ambow网络架构方案(实验)

Ambow网络架构方案策划书-29-项目名称:Ambow网络架构项目编号：NSXZ2012-G104网络架构方案小组名称:信息学院104班第一小组日期:二〇一二年五月二十九日目录TOC\o"1—3”\h\z\uHYPERLINK\l”_Toc326155413”一.项目背景 —2—1。1ambow公司概况 —2-1。2网络工程状况 —2-2。2稳定可靠需求 -3—HYPERLINK\l”_Toc326155419"2.3网络安全需求 -3-2.4应用服务需求 —3—2．5设备要求 -4—HYPERLINK\l”_Toc326155422”三.项目规划 -4-HYPERLINK\l”_Toc326155423”3。1拓扑图 —4—HYPERLINK\l”_Toc326155424"3。2局域网详细拓扑图： —4—HYPERLINK\l”_Toc326155425"3.3ip以及vlan规划 -5-HYPERLINK\l”_Toc326155426”3.4拓扑图分析 —6-_Toc326155431”4。4AAA服务器的配置 -12—4。5在路由器上配置SSH服务器和AAA的认证 -15-HYPERLINK\l”_Toc326155433”4.6配置三层交换机上的DHCP中继 —17—4。8二层交换机0的配置: —18—HYPERLINK\l”_Toc326155436”4。9二层交换机1上的配置： -19—_Toc326155438”4.11服务器的配置（ftp，dhcp，web） -21-4。12.网管软件系统安装方法 —23—4。13Norton网络杀毒软件的安装方法 —30—HYPERLINK\l”_Toc326155441"五．设备报价及清单 —35—HYPERLINK\l”_Toc326155442”5。1二层交换机的选型及参数 —35-5。3路由器的选型及参数 —38—_Toc326155446”5。5pc机的选择 -40-HYPERLINK\l”_Toc326155447”5.6无线设备 -43-HYPERLINK\l”_Toc326155448"5。7设备清单 —44-一.项目背景1。1ambow公司概况Ambow公司是一家教育服务公司,为了公司未来发展的需要，IFC(国际金融公司和安博公司共同投资1。2亿美金来成立北京实训基地和拓展现有的昆山基地，IFC拟筹资约5000万美金.Ambow要求采购桌面电脑4000套，服务器100台，系统桌面电脑采用微软正版系统,服务器系统企业自行考虑网络设备采购根据我方要求企业自行考虑所要达到的目的实现企业内部网络的互连实现网络架构的安全性设置企业内网各种所需的服务器管理实现北京基地和安博其他分公司的安全的互联1。2网络工程状况A。公司有一个局域网inside,用于公司的资源共享和信息交流B.网络中大概有4000台计算机，分别位于不同的vlan下,防止arp病毒广播和广播风暴,提高网络环境的质量C。计算机的操作系统有WindowsServer2003和WindowsXPprofessionalD。员工一人一机办公F。公司部署各种办公服务器，为企业员工提供一个良好的办公环境二.需求分析公司需要构建一个综合的企业网,公司有5个部门：教学部、财务部、IT部、网络部、人事部。公司共分3栋楼,1号,2号，3号，每栋楼直线相距100 米。1号楼:2层,为教学楼，10台电脑,分散分布每层5台。2号楼：3层，为IT部,人事部,20台。其中10台集中在3楼的网络部的设计室中,专设一个机房，其他10台分散分布每层5台。3号楼:2层，为财务部。从内网安全考虑，使用VLAN技术将各部门划分到不同的VLAN中；为了提高公司的业务能力和增强企业知名度,将公司的WEB网站以及FTP、Mail服务发布到互联网上;与分公司可采用分组交换（帧中继）网互联；并从ISP那里申请了一段公网IP。16个有效IPv4地址：218。26.174.112.～218.26。174。127，掩码为255.255。255.0（可表示为/28）。其中218.26。174.112和218.26。174.127为网络地址和广播地址，不可用（考虑路由器需要配置NAT功能了).2．1带宽性能需求现代企业网络应具有更高的带宽,更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务.因此，数据流量将大大增加,尤其是对核心网络的数据交换能力提出了前所未有的要求。另外,随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。从2004年全球交换机市场分析可以看到，增长最迅速的就是10Gbps级别机箱式交换机，可见，万兆位的大规模应用已经真正开始.所以,今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准,核心层及骨干层必须具有万兆位级带宽和处理性能,才能构筑一个畅通无阻的"高品质"企业网，从而适应网络规模扩大,业务量日益增长的需要。2.2稳定可靠需求现代企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键.现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑：1、设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察.2、业务的可靠性设计:网络设备在故障倒换过程中,是否对业务的正常运行有影响.3、链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在企业网络建设时,要考虑网络设备是否能够提供有效的链路自愈手段,以及快速重路由协议的支持。2.3网络安全需求现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题.在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。2。4应用服务需求现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为"以应用为中心"的信息基础平台,网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑"以应用为中心"的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来。2．5设备要求根据公司现有设备规模，业务需要及发展范围使用的计算机、网络设备主要以联想台式机和CISCO网络产品为主(产品的具体型号将在方案的最后给出)：a）服务器需选择中cisco的刀片式。b）核心路由器使用cisco的高端设备c）而交换机使用CISCO中档产品.d）防火墙为硬件+软件结构。e)网络布线主干采用光纤,五类双绞线到桌面（100M）。三.项目规划3.1拓扑图3.2局域网详细拓扑图：3.3ip以及vlan规划区域VlanVlan接口IPArea1Vlan11172。16。1.62Vlan1226Vlan1390Area2Vlan21172。16.2.62Vlan22172。16.2.126Vlan23172。16.2。190Area3Vlan31172。16.3.62Vlan32172.16。3。126Vlan33172。16.3.190Area4Vlan41172。16.4.62Vlan42172.16。4.126Vlan43172。16。4。190Area5Vlan51172。16。5。62Vlan52172。16。5.126Vlan5390服务器的ip分配：服务器名称Ip子网掩码Web服务器172.30。1.1255.255。0.0Dns服务器172。30。1.2255.255。0.0ftp服务器172。16.254.1255。255。255。0Dhcp一服务器172.16。254.250255。255。255。0Dhcp二服务器172.16。254.251255。255.255.0邮件服务器172.16。254。23.4拓扑图分析3.4.1核心层配置的OSPF路由协议，提供高速的数据交换，每个area区域代表每一个部门(每个部门默认在同一栋楼中）3.4.2分布层使用三层交换机，配置各种策略3。4.3接入层使用各自的VLAN进行划分四。项目实施4.1配置ASA防火墙配置理由：防火墙加强inside区域的安全度，可以阻挡60%的恶意攻击,我们选用cisco的asa防火墙，其onetoall的特性，使其能够将NAT，firewall,VPN等功能附加一身配置ASA的主机名、域名和密码ciscoasa(config）＃hostnameasa802asa802(config)#domain-nameasa802（config)＃enablepasswordasa802asa802（config）#passwdcisco配置接口的区域划分asa802（config)＃inte0/1asa802(config—if)#nameifinsideasa802（config—if)＃security-level100asa802(config-if)#ipadd172.16.10。254255。255.255。0asa802(config-if)#noshutdownasa802（config-if）＃exitasa802(config）#inte0/0asa802（config—if)＃nameifoutsideasa802（config—if)#security-level0asa802（config—if）#ipadd200.1。1.1255.255。255。0asa802（config—if）#noshutdownasa802(config—if)＃exitasa802(config)＃inte0/2asa802(config-if)#nameifdmzasa802（config—if）＃security-level50asa802（config-if）#ipadd54255。255.255。0asa802（config—if）＃noshutdownasa802（config—if)＃exit配置默认静态路由asa802（config）＃routeoutside0。0。0.00。0.0。0200。1。1.1（将内网和DMZ的IP数据包,都通过该默认的静态路由，全部路由到200。1.1.1的下一跳地址上）配置远程管理的接入asa802(config）＃telnet10255。255。255。0insideasa802（config)#telnettimeout10配置ASA上的NAT服务（一)启用内网地址到DMZ和外网的NAT功能asa802(config）＃nat-control（启用NAT服务)asa802（config）#nat（inside)1172。16。0.0255。255.0。0（指定入接口为内网接口的IP需要进行转换)asa802（config）＃global(outside）1int(配置出接口为外网接口的ip为全局IP地址）asa802（config)＃global(dmz)1172.30。255.10—172。30.255.101（配置出接口为dmz接口的IP为172。30.255.10—172。30.255。101地址池中的一个,任意指定）（二）启用外网到dmz区域的NAT功能asa802(config）#nat-control（启用NAT服务)asa802(config)#nat（outside)100(指定入接口为外网接口的IP需要进行转换）asa802(config)＃global(dmz)1172。30.255。10-01（若出接口为dmz接口，则进行NAT转化，地址范围为：0-172。30.255.101）在ASA上配置acl访问控制列表（1)配置拒绝财务部的员工对外网的访问:asa802（config）#access-listin_caiwu_to_outdenyip255.255。255。0anyasa802(config)#access-listin_caiwu_to_outpermitipanyanyasa802（config)＃access—groupin_caiwu_to_outinintinside（2)拒绝外网对内网的访问：asa802(config）#access-listout_to_indenyipanyanyasa802（config)#access—listout_to_inpermitipanyanyasa802（config）＃access—groupout_to_ininintinside配置IPsecVPN隧道（这里选择GREoverIPsec)配置理由：总公司和分公司之间的互相访问，同时要保证外网对各个内网的访问的限制，所以配置一个IPsecVPN隧道。先配置各个端口的ip地址，以及将tunnel口的各种配置进行完成。在配置第一阶段的IKE策略上:（1）Site1(config）＃cryisaenSite1(config)＃cryisapol10Site1(config-isakmp）＃encr3deSite1（config—isakmp）＃hashmd5Site1(config-isakmp)#authpre-shaSite1(config-isakmp）#group2Site1（config—isakmp）#exiSite1（config）#cryisakey0121keyaddress202。1.1.1Site1(config)＃在配置第二阶段的IKE策略上:配置感兴趣流:Site1(config）＃ipaccess—listextendedvpnSite1（config-ext-nacl)＃permitip10.1。1。00.0.0。2550。0.0。255Site1（config-ext—nacl)#exi配置IPsec策略Site1（config)#cryipsectransform—settransesp-desesp—md5-hmac配置cryptomap（第二阶段的策略汇总)Site1(cfg—crypto-trans)#crymapcry—map10ipsec-isa%NOTE：Thisnewcryptomapwillremaindisableduntilapeerandavalidaccesslisthavebeenconfigured.Site1(config—crypto—map）#matchaddvpnSite1(config—crypto—map)＃settransSite1(config—crypto—map)＃settransform—settransSite1(config—crypto—map）#setpeer202.1。1。1Site1（config-crypto—map)#setpfsgroup2Site1（config-crypto-map）#setsecurSite1(config—crypto—map)＃setsecurity—associationlifetimesecSite1（config-crypto-map)#setsecurity—associationlifetimeseconds1800(4）在接口上应用cryptomapSite1(config)＃inte1/0Site1(config—if)＃crymapcry-mapSite1(config—if）＃配置asa高级应用—日志管理打开日志功能Asa_server（config)#loggingenableAsa_server（config）＃loggingbufferedinformational配置asdm日志Asa_server（config）＃loggingenableAsa_server（config）＃loggingasdminformationa配置Asa_server(config)#loggingenablelAsa_server（config）＃loggingtrapinformationalAsa_server（config)＃logginghostinside172.168。110.1104.2配置核心层的ospf协议配置理由：在核心层部分，使用内部路由协议可适应大规模的网络;路由变化收敛速度快；无路由自环;支持变长子网掩码；支持等值路由;支持区域划分；提供路由分级管理；支持验证；支持以组播地址发送协议报文。端口Ip地址子网掩码R1的s0/0172.16。0。1255.255。255.192R1的S0/1172。16。0。193255。255。255。192R2的S0/02255.255.255。192R2的S0/1172。16。0。65255。255。255.192R3的S0/0172.16。0.129255。255。255。192R3的S0/1172。16。0.126255。255.255。192R3的s0/22255。255.255.192R4的S0/0172.16。0。190255。255。255.192R4的S0/154255。255.255。192R5的s0/2255.255。255。1921.将5个路由器都分别命名为r1，r2,r3,r4,r5(全局下配置，hostnamer1）2。将各个端口的ip地址配好，并将端口打开r3（config)#ints0/1r3(config—if）＃ipaddress172.16.0。126255。255。255。192r3(config-if)#noshut3。在路由器中，ospf1下，对每个网段进行宣告r3(config）＃routerospf1r3（config—router)＃router-id3。3。3。3（配置路由器的名称)r3(config—router）#net172.16。0。640。0.0.63area0r3(config-router）＃net172.16.0。1280。0。0。63area04.使用shiproute进行查看,路由条目的学习情况(图中显示，已经学习到各个网段的信息）5。对r5中的路由进行上述配置（如下图）图中r5已经学习到routerospf协议的网段宣告信息.6.对r5进行stub区域的配置R5＃conftR5(config）#routerospf5R5(config—router)＃area5stubR5（config-router)＃end将财务部设置成stub区域7。配置虚链路R3（config)＃routerospf1R3(config—router)#area1virtual-link3。3。3.3R3(config-router)＃exit在r3上配置虚链路：R5（config）＃routerospf1R5（config-router）＃area1virtual-link5。5.5.5R5（config-router）#end4。3配置路由安全策略配置理由：网络管理不可能长时间的接触到路由器设备,而作为核心层的路由器，必须有较高的安全性.1。配置console口的密码r（config）＃linecon0r(config—line）#loginlocal2.配置aux口的密码(用来猫，电信网的)r（config）＃lineaux0r（config—line)＃loginlocal3.配置远程登录的密码r(config）＃linevty04r(config—line)＃passccier（config-line)＃login4。防止查看R的诊断信息r(config)＃noservicetcp-small—servers5.防止查看路由器当前用户列表r（config）＃noservicefinger6。关闭cdp(ciscodiscoveryprotocl）服务r（config)＃nocdprunning7.配置路由器仅允许172。16.0.0源网段的IP数据包经过路由器R（config)#access—list1permit172.16.0。00。0.255.255R（config—if)＃ipaccess—group1in（在各个端口上都进行该配置）8。在路由器上配置同步时间NTP（1)在r1上配置：Router（config）#noipdomain—loRouter(config）#linec0Router（config-line）＃exec—t1010Router(config-line）＃loggsRouter(config-line）#endRouter(config）＃ints1/1Router(config—if）#ipadd1。1。1。1255.0.0。0Router(config—if）＃noshuRouter(config）#hosntpserver（2）各个相邻的路由器上配置Router(config)#noipdomain-loRouter（config)＃linec0Router（config-line）＃exec-t1010Router（config-line）＃loggsRouter(config-line)#endRouter（config）#ints1/1Router(config—if）＃ipadd255。0。0。0Router(config—if）＃noshuRouter(config）＃ntpclientntpclient(config)#ntpserver1。1.1.1ntpclient（config）＃end4。4AAA服务器的配置配置理由：aaa服务器将能够，配上ssh使用，将任何尝试访问路由器和交换机的记录都进行认证和审核1.ACS的安装和配置前提：必须要有ACS文件和一个小的java文件2.在安装的过程中,按照安装的向导进行,一步一步的设置3.安装完成之后，在桌面上出现ACSAdmin的图标快捷方式4。双击快捷方式，并在IE浏览器中，更改“安全设置"，将其改为安全级别为中，不然在IE浏览器中，将无法打开ACS的服务器。点击确定。5。添加用户名为wolf和密码为wolf（点击Submit）6。添加AAAclient，如下图所示：7查看，配置信息，是否如下所示：8。在路由器上启用AAA服务器9测试配置(配置成功）4。5在路由器上配置SSH服务器和AAA的认证（配置原因：为了方便在后期的网络维护和管理，网络管理员将要远程控制设备，而一般的TELNET的远程登录为明文显示用户名密码，所以安全措施使用SSH远程登录设备，并且配上AAA的认证措施。)Router(config)#noipdomain—loRouter（config)#noipdomain—lookupRouter(config)#lineconsole0Router（config—line)＃exec—t1010Router(config-line)#loggsRouter(config)＃endRouter#conftEnterconfigurationcommands，oneperline。EndwithCNTL/Z。Router(config)#＊Mar100：06：55。895:％SYS-5—CONFIG_I:ConfiguredfromconsolebyconsoleRouter（config)#Router（config）＃Router(config）＃1.定义主机名Router(config）#hossshrouter2。创建一个的域sshrouter（config）＃ipdomainname3.为ssh定义密钥的长度为1024sshrouter（config)＃cryptokeygeneratersaThenameforthekeyswillbe：Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys。Choosingakeymodulusgreaterthan512maytakeafewminutesHowmanybitsinthemodulus［512]：1024%Generating1024bitRSAkeys，keyswillbenon—exportable。.。[OK］4。启用AAA服务，设置在本地服务器上进行认证sshrouter(config)#sshrouter(config）＃aaanewsshrouter（config）#aaanew-model5.配置一个用户名和密码sshrouter（config)#usernameroutpassroutpasswordprivilege156设置ssh的时间为120秒sshrouter（config)＃ipsshtisshrouter(config）#ipsshtime-out1207.设置ssh认证重复次数为4，可以在0-5之间选择sshrouter（config）#ipsshausshrouter（config）#ipsshauthentication-retries48.进入vty模式，并设置vty的登录模式为ssh，默认情况为all即允许所有登录sshrouter（config）#linevty04sshrouter（config-line）＃transportinputssh9.在clientPC客户端192。168。1.1中，远程连接router4。6配置三层交换机上的DHCP中继配置理由：在网络中架构2台DHCP服务器，但是DHCP的广播报文不能穿越路由器，所以,必须在三层交换机上配置DHCP中继器。1.在三层交换机上配置命令ipdhcp—server172。16.254.6interfaceVlan11ipaddress172.16.1。62255。255。255。192iphelper—address172。16.254.6DHCPServerIPinterfaceVlan12ipaddress172.16。1。126255.255.255。192iphelper—address172.16。254。6DHCPServerIPinterfaceVlan13ipaddress172。16.1。190255.255.255。192iphelper-address172。16.254.6DHCPServerIP2。在dhcp服务器上设置网络地址分别为172。16.1。0/26，172。16。1。64/26和172。16.1。128/26的作用域区域VlanVlan接口IP在DHCP服务器上配置的作用域Area1Vlan112172.16。1。0/26Vlan12172。16.1。126172。16.1。64/26Vlan13172.16。1。190172.16。1.128/26Area2Vlan21172。16.2。62172.16.2。0/26Vlan22172.16。2.1264/26Vlan23172.16。2.19028/26Area3Vlan31172。16.3。62172。16。3。0/26Vlan32172。16.3.126172。16.3.64/26Vlan33172.16。3。190172。16。3.128/26Area4Vlan41172.16.4。62172.16。4.0/26Vlan42172。16。4.1264/26Vlan43172.16.4。190172。16.4.128/26Area5Vlan51172。16.5。62172。16.5。0/26Vlan52172。16.5。126172.16。5。64/26Vlan53172。16。5.190172。16.5。128/264.7三层交换机上配置vlan和vtp1.配置与交换机0和1的trunk。Switch>enableSwitch#configtSwitch（config)＃hostnamecorecore（config)#interfacegigabitethernet0/1core(config-if)＃switchportmodetrunkcore（config-if）#exitcore（config)＃interfacegigabitethernet0/2core（config-if）#switchportmodetrunkcore(config-if)＃exit2.配置vtp，以及在server上建立vlan.。。core（config）#vtpdocore（config)#vtpdomaintimothyChangingVTPdomainnamefromNULLtotimothycore(config)#vtpmodeserverDevicemodealreadyVTPSERVER。core（config)＃vlan11core(config-vlan）#vlan12core(config-vlan）#vlan12core(config-vlan)＃exit3。设置vlan网关。。。core（config）#interfacevlan11core(config-if）#ipaddress172.16。1.0255。255。255.129core(config—if)＃noshutcore(config-if）#exitcore(config)#interfacevlan12core(config-if)＃ipaddress172.16。0。64255.255.255。19core（config—if）#noshutcore(config-if）#exitcore(config）＃interfacevlan13core（config—if)＃ipaddress172。16。0。12829core(config-if)＃noshutcore(config-if)＃exit4。保存。把running—config写入nvram成为startup—configcore(config)＃exitcore#copyrunstartDestinationfilename［startup—config]?Buildingconfiguration。.。［OK]core#4。8二层交换机0的配置：1.配置与core的trunk.。Switch〉enableSwitch#configtSwitch(config)#hostnameswitch0switch0（config)＃interfacefastethernet0/24switch0（config-if)＃switchportmodetrunkswitch0(config—if）＃exit2.配置vtp，。。。switch0（config)#vtpdomaintimothyDomainnamealreadysettotimothy.switch0(config）＃vtpmodeclient3。把端口加入vlan，。。。switch0（config）#interfacefastethernet0/1switch0（config—if）#switchportaccessvlan11switch0(config-if)＃exitswitch0（config)＃interfacefastethernet0/2switch0(config—if）＃switchportaccessvlan12switch0(config-if）#exitswitch0(config）#interfacefastethernet0/3switch0(config—if）#switchportaccessvlan13switch0（config-if）＃exit4.保存!！！switch0（config)＃exit％SYS—5-CONFIG_I:Configuredfromconsolebyconsoleswitch0＃copyrunstartDestinationfilename［startup—config］？Buildingconfiguration。。.［OK]switch0＃4。9二层交换机1上的配置：1.配置与core的trunk。.。Switch>enableSwitch＃configtEnterconfigurationcommands，oneperline。EndwithCNTL/Z。Switch（config)＃hostnameswitch1switch1(config）#interfacefastethernet0/24switch1(config-if)＃switchportmodetrunkswitch1(config—if)#exit2.配置vtp，.。。switch1(config）＃vtpdomaintimothyDomainnamealreadysettotimothy。switch1(config)＃vtpmodeclientSettingdevicetoVTPCLIENTmode。3。把端口加入vlan。。switch1（config)#interfacefastethernet0/1switch1（config—if）#switchportaccessvlan11switch1(config—if)#exitswitch1（config）#interfacefastethernet0/2switch1（config—if)＃switchportaccessvlan12switch1(config-if)＃exitswitch1(config)＃interfacefastethernet0/3switch1（config—if)＃switchportaccessvlan13switch1（config-if）#exit4.保存!！！switch1(config）#exitswitch1#copyrunstartDestinationfilename[startup—config］？Buildingconfiguration...[OK］4。10配置二层的安全配置理由：二层输入ISO网络参考模型中的最不安全的两层中的一个，对其的安全策略设置，至关重要（1）STP防御技术switch（config）#intf0/1switch(config—if)＃spanning-freeguardrootswitch(config-if)＃spanning-freebpduguardenableswitch（config-if)＃spanning-freebpdufilterenable（2)DHCPsnooping的防御a.switch（config）#dhcpsnoopingb。switch（config)#ipdhcpsnoopingvlan11—200c.switch（config）#intf0/1d．switch（config—if）＃ipdhcpsnoopinglimitrate100（3）DAI的配置switch（config）#iparpinspectionvlan100(在vlan100上启用DAI）switch（config）#intf0/16switch（config—if）＃iparpinspectiontrust（4)配置storm—control风暴控制switch（config-if）＃strom-controlbroadcastlevel87switch（config—if)#strom-controlmulticsatlevelpps2kswitch（config—if）#strom—controlactionshutdownswitch(config—if)#strom—controlsctiontrapl4。11服务器的配置（ftp，dhcp,web）A．FTP服务器配置理由：ftp服务器，为每个部门的资源进行共享，方便。保证FTP服务器是静态IP地址。在“开始”“控制面板”中选择“添加或删除程序”选项.首先勾上应用程序服务器，然后点击详细信息进入。然后选中Internet信息服务(IIS），点击详细信息进入.最后勾上文件传输协议(FTP）服务，确定。一直确定，安装好ftp服务首先在C盘里创建FTP文件夹相关数据。C盘创建FTP主文件夹，FTP下创建localuser子文件夹，localuser下创建public和educationdepartment、financedepartment、ITdepartment、networkdepartment、personneldepartment等6个文件夹。找到Internet信息服务（IIS）管理器。右键FTP站点,新建,FTP站点.描述ftp站点为设置ip地址和端口,ip地址为172。16。254.1，端口默认为21。选择AD域隔离用户选择FTP站点主目录路径。这里要注意选择的文件夹是FTP而不是localuser。完成配置隔离用户,依次设置用户名和密码，（用户名依次为educationdepartment、financedepartment、ITdepartment、networkdepartment、personneldepartment，密码均为：123456)B．DHCP服务器第一步:创建DHCP：1.网卡定义IP地址，DNS服务器首选DNSIP指向本机.2。添加WINDOWS组件，选择网络服务下DHCP服务第二步:配置DHCP：1.打开开始菜单——管理工具—--DHCP2.点击下一步，出现下图所示：输入IP地址范围3。点击下一步，出现下图，跳过排除4.点击下一步，设置，默认租约期限为8天5。点击下一步，出现下图，选择默认,是，我想现在配置这些选项6。点击下一步,配置默认网关.IP：7.点击下一步,输入IP:172.16。255。69。点击下一步，选择默认,是，我想现在激活此作用域10。配置完成C。配置WEB服务器安装IIS服务:1、保证Web服务器是静态IP地址.在“开始”“控制面板”中选择“添加或删除程序”选项.2、在“添加或删除程序”窗口中,单击“添加/删除Windows组件”选项。3、弹出“Windows组件”对话框，选择“应用程序服务器”选项，单击“详细信息。.。”按钮。4、弹出“网络服务”对话框，选择“Internet信息服务（IIS)”选项，单击“详细信息…”按钮。5、在“Internet信息服务管理器”对话框中,选择“确定”按钮。配置组建D．配置Web服务（设置默认网站）：1、在“开始”“管理工具”中可以查看到安装完成的“Internet信息服务管理器”选项.2、打开“Internet信息服务管理器”工具，在“Internet信息服务（IIS）管理器”窗口中，点击“网站"选项，在“默认网站”中看到系统的默认网页文件(iisstart.htm）。3、右击“默认网站”选择“浏览...”选项,在右框中显示系统默认网页（显示“建设中”）.4、右击“默认网站”“属性"选项，弹出“属性”对话框。在“主目录”标签中显示，默认网页所在的文件夹是“C:\Inetpub\wwwroot"。5、到该目录中查看，其中名为“iisstart。htm”的文件就是显示“建设中"的网页。创建Web站点：1、停止“默认网站”，在“IIS管理器”窗口中，右击“默认网站”选择“停止”选项。2、在磁盘上创建Web站点的文件夹(E：\WebSite-1）。3、在“IIS管理器”窗口中，右击“网站”“新建"“网站.。.”选项4、按照“网站创建向导”提示操作，输入关于网站描述信息,单击“下一步”按钮。5、按照“网站创建向导”提示操作，输入IP地址172。16。255.1、TCP80端口设置（保持默认），单击“下一步”按钮.6、输入网站主目录路径（E:\WebSite-1)，单击“下一步”按钮。7、设置网站访问权限（保持默认）,单击“下一步”按钮.8、完成新网站设置，返回“IIS管理器”窗口查看到新网站。4。12.网管软件系统安装方法4.12.1.系统需求：硬件：PIII800以上处理器，CD—ROM，512M内存,4GB磁盘空间软件：Windows2000/WindowsNT（非域控制器），InternetExplorer64.12。2。安装操作系统Windows2000Server/Professional或WindowsNT中（英）文版4。12。3.检查操作系统补丁（Windows2000SP2/WindowsNTSP6a)是否已安装好4.12。4.检查网卡等驱动程序是否已安装好，检查到网络设备管理地址的连通性.网管工作站的主机名和IP地址一旦确定，在网管系统安装后不要进行更改，因其涉及的设置项目很多，请一定要注意。4。12。5.安装并设置InternetExplorer5.0（推荐更高版本如6.0）：a）选择IE菜单“工具”—“Internet选项"-“高级"选中MicrosoftVM中的“启用Java控制台（需要重启动）”b)选择“常规”-“设置”检查“使用的磁盘空间"是否大于6M，如果不是,设置为大于6M。同时将“检查所存网页的较新版本”设为“每次访问此页时检查"并确定c)检查“安全"—“自定义级别”确保“允许使用存储在您计算机上的Cookies”及“允许使用每个对话cookie(未存储)"为“启用”d)选择“常规”-“字体"并设置“Web页字体”为“MicrosoftSansSerif”。4。12.6.检查网络运行情况：在进行网管系统安装之前,应检查网络的运行情况，保证需要进行管理的设备是可到达的,并设置了正确的SNMP密码字（出于安全考虑，不要使用默认的“public”和“private”)。35xx交换机及MSFC：configtermsnmpcommunityreadstrsnmpcommunitywritestrrw6509、4006交换引擎:setsnmpcommunityread-onlyreadstrsetsnmpcommunityread—writewritestrsetsnmpcommunityread-write—allwritestr4。12。7.安装CDONE:插入CDONE光盘，自动弹出安装画面，按下“Install"按钮开始安装,按照引导“Next”.a)选择安装方法(典型安装或自定义安装）:由于C盘空间不足，需将系统安装到D盘,故需选择Custom（自定义)安装方法。b)选择安装目录:我们将系统安装到D:\cw目录下。c）选择要安装的组件:CiscoView,NMSIntegrationUtilityandCMF(CommonManagementFoundation）d）安装过程中选择“Next”或“Ok"，如果系统提示时“DNS”太慢的警告，忽略。选择“Later"再安装第三方集成软件，最后重新启动系统完成安装。4.12。8.安装JavaRuntimeEnvironment(Java运行环境)j2re—1_3_1—win.exe(5。11M）；以上程序在D：\cw。ins\下有备份重新启动系统。在后面的操作中如果系统提示需安装JRE2运行环境，请同意进行安装,并在安装完成后重新启动系统。在系统使用过程中可能会碰到“Java插件安全警告：证书已经过期”，对系统运行无不良影响，请选择忽略警告继续进行。4。12.9.更改系统管理员密码：打开浏览器，输入网管系统网址：http：//10.1。1。1:1741，使用用户名admin,密码admin登录网管系统。如果此时出现java运行时刻错，请刷新窗口即可。选择菜单“Serverconfiguration”—“Setup"–“Security”–“ModifyMyProfile”，在“LocalPassword”及“ConfirmPassword”中输入新的管理员密码并点击“Modify”按钮。点击LOGOUT按钮退出网管系统，关闭浏览器.重新启动系统.4.12.10.设置CiscoView：打开浏览器,输入网管系统网址：http：//10。1。1.1:1741，使用用户名admin，密码admin登录网管系统.选择菜单“DeviceManager”-“CiscoView”,在新弹出的窗口中选择“Preferences”,输入默认的SNMP密码（DefaultReadCommunity及DefaultWriteCommunity），按“Ok"保存。在SelectDevice中输入设备地址测试设置是否正确：如输入6509管理地址为10。1.201.253，提示“CommunityString”时按下“确定”(如果6509包换交换引擎、主MSFC及备份MSFC三个逻辑设备，该过程会重复三次）.稍等之后,可以看到6509管理面板的显示。设置完成，点击LOGOUT按钮退出网管系统，关闭所有窗口.4。12。11.安装ResourceManagerEssential3。3插入RME光盘，自动弹出安装画面，按下“Install”按钮开始安装,按照引导“Next"，选择使用典型安装（Typicalinstallation）一步一步完成安装。4。12。12.安装CampusManager3。1插入CM光盘，自动弹出安装画面,按下“Install”按钮开始安装，按照引导“Next”，选择使用典型安装(Typicalinstallation)一步一步完成安装。4.12.13。设置CampusManager3.1登录网管系统。选择菜单“ServerConfiguration”—“Setup”—“ANIServerAdmin”-“SNMPSettings",对照说明将脚本中的Read及WriteCommunityString更改为本网中使用的值。选择菜单“ServerConfiguration”—“Setup"-“ANIServerAdmin”-“DiscoverySettings”，在“SeedDevice”列表中输入种子设备(用作网络发现的起点)的IP地址，建议输入多个地址（格子不够点右键选“Add”），如:10.1。201。253（6509_A)、10。1.201。251(6509_B)、10.1.201。247（4006_A）、10。1。201.245（4006_B)、10。1。201。236(4006_C）、10。1。201。234(4006_D)。去掉“UseReverseDNSLookup"的选择。选择“FilterUsingIPAddress”并在“IPAddressRanges”中输入10。1.［192—207]。＊，以限制搜索范围,加快搜索过程。点击“Apply”按钮后系统提问是否要马上进行一次搜索，回答“是"。稍后选择菜单“ServerConfiguration”-“Setup”—“Diagnostics"—“DiscoveryMetrics”，可以检查系统是否搜索到了所有要管理的设备,确保以上设置正确完成。4.12.14。检查CampusManager运行情况登录网管系统.选择菜单“CampusManager”-“TopologyService”，在弹出的“TopologyServices”窗口中选择“NetworkViews"—“Layer2View”，鼠标右键点击“Layer2View"，在相关菜单中选择“DisplayView”应能看到网络的拓扑图。可以选择菜单“View”-“DisplayLabels",用“DisplayIP”显示设备管理地址，或用“ShowSysname”显示设备名称，取消显示用“ClearLabels”。可以选择“ManagedDomains"-“VTPDomain"—“vtpdomain"正好论坛有问必答http：//斑竹全部由DoubleCCIE主持。在线解答网友提问正好论坛有问必答斑竹全部由DoubleCCIE主持。在线解答网友提问(本网VTP域名）来显示域内所有交换机口的情况,包含所属VLAN、是否激活等。4。12.15.设置设备同步:本步骤将CampusManager搜索到的设备信息传递给ResourceManagerEssential。首先，为此任务增加一个用户：登录网管系统,用菜单“ServerConfiguration”—“Security"—“Addusers”，新建一个名称为dev_sync的用户，密码为ccds5678，设置其权限为：“NetworkAdministrator”、“SystemAdministrator”，点击“Add”添加。选择菜单“ServerConfiguration”-“Setup”—“DeviceSynchronization"，输入Hostname：CW(本机名称），端口:1741，用户名：dev_sync,密码：syncpsw；选中：“SenddevicecredentialstoEssentials”、“SenddevicestoEssentials”及“SynchronizetoEssentialsincrementally”，然后点击“RUN”立即运行一次，点击“Apply"保存设置。4.12。16。设置ResourceManagerEssentials监控的设备集(View):选择菜单“ResourceManagerEssentials”—“Administration”—“Availability”-“ChangePollingOptions"，从左边的“AllView”中选取“All”，点击“Add”按钮添加到“PolledViews”中，点击“Next"按钮继续,再点击“Finish”按钮完成。4.12。17。输入设备密码：选择“ResourceManagerEssentials”-“Administration”—“Inventory"-“ChangeDeviceAttributes"，选择所有密码相同的设备,“Next”，选中“TelnetLoginModeUserNameandPassword”及“TelnetEnableModeUserNameandPassword”,“Next”，输入TelnetPassword，并在后面Verify框中重输一遍.“Finnish”，下一个画面输入EnableSecretPassword（注意不是EnablePassword),并在后面Verify框中重输一遍.可以用本菜单中的“CheckDeviceAttributes”功能检查设备的密码等管理数据是否有效。4.12.18.设置网络设备,启用Syslog：35xx交换机及MSFC：configtermloggingonlogging10.1.1。1（注意保存配置)6509、4006交换引擎:setloggingserverenablesetloggingserver10.1.1。1检查Syslog收集情况:选择菜单“ResourceManagerEssentials”正好论坛有问必答斑竹全部由DoubleCCIE主持.在线解答网友提问正好论坛有问必答http：//斑竹全部由DoubleCCIE主持。在线解答网友提问—“SyslogAnalysis”-“SuavityLevelSummary”,从左边的“Views”列表中选择All,然后在右上的“Devices"列表中选择要查看的设表（可用Shift键多选)并点击“Add"添加到“SelectedDevices”中，然后点击“Next”继续.在下一个画面中选择要查看的日志(Log）的日期，点击“Finish”查看。输入的画面将按Log信息的级别分类列出这些信息，点击相应的链接可以查看详细的Log信息.注意Syslog启用之后，如果网管工作站关闭，被管理设备的Log信息无法传到网管系统上，它将不断地进行重传，影响网络运行。所以，请务必采取措施（如专机专用，不安装任何其它程序，定期查毒等)以保证网管工作站运行安全。Ciscoworks系统处理Syslog信息速度较慢，您可能需要等待数个小时之后才能看到整理好的Syslog信息报告。4。12。19。检查ResourceManagerEssentials的可能性（Availability）监控状态选择菜单“ResourceManagerEssentials"-“Availability"-“ReachabilityDashboard",查看设备最近一次检查的情况，或选择“AvailabilityMonitor”检查设备可用性统计、反应时间，端口状态等.（注意：各种统计报表需要30-120分钟才能生成，如果尚无信息输入,请耐心等待，随后再试。）4。12。20。安装ContentFlowMonitor插入CFM光盘，自动弹出安装画面,按下“Install”按钮开始安装，按照引导“Next”，选择使用典型安装(Typicalinstallation)一步一步完成安装,按要求重新启动系统。4。12.21.安装DeviceFaultManager1.1插入DFM光盘，自动弹出安装画面,按下“Install”按钮开始安装，按照引导“Next"，选择使用典型安装（Typicalinstallation)一步一步完成安装，按要求重新启动系统.设置设备发送TRAP。35xx交换机及MSFC：configtermsnmpenabletrapssnmphost10.1。1。1trapver2cwritestr6509交换引擎:setsnmptrapenableallsetsnmptrap10.1.1。1writestr4.12。22.设置DFM将TRAP转发给RealTimeMonitor，为安装RTM做准备：选择菜单“DeviceFaultManager"-“TrapConfiguration”—“TrapForwarding"，在“AddRecipient”中输入主机名：CW，输入端口口为:395，按“OK"按钮确认保存。注销网管系统，关闭所有窗口。正好论坛有问必答斑竹全部由DoubleCCIE主持。在线解答网友提问正好论坛有问必答http：//斑竹全部由DoubleCCIE主持。在线解答网友提问4.12.23。为安装RealTimeMonitor建立帐号：在系统中新建一个安全用户，名称为rtm,密码:password1,设定“用户不可更改密码”、“密码永不过期".在“控制面板”-“管理工具”中选择“本地安全策略”，打开后在“本地策略”-“用户权限赋予”中为这个新用户增加Logonasabatchjob、Logonasaservice和LogonLocally三个权限。方法是点击相应的权限，并用Add添加该用户.4.12。24。安装RealTimeMonitor1.2a）安装Real—TimeMonitor插入Real—TimeMonitor光盘，自动弹出安装画面，按照引导“Next”,同意“用户协议",选择安装目录为d：\cw\rtm，,查看安装参数：主机名：CWIP地址：10.1。1。1WEBServerPort：9000（非默认，为避免与其它冲突)DatabaseServerPort：2639输入管理员用户名和帐号，默认为Administrator，设置密码为：password1.下一步输入数据库密码，此处预设为“password1”。下一步设置Owner(产权所有人）帐号，输入步骤22中建立的安全用户名称和密码（分别为rtm,password1).拷贝文件后系统会请求添加注册表数据，选YES同意.安装程序还会打开一个DOS窗口,多次请求进行初始化操作,用Y回答，完成安装。b)安装Real-TimeMonitorPacketDecodeEngine插入Real—TimeMonitorPacketDecodeEngine光盘,自动弹出安装画面，按照引导“Next”，同意“用户协议”，选择安装目录为d：\cw\rtm，完成安装。c)安装Real—TimeMonitorThirdPartyApplications根据需要可以安装Real-TimeMonitorThirdPartyApplications上附带的AcrobatReader、Netscape等第三方应用程序。d）更改RTM侦听的TRAP端口:编辑脚本：d:\cw\rtm\bin\perties,将tlist=162,395改为：tlist=3