網路構建與運維管理——從學到用完美實踐

●一線網路工程技術與運維專家阮曉龍/許成剛傾情編寫

●無縫貼合工程實踐：實驗案例均在Windows UNIX/Linix雙平台實現！

●徹底擺脫紙上談兵：通過GNS 3網路仿真實現 VirtualBox虛擬機實現，讓您在一台筆記本上完成所複雜網路構建、管理及分析案例！

●乾貨多多：本書所有案例，均為作者多年工作經驗實踐經驗的結晶。

●輕鬆養成工程思維：所有案例的編寫，均以“需求分析”→“規劃設計”→“技術論證”→“部署實施”→“總結分析”的步驟實現，工程思維，輕鬆養成！

●附贈之DVD包含本書實驗所需的所有軟體

本書的實踐內容全部在Windows及UNIX/Linux系統平台上實現，並且基於GNS 3網路仿真和VirtualBox虛擬化環境，涉及的軟體全部採用開源、免費或者試用版本，有效解決了讀者在學習時由於實踐環境限制只能“紙上談兵”的狀況。

本書可作為從事或即將從事網路運維工作的專業技術人員的技術培訓或工作參考用書，也可作為高校計算機相關專業、特別是網路工程、網路運維專業有關課程的教學用書。

阮曉龍:一線資深網路技術及運維專家。主要研究方向為數據中心運維管理、網路測量技術、Web技術，河南中醫學院網路信息中心信息部主任。曾參與承建河南省教育科研網鄭東新區節點建設及運行工作；曾參與多項大型入口網站的規劃、設計與開發建設工作；曾參與並具體負責河南中醫學院數位化校園示範工程建設項目。主持或參與廳級以上科研項目9項，廳級一等獎以上獲獎7項，並榮獲河南省教學標兵稱號。

前言

配套光碟使用說明

第1章 從建設區域網路開始 1

1.1 認識區域網路 1

1.1.1 下個定義 1

1.1.2 區域網路有什麼特點 1

1.1.3 區域網路能幹什麼 2

1.1.4 五花八門的區域網路 3

1.2 構建區域網路的主要設備 7

1.2.1 網路終端設備 7

1.2.2 網路傳輸設備 8

1.2.3 傳輸媒介 10

1.3 建設區域網路的過程 15

1.3.1 建設區域網路有哪些主要步驟 15

1.3.2 進行需求分析時重點考慮哪些問題 16

1.3.3 如何制定項目預算和項目實施計畫 16

1.3.4 項目實施需要哪些準備工作 17

1.3.5 按照計畫實施 20

1.3.6 測試與驗收 22

1.4 實踐：基於GNS3構建區域網路 22

1.4.1 GNS3是什麼 22

1.4.2 把GNS3安裝在電腦上 23

1.4.3 在GNS3中創建區域網路 26

1.5 案例：一個企業網的實現 35

1.5.1 案例概述 35

1.5.2 項目調查與分析 35

1.5.3 項目實施 38

1.5.4 網路測試 49

1.5.5 項目驗收與移交 49

第2章 越來越重要的無線區域網路 51

2.1 認識無線區域網路 51

2.1.1 為什麼需要WLAN 51

2.1.2 無線區域網路的優點 51

2.1.3 無線區域網路的組成 52

2.1.4 無線區域網路拓撲結構 53

2.1.5 無線區域網路服務 55

2.2 無線區域網路的各種標準 56

2.2.1 802.11a 56

2.2.2 802.11b/g/n 58

2.2.3 802.11ac 60

2.2.4 WLAN MAC幀格式 62

2.3 無線區域網路的接入認證 64

2.3.1 PPPoE接入認證 64

2.3.2 Web接入認證 65

2.3.3 802.1x接入認證 66

2.4 無線通信加密 67

2.4.1 WEP加密 67

2.4.2 WPA/WPA2加密認證 69

2.4.3 無線區域網路的安全管理 73

2.5 案例1：家庭無線區域網路的實現 74

2.5.1 需求分析 74

2.5.2 方案設計 75

2.5.3 部署實施 76

2.5.4 套用測試 78

2.6 案例2：無線企業網的實現 79

2.6.1 需求分析 79

2.6.2 方案設計 79

2.6.3 部署實施 82

2.6.4 無線漫遊 84

2.6.5 套用測試 84

第3章 接入Internet 86

3.1 Internet接入的一些基本概念 86

3.1.1 什麼是Internet接入 86

3.1.2 接入方式 86

3.1.3 乙太網的寬頻網接入技術 90

3.2 案例1：家庭區域網路接入Internet 92

3.2.1 需求分析 92

3.2.2 方案設計 92

3.2.3 部署實施 93

3.2.4 套用測試 97

3.3 案例2：基於OPNsense實現企業網接入 98

3.3.1 需求分析 99

3.3.2 構建區域網路 99

3.3.3 部署實施 101

3.3.4 套用測試 105

3.4 案例3：通過OPNsense實現雙鏈路負載接入 106

3.4.1 需求分析 106

3.4.2 構建區域網路 106

3.4.3 部署實施 108

3.4.4 套用測試 112

第4章 使用DHCP管理IP位址 114

4.1 認識DHCP 114

4.1.1 什麼是DHCP 114

4.1.2 DHCP主要功能及套用環境 114

4.1.3 DHCP作用域 115

4.2 DHCP的工作原理 116

4.2.1 認識DHCP的報文 116

4.2.2 了解DHCP工作流程 118

4.2.3 IP租約的更新與續租 120

4.2.4 為什麼需要DHCP中繼代理 120

4.3 實踐1：在Windows Server上實現DHCP服務 123

4.3.1 安裝DHCP服務 123

4.3.2 添加作用域 125

4.3.3 設定保留IP位址 127

4.3.4 使用DHCP篩選器 127

4.3.5 添加超級作用域 128

4.4 實踐2：在Linux上實現DHCP服務 129

4.4.1 安裝DHCP服務 129

4.4.2 DHCP配置檔案 130

4.4.3 配置作用域 133

4.4.4 配置租約期限 133

4.4.5 配置保留IP位址 134

4.4.6 配置超級作用域 134

4.4.7 配置多個作用域 134

4.5 實踐3：DHCP客戶端的配置 136

4.5.1 在Windows上配置DHCP客戶端 136

4.5.2 在Linux上配置DHCP客戶端 137

4.5.3 在Android上配置DHCP客戶端 138

4.5.4 在IOS上配置DHCP客戶端 138

4.6 DHCP的安全管理 139

4.6.1 什麼是DHCP欺騙 139

4.6.2 為什麼需要DHCP強制 140

4.6.3 一次DHCP欺騙的案例分析 140

4.7 案例：基於GNS3在區域網路中構建DHCP服務 143

4.7.1 IP位址的規劃 143

4.7.2 具體實施 144

第5章 構建DNS 147

5.1 認識DNS 147

5.1.1 為什麼需要DNS 147

5.1.2 DNS能幹什麼 148

5.1.3 DNS的分級結構 148

5.1.4 DNS的基本術語 150

5.1.5 DNS的記錄類型 151

5.1.6 DNS資料庫檔案 153

5.1.7 DNS伺服器種類 153

5.2 DNS的工作原理 154

5.2.1 DNS遞歸解析原理 154

5.2.2 DNS疊代解析原理 155

5.2.3 DNS報文格式 156

5.3 實踐1：在Windows Server上實現DNS 160

5.3.1 安裝DNS服務 160

5.3.2 DNS的基本配置 162

5.4 實踐2：在Linux上實現DNS 166

5.4.1 安裝BIND 166

5.4.2 BIND配置檔案 167

5.4.3 DNS的基本配置 174

5.5 實踐3：基於QS-DNS實現DNS 178

5.6 DNS高級功能 181

5.6.1 ACL 181

5.6.2 區域傳送 182

5.6.3 DNS轉發 186

5.6.4 DNS多鏈路智慧型解析 188

5.7 DNS安全 190

5.7.1 DNS的安全隱患 190

5.7.2 DNS安全措施 191

5.7.3 DNS安全性評估 193

5.8 DNS測試 194

5.8.1 DNS測試內容 194

5.8.2 DNS測試工具 194

5.8.3 如何通過DNS測試選擇最優服務 201

第6章 通過防火牆實現網路安全管理 204

6.1 認識防火牆 204

6.1.1 下個定義 204

6.1.2 防火牆的分類 205

6.1.3 防火牆的功能 207

6.1.4 防火牆的安全策略 210

6.1.5 防火牆的優缺點 213

6.1.6 下一代防火牆 215

6.2 防火牆的關鍵技術 217

6.2.1 包過濾技術 217

6.2.2 狀態檢測技術 220

6.2.3 網路地址轉換技術（NAT） 222

6.2.4 代理技術 227

6.3 防火牆的技術標準 229

6.3.1 防火牆功能要求標準 229

6.3.2 防火牆性能要求標準 232

6.3.3 防火牆安全要求標準 233

6.3.4 防火牆保證要求標準 234

6.4 防火牆的套用模式 238

6.4.1 家庭網路防火牆套用 238

6.4.2 中小企業防火牆套用 239

6.4.3 政府機構防火牆套用 240

6.4.4 跨國企業防火牆套用 242

6.5 實踐：個人防火牆的實現與套用 243

6.5.1 Windows系統防火牆的實現 243

6.5.2 Windows上通過第三方軟體實現防火牆 250

6.5.3 通過IPTables實現Linux防火牆 255

6.5.4 MAC OS X上防火牆實現 260

6.6 案例1：基於OPNsense實現企業級防火牆 263

6.6.1 方案設計 263

6.6.2 部署實施 263

6.6.3 套用測試 267

6.6.4 總結分析 268

6.7 案例2：基於CheckPoint實現企業級防火牆 268

6.7.1 方案設計 268

6.7.2 部署實施 269

6.7.3 套用測試 278

6.7.4 總結分析 278

第7章 通過VPN實現遠程安全接入 280

7.1 認識VPN 280

7.1.1 VPN有什麼用 280

7.1.2 VPN的分類 281

7.1.3 VPN的特點與優勢 283

7.1.4 VPN的安全機制 284

7.2 VPN關鍵通信技術 287

7.2.1 L2TP協定 287

7.2.2 IPSec協定 289

7.2.3 MPLS協定 293

7.2.4 SSL協定 295

7.2.5 協定對比 299

7.2.6 報文分析 299

7.3 VPN的套用模式與方案 313

7.3.1 中小企業的VPN套用 313

7.3.2 跨國企業的VPN套用 315

7.3.3 政府機構的VPN套用 316

7.3.4 銷售企業的VPN套用 318

7.4 案例1：在Linux上實現L2TP協定的VPN服務 319

7.4.1 方案設計 319

7.4.2 部署實施 320

7.4.3 套用測試 323

7.4.4 總結分析 324

7.5 案例2：基於OPNsense實現PPTP協定的VPN服務 325

7.5.1 方案設計 325

7.5.2 部署實施 325

7.5.3 套用測試 328

7.5.4 總結分析 328

7.6 實踐：VPN客戶端的配置 329

7.6.1 在Windows上配置VPN客戶端 329

7.6.2 在Linux上配置VPN客戶端 332

7.6.3 在Android上配置VPN客戶端 335

7.6.4 在IOS上配置VPN客戶端 335

第8章 通過SNMP實現網路運維監控 338

8.1 認識SNMP 338

8.1.1 什麼是SNMP 338

8.1.2 SMI 341

8.1.3 MIB 342

8.1.4 SNMP的工作原理 345

8.1.5 SNMP的報文格式 347

8.2 SNMP的安全機制 353

8.2.1 SNMPv1的安全機制 353

8.2.2 SNMPv2的安全機制 354

8.2.3 SNMPv3的安全機制 356

8.2.4 SNMPv1、SNMPv2和SNMPv3的對比 358

8.3 實踐：SNMP代理配置 359

8.3.1 在Windows上開啟SNMP代理服務 359

8.3.2 在Linux上開啟SNMP代理服務 364

8.4 基於SNMP協定的監控軟體 366

8.4.1 常用的SNMP測試工具 366

8.4.2 基於SNMP的網路監控系統 376

8.5 案例1：使用Cacti構架網路監控服務 379

8.5.1 方案設計 379

8.5.2 安裝實施過程 380

8.5.3 添加對Linux系統的監控 383

8.5.4 添加對Windows系統的監控 386

8.5.5 添加對交換機和路由器的監控 388

8.6 案例2：使用QS-NSM構建網路流量監控與性能分析服務 389

8.6.1 QS-NSM簡介 389

8.6.2 實施方案 390

8.6.3 安裝實施過程 390

8.6.4 添加對Linux系統的監控 393

8.6.5 添加對Windows系統的監控 394

8.6.6 添加對交換機和路由器的監控 396

8.6.7 監控點詳解 396

第9章 學會網路分析 404

9.1 認識網路分析 404

9.1.1 給網路分析下個定義 404

9.1.2 網路分析的意義 404

9.1.3 什麼是網路分析系統 405

9.2 流數據採集 406

9.2.1 通過NetFlow實現流數據採集 406

9.2.2 通過sFlow實現流數據採集 409

9.2.3 NetFlow與sFlow對比分析 412

9.2.4 通過連線埠鏡像實現流數據採集 412

9.3 網路流量分析 413

9.3.1 網路流量監測的意義 413

9.3.2 異常流量的分析和處理 414

9.4 網路用戶行為分析 418

9.4.1 什麼是網路用戶行為分析 419

9.4.2 網路用戶行為分析的意義 419

9.4.3 網路用戶行為分析的內容 419

9.5 案例1：使用科來網路分析系統進行用戶行為分析 421

9.5.1 科來網路分析系統簡介 421

9.5.2 系統架構與工作原理 421

9.5.3 安裝與部署 422

9.5.4 系統功能 425

9.5.5 統計分析 429

9.5.6 網路分析 430

9.6 案例2：使用OSSIM實現雲數據中心網路分析 437

9.6.1 OSSIM簡介 437

9.6.2 OSSIM系統架構與工作原理 437

9.6.3 OSSIM安裝與部署 443

9.6.4 熟悉OSSIM系統 446

9.6.5 NetFlow配置 448

9.6.6 網路分析 448

參考圖書文獻 456

參考論文文獻 456