基于EVE-NG模拟平台的高可靠性企业网络设计与部署-本科毕业设计（论文）

摘要为了更好的解决随着网络技术与网络设备的发展与更新，导致企业网络之前的设计与部署不足以支持当前企业网络的可靠性，通过分析现阶段主流企业网络拓扑的规划及其采用的相关技术，提出了当前主流保障企业网络高可靠性的网络部署方案。应用了链路聚合、MSTP、HSRP、双机热备以及双出口配置等技术，完成了企业网络高可靠性的设计。在EVE-NG的仿真模拟平台下进行了实验，结果表明：该方案能够有效解决当前企业网络在可靠性上的部署中出现的问题，具有更好的网络扩容、网络硬件设备冗余、协议冗余和流量分担的优势，因此更加全面的提升了企业网络的可扩展性和可靠性。关键词：网络部署；EVE-NG；高可靠性；冗余；负载均衡AbstractInordertobettersolvethedevelopmentandupdateofnetworktechnologyandnetworkequipment,thepreviousdesignanddeploymentoftheenterprisenetworkisnotenoughtosupportthereliabilityofthecurrententerprisenetwork.ByanalyzingthecurrentmainstreamnetworktopologyplanningandrelatedadoptionTechnology,putforwardthecurrentmainstreamnetworkdeploymentplantoensurehighreliabilityoftheenterprisenetwork.Thetechnologiesoflinkaggregation,MSTP,HSRP,dual-machinehotbackupanddual-outletconfigurationhavebeenappliedtocompletethedesignofhighreliabilityoftheenterprisenetwork.ExperimentswereconductedundertheEVE-NGsimulationplatform.Theresultsshowthatthissolutioncaneffectivelysolvetheproblemsinthecurrententerprisenetworkdeploymentinreliability,withbetternetworkexpansion,networkhardwareequipmentredundancy,andprotocolredundancyBecauseoftheadvantagesofsharingtrafficandtraffic,thescalabilityandreliabilityoftheenterprisenetworkaremorecomprehensivelyimproved.Keywords：NetworkDeployment；EVE-NG；HighReliability；Redundancy；LoadBalancing目录TOC\o\h\z\u第一章 绪论 绪论1.1项目研究背景及研究意义随着网络设备及网络空间技术的日益进步，在互联网技术给企业带来巨大的便利以及机遇的同时，对于企业网络来说，其高可靠性带来的作用逐渐变得不可忽视。企业网络服务的持续增加，为如何让企业网络保持较高的可靠性、可持续性和冗余性提出了一个非常值得探讨的问题。发达的路由交换及空间技术方便了企业内部网络的数据与信息资源的快速流通；提升了企业业务的处理速率；提供了异地用户的远程数据资源访问，便利了企业与企业之间的合作。企业利用路由交换技术在内部搭建用以整合企业内部信息与资源，使企业员工可以短时间内访问企业内部文件及信息，并且方便了在企业之间的通讯的企业内部网络。同时企业不同部门之间通讯的联络、业务的交替也更加的高效。如果在一个企业网络中，其扮演的角色突然由一个基础通信结构，就好比作十分常见及平凡大众角色变成一名负责保障该影片收视率的核心演员。即群众服务系统结构，其之前根据陈旧的技术部署，只有单一核心的企业网络系统，大概率会产生因设备停止运行和链路断开等问题而导致的企业网络中止，这样就会给企业的基础通信以及办事效率带来重大的危机，所以具有高可持续性和可靠性的企业网络规划部署正逐渐成为了当前的主流。在现如今计算机科学与技术快速发展的高科技时代，互联网技术和网络设备的发展给企业的网络带来较高的提升进而提高企业的可靠性和资源利用管理水平，保证了网络的可用性，提高企业的核心竞争力，构建和升级高可靠性企业的网络设计与部署具有决定性作用。除此之外，一个高可靠性的企业网络设计与部署是对企业信息以及正常运作的基本保障，它可以明确企业信息系统的当前可靠现状、对企业的网络规划进行高可靠性设计以及部署。在之后的作用里，它使企业的操作平台和当前管理条约轨制的标准被更好的让企业正确的认识，对自身网络水平有了更高的了解。从而对企业网络硬件设备和技术的选择达到了冗余及高负载的能力，为网络扩展和网络流量共享提供了处理手段。这实现了企业网络的高可持续性和高可靠性。因此，网络高可靠性已成为目前网络构建过程中必须考虑的性能指标，为了保证网络的健壮、高效和稳定可靠。企业网络规划拓扑中的接入层、汇聚层、核心层、防火墙和服务器应采用具有较高可靠性和冗余性的设计及选择。极大的保障了企业网络内网与外网之间的连通性、安全性和可持续性。这样就需要企业在实际条件下采用具体的措施，例如在机房采用设备冗余、磁盘存储冗余、处理器冗余、网卡冗余和电源冗余的措施。与链路或协议技术互相搭配、互为补充，例如在链路上采用链路聚合、协议上选择MSTP、HSRP等。保证了企业网络系统平台的管理水平和限制条件，为此提供了高可持续性，从而完成企业网络的高可靠性。1.2项目研究中可靠性概述企业网络可靠性指网络设备或产品在限定的条件内、在限定的时间内实现其所需完成的功能的能力。其主要是通过在网络基础结构中安装网络设备，配置网络协议和增加通信介质以此备用或替代实例。以保障当网络设备或路径出现故障和不可用时网络的可用并正常运行，提供了网络故障转移的方法。而网络可靠性可细分为五个层次的可靠性：硬件层次的可靠性、链路层次的可靠性、协议层次的可靠性、数据层次的可靠性以及服务器层次的可靠性。例如硬件层次的可靠性通常是在网络基础结构中实现，其通过提供网络通信的冗余源。将它用作备用机制，可在当计划外的网络中断时将网络操作快速交换到冗余基础架构上；链路层次的可靠性则是通过采用冗余来设计实现，即采用链路聚合方式，将两条链路捆绑一起实现一主一备，达到负载均衡及冗余；协议层次的可靠性是通过配置一种或多种路由交换协议以保障网络核心应用系统快速切换，避免网络中出现单点故障，从而达到可靠冗余；数据层次的可靠性则是在数据库或数据存储技术内创建的条件，将其中同一数据段保存在两个单独的位置上；服务器层次的可靠性则是通过在计算环境中备份，达到故障转移或冗余服务器的数量和强度。以此提供其他服务器的能力，这些服务器可以在运行时部署以用于备份，负载平衡或出于维护目的而暂时停止主服务器。而衡量网络可靠性的标准分为三个方面：MTTR、MTBF和MTTF。MTTR（MeanTimeToRepair），即系统平均维修时间，是指当一个网络发生故障时修复其系统并将其恢复到完整功能所需的时间，其包括维修时间，测试周期以及恢复到正常运行状态的时间。其最重要的一点是，它是衡量当前服务可用性的准则。MTBF（MeanTimeBetweenFailure），即平均故障间隔时间，是指一个设备或产品在正常运行期间从上一个故障到下一个故障之间的平均时间，它是衡量整个网络及系统可靠性和可用性的重要指标。同时它反映了设备的时间质量，当MTBF值越高，系统在发生故障之前可能会运行的时间越长。MTTF（MeanTimeToFailure），即平均无故障时间，是指一个设备或产品在平均时间内将持续运行直到故障的时间长度，它是用于预计整个网络或系统可运行无故障时间的重要指标。同时它反映了设备的寿命均值，当一个系统可靠性越高，其MTTF值则越高，说明设备及产品的平均无故障时间占用比例更多。1.3项目研究中可靠性现状随着互联网的飞速发展，网络给企业以及人民带来了越来越多的便利，但在带来便利的同时飞速的发展也意味着技术的不断更新，目前企业网络的技术落后、设备更迭缓慢而导致企业网络无法保障其可靠的运行和缺陷的不断暴露；大多数企业的网络安全防范意识跟不上发展的步伐而落后，这直接导致的问题是无法规范的使用软硬件甚至于在操作过程中遗留下漏洞而引发系统和网络的缺陷。由此可得，当前我国企业网络可靠性的现状主要有以下几点：（1）企业网络思想传统：近几年网络的快速发展，但企业网络思想仍然停留在几年前，对网络系统的设计及规划仍按照老方法、老思想进行部署，没有与时俱进，虽然这对网络可靠性暂时没有影响，但随着其他企业网络思想的前进，企业网络可靠性在同行相比中优势渐渐不明显，而缺点被慢慢放大，企业则会被逐渐淘汰。（2）软硬件设备技术的局限：企业在规划网络时，未充分考虑到网络及设备后续的发展及升级，采用一些软硬件较为局限的设备及技术。随着企业后续的发展，而软硬件设备技术升级的局限让所支持的网络不足以保证当前企业的规模，让企业网络可靠性大打折扣，导致企业需花费大量资金重新部署网络，消耗大量人力物力。（3）企业网络管理意识的薄弱：当前企业对于员工行为的管理仍存在一些漏洞和部分不足。在权限的分配往往过多，因此员工可能会越权去做对企业有危害的事，而企业网络管理却无法对其员工越权行为进行监测及应对，给企业带来巨大的经济损失。同时对员工的一些不规范的使用及操作行为无良好的管理，因而在操作过程中留下漏洞给企业网络可靠性带来后患。1.4项目研究中可靠性影响因素从衡量网络可靠性标准的三大方面可看出，如何实现企业网络的高可靠性，需要从平均故障间隔时间、平均无故障时间的增加及系统平均维修时间的降低这几个措施出发。目前，引起企业网络通信问题的原因有：硬件设施停止或软件出错，链路之间堵塞或断开、企业人员的不规范使用和网络安全的防范不到位等。根据这些原因，企业应该采取有效的手段进行防范，保障企业网络的通信，从而增强企业网络的冗余性和可靠性。但是，在一些非人为的情况下，企业网络通信出现问题是无法防止的，因此在企业网络规划及部署中，如何迅速转移通信能力并修复问题成为了其重中之重的考虑，同时也为企业网络的高可靠性打下良好的基础。在企业网络拓扑的规划及选择中，确保企业网络具有可持续性和可靠性是其保障企业网络的基础。企业网络拓扑高可靠性的主旨思路是，在企业网络接入层、汇聚层和核心层的拓扑中采用高可靠性的硬件设备和协议技术，保证企业网络具有较高的冗余，并能迅速转移修复，为企业后续升级提供高性价比和可扩展性。因此，对企业网络可靠性产生影响的因素分别有以下几个：（1）拓扑结构：企业计算机网络的连接点之间是基于拓扑结构来构建的。在企业网络规划中，拓扑结构是决定企业网络质量的基础，每个企业网络规划都会用到它。由此可以看出，一个拓扑结构能否确保其企业网络安全可靠的运行是衡量该拓扑结构的关键。（2）网络管理及控制：大多数情况下，企业计算机的网络是由各种运维开发人员与运营商共同协调的。设施的组合是根据实际情况出发并进行配置的，网络设施通常具有非常复杂的内部结构和许多特性。与此同时，大部分设施的规模都是巨大的。进行严格而精确的网络管理和控制是企业网络运行过程中非常关键的步骤之一，这极大的提高了传输过程中可靠性，保障了通讯的连接，当出现错误时，能以最小化的程度将错误风险减少到可承受范围内。并在故障发生时，可以在一定时间内快速的进行排查，以确保企业网络的可靠性。（3）网络传输设备：在整个企业网络系统中，设备在信息的传输和接收中起着一个至关重要的作用。不仅如此，这也是确保所有企业计算机都可以进行有效连接的先决条件。传输设备会直接影响企业计算机网络的可靠性，并且通常这些问题一般很少会出现，一般是不会发生的。如果出现问题，将会引起不好的反应到计算机。（4）企业计算机网络设备：对于企业用户有直接相关的设备就是企业计算机网络设备，而且它们也是连接计算机的重要硬件，并且在计算机在网络运行中是必不可缺的组成之一。在计算机设备中，当用户可以直接访问的设备，其往往具有强的互换性。因此，这种设备应具有着较高的可靠性。随着技术的不断更新和稳定，各种设备也正在逐步进行优化。1.5论文结构安排本文主要分析当前企业网络可靠性的现状及影响因素，并根据当前主流企业网络高可靠性的设计与规划，解决网络单点故障以及链路不可靠的问题。设计得出企业网络高可靠性应具备的要素。各章节的主要内容如下：第1章首先对企业网络可靠性的概念进行概述，并分析当前企业网络可靠性的现状并根据企业网络可靠性的影响因素进行了解与分析；第2章对企业网络高可靠性进行设计及分析，通过分析当前企业网络接入层、汇聚层和核心层的高可靠性典型拓扑设计，选择当前主流企业网络高可靠性拓扑。同时分析企业网络高可靠性在硬件和链路上的选择，得出该采用何种协议或技术，并分析其在原理及在企业网络中的作用；第3章对选择好的企业网络高可靠性的拓扑及协议技术进行部署，同时确保其拓扑、协议和技术运行并生效；第4章对部署完成的设备及协议技术进行测试，确保企业网络具有较高的可靠性、可用性以及冗余性；第5章对整个高可靠性的企业网络设计与部署进行总结，同时说明当前企业网络高可靠性的设计与部署存在的不足之处以及后续解决并升级发展的想法。第二章相关技术概述2.1EVE-NG模拟平台EVE-NG（EmulatedVirtualEnvironment–NextGeneration），即下一代模拟虚拟环境仿真平台。EVE-NG不仅可以模拟网络设备和测试任何类型的安全漏洞及系统工程，也可以运行一切虚拟机。理论上，如果虚拟机的虚拟磁盘格式能转换为qcow2，其虚拟机都可以在EVE-NG上运行。方便团队或个人研究及了解各种技术和测试新技术，为其在投入生产之前进行更改，也可以用于重建网络，并通过重新创建网络问题来进行故障排除，例如用Wireshark检查数据包。不仅如此，EVE-NG还采用了无客户端技术，因此用户无需安装Telnet或VNC软件即可使用浏览器中的HTML5控制台组件进行配置，极大地简化了模拟器的可用性、可重用性、可管理性、互联性、分发性，从而简化了理解和共享拓扑、工作、思想、概念或简单地做实验的能力。减少了用户设置所需内容学习的成本和时间，同时更加精简和降低了设备之前配置及修复问题的难度。2.2VLAN划分VLAN（VirtualLocalAreaNetwork），即虚拟局域网。在企业中，其大型网络容易遭受到广播风暴以及一些基于广播技术的攻击。因此，VLAN划分为网络创建了单独的广播域，从而无需创建完全独立的硬件LAN来克服大型广播域的问题。让每个VLAN充当独立的广播域，有助于提高网络的安全性，可靠性和效率。同时可以采用多种方式来利用VLAN来满足企业的需求，比如通过VLAN将用户访问限制在某些网段，然后仅允许授权用户访问具有高度敏感信息的网络、或者是将财务员工与人力资源员工分开。这样不仅可以有效分隔用户流量，提高安全性和可用性，还更有效的利用了现有的带宽和上行链路。除了这些作用以外，企业可以根据VLAN的不同为网络中的每个VLAN安装不同的安全软件和防火墙，从而减少威胁和风险并保护敏感数据。如果当一个VLAN面临漏洞风险时，这样做有助于防止整个系统受到损害。除此以外，VLAN不仅易于网络管理，还为管理人员和用户提供了灵活性，使处于不同位置相互分散的员工和设备可以轻松地与他人之间互相连接，也为将来的业务增长做好准备。因此，VLAN的划分对企业网络的高可靠性、可扩展性具有非常高的保障。2.3链路聚合在链路中，有线连接往往是最高效的连接，其可以不受无线电波的干扰，始终保持安全的有效的连接。因此对于一般的家庭网络中，单条有线连接以满足其日常使用。然而在企业中，一条有线连接往往是不够用的，如果当这条链路断开或者流量突然增加，而且对于企业网络来说，流量大是家庭便饭，因此出现网络延迟，甚至严重到出现数据包丢失。这对于一个企业来说，这后果是灾难级的。此时，链路聚合给企业带来了非常多的好处。其可以增加带宽，提升吞吐量，让聚合的物理链路比每个单独的链路提供更高的带宽，并在发生故障时提供适度的降级，将流量动态透明地重新分配给其他物理链路之一，自动平衡所有其余链路上的流量，提高链路的可用性和可靠性。同时，它能更好的利用物理资源，可以跨物理链路平衡流量，通过负载均衡所有可用链路上的流量来提供网络冗余。不仅如此，其对于企业的成本效益和可扩展性非常的友好，当企业需要升级时，物理网络升级的成本可能很高，尤其是在需要重新铺设电缆的情况下。而链路聚合无需使用新设备即可增加带宽。2.4MSTP协议技术MSTP（MultipleSpanningTreeProtocol），即多生成树协议。在一个企业网络规划中，由于采用三角形拓扑结构，其二层链路之间会出现环路；同时，在企业网络规划及部署时，硬件之间的链路通常采用链路聚合方式，所以往往需要两条及以上的链路来搭载，实现链路上的冗余。但这样做的话会导致企业网络链路中会不可避免的出现环路。环路会产生广播风暴，最终导致整个网络资源被耗尽，网络瘫痪不可用。环路还会引起MAC地址表震荡导致MAC地址表项被破坏。因此，使用生成树协议是必不可缺的，那么该使用STP，RSTP和MSTP中哪一种成为了问题。我们可以从MSTP产生的背景可以得出：生成树协议和快速生成树协议都是负责识别LAN网络中的链路并关闭冗余链路，从而防止可能出现的网络环路。它们都提供了一种通过阻塞以太网网络中的链路来防止环路的方法。如果活动链路出现阻塞或断开时，可以将被阻塞的链路投入使用。为此，运行该协议的所有企业网络交换机设备都会在它们之间发送接收BPDU信息，以商定根网桥。一旦它们选择好根网桥后，每个交换机都必须确定其哪些端口将与根端口通信。当有多个链路连接到根网桥，则将其中一个选为转发端口即指定端口，而其他链路被阻止。但是它们两个协议都拥有一个欠缺，即从一个节点到另一节点的网络中可能存在许多物理或等价的多条路径，所有流量仍将沿生成树定义的一条路径流动。这样做的好处是可以避免流量循环，但是要付出一定的代价。将流量限制为该唯一路径意味着阻止替代路径，有时甚至更直接的路径。这意味着企业无法充分利用潜在的网络容量。说明可以将多个VLAN同时用于单独的生成树中，导致任何给定VLAN中的流量都无法使用所有可用的网络容量。这在过去是可以接受的，但是随着企业网络技术的日益进步发展，其已逐渐不太适合企业网络的部署。因此如何革除STP和RSTP的弊端，其定义了一个新的标准，即MSTP协议。其原理是每个VLAN都有对应的生成树实例，这样就会产生对照表，避免每个VLAN单独使用在同一生成树上。这样联系好的多实例就能实现对业务流量和用户流量的隔离，使企业网络流量能进行快速转发，并实现多条链路上的冗余，避免之前只能使用单条链路，做到了负载均衡。最重要的是MSTP对STP和RSTP具有支持性。为后续企业的网络升级发展提供了充足的准备。2.5HSRP协议技术HSRP（HotStandbyRouterProtocol），即热备路由器协议。在企业网络规划中，接入层与汇聚层之前通常采用多生成树协议。因此在由思科设备搭载的企业网络往往采用HSRP协议与MSTP协议之间互相搭配。HSRP是思科专有的协议，其通过提供第一跳来提供网络高可靠性的标准方法，为配置了默认网关IP地址的本地子网提供IP主机的冗余。HSRP路由IP之间的通信不依赖任何单个路由器的可用性。它将具有相同组ID的成员划为是同一组的成员，组中的成员之一将被选为活动路由器，而其他成员将保留为备用路由器。虚拟IP被配置为本地子网中所有主机的默认网关，活动路由器则负责转发本地主机的流量。如果活动路由器出现故障，那么在活动路由器和备用路由器之间它们不会交换Hello消息，因此备用路由器将一直等待，直到下一计时器开始为止。当保持时间结束后，备用路由器成为活动路由器，并主动承担活动路由器的所有职责，这一过程被称之为抢占。如果原始活动路由器又回来了，那么我们可以根据它们之前配置的优先级，对比原始活动路由器与备用路由器之间的优先级，优先级高的则成为活动路由器，低得则成为备用路由器。这样保证了企业接入层与汇聚层之间具有较高的冗余性和负载均衡。2.6EIGRP协议技术EIGRP（EnhancedInteriorGatewayRoutingProtocol），即增强型内部网关路由协议。在企业网络的核心层与汇聚层之间往往需要其能提供快速的路由转发和极强的可持续性。因此在思科设备中，配置EIGRP协议是最优选择。该协议为距离矢量和链路状态路由协议，其依赖于扩散更新算法来计算到达网络内目标的最短路径。其原理是在组播地址中发送Hello包，当路由器同样以此方式收到邻居发送的Hello包时，双方则会建立邻居关系，并互相发送路由表，并以此类推，路由器拥有整个网络的拓扑，在进行路由转发的时候，选择它们之间的最低开销值，即最短路径。支持等价负载均衡与不等价负载均衡。早期由思科开发的私有协议，但在2013年开放为共有协议。因此，在企业网络中，EIGRP可以很好地进行扩展，并以极少的网络流量提供极快的收敛时间。同时正常运行期间网络资源使用占用率非常低；只有Hello数据包在稳定的网络上传输。当拓扑发生更改时，仅传播路由表更改，而不传播整个路由表，这减少了路由协议本身在网络上的负载。由于企业网络规模往往是庞大的，拓扑的更改，其所需的收敛时间经常需要耗费较多的时间，而EIGRP协议所需的收敛时间则相对较短。在设计良好的网络中，其收敛时间接近是瞬间的。为企业网络提供了高可靠性。2.7NAT协议技术NAT（Network

Address

Translation），即网络地址转换。在企业中，由于其网络属于大型网络，所使用的内网地址是不能在公网中进行路由的，因为不同私网的地址是可以重复的，如果可以访问外网的话重复的私网地址就会造成通信的紊乱。所以企业局域网与外网之间的访问通信需要完成地址之间的转换，外网访问内网需要转换成内网地址，同理内网访问外网也需要转换成外网地址。因此，需要NAT技术进行地址池转换，NAT转换设备一般架设在网络出口位置也就是内部网络和外部网络的连接位置，此设备通常为出口防火墙或路由器。NAT协议技术的运作是，企业网络出口设备将专用地址分配给专用某一网络内的计算机，即将多个本地专用区域使用的地址映射到公共区域。NAT协议技术主要是应用于实现内部网络的大量私有网络地址对少量共有网络地址的转换，通过大量的用户利用少量的账号转换来保障通信的基础上节约IP地址资源的作用。而根据应用场景及方式的不同，NAT可分为以下三类：静态NAT：将公用IP地址池分配给NAT转换设备。然后可以将私有IP地址静态映射到这些公共地址中的任何一个。因为这种类型的NAT方案通常用于始终需要相同IP地址的服务器，所以叫静态NAT。即某一设备将始终分配到同一个公用IP地址，而另一设备每次则会分配不同的公用IP地址。动态NAT:同理，NAT转换设备中配置了IP地址池。但其不同点在于其需要使用IP地址池才会分配，不需要时则将其返还。因此，如果计算机A需要一个公共地址，它将从池中获取一个公共地址，然后在完成后将其退回。下次同一台计算机需要IP地址时，可以为该计算机分配跟上次不同的公共地址，因为先前使用的IP地址可能已被另一台计算机使用，所以叫做动态。端口PAT：在这种类型的设置中，企业只需将一个公共IP地址分配给其网络，因此，当企业人员需访问外网时，每个人都将共享该公共地址。但其访问时使用的端口都不一样，由源端口唯一标识。因此，此方式叫端口地址转换。2.8IPSecVPN技术IPSecVPN（InternetProtocolSecurityVirtualPrivateNetwork），即开放标准的安全框架结构的虚拟专业网。在企业中，随着对网络安全性及可靠性的要求越来越高，而使用TCP/IP协议会缺乏有效的安全认证和保密机制。因此使用IPsecVPN为当前企业网络规划部署的主流，其采用一种远程接入的VPN技术。在互联网上为两个私有网络提供安全通信隧道，通过加密隧道保证连接和通信的安全，在两个公共网关间提供私密数据封包服务，可以用来保障IP数据报文在网络上传输的机密性、完整性和防重放。根据网络层次对现有的VPN进行划分，可分为工作在网络层的三层VPN：GRE、IPSEC以及工作在数据链路层的二层VPN：PPTP、L2F、L2TP。两个公司处在不同的物理地域而如果他们之间要进行通信的流量都要穿过Internet上的未知网络，无法保证在网络上发送和接送数据的安全性，因此在两个公司之间的网关即防火墙上应配置点到点的模式，通过建立加密的IPSEC隧道实现局域网互通的IPSECVPN。2.9防火墙双机热备技术在企业网络中，为了保护内部网络的上网风险，往往在内网与外网之间架设防火墙。然而，为了避免单个防火墙失效带来的网络安全问题。企业通常采用两个或更多的防火墙，以便每个防火墙都充当其他防火墙的备份，或每个设备之间状态可以彼此保持同步，并能够检测到故障，当其中一个防火墙在检测到故障时可以立即进行故障转移。达到企业网络的高可靠性。此过程在思科防火墙中被称为Failover模式，其正是为了提供几乎不中止的服务，保证企业网络的连通性。同时，在部署Failover模式时，每台防火墙的硬件配置和软件配置应保持相同，例如产品型号、插口模式、RAM、许可证版本、运行模式、系统版本。在实现Failover模式中，分别有两种模式，分别为A-S与A-A模式。A-S（Active-Standby），即主备模式。当Failover模式为A-S模式时，在双防火墙中，需要把一台防火墙配置为主用角色，而另一台防火墙则配置为备用角色。被配置为主用角色的防火墙会充当变成Active，以此承担服务并转发流量。而被配置成备用角色的防火墙则会充当变成Standby，以此充当备用设备。当主用设备被关闭或发生问题时，备用设备则立马承担服务并发送数据。A-A（Active-Active），即双主模式。当Failover模式为A-A模式时，在双防火墙中，两台防火墙都处于Active状态，这两台防火墙可以同时处理和过滤数据包，因此流量可以在两个设备之间进行负载平衡。如果一台防火墙出现故障，则另一台防火墙将承担全部处理负载，直到出现故障的防火墙再次变为活动状态为止。这两种模式的区别在于A-A模式只能使用在多模式防火墙中，即企业网络中拥有多个防火墙，将Active分为两个组，每两个防火墙分别分配在不同的Active组中，并相互工作互相冗余，当组内的其中一台防火墙被关闭或发生问题时，另外一组的一台防火墙及时切换组别，继续承担其服务并转发流量。因此，A-A模式使企业网络具有更强的冗余性和更高的可靠性。但此次企业网络高可靠性的部署中，由于电脑硬件配置的限制，因此采用A-S模式进行部署。第三章系统需求分析3.1企业网络高可靠性的典型拓扑设计3.1.1企业网络接入层的高可靠性典型拓扑设计当前企业网络接入层连接到汇聚层的连接方法有四种，分别为以下四种典型拓扑设计及优缺点对比。如图3-1、表3-1所示。图3-1接入层四种典型拓扑设计表3-1接入层四种典型拓扑优缺点对比拓扑结构优点缺点倒U型拓扑结构无需运行生成树协议，方便管理网络；VLAN间路由可配置在汇聚层的交换机上，具有高效的扩展能力当汇聚层交换机出现单点故障时，会导致同一边的接入层交换机失去其工作能力，不能给企业网络带来高可靠性U型拓扑结构无需运行生成树协议，方便管理网络；接入层交换机和汇聚层交换机之间链路聚合，具有高可靠性VLAN间路由不能配置在汇聚层的交换机上，不具有高效的扩展能力。同时汇聚层交换机之间无连接心跳线，导致各报文信息不能进行转发传送，可靠性较低矩形拓扑结构VLAN间路由可配置在汇聚层的交换机上，具有高效的扩展能力；接入层交换机和汇聚层交换机之间链路聚合，具有高可靠性；运行生成树协议，实现VLAN数据的负载均衡当汇聚层或接入层交换机出现单点故障时，会导致同一边的任意一层交换机失去其工作能力，不能给企业网络带来高可靠性三角形拓扑结构接入层交换机和汇聚层交换机之间多条链路连接，具有冗余性；VLAN间路由可配置在汇聚层的交换机上，具有高效的扩展能力；运行生成树协议，实现VLAN数据的负载均衡接入层采用三角形拓扑结构，导致二层交换机存在环路，因此运行的生成树协议通常为多生成树协议，即MSTP。所以其计算量比其他拓扑庞大从图3-1以及表3-1中可以看出，拓扑4，即三角形拓扑结构具有更高的访问可靠性和更高效的可扩展能力，为企业网络带来高可靠性。因此，建议选择三角形拓扑结构作为企业网络接入层的拓扑设计。3.1.2企业网络汇聚层的高可靠性典型拓扑设计当前企业网络汇聚层连接到核心层的连接方法有三种，分别为以下三种典型拓扑设计及优缺点对比。如图3-2、表3-2所示。图3-2汇聚层三种典型拓扑设计表3-2汇聚层三种典型拓扑优缺点对比拓扑结构优点缺点三角形拓扑结构汇聚层交换机和核心层交换机之间多条链路连接，并采用EIGRP协议，具有冗余性当核心层交换机之间的心跳线断开时，会导致核心层间各报文信息不能进行转发传送，可靠性较低矩形拓扑结构核心层交换机之间链路聚合，和汇聚层交换机之前采用EIGRP协议，具有高可靠性；汇聚层交换机之间连接心跳线，具有较高的冗余性核心层交换机和汇聚层交换机之前的链接没有采用多条冗余，当其中某条链接断开时，会加大其他链路的开销，造成网络堵塞，导致网络可靠性下降复合型多边拓扑结构融合三角形拓扑结构以及矩形拓扑结构的优点。当出现单点故障时，其故障收敛时间较短，增强企业网络的可靠性拓扑结构复杂，企业花费的网络建设成本较高。给后续网络升级管理带来一丝困难，考验企业网络管理人员的能力从图3-2以及表3-2中可以看出，拓扑3，即复合型多边拓扑结构具有更多的冗余设计和更高的访问可靠性，为企业网络带来高可靠性。同时，复合型多边拓扑结构是当前许多企业网络拓扑设计的主流。因此，建议选择复合型多边拓扑结构作为企业网络汇聚层的拓扑设计。3.1.3企业网络核心层的高可靠性典型拓扑设计作为一个企业网络的核心承担者，核心层交换机应要求其能在短时间内提供数据转发和具有较强的可持续性，因此采用双核心或多核心作为企业网络核心层拓扑设计已逐渐成为趋势，这给企业网络核心层带来高可靠性的同时，也给企业网络带来较高的可冗余性和负载均衡模式。从图3-2以及表3-2中可以看出，拓扑3，即复合型多边拓扑结构中核心层具有双核心结构，同时核心层交换机之间采用链路聚合，和汇聚层之间采用多条链路形成冗余。拥有更强的访问可靠性和较高的冗余性，为企业网络带来高可靠性。因此，建议选择复合型多边拓扑结构作为企业网络核心层的拓扑设计。3.2企业网络高可靠性硬件的选择在企业网络规划设计中，硬件设备是组成企业网络的基础。因此，硬件设备的高可靠性成为企业网络规划中的重中之重。当前，企业网络主流硬件设备高可靠性的措施分别有设备冗余、磁盘存储冗余、处理器冗余、网卡冗余和电源冗余。设备冗余：将一台以上的设备利用级联、堆叠或集群这三种不同的连接方式组合起来一起工作。增强了设备的可用性和交换能力，让设备能进行统一管理，大大降低了设备的管理难度，简化了管理步骤。磁盘存储冗余：通过采用RAID，即磁盘阵列。其原理是将多块分别独立的磁盘利用不同的算法互相组合成一个阵列。这种做法提高了数据的传输速率，并增加了其磁盘的吞吐量和保障其质量。同时也提高了企业网络系统的冗余性，保障其网络的高可靠性。处理器冗余：采用两个或以上的处理器来保证网络的连续运行。虽然企业网络中的处理器较少会出现问题，但采用多个处理器可分担单个处理器所承受的数据转发压力，拥有更多的处理能力，保障了网络的高可靠性。网卡冗余：指在设备中组装多个网卡。利用多个网卡共同承担企业网络数据，并具有较高的可容错性。电源冗余：采用两个或以上的电源来保证设备的可持续运行。并通过技术让其共同工作达到负载均衡的效果。同时具有冗余性，即如果某个电源产生问题时，剩下的电源也能继续运行并替代损坏电源的功能。并在电源修复后，又能回到之前的工作状态。这样做尽量保证了设备能正常工作，减少由于电源出现故障导致设备切换修复重启所花费的时间。为企业网络实现了高可靠性。3.3企业网络高可靠性技术的选择（1）VLAN划分（2）链路聚合（3）MSTP协议（4）HSRP协议（5）EIGRP协议（6）NAT协议（7）IPSecVPN技术（8）防火墙双机热备第四章设计与实现由上一章可得，企业网络高可靠性的拓扑图如图4-1所示：图4-1企业网络高可靠性拓扑图4.1划分VLAN及配置网关由企业网络规划拓扑图可得，该企业总公司设有高层、财务部、技术部、办公区、内部服务器和外部服务器六个部分。因此，根据每个部分的分工以及责任将其给自划分为一个VLAN。高层IP网段为/24，为VLAN10；财务部IP网段为/24，为VLAN20；技术部IP网段为/24，为VLAN30；办公区IP网段为/24，为VLAN40；内部服务器IP网段为/24，为VLAN50；外部服务器IP网段为/24，为VLAN100。而该企业分公司则只设有高层、财务部、技术部和办公区，因此分公司高层IP网段为/24，为VLAN100；分公司财务部IP网段为/24，为VLAN200；分公司技术部IP网段为/24，为VLAN300；分公司办公区IP网段为/24，为VLAN400。由于配置类似，这里以汇聚层交换机D-SW1为例：interfaceEthernet0/0//进入端口0/0配置模式，下同switchporttrunkencapsulationdot1q//配置端口链路封装协议封装格式为dot1q，下同switchportmodetrunk//配置端口模式为trunk模式，下同!interfaceEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet1/0//进入端口1/0配置模式，下同switchporttrunkallowedvlan1,10//允许vlan1，10通过该端口，下同switchporttrunkencapsulationdot1q//配置端口链路封装协议封装格式为dot1q，下同switchportmodetrunk//配置端口模式为trunk模式，下同!interfaceEthernet1/1switchporttrunkallowedvlan1,20switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet1/2switchporttrunkallowedvlan1,30switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet1/3switchporttrunkallowedvlan1,40switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceEthernet2/0switchporttrunkallowedvlan1,50switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceVlan1//进入Vlan1配置模式，下同ipaddress53//配置IP地址为53，子网掩码为，下同!interfaceVlan10ipaddress54!interfaceVlan20ipaddress53!interfaceVlan30ipaddress54!interfaceVlan40ipaddress53!interfaceVlan50ipaddress54!配置完成后，查看VLAN是否创建并运行和IP是否配置成功，如图4-2所示：图4-2VLAN状态及IP4.2链路聚合在汇聚层交换机之间和核心层交换机之间的两条链路进行链路聚合，如图4-3所示：图4-3链路聚合由于配置类似，这里以核心层交换机C-SW1为例：interfacePort-channel1//进入聚合端口1配置模式，下同switchporttrunkencapsulationdot1q//配置端口链路封装协议封装格式为dot1q，下同switchportmodetrunk//配置端口模式为trunk模式，下同!interfaceEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeon//将端口0/2划入聚合端口1中，下同!interfaceEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeon!配置完成后，查看链路聚合状态，如图4-4所示：图4-4链路聚合状态4.3MSTP在汇聚层中，由于划分VLAN，使得每个VLAN形成独立的STP。因此，多生成树协议的配置如下，以D-SW1为例：spanning-treevlan10rootprimary//配置D-SW1为vlan10的主用根，下同spanning-treevlan30rootprimaryspanning-treevlan50rootprimaryspanning-treevlan1rootsecondary//配置D-SW1为vlan1的备用根，下同spanning-treevlan20rootsecondaryspanning-treevlan40rootsecondary！配置命令在D-SW2原理相同，但配置需相反，组成互为主备。配置完成后，D-SW1和D-SW2的STP状态如图4-5、图4-6所示：图4-5D-SW1的STP状态图4-6D-SW2的STP状态4.4HSRP通过配置HSRP，与MSTP相配合，保持主备统一。由于VLAN10、30、50的主根在设备D-SW1上，那么对应的热备网关HSRP，则以A为主，B为备用。而VLAN1、20、40的根在B设备上面，那么对应的热备网关HSRP，则以B为主，A为备用。这样的话形成路径最优，资源利用达到最大化。因此，热备路由器协议的配置如下，由于配置命令类似，这里以D-SW1为例：track1interfaceEthernet0/0line-protocol//配置监控命令1，监控追踪端口0/0!track2interfaceEthernet0/1line-protocol//配置监控命令2，监控追踪端口0/1!interfaceVlan1//进入Vlan1配置模式，下同ipaddress53iphelper-address48//配置dhcp服务器地址为48，下同standby1ip52//配置热备虚拟网关地址为52，下同standby1preempt//开启抢占standby1track1decrement50//实行监控命令1，监控追踪上行链路，当上行链路出现堵塞时，降低50的优先级，下同standby1track2decrement50//实行监控命令2，监控追踪上行链路，当上行链路出现堵塞时，降低50的优先级，下同!interfaceVlan10ipaddress54iphelper-address48standby1ip52standby1priority105standby1preemptstandby1track1decrement50standby1track2decrement50!interfaceVlan20ipaddress53iphelper-address48standby1ip52standby1preemptstandby1track1decrement50standby1track2decrement50!interfaceVlan30ipaddress54iphelper-address48standby1ip52standby1priority105standby1preemptstandby1track1decrement50standby1track2decrement50!interfaceVlan40ipaddress53iphelper-address48standby1ip52standby1preemptstandby1track1decrement50standby1track2decrement50!interfaceVlan50ipaddress54standby1ip52standby1priority105standby1preemptstandby1track1decrement50standby1track2decrement50!配置完成后，D-SW1和D-SW2的HSRP配置状态如图4-7、图4-8所示：图4-7D-SW1的HSRP状态图4-8D-SW2的HSRP状态4.5EIGRP核心层交换机与汇聚层交换机之间配置EIGRP实现路由快速转发，由于配置命令类似，这里以C-SW1为例：routereigrp50//进入eigrp模式，系统号为50network//宣告接入网络为，反掩码为network//宣告接入网络为，反掩码为noauto-summary//关闭自动汇总redistributestatic//引用静态路由!配置完成后，C-SW1和D-SW1的EIGRP邻居状态如图4-9、图4-10所示：图4-9C-SW1的EIGRP邻居状态图4-10D-SW1的EIGRP邻居状态4.6NAT此次NAT采用端口转换模式，并将外部服务器公布在固定的外网IP上，如WEB服务器。其配置如下：interfaceEthernet0//进入端口0配置模式，下同nameifoutside1//设置端口名为outside1，下同security-level0//设置优先级为0，下同ipaddress48standby//配置ip地址为，子网地址掩码为48，备用地址为，下同!interfaceEthernet1nameifoutside2security-level0ipaddress48standby!interfaceEthernet4nameifinside1security-level100ipaddress48standby!interfaceEthernet5nameifinside2security-level100ipaddress48standby!interfaceEthernet6nameifdmzsecurity-level50ipaddress54standby53!objectnetworkinside1-subnet//创建名为inside1-subnet的对象，下同subnet//有效IP地址为，子网掩码为，下同objectnetworkinside2-subnetsubnetobjectnetworkinside3-subnetsubnetobjectnetworkinside4-subnetsubnetobjectnetworkdmz1-subnetsubnetobjectnetworkdmz2-subnetsubnetobjectnetworkdmz-web1//创建名为dmz-web1的对象，下同host//有效IP为，下同objectnetworkdmz-web2hostaccess-listoutside_aclextendedpermittcpanyhosteqwww//创建名为outside_acl的策略，其允许通过ip为的web服务!objectnetworkinside1-subnet//创建名为inside1-subnet的对象，下同nat(inside1,outside1)dynamicinterface//配置端口名为inside1与outside1单方面端口转换，下同objectnetworkinside2-subnetnat(inside1,outside2)dynamicinterfaceobjectnetworkinside3-subnetnat(inside2,outside1)dynamicinterfaceobjectnetworkinside4-subnetnat(inside2,outside2)dynamicinterfaceobjectnetworkdmz1-subnetnat(dmz,outside1)dynamicinterfaceobjectnetworkdmz2-subnetnat(dmz,outside2)dynamicinterfaceobjectnetworkdmz-web1//进入名为dmz-web1的对象，下同nat(dmz,outside1)static//配置端口名为dmz与outside1的单方面静态绑定转换ip地址为，下同objectnetworkdmz-web2nat(dmz,outside2)staticaccess-groupoutside_aclininterfaceoutside1//在接口名称为outside1上运行命令组outside_acl，下同access-groupoutside_aclininterfaceoutside2!配置完成后，FW-1的NAT状态如图4-11所示图4-11FW-1的NAT状态4.7防火墙双机热备此次双机热备采用A-S模式，其配置如下：interfaceEthernet2//进入端口0配置模式，下同descriptionLANFailoverInterface//此为同步配置接口!interfaceEthernet3descriptionSTATEFailoverInterface//此为同步会话接口!failover//进入failover配置模式failoverlanunitprimary//设置同步配置中此设备FW-1为主用设备failoverlaninterfaceLanEthernet2//接口2为同步配置接口failoverkey123456//密钥为123456failoverlinkStateEthernet3//接口3为同步会话接口failoverinterfaceipLan52standby//设置同步配置接口ip为，子网掩码为52，备用ip为failoverinterfaceipState52standby//设置同步会话接口ip为，子网掩码为52，备用ip为！配置完成后，FW-1和FW-2的主备状态如图4-12、图4-13所示图4-12FW-1的主备状态图4-13FW-2的主备状态4.8IPSecVPN此次IPSECVPN分别配置在分公司防火墙和总公司防火墙上，其中总公司防火墙的配置命令如下，以FW-1为例：object-groupnetworklocal-network//创建名为local-network的对象组，下同network-object//有效IP地址为，子网掩码为，下同object-groupnetworkremote-networknetwork-objectaccess-listasa-router-vpnextendedpermitipobject-grouplocal-networkobject-groupremote-network//创建名为asa-router-vpn的策略，其允许通过ip在local-network对象组中的任意数据！nat(inside1,outside1)sourcestaticlocal-networklocal-networkdestinationstaticremote-networkremote-networkno-proxy-arproute-lookup//配置端口名为inside1与outside1的数据在ipsecvpn内不需要进行端口转换，下同nat(inside2,outside1)sourcestaticlocal-networklocal-networkdestinationstaticremote-networkremote-networkno-proxy-arproute-lookup！cryptoipsecikev1transform-setESP-AES-SHAesp-aesesp-sha-hmac//配置传输指定集指定加密和验证算法cryptomapoutside_mapinterfaceoutside1//创建名为outside_map调用，并配置在名为outside1接口上cryptoikev1enableoutside1//设置开启ipsec模式并配置名为outside1接口上cryptoikev1policy10//配置策略号为1authenticationpre-share//配置密钥共享方式为预先共享encryptionaes//配置加密算法hashsha//hash命令指定采用sha算法group2//配置组别为2lifetime86400//配置保持时间为24小时!配置完成后，FW-1的IPSecVPN状态如图4-14所示图4-14FW-1的IPSecVPN状态第五章系统测试5.1链路聚合测试通过命令showetherchannel1detail即可查询链路聚合状态，从而测试链路聚合是否成功运行，这里以C-SW1为例，如图5-1所示：图5-1链路聚合测试5.2MSTP测试通过trace命令查看vlan10与vlan20在与核心层交换机C-SW1通信时是否走各自的主用根路径即可测试MSTP是否已成功运行，由图5-2、图5-3所示：图5-2VLAN10MSTP测试图5-3VLAN20MSTP测试5.3HSRP测试通过断开各汇聚层交换机e0/0的上行链路查看优先级是否都降低并主备保持不变，从而测试HSRP是否成功运行，由图5-4、图5-5所示：图5-4D-SW1HSRP测试图5-5D-SW2HSRP测试5.4EIGRP测试通过Wireshark抓包核心层交换机C-SW1（IP:）上的e1/0端口与汇聚层交换机D-SW1（IP:53）上的e0/0端口，查看它们之后有无互相发送hello包，即可测试EIGRP是否成功运行，如图5-6、图5-7所示：图5-6C-SW1EIGRP测试图5-7D-SW1EIGRP测试5.5NAT测试通过命令showxlate即可查询NAT状态，同时查看当前正在进行端口转换的接口，从而测试NAT是否成功运行，这里以FW-1为例，如图5-8所示：图5-8FW-1NAT测试5.6防火墙双出口测试企业网络搭建双出口实现高可靠性。当主出口出现堵塞或断开时可立即启用备用出口。其配置命令如下：routeoutside11track1//配置被监控追踪在名为outside1的默认网关路由，并设置管理距离为1routeoutside210//配置被监控追踪在名为outside2的默认网关路由slamonitor1//进入路由联动模式，进程号为1typeechoprotocolipIcmpEchointerfaceoutside1//配置从名为outside1的接口上发出目的ip地址为的监控icmp包num-packets3//配置发送包的数量为3个frequency10//配置发送包的频率为10秒slamonitorschedule1lifeforeverstart-timenow//配置该进程生命周期为永久并立马执行!track1rtr1reachability//配置追踪命令是否可达，不可达时删除track1上的监控路由!查看并测试防火墙双出口是否启动并连通，如图5-9所示：图5-9主出口畅通时当主出口出现堵塞或中断时，会立即删除原静态路由，并将预先设置的备用路由引入路由表。如图5-10所示：图5-10主路由堵塞时5.7双机热备测试当主设备FW-1出现故障或关闭时，查看备用防火墙FW-2是否正常切换并查看其网络连通性。如图5-11、图5-12所示：图5-11FW-2主备状态图5-12FW-2网络连通性启动FW1，查看FW1的主备状态，如图5-13所示：图5-13FW-1主备状态5.8IPSecVPN测试通过命令showcryptoisakmpsa即可查看IPSecVPN状态，同时查看其当前已协商的对端，从而测试IPSecVPN是否成功运行，如图5-14所示：图5-14IPSecVPN测试第六章总结与展望本文通过分析当前企业网络可靠性的现状及影响因素，并根据当前主流企业网络高可靠性的设计与规划，得出企业网络在接入层、汇聚层和核心层应该采用的拓扑结构。并针对企业网络的高可靠性，选择了以下协议配置及方法：（1）VLAN划分（2）链路聚合（3）MSTP协议（4）HSRP协议（5）EIGRP协议（6）NAT协议（7）IPSECVPN（8）防火墙双机热备（9）双出口策略该企业网络高可靠性的设计与部署主要解决了网络接入层，汇聚层和核心层的高可靠性，也实现链路和硬件的高可靠性。但随着网络技术的不断发展以及知识的不断深入，我发现许多不足及后续解决并升级发展的想法：（1）未深入考虑网络安全对可靠性的影响。防火墙应配置一些安全策略，例如时间限制策略，根据时间限制企业内网用户访问企业资源以及上网的权限，防止员工在非法时间内访问或下载未经信任危险的资源（2）VLAN环境的条件过于完美。一个部门直接在一个接入层交换机下，没有存在其他部门。这种现象在企业网络中往往不现实，在企业网络的一台接入层交换机中，其经常存在多个部门或同一部门不连续在一起。因此，在VLAN的划分应考虑这种情况，在一台接入层交换机上划分多个VLAN或同一VLAN存在于多台接入层交换机上。（3）未考虑服务器上的高可靠性。当其中一台服务器出现宕机或故障时，企业网络服务则出现延迟或中断现象。所以，应该考虑实现服务器配置集群，加强企业的服务冗余能力。（4）未考虑分析当前新兴高可靠性网络拓扑结构。当前新兴高可靠性网络拓扑方案为虚拟化架构，其通过核心层交换机做虚拟化，汇聚层交换机做堆叠实现高可靠性。相对于传统结构，虚拟化结构更加简化了其管理和减少了收敛时间，增强了弹性扩展，同时提高企业网络的性能。参考文献[1]王文溥.计算机网络可靠性提升方式分析[J].网络安全技术与应用,2014(11):137-138.[2]杨晓虎.中小型企业局域网络的可靠性设计[J].电子产品可靠性与环境试验,2013,31(A01):131-134.[3]曹胜华,王国军.企业防火墙双机试验浅析[J].电脑知识与技术：学术交流,2009(12X):10454-10456.[4]朱壮普.基于MSTP和VRRP的网络高可用性技术研究与实现[J].太原学院学报:自然科学版,2018,36(4):46-51.[5]谭硕,石金年.热备份路由协议（HSRP）在企业局域网中的应用[J].酒钢科技,2015(2):68-71.[6]孙光懿.基于HSRP和STP协议的网络冗余仿真[J].首都师范大学学报：自然科学版,2018(3):16-23.[7]谭志勇,李进生.基于MSTP＋VRRP的高可靠性园区网络设计与实现[J].计算机时代,2018(2):35-39.[8]孙奇.利用链路冗余技术实现网络高可靠性[J].数字技术与应用,2014(8):51-52.[9]蒋建锋,蒋建峰.IPSecVPN的工程应用对比研究[J].科技信息,2012(32):297-298.[10]韦晓麟.中小型企业网络环境下VPN技术应用[J].网络安全技术与应用,2017(3):134-135.[11]郭能华.基于MSTP＋VRRP双核心技术的企业网络冗余设计与实现[J].中国管理信息化,2016,19(12):54-55.致谢光阴似箭，日月如梭。转眼间，四年的时光快要匆匆到来。首先感谢我的指导老师冼敏仪。本论文从参与毕业设计选题，到根据项目拟定任务书、开题报告，整个前期了解和准备过程搜集相关资料都得到导师冼敏仪老师的细心的指导和不懈的支持。同时，在毕业设计的后期，正是由于她在百忙之中多次审阅全文，对细节进行修改，并为本文的撰写提供了许多中肯而且宝贵的意见，让我发现自己的不足和学到更多的知识。这里我要再一次向导师表示由衷的感谢。在广东东软学院的这四年里，我遇到了许多给我留下宝贵又美好记忆的老师，他们有的严谨认真，有的幽默风趣，有的新颖独特，有的亲切自然……感谢他们传授我宝贵的知识，他们严谨的治学态度和忘我的工作精神值得我去学习，指引了我前进的方向及奋斗的动力，给我大学生涯上了宝贵的一课。与此同时也感谢我的家人、舍友和朋友。四年来，快乐的事情因为有你们的分享而更快乐，失意的日子因为有你们的关怀能忘却伤痛，坚强前行。正是有你们的鼓励陪伴，我才能不断的挑战困难，超越自我。 真诚地祝愿我的家人、舍友、同学、朋友和学校的所有老师身体健康、工作顺利。

怎样提高电脑系统运行速度WindowsXP的启动速度比Windows2000要快30%左右，但相对于Windows98仍然要慢了不少，不过，我们可以通过优化设置，来大大提高WindowsXP的启动速度。加快系统启动速度主要有以下方法：尽量减少系统在启动时加载的程序与服务；对磁盘及CPU等硬件进行优化设置；修改默认设置，减少启动等待时间等。这些方法大部分既可减少系统启动的时间，又可以节省系统资源，加快电脑运行速度。1.加快系统启动速度WindowsXP的启动速度比Windows2000要快30%左右，但相对于Windows98仍然要慢了不少，不过，我们可以通过优化设置，来大大提高WindowsXP的启动速度。加快系统启动速度主要有以下方法：尽量减少系统在启动时加载的程序与服务；对磁盘及CPU等硬件进行优化设置；修改默认设置，减少启动等待时间等。这些方法大部分既可减少系统启动的时间，又可以节省系统资源，加快电脑运行速度。(1)MsconfigWindowsXP的启动速度在系统安装初期还比较快，但随着安装的软件不断增多，系统的启动速度会越来越慢，这是由于许多软件把自己加在了启动程序中，这样开机即需运行，大大降低了启动速度，而且也占用了大量的系统资源。对于这样一些程序，我们可以通过系统配置实用程序Msconfig将它们从启动组中排除出去。选择“开始”菜单中的“运行”命令，在“运行”对话框中键入“Msconfig”，回车后会弹出“系统配置实用程序”对话框，选择其中的“启动”选项卡(如图1)，该选项卡中列出了系统启动时加载的项目及来源，仔细查看每个项目是否需要自动加载，否则清除项目前的复选框，加载的项目越少，启动的速度就越快。设置完成后需要重新启动方能生效。(2)BootvisBootvis是微软提供的一个启动优化工具，可提高WindowsXP的启动速度。用BootVis提升WindowsXP的启动速度必须按照正确的顺序进行操作，否则将不会起到提速的效果。其正确的操作方法如下：启动Bootvis，从其主窗口(如图2)中选择“工具”菜单下的“选项”命令，在“符号路径”处键入Bootvis的安装路径，如“C:\ProgramFiles\Bootvis”，单击“保存”退出。从“跟踪”菜单中选择“下次引导”命令，会弹出“重复跟踪”对话框，单击“确定”按钮，BootVis将引导WindowsXP重新启动，默认的重新启动时间是10秒。系统重新启动后，BootVis自动开始运行并记录启动进程，生成启动进程的相关BIN文件，并把这个记录文件自动命名为TRACE_BOOT_1_1。程序记录完启动进程文件后，会重新启动BootVis主界面，在“文件”菜单中选择刚刚生成的启动进程文件“TRACE_BOOT_1_1”。窗口中即会出现“CPU>使用”、“磁盘I/O”、“磁盘使用”、“驱动程序延迟”等几项具体图例供我们分析，不过最好还是让BootVis程序来自动进行分析：从“跟踪”菜单中选择“系统优化”命令，程序会再次重新启动计算机，并分析启动进程文件，从而使计算机启动得更快。(3)禁用多余的服务WindowsXP在启动时会有众多程序或服务被调入到系统的内存中，它们往往用来控制Windows系统的硬件设备、