详解网络系统的搭建案例

最新推荐文章于 2024-09-16 16:02:00 发布

原创最新推荐文章于 2024-09-16 16:02:00 发布 · 1.3k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#操作系统 #运维 #网络

大家好！！我是书记，前些天我收到的一个任务，为一个公司构建了一个网络设备平台，
而且要求在这个平台上使用的是Linux操作系统搭建服务，我把公司的网络环境做个了
简化的扩扑图，我将详细的讲解这个平台搭建的全过程，以及平台之上的服务配置的详细
步骤，因为搭建的服务比较多，我就那一个公司内部使用的服务---------FTP服务来讲解。

首先，我们来分析一下平台搭建的过程；

网络系统=网络架构（提供平台）+网络服务

一.网络架构（主要是cisco 的路由交换）
   1.VTP(虚拟局域网中继协议)
   2.STP(生成树协议)
   3.FEC(快速以太网通道)
   4.三层交换（主要是给vlan 配置ＩＰ地址的）
　 5.HSRP(热备份路由协议)
   6.OSPF(开放式最短路径优先协议)
   7.ACL(访问控制列表)
   8.NAT(网络地址转换)

二网络服务（Dhcp+ftp+dns+web+rras+pki+nlb）

公司是以北京为中心的，上海和深圳是分公司，这两个公司之间我们
可以使用DDN专线，也可以做,或者是跑OSPF协议。（当然这个要
根具公司的具体情况来做决定的。）公司内部有两台核心的三层交换机
为了做到冗余备份和运行的稳定性,以及vlan的统一配置，我们可以做STP,HSRP,VTP and so on.
为了节约ＩＰ地址是的使用，我们可以做Nat 转换，为了安全我们可以做ACL访问控制，为了
远程连接可以做远程等等一系列的东西。好了，现在我们将进入正式的配置过程中。

在4006-sw1上的配置脚本：
en
conf t
no ip do lo
line 0
logg s
exec-t 0 0
exit
int f0/1
no sw
ip add 192.168.1.2 255.255.255.0
no sh
exit
int range f0/2 -4
sh
sw mo t
no sh
int range f0/6 -9
sh
channel-group 1 mode on
sw mo t
no sh
end
vl database
vl 10 name cwb
vl 20 name jsb
vl 100 name xsb
vtp t
vtp s
vtp domain shuji
vtp prunning
exit
conf t
int vl 1
ip add 192.168.0.253 255.255.255.0
no sh
int vl 10
ip add 192.168.10.253 255.255.255.0
no sh
int vl 20
ip add 192.168.20.253 255.255.255.0
no sh
int vl 100
ip add 192.168.100.253 255.255.255.0
no sh
exit
spanning-tree vl 1 root primary
spanning-tree vl 10 root primary
spanning-tree vl 20 root secondary
spanning-tree vl 100 root secondary
exit
conf t
int vl 1
standby 1 priority 200
standby 1 preemt
standby 1 ip 192.168.0.252
exit
int v 10
standby 10 priority 200
standby 10 preemt
standby 10 ip 192.168.10.252
exit
standby 20 priority 150
standby 20 preemt
standby 20 ip 192.168.20.252
exit
standby 100 priority 150
standby 100 preemt
standby 100 ip 192.168.100.252
end
conf t
router ospf 1
net 0.0.0.0 0.0.0.0 area 0
exit

在 4006-sw2上的配置脚本：

en
conf t
no ip do lo
line 0
logg s
exec-t 0 0
exit
int f0/1
no sw
ip add 192.168.2.2 255.255.255.0
no sh
exit
int range f0/2 -4
shutdown
sw mo t
no sh
exit
int range f0/6 -9
sh
channel-group 1 mode on
sw mo t
no sh
exit
int vl 1
ip add 192.168.0.254 255.255.255.0
no sh
int vl 10
ip add 192.168.10.254 255.255.255.0
no sh
int vl 20
ip add 192.168.20.254 255.255.255.0
no sh
int vl 100
ip add 192.168.100.254 255.255.255.0
no sh
exit
sp vl 1 r s
sp vl 10 r s
sp vl 100 r p
sp vl 20 r p
end
conf t
int vl 1
standby 1 priority 150
standby 1 preemt
standby 1 ip 192.168.0.252
exit
int v 10
standby 10 priority 150
standby 10 preemt
standby 10 ip 192.168.10.252
exit
standby 20 priority 200
standby 20 preemt
standby 20 ip 192.168.20.252
exit
standby 100 priority 200
standby 100 preemt
standby 100 ip 192.168.100.252
exit
router ospf 1
net 0.0.0.0 0.0.0.0 area 0
exit

在2950-s1上的配置脚本：

en
conf t
no ip do lo
line 0
logg s
exec-t 0 0
exit
spanning-tree uplinkfast
int f0/10
spanning-tree portfast
end
conf t
int range f0/1 -2
sw mo t
no sh
exit
int f0/10
sw acc vl 10
exit

在2950-s2 上的配置脚本：

en
conf t
no ip do lo
line 0
logg s
exec-t 0 0
exit
int range f0/1 -2
sw mo t
no sh
exit
spanning-tree uplinkfast
exit

在2950-srv上的一些配置脚本：

en
conf t
no ip do lo
line 0
logg s
exec-t 0 0
exit
int range f0/1 -2
sw mo t
no sh
exit
spanning-tree uplinkfast
int f0/10
spanning-tree portfast
exit

在北京上的配置脚本：

en
conf t
no ip do lo
line 0
logg s
exec-t 0 0
exit
int e0/2
ip add 192.168.1.1 255.255.255.0
no sh
int e0/1
ip add 192.168.2.1 255.255.255.0
no sh
int s1/1
ip add 192.168.11.1 255.255.255.0
no sh
int s1/0
ip add 192.168.22.1 255.255.255.0
no sh
int e0/0
ip add 172.16.1.254 255.255.0.0
no sh
exit
ip access-list extended nat
permit ip 192.168.10.0 0.0.0.255 any
permit ip 192.168.100.0 0.0.0.255 any
end
conf t
ip nat inside source list nat interface e0/0 overload
int e0/0
ip nat outside
int e0/1
ip nat inside
int e0/2
ip nat inside
int s1/0
ip nat inside
int s1/1
ip nat inside
exit
router ospf 1
net 192.168.1.1 0.0.0.0 area 0
net 192.168.2.1 0.0.0.0 area 0
net 192.168.22.1 0.0.0.0 area 10
net 192168.11.1 0.0.0.0 area 20
exit
ip route 0.0.0.0 0.0.0.0 172.16.1.1
router ospf 1
default-information origa
exit

在上海上的一些配置脚本：

en
conf t
no ip do lo
line 0
logg s
exec-t 0 0
exit
int s0/0
ip add 192.168.22.2 255.255.255.0
no sh
int lo1
ip add 1.1.1.1 255.255.255.0
no sh
exit
router ospf 1
net 192.168.22.2 0.0.0.0 area 10
exit

在深圳上的配置脚本：

en
conf t
no ip do lo
line 0
logg s
exec-t 0 0
exit
int s0/1
ip add 192.168.11.2 255.255.255.0
no sh
int lo1
ip add 2.2.2.2 255.255.255.0
no sh
exit
router ospf 1
net 192.168.11.2 0.0.0.0 area 20
exit

如果我们想从外网访问内网的话，可以通过*** 来实现它。在北京的
路由器上配置上这些命令：

vpdn enable
vpdn-group 1
accept-dialin
protocol pptp
vir-te 1
exit
exit
username shuji password shuji
ip local pool pptp 1.1.1.1 1.1.1.10
int vir-te 1
ip add 2.2.2.2 255.255.255.0
no sh
en ppp
ppp authen ms-chap
ppp encry mppe 128 required
peer default ip add pool pptp

以上的就是实验的具体的命令，下面是网络服务的搭建过程：

首先，我对Linux下的vsftpd服务做个简单的介绍,

基本概念：
一：ftp有两种模式，主动模式，被动模式。以FTP服务器进行数据传输连接的主动或被动有区别的。
    主动模式：20端口用于传输文件数据，21端口用于传输控制命令。客户端用PORT命令告诉服务器打开了某个端口，服务器去用20端口连接。
    被动模式：21端口用于传输控制命令，服务器在命令链路上用PASV命令告诉客户端打开了某个端口用于客户机去连接。
    linux下，用passive命令可以开启或关闭当前连接的ftp服务器的被动模式；
    linux下，用sendport命令可以开启或关闭当前连接的ftp服务器的主动模式；
二：常用FTP服务器软件。
    Wu-ftp；proftpd；vsftpd；现在我们用VSFPTD。
三：FTP客户端常用基本命令：
    连接：ftp 服务器IP地址；可以用help命令查询帮助信息。PUT，GET，QUIT等。

安装与配置：
一：服务端
基本配置：
1，查询是否安装：rpm -qa |grep vsftpd,用rpm -ivh 安装光盘里面的ftp软件

2，配置自己IP地址：192.168.100.1

   3,几个文件：主配置文件/etc/vsftpd/vsftpd.conf
               /etc/vsftpd.ftpusers文件用于保存不允许进行FTP登录的本地用户账户。
               /etc/vsftpd.user_list文件具有与上一个文件类似的访问控制功能。但更灵活。与主配置文件的配置项结合起来使用。
             比如设置禁止登录的用户账号：在vsftpd.conf中添加两行：userlist_enable=YES
                                                                 userlist_deny=YES /#文件用于设置禁止登录的用户帐户#/
             要是只允许的话就是：userlist_enable=YES /#启用这个文件#/
                                 userlist_deny=NO     /#文件用于设置只允许登录的用户帐户，文件中未包含的帐户禁止ftp登录#/
4,匿名用户的登陆目录为：/var/ftp/pub，要设置适当的权限。
5，ftp服务的启动与关闭：/etc/init.d/vsftpd start
                                             stop
                                             restart
    或者是:service vsfptd restart;start;stop;status等。
6，测试匿名用户可以使用基本概念中步骤三去试验。
高级配置：
1，将FTP本地用户禁锢在宿主目录中：在主配置文件中添加:chroot_local_user=YES，重启服务即可。
2，VSFTP中用户分成三种：匿名用户；本地用户；虚拟用户；下面主要讲解匿名用户的配置：
   （1）建立虚拟用户口令库文件，例如在/root下：vi loging.txt 添加mike
                                                             pwmike
                                                             jim
                                                             pwjim
        其中奇数行表示虚拟用户名，偶数行表示密码。

（2）生成vsftpd的认证文件：先安装db_load命令文件，挂载光盘，安装所有的db4开头的文件:rpm -ivh --aid --force db4-*；
db_load -T -t hash -f loging.txt /etc/vsftpd/vsftpd_login.db

    （3）建立虚拟用户所需的PAM配置文件：
        vi /etc/pam.d/vsftpd.vu 添加两行：
               auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
            account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login

    （4）建立虚拟用户及要访问的目录并设置相应的权限。
        mkdir /home/ftpsite2
        useradd -d /home/ftpsite2 virtual
        chmod -R 777 /home/ftpsite2

    （5）设置vsftpd.conf 先备份：cp vsftpd.conf vsftpd.conf.bak
         vi vsftpd.conf 添加三行：guest_enable=YES
                                  guest_username=virtual
                                  pam_service_name=vsftpd.vu（同时注释掉第106行，以免冲突）
       重新启动服务:service vsftpd restart

    （6）本地验证：ftp localhost 使用虚拟用户进行登陆。
3，对不同的虚拟用户设置不同的权限：
     （1）设置主配置文件，在vsftpd.conf中添加一行：user_config_dir=/etc/vsftpd_user_conf
     （2）mkdir /etc/vsftpd_user_conf;cd /etc/vsftpd_user_conf
         建立用户配置文件，与用户名相同的文件。
      比如：在/etc/vsftpd_user_conf下vi mike 写入(下面的设置不能同时使用，会有冲突)：
                          anon_world_readable_only=YES
                          anon_upload_enable=YES
                          anon_mkdir_write_enable=YES
                          anon_other_write_enable=YES

     其他类似。

4，典型服务器配置，
                     在vsftpd.conf中添加 banner_file=/etc/vsftpd/welcome.txt
                     然后在/etc/vsftpd下面 vi welcome.txt，里面写入自己定义的欢迎信息！
                     可以在vsftpd.conf中添加max_client=100
                                            max_per_ip=5
                                            local_max_rate=5000000
                                            anon_max_rate=200000
   可以对ftp服务器连接数量和每个连接的传输速率进行了限制，有效的管理FTP资源。