中小型局域网络建设毕业论文

毕业设计网 络 工 程路由交换方向院 系软件学院 专 业网络技术 班 级09网络技术二班学 号1601090210 学 生 姓 名 联 系 方 式15936337792 指 导 教 师 职称：网络工程师 2011年4月独 创 性 声 明本人郑重声明：所呈交的毕业论文（设计）是本人在指导老师指导下取得的研究成果。除了文中特别加以注释和致谢的地方外，论文（设计）中不包含其他人已经发表或撰写的研究成果。与本研究成果相关的所有人所做出的任何贡献均已在论文（设计）中作了明确的说明并表示了谢意。签名： 年月日授权声明本人完全了解许昌学院有关保留、使用专科生毕业论文（设计）的规定，即：有权保留并向国家有关部门或机构送交毕业论文（设计）的复印件和磁盘，允许毕业论文（设计）被查阅和借阅。本人授权许昌学院可以将毕业论文（设计）的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编论文（设计）。本人论文（设计）中有原创性数据需要保密的部分为：无。 签名： _年月日指导教师签名： 年月日摘 要在信息发达的网络时代，计算机正以前所未有的速度普及到各个领域，渗透到各行各业和人们生活之中。社会、政治、经济和国防等方面越来越多地用计算机进行信息收集、存贮、计算、加工和处理。计算机网络作为计算机技术和通信技术相结合的产物，在这个时代发挥着它不可估量的作用，这给计算机网络的建设提出了新的挑战，对实施网络工程也提出了新的要求。随着信息网络化的发展，许多中小型企业也走上了信息网络化的道路，不断的把自已的产品或业务通过互联网的丰富资源，以利用电子商务平台或搭建网站的方式进行推销。因此企业网络系统就需要为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台。而中小型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以中小型局域网络建设过程可能用到的各种技术及实施方案为设计方向，为中小型企业的建设提供理论依据和实践指导。本课题共分29章，主要包括二大方面：windows和Linux。Windows主要内容包括windows server 2003的安装与基本配置、windows server 2003系统管理、windows网络配置、windows DNS和DHCP服务器等；Linux主要内容包括Linux操作系统的安装与基本配置、Linux网络配置、samba服务器、ftp服务器、DNS服务器等各种网络服务器的安装与配置。本项目也解决了企业局域网之间的VPN搭建以及路由器和交换机的配置。关键词：局域网搭建；Linux服务器配置；windows管理；路由与交换配置ABSTRACTIn the network times, information developed computer is at unprecedented speed popularization in various fields, which permeates all walks of life and people life. The social, political, economic and security increasingly use the computer to carry on the information collection, storage, calculation, processing or treatment. The computer network as computer technology and communication technology, the combination of playing it in this era of inestimable role, which give computer network construction, and puts forward new challenges for implementing network project also puts forward new requirements. Along with the development of the information networking, many small and medium-sized enterprise also took to the road of the information networking, constantly from already the product or business through Internet abundant natural resources to use e-commerce platform or build website way promote. Therefore enterprise network system will need for enterprise modernization and comprehensive information management and office automation and so on a series of applied to provide basic operation platform. And small and medium enterprises mainly used in engineering construction network technology to an important branch of LAN technology, the construction and management of graduation design topic, so this will mainly small and medium-sized local area network construction process may use different techniques for the design and implementation plan for small and medium enterprises, the direction of construction to provide the theory basis and the practical guidance. This topic is divided into 29 chapter, mainly including the largest aspects: Windows and Linux. Windows main contents include Windows server 2003 installation and basic configuration, Windows server 2003 system management, Windows network configuration, Windows DNS and a DHCP server etc; Linux main content includes the Linux operating system installation and basic configuration, Linux network configuration, samba server, FTP server, the DNS server, etc. Various kinds of web server installation and configuration. This program also solved enterprise LAN and the VPN structures between the router and switch configuration.Keywords: LAN build; Linux server configuration; Windows management; Routing and switching configuration 安博实训平台目 录第1章续 论1第2章项目需求分析22.1、项目背景22.2、需求分析2第3章网络总体建设目标53.1、网络建设目标53.2、网络及系统建设内容及要求53.3、网络设计原则5第4章网络总体设计74.1、网络总体拓扑图74.2、网络层次化设计74.2.1、核心层设计74.2.2、分布层设计74.3、总部与分部内联接入7第5章路由、交换设计95.1、设备选择95.2、VLAN、子网及IP地址规划（192.168.1.0-3.0）95.3、路由协议95.4、交换技术95.5、IPV69第6章服务器设计156.1、服务器的系统选择156.2、DNS、DHCP、DC、FTP、Mail、WebApache服务器16第7章网络安全解决方案177.1、网络边界安全威胁分析177.2、网络内部安全威胁分析187.3、安全产品选型原则187.4、解决方案187.4.1、ISA防火墙和iptables防火墙197.4.2、病毒防护技术197.4.3、认证和数字签名技术19第8章关键技术介绍208.1、VLAN208.2、VTP218.3、STP218.4、EthernetChannel228.5、HSRP238.6、TRUNK248.7、NAT248.8、VPN258.9、DHCP258.10、ACL268.11、IOS防火墙26 8.11、 DMZ.26第9章设备简介279.1、思科WS-C4506系列交换机279.2、思科 3750系列三层交换机289.3、Cisco WS-C2950 系列集成交换机289.4、Cisco 2800系列集成多业务路由器299.5、Cisco PIX-525-R-BUN系列防火墙299.6、IBM System x3650 M2服务器33第10章项目实施计划3310.1、项目组织结构3310.2、项目人员分工3410.3、工程进度计划3510.4、项目实施前的准备工作3510.5、安装前的场地准备3510.6、核心及各网点的安装调试37第11章网络测试3711.1、网络测试目的3811.2、测试文档39第12章基本配置4012.1、总部基本配置4112.1.1、网络描述4112.1.2、基本配置4112.2、分部基本配置4112.2.1、网络描述4112.2.2、基本配置41第13章Trunk基本配置4213.1、技术简介4213.2、设备简介42第14章VLAN配置4314.1、技术简介4314.2、设备简介43第15章VTP配置4415.1、技术简介4415.2、设备简介44第16章以太网通道配置4416.1、技术简介4416.2、设备简介44第17章STP配置4417.1、技术简介4417.2、设备简介44第18章OSPF配置4518.1、技术简介4518.2、设备简介45第19章HSRP配置4619.1、技术简介4619.2、设备简介46第20章GRE or IPSEC配置4720.1、技术简介4720.2、设备简介47第21章PPP配置5421.1、PPP认证5521.2、配置PPP认证5522.2、ACL的作用55第23章DNS配置5823.1、技术简介5823.2、设备简介58第24章Sendmail配置5924.1、技术简介5924.2、设备简介59第25章FTP配置5925.1、技术简介5925.2、设备简介59第26章Web配置6026.1、技术简介6026.2、设备简介60第27章DHCP配置6027.1、技术简介6127.2、设备简介61第28章Samba配置6128.1、技术简介6128.2、设备简介61第29章Iptables配置6135.1、Iptables概述6235.1.1、netfilter/iptables架构6235.1.2、关键术语6235.1.3、iptables功能6235.2、实现目标6335.2.1、包过滤6335.2.2、NAT63结 束 语. 65参 考 文 献66致 谢. 67PERMIT, flags=origin_is_acl,#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0#send errors 0, #recv errors 0 local crypto endpt.: 192.168.2.1, remote crypto endpt.: 192.168.1.1 path mtu 1500, media mtu 1500 current outbound spi: 0 inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas:5 用扩展ping来触发感兴趣流量(1)在GD-R-1上配置：发现了九个包加密GD-R-1#ping ipTarget IP address: 211.13.156.17Repeat count 5: 10包调为10个，否则一个ping看不到效果Extended commands n: ySource address or interface: 211.13.156.1Sending 10, 100-byte ICMP Echos to 211.13.156.17, timeout is 2 seconds:.! . 已经触发了感兴趣流，并且ping通Success rate is 60 percent (6/10), round-trip min/avg/max = 84/84/84 ms(2)在BJ-R-1上配置：发现了九个包加密BJ-R-1#ping ipTarget IP address: 211.13.156.1Repeat count 5: 10 将包调为10个，否则一个ping看不到效果Extended commands n: ySource address or interface: 211.13.156.17Sending 10, 100-byte ICMP Echos to 211.13.156.1, timeout is 2 seconds:.! . 已经触发了感兴趣流，并且ping通Success rate is 60 percent (6/10), round-trip min/avg/max = 84/84/84 m(3)再次查看两个阶段的关联，以及加密情况GD-R-1#show crypto isa sa IKE1阶段关联已建立为快速模式 dst src state conn-id slot211.13.156.17 211.13.156.1 QM_IDLE 1 0BJ-R-1#show crypto isa sa IKE1阶段关联已建立为快速模式 dst src state conn-id slot211.13.156.1 211.13.156.17 QM_IDLE 1 0(4)在BJ-R-1上查看：发现有九个包进行了加密BJ-R-1#show crypto ipsec sainterface: Serial1 Crypto map tag: mymap, local addr. 192.168.1.1 local ident (addr/mask/prot/port): (211.13.156.17/255.255.255.240/0/0) remote ident (addr/mask/prot/port): (211.13.156.1/255.255.255.240/0/0) current_peer: 192.168.2.1 PERMIT, flags=origin_is_acl, #pkts encaps: 9, #pkts encrypt: 9, #pkts digest 9 #pkts decaps: 9, #pkts decrypt: 9, #pkts verify 9 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.1.1, remote crypto endpt.: 192.168.2.1 path mtu 1500, media mtu 1500 current outbound spi: 1E44AB1D nbound esp sas: spi: 0x84AEB2E6(2226041574) transform: esp-des esp-sha-hmac , in use settings =Tunnel, slot: 0, conn id: 2000, flow_id: 1, crypto map: mymap sa timing: remaining key lifetime (k/sec): (4607999/3502) IV size: 8 bytes replay detection support: Y第17 章 PPP配置21.1、 PPP认证PPP（Point-to-Point Protocol点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。PPP协议中提供了一整套方案来解决链路建立、维护、拆除、上层协议协商、认证等问题。PPP协议包含这样几个部分：链路控制协议LCP（Link Control Protocol）；网络控制协议NCP（Network Control Protocol）；认证协议，最常用的包括口令验证协议PAP（Password Authentication Protocol）和挑战握手验证协议CHAP（Challenge-Handshake Authentication Protocol）。LCP是一种扩展链路控制协议，用于建立、配置、测试和管理数据链路连接和NCP是协商该链路上所传输的数据包格式与类型，建立、配置不同的网络层协议。21.2、 配置PPP认证图21-1 PPP配置图北京总部R1(config)#int s0/0R1(config-if)#ip add 12.12.12.1 255.255.255.0R1(config-if)#no shR1(config-if)#encapsulation ppp 封装PPPR1(config-if)#ppp authentication chap 设置验证类型R1(config-if)#exitR1(config)#username R2 password 123 设置用户名和口令R1(config)#exit广东分部R2(config)#int s0/0R2(config-if)#ip add 12.12.12.2 255.255.255.0R2(config-if)#no shR2(config-if)#encapsulation pppR2(config-if)#ppp authentication chapR2(config-if)#exitR2(config)#username R1 password 123R2(config)#exit21.3、 验证图21-2 PPP测试图第18 章 ACL配置22.1、 ACL介绍信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。访问控制列表（ACL）：应用在路由器接口的指令列表，用来告诉路由器哪些数据包可以接收转发，哪些数据包需要拒绝。工作原理 ：读取第三层及第四层包头中的信息 ，根据预先定义好的规则对包进行过滤.22.2、 ACL的作用ACL可以限制网络流量、提高网络性能、提供对通信流量的控制手段、提供网络安全访问、可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。在路由器端口决定哪种流量被转发或被阻塞。22.3、 ACL的执行过程一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。22.4、 ACL的分类目前有两种主要的ACL:标准ACL和扩展ACL。标准的ACL使用 1 99 以及13001999之间的数字作为表号，扩展的ACL使用 100 199以及20002699之间的数字作为表号。标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。22.5、 配置图22-1 ACL配置图表22-1 ACL列表协议源地址源端口目的地址目的端口操作TCP192.168.0.0/16所有ANY80禁止访问TCP192.168.0.0/16所有ANY8000禁止访问TCP192.168.0.0/16所有ANY1863禁止访问TCP192.168.0.0/16所有ANY3128禁止访问TCP192.168.0.0/16所有ANY8080禁止访问TCP192.168.0.0/16所有ANY所有允许访问总部ACL的配置：分部不能从总部上外部网BJ-R-001(config)#ip access-list extended 100 创建扩展ACLBJ-R-001(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 80 禁止访问网页BJ-R-001(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 8000 禁止访问QQBJ-R-001(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 1863 禁止访问MSNBJ-R-001(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 3128 禁止使用代理BJ-R-001(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 8080 禁止使用代理BJ-R-001(config-ext-nacl)#permit ip any any 允许访问其他任何资源BJ-R-001(config-ext-nacl)#exitBJ-R-001(config)#int f1/0BJ-R-001(config-if)#ip access-group 100 in 将扩展ACL 应用到端口下BJ-R-001(config-if)#exit分部ACL的配置：总部不能从分部上外部网GD-R-1(config)#ip access-list extended 100GD-R-1(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 80GD-R-1(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 8000GD-R-1(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 1863GD-R-1(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 3128GD-R-1(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 8080GD-R-1(config-ext-nacl)#permit ip any anyGD-R-1(config-ext-nacl)#exitGD-R-1(config)#int f1/0GD-R-1(config-if)#ip access-group 100 inGD-R-1(config-if)#exit第19 章 DNS配置23.1、 技术简介DNS 是域名系统 (Domain Name System) 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 DNS 命名用于 Internet等 TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。23.1、 设备简介DNS服务器，我们使用浪潮英信的服务器，CPU，4G的DDR3内存以及1TB的硬盘，双端口千兆网卡，它以其优良的性能，能够满足该服务的要求。第20 章 Sendmail配置24.1、 技术简介Sendmail是最重要的邮件传输代理程序。理解电子邮件的工作模式是非常重要的。一般情况下，我们把电子邮件程序分解成用户代理，传输代理和投递代理。 用户代理用来接受用户的指令，将用户的信件传送至信件传输代理。而投递代理则从信件传输代理取得信件传送至最终用户的邮箱。24.1、 设备简介Sendmail服务器，我们使用戴尔的PowerEdge T410服务器。该服务器拥有四核CPU，4G的DDR3内存以及1TB的硬盘，双端口千兆网卡，它以其优良的性能，能够满足该服务的要求。第21 章 高级FTP服务器的设置25.1、 技术简介Vsftp(Very Secure FTP)是一种在Unix/Linux中非常安全且快速稳定的FTP服务器，目前已经被许多大型站点所采用.在现实的生活中我们不能老是开启本地用户以让他们从远程访问本地FTP服务器,这时间我们就必须来创建一部分虚拟用户这些用户在/etc/passwd下面是找不到的也就是说在系统的用户名系统中只不过是一个假像,并不能真实的来登录本地终端,所以可以保证本地有效用户名的安全性.Vsftpd的实现有三种方式1、匿名用户形式：在默认安装的情况下，系统只提供匿名用户访问2、本地用户形式：以/etc/passwd中的用户名为认证方式3、虚拟用户形式：支持将用户名和口令保存在数据库文件或数据库服务器中。相对于FTP的本地用户形式来说，虚拟用户只是FTP服务器的专有用户，虚拟用户只能访问FTP服务器所提供的资源，这大大增强系统本身的安全性。相对于匿名用户而言，虚拟用户需要用户名和密码才能获取FTP服务器中的文件，增加了对用户和下载的可管理性。对于需要提供下载服务，但又不希望所有人都可以匿名下载；既需要对下载用户进行管理，又考虑到主机安全和管理方便的FTP站点来说，虚拟用户是一种极好的解决方案。FTP服务可以独立于平台，在UNIXDOSWINDOWS等操作系统中都可以实现FTP的客户端和服务器。公司内部实现信息共享，文件传输是内网办公非常重要的一个内容之一，FTP是C/S模式。用户通过客户机，连接到在远程主机上的FTP服务器。用户通过客户机向服务器发出命令，服务器执行用户所发出的命令，并将执行的结果返回到客户机。25.1、 设备简介高级FTP服务器，我们使用浪潮英信。服务器拥有四核CPU，4G的DDR3内存以及1TB的硬盘，双端口千兆网卡，它以其优良的性能，能够满足该服务的要求。第22 章 Web配置26.1、 技术简介Apache是世界上最流行的Web服务器软件之一。Apache的特点是简单、速度快、性能稳定，并可做代理服务器来使用。Apache有多种产品，可以支持SSL技术，支持多个虚拟主机。Apache是以进程为基础的结构，进程要比线程消耗更多的系统开支，不太适合于多处理器环境，因此，在一个Apache Web站点扩容时，通常是增加服务器或扩充群集节点而不是增加处理器。Apache支持跨平台的应用（可以运行在几乎所有的Unix、Windows、Linux系统平台上）以及它的可移植性等方面。26.1、 设备简介WEB服务器，我们使用戴尔的PowerEdge T410服务器。该服务器拥有四核CPU，4G的DDR3内存以及1TB的硬盘，双端口千兆网卡，它以其优良的性能，能够满足该服务的要求。第23 章 DHCP配置27.1、 技术简介DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写，DHCP指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。首先，DHCP服务器必须是一台安装有Windows 2000 Server/Advanced Server系统的计算机；其次，担任DHCP服务器的计算机需要安装TCP/IP，并为其设置静态IP地址、子网掩码、默认网关等内容。27.1、 设备简介DHCP服务器，我们使用戴尔的PowerEdge T410服务器。该服务器拥有四核CPU，4G的DDR3内存以及1TB的硬盘，双端口千兆网卡，它以其优良的性能，能够满足该服务的要求。第24 章 Samba配置28.1、 技术简介samba是一个工具套件，在Unix上实现SMB(Server Message Block)协议，或者称之为NETBIOS/LanManager协议。SMB协议通常是被windows系列用来实现磁盘和打印机共享。可以将SMB看做是局网域上的共享文件夹/打印机的一种协议。它是Microsoft和Intel公司1987年开发的，该协议可以用在TCP/IP之上。也可以用在其它网络协议之上。通过smb协议，客户端应用程序可以在各个网络环境下读，写服务器上的文件，以及对服务器程序提出服务请求。此外通过SMB协议。应用程序还可以访问远程服务器端的文件和打印机资源。28.1、 设备简介Samba服务器，我们使用戴尔的PowerEdge T410服务器。该服务器拥有四核CPU，4G的DDR3内存以及1TB的硬盘，双端口千兆网卡，它以其优良的性能，能够满足该服务的要求。 第25 章 Iptables配置29.1、 Iptables概述 netfilter/iptables架构netfilter/iptables IP 信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在 Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter 和 iptables 组成。netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。iptables 组件是一种工具，也称为“用户空间”，用来向信息包过滤表中添加、插入、修改、删除规则；也可以用它来构建自己的定制规则，定制的规则存储在“内核空间”的信息包过滤表中。当信息包与链中的任何规则都不匹配时执行默认规则。29.1、 关键术语1）规则（rules）规则存储在内核空间的信息包过滤表中，这些规则分别指定了源IP 地址、目的IP 地址、传输协议、服务类型等。当数据包与规则匹配时，就根据规则所定义的方法来处理这些数据包，如放行（accept）、丢弃（drop）等。2）链（ipchains）链是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当数据包到达一条链时，会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件，如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则将继续检查下一条规则。如果该数据包不符合链中任意一条规则，会根据该链预先定义的默认策略处理数据包。3）表（tables）Netfilter 中内置有3 张表：filter 表，nat 表和mangle 表。其中filter 表用于实现数据包的过滤、nat 表用于网络地址转换、mangle 表用于包的重构。a）filter 表filter 表主要用于数据包的过滤，该表根据系统管理员预定义的一组规则过滤符合条件的数据包。对于防火墙而言，主要利用在filter 表中指定一系列规则来实现对数据包的过滤操作。filter 表是iptables 默认的表，如果没有指定使用哪个表，iptables 就默认使用filter 表来执行所有的命令。filter 表包含了INPUT 链（处理进入的数据包）、FORWARD 链（处理转发的数据包）和OUTPUT 链（处理本地生成的数据包）。在filter 表中只允许对数据包进行接受、丢弃的操作，而无法对数据包进行更改。b）nat 表nat 表主要用于网络地址转换，该表可以实现一对一、一对多和多对多的网络地址转换工作。iptables 使用该表实现共享上网功能。nat 表包含了PREROUTIN 链（修改即将到来的数据包）、OUTPUT 链（修改在路由之前本地生成的数据包）和POSTROUTING 链（修改即将出去的数据包）。c）mangle 表mangle 表主要用于对指定的包进行修改，因为某些特殊应用可能需要修改数据包的传输特性，例如修改数据包的TTL、TOS 和MARK，不过在实际应用中该表的使用率不高。在Linux 2.4.18 内核之前，mangle 表仅包含PREROUTING 链和OUTPUT 链。在Linux2.4.18内核之后，包括PREROUTING、INPUT、FORWARD、OUTPUT 和POSTROUTING 五个链。 iptables功能netfilter/iptabels应用程序，被认为是Linux中实现包过滤功能的第四代应用程序。netfilter/iptables包含在2.4以后的内核中，它可以实现防火墙、NAT（网络地址翻译）和数据包的分割等功能。29.1、 实现目标 包过滤包过滤是在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的过滤规则，被成为访问控制列表（ACL）。通过检查数据流中每个数据包的源地址、目的地址、所有的协议、端口号等因素，或它们的组合来决定是否允许该数据包通过。它可能会决定丢弃（DROP）这个数据包，也可能会接受（ACCEPT）这个数据包。35.2.1、 NAT网络地址转换器NAT（Network Address Translator）位于使用专用地址的Intranet 和使用公用地址的Internet 之间，主要具有以下几种功能。（1）从Intranet 传出的数据包由NAT 将它们的专用地址转换为公用地址。（2）从Internet 传入的数据包由NAT 将它们的公用地址转换为专用地址。（3）支持多重服务器和负载均衡。（4）实现透明代理。这样在内网中计算机使用未注册的专用 IP 地址，而在与外部网络通信时使用注册的公用IP 地址，大大降低了连接成本。同时NAT 也起到将内部网络隐藏起来，保护内部网络的作用，因为对外部用户来说只有使用公用IP 地址的NAT 是可见的，类似于防火墙的安全措施。结 束 语经过数天的努力，整个论文终于完成。在设计的过程中，遇见了很多问题，但都在老师和同学的帮助下顺利解决了。其中遇到的问题主要有以下几点：（2） 拓扑图设计问题：分部层各个层次的设计问题。（3） 设备选型问题：要根据具体的情况来让我们公司为招标公司来进行更好的服务。 （4） 外网和内网之间的互相访问的问题，应该注意网络的安全性，保证不让非法份子入侵我们的网络，进而破坏我们网络的安全性。在整个过程中，我学到了新知识，增长了见识。脚踏实地，认真严谨，实事求是的学习态度，不怕困难、坚持不懈的精神是我在这次设计中最大的收益。我想这是一次意志的磨练，是对我实际能力的一次提升，也会对我未来的学习和工作有很大的帮助。 同时我也深刻的认识到，面对一个新事物时，一定要从整体考虑，还要学会解决问题，想办法让这个问题得到更好的解决方法。参 考 文 献1万振凯等网络操作系统：windows Server 2003管理与应用M北京：清华大学出版社；北京交通大学出版社，2008.82高升，邵玉梅Windows Server 2003系统管理（第二版）M.北京:清华大学出版社,2007.53刘化君网络安全技术M北京：机械工业出版社，2010.54陈萍Linux网络服务器配置与管理M：M，北京：机械工业出版社，2010.156By-gnksguybb致 谢时光飞逝，二年的读书生涯在这个季节即将画上一个句号，我将面对又一次征程的开始。在论文即将完成之际，我的心情无法平静。从开始进入课题到论文的顺利完成，有很多可敬的老师、同学给了我无言的帮助，在这里请接受我诚挚的谢意！在此更要感谢我的导师和专业老师，是你们的细心指导和关怀，使我能够顺利的完成毕业论文。在我的学业和论文的设计中无不倾注着老师们辛勤的汗水和心血。老师的严谨治学态度、渊博的知识、无私的奉献精神使我深受启迪。从尊敬的导师身上，我不仅学到了扎实、宽广的专业知识，也学到了做人的道理。在此我要向我的导师致以最衷心的感谢和深深的敬意。在这里我要对指导教师表达衷心的敬意与谢意。在此过程中，有众多的老师和同学帮我搜集、查阅资料我不胜感激！我要由衷的感谢朱永超老师和鲁杰老师在课题设计和论文写作上的细心指导，同时对所有关心过我的领导、老师、同学表达我由衷的敬意！。17