網(wǎng)工畢業(yè)設(shè)計

1、鄭州航空工業(yè)管理學(xué)院畢 業(yè) 論 文（設(shè) 計） 2016 屆 網(wǎng)絡(luò)工程 專業(yè) 1210072 班級題 目 長垣云教育系統(tǒng)搭建 姓 名 陳小龍 學(xué)號 121007202 指導(dǎo)教師 孫新德 職稱 副教授 2016 年 5 月 26 日長垣云教育系統(tǒng)搭建121007202 陳小龍 指導(dǎo)教師 孫新德 副教授摘 要云教育簡單地說就是通過“云”這個理念儲存大量的資源，通過“一站式”應(yīng)用,讓所有的用戶都處于一個平等的、可用的平臺。用戶通過這個平臺，可以按自己的需求合理利用此平臺上的教育資源。本文主要介紹了云教育系統(tǒng)網(wǎng)絡(luò)部分搭建的過程和一些基本的網(wǎng)絡(luò)應(yīng)急解決方案。其開發(fā)依照的網(wǎng)絡(luò)設(shè)計規(guī)劃為：網(wǎng)絡(luò)的可靠性要高、網(wǎng)

2、絡(luò)的安全性要高、無線直接接入教育網(wǎng)、保障端到端的業(yè)務(wù)、統(tǒng)一運行和維護的管理。我們首先建設(shè)云計算中心，在云計算中心建設(shè)完成以后，我們在按照網(wǎng)絡(luò)分層（接入層、匯聚層、核心層、數(shù)據(jù)中心）的構(gòu)架去建設(shè)網(wǎng)絡(luò)，最后我們在做一些防火墻設(shè)置和各種策略保障網(wǎng)絡(luò)安全。長垣縣所有中小學(xué)通過云計算中心進(jìn)行集中的資源儲存、運算管理，結(jié)合聯(lián)教科技所開發(fā)的軟件、平臺，一起組成一個數(shù)據(jù)龐大的教育資源庫。同時，利用專業(yè)光纖網(wǎng)絡(luò)覆蓋，結(jié)合“云平臺”，構(gòu)成專用教育網(wǎng)絡(luò)。系統(tǒng)搭建完成以后，學(xué)生和教師利用筆記本、電子白板等電教設(shè)備，利用聯(lián)教科技開發(fā)的教育軟件，登錄 “云平臺” ，從而利用教育資源庫。“云教育”模式具有教育資源更龐大、教

3、育成本更低、“無線擴展”等特點。“云教育”模式課堂更能開闊學(xué)生的視野、調(diào)動學(xué)生學(xué)習(xí)的積極性。關(guān)鍵詞云教育；云計算中心；云平臺；聯(lián)教科技創(chuàng)新點網(wǎng)絡(luò)規(guī)劃設(shè)計基于云計算，解決云教育實際項目問題。Naga Gakiwoon set up the education system Chen Xiao-Long Sun Xin-DeAbstractCloud education simply means to store a lot of resources through the concept of "cloud", through the "one stop"

4、 application so that all users are in an equal, available platform. Users through this platform, according to their own needs to use the reasonable use of educational resources on this platform. This paper mainly introduces the process of cloud education system and some basic network emergency solut

5、ions. Its development in accordance with the network design and planning: network reliability, network security should be high, wireless direct access to education network, to ensure the end of the business, unified operation and maintenance of the management. We first build a cloud computing center

6、, and in a cloud computing center construction is completed, we are in accordance with the framework of hierarchical network (access layer, convergence layer, core layer, data center) to the construction of the network. Finally, we do some firewall settings and a variety of strategies to ensure the

7、safety of network. Changyuan county all small and medium-sized through cloud computing center for centralized resource storage, operation management, all the students and teachers of the network equipment combined with joint teaching of science and technology, the development of the software platfor

8、m, together to form a huge data library of educational resources. At the same time, the use of professional fiber network covering the whole Changyuan County, combined with the "cloud platform", constitute a special education network in Changyuan county.System set up after the completion,

9、students and teachers use notebook, whiteboard, audio visual equipment, the joint teaching technology in the development of educational software, login "cloud platform, thus the use of educational resources. The "cloud education" model has the characteristics of higher education resou

10、rces, lower education cost and "Wireless Expansion". The "cloud education" mode can broaden students' horizon and arouse the enthusiasm of students' learningKey wordsCloud Education;The cloud computing center;cloud computing platform;Al teaching science and technologyInno

11、vationNetwork planning and design based on cloud computing, To solve the problem of the actual project of cloud Education目 錄第1章 課題背景、意義1第2章 需求分析22.1 項目描述22.2 系統(tǒng)需求分析2第3章 網(wǎng)絡(luò)分層53.1 接入層53.2 匯聚層63.3 核心層73.4 數(shù)據(jù)中心8第4章 技術(shù)規(guī)劃94.1設(shè)備類型和命名94.2規(guī)劃IP和VLAN104.3接入、匯聚層124.4核心層134.5數(shù)據(jù)中心20第5章 網(wǎng)絡(luò)故障解決225.1故障解決原理225.2常用到的網(wǎng)

12、絡(luò)測試命令235.3網(wǎng)絡(luò)應(yīng)急方案24第6章 項目的實現(xiàn)與效果256.1項目模式256.2項目優(yōu)勢276.3運行效果28致 謝30參考文獻(xiàn)31V長垣云教育系統(tǒng)搭建121007202 陳小龍 指導(dǎo)教師 孫新德 副教授第1章 課題背景、意義在教育技術(shù)日新月異的二十一世紀(jì)， 依靠“云”儲存資源，通過“一站式”應(yīng)用，讓所有的用戶都處于一個平等的、可用的平臺。用戶可以通過這個平臺合理地利用上面的教育資源，這種“云教育”模式正逐漸地被推廣使用。相對于教材是學(xué)生獲取知識的主要渠道的傳統(tǒng)教育，“云教育”擁有龐大教育資源的“云平臺”可供學(xué)生和老師去瀏覽、下載。相對于古板生硬的傳統(tǒng)教育模式，“云教育”這種新穎的教學(xué)

13、方法更利于現(xiàn)在的學(xué)生接受，更利于學(xué)生自己認(rèn)識到自己的不足之處然后從“云平臺”上學(xué)習(xí)自己沒有掌握的知識。相對于“老師教什么，學(xué)生學(xué)什么”的傳統(tǒng)教育模式，“云教育”模式更注重于學(xué)生的自主學(xué)習(xí)，老師更多的是充當(dāng)一個引導(dǎo)者，帶領(lǐng)學(xué)生去利用“云平臺”上的資源去學(xué)習(xí)。綜上所述，可見相對于傳統(tǒng)教育模式，“云教育”模式更利于如今學(xué)生的學(xué)習(xí)。第2章 需求分析2.1 項目描述 面對教育相對落后的教育現(xiàn)狀，長垣縣斥資打造先進(jìn)的“云教育”、“教育信息化”模式，一個綠色化的網(wǎng)絡(luò)資源共享平臺。云計算中心搭建完成，長垣縣所有中小學(xué)的網(wǎng)絡(luò)設(shè)備接連到這個網(wǎng)絡(luò)云計算中心，進(jìn)行集中的資源儲存、運算管理，利用云計算中心一起接入到互聯(lián)

14、網(wǎng)。所有學(xué)生和老師各自的網(wǎng)絡(luò)設(shè)備結(jié)合聯(lián)教科技所開發(fā)的平臺，一起組成一個數(shù)據(jù)龐大的教育資源庫。同時，利用專業(yè)光纖網(wǎng)絡(luò)覆蓋整個長垣縣，結(jié)合“云平臺”，構(gòu)成長垣縣的專用教育網(wǎng)絡(luò)，防火墻和各種策略保障網(wǎng)絡(luò)安全。系統(tǒng)搭建以后，學(xué)生和教師利用筆記本、電子白板等電教設(shè)備，利用聯(lián)教科技開發(fā)的教育軟件，登錄 “云平臺” ，從而利用教育資源庫。2.2 系統(tǒng)需求分析2.2.1設(shè)計規(guī)劃要求1.網(wǎng)絡(luò)的高可靠性；2.網(wǎng)絡(luò)的高安全性；3.無線接入教育網(wǎng)；4.統(tǒng)一運維管理；5.端到端的業(yè)務(wù)保障。2.2.2 長垣縣教育云項目的網(wǎng)絡(luò)需求1.每個學(xué)校都利用AP來覆蓋無線網(wǎng)絡(luò)，學(xué)生和教師利用平板、電腦等終端接入網(wǎng)絡(luò)。2.每個學(xué)校的管

15、理地址都相同，上聯(lián)地址都處于同一個網(wǎng)段，每個區(qū)域的學(xué)校的設(shè)備所用網(wǎng)段相同，匯總地址的網(wǎng)段相同。3.每個交換機都要配置1個管理VLAN 180用來實現(xiàn)Telnet遠(yuǎn)程登錄調(diào)試和1個上聯(lián)VLAN 186用來管理控制“天網(wǎng)”監(jiān)視系統(tǒng)。4.為每個鄉(xiāng)鎮(zhèn)劃分4個C的虛擬機地址空間；虛擬機VLAN與VDI的VLAN不相關(guān)，只是為了減小廣播域；VDI只需與虛擬機IP對應(yīng)即可。5.IDC業(yè)務(wù)管理vlan 100-103 網(wǎng)段 172.1.40.0/24-172.1.43.0/24 虛擬機部分vlan 1000-1091 網(wǎng)段 10.100.0.0/16環(huán)網(wǎng)部分vlan 4000-4005 網(wǎng)段172.1.1.1

16、/32-172.1.1.21/32 172.1.30.0/24各學(xué)校終端:學(xué)生部分 vlan 1001-1004 網(wǎng)段10.10.0.0/16-10.27.0.0/16 教師部分 vlan 2001 網(wǎng)段 10.9.0.0/166.A類預(yù)留8個子網(wǎng)；B類預(yù)留4個子網(wǎng)；C類預(yù)留3個子網(wǎng)。2.2.3 長垣縣云教育項目所用到的技術(shù)需求1.長垣縣教育云項目啟用DHCP協(xié)議，DHCP協(xié)議能自動從地址池中獲取IP地址，在長云縣教育云項目中如果利用手動分配IP地址的話，工作量太大，不切合實際。2.長垣縣教育云項目的接入層利用ACFit AP技術(shù)實現(xiàn)網(wǎng)絡(luò)的接入，相比于客戶端通過網(wǎng)線接入方式，ACFit AP技

17、術(shù)更為方便，而且此技術(shù)容易管理、安全性好。3.長垣縣教育云項目的核心層配置VRRP，VRRP將一個局域網(wǎng)的所有路由器構(gòu)成一個虛擬路由器，此備份路由可以確保在當(dāng)前路由失效的情況下，網(wǎng)絡(luò)仍然可用，防止了網(wǎng)絡(luò)癱瘓。4.長垣縣教育云項目的核心層配置RRPP，RRPP是基于數(shù)據(jù)鏈路層，應(yīng)用于以太網(wǎng)環(huán)的一種協(xié)議。可以防止廣播風(fēng)暴，可以確保最大的環(huán)網(wǎng)連接。5.長垣縣教育云項目全部采用OSPF協(xié)議來實現(xiàn)路由的學(xué)習(xí)、轉(zhuǎn)發(fā)。因為OSPF的快速收斂性，所以采用OSPF協(xié)議可以防止了路由環(huán)路的發(fā)生，減少維護需求。6.長垣縣教育云項目啟用IP安全策略，允許長垣縣內(nèi)特定的IP通過，不允許其他IP訪問“云平臺”。使用IP安

18、全策略能更好的讓長垣縣師生利用資源，使用IP安全策略能更好的保證TCP/IP的安全。7.長垣縣教育云項目啟用防火墻，利用防火墻來對信息數(shù)據(jù)傳輸進(jìn)行管理控制，利用防火墻來保障聯(lián)教中心網(wǎng)絡(luò)與各個學(xué)校網(wǎng)絡(luò)之間的安全。第3章 網(wǎng)絡(luò)分層3.1 接入層圖1 接入層的網(wǎng)絡(luò)拓?fù)鋱D 接入層是每個網(wǎng)絡(luò)中必不可少的一環(huán)，長垣縣利用光纖這種傳輸介質(zhì)實現(xiàn)聯(lián)教中心與學(xué)校之間的連接，在每個學(xué)校的核心交換機上都插入一個光模塊。接入層可以允許終端設(shè)備使用者對網(wǎng)絡(luò)的接入訪問，長垣 縣的學(xué)生和老師利用無線設(shè)備通過AP的無線接入點和無線網(wǎng)卡進(jìn)行網(wǎng)絡(luò)訪問，密碼驗證登錄進(jìn)入“云平臺”系統(tǒng)，從而合理地利用上面的教育資源。3.2 匯聚層圖2

19、 匯聚層的網(wǎng)絡(luò)拓?fù)鋱D 接入層的設(shè)備全部匯聚到匯聚層，同樣匯聚層在整個網(wǎng)絡(luò)中也是必不可少的。長垣縣內(nèi)，每個學(xué)校的接入交換機匯聚到一起，長垣縣內(nèi)每個區(qū)域的所有學(xué)校的接入設(shè)備匯聚到一起，最后一同連接到核心層交換機上。從功能方面來說，匯聚層就像一個中轉(zhuǎn)站一樣負(fù)責(zé)對接入層和核心層的節(jié)點連接。從作用反面來說，它對接入層的數(shù)據(jù)進(jìn)行匯聚、管理、發(fā)送等操作，也可以對接入層的訪問進(jìn)行一些策略的控制管理，可以在一定程度上保護核心層的安穩(wěn)。3.3 核心層圖3 核心層的網(wǎng)絡(luò)拓?fù)鋱D 匯聚層設(shè)備接入核心層中心，一般來說在整個網(wǎng)絡(luò)中核心層是全部數(shù)據(jù)流量信息最終匯聚處，所以核心層在整個網(wǎng)絡(luò)中不可或缺。在長垣縣云教育項目中嚴(yán)格要

20、求核心層設(shè)備的性能、技術(shù)和功能的設(shè)計。長垣縣的核心層交換機全部是三層交換機，因為三層交換機既擁有二層交換機的全部功能，還比二層交換機多了網(wǎng)絡(luò)虛接口，可以配置IP地址，這就相當(dāng)于擁有了部分路由器的功能。三層交換機在硬件交換和路由軟件的幫助下，大大提高了數(shù)據(jù)信息的轉(zhuǎn)發(fā)效率，從而加快了網(wǎng)絡(luò)中數(shù)據(jù)信息的交換。從功能上來說，核心層主要有快速轉(zhuǎn)發(fā)、優(yōu)化骨干網(wǎng)絡(luò)、網(wǎng)絡(luò)穩(wěn)定等功能。3.4 數(shù)據(jù)中心圖4 數(shù)據(jù)中心的網(wǎng)絡(luò)拓?fù)鋱D長垣縣云教育項目通過網(wǎng)絡(luò)把聯(lián)教科技和互聯(lián)網(wǎng)教育網(wǎng)等相結(jié)合共同組成一個數(shù)據(jù)中心。數(shù)據(jù)中心設(shè)備需求：² 交換機：S10500型交換機、S5800型交換機、S7506E型交換機、5500

21、型交換機² FIT AP² H3C SecPath M9010、IDC-A-UIS-S5830等² 光模塊² VDI虛擬機² 路由器² 平板等設(shè)備第4章 技術(shù)規(guī)劃 4.1設(shè)備類型和命名4.1.1設(shè)備選型（1）接入交換機：S7506E、S5800、S5500型（2）匯聚交換機：Catalyst2950、Catalyst2970型（3）核心層交換機：S7506E、S5800型（4）數(shù)據(jù)中心設(shè)備：交換機S5830、S5820型 數(shù)據(jù)中心多業(yè)務(wù)安全網(wǎng)關(guān)M9010 安全路由Cisco3845（5）防火墻設(shè)備：H3C SecPath F100-S

22、-G企業(yè)級防火墻（6）光纖、光模塊等設(shè)備 4.1.2命名原則（1）字母數(shù)均可變長；（2）命名長度不超過32字節(jié)；（3）命名格式為：AA-BBB-CCC-DDD-nnn。A 設(shè)備級別：C-核心，B-骨干，A-接入，IDC-數(shù)據(jù)中心；B 鄉(xiāng)鎮(zhèn)；C 學(xué)校；D 設(shè)備型號；n 設(shè)備序號。例如：縣直屬區(qū)域內(nèi)的長垣縣第一中學(xué)的一臺S7506E交換機，我們先寫交換機類型：A，再寫所屬區(qū)域：XZS，然后寫學(xué)校簡稱：DYZX,最后寫交換機類型：S7506E，把這些連在一起就命名為：A-XZS-DYZX-S7506E，蒲東南關(guān)中心小學(xué)的一臺S5800交換機就命名為：A-PD-NGZX-S5800。4.2規(guī)劃IP和V

23、LAN 4.2.1 長垣縣教育云項目的要求（1）學(xué)生部分IP地址為：10.0.0.0/16-10.27.0.0/16，所屬VLAN為：VLAN 1001-1004（2）教師部分 IP地址網(wǎng)段為：10.9.0.0/16，所屬VLAN為：VLAN 2001 （3）業(yè)務(wù)管理部分IP地址為：172.16.40.0/24-172.16.43.0/24，所屬VLAN為：VLAN 100-103（4）虛擬機部分IP地址網(wǎng)段為：10.100.0.0/16，所屬VLAN為：VLAN 1000-1091（5）環(huán)網(wǎng)部分 IP地址為：172.16.1.1/32-172.1.1.21/32 、 172.16.30.0/

24、24，所屬VLAN為：vlan 4000-40054.2.2 詳細(xì)劃分舉例說明：1.長垣縣第二實驗小學(xué)位于長垣縣縣直屬區(qū)域，預(yù)計大概有38個班級、112個教師、2526個學(xué)生。擁有辦公樓1棟、教學(xué)樓3棟，1個電源線長度為10機柜（14U）、一個電源線長度為50機柜（6U）、1臺（核心）H3C S7506E-S。5臺24口PoE交換機、4臺（接入）24口交換機、14個光模塊、4個電子白板、7個投影機、3個音響、38個瘦終端、79個AP。學(xué)校現(xiàn)狀：多媒體教室現(xiàn)有36個，其中電子白板損壞1個，音響損壞1個，投影儀損壞4個，長焦投影儀1個一個長焦投影儀多媒體班級，35個短焦投影儀多媒體班級。劃分它的瘦

25、客戶端VLAN為VLAN 2001，所在子網(wǎng)為：10.9.0.128/25劃分它的POE-1的VLAN為VLAN 1001，所在子網(wǎng)為：10.10.32.0/22劃分它的POE-2的VLAN為VLAN 1002，所在子網(wǎng)為：10.10.36.0/22劃分它的POE-3的VLAN為VLAN 1003，所在子網(wǎng)為：10.10.40.0/22劃分它的POE-4的VLAN為VLAN 1004， 所在子網(wǎng)為：10.10.44.0/22它的匯總地址為：10.9.0.0/22 、10.9.4.0/22、10.10.0.0/16 它的管理IP地址為：172.16.2.26/32 它的上聯(lián)IP地址為：172.1

26、6.26.16/30它的VDI服務(wù)VLAN為：VLAN 1088-1091它的VDI服務(wù)地址為：10.100.88.0/222. 長垣縣縣直實驗小學(xué)位于長垣縣縣直屬區(qū)域，預(yù)計大概有27個班級、92個教師、1724個學(xué)生。擁有辦公樓1棟、教學(xué)樓3棟，1個電源線長度為9機柜（14U）、一個電源線長度為45機柜（6U）。1臺（核心）H3C S7506E-S、5臺24口PoE交換機、4臺（接入）24口交換機、12個光模塊、3個電子白板、6個投影機、3個音響、36個瘦終端、75個AP。學(xué)?，F(xiàn)狀：多媒體教室現(xiàn)有25個，一個長焦投影儀多媒體班級，32個短焦投影儀多媒體班級。設(shè)備損壞：電子白板損壞1個，音響損

27、壞1個，投影儀損壞2個，長焦投影儀損壞1個劃分它的瘦客戶端VLAN為VLAN 2001，所在子網(wǎng)為：10.9.0.128/25劃分它的POE-1的VLAN為VLAN 1001，所在子網(wǎng)為：10.10.32.0/22劃分它的POE-2的VLAN為VLAN 1002，所在子網(wǎng)為：10.10.36.0/22劃分它的POE-3的VLAN為VLAN 1003，所在子網(wǎng)為：10.10.40.0/22劃分它的POE-4的VLAN為VLAN 1004， 所在子網(wǎng)為：10.10.44.0/22它的匯總地址為：10.9.0.0/22 、10.9.4.0/22、10.10.0.0/16 它的管理IP地址為：172.

28、16.2.26/32 它的上聯(lián)IP地址為：172.16.26.16/30它的VDI服務(wù)VLAN為：VLAN 1080-1083它的VDI服務(wù)地址為：10.100.80.0/22其它學(xué)校按照上述原則劃分VLAN和IP地址，這里我們就不一一舉例了。4.3接入、匯聚層4.3.1 接入層長垣縣教育云項目所用到的接入交換機類型為： S7506E、S5800、S5500，學(xué)校的接入交換機,通過千兆單模光纖與節(jié)點交換機相連.級聯(lián)各個學(xué)校的二層連接。通過OSPF路由協(xié)議實現(xiàn)與核心部分的數(shù)據(jù)交互。需要在接入層交換機上創(chuàng)建遠(yuǎn)程登錄VLAN 180和上行接口VLAN 186,配置遠(yuǎn)程登錄Telnet訪問VLAN 1

29、80，配置密碼驗證，打開交換機上需要打開的接口。 長垣縣云教育項目利用無線AP技術(shù)實現(xiàn)整個學(xué)校的網(wǎng)絡(luò)覆蓋，利用無線控制器AC來管理AP。4.3.2 匯聚層在長垣縣云計算項目中,核心層使用三層核心交換機。三層交換機自己本身就具有二層轉(zhuǎn)發(fā)、交換功能，而且三層交換機有虛擬接口，可以配置IP地址，相當(dāng)于擁有部分路由器功能，實現(xiàn)了數(shù)據(jù)在三層的轉(zhuǎn)發(fā)。因為可以配置IP地址，能夠利用IP策略來實現(xiàn)各網(wǎng)段之間的互相訪問控制。 在長垣縣云教育項目這么龐大的項目中，如果不應(yīng)用三層交換機，讓所有計算機都處于一個子網(wǎng)當(dāng)中,網(wǎng)絡(luò)容易發(fā)生動蕩，引發(fā)廣播風(fēng)暴,安全性很差。4.3.3 接入和匯聚匯聚層Catalyst2970和

30、接入層 Catalyst2950核心層與匯聚層2970及2950、匯聚層2970與接入層2950之間連接通過trunk封裝802.1q協(xié)議來轉(zhuǎn)發(fā)VLAN信息，Catalyst2970和Catalyst2950之間采用channel技術(shù)，在兩邊交換機上各配置2個千兆以太網(wǎng)接口組成一條邏輯通路（Channel）提供雙倍的的并行帶寬，實現(xiàn)匯聚層和接入層之間成倍增加帶寬和為線路冗余提供可靠性。4.4核心層4.4.1 VRRP 技術(shù)VRRP是基于三層交換技術(shù)或路由協(xié)議的，用二層交換機是無法實現(xiàn)這一功能的。如果一個網(wǎng)絡(luò)里全部的網(wǎng)絡(luò)設(shè)備都連接到一個路由器，假如這個路由器設(shè)備失效了，將會出現(xiàn)網(wǎng)絡(luò)癱瘓：所有的設(shè)

31、備都無法連接到網(wǎng)絡(luò)。VRRP協(xié)議可以解決這一問題，VRRP可以把一個局域網(wǎng)中所有路由器構(gòu)成一個虛擬路由器，把這個虛擬路由器當(dāng)作一個備份組。那么在主路由器發(fā)生故障的時候，迅速切換到這個備份的虛擬路由器上，這樣就不會網(wǎng)絡(luò)癱瘓這一情況。4.4.2 VRRP技術(shù)實現(xiàn)1.組網(wǎng)圖 圖5 VRRP拓?fù)鋱D2.組網(wǎng)需求VLAN 2內(nèi)主機的缺省網(wǎng)關(guān)為202.38.160.100/25；VLAN 3內(nèi)主的缺省網(wǎng)關(guān)為202.38.160.200/25；Switch A和Switch B同時屬于虛擬IP地址為202.38.160.100/25的備份組1和虛擬IP地址為202.38.160.200/25的備份組2；在備份

32、組1中Switch A的優(yōu)先級高于Switch B，在備份組2中Switch B的優(yōu)先級高于Switch A，從而保證VLAN 2和VLAN 3內(nèi)的主機分別通過Switch A和Switch B通信。當(dāng)Switch A或Switch B出現(xiàn)故障時，主機可以通過另一臺設(shè)備繼續(xù)通信，避免通信中斷。3.配置步驟(1)配置Switch A# 配置VLAN 2。# 創(chuàng)建備份組1，并配置備份組1的虛擬IP地址為202.38.160.100。# 設(shè)置Switch A在備份組1中的優(yōu)先級為110。# 配置VLAN 3。# 創(chuàng)建備份組2，并配置備份組2的虛擬IP地址為202.38.160.200。 (2)配置S

33、witch B# 配置VLAN 2。# 創(chuàng)建備份組1，并配置備份組1的虛擬IP地址為202.38.160.100。# 配置VLAN 3。# 創(chuàng)建備份組2，并配置備份組2的虛擬IP地址為202.38.160.200。# 設(shè)置Switch B在備份組2中的優(yōu)先級為110。(3)配置VLAN 2內(nèi)主機的缺省網(wǎng)關(guān)為202.38.160.100/25配置VLAN 3內(nèi)主的缺省網(wǎng)關(guān)為202.38.160.200/25；檢驗配置效果：配置完成后，用戶可以使用display命令查看各設(shè)備上VRRP的配置和運行情況。4.4.3 RRPP技術(shù)RRPP是基于數(shù)據(jù)鏈路層，專門應(yīng)用于以太網(wǎng)環(huán)的一種協(xié)議。它可以防止廣播風(fēng)

34、暴造成的數(shù)據(jù)環(huán)路，可以備份鏈路，以確保最大的環(huán)網(wǎng)連接。 在長垣縣云教育項目中，各鄉(xiāng)鎮(zhèn)中的節(jié)點的S7506E與S5800交換機,各設(shè)備通過兩個10GE分別與上下節(jié)點相連,組成4套環(huán)網(wǎng).通過RRPP協(xié)議.實現(xiàn)高可靠性.同時在端口上啟用truck 允許VLAN通過,包括業(yè)務(wù),管理功能等。4.4.4 RRPP配置1.組網(wǎng)需求 Device A、Device B、Device C、Device D和Device E構(gòu)成RRPP域1，該域的控制VLAN為VLAN 4092，保護所有VLAN；Device A、Device B、Device C和Device D一起構(gòu)成主環(huán)1，Device B、Device

35、 C和Device E構(gòu)成子環(huán)2； 2.組網(wǎng)圖圖6 RRPP拓?fù)鋱D Device A為主環(huán)的主節(jié)點，GigabitEthernet1/0/1為主端口，GigabitEthernet1/0/2為副端口； Device E為子環(huán)的主節(jié)點，GigabitEthernet1/0/1為主端口，GigabitEthernet1/0/2為副端口； Device B為主環(huán)的傳輸節(jié)點和子環(huán)的邊緣節(jié)點，GigabitEthernet1/0/3為邊緣端口； Device C為主環(huán)的傳輸節(jié)點和子環(huán)的輔助邊緣節(jié)點，GigabitEthernet1/0/3為邊緣端口； Device D為主環(huán)的傳輸節(jié)點，GigabitEt

36、hernet1/0/1為主端口，GigabitEthernet1/0/2為副端口。3.配置步驟（1）配置Device A# 分別在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上關(guān)閉STP功能，并將端口配置為Trunk端口，允許所有VLAN通過，且信任報（2）配置Device B# 分別在端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3上關(guān)閉STP功能，并將端口配置為Trunk端口，允許所有VLAN通過，且信任報文的802.1p優(yōu)先級。（3）配置Device C# 分別在端口

37、GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3上關(guān)閉STP功能，并將端口配置為Trunk端口，允許所有VLAN通過，且信任報文的802.1p優(yōu)先級。（4）配置Device D# 分別在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上關(guān)閉STP功能，并將端口配置為Trunk端口，允許所有VLAN通過，且信任報文的802.1p優(yōu)先級。（5）配置Device E# 分別在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上關(guān)閉STP功能，并將端口配

38、置為Trunk端口，允許所有VLAN通過，且信任報文的802.1p優(yōu)先級。（6）檢驗配置效果配置完成后，用戶可以使用display命令查看各設(shè)備上RRPP的配置和運行情況。4.4.5 OSPF在長垣縣教育云項目中，網(wǎng)絡(luò)都采用OSFP動態(tài)路由協(xié)議:1、OSPF是真正的LOOP- FREE（無路由自環(huán)）路由協(xié)議。源自其算法本身的優(yōu)點。2、OSPF收斂速度快。3、區(qū)域劃分，減少需傳遞的路由信息數(shù)量。4、將協(xié)議自身的開銷控制到最小。5、嚴(yán)格劃分路由的級別，提供更可信的路由選擇。6、安全性很好，支持接口驗證。7、OSPF應(yīng)用于可以任意規(guī)模的網(wǎng)絡(luò)。4.4.6 OSPF配置1. 組網(wǎng)圖圖7 OSPF拓?fù)鋱D2

39、.組網(wǎng)需求所有的交換機都運行OSPF，并將整個自治系統(tǒng)劃分為3個區(qū)域。其中Switch A和Switch B作為ABR來轉(zhuǎn)發(fā)區(qū)域之間的路由。配置完成后，每臺交換機都應(yīng)學(xué)到AS內(nèi)的到所有網(wǎng)段的路由。3.配置步驟配置各接口的IP地址配置OSPF基本配置# 配置Switch A。# 配置Switch B。# 配置Switch C。# 配置Switch D。檢驗配置結(jié)果# 在Switch D上使用Ping進(jìn)行測試連通性。4.4.7核心交換機Catalyst6509和Catalyst45062臺核心交換機上配置HSRP以實現(xiàn)主交換設(shè)備之間的冗余，HSRP如下圖所示：圖8 HSRP拓?fù)鋱D通過配置HSRP組

40、可以實現(xiàn)負(fù)載分擔(dān)和核心交換機間的相互熱備，如上圖所示：主交換機為Catalyst6509，備份路由器為Catalyst 4506，通過HSRP配置中生成的各個VLAN接口的虛擬地址作為下面交換機和終端的網(wǎng)關(guān)，所有終端平時通過主交換機Catalyst6509互訪和上外網(wǎng)，如果主交換機出現(xiàn)故障，備份交換機承接主交換機的所有任務(wù)，并且不會導(dǎo)致主機連通中斷現(xiàn)象。同時，通過將對VLAN網(wǎng)段進(jìn)行分組，可以實現(xiàn)流量的負(fù)載均衡功能，充分利用網(wǎng)絡(luò)帶寬資源。核心交換機之間、交換機之間采用Cisco GEC（Gigabit EtherChannel）技術(shù)相連，在核心交換機上各配置2個千兆光纖接口組成一條邏輯通路（C

41、hannel）提供雙倍的并行帶寬，實現(xiàn)核心之間成倍增加帶寬和為線路冗余提供可靠性。在交換機上啟用VTP，VTP是思科第2層信息傳送協(xié)議，主要控制網(wǎng)絡(luò)范圍內(nèi) VLANs 的添加、刪除和重命名，VTP 減少了交換網(wǎng)絡(luò)中的管理事務(wù)，通過 VTP，其域內(nèi)的所有交換機都清楚所有的 VLAN的情況。表1網(wǎng)絡(luò)中VTP規(guī)劃表VTP domainJTTYVTP modeEnableVTP passwordDelteqVTP serverCatalyst6509、Catalyst4506VTP client Catalyst2970、Catalyst29504.5數(shù)據(jù)中心4.5.1數(shù)據(jù)中心交換機S5830、S58

42、20啟用OSPFS路由協(xié)議,對服務(wù)器的業(yè)務(wù)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā),并且傳送服務(wù)器的管理數(shù)據(jù).另外實現(xiàn)業(yè)務(wù)服務(wù)器與存儲服務(wù)器之間的通信。4.5.2數(shù)據(jù)中心多業(yè)務(wù)安全網(wǎng)關(guān)M9010數(shù)據(jù)中心網(wǎng)關(guān)M9010同樣需要配置VRRP實現(xiàn)雙機熱備,并且啟用OSFP以實現(xiàn)與核心網(wǎng)的三層互通.同時在FW上做安全配置以保證數(shù)據(jù)中心的安全,具體安全配置在5.7中描述。 4.5.3互聯(lián)網(wǎng)出口多業(yè)務(wù)安全網(wǎng)關(guān)M9010該設(shè)備通過對應(yīng)的路由協(xié)議實現(xiàn)與內(nèi)網(wǎng)通信.同時通過NAT與ACL策略配合,實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的控制訪問。利用策略實現(xiàn)對科教網(wǎng),跟Internet的同時接入。4.5.4 安全路由Cisco3845 Cisco3845為整個

43、網(wǎng)絡(luò)做NAT地址轉(zhuǎn)換來訪問公網(wǎng)，xxxxx下屬的各個子公司和出差的移動用戶有訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的需求，我們通過配置cisco3845為VPN server來實現(xiàn)vpn遠(yuǎn)程連接，客戶端通過安裝cisco vpn client撥號軟件，在任何可以上網(wǎng)的地方撥號到cisco3845，經(jīng)過認(rèn)證后來實現(xiàn)通過VPN安全的訪問內(nèi)部網(wǎng)絡(luò)主機。表2 VPN配置參數(shù)表加密算法3DESHASH算法MD5D-H組2認(rèn)證方式預(yù)共享密鑰身份標(biāo)識IP加密圖動態(tài)Cisco3845采用帶有防火墻功能的IOS，通過對CBAC的配置，嚴(yán)格審查源和目的地址，增強端口的和TCP和UDP應(yīng)用程序的安全，CBAC比目前的ACL解決方案更加

44、安全，因為它根據(jù)應(yīng)用類型決定是否允許一個會話通過防火墻，并決定是否為回返通信流量選擇某一通道，cisco3845在實際應(yīng)用考慮到其自身資源的耗費，既作為VPN服務(wù)器又對整個網(wǎng)絡(luò)做NAT，如果起用CBAC將會導(dǎo)致出口數(shù)據(jù)流較大的延時，且由于FWSM已完全能保證網(wǎng)絡(luò)出口鏈路的安全性，我們在實施時不起用CBAC，但是如果采用方案2時，cisco3845將起用CBAC來保證VPN鏈路的安全性。第5章 網(wǎng)絡(luò)故障解決當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時，一些簡單的解決原理和測試、應(yīng)急方案。5.1故障解決原理1.故障解決思路先詳細(xì)了解故障情況；先排除簡單的故障，然后在解決復(fù)雜的； 先檢查外部原因在檢查內(nèi)部原因；先檢查配置和命令

45、然后在檢查硬件本身；排除人為問題（電源為開等情況）；先大致判斷故障點；鎖定故障所在，作出解決方案。2.故障解決原則要對網(wǎng)絡(luò)配置作出修改之前，要保證當(dāng)下配置的可恢復(fù)性；要對網(wǎng)絡(luò)設(shè)置作出修改之前，要保證不會造成更大的影響；判斷故障的過程既是定位故障的過程，也是排除故障的前提；故障解決之后要做詳細(xì)的故障排除報告。3.故障解決方法根據(jù)原理一步一步分析問題；采用排除、對比、替換等方式；慢慢縮小故障范圍，最后解決故障。4.故障解決報告故障的詳細(xì)描述；解決故障的詳細(xì)過程；數(shù)據(jù)記錄的詳細(xì)描述；所用到的技術(shù)的介紹；避免或較少故障再次出現(xiàn)的方法；優(yōu)化網(wǎng)絡(luò)的方法，最后總結(jié)。5.2常用到的網(wǎng)絡(luò)測試命令 ping命令在

46、我們排除網(wǎng)絡(luò)故障的過程中，Ping命令是一個我們必須掌握的命令。ping命令可以測試設(shè)備之間的網(wǎng)絡(luò)連通性，有時候我們可以通過ping命令減小故障的范圍。例如：4個直連的路由器A、B、C、D，A下面的客戶端無法和D下面的客戶端互相通信，此時要解決這個故障，我們就可以利用ping命令測試，A和B之間、B和C之間、C和D之間能否ping通，然后檢查ping不同的2個設(shè)備上配置是否有誤。ipconfig命令在我們排除網(wǎng)絡(luò)故障的過程中，ipconfig命令是一個非常有用的命令。ipconfig命令可以顯示當(dāng)前設(shè)備的IP地址的詳細(xì)配置和網(wǎng)卡的MAC地址。例如：在排查DHCP配置時，我們利用ipconfig

47、查看設(shè)備是否自動獲取了IP地址。Netstat命令在我們排除網(wǎng)絡(luò)故障的過程中，Netstat命令是一個非常重要的命令。Netstat命令可以顯示當(dāng)前設(shè)備網(wǎng)絡(luò)接口的狀態(tài)、路由表、網(wǎng)絡(luò)連接狀態(tài)等信息。Tracert命令在我們排除網(wǎng)絡(luò)故障的過程中，Tracert命令是一個非常有用的命令。Netstat命令可以顯示IP數(shù)據(jù)到達(dá)目標(biāo)設(shè)備時所采用的路徑信息。Arp命令在我們排除網(wǎng)絡(luò)故障的過程中，Arp命令也是個非常有用的測試命令。ARP命令可以顯示和修改ARP緩存（網(wǎng)絡(luò)中適配器的表格）的條目。如果不加參數(shù)，ARP命令可以顯示幫助信息。5.3網(wǎng)絡(luò)應(yīng)急方案5.3.1網(wǎng)絡(luò)出口中斷應(yīng)急方案通過路由備份來實現(xiàn)網(wǎng)絡(luò)中斷的處理.當(dāng)主出口出現(xiàn)問題時,自動切換到備份線路,由網(wǎng)絡(luò)維護人員聯(lián)系外部人員進(jìn)