网络实训报告Word文档格式.docx
《网络实训报告Word文档格式.docx》由会员分享,可在线阅读,更多相关《网络实训报告Word文档格式.docx(36页珍藏版)》请在冰豆网上搜索。
实现用户按功能分类控制的功能,保证网络应用的安全。
支持教学课件的制作和播放。
实现教学和教务的计算机管理。
建成交互式双向多媒体教学系统。
实现信息、视频的点播功能。
管理简洁、网络调试、管理与维护简单、方便,界面友好;
实现双链路连接外网,一条连接互联网,一条连接教育网。
实现双核心网络,做好冗余备份增加核心层网络的安全。
实现网络入口、出口的数据的安全性。
保障网络接入层的的安全、pc机的系统安全。
优先性的控制学生、老师的上网时间、访问的网站。
禁止学生机房访问系内的ftp服务器。
3.2网络设备的要求
高性能:
所有网络设备都应足够的吞吐量。
高可靠性和高可用性:
应考虑多种容错技术。
可管理性:
所有网络设备均可用适当的网管软件进行监控、管理和设置。
采用国际统一的标准。
高性价比:
尽最大可能提高设备的性价比。
3.3主机系统的要求
设计过程中对主机系统的要求表现在以下几个方面:
主机系统应采用较新的技术,并具有良好的向后扩展能力;
主机系统应具有高的可靠性,能长时间连续工作,并有容错措施;
支持通用大型数据库,如SQL、Oracle等;
具有广泛的软件支持,软件兼容性好,并支持多种传输协议;
能与Internet互联,可提供互联网的应用,如WWW浏览服务、FTP文件传输服务、E-mail电子邮件服务、NEWS新闻组讨论等服务;
支持SNMP网络管理协议,具有良好的可管理性和可维护性;
3.4安全需求
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。
即,
可用性:
授权实体有权访问数据
机密性:
信息不暴露给未授权实体或进程
完整性:
保证数据不被未授权修改
可控性:
控制授权范围内的信息流向及操作方式
可审查性:
对出现的安全问题提供依据与手段
访问控制:
需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。
同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:
数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计:
是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。
具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;
二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏.
四、网络规划与设计
4.1网络拓扑图
图4-1拓扑图
4.2网络拓扑说明
为保障路由器R1/1分别连接INTNETER与教育网两条模拟ISP的路由器,为局域网内提供流量的负载。
实现双路由的网络还需要配置策略路由,使得不同需求用户走不同的路由。
由器R1与R2、R3之间的信息流量的安全性在模拟广域网上配置ppp认证。
路由器R1上配置OSPF路由与默认路由方便网内的IP寻找路由。
路由器上配置NAT转换将网内的机房192.168.1.0-192.168.9.0网段与服务器的192.168.10.0网段转换为公有IP。
防火墙WAN口连接外网、LAN1、LAN2口分别连接两台核心层交换机。
DMZ口连接服务器。
两台核心层交换机23号以太网端口与IDS相连,在交换机上配置端口镜像,将所有的端口镜像到每台交换机的23号口,完成入网数据的检测。
核心交换机2上的22号以太网端口连接管理主机完成对全网的管理。
核心交换机SW1、SW2上配置VRRP与MSTP通过以太口4、5端口聚合实现链路的冗余备份,并以SW1为主交换机,SW2为备份交换机。
汇聚层交换机上配置与接入层相应的VLAN并给与IP地址,实现与接入层的通信。
汇聚层交换机上配置MSTP与配置TUNCK端口1、2、3实现与核心层的链路的冗余。
接入层交换机是网络的入口,复杂的安全策略必不可少。
比如MAC绑定、控制Blaster蠕虫的传播、控制冲击波病毒的扫描和攻击、控制振荡波的扫描和攻击。
三楼上的接入层交换机上为特殊的视频用户配置较大的网速,满足用户的需求。
路由器、交换机各个设备都需要配置管理IP与远程登录密码实现管理主机对全网可管理性。
4.3设备选择
①核心层
核心交换机:
H3CS7506E
核心层是网络的骨干,主要负责对来自汇聚层的数据进行尽可的快速交换。
网络中大量数据流量需要通过核心层设备进行交换,核心层一旦发生故障,整个网络就面临瘫痪。
因此,在选择核心层设备时,不仅要求有强大的数据交换能力,而且要求具有很高的可靠性,选择高端网络设备作为核心层设备,高端设备不仅具有数据高处理能力、高转发速度、还具有高可靠性设计,高端设备的主要组件通常都采用冗余设计(例如互为主备的双处理板、互为主备的双交换网板、甚至多个电源、确保设备不易宕机)。
为了确保核心层网络的可靠性,对核心层设备和链路实现双冗余。
H3CS7506E适合中型企业网络核心层、大型企业网络汇聚层,能配线间设备,密度千兆到桌面,3CS7506E支持大容量双向ACL和VLANACL、ARP入侵检测和ARP防欺骗、检测端口外部是否有环回问题、判断电缆故障位置,帮助快速排除故障、防范网络中的ARP攻击、防止IP地址欺骗攻击、确保对网络访问权限进行严格的控制、软件热补丁功能、优雅重启(GracefulRestart)等高可靠性和高安全性功能。
②汇聚层
汇聚层交换机:
H3CS5500-28C-SI
汇聚层处于三层结构的中间,汇聚层设备是各个接入层设备的集中点,负责汇聚来自接入层的数据,并对数据和控制信息进行基于策略的控制。
考虑到成本因素,汇聚层往往采用中端网络设备,并采用冗余链路提高网络可靠性。
H3CS5500-28C-SI:
适用于500~1000人中型企业网络汇聚层,24个10/100/1000Base-T以太网端口,4个复用的SFP千兆端口(Combo),两个扩展槽位;
H3CS5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。
支持最多6个万兆扩展接口,支持IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代;
除此以外,其出色的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城域网边缘设备的第一选择
③接入层
接入层交换机:
H3CS3100-26C-SI
接入层设备处于网络的最底层,负责接入终端用户,接入层设备和连接数量相对较多,用户设备也较多,不考虑一一实现设备和链路冗余。
H3CS3100-26C-SI定位于高校园区网接入、教/职教园区网接入、桌面/工作组交换机H3CS3100系列千兆以太网交换机是H3C公司秉承IToIP理念设计的二层线速智能型可网管以太网交换机产品,具有千兆上行、可堆叠、无风扇静音设计、完备的安全和QoS控制策略等特点,满足企业用户多业务融合、高安全、可扩展、易管理的建网需求,适合行业、企业网、宽带小区的接入和中小企业、分支机构接入交换机。
④网络出口路由器
网络出口路由器:
MSR50-06
五、服务器配置
5.1FTP服务器配置
5.1.1内容
①安装Serv-U软件及汉化。
②实现服务器启动后Serv-U自启动。
③创建不同权限用户(管理员用户ADMIN、上载用户UP、下载用户DOWN)
④用DNS服务对FTP站点进行域名解析(→10.2.200.xx)。
⑤使用前端工具CUTEFTP访问FTP服务器和使用IE浏览器访问FTP服务器。
⑥写出实训过程中所涉及的知识点及难点,碰到的问题和解决办法。
5.1.2操作步骤
在wlserver中选信息3053实训专栏→FTP高校架设找→Serv-U软件双击安装,完成后退出Serv-U,双击汉化包按照刚才安装Serv-U的路径进行汉化。
启动Serv-U服务器后在“Serv-U管理员—《本地服务器》”对话框中选择“自动开始(系统服务)”使
FTP服务器上需有用户账户、密码管理,用户必须在FTP服务器进行注册,建立帐号,拥有合法的用户名和口令。
在学生计算机上创建账号,口令自定,打开“计算机管理窗口”中“用户”选项的快捷菜单,选择“新用户”选项,按步骤创建用户并添加到组内,也为教师创建账号,设置用户对文件的使用权限(完全控制、更改、读取),学生的权限为读取,教师的权限为完全控制。
打开IE,在地址栏输入:
ftp:
//202.1.4.2在对话框中输入正确的用户名和密码,登录后,显示结果如图5-1
图5-1FTP结果
“文件和打印共享”的目的是为网络上的其它用户提供文件和打印机共享。
具体设置步骤如下:
在“控制面板”中双击“打印机和其它硬件”图标,在“选择一个控制面板图标”中,单击打“印机和传真”如图所示,右键——共享,或在左侧的打印机任务中设置打印机,为全系各办公室提供打印服务,禁止外网访问,为节省IP地址,打印机直接与教学办公室的计算机连接,不单独给打印机分配IP地址。
如图5-2
图5-2打印机
管理员可以在网管工作站进行远程访问,配置服务器、交换机、路由器等网络设备,只有管理员知道设备的远程访问密码,以免黑客等对设备进行有害攻击,保护网络设备及服务器的安全,更重要的是保护信息。
5.2WEB服务器配置
5.2.1内容
①安装、配置和管理“IIS5.0服务”服务组件。
②建立WEB站点(用记事本制作简单网页)。
③建立虚拟目录站点(用记事本制作简单网页)。
④用DNS服务对WEB站点进行域名解析(→10.2.200.xx)。
⑤使用IE浏览器访问WEB服务器.(在IE浏览器中输入访问到自己制作的网页)
5.2.2操作步骤
在IIS信息管理器中进行如图5-3配置
图5-3IIS配置
然后,右键——新建——网站,进行如图5-4配置
图5-4网站创建向导
下一步,找到存储路径,如图5-5
图5-5输入路径
下一步,然后进行权限设置,如图5-6
图5-6权限设置
下一步,完成
由于在上一节已经对域名解析系统(DNS)进行了配置,所以可以在浏览器上输入域名xinxixi,浏览最终效果
5.3DHCP服务器配置
5.3.1内容
①安装DHCP服务器组件。
②为DHCP服务器授权。
③创建DHCP作用域(IP地址范围10.2.200.1-10.2.200.254、添加排除、租约期限)。
④启动DHCP服务。
⑤写出实训过程中所涉及的知识点及难点,碰到的问题和解决办法。
5.3.2操作步骤
首先运行DHCP服务器,然后新建作用域,设置起始IP地址和结束IP地址,如图5-7
图5-7新建作用域向导
在排除的地址里选一个IP作为默认网关,如图5-8
图5-8设置默认网关
新建保留并绑定MAC地址,如图5-9:
图5-9新建保留
完成
按照此步骤新建其他所需作用域
5.4DNS服务器配置
5.4.1内容
①安装“域名系统服务”服务组件。
②为某个域代理授权。
③建立正向查找区域和逆向查找区域。
④添加主机记录、新建别名记录。
5.4.2操作步骤
DNS主要用于域名解析,实现域名与IP地址之间的转换,主要步骤如图5-10
图5-10DNS配置步骤
单击“正向查找区域”——右键——新建作用区域,设置区域名称,如图5-11
图5-11设置区域名称
下一步
然后按照步骤依次操作,完成,如图5-12
图5-12完成结果
然后右键——新建主机,进行相应设置,如图5-13
图5-13新建主机
添加主机,结果如图5-14
图5-14完成添加主机
六、操作系统安全配置
6.1概述
6.1.1操作系统的安全内容
操作系统安全是整个计算机系统安全的基础,其防护研究通常包括:
①提供什么样的安全功能和安全服务
②采取什么样的配置措施
③如何保证服务得到安全配置
6.1.2操作系统安全配置
①操作系统访问控制权限的恰当设置
②系统的及时更新
③对于攻击的防范
6.2配置方案
6.2.1用户安全配置
用户安全配置主要有10类,分别描述如下:
新建用户
1账号便于记忆与使用,而密码则要求有一定的长度与复杂度。
如图6-1
图6-1新用户
②停用Guest用户把Guest账号禁用,并且修改Guest账号的属性,设置拒绝远程访问。
如图6-2
图6-2停用guest
③系统Administrator账号改名
防止管理员账号密码被穷举,伪装成普通用户。
如图6-3
图6-3帐户改名
④创建一个陷阱用户
将管理员账号权限设置最低,延缓攻击企图。
如图6-4
图6-4创建新用户
⑤更改默认权限
将共享文件的权限从“Everyone”改成“授权用户。
如图6-5
图6-5更改权限
⑥限制用户数量
减少入侵突破口,账户数不大于10。
⑦开启用户策略
可以有效的防止字典式攻击,当某一用户连续5次录都失败后将自动锁定该账户,30分钟后自动复位被锁定的账户。
如图6-6
图6-6开启用户策略
6.2.2密码安全配置
①安全密码
创建账号时不用公司名、计算机名、或者一些别的容易猜到的字符做用户名,密码设置要复杂。
安全期内无法破解出来的密码就是安全密码(密码策略是42天必须改密码)。
②开启密码策略
对不同的账户进行授权,使其拥有和身份相应的权限。
③设置屏幕保护密码
防止内部人员破坏服务器的一个屏障。
注意不要使用OpenGL和一些复杂的屏幕保护程序浪费系统资源,黑屏就可以了。
如图6-7
图6-7设置密码
④加密文件或文件夹
用加密工具来保护文件和文件夹,以防别人偷看。
如图6-8
图6-8加密文件
(3)系统安全配置
①使用NTFS格式分区
所有分区都改成NTFS格式,NTFS文件系统要比FAT、FAT32的文件系统安全得多。
如图6-9
图6-9格式分区
②运行防毒软件
不仅可杀掉一些著名的病毒,还能查杀大量木马和后门程序。
要注意经常运行程序并升级病毒库。
如图6-10
图6-10运行软件
③关闭默认共享
防止利用默认共享入侵。
禁止从软盘和光驱启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。
④开启审核策略
用安全审核来记录入侵日志。
如图6-11
图6-11开启审核
(4)服务安全配置
①关闭不必要的端口
减少被入侵的算途径,系统目录中system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。
如图6-12
图6-12关闭端口
②设置好安全记录的访问权限
安全记录在默认情况下是没有保护的,把它设置成只有Administrators和系统账户才有权访问。
如图6-13
图6-13安全记录
③备份敏感文件
有必要把一些重要的用户数据(存放在另外一个安全的服务器中,并且经常备份它们。
④禁止建立空连接
默认情况下,任何用户都可通过空连接连上服务器,进而枚举出账号,猜测密码。
我们可以通过修改注册表来禁止建立空连接:
即把Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成“1”即可。
⑤关闭不必要的服务
防止恶意程序以服务方式悄悄地运行服务器上的终端服务,要确认已经正确配置了终端服务。
五、实训结果
本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。
本方案在保证网络安全可以满足各种用户的需求,比如:
可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。
需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。
具体地说,网络安全技术主要作用有以下几点:
1.采用多层防卫手段,将受到侵扰和破坏的概率降到最低;
2.提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的
3.提供恢复被破坏的数据和系统的手段,尽量降低损失;
4.提供查获侵入者的手段。
网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。
六、总结及体会
在这次试训中使我们对网络有了更深刻的认识,做二十一世纪青年人不但要有夯实的基础,过硬的理论知识,良好的心理素质,健康的体魄,还要有超强的计算机操作能力,正所谓“秀才不出门,便知天下事”为一名计算机网络专业学生来说,必须有较广的社交圈和开阔的知识面,所以要把电脑作为一个重点来抓
通过对设备的配置,达到了设计的需求,充分运用所学知识,实现了网站的构建与web发布以及其它设备的配置。
本次任务我们从中学会了很多,通过同学之间的探讨、研究,知识上得到了巩固,加强了不足的方面,增强了团队合作能力,开拓了创新思维,本次实训将本学期所学知识联系起来,同时也包括以前所学的知识,不仅巩固了已学知识,也让我们掌握了一些新知识,丰富了我们的大脑。
与此同时,使我们对已学的知识有了更深的印象最重要的是我们从中明白了一个道理,那就是“知识是基础,态度决定一切,团结就是力量”。
日常维护工作要认真到位。
制定合理的维护作业计划,对机房环境,供电电源,设备风扇及过滤网等定期巡检维护;
同时充份利用华为设备强大的网管功能,通过对告警信息查询、性能数据查看、保护倒换检查、查询日志记录、各环境变量检查、网元时间检查、网管数据库的备份与转储等操作,对网上传输设备进行实时监控,这样才能及时发现隐患,提前处理,做好预防性维护,确保设备长期稳定地运行。
七、附录
7.1路由器配置:
<
H3C>
SYS
SystemView:
returntoUserViewwithCtrl+Z.
[H3C]sysna
[H3C]sysnameMSR50-60
[MSR50-60]ints5/0
[MSR50-60-Serial5/0]ipadd
[MSR50-60-Serial5/0]ipaddress202.96.64.6724
[MSR50-60-Serial5/0]ints5/1
[MSR50-60-Serial5/1]ipadd
[MSR50-60-Serial5/1]ipaddress202.96.65.6624
[MSR50-60-Serial5/1]intg0/1
[MSR50-60-GigabitEthernet0/1]202.199.185.130
[MSR]sysna
[MSR50-60]sysnameMSR50-601
[MSR50-602]ints5/0
[MSR50-602-Serial5/0]ipadd
[MSR50-602-Serial5/0]ipaddress202.96.64.6824
[MSR50-601]sysnameMSR50-603
[MSR50-603]ints5/1
[MSR50-603-Serial5/1]ipadd
[MSR50-603-Serial5/1]ipaddress202.96.65.6524
7.2交换机配置
7.2.1Vrrp配置
①Vrrp单备配置,在H3C-A上,创建vrrp单备分组1,并配置备份组1的虚拟ip地址为202.199.185.6/24
[H3C-A]intVlan-interface100
[H3C-A-Vlan-interface100]vrr
[H3C-A-Vlan-interface100]vrrp?
ipv6SpecifyIPv6VirtualRouter
un-checkUncheckVRRPpacketTTLvalue
vridSpecifyVirtualRouterIdentifier
[H3C-A-Vlan-interface100]vrrpvrid1virtual-ip202.199.185.6
设置在备份组1中的优先级120,设置H3C-A工作在抢占方式。
[H3C-Vlan-interface100]vrrpvrid1pri
[H3C-A-Vlan-interface100]vrrpvrid1priority120
[H3C-A-Vlan-interface100]vrrpvrid1preempt-mode
②Vrrp单备配置,在H3C-B上,创建vrrp单备分组1,并配置备份组1的虚拟ip地址为202.199.185.6/24
[H3C]sysnameH3C-B
[H3C-B]intVlan-interface100
[H3C-B-Vlan-interface101]vrrpvrid1virtual-ip202.199.185.6
设置在备份组1中的优先级100,设置H3C-A工作在抢占方式。
[H3C-B-Vlan-interface101]vrrpvrid1pri
[H3C-B-Vlan-
升级会员 