《网络系统组建与管理》实训报告

《《网络系统组建与管理》实训报告》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

郑州轻工业学院实训报告实训名称：网络系统组建与管理姓名：李镇宇、吴勇君院（系）：计算机与通信工程学院专业班级：网络运维与安全13-01学号：541307110121、541307110143指导教师：成绩：38 郑州轻工业学院实训任务书一、题目网络系统组建与管理。二、实训的性质和任务网络系统组建与管理实训是瞄准网络工程专业学生的就业方面知识和能力需求而制定，主要的目的是要求学生通过实训可以进行企业网络的设计、规划、设备的选型、各种安全策略的制定、各种服务的配置等。三、实训的基本要求.实训的基本要求：1、网络的规划与设计；2、网络设备选型；3、网络设备的互连4、网络安全策略的制定；5、网络各种服务的配置；6、实训报告的撰写四、最终提交实训报告38 前言计算机网络在初期是计算机与通信相结合的产物,它的出现和发展使计算机应用发生了质的变化。在经历了以大型主机为核心的集中式运算和以个人电脑为基本单元的分布式处理后,计算机的处理模式已发展成现在的网络计算,其应用范围已远远超出了科学计算,成为无所不在的工具。计算机网络的发展既受到计算机科学技术和通信科学技术的支撑,又受到运用计算机网络的那些领域技术的支持。如今,计算机网络从体系结构到实用技术已逐步走向系统化、科学化和工程化。全球性的国际计算机互连网Internet的迅速发展和普及，改变了整个信息产业的面貌，使信息技术产业从以计算机为中心发展到以网络为中心，并为计算机技术在工业、商业、教育及科研等领域中的应用提供了一个全新的网络通信环境，也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算及技术合作等，进而推动了教育事业、科研及生产的发展。Internet是一个全球性的开放的信息互连网络，它是以一系列关键支撑技术为核心发展起来的新兴领域，为人们提供了崭新的网络计算环境。目前，信息化程度已成为衡量一个国家、一个地区、一个单位综合实力的重要标志。党中央和国务院对我国信息化工作非常重视，信息化建设已作为一项重要工作，成立了领导小组，并指出了“统筹规划、联合建设、统一标准、专项结合”的十六字指导方针。38 Internet不但具有丰富的信息资源，而且为了方便信息的访问、传输和共享，已经研究并开发了各种技术，设计与实现了各种信息访问的工具。为用户的网络访问和信息交流提供了最简便的方式。除此之外，越来越多的新技术不断出现在Internet上，如：基于WWW的搜索技术、语音通信技术、视频点播技术、三维动画技术与VRML、Java技术、网络安全技术等。中小型企业网络设计就是以Internet技术在企业内部建立起使用方便、价格低廉的信息交换网络系统，并且能够方便地与Internet交换信息，查询丰富的网上资源。它主要用来为企业员工、Internet用户等提供计算机教学和管理、企业信息、学习指导等服务。企业网不仅具有Internet的所有特点和功能，而且在它的基础上还发展了许多新的应用。随着世界范围内Internet的不断发展与Intranet技术的逐渐成熟，我国的网络建设也取得了令人瞩目的成就。计算机网络,作为信息高速公路的载体之一,已被或正被各界所重视和接受。“无网而不胜”，“计算机就是网络,网络就是计算机”的观点,正普遍被人们所认识和倡导。有胆识有眼光的计算机应用业主,都不约而同地把业务建设的重点投入到计算机网络的建设上来。企业网支持的是一个不断多元化的网络应用系统设备组合，系统设备、管理者及使用者之间的联系必须是亲密无间的，自觉而透明的，从而具备较强的扩展性。38 今天的网络系统包括网络交换机以及叠加其上的语音、数据、视频装置以及可变化的软，硬件应用。它的开放式设计意味着更好的整体化及高品质应用的能力。提供的带宽可适合话音，图像，数据的传输，这种带宽结合设备厂商优秀网管模式，向用户提供面对面的通讯而节省往返奔波的时间和金钱。实训分工李镇宇网络规划与组建，收集资料吴勇君检测网络并改善，写报告38 第一章需求说明1.1概况全球化市场竞争对于中小企业而言，在调整战略方式发展时，一定要充分考虑全球化的市场竞争，这样的以信息化的发展为重要的基础条件，通过网络建设确保中小企业经济效益和工作效率。随着市场竞争的激烈发展云计算建设在中小企业当中已经受到高度的重视。中小企业网络建设主要体现在以下几个方面：当今现代化不断发展的时代，中小企业面对的不单单是某一个区域，在一定程度上是有更高的远见和长远的打算。基于云计算商务在全球范围中不断的发展和应用，为中小企业带来了新型的商业发展的模式。当今网络云计算以及不仅仅进行计算的方式，已经成为了中小企业业务扩展以及经验积累的平台，中小企业通过网络技术可以得到充分的发展。在中小企业中，人员匮乏已经成为了普遍存在的问题，进一步体改职工人员之间更好的协作和沟通，已经摆脱企业高度的重视。在中小企业中实现网络建设可以提高员工之间相互沟通和协作的能力，从而通过网络实现电子交易。中小企业实现网络化建设，可以为企业进一步提高工作效率和加速企业中员工之间的相互沟通的能力，满足移动办公的需要另外互联网可以作为实现企业对外宣传信息发布平台跨越空间和时间的界限，快速实现客户信息反馈和客户跟踪。38 1.2网络系统分析1.2.1企业网功能网络化发展可便于企业挖掘综合优势，发挥组合效应。通过网络化把分散的企业群体、生产要素、孤立的经营行为,按照效率、互利、优化等原则重新组合而取得新的优势,达到一加一大于二的组合效应。企业组成网络的根本目的是希望利用参加网络的各方的资源、品牌、资金、信息等要素进行优势互补，形成规模效应，以获得经济上的最大利益。企业通过网络化而形成的整体效益将会大于联合前的各个成员企业的个别效益的总和。联合后的整体效益是否提高是企业网络化是否成功的重要标志。所以企业网络化的功能之一是提高企业网络化后的整体利益和维持企业的可持续发展。企业网络化的另一功能是使企业网络中的成员企业获得比以前单个企业更大的利益。企业通过利用以网络为纽带形成的资源、品牌、信息等优势，可增强与竞争对手的竞争能力，在企业网络整体效益提高的前提下，成员企业的效益将会获得一定程度的提髙。1.2.2企业网对主机系统的主要要求1)主机技术应采用过继上较新的主流技术，并具有良好的向后扩展能力2)主机系统应具有高的可靠性，能长时间连续工作，并有容错措施3)主持通用的大型数据库，如SQL、Oracle等4)具有广泛的软件支持，软件兼容性好，并支持多种传输协议5)38 能与Internet互联，可提供物联网的应用，如WWW浏览服务、FTP文件传输服务、E-mail电子邮件服务、NEWS新闻组讨论等服务1)支持SNMP网络管理协议，具有良好的可管理性和可维护性1.2.3企业网络系统设计方案应满足如下要求1)网络方案应采用成熟的技术，并尽可能采用先进技术 2)采用国际统一标准，以拥有广泛的支持厂商，最大限度的采用同一厂家的产品3)方案应合理分配宽带，使用户不受网上塞车的影响4)应充分考虑未来可能的应用，如桌面将承受大型应用软件和多媒体传输需求的压力5)该网络方案要具有高扩展性。能为用户未来数目的扩展具有调整、扩充的手段和方法6)该网络应是面向连接的，能够实现虚拟网（VLAN）连接7)考虑对用户现有网络的平滑度，使企业现有的陈旧设备尽量保持较好的利用价值 38 第一章网络规划2.1拓扑结构图说明：公司网络系统由一个路由器（Router—Pt）大致分为两部分：公司内网和外网。公司内网划分为五个部分：行政办公楼，产品研发部，生产车间，驻外分公司和服务器室，每个部分划分一个Vlan它们连接到一个三层交换机（3560—24PS）上。公司外网为合作企业使用。由于仿真软件功能有限，具体一些配置不能实现。38 2.2子网划分2.2.1公司内网的子网划分公司内网的子网划分路由器（Router）端口Fa0:192.168.8.1IP地址192.168.2.1—192.168.2.236192.168.3.1—192.168.3.236192.168.4.1—192.168.4.236192.168.5.1—192.168.5.236192.168.1.1—192.168.1.236接入部门行政办公楼产品研发部生产车间驻外分公司服务器室2.2.2Vlan的划分Vlan的划分Vlan编号12345Vlan名称ServerWork02Work03Work04Work05IP地址192.168.1.0192.168.2.0192.168.3.0192.168.4.0192.168.5.0子网掩码255.255.255.0-----------------------接入部门服务器室行政办公楼产品研发部生产车间驻外分公司38 2.2.3公司外子网划分1.路由器（Router0）：端口Fa1:192.168.9.12.外部用户：地址为：192.168.9.22.3网络总体规划企业有四个部门，分别为行政部，产品研发部，生产部，驻外分公司，因为部门之间都各自存在着一些重要的机密的企业相关数据，网络设计是要保证其安全性。为了节约资金也能更好的建立这些服务在服务器的选型上下采用多功能的服务器。（1）网络管理及维护的设计企业网络管理与维护就是在网络与人的接触下，依靠管理方法、管理软件、设备资源，利用管理与维护的力量，强化企业网络安全，解决企业安全问题，促进企业经济、环境协调和健康发展。企业设备是企业赖以生存、发展的物质技术基础，设备使用的好坏直接影响企业的生存和发展，而设备管理与维护是企业管理最重要管理之一，俗话说：要想善其事，必先利其器。加强网络设备维修管理与维护，使其充分发挥效能，不断改善网络设备技术状态，才能让企业更加安全，为企业获取最佳经济效益。（2）网络管理的任务主要有：a)配置管理：配置管理是网络管理的基本功能，负责监测和控制网络的配置态38 a)性能管理：性能管理保证有效运营网络和提供约定的服务质量，在保证各种业务的服务质量的同时，尽量提高网络资源利用率b)故障管理：故障管理的作用是迅速发现、定位和排除网络故障，动态维护网络的有效性c)安全管理：安全管理的作用是提供信息的保密、认证和完整性保护机制，使网络中的服务数据和系统免受侵扰和破坏第一章网络设备的选型3.1对网络设备的要求高性能；所有网络设备都应有足够的吞吐量；高可靠性和高可用性；应考虑多种容错技术；可管理性；所有设备均可适当的网管软件进行监控、管理和设置；采用国际统一的标准；高性价比；尽最大可能提高设备的性价比。3.2路由器和ASA防火墙企业或校园级路由器连接许多终端系统，其主要目标是以尽量便宜的方法实现尽可能多的端点互连，并且进一步要求支持不同的服务质量。许多现有的企业网络都是由Hub或网桥连接起来的以太网段。尽管这些设备价格便宜、易于安装、无需配置，但是它们不支持服务等级。相反，有路由器参与的网络能够将机器分成多个碰撞域，并因此能够控制一个网络的大小。此外，路由器还支持一定的服务等级，至少允许分成多个优先级38 别。但是路由器的每端口造价要贵些，并且在能够使用之前要进行大量的配置工作。因此，企业路由器的成败就在于是否提供大量端口且每端口的造价很低，是否容易配置，是否支持QoS。另外还要求企业级路由器有效地支持广播和组播。企业网络还要处理历史遗留的各种LAN技术，支持多种协议，包括IP、IPX和Vine。它们还要支持防火墙、包过滤以及大量的管理和安全策略以及VLAN。.CiscoASA防火墙简介:1.软件防火墙:.软件防火墙：·Cisco新版本的IOS软件提供了IOS防火墙特性集,它具有应用层智能状态监测防火墙引擎.·CiscoIOS防火墙特性集提供了一个综合的、内部的安全解决方案，被广泛使用在基于IOS软件的设备上。2.硬件防火墙的优点：·硬件防火墙功能强大，且明确是为了抵御威胁而设计的；·硬件防火墙比软件防火墙的漏洞少。3.Cisco硬件防火墙技术应用于以下三个领域：·PIX500系列安全设备；·ASA5500系列自适应安全设备；·Catalyst6500系统交换机和Cisco7600系统路由器的防火墙服务模块（FWSM，FirewallServicesModule）；4.ASA安全设备:38 CiscoASA系列5500系列自适应安全设备室最新的cisco防火墙技术产品，它提供了整合防火墙，入侵保护系统（IPS，IntrusionPreventionSystem）、高级自适应威胁防御服务，其中包括应用安全和简化网络安全解决方案的VPN服务。3.3网络设备的配置命令如果网络内配置VLAN，因为VLAN隔离广播，而DPCH协议传输用的信息都是广播，默认情况下，DHC协议只能在VLAN内部使用。为了使DHCP这种特殊的广播信息在VLAN之间转发，让其它VLAN的客户也能从DHCP服务器那里获得IP地址，在三层交换机上配置DHCP中继转发第一步：创建VLAN　　Switch>en　　Switch#VlanDatabase　　Switch(Vlan)>Vlan1Nameserver　　Switch(Vlan)>Vlan2Namework02Switch(vlan)>Vlan3Namework03　Switch(Vlan)>Vlan4Namework04　Switch(Vlan)>Vlan5Namework05第二步：设置VLANIP地址　　Switch#ConfigT　　Switch(Config)>IntVlan1　　Switch(Config-vlan)IpAddress192.168.1.0255.255.255.0　　Switch(Config-vlan)NoShut　　Switch(Config-vlan)>IntVlan2　　Switch(Config-vlan)IpAddress192.168.2.0255.255.255.0　　Switch(Config-vlan)NoShut　　Switch(Config-vlan)>IntVlan3　　Switch(Config-vlan)IpAddress192.168.3.0255.255.255.038 Switch(Config-vlan)NoShutSwitch(Config-vlan)>IntVlan4　　Switch(Config-vlan)IpAddress192.168.4.0255.255.255.0　　Switch(Config-vlan)NoShutSwitch(Config-vlan)>IntVlan5　　Switch(Config-vlan)IpAddress192.168.5.0255.255.255.0　　Switch(Config-vlan)NoShut　　Switch(Config-vlan)Exit　第三步：将端口添加到VLAN1，2，3，4，5中　　/*将端口6-9添加到VLAN1*/　　Switch(Config)InterfaceRangeFa0/6-9　　Switch(Config-if-range)SwitchportAccessVlan1　　/*将端口2添加到VLAN2*/　　Switch(Config)InterfaceRangeFa0/2　　Switch(Config-if-range)SwitchportAccessVlan2　　/*将端口3添加到VLAN3*/　　Switch(Config)InterfaceRangeFa0/2Switch(Config-if-range)SwitchportAccessVlan3/*将端口4添加到VLAN4*/　　Switch(Config)InterfaceRangeFa0/4Switch(Config-if-range)SwitchportAccessVlan4/*将端口5添加到VLAN5*/　　Switch(Config)InterfaceRangeFa0/5　　Switch(Config-if-range)SwitchportAccessVlan5　　Switch(Config-if-range)Exit　　/*经过这一步后，各VLAN会起来*/第四步：配置3560作为DHCP服务器　　/*VLAN1可用地址池和相应参数的配置，有几个VLAN要设几个地址池*/　　Switch(Config)IpDhcpPoolTest01　　/*设置可分配的子网*/　　Switch(Config-pool)Network192.168.1.0255.255.255.0　　/*设置DNS服务器*/38 　　Switch(Config-pool)Dns-server192.168.8.4　　/*设置该子网的网关*/　　Switch(Config-pool)Default-router192.168.8.1　　/*配置VLAN2所用的地址池和相应参数*/　　Switch(Config)IpDhcpPoolTest02　　Switch(Config-pool)Network192.168.2.0255.255.255.0　　Switch(Config-pool)Dns-server192.168.8.4　　Switch(Config-pool)Default-router192.168.8.1　　/*配置VLAN3所用的地址池和相应参数*/　　Switch(Config)IpDhcpPoolTest03　　Switch(Config-pool)Network192.168.3.0255.255.255.0　　Switch(Config-pool)Dns-server192.168.8.4Switch(Config-pool)Default-router192.168.8.1/*配置VLAN4所用的地址池和相应参数*/　　Switch(Config)IpDhcpPoolTest04　　Switch(Config-pool)Network192.168.4.0255.255.255.0　　Switch(Config-pool)Dns-server192.168.8.4　　Switch(Config-pool)Default-router192.168.8.1/*配置VLAN5所用的地址池和相应参数*/　　Switch(Config)IpDhcpPoolTest05　　Switch(Config-pool)Network192.168.5.0255.255.255.0　　Switch(Config-pool)Dns-server192.168.8.4　　Switch(Config-pool)Default-router192.168.8.1　　第五步：启用路由　　/*路由启用后，各VLAN间主机可互相访问*/　　Switch(Config)IpRouting第六步：配置访问控制列表　　Switch(Config)access-list101permitip192.168.1.00.0.0.255192.168.2.00.0.0.255　　Switch(Config)access-list101permitip192.168.2.00.0.0.255192.168.1.00.0.0.255　　Switch(Config)access-list101permitudpanyeqtftpany　　Switch(Config)access-list101permitudpanyeqtftany　　Switch(Config)access-list101permitudpanyeqbootpcany38 　　Switch(Config)access-list101permitudpanyeqtftpany　　Switch(Config)access-list102permitip192.168.1.00.0.0.255192.168.3.00.0.0.255　　Switch(Config)access-list102permitip192.168.3.00.0.0.255192.168.1.00.0.0.255　　Switch(Config)access-list102permitudpanyeqtftpany　　Switch(Config)access-list102permitudpanyeqtftany　　Switch(Config)access-list102permitudpanyeqbootpcany　　Switch(Config)access-list102permitudpanyeqtftpanySwitch(Config)access-list103permitip192.168.1.00.0.0.255192.168.4.00.0.0.255　　Switch(Config)access-list103permitip192.168.4.00.0.0.255192.168.1.00.0.0.255　　Switch(Config)access-list103permitudpanyeqtftpany　　Switch(Config)access-list103permitudpanyeqtftany　　Switch(Config)access-list103permitudpanyeqbootpcany　　Switch(Config)access-list103permitudpanyeqtftpanySwitch(Config)access-list104permitip192.168.1.00.0.0.255192.168.5.00.0.0.255　　Switch(Config)access-list104permitip192.168.5.00.0.0.255192.168.1.00.0.0.255　　Switch(Config)access-list104permitudpanyeqtftpany　　Switch(Config)access-list104permitudpanyeqtftany　　Switch(Config)access-list104permitudpanyeqbootpcany　　Switch(Config)access-list104permitudpanyeqtftpany第九步：应用访问控制列表　　/*将访问控制列表应用到VLAN2，VLAN3，VLAN4和VLAN5，VLAN1不需要*/　　Switch(Config)IntVlan2Switch(Config-vlan)ipaccess-group101outSwitch(Config)IntVlan3　　Switch(Config-vlan)ipaccess-group102out38 Switch(Config)IntVlan4　　Switch(Config-vlan)ipaccess-group103out　　Switch(Config-vlan)IntVlan5Switch(Config-vlan)ipaccess-group104out　第十步：结束并保存配置　　Switch(Config-vlan)End　　Switch#CopyRunStart3.4线路选择主干网络要使用千兆链路，连接到办公楼使用百兆兆链路。整个网络系统布线要采用以下两种走线方式：（1）采用走吊顶的轻型槽型电缆桥架的方式这种方式适用于大型建筑物。为水平线缆提供机械保护和支持的装配式槽型电缆桥架，是一种闭合式金属桥架，安装在吊顶内，从弱电竖井引向设有信息点的房间，在由预埋在墙内的不同规格的铁管，将线路引到墙上的暗装铁盒内。综合布线系统的水平布线是放射型的，线路量大，因此线槽容量的计算很重要，按照标准的线槽设计方法，应根据水平线缆的直径来确定线槽的容量。线槽的材料为冷轧合金板，表面可进行相应处理，如镀锌、喷塑、烤漆等，线槽可以根据情况选用不同的规格。为保证线缆的转弯半径，线槽需配以相应规格的分支配件，以提供线路路由的转弯自如。38 为确保线路的安全，应使槽体有良好的接地端，金属线槽、金属软管、金属桥架及分配线机柜均需整体连接，然后接地，如不能确定信息出口准确位置，拉线时可先将线缆盘在吊顶内的出线口，待具体位置确定后，再引到信息出口。（2）采用地面线槽走线方式这种方式适应于大开间的办公间，有密集的地面型信息出口的情况，建议先在地面垫层中预埋金属线槽或线槽地板。主干槽从弱电竖井引出，沿走廊引向设有信息点的各房间，再用支架槽引向房间内的信息点出线口，强电线路可以与弱电线路平等配置，但需分隔于不同的线槽中，这样可以向每一个用户提供一个包括数据、话音、不间断电源、照明电源出口的集成面板，真正作到在一个清洁的环境中，实现办公自动化。由于地面垫层中可能会有消防等其它系统的线路，所以必须由建筑设计单位根据管线设计人员提出要求，综合个系统的实际情况，完成地面线槽路由部分的设计，线槽容量的计算应根据水平线的外经来确定。3.5设备选型3.5.1路由器的选型（1）路由协议：38 路由器就是用来连接不同网络的，这些所连接的不同网络可能采用的是同一种通信协议，也可能采用的是不同的通信协议。这就要在选配路由器是充分考虑。如果路由器不支持一方的协议，就无法实现他在网络之间的路由功能，为此在选配路由器是还要注意所选路由器所能支持的网络协议有哪些，特别是在广域网中的路由器。只是因为广域网中路由协议非常的多，网络相当的复杂。相对而言，由于局域网之间的路由器就较为简单。因此选配路由器时，要根据路由器目前即将来的实际需要来决定所选的路由器支持何种协议。（2）背板能力：通常是指路由器背板容量或者总线带宽能力，通常中档路由器的包转发能力均应在1Mpps以上。这个性能对于保证整个网络之间的连接速度是非常重要的。如果所连接的两个网络速率都较快，而由于路由器的带宽限制，就将直接影响整个网络之间的通信速率。如果连接的是两个较大的网络，当网络流量较大适应格外注意一下背板容量。但要注意，背板能力只能在设计中体现，一般无法测试。（3）丢包率：丢包率是指在一定的数据流量下，路由器不能正确进行数据转发的数据包在总的数据包中所占的比例。丢包率的大小会影响到路由器线路的实际工作速率，严重时甚至会使线路中断。通常正常工作所需的路由器丢包率应小于1%。（4）转发延迟： 路由器的转发延迟指从需转发的数据包最后一比特进入路由器端口，到该数据包第一比特出现在段落链路上的时间间隔，该值越小越好，通常用毫秒计算。时延与数据包长度和链路速率都有关，通常在路由器端口吞吐量范围内对其进行测试。（5）路由表容量：38 路由表容量是指路由器运行中可以容纳的路由数量。一般来说，路由器越高档，路由表容量越大，以为他可能要面对非常庞大的网络。这一参数还与路由器自身所带的缓存大小有关。（6）扩展能力扩展能力是考查路由器性能的一个关键点。随着计算机网络应用的逐渐增长，现有的网络规模可能不能满足实际需求，由此会产生扩大网络规模的要求，因此扩展能力是在设计和建设一个网络的过程中必须要考虑的。网络规模的扩展对路由器的扩展的影响主要体现在路由器的子网连接能力上。当然用户数的支持也是路由器扩展能力的一个重要体现。还有一个就是企业与外部网络的连接能力上。（7）可靠性 可靠性是指路由器的可用性、无故障工作时间和故障修复时间等指标，当然这一指标只能看和听开发商介绍，新买的路由器暂时无法验证。不过还是应该选择信誉较好、技术先进的品牌。 （8）安全性 38 网络安全现在越来越受到用户的高度重视。路由器作为个人、事业单位内部网和外部进行连接的设备，能否提供高要求的安全保障就显得极其重要了。目前许多厂家的路由器可以设置访问权限列表，以控制哪些数据可以进行路由器，从而实现防火墙的功能，防止非法用户的入侵。路由器的另外一个功能就是网络地址转换功能，利用该功能能够屏蔽内部局域网的网络地址，并将其统一转换成电信提供的广域网地址，这样网络上的外部用户就无法了解到公司内部网的网络地址，从而进一步防止了非法用户的入侵。 （9）管理方式路由器最基本的管理方式是利用终端通过专用配置电缆链接到路由器的Console（控制端口）端口上直接进行的。 （10）网管能力 在大型网络中，路由器担任着非常关键和重要的控制任务。随着网络规模的不断增大，其维护和管理负担就越来越重，所以在路由器这一层上支持标准的网管系统尤为重要。一般的路由器厂商都会提供一些与之配套的网络管理系统软件，有些还支持用标准的SNMP管理系统进行集中管理。选择路由器时，务必要关注网络系统的监管和配置能力是否强大，设备是否可以提供统计信息和深层故障检测的诊断功能等。3.5.2防火墙的选型1防火墙应具备的基本功能支持“除非明确允许，否则就禁止”38 的设计策略，即使这种策略不是最初使用的策略；本身支持安全策略，而不是添加上去的；如果组织机构的安全策略发生改变，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和禁止服务；可以使用FTP和Telnet等服务代理，以便先进的认证手段就可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等；如果用户需要NNTP（网络消息传输协议），Xwindow，HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问。防火墙应把信息服务器和其他内部服务器分开。2其他功能防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。如果防火墙使用UNIX操作系统，则应提供一个完全的UNIX操作系统和其他一些保证数据完整的工具，应该安装所有的操作系统的补丁程序。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证。防火墙的设计应该简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。正像前面提到的那样，因特网每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的适应性是很重要的。38 3.5.3服务器的选型通常中小企业选择服务器时，建议选择中低端的服务器，也可以称之为PC服务器，所谓PC服务器很多人都认为，它只不过就是大个的PC，因为它在外观、内部配置、操作上与我们通常见到的高档PC相差不远。其实并非如此，之所以消费者觉得它是大个PC的原因，就是现在的PC服务器大多采用Intel构架的、通用的开放体系结构，因此，从表面看起来与PC非常相似，而实质上，PC服务器采用的软硬件都是专用产品，有更好的优化和管理功能，都是普通PC所不具有的。此外，中小企业要购买到能够满足自己需求、同时具有较高性价比的产品，还必须注意以下几方面：充分把握自身需求，这是选购到合适服务器产品的基础。把握自身需求可以从两个方面入手，一是要弄清楚目前企业购买服务器用来做什么，按照目前企业网络规模和应用深度，对服务器的性能有什么样的要求；另一方面则需要对企业发展有清晰把握，服务器投资比较大，更新周期也比较长，只有对企业未来发展有清晰的把握，才能使购买到的服务器既满足目前的需求，也能够满足未来相当长时间内企业发展的需求，节省后续投资。38 在充分把握自身需求的基础上，还需要对厂商及其产品有比较深入的了解。由于对产品的稳定性、易用性和可管理性要求较高，同时要求更多的技术和服务支持，因此建议中小企业在选购服务器时，选择品牌厂商。一般来说，品牌厂商对客户需求有着更为深入的理解，可以为中小企业提供量身定制的产品和更加全面细致的服务。3.5.4交换机的选型1)交换机功能是最直接指标一般的接入层交换机，简单的QoS保证、安全机制、支持网管策略、生成树协议和VLAN都是必不可少的功能，经过仔细分析，在某些功能进行进一步的细分，而这些细分功能正是导致产品差异的主要原因，也是体现产品附加值的重要途径。2)交换机的应用级QoS保证交换机的QoS策略支持多级别的数据包优先级设置，既可分别针对MAC地址、VLAN、IP地址、端口进行优先级设置，给网吧业主在实际应用中为用户提供更大的灵活性。如此同时，如果交换机具有良好的拥塞控制和流量限制的能力，支持Diffserv区分服务，能够根据源/目的的MAC/IP智能的区分不同的应用流，从而满足实时网吧网络的多媒体应用的需求。注意的是，目前市场上的某些交换机号称具有QoS保证，实际上只支持单级别的优先级设置，为实际应用带来很多不便，所有网吧业主在选购的时候需要注意。3)交换机应有VLAN支持    38 VLAN即虚拟局域网，通过将局域网划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播，网络中工作组可以突破共享网络中的地理位置限制，而根据管理功能来划分子网。不同厂商的交换机对VLAN的支持能力不同，支持VLAN的数量也不同。1)交换机应有网管功能网吧交换机的网管功能可以使用管理软件来管理、配置交换机，比如可通过Web浏览器、Telnet、SNMP、RMON等管理。通常，交换机厂商都提供管理软件或第三方管理软件远程管理交换机。一般的交换机满足SNMPMIBI/MIBII统计管理功能，并且支持配置管理、服务质量的管理、告警管理等策略，而复杂一些的千兆交换机会通过增加内置RMON组（mini-RMON）来支持RMON主动监视功能。2)交换机应支持链路聚合 链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性，比如可以把2个、3个、4个千兆的链路绑定在一起，使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡，同时也能够互为备份，保证链路的冗余性。在一些千兆以太网交换机中，最多可以支持4组链路聚合，每组中最大4个端口。但也有支持8组链路聚合的交换机，像飞鱼星的安全联动交换机VS-5524GF就是8组链路聚合，每组最大8个端口。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路，而一旦出现故障，启用备份链路。网络安全策略38 安全管理贯穿于安全防范体系的始终。实践一再告诉人们仅有安全技术防范，而无严格的安全管理体系相配套，是难以保障网络系统安全的。必须制订一系列安全管理制度，对安全技术和安全设施进行管理。实现安全管理必须遵循可操作、全局性、动态性、管理与技术的有机结合、责权分明、分权制约及安全管理的制度化等原则。通过形成了初步的安全管理制度，使领导和各级管理人员在网络安全的重要性方面，有了统一的认识，对网络安全的责任更加明确了。学校领导是网络安全第一责任人，学校网络管理员是网络安全的直接责任人。建立了以系统管理员为中心的日常安全管理流程，并根据日常的安全管理工作情况去优化网络安全体系，从而保证了整个网络安全体系的动态性和有效性。网络中心采用2台核心路由交换机。两台交换机之间采用链路聚合技术进行连接,同时提供均衡负载和链路热备的功能。网络核心的冗余设计以及核心于二级节点的聚合链路连接保证了企业应用的可靠运行。强大的网络设备支持保证企业的数据，语音和视频的融合应用，保证关键业务的顺畅运行。不同区域用户互相访问，该方案采用远程接入VPN服务（AccessVPN）。在企业总部配置一台VPN网关设备，而在各需要访问企业总部资源的远程用户终端（包括分支机构、办事处或在外的移动用户）安装VPN的客户端软件，以模拟拨号、ISDN等拨号接入方式来远程访问企业内部网或外部网。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。该方案的安全措施采用硬件防火墙，以确保整个网络的快速稳定运行。38 使用该网络设备供应商提供的配套网络管理系统，可以轻松实现整个网络的安全监控、维护。（1）防火墙部署随着千兆网络上数据吞吐量的不断膨胀，越来越多的网络主干转移到了千兆的通信平台上。在Internet与企业网内网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接企业网内网交换机，外网口通过路由器与Internet连接。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如WWW、MAIL、FTP、DNS、NAT等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上我们按照以下原则配置来提高网络安全性：根据企业网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对企业内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。②将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击。过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。③在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。④定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。38 ⑤允许通过配置网卡对防火墙设置，提高防火墙管理安全性。(2)入侵检测系统部署入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。通过入侵检测系统部署对来自外部网和企业网内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。(3)漏洞扫描系统采用漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。(4)安全管理　常言说：“三分技术，七分管理”，安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。我们要建立一套企业网络安全管理模式，制定详细的安全管理制度，如办公管理制度、病毒防范制度等，并采取切实有效的措施保证制度的执行38 第一章各种服务配置服务器配置功能服务器名称域名解析DNS服务器IP选项自动配置DHCP服务器电子邮件收发管理Mail服务器浏览网页Web服务器5.1EMAIL服务器配置配置MAIL服务器，关闭在此服务器上的DHCP、DNS、WEB等服务（Service），在此只针对EMAIL配置：38 SMTPService、POPService（服务状态）：On（开）DomainName（域名）：mail.math.com添加User（用户）和Password（密码），每次添加最后要点击+（添加）到滚动文本区域里。5.2配置DNS服务器配置DNS服务器，关闭在此服务器上的DHCP、MAIL、WEB等服务（Service），操作过程类似于EMAIL配置过程，在此只针对DNS配置：DNSService（服务状态）：On（开）添加ResourceRecordsName（资源记录名38 ）和Address（地址），每次添加最后要点击Add（添加）到文本区域里，添加完后点击Save（保存）。5.3配置DHCP服务器配置DHCP服务器，关闭在此服务器上的DNS、MAIL、WEB等服务（Service），操作过程如下：Service（服务状态）：On（开）DNS服务器地址：192.168.8.4（设置要访问的DNS服务器地址）StartIPAddress（开始IP地址）：192.168.8.0SubnetMask（子网网关）:192.168.8.1MaximumnumberofUsers（子网最大客户端量）：236TFTPServer（）：0.0.0.0（默认值）38 5.4配置WEB服务器配置WEB服务器，关闭在以上配置过的服务（DHCP、DNS、MAIL），只打开WEB服务：5.5配置服务器注意事项1.若想各个服务器功能正常使用，它们的域名，网关和IP地址得配置无误；2.对于EMAIL服务器配置需要注意的是，接收和发送邮件服务器的IP地址和EMAIL服务器的IP地址一样；3.对于DHCP服务器需要注意的是，DefaultGateway和DNSServer分别设为它的网关和DNS服务器的IP。38 5.6DHCP,EMAIL,WEB服务器功能的实现(一)每台用户都可以收发邮件38 (一)每台用户都可以上网(二)每台用户都可以获取动态IP地址38 实训心得（1）通过本次实训，我们把自己所学的理论和实践相结合的好机会。这次所作的是中小型企业网络的组建和管理。我们要了解小企业的大概状况，然后在思科的模拟器上面根据企业的需求做出相应的模拟图。最后我是先规划需要几个网段，再根据每个网段手动配置每个路由器和机器的IP地址。在老师和同学的帮助下我把每个网段之间通信完成。而且能使用DHCP服务自动给电脑分配IP地址、不同Vlan之间电脑相互收发邮件以及上网的功能。但是使用内网地址访问外网地址这个功能还没有实现。我感觉这个小规划和实现的难点就是Nat的配置。因为很多同学只是连接一个外网，但是没有真正的实现内网地址转换到外网地址。虽然我以前没有接触到思科的一些配置方面的知识，我通过这次的学习了解很多关于不同路由之间的通信，内网地址转换到外网地址，安装服务等等。在实训的过程也遇到了许多困难，但是经过了老师的指导解决了问题，所以非常感谢老师对我们的指导和帮助，感谢你们对我们的悉心教诲，使我们顺利地完成了实训任务，在实训任务完成之际，衷心感谢所有老师对我们的关心和培养。感谢我的同班同学的帮助和关心！最后向审阅技术报告的老师致以深深的谢意！网络运维与安全13-01李镇宇2015-1-838 实行心得（2）这次实训对于我们初学者来讲是非常有必要的，尤其是对于我们网络运维的学生来讲更是一次不可缺少的实践课程，它让我们更进一步的体会了网络世界的迅速发展和强大功能。这次主要的实训目的有：理解局域网的拓扑结构，掌握局域网的布线方法，学生能自己动手组建局域网；能够清晰地知道计算机网络中的一些硬件设备的作用；掌握TCP/IP协议的设置，掌握驱动器、文件夹和外围设备等资源的共享；可以组建、调试对等网络和客户端/服务器网络；掌握服务器/客户端模式中的管理用户和组的功能，配置Web服务器、FTP服务器；网络安全构建及接入Internet技术；实现不同网段之间网络互联；掌握路由器、交换机的配置；了解校园局域网、网吧局域网和公司局域网的拓扑结构及控制方法；掌握网络操作系统及网络通信协议的设置和组建网络的知识。这样一看真的是受益不浅呀。在实训过程中，我们了解了组网所需设备的基本功能，并且学习制作双绞线。在构建计算机网络时，要用到一些基本的网络组件，如网卡、网线、网络设备等。只有对这些网络组件的功能、特性有一定的了解，才能合理地选择和使用这些组件，从而构建成本低廉、性能优良的计算机网络。还了解了资源共享的相关知识：知道共享资源是计算机网络组建的最大目的。再者就是找到了网络应用：在网络应用中，FTP服务和HTTP服务的应用非常广泛。还有就是路由器的配置38 选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。在大型局域网或局域网和Internet连接的时候，必须使用路由器。本节要求学生基本掌握路由器工作原理，能配置简单网络拓扑结构的路由。总之这次的实训真的是我受益匪浅，让我实实在在的学会了不少的东西，对我以后的工作肯定会起着不小的作用，就算自己以后不从事这方面的工作，这次的实训也会成为我人生中一笔很好的财富。在此再一次感谢实训老师，老师您辛苦了！网络运维与安全13-01吴勇君2015-1-838