计算机网络学生寝室楼局域网

1、PAGE 辽 宁 工 业 大 学 实 训 说 明 书（论 文）辽 宁 工 业 大 学 计算机网络基础 实训报告题目： 学生寝室楼网络规划 院（系）: 专业班级： 学 号： 学生姓名： 指导教师： 教师职称： 起止时间： 实训任务及评语院（系）：软件学院 教研室：网络教研室学 号学生姓名专业班级实训题目实训任务实训任务及要求：1、掌握基本网络的组建方法2、掌握子网划分的方法。3、了解WEB、FTP服务器的用途。实训过程中，要严格遵守实训的时间安排，听从指导教师的指导。正确地完成上述内容，记录实习日记，规范完整地撰写出实训报告。指导教师评语及成绩成绩： 指导教师签字： 2009 年 7 月 8日辽

2、 宁 工 业 大 学 实 训 说 明 书（论 文）PAGE 31目 录第1章 实训目的与要求11.1 实训目的11.2 实训环境11.3 实训的预备知识11.4 实训要求1第2章 实训内容22.1网络总体设计22.2网络详细设计42.3网络管理软件的应用8第3章 实训日记18第4章 实训总结19参考资料20第1章 实训目的与要求1.1 实训目的 本实训要求学生能够对网络进行子网划分，掌握WEB、FTP服务器的组建方法，了解WEB、FTP服务器的用途及测试方法。1.2 实训环境 网络环境下，多媒体计算机一台（每人）。1.3 实训的预备知识 该实训安排在计算机网络基础课程结束后进行，学生已经掌握了

3、一定的网络基础知识。1.4 实训要求实训过程中，要严格遵守实训的时间安排，听从指导教师的指导。正确地完成上述内容，记录实习日记，规范完整地撰写出实训报告。第2章 实训内容2.1 网络总体设计1、背景描述在大学校园中，自己出钱购买计算机的学生越来越多，一幢楼房或同一宿舍往往有很多台计算机。随着学生计算机技术水平的不断提高，多台计算机互连或共享上网成为宿舍网便应运而生，其主要特点有：使相邻宿舍之间的多台电脑连接成局域网，实现 HYPERLINK /incsearch/search.asp?key=%D7%CA%D4%B4 t _blank 资源共享。多台电脑共享上网。各个宿舍或同学间进行信息交流，

4、提高学习效率。可以创建和管理BBS，电子邮件 HYPERLINK /incsearch/search.asp?key=%B7%FE%CE%F1%C6%F7 t _blank 服务器等。学习了电脑知识，丰富了网络实践经验。通过这次寝室楼网络的规划，使学生能在寝室方便的使用个人计算机，通过学生寝室楼网络的规划，使同学们能够在安全有序的环境中享受广袤的网络资源，这不但为学生的生活提供了很大的方便，也使他们在生活中增添了极大的乐趣。享受着信息时代提供的便利。也扩大了学生的视野，让他们在学习和娱乐中懂得知识的无边。带着这种目的，我才开始进行了学生寝室楼网络规划的划分，以达到2、网络拓扑图根据初步构思可以

5、画出学生寝室楼网络规划拓扑图，使其形成一个简单的局域网，为同学的学习生活带来方便。拓扑图主要使用了防火墙、路由器、交换机、服务器等设备，使网络有了一个大体的骨架，通过网线的连接则构成一个简单实用的学生寝室网络，从而为同学们带来方便。如图2.1所示：2.13、网络拓扑说明由INTERNET进入校园网，由校园网进入寝室楼的网络。校园网首先通过寝室楼网络端口处的防火墙，以保证寝室楼内的网络不受病毒和不安全因素干扰。通过路由器与服务器的链接，再与路由器，防火墙链接就可以形成一个简单的学生寝室楼的网络了。2.2网络详细设计1、ip分配1、ip分配网络地址：4IP属于C类: 2、因为网络地址为4 子网掩码

6、为，宾馆要划分出八个子区，因为8=8，所以划分出8个子网就足够满足宾馆的需求。新的子网掩码为243、因此有效主机位为32，所以划分出的8个子区为：1区IP为 452区IP为 673区IP为 8192.168.01094区IP为 10415区IP为 42732、设备选择（1）交换机锐捷RG-S2724G特性， RG-S2724G是 HYPERLINK /Exchange/00717_1.html t _blank 锐捷网络推出新一代高性价比全千兆网管 HYPERLINK /Exchange/00000_1.html t _blank 交换机，具有20 个10/100/1000 RJ45端口和4个

7、Combo (RJ45+SFP)千兆端口，极大的方便了用户使用。RG-S2724G可以根据网络的实际使用环境，实施灵活多样的安全策略，有效防止和控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。RG-S2724G支持巨型帧，具有智能流分类，能提供完善的服务质量（QoS）保证，QoS策略能根据定义对每台主机的数据流进行调度，提供整体化的服务等级设置，有效保证高优先级数据的转发与带宽。RG-S2724G以极高的性价比提供千兆到桌面及千兆到 HYPERLINK /Server/00000_1.html t _blank 服务器的接连，并且可以提

8、供端口聚合、VLAN、组播等应用，最大化满足高速、高效、安全、智能的企业网新需求。如图2.2（2）路由器RG-NBR1200是 HYPERLINK /Router/00717_1.html t _blank 锐捷网络公司针对有多个出口的中型网吧推出的电信级宽带 HYPERLINK /Router/00000_1.html t _blank 路由器。RG-NBR1200采用RISC架构高性能通讯专用网络处理器。固化带有2个百兆以太网WAN口，1个独立的光模块扩展插槽，插上模块就提供了3个WAN口，4个百兆以太网LAN口，一个Console配置口。RG-NBR1200拥有先进的硬件

9、架构，出色的小包转发能力。内置高性能 HYPERLINK /Firewall/00000_1.html t _blank 防火墙，具备防病毒、防攻击能力。丰富的内网安全特性和智能的带宽管理功能。人性化的WEB管理和监控界面。在网吧环境下，NBR1200的最大带机数为250台。1高速稳定的硬件架构采用PowerPC RISC高性能通讯专用网络处理器，内嵌 HYPERLINK /Router/00717_1.html t _blank 锐捷网络自主研发的RGNOS网络操作平台，提供电信级产品的高性能和高稳定性。支持硬件端口镜像功能，不影响网络性能，兼容常见信息监控过滤系统，并且监控口在提供监控功能

10、的同时，还可以继续使用，不会影响任何功能。内置电信级宽频开关 HYPERLINK /Power/00000_1.html t _blank 电源，具有防雷、防过压、防浪涌设计，适应电压不稳定场合。2灵活的内外网应用最多3个百兆WAN口，4个百兆LAN口，所有接口可自动识别网线和交叉线。支持VRRP热备份协议和基于Ping/DNS的线路检测，实现多台设备、多条宽带线路的负载均衡和线路备份。支持基于目的地址或源地址的负载均衡和强大精细化的策略路由。支持电信网通自动选路功能，实现“电信数据自动走电信线路，网通数据自动走网通线路”。支持南方、北方选路策略，实用效果更好。支持采用NAT或公网模式（路由模

11、式）上网。公网模式下，依然支持基本IP限速和弹性带宽限速功能，依然具备防ARP欺骗和防DDoS攻击等安全特性。支持端口映射和DMZ功能，轻松搭建内网 HYPERLINK /Server/00000_1.html t _blank 服务器。支持GRE的VPN功能；支持L2TP/PPTP的VPDN应用；在NAT应用下，支持L2TP/PPTP的穿透功能。3内置高性能 HYPERLINK /Firewall/00000_1.html t _blank 防火墙支持标准和扩展ACL（访问控制列表），可根据指定的IP地址范围、端口范围进行数据包的检测和过滤，可灵活调整 HYPERLINK /Firewall

12、/00000_1.html t _blank 防火墙规则顺序。支持专家ACL和时间ACL。支持域名过滤，阻断对非法、恶意网站的访问。支持内外网防攻击和防IP/端口扫描，可防御目前几乎所有类型的攻击，如：SYN flood，UDP flood，ICMP flood，Smurf/Fraggle攻击，分片报文攻击等。同时可记录攻击主机的地址信息，定位攻击源；也可将内网攻击主机列入黑名单，禁止其上网功能，硬件过滤攻击报文，不占用 HYPERLINK /CPU/00000_1.html t _blank CPU资源。如图2.32.3（3）网线普通网线即可，要根据实际需要，选择不同质量的网线（4）个人计算

13、机也可以按照实际需要来配置所需的计算机3、设备调试（1）交换机配置命令模式用户模式 Switch 特权模式 Switch# 全局模式 Switch(config) 端口模式 Switch(config-if)VLAN配置模式 Switch(config-vlan)GXJ-081407098配置交换机telnet过程：Switchenable 进入特权模式Switch#configure terminal 进入全局模式Switch (config)#interface vlan 1 进入交换机管理接口配置模式Switch (config-if)#no shutdown 开启交换机管理端口Swit

14、ch (config-if)#ip address 配置交换机管理接口IP地址。Switch (config-if)#endSwitch(config)#enable secret level 1 0 star ！配置远程登陆密码 Switch (config)#enable secret level 15 0 star ！配置进入特权模式密码在PC机上TELNET管理交换机：如图2.4（2）Routerenable 进入特权模式Router# configure terminal ！进入全局配置模式Router(config)# interface fastethernet 1/0 ！进入路

15、由器接口配置模式Router(config-if)# ip address ！配置路由器管理接口IP地址Router(config-if)# no shutdown ！开启路由器f 1/0接口Router(config)#show ip interface fastethernet 1/0 ！验证接口fastethernet 1/0的IP地址已经配置和开启Router(config)# line vty 0 4 ！进入路由器线路配置模式Router(config-line)# login ！配置远程登录Router(config-line)# password star ！设置路由器远程登录密

16、码为 “star” Router(config-line)#endRouter(config)# enable secret star ！设置路由器特权模式密码为 “star” 或者 Router(config)# enable password star查看配置文件show version ！查看版本及引导信息show running-config ！查看运行配置show startup-config ！查看用户保存在NVRAM中的配置文件保存配置文件Router#copy running-config startup-config TELNET管理路由器如图2.5在主机DOS命令行下输入：

17、 telnet ，如图2.6输入telnet密码和特权密码即可进入到路由器的配置界面。4、网络安全安全，而且还包含政治和道德安全，或者说网络环网络安全的概念和内涵不仅包含病毒侵入、逻辑炸弹、黑客攻击、信息泄漏等信息境健康。以实际行动把互联网站建设成为传播先进文化的阵地、虚拟社区的和谐家园。当前网络保护要有足够的安全设置，打上最新的操作系统补丁，启用防火墙，安装杀毒软件，不要访问任何钓鱼网站等等，确保个人电脑不被黑客入侵。如果发现有被入侵的异常情况，应该在第一时间内断开网线，然后再进行检测和修复。2.3网络管理软件应用学生寝室楼网络规划管理学生寝室楼网络规划管理包括对硬件、软件和人力的使用、综合

18、与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制，这样就能以合理的价格满足网络的一些需求，如实时运行性能、服务质量等。学生寝室楼网络规划管理常简称为网管。学生寝室楼网络规划管理，是指学生寝室楼网络规划管理员通过学生寝室楼网络规划管理程序对网络上的资源进行集中化管理的操作，包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性及可操作性。而交换机的管理功能是指交换机如何控制用户访问交换机，以及用户对交换机的可视程度如何。通常，交换机厂商都提供管理软件或满足第三方管理软件远程管理交换机。一般的交换机满足SNMP MIB I / MI

19、B II统计管理功能。而复杂一些的交换机会增加通过内置RMON组（mini-RMON）来支持RMON主动监视功能。有的交换机还允许外接RMON探监视可选端口的网络状况。常见的学生寝室楼网络规划管理方式有以下几种：（1）SNMP管理技术（2）RMON管理技术（3）基于WEB的学生寝室楼网络规划管理SNMP是英文“Simple Network Management Protocol”的缩写，中文意思是“简单学生寝室楼网络规划管理协议”。SNMP首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由

20、器管理问题而提出的。SNMP是目前最常用的环境管理协议。SNMP被设计成与协议无关，所以它可以在IP，IPX，AppleTalk，OSI以及其他用到的传输协议上被使用。SNMP是一系列协议组和规范（见下表），它们提供了一种从网络上的设备中收集学生寝室楼网络规划管理信息的方法。SNMP也为设备向学生寝室楼网络规划管理工作站报告问题和错误提供了一种方法。目前，几乎所有的网络设备生产厂家都实现了对SNMP的支持。领导潮流的SNMP是一个从网络上的设备收集管理信息的公用通信协议。设备的管理者收集这些信息并记录在管理信息库（MIB）中。这些信息报告设备的特性、数据吞吐量、通信超载和错误等。MIB有公共的

21、格式，所以来自多个厂商的SNMP管理工具可以收集MIB信息，在管理控制台上呈现给系统管理员。通过将SNMP嵌入数据通信设备，如交换机或集线器中，就可以从一个中心站管理这些设备，并以图形方式查看信息。目前可获取的很多管理应用程序通常可在大多数当前使用的操作系统下运行，如Windows3.11、Windows95 、Windows NT和不同版本UNIX的等。一个被管理的设备有一个管理代理，它负责向管理站请求信息和动作，代理还可以借助于陷阱为管理站提供站动提供的信息，因此，一些关键的网络设备（如集线器、路由器、交换机等）提供这一管理代理，又称SNMP代理，以便通过SNMP管理站进行管理。学生寝室楼

22、网络规划管理是计算机网络的关键技术之一，尤其在大型计算机网络中更是如此。学生寝室楼网络规划管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行，并在计算机网络运行出现异常时能及时响应和排除故障。 关于学生寝室楼网络规划管理的定义目前很多，但都不够权威。一般来说，学生寝室楼网络规划管理就是通过某种方式对网络进行管理，使网络能正常高效地运行。其目的很明确，就是使网络中的资源得到更加有效的利用。它应维护网络的正常运行，当网络出现故障时能及时报告和处理，并协调、保持网络系统的高效运行等。国际标准化组织（ISO）在ISO/IEC7498-4中定义

23、并描述了开放系统互连（OSI）管理的术语和概念，提出了一个OSI管理的结构并描述了OSI管理应有的行为。它认为，开放系统互连管理是指这样一些功能，它们控制、协调、监视OSI环境下的一些资源，这些资源保证OSI环境下的通信。通常对一个学生寝室楼网络规划管理系统需要定义以下内容： 1 系统的功能。即一个学生寝室楼网络规划管理系统应具有哪些功能。 2 网络资源的表示。学生寝室楼网络规划管理很大一部分是对网络中资源的管理。网络中的资源就是指网络中的硬件、软件以及所提供的服务等。而一个学生寝室楼网络规划管理系统必须在系统中将它们表示出来，才能对其进行管理。 3学生寝室楼网络规划管理信息的表示。学生寝室楼

24、网络规划管理系统对网络的管理主要靠系统中学生寝室楼网络规划管理信息的传递来实现。学生寝室楼网络规划管理信息应如何表示、怎样传递、传送的协议是什么?这都是一个学生寝室楼网络规划管理系统必须考虑的问题。即学生寝室楼网络规划管理系统的结构是怎样的。 4 系统的结构（1）WEB防火墙网络架构和部署：双臂代理模式理模式是Web应用防火墙部署种的最佳模式。这个模式也是拓扑过程中推荐的模式，能够提供最佳的安全性能。 在此模式中，所有的数据端口都将被开启；端口eth1是对外的，直接面向因特网的端口；端口eth2将会和内部的设备（交换机等）进行连接，是面向内部的。管理端口可以被分配到另一个网段，我们推荐将管理数

25、据和实际的流量分离，避免因为实际流量和管理数据的冲突。 工作特点：基于应用层的检测，同时又拥有基于状态的网络防火墙的优势 对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化，杜绝各种利用协议漏洞的攻击和权限提升。预期数据的完整知识(Complete Knowledge of expected values)，防止各种形式的SQL/命令注入，跨站式脚本攻击。实时策略生成及执行，根据您的应用程序定义相应的保护策略，而不是千篇一律的厂家预定义防攻击策略，无缝的砌合您的应用程序，不会造成任何应用失真。入侵检测软件应用。入侵的检测主要还是根据应用来进行，提供了相应的服务就应该有相应的检测分

26、析系统来进行保护，对于一般的主机来说，主要应该注意以下几个方面: 1.基于80端口入侵的检测 WWW服务大概是最常见的服务之一了，而且由于这个服务面对广大用户，服务的流量和复杂度都很高，所以针对这个服务的漏洞和入侵技巧也最多。对于NT来说，IIS一直是系统管理员比较头疼的一部分，不过好在IIS自带的日志功能从某种程度上可以成为入侵检测的得力帮手。IIS自带的日志文件默认存放在System32/LogFiles目录下，一般是按24小时滚动的，在IIS管理器中可以对它进行详细的配置。 我们假设一台WEB服务器，开放了WWW服务，你是这台服务器的系统管理员，已经小心地配置了IIS，使用W3C扩展的日

27、志格式，并至少记录了时间(Time)、客户端IP(Client IP)、方法(Method)、URI资源(URI Stem)、URI查询(URI Query)，协议状态(Protocol Status)，我们用最近比较流行的Unicode漏洞来进行分析:打开IE的窗口，在地址栏输入:/scripts/.%c1% 1c./winnt/system32/cmd.exe?/c+dir默认的情况下你可以看到目录列表，让我们来看看IIS的日志都记录了些什么，打开Ex010318.log(Ex代表W3C扩展格式，后面的一串数字代表日志的记录日期):07:42:58 GET /scripts/./winnt

28、/system32cmd.exe /c+dir 200上面这行日志表示在格林威治时间07:42:58(就是北京时间23:42:58)，有一个家伙(入侵者)从的IP在你的机器上利用Unicode漏洞(%c1%1c被解码为“”，实际的情况会因为Windows版本的不同而有略微的差别)运行了cmd.exe，参数是/c dir，运行结果成功(HTTP 200代表正确返回)。 大多数情况下，IIS的日志会忠实地记录它接收到的任何请求(也有特殊的不被IIS记录的攻击，这个我们以后再讨论)。但是，IIS的日志动辄数十兆、流量大的网站甚至数十G，人工检查几乎没有可能，唯一的选择就是使用日志分析软件，用任何语言

29、编写一个日志分析软件(其实就是文本过滤器)都非常简单。 告诉大家一个简单的方法，比方说你想知道有没有人从80端口上试图取得你的Global.asa文件，可以使用以下的命令:find “Global.asa” ex010318.log /i。这个命令使用的是NT自带的find.exe工具，可以轻松的从文本文件中找到你想过滤的字符串，“Global.asa”是需要查询的字符串，ex010318.log是待过滤的文本文件，/i代表忽略大小写。因为我无意把这篇文章写成微软的Help文档，所以关于这个命令的其他参数以及它的增强版FindStr.exe的用法请去查看Win2000的帮助文件。 无论是基于日

30、志分析软件或者是Find命令，你都可以建立一张敏感字符串列表，包含已有的IIS漏洞(比如“+.htr”)以及未来将要出现的漏洞可能会调用的资源(比如Global.asa或者cmd.exe)，通过过滤这张不断更新的字符串表，一定可以尽早了解入侵者的行动。需要提醒的是，使用任何日志分析软件都会占用一定的系统资源，因此，对于IIS日志分析这样低优先级的任务，放在夜里空闲时自动执行会比较合适，如果再写一段脚本把过滤后的可疑文本发送给系统管理员，那就更加完美了。同时，如果敏感字符串表较大，过滤策略复杂，我建议还是用C写一个专用程序会比较合算。 2.基于安全日志的检测 通过基于IIS日志的入侵监测，我们能

31、提前知道窥伺者的行踪(如果你处理失当，窥伺者随时会变成入侵者)，但是IIS日志不是万能的，它在某种情况下甚至不能记录来自80端口的入侵，根据我对IIS日志系统的分析，IIS只有在一个请求完成后才会写入日志，换言之，如果一个请求中途失败，日志文件中是不会有它的踪影的(这里的中途失败并不是指发生HTTP400错误这样的情况，而是从TCP层上没有完成HTTP请求，例如在POST大量数据时异常中断)，对于入侵者来说，就有可能绕过日志系统完成大量的活动。 而且，对于非80 Only的主机，入侵者也可以从其它的服务进入服务器，因此，建立一套完整的安全监测系统是非常必要的。 Win2000自带了相当强大的安

32、全日志系统，从用户登录到特权的使用都有非常详细的记录，可惜的是，默认安装下安全审核是关闭的，以至于一些主机被黑后根本没法追踪入侵者。所以，我们要做的第一步是在管理工具-本地安全策略-本地策略-审核策略中打开必要的审核，一般来说，登录事件与账户管理是我们最关心的事件，同时打开成功和失败审核非常必要，其他的审核也要打开失败审核，这样可以使得入侵者步步维艰，一不小心就会露出马脚。仅仅打开安全审核并没有完全解决问题，如果没有很好的配置安全日志的大小及覆盖方式，一个老练的入侵者就能够通过洪水般的伪造入侵请求覆盖掉他真正的行踪。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天前的日志可以避免上

33、述情况的出现。 除了安全日志，系统日志和应用程序日志也是非常好的辅助监测工具，一般来说，入侵者除了在安全日志中留下痕迹(如果他拿到了Admin权限，那么他一定会去清除痕迹的)，在系统和应用程序日志中也会留下蛛丝马迹，作为系统管理员，要有不放过任何异常的态度，这样入侵者就很难隐藏他们的行踪。 3.文件访问日志与关键文件保护 除了系统默认的安全审核外，对于关键的文件，我们还要加设文件访问日志，记录对它们的访问。 文件访问有很多的选项:访问、修改、执行、新建、属性更改一般来说，关注访问和修改就能起到很大的监视作用。例如，如果我们监视了系统目录的修改、创建，甚至部分重要文件的访问(例如cmd.exe，

34、net.exe，system32目录)，那么，入侵者就很难在不引起我们注意的情况下安放后门。要注意的是，监视的关键文件和项目不能太多，否则不仅增加系统负担，还会扰乱日常的日志监测工作。关键文件不仅仅指的是系统文件，还包括有可能对系统管理员和其他用户构成危害的任何文件，例如系统管理员的配置、桌面文件等等，这些都是有可能被用来窃取系统管理员资料和密码的。 4.进程监控 进程监控技术是追踪木马后门的另一个有力武器，90%以上的木马和后门是以进程的形式存在的。作为系统管理员，了解服务器上运行的每个进程是职责之一(否则不要说安全，连系统优化都没有办法做)。做一份每台服务器运行进程的列表非常必要，能帮助管

35、理员一眼就发现入侵进程，异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外，dll也是危险的东西，例如把原本是exe类型的木马改写为dll后，使用rundll32运行就比较具有迷惑性。 5.注册表校验 一般来说，木马或者后门都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。一般来说，如果一个入侵者只懂得使用流行的木马，那么由于普通木马只能写入特定的几个键值(比如Run、Runonce等等)，查找起来是相对容易的，但是对于可以自己编写或改写木马的人来说，注册表的任何地方都可以藏身，靠手工查找就没有可能了。应对的方法是监控注册表的任何改动，这样改写注册表的木马

36、就没有办法遁形了。监控注册表的软件非常多，很多追查木马的软件都带有这样的功能，一个监控软件加上定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复。 6.端口监控 虽然说不使用端口的木马已经出现，但是大部分的后门和木马还是使用TCP连接的，监控端口的状况对于由于种种原因不能封锁端口的主机来说就是非常重要的了。对于系统管理员来说，了解自己服务器上开放的端口甚至比对进程的监控更加重要，常常使用netstat查看服务器的端口状况是一个良好的习惯，但是并不能24小时这样做，而且NT的安全日志有一个缺陷，喜欢记录机器名而不是IP，如果你既没有防火墙又没有入侵检测软件，倒是可以用

37、脚本来进行IP日志记录的，看着这个命令：netstat -n -p tcp 10Netstat.log，这个命令每10秒钟自动查看一次TCP的连接状况，基于这个命令我们做一个Netlog.bat文件：time /tNetstat.log Netstat -n -p tcp 10Netstat.log。这个脚本将会自动记录时间和TCP连接状态，需要注意的是：如果网站访问量比较大，这样的操作是需要消耗一定的CPU时间的，而且日志文件将越来越大，所以请慎之又慎。7.终端服务的日志监控 单独将终端服务(Terminal Service)的日志监控分列出来是有原因的，微软Win2000服务器版中自带的终

38、端服务Terminal Service是一个基于远程桌面协议(RDP)的工具，它的速度非常快，也很稳定，可以成为一个很好的远程管理软件，但是因为这个软件功能强大而且只受到密码的保护，所以也非常的危险，一旦入侵者拥有了管理员密码，就能够像本机一样操作远程服务器。虽然很多人都在使用终端服务来进行远程管理，但是，并不是人人都知道如何对终端服务进行审核。大多数的终端服务器上并没有打开终端登录的日志。其实打开日志审核是很容易的，在管理工具中打开远程控制服务配置(Terminal Service Configration)，点击“连接”，右击你想配置的RDP服务(比如RDP-TCP Microsoft R

39、DP 5.0)，选中书签“权限”，点击左下角的“高级”，看见上面那个“审核”了么?我们来加入一个Everyone组，这代表所有的用户，然后审核它的“连接”、“断开”、“注销”的成功和“登录”的成功和失败就足够了。审核太多了反而不好，这个审核是记录在安全日志中的，可以从“管理工具”“日志查看器”中查看。建立一个bat文件，叫做TSLog.bat。这个文件用来记录登录者的IP，内容如下：time /t TSLog.log netstat -n -p tcp find “:3389”TSLog.logstart Explorer。我来解释一下这个文件的含义：第一行是记录用户登录的时间，time /t

40、的意思是直接返回系统时间(如果不加/t，系统会等待你输入新的时间)，然后我们用追加符号“”把这个时间记入TSLog.log作为日志的时间字段；第二行是记录用户的IP地址，netstat是用来显示当前网络连接状况的命令，-n表示显示IP和端口而不是域名、协议，-ptcp是只显示tcp协议，然后我们用管道符号“”把这个命令的结果输出给find命令，从输出结果中查找包含“3389”的行(这就是我们要的客户的IP所在的行，如果你更改了终端服务的端口，这个数值也要作相应的更改)。最后我们同样把这个结果重定向到日志文件TSLog.log中去，于是在TSLog.log文件中，记录格式如下：22:40 TCP

41、8:3389 23:4903ESTABLISHED 22:54 TCP8:338 9:1039ESTABLISHED 也就是说只要这个TSLog.bat文件一运行，所有连在3389端口上的IP都会被记录，那么如何让这个批处理文件自动运行呢?我们知道，终端服务允许我们为用户自定义起始的程序，在终端服务配置中，我们覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本，这样每个用户登录后都必须执行这个脚本，因为默认的脚本(相当于shell环境)是Explorer(资源管理器)，所以我在TSLog.bat的最后一行加上了启动Explorer的命令start Explorer。如果不

42、加这一行命令，用户是没有办法进入桌面的!当然，如果你只需要给用户特定的shell，例如:cmd.exe或者word.exe你也可以把start Explorer替换成任意的shell。这个脚本也可以有其他的写法，作为系统管理员，你完全可以自由发挥你的想象力、自由利用自己的资源，例如，写一个脚本把每个登录用户的IP发送到自己的信箱，对于重要的服务器也是一个很好的方法。正常情况下一般的用户没有查看终端服务设置的权限，所以他不会知道你对登录进行了IP审核，只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了。不过，需要注意的是这只是一个简单的终端服务日志策略，并没有太多的

43、安全保障措施和权限机制。如果服务器有更高的安全要求，那还是需要通过编程或购买入侵监测软件来完成的。 入侵监测的初步介绍就到这里，在实际运用中，系统管理员对基础知识掌握的情况直接关系到他的安全敏感度，只有身经百战知识丰富，仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子，未雨绸缪，阻止入侵的行动。360安全卫士软件安装一、 在保存下载软件的路径中找到你所下载的软件，双击图标进行安装。注意：若下载的软件是.EXE的安装文件,则可以直接进行安装；若下载文件是RAR的压缩文件，先进行解压缩后，再进行安装。解压缩的方法是（如下图）：右键点击文件后，选择解压文件。如果您还没有安装解压缩文件而无

44、发解压文件，请先 HYPERLINK /soft/23.html t _blank 下载解压缩文件安装。如图2.12. 1二、 选择“我同意该许可协议条款”后，进行下一步安装。如图2.2 2. 2三、 选择软件安装的盘符，通常选择D盘最为我们软件的安装盘符。选择“下一步”安装。 如图2.32.3四、 软件安装过程，此过程会需要1-2分钟的时间。如图2.4 2.4五、 安装完成，确认后退出安装程序。如图2.5 2. 5(2)计费管理(accounting management) 计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网

45、络资源可能需要的费用和代价,以及已经使用的资源。学生寝室楼网络规划管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络 资源。这也从另一方面提高了网络的效率。另外,当用户为了一个通信目的需要使用多个网络中的资源时,计费管理应可计算总计费用。 (3)配置管理(configuration management) 配置管理同样相当重要。它初始化网络、并配置网络,以使其提供网络服务。配置管理 是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能,目的是为了 实现某个特定功能或使网络性能达到最优。这包括: a)设置开放系统中有关路由操作的参数 b)被管对象和被管对象组名字的

46、管理 c)初始化或关闭被管对象 d)根据要求收集系统当前状态的有关信息 e)获取系统重要变化的信息 f)更改系统的配置 (4) HYPERLINK /view/642701.htm t _blank 性能管理(performance management) 性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。一些典型的功能包括: a)收集统计信息 b)维护并检查系统状态日志 c)确定自然和人工状况下系

47、统的性能 d)改变系统操作模式以进行系统性能管理的操作 (5) HYPERLINK /view/297227.htm t _blank 安全管理(security management) 安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题:网络数据的私有性(保护网络数据不被侵 入者非法获取),授权(authentication)(防止侵入者在网络上发送错误信息),访问控制(控制访问控制(控制对网络资源的访问)。相应的,网络安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理,另外还要维护和检查安全日志。包括: a)创建

48、、删除、控制安全服务和机制 b)与安全相关信息的分布 c)与安全相关事件的报告学生寝室楼网络规划管理中的关键 网络迅速发展，导致网络结构更为复杂；网络应用的日新月异，让学生寝室楼网络规划管理员每天都要面对新的问题。很多企事业单位，在遇到网络问题不知道应该如何去解决，看流量，拔网线等手段，排查周期长，也很难真正找出问题。 网络发展到一定阶段，必然要考虑到网络性能、网络故障与网络安全性问题。只有通过运用网络分析技术对网络流通数据的清晰认识，才能为故障的排查，性能的提升，以及网络安全的解决提供可靠的数据.第3章 实训日记时间任务第1单元分组及公布实训题目，布置任务第2-3单元通过网络或图书获得所采用

49、技术的功能第4-6单元通过网络或图书获得所采用技术的详细步骤及相关代码第7-8单元实验室调试所采用的技术并抓图第9-10单元根据总体设计划出拓扑图（可上网查询）第10-12单元根据拓扑图对所用设备，材料的选择并预算，并生成表格（需上网查询）第13-14单元查询与实训相关资料，准备论文内容第15-16单元生成实训说明书（论文）第4章 实训总结在大学校园中，自己出钱购买计算机的学生越来越多，一幢楼房或同一宿舍往往有很多台计算机。随着学生计算机技术水平的不断提高，多台计算机互连或共享上网成为一种时尚，随着学生上网的需求越来越大，所以我才着手这个学生宿舍寝室楼网络规划。首先我通过上网、去图书馆查阅了大

50、量的资料，通过请教老师和同学积累了不少关于计算机网络的知识。通过一段时间的准备工作后，才开始着手学生寝室楼的网络划分。我先是按照实际情况和实际条件画出了网络规划的大致草图，然后才开始着手进行实际的工作之中。在进行划分的时候遇到了不少的问题，就这样在我做做停停的情况下，经历了好长时间才完成了这个学生寝室楼网络规划。在画出拓扑图以后，我开始划分IP、选购设备没，并且根据实际情况，运用了防火墙、交换机、服务器、路由器等大型的设备，使其构成一个简单的网络。整个网络通过交换机、路由器、服务器的使用，使其具备了普通网络所拥有的功能和作用。在网络规划中，我不但应用了大型硬件设施，还有各种安全软件，使自己的计

51、算机网络有一个比较安全，稳定的环境。让其在这种安全稳定的环境之中发挥了最大的效益。也是它构成一个简单的局域网络。在此次网络划分中，我还运用了集中网络管理办法，使网络管理员更简单、方便的管理整个寝室楼内的网络通过这次寝室楼网络的规划，使学生能在寝室方便的使用个人计算机，通过学生寝室楼网络的规划，使同学们能够在安全有序的环境中享受广袤的网络资源，这不但为学生的生活提供了很大的方便，也使他们在生活中增添了极大的乐趣。享受着信息时代提供的便利。也扩大了学生的视野，让他们在学习和娱乐中懂得知识的无边。总之，这次的实训给予了我不同的学习方法和体验，让我深切的认识到实践的重要性。此次课设使我对计算机网络划分

52、有了更深刻理解和认识，也充分的证明了自己对这一学科知识的掌握还不够熟练，因此在以后的学习过程中，我会更加注重自己的操作能力和应变能力，多与这个社会进行接触，让自己更早适应这个陌生的环境. 参考资料1 骆耀祖. 计算机网络实用教程. 机械工业出版社,2005年1月2 张金菊, 孙学康. 现代通信技术. 人民邮电出版社，2005年3月3 姚幼敏. 组网技术实训教程. 华南理工大学出版社，2005年9月4 张金菊 孙学康. 现代通信技术. 人民邮电出版社. 2005年3月5 吴功宜.计算机网络教程.电子工业出版社,2003年7月6 李劲. Windows 2000 Server网络管理手册. 中国青

53、年出版社, 2001年7 王相林.网技术与配置. 北京:清华大学出版社，2003年8 石硕. 计算机组网技术. 北京:机械工业出版社，2003年9 蒋先华等. 校园网络组建与应用. 北京:科学出版社, 2003年10 宋利军. RedHat Linux9.0实用教程. 北京:科学出版社, 2003年11 东方人华, 倪文志，杭志等. 局域网组建、配置与管理入门与提高. 北京:清华大学出版社,2003年12 刘敏涵, 王存祥. 计算机网络技术. 西安:西安电子科技大学出版社,2003年13 杨云江. 计算机与网络安全实用技术. 清华大学出版社， 2007 年14 吴企渊等.计算机网络. 清华大学

54、出版社， 2004 年 1 月15 闫宏生. 计算机网络安全与防护. 电子工业出版社， 2007 年 8 月附录资料：从 XML 生成可与 Ajax 共同使用的 JSON时下，非常流行使用 JavaScript 代码为数据驱动的 Web 应用程序添加互动性。若能将数据编码成 JavaScript Object Notation（JSON）的格式，您就可以更轻松地通过 JavaScript 语言使用它。通过本文，发掘使用 XSLT V2 从 XML 数据生成 JSON 的几种不同方法。几年前，许多开发人员很看好 XML、XSLT、Extensible HTML （XHTML）和其他一些基于标记的

55、语言。现在，Asynchronous JavaScript and XML（AJAX）成了新的热点，人们又将目光转向了使用 JavaScript 代码的数据驱动的富 Internet 应用程序。但是开发人员是否已经消除了 XML 和这一新技术之间的鸿沟呢？当然，您可以在 Web 客户机中使用 XML 解析器来读取数据，但这种做法会带来两个问题。第一，出于安全方面的原因，XML 数据只能从与此页面相同的那个域中读取。这虽然不是什么大的限制因素，但它的确会引起部署方面的问题，还会阻碍 DHTML 小部件的创建。第二，读取和解析 XML 会非常慢。另一种做法是让服务器执行 XML 的解析工作，方法是

56、设置服务器，使之向浏览器发送以 JavaScript 代码或时下流行的 JavaScript Object Notation（JSON）编码的数据。本文将展示如下三种使用 XSLT V2 语言和 Saxon XSLT V2 处理器从 XML 数据生成 JSON 的技巧： 简单编码 通过函数调用加载数据 编码对象 JSON 简介要学习如何将数据编码成 JSON（它只是 JavaScript 的一个子集），最好的方法是从数据开始。清单 1 显示了书籍列表的一个示例 XML 数据集。清单 1. 基本的图形化图书馆 Code Generation in Action JackHerrington Ma

57、nning PHP Hacks JackHerrington OReilly Podcasting Hacks JackHerrington OReilly 这个数据集很简单，只包含三本书，每本书都具有惟一的 ID、书名、作者姓名及出版商的名字。（没错，我只选择了我自己的书作为数据集，但能怨我吗？这些书实在是不可多得的节日和生日礼物。）清单 2 显示了这些数据在 JSON 中的效果。清单 2. JSON 中的示例数据集 id: 1, title: Code Generation in Action, first: Jack, last: Herrington, publisher: Manni

58、ng , . 方括号 () 表明这是一个数组。大括号 () 则表明这是一个散列表，该散列表由一组名称和值对组成。在本例中，我创建了一个散列表的数组 用来存储这类结构式数据的一种常见方法。另外一点值得注意的是字符串是通过单引号或双引号被编码的。所以，如果我想用单引号编码 OReilly，我就必须使用反斜杠对它进行转义：OReilly。 这让我编写的这个 XSLT 样式表更为有趣了一些。我并未在本例中放上任何日期，但您也可以通过如下两种方法来编码日期。第一种方法是将日期作为字符串，该字符串必须在后面被解析。第二种方法是将日期作为一个对象，比如：publishdate: new Date( 2006

59、, 6, 16, 17, 45, 0 )这段代码将 publishdate 的值设置为6/16/2006 5:45:00 p.m.。简单编码接下来我将陆续介绍 JSON 编码的几种技巧。第一种也是其中最简单的一种，此样式表如 清单 3 所示。清单 3. simple.xsl 样式表 var g_books = 1, id: ,name: ,first: ,last: ,publisher: ;要理解此样式表，不妨先来看一下 清单 4 所示的输出。清单 4. simple.xsl 的输出var g_books = id: 1,name: Code Generation in Action,fir

60、st: Jack,last: Herrington,publisher: Manning, id: 2,name: PHP Hacks,first: Jack,last: Herrington,publisher: OReilly, id: 3,name: Podcasting Hacks,first: Jack,last: Herrington,publisher: OReilly;这里，我将名为 g_books 的变量设置为一个包含三个散列表的数组，每个散列表包含关于该书的信息。再回过头来看看 清单 3，您会发现第一个模板匹配 / 路径，它也是首先应用到输入数据集的模板，该模板使用 for