网络指导书范文.doc

网络指导书范文 实验一CISCO交换机VLAN的设置【实验目的】1掌握超级终端的使用方法2熟练交换机的命令以及命令模式3利用交换机进行VLAN设置4掌握VLAN中继、不同Vlan间互访【实验内容】1连接网络2配置交换机3实验结果测试4结束实验【实验原理及相关知识】VLAN简介VLAN(Virual LAN)即“虚拟局域网”，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的新兴技术。 在交换式以太网中，交换机连接只能构建单一的广播域，随首广播域内计算机数量的增多，广播帧的数量也会急剧增加，网络的传输效率将会明显下降。 如果由于节点故障而产生广播风暴，则其它节点无法传输。 因此，当网络内的计算机数目达到一定数量后，就必须将一个大的广播域分隔成若干个小的广播域，以减少广播可能造成的损害。 VLAN的分类 （1）静态VLAN静态VLAN又被称为基于端口的VLAN（Port BasedVLAN），顾名思义，就是明确指定各端口属于哪个VLAN的设定方法，这是根据以太网交换机的端口来划分的，比如Catalyst2950的 1、2端口为VLAN A， 3、4为VLAN B，当然这些属于同一个VLAN的端口，可以不连续，如何配置由管理员决定。 如果有多个交换机的话，例如可以指定交换机Switch A的16端口和交换机Switch B的14端口为同一个VLAN可以跨越数个以太网交换机。 根据端口划分是目前定义VLAN的最常用方法。 IEEE802.1Q协议规定的就是如何根据交换机端口来划分VLAN。 这种划分方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定一下就可以了；缺点是如果VLAN A的用户离开了原来的端口到了一个新的交换机的某个端口，就必须重新定义。 形成静态VLAN的过程就是将端口强制性地分配给VLAN的过程，如图7-1所示。 1VLAN A1VLAN B交换机234端口将交换机的端口静态地址派给VLAN VLAN1A2A3B4B图7-1基于端口的VLAN （2）动态VLAN动态VLAN则是根据每个端口所连的计算机，随时改变端口所属的VLAN，这就可以避免上述的更改设定之类的操作。 动态VLAN可以大致分为3类基于MAC地址的VLAN（MAC BasedVLAN）、基于子网的VLAN、基于用户的VLAN。 其间的差异，主要在于根据OSI参照模型哪一层的信息决定端口所属的VLAN。 1基于MAC地址的VLAN这种划分VLAN的方法是基于每个主机的MAC地址的。 其最大优点就是当用户物理位置移动时，即从一个交换机换到其他交换机时，VLAN不用重新配置，因此，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，如图7-2所示。 2VLAN1VLAN214321234VLANA BC2D2即使计算机改变了所连接的端口，交换机仍能查出它的MAC地址，并正确指定端口所属的VLAN11MAC MACDMAC AMACBMAC CMACDMAC CMACBMAC A图7-2基于MAC地址的VLAN这种方法的缺点是初始化时所有用户都必须进行配置；如果有几百个甚至上千个用户的话，逐一配置是非常累人的，而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在多个VLAN组的成员，这样就无法限制广播包，另外，对于使用笔记本电脑的用户来说，他们的网卡可能会经常更换，这样VLAN就必须不断更换配置。 2基于子网的VLAN基于子网的VLAN是通过所连计算机的IP地址，来决定端口所属VLAN的。 它不像基于MAC地址的VLAN，即使计算机因为更换了网卡或是其它原因导致MAC地址改变，只要其IP地址不变，就仍可以加入原告设定的VLAN。 这种划分VLAN的方法是基于每个主机的网络层地址或协议类型的，虽然这种划分方法可能是根据网络地址，比如IP地址，但VLAN不是路由。 虽然VLAN查看每个数据包的IP地址，但由于它不是路由，因此没有RIP、OSPF等路由协议，而是根据生成树算法进行桥交换，如图7-3所示。 这种方法的优点是用户的物理位置改变了，不需要重新配置其所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要。 另外，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是很费时的。 3基于用户的VLAN基于用户的VLAN根据交换机各端口所连接的计算机上当前登录的用户，来决定该端口属于哪个VLAN。 这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名。 VLAN1VLAN212341234VLAN网络地址VLAN1/24VLAN2/24即使计算机改变了所连接的端口，交换机仍能通过拉入PC机IP地址，识别它所属的VLAN PC1PC2PC3PC4PC3PC2PC1PC4PC1IPPC2IPPC3IPPC4IP图7-3基于子网的VLAN3图7-4VLAN实验连接图PC1PC3PC2PC4VLAN3VLAN2【实验过程及主要步骤】1连接网络按照图7-4所示，正确搭建网络环境，并依据表7-1配置好网络的IP地址以及子网掩码，使之连通，（检测网络全部连通的简便方法利用任意一台PC依次去ping其它PC，如果能ping通则说明网络连通，否则检查各PC的IP地址是否设置正确，最终使其连通）并且将PCI的1口通过CONSOLE线与交换机A连接起来。 由于DELL机子没有口，可以用方正机子连接交换机。 表7-1主机配置信息PC1IP地址子网掩码连接Switch A的3号端口IP地址子网掩码连接Switch A的5号端口PC3IP地址子网掩码连接Switch A的13号端口IP地址子网掩码连接Switch A的15号端口PC2PC4在本实验中，将PC 1、PC3划分到同一个VLAN，将PC 2、PC4划分到另一个VLAN，并检查相互间的连通性。 2配置交换机 一、划分VLAN按照图7-4VLAN连接图，连接好相应的设备，如下所示4图7-4试验拓扑连接图首先对VLAN2进行配置（PC1连接Fa0/ 3、PC3连接Fa0/13）5对VLAN3进行配置(PC2连接Fa0/ 5、PC4连接Fa0/15):对PC IP地址进行设置，这里只对PC1进行配置，其它PC都一样试验验证PC1ping PC3可以通，PC1ping PC 2、PC4不通6 二、VLAN中继设置VLAN中继简单的说就是多台交换机之间通过中继，使多台交换机之间的同一VLAN能够互访具体的网络拓扑图如下7分别对VLAN 2、VLAN3进行配置，具体步骤就不在多说了，和上面的列子类似。 这里主要配置VLAN间的中继，让交换机1和交换机2间的FA0/1之间使用中继，中继协议默认使用isl封装，配置方法如下所示8试验验证让PC1ping PC2不通，ping PC3可以通让PC2ping PC3不通，ping PC4可以通【上机任务】1预习本次实验，熟悉vlan的配置2在同一交换机上设置基于端口的vlan（不少于2个）3在不同交换机上设置基于端口的vlan（不少于2个），至少有一个vlan名称与2中定义的vlan名称一样4给vlan添加端口5测试同一交换机上的不同vlan间能否正常通信6测试不同交换机上的相同vlan间能否正常通信7有能力的同学可以选做基于MAC地址的vlan8牢记配置交换机常用的基本命令【实验报告】1画出自己设计的vlan拓扑图（必须要有）2写出自己配置的vlan名称3写出给vlan分配了哪些端口4测试连通性的结果5心得及其他9实验二Cisco路由器的基本配置【实验目的】1熟练使用超级终端对路由器进行配置2学习路由器命令3掌握路由器的基本连接和配置【实验内容】1超级终端的使用2路由器的启动和初始配置3路由器的常规配置【实验原理及相关知识】路由器可以用来连通不同的网络，并且能够选择信息传送的路径。 选择通畅快捷的路径，能大大提高信息速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益。 从过滤网络流量的角度来看，路由器的作用与交换机、网桥非常相似。 但是与工作在网络底层、从物理上划分网段的交换机不同，路由器使用专门的软件协议从逻辑上对整个网络进行划分。 例如，一台支持IP协议的路由器可以把网络划分成多个子网络，只有网间的网络流量才可以通过路由器。 对于每一个接收到的数据包，路由器都会重新计算其校验值，并写入新的物理地址。 因此使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢，但是对于那些结构复杂的网络，使用路由器可以提高网络的整体效率。 路由器的另一个明显优势就是可以自动过滤网络广播。 总体来说，在网络中添加路由器的整个安装过程要比安装即插即用的交换机复杂的多。 一般来说，异种网络互联或多个子网互联都应采用路由器来完成。 路由器的主要工作就是为经过路由的每个数据包寻找一条最佳的传输路径，并将该数据有效地址传送到目的站点。 由此可见，选择最佳路径的策略是路由器的关键所在。 为了完成这项工作，在路由表中保存着子网的标志信息、网上路由的个数和下一个路由器的名字等内容。 路由表可以由系统管理员固定设置，也可以由系统动态修改；可以由路由器自动调整，也可以由主机控制。 路由器的构成从硬件组成上来看，路由器由CPU、内存和接口等部分组成。 1CPU路由器和PC机一样，有中央处理单元CPU，CPU是路由器的处理中心。 对于不同的路由器，其CPU一般也不一样。 2内存内存用来存储路由器的信息和数据，Cisco路由器有以下几种内存组件 （1）ROM（Read OnlyMemory）ROM中存储路由器加电自检程序（Power-On Self-Test Program）启动程序（Bootstrap Program）和部分或全部的IOS。 路由器中的ROM是可擦写的，因此IOS可以升级。 （2）NVRAM（Nonvolatile Random Aess Memory，非易失RAM）用来存储路由器的启动配置文件。 NVRAM是可擦写的，可将路由器的配置信息拷贝到NVRAM （3）Flash RAM（闪存）是一种特殊的ROM，可擦写也可编程，用于存储Cisco IOS10的其他版本，对路由器的IOS进行升级 （4）RAM（RandomAessMemory）与PC机上的随机存储器相似，提供临时信息的存储，同时保存当前的路由表和配置信息。 3接口路由器接口是用来连接路由器和网络，分为局域网接口和广域网接口两种。 对于不同型号的路由器，接口数目和类型也不尽一样。 常见的接口主要有以下几种 （1）高速同步串口可以连接DDN，帧中继、X.25和PSTN（模拟电话线路） （2）同步/异步串口可用软件将端口设置为同步工作方式。 （3）AUI端口即粗缆口，一般需要外接转换器(AUI-RJ-45)连接10Base-T以太网络 （4）ISDN端口可以连接ISDN网络（2B+D），也可用来把局域网接入因特网。 （5）AUX端口该端口为异步端口，主要用于远程配置，也可用于拨号备份，能够与Modem连接，支持硬件流控制 （6）console端口该端口为异步端口，主要连接终端或运行终端仿真程序的计算机，用来在本地配置路由器。 该端口不支持硬件流控制。 4路由器的启动过程路由器的启动过程可以用图8-1来表示，具体步骤如下。 （1）加电之后，运行ROM中的加电自检程序（POST），检查路由器的处理器、内存及接口等硬件设备。 （2）执行路由器中的启动程序，搜索Cisoc的IOS。 路由器中的IOS可从ROM中装入，或从Flash RAM中装入，也可以从TFTP服务器装入。 （3）装入IOS后，寻找配置文件。 配置文件通常在NVRAM中，也可从TFTP服务器装入。 （4）装入配置文件后，其中的信息将激活有关接口、协议和网络参数。 （5）如果找不到配置文件，路由器将进入配置模式。 5路由器的配置途径 （1）控制台。 将PC机的串口直接通过Rollover线与路由器控制台端口CONSOLE相连，在PC相上运行超级终端程序与路由器进行通信，完成路由器的配置，也可将PC机与路由器辅助端口AUX直接相连，进行路由器的配置。 引导程序11ROM FlashRAM TFTP服务ROM NVRAMTFTP服务控制台Cisco操作系统配置文件装载操作系统载操作图路由器的启动过程定位并装系统定位并装载配置文件或进入setup模式8-1 （2）虚拟终端（Tel）。 如果路由器已经具有一些基本配置，就可将运行Tel程序的计算机作为路由器的虚拟终端与路由器进行通信，完成路由器的配置。 （3）网络管理工作站。 路由器可通过运行网络管理软件的工作站进行配置，如Cisco的Cisco Works、HP的Open View.路由器的命令模式与交换机的配置类似，路由器也有许多命令模式 （1）router路由器处于用户命令状态，此时用户可以查看路由器的连接状态，访问其他网络和主机，但不能查看和更改路由器的配置内容。 （2）router#在提示符“router”下键入命令“enable”后，路由器进入特权命令状态（router#），此时不但可以执行所有的用户命令，还可以查看和更改路由器的设置内容。 在特权模式下键入命令“exit”，则退回到用户模式。 在特权模式下仍然不能对路由器进行配置，必须键入命令“configure terminal”进入全局配置模式下才能实现配置。 （3）router(config)#:在提示符“router#”下键入命令“configure terminal”，出现提示符“router(config)#，此时路由器处于全局模式，可以对路由器的全局参数进行配置。 （4）router(config-if)#,router(config-line)#,router(config-router)#，路由器处于局部配置状态，“Router(config-if)#”。 路由器上有许多接口，例如多个串口，多个以太网口，对每一接口也此时可以配置路由器的局部参数，局部模式有许多种提示符，类似于有许多参数需要配置。 这些配置无法用一条命令来解决，因此必须进入某一接口或部件的局部配置模式，此时键入的命令只对当前接口有效，也只能键入该接口能够接受的命令。 表8- 1、8- 2、8-3分别列出了常用的网络命令、显示命令及模式转换命令。 表8-1网络命令任务命令登录远程主机网络侦测路由跟踪tel hostname/IP addresspring hostname/IP addresstrace hostname/IP address表8-2显示命令任务命令查看版本及引导信息查看运行设置查看开机设置显示端口信息显示路由信息show versionshow running-config showstartup-config showinterface typeslot/nember showip route表8-3模式转换命令任务命令12进入特权命令状态退出特权命令状态enable disable进入设置对话状态进入全局设置状态退出全局设置状态进入端口调协状态进入子端口设置状态进入线路设置状态进入路由设置状态退出局部设置状态setup config terminal endinterface typesolt/number interfacetype number.subinterfacepoint-to-point|multipointline typesolt/number routerprotocol exit【实验过程及主要步骤】根据图11-2所示的拓扑，连接好网络并使用CONSOLE线连接路由器和任意一台PC机，然后启动计算机和交换机。 （2）按照表8-4所示的内容，设置PC机的网络属性表8-4PC机网络属性IP子网网关PC11PC22PC33PC44PC55PC66PC77网络1（与F0/0相连）PC88PC0PC1PC32PC43PC54PC6513PC76网络2（与F0/1相连）PC87图8-2利用路由器连接两个子网Router fa0/0fa0/1PC4PC3PC2PC1 （3）参照交换机配置中的方法，打开超级终端 （4）启动路由器，在超级终端控制台显示如下信息，此时可以通过超级终端对路由器进行配置。 /加电自检开始System Bootstrap,Version12.4(13r)T,RELEASE SOFTWARE(fc1)Technical Support:.cisco./techsupport Copyright(c)xxby cisco Systems,Inc.Initializing memoryfor ECCc2811platform with262144Kbytes ofmain memoryMain memoryis configuredto64bit modewith ECCenabled UpgradeROMMON initializedprogram loadplete,entry point:0x8000f000,size:0xcb80program loadplete,entry point:0x8000f000,size:0xcb80program loadplete,entry point:0x8000f000,size:0xe37164Self depressingthe image:#OKSmart Initis enabledsmart initis sizingiomem IDMEMORY_REQ TYPE0003E70X003DA000C2811Mainboard0X000021B8Onboard USB0X002C29F0public bufferpools0X00211000public particlepools TOTAL:0X008AFBA8If anyof theabove MemorUNKNOWN,you may be usingan unsupportedconfiguration orthere isa softwareproblem andsystem operationmaybepromised.Rounded IOMEMup to:10Mb.Using3percent iomem.10Mb/256MbRestricted RightsLegend Use,duplication,or disclosureby theGovernment issubject torestrictions asset forthin subparagraph(c)of theCommercial ComputerSoftware-Restricted Rightsclause atFAR sec.52.227-19and subparagraph(c) (1)(ii)of theRights inTechnical Dataand ComputerSoftware clauseat DFARSsec.252.227-7013.ciscoSystems,Inc.170West TasmanDrive14San Jose,California95134-1706Cisco IOSSoftware,2800Software(C2800NM-IPBASE-M),Version12.4(3g),RELEASE SOFTWARE(fc2)Technical Support:.cisco./techsupport Copyright(c)1986-xxby CiscoSystems,Inc.Compiled Mon06-Nov-0602:36by alnguyenImage text-base:0x400A1994,data-base:0x41540000Port Statisticsfor unclassifiedpackets isnot turnedon.Cisco2811(revision49.46)with251904K/10240K bytesof memory.Processor boardID FHK1107F1502FastEther interfacesDRAM configurationis64bits widewith parityenabled.239K bytesof non-volatile configurationmemory.62720K bytesof ATACompactFlash(Read/Write)Press RETURNto getstarted!/加电自检结束Cisco Routerand SecurityDevice Manager(SDM)is installedon thisdevice.This featurerequires theone-time useof theusernameciscowith thepasswordcisco.The defaultusername andpassword havea privilegele velof15.Please changethese publiclyknown initialcredentials usingSDM orthe IOSCLI.Here arethe CiscoIOS mands.usernameprivilege15secret0no usernamecisco Replaceandwith theusername andpassword youwant touse Formore informationabout SDMplease followthe instructionsin theQUICK STARTGUIDE foryour routeror goto .cisco./go/sdm-配置连接网络1的F0/0接口User AessVerification Username:cisco/按要求输入用户名/输入密码cisco/进入特权模式Password:router-A3#router-A3#configure tEnter configurationmands,one perline.End withTL/Z.router-A3(config)#int fa0/0/配置路由器fa0/0口router-A3(config-if)#ip address/配置fa0/0的ip和子网router-A3(config-if)#no shut/激活端口router-A3(config-if)#exit router-A3(config)#exit Buildingconfiguration.配置连接网络2的F0/1接口router-A3#config t15Enter configurationmands,one perline.End withTL/Z.router-A3(config)#int fa0/1/配置fa0/1口/设置ip和子网/激活router-A3(config-if)#ip addressrouter-A3(config-if)#no shutrouter-A3(config-if)#Z两个子网相连接的路由器设置以完成下面配置网络,以实现两个不同的网络首先配置与fa0/0相连接的交换机上的所有pc机的ip和网关如上表中网络1的配置然后同理，配置网络2的ip配置完成后从网络1（或网络2）的任何一台主机上ping网络2（或网络1）上的主机,看是否能ping通。 16Ping通说明实验成功 二、用路由器的扩展端口连接两个子网两个子网配置不变，断口用fa0/3/0,fa0/3/1,fa0/3/2,fa0/3/3中的任意两个，端口配置命令如下首先把fa0/0和fa0/1端口的ip取消掉，防止后面设置时出错。 router-A3#config tEnter configurationmands,one perline.End withTL/Z.router-A3(config)#int fa0/0router-A3(config-if)#no ip addressrouter-A3(config-if)#exit router-A3(config)#int fa0/1router-A3(config-if)#no ip addressrouter-A3(config-if)#exit router-A3(config)#exit下面我们用fa0/3/0和fa0/3/1端口为例来配置。 router-A3#vlan databaserouter-A3(vlan)#vlan2VLAN2added:Name:VLAN0002router-A3(vlan)#vlan3VLAN3added:Name:VLAN0003router-A3(vlan)#vlan4VLAN4added:Name:VLAN0004router-A3(vlan)#vlan5VLAN5added:Name:VLAN0005router-A3(vlan)#exit17APPLY pleted.Exiting.router-A3#configtEnter configurationmands,one perline.End withTL/Z.router-A3(config)#int fa0/3/0router-A3(config-if)#switchport modeaess router-A3(config-if)#switchport aessvlan2router-A3(config-if)#exit router-A3(config)#int fa0/3/1router-A3(config-if)#switchport modeaess router-A3(config-if)#switchport aessvlan3router-A3(config-if)#exit router-A3(config)#int fa0/3/2router-A3(config-if)#switchport modeaess router-A3(config-if)#switchport aessvlan4router-A3(config-if)#exit router-A3(config)#int fa0/3/3router-A3(config-if)#switchport modeaess router-A3(config-if)#switchport aessvlan5router-A3(config-if)#exit router-A3(config)#int vlan2router-A3(config-if)#ipaddressrouter-A3(config-if)#no shutrouter-A3(config-if)#exit router-A3(config)#int vlan3router-A3(config-if)#ipaddressrouter-A3(config-if)#no shutrouter-A3(config-if)#exit router-A3(config)#exit router-A3#配置完成，ping一下网络2看是否能ping通18Ping通，说明网络工作正常，实验完成。 五、多台路由器连接多个网络网络拓扑如图所示，按图示配置网络和路由，并用下面的命令给路由器加上路由表CisocRouter2811#configure tEnter configurationmands,one perline.End withTL/Z.CisocRouter2811(config)#router ripCisocRouter2811(config-router)#work络CisocRouter2811(config-router)#work/fa0/0对应网络CisocRouter2811(config-router)#Z/设置路由表/路由器1的fa0/1对应网上面是对路由器1设置路由表，对路由器2，3，4，5设置时用各路由器的fa0/1口的IP换掉上面命令中fa0/1的IP，并将fa0/0连接的网络全部设置为19/8为子网掩码，/16为子网掩码注意图中/24为子网掩码中心交换机路由器1Fa0/0路由器3路由器4路由器5路由器2Gateway:IP/8子网1子网5GatewayIP/16子网4IP/24Gateway子网2Fa0/1Fa0/1Fa0/Fa0/1Gateway:IP/24GatewayIP/8/8Fa0/1/24Fa0/0/24Fa0/0/24Fa0/0/24Fa0/0/24子网3用上面的步骤配置完路由器后，用ping命令可以测试网络是否连通，如果ping不通，请仔细检查网络连接和路由器配置。 20该实验因为路由器数量有限，可以改用Cisco模拟软件Packet Tracer5进行测试具体配置方法如下1.首先打开Packet Tracer5，如下图所示1.点击左下角相关按钮把本实验所需要的设备添加上，如下图212.此时连线时一定要注意选用正确的线型，PC和交换机用直通线，交换机和路由用直通线。 下面以路由器1做配置说明，其它路由同理即可。 3.打开路由器1的命令行，如下所示224.按回车后出现提示符，输入命令进入到接口配置模式，如下235.按照上面给的拓扑图对fa0/1和fa0/0接口进行相应的配置，具体如下246.然后编写路由表，输入命令CisocRouter2811#configure tEnter configurationmands,one perline.End withTL/Z.CisocRouter2811(config)#router ripCisocRouter2811(config-router)#work络CisocRouter2811(config-router)#work/fa0/0对应网络CisocRouter2811(config-router)#Z/设置路由表/路由器1的fa0/1对应网257.然后对子网1的PC进行IP设置，ip地址在10.0.0.*，默认网关:.如下图所示268.点击IP配置，如图279.再对其它路由器进行相关的配置，方法一样。 配置完成后，用PC1任意ping其它电脑，出现下图是说明配置正确（下图用子网1的pc ping子网2的pc）28【上机任务】1按本实验指书的要求将路由器与计算机连接2观看路由器的自测和初始化过程3配置路由器的两个基本端口，将两个不同的网络连通4测试其连通性5配置路由器的四个扩展端口，将多个不同的网络连通6测试其连通性7配置路由器，将多个不同的网络连通（不少于3个）8测试其连通性9配置路由器将本地局域网与校园网连接，看能否连通（有能力的同学选作）10牢记配置路由器的常用基本命令【实验报告】1画出两个不同络网互连时的网络拓扑图（必须要有）2写出给各端口配置的IP地址293写出两个不同网络互连时的连通性结果4写出由路由器扩展端口连接不同络络时化分的vlan及分配置的端口、端口IP地址并画出网络拓扑结构5画出由路由器连通多个不同网络时的网络结构拓扑图形，图中标明网络地址，路由器端口地址等。 6写出由路由器连接校园网时配置的端口及其相关参数，并画出拓扑图7心得及其他30实验三WindowsxxSever下管理本地用户和组【实验目的】10.学会在WindowsxxSever下管理本地用户和组11.熟悉indowsxxSever用户管理机制【实验内容】1.帐号的创建、修改、删除2.组的创建、修改、删除3.本地用户权限管理、分配4.远程用户权限管理、分配【实验原理及相关知识】11本地用户的含义用户分为本地用户和全局用户。 所谓“本地”用户指平时直接使用的计算机，本地用户对应着对等网工作组模式，用户验证都在各自的本地计算机上进行。 全局用户对应着客户机/服务器工作模式，用户验证都在域控制器上进行。 本地用户只能建立在Windowsxx独立服务器、Windowsxx成员服务器或基于WindowsxxProfessional的计算机中，这种用户的作用范围仅限于在创建该用户的计算机上，以控制用户对该计算机上资源的访问。 也就是说，如果一个用户需要访问多台计算机上的资源，而这些计算机不属于某个域，则用户要在每一台需要访问的计算机上拥有相应的本地用户帐号，并在登录某台计算机时由该计算机验证。 13系统内建用户系统内建用户是Windowsxx操作系统自带的，在安装好Windowsxx之后这些用户就已存在，并已经赋予了相应的权限。 Windowsxx利用这此用户完成某些特定的工作。 Windowsxx中常见的内置用户包括系统管理员用户Administrator和来宾用户guest（默认禁用）。 系统内建用户和组都不允许被删除，并且Administrator帐号也不允许被禁用，但内建用户帐号允许更名。 没有能过系统验证的用户，都将自动转为guest用户访问系统。 所以，从安全性角度考虑，guest用户不要轻易启用。 14组的相关知识组是Windowsxx网络环境中的一个非常重要的概念，是用户帐号的集合，当用户较多的时候，就通常将具有相同身份和属性的用户组合到一个逻辑的集合中，并且一次赋予该集合访问资源的权限而不再单独给用户赋予权限，从而简化了管理。 一个用户帐号可属于多个组。 用户登录后，如果又修改了权力权限，要再次登录才能生效。 本地组中有两种主要的组类型用户创建的本地组和系统内置组。 31a)Administrators组的特点1它是所有的Windowsxx上都有的惟一的一个被赋予了所有内建权力的组2它可以给自己赋予所有自己没有的权力3它可添加系统组件，升级系统4它可配置系统重要参数，如注册表的修改5它可配置安全信息b)Power Users组1它存在于非域控制器上2它可进行基本的系统管理工作3它不能修改Administrators组和Backup Operators组4它不能备份/恢复文件5它不能修改注册表c)Backup Operators组1它是所有的Windowsxx上都有的2它可以忽略文件系统的权限进行备份和恢复3它可以登录系统和关闭系统4它对加密文件也可以做备份d)Users组1它是一般用户所在的组，对系统可使用基本的权力。 2它可运行程序，使用网络3它可以关闭WindowsxxProfessional，但不能关闭WindowsxxSever4它不能创建共享目录和本地打印机e)系统内建的特殊组1Everyone组它包括所有的用户，包括guest2Authenticated Users组它包含所有被身份验证成功的用户，但不包括guest组的成员，在WindowsxxSever中是Users组的成员3Interactive组包含所有交互试登录的用户【实验过程及主要步骤】该实验中具体就是在计算机上建立实验文件夹，对本地访问的用户分配不同的权限，测试用户具有何种操作权限，然后将该文件夹发布于局域网中，再对远程访问用户给与不同的权限，测试远程用户的操作权限。 下面具体的对用户和组的权限设置与管理进行详细介绍。 32在该实验中用到的网络拓扑图如下图1-1实验拓扑图创建帐号1启动WindowsxxSever，以管理员（Administrator）身份登录系统2右键点击“我的电脑”，选择管理菜单，就进入到“计算机管理”界面3单击“本地用户和组”前面的加号，展开出现“用户”图标。 在“用户”图标上右击，在弹出的快捷菜单中单击“新用户”，如图所示33图1-1“计算机管理”控制台4打开“新用户”对话框后，在“用户名”文本框中输入用户帐号的登录名称，如输入“bdfw001”；在“全名”文本框中输入用户的全名，在“描述”文本框中输入帐号的简单描述，以方便日后的管理工作；在“密码”和“确认密码”文本框中输入相同的密码。 图1-2“新用户”对话框中进行各选项的设定5单击“创建”按钮后，该用户帐号会被创建，但新用户对话框不会消失，可以接着创建下一个用户帐号，如bdfw002,bdfw003。 最后，单击“关闭”按钮，结束新用户的创建.。 创建本地组创建本地组的操作要由本地计算机的Administrators组或Aount Operators组的成员进行，方法与创建本地用户类似，操作步骤如下341以系统管理员Administrator的身份登录。 同样打开“计算机管理”窗口，在左窗口展开“本地用户和组”菜单，并且选择组，就可以看到本地组的情况。 如图1-4图1-4“本地组”概况2在打开的“新建组”对话框的“组名”文本框中输入该组的名称，如ycfw，在“描述”文本框中可以简单的输入该组的用途。 可以通过单击“添加”按钮，在“成员”列表框中加入组的成员，如图1-6所示。 图1-3新建组”YCFW”353单击“创建”按钮，再单击“关闭”按钮，返回到“计算机管理”窗口中。 这时在右侧的子窗口中可以看到新建的组，如图1-7所示。 图1-4查看新建的组”YCFW”本地用户权限分配1.按照上述方法，建立用于本地访问资源的用户组”bdfw”，并建立用户”bdfw001”让它只隶属于组”bdfw”，不属于组”User”然后在建立用于远程访问资源的用户组”ycfw”，并建立用户”ycwf001”让它只隶属于组”ycfw”.不属于组”User”.2.在D盘新建一个文件夹，取名“试验1”，再建几个子文件夹，放少许文件再里面，打开文件“试验1”属性对话框，切换到“安全”标签，如图1-836图1-8文件夹“试验1”属性3.点击添加按钮，把组”bdfw”加上，然后对它的权限进行分配，注意此时给权限的时候应该一项一项的加入，不要一次全给，这样方便看用户有何种操作权限。 这里首先给”读取、禁止写入”权限。 如图1-937图1-9组“bdfw