Продуктов Microsoft и Linux.




Санкт-Петербургский государственный университет информационных технологий, механики и оптики

Центр авторизованного обучения IT-технологиям

Дипломный проект

Построение внутренней сети

Предприятия на основе

продуктов Microsoft и Linux.

Разработчики: слушатели группы № 124/4, № 124/4П

специализации “Системный инженер”

Баженов Никита Сергеевич

Попович Олег

Руководители: Прыгун В.В.

Иванов С. Е.

 

 

2011 г.


Оглавление

 

1. Задание. 2

2. Выбор оборудования. 3

3. Планирование сети предприятия. 5

4. Построение роутера на базе Ubuntu. 5

5. Построение прокси-сервера на базе squid с контролем доступа в интернет по MAC адресам и времени суток. 11

6. Настройка пакета Postfix для использования в качестве почтового smart host-а системы на роутере. 14

7. Построение почтовой системы на базе Exchange server. 19

4. Настройка сервера как контроллера домена для внутренней сети предприятия 23

4.1 DNS. 23

5. Настройка Exchange Server 26

5.1 Общие настройки сервера. 26

6. Настройка FTP-cервера. 30

 


 

1. Задание

Вы назначены системным администратором компании, занятой в области торговли высокотехнологичным оборудованием.

 

В компании имеется офис, в котором работает 40 человек.

Также существуют удаленные сотрудники, которым необходим доступ к файловым ресурсам компании.

 

 

Задачи:

 

Подбор программного и аппаратного обеспечения для серверов и рабочих станций компании, выбор сетевого оборудования.

Построение роутера на базе Ubuntu.

Построение почтовой системы на базе Microsoft Exchange server.

Использование в качестве почтового smart host-а системы postfix на роутере.

Построение прокси-сервера на базе squid с контролем доступа в интернет по MAC адресам и времени суток.

Организация FTP сервера для обмена информацией.

Организация web-сервера на базе MS IIS server.

 


 

2. Выбор оборудования

Конфигурация роутер, прокси-сервер и smart host:

- операционная система Ubuntu 10.04;

- процессор 700 MHz;

- оперативная память 512 Мб;

- дисковая подсистема Raid 1 объёмом 40 Гб;

- 2 сетевой карты 1000/100/10 BaseT/UTP.

 

Минимальные требования к процессору Exchange Server 2007 — процессор Intel, который поддерживает Intel Extended Memory 64 Technology (IEM64T) или процессор AMD с поддержкой платформы AMD64 (как минимум желательно четырехъядерный)

Минимальные требования к оперативной памяти для Exchange Server 2007 — 2 Гбайт. Такое требование предъявляется к роли Mailbox Server. Для всех остальных ролей минимальные требования к оперативной памяти — 1 Гбайт. Рекомендованные требования выглядят так:

- для роли Mailbox Server — 2 Гбайт, плюс по 5 Мбайт на каждый почтовый ящик;

- для всех остальных ролей — 1 Гбайт на каждое процессорное ядро.

С учетом этих требований, а также принимая во внимание не рассмотренные здесь функции нашего сервера, выбираем следующую конфигурацию оборудования для нашего Exchange сервера:

- операционная система Windows 2008 R2;

- процессор Intel Xeon x3470, 2 процессора по 4 ядра и частотой 2,93ГГц;

- оперативная память DDR3 16GB;

- дисковая подсистема Raid 1 объёмом 1TB и 2 винчестера объёмом по 1TB;

- сетевая карта 1000/100/10 BaseT/UTP.

 

Конфигурация Web-server:

- операционная система Windows 2008 R2;

- процессор Intel Core 2 Duo с 2.93ГГц;

- оперативная память DDR3 4GB;

- дисковая подсистема Raid 1 объёмом 1TB;

- сетевая карта 1000/100/10 BaseT/UTP.

 

 


 

3. Планирование сети предприятия

На основе задания к дипломному проектированию и выбранного нами оборудования составляем следующую конфигурацию нашей сети, представленную на рисунке 1.

 

 


 

4. Построение роутера на базе Ubuntu.

Роутер - сетевое устройство, пересылающее пакеты данных между различными сегментами сети и принимающее решения на основании информации о топологии сети и определённых правил, заданных администратором.

В компании роутером будет являться выделенный компьютер работающий под управлением операционной системы Ubuntu 10.04 и имеющий два сетевых интерфейса.

Первой сетевой карте ip-адрес автоматически раздает интернет-провайдер. Вторая сетевая карта (которая смотрит во внутреннею сеть) настроена статично, ip-адрес из зоны 192.168.1.0/255.255.255.0. В рамках такой внутренней сети мы сможем подключить до 253 компьютеров, которые будут свободно обмениваться данными между собой, а так же выходить в интернет.

Интерфейсы на присутствующие на роутере:

eth0 – интерфейс к которому подключен канал связи от провайдера.

eth1 – подключен к коммутатору, в который подключены другие компьютеры.

Подключив роутер к сети, прописываем настройки ip: шлюз будет 192.168.1.3, маска подсети 255.255.255.0, ip адреса выставляем в диапазоне 192.168.1.4 – 192.168.0.254.

 

Конфигурация сетевых интерфейсов отображена в файле /etc/network/interfaces:

# This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface

auto lo

iface lo inet loopback

# The primary network interface

auto eth0

Iface eth0 inet dhcp

auto eth1

iface eth1 inet static

Address 192.168.1.3

Netmask 255.255.255.0

network 192.168.1.0

broadcast 192.168.1.0

 

Теперь с помощью команды: sudo ifconfig eth1 192.168.1.3 указываем интерфейсу работать на этом ip (который 192.168.1.3).

Включается поддержка “форвардинга”, c помощью которого осуществляется трансляция пакетов из интернета на внутренние компьютеры, для этого надо раскомментировать строку # net.ipv4.ip_forward = 1 в файле

/etc/ sysctl.conf и затем ввести в консоль для того, что бы все заработало сразу:

 

# The following is suitable for dedicated web server, mail, ftp server etc.

# ---------------------------------------

# BOOLEAN Values:

# a) 0 (zero) - disabled / no / false

# b) Non zero - enabled / yes / true

# --------------------------------------

# Controls IP packet forwarding

net.ipv4.ip_forward = 1

# Controls source route verification

net.ipv4.conf.default.rp_filter = 1

# Do not accept source routing

net.ipv4.conf.default.accept_source_route = 0

# Controls the System Request debugging functionality of the kernel

kernel.sysrq = 0

# Controls whether core dumps will append the PID to the core filename

# Useful for debugging multi-threaded applications

kernel.core_uses_pid = 1

# Controls the use of TCP syncookies

#net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_synack_retries = 2

########## IPv4 networking start ##############

# Send redirects, if router, but this is just server

net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.send_redirects = 0

# Accept packets with SRR option? No

net.ipv4.conf.all.accept_source_route = 0

# Accept Redirects? No, this is not router

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0

# Log packets with impossible addresses to kernel log? yes

net.ipv4.conf.all.log_martians = 1

net.ipv4.conf.default.accept_source_route = 0

net.ipv4.conf.default.accept_redirects = 0

net.ipv4.conf.default.secure_redirects = 0

# Ignore all ICMP ECHO and TIMESTAMP requests sent to it via broadcast/multicast

net.ipv4.icmp_echo_ignore_broadcasts = 1

# Prevent against the common 'syn flood attack'

net.ipv4.tcp_syncookies = 1

# Enable source validation by reversed path, as specified in RFC1812

net.ipv4.conf.all.rp_filter = 1

net.ipv4.conf.default.rp_filter = 1

########## IPv6 networking start ##############

# Number of Router Solicitations to send until assuming no routers are present.

# This is host and not router

net.ipv6.conf.default.router_solicitations = 0

# Accept Router Preference in RA?

net.ipv6.conf.default.accept_ra_rtr_pref = 0

# Learn Prefix Information in Router Advertisement

net.ipv6.conf.default.accept_ra_pinfo = 0

# Setting controls whether the system will accept Hop Limit settings from a router advertisement

net.ipv6.conf.default.accept_ra_defrtr = 0

#router advertisements can cause the system to assign a global unicast address to an interface

net.ipv6.conf.default.autoconf = 0

#how many neighbor solicitations to send out per address?

net.ipv6.conf.default.dad_transmits = 0

# How many global unicast IPv6 addresses can be assigned to each interface?

net.ipv6.conf.default.max_addresses = 1

########## IPv6 networking ends ##############

#Enable ExecShield protection

kernel.exec-shield = 1

kernel.randomize_va_space = 1

# TCP and memory optimization

# increase TCP max buffer size setable using setsockopt()

#net.ipv4.tcp_rmem = 4096 87380 8388608

#net.ipv4.tcp_wmem = 4096 87380 8388608

# increase Linux auto tuning TCP buffer limits

#net.core.rmem_max = 8388608

#net.core.wmem_max = 8388608

#net.core.netdev_max_backlog = 5000

#net.ipv4.tcp_window_scaling = 1

# increase system file descriptor limit

fs.file-max = 65535

#Allow for more PIDs

kernel.pid_max = 65536

#Increase system IP port limits

net.ipv4.ip_local_port_range = 2000 65000

 

Для включения и автоматического запуска преобразования сетевых адресов и маршрутизации в файле /etc/rc.local вписаны следующие правила, которые включают преобразование сетевых адресов исходящих пакетов на интерфейс eth0:

 

#!/bin/sh -e

#

# rc.local

#

# This script is executed at the end of each multiuser runlevel.

# Make sure that the script will "exit 0" on success or any other

# value on error.

#

# In order to enable or disable this script just change the execution

# bits.

#

# By default this script does nothing.

/sbin/iptables -P FORWARD ACCEPT

/sbin/iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE

exit 0

И после этого для принятия изменений ввести команду:

 

sudo iptables -P FORWARD ACCEPT
sudo iptables –table nat -A POSTROUTING -o eth0 -j MASQUERADE


 

5. Построение прокси-сервера на базе squid с контролем доступа в интернет по MAC адресам и времени суток.

Прокси-сервер – служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс, расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак и помогает сохранять анонимность клиента.

В качестве прокси-сервера используется пакет “Squid”.

Squid -программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP,FTP и (в случае соответствующих настроек) HTTPS. Разработан сообществом как программа с открытым исходным кодом (распространяется в соответствии с GNU GPL). Все запросы выполняет как один неблокируемый процесс ввода/вывода.

Для поддержки функции контроля доступа в интернет по MAC-адресам в squid компилируется со следующей строкой:

 



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2017-11-19 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: