2022年网络系统集成校园网络系统集成 .pdf

《2022年网络系统集成校园网络系统集成 .pdf》由会员分享，可在线阅读，更多相关《2022年网络系统集成校园网络系统集成 .pdf（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 1. 需求分析1.1 需求说明通过对常用的组网设备 （包括交换机、路由器、防火墙） 、 常见的网络服务系统 （Web服务、 Proxy 服务、 Smtp & Pop3 服务、 DNS 服务等）的安装与配置，加深对上述设备和系统工作原理的理解， 初步掌握其安装配置方法， 为将来从事网络工程建设打下基础。设计并构建一个小型的校园网络平台，并在该平台上构建INTERNET 服务平台，该网络工程建成后，将具有以下服务功能：（1）具有内部 Web 服务功能（ http） ；（2）具有外部 Web 服务代理功能(proxy 服务)；（3）具有邮件收发功能 (smtp & pop3)；（4）具有对内部核

2、心子网安全保护功能（防火墙）；（5）具有内部域名解析功能(DNS)；（6）具有简单的网络管理功能(SNMP)。图 1.1 网络拓扑名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 20 页 - - - - - - - - - 2 1.2 配置说明1.2.1 邮件服务在内部网络设立 MAIL 服务器，支持 SMTP 和 POP3 收发电子邮件， 要求建立三个邮件帐号：， ， ，用来测试内部邮件的收发。要求在外部网络构建MAIL 服务器，支持 SMTP 和 POP3 收发电子邮

3、件，并要求建立二个邮件帐号： ， 用来测试内部邮件系统和外部邮件系统之间的邮件收发。1.2.2 DNS 服务在内部网络设置 DNS 服务功能，支持内部网络系统名字的正向和反向域名解析服务。1.2.3 WEB 服务建立一个内部 WEB 服务网站： ，设计测试网页；提供 3 个虚拟主机服务： , , ，并设计相 应 的 测 试 网 页 ； 提 供3个 个 人 主 页 服 务 ： ，并设计相应的测试网页；建立一个外部 WEB 服务网站： ，设计测试网页。1.2.4 代理服务能根据用户级别设置不同访问权限, 要求有 teacher 、student 和 worker 三组用户；对于 teacher 组

4、的教员， 能够在任何时间访问任何网站；对于student 组的学员，能够访问内部网站和在非学习时间（学习时间定义为：周1 至周 5 的 08：00-17 ：30）访问除 之外的任何网站；对于 worker 组的教工，不允许访问任何网站。1.2.5 交换机通过串口和 telnet对设备名称、密码、网管参数进行设置；按照网络 TOP图 1 的要求，通过远程登录到交换机上，对交换机进行VLAN 划分。1.2.6 防火墙通过串口和 telnet对名称、密码、接口参数进行设置；按照网络要求对访问规则进行配置。1.2.7 路由器通过串口和 telnet对名称、密码、接口参数、网管参数进行设置；按照网络的要

5、求，对路由器进行路由设置。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 20 页 - - - - - - - - - 3 2. 网络拓扑图下图为本次设计的整体组网图， 整个网络分为三个域， 即 DMZ ， Untrust Zone， Trust Zone。 其中图求中的 vlan10 和 vlan20 为 Trust Zone， 主要为局域网用户；vlan30 为 DMZ ，是该园区网络的服务器群，包括：web 服务器 、域名解析服务器、代理服务器，以及邮件服务器；In

6、ternet 为 Untrust Zone， 包括：外部 web服务器、邮件服务器等。Trust Zone和 DMZ 同两台交换机相联， 在 Internet 和 DMZ 区之间架设一台高性能的防火墙，从而在较大程度上保证内部网络的安全，在防火墙的外端口进行NAPT（NAT 中基于端口的一种） ,完成网络地址的转换，这在一定程度上也保证了内部网络的安全性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 20 页 - - - - - - - - - 4 3. 网络配置3.1

7、 内部 web服务器(1）为该服务配置多个IP 地址。为后面服务器上挂载多个载点作好准备，因为一个IP地址在不改变其他参数的条件下只能挂载一个网站。实验中一共配置4 个 IP 地址：192.168.1.2 ，192.168.1.7 ，192.168.1.5 ，192.168.1.6 。(2) 安装 IIS5.1。因为 xp 系统默认下不安装IIS，如图 3.1 所示。在此之前，你应该准备你下载的安装包或者系统安装盘，按照提示完成IIS 的安装过程。图 3.1 IIS 安装(3) 挂载网站。安装 IIS 后会自动生成一个默认Web站点，将其作为要挂载的网站。点击“开始”“程序”“管理工具”“In

8、ternet 服务管理器”，出现“Internet信息服务”窗口，右键单击“默认Web站点”，选择“属性”进行设置。在“Web站点标识”中，将说明改为挂载的网站名，实验中为“test”选择 IP 地址， TCP 端口保持默认的80 不变。将制作好的网站文件拷贝到默认目录中，“test”的设置就算完成了。将制作好的网站拷贝到默认目录下。(4) 按照（3）步进行其他网站的挂载。与第三步不同的是网络标识里的“描述”和“IP地址” ，端口号不用作任何改变。其描述分别为：test1 ，test2 ，test3 ，对应的 IP地址分别为： 192.168.1.7 ，192.168.1.5 ，192.168

9、.1.6 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 20 页 - - - - - - - - - 5 (5) 为 提供三个主页服务， 即： ， 服务器配置，在浏览器中输入网站IP 地址和域名进行测试。 (在没有配置 DNS 服务器的情况下，只能通过IP 地址访问以下网站；当配置好相应的域名记录，就可以通过域名找到相应主机，从而访问相关的站点)。3.2 内部 Mail 服务器(1) 安装 Imail。安装过程中，在“Offcial Host Name”对话框中输入邮

10、件服务器的域名，如图 3.2 所示；在“ Services Start Options ”对话框选择要启动的服务，如图3.3 所示。图 3.2 Offical Host Name 图 3.3 Services Start Options (2) 启动 Imail 服务器。选“ localhost右键 Add Host”，实验中为“ ” 。(3) 添加邮件用户。选“ Users右键 Add User”。 实验中建立名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 20 页 -

11、 - - - - - - - - 6 三个邮件帐号： ， ， ，用于测试内部邮件的收发。(4) 客户端配置。设置Outlook Express：工具帐户添加邮件帐户；“接收邮件服务器（POP3）”和“发送邮件服务器（SMTP）”中均填写均填写邮件服务器域名，实验中为“ ” 。(5) DNS 设置。查看“ ”的 IP Address，打开 DNS 管理器，建立相关的DNS 记录。实验中需将“ ” “对应其 IP Address” ，以便正确的进行域名解析。DNS设置的具体方法在此不作过多解释，下一节中有详细的配置过程。到此为止，已经可以用已知的帐号进行邮件收发工作了。3.3 DNS 服务器（1）

12、安装 DNS 服务器。打开控制面板，选择添加/删除 windows 组件，选择网络服务，选择详细信息，选择域名服务系统（DNS） ，并单击确定，完成组件的添加。其操作如图 3.4 和 3.5 如示：图 3.4 选择网络服务名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 20 页 - - - - - - - - - 7 图 3.5 选择 DNS （2）启动 DNS 服务器。启动后的界面如图3.6 所示，从启动后的界面我们不难看出，DNS 服务器支持两种域名解析形式，即正向域

13、名解析和反向域名解析两种方式。通过正向域名解析， 可以找到相应域名的IP 地址，通过反向域名解析可以找到对应 IP 地址的主机域名。图 3.6 域名服务器运行界面（3）按照设计要求，在正向搜索区域和反向搜索区域中加入域名解析记录。其中邮件服务器的域名为： ，与之对应的主机地址是：192.168.1.3 ；内部 web 服务器 对 应 的 域 名 分 别 为 ： 、 、 、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 20 页 - - - - - - - - - 8 ，

14、与之对应的 IP 地址分别为：192.162.1.2、 192.168.1.7 、 192.168.1.5 、192.168.1.6；外部 web 服务器对应的域名是：，与之对应的 IP 地址是：202.198.3.2 。当进行了正向域名解析和反向域名解析后，访问网站既可以采用IP 地址的方式，即在浏览器中直接输入该web服务器的 IP 地址， 也可以通过输入域名访问web 服务器。其中邮件服务器，只能通过域名的方式，因为利用pop3和 smtp 收发邮件的时候，收发邮件的服务器均填写的邮件服务器的域名，且邮件在收发过程中， 也是通过域名进行邮件服务器的寻址的。3.4 Proxy服务（1）下载

15、并安装 SuperProxy软件。（2）运行 SuperProxy，其运行界面如图3.7 所示：3.7 运行界面(3) 由于该软件是共享版， 不能新建群组， 就建 3 个用户代替。 三个用户分别是 teacher 、student和 worker。建立用户的时候注意权限的设置。对于 teacher用户，能够在任何时间访问任何网站，即默认的访问权限；对于student用户，能够访问内部网站和在非学习时间（学习时间定义为： 周 1 至周 5 的 08： 00-17： 30） 访问除 之外的任何网站；对于worker 用户，不允许访问任何网站。由于软件的限制，只完成对 teacher和 worker

16、 两个用户的全部权限设置， 以及 student用户的部分权限设置。其中 teacher权限设置如图 3.8 所示， worker 由于所赋予的权限正好和teacher相反，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 20 页 - - - - - - - - - 9 只需要将通过中“允许”修改为“禁止”即可。图 3.8 teacher用户3.5 外部 web服务器外部 web 服务器内部web 服务器的配置方法类似。服务器搭建好后，挂载网站，并在域名解析服务器中加入域

17、名解析记录，设计相关测试页，通过浏览器访问所挂载的网站。3.6 外部 Mail 服务器该服务器的配置方法和内部Mail 服务器配置方法类似。服务器搭建好以后，建立二个邮件帐号： ， 用来测试内部邮件系统和外部邮件系统之间的邮件收发。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 20 页 - - - - - - - - - 10 3.7 交换机配置本设计涉及三个交换机的使用。 其中两个用于内网用户之间的互联，一个用于外网。具体来说，三个交换机分别位于：内网用户、内网服务器

18、群、外网。分别将三个交换机标识为： switch1、switch2、switch3。下面将三个交换机上的配置过程记录如下：(1) switch1 的配置hostname switch1 interface range FastEthernet0/1-12 /将 1-12 端口划分到 vlan10/ switchport access vlan 10 interface range FastEthernet0/13-22 /将 13-22 端口划分到 vlan20/ switchport access vlan 20 interface FastEthernet0/24 /将 24 号端口作为

19、trunk，透传 vlan 数据/ switchport mode trunk interface Vlan1 ip address 172.17.46.2 255.255.255.0 /配置设备管理 IP 地址/ line vty 0 4 password test /配置登录密码 / login (2) switch2 的配置hostname switch2 interface FastEthernet0/1-20 /将 1-20 端口划分到 vlan30/ switchport access vlan 30 interface FastEthernet0/24 /将 24 端口作为路由器

20、端口 / no switchport ip address 192.168.12.1 255.255.255.252 interface Vlan1 ip address 172.17.46.3 255.255.255.0 /配置设备管理 IP 地址/ interface Vlan10 ip address 192.168.2.61 255.255.255.192 /配置 vlan10 的 svi/ interface Vlan20 ip address 192.168.2.125 255.255.255.192 /配置 vlan20 的 svi/ 名师资料总结 - - -精品资料欢迎下载 -

21、 - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 20 页 - - - - - - - - - 11 interface Vlan30 ip address 192.168.1.5 255.255.255.0 /配置 vlan30 的 svi/ router ospf 1 /启动 ospf 协议/ log-adjacency-changes network 192.168.2.0 0.0.0.63 area 1 network 192.168.1.0 0.0.0.255 area 1 network 192.168

22、.12.0 0.0.0.3 area 1 line vty 0 4 password test /配置登录密码 / login (3) switch3 的配置鉴于 switch3 仅用作网络互联，并没有vlan 的划分及更多其他相关配置，因此只需要配置设备管理地址，及远程登录的密码。设备管理IP 地址和远程登录密码的配置方法和前面交换机的配置相同，在此不列出它的配置代码。3.8 路由器配置设计中涉及一个路由器的配置，配置的内容主要是端口地址的配置，设备管理IP地址的配置，以及远程登录密码的设置。hostname Router interface FastEthernet0/0 ip addre

23、ss 202.198.3.1 255.255.255.0 /配置 0 号端口地址 / duplex auto speed auto interface FastEthernet0/1 ip address 202.198.2.254 255.255.255.0 /配置 1 号端口地址 / duplex auto speed auto interface Vlan1 ip address 172.17.46.4 255.255.255.0 /配置路由器管理 IP 地址/ router ospf 1 /启动 OSPF进程，进行路由的选择 / log-adjacency-changes 名师资料总结

24、 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 20 页 - - - - - - - - - 12 network 202.198.2.0 0.0.0.255 area 1 network 202.198.3.0 0.0.0.255 area 1 line vty 0 4 password mycisco /配置登录密码 / login 3.9 防火墙配置防火墙主要用于保障内网用户的安全。实验中涉及一个防火墙的使用，要求在防火墙上进行 NAT（网络地址转换），通过配置能够进行基于网

25、络层的包过滤，同时制订安全策略，力求最大程度地保证内网主机的安全。sysname myFireWall firewall packet-filter enable firewall packet-filter default permit undo connection-limit enable connection-limit default deny connection-limit default amount upper-limit 50 lower-limit 20 firewall statistic system enable radius scheme system acl n

26、umber 2001 rule 0 permit source 192.168.1.0 0.0.0.255 rule 0 permit source 192.168.2.0 0.0.0.255 acl number 3001 rule 0 deny tcp source-port eq 3127 rule 1 deny tcp source-port eq 1025 rule 2 deny tcp source-port eq 5554 rule 3 deny tcp source-port eq 9996 rule 4 deny tcp source-port eq 1068 rule 5

27、deny tcp source-port eq 135 rule 6 deny udp source-port eq 135 rule 7 deny tcp source-port eq 137 rule 8 deny udp source-port eq netbios-ns 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 20 页 - - - - - - - - - 13 rule 9 deny tcp source-port eq 138 rule 10 deny

28、 udp source-port eq netbios-dgm rule 11 deny tcp source-port eq 139 rule 12 deny udp source-port eq netbios-ssn rule 13 deny tcp source-port eq 593 rule 14 deny tcp source-port eq 4444 rule 15 deny tcp source-port eq 5800 rule 16 deny tcp source-port eq 5900 rule 18 deny tcp source-port eq 8998 rule

29、 19 deny tcp source-port eq 445 rule 20 deny udp source-port eq 445 rule 21 deny udp source-port eq 1434 rule 30 deny tcp destination-port eq 3127 rule 31 deny tcp destination-port eq 1025 rule 32 deny tcp destination-port eq 5554 rule 33 deny tcp destination-port eq 9996 rule 34 deny tcp destinatio

30、n-port eq 1068 rule 35 deny tcp destination-port eq 135 rule 36 deny udp destination-port eq 135 rule 37 deny tcp destination-port eq 137 rule 38 deny udp destination-port eq netbios-ns rule 39 deny tcp destination-port eq 138 rule 40 deny udp destination-port eq netbios-dgm rule 41 deny tcp destina

31、tion-port eq 139 rule 42 deny udp destination-port eq netbios-ssn rule 43 deny tcp destination-port eq 593 rule 44 deny tcp destination-port eq 4444 rule 45 deny tcp destination-port eq 5800 rule 46 deny tcp destination-port eq 5900 rule 48 deny tcp destination-port eq 8998 rule 49 deny tcp destinat

32、ion-port eq 445 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 20 页 - - - - - - - - - 14 rule 50 deny udp destination-port eq 445 rule 51 deny udp destination-port eq 1434 interface Aux0 async mode flow interface Ethernet0/0 ip address 192.168.1.1 255.255.255.

33、0 firewall packet-filter 3001 inbound interface Ethernet1/0 ip address 202.198.2.1 255.255.255.0 firewall packet-filter 3001 inbound nat outbound 2001 nat server protocol tcp global 202.198.2.1 www inside 192.168.1.2 www firewall zone local set priority 100 firewall zone trust add interface Ethernet

34、0/0 set priority 85 firewall zone untrust set priority 5 firewall zone DMZ add interface Ethernet1/0 set priority 50 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 20 页 - - - - - - - - - 15 4. 结果与分析4.1 邮件服务对于内网邮件服务（基于pop3和 smtp） ，能够利用建立的三个邮件账号互发邮件。基于 web 方式的没有

35、实现，但原理上没有太大区别。对于外部邮件服务器，可利用建立的两个用户成功完成通信。4.2 DNS 服务配置好 dns服务器后，能够正确的进行正向和反向两个方向的域名解析。通过域名解析，用户可以通过域名访问内外部网站，与此同时还可通过主机IP 地址的方式访问网站。当然要正确的进行域名解析，必须首先确保域名服务器的地址完全正确，即在主机上配置正确的域名服务器地址。4.3 web 服务为了挂载多个网站， 实验中将一张网卡配置多个IP 地址，每个 IP 地址挂一个网站。然后在域名解析服务器上添加相应的正向和反向域名解析记录。最后，能正常的进行网站的访问，网站的测试如图4.1 如示：图 4.1 测试网页

36、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 20 页 - - - - - - - - - 16 4.4 代理服务器安装和设置由于模拟软件上不具备代理服务器功能，所以用软件来模拟代理过程， 安装设置方法如下：图 3-9 安装 proxy 代理服务器选择安装目录后，点击下一步（next ） ，进入显示安装信息界面，如下图所示：图 3-10 显示安装信息图代理服务器软件的安装过程室全自动的，安装完成后点击finish，进入到软件的设置和试用。如下图所示室完成安装的界面：名

37、师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 20 页 - - - - - - - - - 17 图 3-11 完成安装界面安装完成，设置信息的界面如下图所示，图中显示了设置的具体信息：图 3-12 设置代理服务器信息图在本校园网络中，代理服务器的名称为proxy ，地址室 192.168.1.4 ，设置如下：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1

38、7 页，共 20 页 - - - - - - - - - 18 图 3-13 设置代理服务器地址图设置完成后，用户可以通过设置的代理服务器登录到外部网络。本软件最多允许3个用户登录到外部网络，可以添加用户。设置成功，如下图所示：图 3-14 显示用户信息图4.5 交换机通过 vlan 划分，能够有效的隔离广播流量，防止二层环路的形成；通过三层交换机 svi 的配置，能够有效的进行不同vlan 之间的通信；通过三台交换机vlan1 网管地址的配置以及登录密码的设置，能够进行远程登录，方便管理员对设备的管理、配置。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - -

39、 - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 20 页 - - - - - - - - - 19 4.6 路由器路由器在设计中作为重要的网络设备，能够进行不同网络的路由选择。设计中，通过对 vlan1 网管地址的设置以及登录密码的设置，方便用户进行远程登录， 对设备进行维护和管理。在路由器上配置ospf 路由选择协议，能够顺利完成路由的选择，达到不同网络之间的通信问题。4.7 防火墙通过防火墙的配置，能够实现内网地址向公网地址的网络地址转换。提供转换的公网地址只有一个，要求基于端口网络地址转换，即napt （端口网络地址转换）。并且，在防火墙上屏蔽病

40、毒或木马经常利用的端口。最后，在防火墙上配置了公网地址向内网地址的映射，即通过外网可以访问内网的web服务器，而不能访问内部其他主机。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 20 页 - - - - - - - - - 20 5. 体会与建议本将设计是一个校园网络的系统集成。所涉及的配置内容包括常见的网络互联设备和常见服务器的配置，如dns 服务器、 web服务器、 proxy 服务器、 mail 邮件服务器等服务器配置。本次实验的内容较多，网络设备的配置不是第

41、一次接触，但其他服务器配置还是第一次接触，有一定的难度。网络设备的配置，防火墙也很复杂，配置内容包括nat 转换，也包括常见的病毒防范等。本次试验的遇到了以前实验没有遇到过的很多难题，比如邮件服务器配置，DNS服务器配置， WEB 服务器配置以及 PROXY 服务器配置等，都是第一次接触，虽然是直接操作软件，但要顺利配置成功还是有一定的难度，这方面不得不到处查找资料，学习配置方法，最终还是配置成功。本次试验，不仅在网络配置方面，增强了基础知识，还学会了一些基本服务器配制方法，增大了知识面，对以后学习有了较大的提高，另外，也培养了自学能力以及处理问题的能力。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 20 页 - - - - - - - - -