整体网络结构规划
该公司拥有4个部门,根据网络规模及集中管理和结构简单的原则采用单域结构,以实现网络资源集中管理,保障管理上的简单性和低成本,域名为hl.com。在域内按照部门名称分组织单位(OU),即创建4个组织单位,分别是人事部,财务部,销售部,技术部,用来存储和管理各部门的用户帐号、组及打印机等资源。整个域结构与公司管理结构相匹配可以实现资源的层次管理。
域控作为作为整个域的核心服务器,完成对所有人员的帐户管理和安全策略的实施,为保证服务器工作质量,另需一台成员服务负责实现各种服务。
公司网络架构如拓扑所示。
图3-1公司网络拓扑
3.2区域划分及IP地址规划
在各部门OU下创建部门员工账户,账户名为员工拼音;为每个部门创建全局组,并将部门的员工账户分别加入各部门的全局组。
表3-1用户规划表
部门 | 全局组(OU) |
人事部 | Personnel |
技术部 | Technology |
销售部 | Market |
财务部 | Financial |
本项目中IP地址采用B类地址 172.17.0.0/24。计算机默认网关为172.16.0.1,首选DNS服务器地址为172.16.0.2。服务器占用172.16.0.1-172.16.0.10之间的IP。客户机占用172.160.11以上的IP地址。
表3-2 IP地址分配表
计算机名称 | IP地址 | 子网掩码 | 默认网关 | 首选DNS |
DC | 172.16.0.2 | 255.255.0.0 | 172.16.0.1 | 172.16.0.2 |
Server | 172.16.0.3 | 255.255.0.0 | 172.16.0.1 | 172.16.0.2 |
人事部 | 172.16.1.2-254 | 255.255.0.0 | 172.16.1.1 | 172.16.0.2 |
财务部 | 172.16.2.2-254 | 255.255.0.0 | 172.16.2.1 | 172.16.0.2 |
销售部 | 172.16.3.2-254 | 255.255.0.0 | 172.16.3.1 | 172.16.0.2 |
技术部 | 172.16.4.2-254 | 255.255.0.0 | 172.16.4.1 | 172.16.0.2 |
表3-3三层交换机上各VLAN的IP
VLAN名称 | IP地址 | 子网掩码 |
VLAN0 | 172.16.0.1 | 255.255.255.0 |
VLAN1 | 172.16.1.1 | 255.255.255.0 |
VLAN2 | 172.16.2.1 | 255.255.255.0 |
VLAN3 | 172.16.3.1 | 255.255.255.0 |
VLAN4 | 172.16.4.1 | 255.255.255.0 |
服务器的操作系统
由于公司的服务器数量较少,可以单独安装Windows 2003。
为了节约成本,故让多种服务运行在一台服务器上:
(1)DNS、DHCP、VPN共用一台服务器——DC服务器。
(2)Web、FTP、打印服务,邮件服务安装在Server服务器上。
客户机的操作系统安装
客户机数量较多,采用批量布置的方法,使用Sysprep命令和Ghost工具。
安装完后,对相应的计算机命名,服务器采用服务功能命名,客户机可以按照使用者的姓名、部门或职位命名。
配置IP按照前面规划,设置完IP,一般使用IPconfig/all 命令及ping 命令验证是否连通。客户机的IP等配置完DHCP将自动分配。
3.4 设备选型
公司服务器设备选购服务器类行业的拥有龙头地位的IBM公司的 x3650 M3,该型号服务器机架式服务器,节省空间,散热性能好,5506的处理器,大众化的价格,中小企业容易接受, 可升级CPU,内存,做虚拟服务器用,大容量的L3,稳定的电源适配器,整机性能好,采用节能型设计,能够在便于维护和管理的基础上支持更多的硬件扩展,有效降低成本。
图3-2 x3650 M3服务器外形
表3-4 x3650 M3服务器详细参数
基本参数 | |
机架式纠错 | |
产品结构 | 2U纠错 |
处理器 | |
CPU类型 | |
CPU型号 | Xeon E5506纠错 |
2.13GHz纠错 | |
制程工艺 | 45nm纠错 |
1MB纠错 | |
三级缓存 | 4MB纠错 |
QPI 4.8GT/s纠错 | |
CPU核心 | |
CPU线程数 | 四线程纠错 |
主板 | |
4×PCI-E(二代插槽)纠错 | |
内存 | |
内存插槽数量 | 18纠错 |
192GB纠错 | |
存储 | |
硬盘接口类型 | SAS纠错 |
146GB纠错 | |
最大硬盘容量 | 8TB纠错 |
网络 | |
集成双端口千兆网卡纠错 | |
Windows Server 2003 和 2008 以及 Red Hat Enterprise Linux SUSE Linux Enterprise Server VMware ESXi 4.0 嵌入式虚拟化管理程序纠错 |
3.4.2三层交换机的选型
作为网络VLAN划分和DHCP中继的服务者,我们选用思科公司的C3560G三层交换机。它提供了可用性、安全性和服务质量(QoS)功能,改进了网络运营,采用24端口配置,配备2个模块化插槽,接口丰富。还支持堆叠功能,扩展性很不错,功能比较丰富。产品做工好,质量可靠。产品综合性能出众,是适用于小型企业布线室或分支机构环境的理想接入层交换机。
图3-3 CISCO C3560G外观
表3-5 CISCO C3560G详细参数
主要参数 | |
企业级交换机纠错 | |
应用层级 | 三层纠错 |
DRAM内存:128MB | |
存储-转发纠错 | |
32Gbps纠错 | |
38.7Mpps纠错 | |
12K纠错 | |
端口结构 | 非模块化纠错 |
28个纠错 | |
端口描述 | 24个以太网10/100/1000Mbps端口,4个SFP上行链路端口纠错 |
2纠错 | |
支持全双工纠错 | |
IEEE 802.3,IEEE 802.3u,IEEE 802.3z,IEEE 802.3ab纠错 | |
堆叠功能 | 可堆叠纠错 |
支持纠错 | |
QOS | 支持纠错 |
网络管理 | 网管功能SNMP,CLI,Web,管理软件纠错 |
电源电压 | AC 100-240V,50-60Hz纠错 |
产品尺寸 | 378×445×44mm纠错 |
5.4kg纠错 | |
环境标准 | 工作温度:0-45℃ |
3.4.3硬件防火墙的选型
Cisco Secure PIX防火墙535提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的Cisco Secure PIX防火墙系列的组成部分,PIX 535能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全(IPSec)虚拟专网(VPN)功能与千兆位以太网吞吐量灵活地结合在一起。PIX 535是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统(OS)紧密集成在一起,该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX535防火墙的核心是基于自适应安全算法(ASA)的一种保护机制,它可以提供面向静态连接的防火墙功能,能够进行50万个同时连接,并同时防止常见的拒绝服务(DoS)攻击。
图3-4 PIX535外形
表3-6 PIX技术规格
处理器: | 1.0 GHz Intel Pentium III |
随机读写内存: | 512 MB或1 GB SDRAM(寄存型PC 133) |
闪存: | 16 MB |
高速缓存: | 256 KB Level 2,1 GHz |
系统总线: | 双64位,66MHz PCI;单32位,33MHz PCI |
PCI总线: | 9个PCI插槽(4个64位/66MHz,5个32位/33MHz) |
随机读写内存: | 6个DIMM插槽,支持多达6GB的PC133 DRAM接口 |
控制台端口: | RS-232(RJ-45)9600波特率 |
故障切换端口: | RS-232(DB-15)115Kbps(需要Cisco专用电缆) |
4.1 Active Directory的配置和管理
Active Directory又称为活动目录,是Windows Server 2003系统中非常重要的目录服务。Active Directory 用于存储网络上各种对象的有关信息,包括用户账户、组、打印机、共享文件夹等,并把这些数据存储在目录服务数据库挡中,便于管理员和用户查询及使用,活动目录具有安全性、可扩展性、可伸缩性的特点,与DNS集成在一起,根据公司规划进行管理。目录数据库使整个公司网络的配置信息集中存储,使管理员在管理网络时可以集中管理而不是分散管理。
图4-1-1 域的规划拓扑
根据公司先前的规划,我们需要将两台服务器的其中一台创建为域控制器,即DC服务器,另外一台作为成员服务器,两台服务器分工明确,有各自的具体执行的服务项目。并且连接到公司网络的所有客户端计算机都要加入该域控制器所在的域hl.com。域控作为整个域的核心服务器,完成对所有人员的帐户管理和安全策略的实施,为保证服务器工作质量,另需一台成员服务负责实现各种服务。
4.1.1创建域控制器
在DC服务器上的“运行”中执行dcpromo命令安装AD,提升为域控制器,为海龙公司创建一个新域,域名为hl.com。在安装AD的过程中安装DNS服务,保障域名解析服务正常运行。
具体创建步骤如下:
(1)安装好Windows Server 2003操作系统后,进入系统,首先确认本地连接TCP/IP属性中首选DNS指向自己。
(2)在“运行”对话框中输入dcpromo打开active Directory 安装向导
(3)在“域控制器类型”页面中,选择“新域的域控制器”。
图4-1-2 Active Directory 安装向导 图4-1-3 选择创建的域的类型
(4)在“创建一个新域”页面中,选择“在新林中的域”。
(5)在新的域名页面中,输入新域的完整域名(FQDN)。
(6)在“NetBIOS域名”页面中确认NetBIOS名。
(7)单击下一步,可以改变活动目录数据库以及日志文件存放的路径。单击下一步制定sysvol文件夹的位置,默认即可。
(8)单击下一步,DNS注册诊断页面,选择第二项单选按钮。
图4-1-3 注册诊断 图4-1-4正在安装active Directory
(9)在“目录服务还原模式的管理员密码”页面中,设置一个密码,用于活动目录损坏后,进行恢复时使用。
(10)最后,系统显示安装摘要,如果需要修改某些地方,则单击上一步进行修改,如果一切正常,单击下一步开始安装。安装完毕后重启计算机。
4.1.2将Server服务器加入到域
创建域控制器后,将Server服务器升级成为成员服务器。
具体步骤如下
(1)首先在Server 服务器上,确认“本地连接”属性中的TCP/IP协议的首选DNS指向了hl.com域的DNS服务器,即172.16.0.2。
(2)单击“开始”→“控制面板”→“系统”菜单项,弹出“系统属性”对话框,选择“计算机名”标签,单击“更改”,弹出“计算机名更改”对话框。
图4-1-5“计算名更改”对话框
(3)在“隶属于”选项区域中选择“域”,并输入域名“hl.com”,单击确定,输入hl.com域的管理员账户和密码,确定后重新启动计算机。
为了匹配公司的管理模型,在域内按照部门名称划分组织单位,将来创建各个部门的用户账户和组归属于各个部门的OU。使用“Active Directory 用户计算机”工具创建OU。在各部门OU下创建部门员工账户,账户名为员工拼音;为每个部门创建全局组,并将部门的员工账户分别加入各部门的全局组。
表4-1-1 用户规划表
部门 | 全局组(OU) |
人事部 | Personnel |
技术部 | Technology |
销售部 | Market |
财务部 | Financial |
图4-1-6创建OU完成
使用“Active Directory 用户和计算机”工具,在各部门的OU中分别为该部门员工创建用户账户,账户名为员工姓名的拼音。
为每个部门创建全局组,将同部门的员工账户分别加入各部门的全局组中,以便于在以后通过全局组对部门的权限作统一分配
图4-1-7新建用户 图4-1-8为新用户设置密码
(1)单击“开始” “管理工具” “域安全策略”,打开域安全策略。
(2)设置密码策略:账户密码长度不小于8个字符,密码必须符合复杂性要求。
(3)设备账户锁定策略:账户锁定阈值为5.账户锁定时间为默认值30分钟。
(4)设置审核策略,启用账户登录事件和对象访问的审核。
由于公司网络较为庞大,有上百台终端设备,因此需要安装DHCP服务器为各个终端设备分配IP地址,这样就能免去了网络管理人员手工为工作站分配IP地址的重复操作,从而有效地提高了局域网管理效率。
可是当前网络规划中设置了三层交换机,根据工作部门的不同将若干台终端设备人为划分成了几个VLAN后,局域网中的所有工作站就不能同时从同一台DHCP服务器那里申请得到有效的IP地址了,这是因为DHCP服务器无法工作在多个VLAN中,也就是说局域网中的普通工作站发出的地址申请请求信息是不能在多个VLAN中进行广播的,当普通工作站位于不同VLAN中时,地址申请请求信息就由于不能准确找到普通工作站而发送失败。
解决方案是在安装、配置了三层交换机的局域网工作环境中,我们可以通过配置三层交换机的中继代理参数,来实现让同一台DHCP服务器服务多个VLAN的目的。
在三层交换机中为每一个VLAN连接端口安装、配置DHCP中继代理功能,此后当前局域网中任意一台普通终端向网络发出地址申请广播信息后,广播信息如果在本地的VLAN中得不到及时应答时,地址申请广播信息就会自动被转交给VLAN连接端口,然后通过该端口的DHCP中继代理功能被转发到位于其他VLAN中的DHCP服务器,DHCP服务器收到地址申请请求信息后会立即进行响应,响应信息又会通过DHCP中继代理功能及时反馈给目标工作站,至此局域网任何VLAN中的普通终端设备都能从同一台DHCP服务器那里获得有效的IP地址了。
图4-2-1 DHCP的网络规划拓扑
公司网络一共有五个网段,且在不同VLAN中,除开管理网段外,共要建立4个作用域(personnel、Financial、 Market、 Technology),并在与服务器相连的三层交换机上做DHCP中继,来给处于不同网段的部门动态分配IP。
表4-2-1 DHCP作用域规划表
作用域名 | 起始IP | 结束IP | 子网掩码 | 默认网关 | DNS |
Personnel | 172.16.1.3 | 172.16.1.254 | 255.255.0.0 | 172.16.1.1 | 172.16.0.2 |
Financial | 172.16.2.3 | 172.16.2.254 | 255.255.0.0 | 172.16.2.1 | 172.16.0.2 |
Market | 172.16.3.3 | 172.16.3.254 | 255.255.0.0 | 172.16.3.1 | 172.16.0.2 |
Technology | 172.16.4.3 | 172.16.4.254 | 255.255.0.0 | 172.16.4.1 | 172.16.0.2 |
具体配置过程:
对DHCP服务器进行配置,在DC 服务器上,通过“Windows 组件向导”安装DHCP服务。依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中双击“管理工具”图标,打开系统的管理工具列表窗口;其次双击管理工具列表窗口中的DHCP选项,进入本地服务器系统的DHCP控制台窗口,在该窗口的左侧显示区域用鼠标右键单击服务器主机名称,从弹出的快捷菜单中执行“新建作用域”命令,在其后出现的作用域创建向导对话框中输入新的作用域的名称信息,并单击“下一步”按钮,之后根据向导提示设置好地址池的起始IP地址、结束IP地址以及子网掩码地址等参数;
图4-2-2“DHCP”管理器
之后继续单击“下一步”按钮,在其后的设置对话框中设置好需要排除在外的IP地址范围,出现在这里的IP工作站将无法获取,网络管理员往往会将这些重要的IP地址用于局域网中的服务器主机、路由器设备或防火墙设备等使用,随后向导窗口会提示对租约期限参数进行合适配置,该参数的缺省数值为8天,要是局域网中可以使用的IP地址数量比较少时,可以尝试将该数值调整得稍微小一些,也就是说让IP地址交换的频率适当提高一些,以防止IP地址被长时间占用;不过,对于内网来说,通常IP地址的可用数量都比较多,那么租约期限参数设置得稍微长一些没有什么关系。
图4-2-3 新建作用域向导 图4-2-4 设置作用域的IP范围
图4-2-5 添加排除IP范围 图4-2-6 地址租约设置
当向导窗口询问我们是否要对客户端的网关地址以及DNS参数进行设置时,我们可以选中对应窗口中的“是,我现在想配置这些选项”选项,之后根据提示正确设置好局域网的网关地址,以及DNS服务器地址,最后激活新创建的作用域就可以了。按照相同的操作方法,我们还需要为局域网中其他创建各自的作用域。
图4-2-7 配置DHCP选项 图4-2-8 添加路由网关
图4-2-9 域名称和DNS服务器设置 图4-2-10 建好后的作用域
配置完DHCP服务器后,DHCP服务还未完善,我们还需对三层交换机进行配置,使得DHCP服务器可以对公司整个网络进行服务。
由于公司分为多个部门,为阻隔不同部门的网络广播,对公司全网进行了VLAN的划分,使得管理员更有效方便的对网络进行管理。
但又因为VLAN阻隔了网络的广播,使得DHCP服务器无法服务于不通网段,所以我们还要在三层交换机上进行DHCP中继服务的配置