目录第一章总体设计- 1 -1.1系统设计原则-1-1.2网络拓扑架构-2-1.3设计依据和规X-2-第二章到货前准备- 3 -2.1项目人员的组织结构及分工-3-2.2工程时间安排、进度安排-3-第三章到货，实施前准备- 4 -3.1现场检查与到货验收-4-3.2IP地址及V LAN分配-4-3.2.1 总体IP—Vlan划分- 4 -3.2.2 服务器集群IP—Vlan100划分- 5 -3.3.3 Iptables防火墙—Vlan200划分- 5 -第四章实施- 6 -4.1相关的设备选型-6-4.2局域网的相关调试-7-4.2.1核心H3C S7500交换机的VRRP调试- 7 -4.3广域网的相关调试-11-4.3.1 IPTABLES防火墙的配置- 11 -4.4R ED H AT L INUX 5系统上相关服务器的搭建-12-4.4.1 WEB服务器的安装配置- 12 -4.4.2 DNS服务器的安装配置：- 12 -4.4.3 Exchange服务器- 17 -4.4.4 FTP服务器的安装和配置- 28 -第五章测试- 30 -5.1系统测试原理和方法-30-5.2硬件设备测试和验收-30-5.3系统集成测试-31-5.3测试相关命令-31-第六章项目工程管理- 34 -6.1工程的安全管理-34-6.2工程资料、文档管理-34-6.3项目的质量控制-34-第七章现场培训- 35 -第八章验收- 35 -8.1 系统初验- 35 -8.1.1中验（试运行验收）- 36 -8.1.2半年后的优化：由CCIE主持系统终验- 36 -第一章总体设计1.1 系统设计原则1)公司使用2台核心交换机(做冗余备份)，连接所有网络设备，并把所有服务器都连接到该核心交换机，放置到一个单独的VLAN中。

2)接入层交换机连接终端用户，并把管理层人员和普通的办公人员放入不同的VLAN中。

3)公司的管理人员可以访问普通员工的PC，但普通员工不可以访问管理人员的PC.。

4)离该公司总部有2公里处，有一个分公司，主要是负责生产活动。

和分公司连接采用路由器。

而分公司内部使用一个交换机连接所有用户，所有用户都在一个VLAN中；（可采用光纤连接）。

5)所有的用户都使用DHCP获得IP地址。

6)总公司采用linux iptables防火墙+路由器上网。

公司已经申请了100M城域网宽带上网（分两条线路，一条40M一条60M；要求：服务器占用40M，供外网用户访问，其他用户用60M出口访问internet）。

7)公司采用微软的域管理方法，对所有用户的XX和权限通过AD来管理，并要提供99％的可靠。

8)公司内部要有自己的服务器，并可以和Internet的服务器实现互发。

为出差人员提供方便的访问。

9)该公司有电子商务，提供客户在线定购产品，故要发布该WEB服务器，并提供高可靠性。

10)该公司的防病毒采用统一集中的网络管理模式。

11)严格限制上网时间。

12)出差用户要能方便的访问公司内部资料。

1.2 网络拓扑架构1.3 设计依据和规X1)主机和网络设备的选型符合下列国家和组织的技术标准和规X：2)GB：中华人民XX国国家标准3)ISO：国际标准组织4)ITU-T：国际电信联盟5)IEEE：国际电气与电子工程师协会6)EIA：电气工业协会7)IEC：国际电工协会第二章到货前准备2.1项目人员的组织结构及分工➢项目经理：负责项目的总体协调工作➢商务负责：负责以商务相关的工作➢技术负责：负责项目的总体实施➢工程技术人员CP、CA：CP为项目实施的技术把关，CA负责项目的具体实施和项目实施文档的制作➢后勤负责：为所有项目实施人员提供后勤保障工作2.2工程时间安排、进度安排预计1月初设备全部到货，总预计4到5周时间完成项目具体实施如下:系统安装工程具体分解以下的子任务：✧中心和汇聚交换机的模拟环境联合调试天✧各边缘交换机的调试天✧广域网和Quidway S6509的调试天✧ACL和NAT的设置天✧网管软件的安装与调试天第三章到货，实施前准备3.1现场检查与到货验收➢检查设备的型号及数量是否与设备订货清单一致➢检查到货的设备是否完好➢验收的结果应该提供一份由参与验收的人员和系统集成商签名的硬件清单，并注明好相关的日期➢如果没有可见的设备损坏，那么在验货后，即开始设备的安装和调试，测试是否存一些不可见的硬件损坏。

设备到货，进行设备的验收，要求必须记录设备的序列号，表格如下：3.2 IP地址及Vlan分配3.2.1 总体IP—Vlan划分3.2.2 服务器集群IP—Vlan100划分3.3.3 Iptables防火墙—Vlan200划分第四章实施4.1 相关的设备选型H3C S7500 系列以太网交换机H3C S7500系列交换机作为H3C公司自适应安全网络的核心产品之一，可广泛的适用于IP 城域网、大型企业园区网、中小型企业办公网络的核心层和汇聚层，同时其也可以作为以太无源光网络（EPON）的光线路终端（OLT）设备，为用户提供多种业务接入、交换、路由一体化的安全融合网络解决方案。

H3C S7500系列交换机支持高达768G交换容量的高速引擎，包括以下4款产品：◆S7502：2个业务插槽，主控板与业务板合一；⏹S7503：3个业务插槽，1个主控插槽；⏹S7506：6个业务插槽，1个主控插槽；◆S7506R：6个业务插槽，2个主控插槽；H3C S5600 系列以太网交换机H3C S5600系列全千兆智能弹性交换机是H3C公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。

系统采用H3C公司创新的IRF（Intelligent Resilient Framework，智能弹性架构)技术，支持高达96G的堆叠带宽和高密度千兆端口，支持万兆上行。

特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。

产品系列齐全，每款都支持1端口、2端口万兆接口或8端口SFP千兆光口，最大的堆叠带宽达到96G●支持创新的IRF（Intelligent Resilient Framework）智能弹性架构技术，能够实现用户网络的高度弹性智能扩展●可通过双绞线向远端下挂PD设备（如IP Phone、WLAN AP、Security、Bluetooth AP等）提供电源，实现PoE功能●支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系●更加多样化的管理和丰富的特性4.2 局域网的相关调试4.2.1核心H3C S7500交换机的VRRP调试SW1<SW1>sys[SW1]vlan 10[SW1-vlan10]vlan 20[SW1-vlan20]valn 50[SW1-vlan50]vlan 60[SW1-vlan60]int vlan 50[SW1-Vlan-interface50]ip add 192.168.50.1 24[SW1-Vlan-interface50]int vlan 60[SW1-Vlan-interface60]ip add 192.168.60.1 24 [SW1-Vlan-interface60]quit[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.50.252 [SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.60.253 [SW1]int e0/4/3[SW1-Ethernet0/4/3]port link-type access[SW1-Ethernet0/4/3]port access vlan 50[SW1-Ethernet0/4/3]int e0/4/2[SW1-Ethernet0/4/2]port link-type access[SW1-Ethernet0/4/2]port access vlan 60[SW1-Ethernet0/4/2]quit[SW1]SW2<SW2>sys[SW2]vlan 10[SW2-vlan10]vlan 20[SW2-vlan20]vlan 50[SW2-vlan50]vlan 60[SW2-vlan60]int e0/4/3[SW2-Ethernet0/4/3]port link-type trunk[SW2-Ethernet0/4/3]port trunk permit vlan all[SW2-Ethernet0/4/3]int vlan 10[SW2-Vlan-interface10]ip add 192.168.10.252 24[SW2-Vlan-interface10]int vlan 20[SW2-Vlan-interface20]ip add 192.168.20.252 24[SW2-Vlan-interface20]int vlan 50[SW2-Vlan-interface50]ip add 192.168.50.252 24[SW2-Vlan-interface50]quit[SW2]int vlan 10[SW2-Vlan-interface10]vrrp vrid 10 virtual-ip 192.168.10.254[SW2-Vlan-interface10]vrrp vrid 10 priority 120[SW2-Vlan-interface10]vrrp vrid 10 preempt-mode[SW2-Vlan-interface10]vrrp vrid 10 track interface Vlan-interface 50 reduced 50 [SW2-Vlan-interface10]int vlan 20[SW2-Vlan-interface20]vrrp vrid 20 virtual-ip 192.168.20.254[SW2-Vlan-interface20]vrrp vrid 20 preempt-mode[SW2-Vlan-interface20]int e0/4/2[SW2-Ethernet0/4/2]port link-type access[SW2-Ethernet0/4/2]port access vlan 50[SW2-Ethernet0/4/2]quit[SW2]ip route-static 0.0.0.0 0.0.0.0 192.168.50.1SW3<SW3>sys[SW3]int e0/4/4[SW3]vlan 10[SW3-vlan10]vlan 20[SW3-vlan20]vlan 50[SW3-vlan50]vlan 60[SW3-vlan60]int e0/4/3[SW3-Ethernet0/4/3]port link-type trunk[SW3-Ethernet0/4/3]port trunk permit vlan all[SW3-Ethernet0/4/3]int vlan 10[SW3-Vlan-interface10]ip add 192.168.10.253 24[SW3-Vlan-interface10]int vlan 20[SW3-Vlan-interface20]ip add 192.168.20.253 24[SW3-Vlan-interface20]int vlan 60[SW3-Vlan-interface60]ip add 192.168.60.253 24[SW3-Vlan-interface60]int vlan 10[SW3-Vlan-interface10]vrrp vrid 10 virtual-ip 192.168.10.254[SW3-Vlan-interface10]vrrp vrid 10 preempt-mode[SW3-Vlan-interface10] int vlan 20[SW3-Vlan-interface20]vrrp vrid 20 virtual-ip 192.168.20.254[SW3-Vlan-interface20]vrrp vrid 20 priority 120[SW3-Vlan-interface20]vrrp vrid 20 preempt-mode[SW3-Vlan-interface20]vrrp vrid 20 track interface Vlan-interface 60 reduced 50[SW3-Vlan-interface20]int e0/4/2[SW3-Ethernet0/4/2]port link-type access[SW3-Ethernet0/4/2]port access vlan 60[SW3-Ethernet0/4/2] quit[SW3]ip route-static 0.0.0.0 0.0.0.0 192.168.60.14.3广域网的相关调试4.3.1IPTABLES防火墙的配置[rootlocalhost ~]# echo 1 >/proc/sys/net/ipv4/ip_forward[rootlocalhost ~]# iptables -t nat POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to218.85.157.100[rootlocalhost ~]# iptables -t nat -A PREROUTING -p tcp --dport 80 -d 218.85.157.100 -j DNAT --to-destination 192.168.1.100[rootlocalhost ~]# iptables -p INPUT DROP[rootlocalhost ~]# iptables -p OUTPUT ACCEPT[rootlocalhost ~]#iptables -p FORWARD DROP[rootlocalhost ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT[rootlocalhost ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT[rootlocalhost ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT[rootlocalhost ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT[rootlocalhost ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT[rootlocalhost ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT[roottp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT[rootlocalhost ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT[rootlocalhost ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT[rootlocalhost ~]# /etc/init.d/iptables save[rootlocalhost ~]# /etc/init.d/iptables restart4.4Red HatLinux5系统上相关服务器的搭建4.4.1 WEB服务器的安装配置WEB服务器的ip地址：192.168.1.100域名：.wg2010..wg0803.[rootlocalhost ~]# cd /home/wg2010[rootlocalhost wg2010]# tar -zxvf httpd-2.0.59.tar.gz–C /tmp[rootlocalhost wg2010]# cd /tmp[rootlocalhost tmp]# cd httpd-2.0.59/[rootlocalhosthttpd-2.0.59]#./configure--prefix=/usr/loacl/apache--sysconfdir=/usr/loacl/apache/co nf[rootlocalhosthttpd-2.0.59]make[rootlocalhosthttpd-2.0.59]make inatall4.4.2DNS服务器的安装配置：DNS服务器ip地址:192.168.1.100[rootlocalhost ~]#mount /dev/cdrom /mnt/cdrom[rootlocalhost ~]# cd /mnt/cdrom[m[rootlocalhost cdrom]# cd Server/[rootlocalhost Server]# ls |grep bind[rootlocalhost Server]# rpm -ivh bind-9.3.3-10.el5.i386.rpm [rootlocalhost Server]# rpm -ivh bind-utils-9.3.3-10.el5.i386.rpm [rootlocalhost Server]# ls |grep cach[rootlocalhost Server]#rpm -ivh caching-nameserver-9.3.3-10.el5.i386.rpm [rootlocalhost Server]# cd /home/wg0803/dns[rootlocalhost wg0803]# ls[m[rootlocalhost dns]# cp wg0803..zone /var/named[rootlocalhost dns]# cp wg2010..zone /var/named[rootlocalhost dns]# cp named.ca /var/namedcp：是否覆盖“/var/named/named.ca”? n[rootlocalhost dns]# cp named.conf /etc[rootlocalhost dns]# cd /var/named[rootlocalhost etc]# vi named.conf// generated by named-bootconf.ploptions {directory "/var/named";/** If there is a firewall between you and nameservers you want* to talk to, you might need to unment the query-source* directive below. Previous versions of BIND always asked* questions using port 53, but BIND 8.1 uses an unprivileged* port by default.*/// query-source address * port 53;};//// a caching only nameserver config//controls {inet 127.0.0.1 allow { localhost; } keys { rndckey; }; };zone "." IN {type hint;file "named.ca";};zone "localhost" IN {type master;file "localhost.zone";allow-update { none; };};zone "0.0.127.in-addr.arpa" IN {type master;file "named.local";allow-update { none; };};zone "wg0803." IN {type master;file " wg0803..zone";};zone "wg2010." IN {type master;file " wg2010..zone";};zone "1.168.192.in-addr.arpa" IN {type master;file "1.168.192.in-addr.arpa";};include "/etc/rndc.key";[m[rootlocalhost named]# vi wg0803..zone$TTL 86400$ORIGIN wg0803..1D IN SOA wg0803.. root.wg0803. (42 ; serial (d. adams)3H ; refresh15M ; retry1W ; expiry1D ) ; minimum1D IN NS wg0803..IN MX 10 wg0803..1D IN A 192.168.1.1100mail 1D IN A 192.168.1.1100ftp IN AME[rootlocalhost named]# vi wg2010..zone$TTL 86400$ORIGIN wg2010..1D IN SOA wg2010.. root.wg2010. (42 ; serial (d. adams)3H ; refresh15M ; retry1W ; expiry1D ) ; minimum1D IN NS wg2010..IN MX 10 wg2010..1D IN A 192.168.1.1100mail 1D IN A 192.168.1.1100ftp IN AME[rootlocalhost ~]# service named start4.4.3Exchange服务器安装过程1.下图为Exchange Service 2003的安装开始界面，选择“Exchange 部署工具”2.在下图中，选择“部署第一台Exchange 2003 服务器”3.选择“安装全新的Exchange 2003”4.下图为安装Exchange 2003的八大步骤，需要逐一的满足才能安装成功5.服务器的操作系统为Windows service 2003，因此步骤1完成，下图为相关组件和服务的启用①“控制面板”—“添加/删除Windows组件”，依次启用相关的组件，应用，确定②在安装组件的过程中，会出现如下的提示，要求插入安装光盘，根据提示选择相关文件即可开始安装组件，直到完成6.安装“dcdiag”和“netdiag”工具①打开系统安装光盘中的内容，打开“SUPPORT”—“Tools”②双击“SUPTOOLS.MSI”进行安装③跳出如下安装界面后一直“Next”，直到安装完成7.ForestPrep安装①点击“立即运行ForestPrep”，会出现如下的安全提示框，点击“继续”②下图为Forest Prep安装的开始界面③下一步④下一步⑤开始安装ForestPrep，这个过程比较漫长，耐心等待安装完成8.DomainPrep的安装①下图为DomainPrep安装的开始界面②下一步③当出现如下提示框时，点击“确定”开始安装，直到安装完成8.Exchange程序安装①下一步②选择“新建Exchange组织”“下一步”③输入组织名“kingt”“下一步”④输入简单管理组织名“kingt”“下一步”“下一步”开始安装二。