第9章企業(yè)局域網組建

主講人：姜公信第9章企業(yè)局域網的組建學習目標了解企業(yè)局域網組建方式和創(chuàng)建與管理VPN服務器。掌握網絡打印機的安裝和WindowsServer2003郵件服務器的使用。知識要點基礎知識：局域網組建方式、服務器的選擇。重點知識：創(chuàng)建與管理VPN服務器。了解知識：安裝網絡打印服務器。提高知識：IP地址規(guī)劃和子網劃分、WindowsServer2003郵件服務器的安裝配置。29.1企業(yè)局域網組建知識首先我們要學習企業(yè)局域網組建的相關知識，了解其網絡組成和模式、服務器的選擇以及IP地址規(guī)劃、子網劃分等。39.1.1企業(yè)局域網的組成企業(yè)局域網的組成和其他網絡的組成基本上一樣，包括工作站(個人PC)、傳輸介質(同軸電纜、雙絞線、光纜和無線電磁波)、服務器(包括系統(tǒng)軟件)和網絡設備(集線器、交換機、路由器等)。49.1.2網絡結構和模式的選擇目前，企業(yè)局域網一般選擇星型網絡結構，規(guī)模較大的企業(yè)局域網一般也選擇多個星型結構組成的擴展星型結構(也叫樹型結構)。一般企業(yè)局域網有下面3種模式。專用服務器模式(Server/Baseb)

客戶機/服務器模式(Client/Server)

對等模式(Peer-to-Peer)59.1.3IP地址規(guī)劃和子網劃分

IP地址規(guī)劃目前，按照慣例，局域網內部一般使用以下幾類私有地址，其地址范圍如下。A類地址：～55。B類地址：～55。C類地址：～55。

子網劃分1)利用子網掩碼進行子網劃分2)利用VLAN技術來進行子網劃分6對于0，掩碼為的地址，采用二進制的方式，計算：

該地址的網絡ID？（用二進制、十進制兩種方式表示）該子網的主機地址的范圍？（采用二進制、十進制兩種方式表示）該子網的廣播地址為多少？對于網絡ID為的A類地址，以為子網掩碼，請劃分8個子網，各個子網的網絡ID為多少？主機地址的范圍為多少？網絡拓撲結構設計平面廣域網拓撲結構平面網絡即是無層次網絡。平面廣域網拓撲結構適用于跳數(shù)少的互聯(lián)網絡，易于路由器迅速收斂，有較好的容錯性；跳數(shù)多時，平面回路結構將導致延時的增加和較高的出錯率，此時應當引入層次冗余結構。在平面結構小型局域網中，采用集線器與第二層交換機結合，或用第二層交換機替換集線器進行組網有利于減小沖突；通過第三層交換設備引入分層設計（即進行子網或網段劃分），可以減少無效廣播數(shù)量。平面結構小型局域網網狀拓撲結構能滿足較高的可用性要求。每個路由器或交換機都與其他路由器或交換機相連。任何兩個站點之間均只有一個單跳時延。使用和維護成本高；性能優(yōu)化、排錯和升級很困難；不能按特定功能優(yōu)化網絡互連設備；因為更新網絡的某個部分很困難，網絡升級也就成了問題。網絡設計要求保證每條鏈路上的廣播通信量不超過總通信量的20%。這就限制了連接到路由器的設備的數(shù)量。為了解決這個限制，可采用層次型網絡結構，因為分層設計方法限制鄰接路由器的數(shù)量。層次網絡結構層次結構優(yōu)點減輕網絡設備CPU的因廣播分組造成的中斷。進行網絡局部優(yōu)化配置，降低網絡成本。局部設計簡化，有利于維護和管理員培訓。易于規(guī)劃和擴展容易發(fā)揮互連設備的優(yōu)勢，提升網絡的綜合性能。典型的三層模型園區(qū)網絡拓撲結構VLAN與冗余LAN網段VLAN有利于將平面網絡劃分為網段集，網段間通信仍然需要第三層交換設備。物理上過于分散的VLAN會降低網絡整體性能鏈路層交換網IEEE802.1d的生成樹（鏈路冗余）中，任何鏈路的通信都指向根網橋，且任一時刻只有一條鏈路是活動的，其它可作為備用。IEEE802.1d與VLAN聯(lián)合方案可以在實現(xiàn)冗余問題解決同時進行負載均衡。VLAN概覽分段靈活性安全性3rdFloor2ndFloor1stFloorSalesHRENGAVLAN=ABroadcastDomain=LogicalNetwork(Subnet)VLAN操作SwitchAGreenVLANBlackVLANRedVLAN每個邏輯的VLAN和物理的網橋作用一致；VLAN

操作SwitchAGreenVLANBlackVLANRedVLANSwitchBGreenVLANBlackVLANRedVLAN每個邏輯的VLAN和物理的網橋作用一致；VLANS可以跨越多個交換機；VLAN

操作SwitchAGreenVLANBlackVLANRedVLANSwitchBGreenVLANBlackVLANRedVLAN

Trunk每個邏輯的VLAN和物理的網橋作用一致；VLANS可以跨越多個交換機；中繼可以傳送多個VLAN的數(shù)據(jù)；中繼采用不同的封裝來區(qū)分不同的VLANS;

FastEthernetVLAN成員模式VLAN5StaticVLANDynamicVLANMAC=1111.1111.1111TrunkVMPS1111.1111.1111=VLAN10

VLAN10Porte0/9Porte0/4ISL標識ISL中繼使VLAN穿過主干使用ASIC完成不通知客戶機，客戶機看不到ISL幀頭在交換機、路由器與交換機之間、交換機與帶有ISL網絡接口卡的服務器之間，ISL標識有效VLANTagAddedbyIncomingPortVLANTagStrippedbyForwardingPortInter-SwitchLinkCarriesVLANIdentifierISL封裝ISLHeader26BytesEncapsulatedEthernetFrameCRC4Bytes帶有ISL字頭和CRC校驗的幀支持的最大VLAN數(shù)（1024）VLAN區(qū)域BPDU位DATypeUserSALENVLANAAAA03BPDUHSAVLANBPDUBPDUINDXRESVLAN干道協(xié)議(VTP)信息系統(tǒng)廣播VLAN配置信息通過正常的管理域，維護VLAN配置的一致性在TRUNK口發(fā)送廣播支持混合介質干道(FastEthernet,FDDI,ATM)1.NewVLANAdded3.SynctotheLatestVLANInformation2VTPDomain“ICND”VTP模式ServerClientTransparent發(fā)送/轉發(fā)廣播；同步；不保存設置；創(chuàng)建VLAN;修改VLAN;刪除VLAN;發(fā)送/轉發(fā)廣播；同步；保存設置；創(chuàng)建VLAN;修改VLAN;刪除VLAN;發(fā)送/轉發(fā)廣播；不同步；保存設置；VTP的工作方式VTP幀以組播的方式發(fā)送；VTP服務器和客戶機以最新的修訂號同步；VTP通告每5分鐘發(fā)布一次，或當網絡有變化時發(fā)送；VTP幀以組播的方式發(fā)送；VTP服務器和客戶機以最新的修訂號同步；VTP通告每5分鐘發(fā)布一次，或當網絡有變化時發(fā)送；VTP工作方式1.AddNewVLAN2.Rev3-->Rev4ServerClientClient4.Rev3-->Rev45.SyncNewVLANInformation334.Rev3-->Rev45.SyncNewVLANInformationVTP修剪

通過降低不必要的泛洪數(shù)據(jù)，增加帶寬的利用率；如:A發(fā)送廣播，廣播數(shù)據(jù)僅向被分配到紅色VLAN區(qū)傳送；Switch4Switch2Switch6Switch3Switch1Port2Flooded

TrafficIs

PrunedRed

VLANPort1Switch5ABSecureMonitorTestImproveSecurityPolicy網絡安全的步驟網絡安全是以安全策略為核心的一個連續(xù)的過程.Step1:SecureStep2:MonitorStep3:TestStep4:ImproveSecureMonitorTestImproveSecurityPolicy防護網絡應用安全解決方案AuthenticationfirewallsVPNspatching停止或阻止非授權進入.SecureMonitorTestImproveSecurityPolicy監(jiān)控網絡檢測對于安全策略的攻擊Systemauditingreal-timeintrusiondetection驗證防護網絡SecureMonitorTestImproveSecurityPolicy測試網絡通過審計與漏洞掃描驗證安全策略的有效性SecureMonitorTestImproveSecurityPolicy改善網絡使用監(jiān)控、測試得到的信息，改善安全應用調整安全策略，降低安全風險四種類型的安全威脅有四種主要的安全威脅:UnstructuredthreatsStructuredthreatsExternalthreatsInternalthreats偵查在未授權下，探測、映像系統(tǒng)、服務的缺陷進入未授權下的數(shù)據(jù)操作、進入系統(tǒng)（DOS）DenialofService破壞網絡系統(tǒng)與服務偵查方法常用命令與管理工具如:nslookup,ping,netcat,telnet,finger,rpcinfo,FileExplorer,srvinfo,dumpacl黑客工具如:SATAN,NMAP,Nessus,customscriptsAccess方法破譯密碼

DefaultBruteforce攻擊管理服務

IPservicesTrustrelationshipsFilesharingAccess方法(cont.)勘查應用上的漏洞非法的輸入數(shù)據(jù)Accessoutsideapplicationdomain,bufferoverflows,raceconditions協(xié)議漏洞

Fragmentation,TCPsessionhijackTrojan木馬ProgramsthatintroduceaninconspicuousbackdoorintoahostDenialofService方法資源過載

Diskspace,bandwidth,buffersPingfloods,SYNflood,UDPbombsUnsolicitedCommercialE-mail(UCE)碎片與不可能的數(shù)據(jù)包

LargeICMPpacketsIPfragmentoverlaySameSourceandDestinationIPpacket入侵檢測能夠檢測出網絡中的攻擊網絡中有三種類型的攻擊偵查-Reconnaissance進入-AccessDOS-Denialofservice非規(guī)則的入侵檢測需要統(tǒng)計攻擊用戶的行為很難查獲這種攻擊無法定義入侵行為基于簽名的入侵檢測需要更新簽名更容易檢測

FirewallCorporatenetworkAgentUntrusted

networkAgentAgentAgentAgentAgentDNSserverWWWserverAgentAgentHost-BasedIntrusionDetection（HIDS）CSPMCorporatenetworkDNSserverWWWserverSensorSensorFirewallUntrusted

networkNetwork-BasedIntrusionDetection（NIDS）MonitoringUntrusted

networkTargetsCommandandControlSensorCSPMOperatorHackerCIDSCIDS功能顯示并記錄各類攻擊對于各種攻擊可以有三種防御措施TerminatesessionsBlocktheattackinghostCreateanIPsessionlog可以遠程配置傳感器AlarmDisplayAlarmsaredisplayedin

CSPM.AlarmLoggingAlarmscanbe

loggedonthe

Sensorandon

CSPM.LogFileDatabase顯示并記錄報警信息KillthesessionBlockattackerDenyTCPResetAutomatickillofoffending

sessionBlockingAutoormanualblock

ofoffendingIP

addressIntrusionResponseIPLoggingAutomaticcaptureofsuspicioushostornetworktrafficSessionlogSessionlogIntrusionResponse(cont.)防火墻的概念防火墻是一個系統(tǒng)或者一組系統(tǒng)，用于管理不同網絡間數(shù)據(jù)的訪問防火墻技術防火墻的操作基于以下三種技術:包過濾代理服務器ProxyserverStatefulpacketfilteringACL包過濾基于源和目的地址的數(shù)據(jù)過濾代理服務器提供防火墻內部的客戶端與外網之間的連接StatefulPacketFiltering不僅根據(jù)源與目的地址進行限制，同時根據(jù)數(shù)據(jù)包的內容進行過濾；VPN定義Virtualprivatenetwork(VPN)—用于私網之間通過公網（如internet）進行加密連接；ServerMobileuserRemotesiteAnalogISDNCableDSLCentralsiteInternetRemotesitePOPDSLcableMobilePOPExtranetConsumer-to-businessTelecommuter遠程VPN接入CentralSiteRouterInternetRemoteaccessclientororRemoteaccessVPN—用于終端用戶Site-to-SiteVPNsSite-to-SiteVPN—傳統(tǒng)廣域網的擴展IntranetDSLcableExtranetBusiness-to-businessRouterInternetPOPRemotesiteCentralsiteor基于防火墻的VPN方案IntranetExtranetBusiness-to-businessInternetCentralsiteRemotesite什么是IPSECIETF

制定的在對等體之間進行加密通信的標準用于安全通信的公開標準公開標準的框架提供數(shù)據(jù)機密性、完整性、與可靠性Perimeter

routerMainsitePIX

FirewallVPN

ConcentratorSOHOwithaCisco

ISDN/DSLrouterPOPMobileworkerwithaCiscoVPNClient

onalaptopcomputerBusinesspartnerwithaCiscorouterRegionalofficewithaPIXFirewallCorporateIPSecVPN的主要功能ConfidentialityDataintegrityOriginauthentication可信度

(Encryption)InternetThisquarterlyreportdoesnotlooksogood.Hmmm....ServerEarningsoffby15%加密類型InternetPaytoTerrySmith$100.00OneHundredandxx/100Dollars4ehIDx67NMop9eRU78IOPotVBn45TRPaytoTerrySmith$100.00OneHundredandxx/100DollarsHmmm....Icannot

readathing.Encryptionalgorithm4ehIDx67NMop9eRU78IOPotVBn45TREncryptionalgorithmDiffie-Hellman(DH)

KeyExchangeTerryAlexpublickeyA+privatekeyBsharedsecretkey(BA)InternetPaytoTerrySmith$100.00OneHundredandxx/100DollarsPaytoTerrySmith$100.00OneHundredandxx/100DollarspublickeyB+privatekeyAsharedsecretkey(AB)=4ehIDx67NMop9eRU78IOPotVBn45TR4ehIDx67NMop9eRU78IOPotVBn45TRKeyKeyEncryptDecryptRSAEncryptionKeyKeyRemote’spublickeyRemote’sprivatekeyKJklzeAidJfdlwiej47DlItfd578MNSbXoELocalRemotePaytoTerrySmith$100.00OneHundredandxx/100DollarsPaytoTerrySmith$100.00OneHundredandxx/100DollarsEncryptDecryptPaytoTerrySmith$100.00OneHundredandxx/100DollarsEncryptionAlgorithmsEncryptionalgorithmsDES3DESRSAKeyKeyEncryptionkeyDecryptionkeyPaytoTerrySmith$100.00OneHundredandxx/100Dollars4ehIDx67NMop9eRU78IOPotVBn45TREncryptDecryptDataIntegrityPaytoTerrySmith$100.00OneHundredandxx/100DollarsInternetPaytoAlexJones$1000.00OneThousandandxx/100DollarsYes,IamAlexJones4ehIDx67NMop912ehqPx67NMoXMatch=NochangesNomatch=AlterationsHashAlgorithmReceivedmessageHash

function4ehIDx67NMop9PaytoTerrySmith$100.00OneHundredandxx/100DollarsPaytoTerrySmith$100.00OneHundredandxx/100Dollars4ehIDx67NMop9Message+HashShared

secretkey

Variable-length

inputmessageShared

secretkey

Hash

function4ehIDx67NMop9PaytoTerrySmith$100.00OneHundredandxx/100DollarsLocalRemote12DigitalSignaturesPaytoTerrySmith$100.00OneHundredandxx/100DollarsInternetPaytoTerrySmith$100.00OneHundredandxx/100Dollars4ehIDx67NMop9HashalgorithmEncryptionalgorithmHashDecryptionalgorithmHashPrivatekeyPublickeyLocalRemotePaytoTerrySmith$100.00OneHundredandxx/100Dollars4ehIDx67NMop9HashMatchDataOriginAuthenticationDataoriginauthenticationmethods:Pre-sharedkeysRSAsignaturesRSAencryptednoncesHRserversInternetDataoriginauthenticationRemoteofficeCorporateOfficePre-SharedKeysAuthenticatinghash(Hash_L)+IDInformationLocalPeerRemoteRouterHashInternetComputedhash(Hash_L)HashReceivedhash(Hash_L)=Auth.Key+IDInformationAuth.KeyRSASignaturesInternetEncryptionalgorithmHash_LDecryptionalgorithmHash_LPrivatekeyPublickeyLocalRemoteHash=+IDInformationHashAuth.KeyDigitalSignatureDigitalSignature+IDInformationHashAuth.Key12DigitalCert+DigitalCertRSAEncryptedNoncesAuthenticatinghash(Hash_L)+IDInformationLocalPeerRemoteRouterHashInternetComputedhash(Hash_L)HashReceivedhash(Hash_L)=Auth.Key+IDInformationAuth.KeyIPSecSecurityProtocolsTheEncapsulatingSecurityPayload

providesthefollowing:EncryptionAuthenticationIntegrityAlldataincleartextRouterARouterBDatapayloadisencryptedRouterARouterBTheAuthenticationHeader

providesthefollowing:AuthenticationIntegrityAlldataincleartextRouterARouterBAuthenticationHeaderEnsuresdataintegrityProvidesoriginauthentication(ensurespacketsdefinitelycamefrompeerrouter)Useskeyed-hashmechanismDoesnotprovideconfidentiality(noencryption)ProvidesoptionalreplayprotectionAuthenticationdata(00ABCDEF)IPheader+dataAHAuthenticationandIntegrityRouterARouterBHashInternetRe-computedhash(00ABCDEF)IPheader+dataHashReceivedhash(00ABCDEF)=DataAHIPHDRDataAHIPHDRDatapayloadisencryptedRouterARouterBEncapsulatingSecurityPayloadDataconfidentiality(encryption)DataintegrityDataoriginauthenticationOptionalanti-replayprotectionESPProtocolProvidesESPconfidentialitywithencryptionProvidesintegritywithauthenticationRouterRouterESPHDRNewIPHDRESPTrailerESPAuthInternetIPHDRDataIPHDRDataEncryptedAuthenticatedIPHDRDataModesofUse—TunnelversusTransportmodeIPHDREncryptedESPHDRDataIPHDRDataESPHDRIPHDRNewIPHDRDataTunnelmodeTransportmodeESPTrailerESPAuthESPTrailerESPAuthAuthenticatedEncryptedAuthenticatedTunnelModeHRserversInternetTunnelmodeRemoteofficeCorporateofficeHRserversInternetTunnelmodeCorporateofficeHomeofficeIPSecProtocol-

FrameworkMD5SHAIPSec

FrameworkDES3DESDH2DH1ESPESP+AHESPEncryptionDiffie-HellmanAuthenticationChoices:FiveStepsofIPSec1.HostAsendsinterestingtraffictoHostB.2.RouterAandBnegotiateanIKEPhase1session.IKESAIKESAIKEPhase15.TheIPSectunnelisterminated.3.RouterAandBnegotiateanIKEPhase2session.IKEPhase2IPSecSAIPSecSA4.InformationisexchangedviatheIPSectunnel.IPSectunnelHostAHostBRouterARouterBStep1—InterestingTrafficExtendedaccesslistdefineswhattraffictoencryptPermit—trafficmustbeencryptedDeny—trafficsentunencryptedaccess-list101permitip

55

55HostAHostBRouterARouterBEncryptStep2—IKEPhase1HostAHostBRouterARouterBIKEPhase1:mainmodeexchangeNegotiatethe

policyDiffie-HellmanexchangeVerifythepeeridentityNegotiatethe

policyDiffie-HellmanexchangeVerifythepeeridentityIKEPolicySetsIKEPolicy15DESMD5pre-shareDH1lifetimeIKEPolicy10DESMD5pre-shareDH1lifetimeIKEPolicySetsIKEPolicy203DESSHApre-shareDH1lifetimeHostAHostBRouterARouterBNegotiatethepoliciesNegotiatesmatchingIKEpoliciestoprotectIKEexchangeDiffie-HellmanKeyExchangeTerryAlexpublickeyA+privatekeyBsharedsecretkey(BA)InternetPaytoTerrySmith$100.00OneHundredandxx/100DollarsPaytoTerrySmith$100.00OneHundredandxx/100DollarspublickeyB+privatekeyAsharedsecretkey(AB)=4ehIDx67NMop9eRU78IOPotVBn45TR4ehIDx67NMop9eRU78IOPotVBn45TRKeyKeyEncryptDecryptAuthenticatePeerIdentityPeerauthenticationmethodsPre-sharedkeysRSAsignaturesRSAencryptednoncesHRserversInternetPeerauthenticationRemoteofficeCorporateofficeStep3—IKEPhase2HostAHostBRouterARouterBNegotiateIPSecsecurityparametersIPSecTransformSetsAtransformsetisacombinationofalgorithmsandprotocolsthatenactasecuritypolicyfortrafficTransformset55ESP3DESSHATunnelLifetimeTransformset30ESP3DESSHATunnelLifetimeIPSecTransformSetsTransformset40ESPDESMD5TunnelLifetimeHostAHostBRouterARouterBNegotiatetransformsetsSecurityAssociationSecurityassociationPeeraddressSPITransformsetModeKeylifetimeSPI–123DES/SHAtunnel28800Internet

SPI–39DES/MD5tunnel28800Step4—IPSecEncryptedTunnelIPSectunnelSAsareexchangedviaanIPSectunnel.Interestingtrafficisencryptedanddecrypted.HostAHostBRouterARouterBStep5—TunnelTerminationIPSecTunnelAtunnelisterminatedByTCPsessionterminationByanSAlifetimetimeoutIfthepacketcounterisexceededRemovesIPSecSAHostAHostBRouterARouterB9.2.1創(chuàng)建VPN服務器

第一步選擇管理工具中的“路由和遠程訪問”命令，彈出如圖9-3所示的“路由和遠程訪問”窗口。第二步在“路由和遠程訪問”窗口左側，右擊服務器名“FUWUQI(本地)”，在彈出的快捷菜單中選擇“配置并啟用路由遠程訪問”命令，彈出“路由和遠程訪問服務器安裝向導”對話框，單擊“下一步”按鈕，彈出如圖9-4所示的對話框，選中“遠程訪問(撥號或VPN)”單選按鈕。909.2.1創(chuàng)建VPN服務器

第三步單擊“下一步”按鈕，選中“VPN(V)”復選框，如圖9-5所示。再單擊“下一步”按鈕，要求用戶選擇連接到Internet的網絡接口，如圖9-6所示，這里選擇“本地連接2”。919.2.1創(chuàng)建VPN服務器

第四步單擊“下一步”按鈕，確定遠程客戶端是從專用網絡上的動態(tài)主機配置協(xié)議(DHCP)服務器接收IP地址，還是從正在配置的遠程訪問VPN服務器接收IP地址。如果希望遠程訪問VPN服務器從指定的范圍指派IP地址，則必須確定該范圍。這里選中“來自一個指定的地址范圍”單選按鈕，單擊“下一步”按鈕，如圖9-7所示。929.2.1創(chuàng)建VPN服務器

第五步打開如圖9-8所示的對話框，單擊“新建”按鈕，在此可以為VPN客戶機指定所指派的IP地址范圍，比如準備指派的IP地址范圍為0～50，則按照提示分別輸入起始和結束地址，如圖9-9所示，單擊“確定”按鈕，即可返回“地址范圍指定”界面。939.2.1創(chuàng)建VPN服務器

第六步單擊“下一步”按鈕，如果打算安裝RADIUS服務器，則選擇“是，設置此服務器與RADIUS服務器一起工作”單選按鈕，否則選中“否，使用路由和遠程訪問來對連接請求進行身份驗證”單選按鈕即可，如圖9-10所示，該選項將服務器配置為使用Windows身份驗證、Windows記賬和本地存儲的遠程訪問策略，在本地對連接請求進行身份驗證。949.2.1創(chuàng)建VPN服務器

第七步單擊“下一步”按鈕，出現(xiàn)如圖9-11所示的對話框，在此可以查看摘要，然后單擊“完成”按鈕。959.2.1創(chuàng)建VPN服務器

第八步單擊“完成”按鈕后，彈出要支持DHCP消息從遠程訪問客戶端中繼到DHCP服務器，則必須使用DHCP服務器的IP地址配置DHCP中繼代理程序的屬性這樣一個對話框，如圖9-12所示。單擊“確定”按鈕，屏幕上將彈出一個名為“正在啟動路由和遠程訪問服務”的窗口，過一會兒將自動退出向導，返回“路由和遠程訪問”窗口，這樣路由和遠程訪問服務器的安裝就完成了。969.2.2用戶撥入VPN權限設置

第一步右擊“我的電腦”圖標，在彈出的快捷菜單中選擇“管理”選項，彈出如圖9-13所示的“計算機管理”窗口。第二步在“計算機管理”窗口左側展開“本地用戶和組”\“用戶”節(jié)點，在右側窗格內會列出該計算機的所有用戶，此時雙擊要授予權限的用戶名稱，如“賀全榮”，即可彈出如圖9-14所示的用戶“賀全榮屬性”對話框。979.2.2用戶撥入VPN權限設置

第三步切換到“撥入”選項卡，在“遠程訪問權限(撥入或VPN)”選項組中選中“允許訪問”單選按鈕，如圖9-15所示。單擊“確定”按鈕，返回“計算機管理”窗口，結束授予“賀全榮”用戶撥入權限的設置。用同樣的方法可以為其他用戶授予撥入權限。989.2.3連接VPN服務器

第一步在“網上鄰居”圖標上右擊，在彈出的快捷菜單中選擇“屬性”命令，彈出“網絡連接”窗口。單擊“創(chuàng)建一個新的連接”超鏈接，如圖9-16所示，彈出“新建連接向導”對話框，單擊“下一步”按鈕。第二步在彈出的“網絡連接類型”界面中選中“連接到我的工作場所的網絡”單選按鈕，如圖9-17所示。再單擊“下一步”按鈕，選擇“虛擬專用網絡連接”。999.2.3連接VPN服務器

第三步再單擊“下一步”按鈕，在彈出的對話框中輸入此連接的名稱，如“辦公室”，繼續(xù)單擊“下一步”按鈕，在彈出的對話框中的“主機名或IP地址”文本框中輸入VPN服務器的公網IP，如“93”，如圖9-18所示。1009.2.3連接VPN服務器

第四步依次單擊“下一步”按鈕和“完成”按鈕，完成對VPN客戶端的設置。此時將自動彈出連接對話框，在“用戶名”和“密碼”文本框中分別輸入VPN服務器授權的用戶名和密碼，如圖9-19所示。然后單擊“連接”按鈕，即可登錄VPN服務器。1019.3網絡打印機的使用在網絡中添加一臺網絡打印機是一個很好的解決方案，這樣局域網中其他用戶都可以使用網絡打印機來打印了。這樣既充分發(fā)揮了企業(yè)局域網的優(yōu)勢，節(jié)約了購買多臺打印機的費用，也方便了打印機的統(tǒng)一管理及維護。1029.3.1網絡打印概述網絡打印，目前一般有兩種方式，一種是計算機上安裝普通打印機，然后把該打印機在網絡中共享，其他計算機就可以使用該打印機了，我們稱之為共享普通打印機；另外一種就是使用網絡打印機，網絡打印機不需要安裝到某臺計算機中，直接接入網絡，然后網絡中的其他計算機可以使用它，我們稱之為網絡打印機。下面簡單介紹這兩種網絡打印方式。共享普通打印機

網絡打印機1039.3.2安裝網絡打印機 下面以惠普HP

2015N激光網絡打印機為例來詳細介紹安裝過程，其他品牌網絡打印機安裝方法類似。把網絡打印機和一臺計算機通過雙絞線用集線器或者交換機連接，給計算機設置一個和網絡打印機出廠默認IP能正常通信的IP地址，一般在同一個網段就可以。運行光盤中的安裝程序，這個程序既是打印機的驅動，又可以用來設置打印機IP地址等。當出現(xiàn)選擇打印機與計算機之間的連接方式的時候，選中“通過網絡”單選按鈕，然后單擊“下一步”按鈕，程序會自動檢測網絡中的打印機，當搜索到這臺打印機后出現(xiàn)如圖9-21所示的對話框，默認的IP地址為“9”。1049.3.2安裝網絡打印機 選中“Yes,installthisprinter”單選按鈕，然后單擊Next按鈕，出現(xiàn)設置IP地址的對話框，如圖9-22所示。輸入IP等信息后，單擊Next按鈕，最后單擊“完成”按鈕，網絡打印機設置完畢。此時可以將它接入網絡使用了。1059.3.3設置其他計算機網絡打印機安裝好并接入網絡后，網絡中其他需要使用網絡打印機的計算機也需要安裝光盤中的程序，這個時候由于打印機的IP地址已經改好，就不需要改動。1069.4安裝與管理WindowsServer2003郵件服務器目前，很多大型企業(yè)都需要建立屬于自己的郵件服務器來發(fā)送、接收郵件，傳遞文件。郵件服務器軟件比較多，這里以比較常用的WindowsServer2003系統(tǒng)自帶的郵件服務器為例，介紹如何安裝與管理郵件服務器。1079.4.1安裝郵件服務器

第一步選擇“開始”|“管理工具”|“管理您的服務器”命令，運行“管理您的服務器”。單擊“添加或刪除角色”選項，彈出“配置您的服務器向導”對話框。單擊“下一步”按鈕，彈出“服務器角色”界面，選擇“郵件服務器(POP3,SMTP)選項，如圖9-23所示。

108第二步單擊“下一步”按鈕，出現(xiàn)“配置POP3服務”界面，設置用戶身份的驗證方法。身份驗證方法包括“本地Windows帳戶”身份驗證和“加密密碼文件”身份驗證兩種方式，如果該計算機升級為域控制器，就會有ActiveDirectory集成的身份驗證和加密密碼文件身份驗證兩種方式，然后在“電子郵件域名”文本框中輸入電子郵件域名，如圖9-24所示。1099.4.1安裝郵件服務器

第三步單擊“下一步”按鈕，彈出“選擇總結”對話框，查看配置選項是否有誤，檢查無錯誤后，單擊“下一步”按鈕開始安裝。其中會提示將WindowsServer2003的安裝光盤放到光驅中，POP3服務組件的安裝即將開始。出現(xiàn)“正在配置組