網(wǎng)絡工程畢業(yè)設計論文-組建高性能企業(yè)園區(qū)網(wǎng)

./完美格式整理版畢業(yè)設計報告<論文>報告<論文>題目：高性能企業(yè)園區(qū)網(wǎng)的設計與組建作者所在系部：作者所在專業(yè)：網(wǎng)絡工程作者所在班級：作者姓名：作者學號：指導教師姓名：完成時間：2016年6月摘要在如今的網(wǎng)絡建設中,企業(yè)園區(qū)網(wǎng)的搭建是非常重要的,企業(yè)園區(qū)網(wǎng)高速發(fā)展的原因是企業(yè)園區(qū)網(wǎng)內部可以同時開展不通的業(yè)務。早期的企業(yè)園區(qū)網(wǎng)只是簡單的數(shù)據(jù)共享,而現(xiàn)今的企業(yè)園區(qū)網(wǎng)可以做到企業(yè)內部全方位的數(shù)據(jù)共享。過去單一的企業(yè)到現(xiàn)在多個分支公司的全部互連,因而對網(wǎng)絡的覆蓋面要求越來越廣。這一要求最早還只局限于各分支企業(yè)內部,現(xiàn)在則已是整個企業(yè)、整個行業(yè),甚至整個Internet的共同要求。因此構建高性能的企業(yè)園區(qū)網(wǎng)顯得尤為重要。隨著網(wǎng)絡的逐步普及,高性能企業(yè)園區(qū)網(wǎng)的建設是企業(yè)向信息化發(fā)展的必然選擇,企業(yè)網(wǎng)絡系統(tǒng)是一個非常龐大而復雜的系統(tǒng),它不僅為企業(yè)現(xiàn)代化、綜合信息管理和辦公自動化等一系列應用提供基本操作平臺,而且能提供多種應用服務,使信息能及時、準確地傳送給各個系統(tǒng)。關鍵詞：高性能園區(qū)網(wǎng)信息化AbstractIntoday'snetworkconstruction,enterprisecampusnetworkstructuresisveryimportant,becausetherapiddevelopmentoftheenterprisecampusnetworkistheenterprisecampusnetworkcanbecarriedoutinsidethebusinessatthesametimedoesnotmakesense.Earlyenterprisecampusnetworkjustsimpledatasharing,andtoday'senterprisecampusnetworkcandoafullrangeofenterprisedatasharing.Asingleenterpriseinthepastandnowallofinterconnectingapluralityofbranchofthecompany,andthusthenetworkcoveragerequirementsandmorewidely.Thisrequirementalsoonlylimitedtothefirstbranchoftheenterprise,isnowalreadythewholeenterprise,thewholeindustry,andeventhecommonrequirementsacrosstheInternet.Sotobuildahigh-performanceenterprisecampusnetworkisparticularlyimportant.Withthepopularityofthenetwork,theconstructionofhigh-performanceenterprisecampusnetworkistheinevitablechoicetoenterpriseinformationdevelopment,enterprisenetworksystemisaverylargeandcomplexsystem,notonlyforenterprisestomodern,integratedinformationmanagementandofficeautomation,aseriesapplicationprovidesbasicoperatingplatform,andcanprovideavarietyofapplications,sothatinformationcanbepromptlyandaccuratelytransmittedtothevarioussystems.Keyword:highperformance,CampusNetwork,Informatization目錄摘要2Abstract3第1章緒論11.1課題研究現(xiàn)狀分析11.2選題的目的及意義11.3課題研究的主要內容1第2章系統(tǒng)需求分析32.1系統(tǒng)需求概述32.2系統(tǒng)的設計原則32.3系統(tǒng)的目標3第3章系統(tǒng)設計的主要技術53.1VLAN技術53.2OSPF協(xié)議53.3VPN技術63.4虛擬路由冗余協(xié)議63.5訪問控制列表73.6網(wǎng)絡地址轉換7第4章網(wǎng)絡總體結構設計84.1企業(yè)園區(qū)網(wǎng)拓撲結構84.2系統(tǒng)的數(shù)據(jù)流量設計94.2.1數(shù)據(jù)流向設計原則94.2.2正常數(shù)據(jù)流向94.2.3廣域網(wǎng)出口故障數(shù)據(jù)流向104.2.4核心交換機故障數(shù)據(jù)流向124.2.5匯聚層鏈路故障數(shù)據(jù)流向13第5章網(wǎng)絡詳細設計155.1總體技術實現(xiàn)155.2二層交換功能實現(xiàn)155.3三層路由功能實現(xiàn)155.4路由策略設計16第6章邊界策略優(yōu)化管理176.1策略優(yōu)化需求176.2策略優(yōu)化實現(xiàn)17第7章系統(tǒng)各模塊地址劃分197.1VLAN規(guī)劃設計197.2IP地址規(guī)劃設計20第8章故障解決228.1故障分析228.2常見故障分析228.2.1物理和協(xié)議端口雙down228.2.2物理端口up但協(xié)議端口down228.2.3端口雙up但無法ping通228.3協(xié)議故障228.3.1MSTP協(xié)議故障228.3.2OSPF協(xié)議故障258.3.3BGP協(xié)議故障268.4其它故障27結論28致謝29參考文獻30.完美格式整理版第1章緒論1.1課題研究現(xiàn)狀分析隨著科技的發(fā)展,網(wǎng)絡技術的發(fā)展也越來越成熟,各大企業(yè)基本都實現(xiàn)了信息化的辦公。對企業(yè)而言,提高企業(yè)內部員工的工作效率,更好的擴展企業(yè)的業(yè)務,同時能夠更規(guī)范合理的管理企業(yè)網(wǎng)絡,保證企業(yè)信息不被泄漏,越來越多的企業(yè)認識到搭建一個高效、穩(wěn)定、安全的網(wǎng)絡的重要性。然而現(xiàn)如今網(wǎng)絡技術不斷發(fā)展,企業(yè)園區(qū)網(wǎng)絡的搭建有很多種選擇,如何選擇網(wǎng)絡技術搭建園區(qū)網(wǎng)來滿足企業(yè)現(xiàn)在的需求以及未來發(fā)展的需要,同時對于網(wǎng)絡要有可擴展性,這是擺在各企業(yè)面前的一個難題。1.2選題的目的及意義當今世界經(jīng)濟空前繁榮,企業(yè)面臨著異常激烈的競爭,機遇與挑戰(zhàn)并存。如何控制并降低成本,如何獲得業(yè)務的增長,如何增強核心競爭力,如何提高運營效率和客戶滿意度,成為企業(yè)負責人最關心的話題。網(wǎng)絡信息化技術在各行各業(yè)發(fā)展中起到的作用越來越顯著,信息化技術給我們帶來了不一樣的業(yè)務模式,信息化為企業(yè)的高速發(fā)展提供了最新的技術保證,怎樣把高效的信息技術轉化為高生產(chǎn)力,并最終成為企業(yè)的核心競爭力,是當下每一個企業(yè)都在思索的一個問題。縱觀目前大部分企業(yè)的網(wǎng)絡建設,很多企業(yè)的網(wǎng)絡構架搭建的時間過久,導致存在設計混亂、層次復雜、穩(wěn)定性低、安全性不足等一系列的問題,已經(jīng)不能很好的適應現(xiàn)如今信息化高速發(fā)展的需求。所以企業(yè)迫切的需要一個合理的、高性能的網(wǎng)絡來滿足業(yè)務需求。本文采用工程化設計的方法,設計并且模擬一個園區(qū)網(wǎng)絡,采用成熟的產(chǎn)品和技術,滿足用戶安全性、通用性、高效性和可擴展性的要求,由于網(wǎng)絡采用模塊化設計的思想,所以網(wǎng)絡系統(tǒng)各層可移植性強,極大的幫助了以后的網(wǎng)絡設計工作。1.3課題研究的主要內容本文所設計的高性能企業(yè)園區(qū)網(wǎng),主要任務是設計一個規(guī)范合理化的高性能網(wǎng)絡,統(tǒng)一規(guī)劃園區(qū)網(wǎng)的IP地址,合理使用路由協(xié)議,在網(wǎng)關出配置相關的控制策略,通過設備以及鏈路的冗余保障網(wǎng)絡的安全性。而對于企業(yè)園區(qū)網(wǎng)中,網(wǎng)絡管理員在邊界對策略的管理沒有一個可視化的管理,造成策略管理的混亂,本文也為這種混亂策略的管理給出了相應的解決方案。在網(wǎng)絡的建設中了解企業(yè)的行政結構,部門劃分,對不同職能的部門給予不同的權限,按照最大需求的給予最小權限的原則,保證網(wǎng)絡的安全性。在所設計的園區(qū)網(wǎng)中,既要可以滿足現(xiàn)有應用的需求,又要有一定的冗余度,滿足企業(yè)業(yè)務的擴展需求。設計的網(wǎng)絡力求簡單穩(wěn)定高效,避免復雜臃腫,以保證網(wǎng)絡的可移植性和可擴展性。第2章系統(tǒng)需求分析本章主要針對企業(yè)現(xiàn)有應用系統(tǒng)進行分析,然后根據(jù)企業(yè)業(yè)務需求制定相應的可行性計劃,并且提出企業(yè)園區(qū)網(wǎng)的總體設計目標。2.1系統(tǒng)需求概述針對目前企業(yè)網(wǎng)絡的設計混亂,層次復雜問題提出相應解決方案,規(guī)劃設計出一個高性能穩(wěn)定的企業(yè)園區(qū)網(wǎng)。建設的企業(yè)園區(qū)網(wǎng)充分考慮設備的性能和相關的網(wǎng)絡技術,搭建企業(yè)園區(qū)網(wǎng)的整體框架,形成支撐企業(yè)業(yè)務高效發(fā)展的體系。2.2系統(tǒng)的設計原則所設計的企業(yè)園區(qū)網(wǎng)應遵循以下原則：采用成熟的網(wǎng)絡技術,使網(wǎng)絡可以適應未來網(wǎng)絡技術以及企業(yè)未來業(yè)務發(fā)展需求；構建的網(wǎng)絡應該采用先進的OSPF、VRRP、VPN等技術；采用層次化、可移植、可擴展的系統(tǒng)體系；采用設備冗余、鏈路冗余等技術保證網(wǎng)路的安全可靠性；網(wǎng)絡結構具有開放性和可擴充性,為將來網(wǎng)絡規(guī)模的擴大留下足夠的余地；在保證使用要求和技術可行性的前提下,選擇易于操作和管理的網(wǎng)絡設備；采用有容錯功能的網(wǎng)絡設備,主干區(qū)域使用硬件雙備份,出現(xiàn)故障可以快速恢復；采用嚴格的權限管理,不同部門之間限制訪問；在重要的邊界設備制定嚴格的策略,保證企業(yè)網(wǎng)的安全,防止數(shù)據(jù)的泄漏。2.3系統(tǒng)的目標根據(jù)對目前企業(yè)網(wǎng)的需求分析,最終企業(yè)網(wǎng)需要實現(xiàn)的功能如下：企業(yè)網(wǎng)與互聯(lián)網(wǎng)的安全互通,終端用戶可以隨時接入,滿足企業(yè)業(yè)務發(fā)展需求；實現(xiàn)企業(yè)網(wǎng)的擴展性需求,在網(wǎng)絡規(guī)模擴大時,可以在原來網(wǎng)絡基礎上改造,降低網(wǎng)絡的建設和改造成本；實現(xiàn)內網(wǎng)用戶以及外網(wǎng)用戶對企業(yè)內網(wǎng)資源的安全合理訪問,避免非法用戶或者合法用戶對資源的越權使用；實現(xiàn)VPN功能,使得外出差人員和合作伙伴能夠在Internet上安全地和企業(yè)內網(wǎng)進行信息的交互處理；網(wǎng)內實現(xiàn)可靠性設計,從設備以及技術上均保證了在出現(xiàn)網(wǎng)絡故障時網(wǎng)絡能夠快速恢復的能力；實現(xiàn)網(wǎng)絡的優(yōu)化部署,實現(xiàn)了路由備份、負載分擔功能；實現(xiàn)整個企業(yè)網(wǎng)絡的可管理性,通過統(tǒng)一的管理中心實現(xiàn)對全網(wǎng)絡的設備以及數(shù)據(jù)流量的控制；實現(xiàn)網(wǎng)絡訪問策略的統(tǒng)一管理,對于需要開通的服務端口,需要通過員工提交申請,又領導審批通過以后再提交網(wǎng)絡管理員進行開通。第3章系統(tǒng)設計的主要技術3.1VLAN技術在傳統(tǒng)的局域網(wǎng)中,各站點共享傳輸信道所造成的信道沖突和廣播風暴是影響網(wǎng)絡性能的重要因素。為了解決發(fā)生在網(wǎng)絡第二層的信道沖突和發(fā)生在網(wǎng)絡第三層的廣播風暴問題,網(wǎng)橋和路由器被廣泛應用于局域網(wǎng)中。由網(wǎng)橋連接的網(wǎng)絡屬于同一邏輯子網(wǎng),邏輯子網(wǎng)是指該網(wǎng)絡中的網(wǎng)絡站點具有相同的網(wǎng)絡層地址,例如具有相同的IP網(wǎng)絡號或者IPX網(wǎng)絡號。由路由器將不同邏輯子網(wǎng)連接在一起,邏輯子網(wǎng)間的通信必須經(jīng)路由器進行。在這種網(wǎng)絡結構中,由集線器、粗纜和細纜所構成的物理網(wǎng)絡與邏輯子網(wǎng)相對應。通常一個IP子網(wǎng)或者IPX子網(wǎng)屬于一個廣播域,因此網(wǎng)絡中的廣播域是根據(jù)物理網(wǎng)絡來劃分的。這樣的網(wǎng)絡結構無論從效率和安全性角度來考慮都有所欠缺。同時,由于網(wǎng)絡中的站點被束縛在所處的物理網(wǎng)絡中,而不能夠根據(jù)需要將其劃分至相應的邏輯子網(wǎng),因此網(wǎng)絡的結構缺乏靈活性。為解決這一問題,從而引發(fā)了虛擬局域網(wǎng)〔VLAN的概念,所謂VLAN是指網(wǎng)絡中的站點不拘泥于所處的物理位置,而可以根據(jù)需要靈活地加入不同的邏輯子網(wǎng)中的一種網(wǎng)絡技術。3.2OSPF協(xié)議OSPF是一個內部網(wǎng)關協(xié)議,用于在單一自治系統(tǒng)內決策路由。它是基于鏈路狀態(tài)的路由協(xié)議,鏈路狀態(tài)是指路由器接口或鏈路的參數(shù)。這些參數(shù)是接口的物理條件：包括接口是Up還是Down、接口的IP地址、分配給接口的子網(wǎng)掩碼、接口所連的網(wǎng)絡,以及使用路由器的網(wǎng)絡連接的相關費用。OSPF與其他路由器交換交換信息,但所交換的不是路由,而是鏈路狀態(tài)。OSPF路由器不是告知其他路由器可以到達哪些網(wǎng)絡及距離是多少,而是告知它的網(wǎng)絡鏈路狀態(tài),這些接口所連的網(wǎng)絡及使用這些接口的費用。各個路由器都有其自身的鏈路狀態(tài),稱為本地鏈路狀態(tài),這些本地鏈路狀態(tài)在OSPF路由域內傳播,直到所有的OSPF路由器都有完整而等同的鏈路狀態(tài)數(shù)據(jù)庫為止。一旦每個路由器都接收到所有的鏈路狀態(tài),每個路由器可以構造一棵樹,以它自己為根,而分支表示到AS中所有網(wǎng)絡的最短的或費用最低的路由。OSPF對于規(guī)模巨大的網(wǎng)絡,通常將網(wǎng)絡劃分成多個OSPF區(qū)域,并只要求路由器與同一區(qū)域的路由器交換鏈路狀態(tài),而在區(qū)域邊界路由器上交換區(qū)域內的匯總鏈路狀態(tài),這樣可以減少傳播的信息量,且使最短路徑計算強度減少。在區(qū)域劃分時,必須要有一個骨干區(qū)域〔即區(qū)域0,其它非0或非骨干區(qū)域與骨干區(qū)域必須要有物理或者邏輯連接。當有物理連接時,必須有一個路由器,它的一個接口在骨干區(qū),而另一個接口在非骨干區(qū)。當非骨干區(qū)不可能與物理連接到骨干區(qū)時,必須定義一個邏輯的或虛擬鏈路,虛擬鏈路由兩個端點和一個傳輸區(qū)來定義,其中一個端點是路由器接口,是骨干區(qū)域的一部分,另一端點也是一個路由器接口,但在與骨干區(qū)沒有物理連接的非骨干區(qū)域中。傳輸區(qū)是一個區(qū)域,介于骨干區(qū)域與非骨干區(qū)域之間。3.3VPN技術VPN〔VirtualPrivateNetwork翻譯成中文就是"虛擬專用網(wǎng)絡"。它是在公共通信基礎設施上構建的虛擬專用或私有網(wǎng),可以被認為是一種從公共網(wǎng)絡中隔離出來的網(wǎng)絡。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網(wǎng)之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,目前在交換機,防火墻設備或操作系統(tǒng)等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網(wǎng)絡建立虛擬私有網(wǎng)。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉移到低成本的壓網(wǎng)絡上,一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡連接上的費用。同時,這將簡化網(wǎng)絡的設計和管理,加速連接新的用戶和網(wǎng)站。另外,虛擬專用網(wǎng)還可以保護現(xiàn)有的網(wǎng)絡投資。隨著用戶的商業(yè)服務不斷發(fā)展,企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上,而不是網(wǎng)絡上。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。3.4虛擬路由冗余協(xié)議VRRP<VirtualRouterRedundancyProtocol,虛擬路由冗余協(xié)議>是一種容錯協(xié)議。通常,一個網(wǎng)絡內的所有主機都設置一條缺省路由,這樣,主機發(fā)出的目的地址不在本網(wǎng)段的報文將被通過缺省路由發(fā)往路由器RouterA,從而實現(xiàn)了主機與外部網(wǎng)絡的通信。當路由器RouterA壞掉時,本網(wǎng)段內所有以RouterA為缺省路由下一跳的主機將斷掉與外部的通信產(chǎn)生單點故障。VRRP就是為解決上述問題而提出的,它為具有多播組播或廣播能力的局域網(wǎng)<如：以太網(wǎng)>設計。VRRP將局域網(wǎng)的一組路由器<包括一個Master即活動路由器和若干個Backup即備份路由器>組織成一個虛擬路由器,稱之為一個備份組。這個虛擬的路由器擁有自己的IP地址<這個IP地址可以和備份組內的某個路由器的接口地址相同,相同的則稱為ip擁有者>,備份組內的路由器也有自己的IP地址<如Master的IP地址為,Backup的IP地址為>。局域網(wǎng)內的主機僅僅知道這個虛擬路由器的IP地址,而并不知道具體的Master路由器的IP地址以及Backup路由器的IP地址.[1]它們將自己的缺省路由下一跳地址設置為該虛擬路由器的IP地址.于是,網(wǎng)絡內的主機就通過這個虛擬的路由器來與其它網(wǎng)絡進行通信。如果備份組內的Master路由器壞掉,Backup路由器將會通過選舉策略選出一個新的Master路由器,繼續(xù)向網(wǎng)絡內的主機提供路由服務。從而實現(xiàn)網(wǎng)絡內的主機不間斷地與外部網(wǎng)絡進行通信。3.5訪問控制列表ACL〔AccessControlList,訪問控制列表是一系列permit或者deny語句組成的順序列表,應用于地址或上層協(xié)議。為了過濾數(shù)據(jù)報文,網(wǎng)絡設備需要配置一系列的匹配條件來對數(shù)據(jù)包進行分類過濾,數(shù)據(jù)包過濾有時也稱為靜態(tài)數(shù)據(jù)包過濾,它通過分析傳入和傳出的數(shù)據(jù)包以及根據(jù)既定標準傳遞或阻止數(shù)據(jù)包來控制對網(wǎng)絡的訪問。數(shù)據(jù)包過濾設備根據(jù)源和目的IP地址、源端口和目的端口以及數(shù)據(jù)包的協(xié)議,利用已制定的規(guī)則來決定是應該允許還是拒絕流量通過。3.6網(wǎng)絡地址轉換NAT技術主要實現(xiàn)內部網(wǎng)絡地址到外部網(wǎng)絡的轉換,靜態(tài)NAT是把內部網(wǎng)絡中的某臺服務器地址永久映射成外部網(wǎng)絡中的某個合法地址,這樣方便外網(wǎng)用戶企業(yè)園區(qū)網(wǎng)資源；動態(tài)地址NAT是采用把外部網(wǎng)絡中的合法地址使用動態(tài)分配的方法映射到內部網(wǎng)絡；端口多路復用地址轉換〔PAT是把內部地址映射到外部網(wǎng)絡的一個IP地址的不同端口上,把企業(yè)內網(wǎng)IP轉換為公網(wǎng)IP地址,使內部用戶可以方便的訪問公網(wǎng)Internet。目前NAT技術主要用戶于地址轉換和對內部網(wǎng)絡安全的一個保護,企業(yè)內部員工數(shù)量眾多,而能夠申請到的公網(wǎng)IP地址有限,這樣可以通過NAT技術實現(xiàn)內網(wǎng)多個用戶共同使用一個公網(wǎng)IP訪問互聯(lián)網(wǎng),而這種方式也能有效的隱藏企業(yè)內部網(wǎng)絡情況,對網(wǎng)絡攻擊起了一定的防范作用。第4章網(wǎng)絡總體結構設計4.1企業(yè)園區(qū)網(wǎng)拓撲結構本文所設計網(wǎng)絡拓撲結構,基本保證了網(wǎng)絡的可靠性、可擴展性、可管理性以及安全性等要求。整個網(wǎng)絡采用標準的核心層、匯聚層和接入層三層網(wǎng)絡結構,核心層采用雙機冗余熱備份,保證網(wǎng)絡的穩(wěn)定性。整個網(wǎng)絡拓撲結構如圖4-1所示。圖4-1整體網(wǎng)絡拓撲圖如圖4-1所示,兩臺高帶寬的千兆交換機作為企業(yè)網(wǎng)的樞紐中心,其上行連接核心防火墻,保證園區(qū)網(wǎng)內部網(wǎng)絡安全,其下行連接匯聚層交換機。匯聚層交換機選用支持三層交換技術和VLAN的交換機,以達到減輕核心層設備的負荷,隔離網(wǎng)絡和分段的目的。存儲服務器和管理中心服務器也通過連接匯聚層交換機接入園區(qū)網(wǎng)。而接入層則選用不支持VLAN和三層交換技術的普通交換機。在不同的建筑部署接入交換機,然后使用VLAN技術將不同智能的部門的流量數(shù)據(jù)通過二層隔離在自己的廣播域范圍內,并且為了加強網(wǎng)關的安全,在各個網(wǎng)關出配置相應的訪問控制。如禁止員工宿舍訪問辦公樓網(wǎng)絡,以免占用正常業(yè)務帶寬；禁止各個部門之間網(wǎng)絡互通,以免某部門網(wǎng)絡被攻破不會進一步攻擊另外部門。對于企業(yè)網(wǎng)中訪問流量大,訪問次數(shù)多的服務器,如郵件服務器、業(yè)務部門需要使用的服務器,采用MSTP+VRRP的組合技術接入到匯聚交換機上,既能提供設備和鏈路的高度冗余又能實現(xiàn)訪問服務器流量的負載均衡。對于為外網(wǎng)提供服務的服務器來說,在邊界網(wǎng)關出制定相應策略,只打開某些服務需要的端口,其余端口默認置為關閉狀態(tài),保證服務器安全性。4.2系統(tǒng)的數(shù)據(jù)流量設計根據(jù)對企業(yè)網(wǎng)絡的調研,本網(wǎng)絡一共有兩類流量,一類是企業(yè)員工訪問內部資源,另一類是企業(yè)員工對互聯(lián)網(wǎng)資源的訪問。為了保證全網(wǎng)的數(shù)據(jù)穩(wěn)定性、路由的可控性以及網(wǎng)絡的可管理性,需要對企業(yè)園區(qū)網(wǎng)絡的數(shù)據(jù)流向進行詳細的規(guī)劃設計,本節(jié)詳細描述了這方面的內容,主要內容包括數(shù)據(jù)流向設計原則以及正常情況和災難情況各種情況下的數(shù)據(jù)流向做一個統(tǒng)一的規(guī)劃設計,也為后續(xù)的路由設計等提供一個原則和基礎。4.2.1數(shù)據(jù)流向設計原則對于一個高性能的企業(yè)園區(qū)網(wǎng)來說,清晰明確的流向設計非常關鍵,體現(xiàn)在以下幾個方面：<1>要求正常業(yè)務流量和員工宿舍用網(wǎng)流量完全分離,既能有效保證辦公數(shù)據(jù)的安全性,又能形成一個清晰的管理界面,方便后期網(wǎng)絡的運維管理。這就需要設計初期進行精確的數(shù)據(jù)流向設計并匹配相應的路由策略才能實現(xiàn)。<2>出于對網(wǎng)絡高可靠性的要求,在整個網(wǎng)絡的核心位置及重要應用區(qū)域增加了冗余的鏈路,這樣就使得數(shù)據(jù)的流量路徑變的復雜起來,正常情況下的數(shù)據(jù)流向和當某些鏈路或設備發(fā)生故障時數(shù)據(jù)的流向,需要提前規(guī)劃好流量的遷移路線,以方便故障的定位和災難的恢復。<3>要求保證上下行流量路徑一致,對于這種冗余鏈路較多較復雜的網(wǎng)絡而言,怎樣保證數(shù)據(jù)走向清晰、避免混亂,便于管理和排錯是尤為重要的,因此將流量走向設計為上下行路徑統(tǒng)一是非常必要的。4.2.2正常數(shù)據(jù)流向正常情況下,員工業(yè)務辦公流量與員工生活用網(wǎng)流量是分開的,分別走各自的流量路徑。兩臺核心交換機互為備份,平時企業(yè)員工辦公使用內網(wǎng)資源的流量主要走核心層A側交換機,辦公時員工有訪問互聯(lián)網(wǎng)的需求,外網(wǎng)流量則通過匯聚B側交換機連接核心A側交換機通過電信鏈路接入互聯(lián)網(wǎng)。員工生活用網(wǎng)不需要訪問企業(yè)內部服務器資源,故制定策略讓員工生活用網(wǎng)的流量走核心層B側交換機通過聯(lián)通鏈路訪問互聯(lián)網(wǎng),以此保證業(yè)務流量與生活流量的隔離。正常數(shù)據(jù)流量走向如圖4-2所示。圖4-2正常流量走向4.2.3廣域網(wǎng)出口故障數(shù)據(jù)流向若廣域網(wǎng)電信鏈路一側出口出現(xiàn)故障,原本培訓中心以及員工生活使用的互聯(lián)網(wǎng)不受任何影響,而在辦公樓正常辦公的員工訪問互聯(lián)網(wǎng)時,鏈路會自動切換到通過聯(lián)通一側鏈路接入互聯(lián)網(wǎng),保證網(wǎng)絡的穩(wěn)定性。辦公樓以及培訓中心的內網(wǎng)流量則不會受到任何影響。流量走向如圖4-3所示。圖4-3廣域網(wǎng)電信側出口故障廣域網(wǎng)聯(lián)通一側鏈路出口故障,則在正常流量走向情況下,除了培訓中心和員工宿舍用外網(wǎng)流量改為從核心層A側上行通過電信鏈路接入互聯(lián)網(wǎng)外,對于培訓中心內網(wǎng)、辦公樓內網(wǎng)和外網(wǎng)流量走向并沒有影響,具體流量走向如圖4-4所示。圖4-44.2.4核心交換機故障數(shù)據(jù)流向若核心層A側設備出現(xiàn)故障,企業(yè)網(wǎng)所有需要訪問互聯(lián)網(wǎng)資源的流量則都從核心層B側設備通過聯(lián)通鏈路接入互聯(lián)網(wǎng),此時路由重新計算結果,辦公樓連入外網(wǎng)的網(wǎng)關會啟動VRRP備份網(wǎng)關,也即切換核心層B側設備為網(wǎng)關。而若企業(yè)員工此時需要訪問內網(wǎng)服務器資源,內網(wǎng)流量則會通過核心層B側設備進行轉發(fā),具體流量走向如圖4-5所示。同理可知,若核心層B側設備出現(xiàn)故障,培訓中心以及員工宿舍訪問外網(wǎng)則會通過核心層A側設備接入互聯(lián)網(wǎng),此時網(wǎng)關也會自動切換為A側設備。圖4-54.2.5匯聚層鏈路故障數(shù)據(jù)流向若匯聚層B側設備故障,此時培訓中心和員工宿舍外網(wǎng)流量則通過匯聚層A側設備匯聚,再通過核心層B側設備進行轉發(fā)訪問互聯(lián)網(wǎng)。具體流量走向如圖4-6所示。同理可得,若匯聚層A側設備出現(xiàn)故障,此時辦公樓內外網(wǎng)流量都通過匯聚層B側設備匯聚。培訓中心和員工宿舍訪問外網(wǎng)則通過核心層B側設備接入訪問外網(wǎng),辦公樓訪問外網(wǎng)依舊通過核心層A側設備接入訪問外網(wǎng)。圖4-6第5章網(wǎng)絡詳細設計本章對按照前期的設計原則以及規(guī)劃方案進行詳細的設計,包括了園區(qū)網(wǎng)絡的總體設計、二層交換功能和三層路由功能的實現(xiàn),詳細說明整個網(wǎng)絡的連接配置情況。根據(jù)對本次改造建網(wǎng)需求的深刻理解以及針對本方案的建設原則,查閱了大量的企業(yè)網(wǎng)網(wǎng)組網(wǎng)資料,借鑒先進成熟的中石油企業(yè)網(wǎng)組網(wǎng)經(jīng)驗。力求設計建設一個全方位符合長遠需求并有很強可靠性、安全性的高性能統(tǒng)一企業(yè)園區(qū)網(wǎng)絡。5.1總體技術實現(xiàn)由于企業(yè)園區(qū)網(wǎng)接入設備較多,故整個網(wǎng)絡的具體連接無法通過拓撲全部展現(xiàn)出來。本節(jié)將對整體網(wǎng)絡進行介紹,著重介紹如何通過各種技術組建企業(yè)園區(qū)網(wǎng),以及規(guī)劃中的功能是如何實現(xiàn)的。在企業(yè)網(wǎng)出口路由器上配置NAT進行地址轉換為企業(yè)員工提供高速的互聯(lián)網(wǎng)接入服務,核心層的兩臺交換機之間配置VRRP冗余網(wǎng)關備份,對服務器提供高可靠性的網(wǎng)關冗余備份和高效的服務,考慮到服務器應用的流量負載分流,對于服務器的接入采用雙上行的典型接入結構。整個網(wǎng)絡骨干運行OSPF動態(tài)路由協(xié)議進行路由的學習計算。5.2二層交換功能實現(xiàn)二層功能主要表現(xiàn)在各個職能部門內的信息交換,信息源于一個VLAN廣播域內的終端,終止于同一個VLAN內的另一個終端,在大多數(shù)的情況下,都是終結于這個VLAN所映射的IP子網(wǎng)的網(wǎng)關,本設計方案中將各個接入部門的網(wǎng)關設在匯聚設備上?？紤]到應用服務器、郵件服務器和業(yè)務服務器的高可靠性要求,重要應用的接入采用VRRP網(wǎng)關冗余接入設計,兩臺核心交換機熱備網(wǎng)關,提供可靠的冗余保障服務。將兩個VLAN映射到不同的MSTP實例中,可以計算出不同的樹,即實現(xiàn)了冗余備份又實現(xiàn)了流量負載。5.3三層路由功能實現(xiàn)路由設計是網(wǎng)絡設計當中的一個核心內容,對于一個高可靠、高性能的網(wǎng)絡來說,一個合理的路由設計顯得尤為重要。總體設計思路應根據(jù)數(shù)據(jù)流向的設計方案,合理、高效、可靠部署路由協(xié)議,依據(jù)數(shù)據(jù)流向設計提供鏈路傳輸保障實現(xiàn)高效、合理承載網(wǎng)絡中各項應用需求。合理規(guī)劃路由協(xié)議和策略,充分考慮路由收斂的性能。OSPF是基于鏈路狀態(tài)計算最短路徑的路由協(xié)議,該類協(xié)議需要對每條鏈路賦予一個COST值,路由的COST值為所途經(jīng)鏈路COST值的累加數(shù)值。為保證OSPF鏈路狀態(tài)數(shù)據(jù)庫的一致性和路由對稱性,要求一條鏈路兩端的端口COST值配置必需相等。如何合理的分配流量使得數(shù)據(jù)的路徑按照規(guī)劃設計的路徑運轉是網(wǎng)絡穩(wěn)定的關鍵之一,為了實現(xiàn)這個目標,采用的技術手段就是調整COST值。分配OSPF的COST值是一項非常嚴謹?shù)墓ぷ?對網(wǎng)絡中流量的穩(wěn)定起著重要的作用。5.4路由策略設計全網(wǎng)路由的互通采用靜態(tài)路由與OSPF組合的方式,將互聯(lián)網(wǎng)出接口的默認靜態(tài)路由以及服務器應用的直連路由引入到OSPF域中需要做路由策略來修改引入的COST值,達到路由控制的目的。為了保證辦公數(shù)據(jù)的安全,在員工宿舍的匯聚網(wǎng)關處部署訪問控制策略,禁止員工宿舍樓的IP網(wǎng)段對其進行訪問。這樣就有效保證了辦公數(shù)據(jù)的安全性,不受員工生活用網(wǎng)流量的潛在危險。本企業(yè)網(wǎng)整網(wǎng)規(guī)劃中,為每臺網(wǎng)絡設備都配置了一個專門的環(huán)回口作為該設備的管理地址,為了保證設備的安全性,每臺設備的環(huán)回地址應該只允許被網(wǎng)管中心的IP地址段遠程登錄,配置專門的訪問控制列表應用在環(huán)回口地址上,拒絕任何非網(wǎng)管中心的IP地址對其進行訪問控制。為了提高整個網(wǎng)絡的安全性,以便將來部署統(tǒng)一的管理和安全機制,在所有的網(wǎng)絡設備上部署AAA安全框架,自匯聚層以上核心設備以及關鍵位置的設備,例如出口路由器及服務器的接入交換機等,都需要被包含在自定義的安全域中,統(tǒng)一進行安全的認證驗證或計費管理。第6章邊界策略優(yōu)化管理6.1策略優(yōu)化需求對于目前大多數(shù)網(wǎng)絡訪問控制<ACL>管理主要存在的問題包括：〔1云計算網(wǎng)絡結構復雜,缺少對網(wǎng)絡拓撲邊界和網(wǎng)絡訪問路徑的可視化管理,缺少網(wǎng)絡邊界開放服務的監(jiān)控能力,缺少復雜ACL智能優(yōu)化能力、ACL相關信息的統(tǒng)一檢索能力、以及相關ACL的快速定位能力；〔2云計算網(wǎng)絡訪問需求變化快,無法結合業(yè)務進行細粒度訪問控制策略管理,ACL數(shù)量急劇增長,無法實時跟蹤網(wǎng)絡訪問控制失效策略,往往網(wǎng)絡層面的訪問控制策略粒度過粗,無法實時跟進業(yè)務變化,無法做到最小化需求訪問,形同虛設；〔3網(wǎng)絡設備的網(wǎng)絡訪問控制管理和VLAN管理配置復雜,需要專業(yè)安全網(wǎng)絡工程師才可以實施,操作步驟繁瑣且易出錯,一旦配置不當會造成網(wǎng)絡的癱瘓；且網(wǎng)絡設備的ACL容量是有限制,一旦超出限額,所有的網(wǎng)絡訪問控制策略將全部失效。〔4云計算內部網(wǎng)絡結構復雜,需求變化快,不適宜全范圍部署防火墻類產(chǎn)品,會影響云核心網(wǎng)絡的處理性能,傳統(tǒng)網(wǎng)絡設備ACL訪問控制管理復雜且維護成本高,必須通過高效的可視化集中管理；〔5傳統(tǒng)網(wǎng)絡管理方式VLAN管理和ACL策略管理混亂,業(yè)務申請用戶和網(wǎng)絡安全管理人員之間溝通不順暢,無法按需訪問,網(wǎng)絡ACL變更沒有監(jiān)控和審計措施,缺少信息化審批流程,缺少審計記錄,配置管理,變更管理更無法合規(guī)可控。根據(jù)Gartner研究,"超過95%的防火墻漏洞是因由防火墻配置錯誤導致的,而不是防火墻自身的缺陷"。針對以上出現(xiàn)的種種訪問控制問題,使用先進的網(wǎng)絡訪問控制管理軟件進行統(tǒng)一的ACL管理,提升網(wǎng)絡安全運維人員效率,簡化網(wǎng)絡權限管理復雜度,避免人工操作造成的錯誤配置,保障配置管理和變更管理規(guī)范和合規(guī)。策略優(yōu)化實現(xiàn)通過對網(wǎng)絡設備ACL的分析,對多余以及無效的ACL進行合并或者刪除,保證網(wǎng)絡設備ACL數(shù)量的冗余。1. 可通過定義數(shù)學模型：rule:<order><protocol><sip><sport><dip><dport><action>RxRy：規(guī)則x規(guī)則y 關系：{RCD,RPm,REM,RIM,RC} Rcd互斥〔completelydisjoint Rem相等〔exactlymatch Rim超集〔inclusivelymatch,Rx是Ry超集 Rpd子集〔partiallydisjoint,Rx是Ry子集 Rc關聯(lián)〔correlatedREDUNDANCY<冗余>Rx[order]<Ry[order],RxEMRy,Rx[action]==Ry[action]Rx[order]<Ry[order],RxPDRy,Rx[action]==Ry[action]Rx[order]<Ry[order],RxIMRy,Rx[action]==Ry[action]SHADOWING<遮蓋>Rx[order]<Ry[order],RxEMRy,Rx[action]!=Ry[action]Rx[order]<Ry[order],RxIMRy,Rx[action]!=Ry[action]GENERALIZATION<泛化>Rx[order]<Ry[order],RxPDRy,Rx[action]!=Ry[action]SUPERIMPOSING<疊加>Rx[order]<Ry[order],RxCRy,Rx[action]==Ry[action]CORELATION<相關>Rx[order]<Ry[order],RxCRy,Rx[action]!=Ry[action]COMBINABLE<合并>Rx[order]<Ry[order]<……,Rx連續(xù)Ry,Rx[action]==Ry[action]〔Rx連續(xù)Ry,包含源Ip或目的Ip或源端口或目的端口連續(xù)2. 根據(jù)規(guī)則關系分組處理：冗余/遮蓋/泛化/疊加/相關：兩條規(guī)則間的關系優(yōu)化。合并：連續(xù)的多條規(guī)則關系優(yōu)化。3. 特殊處理邏輯：R1<permit>->R2<deny>->R3<permit>,R1與R2泛化,如果不考慮位置關系的影響,推導出來的R1與R3冗余錯誤。所以,在推導的時候要考慮這種位置關系帶來的問題。通過上述優(yōu)化處理,確保網(wǎng)絡安全策略的有效性、安全性和合規(guī)性,從而降低網(wǎng)絡安全策略的風險狀況,有效提高網(wǎng)絡運維人員的工作效率。第7章系統(tǒng)各模塊地址劃分7.1VLAN規(guī)劃設計按照方案的設計原則,要求企業(yè)中不同職能部門的流量數(shù)據(jù)在二層隔離開來,這就需要將不同的部門劃分到不同的VLAN當中,整體的劃分思路是,VLAN10~49為互聯(lián)網(wǎng)段,VLAN50~300為各服務器和各應用系統(tǒng)使用,VLAN301~400為各個部門使用,VLAN401~500為培訓中心樓使用,VLAN511~584為員工宿舍樓使用。表7-1VLAN統(tǒng)一劃分名稱VLAN互聯(lián)網(wǎng)段10~49郵件服務器50FTP服務器60門戶網(wǎng)站服務器70人力資源ERP系統(tǒng)80網(wǎng)絡安全域90項目開發(fā)測試100信息內容審計系統(tǒng)110在線培訓系統(tǒng)120身份認證130備份系統(tǒng)140電子公文系統(tǒng)150ERP系統(tǒng)160應急管理系統(tǒng)170辦公系統(tǒng)180檔案管理系統(tǒng)190移動應用平臺200…………經(jīng)理辦公室301財務部302行政管理部303人事部304基礎設施運維部305…………培訓中心〔1-1411培訓中心〔1-2412培訓中心〔1-3413培訓中心〔1-4414培訓中心〔1-6415培訓中心〔2-1421培訓中心〔2-2422培訓中心〔2-3423培訓中心〔2-4424…………員工宿舍A1樓一層511員工宿舍A1樓二層512員工宿舍A1樓三層513員工宿舍A2樓一層521員工宿舍A2樓二層522…………員工宿舍D5樓四層5847.2IP地址規(guī)劃設計VLAN的劃分使得不同部門、不同應用系統(tǒng)以及培訓中心和員工宿舍樓的二層隔離,但對于一個企業(yè)園區(qū)網(wǎng)來說,合理的IP地址規(guī)劃也是相當?shù)闹匾?。根?jù)在中石油實習期間借鑒中石油廣域網(wǎng)的IP規(guī)劃得知,最好每一個VLAN映射一個IP網(wǎng)段?？紤]到未來網(wǎng)絡的擴建,使用A類IP地址進行劃分。表7-2IP地址統(tǒng)一劃分名稱VLANIP地址管理地址互聯(lián)網(wǎng)段10~49郵件服務器50FTP服務器60門戶網(wǎng)站服務器70人力資源ERP系統(tǒng)80網(wǎng)絡安全域90項目開發(fā)測試100信息內容審計系統(tǒng)110在線培訓系統(tǒng)120身份認證130備份系統(tǒng)140電子公文系統(tǒng)150ERP系統(tǒng)160應急管理系統(tǒng)170辦公系統(tǒng)180檔案管理系統(tǒng)190移動應用平臺200………………經(jīng)理辦公室301財務部302行政管理部303人事部304基礎設施運維部305………………培訓中心〔1-141/24培訓中心〔1-2412.0/24培訓中心〔1-3413.0/24培訓中心〔1-4414/24培訓中心〔1-6415.0/24培訓中心〔2-142/24培訓中心〔2-2422.0/24培訓中心〔2-3423.0/24培訓中心〔2-4424.0/24………………員工宿舍A1樓一層51/24員工宿舍A1樓二層51/24員工宿舍A1樓三層513/24員工宿舍A2樓一層52/24員工宿舍A2樓二層52/24………………員工宿舍D5樓四層584/24第8章故障解決8.1故障分析在網(wǎng)絡運行的過程中可能會出現(xiàn)各種故障,此時需要先對故障進行觀察,然后收集故障相關信息,如硬件設備面板指示燈、數(shù)據(jù)流量走向、設備配置、各接口狀態(tài)、抓包等方面收集信息。對收集到的信息進一步進行分析,定位問題所在,查找產(chǎn)生問題的原因,必要時可去掉驗證和加密,去掉ACL簡化設備配置排除相關干擾。針對的出現(xiàn)的故障列出排錯方案,故障處理過程中應記錄日志信息,方便故障解決后編寫解決方案,以便日后方便排查故障。8.2常見故障分析8.2.1物理和協(xié)議端口雙down可能由于物理端口網(wǎng)線未能插牢、網(wǎng)線斷掉、對端設備掉電、端口被shutdown等原因造成故障。8.2.2物理端口up但協(xié)議端口down可能由于兩端封裝協(xié)議不一致、端口未正確配置IP地址、路由協(xié)議配置錯誤等原因造成故障。8.2.3端口雙up但無法ping通可能由于兩端IP地址不在同一網(wǎng)段、端口策略配置有誤、兩端工作模式不一致或者由于路由協(xié)議配置不當?shù)仍驅е鲁霈F(xiàn)此種故障。8.3協(xié)議故障8.3.1MSTP協(xié)議故障1、廣播風暴故障處理故障描述：網(wǎng)絡中存在廣播風暴。故障處理步驟：〔1通過disstp命令查看設備是否開啟全局MSTP,如果沒有開啟則在系統(tǒng)配置視圖中配置命令stpenable開啟全局MSTP?！?通過命令disstpint查看端口MSTP是否開啟,如果沒有開啟則在接口視圖下配置stpenable開啟端口的MSTP?！?通過命令displaystphistory檢查端口是否存在STP報文超時現(xiàn)象。例如：<Sysname>disstpinst2historyslot1STPslot1historytraceInstance2PortEthernet1/1Rolechange:ROOT->DESI〔AgedTime:2006/08/0800:22:56Portpriority:0.00e0-fc01-651000.00e0-fc01-6510128.1在Ethernet1/1信息的RoleChange項中存在Aged字樣表明端口Ethernet1/1的報文曾經(jīng)超時,此時可以通過命令stptimer-factor將超時因子設置得大一些。2、端口無法快速遷移故障處理故障描述：端口發(fā)生鏈路故障或者鏈路故障恢復后,整個網(wǎng)絡的流量恢復時間超過30秒。故障處理步驟：〔1檢查連接連接對端是否是終端,如果對端連接的是終端,在端口上執(zhí)行命令stpedge-portenable開啟邊緣端口屬性。〔2使用命令disstp查看設備的工作模式,若設備工作的模式是STP,則使用stpmode命令將設備的工作模式修改為MSTP。〔3在上行設備中使用命令disstp查看設備工作模式,若上行設備是工作在STP模式或者RSTP模式,那么用在上行設備中使用stpmode命令將工作模式修改為MSTP,若上行設備的工作模式是RSTP,則可以在端口上使用stpno-agreement-check命令開啟NoAgreementCheck特性?！?查看設備的端口是不是點對點鏈路,使用命令disstpint查看：<sysname>disstpintethernet1/0[CIST][Port1<Ethernet1/0>][UP]PortProtocol:enabledPortRole:CISTDisabledPortPortPriority:128PortCost<Legacy>:Config=auto/Active=200000Desg.Bridge/Port:0.00e0-fc00-2000/128.2PortEdged:Config=disabled/Active=disabledPoint-to-point:Config=auto/Active=trueTransmitLimit:10packets/hello-timeProtectionType:NoneMSTBPDUFormat:Config=auto/Active=legacyPortConfig-Digest-Snooping:disabledNumofVlansMapped:20PortTimes:Hello2sMaxAge20sFwDly15sMsgAge0sRemHop20BPDUSent:0TCN:0,Config:0,RST:0,MST:0BPDUReceived:0TCN:0,Config:0,RST:0,MST:0若Point-to-point項中Active是true則說明端口是點對點鏈路,若為false則表明端口為不是點對點鏈路。如果兩臺設備的端口點對點鏈路但是還無法快速遷移,請聯(lián)系廠商提供技術支持?！?先查看鏈路是否有故障,若鏈路無故障使用命令displaybriefinterface查看端口的雙工模式,如果發(fā)現(xiàn)端口的模式是半雙工模式,可以使用undoduplex把兩側的端口修改為自協(xié)商模式。3、指定端口長期處于Discarding狀態(tài)故障處理故障描述：指定端口長時間處于Discarding狀態(tài),無法遷移到Forwarding狀態(tài)。故障處理步驟：〔1執(zhí)行命令debuggstppacketint打開STP報文詳細信息調試開關,查看端口是否接收到了本端口自己發(fā)送出去的報文,如果是,表明網(wǎng)絡中存在自環(huán),請檢查網(wǎng)絡消除自環(huán)?！?檢查端口收到報文格式是否和配置格式一致方法一：通過查看設備的log日志,若有出現(xiàn)"Portinterface-typeinterface-numberreceiveddifferentformatofBPDUpackets!PleasechangeyourBPDUFormatconfiguration.",表明端口收到了不同格式的報文。方法二：開啟端口報文調試開關查看收到的數(shù)據(jù)報文的類型,使用命令disstpint查看端口實際配置的數(shù)據(jù)報文類型,比較數(shù)據(jù)報文類型是否相同,若出現(xiàn)不一致情況則表明端口收到不同格式報文。若端口收到的數(shù)據(jù)報文格式和配置的格式不一致,則可以通過stpcompliance命令修改端口的報文格式?！?檢查端口根保護是否生效方法一：通過查看設備的log日志,如果有打印"Instanceinstance-id'sROOT-Protectionportinterface-typeinterface-numberreceivedsuperiormessage!",說明端口的根保護已經(jīng)打開。方法二：使用命令displaystpabnormal-port查看端口是否是因為根保護的緣故而被Discarding。<sysname>disstpabnormal-portMSTIDBlockedPortReason0Ethernet1/4ROOT-Protected若端口是因為根保護的開啟而被Discarding,請檢查是否誤將設備設置為根橋或備份根橋,執(zhí)行命令disstpinstinstance-id查看設備在實例上的根類型?！?檢查端口環(huán)路保護是否生效方法一：通過查看打印的log日志,如果有打印"Instanceinstance-id'sLOOP-Protectionportinterface-typeinterface-numberreceivedsuperiormessage!",表明端口開啟了環(huán)路保護。方法二：使用命令dispstpabnormal-port查看端口是否因環(huán)路保護起作用而被Discarding。8.3.2OSPF協(xié)議故障1、OSPF無法形成鄰居關系故障故障描述：OSPF協(xié)議啟動后無法形成鄰居關系。故障處理步驟：〔1查看接口是否啟動了OSPF,OSPF是基于設備的接口運行的,若接口未啟動OSPF則鄰居關系肯定無法形成?！?查看接口配置是否為靜默端口,若接口配置為靜默端口是不能發(fā)送OSPFHello報文的?！?ACL是否拒絕了Hello報文。〔4廣播網(wǎng)絡中的兩端的子網(wǎng)掩碼是否一致,若兩側接口不屬于同一IP子網(wǎng),鄰居關系也是無法形成?！?兩端的OSPF計時器的值是否配置?！?若OSPF的區(qū)域類型或者區(qū)域ID不匹配則不會形成鄰居關系?！?若OSPF鄰居是使用從地址建立的,此時OSPF鄰居關系無法建立,需要更改為主地址才可以。2、OSPF鄰居關系停滯在異常狀態(tài)故障故障描述：OSPF鄰居關系停滯在異常狀態(tài)。故障處理步驟：〔1查看鄰居關系是否停滯在ATEMPT,Hello報文發(fā)出沒有收到回應,最常見的是NBMA鄰居配置錯誤?！?查看鄰居關系是否停止與Exstart或者是Exchange狀態(tài),可能由于接口的MTU設置不匹配、鄰居RouterID重復、路徑MTU小于接口的MTU等原因導致的。3、OSPF路由無法通告故障故障描述：OSPF路由無法通告。故障處理步驟：〔1OSPF無法通告從地址的路由,需要主從地址都屬于同一區(qū)域才可以?！?查看ABR是否無法通告路由,與ABR相連的區(qū)域必須有一個是骨干區(qū)域?！?查看是否無法通告外部路由,可能由于區(qū)域不允許接收外部路由或者NSSA區(qū)域有配置錯誤的ABR導致。4、OSPF路由無法加入路由表故障故障描述：OSPF路由無法加入路由表。故障處理步驟：〔1查看路由表是否有OSPF路由,若沒有,則可能是OSPF鄰居兩邊的網(wǎng)絡類型設置不匹配,導致數(shù)據(jù)庫中的網(wǎng)絡類型不匹配,沒有將OSPF路由添加到路由表中。〔2查看OSPF外部是否無法加入路由表,OSPF外部路由中會帶有轉發(fā)地址信息,如果該轉發(fā)地址為零,除非OSPF可以通過區(qū)域