第一篇:网络组建通信协议和OSI模型的理解
网络组建通信协议和OSI模型的理解
在计算机网络中,通信协议和OSI模型的概念非常重要。通过此实验,希望能够加深用户对通信协议和OSI模型概念的理解。
1.实验目的了解网络通信协议。
掌握OSI模型的特性,能够清楚明白协议栈及栈间通信的原理。
2.实验环境
Windows操作系统的计算机,具备Internet环境。
3.实验重点及难点
重点理解OSI模型体系结构,以及各层功能。
难点协议栈及栈间通信的原理
4.实验内容
在战斗中,某军队须向位于后方的总部发送一份4页纸的文件。由于该文件关乎战斗的胜利,属于高度机密文件,所以文件中的每一页应该单独发送。总部为了理解整个文件的内容而必须收到全部的4页文件。文件中的每一个单词都被对方加密,再由接受方进行解密。发送发(军方)通过常规的邮件服务发送邮件,但是需要接受方(总部)的应答以确保文件的安全。
1.思考计算机网络中数据帧之间的通信与现实生活中的信件通信有什么共同点和区别。
2.画出OSI协议的模型结构,并说明每层结构的作用以及各层间的联系。
3.画出数据包通过OSI模型各层传输的示意图。
第二篇:网络osi七层模型各层功能总结
1.物理层 在OSI参考模型中,物理层(Physical Layer)是参考模型的最低层,也是OSI模型的第一层。物理层的主要功能是:利用传输介质为数据链路层提供物理连接,实现比特流的透明传输。物理层的作用是实现相邻计算机节点之间比特流的透明传送,尽可能屏蔽掉具体传输介质和物理设备的差异。需要注意的是,物理层并不是指连接计算机的具体物理设备或传输介质,如双绞线、同轴电缆、光纤等,而是要使其上面的数据链路层感觉不到这些差异,这样可使数据链路层只需要考虑如何完成本层的协议和服务,而不必考虑网络的具体传输介质是什么。“透明传送比特流”表示经实际电路传送后的比特流没有发生变化,对传送的比特流来说,这个电路好像是看不见的,当然,物理层并不需要知道哪几个比特代表什么意思。为了实现物理层的功能,该层所涉及的内容主要有以下几个方面:(1)通信连接端口与传输媒体的物理和电气特性 机械特性:规定了物理连接器的现状、尺寸、针脚的数量,以及排列状况等。例如EIA-RS-232-D标准规定使用25根引脚的DB-25插头座,其两个固定螺丝之间的距离为47.04±0.17mm等。 电气特性:规定了在物理连接信道上传输比特流时的信号电平、数据编码方式、阻抗及其匹配、传输速率和连接电缆最大距离的限制等。例如EIA-RS-232-D标准采用负逻辑,即逻辑0(相当于数据“0”)或控制线处于接通状态时,相对信号的地线有+5~+15V的电压;当其连接电缆不超过15米时,允许的传输速率不超过20Kb/s。 功能特性:规定了物理接口各个信号线的确切功能和含义,如数据线和控制线等。例如EIA-RS-232-D标准规定的DB-25插头座的引脚2和引脚3均为数据线。
规程特性:利用信号线进行比特流传输时的操作过程,例如信号线的工作规则和时序等。(2)比特数据的同步和传输方式 物理层指定收发双方在传输时使用的传输方式,以及为保持双方步调一致而采用的同步技术。例如在采用串行传输时,其同步技术是采用同步传输方式还是异步传输方式。(3)网络的物理拓扑结构 物理拓扑规定了节点之间外部连接的方式。例如星形拓扑、总线型拓扑、环形拓扑和网状拓扑等。(4)物理层完成的其他功能
数据的编码。
调制技术。
通信接口标准。 2.数据链路层 数据链路层(Data Link Layer)是OSI模型的第二层,负责建立和管理节点间的链路。该层的主要功能是:通过各种控制协议,将有差错的物理信道变为无差错的、能可靠传输数据帧的数据链路。(交换机)在计算机网络中由于各种干扰的存在,物理链路是不可靠的。因此,这一层的主要功能是在物理层提供的比特流的基础上,通过差错控制、流量控制方法,使有差错的物理线路变为无差错的数据链路,即提供可靠的通过物理介质传输数据的方法。该层通常又被分为介质访问控制(MAC)和逻辑链路控制(LLC)两个子层。MAC子层的主要任务是解决共享型网络中多用户对信道竞争的问题,完成网络介质的访问控制;LLC子层的主要任务是建立和维护网络连接,执行差错校验、流量控制和链路控制。数据链路层的具体工作是接收来自物理层的位流形式的数据,并加工(封装)成帧,传送到上一层;同样,也将来自上层的数据帧,拆装为位流形式的数据转发到物理层;并且,还负责处理接收端发回的确认帧的信息,以便提供可靠的数据传输。数据链路层的主要功能如下:
数据帧的处理:处理数据帧的封装与分解。
物理地址寻址:通过数据帧头部中的物理地址信息,建立源节点到目的节点的数据链路,并进行维护与释放链路的管理工作。
流量控制:对链路中所发送的数据帧的速率进行控制,以达到数据帧流量控制的目的。
帧同步:对数据帧的传输顺序进行控制(即帧的同步和顺序控制)。
差错检测与控制:通常在帧的尾部加入用于差错控制的信息,并采用检错检测和重发式的差错控制技术。例如处理接收端发回的确认帧。3.网络层
网络层(Network Layer)是OSI模型的第三层,它是OSI参考模型中最复杂的一层,也是通信子网的最高一层。它在下两层的基础上向资源子网提供服务。其主要任务是:通过路由选择算法,为报文或分组通过通信子网选择最适当的路径。该层控制数据链路层与传输层之间的信息转发,建立、维持和终止网络的连接。具体地说,数据链路层的数据在这一层被转换为数据包,然后通过路径选择、分段组合、顺序、进/出路由等控制,将信息从一个网络设备传送到另一个网络设备。
一般地,数据链路层是解决同一网络内节点之间的通信,而网络层主要解决不同子网间的通信。例如在广域网之间通信时,必然会遇到路由(即两节点间可能有多条路径)选择问题。在实现网络层功能时,需要解决的主要问题如下:
寻址:数据链路层中使用的物理地址(如MAC地址)仅解决网络内部的寻址问题。在不同子网之间通信时,为了识别和找到网络中的设备,每一子网中的设备都会被分配一个唯一的地址。由于各子网使用的物理技术可能不同,因此这个地址应当是逻辑地址(如IP地址)。
交换:规定不同的信息交换方式。常见的交换技术有:线路交换技术和存储转发技术,后者又包括报文交换技术和分组交换技术。
路由算法:当源节点和目的节点之间存在多条路径时,本层可以根据路由算法,通过网络为数据分组选择最佳路径,并将信息从最合适的路径由发送端传送到接收端。
连接服务:与数据链路层流量控制不同的是,前者控制的是网络相邻节点间的流量,后者控制的是从源节点到目的节点间的流量。其目的在于防止阻塞,并进行差错检测。4.传输层
OSI下3层的主要任务是数据通信,上3层的任务是数据处理。而传输层(Transport Layer)是OSI模型的第4层。因此该层是通信子网和资源子网的接口和桥梁,起到承上启下的作用。该层的主要任务是:向用户提供可靠的端到端的差错和流量控制,保证报文的正确传输。传输层的作用是向高层屏蔽下层数据通信的细节,即向用户透明地传送报文。该层常见的协议:TCP/IP中的TCP协议、Novell网络中的SPX协议和微软的NetBIOS/NetBEUI协议。
传输层提供会话层和网络层之间的传输服务,这种服务从会话层获得数据,并在必要时,对数据进行分割。然后,传输层将数据传递到网络层,并确保数据能正确无误地传送到网络层。因此,传输层负责提供两节点之间数据的可靠传送,当两节点的联系确定之后,传输层则负责监督工作。综上,传输层的主要功能如下:
传输连接管理:提供建立、维护和拆除传输连接的功能。传输层在网络层的基础上为高层提供“面向连接”和“面向无接连”的两种服务。
处理传输差错:提供可靠的“面向连接”和不太可靠的“面向无连接”的数据传输服务、差错控制和流量控制。在提供“面向连接”服务时,通过这一层传输的数据将由目标设备确认,如果在指定的时间内未收到确认信息,数据将被重发。
监控服务质量。5.会话层
会话层(Session Layer)是OSI模型的第5层,是用户应用程序和网络之间的接口,主要任务是:向两个实体的表示层提供建立和使用连接的方法。将不同实体之间的表示层的连接称为会话。因此会话层的任务就是组织和协调两个会话进程之间的通信,并对数据交换进行管理。用户可以按照半双工、单工和全双工的方式建立会话。当建立会话时,用户必须提供他们想要连接的远程地址。而这些地址与MAC(介质访问控制子层)地址或网络层的逻辑地址不同,它们是为用户专门设计的,更便于用户记忆。域名(DN)就是一种网络上使用的远程地址例如:www.xiexiebang.com就是一个域名。会话层的具体功能如下:
会话管理:允许用户在两个实体设备之间建立、维持和终止会话,并支持它们之间的数据交换。例如提供单方向会话或双向同时会话,并管理会话中的发送顺序,以及会话所占用时间的长短。
会话流量控制:提供会话流量控制和交叉会话功能。
寻址:使用远程地址建立会话连接。
出错控制:从逻辑上讲会话层主要负责数据交换的建立、保持和终止,但实际的工作却是接收来自传输层的数据,并负责纠正错误。会话控制和远程过程调用均属于这一层的功能。但应注意,此层检查的错误不是通信介质的错误,而是磁盘空间、打印机缺纸等类型的高级错误。
6.表示层
表示层(Presentation Layer)是OSI模型的第六层,它对来自应用层的命令和数据进行解释,对各种语法赋予相应的含义,并按照一定的格式传送给会话层。其主要功能是“处理用户信息的表示问题,如编码、数据格式转换和加密解密”等。表示层的具体功能如下:
数据格式处理:协商和建立数据交换的格式,解决各应用程序之间在数据格式表示上的差异。
数据的编码:处理字符集和数字的转换。例如由于用户程序中的数据类型(整型或实型、有符号或无符号等)、用户标识等都可以有不同的表示方式,因此,在设备之间需要具有在不同字符集或格式之间转换的功能。
压缩和解压缩:为了减少数据的传输量,这一层还负责数据的压缩与恢复。
数据的加密和解密:可以提高网络的安全性。 7.应用层
应用层(Application Layer)是OSI参考模型的最高层,它是计算机用户,以及各种应用程序和网络之间的接口,其功能是直接向用户提供服务,完成用户希望在网络上完成的各种工作。它在其他6层工作的基础上,负责完成网络中应用程序与网络操作系统之间的联系,建立与结束使用者之间的联系,并完成网络用户提出的各种网络服务及应用所需的监督、管理和服务等各种协议。此外,该层还负责协调各个应用程序间的工作。应用层为用户提供的服务和协议有:文件服务、目录服务、文件传输服务(FTP)、远程登录服务(Telnet)、电子邮件服务(E-mail)、打印服务、安全服务、网络管理服务、数据库服务等。上述的各种网络服务由该层的不同应用协议和程序完成,不同的网络操作系统之间在功能、界面、实现技术、对硬件的支持、安全可靠性以及具有的各种应用程序接口等各个方面的差异是很大的。应用层的主要功能如下:
用户接口:应用层是用户与网络,以及应用程序与网络间的直接接口,使得用户能够与网络进行交互式联系。
实现各种服务:该层具有的各种应用程序可以完成和实现用户请求的各种服务。8.7层模型的小结
由于OSI是一个理想的模型,因此一般网络系统只涉及其中的几层,很少有系统能够具有所有的7层,并完全遵循它的规定。在7层模型中,每一层都提供一个特殊的网络功能。从网络功能的角度观察:下面4层(物理层、数据链路层、网络层和传输层)主要提供数据传输和交换功能,即以节点到节点之间的通信为主;第4层作为上下两部分的桥梁,是整个网络体系结构中最关键的部分;而上3层(会话层、表示层和应用层)则以提供用户与应用程序之间的信息和数据处理功能为主。简言之,下4层主要完成通信子网的功能,上3层主要完成资源子网的功能。9.建立OSI参考模型的目的和作用
建立OSI参考模型的目的除了创建通信设备之间的物理通道之外,还规划了各层之间的功能,并为标准化组织和生产厂家制定了协议的原则。这些规定使得每一层都具有一定的功能。从理论上讲,在任何一层上符合OSI标准的产品都可以被其他符合标准的产品所取代。因此,OSI参考模型的基本作用如下:
OSI的分层逻辑体系结构使得人们可以深刻地理解各层协议所应解决的问题,并明确各个协议在网络体系结构中所占据的位置。
OSI参考模型的每一层在功能上与其他层有着明显的区别,从而使得网络系统可以按功能划分。这样,网络或通信产品就不必面面俱到。例如,当某个产品只需完成某一方面的功能时,它可以只考虑并遵循所涉及层的标准。
OSI参考模型有助于分析和了解每一种比较复杂的协议。
以后还会介绍其他参考模型或协议,例如TCP/IP、IEEE 802和X.25协议等,因此,还会比较它们与OSI模型的关系,从而使读者进一步理解网络体系结构、模型和各种协议的工作原理。
第三篇:公司网络组建方案
通睿广告传媒公司 网络组建方案
方案策划人:萧瑟秋风
目录
一、背景分析
二、网络需求分析
1)
2)3)4)5)公司需求 技术需求 服务需求 可行性分析 技术分析
三、网络方案设计
1.逻辑方案设计
1)所选设备及设备型号
2)传输介质
3)拓扑结构方案
2.物理方案设计
1)2)3)4)5)6)7)8)9)
安装服务器操作系统 安装活动目录 安装DNS服务器 安装DHCP服务器 安装IIS 创建WEB服务器 创建FTP服务器 打印服务 监控措施
2)站点上传与发布 3)站点推广 后续工作:1)注册域名
四、安全策略
1)防火墙策略
2)网络监测与检测策略 3)数据加密策略
五、后期维护
六、组建总结
具体组建措施
一、背景分析
贵公司是一家广告公司,专营广告业务活动。根据对贵公司各方面的考察,可定义贵公司为一家中小型企业,又根据广告公司所固有的特点,可判断贵公司对网络建设要求较高,以应对众多广告公司的竞争压力,尤其是在网络安全方面,必定要极力防止数据及广告创意的外泄,因而,本组网方案在保证其他配置均处于当前领先地位外,特别关注近期比较危险的网络,保护贵公司的数据安全。此外,对于贵公司的站点推广方面,我们又有极为独到的见解,加强贵公司的市场竞争力。
二、网络需求分析 1)公司需求
贵公司属于中小型企业,由七个部门组成(总经理,副经理,创业部,客户服务部,媒介部,财务部,人力资源部)。为了满足企业未来的发展需求,现在企业拥有100台计算机,需要分配给各部门,企业需要构建一个全新的网络。建立一个技术先进,满足企业管理和业务的需求的企业网络系统。企业网的总体目标是实现办公的自动化,访问需要权限,可以和外进行通信连接,信息获取自动化。具体目标是企业各部门间不能进行访问,企业的一些重要资料可以受内网和外网的访问,建设财务网络管理,涉及网络管理等系统。并通过路由器与Internet连同。2)技术需求
1、建立一个为各部门和企业员工为服务对象的网络平台,为企业各部门和员工提供高效的网络信息服务。网络具有传输数据,语音,图形和图像等多媒体信息功能,具备性能优越的资源共享功能。
2、企业网各终端间具有快速交换功能,中心系统交换机采用虚拟网络技术,对网内用户具有分类控制功能。
3、对网络资源的访问提供完善的权限控制,能提供有效的身份识别,能基于企业网对各部门和员工进行管理。
4、网络具有防止和捕杀病毒的功能,以保证网络安全,与Internet连接后具有“防火墙”功能,以防止网络“黑客”侵入网络系统。
5、可对接入Internet的各网络用户进行访问权限控制。3)服务需求
企业网络服务需求,根据企业自身特点都有不同的情况。以企业内部网为例,Intranet, 它以TCP/IP协议作为基础,以Web为核心应用,可以提供Web、邮件、FTP、Telnet等功能强大的服务。Intranet能够大大提高企业的内部通信能力和信息交换能力。与Interner连接后,可以实现互联网应用。4)可行性分析
1、优势strength:
1)我们采用的是星型局域网。星型拓扑结构是由中央节点和通过点到点链接到中央节点的各个站点组成,易于拓展,可靠性高;星型网特点:每个节点都连接到公共中心节点;任意两点间的通信均要通过中心节点;中心节点是一个中继器(或是一台交换机);星状网络便于安装和管理,任何一个终端的故障都不会影响其它终端的正常通信。
2)我们组网总共用了600万,我们采用的都是高端先进的设备,设备的配置很高,因而我们为该公司组建的网络速度快,质量高。
3)我们公司会对我们公司负责组建的网络进行定期的升级和排查故障等,保证公司网络的通畅。⒉劣势weakness 1)我们组建的小型局域网,还存在一定的网络风暴等风险。这是所有公司都无法避免的问题。
2)网络组建投入的资金比较的多,可能在有些方面会造成不必要的浪费
(二)外部因素
⒈机会opportunity,指广告专业网站存在的机会,是网站本身以外的有利因素。如国家的政策法律的支持、技术的支持、受众的需要等。
⒉威胁threat,这是针对自网站以外的不利因素。如传统广告业影响力仍将持续、政策法律不完善、商业网站的威胁、网站运营成本增加等。5)技术分析
1、采用千兆以太网技术,具有高带宽1000Mbps 速率的主干,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资;
2、网络设备选型为国际知名产品,性能稳定可靠、技术先进、产品系列全及完善的服务保证;
3、采用支持网络管理的交换设备,足不出户即可管理配置整个网络。
4、提供国际互联网ADSL专线接入(或ISDN),实现与各公共网的连接;
5、可扩容的远程拨号接入/拨出,共享资源、发布信息等。应用系统及教学资源丰富;
6、有综合网络办公系统及各个应用管理系统,实现办公自动化,管理信息化,邮件服务等。
三、网络方案设计
1.逻辑方案设计
1)所选设备及设备型号
1、宽带路由器:思科2851路由器
2、无线路由器:NETGEAR WNDR3700
3、服务器:IBM System x3500 M2(7839I15)4、24口千兆三层主交换机:H3C LS-3600-28P-EI 5、24口千兆交换机:磊科 NSW1824C
6、电脑:方正 商祺N320(BSN320-1123)
7、笔记本:MSI微星 CX600
8、光纤收发器:天为电信 光纤收发器(网络级)TW-LINK10/100M
2)传输介质 1.光缆:安普 4芯光缆
2.双绞线:TCL 超五类屏蔽双绞线
3)拓扑结构方案
2.物理方案设计
1)安装服务器操作系统(微软Windows2000 Server中文标准版)
1.在 CD-ROM 或 DVD-ROM 驱动器中插入 Windows 2000 Server CD-ROM。
2.使用 Windows 2000 CD-ROM 或 Windows 2000 启动盘启动计算机。如果从 CD-ROM 启动,则在显示“按任意键从 CD 启动”的消息时,按键盘上的任意键。这将,就会启动 Windows 2000 Server 安装程序。
备注:在安装程序启动时,如果需要安装其他大容量存储设备的驱动程序,请按 F6 键。按屏幕提示指定准备安装的驱动程序的位置。
3.在“欢迎安装”屏幕上,按 ENTER 键。4.如果接受授权协议,请在“Windows 2000 授权协议”页面上按 F8 键。
备注:如果不同意 Windows 2000 授权协议,则按 ESC 键。安装程序随即退出。
5.在已有分区和未分区空间的列表中,使用箭头键选择一未分区空间选项,然后按 C 键。
6.在“创建分区的大小(MB)”框中,键入新建分区的大小,然后按 ENTER 键。
7.按 ENTER 键,在选定分区上安装 Windows 2000。8.使用箭头键选择所需的文件系统,然后按 ENTER 键。该分区被格式化。
备注:您稍后可以将文件系统为 FAT32 的分区转换为 NTFS 分区。
安装程序将复制 Windows 2000 Server 安装所需的文件,然后重新启动计算机。Windows 2000 Server 安装程序在“图形用户界面”(GUI)模式下继续安装。9.在“区域设置”页面上,单击下一步。
10.在名称 框中,键入您的姓名。在单位 框中,键入您的单位,然后单击下一步。
11.在产品密钥 框中,键入产品密钥,然后单击下一步。
12.在“授权模式”页面上,单击所需的授权模式,然后单击下一步。
13.在“计算机名”框中,键入希望用的计算机名。
备注:计算机名在网络上必须是唯一的。使用唯一且具描述性的计算机名很有帮助。
14.在“系统管员密码”框中,键入系统管理员密码。在“确认密码”框中键入同一密码,然后单击下一步。
备注:管理员帐户应使用增强密码。
15.在Windows 2000 组件 列表中,选中所需组件的复选框,然后单击下一步。
16.在“日期和时间设置”页面上,设置正确的日期、时间和时区,然后单击下一步。
17.在“网络设置”页面上,单击典型设置(如果尚未选中该设置),然后单击下一步。18.单击“不,此计算机不在网络上,或者在没有域的网络上”,然后单击下一步。
备注:稍后您可以从 Windows 的系统属性 对话框使用“网络标识向导”,将该计算机添加到域中。19.安装程序完成时,单击完成。Windows 重新启动。20.以管理员身份登录到 Windows。
21.使用“Windows 2000 配置服务器向导”配置该服务器。2)安装活动目录
1.启动Windows 2000 Server系统自动打开“Windows 2000配置服务器”窗口。
2.在左边的列表中单击Active Directory(活动目录)超级链接,并拖动右边的滚动条到底部。
3.单击“开始”超级链接,打开“ Active Directory安装向导”对话框。
4.单击“下一步”按钮,打开如图9-4所示的“域控制器类型”对话框,选择“新域的域控制器”单选按钮,使服务器成为新域中的第一个域控制器。如果网上已有域控制器,可选择“现有域的额外域控制器”单选按钮。
5.单击“下一步”按钮,打开 “创建目录树或子域”对话框,如果用户不想让新域成为现有域的子域,可选择“创建一个新的域目录树”单选按钮。如果用户希望新域成为现有域的子域,可选择“在现有域目录树中创建一个新的子域”单选按钮。这里,选择“创建一个新的域目录树”单选按钮。
6.单击“下一步”按钮,打开 “创建或加入目录林”对话框,如果所创建的域为单位的第一个域,或者希望所创建的新域独立于现有目录林,可选择“创建新的域或目录树”单选按钮。如果希望新的域目录树中的用户可访问现有域目录树中的资源,或希望现有域目录树中的用户访问新域目录树中的资源,可选择“将这个新的域目录树放入现有的目录林中”单选按钮。这里,选择“创建新的域目录树”单选按钮。
7.单击“下一步”按钮,打开 “新的域名”对话框,在“新域的DNS全名”文本框中输入新建域的DNS全名。
8.单击“下一步”按钮,打开 “NetBIOS域名”对话框,在“域NetBIOS名”文本框中输入NetBIOS域名,或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。
9.单击“下一步”按钮,打开 “数据库和日志文件位置”对话框,在“数据库位置”文本框中输入保存数据库的位置,或者单击“浏览”按钮选择路径,在“日志位置”文本框中输入保存日志的位置或单击“浏览”按钮选择路径。注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上。
10.单击“下一步”按钮,打开 “共享的系统卷”对话框,在Windows 2000中,Sys.vol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。在“文件夹位置”文本框中输入Sys.vol文件夹位置,或单击“浏览”按钮选择路径。
11.单击“下一步”按钮,如果用户没有配置名称为kbsoft.com的DNS服务器,则系统会提示用户配置DNS服务器,单击“确定”按钮,即可打开“配置DNS”对话框。
12.如果通过向导为新域安装和配置DNS服务器,选择“是,在这台计算机上安装和配置DNS(推荐)”单选按钮。如果要在安装活动目录之后再安装和配置DNS,可选择“否,我将自己安装并配置”单选按钮。13.单击“下一步”按钮,打开 “Windows NT 4.0 RAS服务器”对话框,如果希望减弱Windows NT 4.0 RAS的访问权限选择“是,减弱权限”单选按钮。如果不更改访问权限,选择“否,不要更改权限”单选按钮。
14.单击“下一步”按钮,打开“摘要”对话框,通过该对话框,用户可检查并确认选定的选项。
15.单击“下一步”按钮,系统开始配置活动目录,同时打开“正在配置Active Directory”对话框,显示配置过程。
16.经过几分钟之后,配置完成。同时,打开“完成” Active Directory安装向导”对话框,单击“完成”按钮,即完成活动目录的安装,重新启动计算机,活动目录即会生效。
3)安装DNS服务器
1.在Server 2000上单击“开始”→“设置”→“控制面板”选单,打开控制面板。
2.双击“添加/删除程序”,然后单击“添加/删除 Windows 组件”,出现“ Windows 组件向导”窗口。单击选中“网络服务”,然后单击“详细信息”,弹出“网络服务窗口”。
3.在“网络服务的子组件”中,选中“域名服务系统(DNS)”,单击“确定”,然后单击“下一步”,根据提示进行安装。
4.安装完成后重新启动系统。
4)安装DHCP服务器
1.依次点击“开始”-“设置”-“控制面板”-“添加/删除程序”-“添加/删除Windows组件”,打开相应的对话框。2.用鼠标点击选中对话框中“组件”列表框中的“网络服务”一项,单击“详细信息”按钮,弹出带有其中具体内容的对话框。
3.在对话框“网络服务的子组件”列表框中勾选“动态主机配置协议(DHCP)一项后,单击”确定“按钮,根据系统提示放人Windows2000安装光盘,系统将从Windows2000安装光盘复制所需的程序。
4.复制结束后,按照系统提示要求重新启动计算机。在”开始_程序_管理工具“的下级菜单中将会出现”DHCP“一项,说明DHCP安装成功。
5)安装IIS 单击“开始”——设置——控制面板——添加删除程序——添加/删除windows组件——选中“Internet信息服务(IIS)”——详细信息,在“Internet信息服务管理器”和“文件传输协议(FTP)服务器”前的复选框打勾,单击“确定”,安装IIS。
IIS的测试方法:在浏览器的地址栏依次输入http://127.0.0.1和http://localhost,当出现微软的信息表示安装正确。
6)创建WEB服务器 1.在IIS服务器上,单击开始——程序——管理工具,选“Internet服务管理器”打开Internet服务控制台。2.右键单击服务器项目,单击新建——Web站点,进入“Web站点创建向导”对话框,单击“下一步”按钮 3.在“说明”中输入有关说明,单击“下一步”按钮 4.单击“输入Web站点使用的IP地址”,选择Web站点使用的IP地址(192.168.1.2),单击“下一步”按钮。5.在“路径”处输入Web站点主目录所在的物理地址(D:Web),单击“下一步”按钮。
6.设置用户对主目录的访问权限,单击“下一步”按钮后单击“完成”按钮。
7.在主目录下创建文件index.htm 8.在客户端计算机上打开浏览器,地址栏输入http://服务器IP/,出现index.htm的内容,表明Web站点创建成功。9.注册公司域名(www.xiexiebang.com),划出一个磁盘,在该磁盘中建立宿主目录,将用户所有资料存放在宿主目录中,同时备份。
7)创建FTP服务器
1.在Internet服务控制台右键单击“Server”,单击新建——FTP站点,进入FTP站点创建向导对话框。2.单击“下一步”,在“说明”处输入FTP站点描述。3.单击“下一步”,在“IP地址”处选此FTP站点的IP地址(192.168.1.2)4.单击“下一步”,输入主目录的路径(E:FTP)5.单击“下一步”,设置用户对此FTP站点的访问权限。6.单击“下一步”按钮后单击“完成”按钮
7.右键单击“我的FTP站点”,选择“浏览”看到主目录里德文件,表明FTP站点创建成功。
8)打印服务
1.首先安装一个网络打印机的驱动,就是打印服务器应用程序,安装过程中会自动搜素网络上的打印机。在这之前你应该设置打印服务器的IP地址与你电脑在同一个网段的。2.安装好打印服务器软件后,需要在主机上添加打印机,打印类型选择 连接到次计算机的本地打印机,不要自动检测。3.出现使用下列端口后,下来选择你的打印服务器的那个Network port.4.安装打印机的驱动,注意这是打印机本身的驱动,不是打印服务器那个驱动,安装好打印驱动后,以后就是下一步的操作了。
单击开始,然后单击“打印机和传真机”。在文件 菜单上,单击服务器属性。
使用下列任意方法(根据需要)都可配置您想要的选项:
配置打印机的端口设置: 单击端口 选项卡。
要配置端口,请在“这台服务器上的端口”框中单击您要配置的端口,然后单击配置端口。在传输重试 框中键入秒数(如果打印机失去响应达到此秒数,您就会得到通知),然后单击确定。
要添加新端口,请单击添加端口,然后在“可用端口类型”框中单击您要添加的端口类型,然后单击新端口。在“输入端口名称”框中键入您要指定给新端口的名称,然后单击确定。
要删除端口,请在“这台服务器上的端口”框中单击您要删除的端口,单击删除端口,然后单击是,确认删除。添加、删除或重新安装当前打印机驱动程序:
单击驱动程序 选项卡。
在“安装的打印机驱动程序”框中单击您要修改的驱动程序,然后单击添加、删除,或重新安装(根据需要)。
按照屏幕上显示的说明添加、删除或重新安装该打印机驱动程序。
打开或关闭打印机通知:
单击高级 选项卡,然后单击“远程文档打印完成时发出通知”复选框,将其选中或清除。
单击高级 选项卡。单击您要的记录后台打印选项(或多个选项)旁边的复选框,将其选中或清除。单击确定。9)监控措施
采用网络幽狗对公司整个局域网进行监控。
它可以仅通过局域网中任意一台主机的安装,达到监控整个局域网的目的。不需要在被监视和被管理电脑上安装任何软件,不需要HUB(集线器),也不需要镜像交换机,可以在任何普通交换机下任何一台安装。后续工作:
1)注册域名
注册域名遵循”先申请先注册"的原则。
1、与注册服务机构签订在线(或书面)域名注册协议。申请者应当在域名注册协议中保证:遵守有关互联网络的法律和规定;遵守《中国互联网络域名管理办法》以及主管部门的其他相关规定;遵守中国互联网络信息中心制定的域名注册实施细则、域名争议解决办法等相关规定,以及修订后的版本;提交的域名注册信息真实、准确、完整。
2、填写域名注册申请表。
2)站点上传与发布
1、申请网站域名和空间(www.xiexiebang.com)
2、上传文件(利用Dreamweaver 8自带的上传功能)
(1)选择菜单中的【站点】/【管理站点】命令,打开管理站点对话框。
(2)在对话框中单击【编辑】按钮,打开【综合网站的站点定义为】对话框,在对话框中选择【高级】选项卡
(3)在对话框中选择【远程信息】选项,单击【访问】下拉按钮,在弹出的下拉菜单中选择FTP。
3)站点推广(1)注册到搜索引擎(2)传统媒体广告(3)专业论坛宣传(4)直接跟客户宣传(5)不断维护更新网站(6)网络广告(7)公司印刷品(8)发布信息推广
四、安全策略
1)防火墙策略
在实际构建防火墙的工作中一般运用多策略,多部件组合的方法.简单防火墙采用商用带有数据包过滤功能的路由器,进行分组过滤.放置在和企业网络之间的分组过滤路由器.屏蔽主机防火墙是由一台主机和一个屏蔽路由器构成.主机连接企业内部网络,路由器在和内部网络之间,路由器负责数据包的过滤以及对主机某些端口屏蔽.屏蔽子网指在屏蔽主机结构中,主机后端再加入一台路由器,保护子网络安全,这样使子网络安全性进一步提高双宿主主机防火墙是在企业内部网络和间设置一个主机,安装两个网络接口,屏蔽掉协议的直接传输,内部网络不能直接和传输存在问题.由于防火墙只是一种静态的安全技术,需要人工实施与维护,相对入侵时间的随机性发生,不能完全做到阻止入侵者的攻击.主要表现在:不能阻止来自内部网络不法用户的入侵;外部入侵者通过扫描路由器可以找到防火墙背后的入口,绕过防火墙进行入侵;由于防火墙性能的问题不能实时进行入侵检测;不能防止病毒的侵入;不能解决自身的安全问题.防火墙安全性能的提高将降低网络的运行速
度.因此单一的防火墙技术只能在相对的时期保证网络的安全,这就要求网络管理部门不断的维护,调整,升级防火墙的安全策略.同时,建立和完善网络的监测检测技术.2)网络监测与检测策略
防火墙安全技术是处于被动的保护网络的安全,而实时监测与检测技术是主动保护自身的安全技术机制.从安全技术层面为网络管理部门提供了进一步实施安全管理和维护的手段.既能防范来自外部的非法入侵又能防范来自内部的恶性破坏
以及人为的误操作.采用相应保护手段保护网络系统,同时可以分析,跟踪,切断连接,保留证据等,控制网络的用户运行保护网络的安全.检测系统与检测方法检测系统分别是基于主机和基于网络的系统.基于主机的检测系统主要用于监控网络上用户的运行,此种技术已经广泛的用于网络操作系统,其检测方法与运行全部集成在网络操作系统中.实时检测网络中的连接,系统日志检查等,在网络服务器操作系统中为管理员提供了相应安全策略和保护方法.基于网络的系统主要用于实时监测关键路径上的数据流量,代理软件在局域网网络中监测数据流.基于路由器检测系统主要用于保护网络的基础设施,确保计算机网络之间连接安全.主机检测系统主要作用是通过网络系统实时监测每一个用户的使用情况,判断出非法入侵的事件,系统对不同入侵行为采用相应保护措施,由于运行检测系统需要大量的系统资源,因此,服务器主机一定要选硬件性能很好的计算机服务器.基于网络的检测由于只能在网络内进行监视,因此,在局域网网段部署检测系统是很方便的.检测方法主要基于行为和基于知识的入侵.基于行为入侵检测方法是根据网络用户的行为或者资源使用情况来判断是否入侵,即异常检测一般采用概率统计的方法.基于知识的入侵检测方法是根据已知的攻击方法模型建立检测
模式,通过判断来发现是否发生入侵,即违规检测.检测功能一个检测系统的基本功能必须能够保证对现有已知的入侵行为进行发现处理,同时要为系统管理
人员提供简捷的配置方法,完善的操作功能.能够做到:监视系统及用户的运行状态,检查用户权限;检查系统漏洞,提示系统管理人员;分析,统计用户的行为规律;系统文件与数据的一致性校验;对检测到的异常行为进行报警,保护处理;操作系统的审计管理.检测系统的数据报告将作为安全策略制定的基本依据之一.3)数据加密策略
数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒,安装网络防病毒系统。
五、后期维护
(1)网站内容的维护和更新
网站的信息内容应该适时的更新,如果现在客户访问企业的网站看到的是企业去年的新闻或者说客户在秋天看到新春快乐的网站祝贺语,那么他们对企业的印象肯定大打折扣。因此注意适时更新内容是相当重要的。在网站栏目设置上,也最好将一些可以定期更新的栏目如企业新闻等放在首页上,使首页的更新频率更高些。(2)网站服务与回馈工作要跟上
企业应设专人或专门的岗位从事网站的服务和回馈处理。客户向企业网站提交的各种回馈表单、购买的商品、发到企业邮箱中的电子邮件、在企业留言板上的留言等等,企业如果没有及时处理和跟进,不但丧失了机会,还造成很坏的影响,以致客户不会再相信你的网站。(3)网上推广与营销不可缺少
要让更多的人知道你的网站,了解你的企业就要在网上进行推广。网上推广的手段很多,大多数是免费的。主要的推广手段包括搜索引擎注册、注册加入行业网站、邮件宣传、论坛留言、新闻组、友情连接、互换广告条、B2B站点发布信息等。除了网上的推广外,还有很多网上与网下结合的渠道。比如将网址和企业的商标一起使用,通过产品、信笺、名片、公司资料等途径可以很快地将企业的网站告知你的客户,也方便他们从网上了解企业的最新动态。(4)不断完善网站系统,提供更好的服务
企业初始建网站一般投入较小,功能也不是很强。随着业务的发展,网站的功能也应该不断完善以满足顾客的需要,此时使用集成度高的电子商务应用系统可以更好的实现网上业务的管理和开展,从而将企业的电子商务带向更高的阶段,也将取得更大的收获。
六、组建总结 此方案单从物理配置上便可满足一般中小型企业的网络需求,由于综合考虑了广告公司这类企业的特殊性,本方案在网络安全方面已作出了比较全面的考虑,加之当今市场变化多端,高效畅通的网络也是企业生存的必须,因而,如若贵公司资金充裕,本方案可有比较大的升级空间,满足企业对网络的更高需求,当然,方案总有不足之处,若贵公司发现不妥之处,敬请尽快联系我们,我们会给予更好的完善,谢谢!
第四篇:实验室网络组建方案专题
实 验 室 网 络 组 建 方 案
目录
建网原则................3设计目标................3
需求分析................3
设备选型................3
网络连接介质的选择............3
交换机的选择..........4路由器的选择..........4
设备清单...........4
网络架构及方案实施..........4
网络拓扑结构..........4
综合布线...........5网络检测和故障诊断............6
接入Internet............6
实训总结................6
本文从建网原则、设计目标、需求分析、设备选型、网络架构及方案实施等方面来阐述网络组建的方案流程。
建网原则
有较好的扩展性便于网络日后的升级;
有清晰合理的层次结构便于管理与维护;
采用先进成熟技术,降低系统风险提高网络安全性;
保证系统良好的开放性能够和其它网络互联;
设计目标
灵活性:各种部件可以根据用户需求自由安放,即不受物理位置和设备类型的局限,但总体采用综合布线方案;
独立性:各个子系统之间相互联接的同时又不影响其它子系统的正常使用;
高扩展性:用户可增加硬件设备,无论各硬件设备技术如何发展,都能很方便的连接到系统中来;
先进性:综合布线系统适应广泛的数据通信和应用,从而保护用户在线缆及网络系统上的投资;
实用性:布线系统能够适应未来技术的发展。
需求分析
小型局域网以资源共享信息传递为主体,网络数据采用
10M/100M接入到桌面,这样即节省资金,又能使各节点都能达到自己要求,而且可以满足未来扩展需求。并可轻松访问Internet。设备选型
网络连接介质的选择
采用非屏蔽双绞线为主要传输介质,主机与小型交换机相连采用直通线即T568B—T568B为主要线序,小型交换机与小型交换机采用交叉线序即T568A—T568B为主要线序,小型交换与
RG-S2026F交换机接连接采用交叉线序即T568A—T568B为主要线
序,RG-S2026F交换机与路由器TP-link采用直通线即T568B—T568B为主要线序。线缆排序如下图所示:
交换机的选择
采用常用小型家用8口交换机,根据所需接入的微机数量进行选择。
路由器的选择
采用TP-link百兆路由器连接外网,实现与Internet的全互联。设备清单
网络架构及方案实施
网络拓扑结构
采用以中央交换机(RG-S2026F)为节点星型网络,向下级联分布于各处的小型交换机并最终连接到主机,以此便于网络管理和方案实施。网络拓扑如下图所示:
综合布线
采用T568B与T568A线序进行对交换机、主机及路由器的互联,相同设备选择交叉线(T568B—T568A或T568B—T568A)不同设备选择直通线(T568A—T568A或T568B—T568B),布线方案如下图所示:
网络检测和故障诊断
接下来的工作是具体的连网工作,包括物理连通和计算机操作系统的对等互联。一般网卡上绿灯亮表示网络连通。在物理连接完成时采用以下命令测试网络是否通畅:
Ping对网络的连通性进行测试。
Netstat检测计算机与网络之间详细的连接情况。
IPconfig 检查本地主机的详情信息便于排查错误。
ARP查看本地计算机或另一台计算机的ARP缓存中的内容。Tracert显示数据包到达目的主机所经过的路径。
Nslookup查看主机的IP地址和主机名称,及一些私人配置。Nbtstat查看主机的IP地址和主机名称以及查看其它主机配置。接入Internet
Internet 接入方式采用TP-link与校园内网相连并实现外网的连通性,并进行交换配置自动下发IP地址省去网络地址的配置步 实训总结
在这一周的学习中我发现自身还存在着一些不足平时学习的内容与实践所用到的内容还存在一定的差距,往往自己在平时学习中掌握良好的知识或技术在实践操作中却“屡试不爽”,发现书上的一些知识与技术值提供了指导作用最终的成果还是掌握在勤学好问的人手里,除此之外还学到了在实际工程中和人交往的能力,在实际操作总能准确的把自己的意思传递给别人让被人能配合你完成一项任务也是很重要的技能,在今后的网络学习过程中这些将起到很大的作用!
第五篇:网络组建实习报告
网络组建实习报告
学校:
学院:
专业:
班级:
姓名:
时间:
地点:
社会在加速度地发生变化,对人才的要求也越来越高,要用发展的眼光看问题,得不断提高思想认识,完善自己。作为一名IT从业者,所受的社会压力将比其他行业更加沉重,要学会创新求变,以适应社会的需要。本学期,经过院领导老师的精心准备策划,我们有幸到四川华迪信息技术有限公司进行了为期五十多天的实习。总的来说,此次实习是一次成功的顺利的实习。通过我们的努力,我们已最大可能的完成了实习大纲的要求,既充分巩固了大学前期四年的专业知识,又对专业科目学习有了新的理解,并且将四年的理论知识付诸与实际操作,让我们对知识的掌握更加透彻。这次专业认识实习增强了我们的职业意识,让我们对将来所要从事的行业有了一定的认识。
一、实习目的
通过这次实习,我们要了解网络工作原理、网络设备的分类和操作;掌握IP路由原理、路由设备工作原理,路由协议分类及比较;了解静态和动态路由原理及配置;了解NAT基本原理及静态和动态NAT的配置;理解局域网概念及对传统局域网设计、性能、冗余性、安全性等几个方面的弱势的解决方法;生成树协议及其分类;学会如何在不增加设备的情况下提高网络吞吐能力;针对协议的一些弱点如何对网络进行攻击;掌握综合布线知识;网路安全方面的问题;防火墙的配置等网络方面的一些知识。
二、实习时间
实习时间为:2014年11月至2015年2月。时长为三个月。
三、实习地点
***********************************************
四、实习单位
******************。
五、实习内容
网络组建方面我们学习了:
1、OSI参考模型功能分层(从下到上共7层):物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
TCP/IP模型功能分层(共4层):网络接口层、网际层、运输层、应用层。
2、路由器和交换机的区别:交换机工作在数据链路层,路由器工作在网络层;交换机利用物理地址,路由器利用IP地址来确定数据转发的地址;
3、三种非屏蔽双绞线的作用及线序排列:(1)直连线的线序:
端1:橙白橙绿白蓝蓝白绿棕白棕 端2:橙白橙绿白蓝蓝白绿棕白棕(2)交叉线的线序:
端1:橙白橙绿白蓝蓝白绿棕白棕 端2:绿白绿橙白蓝蓝白橙棕白棕
同种设备相接用交叉线,不同种设备用直连线。但PC与路由器相接时,可把PC看成一个路由器,用交叉线相连。(3)反转线的作用:
反转线用于将计算机连接到交换机或路由器的控制端口.4、区别route、router、routing? route(路由):是指路由器从一个接口上收到数据包,根据数据包的目的地址进行定向并转发到另一个接口的过程。
router(路由器):连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径、按前后顺序发送信号的设备。routing(路由协议):在路由指导IP数据包发送过程中事先约定好的规定和标准。
5、ping:是DOS命令,一般用于检测网络的通与不通。
ping原理:利用网络上机器IP地址的唯一性,给目标IP地址发送一个数据包,再要求对方反回一个同样大小的数据包来确定两台网路机器是否连接相通,时延是多少。
6、NAT:网络地址转换。可以有效解决IP不够的问题。
NAT的工作方式:静态NAT,将一个私网地址和一个公共IP地址做一对一映射;动态NAT,将一个私网地址和一个公共地址池中的某个IP地址做映射,在映射关系建立后,也是一对一的地址映射,但所使用的公网IP地址不确定;Overloading,一种特殊的动态NAT,将多个私网IP地址映射到一个公网IP地址的不同端口号下,通常也称之PAT。静态NAT的配置:(1)在内部本地地址与内部合法地址之间建立静态地址转换,在全局设置状态下输入:ipnat inside source static 内部本地ip内部全局ip。(2)指定连接网络的内部端口,在端口设置状态下输入:ipnat inside。(3)指定连接外部网路的外部端口:ipnat outside。(4)查看:show ipnat translation。(5)删除:no ipnat inside source static 内部本地ip内部全局ip。
动态NAT的配置:(1)创建ACL:指定内部本地IP地址范围: access-list acl号 permit 192.168.10.0(内部ip)0.0.0.255(反掩码)。(2)创建内部全局IP地址池:ipnat pool池名内全ip开头—内全ip结尾(范围)。(3)映射ACL到地址池:ipnat inside source list acl号pool池名(4)指定内/外接口:与静态NAT相同,内部:ipnat inside 外部:ipnat outside。(5)清除动态表项:clear ipnat translation *。
7、生成树协议(Spanning Tree Protocol,STP)的主要任务是防止2层得循环。关于STP的术语:(1)根桥(Root Bridge),拥有最好的bridge ID即为根桥,根桥决定网路中哪些端口被堵塞,哪些端口作为转发模式。(2)根端口(Root Port):与根桥直接相连的端口,或者是到根桥最短的接口。(3)指定端口(Designated Port):耗费低的端口,作为转发端口。(4)非指定端口(Nondesignated Port):耗费较高为堵塞模式(Blocking Mode),即不转发帧。启用STP协议的命令:spanning-tree enable。
根交换机(Root):在一个广播域内选举,一个网络中只能选一台,优先级越小的(若相同则取MAC地址小的)为根交换机 生成树操作流程Spanning-Tree Operation one root bridge per broadcast domain one root port per nonnot bridge one designated port per segment Nondesignated ports are anused
8、PPP协议提供了一种标准的方式在点对点的链路上传输多种网络层协议的数据报。
PPP协议特点:支持点到点的连接,具有验证功能,通过PAP或CHAP方式验证,保证了网络的安全性。
PPP的两种验证方式:(1)密码验证协议(Password Authentication Protocol),PAP为两种握手协议,以明文方式验证,适用于对网络安全要求相对较低的环境。(2)挑战握手验证协议(Chanllenge Handshake Authentication Protocol CHAP)只在网络上传输用户名,而不传输口令,安全性要比PAP高。
9、配置路由基本操作:
(1)全局配置模式下给路由器命名,hostname + 名字。(2)关闭路由器自动域名解析功能,no ipdomainlookup。(3)保证路由器和telent登陆安全,保密要求高时用SSH。(4)按拓朴结构描述路由器接口
(5)使用相关的show命令(不止一个),用于显于路由器型号、CPU类型、内存、flash容量。
(6)要求路由器重启后所有的配置依然存在,show run与show start的区别。(7)关闭所有路由器没有使用的接口。
(8)修改当前路由器时区为北京时区(北京为东8区)修改时间为当前时间。>(config)# clock timezone BJ 8 ># clock set 15:29:30 7jul 2011-9-10(9)确定设备的Login和debug以日期作为时间戳模式。网络应用方面我们学习了:(1)系统的安装(2)虚拟机的使用(3)Linux系统的使用(4)建立局域网
(5)建立FTP进行文件传输(6)建立VPN虚拟专用网 网络攻防方面:
(1)我们了解了什么是主动攻击,什么是被动攻击。(2)从攻击方式上我们学习了:口令入侵(3)所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法非常多,如[2]
(4)利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;
(5)利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;
(6)从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;
(7)查看主机是否有习惯性的帐号:有经验的用户都知道,非常多系统会使用一些习惯性的帐号,造成帐号的泄露。
(8)放置特洛伊木马程式能直接侵入用户的计算机并进行破坏,他常被伪装成工具程式或游戏等诱使用户打开带有特洛伊木马程式的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或执行了这些程式之后,他们就会象古特洛伊人在敌人城外留下的藏满士兵的木马相同留在自己的计算机中,并在自己的计算机系统中隐藏一个能在windows启动时悄悄执行的程式。当你连接到因特网上时,这个程式就会通知攻击者,来报告你的IP地址及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程式,就能任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
(9)在网上用户能利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就能达到欺骗的目的了。
(10)一般Web欺骗使用两种技术手段,即URL地址重写技术和相关信关信息掩盖技术。利用URL地址,使这些地址都向攻击者的Web服务器,即攻击者能将自已的Web地址加在所有URL地址的前面。这样,当用户和站点进行安全链接时,就会毫不防备地进入攻击者的服器,于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏,当浏览器和某个站点边接时,能在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息,用户由此能发现问题,所以攻击者往往在URLf址重写的同时,利用相关信息排盖技术,即一般用JavaScript程式来重写地址样和状枋样,以达到其排盖欺骗的目的。
(11)电子邮件是互连网上运用得十分广泛的一种通讯方式。攻击者能使用一些邮件炸弹软件或CGI程式向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,更有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。相对于其他的攻击手段来说,这种攻击方法具有简单、见效快等好处。
(12)攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们能使用网络监听方法,尝试攻破同一网络内的其他主机;也能通过IP欺骗和主机信任关系,攻击其他主机。
(13)这类攻击非常狡猾,但由于某些技术非常难掌控,如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。他能磙坏两台机器间通信链路上的数据,其伪装的目的在于哄骗网络中的其他机器误将其攻击者作为合法机器加以接受,诱使其他机器向他发送据或允许他修改数据。TCP/IP欺骗能发生TCP/IP系统的所有层次上,包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外由于用户本身不直接和底层相互相交流,因而对底层的攻击更具有欺骗性。
(14)网络监听是主机的一种工作模式,在这种模式下,主机能接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for 视窗系统95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
(15)利用黑客软件攻击是互连网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,他们能非法地取得用户计算机的终极用户级权利,能对其进行完全的控制,除了能进行文件操作外,同时也能进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程式登陆上已安装好服务器端程式的计算机,这些服务器端程式都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,黑客软件的服务器端就安装完成了,而且大部分黑客软件的重生能力比较强,给用户进行清除造成一定的麻烦。特别是一种TXT文件欺骗手法,表面看上去是个TXT文本文件,但实际上却是个附带黑客程式的可执行程式,另外有些程式也会伪装成图片和其他格式的文件。
(16)许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于非常多系统在不检查程式和缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别设置一串准备用作攻击的字符,他甚至能访问根目录,从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏的根目录,从而获得终极用户的权限。又如,ICMP协议也经常被用于发动拒绝服务攻击。他的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。常见的蠕虫病毒或和其同类的病毒都能对服务器进行拒绝服务攻击的进攻。他们的繁殖能力极强,一般通过Microsoft的 Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。
六、实习总结
通过这次实习,使我学习了很多新的知识并进一步巩固了学过的知识。深刻理解了路由器相关方面的知识,掌握了直连线、交叉线、反转线这三种非屏蔽双绞线的线序排列和作用,静态和动态路由、静态和动态NAT的配置。知道了我们常用的ping命令是什么,他的原理又是什么。了解了ACL技术,并使用ACL保护网络安全等知识。这次实习我们不光学到了技术方面的知识,也学到了一些为人处事的规则。老师就我们就业需要参加的面试对我们进行了相关的培训。还抽出时间对我们的面试技巧进行了考核。我最受益匪浅的是老师给我们讲的那堂职业规划的课,老师给我们讲了寻找潜在职位和找工作较好的办法,和面试前的准备工作及面试中的注意事项,这些经验对于毕业生的我们显得尤为重要。最难忘的就是那次模拟面试了,这是我的第一次面试,表现一点都不令人满意,但也让我了解了自己存在哪些不足之处,好让我能改善这些不足。这段时间让我对IT行业有了更深刻的认识,也让我喜欢上了这个行业,明确了自己的职业道路。
实习人:年月日