網絡工程-佛山傳媒辦公網絡規(guī)劃與設計

佛山傳媒辦公網絡規(guī)劃與設計摘要：本課題基于佛山傳媒公司大樓的企業(yè)網絡的規(guī)劃與設計方案進行概括。企業(yè)網絡通常是一種用戶高密度的非運營網絡，在有限的空間內聚集了大量的終端和用戶。同時對于企業(yè)網絡而言，注重的是網絡的簡單可靠、易部署、易維護。因此，企業(yè)網絡的規(guī)劃在設計上通常采用星型結構作為拓撲結構，且在邏輯上，可分為核心層、匯聚層、接入層，每一層都有其特點。因此，在本課題中，佛山傳媒公司的網絡拓撲將采用三層網絡結構進行設計。通過分層設計，使得公司網絡可模塊化增長，提高公司網絡的可擴展性；通過分層設計將公司網絡分成各個單元，降低了網絡的整體復雜性，使得公司網絡運維人員在故障排除中更加容易；通過分層設計，使得公司網絡單個設備的配置復雜性大大降低，更容易管理。在三層網絡結構基礎上，接入層通過MSTP+VRRP的技術搭配將公司各部門接入網絡匯聚到匯聚層設備上，匯聚層設備作為各部門網絡的網關，要合理地規(guī)劃好MSTP實例將各部門流量引導到不同的匯聚網關設備上；在匯聚設備與核心設備之間通過手工鏈路聚合提高鏈路帶寬，部署OSPF，通過修改OSPFcost值，人為地將流量引導到高帶寬的聚合鏈路上；防火墻作為公司出口網關設備，部署雙機熱備技術，保障公司在訪問互聯(lián)網業(yè)務時不會出現(xiàn)單點故障。關鍵詞：企業(yè)網絡，網絡三層結構、冗余備份

NetworkPlanningandDesignofFoshanMediaCompanyAbstract:ThisprojectisbasedontheplananddesignoftheenterprisenetworkofFoshanmediacompanybuilding.Enterprisenetworkisusuallyanonoperationalnetworkwithhighdensityofusers,whichgathersalargenumberofterminalsandusersinalimitedspace.Atthesametime,fortheenterprisenetwork,itfocusesonthesimpleandreliablenetwork,easydeployment,easymaintenance.Therefore,inthedesignofenterprisenetworkplanning,starstructureisusuallyusedasthetopologystructure,andlogically,itcanbedividedintocorelayer,convergencelayerandaccesslayer,eachlayerhasitsowncharacteristics.Therefore,inthisproject,thenetworktopologyofFoshanmediacompanywillbedesignedwiththree-layernetworkstructure.Throughlayereddesign,thecompany'snetworkcanbemodularizedandexpanded,andthecompany'snetworkcanbedividedintovariousunitsthroughlayereddesign,whichreducestheoverallcomplexityofthenetworkandmakesiteasierforthecompany'snetworkoperationandmaintenancepersonneltotroubleshoot.Throughlayereddesign,theconfigurationcomplexityofindividualequipmentofthecompany'snetworkisgreatlyreducedandeasiertomanage。Onthebasisofthethree-layernetworkstructure,theaccesslayerconvergestheaccessnetworkofalldepartmentsofthecompanytotheconvergencelayerequipmentthroughthetechnicalcombinationofMSTP+VRRP.Theconvergencelayerequipment,asthegatewayofeachdepartmentnetwork,shouldreasonablyplantheMSTPinstancetoguidetheflowofeachdepartmenttothedifferentconvergencegatewayequipment.Thelinkbandwidthbetweentheconvergenceequipmentandthecoreequipmentshouldbeimprovedthroughmanuallinkaggregation,deployOSPF,manuallyguidetraffictothehighbandwidthaggregationlinkbymodifyingOSPFcostvalue;astheexportgatewayequipmentofthecompany,deploydualmachinehotstandbytechnologytoensurethatthecompanywillnothaveasinglepointoffailurewhenaccessingInternetbusiness.Keywords:enterprisenetwork,three-tiernetworkstructure,redundantbackup目錄TOC\h\z\t"標題1,1,父標題,2,子標題,3"第1章 緒論 11.1 項目背景 11.2 項目研究意義 11.3 本課題研究的內容 11.4 論文的組織結構 2第2章 需求分析 32.1 用戶需求分析 32.2 功能需求分析 32.3 本章小結 4第3章 網絡邏輯設計 53.1 佛山傳媒辦公網絡建設原則 53.2 佛山傳媒辦公網絡拓撲設計 63.3 設備選型 83.4 公司網絡規(guī)劃建設 93.5 本章小結 10第4章 網絡實施方案 114.1 公司匯聚網絡技術實施應用 114.1.1 VLAN 114.1.2 MSTP 114.1.3 VRRP 134.1.4 DHCP 144.2 公司骨干網絡技術實施應用 154.3 公司雙出口網關網絡技術實施應用 174.3.1 防火墻雙機熱備 174.3.2 雙出口網關與防火墻雙機熱備的實施 184.3.3 缺省路由配合IP-LINK鏈路檢測 194.3.4 防火墻安全策略與NAT策略 204.4 公司總部與分部的主備IPSecVPN搭建 234.5 公司總部與香港服務器的L2TPVPN搭建 274.6 本章總結 29第5章 網絡測試 305.1 公司匯聚網絡測試 305.1.1 MSTP+VRRP的應用測試 305.1.2 DHCP的應用測試 315.2 公司雙出口網關網絡測試 325.2.1 公司內網訪問互聯(lián)網測試 325.2.2 防火墻雙機熱備的應用測試 325.2.3 缺省路由配合IP-LINK鏈路檢測測試 335.3 總部與分部的主備IPSecVPN通信測試 345.4 總部通過L2TPVPN隧道訪問國際網站測試 365.5 本章總結 38總結 39參考文獻 40致謝 41緒論項目背景佛山傳媒有限公司，是一家集廣告、銷售、電商及物流、印刷、系列媒體經營業(yè)務及文化產業(yè)投資業(yè)務的文化傳媒公司。其中在佛山南海區(qū)、順德區(qū)、三水區(qū)、高明區(qū)設有分部。禪城區(qū)作為集團總部所在地，新建大廈作為總部的辦公核心機構，其中總部擁有員工818名。項目研究意義考慮到報社資金、報社計算機應用的現(xiàn)狀、報社教職員的現(xiàn)有水平以及網絡建設和應用系統(tǒng)開發(fā)的固有規(guī)律，針對上述實際情況，將會建設一個以辦公自動化、計算機輔助、現(xiàn)代計算機新大樓辦公文化為核心，以現(xiàn)代網絡技術為依托，技術先進、擴展性強、能覆蓋全校主要樓宇的新大樓辦公主干網絡，將報社的各種PC機、工作站、終端設備和局域網連接起來，并與有關廣域網相連，在網上宣傳自己和獲取Internet網上的教育資源。形成結構合理、內外溝通的新大樓辦公計算機網絡系統(tǒng)，在此基礎上建立能滿足科研和管理工作需要的軟硬件環(huán)境，開發(fā)各類信息庫和應用系統(tǒng)，為報社各類人員提供充分的網絡信息服務。系統(tǒng)總體設計將本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術先進性、高度的安全可靠性，同時具有良好的開放性、可擴展性。我公司始終本著為報社著想，合理使用建設資金，使系統(tǒng)經濟可行，功能強大。本課題研究的內容本課題以佛山傳媒公司作為研究對象，結合公司對網絡建設的需求和企業(yè)網絡建設中所采用的主流協(xié)議技術進行分析，通過華為設備的技術與配置來規(guī)劃和實現(xiàn)佛山傳媒公司網絡的建設，其中涉及到的路由交換技術和安全技術都是在企業(yè)網絡建設中普遍采用的主流技術，如數(shù)據(jù)交換和安全技術中的VLAN、MSTP、VRRP、鏈路聚合、DHCP、OSPF、防火墻雙機熱備、IP-LINK鏈路檢測、VGMP、NAT、防火墻的安全策略和NAT策略、ACL、IPSecVPN、L2TPVPN等，如何將上面的協(xié)議技術結合應用到佛山傳媒公司網絡的建設是本課題研究的內容。論文的組織結構本論文共由5個章節(jié)組成，主要內容及結構安排如下：緒論，主要介紹了公司的背景、項目研究意義和項目研究內容。公司網絡系統(tǒng)需求分析，結合佛山傳媒公司對企業(yè)網絡的建設需求，參考業(yè)界對企業(yè)園區(qū)網絡建設的建議進行分析。公司網絡邏輯設計，根據(jù)公司網絡的需求分析，對公司網絡進行邏輯設計，包括公司網絡拓撲規(guī)劃、設備選型、系統(tǒng)原則等方面進行規(guī)劃。具體實施方案，按公司需求分析進行設計，將VLAN、MSTP、VRRP、鏈路聚合、DHCP、OSPF、防火墻雙機熱備、IP-LINK鏈路檢測、VGMP、NAT、防火墻安全策略、防火墻NAT策略、ACL、IPSecVPN、L2TPVPN等技術運用到公司網絡設計中。網絡測試，對網絡設計技術實施方案進行測試，保證公司網絡穩(wěn)定工作。需求分析用戶需求分析設計一個網絡，首先要為用戶分析目前面臨的主要問題，確定用戶對網絡的真正需求，并在結合未來可能的發(fā)展要求的基礎上選擇、設計合適的網絡結構和網絡技術，提供用戶滿意的高質服務。網絡在佛山傳媒日常辦公環(huán)境中起著至關重要的作用，新大樓辦公網的運作模式會帶來大量動態(tài)的www應用數(shù)據(jù)傳輸，會有相當一部分應用的主服務器有高速接入網絡的需求（目前為100/1000Mbps，今后可會更高）。這就要求網絡有足夠的主干帶寬和擴展能力。除上述考慮外，還要注意到由于邏輯上業(yè)務網和管理網必須分開，所以建成后新大樓辦公網應能提供多個網段的劃分和隔離，并能做到靈活改變配置，以適應辦公環(huán)境的調整和變化，及實現(xiàn)移動辦公的要求。按目前通常的考慮，建議數(shù)據(jù)信息點的接入以交換1000Mbps以太網端口接入為主，以供帶寬需求較高用戶或應用使用。整個方案設計的目的是建設一個集數(shù)據(jù)傳輸和備份、OA應用和Internet訪問等于一體的高可靠、高性能的寬帶多媒體新大樓辦公網。功能需求分析佛山傳媒有限公司總部將按照標準的網絡三層設計原則對企業(yè)網絡拓撲結構進行設計。通過對總部的網絡進行需求分析，其中總部共設有四大部門，分別是行政部、銷售部、財政部和辦公綜合部，針對總部情況，有以下幾點要求：根據(jù)需要，對總部不同部門的IP地址段和VLAN進行劃分，并列出詳細的規(guī)劃表。為了進一步提高終端設備訪問網絡的穩(wěn)定性，確保冗余性，所以接入層到匯聚層采用MSTP+VRRP的解決方案。匯聚層作為接入層和核心層的中介，在企業(yè)網絡中有著承上啟下的作用，在這里匯聚層設備與核心層設備采用OSPF的解決方案，利用鏈路狀態(tài)路由協(xié)議的特點，實現(xiàn)匯聚到核心層的冗余性。防火墻作為公司網關出口設備，為了避免單點故障導致公司無法訪問互聯(lián)網，在這里采用雙防火墻的主備雙機熱備解決方案。為了避免運營商出現(xiàn)光纖故障、上聯(lián)機房設備故障等問題導致公司無法訪問互聯(lián)網所造成的工作和經濟上的影響，公司分別向中國電信和中國聯(lián)通租用了ISP線路，實現(xiàn)互聯(lián)網線路的主備冗余，但為了充分利用資源，公司會同時使用兩條線路進行互聯(lián)網的訪問，如果其中一條線路發(fā)生故障，網關設備也可以通過IP-LINK檢測自動平滑地切換到另外一條線路。公司設有四個分部，分別是南海分部、順德分部、三水分部和高明分部。公司要求實現(xiàn)總部與分部的互聯(lián)互通，在這里將采用搭建IPSecVPN的方式進行解決。公司總部對國際網站有訪問的需求，但因為各種原因導致無法訪問或訪問緩慢，在這里總部購買了運營商的服務，與運營商香港服務器搭建L2TPVPN，通過域名訪問方式訪問國際網站。本章小結通過對佛山傳媒公司網絡建設的需求分析可以得出，如何保證辦公網絡的高效性、可靠性和冗余性是非常需要重視的問題，因此針對需求如何更好地進行公司網絡的規(guī)劃和技術實施，是我們要研究的方向。網絡邏輯設計佛山傳媒辦公網絡建設原則隨著現(xiàn)代計算機應用的高速發(fā)展，特別是諸如圖形、語音、視頻等多媒體信息和技術在管理信息系統(tǒng)、科研設計等領域的廣泛應用，為網絡平臺的設計提出了更高的要求。為了更好地滿足用戶的需求，保證系統(tǒng)能正常穩(wěn)定運行，在較長的時間內不落后，在本網絡系統(tǒng)方案設計中，我們認為應當把握以下幾個原則：1、穩(wěn)定性只有運行穩(wěn)定的網絡才是可靠的網絡，而網絡的可靠運行取決于諸多因素，如網絡的設計，產品的可靠，而選擇一個具有運營此類網絡規(guī)模經驗的網絡合作廠商則更為重要。要求有物理層、數(shù)據(jù)鏈路層和網絡層的備份技術。2、高帶寬為了支持數(shù)據(jù)、話音、視像多媒體的傳輸能力，在技術上要到達當前的國際先進水平。要采用最先進的網絡技術，以適應大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務需求，又要充分考慮未來的發(fā)展。為此應選用高帶寬的先進技術。3、先進性網絡硬件、軟件平臺的先進性，要注意選擇性能價格比好的先進技術和硬件和軟件組網，保證系統(tǒng)的基礎環(huán)境十年不落后。4、標準性和開放性選擇統(tǒng)一性的網絡結構與軟件硬件平臺，有利于系統(tǒng)的建立與開發(fā)。制定信息管理的規(guī)范，在報社領導下，組織有關人員對管理信息系統(tǒng)進行系統(tǒng)分析，制定數(shù)據(jù)流圖和數(shù)據(jù)結構，為信息系統(tǒng)的開發(fā)奠定基礎。為了實現(xiàn)與各種網絡互訪的要求，要選擇開放的網絡體系結構，既要選擇當前的主流產品，又要具有開放性，以利于今后的擴充。5、可擴展性系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網絡中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網絡有很好的可擴展性，并能隨著技術的發(fā)展不斷升級。易擴展不僅僅指設備端口的擴展，還指網絡結構的易擴展性：即只有在網絡結構設計合理的情況下，新的網絡節(jié)點才能方便地加入已有網絡；網絡協(xié)議的易擴展：無論是選擇第三層網絡路由協(xié)議，還是規(guī)劃第二層虛擬網的劃分，都應注意其擴展能力。6、容易控制管理因為上網用戶很多，如何管理好他們的通信，做到既保證一定的用戶通信質量，又合理的利用網絡資源，是建好一個網絡所面臨的首要問題。7、經濟性充分利用原有的軟件、硬件資源，減少投資浪費，做到高性能價格比。8、安全性網絡系統(tǒng)應具有良好的安全性，保證數(shù)據(jù)的安全及網絡使用的安全。由于佛山傳媒網絡連接園區(qū)內部所有用戶，安全管理十分重要。應支持VLAN的劃分，并能在VLAN之間進行第三層交換時進行有效的安全控制，以保證系統(tǒng)的安全性。9、符合IP發(fā)展趨勢的網絡在當前任何一個提供服務的網絡中，對IP的支持服務是最普遍的，而IP技術本身又處在發(fā)展變化中，如IpV6，IPQoS，IPOverSONET等等新興的技術不斷出現(xiàn)，佛山傳媒新大樓辦公網絡必須跟緊IP發(fā)展的步伐，也就是必須選擇處于IP發(fā)展領導地位的網絡廠商。在后面的網絡技術選型和系統(tǒng)方案中，以上設計原則和思想都將會被貫徹始終。佛山傳媒辦公網絡拓撲設計佛山傳媒辦公網絡采用三層網絡設計，整體的網絡拓撲如下圖所示：圖STYLEREF1\s3SEQ圖\*ARABIC\s11佛山傳媒公司整體網絡拓撲規(guī)劃雙出口網關網絡拓撲圖如下所示，公司分別向聯(lián)通和電信申請了一條互聯(lián)網線路，但運營商并不會為公司給出兩條鏈路讓公司網絡接入到互聯(lián)網，所以在這里需要用到兩臺交換機分別對接聯(lián)通和電信線路，并從交換機上引出兩條鏈路下接到公司的兩臺出口網關防火墻設備上：圖STYLEREF1\s3SEQ圖\*ARABIC\s12佛山傳媒公司雙出口網關網絡拓撲骨干網絡拓撲圖如下所示，骨干網絡要保證高效性、冗余性和可靠性，是公司網絡的樞紐中心，所以在防火墻到核心交換機、核心交換機到匯聚交換機之間使用手工鏈路聚合技術，提高鏈路帶寬，并通過在骨干網絡中部署OSPF確保公司骨干網絡的全互聯(lián)，由于部分鏈路并沒有使用鏈路聚合，僅作為備份，所以需要通過修改OSPF的cost值人為地引導流量走向聚合鏈路：圖STYLEREF1\s3SEQ圖\*ARABIC\s13佛山傳媒公司骨干網絡拓撲圖匯聚網絡拓撲圖如下所示，將公司各部門流量匯聚到匯聚設備上：圖STYLEREF1\s3SEQ圖\*ARABIC\s14佛山傳媒公司匯聚網絡拓撲圖設備選型接入層設備選擇使用華為5720S-52P-LI-AC，48個自適應10/100/1000M以太網端口和4個千兆SFP。該設備支持STP/RSTP/MSTP等主流的生成樹協(xié)議，支持各種主流的VLAN特性，足夠滿足匯聚網絡中接入設備所使用到MSTP和VLAN技術。圖STYLEREF1\s3SEQ圖\*ARABIC\s15華為5720S-52P-LI-AC匯聚層和核心層都選擇使用華為S5735S-S32ST4X，8個自適應10/100/1000M以太網端口、24個千兆SPF和4個萬兆SFP。該設備支持STP/RSTP/MSTP等主流的生成樹協(xié)議，支持各種主流的VLAN特性，最重要的是可以支持OSPF協(xié)議等鏈路動態(tài)協(xié)議，公司需要通過部署OSPF實現(xiàn)骨干網絡的全互聯(lián)，滿足骨干網絡建設需求。圖STYLEREF1\s3SEQ圖\*ARABIC\s16華為S5735S-S32ST4X出口網關設備選擇使用華為USG-6315E，2個萬兆WAN口、2個萬兆SFP口和8個GECombo口（千兆光電復用口）。該設備支持IPSecVPN、L2TPVPN等主流VPN技術，支持雙機熱備技術和IP-link檢測技術，滿足公司雙出口網關網絡建設需求：圖STYLEREF1\s3SEQ圖\*ARABIC\s17華為USG-6315E公司網絡規(guī)劃建設佛山傳媒公司總部一共設置了四個部門，分別是行政部、銷售部、財政部和辦公綜合部，其中辦公綜合部另外設置了IT部、綜合部、服務器管理和監(jiān)控管理；公司有四個分部、分別是南海分部、順德分部、三水分部和高明分部。針對公司上述情況，為不同分部和總部不同部門進行IP網段和VLAN的規(guī)劃。公司總部各部門IP網段和vlan規(guī)劃：表STYLEREF1\s3SEQ表\*ARABIC\s11公司總部各部門IP網段和vlan規(guī)劃部門VLAN網段網關可分配地址數(shù)行政部10/2454251銷售部20/2454251財政部30/2454251IT部40/2454251服務器網絡50/2454251監(jiān)控網絡60/2454251綜合部72/22541020公司各分部IP網段和vlan規(guī)劃：表STYLEREF1\s3SEQ表\*ARABIC\s12公司各分部IP網段和vlan規(guī)劃分部VLAN網段網關可分配地址數(shù)南海80/22541022順德88/22541022三水96/22541022高明104/22541022本章小結通過對公司辦公網絡的規(guī)劃與設計，其中包括針對網絡技術需求進行設備選型和辦公網絡拓撲設計，在對公司網絡拓撲中的匯聚網絡、骨干網絡和雙出口網關網絡進行了較為詳細的分析，并根據(jù)公司實際情況，對公司各部門進行了VLAN和IP地址網段的規(guī)劃，為后續(xù)的網絡實施方案做好充分的準備，確保該項目方案能夠順利地進行。網絡實施方案公司匯聚網絡技術實施應用VLAN在我們規(guī)劃一個網絡時，應該始終關注網絡中的廣播域的大小，采用適當?shù)募夹g將一個大的廣播域切割成若干個小的單元，在這里，我們采用VLAN（VirtualLocalAreaNetwork，虛擬局域網技術）技術，結合佛山傳媒公司對于網絡建設的需求，我們對公司各部門和各部門下屬分支設置了不同的VLAN。在這里采用VLAN可以隔絕廣播，減少公司網絡的廣播流量，提高公司網絡的穩(wěn)定性，在部署VLAN時也使得在規(guī)劃辦公網絡時更加靈活，提高了公司網絡的可管理性，極大地方便了網絡管理和維護。佛山傳媒公司各部門和各部門下屬分支規(guī)劃了不同的VLAN和IP網段，在接入交換機采用基于端口劃分VLAN的方式進行配置，比如接入交換機的G0/0/11劃分給了行政部（VLAN10），G0/0/12劃分給了銷售部（VLAN20）、G0/0/13劃分給了財政部（VLAN30）、G0/0/14劃分給了IT部（VLAN40）、G0/0/15劃分給了綜合部（VLAN72），然后通過下聯(lián)傻瓜交換機將各VLAN接入到匯聚網絡中的接入交換機上。MSTP在佛山傳媒公司網絡中，我們會部署冗余的設備和冗余的鏈路，從而使公司業(yè)務流量在故障發(fā)生時通過冗余的設備及冗余的鏈路進行轉發(fā)。我們在匯聚網絡中采用生成樹協(xié)議，來實現(xiàn)設備和鏈路的冗余，其中：生成樹協(xié)議能消除二層環(huán)路，通過部署生成樹協(xié)議，當交換網絡存在環(huán)路時，交換機之間會通過交互BPDU報文進行一系列的計算，將生成樹會將網絡中的一個接口或多個接口進行阻塞，形成一個無環(huán)的交換網絡。生成樹協(xié)議能夠備份鏈路，當活動路徑發(fā)生故障時，激活備份鏈路，及時恢復網絡連通性。目前華為支持三種生成樹協(xié)議，分別是：STP、RSTP和MSTP。在這里我們選擇MSTP作為實施公司匯聚網絡的技術，而不選擇STP和RSTP，因為：STP和RSTP會導致公司匯聚網絡無法實現(xiàn)流量分擔，因為生成樹協(xié)議的特性，在經過計算后會阻塞一個接口或多個接口，從而導致被阻塞的鏈路無法轉發(fā)流量，造成鏈路的浪費。STP和RSTP會導致公司匯聚網絡產生次優(yōu)二層路徑。所以，選擇MSTP作為公司匯聚網絡實施的技術，將徹底解決以上存在的不足。MSTP，也稱為多實例生成樹協(xié)議，MSTP兼容STP和RSTP，既可以快速收斂，又提供了數(shù)據(jù)轉發(fā)的各個冗余路徑，在數(shù)據(jù)轉發(fā)過程中實現(xiàn)VLAN數(shù)據(jù)的負載均衡。一個MST域內可以生成多顆生成樹，每顆生成樹都稱為一個MSTI（實例），每個MSTI都是使用單獨的RSTP算法，計算單獨的生成樹。在公司匯聚網絡中，一共設置了兩個實例，分別是instance10和instance20。其中instance10映射VLAN10、VLAN20、VLAN30、VLAN40，instance20映射VLAN72；匯聚交換機LSW7作為instance10的主根橋，instance20的備根橋，匯聚交換機LSW8作為instance20的主根橋，instance10的備根橋。通過以上的規(guī)劃，使得行政部、銷售部、財政部和IT部的流量都由交換機LSW7來承擔，綜合部的流量由LSW8來承擔，實現(xiàn)流量的負載分擔，一旦發(fā)生鏈路故障或者設備故障，MSTP也能通過端口角色的快速切換和P/A機制快速收斂網絡，實現(xiàn)網絡的冗余性。在這里以LSW7交換機中作為配置舉例，用圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s11LSW7交換機MSTP配置示例VRRP在佛山傳媒公司網絡中，匯聚交換機作為各接入部門的網關設備，因為采用MSTP的原因，如果其中匯聚設備LSW7發(fā)生了故障，那么將會觸發(fā)MSTP的收斂計算，MSTP會將發(fā)往故障設備LSW7的流量切換到備的匯聚交換機LSW8，但是如果LSW8并沒有行政部、銷售部、財政部和IT部的網關，那么將會造成單網關故障，使得行政部、銷售部、財政部和IT部的流量都無法發(fā)往internet，所以，為了解決上述的問題，我們在這里采用VRRP（虛擬路由冗余協(xié)議）技術。LSW7和LSW8作為各接入部門的網關設備，其中LSW7是行政部、銷售部、財政部和IT部的主設備，LSW8是綜合部的主設備，所以我們在LSW7和LSW8分別以各部門VLAN號作為VRRP的進程號，配合MSTP，設置不同MSTP實例下不同匯聚交換機的不同VRRP進程的優(yōu)先級。下面將以交換機LSW7的instance10作為舉例：在instance10中，LSW7作為行政部的主交換機，于是在LSW7的vlanif10接口下根據(jù)行政部的VLAN號10設置了進程號為10的VRRP，VRRP優(yōu)先級設置為120，虛擬的網關地址為規(guī)劃的54，vlanif10的接口地址設置為52，然后在LSW8的vlanif10接口下，配置接口地址為53，設置進程號為10的VRRP，VRRP優(yōu)先級為默認的100，虛擬的網關地址為規(guī)劃的54，銷售部、財政部和IT部均按照以上操作執(zhí)行。綜合部將LSW7作為備交換機，所以在LSW7的instance10中，在LSW7的vlanif72接口下根據(jù)綜合部的VLAN號72設置了進程號為72的VRRP，VRRP優(yōu)先級為默認的100，虛擬的網關地址為規(guī)劃的54，vlanif72的接口地址設置為52，然后在LSW8的vlanif10接口下，配置接口地址為53，設置進程號為70的VRRP，VRRP優(yōu)先級為默認的120，虛擬的網關地址為規(guī)劃的54。在設置完VRRP后，如果當主交換機發(fā)生了故障，那么VRRP將備交換機切換為主交換機，實現(xiàn)故障交換機的流量能通過備交換機轉發(fā)出去，但此時如果匯聚交換機LSW7和LSW8的上行鏈路Down掉了，那么VRRP并不會進行切換，那么發(fā)往Internet的流量將會丟失，另外如果是下行鏈路Down掉了，VRRP也并不會進行切換，此時會觸發(fā)MSTP端口角色的切換和計算，將流量從切換角色后的端口進行轉發(fā)，造成次優(yōu)路徑，為了解決以上的問題，在這里我們配置VRRP的鏈路聯(lián)動功能，用來監(jiān)測上行鏈路或者下行鏈路的情況，一旦出現(xiàn)了鏈路故障，那么VRRP將會發(fā)現(xiàn)并減少VRRP的優(yōu)先級，完成主備交換機的切換。在這里以LSW7交換機中instance10實例里的行政部VLAN10作為配置舉例，用圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s12VRRP10的配置示例DHCP佛山傳媒公司共有員工818名，假設為每名員工配上辦公電腦，如果通過手工配置IP的方式來為每臺辦公電腦配置靜態(tài)地址的話，那么這將是很大的工作量，而且將會使得IP地址資源不能得到充分利用，造成浪費。所以，在這里我們采用DHCP的方式為公司各部門的辦公設備分配地公司骨干網路技術實施應用。結合公司匯聚網絡的情況，匯聚交換機LSW7和LSW8作為各部門的網關設備，且通過MSTP+VRRP的技術搭配實現(xiàn)了匯聚交換機設備和鏈路的冗余性，我們決定在兩臺匯聚交換機都設置各部門的DHCP地址池，但這樣做會存在問題，比如當主交換機LSW7發(fā)生了故障，VRRP進程會將備交換機LSW8切換為主交換機，那么行政部的流量都會通往LSW8，如果此時行政部有還未獲取到地址的終端設備接入到網絡，那么LSW8的行政部地址池會為該終端設備分配一個地址，由于LSW7和LSW8的DHCP是冷備DHCP，LSW8并不知道LSW7分配出去了什么地址，所以可能會出現(xiàn)IP地址沖突的問題。為了避免以上的問題，我們在LSW7和LSW8設置好各部門的地址池后，也要設置好禁止分配的地址，以綜合部為例，LSW8作為綜合部的主交換機，在LSW8上設置名稱為vlan72的地址池，分配的地址范圍是/22，禁止分配的地址為到55，LSW7作為綜合部的備交換機，在LSW7上設置名稱為vlan72的地址池，分配的地址范圍是/22，禁止分配的地址為到53。在這里以交換機LSW7和LSW8上的vlan72地址池作為配置舉例，用圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s13主交換機LSW8上的vlan10地址池配置圖STYLEREF1\s4SEQ圖\*ARABIC\s14備交換機LSW7上的vlan10地址池配置公司骨干網絡技術實施應用佛山傳媒公司的骨干網絡對于整個公司的網絡而言起著至關重要的作用，骨干網絡要保證高效性、冗余性和可靠性，是公司網絡的樞紐中心。在公司的骨干網絡中，由2臺出口網關防火墻設備FW1、FW2和2臺核心交換機LSW9、LSW10還有2臺匯聚交換機LSW7、LSW8組成。由于骨干網絡承載著公司各部門的業(yè)務路由，路由數(shù)目相對較多，如果在這里采用靜態(tài)路由的方式來寫骨干網絡的路由，那么將會導致骨干網絡的配置變得繁重，也難以適應以后公司對骨干網絡的升級，而且一旦骨干網絡的某臺設備發(fā)生故障，靜態(tài)路由也并不能感知到網絡發(fā)生了故障，造成流量的丟失。為了更好的解決上述的問題，在這里我們采用了鏈路動態(tài)協(xié)議OSPF技術來進行實施。OSPF（開放式最短路徑優(yōu)先）作為鏈路動態(tài)協(xié)議中的一種技術，通過鏈路狀態(tài)數(shù)據(jù)庫的鏈路狀態(tài)信息（LSA），計算出OSPF的路由表，實現(xiàn)公司骨干網絡的全互聯(lián)。得益于鏈路狀態(tài)路由協(xié)議的特點，即使設備或者鏈路發(fā)生了故障，OSPF也能重新收斂網絡，將流量切換到其他的鏈路上，避免了流量的丟失，保證了骨干網絡的高效性、可靠性和冗余性。由于骨干網絡通過路由進行轉發(fā)，所以要關閉交換機的生成樹功能，避免出現(xiàn)端口被阻塞無法建立OSPF鄰居狀態(tài)的情況發(fā)生。在這里以核心交換機LSW9作為基本的OSPF配置舉例，以圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s15基本的OSPF配置舉例在公司的骨干網絡配置OSPF時，我們將設備接口改為P2P的OSPF網絡類型來建立各設備的OSPF鄰居關系，而不采用Broadcast的OSPF網絡類型進行建立，因為在Broadcast網絡類型下，OSPF將會選舉DR/BDR，而在P2P網絡類型下并不會選舉DR/BDR，很明顯的看出P2P網絡類型的收斂速度要優(yōu)于Broadcast網絡類型。要注意的是，骨干網絡所有設備都要將OSPF網絡類型修改為P2P，如果存在部分設備接口是P2P網絡類型，部分設備接口是Broadcast接口類型的情況，雖然能建立關系，但不會交換LSA，導致無法計算OSPF路由。在這里以核心交換機LSW9作為OSPF網絡類型修改配置舉例，以圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s16OSPF網絡類型修改配置舉例交換機LSW7和LSW8作為匯聚網絡中的匯聚交換機，為了使骨干網絡擁有各部門的路由，匯聚交換機將各部門的路由發(fā)布到OSPF中。匯聚交換機下聯(lián)的交換機并不需要建立OSPF鄰居，但仍然會收到OSPF的hello報文，這很明顯是不必要的，而且也存在一定的危險，如果公司內網存在部分惡意客戶端通過偽造OSPFhello報文試圖建立OSPF鄰居關系，導致OSPF網絡多次收斂，這將會使骨干網絡變得不穩(wěn)定，造成嚴重的業(yè)務影響，所以，在匯聚交換機LSW7和LSW8中，對部分接口設置為silent-interface（OSPF靜默接口）。在這里以匯聚交換機LSW7作為配置舉例，以圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s17OSPF配置靜默接口配置舉例公司雙出口網關網絡技術實施應用防火墻雙機熱備一般而言，我們都會使用防火墻作為企業(yè)園區(qū)網絡的出口網關設備，通過防火墻訪問外網。當防火墻設備出現(xiàn)了故障，那么訪問外網的業(yè)務都會全部中斷，如果此時就僅僅只有一臺防火墻作為企業(yè)網絡的出口網關設備，無論該防火墻性能有多么的強勁，只要出現(xiàn)故障就會出現(xiàn)網絡出口網絡的單點故障，造成公司網絡的業(yè)務中斷，所以，在這里我們?yōu)榱吮ＷC網絡的可靠性和設備的冗余性，部署兩臺防火墻作為公司網絡的出口網絡設備。由于防火墻是基于連接狀態(tài)的，它會對于一條流量的首包進行完整的檢測，并建立會話來記錄報文的狀態(tài)信息（包括：報文源IP、源端口、目的IP、目的端口、協(xié)議）。而這條流量的后續(xù)報文只有匹配會話才能通過防火墻且完成報文轉發(fā)，如果后續(xù)報恩不匹配會話則被防火墻丟棄。當防火墻FW1出現(xiàn)故障，業(yè)務流量都會被引導到FW2，但由于FW2并沒有FW1的會話，導致業(yè)務報文無法找到會話而被FW2丟棄，導致公司業(yè)務中斷。所以，我們采用防火墻的主備備份方式的雙機熱備來解決上述的問題，通過雙機熱備技術，防火墻之間的會話都是相互備份的，當一臺防火墻發(fā)生了故障，后續(xù)的業(yè)務流量也能通過備防火墻進行轉發(fā)，避免公司網絡業(yè)務的中斷。雙出口網關與防火墻雙機熱備的實施為了避免運營商出現(xiàn)光纖故障、上聯(lián)機房設備故障等問題導致公司無法訪問互聯(lián)網所造成的工作和經濟上的影響，佛山傳媒公司分別向中國聯(lián)通和中國電信租用了兩條線路，且都各自申請了3個公網IP地址（聯(lián)通：-3，電信：-3）。由于運營商并不會給出兩條鏈路讓公司網絡接入到互聯(lián)網，所以在公司雙出口網關網絡中，我們使用兩臺傻瓜交換機分別對接電信和聯(lián)通的運營商設備，然后從傻瓜交換機上引出兩條物理鏈路分別下接到兩臺防火墻的上行接口上，然后開始對公司雙出口網關網絡進行實施：在防火墻上建立心跳線的安全區(qū)域，在這里將心跳線安全區(qū)域的安全等級設為75，并且放入防火墻的上行接口，配置圖如下：圖STYLEREF1\s4SEQ圖\*ARABIC\s18建立心跳線的安全區(qū)域在防火墻上配置VRRP組，其中FW1作為主防火墻，配置為Active：圖STYLEREF1\s4SEQ圖\*ARABIC\s19防火墻上配置VRRP組在FW1防火墻上配置心跳接口,并啟用雙機熱備，以FW1為例：圖STYLEREF1\s4SEQ圖\*ARABIC\s110防火墻上配置心跳接口,并啟用雙機熱備在FW2防火墻上按照以上步驟進行配置。缺省路由配合IP-LINK鏈路檢測我們通過在公司的兩臺防火墻上寫兩條通往不同運營商的缺省路由來訪問互聯(lián)網。如果某個運營商的線路發(fā)生了故障，缺省路由并不會知道運營商線路發(fā)生了故障，防火墻仍然會把部分業(yè)務流量送往故障的運營商線路，導致部分業(yè)務流量丟失，為了避免出現(xiàn)這樣的問題，我們通過將缺省路由綁定IP-LINK技術來檢測運營商線路是否出現(xiàn)了故障，一旦檢測到線路故障，那么被綁定的缺省路由將會失效，業(yè)務流量也會被切換到另外一條缺省路由上，保證公司網絡業(yè)務的可靠性。在這里以防火墻FW1作為配置舉例，用圖片來展示：使能IP-LINK功能，且配置IP-LINK組，使用ICMP檢測運營商線路：圖STYLEREF1\s4SEQ圖\*ARABIC\s111使能IP-LINK功能，且配置IP-LINK組將缺省路由綁定IP-LINK組圖STYLEREF1\s4SEQ圖\*ARABIC\s112將缺省路由綁定IP-LINK組防火墻安全策略與NAT策略安全策略在防火墻轉發(fā)報文的過程中扮演著重要角色，只有規(guī)則允許通過，報文才能在安全區(qū)域之間流動，否則報文將被丟棄。在佛山傳媒公司網絡的防火墻設備上，我們需要配置安全策略來匹配公司的業(yè)務流量，實現(xiàn)公司網絡的內外網的互訪，另外，公司與各分部通過搭建IPSecVPN來實現(xiàn)公司整體業(yè)務的互聯(lián)互通，在防火墻上要針對公司需求配置IPSecVPN的安全策略。在這里以防火墻FW1進行配置舉例，由于開啟了雙機熱備，所以主防火墻FW1的配置會備份到備防火墻FW2上：配置各部門訪問互聯(lián)網的安全策略，其中針對電信和聯(lián)通運營商設置了兩個安全區(qū)域，根據(jù)這兩個安全區(qū)域設置了兩個安全區(qū)域，分別是trust-to-isp1-staff和trust-to-isp2-staff，用圖片進行舉例：圖STYLEREF1\s4SEQ圖\*ARABIC\s113部分訪問互聯(lián)網的安全策略配置允許總部到分部建立IPSecVPN隧道的安全策略，南海分部使用公網IP：來建立VPN隧道，總部則使用公網IP：來建立VPN隧道，用圖片進行舉例（在這里只展示總部到南海分部的配置）：圖STYLEREF1\s4SEQ圖\*ARABIC\s114配置允許總部到分部建立IPSecVPN隧道的安全策略配置允許總部各部門通過IPSecVPN隧道訪問分部的安全策略，總部允許公司行政部、銷售部、財政部、IT部和綜合部訪問南海分部的綜合部，南海分部綜合部的網段為/22，用圖片進行舉例：圖STYLEREF1\s4SEQ圖\*ARABIC\s115配置允許總部各部門通過IPSecVPN隧道訪問分部的安全策略配置允許分部通過IPSecVPN隧道訪問總部業(yè)務的安全策略，用圖片進行舉例：圖STYLEREF1\s4SEQ圖\*ARABIC\s116配置允許分部通過IPSecVPN隧道訪問總部業(yè)務的安全策略佛山傳媒公司一共有818名員工，但向運營商申請的公網地址就只有6個，為了保證公司各部門的內網用戶都能訪問互聯(lián)網，需要在防火墻上配置NAT功能，將內網IP地址轉換為公網IP地址，另外，公司通過與香港服務器建立L2TPVPN隧道來訪問國際業(yè)務網站，需要在LAC（防火墻作為LAC）上配置Easy-IP方式的NAT技術，這里的配置在4.5公司總部與香港服務器的L2TPVPN搭建章節(jié)中展示。在配置NAT功能的時候，還要考慮到IPSecVPN的問題，在這里的配置在4.4公司總部與分部的IPSecVPN搭建章節(jié)中介紹。在這里以防火墻FW1上各部門內網用戶轉換為公網IP的配置進行舉例，用圖片展示：配置NAT地址池，采用PAT方式將內網地址轉換為公網地址：圖STYLEREF1\s4SEQ圖\*ARABIC\s117配置NAT地址池，采用PAT方式配置NAT策略，調用NAT地址池：圖STYLEREF1\s4SEQ圖\*ARABIC\s118配置NAT策略公司總部與分部的主備IPSecVPN搭建佛山傳媒公司一共有四個分部，分別是南海分部、順德分部、三水分部和高明分部，為了使總部與各分部之間構建一個互聯(lián)互通的業(yè)務網絡，且要保證業(yè)務數(shù)據(jù)的安全性，所以在這里采用IPSecVPN技術來搭建一個總部與各分部之間的業(yè)務資源VPN網絡。另外，為了更好地配合防火墻的雙機熱備技術，我們會在防火墻上搭建主備模式的IPSecVPN。IPSec（IPSecurity）不是一個單獨的協(xié)議，也可以說是一個框架，包括AH（認證頭）協(xié)議和ESP（封裝有效載荷）協(xié)議、IKE（密鑰管理協(xié)議）等協(xié)議，以及用于用戶身份認證和數(shù)據(jù)加密的一系列算法。IPSec協(xié)議族可在網絡層通過數(shù)據(jù)源認證、數(shù)據(jù)加密、數(shù)據(jù)完整性和抗重放功能來保證雙方Internet上傳輸數(shù)據(jù)的安全性。在這里以總部防火墻FW1和南海分部防火墻FW5進行配置舉例（南海分部防火墻要進行鏡像配置），由于開啟了雙機熱備，所以主防火墻FW1的配置會備份到備防火墻FW2上：在防火墻上配置ACL，定義需要保護的數(shù)據(jù)流量：圖STYLEREF1\s4SEQ圖\*ARABIC\s119總部FW1防火墻的ACL配置圖STYLEREF1\s4SEQ圖\*ARABIC\s120南海分部FW5防火墻的ACL配置在防火墻上創(chuàng)建IPSec安全提議fscm，這里僅展示總部防火墻配置，南海分部防火墻配置只要保持一致即可：圖STYLEREF1\s4SEQ圖\*ARABIC\s121總部FW1防火墻的IPSec安全提議配置在防火墻上創(chuàng)建IKE安全提議10，這里僅展示總部防火墻配置，南海分部防火墻配置只要保持一致即可：圖STYLEREF1\s4SEQ圖\*ARABIC\s122總部FW1防火墻的IKE安全提議配置在防火墻上創(chuàng)建IKE對等體，引用之前創(chuàng)建的ike安全提議10。由于總部防火墻采用策略模板方式創(chuàng)建IPSec策略，所以并不需要指定遠端分部的公網地址，而南海分部以ISAKMP方式創(chuàng)建IPSec策略，另外需要指定總部的公網地址，而不是或者，因為總部建立的是主備IPSecVPN，如果指定的不是，那么當總部主防火墻發(fā)生故障時，南海分部會與總部斷開IPSec隧道。ike安全提議采用預共享密鑰，所以總部和分部都要配置相同的密鑰：圖STYLEREF1\s4SEQ圖\*ARABIC\s123總部FW1防火墻創(chuàng)建ike對等體圖STYLEREF1\s4SEQ圖\*ARABIC\s124南海分部FW5防火墻創(chuàng)建ike對等體在防火墻上創(chuàng)建IPSec策略，引用之前創(chuàng)建的ACL、ike對等體和IPSec提議。其中總部以策略模板方式創(chuàng)建IPSec策略，南海分部以ISAKMP方式創(chuàng)建IPSec策略?？偛縿?chuàng)建完策略模板fscm后，還需要在創(chuàng)建一個IPSec策略hsb來引用策略模板：圖STYLEREF1\s4SEQ圖\*ARABIC\s125總部FW1防火墻創(chuàng)建IPSec安全策略圖STYLEREF1\s4SEQ圖\*ARABIC\s126南海分部FW5創(chuàng)建IPSec安全策略在防火墻上配置NO-NAT的NAT策略，由于IPSec安全策略引用的ACL優(yōu)先級并不優(yōu)于NAT策略，如果沒有設置針對VPN流量NO-NAT的NAT策略，那么VPN流量都會被訪問互聯(lián)網的NAT策略匹配，導致VPN業(yè)務無法通信，另外NAT策略是按順序來匹配的，所以VPN的NO-NAT策略一定要在訪問互聯(lián)網的NAT策略前面，否則VPN流量仍會匹配上互聯(lián)網的NAT策略，導致VPN業(yè)務無法通信。圖STYLEREF1\s4SEQ圖\*ARABIC\s127總部FW1防火墻上NO-NAT策略圖STYLEREF1\s4SEQ圖\*ARABIC\s128南海分部FW5防火墻上NO-NAT策略在防火墻出口上引用IPSec策略hsb。在這里僅展示南海分部FW5防火墻配置，總部同樣也在外網接口上引用IPSec策略hsb，用圖片展示：圖STYLEREF1\s4SEQ圖\*ARABIC\s129南海分部FW5防火墻在外網接口引用IPSec策略公司總部與香港服務器的L2TPVPN搭建由于某些特殊的原因，較多的國際網站在國內是無法訪問的，比如谷歌、推特、YouTube等等，部分可以訪問的網站也因訪問速度過于緩慢導致體驗極差。佛山傳媒公司在文化傳媒業(yè)界具有很高的知名度，而且旗下有眾多知名報紙雜志報刊，其中新聞類雜志報刊對國際時事的變化非常重視，要求能隨時得到最新的情報，但是公司租用的聯(lián)通和電信線路在訪問國際網站時都非常的緩慢，而且大部分都是無法訪問的，為了解決這個問題，公司向聯(lián)通運營商購買了加速服務，接入到由聯(lián)通搭建的加速網絡，實現(xiàn)暢通無阻高速訪問國際網站的需求。經過與聯(lián)通工作人員的討論后，決定在公司出口網關設備通過使用LAC自撥號模式（LAC-Auto-Initiated）與聯(lián)通運營商設備（LNS）建立L2TPVPN隧道，然后在公司防火墻上寫訪問國際網站的靜態(tài)路由指向Virtual-Template1接口。在防火墻使用LAC自撥號模式（LAC-Auto-Initiated）模式L2TP，與聯(lián)通LNS設備建立L2TP隧道，創(chuàng)建L2TP會話，在這里公司內網終端設備并不需要通過撥號來建立L2TP隧道，接下來將以FW1防火墻作為LAC的配置舉例（不需要配置AAA認證），而聯(lián)通LNS設備配置（需要配置AAA認證）不做介紹。全局使能L2TP，并創(chuàng)建一個L2TP組，配置用于向聯(lián)通LNS設備發(fā)起L2TP撥號的賬號和密碼（由聯(lián)通提供），其中要指定隧道對端設備地址（聯(lián)通LNS）圖STYLEREF1\s4SEQ圖\*ARABIC\s130在FW1防火墻上創(chuàng)建L2TP組配置Virtual-Template1接口，配置虛擬的PPP用戶的賬號和密碼，這里要與L2TP組的賬號和密碼一致。指定采用由聯(lián)通LNS為Virtual-Template1接口分配IP地址，配置LAC向LNS發(fā)起撥號功能且引用上面創(chuàng)建的L2TP組。圖STYLEREF1\s4SEQ圖\*ARABIC\s131在FW1防火墻上配置Virtual-Template1接口因為聯(lián)通LNS設備只認他分配的地址，所以需要在防火墻上配置Easy-IP方式的NAT策略圖STYLEREF1\s4SEQ圖\*ARABIC\s132在FW1防火墻上配置Easy-IP方式的NAT策略在防火墻上指向Virtual-Template1接口的靜態(tài)路由圖STYLEREF1\s4SEQ圖\*ARABIC\s133指向Virtual-Template1接口的靜態(tài)路由本章總結在佛山傳媒公司網絡設計中，我們采用了三層網絡結構對公司網絡拓撲進行設計，將VLAN、MSTP、VRRP、鏈路聚合、DHCP、OSPF、防火墻雙機熱備、IP-LINK鏈路檢測、VGMP、NAT、防火墻安全策略、防火墻NAT策略、ACL、IPSecVPN、L2TPVPN等技術集成在公司網絡設計中，保證公司網絡的穩(wěn)定運行，為公司各部門工作人員提供了高效可靠的工作網絡。網絡測試公司匯聚網絡測試MSTP+VRRP的應用測試在接入交換機LSW1查看MSTP實例10和實例20的端口狀態(tài)，其中在實例10中，G0/0/2的端口被阻塞，在實例20中，G0/0/1的端口被阻塞，符合設計要求。圖STYLEREF1\s5SEQ圖\*ARABIC\s11各實例下的端口狀態(tài)在匯聚交換機LSW7查看VRRP各進程狀態(tài)信息，LSW7作為行政部、銷售部、財政部、IT部的主交換機，在VLAN10、20、30和40都是Master狀態(tài)，而LSW7作為綜合部的備交換機，在VLAN72是Backup狀態(tài)，符合設計要求。圖STYLEREF1\s5SEQ圖\*ARABIC\s12VRRP狀態(tài)在接入交換機LSW1關閉G0/0/1端口，模擬鏈路故障，以此來測試VRRP主備交換機切換。關閉G0/0/1端口后，匯聚交換機LSW7檢測到鏈路故障，出現(xiàn)了大量的日志，日志顯示將VRRP10、20、30、40的進程切換到Backup狀態(tài)圖STYLEREF1\s5SEQ圖\*ARABIC\s13日志提示在LSW7查看交換機VRRP狀態(tài)，可以看到LSW7對行政部、銷售部、財政部、IT部都已經切換到Backup狀態(tài)。圖STYLEREF1\s5SEQ圖\*ARABIC\s14檢測到鏈路故障后VRRP狀態(tài)切換DHCP的應用測試在這里以行政部的客戶端作為舉例，測試是否能從DHCP服務器獲取到地址。將行政部的客戶端設置為通過DHCP獲取地址圖STYLEREF1\s5SEQ圖\*ARABIC\s15設置通過DHCP獲取地址查看客戶端是否從DHCP服務器獲取到地址圖STYLEREF1\s5SEQ圖\*ARABIC\s16成功獲取到IP地址公司雙出口網關網絡測試公司內網訪問互聯(lián)網測試防火墻在OSPF進程中引入了訪問互聯(lián)網的缺省路由，從匯聚交換機LSW7的路由可以看到已經學習到了這條路由，圖STYLEREF1\s5SEQ圖\*ARABIC\s17匯聚交換機LSW7學習到防火墻下發(fā)的缺省路由在行政部的客戶端進行訪問外網的ping測試，成功圖STYLEREF1\s5SEQ圖\*ARABIC\s18訪問外網的ping測試防火墻雙機熱備的應用測試防火墻FW1在公司的雙出口網關網絡中作為主防火墻，而FW2則作為備防火墻，通過displayhrpstate命令查看FW1的HRP狀態(tài)，在圖片中顯示，F(xiàn)W1目前為active（主）狀態(tài)，而鄰居防火墻FW2處于standby（備）狀態(tài)。圖STYLEREF1\s5SEQ圖\*ARABIC\s19查看防火墻hrp狀態(tài)在防火墻FW1上模擬設備故障，將FW1關閉后，備防火墻FW2出現(xiàn)了HRP狀態(tài)切換日志，在這里我們可以看出備防火墻FW2從standby狀態(tài)切換到master狀態(tài)。缺省路由配合IP-LINK鏈路檢測測試公司租用了聯(lián)通和電信的線路，在防火墻上寫了兩條缺省路由分別指向了聯(lián)通和電信的設備，并且綁定IP-LINK鏈路檢測技術來檢測運營商線路是否正常工作。在這里模擬當聯(lián)通線路發(fā)生了故障，當IP-LINK檢測到線路故障，會將自己綁定的缺省路由去掉，公司訪問互聯(lián)網的流量切換到電信線路。在主防火墻FW1上我們可以看到由兩條綁定了IP-LINK組的缺省路由圖STYLEREF1\s5SEQ圖\*ARABIC\s110防火墻存在兩條缺省路由當聯(lián)通線路發(fā)生了故障后，IP-LINK組1會發(fā)現(xiàn)無法到達聯(lián)通線路測試地址，會產生刪除去往聯(lián)通線路的缺省路由的日志，在日志我們可以看到ChangType=Delete。圖STYLEREF1\s5SEQ圖\*ARABIC\s111IP-LINK刪除日志查看防火墻路由表，只剩下去往電信線路的缺省路由。圖STYLEREF1\s5SEQ圖\*ARABIC\s112防火墻只剩下通往電信的默認路由總部與分部的主備IPSecVPN通信測試佛山傳媒公司總部采用了策略模板方式來搭建IPSecVPN，只有分部主動發(fā)起連接才會建立總部與分部的IPSecVPN隧道，在這里我們使用南海分部的內網客戶端去訪問總部行政部的客戶端，采用ping的方式去ping總部行政部客戶端，通過測試，成功ping通。圖STYLEREF1\s5SEQ圖\*ARABIC\s113南海分部客戶