网络工程论文-组建高性能企业园区网

1、.WD.WD.WD.毕业设计报告(论文)报告(论文)题目：高性能企业园区网的设计与组建作者所在系部：作者所在专业：网络工程作者所在班级：作 者 姓 名 ：作 者 学 号 ：指导教师姓名：完 成 时 间 ：2016年6月 摘 要在如今的网络建设中，企业园区网的搭建是非常重要的，企业园区网高速开展的原因是企业园区网内部可以同时开展不通的业务。早期的企业园区网只是简单的数据共享，而现今的企业园区网可以做到企业内部全方位的数据共享。过去单一的企业到现在多个分支公司的全部互连，因而对网络的覆盖面要求越来越广。这一要求最早还只局限于各分支企业内部，现在那么已是整个企业、整个行业，甚至整个Internet的

2、共同要求。因此构建高性能的企业园区网显得尤为重要。随着网络的逐步普及，高性能企业园区网的建设是企业向信息化开展的必然选择，企业网络系统是一个非常庞大而复杂的系统，它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供 基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。关键词：高性能园区网 信息化AbstractIn todays network construction , enterprise campus network structures is very important , because the rapid development of the en

3、terprise campus network is the enterprise campus network can be carried out inside the business at the same time does not make sense . Early enterprise campus network just simple data sharing, and todays enterprise campus network can do a full range of enterprise data sharing . A single enterprise i

4、n the past and now all of interconnecting a plurality of branch of the company , and thus the network coverage requirements and more widely. This requirement also only limited to the first branch of the enterprise, is now already the whole enterprise , the whole industry, and even the common require

5、ments across the Internet. So to build a high-performance enterprise campus network is particularly important.With the popularity of the network , the construction of high-performance enterprise campus network is the inevitable choice to enterprise information development , enterprise network system

6、 is a very large and complex system , not only for enterprises to modern, integrated information management and office automation, a series application provides basic operating platform , and can provide a variety of applications , so that information can be promptly and accurately transmitted to th

7、e various systems .Keyword:high performance, Campus Network, Informatization目录 TOC o 1-3 h z u HYPERLINK l _Toc460924720摘要 PAGEREF _Toc460924720 h 2HYPERLINK l _Toc460924721Abstract PAGEREF _Toc460924721 h 3HYPERLINK l _Toc460924722第1章绪论 PAGEREF _Toc460924722 h 1HYPERLINK l _Toc4609247231.1 课题研究现状分析

8、 PAGEREF _Toc460924723 h 1HYPERLINK l _Toc4609247241.2 选题的目的及意义 PAGEREF _Toc460924724 h 1HYPERLINK l _Toc4609247251.3 课题研究的主要内容 PAGEREF _Toc460924725 h 1HYPERLINK l _Toc460924726第2章系统需求分析 PAGEREF _Toc460924726 h 3HYPERLINK l _Toc4609247272.1 系统需求概述 PAGEREF _Toc460924727 h 3HYPERLINK l _Toc4609247282

9、.2 系统的设计原那么 PAGEREF _Toc460924728 h 3HYPERLINK l _Toc4609247292.3 系统的目标 PAGEREF _Toc460924729 h 3HYPERLINK l _Toc460924730第3章系统设计的主要技术 PAGEREF _Toc460924730 h 5HYPERLINK l _Toc4609247313.1 VLAN技术 PAGEREF _Toc460924731 h 5HYPERLINK l _Toc4609247323.2 OSPF协议 PAGEREF _Toc460924732 h 5HYPERLINK l _Toc46

10、09247333.3 VPN技术 PAGEREF _Toc460924733 h 6HYPERLINK l _Toc4609247343.4 虚拟路由冗余协议 PAGEREF _Toc460924734 h 6HYPERLINK l _Toc4609247353.5 访问控制列表 PAGEREF _Toc460924735 h 7HYPERLINK l _Toc4609247363.6 网络地址转换 PAGEREF _Toc460924736 h 7HYPERLINK l _Toc460924737第4章网络总体构造设计 PAGEREF _Toc460924737 h 8HYPERLINK l

11、 _Toc4609247384.1企业园区网拓扑构造 PAGEREF _Toc460924738 h 8HYPERLINK l _Toc4609247394.2系统的数据流量设计 PAGEREF _Toc460924739 h 9HYPERLINK l _Toc4609247404.2.1 数据流向设计原那么 PAGEREF _Toc460924740 h 9HYPERLINK l _Toc4609247414.2.2 正常数据流向 PAGEREF _Toc460924741 h 9HYPERLINK l _Toc4609247424.2.3 广域网出口故障数据流向 PAGEREF _Toc4

12、60924742 h 10HYPERLINK l _Toc4609247434.2.4 核心交换机故障数据流向 PAGEREF _Toc460924743 h 12HYPERLINK l _Toc4609247444.2.5 会聚层链路故障数据流向 PAGEREF _Toc460924744 h 13HYPERLINK l _Toc460924745第5章网络详细设计 PAGEREF _Toc460924745 h 15HYPERLINK l _Toc4609247465.1 总体技术实现 PAGEREF _Toc460924746 h 15HYPERLINK l _Toc4609247475

13、.2 二层交换功能实现 PAGEREF _Toc460924747 h 15HYPERLINK l _Toc4609247485.3 三层路由功能实现 PAGEREF _Toc460924748 h 15HYPERLINK l _Toc4609247495.4 路由策略设计 PAGEREF _Toc460924749 h 16HYPERLINK l _Toc460924750第6章边界策略优化管理 PAGEREF _Toc460924750 h 17HYPERLINK l _Toc4609247516.1 策略优化需求 PAGEREF _Toc460924751 h 17HYPERLINK l

14、 _Toc4609247526.2策略优化实现 PAGEREF _Toc460924752 h 17HYPERLINK l _Toc460924753第7章系统各模块地址划分 PAGEREF _Toc460924753 h 19HYPERLINK l _Toc4609247547.1 VLAN规划设计 PAGEREF _Toc460924754 h 19HYPERLINK l _Toc4609247557.2 IP地址规划设计 PAGEREF _Toc460924755 h 20HYPERLINK l _Toc460924756第8章故障解决 PAGEREF _Toc460924756 h 2

15、2HYPERLINK l _Toc4609247578.1 故障分析 PAGEREF _Toc460924757 h 22HYPERLINK l _Toc4609247588.2 常见故障分析 PAGEREF _Toc460924758 h 22HYPERLINK l _Toc4609247598.2.1 物理和协议端口双down PAGEREF _Toc460924759 h 22HYPERLINK l _Toc4609247608.2.2 物理端口up但协议端口down PAGEREF _Toc460924760 h 22HYPERLINK l _Toc4609247618.2.3 端口双

16、up但无法ping通 PAGEREF _Toc460924761 h 22HYPERLINK l _Toc4609247628.3 协议故障 PAGEREF _Toc460924762 h 22HYPERLINK l _Toc4609247638.3.1 MSTP协议故障 PAGEREF _Toc460924763 h 22HYPERLINK l _Toc4609247648.3.2 OSPF协议故障 PAGEREF _Toc460924764 h 25HYPERLINK l _Toc4609247658.3.3 BGP协议故障 PAGEREF _Toc460924765 h 26HYPERL

17、INK l _Toc4609247668.4 其它故障 PAGEREF _Toc460924766 h 27HYPERLINK l _Toc460924767结论 PAGEREF _Toc460924767 h 28HYPERLINK l _Toc460924768致谢 PAGEREF _Toc460924768 h 29HYPERLINK l _Toc460924769参考文献 PAGEREF _Toc460924769 h 30第1章 绪论1.1 课题研究现状分析随着科技的开展，网络技术的开展也越来越成熟，各大企业 基本都实现了信息化的办公。对企业而言，提高企业内部员工的工作效率，更好的扩

18、展企业的业务，同时能够更标准合理的管理企业网络，保证企业信息不被泄漏，越来越多的企业认识到搭建一个高效、稳定、安全的网络的重要性。然而现如今网络技术不断开展，企业园区网络的搭建有很多种选择，如何选择网络技术搭建园区网来满足企业现在的需求以及未来开展的需要，同时对于网络要有可扩展性，这是摆在各企业面前的一个难题。1.2 选题的目的及意义当今世界经济空前繁荣，企业面临着异常剧烈的竞争，机遇与挑战并存。如何控制并降低成本，如何获得业务的增长，如何增强核心竞争力，如何提高运营效率和客户满意度，成为企业负责人最关心的话题。网络信息化技术在各行各业开展中起到的作用越来越显著，信息化技术给我们带来了不一样的

19、业务模式，信息化为企业的高速开展提供了最新的技术保证，怎样把高效的信息技术转化为高生产力，并最终成为企业的核心竞争力，是当下每一个企业都在思索的一个问题。纵观目前大局部企业的网络建设，很多企业的网络构架搭建的时间过久，导致存在设计混乱、层次复杂、稳定性低、安全性缺乏等一系列的问题，已经不能很好的适应现如今信息化高速开展的需求。 所以企业迫切的需要一个合理的、高性能的网络来满足业务需求。本文采用工程化设计的方法，设计并且模拟一个园区网络，采用成熟的产品和技术，满足用户安全性、通用性、高效性和可扩展性的要求，由于网络采用模块化设计的思想，所以网络系统各层可移植性强，极大的帮助了以后的网络设计工作。

20、1.3 课题研究的主要内容本文所设计的高性能企业园区网，主要任务是设计一个标准合理化的高性能网络，统一规划园区网的IP地址，合理使用路由协议，在网关出配置相关的控制策略，通过设备以及链路的冗余保障网络的安全性。而对于企业园区网中，网络管理员在边界对策略的管理没有一个可视化的管理，造成策略管理的混乱，本文也为这种混乱策略的管理给出了相应的解决方案。在网络的建设中了解企业的行政构造，部门划分，对不同职能的部门给予不同的权限，按照最大需求的给予最小权限的原那么，保证网络的安全性。在所设计的园区网中，既要可以满足现有应用的需求，又要有一定的冗余度，满足企业业务的扩展需求。设计的网络力求简单稳定高效，防

21、止复杂臃肿，以保证网络的可移植性和可扩展性。第2章 系统需求分析本章主要针对企业现有应用系统进展分析，然后根据企业业务需求制定相应的可行性方案，并且提出企业园区网的总体设计目标。2.1 系统需求概述针对目前企业网络的设计混乱，层次复杂问题提出相应解决方案，规划设计出一个高性能稳定的企业园区网。建设的企业园区网充分考虑设备的性能和相关的网络技术，搭建企业园区网的整体框架，形成支撑企业业务高效开展的体系。2.2系统的设计原那么所设计的企业园区网应遵循以下原那么：采用成熟的网络技术，使网络可以适应未来网络技术以及企业未来业务开展需求；构建的网络应该采用先进的OSPF、VRRP、VPN等技术；采用层次

22、化、可移植、可扩展的系统体系；采用设备冗余、链路冗余等技术保证网路的安全可靠性；网络构造具有开放性和可扩大性，为将来网络规模的扩大留下足够的余地；在保证使用要求和技术可行性的前提下，选择易于操作和管理的网络设备；采用有容错功能的网络设备，主干区域使用硬件双备份，出现故障可以快速恢复；采用严格的权限管理，不同部门之间限制访问；在重要的边界设备制定严格的策略，保证企业网的安全，防止数据的泄漏。2.3 系统的目标根据对目前企业网的需求分析，最终企业网需要实现的功能如下：企业网与互联网的安全互通，终端用户可以随时接入，满足企业业务开展需求；实现企业网的扩展性需求，在网络规模扩大时，可以在原来网络根基上

23、改造，降低网络的建设和改造成本；实现内网用户以及外网用户对企业内网资源的安全合理访问，防止非法用户或者合法用户对资源的越权使用；实现VPN功能，使得外出差人员和合作伙伴能够在Internet上安全地和企业内网进展信息的交互处理；网内实现可靠性设计，从设备以及技术上均保证了在出现网络故障时网络能够快速恢复的能力；实现网络的优化部署，实现了路由备份、负载分担功能；实现整个企业网络的可管理性，通过统一的管理中心实现对全网络的设备以及数据流量的控制；实现网络访问策略的统一管理，对于需要开通的服务端口，需要通过员工提交申请，又领导审批通过以后再提交网络管理员进展开通。第3章 系统设计的主要技术3.1 V

24、LAN技术在传统的局域网中，各站点共享传输信道所造成的信道冲突和播送风暴是影响网络性能的重要因素。为了解决发生在网络第二层的信道冲突和发生在网络第三层的播送风暴问题，网桥和路由器被广泛应用于局域网中。由网桥连接的网络属于同一逻辑子网，逻辑子网是指该网络中的网络站点具有一样的网络层地址，例如具有一样的IP网络号或者IPX网络号。由路由器将不同逻辑子网连接在一起，逻辑子网间的通信必须经路由器进展。在这种网络构造中，由集线器、粗缆和细缆所构成的物理网络与逻辑子网相对应。通常一个IP子网或者IPX子网属于一个播送域，因此网络中的播送域是根据物理网络来划分的。这样的网络构造无论从效率和安全性角度来考虑都

25、有所欠缺。同时，由于网络中的站点被束缚在所处的物理网络中，而不能够根据需要将其划分至相应的逻辑子网，因此网络的构造缺乏灵活性。为解决这一问题，从而引发了虚拟局域网VLAN的概念，所谓VLAN是指网络中的站点不拘泥于所处的物理位置，而可以根据需要灵活地参加不同的逻辑子网中的一种网络技术。3.2 OSPF协议OSPF是一个内部网关协议，用于在单一自治系统内决策路由。它是基于链路状态的路由协议，链路状态是指路由器接口或链路的参数。这些参数是接口的物理条件：包括接口是Up还是Down、接口的IP地址、分配给接口的子网掩码、接口所连的网络，以及使用路由器的网络连接的相关费用。OSPF与其他路由器交换交换

26、信息，但所交换的不是路由，而是链路状态。OSPF路由器不是告知其他路由器可以到达哪些网络及距离是多少，而是告知它的网络链路状态，这些接口所连的网络及使用这些接口的费用。各个路由器都有其自身的链路状态，称为本地链路状态，这些本地链路状态在OSPF路由域内传播，直到所有的OSPF路由器都有完整而等同的链路状态数据库为止。一旦每个路由器都接收到所有的链路状态，每个路由器可以构造一棵树，以它自己为根，而分支表示到AS 中所有网络的最短的或费用最低的路由。OSPF对于规模巨大的网络，通常将网络划分成多个OSPF区域，并只要求路由器与同一区域的路由器交换链路状态，而在区域边界路由器上交换区域内的汇总链路状

27、态，这样可以减少传播的信息量，且使最短路径计算强度减少。在区域划分时，必须要有一个骨干区域即区域0，其它非0或非骨干区域与骨干区域必须要有物理或者逻辑连接。当有物理连接时，必须有一个路由器，它的一个接口在骨干区，而另一个接口在非骨干区。当非骨干区不可能与物理连接到骨干区时，必须定义一个逻辑的或虚拟链路，虚拟链路由两个端点和一个传输区来定义，其中一个端点是路由器接口，是骨干区域的一局部，另一端点也是一个路由器接口，但在与骨干区没有物理连接的非骨干区域中。传输区是一个区域，介于骨干区域与非骨干区域之间。3.3VPN技术VPNVirtual Private Network翻译成中文就是虚拟专用网络。

28、它是在公共通信根基设施上构建的虚拟专用或私有网，可以被认为是一种从公共网络中隔离出来的网络。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建设一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购置路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或操作系统等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建设虚拟私有网。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建设可

29、信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断开展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。3.4 虚拟路由冗余协议VRRP(VirtualRouterRedunda

30、ncyProtocol,虚拟路由冗余协议)是一种容错协议。通常，一个网络内的所有主机都设置一条缺省路由，这样，主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA坏掉时，本网段内所有以RouterA为缺省路由下一跳的主机将断掉与外部的通信产生单点故障。VRRP就是为解决上述问题而提出的，它为具有多播组播或播送能力的局域网(如：以太网)设计。VRRP将局域网的一组路由器(包括一个Master即活动路由器和假设干个 Backup即备份路由器)组织成一个虚拟路由器，称之为一个备份组。这个虚拟的路由器拥有自己的IP地址(这个

31、IP地址可以和备份组内的某个路由器的接口地址一样，一样的那么称为ip拥有者)，备份组内的路由器也有自己的IP地址(如Master的IP地址为 ,Backup的IP地址为)。局域网内的主机仅仅知道这个虚拟路由器的IP地址, 而并不知道具体的Master路由器的IP地址以及Backup路由器的IP地址.1它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址.于是，网络内的主机就通过这个虚拟的路由器来与其它网络进展通信。如果备份组内的 Master路由器坏掉，Backup路由器将会通过选举策略选出一个新的Master路由器，继续向网络内的主机提供路由服务。从而实现网络内的主机不连续地与外部网络

32、进展通信。3.5 访问控制列表ACLAccess Control List，访问控制列表是一系列permit或者deny语句组成的顺序列表，应用于地址或上层协议。为了过滤数据报文，网络设备需要配置一系列的匹配条件来对数据包进展分类过滤，数据包过滤有时也称为静态数据包过滤，它通过分析传入和传出的数据包以及根据既定标准传递或阻止数据包来控制对网络的访问。数据包过滤设备根据源和目的IP地址、源端口和目的端口以及数据包的协议，利用已制定的规那么来决定是应该允许还是拒绝流量通过。3.6 网络地址转换NAT技术主要实现内部网络地址到外部网络的转换，静态NAT是把内部网络中的某台服务器地址永久映射成外部网络

33、中的某个合法地址，这样方便外网用户企业园区网资源；动态地址NAT是采用把外部网络中的合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换PAT是把内部地址映射到外部网络的一个IP地址的不同端口上，把企业内网IP转换为公网IP地址，使内部用户可以方便的访问公网Internet。目前NAT技术主要用户于地址转换和对内部网络安全的一个保护，企业内部员工数量众多，而能够申请到的公网IP地址有限，这样可以通过NAT技术实现内网多个用户共同使用一个公网IP访问互联网，而这种方式也能有效的隐藏企业内部网络情况，对网络攻击起了一定的防范作用。第4章 网络总体构造设计4.1企业园区网拓扑构造本文所设计

34、网络拓扑构造， 基本保证了网络的可靠性、可扩展性、可管理性以及安全性等要求。整个网络采用标准的核心层、会聚层和接入层三层网络构造，核心层采用双机冗余热备份，保证网络的稳定性。整个网络拓扑构造如图4-1所示。图4-1 整体网络拓扑图如图4-1所示，两台高带宽的千兆交换机作为企业网的枢纽中心，其上行连接核心防火墙，保证园区网内部网络安全，其下行连接会聚层交换机。会聚层交换机选用支持三层交换技术和VLAN的交换机，以到达减轻核心层设备的负荷，隔离网络和分段的目的。存储服务器和管理中心服务器也通过连接会聚层交换机接入园区网。而接入层那么选用不支持VLAN和三层交换技术的普通交换机。在不同的建筑部署接入

35、交换机，然后使用VLAN技术将不同智能的部门的流量数据通过二层隔离在自己的播送域范围内，并且为了加强网关的安全，在各个网关出配置相应的访问控制。如制止员工宿舍访问办公楼网络，以免占用正常业务带宽；制止各个部门之间网络互通，以免某部门网络被攻破不会进一步攻击另外部门。对于企业网中访问流量大，访问次数多的服务器，如邮件服务器、业务部门需要使用的服务器，采用MSTP+VRRP的组合技术接入到会聚交换机上，既能提供设备和链路的高度冗余又能实现访问服务器流量的负载均衡。对于为外网提供服务的服务器来说，在边界网关出制定相应策略，只翻开某些服务需要的端口，其余端口默认置为关闭状态，保证服务器安全性。4.2系

36、统的数据流量设计根据对企业网络的调研，本网络一共有两类流量，一类是企业员工访问内部资源，另一类是企业员工对互联网资源的访问。为了保证全网的数据稳定性、路由的可控性以及网络的可管理性，需要对企业园区网络的数据流向进展详细的规划设计，本节详细描述了这方面的内容，主要内容包括数据流向设计原那么以及正常情况和灾难情况各种情况下的数据流向做一个统一的规划设计，也为后续的路由设计等提供一个原那么和根基。4.2.1 数据流向设计原那么对于一个高性能的企业园区网来说，清晰明确的流向设计非常关键，表达在以下几个方面：(1)要求正常业务流量和员工宿舍用网流量完全别离，既能有效保证办公数据的安全性，又能形成一个清晰

37、的管理界面，方便后期网络的运维管理。这就需要设计初期进展准确的数据流向设计并匹配相应的路由策略才能实现。(2) 出于对网络高可靠性的要求，在整个网络的核心位置及重要应用区域增加了冗余的链路，这样就使得数据的流量路径变的复杂起来，正常情况下的数据流向和当某些链路或设备发生故障时数据的流向，需要提前规划好流量的迁移路线，以方便故障的定位和灾难的恢复。(3) 要求保证上下行流量路径一致，对于这种冗余链路较多较复杂的网络而言，怎样保证数据走向清晰、防止混乱，便于管理和排错是尤为重要的，因此将流量走向设计为上下行路径统一是非常必要的。4.2.2 正常数据流向正常情况下，员工业务办公流量与员工生活用网流量

38、是分开的，分别走各自的流量路径。两台核心交换机互为备份，平时企业员工办公使用内网资源的流量主要走核心层A侧交换机，办公时员工有访问互联网的需求，外网流量那么通过会聚B侧交换机连接核心A侧交换机通过电信链路接入互联网。员工生活用网不需要访问企业内部服务器资源，故制定策略让员工生活用网的流量走核心层B侧交换机通过联通链路访问互联网，以此保证业务流量与生活流量的隔离。正常数据流量走向如图4-2所示。图4-2 正常流量走向4.2.3 广域网出口故障数据流向假设广域网电信链路一侧出口出现故障，原本培训中心以及员工生活使用的互联网不受任何影响，而在办公楼正常办公的员工访问互联网时，链路会自动切换到通过联通

39、一侧链路接入互联网，保证网络的稳定性。办公楼以及培训中心的内网流量那么不会受到任何影响。流量走向如图4-3所示。图4-3 广域网电信侧出口故障广域网联通一侧链路出口故障，那么在正常流量走向情况下，除了培训中心和员工宿舍用外网流量改为从核心层A侧上行通过电信链路接入互联网外，对于培训中心内网、办公楼内网和外网流量走向并没有影响，具体流量走向如图4-4所示。图4-4 4.2.4 核心交换机故障数据流向假设核心层A侧设备出现故障，企业网所有需要访问互联网资源的流量那么都从核心层B侧设备通过联通链路接入互联网，此时路由重新计算结果，办公楼连入外网的网关会启动VRRP备份网关，也即切换核心层B侧设备为网

40、关。而假设企业员工此时需要访问内网服务器资源，内网流量那么会通过核心层B侧设备进展转发，具体流量走向如图4-5所示。同理可知，假设核心层B侧设备出现故障，培训中心以及员工宿舍访问外网那么会通过核心层A侧设备接入互联网，此时网关也会自动切换为A侧设备。图4-54.2.5 会聚层链路故障数据流向假设会聚层B侧设备故障，此时培训中心和员工宿舍外网流量那么通过会聚层A侧设备会聚，再通过核心层B侧设备进展转发访问互联网。具体流量走向如图4-6所示。同理可得，假设会聚层A侧设备出现故障，此时办公楼内外网流量都通过会聚层B侧设备会聚。培训中心和员工宿舍访问外网那么通过核心层B侧设备接入访问外网，办公楼访问外

41、网依旧通过核心层A侧设备接入访问外网。图4-6第5章 网络详细设计本章对按照前期的设计原那么以及规划方案进展详细的设计，包括了园区网络的总体设计、二层交换功能和三层路由功能的实现，详细说明整个网络的连接配置情况。根据对本次改造建网需求的深刻理解以及针对本方案的建设原那么，查阅了大量的企业网网组网资料，借鉴先进成熟的中石油企业网组网经历。力求设计建设一个全方位符合长远需求并有很强可靠性、安全性的高性能统一企业园区网络。5.1 总体技术实现由于企业园区网接入设备较多，故整个网络的具体连接无法通过拓扑全部展现出来。本节将对整体网络进展介绍，着重介绍如何通过各种技术组建企业园区网，以及规划中的功能是如

42、何实现的。在企业网出口路由器上配置NAT进展地址转换为企业员工提供高速的互联网接入服务，核心层的两台交换机之间配置VRRP冗余网关备份，对服务器提供高可靠性的网关冗余备份和高效的服务，考虑到服务器应用的流量负载分流，对于服务器的接入采用双上行的典型接入构造。整个网络骨干运行OSPF动态路由协议进展路由的学习计算。5.2 二层交换功能实现二层功能主要表现在各个职能部门内的信息交换，信息源于一个VLAN播送域内的终端，终止于同一个VLAN内的另一个终端，在大多数的情况下，都是终结于这个VLAN所映射的IP子网的网关，本设计方案中将各个接入部门的网关设在会聚设备上。考虑到应用服务器、邮件服务器和业务

43、服务器的高可靠性要求，重要应用的接入采用VRRP网关冗余接入设计，两台核心交换机热备网关，提供可靠的冗余保障服务。将两个VLAN映射到不同的MSTP实例中，可以计算出不同的树，即实现了冗余备份又实现了流量负载。5.3 三层路由功能实现路由设计是网络设计当中的一个核心内容，对于一个高可靠、高性能的网络来说，一个合理的路由设计显得尤为重要。总体设计思路应根据数据流向的设计方案，合理、高效、可靠部署路由协议，依据数据流向设计提供链路传输保障实现高效、合理承载网络中各项应用需求。合理规划路由协议和策略，充分考虑路由收敛的性能。OSPF是基于链路状态计算最短路径的路由协议，该类协议需要对每条链路赋予一个

44、COST值，路由的COST值为所途经链路COST值的累加数值。为保证OSPF链路状态数据库的一致性和路由对称性，要求一条链路两端的端口COST值配置必需相等。如何合理的分配流量使得数据的路径按照规划设计的路径运转是网络稳定的关键之一，为了实现这个目标，采用的技术手段就是调整COST值。分配OSPF的COST值是一项非常严谨的工作，对网络中流量的稳定起着重要的作用。5.4 路由策略设计全网路由的互通采用静态路由与OSPF组合的方式，将互联网出接口的默认静态路由以及服务器应用的直连路由引入到OSPF域中需要做路由策略来修改引入的COST值，到达路由控制的目的。为了保证办公数据的安全，在员工宿舍的会

45、聚网关处部署访问控制策略，制止员工宿舍楼的IP网段对其进展访问。这样就有效保证了办公数据的安全性，不受员工生活用网流量的潜在不安全。本企业网整网规划中，为每台网络设备都配置了一个专门的环回口作为该设备的管理地址，为了保证设备的安全性，每台设备的环回地址应该只允许被网管中心的IP地址段远程登录，配置专门的访问控制列表应用在环回口地址上，拒绝任何非网管中心的IP地址对其进展访问控制。为了提高整个网络的安全性，以便将来部署统一的管理和安全机制，在所有的网络设备上部署AAA安全框架，自会聚层以上核心设备以及关键位置的设备，例如出口路由器及服务器的接入交换机等，都需要被包含在自定义的安全域中，统一进展安

46、全的认证验证或计费管理。第6章 边界策略优化管理6.1策略优化需求对于目前大多数网络访问控制(ACL)管理主要存在的问题包括：1云计算网络构造复杂，缺少对网络拓扑边界和网络访问路径的可视化管理，缺少网络边界开放服务的监控能力，缺少复杂ACL智能优化能力、ACL相关信息的统一检索能力、以及相关ACL的快速定位能力；2云计算网络访问需求变化快，无法结合业务进展细粒度访问控制策略管理，ACL数量急剧增长，无法实时跟踪网络访问控制失效策略，往往网络层面的访问控制策略粒度过粗，无法实时跟进业务变化，无法做到最小化需求访问，形同虚设；3网络设备的网络访问控制管理和VLAN管理配置复杂，需要专业安全网络工程

47、师才可以实施，操作步骤繁琐且易出错，一旦配置不当会造成网络的瘫痪；且网络设备的ACL容量是有限制，一旦超出限额，所有的网络访问控制策略将全部失效。4云计算内部网络构造复杂，需求变化快，不适宜全范围部署防火墙类产品，会影响云核心网络的处理性能，传统网络设备ACL访问控制管理复杂且维护成本高，必须通过高效的可视化集中管理；5传统网络管理方式VLAN管理和ACL策略管理混乱，业务申请用户和网络安全管理人员之间沟通不顺畅，无法按需访问，网络ACL变更没有监控和审计措施，缺少信息化审批流程，缺少审计记录，配置管理，变更管理更无法合规可控。根据Gartner研究，“超过95%的防火墙漏洞是因由防火墙配置错

48、误导致的，而不是防火墙自身的缺陷。针对以上出现的种种访问控制问题，使用先进的网络访问控制管理软件进展统一的ACL管理，提升网络安全运维人员效率，简化网络权限管理复杂度，防止人工操作造成的错误配置，保障配置管理和变更管理标准和合规。策略优化实现通过对网络设备ACL的分析，对多余以及无效的ACL进展合并或者删除，保证网络设备ACL数量的冗余。1.可通过定义数学模型：rule:Rx Ry：规那么x 规那么y关系： RCD, RPm, REM, RIM, RCRcd 互斥completely disjointRem 相等exactly matchRim 超集inclusively match，Rx 是

49、 Ry超集Rpd 子集partially disjoint，Rx 是 Ry子集Rc 关联 correlated REDUNDANCY(冗余)Rxorder Ryorder, RxEMRy, Rxaction = RyactionRxorder Ryorder, RxPDRy, Rxaction = RyactionRxorder Ryorder, RxIMRy, Rxaction =RyactionSHADOWING(遮盖)Rxorder Ryorder, RxEMRy, Rxaction! = RyactionRxorder Ryorder, RxIMRy, Rxaction! = Ryac

50、tionGENERALIZATION(泛化)Rxorder Ryorder, RxPDRy, Rxaction != RyactionSUPERIMPOSING(叠加)Rxorder Ryorder, RxCRy, Rxaction = RyactionCORELATION(相关)Rxorder Ryorder, RxCRy, Rxaction != RyactionCOMBINABLE(合并)RxorderRyorderR2(deny)-R3(permit), R1与R2泛化，如果不考虑位置关系的影响，推导出来的R1与R3冗余错误。所以，在推导的时候要考虑这种位置关系带来的问题。通过上述优化

51、处理，确保网络安全策略的有效性、安全性和合规性，从而降低网络安全策略的风险状况，有效提高网络运维人员的工作效率。第7章 系统各模块地址划分7.1 VLAN规划设计按照方案的设计原那么，要求企业中不同职能部门的流量数据在二层隔离开来，这就需要将不同的部门划分到不同的VLAN当中，整体的划分思路是，VLAN1049为互联网段，VLAN50300为各服务器和各应用系统使用，VLAN301400为各个部门使用，VLAN401500为培训中心楼使用，VLAN511584为员工宿舍楼使用。表7-1 VLAN统一划分名称VLAN互联网段1049邮件服务器50FTP服务器60门户网站服务器70人力资源ERP系

52、统80网络安全域90工程开发测试100信息内容审计系统110在线培训系统120身份认证130备份系统140电子公文系统150ERP系统160应急管理系统170办公系统180档案管理系统190移动应用平台200经理办公室301财务部302行政管理部303人事部304根基设施运维部305培训中心1-1411培训中心1-2412培训中心1-3413培训中心1-4414培训中心1-6415培训中心2-1421培训中心2-2422培训中心2-3423培训中心2-4424员工宿舍A1楼一层511员工宿舍A1楼二层512员工宿舍A1楼三层513员工宿舍A2楼一层521员工宿舍A2楼二层522员工宿舍D5楼四

53、层5847.2 IP地址规划设计VLAN的划分使得不同部门、不同应用系统以及培训中心和员工宿舍楼的二层隔离，但对于一个企业园区网来说，合理的IP地址规划也是相当的重要。根据在中石油实习期间借鉴中石油广域网的IP规划得知，最好每一个VLAN映射一个IP网段。考虑到未来网络的扩建，使用A类IP地址进展划分。表7-2 IP地址统一划分名称VLANIP地址管理地址/8互联网段1049/16邮件服务器50/16FTP服务器60/16门户网站服务器70/16人力资源ERP系统80/24网络安全域90/24工程开发测试100/24信息内容审计系统110/24在线培训系统120/24身份认证130/24备份系

54、统140/24电子公文系统150/24ERP系统160/24应急管理系统170/24办公系统180/24档案管理系统190/24移动应用平台200/24经理办公室301/24财务部302/24行政管理部303/24人事部304/24根基设施运维部305/24培训中心1-1411/24培训中心1-2412/24培训中心1-3413/24培训中心1-4414/24培训中心1-6415/24培训中心2-1421/24培训中心2-2422/24培训中心2-3423/24培训中心2-4424/24员工宿舍A1楼一层511/24员工宿舍A1楼二层512/24员工宿舍A1楼三层513/24员工宿舍A2楼一层

55、521/24员工宿舍A2楼二层522/24员工宿舍D5楼四层584/24第8章 故障解决8.1 故障分析在网络运行的过程中可能会出现各种故障，此时需要先对故障进展观察，然后收集故障相关信息，如硬件设备面板指示灯、数据流量走向、设备配置、各接口状态、抓包等方面收集信息。对收集到的信息进一步进展分析，定位问题所在，查找产生问题的原因，必要时可去掉验证和加密，去掉ACL简化设备配置排除相关干扰。针对的出现的故障列出排错方案，故障处理过程中应记录日志信息，方便故障解决后编写解决方案，以便日前方便排查故障。8.2 常见故障分析8.2.1 物理和协议端口双down可能由于物理端口网线未能插牢、网线断掉、对

56、端设备掉电、端口被shutdown等原因造成故障。8.2.2 物理端口up但协议端口down可能由于两端封装协议不一致、端口未正确配置IP地址、路由协议配置错误等原因造成故障。8.2.3 端口双up但无法ping通可能由于两端IP地址不在同一网段、端口策略配置有误、两端工作模式不一致或者由于路由协议配置不当等原因导致出现此种故障。8.3 协议故障8.3.1 MSTP协议故障1、播送风暴故障处理故障描述：网络中存在播送风暴。故障处理步骤：1通过disstp命令查看设备是否开启全局MSTP，如果没有开启那么在系统配置视图中配置命令stpenable开启全局MSTP。2通过命令dis stp int

57、查看端口MSTP是否开启，如果没有开启那么在接口视图下配置stp enable开启端口的MSTP。3通过命令display stp history检查端口是否存在STP报文超时现象。例如： dis stp inst 2 history slot 1 STP slot 1 history trace Instance 2 Port Ethernet1/1 Role change : ROOT-DESI Aged Time : 2006/08/08 00:22:56 Port priority : 0.00e0-fc01-6510 0 0.00e0-fc01-6510 128.1 在Etherne

58、t1/1信息的Role Change项中存在Aged字样说明端口Ethernet1/1的报文曾经超时，此时可以通过命令stp timer-factor将超时因子设置得大一些。2、端口无法快速迁移故障处理故障描述：端口发生链路故障或者链路故障恢复后，整个网络的流量恢复时间超过30秒。故障处理步骤：1检查连接连接对端是否是终端，如果对端连接的是终端，在端口上执行命令stp edge-port enable开启边缘端口属性。2使用命令dis stp查看设备的工作模式，假设设备工作的模式是STP，那么使用stp mode命令将设备的工作模式修改为MSTP。3在上行设备中使用命令dis stp查看设备工

59、作模式，假设上行设备是工作在STP模式或者RSTP模式，那么用在上行设备中使用stp mode命令将工作模式修改为MSTP，假设上行设备的工作模式是RSTP，那么可以在端口上使用stp no-agreement-check命令开启No Agreement Check特性。4查看设备的端口是不是点对点链路，使用命令dis stp int查看： dis stp int ethernet 1/0CISTPort1(Ethernet1/0)UP Port Protocol :enabled Port Role :CIST Disabled Port Port Priority :128 Port Co

60、st(Legacy) :Config=auto / Active=200000 Desg. Bridge/Port :0.00e0-fc00-2000 / 128.2 Port Edged :Config=disabled / Active=disabled Point-to-point :Config=auto / Active=true Transmit Limit :10 packets/hello-time Protection Type :None MST BPDU Format :Config=auto / Active=legacy Port Config- Digest-Sno