精华内容
下载资源
问答
  • 华为 华三中小型企业网络架构搭建

    千次阅读 2016-08-13 14:42:52
    说明某公司网络架构,这样的架构在目前的网络是在常见的,假设您接收一个这样的网络,应该如何部署,该实战系列,就是一步一步讲解,如何规划、设计、部署这样一个环境,这里会针对不同的情况给出不同的讲解,...

    wKiom1euwNngLtjGAALfg-q-3N8504.png-wh_50                     

    说明

    某公司的网络架构,这样的架构在目前的网络中是在常见的,假设您接收一个这样的网络,应该如何部署,该实战系列,就是一步一步讲解,如何规划、设计、部署这样一个环境,这里会针对不同的情况给出不同的讲解,比如拓扑中有2个ISP,假设客户需求是,想实现主备的效果,又或者是想负载分担。 DHCP部署在防火墙上面或者是单独的服务器上面又该如何配置部署。

    说明:总部使用的是华为的全套设备,包括防火墙、无线、交换机等,而分部使用的是H3C的路由器与交换机,无线还是使用的华为的AP。  总部的架构属于中型企业的架构了,而分部的架构则属于中小型的架构,在工作中都经常会遇到,这里会一步一步讲解,如何进行部署,实现客户的需求,并且总部与分部之间互访,出差员工可以访问总部的资源。这样您在工作中遇到这样的网络架构也就会单独部署了,不用担心不知道如何下手的情况。这里除了一步一步讲解如何配置以外,还会讲解为什么这么配置,实现的效果是什么。

    客户需求

    1、使用合理的IP子网划分,保证合理性与可扩展性、汇总性、控制性

    2、保证冗余性,包括链路冗余与设备冗余

    3、安全性,保护重要的部门,除了特定人员可以访问外,其余部门不允许访问,比如财务部,有效的控制病毒、ARP的***

    4、无线终端,考虑到公司手机与移动电脑增多,增加无线功能,提供给设备连接,要求实现验证功能,而访客区,不进行认证,但不能连接到公司内部,只能访问公司提供的网页服务与Internet连接。

    5、保证在正常情况下,访问Internet都是走电信出口,当出现问题后,用网通出去,保证冗余性,需实现自动切换。并且实施NAT技术

    6、总部与分部,财务部之间需要互访,必须保证安全性

    7、出差员工,可以通过远程访问技术接入到公司内部实现访问特定的资源。

    8、设备实现管理,由单独的管理主机访问。

     

    解决思路

    1、使用子网划分来对每个部门进行规划,每一个部门单独一个24位的子网断,保证连续性,即使后续有新增加的员工,24位有254个地址,可以保证能正常使用,并且连续性可以方便做汇总、与一些策略的控制。

    2、冗余性的实现,可以利用MSTP+VRRP技术实现链路的冗余性与网关的热备功能,并且核心之间链路起链路聚合,提高带宽。

    3、安全性的实施,可以利用ACL与端口隔离技术来进行部署,当然也可以高级点,dot1x、DHCPsnooping+DAI+IPSGD等技术。一般情况下用ACL与端口隔离技术即可,除非有特殊需求在使用后续的。

    4、使用AC+AP的三层旁挂架构组件无线网络,实现内部网络使用5G接入网络,而访问则使用2.4G频率,并且实现,访客只能访问公司提供的WEB页面与Internet访问,并且要求无线访客区之间实现隔离。

    5、利用浮动路由+NQA或者ip-link技术实现自动切换

    6、使用IPSEC技术实现总部与分部之间的互访,通过加密验证等机制来保证数据的安全性

    7、部署L2TP Over IPSEC实现出差员工能够拨入到内网,访问特定的资源。

    8、开启Telnet或者SSH功能,实现访问,并且用ACL限制只能特点的主机访问。

     

    部署思路

    1、定义IP地址规划表项,方便配置

    2、规划VLAN,以及对应的网关地址

    3、实施VLAN配置,并且配置交换机之间的链路为Trunk,接入交换机面对终端为Access,无线部分为Hybrid或者Trunk,接防火墙设备为Access

    4、配置IP地址,保证直连可达

    5、配置MSTP技术、VRRP、端口聚合技术,保证全网无环路、高可靠性、冗余性存在

    6、配置路由实现全网可达

    7、配置DHCP服务,以及中继,使得PC能够正常获取地址以及DNS等参数

    8、配置无线部分,能够让AP正常上线,以及PC能够连接网络,并且获取地址,实现特定需求

    9、防火墙配置策略、NAT、×××等技术,实现访问Internet、分部,与出差员工可以正常拨入公司内网

    10、部署管理,终端管理

    11、最终安全策略部署

    分部部署思路

    1、采用之前定义的IP地址表项与VLAN与接口划分进行配置

    2、配置路由,或者采用单臂路由两种方式

    3、路由器配置×××,实现财务部互访,并且AP能够正常关联到总部的AC上面。

     

    全套下载

    PDF格式已经上传到了51cto下载中心,博客上传更新需要点时间,大家感兴趣的话可以先下载PDF格式观看,如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出。

    http://down.51cto.com/zt/8791

    转载于:https://blog.51cto.com/ccieh3c/1837566

    展开全文
  • 一分钟搞懂中小型企业网络架构

    千次阅读 热门讨论 2020-03-14 11:33:02
    江湖规矩先来说说项目背景: 1. 某公司有100台电脑(其实200也行)需要访问外网;...1. 拓扑里我用Cisco 2811充当防火墙,实属无奈,这个版本PT模拟器里ASA没有NAT功能,实际项目我们肯定使用专业防火墙设备...

    江湖规矩先来说说项目背景:

    1. 某公司有100台电脑(其实200也行)需要访问外网;
    2. 只有一个外网IP;
    3. 公司有4个部门(10个也行,多几个VLAN的事儿);
    4. 需要电脑自动能获取到IP地址,不需要手动配置;
    

    网络拓扑:

    拓扑说明:
    1. 拓扑里我用Cisco 2811充当防火墙,实属无奈,这个版本PT模拟器里ASA没有NAT功能,实际项目中我们肯定使用专业防火墙设备,除了有防火墙的功能还有上网行为管理功能,NAT。多香~
    2. 核心层使用了三层交换机,配置了DHCP服务。如果要做VLAN间通信,可以直接在这上面做。同时有内网服务器也可以直接挂这台上面,服务器ip地址在DHCP中做排除就行;
    3. 因为小型网络中设备比较少,我把汇聚层和接入层合二为一了,直接使用Cisco 2960做接入层设备;
    4. 如果公司有无线网络需求的话,无线路由器可以直接接到Cisco 2960上;
    5. 公司如果有服务器需要外网访问可以接到防火墙,做DMZ;
    6. 有分公司组网需求请看一篇博客;

    具体配置:

    这里因为设备比较多,所以具体配置就省略了,如果有需求的话,可以在下面留言,我单独发给你。

    写这篇博客的初衷是,在网上找了很久都很难找到一篇真正站在网络架构层面的技术文章,所以在此分享给像我一样的曾经的迷路人。

     

    本文原创,转载请注明出处。

    展开全文
  • 1.中小型企业网络架构公司有计算机用户不低于2000人,内部的网络规划如下图。网络服务器端采用Red Hat Enterprice Linux 7.X或CentOS7版本的Linux系统,客户端都是Windows操作系统。 2.案...

    本次实验报告为笔者的一门《Linux服务器配置与管理》课程期末实验报告,期末那一周花了挺多时间做的
    首先来仔细看一下实验要求,实验要求挺多的

    实验任务要求

    案例目标

    1.中小型企业网络架构
    某公司有计算机用户不低于2000人,内部的网络规划如下图。网络服务器端采用Red Hat Enterprice Linux 7.X或CentOS7版本的Linux系统,客户端都是Windows操作系统。

    2.案例目标(参见“中小企业网络规划示意图”)
    为了用户使用方便,须能对企业内部网络能够进行域名称到IP的解释,反之,对已有主机也能够从IP地址反向找到主机名,并允许客户端采用自动获取IP地址!

    规划并配置企业的二个主要网站,一个是用于公司形象宣传和公司性质、资质介绍的网站(简称企业主网站);主网站地址 www.xyz.com(其中xyz请参见要求);还有一个是公司营销网站taobao.xyzcom,主要包括产品规格、性能、作用、价格,联系方式、售后服务等方面的内容。要求主网站与营销网站之间存在相关的超链接。注:客户访问Web网站使用名称不使用IP地址。

    为了高效管理WEB服务器,须搭建 FTP服务器,用于维护公司网站www.xyz.com:创建目录、上传文件、更新网页等。公司决定由.wang和. luo的 2个账号(实验者须将自己的姓氏替换wang,例如姚姓改这里的wang为yao,用自己的名字替换掉luo)共同管理公司的主网站。其中对.wang和. luo的 2个用户的要求:.wang和. luo都不是本地用户身份,仅允许.wang和. luo登录到 Web服务器所在的根目录,并将这两个账号的根目录限制在网站的根目录 /var/www/.wang (其中.wang为实验者之姓氏的拼音),不能进入该目录以外的任何目录。

    商务网站taobao.xyzcom由另外2个用户账号chang和nan来管理(提示需要配置FTP支持个人独立的FTP配置文件)。商务网站限制在网站的根目录 /var/www/security;其他规则参见③中.wang和. luo的 2个用户的要求。

    同时在③④本服务器主机上配置用于对外提供服务的FTP服务器。基于实验条件的限制,可以将DHCP服务和FTP服务器合并到一台计算机硬件(或虚拟主机)中。为了增强安全,VSFTP服务不使用本地用户账号,全部采用虚拟用户名,并要求至少包含5个用户(③④要求的用户除外):其中用户名有实验者须将自己的姓、名(拼写)及userchen、ftplike、yufang。实验者自己姓、名(拼写)的用户登录位置在“/home/用户名”目录下,并具有完全操作控制权(即可读可写等),userchen、ftplike、wangping登录位置在“var/ftp/用户名”目录中,要求userchen用户只能阅读下载(文件),ftplike用户能上传文件和目录,但不能删除与修改,yufang没有下载操作权。

    邮件服务

    中小型企业网络示意图
    中小型企业网络规划示意图

    实验任务

    根据案例目标,综合实验任务如下:
    【任务1】安装CentOS7 Linux 系统,并配置Linux系统的IP,从客户端检验连通性。
    【任务2】根据要求搭建DHCP服务器(包括安装、配置及验证)
    【任务3】根据要求搭建DNS服务器(包括安装、配置及验证)。
    【任务4】基于名称虚拟主机搭建企业主网站并验证可用。
    【任务5】基于名称虚拟主机搭建企业商务网站并验证安全(授权)可用。
    【任务6】以本地用户为对象,搭建FTP服务器(要配置几个不同用户登录到各人的不同位置),权限是完全控制。
    【任务7】以虚拟用户为对象,搭建FTP服务器(不同用户登录到各人的不同位置,权限也不尽相同),并验证其登录不同,访问权限好各不相同。
    【任务8】搭建邮件服务

    实验要求及提示
    (1) 安装Linux系统后,可以安装必要的某些管理工具;要求计算机名为实验者名的拼音+年级号(或名字中的一个主拼音,例如,志平2018级用ping2018), DNS域名由实验者姓的拼音和学号的后3位构成2级域名,顶级域名用.com或.cn(例如,杨志平,学号0183789,则区域名为yang789.com或yang789.cn)。

    (2) 考虑到公司主机数量较多,内网的IP地址用172.18+x.yy.zz(其中x为实验者学号的末位,yy为实验者学号的后2位,zz可为合理范围内的任意数值),网络长度为16位。
    要求有2台以上的主机从你的DHCP上获取到IP地址。

    (3) 必须正确安装和配置DHCP和DNS服务器,并保证客户端能够自动获取IP时能够正确获取相关的DNS和默认网关地址。要求网关地址为实验者网段内的最后一个有效的IP地址或第一个有效的IP地址。

    (4) 必须正确安装和配置apache服务器。需要正确配置2个基于名称的虚拟主机,一个是由.wang和. luo管理的web网站;另一个是由chang和nan管理的商务网站。

    (5) 该商务网站taobao.xyz.com只有经授权(require)的用户(实验要求不少于5个用户)才能访问。

    根据实验要求,做出如下配置:
    Centos7计算机名:en2018
    Centos7服务器IP:172.21.3.7
    DNS顶级域名:zeng103.com
    DHCP分配IP范围:172.21.7.7—172.21.77.7(总共IP17850个)
    企业主站:www.zeng103.com
    商务网站:taobao.zeng103.com

    实验过程

    任务一

    实验要求:安装CentOS7 Linux 系统,并配置Linux系统的IP,从客户端检验连通性。

    按照实验要求将centos7服务器的IP设置为:172.21.3.7
    计算机名:en2018
    子网掩码:255.255.0.0
    网关:172.21.0.2
    配置过程如下图
    图一
    检查联通性
    图二

    任务二

    实验要求:根据要求搭建DHCP服务器(包括安装、配置及验证)

    DHCP(Dynamic Host configuration Protocol,动态主机配置协议 )是一个局域网的网络协议。指的是由服务器控制一段lP地址范围,客户机登录服务器时就可以自动获得服务器分配的lP地址和子网掩码。默认情况下,DHCP作为Windows Server的一个服务组件不会被系统自动安装,还需要管理员手动安装并进行必要的配置
    DHCP协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时,才会向网络主机发送相关的地址配置等信息,以实现网络主机地址信息的动态配置。

    DHCP由三种机制分配IP地址:
    1.自动分配方式:DHCP服务器为主机指定一个永久性的IP地址,一旦DHCP客户端第一次成功从DHCP服务器租用到IP地址,就可以永久使用该地址。
    2.动态分配方式:DHCP服务器给主机指定一个有时间限制的IP地址, 时间到期或主机明确表示放弃该地址时,该地址可以被其他主机使用。
    3.手工分配方式:客户端的IP地址是由网络管理员指定的,DHCP服务器只是将指定的IP地址告诉客户端主机。
    三种地址分配方式中, 只有动态分配方式可以重复使用客户端不再需要的地址
    在Centos7服务器中使用:yum -y install dhcp
    安装完成后在/etc/dhcp下可以看到dhcp的主配置文件dhcpd.conf,修改如下图
    图三
    DHCP分配IP范围:172.21.7.7—172.21.77.7(总共IP17850个)
    足够使用,只需要改这些就可以了,无需修改其他内容
    DHCP操作命令:
    开启dhcp服务:systemctl start dhcpd
    关闭dhcp服务:systemctl stop dhcpd
    重启dhcp服务:systemctl restart dhcpd
    查看你dhcp服务状态:systemctl status dhcpd
    设置开机dhcp服务自启:systemctl enable dhcp
    设置开机dhcp服务关闭:systemctl disable dhcp
    我们打开两台windows客户机验证一下,看看获取的是否在设置的DHCP分配的IP范围
    图四
    这是一台Windows server2008符合范围,接着我们打开一台windows7查看是否符合
    图五
    两台windows客户机都在DHCP分配的IP范围下,DHCP服务器搭建成功

    任务三

    实验要求:根据要求搭建DNS服务器(包括安装、配置及验证)。

    域名系统(Domain Name System,DNS)是Internet上解决网上机器命名的一种系统。就像拜访朋友要先知道别人家怎么走一样,Internet上当一台主机要访问另外一台主机时,必须首先获知其地址,TCP/IP中的IP地址是由四段以“.”分开的数字组成,记起来总是不如名字那么方便,所以,就采用了域名系统来管理名字和IP的对应关系。
    域名解析是把域名指向网站空间IP,让人们通过注册的域名可以方便地访问到网站的一种服务。IP地址是网络上标识站点的数字地址,为了方便记忆,采用域名来代替IP地址标识站点地址。域名解析就是域名到IP地址的转换过程。域名的解析工作由DNS服务器完成。

    为什么需要DNS解析域名为IP地址?
    首先计算机在网络上通讯时只能识别IP地址(网络通讯大部分是基于TCP/IP协议,而TCP/IP是基于IP地址的),比如我要在浏览器中访问百度的地址,我可以在地址栏直接输入14.215.177.39就能访问到百度的首页。但是我们无法记住更多的IP地址。那么域名就出现了,域名是由一串用”.”分隔的唯一名字。所以现在我们访问网站的时候,就可以在浏览器地址栏中输入域名(www.baidu.com),那么DNS就会把域名翻译成IP,然后访问IP
    域名解析也叫域名指向、服务器设置、域名配置以及反向IP登记等等。说得简单点就是将好记的域名解析成IP,服务由DNS服务器完成,是把域名解析到一个IP地址,然后在此IP地址的主机上将一个子目录与域名绑定。
    互联网中的地址是数字的IP地址,域名解析的作用主要就是为了便于记忆。

    DNS解析域名详细过程:
    1.现在我有一台电脑,在浏览器中输入www.baidu.com域名,浏览器会从浏览器的DNS缓存中检查是否有这个网址的映射关系,如果有,就返回IP,完成域名解析

    2.如果没有,操作系统会先检查自己本地的hosts文件是否有这个网址的映射关系,如果有,就返回IP,完成域名解析。看到这里大家应该都猜到了,有DNS的地方,就有缓存。浏览器、操作系统、本地DNS、根域名服务器,它们都会对DNS结果做一定程度的缓存。

    3.如果还没有,我的电脑就要向本地DNS服务器发起请求查询www.baidu.com这个域名。

    4.本地DNS服务器拿到请求后,先检查一下自己的缓存中有没有这个地址,有的话直接返回。这个时候拿到的IP地址,会被标记为非权威服务器的应答

    5.如果本地DNS服务器的缓存中没有的话,本地DNS服务器会从配置文件中读取13个根DNS服务器的地址,然后向其中一台发起请求

    6.根DNS服务器拿到请求后,知道他是com.这个顶级域名下的,所以会返回com域名中的NS记录(用来表明哪台服务器对该域名进行解析),其实就是一个IP(com对应的服务器IP)

    7.本地DNS服务器根据返回的IP(com DNS服务器)发起请求,com DNS服务器发现你这请求的是baidu.com这个域,查到这个域的NS记录,然后返回IP(baidu.com)

    8.本地DNS服务器在根据IP(baidu.com DNS服务器)访问这些权威服务器,baidu.com服务器在A记录(正向解析记录,域名到IP地址的映射)中查找到www.baidu.com的IP地址,返回IP(www.baidu.com)

    9.最终本地DNS服务器拿到用户想访问的www.baidu.com的IP,返回给客户端,并进行缓存操作,以便下次使用。

    安装DNS服务器端软件包使用命令:yum -y install bind*

    DNS主配置文件是/etc/named.conf配置如下图
    图六
    要求配置DNS域名我的域名为:www.zeng103.com
    然后再/var/named文件下配置正向解析域名文件和反向解析域名文件
    图七
    后配置两个解析文件如下图:
    正向解析文件
    图八
    反向解析文件
    图九
    配置好后,我们使用检查命令检查一下这两个文件
    正向解析文件检查命令

    named-checkzone "zeng103.com.zone" "/var/named/zeng103.com.zone"
    

    图十
    方向解析文件检查命令

    named-checkzone "172.21.3.rev" "/var/named/172.21.3.rev"
    

    图十一
    检查结果都没有问题,然后我们使用重启DNS服务查看状态
    DNS服务操作命令:
    开启DNS服务:systemctl start named
    关闭DNS服务:systemctl stop named
    重启DNS服务:systemctl restart named
    查看DNS服务状态:systemctl status named
    开机自启DNS服务:systemtl enable named
    关闭开机自启DNS服务:systemctl disable named
    接下来验证DNS服务是否配置成功

    使用windows客户端检测
    图十二
    DNS服务器配置完成

    任务四

    实验要求:基于名称虚拟主机搭建企业主网站并验证可用。

    Apache 是使用最广泛的 Web 服务器软件。Apache 是由 Apache Software Foundation 开发和维护的,它是一个免费提供的开源软件。它占全球所有网络服务器的 67%。它快速,可靠,安全。它可以通过使用扩展和模块进行高度定制,以满足许多不同环境的需求。大多数 WordPress 托管服务提供商使用 Apache 作为其 Web 服务器软件。但是,WordPress 也可以在其他 Web 服务器软件上运行

    Apache Web Server 旨在创建能够托管一个或多个基于 HTTP 的网站的 Web 服务器。值得注意的功能包括支持多种编程语言,服务器端脚本,身份验证机制和数据库支持。可以通过操纵代码库或添加多个扩展/附加组件来增强 Apache Web Server。它也被 Web 托管公司广泛用于提供共享/虚拟主机,因为默认情况下,Apache Web Server 支持并区分驻留在同一台机器上的不同主机。

    Apache是一种流行的开源,跨平台的Web服务器,数量上是现有最流行的Web服务器,它由Apache Software Foundation主动维护。一些使用Apache的知名公司包括思科,IBM,Salesforce,通用电气,Adobe,VMware,施乐,LinkedIn,Facebook,惠普,AT&T,西门子,eBay等等。除了受欢迎程度之外,它还是最古老的Web服务器之一,它的第一个版本早在1995年就已发布。许多cPanel主机现在使用Apache。与其他Web服务器一样,Apache为访问者提供服务网站文件的幕后方面。由于Apache在某些基准测试中表现不佳,特别是对于静态网站或流量较高的网站,某些大型网站使用NGINX Web服务器而不是Apache。尽管NGINX并没有像Apache那样长,但自2004年推出以来,它的受欢迎程度和市场份额迅速增长。

    安装apache服务:

    rpm -qa | grep httpd
    

    命令查看是否安装了apache软件包
    安装命令:

    yum -y install httpd*
    

    安装完成后,我们进入apache的主配置文件在/etc/httpd/conf中使用gedit打开
    Httpd.conf,配置企业主站和营销网站
    图十三
    再到网站根目录,添加网站源码
    图十四
    windows客户端验证,验证结果如下
    主站
    图十五营销站
    图十六
    验证成功,可用

    任务五

    实验要求:基于名称虚拟主机搭建企业商务网站并验证安全(授权)可用

    实验要求对上一步实验创建的企业主站和企业营销网站做访问控制,对企业主站限制使用zeng,xingen
    这两个用户登录,而对企业营销网站的访问控制限制使用chan,nan两个用户身份登录
    要做到访问控制我们首先需要创建访问控制登录的用户账号和密码,在/etc/httpd下创建一个文件名字叫userfile 然后使用htpasswd命令生成账号和密码放入userfile文件里,如图
    图十七
    创建的四个用来做网站访问控制的用户和密码
    接下来修改apache主配置文件,/etc/httpd/conf/httpd.conf
    修改内容如下
    图十八
    修改完成后,我们去客户端访问登录一下这两个站看看,验证是否成功
    当主站输入的账号密码正确时,登入成功,如图
    图十九
    当输入账号密码不正确时,身份验证失败
    图二十
    然后我们来验证营销旁站的登录验证
    输入账号和密码正确的时候,如图
    图二十一
    当输入的密码和账号不正确的时候,如图
    图二十二
    网站授权验证通过

    任务六

    实验要求:以本地用户为对象,搭建FTP服务器(要配置几个不同用户登录到各人的不同位置)

    FTP(File Transfer Protocol,文件传输协议) 是 TCP/IP 协议组中的协议之一。FTP协议包括两个组成部分,其一为FTP服务器,其二为FTP客户端。其中FTP服务器用来存储文件,用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上的资源。在开发网站的时候,通常利用FTP协议把网页或程序传到Web服务器上。此外,由于FTP传输效率非常高,在网络上传输大的文件时,一般也采用该协议。
    默认情况下FTP协议使用TCP端口中的 20和21这两个端口,其中20用于传输数据,21用于传输控制信息。但是,是否使用20作为传输数据的端口与FTP使用的传输模式有关,如果采用主动模式,那么数据传输端口就是20;如果采用被动模式,则具体最终使用哪个端口要服务器端和客户端协商决定
    同大多数Internet服务一样,FTP也是一个客户/服务器系统。用户通过一个客户机程序连接至在远程计算机上运行的服务器程序。依照 FTP 协议提供服务,进行文件传送的计算机就是 FTP服务器,而连接FTP服务器,遵循FTP协议与服务器传送文件的电脑就是FTP客户端。用户要连上FTP 服务器,就要用到 FTP 的客户端软件,通常 Windows自带“ftp”命令,这是一个命令行的 FTP客户程序,另外常用的 FTP 客户程序还有FileZilla、 CuteFTP、Ws_FTP、Flashfxp、LeapFTP、流星雨-猫眼等。
    起初,FTP并不是应用于IP网络协议,而是ARPANET网络中计算机间的文件传输协议,ARPANET是美国国防部组建的老网络,于1960-1980年使用。在那个时候,FTP的主要功能是在主机间高速可靠地传输文件。目前FTP仍然保持其可靠性,即使在,它还准许文件远程存取。这使得用户可以在某个系统上工作,而将文件储存在别的系统。例如,如果某用户运行Web服务器,需要从远程主机上取得HTML文件和CGI程序到本机上工作,他需要从程序储存站点获取文件(远程站点也需安装Web服务器)。当用户完成工作后,可使用FTP将文件传回到Web服务器。采用这种方法,用户无须使用Telent登陆到远程主机进行工作,这样使Web服务器的更新工作变得轻松。

    FTP是TCP/IP的一种具体应用,它工作在OSI模型的第七层,TCP/IP模型的第四层上,即应用层。FTP使用TCP传输而不是UDP,这样FTP客户在和服务器建立链接前要经过一个被广为熟知的“三次握手”的过程。它带来的意义在于客户端与服务器之间的链接是可靠的,而且是面向连接,为数据的传输提供了可靠的证据保证。采用FTP可使Internet用户高效地从网上的FTP服务器下载大信息量的数据文件,将远程主机上的文件复制到自己的计算机上,以达到资源共享和传递信息的目的。由于FTP的使用使得Internet上出现大量为用户提供的下载服务。Internet成为了一个巨型的软件仓库。FTP在文件传输中还支持断点续传功能,可以大幅度地减少CPU和网络宽带的开销
    

    FTP模式:
    FTP客户端发起FTP会话,与FTP服务器建立相应的连接。FTP会话期间要建立控制信息进程与数据进程两个连接。控制连接不能完成传输数据的任务,只能用来传送FTP执行的内部命令以及命令的响应等控制信息;数据连接是服务器与客户端之间传输文件的连接,是全双工的,允许同时进行双向数据传输。当数据传输完成后,数据连接会撤消,再回到FTP会话状态,直到控制连接被撤消,并退出会话为止。 [7]
    FTP支持两种模式:Standard (PORT方式,主动方式),Passive (PASV,被动方式)。
    Port模式
    FTP 客户端首先和服务器的TCP 21端口建立连接,用来发送命令,客户端需要接收数据的时候在这个通道上发送PORT命令。PORT命令包含了客户端用什么端口接收数据。在传送数据的时候,服务器端通过自己的TCP 20端口连接至客户端的指定端口发送数据。FTP server必须和客户端建立一个新的连接用来传送数据。
    Passive模式
    建立控制通道和Standard模式类似,但建立连接后发送Pasv命令。服务器收到Pasv命令后,打开一个临时端口(端口号大于1023小于65535)并且通知客户端在这个端口上传送数据的请求,客户端连接FTP服务器此端口,然后FTP服务器将通过这个端口传送数据。
    很多防火墙在设置的时候都是不允许接受外部发起的连接的,所以许多位于防火墙后或内网的FTP服务器不支持PASV模式,因为客户端无法穿过防火墙打开FTP服务器的高端端口;而许多内网的客户端不能用PORT模式登陆FTP服务器,因为从服务器的TCP 20无法和内部网络的客户端建立一个新的连接,造成无法工作。

    Centos7搭建ftp服务时安装vsftpd:

    yum -y install vsftpd*
    

    图二十三
    FTP服务器操作命令:
    开启ftp服务:systemctl start vsftpd
    关闭ftp服务:systemctl stop vsftpd
    重启ftp服务:systemctl restart vsftpd
    查看ftp状态:systemctl status vsftpd
    设置ftp开机自启:systemctl enable vsftpd
    关闭ftp开机自启:systemctl disable vsftpd
    任务要求是以本地用户为对象搭建ftp服务器,所以我们首先在,Centos7服务器上创建几个用户,创建两个用户,第一个用户是:localuser1,第二个用户是:localuser2,密码就是它们的用户名,然后在它们各自的目录中,创建一个文件用来区分它们在不同目录

    图二十四
    Windows客户端验证一下
    Localuser1用户的登录验证如图
    图二十五
    Localuser2用户的登录验证如图
    图二十六
    本地用户登录不同的目录成功

    任务七

    实验要求:以虚拟用户为对象,搭建FTP服务器(不同用户登录到各人的不同位置,权限也不尽相同),并验证其登录不同,访问权限好各不相同

    首先根据实验要求,创建五个虚拟用户(即不能再本地登录的用户)在不同位置
    使用命令:useradd 用户名 -d 指定目录 -s /sbin/nologin
    注意:一定要赋予这几个用户的目录权限,这里为了方便我就全部设置成777
    图二十七
    发现这几个用户都是不能登录的,zeng用户和xingen用户在/home目录下面,userchen,ftplike,yufang在/var/ftp下面,接着来到/etc/vsftpd/下创建用户登录账号密码的信息表
    图二十九安装vsftpd虚拟用户依赖的安装包:

    yum install -y psmisc net-tools systemd-devel libdb-decel per-DBI
    

    接着使用db_load命令生成db数据库

    db_load -T -t hash -f /etc/vsftpd/v_users.list /etc/v_users.db
    

    接着配置PAM文件在/etc/pam.d/v_users.pam
    图三十
    然后再在/etc/vsftpd目录下创建一个这些用户的配置文件目录,接着就是配置这些用户的个人配置,
    在这之前首先配置一下主配置文件vsftpd.conf,内容如下:

    anonymous_enable=NO
    #是否允许匿名登录FTP服务器
    local_enable=YES
    #是否允许本地用户登录FTP服务器
    guest_enable=YES
    local_umask=022
    #本地用户新增文档权限设定,默认022(022对应二进制取反就是权限)对应权限755
    dirmessage_enable=YES
    #是否显示目录消息
    connect_from_port_20=YES
    #指定FTP数据传输连接使用20端口,默认为YES,若为NO,则进行数据连接时,所使用的端口由ftp_data_port指定
    #chown_uploads=YES
    #是否改变匿名用户上传文档的属主,默认NO,若设置为YES,则匿名用户上传的文档的属主将被设置为chown_username配置项所设置的用户名
    #chown_username=whoever
    #设置匿名用户上传的文档的属主名。只有chown_uploads=YES时才有效。建议不要设置为root用户。 但系统默root
    #xferlog_enable=NO
    #是否启用上传下载日志记录,默认NO
    #xferlog_file=/var/log/xferlog
    #日志文件名及路径,需要启用xferlog_enable选项
    #xferlog_std_format=YES
    #日志文件是否使用标准的xferlog日志文件格式(与wu-ftpd使用的格式相同)默认为NO
    #idle_session_timeout=600
    #设置多长时间不对FTP服务器进行任何操作,则断开该FTP连接,单位为秒,默认为600秒。即设置发呆的逾时时间,在这个时间内,若没有数据传送或指令的输入,则会强行断开连接
    #data_connection_timeout=120
    #设置建立FTP数据连接时间,秒单位
    #ascii_upload_enable=NO
    #是否启用ASCII模式上传数据,默认为NO
    #ascii_download_enable=NO
    #是否启用ASCII模式下载数据,默认为NO
    #ftpd_banner=Welcome to zeng xingen FTP service.
    #用于设置比较简短的欢迎信息
    #chroot_local_user=YES
    #指定用户列表文件中的用户,是否允许切换到上级目录,默认NO
    #chroot_list_enable=YES
    #是否启用chroot_list_file配置项指定的用户列表文件。设置为YES则除了列在j/etc/vsftpd/chroot_list文件中的的帐号外,所有登录的用户都可以进入ftp
    #chroot_list_file=/etc/vsftpd/chroot_list
    #用于指定用户列表文件,该文件用于控制哪些用户可以切换到FTP站点根目录的上级目录
    #userlist_enable=YES
    #决定/etc/vsftpd/user_list文件是否启用生效。YES则生效,NO不生效
    #ls_recurse_enable=YES
    #若设置为YES,则允许执行ls -R这个命令
    listen=YES
    #设置vsftpd服务器是否以standalone模式运行。以standalone模式运行是一种较好的方式,此时listen必须设置为YES, 此为默认值,建议不要更改
    #listen_ipv6=YES
    write_enable=YES
    #是否对登录用户开启写入(上传)权限。属全局性设置。默认NO
    #anon_upload_enable=YES
    #是否允许匿名用户上传文件。只有在write_enable设置为YES时,该配置项才有效。而且匿名用户对相应的目录必须有写权限。默认为NO
    #anon_mkdir_write_enable=YES
    #是否允许匿名用户创建目录。只有在write_enable设置为YES时有效。且匿名用户对上层目录有写入的权限。默认为NO
    pam_service_name=/etc/pam.d/v_users.pam
    user_config_dir=/etc/vsftpd/v_users_dir
    tcp_wrappers=YES
    allow_writeable_chroot=YES
    

    接着在v_users_dir目录中配置五个虚拟用户的个人配置文件,以及根据要求配置权限
    Zeng用户配置如下(可读可写权限):

    local_root=/home/zeng
    guest_username=zeng
    write_enable=YES
    anon_upload_enable=YES
    anon_mkdir_write_enable=YES
    anon_other_write_enable=YES
    

    Xingen用户配置如下(可读可写权限):

    local_root=/home/xingen
    guest_enable=YES
    guest_username=xingen
    anon_upload_enable=YES
    anon_mkdir_write_enable=YES
    anon_other_write_enable=YES
    

    Userchen用户配置如下(只能阅读下载权限):

    local_root=/var/ftp/userchen
    guest_username=userchen
    write_enable=YES
    

    Ftplike用户配置如下(只有上传权限):

    local_root=/var/ftp/ftplike
    guest_username=ftplike
    anon_upload_enable=YES
    anon_mkdir_write_enable=YES
    

    Yufang用户配置如下(没有下载权限):

    local_root=/var/ftp/yufang
    guest_username=yufang
    write_enable=YES
    anon_upload_enable=YES
    anon_world_readable_only=YES
    anon_other_write_enable=YES
    

    重启vsftpd服务器,进入客户端查看权限,如图
    图三十一
    Xingen用户与zeng用户权限相同就不测试了
    接着看userchen用户,userchen用户的权限是只能阅读下载权限,如图
    图三十二
    ftplike用户的权限是只能有上传,没有其他权限如图

    图三十三
    Yufang用户没有下载权限,如图
    图三十四用户全部配置成功

    任务八

    实验要求:搭建邮件服务

    电子邮件服务是指通过网络传送信件、单据、资料等电子信息的通信方法,它是根据传统的邮政服务模型建立起来的,当我们发送电子邮件时,这份邮件是由邮件发送服务器发出,并根据收件人的地址判断对方的邮件接收器而将这封信发送到该服务器上,收件人要收取邮件也只能访问这个服务器才能完成。
    电子邮件服务(Email服务)是目前最常见、应用最广泛的一种互联网服务。通过电子邮件,可以与Internet上的任何人交换信息。电子邮件的快速、高效、方便以及价廉,越来越得到了广泛的应用,目前只要是上过网的网民就肯定用过电子邮件这种服务。目前,全球平均每天约有几千万份电子邮件在网上传输
    邮件传递流程具体如下:
    (1)使用邮件用户代理(MUA)创建一封电子邮件,邮件创建后被送到了该用户的本地邮件服务器的邮件传输代理(MTA),传送过程使用的是SMTP协议。此邮件被加入本地MTA服务器的队列中。
    (2)MTA检查收件用户是否为本地邮件服务器的用户,如果收件人是本机的用户,服务器将邮件存入本机的MailBox。
    (3)如果邮件收件人并非本机用户,MTA检查该邮件的收信人,向DNS服务器查询接收方MTA对应的域名,然后将邮件发送至接收方的MTA,使用的仍然是SMTP协议,这时,邮件已经从本地的用户工作站发送到了收件人ISP的邮件服务器,并且转发到了远程的域中。
    (4)远程邮件服务器比对收到的邮件,如果邮件地址是本服务器地址则将邮件保存在MailBox中,否则继续转发到目标邮件服务器。
    (5)远端用户连接到远程邮件服务器的POP3(110端口)或者IMAP(143端口)接口上,通过账号密码获得使用授权。
    (6)邮件服务器将远端用户账号下的邮件取出并且发送给收件人MUA。

    电子邮件服务涉及几个重要的TCP/IP协议,主要有以下几个:

    SMTP协议
    简单邮件传送协议(SMTP)是电子邮件系统中的一个重要协议,它负责将邮件从一个“邮局”传送给另一个“邮局”。SMTP不规定邮件的接收程序如何存储邮件,也不规定邮件发送程序多长时间发送一次邮件,它只规定发送程序和接收程序之间的命令和应答。SMTP邮件传输采用客户端/服务器模式,邮件的接收程序作为SMTP服务器在TCP的25端口守候,邮件的发送程序作为SMTP客户在发送前需要请求一系列SMTP服务器的连接。一旦连接成功,收发双方就可以响应命令、传递邮件内容。
    POP3协议
    当邮件到来后,首先存储在邮件服务器的电子信箱中。如果用户希望查看和管理这些邮件,可以通过POP3协议将这些邮件下载到用户所在的主机。POP3本身采用客户端/服务器模式,其客户程序运行在接收邮件的用户计算机上,POP3服务器程序运行在其ISP的邮件服务器上。
    IAMP协议
    因特网报文存取协议(IAMP)现在较新的是版本4,即IAMP4,它同样采用客户端/服务器模式。IAMP是一个联机协议。当用户计算机上的IAMP客户程序打开IAMP服务器的邮箱时,用户就可以看到邮件的首部。若用户需要打开某个邮件,则该邮件才传到用户的计算机上。

    首先安装postfix服务软件包:

    yum -y install postfix
    

    进入/etc/postfix/中,配置主配置文件main.cf
    接下来需要修改的配置文件较多,这里就不用图片展示了,修改结果如下:

    Main.cf中75行:myhostname=mail.zeng103.com
    Main.cf中83行:mydomain=zeng103.com
    Main.cf中99行:myorigin=$mydomain
    Main.cf中113行去掉#注释,119行加上#注释
    Main.cf中164行加上#注释,165行取消#注释
    Main.cf中264行:mynetworks = 172.21.0.0/16, 127.0.0.0/8,0.0.0.0/0
    Main.cf中296行:relay_domains = $mydestination
    Main.cf中419行:home_mailbox = Maildir/
    
    最后在mian.cf底部加上:
    smtpd_sasl_type = dovecot
    smtpd_sasl_path = private/auth
    smtpd_sasl_auth_enable = yes
    smtpd_sasl_security_options = noanonymous
    smtpd_sasl_local_domain = $myhostname
    smtpd_recipient_restrictions = permit_mynetworks,permit_auth_destination,permit_sasl_authenticated,reject
    

    接下来安装dovecot:

    yum -y install dovecot
    
    然后修改/etc/dovecot/dovecot.conf第二十四行:protocols = imap pop3 lmtp
    接着还是在dovecot.conf中第30行取掉注释:listen = *, ::
    接着修改/etc/dovecot/conf.d/10-auth.conf在第10行改为no:disable_plaintext_auth = no
    还有10-auth.conf第100行加上login:auth_mechanisms = plain login
    然后再修/etc/dovecot/conf.d/10-mail.conf再第30行添加:mail_location = maildir:~/Maildir
    

    再 /etc/dovecot/conf.d/10-master.conf改为下图
    图三十五
    最后再修改 /etc/dovecot/conf.d/10-ssl.conf第8行改为no:ssl = no
    systemctl restart dovecot 重启dovecot服务
    systemctl restart postfix 重启postfix服务
    重启好之后,我们再客户端的两台windows安装好postfix,然后服务器创建两个用户mailtest,和testmail,用于邮箱账号登录,密码就是它们的用户名,登录如图
    图三十六
    Windows7使用账号testmail,windows server2008使用账号mailtest,现在用这两个邮箱互相发邮件,看看能否接收的到,在同一个内网下
    Mailtest接收到邮件如图
    图三十七
    Testmail接收到邮件如图

    图三十八
    邮件服务搭建完成!

    到这里就全部完成了,如果有什么问题可以私信或者评论留言

    展开全文
  • 作者:Georgekai归档:学习笔记2018/1/19架构组成、架构部署1.1linux架构开场介绍前段服务部分:(前段服务:负者负载均衡和web服务器)顾客-访问者:访问网站架构的人员保安-防火墙:主要提供系统架构网络安全性...

     

    作者:Georgekai

    归档:学习笔记

    2018/1/19

     



    架构组成、架构部署

    1.1 linux架构开场介绍

    前段服务部分:(前段服务:负者负载均衡和web服务器

    顾客-访问者:访问网站架构的人员

    保安-防火墙:主要提供系统架构的网络安全性

    迎宾-负载均衡服务器:主要对访问请求进行调度处理(谁闲给闲,或挨个分配一部分)

    服务员-网站web服务器:为访问者提供服务,做出相应处理(nginxtomcat

    服务员-网站web服务器:为访问者提供服务,做出相应处理(nginxtomcat

    服务员-网站web服务器:为访问者提供服务,做出相应处理(nginxtomcat

     

    后端服务部分: mysqlNFSrsyncmemcache

    厨师-数据库服务器:主要是用于存储字符串信息(mysql

    厨师-存储服务器:用于存储用户上传的图片、视频、音频、附件等数据(数据库服务器存储的内容 不一样)(NFS存储服务)

    厨师-备份服务器:对系统架构中,对重要数据信息进行备份存储(rsync备份)

    厨师-缓存服务器:提供用户访问存储和读取快速响应,采用内存存储数据。

    (会存储一份数据库服务器中的数据,用于用户优先访问提高访问速度,存放热 点数据)(memcacheredismongodb

    image.png 

     

    1.2.1 异地备份方案:两地三中心

     

     image.png

     

    1.2.2 员工-运维人员:

    秘密通道-×××通道:(pptp ***

    审计监控-跳板机: (shell / jumpserver)监控运维人员操作了哪些

    监控-监控服务器:(zabbixcpu、内存、磁盘、服务、网络等,可以实现电话、邮件、微信等报警 通知。单击此处输入日期。

    经理-批量管理服务器:(ssh+key+shell+ansible),对架构中所有服务器进行批量化操作

     image.png

     

    1.2.3 发现架构不足(完善架构)

    1. 架构中的防火墙服务器可以部署多台,避免单点故障

    2. 架构中负载均衡服务器也可以部署多台,避免单点故障(keeplived服务)

    3. 架构中数据库服务器可以部署多台,实现主从架构,多个主多个从架构,避免单点故障

    4. 架构中存储服务器可以部署多台

    5. 架构中备份服务器可以部署多台

    6. 架构中缓存服务器可以部署多台

    1.3 架构部署

    1.3.1 环境规划(统一规划)

    1. 服务器主机名称与主机IP地址规划

      image.png

    注:如主机配置较差可mysqlrsync可以为一台   web 可以设置二台, NFS和批量管理为一台

     

    2. 主机IP规划表:

     image.png

     

    3. 服务器目录规划

    /server/scripts

    /server/tools

    /application

    1.3.2 配置模板主机

    1. 配置网络环境:

    1)网卡的网段信息

    2)网卡的网关信息

    3)其他相关虚拟网络功能设置——

    虚拟网络编辑器——image.png


    VMnet8——image.png

     

    NAT模式——image.png

     

    不应用DHCP服务——image.png

    NAT设置为10.0.0.254——image.png

     

    2. 添加虚拟网卡:

    1)添加出一块新的虚拟网卡,网卡名为:eth1

    image.png image.png

    注:LAN区段定义一个内部网络环境,只要在同一个LAN区段即可相互通信

     

    3. 开启模板主机,进行网卡地址信息配置

    1)第一块网卡:eth0网络地址配置情况

    image.png

    2)第二块网卡:eth1网络地址配置情况

    image.png  image.png image.png

    保存并退出,重启网卡服务!  

    4. 为虚拟主机克隆,做好环境准备(一清空,两删除)

    1)两删除:删除网卡里面UUID信息,删除网卡里面mac地址信息

     同时查看俩块网卡的UUIDHWADDR信息:image.png  

     删除查看网卡的UUIDHWADDR信息:sed -ri '/UUID|HWADDR/d' /etc/sysconfig/network-scripts/ifcfg-eth[01]


    2)一清空:清空一个网络规则配置文件

    1. >/etc/udev/rules.d/70-persistent-net.rules

    2. echo '>/etc/udev/rules.d/70-persistent-net.rules' >> /etc/rc.local

     

    5. 对模板机进行基本系统优化

    1hosts文件配置  (内网地址对应的主机名)

        \cp /etc/hosts{,.bak}

               cat >/etc/hosts<<EOF

               127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

               ::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

               172.16.1.5      lb01

               172.16.1.6      lb02

               172.16.1.7      web01

               172.16.1.8      web02

               172.16.1.9      web03

               172.16.1.51     db01 db01.etiantian.org

               172.16.1.31     nfs01

               172.16.1.41     backup

               172.16.1.61     m01

               EOF

    2)更改yum

    1.下载yum源

    wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

    wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo

    PS:yum repolist 列出yum源信息;讲解什么是epel源

    2.查看是否下载成功

    ls /etc/yum.repos.d/

    3)关闭SElinux

    临时关闭:setenforce 0

    永久关闭:vim /etc/sysconfig/selinux

      SELINXU=disabled

      sed -i.bak 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

               grep SELINUX=disabled /etc/selinux/config

     

    4)关闭iptables

       /etc/init.d/iptables stop

               /etc/init.d/iptables stop

               chkconfig iptables off

     

    5)精简开机自启动服务

       export.UTF-8

               chkconfig|egrep -v "crond|sshd|network|rsyslog|sysstat"|awk '{print "chkconfig",$1,"off"}'|bash

               chkconfig --list|grep 3:on

     

    6)提权george用户可以sudo

               useradd oldboy

               echo 123456|passwd --stdin oldboy

               \cp /etc/sudoers /etc/sudoers.ori

               echo "oldboy  ALL=(ALL) NOPASSWD: ALL " >>/etc/sudoers

               tail -1 /etc/sudoers

               visudo -c

    7)英文字符集

               cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori

               echo 'LANG="en_US.UTF-8"'  >/etc/sysconfig/i18n

               source /etc/sysconfig/i18n

               echo $LANG

     

     

    8)时间同步

               echo '#time sync by lidao at 2017-03-08' >>/var/spool/cron/root

               echo '*/5 * * * * /usr/sbin/ntpdate pool.ntp.org >/dev/null 2>&1' >>/var/spool/cron/root

               crontab -l

    9)加大文件描述符

     永久修改打开文件数量:echo '*    -    nofile    65535    ' >>/etc/security/limits.conf

               tail -1 /etc/security/limits.conf

     临时修改打开文件数量:ulimit -n 65535

       ulimit -a  ---检查默认打开文件数

      

       open files                      (-n) 1024

    注:文件描述符:一个服务默认可以打开的文件数量

    image.png

    10)内核优化

    cat >>/etc/sysctl.conf<<EOF

    net.ipv4.tcp_fin_timeout = 2

    net.ipv4.tcp_tw_reuse = 1

    net.ipv4.tcp_tw_recycle = 1

    net.ipv4.tcp_syncookies = 1

    net.ipv4.tcp_keepalive_time = 600

    net.ipv4.ip_local_port_range = 4000    65000

    net.ipv4.tcp_max_syn_backlog = 16384

    net.ipv4.tcp_max_tw_buckets = 36000

    net.ipv4.route.gc_timeout = 100

    net.ipv4.tcp_syn_retries = 1

    net.ipv4.tcp_synack_retries = 1

    net.core.somaxconn = 16384

    net.core.netdev_max_backlog = 16384

    net.ipv4.tcp_max_orphans = 16384

    #以下参数是对iptables防火墙的优化,防火墙不开会提示,可以忽略不理。

    net.nf_conntrack_max = 25000000

    net.netfilter.nf_conntrack_max = 25000000

    net.netfilter.nf_conntrack_tcp_timeout_established = 180

    net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120

    net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60

    net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

    EOF

    #使配置文件生效:sysctl -p


    11)安装其他小软件

    实现linux和windows上传和下载软件:

    yum install lrzsz nmap tree dos2unix nc telnet sl -y

    12ssh连接速度慢优化

    sed -i.bak 's@#UseDNS yes@UseDNS no@g;s@^GSSAPIAuthentication yes@GSSAPIAuthentication no@g'  /etc/ssh/sshd_config

    重新加载sshd配置文件: /etc/init.d/sshd reload

    13)创建目录环境

    mkdir /server/{scripts,tools} /application -p

    14)重启网卡确认配置是否正确

    5. 进行虚拟主机克隆

    1)关闭虚拟模板机,做一个模板机快照

    内存:512M 硬盘:10G   

     

    2)进行虚拟主机克隆

    链接克隆:

    缺点:模板机(母体)没有了,所有链接克隆主机也会消失

    优点:克隆效率高,占用系统资源少

    完整克隆:

    缺点:克隆效率低,占用系统资源多

    优点:克隆主机更加安全,互相独立

    image.png image.png

    第一台虚拟主机名:rsync-backup(按顺序往下排)

    虚拟机位置:最好找一个专用位置存放期中架构虚拟机

    6. 对克隆后的虚拟主机进行网络配置(修改IP地址和主机名)

    注:当多个虚拟主机克隆完毕后,要一台一台开启,进行网 络配置,否则会造成网络地址冲突

    开启一台克隆主机:

    1)修改IP地址

    sed 's#200#41#g' /etc/sysconfig/network-scripts/ifcfg-eth[01] -i

    egrep '41'  /etc/sysconfig/network-scripts/ifcfg-eth[01] -i

     

    2)修改主机名

    hostsname backup

    sed 's#georgekai#backup#g' /etc/sysconfig/network

     

    3) 查看hosts文件是否修改成功(9IP对应的主机名)

     

    4)重启网络服务

    service network restart

    5xshell中重新连接,并设置好会话标签名称


    小伙伴们可以关注我的微信公众号:linux运维菜鸟之旅

    qrcode_for_gh_5ecc48d3d14a_258.jpg

    关注“中国电信天津网厅”公众号,首次绑定可免费领2G流量,为你的学习提供流量! 

    qrcode_for_gh_d20dccd1c74b_258.jpg


    转载于:https://blog.51cto.com/13055758/2062958

    展开全文
  • 4、无线终端,考虑到公司手机与移动电脑增多,增加无线功能,提供给设备连接,要求实现验证功能,而访客区,不进行认证,但不能连接到公司内部,只能访问公司提供的网页服务与Internet连接。 5、保证在正常情况下,...
  • 中小型企业的网络架构设计中企业为了节约成本,一般不采用价格昂贵的硬件防火墙,但又为了保证内部网络的安全很多企业采用微软的ISA server 2006软件防火墙实现内部网络安全的作用。 实例环境:公司总共有300多人...
  • PC就获取该服务器分配的IP地址,这样的话有些恶意的人把网关指向自己的电脑,然后通过抓包工具等实现抓包分析等功能,这样造成不安全,另外就是网段不一致了,导致访问公司内网或外网出现问题,所以我们必须杜绝该...
  • 一、小型公司网络架构 狗子是某大学计算机专业本科应届毕业生,由于自己的技术不错,再加上互联网产业的巨大利润的驱使,狗子决定走上创业这条路,于是,狗子联合了同学二黑,鸡子,狗蛋等人花费了几个月的时间写出...
  • 一般来讲,中小型企业都缺少专职的IT网络架构和IT服务人员,很多企业都会选择把这些服务外包出去,达到公司效益的最大化。但是还是有许多中小企业是没有选择IT外包服务的,都是自己建设企业的网络,接下来给中小企业...
  • 网络架构图如下:一 网络架构方案设计1.1 方案说明公司网络由核心层和接入层组成,核心层为网络的骨干部分。不同部门使用不同的VLAN把vlan154的服务器发布到外网,并使VM1可以访问使vlan155网段可以访问外网管理...
  • 中小型企业网络构建(思科)

    千次阅读 2020-06-11 13:25:10
    网络培训中心网络系统设计1、引言2、网络设计过程综述2.1 设计目标2.2 设计综述3、用户需求分析3.1 公司概况3.1.1 公司的地理位置3.1.2 公司的组织架构3.2 公司网络系统的功能需求3.3 公司网络系统的性能要求3.3.1 ...
  • 目 录 前 言 1.1总体架构设计 1.2网络结构设计 ...3.4.1企业网络服务架构的实现 3.1.2 DNS服务器的实现 3.1.3主域控器的实现 3.1.4辅域控制器的实现 3.1.5 DHCP服务器的实现 3.1.6 WWW服务器的实现 3
  • 企业网络架构介绍 企业网络有很多种,像公司网络、教育网络、政府网络...企业的网络架构主要分为两种,一种是适用于小型企业的扁平化的企业架构,另一种则是适用于大型企业的层次化的企业架构。 扁平化的企业架构
  • 本文简述了对广通汽车制造有限公司企业园区网络建设的指导思想以及对应相关的网络技术该选用的网络设备,在总体的网络架构上,采用经典的三层网络结构,使在地域上分开的部分可以通过核心层相连接,本次方案采用了...
  • 目 录 前 言 1 1.1总体架构设计 6 1.2网络结构设计 6 1.3防火墙设计 6 1.4服务器系统 7 1.4.1用户需求分析 7 1.4.2操作需求分析 7 ...3.4.1企业网络服务架构的实现 24 3.1.2 DNS服务器的实现 25 3.1.
  • 在DSL(数字用户线)线卡执行这些功能来替代上链路设备具有较大的网络灵活性。一个新型专用线卡通信处理器是实现这种分布结构的基础。电信公司正在通过DSL架构提供视频、音频和数据三重服务来与有线公司竞争,争夺...
  • Atmel Corporation近日宣布,面向汽车、工业控制应用的30000多种基于AVR的设计,该公司推出提供无缝迁移至无线网络的802.15.4/ZigBee解决方案。AVR Z-Link解决方案包括Atmel的超低功率、高灵敏性2.4GHz AT86RF230 ...
  • 日前,杭州华三通信技术有限公司(简称:H3C)正式推出了面向小企业(SMB)、企业分支机构、小型金融网点和家庭办公等应用所开发的MSR 20-1X系列多业务路由器产品。  拥有先进的硬件体系架构、多业务集成并发...
  • Atmel Corporation近日宣布,面向汽车、工业控制应用的30000多种基于AVR的设计,该公司推出提供无缝迁移至无线网络的802.15.4/ZigBee解决方案。AVR Z-Link解决方案包括Atmel的超低功率、高灵敏性2.4GHz AT86RF230 ...
  • 中小型互联网公司在并发量不高的情况下可以选用软件负载均衡作为代理层,他们通常和更靠外的“接入层”的硬件负载均衡器合作,为用户提供更好的服务。软件负载均衡的特点是并发1-2w,基于操作系统,容易上手,费用较...
  •  对小型的基础架构实施虚拟化的原因也可归结为管理上的方便和成本的削减。如果你的企业拥有超过2台服务器,或者如果你打算某一天扩增服务器,那么,虚拟化就十分重要。  如今,购买多核处理器的服务器非常普遍,...
  • Atmel宣布,面向汽车、工业和建筑控制应用的30000多种基于 AVR(R) 的设计,该公司推出提供无缝迁移至无线网络的 802.15.4/ZigBee(TM) 解决方案。AVR Z-Link(TM) 解决方案包括 Atmel 的超低功率、高灵敏性 2.4 GHz ...
  • ADI公司的ADIS16355提供完全的三轴惯性检测(角度运动与线性运动)。内核采用iMEMS传感器技术,内置嵌入式处理器用于传感器校准与调谐;采用SPI接口,方便连接与编程;具有±10 g测试范围,环境温度在-40~+85℃;具有...
  • Amazon Web Services (AWS) 云提供广泛... 这使得大企业、初创公司中小型企业以及公共部门的客户可以访问他们所需的基础设施,从而快速响应不断变化的业务需求。 更新日期:2019 年 10 月 15 日 以下概述和详细信...
  • 通常小型企业或是学校单位大多数仅有一条对外的联机,然后全公司内的计算机全部通过这条联机连到因特网上,此时我们更需使用IP分享器来让这一条对外联机分享给所有公司内部员工使用,那么Linux能不能达到此一IP分享...
  • NFS网络文件共享

    2016-09-29 18:27:00
    NFS(Network File System) NFS在企业中的应用场景 企业集群架构中,NFS网络文件系统一般用来存储...NFS是当前互联网系统架构中最常用的数据存储服务之一,特别是中小型网站公司应用频率更高。大公司除了使用NFS...
  • 家居装饰公司版网站管理系统主要面向中小型企业电子商务网站的构建与运营管理进行设计研发,拥有极为灵活的产品架构、极强的可扩展性与可伸缩性,可广泛适合于企业办公信息化等网络业务管理平台的建设,最大限度地...

空空如也

空空如也

1 2 3 4 5 ... 8
收藏数 143
精华内容 57
关键字:

中小型公司网络架构