1、網絡安全網絡安全-2網絡安全網絡安全-2網絡安全 第2講 TCPIP深入理解ISO-OSI RM物理層：信息實際如何傳送？ 纜線，信號的編碼，網絡接插件的電、機械接口數據鏈路層：每一步該怎么走？ 成幀，差錯控制、流量控制，物理尋址，媒體訪問控制網絡層：數據如何到達對方？ 路由、轉發，擁塞控制傳輸層：對方在何處？ 為會話層提供與下面網絡無關的可靠消息傳送機制 會話層：論到哪方傳輸，從何處開始傳輸 ？ 負責建立（或清除）在兩個通信的表示層之間的通信通道，包括交互管理、同步，異常報告。表示層：對方看起來像什么？ 在兩個應用層之間的傳輸過程中負責數據的表示語法應用層：做什么？ 處理應用進程之間所發送和

2、接收的數據中包含的信息內容。網絡安全 第2講 TCPIP深入理解ISO-OSI RM物理網絡安全 第2講 TCPIP深入理解TCPIP協議體系OSI層次劃分TCP/IP層次劃分應用層應用層會話層傳輸層會話層傳輸層網絡層網絡層數據鏈路層鏈路層物理層HTTPFTPTELNETDNSSNMPTCPUDPIPEthernet Token Ring FDDI WANS ARPICMPTCP/IP協議族中協議示例網絡安全 第2講 TCPIP深入理解TCPIP協議體系OSI網絡安全 第2講 TCPIP深入理解相同點：1.都是基于獨立的協議棧概念。2.兩者都有功能相似的應用層、傳輸層、網絡層。不同點：1.在O

3、SI模型中，嚴格地定義了服務、接口、協議；在TCP/IP模型中，并沒有嚴格區分服務、接口與協議。2.OSI模型支持非連接和面向連接的網絡層通信，但在傳輸層只支持面向連接的通信；TCP/IP模型只支持非連接的網絡層通信，但在傳輸層有支持非連接和面向連接的兩種協議可供用戶選擇。3.TCP/IP模型中不區分、甚至不提起物理層和數據鏈路層。網絡安全 第2講 TCPIP深入理解相同點：6/19/2003Internet安全協議及標準Page:5TCP/IP工作方式Internet安全協議及標準Page:7TCP/IP工作方6某公司進行網絡改造后，發現有一臺客戶端在調整辦公室后無法訪問服務器。故障解決思路

4、與步驟由出錯情況可知，由于其他客戶端可以訪問服務器，只有一個客戶端無法訪問，可以確定服務器的應用程序是沒有問題的，所以采用“從下至上”的方法排除網絡故障，即從物理層開始。8某公司進行網絡改造后，發現有一臺客戶端在調整辦公室后無法訪7物理層檢查檢查客戶端網絡的物理連接是否正常，查看網線是否與墻上端口和設備相連，連接點是否牢靠？經檢查1沒有問題，檢查交換機端口的工作狀態。一般來說，針對嚴格管理的標準布線環境，有完備的網絡記錄文檔。由此可以查找到出現問題客戶端使用的墻上插座端口號為A201，而且知道A201號口與交換機2號口相連。79物理層檢查98現場查看交換機端口的指示燈狀態是否正常；一般持續綠色

5、代表鏈路正常運行，閃爍綠色表示正在發送或者接收數據。遠程登錄到交換機，使用show ip interface brief命令查看其端口是否工作正常Interface IP-Address OK? Method Status protocol G1/0/2 unassigned YES unset up up由以上信息可知，端口狀態和協議都工作在up狀態，這證明此終端到交換機的線纜連接是正常的，初步可以排除是物理層的問題。10現場查看交換機端口的指示燈狀態是否正常；一般持續綠色代9數據鏈路層檢查第二層的關鍵是MAC地址，通過對照交換機接口上的MAC地址和客戶端的MAC地址是否相同，可以排除施工時

6、網絡記錄文檔是否出現問題。使用：show mac address-table interface g1/0/2 Vlan Mac Address Type Ports 10 0014.2275.57ac DYNAMIC Gi1/0/2可以顯示連接此接口計算機的MAC地址信息。再在客戶端上查看本機的MAC地址，如果不匹配則說明交換機上的接口并不是真的連接了這臺客戶端。11數據鏈路層檢查10網絡層檢查在客戶端使用IPCONFIG/ALL命令進行檢查Ethernet adapter 本地連接Dhcp Enabled . : Yes IP address : 1 DHCP Server : 可以看到P

7、C有IP地址，但是這個地址對嗎？通過IP地址為的DHCP服務器可以獲得10.10.x.x范圍內的地址嗎？DHCP服務器分發的IP地址不屬于子網。這種問題多出現在PC從某個子網移動到另一個子網時，PC依然請求舊的IP地址，從而產生問題。 12網絡層檢查11 解決方法讓PC的網絡接口租用的IP地址重新交付給DHCP服務器（即歸還IP地址）。IPCONFIG/RELEASEIPCONFIG/RENEW此時PC就會獲得正確的IP地址13 解決方法12解讀下面這段話：總公司的LAN骨干使用千兆網絡，各地分公司的WAN連接是DDN專線接入；總公司各辦公室都提供高速有線網絡接入，另外，在休息廳和閱覽室設置了

8、無線網絡；總公司建立了大型的SAN存儲網絡，所有的銷售人員都可以通過VPN訪問方式從外部網絡訪問內部網絡服務，經過安全審核后經授權的員工還可以訪問SAN中的核心數據。14解讀下面這段話：13LAN、WAN、MAN：根據地理覆蓋范圍的大小，可以將計算機網絡分為局域網、廣域網和城域網。局域網（Local Area Network）：是一個數據通信系統，其傳輸范圍是中等地理區域，它具有高數據傳輸速率。城域網（Metropolitan Area Network）：它的地理范圍是一個城市及其郊區，主要應用于大中型城市地區，基于LAN和WAN之間。15LAN、WAN、MAN：14LAN、WAN、MAN：廣

9、域網（Wide Area Network）：在一個廣泛地理范圍內建立的計算機通信網，范圍可以超越城市和國家。在實際應用中，LAN可與WAN互聯，或通過WAN與位于其他地點的WAN/LAN互聯，這時LAN就成為WAN上的一個端系統。WAN傳輸距離遠，拓撲結構復雜，由此帶來的問題是路由選擇的復雜性。另外，它的傳輸速率與LAN相比較低。16LAN、WAN、MAN：151716解讀下面這段話：總公司的LAN骨干使用千兆網絡，各地分公司的WAN連接是DDN專線接入；總公司各辦公室都提供高速有線網絡接入，另外，在休息廳和閱覽室設置了無線網絡；總公司建立了大型的SAN存儲網絡，所有的銷售人員都可以通過VPN

10、訪問方式從外部網絡訪問內部網絡服務，經過安全審核后經授權的員工還可以訪問SAN中的核心數據。18解讀下面這段話：17有線網絡&無線網絡：有線網絡：提供LAN中各種設備間的高速連接，有線網絡的連接介質可分為兩類：金屬導體，如同軸電纜，雙絞線，利用銅和鐵等金屬導體的電流變化來傳輸數據。以光纖維代表的透明玻璃或塑膠繩媒體，它們利用光波來傳輸數據。無線網絡：使用無線射頻（RF）技術通過空中接口來收發數據，通常將這種采用無線傳輸數據或媒體的計算機網絡稱為無線局域網。要實現合理的網絡傳輸和覆蓋，必須將有線與無線，空中與地面相結合，取長補短。19有線網絡&無線網絡：18解讀下面這段話：總公司的LAN骨干使用

11、千兆網絡，各地分公司的WAN連接是DDN專線接入；總公司各辦公室都提供高速有線網絡接入，另外，在休息廳和閱覽室設置了無線網絡；總公司建立了大型的SAN存儲網絡，所有的銷售人員都可以通過VPN訪問方式從外部網絡訪問內部網絡服務，經過安全審核后經授權的員工還可以訪問SAN中的核心數據。20解讀下面這段話：19外部網絡&內部網絡：內部網絡和外部網絡是利用網絡邊界的節點進行分類，以確定私有網絡和公共網絡的界線的一種描述方法。內部網絡（Intranet）是建立在企業內部的Internet，它采用防止外界侵入的安全措施，將Internet技術運用到企業內部的信息系統中，以企業員工為服務對象，構建企業級的信

12、息集成和信息服務。外部網絡（Extranet）的信息交流著眼于企業外部。21外部網絡&內部網絡：20SANSAN是一種存儲設備網絡，實現的方式之一是通過光纖通道連接完成的。SAN類似于LAN體系結構，它可以通過HUB、Switch、控制器來連接各種設備。SAN使Server可以與存儲設備（如磁盤子系統和磁帶庫）建立多個直接連接。22SAN21基本形式的SAN網絡HBA（Host Bus Adapter）：主機總線適配器，是一個在server和存儲裝置間提供I/O處理和物理連接的電路板和/或集成電路適配器。23基本形式的SAN網絡HBA（Host Bus Adap22VPNVirtual Pri

13、vate Network 虛擬專用網采用一種稱為“隧道”或“數據封裝”的技術解決企業員工需要通過Internet訪問企業內部服務器的問題。它可以通過特殊的加密通訊協議在連接在Internet上不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就如同架設了一條專線，但是并不需要真正的去鋪設線路。VPN被定義為通過一個公用網絡建立一個臨時的、安全的連接。VPN的核心是利用公共網絡建立一個物理上不存在的虛擬的私有網。 24VPN23 其他服務：www、ftp MRTG：定義、安裝 視頻服務：相關概念、配置 郵件服務：名詞、相關協議、傳遞方式、配置 Proxy：定義、工作流程、配置 DNS：定

14、義、工作流程、實例 網絡設備：概述、路由與交換、NAT、實例 主要內容 校園網概述：網絡說明、IP地址范圍、網絡拓撲結構 25 其他服務：www、ftp MRTG：定義24校園網概述 網絡說明吉林大學校園網始建于1995年， 在五校區網絡整合完成后已成為國內覆蓋面積最大的校園計算機網絡。校園網采用多層次樹型結構。分布在市內各個方位的五校區局域網，通過光纖線路互連，形成雙千兆帶寬的校園網主干，使吉林大學校園網具備了城域網的規模。 在各個校區，主要樓宇通過千兆連接到校區主節點，其它樓宇百兆上連。在廣域網方面， 校園網通過1200兆光纖連接到位于吉林大學內的教育網吉林省主節點， 后者目前與教育網東北

15、節點以2.5G互連。 在網絡服務方面，校園網50多臺服務器以及學校各部門20多臺服務器共同提供形式多樣的服務。包括WWW、文件下載、電子郵件、代理服務、虛擬主機、個人主頁、BBS、視頻點播、電視轉播、教學管理系統、財務管理系統、圖書館書目查詢系統、科技文獻全文檢索系統等。作為中國第二代互聯網計劃CNGI-6IX和第二代中國教育和科研網CERNET-II的節點學校之一，吉林大學IPv6網絡已經于2004年12月23日全面開通， 并與CERNET-II以及國外INTERNET-II網絡實現互聯。 校內所有路由設備已經升級，全面支持Ipv6相關協議，具備了向全體師生提供Ipv6相關服務的條件。截至到

16、2013年03月12日12時,吉林大學校園網入網計算機總數為 77706臺.26校園網概述 網絡說明吉林大學校園網始建于1995年，25校園網概述 IP地址范圍（1）Cernet: - 55 - 55 - 55 - 55 - 55 - 55 - 55 - 55 - 55 - 55 - 55 Cncnet: - 55 - 55 - 27 24 - 55 24 -55Chinanet:60 - 9127校園網概述 IP地址范圍（1）Cernet: Cnc26校園網概述 IP地址范圍（2）中國教育和科研計算機網CERNET是由國家投資建設，教育部負責管理，清華大學等高等學校承擔建設和管理運行的全國性

17、學術計算機互聯網絡。它主要面向教育和科研單位，是全國最大的公益性互聯網絡。1996年被國務院確認為全國骨干網。它分四級管理，分別是全國網絡中心、地區網絡中心和地區主結點、省教育科研網、校園網。CERNET全國網絡中心設在清華大學，負責全國主干網的運行管理。地區網絡中心和地區主結點分別設在清華大學、北京大學、北京郵電大學、上海交通大學、西安交通大學、華中科技大學、華南理工大學、電子科技大學、東南大學、東北大學等10所高校，負責地區網的運行管理和規劃建設。28校園網概述 IP地址范圍（2）中國教育和科研計算機網2727校園網概述 網絡拓撲圖 20081016（2）2929校園網概述 網絡拓撲圖 2

18、0081016（2）28校園網概述 網絡拓撲圖 20081016（3）30校園網概述 網絡拓撲圖 20081016（3）29網絡設備 概述（1）31網絡設備 概述（1）30網絡設備 概述（2）32網絡設備 概述（2）31網絡設備 概述（3）高速同步串口：主要用于連接DDN、幀中繼、X.25、PSTN等。通過這種端口所連接的網絡的兩端都要求實時同步。異步串口：主要用于Modem或Modem池的連接，實現遠程計算機通過公用電話網撥入網絡。它不要網絡兩端保持實時同步，只要求能連續即可，這種接口所連接的通信方式速率較低。Console口：使用配置專用線直接連接至計算機串口，利用終端仿真程序進行路由器本

19、地配置。AUX口為異步端口，主要用于遠程配置，也可用于撥號連接，還可通過收發器與MODEM相連。33網絡設備 概述（3）高速同步串口：主要用于連接DD32網絡設備 路由與交換路由和交換是網絡世界中兩個重要的概念。傳統的交換發生在網絡的第二層，即數據鏈路層， 而路由則發生在第三層，網絡層。所以傳統意義上的交換機是OSI參考模型第二層的設備， 也就是數據鏈路層的設備， 交換機根據每一個數據包中的目的MAC地址作簡單的轉發，轉發決策并不需要判斷數據包深層的其他信息。而路由器是OSI參考模型第三層的設備，也就是網絡層的設備，它負責檢查進入的分組，為它們選擇通過網絡的最佳路徑，然后將它們交換到合適的輸出

20、端口上。這是傳統意義上的路由和交換。現在，路由的智能和交換的性能被有機的結合起來，三層交換機和多層交換機在網絡中已經大量使用。34網絡設備 路由與交換路由和交換是網絡世界中兩個重要的33網絡設備 NATNAT英文全稱是Network Address Translation，也就是網絡地址轉換，它是一個IETF標準，允許一個機構以一個地址出現在Internet上。NAT將每個局域網節點的地址轉換成一個IP地址，反之亦然。它也可以應用到防火墻技術里，把個別IP地址隱藏起來不被外界發現，使外界無法直接訪問內部網絡設備，同時，它還幫助網絡可以超越地址的限制，合理地安排網絡中的公有Internet 地址

21、和私有IP地址的使用。 35網絡設備 NATNAT英文全稱是Network Ad34網絡設備 NAT原理NAT技術能幫助解決令人頭痛的IP地址緊缺的問題，而且能使得內外網絡隔離，提供一定的網絡安全保障。它解決問題的辦法是：在內部網絡中使用內部地址，通過NAT把內部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內的地址域用合法的IP地址來替換。 NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。NAT設備維護一個狀態表，用來把非法的IP地址映射到合法的IP地址上去。每個包在NAT設備中都被翻譯成正確的IP地址，發往下一級，這意味著給處理器帶來了

22、一定的負擔。但對于一般的網絡來說，這種負擔是微不足道的。 36網絡設備 NAT原理NAT技術能幫助解決令人頭痛的I35網絡設備 NAT類型靜態NAT（Static NAT）動態地址NAT（Pooled NAT）網絡地址端口轉換NAPT（PortLevel NAT）靜態NAT設置起來最為簡單和最容易實現的一種，內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。動態地址NAT則是在外部網絡中定義了一系列的合法地址，采用動態分配的方法映射到內部網絡。NAPT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。根據不同的需要，三種NAT方案各有利弊。 37網絡設備 NAT類型靜態NAT

23、（Static NAT36網絡設備 NAT應用NAT技術可以讓區域網路中的所有機器經由一臺通往Internet的server 線出去，而且只需要注冊該server的一個IP就夠了。最簡單的NAT設備有兩條網絡連接：一條連接到Internet，一條連接到專用網絡。專用網絡中使用私有IP地址（有時也被稱做Network 10地址，地址使用留做專用的從開始的地址）的主機，通過直接向NAT設備發送數據包連接到Internet上。與普通路由器不同，NAT設備實際上對包頭進行修改，將專用網絡的源地址變為NAT設備自己的Internet地址，而普通路由器僅在將數據包轉發到目的地前讀取源地址和目的地址。 38

24、網絡設備 NAT應用NAT技術可以讓區域網路中的所有路由協議Internet 路由選擇的樹狀結構:自治系統自治系統局域網局域網局域網局域網核心系統核心系統GGGGGG核心網關非核心網關部分AS間交換路由信息（信任關系）路由協議Internet 路由選擇的樹狀結構:自治系統自治系自治系統（ASAutonomous System)：包括多個網絡和非核心網關，并通過唯一的核心網關與主干網相連。通過它進入主干網（核心系統）。AS的建立是為了便于擴展并減 輕 主干網路由信息更新的過大開銷。核心網關由Internet網絡操作中心統一管理，非核心網關由本地管理路由信息的交換： 1. 自治系統要通過系統內一個

25、授權的非核心網關向所屬核心網關報告本地路由信息，核心網關也要通過它報告主干網路由信息。(外部網關協議EGPExternal Gateway Protocol. 如EGP,BGP)2.核心網關之間相互交換路由信息。(核心網關協議GGPGateway-Gateway Protocol).3.自治系統是獨立的。其內部可采用自己的路由協議。（內部網關協議IGPInternal Gateway Protocol 如OSPF, RIP, IGRP 等）信任關系：為減輕自治系統對主干網的依賴，提高系統的可靠性，一些自治系統間可直接建立聯系，交換路由信息，而不必通過主干網。（稱信任關系）路徑 ：本地網絡將數據

26、發送到核心網關，進入主干網，再通過核心網關送到目的主機所在的自治系統，然后由內部路由到達目的主機。自治系統（ASAutonomous System)：包括多39網絡設備 實例（1）CISCO學院實驗室網絡拓撲圖41網絡設備 實例（1）CISCO學院實驗室網絡拓撲圖40網絡設備 實例（2）User Access VerificationPassword : LAB_A User EXEC modeLAB_A enableLAB_A# Privileged EXEC modeLAB_A# configure terminalGlobal configuration modeLAB_A(config

27、)#LAB_A(config)# interface FastEthernet0/1 配置接口LAB_A(config-if)# ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxxLAB_A(config-if)# exitLAB_A(config)#LAB_A(config)# router rip 配置路由協議LAB_A(config-router)# network LAB_A(config-router)# network LAB_A(config-router)# exitLAB_A(config)#LAB_A(config)# ip host dn

28、s 配置DNSLAB_A(config)# exitLAB_A# show running-configLAB_A# ping dns 檢查配置并測試連接性LAB_A# copy running-config startup-config 保存配置42網絡設備 實例（2）User Access Veri41網絡設備 實例（3）43網絡設備 實例（3）42DNS 定義（1）DNS，Domain Name System，域名系統。在一個TCP/IP架構的網絡環境中，DNS是一個非常重要而且常用的系統。主要的功能是將人易于記憶的Domain Name與人不容易記憶的IP Address作轉換。它包括

29、正向解析和逆向解析。正向解析指將主機域名解析為對應的IP地址的過程。反向解析指由指定的IP地址解析出對應的主機域名。44DNS 定義（1）DNS，Domain Name S43DNS 定義（2）DNS是屬于分層的（Hierarchical）分布式數據庫（Distributed Database）體系結構，雖然每臺DNS服務器只負責某些范圍的域名解析工作，但是它最大的長處是：可將世界上分散在各地的DNS集合而成為一個邏輯上的數據庫。因為沒有一臺DNS服務器可以容納世界上所有主機的資料記錄，所以就必須通過DNS服務器間的查詢和緩存記憶來分享資料，以便響應來自客戶端的域名解析請求。例如：吉林大學的D

30、omain Name為，這個Domain Name當然不是憑空而來的，是從.所分配下來。.又是從.cn授予的。.cn是從哪里來的呢？答案是從“.”，也就是所謂的“根域”（root domain）來的。根域已經是Domain Name的最上層。而“.”這層是由InterNIC（Internet Network Information Center，互聯網信息中心）所管理。全世界的Domain Name就是這樣，一層一層的授予下來。 45DNS 定義（2）DNS是屬于分層的（Hierarc網絡安全 第2講 TCPIP深入理解域名解析算法圖 ：網絡安全 第2講 TCPIP深入理解域名解析算法圖 ：4

31、5DNS 工作流程（1）例：查詢Domain Name為時，DNS Server處理如下：47DNS 工作流程（1）例：查詢Domain Name46DNS 工作流程（2）客戶端向服務器提出查詢項目；當被詢問到有關本域名之內的主機名稱的時候，DNS服務器會直接做出回答； 如果所查詢的主機名屬于其它域名，會檢查快取記憶體(Cache)查看是否有相關資料；如果沒有發現，則會轉向 root 服務器查詢； root 服務器會將該域名之下一層授權(authoritative)服務器的地址告知(可能會超過一臺)；然后本地服務器會向其中的一臺服務器查詢，并將這些服務器名單存到記憶體中，以備將來之需(省卻再向

32、 root 查詢的步驟)； 遠方服務器回應查詢；若該回應并非最后一層的答案，則繼續往下一層查詢，直到獲得客戶端所要查詢的結果為止；將查詢結果返回給客戶端，并同時將結果儲存一個備份在自己的快取記憶里面；如果在存放時間尚未過時之前再接到相同的查詢，則以存放于快取記憶里面的資料來做回應。48DNS 工作流程（2）客戶端向服務器提出查詢項目；47DNS 基礎知識（1）Domain（域/網域） 將整個internet 分成許多的domain，每個domain下又可細分為許多domain，然后這些細分的domain視實際需求又可再細分成許多domain一直循環下去。基本上每個domain內的mapping

33、由一部主機負責管理。頂級域名（toplevel domain）： 域名級數是從右至左，按照“.”分開的部分數確定的，有幾個部分就是幾級。“頂級域名”即“一級域名”，如.com表示商業機構；另外也包括以地理域名命名的頂級域名，如國家頂級域名，.aa表示南極洲；.cn表示中國等。49DNS 基礎知識（1）Domain（域/網域） 48DNS 基礎知識（2）Name Server負責記錄forward/reverse mapping的機器會執行一個叫name server的軟件，透過這個軟件回應來自其他機器對domain name或IP的查詢。zone & domain每個domain交由一個機器負

34、責，其實更精確地說應該是每個zone交由一個 name server來負責，所謂zone就是把一個domain扣掉分給下層負責的部分，剩下來的部分就是zone。50DNS 基礎知識（2）Name Server49DNS 基礎知識（3）Primary/Secondary（master/slave）如果zone交由一部name server管理，萬一這個name server 當掉，可能造成INTERNET上其它機器無法取得屬于這個zone的資料（就是domain name和ip mapping）。為了避免這種情況，我們可以把這個zone的資料同時交給多部name server負責。原本的這部被稱

35、為primary name server，其它的被稱為 secondary name server。Secondary name server會定期將primary name server上 zone的資料拷貝一份下來備用。primary/secondary在新版name server程式中被改稱為master/slave。51DNS 基礎知識（3）Primary/Seconda50DNS 基礎知識（4）Forward/Reverse（正解/反解）domain name IP mapping應該看成兩個命名空間：一個是 domain name - IP, 稱之為forward mapping，

36、在這個命名空間中，先分成top domain，再細分sub domain，再細分，以此類推。例如 - 52 表示在代表的 sub domain 的機器上，可以查到其mapping table上有一條記錄是winnie - 52。一個是IP - domain name，稱之為reverse mapping。在這個命名空間中，所有的IP組成一個叫作arpa.in-addr的top domain，然后再依IP層層細分。比如說 52 - 代表在負責192.16.15.（注意是反過來寫，因為top domain要在最后面）這個sub domain的機器上，可以查到其mapping table上有一筆記錄

37、是152 - 。注意負責forward mapping和reverse mapping的機器不一定是同一臺；Domain與ip subnet并沒有一對一關系。52DNS 基礎知識（4）Forward/Reverse51DNS 基礎知識（5）SOA (Start Of Authority)：即原始權威服務器，指zone的權威設定，主要作用是提供原始權威服務器的信息。為區域文件更新提供參數。它表示授權的開始：SOA用來表示區域的啟動，每個區域必須只有一個SOA記錄。SOA指定了權威主機的 name server（FQDN）、contact-email-address、Serial number、R

38、efresh Time、Retry time、Expire time和Minimum TTL。53DNS 基礎知識（5）SOA (Start Of A52DNS 基礎知識（6）Name server：域記錄文件被創建的服務器，是通過FQDN描述的。FQDN(Fully Qualified Domain Name)：完全合格域名/全稱域名，是指主機名加上全路徑，全路徑中列出了序列中所有域成員。全域名可以從邏輯上準確地表示出主機在什么地方，也可以說全域名是主機名的一種完全表示形式。從全域名中包含的信息可以看出主機在域名樹中的位置。例如，acme company公司的Web服務器的全域名可以是，而若

39、WWW主機是在銷售部子域，則它的全域名可以是。當給出的名字像acmecompany而不是acmecompany.時，他們通常是指主機名，而名字中帶有句點的則認為是全域名。這種區別在理解和控制解析過程時是非常重要的。句點實際上指出了域名樹的根。54DNS 基礎知識（6）Name server：53DNS 基礎知識（7）Contact-email-address：管理員的email地址。Serial序列號，即區域文件的修訂版本號，每次修改區域文件后遞增此數字，次服務器根據此參數值可以確定是否需要更新記錄。Refresh刷新時間，次服務器每隔此參數定義的時間（秒）核對主服務器的記錄。默認是：3,60

40、0。即輔助DNS服務器在查詢主DNS服務器的SOA記錄之前等待的時間（秒），當刷新時間過期時，輔助DNS服務器將向主DNS服務器請求當前SOA記錄的副本；主DNS服務器允許此請求；輔助DNS服務器比較主DNS服務器的當前SOA記錄的序列號和自己的SOA記錄中的序列號，如果它們是不同的，輔助DNS服務器就會向主DNS服務器請求區域傳輸。55DNS 基礎知識（7）Contact-email-a54DNS 基礎知識（8）Retry重試時間，輔助服務器傳輸失敗后的等待時間（秒），默認是：600。即輔助服務器區域傳輸失敗后到進行重試前的等待時間（秒）。通常，重試時間小于刷新時間。Expire超時，又稱過

41、期時間，輔助服務器嘗試更新記錄的時間（秒），超過這個時間就認定相關記錄不是最新的。 Minimum TTL最小生命周期：適用區域文件中的所有資源記錄，表示域中記錄的最小生命周期，主服務器用來通知其他服務器，它所發出的記錄可以緩存多久。56DNS 基礎知識（8）Retry55DNS 基礎知識（9）DNS資源記錄SOA記錄用來表示區域的啟動；每個區域必須只有一個SOA記錄；輔助服務器，在不能和主服務器通信的情況下，將提供12小時DNS服務，在指定的時間后停止為那個區域提供DNS服務，不過仍然要嘗試與主服務器通信；語法格式： IN SOA nameserver. contact-email-addr

42、ess(serial_number; refresh_number;retry_number; expire_number; minimum_number;)57DNS 基礎知識（9）DNS資源記錄56DNS 基礎知識（10）DNS資源記錄NS記錄Name Server，名稱服務器記錄：為DNS域標識DNS名稱服務器，該資源記錄出現在所有DNS區域中。創建新區域時，該資源記錄被自動創建。用來為域指定名字服務器；語法格式：IN NS name-server-hostname例如：IN NS . /說明.是當前區域文件的名字服務器，可以指定多個NS記錄。58DNS 基礎知識（10）DNS資源記錄5

43、7DNS 基礎知識（11）DNS資源記錄A記錄Adress，主機地址記錄：代表“主機名稱”與“IP”地址的對應關系，作用是把名稱轉換成IP地址。DNS使用A記錄來回答“某主機名稱所對應的IP地址是什么？”。主機名必須使用A記錄轉譯成IP地址，網絡層才知道如何選擇路由，并將數據包送到目的地。每個主機至少應有一個A記錄；A記錄把主機名指定為IP地址語法: hostname IN A IP-Address完整的主機名后應有一個“.”；可以使用縮寫；例如：www IN A 0. IN A 00此時的www代表，為完整主機名，后面一定有“.”。59DNS 基礎知識（11）DNS資源記錄58DNS 基礎知

44、識（12）DNS資源記錄CNAME記錄Canonical Name，別名記錄：某些名稱并沒有對應的IP地址，而只是一個主機名的別名。CNAME記錄代表別名與規范主機名稱之間的對應關系指定規范（正式）主機名的別名語法格式: Alias IN CNAME Canonical-hostname可以使用縮寫；例如：www IN CNAME . 此例表明管理員可能公告其網站主機名稱為，但其實只是一個指向的CNAME記錄而已。而在維護期間，可以臨時將指向。60DNS 基礎知識（12）DNS資源記錄59DNS 基礎知識（13）DNS資源記錄MX記錄Mail Exchange，郵件交換器資源記錄：MX記錄提供

45、郵件路由信息；提供網域的“郵件交換器（Mail Exchanger）”的主機名稱以及相對應的優先值；當MTA（用于收發Mail的程序一般統稱為郵件用戶代理MUA-Mail User Agent；將來自MUA的信件轉發給指定的用戶的程序一般被稱之為因特網郵件傳送代理MTA-Mail Transfer Agent）要將郵件送到某個網域時，會優先將郵件交給該網域的MX主機；同一個網域可能有多個郵件交換器，所以每一個MX記錄都有一個優先值，供MTA作為選擇MX主機的依據。；語法格式：IN MX preference-value mail-server-hostname. 例如： IN MX 0 . I

46、N MX 10 .61DNS 基礎知識（13）DNS資源記錄60DNS 基礎知識（14）DNS資源記錄PTR記錄Point，指針記錄：PTR記錄代表“IP地址”與“主機名”的對應關系，作用剛好與A記錄相反；與A記錄一樣，每個網絡接口必須有一條PTR記錄。DNS系統使用PTR記錄來回答“某IP地址所對應的主機名是什么?”；RFC882構想，A記錄與PTR記錄應是互逆的，也就是說從A記錄可以查到“域名到IP”，從PTR記錄可以查到“IP到域名”，但當多個域名對應同一個IP時，PTR記錄應指向該IP地址的規范主機名。語法格式：ip IN PTR hostname.可以使用縮寫； 例如： 0 IN P

47、TR . 即 0 IN PTR www62DNS 基礎知識（14）DNS資源記錄61DNS 基礎知識（15）DNS資源記錄SRV記錄Service Location Resource Record，本地服務資源記錄：它是DNS服務器的數據庫中支持的一種資源記錄的類型，它記錄了哪臺計算機提供了那種服務；SRV記錄一般是為Microsoft的活動目錄設置時使用的。DNS可以獨立于活動目錄，但是活動目錄必須有DNS的幫助才能工作。為了活動目錄能夠正常的工作，DNS服務器必須支持服務定位（SRV）資源記錄，資源記錄把服務名字映射為提供服務的服務器名字。活動目錄客戶和域控制器使用SRV資源記錄決定域控制

48、器的IP地址。IN記錄表示這些資源都在Internet63DNS 基礎知識（15）DNS資源記錄62DNS 配置范例（1）一家公司已經向InterNIC申請名為 的網址代理服務器的主機名為，IP地址為DNS服務器的主機名為，IP地址為0郵件服務器的主機名為，IP地址為0名為且IP地址為0的服務器上，安裝有WWW和FTP服務，同時二者以和的域名提供服務DNS需提供反向解析的服務為了達到容錯的目的，須將IP地址為54的DNS服務器設置為次服務器，以防止主DNS服務器出現故障時產生的服務中斷。64DNS 配置范例（1）一家公司已經向InterNIC63DNS 配置范例（2）第一步：以管理員身份登錄，

49、并且運行BIND服務器的安裝與啟動。檢查系統中是否安裝BIND服務器：rootns1 root# rpm qa bind如果系統中沒有安裝，可查找bind-xxx.rpm文件，然后輸入以下命令，系統會自動完成安裝BIND服務器的所有步驟：rootns1 root# rpm ivh bind-xxx.rpm啟動、重新啟動和停止BIND服務器named startnamed restartnamed stop65DNS 配置范例（2）第一步：以管理員身份登錄，并且64DNS 配置范例（3）第二步：建立正向解析區域，這部分需要新建在named.conf文件中，以下是設置的例子：zone “” IN

50、type master;file “example.hosts”;；在本例中，新建了名為“”的正向解析區域，它也是公司已注冊的網址。本例表示此區域用來定義“”網域的內容，它是屬于“IN”（Internet）的區域類別，IN表示這是網絡上的一條記錄，同時此區域的類型為DNS的主要區域，它擁有來自區域信息的正本，可以提供授權式的響應，而配置文件“example.hosts”是自行定制的區域配置文件。66DNS 配置范例（3）第二步：建立正向解析區域，這部65DNS 配置范例（4）第三步：建立反向解析區域。這部分需新建在named.conf文件中，以下是設置的例子：zone “1.168.192.”

51、 type master; file “example.rev”;；在本例中，新建了名為“1.168.192.”的反向解析區域，它可提供區域的反向解析服務，而配置文件“example.rev”是自行定制的區域配置文件。67DNS 配置范例（4）第三步：建立反向解析區域。這部66DNS 配置范例（5）第四步：建立次（slave）服務器正向解析區域，這部分需要在54的named.conf文件中建立，以下是設置的例子zone “” type slave;file “example.hosts”;masters 0; /主服務器的IP地址；在本例中，在次服務器上新建了名為“”的正向解析區域，它所登錄的

52、主服務器為0，而配置文件“example.hosts”是自行定制的區域配置文件名稱，不需要建立此文件，系統會自動建立。次要區域是一份來自主要區域的副本，而在次要區域中的“masters”列表，可以指定一個或多個主要服務器的IP地址，而次要服務器就會與列表上的主機進行通信，來更新區域信息文件副本。按照默認值，區域轉送會通過連接端口53來進行。68DNS 配置范例（5）第四步：建立次（slave）服67DNS 配置范例（6）第五部：建立正向解析區域配置文件example.hosts。$ORIGIN IN SOA . ( 20020930 ; serial 86400 ; refresh 3600;

53、 retry 3600000 ; expire 1D) ; minimum IN NS .Localhost IN A 69DNS 配置范例（6）第五部：建立正向解析區域配置文68DNS 配置范例（7）第六步：新建資源記錄。上述的內容為example.hosts文件的基本內容，而在基本內容建立后，接著必須將區域內主機所需的各式資源記錄加入該文件中，以本例來說，需要新建的資源記錄為A、CNAME和MX等。proxyINAdnsINA0mailINA0bothINA0wwwINCNAMEbothftpINCNAMEbothmailINMX1070DNS 配置范例（7）第六步：新建資源記錄。上述的內

54、69DNS 配置范例（8）第七步：修改named.local，以符合網絡的現況。$TTL 86400 INSOA . . (2002093001 ; Serial28800 ; Refresh 14400 ; Retry 3600000 ; Expire 86400) ; Minimum IN NS localhost.1 IN PTR localhost71DNS 配置范例（8）第七步：修改named.loc70DNS 配置范例（9）第八步：建立反向解析區域配置文件example.rev$TTL 86400INSOA . . (2000071301 ; Serial28800 ; Refre

55、sh14400 ; Retry3600000 ; Expire86400) ; Minimum INNS .1 IN PTR .10 IN PTR .20 IN PTR .30 IN PTR .72DNS 配置范例（9）第八步：建立反向解析區域配置文71DNS 配置范例（10）第九步：重新啟動BIND服務器：named restart第十步：查看日志文件，以確定啟動及一切設置全部正常。73DNS 配置范例（10）第九步：重新啟動BIND服務72Proxy 定義“Proxy”在字面上就是 “代理人”的意思，Proxy服務器是一種防火墻（Firewall）組件，泛指可以用來管理Internet與局

56、域網間進出的數據以及提供如文件緩存（Caching）和 訪問控制等功能的服務器。也就是說，只要可以代表其他計算機傳遞數據包或信息的服務器都可以稱為Proxy服務器，至于數據包或信息的類型并不只限于瀏覽WWW網頁內容，其他如電子郵件、多媒體文件，或網絡應用程序都可以通過Proxy服務器來發送。因此，Proxy服務器的種類有很多，比較常見的類型有Proxy Caching、Mail Proxy、IP Proxy等。緩存（Cache）只是Proxy服務器的一部分功能Proxy Caching，可以在硬盤中建立一個空間，然后將客戶端最近曾經瀏覽過的網頁數據保存在此，當下次客戶端再請求瀏覽同一網頁時，即

57、可由硬盤中直接抓取，而不再通過網絡訪問原來的 Internet主機，這樣可以節省帶寬的使用以及文件傳輸的時間。74Proxy 定義“Proxy”在字面上就是 “代理人73Proxy 工作流程客戶端向代理服務器提出網頁請求。代理服務器接受此請求，并且代替客戶端向Internet上的Web主機請求指定的網頁內容。Internet上的Web主機將請求的網頁發送到代理服務器，同時代理服務器會將此網頁存入緩存中。代理服務器將網頁結果回應客戶端。其他客戶端向代理服務器提出相同網頁內容請求。代理服務器直接利用緩存中的網頁響應客戶端。 75Proxy 工作流程客戶端向代理服務器提出網頁請求。74Proxy 配

58、置Squid服務器的安裝和啟動檢查是否已安裝了軟件：rootns1 root# rpm qa squid如果未安裝，執行以下命令安裝 rootns1 root# rpm ivh squid-xxx.rpm啟動、重新啟動和停止Squid服務器squid startsquid restartsquid stop有關Squid服務器的設置項目及注釋都集中在squid.conf文件中。76Proxy 配置Squid服務器的安裝和啟動75郵件服務 專有名詞郵件用戶代理（Mail User Agent，MUA）：MUA是一種客戶端軟件，它可提供用戶瀏覽、書寫以及處理郵件的功能。一個系統可以同時存在多個不同

59、的MUA程序。郵件傳輸代理（Mail Transfer Agent，MTA）：MTA是一種運行在服務器端的軟件，也就是郵件服務器，它負責MUA的請求，并用來在服務器間發送電子郵件。一般來說，與MUA不同，一個系統只有一個MTA保持在運行配置。郵件傳遞系統（Mail Transfer System，MTS）：由MTA和MUA組合而成的系統稱為MTS。77郵件服務 專有名詞郵件用戶代理（Mail User 76郵件服務 相關協議郵局通信協議（Post Office Protocol，POP）Internet消息訪問協議（Internet Message Access Protocol，IMAP）簡

60、單郵件傳輸協議（Simple Mail Transfer Protocol，SMTP） 78郵件服務 相關協議郵局通信協議（Post Offic77郵件服務 本地網絡郵件傳遞客戶端軟件（MUA）使用TCP連接端口25，將電子郵件發送到郵件服務器，然后這些信息會先保存在隊列（Queue）中。經過服務器的判斷，如果收件人屬于本地網絡中的用戶，這些郵件就會直接發送到用戶的郵箱。收件人利用POP或IMAP通信協議軟件，連接到郵件服務器下載或直接讀取電子郵件，整個郵件傳遞過程也隨之完成。79郵件服務 本地網絡郵件傳遞客戶端軟件（MUA）使用T78郵件服務 遠程網絡郵件傳遞（1）80郵件服務 遠程網絡郵件