第一次来发帖,为了积分和下载点,我把近年学到的网络知识无私共享给大家,帮大家节省3万块学费!阅读之前首先申明:内容都是本人总结归纳!版权所有,不得转载,good good study! day day UP ! 目标一:Ø 模拟公网环境,使外网用户可以和内网用户互收/发邮件;Ø 模拟公网环境,使外网和内网WEB站点实现互访;Ø 模拟公网环境,外部用户和内部用户可以通过WEB方式访问FTP站点;Ø 企业网络采用ISA防火墙与外部通讯,用SQL服务器记录ISA工作日志;Ø 在内部网络搭建文件服务器和打印服务器,并设置相应权限; 要求介绍如下图网络拓扑结构,1) 在内部网络搭建打印服务器和文件服务器,针对部门分别设置打印优先级,客户端通过添加网络打印机访问打印服务器;在文件服务器上设置NTFS权限;2) 在DMZ外围区域,搭建WEB/DNS/FTP/Exchange/SQL服务器,对应IP地址如图所示,外围WEB服务器和FTP服务器站点分别是:www.baidu.com/ ftp://www.baidu.com3) 外部网络有WEB服务器站点www.google.com 即邮件服务器通过OWA 和Outlook访问4) 外部网络服务商DNS服务器IP如图所示5) ISA防火墙采用向外围网络结构,LAN/WAN/DMZ接口IP如图所示。
http_imgload.jpg (33.15 KB, 下载次数: 74)
下载附件 保存到相册
照片描述:版权所有!顺利通过!!!准备Ø 搭建DMZ区域服务器系统安装准备(操作系统都采用Windows Server 2003 Enterprise Edit版本)2 WEB服务器安装:Windowss组件添加删除向导—应用程序服务器---internet信息服务(IIS)2 DNS安装,Windowss组件添加删除向导—网络服务---域名系统(DNS)Ø FTP服务器的安装,这里采用Serv-U搭建Ø Exchange服务器安装2 首先安装活动目录,在安装DNS、IIS、WWW、NNTP、SMTP、ASP.net六大组件,运行光盘中的安装程序,Forestprep准备—DomainPrep准备—打补丁。Ø SQL服务器安装,在工作组环境下安装。Ø ISA安装,准备3块网卡,分别做LAN/WAN/DMZ区域的节点,在工作组环境下安装混合模式。Ø IP地址规划,如图所示。
步骤1. 安装各服务器。并配置固定IP,如图所示,DMZ外围区域服务器网关指192.168.2.1,首选DNS指向202.96.209.2,备用DNS指向192.168.2.22. LAN内部网络PC网关指向192.168.1.1,首选DNS指向202.96.209.23. 在内部WEB服务器上建立网站baidu.com,在DNS服务器上做域名解析,并建立WWW主机头4. 在Exchange服务器上建立正向查找区域baidu.com和主机头WWW,IP指向WEB服务器192.168.2.2,并建立MX邮件交换器选折WWW。5. 在SQL数据库里记录ISA日志,将ISA目录下fwsrv.sql和w3proxy.sql文件复制到SQL服务器上;在SQL服务器上,建立isalog数据库,打开fwsrv.sql和w3proxy.sql文件,选折isalog数据库--执行,出现相应的表,针对数据库用户设置权限(可起用SA用户)--服务器起用SQL和Windows身份验证模式,重起SQL服务;在ISA服务器上—监视—日志(防火墙日志)--日志(SQL数据库)--选项—SQL服务器IP:192.168.2.5,端口:1433—数据库ISALOG---用SQL服务器身份验证,如:SA用户…测试完成。
这里重点提出在防火墙上发布WEB/Exchange/FTP站点,并且外网用户可以和内网用户互相收发邮件,且可以互访WEB站点,实验步骤如下:1) 首先内网PC网关指向192.168.1.1,DNS指向202.96.209.22) 外围Exchange、WEB、FTP、网关指向192.168.2.1,首选DNS 202.96.209.2,备用DNS 192.168.2.23) ISA服务器编辑器==阵列==配置==网络==向外围网络—next==删除==添加适配器—LAN(192.168.1.1)确定—next==添加适配器—DMZ(192.168.2.1)==next==阻止所有访问—完成(应用)4) ISA服务器编辑器==阵列—防火墙策略—新建访问规则—名:in-out==允许==添加—通讯协议(DNS、HTTP、POP3、HTTPS、SMTP)==WEB(FTP)==next==源通讯(内部、外围、本地主机)--目标通讯(外部)--完成l ISA服务器编辑器==阵列—防火墙策略—新建WEB服务器发布规则—名:WEB(允许)--IP:192.168.2.2(勾选转发原始主机头)--任何域名—WEB侦听器(新建)--名:TCP80—所有网络(和本地主机)--next==完成l ISA服务器编辑器==阵列—防火墙策略—新建邮件服务器发布规则—名:Mail_OWA—标准连接—192.168.2.4—任何域名—WEB侦听器(选折TCP80)--完成l ISA服务器编辑器==阵列—防火墙策略—新建邮件服务器发布规则—名:Mail_client—客户端访问:RPC、IMAP、POP3、SMTP—标准端口:全选—192.168.2.4—所有网络(和本地主机)--完成l ISA服务器编辑器==阵列—防火墙策略—新建服务器发布规则—FTP—FTP服务器IP:192.168.2.3—选折协议FTP服务器—所有网络(和本地主机)--完成(应用)l ISA服务器编辑器==阵列—配置—网络—网络规则--(外围访问属性)--网络关系—网络地址转换NAT—完成(应用)5) 分别在外部Exchange和外围Exchange服务器上开启POP3服务:Microsoft Exchange Pop3.6) 在内部DNS服务器上建立www主机—IP:192.168.2.2,新建MX记录--选折WWW资源—完成7) 在外部DNS服务器上建立主要区域:baidu.com,同时建立主机记录WWW和MX邮件交换记录,IP地址指向202.96.209.1。8) 外部PC,DNS指向202.96.209.2—控制面版—邮件—POP3—姓名:外部Exchange服务器上建立的用户,电子邮箱:[email protected]服务器信息:POP3:www.google.com SMTP:www.google.com –测试用户—成功—其它设置—发送服务器(勾选我的发送服务器SMTP要求验证)--使用与接收邮件服务器相同的设置—确定—完成9) 内部PC-- DNS指向202.96.209.2—控制面版—邮件—POP3—姓名:内部Exchange服务器上建立的用户,电子邮箱:[email protected]服务器信息:POP3:www.baidu.com SMTP: www.baidu.com –测试用户—成功—其它设置—发送服务器(勾选我的发送服务器SMTP要求验证)--使用与接收邮件服务器相同的设置—确定—完成10) 外网用户和内网用户用客户端Outlook可以互相收发邮件,且可以互访WEB站点测试通过!!!。
说明:Linux服务器搭建略!!! ………………………………………………………………………………………………………………………………目标二:
如图 自己做的一个要求
http_imgload 2.jpg (59.51 KB, 下载次数: 71)
下载附件 保存到相册
PC配置:
PC(config)#no ip routingPC(config)#int f0/0PC(config-if)#no shPC(config-if)#ip address dhcp (自动获取IP)PC(config-if)#^Z
通过3L交换机和2层交换机和路由之间的配置 可以ping通任何网段和地址
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
R5 配置:
R5(config)#line 0R5(config-line)#exec-ti 0 0R5(config-line)#loggi syR5(config-line)#exitR5(config)#int f0/0R5(config-if)#no ip addR5(config-if)#no shR5(config-if)#ip add 192.168.10.2 255.255.255.252R5(config-if)#exitR5(config)#int f0/1R5(config-if)#no shR5(config-if)#ip add 192.168.20.2 255.255.255.252R5(config-if)#no shR5(config-if)#exitRouter(config)#ip route 192.168.2.0 255.255.255.0 192.168.10.1Router(config)#ip route 192.168.3.0 255.255.255.0 192.168.10.1Router(config)#ip route 192.168.4.0 255.255.255.0 192.168.20.1Router(config)#ip route 192.168.5.0 255.255.255.0 192.168.20.1ip route 0.0.0.0 0.0.0.0 192.168.10.1ip route 0.0.0.0 0.0.0.0 192.168.20.1
===============================
enterminal monitor conf tline 0exec-ti 0 0logg sy=============================
#sh ip cef (查看CEF转发信息库表)#sh adjacency detail (查看邻接关系表)#sh cdp nei (查看直连设备)#sh ip cef (查看FIB转发信息库表)#sh ip route (查看路由信息)^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
R5-R1 配置:
enterminal monitor conf tline 0exec-ti 0 0logg sy
R5\R1 启用PPP chap认证 并设置IP协商R1为主认证端 R5为被认证端
R1(config)#username 3721 password 0 ciscoR1(config)#int s1/0clock rate 64000encapsulation pppppp authentication chapip add 202.96.209.2 255.255.255.252no shpeer default ip address 202.96.209.1 (分配给对端的IP)
R5(config)#username 3721 password 0 ciscoR5(config)#int s1/0no shclock rate 64000ip address negotiated (配置IP协商 IP由R1分配)encapsulation pppppp chap hostname 3721ppp chap password 0 cisco
---------------------------------------------------
配置R5 NAT ---PAT 复用路由器外部接口地址R5(config)#int s1/0ip add 202.96.209.1 255.255.255.252 (IP由R1分配)no shexiint f0/0ip add 192.168.10.2 255.255.255.252no shexiint f0/1ip add 192.168.20.2 255.255.255.252no shexiaccess-list 1 permit 192.168.1.0 0.0.0.255|-------------------------------------------|access-list 2 permit 192.168.2.0 0.0.0.255| |access-list 3 permit 192.168.3.0 0.0.0.255|可省略写成access-list 1 permit 192.168.0.0 0.0.255.255|access-list 4 permit 192.168.4.0 0.0.0.255|------------------------------------------------------------------------------ip nat pool test 202.96.200.2 202.96.200.2 netmask 255.255.255.252 |ip nat inside source list 1 pool test overload |ip nat inside source list 2 pool test overload |ip nat inside source list 3 pool test overload 可省(起始和结束地址相同) |ip nat inside source list 4 pool test overload 写成下面几步 |----------------------------------------------------------------------------
ip nat inside source list 1 int s1/0 overloadip nat inside source list 2 int s1/0 overloadip nat inside source list 3 int s1/0 overloadip nat inside source list 4 int s1/0 overload |可省略写成access-list 1 int s1/0 overload|
int s1/0ip nat outsideexiint f0/0ip nat insideexiint f0/1ip nat inside
----------------------------------------------------------
基于时间ACL访控R5(config)#clock timezone GMT +8EXIR5#clock set 16:30:00 19 August 2008conf ttime-range testabsolute start 9:00 30 August 2008 end 17:00 30 August 2009periodic weekdays 8:30 to 17:30exiaccess-list 100 deny ip any any access-list 100 permit ip any any int s1/1ip access-group 100 out
---------------------------------------------^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
R7-R5-R4 配置:
=============================================================================================R5----------------------------------(R5和R4之间的VPN建立)
config#crypto isakmp policy 1 encryption 3desauthentication pre-sharegroup 2hash md5 exit
config#crypto isakmp key 0 cisco address 45.45.45.45 (对端IP)access-list 100 permit ip 192.168.101.0 0.0.0.255 192.168.0.0 0.0.255.255crypto ipsec transform-set test1 esp-md5-hmac esp-3desexit
config#crypto map map1 1 ipsec-isakmp (定义名map1)match address 100set peer 45.45.45.45 (对端IP)set transform-set test1 (定义名test1)exit
ip route 45.0.0.0 255.0.0.0 Serial1/1ip route 192.168.101.0 255.255.255.0 s1/1
int s1/1no shclock rate 64000ip add 54.54.54.54 255.0.0.0crypto map map1end
enterminal monitor conf tline 0exec-ti 0 0logg sy======================================R4config#crypto isakmp policy 1encryption 3desauthentication pre-sharegroup 2hash md5 exit
crypto isakmp key 0 cisco address 54.54.54.54access-list 100 permit ip 192.168.0.0 0.0.255.255 192.168.101.0 0.0.0.255crypto ipsec transform-set test1 esp-md5-hmac esp-3desexit
config#crypto map map1 1 ipsec-isakmp match address 100set peer 54.54.54.54set transform-set test1exit
config#ip route 54.0.0.0 255.0.0.0 s1/2ip route 192.168.0.0 255.255.0.0 s1/2
int s1/2no shclock rate 64000ip add 45.45.45.45 255.0.0.0crypto map map1end
conf tint lo 1ip add 192.168.101.1 255.255.255.0 (内网地址虚拟在loopback 1 口上)no shend==============================================================================================
R5-R7 之间的gre over ipsec 建立
R5(config)#crypto isakmp policy 10encr 3des hash md5authentication pre-sharegroup 5exi
crypto isakmp key cisco address 202.96.100.1crypto ipsec transform-set test2 esp-3des esp-md5-hmac mode transportexi
crypto map map2 10 ipsec-isakmp set peer 202.96.100.1 set transform-set test2 match address 101exi
interface Tunnel 0ip unnumbered S1/2 (调用)也可直接给通道IP 写成 57.57.57.57 255.0.0.0tunnel source S1/2 (源)tunnel destination 202.96.100.1 (目的地)crypto map map2 (map一定要调用在tunnel口上)exi
interface S1/2ip address 202.96.101.2 255.255.255.252exi
ip route 202.96.100.0 255.255.255.0 s1/2ip route 192.168.100.0 255.255.255.0 Tunnel0ip route 75.0.0.0 255.0.0.0 Tunnel 0
router ripnetwork 57.0.0.0 network 202.96.101.0[/al ... 本帖为精华帖,如要查看隐藏内容,请支付0.5元给本帖作者。写帖不易,请多支持。立即支付
评论
懵逼国有懵逼路,懵逼路旁懵逼树,懵逼树下有个我。。。
评论
牛逼啊,666666666666666666666666
评论
这么长,原创总结,必须加精
评论
这样看不懂呀 有教材下吗
评论
这种看,估计没有几个看得懂的
评论
你这技术也闷厉害了 我是一点都看不懂了
评论
这么好的文章为啥加分的没有 我给你加点啊 兄台加油
评论
多谢兄台支持!多谢兄台支持!!多谢兄台支持!!!
评论
看图一步步操作就可以了!目标二需要思科路由和3层交换机
评论
看图一步步操作就可以了!目标二需要思科路由和3层交换机
评论
看图一步步操作就可以了!目标二需要思科路由和3层交换机
评论
感谢饼哥支持!我会继续努力!!
评论
客气客气
评论
现在好多都是华为的交换机了 我记得命令好像不通用
评论
部分是通用的,不过目前很多外资企业用思科的多
评论
加个好友吧 交流一下 搞不好还可以合作一下 我微信 :W895275395
评论
网络工程没搞过,值得一看呀,楼主真是厉害
评论
看得懂的点个支持。看不懂的点下反对
评论
楼主厉害。。但是这个我们用不上。。。没接触过 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01
·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 {日本国际学校}梅田インターナショナルスクール
·日本学校 LINE:sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場 一時1ドル=140円台まで上昇?
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办?