第5章-网络操作系统ppt课件(全).ppt

《第5章-网络操作系统ppt课件(全).ppt》由会员分享，可在线阅读，更多相关《第5章-网络操作系统ppt课件(全).ppt（147页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第五章第五章 网络操作系统网络操作系统 5.1windows server 20035.1windows server 2003操作系统的安装操作系统的安装教学目标教学目标 n掌握掌握Windows Server 2003Windows Server 2003的特性的特性n掌握掌握Windows Server 2003Windows Server 2003家族的版本介绍家族的版本介绍n掌握掌握Windows Server 2003Windows Server 2003家族产品优点介绍家族产品优点介绍 n掌握掌握Windows server2003Windows server2003操作系统的安

2、装操作系统的安装Windows server 2003操作系统简介操作系统简介一.目录服务的新功能：1.1.易于部署和管理。易于部署和管理。2.2.更安全。更安全。3.3.改进的性能与可靠性。改进的性能与可靠性。二.应用服务的新功能：1.1.简化了集成与协作能力。简化了集成与协作能力。2.2.提提高开发人员的工作效率。高开发人员的工作效率。3.3.提高企业整体工作效率。提高企业整体工作效率。4.4.增增强了扩展性与可靠性。强了扩展性与可靠性。5.5.端到端的安全性能。端到端的安全性能。6.6.有效的部有效的部署与管理。署与管理。Windows server 2003操作系统简介操作系统简介Wi

3、ndows server 2003Windows server 2003家族产品优点介绍：家族产品优点介绍：可靠性可靠性 高效性高效性 连接连接 经济性经济性Windows server 2003操作系统安装操作系统安装 安装前的准备：安装前的准备：系统和硬件设备要求：系统和硬件设备要求：a.a.建议使用最小速度为建议使用最小速度为 550 MHz550 MHz。b.b.每台计算机最多支持每台计算机最多支持 8 8 个处理器。个处理器。c.c.建议最少建议最少 256 MB RAM256 MB RAM。d.d.需要的最少空间大约为需要的最少空间大约为 2 GB2 GB。安装方式：安装方式：a.

4、a.光盘安装光盘安装 b.b.b.b.网络安装网络安装Windows server 2003安装前的注意事项安装前的注意事项 a.升级或全新安装升级或全新安装 b.许可证方式许可证方式c.多重引导多重引导d.文件系统的选择文件系统的选择 硬盘分区的规划硬盘分区的规划:若执行全新安装，需要在运行安装程序之前，规若执行全新安装，需要在运行安装程序之前，规划磁盘分区。划磁盘分区。Windows server 2003Windows server 2003中文版安装中文版安装 第一阶段为文本模式安装。主要是进行选择安装系统的磁盘分区、格式化第一阶段为文本模式安装。主要是进行选择安装系统的磁盘分区、格式

5、化和复制文件这一过程基本上是自动的，无需人工干预。和复制文件这一过程基本上是自动的，无需人工干预。Windows server 2003Windows server 2003中文版安装中文版安装 第二阶段为图形化模式安装。主要是进行系统相关参数配置，第二阶段为图形化模式安装。主要是进行系统相关参数配置，这一过程需要用户填写相关信息。这一过程需要用户填写相关信息。Windows server 2003Windows server 2003中文版安装中文版安装 第三阶段，用户需要输入密码登录系统。进入系统之后，将自动进行初第三阶段，用户需要输入密码登录系统。进入系统之后，将自动进行初始化设置，弹出

6、始化设置，弹出“Windows Server Windows Server 安全更新安全更新”窗口，至此，窗口，至此，Windows Windows Server 2003Server 2003系统安装全部结束。系统安装全部结束。Windows server 2003Windows server 2003中文版安装中文版安装 5.2 5.2 活动目录的安装活动目录的安装Windows server 2003操作系统活动目录操作系统活动目录 n掌握什么是活动目录掌握什么是活动目录n掌握活动目录的安装掌握活动目录的安装活动目录简介活动目录简介 活动目录（活动目录（Active DirectoryA

7、ctive Directory）是面向）是面向Windows Standard Windows Standard ServerServer、Windows Enterprise ServerWindows Enterprise Server以及以及 Windows Windows Datacenter ServerDatacenter Server的目录服务，的目录服务，Active DirectoryActive Directory存储了存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。和使用这些信息。Microso

8、ft Active Directory Microsoft Active Directory 服务是服务是Windows Windows 平台的核平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段提供了一种有力的手段。Windows server 2003操作系统活动目录特点操作系统活动目录特点 （1 1）集中管理）集中管理 （2 2）便捷的网络资源访问）便捷的网络资源访问 （3 3）可扩展性）可扩展性 Windows server 2003操作系统活动目录安装操作系统活动目录安装 第一步：启动第一步：启动Win

9、dows Server 2003Windows Server 2003系统自动打开系统自动打开“Server 2003Server 2003配置服务器配置服务器”窗口，或者选择窗口，或者选择“开始开始”“”“程序程序”“”“管理工具管理工具”“”“配置服务器配置服务器”，打开，打开配置服务器向导窗口。配置服务器向导窗口。Windows server 2003操作系统活动目录安装操作系统活动目录安装 第二步：单击第二步：单击“下一步下一步”，出现一个配置服务器向导的预备步骤窗口，出现一个配置服务器向导的预备步骤窗口，以确认所提到的步骤已完成。单击以确认所提到的步骤已完成。单击“下一步下一步”，出

10、现检测网络设置窗口。，出现检测网络设置窗口。Windows server 2003操作系统活动目录安装操作系统活动目录安装 第三步：接下来出现配置选项窗口，我们选择第三步：接下来出现配置选项窗口，我们选择“自定义配置自定义配置”选项，出现选项，出现服务器角色窗口，我们从列表中选择服务器角色窗口，我们从列表中选择“域控制器域控制器”。单击。单击“下一步下一步”按钮，按钮，出现确认窗口，以确认选择了正确角色。单击出现确认窗口，以确认选择了正确角色。单击“下一步下一步”，出现，出现“Active Active DirectoryDirectory安装向导窗口安装向导窗口”。Windows serve

11、r 2003操作系统活动目录安装操作系统活动目录安装 第四步：单击第四步：单击“下一步下一步”，打开，打开“操作系统兼容性操作系统兼容性”对话框。对话框。第五步：单击第五步：单击“下一步下一步”，“Active DirectoryActive Directory安装向导安装向导”会询问新会询问新建的域控制器的性质，我们选择建的域控制器的性质，我们选择“新域的域控制器新域的域控制器”。Windows server 2003操作系统活动目录安装操作系统活动目录安装 第六步：单击第六步：单击“下一步下一步”，“创建一个新域创建一个新域”对话框，如果所创建的对话框，如果所创建的域为单位的第一个域，或者

12、希望所创建的新域独立于现有目录林，可域为单位的第一个域，或者希望所创建的新域独立于现有目录林，可选择选择“新林中的域新林中的域”。如果希望新的域成为现有域的子域，则选择。如果希望新的域成为现有域的子域，则选择“现有域中的子域现有域中的子域”。如想创建一个与现有域树分开的、新的域树，则。如想创建一个与现有域树分开的、新的域树，则选择选择“在现有林中的域树在现有林中的域树”。Windows server 2003操作系统活动目录安装操作系统活动目录安装 第七步：单击第七步：单击“下一步下一步”，出现指定域名对话框，在，出现指定域名对话框，在“新域的新域的DNSDNS全全名名”文本框中输入新建域的文

13、本框中输入新建域的DNSDNS全名。全名。Windows server 2003操作系统活动目录安装操作系统活动目录安装 第八步：单击第八步：单击“下一步下一步”，打开，打开“NetBIOSNetBIOS域名域名”对话框，在对话框，在“域域NetBIOSNetBIOS名名”文本框中输入文本框中输入NetBIOSNetBIOS域名，或者接受显示的名称。域名，或者接受显示的名称。Windows server 2003操作系统活动目录安装操作系统活动目录安装 第九步：单击第九步：单击“下一步下一步”，打开，打开“数据库和日志文件文件夹数据库和日志文件文件夹”对话框，对话框，在在“数据库文件夹数据库文

14、件夹”文本框中输入保存数据库的位置。文本框中输入保存数据库的位置。Windows server 2003操作系统活动目录安装操作系统活动目录安装 第十步：单击第十步：单击“下一步下一步”，打开，打开“共享的系统卷共享的系统卷”对话框，在对话框，在Server 2003Server 2003中，中，SysvolSysvol文件夹存放域的公用文件的服务器副本。文件夹存放域的公用文件的服务器副本。Windows server 2003操作系统活动目录安装操作系统活动目录安装 第十一步：单击第十一步：单击“下一步下一步”，会出现，会出现“Active DirectoryActive Directory

15、安装向导安装向导”的的DNSDNS注册诊断程序对话框。我们选择注册诊断程序对话框。我们选择“在这台计算机上安装并配置在这台计算机上安装并配置DNSDNS服务器，并将这台服务器，并将这台DNSDNS服务器设为计算机的首选服务器设为计算机的首选DNSDNS服务器服务器”。Windows server 2003操作系统活动目录安装操作系统活动目录安装 第十二步：单击第十二步：单击“下一步下一步”，打开，打开“权限权限”对话框，为用户和组选择对话框，为用户和组选择默认权限，如果单位中还存在或将要用默认权限，如果单位中还存在或将要用Windows 2000Windows 2000的以前版本，选的以前版本

16、，选择择“与与Windows 2000Windows 2000之前的服务器操作系统兼容的权限之前的服务器操作系统兼容的权限”。否则，选。否则，选择择“只与只与Windows 2000Windows 2000或或Windows Server 2003Windows Server 2003操作系统兼容的权限操作系统兼容的权限”。Windows server 2003操作系统活动目录安装操作系统活动目录安装 第十三步：单击第十三步：单击“下一步下一步”，打开，打开“目录服务还原模式的管理员密码目录服务还原模式的管理员密码”对话框，输入该密码。对话框，输入该密码。Windows server 2003

17、操作系统活动目录安装操作系统活动目录安装 第十四步：单击第十四步：单击“下一步下一步”，打开，打开“摘要摘要”对话框。通过该对话框，用对话框。通过该对话框，用户可检查并确认设置的各个选项。户可检查并确认设置的各个选项。Windows server 2003操作系统活动目录安装操作系统活动目录安装 第十五步：单击第十五步：单击“下一步下一步”，系统开始配置活动目录。此时如果将，系统开始配置活动目录。此时如果将20032003光盘放入光驱，系统会自动完成对光盘放入光驱，系统会自动完成对DNSDNS服务器得配置。服务器得配置。第十六步：经过几分钟之后，配置完成。同时，打开第十六步：经过几分钟之后，配

18、置完成。同时，打开“完成完成Active Active DirectoryDirectory安装向导安装向导”对话框单击对话框单击“完成完成”。5.3 DNS5.3 DNS服务器配置服务器配置教教 学学 目目 标标 n掌握掌握DNSDNS服务器的概念与原理服务器的概念与原理n掌握掌握DNSDNS服务器的安装方法服务器的安装方法n掌握掌握DNSDNS服务器的配置与管理服务器的配置与管理n掌握掌握DNSDNS服务器正向查询与反向查询的建立方法服务器正向查询与反向查询的建立方法n掌握设置转发器掌握设置转发器DNS服务器服务器 DNSDNS：是域名系统（：是域名系统（Domain Name Syste

19、mDomain Name System）的缩写，指在）的缩写，指在InternetInternet中中使用的分配名字和地址的机制。使用的分配名字和地址的机制。DNS服务器服务器 查询模式查询模式:客户机需要访问Internet上某一主机时，首先向本地DNS服务器查询对方IP地址，本地DNS服务器继续向另外一台DNS服务器查询。递归查询递归查询（RecursiveQuery）：客户机送出查询请求后，DNS服务器必须告诉客户机正确的数据（IP地址）或通知客户机找不到其所需数据。如果DNS服务器内没有所需要的数据，则DNS服务器会代替客户机向其他的DNS服务器查询。迭代查询迭代查询（Iterativ

20、eQuery）：客户机送出查询请求后，若该DNS服务器中不包含所需数据，它会告诉客户机另外一台DNS服务器的IP地址，使客户机自动转向另外一台DNS服务器查询。反向查询反向查询（ReverseQuery）：客户机利用IP地址查询其主机完整域名，即FQDN。DNSDNS服务器的安装服务器的安装 步骤一步骤一,运行运行“开始开始”“”“设置设置”“”“网络和拨号连接网络和拨号连接”，鼠标右键单，鼠标右键单击击“本地连接本地连接”，选择，选择“属性属性”“”“InternetInternet协议（协议（TCP/IPTCP/IP）”“”“属属性性”。DNSDNS服务器的安装服务器的安装 第二步：运行第

21、二步：运行“控制面板控制面板”中的中的“添加添加/删除程序删除程序”选项，选择选项，选择“添加添加/删除删除WindowsWindows组件组件”。选择选择“网络服务网络服务”复选框，并单击复选框，并单击“详细信息详细信息”按钮，出现按钮，出现“网络服务网络服务”对话框。对话框。DNSDNS服务器的安装服务器的安装 第三步：在第三步：在“网络服务网络服务”对话框中，选择对话框中，选择“域名系统域名系统（DNSDNS）”，单击，单击“确定确定”按钮。完成安装后，在按钮。完成安装后，在“开始开始”“”“程序程序”“”“管理工具管理工具”应用程序组中会多一个应用程序组中会多一个“DNS”DNS”选项

22、，使用它进行选项，使用它进行DNSDNS服务器管理与设置。服务器管理与设置。DNSDNS服务器的配置与管理服务器的配置与管理 添加正向搜索区域添加正向搜索区域 按如下步骤创建新的区域：按如下步骤创建新的区域：第一步：选择第一步：选择“开始开始”“”“程序程序”“”“管理工具管理工具”“”“DNS”DNS”，打开，打开DNSDNS管理管理窗口。窗口。第二步：选取要创建区域的第二步：选取要创建区域的DNSDNS服务器，右键单击服务器，右键单击“正向查找区域正向查找区域”选择选择“新建区域新建区域”，出现，出现“欢迎使用新建区域向导欢迎使用新建区域向导”对话框时，单击对话框时，单击“下一步下一步”按

23、按钮。钮。DNSDNS服务器的配置与管理服务器的配置与管理 第三步：在出现的对话框中选择要建立的区域类型，这里我们选择第三步：在出现的对话框中选择要建立的区域类型，这里我们选择“主要区域主要区域”，单击，单击“下一步下一步”。第四步：出现第四步：出现“区域名称区域名称”命名对话框时，输入新建主区域的区域名，例如：命名对话框时，输入新建主区域的区域名，例如：，然后单击，然后单击“下一步下一步”，文本框中会自动显示默认的区域文件名。，文本框中会自动显示默认的区域文件名。DNSDNS服务器的配置与管理服务器的配置与管理 第五步：在出现的对话框中单击第五步：在出现的对话框中单击“完成完成”按钮，结束区

24、域添加。按钮，结束区域添加。“DNSDNS管理器管理器”将为该区域创建一个将为该区域创建一个“起始授权机构记录起始授权机构记录”，同时也为所属的，同时也为所属的DNSDNS服务器创建一个服务器创建一个“名称服务器记录名称服务器记录”，并使用所创建的区域文件保存这些，并使用所创建的区域文件保存这些资源记录。资源记录。5.4 DHCP5.4 DHCP服务器的配置服务器的配置教学目标教学目标 n掌握掌握DHCPDHCP的基本概念的基本概念n安装与配置安装与配置DHCPDHCP服务器服务器DHCP服务器服务器 分配分配IP地址的方法有两种。第一种静态分配地址的方法有两种。第一种静态分配IP地址；第二种

25、动态分配地址；第二种动态分配IP地址。地址。DHCP的基本概念的基本概念DHCP（Dynamic Host Configuration Protocol）是动态主机配置协）是动态主机配置协议的缩写，是一个简化主机议的缩写，是一个简化主机IP地址分配管理的地址分配管理的TCP/IP标准协议。它能够标准协议。它能够动态地向网络中每台设备分配独一无二的动态地向网络中每台设备分配独一无二的IP地址，并提供安全、可靠且地址，并提供安全、可靠且简单的简单的TCP/IP网络配置，确保不发生地址冲突，帮助维护网络配置，确保不发生地址冲突，帮助维护IP地址的使用。地址的使用。安装与配置安装与配置DHCPDHCP

26、服务器服务器 在安装在安装Windows Server 2003 DHCPWindows Server 2003 DHCP服务器之前，必须两点，首先，服务器之前，必须两点，首先，DHCPDHCP服务器本身的服务器本身的IPIP地址必须是固定的，也就是其地址必须是固定的，也就是其IPIP地址、子网掩地址、子网掩码、默认网关等数据必须是静态分配的；其次，应事先规划好可提码、默认网关等数据必须是静态分配的；其次，应事先规划好可提供给供给DHCPDHCP客户端使用的客户端使用的IPIP地址范围，也就是所建立的地址范围，也就是所建立的IPIP作用域。作用域。安装安装DHCPDHCP服务器的步骤服务器的步

27、骤:第一步：选择第一步：选择“开始开始”“”“设置设置”“”“控制面板控制面板”“”“添加或删除添加或删除程序程序”，选择，选择“添加添加/删除删除WindowsWindows组件组件”。安装与配置安装与配置DHCPDHCP服务器服务器 第二步：出现安装向导对话框，请选择第二步：出现安装向导对话框，请选择“网络服务网络服务”，点击，点击“详细信详细信息息”按钮。按钮。安装与配置安装与配置DHCPDHCP服务器服务器 第三步：出现第三步：出现“网络服务网络服务”对话框时，选择对话框时，选择“动态主机配置协议动态主机配置协议（DHCPDHCP）”复选框，单击复选框，单击“确定确定”按钮。按钮。第四

28、步：回到前一画面，单击第四步：回到前一画面，单击“下一步下一步”按钮，直至安装完成。完成安装后，按钮，直至安装完成。完成安装后，系统会在系统会在“开始开始”“”“程序程序”“”“管理工具管理工具”程序组内，添加程序组内，添加“DHCP”DHCP”管理管理应用程序，供用户管理与设置应用程序，供用户管理与设置DHCPDHCP服务器。服务器。授权给授权给DHCPDHCP服务器服务器 第一步：选择第一步：选择“开始开始”“”“程序程序”“”“管理工具管理工具”“”“DHCP”DHCP”管理工管理工具，具，DHCPDHCP管理窗口。管理窗口。授权给授权给DHCPDHCP服务器服务器 第二步：鼠标右键点击

29、要授权的第二步：鼠标右键点击要授权的DHCPDHCP服务器，选择服务器，选择“管理授权的服务器管理授权的服务器”“”“授权授权”菜单，出现对话框，输入要授权的菜单，出现对话框，输入要授权的DHCPDHCP服务器的服务器的IPIP地址，单击地址，单击“确定确定”，可以看到，可以看到“管理授权服务器管理授权服务器”对话框，单击对话框，单击“关闭关闭”按钮就完按钮就完成授权操作。成授权操作。建立可用的建立可用的IPIP作用域作用域 第一步：在窗口列表中，选择第一步：在窗口列表中，选择“新建作用域新建作用域”。第二步：出现第二步：出现“欢迎使用新建作用域向导欢迎使用新建作用域向导”对话框时，单击对话框

30、时，单击“下一步下一步”，为该，为该域设置一个名称并输入一些说明文字，单击域设置一个名称并输入一些说明文字，单击“下一步下一步”。第三步：出现对话框，在此定义新作用域可用第三步：出现对话框，在此定义新作用域可用IPIP地址范围，子网掩码等信息。地址范围，子网掩码等信息。例如可分配供例如可分配供DHCPDHCP客户机使用的客户机使用的IPIP地址是至，子网掩码是，单击地址是至，子网掩码是，单击“下一步下一步”。建立可用的建立可用的IPIP作用域作用域 第四步：如果想禁止上面设置的第四步：如果想禁止上面设置的IPIP作用域内部分作用域内部分IPIP地址提供给地址提供给DHCPDHCP客户端使用，则

31、客户端使用，则可以在对话框中设置需排除的地址范围。例如：输入，单击可以在对话框中设置需排除的地址范围。例如：输入，单击“添加添加”，单击，单击“下一下一步步”。建立可用的建立可用的IPIP作用域作用域 第五步：出现对话框，在此设置第五步：出现对话框，在此设置IPIP地址的租用期限，如设置地址的租用期限，如设置1 1天，然天，然后单击后单击“下一步下一步”。建立可用的建立可用的IPIP作用域作用域 第六步：出现对话框时，选择第六步：出现对话框时，选择“是，我想现在配置这些选项（是，我想现在配置这些选项（Y Y）”，然后单，然后单击击“下一步下一步”为这个为这个IPIP作用域设置作用域设置DHCP

32、DHCP选项，分别是默认网关、选项，分别是默认网关、DNSDNS服务器、服务器、WINSWINS服务器等。服务器等。建立可用的建立可用的IPIP作用域作用域 第七步：出现对话框时，输入默认网关的第七步：出现对话框时，输入默认网关的IPIP地址，然后单击地址，然后单击“添加添加”按按钮，单击钮，单击“下一步下一步”。建立可用的建立可用的IPIP作用域作用域 第八步：出现对话框时，设置客户端的第八步：出现对话框时，设置客户端的DNSDNS域名称，输入域名称，输入DNSDNS服务器服务器的名称与的名称与IPIP地址，或者只输入地址，或者只输入DNSDNS服务器的名称，然后单击服务器的名称，然后单击“

33、解析解析”按钮让其自动帮你找这台按钮让其自动帮你找这台DNSDNS服务器的服务器的IPIP地址。单击地址。单击“下一步下一步”继续。继续。建立可用的建立可用的IPIP作用域作用域 第九步：出现对话框时，输入第九步：出现对话框时，输入WINSWINS服务器的名称与服务器的名称与IPIP地址，或者只输入名称，地址，或者只输入名称，单击单击“解析解析”按钮让自动解析。如果网络中没有按钮让自动解析。如果网络中没有WINSWINS服务器，则可以不必输入服务器，则可以不必输入任何数据，直接单击任何数据，直接单击“下一步下一步”按钮即可。按钮即可。建立可用的建立可用的IPIP作用域作用域 第十步：出现对话框

34、时，选择第十步：出现对话框时，选择“是，我想现在激活此作用域是，我想现在激活此作用域”，开始，开始激活新的作用域，然后在激活新的作用域，然后在“完成新建作用域向导完成新建作用域向导”中单击中单击“完成完成”即即可。可。5.5 FTP5.5 FTP服务器的配置与应用服务器的配置与应用教学目标教学目标 n掌握掌握FTPFTP基本概念基本概念n掌握配置掌握配置winsowswinsows server 2003FTP server 2003FTP服务器服务器FTP服务器服务器 FTPFTP（File Transfer ProtocolFile Transfer Protocol）是文件传输协议，可以

35、在服务器中）是文件传输协议，可以在服务器中存放大量的共享软件和免费资源，网络用户可以从服务器中下载文件，存放大量的共享软件和免费资源，网络用户可以从服务器中下载文件，或者将客户机上的资源上传至服务器。或者将客户机上的资源上传至服务器。FTPFTP就是用来在客户机和服务就是用来在客户机和服务器之间实现文件传输的标准协议。器之间实现文件传输的标准协议。配置管理配置管理Windows2003 FTPWindows2003 FTP服务器服务器 在组建在组建IntranetIntranet时，如果打算提供文件传输功能，即网络用户可以时，如果打算提供文件传输功能，即网络用户可以从特定的服务器上下载文件，或

36、者向该服务器上传数据，此时需要配从特定的服务器上下载文件，或者向该服务器上传数据，此时需要配置支持文件传输的置支持文件传输的FTPFTP服务器。服务器。设置设置FtpFtp站点站点 FTPFTP服务器安装好后，在服务器上有专门的目录服务器安装好后，在服务器上有专门的目录供网络用户访问、存储下载文件、接收上传文件，合理设置站点有利供网络用户访问、存储下载文件、接收上传文件，合理设置站点有利于提供安全、方便的服务。于提供安全、方便的服务。配置管理配置管理Windows2003 FTPWindows2003 FTP服务器服务器 通过通过“开始开始”“”“程序程序”“”“管理工具管理工具”“”“Int

37、ernetInternet服务管理器服务管理器”，打开，打开“InternetInternet信息服务信息服务”窗口，显示此计算机上已经安装好的窗口，显示此计算机上已经安装好的InternetInternet服务，而且都已经自动启动运行，其中有一个是默认服务，而且都已经自动启动运行，其中有一个是默认FTPFTP站点。站点。网络安全技术网络安全技术 访问控制列表的配置与应用网络安全技术网络安全技术 n掌握标准访问控制列表n掌握扩展访问控制列表n掌握基于时间的访问控制列表网络安全技术网络安全技术标准ACL（standardaccesslists）是通过使用IP包中的源IP地址进行过滤，从而允许或拒

38、绝某个IP网络、子网或主机的所有通信流量通过路由器的接口。标准ACL配置格式。操作命令创建标准IP访问控制列表Accesslistlistnumberpermit|denysourceaddresswildcardmasklog将访问控制列表应用于路由器的相应接口Router(configif)#ipaccessgrouplistnumberin|out删除标准IP访问控制列表Router(config)#noaccesslistlistnumber网络安全技术网络安全技术 listnumber：取值范围199。deny|permit：拒绝或允许匹配ACL的数据包。sourceaddress：

39、某一个或某一段源地址。sourcewildcard：通配符掩码。In：通过接口进入路由器的报文。Out：通过接口离开路由器的报文。配置标准访问控制列表：禁止hostA访问RA的E0。如拓扑结构图：网络安全技术网络安全技术 配置命令：RA(config)#accessRA(config)#accesslist1permitanyRA(config)#interfaceethernet0RA(configif)#ipaccessgroup1in在HostA上ping测试。在HostA上修改IP地址，如，再测试。由于不同类型网络协议数据包的格式和特性不同，ACL的定义也要基于每一种协议。在实际配置中

40、，路由器的不同ACL是由其表号来加以区别的：网络安全技术网络安全技术 标准IP访问控制列表主要根据IP包中的源地址或源地址进行过滤，而不考虑这些信息属于哪种协议。编号范围是199或13001999。标准IPX访问控制列表不仅可以检查IPX源网络号和目的网络号，还可以检查源地址和目的地址的节点号部分。编号范围是800899。另外，通过路由器接口的数据流是双向的，“inbound”的表示数据包流向路由器，“outbound”表示数据包从路由器流出，所以访问控制列表又分为输入型ACL和输出型ACL，一个接口上可以同时配置同一协议在两个方向上的ACL。网络安全技术网络安全技术 对于处理入端口数据的标准

41、ACL，如图所示：网络安全技术网络安全技术 从上图可以看出，对于处理入端口数据的标准ACL，将对所有流进这个端口的数据进行过滤。在收到数据包并将其路由到可控制的端口后，路由器对照访问控制列表检查数据包，如果ACL允许该数据包通过，路由器将数据包路由到相应端口；如果ACL拒绝该数据包通过，路由器放弃该数据包。网络安全技术网络安全技术 对于处理出端口数据的标准ACL，如图所示。网络安全技术网络安全技术 从上图可以看出，对于处理出端口数据的标准ACL，是对所有这个端口的数据进行过滤。首先数据包被路由到输出端口，然后再通过访问列表处理。在被路由到输出端口的数据包后，路由器对照ACL检查数据包，如果AC

42、L允许该数据包通过，路由器将数据包直接转发;如果ACL拒绝该数据包通过，路由器放弃该数据包。在小型网络应用中，使用标准ACL可以实现IP包中的源地址进行限制，但是如果要进一步基于某种协议来进行访问控制，标准ACL还是显得不够灵活网络安全技术网络安全技术 扩展访问控制列表（Extendedaccesslists）网络安全技术网络安全技术 上面提到的标准ACL是基于IP地址进行过滤的，是最简单的ACL。如果希望将过滤条件用到端口或者希望对数据包的目的地址进行过滤，就需要使用扩展ACL了。扩展ACL功能很强大，不仅可以检查信息包的源主机地址还可以检查目的地主机的IP地址，协议类型以及TCP/UDP协

43、议族的端口号，具有更大的自由度。具体的表号范围：网络安全技术网络安全技术 扩展IP访问控制列表编号范围从100199或20002699。扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中协议类型、源Soeket、目标Socket字段的检验。编号范围从900999。扩展ACL有一个最大的好处就是可以保护服务器，例如很多服务器为了更好的提供服务都是暴露在公网上的，这时为了保证服务正常提供所有端口都对外界开放，很容易招来黑客和病毒的攻击，通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉，降低了被攻击的机率。但是扩展ACL存在一个缺点，那就是在没有硬件ACL加速的情况下

44、，扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数，将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。网络安全技术网络安全技术 配置扩展ACL格式，如表所示。操作命令创建扩展IP访问控制列表Access-list list number permit|deny protocol keyword source address source-wildcard source port destination address destination-wildcard destination port log options将访问控制列表应用于路由器接

45、口Router(config-if)#ip access-group access-list-numberin|out删除扩展IP访问控制列表Router(config)#no access-list access-list-number网络安全技术网络安全技术 从上表中可以看出标准ACL和扩展ACL之间的最主要区别是后者在源地址相同后，还会检查数据包中的其它信息，将这些信息同访问条件作比较。listnumber：编号范围为100199。Protocol：需要被过滤的协议的类型，如IP、TCP、UDP、ICMP、EIGRP等。port：端口号，可以是eq（等于）、gt（大于）、lt（小于）、n

46、eq（不等于）、range（范围）等。网络安全技术网络安全技术 配置扩展的访问控制列表：允许HostA远程登录RA，但是不可ping，拓扑结构如图所示。网络安全技术网络安全技术 配置命令：RA(config)#accesslist100denyicmphost10.0.0.2host10.0.0.1echoRA(config)#accesslist100permittcphost10.0.0.2host10.0.0.1eq23RA(config)#accesslist100permitipanyanyRA(config)#interfaceethernet0RA(configif)#ipacc

47、essgroup100in在HostA上分别用ping和telnet目标测试。在HostA上修改IP地址，如，再测试。网络安全技术网络安全技术 基于时间的访问控制列表网络安全技术网络安全技术 标准ACL与扩展ACL已经在很大程度上满足访问控制需求，但是实际应用中，用户可能希望有更进一步的控制。例如:有的网络中可能希望限制在指定时间内不能使用某些应用，而在其它时间允许使用，这一点依靠扩展访问列表是无法实现的。它先定义一个时间范围，然后在原来的各种访问列表的基础上应用它，对于编号访问表和名称访问表均适用。由两部分组成，第一部分定义需进行控制的时间段，第二部分采用扩展ACL定义控制规则。基于时间的A

48、CL可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。网络安全技术网络安全技术 实现基于时间的访问表需要两个步骤：第一步是定义一个时间范围；第二步是在访问列表中用timerange引用时间范围。可以用“timerange”来指定时间范围的名称，然后用“absolute”或者一个或多个“periodic”来具体定义时间范围，命令格式为：TimerangetimerangnameabsolutestarttimedateendtimedatePeriodicdaysoftheweekhh:mntodaysoftheweekhh:mm网络安全技术网络安全技术

49、timerange：用来定义时间范围timerangename：时间范围的名称，用来标识时间范围，一个时间范围只能有一个absolute语句，但可以有几条periodic语句。absolute：用来指定绝对时间范围，后面紧跟start和end两个关键字，以24小时制和“hh:mm”表示，其格式为“小时:分钟”，日期按照“日/月/年”形式表示。定义绝对时间：absolutestartstarttimestartdateendendtimeenddateperiodic：主要以星期几为参数来定义时间范围，如Monday、Tuesday、Wednesday、Thursday、Friday、Satur

50、day、Sunday中的一个或者几个的组合，也可以是daily（每天）、weekday（周一到周五）或者weekend（周末，周六和周日）。网络安全技术网络安全技术 定义周期、重复使用的时间范围：periodicdaysoftheweekhh:mmtodaysoftheweekhh:mm如果要表示每天早8点到晚6点开始起作用，可以用这样的语句：absolutestart8:00end18:00比如表示每周一到周五的早9点到晚10点半：periodicweekday9:00to22:00配置基于时间的访问控制列表：允许内网主机在2012年1月1日到2012年12月31日的每个工作日中午12:00