1.1 案例描述
某公司总部位于北京,分别在上海、长沙设有两个分支机构。公司总部设有服务器区和办公区,公司总部职员约150人,每个分支机构职员约100人。
公司租借公网的一个IP地址222.222.222.40和ISP提供的一个公网DNS服务器(IP地址为202.106.46.151),公司在公网上注册的域名为amy.com。公司总部服务器区位于192.168.0.0网段,上海分公司位于192.168.10.0网段,长沙分公司位于192.168.20.0网段。整个项目需实现的功能有以下几条。
① 为了增强服务器的安全性,部署iptables防火墙,实现数据包的过滤;设置文件权限限制,限制普通用户对系统文件的使用;限制普通用户访问登录系统的权限。
② 为了防止因服务器发生故障而导致网络信息无法访问,应用集群技术来承载。
③ 分公司及出差在外地或因为请假在家的员工需要通过互联网与公司总部通信,访问企业内部资源。为了增强企业内部资源的安全性,通过 VPN 服务器在总公司与分公司、出差及休假员工之间建立虚拟网络通道进行通信。分公司之间也可通过 VPN 服务器架设虚拟的网络通道进行网络通信。
整个项目的网络拓扑图,如图1-1所示。
图1-1 项目总图
整个项目由8个子项目构成,每个子项目功能描述如下。
1.搭建DNS服务器
公司在总部搭建一台DNS域名解析服务器和辅助DNS服务器,实现amy.com域的解析,实现公司内部和外部域名解析。当主DNS服务器发生故障时候,通过区域传输,构建辅助DNS服务器,承载主DNS服务器解析任务。
(1)正向解析任务如下:
dns.amy.com—192.168.0.1;fdns.amy.com—192.168.0.6;www.amy.com—192.168.0.2;
mail.amy.com—192.168.0.3;ftp.amy.com—192.168.0.4;samba.amy.com—192.168.0.5;
vpn.amy.com—192.168.0.252;dhcp.amy.com—192.168.0.253;oa.amy.com—192.168.0.200。
(2)反向解析任务:实现正向解析任务中IP地址到域名的反向解析。
(3)DNS服务器域名解析网络拓扑图,如图1-2所示。
图1-2 DNS域名解析
2.搭建Web服务器
公司在总部搭建一台Apache服务器,用于发布总公司和分公司的网页(总公司、子公司都有自己独立的网站),站点域名分别为bj.amy.com、sh.amy.com、cs.amy.com。这三个域名解析到Apache服务器192.168.0.2,并通过域名服务器192.168.0.1完成域名和IP之间的映射关系。建立/var/www/bj、/var/www/sh、/var/www/cs目录,分别用于存放bj.amy.com、sh.amy.com、cs.amy.com这三个网站。管理员邮箱都设置为root@amy.com。
(1)bj.amy.com 网站搭建 PHP 论坛实现广大用户的在线交流,PHP 论坛数据存放在MySQL 数据库中。要求该网站可满足 1000 人同时在线访问,并且该网站有个非常重要的子目录/security,里面的内容仅允许来自192.168.0.0/24这个网段的成员访问,其他全部拒绝。首页设置为index.php。
(2)sh.amy.com网站首页设置为index.html,该网站有子目录/down,采用基于别名实现对于资源的下载,并设定只有经过认证的用户才可以登录下载,认证的用户名为xinxi,密码为123456。
(3)cs.amy.com网站首页设置为index.jsp。安装tomcat应用软件,与Apache进行整合,搭建jsp环境。
(4)Apache服务器网络拓扑图如图1-3所示。
图1-3 Web服务器
3.搭建E-mail服务器
搭建E-mail服务器,构建企业内部员工邮箱,用于收发电子邮件。该邮件服务器的IP地址为192.168.0.3,负责投递的域为amy.com。该局域网内部的DNS服务器为192.168.0.1,该DNS服务器负责 amy.com 域的域名解析工作。要求 user1 用户通过配置该邮件服务器实现邮箱账号user1@amy.com向邮箱账号为user@amy.com的用户user发送邮件。网络拓扑图如图1-4所示。
图1-4 E-mail服务器
4.搭建FTP服务器
公司总部服务器区需要架设一台 FTP 服务器,实现企业内部资源的上传、下载。要求该服务器具有以下几条功能。
(1)设置只有本地用户user1和user2可以访问FTP服务器,其他用户都不可以;
(2)设置将所有本地用户都锁定在家目录中;
(3)拒绝192.168.1.0/24的主机访问FTP服务器;
(4)对域amy.com和192.168.10.0/24内的主机不做连接数和最大传输速率限制,对其他主机的访问限制每个IP的连接数为1,最大传输速率为20KB/S,拓扑图如图1-5所示。
图1-5 FTP服务器
5.搭建Samba服务器
总公司局域网中存在大量的Linux主机和Windows主机,Linux主机之间可以使用Samba服务器(192.168.0.5)进行资源的共享。现在公司需要进行一个开发项目,需要使用Linux主机和Windows主机的用户一起完成,因此需要架设一台文件服务器来实现不同操作系统类型的终端之间的资源共享。局域网的网络地址为192.168.0.0,新架设的Samba(文件服务器)IP地址为192.168.0.5,网络拓扑图如图1-6所示。
图1-6 Samba服务器
6.搭建DHCP服务器
总公司服务器区的DHCP服务器(192.168.0.253)实现给一个网段的计算机动态的分配IP地址,即客户端计算机(client computer1~client computer4)分配的IP地址范围在192.168.0.0这个网段,服务器区的DHCP服务器要给办公区不在一个网段(192.168.1.0)的客户端计算机(client computer5~client computer9)动态分配IP地址,通过DHCP代理服务器(192.168.0.251)实现。网络拓扑图如图1-7所示。
图1-7 DHCP服务器
7.搭建VPN服务器
当出差在外地的用户要通过互联网访问企业局域网内部资源时,就需要在互联网与企业内部之间建立一个安全的虚拟专用网络(VPN)通道。建立虚拟专用网络通道可通过VPN服务器实现。
远程接入VPN:外地用户通过ISP连上互联网后,通过互联网与总公司的VPN服务器建立VPN连接,进行安全通信。网络拓扑图如图1-8所示。
图1-8 远程接入VPN
局域网间 VPN:长沙分公司局域网和上海分公司局域网均连接到互联网,两个分公司局域网间要经由Internet进行安全通信,可以另两公司分别建立自己的VPN服务器,对数据进行加密后在Internet上进行通信。网络拓扑图如图1-9所示。
图1-9 局域网间VPN
8.Linux集群技术
集群技术主要用来实现负载平衡,当总公司的服务器区的主服务器发生故障时,备份服务器自动接受主服务器的工作,承担主服务器的工作任务。假设总公司的Web服务器、E-mail服务器、DNS服务器等发生故障,应用虚拟的集群服务器(IP地址:192.168.0.6)来承担相应服务器的工作任务,网络拓扑图如图1-10所示。
图1-10 集群服务器