XX公司網(wǎng)絡(luò)解決方案實(shí)訓(xùn)作品

1、聲明時間在流逝，社會在進(jìn)步，請“把握現(xiàn)在，暢想未來”。本文檔內(nèi)容為原創(chuàng)文章，內(nèi)容僅供參照學(xué)習(xí)之用，請勿修改。想要交流計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的朋友請加入“計(jì)算機(jī)夢工廠”。目錄一、背景介紹2二、需求分析2三、網(wǎng)絡(luò)部分設(shè)計(jì)規(guī)劃及技術(shù)說明2（一）總體目標(biāo)2（二）技術(shù)說明21.MSTP22.VRRP23.NAPT24.ACL25.鏈路聚合26.PPP及CHAP2（三）設(shè)備選擇2四、拓?fù)鋱D2（一）網(wǎng)絡(luò)拓?fù)鋱D2（二）拓?fù)浣Y(jié)構(gòu)說明2（三）IP地址的劃分2五、項(xiàng)目具體實(shí)施2（一）S2126A21.MSTP22.安全端口23.Trunk口2（二）S2126B21.MSTP22.安全端口23.Trunk口2（三）S376

2、0A21.端口聚合22.MSTP23.VRRP2（四）S3760B21.端口聚合22.MSTP23.VRRP2（五）RSR20A21.CHAP、MD522.OSPF的配置2（六）RSR20B21.CHAP、PPP22.ospf的配置23.動態(tài)NAPT24.靜態(tài)NAPT25.基于時間ACL2六、服務(wù)器技術(shù)實(shí)現(xiàn)2（一）DNS2（二）DHCP2（三）WEB2（四）Mysql2（五）CA認(rèn)證2一、背景介紹迅速發(fā)展的Internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠(yuǎn)的影響。市場的全球化競爭已成為趨勢。對于企業(yè)來說，在調(diào)整發(fā)展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為基礎(chǔ)，借

3、助計(jì)算機(jī)網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。企業(yè)內(nèi)部網(wǎng)（Internet）是國際互聯(lián)網(wǎng)（Internet）技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。Internet是使用Internet技術(shù)，特別是TCP/IP協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。這種技術(shù)允許不用計(jì)算機(jī)平臺進(jìn)行互通，暫不用考慮其位置。也就是所說的用戶可以對任何一臺進(jìn)行訪問或從任何一臺計(jì)算機(jī)進(jìn)行訪問。xx公司是一個集銷售、服務(wù)于一體的中小型IT產(chǎn)品銷售企業(yè)，其下設(shè)4個行政部門分別為財(cái)務(wù)部、技術(shù)部、營銷部和市場部，公司需要通過建設(shè)一個高速、安全、可靠、可擴(kuò)充的網(wǎng)絡(luò)系統(tǒng)，實(shí)現(xiàn)企業(yè)內(nèi)信息的高度共享、傳遞，交流及管理信息化，建立出口信道，實(shí)現(xiàn)與I

4、nternet互聯(lián)。公司內(nèi)部各部門的上網(wǎng)設(shè)備數(shù)分別是，財(cái)務(wù)部20臺、技術(shù)部25臺、營銷部30臺、市場部50臺，各部門經(jīng)理及老板共計(jì)10臺。市場部人數(shù)較多并且上班上班時間大部分時間都在使用網(wǎng)絡(luò)查資料和發(fā)布信息等，對網(wǎng)絡(luò)帶寬要求較高。二、需求分析公司是一個IT相關(guān)產(chǎn)品銷售及服務(wù)公司，屬于信息化產(chǎn)業(yè)公司，自然公司的網(wǎng)絡(luò)建設(shè)應(yīng)保證有較高的性能。網(wǎng)絡(luò)工程應(yīng)包含網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)和服務(wù)器系統(tǒng)的設(shè)計(jì)兩部分。公司內(nèi)部局域網(wǎng)應(yīng)該符合高速、安全、穩(wěn)定可靠，還要具有一定的可擴(kuò)展性，從而實(shí)現(xiàn)企業(yè)內(nèi)部信息的高度共享、傳遞，交流及管理信息化平臺。具體涉及到的各個部門應(yīng)該可以做到職能關(guān)系相隔離，保障部門間的信息安全，同樣充分滿

5、足必要信息交流不受影響。關(guān)于服務(wù)器部分，根據(jù)公司的業(yè)務(wù)需要，企業(yè)網(wǎng)內(nèi)建立獨(dú)立DNS、FTP、WEB服務(wù)器，保證為內(nèi)部用戶提供高效及時的域名解析及文件共享服務(wù)。另外要將web服務(wù)器發(fā)布到互聯(lián)網(wǎng)上，保證Internet用戶可以順暢的訪問公司網(wǎng)站，滿足業(yè)務(wù)需求和企業(yè)信息的宣傳及發(fā)布。在保證內(nèi)部服務(wù)的同時，公司內(nèi)部員工對外網(wǎng)也有一定的鏈接請求，方便了解Internet信息及資料查詢，所以應(yīng)保證相應(yīng)充足的Internet鏈接帶寬，實(shí)現(xiàn)與Internet互聯(lián)。三、網(wǎng)絡(luò)部分設(shè)計(jì)規(guī)劃及技術(shù)說明（一）總體目標(biāo)建造一個雙核心的網(wǎng)絡(luò)結(jié)構(gòu)，采用兩個三層核心交換機(jī)做冗余備份，實(shí)現(xiàn)一個高速便捷、安全穩(wěn)定，功能齊全，的網(wǎng)絡(luò)

6、系統(tǒng)，滿足現(xiàn)代化公司辦公業(yè)務(wù)的需要。我們把整個網(wǎng)絡(luò)分為內(nèi)部交換網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)出口設(shè)計(jì)，網(wǎng)絡(luò)安全設(shè)計(jì)三大部分，對于內(nèi)部交換網(wǎng)絡(luò)我們采用分層設(shè)計(jì)。內(nèi)部交換網(wǎng)絡(luò)分成核心層和接入層兩大部分。核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心，其主要功能是高速、可靠的進(jìn)行數(shù)據(jù)交換。為加速數(shù)據(jù)的快速轉(zhuǎn)發(fā)，我們在核心層采用鏈路聚合技術(shù)，增加網(wǎng)絡(luò)帶寬，提高數(shù)據(jù)轉(zhuǎn)發(fā)效率。為提高網(wǎng)絡(luò)鏈路的冗余性，采用VRRP技術(shù)做熱備份，MSTP技術(shù)，保證鏈路的冗余性等。接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要進(jìn)行vlan的劃分等。在方案設(shè)計(jì)時，我們將嚴(yán)格遵循：雙核心、鏈路聚合、ACL、VRRP、MSTP協(xié)議的使用，均為保證可靠性。（二）技術(shù)說明1

7、.MSTP本工程網(wǎng)絡(luò)為雙核心多環(huán)路結(jié)構(gòu)，需要解決流量均衡和環(huán)路問題，因此通常生成樹協(xié)議時最好的選擇，雖然STP及MSTP很好地解決了網(wǎng)絡(luò)鏈路環(huán)路問題，使網(wǎng)絡(luò)鏈路實(shí)現(xiàn)冗余備份，但是并沒有考慮到VLAN及負(fù)載均衡問題。要解決這個問題，需要采用多生成樹協(xié)議（MSTP）。圖3.1 MSTP結(jié)構(gòu)圖本項(xiàng)目中創(chuàng)建兩個實(shí)例Instance10和Instance20，分別將Instance10與VLAN10、VLAN20相關(guān)聯(lián)，Instance20與VLAN30、VLAN40相關(guān)聯(lián)，域名同為lncc，表示兩個實(shí)例屬于同一個區(qū)域，并配置相同的版本號為1。優(yōu)先級（root）的選定：在S3760A上指定Instanc

8、e10的優(yōu)先級為4096，Instance20為32768，使得S3760A為Instance10的根交換機(jī)，VLAN10、VLAN20的流量默認(rèn)都從S3760A轉(zhuǎn)發(fā)。同理，在S3760B上指定Instance10的優(yōu)先級為32768，Instance20為4096，使得S3760B為Instance10的根交換機(jī)，VLAN30、VLAN40的流量默認(rèn)都從S3760B轉(zhuǎn)發(fā)。二層交換機(jī)S2126A、B在不同實(shí)例呈現(xiàn)為不同狀態(tài)。2.VRRP通常數(shù)據(jù)包都需要跨網(wǎng)段傳輸，必須通過網(wǎng)關(guān)，如何確保網(wǎng)絡(luò)中有可靠地網(wǎng)關(guān)在工作，對于保障網(wǎng)絡(luò)安全，可靠地傳輸數(shù)據(jù)十分重要。本項(xiàng)目為雙核心結(jié)構(gòu)，可以使用vrrp協(xié)議為

9、網(wǎng)關(guān)做備份，同時還可以提供負(fù)載均衡解決方案。圖3.2 VRRP雙網(wǎng)關(guān)結(jié)構(gòu)圖重點(diǎn)是在MSTP與VRRP配合使用的網(wǎng)絡(luò)環(huán)境中，必須保持MSTP的根（Root）和vrrp的主路由器（Master）一致，否則將導(dǎo)致協(xié)議間流量轉(zhuǎn)發(fā)沖突。本項(xiàng)目中各個VLAN的網(wǎng)關(guān)為各VLAN的接口IP地址，所以VRRP是基于VLAN接口設(shè)置VRRP組和虛擬IP。VRRP組的劃分：將VLAN10、20劃分為group10，VLAN30、40劃分為group20。VRRP組優(yōu)先級的指定：通常VRRP協(xié)議指定優(yōu)先級有兩種方法，一是指定組優(yōu)先級，二是通過IP地址擁有者（即虛擬IP和真實(shí)IP相同）的方法。根據(jù)VLANIP地址的特點(diǎn)

10、（S3760A均為x.x.x.1，S3760B均為x.x.x.2）選用設(shè)置IP地址擁有者的方法指定優(yōu)先級。根據(jù)需求S3760A為group10的主路由器，為group20的備份路由器，所以將屬于group10的VLAN的虛擬IP設(shè)置成與真實(shí)地址相同（x.x.x.1），將屬于group20的VLAN的虛擬IP設(shè)置成與真實(shí)地址不同（x.x.x.2）。S3760B為group20的主路由器，為group10的備份路由器，所以將屬于group10的VLAN的虛擬IP設(shè)置成與真實(shí)地址不同（x.x.x.1），將屬于group20的VLAN的虛擬IP設(shè)置成與真實(shí)地址相同（x.x.x.2）。這樣就巧妙的為各個

11、組指定了主路由器與備份路由器。3.NAPT如何解決大量主機(jī)使用少量公有地址訪問internet問題，動態(tài)NAT和NAPT都可以解決這個問題本地私用IP地址是無法再Internet上使用的，想要連接互聯(lián)網(wǎng)，必須要用公網(wǎng)地址，因此產(chǎn)生了NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)，把內(nèi)部地址與公網(wǎng)地址做一對一的映射，從而實(shí)現(xiàn)內(nèi)部主機(jī)與互聯(lián)網(wǎng)上主機(jī)交換數(shù)據(jù)。隨著時代的進(jìn)步，需要連接互聯(lián)網(wǎng)的終端數(shù)量也是極具增加，會有數(shù)量較多的設(shè)備需要同時上網(wǎng)，因此傳統(tǒng)的動態(tài)NAT的一對一映射就無法做到超過公網(wǎng)地址數(shù)量的設(shè)備同時上網(wǎng)，從而產(chǎn)生了更為進(jìn)步的動態(tài)NAPT（網(wǎng)絡(luò)地址接口轉(zhuǎn)換）技術(shù)，它是通過一個公網(wǎng)地址同時映射多個內(nèi)部私有地址，

12、通過端口號來區(qū)分不同的主機(jī)。本項(xiàng)目中四個VLAN中各個部門主機(jī)數(shù)總量遠(yuǎn)大于可用的公網(wǎng)地址數(shù)量，因此在出口路由器RSR20B上采用動態(tài)NAPT技術(shù)，指定可用的公網(wǎng)地址為-，通過標(biāo)準(zhǔn)訪問列表ACL指定需要進(jìn)行地址轉(zhuǎn)換的內(nèi)部網(wǎng)絡(luò)地址范圍即各個VLAN的網(wǎng)絡(luò)號，最后將RSR20B的Ser 2/0端口設(shè)置成內(nèi)部端口inside，fa 0/1設(shè)置成外部端口outside后，動態(tài)NAPT就可以工作了。沒有公網(wǎng)地址的映射內(nèi)部主機(jī)是無法找到互聯(lián)網(wǎng)的，同樣互聯(lián)網(wǎng)上的主機(jī)也無法找到內(nèi)部的某臺主機(jī)，而WEB等服務(wù)器就是為互聯(lián)網(wǎng)上用戶提供服務(wù)的，必須要讓外網(wǎng)用戶找到它，這就是靜態(tài)NAPT

13、的工作了。將一個可用的公網(wǎng)地址與內(nèi)部服務(wù)器私有地址做映射，從而實(shí)現(xiàn)找到公網(wǎng)地址就找到了服務(wù)器的效果。在接入層（二層）交換機(jī)和核心（三層）交換機(jī)上設(shè)置安全端口，限制最大連接數(shù)量，防止用戶私自亂接設(shè)備導(dǎo)致網(wǎng)絡(luò)環(huán)境不穩(wěn)定。4.ACL 要保證網(wǎng)絡(luò)的安全不光是控制交換機(jī)的接入安全，還要考慮到如何實(shí)行部門間的有效訪問。ACL（訪問控制列表）是一項(xiàng)常用的流量控制技術(shù)，可以滿足本項(xiàng)目要求。本項(xiàng)目中要求相對較簡單，只是限制規(guī)定時間內(nèi)某些部分可以上網(wǎng)，規(guī)定時間外不可以上網(wǎng)，只是需要對源地址進(jìn)行控制，至于訪問哪些服務(wù)我們不去限制，所以根據(jù)分析采用基于時間的ACL，Time-rangea端口與標(biāo)準(zhǔn)訪問列表的結(jié)合，充分

14、實(shí)現(xiàn)用戶流量控制需求。另外也可以通過DNS服務(wù)器來限制內(nèi)網(wǎng)用戶對一些網(wǎng)站的訪問。配置大體思路：首先創(chuàng)建一個Time-rangea時間端口work-time，來指明ACL工作的日期和時間（每周的周一至周五，每天的早9:00至18:00），然后設(shè)計(jì)訪問列表20，在源地址處寫上四個部門VLAN的網(wǎng)絡(luò)號即可，最后將time-rangea work-time與對應(yīng)的ACL20相關(guān)聯(lián)，使他們協(xié)同工作，再在部門區(qū)域的出口處應(yīng)用ACL20即可實(shí)現(xiàn)規(guī)定要求。5.鏈路聚合鏈路的穩(wěn)定性在網(wǎng)絡(luò)安全中是比較重要的一點(diǎn)，一切協(xié)議和信息的通信都是建立在物理環(huán)境上的，本項(xiàng)目采用的是雙核心加上鏈路聚合的網(wǎng)絡(luò)結(jié)構(gòu)，可以說是很大的

15、程度上保證了物理鏈路的不間斷服務(wù)。圖3.3 冗余備份系統(tǒng)圖6.PPP及CHAP在兩個路由器之間采用CHAP挑戰(zhàn)報文，設(shè)置用戶名和密碼，彼此身份認(rèn)證保證通信的安全性，配置點(diǎn)對點(diǎn)協(xié)議PPP。圖3.4 CHAP、PPP系統(tǒng)圖（三）設(shè)備選擇出口設(shè)備：網(wǎng)絡(luò)出口設(shè)備是整個網(wǎng)絡(luò)連接外網(wǎng)的關(guān)口，性能可穩(wěn)定性非常重要，因此根據(jù)公司規(guī)模及性價比選用比較流行的銳捷RSR20路由器2臺。核心設(shè)備：本網(wǎng)絡(luò)為雙核心網(wǎng)絡(luò)，兩個三層設(shè)備同時負(fù)載均衡網(wǎng)絡(luò)流量，因此不需要性能過高的三層交換機(jī)，只需要滿足公司整個網(wǎng)絡(luò)一般以上的流量即可，選用銳捷的S3760三層交換機(jī)2臺接入設(shè)備：根據(jù)公司人員情況確定每臺接入設(shè)備為兩個部門提供服務(wù)，

16、而這兩個部門人數(shù)不會超過80人，還要求交換機(jī)要有基本的網(wǎng)管功能，因此選用銳捷的S2126二層交換機(jī)2臺。服務(wù)器：公司有DNS、DHCP、WEB、FTP、CA服務(wù)器等六個服務(wù)，在保證服務(wù)器性能和經(jīng)濟(jì)性的情況下選用保準(zhǔn)服務(wù)器3臺，來做搭建以上服務(wù)環(huán)境足夠。四、拓?fù)鋱D（一）網(wǎng)絡(luò)拓?fù)鋱D圖4 .1 公司網(wǎng)絡(luò)拓?fù)鋱D（二）拓?fù)浣Y(jié)構(gòu)說明接入層交換機(jī)S2126A連接VLAN10（財(cái)務(wù)部）、VLAN20（技術(shù)部），并且分別通過接口fa 0/10、fa 0/11與兩個核心交換機(jī)相連。同樣，接入層交換機(jī)S2126B連接VLAN40（營銷部）、VLAN50（市場部），并且分別通過接口fa 0/10、fa 0/11與兩個

17、核心交換機(jī)相連。核心交換機(jī)S3760A劃分VLAN30（服務(wù)器集群），雙核心S3760A和S3760B之間通過雙鏈路連接，保證核心設(shè)備間數(shù)據(jù)的高速交換。S3760B通過千兆路由模式接口與路由器RSR20A的千兆接口相連，保證局域網(wǎng)出口主干的帶寬充足。RSR20A通過廣域網(wǎng)接口與遠(yuǎn)程公司主出口路由RSR20B相連，并配置PPP協(xié)議、CHAP驗(yàn)證等協(xié)議保證數(shù)據(jù)的安全傳輸。RSR20B是公司整個網(wǎng)絡(luò)的外網(wǎng)出口，是與Internet連接的唯一信道。（三）IP地址的劃分表.4. 2 IP地址規(guī)劃及VLAN劃分設(shè)備名稱設(shè)備接口IP地址RSR20AS2/0/30FA0//3

18、0RSR20BS2/0/30FA0//28S3760AVLAN10（財(cái)務(wù)部）/24VLAN20（技術(shù)部）/24VALN30（服務(wù)器群）/24VALN40（營銷部）/24VALN50（市場部）/24S3760BFA0/24/30VLAN10（財(cái)務(wù)部）/24VLAN20（技術(shù)部）/24VALN30（服務(wù)器群）/24VALN40（營銷部）/24VALN50（市場部）/24各個VLAN IP地址

19、段的劃分是根據(jù)每個部門人數(shù)確定不同的子網(wǎng)掩碼。表4.3 服務(wù)器IP地址規(guī)劃服務(wù)器功能服務(wù)器名稱IP地址用戶計(jì)算機(jī)（計(jì)算機(jī)1）0/24用戶計(jì)算機(jī)（計(jì)算機(jī)2）DHCP分配DHCP服務(wù)器（計(jì)算機(jī)3）0/24WEB服務(wù)器（計(jì)算機(jī)4）1/24FTP服務(wù)器（計(jì)算機(jī)4）1/24終端用戶的默認(rèn)網(wǎng)關(guān)指向各對應(yīng)VLAN的接口地址。五、項(xiàng)目具體實(shí)施（一）S2126A1.MSTPS2126A(config

20、-mst)#instance 1 vlan 10-20S2126A(config-mst)#instance 2 vlan 40-50S2126A(config-mst)#name lnccS2126A(config-mst)#revision 1在二層上指明實(shí)例的劃分、域名、版本號。2.安全端口S2126A(config)#interface range fastEthernet 0/1-9S2126A(config-if-range)#switchport port-security S2126A(config-if-range)#switchport port-security maxi

21、mum 3S2126A(config-if-range)#switchport port-security violation shutdown S2126A(config)#errdisable recovery interval 12003.Trunk口S2126A(config)#interface range fastEthernet 0/10-11S2126A(config-if-range)#switchport mode trunk （二）S2126B1.MSTPS2126B(config)#spanning-tree mst configuration S2126B(confi

22、g-mst)#instance 1 vlan 10-20S2126B(config-mst)#instance 2 vlan 40-50S2126B(config-mst)#name lnccS2126B(config-mst)#revision 12.安全端口S2126B(config)#interface range fastEthernet 0/1-9S2126B(config-if-range)#switchport port-security S2126B(config-if-range)#switchport port-security maximum 3S2126B(config

23、-if-range)#switchport port-security violation shutdown S2126B(config)#errdisable recovery interval 12003.Trunk口S2126B(config)#interface range fastEthernet 0/10-11S2126B(config-if-range)#switchport mode trunk （三）S3760A1.端口聚合硬件選擇原則是：兩個個物理端口速率相同、使用想用介質(zhì)雙絞線、同為三層端口。S3760A(config)#interface range fastEther

24、net 0/20-21S3760A(config-if-range)#port-group 1S3760A(config)#interface aggregateport 1S3760A(config-if-AggregatePort 1)#switchport mode trunk 2.MSTPS3760A(config-mst)#instance 1 vlan 10-20S3760A(config-mst)#instance 2 vlan 40-50S3760A(config)#spanning-tree mst 1 priority 4096S3760A(config)#spanning

25、-tree mst 2 priority 327683.VRRPS3760A(config)#interface vlan 10S3760A(config-if-VLAN 10)#ip address S3760A(config-if-VLAN 10)#vrrp 10 ip S3760A(config-if-VLAN 10)#vrrp 10 preempt S3760A(config)#interface vlan 30S3760A(config-if-VLAN 30)#ip address 255.255.255

26、.0S3760A(config-if-VLAN 40)#vrrp 30 ip （四）S3760B1.端口聚合S3760B(config)#interface range fastEthernet 0/20-21S3760B(config-if-range)#port-group 1S3760B(config)#interface aggregateport 1S3760B(config-if-AggregatePort 1)#switchport mode trunk 2.MSTPS3760B(config-mst)#revision 1S3760B(config-mst)#n

27、ame lnccS3760B(config-mst)#instance 1 vlan 10-20S3760B(config-mst)#instance 2 vlan 40-50S3760B(config)#spanning-tree mst 1 priority 32768S3760B(config)#spanning-tree mst 2 priority 40963.VRRPS3760B(config)#interface vlan 10S3760B(config-if-VLAN 10)#ip address S3760B(config-if-V

28、LAN 10)#vrrp 10 ip S3760B(config)#interface vlan 30 S3760B(config-if-VLAN 30)#ip address S3760B(config-if-VLAN 50)#vrrp 30 ip S3760B(config-if-VLAN 50)#vrrp 30 preempt （五）RSR20A1.CHAP、MD5RSR20A(config)#interface serial 2/0RSR20A(config-if-Serial 2/0)#ip address

29、 52RSR20A(config-if-Serial 2/0)#encapsulation pppRSR20A(config-if-Serial 2/0)#ppp authenticate chapRSR20A(config-if-Serial 2/0)#username RSR20B password abc123RSR20A(config-if-Serial 2/0)#ip ospf message-digest-key 1 md5 lncc /MD5驗(yàn)證2.OSPF的配置RSR20A(config)#router ospf 10RSR20A(c

30、onfig-router)#network area 0RSR20A(config-router)#network area 10RSR20A(config-router)#router-id RSR20A(config-router)#area 10 authentication message-digest /MD5驗(yàn)證（六）RSR20B1.CHAP、PPPRSR20B(config)#interface serial 2/0RSR20B(config-if-Serial 2/0)#ip address 13

31、.1.1.2 52RSR20B(config-if-Serial 2/0)#ip nat outsideRSR20B(config-if-Serial 2/0)#encapsulation pppRSR20B(config-if-Serial 2/0)#ppp authenticate chapRSR20B(config-if-Serial 2/0)#username RSR20A password abc123RSR20B(config-if-Serial 2/0)#ip ospf message-digest-key 1 md5 lncc /MD5驗(yàn)證2.ospf

32、的配置RSR20B(config)#router ospf 10 RSR20B(config-router)#network area 10RSR20B(config-router)#router-id RSR20B(config-router)#area 10 authentication message-digest /MD5驗(yàn)證3.動態(tài)NAPTRSR20B(config)#ip nat pool pool1 netmask 40RSR20B(config)#access-list

33、 10 permit 55RSR20-B(config)#ip nat inside source list 10 pool pool1 overload4.靜態(tài)NAPTRSR20-B(config)#ip nat inside source static tcp 1 20 0 20 RSR20-B(config)#ip nat inside source static tcp 1 21 0 21RSR20-B(config)#ip nat inside source static tcp 10.1

34、.3.11 80 0 805.基于時間ACLRSR20-B(config)#username RSR20A password abc123 RSR20-B(config)#time-range work-timeRSR20-B(config-time-range)#periodic weekdays 09:00 to 18:00RSR20-B(config)#access-list 20 permit 55 time-range work-time六、服務(wù)器技術(shù)實(shí)現(xiàn)（一）DNS根據(jù)公司應(yīng)用實(shí)際需求，在內(nèi)部網(wǎng)絡(luò)中建立獨(dú)立的DNS服務(wù)器，為內(nèi)部網(wǎng)絡(luò)提

35、供高效可靠的地址解析服務(wù)。企業(yè)內(nèi)部的DNS功能應(yīng)用十分廣泛，可以作為電信部門的DNS客戶端加快內(nèi)部訪問公網(wǎng)的速度，還可以自行定義內(nèi)部域名，比如為FTP或者WEB站點(diǎn)起一個好記的名字，除去需要記IP地址的不便，還可以對一些公網(wǎng)域名過濾，如自行定義到一個內(nèi)部IP，那么如果使用內(nèi)部DNS想訪問百度就到內(nèi)部的服務(wù)器了，很好控制內(nèi)部員工的上網(wǎng)行為。另外就是為域控制及DHCP提供服務(wù)了，如果將來公司改用域管理，那么DNS是必須要有的，DNS為域成員指定域的位置。 主DNS服務(wù)器的配置思路：為服務(wù)器安裝Linux系統(tǒng)，根據(jù)實(shí)際環(huán)境配置好yum源后，安裝DNS服務(wù)器軟件bind，修改

36、主配置文件實(shí)現(xiàn)相應(yīng)功能，在XX中加入域后，添加需要解析的A記錄，至此主DNS服務(wù)器配置結(jié)束。圖6. 1 添加域圖6. 2 添加記錄輔助DNS配置：選用一臺windows服務(wù)器，安裝好DNS組件后創(chuàng)建輔助區(qū)域，域名同樣為。圖6. 3 輔助DNS結(jié)果圖（二）DHCP現(xiàn)如今網(wǎng)絡(luò)規(guī)模一般較大，主機(jī)數(shù)量較多，IP地址的手工分配成為網(wǎng)絡(luò)管理員的一大苦力活，同時也容易產(chǎn)生很多錯誤。在這狀況下宜采用DHCP網(wǎng)絡(luò)參數(shù)自動配置，本項(xiàng)目中采用獨(dú)立的DHCP服務(wù)器做網(wǎng)絡(luò)參數(shù)配置工作，不在網(wǎng)絡(luò)路由設(shè)備上設(shè)置。配置大體思路：選用一臺windows服務(wù)

37、器，安裝DHCP相關(guān)工作服務(wù)組件后，開始配置分配區(qū)域，設(shè)置三個區(qū)域分別是/24、/24、/24，默認(rèn)網(wǎng)關(guān)分別是54、172.16.6254、54，DNS服務(wù)器IP地址均是，最后為每個區(qū)域設(shè)定保留地址，以作特殊用途。圖6. 4 DHCP域劃分結(jié)果圖在網(wǎng)絡(luò)路由設(shè)備上配置DHCP中繼，保證DHCP發(fā)現(xiàn)報文DISCOVER可以跨網(wǎng)段傳輸，保證DHCP網(wǎng)絡(luò)參數(shù)配置的正常工作。（三）WEB基于Linux下Apache創(chuàng)建兩個WEB站點(diǎn)，通過區(qū)域加以區(qū)分。所以首先在DNS的域中添加兩條A記錄，分別是和。修改主配置文件/etc/html/conf/httpd.conf，創(chuàng)建兩個虛擬主機(jī)，網(wǎng)站路徑分別是/var/www/html/soft和/var/www/html/dev，在修改正確的網(wǎng)絡(luò)參數(shù)