佛山傳媒辦公網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

佛山傳媒辦公網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)摘要：本課題基于佛山傳媒公司大樓的企業(yè)網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)方案進(jìn)行概括。企業(yè)網(wǎng)絡(luò)通常是一種用戶高密度的非運(yùn)營(yíng)網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的終端和用戶。同時(shí)對(duì)于企業(yè)網(wǎng)絡(luò)而言，注重的是網(wǎng)絡(luò)的簡(jiǎn)單可靠、易部署、易維護(hù)。因此，企業(yè)網(wǎng)絡(luò)的規(guī)劃在設(shè)計(jì)上通常采用星型結(jié)構(gòu)作為拓?fù)浣Y(jié)構(gòu)，且在邏輯上，可分為核心層、匯聚層、接入層，每一層都有其特點(diǎn)。因此，在本課題中，佛山傳媒公司的網(wǎng)絡(luò)拓?fù)鋵⒉捎萌龑泳W(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行設(shè)計(jì)。通過(guò)分層設(shè)計(jì)，使得公司網(wǎng)絡(luò)可模塊化增長(zhǎng)，提高公司網(wǎng)絡(luò)的可擴(kuò)展性；通過(guò)分層設(shè)計(jì)將公司網(wǎng)絡(luò)分成各個(gè)單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使得公司網(wǎng)絡(luò)運(yùn)維人員在故障排除中更加容易；通過(guò)分層設(shè)計(jì)，使得公司網(wǎng)絡(luò)單個(gè)設(shè)備的配置復(fù)雜性大大降低，更容易管理。在三層網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上，接入層通過(guò)MSTP+VRRP的技術(shù)搭配將公司各部門(mén)接入網(wǎng)絡(luò)匯聚到匯聚層設(shè)備上，匯聚層設(shè)備作為各部門(mén)網(wǎng)絡(luò)的網(wǎng)關(guān)，要合理地規(guī)劃好MSTP實(shí)例將各部門(mén)流量引導(dǎo)到不同的匯聚網(wǎng)關(guān)設(shè)備上；在匯聚設(shè)備與核心設(shè)備之間通過(guò)手工鏈路聚合提高鏈路帶寬，部署OSPF，通過(guò)修改OSPFcost值，人為地將流量引導(dǎo)到高帶寬的聚合鏈路上；防火墻作為公司出口網(wǎng)關(guān)設(shè)備，部署雙機(jī)熱備技術(shù)，保障公司在訪問(wèn)互聯(lián)網(wǎng)業(yè)務(wù)時(shí)不會(huì)出現(xiàn)單點(diǎn)故障。關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)三層結(jié)構(gòu)、冗余備份

NetworkPlanningandDesignofFoshanMediaCompanyAbstract:ThisprojectisbasedontheplananddesignoftheenterprisenetworkofFoshanmediacompanybuilding.Enterprisenetworkisusuallyanonoperationalnetworkwithhighdensityofusers,whichgathersalargenumberofterminalsandusersinalimitedspace.Atthesametime,fortheenterprisenetwork,itfocusesonthesimpleandreliablenetwork,easydeployment,easymaintenance.Therefore,inthedesignofenterprisenetworkplanning,starstructureisusuallyusedasthetopologystructure,andlogically,itcanbedividedintocorelayer,convergencelayerandaccesslayer,eachlayerhasitsowncharacteristics.Therefore,inthisproject,thenetworktopologyofFoshanmediacompanywillbedesignedwiththree-layernetworkstructure.Throughlayereddesign,thecompany'snetworkcanbemodularizedandexpanded,andthecompany'snetworkcanbedividedintovariousunitsthroughlayereddesign,whichreducestheoverallcomplexityofthenetworkandmakesiteasierforthecompany'snetworkoperationandmaintenancepersonneltotroubleshoot.Throughlayereddesign,theconfigurationcomplexityofindividualequipmentofthecompany'snetworkisgreatlyreducedandeasiertomanage。Onthebasisofthethree-layernetworkstructure,theaccesslayerconvergestheaccessnetworkofalldepartmentsofthecompanytotheconvergencelayerequipmentthroughthetechnicalcombinationofMSTP+VRRP.Theconvergencelayerequipment,asthegatewayofeachdepartmentnetwork,shouldreasonablyplantheMSTPinstancetoguidetheflowofeachdepartmenttothedifferentconvergencegatewayequipment.Thelinkbandwidthbetweentheconvergenceequipmentandthecoreequipmentshouldbeimprovedthroughmanuallinkaggregation,deployOSPF,manuallyguidetraffictothehighbandwidthaggregationlinkbymodifyingOSPFcostvalue;astheexportgatewayequipmentofthecompany,deploydualmachinehotstandbytechnologytoensurethatthecompanywillnothaveasinglepointoffailurewhenaccessingInternetbusiness.Keywords:enterprisenetwork,three-tiernetworkstructure,redundantbackup目錄TOC\h\z\t"標(biāo)題1,1,父標(biāo)題,2,子標(biāo)題,3"第1章 緒論 11.1 項(xiàng)目背景 11.2 項(xiàng)目研究意義 11.3 本課題研究的內(nèi)容 11.4 論文的組織結(jié)構(gòu) 2第2章 需求分析 32.1 用戶需求分析 32.2 功能需求分析 32.3 本章小結(jié) 4第3章 網(wǎng)絡(luò)邏輯設(shè)計(jì) 53.1 佛山傳媒辦公網(wǎng)絡(luò)建設(shè)原則 53.2 佛山傳媒辦公網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì) 63.3 設(shè)備選型 83.4 公司網(wǎng)絡(luò)規(guī)劃建設(shè) 93.5 本章小結(jié) 10第4章 網(wǎng)絡(luò)實(shí)施方案 114.1 公司匯聚網(wǎng)絡(luò)技術(shù)實(shí)施應(yīng)用 114.1.1 VLAN 114.1.2 MSTP 114.1.3 VRRP 134.1.4 DHCP 144.2 公司骨干網(wǎng)絡(luò)技術(shù)實(shí)施應(yīng)用 154.3 公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)技術(shù)實(shí)施應(yīng)用 174.3.1 防火墻雙機(jī)熱備 174.3.2 雙出口網(wǎng)關(guān)與防火墻雙機(jī)熱備的實(shí)施 184.3.3 缺省路由配合IP-LINK鏈路檢測(cè) 194.3.4 防火墻安全策略與NAT策略 204.4 公司總部與分部的主備IPSecVPN搭建 234.5 公司總部與香港服務(wù)器的L2TPVPN搭建 274.6 本章總結(jié) 29第5章 網(wǎng)絡(luò)測(cè)試 305.1 公司匯聚網(wǎng)絡(luò)測(cè)試 305.1.1 MSTP+VRRP的應(yīng)用測(cè)試 305.1.2 DHCP的應(yīng)用測(cè)試 315.2 公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)測(cè)試 325.2.1 公司內(nèi)網(wǎng)訪問(wèn)互聯(lián)網(wǎng)測(cè)試 325.2.2 防火墻雙機(jī)熱備的應(yīng)用測(cè)試 325.2.3 缺省路由配合IP-LINK鏈路檢測(cè)測(cè)試 335.3 總部與分部的主備IPSecVPN通信測(cè)試 345.4 總部通過(guò)L2TPVPN隧道訪問(wèn)國(guó)際網(wǎng)站測(cè)試 365.5 本章總結(jié) 38總結(jié) 39參考文獻(xiàn) 40致謝 41緒論項(xiàng)目背景佛山傳媒有限公司，是一家集廣告、銷(xiāo)售、電商及物流、印刷、系列媒體經(jīng)營(yíng)業(yè)務(wù)及文化產(chǎn)業(yè)投資業(yè)務(wù)的文化傳媒公司。其中在佛山南海區(qū)、順德區(qū)、三水區(qū)、高明區(qū)設(shè)有分部。禪城區(qū)作為集團(tuán)總部所在地，新建大廈作為總部的辦公核心機(jī)構(gòu)，其中總部擁有員工818名。項(xiàng)目研究意義考慮到報(bào)社資金、報(bào)社計(jì)算機(jī)應(yīng)用的現(xiàn)狀、報(bào)社教職員的現(xiàn)有水平以及網(wǎng)絡(luò)建設(shè)和應(yīng)用系統(tǒng)開(kāi)發(fā)的固有規(guī)律，針對(duì)上述實(shí)際情況，將會(huì)建設(shè)一個(gè)以辦公自動(dòng)化、計(jì)算機(jī)輔助、現(xiàn)代計(jì)算機(jī)新大樓辦公文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋全校主要樓宇的新大樓辦公主干網(wǎng)絡(luò)，將報(bào)社的各種PC機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來(lái)，并與有關(guān)廣域網(wǎng)相連，在網(wǎng)上宣傳自己和獲取Internet網(wǎng)上的教育資源。形成結(jié)構(gòu)合理、內(nèi)外溝通的新大樓辦公計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，在此基礎(chǔ)上建立能滿足科研和管理工作需要的軟硬件環(huán)境，開(kāi)發(fā)各類(lèi)信息庫(kù)和應(yīng)用系統(tǒng)，為報(bào)社各類(lèi)人員提供充分的網(wǎng)絡(luò)信息服務(wù)。系統(tǒng)總體設(shè)計(jì)將本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性，同時(shí)具有良好的開(kāi)放性、可擴(kuò)展性。我公司始終本著為報(bào)社著想，合理使用建設(shè)資金，使系統(tǒng)經(jīng)濟(jì)可行，功能強(qiáng)大。本課題研究的內(nèi)容本課題以佛山傳媒公司作為研究對(duì)象，結(jié)合公司對(duì)網(wǎng)絡(luò)建設(shè)的需求和企業(yè)網(wǎng)絡(luò)建設(shè)中所采用的主流協(xié)議技術(shù)進(jìn)行分析，通過(guò)華為設(shè)備的技術(shù)與配置來(lái)規(guī)劃和實(shí)現(xiàn)佛山傳媒公司網(wǎng)絡(luò)的建設(shè)，其中涉及到的路由交換技術(shù)和安全技術(shù)都是在企業(yè)網(wǎng)絡(luò)建設(shè)中普遍采用的主流技術(shù)，如數(shù)據(jù)交換和安全技術(shù)中的VLAN、MSTP、VRRP、鏈路聚合、DHCP、OSPF、防火墻雙機(jī)熱備、IP-LINK鏈路檢測(cè)、VGMP、NAT、防火墻的安全策略和NAT策略、ACL、IPSecVPN、L2TPVPN等，如何將上面的協(xié)議技術(shù)結(jié)合應(yīng)用到佛山傳媒公司網(wǎng)絡(luò)的建設(shè)是本課題研究的內(nèi)容。論文的組織結(jié)構(gòu)本論文共由5個(gè)章節(jié)組成，主要內(nèi)容及結(jié)構(gòu)安排如下：緒論，主要介紹了公司的背景、項(xiàng)目研究意義和項(xiàng)目研究?jī)?nèi)容。公司網(wǎng)絡(luò)系統(tǒng)需求分析，結(jié)合佛山傳媒公司對(duì)企業(yè)網(wǎng)絡(luò)的建設(shè)需求，參考業(yè)界對(duì)企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)的建議進(jìn)行分析。公司網(wǎng)絡(luò)邏輯設(shè)計(jì)，根據(jù)公司網(wǎng)絡(luò)的需求分析，對(duì)公司網(wǎng)絡(luò)進(jìn)行邏輯設(shè)計(jì)，包括公司網(wǎng)絡(luò)拓?fù)湟?guī)劃、設(shè)備選型、系統(tǒng)原則等方面進(jìn)行規(guī)劃。具體實(shí)施方案，按公司需求分析進(jìn)行設(shè)計(jì)，將VLAN、MSTP、VRRP、鏈路聚合、DHCP、OSPF、防火墻雙機(jī)熱備、IP-LINK鏈路檢測(cè)、VGMP、NAT、防火墻安全策略、防火墻NAT策略、ACL、IPSecVPN、L2TPVPN等技術(shù)運(yùn)用到公司網(wǎng)絡(luò)設(shè)計(jì)中。網(wǎng)絡(luò)測(cè)試，對(duì)網(wǎng)絡(luò)設(shè)計(jì)技術(shù)實(shí)施方案進(jìn)行測(cè)試，保證公司網(wǎng)絡(luò)穩(wěn)定工作。需求分析用戶需求分析設(shè)計(jì)一個(gè)網(wǎng)絡(luò)，首先要為用戶分析目前面臨的主要問(wèn)題，確定用戶對(duì)網(wǎng)絡(luò)的真正需求，并在結(jié)合未來(lái)可能的發(fā)展要求的基礎(chǔ)上選擇、設(shè)計(jì)合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，提供用戶滿意的高質(zhì)服務(wù)。網(wǎng)絡(luò)在佛山傳媒日常辦公環(huán)境中起著至關(guān)重要的作用，新大樓辦公網(wǎng)的運(yùn)作模式會(huì)帶來(lái)大量動(dòng)態(tài)的www應(yīng)用數(shù)據(jù)傳輸，會(huì)有相當(dāng)一部分應(yīng)用的主服務(wù)器有高速接入網(wǎng)絡(luò)的需求（目前為100/1000Mbps，今后可會(huì)更高）。這就要求網(wǎng)絡(luò)有足夠的主干帶寬和擴(kuò)展能力。除上述考慮外，還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開(kāi)，所以建成后新大樓辦公網(wǎng)應(yīng)能提供多個(gè)網(wǎng)段的劃分和隔離，并能做到靈活改變配置，以適應(yīng)辦公環(huán)境的調(diào)整和變化，及實(shí)現(xiàn)移動(dòng)辦公的要求。按目前通常的考慮，建議數(shù)據(jù)信息點(diǎn)的接入以交換1000Mbps以太網(wǎng)端口接入為主，以供帶寬需求較高用戶或應(yīng)用使用。整個(gè)方案設(shè)計(jì)的目的是建設(shè)一個(gè)集數(shù)據(jù)傳輸和備份、OA應(yīng)用和Internet訪問(wèn)等于一體的高可靠、高性能的寬帶多媒體新大樓辦公網(wǎng)。功能需求分析佛山傳媒有限公司總部將按照標(biāo)準(zhǔn)的網(wǎng)絡(luò)三層設(shè)計(jì)原則對(duì)企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行設(shè)計(jì)。通過(guò)對(duì)總部的網(wǎng)絡(luò)進(jìn)行需求分析，其中總部共設(shè)有四大部門(mén)，分別是行政部、銷(xiāo)售部、財(cái)政部和辦公綜合部，針對(duì)總部情況，有以下幾點(diǎn)要求：根據(jù)需要，對(duì)總部不同部門(mén)的IP地址段和VLAN進(jìn)行劃分，并列出詳細(xì)的規(guī)劃表。為了進(jìn)一步提高終端設(shè)備訪問(wèn)網(wǎng)絡(luò)的穩(wěn)定性，確保冗余性，所以接入層到匯聚層采用MSTP+VRRP的解決方案。匯聚層作為接入層和核心層的中介，在企業(yè)網(wǎng)絡(luò)中有著承上啟下的作用，在這里匯聚層設(shè)備與核心層設(shè)備采用OSPF的解決方案，利用鏈路狀態(tài)路由協(xié)議的特點(diǎn)，實(shí)現(xiàn)匯聚到核心層的冗余性。防火墻作為公司網(wǎng)關(guān)出口設(shè)備，為了避免單點(diǎn)故障導(dǎo)致公司無(wú)法訪問(wèn)互聯(lián)網(wǎng)，在這里采用雙防火墻的主備雙機(jī)熱備解決方案。為了避免運(yùn)營(yíng)商出現(xiàn)光纖故障、上聯(lián)機(jī)房設(shè)備故障等問(wèn)題導(dǎo)致公司無(wú)法訪問(wèn)互聯(lián)網(wǎng)所造成的工作和經(jīng)濟(jì)上的影響，公司分別向中國(guó)電信和中國(guó)聯(lián)通租用了ISP線路，實(shí)現(xiàn)互聯(lián)網(wǎng)線路的主備冗余，但為了充分利用資源，公司會(huì)同時(shí)使用兩條線路進(jìn)行互聯(lián)網(wǎng)的訪問(wèn)，如果其中一條線路發(fā)生故障，網(wǎng)關(guān)設(shè)備也可以通過(guò)IP-LINK檢測(cè)自動(dòng)平滑地切換到另外一條線路。公司設(shè)有四個(gè)分部，分別是南海分部、順德分部、三水分部和高明分部。公司要求實(shí)現(xiàn)總部與分部的互聯(lián)互通，在這里將采用搭建IPSecVPN的方式進(jìn)行解決。公司總部對(duì)國(guó)際網(wǎng)站有訪問(wèn)的需求，但因?yàn)楦鞣N原因?qū)е聼o(wú)法訪問(wèn)或訪問(wèn)緩慢，在這里總部購(gòu)買(mǎi)了運(yùn)營(yíng)商的服務(wù)，與運(yùn)營(yíng)商香港服務(wù)器搭建L2TPVPN，通過(guò)域名訪問(wèn)方式訪問(wèn)國(guó)際網(wǎng)站。本章小結(jié)通過(guò)對(duì)佛山傳媒公司網(wǎng)絡(luò)建設(shè)的需求分析可以得出，如何保證辦公網(wǎng)絡(luò)的高效性、可靠性和冗余性是非常需要重視的問(wèn)題，因此針對(duì)需求如何更好地進(jìn)行公司網(wǎng)絡(luò)的規(guī)劃和技術(shù)實(shí)施，是我們要研究的方向。網(wǎng)絡(luò)邏輯設(shè)計(jì)佛山傳媒辦公網(wǎng)絡(luò)建設(shè)原則隨著現(xiàn)代計(jì)算機(jī)應(yīng)用的高速發(fā)展，特別是諸如圖形、語(yǔ)音、視頻等多媒體信息和技術(shù)在管理信息系統(tǒng)、科研設(shè)計(jì)等領(lǐng)域的廣泛應(yīng)用，為網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)提出了更高的要求。為了更好地滿足用戶的需求，保證系統(tǒng)能正常穩(wěn)定運(yùn)行，在較長(zhǎng)的時(shí)間內(nèi)不落后，在本網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì)中，我們認(rèn)為應(yīng)當(dāng)把握以下幾個(gè)原則：1、穩(wěn)定性只有運(yùn)行穩(wěn)定的網(wǎng)絡(luò)才是可靠的網(wǎng)絡(luò)，而網(wǎng)絡(luò)的可靠運(yùn)行取決于諸多因素，如網(wǎng)絡(luò)的設(shè)計(jì)，產(chǎn)品的可靠，而選擇一個(gè)具有運(yùn)營(yíng)此類(lèi)網(wǎng)絡(luò)規(guī)模經(jīng)驗(yàn)的網(wǎng)絡(luò)合作廠商則更為重要。要求有物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的備份技術(shù)。2、高帶寬為了支持?jǐn)?shù)據(jù)、話音、視像多媒體的傳輸能力，在技術(shù)上要到達(dá)當(dāng)前的國(guó)際先進(jìn)水平。要采用最先進(jìn)的網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務(wù)需求，又要充分考慮未來(lái)的發(fā)展。為此應(yīng)選用高帶寬的先進(jìn)技術(shù)。3、先進(jìn)性網(wǎng)絡(luò)硬件、軟件平臺(tái)的先進(jìn)性，要注意選擇性能價(jià)格比好的先進(jìn)技術(shù)和硬件和軟件組網(wǎng)，保證系統(tǒng)的基礎(chǔ)環(huán)境十年不落后。4、標(biāo)準(zhǔn)性和開(kāi)放性選擇統(tǒng)一性的網(wǎng)絡(luò)結(jié)構(gòu)與軟件硬件平臺(tái)，有利于系統(tǒng)的建立與開(kāi)發(fā)。制定信息管理的規(guī)范，在報(bào)社領(lǐng)導(dǎo)下，組織有關(guān)人員對(duì)管理信息系統(tǒng)進(jìn)行系統(tǒng)分析，制定數(shù)據(jù)流圖和數(shù)據(jù)結(jié)構(gòu)，為信息系統(tǒng)的開(kāi)發(fā)奠定基礎(chǔ)。為了實(shí)現(xiàn)與各種網(wǎng)絡(luò)互訪的要求，要選擇開(kāi)放的網(wǎng)絡(luò)體系結(jié)構(gòu)，既要選擇當(dāng)前的主流產(chǎn)品，又要具有開(kāi)放性，以利于今后的擴(kuò)充。5、可擴(kuò)展性系統(tǒng)要有可擴(kuò)展性和可升級(jí)性，隨著業(yè)務(wù)的增長(zhǎng)和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長(zhǎng)，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。易擴(kuò)展不僅僅指設(shè)備端口的擴(kuò)展，還指網(wǎng)絡(luò)結(jié)構(gòu)的易擴(kuò)展性：即只有在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)合理的情況下，新的網(wǎng)絡(luò)節(jié)點(diǎn)才能方便地加入已有網(wǎng)絡(luò)；網(wǎng)絡(luò)協(xié)議的易擴(kuò)展：無(wú)論是選擇第三層網(wǎng)絡(luò)路由協(xié)議，還是規(guī)劃第二層虛擬網(wǎng)的劃分，都應(yīng)注意其擴(kuò)展能力。6、容易控制管理因?yàn)樯暇W(wǎng)用戶很多，如何管理好他們的通信，做到既保證一定的用戶通信質(zhì)量，又合理的利用網(wǎng)絡(luò)資源，是建好一個(gè)網(wǎng)絡(luò)所面臨的首要問(wèn)題。7、經(jīng)濟(jì)性充分利用原有的軟件、硬件資源，減少投資浪費(fèi)，做到高性能價(jià)格比。8、安全性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性，保證數(shù)據(jù)的安全及網(wǎng)絡(luò)使用的安全。由于佛山傳媒網(wǎng)絡(luò)連接園區(qū)內(nèi)部所有用戶，安全管理十分重要。應(yīng)支持VLAN的劃分，并能在VLAN之間進(jìn)行第三層交換時(shí)進(jìn)行有效的安全控制，以保證系統(tǒng)的安全性。9、符合IP發(fā)展趨勢(shì)的網(wǎng)絡(luò)在當(dāng)前任何一個(gè)提供服務(wù)的網(wǎng)絡(luò)中，對(duì)IP的支持服務(wù)是最普遍的，而IP技術(shù)本身又處在發(fā)展變化中，如IpV6，IPQoS，IPOverSONET等等新興的技術(shù)不斷出現(xiàn)，佛山傳媒新大樓辦公網(wǎng)絡(luò)必須跟緊IP發(fā)展的步伐，也就是必須選擇處于IP發(fā)展領(lǐng)導(dǎo)地位的網(wǎng)絡(luò)廠商。在后面的網(wǎng)絡(luò)技術(shù)選型和系統(tǒng)方案中，以上設(shè)計(jì)原則和思想都將會(huì)被貫徹始終。佛山傳媒辦公網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)佛山傳媒辦公網(wǎng)絡(luò)采用三層網(wǎng)絡(luò)設(shè)計(jì)，整體的網(wǎng)絡(luò)拓?fù)淙缦聢D所示：圖STYLEREF1\s3SEQ圖\*ARABIC\s11佛山傳媒公司整體網(wǎng)絡(luò)拓?fù)湟?guī)劃雙出口網(wǎng)關(guān)網(wǎng)絡(luò)拓?fù)鋱D如下所示，公司分別向聯(lián)通和電信申請(qǐng)了一條互聯(lián)網(wǎng)線路，但運(yùn)營(yíng)商并不會(huì)為公司給出兩條鏈路讓公司網(wǎng)絡(luò)接入到互聯(lián)網(wǎng)，所以在這里需要用到兩臺(tái)交換機(jī)分別對(duì)接聯(lián)通和電信線路，并從交換機(jī)上引出兩條鏈路下接到公司的兩臺(tái)出口網(wǎng)關(guān)防火墻設(shè)備上：圖STYLEREF1\s3SEQ圖\*ARABIC\s12佛山傳媒公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)拓?fù)涔歉删W(wǎng)絡(luò)拓?fù)鋱D如下所示，骨干網(wǎng)絡(luò)要保證高效性、冗余性和可靠性，是公司網(wǎng)絡(luò)的樞紐中心，所以在防火墻到核心交換機(jī)、核心交換機(jī)到匯聚交換機(jī)之間使用手工鏈路聚合技術(shù)，提高鏈路帶寬，并通過(guò)在骨干網(wǎng)絡(luò)中部署OSPF確保公司骨干網(wǎng)絡(luò)的全互聯(lián)，由于部分鏈路并沒(méi)有使用鏈路聚合，僅作為備份，所以需要通過(guò)修改OSPF的cost值人為地引導(dǎo)流量走向聚合鏈路：圖STYLEREF1\s3SEQ圖\*ARABIC\s13佛山傳媒公司骨干網(wǎng)絡(luò)拓?fù)鋱D匯聚網(wǎng)絡(luò)拓?fù)鋱D如下所示，將公司各部門(mén)流量匯聚到匯聚設(shè)備上：圖STYLEREF1\s3SEQ圖\*ARABIC\s14佛山傳媒公司匯聚網(wǎng)絡(luò)拓?fù)鋱D設(shè)備選型接入層設(shè)備選擇使用華為5720S-52P-LI-AC，48個(gè)自適應(yīng)10/100/1000M以太網(wǎng)端口和4個(gè)千兆SFP。該設(shè)備支持STP/RSTP/MSTP等主流的生成樹(shù)協(xié)議，支持各種主流的VLAN特性，足夠滿足匯聚網(wǎng)絡(luò)中接入設(shè)備所使用到MSTP和VLAN技術(shù)。圖STYLEREF1\s3SEQ圖\*ARABIC\s15華為5720S-52P-LI-AC匯聚層和核心層都選擇使用華為S5735S-S32ST4X，8個(gè)自適應(yīng)10/100/1000M以太網(wǎng)端口、24個(gè)千兆SPF和4個(gè)萬(wàn)兆SFP。該設(shè)備支持STP/RSTP/MSTP等主流的生成樹(shù)協(xié)議，支持各種主流的VLAN特性，最重要的是可以支持OSPF協(xié)議等鏈路動(dòng)態(tài)協(xié)議，公司需要通過(guò)部署OSPF實(shí)現(xiàn)骨干網(wǎng)絡(luò)的全互聯(lián)，滿足骨干網(wǎng)絡(luò)建設(shè)需求。圖STYLEREF1\s3SEQ圖\*ARABIC\s16華為S5735S-S32ST4X出口網(wǎng)關(guān)設(shè)備選擇使用華為USG-6315E，2個(gè)萬(wàn)兆WAN口、2個(gè)萬(wàn)兆SFP口和8個(gè)GECombo口（千兆光電復(fù)用口）。該設(shè)備支持IPSecVPN、L2TPVPN等主流VPN技術(shù)，支持雙機(jī)熱備技術(shù)和IP-link檢測(cè)技術(shù)，滿足公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)建設(shè)需求：圖STYLEREF1\s3SEQ圖\*ARABIC\s17華為USG-6315E公司網(wǎng)絡(luò)規(guī)劃建設(shè)佛山傳媒公司總部一共設(shè)置了四個(gè)部門(mén)，分別是行政部、銷(xiāo)售部、財(cái)政部和辦公綜合部，其中辦公綜合部另外設(shè)置了IT部、綜合部、服務(wù)器管理和監(jiān)控管理；公司有四個(gè)分部、分別是南海分部、順德分部、三水分部和高明分部。針對(duì)公司上述情況，為不同分部和總部不同部門(mén)進(jìn)行IP網(wǎng)段和VLAN的規(guī)劃。公司總部各部門(mén)IP網(wǎng)段和vlan規(guī)劃：表STYLEREF1\s3SEQ表\*ARABIC\s11公司總部各部門(mén)IP網(wǎng)段和vlan規(guī)劃部門(mén)VLAN網(wǎng)段網(wǎng)關(guān)可分配地址數(shù)行政部10/2454251銷(xiāo)售部20/2454251財(cái)政部30/2454251IT部40/2454251服務(wù)器網(wǎng)絡(luò)50/2454251監(jiān)控網(wǎng)絡(luò)60/2454251綜合部72/22541020公司各分部IP網(wǎng)段和vlan規(guī)劃：表STYLEREF1\s3SEQ表\*ARABIC\s12公司各分部IP網(wǎng)段和vlan規(guī)劃分部VLAN網(wǎng)段網(wǎng)關(guān)可分配地址數(shù)南海80/22541022順德88/22541022三水96/22541022高明104/22541022本章小結(jié)通過(guò)對(duì)公司辦公網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)，其中包括針對(duì)網(wǎng)絡(luò)技術(shù)需求進(jìn)行設(shè)備選型和辦公網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)，在對(duì)公司網(wǎng)絡(luò)拓?fù)渲械膮R聚網(wǎng)絡(luò)、骨干網(wǎng)絡(luò)和雙出口網(wǎng)關(guān)網(wǎng)絡(luò)進(jìn)行了較為詳細(xì)的分析，并根據(jù)公司實(shí)際情況，對(duì)公司各部門(mén)進(jìn)行了VLAN和IP地址網(wǎng)段的規(guī)劃，為后續(xù)的網(wǎng)絡(luò)實(shí)施方案做好充分的準(zhǔn)備，確保該項(xiàng)目方案能夠順利地進(jìn)行。網(wǎng)絡(luò)實(shí)施方案公司匯聚網(wǎng)絡(luò)技術(shù)實(shí)施應(yīng)用VLAN在我們規(guī)劃一個(gè)網(wǎng)絡(luò)時(shí)，應(yīng)該始終關(guān)注網(wǎng)絡(luò)中的廣播域的大小，采用適當(dāng)?shù)募夹g(shù)將一個(gè)大的廣播域切割成若干個(gè)小的單元，在這里，我們采用VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)技術(shù)）技術(shù)，結(jié)合佛山傳媒公司對(duì)于網(wǎng)絡(luò)建設(shè)的需求，我們對(duì)公司各部門(mén)和各部門(mén)下屬分支設(shè)置了不同的VLAN。在這里采用VLAN可以隔絕廣播，減少公司網(wǎng)絡(luò)的廣播流量，提高公司網(wǎng)絡(luò)的穩(wěn)定性，在部署VLAN時(shí)也使得在規(guī)劃辦公網(wǎng)絡(luò)時(shí)更加靈活，提高了公司網(wǎng)絡(luò)的可管理性，極大地方便了網(wǎng)絡(luò)管理和維護(hù)。佛山傳媒公司各部門(mén)和各部門(mén)下屬分支規(guī)劃了不同的VLAN和IP網(wǎng)段，在接入交換機(jī)采用基于端口劃分VLAN的方式進(jìn)行配置，比如接入交換機(jī)的G0/0/11劃分給了行政部（VLAN10），G0/0/12劃分給了銷(xiāo)售部（VLAN20）、G0/0/13劃分給了財(cái)政部（VLAN30）、G0/0/14劃分給了IT部（VLAN40）、G0/0/15劃分給了綜合部（VLAN72），然后通過(guò)下聯(lián)傻瓜交換機(jī)將各VLAN接入到匯聚網(wǎng)絡(luò)中的接入交換機(jī)上。MSTP在佛山傳媒公司網(wǎng)絡(luò)中，我們會(huì)部署冗余的設(shè)備和冗余的鏈路，從而使公司業(yè)務(wù)流量在故障發(fā)生時(shí)通過(guò)冗余的設(shè)備及冗余的鏈路進(jìn)行轉(zhuǎn)發(fā)。我們?cè)趨R聚網(wǎng)絡(luò)中采用生成樹(shù)協(xié)議，來(lái)實(shí)現(xiàn)設(shè)備和鏈路的冗余，其中：生成樹(shù)協(xié)議能消除二層環(huán)路，通過(guò)部署生成樹(shù)協(xié)議，當(dāng)交換網(wǎng)絡(luò)存在環(huán)路時(shí)，交換機(jī)之間會(huì)通過(guò)交互BPDU報(bào)文進(jìn)行一系列的計(jì)算，將生成樹(shù)會(huì)將網(wǎng)絡(luò)中的一個(gè)接口或多個(gè)接口進(jìn)行阻塞，形成一個(gè)無(wú)環(huán)的交換網(wǎng)絡(luò)。生成樹(shù)協(xié)議能夠備份鏈路，當(dāng)活動(dòng)路徑發(fā)生故障時(shí)，激活備份鏈路，及時(shí)恢復(fù)網(wǎng)絡(luò)連通性。目前華為支持三種生成樹(shù)協(xié)議，分別是：STP、RSTP和MSTP。在這里我們選擇MSTP作為實(shí)施公司匯聚網(wǎng)絡(luò)的技術(shù)，而不選擇STP和RSTP，因?yàn)椋篠TP和RSTP會(huì)導(dǎo)致公司匯聚網(wǎng)絡(luò)無(wú)法實(shí)現(xiàn)流量分擔(dān)，因?yàn)樯蓸?shù)協(xié)議的特性，在經(jīng)過(guò)計(jì)算后會(huì)阻塞一個(gè)接口或多個(gè)接口，從而導(dǎo)致被阻塞的鏈路無(wú)法轉(zhuǎn)發(fā)流量，造成鏈路的浪費(fèi)。STP和RSTP會(huì)導(dǎo)致公司匯聚網(wǎng)絡(luò)產(chǎn)生次優(yōu)二層路徑。所以，選擇MSTP作為公司匯聚網(wǎng)絡(luò)實(shí)施的技術(shù)，將徹底解決以上存在的不足。MSTP，也稱(chēng)為多實(shí)例生成樹(shù)協(xié)議，MSTP兼容STP和RSTP，既可以快速收斂，又提供了數(shù)據(jù)轉(zhuǎn)發(fā)的各個(gè)冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中實(shí)現(xiàn)VLAN數(shù)據(jù)的負(fù)載均衡。一個(gè)MST域內(nèi)可以生成多顆生成樹(shù)，每顆生成樹(shù)都稱(chēng)為一個(gè)MSTI（實(shí)例），每個(gè)MSTI都是使用單獨(dú)的RSTP算法，計(jì)算單獨(dú)的生成樹(shù)。在公司匯聚網(wǎng)絡(luò)中，一共設(shè)置了兩個(gè)實(shí)例，分別是instance10和instance20。其中instance10映射VLAN10、VLAN20、VLAN30、VLAN40，instance20映射VLAN72；匯聚交換機(jī)LSW7作為instance10的主根橋，instance20的備根橋，匯聚交換機(jī)LSW8作為instance20的主根橋，instance10的備根橋。通過(guò)以上的規(guī)劃，使得行政部、銷(xiāo)售部、財(cái)政部和IT部的流量都由交換機(jī)LSW7來(lái)承擔(dān)，綜合部的流量由LSW8來(lái)承擔(dān)，實(shí)現(xiàn)流量的負(fù)載分擔(dān)，一旦發(fā)生鏈路故障或者設(shè)備故障，MSTP也能通過(guò)端口角色的快速切換和P/A機(jī)制快速收斂網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)的冗余性。在這里以LSW7交換機(jī)中作為配置舉例，用圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s11LSW7交換機(jī)MSTP配置示例VRRP在佛山傳媒公司網(wǎng)絡(luò)中，匯聚交換機(jī)作為各接入部門(mén)的網(wǎng)關(guān)設(shè)備，因?yàn)椴捎肕STP的原因，如果其中匯聚設(shè)備LSW7發(fā)生了故障，那么將會(huì)觸發(fā)MSTP的收斂計(jì)算，MSTP會(huì)將發(fā)往故障設(shè)備LSW7的流量切換到備的匯聚交換機(jī)LSW8，但是如果LSW8并沒(méi)有行政部、銷(xiāo)售部、財(cái)政部和IT部的網(wǎng)關(guān)，那么將會(huì)造成單網(wǎng)關(guān)故障，使得行政部、銷(xiāo)售部、財(cái)政部和IT部的流量都無(wú)法發(fā)往internet，所以，為了解決上述的問(wèn)題，我們?cè)谶@里采用VRRP（虛擬路由冗余協(xié)議）技術(shù)。LSW7和LSW8作為各接入部門(mén)的網(wǎng)關(guān)設(shè)備，其中LSW7是行政部、銷(xiāo)售部、財(cái)政部和IT部的主設(shè)備，LSW8是綜合部的主設(shè)備，所以我們?cè)贚SW7和LSW8分別以各部門(mén)VLAN號(hào)作為VRRP的進(jìn)程號(hào)，配合MSTP，設(shè)置不同MSTP實(shí)例下不同匯聚交換機(jī)的不同VRRP進(jìn)程的優(yōu)先級(jí)。下面將以交換機(jī)LSW7的instance10作為舉例：在instance10中，LSW7作為行政部的主交換機(jī)，于是在LSW7的vlanif10接口下根據(jù)行政部的VLAN號(hào)10設(shè)置了進(jìn)程號(hào)為10的VRRP，VRRP優(yōu)先級(jí)設(shè)置為120，虛擬的網(wǎng)關(guān)地址為規(guī)劃的54，vlanif10的接口地址設(shè)置為52，然后在LSW8的vlanif10接口下，配置接口地址為53，設(shè)置進(jìn)程號(hào)為10的VRRP，VRRP優(yōu)先級(jí)為默認(rèn)的100，虛擬的網(wǎng)關(guān)地址為規(guī)劃的54，銷(xiāo)售部、財(cái)政部和IT部均按照以上操作執(zhí)行。綜合部將LSW7作為備交換機(jī)，所以在LSW7的instance10中，在LSW7的vlanif72接口下根據(jù)綜合部的VLAN號(hào)72設(shè)置了進(jìn)程號(hào)為72的VRRP，VRRP優(yōu)先級(jí)為默認(rèn)的100，虛擬的網(wǎng)關(guān)地址為規(guī)劃的54，vlanif72的接口地址設(shè)置為52，然后在LSW8的vlanif10接口下，配置接口地址為53，設(shè)置進(jìn)程號(hào)為70的VRRP，VRRP優(yōu)先級(jí)為默認(rèn)的120，虛擬的網(wǎng)關(guān)地址為規(guī)劃的54。在設(shè)置完VRRP后，如果當(dāng)主交換機(jī)發(fā)生了故障，那么VRRP將備交換機(jī)切換為主交換機(jī)，實(shí)現(xiàn)故障交換機(jī)的流量能通過(guò)備交換機(jī)轉(zhuǎn)發(fā)出去，但此時(shí)如果匯聚交換機(jī)LSW7和LSW8的上行鏈路Down掉了，那么VRRP并不會(huì)進(jìn)行切換，那么發(fā)往Internet的流量將會(huì)丟失，另外如果是下行鏈路Down掉了，VRRP也并不會(huì)進(jìn)行切換，此時(shí)會(huì)觸發(fā)MSTP端口角色的切換和計(jì)算，將流量從切換角色后的端口進(jìn)行轉(zhuǎn)發(fā)，造成次優(yōu)路徑，為了解決以上的問(wèn)題，在這里我們配置VRRP的鏈路聯(lián)動(dòng)功能，用來(lái)監(jiān)測(cè)上行鏈路或者下行鏈路的情況，一旦出現(xiàn)了鏈路故障，那么VRRP將會(huì)發(fā)現(xiàn)并減少VRRP的優(yōu)先級(jí)，完成主備交換機(jī)的切換。在這里以LSW7交換機(jī)中instance10實(shí)例里的行政部VLAN10作為配置舉例，用圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s12VRRP10的配置示例DHCP佛山傳媒公司共有員工818名，假設(shè)為每名員工配上辦公電腦，如果通過(guò)手工配置IP的方式來(lái)為每臺(tái)辦公電腦配置靜態(tài)地址的話，那么這將是很大的工作量，而且將會(huì)使得IP地址資源不能得到充分利用，造成浪費(fèi)。所以，在這里我們采用DHCP的方式為公司各部門(mén)的辦公設(shè)備分配地公司骨干網(wǎng)路技術(shù)實(shí)施應(yīng)用。結(jié)合公司匯聚網(wǎng)絡(luò)的情況，匯聚交換機(jī)LSW7和LSW8作為各部門(mén)的網(wǎng)關(guān)設(shè)備，且通過(guò)MSTP+VRRP的技術(shù)搭配實(shí)現(xiàn)了匯聚交換機(jī)設(shè)備和鏈路的冗余性，我們決定在兩臺(tái)匯聚交換機(jī)都設(shè)置各部門(mén)的DHCP地址池，但這樣做會(huì)存在問(wèn)題，比如當(dāng)主交換機(jī)LSW7發(fā)生了故障，VRRP進(jìn)程會(huì)將備交換機(jī)LSW8切換為主交換機(jī)，那么行政部的流量都會(huì)通往LSW8，如果此時(shí)行政部有還未獲取到地址的終端設(shè)備接入到網(wǎng)絡(luò)，那么LSW8的行政部地址池會(huì)為該終端設(shè)備分配一個(gè)地址，由于LSW7和LSW8的DHCP是冷備DHCP，LSW8并不知道LSW7分配出去了什么地址，所以可能會(huì)出現(xiàn)IP地址沖突的問(wèn)題。為了避免以上的問(wèn)題，我們?cè)贚SW7和LSW8設(shè)置好各部門(mén)的地址池后，也要設(shè)置好禁止分配的地址，以綜合部為例，LSW8作為綜合部的主交換機(jī)，在LSW8上設(shè)置名稱(chēng)為vlan72的地址池，分配的地址范圍是/22，禁止分配的地址為到55，LSW7作為綜合部的備交換機(jī)，在LSW7上設(shè)置名稱(chēng)為vlan72的地址池，分配的地址范圍是/22，禁止分配的地址為到53。在這里以交換機(jī)LSW7和LSW8上的vlan72地址池作為配置舉例，用圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s13主交換機(jī)LSW8上的vlan10地址池配置圖STYLEREF1\s4SEQ圖\*ARABIC\s14備交換機(jī)LSW7上的vlan10地址池配置公司骨干網(wǎng)絡(luò)技術(shù)實(shí)施應(yīng)用佛山傳媒公司的骨干網(wǎng)絡(luò)對(duì)于整個(gè)公司的網(wǎng)絡(luò)而言起著至關(guān)重要的作用，骨干網(wǎng)絡(luò)要保證高效性、冗余性和可靠性，是公司網(wǎng)絡(luò)的樞紐中心。在公司的骨干網(wǎng)絡(luò)中，由2臺(tái)出口網(wǎng)關(guān)防火墻設(shè)備FW1、FW2和2臺(tái)核心交換機(jī)LSW9、LSW10還有2臺(tái)匯聚交換機(jī)LSW7、LSW8組成。由于骨干網(wǎng)絡(luò)承載著公司各部門(mén)的業(yè)務(wù)路由，路由數(shù)目相對(duì)較多，如果在這里采用靜態(tài)路由的方式來(lái)寫(xiě)骨干網(wǎng)絡(luò)的路由，那么將會(huì)導(dǎo)致骨干網(wǎng)絡(luò)的配置變得繁重，也難以適應(yīng)以后公司對(duì)骨干網(wǎng)絡(luò)的升級(jí)，而且一旦骨干網(wǎng)絡(luò)的某臺(tái)設(shè)備發(fā)生故障，靜態(tài)路由也并不能感知到網(wǎng)絡(luò)發(fā)生了故障，造成流量的丟失。為了更好的解決上述的問(wèn)題，在這里我們采用了鏈路動(dòng)態(tài)協(xié)議OSPF技術(shù)來(lái)進(jìn)行實(shí)施。OSPF（開(kāi)放式最短路徑優(yōu)先）作為鏈路動(dòng)態(tài)協(xié)議中的一種技術(shù)，通過(guò)鏈路狀態(tài)數(shù)據(jù)庫(kù)的鏈路狀態(tài)信息（LSA），計(jì)算出OSPF的路由表，實(shí)現(xiàn)公司骨干網(wǎng)絡(luò)的全互聯(lián)。得益于鏈路狀態(tài)路由協(xié)議的特點(diǎn)，即使設(shè)備或者鏈路發(fā)生了故障，OSPF也能重新收斂網(wǎng)絡(luò)，將流量切換到其他的鏈路上，避免了流量的丟失，保證了骨干網(wǎng)絡(luò)的高效性、可靠性和冗余性。由于骨干網(wǎng)絡(luò)通過(guò)路由進(jìn)行轉(zhuǎn)發(fā)，所以要關(guān)閉交換機(jī)的生成樹(shù)功能，避免出現(xiàn)端口被阻塞無(wú)法建立OSPF鄰居狀態(tài)的情況發(fā)生。在這里以核心交換機(jī)LSW9作為基本的OSPF配置舉例，以圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s15基本的OSPF配置舉例在公司的骨干網(wǎng)絡(luò)配置OSPF時(shí)，我們將設(shè)備接口改為P2P的OSPF網(wǎng)絡(luò)類(lèi)型來(lái)建立各設(shè)備的OSPF鄰居關(guān)系，而不采用Broadcast的OSPF網(wǎng)絡(luò)類(lèi)型進(jìn)行建立，因?yàn)樵贐roadcast網(wǎng)絡(luò)類(lèi)型下，OSPF將會(huì)選舉DR/BDR，而在P2P網(wǎng)絡(luò)類(lèi)型下并不會(huì)選舉DR/BDR，很明顯的看出P2P網(wǎng)絡(luò)類(lèi)型的收斂速度要優(yōu)于Broadcast網(wǎng)絡(luò)類(lèi)型。要注意的是，骨干網(wǎng)絡(luò)所有設(shè)備都要將OSPF網(wǎng)絡(luò)類(lèi)型修改為P2P，如果存在部分設(shè)備接口是P2P網(wǎng)絡(luò)類(lèi)型，部分設(shè)備接口是Broadcast接口類(lèi)型的情況，雖然能建立關(guān)系，但不會(huì)交換LSA，導(dǎo)致無(wú)法計(jì)算OSPF路由。在這里以核心交換機(jī)LSW9作為OSPF網(wǎng)絡(luò)類(lèi)型修改配置舉例，以圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s16OSPF網(wǎng)絡(luò)類(lèi)型修改配置舉例交換機(jī)LSW7和LSW8作為匯聚網(wǎng)絡(luò)中的匯聚交換機(jī)，為了使骨干網(wǎng)絡(luò)擁有各部門(mén)的路由，匯聚交換機(jī)將各部門(mén)的路由發(fā)布到OSPF中。匯聚交換機(jī)下聯(lián)的交換機(jī)并不需要建立OSPF鄰居，但仍然會(huì)收到OSPF的hello報(bào)文，這很明顯是不必要的，而且也存在一定的危險(xiǎn)，如果公司內(nèi)網(wǎng)存在部分惡意客戶端通過(guò)偽造OSPFhello報(bào)文試圖建立OSPF鄰居關(guān)系，導(dǎo)致OSPF網(wǎng)絡(luò)多次收斂，這將會(huì)使骨干網(wǎng)絡(luò)變得不穩(wěn)定，造成嚴(yán)重的業(yè)務(wù)影響，所以，在匯聚交換機(jī)LSW7和LSW8中，對(duì)部分接口設(shè)置為silent-interface（OSPF靜默接口）。在這里以匯聚交換機(jī)LSW7作為配置舉例，以圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s17OSPF配置靜默接口配置舉例公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)技術(shù)實(shí)施應(yīng)用防火墻雙機(jī)熱備一般而言，我們都會(huì)使用防火墻作為企業(yè)園區(qū)網(wǎng)絡(luò)的出口網(wǎng)關(guān)設(shè)備，通過(guò)防火墻訪問(wèn)外網(wǎng)。當(dāng)防火墻設(shè)備出現(xiàn)了故障，那么訪問(wèn)外網(wǎng)的業(yè)務(wù)都會(huì)全部中斷，如果此時(shí)就僅僅只有一臺(tái)防火墻作為企業(yè)網(wǎng)絡(luò)的出口網(wǎng)關(guān)設(shè)備，無(wú)論該防火墻性能有多么的強(qiáng)勁，只要出現(xiàn)故障就會(huì)出現(xiàn)網(wǎng)絡(luò)出口網(wǎng)絡(luò)的單點(diǎn)故障，造成公司網(wǎng)絡(luò)的業(yè)務(wù)中斷，所以，在這里我們?yōu)榱吮ＷC網(wǎng)絡(luò)的可靠性和設(shè)備的冗余性，部署兩臺(tái)防火墻作為公司網(wǎng)絡(luò)的出口網(wǎng)絡(luò)設(shè)備。由于防火墻是基于連接狀態(tài)的，它會(huì)對(duì)于一條流量的首包進(jìn)行完整的檢測(cè)，并建立會(huì)話來(lái)記錄報(bào)文的狀態(tài)信息（包括：報(bào)文源IP、源端口、目的IP、目的端口、協(xié)議）。而這條流量的后續(xù)報(bào)文只有匹配會(huì)話才能通過(guò)防火墻且完成報(bào)文轉(zhuǎn)發(fā)，如果后續(xù)報(bào)恩不匹配會(huì)話則被防火墻丟棄。當(dāng)防火墻FW1出現(xiàn)故障，業(yè)務(wù)流量都會(huì)被引導(dǎo)到FW2，但由于FW2并沒(méi)有FW1的會(huì)話，導(dǎo)致業(yè)務(wù)報(bào)文無(wú)法找到會(huì)話而被FW2丟棄，導(dǎo)致公司業(yè)務(wù)中斷。所以，我們采用防火墻的主備備份方式的雙機(jī)熱備來(lái)解決上述的問(wèn)題，通過(guò)雙機(jī)熱備技術(shù)，防火墻之間的會(huì)話都是相互備份的，當(dāng)一臺(tái)防火墻發(fā)生了故障，后續(xù)的業(yè)務(wù)流量也能通過(guò)備防火墻進(jìn)行轉(zhuǎn)發(fā)，避免公司網(wǎng)絡(luò)業(yè)務(wù)的中斷。雙出口網(wǎng)關(guān)與防火墻雙機(jī)熱備的實(shí)施為了避免運(yùn)營(yíng)商出現(xiàn)光纖故障、上聯(lián)機(jī)房設(shè)備故障等問(wèn)題導(dǎo)致公司無(wú)法訪問(wèn)互聯(lián)網(wǎng)所造成的工作和經(jīng)濟(jì)上的影響，佛山傳媒公司分別向中國(guó)聯(lián)通和中國(guó)電信租用了兩條線路，且都各自申請(qǐng)了3個(gè)公網(wǎng)IP地址（聯(lián)通：-3，電信：-3）。由于運(yùn)營(yíng)商并不會(huì)給出兩條鏈路讓公司網(wǎng)絡(luò)接入到互聯(lián)網(wǎng)，所以在公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)中，我們使用兩臺(tái)傻瓜交換機(jī)分別對(duì)接電信和聯(lián)通的運(yùn)營(yíng)商設(shè)備，然后從傻瓜交換機(jī)上引出兩條物理鏈路分別下接到兩臺(tái)防火墻的上行接口上，然后開(kāi)始對(duì)公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)進(jìn)行實(shí)施：在防火墻上建立心跳線的安全區(qū)域，在這里將心跳線安全區(qū)域的安全等級(jí)設(shè)為75，并且放入防火墻的上行接口，配置圖如下：圖STYLEREF1\s4SEQ圖\*ARABIC\s18建立心跳線的安全區(qū)域在防火墻上配置VRRP組，其中FW1作為主防火墻，配置為Active：圖STYLEREF1\s4SEQ圖\*ARABIC\s19防火墻上配置VRRP組在FW1防火墻上配置心跳接口,并啟用雙機(jī)熱備，以FW1為例：圖STYLEREF1\s4SEQ圖\*ARABIC\s110防火墻上配置心跳接口,并啟用雙機(jī)熱備在FW2防火墻上按照以上步驟進(jìn)行配置。缺省路由配合IP-LINK鏈路檢測(cè)我們通過(guò)在公司的兩臺(tái)防火墻上寫(xiě)兩條通往不同運(yùn)營(yíng)商的缺省路由來(lái)訪問(wèn)互聯(lián)網(wǎng)。如果某個(gè)運(yùn)營(yíng)商的線路發(fā)生了故障，缺省路由并不會(huì)知道運(yùn)營(yíng)商線路發(fā)生了故障，防火墻仍然會(huì)把部分業(yè)務(wù)流量送往故障的運(yùn)營(yíng)商線路，導(dǎo)致部分業(yè)務(wù)流量丟失，為了避免出現(xiàn)這樣的問(wèn)題，我們通過(guò)將缺省路由綁定IP-LINK技術(shù)來(lái)檢測(cè)運(yùn)營(yíng)商線路是否出現(xiàn)了故障，一旦檢測(cè)到線路故障，那么被綁定的缺省路由將會(huì)失效，業(yè)務(wù)流量也會(huì)被切換到另外一條缺省路由上，保證公司網(wǎng)絡(luò)業(yè)務(wù)的可靠性。在這里以防火墻FW1作為配置舉例，用圖片來(lái)展示：使能IP-LINK功能，且配置IP-LINK組，使用ICMP檢測(cè)運(yùn)營(yíng)商線路：圖STYLEREF1\s4SEQ圖\*ARABIC\s111使能IP-LINK功能，且配置IP-LINK組將缺省路由綁定IP-LINK組圖STYLEREF1\s4SEQ圖\*ARABIC\s112將缺省路由綁定IP-LINK組防火墻安全策略與NAT策略安全策略在防火墻轉(zhuǎn)發(fā)報(bào)文的過(guò)程中扮演著重要角色，只有規(guī)則允許通過(guò)，報(bào)文才能在安全區(qū)域之間流動(dòng)，否則報(bào)文將被丟棄。在佛山傳媒公司網(wǎng)絡(luò)的防火墻設(shè)備上，我們需要配置安全策略來(lái)匹配公司的業(yè)務(wù)流量，實(shí)現(xiàn)公司網(wǎng)絡(luò)的內(nèi)外網(wǎng)的互訪，另外，公司與各分部通過(guò)搭建IPSecVPN來(lái)實(shí)現(xiàn)公司整體業(yè)務(wù)的互聯(lián)互通，在防火墻上要針對(duì)公司需求配置IPSecVPN的安全策略。在這里以防火墻FW1進(jìn)行配置舉例，由于開(kāi)啟了雙機(jī)熱備，所以主防火墻FW1的配置會(huì)備份到備防火墻FW2上：配置各部門(mén)訪問(wèn)互聯(lián)網(wǎng)的安全策略，其中針對(duì)電信和聯(lián)通運(yùn)營(yíng)商設(shè)置了兩個(gè)安全區(qū)域，根據(jù)這兩個(gè)安全區(qū)域設(shè)置了兩個(gè)安全區(qū)域，分別是trust-to-isp1-staff和trust-to-isp2-staff，用圖片進(jìn)行舉例：圖STYLEREF1\s4SEQ圖\*ARABIC\s113部分訪問(wèn)互聯(lián)網(wǎng)的安全策略配置允許總部到分部建立IPSecVPN隧道的安全策略，南海分部使用公網(wǎng)IP：來(lái)建立VPN隧道，總部則使用公網(wǎng)IP：來(lái)建立VPN隧道，用圖片進(jìn)行舉例（在這里只展示總部到南海分部的配置）：圖STYLEREF1\s4SEQ圖\*ARABIC\s114配置允許總部到分部建立IPSecVPN隧道的安全策略配置允許總部各部門(mén)通過(guò)IPSecVPN隧道訪問(wèn)分部的安全策略，總部允許公司行政部、銷(xiāo)售部、財(cái)政部、IT部和綜合部訪問(wèn)南海分部的綜合部，南海分部綜合部的網(wǎng)段為/22，用圖片進(jìn)行舉例：圖STYLEREF1\s4SEQ圖\*ARABIC\s115配置允許總部各部門(mén)通過(guò)IPSecVPN隧道訪問(wèn)分部的安全策略配置允許分部通過(guò)IPSecVPN隧道訪問(wèn)總部業(yè)務(wù)的安全策略，用圖片進(jìn)行舉例：圖STYLEREF1\s4SEQ圖\*ARABIC\s116配置允許分部通過(guò)IPSecVPN隧道訪問(wèn)總部業(yè)務(wù)的安全策略佛山傳媒公司一共有818名員工，但向運(yùn)營(yíng)商申請(qǐng)的公網(wǎng)地址就只有6個(gè)，為了保證公司各部門(mén)的內(nèi)網(wǎng)用戶都能訪問(wèn)互聯(lián)網(wǎng)，需要在防火墻上配置NAT功能，將內(nèi)網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址，另外，公司通過(guò)與香港服務(wù)器建立L2TPVPN隧道來(lái)訪問(wèn)國(guó)際業(yè)務(wù)網(wǎng)站，需要在LAC（防火墻作為L(zhǎng)AC）上配置Easy-IP方式的NAT技術(shù)，這里的配置在4.5公司總部與香港服務(wù)器的L2TPVPN搭建章節(jié)中展示。在配置NAT功能的時(shí)候，還要考慮到IPSecVPN的問(wèn)題，在這里的配置在4.4公司總部與分部的IPSecVPN搭建章節(jié)中介紹。在這里以防火墻FW1上各部門(mén)內(nèi)網(wǎng)用戶轉(zhuǎn)換為公網(wǎng)IP的配置進(jìn)行舉例，用圖片展示：配置NAT地址池，采用PAT方式將內(nèi)網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址：圖STYLEREF1\s4SEQ圖\*ARABIC\s117配置NAT地址池，采用PAT方式配置NAT策略，調(diào)用NAT地址池：圖STYLEREF1\s4SEQ圖\*ARABIC\s118配置NAT策略公司總部與分部的主備IPSecVPN搭建佛山傳媒公司一共有四個(gè)分部，分別是南海分部、順德分部、三水分部和高明分部，為了使總部與各分部之間構(gòu)建一個(gè)互聯(lián)互通的業(yè)務(wù)網(wǎng)絡(luò)，且要保證業(yè)務(wù)數(shù)據(jù)的安全性，所以在這里采用IPSecVPN技術(shù)來(lái)搭建一個(gè)總部與各分部之間的業(yè)務(wù)資源VPN網(wǎng)絡(luò)。另外，為了更好地配合防火墻的雙機(jī)熱備技術(shù)，我們會(huì)在防火墻上搭建主備模式的IPSecVPN。IPSec（IPSecurity）不是一個(gè)單獨(dú)的協(xié)議，也可以說(shuō)是一個(gè)框架，包括AH（認(rèn)證頭）協(xié)議和ESP（封裝有效載荷）協(xié)議、IKE（密鑰管理協(xié)議）等協(xié)議，以及用于用戶身份認(rèn)證和數(shù)據(jù)加密的一系列算法。IPSec協(xié)議族可在網(wǎng)絡(luò)層通過(guò)數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性和抗重放功能來(lái)保證雙方Internet上傳輸數(shù)據(jù)的安全性。在這里以總部防火墻FW1和南海分部防火墻FW5進(jìn)行配置舉例（南海分部防火墻要進(jìn)行鏡像配置），由于開(kāi)啟了雙機(jī)熱備，所以主防火墻FW1的配置會(huì)備份到備防火墻FW2上：在防火墻上配置ACL，定義需要保護(hù)的數(shù)據(jù)流量：圖STYLEREF1\s4SEQ圖\*ARABIC\s119總部FW1防火墻的ACL配置圖STYLEREF1\s4SEQ圖\*ARABIC\s120南海分部FW5防火墻的ACL配置在防火墻上創(chuàng)建IPSec安全提議fscm，這里僅展示總部防火墻配置，南海分部防火墻配置只要保持一致即可：圖STYLEREF1\s4SEQ圖\*ARABIC\s121總部FW1防火墻的IPSec安全提議配置在防火墻上創(chuàng)建IKE安全提議10，這里僅展示總部防火墻配置，南海分部防火墻配置只要保持一致即可：圖STYLEREF1\s4SEQ圖\*ARABIC\s122總部FW1防火墻的IKE安全提議配置在防火墻上創(chuàng)建IKE對(duì)等體，引用之前創(chuàng)建的ike安全提議10。由于總部防火墻采用策略模板方式創(chuàng)建IPSec策略，所以并不需要指定遠(yuǎn)端分部的公網(wǎng)地址，而南海分部以ISAKMP方式創(chuàng)建IPSec策略，另外需要指定總部的公網(wǎng)地址，而不是或者，因?yàn)榭偛拷⒌氖侵鱾銲PSecVPN，如果指定的不是，那么當(dāng)總部主防火墻發(fā)生故障時(shí)，南海分部會(huì)與總部斷開(kāi)IPSec隧道。ike安全提議采用預(yù)共享密鑰，所以總部和分部都要配置相同的密鑰：圖STYLEREF1\s4SEQ圖\*ARABIC\s123總部FW1防火墻創(chuàng)建ike對(duì)等體圖STYLEREF1\s4SEQ圖\*ARABIC\s124南海分部FW5防火墻創(chuàng)建ike對(duì)等體在防火墻上創(chuàng)建IPSec策略，引用之前創(chuàng)建的ACL、ike對(duì)等體和IPSec提議。其中總部以策略模板方式創(chuàng)建IPSec策略，南海分部以ISAKMP方式創(chuàng)建IPSec策略?？偛縿?chuàng)建完策略模板fscm后，還需要在創(chuàng)建一個(gè)IPSec策略hsb來(lái)引用策略模板：圖STYLEREF1\s4SEQ圖\*ARABIC\s125總部FW1防火墻創(chuàng)建IPSec安全策略圖STYLEREF1\s4SEQ圖\*ARABIC\s126南海分部FW5創(chuàng)建IPSec安全策略在防火墻上配置NO-NAT的NAT策略，由于IPSec安全策略引用的ACL優(yōu)先級(jí)并不優(yōu)于NAT策略，如果沒(méi)有設(shè)置針對(duì)VPN流量NO-NAT的NAT策略，那么VPN流量都會(huì)被訪問(wèn)互聯(lián)網(wǎng)的NAT策略匹配，導(dǎo)致VPN業(yè)務(wù)無(wú)法通信，另外NAT策略是按順序來(lái)匹配的，所以VPN的NO-NAT策略一定要在訪問(wèn)互聯(lián)網(wǎng)的NAT策略前面，否則VPN流量仍會(huì)匹配上互聯(lián)網(wǎng)的NAT策略，導(dǎo)致VPN業(yè)務(wù)無(wú)法通信。圖STYLEREF1\s4SEQ圖\*ARABIC\s127總部FW1防火墻上NO-NAT策略圖STYLEREF1\s4SEQ圖\*ARABIC\s128南海分部FW5防火墻上NO-NAT策略在防火墻出口上引用IPSec策略hsb。在這里僅展示南海分部FW5防火墻配置，總部同樣也在外網(wǎng)接口上引用IPSec策略hsb，用圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s129南海分部FW5防火墻在外網(wǎng)接口引用IPSec策略公司總部與香港服務(wù)器的L2TPVPN搭建由于某些特殊的原因，較多的國(guó)際網(wǎng)站在國(guó)內(nèi)是無(wú)法訪問(wèn)的，比如谷歌、推特、YouTube等等，部分可以訪問(wèn)的網(wǎng)站也因訪問(wèn)速度過(guò)于緩慢導(dǎo)致體驗(yàn)極差。佛山傳媒公司在文化傳媒業(yè)界具有很高的知名度，而且旗下有眾多知名報(bào)紙雜志報(bào)刊，其中新聞?lì)愲s志報(bào)刊對(duì)國(guó)際時(shí)事的變化非常重視，要求能隨時(shí)得到最新的情報(bào)，但是公司租用的聯(lián)通和電信線路在訪問(wèn)國(guó)際網(wǎng)站時(shí)都非常的緩慢，而且大部分都是無(wú)法訪問(wèn)的，為了解決這個(gè)問(wèn)題，公司向聯(lián)通運(yùn)營(yíng)商購(gòu)買(mǎi)了加速服務(wù)，接入到由聯(lián)通搭建的加速網(wǎng)絡(luò)，實(shí)現(xiàn)暢通無(wú)阻高速訪問(wèn)國(guó)際網(wǎng)站的需求。經(jīng)過(guò)與聯(lián)通工作人員的討論后，決定在公司出口網(wǎng)關(guān)設(shè)備通過(guò)使用LAC自撥號(hào)模式（LAC-Auto-Initiated）與聯(lián)通運(yùn)營(yíng)商設(shè)備（LNS）建立L2TPVPN隧道，然后在公司防火墻上寫(xiě)訪問(wèn)國(guó)際網(wǎng)站的靜態(tài)路由指向Virtual-Template1接口。在防火墻使用LAC自撥號(hào)模式（LAC-Auto-Initiated）模式L2TP，與聯(lián)通LNS設(shè)備建立L2TP隧道，創(chuàng)建L2TP會(huì)話，在這里公司內(nèi)網(wǎng)終端設(shè)備并不需要通過(guò)撥號(hào)來(lái)建立L2TP隧道，接下來(lái)將以FW1防火墻作為L(zhǎng)AC的配置舉例（不需要配置AAA認(rèn)證），而聯(lián)通LNS設(shè)備配置（需要配置AAA認(rèn)證）不做介紹。全局使能L2TP，并創(chuàng)建一個(gè)L2TP組，配置用于向聯(lián)通LNS設(shè)備發(fā)起L2TP撥號(hào)的賬號(hào)和密碼（由聯(lián)通提供），其中要指定隧道對(duì)端設(shè)備地址（聯(lián)通LNS）圖STYLEREF1\s4SEQ圖\*ARABIC\s130在FW1防火墻上創(chuàng)建L2TP組配置Virtual-Template1接口，配置虛擬的PPP用戶的賬號(hào)和密碼，這里要與L2TP組的賬號(hào)和密碼一致。指定采用由聯(lián)通LNS為Virtual-Template1接口分配IP地址，配置LAC向LNS發(fā)起撥號(hào)功能且引用上面創(chuàng)建的L2TP組。圖STYLEREF1\s4SEQ圖\*ARABIC\s131在FW1防火墻上配置Virtual-Template1接口因?yàn)槁?lián)通LNS設(shè)備只認(rèn)他分配的地址，所以需要在防火墻上配置Easy-IP方式的NAT策略圖STYLEREF1\s4SEQ圖\*ARABIC\s132在FW1防火墻上配置Easy-IP方式的NAT策略在防火墻上指向Virtual-Template1接口的靜態(tài)路由圖STYLEREF1\s4SEQ圖\*ARABIC\s133指向Virtual-Template1接口的靜態(tài)路由本章總結(jié)在佛山傳媒公司網(wǎng)絡(luò)設(shè)計(jì)中，我們采用了三層網(wǎng)絡(luò)結(jié)構(gòu)對(duì)公司網(wǎng)絡(luò)拓?fù)溥M(jìn)行設(shè)計(jì)，將VLAN、MSTP、VRRP、鏈路聚合、DHCP、OSPF、防火墻雙機(jī)熱備、IP-LINK鏈路檢測(cè)、VGMP、NAT、防火墻安全策略、防火墻NAT策略、ACL、IPSecVPN、L2TPVPN等技術(shù)集成在公司網(wǎng)絡(luò)設(shè)計(jì)中，保證公司網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，為公司各部門(mén)工作人員提供了高效可靠的工作網(wǎng)絡(luò)。網(wǎng)絡(luò)測(cè)試公司匯聚網(wǎng)絡(luò)測(cè)試MSTP+VRRP的應(yīng)用測(cè)試在接入交換機(jī)LSW1查看MSTP實(shí)例10和實(shí)例20的端口狀態(tài)，其中在實(shí)例10中，G0/0/2的端口被阻塞，在實(shí)例20中，G0/0/1的端口被阻塞，符合設(shè)計(jì)要求。圖STYLEREF1\s5SEQ圖\*ARABIC\s11各實(shí)例下的端口狀態(tài)在匯聚交換機(jī)LSW7查看VRRP各進(jìn)程狀態(tài)信息，LSW7作為行政部、銷(xiāo)售部、財(cái)政部、IT部的主交換機(jī)，在VLAN10、20、30和40都是Master狀態(tài)，而LSW7作為綜合部的備交換機(jī)，在VLAN72是Backup狀態(tài)，符合設(shè)計(jì)要求。圖STYLEREF1\s5SEQ圖\*ARABIC\s12VRRP狀態(tài)在接入交換機(jī)LSW1關(guān)閉G0/0/1端口，模擬鏈路故障，以此來(lái)測(cè)試VRRP主備交換機(jī)切換。關(guān)閉G0/0/1端口后，匯聚交換機(jī)LSW7檢測(cè)到鏈路故障，出現(xiàn)了大量的日志，日志顯示將VRRP10、20、30、40的進(jìn)程切換到Backup狀態(tài)圖STYLEREF1\s5SEQ圖\*ARABIC\s13日志提示在LSW7查看交換機(jī)VRRP狀態(tài)，可以看到LSW7對(duì)行政部、銷(xiāo)售部、財(cái)政部、IT部都已經(jīng)切換到Backup狀態(tài)。圖STYLEREF1\s5SEQ圖\*ARABIC\s14檢測(cè)到鏈路故障后VRRP狀態(tài)切換DHCP的應(yīng)用測(cè)試在這里以行政部的客戶端作為舉例，測(cè)試是否能從DHCP服務(wù)器獲取到地址。將行政部的客戶端設(shè)置為通過(guò)DHCP獲取地址圖STYLEREF1\s5SEQ圖\*ARABIC\s15設(shè)置通過(guò)DHCP獲取地址查看客戶端是否從DHCP服務(wù)器獲取到地址圖STYLEREF1\s5SEQ圖\*ARABIC\s16成功獲取到IP地址公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)測(cè)試公司內(nèi)網(wǎng)訪問(wèn)互聯(lián)網(wǎng)測(cè)試防火墻在OSPF進(jìn)程中引入了訪問(wèn)互聯(lián)網(wǎng)的缺省路由，從匯聚交換機(jī)LSW7的路由可以看到已經(jīng)學(xué)習(xí)到了這條路由，圖STYLEREF1\s5SEQ圖\*ARABIC\s17匯聚交換機(jī)LSW7學(xué)習(xí)到防火墻下發(fā)的缺省路由在行政部的客戶端進(jìn)行訪問(wèn)外網(wǎng)的ping測(cè)試，成功圖STYLEREF1\s5SEQ圖\*ARABIC\s18訪問(wèn)外網(wǎng)的ping測(cè)試防火墻雙機(jī)熱備的應(yīng)用測(cè)試防火墻FW1在公司的雙出口網(wǎng)關(guān)網(wǎng)絡(luò)中作為主防火墻，而FW2則作為備防火墻，通過(guò)displayhrpstate命令查看FW1的HRP狀態(tài)，在圖片中顯示，F(xiàn)W1目前為active（主）狀態(tài)，而鄰居防火墻FW2處于standby（備）狀態(tài)。圖STYLEREF1\s5SEQ圖\*ARABIC\s19查看防火墻hrp狀態(tài)在防火墻FW1上模擬設(shè)備故障，將FW1關(guān)閉后，備防火墻FW2出現(xiàn)了HRP狀態(tài)切換日志，在這里我們可以看出備防火墻FW2從standby狀態(tài)切換到master狀態(tài)。缺省路由配合IP-LINK鏈路檢測(cè)測(cè)試公司租用了聯(lián)通和電信的線路，在防火墻上寫(xiě)了兩條缺省路由分別指向了聯(lián)通和電信的設(shè)備，并且綁定IP-LINK鏈路檢測(cè)技術(shù)來(lái)檢測(cè)運(yùn)營(yíng)商線路是否正常工作。在這里模擬當(dāng)聯(lián)通線路發(fā)生了故障，當(dāng)IP-LINK檢測(cè)到線路故障，會(huì)將自己綁定的缺省路由去掉，公司訪問(wèn)互聯(lián)網(wǎng)的流量切換到電信線路。在主防火墻FW1上我們可以看到由兩條綁定了IP-LINK組的缺省路由圖STYLEREF1\s5SEQ圖\*ARABIC\s110防火墻存在兩條缺省路由當(dāng)聯(lián)通線路發(fā)生了故障后，IP-LINK組1會(huì)發(fā)現(xiàn)無(wú)法到達(dá)聯(lián)通線路測(cè)試地址，會(huì)產(chǎn)生刪除去往聯(lián)通線路的缺省路由的日志，在日志我們可以看到ChangType=Delete。圖STYLEREF1\s5SEQ圖\*ARABIC\s111IP-LINK刪除日志查看防火墻路由表，只剩下去往電信線路的缺省路由。圖STYLEREF1\s5SEQ圖\*ARABIC\s112防火墻只剩下通往電信的默認(rèn)路由總部與分部的主備IPSecVPN通信測(cè)試佛山傳媒公司總部采用了策略模板方式來(lái)搭建IPSecVPN，只有分部主動(dòng)發(fā)起連接才會(huì)建立總部與分部的IPSecVPN隧道，在這里我們使用南海分部的內(nèi)網(wǎng)客戶端去訪問(wèn)總部行政部的客戶端，采用ping的方式去ping總部行政部客戶端，通過(guò)測(cè)試，成功ping通。圖STYLEREF1\s5SEQ圖\*ARABIC\s113南海分部客戶端ping總部客戶端我們?cè)诳偛糠阑饓W1查看第一階段ike建立情況，從圖片可以看出已經(jīng)建立起了ike階段，并且是由南海分部主動(dòng)發(fā)起建立IPSec連接的。圖STYLEREF1\s5SEQ圖\*ARABIC\s114主防火墻ike第一階段狀態(tài)我們?cè)诳偛糠阑饓W1查看第二階段IPSec建立簡(jiǎn)略狀態(tài)：圖STYLEREF1\s5SEQ圖\*ARABIC\s115主防火墻IPSec第二階段狀態(tài)由于我們建立的是主備IPSecVPN，為了測(cè)試IPSec主備狀態(tài)切換，在這里我們模擬主防火墻FW1發(fā)生了故障，觀察南海分部是否能繼續(xù)訪問(wèn)總部行政部客戶端，通過(guò)圖片可以看出，當(dāng)防火墻FW1發(fā)生故障后，分部客戶端常ping總部行政部客戶端丟了兩個(gè)包，然后又恢復(fù)了通信。圖STYLEREF1\s5SEQ圖\*ARABIC\s116IPSec主備切換后，出現(xiàn)小量的丟包，但隨后恢復(fù)防火墻FW1發(fā)生故障后，備防火墻FW2成為了主防火墻，在這里我們可以看到備防火墻備份了主防火墻的IPSec會(huì)話，這是FW2防火墻的ike狀態(tài)圖STYLEREF1\s5SEQ圖\*ARABIC\s117FW2防火墻ike第一階段狀態(tài)FW2防火墻的IPSec第二階段簡(jiǎn)略狀態(tài)：圖STYLEREF1\s5SEQ圖\*ARABIC\s118FW2防火墻IPSec第二階段狀態(tài)總部通過(guò)L2TPVPN隧道訪問(wèn)國(guó)際網(wǎng)站測(cè)試我們?cè)诜阑饓ι吓渲肔AC自動(dòng)撥號(hào)模式的L2TPVPN，在Virtual-Template1接口上自動(dòng)向聯(lián)通LNS設(shè)備獲取地址，VT接口獲取到聯(lián)通分發(fā)的54/32。圖STYLEREF1\s5SEQ圖\*ARABIC\s119Virtual-Template1獲取到地址在防火墻上查看訪問(wèn)國(guó)際網(wǎng)站配置的靜態(tài)路由，指向Virtual-Template1接口。圖STYLEREF1\s5SEQ圖\*ARABIC\s120防火墻上指向Virtual-Template1的靜態(tài)路由在南海分部客戶端對(duì)國(guó)際網(wǎng)站（IP：）進(jìn)行訪問(wèn)測(cè)試，由于南海分部并沒(méi)有與香港服務(wù)器建立L2TPVPN隧道，所以是無(wú)法ping通的。圖STYLEREF1\s5SEQ圖\*ARABIC\s121南海分部客戶端無(wú)法ping通在總部行政部客戶端對(duì)國(guó)際網(wǎng)站（IP：）進(jìn)行訪問(wèn)測(cè)試，測(cè)試成功。圖STYLEREF1\s5SEQ圖\*ARABIC\s122總部客戶端成功ping通在FW1防火墻上查看L2TP隧道的建立情況，其中遠(yuǎn)端地址是香港服務(wù)器的IP地址。圖STYLEREF1\s5SEQ圖\*ARABIC\s123防火墻L2TP隧道建立情況本章總結(jié)在這里對(duì)佛山傳媒公司辦公網(wǎng)絡(luò)的技術(shù)實(shí)施方案進(jìn)行測(cè)試，經(jīng)過(guò)測(cè)試可以得出該項(xiàng)目實(shí)施方案的是可行的，滿足公司對(duì)辦公網(wǎng)絡(luò)的所有需求，證明該項(xiàng)目的辦公網(wǎng)絡(luò)系統(tǒng)是可以正常運(yùn)行，確保了高效性、冗余性和可靠性。總結(jié)在本次的網(wǎng)絡(luò)設(shè)計(jì)方案中，我們采用了三層網(wǎng)絡(luò)架構(gòu)來(lái)設(shè)計(jì)佛山傳媒公司的網(wǎng)絡(luò)拓?fù)洌诟咝?、冗余性、可靠性和可拓展性做了深入的考慮，使得佛山傳媒公司能夠更好地滿足現(xiàn)有的需求和適應(yīng)未來(lái)網(wǎng)絡(luò)技術(shù)的發(fā)展。在對(duì)客戶提出的網(wǎng)絡(luò)需求分析中，我們結(jié)合目前主流的企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案，在匯聚網(wǎng)絡(luò)中使用VLAN、MSTP、VRRP和DHCP等技術(shù)，在骨干網(wǎng)絡(luò)中使用OSPF技術(shù)，在雙出口網(wǎng)關(guān)網(wǎng)絡(luò)中使用雙機(jī)熱備、IP-LINK檢測(cè)、ACL、NAT、IPSecVPN、L2TPVPN等技術(shù)，通過(guò)對(duì)上述的技術(shù)來(lái)解決公司對(duì)于辦公網(wǎng)絡(luò)的需求，在實(shí)施中也著重介紹了如何通過(guò)配置來(lái)優(yōu)化公司的網(wǎng)絡(luò)，提高公司網(wǎng)絡(luò)的穩(wěn)定性，要保證公司網(wǎng)絡(luò)業(yè)務(wù)長(zhǎng)期穩(wěn)定的運(yùn)行。在對(duì)公司辦公網(wǎng)絡(luò)的測(cè)試中，得出該項(xiàng)目實(shí)施方案的是可以滿足公司對(duì)辦公網(wǎng)絡(luò)的所有需求，證明該辦公網(wǎng)絡(luò)系統(tǒng)是可以正常運(yùn)行的，做到了高效性、冗余性和可靠性，也標(biāo)志著項(xiàng)目實(shí)施的完成，接下來(lái)則是保障辦公網(wǎng)絡(luò)正常運(yùn)行的運(yùn)維工作。參考文獻(xiàn)[1] 朱仕耿.HCNP路由交換學(xué)習(xí)指南[M].北京：人民郵電出版社，2017[2] 徐慧洋等.華為防火墻技術(shù)漫談北京：人民郵電出版社，2015[3] 王達(dá).華為VPN學(xué)習(xí)指南北京：人民郵電出版社，2017[4] 凱文R.福爾.TCP/IP詳解卷1：協(xié)議.北京：機(jī)械工業(yè)出版社，2016[5] 王相林.網(wǎng)絡(luò)工程設(shè)計(jì)與應(yīng)用.北京：清華大學(xué)出版社，2011[6] JazibFrahim等.CiscoASA設(shè)備使用指南北京：人民郵電出版社，2016[7] SaadatMalik.網(wǎng)絡(luò)安全原理與實(shí)踐北京：人民郵電出版社，2016[8] 何利.網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)實(shí)用教程北京：人民郵電出版社，2012[9] SaadatMalik.NetworkSecurityPrinciplesandPractices[10]GaryR.Wright,W.RichardStevens.TCP/IPIIIustrated-Volume1:TheImplementation.USA:PrenticeHall,2005致謝在松田的大學(xué)生活即將劃上句號(hào)，我要感謝在松田里認(rèn)識(shí)的每一位同學(xué)，感謝在松田里給予我?guī)椭睦蠋熀屯瑢W(xué)們，在這里要十分感謝我的指導(dǎo)老師為我的論文編寫(xiě)給予了非常有用的建議。在松田的這幾年里，我學(xué)到了很多必要的專(zhuān)業(yè)知識(shí)，也學(xué)到了許多為人處世的方法，在工作和在日常生活中給予了我很大的幫助。最后，再次對(duì)給予我的論文進(jìn)行修改和審批的老師們表達(dá)最真摯的感謝！

PowerPoint課件制作實(shí)用技巧PowerPoint是微軟公司生產(chǎn)的制作幻燈片和簡(jiǎn)報(bào)的軟件（以下簡(jiǎn)稱(chēng)PPT）。在我們?cè)S多人看來(lái),它只不過(guò)是一個(gè)簡(jiǎn)單地對(duì)文字、圖形、圖片進(jìn)行演示的軟件，教學(xué)中的課件制作軟件當(dāng)屬Authorware、Flash。Authorware和Flash制作的動(dòng)畫(huà)效果的確很好，而且它們的功能也很強(qiáng)大。不過(guò)這些軟件在制作課件的過(guò)程中往往非常耗時(shí)，用這些專(zhuān)業(yè)軟件來(lái)制作課件用于平時(shí)的教學(xué)往往效率很低。PPT就是一個(gè)非常簡(jiǎn)單、實(shí)用的制作課件的軟件，只要你用好它,同樣能做非常棒的課件來(lái)。一、掌握基本，知道“插入”。（一）知道從“插入”菜單進(jìn)入，會(huì)給PPT課件添加文字、圖片、影片和聲音等，也就會(huì)做一般的課件了。（二）圖片插入與處理1.插入圖片具體方法：a)插入剪貼畫(huà)或文件中的圖片；b)添加圖片做背景；c)給自選圖形做填充。2.處理圖片具體方法：我們用PPT制作課件時(shí)，經(jīng)常從網(wǎng)上下載圖片來(lái)用，而網(wǎng)絡(luò)中的圖片往往含有超鏈接和網(wǎng)站名稱(chēng)痕跡，我們需要?jiǎng)h除其中超鏈接，并對(duì)圖片進(jìn)行裁剪處理。在Powerpoint中，我們一般可以利用“圖片”工具欄上的“裁剪”工具進(jìn)行裁剪處理，但是，這里的工具只能對(duì)圖片進(jìn)行矩形裁剪，若想裁剪成圓形、多邊形等其他形狀，通常方法就無(wú)能為力了。其實(shí)這個(gè)問(wèn)題在PPT中是可以解決的。我們用給自選圖形做填充圖片的方法就可以實(shí)現(xiàn)我們需要的效果。具體步驟：a)首先利用“繪圖”工具欄畫(huà)一個(gè)想要裁剪的圖形，如橢圓。b)選中橢圓后單擊“繪圖”工具欄上“填充顏色”按鈕右側(cè)黑三角，從列表菜單中單擊“填充效果”命令。c)打開(kāi)選擇“圖片”選項(xiàng)卡，單擊〔選擇圖片〕按鈕，從“選擇圖片”對(duì)話框中找到合適的圖片，單擊〔插入〕按鈕后返回到“填充效果”對(duì)話框最后單擊〔確定〕按鈕后退出。此圖片當(dāng)作橢圓圖形的背景出現(xiàn)，改變了原來(lái)的矩形形狀，獲得了滿意的裁剪圖片效果。圖片在插入PPT之前，我們可以用ACDSEE軟件進(jìn)行加工，如改變大小，裁剪等操作。二、學(xué)會(huì)下載，查找方法。在制作課件過(guò)程中，我們時(shí)常需要從網(wǎng)絡(luò)上下載各種資源用以豐富課件內(nèi)容，提升課堂效果。但有許多網(wǎng)站的flash動(dòng)畫(huà)都不提供下載；還有網(wǎng)站為我們提供了許多視頻素材，這些視頻素材都是FLV流媒體格式。FLV流媒體格式是一種新的視頻格式，全稱(chēng)為FlashVideo。由于它形成的文件極小、加載速度極快，使得網(wǎng)絡(luò)觀看視頻文件成為可能，它的出現(xiàn)也有效地解決了視頻文件導(dǎo)入Flash后，使導(dǎo)出的SWF文件體積龐大，不能在網(wǎng)絡(luò)上很好的使用等缺點(diǎn)。目前各在線視頻網(wǎng)站均采用此視頻格式。如新浪播客、56、優(yōu)酷、土豆、酷6等，無(wú)一例外。FLV已經(jīng)成為當(dāng)前視頻文件的主流格式。這些網(wǎng)站一般都不提供下載。我們想要這些素材，怎樣辦？1.尋找下載方法：a)在百度網(wǎng)站搜索欄中輸入下載的內(nèi)容，搜索下載方法。b)弄清格式，再搜索方法。2.具體方法推薦①flasah動(dòng)畫(huà)的下載方法一：IE緩存中尋找在網(wǎng)上看過(guò)一個(gè)flash后，一般情況下都會(huì)保存在IE緩存里。右擊桌面上的IE圖標(biāo)，選“屬性”命令，單擊中間的“設(shè)置”按鈕，彈出“Internet臨時(shí)文件和歷史記錄設(shè)置”面板，單擊“查看文件”，可以打開(kāi)臨時(shí)文件夾，按時(shí)間排序，找到剛才打開(kāi)的flash動(dòng)畫(huà)文件。優(yōu)點(diǎn)：不需要安裝其它軟件。缺點(diǎn)：操作相對(duì)煩瑣。方法二：借助Flashsaver等軟件下載，這些軟件都可以快速、方便的下載你所需要的flash文件。優(yōu)點(diǎn)：簡(jiǎn)單、方便、快速。缺點(diǎn)：需要安裝使用。②FLV視頻的獲取方法一：IE緩存中尋找，方法同flasah。方法二：flv視頻解析下載/三、學(xué)用控件，轉(zhuǎn)化應(yīng)用1.flash動(dòng)畫(huà)的插入方法一：安裝flash插件，再插入flash。步驟：a)安裝“ppt插flash軟件”插件；b)單擊“插入”→“flashmovie”→打開(kāi)要播放的flash文件→確定。方法二：利用控件插入flash動(dòng)畫(huà)。步驟：a)插入“ShockwaveFlashObject”控件對(duì)象：右擊“工具欄”→選“控件工具箱”（或點(diǎn)“視圖→工具欄→控件工具箱”）；點(diǎn)“其他控件”（控件工具箱中最后一個(gè)形似錘子斧頭的按鈕），拖動(dòng)滾動(dòng)條或在英文輸入法狀態(tài)下按鍵盤(pán)上“s”鍵，快速定位到以s開(kāi)頭的控件，選擇“ShockwaveFlashObject”控件。將鼠標(biāo)移到幻燈片工作區(qū)，鼠標(biāo)指針變成“十”字型，拖動(dòng)鼠標(biāo)繪制出一個(gè)形似信封的矩形。b)打開(kāi)控件對(duì)象“屬性”對(duì)話框：右擊矩形控件對(duì)象，在彈出的快捷菜單中選“屬性”命令。c)正確設(shè)置控件對(duì)象屬性：主要是在“Movie”空白文本域中正確輸入演示文稿要播放的.swf動(dòng)畫(huà)的完整名稱(chēng)。d)將控件對(duì)象適當(dāng)縮放：為了獲得比較好的播放效果，拖動(dòng)控件對(duì)象的縮放點(diǎn)使它幾乎覆蓋整個(gè)幻燈片工作區(qū)，但要在幻燈片工作區(qū)底部保留少許空白區(qū)域。這樣既可以享受.swf動(dòng)畫(huà)大屏幕播放的好處，又能夠保證幻燈片能夠順利地切換。e)一般情況下，幻燈片應(yīng)顯示出動(dòng)畫(huà)的第一幀圖形。如果控件對(duì)象仍是空白的，可保存演示文稿，關(guān)閉后再打開(kāi)它，按F5放映幻燈片，應(yīng)該能夠正確播放動(dòng)畫(huà)。2.FLV視頻的插入FLV視頻與FLASH不一樣的。全稱(chēng)是flashvideo，所用的播放器也不一樣。①利用控件插入PPT的方法也是有區(qū)別的。不同點(diǎn)：先要下載pptflv.swf文件，此文件是類(lèi)似于網(wǎng)頁(yè)中FLV視頻播放器的一個(gè)Flash文件(可用百度搜索下載下來(lái)后記著要改文件名，保留擴(kuò)展名)；例如改成：pptflv1.swf“Movie”參數(shù)值填入方法不一樣，參數(shù)值示例：pptflv.swf?file=視頻.FLV“pptflv.swf”即為步驟一下載下來(lái)的Flash文件的完整文件，“視頻.FLV”即為需要播放的FLV視頻的文件名，大家只要將pptflv.swf換成自己下載后起的文件名，將“視頻.FLV”換成自己的FLV視頻文件名，則此FLV文件就可以在PowerPoint中播放了。如播放2.flv視頻參數(shù)填法：示例：pptflv1.swf?file=2.FLV②方法二：將flv轉(zhuǎn)換成swf再插入轉(zhuǎn)換軟件：UltraFlashVideoFLVConverter3.2.0軟件說(shuō)明：該軟件又叫全格式FLV轉(zhuǎn)換器，支持將幾乎所有主流視頻格式轉(zhuǎn)換為FLV或者SWF且對(duì)用戶較為關(guān)心的RealMedia(RM/RMVB...)和QuickTime(MOV/QT...)支持良好。三大特色功能：既可輸出FLV格式，也可輸出SWF格式，甚至同時(shí)輸出FLV+SWF格式。此軟件也支持創(chuàng)建調(diào)用播放的網(wǎng)頁(yè)支持導(dǎo)入所有的主流字幕格式。srt,*.sub,*.idx,*.ssa,*.ass,*.psb,*.smi)有字幕合成功能，你現(xiàn)在無(wú)需再使用那些繁瑣的專(zhuān)業(yè)軟件來(lái)合成字幕到視頻中去，字幕合成與格式轉(zhuǎn)換一氣呵成！支持視頻分割，右鍵點(diǎn)擊列