公司网络构造课程设计

1、 项目实训课程课程设计（论文）题目：*公司网络构造学生姓名（学号） * 指导教师 * 职称 教授 时 间 * 项目实训课程 课程设计（论文）开题报告课题名称： *公司网络构造 学生姓名（学号、专业）： * 开题报告内容：1、项目的简单介绍： 根据*公司各部分以及餐厅宿舍的情况做一个方便便于管理的网络系统以便于公司进行管理 通过网络布线 ，网络连接 ，网络安全以及网络最优化来构造这个系统 这个系统主要是各部分划分不同的vlan 使公司各部分不能互访达到一定安全，同时，为公司建设dns服务器，缓存服务器，便于公司进行统一便捷管理。 2、项目的组成部分、要实现的功能、要求： 项目由四大部分组成;(一

2、) 系统分析 （二）网络构架设计 （三）设备配置 （四）调试与维护。 实现网络最优化，实现公司方便快捷进行管理。 在该项目中会全面为公司着想站在公司角度做事尽可能减少公司为该项目的支出，把项目在最短时间内完成。 3、使用的技术情况、设备情况 ：在设备上运用vlan划分ospf ，nat转换，链路聚合，生成树协议，访问控制列表 并且运用防火墙启用vpn 线路备份技术达到公司网络连通网络最优化，在linux系统上架构 缓存服务器，dns服务器等多种网络服务器。 4、时间和相应任务安排: 9月20日9月21日： 划分主vlan和技术部以及市场部vlan划分，配置www服务器，配置证书服务器建设主站点

3、以及技术部和市场部站点，配置dhcp服务器。 9月22日9月23日： 配置dns服务器使其实现企业主站点和技术们和是市场部门的域名解析功能。 9月24日9月25日： 利用windows配置aaa服务器以及ftp服务器，配置交换机以及防火墙实现内部网络访问控制。 9月26日9月27日： 网络互通性测试，dns域名解析测试，ftp服务测试，dhcp服务测试，aaa服务控制，www访问控制测试。 目录 1、 项目简介 1.1 项目背景.51.2 内部局域网的要求.51.3网络安全需求.51.4 项目拓扑.51.5地址规划.6二、项目实施情况2.1 lamp环境. .72.1.1 准备工作. .72.

4、1.2 源码编码apache.8 2.1.二进制编译mysql. . .102.1.4 源码编译php.12 2.1.5 添加phpmyadmin，web管理mysql.132.2 服务器的搭建.142.2.1 www服务器.142.2.2 dhcp服务器.20 2.2.3 dns服务器.212.2.4 ftp服务器.242.2.5 aaa服务器.252.3 网络的构建.292.3.1 防火墙的配置.292.3.2 交换机的配置 .30 三、综合测试3.1 dhcp服务器的测试.313.1.1 技术部自动获得地址测试. 3131.2 市场部自动获得地址测试.313.2 aaa认证测试 .323

5、.3 www服务器的相关测试.333.3.1 主站点内网用户访问.333.3.2 主站点外网用户访问.353.3.3 技术部点账号验证.373.3.4 技术部站点加密访问.383.3.5 市场部站点访问.413.3.6 bbs论坛访问.42四、结语.43五、致谢.44一、项目简介1.1项目背景:该集团是以工程总承包、房地产开发、设计咨询、经营生产和资本运作相结合的大型综合性建筑企业集团，具有房屋建筑工程、公路工程施工总承包特级资质和市政公用工程、机电安装、地基与基础、钢结构、公路路面、城市轨道交通工程等一批专业总承包一级资质。以工业与民用建筑、市政工程、地铁、高速公路、深基础工程、机场港口、长

6、输管线等工程设计、施工、房地产开发和资本经营为主业,并从事工业生产、物业经营、饭店管理、外经外贸等多种业务。1.2内部局域网络的要求: 该企业建设有局域网络，由于机器较多，结构复杂，故采用vlan技术，用于隔离广播，保证安全，分别建设技术部门valn和市场部门vlan以及服务器vlan 服务器vlan中有dhcp（用于向技术部门vlan和市场部门vlan分配ip地址等参数） 、www、ftp以及aaa服务器，该公司建有主站点，论坛，市场分部门站点和技术部门站点1.3网络安全需求: 为了企业网络的安全，要求内部用户实现安全接入，采用基于端口的认证技术（802.1x）,使用服务器中心的aaa服务器

7、实现集中的身份验证 为保证公司的服务器安全稳定的运行，www、dhcp服务器，以及dns服务器采用linux，ftp、aaa服务器采用windows 在公司前端的防火墙上采用snat技术接入互联网络，为了规范用户的上网行为，在上班时间（每天8：00-20：00）只可以使用http访问internet上的资源，通过在前端的防火墙上采用dnat技术，在internet上发布公司的主站点 在www服务器上建设虚拟主机，主站的域名为,技术部门网站域名为，市场部门网站域名为，论坛为，主站点匿名用户可以访问（内部用户可以访问，internet用户也可以访问），技术部门站点要求使用https进行访问，利用账

8、号进行验证访问 公司的ftp站点（使用server-u实现）上，存放有公司的公共文档以及市场部门和技术部门文档，要求各自部门自能访问自己的资源 服务器vlan主机数量5台，技术部门20台、市场部门30台，公司的ip段为/24 ，要求合理分配地址1.4项目拓扑图1.5地址规划防火墙eth0/0内口/30eth0/4外口/30连接vlan10 :eth0/0.104/29连接vlan20: eth0/0.203/27连接vlan30: eth0/0.305

9、/26交换机管理ip7vlan10:eth0/10服务器vlanvlan20:eth0/20技术部vlanvlan30:eth0/23市场部vlanvlan地址规划vlan10(服务器)/293/29vlan20(技术部)4/272/27vlan30(市场部）6/2626/26www、dhcp、dns服务器接交换机端口：eth0/3/29ftp、aaa服务器接交换机端口：eth0/4192.168.30.

10、10/29二、项目实施情况服务器的搭建平台是red hat enterprise linux server release 5.42.1、lamp(linux+apache+mysql+php)环境源码搭建2.1.1准备工作 导入所需软件包 把所有的源码包拆解到/usr/lcoal/src目录下(除了phpmyadmin)tar -zxvf apr-1.4.6.tar.gz -c /usr/local/srctar zxvf apr-util-1.5.1.tar.gz -c /usr/local/src/tar jxvf httpd-2.4.4.tar.bz2 -c /usr/local/sr

11、c/tar zxvf mysql-5.6.10.tar.gz -c /usr/local/srctar jxvf php-5.4.13.tar.bz2 -c /usr/local/src/2.1.2源码编码apacheapache 编译需要 apr 和 apr-util 的支持，所以需要预先编译这两个源码 源码安装apr cd ./apr-1.4.6 ./configure -prefix=/usr/local/apr make & make install对于头文件和库文件为了能让系统可以调用，我们需要将库文件、头文件加载到系统中。将apr的库文件加载到系统中，我们需要在/etc/ld.so

12、.conf.d/目录中新建一个文件apr.conf，在文件中写入apr的库文件的位置/usr/local/apr/lib/如图：而对于apr的头文件，我们为了能让系统调用，可以将它拷到/usr/include下，但是这样浪费空间，所以我在/usr/include做一个符号链接指向apr的头文件所在目录。使用命令：rootserver1 apr#ln -s /usr/local/apr/include /usr/include/apr 源码安装apr-util cd ./apr-util-1.5.1./configur -prefix=/usr/local/apr-util -with-apr=

13、/usr/local/apr/bin/apr-1-config （指定apr-util的安装目录，另外指明apr的配置文件的路径）make & make install同上，rootserver1 apr-util#vim /etc/ld.so.conf.d/apr-util.conf然后做符号链接：rootserver1 apr-util# ln -s /usr/local/apr-util/include /usr/include/apr-util 源码安装配置httpd进入安装目录下：rootserver1 #cd /usr/local/src/httpd-2.2.4/进行配置:-pre

14、fix=/usr/local/apache *安装路径-sysconfdir=/etc/httpd *配置文件路径-enable-so-enable-mods-shared=most *安装大多数的动态共享库-enable-ssl *启用ssl功能-enable-mpms-shared=all-enable-rewrite-with-apr=/usr/local/apr/bin/apr-1-config *apr配置文件路径-with-apr-util=/usr/local/apr-util/bin/apr-1-config *apr-util配置文件路径-with-z-with-pcrero

15、otserver1 httpd-2.2.4# ./configure -prefix=/usr/local/apache -sysconfdir=/etc/httpd -enable-so -enable-mods-shared=most -enable-ssl -enable-rewrite -with-apr=/usr/local/apr/bin/apr-1-config -with-apr-util=/usr/local/apr-util/bin/apr-1-config -with-pcre -with-z -enable-mpms-shared=allrootserver1 http

16、d-2.2.4#make & make install建立符号链接：rootserver1 apache #ln -s/usr/local/apache/include/ /usr/include/apache 编辑etc/profile文件 编辑/etc/man.config，将apache的man手册路径添加到搜索路径里面,如图 自编写bash脚本httpd来完成apache服务的start、stop以及restart等操作，并且能接受chkconfig的管理rootserver1 apache#vim /etc/init.d/httpd修改控制文件权限:rootserver1 init.

17、d#chmod a+x httpd 启动apache服务，设置为开机自动启动服务并查看设置开机自启动chkconfig httpd on2.1.3二进制编译mysql 因为在mysql-5.5以后的版本没有了./configure这个配置命令了，需要cmake来配置mysql，所以首先安装cmake解压缩：rootserver1 # tar -zxvf cmake--linux-i386 -c /usr/local/src配置：./configure -prefix=/usr/local/cmake编译及安装：rootserver1 cmake#make & make inst

18、all 编辑/etc/profile文件，把cmake的bin路径加入到系统路径中 编辑/etc/man.config，将cmake的man手册路径添加到搜索路径里面 mysql安装过程:rootserver1 #cd /usr/local/src/mysql-5.6.10rootserver1 mysql-5.6.10#cmake .rootserver1mysql-5.6.10#make&make install 创建mysql组和mysql账号，修改mysql目录的权限。useradd -r -g mysql mysql 新建系统用户cd /usr/local/mysqlchown -r

19、 mysql . 对于mysql 目录下的所有文件改变所有者chgrp -r mysql . 对于mysql 目录下的所有文件改变所属组以mysql的身份安装初始化的数据库：scripts/mysql_install_db -user=mysql chown -r root . 改回mysql目录下的所有文件所有者chown -r mysql data/ 改变data的文件所有者 编辑/etc/ld.so.conf.d/mysql.conf文件，将mysql的lib路径加入到系统库中 软连接将mysql的include目录下的头文件加入到系统可自动加载的路径中 rootserver1 #ln

20、-s /usr/local/mysql/include /usr/local/mysql 编辑/etc/profile文件，把mysql的bin路径加入到系统路径中 启动mysql服务器设置开机自启动chkconfig mysqld on2.1.4 源码编译php 安装过程解压：tar -jxvf php-5.4.13.tar.bz2 -c /usr/local/src/配置：上图中的各个选项分别表示：-prefix= 指明安装位置-sysconfdir=指明配置文件目录-with-apxs2= 指明调用模块-with-mysql= 指明mysql主目录-wtih-mysql= 指明mysql

21、接口-enable-mbstring支持的字符集-with-png 支持的图形格式-with-jpeg 支持的图形格-with-gd 支持压缩编译及安装:make & make install 编辑/etc/profile文件将php的bin目录路径添加到path变量中/usr/local/php/bin 将php源码的include/目录下的头文件加入到系统路径中ln -s /usr/local/php/include/ /usr/include/php 编辑/etc/ld.so.conf.d/mysql.conf文件，将php的lib路径加入到系统库中 修改httpd的配置文件（/etc/

22、httpd/httpd.conf），让其能够处理php的网页内容。vim /etc/httpd/httpd.conf2.1.5添加phpmyadmin，web管理mysql 安装过程unzip phpmyadmin-3.5.8-all-languages.zip cp -r /root/php/phpmyadmin-3.5.8-all-languages /usr/local/apache/htdocs/phpmyadmin cd /usr/local/apache/htdocs/phpmyadmin cp -p config.sample.inc.php config.inc.php (配置

23、文件) mysqladmin -u root -p password 123456 enter password:（原密码为空，按下空格） 测试在浏览器输入服务器ip地址来web管理php http:/apacheserverip/phpmyadmin2.2、服务器的搭建2.2.1 www服务器搭建（linux） web站点建设1. 主站点的架设cd /usr/local/apache/htdicsvim /usr/local/apache/htdics/index.html 内容如下hello,welcome to home site!2） 技术部站点架设mkdir /usr/local/a

24、pache/tecvim /usr/local/apache/tec/index.html 内容如下hello,welcome to tec!3) 市场部站点架设mkdir /usr/local/apache/mktvim /usr/local/apache/mkt/index.html 内容如下hello,welcome to mkt!4） bbs站点架设mkdir /usr/local/apache/bbstar -zxvf wordpress-3.5.1-zh_cn.tar.gz -c /usr/local/apache/bbscd /usr/local/apache/bbsmv wor

25、dpress-3.5.1/ wordpresscd wordpress/cp wp-config-sample.php wp-config.phpvim wp-config.php 5） 编辑apache配置文件 技术部门实现身份验证，并把apache结合ssl，技术部门实现https的安全访问cd /etc/pki/tls 编辑 f 建立ca机构需要3个目录两个文件cd /etc/pki/camkdir certs crl newcertstouch serial index.txtecho 01serial 生成私钥文件，并修改权限，再由私钥文件生成证书文件 生成apache服务的私钥文件

26、，由私钥文件生成证书请求文件 mkdir -pv /etc/httpd/certs 向根ca提出证书请求文件生成证书文件 查看 安装mod_ssl模块：修改结合ssl的主配置文件，添加证书的相关路径vim /etc/httpd/extra/httpd-ssl.conf 修改apache配置文件 技术部站点身份验证设置 cd /usr/local/apache/tec cd /usr/local/apache htpasswd -cb .htpasswd user1 12345 （这里需要用该命令生成供身份验证的用户和密码）2.2.2 dhcp服务器 挂载并安装： 配置/etc/dhcpd.co

27、nf文件rootserver1server#cp /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample /etc/dhcpd.conf再编辑如下图所示:然后启动dhcpd服务，并设置开机自启动service dhcpd startchkconfig dhcpd on2.2.3 dns服务器 安装所需软件包，如图： 编辑配置文件：rootserver1 # cd /var/named/chroot/etc/（dns服务器的根目录是/var/named/chroot）rootserver1 etc# cp -p named.caching-nameserver.c

28、onf named.conf（-p连同权限一起复制）rootserver1 etc# vim named.conf （服务器配置文件） 【 编辑区域文件】rootserver etc# vim named.rfc1912.zones 编辑正向解析文件rootserver1 etc# cd /var/named/chroot/var/named/rootserver1 named# cp -p localhost.zone .zonerootserver1 named# vim .zone 如图 查看named目录 启动服务器，并设置开机自启动：service named startchkcon

29、fig httpd on 测试2.2.4 ftp服务器（windows平台）server-u一个域,两个用户tec、mkt，分别所属管理不同的目录，实现tec 技术部和mkt市场部间的隔离访问控制搭建过程如下：2.2.5 aaa服务器（windows平台）cisco-acs 安装acs2.3、网络的构建2.3.1防火墙的配置ip http shutdown(基于时间的访问控制，上班时间允许访问)acl number 3000rule 10 permit ip time-range worktime 08:00 to 20:00 dailyrule 20 deny ipinterface eth

30、ernet0/0ip add 30firewall pack-filter 3000 outbound（应用基于时间的访问控制）interface eth0/4ip add 24nat outbound 3000 （内网私有地址snat转换应用）nat server protocol tcp global www inside （dnat发布内部www服务器）nat server protocol 53 global current-internet inside （dna

31、t发布内部dns服务器 ）quitfilewall zone trustadd interface eth0/0set priority 85filewall zone untrustadd interface eth0/4set priority 5（添加去往internet的默认路由和去往内网的静态路由）ip route-static preference 60ip route-static preference 60undo insulate int e

32、th0/0.1vlan-type dot1q vid 10ip address 4 28int eth0/0.2 vlan-type dot1q vid 20ip address 3 27 int eth0/0.3 vlan-type dot1q vid 30ip address 5 26quitfirewall zone trust add interface eth0/0.1add interface eth0/0.2add interface eth0/0.3quitint eth0/0.2dhcp select r

33、elay ip relay address int eth0/0.3 dhcp select relay ip relay address 2.3.2交换机配置命令：system-viewdot1xint vlan-interface 1ip add 7 28ip route-static quitvlan 10port e1/0/3port e1/0/4dot1xvlan 20port e1/0/20dot1xinterface vlan-interface 30p

34、ort e1/0/23dot1xquitint e0/24port link-type trunkport trunk permit vlan allaaa方案技术部：redius scheme tecprimary authentication 0 48accounting optional server-type standardkey authentication 123456user-name-format without-domaindomain tec1 (域名)redius scheme tecaccess-limit enable 10 (允许连接数)accounting optionaldomain default enable (不用输域名)市场部redius scheme mktprimary authentication 0 48acc