局域网组建技术案例教程 第6章 局域网安全与管理.ppt

《局域网组建技术案例教程 第6章 局域网安全与管理.ppt》由会员分享，可在线阅读，更多相关《局域网组建技术案例教程 第6章 局域网安全与管理.ppt（70页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第6 6章章 局域网安全与管理局域网安全与管理局域网的安全威胁与隐患局域网的安全威胁与隐患6.1 Windows Server 2003Windows Server 2003的安全性设置的安全性设置6.3局域网中常用的安全技术局域网中常用的安全技术6.2本本 章章 学学 习习 目目 标标（1）了解局域网内存在的安全威胁和隐患）了解局域网内存在的安全威胁和隐患（2）掌握病毒、木马、黑客的概念和工作原理）掌握病毒、木马、黑客的概念和工作原理（3）掌握简单的安全技术）掌握简单的安全技术（4）熟悉）熟悉WindowsServer2003的安全性设置的安全性设置（5）熟悉常用的安全防范软件的使用）熟悉

2、常用的安全防范软件的使用6.1局域网的安全威胁与隐患6.1.1计算机病毒计算机病毒1病毒定义病毒定义中中华华人人民民共共和和国国计计算算机机信信息息系系统统安安全全保保护护条条例例，在在第第二二十十八八条条中中明明确确指指出出：“计计算算机机病病毒毒，是是指指编编制制或或者者在在计计算算机机程程序序中中插插入入的的破破坏坏计计算算机机功功能能或或者者毁毁坏坏数数据据，影影响响计计算算机机使使用用，并并能能自自我我复复制制的的一一组组计计算机指令或者程序代码。算机指令或者程序代码。”2 2病毒特征病毒特征（1）传染性）传染性（2）隐蔽性）隐蔽性（3）潜伏性）潜伏性（4）破坏性）破坏性（5）不可预

3、见性）不可预见性（6）可触发性）可触发性3病毒分类病毒分类 病毒基本类型分类标准类型内容按传染方式分引 导 型病毒引导型病毒影响软盘或硬盘的引导扇区。引导扇区是磁盘中至关重要的部分，其中包含了磁盘本身的信息以及用以引导计算机的一个程序引导型病毒不会感染文件，也就是说如果某个软盘感染了引导型计算机病毒，只要不用它去引导计算机，其中的数据文件将不会受影响引导型病毒通常通过受计算机病毒感染的软盘进行感染，因此，避免感染的最好办法是将软盘设为写保护文 件 型病毒文件型病毒一般只传染磁盘上的可执行文件（COM，EXE）。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接

4、传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式混 合 型病毒混合型病毒是系统或引导记录感染程序，这些病毒感染它们所发现的位于硬盘上某一操作系统的可执行的代码。在PC上有些常见的引导扇区病毒仅仅感染DOS引导扇区，MBR（主引导记录）病毒能感染固定磁盘的主引导记录和磁盘的DOS引导扇区按连接方式分源 码 型病毒源码病毒较为少见，亦难以编写。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了入 侵 型病毒入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒

5、只攻击某些特定程序，针对性强。一般情况下难以发现，清除困难操 作 系统 型 病毒操作系统病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性较大外 壳 型病毒外壳病毒将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部分的文件型病毒都属于这一类按破坏性分良 性 病毒良性病毒是指那些只是为了表现自身，并不彻底破坏系统和数据，但会大量占用CPU时间，增加系统开销，降低系统工作效率的一类计算机病毒恶 性 病毒破坏性很强，破坏系统配置导致系统死机、崩溃、无法重启、删除文件程序等现象6.1.2网络木马网络木马木木马马通通常常有有两两个个可可执执行行程程序序：

6、一一个个是是客客户户端端，即即控控制制端端；另另一一个个是是服服务务端端，即即被被控控制制端端。其其中中客客户户端端用用于于攻攻击击者者远远程程植植入入木木马马的的计计算算机机；服服务务端端即即是是木木马马程程序序，用用于于进进行行控控制制被被种种植植了了木木马马客客户户端端的的计计算算机。机。6.1.3黑客攻击黑客攻击黑黑客客（Hacker）源源于于英英语语动动词词Hack，意意为为“劈劈，砍砍”，中中文文译译为为“黑黑客客”或或“骇骇客客”，一一个个真真正正的的Hacker应应该该具具备备两两个个条件：条件：（1）高高超超的的专专业业技技术术，热热衷衷于于解解决决问问题题、克克服服限限制制

7、、超超越越极极限限，对对操操作作系系统统神神秘秘深深奥的工作十分感兴趣；奥的工作十分感兴趣；（2）遵守）遵守Hacker行为准则，从来没有也永行为准则，从来没有也永远不会恶意破坏造成他人或社会损失。远不会恶意破坏造成他人或社会损失。1黑客常用的攻击工具黑客常用的攻击工具黑黑客客常常用用的的攻攻击击工工具具有有扫扫描描器器、口口令令攻击器、特洛伊木马、网络嗅探器等。攻击器、特洛伊木马、网络嗅探器等。2常用的攻击技术常用的攻击技术黑黑客客常常用用的的攻攻击击技技术术主主要要有有缓缓冲冲区区溢溢出出攻攻击击、IP欺欺骗骗攻攻击击、Web欺欺骗骗攻攻击击、电电子子邮件攻击、拒绝服务攻击等技术。邮件攻击

8、、拒绝服务攻击等技术。3攻击步骤攻击步骤第第一一步步：寻寻找找可可入入侵侵目目标标主主机机并并分分析析目目标标主机主机第第二二步步：入入侵侵有有安安全全漏漏洞洞的的主主机机并并获获取取账账号和密码，登录主机号和密码，登录主机第三步：得到超级用户权限，控制主机第三步：得到超级用户权限，控制主机第四步：隐藏自己第四步：隐藏自己6.2局域网中常用的安全技术6.2.1防病毒技术防病毒技术1感染病毒的征兆感染病毒的征兆（1）键盘、打印、显示有异常现象）键盘、打印、显示有异常现象（2）运行速度突然减慢）运行速度突然减慢（3）计算机系统出现异常死机或死机频繁）计算机系统出现异常死机或死机频繁（4）文件的长度

9、、内容、属性、日期无故改变）文件的长度、内容、属性、日期无故改变（5）丢失文件、丢失数据）丢失文件、丢失数据（6）系统引导过程变慢）系统引导过程变慢（7）磁盘上出现坏簇）磁盘上出现坏簇（8）存存储储系系统统的的存存储储容容量量异异常常减减少少或或有有不不明明常常驻程序驻程序（9）系统的）系统的RAM空间变小空间变小（10）系统不认识磁盘或是硬盘不能开机）系统不认识磁盘或是硬盘不能开机（11）整个目录变成一堆乱码）整个目录变成一堆乱码（12）硬盘的指示灯无缘无故点亮）硬盘的指示灯无缘无故点亮（13）计算机系统蜂鸣器出现异常声响）计算机系统蜂鸣器出现异常声响（14）没做写操作时出现）没做写操作时出

10、现“磁盘写保护磁盘写保护”信息信息（15）异常要求用户输入口令）异常要求用户输入口令（16）程序运行出现异常现象或不合理的结果）程序运行出现异常现象或不合理的结果2病毒感染后的一般修复处理方法病毒感染后的一般修复处理方法（1）对对系系统统破破坏坏程程度度先先有有一一个个全全面面了了解解，根根据据破破坏坏程程度度决决定定方方法法对对策策：重重装装系系统统、启启用用杀杀毒毒软软件、或请防病毒专家进行清除和数据恢复操作。件、或请防病毒专家进行清除和数据恢复操作。（2）修修复复前前，尽尽可可能能再再次次备备份份重重要要的的数数据据文文件件，不与平时的常规备份混在一起。不与平时的常规备份混在一起。（3）

11、启启动动杀杀病病毒毒软软件件，对对整整个个硬硬盘盘进进行行扫扫描描。使用事先准备的干净使用事先准备的干净DOS系统软盘启动系统。系统软盘启动系统。（4）如如果果可可执执行行文文件件中中的的病病毒毒不不能能被被清清除除，一一般应将其删除，然后重装相应的应用程序。般应将其删除，然后重装相应的应用程序。（5）杀杀毒毒完完成成后后，重重启启计计算算机机，再再次次用用杀杀毒毒软软件检查系统。件检查系统。（6）对对无无法法杀杀除除的的病病毒毒，应应将将病病毒毒样样本本送送交交杀杀毒软件厂商的研究中心，以供详细分析。毒软件厂商的研究中心，以供详细分析。计计算算机机病病毒毒是是多多变变的的，会会有有不不断断创

12、创造造出出来来的的新新病病毒毒，任任何何防防毒毒技技术术都都存存在在时时间间和和技技术术上上的的局局限限性性。让让杀杀毒毒软软件件不不断断升升级级，仍仍是是目目前前比比较较流流行行的的好好办办法。法。3防病毒技术防病毒技术（1）特征代码法）特征代码法（2）校验和法）校验和法（3）行为监测法）行为监测法（4）软件模拟法）软件模拟法（5）启发式扫描技术）启发式扫描技术6.2.2防火墙技术防火墙技术1防火墙定义防火墙定义防防火火墙墙是是置置于于不不同同网网络络安安全全域域之之间间的的一一系系列列部部件件的的组组合合，它它是是不不同同网网络络安安全全域域间间通通信信流流的的唯唯一一通通道道，能能根根据

13、据企企业业有有关关的的安安全全政政策策（允允许许、拒拒绝、监视、记录）控制进出网络的访问行为。绝、监视、记录）控制进出网络的访问行为。防防火火墙墙本本身身具具有有较较强强的的抗抗攻攻击击能能力力，是是提提供供信信息息安安全全服服务务，实实现现网网络络和和信信息息安安全全的的基基础础设设施施。在在逻逻辑辑上上，防防火火墙墙是是一一个个分分离离器器，一一个个限限制制器器，也也是是一一个个分分析析器器，有有效效地地监监控控内内部部网网和和Internet之间的各种活动，保证内部网络的安全。之间的各种活动，保证内部网络的安全。2防火墙分类防火墙分类（1）按按形形态态可可将将防防火火墙墙分分为为软软件件

14、防防火火墙墙和和硬件防火墙两种，如表硬件防火墙两种，如表6-3所示。所示。表6-3防火墙按形态划分软件防火墙硬件防火墙使用环境只有防火墙软件，需要额外的操作系统硬件和软件的集合，不需要额外的操作系统安全依赖性依赖低层操作系统依赖于专用的操作系统网络适应性弱强稳定性高较高软件升级方便灵活更新不太灵活（2）按保护对象可将防火墙分为网络防火）按保护对象可将防火墙分为网络防火墙和单机防火墙两种，如表墙和单机防火墙两种，如表6-4所示。所示。表6-4防火墙按保护对象划分单机防火墙网络防火墙产品形态软件硬件或软件安装点单台主机网络边界安全策略分散在各安全点对整个网络有效保护范围单台主机一个网段管理方式分散

15、管理集中管理功能单一复杂多样安全措施单点全局（3）按按使使用用的的核核心心技技术术，可可将将防防火火墙墙分分为为包包过过滤滤防防火火墙墙（根根据据流流经经防防火火墙墙的的数数据据包包头头信信息息，决决定定是是否否允允许许该该数数据据包包通通过过）、状状态态检检测测防防火火墙墙、应应用用代代理理防防火火墙墙、复复合合型防火墙等四种。型防火墙等四种。3防火墙的局限性防火墙的局限性（1）防防火火墙墙不不能能防防范范不不经经过过防防火火墙墙的的攻攻击击。如拨号访问、内部攻击等。如拨号访问、内部攻击等。（2）防防火火墙墙不不能能防防范范利利用用E-mail夹夹带带的的病病毒等恶性程序。毒等恶性程序。（3

16、）防防火火墙墙不不能能解解决决来来自自内内部部网网络络的的攻攻击击和安全问题。和安全问题。（4）防防火火墙墙不不能能防防止止策策略略配配置置不不当当或或错错误误配置引起的安全威胁。配置引起的安全威胁。（5）防防火火墙墙不不能能防防止止利利用用标标准准网网络络协协议议中中的的缺缺陷进行的攻击。陷进行的攻击。（6）防防火火墙墙不不能能防防止止利利用用服服务务器器系系统统漏漏洞洞所所进进行的攻击。行的攻击。（7）防防火火墙墙不不能能防防止止数数据据驱驱动动式式的的攻攻击击。有有些些表表面面看看来来无无害害的的数数据据邮邮寄寄或或拷拷贝贝到到内内部部网网的的主主机机上被执行时，可能会发生数据驱动式的攻

17、击。上被执行时，可能会发生数据驱动式的攻击。（8）防火墙不能防止本身安全漏洞的威胁。）防火墙不能防止本身安全漏洞的威胁。6常用的防火墙实现策略常用的防火墙实现策略（1）允允许许所所有有除除明明确确拒拒绝绝之之外外的的通通信信或或服服务务（2）拒拒绝绝所所有有除除明明确确允允许许之之外外的的通通信信或或服服务务实训19 杀毒软件、防火墙的安装与配置技能目标技能目标（1）了解、熟悉常见的防火墙产品及杀毒软件）了解、熟悉常见的防火墙产品及杀毒软件（2）掌掌握握防防火火墙墙基基本本结结构构、安安全全性性能能指指标标及及接接口，掌握典型防火墙的主要功能口，掌握典型防火墙的主要功能（3）了了解解防防火火墙

18、墙管管理理方方式式，初初步步掌掌握握防防火火墙墙用用户界面的使用方法户界面的使用方法（4）掌握瑞星杀毒软件的安装和配置）掌握瑞星杀毒软件的安装和配置实训环境实训环境（1）接入网络的计算机至少两台。）接入网络的计算机至少两台。（2）一一台台安安装装有有WindowsServer2000的的计算机。计算机。（3）正正版版的的瑞瑞星星个个人人防防火火墙墙软软件件和和端端口口扫扫描软件（描软件（X-Scan，Scan-Port等）。等）。（4）正版的瑞星杀毒软件。）正版的瑞星杀毒软件。实训任务实训任务任务一：防火墙的安装和配置任务一：防火墙的安装和配置（1）安装、设置个人防火墙）安装、设置个人防火墙（

19、2）根据实际情况，设置相应的安全策略）根据实际情况，设置相应的安全策略（3）掌握基本的包过滤规则设置）掌握基本的包过滤规则设置（4）验证规则的设置）验证规则的设置任务二：杀毒软件的安装和使用任务二：杀毒软件的安装和使用（1）安装、设置瑞星杀毒软件）安装、设置瑞星杀毒软件（2）根据实际应用设置相应的安全策略）根据实际应用设置相应的安全策略（3）掌掌握握瑞瑞星星杀杀毒毒软软件件的的基基本本操操作作：漏漏洞洞扫扫描描、病毒隔离、硬盘数据备份等工具的使用病毒隔离、硬盘数据备份等工具的使用实训步骤实训步骤实训任务一：瑞星个人防火墙的安装和配置实训任务一：瑞星个人防火墙的安装和配置1瑞星个人防火墙的安装瑞

20、星个人防火墙的安装（1）启动安装程序。）启动安装程序。下下载载瑞瑞星星个个人人防防火火墙墙软软件件或或者者直直接接从从光光盘盘安安装装，双双击击运运行行瑞瑞星星个个人人防防火火墙墙下下载载版版安安装装程程序序，根根据据安装向导进行逐步安装。安装向导进行逐步安装。（2）填写）填写“产品序列号产品序列号”和和“用户用户ID”。（3）填填写写完完毕毕，“下下一一步步”按按钮钮变变成成黑黑色色。单单击击“下下一一步步”按按钮钮，一一步步步步进进行行直直至至安安装装完完成成，就会出现就会出现“结束结束”对话框。对话框。2 2瑞星个人防火墙的配置瑞星个人防火墙的配置（1）启启动动瑞瑞星星个个人人防防火火墙

21、墙。单单击击“开开始始”“所所有有程程序序”“瑞瑞星星个个人人防防火火墙墙”“瑞瑞星星个个人人防防火火墙墙”，启启动动瑞瑞星星个个人人防火墙软件。防火墙软件。（2）设置。）设置。3验证防火墙规则验证防火墙规则实训任务二：瑞星杀毒软件的安装和配置实训任务二：瑞星杀毒软件的安装和配置1瑞星杀毒软件的安装瑞星杀毒软件的安装（1）启动安装程序。）启动安装程序。（2）填写）填写“产品序列号产品序列号”和和“用户用户ID”。（3）填填写写完完毕毕，“下下一一步步”按按钮钮变变成成黑黑色色。单击单击“下一步下一步”按钮，直至安装完成。按钮，直至安装完成。2瑞星杀毒软件设置瑞星杀毒软件设置（1）启动瑞星杀毒软

22、件。）启动瑞星杀毒软件。（2）设置。）设置。实训总结实训总结如果原来已经安装有杀毒软件或个人如果原来已经安装有杀毒软件或个人防火墙，需要将原来的版本卸载后才能进防火墙，需要将原来的版本卸载后才能进行安装。行安装。6.2.5VPN技术技术1VPN技术技术虚虚拟拟专专用用网网（Virtual Private Network，VPN）是是依依靠靠ISP（Internet服服务务提提供供商商）和和其其他他NSP（网网络络服服务务提提供供商商），在在公公用用网网络络中中建建立立专专用用的的数数据据通通信信网网络络的的技技术术。IETF草草案案理理解解基基于于IP的的VPN为为：“使使用用IP机机制制仿仿

23、真真出出一一个个私私有有的的广广域域网网”，是是通通过过私私有有的的隧隧道道技技术术在在公公共共数数据据网网络络上上仿真一条点到点的专线技术。仿真一条点到点的专线技术。这这有有如下三如下三层含义层含义。（1）VPN是是虚虚拟拟的的，不不是是真真的的专专用用网网络络。任任意意两两个个节节点点之之间间的的连连接接并并没没有有传传统统专专网网所所需需的的端端到到端端的的固固定定物物理理链链路路，而而是是利利用用某某种种公公众众网网的的资资源源动态组成的，网路只有用户需要时才建立动态组成的，网路只有用户需要时才建立。（2）能能实实现现专专用用网网络络的的功功能能，用用户户可可以以为为自自己己制定一个最

24、符合自己需求的网络。制定一个最符合自己需求的网络。（3）VPN实实际际上上是是一一种种服服务务，用用户户感感觉觉好好像像直直接接和和个个人人网网络络相相连连，但但实实际际上上是是通通过过服服务务商商来来实实现连接的。现连接的。2VPN工作原理工作原理VPN采用采用Client/Server工作模式，在有应用需工作模式，在有应用需求时，求时，VPN客户机通过电话线路客户机通过电话线路或或LAN接入本地接入本地Internet，然后利用然后利用Internet或其他公共互联网络或其他公共互联网络的基础设施为用户创建的基础设施为用户创建“隧道隧道”。当数据在。当数据在Internet上传输时，上传输

25、时，VPN协议对数据进行加密和协议对数据进行加密和鉴别，以保证数据的安全性，使客户机与服务器鉴别，以保证数据的安全性，使客户机与服务器的连接如同建立了专用的安全通道一样。的连接如同建立了专用的安全通道一样。3VPN的分类的分类VPN分类分类说明VPDN（基于 拨 号 的VPN）VPDN是用户利用拨号网络访问企业数据中心，并从企业数据中心获得一个私有IP地址，然后利用PPTP、L2F、L2TP等协议实现用户数据跨公共数据网络传送VPRN（基于 路 由 的VPN）VPRN是企业利用公共数据网络建立自己的私有企业网络，可自由规划企业各分支机构之间的地址、路由策略、安全机制等。实现协议包括GRE、L2

26、TP、VTP、IPSec、MPLS。通常应用在证券公司这类需要网络带宽保证的企业VLL（基于虚拟专线的VPN）VLL是基于虚拟专线的一种VPN，在公网上开出各种隧道，模拟专线来建立VPN，提供点对点的连接，用来连接两个用户终端设备CPE（可以是路由器、桥或者单独的主机）。VLL专线与实际专线相比成本较低，但质量和稳定性不是很好，当企业分支点或联系人较多时，管理困难VPLS（基于局域网仿真的VPN）VPLS是在公网上用隧道协议仿真出来一个局域网，透明地提供跨越公网的LAN服务，采用桥或路由器把CPE连接到ISP边界设备4VPN应具备应具备的的几个特点几个特点（1）安全保障安全保障（2）服务质量保

27、证（服务质量保证（QoS）（3）可扩充性和灵活性可扩充性和灵活性（4）可管理性可管理性5VPN安全技术安全技术（1）隧道技术隧道技术（2）加解密技术加解密技术（3）密钥管理技术密钥管理技术（4）身份认证技术身份认证技术实训实训20 虚拟局域网的配置虚拟局域网的配置技能目标技能目标（1）了解）了解VLAN定义和功能定义和功能（2）掌握）掌握VLAN的划分方法的划分方法（3）熟悉）熟悉VLAN的配置方法和具体配置的配置方法和具体配置理论基础理论基础1通过路由器实现通过路由器实现VLAN间的通信间的通信第第一一种种：通通过过路路由由器器的的不不同同物物理理接接口口与与交交换机上的每个换机上的每个VL

28、AN分别连接分别连接第二种：通过路由器的逻辑子接口与交换机的各第二种：通过路由器的逻辑子接口与交换机的各个个VLAN连接，如图连接，如图6-14所示。所示。2用交换机代替路由器实现用交换机代替路由器实现VLAN间间的通信的通信第第一一种种：启启用用交交换换机机的的路路由由功功能能，这这种种方方式式的的实实现方法可采用以上介绍的路由器方式的任一种。现方法可采用以上介绍的路由器方式的任一种。第第二二种种：利利用用某某些些高高端端交交换换机机所所支支持持的的专专用用VLAN功能来实现功能来实现VLAN间的通信。间的通信。实训环境实训环境硬件环境：交换机，计算机，传输介质硬件环境：交换机，计算机，传输

29、介质实训任务实训任务 （1）本地）本地VLAN间的通信。间的通信。（2）跨交换机）跨交换机VLAN间的通信。间的通信。实训步骤实训步骤实训任务一实训任务一（1）按按照照图图6-15给给出出的的网网络络拓拓扑扑结结构构连连接接好设备。好设备。（2）规划）规划IP地址与地址与VLAN。将将网网络络划划分分为为两两个个VLAN，PC1和和PC2为为一一个个VLAN，PC3为另一个为另一个VLAN。（3）配置配置IP地址和网关。地址和网关。S3550交换机设置交换机设置VLAN2（172.16.2.1/24）、）、VLAN3（172.16.3.1/24）两个两个VLAN。将将PC1（172.16.2.

30、12/24）、）、PC2（172.16.2.13/24）加入加入VLAN2，PC1与与PC2网关均为网关均为172.16.2.1；PC3（172.16.3.12/24）加入加入VLAN4，PC4网关为网关为172.16.3.1。（4）配置交换机。）配置交换机。Switchen由用户模式进入特权模式由用户模式进入特权模式Switch#conft由特权模式进入配置模式由特权模式进入配置模式Switch(config)#hostnameC3550在配置模式下修改主机名在配置模式下修改主机名C3550(config)#exitC3550#vlandatabase进入进入VLAN配置模式配置模式C355

31、0(vlan)#vlan 2 name student 创创建建了了一一个个编编号号为为2 名名字字为为student的的VLANC3550(vlan)#vlan3nameteacher创创建建了了一一个个编编号号为为3名名字字为为teacher的的VLANC3550(vlan)#exitC3550#conftC3550(config)#intfastethernet0/1进入快速以太口进入快速以太口C3550(config-if)#switchport access vlan 2 将将快快速速以以太太口口划划分分入入VLAN2C3550(config-if)#exitC3550(config

32、)#intfastethernet0/2C3550(config-if)#switchportaccessvlan2C3550(config-if)#exitC3550(config)#intfastethernet0/12C3550(config-if)#switchportaccessvlan3C3550(config-if)#endC3550#write保存配置信息保存配置信息C3550#conftC3550(config)#intvlan2给给VLAN2的的所所有有节节点点分分配配静静态态IP地地址址C3550(config-if)#ipadd172.16.2.1255.255.255

33、.0C3550(config-if)#noshutC3550(config-if)#exitC3550(config)#intvlan3C3550(config-if)#ipadd172.16.3.1255.255.255.0C3550(config-if)#noshutC3550(config-if)#endC3550#conftC3550(config)#iprouting启用路由启用路由C3550(config)#endC3550#write（5）测试。）测试。在在PC1上上pingPC2，能，能ping通；通；在在PC1上上pingPC3，能，能ping通；通；在在PC2上上pingP

34、C3，能，能ping通。通。（6）结结论论：从从测测试试结结果果可可得得知知，VLAN2和和VLAN3间实现了通信。间实现了通信。实训任务二实训任务二（1）按按照照图图6-16给给出出的的网网络络拓拓扑扑结结构构连连接接好设备。好设备。（2）规划）规划IP地址与地址与VLAN。将将网网络络划划分分为为两两个个VLAN，PC1和和PC3为为一一个个VLAN，PC2和和PC4为另一个为另一个VLAN。（3）配置配置IP地址和网关地址和网关S1交换机上设置交换机上设置VLAN2（172.16.2.1/24），），S2交换机上设置交换机上设置VLAN3（172.16.3.1/24）两个两个VLAN。将

35、将PC1（172.16.2.12/24）、）、PC3（172.16.2.13/24）加入加入VLAN2，PC1与与PC3网关均为网关均为172.16.2.1；PC2（172.16.3.12/24）、）、PC4（172.16.3.14/24）加入加入VLAN3，PC2、PC4网关均为网关均为172.16.3.1。（4）在交换机上配置。）在交换机上配置。设置设置VTPDOMAIN（管理域）。管理域）。VTP是是VLANTrunkingProtocol的缩写，是的缩写，是VLAN链路聚集协议，用于在建立了汇聚链路的链路聚集协议，用于在建立了汇聚链路的交换机之间同步和传递交换机之间同步和传递VLAN配

36、置信息的协议，配置信息的协议，以在同一个以在同一个VTP域中维持域中维持VLAN配置的一致性。配置的一致性。VTP有三种工作模式，分别为有三种工作模式，分别为serverclienttransparent。S1#vlandatabase进入进入VLAN配置模式配置模式S1(vlan)#vtpdomainS1设设置置VTP管管理理域域名名称称S1S1(vlan)#vtpserver 设置交换机为服务器模式设置交换机为服务器模式S2#vlandatabase进入进入VLAN配置模式配置模式S2(vlan)#vtpdomainS1设设置置VTP管管理理域域名名称称S1S2(vlan)#vtpClie

37、nt 设置交换机为客户端模式设置交换机为客户端模式配配置置中中继继（保保证证管管理理域域能能够够覆覆盖盖所所有有的的分分支支交交换机）。换机）。在核心交换机端配置如下：在核心交换机端配置如下：S1(config)#interfaceFastEthernet0/5S1(config-if)#switchporttrunkencapsulationdot1q配置中继协议S1(config-if)#switchportmodetrunk 在分支交换机端配置如下：在分支交换机端配置如下：S2(config)#interfaceFastEthernet0/5S2(config-if)#switchpor

38、tmodetrunk创建创建VLAN。S1#vlandatabaseS1(vlan)#Vlan2namevlan2创创建建一一个个编编号号为为2、名字为、名字为vlan2的的VLANS1(vlan)#Vlan3namevlan3创建一个编号创建一个编号为为3、名字为、名字为vlan3的的VLAN将交换机端口划入将交换机端口划入VLAN。S1#conftS1(config)#interfacefastEthernet0/1配置端口配置端口1S1(config-if)#switchport access vlan 2 归归 属属VLAN2S1(config-if)#exitS1(config)#i

39、nterfacefastEthernet0/3配置端口配置端口2S1(config-if)#switchport access vlan 3 归归 属属VLAN3S1(config-if)#endS1#writeS2#conftS2(config)#interfacefastEthernet0/2配置端口配置端口1S2(config-if)#switchportaccessvlan2归归 属属VLAN2S2(config-if)#exitS2(config)#interfacefastEthernet0/4配置端口配置端口2S2(config-if)#switchport access vla

40、n 3 归归 属属VLAN3S2(config-if)#endS2#write配配置置三三层层交交换换，给给VLAN所所有有的的节节点点分分配配静静态态IP地址。地址。在核心交换机上分别设置各在核心交换机上分别设置各VLAN的接口的接口IP地址：地址：S1(config)#interfacevlan2S1(config-if)#ip address 172.16.2.1 255.255.255.0VLAN2接口接口IPS1(config)#interfacevlan3S1(config-if)#ipaddress172.16.3.1255.255.255.0VLAN3接口接口IP 测试。测试。

41、在在PC1上上pingPC3，能能通通，表表示示同同一一VLAN内可以实现通信；内可以实现通信；在在PC1上上ping PC4，能能通通，即即VLAN2与与VLAN3可可以以通通信信，表表示示不不同同VLAN间间实实现现了通信。了通信。还还可可以以在在PC2上上对对PC3、PC4进进行行连连通通性性测测试，比较测试结果是否相同。试，比较测试结果是否相同。实训总结实训总结（1）VLAN内内部部可可以以直直接接通通信信，VLAN间间的通信必须通过路由。的通信必须通过路由。（2）VLAN间间的的通通信信需需要要进进行行路路由由，但但并并不不一一定定需需要要路路由由器器，可可以以通通过过具具有有路路由

42、由功功能的三层交换机解决。能的三层交换机解决。6.3WindowsServer2003的安全性设置1账户策略账户策略（1）密码策略设定）密码策略设定（2）账户锁定策略设定）账户锁定策略设定（3）Kerberos策略设定策略设定2本地策略本地策略选选择择“开开始始”“管管理理工工具具”“本本地地安安全全策策略略”。（1）审核策略）审核策略（2）用户权利分配）用户权利分配（3）安全选项）安全选项（4）禁用不必要的服务）禁用不必要的服务（5）启用防火墙）启用防火墙（6）事件日志）事件日志（7）受限制的组）受限制的组（8）系统服务）系统服务（9）IP安全策略安全策略实训21 Windows Serve

43、r 2003的安全策略设置技能目标技能目标（1）了了解解WindowsServer2003的的安安全全策策略略（2）熟悉掌握）熟悉掌握WindowsServer2003的安的安全策略设置全策略设置理论基础理论基础1密码策略的设置密码策略的设置（1）强制密码历史）强制密码历史（2）密码最长使用期限）密码最长使用期限（3）密码最短使用期限）密码最短使用期限（4）密码长度最小值）密码长度最小值（5）密码必须符合复杂性要求）密码必须符合复杂性要求（6）用可还原的加密来存储密码）用可还原的加密来存储密码2账户锁定策略账户锁定策略（1）账户锁定时间）账户锁定时间（2）账户锁定阈值）账户锁定阈值（3）复位账

44、户锁定计数器）复位账户锁定计数器实训任务实训任务WindowsServer2003安全设置安全设置（1）账户策略设置）账户策略设置（2）本地策略设置）本地策略设置实训步骤实训步骤1账户策略设置账户策略设置（1）本地计算机密码策略设置）本地计算机密码策略设置第第1步步：选选择择“开开始始”“管管理理工工具具”“本本地地安安全全策策略略”“账账户户策策略略”“密密码码策策略略”，在在对对话话框框右右边边窗窗格格中中显显示示的的是是密密码码策策略略选选项项的的当当前前配配置置情情况况。对对于于本本地地计计算算机机中中用用户户的的“账账户户和和本本地策略地策略”，都在此管理工具中进行配置。，都在此管理

45、工具中进行配置。第第2步：具体设置密码策略的各项步：具体设置密码策略的各项（2）账户锁定策略设置）账户锁定策略设置第第1步步：选选择择“开开始始”“管管理理工工具具”“本本地地安安全全策策略略”“账账户户策策略略”“账账户户锁锁定定策策略略”，在在对对话话框框右右边边窗窗格格中中显显示示的的是是账账户户锁锁定定策策略略选选项的当前配置情况。项的当前配置情况。第第2步步：具具体体设设置置账账户户锁锁定定策策略略的的各各项项（下下面面以以“账账户户锁锁定定阈阈值值”为为例例，其其余余各各项项设设置置与与此此相相同同）。（3）Kerberos策略设置策略设置2本地策略设置本地策略设置（1）本地计算机审核策略。）本地计算机审核策略。（2）其其余余的的“用用户户权权限限分分配配”等等策策略略的的设设置置与与此基本相同。不再一一重复。此基本相同。不再一一重复。实训总结实训总结（1）要要进进行行安安全全性性设设置置，必必须须将将WindowsServer2003操作系统安装时选择操作系统安装时选择NTFS分区上。分区上。（2）在在域域账账户户中中只只能能有有一一个个账账户户策策略略，且且在在默默认的域策略中也必须定义账户策略。认的域策略中也必须定义账户策略。