linux下各种服务器的架设.docx
- 文档编号:3940839
- 上传时间:2023-05-06
- 格式:DOCX
- 页数:26
- 大小:159.44KB
linux下各种服务器的架设.docx
《linux下各种服务器的架设.docx》由会员分享,可在线阅读,更多相关《linux下各种服务器的架设.docx(26页珍藏版)》请在冰点文库上搜索。
linux下各种服务器的架设
郑州轻工业学院
实训报告
实训名称:
Linux企业网络管理实训
姓名:
赵广西
院(系):
计算机与通信工程学院
专业班级:
信息安全08-01班
学号:
200813080155
指导教师:
蔡增玉刘书如吉星李建春
成绩:
时间:
2010年12月20日至2010年12月31日
郑州轻工业学院软件学院
实训任务书
一、题目
Linux企业网络管理实训
二、实训的性质和任务
Linux典型企业网络管理实训是瞄准网络专业学生的就业方面知识和能力需求而制定,主要的目的是要求学生通过实训可以进行企业网络的设计、规划、设备的选型、各种安全策略的制定、各种服务的配置等。
三、实训的基本要求.
实训的基本要求:
1、网络的规划与设计
2、网络设备选型
3、网络设备的互连
4、网络安全策略的制定
5、网络各种服务的配置
6、实训报告的撰写
四、实训内容及要求
天/日期
任务描述
通过标准
20,21
布置任务和分组,做好实训计划安排
22,23
网络具体规划(包括规划需求分析,总体设计)以及网络安全需求
24,27
网络设备选型,网络安全规划与实施
28,29
各种服务的配置(具体要求LAMP服务器配置实例,DNS服务器配置,防火墙的配置,DHCP的配置,FTP服务器配置。
E-MAIL服务器配置)
30,31
实训报告的撰写和验收
五、考核指标及成绩评定
实训成绩由下面构成:
平时成绩(30%)+作品(20%)+实训报告(50%)=总评成绩
完成期限:
2010年12月31日
指导教师签章:
吉星刘书如蔡增玉李建春
专业负责人签章:
教学院长签章
2010年12月20日
一、需求说明
(包括总体功能需求,设备需求,子网划分,安全需求,服务需求等。
)
二、网络规划
2.1拓扑结构图
拓扑图说明:
拓扑图中有两部分:
总院网络和分院网络,有中心服务器与外部网络连接,进而与分院的路由器通信。
总院网络有七个小的子网组成:
门诊部下又划分为疗诊部和辅助疗诊部和护理部,急救中心,办公区又划分为后勤部和办公处,住院部。
2.2子网划分
从拓扑图中可以看出给子网的划分情况
医院网络划分
1.中心路由器
端口:
Ser0/0:
202.196.3.36/24(外网)端口:
Fa1/0:
192.168.1.1/24(服务器)
端口:
Gig2/0:
192.168.2.1/24(门诊部)端口:
Gig3/0:
192.168.3.1/24(急救)
端口:
Gig4/0:
192.168.4.1/24(办公区)端口:
Gig5/0:
192.168.5.1/24(住院部)
2.二级路由1
端口:
Gig6/0:
196.168.2.2/24端口:
Fa1/0:
192.168.10.1/24
端口:
Fa0/0:
192.168.11.1/24端口:
Fa2/0:
192.168.12.1/24
3.二级路由2
端口:
Gig6/0:
192.168.4.2/24端口:
Fa0/0:
192.168.20.1/24
端口:
Fa1/0:
192.168.21.1/24
4.服务器IP:
192.168.1.2/24
诊疗部:
192.168.10.2/24-----192.168.10.254
辅助诊疗部:
192.168.11.2/24------192.168.11.254/24
护理部:
192.168.12.2/24------192.168.12.254/24
急救中心:
192.168.3.2/24------192.168.3.254/24
后勤部:
192.168.20.2/24------192.168.20.254/24
办公处:
192.168.21.2/24------192.168.21.254/24
住院部:
192.168.5.2/24-------192.168.5.254/24
外部网络划分
1.外部路由器
端口:
Ser0/0:
202.196.3.34/24
端口:
Fa3/0:
202.196.5.1/24
2.外部主机地址:
202.196.5.4/24
服务器配置
①:
中心路由
动态路由协议配置:
Network192.168.1.0
192.168.2.0
192.168.3.0
192.168.4.0
192.168.5.0
202.196.3.0
静态路由协议配置:
Iproute202.196.3.0255.255.255.0Serial10/0
②二级路由器1
动态路由协议配置
Network192.168.2.0
192.168.10.0
192.168.11.0
192.168.12.0
静态路由协议配置
Iproute192.168.2.0255.255.255.0Gig6/0
3二级路由器2
动态路由协议配置
Network192.168.4.0
192.168.20.1
192.168.21.0
静态路由协议配置
IpRoute192.168.4.0255.255.255.0Gig6/0
4外部路由器
动态路由协议配置
Network202.196.3.0
202.196.5.0
静态路由协议配置
IpRoute202.196.3.0255.255.255.0Ser0/0
架好线以后应该配置路由器中心路由器有六个端口要设置,各个端口的IP,网关,子网掩码,需要实施IP的转换,已实现内部私有IP到共有IP的转换,还要实施安全策略防火墙,防火墙可以在路由器上配置也可以在服务器上配置,本工程在服务器上配置。
2.3网络总体规划
千兆以太网是相当成功的10Mpbs以太网和100Mpbs快速以太网标准的扩展。
目前IEEE已经批准千兆以太网的工程。
千兆为以太网
三、网络设备的选型
3.1对设备的要求
高性能,所有网络设备都应足够的吞吐量,高可靠性和高可用性,应该考虑多种容错技术;可管理性,所有的网络设备均可用适当的管理软件进行监控,设置,管理,采用统一的国际标准;性价比,尽最大可能的提高设备的性价比。
3.2设备的简介
设备名称
型号
数量
功能
服务器
IBMSystemx3650M3(7945IEI)
1
主要为内外网提供服务(如DNS,FTP等)
主路由器
思科2811
1
主要进行安全设置和私有地址到共有地址的转换。
路由器
思科1841c
2
主要划分子网用。
交换机
思科WS-C3560-34TS-S
9
为接入交换机的任意两个网络节点提供独享的电信号通路
作为中小型规模的网络,Cisco2811路由器一台,2811作为一款部署于运营商网络边缘和数据中心、体积小巧、性能出众的光纤路由器,在网络边缘和数据中心,必须提供出色的性能和服务来满足企业和电信运营商的需要。
它具有以下优点:
线速并发服务的性能,如安全,语音,广域网和多T1/E1/xDSL先进的服务费率。
通过提高性能和增强的模块化投资保护。
通过高密度的提高高速广域网接口卡插槽(四)。
增强网络模块插槽,支持超过90现有和新模块,支持现有的目标,网管系统的WIC,VWICs大多数,维斯。
两个集成10/100快速以太网端口,可选的第二层以太网供电(PoE)(作为一个选项)切换支持。
安全方面,板载加密,高达1500的VPN隧道支持与的AIM-EPII加模块,防病毒,通过网络准入控制(NAC)的国防支援,入侵防御状态以及思科IOS防火墙的支持和许多更重要的安全功能。
声音方面,模拟和数字语音呼叫支持,可选语音邮件支持,用于CiscoCallManagerExpress的(思科CME)的可选支持本地呼叫处理的主张单独注册to36IP电话业务。
可选支持存活远程电话支持小企业分支机构多达36个IP电话本地呼叫处理。
防火墙的选取,考虑中小型型企业的网络吞吐量比较大,这里选择的PIX,所有流经PIX的数据都必须接受严格而全面的检验,检验内容包括数据源和目标地址,TCP随机序列号,TCP端口号和附加标志等,自由满足特定条件的数据才能通过这道防火墙,内核技术不公开,可以很好防止黑客攻击。
(根据网络规划,需要多少种设备,每种设备的具体型号,功能和数量。
比如服务器、路由器的型号选择等)
3.3网络设备的配置
连接到因特网的路由器的配置,主要配置动态地址转换,将内部地址转换为外部地址:
设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。
内部端口连接的网络用户使用的是内部IP地址。
内部端口可以为任意一个路由器端口。
外部端口连接的是外部的网络,如Internet 。
外部端口可以为路由器上的任意端口。
内部本地地址(Insidelocaladdress):
分配给内部网络中的计算机的内部IP地址。
内部合法地址(Insideglobaladdress):
对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。
需要申请才可取得的IP地址。
1、静态地址转换适用的环境
静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。
如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务(本项目有WWW服务器供外网访问,所以要用静态地址转换)
静态地址转换基本配置步骤:
(1)、在内部本地地址与内部合法地址之间建立静态地址转换。
在全局设置状态下输入:
Ip nat inside source static 内部本地地址 内部合法地址
(2)、指定连接网络的内部端口 在端口设置状态下输入:
ip nat inside
(3)、指定连接外部网络的外部端口 在端口设置状态下输入:
ip nat outside
注:
可以根据实际需要定义多个内部端口及多个外部端口。
本项目的简单的地址转换
本实例实现静态NAT地址转换功能。
将2501的以太口作为内部端口,同步端口ser0/0作为外部端口。
其中192.168.1.2的内部本地地址采用静态地址转换。
其内部合法地址分别对应为202.196.3.36。
路由器2501的配置:
Current configuration:
version 11.3
no service password-encryption
hostname 2501
ip nat inside source static 202.196.3.36 192.168.1.2
interface Ethernet0
ip address 192.168.1.2 255.255.255.0
ip nat inside
interface Serial0
ip address 202.196.3.36 255.255.255.0
ip nat outside
no ip mroute-cache
bandwidth 2000
no fair-queue
clockrate 2000000
interface Serial1
no ip address
shutdown
no ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
line con 0
line aux 0
line vty 0 4
password cisco
end
配置完成后可以用以下语句进行查看:
show ip nat statistcs
show ip nat translations
3、复用动态地址转换适用的环境:
复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。
只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用。
注意:
当多个用户同时使用一个IP地址,外部网络通过路由器内部利用上层的如TCP或UDP端口号等唯一标识某台计算机。
复用动态地址转换配置步骤:
在全局设置模式下,定义内部合地址池
ip nat pool 地址池名字 起始IP地址 终止IP地址 子网掩码
其中地址池名字可以任意设定。
在全局设置模式下,定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。
access-list 标号 permit 源地址 通配符
其中标号为1-99之间的整数。
在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。
ip nat inside source list 访问列表标号 pool 内部合法地址池名字 overload
在端口设置状态下,指定与内部网络相连的内部端口
ip nat inside
在端口设置状态下,指定与外部网络相连的外部端口
ip nat outside
实例:
应用了复用动态NAT地址转换功能。
将2501的以太口作为内部端口,同步端口0作为外部端口。
192.168.1.0网段采用复用动态地址转换。
假设企业只申请了一个合法的IP地址202.196.3.36。
2501的配置
Current configuration:
version 11.3
no service password-encryption
hostname 2501
ip nat pool bbb 192.1.1.1 192.1.1.1 netmask 255.255.255.0
ip nat inside source list 1 pool bbb overload
interface Ethernet0
ip address 192.168.1.0 255.255.255.0
ip nat inside
interface Serial0
ip address 202.196.3.36 255.255.255.0
ip nat outside
no ip mroute-cache
bandwidth 2000
no fair-queue
clockrate 2000000
interface Serial1
no ip address
shutdown
no ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
access-list 1 permit 192.168.1.2 0.0.0.255
line con 0
line aux 0
line vty 0 4
password cisco
end
3.4线路的设置
四、服务需求分析
4.1Apache服务器
由于医院需要有自己的网站,供外面的人访问,所以要架设www,用到Apache服务。
外人可以根据自己的账户登录医院网站查看自己的医保,所以还要附加有Mysql数据库服务。
4.2DNS服务器
为了本院工作人员能用好记的域名访问内外网,所以要架设DNS服务器。
4.3DHCP服务器
由于医院内的主机数量太多不可能手动分配IP等信息,要让让用户端的电脑可以在开机的时候就立即自动的设定好网路的参数值,这些参数值可以包括了IP、netmask、network、gateway与DNS的位址等等。
如此一来,呵呵!
就需要DHCP服务器
4.4FTP服务器
为了方便网内用户的信息共享所以要用到FTP服务器。
按组划分,供用户上传下载。
五、服务具体配置
(选什么软件,为什么?
如何配置,运行效果如何)
六、网络安全策略
(采取安全措施,每种措施如何实施,效果如何)
5.1路由器的安全配置
路由器是网络中的神经中枢,广域网就是靠一个个路由器连接起来组成的,局域网中也已经普片的应用到了路由器,下面讲下本项目中网络安全中路由器的安全配置吧。
本项目用的路由器是CISCO路由器。
1.配置访问控制列表:
使用访问控制列表的目的就是为了保护路由器的安全和优化网络的流量.访问列表的作用就是在数据包经过路由器某一个端口时,该数据包是否允许转发通过,必须先在访问控制列表里边查找,如果允许,则通过.所以,保护路由器的前提,还是先考虑配置访问控制列表吧.
访问列表有多种形式,最常用的有标准访问列表和扩展访问列表.
创建一个标准访问控制列表的基本配置语法:
access-listaccess-list-number{deny|permit}source[source-wildcard]
注释:
access-list-number是定义访问列表编号的一个值,范围从1--99.参数deny或permit指定了允许还是拒绝数据包.参数source是发送数据包的主机地址.source-wildcard则是发送数据包的主机的通配符.在实际应用中,如果数据包的源地址在访问列表中未能找到,或者是找到了未被允许转发,则该包将会被拒绝.下面是一个简单访问列表示例介绍:
1)access-list3permit192.168.1.00.0.5.255*/指明一个列表号为3的访问控制列表,并允许192.168.1.0这个网段的数据通过0.0.5.255是通配符.
2)access-list3permit192.168.1.20.0.5.255*/允许所有源地址为从192.168.1.2到192.168.5.254的数据包通过应用了该访问列表的路由器接口.
3)access-list3deny192.168.20.20.0.23.255*/拒绝源IP地址为192.168.20.2到192.168.23.254的数据包通过该访问列表.
配置了访问列表后,就要启用访问控制列表,我们可以在接口配置模式下使用access-group或ipaccess-class命令来指定访问列表应用于某个接口.使用关键字in(out)来定义该接口是出站数据包还是入站数据包.
示例:
ipaccess-group3in*/定义该端口入站数据包必须按照访问列表3上的原则.
由于标准访问控制列表对使用的端口不进行区别,所以,引入了扩展访问控制列表(列表号从100--199).扩展访问列表能够对数据包的源地址,目的地址和端口等项目进行检查,这其中,任何一个项目都可以导致某个数据包不被允许经过路由器接口.简单的配置示例:
1)ipaccess-list101permittcpanyhost192.168.1.2establishedlog
2)ipaccess-list101permittcpanyhost192.168.1.2eqwwwlog
3)ipaccess-list101permittcpanyhost192.168.1.2eqftplog
4)ipaccess-list101permittcpanyhost192.168.1.2log
注释:
第一行允许通过TCP协议访问主机192.168.1.2,如果没个连接已经在主机192.168.1.2和某个要访问的远程主机之间建立,则该行不会允许任何数据包通过路由器接口,除非回话是从内部企业网内部发起的.第二行允许任何连接到主机192.168.1.2来请求www服务,而所有其他类型的连接将被拒绝,这是因为在访问列表自动默认的在列表尾部,有一个denyanyany语句来限制其他类型连接.第三行是拒绝任何FTP连接来访问192.168.1.2主机.第四行是允许所有类型的访问连接到192.168.1.2主机.
2.保护路由器的密码
1)禁用enablepassword命令,改密码加密机制已经很古老,存在极大安全漏洞,必须禁用,做法是:
noenablepassword
2)利用enablesecret命令设置密码,该加密机制是IOS采用了MD5散列算法进行加密,具体语法是:
enablesecret[levellevel]{password|encryption-typeencrypted-password}
举例:
Ro(config-if)#enablesecretlevel9~@~!
79#^&^089^*/设置一个级别为9级的~@~!
79#^&^089^密码
Ro(config-if)#servicerouter-encryption*/启动服务密码加密过程
enablesecret命令允许管理员通过数字0-15,来指定密码加密级别.其默认级别为15.
3.控制telnet访问控制
为了保护路由器访问控制权限,必须限制登陆访问路由器的主机,针对VTY(telnet)端口访问控制的方法,具体配置要先建立一个访问控制列表,如下示例,建立一个标准的访问控制列表(编号从1--99任意选择):
access-list90permit192.168.1.2
access-list90permit192.168.4.2
该访问列表仅允许以上两个IP地址之一的主机对路由器进行telnet访问,注意:
创建该列表后必须指定到路由器端口某个端口上,具体指定方法如下:
linevtyE04
access-class90in
以上配置是入站到E0端口的telnet示例,出站配置采用out,在这里将不再详细赘述.为了保护路由器的安全设置,也可以限制其telnet访问的权限,比如:
通过分配管理密码
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- linux 各种 服务器 架设
![提示](https://static.bingdoc.com/images/bang_tan.gif)