網(wǎng)絡(luò)工程畢業(yè)設(shè)計(jì)論文-組建高性能企業(yè)園區(qū)網(wǎng)

./完美格式整理版畢業(yè)設(shè)計(jì)報(bào)告<論文>報(bào)告<論文>題目：高性能企業(yè)園區(qū)網(wǎng)的設(shè)計(jì)與組建作者所在系部：作者所在專業(yè)：網(wǎng)絡(luò)工程作者所在班級(jí)：作者姓名：作者學(xué)號(hào)：指導(dǎo)教師姓名：完成時(shí)間：2016年6月摘要在如今的網(wǎng)絡(luò)建設(shè)中,企業(yè)園區(qū)網(wǎng)的搭建是非常重要的,企業(yè)園區(qū)網(wǎng)高速發(fā)展的原因是企業(yè)園區(qū)網(wǎng)內(nèi)部可以同時(shí)開展不通的業(yè)務(wù)。早期的企業(yè)園區(qū)網(wǎng)只是簡(jiǎn)單的數(shù)據(jù)共享,而現(xiàn)今的企業(yè)園區(qū)網(wǎng)可以做到企業(yè)內(nèi)部全方位的數(shù)據(jù)共享。過去單一的企業(yè)到現(xiàn)在多個(gè)分支公司的全部互連,因而對(duì)網(wǎng)絡(luò)的覆蓋面要求越來越廣。這一要求最早還只局限于各分支企業(yè)內(nèi)部,現(xiàn)在則已是整個(gè)企業(yè)、整個(gè)行業(yè),甚至整個(gè)Internet的共同要求。因此構(gòu)建高性能的企業(yè)園區(qū)網(wǎng)顯得尤為重要。隨著網(wǎng)絡(luò)的逐步普及,高性能企業(yè)園區(qū)網(wǎng)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇,企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個(gè)非常龐大而復(fù)雜的系統(tǒng),它不僅為企業(yè)現(xiàn)代化、綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供基本操作平臺(tái),而且能提供多種應(yīng)用服務(wù),使信息能及時(shí)、準(zhǔn)確地傳送給各個(gè)系統(tǒng)。關(guān)鍵詞：高性能園區(qū)網(wǎng)信息化AbstractIntoday'snetworkconstruction,enterprisecampusnetworkstructuresisveryimportant,becausetherapiddevelopmentoftheenterprisecampusnetworkistheenterprisecampusnetworkcanbecarriedoutinsidethebusinessatthesametimedoesnotmakesense.Earlyenterprisecampusnetworkjustsimpledatasharing,andtoday'senterprisecampusnetworkcandoafullrangeofenterprisedatasharing.Asingleenterpriseinthepastandnowallofinterconnectingapluralityofbranchofthecompany,andthusthenetworkcoveragerequirementsandmorewidely.Thisrequirementalsoonlylimitedtothefirstbranchoftheenterprise,isnowalreadythewholeenterprise,thewholeindustry,andeventhecommonrequirementsacrosstheInternet.Sotobuildahigh-performanceenterprisecampusnetworkisparticularlyimportant.Withthepopularityofthenetwork,theconstructionofhigh-performanceenterprisecampusnetworkistheinevitablechoicetoenterpriseinformationdevelopment,enterprisenetworksystemisaverylargeandcomplexsystem,notonlyforenterprisestomodern,integratedinformationmanagementandofficeautomation,aseriesapplicationprovidesbasicoperatingplatform,andcanprovideavarietyofapplications,sothatinformationcanbepromptlyandaccuratelytransmittedtothevarioussystems.Keyword:highperformance,CampusNetwork,Informatization目錄摘要2Abstract3第1章緒論11.1課題研究現(xiàn)狀分析11.2選題的目的及意義11.3課題研究的主要內(nèi)容1第2章系統(tǒng)需求分析32.1系統(tǒng)需求概述32.2系統(tǒng)的設(shè)計(jì)原則32.3系統(tǒng)的目標(biāo)3第3章系統(tǒng)設(shè)計(jì)的主要技術(shù)53.1VLAN技術(shù)53.2OSPF協(xié)議53.3VPN技術(shù)63.4虛擬路由冗余協(xié)議63.5訪問控制列表73.6網(wǎng)絡(luò)地址轉(zhuǎn)換7第4章網(wǎng)絡(luò)總體結(jié)構(gòu)設(shè)計(jì)84.1企業(yè)園區(qū)網(wǎng)拓?fù)浣Y(jié)構(gòu)84.2系統(tǒng)的數(shù)據(jù)流量設(shè)計(jì)94.2.1數(shù)據(jù)流向設(shè)計(jì)原則94.2.2正常數(shù)據(jù)流向94.2.3廣域網(wǎng)出口故障數(shù)據(jù)流向104.2.4核心交換機(jī)故障數(shù)據(jù)流向124.2.5匯聚層鏈路故障數(shù)據(jù)流向13第5章網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)155.1總體技術(shù)實(shí)現(xiàn)155.2二層交換功能實(shí)現(xiàn)155.3三層路由功能實(shí)現(xiàn)155.4路由策略設(shè)計(jì)16第6章邊界策略優(yōu)化管理176.1策略優(yōu)化需求176.2策略優(yōu)化實(shí)現(xiàn)17第7章系統(tǒng)各模塊地址劃分197.1VLAN規(guī)劃設(shè)計(jì)197.2IP地址規(guī)劃設(shè)計(jì)20第8章故障解決228.1故障分析228.2常見故障分析228.2.1物理和協(xié)議端口雙down228.2.2物理端口up但協(xié)議端口down228.2.3端口雙up但無(wú)法ping通228.3協(xié)議故障228.3.1MSTP協(xié)議故障228.3.2OSPF協(xié)議故障258.3.3BGP協(xié)議故障268.4其它故障27結(jié)論28致謝29參考文獻(xiàn)30.完美格式整理版第1章緒論1.1課題研究現(xiàn)狀分析隨著科技的發(fā)展,網(wǎng)絡(luò)技術(shù)的發(fā)展也越來越成熟,各大企業(yè)基本都實(shí)現(xiàn)了信息化的辦公。對(duì)企業(yè)而言,提高企業(yè)內(nèi)部員工的工作效率,更好的擴(kuò)展企業(yè)的業(yè)務(wù),同時(shí)能夠更規(guī)范合理的管理企業(yè)網(wǎng)絡(luò),保證企業(yè)信息不被泄漏,越來越多的企業(yè)認(rèn)識(shí)到搭建一個(gè)高效、穩(wěn)定、安全的網(wǎng)絡(luò)的重要性。然而現(xiàn)如今網(wǎng)絡(luò)技術(shù)不斷發(fā)展,企業(yè)園區(qū)網(wǎng)絡(luò)的搭建有很多種選擇,如何選擇網(wǎng)絡(luò)技術(shù)搭建園區(qū)網(wǎng)來滿足企業(yè)現(xiàn)在的需求以及未來發(fā)展的需要,同時(shí)對(duì)于網(wǎng)絡(luò)要有可擴(kuò)展性,這是擺在各企業(yè)面前的一個(gè)難題。1.2選題的目的及意義當(dāng)今世界經(jīng)濟(jì)空前繁榮,企業(yè)面臨著異常激烈的競(jìng)爭(zhēng),機(jī)遇與挑戰(zhàn)并存。如何控制并降低成本,如何獲得業(yè)務(wù)的增長(zhǎng),如何增強(qiáng)核心競(jìng)爭(zhēng)力,如何提高運(yùn)營(yíng)效率和客戶滿意度,成為企業(yè)負(fù)責(zé)人最關(guān)心的話題。網(wǎng)絡(luò)信息化技術(shù)在各行各業(yè)發(fā)展中起到的作用越來越顯著,信息化技術(shù)給我們帶來了不一樣的業(yè)務(wù)模式,信息化為企業(yè)的高速發(fā)展提供了最新的技術(shù)保證,怎樣把高效的信息技術(shù)轉(zhuǎn)化為高生產(chǎn)力,并最終成為企業(yè)的核心競(jìng)爭(zhēng)力,是當(dāng)下每一個(gè)企業(yè)都在思索的一個(gè)問題?？v觀目前大部分企業(yè)的網(wǎng)絡(luò)建設(shè),很多企業(yè)的網(wǎng)絡(luò)構(gòu)架搭建的時(shí)間過久,導(dǎo)致存在設(shè)計(jì)混亂、層次復(fù)雜、穩(wěn)定性低、安全性不足等一系列的問題,已經(jīng)不能很好的適應(yīng)現(xiàn)如今信息化高速發(fā)展的需求。所以企業(yè)迫切的需要一個(gè)合理的、高性能的網(wǎng)絡(luò)來滿足業(yè)務(wù)需求。本文采用工程化設(shè)計(jì)的方法,設(shè)計(jì)并且模擬一個(gè)園區(qū)網(wǎng)絡(luò),采用成熟的產(chǎn)品和技術(shù),滿足用戶安全性、通用性、高效性和可擴(kuò)展性的要求,由于網(wǎng)絡(luò)采用模塊化設(shè)計(jì)的思想,所以網(wǎng)絡(luò)系統(tǒng)各層可移植性強(qiáng),極大的幫助了以后的網(wǎng)絡(luò)設(shè)計(jì)工作。1.3課題研究的主要內(nèi)容本文所設(shè)計(jì)的高性能企業(yè)園區(qū)網(wǎng),主要任務(wù)是設(shè)計(jì)一個(gè)規(guī)范合理化的高性能網(wǎng)絡(luò),統(tǒng)一規(guī)劃園區(qū)網(wǎng)的IP地址,合理使用路由協(xié)議,在網(wǎng)關(guān)出配置相關(guān)的控制策略,通過設(shè)備以及鏈路的冗余保障網(wǎng)絡(luò)的安全性。而對(duì)于企業(yè)園區(qū)網(wǎng)中,網(wǎng)絡(luò)管理員在邊界對(duì)策略的管理沒有一個(gè)可視化的管理,造成策略管理的混亂,本文也為這種混亂策略的管理給出了相應(yīng)的解決方案。在網(wǎng)絡(luò)的建設(shè)中了解企業(yè)的行政結(jié)構(gòu),部門劃分,對(duì)不同職能的部門給予不同的權(quán)限,按照最大需求的給予最小權(quán)限的原則,保證網(wǎng)絡(luò)的安全性。在所設(shè)計(jì)的園區(qū)網(wǎng)中,既要可以滿足現(xiàn)有應(yīng)用的需求,又要有一定的冗余度,滿足企業(yè)業(yè)務(wù)的擴(kuò)展需求。設(shè)計(jì)的網(wǎng)絡(luò)力求簡(jiǎn)單穩(wěn)定高效,避免復(fù)雜臃腫,以保證網(wǎng)絡(luò)的可移植性和可擴(kuò)展性。第2章系統(tǒng)需求分析本章主要針對(duì)企業(yè)現(xiàn)有應(yīng)用系統(tǒng)進(jìn)行分析,然后根據(jù)企業(yè)業(yè)務(wù)需求制定相應(yīng)的可行性計(jì)劃,并且提出企業(yè)園區(qū)網(wǎng)的總體設(shè)計(jì)目標(biāo)。2.1系統(tǒng)需求概述針對(duì)目前企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)混亂,層次復(fù)雜問題提出相應(yīng)解決方案,規(guī)劃設(shè)計(jì)出一個(gè)高性能穩(wěn)定的企業(yè)園區(qū)網(wǎng)。建設(shè)的企業(yè)園區(qū)網(wǎng)充分考慮設(shè)備的性能和相關(guān)的網(wǎng)絡(luò)技術(shù),搭建企業(yè)園區(qū)網(wǎng)的整體框架,形成支撐企業(yè)業(yè)務(wù)高效發(fā)展的體系。2.2系統(tǒng)的設(shè)計(jì)原則所設(shè)計(jì)的企業(yè)園區(qū)網(wǎng)應(yīng)遵循以下原則：采用成熟的網(wǎng)絡(luò)技術(shù),使網(wǎng)絡(luò)可以適應(yīng)未來網(wǎng)絡(luò)技術(shù)以及企業(yè)未來業(yè)務(wù)發(fā)展需求；構(gòu)建的網(wǎng)絡(luò)應(yīng)該采用先進(jìn)的OSPF、VRRP、VPN等技術(shù)；采用層次化、可移植、可擴(kuò)展的系統(tǒng)體系；采用設(shè)備冗余、鏈路冗余等技術(shù)保證網(wǎng)路的安全可靠性；網(wǎng)絡(luò)結(jié)構(gòu)具有開放性和可擴(kuò)充性,為將來網(wǎng)絡(luò)規(guī)模的擴(kuò)大留下足夠的余地；在保證使用要求和技術(shù)可行性的前提下,選擇易于操作和管理的網(wǎng)絡(luò)設(shè)備；采用有容錯(cuò)功能的網(wǎng)絡(luò)設(shè)備,主干區(qū)域使用硬件雙備份,出現(xiàn)故障可以快速恢復(fù)；采用嚴(yán)格的權(quán)限管理,不同部門之間限制訪問；在重要的邊界設(shè)備制定嚴(yán)格的策略,保證企業(yè)網(wǎng)的安全,防止數(shù)據(jù)的泄漏。2.3系統(tǒng)的目標(biāo)根據(jù)對(duì)目前企業(yè)網(wǎng)的需求分析,最終企業(yè)網(wǎng)需要實(shí)現(xiàn)的功能如下：企業(yè)網(wǎng)與互聯(lián)網(wǎng)的安全互通,終端用戶可以隨時(shí)接入,滿足企業(yè)業(yè)務(wù)發(fā)展需求；實(shí)現(xiàn)企業(yè)網(wǎng)的擴(kuò)展性需求,在網(wǎng)絡(luò)規(guī)模擴(kuò)大時(shí),可以在原來網(wǎng)絡(luò)基礎(chǔ)上改造,降低網(wǎng)絡(luò)的建設(shè)和改造成本；實(shí)現(xiàn)內(nèi)網(wǎng)用戶以及外網(wǎng)用戶對(duì)企業(yè)內(nèi)網(wǎng)資源的安全合理訪問,避免非法用戶或者合法用戶對(duì)資源的越權(quán)使用；實(shí)現(xiàn)VPN功能,使得外出差人員和合作伙伴能夠在Internet上安全地和企業(yè)內(nèi)網(wǎng)進(jìn)行信息的交互處理；網(wǎng)內(nèi)實(shí)現(xiàn)可靠性設(shè)計(jì),從設(shè)備以及技術(shù)上均保證了在出現(xiàn)網(wǎng)絡(luò)故障時(shí)網(wǎng)絡(luò)能夠快速恢復(fù)的能力；實(shí)現(xiàn)網(wǎng)絡(luò)的優(yōu)化部署,實(shí)現(xiàn)了路由備份、負(fù)載分擔(dān)功能；實(shí)現(xiàn)整個(gè)企業(yè)網(wǎng)絡(luò)的可管理性,通過統(tǒng)一的管理中心實(shí)現(xiàn)對(duì)全網(wǎng)絡(luò)的設(shè)備以及數(shù)據(jù)流量的控制；實(shí)現(xiàn)網(wǎng)絡(luò)訪問策略的統(tǒng)一管理,對(duì)于需要開通的服務(wù)端口,需要通過員工提交申請(qǐng),又領(lǐng)導(dǎo)審批通過以后再提交網(wǎng)絡(luò)管理員進(jìn)行開通。第3章系統(tǒng)設(shè)計(jì)的主要技術(shù)3.1VLAN技術(shù)在傳統(tǒng)的局域網(wǎng)中,各站點(diǎn)共享傳輸信道所造成的信道沖突和廣播風(fēng)暴是影響網(wǎng)絡(luò)性能的重要因素。為了解決發(fā)生在網(wǎng)絡(luò)第二層的信道沖突和發(fā)生在網(wǎng)絡(luò)第三層的廣播風(fēng)暴問題,網(wǎng)橋和路由器被廣泛應(yīng)用于局域網(wǎng)中。由網(wǎng)橋連接的網(wǎng)絡(luò)屬于同一邏輯子網(wǎng),邏輯子網(wǎng)是指該網(wǎng)絡(luò)中的網(wǎng)絡(luò)站點(diǎn)具有相同的網(wǎng)絡(luò)層地址,例如具有相同的IP網(wǎng)絡(luò)號(hào)或者IPX網(wǎng)絡(luò)號(hào)。由路由器將不同邏輯子網(wǎng)連接在一起,邏輯子網(wǎng)間的通信必須經(jīng)路由器進(jìn)行。在這種網(wǎng)絡(luò)結(jié)構(gòu)中,由集線器、粗纜和細(xì)纜所構(gòu)成的物理網(wǎng)絡(luò)與邏輯子網(wǎng)相對(duì)應(yīng)。通常一個(gè)IP子網(wǎng)或者IPX子網(wǎng)屬于一個(gè)廣播域,因此網(wǎng)絡(luò)中的廣播域是根據(jù)物理網(wǎng)絡(luò)來劃分的。這樣的網(wǎng)絡(luò)結(jié)構(gòu)無(wú)論從效率和安全性角度來考慮都有所欠缺。同時(shí),由于網(wǎng)絡(luò)中的站點(diǎn)被束縛在所處的物理網(wǎng)絡(luò)中,而不能夠根據(jù)需要將其劃分至相應(yīng)的邏輯子網(wǎng),因此網(wǎng)絡(luò)的結(jié)構(gòu)缺乏靈活性。為解決這一問題,從而引發(fā)了虛擬局域網(wǎng)〔VLAN的概念,所謂VLAN是指網(wǎng)絡(luò)中的站點(diǎn)不拘泥于所處的物理位置,而可以根據(jù)需要靈活地加入不同的邏輯子網(wǎng)中的一種網(wǎng)絡(luò)技術(shù)。3.2OSPF協(xié)議OSPF是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議,用于在單一自治系統(tǒng)內(nèi)決策路由。它是基于鏈路狀態(tài)的路由協(xié)議,鏈路狀態(tài)是指路由器接口或鏈路的參數(shù)。這些參數(shù)是接口的物理?xiàng)l件：包括接口是Up還是Down、接口的IP地址、分配給接口的子網(wǎng)掩碼、接口所連的網(wǎng)絡(luò),以及使用路由器的網(wǎng)絡(luò)連接的相關(guān)費(fèi)用。OSPF與其他路由器交換交換信息,但所交換的不是路由,而是鏈路狀態(tài)。OSPF路由器不是告知其他路由器可以到達(dá)哪些網(wǎng)絡(luò)及距離是多少,而是告知它的網(wǎng)絡(luò)鏈路狀態(tài),這些接口所連的網(wǎng)絡(luò)及使用這些接口的費(fèi)用。各個(gè)路由器都有其自身的鏈路狀態(tài),稱為本地鏈路狀態(tài),這些本地鏈路狀態(tài)在OSPF路由域內(nèi)傳播,直到所有的OSPF路由器都有完整而等同的鏈路狀態(tài)數(shù)據(jù)庫(kù)為止。一旦每個(gè)路由器都接收到所有的鏈路狀態(tài),每個(gè)路由器可以構(gòu)造一棵樹,以它自己為根,而分支表示到AS中所有網(wǎng)絡(luò)的最短的或費(fèi)用最低的路由。OSPF對(duì)于規(guī)模巨大的網(wǎng)絡(luò),通常將網(wǎng)絡(luò)劃分成多個(gè)OSPF區(qū)域,并只要求路由器與同一區(qū)域的路由器交換鏈路狀態(tài),而在區(qū)域邊界路由器上交換區(qū)域內(nèi)的匯總鏈路狀態(tài),這樣可以減少傳播的信息量,且使最短路徑計(jì)算強(qiáng)度減少。在區(qū)域劃分時(shí),必須要有一個(gè)骨干區(qū)域〔即區(qū)域0,其它非0或非骨干區(qū)域與骨干區(qū)域必須要有物理或者邏輯連接。當(dāng)有物理連接時(shí),必須有一個(gè)路由器,它的一個(gè)接口在骨干區(qū),而另一個(gè)接口在非骨干區(qū)。當(dāng)非骨干區(qū)不可能與物理連接到骨干區(qū)時(shí),必須定義一個(gè)邏輯的或虛擬鏈路,虛擬鏈路由兩個(gè)端點(diǎn)和一個(gè)傳輸區(qū)來定義,其中一個(gè)端點(diǎn)是路由器接口,是骨干區(qū)域的一部分,另一端點(diǎn)也是一個(gè)路由器接口,但在與骨干區(qū)沒有物理連接的非骨干區(qū)域中。傳輸區(qū)是一個(gè)區(qū)域,介于骨干區(qū)域與非骨干區(qū)域之間。3.3VPN技術(shù)VPN〔VirtualPrivateNetwork翻譯成中文就是"虛擬專用網(wǎng)絡(luò)"。它是在公共通信基礎(chǔ)設(shè)施上構(gòu)建的虛擬專用或私有網(wǎng),可以被認(rèn)為是一種從公共網(wǎng)絡(luò)中隔離出來的網(wǎng)絡(luò)。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路,就好比是架設(shè)了一條專線一樣,但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線,但是不用給鋪設(shè)線路的費(fèi)用,也不用購(gòu)買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一,目前在交換機(jī),防火墻設(shè)備或操作系統(tǒng)等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上,一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí),這將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理,加速連接新的用戶和網(wǎng)站。另外,虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展,企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上,而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。3.4虛擬路由冗余協(xié)議VRRP<VirtualRouterRedundancyProtocol,虛擬路由冗余協(xié)議>是一種容錯(cuò)協(xié)議。通常,一個(gè)網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置一條缺省路由,這樣,主機(jī)發(fā)出的目的地址不在本網(wǎng)段的報(bào)文將被通過缺省路由發(fā)往路由器RouterA,從而實(shí)現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)路由器RouterA壞掉時(shí),本網(wǎng)段內(nèi)所有以RouterA為缺省路由下一跳的主機(jī)將斷掉與外部的通信產(chǎn)生單點(diǎn)故障。VRRP就是為解決上述問題而提出的,它為具有多播組播或廣播能力的局域網(wǎng)<如：以太網(wǎng)>設(shè)計(jì)。VRRP將局域網(wǎng)的一組路由器<包括一個(gè)Master即活動(dòng)路由器和若干個(gè)Backup即備份路由器>組織成一個(gè)虛擬路由器,稱之為一個(gè)備份組。這個(gè)虛擬的路由器擁有自己的IP地址<這個(gè)IP地址可以和備份組內(nèi)的某個(gè)路由器的接口地址相同,相同的則稱為ip擁有者>,備份組內(nèi)的路由器也有自己的IP地址<如Master的IP地址為,Backup的IP地址為>。局域網(wǎng)內(nèi)的主機(jī)僅僅知道這個(gè)虛擬路由器的IP地址,而并不知道具體的Master路由器的IP地址以及Backup路由器的IP地址.[1]它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的IP地址.于是,網(wǎng)絡(luò)內(nèi)的主機(jī)就通過這個(gè)虛擬的路由器來與其它網(wǎng)絡(luò)進(jìn)行通信。如果備份組內(nèi)的Master路由器壞掉,Backup路由器將會(huì)通過選舉策略選出一個(gè)新的Master路由器,繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機(jī)提供路由服務(wù)。從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的主機(jī)不間斷地與外部網(wǎng)絡(luò)進(jìn)行通信。3.5訪問控制列表ACL〔AccessControlList,訪問控制列表是一系列permit或者deny語(yǔ)句組成的順序列表,應(yīng)用于地址或上層協(xié)議。為了過濾數(shù)據(jù)報(bào)文,網(wǎng)絡(luò)設(shè)備需要配置一系列的匹配條件來對(duì)數(shù)據(jù)包進(jìn)行分類過濾,數(shù)據(jù)包過濾有時(shí)也稱為靜態(tài)數(shù)據(jù)包過濾,它通過分析傳入和傳出的數(shù)據(jù)包以及根據(jù)既定標(biāo)準(zhǔn)傳遞或阻止數(shù)據(jù)包來控制對(duì)網(wǎng)絡(luò)的訪問。數(shù)據(jù)包過濾設(shè)備根據(jù)源和目的IP地址、源端口和目的端口以及數(shù)據(jù)包的協(xié)議,利用已制定的規(guī)則來決定是應(yīng)該允許還是拒絕流量通過。3.6網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)主要實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)地址到外部網(wǎng)絡(luò)的轉(zhuǎn)換,靜態(tài)NAT是把內(nèi)部網(wǎng)絡(luò)中的某臺(tái)服務(wù)器地址永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法地址,這樣方便外網(wǎng)用戶企業(yè)園區(qū)網(wǎng)資源；動(dòng)態(tài)地址NAT是采用把外部網(wǎng)絡(luò)中的合法地址使用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)；端口多路復(fù)用地址轉(zhuǎn)換〔PAT是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上,把企業(yè)內(nèi)網(wǎng)IP轉(zhuǎn)換為公網(wǎng)IP地址,使內(nèi)部用戶可以方便的訪問公網(wǎng)Internet。目前NAT技術(shù)主要用戶于地址轉(zhuǎn)換和對(duì)內(nèi)部網(wǎng)絡(luò)安全的一個(gè)保護(hù),企業(yè)內(nèi)部員工數(shù)量眾多,而能夠申請(qǐng)到的公網(wǎng)IP地址有限,這樣可以通過NAT技術(shù)實(shí)現(xiàn)內(nèi)網(wǎng)多個(gè)用戶共同使用一個(gè)公網(wǎng)IP訪問互聯(lián)網(wǎng),而這種方式也能有效的隱藏企業(yè)內(nèi)部網(wǎng)絡(luò)情況,對(duì)網(wǎng)絡(luò)攻擊起了一定的防范作用。第4章網(wǎng)絡(luò)總體結(jié)構(gòu)設(shè)計(jì)4.1企業(yè)園區(qū)網(wǎng)拓?fù)浣Y(jié)構(gòu)本文所設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),基本保證了網(wǎng)絡(luò)的可靠性、可擴(kuò)展性、可管理性以及安全性等要求。整個(gè)網(wǎng)絡(luò)采用標(biāo)準(zhǔn)的核心層、匯聚層和接入層三層網(wǎng)絡(luò)結(jié)構(gòu),核心層采用雙機(jī)冗余熱備份,保證網(wǎng)絡(luò)的穩(wěn)定性。整個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4-1所示。圖4-1整體網(wǎng)絡(luò)拓?fù)鋱D如圖4-1所示,兩臺(tái)高帶寬的千兆交換機(jī)作為企業(yè)網(wǎng)的樞紐中心,其上行連接核心防火墻,保證園區(qū)網(wǎng)內(nèi)部網(wǎng)絡(luò)安全,其下行連接匯聚層交換機(jī)。匯聚層交換機(jī)選用支持三層交換技術(shù)和VLAN的交換機(jī),以達(dá)到減輕核心層設(shè)備的負(fù)荷,隔離網(wǎng)絡(luò)和分段的目的。存儲(chǔ)服務(wù)器和管理中心服務(wù)器也通過連接匯聚層交換機(jī)接入園區(qū)網(wǎng)。而接入層則選用不支持VLAN和三層交換技術(shù)的普通交換機(jī)。在不同的建筑部署接入交換機(jī),然后使用VLAN技術(shù)將不同智能的部門的流量數(shù)據(jù)通過二層隔離在自己的廣播域范圍內(nèi),并且為了加強(qiáng)網(wǎng)關(guān)的安全,在各個(gè)網(wǎng)關(guān)出配置相應(yīng)的訪問控制。如禁止員工宿舍訪問辦公樓網(wǎng)絡(luò),以免占用正常業(yè)務(wù)帶寬；禁止各個(gè)部門之間網(wǎng)絡(luò)互通,以免某部門網(wǎng)絡(luò)被攻破不會(huì)進(jìn)一步攻擊另外部門。對(duì)于企業(yè)網(wǎng)中訪問流量大,訪問次數(shù)多的服務(wù)器,如郵件服務(wù)器、業(yè)務(wù)部門需要使用的服務(wù)器,采用MSTP+VRRP的組合技術(shù)接入到匯聚交換機(jī)上,既能提供設(shè)備和鏈路的高度冗余又能實(shí)現(xiàn)訪問服務(wù)器流量的負(fù)載均衡。對(duì)于為外網(wǎng)提供服務(wù)的服務(wù)器來說,在邊界網(wǎng)關(guān)出制定相應(yīng)策略,只打開某些服務(wù)需要的端口,其余端口默認(rèn)置為關(guān)閉狀態(tài),保證服務(wù)器安全性。4.2系統(tǒng)的數(shù)據(jù)流量設(shè)計(jì)根據(jù)對(duì)企業(yè)網(wǎng)絡(luò)的調(diào)研,本網(wǎng)絡(luò)一共有兩類流量,一類是企業(yè)員工訪問內(nèi)部資源,另一類是企業(yè)員工對(duì)互聯(lián)網(wǎng)資源的訪問。為了保證全網(wǎng)的數(shù)據(jù)穩(wěn)定性、路由的可控性以及網(wǎng)絡(luò)的可管理性,需要對(duì)企業(yè)園區(qū)網(wǎng)絡(luò)的數(shù)據(jù)流向進(jìn)行詳細(xì)的規(guī)劃設(shè)計(jì),本節(jié)詳細(xì)描述了這方面的內(nèi)容,主要內(nèi)容包括數(shù)據(jù)流向設(shè)計(jì)原則以及正常情況和災(zāi)難情況各種情況下的數(shù)據(jù)流向做一個(gè)統(tǒng)一的規(guī)劃設(shè)計(jì),也為后續(xù)的路由設(shè)計(jì)等提供一個(gè)原則和基礎(chǔ)。4.2.1數(shù)據(jù)流向設(shè)計(jì)原則對(duì)于一個(gè)高性能的企業(yè)園區(qū)網(wǎng)來說,清晰明確的流向設(shè)計(jì)非常關(guān)鍵,體現(xiàn)在以下幾個(gè)方面：<1>要求正常業(yè)務(wù)流量和員工宿舍用網(wǎng)流量完全分離,既能有效保證辦公數(shù)據(jù)的安全性,又能形成一個(gè)清晰的管理界面,方便后期網(wǎng)絡(luò)的運(yùn)維管理。這就需要設(shè)計(jì)初期進(jìn)行精確的數(shù)據(jù)流向設(shè)計(jì)并匹配相應(yīng)的路由策略才能實(shí)現(xiàn)。<2>出于對(duì)網(wǎng)絡(luò)高可靠性的要求,在整個(gè)網(wǎng)絡(luò)的核心位置及重要應(yīng)用區(qū)域增加了冗余的鏈路,這樣就使得數(shù)據(jù)的流量路徑變的復(fù)雜起來,正常情況下的數(shù)據(jù)流向和當(dāng)某些鏈路或設(shè)備發(fā)生故障時(shí)數(shù)據(jù)的流向,需要提前規(guī)劃好流量的遷移路線,以方便故障的定位和災(zāi)難的恢復(fù)。<3>要求保證上下行流量路徑一致,對(duì)于這種冗余鏈路較多較復(fù)雜的網(wǎng)絡(luò)而言,怎樣保證數(shù)據(jù)走向清晰、避免混亂,便于管理和排錯(cuò)是尤為重要的,因此將流量走向設(shè)計(jì)為上下行路徑統(tǒng)一是非常必要的。4.2.2正常數(shù)據(jù)流向正常情況下,員工業(yè)務(wù)辦公流量與員工生活用網(wǎng)流量是分開的,分別走各自的流量路徑。兩臺(tái)核心交換機(jī)互為備份,平時(shí)企業(yè)員工辦公使用內(nèi)網(wǎng)資源的流量主要走核心層A側(cè)交換機(jī),辦公時(shí)員工有訪問互聯(lián)網(wǎng)的需求,外網(wǎng)流量則通過匯聚B側(cè)交換機(jī)連接核心A側(cè)交換機(jī)通過電信鏈路接入互聯(lián)網(wǎng)。員工生活用網(wǎng)不需要訪問企業(yè)內(nèi)部服務(wù)器資源,故制定策略讓員工生活用網(wǎng)的流量走核心層B側(cè)交換機(jī)通過聯(lián)通鏈路訪問互聯(lián)網(wǎng),以此保證業(yè)務(wù)流量與生活流量的隔離。正常數(shù)據(jù)流量走向如圖4-2所示。圖4-2正常流量走向4.2.3廣域網(wǎng)出口故障數(shù)據(jù)流向若廣域網(wǎng)電信鏈路一側(cè)出口出現(xiàn)故障,原本培訓(xùn)中心以及員工生活使用的互聯(lián)網(wǎng)不受任何影響,而在辦公樓正常辦公的員工訪問互聯(lián)網(wǎng)時(shí),鏈路會(huì)自動(dòng)切換到通過聯(lián)通一側(cè)鏈路接入互聯(lián)網(wǎng),保證網(wǎng)絡(luò)的穩(wěn)定性。辦公樓以及培訓(xùn)中心的內(nèi)網(wǎng)流量則不會(huì)受到任何影響。流量走向如圖4-3所示。圖4-3廣域網(wǎng)電信側(cè)出口故障廣域網(wǎng)聯(lián)通一側(cè)鏈路出口故障,則在正常流量走向情況下,除了培訓(xùn)中心和員工宿舍用外網(wǎng)流量改為從核心層A側(cè)上行通過電信鏈路接入互聯(lián)網(wǎng)外,對(duì)于培訓(xùn)中心內(nèi)網(wǎng)、辦公樓內(nèi)網(wǎng)和外網(wǎng)流量走向并沒有影響,具體流量走向如圖4-4所示。圖4-44.2.4核心交換機(jī)故障數(shù)據(jù)流向若核心層A側(cè)設(shè)備出現(xiàn)故障,企業(yè)網(wǎng)所有需要訪問互聯(lián)網(wǎng)資源的流量則都從核心層B側(cè)設(shè)備通過聯(lián)通鏈路接入互聯(lián)網(wǎng),此時(shí)路由重新計(jì)算結(jié)果,辦公樓連入外網(wǎng)的網(wǎng)關(guān)會(huì)啟動(dòng)VRRP備份網(wǎng)關(guān),也即切換核心層B側(cè)設(shè)備為網(wǎng)關(guān)。而若企業(yè)員工此時(shí)需要訪問內(nèi)網(wǎng)服務(wù)器資源,內(nèi)網(wǎng)流量則會(huì)通過核心層B側(cè)設(shè)備進(jìn)行轉(zhuǎn)發(fā),具體流量走向如圖4-5所示。同理可知,若核心層B側(cè)設(shè)備出現(xiàn)故障,培訓(xùn)中心以及員工宿舍訪問外網(wǎng)則會(huì)通過核心層A側(cè)設(shè)備接入互聯(lián)網(wǎng),此時(shí)網(wǎng)關(guān)也會(huì)自動(dòng)切換為A側(cè)設(shè)備。圖4-54.2.5匯聚層鏈路故障數(shù)據(jù)流向若匯聚層B側(cè)設(shè)備故障,此時(shí)培訓(xùn)中心和員工宿舍外網(wǎng)流量則通過匯聚層A側(cè)設(shè)備匯聚,再通過核心層B側(cè)設(shè)備進(jìn)行轉(zhuǎn)發(fā)訪問互聯(lián)網(wǎng)。具體流量走向如圖4-6所示。同理可得,若匯聚層A側(cè)設(shè)備出現(xiàn)故障,此時(shí)辦公樓內(nèi)外網(wǎng)流量都通過匯聚層B側(cè)設(shè)備匯聚。培訓(xùn)中心和員工宿舍訪問外網(wǎng)則通過核心層B側(cè)設(shè)備接入訪問外網(wǎng),辦公樓訪問外網(wǎng)依舊通過核心層A側(cè)設(shè)備接入訪問外網(wǎng)。圖4-6第5章網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)本章對(duì)按照前期的設(shè)計(jì)原則以及規(guī)劃方案進(jìn)行詳細(xì)的設(shè)計(jì),包括了園區(qū)網(wǎng)絡(luò)的總體設(shè)計(jì)、二層交換功能和三層路由功能的實(shí)現(xiàn),詳細(xì)說明整個(gè)網(wǎng)絡(luò)的連接配置情況。根據(jù)對(duì)本次改造建網(wǎng)需求的深刻理解以及針對(duì)本方案的建設(shè)原則,查閱了大量的企業(yè)網(wǎng)網(wǎng)組網(wǎng)資料,借鑒先進(jìn)成熟的中石油企業(yè)網(wǎng)組網(wǎng)經(jīng)驗(yàn)。力求設(shè)計(jì)建設(shè)一個(gè)全方位符合長(zhǎng)遠(yuǎn)需求并有很強(qiáng)可靠性、安全性的高性能統(tǒng)一企業(yè)園區(qū)網(wǎng)絡(luò)。5.1總體技術(shù)實(shí)現(xiàn)由于企業(yè)園區(qū)網(wǎng)接入設(shè)備較多,故整個(gè)網(wǎng)絡(luò)的具體連接無(wú)法通過拓?fù)淙空宫F(xiàn)出來。本節(jié)將對(duì)整體網(wǎng)絡(luò)進(jìn)行介紹,著重介紹如何通過各種技術(shù)組建企業(yè)園區(qū)網(wǎng),以及規(guī)劃中的功能是如何實(shí)現(xiàn)的。在企業(yè)網(wǎng)出口路由器上配置NAT進(jìn)行地址轉(zhuǎn)換為企業(yè)員工提供高速的互聯(lián)網(wǎng)接入服務(wù),核心層的兩臺(tái)交換機(jī)之間配置VRRP冗余網(wǎng)關(guān)備份,對(duì)服務(wù)器提供高可靠性的網(wǎng)關(guān)冗余備份和高效的服務(wù),考慮到服務(wù)器應(yīng)用的流量負(fù)載分流,對(duì)于服務(wù)器的接入采用雙上行的典型接入結(jié)構(gòu)。整個(gè)網(wǎng)絡(luò)骨干運(yùn)行OSPF動(dòng)態(tài)路由協(xié)議進(jìn)行路由的學(xué)習(xí)計(jì)算。5.2二層交換功能實(shí)現(xiàn)二層功能主要表現(xiàn)在各個(gè)職能部門內(nèi)的信息交換,信息源于一個(gè)VLAN廣播域內(nèi)的終端,終止于同一個(gè)VLAN內(nèi)的另一個(gè)終端,在大多數(shù)的情況下,都是終結(jié)于這個(gè)VLAN所映射的IP子網(wǎng)的網(wǎng)關(guān),本設(shè)計(jì)方案中將各個(gè)接入部門的網(wǎng)關(guān)設(shè)在匯聚設(shè)備上。考慮到應(yīng)用服務(wù)器、郵件服務(wù)器和業(yè)務(wù)服務(wù)器的高可靠性要求,重要應(yīng)用的接入采用VRRP網(wǎng)關(guān)冗余接入設(shè)計(jì),兩臺(tái)核心交換機(jī)熱備網(wǎng)關(guān),提供可靠的冗余保障服務(wù)。將兩個(gè)VLAN映射到不同的MSTP實(shí)例中,可以計(jì)算出不同的樹,即實(shí)現(xiàn)了冗余備份又實(shí)現(xiàn)了流量負(fù)載。5.3三層路由功能實(shí)現(xiàn)路由設(shè)計(jì)是網(wǎng)絡(luò)設(shè)計(jì)當(dāng)中的一個(gè)核心內(nèi)容,對(duì)于一個(gè)高可靠、高性能的網(wǎng)絡(luò)來說,一個(gè)合理的路由設(shè)計(jì)顯得尤為重要?？傮w設(shè)計(jì)思路應(yīng)根據(jù)數(shù)據(jù)流向的設(shè)計(jì)方案,合理、高效、可靠部署路由協(xié)議,依據(jù)數(shù)據(jù)流向設(shè)計(jì)提供鏈路傳輸保障實(shí)現(xiàn)高效、合理承載網(wǎng)絡(luò)中各項(xiàng)應(yīng)用需求。合理規(guī)劃路由協(xié)議和策略,充分考慮路由收斂的性能。OSPF是基于鏈路狀態(tài)計(jì)算最短路徑的路由協(xié)議,該類協(xié)議需要對(duì)每條鏈路賦予一個(gè)COST值,路由的COST值為所途經(jīng)鏈路COST值的累加數(shù)值。為保證OSPF鏈路狀態(tài)數(shù)據(jù)庫(kù)的一致性和路由對(duì)稱性,要求一條鏈路兩端的端口COST值配置必需相等。如何合理的分配流量使得數(shù)據(jù)的路徑按照規(guī)劃設(shè)計(jì)的路徑運(yùn)轉(zhuǎn)是網(wǎng)絡(luò)穩(wěn)定的關(guān)鍵之一,為了實(shí)現(xiàn)這個(gè)目標(biāo),采用的技術(shù)手段就是調(diào)整COST值。分配OSPF的COST值是一項(xiàng)非常嚴(yán)謹(jǐn)?shù)墓ぷ?對(duì)網(wǎng)絡(luò)中流量的穩(wěn)定起著重要的作用。5.4路由策略設(shè)計(jì)全網(wǎng)路由的互通采用靜態(tài)路由與OSPF組合的方式,將互聯(lián)網(wǎng)出接口的默認(rèn)靜態(tài)路由以及服務(wù)器應(yīng)用的直連路由引入到OSPF域中需要做路由策略來修改引入的COST值,達(dá)到路由控制的目的。為了保證辦公數(shù)據(jù)的安全,在員工宿舍的匯聚網(wǎng)關(guān)處部署訪問控制策略,禁止員工宿舍樓的IP網(wǎng)段對(duì)其進(jìn)行訪問。這樣就有效保證了辦公數(shù)據(jù)的安全性,不受員工生活用網(wǎng)流量的潛在危險(xiǎn)。本企業(yè)網(wǎng)整網(wǎng)規(guī)劃中,為每臺(tái)網(wǎng)絡(luò)設(shè)備都配置了一個(gè)專門的環(huán)回口作為該設(shè)備的管理地址,為了保證設(shè)備的安全性,每臺(tái)設(shè)備的環(huán)回地址應(yīng)該只允許被網(wǎng)管中心的IP地址段遠(yuǎn)程登錄,配置專門的訪問控制列表應(yīng)用在環(huán)回口地址上,拒絕任何非網(wǎng)管中心的IP地址對(duì)其進(jìn)行訪問控制。為了提高整個(gè)網(wǎng)絡(luò)的安全性,以便將來部署統(tǒng)一的管理和安全機(jī)制,在所有的網(wǎng)絡(luò)設(shè)備上部署AAA安全框架,自匯聚層以上核心設(shè)備以及關(guān)鍵位置的設(shè)備,例如出口路由器及服務(wù)器的接入交換機(jī)等,都需要被包含在自定義的安全域中,統(tǒng)一進(jìn)行安全的認(rèn)證驗(yàn)證或計(jì)費(fèi)管理。第6章邊界策略優(yōu)化管理6.1策略優(yōu)化需求對(duì)于目前大多數(shù)網(wǎng)絡(luò)訪問控制<ACL>管理主要存在的問題包括：〔1云計(jì)算網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,缺少對(duì)網(wǎng)絡(luò)拓?fù)溥吔绾途W(wǎng)絡(luò)訪問路徑的可視化管理,缺少網(wǎng)絡(luò)邊界開放服務(wù)的監(jiān)控能力,缺少?gòu)?fù)雜ACL智能優(yōu)化能力、ACL相關(guān)信息的統(tǒng)一檢索能力、以及相關(guān)ACL的快速定位能力；〔2云計(jì)算網(wǎng)絡(luò)訪問需求變化快,無(wú)法結(jié)合業(yè)務(wù)進(jìn)行細(xì)粒度訪問控制策略管理,ACL數(shù)量急劇增長(zhǎng),無(wú)法實(shí)時(shí)跟蹤網(wǎng)絡(luò)訪問控制失效策略,往往網(wǎng)絡(luò)層面的訪問控制策略粒度過粗,無(wú)法實(shí)時(shí)跟進(jìn)業(yè)務(wù)變化,無(wú)法做到最小化需求訪問,形同虛設(shè)；〔3網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問控制管理和VLAN管理配置復(fù)雜,需要專業(yè)安全網(wǎng)絡(luò)工程師才可以實(shí)施,操作步驟繁瑣且易出錯(cuò),一旦配置不當(dāng)會(huì)造成網(wǎng)絡(luò)的癱瘓；且網(wǎng)絡(luò)設(shè)備的ACL容量是有限制,一旦超出限額,所有的網(wǎng)絡(luò)訪問控制策略將全部失效。〔4云計(jì)算內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,需求變化快,不適宜全范圍部署防火墻類產(chǎn)品,會(huì)影響云核心網(wǎng)絡(luò)的處理性能,傳統(tǒng)網(wǎng)絡(luò)設(shè)備ACL訪問控制管理復(fù)雜且維護(hù)成本高,必須通過高效的可視化集中管理；〔5傳統(tǒng)網(wǎng)絡(luò)管理方式VLAN管理和ACL策略管理混亂,業(yè)務(wù)申請(qǐng)用戶和網(wǎng)絡(luò)安全管理人員之間溝通不順暢,無(wú)法按需訪問,網(wǎng)絡(luò)ACL變更沒有監(jiān)控和審計(jì)措施,缺少信息化審批流程,缺少審計(jì)記錄,配置管理,變更管理更無(wú)法合規(guī)可控。根據(jù)Gartner研究,"超過95%的防火墻漏洞是因由防火墻配置錯(cuò)誤導(dǎo)致的,而不是防火墻自身的缺陷"。針對(duì)以上出現(xiàn)的種種訪問控制問題,使用先進(jìn)的網(wǎng)絡(luò)訪問控制管理軟件進(jìn)行統(tǒng)一的ACL管理,提升網(wǎng)絡(luò)安全運(yùn)維人員效率,簡(jiǎn)化網(wǎng)絡(luò)權(quán)限管理復(fù)雜度,避免人工操作造成的錯(cuò)誤配置,保障配置管理和變更管理規(guī)范和合規(guī)。策略優(yōu)化實(shí)現(xiàn)通過對(duì)網(wǎng)絡(luò)設(shè)備ACL的分析,對(duì)多余以及無(wú)效的ACL進(jìn)行合并或者刪除,保證網(wǎng)絡(luò)設(shè)備ACL數(shù)量的冗余。1. 可通過定義數(shù)學(xué)模型：rule:<order><protocol><sip><sport><dip><dport><action>RxRy：規(guī)則x規(guī)則y 關(guān)系：{RCD,RPm,REM,RIM,RC} Rcd互斥〔completelydisjoint Rem相等〔exactlymatch Rim超集〔inclusivelymatch,Rx是Ry超集 Rpd子集〔partiallydisjoint,Rx是Ry子集 Rc關(guān)聯(lián)〔correlatedREDUNDANCY<冗余>Rx[order]<Ry[order],RxEMRy,Rx[action]==Ry[action]Rx[order]<Ry[order],RxPDRy,Rx[action]==Ry[action]Rx[order]<Ry[order],RxIMRy,Rx[action]==Ry[action]SHADOWING<遮蓋>Rx[order]<Ry[order],RxEMRy,Rx[action]!=Ry[action]Rx[order]<Ry[order],RxIMRy,Rx[action]!=Ry[action]GENERALIZATION<泛化>Rx[order]<Ry[order],RxPDRy,Rx[action]!=Ry[action]SUPERIMPOSING<疊加>Rx[order]<Ry[order],RxCRy,Rx[action]==Ry[action]CORELATION<相關(guān)>Rx[order]<Ry[order],RxCRy,Rx[action]!=Ry[action]COMBINABLE<合并>Rx[order]<Ry[order]<……,Rx連續(xù)Ry,Rx[action]==Ry[action]〔Rx連續(xù)Ry,包含源Ip或目的Ip或源端口或目的端口連續(xù)2. 根據(jù)規(guī)則關(guān)系分組處理：冗余/遮蓋/泛化/疊加/相關(guān)：兩條規(guī)則間的關(guān)系優(yōu)化。合并：連續(xù)的多條規(guī)則關(guān)系優(yōu)化。3. 特殊處理邏輯：R1<permit>->R2<deny>->R3<permit>,R1與R2泛化,如果不考慮位置關(guān)系的影響,推導(dǎo)出來的R1與R3冗余錯(cuò)誤。所以,在推導(dǎo)的時(shí)候要考慮這種位置關(guān)系帶來的問題。通過上述優(yōu)化處理,確保網(wǎng)絡(luò)安全策略的有效性、安全性和合規(guī)性,從而降低網(wǎng)絡(luò)安全策略的風(fēng)險(xiǎn)狀況,有效提高網(wǎng)絡(luò)運(yùn)維人員的工作效率。第7章系統(tǒng)各模塊地址劃分7.1VLAN規(guī)劃設(shè)計(jì)按照方案的設(shè)計(jì)原則,要求企業(yè)中不同職能部門的流量數(shù)據(jù)在二層隔離開來,這就需要將不同的部門劃分到不同的VLAN當(dāng)中,整體的劃分思路是,VLAN10~49為互聯(lián)網(wǎng)段,VLAN50~300為各服務(wù)器和各應(yīng)用系統(tǒng)使用,VLAN301~400為各個(gè)部門使用,VLAN401~500為培訓(xùn)中心樓使用,VLAN511~584為員工宿舍樓使用。表7-1VLAN統(tǒng)一劃分名稱VLAN互聯(lián)網(wǎng)段10~49郵件服務(wù)器50FTP服務(wù)器60門戶網(wǎng)站服務(wù)器70人力資源ERP系統(tǒng)80網(wǎng)絡(luò)安全域90項(xiàng)目開發(fā)測(cè)試100信息內(nèi)容審計(jì)系統(tǒng)110在線培訓(xùn)系統(tǒng)120身份認(rèn)證130備份系統(tǒng)140電子公文系統(tǒng)150ERP系統(tǒng)160應(yīng)急管理系統(tǒng)170辦公系統(tǒng)180檔案管理系統(tǒng)190移動(dòng)應(yīng)用平臺(tái)200…………經(jīng)理辦公室301財(cái)務(wù)部302行政管理部303人事部304基礎(chǔ)設(shè)施運(yùn)維部305…………培訓(xùn)中心〔1-1411培訓(xùn)中心〔1-2412培訓(xùn)中心〔1-3413培訓(xùn)中心〔1-4414培訓(xùn)中心〔1-6415培訓(xùn)中心〔2-1421培訓(xùn)中心〔2-2422培訓(xùn)中心〔2-3423培訓(xùn)中心〔2-4424…………員工宿舍A1樓一層511員工宿舍A1樓二層512員工宿舍A1樓三層513員工宿舍A2樓一層521員工宿舍A2樓二層522…………員工宿舍D5樓四層5847.2IP地址規(guī)劃設(shè)計(jì)VLAN的劃分使得不同部門、不同應(yīng)用系統(tǒng)以及培訓(xùn)中心和員工宿舍樓的二層隔離,但對(duì)于一個(gè)企業(yè)園區(qū)網(wǎng)來說,合理的IP地址規(guī)劃也是相當(dāng)?shù)闹匾?。根?jù)在中石油實(shí)習(xí)期間借鑒中石油廣域網(wǎng)的IP規(guī)劃得知,最好每一個(gè)VLAN映射一個(gè)IP網(wǎng)段?？紤]到未來網(wǎng)絡(luò)的擴(kuò)建,使用A類IP地址進(jìn)行劃分。表7-2IP地址統(tǒng)一劃分名稱VLANIP地址管理地址互聯(lián)網(wǎng)段10~49郵件服務(wù)器50FTP服務(wù)器60門戶網(wǎng)站服務(wù)器70人力資源ERP系統(tǒng)80網(wǎng)絡(luò)安全域90項(xiàng)目開發(fā)測(cè)試100信息內(nèi)容審計(jì)系統(tǒng)110在線培訓(xùn)系統(tǒng)120身份認(rèn)證130備份系統(tǒng)140電子公文系統(tǒng)150ERP系統(tǒng)160應(yīng)急管理系統(tǒng)170辦公系統(tǒng)180檔案管理系統(tǒng)190移動(dòng)應(yīng)用平臺(tái)200………………經(jīng)理辦公室301財(cái)務(wù)部302行政管理部303人事部304基礎(chǔ)設(shè)施運(yùn)維部305………………培訓(xùn)中心〔1-141/24培訓(xùn)中心〔1-2412.0/24培訓(xùn)中心〔1-3413.0/24培訓(xùn)中心〔1-4414/24培訓(xùn)中心〔1-6415.0/24培訓(xùn)中心〔2-142/24培訓(xùn)中心〔2-2422.0/24培訓(xùn)中心〔2-3423.0/24培訓(xùn)中心〔2-4424.0/24………………員工宿舍A1樓一層51/24員工宿舍A1樓二層51/24員工宿舍A1樓三層513/24員工宿舍A2樓一層52/24員工宿舍A2樓二層52/24………………員工宿舍D5樓四層584/24第8章故障解決8.1故障分析在網(wǎng)絡(luò)運(yùn)行的過程中可能會(huì)出現(xiàn)各種故障,此時(shí)需要先對(duì)故障進(jìn)行觀察,然后收集故障相關(guān)信息,如硬件設(shè)備面板指示燈、數(shù)據(jù)流量走向、設(shè)備配置、各接口狀態(tài)、抓包等方面收集信息。對(duì)收集到的信息進(jìn)一步進(jìn)行分析,定位問題所在,查找產(chǎn)生問題的原因,必要時(shí)可去掉驗(yàn)證和加密,去掉ACL簡(jiǎn)化設(shè)備配置排除相關(guān)干擾。針對(duì)的出現(xiàn)的故障列出排錯(cuò)方案,故障處理過程中應(yīng)記錄日志信息,方便故障解決后編寫解決方案,以便日后方便排查故障。8.2常見故障分析8.2.1物理和協(xié)議端口雙down可能由于物理端口網(wǎng)線未能插牢、網(wǎng)線斷掉、對(duì)端設(shè)備掉電、端口被shutdown等原因造成故障。8.2.2物理端口up但協(xié)議端口down可能由于兩端封裝協(xié)議不一致、端口未正確配置IP地址、路由協(xié)議配置錯(cuò)誤等原因造成故障。8.2.3端口雙up但無(wú)法ping通可能由于兩端IP地址不在同一網(wǎng)段、端口策略配置有誤、兩端工作模式不一致或者由于路由協(xié)議配置不當(dāng)?shù)仍驅(qū)е鲁霈F(xiàn)此種故障。8.3協(xié)議故障8.3.1MSTP協(xié)議故障1、廣播風(fēng)暴故障處理故障描述：網(wǎng)絡(luò)中存在廣播風(fēng)暴。故障處理步驟：〔1通過disstp命令查看設(shè)備是否開啟全局MSTP,如果沒有開啟則在系統(tǒng)配置視圖中配置命令stpenable開啟全局MSTP。〔2通過命令disstpint查看端口MSTP是否開啟,如果沒有開啟則在接口視圖下配置stpenable開啟端口的MSTP。〔3通過命令displaystphistory檢查端口是否存在STP報(bào)文超時(shí)現(xiàn)象。例如：<Sysname>disstpinst2historyslot1STPslot1historytraceInstance2PortEthernet1/1Rolechange:ROOT->DESI〔AgedTime:2006/08/0800:22:56Portpriority:0.00e0-fc01-651000.00e0-fc01-6510128.1在Ethernet1/1信息的RoleChange項(xiàng)中存在Aged字樣表明端口Ethernet1/1的報(bào)文曾經(jīng)超時(shí),此時(shí)可以通過命令stptimer-factor將超時(shí)因子設(shè)置得大一些。2、端口無(wú)法快速遷移故障處理故障描述：端口發(fā)生鏈路故障或者鏈路故障恢復(fù)后,整個(gè)網(wǎng)絡(luò)的流量恢復(fù)時(shí)間超過30秒。故障處理步驟：〔1檢查連接連接對(duì)端是否是終端,如果對(duì)端連接的是終端,在端口上執(zhí)行命令stpedge-portenable開啟邊緣端口屬性?！?使用命令disstp查看設(shè)備的工作模式,若設(shè)備工作的模式是STP,則使用stpmode命令將設(shè)備的工作模式修改為MSTP。〔3在上行設(shè)備中使用命令disstp查看設(shè)備工作模式,若上行設(shè)備是工作在STP模式或者RSTP模式,那么用在上行設(shè)備中使用stpmode命令將工作模式修改為MSTP,若上行設(shè)備的工作模式是RSTP,則可以在端口上使用stpno-agreement-check命令開啟NoAgreementCheck特性?！?查看設(shè)備的端口是不是點(diǎn)對(duì)點(diǎn)鏈路,使用命令disstpint查看：<sysname>disstpintethernet1/0[CIST][Port1<Ethernet1/0>][UP]PortProtocol:enabledPortRole:CISTDisabledPortPortPriority:128PortCost<Legacy>:Config=auto/Active=200000Desg.Bridge/Port:0.00e0-fc00-2000/128.2PortEdged:Config=disabled/Active=disabledPoint-to-point:Config=auto/Active=trueTransmitLimit:10packets/hello-timeProtectionType:NoneMSTBPDUFormat:Config=auto/Active=legacyPortConfig-Digest-Snooping:disabledNumofVlansMapped:20PortTimes:Hello2sMaxAge20sFwDly15sMsgAge0sRemHop20BPDUSent:0TCN:0,Config:0,RST:0,MST:0BPDUReceived:0TCN:0,Config:0,RST:0,MST:0若Point-to-point項(xiàng)中Active是true則說明端口是點(diǎn)對(duì)點(diǎn)鏈路,若為false則表明端口為不是點(diǎn)對(duì)點(diǎn)鏈路。如果兩臺(tái)設(shè)備的端口點(diǎn)對(duì)點(diǎn)鏈路但是還無(wú)法快速遷移,請(qǐng)聯(lián)系廠商提供技術(shù)支持?！?先查看鏈路是否有故障,若鏈路無(wú)故障使用命令displaybriefinterface查看端口的雙工模式,如果發(fā)現(xiàn)端口的模式是半雙工模式,可以使用undoduplex把兩側(cè)的端口修改為自協(xié)商模式。3、指定端口長(zhǎng)期處于Discarding狀態(tài)故障處理故障描述：指定端口長(zhǎng)時(shí)間處于Discarding狀態(tài),無(wú)法遷移到Forwarding狀態(tài)。故障處理步驟：〔1執(zhí)行命令debuggstppacketint打開STP報(bào)文詳細(xì)信息調(diào)試開關(guān),查看端口是否接收到了本端口自己發(fā)送出去的報(bào)文,如果是,表明網(wǎng)絡(luò)中存在自環(huán),請(qǐng)檢查網(wǎng)絡(luò)消除自環(huán)?！?檢查端口收到報(bào)文格式是否和配置格式一致方法一：通過查看設(shè)備的log日志,若有出現(xiàn)"Portinterface-typeinterface-numberreceiveddifferentformatofBPDUpackets!PleasechangeyourBPDUFormatconfiguration.",表明端口收到了不同格式的報(bào)文。方法二：開啟端口報(bào)文調(diào)試開關(guān)查看收到的數(shù)據(jù)報(bào)文的類型,使用命令disstpint查看端口實(shí)際配置的數(shù)據(jù)報(bào)文類型,比較數(shù)據(jù)報(bào)文類型是否相同,若出現(xiàn)不一致情況則表明端口收到不同格式報(bào)文。若端口收到的數(shù)據(jù)報(bào)文格式和配置的格式不一致,則可以通過stpcompliance命令修改端口的報(bào)文格式?！?檢查端口根保護(hù)是否生效方法一：通過查看設(shè)備的log日志,如果有打印"Instanceinstance-id'sROOT-Protectionportinterface-typeinterface-numberreceivedsuperiormessage!",說明端口的根保護(hù)已經(jīng)打開。方法二：使用命令displaystpabnormal-port查看端口是否是因?yàn)楦Ｗo(hù)的緣故而被Discarding。<sysname>disstpabnormal-portMSTIDBlockedPortReason0Ethernet1/4ROOT-Protected若端口是因?yàn)楦Ｗo(hù)的開啟而被Discarding,請(qǐng)檢查是否誤將設(shè)備設(shè)置為根橋或備份根橋,執(zhí)行命令disstpinstinstance-id查看設(shè)備在實(shí)例上的根類型?！?檢查端口環(huán)路保護(hù)是否生效方法一：通過查看打印的log日志,如果有打印"Instanceinstance-id'sLOOP-Protectionportinterface-typeinterface-numberreceivedsuperiormessage!",表明端口開啟了環(huán)路保護(hù)。方法二：使用命令dispstpabnormal-port查看端口是否因環(huán)路保護(hù)起作用而被Discarding。8.3.2OSPF協(xié)議故障1、OSPF無(wú)法形成鄰居關(guān)系故障故障描述：OSPF協(xié)議啟動(dòng)后無(wú)法形成鄰居關(guān)系。故障處理步驟：〔1查看接口是否啟動(dòng)了OSPF,OSPF是基于設(shè)備的接口運(yùn)行的,若接口未啟動(dòng)OSPF則鄰居關(guān)系肯定無(wú)法形成?！?查看接口配置是否為靜默端口,若接口配置為靜默端口是不能發(fā)送OSPFHello報(bào)文的?！?ACL是否拒絕了Hello報(bào)文?！?廣播網(wǎng)絡(luò)中的兩端的子網(wǎng)掩碼是否一致,若兩側(cè)接口不屬于同一IP子網(wǎng),鄰居關(guān)系也是無(wú)法形成?！?兩端的OSPF計(jì)時(shí)器的值是否配置?！?若OSPF的區(qū)域類型或者區(qū)域ID不匹配則不會(huì)形成鄰居關(guān)系。〔7若OSPF鄰居是使用從地址建立的,此時(shí)OSPF鄰居關(guān)系無(wú)法建立,需要更改為主地址才可以。2、OSPF鄰居關(guān)系停滯在異常狀態(tài)故障故障描述：OSPF鄰居關(guān)系停滯在異常狀態(tài)。故障處理步驟：〔1查看鄰居關(guān)系是否停滯在ATEMPT,Hello報(bào)文發(fā)出沒有收到回應(yīng),最常見的是NBMA鄰居配置錯(cuò)誤?！?查看鄰居關(guān)系是否停止與Exstart或者是Exchange狀態(tài),可能由于接口的MTU設(shè)置不匹配、鄰居RouterID重復(fù)、路徑MTU小于接口的MTU等原因?qū)е碌摹?、OSPF路由無(wú)法通告故障故障描述：OSPF路由無(wú)法通告。故障處理步驟：〔1OSPF無(wú)法通告從地址的路由,需要主從地址都屬于同一區(qū)域才可以。〔2查看ABR是否無(wú)法通告路由,與ABR相連的區(qū)域必須有一個(gè)是骨干區(qū)域?！?查看是否無(wú)法通告外部路由,可能由于區(qū)域不允許接收外部路由或者NSSA區(qū)域有配置錯(cuò)誤的ABR導(dǎo)致。4、OSPF路由無(wú)法加入路由表故障故障描述：OSPF路由無(wú)法加入路由表。故障處理步驟：〔1查看路由表是否有OSPF路由,若沒有,則可能是OSPF鄰居兩邊的網(wǎng)絡(luò)類型設(shè)置不匹配,導(dǎo)致數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)類型不匹配,沒有將OSPF路由添加到路由表中?！?查看OSPF外部是否無(wú)法加入路由表,OSPF外部路由中會(huì)帶有轉(zhuǎn)發(fā)地址信息,如果該轉(zhuǎn)發(fā)地址為零,除非OSPF可以通過區(qū)域