《网络安全课件:第2章 网络的深入理解》由会员分享,可在线阅读,更多相关《网络安全课件:第2章 网络的深入理解(96页珍藏版)》请在金锄头文库上搜索。
1、LOGO网络安全网络安全实例说明一个网络实例说明一个网络实例说明一个网络实例说明一个网络第第 2 讲讲LOGO网络安全 第2讲 TCPIP深入理解ISO-OSI RM物理层:信息实际如何传送? 缆线,信号的编码,网络接插件的电、机械接口数据链路层:每一步该怎么走? 成帧,差错控制、流量控制,物理寻址,媒体访问控制网络层:数据如何到达对方? 路由、转发,拥塞控制传输层:对方在何处? 为会话层提供与下面网络无关的可靠消息传送机制 会话层:论到哪方传输,从何处开始传输 ? 负责建立(或清除)在两个通信的表示层之间的通信通道,包括交互管理、同步,异常报告。表示层:对方看起来像什么? 在两个应用层之间的
2、传输过程中负责数据的表示语法应用层:做什么? 处理应用进程之间所发送和接收的数据中包含的信息内容。LOGO网络安全 第2讲 TCPIP深入理解TCPIP协议体系OSI层次划分TCP/IP层次划分应用层应用层会话层传输层会话层传输层网络层网络层数据链路层链路层物理层HTTPFTPTELNETDNSSNMPTCPUDPIPEthernet Token Ring FDDI WANS ARPICMPTCP/IP协议族中协议示例LOGO网络安全 第2讲 TCPIP深入理解v相同点:1.都是基于独立的协议栈概念。2.两者都有功能相似的应用层、传输层、网络层。v不同点:1.在OSI模型中,严格地定义了服务、
3、接口、协议;在TCP/IP模型中,并没有严格区分服务、接口与协议。2.OSI模型支持非连接和面向连接的网络层通信,但在传输层只支持面向连接的通信;TCP/IP模型只支持非连接的网络层通信,但在传输层有支持非连接和面向连接的两种协议可供用户选择。3.TCP/IP模型中不区分、甚至不提起物理层和数据链路层。LOGO6/19/2003Internet安全协议及标准Page:5TCP/IP工作方式LOGO6LOGO7LOGO8LOGO9LOGO10LOGO11LOGO12v某公司进行网络改造后,发现有一台客户某公司进行网络改造后,发现有一台客户端在调整办公室后无法访问服务器。端在调整办公室后无法访问服
4、务器。v故障解决思路与步骤故障解决思路与步骤由出错情况可知,由于其他客户端可以访问服由出错情况可知,由于其他客户端可以访问服务器,只有一个客户端无法访问,可以确定服务器,只有一个客户端无法访问,可以确定服务器的应用程序是没有问题的,所以采用务器的应用程序是没有问题的,所以采用“从从下至上下至上”的方法排除网络故障,即从物理层开的方法排除网络故障,即从物理层开始。始。LOGO13v物理层检查物理层检查1.检查检查客户端网络的物理连接是否正常客户端网络的物理连接是否正常,查看,查看网线是否与墙上端口和设备相连,连接点是网线是否与墙上端口和设备相连,连接点是否牢靠?否牢靠?2.经检查经检查1没有问题
5、,检查没有问题,检查交换机端口的工作状交换机端口的工作状态态。一般来说,针对严格管理的标准布线环。一般来说,针对严格管理的标准布线环境,有完备的境,有完备的网络记录文档网络记录文档。由此可以。由此可以查找到出现问题客户端使用的墙上插座端口查找到出现问题客户端使用的墙上插座端口号为号为A201,而且知道,而且知道A201号口与交换机号口与交换机2号号口相连。口相连。13LOGO14n现场查看交换机端口的指示灯状态是否正常;现场查看交换机端口的指示灯状态是否正常;一般一般持续绿色持续绿色代表链路正常运行,代表链路正常运行,闪烁绿色闪烁绿色表表示正在发送或者接收数据。示正在发送或者接收数据。n远程登
6、录到交换机,使用远程登录到交换机,使用showipinterfacebrief命令查看其端口是否工作正常命令查看其端口是否工作正常InterfaceIP-AddressOK?MethodStatusprotocolG1/0/2unassignedYESunsetupup由以上信息可知,端口状态和协议都工作在由以上信息可知,端口状态和协议都工作在up状态,这证明此终端到交换机的线缆连接状态,这证明此终端到交换机的线缆连接是正常的,初步可以排除是物理层的问题。是正常的,初步可以排除是物理层的问题。LOGO15v数据链路层检查数据链路层检查l第二层的关键是第二层的关键是MAC地址,通过对照交换机接地
7、址,通过对照交换机接口上的口上的MAC地址和客户端的地址和客户端的MAC地址是否相同,地址是否相同,可以可以排除施工时排除施工时网络记录文档网络记录文档是否出现问是否出现问题题。使用:。使用:showmacaddress-tableinterfaceg1/0/2VlanMacAddressTypePorts100014.2275.57acDYNAMICGi1/0/2可以显示连接此接口计算机的可以显示连接此接口计算机的MAC地址信息。地址信息。再在客户端上查看本机的再在客户端上查看本机的MAC地址,如果不匹地址,如果不匹配则说明交换机上的接口并不是真的连接了这配则说明交换机上的接口并不是真的连接
8、了这台客户端。台客户端。LOGO16v网络层检查网络层检查l在客户端使用在客户端使用IPCONFIG/ALL命令进行检查命令进行检查Ethernetadapter本地连接本地连接DhcpEnabled.:YesIPaddress:10.10.2.41DHCPServer:10.88.56.1可以看到可以看到PC有有IP地址,但是这个地址对吗?通过地址,但是这个地址对吗?通过IP地址地址为为10.88.56.1的的DHCP服务器可以获得服务器可以获得10.10.x.x范围内的范围内的地址吗?地址吗?DHCP服务器分发的服务器分发的IP地址不属于子网。这种问题地址不属于子网。这种问题多出现在多出现
9、在PC从某个子网移动到另一个子网时,从某个子网移动到另一个子网时,PC依然请求旧的依然请求旧的IP地址,从而产生问题。地址,从而产生问题。LOGO17v解决方法解决方法l让让PC的网络接口租用的的网络接口租用的IP地址重新交付地址重新交付给给DHCP服务器(即归还服务器(即归还IP地址)。地址)。1.IPCONFIG/RELEASE2.IPCONFIG/RENEW此时此时PC就会获得正确的就会获得正确的IP地址地址LOGO18v解读下面这段话:解读下面这段话:总公司的总公司的LAN骨干使用千兆网络,各地分公司骨干使用千兆网络,各地分公司的的WAN连接是连接是DDN专线接入;专线接入;总公司各办
10、公室都提供高速总公司各办公室都提供高速有线网络有线网络接入,另接入,另外,在休息厅和阅览室设置了外,在休息厅和阅览室设置了无线网络无线网络;总公司建立了大型的总公司建立了大型的SAN存储网络,所有的销存储网络,所有的销售人员都可以通过售人员都可以通过VPN访问方式从访问方式从外部网络外部网络访访问问内部网络内部网络服务,经过安全审核后经授权的员服务,经过安全审核后经授权的员工还可以访问工还可以访问SAN中的核心数据。中的核心数据。LOGO19vLAN、WAN、MAN:根据地理覆盖范围的大小,可以将计算机网络根据地理覆盖范围的大小,可以将计算机网络分为局域网、广域网和城域网。分为局域网、广域网和
11、城域网。局域网(局域网(LocalAreaNetwork):是一个数据):是一个数据通信系统,其传输范围是中等地理区域,它具通信系统,其传输范围是中等地理区域,它具有高数据传输速率。有高数据传输速率。城域网(城域网(MetropolitanAreaNetwork):它):它的地理范围是一个城市及其郊区,主要应用于的地理范围是一个城市及其郊区,主要应用于大中型城市地区,基于大中型城市地区,基于LAN和和WAN之间。之间。LOGO20vLAN、WAN、MAN:广域网(广域网(WideAreaNetwork):在一个广泛):在一个广泛地理范围内建立的计算机通信网,范围可以超地理范围内建立的计算机通信
12、网,范围可以超越城市和国家。在实际应用中,越城市和国家。在实际应用中,LAN可与可与WAN互联,或通过互联,或通过WAN与位于其他地点的与位于其他地点的WAN/LAN互联,这时互联,这时LAN就成为就成为WAN上的一上的一个端系统。个端系统。WAN传输距离远,拓扑结构复杂,传输距离远,拓扑结构复杂,由此带来的问题是路由选择的复杂性。另外,由此带来的问题是路由选择的复杂性。另外,它的传输速率与它的传输速率与LAN相比较低。相比较低。LOGO21LOGO22v解读下面这段话:解读下面这段话:总公司的总公司的LAN骨干使用千兆网络,各地分公司骨干使用千兆网络,各地分公司的的WAN连接是连接是DDN专
13、线接入;专线接入;总公司各办公室都提供高速总公司各办公室都提供高速有线网络有线网络接入,另接入,另外,在休息厅和阅览室设置了外,在休息厅和阅览室设置了无线网络无线网络;总公司建立了大型的总公司建立了大型的SAN存储网络,所有的销存储网络,所有的销售人员都可以通过售人员都可以通过VPN访问方式从访问方式从外部网络外部网络访访问问内部网络内部网络服务,经过安全审核后经授权的员服务,经过安全审核后经授权的员工还可以访问工还可以访问SAN中的核心数据。中的核心数据。LOGO23v有线网络有线网络&无线网络:无线网络:有线网络:提供有线网络:提供LAN中各种设备间的高速连接,有线网中各种设备间的高速连接
14、,有线网络的连接介质可分为两类:络的连接介质可分为两类:金属导体,如同轴电缆,双绞线,利用铜和铁等金属金属导体,如同轴电缆,双绞线,利用铜和铁等金属导体的电流变化来传输数据。导体的电流变化来传输数据。以光纤维代表的透明玻璃或塑胶绳媒体,它们利用光以光纤维代表的透明玻璃或塑胶绳媒体,它们利用光波来传输数据。波来传输数据。无线网络:使用无线射频(无线网络:使用无线射频(RF)技术通过空中接口来收)技术通过空中接口来收发数据,通常将这种采用无线传输数据或媒体的计算机发数据,通常将这种采用无线传输数据或媒体的计算机网络称为无线局域网。网络称为无线局域网。要实现合理的网络传输和覆盖,必须将有线与无线,空
15、要实现合理的网络传输和覆盖,必须将有线与无线,空中与地面相结合,取长补短。中与地面相结合,取长补短。LOGO24v解读下面这段话:解读下面这段话:总公司的总公司的LAN骨干使用千兆网络,各地分公司骨干使用千兆网络,各地分公司的的WAN连接是连接是DDN专线接入;专线接入;总公司各办公室都提供高速总公司各办公室都提供高速有线网络有线网络接入,另接入,另外,在休息厅和阅览室设置了外,在休息厅和阅览室设置了无线网络无线网络;总公司建立了大型的总公司建立了大型的SAN存储网络,所有的销存储网络,所有的销售人员都可以通过售人员都可以通过VPN访问方式从访问方式从外部网络外部网络访访问问内部网络内部网络服
16、务,经过安全审核后经授权的员服务,经过安全审核后经授权的员工还可以访问工还可以访问SAN中的核心数据。中的核心数据。LOGO25v外部网络外部网络&内部网络:内部网络:内部网络和外部网络是利用内部网络和外部网络是利用网络边界的节点网络边界的节点进进行分类,以确定私有网络和公共网络的界线的行分类,以确定私有网络和公共网络的界线的一种描述方法。一种描述方法。内部网络(内部网络(Intranet)是建立在企业内部的)是建立在企业内部的Internet,它采用防止外界侵入的安全措施,它采用防止外界侵入的安全措施,将将Internet技术运用到企业内部的信息系统中,技术运用到企业内部的信息系统中,以企业
17、员工为服务对象,构建企业级的信息集以企业员工为服务对象,构建企业级的信息集成和信息服务。成和信息服务。外部网络(外部网络(Extranet)的信息交流着眼于企业)的信息交流着眼于企业外部。外部。LOGO26vSANSAN是一种是一种存储设备网络存储设备网络,实现的方式之一是,实现的方式之一是通过光纤通道连接完成的。通过光纤通道连接完成的。SAN类似于类似于LAN体体系结构,它可以通过系结构,它可以通过HUB、Switch、控制器来、控制器来连接各种设备。连接各种设备。SAN使使Server可以与存储设备可以与存储设备(如磁盘子系统和磁带库)建立多个直接连接。(如磁盘子系统和磁带库)建立多个直接
18、连接。LOGO27基本形式的基本形式的SAN网络网络HBA(HostBusAdapter):主机总线适配器,是一个在):主机总线适配器,是一个在server和存和存储装置间提供储装置间提供I/O处理和物理连接的电路板和处理和物理连接的电路板和/或集成电路适配器。或集成电路适配器。LOGO28vVPNVirtualPrivateNetwork虚拟专用网虚拟专用网采用一种称为采用一种称为“隧道隧道”或或“数据封装数据封装”的技术的技术解决企业员工需要通过解决企业员工需要通过Internet访问企业内部访问企业内部服务器的问题。它可以通过特殊的加密通讯协服务器的问题。它可以通过特殊的加密通讯协议在连
19、接在议在连接在Internet上不同地方的两个或多个上不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就企业内部网之间建立一条专有的通讯线路,就如同架设了一条专线,但是并不需要真正的去如同架设了一条专线,但是并不需要真正的去铺设线路。铺设线路。VPN被定义为通过一个公用网络建被定义为通过一个公用网络建立一个临时的、安全的连接。立一个临时的、安全的连接。VPN的核心是利的核心是利用公共网络建立一个物理上不存在的虚拟的私用公共网络建立一个物理上不存在的虚拟的私有网。有网。 LOGO29其他服务其他服务:www、ftpMRTG:定义、安装:定义、安装视频服务视频服务:相关概念、配置:相关概
20、念、配置邮件服务邮件服务:名词、相关协议、传递方式、配置:名词、相关协议、传递方式、配置Proxy:定义、工作流程、配置:定义、工作流程、配置DNS:定义、工作流程、实例:定义、工作流程、实例网络设备:网络设备:概述、路由与交换、概述、路由与交换、NAT、实例、实例主要内容主要内容校园网概述:网络说明校园网概述:网络说明、IP地址范围、网络拓扑结构地址范围、网络拓扑结构LOGO校园网概述校园网概述 v中国教育和科研计算机网中国教育和科研计算机网CERNET是由国家投资建设,教育部负责管理,是由国家投资建设,教育部负责管理,清华大学等高等学校承担建设和管理运行的全国性学术计算机互联网络。清华大学
21、等高等学校承担建设和管理运行的全国性学术计算机互联网络。它主要面向教育和科研单位,是全国最大的公益性互联网络。它主要面向教育和科研单位,是全国最大的公益性互联网络。1996年被国年被国务院确认为全国骨干网。它分四级管理,分别是务院确认为全国骨干网。它分四级管理,分别是全国网络中心、地区网络全国网络中心、地区网络中心和地区主结点、省教育科研网、校园网中心和地区主结点、省教育科研网、校园网。CERNET全国网络中心设在全国网络中心设在清华大学,负责全国主干网的运行管理。地区网络中心和地区主结点分别清华大学,负责全国主干网的运行管理。地区网络中心和地区主结点分别设在清华大学、北京大学、北京邮电大学、
22、上海交通大学、西安交通大学、设在清华大学、北京大学、北京邮电大学、上海交通大学、西安交通大学、华中科技大学、华南理工大学、电子科技大学、东南大学、东北大学等华中科技大学、华南理工大学、电子科技大学、东南大学、东北大学等10所高校,负责地区网的运行管理和规划建设。所高校,负责地区网的运行管理和规划建设。v吉林大学校园网始建于吉林大学校园网始建于1995年,年,在五校区网络整合完成后已成为国内覆在五校区网络整合完成后已成为国内覆盖面积最大的校园计算机网络。校园网采用盖面积最大的校园计算机网络。校园网采用多层次树型结构多层次树型结构。分布在市内。分布在市内各个方位的五校区局域网,通过各个方位的五校区
23、局域网,通过光纤线路光纤线路互连,形成互连,形成双千兆双千兆带宽的校园网带宽的校园网主干,使吉林大学校园网具备了城域网的规模。主干,使吉林大学校园网具备了城域网的规模。在各个校区,主要楼宇在各个校区,主要楼宇通过千兆连接到校区主节点,其它楼宇百兆上连。在广域网方面,通过千兆连接到校区主节点,其它楼宇百兆上连。在广域网方面,校园校园网通过网通过1200兆光纤连接到位于吉林大学内的教育网吉林省主节点,兆光纤连接到位于吉林大学内的教育网吉林省主节点,后者后者目前与教育网东北节点以目前与教育网东北节点以2.5G互连。互连。30LOGO31我校网络出口再次实现扩容,联通出口由4G扩容至6.2G,电信出口
24、由2G扩容至4G,其它出口维持不变。扩容后,我校网络出口线路详情如下:1、联通出口6.2G。2、电信出口 4G。3、移动(铁通)出口 6G。4、教育网ipv4出口 1.6G。5、教育网Ipv6出口 2G。合计出口带宽 19.8G。(实际开通至24GLOGO32在网络服务方面,校园网在网络服务方面,校园网50多台服务器以及学校各部门多台服务器以及学校各部门20多台服务器共同提供形式多样多台服务器共同提供形式多样的服务。包括的服务。包括WWW、文件下载、电子邮件、代理服务、虚拟主机、个人主页、文件下载、电子邮件、代理服务、虚拟主机、个人主页、BBS、视、视频点播、电视转播、教学管理系统、财务管理系
25、统、图书馆书目查询系统、科技文献全文频点播、电视转播、教学管理系统、财务管理系统、图书馆书目查询系统、科技文献全文检索系统等。检索系统等。作为中国第二代互联网计划作为中国第二代互联网计划CNGI-6IX和第二代中国教育和科研网和第二代中国教育和科研网CERNET-II的节点学校的节点学校之一,吉林大学之一,吉林大学IPv6网络已经于网络已经于2004年年12月月23日全面开通,日全面开通,并与并与CERNET-II以及国外以及国外INTERNET-II网络实现互联。网络实现互联。校内所有路由设备已经升级,全面支持校内所有路由设备已经升级,全面支持Ipv6相关协议,具备相关协议,具备了向全体师生
26、提供了向全体师生提供Ipv6相关服务的条件。相关服务的条件。截至到截至到2017年04月28日9时,吉林大学校园网入网计算机总数为吉林大学校园网入网计算机总数为89040台台.LOGO校园网概述校园网概述 IP地址范围(地址范围(1)vCernet: 202.198.16.0 - 202.198.31.255 202.198.32.0 - 202.198.47.255 202.198.48.0 - 202.198.63.255 202.198.64.0 - 202.198.79.255 202.198.144.0 - 202.198.159.255 202.198.160.0 - 202.19
27、8.175.255 219.217.0.0 - 219.217.15.255 219.217.48.0 - 219.217.63.255 59.72.0.0 - 59.72.127.255 202.127.245.0 - 202.127.245.255 222.27.64.0 - 222.27.95.255 vCncnet: 202.98.13.0 - 202.98.13.255 202.98.17.0 - 202.98.17.255 202.98.18.0 - 202.98.18.127 202.98.18.224 - 202.98.18.255 202.111.177.224 -202.1
28、11.177.255vChinanet:222.168.43.160 - 222.168.43.19133LOGO3434校园网概述校园网概述 网络拓扑图网络拓扑图2008101620081016(2)LOGO35校园网概述校园网概述 网络拓扑图网络拓扑图2008101620081016(3)LOGO36网络设备网络设备 概述(概述(1)LOGO37网络设备网络设备 概述(概述(2)LOGO38网络设备网络设备 概述(概述(3)高速同步串口高速同步串口:主要用于连接:主要用于连接DDN、帧中、帧中继、继、X.25、PSTN等。通过这种端口所连等。通过这种端口所连接的网络的两端都要求实时同步。接
29、的网络的两端都要求实时同步。异步串口异步串口:主要用于:主要用于Modem或或Modem池池的连接,实现远程计算机通过公用电话网的连接,实现远程计算机通过公用电话网拨入网络。它不要网络两端保持实时同步,拨入网络。它不要网络两端保持实时同步,只要求能连续即可,这种接口所连接的通只要求能连续即可,这种接口所连接的通信方式速率较低。信方式速率较低。Console口口:使用配置专用线直接连接至:使用配置专用线直接连接至计算机串口,利用终端仿真程序进行路由计算机串口,利用终端仿真程序进行路由器本地配置。器本地配置。AUX口口为异步端口,主要用于远程配置,为异步端口,主要用于远程配置,也可用于拨号连接,还
30、可通过收发器与也可用于拨号连接,还可通过收发器与MODEM相连。相连。LOGO39网络设备网络设备 路由与交换路由与交换v路由和交换是网络世界中两个重要的概念。路由和交换是网络世界中两个重要的概念。传统的交换发生传统的交换发生在网络的第二层,即数据链路层,在网络的第二层,即数据链路层, 而路由则发生在第三层,而路由则发生在第三层,网络层网络层。所以传统意义上的交换机是。所以传统意义上的交换机是OSIOSI参考模型第二层的参考模型第二层的设备,设备, 也就是数据链路层的设备,也就是数据链路层的设备, 交换机根据每一个数据交换机根据每一个数据包中的目的包中的目的MACMAC地址作简单的转发,转发决
31、策并不需要判断地址作简单的转发,转发决策并不需要判断数据包深层的其他信息。而路由器是数据包深层的其他信息。而路由器是OSIOSI参考模型第三层的参考模型第三层的设备,也就是网络层的设备,它负责检查进入的分组,为它设备,也就是网络层的设备,它负责检查进入的分组,为它们选择通过网络的最佳路径,然后将它们交换到合适的输出们选择通过网络的最佳路径,然后将它们交换到合适的输出端口上。这是传统意义上的路由和交换。端口上。这是传统意义上的路由和交换。v现在,路由的智能和交换的性能被有机的结合起来,三层交现在,路由的智能和交换的性能被有机的结合起来,三层交换机和多层交换机在网络中已经大量使用。换机和多层交换机
32、在网络中已经大量使用。LOGO40网络设备网络设备 NATvNAT英文全称是英文全称是NetworkAddressTranslation,也就是,也就是网络地址转换网络地址转换,它是一个它是一个IETF标准,允许一个机构以一个地址出现标准,允许一个机构以一个地址出现在在Internet上。上。NAT将每个局域网节点的地址转换成将每个局域网节点的地址转换成一个一个IP地址,反之亦然。它也可以应用到防火墙技术地址,反之亦然。它也可以应用到防火墙技术里,把个别里,把个别IP地址隐藏起来不被外界发现,使外界无地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备,同时,它还帮助网络可法直接访问内部网
33、络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有以超越地址的限制,合理地安排网络中的公有Internet地址和私有地址和私有IP地址的使用。地址的使用。 LOGO41网络设备网络设备 NAT原理原理vNATNAT技术能帮助解决令人头痛的技术能帮助解决令人头痛的IPIP地址紧缺的问题,而且能使地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。得内外网络隔离,提供一定的网络安全保障。v它解决问题的办法是:在内部网络中使用内部地址,通过它解决问题的办法是:在内部网络中使用内部地址,通过NATNAT把内部地址翻译成合法的把内部地址翻译成合法的IPIP地址在地址在Int
34、ernetInternet上使用,其具体上使用,其具体的做法是把的做法是把IPIP包内的地址域用合法的包内的地址域用合法的IPIP地址来替换。地址来替换。 vNATNAT功能通常被集成到路由器、防火墙、功能通常被集成到路由器、防火墙、ISDNISDN路由器或者单独路由器或者单独的的NATNAT设备中。设备中。NATNAT设备维护一个状态表,用来把非法的设备维护一个状态表,用来把非法的IPIP地地址映射到合法的址映射到合法的IPIP地址上去。每个包在地址上去。每个包在NATNAT设备中都被翻译成设备中都被翻译成正确的正确的IPIP地址,发往下一级,这意味着给处理器带来了一定地址,发往下一级,这意
35、味着给处理器带来了一定的负担。但对于一般的网络来说,这种负担是微不足道的。的负担。但对于一般的网络来说,这种负担是微不足道的。 LOGO42网络设备网络设备 NAT类型类型静态静态NAT(StaticNAT)动态地址动态地址NAT(PooledNAT)网络地址端口转换网络地址端口转换NAPT(PortLevelNAT)v静态静态NAT设置起来最为简单和最容易实现的一种,内部网络设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。中的每个主机都被永久映射成外部网络中的某个合法的地址。v动态地址动态地址NAT则是在外部网络中定义了一系列的合法地址,则是
36、在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。采用动态分配的方法映射到内部网络。vNAPT则是把内部地址映射到外部网络的一个则是把内部地址映射到外部网络的一个IP地址的不同端地址的不同端口上。根据不同的需要,三种口上。根据不同的需要,三种NAT方案各有利弊。方案各有利弊。 LOGO43网络设备网络设备 NAT应用应用vNAT技术可以让区域网路中的所有机器经由一台通往技术可以让区域网路中的所有机器经由一台通往Internet的的server线出去,而且只需要注册该线出去,而且只需要注册该server的一个的一个IP就够了就够了。最简单的最简单的NAT设备有两条网络连接:一
37、条连接到设备有两条网络连接:一条连接到Internet,一,一条连接到专用网络。专用网络中使用私有条连接到专用网络。专用网络中使用私有IP地址(有时也被地址(有时也被称做称做Network10地址,地址使用留做专用的从地址,地址使用留做专用的从10.0.0.0开始开始的地址)的主机,通过直接向的地址)的主机,通过直接向NAT设备发送数据包连接到设备发送数据包连接到Internet上。与普通路由器不同,上。与普通路由器不同,NAT设备实际上对包头进行设备实际上对包头进行修改,将专用网络的源地址变为修改,将专用网络的源地址变为NAT设备自己的设备自己的Internet地址,地址,而普通路由器仅在将
38、数据包转发到目的地前读取源地址和目而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。的地址。 LOGO路由协议vInternet 路由选择的树状结构:自治系统自治系统局域网局域网局域网局域网核心系统核心系统GGGGGG核心网关非核心网关部分AS间交换路由信息(信任关系)LOGOv自治系统(ASAutonomous System):包括多个网络和非核心网关,并通过唯一的核心网关与主干网相连。通过它进入主干网(核心系统)。AS的建立是为了便于扩展并减 轻 主干网路由信息更新的过大开销。核心网关由Internet网络操作中心统一管理,非核心网关由本地管理v路由信息的交换: 1. 自治系统要
39、通过系统内一个授权的非核心网关向所属核心网关报告本地路由信息,核心网关也要通过它报告主干网路由信息。(外部网关协议EGPExternal Gateway Protocol. 如EGP,BGP)2.核心网关之间相互交换路由信息。(核心网关协议GGPGateway-Gateway Protocol).3.自治系统是独立的。其内部可采用自己的路由协议。(内部网关协议IGPInternal Gateway Protocol 如OSPF, RIP, IGRP 等)v信任关系:为减轻自治系统对主干网的依赖,提高系统的可靠性,一些自治系统间可直接建立联系,交换路由信息,而不必通过主干网。(称信任关系)v路径
40、 :本地网络将数据发送到核心网关,进入主干网,再通过核心网关送到目的主机所在的自治系统,然后由内部路由到达目的主机。LOGO46网络设备网络设备 实例(实例(1)vCISCO学院实验室学院实验室网络拓扑图网络拓扑图LOGO47网络设备网络设备 实例(实例(2)User Access VerificationPassword : LAB_A User EXEC modeLAB_A enableenableLAB_A# Privileged EXEC modeLAB_A# configureterminalconfigureterminalGlobal configuration modeLAB_
41、A(config)#LAB_A(config)# interfaceFastEthernet0/1interfaceFastEthernet0/1配置接口LAB_A(config-if)# ipaddressxxx.xxx.xxx.xxxxxx.xxx.xxx.xxxipaddressxxx.xxx.xxx.xxxxxx.xxx.xxx.xxxLAB_A(config-if)# exitexitLAB_A(config)#LAB_A(config)# routerriprouterrip 配置路由协议LAB_A(config-router)# network201.100.11.0networ
42、k201.100.11.0LAB_A(config-router)# network202.198.31.0network202.198.31.0LAB_A(config-router)#exitexitLAB_A(config)#LAB_A(config)# iphostdns202.198.16.3iphostdns202.198.16.3 配置DNSLAB_A(config)# exitexitLAB_A# showrunning-configshowrunning-configLAB_A# pingdnspingdns 检查配置并测试连接性LAB_A# copyrunning-conf
43、igstartup-configcopyrunning-configstartup-config 保存配置LOGO48网络设备网络设备 实例(实例(3)LOGO49DNS 定义(定义(1)vDNS,DomainNameSystem,域名系统。,域名系统。v在一个在一个TCP/IP架构的网络环境中,架构的网络环境中,DNS是一个非常重要而是一个非常重要而且常用的系统。主要的功能是将人易于记忆的且常用的系统。主要的功能是将人易于记忆的DomainName与人不容易记忆的与人不容易记忆的IPAddress作转换。它包括正向作转换。它包括正向解析和逆向解析。解析和逆向解析。正向解析正向解析指将主机域名
44、解析为对应的指将主机域名解析为对应的IP地址的过程。地址的过程。反向解析反向解析指由指定的指由指定的IP地址解析出对应的主地址解析出对应的主机域名。机域名。LOGO50DNS 定义(定义(2)vDNS是属于是属于分层的(分层的(Hierarchical)分布式数据库()分布式数据库(DistributedDatabase)体系结构)体系结构,虽然每台,虽然每台DNS服务器只负责某些范围的域名解析服务器只负责某些范围的域名解析工作,但是它最大的长处是:可将世界上分散在各地的工作,但是它最大的长处是:可将世界上分散在各地的DNS集合而成为一集合而成为一个逻辑上的数据库。因为没有一台个逻辑上的数据库
45、。因为没有一台DNS服务器可以容纳世界上所有主机的服务器可以容纳世界上所有主机的资料记录,所以就必须通过资料记录,所以就必须通过DNS服务器间的查询和缓存记忆来分享资料,服务器间的查询和缓存记忆来分享资料,以便响应来自客户端的域名解析请求。以便响应来自客户端的域名解析请求。v例如:吉林大学的例如:吉林大学的DomainName为为,这个,这个DomainName当然不是凭空而来的,是从当然不是凭空而来的,是从所分配下来。所分配下来。又是从又是从.cn授予的。授予的。.cn是从哪里来的呢?答案是从是从哪里来的呢?答案是从“.”,也就是所谓的,也就是所谓的“根域根域”(rootdomain)来的。
46、根域已经是)来的。根域已经是DomainName的最上层。而的最上层。而“.”这层是由这层是由InterNIC(InternetNetworkInformationCenter,互联网信息,互联网信息中心)所管理。全世界的中心)所管理。全世界的DomainName就是这样,一层一层的授予下来。就是这样,一层一层的授予下来。 LOGO网络安全 第2讲 TCPIP深入理解域名解析算法图域名解析算法图 :LOGO52DNS 工作流程(工作流程(1)v例:例:查询查询DomainName为为时时,DNSServer处处理理如下如下:LOGO53DNS 工作流程(工作流程(2)1.客户端向服务器提出查询
47、项目;客户端向服务器提出查询项目;2.当被询问到有关本域名之内的主机名称的时候,当被询问到有关本域名之内的主机名称的时候,DNS服务器会直接做出回答;服务器会直接做出回答;3.如果所查询的主机名属于其它域名,会检查快取记忆体如果所查询的主机名属于其它域名,会检查快取记忆体(Cache)查看是否有相关查看是否有相关资料;资料;4.如果没有发现,则会转向如果没有发现,则会转向root服务器查询;服务器查询;5.root服务器会将该域名之下一层授权服务器会将该域名之下一层授权(authoritative)服务器的地址告知服务器的地址告知(可能会超可能会超过一台过一台);6.然后本地服务器会向其中的一
48、台服务器查询,并将这些服务器名单存到记忆体中,然后本地服务器会向其中的一台服务器查询,并将这些服务器名单存到记忆体中,以备将来之需以备将来之需(省却再向省却再向root查询的步骤查询的步骤);7.远方服务器回应查询;远方服务器回应查询;8.若该回应并非最后一层的答案,则继续往下一层查询,直到获得客户端所要查询的若该回应并非最后一层的答案,则继续往下一层查询,直到获得客户端所要查询的结果为止;结果为止;9.将查询结果返回给客户端,并同时将结果储存一个备份在自己的快取记忆里面;将查询结果返回给客户端,并同时将结果储存一个备份在自己的快取记忆里面;10.如果在存放时间尚未过时之前再接到相同的查询,则
49、以存放于快取记忆里面的资料如果在存放时间尚未过时之前再接到相同的查询,则以存放于快取记忆里面的资料来做回应。来做回应。LOGO54DNS 基础知识(基础知识(1)vDomain(域(域/网域)网域)将整个将整个internet分成许多的分成许多的domain,每个,每个domain下下又可细分为许多又可细分为许多domain,然后这些细分的,然后这些细分的domain视视实际需求又可再细分成许多实际需求又可再细分成许多domain一直循环下去。基一直循环下去。基本上每个本上每个domain內的內的mapping由一部主机负责管理。由一部主机负责管理。顶级域名(顶级域名(topleveldoma
50、in):):域名级数是从右至左,域名级数是从右至左,按照按照“.”分开的部分数确定的,有几个部分就是几级。分开的部分数确定的,有几个部分就是几级。“顶级域名顶级域名”即即“一级域名一级域名”,如,如.com表示商业机构;表示商业机构;另外也包括以地理域名命名的顶级域名,如国家顶级另外也包括以地理域名命名的顶级域名,如国家顶级域名域名,.aa表示南极洲;表示南极洲;.cn表示中国等。表示中国等。LOGO55DNS 基础知识(基础知识(2)vNameServer负责记录负责记录forward/reversemapping的机器会的机器会执行一个叫执行一个叫nameserver的软件,透过这个软的软
51、件,透过这个软件回应来自其他机器对件回应来自其他机器对domainname或或IP的查的查询询。vzone&domain每个每个domain交由一个机器负责,其实更精确交由一个机器负责,其实更精确地说应该是每个地说应该是每个zone交由一个交由一个nameserver来来负责,所谓负责,所谓zone就是把一个就是把一个domain扣掉分给扣掉分给下层负责的部分,剩下来的部分就是下层负责的部分,剩下来的部分就是zone。LOGO56DNS 基础知识(基础知识(3)vPrimary/Secondary(master/slave)如果如果zone交由一部交由一部nameserver管理管理,万一这个
52、,万一这个nameserver当掉,可能造成当掉,可能造成INTERNET上其它机器无法取得属上其它机器无法取得属于这个于这个zone的资料(就是的资料(就是domainname和和ipmapping)。)。为了避免这种情况,我们可以把这个为了避免这种情况,我们可以把这个zone的资料同时交给的资料同时交给多部多部nameserver负责。原本的这部被称为负责。原本的这部被称为primarynameserver,其它的被称为,其它的被称为secondarynameserver。Secondarynameserver会定期将会定期将primarynameserver上上zone的资料拷贝一份下来
53、备用。的资料拷贝一份下来备用。primary/secondary在新版在新版nameserver程式中被改称为程式中被改称为master/slave。LOGO57DNS 基础知识(基础知识(4)vForward/Reverse(正解(正解/反解)反解)domainnameIPmapping应该看成两个命名空间:应该看成两个命名空间:一个是一个是domainname-IP,称之为称之为forwardmapping,在这个命名空间中,在这个命名空间中,先分成先分成topdomain,再细分,再细分subdomain,再细分,以此类推。例如,再细分,以此类推。例如-15.16.192.152表示在代
54、表表示在代表的的subdomain的机器上,可以查到其的机器上,可以查到其mappingtable上有一条记录是上有一条记录是winnie-15.16.192.152。一个是一个是IP-domainname,称称之之为为reversemapping。在这个命名空间中,。在这个命名空间中,所有的所有的IP组成一个叫作组成一个叫作arpa.in-addr的的topdomain,然后再依,然后再依IP层层细分。层层细分。比如说比如说15.16.192.152-代表在负责代表在负责192.16.15.in-addr.arpa(注意是反过来写,因为(注意是反过来写,因为topdomain要在最后面)这个
55、要在最后面)这个subdomain的机器上,可以查到其的机器上,可以查到其mappingtable上有一笔记录是上有一笔记录是152-。注意注意负责负责forwardmapping和和reversemapping的机器不一定是同一的机器不一定是同一台台;Domain与与ipsubnet并没有一对一关系。并没有一对一关系。LOGO58DNS 基础知识(基础知识(5)vSOA(StartOfAuthority):即原始权威服务器,:即原始权威服务器,指指zone的权威设定,主要作用是提供原始权威服的权威设定,主要作用是提供原始权威服务器的信息。为区域文件更新提供参数。务器的信息。为区域文件更新提供
56、参数。v它表示授权的开始:它表示授权的开始:SOA用来表示区域的启动,用来表示区域的启动,每个区域必须只有一个每个区域必须只有一个SOA记录记录。SOA指定了指定了权权威主机威主机的的nameserver(FQDN)、)、contact-email-address、Serialnumber、RefreshTime、Retrytime、Expiretime和和MinimumTTL。LOGO59DNS 基础知识(基础知识(6)vNameserver:域记录文件被创建的服务器,是通过域记录文件被创建的服务器,是通过FQDN描述的。描述的。FQDN(FullyQualifiedDomainName):
57、完全合格域名完全合格域名/全全称域名,是指主机名加上全路径,全路径中列出了序列中所称域名,是指主机名加上全路径,全路径中列出了序列中所有域成员。全域名可以从逻辑上准确地表示出主机在什么地有域成员。全域名可以从逻辑上准确地表示出主机在什么地方,也可以说全域名是主机名的一种完全表示形式。方,也可以说全域名是主机名的一种完全表示形式。从全域从全域名中包含的信息可以看出主机在域名树中的位置名中包含的信息可以看出主机在域名树中的位置。例如,。例如,acmecompany公司的公司的Web服务器的全域名可以是服务器的全域名可以是,而若,而若WWW主机是在销售部子主机是在销售部子域,则它的全域名可以是域,则
58、它的全域名可以是。当给出的名字像当给出的名字像acmecompany而不是而不是acmecompany.时,时,他们通常是指主机名,而名字中带有句点的则认为是全域名。他们通常是指主机名,而名字中带有句点的则认为是全域名。这种区别在理解和控制解析过程时是非常重要的。句点实际这种区别在理解和控制解析过程时是非常重要的。句点实际上指出了域名树的根。上指出了域名树的根。LOGO60DNS 基础知识(基础知识(7)vContact-email-address:管理员的管理员的email地址。地址。vSerial序列号,即区域文件的修订版本号,每次修改区域文件后递增此数字,序列号,即区域文件的修订版本号,
59、每次修改区域文件后递增此数字,次服务器根据此参数值可以确定是否需要更新记录。次服务器根据此参数值可以确定是否需要更新记录。vRefresh刷新时间,次服务器每隔此参数定义的时间(秒)核对主服务器的记录。刷新时间,次服务器每隔此参数定义的时间(秒)核对主服务器的记录。默认是:默认是:3,600。即辅助。即辅助DNS服务器在查询主服务器在查询主DNS服务器的服务器的SOA记录之记录之前等待的时间(秒),当刷新时间过期时,辅助前等待的时间(秒),当刷新时间过期时,辅助DNS服务器将向主服务器将向主DNS服务器请求当前服务器请求当前SOA记录的副本;主记录的副本;主DNS服务器允许此请求;辅服务器允许
60、此请求;辅助助DNS服务器比较主服务器比较主DNS服务器的当前服务器的当前SOA记录的序列号和自己的记录的序列号和自己的SOA记录中的序列号,如果它们是不同的,辅助记录中的序列号,如果它们是不同的,辅助DNS服务器就会向主服务器就会向主DNS服务器请求区域传输。服务器请求区域传输。LOGO61DNS 基础知识(基础知识(8)vRetry重试时间,辅助服务器传输失败后的等待时间(秒),默认重试时间,辅助服务器传输失败后的等待时间(秒),默认是:是:600。即辅助服务器区域传输失败后到进行重试前的等。即辅助服务器区域传输失败后到进行重试前的等待时间(秒)。通常,重试时间小于刷新时间。待时间(秒)。
61、通常,重试时间小于刷新时间。vExpire超时,又称过期时间,辅助服务器尝试更新记录的时间(秒)超时,又称过期时间,辅助服务器尝试更新记录的时间(秒),超过这个时间就认定相关记录不是最新的。,超过这个时间就认定相关记录不是最新的。vMinimumTTL最小生命周期:适用区域文件中的所有资源记录,表示域中最小生命周期:适用区域文件中的所有资源记录,表示域中记录的最小生命周期,主服务器用来通知其他服务器,它所记录的最小生命周期,主服务器用来通知其他服务器,它所发出的记录可以缓存多久。发出的记录可以缓存多久。LOGO62DNS 基础知识(基础知识(9)vDNS资源记录资源记录SOA记录记录用来表示区
62、域的启动;用来表示区域的启动;每个区域必须只有一个每个区域必须只有一个SOA记录;记录;辅助服务器,在不能和主服务器通信的情况下,将提供辅助服务器,在不能和主服务器通信的情况下,将提供12小时小时DNS服务,在指定的时间后停止为那个区域提供服务,在指定的时间后停止为那个区域提供DNS服务,不过仍然要服务,不过仍然要尝试与主服务器通信;尝试与主服务器通信;语法格式:语法格式:INSOAnameserver.contact-email-address(serial_number;refresh_number;retry_number;expire_number;minimum_number;)LO
63、GO63DNS 基础知识(基础知识(10)vDNS资源记录资源记录NS记录记录NameServer,名称服务器记录:为,名称服务器记录:为DNS域标识域标识DNS名名称服务器,该资源记录出现在所有称服务器,该资源记录出现在所有DNS区域中。创建新区域中。创建新区域时,该资源记录被自动创建。区域时,该资源记录被自动创建。用来为域指定名字服务器;用来为域指定名字服务器;语法格式:语法格式:INNSname-server-hostname例如:例如:INNS./说明说明.是当前区域文件的名字服务器,可是当前区域文件的名字服务器,可以指定多个以指定多个NS记录。记录。LOGO64DNS 基础知识(基础
64、知识(11)vDNS资源记录资源记录A记录记录Adress,主机地址记录:,主机地址记录:代表代表“主机名称主机名称”与与“IP”地址的对应关系,作用是把名称转换成地址的对应关系,作用是把名称转换成IP地址。地址。DNS使用使用A记录来回答记录来回答“某主机名称所对应的某主机名称所对应的IP地址是什么?地址是什么?”。主机名必須使用主机名必須使用A记录转译成记录转译成IP地址,网络层才知道如何选择路由,并将数地址,网络层才知道如何选择路由,并将数据包送到目的地。据包送到目的地。每个主机至少应有一个每个主机至少应有一个A记录;记录;A记录把主机名指定为记录把主机名指定为IP地址地址语法语法:ho
65、stnameINAIP-Address完整的主机名后应有一个完整的主机名后应有一个“.”;可以使用缩写;可以使用缩写;例如:例如:wwwINA.INA192.168.100.200此时的此时的www代表代表,为完整主机名,后面一定有为完整主机名,后面一定有“.”。LOGO65DNS 基础知识(基础知识(12)vDNS资源记录资源记录CNAME记录记录CanonicalName,别名记录:,别名记录:某些名称并没有对应的某些名称并没有对应的IP地址,而只是一个主机名的别名。地址,而只是一个主机名的别名。CNAME记录代表别名与规范主机名称之间的对应关系记录代表别名与规范主机名称之间的对应关系指定
66、规范(正式)主机名的别名指定规范(正式)主机名的别名语法格式语法格式:AliasINCNAMECanonical-hostname可以使用缩写;可以使用缩写;例如:例如:wwwINCNAME.此此例表明管理员可能公告其网站主机名称为例表明管理员可能公告其网站主机名称为,但其实,但其实只是一个指向只是一个指向的的CNAME记录而已。记录而已。而在而在维护期间,可以临时将维护期间,可以临时将指向指向server-。LOGO66DNS 基础知识(基础知识(13)vDNS资源记录资源记录MX记录记录MailExchange,邮件交换器资源记录:,邮件交换器资源记录:MX记录提供邮件路由信息;记录提供邮
67、件路由信息;提供网域的提供网域的“邮件交换器(邮件交换器(MailExchanger)”的主机名称以及相对应的的主机名称以及相对应的优先值;优先值;当当MTA(用于收发(用于收发Mail的程序一般统称为邮件用户代理的程序一般统称为邮件用户代理MUA-MailUserAgent;将来自;将来自MUA的信件转发给指定的用户的程序一般被称之为因特网的信件转发给指定的用户的程序一般被称之为因特网邮件传送代理邮件传送代理MTA-MailTransferAgent)要将邮件送到某个网域时,会优)要将邮件送到某个网域时,会优先将邮件交给该网域的先将邮件交给该网域的MX主机;主机;同一个网域可能有多个邮件交换
68、器,所以每一个同一个网域可能有多个邮件交换器,所以每一个MX记录都有一个优先值,记录都有一个优先值,供供MTA作为选择作为选择MX主机的依据。;主机的依据。;语法格式:语法格式:INMXpreference-valuemail-server-hostname.例如:例如:INMX.INMX.LOGO67DNS 基础知识(基础知识(14)vDNS资源记录资源记录PTR记录记录Point,指针记录:,指针记录:PTR记录代表记录代表“IP地址地址”与与“主机名主机名”的对应关系,作用刚好与的对应关系,作用刚好与A记录相反;记录相反;与与A记录一样,每个网络接口必须有一条记录一样,每个网络接口必须有
69、一条PTR记录。记录。DNS系统使用系统使用PTR记录来回答记录来回答“某某IP地址所对应的主机名是什么地址所对应的主机名是什么?”;RFC882构想,构想,A记录与记录与PTR记录应是互逆的,也就是说从记录应是互逆的,也就是说从A记录可以查到记录可以查到“域名到域名到IP”,从,从PTR记录可以查到记录可以查到“IP到域名到域名”,但当多个域名对应同一,但当多个域名对应同一个个IP时,时,PTR记录应指向该记录应指向该IP地址的规范主机名。地址的规范主机名。语法格式:语法格式:ipINPTRhostname.可以使用缩写;可以使用缩写;例如:例如:202.198.16.80INPTR.即即2
70、02.198.16.80INPTRwwwLOGO68DNS 基础知识(基础知识(15)vDNS资源记录资源记录SRV记录记录ServiceLocationResourceRecord,本地服务资源记录:,本地服务资源记录:它是它是DNS服务器的数据库中支持的一种资源记录的类型,它记录了服务器的数据库中支持的一种资源记录的类型,它记录了哪台计算机提供了那种服务;哪台计算机提供了那种服务;SRV记录一般是为记录一般是为Microsoft的活动目录设置时使用的。的活动目录设置时使用的。DNS可以可以独立于活动目录,但是活动目录必须有独立于活动目录,但是活动目录必须有DNS的帮助才能工作。为了的帮助才
71、能工作。为了活动目录能够正常的工作,活动目录能够正常的工作,DNS服务器必须支持服务定位(服务器必须支持服务定位(SRV)资源记录,资源记录把服务名字映射为提供服务的服务器名字。活资源记录,资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用动目录客户和域控制器使用SRV资源记录决定域控制器的资源记录决定域控制器的IP地址。地址。IN记录记录表示这些资源都在表示这些资源都在InternetLOGO69DNS 配置范例(配置范例(1)v一家公司已经向一家公司已经向InterNIC申请名为申请名为的网址的网址v代理服务器的主机名为代理服务器的主机名为,IP地址为地址为192.1
72、68.1.1vDNS服务器的主机名为服务器的主机名为,IP地址为地址为192.168.1.10v邮件服务器的主机名为邮件服务器的主机名为,IP地址为地址为192.168.1.20v名为名为且且IP地址为地址为192.168.1.30的服务器上,安装的服务器上,安装有有WWW和和FTP服务,同时二者以服务,同时二者以和和的域名提供服务的域名提供服务vDNS需提供反向解析的服务需提供反向解析的服务v为了达到容错的目的,须将为了达到容错的目的,须将IP地址为地址为192.168.1.254的的DNS服务器设服务器设置为次服务器,以防止主置为次服务器,以防止主DNS服务器出现故障时产生的服务中断。服务
73、器出现故障时产生的服务中断。LOGO70DNS 配置范例(配置范例(2)第一步:以管理员身份登录,并且运行第一步:以管理员身份登录,并且运行BIND服务器的服务器的安装与启动。安装与启动。检查系统中是否安装检查系统中是否安装BIND服务器:服务器:rootns1root#rpmqabind如如果果系系统统中中没没有有安安装装,可可查查找找bind-xxx.rpm文文件件,然然后后输输入以下命令,系统会自动完成安装入以下命令,系统会自动完成安装BIND服务器的所有步骤:服务器的所有步骤:rootns1root#rpmivhbind-xxx.rpm启动、重新启动和停止启动、重新启动和停止BIND服
74、务器服务器namedstartnamedrestartnamedstopLOGO71DNS 配置范例(配置范例(3)第二步:建立正向解析区域,这部分需要新建在第二步:建立正向解析区域,这部分需要新建在named.conf文件中,以下是设置的例子:文件中,以下是设置的例子:zone“”INzone“”INtypemaster;typemaster;file“example.hosts”;file“example.hosts”; ;在本例中,新建了名为在本例中,新建了名为“”的正向解析区域,它也是公司已的正向解析区域,它也是公司已注册的网址。本例表示此区域用来定义注册的网址。本例表示此区域用来定义
75、“”网域的内容,它网域的内容,它是属于是属于“IN”(Internet)的区域类别,)的区域类别,IN表示这是网络上的一条记录,同表示这是网络上的一条记录,同时此区域的类型为时此区域的类型为DNS的主要区域,它拥有来自区域信息的正本,可以的主要区域,它拥有来自区域信息的正本,可以提供授权式的响应,而配置文件提供授权式的响应,而配置文件“example.hosts”是自行定制的区域配是自行定制的区域配置文件。置文件。LOGO72DNS 配置范例(配置范例(4)第三步:建立反向解析区域。这部分需新建在第三步:建立反向解析区域。这部分需新建在named.conf文件中,以下是设置的例子:文件中,以下
76、是设置的例子:zone“1.168.192.in-addr.arpa”zone“1.168.192.in-addr.arpa”typemaster;typemaster;file“example.rev”;file“example.rev”; ;在本例中,新建了名为在本例中,新建了名为“1.168.192.in-addr.arpa”的反向解析区域,它可提供的反向解析区域,它可提供区域的区域的反向解析服务,而配置文件反向解析服务,而配置文件“example.rev”是自行是自行定制的区域配置文件。定制的区域配置文件。LOGO73DNS 配置范例(配置范例(5)第四步:建立次(第四步:建立次(sl
77、ave)服务器正向解析区域,这部分需要在)服务器正向解析区域,这部分需要在192.168.1.254的的named.conf文件中建立,以下是设置的例子文件中建立,以下是设置的例子zone“”zone“”typeslave;typeslave;file“example.hosts”;file“example.hosts”;mastersmasters192.168.1.10;/192.168.1.10;/主服务器的主服务器的主服务器的主服务器的IPIP地址地址地址地址 ; ;在本例中,在次服务器上新建了名为在本例中,在次服务器上新建了名为“”的正向解析区域,它所登录的正向解析区域,它所登录的主
78、服务器为的主服务器为192.168.1.10,而配置文件,而配置文件“example.hosts”是自行定制的区域配置是自行定制的区域配置文件名称,不需要建立此文件,系统会自动建立。次要区域是一份来自主要区域的文件名称,不需要建立此文件,系统会自动建立。次要区域是一份来自主要区域的副本,而在次要区域中的副本,而在次要区域中的“masters”列表,可以指定一个或多个主要服务器的列表,可以指定一个或多个主要服务器的IP地地址,而次要服务器就会与列表上的主机进行通信,来更新区域信息文件副本。按照址,而次要服务器就会与列表上的主机进行通信,来更新区域信息文件副本。按照默认值,区域转送会通过连接端口默
79、认值,区域转送会通过连接端口53来进行。来进行。LOGO74DNS 配置范例(配置范例(6)第五部:建立正向解析区域配置文件第五部:建立正向解析区域配置文件example.hosts。$ORIGIN$ORIGINININSOA.SOA. .(.(20020930;serial20020930;serial86400;refresh86400;refresh36003600;retry;retry3600000;expire3600000;expire1D);minimum1D);minimum ININNS.NS. LocalhostINA127.0.0.1LocalhostINA127.0.
80、0.1LOGO75DNS 配置范例(配置范例(7)第六步:新建资源记录。上述的内容为第六步:新建资源记录。上述的内容为example.hosts文件的基本文件的基本内容,而在基本内容建立后,接着必须将区域内主机所需的各内容,而在基本内容建立后,接着必须将区域内主机所需的各式资源记录加入该文件中,以本例来说,需要新建的资源记录式资源记录加入该文件中,以本例来说,需要新建的资源记录为为A、CNAME和和MX等。等。proxyproxy ININA A192.168.1.1192.168.1.1dnsdnsININA A192.168.1.10192.168.1.10mailmailININA A1
81、92.168.1.20192.168.1.20bothbothININA A192.168.1.30192.168.1.30 wwwwwwININCNAMECNAMEbothbothftpftpININCNAMECNAMEbothboth mailmailININMXMXLOGO76DNS 配置范例(配置范例(8)第七步:修改第七步:修改named.local,以符合网络的现况。,以符合网络的现况。$TTL86400$TTL86400ININSOASOA.(.(2002093001;Serial2002093001;Serial28800;Refresh28800;Refresh1440014
82、400 ;Retry;Retry3600000;Expire3600000;Expire86400);Minimum86400);Minimum ININNSlocalhost.NSlocalhost. 11ININPTRPTR localhostlocalhostLOGO77DNS 配置范例(配置范例(9)第八步:建立反向解析区域配置文件第八步:建立反向解析区域配置文件example.rev$TTL86400$TTL86400ININSOASOA.(.(2000071301;Serial2000071301;Serial28800;Refresh28800;Refresh1440014400
83、;Retry;Retry3600000;Expire3600000;Expire86400);Minimum86400);Minimum ININNSNS. 11ININPTRPTR.1010ININPTRPTR.2020ININPTRPTR.3030ININPTRPTR.LOGO78DNS 配置范例(配置范例(10)第九步:重新启动第九步:重新启动BIND服务器:服务器:namedrestartnamedrestart第十步:查看第十步:查看日志日志日志日志文件,以确定启动及一切设置全部正常。文件,以确定启动及一切设置全部正常。LOGO79Proxy 定义定义v“Proxy”在字面上就是在字
84、面上就是“代理人代理人”的意思,的意思,Proxy服务器是一种防火墙服务器是一种防火墙(Firewall)组件,泛指可以用来管理)组件,泛指可以用来管理Internet与局域网间进出的数据以及与局域网间进出的数据以及提供如文件缓存(提供如文件缓存(Caching)和)和访问控制等功能的服务器。也就是说,只访问控制等功能的服务器。也就是说,只要可以代表其他计算机传递数据包或信息的服务器都可以称为要可以代表其他计算机传递数据包或信息的服务器都可以称为Proxy服务服务器,至于数据包或信息的类型并不只限于浏览器,至于数据包或信息的类型并不只限于浏览WWW网页内容,其他如电网页内容,其他如电子邮件、多
85、媒体文件,或网络应用程序都可以通过子邮件、多媒体文件,或网络应用程序都可以通过Proxy服务器来发送。服务器来发送。因此,因此,Proxy服务器的种类有很多,比较常见的类型有服务器的种类有很多,比较常见的类型有ProxyCaching、MailProxy、IPProxy等。等。v缓存(缓存(Cache)只是)只是Proxy服务器的一部分功能服务器的一部分功能ProxyCaching,可,可以在硬盘中建立一个空间,然后将客户端最近曾经浏览过的网页数据保存以在硬盘中建立一个空间,然后将客户端最近曾经浏览过的网页数据保存在此,当下次客户端再请求浏览同一网页时,即可由硬盘中直接抓取,而在此,当下次客户
86、端再请求浏览同一网页时,即可由硬盘中直接抓取,而不再通过网络访问原来的不再通过网络访问原来的Internet主机,这样可以节省带宽的使用以及文主机,这样可以节省带宽的使用以及文件传输的时间。件传输的时间。LOGO80Proxy 工作流程工作流程1.客户端向代理服务器提出网页请求。客户端向代理服务器提出网页请求。2.代理服务器接受此请求,并且代替客户端向代理服务器接受此请求,并且代替客户端向Internet上的上的Web主机请求主机请求指定的网页内容。指定的网页内容。3.Internet上的上的Web主机将请求的网页发送到代理服务器,同时代理服务主机将请求的网页发送到代理服务器,同时代理服务器会
87、将此网页存入缓存中。器会将此网页存入缓存中。4.代理服务器将网页结果回应客户端。代理服务器将网页结果回应客户端。5.其他客户端向代理服务器提出相同网页内容请求。其他客户端向代理服务器提出相同网页内容请求。6.代理服务器直接利用缓存中的网页响应客户端。代理服务器直接利用缓存中的网页响应客户端。LOGO81Proxy 配置配置vSquid服务器的安装和启动服务器的安装和启动检查是否已安装了软件:检查是否已安装了软件:rootns1root#rpmqasquid如果未安装,执行以下命令安装如果未安装,执行以下命令安装rootns1root#rpmivhsquid-xxx.rpm启动、重新启动和停止启
88、动、重新启动和停止Squid服务器服务器squidstartsquidrestartsquidstop有关有关Squid服服务务器的器的设设置置项项目及注目及注释释都集中在都集中在squid.conf文件中文件中。LOGO82邮件服务邮件服务 专有名词专有名词v邮件用户代理(邮件用户代理(MailUserAgent,MUA):):MUA是一种客是一种客户端软件,它可提供用户浏览、书写以及处理邮件的功能。户端软件,它可提供用户浏览、书写以及处理邮件的功能。一个系统可以同时存在多个不同的一个系统可以同时存在多个不同的MUA程序。程序。v邮件传输代理(邮件传输代理(MailTransferAgent
89、,MTA):):MTA是一是一种运行在服务器端的软件,也就是邮件服务器,它负责种运行在服务器端的软件,也就是邮件服务器,它负责MUA的请求,并用来在服务器间发送电子邮件。一般来说,的请求,并用来在服务器间发送电子邮件。一般来说,与与MUA不同,一个系统只有一个不同,一个系统只有一个MTA保持在运行配置。保持在运行配置。v邮件传递系统(邮件传递系统(MailTransferSystem,MTS):由):由MTA和和MUA组合而成的系统称为组合而成的系统称为MTS。LOGO83邮件服务邮件服务 相关协议相关协议v邮局通信协议(邮局通信协议(PostOfficeProtocol,POP)vInter
90、net消息访问协议(消息访问协议(InternetMessageAccessProtocol,IMAP)v简单邮件传输协议(简单邮件传输协议(SimpleMailTransferProtocol,SMTP)LOGO84邮件服务邮件服务 本地网络邮件传递本地网络邮件传递1.客户端软件(客户端软件(MUA)使用)使用TCP连接端口连接端口25,将电,将电子邮件发送到邮件服务器,然后这些信息会先保子邮件发送到邮件服务器,然后这些信息会先保存在队列(存在队列(Queue)中。)中。2.经过服务器的判断,如果收件人属于本地网络中经过服务器的判断,如果收件人属于本地网络中的用户,这些邮件就会直接发送到用户
91、的邮箱。的用户,这些邮件就会直接发送到用户的邮箱。3.收件人利用收件人利用POP或或IMAP通信协议软件,连接到邮通信协议软件,连接到邮件服务器下载或直接读取电子邮件,整个邮件传件服务器下载或直接读取电子邮件,整个邮件传递过程也随之完成。递过程也随之完成。LOGO85邮件服务邮件服务 远程网络邮件传递(远程网络邮件传递(1)LOGO86邮件服务邮件服务 远程网络邮件传递(远程网络邮件传递(2)1.客户端软件客户端软件(MUA)使用使用TCP连接端口连接端口25,将电子邮件发送到所,将电子邮件发送到所属的邮件服务器,然后这些信息会先保存在队列属的邮件服务器,然后这些信息会先保存在队列(Queue
92、)中。中。2.经过服务器的判断,如果收件人是属于远程网络的用户,服务经过服务器的判断,如果收件人是属于远程网络的用户,服务器会先向器会先向DNS服务器请求解析远程邮件服务器的服务器请求解析远程邮件服务器的IP地址。地址。3.如果域名解析失败,则无法进行邮件的传递。如果可以成功解如果域名解析失败,则无法进行邮件的传递。如果可以成功解析远程邮件服务器的析远程邮件服务器的IP地址,则本地的邮件服务器(地址,则本地的邮件服务器(MTA)将)将利用利用SMTP通信协议将邮件发送到远程。通信协议将邮件发送到远程。4.SMTP将尝试和远程邮件服务器连接,如果远程服务器目前无法将尝试和远程邮件服务器连接,如果
93、远程服务器目前无法接收邮件,则这些邮件会继续停留在接收邮件,则这些邮件会继续停留在Queue中,然后在指定的中,然后在指定的重试间隔时再次尝试连接,直到成功或放弃发送为止。重试间隔时再次尝试连接,直到成功或放弃发送为止。5.如果发送成功,收件人即可使用如果发送成功,收件人即可使用POP或或IMAP通信协议软件,连通信协议软件,连接到邮件服务器下载或直接读取电子邮件,而整个邮件传递过接到邮件服务器下载或直接读取电子邮件,而整个邮件传递过程也随之完成。程也随之完成。LOGO87视频服务视频服务 相关概念(相关概念(1)v单播(单播(Singlecast)在客户端与媒体服务器之间需要建立一个单独的数
94、据信在客户端与媒体服务器之间需要建立一个单独的数据信道,从一台服务器送出的每个数据包只能传送给一个客道,从一台服务器送出的每个数据包只能传送给一个客户机户机,这种传送方式称为单播。每个用户必须分别对媒这种传送方式称为单播。每个用户必须分别对媒体服务器发送单独的查询体服务器发送单独的查询,而媒体服务器必须向每个用而媒体服务器必须向每个用户发送所申请的数据包拷贝。户发送所申请的数据包拷贝。v组播(组播(Multicast)IP组播技术构建一种具有组播能力的网络,允许一次将组播技术构建一种具有组播能力的网络,允许一次将数据包复制到多个信道上。采用组播方式,单台服务器数据包复制到多个信道上。采用组播方
95、式,单台服务器能对多台客户机同时发送连续数据流而无延时。媒体服能对多台客户机同时发送连续数据流而无延时。媒体服务器只需要发送一个数据包,而不是多个;所有发出请务器只需要发送一个数据包,而不是多个;所有发出请求的客户端共享同一数据包。求的客户端共享同一数据包。LOGO88视频服务视频服务 相关概念(相关概念(2)v广播(广播(Broadcast)广播指的是用户被动接收流。在广播过程中,广播指的是用户被动接收流。在广播过程中,客户端接收流,但不能控制流。例如,用户不客户端接收流,但不能控制流。例如,用户不能暂停、快进或后退该流。使用广播方式发送,能暂停、快进或后退该流。使用广播方式发送,数据包的单
96、独一个拷贝将发送给网络上的所有数据包的单独一个拷贝将发送给网络上的所有用户,而不管用户是否需要。用户,而不管用户是否需要。v点播(点播(Unicast)点播连接是客户端与服务器之间的主动的连接。点播连接是客户端与服务器之间的主动的连接。在点播连接中,用户通过选择内容项目来初始在点播连接中,用户通过选择内容项目来初始化客户端连接。用户可以开始、停止、后退、化客户端连接。用户可以开始、停止、后退、快进或暂停流。快进或暂停流。LOGO89MRTG 定义定义vMRTG(MultiRouterTrafficGrapher)是一个)是一个监控网络链路流量负载的工具软件,监控网络链路流量负载的工具软件,它通
97、过它通过SNMP协议从设备得到设备的流量信息,并将流协议从设备得到设备的流量信息,并将流量负载以包含量负载以包含PNG格式的图形的格式的图形的HTML文档方式文档方式显示给用户,以非常直观的形式显示流量负载。显示给用户,以非常直观的形式显示流量负载。 LOGO90MRTG 安装安装1.WEB服务器的安装服务器的安装2.PERL的安装的安装3.MRTG的安装的安装LOGO91MRTG 配置(配置(1)vperl cfgmaker -global WorkDir: C:apacheApache2htdocsmrtg -global Options_: growright,bits -no-down
98、 -subdirs= HOSTNAME publicxxx.xxx.xxx.xxx example.cfgLOGO92MRTG 配置(配置(2)v修改修改mrtg采集配置文件采集配置文件example.cfgRunAsDaemon:yesInterval:5Language:GB2312vperlindexmaker-title=吉林大学校园网流量图吉林大学校园网流量图example.cfgC:apacheApache2htdocsmrtgindex.htmvperlmrtg-logging=example.logexample.cfgLOGO93其其它它服服务务 WWW(1)vApache服
99、务器的安装与启动服务器的安装与启动检查系统是否已安装检查系统是否已安装rootlinuxroot#rpmqahttdp安装安装Apache服务器服务器rootlinuxroot#rpmivhhttpd-xxx.rpm启动、重新启动、停止启动、重新启动、停止Apche服务器服务器httpdstarthttpdrestarthttpdstopLOGO94其其它它服服务务 WWW(2)vApache服务器配置服务器配置httpd.conf配置文件配置文件NameVirtualHostxxx.xxx.xxx.xxxServerNServerAliaswwwServerNDocumentRoot/home/httpd/html/nicServerAliasnicnic IN CNAME www LOGO95其其它它服服务务 FTPvVSFTP服服务务器器安装与启动安装与启动检查系统中是否安装了检查系统中是否安装了VSFTProotlinuxroot#rpmqavsftpd安装安装VSFTP服务器服务器rootlinuxroot#rpmivhvsftpd-xxx.rpm启动、停止、重新启动启动、停止、重新启动VSFTP服务器服务器vsftpdstartvsftpdrestartvsftpdstopLOGO
