linux系统管理实战projectchap

BENET3.0第二学期课程Linux网络架构项目实战——理论部分22课程回顾在Linux系统中可使用哪些方式安装应用软件？LAMP架构由哪些部分组成，各自作用是什么？iptables防火墙主要可以提供哪些应用？DHCP中继服务器的作用是什么？如何监测服务器性能、局域网主机的流量？33技能展示熟悉基于Linux系统的企业网络架构掌握网站/邮件、域名系统、防火墙、监控系统等重点应用的构建过程学会协调各种服务程序协同工作44Linux网络架构项目实战本章结构需求描述构建企业网站和邮件应用平台准备项目环境分别实施案例1、案例2、案例3构建企业应用网关和域名系统验证项目实施结果构建企业服务器管理监控系统问题分析实施步骤网络区域划分及IP地址分段各服务器功能角色及网络接口各局域网段客户机的地址参数55需求1：构建企业网站和邮件应用平台构建公司的对外Web站点运行对外的产品宣传网站开放中文论坛服务，并通过FTP方式进行维护构建完整的电子邮件收发系统发信服务器、收信服务器能够收发邮件的Web界面Web服务和邮件服务在同一台主机中提供

66需求2：构建企业应用网关及域名系统构建DNS服务器分别面向内、外网提供域的名称解析面向内网提供DNS解析缓存服务（同时提供备机）构建Linux网关服务器使3个局域网段的用户能够共享上网能够从Internet中访问公司的网站、邮件、DNS等系统构建DHCP服务器为3个局域网段的主机自动分配IP地址等参数77需求3：构建企业服务器管理监控系统构建服务器性能监控系统提供集中监测各服务器的可视化Web界面构建局域网流量监控系统方便及时了解各主机的带宽占用情况构建漏洞检测系统定期或随机的检测服务器的安全弱点构建远程登录访问控制系统允许管理员从内、外网远程管理各服务器88项目所使用的网络拓扑结构GW1Svr4:CACTI/NessusSvr1:Mail/Web/FTPSvr2:DNS-PSvr3:DHCP/DNS-SInternetGW2:NTOP/DHCP-RelayLAN1LAN2LAN3外部网络GW1InternetDMZ区GW2:NTOP/DHCP-RelaySvr4:CACTI/NessusSvr1:Mail/Web/FTPSvr2:DNS-PSvr3:DHCP/DNS-S99网络地址划分及IP地址分段网络区域用途IP地址分段外网通过网通100M光纤接入InternetIP/掩码：8/30默认网关：7DMZ区服务器区域、安全缓冲区域/24内网企业内部的3个物理网络段/24/24/241010外、内网网关主机的功能及网络接口主机名网络接口参数主要功能GW1eth0：54/24eth1：8/30默认网关地址：7外部防火墙SNAT共享上网DNAT发布DMZ区应用服务GW2eth0：/24eth1：/24eth2：/24eth3：/24默认网关地址：54内部防火墙SNAT共享上网Squid透明代理DHCP中继NTOP局域网监控1111主要应用服务器的功能及网络接口主机名网络接口参数主要功能Svr1eth0：1/24默认网关地址：54Apache网站服务Postfix邮件系统VSFTP服务Svr2eth0：2/24默认网关地址：54主DNS服务(兼DNS缓存)Svr3eth0：3/24默认网关地址：54DHCP服务辅助DNS服务Svr4eth0：4/24默认网关地址：54CACTI监控系统Nessus漏洞扫描系统SSHD远程访问1212内部局域网主机的地址参数局域网段默认网关地址DNS服务器地址/2423/24/241313使用虚拟机模拟项目环境InternetGW1(虚拟机)GW2(虚拟机)VMNET1VMNET2VMNET3外网测试机PC1VMNET1内网测试机PC2Svr1Svr2Svr3Svr4VMNET0LAN1LAN2DMZ区LAN3外部网络学员机1学员机2学员机6学员机3学员机4学员机51414项目分组实施的人员安排分组实施注意事项按照座位临近原则，每6名学员组成1个小组分配小组编号：第1小组、第2小组、第3小组……因各小组的DMZ区相互连接，需要避免IP地址冲突：更改DMZ区的网络地址，不要都使用/24网段在配置DHCP服务时限制只监听本网卡地址，而不是所有地址第1小组使用/24网段第2小组使用/24网段第3小组使用/24网段……修改/etc/sysconfig/dhcpd配置文件设置：DHCPDARGS=“eth0”1515小结请思考：本项目中使用了几台服务器，各自提供哪些应用？其中内网网关主机需要添加几块网卡？使用虚拟机环境时，各服务器之间如何相互连通？在同一机房内，如何确保各小组不发生地址冲突？BENET3.0第二学期课程Linux网络架构项目实战——上机部分1717准备项目环境确认所需使用的软件资源RHEL5系统的DVD光盘镜像各服务器角色所需要的额外软件包安装各自所负责的虚拟机操作系统勾选开发工具包禁用SELinux、防火墙根据本服务器的角色定制所需要安装的软件包，例如：dhcp、bind、vsftpd、httpd等1818准备项目环境确认内、外网关主机及测试机的虚拟网卡连接根据规划方案配置各主机的IP地址等参数学员机虚拟机用途虚拟网卡IP地址1第1台

VMNET0VMNET154/248/30第2台外网测试机PC1VMNET17/302第1台

VMNET0VMNET1VMNET2VMNET3/24/24/24/24第2台内网测试机PC2VMNET100/241919准备项目环境确认各应用服务器主机的虚拟网卡连接根据规划方案配置各主机的IP地址等参数学员机虚拟机用途虚拟网卡IP地址3第1台

VMNET01/244第1台

VMNET02/245第1台

VMNET03/246第1台

VMNET04/242020实现案例1：网站和邮件应用平台学员机3中的配置——Svr1服务器添加到3个局域网段的路由记录从源码包编译安装httpd、mysql、php，配置基于域名的Web虚拟主机架设Discuz！中文论坛程序架设基于Postfix的电子邮件系统架设vsftpd服务以便用户维护网站内容学员机2中的配置——GW2内部网关开启路由转发功能，以便内网用户可以访问Svr1主机2121实现案例2：应用网关及域名系统学员机4中的配置——Svr2服务器配置BIND主域名服务，提供缓存及分离解析学员机5中的配置——Svr3服务器配置BIND从域名服务配置DHCP服务，提供3个内网段的地址配置2222实现案例2：应用网关及域名系统学员机2中的配置——GW2内部网关配置DHCP中继服务配置Squid透明代理服务配置SNAT共享上网策略学员机1中的配置——GW1外部网关配置SNAT共享上网策略配置DNAT策略发布DMZ区的应用服务器2323实现案例3：服务器管理监控系统所有学员机——GW1、GW2、Svr1～SVr4安装并配置snmpd服务，以便提供监测数据配置OpenSSH服务器，以便提供远程登录管理学员机6中的配置——SVr4服务器配置CACTI监控系统配置Nessus漏洞检测系统学员机2中的配置——GW2内部网关配置NTOP局域网流量监控2424验证项目实施结果部分测试目标：由各学员根据项目需求分别进行测试验证DNS解析、Web站点、邮件系统、监控系统、远程登录、代理服务等各类应用是否成功整体测试目标：使用内部测试机PC2，通过DHCP的方式自动配置地址在外部测试机PC1中，应能访问企业的Web站点、电子邮件系统等应用在PC2中应能够透明访问位于PC1中的Web服务2525上机实验——阶段一阶段1：准备项目环境确认RHEL5DVD镜像文件位置准备好各种额外软件包安装各自所负责的虚拟机操作系统注意勾选开发工具包、网络服务包禁用SELinux、防火墙根据本服务器的角色定制所需要安装的软件包，例如：dhcp、bind、vsftpd、httpd等2626学员练习2小时内完成上机实验——阶段一2727上机实验——阶段二确保各小组实现案例1学员机3中的配置——Svr1服务器添加到3个局域网段的路由记录编译安装httpd、mysql、php，配置基于域名的Web虚拟主机架设Discuz！中文论坛程序架设基于Postfix的电子邮件系统架设vsftpd服务以便用户维护网站内容学员机2中的配置——GW2内部网关开启路由转发功能，以便内网用户可以访问Svr1主机2828学员练习4小时内完成上机实验——阶段二2929上机实验——阶段三确保各小组实现案例2学员机4中的配置——Svr2服务器配置BIND主域名服务，提供缓存及分离解析学员机5中的配置——Svr3服务器配置BIND从域名服务配置DHCP服务，提供3个内网段的地址配置学员机2中的配置——GW2内部网关配置DHCP中继服务配置Squid透明代理服务配置SNAT共享上网策略学员机1中的配置——GW1外部网关配置SNAT共享上网策略配置DNAT策略发布DMZ区的应用服务器3030学员练习2小时内完成上机实验——阶段三3131上机实验——阶段四确保各小组实现案例3所有学员机——GW1、GW2、Svr1～SVr4

安装并配置snmpd服务，以便提供监测数据配置OpenSSH服务器，以便提供远程登录管理学员机6中的配置——SVr4服务器配置CACTI监控系统配置Nessus漏洞检测系统学员机2中的配置——GW2内部网关配置NTOP局域网流量监控3232学员练习2小时内完成上机实验——阶段四3333上机实验——阶段五项目结果验收部分测试目标：由各学员根据项目需求分别进行测试验证DNS解析、Web站点、邮件系统、监控系统、远程登录、代理服务等各类应用是否成功整体测试目标：使用内部测试机PC2，通过DHCP的方式自动配置地址在外部测试机PC1中，应能访问Web站点、邮