1、 信息工程系综合实训报告姓 名: XXX 学 号: XXXX 专 业: 计算机网络技术 实训地点: XXX 指导教师: XXX 信息工程系网络技术综合实训12011 年 12 月 26 日信息工程系网络技术综合实训2目录目录 1实训报告 2一、实训目的 2(一)网络规划与设计 2(二)网络互联 2(三)网络服务 2(四)网络安全 2二、实训准备 3(一)器材准备 3三、实训要求 3四、实训内容及过程 4(一)项目调查与分析 41信息工程系现状 42信息点位分布 43.校园网功能需求 .54.网络设备的要求 .55.主机系统的要求 .56.带宽需求 .5(二)网络规划与设计 61网络拓扑图 62
2、.网络拓扑说明 .73 IP 地址分配 84.设备 ip .85设备选择 86设备清单 10(三)服务器配置 111FTP 服务器配置 .112WEB 服务器配置 .123DHCP 服务器配置 .154DNS 服务器配置 .17(四)操作系统安全配置 191概述 19信息工程系网络技术综合实训32配置方案 20五、实训结果 26六、实训总结及体会 26实训报告一、实训目的本次实训其目的主要是为了培养学生的实际动手操作与实践能力,增强学生的团队合作意识。通过模拟案例形式密切联系实际,潜移默化地进行综合素质、职业素质教育,增强学生综合运用所学知识解决实际问题的能力。(一)网络规划与设计1. 理解网
3、络物理拓扑结构和逻辑拓扑结构。2. 掌握网络实验室使用主要设备型号性能。3. 掌握网络系统设计考虑要点。(二)网络互联1. 掌握交换机 Tag VLAN 的配置,理解相同 VLAN 主机通讯,不同 VLAN主机隔离的特点。2. 掌握端口聚合的配置方法,理解端口聚合的作用和特点。3. 掌握三层交换机基本配置方法、掌握三层交换机 VLAN 路由的配置方法。4. 掌握生成树协议的配置方法,理解生成树协议的作用和特点。5. 掌握路由器广域网接口 PPP 协议的配置,掌握 CHAP 验证的配置方法。6. 掌握 OSPF 协议的配置方法。7. 掌握路由器上编号的标准 IP 访问列表规则及配置。8. 掌握在
4、路由器上对内网进行 NAT 转换配置9. 掌握在路由器上配置 route map10. 掌握在三层交换机与二层交换机之间配置 vrrp+mstp11. 掌握在核心层配置端口镜像与 IDS 相连(三)网络服务1. 掌握服务器的安装、配置和管理。2. 掌握服务器的类别,即有哪几种服务器以及他们的功能。3. 掌握服务器的测试。信息工程系网络技术综合实训4(四)网络安全1. 掌握操作系统安全配置基础。2. 掌握解决常见的操作系统安全问题的方法。3. 理解操作操作系统安全的基本含义。二、实训准备(一)器材准备 三层交换机一台、二层交换机一台、路由器两台、双绞线若干、串口线、pc机、server2000
5、操作系统。三、实训要求任务是用现有的设备(华三)完成一个真实网络的设计与实现, 并进行网络安全规划(一)网络规划与设计1. 方案撰写格式2. 符合情理的需求分析3. 网络安全规划设计4. 网络互联设计5. 网络其他应用设计(与安全相关技术应用)(二)网络互联部分设计根据实际情况自行设计网络拓扑结构,要求在设计中对二层、三层交换机的设计合理,并对网络中的路由做出合理的部署。实训内容知识点和操作要点:设计过程中要求有以下的知识要点:1. 高级 VLAN 技术应用2. VLAN 间路由技术3. STP 技术应用4. ACL 基础及高级应用5. 路由设计(静态、RIP、OSPF 综合)6. 广域网技术
6、(PPP)(三)网络安全与管理部分设计根据实际应用需要进行网络安全规划,要求设计合理实训内容知识点和操作要点:1 网络操作系统安全规划2 网络防火墙设计(以软件防火墙为应用实例)3 网络安全技术设计(IDS、防扫描等其他网络安全软件的应用)信息工程系网络技术综合实训54 网络故障与维护体系的设计5 网络基本管理应用的设计四、实训内容及过程(一)项目调查与分析1信息工程系现状信息工程系位于在辽宁交专实验楼的三楼、四楼、五楼,:三楼设有网络实训中心及网络办公室及实验办公室;四楼主要有实训室、实验室、研发室、图形图像办公室,五楼有主任室、书记室、信息办公室、通信办公室、软件办公室、动漫办公室、学工办
7、。2信息点位分布信息点位统计表地点 信息点数量(个) 与中心距离(米)实训室 100 50网络教研室 6 45三楼实验室办公室 3 47实训室(401) 80 30实训室(403) 80 29实验室(402) 40 28实验室(404) 40 30研发室 4 50图像专业办公室 6 51综合布线机房 30 54网络实训室 80 55图像实验室 80 50四楼网络实训室 80 50主任室 1 15系办公室 6 13通信办公室 6 16教学主任办公室 6 12总支书记室 1 15实训中心主任办公室 1 10软件专业办公室 6 12五楼动漫与广告专业办公室 8 20信息工程系网络技术综合实训6学生工
8、作办公室 6 183.校园网功能需求整个信息系将达到教育部颁发的信息系网标准水平,具体目标为:(1) 实现信息系内部网络互连通,信息的共享。(2) 实现信息系的办公自动化。(3) 实现用户按功能分类控制的功能,保证网络应用的安全。(4) 支持教学课件的制作和播放。(5) 实现教学和教务的计算机管理。(6) 建成交互式双向多媒体教学系统。(7) 实现信息、视频的点播功能。(8) 管理简洁、网络调试、管理与维护简单、方便,界面友好;(9) 实现双链路连接外网,一条连接互联网,一条连接教育网。(10) 实现双核心网络,做好冗余备份增加核心层网络的安全。(11) 实现网络入口、出口的数据的安全性。(1
9、2) 保障网络接入层的的安全、pc 机的系统安全。(13) 优先性的控制学生、老师的上网时间、访问的网站。(14) 禁止学生机房访问系内的 ftp 服务器。4.网络设备的要求(1) 高性能:所有网络设备都应足够的吞吐量。(2) 高可靠性和高可用性:应考虑多种容错技术。(3) 可管理性:所有网络设备均可用适当的网管软件进行监控、管理和设置。(4) 采用国际统一的标准。(5) 高性价比:尽最大可能提高设备的性价比。5.主机系统的要求(1) 设计过程中对主机系统的要求表现在以下几个方面:(2) 主机系统应采用较新的技术,并具有良好的向后扩展能力;(3) 主机系统应具有高的可靠性,能长时间连续工作,并
10、有容错措施;(4) 支持通用大型数据库,如 SQL、Oracle 等;(5) 具有广泛的软件支持,软件兼容性好,并支持多种传输协议;(6) 能与 Internet 互联,可提供互联网的应用,如 WWW 浏览服务、FTP 文件传输服务、E-mail 电子邮件服务、NEWS 新闻组讨论等服务;(7) 支持 SNMP 网络管理协议,具有良好的可管理性和可维护性;6.带宽需求网络中心是校园网的核心,整个网络的设计思路是采用千兆光纤骨干网,核信息工程系网络技术综合实训7心层带宽 1000M,10/100M 交换到桌面。要求交换容量大,可扩展性好,容错性强。要求学生宿舍楼网络带宽 10M 以上,其他部门层
11、带宽详见子网划分规划。7.安全需求 通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即, (1) 可用性: 授权实体有权访问数据 (2) 机密性: 信息不暴露给未授权实体或进程 (3) 完整性: 保证数据不被未授权修改 (4) 可控性: 控制授权范围内的信息流向及操作方式 (5) 可审查性:对出现的安全问题提供依据与手段 (6) 访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的
12、安全级别,也需要使用防火墙将不同的 LAN 或网段进行隔离,并实现相互的访问控制。 (7) 数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 (8) 安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏 .(二)网络规划与设计1网络拓扑图信息工程系网络技术综合实训8图 4-2-1 拓扑图2.网络拓扑说明(1) 为保障路由器 R1/1 分别连接 INTNETER 与教育网两条模拟
13、 ISP 的路由器,为局域网内提供流量的负载。(2) 实现双路由的网络还需要配置策略路由,使得不同需求用户走不同的路由。(3) 由器 R1 与 R2、R3 之间的信息流量的安全性在模拟广域网上配置 ppp 认证。(4) 路由器 R1 上配置 OSPF 路由与默认路由方便网内的 IP 寻找路由。(5) 路由器上配置 NAT 转换将网内的机房 192.168.1.0-192.168.9.0 网段与服务器的 192.168.10.0 网段转换为公有 IP。(6) 防火墙 WAN 口连接外网、LAN1、LAN2 口分别连接两台核心层交换机。DMZ口连接服务器。(7) 两台核心层交换机 23 号以太网端
14、口与 IDS 相连,在交换机上配置端口镜像,将所有的端口镜像到每台交换机的 23 号口,完成入网数据的检测。(8) 核心交换机 2 上的 22 号以太网端口连接管理主机完成对全网的管理。(9) 核心交换机 SW1、SW2 上配置 VRRP 与 MSTP 通过以太口 4、5 端口聚合实现链路的冗余备份,并以 SW1 为主交换机,SW2 为备份交换机。(10)汇聚层交换机上配置与接入层相应的 VLAN 并给与 IP 地址,实现与接入层的通信。信息工程系网络技术综合实训9(11)汇聚层交换机上配置 MSTP 与配置 TUNCK 端口 1、2、3 实现与核心层的链路的冗余。(12)接入层交换机是网络的
15、入口,复杂的安全策略必不可少。比如 MAC 绑定、控制 Blaster 蠕虫的传播、控制冲击波病毒的扫描和攻击、控制振荡波的扫描和攻击。(13)三楼上的接入层交换机上为特殊的视频用户配置较大的网速,满足用户的需求。(14) 路由器、交换机各个设备都需要配置管理 IP 与远程登录密码实现管理主机对全网可管理性。3IP 地址分配房 间 信 息 点 IP地 址 网 关 地 址 所 属 VLAN NAT转 换 地 址实 训 室 ( 301) 100 192.168.1.1-100/24 192.168.1.254 VALN15 202.199.184.155实 训 室 ( 401) 80 192.16
16、8.2.1-80/24 192.168.2.254 VALN16 202.199.184.156实 训 室 ( 403) 40 192.168.3.1-40/24 192.168.3.254 VALN17 202.199.184.157实 验 室 ( 402) 80 192.168.4.1-80/24 192.168.4.254 VALN18 202.199.184.158实 验 室 ( 404) 40 192.168.5.1-40/24 192.168.5.254 VALN19 202.199.184.159实 验 室 ( 406) 80 192.168.6.1-80/24 192.168.
17、6.254 VALN20 202.199.184.160实 训 室 ( 408) 80 192.168.7.1-80/24 192.168.7.254 VALN21 202.199.184.161实 验 室 ( 409) 30 192.168.8.1-30/24 192.168.8.254 VALN22 202.199.184.162实 训 室 ( 411) 80 192.168.9.1-80/24 192.168.9.254 VALN23 202.199.184.163网 络 教 研 室 6 202.199.184.2-7/28 202.199.184.1 VALN2实 验 室 办 公 室
18、3 202.199.184.130-132/29202.199.184.129 VALN3研 发 室 4 202.199.184.138-141/29202.199.184.137 VALN4图 像 专 业 办 公 室 6 202.199.184.18-23/28 202.199.184.17 VALN5主 任 室 1 202.199.184.143/30 202.199.184.144 VALN6系 办 公 室 6 202.199.184.34-39/28 202.199.184.33 VALN7通 信 办 公 室 6 202.199.184.50-55/28 202.199.184.49
19、VALN8教 学 办 主 任 办 公 室 6 202.199.184.66-71/28 202.199.184.65 VALN9总 支 书 记 室 1 202.199.184.147/30 202.199.184.148 VALN10实 训 中 心 主 任 办 公 室 1 202.199.184.151/30 202.199.184.152 VALN11软 件 专 业 办 公 室 6 202.199.184.82-87/28 202.199.184.81 VALN12动 漫 与 广 告 专 业 办 公 室 8 202.199.184.114-121/28202.199.184.113 VALN
20、13学 生 工 作 办 公 室 6 202.199.184.98-103/28 202.199.184.97 VALN14WEB服 务 器 1 192.168.10.1/30 192.168.10.254FTP服 务 器 1 192.168.10.2/30 192.168.10.254DNS服 务 器 1 192.168.10.3/30 192.168.10.254DHCP服 务 器 1 192.168.10.4/30 192.168.10.254服 务 器五 楼 办 公 室机 房IP地 址 划 分三 楼 办 公 室四 楼 办 公 室4.设备 ip本 端 设 备 端 口 IP地 址 对 端 设
21、 备 对 端 端 口 对 端 IP地 址S5/0 202.96.64.67 路 由 器 2 S5/0 202.96.64.68S5/1 202.96.65.66 路 由 器 3 S5/1 202.96.65.65G1 202.199.185.1/30 防 火 墙 WAN1 202.199.185.2/30WAN1 202.199.185.2/30 路 由 器 1 G1 202.199.185.1/30DMZ1 192.168.10.1 服 务 器LAN1 202.199.185.5/30 SW1 E/24 202.199.185.6/30LAN2 202.199.185.9/30 SW2 E/
22、24 202.199.185.10/30E/24 202.199.185.6/30 防 火 墙 LAN1 202.199.185.5/30E/24 202.199.185.10/30防 火 墙 LAN2 202.199.185.9/30SW2设 备 互 连 地 址路 由 器防 火 墙SW1信息工程系网络技术综合实训105设备选择(1)设备简介核心层根据前面的设备选型原则和结合校园的实际情况分析核心交换机 H3C S7506E核心层是网络的骨干,主要负责对来自汇聚层的数据进行尽可的快速交换。网络中大量数据流量需要通过核心层设备进行交换,核心层一旦发生故障,整个网络就面临瘫痪。因此,在选择核心层设
23、备时,不仅要求有强大的数据交换能力,而且要求具有很高的可靠性,选择高端网络设备作为核心层设备,高端设备不仅具有数据高处理能力、高转发速度、还具有高可靠性设计,高端设备的主要组件通常都采用冗余设计(例如互为主备的双处理板、互为主备的双交换网板、甚至多个电源、确保设备不易宕机) 。为了确保核心层网络的可靠性,对核心层设备和链路实现双冗余。H3C S7506E 适合中型企业网络核心层、大型企业网络汇聚层,能配线间设备,密度千兆到桌面,3C S7506E 支持大容量双向 ACL 和 VLAN ACL、ARP 入侵检测和ARP 防欺骗、检测端口外部是否有环回问题、判断电缆故障位置,帮助快速排除故障、防范
24、网络中的 ARP 攻击、防止 IP 地址欺骗攻击、确保对网络访问权限进行严格的控制、软件热补丁功能、优雅重启(Graceful Restart)等高可靠性和高安全性功能。虚拟化安全接入:基于用户的接入策略部署:动态VLAN、ACL、PBR、QoS支持虚拟化数据中心服务:虚拟防火墙支持双主控和双电源设计,保证了校园网的高性能和高可靠性。同时具有很高的性价比,是非常理想的中型校园网核心设备。汇聚层汇聚层交换机:H3C S5500-28C-SI汇聚层处于三层结构的中间,汇聚层设备是各个接入层设备的集中点,负责汇聚来自接入层的数据,并对数据和控制信息进行基于策略的控制。考虑到成本因素,汇聚层往往采用中
25、端网络设备,并采用冗余链路提高网络可靠性。H3C S5500-28C-SI:适用于 5001000 人中型企业网络汇聚层,24 个10/100/1000Base-T 以太网端口,4 个复用的 SFP 千兆端口(Combo) ,两个扩展槽位;H3C S5500-EI 系列交换机是 H3C 公司最新开发的增强型 IPv6 强三层万兆以信息工程系网络技术综合实训11太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多 6 个万兆扩展接口,支持 IPv4/IPv6 硬件双栈及线速转发,使客户能够从容应对即将带来的 IPv6 时代;除此以外,其出色的安全性,可靠性和多业务支
26、持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城域网边缘设备的第一选择接入层接入层交换机:H3C S3100-26C-SI接入层设备处于网络的最底层,负责接入终端用户,接入层设备和连接数量相对较多,用户设备也较多,不考虑一一实现设备和链路冗余。H3C S3100-26C-SI 定位于高校园区网接入、教/ 职教园区网接入、桌面/工作组交换机 H3C S3100 系列千兆以太网交换机是 H3C 公司秉承 IToIP 理念设计的二层线速智能型可网管以太网交换机产品,具有千兆上行、可堆叠、无风扇静音设计、完备的安全和 QoS 控制策略等特点,满足企业用户多业务融合、高安全、可扩展、易管
27、理的建网需求,适合行业、企业网、宽带小区的接入和中小企业、分支机构接入交换机。网络出口路由器网络出口路由器 MSR50-06产品主要亮点:简化管理 一台设备全集成。有效解决多厂商多产品的混插情况,便于维护;保障应用 通过应用优化、防病毒攻击等诸多业务提升用户满意度;满足个性化需求 面向中小企业信息化推出有行业特色的定制化路由器;MSR 提供的“路由+交换” 解决方案不是简单的两台设备叠加,而是在操作系统层面真正实现了路由交换的完美融合。基于深度应用识别的 QoS 机制。网络出口要求高转发性能和较强的安全控制策略。 MSR50-06 路由器是教育行业唯一一款支持千兆线速转发的路由器,转发率高达
28、600Mpps,带机量高达5001000 人。同时支持丰富的安全特性,支持防攻击和应用过滤等功能。充分保证校园网的安全。本方案适用于 500800 台电脑联网,三层网络结构,千兆骨干,百兆接入;网络核心层采用 H3C 公司 H3C S7502E 交换机,同时配置相应数量的千兆端口分别连接应用服务器、接入交换机及其他设备;网络汇聚层采用 H3C S5500-28C-SI,独有智能堆叠系统可实现高密度千兆端口接入,拥有 96 Gbps 的全双工堆叠带宽,消除网络瓶颈,提供优于传统中继聚合配置的更好的可用性和弹性;接入层选择H3C S3100-26C-SI 交换机,智能交换机,百兆到桌面。6设备清单
29、信息工程系网络技术综合实训12业 务 需 求 数 量 方 案 说 明2 核 心 : H3C S7506E() 核 心 支 持 双 引 擎 双 电 源 , 性 价 比 最 高3 汇 聚 : H3C S5500-28C-SI汇 聚 支 持 全 千 兆 高 速 转 发 , 消 除 网 络 瓶 颈 , 同 时 支 持 千 兆 扩 展 。33 接 入 : H3C S3100-26C-SI 接 入 层 根 据 不 同 业 务 需 求 提 供 百 兆 和 千 兆 接 入 两 种 选 择 。路 由 器 1 H3C MSR50-06路 由 器 H3C新 一 代 安 全 路 由 器 , 支 持 千 兆 线 速 转
30、 发防 火 墙 1 H3C SecPath F1000-C 支 持 应 用 层 报 文 过 滤 和 防 攻 击IDS 1 H3C SecPath F1000-C 支 持 DVPN交 换 机安 全数 据(三)服务器配置1FTP 服务器配置(1)内容安装 Serv-U 软件及汉化。实现服务器启动后 Serv-U 自启动。 创建不同权限用户(管 理员用户 ADMIN、上载用户 UP、下载用户 DOWN)用 DNS 服务对 FTP 站点进行域名解析(10.2.200.xx) 。使用前端工具 CUTEFTP 访问 FTP 服务器和使用 IE 浏览器访问 FTP 服务器。写出实训过程中所涉及的知识点及难点
31、,碰到的问题和解决办法。(2)操作步骤在 wlserver 中选信息 3053 实训专栏FTP 高校架设找Serv-U 软件双击安装,完成后退出 Serv-U,双击汉化包按照刚才安装 Serv-U 的路径进行汉化。启动 Serv-U 服务器后在“Serv-U 管理员本地服务器 ”对话框中选择“自动开始(系统服务) ”使FTP 服务器上需有用户账户、密码管理,用户必须在 FTP 服务器进行注册,建立帐号,拥有合法的用户名和口令。在学生计算机上创建账号,口令自定,打开“计算机管理窗口”中“用户”选项的快捷菜单,选择“新用户”选项,按步骤创建用户并添加到组内,也为教师创建账号,设置用户对文件的使用权
32、限(完全控制、更改、读取) ,学生的权限为读取,教师的权限为完全控制。打开 IE,在地址栏输入:ftp:/202.1.4.2 在对话框中输入正确的用户名和密码,登录后,显示结果如图 4-3-1信息工程系网络技术综合实训13图4-3-1 FTP 结果“文件和打印共享”的目的是为网络上的其它用户提供文件和打印机共享。具体设置步骤如下:在“控制面板”中双击“打印机和其它硬件”图标,在“选择一个控制面板图标”中,单击打“印机和传真”如图所示,右键共享,或在左侧的打印机任务中设置打印机,为全系各办公室提供打印服务,禁止外网访问,为节省 IP地址,打印机直接与教学办公室的计算机连接,不单独给打印机分配 I
33、P 地址。如图 4-3-2图 4-3-2 打印机管理员可以在网管工作站进行远程访问,配置服务器、交换机、路由器等网络设备,只有管理员知道设备的远程访问密码,以免黑客等对设备进行有害攻击,保护网络设备及服务器的安全,更重要的是保护信息。2WEB 服务器配置信息工程系网络技术综合实训14(1)内容安装、配置和管理“IIS5.0 服务”服务组件。建立 WEB 站点(用记事本制作简单网页) 。 建立虚拟目录站点(用记事本制作简单网页) 。用 DNS 服务对 WEB 站点进行域名解析(10.2.200.xx) 。使用 IE 浏览器访问 WEB 服务器.(在 IE 浏览器中输入 访问到自己制作的网页)写
34、出实训过程中所涉及的知识点及难点,碰到的问题和解决办法。(2)操作步骤在 IIS 信息管理器中进行如图 4-3-3 配置图 4-3-3 IIS 配置然后,右键新建网站,进行如图 4-3-4 配置信息工程系网络技术综合实训15图 4-3-4 网站创建向导下一步,找到存储路径,如图 4-3-5图 4-3-5 输入路径下一步,然后进行权限设置,如图 4-3-6信息工程系网络技术综合实训16图 4-3-6 权限设置下一步,完成由于在上一节已经对域名解析系统(DNS)进行了配置,所以可以在浏览器上输入域名 xinxixi,浏览最终效果3DHCP 服务器配置(1)内容安装 DHCP 服务器组件。为 DHC
35、P 服务器授权。 创建 DHCP 作用域(IP 地址范围 10.2.200.1-10.2.200.254、添加排除、租约期限) 。启动 DHCP 服务。写出实训过程中所涉及的知识点及难点,碰到的问题和解决办法。(2)操作步骤首先运行 DHCP 服务器,然后新建作用域,设置起始 IP 地址和结束 IP 地址,如图 4-3-7信息工程系网络技术综合实训17图 4-3-7 新建作用域向导在排除的地址里选一个 IP 作为默认网关,如图 4-3-8图 4-3-8 设置默认网关新建保留并绑定 MAC 地址,如图 4-3-9:信息工程系网络技术综合实训18图 4-3-9 新建保留完成按照此步骤新建其他所需作
36、用域4DNS 服务器配置(1)内容安装“域名系统服务”服务组件。为某个域代理授权。 建立正向查找区域 和逆向查找区域。添加主机记录、新建别名记录。写出实训过程中所涉及的知识点及难点,碰到的问题和解决办法。(2)操作步骤DNS 主要用于域名解析,实现域名与 IP 地址之间的转换,主要步骤如图4-3-10信息工程系网络技术综合实训19图 4-3-10 DNS 配置步骤 1单击“正向查找区域”右键新建作用区域,设置区域名称,如图 4-3-11图 4-3-11 设置区域名称下一步然后按照步骤依次操作,完成,如图 4-3-12信息工程系网络技术综合实训20图 4-3-12 完成结果然后右键新建主机,进行
37、相应设置,如图 4-3-13图 4-3-13 新建主机添加主机,结果如图 4-3-14图4-3-14 完成添加主机(四)操作系统安全配置1概述(1)操作系统的安全是整个计算机系统安全的基础。信息工程系网络技术综合实训21操作系统安全防护研究,通常包括:提供什么样的安全功能和安全服务采取什么样的配置措施 如何保证服务得到安全配置 (2)操作系统安全配置主要是指:操作系统访问控制权限的恰当设置系统的及时更新对于攻击的防范 2配置方案(1)用户安全配置 主要有 10 类,分别描述如下:新建用户账号便于记忆与使用,而密码则要求有一定的长度与复杂度。如图 4-4-1 图 4-4-1 新用户停用 Gues
38、t 用户 把 Guest 账号禁用,并且修改 Guest 账号的属性,设置拒绝远程访问 。 如图 4-4-2图 4-4-2 停用 guest信息工程系网络技术综合实训22系统 Administrator 账号改名防止管理员账号密码被穷举,伪装成普通用户。 如图 4-4-3图 4-4-3 帐户改名创建一个陷阱用户将管理员账号权限设置最低,延缓攻击企图。 如图 4-4-4图 4-4-4 创建新用户更改默认权限将共享文件的权限从“Everyone”改成“授权用户 。 如图 4-4-5图 4-4-5 更改权限限制用户数量减少入侵突破口,账户数不大于 10 。 开启用户策略信息工程系网络技术综合实训23
39、可以有效的防止字典式攻击,当某一用户连续 5 次录都失败后将自动锁定该账户,30 分钟后自动复位被锁定的账户。 如图 4-4-6图 4-4-6 开启用户策略(2)密码安全配置 安全密码 创建账号时不用公司名、计算机名、或者一些别的容易猜到的字符做用户名,密码设置要复杂。安全期内无法破解出来的密码就是安全密码(密码策略是 42 天必须改密码) 。开启密码策略 对不同的账户进行授权,使其拥有和身份相应的权限。 设置屏幕保护密码 防止内部人员破坏服务器的一个屏障。注意不要使用 OpenGL 和一些复杂的屏幕保护程序浪费系统资源,黑屏就可以了 。 如图 4-4-7图 4-4-7 设置密码加密文件或文件
40、夹用加密工具来保护文件和文件夹,以防别人偷看 。如图 4-4-8 信息工程系网络技术综合实训24图 4-4-8 加密文件(3)系统安全配置 使用 NTFS 格式分区 所有分区都改成 NTFS 格式,NTFS 文件系统要比 FAT、FAT32 的文件系统安全得多。如图 4-4-9 图 4-4-9 格式分区 运行防毒软件 不仅可杀掉一些著名的病毒,还能查杀大量木马和后门程序。要注意经常运行程序并升级病毒库。 如图 4-4-10信息工程系网络技术综合实训25图 4-4-10 运行软件 关闭默认共享防止利用默认共享入侵。 禁止从软盘和光驱启动系统一些第三方的工具能通过引导系统来绕过原有的安全机制 。
41、开启审核策略用安全审核来记录入侵日志。 如图 4-4-11图 4-4-11 开启审核(4)服务安全配置关闭不必要的端口 减少被入侵的算途径,系统目录中 system32driversetcservices 文件中有知名端口和服务的对照表可供参考。如图 4-4-12信息工程系网络技术综合实训26图 4-4-12 关闭端口设置好安全记录的访问权限安全记录在默认情况下是没有保护的,把它设置成只有 Administrators 和系统账户才有权访问。 如图 4-4-13图 4-4-13 安全记录备份敏感文件有必要把一些重要的用户数据(存放在另外一个安全的服务器中,并且经常备份它们。 禁止建立空连接默认
42、情况下,任何用户都可通过空连接连上服务器,进而枚举出账号,猜测密码。我们可以通过修改注册表来禁止建立空连接:即把Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成“1”即可。 关闭不必要的服务信息工程系网络技术综合实训27防止恶意程序以服务方式悄悄地运行服务器上的终端服务,要确认已经正确配置了终端服务。五、实训结果本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与 Internet 或国内其它网络的安全互连。本方案在保证网络安全可以满足
43、各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。 需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说,网络安全技术主要作用有以下几点: 1采用多层防卫手段,将受到侵扰和破坏的概率降到最低; 2提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的3提供恢复被破坏的数据和系统的手段,尽量降低损失; 4提供查获侵入者的手段。 网络安全技术是实现安全管理的基础,近年来,网络安全
44、技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。六、实训总结及体会在这次任务中每个人都承担了不同的任务,作为项目负责人,对每个成员进行了明确的分工,统筹兼顾,对任务的整体进行了详细的设计与规划。作为成员,认真地对待了本次任务,积极完成分配的任务,互相合作。实训结束后,每个人都有自己的心得与体会,收获了很多,提高了实际动手能力与实践能力。在这次试训中使我们对网络有了更深刻的认识,做二十一世纪青年人不但要有夯实的基础,过硬的理论知识,良好的心理素质,健康的体魄,还要有超强的计算机操作能力,正所谓“秀才不出门,便知天下事”为一名计算机网络专业学生来说,必须有较广的社交圈和开阔的知识面,所以要
45、把电脑作为一个重点来抓通过对设备的配置,达到了设计的需求,充分运用所学知识,实现了网站的构建与 web 发布以及其它设备的配置。本次任务我们从中学会了很多,通过同学之间的探讨、研究,知识上得到了巩固,加强了不足的方面,增强了团队合作能力,开拓了创新思维,本次实训将本学期所学知识联系起来,同时也包括以前所学的知识,不仅巩固了已学知识,也让我们掌握了一些新知识,丰富了我们的大脑。与此同时,使我们对已学的知识有了更深的印象最重要的是我们从中明白了一个道理,那就是“知识是基础,态度决定一切,团结就是力量” 。日常维护工信息工程系网络技术综合实训28作要认真到位。制定合理的维护作业计划,对机房环境,供电
46、电源,设备风扇及过滤网等定期巡检维护;同时充份利用华为设备强大的网管功能,通过对告警信息查询、性能数据查看、保护倒换检查、查询日志记录、各环境变量检查、网元时间检查、网管数据库的备份与转储等操作,对网上传输设备进行实时监控,这样才能及时发现隐患,提前处理,做好预防性维护,确保设备长期稳定地运行。附表:1.路由配置2.交换机配置1.路由器配置:SYSSystem View: return to User View with Ctrl+Z.H3CsysnaH3Csysname MSR50-60MSR50-60int s5/0MSR50-60-Serial5/0ip addMSR50-60-Seri
47、al5/0ip address 202.96.64.67 24MSR50-60-Serial5/0int s5/1MSR50-60-Serial5/1ip addMSR50-60-Serial5/1ip address 202.96.65.66 24MSR50-60-Serial5/1int g0/1MSR50-60-GigabitEthernet0/1202.199.185.1 30MSRsysnaMSR50-60sysname MSR50-60 1MSR50-60 2int s5/0MSR50-60 2-Serial5/0ip addMSR50-60 2-Serial5/0ip addre
48、ss 202.96.64.68 24MSR50-60 1sysname MSR50-60 3MSR50-60 3int s5/1MSR50-60 3-Serial5/1ip addMSR50-60 3-Serial5/1ip address 202.96.65.65 24信息工程系网络技术综合实训292. 交换机配置:Vrrp 配置:Vrrp 单备配置,在 H3C-A 上,创建 vrrp 单备分组 1,并配置备份组 1 的虚拟 ip 地址为202.199.185.6/24H3C-Aint Vlan-interface 100H3C-A -Vlan-interface100vrrH3C-A -V
49、lan-interface100vrrp ?ipv6 Specify IPv6 Virtual Routerun-check Uncheck VRRP packet TTL valuevrid Specify Virtual Router IdentifierH3C-A -Vlan-interface100vrrp vrid 1 virtual-ip 202.199.185.6设置在备份组 1 中的优先级 120,设置 H3C-A 工作在抢占方式。H3C-Vlan-interface100vrrp vrid 1 priH3C-A-Vlan-interface100vrrp vrid 1 priority 120H3C-A
