强力推荐-对现有网络做整体优化方案

强力推荐-对现有网络做整体优化方案

* 来源: * 作者: * 发表时间: 2020-10-18 2:46:44 * 浏览: 2

目   录

本文档说明

公司目前网络情况介绍

公司新网络规划

公司新网络环境具体设置

FAQ

备注信息

本文作者的感想

其它信息

本文档说明

1.本文档基于作者对所服务公司网络进行整改的经历而写,文章的公司为虚构,如有雷同,纯属巧合

2.本文档绝对会有不足之处,肯请大家指教

3.本文档为作者原创,请尊重他人知识产权,转摘时请注明

4.本文作者会在有时间的前提条件下对该文档不断进行修订,直到作者满意为止

5.如果你所拿的是该文档的PDF(离线)版,那么最新版请点这里访问

6.本文档中,出于作者的职业道德与思想品德,凡是涉及到作者所服务公司的网络安全的信息,将一笔带过,并在保密期内对此始终保持沉默,即使作者所服务公司亏欠作者什么或者作者已经从该公司离职

公司目前网络情况介绍

公司,中型企业,员工500人左右,电脑大概200台左右,公司处于发展阶段,以后电脑会继续增加快速增加。公司总共有8栋楼,采用光纤通信。各楼层光纤均拉到10号楼总机房内。

O目前网络硬体部分介绍

路由器:D-DLINK,1台。每次停电后,路由器中的信息都会丢失
三层交换:D-LINK DGS系列光纤交换机,2台
每栋楼交换机:D-LINK 12XX系列,每栋楼1台,不支持IP-MAC绑定
员工电脑:一半为新方正办公机,另一半为旧的组装电脑

O目前网络情况介绍

1.网络结构
目前网络拓扑图:

Internet
    |
    |
  Router
    |
    |
   Layer 3-A------Layer3-B
    |                |    
    |                | 
1-5号楼         6-7号楼


1-10号楼的接入层交换机与机房中的三层交换机连接,三层设备A与路由器相连。整个网络未划分VLAN,因为电脑数量已经达到200多台,IP地址已经存在不够使用的情况。

上网方面,公司要求员工不能随便上网,如果上网则需领导同意,所以路由器上就使用MAC地址封杀,但员工私自更改MAC地址并BT下载、看在线电影,导致网络极度缓慢,而路由器的限速效果很不理想。

电脑管理方面:管理模式仍为工作组模式,未搭建域模式,员工私自安装各种软件。值得注意的一点是:个别员工在电脑上安装远程协助软件,双休日时,将公司电脑打开,在家中使用软件连接到公司电脑上。

防杀毒木马:个别员工私自安装各种杀毒软件,免费版有、破解版亦有,更多的电脑则没有安装杀毒软件,很多电脑均有病毒、木马、恶意插件,此情况已经严重影响员工正常办公。

数据共享:因为是处于工作组模式,每台电脑以员工姓名命名计算机并开启Guest共享,员工需要访问的时候就进入网上邻居点击查看工作组计算机再进入各电脑访问。因为开通了guest帐户,局域网好几次中毒均由此感染。另外,打印机共享也是采用此种方式。

其它的小毛病还非常多,在此不一一列举。

总体概括来讲,目前公司网络环境非常凌乱,200多台电脑由2名网络管理员维护,2人每天基本的桌面维护都忙不过来(注1),更没时间处理其它事宜。

新方案规划

新方案的设计标准:
        简洁 稳定 安全 高效 低廉

网络结构

在三层设备上按地理位置划分VLAN,如1号楼为VLAN11,2号楼为VLAN12(注2)。增加防火墙,新增DMZ区域以便以后发布Web和Mail,新网络拓扑图如下:

Internet
   |
   |
  PF firewall based on OpenBSD
   |
   |-----DMZ
   |
   |
  Router
   |
   |
Layer 3-A----Layer 3-B
   |             |
   |             |
1-5号楼       6-10号楼

上网速度
针对公司上网速度慢的情况,经过调查,发现主要是因为没有限速的关系,于是更换路由设备,选择在限速方面比较行的并能支持VLAN环境的路由器,对VLAN每台客户机限速,公司的FTTB光纤为20MB,上载、下载的速度均为2MB/S,在规划时,将每IP的上传、下载限速均为120KB/S

客户端管理
针对客户公司的客户端管理混乱的情况,新方案是搭建Windows域,将电脑加域,将员工加入本地Power Users组里面,并在策略中做基本的限制,以防员工私自更改系统的部分属性.

共享方面
搭建文件共享服务器,与WINDOWS域结合,在共享服务器中,在共享文件夹中,每部门一个文件夹,文件夹中有两个文件夹,一个<内部文件>,一个<外部文件>,内部文件只能由本部门人员访问,外部文件任何部门的人都可以访问.所有固定的文件夹,如以部门命名的文件夹、内部文件、外部文件,此类文件夹任何人员都不能删除,以免组织结构被打乱.

杀毒软件
为保证电脑及数据安全,所有电脑安装正版的网络版杀毒软件.

数据共享
数据共享方面,为便于公司数据交流,新方案中增加下载中心服务、RTX聊天服务、论坛服务器.

OA&ERP

根据软件厂商提出的建议而实施(未解密状态)

方案具体实施

O路由交换部分
  网络架构
  VLAN
  IP分配规划
  第三方生产设备

OWindows部分
  域
  客户端
  病毒库更新服务
  WSUS服务
  共享服务
  RTX服务

OUnix部分
  BBS服务
  下载服务

O路由交换部分

网络架构

网络架构如上图所示

在互联网的接口处,架设OpenBSD防火墙,DMZ区域的Web和Mail服务均由OpenBSD发布.
OpenBSD防火墙下接H3C路由,整个公司的限速等均在此设备上设置.
VLAN的划分是根据地理位置来的,即每栋楼一个VLAN,具体划分请见下面的VLAN设置.
(备注:可能有人会起个疑问,为什么H3C下面还加个光纤交换机,不摆明浪费吗?情况是这样的:因为这两个三层交换设备,要是划VLAN且已经在通信的话,接RJ-45网线的网口将会自动关闭,并且接网线的网口无法划分VLAN,所以只好搞了台光纤交换机,H3C网络接交换,然后交换机上的光纤口接三层设备.)

OpenBSD防火墙:
不好意思,让各位看官见笑了:此部分内容后期更新。这只是规划,而且,PF防火墙个人正在研究、学习中。

VLAN

VLAN的详细划分:

路由相连-->VLAN 5-->网段:192.168.5.0/24
1号楼-->VLAN11-->网段:192.168.11.0/24
2号楼-->VLAN12-->网段:192.168.12.0/24
3号楼-->VLAN13-->网段:192.168.13.0/24
4号楼-->VLAN14-->网段:192.168.14.0/24
5号楼-->VLAN15-->网段:192.168.15.0/24
两三层相连VLAN-->VLAN6-->网段:192.168.6.0/24
6号楼-->VLAN16-->网段:192.168.16.0/24
7号楼-->VLAN17-->网段:192.168.17.0/24
8号楼-->VLAN18-->网段:192.168.18.0/24
9号楼-->VLAN19-->网段:192.168.19.0/24
10号楼-->VLAN20-->网段:192.168.20.0/24
服务器段-->VLAN88-->网段:192.168.88.0/24

注:因为安保原因,网络架构方面的详细配置信息不能透露,包括设备的型号.其实网络结构这块大家也看到了,很简洁的,没有STP协议、没有OSPF协议,就是划分了一下VLAN,创建了静态路由、还有很重要的一步,就是配置DHCP_RELAY.

不过,在此我可以透露下我当初是划VLAN的步骤:
因为对在网络核心层对设备进行配置,我们就:
1.先规划,规划这个端口IP分配多少,那个端口连接哪里
2.接着是照着规划写命令,一条条写成电子档,写好后检查,必须确认无误
3.开始试配置,就是说,等到下班了,整个公司没人了,我就开始在三层设备上配置,配置好了后,操着台笔记本每栋楼跑
4.检查到的不足之处及时更新.(注3)

Ip分配
Ip分配作VLAN依为依据,客户端使用DHCP,因为公司在上网方面不允许全部上网,而是部分上网,所以DHCP服务器上默认分配区域为192.168.XX.50-192.168.XX.200,上网的人员则是统计此人使用电脑的MAC地址,然后在DHCP服务器固定分配(从192.168.XX.5开始),并在H3C路由里做绑定.具体设置见后续章节.

第三方生产设备
公司大概有45个网络摄像机,运行有考勤、消费系统,这些设备,我们在规划的时候,IP地址均是254倒序设置.此类设置的时候也没有什么需要特别注意的地方,只要规划好网络属性,在配置的时候,照着文档做就行了.(争气的是,设置的时候,此类后勤设备都支持新的vlan环境)

Windows配置


域控制的规划是两台控制器,一台主、一台辅,搭建过程以后更新.
两台域控制器的操作系统均为Windows Server 2003 sp2(注4)
域中,各部门建立一个组织单位,然后新建一个以部门命名的组,并将该组织单位下的帐户加入到该组,以方便与共享服务器结合。

客户端
我们这边的客户端的系统均是ghost系统安装,加域的时候,因为电脑数量太多,人手不够,使用没有重新安装系统,而是将系统优化后加域.

很多情况下,本地计算机加域后,管理员都会将本地计算机中的administrator帐户设置密码,如果加域的电脑少还没关系,如果很多电脑的话,估计就很麻烦了。
我当初是这样设置的:
编辑整个域的组策略,计算机配置--》Windows设置--》脚本(启动/关机),启动属性中,增加一个VBS脚本,内容如下:

strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/administrator, user")
objUser.SetPassword "the_new_password"
objUser.SetInfo

另外说明下,因为我们公司这边的员工比较狡猾,所以我在“administrator”这个名字上动了点手脚,怎么动的不说明。但动的连后来维护电脑进入安全模式时,我使用这个动过手脚的帐户也登录不了电脑,害的我不得不进入“带网络连接的安全模式”

默认的域帐户登录电脑时的帐户属于普通用户,普通用户的权限会影响到基本的办公,我就将域用户加入本地计算机的Powser Users组中,网路上有很多如何自动将域用户加入本地Power Users组的问题,我的方法从网路上找到的,操作起来很简单,方法如下:

编辑整个域的组策略,计算机配置--》Windows设置--》安全设置--》右击受限制的组,添加组“Powser Users”,“这个组的成员”添加everyone即可

客户端的本地NTFS设置这块,我是这样做的:操作系统的C盘保持默认权限,D、E、F等盘均为Everyone完全控制,然后!设置员工的帐户,只能登录到他自己的电脑(注5)

病毒库更新服务
根据杀毒软件厂商提供的技术资料进行操作

WSUS服务
搭建过程后期更新.
在使用方面,我们是直接自动审批
网路上wsus的资料也很多,如需请自行查询

共享服务

共享服务器基本硬件配置:
CPU:Intel Pentium(R) Dual-Core E5400
内存:威刚 DDRII 800 2G
主板:Asus p5bv-e
硬盘:3块WD 500G组成的RAID 5
网卡:板载千兆(NIC EXPRESS将两张板载网卡合并)
操作系统:Windows Server 2003(注6)

具体配置:
共享这方面大家也知道,第三方软件几乎不需要装,我在安装、配置的时候,过程其实很简单,繁琐的步骤主要是在对每部门的文件夹设置权限的时候。服务器上,最后一个分区划分了800GB多,根目录下就一个文件夹,命名为“公司共享”,截图如下:

就如域规划那部分,在域中,已经新建了以部门命名的组,每部门的帐户隶属于此组。
每部门1个文件夹,此文件夹的权限为:Everyone只读,管理员完全控制。每部门下两个文件夹,一个“内部文件”,权限为:该部门的组完全控制,但不能删除此文件夹(不包含子文件夹),“外部文件”的权限为:everyone完全控制,但不能删除此文件夹(不包含子文件夹)。
在员工访问的时候,大家可能会想:是让员工自己添加还是自动添加?我是结合域实行添加,
设置自动添加方法如下:
编辑整个域的组策略,用户配置--》Windows设置--》脚本(登录/注销),登录属性新建一vbs脚本文件,内容如下:
Set WshNetwork = WScript.CreateObject("WScript.Network")
set wshshell=WScript.CreateObject("WScript.shell")
WScript.sleep 3000
WshNetwork.MapNetworkDrive "Z:","\\\公司共享"

此脚本意为:映射 gx.ghost.com主机上的“公司共享”文件夹,并将盘符设置为Z盘。

值的注意的一点是:
1.总文件夹,即根文件夹,共享时候,“共享”标签中的“权限”为everyone读取、更改。
2.在我公司的生产环境中,刚开始共享服务器总是假死,输入UNC路径访问时,提示“找不到网络路径”,当初我也被这个问题搞的不知所措,因为共享服务器上的Computer Browser、Server、Workstation服务都运行正常。后来才找到解决方法,因为共享服务器后台开启的有杀毒软件,但也不知道杀毒软件是不堪重负还是怎么回事,在杀毒软件中排除了共享用的文件夹就一直正常了。

RTX服务
RTX这个软件,如果没有听过,那么我就用一句话给大家解释下:企业版的QQ。安装按照官方的技术手册即可。安装过程后期更新。毕竟这字一个个码太累了。
这次就说明下客户端的安装,当初加域的时候,RTX还没搞,域搞的差不多的时候,RTX也搞的差不多了,可是EXE的格式无法通过域的软件分发,但也不可能一台台的去装吧,只好硬着头皮去转成MSI格式的,就在我写这篇文章的时候,RTX的MSI格式已经在分发了,这个MSI软件包的名字叫做“rtx_client_test19.msi”,这表示,我转了19次(实际上,绝对不只19次),如果谁需要这个MSI格式的包,请与我联系,也可以给我介绍个能够长期存放该软体的地方。
RTX分发的时候都很正常,但后来就用的时候遇到了一个问题,员工登录的时候,输入公司RTX服务器的DNS后,点击“确定”后再打开一看,DNS地址又没了,此问题的解决方法是,至少我是这么搞:直接把RTX的安装目录EVERYONE完全控制。


在这里说下一点遗憾啊,当初在找聊天软件时,开源的、免费的、收费的,好多我们都试过,翻来覆去也就是RTX最适合我们公司的员工使用(当然,这也是RTX的一大特点)。我个人提倡single logon,所以规划RTX的时候就准备与域结合,RTX的帐户与域帐户结合,但某个天杀的公司的LDAP认证插件贵的太贵,普通公司谁买的请,这也成了我的一个遗憾。以后,要是我个人有能力了,非得开发个用于RTX的LDAP认证插件,哼!

Unix类

BBS服务
BBS,规划时候的一个主要目的就是:把一些轻量级的电脑问题录成视频放成论坛,员工有问题时,直接RTX给他们解决问题的论坛链接地址。表面上,是说让员工多锻炼煅烧,实际上是想自己少些麻烦,最起码一点添加打印机之类的问题我可不想跑。截图一张:

BBS服务器的硬件基本配置:
CPU:Pentium(R) Dual-Core CPU E5400
内存:Kingston DRRII 8001G
硬盘:Seagate 320G
主板:联想主板,具体型号不明
电源:技嘉,具体型号不明
操作系统:OpenBSD 4.8
软体:Apache 1.3(自带)
      Mysql 5.1.48
      php5 5.2.13
      phpbb3
PS:个人感觉这台主机的硬件配置运行论坛实在有些浪费,这么久了,cacti上面显示,CPU好像基本没用过,内存用的大小一直恒定在200M左右,网卡利用率也不高。写这篇文章的时候看了下:AMP(apache,mysql,php)安装、配置好了后,总共安装了30个软体包。

这台主机,其实就是台联想办公机,要将其改装到一台2U机箱里面,所以BBS这块的内容,主要讲如何将一台台式机装入一台2U机箱,并说明下phpbb与AD结合的域认证。
首先说下phpbb3与AD域认证的设置,将其改装成2U服务器的过程稍后再讲。
phpbb,好像是从3版本开始才支持LDAP认证,大家再配置在phpbb上配置LDAP认证的时候:

1.确认PHP的LDAP组件已经安装并能正常使用
2.在域中新建一个普通用户
3.在phpbb中新建一个管理员帐户,名字需与第2步中新建的域用户名字一样
4.使用在phpbb中新建的管理员帐户登录phpbb,并打开"综合“--”客户端通信“--”认证设置”
5.按照以下说明一步步配置

选择认证方式:LDAP
LDAP服务器名称(servername):LDAP(域)服务器的IP地址或域名,我的是基于2k3的域
LDAP服务器端口(port):留空
LDAP基础DN(base dn):DC=你的域,DC=com
LDAP uid(LDAP uid):sAMAccountName
LDAP 用户过滤(Ldap user filter):留空
LDAP email属性(Ldap email attribute):留空(我的域服务器上没有设置帐户的邮箱属性),如有需要,可填写:mail
LDAP 用户 dn(ldap user):CN=php,CN=Users,DC=yourdomain,DC=com
(该用户是直接在组织单位Users下直接新建的,所以用了CN=Users.另外,此用户,是你在域服务器上新建的、专门用来进行域认证的帐户(这个帐户名与你的phpbb管理员帐户名一样,我们在第2、3步中新建的))
LDAP 密码(ldap password):密码

注:
1.如果你的域帐户设置了“登录到”,那么域用户可能会无法正常登录phpbb,提示密码错误而不是用户在存在,解决方法是在“登录到”中增加你的域控制器的主机名
2.国外phpbb用户在设置域认证的时候,将域中新建的、专门用来查询的新帐户,添加到了Domain Admins组中.我个人测试的时候,没有添加也可以正常使用,所以建议大家只要不影响使用,就不要将这个
帐户添加到Domain Admins中.

普通台式机将为2U服务器的过程,下面就疯狂上图吧

左边,是那台联想办公主机(机箱被换过了),右边是新买的道和机箱
上图为官方宣传图片

拆开包装,撕掉上面的塑料薄膜

打开机盖的内部

产品自带的小工具,螺丝、CPU散热器的底座等小工具

所谓的服务器:一台普通的联想主机(以上硬件均为联想原厂产品,未更换)

将硬件从旧机箱里拆出来

这个档片很重要

先把放置电源、光驱、硬盘的三块架子拆开

上电源、光驱,连接电源线

将其固定

将档片安装上去

电源、光驱安装完毕

上硬盘

给主板拧上螺丝

貌似,电源线长度短了,于是只好自己接了

接好后线,用的是热缩管,这样挺美观

试运行,看看硬体部分是否正常

运行后发现运行正常,于是整理线缆,上图为整理好的效果图

上导轨,导轨为机箱里带的,但好像不像官方产的

准备上架

上架完毕(中间那台)

步骤列完后,大家可能也看出来了,其实以上步骤就是给服务器换了个机箱罢了,呵呵。

下载服务
在公司维护网络的时候,有个想法,就是把员工经常用的软件、我经常用的驱动,放到一个FTP之类的服务器中,就不用到处找软件下载地址、也不用到各个硬件厂商那边下载驱动了。于是搭建了一个服务器,访问截图如下:

从截图上能看出使用的是HTTP协议,最高下载速度在10M/S左右(速度卡在了网卡处,目前准备增加网卡做合并)

同样的,这台服务器也是组装服务器,硬件配置如下:
CPU:amd sempron™ processor 2800+
内存:金士顿 512M
主板:微星K8MM-V
网卡:板载VR网卡
硬盘:希捷 500 barracuda 7200.12 2块
光驱:旧光驱(型号在此不作详细说明,2004年所购买)
电源:长城ATX-300P4-PFC

一提到这个主板和这个CPU就想起个问题,这个CPU和主板是员工淘汰下来的硬件,我当时看主板能支持RAID,就留了下来。当初在员工用的时候跑是的XP的操作系统,新装的XP系统,每次开机进入桌面都很慢,而且当XP在这套硬件上跑段时间后系统就会莫名其妙死机。现在,但运行FreeBSD做下载中心后,一直以来都非常稳定,实在想不通这是为什么。

此下载中心的操作系统为FreeBSD 7.3,Web软件为:apache-2.2.9,数据上传是通过FTP形式上传数据的,服务端的FTP软件为:vsftpd-ssl-2.0.7。

核心部分,即httpd.conf文件的主要配置部分:

<Directory />
    Options Indexes FollowSymlinks
    IndexOptions FancyIndexing DescriptionWidth=50 NameWidth=200 VersionSort FoldersFirst Charset=UTF-8 HTMLTable
    IndexOrderDefault Ascending Date
    IndexIgnore data tmp admin
    HeaderName /data/head.html
    ReadmeName /data/tail.html
    IndexOrderDefault Ascending Name
    AddIcon /data/icons/archive.png *.rar
    AddIcon /data/icons/archive.png *.iso
    AddIcon /data/icons/archive.png *.zip
    AddIcon /data/icons/exe.png *.exe
    AddIcon /data/icons/sound.png *.mp3
    AddIcon /data/icons/video.png *.rmvb
    AddIcon /data/icons/video.png *.avi
    AddIcon /data/icons/video.png *.rm
    AddIcon /data/icons/video.png *.mpg
    AddIcon /data/icons/video.png *.VOB
    AddIcon /data/icons/video.png *.mkv
    AddIcon /data/icons/archive.png *.7z
    AddIcon /data/icons/folder.png ^^DIRECTORY^^
    AddIcon /data/icons/txt.png ^^BLANKICON^^
    DefaultIcon /data/icons/txt.png
    AddIcon /data/icons/pdf.png *.pdf
    ServerSignature Off
    AllowOverride None
    Order deny,allow
    Allow from all
</Directory>

# DescriptionWidth        描述部分的字节数
# NameWidth        名字的字节数
# FoldersFirst                排列内容的时候,文件夹排到一起,这样更美观些
# Charset=UTF-8        默认的编码,因为下载中心有很多的文件都是以中文命名的,为防止乱码,就使用FileZilla上传文件(FileZilla上传时默认使用UTF-8),然后Apache中也是UTF-8的编码方式列出,这样就不会乱码了
#HTMLTable        采用HTML格式
# IndexIgnore        隐藏哪些文件,我们这台服务器根目录下,有: data tmp admin这三个目录,data目录放置着网页文件(头文件、尾文件),tmp放置着管理员文件,比如像操作系统的ISO文件等,而admin目录下就放置着很多的驱动文件,像打印机的、扫描仪的等,这三个目录不方便员工访问,所以就隐藏了。
#HeaderName ReadmeName 这两个参数,HeaderName为网页上部的内容,ReadmeName为网页尾部内容,具体什么效果自己查询,我就不画图演示了。值的一提的是,很多文档都说到 HeaderName与 ReadmeName所用的网页中,都要添加table参数,或者要从哪里哪里分开,我在操作的时候没这么做,两个网页文件,直接放置到服务器上也能正常使用
# AddIcon        此参数,指定某些文件的图标,不懂的话,自己多看看
# DefaultIcon        默认的图标
# ServerSignature 添加个小小的“Off”参数的作用是为了增加一点安全参数。想必大家都知道,访问有些网站的时候,网站下面会提示“Apache/2.3.6 (RHEL) Server at abc.ghost.com Port 80 ”之类的内容,而“ServerSignature”就是把这些内容关闭

重点就是在 “Charset”这个参数,要想上传的中文名命名的文件不乱码,就设置默认UTF-8,上传数据的时候,在FTP客户端中选择UTF-8,这样就不会乱码了。
ServerSignature参数建议增加,好歹可以迷惑下小骇客(注:是骇客,不是黑客)
AddIcon可以美观你的下载站哦(如下图)

(后期更新)
此次下载服务器升级硬盘,服务器全部重新搭建,搭建过程基本如下:
FreeBSD的安装过程略过。我选择的版本是7.2 Release,K8MM-V板载的RAID不支持FB8.1,提示:Fatal Error occurred,Raid relationship and Content of all hdds will be DESTROIED!!!----Continue(C)?原因实在没查通。不过,即使FB8.1能够再上面跑我也不会让其投入生产环境,准确的说,我没有选择FB4.X就已经不错了。
以下为我当初在服务器上的配置记录:

#cd /usr/ports/net/cvsup-without-gui/
#make install clean
#cp /usr/share/examples/cvsup/ports-supfile /usr/local/etc
#chmod u+w /usr/local/etc/ports-supfile
*default host=cvsup.cn.FreeBSD.org

#/usr/local/bin/cvsup -gL2 /usr/local/etc/ports-supfile

#cd /usr/ports/www/apche22 && make install clean
#vi /usr/local/etc/apache22/httpd.conf
ServerAdmin the_admin@yourdomain.com
ServerName server's name.ghost.com:80
DocumentRoot "/www"

Failed to enable the 'httpready' Accpt Filter
chmod u+w /boot/defaults/loader.conf;vi /boot/defaults/loader.conf
accf_data_load="YES"
accf_http_load="YES"

#vi /etc/rc.conf
apache22_enable="YES"

#cd /usr/ports/security/openssl && make install clean
#openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem
#mkdir -p /usr/share/ssl/vsftpd/
#mv vsftpd.pem /usr/share/ssl/vsftpd

#cd /usr/ports/ftp/vsftpd && make install clean
OPtions-->vsftpd_ssl

#chmod u+w /usr/local/etc/vsftpd.conf;vi /usr/local/etc/vsftpd.conf
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
idle_session_timeout=60
data_connection_timeout=120
ftpd_banner=220 Serv-U FTP Server v5.0 for WinSock ready...
chroot_local_user=YES
listen=YES
secure_chroot_dir=/usr/local/share/vsftpd/empty

ssl_enable=YES
ssl_sslv2=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES
rsa_cert_file=/usr/share/ssl/certs/vsftpd.pem

新建一个普通用户,shell设置为/sbin/nologin,此帐户作为FTP上传数据专用的帐户

#vi /etc/rc.local
/usr/local/libexec/vsftpd &

#cd /usr/src/sys/amd64/conf/
#mkdir /root/kernels
#cp GENERIC /root/kernels/KERNEL
#ln -s /root/kernels/KERNEL
#vi /root/kernels/KERNEL
#cd /usr/src
#make buildkernel KERNCONF=KERNEL
#make installkernel KERNCONF=KERNEL
#reboot
###内核配置文件就不列出了,本人对这块也不太熟练


FAQ:

1.你公司的共享服务器限制员工的使用空间了吗?
答:根据目前的运行情况来说,员工要把800G的空间塞满还有很长一段时间,所以我没有限制员工的空间

2.你公司的管理模式升级成域环境后,笔记本怎么处理?
答:我们公司配笔记本的员工,要么是技术人员、要么是领导,我的解决方法是:加他们的笔记本加域,同样分配域帐户,然后,将他们的域帐户加到本地管理员组中,并把情况给他们说明,使用域帐户登录的话使用公司的网络资源更加方便等

3.在网络架构部分,你为什么不使用STP、OSPF等协议?
答:我设计的时候就考虑过简洁,至少到目前为此,我规划的简单规划能够满足我们公司的正常运转,所谓的STP和OSPF协议,在我们这里完全用不上,所以我没这个需要增加这些功能。其实,据我了解,国内很多的中小型企业,所谓的STP、OSPF等功能都没有用

4.为什么使用U式机箱而不是台式的?为什么是2U的而不是1U的?
答: 使用U式机箱是因为我们的机房比较小,不方便放置台式机箱。至于1U机箱不用,是因为会增加成本(但1U的和2U的价格差不多),1U机箱中,电源得换、CPU散热系统得换等等。而且,1U机箱的声音威力我是体验过的。

备注信息:


注1:2位网络管理员,在这样的网络情况下,每天都忙着处于共享事宜,访问有密码(员工对Guest帐户设置密码)、无法访问共享(员工私自将Guest帐户禁用)、打印机无法连接(员工对计算机名进行了更改)、很多电脑中毒等很多情况,因此,尽管当初我很忙,但忙的无一点实际意义。维护这样的网络真的很累,对于没维护过这样的网络的人来说是体会不到的。(回想当初处理个IP冲突都差点搞死人啦)

注2:之所以划VLAN,没从vlan2,vlan3开始,是因为:各方资料都没说:划分vlan必须从vlan2开始

注3:可能有人会觉得,我这样做是吃饱了撑着没事干。其实,他人对此提出非议,我不会介意,我只知道,只是我的职责,我的工作是保证我维护的网络或服务器无误,所以,我用我的执着认真地、精益求精的配置、检查着并尽力养成这样的好习惯

注4:搭建域控的时候,考虑过2008,但最终还是使用2003,因为,新的并不代表最好的,域控制器,我要的是稳定。至到2008稳定下来,我才会将域控制器升级到2008

注5:我目前所在公司,必须要对每个帐户设置“登录到”属性,以使他们不能随便登录,个人感觉微软当初设置默认域帐户可以在大多数客户端上登录,是因为他们的国情跟中国这边不一样,虽然这样做有什么好处我不知道。即使我知道,我们的员工也不会同意,因为他们首先会想:这是我用的电脑,好好的,干嘛让他们登,万一让他们发现我电脑上的毛片怎么办?

注6:当初规划的时候,准备安装FreeBSD,使用Samba与域结合的方式共享文件夹,但很快就打消了这个想法,因为NTFS的权限控制更加方便我对共享文件夹权限的设置。Windows操作系统的可用性远比Linux、Unix高,这一点我确定

本文作者的感想

团队
一直以来,公司网络所用技术几乎是我这个菜鸟在研究,心里真的很累,其实,一只狼的团队,来处理这样的网络,真的是小菜一碟。现在,努力把自己变成一头狼,变成后再去寻找属于我的团队

英语很重要
此处不多说,英语,真的很重要

值不值
当你决定对一家公司提供IT服务时,考虑好值不值。如果你是个用心做事的人,那么就用藐视与高傲的心态考虑这个问题(尽管你很穷,尽管你有很多的缺点等等)。因为,网络维护(技术的使用,虽不是技术的研发)在你心中就是你的艺术,你为了吃口饭,出卖了你心中神圣的艺术,理应得到被服务对象的尊重。

人不像人,鬼不像鬼
加入IT界2年多了吧,当初的壮志雄心被冒的差不多,考虑的只有利益。平时都坐在电脑前,像得了网瘾,没事就对着电脑屏幕发呆,真的有些担心自己的未来,考虑过转行,但发现除了电脑自己什么也不会。不过,每行都有自己的优缺点,何况我喜欢电脑。

其它信息

道和U式机箱评价:
我们机房里,好多服务器都是通过台式机改过来的,其实用塔式的也可以。只是说,我们公司机房小,塔式的太占空间,所以就改成U式的,这样就节省了很多的空间。用的是道和的机箱吧,买了10台左右。用了后感觉吧,总体还行,质量只能说是中等,为什么这么讲,10台机箱中,有5台运行的机房通电后,风扇的扇片不知与哪个地方碰了而哗哗响,一台机箱这样还没关系,问题是有5台都这样,本人表示强烈不满,更让我恼火的是:一台机箱的某个风扇哗哗响,我就把那个风扇拆下来一看:发现居然是个旧风扇。
感觉这种机箱需要改进的地方有三点:
1.指示灯大点,明亮点的,我的办公桌离服务器20米远,隔着玻璃实在看不清硬盘读写指示灯与网络通信灯
2.风扇要是是温控的就好了
3.质量好点!我们消费者的要求其实并不高。