网络工程+服务器综合实训

《网络服务配置》

题 目：班 级：姓 名：学 号：指导教师：日 期：

实训报告

绿森林发展有限公司网络工程项目 11计网 熊湾 20110305107 程 宁 2013.1.18

第1章 绿森林发展有限公司网络工程项目设计方案 1.1 项目概况

1、绿森林发展有限公司需求分析概述

绿森林发展有限公司是一家拥有300名员工的新型IT企业，公司有近300台运行WINDOWS 2003/XP的计算机。公司总部位于武汉，并分别在黄石、宜昌设有分公司。总部设有财务、技术、培训和销售4个部门，每个分公司则由销售、技术和财务3个部门组成，由总部统一管理。

绿森林发展有限公司的组织架构如图 财务部 技术部 培训部 销售部 黄石分公司 宜昌分公司 绿森林发展有限公司 销售部 销售部 技术部 技术部 财务部 财务部

绿森林发展有限公司所从事的业务对网络系统有极大的依赖性，内部办公等都需要网络支持。公司建设初期已经实施了简单的网络系统，但随着公司规模的不断扩大和业务的不断扩展，员工数量的不断增多和信息应用系统的不断增加，现有的网络系统逐渐不能满足企业信息化建设的要求，因此计划对总公司的局域网络和总公司与分公司之间互联网络进行重新规划设计，以提高网络的可用性、安全性和可靠性，并保留一定的可扩展性，在绿森林发展有限公司内实现一个完善、高效、高可用性和高可靠性的办公网络，用以满足各项业务发展的需要。

为了使绿森林发展有限公司的信息网络系统能够在未来几年时间内保持技术上的先进性和实用性，公司要求在项目的规划和实施中采用先进的计算机、服务器、网络设备以及系统管理模式，实现公司内部所有信息资源的合理应用和完善管理，使所有员工都能方便地使用公司内部网络，并能够安全高效地访问公司内的网络应用服务和因特网。

1.2 总体网络拓扑图

拓扑图如下图所示：

内网

1.3 绿森林发展有限公司总公司网络设计说明

1、绿森林发展有限公司网络设计概述

为了使绿森林发展有限公司的信息网络系统能够在未来几年 时间内保持技术上的先进性和实用性，公司要求在项目的规划和实施中采用先进的计算机、服务器、网络设备以及系统管理模式，实现公司内部所有信息资源的合理应用和完善管理，使所有员工都能方便地使用公司内部网络，并能够安全高效地访问公司内的网络应用服务和因特网。现对绿森林发展有限网络公司的网络进行升级，添加新的设备和网络服务器，添加DNS服务、WEB服务、FTP服务、邮件服务等网络服务系统。绿森林发展有限武汉总公司采用锐捷3760 作为核心交换机，在核心层实现了核心交换设备的双机冗余，并且，为了防止单点故障，同时在每个部门都实现了双线路备份。建设一个通畅、高效、安全、稳定、可扩展的企业内联网，支撑公司内各类信息系统的运行，共享各种资源，提高企业的办公效率，降低企业网络的总体运行费用。

2、具体要求：

（1）交换机方面：

① 各公司两层交换机的各端口需配置端口安全，不绑MAC地址，最多接入设备1台。 ② 各两层交换机所有链接的链路都要求配置Trunk，并且封装802.1q协议。三层交换机trunk设置为自动协商。

③ 各交换机按要求划分VLAN，并将交换机相应端口分到相应VLAN上。 ④ 在三层交换机S1和S2之间的链路做端口聚合。

⑤ 将三层交换机S1设为VLAN10和VLAN20的主根交换机，S2设为VLAN10和VLAN20的次根交换机。三层交换机S2设为VLAN30和VLAN40的主根交换机，S1设为次根交换机。

⑥ 如需使用使用生成树协议，需采用MSTP协议。

⑦ 各交换机需配置管理IP和相应密码，以实现远程访问。但要求且应当设置成比较负载的强密码。普通的password密码加密机制已经很古老，存在极大的安全漏洞，必须使用no enable password禁用，然后利用enable secret命令设置密码。该加密机制是IOS采用了MD5散列算法进行加密的，比较安全。

（2）路由方面

① 内网路由协议要求用RIP路由协议，路由协议要求用OSPF路由协议，并要求启用MD5认证。

② 实现内网和的路由重分发。

③ 要求总公司内网的技术部和销售部能够访问Internet，而财务部和培训部不能访问Internet。

注：要求员工在上班期间是不能上internet的。上班时间为周一到周五 早上9；00到12；00 ；下午3：00到6 ：00，上网期间不能使用BT下载，流量为 50kb。不能用QQ聊天。

④ 要求各分公司必须通过总公司才能访问Inetrnet。

⑤ 各设备要求能够实现远程访问，但要求设置成比较负载的强密码。 （3）服务器方面

① 配置WEB服务器、FTP服务器、DNS服务器、DHCP服务器，RADIUS服务器。 ② 要求建立活动目录，

③ 要求实现计算机用户基本管理 ④ 要求实现组策略管理 ⑤ 安装证书服务 ⑥ 要求实现双机热备

⑦ 利用管理软件实现管理整个网络。

表1-1 IP地址分配表 序VLA号 N号 1 10 caiwu VLAN名称 IP地址范围 192.168.1.1-192.168.1.2 2 20 jishu 192.168.2.1-192.168.2.2 3 30 shengchan 192.168.3.1-192.168.3.2 4 40 xiaoshou 192.168.4.1-192.168.4.2 5 50 fuwuqi 192.18.5.1-192.16.5.2 255.255.255.0 192.16.5.2 192.16.5.253 255.255.255.0 192.168.4.2 192.168.4.253 255.255.255.0 192.168.3.2 192.168.3.253 255.255.255.0 192.168.2.2 192.168.2.253/192.168.2.252 255.255.255.0 192.168.1.2 192.168.1.253/192.168.1.252 子网掩码 网关 接入交换机管理地址

表1-2 设备端口地址

设备名 端口号 SW3-1 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 30 192.168.3.0/24 20 192．168.2.0/24 VLAN号 10 VLAN接口地址/掩码 192.168.1.0/24 连接设备 连接设备的IP地址/掩码 caiwu1 caiwu2 caiwu3 Caiwu4 caiwu5 Jishu1 Jishu2 Jishu3 Jishu4 Jishu5 备注 已连接 已连接 已连接 已连接 已连接 Shengchan1 Shengchan2 Shengchan3 Shengchan4 Shengchan5

16 17 18 19 20 21 22 23 24 SW3-2 25-48 21 22 23 24 25-48 R1 1 2 Caiwu1 1-22 23 24 Caiwu2 1-22 23 24 Jishu1 1-22 23 24 Jishu2 1-22 23 24 1-22 40 192.168.4.0/24 Xiaoshou1 Xiaoshou2 Xiaoshou3 Xiaoshou4 Xiaoshou5 11.0.0.2/30 12.0.0.2/30 12.0.0.1/30 11.0.0.1/30 192.168.1.0/24 192.168.1.0/24 192.168.2.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 已连接 50 50 10 10 20 20 30 40 11.0.0.1/30 192.168.5.0/24 12.0.0.1/30 192．168.5.0/24 12.0.0.2/30 11.0.0.2/30 192.168.1.0/24 192.168.1.0/24 192.168.2.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 SW3-2 SW3-2 fuwuqi SW3-1 SW3-1 R1 fuwuqi SW3-2 PC SW3-1 SW3-2 PC SW3-1 SW3-2 PC SW3-1 SW3-2 PC SW3-1 SW3-2 PC SW3-1 SW3-2 PC SW3-1 SW3-2 SW3-1 SW3-2 Shengchan1 23 24 Xiaoshou1 1-22 23 24 1-2 3-4

Fuwuqi 5 6 7 50 192.16.5.0/24 AD DHCP/DNS WEB/FTP 192.16.5.1/24 192.16.5.2/24 192.16.5.3/24

1.4 宜昌分与黄石分公司网络设计说明

为了使黄石分公司和宜昌分公司能够和总公司之间的通信更加安全，可靠，特向电信申请了两条专线连接武汉总公司。

建成后实现绿森林发展有限公司总部和黄石，宜昌分公司实现互连，黄石，宜昌分公司通过总公司访问INTERNET，并且可以访问位于总公司的服务器，但不能访问总公司其他部门的PC。

第2章 网络配置

2.1 绿森林发展有限公司总公司配置（由于机房条件有限，用2个交换机代替4个交换机使用S21和S23合为S21用，S22和S24合为S22用）

交换机S21

首先进入到配置模式 vlan 10 exit vlan 20 exit vlan 30 exit vlan 40 exit

int range fa0/1-3 switch mode access switch access vlan 10 exit

int range fa0/4-6 switch mode access switch access vlan 20 exit

int range fa0/7-9 switch mode access

switch access vlan 30 exit

int range fa0/10-12 switch mode access switch access vlan 40 exit

int range fa0/21-22 switch mode trunk exit

交换机S22

进入到配置模式 vlan 10 exit vlan 20 exit vlan 30 exit vlan 40 exit

int range fa0/1-3 switch mode access switch access vlan 10 exit

int range fa0/4-6 switch mode access switch access vlan 20 exit

int range fa0/7-9 switch mode access switch access vlan 30 exit

int range fa0/10-12 switch mode access switch access vlan 40 exit

int range fa0/21-22 switch mode trunk exit

交换机S31

进入到配置模式 vlan 10 exit

vlan 20 exit vlan 30 exit vlan 40 exit

int range fa0/21-22 switch mode trunk exit

int fa0/20 no switch

ip add 172.16.1.2 255.255.255.0 no shut exit

交换机S32

进入到配置模式 vlan 10 exit vlan 20 exit vlan 30 exit vlan 40 exit

int range fa0/21-22 switch mode trunk exit

int fa0/20 no switch

ip add 172.16.2.2 255.255.255.0 no shut exit

交换机S31管理VLAN IP 在配置模式下 int vlan 10

ip add 172.16.10.1 255.255.255.0 no shut exit

int vlan 20

ip add 172.16.20.1 255.255.255.0 no shut exit

int vlan 30

ip add 172.16.30.1 255.255.255.0 no shut int vlan 40

ip add 172.16.40.1 255.255.255.0 no shut exit

交换机S32管理VLAN IP 在配置模式下 int vlan 10

ip add 172.16.10.2 255.255.255.0 no shut exit

int vlan 20

ip add 172.16.20.2 255.255.255.0 no shut exit

int vlan 30

ip add 172.16.30.2 255.255.255.0 no shut int vlan 40

ip add 172.16.40.2 255.255.255.0 no shut exit

MSTP生成树协议 S21

spanning-tree ！开启生成树

spanning-tree mode mstp ！配置生成树模式为MSTP

spanning-tree mst configuration ! 进入MSTP配置模式

instance 1 vlan 10,20 ！配置instance 1（实例1）并关联Vlan 10和20 instance 2 vlan 30,40 ！配置实例2并关联Vlan 30和40 name region1 ！配置域名称

revision 1 ！配置版本（修订号） S22

spanning-tree ！开启生成树

spanning-tree mode mstp ！配置生成树模式为MSTP

spanning-tree mst configuration ! 进入MSTP配置模式

instance 1 vlan 10,20 ！配置instance 1（实例1）并关联Vlan 10和20 instance 2 vlan 30,40 ！配置实例2并关联Vlan 30和40 name region1 ！配置域名称

revision 1 ！配置版本（修订号）

S31

spanning-tree ！开启生成树

spanning-tree mode mstp ！配置生成树模式为MSTP

spanning-tree mst 1 priority 4096 ！配置交换机S31在instance 1中的优先级为4096 ，缺省是32768，值越小越优先成为该instance中的root switch spanning-tree mst configuration ! 进入MSTP配置模式

instance 1 vlan 10,20 ！配置instance 1（实例1）并关联Vlan 10和20 instance 2 vlan 30,40 ！配置实例2并关联Vlan 30和40 name region1 ！配置域名称

revision 1 ！配置版本（修订号） S32

spanning-tree ！开启生成树

spanning-tree mode mstp ！配置生成树模式为MSTP

spanning-tree mst 2 priority 4096 ！配置交换机S32在instance 1中的优先级为4096 ，缺省是32768，值越小越优先成为该instance中的root switch spanning-tree mst configuration ! 进入MSTP配置模式

instance 1 vlan 10,20 ！配置instance 1（实例1）并关联Vlan 10和20 instance 2 vlan 30,40 ！配置实例2并关联Vlan 30和40 name region1 ！配置域名称

revision 1 ！配置版本（修订号）

端口聚合

连接S31和S32 两条线路 ，使其跑其中一条线路，当使用中的线路断开时，另外一条自动连接上 S31

int aggregateport 1 switchport mode trunk exit

int range fa0/23-24 port-group 1 exit S32

int aggregateport 1 switchport mode trunk exit

int range fa0/23-24 port-group 1 exit

效果如下 用172.16.10.10 ping 192.168.150.10 持续发包 断开 说s31 和 s32 的一条连接 丢失 持续可以ping 通

在S31. S32 和R1上面设置浮动静态路由 S31(config)#ip route 172.16.1.0 255.255.255.0 172.16.1.1 S32(config)#ip route 172.16.2.0 255.255.255.0 172.16.2.1 50 R1(config)#ip route 172.16.1.0 255.255.255.0 172.16.1.2 R1(config)#ip route 172.16.2.0 255.255.255.0 172.16.2.2 50 效果如下

开始设置左边的线路优先，之后ping 172.16.10.10 持续发包时显示从 172.16.1.0 这边走，断开这条线路，ping 172.16.10.10 显示从 172.16.2.0 这边走。

在S31和S32上面宣告RIP协议 S31

router rip version 2

network 172.16.0.0 S32

router rip version 2

network 172.16.0.0

在R1上宣告RIP,OSPF协议 默认路由 并且将默认路由注入RIP协议中

注释：//在这里往R1的RIP协议中注入默认路由使其S31和S32都可以学到此默认路由 Ip route 0.0.0.0 0.0.0.0 192.168.12.2 Router rip Version 2

default-information originate Network 172.16.0.0 Exit

Router ospf 100

Network 192.168.12.0 0.0.0.255 area 0

在R1上面做重分布 使2个路由协议兼容 RIP重分布道OSPF里面去 Router ospf 100

redistribute rip subnets metric-type 1 metric 50 OSPF重分布到RIP中 Router rip

redistribute ospf 100 metric 3

远程登录（实现远程访问） S21

S21(config)#no enable pass S21(config)#line vty 0 4

S21(config-line)#no password S21(config-line)#no login

S21(config)#enable password xiongwan S21(config)#enable secret level 15 0 200 S22

S22(config)#no enable pass S22(config)#line vty 0 4

S22(config-line)#no password S22(config-line)#no login S22(config-line)#exits

S22(config)#enable password xiongwan S21(config)#enable secret level 15 0 200 S31

S31(config)#no enable pass S31(config)#line vty 0 4

S31(config-line)#no password S31(config-line)#no login

S31(config)#enable password xiongwan S31(config)#enable secret level 15 0 200

S32

S32(config)#no enable pass S32(config)#line vty 0 4

S32(config-line)#no password S32(config-line)#no login

S32(config)#enable password xiongwan S32(config)#enable secret level 15 0 200

R1

R1(config)#no enable pass R1(config)#line vty 0 4

R1(config-line)#no password R1(config-line)#no login

R1(config)#enable password xiongwan

R1(config)#enable secret level 15 0 200

R2

R2(config)#no enable pass R2(config)#line vty 0 4

R2(config-line)#no password R2(config-line)#no login

R2(config)#enable password xiongwan R2(config)#enable secret level 15 0 200

R3

R3(config)#no enable pass

R3(config)#line vty 0 4

R3(config-line)#no password R3(config-line)#no login

R3(config)#enable password xiongwan R3(config)#enable secret level 15 0 200

R4

R4(config)#no enable pass R4(config)#line vty 0 4

R4(config-line)#no password R4(config-line)#no login

R4(config)#enable password xiongwan R4(config)#enable secret level 15 0 200

定义时间段

R2(config)#time-range xiongwan

R2(config-time-range)#periodic weekdays 00:00 to 08:59

R2(config-time-range)#periodic weekdays 12:00 to 14:59 R2(config-time-range)#periodic weekdays 18:00 to 23:59 R2(config-time-range)#periodic weekend 00:00 to 23:59

定义NAPT地址池

R2(config)#ip nat pool xiongwan 192.168.5.225 192.168.5.225 netmask 255.255.255.0

定义访问控制列表规则

R2(config)#access-list 110 permit ip 172.16.20.0 0.0.0.255 192.168.5.1 0.0.0.255 time-range xiongwan

R2(config)#access-list 110 permit ip 172.16.40.0 0.0.0.255 192.168.5.1 0.0.0.255 time-range xiongwan

R2(config)#access-list 110 permit ip 192.168.120.0 0.0.0.255 192.168.5.1 0.0.0.255 time-range xiongwan

R2(config)#access-list 110 permit ip 192.168.130.0 0.0.0.255 192.168.5.1 0.0.0.255 time-range xiongwan

R2(config)#access-list 110 permit ip 192.168.160.0 0.0.0.255 192.168.5.1 0.0.0.255 time-range xiongwan

R2(config)#access-list 110 permit ip 192.168.170.0 0.0.0.255 192.168.5.1 0.0.0.255 time-range xiongwan

注释：以下拒绝的网段 在任何时间都不能上网，所以不需要应用到下班的时间段中去

R2(config)#access-list 110 deny ip 172.16.10.0 0.0.0.255 192.168.5.1 0.0.0.255 R2(config)#access-list 110 deny ip 172.16.30.0 0.0.0.255 192.168.5.1 0.0.0.255 R2(config)#access-list 110 deny ip 192.168.110.0 0.0.0.255 192.168.5.1 0.0.0.255 R2(config)#access-list 110 deny ip 192.168.150.0 0.0.0.255 192.168.5.1 0.0.0.255 R2(config)#access-list 110 permit ip any any

注释：//访问控制列表的隐含规则是拒绝所有数据包 R2(config)#ip nat inside source list 110 pool xiongwan overload

将访问列表规则应用在接口上 R2(config)#int fa0/0

R2(config-if)#ip access-group 101 out

效果如下

允许以下网段在不上班的时间段能上网

172.16.30.0 172.16.40.0 192.168.120.0 192.168.130.0 192.168.160.0 192.168.170.0

以下网段在任何情况下不能访问 172.16.10.0 172.16.30.0 192.168.110.0 192.168.150.0

2.2 宜昌分公司配置 （S23与S21同用）

交换机S22

进入到配置模式 vlan 110 Exit vlan 120 Exit vlan 130 exit

int range fa/13-15 switch mode access switch access vlan 110 int range fa/16-18 switch mode access switch access vlan 120 int range fa/19-20 switch mode access switch access vlan 130 int fa0/24

switch mode trunk

2.3 黄石分公司配置(S24与S22同用)

交换机S22

进入到配置模式 vlan 150 exit vlan 160 exit vlan 170 exit

int range fa/13-15 switch mode access switch access vlan 150 int range fa/16-18 switch mode access

switch access vlan 160 int range fa/19-20 switch mode access switch access vlan 170 int fa0/24

switch mode trunk

第3章 网络系统及网络服务管理 3.1 DNS服务器设置

S32上做服务器（在S32上任选一个没使用的端口作为连接服务器的端口） conf t int fa0/11

S32(config-if-FastEthernet 0/11)#no switchport

S32(config-if-FastEthernet 0/11)#ip add 172.16.3.2 255.255.255.0 S32(config-if-FastEthernet 0/11)#exit

选一台电脑做服务器。 开虚拟机。

首先打开虚拟机 点击开始选

项找到控制删除程序，

点击第三个添加/删除windows组件

将网络服务点击，在点击查看详细信息

将DNS域名系统打上勾，确定，下一步，完成。 再开始菜单-管理工具中找到DNS

在DNS中找到正向区域 新建一个区域

其次过程如下

点击反向区域

新建一个区域

点击下一步

进入以下出口 点击鼠标反键 新建一个主机

添加一个前缀 IP地址为本机IP地址

添加一个指针

在浏览中找到主DNS 测试

3.2 DHCP服务器设置

首先安装DHCP服务

打开DHCP服务器 过程。。。。。。。。。。截图如下。

填写要动态获取IP的IP地址段

此时添加的是VLAN 的网关

添加的是服务器的IP 和主服务器IP（主服务器IP为武汉的IP）

在S32上做服务器配置命令 S32(config)#service dhcp S32(config)#int vlan 10

S32(config-if-VLAN 10)#ip helper-address 172.16.3.225 S32(config-if-VLAN 10)#exit S32(config)#service dhcp S32(config)#int vlan 20

S32(config-if-VLAN 20)#ip helper-address 172.16.3.225 S32(config-if-VLAN 20)#exit S32(config)#service dhcp S32(config)#int vlan 30

S32(config-if-VLAN 30)#ip helper-address 172.16.3.225 S32(config-if-VLAN30)#exit S32(config)#service dhcp S32(config)#int vlan 40

S32(config-if-VLAN 40)#ip helper-address 172.16.3.225 S32(config-if-VLAN 40)#exit

效果图如下…..

在R3上做DHCP服务 进入配置模式 service dhcp

ip dhcp pool xiongwan1

network 192.168.110.0 255.255.255.0 dns-server 202.103.24.68 172.16.3.225 default-router 192.168.110.1 exit

ip dhcp pool xiongwan2

network 192.168.120.0 255.255.255.0 dns-server 202.103.24.68 172.16.3.225 default-router 192.168.120.1 exit

ip dhcp pool xiongwan3

network 192.168.130.0 255.255.255.0 dns-server 202.103.24.68 172.16.3.225 default-router 192.168.130.1 exit

在R4做DHCPF服务 service dhcp

ip dhcp pool xiongwan4

network 192.168.150.0 255.255.255.0 dns-server 202.103.24.68 172.16.3.225 default-router 192.168.150.1 exit

ip dhcp pool xiongwan5

network 192.168.160.0 255.255.255.0 dns-server 202.103.24.68 172.16.3.2285 default-router 192.168.160.1 exit

ip dhcp pool xiongwan6

network 192.168.170.0 255.255.255.0 dns-server 202.103.24.68 172.16.3.225 default-router 192.168.170.1 exit

3.3 WEB服务器设置

中访问WEB

VLAN 110 和 VLAN 150 拒绝访问 VLAN 120 130 160 170 可以访问 截图如下。

例如 192.168.120.0 这个网段可以访问WEB

192.168.110.0 这个网段不可以访问 web

在内网中访问 web 服务。

Vlan 10 和 vlan 30 不可以访问。 Vlan 20 和 vlan 40 可以访问 截图如下。

172.16.20.0 网段 可以访问

3.4 FTP服务器设置

中访问ftp 服务器。

Vlan 110 和 vlan 150 拒绝访问 Vlan 120 130 160 170 可以访问 截图如下。

例如 192.168.120.0 这个网段可以访问 ftp

192.168.110.0 这个网段不可以访问 ftp

在内网中访问ftp 服务。

Vlan 10 和 vlan 30 不可以访问。 Vlan 20 和 vlan 40 可以访问 截图如下。

172.16.20.0 网段 可以访问

172.16.10.0 网段不可以访问。

3.5 安装邮箱服务

首先安装电子邮件服务

在DNS中添加2个主机 1个为SMTP 1个为POP3

在管理工具中打开POP3服务 过程如下

点击新域

添加邮箱

创建2个用户邮箱

服务由此搭建好

3.6 安装证书服务

首先安装证书服务，必须先卸载IIS服务

点击是

点击是

在安装IIS服务

要在以下图中默认网站下显示出该3个文件

测试

在用户WEB上输出http://172.16.3.225/certsrv/

服务搭建好

第4章 总结

短暂的实训课就这样结束了，从中我学了许多东西，把书本上的知识运用到实际动手操作，收获颇多在进行实训的过程中，我真正学到了计算机教科书上所没有或真正用到了课本上的知识。这样，既巩固了旧知识，又掌握了新的内容。不仅从中提高了自己的动手能力，更体会到了团体合作的精神。更加深入的了解了计算机网络技术的实际运用，更为了自己的将来的实践打下了良好的基础。