計(jì)算機(jī)網(wǎng)絡(luò)》實(shí)驗(yàn)指導(dǎo)書作者:劉桂江江偉計(jì)算機(jī)與信息學(xué)院2008.9

實(shí)驗(yàn)環(huán)境項(xiàng)目型號(hào)數(shù)量微機(jī)/服務(wù)器清華同方/15'/多媒體48臺(tái)網(wǎng)卡RealTek48塊Windows2000SERVER中文版安裝盤（自啟動(dòng)）多套交換機(jī)S2126G多臺(tái)交換機(jī)S3550G多臺(tái)路由器R1762多臺(tái)說明網(wǎng)絡(luò)實(shí)驗(yàn)所需要的軟件存放于FTP://7目錄下。實(shí)驗(yàn)一Windows2000Server的安裝和管理、實(shí)驗(yàn)?zāi)康?．234．熟悉Windows2000Server1．234．二、實(shí)驗(yàn)任務(wù)1．Windows2000Server的安裝；使用ping測試機(jī)器間的連通性；3．使用Windows2000Server管理工具。包括：賬號(hào)管理、日志文件管理、服務(wù)管理，重點(diǎn)掌握Windows2000Server中賬號(hào)管理；4.使用資源管理器對(duì)Windows2000Server文件權(quán)限進(jìn)行管理。三、實(shí)驗(yàn)步驟（一）Windows2O0OServer安裝1、 Windows2000Server系統(tǒng)安裝盤目錄結(jié)構(gòu)：BOOTDISK內(nèi)含系統(tǒng)引導(dǎo)軟盤制作工具以及創(chuàng)建引導(dǎo)軟盤所用的Img文件；Clients 內(nèi)含用于Windows95/98系統(tǒng)的客戶端增強(qiáng)程序；I386 內(nèi)含Windows2000在Intel平臺(tái)上的安裝文件；Printers 內(nèi)含Windows2000/NT/9X工作站的部分打印驅(qū)動(dòng)程序；Setup.txt Windows2000的安裝說明文檔；Supper Windows2000ServerResourceKit工具、應(yīng)用程序兼容性檢查工具、版本號(hào)檢查工具以及硬件兼容性列表；Valueadd內(nèi)含Windows2000server的一些沒有經(jīng)過完全測試的組件，包括Microsoft提供的部分，以及由第三方提供的部分。2、 硬件配置要求為充分發(fā)揮性能，請(qǐng)確保要安裝Windows2000Server的計(jì)算機(jī)滿足以下要求：?奔騰133-MHz或更高的中央處理器（CPU）。每臺(tái)計(jì)算機(jī)最多可支持四路CPU。建議最少有256MBRAM（最少128MB；最多4GB）。?硬盤分區(qū)有足夠的可用空間來執(zhí)行安裝程序。至少需要大約1GB的空間。也可能需要更多的空間，這取決于以下因素：/所安裝的組件：組件越多，需要的磁盤空間就越大。/所使用的文件系統(tǒng)：FAT需要的可用磁盤空間比其他文件系統(tǒng)多100-200MB。丁安裝方法：如果從網(wǎng)絡(luò)安裝，需要比從CD-ROM安裝多100-200MB的可用磁盤空間。（從網(wǎng)絡(luò)安裝時(shí)，安裝過程中需要使用更多的驅(qū)動(dòng)程序文件。）/頁面文件的大小。另外，升級(jí)比全新安裝需要更多的磁盤空間，因?yàn)樵谏?jí)過程中，增加ActiveDirectory功能時(shí)，現(xiàn)有的用戶賬號(hào)數(shù)據(jù)庫可能會(huì)擴(kuò)大十倍。注意：安裝過程需要上述可用磁盤空間。安裝完成后，操作系統(tǒng)實(shí)際使用的硬盤空間（不包括用戶賬號(hào)）通常比安裝所需的可用空間少，這取決于所安裝的系統(tǒng)組件。3、選擇文件系統(tǒng)對(duì)于運(yùn)行Windows2000Server計(jì)算機(jī)上的分區(qū)，可以在三個(gè)文件系統(tǒng)之間選擇NTFS、FAT和FAT32。建議使用NTFS系統(tǒng)。FAT和FAT32相似，只不過FAT32可用于比FAT更大的磁盤。（在大磁盤上最好用的文件系統(tǒng)是NTFS）。NTFS是比FAT和FAT32功能更強(qiáng)大的文件系統(tǒng)。Windows2000Server包括NTFS的新版本，支持各種功能，包括域、用戶賬號(hào)及其他重要安全功能所需的ActiveDirectory。安裝程序可以很容易將分區(qū)轉(zhuǎn)換成新版本的NTFS,即使以前使用的是FAT或FAT32這種轉(zhuǎn)換可以保持文件的完整性（和格式化分區(qū)不同）。如果不需要保持文件的完整性，并且有FAT或FAT32分區(qū)，建議用NTFS格式化分區(qū)，而不要從FAT或FAT32轉(zhuǎn)換。有一種情況，可能要選擇FAT或FAT32作為文件系統(tǒng)。如果計(jì)算機(jī)必須有時(shí)運(yùn)行較早版本的操作系統(tǒng)，有時(shí)運(yùn)行Windows2000,則需要FAT或FAT32分區(qū)作為硬盤的主（或啟動(dòng)）分區(qū)。這是因?yàn)檩^早版本的操作系統(tǒng)不能訪問使用NTFS最新版本的分區(qū)，但有一種情況例外。這個(gè)例外就是帶有ServicePack4的WindowsNT4.0或更新版本，它可以訪問使用NTFS最新版本的分區(qū)，但有一些限制oWindowsNT4.0無法訪問使用WindowsNT4.0發(fā)行時(shí)還沒有的NTFS功能存儲(chǔ)的文件。對(duì)于多操作系統(tǒng)之外的其他任何情況，建議使用NTFS文件系統(tǒng)。表1描述了每個(gè)文件系統(tǒng)與各種操作系統(tǒng)的兼容性。表1NTFS運(yùn)行Windows2000的計(jì)算機(jī)可以訪問NTFS分區(qū)上的文件。運(yùn)行帶有ServicePack4的WindowsNT4.0或更新版本的計(jì)算機(jī)能夠訪問某些文件。不允許其他操作系統(tǒng)訪問。FAT16可以通過MS-DOS、所有的Windows版本、WindowsNT、Windows2000和OS/2訪問。FAT32只能通過Windows95OSR2、Windows98和Windows2000訪問。表2比較了每個(gè)文件系統(tǒng)可能的磁盤和文件大小。表2NTFS建議最小的卷大小為10MB左右。建議卷的實(shí)際最大值最為2TB。更大的也可以。不能用于軟盤。文件大小只受卷大小的限制。FAT從軟盤到4GB的卷。不支持域。文件大小的最大值為2GBoFAT32從512MB到2TB的卷。在Windows2000中，最大只能格式化32GB的FAT32卷。文件大小的最大值為4GBo選擇NTFS時(shí)能夠?qū)崿F(xiàn)的功能是：ActiveDirectory，可用來方便地查看和控制網(wǎng)絡(luò)資源。域,ActiveDirectory的一部分，可用來調(diào)整安全選項(xiàng)，同時(shí)保持管理的簡單性。域控制器要求NTFS。文件加密，可以顯著地增強(qiáng)安全性。不僅可以在文件夾上，還可以在單個(gè)文件上設(shè)置權(quán)限。稀疏文件。這些是應(yīng)用程序以一種只需要有限磁盤空間方式創(chuàng)建的大文件。也就是說，NTFS只對(duì)寫入的文件部分分配磁盤空間。?遠(yuǎn)程存儲(chǔ)，可以通過更多地訪問可移動(dòng)媒體（如磁帶）來擴(kuò)展磁盤空間。?磁盤操作的故障恢復(fù)日志記錄，在停電或出現(xiàn)其他系統(tǒng)問題時(shí)可以幫助迅速恢復(fù)信息。磁盤配額，可用來監(jiān)視和控制單個(gè)用戶使用的磁盤空間量。對(duì)于大驅(qū)動(dòng)器有更好的可擴(kuò)展性。NTFS驅(qū)動(dòng)器大小的最大值比FAT大得多，隨著驅(qū)動(dòng)器大小的增加，使用NTFS的性能不會(huì)象使用FAT那樣降低。4、網(wǎng)絡(luò)安裝Windows2000Server（了解）在要安裝Windows2000的計(jì)算機(jī)上，連接到共享的安裝文件夾I386（服務(wù)器上）。進(jìn)入共享的文件夾I386，運(yùn)行Winnt.exe。注意：為了獲得最高的效率，可以使用磁盤高速緩存。否則安裝過程（從Winnt.exe安裝）要花很長時(shí)間。在運(yùn)行Windows3.x或MSDOS的計(jì)算機(jī)上啟用磁盤緩存的常用方法是使用SmartDriver。5、 安裝過程中一些設(shè)置規(guī)定：?計(jì)算機(jī)名：machineN（機(jī)器號(hào)）；域名：domainN；系統(tǒng)管理員賬號(hào)：Administrator密碼：計(jì)算機(jī)名注意：不要自己任意設(shè)置管理員帳號(hào)和密碼。獨(dú)立服務(wù)器方式，組名：workgroupN；IP地址設(shè)定：—8（機(jī)器號(hào)）， （netmask）,54（gateway）DNS：其它設(shè)置：采用默認(rèn)設(shè)置。6、 使用ping測試到網(wǎng)關(guān)或機(jī)器間的連通性如：ping54（二）Windows2000Server管理工具1、賬號(hào)管理工具Windows2000server是典型的多用戶操作系統(tǒng)。每個(gè)用戶擁有自己的系統(tǒng)配置以及權(quán)限許可，通過相應(yīng)的設(shè)置可進(jìn)行基本的用戶和組的管理操作。用戶是Windows2000server中一個(gè)很重要的概念，用戶權(quán)限好比員工在公司有不同的業(yè)務(wù)，有不同的活動(dòng)范圍，要保證工作組織的有序，最基本的要求就是要標(biāo)識(shí)不同的員工，并保證不同員工從事他們應(yīng)該的工作。在啟動(dòng)windows2000的登陸界面上，系統(tǒng)要求我們提供用戶名和口令，登陸到系統(tǒng)中我們就可以以當(dāng)前登陸的身份訪問計(jì)算機(jī)。1）在Windows2000中建立賬戶從開始一一程序一一管理工具一一計(jì)算機(jī)管理打開窗口，顯示為本地，即用此工具管理本地的用戶和組。此外在“運(yùn)行”處鍵入MMC,激活控制臺(tái)在控制臺(tái)下選中“添加/刪除管理單元”打開選項(xiàng)卡，選擇“添加”顯示出二十多個(gè)獨(dú)立管理單元，選中本地用戶和組，即可以對(duì)賬號(hào)進(jìn)行修改、管理，也可以達(dá)到同樣目的。如果選擇“選擇目標(biāo)機(jī)器”則可以用這個(gè)管理單元進(jìn)行對(duì)其他機(jī)器的管理，達(dá)到遠(yuǎn)程管理。本地用戶圖1大家可以看到：進(jìn)入賬號(hào)管理器時(shí)，即使沒有建立任何賬號(hào)和組，也會(huì)看到許多用戶和組，稱之為內(nèi)置賬號(hào)和組。下面分別對(duì)內(nèi)置的幾個(gè)賬號(hào)進(jìn)行描述：Administrator是本地管理員賬號(hào)。在安裝windows2000系統(tǒng)后，第一次都需要使用管理員賬號(hào)。Administrator擁有管理用戶賬號(hào)、管理共享資源、管理磁盤和文件系統(tǒng)、系統(tǒng)配置和管理、以及軟件和硬件的安裝權(quán)限。總之管理員擁有對(duì)系統(tǒng)完全控制的權(quán)利，所以密碼應(yīng)妥善保管。Guest是客戶的訪問賬號(hào)，Guest賬號(hào)在系統(tǒng)被要求可以被所有人都可以訪問時(shí)是非常有效的。Windows2000提供基于用戶的安全性，任何人訪問某一主機(jī)時(shí)，都必須有一種身份，也就是賬號(hào)。當(dāng)用戶訪問網(wǎng)絡(luò)中的某一臺(tái)主機(jī)身份不能被驗(yàn)證時(shí)，如果此時(shí)Guest賬號(hào)被Enable，則系統(tǒng)會(huì)自動(dòng)賦予他Guest賬號(hào)的身份，讓他以Guest賬號(hào)訪問主機(jī)。例如：你在一個(gè)工作組方式的網(wǎng)絡(luò)中，你希望網(wǎng)絡(luò)中的任何主機(jī)都可訪問你的Windows2000服務(wù)器，最簡單的做法是將服務(wù)器上的Guest賬號(hào)Enable，這樣通過網(wǎng)絡(luò)連接你的服務(wù)器而身份驗(yàn)證不能通過的用戶，都會(huì)當(dāng)作Guest賬戶處理。所以這是一種帶有安全隱患的解決方案。創(chuàng)建本地用戶賬號(hào)過程如下：?激活“新用戶”對(duì)話框：鼠標(biāo)右鍵單擊“新用戶”?登錄名長度：不得超過20個(gè)字符?登錄名使用的字符：不包括“八：；1=,+—?*[]”這十二個(gè)字符?命名習(xí)慣：如果Windows2000server中需要設(shè)置大量的本地用戶賬號(hào)，建議使用實(shí)際的名字作為登錄名?輸入密碼和確認(rèn)密碼：必須為用戶建立密碼，從而保護(hù)未授權(quán)用戶訪問他人的資源，密碼作為身份驗(yàn)證的關(guān)鍵信息，應(yīng)該避免過于簡單，用戶必須注意以下問題：/密碼長度：Windows2000server中支持用戶使用最多長大128字符的密碼，推薦使用最短密碼長度為8個(gè)字符/字符的使用：建議用戶使用大寫、小寫字母，符號(hào)以及數(shù)字組成密碼。更名和刪除用戶賬號(hào)在Windows2000創(chuàng)建用戶賬號(hào)后，系統(tǒng)會(huì)分配給此賬號(hào)以一個(gè)唯一的安全標(biāo)識(shí)碼SID(SecurityIdentifier)0它與用戶名無關(guān)，重命名操作不會(huì)修改SID，因此能夠繼承原有用戶名所對(duì)應(yīng)的權(quán)限，避免管理員重新為其分配權(quán)限。如果公司內(nèi)發(fā)生人事調(diào)動(dòng)，不必創(chuàng)建新用戶，只需修改原有的用戶名，并將其分配給代替者即可。由于不是永久性的原因，Windows2000一般不推薦使用刪除操作。刪除賬號(hào)，實(shí)際刪除了賬號(hào)對(duì)應(yīng)的SID，即使用戶再次創(chuàng)建同一用戶名的本的賬號(hào)，其所獲的SID也不同，原先的權(quán)限及許可都會(huì)丟失，需要重新分配。本地用戶的屬性對(duì)賬號(hào)創(chuàng)建完之后，雙擊用戶賬號(hào)，彈出用戶的屬性對(duì)話框，管理員可以進(jìn)行以下配置：在“常規(guī)”欄下有5個(gè)選擇欄?！坝脩粝麓蔚卿洉r(shí)需修改密碼”如果選中用戶登錄時(shí)系統(tǒng)會(huì)自動(dòng)提示修改密碼，更改后此選項(xiàng)會(huì)自動(dòng)去掉；“用戶不能更改密碼”管理員可以決定是否不允許用戶修改密碼，一般情況下，建議將修改密碼的權(quán)利賦予用戶；“密碼永不過期”用戶賬號(hào)是否受密碼過期策略的限制；“賬號(hào)已停用”如果組織成員或公司職員離職，可以不刪除賬號(hào)，新的替代者到來后，可以方便的通過修改用戶名和密碼，將此賬號(hào)分配給替代者并使其繼承原有用的權(quán)限；“鎖定賬號(hào)”賬號(hào)只有鎖定時(shí)才可選，當(dāng)用戶賬號(hào)因?yàn)橐欢ù螖?shù)的登錄失敗記錄而被鎖定時(shí)，管理員可以清除此復(fù)選框，解除用戶的鎖定，這個(gè)賬號(hào)便可以重新使用?！半`屬于”可以把選定的賬號(hào)加入到不同的組中。2）Windows2000本地中的組組的概念組是用戶賬號(hào)的集合。用組來組織是一種有效的管理手段，組可以向用戶一樣被賦予權(quán)限和許可，組內(nèi)的用戶可獲得組所具有的權(quán)限和許可。管理員可以使用簡化用戶對(duì)資源的管理，避免多次此重復(fù)操作。本地組是本地用戶賬戶的集合，與域中基于AD（活動(dòng)目錄）的組相區(qū)別，本地組僅存在于本地，本地組是非域控制器的Windows2000上創(chuàng)建的，所以本地組就像本地用戶一樣，只存在于本地計(jì)算機(jī)中，只在本地起作用。組的管理圖2Windows2000在安裝后除本地賬戶外系統(tǒng)還內(nèi)建了本地的組，這些本地的組是根據(jù)用戶訪問系統(tǒng)資源的權(quán)限劃分的，內(nèi)置本地組包括：Administrator管理員組是系統(tǒng)中權(quán)限最高的組，讓一個(gè)用戶成為系統(tǒng)管理員的方法就是讓用戶成為這個(gè)組的成員。管理員組的成員可以進(jìn)行以下工作：?安裝服務(wù)包例如ServicePack?升級(jí)操作系統(tǒng)修復(fù)操作系統(tǒng)配置操作系統(tǒng)的關(guān)鍵設(shè)置例如：密碼策略，訪問控制獲得無訪問權(quán)的所有權(quán)，管理員組成員并不能無條件的訪問所有資源，在NTFS文件系統(tǒng)中，文件所有權(quán)可能會(huì)限制管理員的訪問，此時(shí)管理員可以通過獲得所有權(quán)的操作來訪問到這些資源。管理安全日志和審計(jì)日志備份和恢復(fù)系統(tǒng)?安裝操作系統(tǒng)和組件，包括硬件驅(qū)動(dòng)程序和系統(tǒng)服務(wù)Backupoperators備份操作組是系統(tǒng)中實(shí)現(xiàn)安全性管理中很重要的組，他的成員可以不受文件訪問權(quán)限的限制，備份和恢復(fù)計(jì)算機(jī)上的文件。這意味著，系統(tǒng)中任何關(guān)鍵文件，數(shù)據(jù)，這個(gè)組的成員都可以進(jìn)行備份，所以這個(gè)組的成員應(yīng)該嚴(yán)格控制。Poweruser組的成員的權(quán)限介于用戶組和管理員組之間，可進(jìn)行系統(tǒng)中一般的管理工作。他不能通過獲得文件所有權(quán)的辦法在NTFS分區(qū)上訪問其他用戶的數(shù)據(jù)，不能對(duì)Administrator，BackupOperators組的成員進(jìn)行修改。2、安全策略管理安全策略和NTFS文件系統(tǒng)的權(quán)限是Windows2000的系統(tǒng)安全性兩個(gè)首要條件°NTFS文件系統(tǒng)的權(quán)限設(shè)置，是用來提供對(duì)文件訪問的安全性的，同時(shí)通過對(duì)Windows2000系統(tǒng)文件的權(quán)限的設(shè)置也提供對(duì)系統(tǒng)一定程度的保護(hù)。而安全策略則是直接對(duì)系統(tǒng)本身的一些操作提供的安全性保護(hù)，用來實(shí)現(xiàn)Windows2000計(jì)算機(jī)和用戶的控制。圖3本地安全設(shè)置：本地安全策略控制的是系統(tǒng)本身的安全特性和用戶的一些行為。按下面步驟，可以打開本地安全策略：點(diǎn)擊“開始”，選擇“程序”把鼠標(biāo)滑向“管理工具”選擇“本地安全策略”在本地安全策略中，最基本的是“賬戶策略”和“本地策略”1）賬戶策略定義的是用戶賬號(hào)安全性的增強(qiáng)，包括：“密碼策略”、“賬號(hào)鎖定策略”。密碼策略：“密碼必須符合復(fù)雜性要求”“密碼長度最小值”“密碼最長保留期”“密碼最短保留期”“強(qiáng)制密碼歷史”“為域中所有用戶使用可以還原的加密儲(chǔ)存密碼”賬號(hào)鎖定策略：賬號(hào)鎖定策略是用來對(duì)付試探口令的黑客行為。賬號(hào)可以在指定的次數(shù)的口令試探后鎖定，也就是不能再使用。對(duì)一般的賬號(hào)可以設(shè)定在一段時(shí)間后解鎖，這樣就可以大大減慢試探口令的速度。對(duì)于關(guān)鍵賬號(hào)可以一直鎖定到管理員來處理。包括：“賬號(hào)鎖定閥值”當(dāng)用戶開始輸入口令時(shí)，系統(tǒng)內(nèi)部有一個(gè)計(jì)數(shù)器開始記錄錯(cuò)誤的口令的次數(shù)，當(dāng)這個(gè)次數(shù)達(dá)到這個(gè)閥值參數(shù)后，賬號(hào)就被鎖定。這個(gè)值0表示不鎖定。（在鎖定計(jì)算機(jī)和屏幕保護(hù)中輸入的錯(cuò)誤口令不在計(jì)數(shù)器的記錄范圍中）

“賬號(hào)鎖定時(shí)間”這個(gè)時(shí)間是用戶的賬號(hào)被鎖定后自動(dòng)解開鎖需要的時(shí)間?？梢赃x擇的范圍是1－99999分鐘，0表示一直保持鎖定直到管理員在“用戶管理”工具中手工解除鎖定?！皬?fù)位賬號(hào)鎖定計(jì)數(shù)器”這個(gè)設(shè)置用來指定賬號(hào)鎖定計(jì)數(shù)器的復(fù)位時(shí)間，范圍也是1—99999分鐘。這個(gè)值不能大于鎖定時(shí)間的值，也就是要在賬號(hào)解鎖之前復(fù)位。2）本地策略對(duì)本機(jī)系統(tǒng)的安全性的配置，包括：“審核策略”“用戶權(quán)利指派”和“安全選項(xiàng)”。審核策略配置的是對(duì)系統(tǒng)行為的審核，也就是將某些操作的成功或失敗記錄在事件日志中。一般情況下可以對(duì)操作的成功和失敗都進(jìn)行記錄，主要有：審核登錄事件：用戶在本機(jī)的登錄；審核賬號(hào)登錄事件：用戶在其他計(jì)算機(jī)上登錄，但是用戶的身份驗(yàn)證是在這臺(tái)計(jì)算機(jī)上進(jìn)行的；審核賬號(hào)管理：對(duì)賬號(hào)的管理操作，如建立用戶和組，修改重命名用戶和組，修改和重置口令；審核對(duì)象訪問：用戶對(duì)對(duì)象的訪問（文件，文件夾，系統(tǒng)注冊(cè)表，打印機(jī)）具體到某個(gè)對(duì)象，如某個(gè)文件的審核，還需要在文件本身的屬性安全性選項(xiàng)中指定審核；審核系統(tǒng)事件：系統(tǒng)的啟動(dòng)和關(guān)機(jī)，對(duì)系統(tǒng)安全性產(chǎn)生影響的一些事件。用戶權(quán)利用來對(duì)計(jì)算機(jī)上進(jìn)行某種操作進(jìn)行授權(quán)。用戶權(quán)利可以分為兩種類型：登錄權(quán)利和特權(quán)。登錄權(quán)利可以控制用戶和其他對(duì)象訪問計(jì)算機(jī)，可以通過鍵盤登錄或是通過網(wǎng)絡(luò)連接登錄；登錄者可以是一個(gè)用戶也可以是一個(gè)服務(wù)，或者是某個(gè)批處理的作業(yè)。特權(quán)可以控制用戶操作系統(tǒng)資源，例如：裝載或是卸載驅(qū)動(dòng)程序，備份或是恢復(fù)文件和文件夾。允許用戶本地登錄：為了保證系統(tǒng)的安全，不讓所有用戶都能夠在服務(wù)器上登錄，只有需要完成必要任務(wù)的用戶才可以在服務(wù)器上本地登錄。注：默認(rèn)情況下Administrator組和AccountOperators組，BackupOperators組，ServerOperators組的成員有本地登錄的權(quán)利。本地安全策略設(shè)置10在本地登錄指派締⑤策體置策聶置BacknipFewerOperatorsUsersFENGVGuestPENGVTsInternetUserEveryone如果域級(jí)策略設(shè)置已定岌，它們會(huì)替代本地策略設(shè)置”確定亠本地安全策略設(shè)置10在本地登錄指派締⑤策體置策聶置BacknipFewerOperatorsUsersFENGVGuestPENGVTsInternetUserEveryone如果域級(jí)策略設(shè)置已定岌，它們會(huì)替代本地策略設(shè)置”確定亠——3肖□口□□口□口圖4點(diǎn)擊“在本地登錄”（logonlocal）會(huì)出現(xiàn)“本地安全策略設(shè)置”表框，顯示不同的用戶和用戶組的權(quán)限，點(diǎn)“添加”則可為某個(gè)用戶和用戶組添加登錄的權(quán)限。如果要取消某個(gè)用戶和用戶組的登錄權(quán)限，清除“本地策略設(shè)置”所對(duì)應(yīng)的選框即可。用戶權(quán)利還有其他的一些策略配置如“允許用戶關(guān)閉系統(tǒng)”“備份文件和目錄”根據(jù)以上的描述，分別進(jìn)行以下設(shè)置和測試，設(shè)計(jì)測試方案，記錄結(jié)果。①設(shè)置賬號(hào)策略；②建立賬號(hào)，設(shè)置權(quán)限；建立組，設(shè)置權(quán)限；將賬號(hào)劃入組，測試賬號(hào)的相應(yīng)的權(quán)限，設(shè)計(jì)不同權(quán)限，測試并記錄最終用戶獲得的權(quán)限。根據(jù)需要，可以進(jìn)行其它設(shè)置和實(shí)驗(yàn)，注意記錄測試結(jié)果。3）服務(wù)管理每種類型的對(duì)象都由對(duì)象管理器控制。每種類型的對(duì)象都有不同的對(duì)象管理器。對(duì)象類型、其對(duì)象管理器以及用于管理這些對(duì)象的工具如下所示：對(duì)象類型對(duì)象管理器管理工具文件和文件夾NTFSWindows資源管理器共享服務(wù)器服務(wù)Windows資源管理器ActiveDirectory對(duì)象ActiveDirectoryActiveDirectory用戶和計(jì)算機(jī)注冊(cè)表項(xiàng)注冊(cè)表regedit命令服務(wù)服務(wù)控制器安全模板、安全配置和分析打印機(jī)打印后臺(tái)處理程序“開始”菜單表34）日志文件查看器作為一個(gè)網(wǎng)絡(luò)操作系統(tǒng)，跟蹤并記錄服務(wù)器中發(fā)生的事件很必要，將記錄操作系統(tǒng)發(fā)生事件的文件，稱之為日志文件。根據(jù)日志文件，可以發(fā)現(xiàn)很多有用的信息和線索，為管理員正確掌握服務(wù)器工作情況提供了第一手資料，雖然微軟的日志內(nèi)容含義不明確，但還是有可取之處。進(jìn)入日志文件管理器：從開始――程序――管理工具――計(jì)算機(jī)管理――事件查看器。進(jìn)入管理界面后，可以根據(jù)界面以及鼠標(biāo)右鍵提示進(jìn)行操作，進(jìn)行日志查看、備份和設(shè)置等操作。日志文件管理界面如圖5所示。圖5通過實(shí)驗(yàn)說明：哪些事件可以被事件查看器記錄？

三）文件訪問的權(quán)限特殊權(quán)限完全控制修改讀取和執(zhí)行讀取寫入通過文件夾/執(zhí)行文件xxx列出文件夾/讀取數(shù)據(jù)xxxx讀取屬性xxxx讀取擴(kuò)展屬性xxxx創(chuàng)建文件/寫入數(shù)據(jù)xxx創(chuàng)建文件夾/添加數(shù)據(jù)xxx寫入屬性xxx寫入擴(kuò)展屬性xxx刪除子文件夾和文件x刪除xx讀取權(quán)限xxxxx更改權(quán)限x取得所有權(quán)x同步xxxxx表4文件權(quán)限包括完全控制、修改、讀取和執(zhí)行、讀取、寫入。每個(gè)權(quán)限均由特殊權(quán)限邏輯組組成。表4列出了每個(gè)文件權(quán)限并指出了與該權(quán)限相關(guān)聯(lián)的特殊權(quán)限。注意：無論有什么權(quán)限保護(hù)文件，被準(zhǔn)許對(duì)文件夾進(jìn)行“完全控制”的組或用戶都可以刪除該文件夾內(nèi)的任何文件。通過共享文件夾或驅(qū)動(dòng)器可以為文件和文件夾設(shè)置下列共享文件夾權(quán)限。表5顯示了共享文件夾權(quán)限及每種權(quán)限下用戶可以對(duì)共享文件夾進(jìn)行的操作。操作完全控制更改讀取查看文件名和子文件夾名xxx通過子文件夾xxx查看文件中的數(shù)據(jù)和運(yùn)行程序xxx向共享文件夾中添加文件和子文件夾xx更改文件中的數(shù)據(jù)xx刪除子文件夾和文件。xx更改權(quán)限（僅NTFS）x取得所有權(quán)（僅NTFS）x表5根據(jù)以上說明，將具有NTFS格式的某一個(gè)文件夾進(jìn)行安全屬性的設(shè)置，利用不同賬號(hào)進(jìn)行登錄，體會(huì)文件安全屬性的作用。（實(shí)際上對(duì)于網(wǎng)絡(luò)訪問也是如此）。同理，可以進(jìn)行共享設(shè)置，通過網(wǎng)絡(luò)訪問方式進(jìn)行安全屬性測試。（四）思考題：1、如何將一個(gè)賬號(hào)加入到一個(gè)組？2、什么是本地組和全局組？各有什么作用？3、如何禁止一個(gè)賬號(hào)在本服務(wù)器登錄？4、賬號(hào)屬性中，以下設(shè)置有何作用？1）用戶下次登陸必須更改密碼；2）用戶已停用；5、自定義控制臺(tái)什么是控制臺(tái)？有何作用？如何生成控制臺(tái)？具體要求：添加“Internet管理工具”到控制臺(tái)。6、 需要使用Windows2000文件安全屬性時(shí)，對(duì)文件格式有何要求？7、 當(dāng)某一個(gè)文件夾共享的權(quán)限和此文件夾自身的安全屬性權(quán)限不一致時(shí)，操作系統(tǒng)是如何確定最終的共享權(quán)限？實(shí)驗(yàn)二Web、FTP、DNS配置一、實(shí)驗(yàn)?zāi)康?．掌握Web站點(diǎn)的基本架構(gòu)技術(shù)；2．掌握DNS服務(wù)的安裝和配置方法以及DNS的故障診斷；3．掌握IIS5信息發(fā)布技術(shù)及其管理；4．掌握虛擬主機(jī)的概念以及實(shí)現(xiàn)；5．掌握IMAIL建立郵件服務(wù)器的方法。二、實(shí)驗(yàn)任務(wù)1．編輯簡單的主頁；2．在IIS5下實(shí)現(xiàn)主頁發(fā)布；3.在IIS5下實(shí)現(xiàn)FTP服務(wù)；4．實(shí)現(xiàn)虛擬主機(jī)；DNS實(shí)現(xiàn)；安裝和配置IMAIL實(shí)現(xiàn)郵件服務(wù)。三、實(shí)驗(yàn)步驟（一）準(zhǔn)備工作1、 TCP/IP設(shè)置對(duì)于所有機(jī)器，更改設(shè)置如下（只使用一塊網(wǎng)卡）：IP地址設(shè)定：—8（機(jī)器號(hào)）； （子網(wǎng)掩碼）,54（網(wǎng)關(guān)）DNS設(shè)置為本機(jī)IP。2、 在D盤根目錄下建立兩個(gè)目錄，分別是htmlpub和ftproot。3、 DNS配置和實(shí)現(xiàn)通過Win2000的“程序管理工具DNS”，添加“DNS服務(wù)”；進(jìn)入DNS服務(wù)管理，“新建區(qū)域.”： 281）區(qū)域類型：主要，正向,反向；2）正向區(qū)域：區(qū)域名；區(qū)域文件：.dns（自動(dòng)生成）；選定，單擊右鍵，“新建主機(jī)”：主機(jī)名為：WWW，IP為本機(jī)第一個(gè)IP。3） 反向區(qū)域：新建區(qū)域后網(wǎng)絡(luò)ID中輸入：219.231.57創(chuàng)建一個(gè)新的默認(rèn)文件:219.231.57..dns選定219.231.57.xSubnet，單擊右鍵，“新建指針”：主機(jī)IP號(hào):機(jī)器號(hào)，主機(jī)名選擇正向區(qū)域中（）4） 檢測本機(jī)的DNS是否可以進(jìn)行解析工作。（如何檢測？）在上述域名解析設(shè)置完成后，可以在IE瀏覽器和FTP工具的地址欄中鍵入相應(yīng)的域名進(jìn)行訪問。（注意:在IE瀏覽器中，可以不設(shè)置為代理服務(wù)器，操作：“工具”——“Internet選項(xiàng)”——“連接”——“局域網(wǎng)設(shè)置”）5） 同理，建立域名的域名解析，IP為本機(jī)第二個(gè)IP；的域名解析IP地址為本機(jī)第一個(gè)IP；的域名解析IP地址為本機(jī)的第二個(gè)IP。（二） WWW服務(wù)的實(shí)現(xiàn)1） 利用FrontPage2000或DREAMWEAVER編輯自己的主頁2） 保存在D:\htmlpub目錄下在IIS5中，更改默認(rèn)WWW服務(wù)的主目錄為D：\htmlpub（開始默認(rèn)的目錄是Inetpub\wwwroot）。注意區(qū)分什么是“新建虛擬目錄”和“新建主機(jī)”？3） 根據(jù)需要進(jìn)行其它IISWWW服務(wù)的配置4） 確定目錄結(jié)構(gòu)后，利用客戶機(jī)訪問如下的地址http://服務(wù)器IP地址［:端口號(hào)］/［主頁文件名］問題：此時(shí)的URL（UniformResourceLocator）是什么?如何確定？和設(shè)定的主目錄有何關(guān)系？如果想增加目錄，比如http://服務(wù)器IP地址［:端口號(hào)］/myweb/，如何進(jìn)行操作？（三） 建立WWW虛擬主機(jī)現(xiàn)在，要在IIS創(chuàng)建的主服務(wù)器下創(chuàng)建一個(gè)虛擬的WWW服務(wù)器。我們?cè)谝粋€(gè)物理主機(jī)上建立兩個(gè)虛擬主機(jī)，它們各自分別對(duì)應(yīng)一個(gè)IP地址（或域名）。對(duì)于外面的用戶而言，好像是兩臺(tái)獨(dú)立的主機(jī)。為此，我們要先建立虛擬主機(jī)的路徑，也就是虛擬主機(jī)的實(shí)際目錄。在瀏覽器的URL中只要輸入虛擬主機(jī)名，就會(huì)顯示出它的實(shí)際目錄下的缺省的頁面文件。在\Htmlpub目錄下，創(chuàng)建兩個(gè)子目錄，把它們分別作為兩個(gè)虛擬主機(jī)的實(shí)際目錄，比如:\Htmlpub\aaa；\Htmlpub\bbb。然后將自己編好的可以區(qū)別開來的不同主頁放到兩個(gè)目錄下。有了虛擬主機(jī)的實(shí)際路徑，接下來就可以在IIS中新建和配置虛擬主機(jī)了，步驟如下:1） 在Windows2000的“程序”中選擇“管理工具”一＞“Internet服務(wù)管理器”。2） 在圖所示窗口的計(jì)算機(jī)名上單擊鼠標(biāo)右鍵，從彈出選單中選擇“新建”下的“Web站點(diǎn)”，彈出新建站點(diǎn)向?qū)?，在站點(diǎn)說明中輸入。3） 單擊“下一步”，在IP地址欄中輸入新站點(diǎn)的IP地址，我們?cè)谶@里選擇本機(jī)第一個(gè)IP地址。4） 單擊“下一步”，在主目錄欄中輸入新建站點(diǎn)對(duì)應(yīng)的主目錄，我們?cè)谶@里輸入的主目錄為\Htmlpub\aaa。5） 單擊下一步”，選擇，結(jié)束”，則在IIS上創(chuàng)建了一個(gè)新站點(diǎn)，此時(shí)，在“Microsoft管理控制臺(tái)"窗口中將出現(xiàn)站點(diǎn)。6） 站點(diǎn)上單擊鼠標(biāo)右鍵，從彈出選單中選擇“屬性”，則彈出站點(diǎn)的屬性對(duì)話框。選擇“Web站點(diǎn)”屬性頁，可以在出現(xiàn)的IP地址選項(xiàng)中修改IP地址，然后點(diǎn)擊“高級(jí)”，對(duì)已有的內(nèi)容進(jìn)行“編輯”，鍵入主機(jī)頭名稱“”。再單擊“確認(rèn)”返回。通過以上步驟，我們建立了一個(gè)Web站點(diǎn)，它是一個(gè)虛擬主機(jī)。重復(fù)上面的步驟2~6,注意把替換為，對(duì)應(yīng)的主目錄為\Htmlpub\bbb，以及將主機(jī)頭名稱改為“”。這樣，我們就在一臺(tái)IIS主機(jī)上新建并配置完成了兩個(gè)虛擬主機(jī)和，各自分別對(duì)應(yīng)本機(jī)的一個(gè)IP地址。7） 測試我們可以把一些主頁放在虛擬主機(jī)的主目錄下，如在D:\Htmlpub\aaa下放置了一個(gè)名為index.htm的頁面文件，打開瀏覽器，在URL中輸入/Iindex.htm］就可以瀏覽該主頁了。（四） FTP服務(wù)的實(shí)現(xiàn)進(jìn)入“Internet管理”；右擊“默認(rèn)的FTP站點(diǎn)”；新建“虛擬目錄”，按提示進(jìn)行。注意區(qū)分什么是“新建虛擬目錄”和“新建主機(jī)”？（五）建立FTP虛擬主機(jī)現(xiàn)在，要在IIS創(chuàng)建的主服務(wù)器下創(chuàng)建一個(gè)虛擬的FTP服務(wù)器。與建立www虛擬主機(jī)類似，在\ftproot目錄下，創(chuàng)建兩個(gè)子目錄，把它們分別作為兩個(gè)虛擬主機(jī)的實(shí)際目錄，比如：\ftproot\aaa；\ftproot\bbb。有了虛擬主機(jī)的實(shí)際路徑，接下來就可以在IIS中新建和配置虛擬主機(jī)了，步驟如下：1） 在Windows2000的“程序”中選擇“管理工具”一>“Internet服務(wù)管理器”，2） 在圖所示窗口的計(jì)算機(jī)名上單擊鼠標(biāo)右鍵，從彈出選單中選擇“新建”下的“FTP站點(diǎn)”，彈出新建站點(diǎn)向?qū)?，在站點(diǎn)說明中輸入。3） 單擊“下一步”，在IP地址欄中輸入新站點(diǎn)的IP地址。4） 單擊“下一步”，在主目錄欄中輸入新建站點(diǎn)對(duì)應(yīng)的主目錄，我們?cè)谶@里輸入的主目錄為\ftproot\aaa。5） 單擊“下一步”，選擇“結(jié)束”，則在IIS上創(chuàng)建了一個(gè)新站點(diǎn)，此時(shí)，在“Microsoft管理控制臺(tái)"窗口中將出現(xiàn)站點(diǎn)。6） 站點(diǎn)上單擊鼠標(biāo)右鍵，從彈出選單中選擇“屬性”，則彈出站點(diǎn)的屬性對(duì)話框。選擇“ftp站點(diǎn)”屬性頁，可以在出現(xiàn)的IP地址選項(xiàng)中修改IP地址，單擊“確認(rèn)”返回。通過以上步驟，我們建立了一個(gè)Web站點(diǎn)，它是一個(gè)虛擬主機(jī)。重復(fù)上面的步驟2?6,注意把替換為，對(duì)應(yīng)的主目錄為ftproot'bbb，并選擇不同的IP地址，就可以建立另一個(gè)Web站點(diǎn)。這樣，我們就在一臺(tái)IIS主機(jī)上新建并配置完成了兩個(gè)虛擬主機(jī)和。7） 測試（六）MAIL服務(wù)器建立實(shí)驗(yàn)方式：兩臺(tái)機(jī)器一組，雙號(hào)機(jī)器作為服務(wù)器，單號(hào)機(jī)作為客戶機(jī)1、 檢查你的首要主機(jī)名字首先在你想要安裝IMail服務(wù)器（首要的主機(jī)）的系統(tǒng)上檢查DNS信息。如果你想要遠(yuǎn)程主機(jī)可以和你的系統(tǒng)通信，主機(jī)名字和域一定要在DNS中注冊(cè)。2、 用戶注冊(cè)和驗(yàn)證首要的主機(jī)能使用三個(gè)數(shù)據(jù)庫之一作為注冊(cè)和用戶的驗(yàn)證。（注冊(cè)是用來建立用戶郵件帳戶的程序，驗(yàn)證是用來驗(yàn)證用戶名和密碼的程序。）1） IMail數(shù)據(jù)庫。郵件帳戶用戶的身份和密碼是個(gè)別地從WindowsNT或2000用戶數(shù)據(jù)庫導(dǎo)出，或從任何的外部數(shù)據(jù)庫導(dǎo)出，在Windows注冊(cè)表中有一個(gè)專有的數(shù)據(jù)庫儲(chǔ)存。你也能輸入WindowsNT或2000個(gè)用戶到Imail的用戶數(shù)據(jù)庫，而不連接WindowsNT或2000的數(shù)據(jù)庫。2） WindowsNT數(shù)據(jù)庫。這個(gè)數(shù)據(jù)庫支持在WindowsNT或2000的用戶數(shù)據(jù)庫中為用戶數(shù)據(jù)直接生成用戶郵件帳號(hào)。注意首要的郵件主機(jī)需要在網(wǎng)絡(luò)上訪問WindowsNT或2000用戶數(shù)據(jù)庫。你將不可以使用IMail管理員增加或刪除用戶；取而代之的，你一定使用適當(dāng)?shù)腤indows管理工具。3） 外部數(shù)據(jù)庫。IMail服務(wù)器使用一個(gè)外部的數(shù)據(jù)庫注冊(cè)并且驗(yàn)證用戶。你通過IMail服務(wù)器增加，刪除用戶，會(huì)同時(shí)影響外部數(shù)據(jù)庫。3、 安裝IMail服務(wù)器（過程略）確定你的IMail服務(wù)器已安裝，執(zhí)行下列各項(xiàng)操作：1） 從Start菜單，選擇Programs->IMail->ImailAdministrator。2） IMailAdministrator出現(xiàn)在一個(gè)被分隔的窗口。左邊面板提供訪問系統(tǒng)的默認(rèn)值,主機(jī)設(shè)定,訪問用戶,別名和列表-服務(wù)器郵件列表。要驗(yàn)證你能發(fā)送并且接收郵件,在首要主機(jī)上你應(yīng)該至少有一個(gè)用戶。3）在首要主機(jī)上選擇”Localhost”顯示IMail服務(wù)器配置。在左邊的面板中選擇一個(gè)項(xiàng)目在右邊的面板中看它的屬性。選擇框是為了選中多個(gè)虛擬的主機(jī),如果你的首要主機(jī)使用IMail用戶數(shù)據(jù)庫，你可能已經(jīng)在安裝時(shí)建立了一個(gè)用戶。檢查在IMailAdministrator里用戶是否被建立。在IMailAdministrator的左邊面板中，展開“l(fā)ocalhost”文件夾，選擇首要的主機(jī)，然后展開用戶文件夾。如果你只看見“根”用戶，你將會(huì)需要跟著接著的步驟增加一個(gè)測試用戶。選擇首要的主機(jī)并且點(diǎn)擊General。在右邊的面板中，點(diǎn)擊增加用戶，然后跟隨指示.用戶名一定要在3和30個(gè)字符之間，不允許有空格.現(xiàn)在，不要選擇ShowAdvancedSettings。點(diǎn)擊Next，然后完成增加用戶.用戶名被增加到首要主機(jī)的注冊(cè)用戶的列表中。當(dāng)新的用戶在左邊的面板中被選擇，用戶的屬性在右邊的面板中顯示。這個(gè)選項(xiàng)僅當(dāng)用戶被禁用時(shí)顯示如果你的首要主機(jī)使用WindowsNT或Windows2000用戶數(shù)據(jù)庫，你應(yīng)該有二個(gè)默認(rèn)帳戶：Administrator和Guest。如果你需要為測試目的增加一個(gè)用戶，在適當(dāng)?shù)腤indows管理的工具中增加帳戶。如果你的首要主機(jī)使用一個(gè)外部的數(shù)據(jù)庫而外部數(shù)據(jù)庫沒有被配置，請(qǐng)跟著接著的步驟：在左邊的面板中,展開首要的主機(jī)和“User”文件夾選擇用戶“Root”在General的菜單條上，關(guān)閉AccountAccessDisabled選項(xiàng)現(xiàn)在你增加的任何用戶現(xiàn)在能使用WindowsNT/2000里TCP/IP的命名設(shè)定通過IMail服務(wù)器來接收郵件，舉例來說，如果你增加了用戶news,主機(jī)的名字是,用戶能使用的郵件地址就是news@。注意如果你想要首要的主機(jī)上的用戶使用只帶域名的郵件,請(qǐng)為虛擬的主機(jī)建立一個(gè)別名。舉例來說，如果你想要在上面的用戶收到的郵件地址為，那么為建立一個(gè)的主機(jī)別名。4、使用一個(gè)測試帳戶發(fā)送并且接收郵件1） 檢查確定郵件服務(wù)器正在運(yùn)行：在左邊的面板選擇“Services”文件夾查看是否SMTP,POP3,和IMAP4服務(wù)器正在運(yùn)行。SMTP的狀態(tài)應(yīng)該是“Running”；這是自動(dòng)運(yùn)行的。如果POP3和IMAP4的狀態(tài)不是“Running”，你必須啟動(dòng)它們。2） 在Start菜單運(yùn)行IMail客戶。這個(gè)IMail客戶在列表里向你顯示所增加的用戶，使用其中的一個(gè)用戶登錄，并且發(fā)送郵件給另外的一個(gè)用戶。然后在這個(gè)用戶的信箱里檢查新郵件。3） 當(dāng)你確定郵件服務(wù)器已經(jīng)正常工作的時(shí)候，你可以增加更多的主機(jī)和用戶。

實(shí)驗(yàn)三無線組網(wǎng)一、實(shí)驗(yàn)?zāi)康恼莆諢o線接入點(diǎn)AP的安裝和配置；2．掌握無線網(wǎng)卡的安裝和配置；掌握沒有無線接入點(diǎn)AP的情況下，如何通過無線網(wǎng)卡進(jìn)行移動(dòng)設(shè)備的互聯(lián);掌握擁有無線網(wǎng)卡的設(shè)備如何通過無線接入點(diǎn)AP進(jìn)行互聯(lián)。二、實(shí)驗(yàn)任務(wù)安裝無線網(wǎng)卡；通過無線網(wǎng)卡進(jìn)行主機(jī)間的資源共享安裝無線接入點(diǎn)AP；通過無線接入點(diǎn)AP架設(shè)無線局域網(wǎng)。三、實(shí)驗(yàn)步驟（一）無線網(wǎng)卡間Ad-Hoc連接模式1、 安裝無線網(wǎng)卡2、 進(jìn)入無線網(wǎng)卡的屬性選項(xiàng)圖6圖73、 設(shè)置無線網(wǎng)卡的SSID為groupl（組號(hào)）在圖6中“無線網(wǎng)絡(luò)配置”標(biāo)簽頁中，點(diǎn)擊“添加”按鈕，出現(xiàn)圖7所示的對(duì)話框。在“網(wǎng)絡(luò)名（SSID）”框中輸入groupl,將“數(shù)據(jù)加密”選為“已禁用”點(diǎn)擊確定，回到圖6所示的對(duì)話框。點(diǎn)擊“高級(jí)”按鈕，選擇“僅計(jì)算機(jī)到計(jì)算機(jī)”模式，或者可以通過無線網(wǎng)絡(luò)配置軟件，選擇Ad-Hoc模式。4、 設(shè)置無線網(wǎng)卡的IP地址和子網(wǎng)掩碼5、 同樣設(shè)置其它機(jī)器無線網(wǎng)卡的相關(guān)屬性6、測試機(jī)器間的連通性注意：需要通信的無線網(wǎng)卡的SSID必須相同。（二）無線網(wǎng)卡間Infrastructure連接模式1、 正確連接無線AP2、 配置AP的基本信息1） 首先將與AP有線連接的計(jì)算機(jī)上的以太網(wǎng)接口地址設(shè)為192.168.0.N（機(jī)器號(hào)）/24,因?yàn)锳P的管理地址默認(rèn)為54/24。2） 在瀏覽器地址欄輸入54，登錄到AP的管理界面，用戶名為admin,密碼為admin。3） 設(shè)置無線模式為AP,ESSID為group1，信道為01/2412MHz,模式為混合模式。3、 在其它計(jì)算機(jī)上安裝無線網(wǎng)卡，并安裝無線網(wǎng)絡(luò)配置軟件。4、 設(shè)置無線網(wǎng)卡的SSID為groupl,模式為Infrastructureo5、 通過無線網(wǎng)絡(luò)配置軟件將無線網(wǎng)卡加入到group1這個(gè)SSID。6、 設(shè)置無線網(wǎng)卡的IP地址和子網(wǎng)掩碼。7、 測試計(jì)算機(jī)間的連通性（包括無線網(wǎng)卡和有線網(wǎng)卡的計(jì)算機(jī)）注意：無線網(wǎng)卡必須與AP的ESSID和信道都設(shè)置相同。實(shí)驗(yàn)路由器的基本配置與靜態(tài)路由的實(shí)現(xiàn)實(shí)驗(yàn)路由器的基本配置與靜態(tài)路由的實(shí)現(xiàn)一、實(shí)驗(yàn)?zāi)康?．掌握路由器命令行各種操作模式的區(qū)別，以及模式之間的切換2．掌握路由器的基本配置；3．掌握路由器端口的常用配置參數(shù)；4．查看路由器的系統(tǒng)和配置信息，掌握當(dāng)前路由器的工作狀態(tài)；5．掌握通過靜態(tài)路由方式實(shí)現(xiàn)網(wǎng)絡(luò)的連通性。二、實(shí)驗(yàn)任務(wù)1．使用路由器的命令行界面；2．配置路由器的設(shè)備名稱和每次登錄路由器時(shí)提示的相關(guān)信息3．給路由器接口配置IP地址；4．查看路由器的各項(xiàng)參數(shù)；5．配置靜態(tài)路由，并驗(yàn)證連通性。三、實(shí)驗(yàn)說明1、網(wǎng)絡(luò)實(shí)驗(yàn)室介紹網(wǎng)絡(luò)實(shí)驗(yàn)室拓?fù)洌ㄒ娤马搱D8）每小組對(duì)應(yīng)一個(gè)實(shí)驗(yàn)臺(tái)，每小組的機(jī)柜里有9臺(tái)設(shè)備，從上到下依次為設(shè)備名端口號(hào)RG-RCMS控制臺(tái)R1762路由器12001R1762路由器22002R1762路由器32003R1762路由器42004S3550三層交換機(jī)12005S3550三層交換機(jī)22006S2126G二層交換機(jī)12007S2126G二層交換機(jī)22008

網(wǎng)絡(luò)實(shí)驗(yàn)室拓?fù)鋱D第一組 第二組 第五組 I第六組圖82、網(wǎng)絡(luò)實(shí)驗(yàn)設(shè)備使用說明RG-RCMS對(duì)該組實(shí)驗(yàn)臺(tái)上所有網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一的管理和控制，學(xué)生作網(wǎng)絡(luò)實(shí)驗(yàn)時(shí)，不需要對(duì)控制線進(jìn)行任何的拔插，便可以對(duì)實(shí)驗(yàn)臺(tái)上的所有網(wǎng)絡(luò)設(shè)備進(jìn)行同時(shí)的管理和控制了。登錄任一設(shè)備的方式為：telnetRCMS控制臺(tái)IP地址該設(shè)備的端口號(hào)其中，每小組RCMS控制臺(tái)的IP地址為：第一組RCMS控制臺(tái)IP地址219.231.57.61第二組RCMS控制臺(tái)IP地址219.231.57.62第三組RCMS控制臺(tái)IP地址219.231.57.63第四組RCMS控制臺(tái)IP地址219.231.57.64第五組RCMS控制臺(tái)IP地址219.231.57.65第六組RCMS控制臺(tái)IP地址219.231.57.66如登錄到第一組的第一臺(tái)路由器的方式為：telnet219．231．57．612001

每臺(tái)設(shè)備的登錄密碼和特權(quán)密碼均為：ruijie進(jìn)入特權(quán)方式的命令為：enable14每臺(tái)學(xué)生電腦桌面板上均有兩個(gè)RJ45接口，左邊一個(gè)連接整個(gè)機(jī)房局域網(wǎng)，右邊一個(gè)連接該組實(shí)驗(yàn)設(shè)備。實(shí)驗(yàn)步驟1、 觀察該組機(jī)柜里的網(wǎng)絡(luò)設(shè)備，查看每個(gè)設(shè)備的接口名稱及位置2、 登錄一路由器，并進(jìn)入特權(quán)模式，如：telnet219．231．57．612001enable143、 在特權(quán)模式下，使用如下命令并驗(yàn)證configureterminalinterfacefastethernet1/0exitendhostname按鍵盤的TAB鍵自動(dòng)補(bǔ)齊命令ipaddresshostnamenoshutdownshowipinterfaceshowinterfaceshowstartup-configshowrunning-configwritememorycopyrunning-configstartup-configiprouteshowiproute4、配置路由器支持Telnet：enable14configureterminallinevty04loginpasswordstarexitenablepasswordstaradminend問題：如何驗(yàn)證配置成功？5、配置靜態(tài)路由：進(jìn)入全局配置模式進(jìn)入路由器F1/0的接口模式退回到上一級(jí)操作模式直接退回到特權(quán)模式顯示幫助信息（隨時(shí)可按此鍵）修改設(shè)備名配置端口的IP進(jìn)入全局配置模式進(jìn)入路由器F1/0的接口模式退回到上一級(jí)操作模式直接退回到特權(quán)模式顯示幫助信息（隨時(shí)可按此鍵）修改設(shè)備名配置端口的IP地址開啟該端口，使端口轉(zhuǎn)發(fā)數(shù)據(jù)查看接口狀態(tài)信息查看接口狀態(tài)信息查看路由器啟動(dòng)配置信息查看路由器當(dāng)前生效的配置信息保存當(dāng)前配置信息保存當(dāng)前配置信息配置靜態(tài)路由查看路由信息進(jìn)入路由器線路配置模式配置遠(yuǎn)程登錄設(shè)置遠(yuǎn)程登錄密碼設(shè)置特權(quán)密碼交換機(jī)1交換機(jī)3交換機(jī)2PC2圖9路由器1PC12） 設(shè)計(jì)并配置計(jì)算機(jī)、路由器各接口的IP地址、靜態(tài)路由等信息3） 從PC1或PC2上測試連通性。（如何測試?）

實(shí)驗(yàn)五虛擬局域網(wǎng)VLAN一、實(shí)驗(yàn)?zāi)康?．掌握劃分VLAN的目的；2．掌握基于交換機(jī)端口配置VLAN的方法3．掌握跨交換機(jī)實(shí)現(xiàn)VLAN的方法。二、實(shí)驗(yàn)任務(wù)1．使用交換機(jī)的命令行界面；2．創(chuàng)建VLAN；3．將交換機(jī)端口分配到VLAN；4．查看VLAN信息；5?交換機(jī)相連的端口設(shè)成tagVLAN模式。三、實(shí)驗(yàn)步驟一)交換機(jī)端口隔離1、將pci和pc2連接到同如圖10所示VLAN一)交換機(jī)端口隔離1、將pci和pc2連接到同如圖10所示VLAN10臺(tái)交換機(jī)上F0/2VLAN20Pc1圖10pc22、配置好pci和pc2的ip地址、子網(wǎng)掩碼此時(shí)，驗(yàn)證兩臺(tái)pc可以互相ping通。3、創(chuàng)建VLAN在特權(quán)模式下輸入如下命令創(chuàng)建VLAN10，名稱為test1。ConfigureterminalVlan10Nametest1同上創(chuàng)建VLAN20，名稱為test24、 顯示VLAN信息Showvlan5、 將接口分配到VLANConfigureterminalInterfacefastethernet0/1Switchportaccessvlan10同上將端口2加入vlan20中。6、驗(yàn)證pci和pc2互相ping不通注意：1)vlan1屬于系統(tǒng)的默認(rèn)VLAN，不可以被刪除；安慶師范學(xué)院計(jì)算機(jī)與信息學(xué)院2008年9月232） 刪除某個(gè)VLAN,用no命令，如：novlan103） 刪除當(dāng)前某個(gè)VLAN時(shí)，先將屬于該VLAN的端口加入別的VLAN,再刪除VLAN。一）跨交換機(jī)實(shí)現(xiàn)VLANBF0/24F0/F0/VLAN1VLAN20VLAN10r-1、如圖11所示進(jìn)行網(wǎng)絡(luò)連接ABF0/24F0/F0/VLAN1VLAN20VLAN10r-1、如圖11所示進(jìn)行網(wǎng)絡(luò)連接A圖11PC32、配置好PC1、PC2、PC3的ip地址和子網(wǎng)掩碼此時(shí)，驗(yàn)證三臺(tái)pc可以互相ping通。3、在交換機(jī)A上創(chuàng)建VLAN10,并將1號(hào)端口劃分到VLAN10中4、 在交換機(jī)A上創(chuàng)建VLAN20,并將2號(hào)端口劃分到VLAN20中5、 將交換機(jī)A上和B相連的端口定義為tagVLAN模式Interfacefastethernet0/24Switchportmodetrunk6、 在交換機(jī)B上創(chuàng)建VLAN10,并將1號(hào)端口劃分到VLAN10中7、 將交換機(jī)B上和A相連的端口定義為tagVLAN模式8、 通過ping驗(yàn)證3臺(tái)pc之間的互通性附錄：路由器基本工作原理本文通過闡述TCP/IP網(wǎng)絡(luò)中路由器的基本工作原理，介紹了IP路由器的幾大功能，給出了靜態(tài)路由協(xié)議和動(dòng)態(tài)路由協(xié)議，以及內(nèi)部網(wǎng)關(guān)協(xié)議和外部網(wǎng)關(guān)協(xié)議的概念。近十年來，隨著計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，大型互聯(lián)網(wǎng)絡(luò)（如Internet）的迅猛發(fā)展，路由技術(shù)在網(wǎng)絡(luò)技術(shù)中已逐漸成為關(guān)鍵部分，路由器也隨之成為最重要的網(wǎng)絡(luò)設(shè)備。用戶的需求推動(dòng)著路由技術(shù)的發(fā)展和路由器的普及，人們已經(jīng)不滿足于僅在本地網(wǎng)絡(luò)上共享信息，而希望最大限度地利用全球各個(gè)地區(qū)、各種類型的網(wǎng)絡(luò)資源。而在目前的情況下，任何一個(gè)有一定規(guī)模的計(jì)算機(jī)網(wǎng)絡(luò)（如企業(yè)網(wǎng)、校園網(wǎng)、智能大廈等），無論采用的是快速以大網(wǎng)技術(shù)、FDDI技術(shù)，還是ATM技術(shù)，都離不開路由器，否則就無法正常運(yùn)作和管理。1網(wǎng)絡(luò)互連把自己的網(wǎng)絡(luò)同其它的網(wǎng)絡(luò)互連起來，從網(wǎng)絡(luò)中獲取更多的信息和向網(wǎng)絡(luò)發(fā)布自己的消息，是網(wǎng)絡(luò)互連的最主要的動(dòng)力。網(wǎng)絡(luò)的互連有多種方式，其中使用最多的是網(wǎng)橋互連和路由器互連。1.1網(wǎng)橋互連的網(wǎng)絡(luò)網(wǎng)橋工作在OSI模型中的第二層，即鏈路層。完成數(shù)據(jù)幀（frame）的轉(zhuǎn)發(fā)，主要目的是在連接的網(wǎng)絡(luò)間提供透明的通信。網(wǎng)橋的轉(zhuǎn)發(fā)是依據(jù)數(shù)據(jù)幀中的源地址和目的地址來判斷一個(gè)幀是否應(yīng)轉(zhuǎn)發(fā)和轉(zhuǎn)發(fā)到哪個(gè)端口。幀中的地址稱為“MAC”地址或“硬件”地址，一般就是網(wǎng)卡所帶的地址。網(wǎng)橋的作用是把兩個(gè)或多個(gè)網(wǎng)絡(luò)互連起來，提供透明的通信。網(wǎng)絡(luò)上的設(shè)備看不到網(wǎng)橋的存在，設(shè)備之間的通信就如同在一個(gè)網(wǎng)上一樣方便。由于網(wǎng)橋是在數(shù)據(jù)幀上進(jìn)行轉(zhuǎn)發(fā)的，因此只能連接相同或相似的網(wǎng)絡(luò)（相同或相似結(jié)構(gòu)的數(shù)據(jù)幀），如以太網(wǎng)之間、以太網(wǎng)與令牌環(huán)（tokenring）之間的互連，對(duì)于不同類型的網(wǎng)絡(luò)（數(shù)據(jù)幀結(jié)構(gòu)不同），如以太網(wǎng)與X.25之間，網(wǎng)橋就無能為力了。網(wǎng)橋擴(kuò)大了網(wǎng)絡(luò)的規(guī)模，提高了網(wǎng)絡(luò)的性能，給網(wǎng)絡(luò)應(yīng)用帶來了方便，在以前的網(wǎng)絡(luò)中，網(wǎng)橋的應(yīng)用較為廣泛。但網(wǎng)橋互連也帶來了不少問題：一個(gè)是廣播風(fēng)暴，網(wǎng)橋不阻擋網(wǎng)絡(luò)中廣播消息，當(dāng)網(wǎng)絡(luò)的規(guī)模較大時(shí)（幾個(gè)網(wǎng)橋，多個(gè)以太網(wǎng)段），有可能引起廣播風(fēng)暴（broadcastingstorm），導(dǎo)致整個(gè)網(wǎng)絡(luò)全被廣播信息充滿，直至完全癱瘓。第二個(gè)問題是，當(dāng)與外部網(wǎng)絡(luò)互連時(shí)，網(wǎng)橋會(huì)把內(nèi)部和外部網(wǎng)絡(luò)合二為一，成為一個(gè)網(wǎng)，雙方都自動(dòng)向?qū)Ψ酵耆_放自己的網(wǎng)絡(luò)資源。這種互連方式在與外部網(wǎng)絡(luò)互連時(shí)顯然是難以接受的。問題的主要根源是網(wǎng)橋只是最大限度地把網(wǎng)絡(luò)溝通，而不管傳送的信息是什么。1.2路由器互連網(wǎng)絡(luò)路由器互連與網(wǎng)絡(luò)的協(xié)議有關(guān)，我們討論限于TCP／IP網(wǎng)絡(luò)的情況。路由器工作在OSI模型中的第三層，即網(wǎng)絡(luò)層。路由器利用網(wǎng)絡(luò)層定義的“邏輯”上的網(wǎng)絡(luò)地址（即IP地址）來區(qū)別不同的網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)的互連和隔離，保持各個(gè)網(wǎng)絡(luò)的獨(dú)立性。路由器不轉(zhuǎn)發(fā)廣播消息，而把廣播消息限制在各自的網(wǎng)絡(luò)內(nèi)部。發(fā)送到其他網(wǎng)絡(luò)的數(shù)據(jù)先被送到路由器，再由路由器轉(zhuǎn)發(fā)出去。IP路由器只轉(zhuǎn)發(fā)IP分組，把其余的部分擋在網(wǎng)內(nèi)（包括廣播），從而保持各個(gè)網(wǎng)絡(luò)具有相對(duì)的獨(dú)立性，這樣可以組成具有許多網(wǎng)絡(luò)（子網(wǎng)）互連的大型的網(wǎng)絡(luò)。由于是在網(wǎng)絡(luò)層的互連，路由器可方便地連接不同類型的網(wǎng)絡(luò)，只要網(wǎng)絡(luò)層運(yùn)行的是IP協(xié)議，通過路由器就可互連起來。網(wǎng)絡(luò)中的設(shè)備用它們的網(wǎng)絡(luò)地址（TCP/IP網(wǎng)絡(luò)中為IP地址）互相通信。IP地址是與硬件地址無關(guān)的“邏輯”地址。路由器只根據(jù)IP地址來轉(zhuǎn)發(fā)數(shù)據(jù)。IP地址的結(jié)構(gòu)有兩部分，一部分定義網(wǎng)絡(luò)號(hào)，另一部分定義網(wǎng)絡(luò)內(nèi)的主機(jī)號(hào)。目前，在Internet網(wǎng)絡(luò)中采用子網(wǎng)掩碼來確定IP地址中網(wǎng)絡(luò)地址和主機(jī)地址。子網(wǎng)掩碼與IP地址一樣也是32bit,并且兩者是一一對(duì)應(yīng)的，并規(guī)定，子網(wǎng)掩碼中數(shù)字為“1”所對(duì)應(yīng)的IP地址中的部分為網(wǎng)絡(luò)號(hào)，為“0”所對(duì)應(yīng)的則為主機(jī)號(hào)。網(wǎng)絡(luò)號(hào)和主