莆田学院：计算机网络技术：第六章 网络系统集成常用技术

第六章 网络系统集成常用技术 【计划课时】 6课时（教材第7章和第6章） 6.1 网络系统集成 目标——方法——内容 P228 实际过程大体可以分为四个阶段： 1、网络规划（需求分析和可行性分析） ·用户需求 ·系统性能 ·经费额度 ·分布地域 ·工期限定 ·可扩展性 ·外接方式 ·其他要求（安全性/VOD点播/代理服务/机房与接地/验收标准等） 形成：需求分析报告/规划方案（规划书） 2、网络设计 ·带宽选择 ·网络选型（以太网/令牌环网/FDDI/ATM等） ·服务器选型 ·传输媒介选型（光缆/双绞线/同轴等） ·网络连接设备选型（路由器/交换机/集线器等） ·网络操作系统选型（Windows NT/2000、Unix/Linux等） ·机房设计 形成：设计说明书/配置清单/拓扑图 3、工程实施 ·中心机房设备安装 ·Intranet网站安装 ·主干节点设备安装 ·楼间布线 ·楼内布线 相关技术：Web网站建设/综合布线 形成：安装记录/布线图及记录 4、测试验收 ·网络设备测试与验收 ·线路测试与验收 形成：测试报告/验收报告/技术档案 5、运行维护 形成：运行日志/维修档案 6.2 Web服务器的安装与设置 参见课件《用Windows NT构筑因特网服务器》（PowerPoint文档） 1、WEB服务器的基本要求 ·提供WWW服务 ·提供FTP服务 ·提供E-MAIL服务 ·提供WEB数据库访问服务 ·资源管理 ·安全管理 2、Windows NT/2000的简介 Windows NT 微软公司的Windows NT （目前国内常用为其 4.0中文版）是一个局域网络的服务器操作系统。它具有功能强大、容易使用、高效率、中文信息、集中管理、保密措施完善、自动修复等完善的网络服务支持，并内置建立Web服务器所需的功能及相应的组件，使之充分支持Intranet（企业网）和Internet（因特网）。 Windows NT 分成Windows NT Server（服务器）和Windows NT Workstation（工作站）两个版本，它们都可以作为网络操作系统使用，也可以作为单机的操作系统使用。但工作站版只适合在网络规模较小且要求不高的场合充当网络服务器操作系统，所以更适合在NT网络中作为工作站操作系统使用。 . ★Workstation版 ★ Server版：标准版/企业版 Windows NT 4.0内置了WEB服务器组件IIS 3.0。 Windows 2000 ★ Windows 2000 Professional Windows NT Workstation 的新版本，支持1～2个CPU。 ★ Windows 2000 Server 即Windows NT Server 5.0，支持4路对称多处理器（SMP）系统。 ★ Windows 2000 Advanced Server 即Windows NT Server 5.0 Enterprise ，支持8路SMP系统 ★ Windows 2000 Datacenter Server 支持32路SMP系统 Windows 2000 内置了WEB服务器组件IIS 5.0。 3、Windows NT/2000服务器安装 Windows NT Server 4.0的安装 　 ·从光驱开始 （光驱启动自动安装） 　·使用winnt.exe （ms-dos状态运行） 　·使用winnt32.exe （windows nt 3.x上运行） 安装命令示例（设F盘为安装光盘）： f:\i386\winnt /b /s:f:\i386 /b 执行无软盘安装（必须用 /s指明源路径） /s NT文件的源位置 安装过程 检测硬件配置→许可协议→硬件环境设置→硬盘分区设置→FAT或NTFS文件系统选择→NT系统文件目录选择→重新启动→收集有关计算机信息→选择安装方式（典型/便携/自定义）→输入用户姓名与组织→输入产品序列号（CD-KEY）→选择许可协议方式（“每服务器”或“每客户”，一般选前者）→设置计算机名称→决定服务器类型（主域/备份域/独立）→设置管理员（超级用户）帐号（密码）→制作应急盘→决定安装组件→安装网络组件→选择网卡连接或远程拨号连接→安装IIS→检测与选择网卡→选择网络协议→选择网络服务→确认所选择的组件→网卡设置→域设置（域名）→其他设置→完成并重新启动 每次重新启动后，会出现“开始登录”画面，此时应按提示按“Ctrl+ALT+Del”组合键（在NT机上并非热启动），然后输入用户名、密码和域名完成登录。 安装说明 ·选择许可证方式 每客户(per seat) 每服务器(per server) WEB网站可用之 ·品牌电脑安装 使用自带光盘生成setup软盘 ·安装增强和补丁程序 Windows NT 4.0 Option Pack 为Windows NT Server 4.0平台增添新的功能. Option Pack 为Windows NT Server 4.0 提供增强的应用程序、通信和 Web 服务 （IIS 4.0）。 注：Pack—补丁程序（最新到server pack 6） 选择文件系统 ·FAT（文件分配表） 基于MS-DOS，用于小型磁盘和一般文件夹结构的简单文件系统(只对目录共享提供保护)仅需双重引导时用之。 ·FAT32 （32位文件分配表） 基于windows 9x，相似于FAT，较大容量硬盘。（NT不支持，WINDOWS 2000支持。） ·NTFS（NT文件系统） 快速、大分区、安全性等均最佳。 将FAT转换为NTFS的命令(设C盘欲转换)： convert C: /FS:NTFS 4、网络管理方式 ·域（Domain）方式（集中式管理网络系统） 域方式网络中用来进行全部用户管理和安全设置的主服务器称为主域控制器（PDC），必要的话可以配备第二个备用的主服务器，即所谓“备份域控制器”（BDC）。除此之外，还可以再配备其他提供共享资源的服务器（所谓“独立服务器”）。一个域必须有、也只能有一个主域控制器，除此之外，可以有多个BDC和其他独立服务器。 ·工作组（Workgroup）方式（对等网络系统） 这种方式网络中的每一台计算机即可以扮演工作站的角色，也可以扮演服务器的角色。它们分别管理自己的用户帐号，只要经过适当的权限设置，就可以访问其他计算机中的资源，也可以提供资源给其他计算机使用。 5、用户管理 Windows NT Server安装完毕后，会自动生成两个用户： ·administrator 管理员（超级用户） ·guest 来宾（普通用户） 如果顺便安装了其内置的Internet Information Server（IIS），会添加一个用户IUSR_ComputerName，如IUSR_ptgz。 ComputerName为该计算机名，此用户即所谓Internet的guest。 其他用户都须通过“建立”产生。 6、目录与文件权限 对共享目录和文件可以设置如下权限： ·拒绝访问 ·更改 ·完全控制 ·显示（列表） ·读取 ·添加 ·添加和读取 ·选择性目录访问 ·选择性文件访问 Administrator组的成员可以 “取得所有权”。 7、选择网络服务 DHCP（动态IP地址分配）服务 自动为DHCP客户机分配IP地址并保证其唯一性。 -简化客户端TCP/IP配置工作，减少人为错误。 -在IP地址紧张的网络系统中，有利于IP地址重用。 -允许对IP地址集中管理，并可确保地址的正确性。 DNS（域名解析）服务 为客户机提供主机域名解析服务（将域名解析为IP地址） DNS（域名解析系统）由域名服务器和客户端解析器组成。解析器向域名服务器提出解析请求，读取域名服务器结果并将结果返回给应用程序。域名服务器响应用户的解析请求后，首先使用其域名数据库进行解析，不能解析时，再向其他域名服务器提出解析请求，并将最终结果返回给客户端解析器。 WindowsNT服务器上安装了Windows DNS Server，即可使它同时也成为一台“DNS服务器”。 使用时客户机需在TCP/IP协议属性中选择“启用DNS并设置DNS服务器的IP地址。 WINS（网际名称）服务 为客户机提供NetBIOS名称解析服务，将计算机名解析为IP地址（可跨子网访问网上邻居） NetBIOS名称是安装WindowsNT期间赋予的计算机名称，可用于网络浏览和网络驱动器映射。 WindowsNT服务器上安装了Windows Internet Name Server，即可使它同时也成为一台“WINS服务器”。其作用是将远程计算机的NetBIOS名解析为它的IP地址，从而实现了跨子网访问网上邻居的功能。 使用时客户机需在TCP/IP协议属性中选择“启用WINS解析”并设置WINS服务器的IP地址。 RAS（远程访问）服务 使远程用户能通过拨号连接访问。 Windows NT Server可支持高达256个同时拨号连接。 WindowsNT服务器上安装了Remote Access Service，并正确配置MODEM和协议，即可使它同时也成为一台“RAS服务器”。 RAS把RAS服务器和拨号网络客户软件的组件都包括在一个Windows NT服务中，使远方的用户能够象直接连在网络上一样使用它，除了速度比直接连入LAN要慢得多。 8、IIS（Internet Information Server） 为Windows NT/2000提供因特网服务功能 WWW (万维网)发布服务 FTP(文件传输)发布服务 Gopher 发布服务（IIS4.0及以上版本不用） IIS 5.0还提供： SMTP（简单邮件传送）服务 NNTP（网络新闻组）服务 （IIS 5.0在Windows 2000 安装时自动安装） 【WEB站点属性-验证方法】 身份验证方式 为防止未授权的用户建立到受限内容的 Web (HTTP) 连接，您可以配置 Web 服务器以识别或验证用户的身份。身份验证过程包括确定用户是否具有有效的 Windows NT 用户帐号，该帐号具有访问特定的 Web 站点、目录或文件的相应 Windows NT 文件系统 (NTFS) 权限。 ·身份验证方式之一——允许匿名 通常，试图建立与 Web 服务器的 Web (HTTP) 连接的所有用户都将按匿名用户登录。当用户建立匿名连接时，服务器将用匿名或客户帐号（有效的 Windows NT 用户帐号）登录用户。此帐号具有安全性限制，用以限制匿名用户可访问的 Web 内容的类型。 默认情况下，安装 Web 服务器时，安装程序在 Windows NT“域用户管理器”和 Internet 服务管理器中创建帐号 IUSR_computername作为匿名用户。 ·身份验证方式之二——基本验证 Web 服务器仅在下列条件下使用“基本验证”： 禁用匿名访问。 由于已设置了 Windows NT 权限，因此拒绝匿名访问，并且在建立与受限内容的连接之前要求用户提供 Windows NT 用户名和密码。 在“基本”验证过程中，用户的 Web 浏览器将提示用户输入有效的 Windows NT 帐号用户名和密码。 “基本”验证过程将在网络间以非加密方式传输密码。对于执意要破坏计算机的人来说，配以网络监视工具，就可以截获用户名和密码。 基本验证使用时，只要一访问该NT服务器，应会出现用户名和密码输入框。 ·身份验证方式之三——WINDOWS NT挑战/反应（NTLM） Web 服务器仅在下列条件下使用“基本验证”： 禁用匿名访问。 由于已设置了 Windows NT 权限，因此拒绝匿名访问。 在“Windows NT 挑战/反应”验证过程中，Web 服务器与用户的 Internet Explorer Web 浏览器交换加密信息。用户的 Web 浏览器并不在网络中发送实际的 Windows NT 帐号密码信息。 NTLM中密码是不通过网络传输的。浏览器自动使用当前登录的客户机的用户身份，只有当前登录的用户身份不允许用户访问请求的对象时，才显示对话框请求输入用户名和密码。 6.3 综合布线（Generic Cabling） 1、智能化建筑 智能化建筑由三大部分（3A）构成： ·BA（大楼自动化） 以中央计算机或中央监控系统为中心，对所有机电和能源设备智能化管理 ·CA（通信自动化）通信网+计算机局域网（电话/电视/数据传输/卫星通信/视频会议等） ·OA（办公自动化）日常事务处理和支持管理及决策系统 2、结构化综合布线系统 a、结构化布线系统的概念 结构化综合布线系统是智能化建筑的神经系统，是一个能够支持任何用户选择的话音、数据、图形图像应用的电信布线系统。系统应能支持话音、图形、图像、数据多媒体、安全监控、传感等各种信息的传输，支持UTP、光纤、STP、同轴电缆等各种传输载体，支持多用户多类型产品的应用，支持高速网络的应用。 结构化综合布线系统是一种模块化的建筑物和建筑群内的信息传输系统。它采用标准材料（如统一的光纤和双绞线）为传输媒介，采用配线架、信息插座和插头等，并采用组合压接的方式组成一套完整、开放的布线系统。它通常是将建筑群内的若干线路系统——电话系统、数据通信系统、报警系统、监控系统等合为一种布线系统，进行统一布置，并提供标准的信息插座，以连接各种不同类型的终端设备。 结构化综合布线的网络拓扑结构主要为星型。 b、特点 实用性:能支持多种数据通信、多媒体技术及信息管理系统等，能够适应现代和未来技术 的发展; 灵活性:任意信息点能够连接不同类型的设备，如微机、打印机、终端、服务器、监视器等; 开放性:能够支持任何厂家的任意网络产品，支持任意网络结构，如总线形、星形、环型等; 模块化:所有的接插件都是积木式的标准件，方便使用、管理和扩充; 扩展性:实施后的结构化布线系统是可扩充的，以便将来有更大需求时，很容易将设备安装接入; 经济性:一次性投资，长期受益，维护费用低，使整体投资达到最少。 c、常用技术标准 ·美国标准ANSI/EIA/TIA568A：1995《商务建筑电信布线标准》 ·国际标准ISO/IEC11801：1995《信息技术——用户房屋综合布线》 ·邮电部通信行业标准YD/T926.1-3《大楼通信综合布线系统》（1997年9月） 其中YD/T标准既密切结合我国国情，也符合国际标准 d、布线系统的构成 根据ISO/IEC标准，结构化综合布线系统可分为6个独立的布线子系统：
·建筑群子系统（楼间布线）提供外部建筑物与大楼内布线的连接点。EIA/TIA569标准规定了网络接口的物理规格，实现建筑群之间的连接。 ·设备间子系统（楼内中心机房，网络管理员和值班人员的工作场所）EIA/TIA569标准规定了设备间的设备布线。它是布线系统最主要的管理区域，所有楼层的资料都由电缆或光纤电缆传送至此。通常，此系统安装在计算机系统、网络系统和程控机系统的主机房内。 ·干线子系统 （垂直子系统）它连接通讯室、设备间和入口设备，包括主干电缆、中间交换和主交接、机械终端和用于主干到主干交换的接插线或插头。主干布线要采用星形拓扑结构，接地应符合EIA/TIA607规定的要求。 ·管理子系统（楼层网络设备间，如我校各楼层之机柜，其功能是将干线子系统与各楼层配线子系统相互连接） ·配线子系统（水平布线子系统）由建筑物各层配线间至各工作区之间的电缆构成。连接管理子系统至工作区，包括水平布线、信息插座、电缆终端及交换机。指定的拓扑结构为星形拓扑。 水平布线可选择的介质有三种(100欧姆UTP电缆、150欧姆STP电缆及62.5/125微米光缆)，最远的延伸距离为90米，除了90米水平电缆外，工作区与管理子系统的接插线和跨接线电缆的总长可达10米。 ·工作区子系统（将用户终端设备连接到信息插座、适配器等）工作区由信息插座延伸至站设备。工作区布线要求相对简单,这样就容易移动、添加和变更设备。 6.4 网络中心专用技术设备 1．代理服务器（proxy server） 声像教材料见ftp://202.101.111.195/网络技术基础教案/proxy_Overview 对LAN内主机与因特网连接，一个方案是给每台电脑配一个Modem，分别与ISP（因特网服务提供商）的主机连接。这种方案既不经济，也不便于管理。 第二个方案是采用代理服务器。 常用代理服务器形式为软件proxy（亦有硬件proxy）：Microsoft Proxy Server ，Wingate，Sygate等。其中MS Proxy Server与Windows达到最佳结合。 代理服务器采用双网卡：一块内连LAN，一块外接ISP主机。代理服务器捕捉客户机的访问请求，转发给因特网上的各服务器。 客户机得到的实际上只是一个来自因特网的copy，并未直接与因特网连接。 优点： ·共享带宽 ·提高安全性（如访问授权、站点过滤、监控） 2．磁盘阵列（Disk Array） 见文档： 磁盘阵列.doc。 3．防火墙（Firewall） a. 概述 防火墙是一种用于保护一个网络不受来自其他网络攻击的安全技术。它是内部网与外部网之间的一个中介系统，它通过监测、限制、修改跨越防火墙的数据流，尽可能地对屏蔽内部网络的结构、信息和运行情况，拒绝未经授权的非法用户访问或存取内部网络中的敏感数据，保护其不被偷窃或破坏，同时允许合法用户不受妨碍地访问网络资源。 b. 分类 防火墙从结构上看，可以是专用的硬件设备（硬件防火墙），也可以是运行于某个计算机系统上的软件系统（软件防火墙），还可以集成在路由器中。 从工作原理来看，防火墙可以分为： ·包过滤防火墙 通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态，按网络管理员设定的过滤规则确定是否允许该数据包通过。 优点：速度快，简单低廉，广泛应用于路由器上。 缺点：配置好包过滤规则比较困难，易出现漏洞。单纯的包过滤防火墙容易被黑客用“IP欺骗攻击”等攻破（IP欺骗攻击：通过向防火墙发出一系列含有一串顺序的IP地址的信息包，一旦有一个包通过了防火墙，就可用这个IP地址来伪装成被信任的主机建立应用连接）。 ·应用级网关（代理服务器） 代理服务器象一堵墙一样挡在内部网络和外部网络之间，从外部只能看到该代理服务器而无法获知任何内部资源。 优点；比单一的包过滤防火墙可靠，且可以详细记录所有访问状态信息。 缺点：执行速度慢，安装代理服务器的操作系统本身易遭到攻击。 ·状态检测防火墙 这种防火墙由一个“监测引擎”截获数据包并抽取有关信息按有关安全规定进行检查和分析，作出接纳、拒绝、身份认证、报警等反应。一旦某个访问违反安全规定，就会拒绝该访问。目前已在国内外得到广泛应用。 优点：非常坚固 缺点：会降低网络的速度，且配置比较复杂。 除了安装在两个网络之间的防火墙，还有一种安装在主机上的所谓个人防火墙（如“天网个人版防火墙）。 需要说明的是，防火墙只用于防止来自外部网络非法用户的恶意攻击，而且是一种被动的防御技术。要进一步提高网络的安全性，重要网络还应配备入侵检测系统（IDS，Intrusion Detection System ），其作用是对潜在的入侵行为作出记录，并对攻击后果进行预测。 d.ISA Server（Internet Security & Acceleration Server）简介 微软公司最新企业级防火墙产品，其设计针对当今使用Internet的企业安全需求，是目前唯一在Windows 2000 Server平台上同时具有防火墙和网站缓存的服务器软件，它集成了Proxy Server，防火墙、访问控制、高速缓存、安全认证、数据包过滤、流量控制及VPN等多种功能，是一种多层次的企业级防火墙。 参考书目 1、《计算机网络实用教程》王利 张玉祥 杨良怀 编著 清华大学出版社 1999年12月 2、《综合布线系统工程设计和施工》吴达金编著 人民邮电出版社 1999年12月 3、《Microsoft Windows NT 4.0 网络指南》Microsoft公司著 希望图书创作室译 北京希望电脑公司 1998年8月 4、《Windows 2000网络管理员培训班》中国IT培训工程编委会 编 珠海出版社 2002年1月 5、《WINDOWS 2000 SERVER》实用教程 景丽等编著 中国经济出版社 6、《2001年度网络程序员级和网络设计师级试题分析与解答》信息产业部计算机软件专业技术资格和水平考试办公室 组编，清华大学出版社，2002年5月 7、《黑客就这么几招》 阎雪 编著 北京科海集团公司 2002年3月 与本章有关的主要知识点及思考题 网络系统集成通常可以分为哪几个阶段？每一阶段要求形成哪些技术文件？ 智能建筑物的“3A”指什么？综合布线与智能建筑物的关系是什么？ 什么是结构化综合布线（generic cabling）？ISO/IEC标准将结构化综合布线分为哪几个独立的子系统？ WINDOWS NT 4.0有哪些版本？（中英文名称） WINDOWS 2000有哪些版本？（中英文名称） Web网站的基本要求是什么？ WINDOWS NT/2000中的IIS是什么？ 8、什么是磁盘阵列？它采用哪两种基本技术？ 9、RAID的中文名称是什么？RAID分别几个等级（level）？用于单机使用时可选用哪个等级？可靠性要求很高时可选用哪个等级？用于网络视频节目（如VOD点播）服务器时可选用哪个等级？用于网络数据存取时可选用哪个等级？ 10、代理服务器为什么要使用双网卡？ 资料来源：《Microsoft SQL Server 2000管理员指南》（英文版影印版）Microsoft公司著 北京大学出版社 2000年12月 218.00元 1、 Windows 2000 产品 Windows 2000 专业版 Windows 2000 服务器版 Windows 2000 高级服务器版 Windows 2000 数据中心版  功能 支持的CPU数 支持的内存容量 群集(clustering) 系统最小要求 商用台式机和笔记本电脑用的客户机操作系统 2 4GB 无 133MHz奔腾兼容CPU，64M内存，1GB磁盘空间 服务器操作系统，提供文件、打印、intranet和网络功能支持 4 4GB 无 133MHz奔腾兼容CPU，256M内存，1GB磁盘空间 服务器操作系统， 提供各种应用程序和电子商务服务支持 8 8GB 两节点failover； 32节点网络载荷平衡 133MHz奔腾兼容CPU，256M内存，1GB磁盘空间 服务器操作系统， 提供大型mission –critical应用程序的line-of- business 支持 32 64GB 4节点failover； 32节点网络载荷平衡 133MHz奔腾兼容CPU，256M内存，1GB磁盘空间  ·cluster(群集)服务：使多个系统连接起来以获得性能的增强。最简单的形式是，使两台服务器“群集”以提供自动备份以防止某个系统失效。最多可以将32台服务器连接起来提高处理能力。 ·网络载荷平衡：允许操作系统动态而均衡地在服务器群集中分配各种输入请求。