[毕业设计精品]滨海职业学院分校校区网的构建.doc

xxx毕业设计（论文）题 目： 滨海职业学院分校校区网的构建 系 别：信息工程系专 业：计算机网络技术班 级：计网0531学生姓名：指导教师：完成日期：xxx毕业设计（论文）任务书班 级计网0532学生姓名指导教师设计（论文）题目滨海职业学院分校校区网的构建主要研究内容1、 校区网的总体规划2、 校区网信息化平台的构建3、 网络服务器的配置与管理4、 校区网络互联与实现主要技术指标或研究目标1、 网络的总体规划2、 局域网服务器的配置与管理3、 网络的安全管理4、 网络互联的设计与实现基本要求1、 局域网服务器包括：DNS服务器、DHCP服务器、Web服务器、FTP服务器、Samba服务器、视频服务器等。2、 网络中的服务器必须具有容错和负载均衡能力。3、 网络操作系统的选择：在Windows 2000 Server、Windows 2003、Red Hat Linux、Turbo Linux四种操作系统中任意选择。4、 设计的网络应具备对系统的保护及还原措施5、 设计的网络应易于维护，并具备可靠性、安全性摘 要网络技术和信息技术，影响到社会和生活的每一个角落，同时也对教育界造成了巨大的冲击。教育的功能和目标、教学的方法和模式也跟着在发生深刻的变化。  地球在缩小，教室在扩大，原来以教室和教师为中心的教学模式已经不能适应现代化教育和教学的需要。教育已经冲破了学校的围场，教学过程不只是局限在教室里面，校园网络把教师与学生，教室与教室，学校与学校，方便地联系在一起。因此，研究如何建设和利用计算机网络技术来进行新时期的教学和学习已经显得非常迫切。  为了适应社会发展和广大教育者的巨大需求，只靠传统的办学模式和手段是难以实现的。在教学过程中利用计算机网络技术和多媒体现代信息技术，将会大大改变传统的教育思想观念、教育内容、教学方法和教学组织形式。它使得全社会各种各样的教学资源充分地、广泛地共享，而不是仅仅只局限于某个教师或某所学校。同时，现代远程教育由于运用了现代信息技术，具有开放性、多样性和容量大、范围广等特点。与其它教育形式相比，它可以更好地运用现有的教育资源，并能使受教育者在学习上摆脱时间和空间的限制，有利于更大范围地进行常规教学，发展职业教育，高等教育和继续教育，有利于促进学校之间的合作办学，是符合中国国情的发展教育的极具潜力的一种新型教育模式。  本方案的主要目标是根据滨海职业学院分校校区局域网建设需求为背景，以计算机网络技术和综合布线技术以及常用的网络服务器技术为基础，较详细地设计出了该学院分院的组网建设的规划和实施方案,以达到目前大多数同类学院对现代化教学办公的要求。本论文对该学院分院的组网需求进行了分析，参考了各种组网技术，从实用角度和将来与IPV6教育网进行互联的角度论述了分院整体上组网的规划与实现，各种网络设备的选型，以达到分院的设计要求。关键字： 校区网 DHCP WEB 邮件 FTPHELIX目 录1 引 言52. 需求分析和拓扑方案设计52.1整体框架62.2教学楼82.3办公楼92.4图书楼102.5试验楼112.6家属楼132.7内网服务器架设需求132.8设备选型152.8.1核心层交换机选型152.8.2三层交换机选型162.8.3二层交换机选型182.8.4服务器选型182.8.5服务器网卡的选型202.8.6防火墙选型213 服务器的配置实现233.1 DHCP服务器配置233.2 DNS服务器的配置243.3 WEB服务器配置263.4 邮件服务器配置273.4.1 SENDMAIL服务器的搭建273.4.2 邮件客户端设置283.5 FTP服务器配置293.6. HELIX服务器的配置323.6.1 HELIX端口号323.6.2使用WEB方式的管理界面管理HELIX服务333.7 SAMBA服务器的配置36总结39致 谢40参考文献41附录A 防火墙上的配置42附录B 在路由器GRE OVER IPSEC的配置实例441 引 言校园在经历一系列改革后，为了进一步提升自身实力，很多高校都开始改建自己的校园，大量新教学楼拔地而起，在新建设的大楼中一般要都进行网络布线，以达到现代教学和办公的需求。在一所校园内，总有一部分区域是有线网络不能涉及的范围，如果强行布置有线网，后果非常严重。所以，这些地方需要布置无线局域网，才能让整个校园都被网络覆盖。当然我们也不能在一所高校内全部布置无线局域网，毕竟无线局域网的数据传输速度较慢，并不适合一些高带宽业务的处理。因此，一所校园的校园网应该是一个有线、无线网络的有机结合。但考虑到实际组网的复杂性这里我只设计了有线网络的组建。通过在gre over ipsec与主校区互联。随着网络技术的发展和网络产品价格不断的下调，众多高校都开始搭建网络平台，组建自己的校园网络。一个校园网络的组建并不是我们想象中用几个交换机就能实现，它是一项庞大而又复杂的工程，它需要覆盖整个校园，要将校园内的计算机、服务器和其他终端设备连接起来，实现校园内部数据的流通，实现校园网络与互联网络的信息交流，并且它还要涉及到网络的安全，涉及到网络的管理。因此，一个校园网络系统的组建需要从多方面进行考虑。Cernet2将成为最具典型意义的教育与科研计算机网络，作为下一代网络的研究示范平台，供各高校接入，以便有效开展ipv6的技术与应用的研究之用。目前很多高校已经或开始建设校园内的ipv6网络（局部）或ipv6的城域网（覆盖城域范围内的若干高校），这些ipv6网络都将接入cernet2。211高校或者有重点学科的院校，最终都要接入cernet2，目前已掀起建设“局部ipv6网/ipv6网络实验室”。为了方便将来与cernet2的互联，论文选用了支持ipv4和ipv6的设备。本方案的主要目标是根据滨海职业学院分校校区局域网建设需求为背景，以计算机网络技术和综合布线技术以及常用的网络服务器技术为基础，较详细地设计出了该学院分院的组网建设的规划和实施方案,以达到目前大多数同类学院对现代化教学办公的要求。本论文对该学院分院的组网需求进行了分析，参考了各种组网技术，从实用角度和将来与IPV6教育网进行互联的角度论述了分院整体上组网的规划与实现，各种网络设备的选型，以达到分院的设计要求。2. 需求分析和拓扑方案设计2.1整体框架滨海职业学院是刚兴建的一座现代化全日制大专学院 。目前已建成6栋建筑楼，整个校区网的拓扑设计成了三层。两台H3C S5510交换机作为核心层，每栋大楼上一台H3C S3610交换机作为汇聚层，每层楼上根据实际接入点的多少选用不同端口的交换机作为接入层。为了方便管理，每栋大楼一个vlan号，然后再根据各大楼的实际用途划分子vlan或不划分。此外滨海职业学院还有几台服务器要对外开外，以方便在外出差的员工访问校区网中的数据和与校内员工实现数据共享。整个校区网的拓扑图和各大楼对应的vlan号如下图2-1，校区网整体拓扑图如表2-1，核心层两台S5510上vrrp的配置所示。核心层交换机用了两台三层交换机以实现冗错功能，汇聚层交换机分别通过两根光纤与上层核心层交换机相连，以实现物理链路的冗错备份。图2-1 校区网整体拓扑图表2-1 校区网vlan划分楼层办公楼1#教学楼2#教学楼图书楼试验楼家属楼DMZ区域Vlan号100200300400500600700 在两台S5510交换机上分别通过千兆光口与各大楼互连。在局域网中，一旦交换机的三层虚接口故障，局域网用户就被孤立，不能实现与外部网络的通信。为预防这类事故,在核心层选用了两台S5510三层交换机上用两组虚拟网关提供网关冗余备份。每台S5510上一个主网关和一个备份网关，终端用户可以选用任意一个网关作为出口访问外网。具体配置命名如下表2-2核心层两台S5510上vrrp的配置所示。表2-2 核心层两台S5510上vrrp的配置：在第一台s5510上配置如下:Vlan 10Port e0/1 to e0/10Vlan 20Port e0/11 to e0/20Int vlan 20Ip add 192.168.1.2 24 /实际ip地址，用作管理。Int vlan 10Ip add 192.168.1.1 24 /实际ip地址，用作管理。Vrrp vrid virtual-ip 192.168.2.254Vrrp vrid 1 priority 120Vrrp vrid 1 preempt-modeVrrp vrid 1 track vlan-interface 20 reduce 30Int vlan 20Ip add 192.168.1.2 24Vrrp vrid virtual-ip 192.168.2.253在第二台s5510上配置如下:Vlan 10Port e0/1 to e0/10Vlan 20Port e0/11 to e0/20Int vlan 10Ip add 192.168.1.3 /实际ip地址,用作管理。Int vlan 20Ip add 192.168.1.4 /实际ip 地址，用作管理。Vrrp vrid virtual-ip 192.168.2.253Vrrp vrid 1 priority 120Vrrp vrid 1 preempt-modeVrrp vrid 1 track vlan-interface 20 reduce 30Int vlan 10Ip add 192.168.1.2 24Vrrp vrid virtual-ip 192.168.2.254在校区网的构建中不可能完全避免环路的发生，因此在核心层与汇聚层上启用生成树是必要的。H3C交换机S5510和S3610上都支持stp,rstp和mstp三种生成树协议。这里我选用了mstp生成树，如下表2-3所示。表2-3 核心层和汇聚层mstp的配置Stp region-configurationRegion-name binhaiRevision-level 0Instance 100 vlan 100Instance 200 vlan 200Instance 300 vlan 300Instance 400 vlan 400Instance 500 vlan 500Instance 600 vlan 600QuitStp enable2.2教学楼目前中只有两座教学楼,1#教学楼和2#教学楼。每座教学楼上都分为6层，每层楼上各是一个系别每下而上依次是：管理系、计算机系、电气系、机械系、建筑系和生物系。每层楼各有24个教室，每个教室有1个接入点, 每口速率10M,以便于教学。每个教室留有15米的线缆,这样6教室一组。每层楼上2个交换机。每个交换机有8个端口即可。在三楼上的汇聚层交换机有12个端口即可满足应用要求。这样教学楼上共需12台8端口的接入层交换机和一台24端口的汇聚层交换机。即可满足需求。如下图2-3 ，1#教学楼的拓扑设计图,所示:图2-3 1教学楼的拓扑设计图由于办公楼上的用户主要是教师在授课过程中少量的访问外网,数据信息流不是很大,因此目前交换机几乎都能满足它的流量需求。因为2#教学楼和1#教学楼的布局模式一样，所以方便起见，2#教学楼上的拓扑也建设成了和1#教学楼的一样了。2.3办公楼整个办公楼分为：行政部、财务部、招生就业部、教学部、后勤部和校长部。各部门都不能访问财务部,校长部可以访问其它部门，整个办公楼一个父valn,每个部门一个子vlan。办公楼的拓扑设计如下图2-4所示：图2-4 办公楼的拓扑设计行政部分为2个教室,每个教室24个点,共有 48个接入点, 每口10M速率. 一台48端口交换机即可满足应用.财务部分为2个教室,每个教室16个点,共有24个接入点. 每口速率10M,一台24端口交换机即可满足应用.招生就业部24个接入点, 每口速率10M,即可实现线速转发, 一台24端口交换机即可满足应用.后勤部24个接入点, 每口速率10M,即可实现线速转发, 一台24端口交换机即可满足应用.校长部8个接入点. 每口速率10M,即可实现线速转发, 一台8端口交换机即可满足应用.教学部分为7个小部门:管理,计算机,电气,机械,建筑,生物各占一个小部,还有一个基础部.计算机系又分为网络专业,多媒体专业,软件专业,应用专业,信息安全专业5个专业.每个专业1个办公室,每个办公室12个接入点.其它系也都如计算机专业一样,各有5个办公室,每个办公室12个接入点. 每口速率10M.这样整个办公室一个16端口交换机即可.共有5*7=35台接入层交换机和2台24端口的汇聚层交换机.这样,办公楼上的接入层交换机需求如下表2-4所示,各子vlan号的划分如下表2-5所示,汇聚层交换机上vlan的配置如下表2-6所示。表2-4 办公楼接入层交换机的需求端口数所需台数242(汇聚层)244 (接入层)123581481表2-5 办公楼子vlan号的划分部门招生就业部教学部行政部财务部后勤部校长部Sub-vlan110120130140150100表2-6 汇聚层交换机上vlan的配置vlan 100Port e0/1 to e0/8Vlan 110Port e0/9 Vlan 120Port e0/10Vlan 130Port e0/11Vlan 140Port e0/12Vlan 150Port e0/13vlan 100isolate-user-vlan enableisolate-user-vlan 100 secondary 110 120 130 140 150 2.4图书楼图书楼共有6层。第6层楼上主要用于上传图书所对应的光盘中数据信息上传到计算机机房的helix服务器上，该层楼上有4个点, 每个点100M；1到5层,每层上4个点用于图书借阅的客户端机，每个点的速率为10M。这样图书楼上只需一台24端口交换机。 图书楼的拓扑设计如下图2-5所示。图2-5 图书楼的拓扑设计2.5试验楼试验楼上共6层分为：计算机中心、服务器中心（DMZ区域）和多媒体中心。计算机中心2层.每层12个机房,每个机房50个接入点。这样,每个机房各需要1台48端口和1台16端口的接入层交换机。共需要12台48端口和12台16端口交换机。多媒体中心占一层,12个教室,每个教室1个接入点。每个教室留有15米的线缆。这样6个教室一组每层需要2台8端口交换机。共需要2台即可满足需求。服务器中心共有dns服务器,ftp服务器,mail服务器,视频服务器各1台,1台web服务器和1台数据库服务器。每个服务器1个4端口1000M电口的网卡。数据库服务器用于存储图书所对应的cd数据。这样,汇聚层共需要13*4=52端口。1台48端口和1台16端口的汇聚层交换机。在试验楼上有内网服务器区,因此对这个接入层的交换机和汇聚层交换机的要求较高。试验楼的拓扑设计如下图2-6所示。图2-6 试验楼的拓扑设计汇聚层交换机上的vlan配置如表2-7所示:表2-7 试验楼汇聚层交换机上的vlan配置Vlan 500Port e0/0 to e0/10 /实验楼vlan号 Vlan 510Port e0/11 to e0/12 /计算机中心Vlan 520Port e0/13 to e0/14 /多媒体中心Vlan 500Isolate-user-vlan enableIsolate-user-vlan 500 secondary 510 520Vlan 600Port e0/15 to e0/16 /服务器中心(DMZ区域)2.6家属楼家属楼共6层,每层24个家属,每个家属1个接入点,每口10M速率。每层2个接入层交换机。家属楼的拓扑设计如下图2-8所示。图2-8家属楼的拓扑设计2.7内网服务器架设需求在学校的实际教学过程中不可避免要接入外网，这时就需要为它分配一个特定的ip地址，以便于于外网通信。这时就需要在这里配置一个DHCP服务器为其分配这个特定的ip了。这样用户就不用需要自行输入任何数据，就可以轻松地将一名计算机接入网络中，所有入网的必要参数的设置都可交给DHCP服务器负责了。预留的特定ip地址分配为：192.168.2.254和192.168.2.253留作网关，192.168.2.190留作FTP服务器，192.168.2.191留作DNS服务器，192.168.2.192留作web服务器，192.168.2.193留作邮件服务器，192.168.2.194留作helix服务器,samba服务器的ip是192.168.2.195，DHCP服务器用的是静态ip地址192.168.2.196，还有六台数据服务器用于存储图书馆中cd光盘中的数据，它的ip地址是192.168.2.197。一般服务器的ip地址是静态指定的,但为了预防管理员忘了配置ip，就在dhcp服务器上为它们做备份。管理员的邮件地址是mxtao871118。无论是在校园网还是外网中通过dns服务器，可以形象方便的有域名代替复杂的ip地址来访问网络中的服务器了。当网络中有多台服务器是就更体现出它的方便来了。在这里需要一台dns服务器来为web,helix,邮件等服务器提供域名解析(其域名与ip地址的对应关系见上段所示)。Dns服务器对于一个网站，视频服务器和邮件服务器的推广发布也起到极其重要的作用。Dns不仅可以使网络服务的访问更简单，而且可以完美地实现与internet的融合。在这里用了两个域名和。jw01主用于web服务，jw02主用于邮件和视频服务。Web服务是实现信息发布，资料查询，数据处理和视频点播等诸多应用的基本平台，的以架设一台web服务器是internet和intranet必不可少的工作。这样就便于老师和学生以及外界人员到校园网上的web服务器上查看最新的信息和资讯了.这里要对内和对外发布的web服务器是和分别对应/usr/www/web1和/usr/www/web2。web 管理员的e-mail地址mxtao871118,字符集是gb2312。电子邮件服务也是internet 上最基本的一个服务，用户可以通过它与用户进行经济，方便，快捷且无需在线的信息交流。这里有两个用户user1和user2。user1为校长对校内师生开放的邮箱，这样便于在校师生及时，无有顾虑的向校长提建议和反应问题。user2为校长的另一邮箱，主要处理一些公务。这里先建这两个邮箱，并测试其是连通性。在校园网中，用利用ftp服务器下载和上传文件也是重要的应用。这里ftp服务器主要用于学生在校机房上传下载文件里使用。这样便于只要老师把文件放到ftp 服务器上，学生就能轻松地使用了。这里要有三个组group1,group2,group3，三个用户user1,user2,user3。三个用户分别对应上面的三个组。三组分别对应d:ftp部门一，d:ftp部门二和d:ftp部门三。且将它们锁定于主目录，不能访问其它目录和文件,最大上传速度2M,最大下载速度6M,最大用户数量 60。部门一对应的数据要注意保护，把它映射成f盘桌面下的abc目录。在一个校园网中，通常会有多种操作系统同时存在，有的老师用windows,有的老师用linux,有的老师用apple等。但为了实现它们之间的互联，使用户能够方便快捷地使用彼此的共享文件和打印设备，在网络中架设一台samba服务器就是必须的了。它能够使windows用户通过“网上邻居”等方式直接访问linux上的共享资源，也能使linux用户利用smb客户端程序访问windows的共享资源。允许192.168.2.0/24网段的用户访问,除了192.168.2.250主机,加载打印机配置文件,为安全考虑windows用户访问samba服务器里要进行用户的映射。root对应admin和administrator用户。共享的文件名是linux-share，在share组中的用户可写，tom是只读用户，映射路径是/home/share目录。考虑到学校有大量的影像资料和视频文件等教学资料可供师生学习，因此架设一台helix视频服务器也是必须的了。rtsp端口，http端口，pna端口，mms端口， 分别是554,80,8089,1755。 目录是/usr/local/helix。加载点music对应目录/home/tom/,最大连接数和最大带宽分别为100和10M,同时作为多播服务器使用，pna端口是7070,rtsp端口是3554,多播地址为224.0.0.1到224.0.0.5。最后还有一台防病毒服务器和一台数据服务器,它们分别用于实现校区网内的病毒防护，提高一定的安全性和存储图书馆中cd 光盘中的数据。每台服务器上都安装了DGE-550SX PCI千兆光纤网卡，但考虑到它们的实际访问量，只有数据服务器，防病毒服务器，sendmail服务器,web服务器和helix服务器上的四个端口都有了，其它的只用一个端口。服务器区域如下图2-9所示:图2-9 服务器区域2.8设备选型考虑到滨海职业学院将来要与Cernet2互联，所以这里选用了H3C同时支持ipv4/ipv6的交换机，以方便日后与ipv6网络的互联。2.8.1核心层交换机选型H3C S5510-24F以太网交换机是H3C公司自主开发的三层全千兆多协议以太网交换产品，是为要求具备高性能、较大端口密度且易于安装的网络环境而设计的智能型可网管交换机。H3C S5510系列以太网交换机主要面向企业网、城域网汇聚或接入层的需求，同时硬件支持IPv4和IPv6双栈，可为客户提供丰富的业务特性和路由功能。H3C S5510-24F的外观如下图2-10所示，其参数所下表2-8所示。图2-10 H3C S5510-24F的外观表2-8 H3C S5510-24F参数应用类型企业级交换机应用层级三层交换方式存储-转发背板带宽（Gbps）48包转发率35.71MppsVLAN支持支持MAC地址表12K,支持黑洞MAC地址,支持设置端口地址学习mac最大个数网络标准IEEE802.3，802.3u，802.3z，802.3ab传输速率(Mbps)10/100/1000端口类型10/100/1000BASE-T,1000BASE-X SFP Combo端口结构固定端口固定端口数24模块化插槽数24是否支持全双工全、半双工网管支持网管型网管功能支持命令行接口（CLI）配置,支持Telnet远程配置,支持通过Console口配置,支持SNMP,支持RMON1，2，3，9组MIB,支持华为QuidView网管系统,支持WEB网管,支持系统日志,支持分级告警,支持集群管理HGMP（Huawei Group Management Protocol） V2,支持Modem远端拨号,支持NTP,支持SSH堆叠不支持2.8.2三层交换机选型H3C S3610系列多协议交换机是H3C公司基于全新软硬件平台开发的支持IPv4/IPv6双栈的盒式路由交换机系列。系统支持IPv4/IPv6 双栈及硬件转发、丰富的IPv4/IPv6路由协议和隧道技术，是理想的大型园区网、网络实验室的汇聚、接入交换机以及中小企业、分支机构的核心交换机。 根据需求这里我选用了S3610-28P-SI和S3610-28F两种机型。第一种用于汇聚层，第二种用于连接服务器。H3C S3610-28P-SI的外观如下图2-11所示，其参数所下表2-9所示, H3C S3610-28P的外观如下图2-12所示。图2-11 H3C s3610-28p-si的外观表2-9 H3C S3610-28P-SI的参数应用类型工作组交换机应用层级三层内存Flash:8MB；SDRAM:64MB；包缓存:32MB交换方式存储-转发背板带宽（Gbps）32包转发率9.6MppsVLAN支持支持MAC地址表16K网络标准IEEE802.3，802.3u，802.3z，802.3ab传输速率(Mbps)10/100/1000端口类型10/100BASE-T,1000BASE-SFP端口结构固定端口固定端口数24模块化插槽数4是否支持全双工全、半双工网管支持网管型网管功能支持命令行接口（CLI）配置,支持Telnet远程配置,支持通过Console口配置,支持SNMP,支持RMON1，2，3，9组MIB,支持华为QuidView网管系统,支持WEB网管,支持系统日志,支持分级告警应用层级三层内存Flash:8MB；SDRAM:64MB；包缓存:32MB交换方式存储-转发堆叠不支持图2-12 H3C s3610-28f的外观H3C S3610-28F只有端口类型与S3610-28P-SI不一样，其它的参数都是一样的。它的端口有：24 个100Base-X SFP 百兆以太网端口，2 个1000Base-X SFP 千兆以太网端口，2 个10/100/1000Base-T 以太网端口。2.8.3二层交换机选型H3C S2126-EI 系列以太网交换机是华三公司秉承IToIP 理念设计的二层线速智能型可网管以太网交换机产品，具有百兆光电灵活上行、无风扇静音设计、完备的安全和Qos 控制策略等特点，满足企业用户多业务融合、高安全、可扩展、易管理的建网需求，适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换机。H3C S2126-EI的外观如下图2-13所示，其参数如下表2-10所示。图2-13 H3C S2126-EI的外观表2-10 H3C S2126-EI的参数交换机类型智能网管交换机交换方式存储-转发背板带宽12.6Gbps包转发率6.6MppsMAC地址表8k传输速率10/100Mbps网络标准IEEE802.3, IEEE802.3u, IEEE802.3D, IEEE802.3Q接口数量25个接口类型10/100M以太网电口模块化插槽数1个网管功能支持通过Console口的命令行配置, 支持SNMP V1/V2管理, 支持HGMP V2集群管理（作为成员交换机）, 支持HGMP网管系统, 支持WEB网管2.8.4服务器选型服务器是一种高性能计算机，作为网络的节点，存储、处理网络上80的数据、信息，因此也被称为网络的灵魂。做一个形象的比喻：服务器就像是邮局的交换机，而微机、笔记本、PDA、手机等固定或移动的网络终端，就如散落在家庭、各种办公场所、公共场所等处的电话机。我们与外界日常的生活、工作中的电话交流、沟通，必须经过交换机，才能到达目标电话；同样如此，网络终端设备如家庭、企业中的微机上网，获取资讯，与外界沟通、娱乐等，也必须经过服务器，因此也可以说是服务器在“组织”和“领导”这些设备。 服务器的构成与微机基本相似，有处理器、硬盘、内存、系统总线等，它们是针对具体的网络应用特别制定的，因而服务器与微机在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面存在差异很大。尤其是随着信息技术的进步，网络的作用越来越明显，对自己信息系统的数据处理能力、安全性等的要求也越来越高，如果您在进行电子商务的过程中被黑客窃走密码、损失关键商业数据；如果您在自动取款机上不能正常的存取，您应该考虑在这些设备系统的幕后指挥者服务器，而不是埋怨工作人员的素质和其他客观条件的限制。这里我选用了IBM System x3400服务器。它的外观如下图2-14所示，参数如下表2-10所示。图2-14 IBM System x3400服务器表2-10 IBM System x3400的参数类别塔式结构5UCPU类型Xeon E5310CPU频率(MHz)1600处理器描述标配1个Xeon E5310处理器支持CPU个数2CPU二级缓存8MBFSB（总线）1066MHz扩展槽3个PCI-Express、2个PCI-X和1个PCI内存类型DDRII内存大小1GB内存带宽/描述PC2-5300 DDR2 SDRAM (Chipkill)最大内存容量32GB硬盘大小标配不提供硬盘类型SATA硬盘最大容量3TB最大热插拔硬盘数不支持磁盘阵列卡集成RAID-0、-1、-10,可选RAID-5IDE控制器集成串行ATA光驱CD-ROM网络控制器集成千兆以太网卡显示芯片ATI RN50 16MB标准接口2个串口、2个USB 2.0(后面)、2个USB 2.0(前面)、1个系统管理接口(RJ-45)、键盘、鼠标、1个并口、1个千兆以太网接口(RJ-45)散热系统3个冷却风扇管理工具Automatic Server Restart;硬盘驱动器、处理器、VRM、风扇和内存上的IBM预测性故障分析;集成的IPM系统管理处理器;IBM Director;可选的Remote Supervisor Adapter II SlimLine和IBM ServerGuide安全性加电口令、Remote-control password、可选引导顺序、无人干预启动电源单电源电源数量1电压220V功率（W）670尺寸440*218*747mm重量38Kg系统支持Microsoft Windows Server 2003、Red Hat Linux、SUSE Linux、Novell NetWare、VMware ESX Server、SCO UnixWare、SCO OpenServer2.8.5服务器网卡的选型考虑到服务器物理链路的安全性与冗错性，这里选用了DGE-550SX PCI千兆以太网光纤网卡。这种网卡上有4个1000M光纤端口作为一个汇聚组，以与上层H3C S3610-28F的互联。采用捆绑之后，这样不仅可以实现数据的负载均衡，而且当其中一个端口不能工作时，数据流会自动从这个汇聚组的其它端口转发出去。DGE-550SX PCI千兆以太网光纤网卡的外观如下图2-15所示。图2-15 dge-550-sx pci的外观用于服务器的千兆位光纤连接，全双工模式，32bit或64bit总线数据传输，支持33MHz的PCI时钟频率，能现实快速、可靠数据传输流量控制，支持ip包头检测及ip数据包检验和Vlan标记，支持jumbo帧格式，可即插即用安装。2.8.6防火墙选型CISCO PIX525防火墙适用于企业和服务提供商，尺寸是2RU,处理器是600M hz,RAM是128256MB,FLASH是16MB。它支持8个10/100M bit/s 快速以太网和千兆以太网接口，具有370M bit/s 的测试吞吐量，能够处理280000个并发会话。分别在网络的制定位置安装CheckPoint FireWall1的防火墙模块、状态检测模块、VPN模块，同时在网络管理中心的安全管理客户机上安装CheckPoint FireWall1图形管理模块从而实现。CISCO PIX525的外观如下图2-16所示。图2-16 cisco pix 525的外观在边界，将网络划分为与外部网、内外连接均能到达的DMZ（安全区）和内部网；把Web服务器、防病毒服务器、Ftp服务器、Mail服务器以及DNS服务器允许进行维护主机IP地址、所有网络访问用户分别定义为网络对象；在内部通过设置状态检测模块的安全策略，提供通过该模块所建立的网络连接的访问控制机制；针对安全等级更高的专有应用系统，定义访问规则。通过建立针对授权用户群组的严格的认证机制，并配合VPN模块的通信保密机制，实现高强度安全；同时对于能够使用专有应用的相关用户的网络客户机配置CheckPoint FireWall1的安全客户端SecureRemote（只需在安装是进行一次简单配置），保证网络客户机到专有应用服务器的安全访问，同时保护该网络客户机的单机安全。3 服务器的配置实现3.1 DHCP服务器配置在DHCP服务器上，预留的特定ip地址分配为：192.168.2.254和192.168.2.253留作网关，192.168.2.190留作FTP服务器，192.168.2.191留作DNS服务器，192.168.2.192留作web服务器，192.168.2.193留作邮件服务器，192.168.2.194留作helix服务器,samba服务器的ip是192.168.2.195，DHCP服务器用的是静态ip地址192.168.2.196。一般服务器的ip地址是静态指定的,但为了预防管理员忘了配置ip，就在dhcp服务器上为它们做备份。管理员的邮件地址是mxtao871118。（1）DHCP服务是/etc目录中的dhcpd.conf配置文件运行的。默认情况下，该文件是不存在的。在安装DHCP服务时，都会在/usr/share/doc/dhcp-3.0.1/目录下创建一个范本文档dchpd.conf.sample。可以把上面这个范文，cp到/etc目录上，改名为dhcpd.conf。（2）在/etc/dhcpd.conf文档中的末尾添加信息，如下表3-1所示。表3-1 dhcp.confsubnet 192.168.2.0 netmask 255.255.255.0 range 192.168.2.1 192.168.2.254;option domain-name-servers 192.168.2.191,219.146.0.130option routers 192.168.2.254;option broadcast-address 192.