毕业技能综合实训任务书.docx
《毕业技能综合实训任务书.docx》由会员分享,可在线阅读,更多相关《毕业技能综合实训任务书.docx(50页珍藏版)》请在冰点文库上搜索。
毕业技能综合实训任务书
毕业技能综合实训任务书
1、实训项目简介:
司是一家拥有500名员工的新型IT企业,公司有近500台运行windows2008/2003/xp的计算机。
公司总部位于,并分别在余、慈溪设有分公司。
总部设有财务、研发、生产和销售4个部门,每个分公司则由销售、生产和财务3个部门组成,由总部统一管理。
DHY公司的组织架构如图如下:
公司所从事的业务对网络系统有极大的依赖性,部办公等都需要网络支持。
公司建设初期已经实施了简单的网络系统,但随着公司规模的不断扩大和业务的不断扩展,员工数量的不断增多和信息应用系统的不断增加,现有的网络系统逐渐不能满足企业信息化建设的要求,因此计划对总公司的局域网络和总公司与分公司之间互联网络进行重新规划设计,以提高网络的可用性、安全性和可靠性,并保留一定的可扩展性,在DHY公司实现一个完善、高效、高可用性和高可靠性的办公网络,用以满足各项业务发展的需要。
现有网络状况分析:
公司总公司原有的综合布线系统是按照骨干线路全部双线冗余来铺设的,但是由于当时的网络应用单一,对网络的要求太低,所以仅使用了7台ciscocatalyst2950交换机,通过级联方式组成网络,没有考虑网络骨干的冗余性,IP地址采用的是192.168.1.0、24网段的地址,但使用比较混乱。
的VLAN只按照部门进行了划分,采用1台CISCO2621路由器以单臂路由的方式实现VLAN之间的路由。
现在随着总公司规模的扩大、员工数量的增多、信息系统应用的升级,原有的组网方式在网络的性能、可靠性和安全性上已经不能满足要求。
总部的局域网架构如图所示:
总公司已经建设好了专用的中心机房,原来是通过拨号上网,没有申请公司域名,也没有配置网络服务和DHY公司自己的系统,这些都计划在此次一并实施。
总公司原有的综合布线系统在设计实施开始时就考虑到公司未来十年的信息系统要求,各个办公区域和网路机房都已经预留了足够的信息点,骨干链路采用双线冗余,所用线缆带宽也能够满足要求,因此此次网络建设不需要重新布线。
余和慈溪分公司由于人数较少,网络组织跟总公司基本相同,目前可以满足应用要求,因此不需重新建设。
但分公司与总公司的连通没有采取专用线路,仅仅是通过拨号访问因特网,通过个人免费发定期向总公司提交报表文件,速度较慢,工作效率低,安全性也较差。
同时,公司员工通过个人免费与合作伙伴和客户进行业务联系,对公司的整体形象也有一定的影响。
DHY公司的网络整体架构如图所示:
整体上看,DHY公司原有的联网络在可扩展行上也不能满足要求,新加入的设备、主机、服务器等只能见缝插针地连入网络,对网络的可维护性造成了很大的影响。
因此,此次需要对DHY公司的网络进行重新规划设计,在最大限度地利用已有资源的基础上,调整总公司的部网络结构,提高网络的整体性能和安全性、可靠性、可扩展性,调整余、慈溪分公司与总公司的路由连接,提高和总部之间的网络带宽,支持更复杂的网络应用。
2、实训主要任务及要求:
1)、设计网络方案
新规划实施的DHY公司网络将覆盖总公司和慈溪、余两个分公司,根据如下的网络建设需求和设备选型要求,设计出DHY公司的网络构建方案。
(1)网络建设需求如下:
核心交换机,其余作为接入交换机,不过现在用户的计算机连接混乱,核心交换机上不仅有服务器也有最终用户的计算机。
此次重新设计网络,计划将原有的7台CISCOCATALYST2950交换机全部作为接入交换机使用,核心交换机重新购置三层交换机,并采用双核心的全冗余架构,核心交换机上不再连接主机和服务器。
因此应当选用高性能的三层交换机作为此次网络建设的核心交换机。
具体选用的设备型号为Ciscocatalyst3550或3560。
慈溪、余分公司的原有网络也采用CISCO2950交换机,由于分公司员工数量不多且网络应用简单,没有体现出性能不足,所以此次网络建设不对余、慈溪的分公司局域网进行更新。
路由部分总公司已有一台CISCO2621路由器,慈溪、余分公司没有路由器。
在此次网络建设中计划增加2台同型号的路由器,总公司使用1台,慈溪和余分公司各用1台。
同时,也为慈溪、余分公司申请了到总公司的专线,用于实现总公司和分公司的网络连接,以构成DHY的联网。
2)、虚拟平台上实现设备配置
根据公司网络拓扑结构图,使用虚拟平台CiscoPacketTracer和DynamipsGUI搭建公司的网络,并实现交换机、路由器和防火墙的相关配置,并测试成功。
3)、常用网络服务的搭建和管理
(1)打印服务
公司购买了三台同样型号HPDeskJet的打印机,安装这些打印机,并配置打印池。
员工的电脑通过网络连接到这些打印机。
当网络打印比较繁忙,但公司现在有紧急打印任务时,可以通过经理去打印,因为经理有打印优先权。
(2)备份管理
要求对重要服务器进行周期性备份。
(3)DNS服务的配置与管理
DNS服务器要求不仅能够将主机名解析为IP地址,还能由IP地址查询到主机名称。
另外,当所查询的主机名称无法解析时,此DNS服务器可以把该查询转发到公网的DNS服务器(202.96.104.15)。
(4)证书服务
DHY公司建立了自己的,希望事业合作伙伴、供货商、客户等能够安全地通过Internet访问这个,这里的安全包括:
一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认的真实性,防止钓鱼。
(5)WEB服务的搭建配置与管理和安全访问
你是公司的网络管理员,公司需要经常在部发布一些通知和报道公司的一些事件。
现在公司老板希望你实现让其他员工访问公司部的就可以看到这些信息,并且希望有些图片、文档资料或其它的音视频资料能够共享让其他员工下载,请问你如何实现?
为了公司的信息安全,某些敏感页面需要加密访问,如何做到?
(6)FTP服务的搭建配置和管理
公司有部文件需要员工共享,员工需要有自己的空间,互相不能访问,请使用ftp实现这些功能。
(7)VPN服务的搭建配置与管理
公司的销售部经理大山经常出差。
而大山每天都需要访问公司部的网络以访问部网络的资源。
你是公司网络管理员,现在公司要求你既要让销售部经理大山能够在外地访问公司部网络的资源,又要确保访问时公司的部的资料不会泄密,还要使得其它非法用户不能访问你公司网的资源,请问你如何实现?
公司另外搭建有认证服务器,VPN服务器如何使用认证服务器对VPN用户进行验证?
(8)WSUS服务器的搭建、配置与管理
公司有1000多台计算机,软件使用了微软公司的产品,包括操作系统、办公软件等。
为保证软件的及时升级,所有电脑都设置了自动更新功能。
某个星期一的上午,网管员发现网络流量很高,经过检查分析,是微软公司在星期日发布了一个重要安全补丁,星期一员工开启电脑后,所有电脑都在下载补丁自动升级。
过高的网络流量造成网络负载过重,影响了公司的正常工作。
该如何解决这样的问题呢?
(9)终端服务与远程管理
小是网络管理员,某天回家后,接到公司通知,要马上对对公司的服务器更新配置。
但小家距离公司很远,不能及时赶到公司。
这时小想起他可以通过家里的电脑,通过远程桌面管理公司的服务器。
自己设计实验,完成小的任务。
小是网络管理员,小是普通用户,小登陆了终端服务器对服务器进行配置,但遇到了问题,自己无法解决,请求小给予协助。
请设计实验,使用远程控制,模拟小帮助小的过程。
3、毕业技能综合实训提交的成果
1)、实训报告一份,容包括:
(1)实训过程记述,配置代码,主要步骤截图;
(2)阶段考核表
(3)评分总表
(4)实训总结、致等;
2)、实训报告电子文档一份。
二、实训进度安排
阶段
实训时间
实训容
第一阶段
第1、2周
项目方案的设计
第二阶段
第3周
虚拟平台上实现设备的配置
第三阶段
第4、5周
常用网络服务的搭建和管理
第四阶段
第6周
毕业技能综合实训报告撰写和答辩
大红鹰学院信息工程学院
毕业技能综合实训(专科)
实训报告
实训项目:
DHY公司网络构建与服务管理
完成人:
杜昊晟
系别:
网络与通信
专业:
计算机应用技术
班级:
10计应2
指导教师:
庞美玉
毕业技能综合实训报告目录
第1阶段项目方案设计
1.1查找网络设计方案及ACL技术的学习
1.1.1查找网络设计方案
通过网上学习搜索三个设计方案,大致阅读这三个项目方案,了解到规划网络设计需要考虑的因素很多,学习到网络设计方案的方法和步骤,先要确定所要用到的设备,列出设备清单,再合理划分IP地址和VLAN以及其他设备配置。
在设计网络之前我们必须明白设计这个网络的目的是什么。
最后根据书面规划进行实施,达到所预计的目的。
1.1.2ACL技术的学习及准备
访问控制是网络安全防和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。
它是保证网络安全最重要的核心策略之一。
访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
访问控制列表(ACL)是应用在路由器接口的指令列表。
这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。
至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。
作为外网进入企业网的第一道关卡,路由器上的访问控制列表成为保护网安全的有效手段。
信息点间通信和外网络的通信都是企业网络中必不可少的业务需求,但是为了保证网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。
简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
几种访问控制列表的简要总结
1.标准IP访问控制列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。
编号围是从1到99的访问控制列表是标准IP访问控制列表。
2.扩展IP访问控制列表
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。
编号围是从100到199的访问控制列表是扩展IP访问控制列表。
3.命名的IP访问控制列表
所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。
ACL的定义也是基于每一种协议的。
如果路由器接口配置成为支持三种协议(IP、AppleTalk以及IPX)的情况,那么,用户必须定义三种ACL来分别控制这三种协议的数据包。
ACL可以限制网络流量、提高网络性能。
例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。
例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。
ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
例如:
某部门要求只能使用WWW这个功能,就可以通过ACL实现;又例如,为了某部门的性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。
ACL3P原则
记住3P原则,您便记住了在路由器上应用ACL的一般规则。
您可以为每种协议(perprotocol)、每个方向(perdirection)、每个接口(perinterface)配置一个ACL:
每种协议一个ACL要控制接口上的流量,必须为接口上启用的每种协议定义相应的ACL。
每个方向一个ACL一个ACL只能控制接口上一个方向的流量。
要控制入站流量和出站流量,必须分别定义两个ACL。
每个接口一个ACL一个ACL只能控制一个接口(例如快速以太网0/0)上的流量。
ACL的编写可能相当复杂而且极具挑战性。
每个接口上都可以针对多种协议和各个方向进行定义。
示例中的路由器有两个接口配置了IP、AppleTalk和IPX。
该路由器可能需要12个不同的ACL—协议数(3)乘以方向数
(2),再乘以端口数
(2)。
一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。
如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。
如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。
如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。
这里要注意,ACL不能对本路由器产生的数据包进行控制。
目前有两种主要的ACL:
标准ACL和扩展ACL。
其他的还有标准MACACL、以太协议ACL、IPv6ACL等。
标准的ACL使用1-99以及1300-1999之间的数字作为表号,扩展的ACL使用100-199以及2000-2699之间的数字作为表号。
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制围。
例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。
使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。
在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。
随着网络的发展和用户要求的变化,从IOS12.0开始,思科(CISCO)路由器新增加了一种基于时间的访问列表。
通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。
这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间围来更合理有效地控制网络。
首先定义一个时间围,然后在原来的各种访问列表的基础上应用它。
基于时间访问列表的设计中,用time-range命令来指定时间围的名称,然后用absolute命令,或者一个或多个periodic命令来具体定义时间围。
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。
然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方。
假设在的一个运行TCP/IP协议的网络环境中,网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问,即禁止从网络1到网络2的访问。
根据减少不必要通信流量的通行准则,网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处,即RouterA上。
如果网管员使用标准ACL来进行网络流量限制,因为标准ACL只能检查源IP地址,所以实际执行情况为:
凡是检查到源IP地址和网络1匹配的数据包将会被丢掉,即网络1到网络2、网络3和网络4的访问都将被禁止。
由此可见,这个ACL控制方法不能达到网管员的目的。
同理,将ACL放在RouterB和RouterC上也存在同样的问题。
只有将ACL放在连接目标网络的RouterD上(E0接口),网络才能准确实现网管员的目标。
由此可以得出一个结论:
标准ACL要尽量靠近目的端。
网管员如果使用扩展ACL来进行上述控制,则完全可以把ACL放在RouterA上,因为扩展ACL能控制源地址(网络1),也能控制目的地址(网络2),这样从网络1到网络2访问的数据包在RouterA上就被丢弃,不会传到RouterB、RouterC和RouterD上,从而减少不必要的网络流量。
因此,我们可以得出另一个结论:
扩展ACL要尽量靠近源端。
ACL的主要的命令 命令描述access-list定义访问控制列表参数ipaccess-group指派一个访问控制列表到一个接口ipaccess-listextended定义一个扩展访问控制列表Remark注释一个访问控制列表showipaccess-list显示已配置的访问控制列表
配置访问控制列表的步骤:
第一步:
创建访问控制列表:
access-listaccess-list-number{deny|permit}{testconditions}
//access-list-number:
序列号,这个地方也可以写命名的名称;
//deny:
拒绝;
//permit:
允许;
//testconditions:
过滤条件语句
第二步:
应用访问控制列表:
A、首先要进入接口模式;
B、ipaccess-groupaccess-list-number{in|out}
1、标准访问控制列表的格式:
access-list[listnumber|word][permit|deny][sourceaddress][wildcardmask]
//[listnumber|word]列表序列号或者命名
//[permit|deny]允许或者拒绝
//[sourceaddress]源IP地址
//[wildcardmask]掩码,如果不使用掩码,则使用关键字Host,例:
host192.168.2.4
2、扩展访问控制列表的格式:
access-list[listnumber|word][permit|deny][protocol|protocolkeyword][sourceaddress][source-swidcardmask][sourceport][destinationaddress][destination-wildceardmask][destinationport]
//[listnumber|word]访问控制列表的序列号或者命名
//[permit|deny]允许或者拒绝
//[protocol|protocolkeyword]协议或者协议号
//[sourceaddress]源IP地址
//[source-swidcardmask]源地址掩码,如果使用关键字host,则不用掩码
//[sourceport]源端口
//[destinationaddress]目的地IP地址
//[destination-wildceardmask]目的地地址掩码,如果使用host关键字,则不用掩码
//[destinationport]目的端口
1.2总体设计、搭建网络拓扑
1.2.1网络拓扑结构图
图1-1网络拓扑图
1.2.2设备清单
表1-1设备清单
序号
型号规格
说明
描述
数量
备注
价格
1
Cisco2621XM
路由器
多业务路由器,用于连接其他路由器,置防火墙。
4台
总部2台
慈溪分部1台
余分部1台
(总部备用1台)
13000/台
2
Cisco3550
核心层交换机
有光纤扩展接口或三层交换功能,易扩展管理。
2台
总部2台
16000/台
3
FIX
防火墙
策略过滤,隔离外网,根据用户需求设置DMZ
1台
以满足要求为原则,适时选配
4000/台
4
Cisco2950
接入层交换机
智能交换机,可进行VLAN划分。
至少7台
总部至少5台
慈溪、余交换机不变
4000/台
5
服务器
系统为
WindowsServer
2003
作为主服务器、数据库服务器、文件服务器、FTP服务器、WEB服务和服务器等
至少1台
以满足要求为原则,适时选配
15000/台
6
PC机
系统为
WindowsXp
企业各部门员工使用
近100台
4000/台
1.3设备命名
表1-2设备命名规
设备类型
命名规则
说明
示例
路由器
?
?
_DHY_Rx
?
?
:
表示地区缩写
Rx:
表示路由器号
NB_DHY_R01
表示总部第1台路由器
接入层交换机
?
?
_DHY_Sx
Sx:
表示二层交换机号
YY_DHY_S03
表示余分部第3台二层交换机
核心层交换机
?
?
_DHY_RSx
RSx:
表示三层交换机号
NB_DHY_RS02
表示总部第2台三层交换机
服务器
?
?
_DHY_SVxx
SVxx:
表示服务器号
NB_DHY_SV09
表示总部第9台服务器
防火墙
?
?
_DHY_XX
XX:
表示防火墙号
NB_DHY_01
表示总部第1台防火墙
PC机
?
?
_DHY_?
?
xx
?
?
xx:
?
?
表示部门缩写有XS、CW、JS、SC,?
?
xx表示该部门中的PC机号
NB_DHY_XS09
表示总部销售部第9台PC机
1.4IP地址规划
1.4.1IP地址规划
表1-3IP地址规划
子网
IP地址规划
NB_DHY_R01与YY_DHY_R01
10.1.100.1/30--10.1.100.2/30
NB_DHY_R01与CX_DHY_R01
10.1.150.1/30--10.1.150.2/30
NB_DHY_RS01与NB_DHY_R01
10.1.200.1/30—10.1.200.2/30
NB_DHY_RS02与NB_DHY_R01
10.1.250.1/30--10.1.250.2/30
服务器组
10.1.1.1/24--10.1.1.4/24
销售部
10.1.2.1/24--10.1.2.50/24
财务部
10.1.3.1/24—10.1.3.50/24
生产部
10.1.4.1/24—10.1.4.50/24
技术部
10.1.5.1/24—10.1.5.50/24
余财务部
10.1.9.1/24—10.1.9.50/24
余销售部
10.1.10.1/24—10.1.10.50/24
余生产部
10.1.11.1/24—10.1.11.50/24
慈溪财务部
10.1.6.1/24—10.1.6.50/24
慈溪销售部
10.1.7.1/24—10.1.7.50/24
慈溪生产部
10.1.8.1/24—10.1.8.50/24
1.4.2VLAN划分合理
表1-4VLAN划分
地点
VLAN
名称
VLAN的容
对应子网
DHYNET
(总部)
VLAN1
NB_Server
服务器
10.1.1.0/24
VLAN2
NB_XS
销售部
10.1.2.0/24
VLAN3
NB_CW
财务部
10.1.3.0/24
VLAN4
NB_SC
生产部
10.1.4.0/24
VLAN5
NB_JS
技术部
10.1.5.0/24
DHYNET
(慈溪分部)
VLAN6
CX_CW
慈溪财务部
10.1.
升级会员 