开启辅助访问

QQ登录

只需一步,快速开始

注册 找回密码 切换到宽版 |

迅维网

查看: 954|回复: 29
[维修经验]

网络工程师实战

  [复制链接]
发表于 2018-10-7 22:05 | 显示全部楼层 |阅读模式

马上注册,阅读更多精彩内容

您需要 登录 才可以下载或查看,没有帐号?注册

x
第一次来发帖,为了积分和下载点,我把近年学到的网络知识无私共享给大家,帮大家节省3万块学费!阅读之前首先申明:内容都是本人总结归纳!版权所有,不得转载,good good study! day day UP !
目标一:
Ø        模拟公网环境,使外网用户可以和内网用户互收/发邮件;
Ø        模拟公网环境,使外网和内网WEB站点实现互访;
Ø        模拟公网环境,外部用户和内部用户可以通过WEB方式访问FTP站点;
Ø        企业网络采用ISA防火墙与外部通讯,用SQL服务器记录ISA工作日志;
Ø        在内部网络搭建文件服务器和打印服务器,并设置相应权限;
要求介绍
如下图网络拓扑结构,
1)       在内部网络搭建打印服务器和文件服务器,针对部门分别设置打印优先级,客户端通过添加网络打印机访问打印服务器;在文件服务器上设置NTFS权限;
2)       DMZ外围区域,搭建WEB/DNS/FTP/Exchange/SQL服务器,对应IP地址如图所示,外围WEB服务器和FTP服务器站点分别是:www.baidu.com/ ftp://www.baidu.com
3)       外部网络有WEB服务器站点www.google.com 即邮件服务器通过OWA Outlook访问
4)       外部网络服务商DNS服务器IP如图所示
5)       ISA防火墙采用向外围网络结构,LAN/WAN/DMZ接口IP如图所示。


http_imgload.jpg

照片描述:版权所有!顺利通过!!!
准备
Ø         搭建DMZ区域服务器系统安装准备(操作系统都采用Windows Server 2003 Enterprise Edit版本)
2        WEB服务器安装:Windowss组件添加删除向导—应用程序服务器---internet信息服务(IIS)
2        DNS安装,Windowss组件添加删除向导—网络服务---域名系统(DNS)
Ø         FTP服务器的安装,这里采用Serv-U搭建
Ø         Exchange服务器安装
2        首先安装活动目录,在安装DNS、IIS、WWW、NNTP、SMTP、ASP.net六大组件,运行光盘中的安装程序,Forestprep准备—DomainPrep准备—打补丁。
Ø         SQL服务器安装,在工作组环境下安装。
Ø         ISA安装,准备3块网卡,分别做LAN/WAN/DMZ区域的节点,在工作组环境下安装混合模式。
Ø         IP地址规划,如图所示。

步骤
1.         安装各服务器。并配置固定IP,如图所示,DMZ外围区域服务器网关指192.168.2.1,首选DNS指向202.96.209.2,备用DNS指向192.168.2.2
2.         LAN内部网络PC网关指向192.168.1.1,首选DNS指向202.96.209.2
3.         在内部WEB服务器上建立网站baidu.com,在DNS服务器上做域名解析,并建立WWW主机头
4.         在Exchange服务器上建立正向查找区域baidu.com和主机头WWW,IP指向WEB服务器192.168.2.2,并建立MX邮件交换器选折WWW。
5.         在SQL数据库里记录ISA日志,将ISA目录下fwsrv.sql和w3proxy.sql文件复制到SQL服务器上;在SQL服务器上,建立isalog数据库,打开fwsrv.sql和w3proxy.sql文件,选折isalog数据库--执行,出现相应的表,针对数据库用户设置权限(可起用SA用户)--服务器起用SQL和Windows身份验证模式,重起SQL服务;在ISA服务器上—监视—日志(防火墙日志)--日志(SQL数据库)--选项—SQL服务器IP:192.168.2.5,端口:1433—数据库ISALOG---用SQL服务器身份验证,如:SA用户…测试完成。

这里重点提出在防火墙上发布WEB/Exchange/FTP站点,并且外网用户可以和内网用户互相收发邮件,且可以互访WEB站点,实验步骤如下:
1)        首先内网PC网关指向192.168.1.1,DNS指向202.96.209.2
2)        外围Exchange、WEB、FTP、网关指向192.168.2.1,首选DNS 202.96.209.2,备用DNS 192.168.2.2
3)        ISA服务器编辑器==阵列==配置==网络==向外围网络—next==删除==添加适配器—LAN(192.168.1.1)确定—next==添加适配器—DMZ(192.168.2.1)==next==阻止所有访问—完成(应用)
4)        ISA服务器编辑器==阵列—防火墙策略—新建访问规则—名:in-out==允许==添加—通讯协议(DNS、HTTP、POP3、HTTPS、SMTP)==WEB(FTP)==next==源通讯(内部、外围、本地主机)--目标通讯(外部)--完成
l         ISA服务器编辑器==阵列—防火墙策略—新建WEB服务器发布规则—名:WEB(允许)--IP:192.168.2.2(勾选转发原始主机头)--任何域名—WEB侦听器(新建)--名:TCP80—所有网络(和本地主机)--next==完成
l         ISA服务器编辑器==阵列—防火墙策略—新建邮件服务器发布规则—名:Mail_OWA—标准连接—192.168.2.4—任何域名—WEB侦听器(选折TCP80)--完成
l         ISA服务器编辑器==阵列—防火墙策略—新建邮件服务器发布规则—名:Mail_client—客户端访问:RPC、IMAP、POP3、SMTP—标准端口:全选—192.168.2.4—所有网络(和本地主机)--完成
l         ISA服务器编辑器==阵列—防火墙策略—新建服务器发布规则—FTP—FTP服务器IP:192.168.2.3—选折协议FTP服务器—所有网络(和本地主机)--完成(应用)
l         ISA服务器编辑器==阵列—配置—网络—网络规则--(外围访问属性)--网络关系—网络地址转换NAT—完成(应用)
5)        分别在外部Exchange和外围Exchange服务器上开启POP3服务:Microsoft Exchange Pop3.
6)        在内部DNS服务器上建立www主机—IP:192.168.2.2,新建MX记录--选折WWW资源—完成
7)        在外部DNS服务器上建立主要区域:baidu.com,同时建立主机记录WWW和MX邮件交换记录,IP地址指向202.96.209.1。
8)        外部PC,DNS指向202.96.209.2—控制面版—邮件—POP3—姓名:外部Exchange服务器上建立的用户,电子邮箱:XXX.@google.com--服务器信息:POP3:www.google.com SMTP:www.google.com –测试用户—成功—其它设置—发送服务器(勾选我的发送服务器SMTP要求验证)--使用与接收邮件服务器相同的设置—确定—完成
9)        内部PC-- DNS指向202.96.209.2—控制面版—邮件—POP3—姓名:内部Exchange服务器上建立的用户,电子邮箱:XXX.@baidu.com--服务器信息:POP3:www.baidu.com SMTP: www.baidu.com –测试用户—成功—其它设置—发送服务器(勾选我的发送服务器SMTP要求验证)--使用与接收邮件服务器相同的设置—确定—完成
10)     外网用户和内网用户用客户端Outlook可以互相收发邮件,且可以互访WEB站点
测试通过!!!。

说明:Linux服务器搭建略!!!
………………………………………………………………………………………………………………………………
目标二:

如图 自己做的一个要求

http_imgload 2.jpg

PC配置:

PC(config)#no ip routing
PC(config)#int f0/0
PC(config-if)#no sh
PC(config-if)#ip address dhcp  (自动获取IP)
PC(config-if)#^Z

通过3L交换机和2层交换机和路由之间的配置  可以ping通任何网段和地址

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

R5 配置:





R5(config)#line 0
R5(config-line)#exec-ti 0 0
R5(config-line)#loggi sy
R5(config-line)#exit
R5(config)#int f0/0
R5(config-if)#no ip add
R5(config-if)#no sh
R5(config-if)#ip add 192.168.10.2 255.255.255.252
R5(config-if)#exit
R5(config)#int f0/1
R5(config-if)#no sh
R5(config-if)#ip add 192.168.20.2 255.255.255.252
R5(config-if)#no sh
R5(config-if)#exit
Router(config)#ip route 192.168.2.0 255.255.255.0 192.168.10.1
Router(config)#ip route 192.168.3.0 255.255.255.0 192.168.10.1
Router(config)#ip route 192.168.4.0 255.255.255.0 192.168.20.1
Router(config)#ip route 192.168.5.0 255.255.255.0 192.168.20.1
ip route 0.0.0.0 0.0.0.0 192.168.10.1
ip route 0.0.0.0 0.0.0.0 192.168.20.1


===============================

en
terminal monitor
conf t
line 0
exec-ti 0 0
logg sy
=============================


#sh ip cef    (查看CEF转发信息库表)
#sh adjacency detail  (查看邻接关系表)
#sh cdp nei   (查看直连设备)
#sh ip cef (查看FIB转发信息库表)
#sh ip route (查看路由信息)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

R5-R1 配置:

en
terminal monitor
conf t
line 0
exec-ti 0 0
logg sy





R5\R1 启用PPP chap认证  并设置IP协商
R1为主认证端 R5为被认证端

R1(config)#username 3721 password 0 cisco
R1(config)#int s1/0
clock rate 64000
encapsulation ppp
ppp authentication chap
ip add 202.96.209.2 255.255.255.252
no sh
peer default ip address 202.96.209.1   (分配给对端的IP)

R5(config)#username 3721 password 0 cisco
R5(config)#int s1/0
no sh
clock rate 64000
ip address negotiated   (配置IP协商 IP由R1分配)
encapsulation ppp
ppp chap hostname 3721
ppp chap password 0 cisco

---------------------------------------------------

配置R5 NAT ---PAT 复用路由器外部接口地址
R5(config)#int s1/0
ip add 202.96.209.1 255.255.255.252  (IP由R1分配)
no sh
exi
int f0/0
ip add 192.168.10.2 255.255.255.252
no sh
exi
int f0/1
ip add 192.168.20.2 255.255.255.252
no sh
exi
access-list 1 permit 192.168.1.0 0.0.0.255|-------------------------------------------|
access-list 2 permit 192.168.2.0 0.0.0.255|                                           |
access-list 3 permit 192.168.3.0 0.0.0.255|可省略写成access-list 1 permit 192.168.0.0 0.0.255.255|
access-list 4 permit 192.168.4.0 0.0.0.255|
------------------------------------------------------------------------------
ip nat pool test 202.96.200.2 202.96.200.2 netmask 255.255.255.252           |
ip nat inside source list 1 pool test overload                               |
ip nat inside source list 2 pool test overload                               |
ip nat inside source list 3 pool test overload    可省(起始和结束地址相同) |
ip nat inside source list 4 pool test overload    写成下面几步               |
----------------------------------------------------------------------------

ip nat inside source list 1 int s1/0 overload
ip nat inside source list 2 int s1/0 overload
ip nat inside source list 3 int s1/0 overload
ip nat inside source list 4 int s1/0 overload |可省略写成access-list 1 int s1/0 overload|

int s1/0
ip nat outside
exi
int f0/0
ip nat inside
exi
int f0/1
ip nat inside

----------------------------------------------------------

基于时间ACL访控
R5(config)#clock timezone GMT +8
EXI
R5#clock set 16:30:00 19 August 2008
conf t
time-range test
absolute start 9:00 30 August 2008 end 17:00 30 August 2009
periodic weekdays 8:30 to 17:30
exi
access-list 100 deny ip any any
access-list 100 permit ip any any
int s1/1
ip access-group 100 out

---------------------------------------------
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

R7-R5-R4 配置:

=============================================================================================
R5----------------------------------(R5和R4之间的VPN建立)

config#
crypto isakmp policy 1
encryption 3des
authentication pre-share
group 2
hash md5
exit

config#
crypto isakmp key 0 cisco address 45.45.45.45 (对端IP)
access-list 100 permit ip 192.168.101.0 0.0.0.255 192.168.0.0 0.0.255.255
crypto ipsec transform-set test1 esp-md5-hmac esp-3des
exit

config#
crypto map map1 1 ipsec-isakmp  (定义名map1)
match address 100
set peer 45.45.45.45   (对端IP)
set transform-set test1  (定义名test1)
exit


ip route 45.0.0.0 255.0.0.0 Serial1/1
ip route 192.168.101.0 255.255.255.0 s1/1

int s1/1
no sh
clock rate 64000
ip add 54.54.54.54 255.0.0.0
crypto map map1
end



en
terminal monitor
conf t
line 0
exec-ti 0 0
logg sy
======================================
R4
config#
crypto isakmp policy 1
encryption 3des
authentication pre-share
group 2
hash md5
exit

crypto isakmp key 0 cisco address 54.54.54.54
access-list 100 permit ip 192.168.0.0 0.0.255.255 192.168.101.0 0.0.0.255
crypto ipsec transform-set test1 esp-md5-hmac esp-3des
exit

config#
crypto map map1 1 ipsec-isakmp
match address 100
set peer 54.54.54.54
set transform-set test1
exit

config#ip route 54.0.0.0 255.0.0.0 s1/2
ip route 192.168.0.0 255.255.0.0 s1/2

int s1/2
no sh
clock rate 64000
ip add 45.45.45.45 255.0.0.0
crypto map map1
end

conf t
int lo 1
ip add 192.168.101.1 255.255.255.0 (内网地址虚拟在loopback 1 口上)
no sh
end
==============================================================================================

R5-R7 之间的gre over ipsec 建立

R5(config)#
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 5
exi

crypto isakmp key cisco address 202.96.100.1
crypto ipsec transform-set test2 esp-3des esp-md5-hmac
mode transport
exi

crypto map map2 10 ipsec-isakmp
set peer 202.96.100.1
set transform-set test2  
match address 101
exi

interface Tunnel 0
ip unnumbered S1/2  (调用)也可直接给通道IP 写成 57.57.57.57 255.0.0.0
tunnel source S1/2   (源)
tunnel destination 202.96.100.1 (目的地)
crypto map map2      (map一定要调用在tunnel口上)
exi

interface S1/2
ip address 202.96.101.2 255.255.255.252
exi

ip route 202.96.100.0 255.255.255.0 s1/2
ip route 192.168.100.0 255.255.255.0 Tunnel0
ip route 75.0.0.0 255.0.0.0 Tunnel 0

router rip
network 57.0.0.0
network 202.96.101.0[/al ...        
本帖为精华帖,如要查看隐藏内容,请支付0.5元给本帖作者。写帖不易,请多支持。立即支付

本文由 18729626960 原创或被授权转载制作,其他机构或个人未经许可严禁转载。

评分

参与人数 5下载分 +25 金币 +20 收起 理由
GZX123456 + 1 精品文章
smxzym + 2 老司机!双击666+关注.....
shu383507128 + 5 + 5 对您的敬仰如同黄河泛滥,一发不可收拾
V型人生 + 2 给愿意分享经验的人加分!
月饼 + 20 + 10

查看全部评分

发表于 2018-10-7 22:16 来自手机 | 显示全部楼层
牛逼啊,666666666666666666666666

回复 支持 反对

使用道具 举报

发表于 2018-10-7 22:45 来自手机 | 显示全部楼层
这么长,原创总结,必须加精

点评

感谢饼哥支持!我会继续努力!!  详情 回复 发表于 2018-10-8 13:05
回复 支持 反对

使用道具 举报

发表于 2018-10-7 23:34 | 显示全部楼层
这样看不懂呀                                有教材下吗  

点评

看图一步步操作就可以了!目标二需要思科路由和3层交换机  详情 回复 发表于 2018-10-8 13:03
回复 支持 反对

使用道具 举报

发表于 2018-10-8 08:52 | 显示全部楼层
这种看,估计没有几个看得懂的                                      

点评

看图一步步操作就可以了!目标二需要思科路由和3层交换机  详情 回复 发表于 2018-10-8 13:04
回复 支持 反对

使用道具 举报

发表于 2018-10-8 09:57 | 显示全部楼层
懵逼国有懵逼路,懵逼路旁懵逼树,懵逼树下有个我。。。

回复 支持 反对

使用道具 举报

发表于 2018-10-8 10:30 | 显示全部楼层
你这技术也闷厉害了    我是一点都看不懂了                                                         

点评

看图一步步操作就可以了!目标二需要思科路由和3层交换机  详情 回复 发表于 2018-10-8 13:03
回复 支持 反对

使用道具 举报

发表于 2018-10-8 10:31 | 显示全部楼层
这么好的文章为啥加分的没有        我给你加点啊    兄台加油                                 

点评

多谢兄台支持!多谢兄台支持!!多谢兄台支持!!!  详情 回复 发表于 2018-10-8 13:00
回复 支持 反对

使用道具 举报

 楼主| 发表于 2018-10-8 13:00 | 显示全部楼层
V型人生 发表于 2018-10-8 10:31
这么好的文章为啥加分的没有        我给你加点啊    兄台加油

多谢兄台支持!多谢兄台支持!!多谢兄台支持!!!

点评

客气客气  详情 回复 发表于 2018-10-8 14:28
回复 支持 反对

使用道具 举报

 楼主| 发表于 2018-10-8 13:03 | 显示全部楼层
沈元 发表于 2018-10-7 23:34
这样看不懂呀                                有教材下吗

看图一步步操作就可以了!目标二需要思科路由和3层交换机

回复 支持 反对

使用道具 举报

 楼主| 发表于 2018-10-8 13:03 | 显示全部楼层
V型人生 发表于 2018-10-8 10:30
你这技术也闷厉害了    我是一点都看不懂了

看图一步步操作就可以了!目标二需要思科路由和3层交换机

回复 支持 反对

使用道具 举报

 楼主| 发表于 2018-10-8 13:04 | 显示全部楼层
hyy 发表于 2018-10-8 08:52
这种看,估计没有几个看得懂的

看图一步步操作就可以了!目标二需要思科路由和3层交换机

回复 支持 反对

使用道具 举报

 楼主| 发表于 2018-10-8 13:05 | 显示全部楼层
月饼 发表于 2018-10-7 22:45
这么长,原创总结,必须加精

感谢饼哥支持!我会继续努力!!

回复 支持 反对

使用道具 举报

发表于 2018-10-8 14:28 | 显示全部楼层
18729626960 发表于 2018-10-8 13:00
多谢兄台支持!多谢兄台支持!!多谢兄台支持!!!

客气客气                                                                       

回复 支持 反对

使用道具 举报

发表于 2018-10-8 15:33 | 显示全部楼层
现在好多都是华为的交换机了     我记得命令好像不通用

点评

部分是通用的,不过目前很多外资企业用思科的多  详情 回复 发表于 2018-10-8 21:43
回复 支持 反对

使用道具 举报

 楼主| 发表于 2018-10-8 21:43 | 显示全部楼层
Wcy895275395 发表于 2018-10-8 15:33
现在好多都是华为的交换机了     我记得命令好像不通用

部分是通用的,不过目前很多外资企业用思科的多

点评

加个好友吧 交流一下 搞不好还可以合作一下 我微信 :W895275395  详情 回复 发表于 2018-10-8 22:33
回复 支持 反对

使用道具 举报

发表于 2018-10-8 22:33 | 显示全部楼层
18729626960 发表于 2018-10-8 21:43
部分是通用的,不过目前很多外资企业用思科的多

加个好友吧    交流一下   搞不好还可以合作一下  我微信 :W895275395

回复 支持 反对

使用道具 举报

发表于 2018-10-9 10:13 | 显示全部楼层
网络工程没搞过,值得一看呀,楼主真是厉害

回复 支持 反对

使用道具 举报

发表于 2018-10-9 13:07 | 显示全部楼层
看得懂的点个支持。看不懂的点下反对

回复 支持 反对

使用道具 举报

发表于 2018-10-9 15:20 | 显示全部楼层
楼主厉害。。但是这个我们用不上。。。没接触过

回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

关闭

站长提醒 上一条 /1 下一条