先進、產品系列全及完善的服務保證;
3、采用支持網絡管理的交換設備,足不出戶即可管理配置整個網絡。
4、提供國際互聯網ADSL專線接入(或ISDN),實現與各公共網的連接;
5、可擴容的遠程撥號接入/撥出,共享資源、發布信息等。應用系統及教學資源豐富;
6、有綜合網絡辦公系統及各個應用管理系統,實現辦公自動化,管理信息化,郵件服務等。
三、網絡方案設計
1.邏輯方案設計
1)所選設備及設備型號
1、寬帶路由器:思科2851路由器
2、無線路由器:NETGEAR WNDR3700
3、服務器:IBM System x3500 M2(7839I15)4、24口千兆三層主交換機:H3C LS-3600-28P-EI 5、24口千兆交換機:磊科 NSW1824C
6、電腦:方正 商祺N320(BSN320-1123)
7、筆記本:MSI微星 CX600
8、光纖收發器:天為電信 光纖收發器(網絡級)TW-LINK10/100M
2)傳輸介質 1.光纜:安普 4芯光纜
2.雙絞線:TCL 超五類屏蔽雙絞線
3)拓撲結構方案
2.物理方案設計
1)安裝服務器操作系統(微軟Windows2000 Server中文標準版)
1.在 CD-ROM 或 DVD-ROM 驅動器中插入 Windows 2000 Server CD-ROM。
2.使用 Windows 2000 CD-ROM 或 Windows 2000 啟動盤啟動計算機。如果從 CD-ROM 啟動,則在顯示“按任意鍵從 CD 啟動”的消息時,按鍵盤上的任意鍵。這將,就會啟動 Windows 2000 Server 安裝程序。
備注:在安裝程序啟動時,如果需要安裝其他大容量存儲設備的驅動程序,請按 F6 鍵。按屏幕提示指定準備安裝的驅動程序的位置。
3.在“歡迎安裝”屏幕上,按 ENTER 鍵。4.如果接受授權協議,請在“Windows 2000 授權協議”頁面上按 F8 鍵。
備注:如果不同意 Windows 2000 授權協議,則按 ESC 鍵。安裝程序隨即退出。
5.在已有分區和未分區空間的列表中,使用箭頭鍵選擇一未分區空間選項,然后按 C 鍵。
6.在“創建分區的大小(MB)”框中,鍵入新建分區的大小,然后按 ENTER 鍵。
7.按 ENTER 鍵,在選定分區上安裝 Windows 2000。8.使用箭頭鍵選擇所需的文件系統,然后按 ENTER 鍵。該分區被格式化。
備注:您稍后可以將文件系統為 FAT32 的分區轉換為 NTFS 分區。
安裝程序將復制 Windows 2000 Server 安裝所需的文件,然后重新啟動計算機。Windows 2000 Server 安裝程序在“圖形用戶界面”(GUI)模式下繼續安裝。9.在“區域設置”頁面上,單擊下一步。
10.在名稱 框中,鍵入您的姓名。在單位 框中,鍵入您的單位,然后單擊下一步。
11.在產品密鑰 框中,鍵入產品密鑰,然后單擊下一步。
12.在“授權模式”頁面上,單擊所需的授權模式,然后單擊下一步。
13.在“計算機名”框中,鍵入希望用的計算機名。
備注:計算機名在網絡上必須是唯一的。使用唯一且具描述性的計算機名很有幫助。
14.在“系統管員密碼”框中,鍵入系統管理員密碼。在“確認密碼”框中鍵入同一密碼,然后單擊下一步。
備注:管理員帳戶應使用增強密碼。
15.在Windows 2000 組件 列表中,選中所需組件的復選框,然后單擊下一步。
16.在“日期和時間設置”頁面上,設置正確的日期、時間和時區,然后單擊下一步。
17.在“網絡設置”頁面上,單擊典型設置(如果尚未選中該設置),然后單擊下一步。18.單擊“不,此計算機不在網絡上,或者在沒有域的網絡上”,然后單擊下一步。
備注:稍后您可以從 Windows 的系統屬性 對話框使用“網絡標識向導”,將該計算機添加到域中。19.安裝程序完成時,單擊完成。Windows 重新啟動。20.以管理員身份登錄到 Windows。
21.使用“Windows 2000 配置服務器向導”配置該服務器。2)安裝活動目錄
1.啟動Windows 2000 Server系統自動打開“Windows 2000配置服務器”窗口。
2.在左邊的列表中單擊Active Directory(活動目錄)超級鏈接,并拖動右邊的滾動條到底部。
3.單擊“開始”超級鏈接,打開“ Active Directory安裝向導”對話框。
4.單擊“下一步”按鈕,打開如圖9-4所示的“域控制器類型”對話框,選擇“新域的域控制器”單選按鈕,使服務器成為新域中的第一個域控制器。如果網上已有域控制器,可選擇“現有域的額外域控制器”單選按鈕。
5.單擊“下一步”按鈕,打開 “創建目錄樹或子域”對話框,如果用戶不想讓新域成為現有域的子域,可選擇“創建一個新的域目錄樹”單選按鈕。如果用戶希望新域成為現有域的子域,可選擇“在現有域目錄樹中創建一個新的子域”單選按鈕。這里,選擇“創建一個新的域目錄樹”單選按鈕。
6.單擊“下一步”按鈕,打開 “創建或加入目錄林”對話框,如果所創建的域為單位的第一個域,或者希望所創建的新域獨立于現有目錄林,可選擇“創建新的域或目錄樹”單選按鈕。如果希望新的域目錄樹中的用戶可訪問現有域目錄樹中的資源,或希望現有域目錄樹中的用戶訪問新域目錄樹中的資源,可選擇“將這個新的域目錄樹放入現有的目錄林中”單選按鈕。這里,選擇“創建新的域目錄樹”單選按鈕。
7.單擊“下一步”按鈕,打開 “新的域名”對話框,在“新域的DNS全名”文本框中輸入新建域的DNS全名。
8.單擊“下一步”按鈕,打開 “NetBIOS域名”對話框,在“域NetBIOS名”文本框中輸入NetBIOS域名,或者接受顯示的名稱。NetBIOS域名是供早期的Windows用戶用來識別新域的。
9.單擊“下一步”按鈕,打開 “數據庫和日志文件位置”對話框,在“數據庫位置”文本框中輸入保存數據庫的位置,或者單擊“瀏覽”按鈕選擇路徑,在“日志位置”文本框中輸入保存日志的位置或單擊“瀏覽”按鈕選擇路徑。注意,基于最佳性和可恢復性的考慮,最好將活動目錄的數據庫和日志保存在不同的硬盤上。
10.單擊“下一步”按鈕,打開 “共享的系統卷”對話框,在Windows 2000中,Sys.vol文件夾存放域的公用文件的服務器副本,它的內容將被復制到域中的所有域控制器上。在“文件夾位置”文本框中輸入Sys.vol文件夾位置,或單擊“瀏覽”按鈕選擇路徑。
11.單擊“下一步”按鈕,如果用戶沒有配置名稱為kbsoft.com的DNS服務器,則系統會提示用戶配置DNS服務器,單擊“確定”按鈕,即可打開“配置DNS”對話框。
12.如果通過向導為新域安裝和配置DNS服務器,選擇“是,在這臺計算機上安裝和配置DNS(推薦)”單選按鈕。如果要在安裝活動目錄之后再安裝和配置DNS,可選擇“否,我將自己安裝并配置”單選按鈕。13.單擊“下一步”按鈕,打開 “Windows NT 4.0 RAS服務器”對話框,如果希望減弱Windows NT 4.0 RAS的訪問權限選擇“是,減弱權限”單選按鈕。如果不更改訪問權限,選擇“否,不要更改權限”單選按鈕。
14.單擊“下一步”按鈕,打開“摘要”對話框,通過該對話框,用戶可檢查并確認選定的選項。
15.單擊“下一步”按鈕,系統開始配置活動目錄,同時打開“正在配置Active Directory”對話框,顯示配置過程。
16.經過幾分鐘之后,配置完成。同時,打開“完成” Active Directory安裝向導”對話框,單擊“完成”按鈕,即完成活動目錄的安裝,重新啟動計算機,活動目錄即會生效。
3)安裝DNS服務器
1.在Server 2000上單擊“開始”→“設置”→“控制面板”選單,打開控制面板。
2.雙擊“添加/刪除程序”,然后單擊“添加/刪除 Windows 組件”,出現“ Windows 組件向導”窗口。單擊選中“網絡服務”,然后單擊“詳細信息”,彈出“網絡服務窗口”。
3.在“網絡服務的子組件”中,選中“域名服務系統(DNS)”,單擊“確定”,然后單擊“下一步”,根據提示進行安裝。
4.安裝完成后重新啟動系統。
4)安裝DHCP服務器
1.依次點擊“開始”-“設置”-“控制面板”-“添加/刪除程序”-“添加/刪除Windows組件”,打開相應的對話框。2.用鼠標點擊選中對話框中“組件”列表框中的“網絡服務”一項,單擊“詳細信息”按鈕,彈出帶有其中具體內容的對話框。
3.在對話框“網絡服務的子組件”列表框中勾選“動態主機配置協議(DHCP)一項后,單擊”確定“按鈕,根據系統提示放人Windows2000安裝光盤,系統將從Windows2000安裝光盤復制所需的程序。
4.復制結束后,按照系統提示要求重新啟動計算機。在”開始_程序_管理工具“的下級菜單中將會出現”DHCP“一項,說明DHCP安裝成功。
5)安裝IIS 單擊“開始”——設置——控制面板——添加刪除程序——添加/刪除windows組件——選中“Internet信息服務(IIS)”——詳細信息,在“Internet信息服務管理器”和“文件傳輸協議(FTP)服務器”前的復選框打勾,單擊“確定”,安裝IIS。
IIS的測試方法:在瀏覽器的地址欄依次輸入http://127.0.0.1和http://localhost,當出現微軟的信息表示安裝正確。
6)創建WEB服務器 1.在IIS服務器上,單擊開始——程序——管理工具,選“Internet服務管理器”打開Internet服務控制臺。2.右鍵單擊服務器項目,單擊新建——Web站點,進入“Web站點創建向導”對話框,單擊“下一步”按鈕 3.在“說明”中輸入有關說明,單擊“下一步”按鈕 4.單擊“輸入Web站點使用的IP地址”,選擇Web站點使用的IP地址(192.168.1.2),單擊“下一步”按鈕。5.在“路徑”處輸入Web站點主目錄所在的物理地址(D:Web),單擊“下一步”按鈕。
6.設置用戶對主目錄的訪問權限,單擊“下一步”按鈕后單擊“完成”按鈕。
7.在主目錄下創建文件index.htm 8.在客戶端計算機上打開瀏覽器,地址欄輸入http://服務器IP/,出現index.htm的內容,表明Web站點創建成功。9.注冊公司域名(www.tmdps.cn),劃出一個磁盤,在該磁盤中建立宿主目錄,將用戶所有資料存放在宿主目錄中,同時備份。
7)創建FTP服務器
1.在Internet服務控制臺右鍵單擊“Server”,單擊新建——FTP站點,進入FTP站點創建向導對話框。2.單擊“下一步”,在“說明”處輸入FTP站點描述。3.單擊“下一步”,在“IP地址”處選此FTP站點的IP地址(192.168.1.2)4.單擊“下一步”,輸入主目錄的路徑(E:FTP)5.單擊“下一步”,設置用戶對此FTP站點的訪問權限。6.單擊“下一步”按鈕后單擊“完成”按鈕
7.右鍵單擊“我的FTP站點”,選擇“瀏覽”看到主目錄里德文件,表明FTP站點創建成功。
8)打印服務
1.首先安裝一個網絡打印機的驅動,就是打印服務器應用程序,安裝過程中會自動搜素網絡上的打印機。在這之前你應該設置打印服務器的IP地址與你電腦在同一個網段的。2.安裝好打印服務器軟件后,需要在主機上添加打印機,打印類型選擇 連接到次計算機的本地打印機,不要自動檢測。3.出現使用下列端口后,下來選擇你的打印服務器的那個Network port.4.安裝打印機的驅動,注意這是打印機本身的驅動,不是打印服務器那個驅動,安裝好打印驅動后,以后就是下一步的操作了。
單擊開始,然后單擊“打印機和傳真機”。在文件 菜單上,單擊服務器屬性。
使用下列任意方法(根據需要)都可配置您想要的選項:
配置打印機的端口設置: 單擊端口 選項卡。
要配置端口,請在“這臺服務器上的端口”框中單擊您要配置的端口,然后單擊配置端口。在傳輸重試 框中鍵入秒數(如果打印機失去響應達到此秒數,您就會得到通知),然后單擊確定。
要添加新端口,請單擊添加端口,然后在“可用端口類型”框中單擊您要添加的端口類型,然后單擊新端口。在“輸入端口名稱”框中鍵入您要指定給新端口的名稱,然后單擊確定。
要刪除端口,請在“這臺服務器上的端口”框中單擊您要刪除的端口,單擊刪除端口,然后單擊是,確認刪除。添加、刪除或重新安裝當前打印機驅動程序:
單擊驅動程序 選項卡。
在“安裝的打印機驅動程序”框中單擊您要修改的驅動程序,然后單擊添加、刪除,或重新安裝(根據需要)。
按照屏幕上顯示的說明添加、刪除或重新安裝該打印機驅動程序。
打開或關閉打印機通知:
單擊高級 選項卡,然后單擊“遠程文檔打印完成時發出通知”復選框,將其選中或清除。
單擊高級 選項卡。單擊您要的記錄后臺打印選項(或多個選項)旁邊的復選框,將其選中或清除。單擊確定。9)監控措施
采用網絡幽狗對公司整個局域網進行監控。
它可以僅通過局域網中任意一臺主機的安裝,達到監控整個局域網的目的。不需要在被監視和被管理電腦上安裝任何軟件,不需要HUB(集線器),也不需要鏡像交換機,可以在任何普通交換機下任何一臺安裝。后續工作:
1)注冊域名
注冊域名遵循”先申請先注冊"的原則。
1、與注冊服務機構簽訂在線(或書面)域名注冊協議。申請者應當在域名注冊協議中保證:遵守有關互聯網絡的法律和規定;遵守《中國互聯網絡域名管理辦法》以及主管部門的其他相關規定;遵守中國互聯網絡信息中心制定的域名注冊實施細則、域名爭議解決辦法等相關規定,以及修訂后的版本;提交的域名注冊信息真實、準確、完整。
2、填寫域名注冊申請表。
2)站點上傳與發布
1、申請網站域名和空間(www.tmdps.cn)
2、上傳文件(利用Dreamweaver 8自帶的上傳功能)
(1)選擇菜單中的【站點】/【管理站點】命令,打開管理站點對話框。
(2)在對話框中單擊【編輯】按鈕,打開【綜合網站的站點定義為】對話框,在對話框中選擇【高級】選項卡
(3)在對話框中選擇【遠程信息】選項,單擊【訪問】下拉按鈕,在彈出的下拉菜單中選擇FTP。
3)站點推廣(1)注冊到搜索引擎(2)傳統媒體廣告(3)專業論壇宣傳(4)直接跟客戶宣傳(5)不斷維護更新網站(6)網絡廣告(7)公司印刷品(8)發布信息推廣
四、安全策略
1)防火墻策略
在實際構建防火墻的工作中一般運用多策略,多部件組合的方法.簡單防火墻采用商用帶有數據包過濾功能的路由器,進行分組過濾.放置在和企業網絡之間的分組過濾路由器.屏蔽主機防火墻是由一臺主機和一個屏蔽路由器構成.主機連接企業內部網絡,路由器在和內部網絡之間,路由器負責數據包的過濾以及對主機某些端口屏蔽.屏蔽子網指在屏蔽主機結構中,主機后端再加入一臺路由器,保護子網絡安全,這樣使子網絡安全性進一步提高雙宿主主機防火墻是在企業內部網絡和間設置一個主機,安裝兩個網絡接口,屏蔽掉協議的直接傳輸,內部網絡不能直接和傳輸存在問題.由于防火墻只是一種靜態的安全技術,需要人工實施與維護,相對入侵時間的隨機性發生,不能完全做到阻止入侵者的攻擊.主要表現在:不能阻止來自內部網絡不法用戶的入侵;外部入侵者通過掃描路由器可以找到防火墻背后的入口,繞過防火墻進行入侵;由于防火墻性能的問題不能實時進行入侵檢測;不能防止病毒的侵入;不能解決自身的安全問題.防火墻安全性能的提高將降低網絡的運行速
度.因此單一的防火墻技術只能在相對的時期保證網絡的安全,這就要求網絡管理部門不斷的維護,調整,升級防火墻的安全策略.同時,建立和完善網絡的監測檢測技術.2)網絡監測與檢測策略
防火墻安全技術是處于被動的保護網絡的安全,而實時監測與檢測技術是主動保護自身的安全技術機制.從安全技術層面為網絡管理部門提供了進一步實施安全管理和維護的手段.既能防范來自外部的非法入侵又能防范來自內部的惡性破壞
以及人為的誤操作.采用相應保護手段保護網絡系統,同時可以分析,跟蹤,切斷連接,保留證據等,控制網絡的用戶運行保護網絡的安全.檢測系統與檢測方法檢測系統分別是基于主機和基于網絡的系統.基于主機的檢測系統主要用于監控網絡上用戶的運行,此種技術已經廣泛的用于網絡操作系統,其檢測方法與運行全部集成在網絡操作系統中.實時檢測網絡中的連接,系統日志檢查等,在網絡服務器操作系統中為管理員提供了相應安全策略和保護方法.基于網絡的系統主要用于實時監測關鍵路徑上的數據流量,代理軟件在局域網網絡中監測數據流.基于路由器檢測系統主要用于保護網絡的基礎設施,確保計算機網絡之間連接安全.主機檢測系統主要作用是通過網絡系統實時監測每一個用戶的使用情況,判斷出非法入侵的事件,系統對不同入侵行為采用相應保護措施,由于運行檢測系統需要大量的系統資源,因此,服務器主機一定要選硬件性能很好的計算機服務器.基于網絡的檢測由于只能在網絡內進行監視,因此,在局域網網段部署檢測系統是很方便的.檢測方法主要基于行為和基于知識的入侵.基于行為入侵檢測方法是根據網絡用戶的行為或者資源使用情況來判斷是否入侵,即異常檢測一般采用概率統計的方法.基于知識的入侵檢測方法是根據已知的攻擊方法模型建立檢測
模式,通過判斷來發現是否發生入侵,即違規檢測.檢測功能一個檢測系統的基本功能必須能夠保證對現有已知的入侵行為進行發現處理,同時要為系統管理
人員提供簡捷的配置方法,完善的操作功能.能夠做到:監視系統及用戶的運行狀態,檢查用戶權限;檢查系統漏洞,提示系統管理人員;分析,統計用戶的行為規律;系統文件與數據的一致性校驗;對檢測到的異常行為進行報警,保護處理;操作系統的審計管理.檢測系統的數據報告將作為安全策略制定的基本依據之一.3)數據加密策略
數據加密是對網絡中傳輸的數據進行加密,到達目的地后再解密還原為原始數據,目的是防止非法用戶截獲后盜用信息。加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機網絡病毒,安裝網絡防病毒系統。
五、后期維護
(1)網站內容的維護和更新
網站的信息內容應該適時的更新,如果現在客戶訪問企業的網站看到的是企業去年的新聞或者說客戶在秋天看到新春快樂的網站祝賀語,那么他們對企業的印象肯定大打折扣。因此注意適時更新內容是相當重要的。在網站欄目設置上,也最好將一些可以定期更新的欄目如企業新聞等放在首頁上,使首頁的更新頻率更高些。(2)網站服務與回饋工作要跟上
企業應設專人或專門的崗位從事網站的服務和回饋處理。客戶向企業網站提交的各種回饋表單、購買的商品、發到企業郵箱中的電子郵件、在企業留言板上的留言等等,企業如果沒有及時處理和跟進,不但喪失了機會,還造成很壞的影響,以致客戶不會再相信你的網站。(3)網上推廣與營銷不可缺少
要讓更多的人知道你的網站,了解你的企業就要在網上進行推廣。網上推廣的手段很多,大多數是免費的。主要的推廣手段包括搜索引擎注冊、注冊加入行業網站、郵件宣傳、論壇留言、新聞組、友情連接、互換廣告條、B2B站點發布信息等。除了網上的推廣外,還有很多網上與網下結合的渠道。比如將網址和企業的商標一起使用,通過產品、信箋、名片、公司資料等途徑可以很快地將企業的網站告知你的客戶,也方便他們從網上了解企業的最新動態。(4)不斷完善網站系統,提供更好的服務
企業初始建網站一般投入較小,功能也不是很強。隨著業務的發展,網站的功能也應該不斷完善以滿足顧客的需要,此時使用集成度高的電子商務應用系統可以更好的實現網上業務的管理和開展,從而將企業的電子商務帶向更高的階段,也將取得更大的收獲。
六、組建總結 此方案單從物理配置上便可滿足一般中小型企業的網絡需求,由于綜合考慮了廣告公司這類企業的特殊性,本方案在網絡安全方面已作出了比較全面的考慮,加之當今市場變化多端,高效暢通的網絡也是企業生存的必須,因而,如若貴公司資金充裕,本方案可有比較大的升級空間,滿足企業對網絡的更高需求,當然,方案總有不足之處,若貴公司發現不妥之處,敬請盡快聯系我們,我們會給予更好的完善,謝謝!
第四篇:實驗室網絡組建方案專題
實 驗 室 網 絡 組 建 方 案
目錄
建網原則................3設計目標................3
需求分析................3
設備選型................3
網絡連接介質的選擇............3
交換機的選擇..........4路由器的選擇..........4
設備清單...........4
網絡架構及方案實施..........4
網絡拓撲結構..........4
綜合布線...........5網絡檢測和故障診斷............6
接入Internet............6
實訓總結................6
本文從建網原則、設計目標、需求分析、設備選型、網絡架構及方案實施等方面來闡述網絡組建的方案流程。
建網原則
有較好的擴展性便于網絡日后的升級;
有清晰合理的層次結構便于管理與維護;
采用先進成熟技術,降低系統風險提高網絡安全性;
保證系統良好的開放性能夠和其它網絡互聯;
設計目標
靈活性:各種部件可以根據用戶需求自由安放,即不受物理位置和設備類型的局限,但總體采用綜合布線方案;
獨立性:各個子系統之間相互聯接的同時又不影響其它子系統的正常使用;
高擴展性:用戶可增加硬件設備,無論各硬件設備技術如何發展,都能很方便的連接到系統中來;
先進性:綜合布線系統適應廣泛的數據通信和應用,從而保護用戶在線纜及網絡系統上的投資;
實用性:布線系統能夠適應未來技術的發展。
需求分析
小型局域網以資源共享信息傳遞為主體,網絡數據采用
10M/100M接入到桌面,這樣即節省資金,又能使各節點都能達到自己要求,而且可以滿足未來擴展需求。并可輕松訪問Internet。設備選型
網絡連接介質的選擇
采用非屏蔽雙絞線為主要傳輸介質,主機與小型交換機相連采用直通線即T568B—T568B為主要線序,小型交換機與小型交換機采用交叉線序即T568A—T568B為主要線序,小型交換與
RG-S2026F交換機接連接采用交叉線序即T568A—T568B為主要線
序,RG-S2026F交換機與路由器TP-link采用直通線即T568B—T568B為主要線序。線纜排序如下圖所示:
交換機的選擇
采用常用小型家用8口交換機,根據所需接入的微機數量進行選擇。
路由器的選擇
采用TP-link百兆路由器連接外網,實現與Internet的全互聯。設備清單
網絡架構及方案實施
網絡拓撲結構
采用以中央交換機(RG-S2026F)為節點星型網絡,向下級聯分布于各處的小型交換機并最終連接到主機,以此便于網絡管理和方案實施。網絡拓撲如下圖所示:
綜合布線
采用T568B與T568A線序進行對交換機、主機及路由器的互聯,相同設備選擇交叉線(T568B—T568A或T568B—T568A)不同設備選擇直通線(T568A—T568A或T568B—T568B),布線方案如下圖所示:
網絡檢測和故障診斷
接下來的工作是具體的連網工作,包括物理連通和計算機操作系統的對等互聯。一般網卡上綠燈亮表示網絡連通。在物理連接完成時采用以下命令測試網絡是否通暢:
Ping對網絡的連通性進行測試。
Netstat檢測計算機與網絡之間詳細的連接情況。
IPconfig 檢查本地主機的詳情信息便于排查錯誤。
ARP查看本地計算機或另一臺計算機的ARP緩存中的內容。Tracert顯示數據包到達目的主機所經過的路徑。
Nslookup查看主機的IP地址和主機名稱,及一些私人配置。Nbtstat查看主機的IP地址和主機名稱以及查看其它主機配置。接入Internet
Internet 接入方式采用TP-link與校園內網相連并實現外網的連通性,并進行交換配置自動下發IP地址省去網絡地址的配置步 實訓總結
在這一周的學習中我發現自身還存在著一些不足平時學習的內容與實踐所用到的內容還存在一定的差距,往往自己在平時學習中掌握良好的知識或技術在實踐操作中卻“屢試不爽”,發現書上的一些知識與技術值提供了指導作用最終的成果還是掌握在勤學好問的人手里,除此之外還學到了在實際工程中和人交往的能力,在實際操作總能準確的把自己的意思傳遞給別人讓被人能配合你完成一項任務也是很重要的技能,在今后的網絡學習過程中這些將起到很大的作用!
第五篇:網絡組建實習報告
網絡組建實習報告
學校:
學院:
專業:
班級:
姓名:
時間:
地點:
社會在加速度地發生變化,對人才的要求也越來越高,要用發展的眼光看問題,得不斷提高思想認識,完善自己。作為一名IT從業者,所受的社會壓力將比其他行業更加沉重,要學會創新求變,以適應社會的需要。本學期,經過院領導老師的精心準備策劃,我們有幸到四川華迪信息技術有限公司進行了為期五十多天的實習。總的來說,此次實習是一次成功的順利的實習。通過我們的努力,我們已最大可能的完成了實習大綱的要求,既充分鞏固了大學前期四年的專業知識,又對專業科目學習有了新的理解,并且將四年的理論知識付諸與實際操作,讓我們對知識的掌握更加透徹。這次專業認識實習增強了我們的職業意識,讓我們對將來所要從事的行業有了一定的認識。
一、實習目的
通過這次實習,我們要了解網絡工作原理、網絡設備的分類和操作;掌握IP路由原理、路由設備工作原理,路由協議分類及比較;了解靜態和動態路由原理及配置;了解NAT基本原理及靜態和動態NAT的配置;理解局域網概念及對傳統局域網設計、性能、冗余性、安全性等幾個方面的弱勢的解決方法;生成樹協議及其分類;學會如何在不增加設備的情況下提高網絡吞吐能力;針對協議的一些弱點如何對網絡進行攻擊;掌握綜合布線知識;網路安全方面的問題;防火墻的配置等網絡方面的一些知識。
二、實習時間
實習時間為:2014年11月至2015年2月。時長為三個月。
三、實習地點
***********************************************
四、實習單位
******************。
五、實習內容
網絡組建方面我們學習了:
1、OSI參考模型功能分層(從下到上共7層):物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層、應用層。
TCP/IP模型功能分層(共4層):網絡接口層、網際層、運輸層、應用層。
2、路由器和交換機的區別:交換機工作在數據鏈路層,路由器工作在網絡層;交換機利用物理地址,路由器利用IP地址來確定數據轉發的地址;
3、三種非屏蔽雙絞線的作用及線序排列:(1)直連線的線序:
端1:橙白橙綠白藍藍白綠棕白棕 端2:橙白橙綠白藍藍白綠棕白棕(2)交叉線的線序:
端1:橙白橙綠白藍藍白綠棕白棕 端2:綠白綠橙白藍藍白橙棕白棕
同種設備相接用交叉線,不同種設備用直連線。但PC與路由器相接時,可把PC看成一個路由器,用交叉線相連。(3)反轉線的作用:
反轉線用于將計算機連接到交換機或路由器的控制端口.4、區別route、router、routing? route(路由):是指路由器從一個接口上收到數據包,根據數據包的目的地址進行定向并轉發到另一個接口的過程。
router(路由器):連接因特網中各局域網、廣域網的設備,它會根據信道的情況自動選擇和設定路由,以最佳路徑、按前后順序發送信號的設備。routing(路由協議):在路由指導IP數據包發送過程中事先約定好的規定和標準。
5、ping:是DOS命令,一般用于檢測網絡的通與不通。
ping原理:利用網絡上機器IP地址的唯一性,給目標IP地址發送一個數據包,再要求對方反回一個同樣大小的數據包來確定兩臺網路機器是否連接相通,時延是多少。
6、NAT:網絡地址轉換。可以有效解決IP不夠的問題。
NAT的工作方式:靜態NAT,將一個私網地址和一個公共IP地址做一對一映射;動態NAT,將一個私網地址和一個公共地址池中的某個IP地址做映射,在映射關系建立后,也是一對一的地址映射,但所使用的公網IP地址不確定;Overloading,一種特殊的動態NAT,將多個私網IP地址映射到一個公網IP地址的不同端口號下,通常也稱之PAT。靜態NAT的配置:(1)在內部本地地址與內部合法地址之間建立靜態地址轉換,在全局設置狀態下輸入:ipnat inside source static 內部本地ip內部全局ip。(2)指定連接網絡的內部端口,在端口設置狀態下輸入:ipnat inside。(3)指定連接外部網路的外部端口:ipnat outside。(4)查看:show ipnat translation。(5)刪除:no ipnat inside source static 內部本地ip內部全局ip。
動態NAT的配置:(1)創建ACL:指定內部本地IP地址范圍: access-list acl號 permit 192.168.10.0(內部ip)0.0.0.255(反掩碼)。(2)創建內部全局IP地址池:ipnat pool池名內全ip開頭—內全ip結尾(范圍)。(3)映射ACL到地址池:ipnat inside source list acl號pool池名(4)指定內/外接口:與靜態NAT相同,內部:ipnat inside 外部:ipnat outside。(5)清除動態表項:clear ipnat translation *。
7、生成樹協議(Spanning Tree Protocol,STP)的主要任務是防止2層得循環。關于STP的術語:(1)根橋(Root Bridge),擁有最好的bridge ID即為根橋,根橋決定網路中哪些端口被堵塞,哪些端口作為轉發模式。(2)根端口(Root Port):與根橋直接相連的端口,或者是到根橋最短的接口。(3)指定端口(Designated Port):耗費低的端口,作為轉發端口。(4)非指定端口(Nondesignated Port):耗費較高為堵塞模式(Blocking Mode),即不轉發幀。啟用STP協議的命令:spanning-tree enable。
根交換機(Root):在一個廣播域內選舉,一個網絡中只能選一臺,優先級越小的(若相同則取MAC地址小的)為根交換機 生成樹操作流程Spanning-Tree Operation one root bridge per broadcast domain one root port per nonnot bridge one designated port per segment Nondesignated ports are anused
8、PPP協議提供了一種標準的方式在點對點的鏈路上傳輸多種網絡層協議的數據報。
PPP協議特點:支持點到點的連接,具有驗證功能,通過PAP或CHAP方式驗證,保證了網絡的安全性。
PPP的兩種驗證方式:(1)密碼驗證協議(Password Authentication Protocol),PAP為兩種握手協議,以明文方式驗證,適用于對網絡安全要求相對較低的環境。(2)挑戰握手驗證協議(Chanllenge Handshake Authentication Protocol CHAP)只在網絡上傳輸用戶名,而不傳輸口令,安全性要比PAP高。
9、配置路由基本操作:
(1)全局配置模式下給路由器命名,hostname + 名字。(2)關閉路由器自動域名解析功能,no ipdomainlookup。(3)保證路由器和telent登陸安全,保密要求高時用SSH。(4)按拓樸結構描述路由器接口
(5)使用相關的show命令(不止一個),用于顯于路由器型號、CPU類型、內存、flash容量。
(6)要求路由器重啟后所有的配置依然存在,show run與show start的區別。(7)關閉所有路由器沒有使用的接口。
(8)修改當前路由器時區為北京時區(北京為東8區)修改時間為當前時間。>(config)# clock timezone BJ 8 ># clock set 15:29:30 7jul 2011-9-10(9)確定設備的Login和debug以日期作為時間戳模式。網絡應用方面我們學習了:(1)系統的安裝(2)虛擬機的使用(3)Linux系統的使用(4)建立局域網
(5)建立FTP進行文件傳輸(6)建立VPN虛擬專用網 網絡攻防方面:
(1)我們了解了什么是主動攻擊,什么是被動攻擊。(2)從攻擊方式上我們學習了:口令入侵(3)所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法非常多,如[2]
(4)利用目標主機的Finger功能:當用Finger命令查詢時,主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上;
(5)利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑;
(6)從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號;
(7)查看主機是否有習慣性的帳號:有經驗的用戶都知道,非常多系統會使用一些習慣性的帳號,造成帳號的泄露。
(8)放置特洛伊木馬程式能直接侵入用戶的計算機并進行破壞,他常被偽裝成工具程式或游戲等誘使用戶打開帶有特洛伊木馬程式的郵件附件或從網上直接下載,一旦用戶打開了這些郵件的附件或執行了這些程式之后,他們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬相同留在自己的計算機中,并在自己的計算機系統中隱藏一個能在windows啟動時悄悄執行的程式。當你連接到因特網上時,這個程式就會通知攻擊者,來報告你的IP地址及預先設定的端口。攻擊者在收到這些信息后,再利用這個潛伏在其中的程式,就能任意地修改你的計算機的參數設定、復制文件、窺視你整個硬盤中的內容等,從而達到控制你的計算機的目的。
(9)在網上用戶能利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、咨詢產品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網頁已被黑客篡改過,網頁上的信息是虛假的!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的服務器,當用戶瀏覽目標網頁的時候,實際上是向黑客服務器發出請求,那么黑客就能達到欺騙的目的了。
(10)一般Web欺騙使用兩種技術手段,即URL地址重寫技術和相關信關信息掩蓋技術。利用URL地址,使這些地址都向攻擊者的Web服務器,即攻擊者能將自已的Web地址加在所有URL地址的前面。這樣,當用戶和站點進行安全鏈接時,就會毫不防備地進入攻擊者的服器,于是用記的所有信息便處于攻擊者的監視之中。但由于瀏覽器材一般均設有地址欄和狀態欄,當瀏覽器和某個站點邊接時,能在地址欄和狀態樣中獲得連接中的Web站點地址及其相關的傳輸信息,用戶由此能發現問題,所以攻擊者往往在URLf址重寫的同時,利用相關信息排蓋技術,即一般用JavaScript程式來重寫地址樣和狀枋樣,以達到其排蓋欺騙的目的。
(11)電子郵件是互連網上運用得十分廣泛的一種通訊方式。攻擊者能使用一些郵件炸彈軟件或CGI程式向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時,更有可能造成郵件系統對于正常的工作反映緩慢,甚至癱瘓。相對于其他的攻擊手段來說,這種攻擊方法具有簡單、見效快等好處。
(12)攻擊者在突破一臺主機后,往往以此主機作為根據地,攻擊其他主機(以隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們能使用網絡監聽方法,嘗試攻破同一網絡內的其他主機;也能通過IP欺騙和主機信任關系,攻擊其他主機。
(13)這類攻擊非常狡猾,但由于某些技術非常難掌控,如TCP/IP欺騙攻擊。攻擊者通過外部計算機偽裝成另一臺合法機器來實現。他能磙壞兩臺機器間通信鏈路上的數據,其偽裝的目的在于哄騙網絡中的其他機器誤將其攻擊者作為合法機器加以接受,誘使其他機器向他發送據或允許他修改數據。TCP/IP欺騙能發生TCP/IP系統的所有層次上,包括數據鏈路層、網絡層、運輸層及應用層均容易受到影響。如果底層受到損害,則應用層的所有協議都將處于危險之中。另外由于用戶本身不直接和底層相互相交流,因而對底層的攻擊更具有欺騙性。
(14)網絡監聽是主機的一種工作模式,在這種模式下,主機能接收到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接收方是誰。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到服務器端,而攻擊者就能在兩端之間進行數據監聽。此時若兩臺主機進行通信的信息沒有加密,只要使用某些網絡監聽工具(如NetXRay for 視窗系統95/98/NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和帳號在內的信息資料。雖然網絡監聽獲得的用戶帳號和口令具有一定的局限性,但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。
(15)利用黑客軟件攻擊是互連網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,他們能非法地取得用戶計算機的終極用戶級權利,能對其進行完全的控制,除了能進行文件操作外,同時也能進行對方桌面抓圖、取得密碼等操作。這些黑客軟件分為服務器端和用戶端,當黑客進行攻擊時,會使用用戶端程式登陸上已安裝好服務器端程式的計算機,這些服務器端程式都比較小,一般會隨附帶于某些軟件上。有可能當用戶下載了一個小游戲并運行時,黑客軟件的服務器端就安裝完成了,而且大部分黑客軟件的重生能力比較強,給用戶進行清除造成一定的麻煩。特別是一種TXT文件欺騙手法,表面看上去是個TXT文本文件,但實際上卻是個附帶黑客程式的可執行程式,另外有些程式也會偽裝成圖片和其他格式的文件。
(16)許多系統都有這樣那樣的安全漏洞(Bugs)。其中一些是操作系統或應用軟件本身具有的。如緩沖區溢出攻擊。由于非常多系統在不檢查程式和緩沖之間變化的情況,就任意接受任意長度的數據輸入,把溢出的數據放在堆棧里,系統還照常執行命令。這樣攻擊者只要發送超出緩沖區所能處理的長度的指令,系統便進入不穩定狀態。若攻擊者特別設置一串準備用作攻擊的字符,他甚至能訪問根目錄,從而擁有對整個網絡的絕對控制權。另一些是利用協議漏洞進行攻擊。如攻擊者利用POP3一定要在根目錄下運行的這一漏洞發動攻擊,破壞的根目錄,從而獲得終極用戶的權限。又如,ICMP協議也經常被用于發動拒絕服務攻擊。他的具體手法就是向目的服務器發送大量的數據包,幾乎占取該服務器所有的網絡寬帶,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或服務器癱瘓。常見的蠕蟲病毒或和其同類的病毒都能對服務器進行拒絕服務攻擊的進攻。他們的繁殖能力極強,一般通過Microsoft的 Outlook軟件向眾多郵箱發出帶有病毒的郵件,而使郵件服務器無法承擔如此龐大的數據處理量而癱瘓。對于個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網絡操作。
六、實習總結
通過這次實習,使我學習了很多新的知識并進一步鞏固了學過的知識。深刻理解了路由器相關方面的知識,掌握了直連線、交叉線、反轉線這三種非屏蔽雙絞線的線序排列和作用,靜態和動態路由、靜態和動態NAT的配置。知道了我們常用的ping命令是什么,他的原理又是什么。了解了ACL技術,并使用ACL保護網絡安全等知識。這次實習我們不光學到了技術方面的知識,也學到了一些為人處事的規則。老師就我們就業需要參加的面試對我們進行了相關的培訓。還抽出時間對我們的面試技巧進行了考核。我最受益匪淺的是老師給我們講的那堂職業規劃的課,老師給我們講了尋找潛在職位和找工作較好的辦法,和面試前的準備工作及面試中的注意事項,這些經驗對于畢業生的我們顯得尤為重要。最難忘的就是那次模擬面試了,這是我的第一次面試,表現一點都不令人滿意,但也讓我了解了自己存在哪些不足之處,好讓我能改善這些不足。這段時間讓我對IT行業有了更深刻的認識,也讓我喜歡上了這個行業,明確了自己的職業道路。
實習人:年月日
點擊咨詢 