BG2Q10101O班系统集成争霸赛.doc

基于公司目前的现状，我们从以下四方面来实施此工程：第一方面：是物理的连通性第二方面：系统的集成性第三方面：网络服务的集成性第四方面：网络安全的集性首先是物理的连通性鉴于网线的表示，我们使用测线仪侧线【将客户机的线缆拔出，插在侧线仪器基座上，然后到交换机设备观察对应接口，然后重新给设备打上标签】其次系统的集成性，基于公司的员工数量，我们采用域环境管理模式，系统采用windows-server-2008 企业版，其目的是将公司网络中的多台计算机逻辑上组织到一起，进行集中管理，其优点：1.集中管理 2.便捷的网络资源访问，3.可扩展性。系统方面，我们选用了两台IBM公司的服务器，系统采用windows-server-2008企业版。流量的监控服务器采用华为的服务器，系统为windows-server-2003企业版，客户机系统为windows-xp再次是网络服务的集成性，两台IBM公司的服务器，一台部署活动目录，域名为21，并添加DNS和DHCP服务角色，配置成DNS和DHCP服务器；另一台搭建web，FTP服务器；在华为华为的服务上安装whats up监控器最后是网络安全的集成，基于公司的网络拓扑如下：其实施步骤：【1】 使用单臂路由首先实现局域网的互通和不同vlan之间的通信，【2】 通过基于子端口的nat地址转换，实现域内的用户都能访问Internet【3】 配置扩展的ACL访问控制列表，限制不同部门之间的通信，来提高公司内部的安全性【4】 配置标准的ACL VTY控制列表，用于增加网络的安全性根据公司的配置要求我们具体的配置要点和截图如下：1. 将客户家加入域，并创建相应的ou，并将用户加入相应的ou，并给ou设置策略，使ou中的用户受到限制，起到统一管理的作用【统一桌面，登陆时有标题和消息文本出现，ie主页面不能更改，隐藏客户机的c:盘，统一分发软件，用windows系统自带的备份工具来备份系统状态】将用户加入到相应的ou中用户的统一桌面用户交互式登录显示的消息标题用户交互式登录显示的消息文本默认ie主页表不能更改2.安装配置DNS和DHCP服务器，并验证效果DHCP服务器获到的地址2. 安装配置FTP服务器，并给相应的用户上传下载的权限【manager有下载的权限】；配置网络监控流量服务器【首先安装SNMP服务角色，然后启动该服务，最后添加SNMP服务的身份验证为public，接受来自Internet的所偶访问，最最后就可以配置要监控的服务，协议，网段和流量参数】3.系统完成以后为公司连接公司的网站数据库【启用超级用户的登陆，设置密码和web服务器的主机地址，挂在公司的数据库文件到web服务器上】3. 网络安全的集成配置具体思路是：【1】在交换机上按照部门创建相应的vlan，并部门的客户机连接的交换机端口，按照部门加入到相应的vlan中，人事部属于vlan2 ，ip/24 网段；系统集成部属于vlan3，ip/24网段；市场部属于vlan4，ip网段/24；客服部属于vlan5，ip网段/24；财务部属于vlan6，ip网段/24；销售部属于vlan7，ip网段/24【2】在路由器上通过no ip address 在段口上创建部门对应的子端口，在子端口上配置部门相应的电脑网关地址，人事部为e0/0.2，网关：/24;系统集成部为e0/0.3，网关：/24;市场部位e0/1.4，网关：/24;客服部位e0/1.5，网关：/24;财务部位e0/2.6，网关：/24；销售部为e0/2.7，网关：/24。【3】这样就实现了局域网的连通，然后用基于子端口的nat地址转换，实现外网的连通，然后用ACL访问控制列表，限制各个部门之间的通信,限制用户不能访问路由交换设备。具体配置如下：VLAN的划分机房部Ip 网 段网 关Vlan 子端口00Vlan1E0/0.2人事部Vlan 1E0/0.2系统集成部Vlan 2E0/0.3市场部Vlan 3E0/1.4客服部Vlan 4E0/1.5财务部Vlan 5E0/2.6销售部Vlan 6E0/2.7交换机1的配置hostname s1boot-start-markerboot-end-markerno aaa new-modelmemory-size iomem 5no ip routinginterface FastEthernet0/1switchport access vlan 2interface FastEthernet0/2switchport access vlan 3interface FastEthernet0/14interface FastEthernet0/15switchport mode trunkinterface Vlan1no ip addressno ip route-cacheip http servercontrol-planecontrol-planeline con 0 exec-timeout 0 0 logging synchronousline aux 0line vty 0 4end交换机二的配置hostname s2boot-start-markerboot-end-markerno aaa new-modelmemory-size iomem 5no ip routingno ip cefno ip domain lookupinterface FastEthernet0/1switchport access vlan 4interface FastEthernet0/2switchport access vlan 5interface FastEthernet0/15switchport mode trunkinterface Vlan1no ip addressno ip route-cacheip http serverline con 0exec-timeout 0 0logging synchronousline aux 0line vty 0 4交换机三的配置hostname s3boot-start-markerboot-end-markerno aaa new-modelmemory-size iomem 5no ip routingno ip domain lookupinterface FastEthernet0/1switchport access vlan 6interface FastEthernet0/2switchport access vlan 7interface FastEthernet0/15switchport mode trunkinterface Vlan1no ip addressno ip route-cacheip http serverline con 0 exec-timeout 0 0 logging synchronousline aux 0line vty 0 4endTPlink路由器的配置hostname TPlinkboot-start-markerboot-end-markerenable secret 5 $1$LsbK$ZzMj/2VsSgkPstdrZ.LxC1no aaa new-modelmemory-size iomem 5ip cefno ip domain lookupinterface Ethernet0/0description managerbandwidth 40000no ip addressfull-duplexinterface Ethernet0/0.2encapsulation dot1Q 2ip address ip access-group 100 inip nat insideip virtual-reassemblyinterface Ethernet0/0.3encapsulation dot1Q 3ip address ip access-group 101 inip nat insideip virtual-reassemblyinterface Ethernet0/1description caiwububandwidth 30000no ip addressfull-duplexinterface Ethernet0/1.4encapsulation dot1Q 4ip address ip access-group 102 inip nat insideip virtual-reassemblyinterface Ethernet0/1.5encapsulation dot1Q 5ip address ip access-group 103 inip nat insideip virtual-reassemblyinterface Ethernet0/2description shichangbubandwidth 20000no ip addressfull-duplexinterface Ethernet0/2.6encapsulation dot1Q 6ip address ip access-group 104 inip nat insideip virtual-reassemblyinterface Ethernet0/2.7encapsulation dot1Q 7ip address ip access-group 105 inip nat insideip virtual-reassembly配置外网的ip地址interface Ethernet0/3ip address 52ip nat outsideip virtual-reassemblyfull-duplexexit单臂路由实现网络的互通interface Ethernet0/0.2encapsulation dot1Q 2ip address ip access-group 100 inip nat insideip virtual-reassemblyinterface Ethernet0/0.3encapsulation dot1Q 3ip address ip access-group 101 inip nat insideip virtual-reassemblyinterface Ethernet0/1description caiwububandwidth 30000no ip addressfull-duplexinterface Ethernet0/1.4encapsulation dot1Q 4ip address ip access-group 102 inip nat insideip virtual-reassemblyinterface Ethernet0/1.5encapsulation dot1Q 5ip address ip access-group 103 inip nat insideip virtual-reassemblyinterface Ethernet0/2description shichangbubandwidth 20000no ip addressfull-duplexinterface Ethernet0/2.6encapsulation dot1Q 6ip address ip access-group 104 inip nat insideip virtual-reassemblyinterface Ethernet0/2.7encapsulation dot1Q 7ip address ip access-group 105 inip nat insideip virtual-reassembly配置外网的ip地址interface Ethernet0/3ip address 52 ip nat outsideip virtual-reassemblyfull-duplexip http server通过基于子断口的NAt转换地址ip nat inside source list 1 int e0/3 overloadint e0/0.2ip nat insideexitint e0/3ip natip nat ouip nat outsideexitaccess-list 2 permit 55ip nat inside source list 2 int e0/3 overloadint e0/0.3ip nat insideexitint e0/3ip nat outsideexitaccess-list 3 permit 55ip nat inside source list 3 int e0/3 overloadint e0/1.4ip nat insideexitint e0/3ip nat outsideexitaccess-list 4 permit 55ip nat inside source list 4 int e0/3 overloadint e0/1.5ip nat insideexitint e0/3ip nat outsideexitaccess-list 5 permit 55ip nat inside source list 5 int e0/3 overloadint e0/2.6ip nat insideexitint e0/3ip nat outsideexitaccess-list 6 permit 55ip nat inside source list 6 int e0/3 overloadint e0/2.7ip nat insideexitint e0/3ip nat outsideexitwr配置ACL访问控制列表access-list 100 deny ip any 55access-list 100 deny ip any 55access-list 100 deny ip any 55access-list 100 deny ip any 55access-list 100 deny ip any 55int e0/0.2ip access-group 100 inexitaccess-list 101 deny ip any 55access-list 101 deny ip any 55access-list 101 deny ip any 55access-list 101 deny ip any 55access-list 101 deny ip any 55access-list 101 permit ip any anyint e0/0.3ip access-group 101 inexitaccess-list 102 deny ip any 55access-list 102 deny ip any 55access-list 102 deny ip any 55access-list 102 deny ip any 55access-list 102 deny ip any 55access-list 102 permit ip any anyint e0/1.4ip access-group 102 inexitaccess-list 103 deny ip any 55access-list 103 deny ip any 55access-list 103 deny ip any 55access-list 103 deny ip any 55access-list 103 deny ip any 55access-list 103 permit ip any anyint e0/1.5ip access-group 103 inexitaccess-list 104 deny ip any 55access-list 104 deny ip any 55access-list 104 deny ip any 55access-list 104 deny ip any 55access-list 104