摘 要
海龙公司为了满足企业运营的需求公司决定重新部署企业的网络,本文根据海龙公司的背景及现状,分析公司具体需求。作出了本公司的网络服务器的规划。
公司由一台三层交换将公司的四个部门划分在4个VLAN中,另外加上服务器和连接外网的防火墙所在VLAN,但根据任务分配,本文主要从两台企业服务的安装配置做详细讲解。而三层交换主要是完成DHCP中继服务,达到一台DHCP服务器为多个VLAN提供DHCP服务的目的。
公司运行两台搭载Windows Server 2003的服务器,其中DC服务器创建为hl.com的域控制器,作为DHCP、DNS、VPN等服务的服务器;另外一台Server服务器为hl.com域的成员服务器,在其上运行Web、FTP、打印服务、邮件服务等服务。DNS负责FTP、 Web 邮件域名等服务的域名解析任务,应公司对外业务需求,需要创建VPN服务来实现出差人员的远程访问公司内部资源。公司每个部门都一台打印机,将统一被打印服务器规划配置。服务器的各项具体规划分析和配置过程将在文中详细讲解。
关键字:Windows Server 2003,DHCP , VPN,防火墙
目 录
随行社会的发展和信息技术的飞速进步,特别是网络技术的飞跃,在今天这个信息化的社会里,网络技术的已经超越了其他技术的发展。作为一个IT行业的技术人员来说知道怎么去简单的使用电脑已跟不上时代发展的步伐。那么在网络的背后又是什么操纵着这些复杂的服务呢?Windows的普及使计算机不再只是为那些技术人员使用,它给大家带来一个简单易用的操作,只你对计算机有此了解就能使用计算机算机去做很多事,微软公司历史最为重要的产品Windows Server 2003操作系统中文版于2003年5月22门下式在中国正式发售。
Windows Server 2003操作系统采用NT的技术,并在其上作了大量的改进使得Windows Server 2003操作系统平台比此前的Windows操作系统平台更加可靠、更易扩展,更易部署,更易管理,更易使用。Windows 2003平台明显地降低了总体拥有成本(TCO),实现了新一代的应用程序,为介业组织创建数字神经系统提供了坚实的基础.
社会网络的蓬勃发展,影响到了网络营销型企业的行为。通过网络,企业可以进行各种商务活动。企业的内部业务形式不仅有企业内部各部门之间的近距离的分布,也有跨国集团性质的分支机构在全球范围内的远距离分布。所以即使是在不同的地理位置,企业内部的各业务部门和分支机构也应该能在自己的权限范围内毫无障碍的实行分工协作,共同完成目标任务。
本文从根据海龙公司背景及用户需求,经过多方探讨规划处一套设计方案,以及具体实施过程,来讲述海龙公司内部网络服务器搭载Windows Server 2003在DHCP、DNS、FTP等方面的规划及配置过程。
海龙是一家电脑产品的销售商,其中公司包括人事,财务,销售,技术等四大部门,有员工约100名,此外还有一名总经理和四名部门经理,现有建筑办公楼一幢,有四层,第一层足接待大厅和产品展厅,第一层是员工办公层,第二层是经理室和会议室,第四层是中心机房,为了满足企业运营的需求公司决定重新部署企业的网络,规划部署一个约为200台计算机组成的局域网,现要对公司的网络进行规划和实施,已知公司已租借了一个公网IP为100.100.100.1和ISP提供的一个公网DNS服务IP地址为100.100.100.2,根据公司的背景对整个网络服务器的搭建。
(1)公司网络可以正常运行,应有DHCP服务器,提供IP地址自动获取。并且需要接入层的三层交换机连接外网和各个内网网段。
(2)公司有自己的对外宣传网站,应建立Web服务器,可以对外发布公司主页站点。
(3)公司内部局域网要有文件服务,可以通过文件服务共享各种文件资源。
(4)公司内部要有邮件服务,以便上级向下级、部门向部门传达各种工作信息。
(5)要建立域名解析服务,来保证公司网站、文件服务、邮件服务的正常运行。
(6)公司有多台打印机,应统一管理,建立打印服务器。
(7)公司员工有出差在外工作需要访问公司内部资源,所以要有远程访问服务。
2.2.2 账户管理
(1)公司对员工账户需求如下:
(2)一人一个账户;
(3)所有账户集中存储管理;
(4)按部门管理账户;
(5)账户密码长度不小于8;
(6)密码具有复杂性要求;
(7)对个别员工试探别人密码的行为要有所防范;
(8)权限级别从公司高层到基层由大到小。
2.2.3 文件管理
公司对文件和文件夹管理的需求如下:
(1)公司所有常用软件安装文件共享在一台文件服务器上
(2)员工文档需要靠存储、方便访问。总经理可以读取和修改全公司文档。部门经理可以读取和修改本部门文档。普通的员工可以读取本部门和修改自己的文档。
(3)在文件服务器上做空间限制:总经理无限制,部门经理为16G,普通员工为8G。
2.2.4 打印机管理
公司对打印机需求如下:
有一台专门打印机用于总经理和各部门经理的使用,各部门拥有一台自己部门的打印机。总经理的优先权限高于部门经理,部门经理优先权限高于普通员工。
2.2.5 对外联网
(1)每位员工可以正常上互联网
(2)要有安全机制,保证服务器和公司内部资料不被外部黑客攻击。
该公司拥有4个部门,根据网络规模及集中管理和结构简单的原则采用单域结构,以实现网络资源集中管理,保障管理上的简单性和低成本,域名为hl.com。在域内按照部门名称分组织单位(OU),即创建4个组织单位,分别是人事部,财务部,销售部,技术部,用来存储和管理各部门的用户帐号、组及打印机等资源。整个域结构与公司管理结构相匹配可以实现资源的层次管理。
域控作为作为整个域的核心服务器,完成对所有人员的帐户管理和安全策略的实施,为保证服务器工作质量,另需一台成员服务负责实现各种服务。
公司网络架构如拓扑所示。
图3-1公司网络拓扑
3.2区域划分及IP地址规划
在各部门OU下创建部门员工账户,账户名为员工拼音;为每个部门创建全局组,并将部门的员工账户分别加入各部门的全局组。
表3-1用户规划表
部门 | 全局组(OU) |
人事部 | Personnel |
技术部 | Technology |
销售部 | Market |
财务部 | Financial |
本项目中IP地址采用B类地址 172.17.0.0/24。计算机默认网关为172.16.0.1,首选DNS服务器地址为172.16.0.2。服务器占用172.16.0.1-172.16.0.10之间的IP。客户机占用172.160.11以上的IP地址。
表3-2 IP地址分配表
计算机名称 | IP地址 | 子网掩码 | 默认网关 | 首选DNS |
DC | 172.16.0.2 | 255.255.0.0 | 172.16.0.1 | 172.16.0.2 |
Server | 172.16.0.3 | 255.255.0.0 | 172.16.0.1 | 172.16.0.2 |
人事部 | 172.16.1.2-254 | 255.255.0.0 | 172.16.1.1 | 172.16.0.2 |
财务部 | 172.16.2.2-254 | 255.255.0.0 | 172.16.2.1 | 172.16.0.2 |
销售部 | 172.16.3.2-254 | 255.255.0.0 | 172.16.3.1 | 172.16.0.2 |
技术部 | 172.16.4.2-254 | 255.255.0.0 | 172.16.4.1 | 172.16.0.2 |
表3-3三层交换机上各VLAN的IP
VLAN名称 | IP地址 | 子网掩码 |
VLAN0 | 172.16.0.1 | 255.255.255.0 |
VLAN1 | 172.16.1.1 | 255.255.255.0 |
VLAN2 | 172.16.2.1 | 255.255.255.0 |
VLAN3 | 172.16.3.1 | 255.255.255.0 |
VLAN4 | 172.16.4.1 | 255.255.255.0 |
服务器的操作系统
由于公司的服务器数量较少,可以单独安装Windows 2003。
为了节约成本,故让多种服务运行在一台服务器上:
(1)DNS、DHCP、VPN共用一台服务器——DC服务器。
(2)Web、FTP、打印服务,邮件服务安装在Server服务器上。
客户机的操作系统安装
客户机数量较多,采用批量布置的方法,使用Sysprep命令和Ghost工具。
安装完后,对相应的计算机命名,服务器采用服务功能命名,客户机可以按照使用者的姓名、部门或职位命名。
配置IP按照前面规划,设置完IP,一般使用IPconfig/all 命令及ping 命令验证是否连通。客户机的IP等配置完DHCP将自动分配。
3.4 设备选型
公司服务器设备选购服务器类行业的拥有龙头地位的IBM公司的 x3650 M3,该型号服务器机架式服务器,节省空间,散热性能好,5506的处理器,大众化的价格,中小企业容易接受, 可升级CPU,内存,做虚拟服务器用,大容量的L3,稳定的电源适配器,整机性能好,采用节能型设计,能够在便于维护和管理的基础上支持更多的硬件扩展,有效降低成本。
图3-2 x3650 M3服务器外形
表3-4 x3650 M3服务器详细参数
基本参数 | |
机架式纠错 | |
产品结构 | 2U纠错 |
处理器 | |
CPU类型 | |
CPU型号 | Xeon E5506纠错 |
2.13GHz纠错 | |
制程工艺 | 45nm纠错 |
1MB纠错 | |
三级缓存 | 4MB纠错 |
QPI 4.8GT/s纠错 | |
CPU核心 | |
CPU线程数 | 四线程纠错 |
主板 | |
4×PCI-E(二代插槽)纠错 | |
内存 | |
内存插槽数量 | 18纠错 |
192GB纠错 | |
存储 | |
硬盘接口类型 | SAS纠错 |
146GB纠错 | |
最大硬盘容量 | 8TB纠错 |
网络 | |
集成双端口千兆网卡纠错 | |
Windows Server 2003 和 2008 以及 Red Hat Enterprise Linux SUSE Linux Enterprise Server VMware ESXi 4.0 嵌入式虚拟化管理程序纠错 |
3.4.2三层交换机的选型
作为网络VLAN划分和DHCP中继的服务者,我们选用思科公司的C3560G三层交换机。它提供了可用性、安全性和服务质量(QoS)功能,改进了网络运营,采用24端口配置,配备2个模块化插槽,接口丰富。还支持堆叠功能,扩展性很不错,功能比较丰富。产品做工好,质量可靠。产品综合性能出众,是适用于小型企业布线室或分支机构环境的理想接入层交换机。
图3-3 CISCO C3560G外观
表3-5 CISCO C3560G详细参数
主要参数 | |
企业级交换机纠错 | |
应用层级 | 三层纠错 |
DRAM内存:128MB | |
存储-转发纠错 | |
32Gbps纠错 | |
38.7Mpps纠错 | |
12K纠错 | |
端口结构 | 非模块化纠错 |
28个纠错 | |
端口描述 | 24个以太网10/100/1000Mbps端口,4个SFP上行链路端口纠错 |
2纠错 | |
支持全双工纠错 | |
IEEE 802.3,IEEE 802.3u,IEEE 802.3z,IEEE 802.3ab纠错 | |
堆叠功能 | 可堆叠纠错 |
支持纠错 | |
QOS | 支持纠错 |
网络管理 | 网管功能SNMP,CLI,Web,管理软件纠错 |
电源电压 | AC 100-240V,50-60Hz纠错 |
产品尺寸 | 378×445×44mm纠错 |
5.4kg纠错 | |
环境标准 | 工作温度:0-45℃ |
3.4.3硬件防火墙的选型
Cisco Secure PIX防火墙535提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的Cisco Secure PIX防火墙系列的组成部分,PIX 535能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全(IPSec)虚拟专网(VPN)功能与千兆位以太网吞吐量灵活地结合在一起。PIX 535是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统(OS)紧密集成在一起,该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX535防火墙的核心是基于自适应安全算法(ASA)的一种保护机制,它可以提供面向静态连接的防火墙功能,能够进行50万个同时连接,并同时防止常见的拒绝服务(DoS)攻击。
图3-4 PIX535外形
表3-6 PIX技术规格
处理器: | 1.0 GHz Intel Pentium III |
随机读写内存: | 512 MB或1 GB SDRAM(寄存型PC 133) |
闪存: | 16 MB |
高速缓存: | 256 KB Level 2,1 GHz |
系统总线: | 双64位,66MHz PCI;单32位,33MHz PCI |
PCI总线: | 9个PCI插槽(4个64位/66MHz,5个32位/33MHz) |
随机读写内存: | 6个DIMM插槽,支持多达6GB的PC133 DRAM接口 |
控制台端口: | RS-232(RJ-45)9600波特率 |
故障切换端口: | RS-232(DB-15)115Kbps(需要Cisco专用电缆) |
4.1 Active Directory的配置和管理
Active Directory又称为活动目录,是Windows Server 2003系统中非常重要的目录服务。Active Directory 用于存储网络上各种对象的有关信息,包括用户账户、组、打印机、共享文件夹等,并把这些数据存储在目录服务数据库挡中,便于管理员和用户查询及使用,活动目录具有安全性、可扩展性、可伸缩性的特点,与DNS集成在一起,根据公司规划进行管理。目录数据库使整个公司网络的配置信息集中存储,使管理员在管理网络时可以集中管理而不是分散管理。
图4-1-1 域的规划拓扑
根据公司先前的规划,我们需要将两台服务器的其中一台创建为域控制器,即DC服务器,另外一台作为成员服务器,两台服务器分工明确,有各自的具体执行的服务项目。并且连接到公司网络的所有客户端计算机都要加入该域控制器所在的域hl.com。域控作为整个域的核心服务器,完成对所有人员的帐户管理和安全策略的实施,为保证服务器工作质量,另需一台成员服务负责实现各种服务。
4.1.1创建域控制器
在DC服务器上的“运行”中执行dcpromo命令安装AD,提升为域控制器,为海龙公司创建一个新域,域名为hl.com。在安装AD的过程中安装DNS服务,保障域名解析服务正常运行。
具体创建步骤如下:
(1)安装好Windows Server 2003操作系统后,进入系统,首先确认本地连接TCP/IP属性中首选DNS指向自己。
(2)在“运行”对话框中输入dcpromo打开active Directory 安装向导
(3)在“域控制器类型”页面中,选择“新域的域控制器”。
图4-1-2 Active Directory 安装向导 图4-1-3 选择创建的域的类型
(4)在“创建一个新域”页面中,选择“在新林中的域”。
(5)在新的域名页面中,输入新域的完整域名(FQDN)。
(6)在“NetBIOS域名”页面中确认NetBIOS名。
(7)单击下一步,可以改变活动目录数据库以及日志文件存放的路径。单击下一步制定sysvol文件夹的位置,默认即可。
(8)单击下一步,DNS注册诊断页面,选择第二项单选按钮。
图4-1-3 注册诊断 图4-1-4正在安装active Directory
(9)在“目录服务还原模式的管理员密码”页面中,设置一个密码,用于活动目录损坏后,进行恢复时使用。
(10)最后,系统显示安装摘要,如果需要修改某些地方,则单击上一步进行修改,如果一切正常,单击下一步开始安装。安装完毕后重启计算机。
4.1.2将Server服务器加入到域
创建域控制器后,将Server服务器升级成为成员服务器。
具体步骤如下
(1)首先在Server 服务器上,确认“本地连接”属性中的TCP/IP协议的首选DNS指向了hl.com域的DNS服务器,即172.16.0.2。
(2)单击“开始”→“控制面板”→“系统”菜单项,弹出“系统属性”对话框,选择“计算机名”标签,单击“更改”,弹出“计算机名更改”对话框。
图4-1-5“计算名更改”对话框
(3)在“隶属于”选项区域中选择“域”,并输入域名“hl.com”,单击确定,输入hl.com域的管理员账户和密码,确定后重新启动计算机。
为了匹配公司的管理模型,在域内按照部门名称划分组织单位,将来创建各个部门的用户账户和组归属于各个部门的OU。使用“Active Directory 用户计算机”工具创建OU。在各部门OU下创建部门员工账户,账户名为员工拼音;为每个部门创建全局组,并将部门的员工账户分别加入各部门的全局组。
表4-1-1 用户规划表
部门 | 全局组(OU) |
人事部 | Personnel |
技术部 | Technology |
销售部 | Market |
财务部 | Financial |
图4-1-6创建OU完成
使用“Active Directory 用户和计算机”工具,在各部门的OU中分别为该部门员工创建用户账户,账户名为员工姓名的拼音。
为每个部门创建全局组,将同部门的员工账户分别加入各部门的全局组中,以便于在以后通过全局组对部门的权限作统一分配
图4-1-7新建用户 图4-1-8为新用户设置密码
(1)单击“开始” “管理工具” “域安全策略”,打开域安全策略。
(2)设置密码策略:账户密码长度不小于8个字符,密码必须符合复杂性要求。
(3)设备账户锁定策略:账户锁定阈值为5.账户锁定时间为默认值30分钟。
(4)设置审核策略,启用账户登录事件和对象访问的审核。
由于公司网络较为庞大,有上百台终端设备,因此需要安装DHCP服务器为各个终端设备分配IP地址,这样就能免去了网络管理人员手工为工作站分配IP地址的重复操作,从而有效地提高了局域网管理效率。
可是当前网络规划中设置了三层交换机,根据工作部门的不同将若干台终端设备人为划分成了几个VLAN后,局域网中的所有工作站就不能同时从同一台DHCP服务器那里申请得到有效的IP地址了,这是因为DHCP服务器无法工作在多个VLAN中,也就是说局域网中的普通工作站发出的地址申请请求信息是不能在多个VLAN中进行广播的,当普通工作站位于不同VLAN中时,地址申请请求信息就由于不能准确找到普通工作站而发送失败。
解决方案是在安装、配置了三层交换机的局域网工作环境中,我们可以通过配置三层交换机的中继代理参数,来实现让同一台DHCP服务器服务多个VLAN的目的。
在三层交换机中为每一个VLAN连接端口安装、配置DHCP中继代理功能,此后当前局域网中任意一台普通终端向网络发出地址申请广播信息后,广播信息如果在本地的VLAN中得不到及时应答时,地址申请广播信息就会自动被转交给VLAN连接端口,然后通过该端口的DHCP中继代理功能被转发到位于其他VLAN中的DHCP服务器,DHCP服务器收到地址申请请求信息后会立即进行响应,响应信息又会通过DHCP中继代理功能及时反馈给目标工作站,至此局域网任何VLAN中的普通终端设备都能从同一台DHCP服务器那里获得有效的IP地址了。
图4-2-1 DHCP的网络规划拓扑
公司网络一共有五个网段,且在不同VLAN中,除开管理网段外,共要建立4个作用域(personnel、Financial、 Market、 Technology),并在与服务器相连的三层交换机上做DHCP中继,来给处于不同网段的部门动态分配IP。
表4-2-1 DHCP作用域规划表
作用域名 | 起始IP | 结束IP | 子网掩码 | 默认网关 | DNS |
Personnel | 172.16.1.3 | 172.16.1.254 | 255.255.0.0 | 172.16.1.1 | 172.16.0.2 |
Financial | 172.16.2.3 | 172.16.2.254 | 255.255.0.0 | 172.16.2.1 | 172.16.0.2 |
Market | 172.16.3.3 | 172.16.3.254 | 255.255.0.0 | 172.16.3.1 | 172.16.0.2 |
Technology | 172.16.4.3 | 172.16.4.254 | 255.255.0.0 | 172.16.4.1 | 172.16.0.2 |
具体配置过程:
对DHCP服务器进行配置,在DC 服务器上,通过“Windows 组件向导”安装DHCP服务。依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中双击“管理工具”图标,打开系统的管理工具列表窗口;其次双击管理工具列表窗口中的DHCP选项,进入本地服务器系统的DHCP控制台窗口,在该窗口的左侧显示区域用鼠标右键单击服务器主机名称,从弹出的快捷菜单中执行“新建作用域”命令,在其后出现的作用域创建向导对话框中输入新的作用域的名称信息,并单击“下一步”按钮,之后根据向导提示设置好地址池的起始IP地址、结束IP地址以及子网掩码地址等参数;
图4-2-2“DHCP”管理器
之后继续单击“下一步”按钮,在其后的设置对话框中设置好需要排除在外的IP地址范围,出现在这里的IP工作站将无法获取,网络管理员往往会将这些重要的IP地址用于局域网中的服务器主机、路由器设备或防火墙设备等使用,随后向导窗口会提示对租约期限参数进行合适配置,该参数的缺省数值为8天,要是局域网中可以使用的IP地址数量比较少时,可以尝试将该数值调整得稍微小一些,也就是说让IP地址交换的频率适当提高一些,以防止IP地址被长时间占用;不过,对于内网来说,通常IP地址的可用数量都比较多,那么租约期限参数设置得稍微长一些没有什么关系。
图4-2-3 新建作用域向导 图4-2-4 设置作用域的IP范围
图4-2-5 添加排除IP范围 图4-2-6 地址租约设置
当向导窗口询问我们是否要对客户端的网关地址以及DNS参数进行设置时,我们可以选中对应窗口中的“是,我现在想配置这些选项”选项,之后根据提示正确设置好局域网的网关地址,以及DNS服务器地址,最后激活新创建的作用域就可以了。按照相同的操作方法,我们还需要为局域网中其他创建各自的作用域。
图4-2-7 配置DHCP选项 图4-2-8 添加路由网关
图4-2-9 域名称和DNS服务器设置 图4-2-10 建好后的作用域
配置完DHCP服务器后,DHCP服务还未完善,我们还需对三层交换机进行配置,使得DHCP服务器可以对公司整个网络进行服务。
由于公司分为多个部门,为阻隔不同部门的网络广播,对公司全网进行了VLAN的划分,使得管理员更有效方便的对网络进行管理。
但又因为VLAN阻隔了网络的广播,使得DHCP服务器无法服务于不通网段,所以我们还要在三层交换机上进行DHCP中继服务的配置。
配置命令及步骤如下:
(1)创建VLAN(缺省为VTP server模式):
Switch>vlan database Switch(Vlan)>vlan 0 name server Switch(Vlan)>vlan 1 name personnel Switch(vlan)>vlan 2 name financial Switch(vlan)>vlan 3 name market Switch(vlan)>vlan 4 name technology Switch(vlan)>exit |
(2)启用DHCP中继代理:
Switch>enable Switch#conf t Switch(Config)service dhcp Switch(Config)IP dhcp relay information option |
(3)设置VLAN IP地址:
Switch(Config)>int vlan 0 Switch(Config-vlan)IP address 172.16.0.1 255.255.255.0 Switch(Config-vlan)no shut Switch(Config-vlan)>int vlan 1 Switch(Config-vlan)IP address 171.16.2.1 255.255.255.0 Switch(Config-vlan)no shut Switch(Config-vlan)>int vlan 2 Switch(Config-vlan)IP address 171.16.2.1 255.255.255.0 Switch(Config-vlan)no shut Switch(Config-vlan)>int vlan 3 Switch(Config-vlan)IP address 171.16.3.1 255.255.255.0 Switch(Config-vlan)no shut Switch(Config-vlan)>int vlan 4 Switch(Config-vlan)IP address 172.16.4.1 255.255.255.0 Switch(Config-vlan)no shut Switch(Config-vlan)exit |
(4)将端口添加到VLAN 0/1/2/3/4中
Switch(Config)interface range fa 0/1 – 6 Switch(Config-if-range)switchport mode access Switch(Config-if-range)switchport access vlan 0 Switch(Config)interface range fa 0/7 – 10 Switch(Config-if-range)switchport mode access Switch(Config-if-range)switchport access vlan 1 Switch(Config)interface range fa 0/11 – 14 Switch(Config-if-range)switchport mode access Switch(Config-if-range)switchport access vlan 2 Switch(Config)interface range fa 0/15 – 18 Switch(Config-if-range)switchport mode access Switch(Config-if-range)switchport access vlan 3 Switch(Config)interface range fa 0/19 – 22 Switch(Config-if-range)switchport mode access Switch(Config-if-range)switchport access vlan 4 Switch(Config-if-range)exit |
(5)在各个VLAN中设定DHCP服务器地址
Switch(Config)int vlan 0 Switch(Config-vlan)IP helper-address 172.16.0.2 Switch(Config-vlan)exit Switch(Config)int vlan 1 Switch(Config-vlan)IP helper-address 172.16.0.2 Switch(Config-vlan)exit Switch(Config)int vlan 2 Switch(Config-vlan)IP helper-address 172.16.0.2 Switch(Config-vlan)exit Switch(Config)int vlan 3 Switch(Config-vlan)IP helper-address 172.16.0.2 Switch(Config-vlan)exit Switch(Config)int vlan 4 Switch(Config-vlan)IP helper-address 172.16.0.2 Switch(Config-vlan)exit |
(6)启用路、结束并保存配置
Switch(Config)IP routing Switch(Config)exit Switch#copy run start |
三层交换配置完毕后,DHCP服务功能已经可以使用。全网的VLAN也划分完毕。
由于公司各部门经常派职员出差,当出差人员在外地需要访问公司内部资源时,要需要远程访问服务。这里通过架设VPN服务来实现远程访问功能。VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源。
并且VPN的优势还体现在多方面:
(1)使用VPN可降低成本——通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。
(2)传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。
(3)连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。
(4)完全控制——虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。
(1)选样“开始”——“管理工具”—— “路由和远程访问”,右击服务器,选择“配置并启用路由和远程访问”,打开“欢迎使用路由和远程访问”。
图4-4-1 “配置”页面 图4-4-2 “远程访问”页面
(2)在“配置”页面,选择“远程访问(VPN)”,在“远程访问”页面,选择“VPN”。在“VPN连接”页面,选择用来连接Ineternet的网络接口。我们应该选择公网的地址。
(3)在IP地址的指定页面,我们有以下两个选择:
① 自动。有VPN服务器DHCP服务器索取IP地址,然后指派客户端。
② 来自一个指定的地址范围,点击“下一步”后设置一段IP地址范围,用来指派客户端。
在本次配置中我们选择“来自一个指定的地址范围”“在指地址指定中”新建地址范围“172.16.0.100—172.16.0.200”。