1、網(wǎng)絡(luò)技術(shù)項目方案設(shè)計，組長：王正茂，組員：焦、裴家倫、吳英，項目要求，無需考慮資金問題。所有內(nèi)部主機都使用紅帽Linux主機，網(wǎng)絡(luò)設(shè)備只能使用網(wǎng)絡(luò)無法管理的普通交換機，路由由Linux主機配置。存儲文件需要兩個文件服務(wù)器。服務(wù)器群和客戶端分別管理，客戶端分為兩個網(wǎng)絡(luò)，即管理和人員。需要一個域名服務(wù)器來為內(nèi)部和外部提供域名服務(wù)。在內(nèi)部，外部網(wǎng)絡(luò)主機可以通過DNS服務(wù)器解析，而在外部，與公司服務(wù)器場相關(guān)的服務(wù)器地址可以通過服務(wù)器解析。項目要求，公司通過電信100米住宅網(wǎng)接入的固定地址7/30,網(wǎng)關(guān)是6/30.服務(wù)器使用的私有地址，由主機S1提供。主機S2

2、M和S2S提供主要和次要的域名服務(wù)；主辦S3提供FTP服務(wù)；主機S4提供郵件服務(wù)；主機S5提供內(nèi)部動態(tài)主機配置協(xié)議服務(wù)；主機S6向外界提供虛擬主機服務(wù)，并可以通過域名解析系統(tǒng)解析虛擬主機；S7主機僅支持內(nèi)部員工的代理服務(wù)、身份認證和時間管理；主機S8提供網(wǎng)絡(luò)接入和iptables網(wǎng)絡(luò)防火墻功能。請給出服務(wù)器和客戶端的推薦硬件配置，并解釋原因。根據(jù)項目要求，公司需要11臺服務(wù)器，分別提供主輔域名系統(tǒng)、網(wǎng)絡(luò)、文件傳輸協(xié)議、郵件、動態(tài)主機配置協(xié)議、虛擬主機、iptables防火墻和一個Linux (Squid-DHCP中繼代理)，其中客戶端分為兩個網(wǎng)絡(luò)，每個網(wǎng)絡(luò)中放置一個文件服務(wù)器和Samba。為了

3、保證內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性，我們制定了相應(yīng)的安全策略。測試環(huán)境，13臺虛擬機，在VMware中使用高于Red-hat4.7的Linux類；兩臺Linux 4.0虛擬機。一臺紅帽4.7版虛擬機配置了雙網(wǎng)卡，而另一臺需要配置三個網(wǎng)卡。需要一個路由器(linux中的iptables有自己的路由器)來連接內(nèi)部和外部網(wǎng)絡(luò)，其中兩個接口分別與VMware的VM0默認網(wǎng)橋和VM01網(wǎng)卡綁定。項目拓撲、域名系統(tǒng)服務(wù)器配置、域名系統(tǒng)服務(wù)器安裝配置、域名系統(tǒng)區(qū)域配置轉(zhuǎn)發(fā)、阿帕奇服務(wù)器、網(wǎng)頁瀏覽器使用HTTP命令向特定服務(wù)器發(fā)送網(wǎng)頁請求。如果服務(wù)器在特定端口(通常是TCP 80端口)接收到一個網(wǎng)頁請求，它會發(fā)送一個響應(yīng)并

4、在客戶端和服務(wù)器之間建立一個連接。網(wǎng)絡(luò)服務(wù)器搜索客戶端所需的文檔，如果網(wǎng)絡(luò)服務(wù)器找到請求的文檔，它會將請求的文檔發(fā)送到網(wǎng)絡(luò)瀏覽器。如果文檔不存在，服務(wù)器將向客戶端發(fā)送相應(yīng)的錯誤提示文檔。網(wǎng)絡(luò)瀏覽器收到文檔后，將顯示該文檔。當(dāng)客戶端完成瀏覽時，它會斷開與服務(wù)器的連接。FTP服務(wù)配置，安裝FTP服務(wù)器配置FTP服務(wù)器FTP協(xié)議是文件傳輸控制協(xié)議。它使文件能夠通過網(wǎng)絡(luò)從同一網(wǎng)絡(luò)上的一臺主機傳輸?shù)搅硪慌_主機，而不管計算機的類型和操作系統(tǒng)的類型。無論是PC機、服務(wù)器、主機、DOS操作系統(tǒng)、Windows操作系統(tǒng)、Linux操作系統(tǒng)，只要雙方都支持FTP協(xié)議，就可以方便地傳輸文件。配置DHCP服務(wù)器，安裝

5、DHCP服務(wù)器配置DHCP服務(wù)器，DHCP是基于客戶端/服務(wù)器模式的。當(dāng)DHCP客戶端啟動時，它將自動與DHCP服務(wù)器通信，并且DHCP服務(wù)器將向DHCP客戶端提供自動分配IP地址的服務(wù)。安裝了DHCP服務(wù)軟件的服務(wù)器稱為DHCP服務(wù)器，而啟用了DHCP的客戶端稱為DHCP客戶端。在DHCP中繼服務(wù)配置中，DHCP客戶端通過廣播消息從DHCP服務(wù)器獲取響應(yīng)，然后獲取IP地址。但是廣播消息不能跨越子網(wǎng)。如果DHCP客戶端和服務(wù)器位于不同的子網(wǎng)，客戶端可以向服務(wù)器申請IP地址嗎？這需要DHCP中繼代理。注意：eth0上配置的ip地址是dhcp的網(wǎng)關(guān)地址。網(wǎng)卡eth0與dhcp服務(wù)器連接，網(wǎng)卡eth

6、1和eth2分別與dhcp客戶端連接。eth1上配置的Ip地址是第二個作用域的網(wǎng)關(guān)地址，eth2上配置的ip地址是第三個作用域的網(wǎng)關(guān)地址。服務(wù)重啟使ip地址生效：服務(wù)網(wǎng)絡(luò)重啟、DHCP中繼技術(shù)、桑巴服務(wù)器配置、桑巴服務(wù)器安裝桑巴服務(wù)器配置，由微軟和英特爾于1987年開發(fā)。該協(xié)議可用于TCP/IP和其他網(wǎng)絡(luò)協(xié)議(如IPX和網(wǎng)易)。通過SMB協(xié)議，客戶端應(yīng)用程序可以在各種網(wǎng)絡(luò)環(huán)境中讀取和寫入服務(wù)器上的文件，并向服務(wù)器程序發(fā)出服務(wù)請求。此外，通過SMB協(xié)議，應(yīng)用程序還可以訪問遠程服務(wù)器上的文件和打印機。Squid代理服務(wù)，代理服務(wù)器的優(yōu)勢共享網(wǎng)絡(luò)加快了訪問速度，節(jié)省了通信帶寬，防止內(nèi)部主機受到攻擊，

7、限制了用戶的訪問，改善了網(wǎng)絡(luò)管理，并配置了簡單的代理服務(wù)器。在這個項目的過程中，代理服務(wù)器需要三個網(wǎng)卡，一個連接到外部網(wǎng)絡(luò)，另外兩個用來連接到內(nèi)部網(wǎng)絡(luò)。iptables防火墻和NAT服務(wù)可以保護易受攻擊的服務(wù)；控制內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)系統(tǒng)訪問；集中管理內(nèi)部網(wǎng)安全，降低管理成本；提高網(wǎng)絡(luò)的保密性和保密性；記錄網(wǎng)絡(luò)的使用狀態(tài)，為安全規(guī)劃和網(wǎng)絡(luò)維護提供依據(jù)。NAT技術(shù)，9、，，，192郵件服務(wù)器的優(yōu)勢，郵件服務(wù)器支持SMTP/POP3/HTTP協(xié)議，SMTP認證和ESMTP可以支持大容量郵箱(大于1GB)

8、、高速網(wǎng)絡(luò)接口、訪問郵箱、完整的網(wǎng)絡(luò)管理后臺、在線服務(wù)器、病毒過濾、SMTP行為識別、垃圾郵件支持、別名/多域/域管理員等。支持網(wǎng)絡(luò)磁盤/POP3郵件，項目關(guān)鍵技術(shù)總結(jié)，為了區(qū)分網(wǎng)絡(luò)中的每臺主機，每臺主機必須分配一個唯一的地址，這叫做“IP地址”，但是這些號碼很難記住，所以它們被“域名”所代替。當(dāng)主機想要與其他主機通信時，它可以使用主機名向DNS服務(wù)器查詢主機的IP地址。域名解析技術(shù)為客戶端計算機的IP地址和域名之間的對應(yīng)關(guān)系提供了解釋。網(wǎng)站技術(shù)，網(wǎng)站是為企業(yè)提供對外宣傳的良好載體，其低廉的價格和長期的效果是無可比擬的。因為公司有很多小網(wǎng)站，但是ip地址有限，我們通過基于域名的虛擬主機充分利用

9、有限的地址資源。電子郵件服務(wù)器，網(wǎng)絡(luò)需要一個電子郵件服務(wù)器來解決企業(yè)內(nèi)外的電子郵件服務(wù)。紅帽企業(yè)Linux提供了兩個STMP郵件服務(wù)軟件，sendmail和postfix，所以用戶可以隨意選擇一個！但是，默認情況下，安裝程序已經(jīng)在系統(tǒng)上安裝了sendmail。如果要使用后綴，必須先停止sendmail服務(wù)，然后安裝后綴服務(wù)軟件。動態(tài)主機配置技術(shù)，動態(tài)主機配置協(xié)議是一種在網(wǎng)絡(luò)中為客戶端計算機動態(tài)分配指定范圍和時間的IP地址的服務(wù)。域環(huán)境中的DHCP必須由域管理員授權(quán)。當(dāng)DHCP服務(wù)器和DHCP客戶端位于不同的網(wǎng)段時，因為DHCP信息是廣播的，所以DHCP廣播數(shù)據(jù)包無法通過能夠隔離廣播域的路由設(shè)備到達不同的網(wǎng)段，這限制了DHCP的有效范圍。因此，需要啟用DHCP中繼代理功能。NAT技術(shù)的應(yīng)用，根據(jù)項目要求，內(nèi)部網(wǎng)絡(luò)需要與外部網(wǎng)絡(luò)進行通信，同時，考慮到內(nèi)部網(wǎng)絡(luò)的安全性以及公共地址的限制和充分利用，我們使用端口映射技術(shù)和地址池映射技術(shù)來連接內(nèi)部網(wǎng)絡(luò)和外