大家好!我是书记,好久没有发表技术的博文了,前一段时间都在忙碌着华为T1和Linux的RHCE的认证,搞得我好疲惫,哎,没办法,年轻人嘛!就要多学习些东西,好了,废话不说了。今天我给大家带来的是一个模拟的实战演练,而且是一个技术性很强的实验,我感觉这个实验确实可以锻炼我们的综合能力,好了,现在就开始吧!
实验的扩扑图:
首先,模拟实验演练中所包含的所技术:
Cisco 的NAT中的一种方式:PAT;拨号的技术:ADSL中的PPOE;×××技术:包括站点到站点的×××,还有远程×××:PPTP;DMZ区的应用;
Linux的安全管理SSH和open ssh的应用,以及Apache搭建web服务器。
下面是实验具体的配置过程:
1. 在 3640上的配置 :
en
conf t
no ip do lo
line 0
logg sync
exec-t 0 0
exit
int e0/2
ip add 172.16.1.1 255.255.255.0
no sh
exit
ip route 0.0.0.0 0.0.0.0 172.16.1.254
access-list 1 permit 192.168.20.0 0.0.0.255
ip nat inside source list 1 interface e0/2 overload
int e0/2
ip nat ou 
exit
int lo1
ip add 192.168.20.1 255.255.255.0
no sh
exit
 

2.在 Internet上的配置:
en
conf t
no ip do lo
line 0
logg sync
exec-t 0 0
exit
int e0/2
ip add 172.16.1.254 255.255.255.0
no sh
exit
vpdn en ----- 启用了VPDN特性(虚拟专用拨入网)
bba pppoe glo 
virtual-te 1---定义虚拟接口模块
exit
ip local pool ADSL 202.106.10.1 202.106.10.11--地址池名字和范围
username shuji password shuji--定义本地用户数据库
int virtual-te 1
ip add 1.1.1.1 255.255.255.0   (或者借用IP 地址)
no sh
peer default ip add pool ADSL  默认使用ADSL中地址
ppp authen pap-----启用了pap 认证的方式。
exit
int e0/3
pppoe en ----激活PPPoe协议
no sh
int e0/1
ppp en 
no sh
 
3. 在7206-R1上的配置:
 
en
conf t
no ip do lo
line 0
logg sync
exec-t 0 0
exit
int e0/0
ip add 192.168.10.254 255.255.255.0
no sh
int e0/2
ip add 192.168.100.254 255.255.255.0
no sh
exit
int e0/1
ppp en 
pppoe-client dia 1
ip nat outside
exit
int dialer 1
e p
dialer pool 1
ppp pap s shuji password shuji
ip add ne 
ip nat outside
int e0/2
ip nat inside
no sh
int e0/0
ip nat inside
no sh
exit
access-list 1 permit 192.168.10.0 0.0.0. 255
ip nat inside source list 1 interface dialer 1
end
conf t
ip nat inside source static tcp 192.168.100.1 80 interface dialer 1 80
ip nat inside source static tcp 192.168.100.1 21 interface dialer 1 21
exit
conf t
ip route 0.0.0.0 0.0.0.0 dialer 1
exit

如果家庭用户要访问企业1的话,就要做PPTP ×××
简单的思路:(在7206-R1上)

vpdn enable----这个是启用了vpdn 特性。
vpdn-group 1 ----定义vpdn组1
protocol pptp ---客户使用pptp 协议
accept-dialin-----接受客户端接入
virtual-template 1-----创建虚拟接口模板
username servershuji  password shuji-----新建本地用户
ip local pool pptp 192.168.10.1 192.168.10.12 定义了地址池的范围。
int virtual-te 1 定义虚拟接口模板
ip unnumbered lo1 -----借用IP地址
Peer default ip add pool pptp ---为客户端分配IP 地址
ppp encrypt mppe 128 required ---要求是MS128位加密
ppp authentication ms-chap ----主认证方用Mircosoft chap 协议。
 

企业1位于北京,企业2位于上海,我们通过做站点与站点的×××来时实现通信:
因为这个实验的核心是通过ADSL中的ppoe.server来获取的IP地址以及应用了虚拟接口的这个概念,又因为×××在这个模拟实验中是实行line-to-line的,所以我单独来出来个站点到站点的扩扑图来演示,这样做的目的就是更清楚明了。
扩扑图:

具体思路:
1、配置路由(保证加密点之间能通信)
SH-2691(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
BJ-7206(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
2、配置NAT
SH-2691(config)#ip access-list extended nat ................................(NAT感兴趣流)
SH-2691(config-ext-nacl)#deny ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
SH-2691(config-ext-nacl)#permit ip any any
SH-2691(config)#ip nat inside source list nat interface e0/1 overload
SH-2691(config)#int e0/1
SH-2691(config)#ip nat outside
SH-2691(config)#int e0/0
SH-2691(config)#ip nat inside
BJ-7206(config)#ip access-list extended nat................................(NAT感兴趣流)
BJ-7206(config-ext-nacl)#deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
BJ-7206(config-ext-nacl)#permit ip any any
BJ-7206(config)#ip nat inside source list nat interface e0/0 overload
BJ-7206(config)#int e0/0
BJ-7206(config)#ip nat outside
BJ-7206(config)#int e0/1
BJ-7206(config)#ip nat inside
---------------------------------------------------------------------
3、配置IKE协商(第一阶段作用交换密钥)
SH-2691(config)#crypto isakmp policy 1    定义第一阶段策略
SH-2691(config-isakmp)#hash md5         哈希使用md5
SH-2691(config-isakmp)#encryption 3des   加密方式使用3DES(对称)
SH-2691(config-isakmp)#authentication pre-share 验证用预共享密钥
SH-2691(config-isakmp)#group 2    使用第二组策略(1024bit)
SH-2691(config)#crypto isakmp key 0 cisco address 192.168.1.1
 
BJ-7206(config)#crypto isakmp policy 1    定义第一阶段策略
BJ-7206(config-isakmp)#hash md5         哈希算法使用md5
BJ-7206(config-isakmp)#encryption 3des  加密方式使用3DES(对称)
BJ-7206(config-isakmp)#authentication pre-share 验证用预共享密钥
BJ-7206(config-isakmp)#group 2  使用第二组策略(1024bit)
BJ-7206(config)#crypto isakmp key 0 cisco address 192.168.2.1
 
4、配置IPsec参数(第二阶段作用加密后续流量)
a、配置×××感兴趣流
SH-2691(config)#ip access-list extended *** …………………***感兴趣流
SH-2691(config-ext-nacl)#permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
BJ-7206(config)#ip access-list extended *** …………………***感兴趣流
BJ-7206(config-ext-nacl)#permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
b、ipsec传输集
SH-2691(config)#crypto ipsec transform-set SH-BJ esp-des esp-md5-hmac
BJ-7206(config)#crypto ipsec transform-set BJ-SH esp-des esp-md5-hmac
 
5、配置crypto map加密图(关联第一、二阶段)
SH-2691(config)#crypto map SH 1 ipsec-isakmp  建立map关联1、2阶段
SH-2691(config-crypto-map)#set transform-set SH-BJ  指定转换集
SH-2691(config-crypto-map)#match address ***      匹配需加密的流量
SH-2691(config-crypto-map)#set peer 192.168.1.1    指明对方加(解)密点
BJ-7206(config)#crypto map BJ 1 ipsec-isakmp  建立map关联1、2阶段
BJ-7206(config-crypto-map)#set transform-set BJ-SH  指定转换集
BJ-7206(config-crypto-map)#match address ***      匹配需加密的流量
BJ-7206(config-crypto-map)#set peer 192.168.2.1   指明对方加(解)密点
 
6、端口应用
BJ-7206(config)#int e0/0
BJ-7206(config-if)#crypto map BJ   端口调用加密图
SH-2691(config)#int e0/1
SH-2691(config-if)#crypto map SH  端口调用加密图
-----------------------------------------------------------------------
Ipsec ***配置查看命令:
Show crypto isakmp policy   显示所有尝试的策略以及最后的默认策略设置:
Show crypto ipsec transform-set  显示在路由器上设置的transform-set
Show crypto map   显示crypto map配置
Show cyrpto isakmp sa  显示第一阶段安全联盟SA
Show crypto ipsec sa    显示第二阶段安全联系SA
Show crypto engine connction active  显示×××加\解密的数据包数量

好的,网络平台已经搭建完毕,现在要做的是服务应用了
下面是Apache的搭建步骤:
一、网络配置

1.执行#netconfig命令,设置IP地址为192.168.100.1
2.编辑/etc/sysconfig/network,设置计算机名为www.shuji.com
3.编辑/etc/hosts,设置www.shuji.com到192.168.100.1的解析
4.执行#init 6命令,重新启动计算机
二、安装、配置apache
1.下载httpd-2.0.48.tar.gz,复制到/usr/local/src下
2.执行#tar -zxvf httpd-2.0.48.tar.gz,解压软件包
3.进入源码目录,执行#./configure --prefix=/usr/local/apache --enable-so,配置apache
4.执行#make,编译apache源代码
5.执行#make install,安装apache服务器程序
6.执行#vi /usr/local/apache/conf/httpd.conf,修改配置文件
 ServerAdmin webmaster@a.com  --第259行
 ServerName www.shuji.com:80 --第273行
7.执行#/usr/local/apache/bin/apachectl start启动apache服务器
8.执行#ps -aux |grep httpd,查看httpd进程是否启动
9.启动Moailla浏览器,输入http://www.shuji.com,检查是否连接到服务器
--------------<高级应用>--------------
10.执行#vi /usr/web/index.html,新建网页(先新建/usr/web目录)
 <font color=red size=30>da jia hao!</font>
11.执行#vi /usr/local/apache/conf/httpd.conf,修改配置文件
 DocumentRoot "/usr/web"  --第389行
--------------------------------------
三、配置apache/php/mysql协同工作
1.下载mysql-4.0.17.tar.gz和php-4.3.4.tar.gz,复制到/usr/local/src下
2.解压两个软件包
3.建立mysql用户
 #groupadd -g 2000 mysql
 #useradd -u 2000 -g mysql mysql
4.进入mysql目录,配置、安装mysql
 #./configure --prefix=/usr/local/mysql --sysconfdir=/etc
  --localstatedir=/var/bib/mysql
 #make
 #make install
5.进入/usr/local/mysql/bin目录,初始化数据库
 #./mysql_install_db
6.设置mysql状态报告目录权限
 #chmod -R mysql /var/lib/mysql
7.复制配置文件
 #cp /usr/local/mysql/share/mysql/my-dedium.cnf /etc/my.cnf
8.使用root用户启动mysql服务
 #/usr/local/mysql/bin/mysqld_safe --user=root &
9.修改数据库用户root密码
 #/usr/local/mysql/bin/mysqladmin -u root -p password 1234
10.用新密码连接数据库
 #/usr/local/mysql/bin/mysql -u root -p
12.进入php目录,配置、安装php程序
 #./configure --with-mysql=/usr/local/mysql --with-apxs2=/usr/local/apache/bin/apxs
 #make
 #make install
13.复制php配置文件到php安装目录
 #cp php.int-dist /usr/local/lib/php/php.ini
14.修改apache配置文件
 #vi /usr/local/apache/conf/http.conf
 AddType application/x-httpd-php .php  --第824行
 AddType application/x-httpd-php-source .phps
--------------<高级应用>--------------
15.执行#vi /usr/web/index.php,新建网页
 <?
 echo phpinfo()
 ?>
--------------------------------------
16.下载留言板程序,zorum_3_5.taz
17.解压zorum软件包
 #tar -xzvf zorum_3_5.tgz
18.将zorum_3_5目录拷贝到/usr/web目录下,并重命名zorum
 #cp -r zorum_3_5 /usr/web
 #mv zorum_3_5 zorum
19.启动Moailla浏览器,输入http://www.shuji.com/zorum/index.php,连接留言板
20.进入数据库,单击Install创建数据库
21.在/zorum目录中创建config.php,将页面语句拷贝
22.改变文件属性
 #chmod 777 config.php
 #chmod nobody:nobody config.php
23.单击页面下面链接“Click here to access zorum”访问留言板
 
好了,基本的配置就这些了。做Apache的过程中一定要有清楚的思路,不然的话,成功性是很小的。
 
接着,平台和服务都已经运用了,剩下的就是维护与管理了,下面讲解怎么样都过windows和Linux 远程管理Linux的web服务器。
首先对SSH做个简单的介绍,SSH实现了与telnet类似的远程登陆的功能,可以实现了字符界面的远程登陆管理。它传输的内容在网络上是都是加密的。
相对于传统的telnet而言的话,SSH协议具有的特点如下:
1.SSH协议在网络中传输的任何数据都是经过加密处理的。
2.SSH提供了口令和密钥两种用户的认证方式
3.SSH协议除了远程登陆的功能外,还包括了远程文件复制的功能,就是scp and sftp.

SSH 中的OPEN SSH 的基本配置管理:
如图:

OPEN SSH的基本的应用:
one:ssh的命令格式:
ssh username@sshserver
ssh -l username sshserver
ssh -X username sshserver---登陆运行服务器的窗口程序

如果是让windows操作系统来管理Linux服务器的话,就要使用SSh的客户端软件了,用的比较多的是Putty and WinScp 这两款软件。
操作的过程:
Putty:
 
 
 
 

Winscp:
 
 
 
 
 
 

好了,这个模拟实验到此结束了,希望大家多多指教!
同时祝愿大家事业有成,天天开心!!