计算机网络技术实训报告.docx
《计算机网络技术实训报告.docx》由会员分享,可在线阅读,更多相关《计算机网络技术实训报告.docx(42页珍藏版)》请在冰豆网上搜索。
计算机网络技术实训报告
信息工程系
综合实训报告
姓名:
XXX
学号:
XXXX
专业:
计算机网络技术
实训地点:
XXX
指导教师:
XXX
2011年 12 月 26日
实训报告
一、实训目的
本次实训其目的主要是为了培养学生的实际动手操作与实践能力,增强学生的团队合作意识。
通过模拟案例形式密切联系实际,潜移默化地进行综合素质、职业素质教育,增强学生综合运用所学知识解决实际问题的能力。
(一)网络规划与设计
1.理解网络物理拓扑结构和逻辑拓扑结构。
2.掌握网络实验室使用主要设备型号性能。
3.掌握网络系统设计考虑要点。
(二)网络互联
1.掌握交换机TagVLAN的配置,理解相同VLAN主机通讯,不同VLAN主机隔离的特点。
2.掌握端口聚合的配置方法,理解端口聚合的作用和特点。
3.掌握三层交换机基本配置方法、掌握三层交换机VLAN路由的配置方法。
4.掌握生成树协议的配置方法,理解生成树协议的作用和特点。
5.掌握路由器广域网接口PPP协议的配置,掌握CHAP验证的配置方法。
6.掌握OSPF协议的配置方法。
7.掌握路由器上编号的标准IP访问列表规则及配置。
8.掌握在路由器上对内网进行NAT转换配置
9.掌握在路由器上配置routemap
10.掌握在三层交换机与二层交换机之间配置vrrp+mstp
11.掌握在核心层配置端口镜像与IDS相连
(三)网络服务
1.掌握服务器的安装、配置和管理。
2.掌握服务器的类别,即有哪几种服务器以及他们的功能。
3.掌握服务器的测试。
(四)网络安全
1.掌握操作系统安全配置基础。
2.掌握解决常见的操作系统安全问题的方法。
3.理解操作操作系统安全的基本含义。
二、实训准备
(一)器材准备
三层交换机一台、二层交换机一台、路由器两台、双绞线若干、串口线、pc机、server2000操作系统。
三、实训要求
任务是用现有的设备(华三)完成一个真实网络的设计与实现,并进行网络安全规划
(一)网络规划与设计
1.方案撰写格式
2.符合情理的需求分析
3.网络安全规划设计
4.网络互联设计
5.网络其他应用设计(与安全相关技术应用)
(二)网络互联部分设计
根据实际情况自行设计网络拓扑结构,要求在设计中对二层、三层交换机的设计合理,并对网络中的路由做出合理的部署。
实训内容知识点和操作要点:
设计过程中要求有以下的知识要点:
1.高级VLAN技术应用
2.VLAN间路由技术
3.STP技术应用
4.ACL基础及高级应用
5.路由设计(静态、RIP、OSPF综合)
6.广域网技术(PPP)
(三)网络安全与管理部分设计
根据实际应用需要进行网络安全规划,要求设计合理
实训内容知识点和操作要点:
1.网络操作系统安全规划
2.网络防火墙设计(以软件防火墙为应用实例)
3.网络安全技术设计(IDS、防扫描等其他网络安全软件的应用)
4.网络故障与维护体系的设计
5.网络基本管理应用的设计
四、实训内容及过程
(一)项目调查与分析
1.信息工程系现状
信息工程系位于在XX交专实验楼的三楼、四楼、五楼,:
三楼设有网络实训中心及网络办公室及实验办公室;四楼主要有实训室、实验室、研发室、图形图像办公室,五楼有主任室、书记室、信息办公室、通信办公室、软件办公室、动漫办公室、学工办。
2.信息点位分布
信息点位统计表
地点
信息点数量(个)
与中心距离(米)
三楼
实训室
100
50
网络教研室
6
45
实验室办公室
3
47
四楼
实训室(401)
80
30
实训室(403)
80
29
实验室(402)
40
28
实验室(404)
40
30
研发室
4
50
图像专业办公室
6
51
综合布线机房
30
54
网络实训室
80
55
图像实验室
80
50
网络实训室
80
50
五楼
主任室
1
15
系办公室
6
13
通信办公室
6
16
教学主任办公室
6
12
总支书记室
1
15
实训中心主任办公室
1
10
软件专业办公室
6
12
动漫与广告专业办公室
8
20
学生工作办公室
6
18
3.校园网功能需求
整个信息系将达到教育部颁发的信息系网标准水平,具体目标为:
(1)实现信息系内部网络互连通,信息的共享。
(2)实现信息系的办公自动化。
(3)实现用户按功能分类控制的功能,保证网络应用的安全。
(4)支持教学课件的制作和播放。
(5)实现教学和教务的计算机管理。
(6)建成交互式双向多媒体教学系统。
(7)实现信息、视频的点播功能。
(8)管理简洁、网络调试、管理与维护简单、方便,界面友好;
(9)实现双链路连接外网,一条连接互联网,一条连接教育网。
(10)实现双核心网络,做好冗余备份增加核心层网络的安全。
(11)实现网络入口、出口的数据的安全性。
(12)保障网络接入层的的安全、pc机的系统安全。
(13)优先性的控制学生、老师的上网时间、访问的。
(14)禁止学生机房访问系内的ftp服务器。
4.网络设备的要求
(1)高性能:
所有网络设备都应足够的吞吐量。
(2)高可靠性和高可用性:
应考虑多种容错技术。
(3)可管理性:
所有网络设备均可用适当的网管软件进行监控、管理和设置。
(4)采用国际统一的标准。
(5)高性价比:
尽最大可能提高设备的性价比。
5.主机系统的要求
(1)设计过程中对主机系统的要求表现在以下几个方面:
(2)主机系统应采用较新的技术,并具有良好的向后扩展能力;
(3)主机系统应具有高的可靠性,能长时间连续工作,并有容错措施;
(4)支持通用大型数据库,如SQL、Oracle等;
(5)具有广泛的软件支持,软件兼容性好,并支持多种传输协议;
(6)能与Internet互联,可提供互联网的应用,如浏览服务、FTP文件传输服务、电子服务、NEWS新闻组讨论等服务;
(7)支持SNMP网络管理协议,具有良好的可管理性和可维护性;
6.带宽需求
网络中心是校园网的核心,整个网络的设计思路是采用千兆光纤骨干网,核心层带宽1000M,10/100M交换到桌面。
要求交换容量大,可扩展性好,容错性强。
要求学生宿舍楼网络带宽10M以上,其他部门层带宽详见子网划分规划。
7.安全需求
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的XX性、完整性、可用性、可控性与可审查性。
即,
(1)可用性:
授权实体有权访问数据
(2)XX性:
信息不暴露给未授权实体或进程
(3)完整性:
保证数据不被未授权修改
(4)可控性:
控制授权X围内的信息流向及操作方式
(5)可审查性:
对出现的安全问题提供依据与手段
(6)访问控制:
需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。
同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
(7)数据加密:
数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
(8)安全审计:
是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。
具体包括两方面的内容,一是采用网络监控与入侵防X系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部XX或敏感信息的非法泄漏.
(二)网络规划与设计
1.网络拓扑图
图4-2-1拓扑图
2.网络拓扑说明
(1)为保障路由器R1/1分别连接INTNETER与教育网两条模拟ISP的路由器,为局域网内提供流量的负载。
(2)实现双路由的网络还需要配置策略路由,使得不同需求用户走不同的路由。
(3)由器R1与R2、R3之间的信息流量的安全性在模拟广域网上配置ppp认证。
(4)路由器R1上配置OSPF路由与默认路由方便网内的IP寻找路由。
(5)路由器上配置NAT转换将网内的机房192.168.1.0-192.168.9.0网段与服务器的192.168.10.0网段转换为公有IP。
(6)防火墙WAN口连接外网、LAN1、LAN2口分别连接两台核心层交换机。
DMZ口连接服务器。
(7)两台核心层交换机23号以太网端口与IDS相连,在交换机上配置端口镜像,将所有的端口镜像到每台交换机的23号口,完成入网数据的检测。
(8)核心交换机2上的22号以太网端口连接管理主机完成对全网的管理。
(9)核心交换机SW1、SW2上配置VRRP与MSTP通过以太口4、5端口聚合实现链路的冗余备份,并以SW1为主交换机,SW2为备份交换机。
(10)汇聚层交换机上配置与接入层相应的VLAN并给与IP地址,实现与接入层的通信。
(11)汇聚层交换机上配置MSTP与配置TUNCK端口1、2、3实现与核心层的链路的冗余。
(12)接入层交换机是网络的入口,复杂的安全策略必不可少。
比如MAC绑定、控制Blaster蠕虫的传播、控制冲击波病毒的扫描和攻击、控制振荡波的扫描和攻击。
(13)三楼上的接入层交换机上为特殊的视频用户配置较大的网速,满足用户的需求。
(14)路由器、交换机各个设备都需要配置管理IP与远程登录密码实现管理主机对全网可管理性。
3.IP地址分配
4.设备ip
5.设备选择
(1)设备简介
①核心层
根据前面的设备选型原则和结合校园的实际情况分析
核心交换机H3CS7506E
核心层是网络的骨干,主要负责对来自汇聚层的数据进行尽可的快速交换。
网络中大量数据流量需要通过核心层设备进行交换,核心层一旦发生故障,整个网络就面临瘫痪。
因此,在选择核心层设备时,不仅要求有强大的数据交换能力,而且要求具有很高的可靠性,选择高端网络设备作为核心层设备,高端设备不仅具有数据高处理能力、高转发速度、还具有高可靠性设计,高端设备的主要组件通常都采用冗余设计(例如互为主备的双处理板、互为主备的双交换网板、甚至多个电源、确保设备不易宕机)。
为了确保核心层网络的可靠性,对核心层设备和链路实现双冗余。
H3CS7506E适合中型企业网络核心层、大型企业网络汇聚层,能配线间设备,密度千兆到桌面,3CS7506E支持大容量双向ACL和VLANACL、ARP入侵检测和ARP防欺骗、检测端口外部是否有环回问题、判断电缆故障位置,帮助快速排除故障、防X网络中的ARP攻击、防止IP地址欺骗攻击、确保对网络访问权限进行严格的控制、软件热补丁功能、优雅重启(GracefulRestart)等高可靠性和高安全性功能。
虚拟化安全接入:
•基于用户的接入策略部署:
动态
VLAN、ACL、PBR、QoS
支持虚拟化数据中心服务:
•虚拟防火墙
支持双主控和双电源设计,保证了校园网的高性能和高可靠性。
同时具有很高的性价比,是非常理想的中型校园网核心设备。
②汇聚层
汇聚层交换机:
H3CS5500-28C-SI
汇聚层处于三层结构的中间,汇聚层设备是各个接入层设备的集中点,负责汇聚来自接入层的数据,并对数据和控制信息进行基于策略的控制。
考虑到成本因素,汇聚层往往采用中端网络设备,并采用冗余链路提高网络可靠性。
H3CS5500-28C-SI:
适用于500~1000人中型企业网络汇聚层,24个10/100/1000Base-T以太网端口,4个复用的SFP千兆端口(bo),两个扩展槽位;H3CS5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。
支持最多6个万兆扩展接口,支持IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代;除此以外,其出色的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城域网边缘设备的第一选择
③接入层
接入层交换机:
H3CS3100-26C-SI
接入层设备处于网络的最底层,负责接入终端用户,接入层设备和连接数量相对较多,用户设备也较多,不考虑一一实现设备和链路冗余。
H3CS3100-26C-SI定位于高校园区网接入、教/职教园区网接入、桌面/工作组交换机H3CS3100系列千兆以太网交换机是H3C公司秉承IToIP理念设计的二层线速智能型可网管以太网交换机产品,具有千兆上行、可堆叠、无风扇静音设计、完备的安全和QoS控制策略等特点,满足企业用户多业务融合、高安全、可扩展、易管理的建网需求,适合行业、企业网、宽带小区的接入和中小企业、分支机构接入交换机。
④网络出口路由器
网络出口路由器MSR50-06
产品主要亮点:
‹简化管理一台设备全集成。
有效解决多厂商多产品的混插情况,便于维护;
‹保障应用通过应用优化、防病毒攻击等诸多业务提升用户满意度;
‹满足个性化需求面向中小企业信息化推出有行业特色的定制化路由器;
MSR提供的“路由+交换”解决方案不是简单的两台设备叠加,而是在操作系统层面真正实现了路由交换的完美融合。
基于深度应用识别的QoS机制。
网络出口要求高转发性能和较强的安全控制策略。
MSR50-06路由器是教育行业唯一一款支持千兆线速转发的路由器,转发率高达600Mpps,带机量高达500~1000人。
同时支持丰富的安全特性,支持防攻击和应用过滤等功能。
充分保证校园网的安全。
本方案适用于500~800台电脑联网,三层网络结构,千兆骨干,百兆接入;网络核心层采用H3C公司H3CS7502E交换机,同时配置相应数量的千兆端口分别连接应用服务器、接入交换机及其他设备;网络汇聚层采用H3CS5500-28C-SI,独有智能堆叠系统可实现高密度千兆端口接入,拥有96Gbps的全双工堆叠带宽,消除网络瓶颈,提供优于传统中继聚合配置的更好的可用性和弹性;接入层选择H3CS3100-26C-SI交换机,智能交换机,百兆到桌面。
6.设备清单
(三)服务器配置
1.FTP服务器配置
(1)内容
①安装Serv-U软件及汉化。
②实现服务器启动后Serv-U自启动。
③创建不同权限用户(管理员用户ADMIN、上载用户UP、下载用户DOWN)
④用DNS服务对FTP站点进行域名解析(ftp.xx3053xx.→10.2.200.xx)。
⑤使用前端工具CUTEFTP访问FTP服务器和使用IE浏览器访问FTP服务器。
⑥写出实训过程中所涉及的知识点及难点,碰到的问题和解决办法。
(2)操作步骤
在wlserver中选信息3053实训专栏→FTP高校架设找→Serv-U软件双击安装,完成后退出Serv-U,双击汉化包按照刚才安装Serv-U的路径进行汉化。
启动Serv-U服务器后在“Serv-U管理员—《本地服务器》”对话框中选择“自动开始(系统服务)”使
FTP服务器上需有用户账户、密码管理,用户必须在FTP服务器进行注册,建立XX,拥有合法的用户名和口令。
在学生计算机上创建账号,口令自定,打开“计算机管理窗口”中“用户”选项的快捷菜单,选择“新用户”选项,按步骤创建用户并添加到组内,也为教师创建账号,设置用户对文件的使用权限(完全控制、更改、读取),学生的权限为读取,教师的权限为完全控制。
打开IE,在地址栏输入:
ftp:
//202.1.4.2在对话框中输入正确的用户名和密码,登录后,显示结果如图4-3-1
图4-3-1FTP结果
“文件和打印共享”的目的是为网络上的其它用户提供文件和打印机共享。
具体设置步骤如下:
在“控制面板”中双击“打印机和其它硬件”图标,在“选择一个控制面板图标”中,单击打“印机和传真”如图所示,右键——共享,或在左侧的打印机任务中设置打印机,为全系各办公室提供打印服务,禁止外网访问,为节省IP地址,打印机直接与教学办公室的计算机连接,不单独给打印机分配IP地址。
如图4-3-2
图4-3-2打印机
管理员可以在网管工作站进行远程访问,配置服务器、交换机、路由器等网络设备,只有管理员知道设备的远程访问密码,以免黑客等对设备进行有害攻击,保护网络设备及服务器的安全,更重要的是保护信息。
2.WEB服务器配置
(1)内容
①安装、配置和管理“IIS5.0服务”服务组件。
②建立WEB站点(用记事本制作简单网页)。
③建立虚拟目录站点(用记事本制作简单网页)。
④用DNS服务对WEB站点进行域名解析(.xx3053xx.→10.2.200.xx)。
⑤使用IE浏览器访问WEB服务器.(在IE浏览器中输入.xx3053xx.访问到自己制作的网页)
⑥写出实训过程中所涉及的知识点及难点,碰到的问题和解决办法。
(2)操作步骤
在IIS信息管理器中进行如图4-3-3配置
图4-3-3IIS配置
然后,右键——新建——,进行如图4-3-4配置
图4-3-4创建向导
下一步,找到存储路径,如图4-3-5
图4-3-5输入路径
下一步,然后进行权限设置,如图4-3-6
图4-3-6权限设置
下一步,完成
由于在上一节已经对域名解析系统(DNS)进行了配置,所以可以在浏览器上输入域名xinxixi,浏览最终效果
3.DHCP服务器配置
(1)内容
①安装DHCP服务器组件。
②为DHCP服务器授权。
③创建DHCP作用域(IP地址X围10.2.200.1-10.2.200.254、添加排除、租约期限)。
④启动DHCP服务。
⑤写出实训过程中所涉及的知识点及难点,碰到的问题和解决办法。
(2)操作步骤
首先运行DHCP服务器,然后新建作用域,设置起始IP地址和结束IP地址,如图4-3-7
图4-3-7新建作用域向导
在排除的地址里选一个IP作为默认网关,如图4-3-8
图4-3-8设置默认网关
新建保留并绑定MAC地址,如图4-3-9:
图4-3-9新建保留
完成
按照此步骤新建其他所需作用域
4.DNS服务器配置
(1)内容
①安装“域名系统服务”服务组件。
②为某个域代理授权。
③建立正向查找区域和逆向查找区域。
④添加主机记录、新建别名记录。
⑤写出实训过程中所涉及的知识点及难点,碰到的问题和解决办法。
(2)操作步骤
DNS主要用于域名解析,实现域名与IP地址之间的转换,主要步骤如图4-3-10
图4-3-10DNS配置步骤1
单击“正向查找区域”——右键——新建作用区域,设置区域名称,如图4-3-11
图4-3-11设置区域名称
下一步
然后按照步骤依次操作,完成,如图4-3-12
图4-3-12完成结果
然后右键——新建主机,进行相应设置,如图4-3-13
图4-3-13新建主机
添加主机,结果如图4-3-14
图4-3-14完成添加主机
(四)操作系统安全配置
1.概述
(1)操作系统的安全是整个计算机系统安全的基础。
操作系统安全防护研究,通常包括:
①提供什么样的安全功能和安全服务
②采取什么样的配置措施
③如何保证服务得到安全配置
(2)操作系统安全配置主要是指:
①操作系统访问控制权限的恰当设置
②系统的及时更新
③对于攻击的防X
2.配置方案
(1)用户安全配置
主要有10类,分别描述如下:
新建用户
①账号便于记忆与使用,而密码则要求有一定的长度与复杂度。
如图4-4-1
图4-4-1新用户
②停用Guest用户把Guest账号禁用,并且修改Guest账号的属性,设置拒绝远程访问。
如图4-4-2
图4-4-2停用guest
③系统Administrator账号改名
防止管理员账号密码被穷举,伪装成普通用户。
如图4-4-3
图4-4-3XX改名
④创建一个陷阱用户
将管理员账号权限设置最低,延缓攻击企图。
如图4-4-4
图4-4-4创建新用户
⑤更改默认权限
将共享文件的权限从“Everyone”改成“授权用户。
如图4-4-5
图4-4-5更改权限
⑥限制用户数量
减少入侵突破口,账户数不大于10。
⑦开启用户策略
可以有效的防止字典式攻击,当某一用户连续5次录都失败后将自动锁定该账户,30分钟后自动复位被锁定的账户。
如图4-4-6
图4-4-6开启用户策略
(2)密码安全配置
①安全密码
创建账号时不用公司名、计算机名、或者一些别的容易猜到的字符做用户名,密码设置要复杂。
安全期内无法破解出来的密码就是安全密码(密码策略是42天必须改密码)。
②开启密码策略
对不同的账户进行授权,使其拥有和身份相应的权限。
③设置屏幕保护密码
防止内部人员破坏服务器的一个屏障。
注意不要使用OpenGL和一些复杂的屏幕保护程序浪费系统资源,黑屏就可以了。
如图4-4-7
图4-4-7设置密码
④加密文件或文件夹
用加密工具来保护文件和文件夹,以防别人偷看。
如图4-4-8
图4-4-8加密文件
(3)系统安全配置
①使用NTFS格式分区
所有分区都改成NTFS格式,NTFS文件系统要比FAT、FAT32的文件系统安全得多。
如图4-4-9
图4-4-9格式分区
1运行防毒软件
不仅可杀掉一些著名的病毒,还能查杀大量木马和后门程序。
要注意经常运行程序并升级病毒库。
如图4-4-10
图4-4-10运行软件
2关闭默认共享
防止利用默认共享入侵。
3禁止从软盘和光驱启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。
4开启审核策略
用安全审核来记录入侵日志。
如图4-4-11
图4-4-11开启审核
(4)服务安全配置
①关闭不必要的端口
减少被入侵的算途径,系统目录中system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。
如图4-4-12
图4-4-12关闭端口
②设置好安全记录的访问权限
安全记录在默认情况下是没有保护的,把它设置成只有Administrators和系统账户才有权访问。
如图4-4-13
图4-4-13安全记录
③备份敏感文件
有必要把一些重要的用户数据(存放在另外一个安全的服务器中,并且经常备份它们。
④禁止建立空连接
默认情况下,任何用户都可通过空连接连上服务器,进而枚举出账号,猜测密码。
我们可以通过修改注册表来禁止建立空连接:
即把Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成“1”即可。
⑤关闭不必要的服务
防止恶意程序以服务方式悄悄地运行服务器上的终端服务,要确认已经正确配置了终端服务。
五、实训结果
本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。
本方案在保证网络安全可以满足各种用户的需求,比如:
可以满足个人的通话XX性,也可以满足企业客户的