網(wǎng)絡(luò)工程論文-組建高性能企業(yè)園區(qū)網(wǎng)

1、.WD.WD.WD.畢業(yè)設(shè)計報告(論文)報告(論文)題目：高性能企業(yè)園區(qū)網(wǎng)的設(shè)計與組建作者所在系部：作者所在專業(yè)：網(wǎng)絡(luò)工程作者所在班級：作 者 姓 名 ：作 者 學(xué) 號 ：指導(dǎo)教師姓名：完 成 時 間 ：2016年6月 摘 要在如今的網(wǎng)絡(luò)建設(shè)中，企業(yè)園區(qū)網(wǎng)的搭建是非常重要的，企業(yè)園區(qū)網(wǎng)高速開展的原因是企業(yè)園區(qū)網(wǎng)內(nèi)部可以同時開展不通的業(yè)務(wù)。早期的企業(yè)園區(qū)網(wǎng)只是簡單的數(shù)據(jù)共享，而現(xiàn)今的企業(yè)園區(qū)網(wǎng)可以做到企業(yè)內(nèi)部全方位的數(shù)據(jù)共享。過去單一的企業(yè)到現(xiàn)在多個分支公司的全部互連，因而對網(wǎng)絡(luò)的覆蓋面要求越來越廣。這一要求最早還只局限于各分支企業(yè)內(nèi)部，現(xiàn)在那么已是整個企業(yè)、整個行業(yè)，甚至整個Internet的

2、共同要求。因此構(gòu)建高性能的企業(yè)園區(qū)網(wǎng)顯得尤為重要。隨著網(wǎng)絡(luò)的逐步普及，高性能企業(yè)園區(qū)網(wǎng)的建設(shè)是企業(yè)向信息化開展的必然選擇，企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個非常龐大而復(fù)雜的系統(tǒng)，它不僅為企業(yè)現(xiàn)代化、綜合信息管理和辦公自動化等一系列應(yīng)用提供 基本操作平臺，而且能提供多種應(yīng)用服務(wù)，使信息能及時、準確地傳送給各個系統(tǒng)。關(guān)鍵詞：高性能園區(qū)網(wǎng) 信息化AbstractIn todays network construction , enterprise campus network structures is very important , because the rapid development of the en

3、terprise campus network is the enterprise campus network can be carried out inside the business at the same time does not make sense . Early enterprise campus network just simple data sharing, and todays enterprise campus network can do a full range of enterprise data sharing . A single enterprise i

4、n the past and now all of interconnecting a plurality of branch of the company , and thus the network coverage requirements and more widely. This requirement also only limited to the first branch of the enterprise, is now already the whole enterprise , the whole industry, and even the common require

5、ments across the Internet. So to build a high-performance enterprise campus network is particularly important.With the popularity of the network , the construction of high-performance enterprise campus network is the inevitable choice to enterprise information development , enterprise network system

6、 is a very large and complex system , not only for enterprises to modern, integrated information management and office automation, a series application provides basic operating platform , and can provide a variety of applications , so that information can be promptly and accurately transmitted to th

7、e various systems .Keyword:high performance, Campus Network, Informatization目錄 TOC o 1-3 h z u HYPERLINK l _Toc460924720摘要 PAGEREF _Toc460924720 h 2HYPERLINK l _Toc460924721Abstract PAGEREF _Toc460924721 h 3HYPERLINK l _Toc460924722第1章緒論 PAGEREF _Toc460924722 h 1HYPERLINK l _Toc4609247231.1 課題研究現(xiàn)狀分析

8、 PAGEREF _Toc460924723 h 1HYPERLINK l _Toc4609247241.2 選題的目的及意義 PAGEREF _Toc460924724 h 1HYPERLINK l _Toc4609247251.3 課題研究的主要內(nèi)容 PAGEREF _Toc460924725 h 1HYPERLINK l _Toc460924726第2章系統(tǒng)需求分析 PAGEREF _Toc460924726 h 3HYPERLINK l _Toc4609247272.1 系統(tǒng)需求概述 PAGEREF _Toc460924727 h 3HYPERLINK l _Toc4609247282

9、.2 系統(tǒng)的設(shè)計原那么 PAGEREF _Toc460924728 h 3HYPERLINK l _Toc4609247292.3 系統(tǒng)的目標 PAGEREF _Toc460924729 h 3HYPERLINK l _Toc460924730第3章系統(tǒng)設(shè)計的主要技術(shù) PAGEREF _Toc460924730 h 5HYPERLINK l _Toc4609247313.1 VLAN技術(shù) PAGEREF _Toc460924731 h 5HYPERLINK l _Toc4609247323.2 OSPF協(xié)議 PAGEREF _Toc460924732 h 5HYPERLINK l _Toc46

10、09247333.3 VPN技術(shù) PAGEREF _Toc460924733 h 6HYPERLINK l _Toc4609247343.4 虛擬路由冗余協(xié)議 PAGEREF _Toc460924734 h 6HYPERLINK l _Toc4609247353.5 訪問控制列表 PAGEREF _Toc460924735 h 7HYPERLINK l _Toc4609247363.6 網(wǎng)絡(luò)地址轉(zhuǎn)換 PAGEREF _Toc460924736 h 7HYPERLINK l _Toc460924737第4章網(wǎng)絡(luò)總體構(gòu)造設(shè)計 PAGEREF _Toc460924737 h 8HYPERLINK l

11、 _Toc4609247384.1企業(yè)園區(qū)網(wǎng)拓撲構(gòu)造 PAGEREF _Toc460924738 h 8HYPERLINK l _Toc4609247394.2系統(tǒng)的數(shù)據(jù)流量設(shè)計 PAGEREF _Toc460924739 h 9HYPERLINK l _Toc4609247404.2.1 數(shù)據(jù)流向設(shè)計原那么 PAGEREF _Toc460924740 h 9HYPERLINK l _Toc4609247414.2.2 正常數(shù)據(jù)流向 PAGEREF _Toc460924741 h 9HYPERLINK l _Toc4609247424.2.3 廣域網(wǎng)出口故障數(shù)據(jù)流向 PAGEREF _Toc4

12、60924742 h 10HYPERLINK l _Toc4609247434.2.4 核心交換機故障數(shù)據(jù)流向 PAGEREF _Toc460924743 h 12HYPERLINK l _Toc4609247444.2.5 會聚層鏈路故障數(shù)據(jù)流向 PAGEREF _Toc460924744 h 13HYPERLINK l _Toc460924745第5章網(wǎng)絡(luò)詳細設(shè)計 PAGEREF _Toc460924745 h 15HYPERLINK l _Toc4609247465.1 總體技術(shù)實現(xiàn) PAGEREF _Toc460924746 h 15HYPERLINK l _Toc4609247475

13、.2 二層交換功能實現(xiàn) PAGEREF _Toc460924747 h 15HYPERLINK l _Toc4609247485.3 三層路由功能實現(xiàn) PAGEREF _Toc460924748 h 15HYPERLINK l _Toc4609247495.4 路由策略設(shè)計 PAGEREF _Toc460924749 h 16HYPERLINK l _Toc460924750第6章邊界策略優(yōu)化管理 PAGEREF _Toc460924750 h 17HYPERLINK l _Toc4609247516.1 策略優(yōu)化需求 PAGEREF _Toc460924751 h 17HYPERLINK l

14、 _Toc4609247526.2策略優(yōu)化實現(xiàn) PAGEREF _Toc460924752 h 17HYPERLINK l _Toc460924753第7章系統(tǒng)各模塊地址劃分 PAGEREF _Toc460924753 h 19HYPERLINK l _Toc4609247547.1 VLAN規(guī)劃設(shè)計 PAGEREF _Toc460924754 h 19HYPERLINK l _Toc4609247557.2 IP地址規(guī)劃設(shè)計 PAGEREF _Toc460924755 h 20HYPERLINK l _Toc460924756第8章故障解決 PAGEREF _Toc460924756 h 2

15、2HYPERLINK l _Toc4609247578.1 故障分析 PAGEREF _Toc460924757 h 22HYPERLINK l _Toc4609247588.2 常見故障分析 PAGEREF _Toc460924758 h 22HYPERLINK l _Toc4609247598.2.1 物理和協(xié)議端口雙down PAGEREF _Toc460924759 h 22HYPERLINK l _Toc4609247608.2.2 物理端口up但協(xié)議端口down PAGEREF _Toc460924760 h 22HYPERLINK l _Toc4609247618.2.3 端口雙

16、up但無法ping通 PAGEREF _Toc460924761 h 22HYPERLINK l _Toc4609247628.3 協(xié)議故障 PAGEREF _Toc460924762 h 22HYPERLINK l _Toc4609247638.3.1 MSTP協(xié)議故障 PAGEREF _Toc460924763 h 22HYPERLINK l _Toc4609247648.3.2 OSPF協(xié)議故障 PAGEREF _Toc460924764 h 25HYPERLINK l _Toc4609247658.3.3 BGP協(xié)議故障 PAGEREF _Toc460924765 h 26HYPERL

17、INK l _Toc4609247668.4 其它故障 PAGEREF _Toc460924766 h 27HYPERLINK l _Toc460924767結(jié)論 PAGEREF _Toc460924767 h 28HYPERLINK l _Toc460924768致謝 PAGEREF _Toc460924768 h 29HYPERLINK l _Toc460924769參考文獻 PAGEREF _Toc460924769 h 30第1章 緒論1.1 課題研究現(xiàn)狀分析隨著科技的開展，網(wǎng)絡(luò)技術(shù)的開展也越來越成熟，各大企業(yè) 基本都實現(xiàn)了信息化的辦公。對企業(yè)而言，提高企業(yè)內(nèi)部員工的工作效率，更好的擴

18、展企業(yè)的業(yè)務(wù)，同時能夠更標準合理的管理企業(yè)網(wǎng)絡(luò)，保證企業(yè)信息不被泄漏，越來越多的企業(yè)認識到搭建一個高效、穩(wěn)定、安全的網(wǎng)絡(luò)的重要性。然而現(xiàn)如今網(wǎng)絡(luò)技術(shù)不斷開展，企業(yè)園區(qū)網(wǎng)絡(luò)的搭建有很多種選擇，如何選擇網(wǎng)絡(luò)技術(shù)搭建園區(qū)網(wǎng)來滿足企業(yè)現(xiàn)在的需求以及未來開展的需要，同時對于網(wǎng)絡(luò)要有可擴展性，這是擺在各企業(yè)面前的一個難題。1.2 選題的目的及意義當(dāng)今世界經(jīng)濟空前繁榮，企業(yè)面臨著異常劇烈的競爭，機遇與挑戰(zhàn)并存。如何控制并降低成本，如何獲得業(yè)務(wù)的增長，如何增強核心競爭力，如何提高運營效率和客戶滿意度，成為企業(yè)負責(zé)人最關(guān)心的話題。網(wǎng)絡(luò)信息化技術(shù)在各行各業(yè)開展中起到的作用越來越顯著，信息化技術(shù)給我們帶來了不一樣的

19、業(yè)務(wù)模式，信息化為企業(yè)的高速開展提供了最新的技術(shù)保證，怎樣把高效的信息技術(shù)轉(zhuǎn)化為高生產(chǎn)力，并最終成為企業(yè)的核心競爭力，是當(dāng)下每一個企業(yè)都在思索的一個問題。縱觀目前大局部企業(yè)的網(wǎng)絡(luò)建設(shè)，很多企業(yè)的網(wǎng)絡(luò)構(gòu)架搭建的時間過久，導(dǎo)致存在設(shè)計混亂、層次復(fù)雜、穩(wěn)定性低、安全性缺乏等一系列的問題，已經(jīng)不能很好的適應(yīng)現(xiàn)如今信息化高速開展的需求。 所以企業(yè)迫切的需要一個合理的、高性能的網(wǎng)絡(luò)來滿足業(yè)務(wù)需求。本文采用工程化設(shè)計的方法，設(shè)計并且模擬一個園區(qū)網(wǎng)絡(luò)，采用成熟的產(chǎn)品和技術(shù)，滿足用戶安全性、通用性、高效性和可擴展性的要求，由于網(wǎng)絡(luò)采用模塊化設(shè)計的思想，所以網(wǎng)絡(luò)系統(tǒng)各層可移植性強，極大的幫助了以后的網(wǎng)絡(luò)設(shè)計工作。

20、1.3 課題研究的主要內(nèi)容本文所設(shè)計的高性能企業(yè)園區(qū)網(wǎng)，主要任務(wù)是設(shè)計一個標準合理化的高性能網(wǎng)絡(luò)，統(tǒng)一規(guī)劃園區(qū)網(wǎng)的IP地址，合理使用路由協(xié)議，在網(wǎng)關(guān)出配置相關(guān)的控制策略，通過設(shè)備以及鏈路的冗余保障網(wǎng)絡(luò)的安全性。而對于企業(yè)園區(qū)網(wǎng)中，網(wǎng)絡(luò)管理員在邊界對策略的管理沒有一個可視化的管理，造成策略管理的混亂，本文也為這種混亂策略的管理給出了相應(yīng)的解決方案。在網(wǎng)絡(luò)的建設(shè)中了解企業(yè)的行政構(gòu)造，部門劃分，對不同職能的部門給予不同的權(quán)限，按照最大需求的給予最小權(quán)限的原那么，保證網(wǎng)絡(luò)的安全性。在所設(shè)計的園區(qū)網(wǎng)中，既要可以滿足現(xiàn)有應(yīng)用的需求，又要有一定的冗余度，滿足企業(yè)業(yè)務(wù)的擴展需求。設(shè)計的網(wǎng)絡(luò)力求簡單穩(wěn)定高效，防

21、止復(fù)雜臃腫，以保證網(wǎng)絡(luò)的可移植性和可擴展性。第2章 系統(tǒng)需求分析本章主要針對企業(yè)現(xiàn)有應(yīng)用系統(tǒng)進展分析，然后根據(jù)企業(yè)業(yè)務(wù)需求制定相應(yīng)的可行性方案，并且提出企業(yè)園區(qū)網(wǎng)的總體設(shè)計目標。2.1 系統(tǒng)需求概述針對目前企業(yè)網(wǎng)絡(luò)的設(shè)計混亂，層次復(fù)雜問題提出相應(yīng)解決方案，規(guī)劃設(shè)計出一個高性能穩(wěn)定的企業(yè)園區(qū)網(wǎng)。建設(shè)的企業(yè)園區(qū)網(wǎng)充分考慮設(shè)備的性能和相關(guān)的網(wǎng)絡(luò)技術(shù)，搭建企業(yè)園區(qū)網(wǎng)的整體框架，形成支撐企業(yè)業(yè)務(wù)高效開展的體系。2.2系統(tǒng)的設(shè)計原那么所設(shè)計的企業(yè)園區(qū)網(wǎng)應(yīng)遵循以下原那么：采用成熟的網(wǎng)絡(luò)技術(shù)，使網(wǎng)絡(luò)可以適應(yīng)未來網(wǎng)絡(luò)技術(shù)以及企業(yè)未來業(yè)務(wù)開展需求；構(gòu)建的網(wǎng)絡(luò)應(yīng)該采用先進的OSPF、VRRP、VPN等技術(shù)；采用層次

22、化、可移植、可擴展的系統(tǒng)體系；采用設(shè)備冗余、鏈路冗余等技術(shù)保證網(wǎng)路的安全可靠性；網(wǎng)絡(luò)構(gòu)造具有開放性和可擴大性，為將來網(wǎng)絡(luò)規(guī)模的擴大留下足夠的余地；在保證使用要求和技術(shù)可行性的前提下，選擇易于操作和管理的網(wǎng)絡(luò)設(shè)備；采用有容錯功能的網(wǎng)絡(luò)設(shè)備，主干區(qū)域使用硬件雙備份，出現(xiàn)故障可以快速恢復(fù)；采用嚴格的權(quán)限管理，不同部門之間限制訪問；在重要的邊界設(shè)備制定嚴格的策略，保證企業(yè)網(wǎng)的安全，防止數(shù)據(jù)的泄漏。2.3 系統(tǒng)的目標根據(jù)對目前企業(yè)網(wǎng)的需求分析，最終企業(yè)網(wǎng)需要實現(xiàn)的功能如下：企業(yè)網(wǎng)與互聯(lián)網(wǎng)的安全互通，終端用戶可以隨時接入，滿足企業(yè)業(yè)務(wù)開展需求；實現(xiàn)企業(yè)網(wǎng)的擴展性需求，在網(wǎng)絡(luò)規(guī)模擴大時，可以在原來網(wǎng)絡(luò)根基上

23、改造，降低網(wǎng)絡(luò)的建設(shè)和改造成本；實現(xiàn)內(nèi)網(wǎng)用戶以及外網(wǎng)用戶對企業(yè)內(nèi)網(wǎng)資源的安全合理訪問，防止非法用戶或者合法用戶對資源的越權(quán)使用；實現(xiàn)VPN功能，使得外出差人員和合作伙伴能夠在Internet上安全地和企業(yè)內(nèi)網(wǎng)進展信息的交互處理；網(wǎng)內(nèi)實現(xiàn)可靠性設(shè)計，從設(shè)備以及技術(shù)上均保證了在出現(xiàn)網(wǎng)絡(luò)故障時網(wǎng)絡(luò)能夠快速恢復(fù)的能力；實現(xiàn)網(wǎng)絡(luò)的優(yōu)化部署，實現(xiàn)了路由備份、負載分擔(dān)功能；實現(xiàn)整個企業(yè)網(wǎng)絡(luò)的可管理性，通過統(tǒng)一的管理中心實現(xiàn)對全網(wǎng)絡(luò)的設(shè)備以及數(shù)據(jù)流量的控制；實現(xiàn)網(wǎng)絡(luò)訪問策略的統(tǒng)一管理，對于需要開通的服務(wù)端口，需要通過員工提交申請，又領(lǐng)導(dǎo)審批通過以后再提交網(wǎng)絡(luò)管理員進展開通。第3章 系統(tǒng)設(shè)計的主要技術(shù)3.1 V

24、LAN技術(shù)在傳統(tǒng)的局域網(wǎng)中，各站點共享傳輸信道所造成的信道沖突和播送風(fēng)暴是影響網(wǎng)絡(luò)性能的重要因素。為了解決發(fā)生在網(wǎng)絡(luò)第二層的信道沖突和發(fā)生在網(wǎng)絡(luò)第三層的播送風(fēng)暴問題，網(wǎng)橋和路由器被廣泛應(yīng)用于局域網(wǎng)中。由網(wǎng)橋連接的網(wǎng)絡(luò)屬于同一邏輯子網(wǎng)，邏輯子網(wǎng)是指該網(wǎng)絡(luò)中的網(wǎng)絡(luò)站點具有一樣的網(wǎng)絡(luò)層地址，例如具有一樣的IP網(wǎng)絡(luò)號或者IPX網(wǎng)絡(luò)號。由路由器將不同邏輯子網(wǎng)連接在一起，邏輯子網(wǎng)間的通信必須經(jīng)路由器進展。在這種網(wǎng)絡(luò)構(gòu)造中，由集線器、粗纜和細纜所構(gòu)成的物理網(wǎng)絡(luò)與邏輯子網(wǎng)相對應(yīng)。通常一個IP子網(wǎng)或者IPX子網(wǎng)屬于一個播送域，因此網(wǎng)絡(luò)中的播送域是根據(jù)物理網(wǎng)絡(luò)來劃分的。這樣的網(wǎng)絡(luò)構(gòu)造無論從效率和安全性角度來考慮都

25、有所欠缺。同時，由于網(wǎng)絡(luò)中的站點被束縛在所處的物理網(wǎng)絡(luò)中，而不能夠根據(jù)需要將其劃分至相應(yīng)的邏輯子網(wǎng)，因此網(wǎng)絡(luò)的構(gòu)造缺乏靈活性。為解決這一問題，從而引發(fā)了虛擬局域網(wǎng)VLAN的概念，所謂VLAN是指網(wǎng)絡(luò)中的站點不拘泥于所處的物理位置，而可以根據(jù)需要靈活地參加不同的邏輯子網(wǎng)中的一種網(wǎng)絡(luò)技術(shù)。3.2 OSPF協(xié)議OSPF是一個內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng)內(nèi)決策路由。它是基于鏈路狀態(tài)的路由協(xié)議，鏈路狀態(tài)是指路由器接口或鏈路的參數(shù)。這些參數(shù)是接口的物理條件：包括接口是Up還是Down、接口的IP地址、分配給接口的子網(wǎng)掩碼、接口所連的網(wǎng)絡(luò)，以及使用路由器的網(wǎng)絡(luò)連接的相關(guān)費用。OSPF與其他路由器交換交換

26、信息，但所交換的不是路由，而是鏈路狀態(tài)。OSPF路由器不是告知其他路由器可以到達哪些網(wǎng)絡(luò)及距離是多少，而是告知它的網(wǎng)絡(luò)鏈路狀態(tài)，這些接口所連的網(wǎng)絡(luò)及使用這些接口的費用。各個路由器都有其自身的鏈路狀態(tài)，稱為本地鏈路狀態(tài)，這些本地鏈路狀態(tài)在OSPF路由域內(nèi)傳播，直到所有的OSPF路由器都有完整而等同的鏈路狀態(tài)數(shù)據(jù)庫為止。一旦每個路由器都接收到所有的鏈路狀態(tài)，每個路由器可以構(gòu)造一棵樹，以它自己為根，而分支表示到AS 中所有網(wǎng)絡(luò)的最短的或費用最低的路由。OSPF對于規(guī)模巨大的網(wǎng)絡(luò)，通常將網(wǎng)絡(luò)劃分成多個OSPF區(qū)域，并只要求路由器與同一區(qū)域的路由器交換鏈路狀態(tài)，而在區(qū)域邊界路由器上交換區(qū)域內(nèi)的匯總鏈路狀

27、態(tài)，這樣可以減少傳播的信息量，且使最短路徑計算強度減少。在區(qū)域劃分時，必須要有一個骨干區(qū)域即區(qū)域0，其它非0或非骨干區(qū)域與骨干區(qū)域必須要有物理或者邏輯連接。當(dāng)有物理連接時，必須有一個路由器，它的一個接口在骨干區(qū)，而另一個接口在非骨干區(qū)。當(dāng)非骨干區(qū)不可能與物理連接到骨干區(qū)時，必須定義一個邏輯的或虛擬鏈路，虛擬鏈路由兩個端點和一個傳輸區(qū)來定義，其中一個端點是路由器接口，是骨干區(qū)域的一局部，另一端點也是一個路由器接口，但在與骨干區(qū)沒有物理連接的非骨干區(qū)域中。傳輸區(qū)是一個區(qū)域，介于骨干區(qū)域與非骨干區(qū)域之間。3.3VPN技術(shù)VPNVirtual Private Network翻譯成中文就是虛擬專用網(wǎng)絡(luò)。

28、它是在公共通信根基設(shè)施上構(gòu)建的虛擬專用或私有網(wǎng)，可以被認為是一種從公共網(wǎng)絡(luò)中隔離出來的網(wǎng)絡(luò)。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建設(shè)一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購置路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機，防火墻設(shè)備或操作系統(tǒng)等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建設(shè)虛擬私有網(wǎng)。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建設(shè)可

29、信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡(luò)連接上的費用。同時，這將簡化網(wǎng)絡(luò)的設(shè)計和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷開展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。3.4 虛擬路由冗余協(xié)議VRRP(VirtualRouterRedunda

30、ncyProtocol,虛擬路由冗余協(xié)議)是一種容錯協(xié)議。通常，一個網(wǎng)絡(luò)內(nèi)的所有主機都設(shè)置一條缺省路由，這樣，主機發(fā)出的目的地址不在本網(wǎng)段的報文將被通過缺省路由發(fā)往路由器RouterA,從而實現(xiàn)了主機與外部網(wǎng)絡(luò)的通信。當(dāng)路由器RouterA壞掉時，本網(wǎng)段內(nèi)所有以RouterA為缺省路由下一跳的主機將斷掉與外部的通信產(chǎn)生單點故障。VRRP就是為解決上述問題而提出的，它為具有多播組播或播送能力的局域網(wǎng)(如：以太網(wǎng))設(shè)計。VRRP將局域網(wǎng)的一組路由器(包括一個Master即活動路由器和假設(shè)干個 Backup即備份路由器)組織成一個虛擬路由器，稱之為一個備份組。這個虛擬的路由器擁有自己的IP地址(這個

31、IP地址可以和備份組內(nèi)的某個路由器的接口地址一樣，一樣的那么稱為ip擁有者)，備份組內(nèi)的路由器也有自己的IP地址(如Master的IP地址為 ,Backup的IP地址為)。局域網(wǎng)內(nèi)的主機僅僅知道這個虛擬路由器的IP地址, 而并不知道具體的Master路由器的IP地址以及Backup路由器的IP地址.1它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的IP地址.于是，網(wǎng)絡(luò)內(nèi)的主機就通過這個虛擬的路由器來與其它網(wǎng)絡(luò)進展通信。如果備份組內(nèi)的 Master路由器壞掉，Backup路由器將會通過選舉策略選出一個新的Master路由器，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機提供路由服務(wù)。從而實現(xiàn)網(wǎng)絡(luò)內(nèi)的主機不連續(xù)地與外部網(wǎng)絡(luò)

32、進展通信。3.5 訪問控制列表ACLAccess Control List，訪問控制列表是一系列permit或者deny語句組成的順序列表，應(yīng)用于地址或上層協(xié)議。為了過濾數(shù)據(jù)報文，網(wǎng)絡(luò)設(shè)備需要配置一系列的匹配條件來對數(shù)據(jù)包進展分類過濾，數(shù)據(jù)包過濾有時也稱為靜態(tài)數(shù)據(jù)包過濾，它通過分析傳入和傳出的數(shù)據(jù)包以及根據(jù)既定標準傳遞或阻止數(shù)據(jù)包來控制對網(wǎng)絡(luò)的訪問。數(shù)據(jù)包過濾設(shè)備根據(jù)源和目的IP地址、源端口和目的端口以及數(shù)據(jù)包的協(xié)議，利用已制定的規(guī)那么來決定是應(yīng)該允許還是拒絕流量通過。3.6 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)主要實現(xiàn)內(nèi)部網(wǎng)絡(luò)地址到外部網(wǎng)絡(luò)的轉(zhuǎn)換，靜態(tài)NAT是把內(nèi)部網(wǎng)絡(luò)中的某臺服務(wù)器地址永久映射成外部網(wǎng)絡(luò)

33、中的某個合法地址，這樣方便外網(wǎng)用戶企業(yè)園區(qū)網(wǎng)資源；動態(tài)地址NAT是采用把外部網(wǎng)絡(luò)中的合法地址使用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)；端口多路復(fù)用地址轉(zhuǎn)換PAT是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上，把企業(yè)內(nèi)網(wǎng)IP轉(zhuǎn)換為公網(wǎng)IP地址，使內(nèi)部用戶可以方便的訪問公網(wǎng)Internet。目前NAT技術(shù)主要用戶于地址轉(zhuǎn)換和對內(nèi)部網(wǎng)絡(luò)安全的一個保護，企業(yè)內(nèi)部員工數(shù)量眾多，而能夠申請到的公網(wǎng)IP地址有限，這樣可以通過NAT技術(shù)實現(xiàn)內(nèi)網(wǎng)多個用戶共同使用一個公網(wǎng)IP訪問互聯(lián)網(wǎng)，而這種方式也能有效的隱藏企業(yè)內(nèi)部網(wǎng)絡(luò)情況，對網(wǎng)絡(luò)攻擊起了一定的防范作用。第4章 網(wǎng)絡(luò)總體構(gòu)造設(shè)計4.1企業(yè)園區(qū)網(wǎng)拓撲構(gòu)造本文所設(shè)計

34、網(wǎng)絡(luò)拓撲構(gòu)造， 基本保證了網(wǎng)絡(luò)的可靠性、可擴展性、可管理性以及安全性等要求。整個網(wǎng)絡(luò)采用標準的核心層、會聚層和接入層三層網(wǎng)絡(luò)構(gòu)造，核心層采用雙機冗余熱備份，保證網(wǎng)絡(luò)的穩(wěn)定性。整個網(wǎng)絡(luò)拓撲構(gòu)造如圖4-1所示。圖4-1 整體網(wǎng)絡(luò)拓撲圖如圖4-1所示，兩臺高帶寬的千兆交換機作為企業(yè)網(wǎng)的樞紐中心，其上行連接核心防火墻，保證園區(qū)網(wǎng)內(nèi)部網(wǎng)絡(luò)安全，其下行連接會聚層交換機。會聚層交換機選用支持三層交換技術(shù)和VLAN的交換機，以到達減輕核心層設(shè)備的負荷，隔離網(wǎng)絡(luò)和分段的目的。存儲服務(wù)器和管理中心服務(wù)器也通過連接會聚層交換機接入園區(qū)網(wǎng)。而接入層那么選用不支持VLAN和三層交換技術(shù)的普通交換機。在不同的建筑部署接入

35、交換機，然后使用VLAN技術(shù)將不同智能的部門的流量數(shù)據(jù)通過二層隔離在自己的播送域范圍內(nèi)，并且為了加強網(wǎng)關(guān)的安全，在各個網(wǎng)關(guān)出配置相應(yīng)的訪問控制。如制止員工宿舍訪問辦公樓網(wǎng)絡(luò)，以免占用正常業(yè)務(wù)帶寬；制止各個部門之間網(wǎng)絡(luò)互通，以免某部門網(wǎng)絡(luò)被攻破不會進一步攻擊另外部門。對于企業(yè)網(wǎng)中訪問流量大，訪問次數(shù)多的服務(wù)器，如郵件服務(wù)器、業(yè)務(wù)部門需要使用的服務(wù)器，采用MSTP+VRRP的組合技術(shù)接入到會聚交換機上，既能提供設(shè)備和鏈路的高度冗余又能實現(xiàn)訪問服務(wù)器流量的負載均衡。對于為外網(wǎng)提供服務(wù)的服務(wù)器來說，在邊界網(wǎng)關(guān)出制定相應(yīng)策略，只翻開某些服務(wù)需要的端口，其余端口默認置為關(guān)閉狀態(tài)，保證服務(wù)器安全性。4.2系

36、統(tǒng)的數(shù)據(jù)流量設(shè)計根據(jù)對企業(yè)網(wǎng)絡(luò)的調(diào)研，本網(wǎng)絡(luò)一共有兩類流量，一類是企業(yè)員工訪問內(nèi)部資源，另一類是企業(yè)員工對互聯(lián)網(wǎng)資源的訪問。為了保證全網(wǎng)的數(shù)據(jù)穩(wěn)定性、路由的可控性以及網(wǎng)絡(luò)的可管理性，需要對企業(yè)園區(qū)網(wǎng)絡(luò)的數(shù)據(jù)流向進展詳細的規(guī)劃設(shè)計，本節(jié)詳細描述了這方面的內(nèi)容，主要內(nèi)容包括數(shù)據(jù)流向設(shè)計原那么以及正常情況和災(zāi)難情況各種情況下的數(shù)據(jù)流向做一個統(tǒng)一的規(guī)劃設(shè)計，也為后續(xù)的路由設(shè)計等提供一個原那么和根基。4.2.1 數(shù)據(jù)流向設(shè)計原那么對于一個高性能的企業(yè)園區(qū)網(wǎng)來說，清晰明確的流向設(shè)計非常關(guān)鍵，表達在以下幾個方面：(1)要求正常業(yè)務(wù)流量和員工宿舍用網(wǎng)流量完全別離，既能有效保證辦公數(shù)據(jù)的安全性，又能形成一個清晰

37、的管理界面，方便后期網(wǎng)絡(luò)的運維管理。這就需要設(shè)計初期進展準確的數(shù)據(jù)流向設(shè)計并匹配相應(yīng)的路由策略才能實現(xiàn)。(2) 出于對網(wǎng)絡(luò)高可靠性的要求，在整個網(wǎng)絡(luò)的核心位置及重要應(yīng)用區(qū)域增加了冗余的鏈路，這樣就使得數(shù)據(jù)的流量路徑變的復(fù)雜起來，正常情況下的數(shù)據(jù)流向和當(dāng)某些鏈路或設(shè)備發(fā)生故障時數(shù)據(jù)的流向，需要提前規(guī)劃好流量的遷移路線，以方便故障的定位和災(zāi)難的恢復(fù)。(3) 要求保證上下行流量路徑一致，對于這種冗余鏈路較多較復(fù)雜的網(wǎng)絡(luò)而言，怎樣保證數(shù)據(jù)走向清晰、防止混亂，便于管理和排錯是尤為重要的，因此將流量走向設(shè)計為上下行路徑統(tǒng)一是非常必要的。4.2.2 正常數(shù)據(jù)流向正常情況下，員工業(yè)務(wù)辦公流量與員工生活用網(wǎng)流量

38、是分開的，分別走各自的流量路徑。兩臺核心交換機互為備份，平時企業(yè)員工辦公使用內(nèi)網(wǎng)資源的流量主要走核心層A側(cè)交換機，辦公時員工有訪問互聯(lián)網(wǎng)的需求，外網(wǎng)流量那么通過會聚B側(cè)交換機連接核心A側(cè)交換機通過電信鏈路接入互聯(lián)網(wǎng)。員工生活用網(wǎng)不需要訪問企業(yè)內(nèi)部服務(wù)器資源，故制定策略讓員工生活用網(wǎng)的流量走核心層B側(cè)交換機通過聯(lián)通鏈路訪問互聯(lián)網(wǎng)，以此保證業(yè)務(wù)流量與生活流量的隔離。正常數(shù)據(jù)流量走向如圖4-2所示。圖4-2 正常流量走向4.2.3 廣域網(wǎng)出口故障數(shù)據(jù)流向假設(shè)廣域網(wǎng)電信鏈路一側(cè)出口出現(xiàn)故障，原本培訓(xùn)中心以及員工生活使用的互聯(lián)網(wǎng)不受任何影響，而在辦公樓正常辦公的員工訪問互聯(lián)網(wǎng)時，鏈路會自動切換到通過聯(lián)通

39、一側(cè)鏈路接入互聯(lián)網(wǎng)，保證網(wǎng)絡(luò)的穩(wěn)定性。辦公樓以及培訓(xùn)中心的內(nèi)網(wǎng)流量那么不會受到任何影響。流量走向如圖4-3所示。圖4-3 廣域網(wǎng)電信側(cè)出口故障廣域網(wǎng)聯(lián)通一側(cè)鏈路出口故障，那么在正常流量走向情況下，除了培訓(xùn)中心和員工宿舍用外網(wǎng)流量改為從核心層A側(cè)上行通過電信鏈路接入互聯(lián)網(wǎng)外，對于培訓(xùn)中心內(nèi)網(wǎng)、辦公樓內(nèi)網(wǎng)和外網(wǎng)流量走向并沒有影響，具體流量走向如圖4-4所示。圖4-4 4.2.4 核心交換機故障數(shù)據(jù)流向假設(shè)核心層A側(cè)設(shè)備出現(xiàn)故障，企業(yè)網(wǎng)所有需要訪問互聯(lián)網(wǎng)資源的流量那么都從核心層B側(cè)設(shè)備通過聯(lián)通鏈路接入互聯(lián)網(wǎng)，此時路由重新計算結(jié)果，辦公樓連入外網(wǎng)的網(wǎng)關(guān)會啟動VRRP備份網(wǎng)關(guān)，也即切換核心層B側(cè)設(shè)備為網(wǎng)

40、關(guān)。而假設(shè)企業(yè)員工此時需要訪問內(nèi)網(wǎng)服務(wù)器資源，內(nèi)網(wǎng)流量那么會通過核心層B側(cè)設(shè)備進展轉(zhuǎn)發(fā)，具體流量走向如圖4-5所示。同理可知，假設(shè)核心層B側(cè)設(shè)備出現(xiàn)故障，培訓(xùn)中心以及員工宿舍訪問外網(wǎng)那么會通過核心層A側(cè)設(shè)備接入互聯(lián)網(wǎng)，此時網(wǎng)關(guān)也會自動切換為A側(cè)設(shè)備。圖4-54.2.5 會聚層鏈路故障數(shù)據(jù)流向假設(shè)會聚層B側(cè)設(shè)備故障，此時培訓(xùn)中心和員工宿舍外網(wǎng)流量那么通過會聚層A側(cè)設(shè)備會聚，再通過核心層B側(cè)設(shè)備進展轉(zhuǎn)發(fā)訪問互聯(lián)網(wǎng)。具體流量走向如圖4-6所示。同理可得，假設(shè)會聚層A側(cè)設(shè)備出現(xiàn)故障，此時辦公樓內(nèi)外網(wǎng)流量都通過會聚層B側(cè)設(shè)備會聚。培訓(xùn)中心和員工宿舍訪問外網(wǎng)那么通過核心層B側(cè)設(shè)備接入訪問外網(wǎng)，辦公樓訪問外

41、網(wǎng)依舊通過核心層A側(cè)設(shè)備接入訪問外網(wǎng)。圖4-6第5章 網(wǎng)絡(luò)詳細設(shè)計本章對按照前期的設(shè)計原那么以及規(guī)劃方案進展詳細的設(shè)計，包括了園區(qū)網(wǎng)絡(luò)的總體設(shè)計、二層交換功能和三層路由功能的實現(xiàn)，詳細說明整個網(wǎng)絡(luò)的連接配置情況。根據(jù)對本次改造建網(wǎng)需求的深刻理解以及針對本方案的建設(shè)原那么，查閱了大量的企業(yè)網(wǎng)網(wǎng)組網(wǎng)資料，借鑒先進成熟的中石油企業(yè)網(wǎng)組網(wǎng)經(jīng)歷。力求設(shè)計建設(shè)一個全方位符合長遠需求并有很強可靠性、安全性的高性能統(tǒng)一企業(yè)園區(qū)網(wǎng)絡(luò)。5.1 總體技術(shù)實現(xiàn)由于企業(yè)園區(qū)網(wǎng)接入設(shè)備較多，故整個網(wǎng)絡(luò)的具體連接無法通過拓撲全部展現(xiàn)出來。本節(jié)將對整體網(wǎng)絡(luò)進展介紹，著重介紹如何通過各種技術(shù)組建企業(yè)園區(qū)網(wǎng)，以及規(guī)劃中的功能是如

42、何實現(xiàn)的。在企業(yè)網(wǎng)出口路由器上配置NAT進展地址轉(zhuǎn)換為企業(yè)員工提供高速的互聯(lián)網(wǎng)接入服務(wù)，核心層的兩臺交換機之間配置VRRP冗余網(wǎng)關(guān)備份，對服務(wù)器提供高可靠性的網(wǎng)關(guān)冗余備份和高效的服務(wù)，考慮到服務(wù)器應(yīng)用的流量負載分流，對于服務(wù)器的接入采用雙上行的典型接入構(gòu)造。整個網(wǎng)絡(luò)骨干運行OSPF動態(tài)路由協(xié)議進展路由的學(xué)習(xí)計算。5.2 二層交換功能實現(xiàn)二層功能主要表現(xiàn)在各個職能部門內(nèi)的信息交換，信息源于一個VLAN播送域內(nèi)的終端，終止于同一個VLAN內(nèi)的另一個終端，在大多數(shù)的情況下，都是終結(jié)于這個VLAN所映射的IP子網(wǎng)的網(wǎng)關(guān)，本設(shè)計方案中將各個接入部門的網(wǎng)關(guān)設(shè)在會聚設(shè)備上?？紤]到應(yīng)用服務(wù)器、郵件服務(wù)器和業(yè)務(wù)

43、服務(wù)器的高可靠性要求，重要應(yīng)用的接入采用VRRP網(wǎng)關(guān)冗余接入設(shè)計，兩臺核心交換機熱備網(wǎng)關(guān)，提供可靠的冗余保障服務(wù)。將兩個VLAN映射到不同的MSTP實例中，可以計算出不同的樹，即實現(xiàn)了冗余備份又實現(xiàn)了流量負載。5.3 三層路由功能實現(xiàn)路由設(shè)計是網(wǎng)絡(luò)設(shè)計當(dāng)中的一個核心內(nèi)容，對于一個高可靠、高性能的網(wǎng)絡(luò)來說，一個合理的路由設(shè)計顯得尤為重要?？傮w設(shè)計思路應(yīng)根據(jù)數(shù)據(jù)流向的設(shè)計方案，合理、高效、可靠部署路由協(xié)議，依據(jù)數(shù)據(jù)流向設(shè)計提供鏈路傳輸保障實現(xiàn)高效、合理承載網(wǎng)絡(luò)中各項應(yīng)用需求。合理規(guī)劃路由協(xié)議和策略，充分考慮路由收斂的性能。OSPF是基于鏈路狀態(tài)計算最短路徑的路由協(xié)議，該類協(xié)議需要對每條鏈路賦予一個

44、COST值，路由的COST值為所途經(jīng)鏈路COST值的累加數(shù)值。為保證OSPF鏈路狀態(tài)數(shù)據(jù)庫的一致性和路由對稱性，要求一條鏈路兩端的端口COST值配置必需相等。如何合理的分配流量使得數(shù)據(jù)的路徑按照規(guī)劃設(shè)計的路徑運轉(zhuǎn)是網(wǎng)絡(luò)穩(wěn)定的關(guān)鍵之一，為了實現(xiàn)這個目標，采用的技術(shù)手段就是調(diào)整COST值。分配OSPF的COST值是一項非常嚴謹?shù)墓ぷ?，對網(wǎng)絡(luò)中流量的穩(wěn)定起著重要的作用。5.4 路由策略設(shè)計全網(wǎng)路由的互通采用靜態(tài)路由與OSPF組合的方式，將互聯(lián)網(wǎng)出接口的默認靜態(tài)路由以及服務(wù)器應(yīng)用的直連路由引入到OSPF域中需要做路由策略來修改引入的COST值，到達路由控制的目的。為了保證辦公數(shù)據(jù)的安全，在員工宿舍的會

45、聚網(wǎng)關(guān)處部署訪問控制策略，制止員工宿舍樓的IP網(wǎng)段對其進展訪問。這樣就有效保證了辦公數(shù)據(jù)的安全性，不受員工生活用網(wǎng)流量的潛在不安全。本企業(yè)網(wǎng)整網(wǎng)規(guī)劃中，為每臺網(wǎng)絡(luò)設(shè)備都配置了一個專門的環(huán)回口作為該設(shè)備的管理地址，為了保證設(shè)備的安全性，每臺設(shè)備的環(huán)回地址應(yīng)該只允許被網(wǎng)管中心的IP地址段遠程登錄，配置專門的訪問控制列表應(yīng)用在環(huán)回口地址上，拒絕任何非網(wǎng)管中心的IP地址對其進展訪問控制。為了提高整個網(wǎng)絡(luò)的安全性，以便將來部署統(tǒng)一的管理和安全機制，在所有的網(wǎng)絡(luò)設(shè)備上部署AAA安全框架，自會聚層以上核心設(shè)備以及關(guān)鍵位置的設(shè)備，例如出口路由器及服務(wù)器的接入交換機等，都需要被包含在自定義的安全域中，統(tǒng)一進展安

46、全的認證驗證或計費管理。第6章 邊界策略優(yōu)化管理6.1策略優(yōu)化需求對于目前大多數(shù)網(wǎng)絡(luò)訪問控制(ACL)管理主要存在的問題包括：1云計算網(wǎng)絡(luò)構(gòu)造復(fù)雜，缺少對網(wǎng)絡(luò)拓撲邊界和網(wǎng)絡(luò)訪問路徑的可視化管理，缺少網(wǎng)絡(luò)邊界開放服務(wù)的監(jiān)控能力，缺少復(fù)雜ACL智能優(yōu)化能力、ACL相關(guān)信息的統(tǒng)一檢索能力、以及相關(guān)ACL的快速定位能力；2云計算網(wǎng)絡(luò)訪問需求變化快，無法結(jié)合業(yè)務(wù)進展細粒度訪問控制策略管理，ACL數(shù)量急劇增長，無法實時跟蹤網(wǎng)絡(luò)訪問控制失效策略，往往網(wǎng)絡(luò)層面的訪問控制策略粒度過粗，無法實時跟進業(yè)務(wù)變化，無法做到最小化需求訪問，形同虛設(shè)；3網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問控制管理和VLAN管理配置復(fù)雜，需要專業(yè)安全網(wǎng)絡(luò)工程

47、師才可以實施，操作步驟繁瑣且易出錯，一旦配置不當(dāng)會造成網(wǎng)絡(luò)的癱瘓；且網(wǎng)絡(luò)設(shè)備的ACL容量是有限制，一旦超出限額，所有的網(wǎng)絡(luò)訪問控制策略將全部失效。4云計算內(nèi)部網(wǎng)絡(luò)構(gòu)造復(fù)雜，需求變化快，不適宜全范圍部署防火墻類產(chǎn)品，會影響云核心網(wǎng)絡(luò)的處理性能，傳統(tǒng)網(wǎng)絡(luò)設(shè)備ACL訪問控制管理復(fù)雜且維護成本高，必須通過高效的可視化集中管理；5傳統(tǒng)網(wǎng)絡(luò)管理方式VLAN管理和ACL策略管理混亂，業(yè)務(wù)申請用戶和網(wǎng)絡(luò)安全管理人員之間溝通不順暢，無法按需訪問，網(wǎng)絡(luò)ACL變更沒有監(jiān)控和審計措施，缺少信息化審批流程，缺少審計記錄，配置管理，變更管理更無法合規(guī)可控。根據(jù)Gartner研究，“超過95%的防火墻漏洞是因由防火墻配置錯

48、誤導(dǎo)致的，而不是防火墻自身的缺陷。針對以上出現(xiàn)的種種訪問控制問題，使用先進的網(wǎng)絡(luò)訪問控制管理軟件進展統(tǒng)一的ACL管理，提升網(wǎng)絡(luò)安全運維人員效率，簡化網(wǎng)絡(luò)權(quán)限管理復(fù)雜度，防止人工操作造成的錯誤配置，保障配置管理和變更管理標準和合規(guī)。策略優(yōu)化實現(xiàn)通過對網(wǎng)絡(luò)設(shè)備ACL的分析，對多余以及無效的ACL進展合并或者刪除，保證網(wǎng)絡(luò)設(shè)備ACL數(shù)量的冗余。1.可通過定義數(shù)學(xué)模型：rule:Rx Ry：規(guī)那么x 規(guī)那么y關(guān)系： RCD, RPm, REM, RIM, RCRcd 互斥completely disjointRem 相等exactly matchRim 超集inclusively match，Rx 是

49、 Ry超集Rpd 子集partially disjoint，Rx 是 Ry子集Rc 關(guān)聯(lián) correlated REDUNDANCY(冗余)Rxorder Ryorder, RxEMRy, Rxaction = RyactionRxorder Ryorder, RxPDRy, Rxaction = RyactionRxorder Ryorder, RxIMRy, Rxaction =RyactionSHADOWING(遮蓋)Rxorder Ryorder, RxEMRy, Rxaction! = RyactionRxorder Ryorder, RxIMRy, Rxaction! = Ryac

50、tionGENERALIZATION(泛化)Rxorder Ryorder, RxPDRy, Rxaction != RyactionSUPERIMPOSING(疊加)Rxorder Ryorder, RxCRy, Rxaction = RyactionCORELATION(相關(guān))Rxorder Ryorder, RxCRy, Rxaction != RyactionCOMBINABLE(合并)RxorderRyorderR2(deny)-R3(permit), R1與R2泛化，如果不考慮位置關(guān)系的影響，推導(dǎo)出來的R1與R3冗余錯誤。所以，在推導(dǎo)的時候要考慮這種位置關(guān)系帶來的問題。通過上述優(yōu)化

51、處理，確保網(wǎng)絡(luò)安全策略的有效性、安全性和合規(guī)性，從而降低網(wǎng)絡(luò)安全策略的風(fēng)險狀況，有效提高網(wǎng)絡(luò)運維人員的工作效率。第7章 系統(tǒng)各模塊地址劃分7.1 VLAN規(guī)劃設(shè)計按照方案的設(shè)計原那么，要求企業(yè)中不同職能部門的流量數(shù)據(jù)在二層隔離開來，這就需要將不同的部門劃分到不同的VLAN當(dāng)中，整體的劃分思路是，VLAN1049為互聯(lián)網(wǎng)段，VLAN50300為各服務(wù)器和各應(yīng)用系統(tǒng)使用，VLAN301400為各個部門使用，VLAN401500為培訓(xùn)中心樓使用，VLAN511584為員工宿舍樓使用。表7-1 VLAN統(tǒng)一劃分名稱VLAN互聯(lián)網(wǎng)段1049郵件服務(wù)器50FTP服務(wù)器60門戶網(wǎng)站服務(wù)器70人力資源ERP系

52、統(tǒng)80網(wǎng)絡(luò)安全域90工程開發(fā)測試100信息內(nèi)容審計系統(tǒng)110在線培訓(xùn)系統(tǒng)120身份認證130備份系統(tǒng)140電子公文系統(tǒng)150ERP系統(tǒng)160應(yīng)急管理系統(tǒng)170辦公系統(tǒng)180檔案管理系統(tǒng)190移動應(yīng)用平臺200經(jīng)理辦公室301財務(wù)部302行政管理部303人事部304根基設(shè)施運維部305培訓(xùn)中心1-1411培訓(xùn)中心1-2412培訓(xùn)中心1-3413培訓(xùn)中心1-4414培訓(xùn)中心1-6415培訓(xùn)中心2-1421培訓(xùn)中心2-2422培訓(xùn)中心2-3423培訓(xùn)中心2-4424員工宿舍A1樓一層511員工宿舍A1樓二層512員工宿舍A1樓三層513員工宿舍A2樓一層521員工宿舍A2樓二層522員工宿舍D5樓四

53、層5847.2 IP地址規(guī)劃設(shè)計VLAN的劃分使得不同部門、不同應(yīng)用系統(tǒng)以及培訓(xùn)中心和員工宿舍樓的二層隔離，但對于一個企業(yè)園區(qū)網(wǎng)來說，合理的IP地址規(guī)劃也是相當(dāng)?shù)闹匾８鶕?jù)在中石油實習(xí)期間借鑒中石油廣域網(wǎng)的IP規(guī)劃得知，最好每一個VLAN映射一個IP網(wǎng)段?？紤]到未來網(wǎng)絡(luò)的擴建，使用A類IP地址進展劃分。表7-2 IP地址統(tǒng)一劃分名稱VLANIP地址管理地址/8互聯(lián)網(wǎng)段1049/16郵件服務(wù)器50/16FTP服務(wù)器60/16門戶網(wǎng)站服務(wù)器70/16人力資源ERP系統(tǒng)80/24網(wǎng)絡(luò)安全域90/24工程開發(fā)測試100/24信息內(nèi)容審計系統(tǒng)110/24在線培訓(xùn)系統(tǒng)120/24身份認證130/24備份系

54、統(tǒng)140/24電子公文系統(tǒng)150/24ERP系統(tǒng)160/24應(yīng)急管理系統(tǒng)170/24辦公系統(tǒng)180/24檔案管理系統(tǒng)190/24移動應(yīng)用平臺200/24經(jīng)理辦公室301/24財務(wù)部302/24行政管理部303/24人事部304/24根基設(shè)施運維部305/24培訓(xùn)中心1-1411/24培訓(xùn)中心1-2412/24培訓(xùn)中心1-3413/24培訓(xùn)中心1-4414/24培訓(xùn)中心1-6415/24培訓(xùn)中心2-1421/24培訓(xùn)中心2-2422/24培訓(xùn)中心2-3423/24培訓(xùn)中心2-4424/24員工宿舍A1樓一層511/24員工宿舍A1樓二層512/24員工宿舍A1樓三層513/24員工宿舍A2樓一層

55、521/24員工宿舍A2樓二層522/24員工宿舍D5樓四層584/24第8章 故障解決8.1 故障分析在網(wǎng)絡(luò)運行的過程中可能會出現(xiàn)各種故障，此時需要先對故障進展觀察，然后收集故障相關(guān)信息，如硬件設(shè)備面板指示燈、數(shù)據(jù)流量走向、設(shè)備配置、各接口狀態(tài)、抓包等方面收集信息。對收集到的信息進一步進展分析，定位問題所在，查找產(chǎn)生問題的原因，必要時可去掉驗證和加密，去掉ACL簡化設(shè)備配置排除相關(guān)干擾。針對的出現(xiàn)的故障列出排錯方案，故障處理過程中應(yīng)記錄日志信息，方便故障解決后編寫解決方案，以便日前方便排查故障。8.2 常見故障分析8.2.1 物理和協(xié)議端口雙down可能由于物理端口網(wǎng)線未能插牢、網(wǎng)線斷掉、對

56、端設(shè)備掉電、端口被shutdown等原因造成故障。8.2.2 物理端口up但協(xié)議端口down可能由于兩端封裝協(xié)議不一致、端口未正確配置IP地址、路由協(xié)議配置錯誤等原因造成故障。8.2.3 端口雙up但無法ping通可能由于兩端IP地址不在同一網(wǎng)段、端口策略配置有誤、兩端工作模式不一致或者由于路由協(xié)議配置不當(dāng)?shù)仍驅(qū)е鲁霈F(xiàn)此種故障。8.3 協(xié)議故障8.3.1 MSTP協(xié)議故障1、播送風(fēng)暴故障處理故障描述：網(wǎng)絡(luò)中存在播送風(fēng)暴。故障處理步驟：1通過disstp命令查看設(shè)備是否開啟全局MSTP，如果沒有開啟那么在系統(tǒng)配置視圖中配置命令stpenable開啟全局MSTP。2通過命令dis stp int

57、查看端口MSTP是否開啟，如果沒有開啟那么在接口視圖下配置stp enable開啟端口的MSTP。3通過命令display stp history檢查端口是否存在STP報文超時現(xiàn)象。例如： dis stp inst 2 history slot 1 STP slot 1 history trace Instance 2 Port Ethernet1/1 Role change : ROOT-DESI Aged Time : 2006/08/08 00:22:56 Port priority : 0.00e0-fc01-6510 0 0.00e0-fc01-6510 128.1 在Etherne

58、t1/1信息的Role Change項中存在Aged字樣說明端口Ethernet1/1的報文曾經(jīng)超時，此時可以通過命令stp timer-factor將超時因子設(shè)置得大一些。2、端口無法快速遷移故障處理故障描述：端口發(fā)生鏈路故障或者鏈路故障恢復(fù)后，整個網(wǎng)絡(luò)的流量恢復(fù)時間超過30秒。故障處理步驟：1檢查連接連接對端是否是終端，如果對端連接的是終端，在端口上執(zhí)行命令stp edge-port enable開啟邊緣端口屬性。2使用命令dis stp查看設(shè)備的工作模式，假設(shè)設(shè)備工作的模式是STP，那么使用stp mode命令將設(shè)備的工作模式修改為MSTP。3在上行設(shè)備中使用命令dis stp查看設(shè)備工

59、作模式，假設(shè)上行設(shè)備是工作在STP模式或者RSTP模式，那么用在上行設(shè)備中使用stp mode命令將工作模式修改為MSTP，假設(shè)上行設(shè)備的工作模式是RSTP，那么可以在端口上使用stp no-agreement-check命令開啟No Agreement Check特性。4查看設(shè)備的端口是不是點對點鏈路，使用命令dis stp int查看： dis stp int ethernet 1/0CISTPort1(Ethernet1/0)UP Port Protocol :enabled Port Role :CIST Disabled Port Port Priority :128 Port Co

60、st(Legacy) :Config=auto / Active=200000 Desg. Bridge/Port :0.00e0-fc00-2000 / 128.2 Port Edged :Config=disabled / Active=disabled Point-to-point :Config=auto / Active=true Transmit Limit :10 packets/hello-time Protection Type :None MST BPDU Format :Config=auto / Active=legacy Port Config- Digest-Sno