计算机网络基础课程设计-软件学院行政局域网规划.doc

辽 宁 工 业 大 学 计算机网络基础 实训报告题目： 软件学院行政局域网规划 院（系）: 软件学院 专业班级： 网络141 学 号： 141302005 学生姓名： 谢占一 指导教师： 闫海龙 教师职称： 助 教 起止时间：2014.12.01-2014.12.14实训任务及评语院（系）：软件学院 教研室：网络教研室学 号081404031 学生姓名 谢占一专业班级网络工程141班 实训题目软件学院行政局域网规划实训任务实训任务及要求：1、掌握基本网络的组建方法2、掌握子网划分的方法。3、了解WEB、FTP服务器的用途。实训过程中，要严格遵守实训的时间安排，听从指导教师的指导。正确地完成上述内容，记录实习日记，规范完整地撰写出实训报告。指导教师评语及成绩成绩： 指导教师签字： 2014 年 12 月 1日辽 宁 工 业 大 学 实 训 说 明 书（论 文）目 录第1章 实训目的与要求11.1 实训目的11.2 实训环境11.3 实训的预备知识11.4 实训要求1第2章 实训内容22.1网络总体设计22.2网络详细设计72.3网络管理软件的应用13第3章 实训日记17第4章 实训总结18参考资料19第1章 实训目的与要求1.1 实训目的 本实训要求学生能够对网络进行子网划分，掌握WEB、FTP服务器的组建方法，了解WEB、FTP服务器的用途及测试方法。1.2 实训环境 网络环境下，多媒体计算机一台（每人）。1.3 实训的预备知识 该实训安排在计算机网络基础课程结束后进行，学生已经掌握了一定的网络基础知识。1.4 实训要求实训过程中，要严格遵守实训的时间安排，听从指导教师的指导。正确地完成上述内容，记录实习日记，规范完整地撰写出实训报告。第2章 实训内容2.1 网络总体设计1、背景描述局域网规划的目的：企业建立局域网的目的，就是为了实现自动化无纸办公等高效率、低成本的运营和管理。对于企业而言，网络扩充和升级都是网管人员必须面对的。因此，IP地址的分配和管理对于网管来说尤为重要。体系化其实就是结构化、组织化，根据企业的具体需求和组织结构为原则对整个网络地址进行有条理的规划。一般这个规划的过程是由大局、整体着眼，然后逐级由大到小分割、划分的。从网络总体来说，体系化编制由于相邻且性质相同的办公区都在IP地址上也是连续的，这样不仅于便于网络管理，也方便网络升级。未来，一旦某个性能相同的办公室区域要划分VLAN或者单独接入互联网，地址无需重新分配。其实就是在初期规划时为将来的网络拓展考虑，眼光要放得长远一些，在将来很可能增大规模的区块中要留出较大的余地。例如，市场部目前有80台PC，由于市场部是人员增长速度最快的一个部门，我们可以分配给该部门一个整段的IP，192.168.1.X。这样既可以保证市场部IP地址的连贯性，又预留了充裕的升级空间。对于一个网管而言，网络设计与规划本应属于基本功，在实际工作中，网络设计与规划，也是考验网管技术水平的工作，也是一个蕴藏着诸多技巧的项目，更是展示网管绝技的一项工作。诸如网络设计与网络设备的选择，这些是网络设计与规划中的基本功，很多网管也都能处理的非常恰当。网络设计中，带宽计算、安全防范及容错，才是网络设计中很多网管容易忽视的细节。带宽计算：众所周知，企业申请接入互联网时，所申请的带宽越大，费用越高。对于网管来说，必须认真计算出自己所在企业对带宽的准确需求，这也是网管必须掌握的一项技能。带宽的计算，通常是按照企业网络中的PC数量和具体应用来计算的。在企业日常工作中，浏览网页，收发邮件，传输文件是主要应用，其中，每台PC浏览网页通常需要占用60Kbps的带宽，由于收发邮件和文件传输是偶尔性的操作。 因此，为了保障网络内每台机器可以流畅的访问互联网，60Kbps带宽是必须的。按照这个数量，乘以机器数量即可得到企业网络所需要的真正带宽。由于网络速度会的损耗，在计算出的带宽值中，最好让其上浮，这样不仅可以充分保障浏览互联网的流畅度，还可以保证企业网络增加三五台PC时不至于影响整体的网络速度。网络DOS命令：在Windows大行其道的今天，提及DOS命令，或许很多网管会对此不屑一顾。然而，在日常的网络维护和网络故障处理中，DOS命令却可以起到意想不到的效果。为此，网络DOS命令也成为一些网管必备的绝技之一。Ping、telnet等网络DOS命令就无需之介绍，下面，我在这里介绍几个在网络维护中经常用到的DOS命令。提高安全意识：提醒使用企业网络的员工不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序，比如“特洛伊”类黑客程序就需要骗你运行。尽量避免从互联网中下载不知名的软件，即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易穷举。将常用的密码设置不同，防止被人查出一个，连带到重要密码。重要密码最好经常更换。 使用防毒、防黑等防火墙软件：防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。 资料定期备份：对于重要的企业资料做好严密的保护，并养成资料备份的习惯。对于一些机密资料，最好加上密码，防止机密资料失窃。对于企业而言，一旦网络被攻击，企业面临的可能是商业机密的泄露，或者是网络的中断，这将会影响企业的正常运营。为此，网管必须积极做好防范网络攻击的工作。1、需求分析与组网原则 （1）拓扑结构需求分析在进行网络的总体设计前，应当首先搞清楚给哪些建筑物布线，每座建筑物中的哪些房间布线，每个房间的哪个位置要预留信息插座，建筑物之间的距离，建筑物的垂直高度和水平长度等。只有事先调查好这些情况，才能合理地设计网络拓扑结构，选择适当的位置作为网络管理中心以及作为设备间放置连网设备，有目的地选择组建网络所使用的通信价质和交换机。 （2）数据传输需求分析用户对数据传输量需求决定了网络应当采用何种连网设备和布线产品。就目前来看，视频会议、多媒体已经成为局域网络所必须支持的功能之一。基于这种大传输量的需求，以100Mb/s光纤做为主干和垂直布线，以100Mb/s超五类双绞线作为水平布线，从而实现100MB/s交换到桌面的网络，已经成为最普通的网络架构。基于这种大传输量的需求，100mb/s高性能交换机也已逐步从部门走向工作组。（3）性能需求分析不同厂家乃至不同型号的交换机在性能和功能上都有较大差异，有的安全性高，有的稳定性好，有的转发速率快，有的拥有特殊性能。因此，应当慎重考察和分析本网络对性能的根本需求，以便选择相应品牌和型号的交换机。2、网络设计原则 （1）高性能网络作为各种信息运行的承载平台，涉及到众多不同的应用及众多的用户。众多的用户，不同类型的应用，包括一些实时性强的交互业务应用（如即时语音，图像传输等），势必对网络的性能提出更高的要求。因此，设计时首先要考虑有足够的骨干带宽，合理的网络拓扑结构，先进适用的技术，同时还要努力实现网络的无阻塞性，而不能使网络成为业务应用的瓶颈。 （2）高可靠性网络系统的稳定可靠是应用系统正常运行关健保证。在网络设计时，应选用高可靠性的网络产品，合理的网络架构，制订可靠的网络备份策略，保证网络具有较好的故障自愈能力，以减少网络中断时间。在网络投入运营后，企业和用户会对网络产生依赖性，一旦网络中断，将造成巨大影响和损失。从企业应用的角度来看，此时再考虑网络的可靠性问题，无疑是一种投资浪费。 （3）安全性解决安全性问题需要制定统一的网络安全策略和过滤机制，充分使用各种不同的网络技术，从数据安全的角度来讲，还应将重要的数据服务器集中放置，构成服务器群，以方便采取措施集中保护，并对重要数据进行备份。 （4）可管理性局域网网络作为一种地理范围，分布较大的局域网网，甚至是一种多个局域网连接而成的广域网，日常管理及维护的工作量较大。为了尽可能提高工作效率，减少网络停顿时间，同时为未来网络的发展打下基础，必须使局域网具有良好的可管理性。选择方案时应考虑以下几个方面。1、对网实行集中监测，分权管理，并统一分配资源；2、选用先进的网络管理平台，可以集中对全网设备（路由、以太网交换机等）实施具体到端口的管理能力，并可提供及时的故障报警日志； 3、选用的网络设备及其它连接在网络上的重要设备都应支持远程管理；4、设计时需充分考虑运行维护问题，特别是在工程结束时，应要求建设方提供足够的设计及实施文档。局域网划分的效益：应用局域网将建立高性能的网络中心，实现网络运行中心和网络信息中心功能。同时建立基于高性能的多媒体信息系统和以信息交换、信息发布和查询应用为主的计算机网络应用基础环境，建设部门与部门之间的格局，设置了网络管理平台这样可以集中对全网设备的管理和调试，为领导决策、生产、管理提供先进的技术支持，使供电企业的管理达到一个新的水平。为了保证学院行政部门的信息，我们设计的局域网可以实现对部分网络信息的控制，避免被其他人使用或盗窃。2、网络拓扑图 如下图所示是软件学院行政局域网网络拓扑图。该图实现的是计算机安装在各自的办公室里，而把集线器放在网络管理员的房间里。因特网路由器交换机 PC机防火墙HubWEB服务器MAIL服务器PC机PC机PC机图2.1网络拓扑图3、网络拓扑说明如上图2.1-1所示的仅是一个最基本的星形以太网架构，实际的星形企业网络比这可能要复杂许多。我采用了路由器、防火墙、web服务器和mail服务器、集线器以及PC机。这复杂性不仅表现在网络设备如何高档，配置如何复杂，更重要的是表现在网络交换层次比较复杂。路由器连接因特网，实现网络互连，交换机于路由器和PC机相连，这样，PC机可以直接控制交换机。交换机于防火墙互联，这样，为了保护PC机有病毒入侵，所以，采用防火墙用来保护PC机。防火墙于集线器和WEB、MAIL服务器相连，它对网络进行集中管理，方便最底层PC机与上层之间的网络互连。这个里面的路由是需要有MAC地址管理功能的，这样可以通过路由决定哪台机器能否上网，在路由中间还可以加入动态DNS，方便网站架设，这个比较简单。好处是投资小，便于管理，但是性能一般，适用于数据流量不是很大的场合。所以，我们做的行政部门就可以用这个。由于路由采用和交换机全部采用100M 全双工，基本可以达到行政部门的要求。操作系统是采用的Windows XP，因为系统比较稳定，运转速度快，使用于局域网，它的内网数据安全可以保证，用路由限制可以访问内网的网卡物理地址，这样只有你规定的机器可以访问。至于内网的安排，可以用WIN自带的管理程序实现。交换机级联就是交换机与交换机之间通过交换端口进行扩展，这样一方面解决了单一交换机端口数不足的问题，另一方面也解决离机房较远距离的客户端和网络设备的连接。但这也不是说可以任意级联，因为线路过长，一方面信号在线路上的衰减也较多，另一方面，毕竟下级交换机还是共享上级交换机的一个端口可用带宽，层次越多，最终的客户端可用带宽也就越低，这样对网络的连接性能影响非常大，所以从实际角度来看，建议最多部署三级交换机，那就是核心交换机-二级交换机-三级交换机。 我采用的建网原则是：行政局域网应按照精心规划、统一管理、分步实施的原则，并注意充分调动各系、各部门的积极性。具体分以下步骤实施： 1当先建设高速主干网的主要框架，用光缆连接主要管理基层。具体实施目标和办法是先铺设南北院两个主结点间的光缆和两院主要大楼同结点间的连接光缆。 2、重点建成三个管理层内局域网。学院可重点投资建设行政办公室局域网，初步建立信息管理系统。其他办公室局域网可在学院统一管理下由各专业、各部门自己建立。 3、有重点地部分建设基于程控电话交换网的低速网即家庭拨号入网用户。低速网部分学校先用程控交换机通过几十个调制解调器和现成的电话线连接校领导及部分博士生导师、知名教授、学术带头人的家庭电脑，使他们能在家中通过拨号方式同国内国际通信和获取信息。4、购置部分网络应用软件，开通电子邮件、管理信息查询、图书情报查询等部分应用。 5、用光纤或电缆等连接我院所有主要大楼，包括教师住宅楼和学生宿舍楼。教师和学生是学校的主体，我们建设局域网的目的就是要让这一广大的主群体能够使用计算机和享受网络服务，在条件允许的条件下，应尽快满足他们的要求。开始时我们可在图书馆、网络中心建一些计算机房，让他们上机操作、查阅资料、获得信息，条件成熟时则将微机直接延伸到学生宿舍楼甚至每一间宿舍里。现在，软件学院的学生宿舍每间宿舍都可以直接上网，这就方便了许多。以后，新生入校注册时，校方将向每一个人给一个学号一样也每人分配给一个E-MAIL地址，使他们可以收发电子邮件和获取信息。 6、建成3台以上主要的局域网，并同主干网相连。教师管理的部分将就近直接连入主干网，有计划地逐步减少基于程控电话交换网的低速网用户。7、进一部完善网络设施和各种网络应用服务。全面充实和完善行政局域网建设，进一步配置多种强功能服务软件及各种信息资源。使行政网成为提供教学、科研、信息和通讯服务的方便、实用、人人都离不开的环境。2.2网络详细设计1、ip分配我划分的IP地址是B类，IP地址:子网掩码:首先，将网络划分为小区域，在进行更细致的划分，如图所示的网络中，把网络在划分为三个子网。在划分出的子网中，Internet上其他访问的主机，并不知道这个物理网络以划分为三个逻辑子网，而这三个子网对Internet上外部设备说仍然是一个网路。假设有机器发送数据给内部网络的主机，当数据到达和Internet相连的路由器之后，数据不是直接转发的，因为子网划分后，对IP地址的解释却改变了。和Internet相连的路由器知道物理网络在逻辑上已细分为三个子网，再通过网络内部的路由器转发，内部的路由器知道数据分组如何交付给子网该部分的所用的IP地址范围是- - -2、设备选择（1）网卡我选用的网卡是Intel PWLA8391GT，该网卡的网卡类型是千兆以太网网卡，网卡的传输速率是10/100/1000Mbp总线标准是PCI，接口类型为RJ-45，芯片为INTEL 82541PI，支持网络唤醒，支持网络全双工，传输介质为3/4/5类UTP,协议标准是IEEE802.2，IEEE802.3ab，LED指示灯为2个，该芯片的操作系统为Windows 98SE/ME/NT4/2000/XP, Linux2.2.5, Netware4.2,5.1,6.0。（2）集线器 我选用的集线器是TP-LINK，软件学院对集线器的要求不是很高。集线器的功能就是分配频宽，其中一款TP-LINK的16口集线器仅售260元，比较适合于我们行政部门的局域网，所以我采用它。TL-HD24ES双速24口10/100M以太网集线器。工程机架型结构设计，适用于中小型办公网络，兼容100BASE-TX和10BASE-T两种网络环境。端口速度100M/10M自动匹配外设；提供级联端口UPLINK方便网络扩容；LED面板灯动态显示电源、网路通断、端口速率、百兆带宽利用率、网络碰撞情况；出错端口自动隔离，以保证网络的正常运行。可堆叠端口提供芯片级的连接，节省端口资源，提高连接效率。特性：兼容 IEEE802.3,IEEE802.3u 以太网协议标准；24 口10/100M UTP/STP 接口；10M/100M双速自适应，最大传输速率10/100Mbps；动态LED指示灯，提供简单的工作状态提示及故障排除；工程机架型钢壳结构设计；故障端口自动隔离；UPLINK级联口，适合网络扩展；背板堆叠端口，提供芯片级的连接方式。（3）路由器 当两个不同类型的网络需要彼此相连时，就必须使用路由器。我选用的路由器品牌是斐讯 FR4880-PWR(DC)，它的价钱适当，在商家出售18510元，比较适合软件学院应用，而且还是新出场的产品。它全面采用模块化架构设计，支持各种广域网介入链路和标准，主要负责局域网和广域网的互联，可以为建立大型、复杂的广域网络提供完整的解决方案和技术支持。斐讯 FR4880-PWR(DC)能使用户节省建设广域网的投资，获得良好的投资回报，从而创造更多的价值。它可以提供包括分组过滤、分组转发、优先级、服用、加密、压缩和防火墙的功能。它是模块化设计的，可以灵活的配置，连接许多终端系统，连接对象很多，但系统相对简单，且数据流量较小，尽量实现尽可能多的端点互联，支持不同的服务质量。（4）转换器 我购买的转换器是V.35/RJ45协议转换器，当网卡和网卡之间的接口插槽不相同时，采用转换器。它可以将RJ45接头转换成BNC接头或AUI接头，在其行政部门，每个办公室负责的工作不同，使用的网线也不同，所以可以采用一个转换器，是完成V.35接口到以太网Ethernet接口之间互相转换桥接的通信设备。广泛用于数据通信网络中，如基带猫和局域网之间的连接，需成对使用。高度集成，超小体积，超低功耗，支持各种设备DCE、DTE方式的尾接；V.35与Ethernet速率自动协调适应；内部各单元工作电源相对独立，分别保护，互不影响；可作为高性价比的局域网延伸器。桥接器，中继器,打印服务器等局域网中介设备，由于它们用处太少，在本部分内只是备用的，为了以防万一而准备的，在这里就不一一介绍了。 3、设备调试该调试实现的是配置路由器的基本操作，掌握远程登录配置路由器的方法，路由器是把数据从一个地方传送到，另一个地方的行为和动作。而路由器正是执行这种行为动作的机器，是一种连接多个网络或网段的网络设备，它能将不同网络和网络之间的数据信息进行“翻译”，以使它们能够相互“读懂”对方的数据，从而构成一个更大的网络。1、实验拓扑图如下：ConsoleF1/0NICcom1网络拓扑图2.22、配置代码为：EHongfeienable 进入特权模式EHongfei # configure terminal ！进入全局配置模式EHongfei (config)# interface fastethernet 1/0 ！进入路由器接口配置模式EHongfei (config-if)# ip address ！配置路由器管理接口IP地址EHongfei (config-if)# no shutdown ！开启路由器f 1/0接口EHongfei (config)#show ip interface fastethernet 1/0 ！验证接口fastethernet 1/0的IP地址已经配置和开启EHongfei (config)# line vty 0 4 ！进入路由器线路配置模式EHongfei (config-line)# login ！配置远程登录EHongfei (config-line)# password star ！设置路由器远程登录密码为 “star” EHongfei (config-line)#endEHongfei (config)# enable secret star ！设置路由器特权模式密码为 “star” 或者 EHongfei (config)# enable password star查看配置文件show version ！查看版本及引导信息show running-config ！查看运行配置show startup-config ！查看用户保存在NVRAM中的配置文件保存配置文件EHongfei #copy running-config startup-config TELNET管理路由器图2.3路由器配置运行图在主机DOS命令行下输入： telnet 图2.4路由器配置运行结果图输入telnet密码和特权密码即可进入到路由器的配置界面。这样就实现了配置路由器远程登录功能，利用主机远程登录配置路由器功能。这样方便在局部控制整个学院的工作。4、网络安全网络安全的重要性不言而喻，一个没有采取任何防范的计算机网络，就像一个大门户开的房间，极容易受到各种攻击和威胁，可能导致网络无法正常工作。计算机网络安全实质上包括两方面内容：一是网络的系统安全，二是网络信息安全。考虑到多种因素分以下几点：1、密码的安全 ：众所周知，用密码保护系统和数据的安全是最经常采用也是最初采用的方法之一。目前发现的大多数安全问题，是由于密码管理不严，使 入侵者得以趁虚而入。因此密码口令的有效管理是非常基本的，也是非常重要的。 在密码的设置安全上，首先绝对杜绝不设口令的账号存在，尤其是超级用户账号。一些网络管理人员，为了图方便，认为服务服务器只由自己一个人管理使用，常常对系统不设置密码。这样，入侵者就能通过网络轻而易举的进入系统。另外，对于系统的一些权限，如果设置不当，对用户不进行密码验证，也可能为入侵者留下后门。比如，对WEB网页的修改权限设置，在WINDOWS NT 4 .0+IIS 4 .0版系统中，就常常将网站的修改权限设定为任何用户都能修改（可能是IIS默认安装造成的），这样，任何一个用户，通过互联网连上站点后，都可以对主页进行修改删除等操作。 其次，在密码口令的设置上要避免使用弱密码，就是容易被人猜出字符作为密码。他们的共同特点就是利用自己名字的缩写或6位相同的数字进行密码设置。 密码的长度也是设置者所要考虑的一个问题。在WINDOWS NT系统中，有一个sam檔，它是windows NT的用户账户数据库，所有NT用户的登录名及口令等相关信息都会保存在这个档中。如果入侵者通过系统或网络的漏洞得到了这个档，就能通过一定的程序（如L0phtCrack）对它进行译码分析。在用L0phtCrack破解时，如果使用暴力破解 方式对所有字符组合进行破解，那么对于5位以下的密码它最多只要用十几分钟就完成，对于6位字符的密码它也只要用十几小时，但是对于7位或以上它至少耗时一个月左右，所以说，在密码设置时一定要有足够的长度。总之在密码设置上，最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外，适当的交叉使用大小写字母也是增加被破解难度的好办法。 2、系统的安全 ：最近流行于网络上的红色代码、蓝色代码及尼姆达病毒都利用系统的漏洞进行传播。从目前来看，各种系统或多或少都存在着各种的漏洞，系统漏洞的存在就成网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早地发现有报告的漏洞，并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们有使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。比如上面提及引起红色代码、蓝色代码及尼姆达病毒的传播流行的Unicode解碼漏洞，早在去年的10月就被发现，且没隔多久就有了解决方案和补丁，但是许多的网络管理员并没有知道及时的发现和补丁，以至于过了将近一年，还能扫描到许多机器存在该漏洞。 在行政网中服务器，为用户提供着各种的服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。因此从安全角度考虑，应将不必要的服务关闭，只向公众提供了他们所需的基本的服务。最典型的是，我们在网罗服务器中对公众通常只提供WEB服务功能，而没有必要向公众提供FTP功能，这样，在服务器的服务配置中，我们只开放WEB服务，而将FTP服务禁止。如果要开放FTP功能，就一定只能向可能信赖的用户开放，因为通过FTP用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。 在WINDOWS NT使用的IIS，是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，为了加大安全性，在安装配置时可以注意以下几个方面： 首先，不要将IIS安装在默认目录里，可以在其它逻辑盘中重新建一个目录，并在IIS管理器中将主目录指向新建的目录。 其次，IIS在安装后，会在目录中产生如s cripts等默认虚拟目录，而该目录有执行程序的权限，这对系统的安全影响较大，许多漏洞的利用都是通过它进行的。因此，在安装后，应将所有不用的虚拟目录都删除掉。 第三，在安装IIS后，要对应用程序进行配置，在IIS管理器中删除必须之外的任何无用映射，只保留确实需要用到的档类型。对于各目录的权限设置一定要慎重，尽量不要给可执行权限。 3、目录共享的安全 在行政网络中，利用在对等网中对计算机中的某个目录设置共享进行数据的传输与共享是人们常采用的一个方法。但在设置过程中，要充分认识到当一个目录共享后，就不光是校园网内的用户可以访问到，而是连在网络上的各台计算机都能对它进行访问。这也成了数据数据安全的一个隐患。4、木马的防范 相信木马对于大多数人来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一台计算机一旦中上木马，它就变成了一台傀儡机，对方可以在你的计算机上上传下载档，偷窥你的私人档，偷取你的各种密码及口令信息中了木马你的一切秘密都将暴露在别人面前，隐私？不复存在！木马，应该说是网络安全的大敌。并且在进行的各种入侵攻击行为中，木马都起到了开路先锋的作用。 木马感染通常是执行了一些带毒的程序，而驻留在你的计算机当中，在以后的计算机启动后，木马就在机器中打开一个服务，通过这个服务将你计算机的信息、数据向外传递，在各种木马中，较常见的是冰河，发现每个C类IP网段中（个人用户），偶尔都会发现一、二个感染冰河的机器。由此可见，个人用户中感染木马的可能性还是比较高的。如果是服务器感染了木马，危害更是可怕。 木马的清除一般可以通过各种杀毒软件来进行查杀。但对于新出现的木马，我们的防治可以通过端口的扫描来进行，端口是计算机和外部网络相连的逻辑接口，我们平时多注意一下服务器中开放的埠，如果有一些新埠的出现，就必须查看一下正在运行的程序，以及注册表中自动加载运行的程序，来监测是否有木马存在。 当然对于这些方面的安全还可以通过设置必要的防火墙，建立健全的网络管理制度来实现。但是在网络内部数据安全上，还必须定时进行数据安全备份。对于硬盘中数据备份的方法很多种，在WINDOWS 2000 SERVER版本上，提倡通过镜像卷的设置来进行实时数据备份，这样即使服务器中的一个硬盘损坏，也不至于使数据丢失。2.3网络管理软件应用我选择局域网网络管理软件是Sniffer；一个安全检测的有效工具-虚拟机，当计算机上软件很多时会被杀毒软件当作病毒给杀掉，如果直接拿这些软件来对别人的机器进行测试是一项不安全的措施，无论是对别人还是对自己来说都太不安全了。所以我们要先装一个虚拟机，里面装XP系统就可以了，所有的软件都装在这个虚拟的系统里面，自己就可以对自己进行测试，学习了，不必考虑再拿到局域网中进行实验，这样无论对别人还是自己都是负责任的，虚拟机本次安装的是VMware6.0.2这个版本。然后用Sniffer工具抓取用户名/密码：SNIFFER软件有很多，但是我只采用一个轻量级的Wireshark，它的使用也是非常简单，这没什么说的，双击该程序的图标启动即可。点击“List the available capture interfaces”按钮，按中自己的网卡，再点“Options”，再点“Start”，就可以开始监控本网段内的一切网络活动了。我们在真实的机器上进行一次FTP操作，查看捕获到用户名/密码：这时就可以看到有数据记录了，点“Stop”，再选中“Info”栏中带有“ftpSYN”字样的一栏（因为在FTP的同步过程中会传输用户名和密码），点右键，选择“Follow TCP Stream”如图1所示，我们就得到了一次FTP操作的用户名和密码。再利用Cain，做ARP欺骗：SNIFFER类的软件功能很强大，但是对于一般的用户来说，在众多的信息中寻找自己需要内容太麻烦了，好在Cain可以帮我们记录多种网络操作的密码，操作步骤如下：让我们启动Cain，点选“Sniffer”，再点击“Start/Stop Sniffer”按钮，这时再点击“”，会对本局域内的MAC地址列表进行扫描（这里也要说明一下，Cain软件也只能对同一网段的机器进行扫描）。再点下面的“APR”，继续点击“”，在出现的对话框中左边一栏选网关的地址，右边一栏选择需要监控的地址，一切就绪后再点“Start/Stop APR”按钮，下面就等着用户名和密码出现吧，比如我们再做一次登录FTP服务器的操作，就会看到很轻松的就把FTP的用户名和密码得到了。本次规划的是软件学院行政局域网规划的网络管理，关于网络管理的定义目前很多，但都不够权威。一般来说，网络管理就是通过某种方式对网络进行管理，使网络能正常高效地运行。其目的很明确，就是使网络中的资源得到更加有效的利用。它应维护网络的正常运行，当网络出现故障时能及时报告和处理，并协调、保持网络系统的高效运行等。国际标准化组织（ISO）在ISO/IEC7498-4中定义并描