网络管理综合项目报告

'《网络管理综合项目实践》设计报告（2014—2015学年第1学期）题目：网络管理综合项目实践专业年级：11网络工程姓名学号：刘鸿辉1107022125、陈龙思1107022113黄如佳1107022119、兰锦榕1107022121胡龙涛1107022123、叶雪萍1107022141指导教师：陈荣赏、林开标成绩：计算机与信息工程学院2014年12月25日 目录第1章前言11.1设计目的11.2设计内容11.2.1题目11.2.2相关知识与项目内容要求11.3项目分工4第2章企业网络需求分析42.1业务需求42.2网络功能需求分析52.3网络性能需求分析52.3.1网络结构52.3.2拓扑结构52.3.3网络节点62.3.4链路需求62.4网络安全需求分析62.5操作系统需求分析72.5.1应用服务器采用LINUX原因72.5.2网络环境管理采用windows server2003的原因72.6应用程序需求分析8第3章企业网络架构及搭建93.1网络基础架构93.2网络规划93.2.1IP地址规划93.2.2路由配置93.2.3交换机配置11第4章网络设备安全设计与配置124.1口令管理124.2网络服务安全124.3内网IP地址保护124.4各机构之间网络安全通信（IPsec或自选）13第5章Windows2003Server网络环境管理135.1AD设计、构建、管理、维护135.2管理组策略145.3用户环境管理185.4安装和配置“软件更新服务”185.5性能监视管理195.6故障恢复管理20第6章网络应用服务搭建（Linux）216.1LINUX操作系统安装、管理及应用216.1.1Yum客户端配置216.1.2DHCP安装与配置236.1.3WEB服务设计与配置25 6.1.4FTP服务设计与配置276.1.5CA服务286.1.6AAA认证30第7章无线网络管理327.1常用无线网络架构介绍327.1.1个人网327.1.2区域网327.1.3城域网327.2胖、瘦AP简介337.2.1胖AP337.2.2瘦AP33第8章网络管理348.1聚生网管安装、配置及使用348.2主机列表378.3网络控制388.4带宽管理388.5流量管理：398.6P2P下载限制408.7普通下载限制408.8聊天控制418.9ACL访问规则418.10股票控制428.11控制时间设置428.12应用策略438.13指派策略438.14策略设置458.15安全管理458.16局域网攻击工具检测及防御45第9章评价、评审469.1环境搭建效果测试、评价469.2项目合作效果评价469.3项目组长工作效果评价469.4项目报告评审46 第1章前言1.1设计目的本课程是网络工程专业所开设的一门重要实践课程，主要要求学生将三年来学习的软、硬件技术，以项目小组的形式，针对用户提出的需求，对网络进行规划设计、组网设计，并利用WINDOWS系统、LINUX系统、网络设备、网络安全与管理及相关的各种软硬件进行安装及配置，满足用户的需求，最终模拟实现整个工作环境1.2设计内容1.2.1题目根据下列案例，设计、组建企业网络。某高新产品研发企业拥有员工2000余人，公司总部坐落在该城市高新技术开发区，拥有4个生产车间，产品展示、技术开发与企业办公均在智能大厦中进行。该企业在外地另开设有一家分公司，由总公司进行统一管理和部署。1.接入Internet方式采用100Mbps光纤。服务器与交换机之间采用1000Mbps双绞线连接，部分服务器采用100Mbps光纤连接。交换机之间均采用光纤连接，以保证网络带宽不受连接介质的影响，并且在核心交换机和汇聚交换机之间使用链路汇聚提高连通质量。对于其他接入的客户端，采用的是100Mbps双绞线连接。2.局域网覆盖整个企业。每个生产车间有100个接入点；会议室（20个接入点）、产品展示大厅（20个接入点）与办公场所（200个接入点）部署无线接入点方便无线终端接入，实现随时随地无线漫游接入（ESS拓扑）。3.企业从ISP申请的IP只有20个（210.34.213.10-29/24），其中前4个分配给服务器；要求生产车间接入点在上班期间不能访问Internet(外网)。该公司对外提供FTP、WWW、EMAIL服务，其上资源可供用户下载。4.企业总部对网络安全管理的需求要求较高，应充分保证以下要求：网络可用性、数据机密性（总部与分公司之间）、访问的可控性、资源集中管理、权限集中管理。1.2.2相关知识与项目内容要求1 1、理解和分析某行业客户需求，设计、构建并维护一个按照特定行业需求定制的综合网络。2、建立根据某行业需求的总部到分支机构之间的通信方案，安全和高效的实现信息传递和交换。3、根据设计方案安装和配置路由器、交换机和数据安全保护设备，并对常见网络故障进行排除。4、确保信息的安全性并允许授权用户的访问。5、安装服务器操作系统（Windows/Linux）。能够根据要求熟练安装操作系统，并对操作系统进行安全配置和应用管理。6、安装、配置Web、FTP、DNS、E-mail、DHCP服务（Windows/Linux）。能够熟练安装和配置Web、FTP、DNS、E-mail、DHCP等网络服务，能够根据企业的应用需求，进行服务的安全配置和管理。7、操作系统安全技术。WindowsServer域环境配置与管理、组策略；搭建CA服务实现SSLweb服务，以及邮件加密和签名，保证邮件安全。8、提供符合规范的系统级别的文档和示意图、网络拓扑图。表1.2.1项目模块及要求序号模块项目内容要求备注1任务布置及实施要求1、项目任务布置2、项目组织架构确定3、项目进程要求4、项目文档详细要求1、项目小组确立2、确定进程控制点3、文档要求细化强调进程控制重要性2企业网络需求分析1、业务概述2、网络需求分析3、操作系统需求分析4、应用系统需求分析5、网络安全需求分析1、业务需求分析2、网络功能需求分析3、网络性能需求分析4、网络安全需求分析5、操作系统需求分析6、应用系统需求分析强调需求分析的重要性3基础网络架构及搭建1、了解网络基础架构2、企业网络规划3、企业网络组网实施1、IP地址规划2、路由配置3、交换机配置强调拓扑图的规范性4网络设备安全设计与配置1、口令管理2、网络服务安全（网络设备）3、内网IP地址保护4、交换机的安全配置1、口令规则设置、口令加密2、路由器不用的服务进行关闭（如：bootp、proxy-arp、HTTP等）1 5、各机构之间网络安全通信（IPsec或自选）6、防火墙应用（ISA选做）3、NAT技术4、VLAN技术5、安全端口技术6、访问控制列表7、VPN技术5Windows2003server网络环境管理1、AD设计、构建、管理、维护2、管理组策略3、用户环境管理4、安装和配置“软件更新服务”5、性能监视管理6、故障恢复管理1、AD安装2、管理用户和计算机账户3、使用组策略管理用户环境：文件夹重定向、用户桌面管理、资源访问管理4、“软件更新服务”发布点安装5、监视服务器性能：配置系统监视器跟踪高CPU使用率及警报跟踪配置6、磁盘配额7、故障恢复控制台安装8、可根据需要自行扩展应用管理操作、服务讲解域管理模式的优势6网络应用服务搭建（windows或linux）1、WINDOWS操作系统安装、管理及应用2、LINUX操作系统安装、管理及应用3、常见操作系统的问题分析及管理技巧1、DHCP、WEB、FTP、MAIL等网络服务设计、配置2、CA（CA服务实现SSLweb服务）、RADIUS、VPN配置3、DHCP、DNS、WEB、FTP、MAILSAMBA网络服务设计、配置7无线网络管理（选做）常用无线网络架构介绍胖、瘦AP简介胖AP无线局域网管理瘦AP无线局域网管理无线局域网安全管理无线网络架构及设计无线认证服务（RADIUS认证）WLC配置8网络管理1、siteview安装、配置及使用可自行选择网络管理软件9评价、评审1、环境搭建效果测试、评价2、项目合作效果评价1 3、项目组长工作效果评价4、项目报告评审1.1项目分工表1.3.1项目分工任务组成员工期开始时间结束时间领取分配任务刘洪辉（组长）2天2014-12-012014-12-02服务器端功能配置与设计陈荣思、胡龙涛、叶雪萍13天2014-12-022014-12-19路由器端功能配置与设计刘洪辉、黄如佳、兰锦荣13天2014-12-022014-12-19文档编写每个人编写自己负责的部分3天2014-12-222014-12-24文档整合刘洪辉、叶雪萍4天2014-12-222014-12-25第2章企业网络需求分析2.1业务需求某高新产品研发企业拥有员工2000余人，公司总部坐落在该城市高新技术开发区，拥有4个生产车间，产品展示、技术开发与企业办公均在智能大厦中进行。该企业在外地另开设有一家分公司，由总公司进行统一管理和部署。1.接入Internet方式采用100Mbps光纤。服务器与交换机之间采用1000Mbps双绞线连接，部分服务器采用100Mbps光纤连接。交换机之间均采用光纤连接，以保证网络带宽不受连接介质的影响，并且在核心交换机和汇聚交换机之间使用链路汇聚提高连通质量。对于其他接入的客户端，采用的是100Mbps双绞线连接。2.局域网覆盖整个企业。每个生产车间有100个接入点；会议室（20个接入点）、产品展示大厅（20个接入点）与办公场所（200个接入点）部署无线接入点方便无线终端接入，实现随时随地无线漫游接入（ESS拓扑）。3.企业从ISP申请的IP只有20个（210.34.213.10-29/24），其中前4个分配给服务器；要求生产车间接入点在上班期间不能访问Internet(外网)。该公司对外提供FTP、WWW、EMAIL服务，其上资源可供用户下载。4.企业总部对网络安全管理的需求要求较高，应充分保证以下要求：网络可用性、数据机密性（总部与分公司之间）、访问的可控性、资源集中管理、权限集中管理。1 1.1网络功能需求分析1.企业智能大厦满足技术研究、产品展示、行政办公需要，提供各种研究、办公工具和展示平台，并提供丰富的计算机软硬件系统资源。2.具有完善的办公事务处理能力，包括电子公文传递、电子公文管理、电子邮件、邮件收发等无纸办公自动化功能。3.满足信息情报交流的需要，方便企业内部人员和及外部用户对企业信息资料、科技情报的检索和查阅。包括Web查询、电子公告、电子新闻等。4.具有远程通信能力，借助VPN等技术手段，以最低的通信成本，方便地实现远程互联，跨越地域限制，满足企业要求，加强各单位之间的业务联系和信息资源共享。5.具有收集、处理、查询、统计各类信息资源的能力，充分利用原有数据资源，为企业网络管理提供准确、快捷的数字信息，实现数据化管理和智能化决策。6.企业网络系统要确保整个计算机网络系统的可靠性、安全性，具有一定的冗余。容错能力强，确保信息处理安全保密。7.企业信息网络系统要保证实用和技术先进，便于非计算机专业人员使用，并能不断满足企业未来业务发展的需要，具有很强的扩展能力。1.2网络性能需求分析1.2.1网络结构由于计算机技术与网络技术发展迅速，企业规模也不断扩大，计算机网络的建设不可能一步到位，否则不利于企业网的发展，也将限制企业的发展，随着企业每年招收员工人数增多，对网络的需求也在不断地扩大，因此，企业网络的规模也要再不断地扩大，以满足当前企业对企业网的需求量。1.2.2拓扑结构网络采用接入层，汇聚层，核心层。根据对企业网功能需求分析得出采用3层结构才能满足用户的需求，采用树型结构加网状结构的网络拓扑。由于采用大型交换机技术，为了避免广播风暴带来不必要的带宽影响，因此要采用VLAN进行工作组的划分。1 1.1.1网络节点网络接入层，汇聚层，核心层节点位置的地理分布情况是，网络接入层节点设置在用户建筑物内，因为接入层终端设备（PC）较多，所以将汇聚层节点设置在接入层一起。因为接入用户较多，且是内部交换网络，因此网络节点设备交换机要采用高性能，具备大型交换能力的设备。同时对服务器的处理能力要求也比较高。同时考虑到内网用户数据的安全性要求不高并加大网络建设和管理成本，但是为了改善主干链路数据流量的压力，增强网络性能，所以采用将服务器主机安排在汇聚层。1.1.2链路需求1.网络主干链路采用光纤传输介质。2.企业网必须拥有高速的Internet接入出口。3.公司总部区与公司分部区网络的链接可采用VPN技术实现互联。4.企业网必须提供DNS、WWW、E-mail等多项Internet服务。5.网络主干链路无交通要道，多重障碍物。6.网络主干链路采用地下管道走线的方式。7.网络主干链路最大实际连接距离为2千米满足网络需求。8.由于整个主干链路都在公司大楼，距离不远，因此维护管理方便。1.2网络安全需求分析1.访问控制。为了防止企业机密信息的外泄，就需要在内部网与外部网之间设置防火墙和对不同的部门用户的访问进行合理的控制，例如可以借助交换机的VLAN功能实现不同部门网络的访问控制。2.审计与监控。通过使用网管软件和系统监控管理系统对所有企业计算机用户的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络系统的攻击和犯罪行为，一旦出现问题，能追究到责任人。3.端到端的加密。将网络密码机安置在局域网到互联网的入口处。通过加装密码机构建安全通道，使信息经过加密后传输，防止第三方窃取，且密码机之间的机构认证也有效防止第三方的非法接入。4.网络防病毒。安装防病毒软件，防止人员恶意破环。5.入侵检测系统。入侵检测是对防火墙极其有益的补充，能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。1 1.1操作系统需求分析1.1.1应用服务器采用LINUX原因1.Linux的核心具有Windows无法比拟的稳定性和高教性，在不使用X-Winaows的情况下，Linux占用系统资源很少，甚至可以使一台Intel 486成为高教的工作站。一台linux服务器可“长期高教、稳定地工作-而一台Windows NT服务器，由于系统不能很好地自动释放系统资源，必须每隔～段时间就重启系统一次。2.Linux主要用作服务器操作系统，具有强大的网络服务功能，可实现各种网络服务，如邮件月匣务、Web服务.、FTP、DNS、DHCP、防火墙、代理服务器、路由器等。对于个人桌面操作系统，H前最好的选择仍是Windows系统。3.Linux在网络服务器市场增长非常强劲，UNIX和L1niix已成为目前最流行的中端服务器系统,据idc(intcrnational data corporation)公司2003年第一季度的市场稠查，linuX在全球服务器市场所占份额约为26%，Windows为44%，但l，lnux保持着较高的增长率，据2004年6月份1DC的最新调查显示，2004年第1季度全球linux服务器的出货量增长了 16.4%，而Windows服务器的涨幅但为26.5%。1.1.2网络环境管理采用windows server2003的原因1.windows Server 2003 是迄今为止提供的最快、最可靠和最安全的 Windows 服务器操作系统。Windows Server 2003 用以下方式保证可靠性： 提供集成结构，用于帮助您确保商务信息的安全性。提供可靠性、可用性和可伸缩性，使您可以提供用户需要的网络结构。2. Windows Server 2003 提供各种工具，允许您部署、管理和使用网络结构以获得最大效率。Windows Server 2003 通过以下方式实现这一目的：提供灵活易用的工具，有助于使您的设计和部署与单位和网络的要求相匹配。通过加强策略、使任务自动化以及简化升级来帮助您主动管理网络。通过让用户自行处理更多的任务来降低支持开销。3. 连接 Windows Server 2003 可以帮助您创建业务解决方案结构，以便与雇员、合作伙伴、系统和客户更好地沟通。Windows Server 2003 通过以下方式实现这一目的：提供集成的 Web 服务器和流媒体服务器，帮助您快速、轻松和安全地创建动态Intranet 和 Internet Web 站点。提供集成的应用程序服务器，帮助您轻松地开发、部署和管理 XML Web 服务。提供多种工具，使您得以将 XML Web 服务与内部应用程序、供应商和合作伙伴连接起来。1 4.与来自 Microsoft 的许多硬件、软件和渠道合作伙伴的产品和服务相结合，Windows Server 2003 提供了有助于使您的结构投资获得最大回报的选择。Windows Server 2003 通过以下方式实现这一目的：为使您得以快速将技术投入使用的完整解决方案提供简单易用的说明性指南。通过利用最新的硬件、软件和方法来优化服务器部署，从而帮助您合并各个服务器。降低用户的所属权总成本 (TCO)，使投资很快就能获得回报.1.1应用程序需求分析应用程序需求见表格：表2.6应用程序需求应用目标应用类型关键性电子邮件电子邮件是ftp文件共享是主页Web浏览是语言通信数据传输是视频通信压缩视频是信息管理数据库是无线网络网线网络是办公自动化OA是远程接入VPN是部门域名域名服务是1 第1章企业网络架构及搭建1.1网络基础架构网络拓扑结构如图2.1：图3.1网络拓扑1.2网络规划1.2.1IP地址规划表vlan地址划分地点VlanIP地址子网掩码办公场所Vlan11192.168.0.0255.255.255.192Vlan12192.168.0.64255.255.255.192Vlan13192.168.0.128255.255.255.192Vlan14192.168.0.192255.255.255.192会议室Vlan15192.168.1.0255.255.255.224产品展示大厅Vlan16192.168.1.32255.255.255.224车间1Vlan21192.168.2.0255.255.255.128车间2Vlan22192.168.2.128255.255.255.128车间3Vlan23192.168.3.0255.255.255.128车间4Vlan24192.168.3.128255.255.255.128服务器Vlan1192.168.4.0255.255.255.01.2.2路由配置端口IP地址配置：interfacef0/01 ipaddress192.168.5.3255.255.255.0noshutdownexitinterfacef1/0ipaddress192.168.5.4255.255.255.0noshutdownexitinterfaces2/0ipaddress210.34.213.29255.255.255.0clockrate64000noshutdown访问控制列表：access-list100denyip192.168.2.00.0.0.127anyaccess-list100denyip192.168.2.1280.0.0.127anyaccess-list100denyip192.168.3.00.0.0.127anyaccess-list100denyip192.168.3.1280.0.0.127anyaccess-list100permitipanyanyaccess-list101permittcpany192.168.4.00.0.0.255eqsmtpaccess-list101permittcpany192.168.4.00.0.0.255eqwwwaccess-list101permittcpany192.168.4.00.0.0.255eqftpinterfaces2/0ipaccess-group100outinterfacef0/0ipaccess-group101ininterfacef1/0ipaccess-group101inNAT地址转换：ipnatpoolpool210.34.213.14210.34.213.28netmask255.255.255.0access-list10permit192.168.0.00.0.0.255access-list10permit192.168.1.00.0.0.255ipnatinsidesourcelist10poolpoolinterfaces2/01 ipnatoutsideinterfacef0/0ipnatinsideinterfacef1/0ipnatinsideexitipnatinsidesourcestatic192.168.4.1210.34.213.10interfaces2/0ipnatoutsideinterfacef0/0ipnatinsideinterfacef1/0ipnatinsideexitipnatinsidesourcestatic192.168.4.2210.34.213.11interfaces2/0ipnatoutsideinterfacef0/0ipnatinsideinterfacef1/0ipnatinside1.1.1交换机配置三层交换机创建vlan：vlandatabasevtpdomainciscovtpservervtppasswordciscovlan11vlan12vlan13vlan14vlan15vlan161 vlan21vlan22vlan23vlan24汇聚层交换机将链路配置为trunk模式：interfacerangef0/0-15switchportmodetrunkswitchporttrunkencapsulationdot1q接入层将链路配置为access模式：interfacerf0/1-15switchportmodeaccess第1章网络设备安全设计与配置1.1口令管理特权模式口令：cisco控制台口令：ciscoVty口令：cisco1.2网络服务安全服务器只提供FTP、WWW、EMAIL服务，拒绝其他方式对服务器的访问access-list101permittcpany192.168.4.00.0.0.255eqsmtpaccess-list101permittcpany192.168.4.00.0.0.255eqwwwaccess-list101permittcpany192.168.4.00.0.0.255eqftp1.3内网IP地址保护通过动态网络地址转换，将智能大厦内办公场所的私网IP地址，转换为公网的IP地址。ipnatpoolpool210.34.213.14210.34.213.28netmask255.255.255.0access-list10permit192.168.0.00.0.0.255access-list10permit192.168.1.00.0.0.255ipnatinsidesourcelist10poolpool1 服务器的IP地址静态转换为公网IP地址。ipnatinsidesourcestatic192.168.4.1210.34.213.10ipnatinsidesourcestatic192.168.4.2210.34.213.111.1各机构之间网络安全通信（IPsec或自选）ConfigterminalCryptoisakmpkeyciscoaddress210..34..213.29CryptoisakmpenableCryptoisakmppolicy10auhenticationpre-shareCryptoisakmpipsectransform-setmynettransesp-desesp-md5-hamacAccess-list106permitipip192.168.5.00.0.0.255192.168.6.0Cryptomapmynetmap10ipsec-isakmpSetpeer210.34.213.28Sertranform-setmynettransMatchaddress106Intf0-1CryptomapmynetmapIpaccess-group102in第2章Windows2003Server网络环境管理2.1AD设计、构建、管理、维护AD安装如图5-1.1图5-1.1安装成功如图5-1.21 图5-1.2新的域名如图5-1.3图5-1.3在域中创建新的组织单位如图5-1.4图5-14加入域成功如图5-1.5图5-1.51.1管理组策略1.文件夹重定向右击OU“会议室”新建一个“组”，再将成员“张三”添加进这个组。如图5-2.11 图5-2.1先在服务器上创建一个共享文件“Share”。如图5-2.2图5-2.2右击OU，选择属性，切换到组策略选项。创建一个组策略对象链接“文件夹重定向”。图5-2.3重定向成功如图5-2.41 图5-2.41.桌面管理添加桌面管理功能如图5-2.5图5-2.5选择桌面管理功能如图5-2.6图5-2.6完成桌面删除我的文档如图5-2.71 图5-2.71.资源访问管理选择用户进行管理如图5-2.8图5-2.8设置“Share”文件访问权限后，我们在客户机上双击“我的文档”出现“拒绝访问”的窗口，这是因为我们先前设置了文件夹重定向。如图5-2.9图5-2.91 1.1用户环境管理1.2安装和配置“软件更新服务”软件统一安装如图5-4.1图5-4.1选择相应软件如图5-4.2图5-4.2安装成功如图5-4.3图5-4.31 1.1性能监视管理监视服务器性能：配置系统监视器跟踪高CPU使用率及警报跟踪配置如图5-5.1图5-5.1磁盘配额：磁盘配额启动如图5-5.2图5-5.2新建配额项如图5-5.3图5-5.31 配额过小将无法访问如图5-5.4图5-5.4配额调大将可访问如图5-5.5图5-5.51.1故障恢复管理安装故障恢复管理如图5-6.1图5-6.11 启动故障恢复管理如图5-6.2图5-6.2第1章网络应用服务搭建（Linux）1.1LINUX操作系统安装、管理及应用1.1.1Yum客户端配置本项目中需要安装许多服务，安装yum客户端可以使安装过程简化1、进入/etc/resolv.conf中修改dns：图6.1.1-1修改DNS2、删除RHEL原有yum：rpm-aq|grepyum|xargsrpm-e--nodeps导入key：wgethttp://mirrors.163.com/centos/RPM-GPG-KEY-CentOS-6rpm--importRPM-GPG-KEY-CentOS-6图6.1.1-2删除原来key1 3、需要下载四个CentOS源，下面举一个例子下图下载安装CentOS源1命令：wgethttp://mirror.centos.org/centos-6/6/os/x86_64/Packages/python-iniparse-0.3.1-2.1.el6.noarch.rpm图6.1.1-3下载安装CentOS源15、下载和复制yum配置文件：wgethttp://mirrors.163.com/.help/CentOS6-Base-163.repocpCentOS6-Base-163.repo/etc/yum.repos.d图6.1.1-5下载repos.d文件6、替换：将$releasever全部替换为版本号6，vi中”:%s/$releasever/6/g”进入CentOS6-Base-163.repo文件，输入下图所示框内命令并保存：图6.1.1-6替换版本7、缓存：yumcleanall（清理）;yummakecache（缓存到本地）1 图6.1.1-7清理缓存8、查看结果：图6.1.1-8结果1.1.1DHCP安装与配置1、安装dhcp步骤如下：图6.1.2-1安装dhcp直接在光盘中安装：1 图6.1.2-2安装dhcp2、服务器端需要修改配置文件dhcpd.conf进入文件：图6.1.2-3修改配置文件修改配置文件：图6.1.2-4修改配置文件3、安装完成后通过servicedhcpstatus判断是否安装成功，通过servicedhcpstart开启服务服务器端对eth0配置：1 图6.1.2-5网卡配置客户端对eth0配置：图6.1.2-6客户端网卡配置4、客户端查看结果:图6.1.2-7结果1.1.1WEB服务设计与配置Linux红帽系统默认安装有http服务（即Apache或者WEB服务）1、配置dns：图6.1.3-1配置DNS1 2、修改httpd主配置文件（/etc/httpd/conf/httpd.conf）：图6.1.3-2修改配置文件3、新建/www/hly文件夹，把index.html文件放到hly文件夹下：图6.1.3-3设置默认主页4、优化httpd性能：图6.1.3-4性能优化1 5、使用命令重启httpd服务”servicehttpdrestart”，用另一台虚拟机打开网址为www.hly.com。结果如下：图6.1.3-5结果1.1.1FTP服务设计与配置1、先通过yum安装ftp服务端，即vsftpd，安装完成后关闭防火墙和NetworkManager服务，然后重启网络服务和开启vsftpd服务图6.1.4-1服务端安装ftp2、客户端通过光盘导入ftp安装包，并安装图6.1.4-2客户端安装ftp3、客户端远程登录：1 图6.1.4-3结果1.1.1CA服务1、拿一台虚拟机—添加角色—勾选AD证书服务（特别在下一步时记得勾选“证书颁发机构web注册”才能给web服务器颁发证书）图6.1.5-1安装CA2、拿另一台虚拟机—添加角色—web服务—成功—打开Internet信息服务管理器—如下图操作图6.1.5-2打开服务器证书3、进入后点击创建证书申请（在通用名称那栏必须填写之后要用浏览器访问的网址或IP，其他项可随意填写）1 图6.1.5-创建CA服务器4、上述步骤成功后去C盘下打开webcert.txt文档，将里面内容全选；再用IE浏览器打开http://CA服务器IP+/+certsrv，进入后点击申请证书—高级证书申请—使用base64编码……-将复制内容粘帖图6.1.5-4申请证书5、再次在web服务器上用IE浏览器打开http://CA服务器IP+/+certsrv，点击“查看挂起的证书申请的状态”下载CA颁发的证书，并安装，特别注意下图步骤。图6.1.5-5安装证书6、IIS管理器—完成证书申请—导入安装好的证书1 图6.1.5-6完成证书申请7、IIS管理器—defaultwebsite—绑定（注意类型改成https保证证书生效，SSL证书为刚才在本地安装好的证书）图6.1.5-7加入SSL8、在客户端IE浏览器上输入https://www.xm.goktech.org，此时可以安全访问web服务器。图6.1.5-8结果1.1.1AAA认证AAA认证配置过程如下：1、服务器地址为：192.168.30.1s1(config-vlan)#intvlan30//创建vlan30的原因：在sw1、sw2中配置svi口，服务器的地址为192.168.30.1，使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器s1(config-if)#ipadd192.168.30.254255.255.255.0s1(config)#intf0/5s1(config-if)#switchportmodeaccess1 s1(config-if)#switchportaccessvlan30s2(config)#intvlan30s2(config-if)#ipadd192.168.30.253255.255.255.0s2(config-if)#exits2(config)#aaanew-model//AAA配置位于接入层交换机，所以核心交换机sw1连接服务器的接口不需要配置IP地址s2(config)#aaaauthenticationloginvtylogingroupradiuss2(config)#radius-serverhost192.168.30.1auth-port1812accts2(config)#$erhost192.168.30.1auth-port1812acct-port1813keycisco//cisco为秘钥s2(config)#linevty04//用户认证时使用虚拟链路s2(config-line)#loginauthenticationvtylogins2(config-line)#exits2(config)#dot1xsystem-auth-controls2(config)#intf0/1//进入端口，把端口配置为认证模式，即只有认证成功端口才会打开s2(config-if)#authenticationport-controlautos2(config-if)#dot1xpaeauthenticator2、在sw2上验证一些账号密码是否可用，如：123123与aaa111，图6.1.6-1验证账号是否可用结果：图6.1.6-2结果1 第1章无线网络管理1.1常用无线网络架构介绍1.1.1个人网无线个人网(WPAN)是在小范围内相互连接数个装置所形成的无线网络，通常是个人可及的范围内。例如蓝牙连接耳机及膝上电脑，ZigBee也提供了无线个人网的应用平台。蓝牙是一个开放性的、短距离无线通信技术标准。该技术并不想成为另一种无线局域网（WLAN）技术，它面向的是移动设备间的小范围连接，因而本质上说它是一种代替线缆的技术。它可以用来在较短距离内取代目前多种线缆连接方案，穿透墙壁等障碍，通过统一的短距离无线链路，在各种数字设备之间实现灵活、安全、低成本、小功耗的话音和数据通信。蓝牙力图做到：必须像线缆一样安全；降到和线缆一样的成本；可以同时连接移动用户的众多设备，形成微微网（piconet）；支持不同微微网间的互连，形成scatternet；支持高速率；支持不同的数据类型；满足低功耗、致密性的要求，以便嵌入小型移动设备；最后，该技术必须具备全球通用性，以方便用户徜徉于世界的各个角落。从专业角度看，蓝牙是一种无线接入技术。从技术角度看，蓝牙是一项创新技术，它带来的产业是一个富有生机的产业，因此说蓝牙也是一个产业，它已被业界看成是整个移动通信领域的重要组成部分。蓝牙不仅仅是一个芯片，而是一个网络，不远的将来，由蓝牙构成的无线个人网将无处不在。它还是GPRS和3G的推动器。1.1.2区域网无线区域网(WirelessRegionalAreaNetwork，简称WRAN)基于认知无线电技术，IEEE802.22定义了适用于WRAN系统的空中接口。WRAN系统工作在47MHz～910MHz高频段/超高频段的电视频带内的，由于已经有用户(如电视用户)占用了这个频段，因此802.22设备必须要探测出使用相同频率的系统以避免干扰。1.1.3城域网无线城域网是连接数个无线局域网的无线网络型式。2003年1月，一项新的无线城域网标准IEEE802.16a正式通过。致力于此标准研究的组织是WiMax论坛——全球微波接入互操作性（WorldwideInteroperabilityforMicrowaveAccess）组织。作为一个非赢利性的产业团体，WiMax由Intel及其他众多领先的通信组件及设备公司共同创建。截至2004年1月底，其成员数由之前的28个迅速增长到超过70个，特别吸引了AT&T、电讯盈科等运营商，以及西门子1 移动及我国的中兴通讯等通信厂商的参与。WiMax总裁兼主席LaBrecque认为，这将是该组织发展的一个里程碑。虽然实际的商用进程尚待时日，但是从WiMax论坛发布的资料上显示，WiMax正力图成为继无线局域网联盟Wi-Fi之后的另一个具有充分产业影响力的无线产业联盟。作为WiMax的主要成员，Intel一直致力于IEEE802.16无线城域网芯片的开发。据悉，Intel有望在2004年下半年开始销售基于IEEE802.16d标准的芯片，该芯片将能够帮助实现终端设备与天线的无线高速连接。而WiMax的户外安装工作也将于2005年上半年开始，下半年将进行WiMax天线的室内安装。带有基于IEEE802.16e标准的WiMax芯片设备有望在2006年初面市。1.1胖、瘦AP简介1.1.1胖AP胖AP学名：无线路由器。普遍应用于SOHO家庭网络或小型无线局域网，有线网络入户后，可以部署胖AP进行室内覆盖，室内无线终端可以通过胖AP访问INTERNET。胖AP具有以下特点：1． 需要每台AP单独进行配置，无法进行集中配置，管理和维护比较复杂；2． 支持二层漫游；3． 不支持信道自动调整和发射功率自动调整；4． 集安全、认证、等功能于一体，支持能力较弱，扩展能力不强；5. 对于漫游切换的时候存在很大的时延。胖AP的应用场合仅限于SOHO或小型无线网络，小规模无线部署时胖AP是不错的选择，但是对于大规模无线部署，如大型企业网无线应用、行业无线应用以及运营级无线网络，胖AP则无法支撑如此大规模部署。1.1.2瘦AP学名：集中式无线交换机。瘦AP的传输机制相当于有线网络中的集线器，在无线局域网中不停地接收和传送数据;任何一台装有无线网卡的PC均可通过AP来分享有线局域网络甚至广域网络的资源。理论上，当网络中增加一个无线AP之后，即可成倍地扩展网络覆盖直径;还可使网络中容纳更多的网络设备。每个无线AP基本上都拥有一个以太网接口，用于实现无线与有线的连接。第2章网络管理2.1聚生网管安装、配置及使用1.首先安装winpcap.exe抓包驱动程序如图8-1.1：1 图8.1-1WinPcap的安装如图8.1-2图8.1-21.然后安装聚生网管主程序：LanQos.exe如图8-1.3图8-1.32.第一次启动软件，系统会提示让你新建监控网段，请点击“新建监控网段”，按照向导提示进行操作，如如图8-1.4所示。1 如图8-1.4-新建网段如图8-1.4-输入网段名称如图8-1.5-选择待监控网段网卡如图8-1.5-选择监控网段出口带宽（自动检测）然后您可以选中刚刚建立的监控网段，双击或者点击“开始监控”按钮，进入主界面，如如图8-1.6所示。1 如图8-1.6-选择网段开始监控依照上述方法，你可以建立多个网段。如果想监控第二个网段，请再次打开一个聚生网管的窗口，从中选择你建立的第二个网段，然后点击“开始监控”。4.使用如图8-1.7.聚生网管界面聚生网管系统操作基本步骤：1、点击左上角的“启动管理”，即可扫描到局域网所有在线主机。2、点击下面的“全选”按钮，即可给扫描到的主机打勾，即可看到他们的上下行带宽（流量）。3、右键点击某个主机，选择“为选中主机指派策略”，即可为主机指派上网策略，控制其上网行为。4、你可以将系统预设的策略指派给想要控制的主机，也可以在顶部“配置策略”按钮里面新建策略再指派给想控制的主机。5、你可以为不同的主机指派不同的策略，也可以批量为主机指派策略（在“配置策略”里面选择“批量指派策略；也可以在“主机列表”这里右键点击，选择“批量指派策略”）。6、将策略指派给想控制的电脑之后，右侧即可出现拦截信息，同时也控制了其上网行为。1.1主机列表点击软件左侧功能栏的“主机列表”1 ，你可以双击（或右键单击）某个主机，为这个主机建立一个控制策略（也即上网权限），输入策略名字，然后系统会弹出一个对话框，你可以按照控制需要点击各个控制项目（如流量控制、网址控制、聊天控制、网络游戏、带宽控制、时间控制等等）进行控制，对每一个控制项目设置后，必须保存，如下图如图8-2.1：双击某个主机或者右键单击然后建立一个控制策略如图8-2.2：设定要各个控制项目1.1网络控制打开左上角的“网络限制”对话框。在这里你既可以完全禁止局域网主机的公网访问，又可以为局域网主机设定黑、白名单以及股票、色情等网址。系统还可以防止局域网主机启用代理上网或充当代理，同时还可以记录局域网主机的网址浏览。如图：图87-3.11 如图8-3.1：网址控制如图8-3.2：网址精确控制功能1.1带宽管理首先选择“启用主机带宽管理”，然后分别设定上行、下行带宽，可以控制这台主机的公网带宽（也即公网数据流速）；选择“主机带宽智能控制”，然后分别设定上行、下行带宽，可以对这台主机的带宽进行智能控制，即发现其进行“BT、电驴”时，系统就会自动限制这台主机的带宽到你设定的上行、下行带宽范围内，从而有效地避免了因为P2P下载对网络带宽的过分占用。如图8-4.11 图8-4.1：设定带宽管理注：如果“请设定被控主机上行带宽”和“请设定被控主机下行带宽”设置的数值过小，就会影响计算机基本的上网速度，因为网站访问的原理也是将一个网站下载到本地。建议设置：上行不低于50KB，下行不低于100KB。1.1流量管理：系统不仅可以控制局域网任意主机的带宽，即流速，还可以控制局域网任意主机的流量。，打开“流量限制”对话框，你可以为这个主机设定一个公网日流量或上行、下行日流量，超过此流量，系统就会自动切断这台主机的公网连接，即禁止其上网；同时，你也可以指定每日的某个时间，自动清空流量，这样次日就会从零开始，重新计算流量了。如图8-5.1：图8-5.1：设定主机总流量（如：200M）注：你可以单击右键，可以清空当前或者全部主机的流量。1 1.1P2P下载限制打开“P2P下载限制”对话框，在这里，你可以选择要禁止的各种P2P工具，如BT、电驴、PP点点通、卡盟等等，你可以单独选择控制某个P2P工具的下载，又可以选择控制全部；但是现在由于很多P2P工具交叉采用其它工具的传输方式，所以为了更有效的封堵，系统默认将会控制所有的P2P下载；本系统目前可以控制几乎所有流行的P2P下载工具和P2P视频工具。如图8-6.1：图8-6.1：控制P2P下载1.2普通下载限制打开“普通下载限制”对话框，在这里，你可以限制所有的HTTP下载和FTP下载。限制HTTP下载可以输入文件后缀名限制相应格式的文件下载，也可以选择“严格禁止HTTP下载”从而禁止一切HTTP下载；而限制FTP下载，你既可以输入文件后缀名来进行限制，又可以直接输入通配符“*”，来禁止所有的FTP下载。如图8-7.1：图8-7.1选择“启用普通HTTP下载限制”1 图8-7.2：添加文件后缀名注：后缀名的添加，一定是“.EXE”的形式，就是“点exe”，不能直接添加“exe”；另外，添加完成后，一定点“确定”，否则可能无法保存。1.1聊天控制打开“聊天限制”对话框，系统可以控制局域网内的任意主机登录使用各种聊天工具，系统可以完全封堵QQ、MSN、新浪UC、网易泡泡等。如图8-8.1：图8-8.1：禁止聊天工具注：这里一般不要勾选“拦截Skype所有登录方式”，否则可能影响到电脑的上网；完全封堵Skype需要专门插件1.2ACL访问规则ACL访问规则、股票软件控制、游戏软件控制（因为三者原理类似，故在此一并阐述）打开“ACL规则”对话框，在这里你可以设定要拦截的局域网主机发出的公网报文。1 借助ACL规则，你可以禁止局域网任意主机通过任意协议、任意端口、访问任意IP。这样你可以拦截局域网主机如：网络游戏在内的任意公网报文。添加ACL规则：输入规则名字：“边锋网络游戏世界”，本地IP选择“任意”，目标IP选择“任意”，协议选择“TCP”，端口选择“4000”。这样就可以禁止局域网所有主机连接“腾讯游戏”。如图8-9.1：图8-9.1：添加ACL访问规则注：正式版会提供当前所有流行的网络游戏ACL规则列表。通过ACL规则列表，你可以禁止局域网主机玩当前几乎所有流行的网络游戏，并且ACL规则列表实时更新。1.1股票控制首先点“股票限制”，然后勾选要控制的股票软件，点击确定即可，如下图8-10.1。图8-10.1：启用股票控制1.2控制时间设置打开“时间”1 对话框，你可以设置控制时间。你既可以设定控制全部时间（以蓝色表示），又可以设定控制工作时间（早9：00-17：00）。系统默认控制全部时间，你可以右键点击取消，然后选择“工作时间”，也可以不设定控制时间。但是如果希望所有的控制项目生效，则必须选择控制时间。如图8-11.1：图8-11.1：控制时间设置注：选择控制时间时，必须根据星期几和时刻来确定。1.1应用策略建立好策略后，你可以在“主机列表”里面，双击其它“未指派策略”的主机，指派已经建好的策略，也可以再建一个新的策略。如图17，双击某个主机，系统会提示你已经建立了一个策略，你可以选择继续新建一个策略，又可以选择选择否，而直接指派你刚才建立的策略，或者仍旧保持“未指派策略”状态。如果你选择否，则系统就会弹出一个新的对话框。如图8-12.1：图8-12.1：新建或指派策略图8-12.2：指派已建策略1.2指派策略如果你想对所有的主机或者一部分主机都应用同一个策略，请在软件左侧功能栏的“策略设置”里面选择“指派策略”。如图8-13.11 图8-13.1：指派策略点击后会弹出一个窗口，左右两侧分别为已经指派策略的主机和未指派策略的主机，你可以把其中的一个已经建立好策略的组或未建立策略的组里面的所有主机，全部指派到右侧的某个策略组里面或未指派的策略组里面；你也可以选择某一个或几个（按住shift选择）已经指派策略的组或者未指派的组里面的主机，指派到右侧的某一个已经建立的组或未建立的组里面；右侧的同样也可以指派到左侧的组里面。这样的转换是为了让管理员可以根据情况对不同的主机灵活分配上网权限。转换后可以立即生效。如下图7-13.3：图8-13.3：将学生策略组里面的主机指派到教师策略组里面1 图8-13.4：将教师策略里面的主机指派到学生策略组里面1.1策略设置点击软件左侧功能栏的“策略设置”，点击“新建策略”，输入策略名字，然后系统会弹出一个对话框，你可以按照控制需要点击各个控制项目进行控制。设置完毕后，选择保存。你也可以选中编辑好的策略进行更改配置。操作如上述所示。1.2安全管理在这里，你可以设置IP-MAC绑定。首先点击“启用IP-MAC绑定”，然后你可以点击“获取IP-MAC列表”。你也可以进行：主机名、IP、网卡的三重绑定。你也可以单机IP、网卡进行更改，也可以手工添加、删除等操作。另外，绑定IP之后，你也可以选择下面的两个控制措施，如：“发现非法IP-MAC绑定时，发送禁止消息”以及“发现非法IP-MAC绑定时，断开改主机公网连接”等等。如下图8-15.1：图8-15.1：进行IP-MAC绑定注：如果你的局域网已经进行了IP-MAC绑定，请首先取消，否则可能导致局域网暂时掉线，并可能导致软件的一些功能失效；如果你的局域网没有进行IP-MAC绑定，你可以选择上述各项，以增强网络安全；如果你的局域网对安全要求不高，也可以不选。1.3局域网攻击工具检测及防御1 系统可以检测当前对局域网危害最为严重的三大工具：局域网终结者、网络剪刀手和网络执法官，因为这三种工具采用windows的底层协议，所以，无法被防火墙和各个杀毒软件检测到。而聚生网管可以分析其报文，可以检测出其所在的主机名、IP、网卡、运行时间等信息，以便于管理员迅速采取措施应对，降低危害；同时，系统集成了“增强性主动管理工具”，可以将局域网内危险计算机进行完全的隔离，被隔离后的计算机既不能访问公网，又不能访问局域网，也不能被局域网内的其它计算机所访问，从而最大限度地保证内网的安全；同时，针对当前局域网内经常爆发ARP病毒、ARP攻击的现状，聚生网管系统集成了局域网内ARP病毒、ARP攻击的专项检测工具，启用此功能之后，如果局域网内有电脑遭遇ARP病毒和ARP攻击，那么聚生网管系统会自动将攻击主机进行记录，同时，聚生网管还集成了对ARP病毒和ARP攻击的自动免疫机制，会自动向局域网内发送ARP攻击、ARP病毒的免疫信息，如果局域网电脑遭遇ARP病毒和ARP攻击时，聚生网管系统会自动加大免疫力度，从而可以最大程度避免局域网内电脑掉线、网络访问不正常的现象，给网管足够的时间进行补救。如图8-16.1：图8-16.1：检测局域网三大攻击工具及ARP病毒、ARP攻击专项检测工具第1章评价、评审1.1环境搭建效果测试、评价1.2项目合作效果评价1.3项目组长工作效果评价1.4项目报告评审1 1'