网工毕业设计

1、郑州航空工业管理学院毕 业 论 文（设 计） 2016 届 网络工程 专业 1210072 班级题 目 长垣云教育系统搭建 姓 名 陈小龙 学号 121007202 指导教师 孙新德 职称 副教授 2016 年 5 月 26 日长垣云教育系统搭建121007202 陈小龙 指导教师 孙新德 副教授摘 要云教育简单地说就是通过“云”这个理念储存大量的资源，通过“一站式”应用,让所有的用户都处于一个平等的、可用的平台。用户通过这个平台，可以按自己的需求合理利用此平台上的教育资源。本文主要介绍了云教育系统网络部分搭建的过程和一些基本的网络应急解决方案。其开发依照的网络设计规划为：网络的可靠性要高、网

2、络的安全性要高、无线直接接入教育网、保障端到端的业务、统一运行和维护的管理。我们首先建设云计算中心，在云计算中心建设完成以后，我们在按照网络分层（接入层、汇聚层、核心层、数据中心）的构架去建设网络，最后我们在做一些防火墙设置和各种策略保障网络安全。长垣县所有中小学通过云计算中心进行集中的资源储存、运算管理，结合联教科技所开发的软件、平台，一起组成一个数据庞大的教育资源库。同时，利用专业光纤网络覆盖，结合“云平台”，构成专用教育网络。系统搭建完成以后，学生和教师利用笔记本、电子白板等电教设备，利用联教科技开发的教育软件，登录 “云平台” ，从而利用教育资源库。“云教育”模式具有教育资源更庞大、教

3、育成本更低、“无线扩展”等特点。“云教育”模式课堂更能开阔学生的视野、调动学生学习的积极性。关键词云教育；云计算中心；云平台；联教科技创新点网络规划设计基于云计算，解决云教育实际项目问题。Naga Gakiwoon set up the education system Chen Xiao-Long Sun Xin-DeAbstractCloud education simply means to store a lot of resources through the concept of "cloud", through the "one stop"

4、 application so that all users are in an equal, available platform. Users through this platform, according to their own needs to use the reasonable use of educational resources on this platform. This paper mainly introduces the process of cloud education system and some basic network emergency solut

5、ions. Its development in accordance with the network design and planning: network reliability, network security should be high, wireless direct access to education network, to ensure the end of the business, unified operation and maintenance of the management. We first build a cloud computing center

6、, and in a cloud computing center construction is completed, we are in accordance with the framework of hierarchical network (access layer, convergence layer, core layer, data center) to the construction of the network. Finally, we do some firewall settings and a variety of strategies to ensure the

7、safety of network. Changyuan county all small and medium-sized through cloud computing center for centralized resource storage, operation management, all the students and teachers of the network equipment combined with joint teaching of science and technology, the development of the software platfor

8、m, together to form a huge data library of educational resources. At the same time, the use of professional fiber network covering the whole Changyuan County, combined with the "cloud platform", constitute a special education network in Changyuan county.System set up after the completion,

9、students and teachers use notebook, whiteboard, audio visual equipment, the joint teaching technology in the development of educational software, login "cloud platform, thus the use of educational resources. The "cloud education" model has the characteristics of higher education resou

10、rces, lower education cost and "Wireless Expansion". The "cloud education" mode can broaden students' horizon and arouse the enthusiasm of students' learningKey wordsCloud Education;The cloud computing center;cloud computing platform;Al teaching science and technologyInno

11、vationNetwork planning and design based on cloud computing, To solve the problem of the actual project of cloud Education目 录第1章 课题背景、意义1第2章 需求分析22.1 项目描述22.2 系统需求分析2第3章 网络分层53.1 接入层53.2 汇聚层63.3 核心层73.4 数据中心8第4章 技术规划94.1设备类型和命名94.2规划IP和VLAN104.3接入、汇聚层124.4核心层134.5数据中心20第5章 网络故障解决225.1故障解决原理225.2常用到的网

12、络测试命令235.3网络应急方案24第6章 项目的实现与效果256.1项目模式256.2项目优势276.3运行效果28致 谢30参考文献31V长垣云教育系统搭建121007202 陈小龙 指导教师 孙新德 副教授第1章 课题背景、意义在教育技术日新月异的二十一世纪， 依靠“云”储存资源，通过“一站式”应用，让所有的用户都处于一个平等的、可用的平台。用户可以通过这个平台合理地利用上面的教育资源，这种“云教育”模式正逐渐地被推广使用。相对于教材是学生获取知识的主要渠道的传统教育，“云教育”拥有庞大教育资源的“云平台”可供学生和老师去浏览、下载。相对于古板生硬的传统教育模式，“云教育”这种新颖的教学

13、方法更利于现在的学生接受，更利于学生自己认识到自己的不足之处然后从“云平台”上学习自己没有掌握的知识。相对于“老师教什么，学生学什么”的传统教育模式，“云教育”模式更注重于学生的自主学习，老师更多的是充当一个引导者，带领学生去利用“云平台”上的资源去学习。综上所述，可见相对于传统教育模式，“云教育”模式更利于如今学生的学习。第2章 需求分析2.1 项目描述 面对教育相对落后的教育现状，长垣县斥资打造先进的“云教育”、“教育信息化”模式，一个绿色化的网络资源共享平台。云计算中心搭建完成，长垣县所有中小学的网络设备接连到这个网络云计算中心，进行集中的资源储存、运算管理，利用云计算中心一起接入到互联

14、网。所有学生和老师各自的网络设备结合联教科技所开发的平台，一起组成一个数据庞大的教育资源库。同时，利用专业光纤网络覆盖整个长垣县，结合“云平台”，构成长垣县的专用教育网络，防火墙和各种策略保障网络安全。系统搭建以后，学生和教师利用笔记本、电子白板等电教设备，利用联教科技开发的教育软件，登录 “云平台” ，从而利用教育资源库。2.2 系统需求分析2.2.1设计规划要求1.网络的高可靠性；2.网络的高安全性；3.无线接入教育网；4.统一运维管理；5.端到端的业务保障。2.2.2 长垣县教育云项目的网络需求1.每个学校都利用AP来覆盖无线网络，学生和教师利用平板、电脑等终端接入网络。2.每个学校的管

15、理地址都相同，上联地址都处于同一个网段，每个区域的学校的设备所用网段相同，汇总地址的网段相同。3.每个交换机都要配置1个管理VLAN 180用来实现Telnet远程登录调试和1个上联VLAN 186用来管理控制“天网”监视系统。4.为每个乡镇划分4个C的虚拟机地址空间；虚拟机VLAN与VDI的VLAN不相关，只是为了减小广播域；VDI只需与虚拟机IP对应即可。5.IDC业务管理vlan 100-103 网段 172.1.40.0/24-172.1.43.0/24 虚拟机部分vlan 1000-1091 网段 10.100.0.0/16环网部分vlan 4000-4005 网段172.1.1.1

16、/32-172.1.1.21/32 172.1.30.0/24各学校终端:学生部分 vlan 1001-1004 网段10.10.0.0/16-10.27.0.0/16 教师部分 vlan 2001 网段 10.9.0.0/166.A类预留8个子网；B类预留4个子网；C类预留3个子网。2.2.3 长垣县云教育项目所用到的技术需求1.长垣县教育云项目启用DHCP协议，DHCP协议能自动从地址池中获取IP地址，在长云县教育云项目中如果利用手动分配IP地址的话，工作量太大，不切合实际。2.长垣县教育云项目的接入层利用ACFit AP技术实现网络的接入，相比于客户端通过网线接入方式，ACFit AP技

17、术更为方便，而且此技术容易管理、安全性好。3.长垣县教育云项目的核心层配置VRRP，VRRP将一个局域网的所有路由器构成一个虚拟路由器，此备份路由可以确保在当前路由失效的情况下，网络仍然可用，防止了网络瘫痪。4.长垣县教育云项目的核心层配置RRPP，RRPP是基于数据链路层，应用于以太网环的一种协议。可以防止广播风暴，可以确保最大的环网连接。5.长垣县教育云项目全部采用OSPF协议来实现路由的学习、转发。因为OSPF的快速收敛性，所以采用OSPF协议可以防止了路由环路的发生，减少维护需求。6.长垣县教育云项目启用IP安全策略，允许长垣县内特定的IP通过，不允许其他IP访问“云平台”。使用IP安

18、全策略能更好的让长垣县师生利用资源，使用IP安全策略能更好的保证TCP/IP的安全。7.长垣县教育云项目启用防火墙，利用防火墙来对信息数据传输进行管理控制，利用防火墙来保障联教中心网络与各个学校网络之间的安全。第3章 网络分层3.1 接入层图1 接入层的网络拓扑图 接入层是每个网络中必不可少的一环，长垣县利用光纤这种传输介质实现联教中心与学校之间的连接，在每个学校的核心交换机上都插入一个光模块。接入层可以允许终端设备使用者对网络的接入访问，长垣 县的学生和老师利用无线设备通过AP的无线接入点和无线网卡进行网络访问，密码验证登录进入“云平台”系统，从而合理地利用上面的教育资源。3.2 汇聚层图2

19、 汇聚层的网络拓扑图 接入层的设备全部汇聚到汇聚层，同样汇聚层在整个网络中也是必不可少的。长垣县内，每个学校的接入交换机汇聚到一起，长垣县内每个区域的所有学校的接入设备汇聚到一起，最后一同连接到核心层交换机上。从功能方面来说，汇聚层就像一个中转站一样负责对接入层和核心层的节点连接。从作用反面来说，它对接入层的数据进行汇聚、管理、发送等操作，也可以对接入层的访问进行一些策略的控制管理，可以在一定程度上保护核心层的安稳。3.3 核心层图3 核心层的网络拓扑图 汇聚层设备接入核心层中心，一般来说在整个网络中核心层是全部数据流量信息最终汇聚处，所以核心层在整个网络中不可或缺。在长垣县云教育项目中严格要

20、求核心层设备的性能、技术和功能的设计。长垣县的核心层交换机全部是三层交换机，因为三层交换机既拥有二层交换机的全部功能，还比二层交换机多了网络虚接口，可以配置IP地址，这就相当于拥有了部分路由器的功能。三层交换机在硬件交换和路由软件的帮助下，大大提高了数据信息的转发效率，从而加快了网络中数据信息的交换。从功能上来说，核心层主要有快速转发、优化骨干网络、网络稳定等功能。3.4 数据中心图4 数据中心的网络拓扑图长垣县云教育项目通过网络把联教科技和互联网教育网等相结合共同组成一个数据中心。数据中心设备需求：² 交换机：S10500型交换机、S5800型交换机、S7506E型交换机、5500

21、型交换机² FIT AP² H3C SecPath M9010、IDC-A-UIS-S5830等² 光模块² VDI虚拟机² 路由器² 平板等设备第4章 技术规划 4.1设备类型和命名4.1.1设备选型（1）接入交换机：S7506E、S5800、S5500型（2）汇聚交换机：Catalyst2950、Catalyst2970型（3）核心层交换机：S7506E、S5800型（4）数据中心设备：交换机S5830、S5820型 数据中心多业务安全网关M9010 安全路由Cisco3845（5）防火墙设备：H3C SecPath F100-S

22、-G企业级防火墙（6）光纤、光模块等设备 4.1.2命名原则（1）字母数均可变长；（2）命名长度不超过32字节；（3）命名格式为：AA-BBB-CCC-DDD-nnn。A 设备级别：C-核心，B-骨干，A-接入，IDC-数据中心；B 乡镇；C 学校；D 设备型号；n 设备序号。例如：县直属区域内的长垣县第一中学的一台S7506E交换机，我们先写交换机类型：A，再写所属区域：XZS，然后写学校简称：DYZX,最后写交换机类型：S7506E，把这些连在一起就命名为：A-XZS-DYZX-S7506E，蒲东南关中心小学的一台S5800交换机就命名为：A-PD-NGZX-S5800。4.2规划IP和V

23、LAN 4.2.1 长垣县教育云项目的要求（1）学生部分IP地址为：10.0.0.0/16-10.27.0.0/16，所属VLAN为：VLAN 1001-1004（2）教师部分 IP地址网段为：10.9.0.0/16，所属VLAN为：VLAN 2001 （3）业务管理部分IP地址为：172.16.40.0/24-172.16.43.0/24，所属VLAN为：VLAN 100-103（4）虚拟机部分IP地址网段为：10.100.0.0/16，所属VLAN为：VLAN 1000-1091（5）环网部分 IP地址为：172.16.1.1/32-172.1.1.21/32 、 172.16.30.0/

24、24，所属VLAN为：vlan 4000-40054.2.2 详细划分举例说明：1.长垣县第二实验小学位于长垣县县直属区域，预计大概有38个班级、112个教师、2526个学生。拥有办公楼1栋、教学楼3栋，1个电源线长度为10机柜（14U）、一个电源线长度为50机柜（6U）、1台（核心）H3C S7506E-S。5台24口PoE交换机、4台（接入）24口交换机、14个光模块、4个电子白板、7个投影机、3个音响、38个瘦终端、79个AP。学校现状：多媒体教室现有36个，其中电子白板损坏1个，音响损坏1个，投影仪损坏4个，长焦投影仪1个一个长焦投影仪多媒体班级，35个短焦投影仪多媒体班级。划分它的瘦

25、客户端VLAN为VLAN 2001，所在子网为：10.9.0.128/25划分它的POE-1的VLAN为VLAN 1001，所在子网为：10.10.32.0/22划分它的POE-2的VLAN为VLAN 1002，所在子网为：10.10.36.0/22划分它的POE-3的VLAN为VLAN 1003，所在子网为：10.10.40.0/22划分它的POE-4的VLAN为VLAN 1004， 所在子网为：10.10.44.0/22它的汇总地址为：10.9.0.0/22 、10.9.4.0/22、10.10.0.0/16 它的管理IP地址为：172.16.2.26/32 它的上联IP地址为：172.1

26、6.26.16/30它的VDI服务VLAN为：VLAN 1088-1091它的VDI服务地址为：10.100.88.0/222. 长垣县县直实验小学位于长垣县县直属区域，预计大概有27个班级、92个教师、1724个学生。拥有办公楼1栋、教学楼3栋，1个电源线长度为9机柜（14U）、一个电源线长度为45机柜（6U）。1台（核心）H3C S7506E-S、5台24口PoE交换机、4台（接入）24口交换机、12个光模块、3个电子白板、6个投影机、3个音响、36个瘦终端、75个AP。学校现状：多媒体教室现有25个，一个长焦投影仪多媒体班级，32个短焦投影仪多媒体班级。设备损坏：电子白板损坏1个，音响损

27、坏1个，投影仪损坏2个，长焦投影仪损坏1个划分它的瘦客户端VLAN为VLAN 2001，所在子网为：10.9.0.128/25划分它的POE-1的VLAN为VLAN 1001，所在子网为：10.10.32.0/22划分它的POE-2的VLAN为VLAN 1002，所在子网为：10.10.36.0/22划分它的POE-3的VLAN为VLAN 1003，所在子网为：10.10.40.0/22划分它的POE-4的VLAN为VLAN 1004， 所在子网为：10.10.44.0/22它的汇总地址为：10.9.0.0/22 、10.9.4.0/22、10.10.0.0/16 它的管理IP地址为：172.

28、16.2.26/32 它的上联IP地址为：172.16.26.16/30它的VDI服务VLAN为：VLAN 1080-1083它的VDI服务地址为：10.100.80.0/22其它学校按照上述原则划分VLAN和IP地址，这里我们就不一一举例了。4.3接入、汇聚层4.3.1 接入层长垣县教育云项目所用到的接入交换机类型为： S7506E、S5800、S5500，学校的接入交换机,通过千兆单模光纤与节点交换机相连.级联各个学校的二层连接。通过OSPF路由协议实现与核心部分的数据交互。需要在接入层交换机上创建远程登录VLAN 180和上行接口VLAN 186,配置远程登录Telnet访问VLAN 1

29、80，配置密码验证，打开交换机上需要打开的接口。 长垣县云教育项目利用无线AP技术实现整个学校的网络覆盖，利用无线控制器AC来管理AP。4.3.2 汇聚层在长垣县云计算项目中,核心层使用三层核心交换机。三层交换机自己本身就具有二层转发、交换功能，而且三层交换机有虚拟接口，可以配置IP地址，相当于拥有部分路由器功能，实现了数据在三层的转发。因为可以配置IP地址，能够利用IP策略来实现各网段之间的互相访问控制。 在长垣县云教育项目这么庞大的项目中，如果不应用三层交换机，让所有计算机都处于一个子网当中,网络容易发生动荡，引发广播风暴,安全性很差。4.3.3 接入和汇聚汇聚层Catalyst2970和

30、接入层 Catalyst2950核心层与汇聚层2970及2950、汇聚层2970与接入层2950之间连接通过trunk封装802.1q协议来转发VLAN信息，Catalyst2970和Catalyst2950之间采用channel技术，在两边交换机上各配置2个千兆以太网接口组成一条逻辑通路（Channel）提供双倍的的并行带宽，实现汇聚层和接入层之间成倍增加带宽和为线路冗余提供可靠性。4.4核心层4.4.1 VRRP 技术VRRP是基于三层交换技术或路由协议的，用二层交换机是无法实现这一功能的。如果一个网络里全部的网络设备都连接到一个路由器，假如这个路由器设备失效了，将会出现网络瘫痪：所有的设

31、备都无法连接到网络。VRRP协议可以解决这一问题，VRRP可以把一个局域网中所有路由器构成一个虚拟路由器，把这个虚拟路由器当作一个备份组。那么在主路由器发生故障的时候，迅速切换到这个备份的虚拟路由器上，这样就不会网络瘫痪这一情况。4.4.2 VRRP技术实现1.组网图 图5 VRRP拓扑图2.组网需求VLAN 2内主机的缺省网关为202.38.160.100/25；VLAN 3内主的缺省网关为202.38.160.200/25；Switch A和Switch B同时属于虚拟IP地址为202.38.160.100/25的备份组1和虚拟IP地址为202.38.160.200/25的备份组2；在备份

32、组1中Switch A的优先级高于Switch B，在备份组2中Switch B的优先级高于Switch A，从而保证VLAN 2和VLAN 3内的主机分别通过Switch A和Switch B通信。当Switch A或Switch B出现故障时，主机可以通过另一台设备继续通信，避免通信中断。3.配置步骤(1)配置Switch A# 配置VLAN 2。# 创建备份组1，并配置备份组1的虚拟IP地址为202.38.160.100。# 设置Switch A在备份组1中的优先级为110。# 配置VLAN 3。# 创建备份组2，并配置备份组2的虚拟IP地址为202.38.160.200。 (2)配置S

33、witch B# 配置VLAN 2。# 创建备份组1，并配置备份组1的虚拟IP地址为202.38.160.100。# 配置VLAN 3。# 创建备份组2，并配置备份组2的虚拟IP地址为202.38.160.200。# 设置Switch B在备份组2中的优先级为110。(3)配置VLAN 2内主机的缺省网关为202.38.160.100/25配置VLAN 3内主的缺省网关为202.38.160.200/25；检验配置效果：配置完成后，用户可以使用display命令查看各设备上VRRP的配置和运行情况。4.4.3 RRPP技术RRPP是基于数据链路层，专门应用于以太网环的一种协议。它可以防止广播风

34、暴造成的数据环路，可以备份链路，以确保最大的环网连接。 在长垣县云教育项目中，各乡镇中的节点的S7506E与S5800交换机,各设备通过两个10GE分别与上下节点相连,组成4套环网.通过RRPP协议.实现高可靠性.同时在端口上启用truck 允许VLAN通过,包括业务,管理功能等。4.4.4 RRPP配置1.组网需求 Device A、Device B、Device C、Device D和Device E构成RRPP域1，该域的控制VLAN为VLAN 4092，保护所有VLAN；Device A、Device B、Device C和Device D一起构成主环1，Device B、Device

35、 C和Device E构成子环2； 2.组网图图6 RRPP拓扑图 Device A为主环的主节点，GigabitEthernet1/0/1为主端口，GigabitEthernet1/0/2为副端口； Device E为子环的主节点，GigabitEthernet1/0/1为主端口，GigabitEthernet1/0/2为副端口； Device B为主环的传输节点和子环的边缘节点，GigabitEthernet1/0/3为边缘端口； Device C为主环的传输节点和子环的辅助边缘节点，GigabitEthernet1/0/3为边缘端口； Device D为主环的传输节点，GigabitEt

36、hernet1/0/1为主端口，GigabitEthernet1/0/2为副端口。3.配置步骤（1）配置Device A# 分别在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上关闭STP功能，并将端口配置为Trunk端口，允许所有VLAN通过，且信任报（2）配置Device B# 分别在端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3上关闭STP功能，并将端口配置为Trunk端口，允许所有VLAN通过，且信任报文的802.1p优先级。（3）配置Device C# 分别在端口

37、GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3上关闭STP功能，并将端口配置为Trunk端口，允许所有VLAN通过，且信任报文的802.1p优先级。（4）配置Device D# 分别在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上关闭STP功能，并将端口配置为Trunk端口，允许所有VLAN通过，且信任报文的802.1p优先级。（5）配置Device E# 分别在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上关闭STP功能，并将端口配

38、置为Trunk端口，允许所有VLAN通过，且信任报文的802.1p优先级。（6）检验配置效果配置完成后，用户可以使用display命令查看各设备上RRPP的配置和运行情况。4.4.5 OSPF在长垣县教育云项目中，网络都采用OSFP动态路由协议:1、OSPF是真正的LOOP- FREE（无路由自环）路由协议。源自其算法本身的优点。2、OSPF收敛速度快。3、区域划分，减少需传递的路由信息数量。4、将协议自身的开销控制到最小。5、严格划分路由的级别，提供更可信的路由选择。6、安全性很好，支持接口验证。7、OSPF应用于可以任意规模的网络。4.4.6 OSPF配置1. 组网图图7 OSPF拓扑图2

39、.组网需求所有的交换机都运行OSPF，并将整个自治系统划分为3个区域。其中Switch A和Switch B作为ABR来转发区域之间的路由。配置完成后，每台交换机都应学到AS内的到所有网段的路由。3.配置步骤配置各接口的IP地址配置OSPF基本配置# 配置Switch A。# 配置Switch B。# 配置Switch C。# 配置Switch D。检验配置结果# 在Switch D上使用Ping进行测试连通性。4.4.7核心交换机Catalyst6509和Catalyst45062台核心交换机上配置HSRP以实现主交换设备之间的冗余，HSRP如下图所示：图8 HSRP拓扑图通过配置HSRP组

40、可以实现负载分担和核心交换机间的相互热备，如上图所示：主交换机为Catalyst6509，备份路由器为Catalyst 4506，通过HSRP配置中生成的各个VLAN接口的虚拟地址作为下面交换机和终端的网关，所有终端平时通过主交换机Catalyst6509互访和上外网，如果主交换机出现故障，备份交换机承接主交换机的所有任务，并且不会导致主机连通中断现象。同时，通过将对VLAN网段进行分组，可以实现流量的负载均衡功能，充分利用网络带宽资源。核心交换机之间、交换机之间采用Cisco GEC（Gigabit EtherChannel）技术相连，在核心交换机上各配置2个千兆光纤接口组成一条逻辑通路（C

41、hannel）提供双倍的并行带宽，实现核心之间成倍增加带宽和为线路冗余提供可靠性。在交换机上启用VTP，VTP是思科第2层信息传送协议，主要控制网络范围内 VLANs 的添加、删除和重命名，VTP 减少了交换网络中的管理事务，通过 VTP，其域内的所有交换机都清楚所有的 VLAN的情况。表1网络中VTP规划表VTP domainJTTYVTP modeEnableVTP passwordDelteqVTP serverCatalyst6509、Catalyst4506VTP client Catalyst2970、Catalyst29504.5数据中心4.5.1数据中心交换机S5830、S58

42、20启用OSPFS路由协议,对服务器的业务数据进行转发,并且传送服务器的管理数据.另外实现业务服务器与存储服务器之间的通信。4.5.2数据中心多业务安全网关M9010数据中心网关M9010同样需要配置VRRP实现双机热备,并且启用OSFP以实现与核心网的三层互通.同时在FW上做安全配置以保证数据中心的安全,具体安全配置在5.7中描述。 4.5.3互联网出口多业务安全网关M9010该设备通过对应的路由协议实现与内网通信.同时通过NAT与ACL策略配合,实现内网与外网之间的控制访问。利用策略实现对科教网,跟Internet的同时接入。4.5.4 安全路由Cisco3845 Cisco3845为整个

43、网络做NAT地址转换来访问公网，xxxxx下属的各个子公司和出差的移动用户有访问内部网络服务器的需求，我们通过配置cisco3845为VPN server来实现vpn远程连接，客户端通过安装cisco vpn client拨号软件，在任何可以上网的地方拨号到cisco3845，经过认证后来实现通过VPN安全的访问内部网络主机。表2 VPN配置参数表加密算法3DESHASH算法MD5D-H组2认证方式预共享密钥身份标识IP加密图动态Cisco3845采用带有防火墙功能的IOS，通过对CBAC的配置，严格审查源和目的地址，增强端口的和TCP和UDP应用程序的安全，CBAC比目前的ACL解决方案更加

44、安全，因为它根据应用类型决定是否允许一个会话通过防火墙，并决定是否为回返通信流量选择某一通道，cisco3845在实际应用考虑到其自身资源的耗费，既作为VPN服务器又对整个网络做NAT，如果起用CBAC将会导致出口数据流较大的延时，且由于FWSM已完全能保证网络出口链路的安全性，我们在实施时不起用CBAC，但是如果采用方案2时，cisco3845将起用CBAC来保证VPN链路的安全性。第5章 网络故障解决当网络出现故障时，一些简单的解决原理和测试、应急方案。5.1故障解决原理1.故障解决思路先详细了解故障情况；先排除简单的故障，然后在解决复杂的； 先检查外部原因在检查内部原因；先检查配置和命令

45、然后在检查硬件本身；排除人为问题（电源为开等情况）；先大致判断故障点；锁定故障所在，作出解决方案。2.故障解决原则要对网络配置作出修改之前，要保证当下配置的可恢复性；要对网络设置作出修改之前，要保证不会造成更大的影响；判断故障的过程既是定位故障的过程，也是排除故障的前提；故障解决之后要做详细的故障排除报告。3.故障解决方法根据原理一步一步分析问题；采用排除、对比、替换等方式；慢慢缩小故障范围，最后解决故障。4.故障解决报告故障的详细描述；解决故障的详细过程；数据记录的详细描述；所用到的技术的介绍；避免或较少故障再次出现的方法；优化网络的方法，最后总结。5.2常用到的网络测试命令 ping命令在

46、我们排除网络故障的过程中，Ping命令是一个我们必须掌握的命令。ping命令可以测试设备之间的网络连通性，有时候我们可以通过ping命令减小故障的范围。例如：4个直连的路由器A、B、C、D，A下面的客户端无法和D下面的客户端互相通信，此时要解决这个故障，我们就可以利用ping命令测试，A和B之间、B和C之间、C和D之间能否ping通，然后检查ping不同的2个设备上配置是否有误。ipconfig命令在我们排除网络故障的过程中，ipconfig命令是一个非常有用的命令。ipconfig命令可以显示当前设备的IP地址的详细配置和网卡的MAC地址。例如：在排查DHCP配置时，我们利用ipconfig

47、查看设备是否自动获取了IP地址。Netstat命令在我们排除网络故障的过程中，Netstat命令是一个非常重要的命令。Netstat命令可以显示当前设备网络接口的状态、路由表、网络连接状态等信息。Tracert命令在我们排除网络故障的过程中，Tracert命令是一个非常有用的命令。Netstat命令可以显示IP数据到达目标设备时所采用的路径信息。Arp命令在我们排除网络故障的过程中，Arp命令也是个非常有用的测试命令。ARP命令可以显示和修改ARP缓存（网络中适配器的表格）的条目。如果不加参数，ARP命令可以显示帮助信息。5.3网络应急方案5.3.1网络出口中断应急方案通过路由备份来实现网络中断的处理.当主出口出现问题时,自动切换到备份线路,由网络维护人员联系外部人员进