网络系统集成——校园网络系统集成.doc

1、11.需求分析1.1 需求说明通过对常用的组网设备（包括交换机、路由器、防火墙） 、常见的网络服务系统（Web 服务、Proxy 服务、 Smtp & Pop3 服务、DNS 服务等）的安装与配置，加深对上述设备和系统工作原理的理解，初步掌握其安装配置方法，为将来从事网络工程建设打下基础。设计并构建一个小型的校园网络平台，并在该平台上构建 INTERNET 服务平台，该网络工程建成后，将具有以下服务功能：（1）具有内部 Web 服务功能（ http） ；（2）具有外部 Web 服务代理功能 (proxy 服务)；（3）具有邮件收发功能(smtp & pop3)；（4）具有对内部核心子网安全保护

2、功能（防火墙） ；（5）具有内部域名解析功能(DNS)；（6）具有简单的网络管理功能(SNMP)。图 1.1 网络拓扑21.2配置说明1.2.1邮件服务在内部网络设立 MAIL 服务器，支持 SMTP 和 POP3 收发电子邮件，要求建立三个邮件帐号：， ， ，用来测试内部邮件的收发。要求在外部网络构建 MAIL 服务器，支持 SMTP 和 POP3 收发电子邮件，并要求建立二个邮件帐号：， 用来测试内部邮件系统和外部邮件系统之间的邮件收发。1.2.2 DNS服务在内部网络设置 DNS 服务功能，支持内部网络系统名字的正向和反向域名解析服务。1.2.3 WEB服务建立一个内部 WEB 服务网站

3、： ，设计测试网页；提供 3 个虚拟主机服务： , , ，并设计相应的测试网页；提供 3 个个人主页服务： ，并设计相应的测试网页；建立一个外部 WEB 服务网站： ，设计测试网页。1.2.4 代理服务能根据用户级别设置不同访问权限,要求有 teacher 、student 和 worker 三组用户；对于 teacher 组的教员，能够在任何时间访问任何网站；对于 student 组的学员，能够访问内部网站和在非学习时间（学习时间定义为：周 1 至周 5 的 08：00-17：30）访问除 之外的任何网站；对于 worker 组的教工，不允许访问任何网站。1.2.5 交换机通过

4、串口和 telnet 对设备名称、密码、网管参数进行设置；按照网络 TOP 图 1 的要求，通过远程登录到交换机上，对交换机进行 VLAN 划分。1.2.6 防火墙通过串口和 telnet 对名称、密码、接口参数进行设置；按照网络要求对访问规则进行配置。1.2.7路由器3通过串口和 telnet 对名称、密码、接口参数、网管参数进行设置；按照网络的要求，对路由器进行路由设置。42.网络拓扑图下图为本次设计的整体组网图，整个网络分为三个域，即 DMZ，Untrust Zone， Trust Zone。其中图求中的 vlan10 和 vlan20 为 Trust Zone，主要为局域网用户；vla

5、n30 为 DMZ，是该园区网络的服务器群，包括：web 服务器 、域名解析服务器、代理服务器，以及邮件服务器；Internet 为 Untrust Zone，包括：外部 web 服务器、邮件服务器等。Trust Zone 和 DMZ 同两台交换机相联，在 Internet 和 DMZ 区之间架设一台高性能的防火墙，从而在较大程度上保证内部网络的安全，在防火墙的外端口进行NAPT（ NAT 中基于端口的一种）,完成网络地址的转换，这在一定程度上也保证了内部网络的安全性。53.网络配置3.1 内部 web服务器(1）为该服务配置多个 IP 地址。为后面服务器上挂载多个载点作好准备，因为一个 IP

6、地址在不改变其他参数的条件下只能挂载一个网站。实验中一共配置 4 个 IP 地址：192.168.1.2，192.168.1.7，192.168.1.5，192.168.1.6。(2) 安装 IIS5.1。因为 xp 系统默认下不安装 IIS，如图 3.1 所示。在此之前，你应该准备你下载的安装包或者系统安装盘，按照提示完成 IIS 的安装过程。图 3.1 IIS 安装(3) 挂载网站。安装 IIS 后会自动生成一个默认 Web 站点，将其作为要挂载的网站。点击“开始”“程序”“管理工具”“Internet 服务管理器” ，出现“Internet 信息服务”窗口，右键单击“默认 Web 站点”

7、 ，选择 “属性”进行设置。在“Web 站点标识”中，将说明改为挂载的网站名，实验中为“test”选择 IP 地址，TCP 端口保持默认的 80 不变。将制作好的网站文件拷贝到默认目录中， “test”的设置就算完成了。将制作好的网站拷贝到默认目录下。(4) 按照（3）步进行其他网站的挂载。与第三步不同的是网络标识里的“描述”和“IP 地址” ，端口号不用作任何改变。其描述分别为：test1，test2，test3，对应的 IP 地址分别为：192.168.1.7，192.168.1.5，192.168.1.6。6(5) 为 提供三个主页服务，即： /lisi,， web 服务器配置，在浏览

8、器中输入网站 IP 地址和域名进行测试。(在没有配置 DNS 服务器的情况下，只能通过 IP 地址访问以下网站；当配置好相应的域名记录，就可以通过域名找到相应主机，从而访问相关的站点)。3.2 内部 Mail服务器(1) 安装 Imail。安装过程中，在“Offcial Host Name”对话框中输入邮件服务器的域名，如图 3.2 所示；在“Services Start Options”对话框选择要启动的服务，如图 3.3 所示。图 3.2 Offical Host Name图 3.3 Services Start Options7(2) 启动 Imail 服务器。选 “localhost右

9、键Add Host” ，实验中为“ ”。(3) 添加邮件用户。选 “Users右键Add User”。 实验中建立三个邮件帐号： ， ，，用于测试内部邮件的收发。(4) 客户端配置。设置 Outlook Express：工具帐户添加邮件帐户；“接收邮件服务器（POP3） ”和“发送邮件服务器（SMTP） ”中均填写均填写邮件服务器域名，实验中为“ ”。(5) DNS 设置。查看“”的 IP Address，打开 DNS 管理器，建立相关的 DNS 记录。实验中需将“” “对应其 IP Address”，以便正确的进行域名解析。 DNS设置的具体方法在此不作过多解释，下一节中有详细的配置过程。

10、到此为止，已经可以用已知的帐号进行邮件收发工作了。3.3 DNS服务器（1）安装 DNS 服务器。打开控制面板，选择添加 /删除 windows 组件，选择网络服务，选择详细信息，选择域名服务系统（DNS） ，并单击确定，完成组件的添加。其操作如图 3.4 和 3.5 如示：图 3.4 选择网络服务8图 3.5 选择 DNS（2）启动 DNS 服务器。启动后的界面如图 3.6 所示，从启动后的界面我们不难看出，DNS 服务器支持两种域名解析形式，即正向域名解析和反向域名解析两种方式。通过正向域名解析，可以找到相应域名的 IP 地址，通过反向域名解析可以找到对应 IP 地址的主机域名。图 3.6

11、 域名服务器运行界面（3）按照设计要求，在正向搜索区域和反向搜索区域中加入域名解析记录。其中邮件服务器的域名为：，与之对应的主机地址是：192.168.1.3；内部 web 服务器对应的域名分别为：、、、，与之对应的 IP地址分别为：192.162.1.2、192.168.1.7、192.168.1.5、192.168.1.6；外部 web 服务器对应的域名是：，与之对应的 IP 地址是：202.198.3.2。当进行了正向域名解析和反向域名解析后，访问网站既可以采用 IP 地址的方式，即在浏览器中直接输入该 web 服务器的 IP 地址，也可以通过输入域名访问 web 服务器。其中邮件服务器

12、，只能通过域名的方式，因为利用 pop3 和 smtp 收发邮件的时候，收发邮件的服务器均填写的邮件服务器的域名，且邮件在收发过程中，也是通过域名进行邮件服务器的寻址的。3.4 Proxy服务（1）下载并安装 SuperProxy 软件。（2）运行 SuperProxy，其运行界面如图 3.7 所示：3.7 运行界面(3) 由于该软件是共享版，不能新建群组，就建 3 个用户代替。三个用户分别是teacher、student 和 worker。建立用户的时候注意权限的设置。对于 teacher 用户，能够在任何时间访问任何网站，即默认的访问权限；对于 student 用户，能够访问内部网站和在非

13、学习时间（学习时间定义为：周 1 至周 5 的 08：00-17：30）访问除 之外的任何网站；对于 worker 用户，不允许访问任何网站。由于软件的限制，只完成对 teacher 和 worker 两个用户的全部权限设置，以及 student用户的部分权限设置。其中 teacher 权限设置如图 3.8 所示，worker 由于所赋予的权10限正好和 teacher 相反，只需要将通过中 “允许”修改为“禁止”即可。图 3.8 teacher 用户3.5 外部 web服务器外部 web 服务器内部 web 服务器的配置方法类似。服务器搭建好后，挂载网站，并在域名解析服务器中加入域名解析记

14、录，设计相关测试页，通过浏览器访问所挂载的网站。3.6 外部 Mail服务器该服务器的配置方法和内部 Mail 服务器配置方法类似。服务器搭建好以后，建立二个邮件帐号：，lisi 用来测试内部邮件系统和外部邮件系统之间的邮件收发。113.7 交换机配置本设计涉及三个交换机的使用。其中两个用于内网用户之间的互联，一个用于外网。具体来说，三个交换机分别位于：内网用户、内网服务器群、外网。分别将三个交换机标识为：switch1、switch2、switch3。下面将三个交换机上的配置过程记录如下：(1) switch1 的配置hostname switch1interface range Fast

15、Ethernet0/1-12 /将 1-12 端口划分到 vlan10/switchport access vlan 10interface range FastEthernet0/13-22 /将 13-22 端口划分到 vlan20/switchport access vlan 20interface FastEthernet0/24 /将 24 号端口作为 trunk，透传 vlan 数据/switchport mode trunkinterface Vlan1ip address 172.17.46.2 255.255.255.0 /配置设备管理 IP 地址/line vty 0 4p

16、assword test /配置登录密码 /login(2) switch2 的配置hostname switch2interface FastEthernet0/1-20 /将 1-20 端口划分到 vlan30/switchport access vlan 30interface FastEthernet0/24 /将 24 端口作为路由器端口 /no switchportip address 192.168.12.1 255.255.255.252interface Vlan1ip address 172.17.46.3 255.255.255.0 /配置设备管理 IP 地址/inter

17、face Vlan10ip address 192.168.2.61 255.255.255.192 /配置 vlan10 的 svi/interface Vlan20ip address 192.168.2.125 255.255.255.192 /配置 vlan20 的 svi/12interface Vlan30ip address 192.168.1.5 255.255.255.0 /配置 vlan30 的 svi/router ospf 1 /启动 ospf 协议/log-adjacency-changes network 192.168.2.0 0.0.0.63 area 1net

18、work 192.168.1.0 0.0.0.255 area 1network 192.168.12.0 0.0.0.3 area 1line vty 0 4password test /配置登录密码 /login(3) switch3 的配置 鉴于 switch3 仅用作网络互联，并没有 vlan 的划分及更多其他相关配置，因此只需要配置设备管理地址，及远程登录的密码。设备管理 IP 地址和远程登录密码的配置方法和前面交换机的配置相同，在此不列出它的配置代码。3.8 路由器配置设计中涉及一个路由器的配置，配置的内容主要是端口地址的配置，设备管理 IP地址的配置，以及远程登录密码的设置。ho

19、stname Routerinterface FastEthernet0/0ip address 202.198.3.1 255.255.255.0 /配置 0 号端口地址/duplex autospeed autointerface FastEthernet0/1ip address 202.198.2.254 255.255.255.0 /配置 1 号端口地址/duplex autospeed autointerface Vlan1ip address 172.17.46.4 255.255.255.0 /配置路由器管理 IP 地址/router ospf 1 /启动 OSPF 进程，进行

20、路由的选择/log-adjacency-changes13network 202.198.2.0 0.0.0.255 area 1network 202.198.3.0 0.0.0.255 area 1line vty 0 4password mycisco /配置登录密码 /login3.9 防火墙配置防火墙主要用于保障内网用户的安全。实验中涉及一个防火墙的使用，要求在防火墙上进行 NAT（网络地址转换） ，通过配置能够进行基于网络层的包过滤，同时制订安全策略，力求最大程度地保证内网主机的安全。sysname myFireWall firewall packet-filter enable

21、firewall packet-filter default permit undo connection-limit enable connection-limit default deny connection-limit default amount upper-limit 50 lower-limit 20 firewall statistic system enable radius scheme system acl number 2001 rule 0 permit source 192.168.1.0 0.0.0.255 rule 0 permit source 192.168

22、.2.0 0.0.0.255 acl number 3001 rule 0 deny tcp source-port eq 3127 rule 1 deny tcp source-port eq 1025 rule 2 deny tcp source-port eq 5554 rule 3 deny tcp source-port eq 9996 rule 4 deny tcp source-port eq 1068 rule 5 deny tcp source-port eq 135 rule 6 deny udp source-port eq 135 rule 7 deny tcp sou

23、rce-port eq 137 rule 8 deny udp source-port eq netbios-ns 14rule 9 deny tcp source-port eq 138 rule 10 deny udp source-port eq netbios-dgm rule 11 deny tcp source-port eq 139 rule 12 deny udp source-port eq netbios-ssn rule 13 deny tcp source-port eq 593 rule 14 deny tcp source-port eq 4444 rule 15

24、deny tcp source-port eq 5800 rule 16 deny tcp source-port eq 5900 rule 18 deny tcp source-port eq 8998 rule 19 deny tcp source-port eq 445 rule 20 deny udp source-port eq 445 rule 21 deny udp source-port eq 1434 rule 30 deny tcp destination-port eq 3127 rule 31 deny tcp destination-port eq 1025 rule

25、 32 deny tcp destination-port eq 5554 rule 33 deny tcp destination-port eq 9996 rule 34 deny tcp destination-port eq 1068 rule 35 deny tcp destination-port eq 135 rule 36 deny udp destination-port eq 135 rule 37 deny tcp destination-port eq 137 rule 38 deny udp destination-port eq netbios-ns rule 39

26、 deny tcp destination-port eq 138 rule 40 deny udp destination-port eq netbios-dgm rule 41 deny tcp destination-port eq 139 rule 42 deny udp destination-port eq netbios-ssn rule 43 deny tcp destination-port eq 593 rule 44 deny tcp destination-port eq 4444 rule 45 deny tcp destination-port eq 5800 ru

27、le 46 deny tcp destination-port eq 5900 rule 48 deny tcp destination-port eq 8998 rule 49 deny tcp destination-port eq 445 15rule 50 deny udp destination-port eq 445 rule 51 deny udp destination-port eq 1434 interface Aux0 async mode flow interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 fi

28、rewall packet-filter 3001 inbound interface Ethernet1/0 ip address 202.198.2.1 255.255.255.0 firewall packet-filter 3001 inbound nat outbound 2001 nat server protocol tcp global 202.198.2.1 www inside 192.168.1.2 www firewall zone local set priority 100 firewall zone trust add interface Ethernet0/0

29、set priority 85 firewall zone untrust set priority 5 firewall zone DMZ add interface Ethernet1/0 set priority 50 164.结果与分析4.1 邮件服务对于内网邮件服务（基于 pop3 和 smtp） ，能够利用建立的三个邮件账号互发邮件。基于 web 方式的没有实现，但原理上没有太大区别。对于外部邮件服务器，可利用建立的两个用户成功完成通信。4.2 DNS服务配置好 dns 服务器后，能够正确的进行正向和反向两个方向的域名解析。通过域名解析，用户可以通过域名访问内外部网站，与此同时还可

30、通过主机 IP 地址的方式访问网站。当然要正确的进行域名解析，必须首先确保域名服务器的地址完全正确，即在主机上配置正确的域名服务器地址。4.3 web服务为了挂载多个网站，实验中将一张网卡配置多个 IP 地址，每个 IP 地址挂一个网站。然后在域名解析服务器上添加相应的正向和反向域名解析记录。最后，能正常的进行网站的访问，网站的测试如图 4.1 如示：图 4.1 测试网页174.4代理服务器安装和设置由于模拟软件上不具备代理服务器功能，所以用软件来模拟代理过程，安装设置方法如下：图 3-9 安装 proxy 代理服务器选择安装目录后，点击下一步（next） ，进入显示安装信息界面，如下图所示：

31、图 3-10 显示安装信息图代理服务器软件的安装过程室全自动的，安装完成后点击 finish，进入到软件的设置和试用。如下图所示室完成安装的界面：18图 3-11 完成安装界面 安装完成，设置信息的界面如下图所示，图中显示了设置的具体信息：图 3-12 设置代理服务器信息图在本校园网络中，代理服务器的名称为 proxy，地址室 192.168.1.4，设置如下： 19图 3-13 设置代理服务器地址图设置完成后，用户可以通过设置的代理服务器登录到外部网络。本软件最多允许3 个用户登录到外部网络，可以添加用户。设置成功，如下图所示：图 3-14 显示用户信息图4.5 交换机通过 vlan 划分，

32、能够有效的隔离广播流量，防止二层环路的形成；通过三层交换机 svi 的配置，能够有效的进行不同 vlan 之间的通信；通过三台交换机 vlan1 网管地址的配置以及登录密码的设置，能够进行远程登录，方便管理员对设备的管理、配置。204.6 路由器路由器在设计中作为重要的网络设备，能够进行不同网络的路由选择。设计中，通过对 vlan1 网管地址的设置以及登录密码的设置，方便用户进行远程登录，对设备进行维护和管理。在路由器上配置 ospf 路由选择协议，能够顺利完成路由的选择，达到不同网络之间的通信问题。4.7 防火墙通过防火墙的配置，能够实现内网地址向公网地址的网络地址转换。提供转换的公网地址只

33、有一个，要求基于端口网络地址转换，即 napt（端口网络地址转换） 。并且，在防火墙上屏蔽病毒或木马经常利用的端口。最后，在防火墙上配置了公网地址向内网地址的映射，即通过外网可以访问内网的 web 服务器，而不能访问内部其他主机。215.体会与建议本将设计是一个校园网络的系统集成。所涉及的配置内容包括常见的网络互联设备和常见服务器的配置，如 dns 服务器、web 服务器、proxy 服务器、mail 邮件服务器等服务器配置。本次实验的内容较多，网络设备的配置不是第一次接触，但其他服务器配置还是第一次接触，有一定的难度。网络设备的配置，防火墙也很复杂，配置内容包括 nat 转换，也包括常见的病毒防范等。本次试验的遇到了以前实验没有遇到过的很多难题，比如邮件服务器配置，DNS 服务器配置，WEB 服务器配置以及 PROXY 服务器配置等，都是第一次接触，虽然是直接操作软件，但要顺利配置成功还是有一定的难度，这方面不得不到处查找资料，学习配置方法，最终还是配置成功。本次试验，不仅在网络配置方面，增强了基础知识，还学会了一些基本服务器配制方法，增大了知识面，对以后学习有了较大的提高，另外，也培养了自学能力以及处理问题的能力。