ambow網(wǎng)絡(luò)架構(gòu)方案(實(shí)驗(yàn))

Ambow網(wǎng)絡(luò)架構(gòu)方案策劃書-45-項(xiàng)目名稱：Ambow網(wǎng)絡(luò)架構(gòu)項(xiàng)目編號：NSXZ2012-G104網(wǎng)絡(luò)架構(gòu)方案小組名稱：信息學(xué)院104班第一小組日期：二〇一二年五月二十九日目錄一.項(xiàng)目背景 -2-1.1ambow公司概況 -2-1.2網(wǎng)絡(luò)工程狀況 -2-二.需求分析 -2-2．1帶寬性能需求 -3-2.2穩(wěn)定可靠需求 -3-2.3網(wǎng)絡(luò)安全需求 -3-2.4應(yīng)用服務(wù)需求 -3-2．5設(shè)備要求 -4-三.項(xiàng)目規(guī)劃 -4-3.1拓?fù)鋱D -4-3.2局域網(wǎng)詳細(xì)拓?fù)鋱D： -4-3.3ip以及vlan規(guī)劃 -5-3.4拓?fù)鋱D分析 -6-四.項(xiàng)目實(shí)施 -6-4.1配置ASA防火墻 -6-4.2配置核心層的ospf協(xié)議 -9-4.3配置路由安全策略 -10-4.4AAA服務(wù)器的配置 -12-4.5在路由器上配置SSH服務(wù)器和AAA的認(rèn)證 -15-4.6配置三層交換機(jī)上的DHCP中繼 -17-4.7三層交換機(jī)上配置vlan和vtp -17-4.8二層交換機(jī)0的配置： -18-4.9二層交換機(jī)1上的配置： -19-4.10配置二層的安全 -20-4.11服務(wù)器的配置（ftp，dhcp，web） -21-4.12.網(wǎng)管軟件系統(tǒng)安裝方法 -23-4.13Norton網(wǎng)絡(luò)殺毒軟件的安裝方法 -30-五．設(shè)備報(bào)價及清單 -35-5.1二層交換機(jī)的選型及參數(shù) -35-5.2三層交換機(jī)的選型及參數(shù) -36-5.3路由器的選型及參數(shù) -38-5.4服務(wù)器選型及報(bào)價 -39-5.5pc機(jī)的選擇 -40-5.6無線設(shè)備 -43-5.7設(shè)備清單 -44-一.項(xiàng)目背景1.1ambow公司概況Ambow公司是一家教育服務(wù)公司，為了公司未來發(fā)展的需要，IFC（國際金融公司和安博公司共同投資1.2億美金來成立北京實(shí)訓(xùn)基地和拓展現(xiàn)有的昆山基地，IFC擬籌資約5000萬美金.Ambow要求采購桌面電腦4000套，服務(wù)器100臺，系統(tǒng)桌面電腦采用微軟正版系統(tǒng)，服務(wù)器系統(tǒng)企業(yè)自行考慮網(wǎng)絡(luò)設(shè)備采購根據(jù)我方要求企業(yè)自行考慮所要達(dá)到的目的實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)的互連實(shí)現(xiàn)網(wǎng)絡(luò)架構(gòu)的安全性設(shè)置企業(yè)內(nèi)網(wǎng)各種所需的服務(wù)器管理實(shí)現(xiàn)北京基地和安博其他分公司的安全的互聯(lián)1.2網(wǎng)絡(luò)工程狀況A.公司有一個局域網(wǎng)inside,用于公司的資源共享和信息交流B.網(wǎng)絡(luò)中大概有4000臺計(jì)算機(jī)，分別位于不同的vlan下，防止arp病毒廣播和廣播風(fēng)暴，提高網(wǎng)絡(luò)環(huán)境的質(zhì)量C.計(jì)算機(jī)的操作系統(tǒng)有WindowsServer2003和WindowsXPprofessionalD.員工一人一機(jī)辦公F.公司部署各種辦公服務(wù)器，為企業(yè)員工提供一個良好的辦公環(huán)境二.需求分析公司需要構(gòu)建一個綜合的企業(yè)網(wǎng)，公司有5個部門：教學(xué)部、財(cái)務(wù)部、IT部、網(wǎng)絡(luò)部、人事部。公司共分3棟樓，1號，2號，3號，每棟樓直線相距100 米。1號樓：2層，為教學(xué)樓，10臺電腦，分散分布每層5臺。2號樓：3層，為IT部，人事部，20臺。其中10臺集中在3樓的網(wǎng)絡(luò)部的設(shè)計(jì)室中，專設(shè)一個機(jī)房，其他10臺分散分布每層5臺。3號樓：2層，為財(cái)務(wù)部。從內(nèi)網(wǎng)安全考慮，使用VLAN技術(shù)將各部門劃分到不同的VLAN中；為了提高公司的業(yè)務(wù)能力和增強(qiáng)企業(yè)知名度，將公司的WEB網(wǎng)站以及FTP、Mail服務(wù)發(fā)布到互聯(lián)網(wǎng)上；與分公司可采用分組交換（幀中繼）網(wǎng)互聯(lián)；并從ISP那里申請了一段公網(wǎng)IP。16個有效IPv4地址：12.~27，掩碼為（可表示為/28）。其中12和27為網(wǎng)絡(luò)地址和廣播地址，不可用（考慮路由器需要配置NAT功能了）。2．1帶寬性能需求現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿足用戶日益增長的通信需求。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運(yùn)營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會在不久的將來成為企業(yè)網(wǎng)的主流。從2004年全球交換機(jī)市場分析可以看到，增長最迅速的就是10Gbps級別機(jī)箱式交換機(jī)，可見，萬兆位的大規(guī)模應(yīng)用已經(jīng)真正開始。所以，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆位到桌面千兆位骨干來作為建網(wǎng)的標(biāo)準(zhǔn)，核心層及骨干層必須具有萬兆位級帶寬和處理性能，才能構(gòu)筑一個暢通無阻的"高品質(zhì)"企業(yè)網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)量日益增長的需要。2.2穩(wěn)定可靠需求現(xiàn)代企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計(jì)，以實(shí)現(xiàn)網(wǎng)絡(luò)通信的實(shí)時暢通，保障企業(yè)生產(chǎn)運(yùn)營的正常進(jìn)行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計(jì)算機(jī)網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運(yùn)行已經(jīng)成為保證企業(yè)正常生產(chǎn)運(yùn)營的關(guān)鍵。現(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計(jì)方面主要應(yīng)從以下3個方面考慮：1、設(shè)備的可靠性設(shè)計(jì)：不僅要考察網(wǎng)絡(luò)設(shè)備是否實(shí)現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計(jì)架構(gòu)、處理引擎種類等多方面去考察。2、業(yè)務(wù)的可靠性設(shè)計(jì)：網(wǎng)絡(luò)設(shè)備在故障倒換過程中，是否對業(yè)務(wù)的正常運(yùn)行有影響。3、鏈路的可靠性設(shè)計(jì)：以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持。2.3網(wǎng)絡(luò)安全需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機(jī)或路由器的ACL來實(shí)現(xiàn)對病毒和黑客攻擊的防御，但實(shí)踐證明這些被動的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報(bào)文識別到主動抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。2.4應(yīng)用服務(wù)需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需要。當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為"以應(yīng)用為中心"的信息基礎(chǔ)平臺，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。比如，網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)絡(luò)運(yùn)行期間對不同用戶靈活的服務(wù)策略部署、訪問權(quán)限控制、以及網(wǎng)絡(luò)日志審計(jì)和病毒控制能力等方面的管理工作，由于受網(wǎng)絡(luò)設(shè)備功能本身的限制，都還屬于費(fèi)時、費(fèi)力的任務(wù)。所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐"以應(yīng)用為中心"的智能網(wǎng)絡(luò)運(yùn)營維護(hù)的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來。2．5設(shè)備要求根據(jù)公司現(xiàn)有設(shè)備規(guī)模，業(yè)務(wù)需要及發(fā)展范圍使用的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備主要以聯(lián)想臺式機(jī)和CISCO網(wǎng)絡(luò)產(chǎn)品為主（產(chǎn)品的具體型號將在方案的最后給出）：a）服務(wù)器需選擇中cisco的刀片式。b）核心路由器使用cisco的高端設(shè)備c）而交換機(jī)使用CISCO中檔產(chǎn)品。d）防火墻為硬件+軟件結(jié)構(gòu)。e）網(wǎng)絡(luò)布線主干采用光纖，五類雙絞線到桌面（100M）。三.項(xiàng)目規(guī)劃3.1拓?fù)鋱D3.2局域網(wǎng)詳細(xì)拓?fù)鋱D：3.3ip以及vlan規(guī)劃區(qū)域VlanVlan接口IPArea1Vlan112Vlan1226Vlan1390Area2Vlan212Vlan2226Vlan2390Area3Vlan312Vlan3226Vlan3390Area4Vlan412Vlan4226Vlan4390Area5Vlan512Vlan5226Vlan5390服務(wù)器的ip分配：服務(wù)器名稱Ip子網(wǎng)掩碼Web服務(wù)器Dns服務(wù)器ftp服務(wù)器Dhcp一服務(wù)器50Dhcp二服務(wù)器51郵件服務(wù)器3.4拓?fù)鋱D分析3.4.1核心層配置的OSPF路由協(xié)議，提供高速的數(shù)據(jù)交換，每個area區(qū)域代表每一個部門（每個部門默認(rèn)在同一棟樓中）3.4.2分布層使用三層交換機(jī)，配置各種策略3.4.3接入層使用各自的VLAN進(jìn)行劃分四.項(xiàng)目實(shí)施4.1配置ASA防火墻配置理由：防火墻加強(qiáng)inside區(qū)域的安全度，可以阻擋60%的惡意攻擊，我們選用cisco的asa防火墻，其onetoall的特性，使其能夠?qū)AT，firewall，VPN等功能附加一身配置ASA的主機(jī)名、域名和密碼ciscoasa(config)#hostnameasa802asa802(config)#domain-nameasa802(config)#enablepasswordasa802asa802(config)#passwdcisco配置接口的區(qū)域劃分asa802(config)#inte0/1asa802(config-if)#nameifinsideasa802(config-if)#security-level100asa802(config-if)#ipadd54asa802(config-if)#noshutdownasa802(config-if)#exitasa802(config)#inte0/0asa802(config-if)#nameifoutsideasa802(config-if)#security-level0asa802(config-if)#ipaddasa802(config-if)#noshutdownasa802(config-if)#exitasa802(config)#inte0/2asa802(config-if)#nameifdmzasa802(config-if)#security-level50asa802(config-if)#ipadd54asa802(config-if)#noshutdownasa802(config-if)#exit配置默認(rèn)靜態(tài)路由asa802(config)#routeoutside（將內(nèi)網(wǎng)和DMZ的IP數(shù)據(jù)包，都通過該默認(rèn)的靜態(tài)路由，全部路由到的下一跳地址上）配置遠(yuǎn)程管理的接入asa802(config)#telnet10insideasa802(config)#telnettimeout10配置ASA上的NAT服務(wù)（一）啟用內(nèi)網(wǎng)地址到DMZ和外網(wǎng)的NAT功能asa802(config)#nat-control（啟用NAT服務(wù)）asa802(config)#nat(inside)1（指定入接口為內(nèi)網(wǎng)接口的IP需要進(jìn)行轉(zhuǎn)換）asa802(config)#global(outside)1int（配置出接口為外網(wǎng)接口的ip為全局IP地址）asa802(config)#global(dmz)10-01（配置出接口為dmz接口的IP為0-01地址池中的一個，任意指定）（二）啟用外網(wǎng)到dmz區(qū)域的NAT功能asa802(config)#nat-control（啟用NAT服務(wù)）asa802(config)#nat(outside)100（指定入接口為外網(wǎng)接口的IP需要進(jìn)行轉(zhuǎn)換）asa802(config)#global(dmz)10-01（若出接口為dmz接口，則進(jìn)行NAT轉(zhuǎn)化，地址范圍為：0-01）在ASA上配置acl訪問控制列表(1)配置拒絕財(cái)務(wù)部的員工對外網(wǎng)的訪問：asa802(config)#access-listin_caiwu_to_outdenyipanyasa802(config)#access-listin_caiwu_to_outpermitipanyanyasa802(config)#access-groupin_caiwu_to_outinintinside(2)拒絕外網(wǎng)對內(nèi)網(wǎng)的訪問：asa802(config)#access-listout_to_indenyipanyanyasa802(config)#access-listout_to_inpermitipanyanyasa802(config)#access-groupout_to_ininintinside配置IPsecVPN隧道（這里選擇GREoverIPsec）配置理由：總公司和分公司之間的互相訪問，同時要保證外網(wǎng)對各個內(nèi)網(wǎng)的訪問的限制，所以配置一個IPsecVPN隧道。先配置各個端口的ip地址，以及將tunnel口的各種配置進(jìn)行完成。在配置第一階段的IKE策略上：（1）Site1(config)#cryisaenSite1(config)#cryisapol10Site1(config-isakmp)#encr3deSite1(config-isakmp)#hashmd5Site1(config-isakmp)#authpre-shaSite1(config-isakmp)#group2Site1(config-isakmp)#exiSite1(config)#cryisakey0121keyaddressSite1(config)#在配置第二階段的IKE策略上：配置感興趣流：Site1(config)#ipaccess-listextendedvpnSite1(config-ext-nacl)#permitip5555Site1(config-ext-nacl)#exi配置IPsec策略Site1(config)#cryipsectransform-settransesp-desesp-md5-hmac配置cryptomap（第二階段的策略匯總）Site1(cfg-crypto-trans)#crymapcry-map10ipsec-isa%NOTE:Thisnewcryptomapwillremaindisableduntilapeerandavalidaccesslisthavebeenconfigured.Site1(config-crypto-map)#matchaddvpnSite1(config-crypto-map)#settransSite1(config-crypto-map)#settransform-settransSite1(config-crypto-map)#setpeerSite1(config-crypto-map)#setpfsgroup2Site1(config-crypto-map)#setsecurSite1(config-crypto-map)#setsecurity-associationlifetimesecSite1(config-crypto-map)#setsecurity-associationlifetimeseconds1800（4）在接口上應(yīng)用cryptomapSite1(config)#inte1/0Site1(config-if)#crymapcry-mapSite1(config-if)#配置asa高級應(yīng)用—日志管理打開日志功能Asa_server(config)#loggingenableAsa_server(config)#loggingbufferedinformational配置asdm日志Asa_server（config）#loggingenableAsa_server（config）#loggingasdminformationa配置Asa_server(config)#loggingenablelAsa_server(config)#loggingtrapinformationalAsa_server(config)#logginghostinside104.2配置核心層的ospf協(xié)議配置理由：在核心層部分，使用內(nèi)部路由協(xié)議可適應(yīng)大規(guī)模的網(wǎng)絡(luò)；路由變化收斂速度快；無路由自環(huán)；支持變長子網(wǎng)掩碼；支持等值路由；支持區(qū)域劃分；提供路由分級管理；支持驗(yàn)證；支持以組播地址發(fā)送協(xié)議報(bào)文。端口Ip地址子網(wǎng)掩碼R1的s0/092R1的S0/19392R2的S0/0292R2的S0/1592R3的S0/02992R3的S0/12692R3的s0/2292R4的S0/09092R4的S0/15492R5的s0/2921.將5個路由器都分別命名為r1,r2,r3,r4,r5（全局下配置，hostnamer1）2.將各個端口的ip地址配好，并將端口打開r3(config)#ints0/1r3(config-if)#ipaddress2692r3(config-if)#noshut3.在路由器中，ospf1下，對每個網(wǎng)段進(jìn)行宣告r3(config)#routerospf1r3(config-router)#router-id（配置路由器的名稱）r3(config-router)#net43area0r3(config-router)#net283area04.使用shiproute進(jìn)行查看，路由條目的學(xué)習(xí)情況（圖中顯示，已經(jīng)學(xué)習(xí)到各個網(wǎng)段的信息）5.對r5中的路由進(jìn)行上述配置（如下圖）圖中r5已經(jīng)學(xué)習(xí)到routerospf協(xié)議的網(wǎng)段宣告信息。6.對r5進(jìn)行stub區(qū)域的配置R5#conftR5(config)#routerospf5R5(config-router)#area5stubR5(config-router)#end將財(cái)務(wù)部設(shè)置成stub區(qū)域7.配置虛鏈路R3(config)#routerospf1R3(config-router)#area1virtual-linkR3(config-router)#exit在r3上配置虛鏈路：R5(config)#routerospf1R5(config-router)#area1virtual-linkR5(config-router)#end4.3配置路由安全策略配置理由：網(wǎng)絡(luò)管理不可能長時間的接觸到路由器設(shè)備，而作為核心層的路由器，必須有較高的安全性。1.配置console口的密碼r(config)#linecon0r(config-line)#loginlocal2.配置aux口的密碼(用來貓，電信網(wǎng)的)r(config)#lineaux0r(config-line)#loginlocal3.配置遠(yuǎn)程登錄的密碼r(config)#linevty04r(config-line)#passccier(config-line)#login4.防止查看R的診斷信息r(config)#noservicetcp-small-servers5.防止查看路由器當(dāng)前用戶列表r(config)#noservicefinger6.關(guān)閉cdp（ciscodiscoveryprotocl）服務(wù)r(config)#nocdprunning7.配置路由器僅允許源網(wǎng)段的IP數(shù)據(jù)包經(jīng)過路由器R(config)#access-list1permit55R(config-if)#ipaccess-group1in（在各個端口上都進(jìn)行該配置）8.在路由器上配置同步時間NTP（1）在r1上配置：Router(config)#noipdomain-loRouter(config)#linec0Router(config-line)#exec-t1010Router(config-line)#loggsRouter(config-line)#endRouter(config)#ints1/1Router(config-if)#ipaddRouter(config-if)#noshuRouter(config)#hosntpserver（2）各個相鄰的路由器上配置Router(config)#noipdomain-loRouter(config)#linec0Router(config-line)#exec-t1010Router(config-line)#loggsRouter(config-line)#endRouter(config)#ints1/1Router(config-if)#ipaddRouter(config-if)#noshuRouter(config)#ntpclientntpclient(config)#ntpserverntpclient(config)#end4.4AAA服務(wù)器的配置配置理由：aaa服務(wù)器將能夠，配上ssh使用，將任何嘗試訪問路由器和交換機(jī)的記錄都進(jìn)行認(rèn)證和審核1.ACS的安裝和配置前提：必須要有ACS文件和一個小的java文件2.在安裝的過程中，按照安裝的向?qū)нM(jìn)行，一步一步的設(shè)置3.安裝完成之后，在桌面上出現(xiàn)ACSAdmin的圖標(biāo)快捷方式4.雙擊快捷方式，并在IE瀏覽器中，更改“安全設(shè)置”，將其改為安全級別為中，不然在IE瀏覽器中，將無法打開ACS的服務(wù)器。點(diǎn)擊確定。5.添加用戶名為wolf和密碼為wolf（點(diǎn)擊Submit）6.添加AAAclient，如下圖所示：7查看，配置信息，是否如下所示：8.在路由器上啟用AAA服務(wù)器9測試配置（配置成功）4.5在路由器上配置SSH服務(wù)器和AAA的認(rèn)證（配置原因：為了方便在后期的網(wǎng)絡(luò)維護(hù)和管理，網(wǎng)絡(luò)管理員將要遠(yuǎn)程控制設(shè)備，而一般的TELNET的遠(yuǎn)程登錄為明文顯示用戶名密碼，所以安全措施使用SSH遠(yuǎn)程登錄設(shè)備，并且配上AAA的認(rèn)證措施。）Router(config)#noipdomain-loRouter(config)#noipdomain-lookupRouter(config)#lineconsole0Router(config-line)#exec-t1010Router(config-line)#loggsRouter(config)#endRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#*Mar100:06:55.895:%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleRouter(config)#Router(config)#Router(config)#1.定義主機(jī)名Router(config)#hossshrouter2.創(chuàng)建一個的域sshrouter(config)#ipdomainname3.為ssh定義密鑰的長度為1024sshrouter(config)#cryptokeygeneratersaThenameforthekeyswillbe:Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutesHowmanybitsinthemodulus[512]:1024%Generating1024bitRSAkeys,keyswillbenon-exportable...[OK]4.啟用AAA服務(wù)，設(shè)置在本地服務(wù)器上進(jìn)行認(rèn)證sshrouter(config)#sshrouter(config)#aaanewsshrouter(config)#aaanew-model5.配置一個用戶名和密碼sshrouter(config)#usernameroutpassroutpasswordprivilege156設(shè)置ssh的時間為120秒sshrouter(config)#ipsshtisshrouter(config)#ipsshtime-out1207.設(shè)置ssh認(rèn)證重復(fù)次數(shù)為4，可以在0-5之間選擇sshrouter(config)#ipsshausshrouter(config)#ipsshauthentication-retries48.進(jìn)入vty模式，并設(shè)置vty的登錄模式為ssh，默認(rèn)情況為all即允許所有登錄sshrouter(config)#linevty04sshrouter(config-line)#transportinputssh9.在clientPC客戶端中，遠(yuǎn)程連接router

4.6配置三層交換機(jī)上的DHCP中繼配置理由：在網(wǎng)絡(luò)中架構(gòu)2臺DHCP服務(wù)器，但是DHCP的廣播報(bào)文不能穿越路由器，所以，必須在三層交換機(jī)上配置DHCP中繼器。1.在三層交換機(jī)上配置命令ipdhcp-serverinterfaceVlan11ipaddress292iphelper-addressDHCPServerIPinterfaceVlan12ipaddress2692iphelper-addressDHCPServerIPinterfaceVlan13ipaddress9092iphelper-addressDHCPServerIP2.在dhcp服務(wù)器上設(shè)置網(wǎng)絡(luò)地址分別為/26，4/26和28/26的作用域區(qū)域VlanVlan接口IP在DHCP服務(wù)器上配置的作用域Area1Vlan112/26Vlan12264/26Vlan139028/26Area2Vlan212/26Vlan22264/26Vlan239028/26Area3Vlan312/26Vlan32264/26Vlan339028/26Area4Vlan412/26Vlan42264/26Vlan439028/26Area5Vlan512/26Vlan52264/26Vlan539028/264.7三層交換機(jī)上配置vlan和vtp1.配置與交換機(jī)0和1的trunk。Switch>enableSwitch#configtSwitch(config)#hostnamecorecore(config)#interfacegigabitethernet0/1core(config-if)#switchportmodetrunkcore(config-if)#exitcore(config)#interfacegigabitethernet0/2core(config-if)#switchportmodetrunkcore(config-if)#exit2.配置vtp，以及在server上建立vlan。。。core(config)#vtpdocore(config)#vtpdomaintimothyChangingVTPdomainnamefromNULLtotimothycore(config)#vtpmodeserverDevicemodealreadyVTPSERVER.core(config)#vlan11core(config-vlan)#vlan12core(config-vlan)#vlan12core(config-vlan)#exit3.設(shè)置vlan網(wǎng)關(guān)。。。core(config)#interfacevlan11core(config-if)#ipaddress29core(config-if)#noshutcore(config-if)#exitcore(config)#interfacevlan12core(config-if)#ipaddress49core(config-if)#noshutcore(config-if)#exitcore(config)#interfacevlan13core(config-if)#ipaddress2829core(config-if)#noshutcore(config-if)#exit4.保存。把running-config寫入nvram成為startup-configcore(config)#exitcore#copyrunstartDestinationfilename[startup-config]?Buildingconfiguration...[OK]core#4.8二層交換機(jī)0的配置：1.配置與core的trunk。。Switch>enableSwitch#configtSwitch(config)#hostnameswitch0switch0(config)#interfacefastethernet0/24switch0(config-if)#switchportmodetrunkswitch0(config-if)#exit2.配置vtp，。。。switch0(config)#vtpdomaintimothyDomainnamealreadysettotimothy.switch0(config)#vtpmodeclient3.把端口加入vlan，。。。switch0(config)#interfacefastethernet0/1switch0(config-if)#switchportaccessvlan11switch0(config-if)#exitswitch0(config)#interfacefastethernet0/2switch0(config-if)#switchportaccessvlan12switch0(config-if)#exitswitch0(config)#interfacefastethernet0/3switch0(config-if)#switchportaccessvlan13switch0(config-if)#exit4.保存?。。witch0(config)#exit%SYS-5-CONFIG_I:Configuredfromconsolebyconsoleswitch0#copyrunstartDestinationfilename[startup-config]?Buildingconfiguration...[OK]switch0#4.9二層交換機(jī)1上的配置：1.配置與core的trunk。。。Switch>enableSwitch#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostnameswitch1switch1(config)#interfacefastethernet0/24switch1(config-if)#switchportmodetrunkswitch1(config-if)#exit2.配置vtp，。。。switch1(config)#vtpdomaintimothyDomainnamealreadysettotimothy.switch1(config)#vtpmodeclientSettingdevicetoVTPCLIENTmode.3.把端口加入vlan。。switch1(config)#interfacefastethernet0/1switch1(config-if)#switchportaccessvlan11switch1(config-if)#exitswitch1(config)#interfacefastethernet0/2switch1(config-if)#switchportaccessvlan12switch1(config-if)#exitswitch1(config)#interfacefastethernet0/3switch1(config-if)#switchportaccessvlan13switch1(config-if)#exit4.保存?。?！switch1(config)#exitswitch1#copyrunstartDestinationfilename[startup-config]?Buildingconfiguration...[OK]4.10配置二層的安全配置理由：二層輸入ISO網(wǎng)絡(luò)參考模型中的最不安全的兩層中的一個，對其的安全策略設(shè)置，至關(guān)重要（1）STP防御技術(shù)switch(config)#intf0/1switch(config-if)#spanning-freeguardrootswitch(config-if)#spanning-freebpduguardenableswitch(config-if)#spanning-freebpdufilterenable（2）DHCPsnooping的防御a.switch（config）#dhcpsnoopingb.switch（config）#ipdhcpsnoopingvlan11-200c.switch（config）#intf0/1d．switch（config-if）#ipdhcpsnoopinglimitrate100（3）DAI的配置switch（config)#iparpinspectionvlan100(在vlan100上啟用DAI)switch（config)#intf0/16switch（config-if)#iparpinspectiontrust（4）配置storm-control風(fēng)暴控制switch（config-if)#strom-controlbroadcastlevel87switch（config-if)#strom-controlmulticsatlevelpps2kswitch（config-if)#strom-controlactionshutdownswitch（config-if)#strom-controlsctiontrapl4.11服務(wù)器的配置（ftp，dhcp，web）A．FTP服務(wù)器配置理由：ftp服務(wù)器，為每個部門的資源進(jìn)行共享，方便。保證FTP服務(wù)器是靜態(tài)IP地址。在“開始”“控制面板”中選擇“添加或刪除程序”選項(xiàng)。首先勾上應(yīng)用程序服務(wù)器，然后點(diǎn)擊詳細(xì)信息進(jìn)入。然后選中Internet信息服務(wù)（IIS），點(diǎn)擊詳細(xì)信息進(jìn)入。最后勾上文件傳輸協(xié)議（FTP）服務(wù)，確定。一直確定，安裝好ftp服務(wù)首先在C盤里創(chuàng)建FTP文件夾相關(guān)數(shù)據(jù)。C盤創(chuàng)建FTP主文件夾，F(xiàn)TP下創(chuàng)建localuser子文件夾，localuser下創(chuàng)建public和educationdepartment、financedepartment、ITdepartment、networkdepartment、personneldepartment等6個文件夾。找到Internet信息服務(wù)（IIS）管理器。右鍵FTP站點(diǎn)，新建，F(xiàn)TP站點(diǎn)。描述ftp站點(diǎn)為設(shè)置ip地址和端口，ip地址為，端口默認(rèn)為21.選擇AD域隔離用戶選擇FTP站點(diǎn)主目錄路徑。這里要注意選擇的文件夾是FTP而不是localuser。完成配置隔離用戶，依次設(shè)置用戶名和密碼，（用戶名依次為educationdepartment、financedepartment、ITdepartment、networkdepartment、personneldepartment，密碼均為：123456）B．DHCP服務(wù)器第一步：創(chuàng)建DHCP:1.網(wǎng)卡定義IP地址，DNS服務(wù)器首選DNSIP指向本機(jī)。2.添加WINDOWS組件，選擇網(wǎng)絡(luò)服務(wù)下DHCP服務(wù)第二步：配置DHCP:1.打開開始菜單--管理工具DHCP2.點(diǎn)擊下一步，出現(xiàn)下圖所示：輸入IP地址范圍3.點(diǎn)擊下一步，出現(xiàn)下圖，跳過排除4.點(diǎn)擊下一步，設(shè)置，默認(rèn)租約期限為8天5.點(diǎn)擊下一步，出現(xiàn)下圖，選擇默認(rèn)，是，我想現(xiàn)在配置這些選項(xiàng)6.點(diǎn)擊下一步，配置默認(rèn)網(wǎng)關(guān)。IP：7.點(diǎn)擊下一步，輸入IP：9.點(diǎn)擊下一步，選擇默認(rèn)，是，我想現(xiàn)在激活此作用域10.配置完成C.配置WEB服務(wù)器安裝IIS服務(wù)：1、保證Web服務(wù)器是靜態(tài)IP地址。在“開始”“控制面板”中選擇“添加或刪除程序”選項(xiàng)。2、在“添加或刪除程序”窗口中，單擊“添加/刪除Windows組件”選項(xiàng)。3、彈出“Windows組件”對話框，選擇“應(yīng)用程序服務(wù)器”選項(xiàng)，單擊“詳細(xì)信息...”按鈕。4、彈出“網(wǎng)絡(luò)服務(wù)”對話框，選擇“Internet信息服務(wù)（IIS）”選項(xiàng)，單擊“詳細(xì)信息…”按鈕。5、在“Internet信息服務(wù)管理器”對話框中，選擇“確定”按鈕。配置組建D．配置Web服務(wù)（設(shè)置默認(rèn)網(wǎng)站）：1、在“開始”“管理工具”中可以查看到安裝完成的“Internet信息服務(wù)管理器”選項(xiàng)。2、打開“Internet信息服務(wù)管理器”工具，在“Internet信息服務(wù)（IIS）管理器”窗口中，點(diǎn)擊“網(wǎng)站”選項(xiàng)，在“默認(rèn)網(wǎng)站”中看到系統(tǒng)的默認(rèn)網(wǎng)頁文件（iisstart.htm）。3、右擊“默認(rèn)網(wǎng)站”選擇“瀏覽...”選項(xiàng)，在右框中顯示系統(tǒng)默認(rèn)網(wǎng)頁（顯示“建設(shè)中”）。4、右擊“默認(rèn)網(wǎng)站”“屬性”選項(xiàng)，彈出“屬性”對話框。在“主目錄”標(biāo)簽中顯示，默認(rèn)網(wǎng)頁所在的文件夾是“C:\Inetpub\wwwroot”。5、到該目錄中查看，其中名為“iisstart.htm”的文件就是顯示“建設(shè)中”的網(wǎng)頁。創(chuàng)建Web站點(diǎn)：1、停止“默認(rèn)網(wǎng)站”，在“IIS管理器”窗口中，右擊“默認(rèn)網(wǎng)站”選擇“停止”選項(xiàng)。2、在磁盤上創(chuàng)建Web站點(diǎn)的文件夾（E:\WebSite-1）。3、在“IIS管理器”窗口中，右擊“網(wǎng)站”“新建”“網(wǎng)站...”選項(xiàng)4、按照“網(wǎng)站創(chuàng)建向?qū)А碧崾静僮?，輸入關(guān)于網(wǎng)站描述信息，單擊“下一步”按鈕。5、按照“網(wǎng)站創(chuàng)建向?qū)А碧崾静僮?，輸入IP地址、TCP80端口設(shè)置（保持默認(rèn)），單擊“下一步”按鈕。6、輸入網(wǎng)站主目錄路徑（E:\WebSite-1），單擊“下一步”按鈕。7、設(shè)置網(wǎng)站訪問權(quán)限（保持默認(rèn)），單擊“下一步”按鈕。8、完成新網(wǎng)站設(shè)置，返回“IIS管理器”窗口查看到新網(wǎng)站。4.12.網(wǎng)管軟件系統(tǒng)安裝方法4.12.1.系統(tǒng)需求：硬件：PIII800以上處理器，CD-ROM，512M內(nèi)存，4GB磁盤空間軟件：Windows2000/WindowsNT(非域控制器)，InternetExplorer64.12.2.安裝操作系統(tǒng)Windows2000Server/Professional或WindowsNT中(英)文版4.12.3.檢查操作系統(tǒng)補(bǔ)丁(Windows2000SP2/WindowsNTSP6a)是否已安裝好4.12.4.檢查網(wǎng)卡等驅(qū)動程序是否已安裝好，檢查到網(wǎng)絡(luò)設(shè)備管理地址的連通性。網(wǎng)管工作站的主機(jī)名和IP地址一旦確定，在網(wǎng)管系統(tǒng)安裝后不要進(jìn)行更改，因其涉及的設(shè)置項(xiàng)目很多，請一定要注意。4.12.5.安裝并設(shè)置InternetExplorer5.0（推薦更高版本如6.0）:a)選擇IE菜單“工具”-“Internet選項(xiàng)”-“高級”選中MicrosoftVM中的“啟用Java控制臺(需要重啟動)”b)選擇“常規(guī)”-“設(shè)置”檢查“使用的磁盤空間”是否大于6M，如果不是，設(shè)置為大于6M。同時將“檢查所存網(wǎng)頁的較新版本”設(shè)為“每次訪問此頁時檢查”并確定c)檢查“安全”-“自定義級別”確?！霸试S使用存儲在您計(jì)算機(jī)上的Cookies”及“允許使用每個對話cookie(未存儲)”為“啟用”d)選擇“常規(guī)”-“字體”并設(shè)置“Web頁字體”為“MicrosoftSansSerif”。4.12.6.檢查網(wǎng)絡(luò)運(yùn)行情況：在進(jìn)行網(wǎng)管系統(tǒng)安裝之前，應(yīng)檢查網(wǎng)絡(luò)的運(yùn)行情況，保證需要進(jìn)行管理的設(shè)備是可到達(dá)的，并設(shè)置了正確的SNMP密碼字(出于安全考慮，不要使用默認(rèn)的“public”和“private”)。35xx交換機(jī)及MSFC：configtermsnmpcommunityreadstrsnmpcommunitywritestrrw6509、4006交換引擎：setsnmpcommunityread-onlyreadstrsetsnmpcommunityread-writewritestrsetsnmpcommunityread-write-allwritestr4.12.7.安裝CDONE：插入CDONE光盤，自動彈出安裝畫面，按下“Install”按鈕開始安裝,按照引導(dǎo)“Next”。a)選擇安裝方法（典型安裝或自定義安裝）：由于C盤空間不足，需將系統(tǒng)安裝到D盤，故需選擇Custom(自定義)安裝方法。b)選擇安裝目錄:我們將系統(tǒng)安裝到D:\cw目錄下。c)選擇要安裝的組件：CiscoView,NMSIntegrationUtilityandCMF(CommonManagementFoundation)d)安裝過程中選擇“Next”或“Ok”，如果系統(tǒng)提示時“DNS”太慢的警告，忽略。選擇“Later”再安裝第三方集成軟件，最后重新啟動系統(tǒng)完成安裝。4.12.8.安裝JavaRuntimeEnvironment(Java運(yùn)行環(huán)境)j2re-1_3_1-win.exe(5.11M);以上程序在D:\cw.ins\下有備份重新啟動系統(tǒng)。在后面的操作中如果系統(tǒng)提示需安裝JRE2運(yùn)行環(huán)境，請同意進(jìn)行安裝，并在安裝完成后重新啟動系統(tǒng)。在系統(tǒng)使用過程中可能會碰到“Java插件安全警告：證書已經(jīng)過期”，對系統(tǒng)運(yùn)行無不良影響，請選擇忽略警告繼續(xù)進(jìn)行。4.12.9.更改系統(tǒng)管理員密碼：打開瀏覽器，輸入網(wǎng)管系統(tǒng)網(wǎng)址：:1741，使用用戶名admin，密碼admin登錄網(wǎng)管系統(tǒng)。如果此時出現(xiàn)java運(yùn)行時刻錯，請刷新窗口即可。選擇菜單“Serverconfiguration”-“Setup”–“Security”–“ModifyMyProfile”，在“LocalPassword”及“ConfirmPassword”中輸入新的管理員密碼并點(diǎn)擊“Modify”按鈕。點(diǎn)擊LOGOUT按鈕退出網(wǎng)管系統(tǒng)，關(guān)閉瀏覽器。重新啟動系統(tǒng)。4.12.10.設(shè)置CiscoView：打開瀏覽器，輸入網(wǎng)管系統(tǒng)網(wǎng)址：:1741，使用用戶名admin，密碼admin登錄網(wǎng)管系統(tǒng)。選擇菜單“DeviceManager”-“CiscoView”,在新彈出的窗口中選擇“Preferences”，輸入默認(rèn)的SNMP密碼(DefaultReadCommunity及DefaultWriteCommunity)，按“Ok”保存。在SelectDevice中輸入設(shè)備地址測試設(shè)置是否正確：如輸入6509管理地址為53，提示“CommunityString”時按下“確定”（如果6509包換交換引擎、主MSFC及備份MSFC三個邏輯設(shè)備，該過程會重復(fù)三次）。稍等之后，可以看到6509管理面板的顯示。設(shè)置完成，點(diǎn)擊LOGOUT按鈕退出網(wǎng)管系統(tǒng)，關(guān)閉所有窗口。4.12.11.安裝ResourceManagerEssential3.3插入RME光盤，自動彈出安裝畫面，按下“Install”按鈕開始安裝,按照引導(dǎo)“Next”，選擇使用典型安裝(Typicalinstallation)一步一步完成安裝。4.12.12.安裝CampusManager3.1插入CM光盤，自動彈出安裝畫面，按下“Install”按鈕開始安裝,按照引導(dǎo)“Next”，選擇使用典型安裝(Typicalinstallation)一步一步完成安裝。4.12.13.設(shè)置CampusManager3.1登錄網(wǎng)管系統(tǒng)。選擇菜單“ServerConfiguration”-“Setup”-“ANIServerAdmin”-“SNMPSettings”，對照說明將腳本中的Read及WriteCommunityString更改為本網(wǎng)中使用的值。選擇菜單“ServerConfiguration”-“Setup”-“ANIServerAdmin”-“DiscoverySettings”，在“SeedDevice”列表中輸入種子設(shè)備(用作網(wǎng)絡(luò)發(fā)現(xiàn)的起點(diǎn))的IP地址，建議輸入多個地址（格子不夠點(diǎn)右鍵選“Add”），如:53(6509_A)、51(6509_B)、47(4006_A)、45(4006_B)、36(4006_C)、34(4006_D)。去掉“UseReverseDNSLookup”的選擇。選擇“FilterUsingIPAddress”并在“IPAddressRanges”中輸入10.1.[192-207].*,以限制搜索范圍，加快搜索過程。點(diǎn)擊“Apply”按鈕后系統(tǒng)提問是否要馬上進(jìn)行一次搜索，回答“是”。稍后選擇菜單“ServerConfiguration”-“Setup”-“Diagnostics”-“DiscoveryMetrics”，可以檢查系統(tǒng)是否搜索到了所有要管理的設(shè)備，確保以上設(shè)置正確完成。4.12.14.檢查CampusManager運(yùn)行情況登錄網(wǎng)管系統(tǒng)。選擇菜單“CampusManager”-“TopologyService”，在彈出的“TopologyServices”窗口中選擇“NetworkViews”-“Layer2View”，鼠標(biāo)右鍵點(diǎn)擊“Layer2View”，在相關(guān)菜單中選擇“DisplayView”應(yīng)能看到網(wǎng)絡(luò)的拓?fù)鋱D。可以選擇菜單“View”-“DisplayLabels”，用“DisplayIP”顯示設(shè)備管理地址，或用“ShowSysname”顯示設(shè)備名稱，取消顯示用“ClearLabels”?？梢赃x擇“ManagedDomains”-“VTPDomain”-“vtpdomain”正好論壇有問必答斑竹全部由DoubleCCIE主持。在線解答網(wǎng)友提問正好論壇有問必答斑竹全部由DoubleCCIE主持。在線解答網(wǎng)友提問(本網(wǎng)VTP域名)來顯示域內(nèi)所有交換機(jī)口的情況，包含所屬VLAN、是否激活等。4.12.15.設(shè)置設(shè)備同步：本步驟將CampusManager搜索到的設(shè)備信息傳遞給ResourceManagerEssential。首先，為此任務(wù)增加一個用戶：登錄網(wǎng)管系統(tǒng)，用菜單“ServerConfiguration”-“Security”-“Addusers”，新建一個名稱為dev_sync的用戶，密碼為ccds5678，設(shè)置其權(quán)限為：“NetworkAdministrator”、“SystemAdministrator”，點(diǎn)擊“Add”添加。選擇菜單“ServerConfiguration”-“Setup”-“DeviceSynchronization”，輸入Hostname：CW(本機(jī)名稱),端口：1741，用戶名:dev_sync，密碼：syncpsw；選中：“SenddevicecredentialstoEssentials”、“SenddevicestoEssentials”及“SynchronizetoEssentialsincrementally”，然后點(diǎn)擊“RUN”立即運(yùn)行一次，點(diǎn)擊“Apply”保存設(shè)置。4.12.16.設(shè)置ResourceManagerEssentials監(jiān)控的設(shè)備集(View)：選擇菜單“ResourceManagerEssentials”-“Administration”-“Availability”-“ChangePollingOptions”，從左邊的“AllView”中選取“All”，點(diǎn)擊“Add”按鈕添加到“PolledViews”中，點(diǎn)擊“Next”按鈕繼續(xù)，再點(diǎn)擊“Finish”按鈕完成。4.12.17.輸入設(shè)備密碼：選擇“ResourceManagerEssentials”-“Administration”-“Inventory”-“ChangeDeviceAttributes”，選擇所有密碼相同的設(shè)備，“Next”，選中“TelnetLoginModeUserNameandPassword”及“TelnetEnableModeUserNameandPassword”，“Next”，輸入TelnetPassword,并在后面Verify框中重輸一遍。“Finnish”,下一個畫面輸入EnableSecretPassword(注意不是EnablePassword),并在后面Verify框中重輸一遍?？梢杂帽静藛沃械摹癈heckDeviceAttributes”功能檢查設(shè)備的密碼等管理數(shù)據(jù)是否有效。4.12.18.設(shè)置網(wǎng)絡(luò)設(shè)備，啟用Syslog：35xx交換機(jī)及MSFC：configtermloggingonlogging(注意保存配置)6509、4006交換引擎：setloggingserverenablesetloggingserver檢查Syslog收集情況：選擇菜單“ResourceManagerEssentials”正好論壇有問必答斑竹全部由DoubleCCIE主持。在線解答網(wǎng)友提問正好論壇有問必答斑竹全部由DoubleCCIE主持。在線解答網(wǎng)友提問-“SyslogAnalysis”-“SuavityLevelSummary”，從左邊的“Views”列表中選擇All，然后在右上的“Devices”列表中選擇要查看的設(shè)表（可用Shift鍵多選）并點(diǎn)擊“Add”添加到“SelectedDevices”中，然后點(diǎn)擊“Next”繼續(xù)。在下一個畫面中選擇要查看的日志(Log)的日期，點(diǎn)擊“Finish”查看。輸入的畫面將按Log信息的級別分類列出這些信息，點(diǎn)擊相應(yīng)的鏈接可以查看詳細(xì)的Log信息。注意Syslog啟用之后，如果網(wǎng)管工作站關(guān)閉，被管理設(shè)備的Log信息無法傳到網(wǎng)管系統(tǒng)上，它將不斷地進(jìn)行重傳，影響網(wǎng)絡(luò)運(yùn)行。所以，請務(wù)必采取措施(如專機(jī)專用，不安裝任何其它程序，定期查毒等)以保證網(wǎng)管工作站運(yùn)行安全。Ciscoworks系統(tǒng)處理Syslog信息速度較慢，您可能需要等待數(shù)個小時之后才能看到整理好的Syslog信息報(bào)告。4.12.19.檢查ResourceManagerEssentials的可能性(Availability)監(jiān)控狀態(tài)選擇菜單“ResourceManagerEssentials”-“Availability”-“ReachabilityDashboard”，查看設(shè)備最近一次檢查的情況，或選擇“AvailabilityMonitor”檢查設(shè)備可用性統(tǒng)計(jì)、反應(yīng)時間，端口狀態(tài)等。(注意：各種統(tǒng)計(jì)報(bào)表需要30-120分鐘才能生成，如果尚無信息輸入，請耐心等待，隨后再試。)4.12.20.安裝ContentFlowMonitor插入CFM光盤，自動彈出安裝畫面，按下“Install”按鈕開始安裝,按照引導(dǎo)“Next”，選擇使用典型安裝(Typicalinstallation)一步一步完成安裝，按要求重新啟動系統(tǒng)。4.12.21.安裝DeviceFaultManager1.1插入DFM光盤，自動彈出安裝畫面，按下“Install”按鈕開始安裝,按照引導(dǎo)“Next”，選擇使用典型安裝(Typicalinstallation)一步一步完成安裝，按要求重新啟動系統(tǒng)。設(shè)置設(shè)備發(fā)送TRAP。35xx交換機(jī)及MSFC：configtermsnmpenabletrapssnmphosttrapver2cwritestr6509交換引擎：setsnmptrapenableallsetsnmptrapwritestr4.12.22.設(shè)置DFM將TRAP轉(zhuǎn)發(fā)給RealTimeMonitor，為安裝RTM做準(zhǔn)備：選擇菜單“DeviceFaultManager”-“TrapConfiguration”-“TrapForwarding”，在“AddRecipient”中輸入主機(jī)名：CW，輸入端口口為：395，按“OK”按鈕確認(rèn)保存。注銷網(wǎng)管系統(tǒng)，關(guān)閉所有窗口。正好論壇有問必答斑竹全部由DoubleCCIE主持。在線解答網(wǎng)友提問正好論壇有問必答斑竹全部由DoubleCCIE主持。在線解答網(wǎng)友提問4.12.23.為安裝RealTimeMonitor建立帳號：在系統(tǒng)中新建一個安全用戶，名稱為rtm,密碼:password1,設(shè)定“用戶不可更改密碼”、“密碼永不過期”。在“控制面板”-“管理工具”中選擇“本地安全策略”，打開后在“本地策略”-“用戶權(quán)限賦予”中為這個新用戶增加Logonasabatchjob、Logonasaservice和LogonLocally三個權(quán)限。方法是點(diǎn)擊相應(yīng)的權(quán)限，并用Add添加該用戶。4.12.24.安裝RealTimeMonitor1.2a)安裝Real-TimeMonitor插入Real-TimeMonitor光盤，自動彈出安裝畫面，按照引導(dǎo)“Next”，同意“用戶協(xié)議”，選擇安裝目錄為d:\cw\rtm，，查看安裝參數(shù)：主機(jī)名：CWIP地址：WEBServerPort：9000(非默認(rèn)，為避免與其它沖突)DatabaseServerPort：2639輸入管理員用戶名和帳號，默認(rèn)為Administrator,設(shè)置密碼為：password1。下一步輸入數(shù)據(jù)庫密碼，此處預(yù)設(shè)為“password1”。下一步設(shè)置Owner(產(chǎn)權(quán)所有人)帳號，輸入步驟22中建立的安全用戶名稱和密碼(分別為rtm,password1)?？截愇募笙到y(tǒng)會請求添加注冊表數(shù)據(jù)，選YES同意。安裝程序還會打開一個DOS窗口，多次請求進(jìn)行初始化操作，用Y回答,完成安裝。b)安裝Real-TimeMonitorPacketDecodeEngine插入Real-TimeMonitorPacketDecodeEngine光盤，自動彈出安裝畫面，按照引導(dǎo)“Next”，同意“用戶協(xié)議”，選擇安裝目錄為d:\cw\rtm，完成安裝。c)安裝Real-TimeMonitorThirdPartyApplications根據(jù)需要可以安裝Real-TimeMonitorThirdPartyApplications上附帶的AcrobatReader、Netscape等第三方應(yīng)用程序。d)更改RTM偵聽的TRAP端口：編輯腳本：d:\cw\rtm\bin\perties，將tlist=162,395改為：tlist=395。e)Real-TimeMonitor的啟動及退出從開始菜單-“程序”中找到“NescoutnGeniusServer”組，點(diǎn)擊“StartnGeniusServer”可以啟動服務(wù)器程序，點(diǎn)擊“Stop正好論壇有問必答斑竹全部由DoubleCCIE主持。在線解答網(wǎng)友提問正好論壇有問必答斑竹全部由DoubleCCIE主持。在線解答網(wǎng)友提問nGeniusServer”可以停止服務(wù)器程序。運(yùn)行IE6，輸入地址：:9000開始使用Real-TimeMonitor的管理界面。CiscoWorks安裝至此全部完成。4.12.25.重要參數(shù)表:網(wǎng)管工作站主機(jī)名:Netmanager網(wǎng)管工作站IP地址:網(wǎng)管系統(tǒng)端口[默認(rèn)1741]:1741網(wǎng)管系統(tǒng)管理人員及密碼:admin,password1設(shè)備同步用戶名及密碼:dev_sync,syncpsw只讀SNMP密碼字（團(tuán)體名）[默認(rèn)public]:readstr讀寫SNMP密碼字（團(tuán)體名）[默認(rèn)private]:writestrTelnet密碼:telpswEnableSecret:password1RTM安全帳戶:rtmRTM數(shù)據(jù)庫密碼:password1RTM用戶名及密碼:Administrator,password1RTM系統(tǒng)端口[8080]:9000種子設(shè)備地址:53(6509_A)、51(6509_B)、47(4006_A)、45(4006_B)、36(4006_C)、34(4006_D)搜索范圍:10.1.[192-207].*(IP地址范圍)VTP域名:vtpdomain4.12.26登錄與注銷打開瀏覽器，輸入網(wǎng)管系統(tǒng)網(wǎng)址：:1741，輸入正確的用戶名和密碼（默認(rèn)用戶名為：admin，密碼admin），點(diǎn)擊“Connect”按鈕，登錄網(wǎng)管系統(tǒng)。在完成全部管理操作之后，應(yīng)從系統(tǒng)中正確注銷。方法為：用鼠標(biāo)點(diǎn)擊網(wǎng)管畫面左上角的“LOGOUT”按鈕即可。4.12.27選擇并執(zhí)行一項(xiàng)任務(wù)網(wǎng)管界面的左邊是一個可擴(kuò)展式的菜單，點(diǎn)擊其中的一項(xiàng)即可執(zhí)行一項(xiàng)任務(wù)，如點(diǎn)擊“HELP”，系統(tǒng)將打開一個新的瀏覽器窗口顯示幫助信息；點(diǎn)擊“HOME”，則顯示兩個文件夾“AdditionalResources”和“MyShortcuts”，點(diǎn)擊打開“AdditionalResources”，可以看到“CiscoHomePage(CCO)”及“EnterpriseNetworkManagement”、“Documentation”等鏈接，點(diǎn)擊之即可執(zhí)行相應(yīng)的任務(wù)（在這里是跳轉(zhuǎn)到相應(yīng)的資料網(wǎng)頁）。4.12.28選擇操作對象某些網(wǎng)管操作需指定該操作所影響的對象，如一臺或多臺設(shè)備。下圖顯示了選擇操作對象的對話框：窗口上方是一個Devices文本框，可以直接在其中直接輸入以逗號分隔的設(shè)備名稱列表作為操作的對象。左方是設(shè)備視圖(View)列表，一個視圖是一個或多個設(shè)備的集合，“AllDevices”包含所有設(shè)備，“PreviousSelection”視圖包含了上一操作選擇的設(shè)備的集合，您也可以自定義視圖，如將同一類或同一地理位置的設(shè)備編入一個視圖。右上方的“Devices”列表框中列出了該視圖中所包含的設(shè)備的列表，您可以從中選擇一臺或多臺(使用Ctrl/Shift鍵)設(shè)備，然后點(diǎn)擊“ADD”按鈕將之加入“已選中設(shè)備”(SelectedDevices)列表中。在“已選中設(shè)備”列表中選擇一臺或多臺設(shè)備并按下“Delete”按鈕可以取消選擇。Cisco上配置服務(wù)器設(shè)置(ServerConfiguration)本菜單中包含“Set