浅谈企业局域网的组建.doc

浅谈企业局域网的组建摘要 随着办公自动化的需要，办公室使用的计算机数目越来越多；而且一些办公设备如打印机、传真机和扫描仪等，在日常办公中应用的频率越来越高。为了提高办公设备的利用率，节省开支，最好的解决办法就是组建一个局域网，共享这些资源。局域网接入internet的方式有多种，对于大、中型局域网来说，通常使用交换机、路由器或专线连接internet。关键词：局域网、拓扑图、操作系统、vlan27目录前 言1第一章 设计局域网的分析1第一节 环境分析1第二节 网络费用分析1第三节 网络总体需求分析1第四节 网络安全性需求分析2第五节 需求分析结果2第二章 设计局域网方案3第一节 设计原则3第二节 网络对安全需求分析：32.2.1安全状况分析32.2.2安全防范系统42.2.3防火墙系统42.2.4入侵检测系统42.2.5病毒过滤及防护52.2.6桌面防护系统5第三章、局域网系统的设计6第一节 网络拓扑图的分析6第二节 局域网拓扑结构设计:6第三节 布线系统设计83.3.1综合布线基本概念83.3.2 eia/tia 568国际综合布线标准83.3.3 布线系统设计83.3.4 综合布线系统设计93.3.5 建筑物内部布线方式9第四章 局域网的实现10第一节 设备的选择104.1.1 交换机104.1.2 路由器10第二节 网络操作系统的选择114.2.1 操作系统114.2.2相关软硬件的安装124.2.3 网络防火墙的安装144.2.4 ip地址的设置15第五章 vlan的配置17第一节 单交换机vlan基本配置17第二节 多交换机vlan的配置：19第六章 局域网安全问题解决方法21第一节 黑客和病毒的防范21第二节 数据的备份和恢复21第三节 网络的安全管理21第四节 网络管理者和使用者的安全教育22第六章 网络测试技术：23第一节 网络测试的常见测试软件23第二节 排除问题的步骤23第三节 网络服务测试246.3.1连通性故障通常表现为以下几种情况246.3.2解决问题的步骤及方法25结束语26致 谢26参考文献27前 言局域网是计算机与计算机相互连接具有独立通信和数据传输的网络，并分布在较小地理范围内的计算机网络，建立局域网可带来的巨大收益；共享光驱、打印机、modem、系统资源、数据库资源；实现办公自动化和无纸化办公；并可以实现局域网和外部互联网的连接；采用网络技术共享每台计算机上的信息资源，实现远程办公，而降低了企业单位的成本，提高了工作效率。第一章 设计局域网的分析第一节 环境分析根据公司大楼的结构特点制定详细的网络连接图，其中包括如下信息： 网络上个信息点（即办公点）的分布图，工作空间大小与距离； 电源插座的位置，包括目前正在使用的插座的设备； 所有不可移动的物品的位置（如支撑柱，分隔墙，内置柜等）； 所有办公家具的当前位置； 所有计算机和打印机的外部设备的位置； 门和窗口的位置； 通风管道和目前电线的位置。第二节 网络费用分析 网络设备硬件：交换机、路由器、集线器、网卡等。 服务器及客户机硬件设备：服务器群、海量存储设备、网络打印机、客户机等。 网络基础设施：ups电源、机房装修、综合布线系统及器材。 服务器系统软件：网管系统、网络操作系统、数据库、外购应用系统，网络安全（防火墙）与防病毒软件等。第三节 网络总体需求分析远程通讯线路或电信租用线路费用系统集成费用：包括网络设计、网络工程项目集成和布线工程施工费用。综合布线需求分析。第四节 网络安全性需求分析 分析存在弱点，漏洞与不当的系统配置； 分析网络系统组织外部攻击行为和放置内部职工违规操作行为的策略； 划定网络安全边界，使企业网络与外部网络能够安全隔离； 确保租用电路和无线链路的通信安全 ； 分析如何监控企业的敏感信息，包括技术专利； 分析工作桌面系统安全。第五节 需求分析结果根据网络现状和需求，网络技术设计的需求目标如下： 网络建成后，公司总部和各分支机构之间能够通过intenet方便快捷的互访； 确保网络链接的安全性，避免数据被窃听或篡改等； 确保网络中关键节点的可靠性； 网络便于管理和维护。 网络具有可扩展性。第二章 设计局域网方案第一节 设计原则符合国家相关法律规定；n 需求，风险，代价平衡分析的原则：对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略。n 综合性，整体性原则：运用系统工程的观点，方法，分析网络的安全问题，并制定具体措施；n 一致性原则：网络安全问题应与整个网络的工作周期同时存在，制定的安全体系结构必须与网络的安全需求相一致；n 易操作性原则：措施过于复杂，对人的要求过高，本身就降低了安全性。n 适应性，灵活性原则：能随着网络性能及安全需求的变化而变化，要容易适应，容易修改；n 多重保护原则：建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其他层保护仍可保护信息的安全；n 沉郁性原则；n 为了网络具有较好的可扩展性，需要考虑vpn设备的处理能力有一定的沉郁性，以便就爱你过来网络设备或链路扩充时仍能满足要求。第二节 网络对安全需求分析：2.2.1安全状况分析威胁局域网的安全风险很多,按性质大致可以分为两种:（一）：是对信息的威胁；（二）：是对设备的威胁；有计算机系统本身的不可靠性、环境干扰以及自然灾害等因素引起的;也有工作失误,操作不当造成的;而人为故意的未授权窃取、破坏,敌对性活动危害更大。概括起来,局域网中存在的安全风险主要有以下四个方面: 计算机病毒的破坏：因为网络的设计目标是信息资源共享,所以网络是病毒滋生和发育的理想天地。尤其是人们经常使用的电子邮件,更是传播各种病毒的温床。可能在几小时内病毒将传遍数整个局域网直至使网络陷于瘫痪,造成灾难性的后果。近年来计算机病毒严重地侵入计算机系统,不安全性就显得更为突出。 恶意攻击：这是网络所面临的最大威胁,在局域网中更是如此。此类攻击可分为两类:一是主动攻击,对局域网进行全面破坏,致使局域网部分或全面瘫痪。另一类是被动攻击,只是窥探、窃取重要信息,但不影响局域网的正常工作。 人为失误：网络管理员安全意识不强,用户的口令选择不慎,将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。 软件本身的漏洞：网络软件中往往存在一些安全漏洞,而这些漏洞恰恰是黑客攻击的首选目标。这些预制的“后门”也是威胁局域网的一大隐患。2.2.2安全防范系统 安全防范系统是从技术上对局域网的安全提供保障,一个全方位的安全防范系统是由防火墙系统、入侵检测系统、病毒防预系统、风险评估系统、网管软件以及桌面防护系统等组成的。2.2.3防火墙系统 防范来自外部网络攻击最常用的方法就是在网络的入口部署防火墙。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一通道,能根据设定的安全策略控制(允许、拒绝、监测)出入网络的信息流,防火墙可以确定哪些内部服务允许外部访问,哪些外部主机被许可访问所允许的内部服务,哪些外部服务可由内部人员访问。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。2.2.4入侵检测系统 由于大部分的攻击事件来自内部网络,这恰恰是防火墙的盲区,而入侵检测系统(ids)却可以弥补防火墙的这种不足。入侵检测系统就是对网络或操作系统上的可疑行为根据策略做出反应,及时切断入侵源、记录并通过各种途径通知网络管理员,最大程度地保障系统安全,是防火墙的合理补充。入侵检测系统可以对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测系统在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。2.2.5病毒过滤及防护 局域网中病毒威胁来自多个方面,在一个具有多个网络入口连接点的企业网络环境中,病毒可以由软盘、光盘等传统介质进入,也可能由电子邮件、文件下载、浏览网页、即时通讯等网络途径进入。为了免受病毒所造成的损失,可以采用多层的病毒防护体系,实现全网统一查毒杀毒,在interet网关上配置硬件的病毒过滤网关,在邮件服务器入口处部署邮件过滤系统,在其他服务器和客户机上安装防病毒软件,从而实现全网分布式的病毒防护。2.2.6桌面防护系统除了从网络入口、服务器上进行安全防护外,终端用户的桌面防护系统也很重要。在终端系统上安装防火墙软件和防病毒软件,设置安全的用户口令、禁用不常用的服务和端口都是十分必要的。因为终端计算机即是外来攻击的目标,同时也是发起内部攻击的入口,所以终端系统自身的防护也是整个网络安全防护系统中一个必不可少的组成部分。第三章、局域网系统的设计第一节 网络拓扑图的分析对于公司的计算机终端和网络终端等不多于100台的网络，采用两层结构，以三层交换机（quidways5600系列）作为核心交换设备，实现接入交换机、网络服务器、路由器之间的高速链接，并采用中端路由器（cisco3800）实现与核心路由器的链接。在设计网络结构时，经过充分的考虑其成本、扩充性、安装维护是否方便等综合这些因素，在以太网与令牌网两种结构类型中，最后确定选择以太网，这是因为以太网的组成较为简单，便于公司的专业人员和非专业人员对网络的日常维护。鉴于各工作站独立工作及协同工作的双重要求，工作站微机间的连接采用星形拓扑结构，在主计算机(host)与工作站间采用总线结，以增强多用户访问时的可靠性，保证一定的传输速率。目前在局域网上应用较为广泛的网络类型是客户机服务器(c1ientsener)网。此种网络至少需要一台服务器来提供网络服务和网络的运行管理。网络中所有的电脑终端均能共享服务器的软、硬件资源。网络运行稳定，有利于信息的统一管理和安全保密，并且易于系统的升级。但由于要配置服务器，所以网络投资较大。鉴于企业对于网络速度要求较高,可以采用路由器和交换机这种比较高级、性能更好的组网方式。（1）系统需求分析，对系统各种功能需要进行总结该企业有100台电脑入网，属于中小型局域网，且具有拨号上网功能。 (2）进行设备的选型，网络操作系统选择，windows 2000 server 简体中文版操作系统。第二节 局域网拓扑结构设计:对于已经上了一定规模，在内部已经有了几个部门的企业，如果所有部门的用户无差别地处于对等网中，不仅使许多敏感数据容易被无关人员获取，而且部门内的大量通信也会占用大量的网络资源，使整个网络的效率变低，甚至引起崩溃。为了克服这个缺点，需要将经常进行通信的计算机组成一个子网，使大量的内部数据局限在子网内传播，然后将各个子网连接在一起形成局域网。局域网具体的结构图如图3-1所示：调制解调器（modem）路由器（router）总交换机server（http）server（ftp）c子网交换机internet子网交换机子网交换机子网交换机子网交换机cccccccccccccccc打印机打印机20台20台20台20台20台绘图仪图3-1局域网具体的结构图 在这个方案中，使用了isdn/modem，通过拔号连接到互联网中；路由器和集线器之间，可以设置一台安装了两个网卡的服务器，分别连接在路由器和集线器上，作为网关，运行防火墙软件等，进行网络管理和安全防范。在方案中，用isdnmodem作为统一的出口。避免每台pc配一个modem，减少了购买费用，并且容易管理；而使用一台服务器加上网络管理的方法，在一定程度上节约了费用，但可能造成系统不稳定，在维护和管理上也比较困难，所以在经费允许的情况下，最好使用路由器作为连接广域网的接口。在中心使用交换机，以提高整个网络的性能和速度，各个子网中的计算机用集线器连接。对于比较重要、日常数据比较敏感的部门，例如财务部门，可以考虑使用部门服务器，存放重要数据，并运行防火墙程序，屏蔽非法的访问，而普通部门的集线器可以直接与中心的交换机连接。对于打印机、绘图仪等外部设备，可以根据需要放置在中心或相应部门，而在内部需要大量数据传输的部门，可以采用交换机替代集线器作为部门的网络节点。代理服务器是你和互联网之间的另一台计算机(由你的isp控制)，所有进出你计算机的信息必须首先通过代理服务器。虽然听起来不太好，但对每个订户其实相当不错，代理服务器可作为天然防火墙，阻止不怀好意的黑客闯入你的计算机。代理服务器还具有高速缓存经常访问的网页的能力，可以过滤掉某些你不喜欢的内容，如广告，不想浏览的网页等。第三节 布线系统设计3.3.1综合布线基本概念综合布线是对传统布线方式的彻底变革，经过统一的规划设计，它将所有话音、数据、视频信号与控制设备的配线等综合在一套标准的配线系统中。综合布线系统能够支持多种信息的传输，支持多种传输介质，支持多用户多类型产品的应用。此外，通信设备替换、移动和扩充极为简单、方便。3.3.2 eia/tia 568国际综合布线标准这个标准确定了一个可以支持多品种多厂家的商业建筑的综合布线系统，同时也提供了为商业服务的电信产品的设计方向。即使对随后安装的电信产品不甚了解，该标准可帮您对产品进行设计和安装。在建筑建造和改造过程中进行布线系统的安装比建筑落成后实施要大大节省人力物力财力。 这个标准确定了各种各样布线系统配置的相关元器件的性能和技术标准。为达到一个多功能的布线系统，已对大多数电信业务的性能要求进行了审核。业务的多样化及新业务的不断出现会对所需性能作某些限制。用户为了了解这些限制应知道所需业务的标准。3.3.3 布线系统设计 综合布线要符合楼宇管理自动化、办公自动化、通信自动化和计算机网络化等多功能需要的布线系统。系统应能支持话音、图像、图形、数据多媒体、安全监控、传感等各种信息传输，支持光纤、非屏蔽双绞线（utp）、屏蔽双绞线（stp）、同轴电缆等各种传输载体，支持多用户多类型产品的应用，支持高速网络的应用。综合布线系统通常包括六个子系统：工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理子系统和建筑群子系统。3.3.4 综合布线系统设计综合布线系统设计要根据建筑结构和用户需求来确定，这一过程主要包括以下几个要点：（1）尽量满足用户的通信要求；（2）要了解建筑物内部的通信环境；（3）确定合适的通信网络拓扑结构；（4）选取将要使用的传输介质；（5）以开放式为基础，尽量与大多数厂家的产品和设备兼容，按照通用的标准进行设计；（6）系统初步设计成本估算；（7）将系统初步设计和建设费用预算告知用户；（8）最后在征得用户意见并签订合同后，在制定详细的设计方案。 综合布线可采用utp,stp或者光缆，在欧洲综合布线所采用的线缆占主流的是屏蔽系统，而在北美广泛使用的是非屏蔽系统，在高容量主干及严重干扰的情况下就使用光缆作为屏蔽系统。但stp屏蔽式系统若使用不当，非但达不到整体的屏蔽的完整性，其性能会比utp系统更差。utp是目前较为成熟、可靠的商用建筑综合布线系统所采用的线缆，通常情况下也可以满足在干扰环境下的使用需求。所以本网络使用utp或光缆。3.3.5 建筑物内部布线方式建筑物内部布线通常有三种方式：走墙壁、走屋顶、走地板，走线有两种选择：明线和暗线。当布线房间或走道比较狭窄且层高较低时，宜选择明线，用pvc线槽走墙壁。采用明线费用较低，采用暗线不仅昂贵，而且需要架顶，架地面或打夹层，不过比较美观。若房间的高度允许，可以选择架顶或架地板，架地板更贵一些不过便于维护，若房间的宽度允许可以通过墙壁走暗线，给墙壁打夹层可以给墙壁装饰得很漂亮，也易于维护。在楼层过道三种方式都可以，但站点较集中的房间建议采用架地板的方式，会使安装和维护都更方便。第四章 局域网的实现第一节 设备的选择4.1.1 交换机 本方案采用思科交换机 ws-c2960-24t介绍如下：网络标准为ieee 802.1s ieee 802.1w ieee 802.1x ieee 802.3ad ieee 802.3x全双工，在10base-t、100base-tx和1000base-t端口上 ieee 802.1d生成树协议传输速率（mbps）10/100交换方式存储-转发。端口类型为10base-t/100base-tx。ws-c2960-24t系列全千兆智能弹性交换机是思科公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用华为-3com公司创新的irf（intelligentresilientframework，智能弹性架构)技术，支持高达96g的堆叠带宽和高密度千兆端口，支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。quidways5624p/5648p：采用交、直流双输入电源模块供电，并可通过更换电源模块提供千兆poe功能。后面板提供两个固定的堆叠接口和一个扩展模块插槽，扩展模块可选配8端口千兆sfp模块、1端口万兆模块或2端口万兆模块。前面板提供24个10/100/1000base-t自协商以太网端口（rj-45连接器）及4个sfpcombo接口。4.1.2 路由器 路由器选用华为quidway ar28-3，它属于中端路由器，用于实现中小型网络的internet连接。华为quidway ar28-3为集成多业务路由器，带交流电源，2fe，四个接口卡插槽，2aim。具体参数如图4-1所示：图4-1华为quidway ar28-3路由器参数第二节 网络操作系统的选择：4.2.1 操作系统操作系统是决定网络工作方式和性能的另一决定因素。当了解了网络局操作系统的基本特点后，对于自己的网络，究竟应该选择什么样的操作系统呢，下面给出几点建议。（1）如果是组建小型或中型网络，windows server 2003或windows server 2003 advanced server应是比较好的选择；（2）如果是组建全新的网络，规模又比较大，如大型企、事业单位，有远程互联的需要，并且对安全稳定性有较高的要求，那么就应选择unix；（3）如果已具备了unix的操作经验，且服务器配置不太高（pentium级），则可选择linux，因为linux具有unix的特性，且要求服务器、工作站的配置都不高。（4）如果我们只是想拥有一个能够共享文件和资源的对等网络环境，要求建网成本低廉，易维护且不对网络安全有特殊要求的话，安装windows 95/98/me对等网是理想的选择。4.2.2相关软硬件的安装（1）操作系统的安装：下面通过从光盘启动计算机安装一个全新的 windows 2000 server。启动安装程序后，就开始将必须得安装文件复制到磁盘中，然后显示出现一系列的对话框，用于设置系统相关的重要信息。步骤1:为 windows 2000 server 选择或创建一个分区在系统复制完安装文件并重新启动后，出现一个对话框要求创建或指定一个用于安装 windows 2000 server 的磁盘分区，用户可以在磁盘中未分区的可用空间上创建分区，也可以指定一个现有的分区，还可以删除一个或几个现有的分区然后创建一个新的分区。由于安装 windows 2000 server 的文件需要至少 1 gb 的可用磁盘空间，这在系统需求中已说明了，所以建议要创建或指定的分区大小应大于最小需求，分区的大小为 2-4 gb 就可以了。之后，选择文件系统。如果用户是升级，则可以使用当前的文件系统；然而，也可以更改为ntfs格式，它是推荐的 windows 2000 文件系统。步骤2:选择区域设置在地区设置对话框中，遵循指导来自定义语言、选择正确的时间区域和辅助功能设置。还可将 windows 2000 设置为使用多种语言和地区选项。步骤3:设置个人化软件在个人化软件对话框，键入用户的姓名，还可键入单位（可选）。步骤4:选择许可协议方式在“授权模式”对话框，选择客户端的授权模式，可以是每客户或每服务器方式。对于新的安装，系统要求用户选择客户端的授权模式，如果是升级安装，客户许可协议方式将根据已有设置自动设定。如果用户无法确定授权方式，则选择每服务器方式，因为用户可以随时将“每服务器”方式转换为“每客户” 方式，但注意只能进行一次转换，且这种转换是不可逆的。步骤5:输入计算机名称对于大多数语言来说，建议不超过 15 个字符。对于需要更多存储空间的语言，例如中文、日文或韩文，建议不超过 7 个字符。建议在计算机名中只使用 internet 标准的字符。这些标准字符包括数字 0 到 9、a 到 z 的大写字母和小写字母以及连字符 (-)如果网络上使用了 microsoft dns 服务，那么还可以使用范围更广的字符，包括 unicode 字符和其他非标准字符，例如 & 符等。使用非标准字符可能会影响与网络上的非 microsoft 软件的互操作性。计算机名的最大长度为 63 字节。如果名称超过 15 个字节（大多数语言是 15 个字符，有些语言是 7 个字符），安装 windows 2000 以前的计算机只靠该名称的前 15 个字符来识别此计算机。此外，对于长于 15 个字节的名称，需要额外的配置步骤。如果此计算机是某个域的一部分，则选择的计算机名必须不同于域内的其他任何计算机。如果此计算机是某个域的一部分，且包含多个操作系统，那么每个操作系统使用的计算机名必须各不相同。步骤6:设置管理员帐户密码在管理员密码对话框中，键入最多不超过 127 个英文字符的密码。为了具有最高的系统安全性，密码至少要 7 个字符（非强制性），并应采用大写字母、小写字母和数字以及其他字符（例如 *、? 或 $）的混合形式。 在确认密码对话框，再次键入密码。由于管理员帐户在 windows 2000 中的特殊性，出于对系统安全性的考虑，用户要格外重视这个帐户。安装程序在计算机上创建了一个称作 administrator 的用户帐户，它具有管理计算机全部配置的管理权限。管理这台计算机的人员一般使用此 administrator 帐户。出于安全考虑，建议为 administrator 帐户指定密码。将管理员密码设置为空，表明该帐户没有密码。在确认密码框内输入的密码必须与管理员密码中输入的密码完全一致。一定要谨记并保护好用户的密码。 在安装完成之后，为了获得最好的安全性，要更改 administrator 帐户名（但不能删除它）并始终为该帐户设置一个安全性高的密码。步骤7:选择 windows 2000 组件在windows 2000 组件对话框，选择系统运行所需组件。对于 tcp/ip 网络用户通常需要的组件包括 dhcp、dns 和 wins。要选取这些组件，可在安装过程中，在windows 2000 组件对话框内，选择网络服务，并单击详细资料，然后选择所需的一个或多个组件。如果在完成安装后，确定还需要其他组件，可以在以后添加这些必要的组件。要这样做，请在运行完安装程序之后，单击开始，指向设置，然后单击控制面板，在控制面板上，双击添加/删除程序。在添加/删除程序中，单击添加/删除 windows 组件。步骤8:设置日期和时间在日期和时间设置对话框中设置正确日期、时间和时区。如果想让系统自动调整夏时制，请选中根据夏时制自动调整时钟复选框步骤9:指定工作组名或域名在此用户需要选择本机是属于工作组还是将本机加入到一个域中，并指定工作组名或域名。在安装向导完成 windows 2000 server 的安装后，计算机重新启动。至此用户已经完成了 windows 2000 server 的基本安装。下面进一步配置 windows 2000 server。系统重新启动后，以管理员身份登录，屏幕上将出现配置服务器程序，利用它用户可以轻松地进行进一步的服务器配置。用户也可以通过单击开始，指向程序，再指向管理工具，然后单击配置服务器，启动配置服务器程序。下面介绍以下配置服务器所提供的配置选项的详细信息。active directory：设置用户帐户、组帐户及其策略、域、服务器角色、权限，还可以帮助维护系统的安全性、跟踪用户信息。文件系统,设置和管理共享文件夹及其他共享网络资源。打印服务器,设置和管理打印机、打印机队列以及其他与打印相关的元素。web/media 服务器：创建管理 internet 或企业内部网中的 web 站点、多媒体站点、ftp 站点和其他功能。要使用这些服务，必须在 windows 2000 server 内安装相应的组件。网络：选择、设置网络协议、远程访问和路由选择，包括dns和dhcp服务。应用程序服务器：对消息队列、组件服务和跨网络的分布式应用程序的相关支持，也包括终端服务。高级：windows 2000 resource kit 支持工具和可选组件，例如远程安装、终端服务器、证书授权及在基本安装过程中未安装的组件。4.2.3 网络防火墙的安装企业网络安全问题日益突显，因此防火墙的选择非常重要。建议选择性能较好的知名网络防火墙产品。1、启用windows xp的防火墙，必须进行设置；设置过程如下：(1）打开网络连接文件夹或找到网络连接的图标；（2）右键点击connection to the internet you want to share（共享internet连接）然后再右键点击properties（属性） ；（3）选择advanced（高级）任务条；（4）选择protect my computer and network by limiting or preventing access to this computer from the internet（利用这个计算机限制从internet进入的问并保护我的计算机和网络）在其下面有一个internet连接防火墙的检查框，鼠标点击选定； （5）点击 ok.结束操作。4.2.4 ip地址的设置在安装windows 2000 server时注意对共享和通讯协议的设置，通过通讯软件实现各机间email的传送。使用windows 2000 servers 里的dhcp来为网络中的计算机分配ip地址及tcp/ip设置，已解决人为设置ip地址时的劳动量大且易出错的问题。安装dhcp服务之前，需要纤维服务器设置一个静态ip地址，并升级为activedirectory 服务器的成员服务器。然后，即可通过windows组件向导或配置您的服务器向导来4.2.5 安装dhcp服务dhcp服务安装完成后，启动新建作用域向导，来创建一个作用域，为局域网的计算机提供ip地址。在ip地址范围对话框中设置输入欲分配给局域网计算机的ip地址范围，并设置长度与子网掩码。 如果允许 windows 2000 安装程序分配或获取 ip 地址，则在网络设置对话框中，单击典型设置。 windows 2000 安装程序将检查域中是否有 dhcp 服务器。如果域内有 dhcp 服务器，则该服务器会提供 ip 地址。如果域内没有 dhcp 服务器，自动专用 ip 寻址 (apipa) 功能会自动为这台计算机分配一个 ip 地址。为计算机指定静态 ip 地址及 dns 和 wins 的设置则执行以下步骤：（1）在网络设置对话框，单击自定义设置；（2）在网络组件对话框内，单击internet 协议 (tcp/ip)；（3）在internet 协议 (tcp/ip) 属性对话框内，单击使用下面的 ip 地址；（4）在ip 地址和子网掩码内，键入适当的数字（如果需要，还可指定默认网关）。如图4-2所示：图4-2网络设置通过路由器的路由功能设置网关地址 为 ：；为了便于管理，及时了解故障客户机或有特殊请求的客户机的位置，给客户机设置固有ip：-01；ftp服务器ip：05；http服务器ip：06。第五章 vlan的配置配置要求：将统一交换机上连接的pc机划分为两个vlan。通过ping命令检查正确性。两台交换机、八台pc机、八根rj45连线、一条交叉双绞线（用以连接trunk线路）、两条console控制台电缆(一端接交换机console口，一端接pc机串口)。通过配置交换机的vtp协议，交换机1为服务器模式，交换机2为客户模式，配置两个交换机间的vlan trunk线路，划分三个vlan。检查正确性。配置步骤如下：第一节 单交换机vlan基本配置按图5-1所示，在一个交换机上连接四台计算机：图5-1单交换机vlan基本配置pc1连接在交换机的1#端口，pc2连接在3#端口，pc3连接在5#端口，pc4连接在7#端口。创建vlan。vlan信息可以在服务器模式或透明模式交换机上创建。switchenable (进入特权模式)switch#vlan database (进入vlan配置子模式)switch(vlan)#vlan 2 name vlan2 (创建一个vlan2,由系统自动命名)switch(vlan)#vlan 3 name vlan3 (创建一个vlan3,并命名为vlan3)switch(vlan)#end（1）将端口3和5按图所示加入到 vlan2中；switch#config tswitch(config)#interface f0/3 (进入端口3的配置模式)switch(config-if)#switchport mode access (设置端口为静态vlan访问模式)switch(config-if)#switchport access vlan 2 (把端口3分配给相应的vlan2)switch(config-if)#exitswitch(config)#interface f0/5 (进入端口5的配置模式)switch(config-if)#switchport mode access (设置端口为静态vlan访问模式)switch(config-if)#switchport access vlan 2 (把端口5分配给相应的vlan2)switch(config-if)#exitswitch(config)show vlan (查看vlan配置信息)（2）将端口18和20按图所示加入到vlan3中；switch#config tswitch(config)#interface f0/1 (进入端口1的配置模式)switch(config-if)switchport mode access (设置端口为静态vlan访问模式)switch(config-if)#switchport access vlan 3 (把端口1分配给相应的vlan3)switch(config-if)#exitswitch(config)#interface f0/7 (进入端口7的配置模式)switch(config-if)#switchport mode access (设置端口为静态vlan访问模式)switch(config-if)#switchport access vlan 3 (把端口7分配给相应的vlan2)switch(config-if)#exitswitch(config)#show vlan (查看vlan配置信息)（结果省略）（3）按照图中的设置各台计算机的ip地址；（4）验证同一vlan中两台计算机能否ping通，不同vlan中两台计算机能否ping通。第二节 多交换机vlan的配置：catalyst 2950交换机2台，pc机5台。如图5-2所示： 图5-2多交换机vlan的配置pc1连接在交换机s1的1#端口，pc2连接在s1的7#端口，pc3连接在s2的2#端口，pc4连接在s2的4#端口，pc5连接在s2的6#端口。s1和s2之间用12#端口互连。（1）按上图所示连接网络；(2) 配置pc机：pc1的ip地址：1；pc2的ip地址：2；pc3的ip地址：3；pc4的ip地址：4；pc5的ip地址：5；子网掩码均为。用ping命令检查它们能否通讯。(3) 配置交换机：设置交换机s1的管理ip为1，子网掩码为；交换机s2的管理ip为1，子网掩码为。 用ping命令检查交换机与各pc机的通讯情况。(4) 在两台交换机上分别创建并划分vlan：按下图所示划分vlan。用ping命令检查各pc机间的通讯情况。（注意检查此时是否能满足“属于同一vlan的计算机间可以通讯，属于不同vlan的计算机间不能通讯”这一特征。）(5)配置trunk连接：把交换机s1的12#端口和交换机s2的12#端口设置为trunk端口。多个交换机之间通过trunk线路传送vlan信息。跨交换机的同一vlan内的数据也经过trunk线路传送。switch#config tswitch(config)#interface f12/1 (进入端口1配置模式)switch(config-t)#switchport mode trunk (设置当前端口为trunk模式)switch(config-t)#switchport trunk allowed vlan all (设置允许从端口交换数据的vlan)switch(config-t)#exitswitch(config)#exit图5-3再用ping命令检查各pc机间的通讯情况。（注意检查此时是否能满足“属于同一vlan的计算机间可以通讯，属于不同vlan的计算机间不能通讯”这一特征。）(6) 配置trunk参数：把交换机s1的12#trunk端口设置成只允许vlan2的信号通过。（注：此项配置boson不支持）再用ping命令检查各pc机间的通讯情况。（注意检查此时s1上的vlan1和s2上的vlan1是否还是属于同一vlan。）(7)检查配置结果：用show命令查看配置情况。第六章 局域网安全问题解决方法通过以上分析，局域网安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。我们必须采取相应的安全措施，杜绝安全隐患。第一节 黑客和病毒的防范首先确保上网服务器的安全及安全设置，安装病毒防火墙，全网安装杀毒软件，关闭不常用的端口。和公开服务器一样，维护人员要定期给服务器及用户端更新系统补丁，修补各种漏洞，杜绝因系统和软件漏洞发生的黑客事件和病毒入侵。还要定期升级杀毒软件及病毒库，有条件的企业或单位最好是安装能进行全网统一强制杀毒和升级的网络版杀毒软件。网络用户要养成不下载和使用不明软件，各种移动存储器使用前先杀毒的习惯。第二节 数据的备份和恢复制定网络数据备份机制。定时对数据进行备份和对机密数据进行加密等。重要的数据应做多个备份，可刻录成便于保存光盘，减少因存储设备损坏造成的不必要的损失。制定数据意外丢失的紧急保护预案，在数据意外丢失时能保证在最短的时间内恢复，尽量减少损失。第三节 网络的安全管理局域网的管理对整个网络的安全起着举足轻重的作用。深化网络安全管理，要做到以下几点：第一，网络硬件的管理。在平时的维护和管理中，注意要经常检查网络设备的状况，检查网络设备有无故障，供电设备有无破损、漏电等情况；保证网络通畅的情况下，尽量减小设备老化、故障等带来的不必要的损失，保证网络的物理安全。第二，网络安全监控和记录。运用路由器或网络管理工具，对网络的安全和记录进行监控和管理。包括网络数据流量、网络进出口数据包、网络端口运用等的监控和管理。并按时间对各种数据进行记录，以便在解决突发事件的时候有参考依据。第三，用户工作站的管理和维护。指派专门的维护人员，定期对工作站的设备进行检测、维护、维修等。硬件方面包括对设备的线路检测、用电检测、设备硬故障的处理、除尘等。软件方面包括对工作站的计算机定期升级系统补丁，升级新版本软件，修补系统及软件漏洞；定期清理系统垃圾、定期整理磁盘碎片、定期查杀病毒木马、清理恶意软件、定期备份数据、定期对系统的设置进行检查，清理不必要的软件和用户的非法设置等。第四节 网络管理者和使用者的安全教育局域网的安全管理和维护是一个长期而且不断变化的过程，不但要求网络管理者有着吃苦耐劳、刻苦敬业的精神，为了维护局域网的安全，网络的使用者也应该注意使用上的技巧，要具有一定的网络安全意识，杜绝各种使用上的网络安全隐患，为此，还应该做到以下两点：其一，加强业务学习，提高自身和应对能力和专业技术水平。计算机网络技术日新月异，作为一个专业的网络管理者和维护人员，就应该与时俱进，不断地学习新知识、掌握新技术，积累新经验，提高自身对网络中可能出现的各种突发事件的应对能力，解决在新的网络技术发展中所面临的新问题，确保局域网的安全。其二，重视网络安全的教育，提高安全意识。对局域网的所有用户开展网络的安全使用方面的培训和知识讲座，提高网络安全意识，避免因人为的操作不当引起的网络安全事故。鉴于单位局域网有着自己不同的特点，所以局域网管理员应根据本网络的特点采取适合自己的维护方法，并不断地在工作中总结经验，逐渐找到适合自己的局域网维护和管理方法，使得局域网的运行质量得到提高，安全水平得到提升。第六章 网络测试技术：第一节 网络测试的常见测试软件chariot是目前世界上唯一认可的应用层ip网络及网络设备的测试软件，可提供端到端，多操作系统，多协议测试，多应用模拟测试，其应用范围包括有线，无线，局域，广域网络及网络设备；可以进行网络故障定位，用户投诉分析，系统评估，网络优化等。从用 户角度测试网络或网络参数（吞吐量，反应时间，延时，抖动，丢包等）。本方案使用chariot来测试。第一步第一步：首先在ab计算机上运行chariot的客户端软件endpoint.双击endpoint.exe后出现一个对话框，确定后你会发现任务管理器中多了一个名为endpoint的进程。第二步：被测量的机器已经就绪了，这时候就需要运行控制端chariot了，我们可以选择网络中的其他计算机也可以在a或b计算机上直接运行chariot. 第三步：主界面中点new按钮，弹出的界面中点上方一排按钮的add pair.第四步：在add an endpoint pair窗口中输入pair名称，然后在endpoint1处输入a计算机的ip地址5，在endpoint2处输入b计算机的ip地址2.按select script按钮并选择一个脚本，由于我们是测量带宽所以选择软件内置的throughput.scr脚本。第五步：确定后我们点主菜单的run启动测量工作，当然直接点上面一排里的run按钮也是可以的。第六步：之后软件会测试100个数据包从a计算机发送到b计算机。由于软件默认的传输数据包很小所以很快测量工作就结束了。在结果中我们点throughput标签可以查看具体测量的带宽大小。如图6显示了a与b计算机之间的实际最大带宽为83.6mbp s.由于交换机和网线的损耗，往往真实带宽达不到100mbps，所以如果去掉交换机、网线的损耗传输速度能在80mbps就说明网络是互通的。第二节 排除问题的步骤（1）定位到连接至同一台交换机上的其他计算机上进行网络应用测试。如果仍不正常，在确认网卡和网络协议都正确安装的前提下，可初步认定是交换机发生了故障。为了进一步进行确认，可再换一台计算机继续测试，进而确定交换机故障。如果其他计算机测试结果完全正常，则将故障定位在发生故障的计算机与网络的连通性上。 （2）排除如果确定交换机发生了故障:应首先检查交换机面板上的各指示灯闪烁是否正常。如果所有指示灯都在非常频繁地闪烁，或一直亮着，可能是由于网卡损坏而发生了广播风暴，关闭再重新打开电源后试一试看能否恢复正常。如果恢复正常，再找到红灯闪烁的端口，将网线从该端口中拨出。然后找到该端口所连接的计算机，测试并更换损坏的网卡。如果面板一片漆黑，一个灯也不亮:那也不要过无担心:检查一下ups是否工作正常，交换机电源是否已经打开，或电源插头是否接触不良。如果电源没有问题，那恐怕就得更换一台交换机了。 如果确定故障就发生在某一条连接上，做起来就稍微麻烦些。首先，测试、确认并更换有问题的网卡。其次，用网线测试仪对该连接中涉及到的所有网线和跳线进行测试，确认网线的连通性。如果问题就出在这儿，那就简单了，重新制作网头或更换一条网线就是了。第三、检查交换机相应端口的指示灯是否正常，再换一个端口试试。第三节 网络服务测试6.3.1连通性故障通常表现为以