网络架构实验指导书

《网络基本架构的实现与管理》实验指导书

第一章：配置DHCP服务一、DHCP概述

DHCP（DynamicHostConfigureProtocol）是动态主机配置协议的缩写，用户向网络中的计算机分配IP地址及一些TCP/IP配置信息。DHCP提供安全、可靠且简单的TCP/IP网络设置，避免的TCP/IP网络中的地址的冲突，同时也大大降低了管理IP地址设置的负担。1.什么是DHCP

DHCP是用于简化IP配置管理的TCP/IP标准，对客户机动态分配TCP/IP信息。第一次启动DHCP客户机时，该客户机将在网络中请求IP地址，当DHCP服务器收到IP地址请求后，它将从数据库定义的地址中选择IP地址提供给DHCP客户机。要想在一个TCP/IP协议的网络中使用DHCP，该网络中至少要有一台计算机作为DHCP服务器，而其他计算机则作为DHCP客户机。2.使用DHCP的理由

a、在常见的小型网络中（例如：网吧和学生宿舍网），网络管理员都是采用手动分配IP地址的方法，但在大中型网络中（100台以上计算机网络），为每一台计算机手动分配IP地址，将会大大加重网络管理员的负担，还容易导致IP地址分配错误，因此，在大中型网络中使用DHCP服务是非常有效率的。

b、对于笔记本计算机的客户，经常从一个子网移动到另一个子网，需要不断手动更换IP地址，这对用户来说是很不方便的。如果使用DHCP服务，用户将不必了解该网内的TCP/IP信息，一切变更可以自动完成。

c、在一个拥有50台计算机的网络中，只有30个合法的IP，给每台计算机分配一个IP地址，显然会有20台计算机不能联网。假定这个网络里的50台计算机一般不会同时运行，那么DHCP服务器通过动态的IP地址就能解决IP地址资源不足的情况3.DHCP的优点

a、减小管理员的工作量

b、减小输入错误的可能

c、避免IP冲突

d、当网络更改IP地址段时，不需要重新配置每台计算机的IP

e、计算机移动不必重新配置IP

f、提高了IP地址的利用率二、DHCP服务的工作过程

客户机除了可以从DHCP服务器获得IP地址外，还可以获得子网掩码、默认网关地址、DNS服务器地址等信息，以上这个过程又称为DHCP租约过程。1.DHCP租约过程a、客户机请求IP地址

DHCP客户机在网络中广播一个DHCPDiscover包以请求IP地址，所以此过程也称为DHCPDiscover。DHCPDiscover包的源IP地址为，目的IP地址为55，该包还包含客户机的MAC地址（网卡地址）和计算机名，以使DHCP服务器能够确定哪个客户机发送该请求。b、服务器响应

当DHCP服务器接收到客户机请求IP地址的信息时，就在自己的IP地址库中查找是否有合法的IP地址提供给客户机，如果有，DHCP服务器就将此IP地址做上标记，广播一个DHCPOffer包（此过程又称为DHCPOffer）。DHCPOffer包中的信息的信息有：

DHCP客户机的MAC地址，用来正确标识客户机

DHCP服务器提供的合法IP地址

子网掩码

租约的期限

服务器标识符（DHCP提供服务器的IP地址）

因为DHCP客户机还没有IP地址，所有由DHCP服务器发送广播消息。c、客户机选择IP地址

DHCP客户机从接收到的第一个DHCPOffer包（因为一个网络可能存在多个DHCP服务器）中选择IP地址，并将DHCPRequest包广播到所有DHCP服务器，表明它接受提供的内容（此过程称为DHCPRequest）。DHCPRequest包的信息包含为该客户机提供IP配置的服务器的服务标识符（IP地址）。DHCP服务器查看服务器标识符字段，以确定它们被选择为指定的客户机提供IP地址。如果客户机接受了IP地址，则发出IP地址的DHCP服务器将该地址保留，该地址就不能提供给另一个DHCP客户机；如果那些DHCPOffer包被拒绝，DHCP服务器则取消提供并将保留其IP地址以用于下一个IP租约请求。d、服务器确认IP租约

DHCP租约过程中的第四步也是最后一步为服务器确认IP租约，也称为DHCPACK/DHCPNAK。DHCP服务器接收到DHCPRequest后，以DHCPACK（DHCPAcknowledge）消息的形式向客户机广播成功的确认，该消息包含IP地址租约的有效租约和其他可能配置的信息。当客户机收到DHCPACK包时，它就配置了IP地址，完成了TCP/IP的初始化，从而可以在TCP/IP网络上通信了。

如果DHCPRequest不成功，DHCP服务器将广播否定确认小心DHCPNAK包。当客户机接收到不成功的确认时，它将重新开始DHCP租约过程。

如果客户机无法找到DHCP服务器，它将从TCP/IP的B类网段中挑选一个IP地址作为自己的IP地址，继续每隔5分钟与DHCP服务器进行通信，一旦与DHCP服务器取得联系，则客户机放弃自己自动配置的IP地址，而使用DHCP服务器所分配的IP地址和其他配置信息。2.IP租约更新

当客户机重新启动或租期达50%时，就需要重新更新租约，客户机直接向提供租约的服务器发送DHCPRequest包，要求更新现有的地址租约。如果DHCP服务器收到请求，它将发送DHCP确认信息给客户机，更新客户机租约。如果客户机无法与提供租约的服务器取得联系，则客户机一直等到租期到达87.5%时，进入重新申请状态，它向网络上所有的服务器广播DHCPDiscover包以更新现有的地址租约。如果服务器响应客户机的请求，那么客户机使用该服务器提供的地址信息更新现在的租约。如果租约终止或无法与其他服务器通信，客户机将无法使用现在有的地址租约。当客户机上使用ipconfig/renew命令可以向DHCP服务器发送DHCPRequest包，以接收更新选项和租约时间。如果DHCP服务器没有响应，客户机将继续使用当前DHCP配置选项。3、IP租约释放

当客户机上使用ipconfig/release命令使DHCP客户机向DHCP服务器发送DHCPRelease包并释放其租期。当移动客户机到不同的网络并且客户机不需要以前的租约时这是很有用的，发布该命令后，客户机的TCP/IP通信联络停止。如果客户机在租约时间内保持关闭（并且不更新租约），在租约期以后，DHCP服务器可能将客户机的IP地址分配给不同的客户机。如果客户机不发送DHCPRelease包，那么它在重新启动时，将试图尝试继续使用上一次使用过的IP地址。三、DHCP服务器配置实验案例实验内容：配置DHCP服务器实验目标：1.掌握DHCP客户机的配置2.掌握DHCP服务器的配置和管理3.理解DHCP中继代理概念必要的说明：1、配置DHCP服务器的计算机必须要有一个固定的IP地址2、必须安装并开启DHCP服务项目/实验拓扑实验步骤:任务一：配置DHCP服务器任务分项步骤详细步骤1、

安装DHCP服务器。1）在“控制面板”里的“添加/删除”中，点击“添加/删除Windows组件”，选择“网络服务”中的“动态主机配置协议”。确定2、为DHCP服务器配置地址池

为DHCP服务器配置两个地址池，其中1.0段的是为主机XP分配IP地址，而2.0段的是为XP2分配IP地址。3、为DHCP服务器配置分配给主机的网关。

在1.0段地址池中的“作用域选项”中配置网关，此时只给1.0段分配此网关地址。当然也可以输入别的，IP地址填写域名所对应的主机，实验时这里随便填写。在2.0段地址池中的“作用域选项”中配置网关，此时只给2.0段分配此网关地址.4、为DHCP服务器配置分配给主机的DNS服务器地址

在DHCP服务器中的“服务器选项”中配置分配给主机的DNS服务器地址，此时配置的DNS地址会分配给所有主机。任务二：在2003SP1配置DHCP中继1、配置2003SP1为DHCP中继服务器1）右击“路由和远程访问”中的“IP路由选择”中的“常规”，选择“新增路由协议”。2）选择“DHCP中继代理程序”，然后右击它，选择新增接口。3）选择“本地连接2”，因为“本地连接2”与XP2在一个网段。这也说明了DHCP中继代理只能在非DHCP服务器所在网段中启用。4）在右击“DHCP中继代理程序”，选择“属性”来添加DHCP服务器地址。本次项目/实验完成情况任务一完成了，DHCP服务器的配置，并对XP分配IP地址、网关和DNS的分配，与指定目的相同任务二完成了，DHCP中继代理，XP2成功获取IP地址、网关和DNS的分配，与指定目的相同实验的总结在DHCP服务器配置时，注意各个作用域得优先级和生效范围，掌握DHCP中继代理的配置，在配置DHCP中继代理时候，注意需要添加DHCP服务器地址。

第二章：配置DNS服务一、DNS概述在Internet中使用IP地址来确定计算机的唯一地址，这种以数字表示的IP地址不容易记忆。为了便于网络地址的管理，人们采用了域名系统，引入域名的概念。通过为每台主机建立IP地址与域名之间的映射关系，用户在网上可以难记的IP地址，而使用域名来唯一标识网络中的计算机。域名和IP地址之间的关系，就像是某人的姓名和其身份证号码之间的关系，显然，记忆姓名要比记身份证号码容易得多。在早期的TCP/IP网络中，名称解析的工作由一台计算机来负责，它维护一份主机名称与IP地址对应的清单（Hosts文件）。每当主机要与其它网络中的主机通讯前，来源主机都会先查询hosts文件中目的主机的IP地址，等到对应的目的主机IP地址解析出来后，就可以进行后续通信。这种方法虽然简单，但随着主机数目愈来愈多时，会产生以下问题：A、主机名称重复。Hosts文件是平面结构，主机多了容易重名。B、名称解析效率下降。查询hosts文件的通信量都集中在存储hosts文件的计算机上，会形成瓶颈。C、主机维护困难。在一个平面结构的文件中维护所有的主机记录，文件会太大，而且当主机记录增加或者更新时很难维护。为了解决以上的问题，可以将巨大的信息量按层次结构划分成许多较小的部分，将每一部分存储在不同的计算机上，形成层次性、分布式的特点。这样一方面解决了通信的统一性，另一方面信息数据分布面广，不会形成瓶颈，有利于提高访问效率，于是DNS（DomainNameSystem）便应运而生。二、域名空间结构在DNS中，域名空间采用分层结构，包括：根域、顶级域、二级域和主机名称。域名空间的层次结构类似一个倒置的树，其中根作为最高级别，大树枝处于下一级级别，树叶则处于最低级别。一个区域就是DNS域名空间的一部分，维护着该域名空间的数据库记录。在域名空间层次结构中，每一层称作一个域，每一个域用一个点号“.”分开。域又可以进一步分成子域，每一个域都有一个域名，最低层是主机，如图：1.根域根（root）域就是“.”（点号），它是由Internet名字注册授权机构管理，该机构把域名空间各部分的管理责任分配给连接到Internet的各个组织。2.顶级域DNS根域的下一级是顶级域，是由Internet名字授权机构管理。共有3种类型的顶级域：a、组织域，采用3个字符的代号，表示DNS域中所包含的组织的主要功能或活动。b、国家或地区域，采用两个字符的国家或地区代号。c、反向域，这是一个特殊域，名称为，用于将IP地址映射到名称。以组织域作为顶级域名表顶级域名

说明gov

政府部门com

商业部门edu

教育部门org

民间团体组织net

网络服务机构mil

军事部门国家或地区域是Internet组织为各个国家或地区都分配的顶级域名。国家或地区域顶级域名

国别/地区cn

中国jp

日本uk

英国au

澳大利亚hk

中国香港……

……3.二级域

二级域是注册到个人、组织或公司名称。这些名称基于相应的顶级域，如：“M”，就是基于顶级域“.com”。二级域下可以包括主机和子域，如“M”可包含如这样的主机，也可以包含如“”这样的子域，而该子域还可以包含如“”这样的主机。4.主机名主机名在域名空间结构中的最底层，主机名和前面讲的域名（DNS后缀）结合结构FQDN（完全合格的域名），主机名是FQDN最左端的部分。例如：“”中的“aaa”是主机名，“”称为DNS后缀。用户在互联网上访问Web、FTP、Mail等服务时，通常使用FQDN，例如：。三、DNS服务的作用DNS服务的主要作用就是将域名解析为IP地址。例如，客户机使用FQDN访问Web服务器，首先解析出Web服务器的IP地址，步骤是：1、客户机向DNS服务器发送域名查询请求2、DNS服务器告知客户机Web服务器的IP地址3、客户机与Web服务器通信四、DNS查询过程1、DNS区域DNS区域（简称区域）是域名空间中的连续的一部分。域名空间中包含的信息是极其庞大的，为了便于管理，可以将域名各自独立存储在服务器上。DNS服务器以区域为单位来管理域名空间，区域中的数据保存在区域文件中。2、DNS服务器DNS服务器是运行DNS服务的计算机，它包含部分域名空间信息来相应查询。DNS服务器采用层次化的分级结构。每个DNS服务器只对域名空间中的一部分进行管理里，即只管包括整个域名数据库的一部分信息。例如：根服务器来管理顶级域名，但根服务器不负责对顶级域名下面的二级域进行转换。如果DNS服务器负责管辖一个或多个区域，那么这个服务器便是这些区域的权威名称服务器。例如：负责123.com区域的DNS服务器，就是这个区域的权威服务器。权威名称服务器负责维护和管理所管辖区域中的数据，并将此数据提供给DNS客户机。3、DNS查询过程a、客户机将的查询传递到本地DNS服务器。b、本地DNS服务器检查区域数据库，由于服务器没有域的授权，因此，它将查询传递到根服务器，请求解析主机名称。根名称服务器把“cn”DNS服务器的IP地址返回给本地DNS服务器。c、本地DNS服务器将请求发给“cn”DNS服务器，此服务器根据请求将“”DNS服务器的IP地址返回给本地DNS服务器。d、本地DNS服务器向“”DNS服务器发送请求，此服务器根据请求将“”DNS服务器的IP地址返回给本地DNS服务器。e、本地DNS服务器向“”DNS服务器发送请求，由于此服务器具有的记录，因此它将的IP地址返回给本地DNS服务器。f、本地名称服务器将的IP地址发送给客户机。g、域名解析成功后，客户机可以访问目标主机。为了提高解析效率，减少查询开销，每个DNS服务器都有一个高速缓存，存放最近解析过的域名和对应的IP地址。这样，当用户下次在查找该主机时，可以跳过某些查找过程，直接从本地DNS服务器中查找到该主机的地址，大大缩短了查找时间，加快了查询过称。在以上域名过程中，有两种类型的查询：递归查询和迭代查询。递归查询是指当DNS服务器接收到查询请求时，要么做出查询成功的响应，要么作出查询失败的响应。以上步骤a属于递归查询。迭代查询又称为简单查询，是指DNS服务器根据自己的高速缓存或区域的数据，以最佳结果作答。如果DNS服务器无法解析，它可能返回一个指针。指针指向有下级域名的DNS服务器，它继续该过称，直到找到拥有所有查询名字的DNS服务器，或者直到出错或超时为止。以上步骤b和e就属于迭代查询。DNS服务器域名查找从查询内容上分，可以分为两种方式查询：正向查询和反向查询。正向查询由域名找=查找IP地址。反向查询由IP地址查找域名反向搜索查询要求对每个域名进行详细搜索，这需要花费很长时间。为解决该问题，DNS标准定义了一个名为的特殊域。I域遵循域名空间的层次命名方案，它是基于IP地址，而不是域名，其中，IP地址8位位组的顺序是反向的，例如，如果客户机要查找的FQDN客户机，就查询域名72.的记录。五、配置DNS服务器实验报告。项目/实验目的项目/章节内容：配置DNS服务器任务目标

1.掌握DNS服务器配置2.掌握DNS服务器委派3.将XP客户机的DNS地址配置为SP1的IP地址，当XP访问时，IP地址由SP1解析，但是当XP访问时由SP1委派给SP2来解析。项目/实验拓扑必要的规划说明1.有固定的IP地址2.安装并启动DNS服务3.有区域文件，或者配置转发器，或者配置根提示实验步骤任务一：配置DNS服务器任务分项步骤

详细步骤1、安装DNS服务器。1）在“控制面板”里的“添加/删除”中，点击“添加/删除Windows组件”，选择“网络服务”中的“域名系统(DNS)”。确定2、在2003SP1上建立新区域2）右击|“正想查找区域”，“新建区域”，“下一步”，“主要区域”，“下一步”，输入区域名称如图所示，“下一步”，完成即可3、在新建的区域中建立主机记录。3）右击新建的区域，选择“新建主机”。输入“www”，一般都这样，因为别人访问网站的时候输入的是当然也可以输入别的，IP地址填写域名所对应的主机，实验时这里随便填写。4、在2003SP1中的建立域名解析委派4）右击区域，然后选择“新建主机”，这里填写“weipai”意思只是一个指定委派DNS的名称，IP地址填写（也就是2003SP2）。5、在2003SP1上新建委派5）右击区域，选择“新建委派”，“下一步”，填写“sh”，（意思是说，凡是访问域名，都会被委派。）“下一步”，“添加”，“浏览”，选择刚刚所建立的名字为“weipai”的主机。“确定”。6、在2003SP2上建立名字为和名字为www的主机6）新建区域和www主机，意思是说，凡是访问区域，都是通过SP1委派给SP2来解析7、给XP客户机配置DNS地址为SP1的IP地址7）将XP客户机的DNS地址配置为SP1的IP地址，当XP访问时，IP地址由SP1解析，但是当XP访问时由SP1委派给SP2来解析。本次项目/实验完成情况任务一解析时，显示的主机地址是00，也就是SP1上建立的一个主机记录。而解析时，显示的是SP2上的主机地址，而SP1上没有，说明委派成功项目/实验的总结掌握了DNS的配置和有关域名的委派任务。

第三章：配置Web站点一、WWW服务概述1.www服务www（WorldWideWeb）服务，即万维网服务，指在网上发布的，并可以通过浏览器观看的图形化页面的服务。万维网服务器是通过建立Web站点来实现的。在信息技术高速发展的今天，Internet之所以如此风行，WWW服务功不可没。因为它操作简单，画面魅力十足，可用来联机购物、看电影、听广播、玩游戏、找工作、查资料等。各大公司也通过Web站点（网站）提供售前售后服务，这种良性的互动行为，直接提升了整体信息环境的便利性与普及性。常用的WWW服务软件，在Windows系统中是IIS，在LINUX系统中Apache。2.IIS6.0介绍在Windows环境中，最常用的WWW服务软件是Microsoft公司提供的Internet信息服务（InternetInformationServices，简称IIS）。IIS6.0主要包含以下子组件：万维网（WWW）服务：使用HTTP协议向客户提供信息浏览服务，既能提供静态网页，也能提供动态网页文件传输协议（FTP）服务：提供FTP服务，使用FTP协议向客户提供上传和下载文件的服务SMTPService：简单邮件传输协议服务，支持电子邮件传输，主要功能是发送和传输电子邮件NNTP服务：网络新闻传输服务，在Internet上分发、查询、获得以及发表网络新闻文章。一般以邮件形式发布，客户端以邮件形式接收和查看Internet信息服务管理器：IIS的管理界面的Microsoft管理控制台管理单元Internet打印：提供基于Web的打印机管理，并能够通过HTTP打印到共享打印机后台智能传输服务（BITS）服务器扩展：BITS是一种由WindowsUpdate和AutomacticUpdate使用的后台文件传输机制。BITS是一种后台文件传输机制和队列管理器，优化文件传输IIS主要包含WWW、FTP、SMTP、NNTP等服务。二、虚拟目录主目录下可以有子文件夹，分别存放不同内容的文件。例如一个网站中，新闻类的网页文件存放在主目录的news文件夹中，技术类的网页文件放在主目录的tech文件夹，产品类的网页文件放在products文件夹等。如果文件很多，主目录的空间可能会不足，因此需要将上述的文件存放在其他分区或者其他计算机上，而用户访问时上述文件夹在逻辑上还归属于网站之下，这种归属于网站之下的目录称为虚拟目录。可以利用虚拟目录将一个网站的文件分散存储在同一计算机的不同路径和其他计算机中，这些文件在逻辑上归属于主目录，称为Web站点的内容。使用虚拟目录，有以下优点：1.将数据分散保存到不同的磁盘或计算机上，便于分别开发和维护。2.当数据移动到其他物理位置时，不会影响到Web站点的逻辑结构。三、虚拟主机为了提供硬件资源的利用率，可以在一台计算机上运行多个网站，而不需要另加什么硬件，这些网站称为虚拟主机。实现虚拟主机一般有3种方式：1.使用不同的IP地址2.使用相同的IP地址、不同的TCP端口号3.使用相同的IP地址、相同的TCP端口号、不同的主机头（需DNS支持）四、配置Web服务和试验报告任务目标

1.掌握网站的配置

2.掌握虚拟目录的配置

3.掌握身份验证和访问控制的配置必要的规划说明

1.掌握网站的配置

2.掌握虚拟目录的配置

3.掌握身份验证和访问控制的配置项目/实验拓扑任务一：配置Web服务器任务分项步骤1、安装Web服务器1）在“控制面板”里的“添加/删除”中，点击“添加/删除Windows组件”，选择“应用程序服务器”中的“Internet信息服务”。确定并在任意分区中建立2个文件夹，一个名字为Web1，一个为Web2。文件夹中分别放入两个不同的网站，为了方便测试2、分别建立Web1和Web2的服务站点2）右击“网站”选择“新建”中的“网站”，描述填写对应网站的文件夹目录名字，网站IP地址为Web服务器的IP地址。主机头暂时不填。目录选择对应的网站目录，其他默认下一步。方法与上述相同，建立Web2的网站站点。建立完成后，会发现Web2停止。这是正常情况，因为端口相同和IP地址相同，所以2个站点无法同时启用。3、为2个站点设置主机头。3）右击Web1，选择“属性“中的“网络”，点击“高级”，选择站点，点击“编辑”，在“主机头值”位置填写确定。在Web2中方法相同，将主机头的值填写为。4、为2个站点选择默认的网页。4）右击web1，选择“属性”中的“文档”，点击“主页的名称”（这里我实验的主页名称为index.htm，如果没有，可点击右边的“添加”进行添加），点击“上移”，直到index移到第一，然后“确定”，将web2的主页设置方法相同。右击web2，选择“启用”此时两个站点可以同时启用。如果要通过主机头访问网站时，需要DNS的解析，试验中，我已经将DNS配置好了。任务二：创建虚拟目录，并对虚拟目录进行访问控制任务分项步骤1、在Web1上建立虚拟目录1）在Web1的目录下，建立一个名字为“虚拟目录”的文件夹。给虚拟目录中放入一个网站，为了方便测试。右击“Web1”，“新建”中的“虚拟目录”建立虚拟目录中的别名随便命名，我这里命名为“1”，在“目录”这里选择“浏览”，选择Web1目录下的“虚拟目录”。确定。2、给虚拟目录设置访问控制1）展开Web1站点，右击“1”（虚拟目录的别名），选择“属性”中的“目录安全性”，选择“身份验证和访问控制”右边的“编辑”，将“启用匿名访问”的勾去掉，确定。本次项目/实验完成情况任务一1、用客户机分别登陆和[url][/url]。任务二2、在web1上对虚拟目录进行访问。输入用户名和密码后，成功登陆项目/实验的总结在需要通过主机头来访问站点的时候，需要DNS的解析支持。

第四章：配置FTP服务一、FTP服务概述IIS除了可以配置Web站点之外，还可以配置FTP站点，让用户上传或下载文件。公司的文档文件、常用软件等想提供给用户使用，当文件很大时，已经不能通过邮件服务来解决了，FTP服务则提供了较好的解决方法。利用FTP服务，可以建立企业的FTP服务器，允许员工上传和下载工作文档。例如可以将常用软件、系统更新补丁等文件存储在FTP服务器上，员工便可以根据自己的需要来下载和使用。1.什么是FTPFTP（FileTransferProtocol，文件传输协议）是Internet上使用非常广泛的一种协议，它建立在传输层TCP协议之上。利用FTP可以给用户提供上传和下载文件的服务。FTP与大多数Internet服务一样，也是采用客户机/服务器的方式。使用方法很简单：

a、启动FTP客户端程序，与远程主机建立连接。

b、向远程主机发出传输命令。

c、远程主机在收到命令后就给予响应，并执行正确的命令，完成上传或下载的服务。2.FTP服务器

FTP服务器就是互联网及LAN中提供FTP服务并提供一定存储空间的计算机，它可以是专用的服务器，也可以是个人计算机。启动FTP服务后，用户可以连接到服务器下载文件，如果权限允许，用户也可以把文件上传到FTP服务器。FTP服务器可以有两种的登陆方式，一种是匿名登陆，另一种是使用授权帐户登陆。匿名登录：一般匿名登陆只能下载FTP服务器的文件，且传输速度相对要慢一些，当然，这需要在FTP服务器上进行设置。针对这类用户，在FTP服务器上需要加以限制，不宜开启过高权限，带宽应尽可能小。授权帐户登陆：需要管理员将帐户与密码告诉用户。管理员对这些帐户进行设置，例如他们能访问到哪些资源，下载与上传速度等。3.FPT客户端

FTP客户端是指用户所使用的计算机，它可以将服务器的文件下载到本地硬盘，同时，也可以将本地硬盘的文件上传到服务器。

FTP客户端可以通过3种方式来连接FTP站点，它们分别是命令行方式、Web方式和在本地安装FTP客户端软件方式。二、配置FTP服务和实验报告任务目标

1.掌握默认FTP站点的配置

2.掌握FTP客户端的使用必要的规划说明

1、必须安装FTP组件并启用FTP服务

2、必须要有一个固定的IP地址项目/实验拓扑任务一：安装并配置FTP站点任务分项步骤：1、安装FTP服务器1）在“控制面板”里的“添加/删除”中，点击“添加/删除Windows组件”，选择“应用程序服务器”中的“Internet信息服务”，中的，“文件传输协议（FTP）服务”。服务端也可以使用第三方软件来完成，推荐软件”HF-ServU63-LDR”2、在其他盘符下建立FTP的根目录，供用户访问。2）一般情况下，不要使用FTP服务给的默认目录，在其他盘符下建立一个文件夹，里面放出一些文件，我这里是在E盘建立的一个FTP文件夹，里面放入了3个文本文件，为了测试。3、打开Internet信息服务（IIS）管理器。3）右击“FTP”站点中的“默认站点”，选择“属性”，在“FTP站点”中的“IP地址”中选择服务器的IP地址，端口默认为21端口，底下也可对连接人数进行限制。在FTP站点属性选项卡中的“安全帐户”，可以限制，是否启用匿名访问。在FTP站点属性选项卡中的“消息”中，可以进行对用户的欢迎词。在FTP站点的属性选项卡中，的“主目录”中，可以选择刚才我们所建立的文件夹作为主目录，底下是对目录的一些权限限制，还有目录显示的方式在FTP站点的属性选项卡中，“目录安全性”的可以限制一些IP地址是否允许或拒绝访问FTP站点任务二：非匿名访问任务分项步骤1）在FTP服务器上建立一个名字为“IceRain”的用户，密码为“123”，工作组环境下。2）在FTP站点的属性选项卡中，“帐户安全性”将“允许匿名连接”去掉，选择“是”。本次项目/实验完成情况任务一：匿名访问在客户机XP上的“开始”—“运行”，输入“cmd”，在输入“FTP”如图所示：红色标记表示的是，上边刚提到过的FTP站点选项卡中的“消息”，黄色标识表示：我们匿名所使用的用户名和密码。棕色标记表示：几个相关的命令，也可以看出，我们访问的是目录中有“1.txt、2.txt、3.txt”。其中“get2.txtc:\2.txt”，意思是将FTP站点中的2.txt下载到本地c盘，名字也为2.txt。任务二：使用指定用户访问将FTP站点属性选项卡中的“安全帐户”，中的匿名去掉，然后使用相同的方法访问FTP服务器，此时输入的就不是anonymous，而是刚才我们在服务器上所建立的用户名称和密码。密码隐藏，所以看不到。客户端还可以使用第三方软件访问FTP服务器或者使用IE浏览器访问FTP服务器，如果客户端使用匿名方式从浏览器访问FTP服务器，则还需在FTP服务器的根目录中的NTFS权限中加入匿名用户名，如果图所示，此用户名，就是FTP站点属性选项卡中的“安全帐户”中的用户名称，否则匿名用户无法从浏览器访问。使用指定用户访问，不影响，只需输入相应的用户名和密码即可项目/实验的总结在配置FTP服务端的时候，注意细节，尤其是客户端使用IE浏览器访问FTP服务器时，注意要在FTP服务器站点根目录下的NTFS中添加相应用户名。

第五章：配置远程访问服务一、远程访问服务概述

远程访问服务（RemoteAccessServic，RAS）允许客户端通过拨号连接或虚拟专用连接登录网络。远程客户机一旦得到RAS服务器的确认，就可以访问网络资源，就好像客户机已经直接连接在局域网上一样。1.远程访问连接方式远程访问服务适合的环境是：在各地有分公司和出差的员工需要访问总部网络的资源。WindowsServic2003远程访问服务提供了两种远程访问连接方式：拨号网络：通过使用电信提供商（例如电话、ISDN或）提供服务，远程客户端使用非永久的拨号连接到远程访问服务器的物理接口上，这时使用的网络就是拨号网络。例如：拨号网络客户端需要安装Modem，使用拨号网络拨打远程访问服务器某个端口的电话号码。虚拟专用网（VirtualPrivateNetWork，VPN）：VPN是穿越公用网络（如Internet）的、安全的、点对点连接。虚拟专用网客户端使用特定的，称为隧道协议的基于TCP/IP的协议，与虚拟专用网服务器建立连接。例如，虚拟网络客户端使用虚拟专用网连接（连接目标是IP地址）连接到与Internet相连的远程访问服务器上，验证呼叫方身份后，在虚拟专用网客户端和企业网络之间传送数据。这两种连接比专线连接，提供了低成本远程访问服务。拨号的远程访问是通过电话线传输数据，虽然传输速率不高，但是对于那些只有少数数据需要传输的用户，特别是在家庭中办公的用户来说是一个很好的方案。

使用虚拟专用连接不但提供了高的传输效率，而且降低了投资成本和维护成本。相对于拨号连接来说，它节约了通信费用，特别是对于外地的分公司来说，解决了一大笔长途电话的费用。2.拨号网络组件a、拨号网络客户端：拨号网络客户端，即远程访问客户端。b、远程访问服务器：WindowsServer2003远程访问服务器可以接收拨号连接，并且在远程访问客户机与远程访问服务器所在的网络之间进行数据传送。c、WAN结构：RAS服务器与客户机之间可以建立不同类型的拨号连接，不同的连接类型提供了不同的速度。这些连接类型包括：公共交换电话网（PublicSwitchTelephoneNetwork，PSTN）、综合业务数字网（IntegratedServicesDigitalNetwork，ISDN）、非对称数字用户线（AsymmetricDigitalSubscriberLine，ADSL）等。d、远程访问协议：远程访问协议用来控制连接的建立以及数据在WAN链路上的传输。远程访问客户端与远程访问服务器上所使用的操作系统与LAN协议决定了客户机所能够使用的远程访问协议。WindowsServer2003远程访问支持3中类型的远程访问协议：

点到点协议（point-to-pointProtocol，PPP）是一种应用非常广泛的工业标准协议，它支持多个厂商的远程访问软件并支持多种网络协议，可以提供最佳的安全性能、多协议访问以及互操作性。串行线路网际协议（SerialLineInternetProtocol，SLIP）是一种在运行老式UNIX操作系统远程访问服务器上使用的协议。

MicrosoftRAS协议是一种在运行Microsoft操作系统远程访问客户机上使用的远程访问协议。e、LAN协议：LAN协议是远程访问客户用来访问连接到远程访问服务器上的网络资源而使用的协议。WindowsServer2003中的远程访问服务支持TCP/IP、IPX以及NetBEUI等协议。3.VPN组件

通俗地讲，VPN就是基于公共网络（如Internet），在两个或两个以上的局域网之间创建传输数据的网络隧道。当传输数据通过网络隧道时，进行安全的VPN数据加密，从而确保了用户数据的安全性、完整性和真实性。要使用VPN远程访问，需将RAS服务用作VPN服务器。VPN服务器和客户机通过本地的Internet服务提供商（InternetServiceProvider，ISP）在Internet上建立虚拟点到点的连接，就像是客户机直接连接到服务器的网络上一样。a、VPN的组成要素有：

VPN客户端：VPN客户端可能是一台单独的计算机，也可能是路由器。一般的，VPN客户端需要通过当地ISP连上公共网络（如Internet）以便和VPN服务器连接。

VPN服务器：接收VPN客户端VPN连接的计算机。该计算机一般是使用专线连接公共网络，有固定IP地址。

隧道：连接中封装数据的部分

VPN连接：连接中加密数据的部分。对典型的安全VPN连接，数据会被加密和压缩。

隧道协议：用来管理隧道及压缩专用数据的协议。WindowsServer2003家族产品包括PPTP和L2TP隧道协议。

传输互联网络：压缩数据所通过的、共享的或公共的网络。对于WindowsServer2003家族产品，传输互联网络始终是IP网络。传输互联网络可以是Internet或基于IP的专用Intranet。二、远程服务器配置实验报告项目/章节内容：配置VPN远程访问服务任务目标

1.掌握远程访问服务器的配置方法

2.掌握客户机网络连接的配置方法

3.掌握远程访问策略的使用必要的规划说明

1、必须安装远程访问组件并启用远程访问的相关服务

2、远程访问服务器必须要有两个网卡，一个接广域网，一个接内网项目/实验拓扑任务一：配置远程访问服务任务分项步骤1、打开“路由和远程访问”。1）因为Windows2003中，默认已经安装好了，所以不必在安装，单机“开始”—“程序”—“管理工具”—“路由和远程访问”。2、配置“远程访问服务器”。2）右击“路由和远程访问”中的带红色向下箭头的选项，点击“配置并启用路由和远程访问”。3、按对话框的选项完成配置3）选择“远程访问（拨号或VPN）”选择“VPN”选择连接广域网的接口，我这里是“本地连接1”选择“来自一个指定的地址范围（我这里理解为把远程客户端虚拟到局域网，并从这个地方范围给它分配一个局域网IP地址）选择“否”右击“端口”，选择“属性”，可以看到允许连接使用的埠总数默认为256个，埠总数等于PPTP埠加L2TP端口，此数字可以更改，更改是为了限制连接人数。在远程访问服务器上建立一个用户。然后右击“我的计算机”—“管理”--“用户”，中的我们刚建立的用户，右击“IceRain”选择“属性”中的“拨入”，选择“允许访问”，如果要根据策略访问，则可以选择“通过远程访问策略控制访问”任务二：配置远程访问客户端任务分项步骤1、配置客户端1）右击客户端的“网上邻居”，选择“属性”，在选择“创建一个新的连接”2）选择“连接到我的工作场所的网络”3）选择“虚拟专用网络连接”输入公司名称输入远程访问服务器连接广域网接口的IP地址打开连接，输入刚刚我们在远程访问服务器上建立的用户名和密码本次项目/实验完成情况客户端已经连接到公司网络，并且从刚才输入的地址范围中，选择了一个IP地址分配给客户端。在客户端单击“开始”—“运行”中输入文件服务器的IP地址\\然后输入文件服务器的用户名和密码，就可以正方访问文件服务器上的资源。如果所示补充1、单击“路由和远程访问”2、右击“远程访问策略”中的第一条，选择“属性”。3、选择“授予远程访问权限”4、选择“添加”5、选择“Day-And-Time”选择“添加”。此处还可以对用户组进行限制，若对用户组，请选择“Windows-Groups这是选择“Day-And-Time”后的对话框，此处我选择的是9:00到18:00，允许用户连接远程访问服务器。项目/实验的总结对于使用策略来限制远程访问用户的时候，要注意的是，哪条策略在第一个位置，先检查哪条策略。例如：第一允许所有访问，而第二条限制某某连接，则生效的是某某也能连接。策略限制顺序是，先检查第一条，如果匹配则允许练级，如果不匹配则检查第二条，以此类推。

第六章：PKI与证书服务应用一、公钥基础结构（PKI）1、什么是PKI

PKI（PublicKeyInfrastructure，公钥基础结构）是通过使用公钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。

PKI让个人或企业安全地从事其商业活动。企业员工可以在互联网上安全地发送电子邮件而不必担心其发送的信息被非法的第三方（竞争对手）截获。企业可以建立安全的电子商务网站，保证客户交易的安全性。

在PKI中，各参与方都信任同一个CA（证书颁发机构），由该CA来核对和验证各参与方的身份。例如，许多个人和企业都信任合法的驾驶证或护照，这是因为他们都信任颁发这些证件的同一机构——政府，因而他们也就信任这些证件。PKI由公钥加密技术、数字签名、CA（证书颁发机构）、RA（注册机构）等共同组成。

a、数字证书用于用户的身份验证。

b、CA是一个可信任的实体，它负责发布、更新和吊销证书。

c、RA接受用户的请求，负责将用户的有关申请信息存档备案，并存储在数据库中，等待审核，并将审核通过的证书请求发送给证书办法机构。RA分担了CA的部分任务，使管理变得更方便。2.、PKI体系能够实现的功能有：

a、身份验证：确认用户的身份标识。

b、数据完整性：保证数据在传送过程中没有被修改。

c、数据机密性：防止非法授权用户获取数据。

d、操作的不可否认性：确保用户不能冒充其他用户身份。3.、公钥加密技术公钥加密技术是PKI的基础，这种技术需要2种密钥：公钥（PublicKey）和私钥（PrivateKey）。公钥和私钥的关系是：

a、密钥是成对生成的，这两个密钥互不相同，两个密钥可以互相加密和解密。

b、不能根据一个密钥来推算得出另一个密钥。

c、公钥对外公开；私钥只有私钥的持有人才知道。

d、私钥应该由密钥的持有人妥善保管。

公钥与私钥配对使用，如果用公钥对数据进行加密，只有用相对应的私钥才能解密；如果用私钥对数据进行加密，那么只有用对应的公钥才能解密。根据两种密钥使用的先后顺序可以，对分为数据加密和数字签名。4、数据加密

数据加密确保只有预期的接受者才能够解密和查看原始数据，从而提供了机密性。传送数据时，发送方使用接收方的公钥加密数据，并将它传送。当接收方收到数据后，使用自己的私钥解密这些数据。数据加密能保证所发送数据的机密性，却不能完全保证数据的完整性和不可抵赖性，即不能保证数据在传送过程中不被他人篡改和不被人冒名顶替发送。要解决这个问题就需要数字签名。5.、数字签名如图简单说明了数字签名的过程：发送方使用自己的私钥加密，接收方使用发送方的公钥解密。数字签名的作用是提供了以下功能：

a、身份验证：截获搜方可确认该发送方的身份标识。

b、数据的完整性：证实消息在传送过程中的内容没有被修改。

c、操作的不可否认性：其他用户不可能冒充该发送方发送消息。

d、用户可以通过数字签名实现数据的完整性和有效性，只需采用私钥对数据进行加密处理，由于私钥仅为用户个人拥有，从而能够证实签名消息的唯一性，即保证：

e、消息由签名者即发送方自己签名发送，签名者不能否认也难以否认。

f、消息自签发到接收这段过程中未曾作过任何修改，签发的消息是真实的。二、CA（证书颁发机构）

CA（CertificateAuthority，证书颁发机构）是PKI公钥基础结构中的核心部分。CA负责管理PKI结构下的所有用户（包括各种应用程序）的数字证书，把用户的公钥与用户的其他信息捆绑在一起，在网上验证用户的身份。在任何一个PKI中，CA都是一个可信的实体，它根据CA颁发策略负责发布、更新和取消证书。1、什么是证书

为保证网络上信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即通信各方必须有一个可以被验证的标识，这就需要使用数字证书。

PKI系统中的数字证书简称证书，它把公钥和拥有对应私钥的主体的标识信息（如名称、电子邮件、身份证号等）捆绑在一起。证书的主体可以是用户、计算机、服务等。证书可以用于很多方面，例如Web用户身份验证、Web服务器身份验证、安全电子邮件、Internet协议安全（IPSec）等。

数字证书是由权威公正的第三方机构即CA签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及通信双方身份的真实性、签名信息的不可否认性，从而保障网络应用的安全性。通常，证书包含以下信息：

a、使用者的公钥值。

b、使用者标识信息（如名称好电子邮件地址）。

c、有效期（证书的有效时间）。

d、颁发者标识信息。

e、颁发者的数字签名，用来证明使用者的公钥和使用者的标识信息之间的绑定关系是否有效。证书只有在指定的期限内才有效，每个证书都包含“有效起始日期”和“有效终止日期”，这两个值设置了有效期的限制。一旦到了证书的有效期，到期证书的使用者就必须申请一个新的证书。2.、CA的作用

CA可以自己创建，也可以是第三方机构。在复杂的认证体系中，CA分为不同层次，各层CA按照目录结构形成一棵树。在CA体系结构中，根CA处于核心地位，功能是认证授权。CA的核心功能就是颁发和管理数字证书，具体描述如下：

a、处理证书申请

b、鉴定申请者是否有资格接收证书

c、证书的发放：向申请者办法、拒绝颁发数字证书。

d、证书的更新：接收、处理最终用户的数字证书更新请求。

e、接收最终用户数字证书的查询、撤销。

f、产生和发布证书吊销列表（CRL）。

g、数字证书的归档。

h、密钥归档。

i、历史数据归档。3.、证书的发放过程假定某个用户要申请一个安全邮件证书，以实现安全的邮件通信，申请流程如图：

a、证书申请：用户根据个人信息填好申请证书的信息并提交证书申请信息

b、RA确认用户：在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性

c、证书策略处理：如果验证请求成功，那么，系统指定的策略就被运用到这个请求上，比如名称的约束、密钥长度的约束等

d、RA提交用户申请信息到CA：RA用自己私钥对用户申请信息签名，保证用户申请信息是RA提交给CA的

e、CA为用户生成密钥对，并用CA的签名密钥对用户的公钥和用户信息ID进行签名，生成电子证书，这样，CA就将用户的信息和公钥捆绑在一起了，然后，CA将用户的数字证书和用户的公用密钥公布到目录中

f、CA将电子证书传送给批准该用户的RA

g、RA将电子证书传送给用户（或者用户主动取回）

h、用户验证CA颁发的证书：确保自己的信息在签名过程中没有被篡改，而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发三、证书服务实验报告项目/章节内容：为Web服务添加证书任务目标

1、理解证书的发放过程

2、掌握证书服务的安装

3、掌握在Web服务器上设置SSL必要的规划说明

1、需要DNS和Web服务器的支持

2、开启证书服务项目/实验拓扑实验步骤任务一：安装证书服务1、完成各路由器的配置1）在“控制面板”中，“添加或删除程序”中，安装证书服务。选择“独立根”，如果在“域”环境下，则选择“企业根”输入CA的公用名称。在可分辨名称后缀这里必须按照图中显示的格式，否则无效2、在事先配置好的网站上新建证书2）打开IIS组件，右击事先建立好的网站，选择“属性”中的“安全目录”，点击“服务器证书”，下一步，在选择“新建证书”，下一步。选择“现在装备证书请求，但稍后发送”，单选按钮，单击“下一步”.在“名称”文本框中输入证书的描述名称“我的网站”（一般采用站点名称），单击“下一步”。输入单位信息，单击“下一步”。输入公司公用名称，单击“下一步”，输入地理信息，单击“下一步”。输入证书名称文件，单击“下一步”，显示证书申请中的概要信息，单击“下一步”按钮，最后单击“完成”按钮。3、提交证书申请3)在服务器IE浏览器中输入“/certsrv”，点击“申请一个证书选择“高级证书申请选择图中所标识的选项1、单击“浏览要插入的文件”，2、选择“浏览”3、选择刚才所建立的证书所在路径和证书名称4、单击“打开“5、单击“读取”6、单击“下一步”完成后，回出现如图所示，记住自己申请的证书的ID号，图中为“3”在“开始”—“程序”中的管理工具中打开“证书颁发机构”，在“挂起的申请”中，右击自己刚建立的证书，“新建任务”选择“颁发”，颁发成功后，在“颁发的证书”里，可以看到自己建立的证书4、在Web服务器上安装证书4）在次打开服务器IE浏览器，输入图中地址栏中的地址，选择“查看挂起的证书申请的状态”选额“Base64编码”，然后点击“下载证书”，选择证书保存的路径。我默认桌面右击Web服务器中的网站站点，选择“属性”，--“目录安全性”，中的“服务器证书”，然后选额“处理挂起的请求并安装证书单击“浏览”选择刚才下载的证书，剩下的默认“下一步”完成后，显示如果所示界面，的证书摘要信息右击站点，选择“属性”，单击“目录安全性”中的“查看证书”，在这里可以看到证书的状态右击站点，选择“属性”，单击“目录安全性”中的“编辑”，选择“要求安全通道”，默认选择“忽略客户端证书”。忽略客户端证书：无论用户是否拥有证书，都将被授予访问权限。客户端不需要申请和安装客户端证书。接收客户端证书：用户可以使用客户端证书访问资源，但证书并不需要。客户端不需要申请和安装客户端证书要求客户端证书：服务器在将用户与资源连接之前要请求客户端证书。客户端必须申请和安装客户端证书。本次项目/实验完成情况任务一在客户端的浏览器中输入“”，（我已经配置好DNS了），就会出现下列情况，告诉你必须通过安全通告查看在地址栏输入“https:\\”即将安全连接查看网页。会出现是否信任证书的，选择“是”，就可以正常访问网页了正常访问网站补充1、导出证书右击站点，选择“属性”