Построение внутренней сети предприятия на основе продуктов Microsoft и Linux

Размещено на http://www.allbest.ru/

1. Задание

сервер программное аппаратное обеспечение

Вы назначены системным администратором компании, занятой в области торговли высокотехнологичным оборудованием.

В компании имеется офис, в котором работает 40 человек.

Также существуют удаленные сотрудники, которым необходим доступ к файловым ресурсам компании.

Задачи:

Подбор программного и аппаратного обеспечения для серверов и рабочих станций компании, выбор сетевого оборудования.

Построение роутера на базе Ubuntu.

Построение почтовой системы на базе Microsoft Exchange server.

Использование в качестве почтового smart host-а системы postfix на роутере.

Построение прокси-сервера на базе squid с контролем доступа в интернет по MAC адресам и времени суток.

Организация FTP сервера для обмена информацией.

Организация web-сервера на базе MS IIS server.

2. Выбор оборудования

Конфигурация роутер, прокси-сервер и smart host:

- операционная система Ubuntu 10.04;

- процессор 700 MHz;

- оперативная память 512 Мб;

- дисковая подсистема Raid 1 объёмом 40 Гб;

- 2 сетевой карты 1000/100/10 BaseT/UTP.

Минимальные требования к процессору Exchange Server 2007 -- процессор Intel, который поддерживает Intel Extended Memory 64 Technology (IEM64T) или процессор AMD с поддержкой платформы AMD64 (как минимум желательно четырехъядерный)

Минимальные требования к оперативной памяти для Exchange Server 2007 -- 2 Гбайт. Такое требование предъявляется к роли Mailbox Server. Для всех остальных ролей минимальные требования к оперативной памяти -- 1 Гбайт. Рекомендованные требования выглядят так:

- для роли Mailbox Server -- 2 Гбайт, плюс по 5 Мбайт на каждый почтовый ящик;

- для всех остальных ролей -- 1 Гбайт на каждое процессорное ядро.

С учетом этих требований, а также принимая во внимание не рассмотренные здесь функции нашего сервера, выбираем следующую конфигурацию оборудования для нашего Exchange сервера:

- операционная система Windows 2008 R2;

- процессор Intel Xeon x3470, 2 процессора по 4 ядра и частотой 2,93ГГц;

- оперативная память DDR3 16GB;

- дисковая подсистема Raid 1 объёмом 1TB и 2 винчестера объёмом по 1TB;

- сетевая карта 1000/100/10 BaseT/UTP.

Конфигурация Web-server:

- операционная система Windows 2008 R2;

- процессор Intel Core 2 Duo с 2.93ГГц;

- оперативная память DDR3 4GB;

- дисковая подсистема Raid 1 объёмом 1TB;

- сетевая карта 1000/100/10 BaseT/UTP.

3. Планирование сети предприятия

На основе задания к дипломному проектированию и выбранного нами оборудования составляем следующую конфигурацию нашей сети, представленную на рисунке 1.

4. Построение роутера на базе Ubuntu

Роутер - сетевое устройство, пересылающее пакеты данных между различными сегментами сети и принимающее решения на основании информации о топологии сети и определённых правил, заданных администратором.

В компании роутером будет являться выделенный компьютер работающий под управлением операционной системы Ubuntu 10.04 и имеющий два сетевых интерфейса.

Первой сетевой карте ip-адрес автоматически раздает интернет-провайдер. Вторая сетевая карта (которая смотрит во внутреннею сеть) настроена статично, ip-адрес из зоны 192.168.1.0/255.255.255.0. В рамках такой внутренней сети мы сможем подключить до 253 компьютеров, которые будут свободно обмениваться данными между собой, а так же выходить в интернет.

Интерфейсы на присутствующие на роутере:

eth0 - интерфейс к которому подключен канал связи от провайдера.

eth1 - подключен к коммутатору, в который подключены другие компьютеры.

Подключив роутер к сети, прописываем настройки ip: шлюз будет 192.168.1.3, маска подсети 255.255.255.0, ip адреса выставляем в диапазоне 192.168.1.4 - 192.168.0.254.

Конфигурация сетевых интерфейсов отображена в файле /etc/network/interfaces:

# This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface

auto lo

iface lo inet loopback

# The primary network interface

auto eth0

iface eth0 inet dhcp

auto eth1

iface eth1 inet static

address 192.168.1.3

netmask 255.255.255.0

network 192.168.1.0

broadcast 192.168.1.0

Теперь с помощью команды: sudo ifconfig eth1 192.168.1.3 указываем интерфейсу работать на этом ip (который 192.168.1.3).

Включается поддержка “форвардинга”, c помощью которого осуществляется трансляция пакетов из интернета на внутренние компьютеры, для этого надо раскомментировать строку # net.ipv4.ip_forward = 1 в файле

/etc/ sysctl.conf и затем ввести в консоль для того, что бы все заработало сразу:

# The following is suitable for dedicated web server, mail, ftp server etc.

# ---------------------------------------

# BOOLEAN Values:

# a) 0 (zero) - disabled / no / false

# b) Non zero - enabled / yes / true

# --------------------------------------

# Controls IP packet forwarding

net.ipv4.ip_forward = 1

# Controls source route verification

net.ipv4.conf.default.rp_filter = 1

# Do not accept source routing

net.ipv4.conf.default.accept_source_route = 0

# Controls the System Request debugging functionality of the kernel

kernel.sysrq = 0

# Controls whether core dumps will append the PID to the core filename

# Useful for debugging multi-threaded applications

kernel.core_uses_pid = 1

# Controls the use of TCP syncookies

#net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_synack_retries = 2

########## IPv4 networking start ##############

# Send redirects, if router, but this is just server

net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.send_redirects = 0

# Accept packets with SRR option? No

net.ipv4.conf.all.accept_source_route = 0

# Accept Redirects? No, this is not router

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0

# Log packets with impossible addresses to kernel log? yes

net.ipv4.conf.all.log_martians = 1

net.ipv4.conf.default.accept_source_route = 0

net.ipv4.conf.default.accept_redirects = 0

net.ipv4.conf.default.secure_redirects = 0

# Ignore all ICMP ECHO and TIMESTAMP requests sent to it via broadcast/multicast

net.ipv4.icmp_echo_ignore_broadcasts = 1

# Prevent against the common 'syn flood attack'

net.ipv4.tcp_syncookies = 1

# Enable source validation by reversed path, as specified in RFC1812

net.ipv4.conf.all.rp_filter = 1

net.ipv4.conf.default.rp_filter = 1

########## IPv6 networking start ##############

# Number of Router Solicitations to send until assuming no routers are present.

# This is host and not router

net.ipv6.conf.default.router_solicitations = 0

# Accept Router Preference in RA?

net.ipv6.conf.default.accept_ra_rtr_pref = 0

# Learn Prefix Information in Router Advertisement

net.ipv6.conf.default.accept_ra_pinfo = 0

# Setting controls whether the system will accept Hop Limit settings from a router advertisement

net.ipv6.conf.default.accept_ra_defrtr = 0

#router advertisements can cause the system to assign a global unicast address to an interface

net.ipv6.conf.default.autoconf = 0

#how many neighbor solicitations to send out per address?

net.ipv6.conf.default.dad_transmits = 0

# How many global unicast IPv6 addresses can be assigned to each interface?

net.ipv6.conf.default.max_addresses = 1

########## IPv6 networking ends ##############

#Enable ExecShield protection

kernel.exec-shield = 1

kernel.randomize_va_space = 1

# TCP and memory optimization

# increase TCP max buffer size setable using setsockopt()

#net.ipv4.tcp_rmem = 4096 87380 8388608

#net.ipv4.tcp_wmem = 4096 87380 8388608

# increase Linux auto tuning TCP buffer limits

#net.core.rmem_max = 8388608

#net.core.wmem_max = 8388608

#net.core.netdev_max_backlog = 5000

#net.ipv4.tcp_window_scaling = 1

# increase system file descriptor limit

fs.file-max = 65535

#Allow for more PIDs

kernel.pid_max = 65536

#Increase system IP port limits

net.ipv4.ip_local_port_range = 2000 65000

Для включения и автоматического запуска преобразования сетевых адресов и маршрутизации в файле /etc/rc.local вписаны следующие правила, которые включают преобразование сетевых адресов исходящих пакетов на интерфейс eth0:

#!/bin/sh -e

#

# rc.local

#

# This script is executed at the end of each multiuser runlevel.

# Make sure that the script will "exit 0" on success or any other

# value on error.

#

# In order to enable or disable this script just change the execution

# bits.

#

# By default this script does nothing.

/sbin/iptables -P FORWARD ACCEPT

/sbin/iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE

exit 0

И после этого для принятия изменений ввести команду:

sudo iptables -P FORWARD ACCEPTsudo iptables -table nat -A POSTROUTING -o eth0 -j MASQUERADE

5. Построение прокси-сервера на базе squid с контролем доступа в интернет по MAC адресам и времени суток

Прокси-сервер - служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс , расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак и помогает сохранять анонимность клиента.

В качестве прокси-сервера используется пакет “Squid”.

Squid -программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP,FTP и (в случае соответствующих настроек) HTTPS. Разработан сообществом как программа с открытым исходным кодом (распространяется в соответствии с GNU GPL). Все запросы выполняет как один неблокируемый процесс ввода/вывода.

Для поддержки функции контроля доступа в интернет по MAC-адресам в squid компилируется со следующей строкой:

./configure --enable-arp-acl ...

make clean

make

Для настройки прокси-сервера в конфигурационном файле /etc/squid3 squid.conf устанавливаются правила необходимые для выполнения поставленных задач. C начала в переменной visible_hostname указывается в качестве значения сетевое имя прокси-сервера, затем в разделе "ACCESS CONTROL" после # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS строки вписываются все необходимые правила:

# WELCOME TO SQUID 3.0.STABLE19

# ----------------------------

#

# This is the default Squid configuration file. You may wish

# to look at the Squid home page (http://www.squid-cache.org/)

# for the FAQ and other documentation.

#

# The default Squid config file shows what the defaults for

# various options happen to be. If you don't need to change the

# default, you shouldn't uncomment the line. Doing so may cause

# run-time problems. In some cases "none" refers to no default

# setting at all, while in other cases it refers to a valid

# option - the comments for that keyword indicate if this is the

# case.

#

# Configuration options can be included using the "include" directive.

# Include takes a list of files to include. Quoting and wildcards is

# supported.

# TAG: visible_hostname mail.localhost.localdomain

# If you want to present a special hostname in error messages, etc,

# define this. Otherwise, the return value of gethostname()

# will be used. If you have multiple caches in a cluster and

# get errors about IP-forwarding you must set them to have individual

# names with this setting.

#

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

acl fsrv arp 00:0c:29:16:aa:66

acl fsrv _t time 09:00-23:00

acl psrv arp 00:0c:29:7d:34:45

acl psrv _t time 09:00-23:00

acl user1 arp 00:0c:29:4c:04:50

acl user1_t time 09:00-16:30

http_access allow fsrv fsrv _t

http_access allow psrv psrv _t

http_access allow user1 user1 _t

http_access deny all

Для тестирования работоспособности прокси-сервера, были сконфигурированы браузеры на использование прокси клиентских компьютеров внутри сети. В качестве адреса прокси указан IP-адрес сервера и порт на котором он принимает запросы.

6. Настройка пакета Postfix для использования в качестве почтового smart host-а системы на роутере

Почтовый сервер, сервер электронной почты, мейл-сервер -это компьютерная программа, которая передаёт сообщения от одного компьютера к другому.

Smart host (смартхост) - тип почтового сервера, который позволяет SMTP-серверам пересылать письма через промежуточный сервер, вместо того, чтобы отправлять почту напрямую на сервера получателя.

Postfix - это агент передачи сообщений (MTA, message transport agent), который занимается пересылкой по протоколу SMTP сообщений от пользовательского почтового агента (MUA, mail user agent), называе мого также почтовым клиентом, к удаленному почтовому серверу.

MTA также принимает сообщения от удаленных почтовых серверов и пересылает их другим MTA или доставляет в локальные почтовые ящики. Переслав или доставив сообщение, Postfix заканчивает свою работу. За доставку сообщения конечному пользователю отвечают другие серверы. Например, такие MTA, как серверы POP3 или IMAP, передают сообщения почтовым клиентам - Mutt, Outlook или Apple Mail, с помощью которых пользователь может прочитать их.

Базовая настройка почтового шлюза позволяет Postfix работать на внешнем почтовом сервере и ретранслировать сообщения, предназначенные для определенных доменов, другому (внутреннему) почтовому серверу. Для создания такого почтового шлюза надо выполнить на сервере ретрансляторе следующие действия:

1. Разрешить внутреннему серверу использовать шлюз в качестве ретранслятора.

2. Указать домены, от которых сообщения будут приниматься для ретрансляции внутренним серверам (relay_domains).

3. Указать внутренний хост, на который будут ретранслироваться со общения (transport_maps).

4. Определить получателей, сообщения для которых будут приниматься для ретрансляции внутренним серверам (relay_recipient_maps).

Наш первый шаг состоит в том, чтобы разрешить ретрансляцию на почтовом шлюзе для нашего «невидимого» почтового сервера. Добавляем

IP адрес внутреннего почтового сервера в список серверов параметра

mynetworks. Адрес внутреннего сервера - 192.168.1.1, добавлена такая строку в файл main.cf на почтовом шлюзе:

mynetworks = 127.0.0.0/8 192.168.1.3/24

Доступ на ретрансляцию ограничен адресом localhost почтового шлюза (127.0.0.1) и внутреннего почтового сервера (в нашем случае это 192.168.1.1), так что другие хосты внутри вашей сети не могут использовать шлюз для пересылки.

На следующем шаге мы указываем Postfix на необходимость приема сообщений из внешней сети для хоста внутренней сети. С помощью параметра relay_domains, Postfix определяет список доменов, для которых он осуществляет пересылку, даже в том случае, если не является местом конечного назначения для этих доменов. Поэтому для пересылки почты для localhost.localdomain, используется такая настройка:

relay_domains = example.com

Теперь, когда шлюз знает о том, что должен принимать сообщения для некоторого домена, нужно сказать ему, куда ретранслировать входящие сообщения, направляющиеся в этот домен. Для этого создается карта транспорта в файле /etc/postfix/transport. Поэтому для пересылки сообщений для домена localhost.localdomain на хост mail.localhost.localdomain, файл карты выглядит таким:

localhost.localdomain smtp:[ mail.localhost.localdomain]

В этой строке smtp означает, что Postfix должен использовать тип транспорта smtp, определенный в файле master.cf. Квадратные скобки имеют важное значение, т. к. они отменяют поиск MX для mail.localhost.localdomain. Без таких скобок сервер Postfix стал бы искать MX запись для mail.localhost.localdomain. А так как запись, принадлежит самому хосту сервера, он пытался бы доставить почту себе самому, и входящие сообщения попали бы в бесконечный цикл.

После этого создается индексированный файл следующей командой:

postmap hash:/etc/postfix/transport

Задаем параметр transport_maps parameter в файле main.cf (и перезагружаем конфигурацию):

transport_maps = hash:/etc/postfix/transport

# See /usr/share/postfix/main.cf.dist for a commented, more complete version# Debian specific: Specifying a file name will cause the first# line of that file to be used as the name. The Debian default# is /etc/mailname.#myorigin = /etc/mailnamesmtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)biff = no# appending .domain is the MUA's job.append_dot_mydomain = no# Uncomment the next line to generate "delayed mail" warnings#delay_warning_time = 4hreadme_directory = no# TLS parameterssmtpd_tls_cert_file = /etc/ssl/certs/smtpd.crtsmtpd_tls_key_file = /etc/ssl/private/smtpd.keysmtpd_use_tls = yessmtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scachesmtp_tls_session_cache_database = btree:${data_directory}/smtp_scache# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for# information on enabling SSL in the smtp client.myhostname = mail. localhost.localdomain

mydomain = localhost.localdomainalias_maps = hash:/etc/aliasesalias_database = hash:/etc/aliasesmydestination =relayhost =relay_domains = localhost.localdomainrelay_recipient_maps = hash:/etc/postfix/relay_recipientslocal_recipient_maps =mynetworks = 127.0.0.0/8, 192.168.1.3/24transport_maps = hash:/etc/postfix/transportmailbox_size_limit = 0recipient_delimiter = +inet_interfaces = allsmtpd_sasl_local_domain =smtpd_sasl_auth_enable = yessmtpd_sasl_security_options = noanonymousbroken_sasl_auth_clients = yessmtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destinationsmtpd_tls_auth_only = nosmtp_use_tls = yessmtp_tls_note_starttls_offer = yessmtpd_tls_CAfile = /etc/ssl/certs/cacert.pemsmtpd_tls_loglevel = 1

4. Настройка сервера как контроллера домена для внутренней сети предприятия

Служба DNS обеспечивает разрешение имен компьютеров, что позволяет пользователю обращаться к серверам по имени, а не по ip-адресу. В распределенной базе данных DNS хранятся таблицы соответствия имени ip-адресам

Серверы DNS могут разрешать как прямые(ip-адрес по имени), так и обратные (имя по адресу) запросы. Серверы DNS кэшируют результаты, чтобы снизить нагрузку на сеть.

Для работы службы DNS необходима как минимум одна зона прямого просмотра на сервере DNS. Можно задавать разный тип зоны прямого просмотра. Для выполнения обратных запросов необходимо создать зону обратного просмотра.

В компании основным DNS-сервером является сервер Exchange (192.168.1.1), в котором создана зона прямого просмотра localhost.localdomain, интегрированная с Active Directory (для хранения и репликации файлов зоны используется механизм Active Directory). Интеграция с Active Directory упрощает администрирование DNS и AD.

Рисунок 2

Для того, чтобы DNS-серверы и клиенты автоматически обновляли файлы зоны, для DNS-сервера поставлено динамическое обновление



Рисунок 3

4.2 Active Directory

Служба Active Directory обеспечивает мощный сервис для централизованного управления пользователями, группами и компьютерами, а также предлагает безопасный доступ к сетевым ресурсам.

Для того чтобы разделить сотрудников компании по подразделениям используются объектные подразделения AD. Для распределения работников по подразделениям созданы 3 организационных подразделения: бухгалтерия, Управление информационных технологий, руководящий состав.

Для того, чтобы каждый работник мог войти в домен и получить доступ к ресурсам домена, в каждом из ОП созданы учетные записи пользователей для каждого работника соответствующего подразделения.



Рисунок 4

5. Настройка Exchange Server

Exchange 2007 предназначен для обмена электронной корреспонденцией (почтой) внутри организации, приёмом и отправкой почты другим пользователям электронной почты, а также ряда дополнительных сервисов.

В ходе выполнения работы был настроен ряд сервисов на разных уровнях сервера (рис.5):

Конфигурация организации;

Настройка серверов;

Настройка получателей.

Рис 5

Общие настройки сервера:

- фильтрация всех сообщений на наличие слова Резюме, Зарплата, Собеседование и отправление копии сообщения без уведомления получателя и отправителя на почтовый адрес администратора для ведения скрытого контроля несанкционированного распространения служебной информации о зарплате. Для этого было настроено Transport rule (рис.6)

- журнализация всех сообщений на отдельный, специально выделенный почтовый ящик, для протоколирования всех писем. Данное правило было настроено в Journaling (рис.7)

Рис 7

- отправка сообщений на все существующие домены интернета. Данное правило настроено в Send connectors (рис.8);

- просмотр и отправка почты с помощью web-интерфейса. Данный сервис предоставляет возможность отправки почты с любого компьютера, где есть web-браузер (рис.9).

Рисунок 9.

Прием почты по протоколу POP3 и IMAP4 и отправка по SMTP c Basic authentication. Данные протоколы настраивались с целью использования их в местах, где в сети происходят большие задержки и использования протокола MAPI невозможно (рис.10);



Рисунок 10

6. Настройка FTP-cервера

FTP-сервер предназначен для доступа к файловым ресурсам компании как внутри сети так и за ее пределами.

Ftp-сервер установлен на отдельный сервер на базе Windows 2008R2. FTP-сервер работает на основе технологии IIS (рис .11);

Рисунок 11

Размещено на Allbest.ru