网络故障诊断与排除实训平台培养方案.docx

培养目标： 本实训教学系统旨在培养能够熟练掌握网络故障测试命令的适用范围，掌握几种常见的网络故障排除方法，几种常见的网络命令和工具的使用方法，了解物理层、数据链路层、网络层、传输层、应用层、常见的故障现象并能够进行排除。知己知彼方能百战不殆，由人及物亦是如此。当我们真正学会并且掌握网络故障诊断与排除实训系统，可以说我们在各种网络环境下突发的问题可以做到从容不迫游刃有余的去解决！ 培养时间： 作为培训人员我们并不需要将所有实验室全部做到融会贯通，重点抓住典型实验，老师感兴趣的实验，才是关键！理解重点实验的实验原理。下面我先列出我认为的重点实验： 实验三：数据链路层（1、网卡故障诊断与排除 2、交换机故障诊断与排除 3、VLAN故障诊断与排除 4、ARP协议故障诊断与排除） 实验四：网络层故障诊断与排除（1、本地路由表故障与排除 2、路由环路故障诊断与排除 3、动态路由协议配置故障与排除） 实验五：传输层故障诊断与排除 (1、传输控制协议分析) 实验六：应用层故障诊断与排除 （1、DHCP协议故障诊断与排除 2、DNS协议故障诊断与排除 3、HTTP协议故障诊断与排除 4、FTP协议故障诊断与排除） 实验九：网络安全故障诊断与排除（1、防火墙配置故障诊断与排除 2、VPN故障诊断与排除） 以上列举了 共14个实验 学习每天做3—5个实验 可在一个3—5天完成 如果还有时间将其他实验也做下会更好的掌握。基本掌握该实训系统7天时间是足够的。当然平时也要多留心多学习与其相关的知识，做到厚积薄发。 培养方案：学习依次按照培养目的、重点知识、两部分组成（实验步骤在平台里已详细列出在这里不再赘述）。最好一边做实验一边理解实验原理，做到学习完之后清楚实验目的、懂得实验原理、掌握实验操作步骤。 一、 硬件部分： 首先我们来看一下硬件部分主要分为公共区域和实训区域； 公共区域： 1、 主控中心平台（保障网络数据流量，确保实验结构完整和试验用户数有效扩展，具备DNS，DHCP，FTP，TELNET，软件注册等服务，包含实验教学管理信息系统，它是对实验室进行教学管理的平台。可以实现实验的信息管理，设备管理，实验信息修改和流程设置等） 2、 二层交换机（这个老师接触的可能比较多，就不详细介绍了 主要是将每个实验小组连接到公共区域，形成一个局域网） 实训区域： 1、 网络设备控制器（可同时控制实验组所有设备，对其进行管理和配置。具有一键恢复功能清空所有配置项，恢复所有设备出厂设置） 2、 三层交换机（实现对数据转发、网络划分及带有路由协议知识应用） 3、 路由器（主要实现对路由协议，广域网协议实践应用） 4、 防火墙（实现对防火墙基本配置，防火墙规则，VPN配置等知识实践应用） 连线方式： 网络设备控制器（TDMS）共有2块网卡，默认我们选择使用右边的，将其连接到主控中心平台的1口（若主控中心平台的端口用完，可连接到公共区域的二层交换机任意口）上。网络控制器具有8个COM口，COM3连接到交换机1的Console口，COM4连接到交换机2的Console口，COM5连接到路由器1的Console口，COM6连接到路由器2的Console口，COM7连接到防火墙的COM口。 交换机1（简称S1）的F0/1口连接到路由器1的TP1口，F0/2口连接到路由2的TP0口，F0/3口连接到交换机2的F0/3口，F0/4口连接到交换机2的F0/4口，F0/5口连接到防火墙的PORT1口，F0/7口连接到相邻组交换机1的F0/7口，F0/8口连接到相邻组交换机2的F0/8口，F0/11连接到主机A的“本地连接2”，F0/12连接到主机B的2“本地连接”，F0/13连接到主机C的“本地连接2”。 交换机2（简称S2）的F0/1口连接到路由器2的TP1口，F0/2连接到路由器1的TP0口，F0/3口连接到交换机1的F0/3口，F0/4口连接到交换机1的F0/4口，F0/5口连接到防火墙的PORT2口，F0/6连接到防火墙的PORT3口，F0/7口连接到相邻组交换机2的F0/7口，F0/8口连接到相邻组交换机1的F0/8口，F0/11连接到主机D的“本地连接2”，F0/12连接到主机E的“本地连接2”，F0/13连接到主机F的“本地连接2”。 路由器1（简称R1）的TP1连接到交换机1 的F0/1，TP0连接到交换机2的F0/2口，SERIAL 3-2连接到路由器2的SERIAL 3-2口。 路由器2（简称R2）的TP1连接到交换机2 的F0/1，TP0连接到交换机1的F0/2口，SERIAL 3-2连接到路由器1的SERIAL 3-2口。 防火墙（简称TFW）的PORT1口连接交换机1的F0/5，PORT2连接到交换机2的F0/5，PORT3连接到交换机2的F0/6，PORT4连接到主控中心平台的2口（若主控中心平台的端口用完，可连接到公共区域的二层交换机任意口）。 主机A的“本地连接 ”连接到公共区域交换机1的F0/1，主机B的“本地连接 ”连接到公共区域交换机1的F0/2，主机C的“本地连接 ”连接到公共区域交换机1的F0/3，主机D的“本地连接 ”连接到公共区域交换机1的F0/4，主机E的“本地连接 ”连接到公共区域交换机1的F0/5，主机F的“本地连接 ”连接到公共区域交换机1的F0/6。 接下来我们来看一下软件系统： 1、 网络故障诊断与排除实训平台 2、 TDMS管理平台（一键恢复功能，正确恢复网络故障产生；下发故障保持故障产生 3、 TDMS服务平台 的秘密性） 4、 网络综合检测系统（NCMS）（对本机所在网络环境进行监测，系统提供设备管理，设备信息采集，流量性能监测，子网拓补发现以及用图表方式显示监测结果等功能） 5、 协议分析器（通过直观的会话交互图进行协议的分析和理解） 6、 故障注入脚本（可以实现软件故障的注入，比如主机故障，配置IP错误等等） 7、 TCP工具（将协议的会话还原出来，进行软件故障分析。比如QQ聊天采用的是UDP会话采用TCP，但软件会产生故障） 8、 UDP工具 了解一下软件的使用方法： 我们实训平台在虚拟机下打开，通过恢复快照的方式来进行实验教学。 1． 网络故障诊断与排除管理信息系统远程登录地址： http://主控中心平台IP/etmis。 2． 网络故障诊断与排除管理信息系统远程登录用户名：jlcss；密码： 123456。 网络故障诊断与排除管理信息系统教师操作登录用户名：teacher；密码：123456。 3． 主控中心平台本地用户名：root；密码：12345678。 4. TDMS管理平台登录IP地址 http://主控中心平台IP/tdmsbat。登录用户名：teacher；密码：jlcssadmin。 5． TDMS服务平台登录IP地址： 第1组为http://172.16.0.231/tdms 第2组为http://172.16.0.232/tdms 其他组依次类推。 6． TDMS服务平台教师操作登录用户名：teacher；密码：jlcssadmin 学生登录用户名主机A同学为hosta（主机B同学为hostb，依次类推），密码：jlcss。 7． 防火墙访问IP地址： 第1组为https://172.16.0.211:10443 第2组为https://172.16.0.212:10443 其他组依次类推。 8． 防火墙操作登录用户名：admin；密码：jlcssadmin 本地用户名：root；密码：jlcssadmin 典型实验讲解： 注意： 1、 在进行所有的实验之前教师机都应先登录到TDMS管理平台恢复实验室的初始环境，点击“环境故障搭建与故障下发”选中各组TDMS，选择相应任务练习。 2、 在何种网络结构下学生机要按照相应的网络结构配置IP地址； 实验三： 数据链路层 一、网卡故障诊断与排除 实验目的：掌握网卡故障产生的原因以及排除方法。 重点知识： 1、 网卡指示灯时亮时灭，网络连接不稳定。（一般是由频繁插拔网卡、机箱内灰尘多、网卡“金手指”严重氧化、网线接头损坏或者搬动电脑等原因造成的，上述原因逐一检查、处理即可）。 2、 IRQ中断引起的故障（将冲突的设备更换到优先级更高的PCI插槽上）； 3、 网卡参数设置不正确（需要安装TCP/IP协议、配置本机的IP地址、DNS服务器、网关地址等参数一定要配置正确）； 4、 网卡质量不好，无法自适应网速（把网卡速率默认设定自适应，改为10M状态，就可以了）。 5、MAC地址的作用：用来识别网络中用户身份 修改MAC地址：打开注册表点击“开始”/运行，输入regedit打开注册表，定位到HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Class\在其右边建一个字符串项（名为NetworkAddress），双击该串，输入你指定的MAC地址值 二、 交换机故障诊断与排除 实验目的：掌握交换机常用的配置命令，掌握交换机故障的诊断过程与排除方法； 重点知识： 1、 交换机简介：交换机是工作在OSI参考模型第二层（数据链路层）的网络连接设备，它的基本功能是在多个计算机或网段之间交换数据。 2、 交换机作用：（1）MAC地址学习（2）转发/过滤 3、 端口的链路类型：三种链路类型：Access、Hybrid和Trunk。Access类型的端口只能属于一个VLAN，一般用于连接计算机的端口；Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间的连接；Hybrid类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。 4、 广播风暴的形成原因： （1） 网络设备原因 使用集线器等共享设备进行网络互连，引起广播风暴。 网卡损坏设备网卡损坏，向网络发送大量垃圾包，引起广播风暴。 网络环路错误连接使同一台交换机的两个端口直接相连或为了配置冗余链路，在网络中形成了环路，引起广播风暴。 网络病毒一些流行的网络病毒，在网络内传播的过程中，会损耗大量的网络带宽，引起网络堵塞，引起广播风暴。 黑客软件利用某些黑客软件，如扫描网络、攻击网络，引起广播风。 （2） 解决方法: 划分VLAN隔离广播域、设备支持STP/RSTP协议、查找设备间环路、查找故障设备、病毒与黑客软件 5、 交换机镜像： 交换机镜像技术实现了网络管理员在不中断某个端口计算机连接的情况下，用连接在其它端口上的计算机监视网络流量的目的。 镜像源端口：指交换机上某个被监控的端口，在该端口上传输的数据将被完整或部分的复制一份。 镜像目的端口（监控端口）：指交换机上某个用来进行监控的端口，被监控端口（镜像源端口）的数据将被完整或部分的复制一份到该端口上。 交换机镜像注意事项： （1）镜像中的镜像源端口和镜像目的端口的速率必须匹配，否则可能会丢弃数据。 （2）镜像源端口和镜像目的端口必须位于同一VLAN内。 （3）只能有一个镜像目的端口，但可以有多个镜像源端口。 （4）可能有专用的镜像目的端口。 6、交换机基本命令简介： 输入“Tab”键可将命令补全，输入“？”可将本命令级别下的所有命令显示出来。 Switch> 用户模式 进入特权模式 Switch>enable Switch# 进入全局配置模式 Switch>enable Switch#configure terminal Switch_config# 交换机命名 Switch>enable Switch#configure terminal Switch_config#hostname S0 S0_config# 设置虚拟局域网vlan 1 Switch>enable Switch#configure terminal Switch_config#hostname S0 S0_config#interface vlan 1 S0_config_v1#ip address 192.168.0.4 255.255.255.0 进入交换机某一端口 Switch>enable Switch#configure terminal Switch_config#hostname S0 S0_config#interface fastEthernet 0/1 可以在interface后输入问号，交换机会将所有类型的端口显示出来，选择并输入所要进入的端口类型。 开启、关闭端口 Switch>enable Switch#configure terminal Switch_config#hostname S0 S0_config#interface fastEthernet 0/1 S0_config_f0/1#no shutdown启用该端口 S0_config_f0/1#shutdown关闭该端口 S0_config_f0/1#description Manager 查看命令 Switch>enable Switch#show ？显示交换机所有查看命令 Switch#show version 查看系统中的所有版本信息 Switch#show interface vlan 1 查看交换机有关ip协议的配置信息 Switch#show running-configure 查看交换机当前起作用的配置信息 Switch#show interface fastEthernet 0/1 查看交换机接口1具体配置和统计信息 保存当前配置 Switch>enable Switch#write 清除当前配置信息 Switch>enable Switch#delete 重启交换机 Switch>enable Switch#reboot 查看调试信息 Switch>enable Switch#debug ？显示交换机所有调试信息 撤销命令 输入no+“要撤销命令”可将生效命令清除掉 Switch_config#interface vlan 1 Switch_config_v1#no ip address 192.168.0.4 255.255.255.0 三、VLAN故障诊断与排除： 实验目的：掌握查询VLAN的方法，掌握VLAN故障的诊断过程与排除方法； 重点知识： 1、 VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”，VLAN是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。 2、 VLAN设置原则不要使用太多的secondary地址段、VLAN 号和端口号相对应、VLAN和端口号需要配置描述信息； 3、 VLAN故障常见解决方法 对于VLAN故障的判断定位，一般的思路是分析数据帧的转发过程，特别是数据包携带的VLAN ID的变化。看看在整个数据帧转发的过程中何时删除TAG标签，何时增加TAG标签，在删除和增加的过程中是否变化过VLAN ID。这就是我们在分析VLAN用户故障时最需要关注的几点。 3、 划分VLAN命令： 将0/12添加到VLAN 10中 S1_config#interface fastEthernet 0/12 S1_config_f0/12#switchport mode access S1_config_f0/12#switchport pvid 10 S1_config_f0/12#exit 允许VLAN 10和VLAN 20同时通过 S1_config#interface fastEthernet 0/3 S1_config_f0/3#switchport trunk vlan-allowed add 20 S1_config_f0/3#exit 三、 ARP协议故障诊断与排除 实验目的：了解ARP欺骗，掌握ARP协议故障的诊断过程与排除方法； 重点知识： 1、 ARP（Address Resolution Protocol，地址解析协议）协议是处理将目的逻辑地址转换成目的物理地址的协议。在使用TCP/IP协议的以太网中，ARP协议完成将IP地址映射到MAC地址的过程。 2、 ARP欺骗：当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。（造成大面积掉线） 3、 防止ARP欺骗： （1） 查看本机的“ARP欺骗”木马进程（结束“ MIR0.dat ”进程） （2） 网内感染“ARP欺骗”木马的计算机(查看IPconfig) （3） 设置ARP表避免“ARP欺骗”木马影响的方法（执行“ arp -s 网关IP 网关物理地址”命令） （4） ARP绑定网关 （5） 作批处理文件 （6） 使用安全工具软件（Anti ARP Sniffer） 网络层故障诊断与排除： 一、本地路由表故障与排除： 实验目的：掌握路由表命令，掌握本地路由表故障的诊断过程与排除方法； 重点知识： 1、静态路由表：由系统管理员事先设置好固定的路由表称之为静态（static）路由表，一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络结构的改变而改变。 2、动态（Dynamic）路由表是路由器根据网络系统的运行情况而自动调整的路由表。 3 、路由表结构（1）网络ID 　（2）网络ID 　（3）接口（4）跃点数 4、进入特权模式 Router>enable Router# 进入全局配置模式 Router>enable Router#configure Router_config# 路由器命名 Router>enable Router#configure Router_config#hostname R0 R0(config)# 进入路由器某一端口 Router>enable Router#configure Router_config#hostname R0 R0_config#interface fastEthernet 0/1 可以在interface后输入问号，路由器会将所有类型的端口显示出来，选择并输入所要进入的端口类型。 开启、关闭端口 Router>enable Router#configure Router_config#hostname R0 R0_config#interface fastEthernet 0/1 R0_config_f0/1#no shutdown启用该端口 R0_config_f0/1#shutdown关闭该端口 R0_config_f0/1#description Manager添加交换机端口的描述信息 设置端口IP地址信息 Router>enable Router#configure Router_config#hostname R0 R0_config#interface fastEthernet 0/1 R0_config_f0/1#ip address 192.168.1.1 255.255.255.0 查看命令 Router>enable Router#show ？显示路由器所有查看命令 Router#show version 查看系统中的所有版本信息 Router#show running-configure 查看路由器当前起作用的配置信息 Router#show interface fastEthernet 0/1 查看路由器接口1具体配置和统计信息 Router#show ip route查看路由器路由表信息 静态路由的配置 Router>enable Router#configure Router_config#hostname R0 R0_config#ip route 172.16.1.0 255.255.255.0 202.98.1.1 默认路由的配置 Router>enable Router#configure Router_config#hostname R0 R0_config#ip route default 202.98.1.2 保存当前配置 Router>enable Router#write . 清除当前配置信息 Router>enable Router#delete 重启路由器 Router>enable Router#reboot 查看调试信息 Router>enable Router#debug ？显示路由器所有调试信息 撤销命令 输入no+“要撤销命令”可将生效命令清除掉 Router>enable Router#configure Router_config#no ip address 192.168.1.1 255.255.255.0 二、路由环路故障诊断与排除 实验目的：能够识别路由环路故障的现象，理解网络中形成路由环路的原因。掌握路由环路故障的解决方法。 重点知识： 1、路由环：路由器的错误配置及网络连接不合理会导致多个路由器的路由表项连接成环。 2、排查方法：使用ping命令查环路（广播数据大量增加） 查看接口广播报文增加程度（广播报文量增加） 查看TTL方法查环路 使用trace route查环路（出现路由重复） 查看系统资源占用情况查环路 网络时断时续，不存在广播报文等现象 网络时断时续，不存在广播报文等现象 3、查看路由信息 show IP route 添加静态路由 no ip route default 相应IP（先删除）再添加 ip route 相应Ip 掩码 网关 三、动态路由协议配置故障诊断与排除 实验目的：了解RIP协议与OSPF协议的配置方法，掌握动态路由协议配置故障诊断过程与排除方法。 重点知识： 1、 RIP（Routing Information Protocol，路由信息协议）采用距离向量算法，即路由器根据距离选择路由，所以也称为距离向量协议。RIP使用单一路由metric（跳数）来衡量源网络到目的网络的距离。 特点：仅和相邻路由器交换信息；交换的信息是当前本路由器所知道的全部信息，即自己的路由表；按固定的时间间隔（30秒）交换路由信息。 2、OSPF（开放式最短路径优先）是一种典型的链路状态路由协议，区域—为了使路由选择高效，OSPF把一个自治系统划分为若干区域。一个区域包含一些网络、主机和路由器。度量OSPF协议允许管理员给每一条路由指派度量。度量是基于区分服务的。 3 、链路类型:点对点链路、转接链路、残桩链路和虚拟链路 4、OSPF运行过程 （1）建立路由器的邻接关系所谓“邻接关系”是指OSPF路由器以交换路由信息为目的，在所选择的相邻路由器之间建立的一种关系 选举DR/BDR （2） 不同类型的网络选举DR（指定路由器）和BDR（次级指定路由器）的方式不同，最高DR （3）发现路由器在这个步骤中，路由器与路由器之间首先利用Hello报文的ID信息确认主从关系，然后主从路由器相互交换部分链路状态信息 （4）选择适当的路由器当一个路由器拥有完整独立的链路状态数据库后，它将采用SPF算法计算并创建路由表（度量越小被选择可能性越大） （5）维护路由信息 5、RIP常见问题：路由器之间不通，接口上把RIP给关掉了（接口上是不是设置了undo rip work、undo rip input或undo rip output命令）、子网掩码不匹配、RIP1与RIP2区别引发故障（配置验证没有起作用、配置验证没有起作用） 6、OSPF常见故障及排查配置故障处理。 （1）是否已经配置了Router ID使用命令router id可以配置为与本路由器一个接口的IP地址相同。需要注意的是：不能有任何两台路由器的Router ID是完全相同的。 （2）检查OSPF协议是否已成功的被激活 （3）检查需要运行OSPF的接口是否已配置属于特定的区域 （4）检查是否已正确的引入了所需要的外部路由实际运行中可能经常需要引入自治系统外部路由（其他协议如BGP或静态路由）。 传输层故障诊断与排除 一、传输控制协议分析 实验目的：理解TCP协议的原理， 学会使用协议分析工具分析TCP协议 重点知识： 1、TCP（Transfer Control Protocol，传输控制协议）是TCP/IP协议栈中的传输层协议，TCP称为面向字节流连接的和可靠的传输层协议。它给IP协议提供了面向连接的和可靠的服务。TCP与UDP不同，它允许发送和接收字节流形式的数据。 2、TCP的连接建立过程叫做三次握手 （1）客户发送第一个报文，SYN报文，在这个报文中只有SYN标志置为1。这个报文的作用是使序号同步。 （2）服务器发送第二个报文，即SYN+ACK报文，其中SYN和ACK标志被置为1。这个报文有两个目的。首先，它是一个用来和对方进行通信的SYN报文。服务器使用这个报文同步初始序号，以便从服务器向客户发送字节。服务器还使用ACK标志确认已从客户端收到了SYN报文，同时给出期望从客户端收到的下一个序号。另外，服务器还定义了客户端要使用的接收窗口的大小。 （3）客户发送第三个报文。这仅仅是一个ACK报文。它使用ACK标志和确认号字段来确认收到了第二个报文。 应用层故障诊断与排除 一、DHCP协议故障诊断与排除 实验目的：理解DHCP协议的原理，掌握DHCP协议故障诊断过程与排除方法。 重点知识： 1、DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）是TCP/IP协议簇中的一种，主要是用来给网络客户机分配动态的IP地址。从服务器自动获得IP 2、DHCP服务器上的地址池使用完毕(调整IP地址数量) DHCP服务器地址池中的IP地址与固定IP地址冲突（必须采用自动分配IP地址的策略） 多个DHCP服务器导致应用服务冲突 MAC地址与IP地址绑定的问题（给主机取一个有含义的名字） 二、DNS协议故障诊断与排除 实验目的：理解DNS协议原理，掌握DNS协议故障诊断过程与排除方法 重点知识： 1、DNS（Domain Name System，域名系统）是一种能够完成从名称到地址或从地址到名称的映射系统。 2、DNS组成：域名空间和相关资源记录、DNS名称服务器、DNS解析器 3、DNS域名分类：类属域、国家域和反向域 4、DNS工作原理： DNS解析程序是客户/服务器模式的应用程序 正向解析 反向解析（有时客户会要求将IP地址映射到相应的域名，客户把IP地址发送到DNS服务器并请求服务器映射出相应的域名，这种查询叫做反向解析，也叫做PTR查询。要回答这类查询） 5、递归解析： 客户（解析程序）可以向域名服务器请求递归回答。这就表示解析程序期望服务器提供最终解答 6、迭代解析: 客户（解析程序）可以向域名服务器请求迭代回答。若服务器是这个域名的权限服务器，它就发送解答。若不是，就返回它认为可以解析这个查询的服务器的IP地址 7、DNS服务器受到网络故障的影响（检查网络，ping） DNS服务故障（使用nslookup命令测试服务器是否可以响应DNS客户端。） DNS服务器无法正确解析名称 （1）区域中的资源记录（RR）没有动态更新。 （2）手动添加或修改区域中的静态资源记录错误。 （3）从缓存的区域记录中留下的DNS服务器数据库中的旧的资源记录，没有根据当前信息更新。 DNS转发故障，设置“DNS”转发（依次选择“开始”|“程序”|“管理工具”|“DNS”选项，右击DNS计算机，在弹出的快捷菜单中选择“属性”选项。打开“转发器”选项卡，在“所选域的转发器的IP地址列表”中添加想要的转发到本地ISP的DNS服务器的IP地址。） 三、HTTP协议故障诊断与排除 实验目的：理解HTTP协议的原理，掌握WEB服务器故障诊断过程与排除方法。 重点知识：1、HTTP（HyperText Transfer Protocol，超文本传输协议）万维网客户程序与万维网服务器程序之间的交互所要严格遵守的协议。 2、IIS服务器常见故障与解决方法 故障一 不能访问WEB服务 （1）原因一：是否启动“Services.exe”服务。 解决方法：如果没有启动，应到Windows服务管理中启动该服务。 （2）原因二：Web服务器设置，Web服务器是否存在。 解决方法：检查服务器网站设置，是否存在Web页。这些文件可能会被删除，也有可能是因为网站设置的问题。 （3）原因三：设置“匿名访问和身份验证方法”。 解决方法：在“Internet信息服务”窗口中，鼠标右键相应的网站名称，在弹出的快捷菜单中选择“属性”选项。打开“网站属性”对话框，单击“目录安全性”选项卡，在该选项卡中，单击“匿名访问和身份验证控制”区域中的“编辑”按钮，即可打开身份验证方法窗口。根据需要进行修改即可 （4）原因四：匿名访问用户是否有权访问网页文档 使用NTFS文件系统，可以将某一个文件夹指定给某一个用户或某几个用户访问，而其他用户则不能访问 3、HTTP错误404 （1）所请求的文件被重命名。 （2）所请求的文件被移动位置或者被删除。 （3）所请求的文件由于维护、升级、或其他原因而暂时不可用。 （4）请求文件不存在。 （5）IIS6.0没有启用响应的Web服务扩展或MIMI类型。 （6）虚拟目录映射到另一个服务器上的驱动器的根目录。 4、Web网站建设中（需要为该Web网站设置一个默认文档） 四、FTP协议故障诊断与排除 实验目的：理解FTP协议的工作过程，掌握FTP服务器故障诊断过程与排除方法； 重点知识： 1、FTP协议，即文件传输协议，是一个用于从一台主机到另一台主机传送文件的协议，FTP用于主机间传送文件，主机类型可以相同也可以不同，还可以传送不同类型的文件，通过FTP我们可以在网络中直接传送文件利用FTP服务器在Internet上进行文件的上传和下载。 2、故障一 不能访问FTP站点 （1）所访问的服务器没有安装FTP服务。 （2）用户所使用的访问FTP站点的用户名、密码不正确。 （3）FTP站点没有“写入”权限。 （4）NTFS权限设置错误。 解决方法：正确安装FTP服务。在FTP服务器上的共享文件夹的安全用户中，添加用户登录FTP服务器所使用的用户名。 不能写入FTP站点 原因一：如果登录FTP服务器只能读取而不能写入，那可能是FTP服务器的FTP权限设置问题。 解决方法：首先要赋予FTP站点以“写入”的权限。打开FTP站点“属性”窗口，在“主目录”选项卡中，选中“FTP站点目录”选项区域中的“写入”复选框。 FTP磁盘限额 原因一：当赋予用户写入权限时，往往会导致用户权限的滥用，将大量文件保存在FTP服务器，从而导致磁盘空间迅速被占用。 解决方法：启动磁盘配额。网络管理员可以根绝公司的实际情况限制不同用户的使用空间。这样可以进一步限制用户上传文件大小，从而节省空间 网络安全故障诊断与排除 一、防火墙配置故障诊断与排除 实验目的：掌握防火墙基本配置， 掌握防火墙故障诊断过程与排除方法； 重点知识： 1、防火墙是一种位于两个或多个网络间，实施网络之间访问控制的组件集合。对于普通用户来说，所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。 2、防火墙将网络上的流量通过相应的网络接口接收上来，按照TCP/IP协议栈的7层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报本则予以阻断。 因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接>=2）转发设备。它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。 3、防火墙是网络安全的屏障、防火墙是网络安全的屏障、对网络存取和访问进行监控审计、防止内部信息的外泄 4、防护火墙的分类：包过滤型防火墙、电路网关、应用网关（路由器便是一种网络级防火墙） 5、DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施。 二、VPN配置故障诊断与排除 实验目的：掌握VPN的工作原理， 掌握VPN故障诊断过程与排除方法； 重点知识： 1、VPN是英文Virtual Private Network的缩写，可译为虚拟专用网采用隧道技术以及加密、身份认证等方法，在公共网络上构建企业网络的技术。 2、VPN的安全性 （1）用户认证 （2）进行设备确认，建立安全隧道 （3）使用安全策略 18