基于EVE-NG模擬平臺的高可靠性企業(yè)網(wǎng)絡設計與部署-本科畢業(yè)設計（論文）

摘要為了更好的解決隨著網(wǎng)絡技術(shù)與網(wǎng)絡設備的發(fā)展與更新，導致企業(yè)網(wǎng)絡之前的設計與部署不足以支持當前企業(yè)網(wǎng)絡的可靠性，通過分析現(xiàn)階段主流企業(yè)網(wǎng)絡拓撲的規(guī)劃及其采用的相關(guān)技術(shù)，提出了當前主流保障企業(yè)網(wǎng)絡高可靠性的網(wǎng)絡部署方案。應用了鏈路聚合、MSTP、HSRP、雙機熱備以及雙出口配置等技術(shù)，完成了企業(yè)網(wǎng)絡高可靠性的設計。在EVE-NG的仿真模擬平臺下進行了實驗，結(jié)果表明：該方案能夠有效解決當前企業(yè)網(wǎng)絡在可靠性上的部署中出現(xiàn)的問題，具有更好的網(wǎng)絡擴容、網(wǎng)絡硬件設備冗余、協(xié)議冗余和流量分擔的優(yōu)勢，因此更加全面的提升了企業(yè)網(wǎng)絡的可擴展性和可靠性。關(guān)鍵詞：網(wǎng)絡部署；EVE-NG；高可靠性；冗余；負載均衡AbstractInordertobettersolvethedevelopmentandupdateofnetworktechnologyandnetworkequipment,thepreviousdesignanddeploymentoftheenterprisenetworkisnotenoughtosupportthereliabilityofthecurrententerprisenetwork.ByanalyzingthecurrentmainstreamnetworktopologyplanningandrelatedadoptionTechnology,putforwardthecurrentmainstreamnetworkdeploymentplantoensurehighreliabilityoftheenterprisenetwork.Thetechnologiesoflinkaggregation,MSTP,HSRP,dual-machinehotbackupanddual-outletconfigurationhavebeenappliedtocompletethedesignofhighreliabilityoftheenterprisenetwork.ExperimentswereconductedundertheEVE-NGsimulationplatform.Theresultsshowthatthissolutioncaneffectivelysolvetheproblemsinthecurrententerprisenetworkdeploymentinreliability,withbetternetworkexpansion,networkhardwareequipmentredundancy,andprotocolredundancyBecauseoftheadvantagesofsharingtrafficandtraffic,thescalabilityandreliabilityoftheenterprisenetworkaremorecomprehensivelyimproved.Keywords：NetworkDeployment；EVE-NG；HighReliability；Redundancy；LoadBalancing目錄TOC\o\h\z\u第一章 緒論 緒論1.1項目研究背景及研究意義隨著網(wǎng)絡設備及網(wǎng)絡空間技術(shù)的日益進步，在互聯(lián)網(wǎng)技術(shù)給企業(yè)帶來巨大的便利以及機遇的同時，對于企業(yè)網(wǎng)絡來說，其高可靠性帶來的作用逐漸變得不可忽視。企業(yè)網(wǎng)絡服務的持續(xù)增加，為如何讓企業(yè)網(wǎng)絡保持較高的可靠性、可持續(xù)性和冗余性提出了一個非常值得探討的問題。發(fā)達的路由交換及空間技術(shù)方便了企業(yè)內(nèi)部網(wǎng)絡的數(shù)據(jù)與信息資源的快速流通；提升了企業(yè)業(yè)務的處理速率；提供了異地用戶的遠程數(shù)據(jù)資源訪問，便利了企業(yè)與企業(yè)之間的合作。企業(yè)利用路由交換技術(shù)在內(nèi)部搭建用以整合企業(yè)內(nèi)部信息與資源，使企業(yè)員工可以短時間內(nèi)訪問企業(yè)內(nèi)部文件及信息，并且方便了在企業(yè)之間的通訊的企業(yè)內(nèi)部網(wǎng)絡。同時企業(yè)不同部門之間通訊的聯(lián)絡、業(yè)務的交替也更加的高效。如果在一個企業(yè)網(wǎng)絡中，其扮演的角色突然由一個基礎(chǔ)通信結(jié)構(gòu)，就好比作十分常見及平凡大眾角色變成一名負責保障該影片收視率的核心演員。即群眾服務系統(tǒng)結(jié)構(gòu)，其之前根據(jù)陳舊的技術(shù)部署，只有單一核心的企業(yè)網(wǎng)絡系統(tǒng)，大概率會產(chǎn)生因設備停止運行和鏈路斷開等問題而導致的企業(yè)網(wǎng)絡中止，這樣就會給企業(yè)的基礎(chǔ)通信以及辦事效率帶來重大的危機，所以具有高可持續(xù)性和可靠性的企業(yè)網(wǎng)絡規(guī)劃部署正逐漸成為了當前的主流。在現(xiàn)如今計算機科學與技術(shù)快速發(fā)展的高科技時代，互聯(lián)網(wǎng)技術(shù)和網(wǎng)絡設備的發(fā)展給企業(yè)的網(wǎng)絡帶來較高的提升進而提高企業(yè)的可靠性和資源利用管理水平，保證了網(wǎng)絡的可用性，提高企業(yè)的核心競爭力，構(gòu)建和升級高可靠性企業(yè)的網(wǎng)絡設計與部署具有決定性作用。除此之外，一個高可靠性的企業(yè)網(wǎng)絡設計與部署是對企業(yè)信息以及正常運作的基本保障，它可以明確企業(yè)信息系統(tǒng)的當前可靠現(xiàn)狀、對企業(yè)的網(wǎng)絡規(guī)劃進行高可靠性設計以及部署。在之后的作用里，它使企業(yè)的操作平臺和當前管理條約軌制的標準被更好的讓企業(yè)正確的認識，對自身網(wǎng)絡水平有了更高的了解。從而對企業(yè)網(wǎng)絡硬件設備和技術(shù)的選擇達到了冗余及高負載的能力，為網(wǎng)絡擴展和網(wǎng)絡流量共享提供了處理手段。這實現(xiàn)了企業(yè)網(wǎng)絡的高可持續(xù)性和高可靠性。因此，網(wǎng)絡高可靠性已成為目前網(wǎng)絡構(gòu)建過程中必須考慮的性能指標，為了保證網(wǎng)絡的健壯、高效和穩(wěn)定可靠。企業(yè)網(wǎng)絡規(guī)劃拓撲中的接入層、匯聚層、核心層、防火墻和服務器應采用具有較高可靠性和冗余性的設計及選擇。極大的保障了企業(yè)網(wǎng)絡內(nèi)網(wǎng)與外網(wǎng)之間的連通性、安全性和可持續(xù)性。這樣就需要企業(yè)在實際條件下采用具體的措施，例如在機房采用設備冗余、磁盤存儲冗余、處理器冗余、網(wǎng)卡冗余和電源冗余的措施。與鏈路或協(xié)議技術(shù)互相搭配、互為補充，例如在鏈路上采用鏈路聚合、協(xié)議上選擇MSTP、HSRP等。保證了企業(yè)網(wǎng)絡系統(tǒng)平臺的管理水平和限制條件，為此提供了高可持續(xù)性，從而完成企業(yè)網(wǎng)絡的高可靠性。1.2項目研究中可靠性概述企業(yè)網(wǎng)絡可靠性指網(wǎng)絡設備或產(chǎn)品在限定的條件內(nèi)、在限定的時間內(nèi)實現(xiàn)其所需完成的功能的能力。其主要是通過在網(wǎng)絡基礎(chǔ)結(jié)構(gòu)中安裝網(wǎng)絡設備，配置網(wǎng)絡協(xié)議和增加通信介質(zhì)以此備用或替代實例。以保障當網(wǎng)絡設備或路徑出現(xiàn)故障和不可用時網(wǎng)絡的可用并正常運行，提供了網(wǎng)絡故障轉(zhuǎn)移的方法。而網(wǎng)絡可靠性可細分為五個層次的可靠性：硬件層次的可靠性、鏈路層次的可靠性、協(xié)議層次的可靠性、數(shù)據(jù)層次的可靠性以及服務器層次的可靠性。例如硬件層次的可靠性通常是在網(wǎng)絡基礎(chǔ)結(jié)構(gòu)中實現(xiàn)，其通過提供網(wǎng)絡通信的冗余源。將它用作備用機制，可在當計劃外的網(wǎng)絡中斷時將網(wǎng)絡操作快速交換到冗余基礎(chǔ)架構(gòu)上；鏈路層次的可靠性則是通過采用冗余來設計實現(xiàn)，即采用鏈路聚合方式，將兩條鏈路捆綁一起實現(xiàn)一主一備，達到負載均衡及冗余；協(xié)議層次的可靠性是通過配置一種或多種路由交換協(xié)議以保障網(wǎng)絡核心應用系統(tǒng)快速切換，避免網(wǎng)絡中出現(xiàn)單點故障，從而達到可靠冗余；數(shù)據(jù)層次的可靠性則是在數(shù)據(jù)庫或數(shù)據(jù)存儲技術(shù)內(nèi)創(chuàng)建的條件，將其中同一數(shù)據(jù)段保存在兩個單獨的位置上；服務器層次的可靠性則是通過在計算環(huán)境中備份，達到故障轉(zhuǎn)移或冗余服務器的數(shù)量和強度。以此提供其他服務器的能力，這些服務器可以在運行時部署以用于備份，負載平衡或出于維護目的而暫時停止主服務器。而衡量網(wǎng)絡可靠性的標準分為三個方面：MTTR、MTBF和MTTF。MTTR（MeanTimeToRepair），即系統(tǒng)平均維修時間，是指當一個網(wǎng)絡發(fā)生故障時修復其系統(tǒng)并將其恢復到完整功能所需的時間，其包括維修時間，測試周期以及恢復到正常運行狀態(tài)的時間。其最重要的一點是，它是衡量當前服務可用性的準則。MTBF（MeanTimeBetweenFailure），即平均故障間隔時間，是指一個設備或產(chǎn)品在正常運行期間從上一個故障到下一個故障之間的平均時間，它是衡量整個網(wǎng)絡及系統(tǒng)可靠性和可用性的重要指標。同時它反映了設備的時間質(zhì)量，當MTBF值越高，系統(tǒng)在發(fā)生故障之前可能會運行的時間越長。MTTF（MeanTimeToFailure），即平均無故障時間，是指一個設備或產(chǎn)品在平均時間內(nèi)將持續(xù)運行直到故障的時間長度，它是用于預計整個網(wǎng)絡或系統(tǒng)可運行無故障時間的重要指標。同時它反映了設備的壽命均值，當一個系統(tǒng)可靠性越高，其MTTF值則越高，說明設備及產(chǎn)品的平均無故障時間占用比例更多。1.3項目研究中可靠性現(xiàn)狀隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡給企業(yè)以及人民帶來了越來越多的便利，但在帶來便利的同時飛速的發(fā)展也意味著技術(shù)的不斷更新，目前企業(yè)網(wǎng)絡的技術(shù)落后、設備更迭緩慢而導致企業(yè)網(wǎng)絡無法保障其可靠的運行和缺陷的不斷暴露；大多數(shù)企業(yè)的網(wǎng)絡安全防范意識跟不上發(fā)展的步伐而落后，這直接導致的問題是無法規(guī)范的使用軟硬件甚至于在操作過程中遺留下漏洞而引發(fā)系統(tǒng)和網(wǎng)絡的缺陷。由此可得，當前我國企業(yè)網(wǎng)絡可靠性的現(xiàn)狀主要有以下幾點：（1）企業(yè)網(wǎng)絡思想傳統(tǒng)：近幾年網(wǎng)絡的快速發(fā)展，但企業(yè)網(wǎng)絡思想仍然停留在幾年前，對網(wǎng)絡系統(tǒng)的設計及規(guī)劃仍按照老方法、老思想進行部署，沒有與時俱進，雖然這對網(wǎng)絡可靠性暫時沒有影響，但隨著其他企業(yè)網(wǎng)絡思想的前進，企業(yè)網(wǎng)絡可靠性在同行相比中優(yōu)勢漸漸不明顯，而缺點被慢慢放大，企業(yè)則會被逐漸淘汰。（2）軟硬件設備技術(shù)的局限：企業(yè)在規(guī)劃網(wǎng)絡時，未充分考慮到網(wǎng)絡及設備后續(xù)的發(fā)展及升級，采用一些軟硬件較為局限的設備及技術(shù)。隨著企業(yè)后續(xù)的發(fā)展，而軟硬件設備技術(shù)升級的局限讓所支持的網(wǎng)絡不足以保證當前企業(yè)的規(guī)模，讓企業(yè)網(wǎng)絡可靠性大打折扣，導致企業(yè)需花費大量資金重新部署網(wǎng)絡，消耗大量人力物力。（3）企業(yè)網(wǎng)絡管理意識的薄弱：當前企業(yè)對于員工行為的管理仍存在一些漏洞和部分不足。在權(quán)限的分配往往過多，因此員工可能會越權(quán)去做對企業(yè)有危害的事，而企業(yè)網(wǎng)絡管理卻無法對其員工越權(quán)行為進行監(jiān)測及應對，給企業(yè)帶來巨大的經(jīng)濟損失。同時對員工的一些不規(guī)范的使用及操作行為無良好的管理，因而在操作過程中留下漏洞給企業(yè)網(wǎng)絡可靠性帶來后患。1.4項目研究中可靠性影響因素從衡量網(wǎng)絡可靠性標準的三大方面可看出，如何實現(xiàn)企業(yè)網(wǎng)絡的高可靠性，需要從平均故障間隔時間、平均無故障時間的增加及系統(tǒng)平均維修時間的降低這幾個措施出發(fā)。目前，引起企業(yè)網(wǎng)絡通信問題的原因有：硬件設施停止或軟件出錯，鏈路之間堵塞或斷開、企業(yè)人員的不規(guī)范使用和網(wǎng)絡安全的防范不到位等。根據(jù)這些原因，企業(yè)應該采取有效的手段進行防范，保障企業(yè)網(wǎng)絡的通信，從而增強企業(yè)網(wǎng)絡的冗余性和可靠性。但是，在一些非人為的情況下，企業(yè)網(wǎng)絡通信出現(xiàn)問題是無法防止的，因此在企業(yè)網(wǎng)絡規(guī)劃及部署中，如何迅速轉(zhuǎn)移通信能力并修復問題成為了其重中之重的考慮，同時也為企業(yè)網(wǎng)絡的高可靠性打下良好的基礎(chǔ)。在企業(yè)網(wǎng)絡拓撲的規(guī)劃及選擇中，確保企業(yè)網(wǎng)絡具有可持續(xù)性和可靠性是其保障企業(yè)網(wǎng)絡的基礎(chǔ)。企業(yè)網(wǎng)絡拓撲高可靠性的主旨思路是，在企業(yè)網(wǎng)絡接入層、匯聚層和核心層的拓撲中采用高可靠性的硬件設備和協(xié)議技術(shù)，保證企業(yè)網(wǎng)絡具有較高的冗余，并能迅速轉(zhuǎn)移修復，為企業(yè)后續(xù)升級提供高性價比和可擴展性。因此，對企業(yè)網(wǎng)絡可靠性產(chǎn)生影響的因素分別有以下幾個：（1）拓撲結(jié)構(gòu)：企業(yè)計算機網(wǎng)絡的連接點之間是基于拓撲結(jié)構(gòu)來構(gòu)建的。在企業(yè)網(wǎng)絡規(guī)劃中，拓撲結(jié)構(gòu)是決定企業(yè)網(wǎng)絡質(zhì)量的基礎(chǔ)，每個企業(yè)網(wǎng)絡規(guī)劃都會用到它。由此可以看出，一個拓撲結(jié)構(gòu)能否確保其企業(yè)網(wǎng)絡安全可靠的運行是衡量該拓撲結(jié)構(gòu)的關(guān)鍵。（2）網(wǎng)絡管理及控制：大多數(shù)情況下，企業(yè)計算機的網(wǎng)絡是由各種運維開發(fā)人員與運營商共同協(xié)調(diào)的。設施的組合是根據(jù)實際情況出發(fā)并進行配置的，網(wǎng)絡設施通常具有非常復雜的內(nèi)部結(jié)構(gòu)和許多特性。與此同時，大部分設施的規(guī)模都是巨大的。進行嚴格而精確的網(wǎng)絡管理和控制是企業(yè)網(wǎng)絡運行過程中非常關(guān)鍵的步驟之一，這極大的提高了傳輸過程中可靠性，保障了通訊的連接，當出現(xiàn)錯誤時，能以最小化的程度將錯誤風險減少到可承受范圍內(nèi)。并在故障發(fā)生時，可以在一定時間內(nèi)快速的進行排查，以確保企業(yè)網(wǎng)絡的可靠性。（3）網(wǎng)絡傳輸設備：在整個企業(yè)網(wǎng)絡系統(tǒng)中，設備在信息的傳輸和接收中起著一個至關(guān)重要的作用。不僅如此，這也是確保所有企業(yè)計算機都可以進行有效連接的先決條件。傳輸設備會直接影響企業(yè)計算機網(wǎng)絡的可靠性，并且通常這些問題一般很少會出現(xiàn)，一般是不會發(fā)生的。如果出現(xiàn)問題，將會引起不好的反應到計算機。（4）企業(yè)計算機網(wǎng)絡設備：對于企業(yè)用戶有直接相關(guān)的設備就是企業(yè)計算機網(wǎng)絡設備，而且它們也是連接計算機的重要硬件，并且在計算機在網(wǎng)絡運行中是必不可缺的組成之一。在計算機設備中，當用戶可以直接訪問的設備，其往往具有強的互換性。因此，這種設備應具有著較高的可靠性。隨著技術(shù)的不斷更新和穩(wěn)定，各種設備也正在逐步進行優(yōu)化。1.5論文結(jié)構(gòu)安排本文主要分析當前企業(yè)網(wǎng)絡可靠性的現(xiàn)狀及影響因素，并根據(jù)當前主流企業(yè)網(wǎng)絡高可靠性的設計與規(guī)劃，解決網(wǎng)絡單點故障以及鏈路不可靠的問題。設計得出企業(yè)網(wǎng)絡高可靠性應具備的要素。各章節(jié)的主要內(nèi)容如下：第1章首先對企業(yè)網(wǎng)絡可靠性的概念進行概述，并分析當前企業(yè)網(wǎng)絡可靠性的現(xiàn)狀并根據(jù)企業(yè)網(wǎng)絡可靠性的影響因素進行了解與分析；第2章對企業(yè)網(wǎng)絡高可靠性進行設計及分析，通過分析當前企業(yè)網(wǎng)絡接入層、匯聚層和核心層的高可靠性典型拓撲設計，選擇當前主流企業(yè)網(wǎng)絡高可靠性拓撲。同時分析企業(yè)網(wǎng)絡高可靠性在硬件和鏈路上的選擇，得出該采用何種協(xié)議或技術(shù)，并分析其在原理及在企業(yè)網(wǎng)絡中的作用；第3章對選擇好的企業(yè)網(wǎng)絡高可靠性的拓撲及協(xié)議技術(shù)進行部署，同時確保其拓撲、協(xié)議和技術(shù)運行并生效；第4章對部署完成的設備及協(xié)議技術(shù)進行測試，確保企業(yè)網(wǎng)絡具有較高的可靠性、可用性以及冗余性；第5章對整個高可靠性的企業(yè)網(wǎng)絡設計與部署進行總結(jié)，同時說明當前企業(yè)網(wǎng)絡高可靠性的設計與部署存在的不足之處以及后續(xù)解決并升級發(fā)展的想法。第二章相關(guān)技術(shù)概述2.1EVE-NG模擬平臺EVE-NG（EmulatedVirtualEnvironment–NextGeneration），即下一代模擬虛擬環(huán)境仿真平臺。EVE-NG不僅可以模擬網(wǎng)絡設備和測試任何類型的安全漏洞及系統(tǒng)工程，也可以運行一切虛擬機。理論上，如果虛擬機的虛擬磁盤格式能轉(zhuǎn)換為qcow2，其虛擬機都可以在EVE-NG上運行。方便團隊或個人研究及了解各種技術(shù)和測試新技術(shù)，為其在投入生產(chǎn)之前進行更改，也可以用于重建網(wǎng)絡，并通過重新創(chuàng)建網(wǎng)絡問題來進行故障排除，例如用Wireshark檢查數(shù)據(jù)包。不僅如此，EVE-NG還采用了無客戶端技術(shù)，因此用戶無需安裝Telnet或VNC軟件即可使用瀏覽器中的HTML5控制臺組件進行配置，極大地簡化了模擬器的可用性、可重用性、可管理性、互聯(lián)性、分發(fā)性，從而簡化了理解和共享拓撲、工作、思想、概念或簡單地做實驗的能力。減少了用戶設置所需內(nèi)容學習的成本和時間，同時更加精簡和降低了設備之前配置及修復問題的難度。2.2VLAN劃分VLAN（VirtualLocalAreaNetwork），即虛擬局域網(wǎng)。在企業(yè)中，其大型網(wǎng)絡容易遭受到廣播風暴以及一些基于廣播技術(shù)的攻擊。因此，VLAN劃分為網(wǎng)絡創(chuàng)建了單獨的廣播域，從而無需創(chuàng)建完全獨立的硬件LAN來克服大型廣播域的問題。讓每個VLAN充當獨立的廣播域，有助于提高網(wǎng)絡的安全性，可靠性和效率。同時可以采用多種方式來利用VLAN來滿足企業(yè)的需求，比如通過VLAN將用戶訪問限制在某些網(wǎng)段，然后僅允許授權(quán)用戶訪問具有高度敏感信息的網(wǎng)絡、或者是將財務員工與人力資源員工分開。這樣不僅可以有效分隔用戶流量，提高安全性和可用性，還更有效的利用了現(xiàn)有的帶寬和上行鏈路。除了這些作用以外，企業(yè)可以根據(jù)VLAN的不同為網(wǎng)絡中的每個VLAN安裝不同的安全軟件和防火墻，從而減少威脅和風險并保護敏感數(shù)據(jù)。如果當一個VLAN面臨漏洞風險時，這樣做有助于防止整個系統(tǒng)受到損害。除此以外，VLAN不僅易于網(wǎng)絡管理，還為管理人員和用戶提供了靈活性，使處于不同位置相互分散的員工和設備可以輕松地與他人之間互相連接，也為將來的業(yè)務增長做好準備。因此，VLAN的劃分對企業(yè)網(wǎng)絡的高可靠性、可擴展性具有非常高的保障。2.3鏈路聚合在鏈路中，有線連接往往是最高效的連接，其可以不受無線電波的干擾，始終保持安全的有效的連接。因此對于一般的家庭網(wǎng)絡中，單條有線連接以滿足其日常使用。然而在企業(yè)中，一條有線連接往往是不夠用的，如果當這條鏈路斷開或者流量突然增加，而且對于企業(yè)網(wǎng)絡來說，流量大是家庭便飯，因此出現(xiàn)網(wǎng)絡延遲，甚至嚴重到出現(xiàn)數(shù)據(jù)包丟失。這對于一個企業(yè)來說，這后果是災難級的。此時，鏈路聚合給企業(yè)帶來了非常多的好處。其可以增加帶寬，提升吞吐量，讓聚合的物理鏈路比每個單獨的鏈路提供更高的帶寬，并在發(fā)生故障時提供適度的降級，將流量動態(tài)透明地重新分配給其他物理鏈路之一，自動平衡所有其余鏈路上的流量，提高鏈路的可用性和可靠性。同時，它能更好的利用物理資源，可以跨物理鏈路平衡流量，通過負載均衡所有可用鏈路上的流量來提供網(wǎng)絡冗余。不僅如此，其對于企業(yè)的成本效益和可擴展性非常的友好，當企業(yè)需要升級時，物理網(wǎng)絡升級的成本可能很高，尤其是在需要重新鋪設電纜的情況下。而鏈路聚合無需使用新設備即可增加帶寬。2.4MSTP協(xié)議技術(shù)MSTP（MultipleSpanningTreeProtocol），即多生成樹協(xié)議。在一個企業(yè)網(wǎng)絡規(guī)劃中，由于采用三角形拓撲結(jié)構(gòu)，其二層鏈路之間會出現(xiàn)環(huán)路；同時，在企業(yè)網(wǎng)絡規(guī)劃及部署時，硬件之間的鏈路通常采用鏈路聚合方式，所以往往需要兩條及以上的鏈路來搭載，實現(xiàn)鏈路上的冗余。但這樣做的話會導致企業(yè)網(wǎng)絡鏈路中會不可避免的出現(xiàn)環(huán)路。環(huán)路會產(chǎn)生廣播風暴，最終導致整個網(wǎng)絡資源被耗盡，網(wǎng)絡癱瘓不可用。環(huán)路還會引起MAC地址表震蕩導致MAC地址表項被破壞。因此，使用生成樹協(xié)議是必不可缺的，那么該使用STP，RSTP和MSTP中哪一種成為了問題。我們可以從MSTP產(chǎn)生的背景可以得出：生成樹協(xié)議和快速生成樹協(xié)議都是負責識別LAN網(wǎng)絡中的鏈路并關(guān)閉冗余鏈路，從而防止可能出現(xiàn)的網(wǎng)絡環(huán)路。它們都提供了一種通過阻塞以太網(wǎng)網(wǎng)絡中的鏈路來防止環(huán)路的方法。如果活動鏈路出現(xiàn)阻塞或斷開時，可以將被阻塞的鏈路投入使用。為此，運行該協(xié)議的所有企業(yè)網(wǎng)絡交換機設備都會在它們之間發(fā)送接收BPDU信息，以商定根網(wǎng)橋。一旦它們選擇好根網(wǎng)橋后，每個交換機都必須確定其哪些端口將與根端口通信。當有多個鏈路連接到根網(wǎng)橋，則將其中一個選為轉(zhuǎn)發(fā)端口即指定端口，而其他鏈路被阻止。但是它們兩個協(xié)議都擁有一個欠缺，即從一個節(jié)點到另一節(jié)點的網(wǎng)絡中可能存在許多物理或等價的多條路徑，所有流量仍將沿生成樹定義的一條路徑流動。這樣做的好處是可以避免流量循環(huán)，但是要付出一定的代價。將流量限制為該唯一路徑意味著阻止替代路徑，有時甚至更直接的路徑。這意味著企業(yè)無法充分利用潛在的網(wǎng)絡容量。說明可以將多個VLAN同時用于單獨的生成樹中，導致任何給定VLAN中的流量都無法使用所有可用的網(wǎng)絡容量。這在過去是可以接受的，但是隨著企業(yè)網(wǎng)絡技術(shù)的日益進步發(fā)展，其已逐漸不太適合企業(yè)網(wǎng)絡的部署。因此如何革除STP和RSTP的弊端，其定義了一個新的標準，即MSTP協(xié)議。其原理是每個VLAN都有對應的生成樹實例，這樣就會產(chǎn)生對照表，避免每個VLAN單獨使用在同一生成樹上。這樣聯(lián)系好的多實例就能實現(xiàn)對業(yè)務流量和用戶流量的隔離，使企業(yè)網(wǎng)絡流量能進行快速轉(zhuǎn)發(fā)，并實現(xiàn)多條鏈路上的冗余，避免之前只能使用單條鏈路，做到了負載均衡。最重要的是MSTP對STP和RSTP具有支持性。為后續(xù)企業(yè)的網(wǎng)絡升級發(fā)展提供了充足的準備。2.5HSRP協(xié)議技術(shù)HSRP（HotStandbyRouterProtocol），即熱備路由器協(xié)議。在企業(yè)網(wǎng)絡規(guī)劃中，接入層與匯聚層之前通常采用多生成樹協(xié)議。因此在由思科設備搭載的企業(yè)網(wǎng)絡往往采用HSRP協(xié)議與MSTP協(xié)議之間互相搭配。HSRP是思科專有的協(xié)議，其通過提供第一跳來提供網(wǎng)絡高可靠性的標準方法，為配置了默認網(wǎng)關(guān)IP地址的本地子網(wǎng)提供IP主機的冗余。HSRP路由IP之間的通信不依賴任何單個路由器的可用性。它將具有相同組ID的成員劃為是同一組的成員，組中的成員之一將被選為活動路由器，而其他成員將保留為備用路由器。虛擬IP被配置為本地子網(wǎng)中所有主機的默認網(wǎng)關(guān)，活動路由器則負責轉(zhuǎn)發(fā)本地主機的流量。如果活動路由器出現(xiàn)故障，那么在活動路由器和備用路由器之間它們不會交換Hello消息，因此備用路由器將一直等待，直到下一計時器開始為止。當保持時間結(jié)束后，備用路由器成為活動路由器，并主動承擔活動路由器的所有職責，這一過程被稱之為搶占。如果原始活動路由器又回來了，那么我們可以根據(jù)它們之前配置的優(yōu)先級，對比原始活動路由器與備用路由器之間的優(yōu)先級，優(yōu)先級高的則成為活動路由器，低得則成為備用路由器。這樣保證了企業(yè)接入層與匯聚層之間具有較高的冗余性和負載均衡。2.6EIGRP協(xié)議技術(shù)EIGRP（EnhancedInteriorGatewayRoutingProtocol），即增強型內(nèi)部網(wǎng)關(guān)路由協(xié)議。在企業(yè)網(wǎng)絡的核心層與匯聚層之間往往需要其能提供快速的路由轉(zhuǎn)發(fā)和極強的可持續(xù)性。因此在思科設備中，配置EIGRP協(xié)議是最優(yōu)選擇。該協(xié)議為距離矢量和鏈路狀態(tài)路由協(xié)議，其依賴于擴散更新算法來計算到達網(wǎng)絡內(nèi)目標的最短路徑。其原理是在組播地址中發(fā)送Hello包，當路由器同樣以此方式收到鄰居發(fā)送的Hello包時，雙方則會建立鄰居關(guān)系，并互相發(fā)送路由表，并以此類推，路由器擁有整個網(wǎng)絡的拓撲，在進行路由轉(zhuǎn)發(fā)的時候，選擇它們之間的最低開銷值，即最短路徑。支持等價負載均衡與不等價負載均衡。早期由思科開發(fā)的私有協(xié)議，但在2013年開放為共有協(xié)議。因此，在企業(yè)網(wǎng)絡中，EIGRP可以很好地進行擴展，并以極少的網(wǎng)絡流量提供極快的收斂時間。同時正常運行期間網(wǎng)絡資源使用占用率非常低；只有Hello數(shù)據(jù)包在穩(wěn)定的網(wǎng)絡上傳輸。當拓撲發(fā)生更改時，僅傳播路由表更改，而不傳播整個路由表，這減少了路由協(xié)議本身在網(wǎng)絡上的負載。由于企業(yè)網(wǎng)絡規(guī)模往往是龐大的，拓撲的更改，其所需的收斂時間經(jīng)常需要耗費較多的時間，而EIGRP協(xié)議所需的收斂時間則相對較短。在設計良好的網(wǎng)絡中，其收斂時間接近是瞬間的。為企業(yè)網(wǎng)絡提供了高可靠性。2.7NAT協(xié)議技術(shù)NAT（Network

Address

Translation），即網(wǎng)絡地址轉(zhuǎn)換。在企業(yè)中，由于其網(wǎng)絡屬于大型網(wǎng)絡，所使用的內(nèi)網(wǎng)地址是不能在公網(wǎng)中進行路由的，因為不同私網(wǎng)的地址是可以重復的，如果可以訪問外網(wǎng)的話重復的私網(wǎng)地址就會造成通信的紊亂。所以企業(yè)局域網(wǎng)與外網(wǎng)之間的訪問通信需要完成地址之間的轉(zhuǎn)換，外網(wǎng)訪問內(nèi)網(wǎng)需要轉(zhuǎn)換成內(nèi)網(wǎng)地址，同理內(nèi)網(wǎng)訪問外網(wǎng)也需要轉(zhuǎn)換成外網(wǎng)地址。因此，需要NAT技術(shù)進行地址池轉(zhuǎn)換，NAT轉(zhuǎn)換設備一般架設在網(wǎng)絡出口位置也就是內(nèi)部網(wǎng)絡和外部網(wǎng)絡的連接位置，此設備通常為出口防火墻或路由器。NAT協(xié)議技術(shù)的運作是，企業(yè)網(wǎng)絡出口設備將專用地址分配給專用某一網(wǎng)絡內(nèi)的計算機，即將多個本地專用區(qū)域使用的地址映射到公共區(qū)域。NAT協(xié)議技術(shù)主要是應用于實現(xiàn)內(nèi)部網(wǎng)絡的大量私有網(wǎng)絡地址對少量共有網(wǎng)絡地址的轉(zhuǎn)換，通過大量的用戶利用少量的賬號轉(zhuǎn)換來保障通信的基礎(chǔ)上節(jié)約IP地址資源的作用。而根據(jù)應用場景及方式的不同，NAT可分為以下三類：靜態(tài)NAT：將公用IP地址池分配給NAT轉(zhuǎn)換設備。然后可以將私有IP地址靜態(tài)映射到這些公共地址中的任何一個。因為這種類型的NAT方案通常用于始終需要相同IP地址的服務器，所以叫靜態(tài)NAT。即某一設備將始終分配到同一個公用IP地址，而另一設備每次則會分配不同的公用IP地址。動態(tài)NAT:同理，NAT轉(zhuǎn)換設備中配置了IP地址池。但其不同點在于其需要使用IP地址池才會分配，不需要時則將其返還。因此，如果計算機A需要一個公共地址，它將從池中獲取一個公共地址，然后在完成后將其退回。下次同一臺計算機需要IP地址時，可以為該計算機分配跟上次不同的公共地址，因為先前使用的IP地址可能已被另一臺計算機使用，所以叫做動態(tài)。端口PAT：在這種類型的設置中，企業(yè)只需將一個公共IP地址分配給其網(wǎng)絡，因此，當企業(yè)人員需訪問外網(wǎng)時，每個人都將共享該公共地址。但其訪問時使用的端口都不一樣，由源端口唯一標識。因此，此方式叫端口地址轉(zhuǎn)換。2.8IPSecVPN技術(shù)IPSecVPN（InternetProtocolSecurityVirtualPrivateNetwork），即開放標準的安全框架結(jié)構(gòu)的虛擬專業(yè)網(wǎng)。在企業(yè)中，隨著對網(wǎng)絡安全性及可靠性的要求越來越高，而使用TCP/IP協(xié)議會缺乏有效的安全認證和保密機制。因此使用IPsecVPN為當前企業(yè)網(wǎng)絡規(guī)劃部署的主流，其采用一種遠程接入的VPN技術(shù)。在互聯(lián)網(wǎng)上為兩個私有網(wǎng)絡提供安全通信隧道，通過加密隧道保證連接和通信的安全，在兩個公共網(wǎng)關(guān)間提供私密數(shù)據(jù)封包服務，可以用來保障IP數(shù)據(jù)報文在網(wǎng)絡上傳輸?shù)臋C密性、完整性和防重放。根據(jù)網(wǎng)絡層次對現(xiàn)有的VPN進行劃分，可分為工作在網(wǎng)絡層的三層VPN：GRE、IPSEC以及工作在數(shù)據(jù)鏈路層的二層VPN：PPTP、L2F、L2TP。兩個公司處在不同的物理地域而如果他們之間要進行通信的流量都要穿過Internet上的未知網(wǎng)絡，無法保證在網(wǎng)絡上發(fā)送和接送數(shù)據(jù)的安全性，因此在兩個公司之間的網(wǎng)關(guān)即防火墻上應配置點到點的模式，通過建立加密的IPSEC隧道實現(xiàn)局域網(wǎng)互通的IPSECVPN。2.9防火墻雙機熱備技術(shù)在企業(yè)網(wǎng)絡中，為了保護內(nèi)部網(wǎng)絡的上網(wǎng)風險，往往在內(nèi)網(wǎng)與外網(wǎng)之間架設防火墻。然而，為了避免單個防火墻失效帶來的網(wǎng)絡安全問題。企業(yè)通常采用兩個或更多的防火墻，以便每個防火墻都充當其他防火墻的備份，或每個設備之間狀態(tài)可以彼此保持同步，并能夠檢測到故障，當其中一個防火墻在檢測到故障時可以立即進行故障轉(zhuǎn)移。達到企業(yè)網(wǎng)絡的高可靠性。此過程在思科防火墻中被稱為Failover模式，其正是為了提供幾乎不中止的服務，保證企業(yè)網(wǎng)絡的連通性。同時，在部署Failover模式時，每臺防火墻的硬件配置和軟件配置應保持相同，例如產(chǎn)品型號、插口模式、RAM、許可證版本、運行模式、系統(tǒng)版本。在實現(xiàn)Failover模式中，分別有兩種模式，分別為A-S與A-A模式。A-S（Active-Standby），即主備模式。當Failover模式為A-S模式時，在雙防火墻中，需要把一臺防火墻配置為主用角色，而另一臺防火墻則配置為備用角色。被配置為主用角色的防火墻會充當變成Active，以此承擔服務并轉(zhuǎn)發(fā)流量。而被配置成備用角色的防火墻則會充當變成Standby，以此充當備用設備。當主用設備被關(guān)閉或發(fā)生問題時，備用設備則立馬承擔服務并發(fā)送數(shù)據(jù)。A-A（Active-Active），即雙主模式。當Failover模式為A-A模式時，在雙防火墻中，兩臺防火墻都處于Active狀態(tài)，這兩臺防火墻可以同時處理和過濾數(shù)據(jù)包，因此流量可以在兩個設備之間進行負載平衡。如果一臺防火墻出現(xiàn)故障，則另一臺防火墻將承擔全部處理負載，直到出現(xiàn)故障的防火墻再次變?yōu)榛顒訝顟B(tài)為止。這兩種模式的區(qū)別在于A-A模式只能使用在多模式防火墻中，即企業(yè)網(wǎng)絡中擁有多個防火墻，將Active分為兩個組，每兩個防火墻分別分配在不同的Active組中，并相互工作互相冗余，當組內(nèi)的其中一臺防火墻被關(guān)閉或發(fā)生問題時，另外一組的一臺防火墻及時切換組別，繼續(xù)承擔其服務并轉(zhuǎn)發(fā)流量。因此，A-A模式使企業(yè)網(wǎng)絡具有更強的冗余性和更高的可靠性。但此次企業(yè)網(wǎng)絡高可靠性的部署中，由于電腦硬件配置的限制，因此采用A-S模式進行部署。第三章系統(tǒng)需求分析3.1企業(yè)網(wǎng)絡高可靠性的典型拓撲設計3.1.1企業(yè)網(wǎng)絡接入層的高可靠性典型拓撲設計當前企業(yè)網(wǎng)絡接入層連接到匯聚層的連接方法有四種，分別為以下四種典型拓撲設計及優(yōu)缺點對比。如圖3-1、表3-1所示。圖3-1接入層四種典型拓撲設計表3-1接入層四種典型拓撲優(yōu)缺點對比拓撲結(jié)構(gòu)優(yōu)點缺點倒U型拓撲結(jié)構(gòu)無需運行生成樹協(xié)議，方便管理網(wǎng)絡；VLAN間路由可配置在匯聚層的交換機上，具有高效的擴展能力當匯聚層交換機出現(xiàn)單點故障時，會導致同一邊的接入層交換機失去其工作能力，不能給企業(yè)網(wǎng)絡帶來高可靠性U型拓撲結(jié)構(gòu)無需運行生成樹協(xié)議，方便管理網(wǎng)絡；接入層交換機和匯聚層交換機之間鏈路聚合，具有高可靠性VLAN間路由不能配置在匯聚層的交換機上，不具有高效的擴展能力。同時匯聚層交換機之間無連接心跳線，導致各報文信息不能進行轉(zhuǎn)發(fā)傳送，可靠性較低矩形拓撲結(jié)構(gòu)VLAN間路由可配置在匯聚層的交換機上，具有高效的擴展能力；接入層交換機和匯聚層交換機之間鏈路聚合，具有高可靠性；運行生成樹協(xié)議，實現(xiàn)VLAN數(shù)據(jù)的負載均衡當匯聚層或接入層交換機出現(xiàn)單點故障時，會導致同一邊的任意一層交換機失去其工作能力，不能給企業(yè)網(wǎng)絡帶來高可靠性三角形拓撲結(jié)構(gòu)接入層交換機和匯聚層交換機之間多條鏈路連接，具有冗余性；VLAN間路由可配置在匯聚層的交換機上，具有高效的擴展能力；運行生成樹協(xié)議，實現(xiàn)VLAN數(shù)據(jù)的負載均衡接入層采用三角形拓撲結(jié)構(gòu)，導致二層交換機存在環(huán)路，因此運行的生成樹協(xié)議通常為多生成樹協(xié)議，即MSTP。所以其計算量比其他拓撲龐大從圖3-1以及表3-1中可以看出，拓撲4，即三角形拓撲結(jié)構(gòu)具有更高的訪問可靠性和更高效的可擴展能力，為企業(yè)網(wǎng)絡帶來高可靠性。因此，建議選擇三角形拓撲結(jié)構(gòu)作為企業(yè)網(wǎng)絡接入層的拓撲設計。3.1.2企業(yè)網(wǎng)絡匯聚層的高可靠性典型拓撲設計當前企業(yè)網(wǎng)絡匯聚層連接到核心層的連接方法有三種，分別為以下三種典型拓撲設計及優(yōu)缺點對比。如圖3-2、表3-2所示。圖3-2匯聚層三種典型拓撲設計表3-2匯聚層三種典型拓撲優(yōu)缺點對比拓撲結(jié)構(gòu)優(yōu)點缺點三角形拓撲結(jié)構(gòu)匯聚層交換機和核心層交換機之間多條鏈路連接，并采用EIGRP協(xié)議，具有冗余性當核心層交換機之間的心跳線斷開時，會導致核心層間各報文信息不能進行轉(zhuǎn)發(fā)傳送，可靠性較低矩形拓撲結(jié)構(gòu)核心層交換機之間鏈路聚合，和匯聚層交換機之前采用EIGRP協(xié)議，具有高可靠性；匯聚層交換機之間連接心跳線，具有較高的冗余性核心層交換機和匯聚層交換機之前的鏈接沒有采用多條冗余，當其中某條鏈接斷開時，會加大其他鏈路的開銷，造成網(wǎng)絡堵塞，導致網(wǎng)絡可靠性下降復合型多邊拓撲結(jié)構(gòu)融合三角形拓撲結(jié)構(gòu)以及矩形拓撲結(jié)構(gòu)的優(yōu)點。當出現(xiàn)單點故障時，其故障收斂時間較短，增強企業(yè)網(wǎng)絡的可靠性拓撲結(jié)構(gòu)復雜，企業(yè)花費的網(wǎng)絡建設成本較高。給后續(xù)網(wǎng)絡升級管理帶來一絲困難，考驗企業(yè)網(wǎng)絡管理人員的能力從圖3-2以及表3-2中可以看出，拓撲3，即復合型多邊拓撲結(jié)構(gòu)具有更多的冗余設計和更高的訪問可靠性，為企業(yè)網(wǎng)絡帶來高可靠性。同時，復合型多邊拓撲結(jié)構(gòu)是當前許多企業(yè)網(wǎng)絡拓撲設計的主流。因此，建議選擇復合型多邊拓撲結(jié)構(gòu)作為企業(yè)網(wǎng)絡匯聚層的拓撲設計。3.1.3企業(yè)網(wǎng)絡核心層的高可靠性典型拓撲設計作為一個企業(yè)網(wǎng)絡的核心承擔者，核心層交換機應要求其能在短時間內(nèi)提供數(shù)據(jù)轉(zhuǎn)發(fā)和具有較強的可持續(xù)性，因此采用雙核心或多核心作為企業(yè)網(wǎng)絡核心層拓撲設計已逐漸成為趨勢，這給企業(yè)網(wǎng)絡核心層帶來高可靠性的同時，也給企業(yè)網(wǎng)絡帶來較高的可冗余性和負載均衡模式。從圖3-2以及表3-2中可以看出，拓撲3，即復合型多邊拓撲結(jié)構(gòu)中核心層具有雙核心結(jié)構(gòu)，同時核心層交換機之間采用鏈路聚合，和匯聚層之間采用多條鏈路形成冗余。擁有更強的訪問可靠性和較高的冗余性，為企業(yè)網(wǎng)絡帶來高可靠性。因此，建議選擇復合型多邊拓撲結(jié)構(gòu)作為企業(yè)網(wǎng)絡核心層的拓撲設計。3.2企業(yè)網(wǎng)絡高可靠性硬件的選擇在企業(yè)網(wǎng)絡規(guī)劃設計中，硬件設備是組成企業(yè)網(wǎng)絡的基礎(chǔ)。因此，硬件設備的高可靠性成為企業(yè)網(wǎng)絡規(guī)劃中的重中之重。當前，企業(yè)網(wǎng)絡主流硬件設備高可靠性的措施分別有設備冗余、磁盤存儲冗余、處理器冗余、網(wǎng)卡冗余和電源冗余。設備冗余：將一臺以上的設備利用級聯(lián)、堆疊或集群這三種不同的連接方式組合起來一起工作。增強了設備的可用性和交換能力，讓設備能進行統(tǒng)一管理，大大降低了設備的管理難度，簡化了管理步驟。磁盤存儲冗余：通過采用RAID，即磁盤陣列。其原理是將多塊分別獨立的磁盤利用不同的算法互相組合成一個陣列。這種做法提高了數(shù)據(jù)的傳輸速率，并增加了其磁盤的吞吐量和保障其質(zhì)量。同時也提高了企業(yè)網(wǎng)絡系統(tǒng)的冗余性，保障其網(wǎng)絡的高可靠性。處理器冗余：采用兩個或以上的處理器來保證網(wǎng)絡的連續(xù)運行。雖然企業(yè)網(wǎng)絡中的處理器較少會出現(xiàn)問題，但采用多個處理器可分擔單個處理器所承受的數(shù)據(jù)轉(zhuǎn)發(fā)壓力，擁有更多的處理能力，保障了網(wǎng)絡的高可靠性。網(wǎng)卡冗余：指在設備中組裝多個網(wǎng)卡。利用多個網(wǎng)卡共同承擔企業(yè)網(wǎng)絡數(shù)據(jù)，并具有較高的可容錯性。電源冗余：采用兩個或以上的電源來保證設備的可持續(xù)運行。并通過技術(shù)讓其共同工作達到負載均衡的效果。同時具有冗余性，即如果某個電源產(chǎn)生問題時，剩下的電源也能繼續(xù)運行并替代損壞電源的功能。并在電源修復后，又能回到之前的工作狀態(tài)。這樣做盡量保證了設備能正常工作，減少由于電源出現(xiàn)故障導致設備切換修復重啟所花費的時間。為企業(yè)網(wǎng)絡實現(xiàn)了高可靠性。3.3企業(yè)網(wǎng)絡高可靠性技術(shù)的選擇（1）VLAN劃分（2）鏈路聚合（3）MSTP協(xié)議（4）HSRP協(xié)議（5）EIGRP協(xié)議（6）NAT協(xié)議（7）IPSecVPN技術(shù)（8）防火墻雙機熱備第四章設計與實現(xiàn)由上一章可得，企業(yè)網(wǎng)絡高可靠性的拓撲圖如圖4-1所示：圖4-1企業(yè)網(wǎng)絡高可靠性拓撲圖4.1劃分VLAN及配置網(wǎng)關(guān)由企業(yè)網(wǎng)絡規(guī)劃拓撲圖可得，該企業(yè)總公司設有高層、財務部、技術(shù)部、辦公區(qū)、內(nèi)部服務器和外部服務器六個部分。因此，根據(jù)每個部分的分工以及責任將其給自劃分為一個VLAN。高層IP網(wǎng)段為/24，為VLAN10；財務部IP網(wǎng)段為/24，為VLAN20；技術(shù)部IP網(wǎng)段為/24，為VLAN30；辦公區(qū)IP網(wǎng)段為/24，為VLAN40；內(nèi)部服務器IP網(wǎng)段為/24，為VLAN50；外部服務器IP網(wǎng)段為/24，為VLAN100。而該企業(yè)分公司則只設有高層、財務部、技術(shù)部和辦公區(qū)，因此分公司高層IP網(wǎng)段為/24，為VLAN100；分公司財務部IP網(wǎng)段為/24，為VLAN200；分公司技術(shù)部IP網(wǎng)段為/24，為VLAN300；分公司辦公區(qū)IP網(wǎng)段為/24，為VLAN400。由于配置類似，這里以匯聚層交換機D-SW1為例：interfaceEthernet0/0//進入端口0/0配置模式，下同switchporttrunkencapsulationdot1q//配置端口鏈路封裝協(xié)議封裝格式為dot1q，下同switchportmodetrunk//配置端口模式為trunk模式，下同!interfaceEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet1/0//進入端口1/0配置模式，下同switchporttrunkallowedvlan1,10//允許vlan1，10通過該端口，下同switchporttrunkencapsulationdot1q//配置端口鏈路封裝協(xié)議封裝格式為dot1q，下同switchportmodetrunk//配置端口模式為trunk模式，下同!interfaceEthernet1/1switchporttrunkallowedvlan1,20switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet1/2switchporttrunkallowedvlan1,30switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet1/3switchporttrunkallowedvlan1,40switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet2/0switchporttrunkallowedvlan1,50switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceVlan1//進入Vlan1配置模式，下同ipaddress53//配置IP地址為53，子網(wǎng)掩碼為，下同!interfaceVlan10ipaddress54!interfaceVlan20ipaddress53!interfaceVlan30ipaddress54!interfaceVlan40ipaddress53!interfaceVlan50ipaddress54!配置完成后，查看VLAN是否創(chuàng)建并運行和IP是否配置成功，如圖4-2所示：圖4-2VLAN狀態(tài)及IP4.2鏈路聚合在匯聚層交換機之間和核心層交換機之間的兩條鏈路進行鏈路聚合，如圖4-3所示：圖4-3鏈路聚合由于配置類似，這里以核心層交換機C-SW1為例：interfacePort-channel1//進入聚合端口1配置模式，下同switchporttrunkencapsulationdot1q//配置端口鏈路封裝協(xié)議封裝格式為dot1q，下同switchportmodetrunk//配置端口模式為trunk模式，下同!interfaceEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeon//將端口0/2劃入聚合端口1中，下同!interfaceEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeon!配置完成后，查看鏈路聚合狀態(tài)，如圖4-4所示：圖4-4鏈路聚合狀態(tài)4.3MSTP在匯聚層中，由于劃分VLAN，使得每個VLAN形成獨立的STP。因此，多生成樹協(xié)議的配置如下，以D-SW1為例：spanning-treevlan10rootprimary//配置D-SW1為vlan10的主用根，下同spanning-treevlan30rootprimaryspanning-treevlan50rootprimaryspanning-treevlan1rootsecondary//配置D-SW1為vlan1的備用根，下同spanning-treevlan20rootsecondaryspanning-treevlan40rootsecondary！配置命令在D-SW2原理相同，但配置需相反，組成互為主備。配置完成后，D-SW1和D-SW2的STP狀態(tài)如圖4-5、圖4-6所示：圖4-5D-SW1的STP狀態(tài)圖4-6D-SW2的STP狀態(tài)4.4HSRP通過配置HSRP，與MSTP相配合，保持主備統(tǒng)一。由于VLAN10、30、50的主根在設備D-SW1上，那么對應的熱備網(wǎng)關(guān)HSRP，則以A為主，B為備用。而VLAN1、20、40的根在B設備上面，那么對應的熱備網(wǎng)關(guān)HSRP，則以B為主，A為備用。這樣的話形成路徑最優(yōu)，資源利用達到最大化。因此，熱備路由器協(xié)議的配置如下，由于配置命令類似，這里以D-SW1為例：track1interfaceEthernet0/0line-protocol//配置監(jiān)控命令1，監(jiān)控追蹤端口0/0!track2interfaceEthernet0/1line-protocol//配置監(jiān)控命令2，監(jiān)控追蹤端口0/1!interfaceVlan1//進入Vlan1配置模式，下同ipaddress53iphelper-address48//配置dhcp服務器地址為48，下同standby1ip52//配置熱備虛擬網(wǎng)關(guān)地址為52，下同standby1preempt//開啟搶占standby1track1decrement50//實行監(jiān)控命令1，監(jiān)控追蹤上行鏈路，當上行鏈路出現(xiàn)堵塞時，降低50的優(yōu)先級，下同standby1track2decrement50//實行監(jiān)控命令2，監(jiān)控追蹤上行鏈路，當上行鏈路出現(xiàn)堵塞時，降低50的優(yōu)先級，下同!interfaceVlan10ipaddress54iphelper-address48standby1ip52standby1priority105standby1preemptstandby1track1decrement50standby1track2decrement50!interfaceVlan20ipaddress53iphelper-address48standby1ip52standby1preemptstandby1track1decrement50standby1track2decrement50!interfaceVlan30ipaddress54iphelper-address48standby1ip52standby1priority105standby1preemptstandby1track1decrement50standby1track2decrement50!interfaceVlan40ipaddress53iphelper-address48standby1ip52standby1preemptstandby1track1decrement50standby1track2decrement50!interfaceVlan50ipaddress54standby1ip52standby1priority105standby1preemptstandby1track1decrement50standby1track2decrement50!配置完成后，D-SW1和D-SW2的HSRP配置狀態(tài)如圖4-7、圖4-8所示：圖4-7D-SW1的HSRP狀態(tài)圖4-8D-SW2的HSRP狀態(tài)4.5EIGRP核心層交換機與匯聚層交換機之間配置EIGRP實現(xiàn)路由快速轉(zhuǎn)發(fā)，由于配置命令類似，這里以C-SW1為例：routereigrp50//進入eigrp模式，系統(tǒng)號為50network//宣告接入網(wǎng)絡為，反掩碼為network//宣告接入網(wǎng)絡為，反掩碼為noauto-summary//關(guān)閉自動匯總redistributestatic//引用靜態(tài)路由!配置完成后，C-SW1和D-SW1的EIGRP鄰居狀態(tài)如圖4-9、圖4-10所示：圖4-9C-SW1的EIGRP鄰居狀態(tài)圖4-10D-SW1的EIGRP鄰居狀態(tài)4.6NAT此次NAT采用端口轉(zhuǎn)換模式，并將外部服務器公布在固定的外網(wǎng)IP上，如WEB服務器。其配置如下：interfaceEthernet0//進入端口0配置模式，下同nameifoutside1//設置端口名為outside1，下同security-level0//設置優(yōu)先級為0，下同ipaddress48standby//配置ip地址為，子網(wǎng)地址掩碼為48，備用地址為，下同!interfaceEthernet1nameifoutside2security-level0ipaddress48standby!interfaceEthernet4nameifinside1security-level100ipaddress48standby!interfaceEthernet5nameifinside2security-level100ipaddress48standby!interfaceEthernet6nameifdmzsecurity-level50ipaddress54standby53!objectnetworkinside1-subnet//創(chuàng)建名為inside1-subnet的對象，下同subnet//有效IP地址為，子網(wǎng)掩碼為，下同objectnetworkinside2-subnetsubnetobjectnetworkinside3-subnetsubnetobjectnetworkinside4-subnetsubnetobjectnetworkdmz1-subnetsubnetobjectnetworkdmz2-subnetsubnetobjectnetworkdmz-web1//創(chuàng)建名為dmz-web1的對象，下同host//有效IP為，下同objectnetworkdmz-web2hostaccess-listoutside_aclextendedpermittcpanyhosteqwww//創(chuàng)建名為outside_acl的策略，其允許通過ip為的web服務!objectnetworkinside1-subnet//創(chuàng)建名為inside1-subnet的對象，下同nat(inside1,outside1)dynamicinterface//配置端口名為inside1與outside1單方面端口轉(zhuǎn)換，下同objectnetworkinside2-subnetnat(inside1,outside2)dynamicinterfaceobjectnetworkinside3-subnetnat(inside2,outside1)dynamicinterfaceobjectnetworkinside4-subnetnat(inside2,outside2)dynamicinterfaceobjectnetworkdmz1-subnetnat(dmz,outside1)dynamicinterfaceobjectnetworkdmz2-subnetnat(dmz,outside2)dynamicinterfaceobjectnetworkdmz-web1//進入名為dmz-web1的對象，下同nat(dmz,outside1)static//配置端口名為dmz與outside1的單方面靜態(tài)綁定轉(zhuǎn)換ip地址為，下同objectnetworkdmz-web2nat(dmz,outside2)staticaccess-groupoutside_aclininterfaceoutside1//在接口名稱為outside1上運行命令組outside_acl，下同access-groupoutside_aclininterfaceoutside2!配置完成后，F(xiàn)W-1的NAT狀態(tài)如圖4-11所示圖4-11FW-1的NAT狀態(tài)4.7防火墻雙機熱備此次雙機熱備采用A-S模式，其配置如下：interfaceEthernet2//進入端口0配置模式，下同descriptionLANFailoverInterface//此為同步配置接口!interfaceEthernet3descriptionSTATEFailoverInterface//此為同步會話接口!failover//進入failover配置模式failoverlanunitprimary//設置同步配置中此設備FW-1為主用設備failoverlaninterfaceLanEthernet2//接口2為同步配置接口failoverkey123456//密鑰為123456failoverlinkStateEthernet3//接口3為同步會話接口failoverinterfaceipLan52standby//設置同步配置接口ip為，子網(wǎng)掩碼為52，備用ip為failoverinterfaceipState52standby//設置同步會話接口ip為，子網(wǎng)掩碼為52，備用ip為！配置完成后，F(xiàn)W-1和FW-2的主備狀態(tài)如圖4-12、圖4-13所示圖4-12FW-1的主備狀態(tài)圖4-13FW-2的主備狀態(tài)4.8IPSecVPN此次IPSECVPN分別配置在分公司防火墻和總公司防火墻上，其中總公司防火墻的配置命令如下，以FW-1為例：object-groupnetworklocal-network//創(chuàng)建名為local-network的對象組，下同network-object//有效IP地址為，子網(wǎng)掩碼為，下同object-groupnetworkremote-networknetwork-objectaccess-listasa-router-vpnextendedpermitipobject-grouplocal-networkobject-groupremote-network//創(chuàng)建名為asa-router-vpn的策略，其允許通過ip在local-network對象組中的任意數(shù)據(jù)！nat(inside1,outside1)sourcestaticlocal-networklocal-networkdestinationstaticremote-networkremote-networkno-proxy-arproute-lookup//配置端口名為inside1與outside1的數(shù)據(jù)在ipsecvpn內(nèi)不需要進行端口轉(zhuǎn)換，下同nat(inside2,outside1)sourcestaticlocal-networklocal-networkdestinationstaticremote-networkremote-networkno-proxy-arproute-lookup！cryptoipsecikev1transform-setESP-AES-SHAesp-aesesp-sha-hmac//配置傳輸指定集指定加密和驗證算法cryptomapoutside_mapinterfaceoutside1//創(chuàng)建名為outside_map調(diào)用，并配置在名為outside1接口上cryptoikev1enableoutside1//設置開啟ipsec模式并配置名為outside1接口上cryptoikev1policy10//配置策略號為1authenticationpre-share//配置密鑰共享方式為預先共享encryptionaes//配置加密算法hashsha//hash命令指定采用sha算法group2//配置組別為2lifetime86400//配置保持時間為24小時!配置完成后，F(xiàn)W-1的IPSecVPN狀態(tài)如圖4-14所示圖4-14FW-1的IPSecVPN狀態(tài)第五章系統(tǒng)測試5.1鏈路聚合測試通過命令showetherchannel1detail即可查詢鏈路聚合狀態(tài)，從而測試鏈路聚合是否成功運行，這里以C-SW1為例，如圖5-1所示：圖5-1鏈路聚合測試5.2MSTP測試通過trace命令查看vlan10與vlan20在與核心層交換機C-SW1通信時是否走各自的主用根路徑即可測試MSTP是否已成功運行，由圖5-2、圖5-3所示：圖5-2VLAN10MSTP測試圖5-3VLAN20MSTP測試5.3HSRP測試通過斷開各匯聚層交換機e0/0的上行鏈路查看優(yōu)先級是否都降低并主備保持不變，從而測試HSRP是否成功運行，由圖5-4、圖5-5所示：圖5-4D-SW1HSRP測試圖5-5D-SW2HSRP測試5.4EIGRP測試通過Wireshark抓包核心層交換機C-SW1（IP:）上的e1/0端口與匯聚層交換機D-SW1（IP:53）上的e0/0端口，查看它們之后有無互相發(fā)送hello包，即可測試EIGRP是否成功運行，如圖5-6、圖5-7所示：圖5-6C-SW1EIGRP測試圖5-7D-SW1EIGRP測試5.5NAT測試通過命令showxlate即可查詢NAT狀態(tài)，同時查看當前正在進行端口轉(zhuǎn)換的接口，從而測試NAT是否成功運行，這里以FW-1為例，如圖5-8所示：圖5-8FW-1NAT測試5.6防火墻雙出口測試企業(yè)網(wǎng)絡搭建雙出口實現(xiàn)高可靠性。當主出口出現(xiàn)堵塞或斷開時可立即啟用備用出口。其配置命令如下：routeoutside11track1//配置被監(jiān)控追蹤在名為outside1的默認網(wǎng)關(guān)路由，并設置管理距離為1routeoutside210//配置被監(jiān)控追蹤在名為outside2的默認網(wǎng)關(guān)路由slamonitor1//進入路由聯(lián)動模式，進程號為1typeechoprotocolipIcmpEchointerfaceoutside1//配置從名為outside1的接口上發(fā)出目的ip地址為的監(jiān)控icmp包num-packets3//配置發(fā)送包的數(shù)量為3個frequency10//配置發(fā)送包的頻率為10秒slamonitorschedule1lifeforeverstart-timenow//配置該進程生命周期為永久并立馬執(zhí)行!track1rtr1reachability//配置追蹤命令是否可達，不可達時刪除track1上的監(jiān)控路由!查看并測試防火墻雙出口是否啟動并連通，如圖5-9所示：圖5-9主出口暢通時當主出口出現(xiàn)堵塞或中斷時，會立即刪除原靜態(tài)路由，并將預先設置的備用路由引入路由表。如圖5-10所示：圖5-10主路由堵塞時5.7雙機熱備測試當主設備FW-1出現(xiàn)故障或關(guān)閉時，查看備用防火墻FW-2是否正常切換并查看其網(wǎng)絡連通性。如圖5-11、圖5-12所示：圖5-11FW-2主備狀態(tài)圖5-12FW-2網(wǎng)絡連通性啟動FW1，查看FW1的主備狀態(tài)，如圖5-13所示：圖5-13FW-1主備狀態(tài)5.8IPSecVPN測試通過命令showcryptoisakmpsa即可查看IPSecVPN狀態(tài)，同時查看其當前已協(xié)商的對端，從而測試IPSecVPN是否成功運行，如圖5-14所示：圖5-14IPSecVPN測試第六章總結(jié)與展望本文通過分析當前企業(yè)網(wǎng)絡可靠性的現(xiàn)狀及影響因素，并根據(jù)當前主流企業(yè)網(wǎng)絡高可靠性的設計與規(guī)劃，得出企業(yè)網(wǎng)絡在接入層、匯聚層和核心層應該采用的拓撲結(jié)構(gòu)。并針對企業(yè)網(wǎng)絡的高可靠性，選擇了以下協(xié)議配置及方法：（1）VLAN劃分（2）鏈路聚合（3）MSTP協(xié)議（4）HSRP協(xié)議（5）EIGRP協(xié)議（6）NAT協(xié)議（7）IPSECVPN（8）防火墻雙機熱備（9）雙出口策略該企業(yè)網(wǎng)絡高可靠性的設計與部署主要解決了網(wǎng)絡接入層，匯聚層和核心層的高可靠性，也實現(xiàn)鏈路和硬件的高可靠性。但隨著網(wǎng)絡技術(shù)的不斷發(fā)展以及知識的不斷深入，我發(fā)現(xiàn)許多不足及后續(xù)解決并升級發(fā)展的想法：（1）未深入考慮網(wǎng)絡安全對可靠性的影響。防火墻應配置一些安全策略，例如時間限制策略，根據(jù)時間限制企業(yè)內(nèi)網(wǎng)用戶訪問企業(yè)資源以及上網(wǎng)的權(quán)限，防止員工在非法時間內(nèi)訪問或下載未經(jīng)信任危險的資源（2）VLAN環(huán)境的條件過于完美。一個部門直接在一個接入層交換機下，沒有存在其他部門。這種現(xiàn)象在企業(yè)網(wǎng)絡中往往不現(xiàn)實，在企業(yè)網(wǎng)絡的一臺接入層交換機中，其經(jīng)常存在多個部門或同一部門不連續(xù)在一起。因此，在VLAN的劃分應考慮這種情況，在一臺接入層交換機上劃分多個VLAN或同一VLAN存在于多臺接入層交換機上。（3）未考慮服務器上的高可靠性。當其中一臺服務器出現(xiàn)宕機或故障時，企業(yè)網(wǎng)絡服務則出現(xiàn)延遲或中斷現(xiàn)象。所以，應該考慮實現(xiàn)服務器配置集群，加強企業(yè)的服務冗余能力。（4）未考慮分析當前新興高可靠性網(wǎng)絡拓撲結(jié)構(gòu)。當前新興高可靠性網(wǎng)絡拓撲方案為虛擬化架構(gòu)，其通過核心層交換機做虛擬化，匯聚層交換機做堆疊實現(xiàn)高可靠性。相對于傳統(tǒng)結(jié)構(gòu)，虛擬化結(jié)構(gòu)更加簡化了其管理和減少了收斂時間，增強了彈性擴展，同時提高企業(yè)網(wǎng)絡的性能。參考文獻[1]王文溥.計算機網(wǎng)絡可靠性提升方式分析[J].網(wǎng)絡安全技術(shù)與應用,2014(11):137-138.[2]楊曉虎.中小型企業(yè)局域網(wǎng)絡的可靠性設計[J].電子產(chǎn)品可靠性與環(huán)境試驗,2013,31(A01):131-134.[3]曹勝華,王國軍.企業(yè)防火墻雙機試驗淺析[J].電腦知識與技術(shù)：學術(shù)交流,2009(12X):10454-10456.[4]朱壯普.基于MSTP和VRRP的網(wǎng)絡高可用性技術(shù)研究與實現(xiàn)[J].太原學院學報:自然科學版,2018,36(4):46-51.[5]譚碩,石金年.熱備份路由協(xié)議（HSRP）在企業(yè)局域網(wǎng)中的應用[J].酒鋼科技,2015(2):68-71.[6]孫光懿.基于HSRP和STP協(xié)議的網(wǎng)絡冗余仿真[J].首都師范大學學報：自然科學版,2018(3):16-23.[7]譚志勇,李進生.基于MSTP＋VRRP的高可靠性園區(qū)網(wǎng)絡設計與實現(xiàn)[J].計算機時代,2018(2):35-39.[8]孫奇.利用鏈路冗余技術(shù)實現(xiàn)網(wǎng)絡高可靠性[J].數(shù)字技術(shù)與應用,2014(8):51-52.[9]蔣建鋒,蔣建峰.IPSecVPN的工程應用對比研究[J].科技信息,2012(32):297-298.[10]韋曉麟.中小型企業(yè)網(wǎng)絡環(huán)境下VPN技術(shù)應用[J].網(wǎng)絡安全技術(shù)與應用,2017(3):134-135.[11]郭能華.基于MSTP＋VRRP雙核心技術(shù)的企業(yè)網(wǎng)絡冗余設計與實現(xiàn)[J].中國管理信息化,2016,19(12):54-55.致謝光陰似箭，日月如梭。轉(zhuǎn)眼間，四年的時光快要匆匆到來。首先感謝我的指導老師冼敏儀。本論文從參與畢業(yè)設計選題，到根據(jù)項目擬定任務書、開題報告，整個前期了解和準備過程搜集相關(guān)資料都得到導師冼敏儀老師的細心的指導和不懈的支持。同時，在畢業(yè)設計的后期，正是由于她在百忙之中多次審閱全文，對細節(jié)進行修改，并為本文的撰寫提供了許多中肯而且寶貴的意見，讓我發(fā)現(xiàn)自己的不足和學到更多的知識。這里我要再一次向?qū)煴硎居芍缘母兄x。在廣東東軟學院的這四年里，我遇到了許多給我留下寶貴又美好記憶的老師，他們有的嚴謹認真，有的幽默風趣，有的新穎獨特，有的親切自然……感謝他們傳授我寶貴的知識，他們嚴謹?shù)闹螌W態(tài)度和忘我的工作精神值得我去學習，指引了我前進的方向及奮斗的動力，給我大學生涯上了寶貴的一課。與此同時也感謝我的家人、舍友和朋友。四年來，快樂的事情因為有你們的分享而更快樂，失意的日子因為有你們的關(guān)懷能忘卻傷痛，堅強前行。正是有你們的鼓勵陪伴，我才能不斷的挑戰(zhàn)困難，超越自我。 真誠地祝愿我的家人、舍友、同學、朋友和學校的所有老師身體健康、工作順利。

怎樣提高電腦系統(tǒng)運行速度WindowsXP的啟動速度比Windows2000要快30%左右，但相對于Windows98仍然要慢了不少，不過，我們可以通過優(yōu)化設置，來大大提高WindowsXP的啟動速度。加快系統(tǒng)啟動速度主要有以下方法：盡量減少系統(tǒng)在啟動時加載的程序與服務；對磁盤及CPU等硬件進行優(yōu)化設置；修改默認設置，減少啟動等待時間等。這些方法大部分既可減少系統(tǒng)啟動的時間，又可以節(jié)省系統(tǒng)資源，加快電腦運行速度。1.加快系統(tǒng)啟動速度WindowsXP的啟動速度比Windows2000要快30%左右，但相對于Windows98仍然要慢了不少，不過，我們可以通過優(yōu)化設置，來大大提高WindowsXP的啟動速度。加快系統(tǒng)啟動速度主要有以下方法：盡量減少系統(tǒng)在啟動時加載的程序與服務；對磁盤及CPU等硬件進行優(yōu)化設置；修改默認設置，減少啟動等待時間等。這些方法大部分既可減少系統(tǒng)啟動的時間，又可以節(jié)省系統(tǒng)資源，加快電腦運行速度。(1)MsconfigWindowsXP的啟動速度在系統(tǒng)安裝初期還比較快，但隨著安裝的軟件不斷增多，系統(tǒng)的啟動速度會越來越慢，這是由于許多軟件把自己加在了啟動程序中，這樣開機即需運行，大大降低了啟動速度，而且也占用了大量的系統(tǒng)資源。對于這樣一些程序，我們可以通過系統(tǒng)配置實用程序Msconfig將它們從啟動組中排除出去。選擇“開始”菜單中的“運行”命令，在“運行”對話框中鍵入“Msconfig”，回車后會彈出“系統(tǒng)配置實用程序”對話框，選擇其中的“啟動”選項卡(如圖1)，該選項卡中列出了系統(tǒng)啟動時加載的項目及來源，仔細查看每個項目是否需要自動加載，否則清除項目前的復選框，加載的項目越少，啟動的速度就越快。設置完成后需要重新啟動方能生效。(2)BootvisBootvis是微軟提供的一個啟動優(yōu)化工具，可提高WindowsXP的啟動速度。用BootVis提升WindowsXP的啟動速度必須按照正確的順序進行操作，否則將不會起到提速的效果。其正確的操作方法如下：啟動Bootvis，從其主窗口(如圖2)中選擇“工具”菜單下的“選項”命令，在“符號路徑”處鍵入Bootvis的安裝路徑，如“C:\ProgramFiles\Bootvis”，單擊“保存”退出。從“跟蹤”菜單中選擇“下次引導”命令，會彈出“重復跟蹤”對話框，單擊“確定”按鈕，BootVis將引導WindowsXP重新啟動，默認的重新啟動時間是10秒。系統(tǒng)重新啟動后，BootVis自動開始運行并記錄啟動進程，生成啟動進程的相關(guān)BIN文件，并把這個記錄文件自動命名為TRACE_BOOT_1_1。程序記錄完啟動進程文件后，會重新啟動BootVis主界面，在“文件”菜單中選擇剛剛生成的啟動進程文件“TRACE_BOOT_1_1”。窗口中即會出現(xiàn)“CPU>使用”、“磁盤I/O”、“磁盤使用”、“驅(qū)動程序延遲”等幾項具體圖例供我們分析，不過最好還是讓BootVis程序來自動進行分析：從“跟蹤”菜單中選擇“系統(tǒng)優(yōu)化”命令，程序會再次重新啟動計算機，并分析啟動進程文件，從而使計算機啟動得更快。(3)禁用多余的服務WindowsXP在啟動時會有眾多程序或服務被調(diào)入到系統(tǒng)的內(nèi)存中，它們往往用來控制Windows系統(tǒng)的硬件設備、