《基于EVE-NG模拟平台的高可靠性企业网络设计与部署_本科毕业设计(论文).doc》由会员分享,可在线阅读,更多相关《基于EVE-NG模拟平台的高可靠性企业网络设计与部署_本科毕业设计(论文).doc(44页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、摘 要为了更好的解决随着网络技术与网络设备的发展与更新,导致企业网络之前的设计与部署不足以支持当前企业网络的可靠性,通过分析现阶段主流企业网络拓扑的规划及其采用的相关技术,提出了当前主流保障企业网络高可靠性的网络部署方案。应用了链路聚合、MSTP、HSRP、双机热备以及双出口配置等技术,完成了企业网络高可靠性的设计。在EVE-NG的仿真模拟平台下进行了实验,结果表明:该方案能够有效解决当前企业网络在可靠性上的部署中出现的问题,具有更好的网络扩容、网络硬件设备冗余、协议冗余和流量分担的优势,因此更加全面的提升了企业网络的可扩展性和可靠性。关键词:网络部署;EVE-NG;高可靠性;冗余;负载均衡A
2、bstractIn order to better solve the development and update of network technology and network equipment, the previous design and deployment of the enterprise network is not enough to support the reliability of the current enterprise network. By analyzing the current mainstream network topology planni
3、ng and related adoption Technology, put forward the current mainstream network deployment plan to ensure high reliability of the enterprise network. The technologies of link aggregation, MSTP, HSRP, dual-machine hot backup and dual-outlet configuration have been applied to complete the design of hig
4、h reliability of the enterprise network. Experiments were conducted under the EVE-NG simulation platform. The results show that this solution can effectively solve the problems in the current enterprise network deployment in reliability, with better network expansion, network hardware equipment redu
5、ndancy, and protocol redundancy Because of the advantages of sharing traffic and traffic, the scalability and reliability of the enterprise network are more comprehensively improved.Key words: Network Deployment;EVE-NG;High Reliability;Redundancy;Load Balancing目 录第一章绪论11.1 项目研究背景及研究意义11.2 项目研究中可靠性概述
6、21.3 项目研究中可靠性现状31.4 项目研究中可靠性影响因素31.5 论文结构安排4第二章 相关技术概述62.1 EVE-NG模拟平台62.2 VLAN划分62.3 链路聚合72.4 MSTP协议技术72.5 HSRP协议技术82.6 EIGRP协议技术92.7 NAT协议技术92.8 IPSec VPN技术102.9 防火墙双机热备技术10第三章 系统需求分析123.1 企业网络高可靠性的典型拓扑设计123.1.1 企业网络接入层的高可靠性典型拓扑设计123.1.2 企业网络汇聚层的高可靠性典型拓扑设计133.1.3 企业网络核心层的高可靠性典型拓扑设计143.2 企业网络高可靠性硬件的
7、选择143.3 企业网络高可靠性技术的选择15第四章 设计与实现164.1 划分VLAN及配置网关164.2 链路聚合194.3 MSTP214.4 HSRP214.5 EIGRP244.6 NAT254.7 防火墙双机热备274.8 IPSec VPN28第五章 系统测试305.1 链路聚合测试305.2 MSTP测试305.3 HSRP测试315.4 EIGRP测试325.5 NAT测试325.6 防火墙双出口测试335.7 双机热备测试355.8 IPSec VPN测试37第六章 总结与展望38参 考 文 献39致 谢40广东东软学院本科生毕业设计(论文)第一章 绪论1.1 项目研究背景
8、及研究意义随着网络设备及网络空间技术的日益进步,在互联网技术给企业带来巨大的便利以及机遇的同时,对于企业网络来说,其高可靠性带来的作用逐渐变得不可忽视。企业网络服务的持续增加,为如何让企业网络保持较高的可靠性、可持续性和冗余性提出了一个非常值得探讨的问题。发达的路由交换及空间技术方便了企业内部网络的数据与信息资源的快速流通;提升了企业业务的处理速率;提供了异地用户的远程数据资源访问,便利了企业与企业之间的合作。企业利用路由交换技术在内部搭建用以整合企业内部信息与资源,使企业员工可以短时间内访问企业内部文件及信息,并且方便了在企业之间的通讯的企业内部网络。同时企业不同部门之间通讯的联络、业务的交
9、替也更加的高效。如果在一个企业网络中,其扮演的角色突然由一个基础通信结构,就好比作十分常见及平凡大众角色变成一名负责保障该影片收视率的核心演员。即群众服务系统结构,其之前根据陈旧的技术部署,只有单一核心的企业网络系统,大概率会产生因设备停止运行和链路断开等问题而导致的企业网络中止,这样就会给企业的基础通信以及办事效率带来重大的危机,所以具有高可持续性和可靠性的企业网络规划部署正逐渐成为了当前的主流。在现如今计算机科学与技术快速发展的高科技时代,互联网技术和网络设备的发展给企业的网络带来较高的提升进而提高企业的可靠性和资源利用管理水平,保证了网络的可用性,提高企业的核心竞争力,构建和升级高可靠性
10、企业的网络设计与部署具有决定性作用。除此之外,一个高可靠性的企业网络设计与部署是对企业信息以及正常运作的基本保障,它可以明确企业信息系统的当前可靠现状、对企业的网络规划进行高可靠性设计以及部署。在之后的作用里, 它使企业的操作平台和当前管理条约轨制的标准被更好的让企业正确的认识,对自身网络水平有了更高的了解。从而对企业网络硬件设备和技术的选择达到了冗余及高负载的能力,为网络扩展和网络流量共享提供了处理手段。这实现了企业网络的高可持续性和高可靠性。因此,网络高可靠性已成为目前网络构建过程中必须考虑的性能指标,为了保证网络的健壮、高效和稳定可靠。企业网络规划拓扑中的接入层、汇聚层、核心层、防火墙和
11、服务器应采用具有较高可靠性和冗余性的设计及选择。极大的保障了企业网络内网与外网之间的连通性、安全性和可持续性。这样就需要企业在实际条件下采用具体的措施,例如在机房采用设备冗余、磁盘存储冗余、处理器冗余、网卡冗余和电源冗余的措施。与链路或协议技术互相搭配、互为补充,例如在链路上采用链路聚合、协议上选择MSTP、HSRP等。保证了企业网络系统平台的管理水平和限制条件,为此提供了高可持续性,从而完成企业网络的高可靠性。1.2 项目研究中可靠性概述企业网络可靠性指网络设备或产品在限定的条件内、在限定的时间内实现其所需完成的功能的能力。其主要是通过在网络基础结构中安装网络设备,配置网络协议和增加通信介质
12、以此备用或替代实例。以保障当网络设备或路径出现故障和不可用时网络的可用并正常运行,提供了网络故障转移的方法。而网络可靠性可细分为五个层次的可靠性:硬件层次的可靠性、链路层次的可靠性、协议层次的可靠性、数据层次的可靠性以及服务器层次的可靠性。例如硬件层次的可靠性通常是在网络基础结构中实现,其通过提供网络通信的冗余源。将它用作备用机制,可在当计划外的网络中断时将网络操作快速交换到冗余基础架构上;链路层次的可靠性则是通过采用冗余来设计实现,即采用链路聚合方式,将两条链路捆绑一起实现一主一备,达到负载均衡及冗余;协议层次的可靠性是通过配置一种或多种路由交换协议以保障网络核心应用系统快速切换,避免网络中
13、出现单点故障,从而达到可靠冗余;数据层次的可靠性则是在数据库或数据存储技术内创建的条件,将其中同一数据段保存在两个单独的位置上;服务器层次的可靠性则是通过在计算环境中备份,达到故障转移或冗余服务器的数量和强度。以此提供其他服务器的能力,这些服务器可以在运行时部署以用于备份,负载平衡或出于维护目的而暂时停止主服务器。而衡量网络可靠性的标准分为三个方面:MTTR、MTBF和MTTF。MTTR(Mean Time To Repair),即系统平均维修时间,是指当一个网络发生故障时修复其系统并将其恢复到完整功能所需的时间,其包括维修时间,测试周期以及恢复到正常运行状态的时间。其最重要的一点是,它是衡量
14、当前服务可用性的准则。MTBF(Mean Time Between Failure),即平均故障间隔时间,是指一个设备或产品在正常运行期间从上一个故障到下一个故障之间的平均时间,它是衡量整个网络及系统可靠性和可用性的重要指标。同时它反映了设备的时间质量,当MTBF值越高,系统在发生故障之前可能会运行的时间越长。MTTF(Mean Time To Failure),即平均无故障时间,是指一个设备或产品在平均时间内将持续运行直到故障的时间长度,它是用于预计整个网络或系统可运行无故障时间的重要指标。同时它反映了设备的寿命均值,当一个系统可靠性越高,其MTTF值则越高,说明设备及产品的平均无故障时间占
15、用比例更多。1.3 项目研究中可靠性现状随着互联网的飞速发展,网络给企业以及人民带来了越来越多的便利,但在带来便利的同时飞速的发展也意味着技术的不断更新,目前企业网络的技术落后、设备更迭缓慢而导致企业网络无法保障其可靠的运行和缺陷的不断暴露;大多数企业的网络安全防范意识跟不上发展的步伐而落后,这直接导致的问题是无法规范的使用软硬件甚至于在操作过程中遗留下漏洞而引发系统和网络的缺陷。由此可得,当前我国企业网络可靠性的现状主要有以下几点:(1)企业网络思想传统:近几年网络的快速发展,但企业网络思想仍然停留在几年前,对网络系统的设计及规划仍按照老方法、老思想进行部署,没有与时俱进,虽然这对网络可靠性
16、暂时没有影响,但随着其他企业网络思想的前进,企业网络可靠性在同行相比中优势渐渐不明显,而缺点被慢慢放大,企业则会被逐渐淘汰。(2)软硬件设备技术的局限:企业在规划网络时,未充分考虑到网络及设备后续的发展及升级,采用一些软硬件较为局限的设备及技术。随着企业后续的发展,而软硬件设备技术升级的局限让所支持的网络不足以保证当前企业的规模,让企业网络可靠性大打折扣,导致企业需花费大量资金重新部署网络,消耗大量人力物力。(3)企业网络管理意识的薄弱:当前企业对于员工行为的管理仍存在一些漏洞和部分不足。在权限的分配往往过多,因此员工可能会越权去做对企业有危害的事,而企业网络管理却无法对其员工越权行为进行监测
17、及应对,给企业带来巨大的经济损失。同时对员工的一些不规范的使用及操作行为无良好的管理,因而在操作过程中留下漏洞给企业网络可靠性带来后患。1.4 项目研究中可靠性影响因素从衡量网络可靠性标准的三大方面可看出,如何实现企业网络的高可靠性,需要从平均故障间隔时间、平均无故障时间的增加及系统平均维修时间的降低这几个措施出发。目前,引起企业网络通信问题的原因有:硬件设施停止或软件出错,链路之间堵塞或断开、企业人员的不规范使用和网络安全的防范不到位等。根据这些原因,企业应该采取有效的手段进行防范,保障企业网络的通信,从而增强企业网络的冗余性和可靠性。但是,在一些非人为的情况下,企业网络通信出现问题是无法防
18、止的,因此在企业网络规划及部署中,如何迅速转移通信能力并修复问题成为了其重中之重的考虑,同时也为企业网络的高可靠性打下良好的基础。在企业网络拓扑的规划及选择中,确保企业网络具有可持续性和可靠性是其保障企业网络的基础。企业网络拓扑高可靠性的主旨思路是,在企业网络接入层、汇聚层和核心层的拓扑中采用高可靠性的硬件设备和协议技术,保证企业网络具有较高的冗余,并能迅速转移修复,为企业后续升级提供高性价比和可扩展性。因此,对企业网络可靠性产生影响的因素分别有以下几个:(1)拓扑结构:企业计算机网络的连接点之间是基于拓扑结构来构建的。在企业网络规划中,拓扑结构是决定企业网络质量的基础,每个企业网络规划都会用
19、到它。由此可以看出,一个拓扑结构能否确保其企业网络安全可靠的运行是衡量该拓扑结构的关键。(2)网络管理及控制:大多数情况下,企业计算机的网络是由各种运维开发人员与运营商共同协调的。设施的组合是根据实际情况出发并进行配置的,网络设施通常具有非常复杂的内部结构和许多特性。与此同时,大部分设施的规模都是巨大的。进行严格而精确的网络管理和控制是企业网络运行过程中非常关键的步骤之一,这极大的提高了传输过程中可靠性,保障了通讯的连接,当出现错误时,能以最小化的程度将错误风险减少到可承受范围内。并在故障发生时,可以在一定时间内快速的进行排查,以确保企业网络的可靠性。(3)网络传输设备:在整个企业网络系统中,
20、设备在信息的传输和接收中起着一个至关重要的作用。不仅如此,这也是确保所有企业计算机都可以进行有效连接的先决条件。传输设备会直接影响企业计算机网络的可靠性,并且通常这些问题一般很少会出现,一般是不会发生的。如果出现问题,将会引起不好的反应到计算机。(4)企业计算机网络设备:对于企业用户有直接相关的设备就是企业计算机网络设备,而且它们也是连接计算机的重要硬件,并且在计算机在网络运行中是必不可缺的组成之一。在计算机设备中,当用户可以直接访问的设备,其往往具有强的互换性。因此,这种设备应具有着较高的可靠性。随着技术的不断更新和稳定,各种设备也正在逐步进行优化。1.5 论文结构安排本文主要分析当前企业网
21、络可靠性的现状及影响因素,并根据当前主流企业网络高可靠性的设计与规划,解决网络单点故障以及链路不可靠的问题。设计得出企业网络高可靠性应具备的要素。各章节的主要内容如下:第1章首先对企业网络可靠性的概念进行概述,并分析当前企业网络可靠性的现状并根据企业网络可靠性的影响因素进行了解与分析;第2章对企业网络高可靠性进行设计及分析,通过分析当前企业网络接入层、汇聚层和核心层的高可靠性典型拓扑设计,选择当前主流企业网络高可靠性拓扑。同时分析企业网络高可靠性在硬件和链路上的选择,得出该采用何种协议或技术,并分析其在原理及在企业网络中的作用;第3章对选择好的企业网络高可靠性的拓扑及协议技术进行部署,同时确保
22、其拓扑、协议和技术运行并生效;第4章对部署完成的设备及协议技术进行测试,确保企业网络具有较高的可靠性、可用性以及冗余性;第5章对整个高可靠性的企业网络设计与部署进行总结,同时说明当前企业网络高可靠性的设计与部署存在的不足之处以及后续解决并升级发展的想法。第二章 相关技术概述2.1 EVE-NG模拟平台EVE-NG(Emulated Virtual Environment Next Generation),即下一代模拟虚拟环境仿真平台。EVE-NG不仅可以模拟网络设备和测试任何类型的安全漏洞及系统工程,也可以运行一切虚拟机。理论上,如果虚拟机的虚拟磁盘格式能转换为qcow2,其虚拟机都可以在EV
23、E-NG上运行。方便团队或个人研究及了解各种技术和测试新技术,为其在投入生产之前进行更改,也可以用于重建网络,并通过重新创建网络问题来进行故障排除,例如用Wireshark检查数据包。不仅如此,EVE-NG还采用了无客户端技术,因此用户无需安装Telnet或VNC软件即可使用浏览器中的HTML5控制台组件进行配置,极大地简化了模拟器的可用性、可重用性、可管理性、互联性、分发性,从而简化了理解和共享拓扑、工作、思想、概念或简单地做实验的能力。减少了用户设置所需内容学习的成本和时间,同时更加精简和降低了设备之前配置及修复问题的难度。2.2 VLAN划分VLAN(Virtual Local Area
24、 Network),即虚拟局域网。在企业中,其大型网络容易遭受到广播风暴以及一些基于广播技术的攻击。因此,VLAN划分为网络创建了单独的广播域,从而无需创建完全独立的硬件LAN来克服大型广播域的问题。让每个VLAN充当独立的广播域,有助于提高网络的安全性,可靠性和效率。同时可以采用多种方式来利用VLAN来满足企业的需求,比如通过VLAN将用户访问限制在某些网段,然后仅允许授权用户访问具有高度敏感信息的网络、或者是将财务员工与人力资源员工分开。这样不仅可以有效分隔用户流量,提高安全性和可用性,还更有效的利用了现有的带宽和上行链路。除了这些作用以外,企业可以根据VLAN的不同为网络中的每个VLAN
25、安装不同的安全软件和防火墙,从而减少威胁和风险并保护敏感数据。如果当一个VLAN面临漏洞风险时,这样做有助于防止整个系统受到损害。除此以外,VLAN不仅易于网络管理,还为管理人员和用户提供了灵活性,使处于不同位置相互分散的员工和设备可以轻松地与他人之间互相连接,也为将来的业务增长做好准备。因此,VLAN的划分对企业网络的高可靠性、可扩展性具有非常高的保障。2.3 链路聚合在链路中,有线连接往往是最高效的连接,其可以不受无线电波的干扰,始终保持安全的有效的连接。因此对于一般的家庭网络中,单条有线连接以满足其日常使用。然而在企业中,一条有线连接往往是不够用的,如果当这条链路断开或者流量突然增加,而
26、且对于企业网络来说,流量大是家庭便饭,因此出现网络延迟,甚至严重到出现数据包丢失。这对于一个企业来说,这后果是灾难级的。此时,链路聚合给企业带来了非常多的好处。其可以增加带宽,提升吞吐量,让聚合的物理链路比每个单独的链路提供更高的带宽,并在发生故障时提供适度的降级,将流量动态透明地重新分配给其他物理链路之一,自动平衡所有其余链路上的流量,提高链路的可用性和可靠性。同时,它能更好的利用物理资源,可以跨物理链路平衡流量,通过负载均衡所有可用链路上的流量来提供网络冗余。不仅如此,其对于企业的成本效益和可扩展性非常的友好,当企业需要升级时,物理网络升级的成本可能很高,尤其是在需要重新铺设电缆的情况下。
27、而链路聚合无需使用新设备即可增加带宽。2.4 MSTP协议技术MSTP(Multiple Spanning Tree Protocol),即多生成树协议。在一个企业网络规划中,由于采用三角形拓扑结构,其二层链路之间会出现环路;同时,在企业网络规划及部署时,硬件之间的链路通常采用链路聚合方式,所以往往需要两条及以上的链路来搭载,实现链路上的冗余。但这样做的话会导致企业网络链路中会不可避免的出现环路。环路会产生广播风暴,最终导致整个网络资源被耗尽,网络瘫痪不可用。环路还会引起MAC地址表震荡导致MAC地址表项被破坏。因此,使用生成树协议是必不可缺的,那么该使用STP,RSTP和MSTP中哪一种成为
28、了问题。我们可以从MSTP产生的背景可以得出: 生成树协议和快速生成树协议都是负责识别LAN网络中的链路并关闭冗余链路,从而防止可能出现的网络环路。它们都提供了一种通过阻塞以太网网络中的链路来防止环路的方法。如果活动链路出现阻塞或断开时,可以将被阻塞的链路投入使用。为此,运行该协议的所有企业网络交换机设备都会在它们之间发送接收BPDU信息,以商定根网桥。一旦它们选择好根网桥后,每个交换机都必须确定其哪些端口将与根端口通信。当有多个链路连接到根网桥,则将其中一个选为转发端口即指定端口,而其他链路被阻止。但是它们两个协议都拥有一个欠缺,即从一个节点到另一节点的网络中可能存在许多物理或等价的多条路径
29、,所有流量仍将沿生成树定义的一条路径流动。这样做的好处是可以避免流量循环,但是要付出一定的代价。将流量限制为该唯一路径意味着阻止替代路径,有时甚至更直接的路径。这意味着企业无法充分利用潜在的网络容量。说明可以将多个VLAN同时用于单独的生成树中,导致任何给定VLAN中的流量都无法使用所有可用的网络容量。这在过去是可以接受的,但是随着企业网络技术的日益进步发展,其已逐渐不太适合企业网络的部署。因此如何革除STP和RSTP的弊端,其定义了一个新的标准,即MSTP协议。其原理是每个VLAN都有对应的生成树实例,这样就会产生对照表,避免每个VLAN单独使用在同一生成树上。这样联系好的多实例就能实现对业
30、务流量和用户流量的隔离,使企业网络流量能进行快速转发,并实现多条链路上的冗余,避免之前只能使用单条链路,做到了负载均衡。最重要的是MSTP对STP和RSTP具有支持性。为后续企业的网络升级发展提供了充足的准备。2.5 HSRP协议技术HSRP(Hot Standby Router Protocol),即热备路由器协议。在企业网络规划中,接入层与汇聚层之前通常采用多生成树协议。因此在由思科设备搭载的企业网络往往采用HSRP协议与MSTP协议之间互相搭配。HSRP是思科专有的协议,其通过提供第一跳来提供网络高可靠性的标准方法,为配置了默认网关IP地址的本地子网提供IP主机的冗余。HSRP路由IP之
31、间的通信不依赖任何单个路由器的可用性。它将具有相同组ID的成员划为是同一组的成员,组中的成员之一将被选为活动路由器,而其他成员将保留为备用路由器。虚拟IP被配置为本地子网中所有主机的默认网关,活动路由器则负责转发本地主机的流量。如果活动路由器出现故障,那么在活动路由器和备用路由器之间它们不会交换Hello消息,因此备用路由器将一直等待,直到下一计时器开始为止。当保持时间结束后,备用路由器成为活动路由器,并主动承担活动路由器的所有职责,这一过程被称之为抢占。如果原始活动路由器又回来了,那么我们可以根据它们之前配置的优先级,对比原始活动路由器与备用路由器之间的优先级,优先级高的则成为活动路由器,低
32、得则成为备用路由器。这样保证了企业接入层与汇聚层之间具有较高的冗余性和负载均衡。2.6 EIGRP协议技术EIGRP(Enhanced Interior Gateway Routing Protocol),即增强型内部网关路由协议。在企业网络的核心层与汇聚层之间往往需要其能提供快速的路由转发和极强的可持续性。因此在思科设备中,配置EIGRP协议是最优选择。该协议为距离矢量和链路状态路由协议,其依赖于扩散更新算法来计算到达网络内目标的最短路径。其原理是在组播地址中发送Hello包,当路由器同样以此方式收到邻居发送的Hello包时,双方则会建立邻居关系,并互相发送路由表,并以此类推,路由器拥有整个
33、网络的拓扑,在进行路由转发的时候,选择它们之间的最低开销值,即最短路径。支持等价负载均衡与不等价负载均衡。早期由思科开发的私有协议,但在2013年开放为共有协议。因此,在企业网络中,EIGRP可以很好地进行扩展,并以极少的网络流量提供极快的收敛时间。同时正常运行期间网络资源使用占用率非常低;只有Hello数据包在稳定的网络上传输。当拓扑发生更改时,仅传播路由表更改,而不传播整个路由表,这减少了路由协议本身在网络上的负载。由于企业网络规模往往是庞大的,拓扑的更改,其所需的收敛时间经常需要耗费较多的时间,而EIGRP协议所需的收敛时间则相对较短。在设计良好的网络中,其收敛时间接近是瞬间的。为企业网
34、络提供了高可靠性。2.7 NAT协议技术NAT(NetworkAddressTranslation),即网络地址转换。在企业中,由于其网络属于大型网络,所使用的内网地址是不能在公网中进行路由的,因为不同私网的地址是可以重复的,如果可以访问外网的话重复的私网地址就会造成通信的紊乱。所以企业局域网与外网之间的访问通信需要完成地址之间的转换,外网访问内网需要转换成内网地址,同理内网访问外网也需要转换成外网地址。因此,需要NAT技术进行地址池转换,NAT转换设备一般架设在网络出口位置也就是内部网络和外部网络的连接位置,此设备通常为出口防火墙或路由器。NAT协议技术的运作是,企业网络出口设备将专用地址分
35、配给专用某一网络内的计算机,即将多个本地专用区域使用的地址映射到公共区域。NAT协议技术主要是应用于实现内部网络的大量私有网络地址对少量共有网络地址的转换,通过大量的用户利用少量的账号转换来保障通信的基础上节约IP地址资源的作用。而根据应用场景及方式的不同,NAT可分为以下三类: 静态NAT:将公用IP地址池分配给NAT转换设备。然后可以将私有IP地址静态映射到这些公共地址中的任何一个。因为这种类型的NAT方案通常用于始终需要相同IP地址的服务器,所以叫静态NAT。即某一设备将始终分配到同一个公用IP地址,而另一设备每次则会分配不同的公用IP地址。动态NAT:同理,NAT转换设备中配置了IP地
36、址池。但其不同点在于其需要使用IP地址池才会分配,不需要时则将其返还。因此,如果计算机A需要一个公共地址,它将从池中获取一个公共地址,然后在完成后将其退回。下次同一台计算机需要IP地址时,可以为该计算机分配跟上次不同的公共地址,因为先前使用的IP地址可能已被另一台计算机使用,所以叫做动态。端口PAT:在这种类型的设置中,企业只需将一个公共IP地址分配给其网络,因此,当企业人员需访问外网时,每个人都将共享该公共地址。但其访问时使用的端口都不一样,由源端口唯一标识。因此,此方式叫端口地址转换。2.8 IPSec VPN技术IPSec VPN(Internet Protocol Security V
37、irtual Private Network),即开放标准的安全框架结构的虚拟专业网。在企业中,随着对网络安全性及可靠性的要求越来越高,而使用TCP/IP协议会缺乏有效的安全认证和保密机制。因此使用IPsec VPN为当前企业网络规划部署的主流,其采用一种远程接入的VPN技术。在互联网上为两个私有网络提供安全通信隧道,通过加密隧道保证连接和通信的安全,在两个公共网关间提供私密数据封包服务,可以用来保障IP数据报文在网络上传输的机密性、完整性和防重放。根据网络层次对现有的VPN进行划分,可分为工作在网络层的三层VPN:GRE、IPSEC 以及工作在数据链路层的二层VPN:PPTP、L2F、L2T
38、P。两个公司处在不同的物理地域而如果他们之间要进行通信的流量都要穿过Internet上的未知网络,无法保证在网络上发送和接送数据的安全性,因此在两个公司之间的网关即防火墙上应配置点到点的模式,通过建立加密的IPSEC隧道实现局域网互通的IPSECVPN。2.9 防火墙双机热备技术在企业网络中,为了保护内部网络的上网风险,往往在内网与外网之间架设防火墙。然而,为了避免单个防火墙失效带来的网络安全问题。企业通常采用两个或更多的防火墙,以便每个防火墙都充当其他防火墙的备份,或每个设备之间状态可以彼此保持同步,并能够检测到故障,当其中一个防火墙在检测到故障时可以立即进行故障转移。达到企业网络的高可靠性
39、。此过程在思科防火墙中被称为Failover模式,其正是为了提供几乎不中止的服务,保证企业网络的连通性。同时,在部署Failover模式时,每台防火墙的硬件配置和软件配置应保持相同,例如产品型号、插口模式、RAM、许可证版本、运行模式、系统版本。在实现Failover模式中,分别有两种模式,分别为A-S与A-A模式。A-S(Active-Standby),即主备模式。当Failover模式为A-S模式时,在双防火墙中,需要把一台防火墙配置为主用角色,而另一台防火墙则配置为备用角色。被配置为主用角色的防火墙会充当变成Active,以此承担服务并转发流量。而被配置成备用角色的防火墙则会充当变成St
40、andby,以此充当备用设备。当主用设备被关闭或发生问题时,备用设备则立马承担服务并发送数据。A-A(Active-Active),即双主模式。当Failover模式为A-A模式时,在双防火墙中,两台防火墙都处于Active状态,这两台防火墙可以同时处理和过滤数据包,因此流量可以在两个设备之间进行负载平衡。如果一台防火墙出现故障,则另一台防火墙将承担全部处理负载,直到出现故障的防火墙再次变为活动状态为止。这两种模式的区别在于A-A模式只能使用在多模式防火墙中,即企业网络中拥有多个防火墙,将Active分为两个组,每两个防火墙分别分配在不同的Active组中,并相互工作互相冗余,当组内的其中一台
41、防火墙被关闭或发生问题时,另外一组的一台防火墙及时切换组别,继续承担其服务并转发流量。因此,A-A模式使企业网络具有更强的冗余性和更高的可靠性。但此次企业网络高可靠性的部署中,由于电脑硬件配置的限制,因此采用A-S模式进行部署。第三章 系统需求分析3.1 企业网络高可靠性的典型拓扑设计3.1.1 企业网络接入层的高可靠性典型拓扑设计当前企业网络接入层连接到汇聚层的连接方法有四种,分别为以下四种典型拓扑设计及优缺点对比。如图3-1、表3-1所示。图3-1 接入层四种典型拓扑设计表3-1 接入层四种典型拓扑优缺点对比拓扑结构优点缺点倒U型拓扑结构无需运行生成树协议,方便管理网络;VLAN间路由可配
42、置在汇聚层的交换机上,具有高效的扩展能力当汇聚层交换机出现单点故障时,会导致同一边的接入层交换机失去其工作能力,不能给企业网络带来高可靠性U型拓扑结构无需运行生成树协议,方便管理网络;接入层交换机和汇聚层交换机之间链路聚合,具有高可靠性VLAN间路由不能配置在汇聚层的交换机上,不具有高效的扩展能力。同时汇聚层交换机之间无连接心跳线,导致各报文信息不能进行转发传送,可靠性较低矩形拓扑结构VLAN间路由可配置在汇聚层的交换机上,具有高效的扩展能力;接入层交换机和汇聚层交换机之间链路聚合,具有高可靠性;运行生成树协议,实现VLAN数据的负载均衡当汇聚层或接入层交换机出现单点故障时,会导致同一边的任意
43、一层交换机失去其工作能力,不能给企业网络带来高可靠性三角形拓扑结构接入层交换机和汇聚层交换机之间多条链路连接,具有冗余性;VLAN间路由可配置在汇聚层的交换机上,具有高效的扩展能力;运行生成树协议,实现VLAN数据的负载均衡接入层采用三角形拓扑结构,导致二层交换机存在环路,因此运行的生成树协议通常为多生成树协议,即MSTP。所以其计算量比其他拓扑庞大从图3-1以及表3-1中可以看出,拓扑4,即三角形拓扑结构具有更高的访问可靠性和更高效的可扩展能力,为企业网络带来高可靠性。因此,建议选择三角形拓扑结构作为企业网络接入层的拓扑设计。3.1.2 企业网络汇聚层的高可靠性典型拓扑设计当前企业网络汇聚层
44、连接到核心层的连接方法有三种,分别为以下三种典型拓扑设计及优缺点对比。如图3-2、表3-2所示。图3-2 汇聚层三种典型拓扑设计表3-2 汇聚层三种典型拓扑优缺点对比拓扑结构优点缺点三角形拓扑结构汇聚层交换机和核心层交换机之间多条链路连接,并采用EIGRP协议,具有冗余性当核心层交换机之间的心跳线断开时,会导致核心层间各报文信息不能进行转发传送,可靠性较低矩形拓扑结构核心层交换机之间链路聚合,和汇聚层交换机之前采用EIGRP协议,具有高可靠性;汇聚层交换机之间连接心跳线,具有较高的冗余性核心层交换机和汇聚层交换机之前的链接没有采用多条冗余,当其中某条链接断开时,会加大其他链路的开销,造成网络堵
45、塞,导致网络可靠性下降复合型多边拓扑结构融合三角形拓扑结构以及矩形拓扑结构的优点。当出现单点故障时,其故障收敛时间较短,增强企业网络的可靠性拓扑结构复杂,企业花费的网络建设成本较高。给后续网络升级管理带来一丝困难,考验企业网络管理人员的能力从图3-2以及表3-2中可以看出,拓扑3,即复合型多边拓扑结构具有更多的冗余设计和更高的访问可靠性,为企业网络带来高可靠性。同时,复合型多边拓扑结构是当前许多企业网络拓扑设计的主流。因此,建议选择复合型多边拓扑结构作为企业网络汇聚层的拓扑设计。3.1.3 企业网络核心层的高可靠性典型拓扑设计作为一个企业网络的核心承担者,核心层交换机应要求其能在短时间内提供数
46、据转发和具有较强的可持续性,因此采用双核心或多核心作为企业网络核心层拓扑设计已逐渐成为趋势,这给企业网络核心层带来高可靠性的同时,也给企业网络带来较高的可冗余性和负载均衡模式。从图3-2以及表3-2中可以看出,拓扑3,即复合型多边拓扑结构中核心层具有双核心结构,同时核心层交换机之间采用链路聚合,和汇聚层之间采用多条链路形成冗余。拥有更强的访问可靠性和较高的冗余性,为企业网络带来高可靠性。因此,建议选择复合型多边拓扑结构作为企业网络核心层的拓扑设计。3.2 企业网络高可靠性硬件的选择在企业网络规划设计中,硬件设备是组成企业网络的基础。因此,硬件设备的高可靠性成为企业网络规划中的重中之重。当前,企
47、业网络主流硬件设备高可靠性的措施分别有设备冗余、磁盘存储冗余、处理器冗余、网卡冗余和电源冗余。设备冗余:将一台以上的设备利用级联、堆叠或集群这三种不同的连接方式组合起来一起工作。增强了设备的可用性和交换能力,让设备能进行统一管理,大大降低了设备的管理难度,简化了管理步骤。磁盘存储冗余:通过采用RAID,即磁盘阵列。其原理是将多块分别独立的磁盘利用不同的算法互相组合成一个阵列。这种做法提高了数据的传输速率,并增加了其磁盘的吞吐量和保障其质量。同时也提高了企业网络系统的冗余性,保障其网络的高可靠性。处理器冗余:采用两个或以上的处理器来保证网络的连续运行。虽然企业网络中的处理器较少会出现问题,但采用
48、多个处理器可分担单个处理器所承受的数据转发压力,拥有更多的处理能力,保障了网络的高可靠性。网卡冗余:指在设备中组装多个网卡。利用多个网卡共同承担企业网络数据,并具有较高的可容错性。电源冗余:采用两个或以上的电源来保证设备的可持续运行。并通过技术让其共同工作达到负载均衡的效果。同时具有冗余性,即如果某个电源产生问题时,剩下的电源也能继续运行并替代损坏电源的功能。并在电源修复后,又能回到之前的工作状态。这样做尽量保证了设备能正常工作,减少由于电源出现故障导致设备切换修复重启所花费的时间。为企业网络实现了高可靠性。3.3 企业网络高可靠性技术的选择(1)VLAN划分(2)链路聚合(3)MSTP协议(4)HSRP协议(5)EIGRP协议(6)NAT协议(7)IPSec VPN技术(8)防火墙双机热备第四章 设计与实现由上一章可得,企业网络高可靠性的拓扑图如图4-1所示:图4-1 企业网络高可靠性拓扑图4.1 划分VLAN及配置网关由企业网络规划拓扑图可得,该企业总公司设有高层、财务部、技术部、办公区、内部服务器和外部服务器六个部分。因此