局域网管理与维护基础

1、课程名称局域网管理与维护基础教学目的：理解Windows2000Server网络监视器、性能监视器、远程桌面控制以及网络测试程序的作用。可分析网络运行中存在故障与性能问题，可以用注册表的功能特点，SNMP安全对策和IPSEC实现网络的安全管理。教学重点：能够正确使用网络监视器、网络测试程序、注册表、IPSEC,学会运用Ping、Iconic等命令诊断网络故障。教学难点：运用网络监视器、性能监视器以及网络测试程序，分析网络运行中存在的故障与性能问题。利用注册表功能，SNMP安全对策和IPSEC实现管理。教学设备：多媒体教室、计算机实验室教学内容(板书)教学步骤、方法时间第六章局域网项目管理与维护

2、基础6.1 Windows2000共享资源的管理6.1.1 共享资源的管理与访问分布式义件系统，从物理上说存在于网络各个部分的共享文件的集合，它允许系统管理员对分散于网络各个部分的共享文件进行集中管理。1、使用服务器管理器来管理共享资源：(1)打开“管理工具”中的“配置服务器”。(2)选择“文件服务器”来共享资源。2、文件夹可设置以下共享资源：(1)所有用户都有完全控制权限。(2)管理员有完全控制权限，其他用户只有读访问权。(3)管理员有完全控制权限，其他用户没有访问权。(4)自定义共享和文件夹权限。演示：“文件服务器”强调：/、同的访问权限的作3、共享资源的访问方法(1)通过“网上邻居”直接

3、访问。(2)在IE地址栏中键入服务器或服务器地址。6.1.2网络打印机的设置和管理1、网络中共享打印机有两种方式：(1)在打印机中安装网卡，使其与网络直接连接。(2)设定一台打印服务器，在服务器中添加打印机。2、打印服务器上打印机的属性设置(1) “常规”选项卡修改打印机的名称。编辑打印机的路径信息。设置打印机的布局及使用纸张等。演小:设置过程用还可以显示打印机的型号及功能信息。(2) “共享”选项卡选择“不共享”选项，取消共享。选择“共享为”选项，将打印机共享，并输入共享名。单击“其他驱动程序”，可安装其他版本的驱动程序。(3) “端口”选项卡通过“删除端口”、“配置端口”、“添加端口”按钮

4、可以修改打印机所在端口的各种设置选项，对端口进行删除和添加。打印机池：是逻辑打印机，它通过打印服务器的多个端口连接到多个相同的打印机。(4) “高级”选项卡打印机工作时间及驱动程序。打印机打印方式。分局打印方式的相应配置。(5) “安全”选项卡设置哪些用户和组能对打印机进行访问，及其访问权限是什么。(6) “设备”选项卡：描述了打印机的物理配置，并可对打印机的物理参数进行设置。6.2 远程桌面控制的应用网络维护中，如何实现对服务器的远程控制是我们时常探讨的话题。6.2.1 VNC远程桌面的安装与配置VNC可以安装在Windows中而让使用者在世界各地远端遥控自己的计算机，即使在不同的操作平台上

5、也没有问题。1、安装VNC直接运行安装文件，全部默认安装，可在“开始一程序一RealVNC”中找到VNC组件。2、VNC服务器端的启动和设置选择RealVNC组件中“RunVNCServer”项运行即可。在“CurrentUserProperties对话框中输入客户端连接时所需密码，按“确定”。3、VNC客户端连接(1)在另外一台安转VNC的计算机上运行客户端。选VNC组件中的“RunVNCviewer”项即可。输入服务器的IP地址或计算机名(2)按提示输入连接密码。(3)成功连接后客户端的屏幕显示服务器端的内容。(4)连接成功后，也可以在服务器端进行操作，客户端也可以同步显示。6.2.2 V

6、NC远程桌面的连接使用(1)远程管理(2)教学培训演示：VNC的安装演示：VNC远程桌 面的连接使用6.2.3 VNC远程桌面的连接局限性一台服务器只能连接一个客户，只有最后一个成功连接的客户可以得到服务。6.3 Windows2000注册表应用6.3.1 注册表分析1、注册表的特点注册表的引入用于代替“.ini”文件，整合集成了全部系统和应用程序的初始化信息，其中包含了硬件设备的说明，相互关联的应用程序与文档文件，窗口显示方式，网络连接参数，设置关系到计算机安全的网络设置。(1)形式上，注册表与INI文件相比的优点：注册表采用是二进制形式登陆数据。注册表支持子关键字，各级子关键字都有自己的键

7、值。(2)功能上，注册表与INI文件相比的特点：注册表允许对硬件，某些操作系统参数，应用程序和设备驱动程序进行跟踪配置，使得某些配置可在不重新启动系统的情况下立即生效。注册表中登陆的硬件部分数据可以用来支持Windows95的即插即用特性。通过注册表，管理人员和用户可以在网络商家爱逆差系统的配置和设置，使得远程管理得以实现。演小: 器注册表编辑微软提供的一个用于编辑注册表的工具，是Regedit.exe,它是通用的注册表编辑工具。启动方法：打开“开始”菜单里的“运行”菜单项，在对话框中输入regedit,单击“确定”按钮。2、注册表结构分析(1) KEY_CLASSES_ROOT:该主关键字包

8、含有OLE信息，廊e在系统工作过程中实现对各种文件和文档信息的访问。具体的内容有已注册的文件扩展名、文件类型、文件目标等。所有信息保存在system.dat文件中(2) KEY_USER_S:强调：注册表结构用户都可以在这里设置自己的关键字和子关键字。用户根据个人爱好设置的诸如桌面、背景、开始菜单程序项、应用程序快捷键、显示字体、屏幕节电设置等信息云可以在这个关键字中找到。如没有预定义的登陆项，则采用本关键字下的“Default"子关键字。(3) KEY_CURRENT_USER:指一个指向HKEY_USER结构中某个分支的指针，它包含当前用户的登陆信息。(4) KEY_LOCAL_

9、MACHINE:该关键字包含了本地计算机(相对网络环境而言)的硬件和软件的全部信息。根据计算机中硬件配置和安装文件的不同，本关键字中的信息将有很大差别。本关键字中各个子关键字中包含的信息有很多是重复的，具目的是浏览和编辑方便。(5) KEY_CURRENT_CONFIG:这个关键字实际上是指向HKEY_LOCAL_MACHINEConfig结构中的某个分支的指针。6.3.2注册表应用举例(1) 册表中单击HKEY_CURRENT_USERNETWORKRECENT把主键演示：举而应用“RECENT”下的子键项全部删除，消除“网上邻居”后的信息。(2) 2)滤IP:在“HKEY_LOCAL_MA

10、CHINESystemCurrentControlSetServieesTcpipParameters下修改双字节"EnableSecurityFilters”字为“1”。(3) 止在“网络”中显示“标识”属性。在"HKEY_USER.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplore”下，新建DWORD“NoNetsetuP'并设其值为“1”。等，详见P1466.4 Windows2000网络监视器Windows2000Serve出身已经提供了非常好的网络监视器程序。6.4.1 安装网络监视器在

11、用户安装系统时，网络监视器不在默认安装服务中，需要手动添加。(1) 开控控制面板一添加/删除组件”，选择“添加/删除windows组件”。(2) 中“管理和监视工具”左边的复选框，并单击“详细信息”。(3) 中“网络监视工具”左边的复选框，单击“确定”选回“windows组件向导”，单击“下一步”按钮，系统自动在Windows2000Server的安装源盘查找安装组件所需的文件。6.4.2 网络监视器的功能网络监视器复制帧的过程称为捕获。网络监视器可捕获从局域网(LAN)上接收的帧；可捕获本地网卡发出或发送到本地网卡的所有网络通信；也可以根据信源或信宿MAC地址、IP地址及匹配规则设置一个捕获

12、过滤器来捕获特定帧；还可以通过使用触发器，响应网络上的事件。网络监视器和代理，通常用于远程计算机的性能监视，如果网络上有多台服务器，网络监视代理允许网络管理员从一个位置监视每台服务器的性6.4.3 网络监视器的应用启动：在“管理工具”菜单中选择“网络监视器”单击“运行”按钮即可。标题栏中有“00D0B7B6EDE0”相类似的字串,这代表当前服务器网卡的MAC地址。网络监视器主屏幕由四个平铺窗格组成：网络图表窗格、会话统计窗格、站点统计窗格、汇总窗格。1、网络图表显示窗格演示：网络监视器 的安装演示：应用方法用图表形式显示某一瞬间网络的使用情况：(1) 络利用：网络带宽被利用的百分率。(2) 秒

13、帧数：网络上每秒传送的帧数。(3) 秒字节数。(4) 秒广播：每秒广播数据包的数量。(5) 秒多播：显示网络上统计的每秒多址发送的数据包数。“网络利用率”、“每秒广播”、“每秒多播”、如果显示的值较高，可能存在太多不必要信息。2、会话统计窗格用于检测支配网络的宿主机。网络计算机被列为1和2,标题“1一2”显小计算机1向计算机2发送的字节数，标题“2-1”显示计算机2向计算机1发送的字节数。标题”网络地址1”和“网络地址2”显示宿主计算机的MAC地址。3、站点统计窗格显示出所捕获的每个宿主计算机发送的总帧数的概要信息。宿主计算机的传送情况通过发送和接受的帧数，发送和接收的字节数，直接帧发送数以及

14、多地址传送的帧数和发送的广播信息来表示。4、汇总统计窗格统计信息描述了检测到的网络流量，包括捕获到的帧和字节数、缓冲区里的帧和字节数、每秒网络使用统计等网络状态统计。6.5 Windows2000的性能监视器6.5.1 性能监视器的功能性能监视器可以收集与内存、磁盘、处理器、网络以及其他活动有关的实时数据，并以图表直方图或报表形式显示出来。主要有两种功能：1、衡量本地计算机或网络中其他计算机的性能：演示：各个窗格详细讲解各项目的 含义。强调：性能监视器 的功能(1)本地计算机或网络中其他计算机的性能数据进行收集和查看。(1) 技术七日志中查看当前或先前搜集到的性能数据。(3) 性能数据表示在可

15、打印的图表、直方图或报表视图中。(4) 过自动操作将“性能监视器”的功能并入MicrosoftOffice组件的应用程序中。(5) 性能视图中创建HYML页向。(6) 建一些可使用微软管理控制台在其他计算机上安装的可重新使用的监视器配置。(7) 7)集和查看计算机中硬件资源的使用情况和系统服务的肩关数据，可通过以下选项定义要求收集数据内容：数据类型、数据源、采样参数、显示类型、显示特征。6.5.2性能监视器的应用(1) 选“开始”菜单，选择“程序一管理工具一性能”，将打开“性能”窗口。(2) “性能”窗口的工具栏中单击“十”按钮后，系统打开“添加计数器”对话框。(3) 择希望监视的计算机，选择

16、“使用本地计数器”来监视本机的某项性能。或选择“从计算机选择计数器”，选择网络上的计算机。接着在“性能对象”下拉列表中选择要监视的性能对象，单击“添加”按钮。(4) 击“关闭”按钮，系统返回“性能”窗口，开始对相应的对象进行监视。6.6网络性能的调整优化6.6.1 内存的调整和优化内存的油画包括两个方面：1、物理内存的调整与优化(1) 少显示系统的颜色数。(2) 低显示系统的分辨率。(3) 要使用墙纸或大型的屏幕保护程序。(4) 闭服务器中没有使用或不必要的程序。(5) 除一些不必要的协议。演示：性能监视器的应用(6) 硬件方面，内存应当使用完全一致的芯片。2、虚拟内存的调整优化改善虚拟内存的

17、方法主要在于正确的设置虚拟内存。(7) 统没有足够的内存来储存所有正在执行的线程，就将当前未使用的内存页面交换到成为虚拟内存交换文件来仿真系统内存。(8) 加物理内存。(9) 虚拟内存页面交换文件写入多块硬盘。(10) 虚拟内存设在同一硬盘的不同卷上，对性能没有帮助。6.6.2磁盘系统的调整与优化1、一定要打开硬盘的DMA传输模式打开硬盘的DMA传输模式不仅能提高磁盘读写传输速度，而且还会降低磁盘对CPU的占用率。(注意：必须使用80芯的硬盘线)2、在Windows系统中要关闭硬盘的自动挂起。3、定期对硬盘的垃圾文件进行清理。4、将一些临时、系统文件来设置到非系统盘上。5、将交换文件(虚拟内存

18、)设为固定值由windows管理虚拟内存，其大小经常发生变化，就会产生大量的磁盘碎片。6、设置适应的磁盘缓存打开“c:windowssystemsystem.ini”将MinFileCache殁为物理内存的3%,将MaxFileCache=物理内存的25%,ChunkSize=5126.6.3网络接口的优化调整1、计算机电源故障会导致网卡工作不正常。2、接地干扰也常影响网卡工作。3、网卡的设置也会直接影响其工作。强调：内存优化的 各种方法强调：磁盘缓存的 设置4、多余的网络协议会影响网卡的工作。6.7网络故障诊断6.7.1 网络通信与服务故障诊断Ping命令在检查网络通信故障中使用广泛。格式：

19、Ping目的地址/参数1/参数2常用的参数：- a：解析目标主机名。- t:继续执行ping命令，直到用户按Ctrl+c组合键中止。- 1：所发送的缓冲区的大小。- n：发出的测试包的个数。Ping可在“运行”对话框中执行，也可以在MS-DOS或Windows2000中的命令。若ping不成功，则故障可能是网络不通，适配器配置或IP地址不可用等；若ping成功，网络仍无法使用，则问题可能出在网络系统的软件配置方面。6.7.2 网络接口故障诊断利用Ipconfig命令可检查网络接口设置。键入Ipconfig/?可获得该命令的使用帮助。键入Ipconfig/all可获得IP配置的所有属性。配置不正

20、确的IP地址伙子网掩码是接口配置中的常见故障。IP地址配置错误有两种：1、网络号不正确：此时会显示“noanswer2、主机号不正确：例如：两台主机配置相同地址引起冲突。6.7.3 网络整体状态统计利用Netstat程序帮助用户了解网络的整体使用情况。（Netstat/回查看帮助文档）。命令格式：Netstat参数主要参数：演示：Ping带各种参数的使用情况演示：Ipconfig命令的使用a：显示所有与主机相连接的端口信息。e：显示以太网的统计信息，一般与s共同使用。n：以数字格式显示地址和端口信息。s：显示每个协议的统计情况。若接收错误和发送错接近或为0,网络接口无问题。当这两个字段由100

21、个以上的出错时就可以认为是高出错率了。6.7.4 本机路由表检查及更改使用Route命令例：c:>Routeprint可知本机的网关、子网类型、广播地址、环回测试地址等。6.7.5 网络路由故障诊断Tracert是路由跟踪实用程序，用于确定IP数据包访问目标所采用的路径。Tracert（跟踪路由）用IP生存时间（TTL）享段和ICMP错误消息来确定从一个主机到网路上具他主机的路由。格式：Tracert-d-hmaxmum_hops-jhost-list-wtimeouttargetname- d:指定不对IP地址做域名分析- hmax_hops指定跳跃点数以跟踪到主机的路I- jhotl

22、ist:指定实用程序数据包所采用路径中的路由器接口到表。- wtime-out:等待time-out为每次回复所指定的毫秒数。Targetname目标主机名称或IP地址。显示出所经每一站路由器的反应时间、站点名称、IP地址等重要信息。6.8基于IPSEC的网络安全管理演示Net stat命令 的使用演示：Route命令演示：Tracert命令6.8.1 局域网的不安全因素与IPSEC除了由外部发起的攻击，很多重要的机密信息泄露与遗失往往是由于企业员工、技术人员从内部侵入公司网络造成的。IPSecurity(IP安全性)，提供一种端到端的安全，这使得端到端的用户之间必须通过相互了解IPSecur

23、ity,才能保护计算机之间进行相互间的通信，可提高通信的安全性，并可以解决客户和远程计算机之间的管理。6.8.2 IPSEC的应用特点1、支持工业标准：Windows2000Server采用了以下符合强调： 用特点IPSEC的应工业标准的加密算法和验证技术：(1) iffie-hellmon方法：是一种公共密钥密码算法。两个主体互相交换公共信息，然后每个主体把另一个主体的公共信息与自己的秘密信息结合在一起，产生一个秘密共享的密钥值。(2) MAC(杂凑信息验证代码)算法：首先，它对数据包使用带密钥的杂凑算法，从而产生一个接收方可验证的数字签名。如果信息在传输中被改变，则杂凑值必与原来的数字签名

24、不同。(3) ES-CBC(数据加密标准-密码块链)它使用一个随即生成数，结合秘密密钥对数据进行加密。2、安全性的协议(1) ISAKMP(Internet安全关联与密钥管理协议)(2) okLey：一个密钥确定协议，它使用Diffie-Hellman密钥交换算法来决定密钥的生成。(3) IPAH(验证报头)：提供数据的完整性验证，并能够防止IP数据包的重复发送，但它不支持数据的加密。(4) IPSEC(IP封装安全协议)：使用DEC-CBC算法为数据传输进行加密。3、协商策略：由协商策略决定使用哪种安全协议。4、安全性对策略：又tWindowsIPSecurity属性的配置叫安全性策略，它建

25、立在相关联的协商策略和IP过滤器上。5、透明性和密钥的动态重新生成。6.8.3 在Windows2000中启用IPSEC安全策略1、服务器端的配置(1)创建IP安全策略演示：IPSEC的配置过程演示：IP安全规则 添加单击“开始”一“运行”，键入MNCo选择“控制台”下“添加/删除管理单元”，单击“添加”出现“可用的独立管理单元”，选择添加“IP安全策略管理”。选择IPSEC策略管理的作用范围本地计算机管理此计算机所在域的域策略管理另一个域的域策略另一台计算机(2)添加IP安全规则打开“管理工具”中“本地安全策略”，单击“IP安全策略，在本地机器”，右键选“属性”。在“规划”选想卡中，单击“添

26、加”按钮，出现“安全规则向导”，单击“下一步”。IP安全规则的隧道终结点的设置：“此规则不指定隧道”“隧道终结点由此IP地址指定”IPSEC隧道可以使正在进行网络通信的数据包，在相互通信的两台计算机之间建立起直接的专用线路连接。选择网络类型，之后身份验证方法选择Windows2000默认值(KerberosV5协议)使用此证书颁发机构(CA)颁发的证书此字串用来保护密钥交换(预共享密钥)选择“IP筛选器"，完成规则添加(4)置IP安全规则在常规选项卡，可修改“检查策略更改时间”。“高级”选项卡，进行数据通信中密钥交换的设置。“方法”选项卡，可设置安全测试方法的顺序。2、客户机端的配置

27、(1) 标右键单击桌面上的“网上邻居”,选择“属性”。(2) 键单击准备使用IPSEC的“连接”，选“属性”选中“Internet协议(TCP/IP)”，然后选“属性”。强调：数据加密的 不同方法(3) “高级”按钮，再单击“选项”选项卡，选择“IP安全”，并单击“属性”。(4) 择单选框“使用IP安全”。6.8.4 传输数据使用的加密算法1、验证加密指的是数据包的完整性。算法：安全散列算法(SHA)产生160位的密钥。消息摘要5(MD5)产生128位的密钥。2、数据加密(1) 6位DES国际通用标准(2) 0位DES低级别的加密方法(3) ripleDES(3DES)最安全的数据加密标准，Windows2000必须安装“高安全性加密包”才能执行3DES。6.8.5 IPSEC的模式选择1、IPSEC传送模式：保护两主机间的