《构建中小型企业网络》实习报告文件Word文档

PAGE37-重庆*******＊＊＊学院＊**＊＊学院《构建中小企业网络》实习报告专业班级学号姓名实验室成绩评定指导老师2010年8月11日

目录TOC\o”1—3”\h\z\u_Toc269290846"3总体设计 -5—HYPERLINK\l”_Toc269290847”3.1网络拓扑结构 -5-HYPERLINK\l”_Toc269290848"3。2网络结点规模 -5-HYPERLINK\l”_Toc269290849”3.3网络服务 -6-3.4Internet接入方式 —6-4、IP地址及名字空间规划 -9-HYPERLINK\l”_Toc269290852"4.1IP地址分配 -9-_Toc269290854”5布线及通信设备选型 —12-HYPERLINK\l”_Toc269290855"5。1网络布线设计 -12-HYPERLINK\l”_Toc269290856"5.2通信设备选型 -13—_Toc269290858”5。3.1核心交换机配置清单 —14—_Toc269290860”5.3。3路由器配置清单 -15-HYPERLINK\l”_Toc269290861"6。1服务器操作系统安装 -17-_Toc269290864"6.4WWW服务配置 -29—HYPERLINK\l”_Toc269290865”6。5DNS服务配置 —29—HYPERLINK\l”_Toc269290866”6.6FTP服务配置 -31-7网络安全设计 -33—HYPERLINK\l”_Toc269290868”7。1网络整体安全设计 -33-HYPERLINK\l”_Toc269290869"7。2服务器安全设计 -35-HYPERLINK\l”_Toc269290870"7.3用户计算机安全设计 -36—的网络，是将来可演进到FTTH的网络。它同样是新建区和重建区最经济的网络建设方案。这种网络结构的一个缺点是需要提供铜线供电系统.一个位于局端的远程供电系统能给50到100个路边光网络单元供电、每个路边节点采用单独的供电单元代价非常高而且在持久停电时不能满足长期业务要求。作为提供光纤到家的最终网络形式,FTTH去掉了整个铜线设施：馈线、配线和引入线。对所有的宽带应用，这种结构是最健壮和长久的未来解决方案。它还去掉了铜线所需要的所有维护工作并大大延长了网络寿命。网络的连接末端是用户住宅设备。在用户家里，需要一个网络终接设备将带宽和数据流转换成可接收的视频信号（NTSC或PAL制）或数据连接（10兆以太网)。有两种设备可采用非对林数字用户线（ADSL和G.Lite调制解调器（用于数据业务和INTERNET接入）或处理宽带的VDSL住宅同关(用于视频和数据业务)。与局端HDT一样住宅网关(RG）设备是家庭内所有业务的接太平台.它提供网络连接以及将所有业务分配给住宅的各个网元。RG设备是所有网络结构（包括FTTNFTTC和FTTH)的网络接口，因此它能适应各种配置的平滑过渡。步骤：⑴在客户端使用普通的路由器（例如华为2621)串行接口与客户端光纤Modem相连；⑵客户端光纤Modem通过光纤直接与离客户端最近的城域网节点的光纤Modem相连；⑶最后通过ISP公司的骨干网出口接入到Internet。使用范围：不同的光纤接入技术有不同的适用场合。有源光接入技术适用带宽需求大、对通信保密性高的企事业单位的接入。它也可以用在接入网的馈线段和配线段，并与基于无线或铜线传输的其他接入技术混合使用。ATM-PON既可以用来解决企事业用户的接入,也可以解决住宅用户的接入。有的运营商利用“ATM—PON+xDSL”混合接入方案,解决住宅用户或企事业用户的宽宽带接入。窄带PON主要面向住宅用户，也可用来解决中小型企事业用户的接入。另外,PON的服务范围不超过20公里，但通过“有源光网络+无源光网络”混合组网方案，可弥补该弊端.方式:光纤接入能够确保向用户提供10MBPS，的高速带宽，可直接汇接到CHINANET骨干结点。主要适用于商业集团用户和智能化小区局域网的高速接入INTERNET高速互联。目前可向用户提供三种具体接入方式。光纤直接接入：是为有独享光纤高速上网需求的大企事业单位或集团用户提供的,传输带宽2M—155M不等.业务特点：可根据用户群体对不同速率的需求，实现高速上网或企业局域网间的高速互联。同时由于光纤接入方式的上传和下传都有很高的带宽，尤其适合开展远程教学、远程医疗、视频会议等对外信息发布量较大的网上应用.适合的用户群体：居住在已经或便于进行综合布线的住宅、小区和写字楼的较集中的用户；有独享光纤需求的大企事业单位或集团用户。

4、IP地址及名字空间规划4.1IP地址分配职工宿舍每层20个房间，每个房间设计为两个信息点，其中一个为冗余备份.所有职工宿舍共计720个信息点。楼部门子网掩码IP段网关备注办公楼二层销售部255.255。255。0192.222.192。15—446个房间30个信息点技术部255。255。255.0192.222。192.45-51192。222。192。14个房间7个信息点后勤部255。255。255。0192。222.192.52—57192.222。192.12个房间6个信息点质检部255。255。255.0192。222.192.58—60192.222。192.11个房间3个信息点信息部192。222.192。61—64192.222。192.12个房间4个信息点办公室三楼总经理办公室192。222。192.65192.222。192。11个房间1个信息点副总经理办公室255.255.255。0192。222.192.66—70192.222。192.12个房间2个信息点人事部255。255.255。0192.222。192.71—74192。222.192.11个房间3个信息点财务部255。255.255.0192。222.192。75—77192。222。192.11个房间2个信息点行政部255.255.255。0192。222。194.2-7192.222。194.12个房间6个信息点255。255。255.0192.222。194。8—27192.222。194.1会议室一预留20个信息点255。255。255。0192。222。194.28—47192。222.194.1会议室二预留20个信息点制造一楼生产车间255。255。255。0192。222.194。48-5710信息点制造二楼开放式办公室255.255.255。0192。222.194.58-157192。222.194.1100个信息点女职工宿舍一楼255。255.255。0192.222。195.2—41192.222。195。1每层楼20个房间40个信息点二楼255。255.255。0192.222。195。42-81192.222。195。1三楼255。255。255.0192.222.195。82—121192。222。195.1四楼255.255。255.022—161192.222。195。1五楼255.255。255。0192。222.195。162—201192。222。195.1六楼192。222。195.202—241192。222.195.1男职工宿舍一楼255.255。255。0192。222.196.2-41192。222.196.1每层楼20个房间40个信息点二楼255。255.255.0192。222.196。42-81192。222。196。1三楼255.255。255.0192。222.196.82—121192.222。196。1四楼192。222。196。122-161192.222。196.1五楼255。255.255。0192.222。196。162—201六楼255.255。255.002-241192。222。196。14.2域名规划重庆机械制造有限公司2010年部门计算机数量计算机名总经理办公室1副总经理21。—2.行政部601。—06.人事部301.—03.信息部401。质检部301。—03。后勤部601.—06。技术部701.—07。财务部501。—05.市场部1301。—13。销售部3001.生产车间11001。男职工宿舍24001.女职工宿舍24001.—240。在“我的电脑”上右击，选择“属性"，选择“计算机名”标签，然后把计算机名字改成你的名字，然后重启电脑。重复第一步，在更改计算机名字那里,选择“域”,域的名称写“”，点击“确定”，在弹出的对话框中。用户名和密码都是大家的姓名全拼，如果不能加入，先打电话联系网管，默认情况下账号是还没开放的.成功加入域后，重启电脑，第一登陆,在登陆界面那里选“选项"，然后在“登录到”那里选“cajixie2010”,用户名和密码用刚才加入域的用户名和密码。5布线及通信设备选型5。1网络布线设计5。2通信设备选型核心层型号CISCOWS-C3560G-24TS-S数量1汇聚层型号CISCOWS—C2960—24TT-L数量4接入层型号CISCOWS-CE500-24TT数量2024端口部门级交换机10Mbps/100Mbps/1000Mbps支持全双工路由器型号CISCO2821数量15.3设备配置清单5。3.1核心交换机配置清单EnConfterVlan11Intvlan11Ipaddress192。222.196.0255。255.255。0intrangefastethernet0/13—24switchportaccessvlan2switchportaccessvlan11interfacefa1/0ipaddress192。222.196。1//设置端口IPipnatinside//起用NATnoshutdownipnatpoolnet20192。222。196。1210。10。18。1netmask255。255。255.0typerotaryipnatpoolnet30192。222。196。1netmask255。255.255.0typerotaryipnatinsidesourcelist1poolnet20ipnatinsidesourcelist2poolnet30access—list1permit192。222.196。00.0.0。255access—list2permit192.222。196.00。0。0。255end5.3.2汇聚层交换机配置清单envlan1vlan2intrangefastethernet0/1-225switchportaccessvlan2switchportaccessvlan2interfacevlan1ipaddress192.222.1。1interfacevlan2ipaddress192。222。2.1end5.3.3路由器配置清单hostnameR0

!

isdnswitch—typebasic—net3

!

ipsubnet-zero

noipdomain-lookup

iprouting

!

interfaceEthernet0

ipaddress192。222.196.1255.255。255。0

ipnatinside

noshutdown

！

interfaceS0

shutdown

nodescription

noipaddress

！

interfaceS1

shutdown

nodescription

noipaddress

！

interfacebri0

ipaddressnegotiated

ipnatoutside

encapsulationppp

pppauthenticationpapcallin

pppmultilink

dialer—group1

dialerhold-queue10

dialerstring2633

dialeridle-timeout120

ppppapsent-username263password263

nocdpenable

noipsplit-horizon

noshutdown

!

ipclassless

!

！StaticRoutes

！

iproute0.0.0。00.0。0.0bri0

!

！AccessControlList2

!

access—list2permitany

!

dialer—list1protocolippermit

!

！DynamicNAT

!

ipnatinsidesourcelist2interfacebri0overload

snmp—servercommunitypublicro

！

lineconsole0

exec—timeout00

！

linevty04

!

end

6服务器操作系统及常用服务配置6.1服务器操作系统安装一、准备工作:

1。准备好Windows

Server

2003

Standard

Edition简体中文标准版版安装光盘。

2.可能的情况下，在运行安装程序前用磁盘扫描程序扫描所有硬盘检查硬盘错误并进行修复，否则安装程序运行时如检查到有硬盘错误即会很麻烦。

3.用纸张记录安装文件的产品密匙(安装序列号）。

4。如果你未安装过Windows

2003系统，而现在正使用XP/2000系统，建议用驱动程序备份工具（如:驱动精灵）将WindowsXP/2000系统下的所有驱动程序备份到硬盘上（如∶Frive）。备份的WindowsXP/2000系统驱动程序可以在Windows2003系统下使用.

5。如果你想在安装过程中格式化C盘或D盘(建议安装过程中格式化用于安装2003系统的分区)，请备份C盘或D盘有用的数据。

6.导出电子邮件帐户和通信簿;

将“CocumentsandSettingsAdministrator（或你的用户名）”中的“收藏夹”目录复制到其它盘，以备份收藏夹；可能的情况下将其它应用程序的设置导出。

7.系统要求——--—对基于x86的计算机：建议使用一个或多个主频不低于550MHz(支持的最低主频为133MHz)的处理器.每台计算机最多支持8个处理器，建议使用Intel

Pentium/Celeron系列、AMD

K6/Athlon/Duron系列或兼容的处理器。建议最少使用128MB的RAM，最大支持32GB。对基于Itanium体系结构的计算机：使用一个或多个主频不低于733MHz的处理器。每台计算机最多支持8个处理器。RAM最小为1GB，最大为64GB。硬盘可用空间，在基于x86的计算机上，该空间大约为1。25GB到2GB，在基于Itanium体系结构的计算机上,该空间大约为3GB到4GB,如果您通过网络而不是CD-ROM运行安装程序，或者从FAT或FAT32分区执行升级（推荐使用NTFS文件系统),那么将需要更大的磁盘空间。二、用光盘启动系统：(如果你已经知道方法请转到下一步),重新启动系统并把光驱设为第一启动盘，保存设置并重启。将2003安装光盘放入光驱,重新启动电脑。刚启动时，当出现如下图1所示时快速按下回车键,否则不能启动2003系统安装。三、安装WindowsServer2003。从光盘读取启动信息，很快出现如下图所示。全中文提示，“要现在安装Windows，请按ENTER”,按回车键。许可协议，这里没有选择的余地，按“F8”。这里用“向下或向上"方向键选择安装系统所用的分区,我这里准备用C盘安装2003，并准备在下面的过程中格式化C盘。选择好分区后按“Enter”键回车，安装程序将检查C盘的空间和C盘现有的操作系统。上图表示安装程序检测到C盘已经有操作系统存在,提出警告信息。如果你选择安装系统的分区是空的。在这里我坚持用C盘安装系统，根据提示，按下键盘上的“C”键后出现如下图所示.上图最下方提供了5个对所选分区进行操作的选项，其中“保存现有文件系统(无变化)”的选项不含格式化分区操作,其它都会有对分区进行格式化的操作。这里,我用“上移”箭头键选择“用NTFS文件系统格式化磁盘分区”。回车后出现格式化C盘的警告。确定要格式化C盘后，按“F”键，安装程序将开始格式化C盘，格式化过程如下图所示。只有用光盘启动安装程序,才能在安装过程中提供格式化分区选项；如果用MS—DOS启动盘启动进入DOS下，运行i386winnt。exe进行安装时,安装Windows2003过程没有格式化分区选项。格式化C分区完成后,创建要复制的文件列表，跟接着开始复制系统文件.文件复制完后，安装程序开始初始化Windows配置.初始化Windows配置完成后，系统将在15秒后重新启动。这部分安装程序已经完成，系统将会自动在15秒后重新启动，将控制权从安装程序转移给系统。这时要注意了,建议在系统重启时将硬盘设为第一启动盘（不改变也可以）。重新启动后，首次出现WindowsServer2003启动画面。区域和语言设置选用默认值就可以了，直接点“下一步”按钮.这里输入你想好的姓名(用户名)和单位，点“下一步”按钮。如果你没有预先记下产品密钥（安装序列号)就麻烦了!这里输入安装序列号,点“下一步”按钮。(接数"并更改数值(10人内免费)。否则你随便选啦,反正差别不大，点“下一步"按钮。安装程序自动为你创建又长又难看的计算机名称,自己可任意更改，输入两次系统管理员密码，请记住这个密码,Administrator系统管理员在系统中具有最高权限.密码长度少于6个字符时会出现如下图所示的提示信息。点击“是”继续安装。日期和时间设置不用讲,选北京时间，点“下一步”继续安装,复制文件、安装网络系统。上图中安装网络系统。让你选择网络安装所用的方式，选“典型设置"就行，然后点“下一步"出现如下图。点“下一步"继续安装,到这里后就不用你参与了,系统会自动完成全过程。安装完成后自动重新启动，出现启动画面，然后出现欢迎画面。上图中，需要按组合键“Ctrl+Alt+Delete”才能继续启动,在XP中此功能默认是关闭的。按组合键“Ctrl+Alt+Delete"后继续启动，出现登陆画面。桌面上除了回收站和语言栏外，空白一片。空白一片好做文章啊！四、安装系统后WindowsServer2003简体中文版安装时，默认安装了InternetExplorer增强的安全设置，默认关闭了声音，默认没有开启显示和声音的硬件加速。这样你上网时大部分网站不能打开，系统无声，播放电影和音乐迟钝.同时默认要按Ctrl+Alt+Delete组合键登录，默认开启了关机事件跟踪6.2服务器操作系统常用配置运行WindowsServer2003的独立服务器成为网络的DNS服务器。第一步，为该服务器分配一个静态Internet“协议（IP）”地址。DNS服务器不应该使用动态分配的IP地址，因为地址的动态更改会使客户端与DNS服务器失去联系.第1步:配置TCP/IP打开网络连接，然后使用右键查看本地连接的属性。选择Internet协议(TCP/IP)。查看其属性。单击常规选项卡.选择“使用下面的IP地址”，然后在相应的框中键入IP地址、子网掩码和默认网关地址。选中高级选项中的DNS选项卡。单击附加主要的和连接特定的DNS后缀.单击以选中附加主DNS后缀的父后缀复选框。单击以选中在DNS中注册此连接的地址复选框。注意，运行WindowsServer2003的DNS服务器必须将其DNS服务器指定为它本身。如果该服务器需要解析来自它的Internet服务提供商(ISP)的名称，您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。单击确定三次。备注：如果收到一个来自DNS缓存解析器服务的警告，单击“确定”关闭该警告。缓存解析器正试图与DNS服务器取得联系，但您尚未完成该服务器的配置第2步：安装MicrosoftDNS服务器单击开始,指向控制面板，然后单击添加或删除程序.单击“添加或删除Windows组件”.在组件列表中，单击网络服务（但不要选中或清除该复选框），然后单击详细信息。单击以选中域名系统（DNS)复选框，然后单击确定。单击下一步。得到提示后，将WindowsServer2003CD-ROM插入计算机的CD—ROM或DVD-ROM驱动器。安装完成时,在完成Windows组件向导页上单击完成。单击关闭关闭添加或删除程序窗口。第3步:配置DNS服务器要使用Microsoft管理控制台(MMC）中的DNS管理单元配置DNS，请按照下列步骤操作:单击开始，指向程序,指向管理工具,然后单击DNS.右击正向搜索区域,然后单击新建区域。当“新建区域向导"启动后，单击下一步。接着将提示您选择区域类型。区域类型包括：主要区域：创建可以直接在此服务器上更新的区域的副本.此区域信息存储在一个。dns文本文件中。辅助区域：标准辅助区域从它的主DNS服务器复制所有信息。主DNS服务器可以是为区域复制而配置的ActiveDirectory区域、主要区域或辅助区域。注意，您无法修改辅助DNS服务器上的区域数据。所有数据都是从主DNS服务器复制而来。存根区域：存根区域只包含标识该区域的权威DNS服务器所需的资源记录。这些资源记录包括名称服务器（NS)、起始授权机构（SOA)和可能的glue主机(A）记录.ActiveDirectory中还有一个用来存储区域的选项。此选项仅在DNS服务器是域控制器时可用。新的正向搜索区域必须是主要区域或ActiveDirectory集成的区域，以便它能够接受动态更新。单击主要，然后单击下一步.新区域包含该基于ActiveDirectory的域的定位器记录。区域名称必须与基于ActiveDirectory的域的名称相同，或者是该名称的逻辑DNS容器.例如，如果基于ActiveDirectory的域的名称为“"，那么有效的区域名称只能是“”.接受新区域文件的默认名称，单击下一步。如何移除根DNS区域运行WindowsServer2003的DNS服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存，然后检查它的区域记录,接下来将请求发送到转发器，最后使用根服务器尝试解析。默认情况下，MicrosoftDNS服务器连接到Internet以便用根提示进一步处理DNS请求。当使用Dcpromo工具将服务器提升为域控制器时，域控制器需要DNS。如果在提升过程中安装DNS，会创建一个根区域。这个根区域向您的DNS服务器表明它是一个根Internet服务器.因此，您的DNS服务器在名称解析过程中并不使用转发器或根提示。单击开始，指向管理工具，然后单击DNS。展开ServerName,其中ServerName是服务器的名称，单击属性，然后展开正向搜索区域。右击"。"区域，然后单击删除。如何配置转发器WindowsServer2003可以充分利用DNS转发器.该功能将DNS请求转发到外部服务器。如果DNS服务器无法在其区域中找到资源记录,可以将请求发送给另一台DNS服务器，以进一步尝试解析。一种常见情况是配置到您的ISP的DNS服务器的转发器.单击开始,指向管理工具，然后单击DNS.右击ServerName，其中ServerName是服务器的名称，然后单击转发器选项卡。单击DNS域列表中的一个DNS域。或者单击新建,在DNS“域框”中键入希望转发查询的DNS域的名称，然后单击确定.在所选域的转发器IP地址框中，键入希望转发到的第一个DNS服务器的IP地址，然后单击添加。重复步骤4，添加希望转发到的DNS服务器。单击确定。如何配置根提示Windows可以使用根提示。根提示资源记录可以存储在ActiveDirectory或文本文件（%SystemRoot%\System32\DNS\Cache。dns）中。Windows使用标准的Internic根服务器。另外，当运行WindowsServer2003的服务器查询根服务器时，它将用最新的根服务器列表更新自身。单击开始,指向管理工具，然后单击DNS。右击ServerName，其中ServerName是服务器的名称，然后单击属性.单击根提示选项卡.DNS服务器的根服务器在名称服务器列表中列出.如何在防火墙后配置DNS代理和网络地址转换（NAT）设备可以限制对端口的访问.DNS使用UDP端口A和TCP端口53。DNS服务管理控制台也使用RCP。RCP使用端口135.当您配置DNS和防火墙时，这些问题都有可能发生.6.3域控制器及用户账户配置安全是网络服务的前提和保障，没有安全网络服务也就失去了意义和存在的必要。事实上，所谓安全就是对用户权限的限制和控制,当用户只拥有与其职位和职能相称的权限时，网络就是安全的.“ActiveDirectory用户和计算机”控制台窗口新建对象–用户”对话框新建对象—组”对话框6。4WWW服务配置添加一个新的默认文档设置主目录6.5DNS服务配置安装DNS服务添加正向搜索区域新建主机新建资源记录设置DNS转发器6。6FTP服务配置（一）FTP服务的安装1。

选择“开始”→“控制面板”→“添加或删除程序"→“添加／删除Windows组件”，选取“应用程序服务器”后，单击“详细信息”按钮。2.

选择“Internet信息服务(IIS)"后，单击“详细信息”按钮。3。

选择对话框中的“文件传输协议（FTP)服务后，单击“确定"按钮回到前一画面。然后依次单击“确定”按钮和“下一步”按钮直至“完成”按钮。安装完成后，可以用“IIS管理器"来管理FTP服务器，打开方式为“开始”→“管理工具"→“Internet信息服务(IIS）管理器”.展开“FTP站点”时，可以看到下面有一个“默认FTP站点”。（二)FTP服务器的测试用两种方式可以测试FTP站点是否工作正常。一是在命令行用ftp.exe程序,一是用IE浏览器。下面分别介绍。用ftp。exe程序测试。在测试主机启动命令行程序，然后输入ftp服务器的IP地址,如：ftp192.222.192。142.如果服务器有域名也可以通过“ftp主机域名"来访问.当提示输入用户名时，可以用匿名账户来访问，即输入anonymous，提示输入密码时随便输入一个电子邮件帐号如abc＠(需要有@）即可.断开连接输入bye。用IE浏览器测试。在浏览器的地址栏输入“ftp://IP地址/”或“ftp：//域名/”。系统会自动用匿名账户来连接FTP服务器的默认站点.由于目前默认站点内还没有文件，所以界面中看不到任何文件。如果无法连接FTP服务器，请通过IIS管理器检查默认FTP站点的状态是否为“正在运行”.如果处于停止状态，则可以右击“默认站点”选择“启动”来开启FTP服务。如果测试主机有其他FTP客户端程序如FlashFXP，CuteFTP等，也可以用这些程序来测试。二、FTP服务器的基本配置（一）主目录与列表样式当用户通过以上方式来访问FTP服务器时,实际访问的是“默认FTP站点”的主目录。主目录的设置可以通过右击“默认FTP站点”，然后选择“属性”，然后切换到“主目录”TAB页.在这里，可以修改主目录，设置访问者对该目录的读（允许查看和下载)、写（允许上传）和记录访问（将连接此FTP站点的行为记录到日志文件内)。还可以设置目录列表样式为UNIX或MS—DOS格式。其中用ftp..exe程序连接到FTP服务器后,输入dir命令时，会以UNIX文件格式权限显示文件的读写权限。请同学们测试两者显示的区别。要求能在实验报告中体现两者的不同.（二)FTP站点标识选择“默认FTP站点”的属性，然后选择“FTP站点"TAB页。在这里可以设置“FTP站点标识”,“FTP站点连接”和“启用日志记录”。其中“FTP站点连接”可以设置FTP站点的最大连接数和连接超时的时间限制.与一台IIS主机可架设多个网站一样，一台安装IIS服务的主机也可以架设多个FTP站点。为了区分多个站点，需要为他们设置不同的识别信息。描述：站点的描述性文字。IP地址：如果运行IIS的主机有多个IP地址，可以指定通过那个IP地址来连接此FTP站点。TCP端口：默认FTP服务的端口为21，用户可以在此修改服务的端口号。不过修改端口号后，用户连接时必须自行输入端口号来连接FTP服务器。如假设2主机FTP服务的端口号改为1212，则用户可以先输入ftp命令，然后用“open192。222.192。1421212”命令连接FTP站点。如果是用IE浏览器来连接FTP站点,则可在地址栏输入“ftp://192。222。192。142:1212/”。利用IP地址与端口号架设多个FTP站点的原理与架设多个网站的原理相同，请同学们自行实践,并要求能在实验报告中体现。（三)

FTP服务器的消息设置选择“默认FTP站点”的属性，然后选择“消息”TAB页。在这里可以连接FTP站点的各种提示信息。标题:当用户连接FTP站点时，会首先看到设在“标题”处的文字。欢迎：当用户登录到FTP站点时，会看到此欢迎词.退出：当用户注销时，用户会看到此消息。最大连接数：当FTP站点的连接数目达到最大的数目，用户连接此FTP站点时会显示此处的消息。请分别设置这些消息,然后用命令行的ftp程序连接该FTP站点,看这些消息分别什么时候出现（要求能在实验报告中体现）。(四）验证用户身份选择“默认FTP站点”的属性，然后选择“安全账户"TAB页。在此可以设置是否允许匿名访问.如果选择了“允许匿名连接"，则表示此FTP站点可以匿名访问，即用anonymous为用户名,以任一Email地址为密码来访问。同时可以在此修改与匿名账户对应的真实账户.如果取消了“允许匿名连接”，则用户必须用该服务器主机的用户来登录FTP站点。三、实际目录与虚拟目录FTP站点的“实际目录”，“虚拟目录”的含义和网站“实际目录”,“虚拟目录"的含义相同。实际目录是主目录下的真实目录。虚拟目录是将其他目录映射到主目录下。“虚拟目录”的设置方法也与网站“虚拟目录”的设置方法相同，请自行实践，并要求能在实验报告中体现。四、创建用户隔离的FTP站点当用户连接”默认FTP站点“时，无论是匿名账户，还是正式账户,登录到FTP站点后，都转到了默认站点的主目录,大家见到的内容都相同的.WindowsServer2003的IIS增添了“FTP用户隔离"的功能，可以让每一个用户各自拥有自己的专属文件夹，当用户登录FTP站点时，会被转向各自的文件夹，而且不能却换到其他用户的文件夹。这样FTP站点可以充分保护用户的个人隐私.7网络安全设计7。1网络整体安全设计3。1安全体系设计原则在进行计算机网络安全设计、规划时应遵循以下原则:1)需求、风险、代价平衡分析的原则:对任一网络来说,绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。2）综合性、整体性原则:运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果.一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。3）一致性原则：这主要是指网络安全问题应与整个网络的工作周期(或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致.实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。4）易操作性原则:安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。5）适应性、灵活性原则:安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。6)多重保护原则：任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时,其他层保护仍可保护信息的安全。3。2安全体系层次模型按照网络OSI的7层模型，网络安全贯穿于整个7层.针对网络系统实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次。下图表示了对应网络系统网络的安全体系层次模型：物理层物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击（干扰等）。链路层链路层的网络安全需要保证通过网络链路传送的数据不被窃听.主要采用划分VLAN(局域网）、加密通讯（远程网）等手段.网络层网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。

企业安全策略企业安全策略用户责任用户责任计算机网络安全保证客户计算机网络安全保证客户病毒防治病毒防治操作系统操作系统信息服务信息安全信息安全物理实体安全 物