局域網(wǎng)管理與維護(hù)基礎(chǔ)

1、課程名稱局域網(wǎng)管理與維護(hù)基礎(chǔ)教學(xué)目的：理解Windows2000Server網(wǎng)絡(luò)監(jiān)視器、性能監(jiān)視器、遠(yuǎn)程桌面控制以及網(wǎng)絡(luò)測試程序的作用?？煞治鼍W(wǎng)絡(luò)運行中存在故障與性能問題，可以用注冊表的功能特點，SNMP安全對策和IPSEC實現(xiàn)網(wǎng)絡(luò)的安全管理。教學(xué)重點：能夠正確使用網(wǎng)絡(luò)監(jiān)視器、網(wǎng)絡(luò)測試程序、注冊表、IPSEC,學(xué)會運用Ping、Iconic等命令診斷網(wǎng)絡(luò)故障。教學(xué)難點：運用網(wǎng)絡(luò)監(jiān)視器、性能監(jiān)視器以及網(wǎng)絡(luò)測試程序，分析網(wǎng)絡(luò)運行中存在的故障與性能問題。利用注冊表功能，SNMP安全對策和IPSEC實現(xiàn)管理。教學(xué)設(shè)備：多媒體教室、計算機實驗室教學(xué)內(nèi)容(板書)教學(xué)步驟、方法時間第六章局域網(wǎng)項目管理與維護(hù)

2、基礎(chǔ)6.1 Windows2000共享資源的管理6.1.1 共享資源的管理與訪問分布式義件系統(tǒng)，從物理上說存在于網(wǎng)絡(luò)各個部分的共享文件的集合，它允許系統(tǒng)管理員對分散于網(wǎng)絡(luò)各個部分的共享文件進(jìn)行集中管理。1、使用服務(wù)器管理器來管理共享資源：(1)打開“管理工具”中的“配置服務(wù)器”。(2)選擇“文件服務(wù)器”來共享資源。2、文件夾可設(shè)置以下共享資源：(1)所有用戶都有完全控制權(quán)限。(2)管理員有完全控制權(quán)限，其他用戶只有讀訪問權(quán)。(3)管理員有完全控制權(quán)限，其他用戶沒有訪問權(quán)。(4)自定義共享和文件夾權(quán)限。演示：“文件服務(wù)器”強調(diào)：/、同的訪問權(quán)限的作3、共享資源的訪問方法(1)通過“網(wǎng)上鄰居”直接

3、訪問。(2)在IE地址欄中鍵入服務(wù)器或服務(wù)器地址。6.1.2網(wǎng)絡(luò)打印機的設(shè)置和管理1、網(wǎng)絡(luò)中共享打印機有兩種方式：(1)在打印機中安裝網(wǎng)卡，使其與網(wǎng)絡(luò)直接連接。(2)設(shè)定一臺打印服務(wù)器，在服務(wù)器中添加打印機。2、打印服務(wù)器上打印機的屬性設(shè)置(1) “常規(guī)”選項卡修改打印機的名稱。編輯打印機的路徑信息。設(shè)置打印機的布局及使用紙張等。演小:設(shè)置過程用還可以顯示打印機的型號及功能信息。(2) “共享”選項卡選擇“不共享”選項，取消共享。選擇“共享為”選項，將打印機共享，并輸入共享名。單擊“其他驅(qū)動程序”，可安裝其他版本的驅(qū)動程序。(3) “端口”選項卡通過“刪除端口”、“配置端口”、“添加端口”按鈕

4、可以修改打印機所在端口的各種設(shè)置選項，對端口進(jìn)行刪除和添加。打印機池：是邏輯打印機，它通過打印服務(wù)器的多個端口連接到多個相同的打印機。(4) “高級”選項卡打印機工作時間及驅(qū)動程序。打印機打印方式。分局打印方式的相應(yīng)配置。(5) “安全”選項卡設(shè)置哪些用戶和組能對打印機進(jìn)行訪問，及其訪問權(quán)限是什么。(6) “設(shè)備”選項卡：描述了打印機的物理配置，并可對打印機的物理參數(shù)進(jìn)行設(shè)置。6.2 遠(yuǎn)程桌面控制的應(yīng)用網(wǎng)絡(luò)維護(hù)中，如何實現(xiàn)對服務(wù)器的遠(yuǎn)程控制是我們時常探討的話題。6.2.1 VNC遠(yuǎn)程桌面的安裝與配置VNC可以安裝在Windows中而讓使用者在世界各地遠(yuǎn)端遙控自己的計算機，即使在不同的操作平臺上

5、也沒有問題。1、安裝VNC直接運行安裝文件，全部默認(rèn)安裝，可在“開始一程序一RealVNC”中找到VNC組件。2、VNC服務(wù)器端的啟動和設(shè)置選擇RealVNC組件中“RunVNCServer”項運行即可。在“CurrentUserProperties對話框中輸入客戶端連接時所需密碼，按“確定”。3、VNC客戶端連接(1)在另外一臺安轉(zhuǎn)VNC的計算機上運行客戶端。選VNC組件中的“RunVNCviewer”項即可。輸入服務(wù)器的IP地址或計算機名(2)按提示輸入連接密碼。(3)成功連接后客戶端的屏幕顯示服務(wù)器端的內(nèi)容。(4)連接成功后，也可以在服務(wù)器端進(jìn)行操作，客戶端也可以同步顯示。6.2.2 V

6、NC遠(yuǎn)程桌面的連接使用(1)遠(yuǎn)程管理(2)教學(xué)培訓(xùn)演示：VNC的安裝演示：VNC遠(yuǎn)程桌 面的連接使用6.2.3 VNC遠(yuǎn)程桌面的連接局限性一臺服務(wù)器只能連接一個客戶，只有最后一個成功連接的客戶可以得到服務(wù)。6.3 Windows2000注冊表應(yīng)用6.3.1 注冊表分析1、注冊表的特點注冊表的引入用于代替“.ini”文件，整合集成了全部系統(tǒng)和應(yīng)用程序的初始化信息，其中包含了硬件設(shè)備的說明，相互關(guān)聯(lián)的應(yīng)用程序與文檔文件，窗口顯示方式，網(wǎng)絡(luò)連接參數(shù)，設(shè)置關(guān)系到計算機安全的網(wǎng)絡(luò)設(shè)置。(1)形式上，注冊表與INI文件相比的優(yōu)點：注冊表采用是二進(jìn)制形式登陸數(shù)據(jù)。注冊表支持子關(guān)鍵字，各級子關(guān)鍵字都有自己的鍵

7、值。(2)功能上，注冊表與INI文件相比的特點：注冊表允許對硬件，某些操作系統(tǒng)參數(shù)，應(yīng)用程序和設(shè)備驅(qū)動程序進(jìn)行跟蹤配置，使得某些配置可在不重新啟動系統(tǒng)的情況下立即生效。注冊表中登陸的硬件部分?jǐn)?shù)據(jù)可以用來支持Windows95的即插即用特性。通過注冊表，管理人員和用戶可以在網(wǎng)絡(luò)商家愛逆差系統(tǒng)的配置和設(shè)置，使得遠(yuǎn)程管理得以實現(xiàn)。演小: 器注冊表編輯微軟提供的一個用于編輯注冊表的工具，是Regedit.exe,它是通用的注冊表編輯工具。啟動方法：打開“開始”菜單里的“運行”菜單項，在對話框中輸入regedit,單擊“確定”按鈕。2、注冊表結(jié)構(gòu)分析(1) KEY_CLASSES_ROOT:該主關(guān)鍵字包

8、含有OLE信息，廊e在系統(tǒng)工作過程中實現(xiàn)對各種文件和文檔信息的訪問。具體的內(nèi)容有已注冊的文件擴(kuò)展名、文件類型、文件目標(biāo)等。所有信息保存在system.dat文件中(2) KEY_USER_S:強調(diào)：注冊表結(jié)構(gòu)用戶都可以在這里設(shè)置自己的關(guān)鍵字和子關(guān)鍵字。用戶根據(jù)個人愛好設(shè)置的諸如桌面、背景、開始菜單程序項、應(yīng)用程序快捷鍵、顯示字體、屏幕節(jié)電設(shè)置等信息云可以在這個關(guān)鍵字中找到。如沒有預(yù)定義的登陸項，則采用本關(guān)鍵字下的“Default"子關(guān)鍵字。(3) KEY_CURRENT_USER:指一個指向HKEY_USER結(jié)構(gòu)中某個分支的指針，它包含當(dāng)前用戶的登陸信息。(4) KEY_LOCAL_

9、MACHINE:該關(guān)鍵字包含了本地計算機(相對網(wǎng)絡(luò)環(huán)境而言)的硬件和軟件的全部信息。根據(jù)計算機中硬件配置和安裝文件的不同，本關(guān)鍵字中的信息將有很大差別。本關(guān)鍵字中各個子關(guān)鍵字中包含的信息有很多是重復(fù)的，具目的是瀏覽和編輯方便。(5) KEY_CURRENT_CONFIG:這個關(guān)鍵字實際上是指向HKEY_LOCAL_MACHINEConfig結(jié)構(gòu)中的某個分支的指針。6.3.2注冊表應(yīng)用舉例(1) 冊表中單擊HKEY_CURRENT_USERNETWORKRECENT把主鍵演示：舉而應(yīng)用“RECENT”下的子鍵項全部刪除，消除“網(wǎng)上鄰居”后的信息。(2) 2)濾IP:在“HKEY_LOCAL_MA

10、CHINESystemCurrentControlSetServieesTcpipParameters下修改雙字節(jié)"EnableSecurityFilters”字為“1”。(3) 止在“網(wǎng)絡(luò)”中顯示“標(biāo)識”屬性。在"HKEY_USER.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplore”下，新建DWORD“NoNetsetuP'并設(shè)其值為“1”。等，詳見P1466.4 Windows2000網(wǎng)絡(luò)監(jiān)視器Windows2000Serve出身已經(jīng)提供了非常好的網(wǎng)絡(luò)監(jiān)視器程序。6.4.1 安裝網(wǎng)絡(luò)監(jiān)視器在

11、用戶安裝系統(tǒng)時，網(wǎng)絡(luò)監(jiān)視器不在默認(rèn)安裝服務(wù)中，需要手動添加。(1) 開控控制面板一添加/刪除組件”，選擇“添加/刪除windows組件”。(2) 中“管理和監(jiān)視工具”左邊的復(fù)選框，并單擊“詳細(xì)信息”。(3) 中“網(wǎng)絡(luò)監(jiān)視工具”左邊的復(fù)選框，單擊“確定”選回“windows組件向?qū)А保瑔螕簟跋乱徊健卑粹o，系統(tǒng)自動在Windows2000Server的安裝源盤查找安裝組件所需的文件。6.4.2 網(wǎng)絡(luò)監(jiān)視器的功能網(wǎng)絡(luò)監(jiān)視器復(fù)制幀的過程稱為捕獲。網(wǎng)絡(luò)監(jiān)視器可捕獲從局域網(wǎng)(LAN)上接收的幀；可捕獲本地網(wǎng)卡發(fā)出或發(fā)送到本地網(wǎng)卡的所有網(wǎng)絡(luò)通信；也可以根據(jù)信源或信宿MAC地址、IP地址及匹配規(guī)則設(shè)置一個捕獲

12、過濾器來捕獲特定幀；還可以通過使用觸發(fā)器，響應(yīng)網(wǎng)絡(luò)上的事件。網(wǎng)絡(luò)監(jiān)視器和代理，通常用于遠(yuǎn)程計算機的性能監(jiān)視，如果網(wǎng)絡(luò)上有多臺服務(wù)器，網(wǎng)絡(luò)監(jiān)視代理允許網(wǎng)絡(luò)管理員從一個位置監(jiān)視每臺服務(wù)器的性6.4.3 網(wǎng)絡(luò)監(jiān)視器的應(yīng)用啟動：在“管理工具”菜單中選擇“網(wǎng)絡(luò)監(jiān)視器”單擊“運行”按鈕即可。標(biāo)題欄中有“00D0B7B6EDE0”相類似的字串,這代表當(dāng)前服務(wù)器網(wǎng)卡的MAC地址。網(wǎng)絡(luò)監(jiān)視器主屏幕由四個平鋪窗格組成：網(wǎng)絡(luò)圖表窗格、會話統(tǒng)計窗格、站點統(tǒng)計窗格、匯總窗格。1、網(wǎng)絡(luò)圖表顯示窗格演示：網(wǎng)絡(luò)監(jiān)視器 的安裝演示：應(yīng)用方法用圖表形式顯示某一瞬間網(wǎng)絡(luò)的使用情況：(1) 絡(luò)利用：網(wǎng)絡(luò)帶寬被利用的百分率。(2) 秒

13、幀數(shù)：網(wǎng)絡(luò)上每秒傳送的幀數(shù)。(3) 秒字節(jié)數(shù)。(4) 秒廣播：每秒廣播數(shù)據(jù)包的數(shù)量。(5) 秒多播：顯示網(wǎng)絡(luò)上統(tǒng)計的每秒多址發(fā)送的數(shù)據(jù)包數(shù)。“網(wǎng)絡(luò)利用率”、“每秒廣播”、“每秒多播”、如果顯示的值較高，可能存在太多不必要信息。2、會話統(tǒng)計窗格用于檢測支配網(wǎng)絡(luò)的宿主機。網(wǎng)絡(luò)計算機被列為1和2,標(biāo)題“1一2”顯小計算機1向計算機2發(fā)送的字節(jié)數(shù)，標(biāo)題“2-1”顯示計算機2向計算機1發(fā)送的字節(jié)數(shù)。標(biāo)題”網(wǎng)絡(luò)地址1”和“網(wǎng)絡(luò)地址2”顯示宿主計算機的MAC地址。3、站點統(tǒng)計窗格顯示出所捕獲的每個宿主計算機發(fā)送的總幀數(shù)的概要信息。宿主計算機的傳送情況通過發(fā)送和接受的幀數(shù)，發(fā)送和接收的字節(jié)數(shù)，直接幀發(fā)送數(shù)以及

14、多地址傳送的幀數(shù)和發(fā)送的廣播信息來表示。4、匯總統(tǒng)計窗格統(tǒng)計信息描述了檢測到的網(wǎng)絡(luò)流量，包括捕獲到的幀和字節(jié)數(shù)、緩沖區(qū)里的幀和字節(jié)數(shù)、每秒網(wǎng)絡(luò)使用統(tǒng)計等網(wǎng)絡(luò)狀態(tài)統(tǒng)計。6.5 Windows2000的性能監(jiān)視器6.5.1 性能監(jiān)視器的功能性能監(jiān)視器可以收集與內(nèi)存、磁盤、處理器、網(wǎng)絡(luò)以及其他活動有關(guān)的實時數(shù)據(jù)，并以圖表直方圖或報表形式顯示出來。主要有兩種功能：1、衡量本地計算機或網(wǎng)絡(luò)中其他計算機的性能：演示：各個窗格詳細(xì)講解各項目的 含義。強調(diào)：性能監(jiān)視器 的功能(1)本地計算機或網(wǎng)絡(luò)中其他計算機的性能數(shù)據(jù)進(jìn)行收集和查看。(1) 技術(shù)七日志中查看當(dāng)前或先前搜集到的性能數(shù)據(jù)。(3) 性能數(shù)據(jù)表示在可

15、打印的圖表、直方圖或報表視圖中。(4) 過自動操作將“性能監(jiān)視器”的功能并入MicrosoftOffice組件的應(yīng)用程序中。(5) 性能視圖中創(chuàng)建HYML頁向。(6) 建一些可使用微軟管理控制臺在其他計算機上安裝的可重新使用的監(jiān)視器配置。(7) 7)集和查看計算機中硬件資源的使用情況和系統(tǒng)服務(wù)的肩關(guān)數(shù)據(jù)，可通過以下選項定義要求收集數(shù)據(jù)內(nèi)容：數(shù)據(jù)類型、數(shù)據(jù)源、采樣參數(shù)、顯示類型、顯示特征。6.5.2性能監(jiān)視器的應(yīng)用(1) 選“開始”菜單，選擇“程序一管理工具一性能”，將打開“性能”窗口。(2) “性能”窗口的工具欄中單擊“十”按鈕后，系統(tǒng)打開“添加計數(shù)器”對話框。(3) 擇希望監(jiān)視的計算機，選擇

16、“使用本地計數(shù)器”來監(jiān)視本機的某項性能?；蜻x擇“從計算機選擇計數(shù)器”，選擇網(wǎng)絡(luò)上的計算機。接著在“性能對象”下拉列表中選擇要監(jiān)視的性能對象，單擊“添加”按鈕。(4) 擊“關(guān)閉”按鈕，系統(tǒng)返回“性能”窗口，開始對相應(yīng)的對象進(jìn)行監(jiān)視。6.6網(wǎng)絡(luò)性能的調(diào)整優(yōu)化6.6.1 內(nèi)存的調(diào)整和優(yōu)化內(nèi)存的油畫包括兩個方面：1、物理內(nèi)存的調(diào)整與優(yōu)化(1) 少顯示系統(tǒng)的顏色數(shù)。(2) 低顯示系統(tǒng)的分辨率。(3) 要使用墻紙或大型的屏幕保護(hù)程序。(4) 閉服務(wù)器中沒有使用或不必要的程序。(5) 除一些不必要的協(xié)議。演示：性能監(jiān)視器的應(yīng)用(6) 硬件方面，內(nèi)存應(yīng)當(dāng)使用完全一致的芯片。2、虛擬內(nèi)存的調(diào)整優(yōu)化改善虛擬內(nèi)存的

17、方法主要在于正確的設(shè)置虛擬內(nèi)存。(7) 統(tǒng)沒有足夠的內(nèi)存來儲存所有正在執(zhí)行的線程，就將當(dāng)前未使用的內(nèi)存頁面交換到成為虛擬內(nèi)存交換文件來仿真系統(tǒng)內(nèi)存。(8) 加物理內(nèi)存。(9) 虛擬內(nèi)存頁面交換文件寫入多塊硬盤。(10) 虛擬內(nèi)存設(shè)在同一硬盤的不同卷上，對性能沒有幫助。6.6.2磁盤系統(tǒng)的調(diào)整與優(yōu)化1、一定要打開硬盤的DMA傳輸模式打開硬盤的DMA傳輸模式不僅能提高磁盤讀寫傳輸速度，而且還會降低磁盤對CPU的占用率。(注意：必須使用80芯的硬盤線)2、在Windows系統(tǒng)中要關(guān)閉硬盤的自動掛起。3、定期對硬盤的垃圾文件進(jìn)行清理。4、將一些臨時、系統(tǒng)文件來設(shè)置到非系統(tǒng)盤上。5、將交換文件(虛擬內(nèi)存

18、)設(shè)為固定值由windows管理虛擬內(nèi)存，其大小經(jīng)常發(fā)生變化，就會產(chǎn)生大量的磁盤碎片。6、設(shè)置適應(yīng)的磁盤緩存打開“c:windowssystemsystem.ini”將MinFileCache歿為物理內(nèi)存的3%,將MaxFileCache=物理內(nèi)存的25%,ChunkSize=5126.6.3網(wǎng)絡(luò)接口的優(yōu)化調(diào)整1、計算機電源故障會導(dǎo)致網(wǎng)卡工作不正常。2、接地干擾也常影響網(wǎng)卡工作。3、網(wǎng)卡的設(shè)置也會直接影響其工作。強調(diào)：內(nèi)存優(yōu)化的 各種方法強調(diào)：磁盤緩存的 設(shè)置4、多余的網(wǎng)絡(luò)協(xié)議會影響網(wǎng)卡的工作。6.7網(wǎng)絡(luò)故障診斷6.7.1 網(wǎng)絡(luò)通信與服務(wù)故障診斷Ping命令在檢查網(wǎng)絡(luò)通信故障中使用廣泛。格式：

19、Ping目的地址/參數(shù)1/參數(shù)2常用的參數(shù)：- a：解析目標(biāo)主機名。- t:繼續(xù)執(zhí)行ping命令，直到用戶按Ctrl+c組合鍵中止。- 1：所發(fā)送的緩沖區(qū)的大小。- n：發(fā)出的測試包的個數(shù)。Ping可在“運行”對話框中執(zhí)行，也可以在MS-DOS或Windows2000中的命令。若ping不成功，則故障可能是網(wǎng)絡(luò)不通，適配器配置或IP地址不可用等；若ping成功，網(wǎng)絡(luò)仍無法使用，則問題可能出在網(wǎng)絡(luò)系統(tǒng)的軟件配置方面。6.7.2 網(wǎng)絡(luò)接口故障診斷利用Ipconfig命令可檢查網(wǎng)絡(luò)接口設(shè)置。鍵入Ipconfig/?可獲得該命令的使用幫助。鍵入Ipconfig/all可獲得IP配置的所有屬性。配置不正

20、確的IP地址伙子網(wǎng)掩碼是接口配置中的常見故障。IP地址配置錯誤有兩種：1、網(wǎng)絡(luò)號不正確：此時會顯示“noanswer2、主機號不正確：例如：兩臺主機配置相同地址引起沖突。6.7.3 網(wǎng)絡(luò)整體狀態(tài)統(tǒng)計利用Netstat程序幫助用戶了解網(wǎng)絡(luò)的整體使用情況。（Netstat/回查看幫助文檔）。命令格式：Netstat參數(shù)主要參數(shù)：演示：Ping帶各種參數(shù)的使用情況演示：Ipconfig命令的使用a：顯示所有與主機相連接的端口信息。e：顯示以太網(wǎng)的統(tǒng)計信息，一般與s共同使用。n：以數(shù)字格式顯示地址和端口信息。s：顯示每個協(xié)議的統(tǒng)計情況。若接收錯誤和發(fā)送錯接近或為0,網(wǎng)絡(luò)接口無問題。當(dāng)這兩個字段由100

21、個以上的出錯時就可以認(rèn)為是高出錯率了。6.7.4 本機路由表檢查及更改使用Route命令例：c:>Routeprint可知本機的網(wǎng)關(guān)、子網(wǎng)類型、廣播地址、環(huán)回測試地址等。6.7.5 網(wǎng)絡(luò)路由故障診斷Tracert是路由跟蹤實用程序，用于確定IP數(shù)據(jù)包訪問目標(biāo)所采用的路徑。Tracert（跟蹤路由）用IP生存時間（TTL）享段和ICMP錯誤消息來確定從一個主機到網(wǎng)路上具他主機的路由。格式：Tracert-d-hmaxmum_hops-jhost-list-wtimeouttargetname- d:指定不對IP地址做域名分析- hmax_hops指定跳躍點數(shù)以跟蹤到主機的路I- jhotl

22、ist:指定實用程序數(shù)據(jù)包所采用路徑中的路由器接口到表。- wtime-out:等待time-out為每次回復(fù)所指定的毫秒數(shù)。Targetname目標(biāo)主機名稱或IP地址。顯示出所經(jīng)每一站路由器的反應(yīng)時間、站點名稱、IP地址等重要信息。6.8基于IPSEC的網(wǎng)絡(luò)安全管理演示Net stat命令 的使用演示：Route命令演示：Tracert命令6.8.1 局域網(wǎng)的不安全因素與IPSEC除了由外部發(fā)起的攻擊，很多重要的機密信息泄露與遺失往往是由于企業(yè)員工、技術(shù)人員從內(nèi)部侵入公司網(wǎng)絡(luò)造成的。IPSecurity(IP安全性)，提供一種端到端的安全，這使得端到端的用戶之間必須通過相互了解IPSecur

23、ity,才能保護(hù)計算機之間進(jìn)行相互間的通信，可提高通信的安全性，并可以解決客戶和遠(yuǎn)程計算機之間的管理。6.8.2 IPSEC的應(yīng)用特點1、支持工業(yè)標(biāo)準(zhǔn)：Windows2000Server采用了以下符合強調(diào)： 用特點IPSEC的應(yīng)工業(yè)標(biāo)準(zhǔn)的加密算法和驗證技術(shù)：(1) iffie-hellmon方法：是一種公共密鑰密碼算法。兩個主體互相交換公共信息，然后每個主體把另一個主體的公共信息與自己的秘密信息結(jié)合在一起，產(chǎn)生一個秘密共享的密鑰值。(2) MAC(雜湊信息驗證代碼)算法：首先，它對數(shù)據(jù)包使用帶密鑰的雜湊算法，從而產(chǎn)生一個接收方可驗證的數(shù)字簽名。如果信息在傳輸中被改變，則雜湊值必與原來的數(shù)字簽名

24、不同。(3) ES-CBC(數(shù)據(jù)加密標(biāo)準(zhǔn)-密碼塊鏈)它使用一個隨即生成數(shù)，結(jié)合秘密密鑰對數(shù)據(jù)進(jìn)行加密。2、安全性的協(xié)議(1) ISAKMP(Internet安全關(guān)聯(lián)與密鑰管理協(xié)議)(2) okLey：一個密鑰確定協(xié)議，它使用Diffie-Hellman密鑰交換算法來決定密鑰的生成。(3) IPAH(驗證報頭)：提供數(shù)據(jù)的完整性驗證，并能夠防止IP數(shù)據(jù)包的重復(fù)發(fā)送，但它不支持?jǐn)?shù)據(jù)的加密。(4) IPSEC(IP封裝安全協(xié)議)：使用DEC-CBC算法為數(shù)據(jù)傳輸進(jìn)行加密。3、協(xié)商策略：由協(xié)商策略決定使用哪種安全協(xié)議。4、安全性對策略：又tWindowsIPSecurity屬性的配置叫安全性策略，它建

25、立在相關(guān)聯(lián)的協(xié)商策略和IP過濾器上。5、透明性和密鑰的動態(tài)重新生成。6.8.3 在Windows2000中啟用IPSEC安全策略1、服務(wù)器端的配置(1)創(chuàng)建IP安全策略演示：IPSEC的配置過程演示：IP安全規(guī)則 添加單擊“開始”一“運行”，鍵入MNCo選擇“控制臺”下“添加/刪除管理單元”，單擊“添加”出現(xiàn)“可用的獨立管理單元”，選擇添加“IP安全策略管理”。選擇IPSEC策略管理的作用范圍本地計算機管理此計算機所在域的域策略管理另一個域的域策略另一臺計算機(2)添加IP安全規(guī)則打開“管理工具”中“本地安全策略”，單擊“IP安全策略，在本地機器”，右鍵選“屬性”。在“規(guī)劃”選想卡中，單擊“添

26、加”按鈕，出現(xiàn)“安全規(guī)則向?qū)А?，單擊“下一步”。IP安全規(guī)則的隧道終結(jié)點的設(shè)置：“此規(guī)則不指定隧道”“隧道終結(jié)點由此IP地址指定”IPSEC隧道可以使正在進(jìn)行網(wǎng)絡(luò)通信的數(shù)據(jù)包，在相互通信的兩臺計算機之間建立起直接的專用線路連接。選擇網(wǎng)絡(luò)類型，之后身份驗證方法選擇Windows2000默認(rèn)值(KerberosV5協(xié)議)使用此證書頒發(fā)機構(gòu)(CA)頒發(fā)的證書此字串用來保護(hù)密鑰交換(預(yù)共享密鑰)選擇“IP篩選器"，完成規(guī)則添加(4)置IP安全規(guī)則在常規(guī)選項卡，可修改“檢查策略更改時間”。“高級”選項卡，進(jìn)行數(shù)據(jù)通信中密鑰交換的設(shè)置?！胺椒ā边x項卡，可設(shè)置安全測試方法的順序。2、客戶機端的配置

27、(1) 標(biāo)右鍵單擊桌面上的“網(wǎng)上鄰居”,選擇“屬性”。(2) 鍵單擊準(zhǔn)備使用IPSEC的“連接”，選“屬性”選中“Internet協(xié)議(TCP/IP)”，然后選“屬性”。強調(diào)：數(shù)據(jù)加密的 不同方法(3) “高級”按鈕，再單擊“選項”選項卡，選擇“IP安全”，并單擊“屬性”。(4) 擇單選框“使用IP安全”。6.8.4 傳輸數(shù)據(jù)使用的加密算法1、驗證加密指的是數(shù)據(jù)包的完整性。算法：安全散列算法(SHA)產(chǎn)生160位的密鑰。消息摘要5(MD5)產(chǎn)生128位的密鑰。2、數(shù)據(jù)加密(1) 6位DES國際通用標(biāo)準(zhǔn)(2) 0位DES低級別的加密方法(3) ripleDES(3DES)最安全的數(shù)據(jù)加密標(biāo)準(zhǔn)，Windows2000必須安裝“高安全性加密包”才能執(zhí)行3DES。6.8.5 IPSEC的模式選擇1、IPSEC傳送模式：保護(hù)兩主機間的