《课程设计(论文)-公司应用网络综合设计.doc》由会员分享,可在线阅读,更多相关《课程设计(论文)-公司应用网络综合设计.doc(33页珍藏版)》请在三一文库上搜索。
1、西华大学课程设计 摘 要:随着互联网的飞速发展,企业公司对于网络的需求越来越重要。本设计就是针对现代企业对于网络的需求而提出的公司组网的全面要求。其中包括网络互联、网络安全、安全防护、安全策略、安全管理等。关 键 词: 网络互联 网络安全 安全防护 安全策略 安全管理Abstract:Along with the Internet rapid development, the enterprise company is more and more important regarding the network demand. This design is aims at the modern
2、enterprise the company network comprehensive request which proposed regarding the network demand. In which including network interconnection, network security, safe protection, security policy, safety control and so on.Key words: Internet Network Security Security protection Security Strategy Securi
3、ty management第 - 29 - 页目 录1.项目背景介绍 11.1公司背景11.2公司总部的管理结构11.3公司网络分布 21.4用户希望 22.计算机网络系统方案设计 42.1用户需求分析 42.2网络系统的设计目标和原则 42.3网络设备选型72.4服务器的选配82.5网络拓扑结构103.计算机网络配置 123.1网络应用 123.2网络结构的特点 123.3公司的总体网络拓扑图 133.4网络应用服务的配置 153.5网络用户管理 173.6无线网络的扩展 174网络安全设计 19 4.1网络安全系统的设计目标 19 4.2安全模型 194.3物理层安全解决方案 204.4网
4、络平台安全方案 204.5系统平台安全方案 244.6安全管理方案建议 255.项目管理的规划 26 5.1该公司总部的管理结构图 265.2项目规划结构图 266.设计总结 28【参考资料】 291.项目背景介绍1.1 公司背景: 北京世纪软件有限公司,于二零零一年四月正式成立,总部设在北京室海淀区学院路229号台海大厦9,10层。公司是以软件制作为主的私有企业。产品主要包括视频展示,视频捕捉,视频通信的系统和软件。公司凭借先进的管理理念,雄厚的经理基础,以及所有员工的共同努力,在视频系统和软件制作方面,已经成为了国内的佼佼者,领头羊。目前,公司已经和国际多家多媒体巨头合作,如:SONY,N
5、EC,LG,为中国视频系统和软件的发展,打下了坚实的基础。该公司的员工中除了从事技术部的人员外,大多数的员工的计算机水平都不是很高,并且由于公司的产品的性质,所以对网络安全的设计要求要有一定的严格性。1.2 公司总部的管理结构:公司总部共有员工八十七人(连同分部共约1000人)。总经理刘忠诚,副总经理尹环、汪洋。其他员工分设七个部门:财务部,技术部,销售部,市场部,人事部,软件部,客户服务部。(公司部门结构如下)每个部门均有一名部门经理,分管部门业务。1.3 公司网络分布:AustraliaAsiaNorth AmericaBeiJingTorontoDetroitSeattleDenverS
6、ydney1.4 用户希望:软件部:“我们的工作很重要,我们设计的软件以及在制作过程中的所有信息和资料都是保密内容,即使是我们公司的员工,不是我们部门的,也不能让他看。”软件部:“在寒暑假时,附近几所大学会有一些学生到我们这里帮助完成一些简单的文字处理工作。软件部:“我们有4个开发小组,4个小组分别工作,互不影响,我们会在文件服务上建立4个文件夹,一个小组一个,互相之间只能读。所有工作站需要安装.net及JAVA等开发程序”财务部:“每个人的工资应该是保密的,公司中所有的财务内容不能让其他部门员工随便访问。”销售部:“我们不经常在公司,有时候来了,不能在上次使用的计算机上工作,桌面,快捷方式这
7、些全变了,太不方便。”市场部:“我们和销售部的信息要经常交流,所有在Pubic文件夹中的内容均可以互相访问。”技术部:“每个员工都会有自己的文件夹存放在服务器上,其他人不能访问。”技术部:“公司中所有的资源,包括用户,计算机,打印机等,管理和组织不太方便,希望可以实现分门别类的管理。”CIO:各部门有自己的专用服务器,但各部门在一台公共服务器上也有共享资源,使其它部门可以有限的访问。而CEO对各部门共享资源都有访问权限。CIO:现有的网络是分散管理,需要进行集中管理,并使各经理可以集中管理各部门资源,并有简单的管理工具。CEO:可以在任何时候同任何分布进行通信,如进行视频会议等,同进要保证通信
8、的安全。2.计算机网络系统方案设计2.1 用户需求分析:该公司主要经营IC方面的设计和研发,但是各个部门的要求不同。下面就他们各个部门的需求进行分析。部门需求需求类型技术手段软件部各种资料需要保密,不能让别人看保密NTFS访问控制、EFS加密大学生进行文档处理文档编辑Office应用程序安装4个小组的文件可以进行互访问,但不能修改访问控制共享权限加上NTFS权限财务部工资表保密、财务内容不能让其它部门看到访问控制NTFS访问控制销售部不能使用上次使用过的桌面等工作环境上次的工作桌面能够保存用户漫游配置文件市场部同销售部经常进行交流,public文件夹互访部门间文件共享共享权限加上NTFS权限技
9、术部现有网络结构管理复杂,且管理分散,管理员需针对每台计算机都去物理上设置集中管理建立域网络,进行集中的管理每个员工都有自己的文件夹放在文件服务器上,其它人不能访问保护自己的私人文件夹建立用户主目录,或设置共享权限和NTFS权限企业资源分散管理,不太方便,希望进行分门别类的管理希望对各个部门进行分门别类管理在域中创建组织单元 2.2 网络系统的设计目标和原则:网络系统在企业建设中起到非常重要的作用,它不是简单的计算机之间的联网,而是一个复杂的系统工程,要采用系统的设计方法。(1)实用化,先进性。从实用的观点出发来考虑网络系统的总体结构,满足系统技术要求,同时应该选用先进的符合国际标准的可以开发
10、的系统产品。(2)模块化,扩展性。网络系统应该采用模块化设计,便于在网络工程中根据投资等情况的变化而加以调整,同时又是一个开放式系统,以保证系统的扩展。(3)工程化,可靠性。在网络系统设计过程中充分考虑工程的要求,在达到系统业务需求的前提下,确保更高的可靠性。(4)集成化,高效性。网络系统是通信子系统、控制子系统、办公自动化子系统筹集成的基础,要体现集成化设计思想,所有子系统有机地集成一个智能建筑系统,保证总系统的高效性。2.2.1 网络系统的设计原则(1)充分满足当前各种信息服务的需求,同时为将来的系统扩充留有充分余地。(2)充分考虑与其他子系统之间的联系。(3)统一规划,全面设计,做到有很
11、有据,有条有理。(4)符合国际标准化组织(ISO)提出的开放系统互联标准(OSI)和实用的TCPIP 协议系统标准。(5)便于维护和管理。(6)在保护实现系统需求的前提下,提高系统的性能价格比。2.2.2 网络需求分析在设计时应进行下列网络需求分析:(1)功能需求。有信息传输、资源共享、电子函件、网络服务器、网络管理、网络控制。网络安全、网络升级等。(2)性能需求。有服务效率、服务质量、网络结构、网络响应时间、数据传输速度、资源利用率、可靠性、性能价格比等。(3)环境需求。主要相地理分布、用户数及其位置、用户间的距离、用户群的组织特点,还有特殊的限制(如电缆等介质布线是否有禁区等)。(4)其他
12、子系统的需求。如办公自动化系统、设备控制系统等对网络提出的要求。(5)设计约束。包括需遵守的其他标准,各行各业的不同特点,以及投资对网络设计的影响等。2.2.3 设计考虑的主要方面(1)网络系统的一般技术要求。主要有网络通信协议、主机系统结构、主机响应速度、网络服务器通信协议、网络服务器入网速度、客户机通信权益、客户机入网速度、交换端口分配、广域网联接、网络管理、网络管理平台、网络划分、网络升级、网络主干系统速率等。(2)网络信息点总结。按照统计数据进行网络信息点总结。(3)主干网设计。随着网络技术的飞速发展,大厦的主干网应能支持快速以太网的交换以及对虚报网的支持,且具有第三层的交换和今后过渡
13、到ATM 的能力,在带宽方面能满足不同应用环境下的客户终端带宽的要求,保证用户访问数据库服务器的速率要求,网络主干交换机采用千兆位或百兆位交换机,而到每一用户带宽为10100M 自适应,对特别用户可以提供千兆位到桌面的服务。而满足这一要求的网络体系有:1000BaseT、100BaseT、100VGAmyLAY、FDDI 和ATM,它们都是高速网络技术。(4)水平分支网络结构。一般选用以太网或快速以太网。根据具体技术要求,可选用10BaseT 或100BaseT。从各楼层分配线间IDF 配线架至工作端口插座的连接线缆采用增强5 类4 对非屏蔽双绞线(UTP),能支持100Mbps 传输速率;既
14、可服务于数据传输,又可用于语音传输,保证了系统的灵活性。(5)主服务器是整个网络的核心,有大量的数据进行处理、存储和转发,一般应不低于100Mbps速率入网。微机服务器也要求以100Mbp 速率入网。(6)网络分段。网段的划分和地址分配。同一网段可以使用不同的传输协议,但须使用同种接口卡。(7)广域网联接。包括与国内其他单位、驻外机构和国际互联网的联机,VOD 自动点播、视频会议、远程教学、远程三表传送收费、网上购物、网上聊天和网上商务联系等功能都需要建立与外界的高速连接,选择宽带按人也就成为必然。宽带接入方式主要应考虑与公用数据通信网之间的配合。目前,可以为智能建筑提供宽带接入的服务商除中国
15、电信外还有联通、长城宽带、铁通、吉通、广电和网通等电信经营商。接入方式也有通过电话网络、有线电视网络、高速城域网或无线、卫星等数种。从实践来看,这几种方案在传输速率、用户负担的接入成本和提供的增值服务内容等方面各不相同,所适用的范围也不一样。例如:ADSL 接入方案:该系统在用户端采用ADSL 调制解调器,所有信息通过现有电话线连接到电话交换局前端ADSL 解调设备进行解调,解调后的语音信息仍送入电话交换机,而数据信息送入ATM 网络进行路由交换,可提供上行1Mbps、下行8Mbps 的接入速率。ADSL 接入的优点是可以利用现有的市内电话网和电话交换局的机房,缺点是它对线路的质量要求较高,A
16、DSL的实际速度还要受到用户和电话分局的电话线长度和线路质量的影响,线路抵抗干扰的能力较差。由于宽带可扩展的潜力不大,ADSL 不能满足今后日益增长的接入速率要求;只能成为过渡性产品。HFC 网络方案:在有线电视光缆与同轴缆混合网上,用户使用电缆调制解调器cable modem进行数据传输,可以实现上行3Mbps,下行10Mbps 的宽带接入。HFC 方案和ADSL 接入方案的共同特点是利用已有的网络基础设施。但共同的缺点是带宽进一步扩展能力有限,而且无法建设独立的社区内部网络平台。高速光纤接入方案:光纤具有容量大、抗干扰和不宜窃取等优点,这些优点决定了光纤接入必然替代过渡性的ADSL、CAB
17、LE MODEM 及无线等其他成为宽带接入的主流趋势。无线接入:无线接入是指从交换节点到用户终端或全部采用无线手段接入技术。其优点是开通快、维护简单、用户密集区成本低,改变了本地电信业务的传统观念。在选择连接方案时,主要应考虑与公用数据通信网之间的配合。由于国内电信部门对于广域网用户的质量上有待提高,因此,在充分考虑了可靠性性能价格比等因素下,应尽可能选用电信部门熟悉的产品及公用网型号相同的产品。2.3 网络设备选型:在确定了系统的设计方案,进行软件、硬件设计后,需要进行设备选型。设备选型是网络工程中非常重要的一环,设备选型的好坏直接影响系统的实用性、稳定性、可靠性和系统的费用。2.3.1 设
18、备选型依据主要是根据选型原则和选型标准,对不同厂家的产品的不同型号进行综合全面的比较,选择满足系统需求的、先进、性能价格比高的设备。智能建筑内部的综合局域网,作为一个完整的网络体系,即交换机、集线器和网络管理软件直选用同一厂商的产品,以便于用户使用、管理和维护。设计一个计算机局域网,需要考虑因素很多。从技术角度而言,目前,以太网采用的传输介质已从细同轴电缆、粗同轴电缆几乎完全改变为非屏蔽双绞线和单模、多模光纤电缆,以大网传输速率也从过去的共享10Mbps 上发展到10Mbps 交换、100Mbps 共享及交换正向1Gbps 高速交换发展。ATM 技术应用正在快速展开;并为以太网技术接轨而发展了
19、局域网仿真技术,可以使以大网平滑地过渡到ATM。微机服务器也从最初的来自X86CPU 和ISA 总线、AT磁盘接口发展到今天的奔腾四代CPU、AGP 总线,FASTWIDE SCSI-2 磁盘接口。应用软件系统的种类更是数不胜数令人眼花缭乱。在这种局面下,为了从中选出最合适的产品来构成自己的计算机网络并满足应用需求,网络设计人员而要有多方面的知识,包括对新技术的深刻理解,对最新产品的广泛关注,以及对应用需求的准确把握。尤其是对应用需求的准确把握,应该是一个网络设计成功与否的关键。与应用需求脱钩,单纯追求最新技术。最快速度,脱离实际强调先进性,致使先进设备的能力不能得到充分发挥,等于浪费了资金。
20、这一点必须得以充分注意。在确定应用需求的前提下,设计一个网络需要考虑的主要方面包括布线、网络应用口确定、网络操作系统及服务器选程、网络拓补结构及运行枕率规划、数据安全性保障等几个大的方面。另外,网络设备及网络工作站的统一管理、远程用户介入、网络间互联也应十分重视。目前主买的网络厂商有:3COM,IBM,BAY NETWORK,CABIETRON,CISCO,HP 等公司,对于各个厂家的产品进行全面的比较,结合智能建筑的技术要求,具体情况。投资等多方面因素,选择性能价格比最高的产品。2.3.2 网络操作系统的选择在网络应用项目确定后,网络应用软件也就基本选定。对于选择商品化应用软件的项目而言,因
21、根据应用软件需要的操作系统环境来确定网络操作系统。对于具有多种网络操作系统环境能力的应用软件,因通过对销售商的查询,确定这种软件在哪种操作系统上效果最佳,然后确定网络操作系统。通常情况下,某种应用软件虽然移植到了多种网络操作系统下,但只有在一种操作系统下优化的最好。那当然,如果服务器并不止提供一项服务,就必须根据所提供服务的重要程度,综合考虑和选择网络操作系统。目前,网络上常府的操作系统主要是NOVELL 公司的Netware,MICROSOFT 公司的Windows,IBM 公司的OS2,LAN SERVER 和UNIX,LINUX。2.4 服务器的选配:2.4.1 服务器的选择目前服务器的
22、选择余地比较大,主要从可靠性、IO 性能等方面考虑。衡量服务器的可靠性主要根据服务器采用的技术。如冗余技术,电源、硬盘、内存、CPU、IO 卡总线通道和故障在线修复技术等。IO 性能等方面主要考虑文件服务性能,如IO 并发操作能力。目前市场上有很多品牌的微机服务器系统,如CAMPAQ,IBM,HP 等较大的微机厂商都推出了品质优异的K 服务器产品。各厂家的服务器在主要功能上差距不大,但也有各自的特点。例如Compaq 的PROLIANT 系列服务器在WindowsNT 下具有实现双机双工热备份的能力,二台服务器平时各自作为独立的服务器发挥作用,而当其中任意一台出现故障时,另一台服务器可以接替其
23、工作继续运行。IBM 的PC 服务器在SMP 方式时可以混合安装奔腾系列处理器,并且每个处理器都工作在备自的主频下而不会被降频使用。2.4.2 服务器资源配置 它要根据应用需求来确定,主要考虑的是内存容量、磁盘驱动器控制器标准、磁盘容量及容错方式等。内存的选择必须考虑网络操作系统及应用软件的要求。从操作系统的需求来说,如Netware 操作系统下每100M 硬盘容量最好配置4MB 内存;WindowsNT 基本内存最好确定在12MB 以上,这样的才能保证网络操作系统正常运行。应用软件,尤其是目前流行的客户机服务器模式的应用软件,对服务器的内存要求也十分庞大,例如Lotus NOTES 在Win
24、dows NT系统下运行,内存容量基本要求为48 MB,建议为64MB。客户机服务器模式的应用系统在保证基本需求外,增加的内存量可以提高运行效率,减少磁盘交换的压力。但内存的扩充也不能任意增加,因为服务器所用内存是为保证服务器运行良好而专门设计的,采用了许多高级的检错、纠错技术,所以价格大大高于微机的内存价格。2.4.3 磁盘驱动器控制器日前主要有FAST SCSI、TWIDE SCSI 二种标准,前一种传输速率为10Mbps,后一种为20Mbps。新的控制器标准还有ULTRA SCSI,传输速率可以达到40Mbps,还有WIDE-ULTRASCSI-3 的传输速率为240Mbps。选择哪一种
25、标准的产品要根据投资能力和是否真正需要为准。对于小型应用、整体投资额不大、应用繁忙程度不高的环境,可以选择标准的控制器驱动器。对于高强度的磁盘应用,就应选用FASTWIDE SCSI-2 标准的产品。2.4.4 磁盘容错方式 目前主要有磁盘镜像、磁盘双工和磁盘阵列技术。磁盘镜像使用一个控制器控制两个磁盘,写到磁盘和数据都要同时写入两个盘中,任意一个盘失效都不会影响数据的安全性。磁盘双工是使用两个控制器各控制一个磁盘,即在磁盘冗余基础上增加控制器冗余。磁盘阵列技术目前最广泛的是RAID5,冗余度小,阵列中任意一个盘失效都可以保持数据安全有效。在阵列技术上,各服务器主要厂家还都增加了在线增容技术,
26、即不停机增加磁盘容量及RAID的SMART-2 阵列控制器。Compaq 公司还具有在线热备份方式:一个磁盘保持后备状态,当阵列中一个磁盘失效,后备盘立即启用,这样就可以在阵列中出现两个磁盘都损坏情况下也能保证数据安全。阵列技术的磁盘冗余度最小,但其控制器及所用的驱动器都比较昂贵。对于小型服务器,采用镜像技术是比较适宜的。镜像方式看上去冗余度达到了50%,但在小统上,其综合性能价格比要比阵列式为佳。在服务器整体容错方面可以选择的还有NETWARE SFT3 双服务器镜像技术及前面提到的NT 双机双工方式,SFT3 是用2 个配置完全相同的服务器,通过专用的服务器镜像卡连接起来,2 个服务器运行
27、时内存、磁盘系统全都保持同步状态,对外表现为一个服务器。当第一个服务器出现故障时,另一个服务器可以继续工作,用户丝毫感觉不到停顿,它通常用于对系统的不停机运行要求极高的场合。由于网络技术与综合布线系统息息相关,这就要求在设计布线系统的同时就必须充分考虑到将来布置的计算机网络能否充分发挥综合布线的优点,在适当考虑网络系统的升级的前提下,选择合理的方案,避免硬件资源的冗余与浪费。2.5网络拓扑结构内部的局域网按访问区域可以划分为三个主要的区域:Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网,包括:财务子网、领导子网、办公子网、市场部子网、
28、中心服务器子网等。在安全方案设计中,我们基于安全的重要程度和要保护的对象,可以在Catalyst 型交换机上直接划分四个虚拟局域网(VLAN),即:中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域,由于财务子网、领导子网、中心服务器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。 拓扑结构示意图3.计算机网络配置3.1 网络应用:公司的网络主要为用户提供如下应用服务:1文件共享、办公自动化、WWW服务、电子邮件服务;2文件数据的统一存储;3针对特定的应用在数据库服务器上进行二次开发(比如财务系统);4提供
29、与Internet的访问;5通过公开服务器对外发布企业信息、发送电子邮件等;3.2 网络结构的特点:在分析网络的安全风险时,应考虑到网络的如下几个特点:1.网络与Internet直接连结,因此在进行安全方案设计时要考虑与Internet连结的有关风险,包括可能通过Internet传播进来病毒,黑客攻击,来自Internet的非授权访问等。2.网络中存在公开服务器,由于公开服务器对外必须开放部分业务,因此在进行安全方案设计时应该考虑采用安全服务器网络,避免公开服务器的安全风险扩散到内部。3.内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级
30、别的网络分割开,这可以通过交换机划分VLAN来实现。4.网络中有二台应用服务器,在应用程序开发时就应考虑加强用户登录验证,防止非授权的访问。总而言之,在进行网络方案设计时,应综合考虑到企业网络的特点,根据产品的性能、价格、潜在的安全风险进行综合考虑。3.3 公司的总体网络拓扑图:根据公司总部的需求分析,网络分布可采用以下方案:(1) Switch1下的PC1、PC2、PC2等客户端分配给技术部、客服部;(2) Switch2下的PC4、PC5、PC6、PC7等客户端分配给软件部;(3) Switch3下的PC8、PC9、PC10等客户端分配给财务部、人事部;(4) Switch4下的PC11、
31、PC12、PC13、PC14、PC15等客户端分配给市场部、销售部。(上述中公司的客户端并没全部列出,可根据实际需要进行相关扩展。)IP分配:Switch1网段使用:192.168.1. 子网掩码:255.255.255.0 ;Switch2网段使用:192.168.2. 子网掩码:255.255.255.0 ;Switch3网段使用:192.168.3. 子网掩码:255.255.255.0 ;Switch4网段使用:192.168.4. 子网掩码:255.255.255.0 。交换机的配置:我们可以根据需求使用交换机技术建立VLAN来实行安全通信。路由器的配置:我们可以把beijing的路
32、由器配置成静态路由,而把sydney 和seattle的路由器配置成缺省路由。路由交换的实现:1) 设置路由器名:Enter host name Router:2) 设置进入特权状态的密文(secret),此密文在设置以后不会以明文方式显示:The enable secret is a one-way cryptographic secret usedinstead of the enable password when it exists.Enter enable secret: cisco3) 设置进入特权状态的密码(password),此密码只在没有密文时起作用,并且在设置以后会以明文方
33、式显示:The enable password is used when there is no enable secretand when using older software and some boot images.Enter enable password: pass4) 设置虚拟终端访问时的密码:Enter virtual terminal password: cisco5) 询问是否要设置路由器支持的各种网络协议:Configure SNMP Network Management? yes:Configure DECnet? no:Configure AppleTalk? no
34、:Configure IPX? no:Configure IP? yes:Configure IGRP routing? yes:Configure RIP routing? no:配置静态路由:通过配置静态路由,用户可以人为地指定对某一网络访问时所要经过的路径,在网络结构比较简单,且一般到达某一网络所经过的路径唯一的情况下采用静态路由。任务 命令建立静态路由 ip route prefix mask address | interface distance tag tag permanentPrefix :所要到达的目的网络mask :子网掩码address :下一个跳的IP地址,即相邻路由
35、器的端口地址。interface :本地网络接口distance :管理距离(可选)tag tag :tag值(可选)permanent :指定此路由即使该端口关掉也不被移掉。对于广域网部分的连接可根据实际需求去电信部门选择合适的接入方案。3.4 网络应用服务的配置:鉴于该公司的实际应用情况,我们采用域的管理模式,分别在各个地方建立相应的域环境,便于管理本地的用户和服务器,在域与域之间采用相互信任的模式,在每个域环境下设立不同的组织单元和多个站点,用组策略管理组织单元。在个人用户配置上我们为用户设置漫游配置文件和用户主目录;设置相应文件共享并同NTFS权限相结合进行访问控制并且对机密数据进行加
36、密;客户机安装Office套件,VLAN隔离等。安装并配置Active Directory:(1)先建立一个域,, 它的地址在北京,作为总部。(2)为它建立三个子域,一个在Beijing,一个在North America,一个在Australia。建立过程如下:1)用管理员的身份登入到中的一个服务器,先把它降级为一个普通的计算机。2)在开始运行,输入dcpromo命令,选择新的域控制器,后点击下一步,再选择在现有域树中新建一个子域,点下步,在网络凭证中输入相应的帐号和域名;3)在下步中输入子域的名称Australia,点击下步,到最后完成,最后要求重新启动计算机。可以在AD中看到新建立的Aus
37、tralia 。4)按照以上的方法可以再建立子域,用于管理各地的公司部门。DNS服务务的组建:1)、 安装DNS服务 开始设置控制面板添加/删除程序添加/删除Windows组件“网络服务”选择“域名服务系统(DNS)”按确定进行安装。 2)、 创建DNS正相解析区域 开始程序管理工具选择DNS,打开DNS控制台右击“正相搜索区域”选择“新建区域”选择“标准主要区域”(或“Active Directory 集成区域”或“标准辅助区域”)-输入域名“” 输入要保存的区域的文件名“.dns” 按完成,完成创建。 创建主机记录:右击“”“新建主机” 在名称处输入“www”,在“IP地址”处输入“192
38、.168.0.3”,按“添加主机”完成。 3)、 创建DNS反向解析区域 开始程序管理工具选择DNS,打开DNS控制台右击“反向搜索区域”选择“新建区域”选择“标准主要区域”输入用来标示区域的“网络ID”输入要保存的区域的文件名“0.168.192.in-addr.arpa.dns”按完成,完成创建。创建指针PTR:右击“192.168.1.x.subnet”选择“新建指针”在“主机IP号”中输入2在“主机名”中输入ftp按 “确定”完成添加。4)、 启用DNS循环复用功能 如对应于多个IP地址时DNS每次解析的顺序都不同 右击选择“DNS服务器”属性高级选择“启用循环”(round robi
39、n)-选择“启用netmask 排序”按“ 确定”返回。 注:如所有的IP和域名服务器在同一子网时需要取消“启用netmask排序”,才能实现循环复用功能。即启用循环时 ,当主机的IP和dns在同一个子网时将始终排在最前面,当都在一个子网时就不进行循环,只有去除了“启用netmask排序” 时才能实现循环复用。 DNS服务器会优先把与自己的网络ID相同的记录返回给客户端。 5)、 创建标准辅助区域,实现DNS区域复制 在另一台DNS服务器上,右击“正向搜索区域”选择“新建区域”选择“标准辅助区域”输入“”输入主域名服务器的IP地址选择“完成”。 可手工要求同步:在辅域名服务器上右击“”的域选择
40、“从主服务器传输”。 并且可以设置允许传输的域名服务器:在主域名服务器上右击“”的域选择“属性”选择“区域复制”在“允许复制”前打勾,并选择允许复制的主机(到所有服务器、只有在“名称服务器”选项卡中列出的服务器、只允许到下列服务器)。 完成服务器类型的转换: 右击区域选择 “属性”选择“类型”的“更改”按钮选择要更改的区域类 型按“确定”。 6)、 实现DNS唯高速缓存服务器 创建一个没有任何区域的DNS服务器右击DNS服务器选择“属性”选择“转 发器”中的“启用转发器”输入转发器的IP地址按“确定”完成。清除“唯高速缓存”中的cache内容:右击“DNS服务器”选择“清除缓存” 或者选择“DNS服务器”在菜单中选择“查看”,高级右击“缓存的查找”选择“清除缓存” (客户端清空DNS缓存)ipconfig /flushdns)。 7)、 DNS的委派(子域的转向) 在原域名服务器上建立“”的主机右击的域,选择“新建委派”将的域代理给的主机在上建立“正向标准区域”添加相关主机记录。 8)、 设置 DNS区域的动态更新 右击选择DNS上区域选择“属性”选择“常规”中的“允许动态更新”,选是 然后按 “确定”在本机的DHCP服务器中右击选择DHCP服务器选择“属性”选择“DNS”选择“为不支持动态更新的DNS客户启用更新”在客户端