毕业设计（论文）-小型企业局域网组建与配置.doc

学 年 论 文题 目： 小型企业局域网组建与配置 学 院： 计算机科学与工程学院 专 业： 计算机科学与技术 班 级： 2014级卓越工程师班 学生姓名： 学 号： 指导教师： 摘 要在现代社会发展的过程中，计算机已经深入各行各业，是人们工作生活必不可少的工具。很多企业为了提升整体的工作效率，在很多办公室中都配置了计算机，并组建了局域网进一步促进企业内部信息的沟通与交流，共享各种内部的资源，并对不同部门的工作情况进行适时的监控。局域网在信息时代的日常办公中，发挥着越来越重要的作用。基于此，本文以某小型企业为例，就该企业局域网的组建，相关配置技术及策略进行简单论述，由于该企业的建设工程刚刚完工，本文还在设计阶段，并未入工程阶段，本次论文的设计拓扑结构图和配置数据是在模拟器上进行的，与实际项目中有一定的误差。本次学年论文设计中主要运用了所学过的路由和交换技术。关键词局域网、小型企业网络、拓扑图、网络配置；AbstractIn the process of modern social development, the computer has gone into all walks of life and is an indispensable tool in peoples working life. Many enterprises in order to improve the work efficiency of the whole configuration in a lot of office computer, and set up the local area network to further promote the enterprise internal information communication and the exchange, sharing all kinds of internal resources, and the different departments work timely monitoring. LAN is playing an increasingly important role in the daily office of the information age. Based on this, this paper, taking a small business as an example, is the enterprise to form a local area network (LAN), related technology and strategy for simple configuration, because the enterprise of construction project has just completed, this article also in the design phase, not into the stage of engineering, this paper the design of the topological structure and configuration data is conducted on simulator, and there is a certain error in practical project. The main application of this academic years paper design is the routing and switching techniques.Key words Local area network; small business network; topology; network configuration;-I-目 录摘 要IAbstractII目 录1第1章 绪 论11.1 局域网络的作用11.2 局域网的组建11.3 局域网的日常维护工作2第2章 项目设计32.1 需求分析32.2 拓扑结构32.3 组网设备42.4 地址规划52.5 OSPF工作原理分析6第3章 项目实现73.1 交换机配置73.2 Windows Server 2016的安装，配置93.3 DNS服务器的配置93.4 DHCP服务器的配置93.5 邮件服务器的配置103.6 网络 Web ，FTP服务器的建立，管理和使用103.7 安装网络杀毒软件123.8 硬件系统的安全防护123.9 软件系统的安全防护13第4章 系统测试154.1 对管理IP地址测试154.2 对相同vlan内的通信进行测试164.3 对不同vlan内的通信进行测试194.4 对冗余链路的工作状态进行测试20第5章 总结22参考文献23致 谢24第1章 绪论第1章 绪 论1.1 局域网络的作用1. 信息数据的共享在利用计算机开展工作的过程中，能够很好地发挥信息数据的共享作用。在利用计算机开展工作的过程中，不同的计算机中会安装不同的应用程度、会有不同类型的文件、连接的打印机、传真机等都不同，通过对局域网的使用能够让这些资源为多个计算机使用，能够集中利用资源，能够很好地进行信息数据的共享，同时能够降低计算机使用的成本。2. 对于信息数据的管理与处理在工作的过程中，利用计算机局域网开展工作能够对信息数据进行管理和处理工作。通过对局域网络的使用能够对多个计算机上的资源进行共享和使用，这样能够提升信息的整体利用效率，能够让集中管理系统发挥自身的价值和作用。这样能够更好地提升整体工作效率，能够让一个任务在多个计算机上进行分别处理和完成，这样对于大型项目的处理和课题研究工作具有中重要价值和意义。通过分布处理工作能够将工作进行分阶段和分元素的处理工作。局域网的使用能够读信息数据进行管理和处理，能够极大提升工作效率。3. 局域通信功能在工作的过程中通过对局域通信网络的使用，能够实现局域内的通信。在工作的过程中，由于办公室之间的距离较远，在进行信息传递和处理的过程中效率较低。通过对局域网络的使用，能够更好地进行信息的传递，是电话、传真等通讯方式的补充，能够随时获取内部的信息和资源，能够提升信息运用和处理能力。实现局域内的通信，能够提升工作效率。1.2 局域网的组建1. 局域网组建硬件条件在进行局域网组建的过程中，需要具有一定的硬件组成条件。在进行局域网组建的过程中，按照类型的不同主要可以分为总线型局域网、环形局域网和星型局域网等等。不同的局域网类型在运行的过程中有着不同的特点，其中星型网络在运行的过程中便于管理、整体结构简单，易于进行拓展，这是目前局域网中最为常用的类型。在进行组建的过程中还需要相应的网卡、网线、交换机等硬件设备开展工作，计算机的主机中有相应的插槽，通过网线的连接能够进行局域网络的组建。同时，在进行组建的过陈中需要选用相应的传输介质进行局域网的组建，在进行组建的过程中应当合理地选择电缆的长度，否则会在运行的过程中产生一定的损耗，影响到局域网的运行效率。开展局域网组建的过程中，通过对硬件设备的调整才能够更好地进行局域网组建。2. 局域网组建的软件条件在开展局域网组建的过程中，应当考虑到相应的软件条件，目前很多企业所利用的计算机操作系统都是Wind操作系统，所采用的软件具有统一性。因此，在进行局域网创建的过程中，所进行的软件设置基本上都是一样的，在进行组建的过程中应当依据NetBELTITCP/IP以及PX/SPX等网络协议来开展局域网组建工作，不同的协议在进行局域网组建的过程中会发挥不同的作用，都存在着自身的优势，应当以及实际的需求选用不同的协议。3. 局域网组建的IP地址配置和连接共享在进行局域网组建的过程中需要考虑到IP地址和连接共享工作，在进行组建的过程中如果想要满足不同计算机之间的互相连接，需要合理地配置IP地址，应当主动地选却IP地址的选项。但是要想提升局域网的运行效率，要对外部网络和局域网之间形成良好的连接和访问，需要手动地调整IP地址选项。通过手动调整IP地址选项能够更好地发挥局域网的价值和作用。同时在进行局域网组建的过程中，需要对连接共享进行调整，Internet连接共享能够形成不同电脑之间的邮件收发、网页浏览和文件下载工作。在局域网运行的条件下，通过对调制解调器的应用，能够更好地实现网络的共享，通过向主机发出请求，主机能够将相应的信息编辑并发送到客户机，从而实现资源的共享工作。1.3 局域网的日常维护工作1. 局域网数据库的维护在对局域网进行日常维护的过程中，要对局域网的数据库进行维护。因为数据库在运行的过程中，数据库的储存量会越来越庞大，如果不对数据库进行定期的维护，数据库会产生问题，容易出现数据的丢失。因此，在进行数据库维护的过程中，需要对相应的资料进行备份，并且按照相应的顺序排列整齐，这样能够快速搜索到相应的资料，同时保证数据库中数据的安全性。2. 网络系统及硬件的维护工作在对局域网进行日常维护的过程中，要做好网络系统和硬件的维护工作。在进行维护的过程中，主要对网络设备、计算机等进行维护。因为这些硬件设备在运行的过程中会产生一定的损坏，一旦产生损毁就会对整个局域网络的运行产生影响。通过相应的维护，能够保证局域网的正常运行。3. 局域网病毒防护维护工作在对局域网进行日常维护的过程中，要重视局域网病毒的防护和维护工作。在进行维护的过程中要加强防火墙的建设，同时要定期更新病毒防控系统并对杀毒软件进行定期维护和生机，这样能够更好地发挥病毒防护作用，保证局域网及相应数据的安全。1- -第2章 项目设计第2章 项目设计2.1 需求分析1. 企业现状某小型企业新建厂房，其中包括一顿三层宿舍及办公综合楼，一楼办公区由5个办公室、1个传达室、1个会议室、1个实验室以及卫生间构成，二楼三楼每层有12个宿舍1个卫生间；一顿一层餐厅由1个后厨、一大一小2个就餐间构成；一个门房；一个大型自动化生产车间；两顿库房。2. 项目目标需要建设一个小型网络以实现该企业内部的相互通信和与外部的联系，通过该网络提高企业的发展和企业内部办公的信息化、办公自动化。该企业有4个部门，则需要让这4个部门能够通过该网络访问互联网，并能实现部门之间信息化的合作。所以该网络的必须体现办公的方便性、迅速性、高效性、可靠性、科技性、资源共享、相互通信、信息发布及查询等功能，以作为支持企业内部办公自动化、供应链管理以及各应用系统运行的基础设施。计划为每个办公室及实验室、会议室安装房间安装1个无线信号点，每个办公室设置2个端口20个IP地址，会议室设置2个端口50个IP地址。每个宿舍设置1个端口1个固定IP地址，设置一个家用路由器。由于公司的办公方式，在拓扑结构选择上，本方案采用星型网络，其优点在于易于应用、管理和维护、有利于网络规模和带宽的扩展。在综合布线方面，由于公司网络中各节点之间连接距离小于100m，因此全网布线采用UTP6类线缆，连接用户使用100BASE-T的链接方式，设备之间采用1000BASE-T方式。因为本方案中公司全网采用2层的结构(核心层、接入层)。2.2 拓扑结构1. 拓扑结构图图2-1 网络拓扑结构图2.3 组网设备1. 网络中心设备中心机房的网络设备选用模块化三层交换机，根据需要灵活地选择不同的扩展模块，实现各种配置组合，在将来进行网络升级时，可通过扩展模块，便于保护现有的网络结构及投资。现根据网络的需要，主干交换机配一个路由模块具有三层交换功能，8个千兆的UTP6类线的模块，5个100M的RJ-45口模块，为了管理方便再配1个管理模块。配备1台用于网络管理的工作站装上网管软件，即可进行网络的配置与管理。2. 接入层交换设备选用千兆堆叠交换机组，可由堆叠交换机与主机组成无阻塞星型拓扑堆叠结构，根据需要，可提供足够的10/100M自适应RJ-45口。3. 模拟设备型号（1）路由器：2911（2）核心交换机：4500（3）接入交换机：2960-24TT（4）无线节点：Access Point-PT（5）家庭路由器：WRT300N4. 真实设备（1）路由器：TP-LINK TL-ER6520G（2）核心交换机：TP-LINK TL-SF1024L（3）接入交换机：TP-LINK TL-SG1024DT（4）AP：TP-LINK TL-AP902C-PoE（5）家庭无线路由器：TP-LINK TL-WR886N2.4 地址规划表2-1 IP地址表楼层公司部门设备IP地址范围默认网关VLAN号（名称）一层总经理办公室AP/2601（总经理AP）端口（5）5/269/2602总经理研发部AP/2603（研发部AP）端口（10）0/269/2604研发部生产部AP192.168.2. 4/2605（生产部AP）端口（10）0/269/2606生产部销售部AP/2607（销售部AP）端口（10）0/269/2608销售部财务部AP/2609（财务部AP）端口（10）0/26910财务部实验室AP/2611（实验室AP）端口（20）5/264412实验室会议室AP/2613（会议室AP）端口（30）5/2614/26414会议室东1餐厅AP/2615（餐厅AP）西1门房端口50/26192.168.14/2616（门房）二层宿舍A端口5029/2690/262817（宿舍A）三层宿舍B端口5092/2653/269218（宿舍B）2.5 OSPF工作原理分析OSPF是一种分层次的路由协议，其层次中最大的实体是AS（自治系统），即遵循共同路由策略管理下的一部分网络实体。在每个AS中，将网络划分为不同的区域。每个区域都有自己特定的标识号。对于主干（backbone）区域，负责在区域之间分发链路状态信息。这种分层次的网络结构是根据OSPF的实际提出来的。当网络中自治系统非常大时，网络拓扑数据库的内容就更多，所以如果不分层次的话，一方面容易造成数据库溢出，另一方面当网络中某一链路状态发生变化时，会引起整个网络中每个节点都重新计算一遍自己的路由表，既浪费资源与时间，又会影响路由协议的性能（如聚合速度、稳定性、灵活性等）。因此，需要把自治系统划分为多个域，每个域内部维持本域一张唯一的拓扑结构图，且各域根据自己的拓扑图各自计算路由，域边界路由器把各个域的内部路由总结后在域间扩散。这样，当网络中的某条链路状态发生变化时，此链路所在的域中的每个路由器重新计算本域路由表，而其它域中路由器只需修改其路由表中的相应条目而无须重新计算整个路由表，节省了计算路由表的时间。 OSPF由两个互相关联的主要部分组成：“呼叫”协议和“可靠泛洪”机制。呼叫协议检测邻居并维护邻接关系，可靠泛洪算法可以确保统一域中的所有的OSPF路由器始终具有一致的链路状态数据库，而该数据库构成了对域的网络拓扑和链路状态的映射。链路状态数据库中每个条目称为LSA（链路状态通告），共有5种不同类型的LSA，路由器间交换信息时就是交换这些LSA。每个路由器都维护一个用于跟踪网络链路状态的数据库，然后各路由器的路由选择就是基于链路状态，通过Dijkastra算法建立起来最短路径树，用该树跟踪系统中的每个目标的最短路径。最后再通过计算域间路由、自治系统外部路由确定完整的路由表。与此同时，OSPF动态监视网络状态，一旦发生变化则迅速扩散达到对网络拓扑的快速聚合，从而确定出新的网络路由表。 OSPF的设计实现要涉及到指定路由器、备份指定路由器的选举、协议包的接收、发送、泛洪机制、路由表计算等一系列问题。25- -第3章 项目实现第3章 项目实现3.1 交换机配置1. 接入层交换机的配置接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是cisco Catalyst 2960交换机。该交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是cisco的IOS操作系统。这里以培训部接入层为例进行配置介绍。switch enable进入特权模式switch # configure terminal进入全局配置模式switch（config）# hostname peixunbu按照部门名称来对交换机重新命名peixunbu（config）#enable secret ciscopassword为交换机设置加密使能口令peixunbu（config）# line vty 0 15设置登录虚拟终端线口令，为网络管peixunbu（config-line）# login理人员提供远程管理服务（telnet） peixunbu（config-line）# password yuanchengpeixunbu（config-line）# exec-timeout 5 30设置终端线超时时间为5分30秒peixunbu（config-line）# line console 0设置控制台的超时时间peixunbu（config-line）# exec-timeout 5 30peixunbu（config-line）# exitpeixunbu（config）#no ip domain-lookup设置禁用IP地址解析特性peixunbu（config）#interface vlan 1在接入层交换机设置管理用的ippeixunbu（config-if）#ip address 29 255.255.255. 128peixunbu（config-if）#no shutdownpeixunbu（config-if）# exitpeixunbu（config）#ip default-gateway 30网关地址为三层交换机上vlan1的地址peixunbu（config）#vtp mode client设置接入层交换机的vtp模式为客户端peixunbu（config）#interface range fasteherent0/3-24peixunbu(config-if-range) #duplex full批量指定端口传输模式为全双工peixunbu（config-if-range）#speed 100peixunbu（config-if-range）#switchport mode access配置端口模式为接入模式peixunbu（config-if-range）#switchport mode access vlan 10 按端口划分vlanpeixunbu（config-if-range）#spanning-tree portfast 设置快速端口，不用阻塞和侦听 peixunbu（config）#interface range fastethernet0/1-2 peixunbu（config-if-range）#switchport mode trunk 与核心交换机相连的端口设为干道端口peixunbu（config）#spanning-tree uplinkfast 启用uplinkfast特性，即备用线路快速启动2. 核心层交换机的配置核心层将各接入层交换机互连起来作为公司骨干网络的高速数据交换本实例中的核心层交换机采用思科的catalyst 2960作为交换机引擎。运行思科的Integrated IOS操作系统。核心层交换机的基本参数、管理IP、默认网关可参考接入层交换机的命令与IP规划来进行配置，下面主要对核心交换的链路聚合，创建vlan（创建培训部为例），配置vlan(创建培训部为例)等方面进行解析。Coreswitch（config）#vtp mode server将核心交换机配置成vtp的服务端Coreswitch（config）#vtp domain gongsi配置vtp管理域，用来管理vlan的数据库Coreswitch（config）#vtp pruning在服务端激活裁剪功能，节约带宽，不乱发vlan广播Coreswitch（config）#vlan 10Coreswitch（config-vlan）# name peixunbuCoreswitch（config）#interface vlan 10 vlan10配置IP，即为vlan10计算机的网关Coreswitch（config-if）#ip address 26 28Coreswitch（config）#no shutdownCoreswich（config）#ip routing启动路由功能Coreswitch（config）#ip route 54指向路由的内网ipCoreswitch（config）#interface port-channel 1Coreswitch（config-if）#switchport进行链路聚合配置，增大带宽，冗余和负载均衡Coreswitch（config-if）#interface gigabitethernet2/1-2Coreswitch（config-if）#channel-group 1 mode desirable non-silentCoreswitch（config-if）# no shutdownCoreswitch（config）#ip classless实现对无类别路由Coreswitch（config）#ip subnet-zero支持全零子网3. OSPF路由选择协议的配置不管路由器是否存在默认路由，总是向其他路由器公告默认路由Router ospf 在路由器上启动OSPF进程Area Network area 指定参与交换OSPF更新的网络以及所属区域Network area 指定参与交换OSPF更新的网络以及所属区域Network area 指定参与交换OSPF更新的网络以及所属区域Network area 指定参与交换OSPF更新的网络以及所属区域Network area 指定参与交换OSPF更新的网络以及所属区域Network 0 48 area指定参与交换OSPF更新的网络及所属域End3.2 Windows Server 2016的安装，配置1. 安装活动目录（Active Directory）：选择“开始”“程序”“管理工具”“配置服务器”，单击“下一步”。单击对话框中的“Active Directory”,出现安装向导并由此配置直到安装成功。2. 创建工作组：启动Windows Server 2016，并以系统管理员（administrator）的身份登陆服务器。选择“开始”“程序”“管理工具”“Active Directory用户和计算机”，并在其中创建组，在组中加入用户。3. 添加IIS (Internet信息服务)操作：控制面板添加/删除程序添加/删除Windows组件Internet信息服务全选 3.3 DNS服务器的配置1. DNS（域名解析）设一个的域名（用于作WWW服务器地址）；一个 （用于作FTP服务器地址）；一个的域名（作为SMTP和 POP3服务器地址）2. 设置（1）建立com区域操作：开始菜单程序管理工具DNS控制台根节点DNSUC1（你的服务器名） 正向搜索区域右键新建区域名称：com（2）建立lianhe主机操作：com右键新建主机名称：lianhe；IP地址：.3. 设置和（均对应）（1）建立lianhe域名操作：com右键新建域lianhe（2）建立www主机操作：lianhe右键新建主机名称：www；IP地址：。（3）建立ftp主机操作：步骤同“3)建立www主机。3.4 DHCP服务器的配置1. DHCP的概述：DHCP是动态主机配置协议（Dynamic Host Configure Protocol）的缩写。一台DHCP服务器可以让管理员集中指派和指定全局的和子网特有的TCP/IP参数（含IP地址、网关、DNS服务器等）供整个网络使用。客户机不需要手动配置TCP/IP；并且，当客户机断开与服务器的连接后，旧的IP地址将被释放以便重用。2. DHCP的设置（1）打开DHCP管理器选“开始菜单程序管理工具DHCP”，默认的。（2）打开作用域的设置窗口先选中FQDN名字，再按“右键新建作用域”。（3）设置作用域名此地的“名称”项只是作提示用，可填任意内容。3.5 邮件服务器的配置1. 安装双击安装文件imtm_x86.exe，即可进行安装。除了在选择所安装的Email服务中加选Email Password和Email Web Server外，其他均使用默认选项。 安装完成后，会提示重新启动，启动完成后，就可在开始菜单程序Email中找到相关文件2. 增加邮件服务器(POP3)和邮件用户（1）运行Email Administrator （2）选择Email Administratorlocalhost右键新建主机。（3）选择Add，就会在Local Address的窗口中增加一个名为virtual001的本地地址，选中它，将Official Host Name改成：；其他项目可不用改。再选择save保存后用Exit退出。 （4）选择Users右键Add users，可增加邮件用户。3.6 网络 Web ，FTP服务器的建立，管理和使用1. Web方式的基本操作：（1）撰写新邮件：选“Compose”则进入发邮件的屏幕。比如给自己发一封信其中：A. “Add all.”选项意思是将所有收件人地址加到“地址簿”(address book)；可在Options的Address Book处修改。B. “Save.”的意思是将此邮件副本保存到已“发送邮件箱”(Sent)中；可在主屏幕的Sent中看见。C. “Include.”的意思是包括“签名”(Signature)；可在Options的Change Signature处修改。（2）发送后再选“Menu”回到主屏幕，由于收件箱中已有内容，则信箱链接可以用了。其中的菜单和选项，Logoff退出Web方式；Compose写新邮件；Read Mail收新邮件；Summary相当于进入收件箱（Main）；Mail收件箱；Sent已发送邮件箱。2. 安装和配置FTPWFTPD （1）关于WFTPD A. 软件名称：WFTPD(Winsock FTP Demo) 32-bit (x86) version B. 软件功能：FTP服务器端软件C. 软件类型：共享软件（传输类限制）（2）安装WFTPDA. 将32wfd241rc14.zip解压到任意目录下。B. 不需重新启动，直接执行wftpd.exe即可启动FTP服务。（3）使用FTPD A. 建立新的FTP用户a. 选“菜单SecurityUsers/rights”即进入用户属性窗口。 b. 选“New User.”，按提示依次输入用户名、密码，则成功增加了新用户。其中：“Home”为此用户登录后的虚拟根目录；“Rights”下为此用户的操作权限； “Director”中如果保持为“*”，则下面的权限适用此用户根目录下的整个目录树，否则只对“Director”中指定目录起作用； “Restrict to home.”项必须选中，否则此用户的活动范围将不受虚拟根目录的限制。下图为一个名为“santai”的用户登录后，选中此项时的操作屏幕（DOS环境）：图3-1下图为一个名为“santai”的用户登录后，未选中此项时的操作屏幕（DOS环境）：图3-2B. 登录FTPa. DOS环境下，格式：ftp 计算机名，输入用户名和密码并成功登录。b. Windows环境下，格式：ftp:/计算机名，按提示输入用户名和密码。 c. Windows环境下，也可用此格式：ftp:/用户名计算机名。 d. 所有的 “计算机名” 均可用IP地址来替代。 C. 接受匿名用户登录。选菜单 “SecurityGeneral” ，选中“Allow Anonymous”。如：图3-3图3-3 菜单选项D. 如在图3-3中，不选中“Enable Security”，则所有用户均不需密码即可进入。3.7 安装网络杀毒软件 现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播，目前，大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件；同时，在网络版的杀毒软件使用中，必须要定期或及时升级杀毒软件。为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时，应该将修改过的重要系统文件存放在不同的服务器上，以便出现系统崩溃时(通常是硬盘出错)，可及时地将系统恢复到正常状态。3.8 硬件系统的安全防护硬件的安全问题也可以分为两种，一种是物理安全，一种是设置安全。1. 物理安全：物理安全是指防止意外事件或人为破坏具体的物理设备，如服务器、交换机、路由器、机柜、线路等。机房和机柜的钥匙一定要管理好，不要让无关人员随意进入机房，尤其是网络中心机房，防止人为的蓄意破坏。2. 设置安全设置安全是指在设备上进行必要的设置(如服务器、交换机的密码等)，防止黑客取得硬件设备的远程控制权。比如许多网管往往没有在服务器或可网管的交换机上设置必要的密码，懂网络设备管理技术的人可以通过网络来取得服务器或交换机的控制权，这是非常危险的。因为路由器属于接入设备，必然要暴露在互联网黑客攻击的视野之中，因此需要采取更为严格的安全管理措施，比如口令加密、加载严格的访问列表等。3.9 软件系统的安全防护同硬件系统相比，软件系统的安全问题是最多的，也是最复杂的。现在TCP/IP协议广泛用于各种网络。但是TCP/IP协议起源于Internet，而Internet在其早期是一个开放的为研究人员服务的网际网，是完全非赢利性的信息共享载体，所以几乎所有的Internet协议都没有考虑安全机制。网络不安全的另一个因素是因为人们很容易从Internet上获得相关的核心技术资料，特别是有关Internet自身的技术资料及各类黑客软件，很容易造成网络安全问题。面对层出不穷的网络安全问题我们也并非无计可施，可从多个方面着手，就能够做到防患于未然。本文采用的安全防护的措施有：1. 安装补丁程序任何操作系统都有漏洞，作为网络系统管理员就有责任及时地将“补丁”(Patch)打上。大部分服务器发现的Bug特别多，为了弥补操作系统的安全漏洞，在其官方网站上提供了许多补丁，可以到网上下载并安装相关升级包。可以下载下来进行升级维护。2. 安装和设置防火墙现在有许多基于硬件或软件的防火墙，如华为、神州数码、联想、瑞星等厂商的产品。对于企业来说，安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用，但是并不是安装了防火墙之后就万事大吉了，而是需要进行适当的设置才能起作用。如果对防火墙的设置不了解，需要请技术支持人员协助设置。3. 安装网络杀毒软件现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播，目前，大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件；同时，在网络版的杀毒软件使用中，必须要定期或及时升级杀毒软件。4. 账号和密码保护账号和密码保护可以说是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么前面的防卫措施几乎就没有作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。系统管理员密码的位数一定要多，至少应该在8位以上，而且不要设置成容易猜测的密码，如自己的名字、出生日期等。对于普通用户，设置一定的账号管理策略，如强制用户每个月更改一次密码。对于一些不常用的账户要关闭，比如匿名登录账号。5. 定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时，应该将修改过的重要系统文件存放在不同的服务器上，以便出现系统崩溃时(通常是硬盘出错)，可及时地将系统恢复到正常状态。第4章 系统测试 第4章 系统测试4.1 对管理IP地址测试1. 基本配置：（1）配置路由器主机名Red-Giantenable(注：从用户模式进入特权模式)Red-Giant#configure terminal（注：从特权模式进入全局配置模式）Red-Giant(config)#hostname A（注：将主机名配置为“A”）A(config)#（2）配置路由器远程登陆密码A(config)#line vty 0 4(注：进入路由器vty0至vty4虚拟终端线路模式)A(config-line)#loginA(config-line)#password star（注：将路由器远程登陆口令设置为“star”）（3）配置路由器特权模式口令A(config)#enable password star或：A(config)#enable secret star注：将4为路由器各接口分配IP地址A(config)#interface serial 0注：进入路由器serial 0的接口配置模式（常见的路由器接口：fastethernet 0fastethernet1，fastethernet n；serial 0，serial 1，serial n）A(config-if)#ip address 注：设置路由器serial 0的IP地址为，对应的子网掩码为A(config)#interface fastethernet 0注：进入路由器fastethernet 0的接口配置模式（常见的路由器接口：fastethernet 0，fastethernet 1，fastethernet n；serial 0，serial1，serial n）A(config-if)#ip address 注：设置路由器fastethernet 0的IP地址为，对应的子网掩码为路由器特权模式口令配置为“star”）3. 验证命令：show runshow controllers s 0show intshow ip int briefpingtelnet4. 测试结果：（1）查看路由器端口为up,up（如图4-1）（2）两台路由器互相ping Serial口的地址，应该为通（如图4-2）（3）两台主机分别ping与其直连的路由器的Fastetherne口，应为通从与路由器相连的主机可以telnet到，与路由器相连的主机可以telnet到。图4-1 查看路由器端口图4-2 两台路由器互相ping serial口的地址图4-3 与路由器相连的主机可以telnet到图4-4与路由器相连的主机可以telnet到4.2 对相同vlan内的通信进行测试1. Tag VLAN拓扑图（图4-5）图4-5 Tag VLAN拓扑图2. 配置（1）交换机S3550-24:SWITCH#configure terminal注：进入交换机全局配置模式SWITCH(config)#vlan 10注：创建vlan 10SWITCH(config-vlan)#name test10注：将Vlan 10命名为test10SWITCH(config)#vlan 20注：创建vlan 20SWITCH(config-vlan)#name test20注：将Vlan 20命名为test20SWITCH(config-if)#interface fastethernet 0/5注：进入fastethernet 0/5的接口配置模式SWITCH(config-if)#switch access vlan 10注：将fastethernet 0/5端口加入vlan 10中SWITCH(config-if)#interface fastethernet 0/15注：进入fastethernet 0/15的接口配置模式SWITCH(config-if)#switch access vlan 20注：将fastethernet 0/15端口加入vlan 20中SWITCH(config-if)#interface fastethernet 0/24注：进入fastethernet 0/24的接口配置模式SWITCH(config-if)#switchport mode trunk注：将fastethernet 0/24设为tag vlan模式（2）交换机S2126G:SWITCH#configure terminal注：进入交换机全局配置模式SWITCH(config)#vlan 10注：创建vlan 10SWITCH(config-vlan)#name test10注：将Vlan 10命名为test10SWITCH(config-if)#interface fastethernet 0/5注：进入fastethernet 0/5的接口配置模式SWITCH(config-if)#switch access vlan 10注：将fastethernet 0/5端口加入vlan 10中SWITCH(config-if)#interface fastethernet 0/24注：进入fastethernet 0/24的接口配置模式SWITCH(config-if)#switchport mode trunk注：将fastethernet 0/24设为tag vlan模式3. 测试过程分别在两台交换机上做如上配置验证命令：show vlanshow int f0/24 switchport4. 测试结果PC1与PC3地址都设成/24的地址PC2地址都设成/24地址。（图4-6，图4-7）当PC1与PC3都分别接在两台交换机的fast 0/5时，即在同一Vlan中，可互相ping通，当PC2与PC1，PC3不在同一vl