《某公司局域网安全维护方案.doc》由会员分享,可在线阅读,更多相关《某公司局域网安全维护方案.doc(18页珍藏版)》请在三一办公上搜索。
1、PAPRIKA公司局域网安全维护方案PAPRIKA公司是一家规模约1000人的中型企业,现有计算机800余台。为实现企业信息化,提出如下的局域网解决方案。1 用户需求分析PAPRIKA公司属于中型企业,由四个部分组成,分别是开发部门、业务部门、财务部门和经理室(管理部门)。总的来说,公司建立局域网的目的主要是加强企业内部管理,各职能部门员工间的沟通与合作,提高管理水平,合理利用资金和人力资源,以达到公司人、财、物的统一,更好的服务于生产经营,获得更高的效益。PAPRIKA公司局域网主要实现以下几点功能:1 建立公司内部的Web服务器、E-mail服务器、FTP服务器,实现无纸化办公。2 对外提
2、供访问公司网站的服务和下载资源的ftp服务。3 资料、信息和服务的共享。4 信息交流和邮件服务。5 资源下载。6 可以满足公司内部员工的移动网络与公司总网通信。2 网络搭建及安全维护原则(1) 网络建设的原则在网络建设中主要遵循以下原则:其一,在企业领导小组的统一领导下,建立统一的规章制度,进行统一的管理,采用统一的标准。其二,在网络建设中,所有软硬件产品的选择都必须坚持标准化的原则,采用全路统一的硬、软件平台和基本应用软件,进行统一的软件版本升级管理。其三,网络应具有良好的安全性与保密性。其四,做到资源共享与保护。充分合理地利用现有的资源,最大限度地与原有系统或在建系统互通互联,在尽可能利用
3、已有投资的基础上,解决好经费的补充和配套资金到位问题。(2) 网络安全维护原则在设计网络结构时,要考虑其成本、扩充性、安装维护是否方便等。综合这些因素,在以太网与令牌网两种结构类型中,建议选择以太网,这是因为以太网的组成较为简单,便于非专业人员的日常维护。鉴于各工作站独立工作及协同工作的双重要求,工作站微机间的连接采用星形拓扑结构,在主计算机(HOST)与工作站间采用总线结,以增强多用户访问时的可靠性,保证一定的传输速率。目前在局域网上应用较为广泛的网络类型是客户机服务器(c1ientSener)网。此种网络至少需要一台服务器来提供网络服务和网络的运行管理。网络中所有的电脑终端均能共享服务器的
4、软、硬件资源。网络运行稳定,有利于信息的统一管理和安全保密,并且易于系统的升级。但由于要配置服务器,所以网络投资较大。3.网络安全维护技术的选择目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。事实上,Internet上许多免费的黑客工具都把以太网侦听作为其最基本的手段。局域网安全当前,保证局域网安全的解决办法有以下几种:1.网络分
5、段网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。目前,一般的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:普遍使用的DEC MultiSwitch 900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。2.以交换式集线器代替共享式集线器对局域网的中心交换机进行网络分段后,以
6、太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadc
7、ast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。3.VLAN的划分为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际
8、应用却尚不成熟。在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(包括普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以
9、太网口路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(SwitchPort Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在一次外部网设计中,就选用了Cisco公司的具备SPAN功能的Cataly
10、st系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。广域网安全由于广域网大多采用公网来进行数据传输,信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。如果没有专用的软件对数据进行控制,只要使用Internet上免费下载的“包检测”工具软件,就可以很容易地对通信数据进行截取和破译。因此,必须采取手段,使得在广域网上发送和接收信息时能够保证:除了发送方和接收方外,其他人是无法知悉的(隐私性);传输过程中不被篡改(真实性);发送方能确知接收方不是假冒的(非伪装性);发送方不能否认自己的发送行为(不可抵赖性)。为了达到以上安全目的,广域网通常采用以下
11、安全解决办法:1.加密技术加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但是其加密计算量相当可观,所以通常用于数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年来,随着计算机系统性能的不断提高,不可逆加密算法的应用逐渐增加,常用的如RSA公司的MD5和美国国家标准局的SHS。在一些系统中广泛使用的Cisco路由器,有两种口令加密方式:Enable Secr
12、et和Enable Password。其中,Enable Secret就采用了MD5不可逆加密算法,因而目前尚未发现破解方法(除非使用字典攻击法)。而Enable Password则采用了非常脆弱的加密算法(即简单地将口令与一个常数进行XOR与或运算),目前至少已有两种破解软件。因此,最好不用Enable Password。2.VPN技术VPN(虚拟专网)技术的核心是采用隧道技术,将企业专网的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN,就如同通过自己的专用网建立内部网一样,享
13、有较高的安全性、优先性、可靠性和可管理性,而其建立周期、投入资金和维护费用却大大降低,同时还为移动计算提供了可能。因此,VPN技术一经推出,便红遍全球。但应该指出的是,目前VPN技术的许多核心协议,如L2TP、IPSec等,都还未形成通用标准。这就使得不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此,企业在VPN建网选型时,一定要慎重选择VPN服务提供商和VPN设备。3.身份认证技术对于从外部拨号访问总部内部网的用户,由于使用公共电话网进行数据传输所带来的风险,必须更加严格控制其安全性。一种常见的做法是采用身份认证技术,对拨号用户的身份进行验证并记录完备的登录日志。较常用的身
14、份认证技术,有Cisco公司提出的TACACS以及业界标准的RADIUS。笔者在上文中提到过的那次外部网设计中,就选用了Cisco公司的CiscoSecure ACS V2.3软件进行RADIUS身份认证。外部网安全笔者所说的外部网建设,通常指与Internet的互联及与外部企业用户的互联两种。无论哪一种外部网,都普遍采用基于TCP/IP的Internet协议族。Internet协议族自身的开放性极大地方便了各种计算机的组网和互联,并直接推动了网络技术的迅猛发展。但是,由于在早期网络协议设计上对安全问题的忽视,以及Internet在使用和管理上的无政府状态,逐渐使Internet自身的安全受到
15、威胁,黑客事件频频发生。对外部网安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设计中,往往采取上述三种技术(即防火墙、入侵检测、网络防病毒)相结合的方法。NAI公司最新版本的三宿主自适应动态防火墙GauntletActive Firewall。该防火墙产品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件,将防火墙技术、入侵检测技术与网
16、络防病毒技术融为一体,紧密结合,相得益彰,性价比比较高。3 网络总体结构对于已经上了一定规模,在内部已经有了几个部门的企业,如果所有部门的用户无差别地处于对等网中,不仅使许多敏感数据容易被无关人员获取,而且部门内的大量通信也会占用大量的网络资源,使整个网络的效率变低,甚至引起崩溃。为了克服这个缺点,需要将经常进行通信的计算机组成一个子网,使大量的内部数据局限在子网内传播,然后将各个子网连接在一起形成局域网。在这个方案中,使用了ISDNModem,通过拨号连接到互联网中。路由器和集线器之间,可以设置一台安装了两个网卡的服务器。分别连接在路由器和集线器上,作为网关,运行防火墙软件等,进行网络管理和
17、安全防范。在方案中,用ISDNModem作为统一的出口。避免每台Pc配一个Modem,减少了购买费用,并且容易管理;而使用一台服务器加上网络管理的方法,在一定程度上节约了费用,但可能造成系统不稳定,在维护和管理上也比较困难,所以在经费允许的情况下,最好使用路由器作为连接广域网的接口。在中心使用交换机,以提高整个网络的性能和速度,各个子网中的计算机用集线器连接。对于比较重要、日常数据比较敏感的部门,例如财务部门,可以考虑使用部门服务器,存放重要数据,并运行防火墙程序,屏蔽非法的访问,而普通部门的集线器可以直接与中心的交换机连接。对于打印机、绘图仪等外部设备,可以根据需要放置在中心或相应部门,而在
18、内部需要大量数据传输的部门,可以采用交换机替代集线器作为部门的网络节点。代理服务器是你和互联网之间的另一台计算机(由你的ISP控制),所有进出你计算机的信息必须首先通过代理服务器。虽然听起来不太好,但对每个订户其实相当不错,代理服务器可作为天然防火墙,阻止不怀好意的黑客闯入你的计算机。代理服务器还具有高速缓存经常访问的网页的能力,可以过滤掉某些你不喜欢的内容,如广告,不想浏览的网页等。 结构图如下路由器(ROUTER)防火墙(firewall)总交换机Server(HTTP)Server(FTP)C子网交换机Internet子网交换机子网交换机子网交换机子网交换机CCCCCCCCCCCCCCC
19、C打印机打印机160台160台160台160台160台绘图仪5. 网络设备及网络安全设备选型和数量(1)网络连接介质的选择用户机与集线器(HUB)间选用无屏蔽双绞线,每段双绞线的长度不得超过100m的极限,否则会对数据传输速率造成较大影响。因为客户对网速要求一般,干线电缆、主计算机与干线电缆的连接、集线器与干线电缆的连接均采用5On的基带同轴电缆。(2)网络适配器(网卡)的选择200元左右的兼容网卡已能满足声中小型办公网的要求,选用NE2000,3C503兼容的网卡即可。另外,选择网卡时应注意与接人电缆类型匹配,每台设备联入总线需一个T型接头。(3) 集线器HUB的选择在以太网中,集线器是用来
20、将各微机引出的双绞线连接在一起,常用集线器有8口和16口两种,根据所需接人的微机数量进行选用,并为以后网络扩展留下一定空间。(4) 交换机和路由器的选择本方案采用QuidwayS5600系列的介绍如下:网络标准为IEEE 802.1s IEEE 802.1w IEEE 802.1x IEEE 802.3ad IEEE 802.3x全双工,在10BASE-T、100BASE-TX和1000BASE-T端口上 IEEE 802.1D生成树协议传输速率(Mbps)10/100交换方式存储-转发。端口类型为10Base-T/100Base-TX。QuidwayS5600系列全千兆智能弹性交换机是华为-
21、3COM公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用华为-3COM公司创新的IRF(IntelligentResilientFramework,智能弹性架构)技术,支持高达96G的堆叠带宽和高密度千兆端口,支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。 QuidwayS5624P/5648P:采用交、直流双输入电源模块供电,并可通过更换电源模块提供千兆PoE功能。后面板提供两个固定的堆叠接口和一个扩展模块插槽,扩展模块可选配8端口千兆SFP模块、1端口万兆模块或2端口万兆模块。
22、前面板提供24/48个10/100/1000Base-T自协商以太网端口(RJ-45连接器)及4个SFPCombo接口。路由器选用Cisco 2801,它属于中端路由器,用于实现中小型网络的Internet连接。Cisco2801为集成多业务路由器,带交流电源,2FE,四个接口卡插槽,2AIM。具体参数如表1所示 表1 Cisco 2801DRAM 缺省: 128 MB 最大: 384 MB 小型闪存 缺省: 64 MB 最大: 128MB 固定USB 1.1 端口 1 接口卡插槽 4个插槽; 2个插槽支持HWIC, WIC, VIC, 或 VWIC模块 1个插槽支持 WIC, VIC, 或V
23、WIC模块 1个插槽支持VIC或 VWIC模块 功耗交流,无IP电话支持 150W (511 BTU/hr) 功耗交流,带IP电话支持仅限系统 150W (511 BTU/hr) 功耗交流,带IP电话支持180W (612 BTU/hr) (5) 网络系统的选择因国内大多用户使用的是Microsoft的Windows系列产品,为充分发挥用户现有知识的价值,选用 Windows 2000 Server比较合适。6网络操作系统的安装下面通过从光盘启动计算机安装一个全新的 Windows 2000 Server。启动安装程序后,就开始将必须得安装文件复制到磁盘中,然后显示出现一系列的对话框,用于设置
24、系统相关的重要信息。步骤1: 为 Windows 2000 Server 选择或创建一个分区在系统复制完安装文件并重新启动后,出现一个对话框要求创建或指定一个用于安装 Windows 2000 Server 的磁盘分区,用户可以在磁盘中未分区的可用空间上创建分区,也可以指定一个现有的分区,还可以删除一个或几个现有的分区然后创建一个新的分区。由于安装 Windows 2000 Server 的文件需要至少 1 GB 的可用磁盘空间,这在系统需求中已说明了,所以建议要创建或指定的分区大小应大于最小需求,分区的大小为 2-4 GB 就可以了。之后,选择文件系统。如果用户是升级,则可以使用当前的文件系
25、统;然而,也可以更改为 NTFS,它是推荐的 Windows 2000 文件系统。步骤2 :选择区域设置在地区设置对话框中,遵循指导来自定义语言、选择正确的时间区域和辅助功能设置。还可将 Windows 2000 设置为使用多种语言和地区选项。步骤3 :设置个人化软件在个人化软件对话框,键入用户的姓名,还可键入单位(可选)。步骤 4 :选择许可协议方式在“授权模式”对话框,选择客户端的授权模式,可以是每客户或每服务器方式。对于新的安装,系统要求用户选择客户端的授权模式,如果是升级安装,客户许可协议方式将根据已有设置自动设定。如果用户无法确定授权方式,则选择每服务器方式,因为用户可以随时将“每服
26、务器”方式转换为“每客户” 方式,但注意只能进行一次转换,且这种转换是不可逆的。步骤5: 输入计算机名称对于大多数语言来说,建议不超过 15 个字符。对于需要更多存储空间的语言,例如中文、日文或韩文,建议不超过 7 个字符。建议在计算机名中只使用 Internet 标准的字符。这些标准字符包括数字 0 到 9、A 到 Z 的大写字母和小写字母以及连字符 (-)。如果网络上使用了 Microsoft DNS 服务,那么还可以使用范围更广的字符,包括 Unicode 字符和其他非标准字符,例如 & 符等。使用非标准字符可能会影响与网络上的非 Microsoft 软件的互操作性。计算机名的最大长度为
27、 63 字节。如果名称超过 15 个字节(大多数语言是 15 个字符,有些语言是 7 个字符),安装 Windows 2000 以前的计算机只靠该名称的前 15 个字符来识别此计算机。此外,对于长于 15 个字节的名称,需要额外的配置步骤。如果此计算机是某个域的一部分,则选择的计算机名必须不同于域内的其他任何计算机。如果此计算机是某个域的一部分,且包含多个操作系统,那么每个操作系统使用的计算机名必须各不相同。步骤6 :设置管理员帐户密码在管理员密码对话框中,键入最多不超过 127 个英文字符的密码。为了具有最高的系统安全性,密码至少要 7 个字符(非强制性),并应采用大写字母、小写字母和数字以
28、及其他字符(例如 *、? 或 $)的混合形式。 在确认密码对话框,再次键入密码。由于管理员帐户在 Windows 2000 中的特殊性,出于对系统安全性的考虑,用户要格外重视这个帐户。安装程序在计算机上创建了一个称作 Administrator 的用户帐户,它具有管理计算机全部配置的管理权限。管理这台计算机的人员一般使用此 Administrator 帐户。出于安全考虑,建议为 Administrator 帐户指定密码。将管理员密码设置为空,表明该帐户没有密码。在确认密码框内输入的密码必须与管理员密码中输入的密码完全一致。一定要谨记并保护好用户的密码。 在安装完成之后,为了获得最好的安全性,要
29、更改 Administrator 帐户名(但不能删除它)并始终为该帐户设置一个安全性高的密码。步骤7 :选择 Windows 2000 组件在Windows 2000 组件对话框,选择系统运行所需组件。对于 TCP/IP 网络用户通常需要的组件包括 DHCP、DNS 和 WINS。要选取这些组件,可在安装过程中,在Windows 2000 组件对话框内,选择网络服务,并单击详细资料,然后选择所需的一个或多个组件。如果在完成安装后,确定还需要其他组件,可以在以后添加这些必要的组件。要这样做,请在运行完安装程序之后,单击开始,指向设置,然后单击控制面板,在控制面板上,双击添加/删除程序。在添加/删
30、除程序中,单击添加/删除 Windows 组件。步骤8 :设置日期和时间在日期和时间设置对话框中设置正确日期、时间和时区。如果想让系统自动调整夏时制,请选中根据夏时制自动调整时钟复选框步骤9 :指定工作组名或域名在此用户需要选择本机是属于工作组还是将本机加入到一个域中,并指定工作组名或域名。在安装向导完成 Windows 2000 Server 的安装后,计算机重新启动。至此用户已经完成了 Windows 2000 Server 的基本安装。下面进一步配置 Windows 2000 Server。系统重新启动后,以管理员身份登录,屏幕上将出现配置服务器程序,利用它用户可以轻松地进行进一步的服务
31、器配置。用户也可以通过单击开始,指向程序,再指向管理工具,然后单击配置服务器,启动配置服务器程序。下面介绍以下配置服务器所提供的配置选项的详细信息。Active Directory:设置用户帐户、组帐户及其策略、域、服务器角色、权限,还可以帮助维护系统的安全性、跟踪用户信息。文件系统:设置和管理共享文件夹及其他共享网络资源。打印服务器:设置和管理打印机、打印机队列以及其他与打印相关的元素。Web/Media 服务器:创建管理 Internet 或企业内部网中的 Web 站点、多媒体站点、FTP 站点和其他功能。要使用这些服务,必须在 Windows 2000 Server 内安装相应的组件。网
32、络:选择、设置网络协议、远程访问和路由选择,包括DNS和DHCP服务。应用程序服务器:对消息队列、组件服务和跨网络的分布式应用程序的相关支持,也包括终端服务。高级:Windows 2000 Resource Kit 支持工具和可选组件,例如远程安装、终端服务器、证书授权及在基本安装过程中未安装的组件。网络防火墙的安装企业网络安全问题日益突显,因此防火墙的选择非常重要。启用Windows XP的防火墙,必须进行设置,不设置是不起作用的。设置过程: (1)打开网络连接文件夹或找到网络连接的图标. (2)右键点击connection to the Internet you want to share
33、(共享Internet连接)然后再右键点击Properties(属性) (3)选择Advanced(高级)任务条。 (4)选择Protect my computer and network by limiting or preventing access to this computer from the Internet(利用这个计算机限制从Internet进入的问并保护我的计算机和网络)在其下面有一个Internet连接防火墙的检查框,鼠标点击选定。 (5) 点击 OK.结束操作在安装Windows 2000 Server时注意对共享和通讯协议的设置,通过通讯软件实现各机间Email的传送
34、。其他设置防火墙的设置:步骤:第一步:添加设备: 两个路由器,两个交换机,四台PC机第二步:如上图建立连接第三步:分别为设备设置IP地址,网关,子网掩码PCA设置如下:Root 登录用户名Linux 登录口令Ifconfig eth0 10.65.0.1 netmask 255.255.255.0 设置IP地址和子网掩码Route add default gw 10.65.0.10 设置网关PCB设置如下:Root 登录用户名Linux 登录口令Ifconfig eth0 10.65.0.2 netmask 255.255.255.0 设置IP地址和子网掩码Route add default
35、gw 10.65.0.10 设置网关PCC设置如下:Root 登录用户名Linux 登录口令Ifconfig eth0 10.68.0.1 netmask 255.255.255.0 设置IP地址和子网掩码Route add default gw 10.68.0.10 设置网关RouterA 设置如下:routerenable ;进入特权模式router#config terminal ;进入全局配置模式router(config)#int f0/0 ;进入f0/0接口router(config-if)#ip address 10.65.0.10 255.255.0.0 ;设置IP地址和子网掩
36、码router(config-if)#no shutdown ;起动接口router#exit ;返回命令router(config)#int s0/0 ;进入s0/0接口router(config-if)#ip address 10.67.0.1 255.255.0.0 ;设置IP地址和子网掩码router(config-if)#no shutdown ;起动接口router(config-if)#clock rate 64000 ;设置时钟router#exit ;返回命令RouterB 设置如下:routerenable ;进入特权模式router#config terminal ;进入
37、全局配置模式router(config)#int f0/0 ;进入f0/0接口router(config-if)#ip address 10.68.0.10 255.255.0.0 ;设置IP地址和子网掩码router(config-if)#no shutdown ;起动接口router#exit ;返回命令router(config)#int s0/0 ;进入s0/0接口router(config-if)#ip address 10.67.0.2 255.255.0.0 ;设置IP地址和子网掩码router(config-if)#no shutdown ;起动接口router(config-
38、if)#clock rate 64000 ;设置时钟router#exit ;返回命令第四步:为路有器设置路由表为RouterA设置路由表router(config)#ip routing ;启动路由router(config)#router rip ;启动RIP路由协议。router(config-router)#network 10.65.0.0router(config-router)#network 10.67.0.0为RouterB设置路由表router(config)#ip routing ;启动路由router(config)#router rip ;启动RIP路由协议。rout
39、er(config-router)#network 10.67.0.0router(config-router)#network 10.68.0.0此时可用Ping 命令测试PCA,PCB 与PCC是通的第五步:为路有器设置访问控制列表,即防火墙的软件设置router(config)#access-list 1 deny 10.65.0.1 0.0.0.0 禁止PCArouter(config)#access-list 1 permit anyrouter(config)#interface f0/0 ;default: deny anyrouter(config-if)#ip access-
40、group 1 in ;default: out此时可用Ping 命令测试PCA与PCC是不通的,PCB与PCC是通的FTP服务器的安装FTP是一种客户/服务器结构,因此,它既需要运行于用户计算机上的客户机软件,又需要运行于宿主(服务器)计算机上的服务器软件。用户启动FTP客户机程序,通过输入用户名和口令,试图与FTP服务器建立连接。一旦成功,在Internet上,客户机和服务器之间就建立起一条命令链路(控制链路),如图2所示。客户程序通过它向FTP服务器发送诸如改变目录、显示目录清单等命令,FTP服务器则返回每条命令执行后的状态信息。图2 FTP链路图本方案选择Cerberus FTP Se
41、rvers软件来实现FTP服务。6综合布线综合布线基本概念综合布线是对传统布线方式的彻底变革,经过统一的规划设计,它将所有话音、数据、视频信号与控制设备的配线等综合在一套标准的配线系统中。综合布线系统能够支持多种信息的传输,支持多种传输介质,支持多用户多类型产品的应用。此外,通信设备替换、移动和扩充极为简单、方便。 EIA/TIA 568国际综合布线标准 这个标准确定了一个可以支持多品种多厂家的商业建筑的综合布线系统,同时也提供了为商业服务的电信产品的设计方向。即使对随后安装的电信产品不甚了解,该标准可帮您对产品进行设计和安装。在建筑建造和改造过程中进行布线系统的安装比建筑落成后实施要大大节省
42、人力物力财力。 这个标准确定了各种各样布线系统配置的相关元器件的性能和技术标准。为达到一个多功能的布线系统,已对大多数电信业务的性能要求进行了审核。业务的多样化及新业务的不断出现会对所需性能作某些限制。用户为了了解这些限制应知道所需业务的标准。EIA/TIA-568A标准的基本内容办公环境中的布线要求(1)从RJ-45插座到设备间的连线用双绞线,长度一般不超过5m。(2)RJ-45插座须安装在墙壁上或不易碰到的地方,插座距离地面30cm以上。(3)插座和插头(与双绞线)按照标准线序接线。(4)EIA/TIA 568A的线序是:绿白、绿、橙白、蓝、蓝白、橙、白棕、棕;布线的具体分类水平布线水平布
43、线是综合布线结构的一部分,它从工作区的信息插口一直到管理区,内有工作区的管理区,水平电缆的终端跳线架。 完成水平布线的设计后,就要考虑以下的日常业务和系统:语音通信业务、室内交换设备、数据通信、局域网。为了满足当今电信的需求水平布线应便于维护和改进适应新的设备和业务变化。水平缆线的类型和设计的选择对于中型企业的设计来说就相当重要,为避免和减少因需求变化带来水平布线的变动,应考虑水平布线应用的广泛性。 同时还要考虑水平布线离电气设备多远会造成高强度的电磁干扰。 水平布线是星型拓朴结构,每个工作区的信息插座都要和管理区相连。 电缆长度等于设备媒体终端到工作区插座的电缆长度。 从插座到工作区允许有另
44、外3m的距离。 在水平布线系统中有四种类型的电缆:(1)四对1oo无屏蔽双绞线电缆(UTP)(2)两对150有屏蔽双绞线电缆(STP)(3)50同轴电缆(4)62.5/125m光纤电缆光缆的相关硬件及交叉连接还待研究。混合电缆,指在同一普遍护套下有一种以上的上述电缆,如果符合要求,就能用于水平布线。注意标有这些名称的电缆不一定符合技术标准。注:为了更多地了解这方面的知识附录A2对通信中使用的其他水平布线电缆作了简要介绍。这些电缆象其他电缆一样,有其特殊的作用,但它们不包括在本标准的要求范围内。该标准使我们认识到在中型企业内语音和数据通信的重要性。对于每个专门的工作区需要提供两种信息插座(不必用专用的插板)。一种是和语音有关,一种和数据有关。下面列出两种通信插座:第一种是由UTP电缆支持第二种是由下列任一种水平电缆支持,依据实际和设计的需要选择: (1)UTP电缆 (1)STP电缆 (3)50同轴电缆如有需要光缆上可安装在上述信息插座中,光缆的安装可由一条专用的电缆或混合缆组成。除了其他们关标准有更严格的规定外,接地方法必须符合NEC要求。 接地系统一般是商业建筑楼内保护专用信号或通信布线系统不受干扰的一个完整部分。为了保护强电环境中的