路由器交換技術(shù)

畢業(yè)論文題目路由器交換技術(shù)專業(yè)班級計算機網(wǎng)絡(luò)技術(shù)S134班完成時間2016年5月20165摘要21世紀(jì)是一個以網(wǎng)絡(luò)為基礎(chǔ)的信息時代。作為計算機技術(shù)和通信技術(shù)相結(jié)合的產(chǎn)物，計算機網(wǎng)絡(luò)在這個時代發(fā)揮著它不可估量的作用，對人們的工作、學(xué)習(xí)、生活、行為和思維方式都產(chǎn)生著重要的影響。隨著網(wǎng)絡(luò)的逐步普及，中小型企業(yè)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇，企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個非常龐大而復(fù)雜的系統(tǒng)，它不僅為企業(yè)現(xiàn)代化、綜合信息管理和辦公自動化等一系列應(yīng)用提供基本操作平臺，而且能提供多種應(yīng)用服務(wù)，使信息能及時、準(zhǔn)確地傳送給各個系統(tǒng)。而中小型企業(yè)工程建設(shè)中主要應(yīng)用了網(wǎng)絡(luò)技術(shù)中的重要分支局域網(wǎng)技術(shù)來建設(shè)與管理的，因此本畢業(yè)設(shè)計課題將主要以中小型局域網(wǎng)絡(luò)建設(shè)過程可能用到的各種技術(shù)及實施方案為設(shè)計方向，為中小型企業(yè)的建設(shè)提供理論依據(jù)和實踐指導(dǎo)。企業(yè)規(guī)模的不斷壯大和業(yè)務(wù)量的不斷增加，原有的工作方式已不能滿足現(xiàn)代企業(yè)的需要，特別是對突發(fā)事件的處理能力與速度的需求?，F(xiàn)代企業(yè)如果沒有信息技術(shù)的支持，就不能稱之為現(xiàn)代企業(yè)。隨著網(wǎng)絡(luò)技術(shù)的不斷成熟、網(wǎng)絡(luò)產(chǎn)品價格的不斷下降，以及對數(shù)據(jù)傳輸和信息交換需求的不斷增加，現(xiàn)在各企業(yè)均正在或已搭建了企業(yè)內(nèi)部局域網(wǎng)，因為，企業(yè)網(wǎng)絡(luò)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇。企業(yè)網(wǎng)絡(luò)為企業(yè)的現(xiàn)代化發(fā)展、綜合信息管理和辦公自動化等一系列應(yīng)用提供了基礎(chǔ)平臺。關(guān)鍵詞局域網(wǎng)搭建路由交換技術(shù)配置目錄一、前言4二、項目需求分析4一項目背景4二企業(yè)網(wǎng)絡(luò)描述5三、網(wǎng)絡(luò)總體建設(shè)目標(biāo)6一網(wǎng)絡(luò)總體規(guī)劃6二網(wǎng)絡(luò)建設(shè)8三網(wǎng)絡(luò)設(shè)計原則以及建設(shè)目標(biāo)9四網(wǎng)絡(luò)層次化設(shè)計9四、路由、交換設(shè)計9一設(shè)備選擇9二設(shè)備命名規(guī)范10三VLAN、子網(wǎng)及IP地址規(guī)劃（1921681030）10四路由協(xié)議13五交換技術(shù)13六IPV614五、服務(wù)器設(shè)計14六、網(wǎng)絡(luò)安全解決方案15一網(wǎng)絡(luò)邊界安全威脅分析15二網(wǎng)絡(luò)內(nèi)部安全威脅分析15三解決方法16七、關(guān)鍵技術(shù)介紹16一VLAN技術(shù)16二VTP協(xié)議17三TRUNK技術(shù)17四HSRP協(xié)議18五SPANNINGTREE協(xié)議18六UPLINKFAST19七ETHERCHANNEL19八NAT技術(shù)20九ACL技術(shù)20十集群技術(shù)21十一PPP技術(shù)21十二DNS服務(wù)器22十三FTP簡介23十四FILE服務(wù)器24十五MAIL服務(wù)器24十六WEBSERVER與HTTP25十七AD服務(wù)器25十八DHCP26十九EASYVPN27二十VOIP27二十一QOS28八、總結(jié)28九、致謝29十、參考文獻(xiàn)30一、前言網(wǎng)絡(luò)改變了人們的生活，地球變成了地球村，全世界的人可以隨時進(jìn)行網(wǎng)絡(luò)交流。信息資源的共享，帶來社會生產(chǎn)力空前提高，互聯(lián)網(wǎng)與人們生活越來越密切，如網(wǎng)上證券期貨交易、遠(yuǎn)程電子視頻會議、網(wǎng)上購物等應(yīng)用使得人們的生活已經(jīng)越來越離不開網(wǎng)絡(luò)，由此，信息高速公路的建設(shè)變得十分重要。企業(yè)規(guī)模的不斷壯大和業(yè)務(wù)量的不斷增加，原有的工作方式已不能滿足現(xiàn)代企業(yè)的需要，特別是對突發(fā)事件的處理能力與速度的需求?，F(xiàn)代企業(yè)如果沒有信息技術(shù)的支持，就不能稱之為現(xiàn)代企業(yè)。隨著網(wǎng)絡(luò)技術(shù)的不斷成熟、網(wǎng)絡(luò)產(chǎn)品價格的不斷下降，以及對數(shù)據(jù)傳輸和信息交換需求的不斷增加，現(xiàn)在各企業(yè)均正在或已搭建了企業(yè)內(nèi)部局域網(wǎng)，因為，企業(yè)網(wǎng)絡(luò)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇。企業(yè)網(wǎng)絡(luò)為企業(yè)的現(xiàn)代化發(fā)展、綜合信息管理和辦公自動化等一系列應(yīng)用提供了基礎(chǔ)平臺。本設(shè)計結(jié)合中小企業(yè)實際需求，舉例分析、設(shè)計、配置、模擬組建了一個典型的中小企業(yè)網(wǎng)絡(luò)。二、項目需求分析一項目背景安博公司是一個教育公司，是“以學(xué)習(xí)者為中心”面向個人及機構(gòu)提供學(xué)習(xí)和教育服務(wù)的機構(gòu)，致力于通過領(lǐng)先的技術(shù)方案、高品位的教育服務(wù)和變革性的創(chuàng)新資源，完善個體的終生學(xué)習(xí)和學(xué)習(xí)型組織的發(fā)展進(jìn)程，助力于全社會的創(chuàng)新能力和國民素質(zhì)的提升。集團的業(yè)務(wù)涉及基礎(chǔ)教育服務(wù)、職業(yè)教育服務(wù)、企業(yè)培訓(xùn)等領(lǐng)域，安博高考與同步培訓(xùn)機構(gòu)、安博國際學(xué)校、安博實訓(xùn)基地、安博職業(yè)教育學(xué)院、安博學(xué)習(xí)體驗中心等機構(gòu)已遍及全國二十多個重點城市，形成了以區(qū)域教育服務(wù)中心和實訓(xùn)基地為依托，以師資、課程、服務(wù)流程、IT支持、網(wǎng)絡(luò)學(xué)習(xí)服務(wù)的標(biāo)準(zhǔn)化為載體的服務(wù)體系，通過標(biāo)準(zhǔn)品質(zhì)的服務(wù)保障全國各地用戶的個性化需求。安博教育集團創(chuàng)建專業(yè)的教育和技術(shù)研發(fā)機構(gòu)安博研究院進(jìn)行前瞻性教育理念和資源的創(chuàng)造與創(chuàng)新。安博數(shù)十種自主知識產(chǎn)權(quán)技術(shù)、產(chǎn)品獲得國家版權(quán)認(rèn)證、專利認(rèn)證和科技成果鑒定。安博還與北京師范大學(xué)合作創(chuàng)立北師大安博教育發(fā)展研究院，開展教育政策與理論探索、國際高端項目交流，目前已參與和承辦了多項國家重大教育課題、國際高端學(xué)術(shù)論壇。目前安博總部在北京，分部分別在大連及江蘇的昆山?？偛吭O(shè)有品質(zhì)保障部、教學(xué)支持部、財務(wù)部、市場部，員工約有150人。分部的部門與總部相同，兩個分部各有員工約50人。二企業(yè)網(wǎng)絡(luò)描述總部、分部各個部門各屬于一個VLAN，每個部門都有屬于自己的交換機，通過交換機之間的相連及VLAN間路由配置保證各個部門之間能相互通信。各個部門交換機與各個公司的兩臺核心交換機相連通過以太網(wǎng)通道技術(shù)實現(xiàn)負(fù)載均衡。核心交換機與核心路由器相連接入到互聯(lián)網(wǎng)實現(xiàn)內(nèi)網(wǎng)與互聯(lián)網(wǎng)通信及公司與子公司的相互通信。三企業(yè)需求分析由于安博公司正處于快速發(fā)展期，所以目前的網(wǎng)絡(luò)規(guī)模已不能滿足當(dāng)前的發(fā)展需要。為了提高生產(chǎn)辦公的效率、加強管理、加強部門間配合，提高獲取知識的能力，所以需要升級網(wǎng)絡(luò)，深化信息化應(yīng)用，建設(shè)一個實用和先進(jìn)、高可靠、高性能、高靈活性和擴展性、操作管理簡單的信息化融合網(wǎng)絡(luò)。本項目的網(wǎng)絡(luò)可以劃分為北京總部、南京和西安分部三個部分。北京總部分為四個部門分別是財務(wù)部、品質(zhì)保證部、教學(xué)支持部、銷售部；分部設(shè)有三個部門是財務(wù)部、教學(xué)支持部和銷售部。原先3部分局域網(wǎng)只能通過互聯(lián)網(wǎng)互聯(lián)、不能適應(yīng)企業(yè)的發(fā)展的需要，所以此次要建設(shè)企業(yè)的內(nèi)聯(lián)網(wǎng)，實現(xiàn)北京、西安、上海3部分為同一的網(wǎng)絡(luò)系統(tǒng)，使用北京總公司統(tǒng)一出口訪問因特網(wǎng)。北京作為總部需要對局域網(wǎng)進(jìn)行擴容性升級，其內(nèi)部為互聯(lián)單位，可信度較高，因此內(nèi)部網(wǎng)絡(luò)的可用性是首要考慮因素。由于總部設(shè)有財務(wù)部、銷售部等重要部門，應(yīng)該考慮與其他網(wǎng)絡(luò)的隔離，以防止對AMBOW北京總部的非法訪問及網(wǎng)絡(luò)攻擊。INTERNET用戶的接入，需要充分考慮安全性。當(dāng)前業(yè)界的網(wǎng)絡(luò)管理范疇較廣，包括設(shè)備管理、資源管理、故障管理、性能管理、安全管理等等。在網(wǎng)絡(luò)規(guī)模相對較大的時候，合適的網(wǎng)管系統(tǒng)可以幫助客戶方便管理網(wǎng)絡(luò)內(nèi)的設(shè)備及運行情況，提高網(wǎng)絡(luò)的運行效率具體分析如下業(yè)務(wù)需求需要實現(xiàn)總公司內(nèi)部的互相通信，同時也要和分公司之間也能互相訪問，需要郵件服務(wù)、WEB服務(wù)、視頻服務(wù)。管理需求要對網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程管理,遠(yuǎn)程管理可以幫助網(wǎng)絡(luò)管理員利用遠(yuǎn)程控制軟件管理網(wǎng)絡(luò)設(shè)備,使網(wǎng)管工作更方便,更高效，更穩(wěn)定。安全性需求因為公司的數(shù)據(jù)核心是非常重要的，為免被竊取要設(shè)置訪問權(quán)限；網(wǎng)絡(luò)可能被病毒攻擊和破壞，所以安裝殺毒軟件和防火墻。性價比需求以盡量少的成本建成性能較好的網(wǎng)絡(luò)。1問題分析安全性考慮到公司內(nèi)被網(wǎng)絡(luò)信息的機要性，核心部分使用帶防火墻的高級路由器。穩(wěn)定性為避免公司大量信息量堵塞，采用了三層交換機HSRP協(xié)議。可管理性與維護性本次還保留的部分IP是為了滿足公司未來的發(fā)展要求做到可擴展性。三、網(wǎng)絡(luò)總體建設(shè)目標(biāo)一網(wǎng)絡(luò)總體規(guī)劃1拓?fù)鋱D我們根據(jù)公司的基本要求，畫出了簡單的大致的網(wǎng)絡(luò)拓?fù)鋱D，在整個網(wǎng)絡(luò)拓?fù)鋱D中，我們在核心設(shè)備上采用的是CISCO2821的路由器和兩臺三層交換機，在兩個三層交換機上我們做冗余備份，做鏈路捆綁，保證了數(shù)據(jù)的連通性，在核心設(shè)備上連接一個防火墻，保證了數(shù)據(jù)的安全性和總公司內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全的保密性，防止了竊取公司的數(shù)據(jù)。在總公司的拓?fù)渲?，我們在接入層的CISCOWSC4506E的交換機，在交換機劃分了VLAN，VLAN的劃分使我們易于管理在整個網(wǎng)絡(luò)拓?fù)鋱D中，我們采用采用了層次化的設(shè)計，核心層、分布層、接入層。這樣節(jié)省成本，使整個網(wǎng)絡(luò)拓?fù)涓忧逦?，由于各個層次的功能不同，因此易于我們排錯。針對實際情況我們可以采用三層模型，三層結(jié)構(gòu)模型分為三個層次，即核心層、分布層、接入層。每個層次完成不同的功能。2方案描述核心層描述核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計任務(wù)的重點通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。核心層設(shè)備將占投資的主要部分。核心層需要考慮冗余設(shè)計。匯聚層描述匯聚層的功能主要是連接接入層節(jié)點和核心層中心，匯聚層設(shè)計連接本地的邏輯中心，仍需要較高的性能和比較豐富的功能。匯聚層設(shè)備一般采用可管理的三層交換機或堆疊式交換機以達(dá)到帶寬和傳輸性能的要求，其設(shè)備性能較好，但價格高于接入層設(shè)備，而且對環(huán)境的要求也較高，匯聚層設(shè)備之間以及匯聚層設(shè)備與核心層設(shè)備之間多采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和吞吐量。接入層描述接入層的主要功能是完成用戶流量的接入和隔離，對于無線局域網(wǎng)WLAN用戶，用戶終端通過無線網(wǎng)卡和無線接入點AP完成用戶接入。它可以共享、獨享或交換帶寬的方式為用戶提供入網(wǎng)的接口。二網(wǎng)絡(luò)建設(shè)核心層設(shè)計核心層主要進(jìn)行數(shù)據(jù)的高速路由轉(zhuǎn)發(fā)，以及維護全網(wǎng)路由的計算，我們推薦使用CISCO2821的路由器來完成，它的高性能，可靠性，可用性，在核心層我們還應(yīng)該采用兩臺三層的交換機CISCO3750系類的交換機來完成，在核心層為了保證數(shù)據(jù)的安全性和保密性應(yīng)接入防火墻。接入層設(shè)計接入層是使用交換機相連，為用戶終端提供了接入的方式，辦公系統(tǒng)所需要的服務(wù)器群，數(shù)據(jù)中心的多種系統(tǒng)應(yīng)用服務(wù)器，鏈接到會聚交換的模塊上，因此，內(nèi)部的局域網(wǎng)是采用三層結(jié)構(gòu)組建。在接入層使用的是CISCOWSC4506E系列的交換機來完成。內(nèi)聯(lián)接入內(nèi)連接入的作用是用于鏈接外網(wǎng)的網(wǎng)絡(luò)。我們使用CISCO2800系列的路由器通過SDH/DDN線路完成此功能。由于接入外網(wǎng)時需要考慮到安全問題，因此，還需要接外部防火墻。三網(wǎng)絡(luò)設(shè)計原則以及建設(shè)目標(biāo)先進(jìn)性計算機網(wǎng)絡(luò)技術(shù)、軟件技術(shù)的發(fā)展迅速，網(wǎng)絡(luò)的設(shè)計要立足于較高的起點，保證系統(tǒng)有較長的生命力。保證滿足系統(tǒng)業(yè)務(wù)的同時，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到公司網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來的發(fā)展趨勢。四網(wǎng)絡(luò)層次化設(shè)計隨著網(wǎng)絡(luò)技術(shù)的需速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級，有此形成一個新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計模型，分層設(shè)計的好處1、節(jié)省成本在采用層次模型之后，各層各司其職，不再同一個平臺上考慮所有的事情，層次化的模型，能更好的利用寬帶，減少對系統(tǒng)資源的浪費。2、易于理解層次化模型使網(wǎng)絡(luò)的拓?fù)涓逦髁?，在不同的層次實施不同的管路，降低了管理的難度3、易于擴展在網(wǎng)絡(luò)設(shè)計中模塊化具有的特性使網(wǎng)絡(luò)增長時網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中，而不會蔓延到網(wǎng)絡(luò)的其他的地方4、易于排錯層次化設(shè)計能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解成易于理解的子網(wǎng)，網(wǎng)絡(luò)者能夠輕易的確定網(wǎng)絡(luò)故障的范圍，從而簡化了排錯的過程。四、路由、交換設(shè)計一設(shè)備選擇網(wǎng)絡(luò)設(shè)備清單設(shè)備型號數(shù)量（臺）單價（元）總價（元）CISCO28113520015600CISCOWSC450622200044000CISCOWSC375024TSS6900054000CISCOWSC296024TTL9360032400CISCOWSC296048TCL3750022500總計168500二設(shè)備命名規(guī)范網(wǎng)絡(luò)設(shè)備命名設(shè)備型號北京大連昆山CISCO2811BJR001DLR001KSR001CISCOWSC4506BJS01BJS02CISCOWSC375024TSSBJS03BJS04DLS01DLS02KSS01KSS02CISCOWSC296024TTLBJS05DLS03DLS04DLS05DLS06KSS03KSS04KSS05KSS06CISCOWSC296048TCLBJS06BJS07BJS08三VLAN、子網(wǎng)及IP地址規(guī)劃（1921681030）IP地址的規(guī)劃在網(wǎng)絡(luò)設(shè)計中舉足輕重。直接影響網(wǎng)絡(luò)運行的效率。IP地址設(shè)計的總原則是簡單、易管理、易擴展。我們配IP地址按以下原則唯一性一個IP網(wǎng)絡(luò)中不可能有兩個主機采用相同的IP地址。簡單性地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路由表的款項。連續(xù)性連續(xù)地址在此結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)（ROUTESUMMARIZATION）,大大縮減路由表，提高路由算法效率?？蓴U展性地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址總結(jié)所需的連續(xù)性。靈活性地址分配應(yīng)具有靈活性，可借助可變長子網(wǎng)掩碼技術(shù)，以滿足多種路由策略的優(yōu)化，充分利用地址空間。北京總部IP地址劃分部門名稱人數(shù)VLANID網(wǎng)絡(luò)號可分配IP地址品質(zhì)保障部47VLAN10BJPZ192168164/26192168165126教學(xué)支持部47VLAN20BJJX1921681128/261921681129190財務(wù)部8VLAN30BJCW1921681192/281921681193206市場部48VLAN40BJSC19216810/261921681162服務(wù)器1921681227239大連分部IP地址劃分部門名稱人數(shù)VLANID網(wǎng)絡(luò)號可分配IP地址品質(zhì)保障部13VLAN10DLPZ192168264/2719216826594教學(xué)支持部18VLAN20DLJX19216820/271921682130財務(wù)部3VLAN30DLCW192168296/29192168297102市場部16VLAN40DLSC192168232/2719216823362服務(wù)器1921682104108昆山分部IP地址劃分部門名稱人數(shù)VLANID網(wǎng)絡(luò)號可分配IP地址品質(zhì)保障部14VLAN10KSPZ192168332/2719216833362教學(xué)支持部19VLAN2019216830/271921683130KSJX財務(wù)部4VLAN30KSCW192168396/29192168397102市場部13VLAN40KSSC192168364/2719216836594服務(wù)器1921681104108四路由協(xié)議在本次網(wǎng)絡(luò)項目中，北京總部的路由器BJR001和交換機BJS01、BJS02、BJS03及BJS04，我們均采用OSPF協(xié)議，分部也同樣使用。使用OSPF協(xié)議可以使路由快速收斂，方便網(wǎng)絡(luò)管理員管理。OSPF協(xié)議標(biāo)準(zhǔn)化強，支持多種廠家，受到廣泛的應(yīng)用。相對其他協(xié)議，OSPF有很多優(yōu)點。OSPF支持各種不同鑒別機制（如簡單口令驗證。MD5加密認(rèn)證），OSPF收斂速度快，能夠在最短的時間內(nèi)將路由變化傳遞到整個自治系統(tǒng)，提供負(fù)載均衡功能。安博總部規(guī)劃為AREA0，其內(nèi)部網(wǎng)絡(luò)也都規(guī)劃為AREA0。各區(qū)域接入路由器跟據(jù)區(qū)域不同使用動態(tài)協(xié)議，或者使用靜態(tài)路由與動態(tài)路由結(jié)合的方式。五交換技術(shù)對于本次項目的核心層交換機CISCO4506，我們將采用建立在生成樹基礎(chǔ)上的多鏈路冗余連接。這樣不僅可以避免了由于網(wǎng)絡(luò)環(huán)路造成的廣播風(fēng)暴等，還可以保證骨干交換機之間存在備份連接和負(fù)載均衡，完成高帶寬、大容量網(wǎng)絡(luò)層路由交換功能。這樣當(dāng)交換機之間的線路出現(xiàn)故障時，傳輸?shù)臄?shù)據(jù)會快速自動切換到另外一條線路上進(jìn)行傳輸，不影響網(wǎng)絡(luò)系統(tǒng)的正常工作。而對于匯聚層交換機CISCO3750和接入層交換機CISCO2960，我們將采用VTP、VLAN、HSRP等協(xié)議。使用VTP協(xié)議，可以把一臺交換機配置成VTPSERVER,其余交換機配置成VTPCLIENT,這樣他們可以自動學(xué)習(xí)到SERVER上的VLAN信息。這樣不僅可以少在多臺設(shè)備上配置同一個VLAN信息的工作量，而且還保持了VLAN配置的統(tǒng)一性。而VLAN技術(shù)，則可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。不僅提高了網(wǎng)絡(luò)的安全性，而且成本低，性能高，節(jié)省了人力，具有很高的靈活性。HSRP是熱備份路由協(xié)議。在北京總部和分部在匯聚層的交換機上我們采用熱備份協(xié)議，運用兩臺交換機，當(dāng)其中的一臺出現(xiàn)故障致使網(wǎng)絡(luò)不能正常通信時，備用的那臺馬上起到作用，避免了網(wǎng)絡(luò)的“短路”問題。HSRP實現(xiàn)容錯備份功能，可以有效解決網(wǎng)絡(luò)不暢問題，保證了網(wǎng)絡(luò)的可靠性。六IPV6由于IPV4網(wǎng)絡(luò)地址的資源有限，所以，為了提高網(wǎng)絡(luò)的可擴展性，在本次網(wǎng)絡(luò)項目中所采用的設(shè)備，均支持IPV6。IPV6以其靈活的IP報文頭部格式，不僅取代了IPV4中可變長度的選項字段，而且也使路由器可以簡單路過選項而不做任何處理，加快了報文處理速度，提高了吞吐量。而且IPV6還具有安全性、身份認(rèn)證和隱私權(quán)等特性。支持更多的服務(wù)類型，允許協(xié)議繼續(xù)演變，增加新的功能，使之適應(yīng)未來技術(shù)的發(fā)展。五、服務(wù)器設(shè)計服務(wù)器群的主要功能是為客戶端提供各種網(wǎng)絡(luò)服務(wù)，包括FILESERVER、WEBSERVER、DHCPSERVER、FTPSERVER、MAILSERVER、AD及身份驗證服務(wù)等等。在本次項目中，服務(wù)器全部采用WINDOWS2003操作系統(tǒng)，WINDOWSSERVER2003集成了多種功能且對硬件要求不高，總體成本較低。工作站普遍使用WINDOWS操作系統(tǒng)，服務(wù)器與客戶端兼容性更好。WINDOWS服務(wù)器系統(tǒng)提供圖形化界面，減少配置和維護的工作量，并方便以后的管理和維護，若我們使用LINUX操作系統(tǒng)就要要求管理員對LINUX熟練，這樣的管理員目前沒有WINDOWS管理員好找。六、網(wǎng)絡(luò)安全解決方案一網(wǎng)絡(luò)邊界安全威脅分析網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個網(wǎng)絡(luò)區(qū)域，由于職責(zé)和功能的不同，相連網(wǎng)絡(luò)的密級也不同，這樣的網(wǎng)絡(luò)直接相連，必然存在著安全風(fēng)險，下面我們將對公司網(wǎng)絡(luò)就網(wǎng)絡(luò)邊界問題做脆弱性和風(fēng)險的分析。公司網(wǎng)絡(luò)主要存在的邊界安全風(fēng)險包括總網(wǎng)絡(luò)與各級單位的連接，可能遭到來自各地的越權(quán)訪問、惡意攻擊和計算機病毒的入侵；例如一個不滿的內(nèi)部用戶，利用盜版軟件或從INTERNET下載的黑客程序惡意攻擊內(nèi)部站點，致使網(wǎng)絡(luò)局部或整體癱瘓；內(nèi)部的各個功能網(wǎng)絡(luò)通過骨干交換相互連接，這樣的話，重要的部門或者專網(wǎng)將遭到來自其他部門的越權(quán)訪問。這些越權(quán)訪問可能包括惡意的攻擊、誤操作等等，但是它們的后果都將導(dǎo)致重要信息的泄漏或者是網(wǎng)絡(luò)的癱瘓。二網(wǎng)絡(luò)內(nèi)部安全威脅分析公司內(nèi)部網(wǎng)絡(luò)的風(fēng)險分析主要針對整個內(nèi)網(wǎng)的安全風(fēng)險，主要表現(xiàn)為以下幾個方面1、內(nèi)部用戶的非授權(quán)訪問；內(nèi)部的資源也不是對任何的員工都開放的，也需要有相應(yīng)的訪問權(quán)限。內(nèi)部用戶的非授權(quán)的訪問，更容易造成資源和重要信息的泄漏。2、內(nèi)部用戶的誤操作；由于內(nèi)部用戶的計算機造作的水平參差不齊，對于應(yīng)用軟件的理解也各不相同，如果一部分軟件沒有相應(yīng)的對誤操作的防范措施，極容易給服務(wù)系統(tǒng)和其他主機造成危害。內(nèi)部用戶的惡意攻擊；就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計約有70左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨厚的優(yōu)勢，因此，對內(nèi)部用戶攻擊的防范也很重要。3、設(shè)備的自身安全性也會直接關(guān)系到各種系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機和路由器設(shè)備配置風(fēng)險等。重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會為網(wǎng)絡(luò)的安全帶來很多不安定的因素。重要服務(wù)器的當(dāng)機或者重要數(shù)據(jù)的意外丟失，都將會造成內(nèi)部的業(yè)務(wù)無法正常運行。4、安全管理的困難，對于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全策略的配置和安全事件管理的難度很大。三解決方法外網(wǎng)的安靠全靠防火墻來解決。本項目用CISCOIOS內(nèi)置防火墻來解決。對于非法訪問用認(rèn)證和數(shù)字簽名技術(shù)1、認(rèn)證（1）路由器認(rèn)證，路由器和交換機之間的認(rèn)證（2）操作系統(tǒng)認(rèn)證，操作系統(tǒng)對用戶的認(rèn)證（3）撥號訪問服務(wù)與客戶之間的認(rèn)證（4）電子郵件通訊雙方認(rèn)證2、數(shù)字簽名技術(shù)認(rèn)證過程通常涉及到加密和密鑰交換。對于誤操作，就要對內(nèi)網(wǎng)用戶有必要進(jìn)行培訓(xùn)，讓其盡量少出錯。七、關(guān)鍵技術(shù)介紹一VLAN技術(shù)VLAN（VIRTUALLOCALAREANETWORK）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實現(xiàn)方案的8021Q標(biāo)準(zhǔn)草案。VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個VLAN可以在一個交換機或者跨交換機實現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組。基于交換機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。VLAN相當(dāng)于OSI參考模型的第二層的廣播域，能夠?qū)V播風(fēng)暴控制在一個VLAN內(nèi)部，劃分VLAN后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的VLAN之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡(luò)層）的路由來實現(xiàn)的，因此使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過控制交換機的每一個端口來控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，同時VLAN和第三層第四層的交換結(jié)合使用能夠為網(wǎng)絡(luò)提供較好的安全措施。另外，VLAN具有靈活性和可擴張性等特點，方便于網(wǎng)絡(luò)維護和管理，這兩個特點正是現(xiàn)代局域網(wǎng)設(shè)計必須實現(xiàn)的兩個基本目標(biāo)，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運行效率。二VTP協(xié)議VTP負(fù)責(zé)在VTP域內(nèi)同步VLAN信息，這樣就不必在每個交換上配置相同的VLAN信息。VTP還提供一種映射方案，以便通信流能跨越混合介質(zhì)的骨干。VTP最重要的作用是，將進(jìn)行變動時可能會出現(xiàn)在的配置不一致性降至最低。不過，VTP也有一些缺點，這些缺點通常都與生成樹協(xié)議有關(guān)。VTP是一種消息協(xié)議，使用第2層幀，在全網(wǎng)的基礎(chǔ)上管理VLAN的添加、刪除和重命名，以實現(xiàn)VLAN配置的一致性。可以用VTP管理網(wǎng)絡(luò)中VLAN1到1005。有了VTP，在同一個VTP域就可以在一臺機換上集中過時行配置變更，所作的變更會被自動傳播到網(wǎng)絡(luò)中所有其他的交換機上。為了實現(xiàn)此功能，必須先建立一個VTP管理域，以使它能管理網(wǎng)絡(luò)上當(dāng)前的VLAN。在同一管理域中的交換機共享它們的VLAN信息，并且，一個交換機只能參加到一個VTP管理域，不同域中的交換機不能共享VTP信息。1、VTP協(xié)議的作用VLAN中繼協(xié)議（VTP）利用第2層中繼幀，在一組交換機之間進(jìn)行VLAN通信VTP從一個中心控制點開始，維護整個企業(yè)網(wǎng)VLAN的添加和重命名工作，確保配置的一致性。2、VTP的優(yōu)點保持配置的一致性；提供跨不同介質(zhì)類型如ATMFDDI和以太網(wǎng)配置虛擬局域網(wǎng)的方法；提供跟蹤和監(jiān)視虛擬局域網(wǎng)的方法；提供檢測加到另一個交換機上的虛擬局域的方法；提供從一個交換機在整個管理域中增加虛擬局域網(wǎng)的方法三TRUNK技術(shù)TRUNK是端口匯聚的意思，一般的交換機端口只能屬于一個VLAN，對于多個VLAN需要跨過多臺交換機，就需要用到TRUNK技術(shù)。通過配置軟件的設(shè)置，將2個或多個物理端口組合在一起成為一條邏輯的路徑從而增加在交換機和網(wǎng)絡(luò)節(jié)點之間的帶寬，將屬于這幾個端口的帶寬合并，給端口提供一個幾倍于獨立端口的獨享的高帶寬。TRUNK是一種封裝技術(shù)，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和交換機或路由器?；诙丝趨R聚（TRUNK）功能，允許交換機與交換機、交換機與路由器、主機與交換機或路由器之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量，大幅度提供整個網(wǎng)絡(luò)能力。四HSRP協(xié)議我們使用HSRP來實現(xiàn)對故障路由器的接管,HSRP中文解釋是熱備份路由協(xié)議，其含義是系統(tǒng)中有多臺三層交換機，它們組成一個“熱備份組”，這個組形成一個虛擬路由器。在任一時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個備份路由器來替代活動路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機看來，虛擬路由器沒有改變。所以主機仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。熱備份路由器協(xié)議（HSRPHOTSTANDBYROUTERPROTOCOL）該協(xié)議中含有多種路由器，對應(yīng)一個虛擬路由器。HSRP協(xié)議只支持一個路由器代表虛擬路由器實現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。終端主機將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。實現(xiàn)HSRP的條件是系統(tǒng)中有多臺路由器，它們組成一個“熱備份組”，這個組形成一個虛擬路由器。在任一時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個備份路由器來替代活動路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機看來，虛擬路由器沒有改變。所以主機仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。為了減少網(wǎng)絡(luò)的數(shù)據(jù)流量，在設(shè)置完活動路由器和備份路由器之后，只有活動路由器和備份路由器定時發(fā)送HSRP報文。如果活動路由器失效，備份路由器將接管成為活動路由器。如果備份路由器失效或者變成了活躍路由器，將由另外的路由器被選為備份路由器。五SPANNINGTREE協(xié)議生成樹算法的網(wǎng)橋協(xié)議STPSPANNINGTREEPROTOCOL它通過生成生成樹保證一個已知的網(wǎng)橋在網(wǎng)絡(luò)拓?fù)渲醒匾粋€環(huán)動態(tài)工作。網(wǎng)橋與其他網(wǎng)橋交換BPDU消息來監(jiān)測環(huán)路，然后關(guān)閉選擇的網(wǎng)橋接口取消環(huán)路，統(tǒng)指IEEE8021生成樹協(xié)議標(biāo)準(zhǔn)和早期的數(shù)字設(shè)備合作生成樹協(xié)議，該協(xié)議是基于后者產(chǎn)生的。IEEE版本的生成樹協(xié)議支持網(wǎng)橋區(qū)域，它允許網(wǎng)橋在一個擴展本地網(wǎng)中建設(shè)自由環(huán)形拓?fù)浣Y(jié)構(gòu)。在局域網(wǎng)中是不允許出現(xiàn)環(huán)路的，而為了實現(xiàn)冗余和負(fù)載的均衡，通常會有多條鏈路的連接，這樣就會引入環(huán)路。為了解決這個矛盾，推出了STP協(xié)議。STP算法會將網(wǎng)絡(luò)中的連接生成一個樹，通過特定的算法自動將優(yōu)先權(quán)高的鏈路激活，將優(yōu)先權(quán)低的鏈路阻塞，保證在網(wǎng)絡(luò)中任何時候都不會出現(xiàn)環(huán)路。如果網(wǎng)絡(luò)的連接狀況發(fā)生了變化，STP算法會自動地重新計算新的連接關(guān)系，重新選出新的活動的連接。STP算法會造成網(wǎng)絡(luò)的暫時的不穩(wěn)定狀態(tài)，該轉(zhuǎn)換時間在30秒之內(nèi)，亦即在30秒之內(nèi)網(wǎng)絡(luò)會重新恢復(fù)到穩(wěn)定狀態(tài)。STP對于終端是透明的，終端感覺不到STP的操作過程。在交換機上可以通過修改端口的優(yōu)先級來改變連接的優(yōu)先權(quán)，使得STP算法將高優(yōu)先權(quán)的連接作為活動連接，這個特征是很多廠商的設(shè)備所不具備的。在交換機上對端口的優(yōu)先權(quán)的設(shè)置可以基于VLAN進(jìn)行，每個端口對于不同的VLAN設(shè)置不同的優(yōu)先權(quán)。對于指定的VLAN，具有該VLAN最高優(yōu)先權(quán)的端口轉(zhuǎn)發(fā)該VLAN的信息，其它VLAN的信息則阻塞。通過這種方法，在具有冗余連接的交換機端口上分別針對不同的VLAN設(shè)置不同的優(yōu)先權(quán)，既可以實現(xiàn)鏈路的冗余，又可以實現(xiàn)負(fù)載的均衡。CISCO交換機端口支持每VLAN的生成樹協(xié)議，每個端口都可設(shè)置基于VLAN的COST或PRIORITY參數(shù)，從而實現(xiàn)在多條路徑上的負(fù)載均衡能力。目前多數(shù)廠商都支持STP協(xié)議，但是不允許多個STP域。采用多個STP域顯然可以獲得比單個域高的網(wǎng)絡(luò)可靠性。六UPLINKFAST在STP收斂過程中，一些終端站點可能會不可達(dá)，這是基于站點所連接交換機端口的STP狀態(tài)而定。這打亂網(wǎng)絡(luò)連接，于是關(guān)鍵是減少STP的收斂時間和網(wǎng)絡(luò)受影響的時間。當(dāng)鏈路或交換機故障，或STP重新配置后，UPLINKFAST可以加速選擇一個新的根端口。根端口立即進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，UPLINKFAST通過減少最大更新速率來限制突發(fā)多播流量。定義了更新分組發(fā)送的最大速率，默認(rèn)為150分組/秒UPLINKFAST對于網(wǎng)絡(luò)邊緣的布線間交換機非常有用。他不適用于骨干設(shè)備。UPLINKFAST在直連鏈路故障后提供快速的收斂能力，并通過上行鏈路組在冗余。七ETHERCHANNEL以太通道也稱為以太端口捆綁、端口聚集或以太鏈路聚集。以太通道為交換機提供了端口捆綁的技術(shù)，將多個物理以太網(wǎng)端口聚合在一起形成一個邏輯上的聚合組；同一聚合組內(nèi)的多條物理鏈路視為一條邏輯鏈路。鏈路聚合可以實現(xiàn)出/入負(fù)荷在聚合組中各個成員端口之間分擔(dān)，以增加帶寬。同時，同一聚合組的各個成員端口之間彼此動態(tài)備份，提高了連接可靠性。八NAT技術(shù)IP地址耗盡促成了CIDR的開發(fā)，但是CIDR開發(fā)的主要目的是為了有效的使用現(xiàn)有的INTERNET地址，而同時根據(jù)RFC1631IPNETWORKADDRESSTRANSLATOR開發(fā)的NAT卻可以在多重的INTERNET子網(wǎng)中使用相同的IP地址，用來減少注冊IP地址的使用。NAT的分為靜態(tài)NAT、動態(tài)NAT、端口NATPAT。本項目用到靜態(tài)NAT、端口NATPAT。靜態(tài)NAT內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久的映射成外部網(wǎng)絡(luò)中的某個合法地址用于內(nèi)網(wǎng)發(fā)布；PAT是人們比較熟悉的一種轉(zhuǎn)換方式。PAT普遍應(yīng)用于接入設(shè)備中，它可以將內(nèi)網(wǎng)隱藏在一個合法的IP地址后面。PAT與動態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設(shè)備選定的TCP端口號。也就是采用PORTMULTIPLEXING技術(shù)，或改變外出數(shù)據(jù)的源PORT的技術(shù)將多個內(nèi)部IP地址映射到同一個外部地址。九ACL技術(shù)ACL訪問控制列表（“ACL”簡稱ACCESSCONTROLLIST）是路由器和交換機接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、APPLETALK等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制。信息點間通信，內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對訪問進(jìn)行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。ACL的定義也是基于每一種協(xié)議的。ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。ACL提供對通信流量的控制手段。ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。目前有兩種主要的ACL標(biāo)準(zhǔn)ACL和擴展ACL、通過命名、通過時間。標(biāo)準(zhǔn)的ACL使用199以及13001999之間的數(shù)字作為表號，擴展的ACL使用100199以及20002699之間的數(shù)字作為表號。十集群技術(shù)集群（CLUSTER）技術(shù)是一種較新的技術(shù),通過集群技術(shù)，可以在付出較低成本的情況下獲得在性能、可靠性、靈活性方面的相對較高的收益，其任務(wù)調(diào)度則是集群系統(tǒng)中的核心技術(shù)。本文就集群系統(tǒng)的定義、發(fā)展趨勢、任務(wù)調(diào)度等問題進(jìn)行了簡要論述。集群是一組相互獨立的、通過高速網(wǎng)絡(luò)互聯(lián)的計算機，它們構(gòu)成了一個組，并以單一系統(tǒng)的模式加以管理。一個客戶與集群相互作用時，集群像是一個獨立的服務(wù)器。集群配置是用于提高可用性和可縮放性。采用集群的目的1、提高性能一些計算密集型應(yīng)用，如天氣預(yù)報、核試驗?zāi)M等，需要計算機要有很強的運算處理能力，現(xiàn)有的技術(shù)，即使普通的大型機其計算也很難勝任。這時，一般都使用計算機集群技術(shù)，集中幾十臺甚至上百臺計算機的運算能力來滿足要求。提高處理性能一直是集群技術(shù)研究的一個重要目標(biāo)之一。2、降低成本通常一套較好的集群配置，其軟硬件開銷要超過100000美元。但與價值上百萬美元的專用超級計算機相比已屬相當(dāng)便宜。在達(dá)到同樣性能的條件下，采用計算機集群比采用同等運算能力的大型計算機具有更高的性價比。3、提高可擴展性用戶若想擴展系統(tǒng)能力，不得不購買更高性能的服務(wù)器，才能獲得額外所需的CPU和存儲器。如果采用集群技術(shù)，則只需要將新的服務(wù)器加入集群中即可，對于客戶來看，服務(wù)無論從連續(xù)性還是性能上都幾乎沒有變化，好像系統(tǒng)在不知不覺中完成了升級。4、增強可靠性集群技術(shù)使系統(tǒng)在故障發(fā)生時仍可以繼續(xù)工作，將系統(tǒng)停運時間減到最小。集群系統(tǒng)在提高系統(tǒng)的可靠性的同時，也大大減小了故障損失。十一PPP技術(shù)PPP協(xié)議是目前廣域網(wǎng)上應(yīng)用最廣泛的協(xié)議之一，它的優(yōu)點在于簡單、具備用戶驗證能力、可以解決IP分配等。家庭撥號上網(wǎng)就是通過PPP在用戶端和運營商的接入服務(wù)器之間建立通信鏈路。目前，寬帶接入正在成為取代撥號上網(wǎng)的趨勢，在寬帶接入技術(shù)日新月異的今天，PPP也衍生出新的應(yīng)用。典型的應(yīng)用是在ADSL（非對稱數(shù)據(jù)用戶環(huán)線，ASYMMETRICALDIGITALSUBSCRIBERLOOP）接入方式當(dāng)中，PPP與其他的協(xié)議共同派生出了符合寬帶接入要求的新的協(xié)議，利用以太網(wǎng)（ETHERNET）資源，在以太網(wǎng)上運行PPP來進(jìn)行用戶認(rèn)證接入的方式稱為PPPOE。PPPOE即保護了用戶方的以太網(wǎng)資源，又完成了ADSL的接入要求，是目前ADSL接入方式中應(yīng)用最廣泛的技術(shù)標(biāo)準(zhǔn)。PPP協(xié)議的簡單完整使它得到了廣泛的應(yīng)用，相信在未來的網(wǎng)絡(luò)技術(shù)發(fā)展中，它還可以發(fā)揮更大的作用。十二DNS服務(wù)器DNS是域名系統(tǒng)DOMAINNAMESYSTEM的縮寫，它是由解析器和域名服務(wù)器組成的。域名服務(wù)器是指保存有該網(wǎng)絡(luò)中所有主機的域名和對應(yīng)IP地址，并具有將域名轉(zhuǎn)換為IP地址功能的服務(wù)器。其中域名必須對應(yīng)一個IP地址，而IP地址不一定有域名。域名系統(tǒng)采用類似目錄樹的等級結(jié)構(gòu)。域名服務(wù)器為客戶機/服務(wù)器模式中的服務(wù)器方，它主要有兩種形式主服務(wù)器和轉(zhuǎn)發(fā)服務(wù)器。將域名映射為IP地址的過程就稱為“域名解析”。在INTERNET上域名與IP地址之間是一對一（或者多對一）的，域名雖然便于人們記憶，但機器之間只能互相認(rèn)識IP地址，它們之間的轉(zhuǎn)換工作稱為域名解析，域名解析需要由專門的域名解析服務(wù)器來完成，DNS就是進(jìn)行域名解析的服務(wù)器。DNS命名用于INTERNET等TCP/IP網(wǎng)絡(luò)中，通過用戶友好的名稱查找計算機和服務(wù)。當(dāng)用戶在應(yīng)用程序中輸入DNS名稱時，DNS服務(wù)可以將此名稱解析為與之相關(guān)的其他信息，如IP地址。因為，你在上網(wǎng)時輸入的網(wǎng)址，是通過域名解析系統(tǒng)解析找到了相對應(yīng)的IP地址，這樣才能上網(wǎng)。其實，域名的最終指向是IP。在IPV4中IP是由32位二進(jìn)制數(shù)組成的，將這32位二進(jìn)制數(shù)分成4組每組8個二進(jìn)制數(shù)，將這8個二進(jìn)制數(shù)轉(zhuǎn)化成十進(jìn)制數(shù)，就是我們看到的IP地址，其范圍是在0255之間。因為，8個二進(jìn)制數(shù)轉(zhuǎn)化為十進(jìn)制數(shù)的最大范圍就是0255?，F(xiàn)在已開始試運行、將來必將代替IPV4的IPV6中，將以128位二進(jìn)制數(shù)表示一個IP地址。大家都知道，當(dāng)我們在上網(wǎng)的時候，通常輸入的是如網(wǎng)址，其實這就是一個域名，而我們計算機網(wǎng)絡(luò)上的計算機彼此之間只能用IP地址才能相互識別。DNSDOMAINNAMESYSTEM域名管理系統(tǒng)域名是由圓點分開一串單詞或縮寫組成的，每一個域名都對應(yīng)一個惟一的IP地址，這一命名的方法或這樣管理域名的系統(tǒng)叫做域名管理系統(tǒng)。十三FTP簡介用戶聯(lián)網(wǎng)的首要目的就是實現(xiàn)信息共享，文件傳輸是信息共享非常重要的一個內(nèi)容之一。INTERNET上早期實現(xiàn)傳輸文件，并不是一件容易的事，我們知道INTERNET是一個非常復(fù)雜的計算機環(huán)境，有PC，有工作站，有MAC，有大型機，據(jù)統(tǒng)計連接在INTERNET上的計算機已有上千萬臺，而這些計算機可能運行不同的操作系統(tǒng)，有運行UNIX的服務(wù)器，也有運行DOS、WINDOWS的PC機和運行MACOS的蘋果機等等，而各種操作系統(tǒng)之間的文件交流問題，需要建立一個統(tǒng)一的文件傳輸協(xié)議，這就是所謂的FTP?；诓煌牟僮飨到y(tǒng)有不同的FTP應(yīng)用程序，而所有這些應(yīng)用程序都遵守同一種協(xié)議，這樣用戶就可以把自己的文件傳送給別人，或者從其它的用戶環(huán)境中獲得文件。FTP也是一個客戶機/服務(wù)器系統(tǒng)。用戶通過一個支持FTP協(xié)議的客戶機程序，連接到在遠(yuǎn)程主機上的FTP服務(wù)器程序。用戶通過客戶機程序向服務(wù)器程序發(fā)出命令，服務(wù)器程序執(zhí)行用戶所發(fā)出的命令，并將執(zhí)行的結(jié)果返回到客戶機。比如說，用戶發(fā)出一條命令，要求服務(wù)器向用戶傳送某一個文件的一份拷貝，服務(wù)器會響應(yīng)這條命令，將指定文件送至用戶的機器上?？蛻魴C程序代表用戶接收到這個文件，將其存放在用戶目錄中。為了實現(xiàn)WINDOWS環(huán)境下的FTP服務(wù)器配置，絕大多數(shù)的WINDOWS發(fā)行套裝中都選用的是WASHINGTONUNIVERSITYFTP（WUFTPD），這是一個性能優(yōu)秀的服務(wù)器軟件，由于它具有眾多強大功能和超大的吞吐量，INTERNET上的FTP服務(wù)器有60以上采用了它。FTP的使用在FTP的使用當(dāng)中，用戶經(jīng)常遇到兩個概念“下載“（DOWNLOAD）和“上載“（UPLOAD）?！跋螺d“文件就是從遠(yuǎn)程主機拷貝文件至自己的計算機上；“上載“文件就是將文件從自己的計算機中拷貝至遠(yuǎn)程主機上。用INTERNET語言來說，用戶可通過客戶機程序向（從）遠(yuǎn)程主機上載（下載）文件。十四FILE服務(wù)器本地文件傳輸協(xié)議，F(xiàn)ILE協(xié)議主要用于訪問本地計算機中的文件，就如同在WINDOWS資源管理器中打開文件一樣。LINUX命令FILE，F(xiàn)ILE命令讀取用FILE參數(shù)或者FILELIST變量指定的文件，在每個文件上執(zhí)行一系列測試，然后將它們按照類型分類。然后此命令將文件類型寫入標(biāo)準(zhǔn)輸出。文件可以是常規(guī)文件、目錄、FIFO（指定的管道）、塊特殊文件、字符特別文件、符號鏈接或者套接字類型。十五MAIL服務(wù)器郵件服務(wù)器是一種用來負(fù)責(zé)電子郵件收發(fā)管理的設(shè)備。它比網(wǎng)絡(luò)上的免費郵箱更安全和高效，因此一直是企業(yè)公司的必備設(shè)備。電子郵件是因特網(wǎng)上最為流行的應(yīng)用之一。如同郵遞員分發(fā)投遞傳統(tǒng)郵件一樣，電子郵件也是異步的，也就是說人們是在方便的時候發(fā)送和閱讀郵件的，無須預(yù)先與別人協(xié)同。與傳統(tǒng)郵件不同的是，電子郵件既迅速，又易于分發(fā)，而且成本低廉。另外，現(xiàn)代的電子郵件消息可以包含超鏈接、HTML格式文本、圖像、聲音甚至視頻數(shù)據(jù)。我們將在本文中查看處于因特網(wǎng)電子郵件核心地位的應(yīng)用層協(xié)議。但在深入討論這些協(xié)議之前，讓我們先概覽一下因特網(wǎng)郵件系統(tǒng)及其重要部件。郵件結(jié)構(gòu)系統(tǒng)由三類主要部件構(gòu)成用戶代理、郵件服務(wù)器和簡單郵件傳送協(xié)議SIMPLEMAILTRANSFERPROTOCOL，簡稱SMTP。20世紀(jì)90年代后期，圖形用戶界面GUI的電子郵件用戶代理變得流行起來，它們允許用戶閱讀和編寫多媒體消息。當(dāng)前流行的用戶代理包括OUTLOOK,FOXMAIL等。公共域中還有許多基于文本的電于郵件用戶代理，包括MAIL、PINE和ELM。郵件服務(wù)器構(gòu)成了電子郵件系統(tǒng)的核心。簡單郵件傳送協(xié)議SMTP是因特網(wǎng)電子郵件系統(tǒng)首要的應(yīng)用層協(xié)議。它使用由TCP提供的可靠的數(shù)據(jù)傳輸服務(wù)把郵件消息從發(fā)信人的郵件服務(wù)器傳送到收信人的郵件服務(wù)器。跟大多數(shù)應(yīng)用層協(xié)議一樣，SMTP也存在兩個端在發(fā)信人的郵件服務(wù)器上執(zhí)行的客戶端和在收信人的郵件服務(wù)器上執(zhí)行的服務(wù)器端。SMLP的客戶端和服務(wù)器端同時運行在每個郵件服務(wù)器上。當(dāng)一個郵件服務(wù)器在向其他郵件服務(wù)器發(fā)送郵件消息時，它是作為SMTP客戶在運行。當(dāng)一個郵件服務(wù)器從其他郵件服務(wù)器接收郵件消息時，它是作為SMTP服務(wù)器在運行。十六WEBSERVER與HTTP超文本傳輸協(xié)議HTTP，HYPERTEXTTRANSFERPROTOCOL是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。所有的WWW文件都必須遵守這個標(biāo)準(zhǔn)。設(shè)計HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁面的方法。HTTP的發(fā)展是萬維網(wǎng)協(xié)會（WORLDWIDEWEBCONSORTIUM）和INTERNET工作小組（INTERNETENGINEERINGTASKFORCE）合作的結(jié)果，最終發(fā)布了一系列的RFC，其中最著名的就是RFC2616。RFC2616定義了HTTP協(xié)議的我們今天普遍使用的一個版本HTTP11。HTTP是一個客戶端和服務(wù)器端請求和應(yīng)答的標(biāo)準(zhǔn)（TCP）。客戶端是終端用戶，服務(wù)器端是網(wǎng)站。通過使用WEB瀏覽器、網(wǎng)絡(luò)爬蟲或者其它的工具，客戶端發(fā)起一個到服務(wù)器上指定端口（默認(rèn)端口為80）的HTTP請求。（我們稱這個客戶端）叫用戶代理（USERAGENT）。應(yīng)答的服務(wù)器上存儲著（一些）資源，比如HTML文件和圖像。（我們稱）這個應(yīng)答服務(wù)器為源服務(wù)器（ORIGINSERVER）。在用戶代理和源服務(wù)器中間可能存在是用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳送協(xié)議。它可以使瀏覽器更加高效，使網(wǎng)絡(luò)傳輸減少。它不僅保證計算機正確快速地傳輸超文本文檔，還確定傳輸文檔中的哪一部分，以及哪部分內(nèi)容首先顯示如文本先于圖形等。這就是你為什么在瀏覽器中看到的網(wǎng)頁地址都是以HTTP/開頭的原因。十七AD服務(wù)器活動目錄（ACTIVEDIRECTORY）是面向WINDOWSSTANDARDSERVER、WINDOWSENTERPRISESERVER以及WINDOWSDATACENTERSERVER的目錄服務(wù)。（ACTIVEDIRECTORY不能運行在WINDOWSWEBSERVER上，但是可以通過它對運行WINDOWSWEBSERVER的計算機進(jìn)行管理。）ACTIVEDIRECTORY存儲了有關(guān)網(wǎng)絡(luò)對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。ACTIVEDIRECTORY使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進(jìn)行合乎邏輯的分層組織。在計算機網(wǎng)絡(luò)術(shù)語中，目錄代表存儲網(wǎng)絡(luò)上對象信息的一種層次結(jié)構(gòu)。網(wǎng)絡(luò)上的對象包括共享資源（例如服務(wù)器、打印機、網(wǎng)絡(luò)用戶以及計算機帳號等）、域、應(yīng)用程序、服務(wù)、安全方針等等的你的網(wǎng)絡(luò)中的一切事物。一個最典型的例子就是一個網(wǎng)絡(luò)目錄存儲一個用戶帳號時，它存儲了用戶的姓名、密碼、電子郵件地址、電話號碼等等。目錄服務(wù)區(qū)別于目錄的地方在于，目錄服務(wù)能夠把目錄中存儲的信息提供給管理員，用戶，網(wǎng)絡(luò)服務(wù)或應(yīng)用程序。理想情況下，目錄服務(wù)使網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)和協(xié)議對用戶來說是透明的，用戶可以進(jìn)入任何資源而不用知道它們之間是怎樣以及在哪里連接的。如上面提到的那個例子，正是目錄服務(wù)才使得同一網(wǎng)絡(luò)中的其它授權(quán)用戶能夠了解到該用戶目錄中存儲的信息（如電子郵件地址）。目錄服務(wù)具有廣泛的接受力，可以與操作系統(tǒng)結(jié)合，也可以與應(yīng)用程序結(jié)合。WINDOWS2000成功的把目錄服務(wù)與操作系統(tǒng)結(jié)合在一起，生成了活動目錄，它提供了對用戶，計算機和共享資源的管理。就象MICROSOFTEXCHANGE的EMAIL目錄服務(wù)，它使用戶能夠查找其它用戶的電子郵件地址以便于發(fā)送電子郵件?；顒幽夸洠琖INDOWS2000服務(wù)器版操作系統(tǒng)的一種新的目錄服務(wù)，只能運在域控制器上，它除了能夠提供存儲信息的場所，提供服務(wù)以使信息可用外，還可以保護網(wǎng)絡(luò)對象不被非授權(quán)用戶進(jìn)入，通過網(wǎng)絡(luò)復(fù)制對象以便在域控制器崩潰時數(shù)據(jù)不會丟失。十八DHCP動態(tài)主機設(shè)置協(xié)議（DYNAMICHOSTCONFIGURATIONPROTOCOL,DHCP）是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個用途給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動分配IP地址給用戶給內(nèi)部網(wǎng)絡(luò)管理員作為對所有計算機作中央管理的手段。DHCP是DYNAMICHOSTCONFIGURATIONPROTOCOL動態(tài)主機配置協(xié)議縮寫，它的前身是BOOTP。BOOTP原本是用于無磁盤主機連接的網(wǎng)絡(luò)上面的。DHCP比較起B(yǎng)OOTP，透過“租約“的概念，有效且動態(tài)的分配客戶端的TCP/IP設(shè)定，而且，作為兼容考慮，DHCP也完全照顧了BOOTPCLIENT的需求。DHCP的分配形式首先，必須至少有一臺DHCP工作在網(wǎng)絡(luò)上面，它會監(jiān)聽網(wǎng)絡(luò)的DHCP請求，并與客戶端磋商TCP/IP的設(shè)定環(huán)境。它提供三種IP定位方式動態(tài)分配，當(dāng)DHCP第一次從DHCP服務(wù)器端租用到IP地址之后，并非永久的使用該地址，只要租約到期，客戶端就得釋放RELEASE這個IP地址，以給其它工作站使用。當(dāng)然，客戶端可以比其它主機