ambow網(wǎng)絡架構方案(實驗)

Ambow網(wǎng)絡架構方案策劃書-29-項目名稱:Ambow網(wǎng)絡架構項目編號：NSXZ2012-G104網(wǎng)絡架構方案小組名稱:信息學院104班第一小組日期:二〇一二年五月二十九日目錄TOC\o"1—3”\h\z\uHYPERLINK\l”_Toc326155413”一.項目背景 —2—1。1ambow公司概況 —2-1。2網(wǎng)絡工程狀況 —2-2。2穩(wěn)定可靠需求 -3—HYPERLINK\l”_Toc326155419"2.3網(wǎng)絡安全需求 -3-2.4應用服務需求 —3—2．5設備要求 -4—HYPERLINK\l”_Toc326155422”三.項目規(guī)劃 -4-HYPERLINK\l”_Toc326155423”3。1拓撲圖 —4—HYPERLINK\l”_Toc326155424"3。2局域網(wǎng)詳細拓撲圖： —4—HYPERLINK\l”_Toc326155425"3.3ip以及vlan規(guī)劃 -5-HYPERLINK\l”_Toc326155426”3.4拓撲圖分析 —6-_Toc326155431”4。4AAA服務器的配置 -12—4。5在路由器上配置SSH服務器和AAA的認證 -15-HYPERLINK\l”_Toc326155433”4.6配置三層交換機上的DHCP中繼 —17—4。8二層交換機0的配置: —18—HYPERLINK\l”_Toc326155436”4。9二層交換機1上的配置： -19—_Toc326155438”4.11服務器的配置（ftp，dhcp，web） -21-4。12.網(wǎng)管軟件系統(tǒng)安裝方法 —23—4。13Norton網(wǎng)絡殺毒軟件的安裝方法 —30—HYPERLINK\l”_Toc326155441"五．設備報價及清單 —35—HYPERLINK\l”_Toc326155442”5。1二層交換機的選型及參數(shù) —35-5。3路由器的選型及參數(shù) —38—_Toc326155446”5。5pc機的選擇 -40-HYPERLINK\l”_Toc326155447”5.6無線設備 -43-HYPERLINK\l”_Toc326155448"5。7設備清單 —44-一.項目背景1。1ambow公司概況Ambow公司是一家教育服務公司,為了公司未來發(fā)展的需要，IFC(國際金融公司和安博公司共同投資1。2億美金來成立北京實訓基地和拓展現(xiàn)有的昆山基地，IFC擬籌資約5000萬美金.Ambow要求采購桌面電腦4000套，服務器100臺，系統(tǒng)桌面電腦采用微軟正版系統(tǒng),服務器系統(tǒng)企業(yè)自行考慮網(wǎng)絡設備采購根據(jù)我方要求企業(yè)自行考慮所要達到的目的實現(xiàn)企業(yè)內部網(wǎng)絡的互連實現(xiàn)網(wǎng)絡架構的安全性設置企業(yè)內網(wǎng)各種所需的服務器管理實現(xiàn)北京基地和安博其他分公司的安全的互聯(lián)1。2網(wǎng)絡工程狀況A。公司有一個局域網(wǎng)inside,用于公司的資源共享和信息交流B.網(wǎng)絡中大概有4000臺計算機，分別位于不同的vlan下,防止arp病毒廣播和廣播風暴,提高網(wǎng)絡環(huán)境的質量C。計算機的操作系統(tǒng)有WindowsServer2003和WindowsXPprofessionalD。員工一人一機辦公F。公司部署各種辦公服務器，為企業(yè)員工提供一個良好的辦公環(huán)境二.需求分析公司需要構建一個綜合的企業(yè)網(wǎng),公司有5個部門：教學部、財務部、IT部、網(wǎng)絡部、人事部。公司共分3棟樓,1號,2號，3號，每棟樓直線相距100 米。1號樓:2層,為教學樓，10臺電腦,分散分布每層5臺。2號樓：3層，為IT部,人事部,20臺。其中10臺集中在3樓的網(wǎng)絡部的設計室中,專設一個機房，其他10臺分散分布每層5臺。3號樓:2層，為財務部。從內網(wǎng)安全考慮，使用VLAN技術將各部門劃分到不同的VLAN中；為了提高公司的業(yè)務能力和增強企業(yè)知名度,將公司的WEB網(wǎng)站以及FTP、Mail服務發(fā)布到互聯(lián)網(wǎng)上;與分公司可采用分組交換（幀中繼）網(wǎng)互聯(lián)；并從ISP那里申請了一段公網(wǎng)IP。16個有效IPv4地址：218。26.174.112.～218.26。174。127，掩碼為255.255。255.0（可表示為/28）。其中218.26。174.112和218.26。174.127為網(wǎng)絡地址和廣播地址，不可用（考慮路由器需要配置NAT功能了).2．1帶寬性能需求現(xiàn)代企業(yè)網(wǎng)絡應具有更高的帶寬,更強大的性能，以滿足用戶日益增長的通信需求。隨著計算機技術的高速發(fā)展，基于網(wǎng)絡的各種應用日益增多，今天的企業(yè)網(wǎng)絡已經發(fā)展成為一個多業(yè)務承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務，還要承載涉及企業(yè)生產運營的各種業(yè)務應用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務.因此，數(shù)據(jù)流量將大大增加,尤其是對核心網(wǎng)絡的數(shù)據(jù)交換能力提出了前所未有的要求。另外,隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應用會在不久的將來成為企業(yè)網(wǎng)的主流。從2004年全球交換機市場分析可以看到，增長最迅速的就是10Gbps級別機箱式交換機，可見，萬兆位的大規(guī)模應用已經真正開始.所以,今天的企業(yè)網(wǎng)絡已經不能再用百兆位到桌面千兆位骨干來作為建網(wǎng)的標準,核心層及骨干層必須具有萬兆位級帶寬和處理性能,才能構筑一個暢通無阻的"高品質"企業(yè)網(wǎng)，從而適應網(wǎng)絡規(guī)模擴大,業(yè)務量日益增長的需要。2.2穩(wěn)定可靠需求現(xiàn)代企業(yè)的網(wǎng)絡應具有更全面的可靠性設計，以實現(xiàn)網(wǎng)絡通信的實時暢通，保障企業(yè)生產運營的正常進行。隨著企業(yè)各種業(yè)務應用逐漸轉移到計算機網(wǎng)絡上來，網(wǎng)絡通信的無中斷運行已經成為保證企業(yè)正常生產運營的關鍵.現(xiàn)代大型企業(yè)網(wǎng)絡在可靠性設計方面主要應從以下3個方面考慮：1、設備的可靠性設計：不僅要考察網(wǎng)絡設備是否實現(xiàn)了關鍵部件的冗余備份，還要從網(wǎng)絡設備整體設計架構、處理引擎種類等多方面去考察.2、業(yè)務的可靠性設計:網(wǎng)絡設備在故障倒換過程中,是否對業(yè)務的正常運行有影響.3、鏈路的可靠性設計：以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在企業(yè)網(wǎng)絡建設時,要考慮網(wǎng)絡設備是否能夠提供有效的鏈路自愈手段,以及快速重路由協(xié)議的支持。2.3網(wǎng)絡安全需求現(xiàn)代大型企業(yè)網(wǎng)絡應提供更完善的網(wǎng)絡安全解決方案,以阻擊病毒和黑客的攻擊，減少企業(yè)的經濟損失。傳統(tǒng)企業(yè)網(wǎng)絡的安全措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機或路由器的ACL來實現(xiàn)對病毒和黑客攻擊的防御,但實踐證明這些被動的防御措施并不能有效地解決企業(yè)網(wǎng)絡的安全問題.在企業(yè)網(wǎng)絡已經成為公司生產運營的重要組成部分的今天,現(xiàn)代企業(yè)網(wǎng)絡必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡的穩(wěn)定運行。2。4應用服務需求現(xiàn)代大型企業(yè)網(wǎng)絡應具備更智能的網(wǎng)絡管理解決方案，以適應網(wǎng)絡規(guī)模日益擴大，維護工作更加復雜的需要。當前的網(wǎng)絡已經發(fā)展成為"以應用為中心"的信息基礎平臺,網(wǎng)絡管理能力的要求已經上升到了業(yè)務層次，傳統(tǒng)的網(wǎng)絡設備的智能已經不能有效支持網(wǎng)絡管理需求的發(fā)展。比如，網(wǎng)絡調試期間最消耗人力與物力的線纜故障定位工作,網(wǎng)絡運行期間對不同用戶靈活的服務策略部署、訪問權限控制、以及網(wǎng)絡日志審計和病毒控制能力等方面的管理工作,由于受網(wǎng)絡設備功能本身的限制，都還屬于費時、費力的任務。所以現(xiàn)代的大型企業(yè)網(wǎng)絡迫切需要網(wǎng)絡設備具備支撐"以應用為中心"的智能網(wǎng)絡運營維護的能力,并能夠有一套智能化的管理軟件,將網(wǎng)絡管理人員從繁重的工作中解脫出來。2．5設備要求根據(jù)公司現(xiàn)有設備規(guī)模，業(yè)務需要及發(fā)展范圍使用的計算機、網(wǎng)絡設備主要以聯(lián)想臺式機和CISCO網(wǎng)絡產品為主(產品的具體型號將在方案的最后給出)：a）服務器需選擇中cisco的刀片式。b）核心路由器使用cisco的高端設備c）而交換機使用CISCO中檔產品.d）防火墻為硬件+軟件結構。e)網(wǎng)絡布線主干采用光纖,五類雙絞線到桌面（100M）。三.項目規(guī)劃3.1拓撲圖3.2局域網(wǎng)詳細拓撲圖：3.3ip以及vlan規(guī)劃區(qū)域VlanVlan接口IPArea1Vlan11172。16。1.62Vlan1226Vlan1390Area2Vlan21172。16.2.62Vlan22172。16.2.126Vlan23172。16.2。190Area3Vlan31172。16.3.62Vlan32172.16。3。126Vlan33172。16.3.190Area4Vlan41172。16.4.62Vlan42172.16。4.126Vlan43172。16。4。190Area5Vlan51172。16。5。62Vlan52172。16。5.126Vlan5390服務器的ip分配：服務器名稱Ip子網(wǎng)掩碼Web服務器172.30。1.1255.255。0.0Dns服務器172。30。1.2255.255。0.0ftp服務器172。16.254.1255。255。255。0Dhcp一服務器172.16。254.250255。255。255。0Dhcp二服務器172.16。254.251255。255.255.0郵件服務器172.16。254。23.4拓撲圖分析3.4.1核心層配置的OSPF路由協(xié)議，提供高速的數(shù)據(jù)交換，每個area區(qū)域代表每一個部門(每個部門默認在同一棟樓中）3.4.2分布層使用三層交換機，配置各種策略3。4.3接入層使用各自的VLAN進行劃分四。項目實施4.1配置ASA防火墻配置理由：防火墻加強inside區(qū)域的安全度，可以阻擋60%的惡意攻擊,我們選用cisco的asa防火墻，其onetoall的特性，使其能夠將NAT，firewall,VPN等功能附加一身配置ASA的主機名、域名和密碼ciscoasa(config）＃hostnameasa802asa802(config)#domain-nameasa802（config)＃enablepasswordasa802asa802（config）#passwdcisco配置接口的區(qū)域劃分asa802（config)＃inte0/1asa802(config—if)#nameifinsideasa802（config—if)＃security-level100asa802(config-if)#ipadd172.16.10。254255。255.255。0asa802(config-if)#noshutdownasa802（config-if）＃exitasa802(config）#inte0/0asa802（config—if)＃nameifoutsideasa802（config—if)#security-level0asa802（config—if）#ipadd200.1。1.1255.255。255。0asa802（config—if）#noshutdownasa802(config—if)＃exitasa802(config)＃inte0/2asa802(config-if)#nameifdmzasa802（config—if）＃security-level50asa802（config-if）#ipadd54255。255.255。0asa802（config—if）＃noshutdownasa802（config—if)＃exit配置默認靜態(tài)路由asa802（config）＃routeoutside0。0。0.00。0.0。0200。1。1.1（將內網(wǎng)和DMZ的IP數(shù)據(jù)包,都通過該默認的靜態(tài)路由，全部路由到200。1.1.1的下一跳地址上）配置遠程管理的接入asa802(config）＃telnet10255。255。255。0insideasa802（config)#telnettimeout10配置ASA上的NAT服務（一)啟用內網(wǎng)地址到DMZ和外網(wǎng)的NAT功能asa802(config）＃nat-control（啟用NAT服務)asa802（config）#nat（inside)1172。16。0.0255。255.0。0（指定入接口為內網(wǎng)接口的IP需要進行轉換)asa802（config）＃global(outside）1int(配置出接口為外網(wǎng)接口的ip為全局IP地址）asa802（config)＃global(dmz)1172.30。255.10—172。30.255.101（配置出接口為dmz接口的IP為172。30.255.10—172。30.255。101地址池中的一個,任意指定）（二）啟用外網(wǎng)到dmz區(qū)域的NAT功能asa802(config）#nat-control（啟用NAT服務)asa802(config)#nat（outside)100(指定入接口為外網(wǎng)接口的IP需要進行轉換）asa802(config)＃global(dmz)1172。30.255。10-01（若出接口為dmz接口，則進行NAT轉化，地址范圍為：0-172。30.255.101）在ASA上配置acl訪問控制列表（1)配置拒絕財務部的員工對外網(wǎng)的訪問:asa802（config）#access-listin_caiwu_to_outdenyip255.255。255。0anyasa802(config)#access-listin_caiwu_to_outpermitipanyanyasa802（config)＃access—groupin_caiwu_to_outinintinside（2)拒絕外網(wǎng)對內網(wǎng)的訪問：asa802(config）#access-listout_to_indenyipanyanyasa802（config)#access—listout_to_inpermitipanyanyasa802（config）＃access—groupout_to_ininintinside配置IPsecVPN隧道（這里選擇GREoverIPsec)配置理由：總公司和分公司之間的互相訪問，同時要保證外網(wǎng)對各個內網(wǎng)的訪問的限制，所以配置一個IPsecVPN隧道。先配置各個端口的ip地址，以及將tunnel口的各種配置進行完成。在配置第一階段的IKE策略上:（1）Site1(config）＃cryisaenSite1(config)＃cryisapol10Site1(config-isakmp）＃encr3deSite1（config—isakmp）＃hashmd5Site1(config-isakmp)#authpre-shaSite1(config-isakmp）#group2Site1（config—isakmp）#exiSite1（config）#cryisakey0121keyaddress202。1.1.1Site1(config)＃在配置第二階段的IKE策略上:配置感興趣流:Site1(config）＃ipaccess—listextendedvpnSite1（config-ext-nacl)＃permitip10.1。1。00.0.0。2550。0.0。255Site1（config-ext—nacl)#exi配置IPsec策略Site1（config)#cryipsectransform—settransesp-desesp—md5-hmac配置cryptomap（第二階段的策略匯總)Site1(cfg—crypto-trans)#crymapcry—map10ipsec-isa%NOTE：Thisnewcryptomapwillremaindisableduntilapeerandavalidaccesslisthavebeenconfigured.Site1(config—crypto—map）#matchaddvpnSite1(config—crypto—map)＃settransSite1(config—crypto—map)＃settransform—settransSite1(config—crypto—map）#setpeer202.1。1。1Site1（config-crypto—map)#setpfsgroup2Site1（config-crypto-map）#setsecurSite1(config—crypto—map)＃setsecurity—associationlifetimesecSite1（config-crypto-map)#setsecurity—associationlifetimeseconds1800(4）在接口上應用cryptomapSite1(config)＃inte1/0Site1(config—if)＃crymapcry-mapSite1(config—if）＃配置asa高級應用—日志管理打開日志功能Asa_server（config)#loggingenableAsa_server（config）＃loggingbufferedinformational配置asdm日志Asa_server（config）＃loggingenableAsa_server（config）＃loggingasdminformationa配置Asa_server(config)#loggingenablelAsa_server（config）＃loggingtrapinformationalAsa_server（config)＃logginghostinside172.168。110.1104.2配置核心層的ospf協(xié)議配置理由：在核心層部分，使用內部路由協(xié)議可適應大規(guī)模的網(wǎng)絡;路由變化收斂速度快；無路由自環(huán);支持變長子網(wǎng)掩碼；支持等值路由;支持區(qū)域劃分；提供路由分級管理；支持驗證；支持以組播地址發(fā)送協(xié)議報文。端口Ip地址子網(wǎng)掩碼R1的s0/0172.16。0。1255.255。255.192R1的S0/1172。16。0。193255。255。255。192R2的S0/02255.255.255。192R2的S0/1172。16。0。65255。255。255.192R3的S0/0172.16。0.129255。255。255。192R3的S0/1172。16。0.126255。255.255。192R3的s0/22255。255.255.192R4的S0/0172.16。0。190255。255。255.192R4的S0/154255。255.255。192R5的s0/2255.255。255。1921.將5個路由器都分別命名為r1，r2,r3,r4,r5(全局下配置，hostnamer1）2。將各個端口的ip地址配好，并將端口打開r3（config)#ints0/1r3(config—if）＃ipaddress172.16.0。126255。255。255。192r3(config-if)#noshut3。在路由器中，ospf1下，對每個網(wǎng)段進行宣告r3(config）＃routerospf1r3（config—router)＃router-id3。3。3。3（配置路由器的名稱)r3(config—router）#net172.16。0。640。0.0.63area0r3(config-router）＃net172.16.0。1280。0。0。63area04.使用shiproute進行查看,路由條目的學習情況(圖中顯示，已經學習到各個網(wǎng)段的信息）5。對r5中的路由進行上述配置（如下圖）圖中r5已經學習到routerospf協(xié)議的網(wǎng)段宣告信息.6.對r5進行stub區(qū)域的配置R5＃conftR5(config）#routerospf5R5(config—router)＃area5stubR5（config-router)＃end將財務部設置成stub區(qū)域7。配置虛鏈路R3（config)＃routerospf1R3(config—router)#area1virtual-link3。3。3.3R3(config-router)＃exit在r3上配置虛鏈路：R5（config）＃routerospf1R5（config-router）＃area1virtual-link5。5.5.5R5（config-router）#end4。3配置路由安全策略配置理由：網(wǎng)絡管理不可能長時間的接觸到路由器設備,而作為核心層的路由器，必須有較高的安全性.1。配置console口的密碼r（config）＃linecon0r(config—line）#loginlocal2.配置aux口的密碼(用來貓，電信網(wǎng)的)r（config）＃lineaux0r（config—line)＃loginlocal3.配置遠程登錄的密碼r(config）＃linevty04r(config—line)＃passccier（config-line)＃login4。防止查看R的診斷信息r(config)＃noservicetcp-small—servers5.防止查看路由器當前用戶列表r（config）＃noservicefinger6。關閉cdp(ciscodiscoveryprotocl）服務r（config)＃nocdprunning7.配置路由器僅允許172。16.0.0源網(wǎng)段的IP數(shù)據(jù)包經過路由器R（config)#access—list1permit172.16.0。00。0.255.255R（config—if)＃ipaccess—group1in（在各個端口上都進行該配置）8。在路由器上配置同步時間NTP（1)在r1上配置：Router（config）#noipdomain—loRouter(config）#linec0Router（config-line）＃exec—t1010Router(config-line）＃loggsRouter(config-line）#endRouter(config）＃ints1/1Router(config—if）#ipadd1。1。1。1255.0.0。0Router(config—if）＃noshuRouter(config）#hosntpserver（2）各個相鄰的路由器上配置Router(config)#noipdomain-loRouter（config)＃linec0Router（config-line）＃exec-t1010Router（config-line）＃loggsRouter(config-line)#endRouter（config）#ints1/1Router(config—if）＃ipadd255。0。0。0Router(config—if）＃noshuRouter(config）＃ntpclientntpclient(config)#ntpserver1。1.1.1ntpclient（config）＃end4。4AAA服務器的配置配置理由：aaa服務器將能夠，配上ssh使用，將任何嘗試訪問路由器和交換機的記錄都進行認證和審核1.ACS的安裝和配置前提：必須要有ACS文件和一個小的java文件2.在安裝的過程中,按照安裝的向導進行,一步一步的設置3.安裝完成之后，在桌面上出現(xiàn)ACSAdmin的圖標快捷方式4。雙擊快捷方式，并在IE瀏覽器中，更改“安全設置"，將其改為安全級別為中，不然在IE瀏覽器中，將無法打開ACS的服務器。點擊確定。5。添加用戶名為wolf和密碼為wolf（點擊Submit）6。添加AAAclient，如下圖所示：7查看，配置信息，是否如下所示：8。在路由器上啟用AAA服務器9測試配置(配置成功）4。5在路由器上配置SSH服務器和AAA的認證（配置原因：為了方便在后期的網(wǎng)絡維護和管理，網(wǎng)絡管理員將要遠程控制設備，而一般的TELNET的遠程登錄為明文顯示用戶名密碼，所以安全措施使用SSH遠程登錄設備，并且配上AAA的認證措施。)Router(config)#noipdomain—loRouter（config)#noipdomain—lookupRouter(config)#lineconsole0Router（config—line)＃exec—t1010Router(config-line)#loggsRouter(config)＃endRouter#conftEnterconfigurationcommands，oneperline。EndwithCNTL/Z。Router(config)#＊Mar100：06：55。895:％SYS-5—CONFIG_I:ConfiguredfromconsolebyconsoleRouter（config)#Router（config）＃Router(config）＃1.定義主機名Router(config）#hossshrouter2。創(chuàng)建一個的域sshrouter（config）＃ipdomainname3.為ssh定義密鑰的長度為1024sshrouter（config)＃cryptokeygeneratersaThenameforthekeyswillbe：Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys。Choosingakeymodulusgreaterthan512maytakeafewminutesHowmanybitsinthemodulus［512]：1024%Generating1024bitRSAkeys，keyswillbenon—exportable。.。[OK］4。啟用AAA服務，設置在本地服務器上進行認證sshrouter(config)#sshrouter(config）＃aaanewsshrouter（config）#aaanew-model5.配置一個用戶名和密碼sshrouter（config)#usernameroutpassroutpasswordprivilege156設置ssh的時間為120秒sshrouter（config)＃ipsshtisshrouter(config）#ipsshtime-out1207.設置ssh認證重復次數(shù)為4，可以在0-5之間選擇sshrouter（config）#ipsshausshrouter（config）#ipsshauthentication-retries48.進入vty模式，并設置vty的登錄模式為ssh，默認情況為all即允許所有登錄sshrouter（config）#linevty04sshrouter（config-line）＃transportinputssh9.在clientPC客戶端192。168。1.1中，遠程連接router4。6配置三層交換機上的DHCP中繼配置理由：在網(wǎng)絡中架構2臺DHCP服務器，但是DHCP的廣播報文不能穿越路由器，所以,必須在三層交換機上配置DHCP中繼器。1.在三層交換機上配置命令ipdhcp—server172。16.254.6interfaceVlan11ipaddress172.16.1。62255。255。255。192iphelper—address172。16.254.6DHCPServerIPinterfaceVlan12ipaddress172.16。1。126255.255.255。192iphelper—address172.16。254。6DHCPServerIPinterfaceVlan13ipaddress172。16.1。190255.255.255。192iphelper-address172。16.254.6DHCPServerIP2。在dhcp服務器上設置網(wǎng)絡地址分別為172。16.1。0/26，172。16。1。64/26和172。16.1。128/26的作用域區(qū)域VlanVlan接口IP在DHCP服務器上配置的作用域Area1Vlan112172.16。1。0/26Vlan12172。16.1。126172。16.1。64/26Vlan13172.16。1。190172.16。1.128/26Area2Vlan21172。16.2。62172.16.2。0/26Vlan22172.16。2.1264/26Vlan23172.16。2.19028/26Area3Vlan31172。16.3。62172。16。3。0/26Vlan32172。16.3.126172。16.3.64/26Vlan33172.16。3。190172。16。3.128/26Area4Vlan41172.16.4。62172.16。4.0/26Vlan42172。16。4.1264/26Vlan43172.16.4。190172。16.4.128/26Area5Vlan51172。16.5。62172。16.5。0/26Vlan52172。16.5。126172.16。5。64/26Vlan53172。16。5.190172。16.5。128/264.7三層交換機上配置vlan和vtp1.配置與交換機0和1的trunk。Switch>enableSwitch#configtSwitch（config)＃hostnamecorecore（config)#interfacegigabitethernet0/1core(config-if)＃switchportmodetrunkcore（config-if）#exitcore（config)＃interfacegigabitethernet0/2core（config-if）#switchportmodetrunkcore(config-if)＃exit2.配置vtp，以及在server上建立vlan.。。core（config）#vtpdocore（config)#vtpdomaintimothyChangingVTPdomainnamefromNULLtotimothycore(config)#vtpmodeserverDevicemodealreadyVTPSERVER。core（config)＃vlan11core(config-vlan）#vlan12core(config-vlan）#vlan12core(config-vlan)＃exit3。設置vlan網(wǎng)關。。。core（config）#interfacevlan11core(config-if）#ipaddress172.16。1.0255。255。255.129core(config—if)＃noshutcore(config-if）#exitcore(config)#interfacevlan12core(config-if)＃ipaddress172.16。0。64255.255.255。19core（config—if）#noshutcore(config-if）#exitcore(config）＃interfacevlan13core（config—if)＃ipaddress172。16。0。12829core(config-if)＃noshutcore(config-if)＃exit4。保存。把running—config寫入nvram成為startup—configcore(config)＃exitcore#copyrunstartDestinationfilename［startup—config]?Buildingconfiguration。.。［OK]core#4。8二層交換機0的配置：1.配置與core的trunk.。Switch〉enableSwitch#configtSwitch(config)#hostnameswitch0switch0（config)＃interfacefastethernet0/24switch0（config-if)＃switchportmodetrunkswitch0(config—if）＃exit2.配置vtp，。。。switch0（config)#vtpdomaintimothyDomainnamealreadysettotimothy.switch0(config）＃vtpmodeclient3。把端口加入vlan，。。。switch0（config）#interfacefastethernet0/1switch0（config—if）#switchportaccessvlan11switch0(config-if)＃exitswitch0（config)＃interfacefastethernet0/2switch0(config—if）＃switchportaccessvlan12switch0(config-if）#exitswitch0(config）#interfacefastethernet0/3switch0(config—if）#switchportaccessvlan13switch0（config-if）＃exit4.保存!！！switch0（config)＃exit％SYS—5-CONFIG_I:Configuredfromconsolebyconsoleswitch0＃copyrunstartDestinationfilename［startup—config］？Buildingconfiguration。。.［OK]switch0＃4。9二層交換機1上的配置：1.配置與core的trunk。.。Switch>enableSwitch＃configtEnterconfigurationcommands，oneperline。EndwithCNTL/Z。Switch（config)＃hostnameswitch1switch1(config）#interfacefastethernet0/24switch1(config-if)＃switchportmodetrunkswitch1(config—if)#exit2.配置vtp，.。。switch1(config）＃vtpdomaintimothyDomainnamealreadysettotimothy。switch1(config)＃vtpmodeclientSettingdevicetoVTPCLIENTmode。3。把端口加入vlan。。switch1（config)#interfacefastethernet0/1switch1（config—if）#switchportaccessvlan11switch1(config—if)#exitswitch1（config）#interfacefastethernet0/2switch1（config—if)＃switchportaccessvlan12switch1(config-if)＃exitswitch1(config)＃interfacefastethernet0/3switch1（config—if)＃switchportaccessvlan13switch1（config-if）#exit4.保存!??！switch1(config）#exitswitch1#copyrunstartDestinationfilename[startup—config］？Buildingconfiguration...[OK］4。10配置二層的安全配置理由：二層輸入ISO網(wǎng)絡參考模型中的最不安全的兩層中的一個，對其的安全策略設置，至關重要（1）STP防御技術switch（config）#intf0/1switch(config—if)＃spanning-freeguardrootswitch(config-if)＃spanning-freebpduguardenableswitch（config-if)＃spanning-freebpdufilterenable（2)DHCPsnooping的防御a.switch（config）#dhcpsnoopingb。switch（config)#ipdhcpsnoopingvlan11—200c.switch（config）#intf0/1d．switch（config—if）＃ipdhcpsnoopinglimitrate100（3）DAI的配置switch（config）#iparpinspectionvlan100(在vlan100上啟用DAI）switch（config）#intf0/16switch（config—if）＃iparpinspectiontrust（4)配置storm—control風暴控制switch（config-if）＃strom-controlbroadcastlevel87switch（config—if)#strom-controlmulticsatlevelpps2kswitch（config—if）#strom—controlactionshutdownswitch(config—if)#strom—controlsctiontrapl4。11服務器的配置（ftp，dhcp,web）A．FTP服務器配置理由：ftp服務器，為每個部門的資源進行共享，方便。保證FTP服務器是靜態(tài)IP地址。在“開始”“控制面板”中選擇“添加或刪除程序”選項.首先勾上應用程序服務器，然后點擊詳細信息進入。然后選中Internet信息服務(IIS），點擊詳細信息進入.最后勾上文件傳輸協(xié)議(FTP）服務，確定。一直確定，安裝好ftp服務首先在C盤里創(chuàng)建FTP文件夾相關數(shù)據(jù)。C盤創(chuàng)建FTP主文件夾，F(xiàn)TP下創(chuàng)建localuser子文件夾，localuser下創(chuàng)建public和educationdepartment、financedepartment、ITdepartment、networkdepartment、personneldepartment等6個文件夾。找到Internet信息服務（IIS）管理器。右鍵FTP站點,新建,FTP站點.描述ftp站點為設置ip地址和端口,ip地址為172。16。254.1，端口默認為21。選擇AD域隔離用戶選擇FTP站點主目錄路徑。這里要注意選擇的文件夾是FTP而不是localuser。完成配置隔離用戶,依次設置用戶名和密碼，（用戶名依次為educationdepartment、financedepartment、ITdepartment、networkdepartment、personneldepartment，密碼均為：123456)B．DHCP服務器第一步:創(chuàng)建DHCP：1.網(wǎng)卡定義IP地址，DNS服務器首選DNSIP指向本機.2。添加WINDOWS組件，選擇網(wǎng)絡服務下DHCP服務第二步:配置DHCP：1.打開開始菜單——管理工具—--DHCP2.點擊下一步，出現(xiàn)下圖所示：輸入IP地址范圍3。點擊下一步，出現(xiàn)下圖，跳過排除4.點擊下一步，設置，默認租約期限為8天5。點擊下一步，出現(xiàn)下圖，選擇默認,是，我想現(xiàn)在配置這些選項6。點擊下一步,配置默認網(wǎng)關.IP：7.點擊下一步,輸入IP:172.16。255。69。點擊下一步，選擇默認,是，我想現(xiàn)在激活此作用域10。配置完成C。配置WEB服務器安裝IIS服務:1、保證Web服務器是靜態(tài)IP地址.在“開始”“控制面板”中選擇“添加或刪除程序”選項.2、在“添加或刪除程序”窗口中,單擊“添加/刪除Windows組件”選項。3、彈出“Windows組件”對話框，選擇“應用程序服務器”選項，單擊“詳細信息。.?！卑粹o。4、彈出“網(wǎng)絡服務”對話框，選擇“Internet信息服務（IIS)”選項，單擊“詳細信息…”按鈕。5、在“Internet信息服務管理器”對話框中,選擇“確定”按鈕。配置組建D．配置Web服務（設置默認網(wǎng)站）：1、在“開始”“管理工具”中可以查看到安裝完成的“Internet信息服務管理器”選項.2、打開“Internet信息服務管理器”工具，在“Internet信息服務（IIS）管理器”窗口中，點擊“網(wǎng)站"選項，在“默認網(wǎng)站”中看到系統(tǒng)的默認網(wǎng)頁文件(iisstart.htm）。3、右擊“默認網(wǎng)站”選擇“瀏覽...”選項,在右框中顯示系統(tǒng)默認網(wǎng)頁（顯示“建設中”）.4、右擊“默認網(wǎng)站”“屬性"選項，彈出“屬性”對話框。在“主目錄”標簽中顯示，默認網(wǎng)頁所在的文件夾是“C:\Inetpub\wwwroot"。5、到該目錄中查看，其中名為“iisstart。htm”的文件就是顯示“建設中"的網(wǎng)頁。創(chuàng)建Web站點：1、停止“默認網(wǎng)站”，在“IIS管理器”窗口中，右擊“默認網(wǎng)站”選擇“停止”選項。2、在磁盤上創(chuàng)建Web站點的文件夾(E：\WebSite-1）。3、在“IIS管理器”窗口中，右擊“網(wǎng)站”“新建"“網(wǎng)站.。.”選項4、按照“網(wǎng)站創(chuàng)建向導”提示操作，輸入關于網(wǎng)站描述信息,單擊“下一步”按鈕。5、按照“網(wǎng)站創(chuàng)建向導”提示操作，輸入IP地址172。16。255.1、TCP80端口設置（保持默認），單擊“下一步”按鈕.6、輸入網(wǎng)站主目錄路徑（E:\WebSite-1)，單擊“下一步”按鈕。7、設置網(wǎng)站訪問權限（保持默認）,單擊“下一步”按鈕.8、完成新網(wǎng)站設置，返回“IIS管理器”窗口查看到新網(wǎng)站。4。12.網(wǎng)管軟件系統(tǒng)安裝方法4.12.1.系統(tǒng)需求：硬件：PIII800以上處理器，CD—ROM，512M內存,4GB磁盤空間軟件：Windows2000/WindowsNT（非域控制器），InternetExplorer64.12。2。安裝操作系統(tǒng)Windows2000Server/Professional或WindowsNT中（英）文版4。12。3.檢查操作系統(tǒng)補丁（Windows2000SP2/WindowsNTSP6a)是否已安裝好4.12。4.檢查網(wǎng)卡等驅動程序是否已安裝好，檢查到網(wǎng)絡設備管理地址的連通性.網(wǎng)管工作站的主機名和IP地址一旦確定，在網(wǎng)管系統(tǒng)安裝后不要進行更改，因其涉及的設置項目很多，請一定要注意。4。12。5.安裝并設置InternetExplorer5.0（推薦更高版本如6.0）：a）選擇IE菜單“工具”—“Internet選項"-“高級"選中MicrosoftVM中的“啟用Java控制臺（需要重啟動）”b)選擇“常規(guī)”-“設置”檢查“使用的磁盤空間"是否大于6M，如果不是,設置為大于6M。同時將“檢查所存網(wǎng)頁的較新版本”設為“每次訪問此頁時檢查"并確定c)檢查“安全"—“自定義級別”確?！霸试S使用存儲在您計算機上的Cookies”及“允許使用每個對話cookie(未存儲)"為“啟用”d)選擇“常規(guī)”-“字體"并設置“Web頁字體”為“MicrosoftSansSerif”。4。12.6.檢查網(wǎng)絡運行情況：在進行網(wǎng)管系統(tǒng)安裝之前,應檢查網(wǎng)絡的運行情況，保證需要進行管理的設備是可到達的,并設置了正確的SNMP密碼字（出于安全考慮，不要使用默認的“public”和“private”)。35xx交換機及MSFC：configtermsnmpcommunityreadstrsnmpcommunitywritestrrw6509、4006交換引擎:setsnmpcommunityread-onlyreadstrsetsnmpcommunityread—writewritestrsetsnmpcommunityread-write—allwritestr4。12。7.安裝CDONE:插入CDONE光盤，自動彈出安裝畫面，按下“Install"按鈕開始安裝,按照引導“Next”.a)選擇安裝方法(典型安裝或自定義安裝）:由于C盤空間不足，需將系統(tǒng)安裝到D盤,故需選擇Custom（自定義)安裝方法。b)選擇安裝目錄:我們將系統(tǒng)安裝到D:\cw目錄下。c）選擇要安裝的組件:CiscoView,NMSIntegrationUtilityandCMF(CommonManagementFoundation）d）安裝過程中選擇“Next”或“Ok"，如果系統(tǒng)提示時“DNS”太慢的警告，忽略。選擇“Later"再安裝第三方集成軟件，最后重新啟動系統(tǒng)完成安裝。4.12。8.安裝JavaRuntimeEnvironment(Java運行環(huán)境)j2re—1_3_1—win.exe(5。11M）；以上程序在D：\cw。ins\下有備份重新啟動系統(tǒng)。在后面的操作中如果系統(tǒng)提示需安裝JRE2運行環(huán)境，請同意進行安裝,并在安裝完成后重新啟動系統(tǒng)。在系統(tǒng)使用過程中可能會碰到“Java插件安全警告：證書已經過期”，對系統(tǒng)運行無不良影響，請選擇忽略警告繼續(xù)進行。4。12.9.更改系統(tǒng)管理員密碼：打開瀏覽器，輸入網(wǎng)管系統(tǒng)網(wǎng)址：http：//10.1。1。1:1741，使用用戶名admin,密碼admin登錄網(wǎng)管系統(tǒng)。如果此時出現(xiàn)java運行時刻錯，請刷新窗口即可。選擇菜單“Serverconfiguration”—“Setup"–“Security”–“ModifyMyProfile”，在“LocalPassword”及“ConfirmPassword”中輸入新的管理員密碼并點擊“Modify”按鈕。點擊LOGOUT按鈕退出網(wǎng)管系統(tǒng)，關閉瀏覽器.重新啟動系統(tǒng).4.12.10.設置CiscoView：打開瀏覽器,輸入網(wǎng)管系統(tǒng)網(wǎng)址：http：//10。1。1.1:1741，使用用戶名admin，密碼admin登錄網(wǎng)管系統(tǒng).選擇菜單“DeviceManager”-“CiscoView”,在新彈出的窗口中選擇“Preferences”,輸入默認的SNMP密碼（DefaultReadCommunity及DefaultWriteCommunity），按“Ok"保存。在SelectDevice中輸入設備地址測試設置是否正確：如輸入6509管理地址為10。1.201.253，提示“CommunityString”時按下“確定”(如果6509包換交換引擎、主MSFC及備份MSFC三個邏輯設備，該過程會重復三次）.稍等之后,可以看到6509管理面板的顯示。設置完成，點擊LOGOUT按鈕退出網(wǎng)管系統(tǒng)，關閉所有窗口.4。12。11.安裝ResourceManagerEssential3。3插入RME光盤，自動彈出安裝畫面，按下“Install”按鈕開始安裝,按照引導“Next"，選擇使用典型安裝（Typicalinstallation）一步一步完成安裝。4。12。12.安裝CampusManager3。1插入CM光盤，自動彈出安裝畫面,按下“Install”按鈕開始安裝，按照引導“Next”，選擇使用典型安裝(Typicalinstallation)一步一步完成安裝。4.12.13。設置CampusManager3.1登錄網(wǎng)管系統(tǒng)。選擇菜單“ServerConfiguration”—“Setup”—“ANIServerAdmin”-“SNMPSettings",對照說明將腳本中的Read及WriteCommunityString更改為本網(wǎng)中使用的值。選擇菜單“ServerConfiguration”—“Setup"-“ANIServerAdmin”-“DiscoverySettings”，在“SeedDevice”列表中輸入種子設備(用作網(wǎng)絡發(fā)現(xiàn)的起點)的IP地址，建議輸入多個地址（格子不夠點右鍵選“Add”），如:10.1。201。253（6509_A)、10。1.201。251(6509_B)、10.1.201。247（4006_A）、10。1。201.245（4006_B)、10。1。201。236(4006_C）、10。1。201。234(4006_D)。去掉“UseReverseDNSLookup"的選擇。選擇“FilterUsingIPAddress”并在“IPAddressRanges”中輸入10。1.［192—207]。＊，以限制搜索范圍,加快搜索過程。點擊“Apply”按鈕后系統(tǒng)提問是否要馬上進行一次搜索，回答“是"。稍后選擇菜單“ServerConfiguration”-“Setup”—“Diagnostics"—“DiscoveryMetrics”，可以檢查系統(tǒng)是否搜索到了所有要管理的設備,確保以上設置正確完成。4.12.14。檢查CampusManager運行情況登錄網(wǎng)管系統(tǒng).選擇菜單“CampusManager”-“TopologyService”，在彈出的“TopologyServices”窗口中選擇“NetworkViews"—“Layer2View”，鼠標右鍵點擊“Layer2View"，在相關菜單中選擇“DisplayView”應能看到網(wǎng)絡的拓撲圖?？梢赃x擇菜單“View”-“DisplayLabels",用“DisplayIP”顯示設備管理地址，或用“ShowSysname”顯示設備名稱，取消顯示用“ClearLabels”?？梢赃x擇“ManagedDomains"-“VTPDomain"—“vtpdomain"正好論壇有問必答http：//斑竹全部由DoubleCCIE主持。在線解答網(wǎng)友提問正好論壇有問必答斑竹全部由DoubleCCIE主持。在線解答網(wǎng)友提問(本網(wǎng)VTP域名）來顯示域內所有交換機口的情況,包含所屬VLAN、是否激活等。4。12.15.設置設備同步:本步驟將CampusManager搜索到的設備信息傳遞給ResourceManagerEssential。首先，為此任務增加一個用戶：登錄網(wǎng)管系統(tǒng),用菜單“ServerConfiguration”—“Security"—“Addusers”，新建一個名稱為dev_sync的用戶，密碼為ccds5678，設置其權限為：“NetworkAdministrator”、“SystemAdministrator”，點擊“Add”添加。選擇菜單“ServerConfiguration”-“Setup”—“DeviceSynchronization"，輸入Hostname：CW(本機名稱），端口:1741，用戶名：dev_sync,密碼：syncpsw；選中：“SenddevicecredentialstoEssentials”、“SenddevicestoEssentials”及“SynchronizetoEssentialsincrementally”，然后點擊“RUN”立即運行一次，點擊“Apply"保存設置。4.12。16。設置ResourceManagerEssentials監(jiān)控的設備集(View):選擇菜單“ResourceManagerEssentials”—“Administration”—“Availability”-“ChangePollingOptions"，從左邊的“AllView”中選取“All”，點擊“Add”按鈕添加到“PolledViews”中，點擊“Next"按鈕繼續(xù),再點擊“Finish”按鈕完成。4.12。17。輸入設備密碼：選擇“ResourceManagerEssentials”-“Administration”—“Inventory"-“ChangeDeviceAttributes"，選擇所有密碼相同的設備,“Next”，選中“TelnetLoginModeUserNameandPassword”及“TelnetEnableModeUserNameandPassword”,“Next”，輸入TelnetPassword，并在后面Verify框中重輸一遍.“Finnish”，下一個畫面輸入EnableSecretPassword（注意不是EnablePassword),并在后面Verify框中重輸一遍.可以用本菜單中的“CheckDeviceAttributes”功能檢查設備的密碼等管理數(shù)據(jù)是否有效。4.12.18.設置網(wǎng)絡設備,啟用Syslog：35xx交換機及MSFC：configtermloggingonlogging10.1.1。1（注意保存配置)6509、4006交換引擎:setloggingserverenablesetloggingserver10.1.1。1檢查Syslog收集情況:選擇菜單“ResourceManagerEssentials”正好論壇有問必答斑竹全部由DoubleCCIE主持.在線解答網(wǎng)友提問正好論壇有問必答http：//斑竹全部由DoubleCCIE主持。在線解答網(wǎng)友提問—“SyslogAnalysis”-“SuavityLevelSummary”,從左邊的“Views”列表中選擇All,然后在右上的“Devices"列表中選擇要查看的設表（可用Shift鍵多選)并點擊“Add"添加到“SelectedDevices”中，然后點擊“Next”繼續(xù).在下一個畫面中選擇要查看的日志(Log）的日期，點擊“Finish”查看。輸入的畫面將按Log信息的級別分類列出這些信息，點擊相應的鏈接可以查看詳細的Log信息.注意Syslog啟用之后，如果網(wǎng)管工作站關閉，被管理設備的Log信息無法傳到網(wǎng)管系統(tǒng)上，它將不斷地進行重傳，影響網(wǎng)絡運行。所以，請務必采取措施（如專機專用，不安裝任何其它程序，定期查毒等)以保證網(wǎng)管工作站運行安全。Ciscoworks系統(tǒng)處理Syslog信息速度較慢，您可能需要等待數(shù)個小時之后才能看到整理好的Syslog信息報告。4。12。19。檢查ResourceManagerEssentials的可能性（Availability）監(jiān)控狀態(tài)選擇菜單“ResourceManagerEssentials"-“Availability"-“ReachabilityDashboard",查看設備最近一次檢查的情況，或選擇“AvailabilityMonitor”檢查設備可用性統(tǒng)計、反應時間，端口狀態(tài)等.（注意：各種統(tǒng)計報表需要30-120分鐘才能生成，如果尚無信息輸入,請耐心等待，隨后再試。）4。12。20。安裝ContentFlowMonitor插入CFM光盤，自動彈出安裝畫面,按下“Install”按鈕開始安裝，按照引導“Next”，選擇使用典型安裝(Typicalinstallation)一步一步完成安裝,按要求重新啟動系統(tǒng)。4。12.21.安裝DeviceFaultManager1.1插入DFM光盤，自動彈出安裝畫面,按下“Install”按鈕開始安裝，按照引導“Next"，選擇使用典型安裝（Typicalinstallation)一步一步完成安裝，按要求重新啟動系統(tǒng).設置設備發(fā)送TRAP。35xx交換機及MSFC：configtermsnmpenabletrapssnmphost10.1。1。1trapver2cwritestr6509交換引擎:setsnmptrapenableallsetsnmptrap10.1.1。1writestr4.12。22.設置DFM將TRAP轉發(fā)給RealTimeMonitor，為安裝RTM做準備：選擇菜單“DeviceFaultManager"-“TrapConfiguration”—“TrapForwarding"，在“AddRecipient”中輸入主機名：CW，輸入端口口為:395，按“OK"按鈕確認保存。注銷網(wǎng)管系統(tǒng)，關閉所有窗口。正好論壇有問必答斑竹全部由DoubleCCIE主持。在線解答網(wǎng)友提問正好論壇有問必答http：//斑竹全部由DoubleCCIE主持。在線解答網(wǎng)友提問4.12.23。為安裝RealTimeMonitor建立帳號：在系統(tǒng)中新建一個安全用戶，名稱為rtm,密碼:password1,設定“用戶不可更改密碼”、“密碼永不過期".在“控制面板”-“管理工具”中選擇“本地安全策略”，打開后在“本地策略”-“用戶權限賦予”中為這個新用戶增加Logonasabatchjob、Logonasaservice和LogonLocally三個權限。方法是點擊相應的權限，并用Add添加該用戶.4.12。24。安裝RealTimeMonitor1.2a）安裝Real—TimeMonitor插入Real—TimeMonitor光盤，自動彈出安裝畫面，按照引導“Next”,同意“用戶協(xié)議",選擇安裝目錄為d：\cw\rtm，,查看安裝參數(shù)：主機名：CWIP地址：10.1。1。1WEBServerPort：9000（非默認，為避免與其它沖突)DatabaseServerPort：2639輸入管理員用戶名和帳號，默認為Administrator，設置密碼為：password1.下一步輸入數(shù)據(jù)庫密碼，此處預設為“password1”。下一步設置Owner(產權所有人）帳號，輸入步驟22中建立的安全用戶名稱和密碼（分別為rtm,password1).拷貝文件后系統(tǒng)會請求添加注冊表數(shù)據(jù)，選YES同意.安裝程序還會打開一個DOS窗口,多次請求進行初始化操作,用Y回答，完成安裝。b)安裝Real-TimeMonitorPacketDecodeEngine插入Real—TimeMonitorPacketDecodeEngine光盤,自動彈出安裝畫面，按照引導“Next”，同意“用戶協(xié)議”，選擇安裝目錄為d：\cw\rtm，完成安裝。c)安裝Real—TimeMonitorThirdPartyApplications根據(jù)需要可以安裝Real-TimeMonitorThirdPartyApplications上附帶的AcrobatReader、Netscape等第三方應用程序。d）更改RTM偵聽的TRAP端口:編輯腳本：d:\cw\rtm\bin\perties,將tlist=162,395改為：tlist=3