任务书 一、课程设计目的 《专业综合设计》课程设计就是计算机类本科专业的集中性重要实践环节之一,就是学习完该课程后进行的一次全面综合应用与巩固提升。可以培养学生理论联系实际的设计思想,训练综合运用所学的计算机网络基础理论知识,使学生能针对企事业单位的信息化建设实际需求,合理部署网络应用服务与配置相关厂商的网络产品,并为园区网的设计、实施、优化制定系统集成方案,培养良好的网络设计实施技能并为后续其她课程学习打下坚实基础。
课程设计中,要求学生按照企事业单位信息化建设对网络的实际需求出发,按照系统集成方案的规范,查阅相关解决方案与厂商资料,结合主流应用与软硬件产品,遵照国家相关技术标准,建设能实现企业业务需求的信息化网络工程项目,并以文本方式提交本课程设计报告。
在课程设计中可能用到一些教学中未涉及的知识,学生可查阅互联网,也可由教师讲授必要的内容。学生设计过程中,教师应对每一位学生的学习态度、实践能力以及进度把握等做到心中有数。
二、课程设计日期 、时间、地点 1、日期:2015 年 11 月 2 日---2016 年 1 月 26 日(周末除外) 2、时间:全天自行安排 3、地点:学院四楼机房 4、答辩时间:2015、12、7 三、注意事项 1、允许并鼓励同学之间相互讨论。
2、允许参考文献、网络上的资源,但严禁全盘复制。
3、严禁旷课,有事凭辅导员批准的假条请假。。
4、保持机房卫生,保持工作环境清洁,每天安排 3 名同学值班打扫卫生; 5、爱护机房设备,如有损坏照价赔偿。
四、课程设计要求 ( ( 一) ) 选题要求
1.分组后,每组完成教师指定的一个题目,承担同一题目开发任务的小组成员,每人所从事的网络建设与系统集成方案应有明确分工,不可有重复部分。
2.本次设计提供 3 个题目供同学练习。分工后,不允许自行调换。
3.课程设计要求独立完成,不得抄袭。发现抄袭行为成绩一律记零分。
4.课程设计结束时,需每人提交《课程设计报告》一份(学生提交课程设计报告时需要到学校教务统一购买牛皮纸封面)。课程设计报告以 word 编辑,A4 纸打印,装订后提交。同时提交程序源代码的电子文档(以 学号+ 姓名命名)。
( ( 二) ) 设计要求
1.设计方案能满足企业业务增长的实际需求,所选软硬件产品应为市场主流产品,技术符合实用性、先进性、开放性、安全性、可扩展性等。
2.体现网络分层,分模块的设计思想。
3.输出要求:
1) 了解企业业务发展对网络实际需求分析; 2) 利用 VISIO 或其她软件设计规划企业网络拓扑图; 3) 选择业界主流软硬件产品,了解性能参数,功能特征 4) 合理 IP 地址规划 5)符合综合布线相关的国际标准
6)交换机、路由器、防火墙的配置 7)应用服务的部署 4.必须有各模块相关功能实现的验证结果。
( ( 三) ) 设计报告格式
写设计报告(要求正规打印,A4 幅面),内容包括: 1.封面( 在教学管理部统一购买) 2.Linux RHCSA 及 RHCE 基础&安全系统设计 课程设计任务书 3.前言,需求分析 4.概要设计 5.网络设计拓扑结构图 6.IP 规划 7.产品选型及主要功能 8.主要调试配置命令 9.应用服务的功能配置 10 .设计总结
五、课程设计评分标准:
(1)课程设计完成情况 30 分;
(2)课程设计报告 30 分; (3)课程设计符合系统集成方案 20 分 (3)课程设计验证总结 20 分。
前 言
因为计算机、通信与多媒体技术的不断迅速的发展,让网络上的应用变得更加丰富。对校园网络提出进一步的要求就是为了满足多媒体教学与办公管理等方面的需求。为了适应当前网络技术的发展趋势并满足学校各方面的应用需求,一个高速、先进且可扩展的校园计算机网络就是必不可少的。高性能、高可靠性、扩展性好的网络解决方案,就是培养先进人才的教育基石般的学校所迫切需要的。
本设计分析了校园网的多方面需求与应用特点,为校园网的建设提供了一套详细的设计方案。本校园网设计的具体方法:首先分析校园网现状及需求,并根据建筑物分布,确定网络总体设计方案,再进行详细设计:即设计网络拓扑结构、VLAN 与 IP 子网的划分、交换机配置、设备选型与设备清单,进行校园网的综合布线及综合布线的测试与验收,最后就是网络管理与校园网的安全设置。
本论文先阐述校园网发展现状与需求,了解建筑物分布,然后进行信息点分析,再进行网络总体规划及拓扑图,IP 地址的划分,设备选型,校园网的综合布线,综合布线测试与验收,网络管理与网络安全,较系统地对本设计进行了一个描述。
关键词:校园网、网络设备、协议 目录
一、需求分析---------------------------------------------02 1、1
公司 Internet 应用及发展需求-------------------------02 1、2
网络技术需求----------------------------------------02 1、3
网络管理需求----------------------------------------02 1、4
网络安全需求---------------------------------------03 二、 概要设计---------------------------------------------04
1、设计原则----------------------------------------------04 2、拓扑结构-----------------------------------------------04 3、网络连接示意图----------------------------------------05 4、IP规划-------------------------------------------------05 三、设备选型---------------------------------------------06 四、数据库服务器与应用服务器配置--------------------------07 1. 数据中心服务器功能与配置-----------------------------08 2. 服务器操作系统介绍与安装-----------------------------08 3. Web 服务器功能与配置----------------------------------09 4. 创建虚拟主机站点--------------------------------------09 5. Email 服务器功能与配置-----------------------------12 6. FTP 服务器功能与配置----------------------------------13 五、主要功能的配置及测试------------------------------14 1. 功能测试----------------------------------------------15 (1)
VLAN 的划分--------------------------------------15 (2)
DHCP 功能实现---------------------------------------15 (3)
NAT 功能实现---------------------------------15 (4)
VPN 功能实现---------------------------------15 (5)
无线功能的实现------------------------------------15 六、 设计总结------------------------------------16
参考文献------------------------------------16 一、
需求分析及设计原则
院办、教务处、学工处、人事处、后勤处及财务处在内的局域网(LAN)部分都就是本校园网的工程设计范围。硬件网络平台的建设与相应软件系统的应用则属于内部局域网的建设范畴。
为了使校园内的各部门与家庭不仅能访问校园网的内部信息,同时也可以访问 WWW 信息,校园网的内部主要就是根据 Intranet 模式来构建网络。这就要求网络应该具有较好的实时性,并且能按建筑物划分成若干虚拟子网(VLAN)。
要使校园网的通讯与资源共享能建立在更便捷、更安全的基础上,校园网的体系结构必须能支持以 INTRANET WEB 的访问与应用,还要能支持 E-Mail、FTP方面的应用,这其中包括有条件性的与有管理性的访问 INTERNET。以下就是各建筑物的不同需求情况分析: 1、 院办需求 办公楼实现办公自动化,这不仅提高了办公效率,同时也实现日常办公无纸化、减少办公开支。还可以通过校园内部网管理人事、学籍、后勤、财务、公文收发、教师档案、学生档案、科技档案等。
2、 教务处需求 用网络安排教学工作的部门,如排课表调课,成绩管理,监督老师上课,评估教学质量,组织考试,学籍管理都就是教务处的职责。
3、 学工需求 主要负责学生工作的部门,包括学生政治思想的教育、行为规范的管理、成长成才、招生录取、就业指导等方面工作 4、后勤需求 高校校园宿舍网络满足学生上网查找资料、聊天以及娱乐等应用外,还对学校信息化工作起到了重大的推动作用。宿舍区的网络构架完善了校园网的信息管理系统,使学校与外界的距离减短了。
5、 人事需求 管理学校的人事工作,具体包括:人员的转正定级、工资晋升、职称评定、人员配调、人才引进、人员培训等等。
6、 财务处需求 主要为学生缴费,院内支出费用,其次也为后勤工作提供管理平台。
主要提供以下几种功能: 1、 WWW 信息浏览服务:校园内用户通过 WWW 上网浏览信息,学校则通过学校的网站对外为其宣传与为不同网上用户提供各类信息咨询服务,也可为学校的内部管理工作提供方便。
2、 基于网络的管理信息系统:现代化的校园网络管理,提升了学校的教育管理水平。外界可以访问学校网站查询所需信息,但就是有些学校内部的系统只有校园内部有权限的人员才可以进去,比如:财务管理系统、教务师生管理系统、办公自动化系统。
3、 传输文件:利用 FTP 服务提供的各种资源及技术文件的上传与下载,这其中包括教师在教学时所需的资料,不同学校之间的关于科研学术方面的交流,国家相关部门发布的学校所需的文件资料,以及学生与老师索取的学习资料等等。
4、E-mail:针对校园内部用户,提供的邮件服务就是教师教学、科研、日常的工作管理、老师间的学术交流,师生间的学问讨论。针对校园网内部用户与外界之间提供的邮件服务主要就是业务来往。
二、
概要设计 校园网建设不仅有助于加强校园的管理性,实现科研与教学的科学化,同时也就是学校的 INTERNET 应用向纵深发展的基础。针对我校的实际情况,在系统网络的构架中应要遵循以下原则: 1、 实用性原则:对用户请求做出迅速的响应,为客户端可提供的服务就是不间断的,这就要求校园网具有很高的实用性。
2、 网络的可监控性与可管理性原则:在保证网络能透明管理的基础上,需要定期的更新优化网络,这就要求有良好的网络管理与监控系统。
3、 开放性与标准化原则:网络系统的设计需要走标准化道路,遵照国际标准(如 ISO,CCITT,IEEE)、国家标准、工业标准(如 TCP/IP 等)来构建。
4、 安全性与可靠性原则:对每个学校来说,它还未公开的决策、财务方面的资料等一些重要数据及各个学科资料的安全性与保密性就是很重要的。因此,在设计网络时,出了要考虑各种外界干扰外,在各个环节提供安全措施就是很有必要的。而且为了确保网络的可靠营运并能及时排除故障,就需要采用冗余路由与备份设备,来对网络进行实时监控。
5、 投资保护性原则:保护原有的投资,即能有效地利用原有的计算机设备、通信设备、线路,各种应用软件与学术资料 6、 面向高速化与宽带需求原则:综合网络的设计要综合考虑单一的文本应用迅速向文本、语音、图形、视图综合服务发展与网络的需求日趋高速化与宽带化这方面的因素,在充分考虑向这些新技术迁移的因素后,尽可能采用既新又成熟的成果的技术设计出一套可行方案。
三、 拓扑结构
1、在公司总部局域网的的设计上,本方案采用了分布式交换网络设计方案,具有清晰的分层模型:接入层、汇聚层、核心层。在这种方案中,充分考虑了各个主机的流量需求,关键设备实现冗余备份,路由技术与交换技术有机结合,为企业构建一个高速、稳定、可靠的多业务实施解决方案 在局域网拓扑结构方面,本方案选用了星型结构,这种拓扑结构网络的基本特点主要有如下几点:
(1)
它所采用的传输介质一般都就是采用通用的双绞线,这种传输介质相对来说比较便宜,这种拓扑结构主要应用于 IEEE 802、2、IEEE 802、3 标准的以太局域网中; (2)节点扩展、移动方便:
节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可,而要移动一个节点只需要把相应节点设备移到新节点即可,而不会像环型网络那样“牵其一而动全局”;
(3)
一个节点出现故障不会影响其它节点的连接,可任意拆走故障节点;
(4)
任何一个节点发送信息在整个网中的节点都可以收到,这在网络方面存在一定隐患,但这在局域网中使用影响不大。
2、 网络连接示意图
3 、IP 规划 根据用户数量,这里使用了私有 IP 地址集 172、16、、x、x,并使用 24 位子网掩 码即 255、255、255、0。同时为了便于管理,将公司的五个部门划分了为了五个网段,每个网段在一个 vlan 中。为将来用户数量的扩展及规范网络地址规划为分公司分别留出了部分网段。具体划分如下: IP 规划为了方便管理与路由汇总: 院办 IP 规划为:
172、16、1、0/24 教务处 IP 规划为:172、16、2、0/24 学工处 IP 规划为:172、16、3、0/24 后勤处 IP 规划为:172、16、4、0/24
人事处 IP 规划为:172、16、5、0/24 财务处 IP 规划为:172、16、6、0/24 四、 设备选型 1、接入层选型
接入层选用了华为的 S2700 系列智能二层交换机,为主机提供 100Base-T 线缆接入,主机可依据部门、楼宇、楼层划分 VLAN,服务器通过千兆链路连接到核心交换机,保证服务器的带宽。
2、汇聚层选型 汇聚层设备可选用两台华为 S3700 系列安全智能三层交换机,与接入层交换机分别互连,提供主备链路,确保可靠性,对于数据流量大的网段,也可以同时应用链路聚合技术,保证带宽,电缆线选用千兆光纤链路连接到接入层设备。可以在三层交换机上实施路由策略配置,合理规划子网地址,路由协议配置,实施安全访问控制、QoS、流量分类、VLAN 聚合与路由。
3、核心层选型 核心层应该保证足够的带宽,快速数据传输。设备可以选用华为的 S6700 系列高端多业务路由交换机做为三层交换机,与汇聚层交换机与服务器区采用千兆链路连接。总公司使用的路由器为 AR46 系列智能业务中心路由器。可采用百兆光纤或者电缆接入 Internet。
4、服务器选型 数据库服务器与应用服务器作为企业内部较为重要的应用服务器之一,将对企业的日常生产与管理起着极为重要的作用,些服务器的性能与稳定性将在一定程度上影响企业的日常生产与管理,据库服务器与应用服务器的选型将主要考虑 在满足现有应用需求的前提下,分考虑以后的可扩展性,适应中小企业快速发展的需要,分保护用户的投资。在该物流中,我们选择 dell 的服务器,来搭建数据库服务器以及应用服务器。
5、防火墙选型
防火墙的建设主要在于规则的设置,现代较为流行的防火墙规则设置的策略就是将防火墙的默认规则设置为全部禁止,然后根据实际情况再打开正常的连接。
主要防止未授权的用户非法访问内部网络。
6、无线设备选型 WLAN 叫做无线局域网,就是相当便利的数据传输系统,它利用射频的技术,使用电磁波,取代旧式碍手碍脚的双绞铜线所构成的局域网络,在空中进行通信连接,使得无线局域网络能利用简单的存取架构让用户透过它,达到“信息随身化、便利走天下”的理想境界。在该物流中心中,我们的无线控制器选择华为AC6005,无线设备选择华为 AP 6310SN-GN 。
7、系统灾备方案
企业网络化信息系统建立起来后,服务器上存储有企业赖以生产与管理的大量数据,旦因为硬件故障、人为破坏或非人为因素如火灾等导致这些数据丢失,会对企业造成不可估量的损失,此应该建立比较完善的数据备份与灾难恢复体系。
8、设备选择 本次设计主要使用的交换机型号:接入层 Quiway S2700-26TP-PWR-EI(AC)、汇聚层华为 S3700-28TP-SI AC、核心层华为 S6700-24-EI。路由器:华为 Quiway AR46-20、无线控制器:华为 AC6005、无线 AP: 华为 AP 6310SN-GN。
以下为各交换机与路由器具体参数:
五、 数据库服务器与应用服务器配置
设备 型号 数量 ADSL 租用网通线路1条2兆 1条 服务器 HP ProLiant ML350e Gen8(C3F91A) 3台 路由器 CISCO 2921/K9(ADSL 宽带路由器) 路由器类型:集成多业务路由器。固定的局域网接口: 模块化;串行控制台端口,串行辅助端口,USB 控制台端口 1台 交换机 TG-NET S2000-24G-2F 40台 交换机 华为 S2700-26TP-EI(AC)二层交换机 30台 交换机 华为 S2700-9TP-EI(AC)二层交换机 22台 交换机 华为 S2700-52TP-EI(AC)二层交换机 3台 交换机 华为 S2700-18TP-EI(AC)二层交换 37台 交换机 华为 Quidway S9303 三层交换机 传输速率:10Mbps/100Mbps/1000Mbps 3台 网卡 D-Link DFE-690TXD 网卡10/100Mbps PCI 19109 个 光纤 6芯多模62、5室外非金属防水光缆 3000米 双绞线 超5类 UTP 线 50包 信息模块 TCL 超五类免打线式 RJ45信息模块 5087 配线架 超5类 40个 配线架 24口光纤配线架 15个 防火墙 神州数码 DCFW-1800S(VPN) 企业级防火墙/网络吞吐量100 Mpps/用户数限制400 2个
对企业的日常生产与管理起着极为重要的作用,这些服务器的性能与稳定性将在一定程度上影响企业的日常生产与管理,数据库服务器与应用服务器的选型将主要考虑在满足现有应用需求的前提下,充分考虑以后的可扩展性,以适应中小企业快速发展的需要,充分保护用户的投资。
应用服务的功能与配置 1、数据中心服务器功能与配置
MySQL 就是一个小型关系型数据库管理系统,开发者为瑞典 MySQLAB 公司,在2008 年 1 月 16 号被 Sun 公司收购。MySQL 被广泛地应用在 Internet 上的中小型网站中。由于其体积小、速度快、总体拥有成本低,尤其就是开放源码这一特点,许多中小型网站为了降低网站总体拥有成本而选择了 MySQL 作为网站数据库。
安装步骤:
rpm -qa |grep -i mysql
rpm -e mysql-devel-3、xxx
rpm -e mysql-3、23、xxxx
rpm -e mysql-server-3、23xxxx 2、服务器操作系统介绍与安装
Centos 就是 Linux 发行版之一,它就是来自于 Red Hat Enterprise Linux 依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码,因此有些要求高度稳定性的服务器以 Centos 替代商业 Red Hat Enterprise Linux 使用。两者的不同,在于 Centos 并不包含封闭源代码软件。
Centos 的特点 a) 可以把 centos 理解为 Red Hat AS 系列!它完全就就是对 Red Hat AS进行改进后发布的!各种操作、使用与 RED HAT 没有区别! b) centos 完全免费,不存在 RED HAT AS 需要序列号的问题。
c) Centos 独有的 yum 命令支持在线升级,可以即时更新系统,不像 RED HAT 那样需要花钱购买支持服务! d) Centos 修正了许多 RED HAT AS 的漏洞 安装步骤 在给服务器安装操作系统有多种方法,例如:光盘安装(DVD 安装)、U 盘安
装,以及 UEFI 安装。
以下描述 DVD 安装 Centos 系统的详细步骤 (1)、把刻录好的光盘放到服务器 CD-ROM、以 CD-ROM 启动、就会瞧到如下Centos 欢迎画面,按回车继续安装。
(2)、接着系统会问就是否测试安装光盘,一般按"Skip"即可。
(3)、等一会,进入图形安装界面,直接按"Next"、 (4)、选择语言,选简体中文、按"Next"。
(5)、键盘配置,默认即可。
(6)、鼠标配置,默认、 (7)、安装类型,选择"服务器" (8)、磁盘分区设置,建议选择"自动分区"、如有需要可以选择手工分区、手工分区方法,"用 Disk Druid 手动分区",新建分区,系统类型为"swap",大小设置为256(一般为内存的两倍),"固定大小",确定;再新建分区,挂载点"/",文件系统类型"ext3","使用全部可用空间"、 (9)、选择删除系统内的所有分区、 (10)、磁盘设置,默认、期间可能会警告提示,按确定继续、 (11)、引导装载程序配置,默认、 (12)、网络配置、 点击"编辑",会弹出"编辑端口 eth0",不选择"使用 DHCP进行配置",按实际情况填写 IP 与掩码、点击"确定"、回到"网络配置"界面,选择"手动设置","其她设置"的"网关"与 DNS 按实际情况填写、 (13)、防火墙配置,选择"无防火墙"、 (14)、语言支持与时区选择,都默认设置就可以了、(如果选择中文,可能有部分地方会出现乱码,所以还就是建议大家用英文) (15)、设置口令、输入一个不少于六位的口令、并在"确认"那里重新输入一次、记下您的口令,以后登陆系统要用到该口令、 (16)、选择软件包组,默认设置或者选择"最小安装"都可以、建议选择开发工具前两项、以后使用的时候就方便一些,安装一些软件要用到、 (17)、设置完毕,可以开始安装了、安装过程为 30-60 分钟、
3、Web 服务器功能与配置 Apache 就是世界使用排名第一的 Web 服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台与安全性被广泛使用,就是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。
安装步骤: (1)、tar -zxvf xxx、tar、gz
解压拆开用 tar 工具打包与用 gzip 压缩的包
httpd-2、0、59、tar、gz
源码包(解压,编译)
源码包的配置编译安装 /configure--prefix=/usr/local/apache2--enable-so--enable-rewrite make install /usr/local/apache2/bin/apachectl restart
如果之前配置过 RPM 的 apache,需要 service httpd restart apachectl -t
测试 httpd、conf 的语法
conf--配置文件的目录
htdocs--网页文件的主目录 apachectl configtest
检测配置文件的语法正确性 (2)、grep -v "" /etc/httpd/conf/httpd、conf
过滤开头的行 ServerRoot
服务器的根目录(配置文件)
ServerAdmin
服务器的管理员邮箱 ServerName
服务器的主机名 DocumentRoot 网页文档的根目录 建立系统用户个人主页,对 httpd、conf 中“ UserDir public_html”设置到/home/zhang3 $chmod o+x
更改用户自己主目录的权限 $mkdir public_html 建立自己的网页目录并建立网页文件
4 创建虚拟主机站点 (1)、 rpm -qa |grep httpd
查询 httpd 包就是否安装
rpm -ivh httpd-xxxx
执行安装
service httpd restart 启动服务
vi /etc/httpd/conf/httpd、conf
主配置文件 (2)、配置 DNS 装包,启动服务,修改配置文件/etc/named、conf---新增 sohu、com 与 sina、com 两个正向区域,在相应的区域文件中指明区域文件名,到/var/named/chroot/var/named 复制 localhost、zone 生成 sohu、com 与 sina、com 的区域记录文件 (3)、修改 httpd 的主配置文件/etc/httpd/conf/httpd、conf
建立虚拟主机的相关信息 NameVirtualHost 192、168、2、101:80 <VirtualHost 192、168、2、101:80>
ServerAdmin
DocumentRoot
ServerName
ErrorLog
</VirtualHost>
<VirtualHost 192、168、2、101:80>
ServerAdmin
DocumentRoot
ServerName
ErrorLog
</VirtualHost>
再到指明的路径下建立相对应的网页的主目录,在主目录中建立测试页面
建立用户私有网页:($ll 、 -d 查瞧当前目录权限
$chmod g+x 、) 在/etc/httpd/conf/httpd、conf 中---userdir disable(注释掉) 启用 userdir public_html(355 与 362 行) 建立某用户,在该用户主目录中建立 public_html 及首页文件 xx、html,修改用户主目录权限为 711 以上, 目录访问的限制 Alias /dir/ "/var/"
设置访问目录的别名,访问时用 <Directory "/var/">
Options Indexes FollowSymLinks
允许目录索引与链接索引
Order Allow,Deny
允许或拒绝的顺序
Allow from all
AllowOverride All
允许覆盖
<Files "hello、html">
设置目录下的文件访问权限
Order Deny,Allow
Deny from all
</Files>
Deny from x、x、x、x
限制某网段或域名,主机 IP </Directory> 文件访问的限制 <Files "hello、html">
Order Deny,Allow
Deny from all </Files> < \、(gif|jpe?g|png)$>
限制图片不能被访问
Order Deny,Allow
Deny from all </> 需要密码访问的网页--该服务不要与虚拟主机同时配置 <Directory "/var/">
需要验证的目录 AllowOverride None
如果改成 Authconfig,需要在以上目录中生成、htaccess Order allow,deny Allow from all Authname "jamond"
登录对话框的提示文字 AuthType Basic
对用户认证的类型 AuthUserFile "/var/"
口令文件的存放位置 Require valid-user/user osmond jason 允许访问的用户名 </Directory> 先在/var/下创建 jamond 文件;再用 htpasswd -c jamond(认证口令文件名)jason(用户)创建第一个用户用-c,否则覆盖,将口令文件的属主改为 apache chown apache、apache jamond service httpd restart 5、验证 windows:利用 IE 输入域名或 IP
Linux
利用 mozilla 浏览器验证 虚拟主机方法:(一个物理服务器上存放多个完全独立的网站内容) (1)、一个 IP 对应一个独立域名: 例:172、16、1、100-
172、16、1、200-
vi /etc/httpd/conf/httpd、conf 添加 <VirtualHost >
serveradmin xxxx
documentroot /
servername
errlog xxxx </virtualhost> (2)、一个 IP 对应多个独立域名: 例:172、16、1、100--
172、16、1、100-- vi /etc/httpd/conf/httpd、conf 添加 NameVirtualHost 172、16、1、100:80 <VirtualHost >
serveradmin xxxx
documentroot /
servername
errlog xxxx </virtualhost> (3)、一个 IP 通过不同的端口号对应不同的站点 例:172、16、1、100:80----
172、16、1、100:8000--
172、16、1、100:9000-- vi /etc/httpd/conf/httpd、conf 添加 Listen 8000
Listen 9000 lynx
在文本方式下浏览网页 6、Email 服务器功能与配置
sendmail 就是最重要的邮件传输代理程序。理解电子邮件的工作模式就是非常重要的。一般情况下,我们把电子邮件程序分解成用户代理,传输代理与投递代理。
(1)、配置 DNS 服务
装包
rpm -ivh bind-xxxx 修改配置文件 Vi /etc/named、conf, 启动服务 service named restart,chkconfig --level 35 named on 验证语法与查询 ping/nslookup/hosts/dig
named-checkconf
检查区域配置语法就是否正确
named-checkzone +正,反向区域
区域内部的文件记录就是否正确
(2)、安装 sendmail 服务对应的包
rpm -ivh sendmail-cf
rpm -ivh sendmail-doc
rpm -ivh sendmail-devel
(3)、修改/etc/mail/local-hosts-name 文件,添加本区域名称,如 abc、com
因为/etc/mail/sendmail、cf 行数太多,语法复杂,一般不直接修改,改
成只修改/etc/mail/sendmail、mc 文件中的三行
105 行
127、0、0、1--->0、0、0、0 (或本机 IP)
48,49 行
去掉行首的 dnl(如果一行前后有 dnl,说明本行被注释) 需
要邮件认证 (4)、m4 sendmail、mc > sendmail、cf
编译重生成 sendmail、cf 文件
service saslauthd restart
启动邮件用户身份审核功能
service sendmail restart
启动邮件服务器
(5)、建立邮件服务的组与用户账号
groupadd mailgroup
新建组
adduser -g mailgroup -s /sbin/nologin mike
添加用户
passwd
mike
groups mike
查瞧 mike 所属的组 (6)、别名与群发
vi /etc/aliases 先写别名,再写真实名
群发的多个用户用“,”隔开
如:abc:abc@yyy、com、cn
用户移动到另一个邮件域
john:john@otherserver、com、REDIRECT
退回并通知用户域已改
user1 想让发给自己的邮件转给 user2@domain、com,但又不想建立全局的用户别名文件,可在用户自己的主目录下建立 、forward 文件添加一行 user2@domain、com
list:
:include:/etc/mail/mailinglist
newaliases
刷新 aliases 文本中添加的记录,修改/etc/aliases、db (7)、设置转发来自信任网络的邮件
加入允许的网段或域名如 192、168、1
vi /etc/mail/access
relay
允许转发
reject
拒绝转发
discard 抛弃
刷新/etc/mail/access 中添加的记录
makemap -r hash /etc/mail/access、db</etc/mail/access
(8)、安装 dovecot 包
system-config-packages
调出软件包的安装界面
vi /etc/dovecot、conf
开启 pop3 服务
修改 protocols = imap imaps pop3 pop3s
service dovecot restart
重启 dovecot 服务 查验 dovecot 服务就是否正确
chkconfig --level 35 dovecot on
netstat -ntpl | grep 110
六 、P FTP 服务器功能与配置
FTP 就是 Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于 Internet 上的控制文件的双向传输。同时,它也就是一个应用程序(Application)。基于不同的操作系统有不同的 FTP 应用程序,而所有这些应用程序都遵守同一种协议以传输文件。在 FTP 的使用当中,用户经常遇到两个概念:"下载"(Download)与"上传"(Upload)。
启动 /etc/rc、d/init、d/vsftpd restart 1、配置基于本地用户的访问控制 (1)限制指定的本地用户不能访问,而其她本地用户可以访问 userlist_enable=YES userlist_deny=YES userlist_
只有其中指定的本地用户不能访 问 FTP 服务器 2、限制指定的本地用户可以访问,其她本地用户不能访问 userlist_enable=YES userlist_deny=NO userlist_
(2)、建立虚拟用户口令库文件 vi /etc/vs
奇数行:用户名
偶数行:密码 (3)、生成 vsftpd 认证文件
(/etc/pam、d/vsftpd ) rpm -ivh db4-utils-4、2、52-7、1、i386、rpm db_load -T -t hash -f logins、txt /etc/vs chmod 600 /etc/vs (4)、建立虚拟用户所需的 PAM 配置文件 vi /etc/pam、d/vs
新创建模板文件
auth required /lib/security/pam_userdb、so
db=/etc/vs account required /lib/security/pam_userdb、so
db=/etc/vs (5)、建立虚拟用户所要访问的目录,设置权限(用来保存所要的虚拟用户) useradd -d /home/ virtual
无需给 virtual 用户设口令 chmod 700 /home/ (6)、设置 vs 配置文件 guest_enable=yes
新增行 guest_username=virtual
新增行 pam_service_name=vs
修改行 (7)、设置不同虚拟用户的不同权限(为每个虚拟用户建立独立的配置文件)
在 vs 中添加用户配置文件目录 user_config_dir=/etc/vs
建立用户配置文件目录 mkdir /etc/vs
为虚拟用户建立单独的配置文件 /etc/vs
anon_world_readable_only=no
浏览目录与下载文件
anon_upload_enable=yes
anon_mkdir_write_enable=yes
anon_other_write_enable=yes /etc/vs
anon_world_readable_only=no
浏览目录与下载文件
anon_upload_enable=no
anon_mkdir_write_enable=no
anon_other_write_enable=no service vsftpd restart 2、配置基于 IP 的虚拟 FTP 服务器 (1)、为网卡设置多个 IP
192、168、1、1--原
192、168、1、2--新增 cp ifcfg-eth0 ifcfg-eth0:0
netconfig -d eth0:0 (2)、建立虚拟 FTP 服务器目录 mkdir -p /var/ 或 chmod -R 755 /var/ftp2
chown -R root:root /var/ftp2
mkdir -m 755 /var/
chown
/var/ (3)、创建虚拟服务器匿名用户所映射的本地用户 FTP2 useradd -d /var/ftp2 -M ftp2 或 useradd -d /var/ftp2 -s /sbin/nologin ftp2 (4)、修改原运行的服务器配置文件/etc/vs,添加主服务器 IP listen_address=192、168、1、1 (5)、复制生成虚拟服务器的主配置文件 vs cp /etc/vs /etc/vs vi /etc/vs
删除允许匿名用户访问,添加
listen_address=192、168、1、2
设定虚拟服务器的 IP
使虚拟服务器匿名用户映射到本地用户 ftp2
local_root=/var/ftp2
service vsftpd restart
系统检测到有两个 FTP 配置文件,启动两个
vsftpd 进程,根据不同配置文件提供不同服务 七 、主要功能的配置及测试
基于我们对整个需求了解与分析,在校园网中,对所有的用户数据通过接入层时,使用 AAA 认证,在校园网内部使用 radius 服务器管理帐号密码。对于整个网络项目中网络设备的配置主要包括二层交换、三层交换与路由三个部分。
1、 在核心交换机上的配置如下: 在 S9303 核心交换机上创建 VLAN,在交换机之间采用 VTP(vlan trunking protocol)对 VLAN 信息进行传递。在进行 VTP 配置之前,需要对所有交换机之间的链路使用 trunk 封装模式,以使得交换机之间能够交互不同 vlan 之间的数据。
2、 交换机互连的端口进行 trunk 封装: S9303-1(config)#interface fastEthernet 0/10 S9303-1(config-if)#switchport trunk encapsulation dot1q
S9303-1(config-if)#switchport mode trunk S9303-2(config)#interface fastEthernet 0/10 S9303-2(config-if)#switchport trunk encapsulation dot1q
S9303-2(config-if)#switchport mode trunk C2960-1(config)#interface fastEthernet 0/10 C2960-1(config-if)#switchport mode trunk C2960-2(config)#interface fastEthernet 0/10 C2960-2(config-if)#switchport mode trunk C2960-3(config)#interface fastEthernet 0/10 C2960-3(config-if)#switchport mode trunk 查瞧 trunk 封装就是否成功可采用 show interface trunk 命令
3、在 S9303-1 核心交换机上创建 VLAN,以供其她交换机通过 VTP 学习 VLAN 信息,创建 vlan 有两种方式: (1)、 全局模式创建 vlan
(2)、 vlan 数据库配置模式创建 vlan
S9303-1(config)#vtp mode server
Device mode already VTP SERVER、 S9303-1(config)#vtp domain VTP Changing VTP domain name from NULL to VTP S9303-1(config)#vtp password cisco123 Setting device VLAN database password to cisco123 指定好核心交换机作为 vtp 的 server 端之后,在核心交换机上创建 VLAN S9303-1(config)#vlan 10 S9303-1(config-vlan)#name Library_Layer_1 S9303-1(config-vlan)#exit S9303-1(config)#vlan 20 S9303-1(config-vlan)#name Library_Layer_2-3 S9303-1(config-vlan)#exit S9303-1(config)#vlan 30 S9303-1(config-vlan)#name Library_Layer_4-10 S9303-1(config-vlan)#exit S9303-1(config)#vlan 40 S9303-1(config-vlan)#name Office_Layer_1 S9303-1(config-vlan)#exit
S9303-1(config)#vlan 50 S9303-1(config-vlan)#name Office_Layer_2 S9303-1(config-vlan)#exit S9303-1(config)#vlan 60 S9303-1(config-vlan)#name Office_Layer_3 S9303-1(config)#vlan 70 S9303-1(config-vlan)#name Office_Layer_4 S9303-1(config)#vlan 80 S9303-1(config-vlan)#name Office_Layer_5 S9303-1(config)#vlan 90 S9303-1(config-vlan)#name Office_Layer_6 S9303-1(config)#vlan 101 S9303-1(config-vlan)#name Lab_1_1 S9303-1(config)#vlan Vlan 102 S9303-1(config-vlan)#name Lab_1_2 ……、 S9303-1(config)#vlan 366 S9303-1(config-vlan)#name Dormitory_16_6 S9303-1(config)#vlan 367 S9303-1(config-vlan)#name Dormitory_16_7 其她设备要通过 VTP 协议自动学习 vlan 信息就是在主设备创建好 VLAN 之后 S9303-2(config)#vtp mode client
Setting device to VTP CLIENT mode S9303-2(config)#vtp domain VTP Changing VTP domain name from NULL to VTP S9303-2(config)#vtp password cisco123 Setting device VLAN database password to cisco123 S2960-1(config)#vtp mode client Setting device to VTP CLIENT mode S2960-1(config)#vtp domain VTP Changing VTP domain name from NULL to VTP S2960-1(config)#vtp password cisco123 Setting device VLAN database password to cisco123 S2960-2(config)#vtp mode client Setting device to VTP CLIENT mode S2960-2(config)#vtp domain VTP Changing VTP domain name from NULL to VTP S2960-2(config)#vtp password cisco123 Setting device VLAN database password to cisco123 当所有交换机 VLAN 信息同步之后,在核心交换机上将相应端口放入相应 vlan 中 S9303-1(config)#interface f0/1 S9303-1(config-if)#switchport mode access
S9303-1(config-if)#switchport access vlan 10 S9303-1(config)#interface f0/2
S9303-1(config-if)#switchport mode access
S9303-1(config-if)#switchport access vlan 20 S9303-1(config)#interface f0/3 S9303-1(config-if)#switchport mode access
S9303-1(config-if)#switchport access vlan 30 S9303-1(config)#interface f0/4 S9303-1(config-if)#switchport mode access
S9303-1(config-if)#switchport access vlan 40 S9303-1(config)#interface f0/5 S9303-1(config-if)#switchport mode access
S9303-1(config-if)#switchport access vlan 50 S9303-1(config)#interface f0/6 S9303-1(config-if)#switchport mode access
S9303-1(config-if)#switchport access vlan 60 S9303-1(config)#interface f0/7 S9303-1(config-if)#switchport mode access
S9303-1(config-if)#switchport access vlan 70 ……、 S9303-2(config)#interface f0/1 S9303-2(config-if)#switchport mode access
S9303-2(config-if)#switchport access vlan 101 S9303-2(config)#interface f0/2
S9303-2(config-if)#switchport mode access
S9303-2(config-if)#switchport access vlan 102 S9303-2(config)#interface f0/3 S9303-2(config-if)#switchport mode access
S9303-2(config-if)#switchport access vlan 103 S9303-2(config)#interface f0/4 S9303-2(config-if)#switchport mode access
S9303-2(config-if)#switchport access vlan 104 S9303-2(config)#interface f0/5 S9303-2(config-if)#switchport mode access
S9303-2(config-if)#switchport access vlan 105 S9303-2(config)#interface f0/6 S9303-2(config-if)#switchport mode access
S9303-2(config-if)#switchport access vlan 106 …… 相应端口放入相应 vlan 中之后,通过 SVI(switch virtual interface)实现不同 VLAN 之间的互相访问,SVI 接口地址将严格按照前期 VLAN IP 地址规划在核心交换机上进行。
S9303-1(config)#interface vlan 10 S9303-1(config-if)#ip address 10、1、6、30 255、255、255、224 S9303-1(config)#interface vlan 20 S9303-1(config-if)#ip address 10、1、5、254 255、255、254、0 S9303-1(config)#interface vlan 30
S9303-1(config-if)#ip address 10、1、3、254 255、255、252、0 S9303-1(config)#interface vlan 40 S9303-1(config-if)#ip address 10、1、8、254 255、255、255、0 S9303-1(config)#interface vlan 50 S9303-1(config-if)#ip address 10、1、9、254 255、255、255、0 S9303-1(config)#int vlan 60 S9303-1(config-if)#ip address 10、1、10、254 255、255、255、0 S9303-1(config)#interface vlan 70 S9303-1(config-if)#ip address 10、1、11、254 255、255、255、0 S9303-1(config)#interface vlan 80 S9303-1(config-if)#ip address 10、1、12、254 255、255、255、0 S9303-1(config)#interface vlan 90 S9303-1(config-if)#ip address 10、1、13、254 255、255、255、0 S9303-2(config)#interface vlan 101 S9303-2(config-if)#ip address 10、1、16、30 255、255、255、224 …… S9303-2(config)#interface vlan 366 S9303-2(config-if)#ip addres 10、1、238、254 255、255、255、0 S9303-2(config)#interface vlan 367 S9303-2(config-if)#ip addres 10、1、239、254 255、255、255、0 当 SVI 接口设置好之后,二层交换机上所有端口开启 802、1x 认证。
S9303-1(config)#aaa new-model
S9303-1(config)#radius-server host 192、168、1、100 key netdigedu
S9303-1(config)#aaa authentication dot1x default group radius
C2960-1(config)#dot1x system-auth-control C2960-1(config)#int fa0/24 C2960-1(config-if)#switchport mode access C2960-1(config-if)#dot1x port-control auto 最后在交换机与路由器之间运行路由协议,使用的路由协议可以使用静态路由与动态路由,为了保证内网数据的高可靠性与达到自动冗余的效果,在这里我们使用 IGP 路由协议 OSPF,采用最短路径优先 SPF 算法可判断路径的好坏。
首先保证交换机与路由器之间的直连通讯,在接口上配置 IP 地址。为了节省地址,采用/30 的地址进行规划,配置如下: S9303-1(config)#interface gigabitEthernet 0/1 S9303-1(config-if)#no switchport S9303-1(config-if)#ip address 172、16、1、1 255、255、255、252 S9303-2(config)#interface gigabitEthernet 0/1 S9303-2(config-if)#no switchport S9303-2(config-if)#ip address 172、16、1、5 255、255、255、252 C3945(config)# interface gigabitEthernet 0/1 C3945 (config-if)#ip address 172、16、1、2 255、255、255、252 C3945(config)# interface gigabitEthernet 0/2 C3945 (config-if)#ip address 172、16、1、6 255、255、255、252 要想使用 PING 命令测试直连的通讯就是否成功,需在直连地址配置完成之后。
S9303-1#ping 172、16、1、2
Type escape sequence to abort、 Sending 5, 100-byte ICMP Echos to 172、16、1、2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/5 ms 当直连通讯没有问题之后,再配置路由协议 S9303-1(config)#ip routing S9303-1(config)#ip route 0、0、0、0 0、0、0、0 172、16、1、2 S9303-1(config)#router ospf 100 S9303-1(config-router)#router-id 1、1、1、1 S9303-1(config-router)#network 172、16、1、0 0、0、0、3 area 0 S9303-1(config-router)#network 10、0、0、0 0、255、255、255...
扩展阅读文章
推荐阅读文章
致富创业网 www.csyzzm.com
Copyright © 2002-2018 . 致富创业网 版权所有 湘ICP备12008529号-1