华特汽车配件有限公司网络改造解决方案 班级:网络技术-1101 答辩人:丁奇志 指导老师:欧阳炜昊
内容提纲 一 项目介绍 二 需求分析 三 服务器关键技术 四 安全与优化 五 致谢
项目背景 特汽车配件销售有限公司成立于2000年1月,是专业从事汽车配件和 零部件研发、设计、制造的公司。公司总部在北京,旗下的分公司分别在 上海、广州。公司为SVW、SGM、FAW-VW、SAIC、Ford、NISSAN等主机厂批 量供货,并成为各大主机厂的合格供应商。我们为众多国内外知名汽车生 产厂的一级配套商,包括如大众,通用,福特,奇瑞,吉利,比亚迪,马 自达,本田等。 华特汽车配件销售有限公司还提供全方位服务,包括产品设计,生产 和针对全球售后市场的销售。华特汽车配件销售有限公司致力于满足并超 越客户的要求,实现从项目开发到产品交付的全过程。我们的目标是在生 产、物流和售后方面成为广大客户的最佳合作伙伴。
需求分析 随着市场竞争的加剧,企业成长与扩展的周期越来越短,对分子公司的管理已成为企业首要面对的问题。越来越多的企业开始由过去粗放式的管理方式向精细化管理转变。在精细化管理转变的过程中,企业的IT技术起到了关键性作用。因此,网络改造势在必行。 华特汽车配件公司实际情况如下:公司实际信息化办公的员工不多,就500来人,但是公司办公分布在不同的省市,而且的作为一家技术型公司,公司核心技术资料是最宝贵的,可以说是公司的灵魂。要求很好的保护这些数据。还有就是公司的业务是面向全国各地,不可能在个省市设置办事处,这样成本将很高,不利于公司盈利。所以准备在互联网上下功夫,网站要求功能强大,而且随着互联网的发展,计算机技术下一个将深入汽车操作系统。公司为了长远发展,需要在互联网上下功夫,所以要求公司采用易扩展的系统集成平台,所以,从各个方面考虑,首选linux做平台架构。保证安全和易扩展性。
这是公司大抵的网络拓扑结构。采用树状型结构易排错,施工起来也很方便,同时为公司节省资源。
地址分配和设备选型表 地址分配和设备选型 地址分配表 地址分配表 设备选型表
web集群关键技术介绍(一) 华特汽配公司采用lamp(linux+apache+mysql+php)搭建web架构,采用lvs(linux virtual server) 做负载均衡集群,使用keepalived软件实现冗余功能。使公司的web服务器成为能够负载均衡的高可用集群。 1 Lamp一组常用来搭建动态网站或者服务器的开源软件,本身都是各自独立的程序,但是因为常被放在一起使用,拥有了越来越高的兼容度,共同组成了一个强大的Web应用程序平台。随着开源潮流的蓬勃发展,开放源代码的LNMP已经与J2EE和.Net商业软件形成三足鼎立之势。 从网站的流量上来说,70%以上的访问流量是LAMP来提供的LAMP是最强大的网站解决方案。Lamp以廉价和易开发著称。
web集群关键技术介绍(二) 2 lvs(linux virtual server) 中文称为linux虚拟服务器, LVS是一个开源的软件,由毕业于国防科技大学的章文嵩博士于1998年5月创立,可以实现LINUX平台下的简单负载均衡。大家众所周知的淘宝就是使用该款开源软件做负载均衡。在淘宝这么多的使用用户的证明下,它得到了业内广泛的认可。Lvs还可以为ftp和mail做负载均衡,其原理是一样的。Lvs也可以用于windows服务器负载均能,但可惜的是windows专业版。 3 Keepalived 英文直译为保持活性。Keepalived的作用是检测web服务器的状态,如果有一台web服务器死机,或工作出现故障,Keepalived将检测到,并将有故障的web服务器从系统中剔除,当web服务器工作正常后Keepalived自动将web服务器加入到服务器群中,这些工作全部自动完成,不需要人工干涉。
web集群关键技术测试(一) 当搭建好lvs负载集群后,我们给两台不同的web主机写上不同的代码,再访问华特汽配公司的网站域名时,会出现不同的网站内容。如下一样: 从此可以看出,lvs将两次请求转发给两台不同web主机,因此达到客户机请求分流的作用。可以想到多台主机同时提供服务,网站的整体性能会有很大的提升。
Web集群服务器测试(二) 我们来看下lvs内部的信息,如下: 可以看到 inactconn 下面显示,有11次请求转发给172.168.10.3这台主机,有10次请求转发给172.168.10.2这台主机,比例大概为1:1 ,和之前设置的权重基本保持一致。
ftp服务器关键技术介绍 Vsftpd全称为very securce ftpd (非常安全的ftp) ,非常高的安全性需求、带宽限制、良好的可伸缩性、可创建虚拟用户、支持IPv6、速率高。在安全性方面,可以设置chroot笼环境来限制用户不能移出指定的文件夹,这样做可以防止使用者去破坏其他重要文件。 但是vsftpd不支持传输数据加密,这是它的缺陷。没关系,我们可以使用openssl软件对ftp的传输的数据进行加密。在银行中,就使用这样的一个数据传输架构。 Openssl 为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。 两者结合,这样可以保证华特汽配公司的资料数据在局域网里安全传输,就算在局域网里有人监听网络数据,但他看到的都是加密的数据。根本无法得到真正的数据。
ftp服务器关键技术测试 在不使用ssl的情况下,使用抓包工具tshark 截图如下
网络相应提速介绍 使用bond0实现双网卡通信。 linux的 bond模块和ifenslave 网卡聚合工具可 以完成bond0功能。利用bond模块连接 内核实现双网卡通信,使用ifenslave 工具做到网卡聚合。我们的服务器每台 都有两块网卡,对两台web服务器进行 bond双网卡绑定。 在网站相应加速方面,memcache是个不 错的选择。 Memcached 是一个高性能 的分布式内存对象缓存系统,用于动态 Web应用以减轻数据库负载。它通过在 内存中缓存数据和对象来减少读取数据 库的次数,从而提高动态、数据库驱动 网站的速度。具体原理如图:
iptables介绍 iptables 是与最新的 2.6.x 版本Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务 器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 在华特公司中,开通的服务有dhcp、ftp、email、mysql和 web服务器,同时还有lvs+keepalive集群这些东西都需要考虑 到,还有就是能够允许icmp协议通信,设置防dos功能。ftp的 加密传输还是采用20和21号端口通信。 开放20、21、22、25、53、80、110端口,设置icmp协议通 信,开启内核的forword功能,设置iptables的mangle表支持虚 拟vip。 配置华特汽配公司防火墙的关键难点在有lvs负载集群的基 础上配置防火墙规则。
lvs设置iptables测试 给lvs负载集群配置 iptables会遇到一个问题。Lvs用的是dr模式,客户端键入的IP地址是个根本不存在的虚拟地址,然后lvs将客户端请求转发到真实的服务器上去响应。我们在设置iptables防火墙规则时是不能可能设置一个虚拟的IP地址的。这时我们就会用到iptables mangle表,这是个很少使用的规则表。mangle表,一般是对数据包进行修改时用到,将防火墙规则上升到传输层,这就解决了虚拟ip这个问题。具体规则如下 iptables -t mangle -A PREROUTING -p tcp --dport 80 -d 172.168.10.10 -j MARK --set-mark 10 iptables结构如下
linux 加固 linux虽然被评为安全性很高的服务器,但是最近也常有linux系统被入侵的情况发生。我们也需要做好安全防护,尽可能的提升该公司的网络安全。linux系统可以通过以下设置来提高系统的安全性 1 限制su - 权限 2 账户超时设置 3 限制用户远程ssh登入 4 设置较强的密码策略 5 禁止代码编译 6 对危险文件进行权限设置 具体配置以写成systemstrong.sh 脚本中。
研发部安全设置 研发部是华特汽车配件有限公司的重中之重,研发部的数据需 要非常小心的保护。所以决定将研发部单独隔离开来,让其不能连 接到internet中,将研发部的use结构封住,禁止使用U盘。全部是 使用单独ftp服务器来传输数据。有必要时可以使用光盘携带数据。 同时给每台pc机做交换机mac地址绑定。下图是设置了mac地址绑定 后,又换了台pc机,发现网络连接中断。
附带文件列表 dhcp.pkt ipvsclient.sh Systemstrong.sh
谢谢观赏