基于EVE-NG模擬平臺(tái)的高可靠性企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與部署-本科畢業(yè)設(shè)計(jì)（論文）

摘要為了更好的解決隨著網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)設(shè)備的發(fā)展與更新，導(dǎo)致企業(yè)網(wǎng)絡(luò)之前的設(shè)計(jì)與部署不足以支持當(dāng)前企業(yè)網(wǎng)絡(luò)的可靠性，通過(guò)分析現(xiàn)階段主流企業(yè)網(wǎng)絡(luò)拓?fù)涞囊?guī)劃及其采用的相關(guān)技術(shù)，提出了當(dāng)前主流保障企業(yè)網(wǎng)絡(luò)高可靠性的網(wǎng)絡(luò)部署方案。應(yīng)用了鏈路聚合、MSTP、HSRP、雙機(jī)熱備以及雙出口配置等技術(shù)，完成了企業(yè)網(wǎng)絡(luò)高可靠性的設(shè)計(jì)。在EVE-NG的仿真模擬平臺(tái)下進(jìn)行了實(shí)驗(yàn)，結(jié)果表明：該方案能夠有效解決當(dāng)前企業(yè)網(wǎng)絡(luò)在可靠性上的部署中出現(xiàn)的問(wèn)題，具有更好的網(wǎng)絡(luò)擴(kuò)容、網(wǎng)絡(luò)硬件設(shè)備冗余、協(xié)議冗余和流量分擔(dān)的優(yōu)勢(shì)，因此更加全面的提升了企業(yè)網(wǎng)絡(luò)的可擴(kuò)展性和可靠性。關(guān)鍵詞：網(wǎng)絡(luò)部署；EVE-NG；高可靠性；冗余；負(fù)載均衡AbstractInordertobettersolvethedevelopmentandupdateofnetworktechnologyandnetworkequipment,thepreviousdesignanddeploymentoftheenterprisenetworkisnotenoughtosupportthereliabilityofthecurrententerprisenetwork.ByanalyzingthecurrentmainstreamnetworktopologyplanningandrelatedadoptionTechnology,putforwardthecurrentmainstreamnetworkdeploymentplantoensurehighreliabilityoftheenterprisenetwork.Thetechnologiesoflinkaggregation,MSTP,HSRP,dual-machinehotbackupanddual-outletconfigurationhavebeenappliedtocompletethedesignofhighreliabilityoftheenterprisenetwork.ExperimentswereconductedundertheEVE-NGsimulationplatform.Theresultsshowthatthissolutioncaneffectivelysolvetheproblemsinthecurrententerprisenetworkdeploymentinreliability,withbetternetworkexpansion,networkhardwareequipmentredundancy,andprotocolredundancyBecauseoftheadvantagesofsharingtrafficandtraffic,thescalabilityandreliabilityoftheenterprisenetworkaremorecomprehensivelyimproved.Keywords：NetworkDeployment；EVE-NG；HighReliability；Redundancy；LoadBalancing目錄TOC\o\h\z\u第一章 緒論 緒論1.1項(xiàng)目研究背景及研究意義隨著網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)空間技術(shù)的日益進(jìn)步，在互聯(lián)網(wǎng)技術(shù)給企業(yè)帶來(lái)巨大的便利以及機(jī)遇的同時(shí)，對(duì)于企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，其高可靠性帶來(lái)的作用逐漸變得不可忽視。企業(yè)網(wǎng)絡(luò)服務(wù)的持續(xù)增加，為如何讓企業(yè)網(wǎng)絡(luò)保持較高的可靠性、可持續(xù)性和冗余性提出了一個(gè)非常值得探討的問(wèn)題。發(fā)達(dá)的路由交換及空間技術(shù)方便了企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)與信息資源的快速流通；提升了企業(yè)業(yè)務(wù)的處理速率；提供了異地用戶(hù)的遠(yuǎn)程數(shù)據(jù)資源訪(fǎng)問(wèn)，便利了企業(yè)與企業(yè)之間的合作。企業(yè)利用路由交換技術(shù)在內(nèi)部搭建用以整合企業(yè)內(nèi)部信息與資源，使企業(yè)員工可以短時(shí)間內(nèi)訪(fǎng)問(wèn)企業(yè)內(nèi)部文件及信息，并且方便了在企業(yè)之間的通訊的企業(yè)內(nèi)部網(wǎng)絡(luò)。同時(shí)企業(yè)不同部門(mén)之間通訊的聯(lián)絡(luò)、業(yè)務(wù)的交替也更加的高效。如果在一個(gè)企業(yè)網(wǎng)絡(luò)中，其扮演的角色突然由一個(gè)基礎(chǔ)通信結(jié)構(gòu)，就好比作十分常見(jiàn)及平凡大眾角色變成一名負(fù)責(zé)保障該影片收視率的核心演員。即群眾服務(wù)系統(tǒng)結(jié)構(gòu)，其之前根據(jù)陳舊的技術(shù)部署，只有單一核心的企業(yè)網(wǎng)絡(luò)系統(tǒng)，大概率會(huì)產(chǎn)生因設(shè)備停止運(yùn)行和鏈路斷開(kāi)等問(wèn)題而導(dǎo)致的企業(yè)網(wǎng)絡(luò)中止，這樣就會(huì)給企業(yè)的基礎(chǔ)通信以及辦事效率帶來(lái)重大的危機(jī)，所以具有高可持續(xù)性和可靠性的企業(yè)網(wǎng)絡(luò)規(guī)劃部署正逐漸成為了當(dāng)前的主流。在現(xiàn)如今計(jì)算機(jī)科學(xué)與技術(shù)快速發(fā)展的高科技時(shí)代，互聯(lián)網(wǎng)技術(shù)和網(wǎng)絡(luò)設(shè)備的發(fā)展給企業(yè)的網(wǎng)絡(luò)帶來(lái)較高的提升進(jìn)而提高企業(yè)的可靠性和資源利用管理水平，保證了網(wǎng)絡(luò)的可用性，提高企業(yè)的核心競(jìng)爭(zhēng)力，構(gòu)建和升級(jí)高可靠性企業(yè)的網(wǎng)絡(luò)設(shè)計(jì)與部署具有決定性作用。除此之外，一個(gè)高可靠性的企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與部署是對(duì)企業(yè)信息以及正常運(yùn)作的基本保障，它可以明確企業(yè)信息系統(tǒng)的當(dāng)前可靠現(xiàn)狀、對(duì)企業(yè)的網(wǎng)絡(luò)規(guī)劃進(jìn)行高可靠性設(shè)計(jì)以及部署。在之后的作用里，它使企業(yè)的操作平臺(tái)和當(dāng)前管理?xiàng)l約軌制的標(biāo)準(zhǔn)被更好的讓企業(yè)正確的認(rèn)識(shí)，對(duì)自身網(wǎng)絡(luò)水平有了更高的了解。從而對(duì)企業(yè)網(wǎng)絡(luò)硬件設(shè)備和技術(shù)的選擇達(dá)到了冗余及高負(fù)載的能力，為網(wǎng)絡(luò)擴(kuò)展和網(wǎng)絡(luò)流量共享提供了處理手段。這實(shí)現(xiàn)了企業(yè)網(wǎng)絡(luò)的高可持續(xù)性和高可靠性。因此，網(wǎng)絡(luò)高可靠性已成為目前網(wǎng)絡(luò)構(gòu)建過(guò)程中必須考慮的性能指標(biāo)，為了保證網(wǎng)絡(luò)的健壯、高效和穩(wěn)定可靠。企業(yè)網(wǎng)絡(luò)規(guī)劃拓?fù)渲械慕尤雽?、匯聚層、核心層、防火墻和服務(wù)器應(yīng)采用具有較高可靠性和冗余性的設(shè)計(jì)及選擇。極大的保障了企業(yè)網(wǎng)絡(luò)內(nèi)網(wǎng)與外網(wǎng)之間的連通性、安全性和可持續(xù)性。這樣就需要企業(yè)在實(shí)際條件下采用具體的措施，例如在機(jī)房采用設(shè)備冗余、磁盤(pán)存儲(chǔ)冗余、處理器冗余、網(wǎng)卡冗余和電源冗余的措施。與鏈路或協(xié)議技術(shù)互相搭配、互為補(bǔ)充，例如在鏈路上采用鏈路聚合、協(xié)議上選擇MSTP、HSRP等。保證了企業(yè)網(wǎng)絡(luò)系統(tǒng)平臺(tái)的管理水平和限制條件，為此提供了高可持續(xù)性，從而完成企業(yè)網(wǎng)絡(luò)的高可靠性。1.2項(xiàng)目研究中可靠性概述企業(yè)網(wǎng)絡(luò)可靠性指網(wǎng)絡(luò)設(shè)備或產(chǎn)品在限定的條件內(nèi)、在限定的時(shí)間內(nèi)實(shí)現(xiàn)其所需完成的功能的能力。其主要是通過(guò)在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中安裝網(wǎng)絡(luò)設(shè)備，配置網(wǎng)絡(luò)協(xié)議和增加通信介質(zhì)以此備用或替代實(shí)例。以保障當(dāng)網(wǎng)絡(luò)設(shè)備或路徑出現(xiàn)故障和不可用時(shí)網(wǎng)絡(luò)的可用并正常運(yùn)行，提供了網(wǎng)絡(luò)故障轉(zhuǎn)移的方法。而網(wǎng)絡(luò)可靠性可細(xì)分為五個(gè)層次的可靠性：硬件層次的可靠性、鏈路層次的可靠性、協(xié)議層次的可靠性、數(shù)據(jù)層次的可靠性以及服務(wù)器層次的可靠性。例如硬件層次的可靠性通常是在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中實(shí)現(xiàn)，其通過(guò)提供網(wǎng)絡(luò)通信的冗余源。將它用作備用機(jī)制，可在當(dāng)計(jì)劃外的網(wǎng)絡(luò)中斷時(shí)將網(wǎng)絡(luò)操作快速交換到冗余基礎(chǔ)架構(gòu)上；鏈路層次的可靠性則是通過(guò)采用冗余來(lái)設(shè)計(jì)實(shí)現(xiàn)，即采用鏈路聚合方式，將兩條鏈路捆綁一起實(shí)現(xiàn)一主一備，達(dá)到負(fù)載均衡及冗余；協(xié)議層次的可靠性是通過(guò)配置一種或多種路由交換協(xié)議以保障網(wǎng)絡(luò)核心應(yīng)用系統(tǒng)快速切換，避免網(wǎng)絡(luò)中出現(xiàn)單點(diǎn)故障，從而達(dá)到可靠冗余；數(shù)據(jù)層次的可靠性則是在數(shù)據(jù)庫(kù)或數(shù)據(jù)存儲(chǔ)技術(shù)內(nèi)創(chuàng)建的條件，將其中同一數(shù)據(jù)段保存在兩個(gè)單獨(dú)的位置上；服務(wù)器層次的可靠性則是通過(guò)在計(jì)算環(huán)境中備份，達(dá)到故障轉(zhuǎn)移或冗余服務(wù)器的數(shù)量和強(qiáng)度。以此提供其他服務(wù)器的能力，這些服務(wù)器可以在運(yùn)行時(shí)部署以用于備份，負(fù)載平衡或出于維護(hù)目的而暫時(shí)停止主服務(wù)器。而衡量網(wǎng)絡(luò)可靠性的標(biāo)準(zhǔn)分為三個(gè)方面：MTTR、MTBF和MTTF。MTTR（MeanTimeToRepair），即系統(tǒng)平均維修時(shí)間，是指當(dāng)一個(gè)網(wǎng)絡(luò)發(fā)生故障時(shí)修復(fù)其系統(tǒng)并將其恢復(fù)到完整功能所需的時(shí)間，其包括維修時(shí)間，測(cè)試周期以及恢復(fù)到正常運(yùn)行狀態(tài)的時(shí)間。其最重要的一點(diǎn)是，它是衡量當(dāng)前服務(wù)可用性的準(zhǔn)則。MTBF（MeanTimeBetweenFailure），即平均故障間隔時(shí)間，是指一個(gè)設(shè)備或產(chǎn)品在正常運(yùn)行期間從上一個(gè)故障到下一個(gè)故障之間的平均時(shí)間，它是衡量整個(gè)網(wǎng)絡(luò)及系統(tǒng)可靠性和可用性的重要指標(biāo)。同時(shí)它反映了設(shè)備的時(shí)間質(zhì)量，當(dāng)MTBF值越高，系統(tǒng)在發(fā)生故障之前可能會(huì)運(yùn)行的時(shí)間越長(zhǎng)。MTTF（MeanTimeToFailure），即平均無(wú)故障時(shí)間，是指一個(gè)設(shè)備或產(chǎn)品在平均時(shí)間內(nèi)將持續(xù)運(yùn)行直到故障的時(shí)間長(zhǎng)度，它是用于預(yù)計(jì)整個(gè)網(wǎng)絡(luò)或系統(tǒng)可運(yùn)行無(wú)故障時(shí)間的重要指標(biāo)。同時(shí)它反映了設(shè)備的壽命均值，當(dāng)一個(gè)系統(tǒng)可靠性越高，其MTTF值則越高，說(shuō)明設(shè)備及產(chǎn)品的平均無(wú)故障時(shí)間占用比例更多。1.3項(xiàng)目研究中可靠性現(xiàn)狀隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)給企業(yè)以及人民帶來(lái)了越來(lái)越多的便利，但在帶來(lái)便利的同時(shí)飛速的發(fā)展也意味著技術(shù)的不斷更新，目前企業(yè)網(wǎng)絡(luò)的技術(shù)落后、設(shè)備更迭緩慢而導(dǎo)致企業(yè)網(wǎng)絡(luò)無(wú)法保障其可靠的運(yùn)行和缺陷的不斷暴露；大多數(shù)企業(yè)的網(wǎng)絡(luò)安全防范意識(shí)跟不上發(fā)展的步伐而落后，這直接導(dǎo)致的問(wèn)題是無(wú)法規(guī)范的使用軟硬件甚至于在操作過(guò)程中遺留下漏洞而引發(fā)系統(tǒng)和網(wǎng)絡(luò)的缺陷。由此可得，當(dāng)前我國(guó)企業(yè)網(wǎng)絡(luò)可靠性的現(xiàn)狀主要有以下幾點(diǎn)：（1）企業(yè)網(wǎng)絡(luò)思想傳統(tǒng)：近幾年網(wǎng)絡(luò)的快速發(fā)展，但企業(yè)網(wǎng)絡(luò)思想仍然停留在幾年前，對(duì)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)及規(guī)劃仍按照老方法、老思想進(jìn)行部署，沒(méi)有與時(shí)俱進(jìn)，雖然這對(duì)網(wǎng)絡(luò)可靠性暫時(shí)沒(méi)有影響，但隨著其他企業(yè)網(wǎng)絡(luò)思想的前進(jìn)，企業(yè)網(wǎng)絡(luò)可靠性在同行相比中優(yōu)勢(shì)漸漸不明顯，而缺點(diǎn)被慢慢放大，企業(yè)則會(huì)被逐漸淘汰。（2）軟硬件設(shè)備技術(shù)的局限：企業(yè)在規(guī)劃網(wǎng)絡(luò)時(shí)，未充分考慮到網(wǎng)絡(luò)及設(shè)備后續(xù)的發(fā)展及升級(jí)，采用一些軟硬件較為局限的設(shè)備及技術(shù)。隨著企業(yè)后續(xù)的發(fā)展，而軟硬件設(shè)備技術(shù)升級(jí)的局限讓所支持的網(wǎng)絡(luò)不足以保證當(dāng)前企業(yè)的規(guī)模，讓企業(yè)網(wǎng)絡(luò)可靠性大打折扣，導(dǎo)致企業(yè)需花費(fèi)大量資金重新部署網(wǎng)絡(luò)，消耗大量人力物力。（3）企業(yè)網(wǎng)絡(luò)管理意識(shí)的薄弱：當(dāng)前企業(yè)對(duì)于員工行為的管理仍存在一些漏洞和部分不足。在權(quán)限的分配往往過(guò)多，因此員工可能會(huì)越權(quán)去做對(duì)企業(yè)有危害的事，而企業(yè)網(wǎng)絡(luò)管理卻無(wú)法對(duì)其員工越權(quán)行為進(jìn)行監(jiān)測(cè)及應(yīng)對(duì)，給企業(yè)帶來(lái)巨大的經(jīng)濟(jì)損失。同時(shí)對(duì)員工的一些不規(guī)范的使用及操作行為無(wú)良好的管理，因而在操作過(guò)程中留下漏洞給企業(yè)網(wǎng)絡(luò)可靠性帶來(lái)后患。1.4項(xiàng)目研究中可靠性影響因素從衡量網(wǎng)絡(luò)可靠性標(biāo)準(zhǔn)的三大方面可看出，如何實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的高可靠性，需要從平均故障間隔時(shí)間、平均無(wú)故障時(shí)間的增加及系統(tǒng)平均維修時(shí)間的降低這幾個(gè)措施出發(fā)。目前，引起企業(yè)網(wǎng)絡(luò)通信問(wèn)題的原因有：硬件設(shè)施停止或軟件出錯(cuò)，鏈路之間堵塞或斷開(kāi)、企業(yè)人員的不規(guī)范使用和網(wǎng)絡(luò)安全的防范不到位等。根據(jù)這些原因，企業(yè)應(yīng)該采取有效的手段進(jìn)行防范，保障企業(yè)網(wǎng)絡(luò)的通信，從而增強(qiáng)企業(yè)網(wǎng)絡(luò)的冗余性和可靠性。但是，在一些非人為的情況下，企業(yè)網(wǎng)絡(luò)通信出現(xiàn)問(wèn)題是無(wú)法防止的，因此在企業(yè)網(wǎng)絡(luò)規(guī)劃及部署中，如何迅速轉(zhuǎn)移通信能力并修復(fù)問(wèn)題成為了其重中之重的考慮，同時(shí)也為企業(yè)網(wǎng)絡(luò)的高可靠性打下良好的基礎(chǔ)。在企業(yè)網(wǎng)絡(luò)拓?fù)涞囊?guī)劃及選擇中，確保企業(yè)網(wǎng)絡(luò)具有可持續(xù)性和可靠性是其保障企業(yè)網(wǎng)絡(luò)的基礎(chǔ)。企業(yè)網(wǎng)絡(luò)拓?fù)涓呖煽啃缘闹髦妓悸肥牵谄髽I(yè)網(wǎng)絡(luò)接入層、匯聚層和核心層的拓?fù)渲胁捎酶呖煽啃缘挠布O(shè)備和協(xié)議技術(shù)，保證企業(yè)網(wǎng)絡(luò)具有較高的冗余，并能迅速轉(zhuǎn)移修復(fù)，為企業(yè)后續(xù)升級(jí)提供高性?xún)r(jià)比和可擴(kuò)展性。因此，對(duì)企業(yè)網(wǎng)絡(luò)可靠性產(chǎn)生影響的因素分別有以下幾個(gè)：（1）拓?fù)浣Y(jié)構(gòu)：企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的連接點(diǎn)之間是基于拓?fù)浣Y(jié)構(gòu)來(lái)構(gòu)建的。在企業(yè)網(wǎng)絡(luò)規(guī)劃中，拓?fù)浣Y(jié)構(gòu)是決定企業(yè)網(wǎng)絡(luò)質(zhì)量的基礎(chǔ)，每個(gè)企業(yè)網(wǎng)絡(luò)規(guī)劃都會(huì)用到它。由此可以看出，一個(gè)拓?fù)浣Y(jié)構(gòu)能否確保其企業(yè)網(wǎng)絡(luò)安全可靠的運(yùn)行是衡量該拓?fù)浣Y(jié)構(gòu)的關(guān)鍵。（2）網(wǎng)絡(luò)管理及控制：大多數(shù)情況下，企業(yè)計(jì)算機(jī)的網(wǎng)絡(luò)是由各種運(yùn)維開(kāi)發(fā)人員與運(yùn)營(yíng)商共同協(xié)調(diào)的。設(shè)施的組合是根據(jù)實(shí)際情況出發(fā)并進(jìn)行配置的，網(wǎng)絡(luò)設(shè)施通常具有非常復(fù)雜的內(nèi)部結(jié)構(gòu)和許多特性。與此同時(shí)，大部分設(shè)施的規(guī)模都是巨大的。進(jìn)行嚴(yán)格而精確的網(wǎng)絡(luò)管理和控制是企業(yè)網(wǎng)絡(luò)運(yùn)行過(guò)程中非常關(guān)鍵的步驟之一，這極大的提高了傳輸過(guò)程中可靠性，保障了通訊的連接，當(dāng)出現(xiàn)錯(cuò)誤時(shí)，能以最小化的程度將錯(cuò)誤風(fēng)險(xiǎn)減少到可承受范圍內(nèi)。并在故障發(fā)生時(shí)，可以在一定時(shí)間內(nèi)快速的進(jìn)行排查，以確保企業(yè)網(wǎng)絡(luò)的可靠性。（3）網(wǎng)絡(luò)傳輸設(shè)備：在整個(gè)企業(yè)網(wǎng)絡(luò)系統(tǒng)中，設(shè)備在信息的傳輸和接收中起著一個(gè)至關(guān)重要的作用。不僅如此，這也是確保所有企業(yè)計(jì)算機(jī)都可以進(jìn)行有效連接的先決條件。傳輸設(shè)備會(huì)直接影響企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的可靠性，并且通常這些問(wèn)題一般很少會(huì)出現(xiàn)，一般是不會(huì)發(fā)生的。如果出現(xiàn)問(wèn)題，將會(huì)引起不好的反應(yīng)到計(jì)算機(jī)。（4）企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備：對(duì)于企業(yè)用戶(hù)有直接相關(guān)的設(shè)備就是企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備，而且它們也是連接計(jì)算機(jī)的重要硬件，并且在計(jì)算機(jī)在網(wǎng)絡(luò)運(yùn)行中是必不可缺的組成之一。在計(jì)算機(jī)設(shè)備中，當(dāng)用戶(hù)可以直接訪(fǎng)問(wèn)的設(shè)備，其往往具有強(qiáng)的互換性。因此，這種設(shè)備應(yīng)具有著較高的可靠性。隨著技術(shù)的不斷更新和穩(wěn)定，各種設(shè)備也正在逐步進(jìn)行優(yōu)化。1.5論文結(jié)構(gòu)安排本文主要分析當(dāng)前企業(yè)網(wǎng)絡(luò)可靠性的現(xiàn)狀及影響因素，并根據(jù)當(dāng)前主流企業(yè)網(wǎng)絡(luò)高可靠性的設(shè)計(jì)與規(guī)劃，解決網(wǎng)絡(luò)單點(diǎn)故障以及鏈路不可靠的問(wèn)題。設(shè)計(jì)得出企業(yè)網(wǎng)絡(luò)高可靠性應(yīng)具備的要素。各章節(jié)的主要內(nèi)容如下：第1章首先對(duì)企業(yè)網(wǎng)絡(luò)可靠性的概念進(jìn)行概述，并分析當(dāng)前企業(yè)網(wǎng)絡(luò)可靠性的現(xiàn)狀并根據(jù)企業(yè)網(wǎng)絡(luò)可靠性的影響因素進(jìn)行了解與分析；第2章對(duì)企業(yè)網(wǎng)絡(luò)高可靠性進(jìn)行設(shè)計(jì)及分析，通過(guò)分析當(dāng)前企業(yè)網(wǎng)絡(luò)接入層、匯聚層和核心層的高可靠性典型拓?fù)湓O(shè)計(jì)，選擇當(dāng)前主流企業(yè)網(wǎng)絡(luò)高可靠性拓?fù)?。同時(shí)分析企業(yè)網(wǎng)絡(luò)高可靠性在硬件和鏈路上的選擇，得出該采用何種協(xié)議或技術(shù)，并分析其在原理及在企業(yè)網(wǎng)絡(luò)中的作用；第3章對(duì)選擇好的企業(yè)網(wǎng)絡(luò)高可靠性的拓?fù)浼皡f(xié)議技術(shù)進(jìn)行部署，同時(shí)確保其拓?fù)?、協(xié)議和技術(shù)運(yùn)行并生效；第4章對(duì)部署完成的設(shè)備及協(xié)議技術(shù)進(jìn)行測(cè)試，確保企業(yè)網(wǎng)絡(luò)具有較高的可靠性、可用性以及冗余性；第5章對(duì)整個(gè)高可靠性的企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與部署進(jìn)行總結(jié)，同時(shí)說(shuō)明當(dāng)前企業(yè)網(wǎng)絡(luò)高可靠性的設(shè)計(jì)與部署存在的不足之處以及后續(xù)解決并升級(jí)發(fā)展的想法。第二章相關(guān)技術(shù)概述2.1EVE-NG模擬平臺(tái)EVE-NG（EmulatedVirtualEnvironment–NextGeneration），即下一代模擬虛擬環(huán)境仿真平臺(tái)。EVE-NG不僅可以模擬網(wǎng)絡(luò)設(shè)備和測(cè)試任何類(lèi)型的安全漏洞及系統(tǒng)工程，也可以運(yùn)行一切虛擬機(jī)。理論上，如果虛擬機(jī)的虛擬磁盤(pán)格式能轉(zhuǎn)換為qcow2，其虛擬機(jī)都可以在EVE-NG上運(yùn)行。方便團(tuán)隊(duì)或個(gè)人研究及了解各種技術(shù)和測(cè)試新技術(shù)，為其在投入生產(chǎn)之前進(jìn)行更改，也可以用于重建網(wǎng)絡(luò)，并通過(guò)重新創(chuàng)建網(wǎng)絡(luò)問(wèn)題來(lái)進(jìn)行故障排除，例如用Wireshark檢查數(shù)據(jù)包。不僅如此，EVE-NG還采用了無(wú)客戶(hù)端技術(shù)，因此用戶(hù)無(wú)需安裝Telnet或VNC軟件即可使用瀏覽器中的HTML5控制臺(tái)組件進(jìn)行配置，極大地簡(jiǎn)化了模擬器的可用性、可重用性、可管理性、互聯(lián)性、分發(fā)性，從而簡(jiǎn)化了理解和共享拓?fù)?、工作、思想、概念或?jiǎn)單地做實(shí)驗(yàn)的能力。減少了用戶(hù)設(shè)置所需內(nèi)容學(xué)習(xí)的成本和時(shí)間，同時(shí)更加精簡(jiǎn)和降低了設(shè)備之前配置及修復(fù)問(wèn)題的難度。2.2VLAN劃分VLAN（VirtualLocalAreaNetwork），即虛擬局域網(wǎng)。在企業(yè)中，其大型網(wǎng)絡(luò)容易遭受到廣播風(fēng)暴以及一些基于廣播技術(shù)的攻擊。因此，VLAN劃分為網(wǎng)絡(luò)創(chuàng)建了單獨(dú)的廣播域，從而無(wú)需創(chuàng)建完全獨(dú)立的硬件LAN來(lái)克服大型廣播域的問(wèn)題。讓每個(gè)VLAN充當(dāng)獨(dú)立的廣播域，有助于提高網(wǎng)絡(luò)的安全性，可靠性和效率。同時(shí)可以采用多種方式來(lái)利用VLAN來(lái)滿(mǎn)足企業(yè)的需求，比如通過(guò)VLAN將用戶(hù)訪(fǎng)問(wèn)限制在某些網(wǎng)段，然后僅允許授權(quán)用戶(hù)訪(fǎng)問(wèn)具有高度敏感信息的網(wǎng)絡(luò)、或者是將財(cái)務(wù)員工與人力資源員工分開(kāi)。這樣不僅可以有效分隔用戶(hù)流量，提高安全性和可用性，還更有效的利用了現(xiàn)有的帶寬和上行鏈路。除了這些作用以外，企業(yè)可以根據(jù)VLAN的不同為網(wǎng)絡(luò)中的每個(gè)VLAN安裝不同的安全軟件和防火墻，從而減少威脅和風(fēng)險(xiǎn)并保護(hù)敏感數(shù)據(jù)。如果當(dāng)一個(gè)VLAN面臨漏洞風(fēng)險(xiǎn)時(shí)，這樣做有助于防止整個(gè)系統(tǒng)受到損害。除此以外，VLAN不僅易于網(wǎng)絡(luò)管理，還為管理人員和用戶(hù)提供了靈活性，使處于不同位置相互分散的員工和設(shè)備可以輕松地與他人之間互相連接，也為將來(lái)的業(yè)務(wù)增長(zhǎng)做好準(zhǔn)備。因此，VLAN的劃分對(duì)企業(yè)網(wǎng)絡(luò)的高可靠性、可擴(kuò)展性具有非常高的保障。2.3鏈路聚合在鏈路中，有線(xiàn)連接往往是最高效的連接，其可以不受無(wú)線(xiàn)電波的干擾，始終保持安全的有效的連接。因此對(duì)于一般的家庭網(wǎng)絡(luò)中，單條有線(xiàn)連接以滿(mǎn)足其日常使用。然而在企業(yè)中，一條有線(xiàn)連接往往是不夠用的，如果當(dāng)這條鏈路斷開(kāi)或者流量突然增加，而且對(duì)于企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，流量大是家庭便飯，因此出現(xiàn)網(wǎng)絡(luò)延遲，甚至嚴(yán)重到出現(xiàn)數(shù)據(jù)包丟失。這對(duì)于一個(gè)企業(yè)來(lái)說(shuō)，這后果是災(zāi)難級(jí)的。此時(shí)，鏈路聚合給企業(yè)帶來(lái)了非常多的好處。其可以增加帶寬，提升吞吐量，讓聚合的物理鏈路比每個(gè)單獨(dú)的鏈路提供更高的帶寬，并在發(fā)生故障時(shí)提供適度的降級(jí)，將流量動(dòng)態(tài)透明地重新分配給其他物理鏈路之一，自動(dòng)平衡所有其余鏈路上的流量，提高鏈路的可用性和可靠性。同時(shí)，它能更好的利用物理資源，可以跨物理鏈路平衡流量，通過(guò)負(fù)載均衡所有可用鏈路上的流量來(lái)提供網(wǎng)絡(luò)冗余。不僅如此，其對(duì)于企業(yè)的成本效益和可擴(kuò)展性非常的友好，當(dāng)企業(yè)需要升級(jí)時(shí)，物理網(wǎng)絡(luò)升級(jí)的成本可能很高，尤其是在需要重新鋪設(shè)電纜的情況下。而鏈路聚合無(wú)需使用新設(shè)備即可增加帶寬。2.4MSTP協(xié)議技術(shù)MSTP（MultipleSpanningTreeProtocol），即多生成樹(shù)協(xié)議。在一個(gè)企業(yè)網(wǎng)絡(luò)規(guī)劃中，由于采用三角形拓?fù)浣Y(jié)構(gòu)，其二層鏈路之間會(huì)出現(xiàn)環(huán)路；同時(shí)，在企業(yè)網(wǎng)絡(luò)規(guī)劃及部署時(shí)，硬件之間的鏈路通常采用鏈路聚合方式，所以往往需要兩條及以上的鏈路來(lái)搭載，實(shí)現(xiàn)鏈路上的冗余。但這樣做的話(huà)會(huì)導(dǎo)致企業(yè)網(wǎng)絡(luò)鏈路中會(huì)不可避免的出現(xiàn)環(huán)路。環(huán)路會(huì)產(chǎn)生廣播風(fēng)暴，最終導(dǎo)致整個(gè)網(wǎng)絡(luò)資源被耗盡，網(wǎng)絡(luò)癱瘓不可用。環(huán)路還會(huì)引起MAC地址表震蕩導(dǎo)致MAC地址表項(xiàng)被破壞。因此，使用生成樹(shù)協(xié)議是必不可缺的，那么該使用STP，RSTP和MSTP中哪一種成為了問(wèn)題。我們可以從MSTP產(chǎn)生的背景可以得出：生成樹(shù)協(xié)議和快速生成樹(shù)協(xié)議都是負(fù)責(zé)識(shí)別LAN網(wǎng)絡(luò)中的鏈路并關(guān)閉冗余鏈路，從而防止可能出現(xiàn)的網(wǎng)絡(luò)環(huán)路。它們都提供了一種通過(guò)阻塞以太網(wǎng)網(wǎng)絡(luò)中的鏈路來(lái)防止環(huán)路的方法。如果活動(dòng)鏈路出現(xiàn)阻塞或斷開(kāi)時(shí)，可以將被阻塞的鏈路投入使用。為此，運(yùn)行該協(xié)議的所有企業(yè)網(wǎng)絡(luò)交換機(jī)設(shè)備都會(huì)在它們之間發(fā)送接收BPDU信息，以商定根網(wǎng)橋。一旦它們選擇好根網(wǎng)橋后，每個(gè)交換機(jī)都必須確定其哪些端口將與根端口通信。當(dāng)有多個(gè)鏈路連接到根網(wǎng)橋，則將其中一個(gè)選為轉(zhuǎn)發(fā)端口即指定端口，而其他鏈路被阻止。但是它們兩個(gè)協(xié)議都擁有一個(gè)欠缺，即從一個(gè)節(jié)點(diǎn)到另一節(jié)點(diǎn)的網(wǎng)絡(luò)中可能存在許多物理或等價(jià)的多條路徑，所有流量仍將沿生成樹(shù)定義的一條路徑流動(dòng)。這樣做的好處是可以避免流量循環(huán)，但是要付出一定的代價(jià)。將流量限制為該唯一路徑意味著阻止替代路徑，有時(shí)甚至更直接的路徑。這意味著企業(yè)無(wú)法充分利用潛在的網(wǎng)絡(luò)容量。說(shuō)明可以將多個(gè)VLAN同時(shí)用于單獨(dú)的生成樹(shù)中，導(dǎo)致任何給定VLAN中的流量都無(wú)法使用所有可用的網(wǎng)絡(luò)容量。這在過(guò)去是可以接受的，但是隨著企業(yè)網(wǎng)絡(luò)技術(shù)的日益進(jìn)步發(fā)展，其已逐漸不太適合企業(yè)網(wǎng)絡(luò)的部署。因此如何革除STP和RSTP的弊端，其定義了一個(gè)新的標(biāo)準(zhǔn)，即MSTP協(xié)議。其原理是每個(gè)VLAN都有對(duì)應(yīng)的生成樹(shù)實(shí)例，這樣就會(huì)產(chǎn)生對(duì)照表，避免每個(gè)VLAN單獨(dú)使用在同一生成樹(shù)上。這樣聯(lián)系好的多實(shí)例就能實(shí)現(xiàn)對(duì)業(yè)務(wù)流量和用戶(hù)流量的隔離，使企業(yè)網(wǎng)絡(luò)流量能進(jìn)行快速轉(zhuǎn)發(fā)，并實(shí)現(xiàn)多條鏈路上的冗余，避免之前只能使用單條鏈路，做到了負(fù)載均衡。最重要的是MSTP對(duì)STP和RSTP具有支持性。為后續(xù)企業(yè)的網(wǎng)絡(luò)升級(jí)發(fā)展提供了充足的準(zhǔn)備。2.5HSRP協(xié)議技術(shù)HSRP（HotStandbyRouterProtocol），即熱備路由器協(xié)議。在企業(yè)網(wǎng)絡(luò)規(guī)劃中，接入層與匯聚層之前通常采用多生成樹(shù)協(xié)議。因此在由思科設(shè)備搭載的企業(yè)網(wǎng)絡(luò)往往采用HSRP協(xié)議與MSTP協(xié)議之間互相搭配。HSRP是思科專(zhuān)有的協(xié)議，其通過(guò)提供第一跳來(lái)提供網(wǎng)絡(luò)高可靠性的標(biāo)準(zhǔn)方法，為配置了默認(rèn)網(wǎng)關(guān)IP地址的本地子網(wǎng)提供IP主機(jī)的冗余。HSRP路由IP之間的通信不依賴(lài)任何單個(gè)路由器的可用性。它將具有相同組ID的成員劃為是同一組的成員，組中的成員之一將被選為活動(dòng)路由器，而其他成員將保留為備用路由器。虛擬IP被配置為本地子網(wǎng)中所有主機(jī)的默認(rèn)網(wǎng)關(guān)，活動(dòng)路由器則負(fù)責(zé)轉(zhuǎn)發(fā)本地主機(jī)的流量。如果活動(dòng)路由器出現(xiàn)故障，那么在活動(dòng)路由器和備用路由器之間它們不會(huì)交換Hello消息，因此備用路由器將一直等待，直到下一計(jì)時(shí)器開(kāi)始為止。當(dāng)保持時(shí)間結(jié)束后，備用路由器成為活動(dòng)路由器，并主動(dòng)承擔(dān)活動(dòng)路由器的所有職責(zé)，這一過(guò)程被稱(chēng)之為搶占。如果原始活動(dòng)路由器又回來(lái)了，那么我們可以根據(jù)它們之前配置的優(yōu)先級(jí)，對(duì)比原始活動(dòng)路由器與備用路由器之間的優(yōu)先級(jí)，優(yōu)先級(jí)高的則成為活動(dòng)路由器，低得則成為備用路由器。這樣保證了企業(yè)接入層與匯聚層之間具有較高的冗余性和負(fù)載均衡。2.6EIGRP協(xié)議技術(shù)EIGRP（EnhancedInteriorGatewayRoutingProtocol），即增強(qiáng)型內(nèi)部網(wǎng)關(guān)路由協(xié)議。在企業(yè)網(wǎng)絡(luò)的核心層與匯聚層之間往往需要其能提供快速的路由轉(zhuǎn)發(fā)和極強(qiáng)的可持續(xù)性。因此在思科設(shè)備中，配置EIGRP協(xié)議是最優(yōu)選擇。該協(xié)議為距離矢量和鏈路狀態(tài)路由協(xié)議，其依賴(lài)于擴(kuò)散更新算法來(lái)計(jì)算到達(dá)網(wǎng)絡(luò)內(nèi)目標(biāo)的最短路徑。其原理是在組播地址中發(fā)送Hello包，當(dāng)路由器同樣以此方式收到鄰居發(fā)送的Hello包時(shí)，雙方則會(huì)建立鄰居關(guān)系，并互相發(fā)送路由表，并以此類(lèi)推，路由器擁有整個(gè)網(wǎng)絡(luò)的拓?fù)?，在進(jìn)行路由轉(zhuǎn)發(fā)的時(shí)候，選擇它們之間的最低開(kāi)銷(xiāo)值，即最短路徑。支持等價(jià)負(fù)載均衡與不等價(jià)負(fù)載均衡。早期由思科開(kāi)發(fā)的私有協(xié)議，但在2013年開(kāi)放為共有協(xié)議。因此，在企業(yè)網(wǎng)絡(luò)中，EIGRP可以很好地進(jìn)行擴(kuò)展，并以極少的網(wǎng)絡(luò)流量提供極快的收斂時(shí)間。同時(shí)正常運(yùn)行期間網(wǎng)絡(luò)資源使用占用率非常低；只有Hello數(shù)據(jù)包在穩(wěn)定的網(wǎng)絡(luò)上傳輸。當(dāng)拓?fù)浒l(fā)生更改時(shí)，僅傳播路由表更改，而不傳播整個(gè)路由表，這減少了路由協(xié)議本身在網(wǎng)絡(luò)上的負(fù)載。由于企業(yè)網(wǎng)絡(luò)規(guī)模往往是龐大的，拓?fù)涞母模渌璧氖諗繒r(shí)間經(jīng)常需要耗費(fèi)較多的時(shí)間，而EIGRP協(xié)議所需的收斂時(shí)間則相對(duì)較短。在設(shè)計(jì)良好的網(wǎng)絡(luò)中，其收斂時(shí)間接近是瞬間的。為企業(yè)網(wǎng)絡(luò)提供了高可靠性。2.7NAT協(xié)議技術(shù)NAT（Network

Address

Translation），即網(wǎng)絡(luò)地址轉(zhuǎn)換。在企業(yè)中，由于其網(wǎng)絡(luò)屬于大型網(wǎng)絡(luò)，所使用的內(nèi)網(wǎng)地址是不能在公網(wǎng)中進(jìn)行路由的，因?yàn)椴煌骄W(wǎng)的地址是可以重復(fù)的，如果可以訪(fǎng)問(wèn)外網(wǎng)的話(huà)重復(fù)的私網(wǎng)地址就會(huì)造成通信的紊亂。所以企業(yè)局域網(wǎng)與外網(wǎng)之間的訪(fǎng)問(wèn)通信需要完成地址之間的轉(zhuǎn)換，外網(wǎng)訪(fǎng)問(wèn)內(nèi)網(wǎng)需要轉(zhuǎn)換成內(nèi)網(wǎng)地址，同理內(nèi)網(wǎng)訪(fǎng)問(wèn)外網(wǎng)也需要轉(zhuǎn)換成外網(wǎng)地址。因此，需要NAT技術(shù)進(jìn)行地址池轉(zhuǎn)換，NAT轉(zhuǎn)換設(shè)備一般架設(shè)在網(wǎng)絡(luò)出口位置也就是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接位置，此設(shè)備通常為出口防火墻或路由器。NAT協(xié)議技術(shù)的運(yùn)作是，企業(yè)網(wǎng)絡(luò)出口設(shè)備將專(zhuān)用地址分配給專(zhuān)用某一網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)，即將多個(gè)本地專(zhuān)用區(qū)域使用的地址映射到公共區(qū)域。NAT協(xié)議技術(shù)主要是應(yīng)用于實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的大量私有網(wǎng)絡(luò)地址對(duì)少量共有網(wǎng)絡(luò)地址的轉(zhuǎn)換，通過(guò)大量的用戶(hù)利用少量的賬號(hào)轉(zhuǎn)換來(lái)保障通信的基礎(chǔ)上節(jié)約IP地址資源的作用。而根據(jù)應(yīng)用場(chǎng)景及方式的不同，NAT可分為以下三類(lèi)：靜態(tài)NAT：將公用IP地址池分配給NAT轉(zhuǎn)換設(shè)備。然后可以將私有IP地址靜態(tài)映射到這些公共地址中的任何一個(gè)。因?yàn)檫@種類(lèi)型的NAT方案通常用于始終需要相同IP地址的服務(wù)器，所以叫靜態(tài)NAT。即某一設(shè)備將始終分配到同一個(gè)公用IP地址，而另一設(shè)備每次則會(huì)分配不同的公用IP地址。動(dòng)態(tài)NAT:同理，NAT轉(zhuǎn)換設(shè)備中配置了IP地址池。但其不同點(diǎn)在于其需要使用IP地址池才會(huì)分配，不需要時(shí)則將其返還。因此，如果計(jì)算機(jī)A需要一個(gè)公共地址，它將從池中獲取一個(gè)公共地址，然后在完成后將其退回。下次同一臺(tái)計(jì)算機(jī)需要IP地址時(shí)，可以為該計(jì)算機(jī)分配跟上次不同的公共地址，因?yàn)橄惹笆褂玫腎P地址可能已被另一臺(tái)計(jì)算機(jī)使用，所以叫做動(dòng)態(tài)。端口PAT：在這種類(lèi)型的設(shè)置中，企業(yè)只需將一個(gè)公共IP地址分配給其網(wǎng)絡(luò)，因此，當(dāng)企業(yè)人員需訪(fǎng)問(wèn)外網(wǎng)時(shí)，每個(gè)人都將共享該公共地址。但其訪(fǎng)問(wèn)時(shí)使用的端口都不一樣，由源端口唯一標(biāo)識(shí)。因此，此方式叫端口地址轉(zhuǎn)換。2.8IPSecVPN技術(shù)IPSecVPN（InternetProtocolSecurityVirtualPrivateNetwork），即開(kāi)放標(biāo)準(zhǔn)的安全框架結(jié)構(gòu)的虛擬專(zhuān)業(yè)網(wǎng)。在企業(yè)中，隨著對(duì)網(wǎng)絡(luò)安全性及可靠性的要求越來(lái)越高，而使用TCP/IP協(xié)議會(huì)缺乏有效的安全認(rèn)證和保密機(jī)制。因此使用IPsecVPN為當(dāng)前企業(yè)網(wǎng)絡(luò)規(guī)劃部署的主流，其采用一種遠(yuǎn)程接入的VPN技術(shù)。在互聯(lián)網(wǎng)上為兩個(gè)私有網(wǎng)絡(luò)提供安全通信隧道，通過(guò)加密隧道保證連接和通信的安全，在兩個(gè)公共網(wǎng)關(guān)間提供私密數(shù)據(jù)封包服務(wù)，可以用來(lái)保障IP數(shù)據(jù)報(bào)文在網(wǎng)絡(luò)上傳輸?shù)臋C(jī)密性、完整性和防重放。根據(jù)網(wǎng)絡(luò)層次對(duì)現(xiàn)有的VPN進(jìn)行劃分，可分為工作在網(wǎng)絡(luò)層的三層VPN：GRE、IPSEC以及工作在數(shù)據(jù)鏈路層的二層VPN：PPTP、L2F、L2TP。兩個(gè)公司處在不同的物理地域而如果他們之間要進(jìn)行通信的流量都要穿過(guò)Internet上的未知網(wǎng)絡(luò)，無(wú)法保證在網(wǎng)絡(luò)上發(fā)送和接送數(shù)據(jù)的安全性，因此在兩個(gè)公司之間的網(wǎng)關(guān)即防火墻上應(yīng)配置點(diǎn)到點(diǎn)的模式，通過(guò)建立加密的IPSEC隧道實(shí)現(xiàn)局域網(wǎng)互通的IPSECVPN。2.9防火墻雙機(jī)熱備技術(shù)在企業(yè)網(wǎng)絡(luò)中，為了保護(hù)內(nèi)部網(wǎng)絡(luò)的上網(wǎng)風(fēng)險(xiǎn)，往往在內(nèi)網(wǎng)與外網(wǎng)之間架設(shè)防火墻。然而，為了避免單個(gè)防火墻失效帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題。企業(yè)通常采用兩個(gè)或更多的防火墻，以便每個(gè)防火墻都充當(dāng)其他防火墻的備份，或每個(gè)設(shè)備之間狀態(tài)可以彼此保持同步，并能夠檢測(cè)到故障，當(dāng)其中一個(gè)防火墻在檢測(cè)到故障時(shí)可以立即進(jìn)行故障轉(zhuǎn)移。達(dá)到企業(yè)網(wǎng)絡(luò)的高可靠性。此過(guò)程在思科防火墻中被稱(chēng)為Failover模式，其正是為了提供幾乎不中止的服務(wù)，保證企業(yè)網(wǎng)絡(luò)的連通性。同時(shí)，在部署Failover模式時(shí)，每臺(tái)防火墻的硬件配置和軟件配置應(yīng)保持相同，例如產(chǎn)品型號(hào)、插口模式、RAM、許可證版本、運(yùn)行模式、系統(tǒng)版本。在實(shí)現(xiàn)Failover模式中，分別有兩種模式，分別為A-S與A-A模式。A-S（Active-Standby），即主備模式。當(dāng)Failover模式為A-S模式時(shí)，在雙防火墻中，需要把一臺(tái)防火墻配置為主用角色，而另一臺(tái)防火墻則配置為備用角色。被配置為主用角色的防火墻會(huì)充當(dāng)變成Active，以此承擔(dān)服務(wù)并轉(zhuǎn)發(fā)流量。而被配置成備用角色的防火墻則會(huì)充當(dāng)變成Standby，以此充當(dāng)備用設(shè)備。當(dāng)主用設(shè)備被關(guān)閉或發(fā)生問(wèn)題時(shí)，備用設(shè)備則立馬承擔(dān)服務(wù)并發(fā)送數(shù)據(jù)。A-A（Active-Active），即雙主模式。當(dāng)Failover模式為A-A模式時(shí)，在雙防火墻中，兩臺(tái)防火墻都處于Active狀態(tài)，這兩臺(tái)防火墻可以同時(shí)處理和過(guò)濾數(shù)據(jù)包，因此流量可以在兩個(gè)設(shè)備之間進(jìn)行負(fù)載平衡。如果一臺(tái)防火墻出現(xiàn)故障，則另一臺(tái)防火墻將承擔(dān)全部處理負(fù)載，直到出現(xiàn)故障的防火墻再次變?yōu)榛顒?dòng)狀態(tài)為止。這兩種模式的區(qū)別在于A-A模式只能使用在多模式防火墻中，即企業(yè)網(wǎng)絡(luò)中擁有多個(gè)防火墻，將Active分為兩個(gè)組，每?jī)蓚€(gè)防火墻分別分配在不同的Active組中，并相互工作互相冗余，當(dāng)組內(nèi)的其中一臺(tái)防火墻被關(guān)閉或發(fā)生問(wèn)題時(shí)，另外一組的一臺(tái)防火墻及時(shí)切換組別，繼續(xù)承擔(dān)其服務(wù)并轉(zhuǎn)發(fā)流量。因此，A-A模式使企業(yè)網(wǎng)絡(luò)具有更強(qiáng)的冗余性和更高的可靠性。但此次企業(yè)網(wǎng)絡(luò)高可靠性的部署中，由于電腦硬件配置的限制，因此采用A-S模式進(jìn)行部署。第三章系統(tǒng)需求分析3.1企業(yè)網(wǎng)絡(luò)高可靠性的典型拓?fù)湓O(shè)計(jì)3.1.1企業(yè)網(wǎng)絡(luò)接入層的高可靠性典型拓?fù)湓O(shè)計(jì)當(dāng)前企業(yè)網(wǎng)絡(luò)接入層連接到匯聚層的連接方法有四種，分別為以下四種典型拓?fù)湓O(shè)計(jì)及優(yōu)缺點(diǎn)對(duì)比。如圖3-1、表3-1所示。圖3-1接入層四種典型拓?fù)湓O(shè)計(jì)表3-1接入層四種典型拓?fù)鋬?yōu)缺點(diǎn)對(duì)比拓?fù)浣Y(jié)構(gòu)優(yōu)點(diǎn)缺點(diǎn)倒U型拓?fù)浣Y(jié)構(gòu)無(wú)需運(yùn)行生成樹(shù)協(xié)議，方便管理網(wǎng)絡(luò)；VLAN間路由可配置在匯聚層的交換機(jī)上，具有高效的擴(kuò)展能力當(dāng)匯聚層交換機(jī)出現(xiàn)單點(diǎn)故障時(shí)，會(huì)導(dǎo)致同一邊的接入層交換機(jī)失去其工作能力，不能給企業(yè)網(wǎng)絡(luò)帶來(lái)高可靠性U型拓?fù)浣Y(jié)構(gòu)無(wú)需運(yùn)行生成樹(shù)協(xié)議，方便管理網(wǎng)絡(luò)；接入層交換機(jī)和匯聚層交換機(jī)之間鏈路聚合，具有高可靠性VLAN間路由不能配置在匯聚層的交換機(jī)上，不具有高效的擴(kuò)展能力。同時(shí)匯聚層交換機(jī)之間無(wú)連接心跳線(xiàn)，導(dǎo)致各報(bào)文信息不能進(jìn)行轉(zhuǎn)發(fā)傳送，可靠性較低矩形拓?fù)浣Y(jié)構(gòu)VLAN間路由可配置在匯聚層的交換機(jī)上，具有高效的擴(kuò)展能力；接入層交換機(jī)和匯聚層交換機(jī)之間鏈路聚合，具有高可靠性；運(yùn)行生成樹(shù)協(xié)議，實(shí)現(xiàn)VLAN數(shù)據(jù)的負(fù)載均衡當(dāng)匯聚層或接入層交換機(jī)出現(xiàn)單點(diǎn)故障時(shí)，會(huì)導(dǎo)致同一邊的任意一層交換機(jī)失去其工作能力，不能給企業(yè)網(wǎng)絡(luò)帶來(lái)高可靠性三角形拓?fù)浣Y(jié)構(gòu)接入層交換機(jī)和匯聚層交換機(jī)之間多條鏈路連接，具有冗余性；VLAN間路由可配置在匯聚層的交換機(jī)上，具有高效的擴(kuò)展能力；運(yùn)行生成樹(shù)協(xié)議，實(shí)現(xiàn)VLAN數(shù)據(jù)的負(fù)載均衡接入層采用三角形拓?fù)浣Y(jié)構(gòu)，導(dǎo)致二層交換機(jī)存在環(huán)路，因此運(yùn)行的生成樹(shù)協(xié)議通常為多生成樹(shù)協(xié)議，即MSTP。所以其計(jì)算量比其他拓?fù)潺嫶髲膱D3-1以及表3-1中可以看出，拓?fù)?，即三角形拓?fù)浣Y(jié)構(gòu)具有更高的訪(fǎng)問(wèn)可靠性和更高效的可擴(kuò)展能力，為企業(yè)網(wǎng)絡(luò)帶來(lái)高可靠性。因此，建議選擇三角形拓?fù)浣Y(jié)構(gòu)作為企業(yè)網(wǎng)絡(luò)接入層的拓?fù)湓O(shè)計(jì)。3.1.2企業(yè)網(wǎng)絡(luò)匯聚層的高可靠性典型拓?fù)湓O(shè)計(jì)當(dāng)前企業(yè)網(wǎng)絡(luò)匯聚層連接到核心層的連接方法有三種，分別為以下三種典型拓?fù)湓O(shè)計(jì)及優(yōu)缺點(diǎn)對(duì)比。如圖3-2、表3-2所示。圖3-2匯聚層三種典型拓?fù)湓O(shè)計(jì)表3-2匯聚層三種典型拓?fù)鋬?yōu)缺點(diǎn)對(duì)比拓?fù)浣Y(jié)構(gòu)優(yōu)點(diǎn)缺點(diǎn)三角形拓?fù)浣Y(jié)構(gòu)匯聚層交換機(jī)和核心層交換機(jī)之間多條鏈路連接，并采用EIGRP協(xié)議，具有冗余性當(dāng)核心層交換機(jī)之間的心跳線(xiàn)斷開(kāi)時(shí)，會(huì)導(dǎo)致核心層間各報(bào)文信息不能進(jìn)行轉(zhuǎn)發(fā)傳送，可靠性較低矩形拓?fù)浣Y(jié)構(gòu)核心層交換機(jī)之間鏈路聚合，和匯聚層交換機(jī)之前采用EIGRP協(xié)議，具有高可靠性；匯聚層交換機(jī)之間連接心跳線(xiàn)，具有較高的冗余性核心層交換機(jī)和匯聚層交換機(jī)之前的鏈接沒(méi)有采用多條冗余，當(dāng)其中某條鏈接斷開(kāi)時(shí)，會(huì)加大其他鏈路的開(kāi)銷(xiāo)，造成網(wǎng)絡(luò)堵塞，導(dǎo)致網(wǎng)絡(luò)可靠性下降復(fù)合型多邊拓?fù)浣Y(jié)構(gòu)融合三角形拓?fù)浣Y(jié)構(gòu)以及矩形拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)。當(dāng)出現(xiàn)單點(diǎn)故障時(shí)，其故障收斂時(shí)間較短，增強(qiáng)企業(yè)網(wǎng)絡(luò)的可靠性拓?fù)浣Y(jié)構(gòu)復(fù)雜，企業(yè)花費(fèi)的網(wǎng)絡(luò)建設(shè)成本較高。給后續(xù)網(wǎng)絡(luò)升級(jí)管理帶來(lái)一絲困難，考驗(yàn)企業(yè)網(wǎng)絡(luò)管理人員的能力從圖3-2以及表3-2中可以看出，拓?fù)?，即復(fù)合型多邊拓?fù)浣Y(jié)構(gòu)具有更多的冗余設(shè)計(jì)和更高的訪(fǎng)問(wèn)可靠性，為企業(yè)網(wǎng)絡(luò)帶來(lái)高可靠性。同時(shí)，復(fù)合型多邊拓?fù)浣Y(jié)構(gòu)是當(dāng)前許多企業(yè)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)的主流。因此，建議選擇復(fù)合型多邊拓?fù)浣Y(jié)構(gòu)作為企業(yè)網(wǎng)絡(luò)匯聚層的拓?fù)湓O(shè)計(jì)。3.1.3企業(yè)網(wǎng)絡(luò)核心層的高可靠性典型拓?fù)湓O(shè)計(jì)作為一個(gè)企業(yè)網(wǎng)絡(luò)的核心承擔(dān)者，核心層交換機(jī)應(yīng)要求其能在短時(shí)間內(nèi)提供數(shù)據(jù)轉(zhuǎn)發(fā)和具有較強(qiáng)的可持續(xù)性，因此采用雙核心或多核心作為企業(yè)網(wǎng)絡(luò)核心層拓?fù)湓O(shè)計(jì)已逐漸成為趨勢(shì)，這給企業(yè)網(wǎng)絡(luò)核心層帶來(lái)高可靠性的同時(shí)，也給企業(yè)網(wǎng)絡(luò)帶來(lái)較高的可冗余性和負(fù)載均衡模式。從圖3-2以及表3-2中可以看出，拓?fù)?，即復(fù)合型多邊拓?fù)浣Y(jié)構(gòu)中核心層具有雙核心結(jié)構(gòu)，同時(shí)核心層交換機(jī)之間采用鏈路聚合，和匯聚層之間采用多條鏈路形成冗余。擁有更強(qiáng)的訪(fǎng)問(wèn)可靠性和較高的冗余性，為企業(yè)網(wǎng)絡(luò)帶來(lái)高可靠性。因此，建議選擇復(fù)合型多邊拓?fù)浣Y(jié)構(gòu)作為企業(yè)網(wǎng)絡(luò)核心層的拓?fù)湓O(shè)計(jì)。3.2企業(yè)網(wǎng)絡(luò)高可靠性硬件的選擇在企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)中，硬件設(shè)備是組成企業(yè)網(wǎng)絡(luò)的基礎(chǔ)。因此，硬件設(shè)備的高可靠性成為企業(yè)網(wǎng)絡(luò)規(guī)劃中的重中之重。當(dāng)前，企業(yè)網(wǎng)絡(luò)主流硬件設(shè)備高可靠性的措施分別有設(shè)備冗余、磁盤(pán)存儲(chǔ)冗余、處理器冗余、網(wǎng)卡冗余和電源冗余。設(shè)備冗余：將一臺(tái)以上的設(shè)備利用級(jí)聯(lián)、堆疊或集群這三種不同的連接方式組合起來(lái)一起工作。增強(qiáng)了設(shè)備的可用性和交換能力，讓設(shè)備能進(jìn)行統(tǒng)一管理，大大降低了設(shè)備的管理難度，簡(jiǎn)化了管理步驟。磁盤(pán)存儲(chǔ)冗余：通過(guò)采用RAID，即磁盤(pán)陣列。其原理是將多塊分別獨(dú)立的磁盤(pán)利用不同的算法互相組合成一個(gè)陣列。這種做法提高了數(shù)據(jù)的傳輸速率，并增加了其磁盤(pán)的吞吐量和保障其質(zhì)量。同時(shí)也提高了企業(yè)網(wǎng)絡(luò)系統(tǒng)的冗余性，保障其網(wǎng)絡(luò)的高可靠性。處理器冗余：采用兩個(gè)或以上的處理器來(lái)保證網(wǎng)絡(luò)的連續(xù)運(yùn)行。雖然企業(yè)網(wǎng)絡(luò)中的處理器較少會(huì)出現(xiàn)問(wèn)題，但采用多個(gè)處理器可分擔(dān)單個(gè)處理器所承受的數(shù)據(jù)轉(zhuǎn)發(fā)壓力，擁有更多的處理能力，保障了網(wǎng)絡(luò)的高可靠性。網(wǎng)卡冗余：指在設(shè)備中組裝多個(gè)網(wǎng)卡。利用多個(gè)網(wǎng)卡共同承擔(dān)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)，并具有較高的可容錯(cuò)性。電源冗余：采用兩個(gè)或以上的電源來(lái)保證設(shè)備的可持續(xù)運(yùn)行。并通過(guò)技術(shù)讓其共同工作達(dá)到負(fù)載均衡的效果。同時(shí)具有冗余性，即如果某個(gè)電源產(chǎn)生問(wèn)題時(shí)，剩下的電源也能繼續(xù)運(yùn)行并替代損壞電源的功能。并在電源修復(fù)后，又能回到之前的工作狀態(tài)。這樣做盡量保證了設(shè)備能正常工作，減少由于電源出現(xiàn)故障導(dǎo)致設(shè)備切換修復(fù)重啟所花費(fèi)的時(shí)間。為企業(yè)網(wǎng)絡(luò)實(shí)現(xiàn)了高可靠性。3.3企業(yè)網(wǎng)絡(luò)高可靠性技術(shù)的選擇（1）VLAN劃分（2）鏈路聚合（3）MSTP協(xié)議（4）HSRP協(xié)議（5）EIGRP協(xié)議（6）NAT協(xié)議（7）IPSecVPN技術(shù)（8）防火墻雙機(jī)熱備第四章設(shè)計(jì)與實(shí)現(xiàn)由上一章可得，企業(yè)網(wǎng)絡(luò)高可靠性的拓?fù)鋱D如圖4-1所示：圖4-1企業(yè)網(wǎng)絡(luò)高可靠性拓?fù)鋱D4.1劃分VLAN及配置網(wǎng)關(guān)由企業(yè)網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D可得，該企業(yè)總公司設(shè)有高層、財(cái)務(wù)部、技術(shù)部、辦公區(qū)、內(nèi)部服務(wù)器和外部服務(wù)器六個(gè)部分。因此，根據(jù)每個(gè)部分的分工以及責(zé)任將其給自劃分為一個(gè)VLAN。高層IP網(wǎng)段為/24，為VLAN10；財(cái)務(wù)部IP網(wǎng)段為/24，為VLAN20；技術(shù)部IP網(wǎng)段為/24，為VLAN30；辦公區(qū)IP網(wǎng)段為/24，為VLAN40；內(nèi)部服務(wù)器IP網(wǎng)段為/24，為VLAN50；外部服務(wù)器IP網(wǎng)段為/24，為VLAN100。而該企業(yè)分公司則只設(shè)有高層、財(cái)務(wù)部、技術(shù)部和辦公區(qū)，因此分公司高層IP網(wǎng)段為/24，為VLAN100；分公司財(cái)務(wù)部IP網(wǎng)段為/24，為VLAN200；分公司技術(shù)部IP網(wǎng)段為/24，為VLAN300；分公司辦公區(qū)IP網(wǎng)段為/24，為VLAN400。由于配置類(lèi)似，這里以匯聚層交換機(jī)D-SW1為例：interfaceEthernet0/0//進(jìn)入端口0/0配置模式，下同switchporttrunkencapsulationdot1q//配置端口鏈路封裝協(xié)議封裝格式為dot1q，下同switchportmodetrunk//配置端口模式為trunk模式，下同!interfaceEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet1/0//進(jìn)入端口1/0配置模式，下同switchporttrunkallowedvlan1,10//允許vlan1，10通過(guò)該端口，下同switchporttrunkencapsulationdot1q//配置端口鏈路封裝協(xié)議封裝格式為dot1q，下同switchportmodetrunk//配置端口模式為trunk模式，下同!interfaceEthernet1/1switchporttrunkallowedvlan1,20switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet1/2switchporttrunkallowedvlan1,30switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet1/3switchporttrunkallowedvlan1,40switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet2/0switchporttrunkallowedvlan1,50switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceVlan1//進(jìn)入Vlan1配置模式，下同ipaddress53//配置IP地址為53，子網(wǎng)掩碼為，下同!interfaceVlan10ipaddress54!interfaceVlan20ipaddress53!interfaceVlan30ipaddress54!interfaceVlan40ipaddress53!interfaceVlan50ipaddress54!配置完成后，查看VLAN是否創(chuàng)建并運(yùn)行和IP是否配置成功，如圖4-2所示：圖4-2VLAN狀態(tài)及IP4.2鏈路聚合在匯聚層交換機(jī)之間和核心層交換機(jī)之間的兩條鏈路進(jìn)行鏈路聚合，如圖4-3所示：圖4-3鏈路聚合由于配置類(lèi)似，這里以核心層交換機(jī)C-SW1為例：interfacePort-channel1//進(jìn)入聚合端口1配置模式，下同switchporttrunkencapsulationdot1q//配置端口鏈路封裝協(xié)議封裝格式為dot1q，下同switchportmodetrunk//配置端口模式為trunk模式，下同!interfaceEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeon//將端口0/2劃入聚合端口1中，下同!interfaceEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeon!配置完成后，查看鏈路聚合狀態(tài)，如圖4-4所示：圖4-4鏈路聚合狀態(tài)4.3MSTP在匯聚層中，由于劃分VLAN，使得每個(gè)VLAN形成獨(dú)立的STP。因此，多生成樹(shù)協(xié)議的配置如下，以D-SW1為例：spanning-treevlan10rootprimary//配置D-SW1為vlan10的主用根，下同spanning-treevlan30rootprimaryspanning-treevlan50rootprimaryspanning-treevlan1rootsecondary//配置D-SW1為vlan1的備用根，下同spanning-treevlan20rootsecondaryspanning-treevlan40rootsecondary！配置命令在D-SW2原理相同，但配置需相反，組成互為主備。配置完成后，D-SW1和D-SW2的STP狀態(tài)如圖4-5、圖4-6所示：圖4-5D-SW1的STP狀態(tài)圖4-6D-SW2的STP狀態(tài)4.4HSRP通過(guò)配置HSRP，與MSTP相配合，保持主備統(tǒng)一。由于VLAN10、30、50的主根在設(shè)備D-SW1上，那么對(duì)應(yīng)的熱備網(wǎng)關(guān)HSRP，則以A為主，B為備用。而VLAN1、20、40的根在B設(shè)備上面，那么對(duì)應(yīng)的熱備網(wǎng)關(guān)HSRP，則以B為主，A為備用。這樣的話(huà)形成路徑最優(yōu)，資源利用達(dá)到最大化。因此，熱備路由器協(xié)議的配置如下，由于配置命令類(lèi)似，這里以D-SW1為例：track1interfaceEthernet0/0line-protocol//配置監(jiān)控命令1，監(jiān)控追蹤端口0/0!track2interfaceEthernet0/1line-protocol//配置監(jiān)控命令2，監(jiān)控追蹤端口0/1!interfaceVlan1//進(jìn)入Vlan1配置模式，下同ipaddress53iphelper-address48//配置dhcp服務(wù)器地址為48，下同standby1ip52//配置熱備虛擬網(wǎng)關(guān)地址為52，下同standby1preempt//開(kāi)啟搶占standby1track1decrement50//實(shí)行監(jiān)控命令1，監(jiān)控追蹤上行鏈路，當(dāng)上行鏈路出現(xiàn)堵塞時(shí)，降低50的優(yōu)先級(jí)，下同standby1track2decrement50//實(shí)行監(jiān)控命令2，監(jiān)控追蹤上行鏈路，當(dāng)上行鏈路出現(xiàn)堵塞時(shí)，降低50的優(yōu)先級(jí)，下同!interfaceVlan10ipaddress54iphelper-address48standby1ip52standby1priority105standby1preemptstandby1track1decrement50standby1track2decrement50!interfaceVlan20ipaddress53iphelper-address48standby1ip52standby1preemptstandby1track1decrement50standby1track2decrement50!interfaceVlan30ipaddress54iphelper-address48standby1ip52standby1priority105standby1preemptstandby1track1decrement50standby1track2decrement50!interfaceVlan40ipaddress53iphelper-address48standby1ip52standby1preemptstandby1track1decrement50standby1track2decrement50!interfaceVlan50ipaddress54standby1ip52standby1priority105standby1preemptstandby1track1decrement50standby1track2decrement50!配置完成后，D-SW1和D-SW2的HSRP配置狀態(tài)如圖4-7、圖4-8所示：圖4-7D-SW1的HSRP狀態(tài)圖4-8D-SW2的HSRP狀態(tài)4.5EIGRP核心層交換機(jī)與匯聚層交換機(jī)之間配置EIGRP實(shí)現(xiàn)路由快速轉(zhuǎn)發(fā)，由于配置命令類(lèi)似，這里以C-SW1為例：routereigrp50//進(jìn)入eigrp模式，系統(tǒng)號(hào)為50network//宣告接入網(wǎng)絡(luò)為，反掩碼為network//宣告接入網(wǎng)絡(luò)為，反掩碼為noauto-summary//關(guān)閉自動(dòng)匯總redistributestatic//引用靜態(tài)路由!配置完成后，C-SW1和D-SW1的EIGRP鄰居狀態(tài)如圖4-9、圖4-10所示：圖4-9C-SW1的EIGRP鄰居狀態(tài)圖4-10D-SW1的EIGRP鄰居狀態(tài)4.6NAT此次NAT采用端口轉(zhuǎn)換模式，并將外部服務(wù)器公布在固定的外網(wǎng)IP上，如WEB服務(wù)器。其配置如下：interfaceEthernet0//進(jìn)入端口0配置模式，下同nameifoutside1//設(shè)置端口名為outside1，下同security-level0//設(shè)置優(yōu)先級(jí)為0，下同ipaddress48standby//配置ip地址為，子網(wǎng)地址掩碼為48，備用地址為，下同!interfaceEthernet1nameifoutside2security-level0ipaddress48standby!interfaceEthernet4nameifinside1security-level100ipaddress48standby!interfaceEthernet5nameifinside2security-level100ipaddress48standby!interfaceEthernet6nameifdmzsecurity-level50ipaddress54standby53!objectnetworkinside1-subnet//創(chuàng)建名為inside1-subnet的對(duì)象，下同subnet//有效IP地址為，子網(wǎng)掩碼為，下同objectnetworkinside2-subnetsubnetobjectnetworkinside3-subnetsubnetobjectnetworkinside4-subnetsubnetobjectnetworkdmz1-subnetsubnetobjectnetworkdmz2-subnetsubnetobjectnetworkdmz-web1//創(chuàng)建名為dmz-web1的對(duì)象，下同host//有效IP為，下同objectnetworkdmz-web2hostaccess-listoutside_aclextendedpermittcpanyhosteqwww//創(chuàng)建名為outside_acl的策略，其允許通過(guò)ip為的web服務(wù)!objectnetworkinside1-subnet//創(chuàng)建名為inside1-subnet的對(duì)象，下同nat(inside1,outside1)dynamicinterface//配置端口名為inside1與outside1單方面端口轉(zhuǎn)換，下同objectnetworkinside2-subnetnat(inside1,outside2)dynamicinterfaceobjectnetworkinside3-subnetnat(inside2,outside1)dynamicinterfaceobjectnetworkinside4-subnetnat(inside2,outside2)dynamicinterfaceobjectnetworkdmz1-subnetnat(dmz,outside1)dynamicinterfaceobjectnetworkdmz2-subnetnat(dmz,outside2)dynamicinterfaceobjectnetworkdmz-web1//進(jìn)入名為dmz-web1的對(duì)象，下同nat(dmz,outside1)static//配置端口名為dmz與outside1的單方面靜態(tài)綁定轉(zhuǎn)換ip地址為，下同objectnetworkdmz-web2nat(dmz,outside2)staticaccess-groupoutside_aclininterfaceoutside1//在接口名稱(chēng)為outside1上運(yùn)行命令組outside_acl，下同access-groupoutside_aclininterfaceoutside2!配置完成后，F(xiàn)W-1的NAT狀態(tài)如圖4-11所示圖4-11FW-1的NAT狀態(tài)4.7防火墻雙機(jī)熱備此次雙機(jī)熱備采用A-S模式，其配置如下：interfaceEthernet2//進(jìn)入端口0配置模式，下同descriptionLANFailoverInterface//此為同步配置接口!interfaceEthernet3descriptionSTATEFailoverInterface//此為同步會(huì)話(huà)接口!failover//進(jìn)入failover配置模式failoverlanunitprimary//設(shè)置同步配置中此設(shè)備FW-1為主用設(shè)備failoverlaninterfaceLanEthernet2//接口2為同步配置接口failoverkey123456//密鑰為123456failoverlinkStateEthernet3//接口3為同步會(huì)話(huà)接口failoverinterfaceipLan52standby//設(shè)置同步配置接口ip為，子網(wǎng)掩碼為52，備用ip為failoverinterfaceipState52standby//設(shè)置同步會(huì)話(huà)接口ip為，子網(wǎng)掩碼為52，備用ip為！配置完成后，F(xiàn)W-1和FW-2的主備狀態(tài)如圖4-12、圖4-13所示圖4-12FW-1的主備狀態(tài)圖4-13FW-2的主備狀態(tài)4.8IPSecVPN此次IPSECVPN分別配置在分公司防火墻和總公司防火墻上，其中總公司防火墻的配置命令如下，以FW-1為例：object-groupnetworklocal-network//創(chuàng)建名為local-network的對(duì)象組，下同network-object//有效IP地址為，子網(wǎng)掩碼為，下同object-groupnetworkremote-networknetwork-objectaccess-listasa-router-vpnextendedpermitipobject-grouplocal-networkobject-groupremote-network//創(chuàng)建名為asa-router-vpn的策略，其允許通過(guò)ip在local-network對(duì)象組中的任意數(shù)據(jù)！nat(inside1,outside1)sourcestaticlocal-networklocal-networkdestinationstaticremote-networkremote-networkno-proxy-arproute-lookup//配置端口名為inside1與outside1的數(shù)據(jù)在ipsecvpn內(nèi)不需要進(jìn)行端口轉(zhuǎn)換，下同nat(inside2,outside1)sourcestaticlocal-networklocal-networkdestinationstaticremote-networkremote-networkno-proxy-arproute-lookup！cryptoipsecikev1transform-setESP-AES-SHAesp-aesesp-sha-hmac//配置傳輸指定集指定加密和驗(yàn)證算法cryptomapoutside_mapinterfaceoutside1//創(chuàng)建名為outside_map調(diào)用，并配置在名為outside1接口上cryptoikev1enableoutside1//設(shè)置開(kāi)啟ipsec模式并配置名為outside1接口上cryptoikev1policy10//配置策略號(hào)為1authenticationpre-share//配置密鑰共享方式為預(yù)先共享encryptionaes//配置加密算法hashsha//hash命令指定采用sha算法group2//配置組別為2lifetime86400//配置保持時(shí)間為24小時(shí)!配置完成后，F(xiàn)W-1的IPSecVPN狀態(tài)如圖4-14所示圖4-14FW-1的IPSecVPN狀態(tài)第五章系統(tǒng)測(cè)試5.1鏈路聚合測(cè)試通過(guò)命令showetherchannel1detail即可查詢(xún)鏈路聚合狀態(tài)，從而測(cè)試鏈路聚合是否成功運(yùn)行，這里以C-SW1為例，如圖5-1所示：圖5-1鏈路聚合測(cè)試5.2MSTP測(cè)試通過(guò)trace命令查看vlan10與vlan20在與核心層交換機(jī)C-SW1通信時(shí)是否走各自的主用根路徑即可測(cè)試MSTP是否已成功運(yùn)行，由圖5-2、圖5-3所示：圖5-2VLAN10MSTP測(cè)試圖5-3VLAN20MSTP測(cè)試5.3HSRP測(cè)試通過(guò)斷開(kāi)各匯聚層交換機(jī)e0/0的上行鏈路查看優(yōu)先級(jí)是否都降低并主備保持不變，從而測(cè)試HSRP是否成功運(yùn)行，由圖5-4、圖5-5所示：圖5-4D-SW1HSRP測(cè)試圖5-5D-SW2HSRP測(cè)試5.4EIGRP測(cè)試通過(guò)Wireshark抓包核心層交換機(jī)C-SW1（IP:）上的e1/0端口與匯聚層交換機(jī)D-SW1（IP:53）上的e0/0端口，查看它們之后有無(wú)互相發(fā)送hello包，即可測(cè)試EIGRP是否成功運(yùn)行，如圖5-6、圖5-7所示：圖5-6C-SW1EIGRP測(cè)試圖5-7D-SW1EIGRP測(cè)試5.5NAT測(cè)試通過(guò)命令showxlate即可查詢(xún)NAT狀態(tài)，同時(shí)查看當(dāng)前正在進(jìn)行端口轉(zhuǎn)換的接口，從而測(cè)試NAT是否成功運(yùn)行，這里以FW-1為例，如圖5-8所示：圖5-8FW-1NAT測(cè)試5.6防火墻雙出口測(cè)試企業(yè)網(wǎng)絡(luò)搭建雙出口實(shí)現(xiàn)高可靠性。當(dāng)主出口出現(xiàn)堵塞或斷開(kāi)時(shí)可立即啟用備用出口。其配置命令如下：routeoutside11track1//配置被監(jiān)控追蹤在名為outside1的默認(rèn)網(wǎng)關(guān)路由，并設(shè)置管理距離為1routeoutside210//配置被監(jiān)控追蹤在名為outside2的默認(rèn)網(wǎng)關(guān)路由slamonitor1//進(jìn)入路由聯(lián)動(dòng)模式，進(jìn)程號(hào)為1typeechoprotocolipIcmpEchointerfaceoutside1//配置從名為outside1的接口上發(fā)出目的ip地址為的監(jiān)控icmp包num-packets3//配置發(fā)送包的數(shù)量為3個(gè)frequency10//配置發(fā)送包的頻率為10秒slamonitorschedule1lifeforeverstart-timenow//配置該進(jìn)程生命周期為永久并立馬執(zhí)行!track1rtr1reachability//配置追蹤命令是否可達(dá)，不可達(dá)時(shí)刪除track1上的監(jiān)控路由!查看并測(cè)試防火墻雙出口是否啟動(dòng)并連通，如圖5-9所示：圖5-9主出口暢通時(shí)當(dāng)主出口出現(xiàn)堵塞或中斷時(shí)，會(huì)立即刪除原靜態(tài)路由，并將預(yù)先設(shè)置的備用路由引入路由表。如圖5-10所示：圖5-10主路由堵塞時(shí)5.7雙機(jī)熱備測(cè)試當(dāng)主設(shè)備FW-1出現(xiàn)故障或關(guān)閉時(shí)，查看備用防火墻FW-2是否正常切換并查看其網(wǎng)絡(luò)連通性。如圖5-11、圖5-12所示：圖5-11FW-2主備狀態(tài)圖5-12FW-2網(wǎng)絡(luò)連通性啟動(dòng)FW1，查看FW1的主備狀態(tài)，如圖5-13所示：圖5-13FW-1主備狀態(tài)5.8IPSecVPN測(cè)試通過(guò)命令showcryptoisakmpsa即可查看IPSecVPN狀態(tài)，同時(shí)查看其當(dāng)前已協(xié)商的對(duì)端，從而測(cè)試IPSecVPN是否成功運(yùn)行，如圖5-14所示：圖5-14IPSecVPN測(cè)試第六章總結(jié)與展望本文通過(guò)分析當(dāng)前企業(yè)網(wǎng)絡(luò)可靠性的現(xiàn)狀及影響因素，并根據(jù)當(dāng)前主流企業(yè)網(wǎng)絡(luò)高可靠性的設(shè)計(jì)與規(guī)劃，得出企業(yè)網(wǎng)絡(luò)在接入層、匯聚層和核心層應(yīng)該采用的拓?fù)浣Y(jié)構(gòu)。并針對(duì)企業(yè)網(wǎng)絡(luò)的高可靠性，選擇了以下協(xié)議配置及方法：（1）VLAN劃分（2）鏈路聚合（3）MSTP協(xié)議（4）HSRP協(xié)議（5）EIGRP協(xié)議（6）NAT協(xié)議（7）IPSECVPN（8）防火墻雙機(jī)熱備（9）雙出口策略該企業(yè)網(wǎng)絡(luò)高可靠性的設(shè)計(jì)與部署主要解決了網(wǎng)絡(luò)接入層，匯聚層和核心層的高可靠性，也實(shí)現(xiàn)鏈路和硬件的高可靠性。但隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展以及知識(shí)的不斷深入，我發(fā)現(xiàn)許多不足及后續(xù)解決并升級(jí)發(fā)展的想法：（1）未深入考慮網(wǎng)絡(luò)安全對(duì)可靠性的影響。防火墻應(yīng)配置一些安全策略，例如時(shí)間限制策略，根據(jù)時(shí)間限制企業(yè)內(nèi)網(wǎng)用戶(hù)訪(fǎng)問(wèn)企業(yè)資源以及上網(wǎng)的權(quán)限，防止員工在非法時(shí)間內(nèi)訪(fǎng)問(wèn)或下載未經(jīng)信任危險(xiǎn)的資源（2）VLAN環(huán)境的條件過(guò)于完美。一個(gè)部門(mén)直接在一個(gè)接入層交換機(jī)下，沒(méi)有存在其他部門(mén)。這種現(xiàn)象在企業(yè)網(wǎng)絡(luò)中往往不現(xiàn)實(shí)，在企業(yè)網(wǎng)絡(luò)的一臺(tái)接入層交換機(jī)中，其經(jīng)常存在多個(gè)部門(mén)或同一部門(mén)不連續(xù)在一起。因此，在VLAN的劃分應(yīng)考慮這種情況，在一臺(tái)接入層交換機(jī)上劃分多個(gè)VLAN或同一VLAN存在于多臺(tái)接入層交換機(jī)上。（3）未考慮服務(wù)器上的高可靠性。當(dāng)其中一臺(tái)服務(wù)器出現(xiàn)宕機(jī)或故障時(shí)，企業(yè)網(wǎng)絡(luò)服務(wù)則出現(xiàn)延遲或中斷現(xiàn)象。所以，應(yīng)該考慮實(shí)現(xiàn)服務(wù)器配置集群，加強(qiáng)企業(yè)的服務(wù)冗余能力。（4）未考慮分析當(dāng)前新興高可靠性網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。當(dāng)前新興高可靠性網(wǎng)絡(luò)拓?fù)浞桨笧樘摂M化架構(gòu)，其通過(guò)核心層交換機(jī)做虛擬化，匯聚層交換機(jī)做堆疊實(shí)現(xiàn)高可靠性。相對(duì)于傳統(tǒng)結(jié)構(gòu)，虛擬化結(jié)構(gòu)更加簡(jiǎn)化了其管理和減少了收斂時(shí)間，增強(qiáng)了彈性擴(kuò)展，同時(shí)提高企業(yè)網(wǎng)絡(luò)的性能。參考文獻(xiàn)[1]王文溥.計(jì)算機(jī)網(wǎng)絡(luò)可靠性提升方式分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(11):137-138.[2]楊曉虎.中小型企業(yè)局域網(wǎng)絡(luò)的可靠性設(shè)計(jì)[J].電子產(chǎn)品可靠性與環(huán)境試驗(yàn),2013,31(A01):131-134.[3]曹勝華,王國(guó)軍.企業(yè)防火墻雙機(jī)試驗(yàn)淺析[J].電腦知識(shí)與技術(shù)：學(xué)術(shù)交流,2009(12X):10454-10456.[4]朱壯普.基于MSTP和VRRP的網(wǎng)絡(luò)高可用性技術(shù)研究與實(shí)現(xiàn)[J].太原學(xué)院學(xué)報(bào):自然科學(xué)版,2018,36(4):46-51.[5]譚碩,石金年.熱備份路由協(xié)議（HSRP）在企業(yè)局域網(wǎng)中的應(yīng)用[J].酒鋼科技,2015(2):68-71.[6]孫光懿.基于HSRP和STP協(xié)議的網(wǎng)絡(luò)冗余仿真[J].首都師范大學(xué)學(xué)報(bào)：自然科學(xué)版,2018(3):16-23.[7]譚志勇,李進(jìn)生.基于MSTP＋VRRP的高可靠性園區(qū)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)時(shí)代,2018(2):35-39.[8]孫奇.利用鏈路冗余技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)高可靠性[J].數(shù)字技術(shù)與應(yīng)用,2014(8):51-52.[9]蔣建鋒,蔣建峰.IPSecVPN的工程應(yīng)用對(duì)比研究[J].科技信息,2012(32):297-298.[10]韋曉麟.中小型企業(yè)網(wǎng)絡(luò)環(huán)境下VPN技術(shù)應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(3):134-135.[11]郭能華.基于MSTP＋VRRP雙核心技術(shù)的企業(yè)網(wǎng)絡(luò)冗余設(shè)計(jì)與實(shí)現(xiàn)[J].中國(guó)管理信息化,2016,19(12):54-55.致謝光陰似箭，日月如梭。轉(zhuǎn)眼間，四年的時(shí)光快要匆匆到來(lái)。首先感謝我的指導(dǎo)老師冼敏儀。本論文從參與畢業(yè)設(shè)計(jì)選題，到根據(jù)項(xiàng)目擬定任務(wù)書(shū)、開(kāi)題報(bào)告，整個(gè)前期了解和準(zhǔn)備過(guò)程搜集相關(guān)資料都得到導(dǎo)師冼敏儀老師的細(xì)心的指導(dǎo)和不懈的支持。同時(shí)，在畢業(yè)設(shè)計(jì)的后期，正是由于她在百忙之中多次審閱全文，對(duì)細(xì)節(jié)進(jìn)行修改，并為本文的撰寫(xiě)提供了許多中肯而且寶貴的意見(jiàn)，讓我發(fā)現(xiàn)自己的不足和學(xué)到更多的知識(shí)。這里我要再一次向?qū)煴硎居芍缘母兄x。在廣東東軟學(xué)院的這四年里，我遇到了許多給我留下寶貴又美好記憶的老師，他們有的嚴(yán)謹(jǐn)認(rèn)真，有的幽默風(fēng)趣，有的新穎獨(dú)特，有的親切自然……感謝他們傳授我寶貴的知識(shí)，他們嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度和忘我的工作精神值得我去學(xué)習(xí)，指引了我前進(jìn)的方向及奮斗的動(dòng)力，給我大學(xué)生涯上了寶貴的一課。與此同時(shí)也感謝我的家人、舍友和朋友。四年來(lái)，快樂(lè)的事情因?yàn)橛心銈兊姆窒矶鞓?lè)，失意的日子因?yàn)橛心銈兊年P(guān)懷能忘卻傷痛，堅(jiān)強(qiáng)前行。正是有你們的鼓勵(lì)陪伴，我才能不斷的挑戰(zhàn)困難，超越自我。 真誠(chéng)地祝愿我的家人、舍友、同學(xué)、朋友和學(xué)校的所有老師身體健康、工作順利。

怎樣提高電腦系統(tǒng)運(yùn)行速度WindowsXP的啟動(dòng)速度比Windows2000要快30%左右，但相對(duì)于Windows98仍然要慢了不少，不過(guò)，我們可以通過(guò)優(yōu)化設(shè)置，來(lái)大大提高WindowsXP的啟動(dòng)速度。加快系統(tǒng)啟動(dòng)速度主要有以下方法：盡量減少系統(tǒng)在啟動(dòng)時(shí)加載的程序與服務(wù)；對(duì)磁盤(pán)及CPU等硬件進(jìn)行優(yōu)化設(shè)置；修改默認(rèn)設(shè)置，減少啟動(dòng)等待時(shí)間等。這些方法大部分既可減少系統(tǒng)啟動(dòng)的時(shí)間，又可以節(jié)省系統(tǒng)資源，加快電腦運(yùn)行速度。1.加快系統(tǒng)啟動(dòng)速度WindowsXP的啟動(dòng)速度比Windows2000要快30%左右，但相對(duì)于Windows98仍然要慢了不少，不過(guò)，我們可以通過(guò)優(yōu)化設(shè)置，來(lái)大大提高WindowsXP的啟動(dòng)速度。加快系統(tǒng)啟動(dòng)速度主要有以下方法：盡量減少系統(tǒng)在啟動(dòng)時(shí)加載的程序與服務(wù)；對(duì)磁盤(pán)及CPU等硬件進(jìn)行優(yōu)化設(shè)置；修改默認(rèn)設(shè)置，減少啟動(dòng)等待時(shí)間等。這些方法大部分既可減少系統(tǒng)啟動(dòng)的時(shí)間，又可以節(jié)省系統(tǒng)資源，加快電腦運(yùn)行速度。(1)MsconfigWindowsXP的啟動(dòng)速度在系統(tǒng)安裝初期還比較快，但隨著安裝的軟件不斷增多，系統(tǒng)的啟動(dòng)速度會(huì)越來(lái)越慢，這是由于許多軟件把自己加在了啟動(dòng)程序中，這樣開(kāi)機(jī)即需運(yùn)行，大大降低了啟動(dòng)速度，而且也占用了大量的系統(tǒng)資源。對(duì)于這樣一些程序，我們可以通過(guò)系統(tǒng)配置實(shí)用程序Msconfig將它們從啟動(dòng)組中排除出去。選擇“開(kāi)始”菜單中的“運(yùn)行”命令，在“運(yùn)行”對(duì)話(huà)框中鍵入“Msconfig”，回車(chē)后會(huì)彈出“系統(tǒng)配置實(shí)用程序”對(duì)話(huà)框，選擇其中的“啟動(dòng)”選項(xiàng)卡(如圖1)，該選項(xiàng)卡中列出了系統(tǒng)啟動(dòng)時(shí)加載的項(xiàng)目及來(lái)源，仔細(xì)查看每個(gè)項(xiàng)目是否需要自動(dòng)加載，否則清除項(xiàng)目前的復(fù)選框，加載的項(xiàng)目越少，啟動(dòng)的速度就越快。設(shè)置完成后需要重新啟動(dòng)方能生效。(2)BootvisBootvis是微軟提供的一個(gè)啟動(dòng)優(yōu)化工具，可提高WindowsXP的啟動(dòng)速度。用BootVis提升WindowsXP的啟動(dòng)速度必須按照正確的順序進(jìn)行操作，否則將不會(huì)起到提速的效果。其正確的操作方法如下：?jiǎn)?dòng)Bootvis，從其主窗口(如圖2)中選擇“工具”菜單下的“選項(xiàng)”命令，在“符號(hào)路徑”處鍵入Bootvis的安裝路徑，如“C:\ProgramFiles\Bootvis”，單擊“保存”退出。從“跟蹤”菜單中選擇“下次引導(dǎo)”命令，會(huì)彈出“重復(fù)跟蹤”對(duì)話(huà)框，單擊“確定”按鈕，BootVis將引導(dǎo)WindowsXP重新啟動(dòng)，默認(rèn)的重新啟動(dòng)時(shí)間是10秒。系統(tǒng)重新啟動(dòng)后，BootVis自動(dòng)開(kāi)始運(yùn)行并記錄啟動(dòng)進(jìn)程，生成啟動(dòng)進(jìn)程的相關(guān)BIN文件，并把這個(gè)記錄文件自動(dòng)命名為T(mén)RACE_BOOT_1_1。程序記錄完啟動(dòng)進(jìn)程文件后，會(huì)重新啟動(dòng)BootVis主界面，在“文件”菜單中選擇剛剛生成的啟動(dòng)進(jìn)程文件“TRACE_BOOT_1_1”。窗口中即會(huì)出現(xiàn)“CPU>使用”、“磁盤(pán)I/O”、“磁盤(pán)使用”、“驅(qū)動(dòng)程序延遲”等幾項(xiàng)具體圖例供我們分析，不過(guò)最好還是讓BootVis程序來(lái)自動(dòng)進(jìn)行分析：從“跟蹤”菜單中選擇“系統(tǒng)優(yōu)化”命令，程序會(huì)再次重新啟動(dòng)計(jì)算機(jī)，并分析啟動(dòng)進(jìn)程文件，從而使計(jì)算機(jī)啟動(dòng)得更快。(3)禁用多余的服務(wù)WindowsXP在啟動(dòng)時(shí)會(huì)有眾多程序或服務(wù)被調(diào)入到系統(tǒng)的內(nèi)存中，它們往往用來(lái)控制Windows系統(tǒng)的硬件設(shè)備、