1、电视大学专科计算机网络方向毕业设计上海电视大学毕业设计(论文、作业)毕业设计(论文、作业)题目:财经资讯公司网络设计与实现 分校(站、点): 年级、专业: 教育层次: 专科 学生姓名: 学 号: 指导教师: 完成日期: 目录内容摘要 I关键字 I一、引言 1二、需求分析 1(一)公司概况: 1(二)网络设计背景 21、先进性 42、标准化和开放性 43、可靠性和可用性 44、灵活性和兼容性 45、实用性和经济性 46、安全性和保密性 47、扩展性和升级能力 48、网络的灵活性 4(三)网络设备的选择原则 41、安全、稳定、可靠 42、技术先进性 43、易于扩展性 54、易于管理和维护 5(四)
2、用户需求与网络功能分析 51、核心交换机 52、研发部交换机 53、信息部交换机 54、销售部交换机 55、路由器设置 5三、设计方案与布线规划 6(一)公司方案特点 6(二)现场勘察分析 6(三)安全措施的实现 6四、总体网络服务构建 7一 系统组成与拓扑结构 7二 VLAN 及 IP 地址规划 8五、详细设计模块 9一 交换机与路由器的总体配置 91、接入层交换机的配置 92、配置路由器的静态路由路由功能 113、访问控制列表 14(二)服务器系统基本配置 15(三)各类应用服务器配置 161、活动目录与用户 162、简单邮件服务器: 163、网络打印服务器: 20六、总结:回顾与展望 2
3、1参考文献: 22致谢 23内容摘要此网络设计方案的对象是一个小型财经咨询公司的网络构建、公司内部需要大量的业务信息、业务数据的传输集成。本次网络建设主要进行公司内部的日常数据的访问,进行正常的访问控制,进行路由器和交换机的配置,配置Web 服务器、策略的应用,形成企业内部的计算机局域网系统。具体而言这样的设计目标应该是:构建一个综合的,小型企业网络,应用已有基础设施,构建和部署企业网络,同时考虑到网络的可用性、经济性、可靠性、安全性等因素,实现公司网络的正常使用。关键字局域网 路由器 交换机 资源共享财经资讯公司网络设计与实现引言计算机网络是指通过传输媒休连接的多部计算机组成的系统,使登录其
4、上的所有用户能够共享软硬件资源。计算机网络如按网络的组建规模和延伸范围来划分的话,可分为局域网、城域网、广域网。我们经常用到的因特网 Internet 属于广域网,企业网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。随着人们对于信息资源共享以及信息交流的迫切需求,促使网络技术的产生和快速发展,计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。企业网的建成和使用,对于一个企业来说,产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成,最主要的优点是:方便、快捷和成本低廉。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系
5、统、Intranet/Internet 的应用、网络安全,网络系统的维护交换机、路由器、安全设备和无线设备是最常见也是最常用的网络设备。交换机实现计算机互联,构建局域网络;路由器实现网络互联,构建安全网络。没有交换机,计算机之间就无法通信,就不能搭建局域网络,因此,交换机是网络构建的基石。路由器实现局域网之间以及局域网与 Internet 之间的互联,没有路由器局域网就会成为信息孤岛,所以,路由器是网络互联的桥梁。就不能实现网络内部的安全,服务器和客户端。可见,交换机、路由器、安全设备和无线设备各司其职、相互结合、缺一不可。需求分析(一)公司概况:上海维特财经科技实业有限公司专业为财经证券金融
6、业开发的知名品牌的资讯产品,是集实时行情,智能选股,基本面分析,技术分析于一体,能使投资者全方位、多角度、时时刻刻 研究和 发现证券市场盈利机会。强大的维赛特证券信息数据库, 针对国内、国际不同类型投资群体的需求,设计推出具有独特优势的证券信息数据应用分析工具系列产品。 公司成立于 1995 年底,是专业致力于证券电子资讯信息服务和软件开发的高新技术企业,近 90 名在职员工差不多都为大学毕业,发达的销售 与维护网络,服务周到,产品升级快,市场反映灵敏,用户已遍及全国三十个省市自治区的多个大中城市,在国内三分之一以上证券营业网点、上市公司、投资机构、金融银行等多家用户中享有良好的口碑和信誉。
7、Vsay 资讯已建成国内最完整、最准确的以财经证券数据为核心一流的大型证券工程和财经数据库。提供覆盖全球金融市场的数据和信息资讯服务,内容包括股票,基金,债券,期货,外汇,指数,权证,宏观行业数据等多项品种。(二)网络设计背景证券业突飞猛进的发展,依赖于 Internet 技术及网络技术的发展,20 世纪 40 年代开始的第三次科技革命以电子计算机为重要组成部分,网络技术是从1990 年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源
8、、大型数据库、网络、传感器等。网络科技伴随着智能化、信息科技一起高速发展至今,网络早以全球化及多样化覆盖,E 时代进入了普通人的生活,从工作、学习、生活,都离不开网络及网络科技,信息高速公路通过网络来到我们身边,成为和手机一样通用的工具,成为人们生活、工作、学习中必不可少的一部分。作为一个财经资讯公司,公司的客户依靠网络进行访问,日常的管理工作需要各个部门的协调配合。现实中,由于设备陈旧及资金短缺,目前公司依靠网络并没有实现 100%安全,没有足够的维护经费及安全维护,使得资讯信息日常管理的效率偏低。所以,公司需要建立一个高效、稳定、安全的网络,急需要提高网络和管理的电子化水平,提高服务的硬件
9、基础。需要构建一个中小销售的企业网,公司有 3 个部门,分别是,销售部,信息部,研发部。不同部门内的员工数量在 10-40 人不等,一般情况下部门内部由于业务合作很多,所以数据交换比较频繁、数据量大,部门之间有时也需要互相访问实现工作上的合作和数据共享,公司中心机房采用两台一台高端核心交换机。通过高速的核心交换来实现整个网络的高速交换和网络管理。核心交换机用千兆链路连接,实现整个网络的高可靠性。核心交换机配置冗余电源及冗余核心交换模块,确保核心节点的可靠性,并配置足够的千兆/百兆接口,提供高速可靠的接入能力。满足可靠、快捷地进行大量数据的传输。财经公司没有专业的网管,网络由公司进行统一配置和管
10、理。从内网的安全考虑,使用 VLAN 技术将每个部门的计算机划分到不同的 VLAN 中;公司需要与各个部门进行一些数据传输、为了便于网络管理、企业内部的网络需要使用访问控制的方式,限制销售部门的员工访问内网服务器;公司各个部门的终端电脑采取静态获取终端设备 IP 等设置过程、管理人员的工作量。部分手机业务比较特殊采取静态 IP 地址获取。VLAN 是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。VLAN 可以限制网络上的广播,将网络划分为多个 VLAN 可减少参与广播风暴的设备数量。LAN 分
11、段可以防止广播风暴波及整个网络。VLAN 可以提供建立防火墙的机制,防止交换网络的过量广播。使用 VLAN,可以将某个交换端口或用户赋于某一个特定的 VLAN 组,该 VLAN 组可以在一个交换网中或跨接多个交换机,在一个 VLAN 中的广播不会送到 VLAN 之外。同样,相邻的端口不会收到其他 VLAN 产生的广 播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同 VLAN 内的报文在传输时是相互隔离的,即一个 VLAN 内的用户不能和其它 VLAN 内的用户直接通信,如果不同 VL
12、AN 要进行通信,则需要通过路由器或三层交换机等三层设备。成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本。将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。VLAN 将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便,例如可以轻松管理教师的电子教学开发平台。此外,也很容易确定升级网络服务的影响范围。公司原来简单通过规划不同 IP 地址段来区分隔离不同个部门,但部门内总有些员工会修改自己 IP 地址,试图越权访问。而通过划分 vlan,对员工电脑的网线进行端口绑定,就能有效避
13、免员工通过修改 IP 地址来实现越权访问的问题。三层交换机就是具有部分路由器功能的交换机,三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到一次路由,多次转发。对于数据包转发等规律性的过程由硬件高速实现,而象路由信息更新、路由表维护、路由计算、路由确定等功能,由软件实现。三层交换技术就是二层交换技术三层转发技术。传统交换技术是在 OSI网络标准模型第二层数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发,既可实现网络路由功能,又可根据不同网络状况做到最优网络性能。电子邮件已经成为一个普遍的通信工具,应用非常广泛,可以
14、说电子邮件是 Internet 众多应用创造的最辉煌的奇迹之一。人们使用电子邮件来给传递消息,跟传统的信息传输模式相比,电子邮件具有很强的实效性。 自建邮件服务器有助于提高办公效率、增强数据安全、提高单位形象、便于网络管理员对邮箱的统一管理、应用及管理灵活可根据个人所需进行相应的调整和个性化的设置等特点。访问控制:设置一定的访问控制列表来限制访问相关的部门(如部) 。在实现相关的接入网的同时,要有一定的拓展性,以备将来有用。以尽量少的成本建成性能较好的网络。一是可以节省带宽。在静态路由工作模式下,网络管理员是以手工的方式将路由添加到每台路由器中。为此就不存在路由器之间相互更新路由表的情况。这也
15、就是说在网络中的路由器之间没有带宽占用的情况。为此在静态路由下,用户可用的带宽会比动态路由的带宽要多。从而可以提升企业网络的性能。二是在安全性上,会更加灵活,安全性也会更高。这主要是因为在静态路由模式下,网络管理员可以有选择的允许路由只访问特定的网络。如现在某个集团有四个分公司。分公司之间通过光纤和路由器进行连接。此时就可以通过路由来进行限制,只允许分公司访问集团公司的网络 一般服务器都是部署在集团公司 ,而集团公司不能够访问分公司的网络。而动态路由采用的是自动更新路由表的机制,所以就没有这个特性。三是可以提高路由器的性能。在动态路由模式下,路由器每隔一段时间需要更新一下自己的路由表。这需要一
16、定的资源开销。而在静态路由模式下,路由一经配置之后,不会自动更新。这也就是说,路由器的 CPU 或者内存等没有管理性能方面的开销。这对用户来说,就可以提高数据处理的性能,或者说,购买配置比较低的路由器,帮助用户节省信息化方面的投资等等。Multilayer Switch2 上划分一个VLAN 10 与研发部交换机相连、VLAN 10 地址为 192.168.20.2/24 研发部用户默认网关 ,Multilayer Switch2 核心交换机上的 F0/1 端口与研发部交换机F0/3 相连。 3、信息部交换机核心交换机 Multilayer Switch2 上划分一个 VLAN 20 与信息部
17、交换机进行相连,连接信息部交换机的 F0/2 端口, VLAN 20 分配的地址为192.168.30.1/24 信息部用户默认网关 。Multilayer Switch2 核心交换机上的 F0/2 端口与研发部交换机 F0/3 相连。 4、销售部交换机核心交换机 Multilayer Switch2 上划分一个 VLAN 30 与销售部交换机进行相连,连接信息部交换机的 F0/4 端口, VLAN 20 分配的地址为192.168.40.2/24 信息部用户默认网关 。Multilayer Switch2 核心交换机上的 F0/4 端口与研发部交换机 F0/4 相连。 5、路由器设置公司内部
18、和外网路由器上进行静态路由配置,企业总部路由器出口地址为218.2.135.3.1/29,外网路由器接入口地址为 218.2.135.6/29。企业总部内部服务器网段为 192.168.3.1 到 192.168.3.4。企业内部的网络不仅仅是在公司内部实现资源共享,同时也要从外界获得一些信息和资源。公司网的建立,一定要实现公司资源共享,在一定程度上满足公司数据存储、打印共享和各种信息资源的需求。 邮件服务器是用于公司内部人员之间的邮件的发送,可以发送公司内部的资料数据等。为了防止员工浏览与工作无关的网站,我们要对 DNS 进行设置。通常 DNS服务器遇到自己无法解释的域名时,会通过递归功能向
19、互联网上的根服务器提出请求,由根服务器给出可以解析该域名的 DNS 服务器,通过该服务器对域名进行解释。这样对本地 DNS 未指定的域名,DNS 服务器也能解释。禁用 DNS 服务器的递归功能。安装活动目录,活动目录 AD(Active Directory)是 Windows Server 2003 提供的一种目录服务。它是一种网络服务,标识出网络上所有的资源,使用户可以通过它来访问这些资源。存储在目录中的资源包括:帐户数据、服务器、打印机、计算机和策略等。可以实现远程打印等等其他功能。有利用网络管理对于网络的见控、维护。设计方案与布线规划(一)公司方案特点1、系统安全,保密性高:利用 VLA
20、N 及交换机端口安全避免盗用网络资源;采用 NAT、防火墙等技术,实现地址转换并将内部网和外部网隔离 ,保证公司数据的完整和安全性,要求网络有高的安全性。2、设备的可靠性、容错性,关键部件支持带电热插拔,减少出现故障的时间,能快速的解决设备出现故障。3、可扩展性,支持带宽的线性增长,从单一的 200M(全双工)主干扩展到 1GE/2GE 的网络主干,以满足不断增长的带宽需求 4、可管理性。安全性和可靠性是以网络设备的可管理性作为基础的,管理员可以根据需要进行配置和监控,提供与大部分网络设备(包括与其他主要厂家)的互连管理 ,便于网络监控,快速排除故障 (二)现场勘察分析根据钢铁厂计算机大楼的结
21、构特点制定详细的网络连接图,其中包括如下信息:1.网络上个信息点(即办公点)的分布图,工作空间大小与距离2.电源插座的位置,包括目前正在使用的插座的设备3.所有不可移动的物品的位置(如支撑柱,分隔墙,内置柜等)4.所有办公家具的当前位置5.所有计算机和类似打印机的外部设备的位置6.门和窗口的位置7.通风管道和目前电线的位置(三)安全措施的实现重要子网与公司网实现物理隔离,例如网络中心等部门可构成独立的局域网。局域网与公司网之间没有线缆连接。在路由器上设置包过滤规则。运行和安装防毒设施。应用软件采取访问权限、数据加密、口令密码等各种手段保证应用软件本身的安全可靠。重要的系统和数据应有备份,一旦遭
22、到破坏可立即恢复。网络中心要建立严格的管理制度。总体网络服务构建系统组成与拓扑结构下图是企业网络的总体拓扑图:图 1 拓扑结构图拓扑图中的路由器、核心交换机构成了网络的核心,也就是我们平常说的网络中心,网络中心性能的好与坏将直接影响整个公司网的性能,因此,网络中心的组建将是整个公司网组建很重要的部分。路由器处在网络中心的最顶层,它直接与互联网连接,同时内连公司网中的防火墙,所以路由器在公司网中的作用非常重要。我们在选择适合的路由器时,要根据网络的规模来决定。例如路由器的带机数量,路由器的性能等,这些都要根据公司网的规模来确定。至于路由器的功能,我们不用考虑太多,由于市场上的产品同质化严重,所以
23、目前市场上的路由器大多都具有带宽控制,MAC 地址绑定,Qos 机制等多种功能,我们只要将这些功能应用得当,就能最大限度利用路由器。在选择路由器时,我们要考虑路由器的稳定性,对于路由器的稳定问题,是一个比较难回答的问题,我们只能了解其他用户使用路由器之后的感受,不过建议大家选用大厂所生产的路由器,大厂生产的路由器虽然价格要贵一些,但稳定性能够得到保障。 网络中心的防火墙担当网络防黑的作用,虽然网络中心的路由器也具有防火墙功能,不过路由器的防火墙功能一般都不够强大,因此,小型公司网中使用防火墙还是有必要。防止外来黑客攻击比较复杂,这需要管理员具有较高的专业知识,因为一款防火墙不进行设置,是无法抵
24、御黑客的攻击。防火墙的性能与功能同样重要,公司员工要访问互联网必需经过防火墙,如果防火墙性能比较差,将严重影响公司网性能。防火墙性能主要根据吞吐量,并发连接数来确定。我们在选择防火墙时,最好选择带 VPN 功能的防火墙,目前实现远程网络访问,采用 VPN 技术是最好的方式。网络中心的核心交换机也是根据公司规模来确定,为了方便管理,这里通常都是采用支持 VLAN 的三层路由交换机,VLAN 功能可以帮助管理员管理公司网络,防止广播风暴发生。在一些中小型公司,采用千兆骨干网的比较多,而一些大型公司则采用万兆骨干网,所以三层交换机也要根据采用什么样的骨干网来确定选择千兆或万兆三层路由交换机。接入交换
25、机与核心交换机的连接,其实接入交换机的选择比较简单,可根据需要的计算机节点数来选择,也就是计算机数量决定选择多少口的交换机,现在普通的交换机一般为 24 口,也有 48 口交换机,如果计算机超过这个数量,要么将交换机进行级联,要么采用可堆叠的交换机进行堆叠。采用交换机进行级联肯定要造成网络速度下降,但这种方式比较节约成本投入。采用堆叠交换机则不会对性能造成影响,但这种方式投入的成本比较高,所以用户要根据自己具体情况来确定。交换机的性能在这里也非常重要,它是网络的基础,它的性能直接影响用户使用的网络性能。交换机性能由交换容量和数据包转发率来确定,这两个的值越大越好,不过这两个值越大价格也就越高,
26、并且这两个值过大,会造成网络资源的浪费。最后我们需要注意,如果我们采用级联方式组网,那么这一层交换机最好采用带流量控制等功能的交换机,让管理员可对交换机进行管理。在核心交换机和汇聚交换机有个需要注意的连接问题,如果核心交换机与汇聚交换机连接距离超过 100 米,那么采用双绞线是无法实现它们之间的连接,只有使用光纤才能满足需要。为了实现网络设备的统一,本设计方案中完全采用同一厂家的网络产品,即Cisco 公司的网络设备构建.整个局域网使用同一厂商设备的主要好处在于:可以实现各种不同网络设备功能的互相配合和补充.VLAN 及 IP 地址规划虚拟局域网 VLAN 将广播域限制在单个 VLAN 内部,
27、减小了个 VLAN 间主机的广播通信对其他 VLAN 的影响.在 VLAN 间需要通信的时候,可以利用 VLAN 间路由技术来实现.在一个大小型网络里,VLAN 的划分是必不可少的步骤之一。在财经资讯公司组网方案设计中,按照应用需求,在网络中需要设置 VLAN,快速端口,链路捆绑,Internet 接入等功能.该财经资讯公司网内部分配的 VLAN和 IP 编址方案如表 1 所示内网 2811XM 路由器上的 IP 编址方案如表设备名称 端口名称 IP 地址 2811XM enterprise S1/0218.2.135.1/29 F0/0 192.168.9.1/24 F0/1192.168.
28、3.1/24 外网 2811 路由器上的 IP 编址方案表设备名称 端口名称 IP 地址 2811XM ISP S1/0218.2.135.6/29 F0/0 202.1.2.1/24 F0/1202.1.3.1/24 Modem0/2/0202.1.1.1/24 核心交换机 3560 24PS 交换机上 IP 编址方案设备名称 VLAN 名称 端口 IP 地址 3560-24PS Multilayer Switch2 VLAN 10 F0/1 - 10 192.168.20.2/24 VLAN 20F0/2 - 3 192.168.30.1/24 VLAN 30 F0/4 - 4192.16
29、8.40.2/24 VLAN 40 F0/3 - 3 192.168.9.2/24应用服务器上 IP 编址方案设备名称 所在位置 连接设备端口 IP 地址 邮件服务器 内网192.168.3.4 DNS 服务器 外网 202.1.2.2/24 web 服务器外网 202.1.3.2/24详细设计模块交换机与路由器的总体配置1、接入层交换机的配置在接入层交换机采用的是 3560-24ps 口交换机,该交换机拥有 24 个自适应快速以太网端口,运行的是 Cisco 的操作系统.本例中,以图 1 中的交换机Multilayer Switch2 为例介绍接入层交换机的典型配置过程。配置接入层交换机的访
30、问端口接入层交换机为终端用户提供接入服务。在接入层交换机 Multilayer Switch2 上创建 VLAN 10,VLAN 20,VLAN30,VLAN40 分别把端口 F0/1 划分到VLAN1,把端口 F0/2 划分到 VLAN2,把端口 F0/3 划分到 VLAN3 配置过程如下.在三层交换机 Multilayer Switch2 上面划分 VLAN,并向 VLAN 中添加端口Switch enSwitch#conf tSwitch config #vlan 10Switch config-vlan #vlan 20Switch config-vlan #vlan 30Switch
31、 config-vlan #int vlan 10Switch config-if #ip add 192.168.20.2 255.255.255.0Switch config-if #int vlan 20Switch config-if #ip add 192.168.30.1 255.255.255.0Switch config-if #no shutSwitch config-if #int vlan 10Switch config-if #no shutSwitch config-if #exitSwitch config #int f0/2Switch config-if #sw
32、Switch config-if #switchport aSwitch config-if #switchport access vlan 20Switch config-if #exitSwitch config #ip routingSwitch config #int f0/1Switch config-if #switchport access vlan 10Switch config-if #int f0/3Switch config-if #switchport access vlan 30Switch config-if #int vlan 30Switch config-if
33、 #ip add 192.168.40.2 255.255.255.0Switch config-if #no shutSwitch config-if #switchport access vlan 30在二层交换机 Switch0 上面划分 VLAN,并向 VLAN 中添加端口Switch#Switch#conf tSwitch config #int vlan 10Switch config-if #exitSwitch config #int r fastEthernet 0/1 - 10Switch config-if-range #sw ac vlan 10Switch confi
34、g-if-range #exitSwitch config #int r fastEthernet 0/1 - 10Switch config-if-range #sw ac vlan 10Switch config-if-range #no shutdownSwitch config-if-range #exitSwitch config #int f0/3Switch config-if #sw m trunk 在二层交换机 Switch4 上面划分 VLAN,并向 VLAN 中添加端口kufu enkufu#conf tkufu config #vlan 20kufu config-vl
35、an #exitkufu config #int range f0/4-10kufu config-if-range #switchport access vlan 20kufu config-if-range #int range f0/3kufu config-if-range #switchport access vlan 20在二层交换机 Switch1 上面划分 VLAN,并向 VLAN 中添加端口Switch enSwitch#conf tSwitch config #vlan 30Switch config-vlan #int range f0/5-10Switch config
36、-if-range #switchport access vlan 30Switch config-if-range #int range f0/4Switch config-if-range #endSwitch#conf tSwitch config #int f0/4Switch config-if #switchport access vlan 30配置路由器的静态路由路由功能在路由器上需要定义两个方向的路由:到 Internet 上的默认路由,到公司内部的静态路由。相关的配置语句如下:配置路由器 IP 地址在配置路由器 ISP 里面的端口 IPISP enISP#conf tISP
37、config #int f0/0ISP config # ip add 202.1.2.1 255.255.255.0ISP config #no shutISP config #exitISP config #int f0/1ISP config # ip add 202.1.3.1 255.255.255.0ISP config #no shutISP config #exitISP config #int s1/0ISP config # ip add 208.2.135.1 255.255.255.0ISP config #slock rate 64000ISP config # no
38、 shutISP config #router ripISP config-router #network 218.2.135.6ISP config-router #network 202.1.3.1ISP config-router #network 202.1.2.1ISP config-router #network 202.1.1.1配置路由器 enterprise 上面的端口 F0/1 和 F0/2, s1/0 的 IPNAT,使内部的计算机可以正常访问外网enterprise config #access-list 1 permit 192.168.20.0 0.0.0.255e
39、nterprise config #access-list 1 permit 192.168.9.0 0.0.0.255enterprise config #ip nat inside source list 1 interface s1/0 overloadenterprise config #int s1/0enterprise config-if #int s1/0enterprise config-if #ip nat outsideenterprise config-if #exitenterprise config #int f0/0.1enterprise config-subi
40、f #在内部路由器上配置 NAT 实现内部 Web 服务器的映射:enterprise config-subif #ip nata inside source static 192.168.3.2 218.2.135.2enterprise config-subif #ip nata inside source static 192.168.3.3 218.2.135.3enterprise config-subif #ip nata inside source static 192.168.3.4 218.2.135.4enterprise config-subif #int f0/1ent
41、erprise config-subif #ip nat insideenterprise config-subif #int s1/0enterprise config-subif #ip nat outside设置 IP 的访问控制列表enterprise config #enterprise config # access-list 1 deny 192.168.40.0 0.0.0.255enterprise config # access-list 1 permit 192.168.30.0 0.0.0.255enterprise config # access-list 1 per
42、mit 192.168.20.0 0.0.0.255enterprise config #inter f0/1enterprise config-if #ip access-group 1 out配置静态路由在路由器 enterprise 里面配置静态路由使出差员工能访问内网enterprise enenterprise#conf tenterprise config #router ripenterprise config-router #network 192.168.9.1enterprise config-router #network 192.168.3.1enterprise co
43、nfig-router #network 218.2.135.1enterprise config-router #endenterprise#show ip route3、访问控制列表配置路由器的访问控制列表使目标 VLAN30 不能访问 VLAN50enterprise config #enterprise config # access-list 1 deny 192.168.40.0 0.0.0.255enterprise config # access-list 1 permit 192.168.30.0 0.0.0.255enterprise config # access-lis
44、t 1 permit 192.168.20.0 0.0.0.255enterprise config #inter f0/1enterprise config-if #ip access-group 1 out没有配置访问控制列表时 VLAN30 成功的 ping 通的 VLAN50配置后这就说明了 VLAN30 的访问控制效果实现了不能 ping 通 VLAN50服务器系统基本配置1、Windows Server 2003 网络操作系统Windows Server 2003 以其安全性、可靠性、可用性和可伸缩性而受到诸多系统管理员的青睐,成为中小型网络中最流行的网络操作系统。对于办公网络这个
45、对安全性、可靠性、管理性要求比较高的网络来说,Windows Server 2003 无疑是一个理想的平台。借助 Windows Server 2003,可以按照办公网络的需要,以集中或分布的方式充当各种服务器,为办公网络提供几乎所有最基本的网络服务。Windows Server 2003 在实用性和安全性方面都有了很大的改进和提高,系统安装也并不复杂,整个过程中需要用户参与的地方很少。但是,任何操作系统都会存在漏洞,Windows 也不例外,所以需要不断的更新系统,安装补丁和 Server Pack。2、在 Windows Server 2003 系统安装前,应当先做好以下准备:1 规划服务
46、器:无论企业网络中只有一台服务器,还是拥有多台服务器,都必须事先进行设计和规划,从而合理的将网络服务分配在不同的服务器上。例如,可以将 Web、FTP 和 E-mail 放在一个服务器上,将数据库单独放在一台服务器上等。2 设置 RAID :如果服务器上安装 RAID 卡,那么必须在安装操作系统之前,先设置 RAID 卡上所连接的硬盘。根据连接硬盘的数量和网络服务的需要,可以分别设置为 RAID1 或 RAID5。具体设置及方法请参见随卡提供的安装手册。3 准备安装向导光盘和制作驱动程序安装盘,备份文件。4 查看硬件和软件的兼容性,重新格式化硬盘。在 Windows Server 2003 中
47、应当采用 NTFS 文件系统。3、Windows Server 2003 的具体安装,在此不做详细描述。在此提示下安装过程中应当注意的问题, (1)正确选择版本:用户要根据自己的网络需要选择不同的版本,以应用合适的网络服务。 (2)减少安装组件:有些默认安装的常用组件,这些默认组件的安装是有危险性的,在安装时应当明确知道需要这台服务器提供哪些服务,并且安装需要的服务。 (3)硬盘分区采用 NTFS 文件系统 ,合理划分分区。(三)各类应用服务器配置1、活动目录与用户活动目录是 Windows Server 2003 系统中的目录服务,是一种网络服务,它标识网络上所有资源,并使用户和应用程序可以
48、轻松的访问和使用这些资源,具有安全性、可扩展性和可伸缩性的特点。它是存储网络资源信息的目录,以及让这些信息可供网络用户使用的所有服务。网络中的所有资源,包括用户账户、文件数据、服务器、计算机管理和安全策略等,使用户使用和管理更加简便。1 活动目录的安装活动目录必须安装在 NTFS 分区中,必须正确安装网卡驱动程序,安装并启用了 TCP/IP 协议,合理规划域结构。安装域控制器,运行“配置您的服务器向导” ,在“服务器角色”对话框的“服务器角色”列表中,选择“域控制器”选项,将该计算机设置为域控制器,并同时安装活动目录,根据安装向导安装服务,详细不做描述。2、简单邮件服务器:1 打开【管理您的服
49、务器】窗口,单击【添加或删除角色】超级链接,显示【配置您服务器向导】 。单击“下一步”2 选中【邮件服务器】将给该机器安装为邮件服务器,单击“下一步”3 在【身份验证方法】下拉列表中设置用户身份的验证方式,我们这里用的是【Active Directory 集成的】 ;在【在电子邮件域名】文本框中输入电子邮件的域名“batu”;点击“下一步”4 将 Windows Server 2003 的安装光盘放到光驱中,POP3 服务组件的安装将开始。点击“下一步”5 Windows 组件向导开始安装所选的组件6 邮件组件安装完成,点击“完成” ,返回到“管理您的服务器”对话框,提示到邮件服务器安装成功。在下面我们就要配置邮件服务器:邮件服务器安装好后还需要进行一定的配置才能正常工作。下面是具体的配置步骤:1 执行【开始】【管理工具】【POP3 服务】菜单操作,在打开如图所示邮件服务器窗口。添加邮箱,这里我只添加了两个邮箱做介绍,在这个对话框中可以配置服务器所使用端口、日志级别、根邮件目录,是否要采取安全密码身份验证方式,以及是否为新邮箱创建关联的用户。具体配置很简单,不再赘述。2 在如图所示邮件服务器窗口左边窗格中选择相应的邮
