中小企业网络部署

实验要求

1.登录

Username:  root

Password: ChinaSkill20!

Username: Chinaskill20

Password: Chinaskill20!

注：若非特别指定，所有账号的密码均为 Chinaskill20!

2.系统配置

Region:  China

Locale:  English US (UTF-8)

Key Map:    English US

当任务是配置SSL或者TLS，如要求隐藏所有警告，请小心执行。

3.实验环境

物理机 (HOST)：

文件夹路径：

虚拟机:Debian

ISO 镜像：

项目任务描述

某公司要为员工提供便捷、安全稳定内外网络服务，你作为一个公司网络系统管理员，负责公司网络系统管理，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：

1.拓扑图

2.基本配置

服务器和客户端基本配置如下表：

Device	Hostname	System	FQDN	IP Address	Service
Rserver	Rserver	Linux  server（预装）	Rserver.skills.net Rserver.sdskills.net	172.16.100.254 192.168.10.2 10.10.100.254	Proxy(squid) Firewall(iptables) Dhcp CA Shellscript(bash)

网络：

Network	CIDR
office	10.10.100.0/24
service	172.16.100.128/25
internet	192.168.10.0/28

3.任务需求

任务设备:Client,Rserver,servr01,server02,server03,server04。

SERVER04 TASK

1.System install

• 完成系统的安装，桥接网卡，把网卡桥接到Internet网段的虚拟交换机上。

2.NETWORK

• 请根据基本配置信息配置服务器的主机名，网卡IP地址配置、域名服务器、网关等。

3.DNS(bind)

• 安装bind服务；
• 为域skills.net提供必要的域名解析;
• 当非skills.net域的解析时，统一解析到Rserver连接Internet网段的IP地址或Rserver.skills.net。

4.webserver(apache)

• • 提供www.skills.net;
    • skills公司的门户网站；
    • 使用apache服务；
    • 网页文件放在/htdocs/skills；
    • 服务以用户webuser运行；
    • 首页内容为“This is the front page of skills's website.”;
    • /htdocs/sdskills/staff.html内容为“Staff Information”；
    • 该页面需要员工的账号认证才能访问；

• • • 员工账号存储在ldap中，账号为zsuser、lsus
  • 网站使用https协议；
    • SSL使用RServer颁发的证书, 颁发给:

C = net

ST = China

L = ShangDong

O = skills

OU = Operations Departments

net = *.skills.net

• • • Rserver的CA证书路径：/CA/cacert.pem
    • 签发数字证书，颁发者：

C = net;

O =  Inc

OU = www.shills.net

net = shill Global Root CA

• • • 客户端访问https时应无浏览器（含终端）安全警告信息；
    • 当用户使用http访问时自动跳转到https安全连接；
    • 当用户使用skills.net或any.skills.net（any代表任意网址前缀）访问时，自动跳转到www.skills.net。

5.SSH

• 安装SSH；
• 仅允许client客户端进行ssh访问，其余所有主机的请求都应该拒绝；
• 配置client只能在Chinaskill20用户环境下可以免秘钥登录，端口号为3344，并且拥有root控制权限。

6.Chroncy

    . 时间同步

实验步骤

主机名：Server04306

域名：Server04306.skills.com

IP地址： 172.20.95.107

1.System install

• 完成系统的安装，桥接网卡，把网卡桥接到Internet网段的虚拟交换机上。（略）

2.NETWORK

• 请根据基本配置信息配置服务器的主机名，网卡IP地址配置、域名服务器、网关等。

第一步：配置主机名，以及查看主机名

Hostnamectl set-hostname (主机名）

第二步： 配置域名，以及查看域名vim /etc/hosts

1. 重启服务

4、查看IP地址是否配置成功，网卡是否启动

 

综上，配置完成 

1. DNS(bind)

• 安装bind服务；

 第一步： 安装bind9 软件包

apt-get install bind9

apt-get install bind9-host dnsutils

apt-get install bind9-doc

• 为域skills.net提供必要的域名解析;

 第二步：编写bind9主配文件

vim /etc/bind/named.conf.default-zones

 第三步：添加正向解析

 #cd  /etc/bind

#cp -a db.local db.skills.net

/etc/bind# vim db.skills.net   ##编写正向解析配置文件

 第三步：添加反向解析

root@Server04306:/etc/bind# cp -a db.127 db.172

root@Server04306:/etc/bind# vim db.172    ##编写反向解析配置文件

• 当非skills.net域的解析时，统一解析到Rserver连接Internet网段的IP地址或Rserver.skills.net。

 第四步：编写 /etc/resolv.conf它是DNS客户机配置文件，用于设置DNS服务器的IP地址及DNS域名，还包含了主机的域名搜索顺序。

root@:/etc/bind# vim /etc/resolv.conf

domain localdomain      //定义本地域名

search sdskills.com       //定义域名的搜索列表

nameserver 172.16.100.201     //定义DNS服务器的IP地址

第五步：重启 bind9 服务systemctl restart bind9

第六步：查看域名是否可以解析成功

 综上，域名解析正反向均已成功——>(DNS服务是搭建其他服务的前提）

第一步：安装apache2服务，Debian系统默认已安装完成

 第二步：创建apache首页文件，以及用户登录访问页面

root@Server04306:~# mkdir /htdocs/skills -p

root@Server04306:~# vim /htdocs/skills/index.html     ## apache首页文件

This is the front page of skills's website.

root@Server04306:~# vim /htdocs/sdskills/staff.html    ##用户登录访问页面

Staff Information

第三步：创建用户，以及创建apache密码文件

root@Server04306:~# useradd webuser       ## 创建用户

root@Server01:~# htpasswd -c /etc/apache2/ldap zsuser    ##htpasswd建立和更新存储用户名、密码的文本文件， 用于对HTTP用户的basic认证。

New password:       ##输入密码

Re-type new password:       ##确认密码

Adding password for user zsuser

第三步：编写apache 主配置文件

root@Server01:~# vim /etc/apache2/apache2.conf

 第四步：重启服务

Systemctl restart apache2

第五步：测试首页文件

 第六步：测试用户访问界面

出现刚刚编辑的页面即成功

 综上，apache服务首页配置，及用户访问页面配置已完成 （后续会有https加密配置）

第一步：创建证书创建目录

root@Server04306:~# mkdir /CA/

root@Server04306:~# cd /CA/

第二步：生成根证书

第二步：生成请求证书

查看请求证书：  

 第三步：将apahce2.csr (请求证书拷贝到服务器中)保证ssh服务已配置好

第四步：登陆到Rserver(服务器)，给Server04下发证书（等待认证即可）

root@Server04306:/CA# cp -a /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-enabled/001-default.conf       

root@Server04306:/CA# vim /etc/apache2/sites-enabled/001-default.conf      ##进入配置文件更改ssl路径

更改ServerAdmin路径

 第七步：当用户使用http访问时自动跳转到https安全连接；

root@Server04306:/CA# vim /etc/apache2/sites-enabled/000-default.conf

 ServerAdmin webmaster@localhost

 DocumentRoot /htdocs/skills

 redirect permanent / https://www.skills.com        ##当用户使用http访问时自动跳转到https安全连接

第七步：启动模块，重启服务

打开虚拟机的浏览器

 第八步：到浏览器中添加根证书 about:preferenc

点击view

选择impport

找到Rserver传回来的文件

点击确定即可测试网页

 第九步：测试https://www.skills.com 是否成功

也可以输入curl any.skills.net 测试网页是否能登录

5、SSH

第一步：安装SSH软件包（Debian系统默认SSH软件包已安装完成）

 apt install -y ssh

第二步：更改ssh配置文件

Vim /etc/ssh/sshd_cofig

如需修改将port改为3344

第三步： 重启服务

systemctl restart ssh

第四步： Client端创建Chinaskill20用户

解释器改为 /bin/bash ——否则Chinaskill20用户登录会出现问题

1、Chinaskill20用户登录终端

2、创建默认密钥

3、拷贝本机公钥到远程主机上

4、测试免密登录是否成功

综上，实验已配置完成，免密登录成功

(1)安装chronyc软件包

显示我这样则为下载成功

1. 编写bind9主配置文件

进入文件里面

Server 172.20.95.105 iburst 为同步的服务器IP地址

allow 172.20.95.107/24 为允许的IP的网段 将其他5个的服务器的IP像我一样加入到文件之中.

在其他的服务器中加入如图所示的代码同步为我的服务器的时间

命令: vim /etc/chrony/chrony.conf进去到文件 加入pool 172.20.95.105 ibutst同步我的服务器时间

配置chrony 以 Rserver为例在/etc/crontab文件中加入*/1 * * * * root  ntpdata -u 172.20.95.99

添加1分钟自动同步时间

172.20.95.99为Rserver的IP地址

(3)命令chronyc clients 查看拉取到哪些

2.出现的故障及排除

（1）web服务中出现apache2配置文件出现问题，导致apache2难以重启，经过排查，证书路径出现错误，有html文件路径问题。

（2）ssh服务中出现客户机无法免密连接server01的问题，经排查，是ssh公钥出现问题。

（3）DNS服务中，出现无法反向解析的问题，经排查，发现是文件内容修改有误的原因。

3.存在的不足

(1)实验环境限制：由于实验环境的限制，可能无法完全模拟真实的网络管理环境，导致实验结果与实际情况存在一定差异。

(2)实验时间限制：由于实验时间的限制，无法实现所有方面的功能，只能进行一部分实验内容，无法全面展示网络设计与规划的整体过程。

(3)学生实践经验不足：对于初学者来说，可能缺乏实践经验，对于一些复杂的网络设计与规划问题可能无法很好地解决，需要进一步的学习和实践。