邱 鵬， 霍 瑛， 蔣 悅

（南京工程學(xué)院計(jì)算機(jī)工程學(xué)院，南京211167）

0 引 言

近年來，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，各類企業(yè)幾乎都部署了不同的網(wǎng)絡(luò)系統(tǒng)，這些系統(tǒng)基本都?xì)w化依賴于不同類型的計(jì)算機(jī)網(wǎng)絡(luò)，構(gòu)建網(wǎng)絡(luò)在保障企業(yè)各部門之間連通性的同時(shí)，也可以為網(wǎng)絡(luò)系統(tǒng)的上層應(yīng)用提供靈活而智能的服務(wù)［1-2］。在實(shí)際網(wǎng)絡(luò)中，由于一個(gè)實(shí)體自制系統(tǒng)規(guī)模龐大且復(fù)雜，導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)庫所存儲的數(shù)據(jù)量巨大，可能引發(fā)數(shù)據(jù)溢出［3］；如網(wǎng)絡(luò)中某一鏈路或設(shè)備出現(xiàn)故障，勢必影響整個(gè)網(wǎng)絡(luò)的信息通信，甚至導(dǎo)致網(wǎng)絡(luò)通信過程中的信息被非法監(jiān)聽、截獲、篡改等安全問題［4-5］。

本文通過某品牌云實(shí)驗(yàn)室（H3C Cloud Lab，HCL）模擬軟件設(shè)計(jì)了一個(gè)企業(yè)網(wǎng)絡(luò)構(gòu)建仿真實(shí)驗(yàn)，利用開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）鏈路狀態(tài)路由協(xié)議支持區(qū)域劃分的特性［6-7］，對企業(yè)各職能部門進(jìn)行區(qū)域劃分，以減少需要傳遞的路由信息量，改善路由計(jì)算；通過部署虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol，VRRP）、多生成樹協(xié)議（Multiple Spanning Tree Protocol，MSTP）、通用路由封裝協(xié)議虛擬專用網(wǎng)絡(luò)（Generic Routing Encapsulation Virtual Private Network，GRE VPN）等網(wǎng)絡(luò)技術(shù)，給企業(yè)網(wǎng)絡(luò)提供安全防護(hù)功能，增加可靠性。

1 企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

根據(jù)企業(yè)需求劃分多區(qū)域，整體網(wǎng)絡(luò)架構(gòu)由總部和分部組成?？偛靠珊喪鰹楹诵膶釉O(shè)備與雙出口路由設(shè)備，通過專線或者外網(wǎng)與分部進(jìn)行數(shù)據(jù)交互。分部根據(jù)骨干區(qū)域和非骨干區(qū)域的分布，把不同職能部門劃分到不同虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）中再進(jìn)行數(shù)據(jù)通信。設(shè)計(jì)的重點(diǎn)是企業(yè)內(nèi)部業(yè)務(wù)流量在各部分之間的選路情況及全網(wǎng)連接情況。根據(jù)企業(yè)網(wǎng)絡(luò)整體規(guī)劃，設(shè)計(jì)的企業(yè)總部與分部的網(wǎng)絡(luò)連接結(jié)構(gòu)如圖1 所示。

圖1 企業(yè)網(wǎng)絡(luò)連接拓?fù)鋱D

2 企業(yè)網(wǎng)絡(luò)仿真實(shí)驗(yàn)

本次實(shí)驗(yàn)采用HCL作為仿真網(wǎng)絡(luò)模擬軟件，為企業(yè)網(wǎng)絡(luò)設(shè)計(jì)提供了具有圖形界面化功能的組網(wǎng)平臺［8］。整體采取從分部到總部的順序進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)和設(shè)備配置。

2.1 分部網(wǎng)絡(luò)設(shè)計(jì)

在分部網(wǎng)絡(luò)的設(shè)計(jì)中，把不同職能部門隔離劃分成不同的VLAN，骨干區(qū)為AREA0，非骨干區(qū)為area1

和area2，通過訪問控制技術(shù)按照需求過濾各VLAN之間的通信數(shù)據(jù)。由圖1 可見，AREA0 是管理部門包括人事部和總裁辦；area1 是開發(fā)部，包括產(chǎn)品設(shè)計(jì)、研發(fā)和測試部門；area2 是市場部包含銷售和宣傳兩個(gè)職能部門以及由售前和售后組成的客服部。

2.2 分部網(wǎng)絡(luò)互通區(qū)域配置

步驟1在開發(fā)部的交換機(jī)SW1 上開啟3 層路由功能，并規(guī)劃在OSPF 路由進(jìn)程下的非骨干區(qū)域area1。具體配置如下：

interface LoopBack0

ip address 1.1.1.1 255.255.255.255 / /進(jìn)入Loopback接口配置ip地址

ospf 1 router-id 1.1.1.1 / /啟動OSPF進(jìn)程，標(biāo)識此臺路由器router-id1.1.1.1

area 0.0.0.1 / /配置在OSPF進(jìn)程1中的區(qū)域?yàn)?

network 10.1.1.0 0.0.0.255 / /配置AREA0 中存在的網(wǎng)

段，并且在指定網(wǎng)段內(nèi)上使用OSPF

network 10.3.1.0 0.0.0.255

同時(shí)，分別部署在非骨干區(qū)域area2 和客服部的交換機(jī)SW2、SW9，也使用類似配置用以實(shí)現(xiàn)網(wǎng)絡(luò)連通。

步驟2在路由器R3 上進(jìn)行OSPF多區(qū)域配置，R3 作為區(qū)域邊界路由器（Area Border Route，ABR）在area1 中與SW1 建立鄰居的同時(shí)，在AREA0 與路由器R1 完成鄰居建立，實(shí)現(xiàn)報(bào)文在不同區(qū)域之間的轉(zhuǎn)發(fā)。具體配置如下：

ospf 1 router-id 2.2.2.2 / /使用Loopback口作為id標(biāo)識R3

area 0.0.0.0 / /進(jìn)程1中區(qū)域號為0，默認(rèn)為骨干區(qū)域

network 10.3.2.0 0.0.0.255 / /宣告與R1 相連接的網(wǎng)段，與其建立鄰居關(guān)系

area 0.0.0.1 / /進(jìn)入進(jìn)程1中非骨干區(qū)域1

network 10.3.1.0 0.0.0.255 / /宣告與SW1相連接的網(wǎng)段

network 2.2.2.2 0.0.0.0 / /宣告Loopback口

步驟3 在R1 上完成骨干區(qū)域AREA0 的OSPF路由進(jìn)程宣告配置，具體配置如下：

ospf 1 router-id 3.3.3.3 / /標(biāo)識R1的id為3.3.3.3

area 0.0.0.0 / /進(jìn)入進(jìn)程1中骨干區(qū)域

network 10.2.2.0 0.0.0.255 / /宣告與SW5相連接的網(wǎng)段

network 10.3.2.0 0.0.0.255 / /宣告與R3相連接的網(wǎng)段

network 10.2.3.0 0.0.0.255 / /宣告與SW6相連接的網(wǎng)段

network 10.3.3.0 0.0.0.255 / /宣告與R4相連接的網(wǎng)段

配置完成后，驗(yàn)證OSPF 路由進(jìn)程下設(shè)備SW1、R3、R1、R4 已經(jīng)建立的鄰居關(guān)系，如圖2 ～5 所示。

圖2 SW1上的OSPF鄰居信息

圖3 R3上的OSPF鄰居信息

圖4 R1上的OSPF鄰居信息

圖5 R4上的OSPF鄰居信息

以路由器R4 的鄰居信息為例，如圖5：Area 為鄰居所屬的區(qū)域，Router ID 為鄰居路由地址，Address 為鄰居接口地址，Pri為路由器優(yōu)先級，Dead-Time為鄰居失效時(shí)間，State Full/ BDR 為鄰居狀態(tài)建立成功，Interface為與鄰居相連的接口。

R4 上的OSPF接口信息如圖6 所示，鏈路的OSPF網(wǎng)絡(luò)類型Type為廣播類型，該路由器在area1 區(qū)域的當(dāng)前鏈路狀態(tài)State 是指定路由器（designated router，DR），接口開銷Cost為1，優(yōu)先級Pri為1，接口所屬網(wǎng)段的指定路由器DR 的網(wǎng)際互聯(lián)協(xié)議（Internet Protocol，IP）地址是10.3.3.2，備份指定路由器（Backup Designated Router，BDR）IP地址是10.3.3.1。需要說明的是如果DR BDR 字段顯示為0.0.0.0，則表示鏈路上不存在DRBDR。

2.3 分部業(yè)務(wù)流量需求及配置分析

（1）訪問外網(wǎng)流量控制。企業(yè)網(wǎng)絡(luò)通過路由器R1 訪問外網(wǎng)，不允許總部流量通過分部訪問外網(wǎng)；分部網(wǎng)絡(luò)通過R4 訪問外網(wǎng)，不允許分部通過總部訪問外網(wǎng)。以R1 為例，在R1 上配置網(wǎng)絡(luò)地址轉(zhuǎn)換（Networt Address Translation，NAT）技術(shù)，具體配置

圖6 R4上的OSPF接口信息

如下：

acl basic 2001

rule 0 permit source 10.1.0.0 0.0.255.255 / /匹配通過

網(wǎng)段的路由

interface Serial3 / 0

ip address 100.0.1.1 255.255.255.0

nat outbound 2001 / /在接口配置easynat

在出網(wǎng)設(shè)備上向內(nèi)網(wǎng)發(fā)送一個(gè)路由，告訴內(nèi)網(wǎng)需要通過出網(wǎng)設(shè)備訪問外網(wǎng)。

default-route imported / /將引入的靜態(tài)路由發(fā)布到ospf進(jìn)程中

import-route static / /同樣是引入靜態(tài)路由

在R1 上配置路由過濾技術(shù)，具體配置如下：

acl number 2001 / /配置acl

rule 4 deny source 0.0.0.0 0 / /拒絕默認(rèn)路由

rule 6 permit / /允許其他路由通過

（2）DHCP 地址池配置。在交換機(jī)SW1、SW5、SW6、SW2、SW9 上部署動態(tài)主機(jī)設(shè)置協(xié)議（Dynamic Host Configuration Protocol，DHCP）地址池技術(shù)，這樣可以為設(shè)備自動提供地址，從而減少人工配置過程中的誤操作，降低配置工作量，提高網(wǎng)絡(luò)系統(tǒng)安全性［9］。以SW1 為例具體配置如下：

dhcp enable / /開啟dhcp服務(wù)

dhcp server ip-pool 0 / /配置地址池名字

gateway-list 10.1.1.62 / /配置網(wǎng)關(guān)地址

network 10.1.1.0 mask 255.255.255.192 / /配置地址池范圍

（3）網(wǎng)絡(luò)設(shè)備的VRRP技術(shù)部署。為了防止網(wǎng)關(guān)設(shè)備故障導(dǎo)致下層接入設(shè)備無法正常入網(wǎng)使用，把分部網(wǎng)絡(luò)骨干區(qū)域中的人事部劃分到VLAN40，總裁辦劃分到VLAN50，利用VRRP 技術(shù)進(jìn)行虛擬網(wǎng)關(guān)備份［10］。對交換機(jī)SW5 和SW6 進(jìn)行VRRP 冗余設(shè)計(jì)，以SW5 為例，配置結(jié)果如圖7 所示。

圖7 SW5的VRRP配置結(jié)果

配置方法如下：

interface Vlan-interface40 / /進(jìn)入vlan 40的虛擬接口

ip address 10.1.2.253 255.255.255.0 / /配置ip地址

vrrp vrid 1 virtual-ip 10.1.2.254 / /設(shè)置vlan40 的虛擬IP地址，并作為網(wǎng)關(guān)

vrrp vrid 1 priority 120 / /配置vlan40 的優(yōu)先級，默認(rèn)100，越大越優(yōu)先

interface Vlan-interface50 / /進(jìn)入vlan 50的虛擬接口

ip address 10.1.3.252 255.255.255.0 / /配置ip地址

vrrp vrid 2 virtual-ip 10.1.3.254 / /設(shè)置vlan50 的虛擬IP地址，并作為網(wǎng)關(guān)

（4）網(wǎng)絡(luò)設(shè)備的鏈路聚合技術(shù)部署。在SW5、SW6 之間配置鏈路聚合技術(shù)，可以有效增加兩臺交換機(jī)之間的鏈路帶寬，保障網(wǎng)絡(luò)鏈路可靠性［11］，具體配置如下：

interface bridge-aggregation 1 / /在系統(tǒng)視圖下創(chuàng)建二層聚合端口

interface GigabitEthernet1 / 0 / 3 / /進(jìn)入接口模式

port link-type trunk / /配置交換機(jī)之間Trunk口互連

port trunk permit vlan all / /允許通過所有VLAN

interface Gigabit Ethernet1 / 0 / 4 / /進(jìn)入接口模式

port link-type trunk / /配置交換機(jī)之間Trunk口互連

port trunk permit vlan all / /允許通過所有VLAN

port link-aggregation group 1 / /將G1 / 0 / 4加入聚合組1

配置完成后，兩臺交換機(jī)之間建立了靜態(tài)鏈路聚合，檢查2 層聚合端口表項(xiàng)，顯示如圖8 所示，2 層端口狀態(tài)是UP打開狀態(tài)，端口速度為2 Gb / s，端口鏈路類型是Trunk，通過的VLAN有40 和50，Trunk端口協(xié)議類型為802.1q。

端口鏈路聚合詳情如圖9 所示，聚合組模式Status為靜態(tài)，端口G1 / 0 / 3、G1 / 0 / 4 是Selected端口。

圖8 2層聚合端口表項(xiàng)

圖9 鏈路聚合詳細(xì)信息

（5）網(wǎng)絡(luò)設(shè)備的MSTP技術(shù)部署。對交換機(jī)SW5和SW6 部署MSTP 技術(shù)，不僅可以解決廣播風(fēng)暴問題，還可以向下兼容生成樹協(xié)議（Spanning Tree Protocol，STP）和快速生成樹協(xié)議（Rapid Spanning Tree Protocol，RSTP），收斂速度快，實(shí)現(xiàn)企業(yè)分部的VLAN流量負(fù)載分擔(dān)以及備份功能，保證網(wǎng)絡(luò)的冗余性［12］。具體配置如下：

stp region-configuration / /進(jìn)入?yún)^(qū)域配置視圖

region -name jy / /配置多生成樹（Multiple Spanning Tree，MST）域的域名

instance 1 vlan 40 / /創(chuàng)建組1放置VLAN 40

instance 2 vlan 50 / /創(chuàng)建組2放置VLAN 50

active region-configuration / /激活區(qū)域配置

stp instance 1 root primary / /配置實(shí)例1所在交換機(jī)為首選根橋

stp instance 2 root secondary / /配置實(shí)例2所在交換機(jī)為備份根橋

stp global enable / /激活開啟MSTP

已經(jīng)生效的MST 域的配置信息如圖10 所示，配置VLAN40 映射到實(shí)例1，VLAN50 映射到實(shí)例2，備份根橋相關(guān)端口在首選根橋被破壞或者關(guān)機(jī)的情況下及時(shí)取代它，成為指定實(shí)例的根。

圖10 MST域配置信息

2.4 分部網(wǎng)絡(luò)IP地址規(guī)劃

除了需要規(guī)劃分部各職能部門子網(wǎng)地址，對網(wǎng)絡(luò)設(shè)備的IP地址進(jìn)行合理的規(guī)劃也是必不可少的，這不但能減輕后期維護(hù)、管理壓力，對將來網(wǎng)絡(luò)擴(kuò)展或增加服務(wù)也能帶來很大便利。仿真實(shí)驗(yàn)中主要設(shè)備的IP地址規(guī)劃見表1。

表1 主要設(shè)備IP地址規(guī)劃

2.5 總部網(wǎng)絡(luò)設(shè)計(jì)

（1）總部業(yè)務(wù)流量需求及配置分析。在交換機(jī)SW11 和SW12 之間部署鏈路聚合技術(shù)，并通過VRRP技術(shù)對下游設(shè)備進(jìn)行雙備份，通過更改鏈路開銷或改變路由的優(yōu)先級，選舉產(chǎn)生備份鏈路，防止單點(diǎn)故障造成整個(gè)網(wǎng)絡(luò)癱瘓，確保鏈路可靠性。在訪問外網(wǎng)設(shè)備上配置NAT轉(zhuǎn)換技術(shù)作為訪問控制策略，總部網(wǎng)絡(luò)使用的是私網(wǎng)地址，與分部的IP 地址規(guī)劃類似，此處不再贅述。為了防止用戶私自更改地址，造成網(wǎng)絡(luò)地址沖突，在接入層設(shè)備部署DHCP地址池技術(shù)，為用戶自動分配地址。

（2）企業(yè)總部與分部邊界網(wǎng)絡(luò)設(shè)計(jì)?？偛颗c分部邊界網(wǎng)絡(luò)通過虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）隧道進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)交互，部署的是GRE VPN 技術(shù)，GRE VPN支持除IP 協(xié)議之外的其他特殊協(xié)議并且不局限于單播報(bào)文的傳送，組播、廣播數(shù)據(jù)包在GRE隧道中也可以暢通無阻，這意味著它能夠支持運(yùn)行動態(tài)路由協(xié)議。GRE VPN隧道技術(shù)配置簡單，容易部署，維護(hù)不復(fù)雜［13］。

在R1、R2 路由設(shè)備上配置GRE VPN技術(shù)，以R2為例具體配置如下：

interface tunnel 0 mode gre / /創(chuàng)建tunnel 口，模式為GRE，進(jìn)入其接口視圖

ip address 10.4.1.2 255.255.255.0 / /接口模式下設(shè)置tunnel接口的IP地址

source 100.0.2.2 / /指定tunnel 口的源端，即出口路由器的出接口地址

destination 100.0.1.1 / /指定tunnel口的目的端，即對方出口路由器的出接口地址

keepalive / /開啟tunnel 口的keepalive 功能，采用了默認(rèn)參數(shù)

ospf 1 / /進(jìn)入進(jìn)程1

area 0

network 10.0.0.0 0.0.0.255 / /宣告私網(wǎng)出接口以及tunnel口所在網(wǎng)段

3 企業(yè)網(wǎng)絡(luò)的安全策略

仿真實(shí)驗(yàn)中的企業(yè)網(wǎng)絡(luò)采用了路由協(xié)議安全技術(shù)、防止地址解析協(xié)議（Address Resolution Protocol，ARP）欺騙攻擊技術(shù)、配置端口隔離技術(shù)等安全策略。在保證網(wǎng)絡(luò)可靠性的基礎(chǔ)上，增加了網(wǎng)絡(luò)的安全性。

3.1 路由協(xié)議安全技術(shù)

路由協(xié)議作為信息通信的根本，在路由學(xué)習(xí)交互時(shí)可能存在安全隱患，為了保證路由轉(zhuǎn)發(fā)過程的穩(wěn)定性，本次網(wǎng)絡(luò)設(shè)計(jì)對路由學(xué)習(xí)轉(zhuǎn)發(fā)的鏈路進(jìn)行了加密操作，包括鏈路間的VRRP 驗(yàn)證和點(diǎn)對點(diǎn)協(xié)議（Pointto-Point Protocol，PPP）握手認(rèn)證協(xié)議驗(yàn)證（Challenge Handshake Authentication Protocol，CHAP）。

（1）VRRP驗(yàn)證功能。在交換機(jī)SW5、SW6 實(shí)現(xiàn)VRRP驗(yàn)證功能，以SW5 為例，具體配置如下：

ospf 1

area 0.0.0.0

authentication-mode simple / /在ospf域內(nèi)宣告驗(yàn)證

interface Gigabit Ethernet1 / 0 / 1

ospf authentication-mode simple cipher 7-CZB#/ YX］KQ = ^Q`

MAF4 ＜1！！ / /在接口配置驗(yàn)證密碼，密碼加密

interface Vlan-inter40

vrrp vrid 1 authentication-mode simple jy / /配置vrrp的驗(yàn)證密碼

interface Vlan-inte50

vrrp vrid 2 authentication-mode simple jy / /配置vrrp的驗(yàn)證密碼

（2）PPP 協(xié)議的CHAP 驗(yàn)證［14］。在路由器R1、R4 實(shí)現(xiàn)CHAP驗(yàn)證功能，以R1 為例，具體配置如下：

local-user r1 / /配置本地用戶名

password simple jy / /配置密碼

service-type ppp / /設(shè)置服務(wù)類型

interface Serial1 / 1 / 1

ppp authentication-mode chap / /設(shè)置ppp的驗(yàn)證類型

ppp chap user r4 / /以對方的用戶名作為驗(yàn)證

3.2 防止ARP欺騙攻擊技術(shù)［15］

依據(jù)網(wǎng)絡(luò)設(shè)備中的ARP表，當(dāng)局域網(wǎng)存在一個(gè)虛假的媒體存取控制（Media Access Control，MAC）地址而導(dǎo)致網(wǎng)絡(luò)不通時(shí)，可開啟動態(tài)ARP 監(jiān)測，配置方法如下：

system-view / /進(jìn)入全局模式

［H3C］vlan 11

［H3C-vlan1］arp detection enable / / arp檢測功能有效

［H3C］interface e1 / 1

［H3C -Ethernet0 / 1］arp detection trust / /將端口設(shè)置為信任端口

3.3 配置端口隔離技術(shù)

端口隔離技術(shù)可以實(shí)現(xiàn)報(bào)文間的2 層隔離，在同一VLAN中的不同部門之間實(shí)現(xiàn)通信隔離，每個(gè)部門都能與隔離組的上行端口通信［16］。將交換機(jī)SW7 的G1 / 0 / 1 和G1 / 0 / 3 加入隔離組，實(shí)現(xiàn)兩接口下的主機(jī)不能互訪，具體配置如下：

interface Ethernet1 / 0 / 1 / /上行鏈路端口

port link-mode bridge

port trunk permit vlan 80 / /允許VLAN 80通過

port-isolate uplink-port / /設(shè)置隔離組的上行端口

interface Ethernet1 / 0 / 3

port link-mode bridge

port access vlan 80 / /端口加入到VLAN 80

port-isolate enable / /端口加入隔離組

查看隔離組的狀態(tài)：

dis port-isolate group / /查看隔離組的配置

Port-isolate group information：

Uplink port support：YES

Group ID：1

Uplink port：Ethernet1 / 0 / 2

Group members：/ /隔離組成員

Ethernet1 / 0 / 1

Ethernet1 / 0 / 3

4 實(shí)驗(yàn)仿真測試

為了測試企業(yè)網(wǎng)絡(luò)是否具備安全防范功能，人為致使網(wǎng)關(guān)設(shè)備或者網(wǎng)關(guān)設(shè)備上行鏈路出現(xiàn)故障，查看備用鏈路能否及時(shí)切換，以使得網(wǎng)絡(luò)通信依然正常。

以分部網(wǎng)絡(luò)骨干區(qū)域中的交換機(jī)SW5、SW6 為例，通過仿真測試，鏈路故障前SW5 是VLAN40 的主網(wǎng)關(guān)設(shè)備，優(yōu)先級是120，同時(shí)是VLAN50 的備份網(wǎng)關(guān)設(shè)備，當(dāng)設(shè)備SW5 出現(xiàn)故障宕機(jī)后，VLAN40 的主網(wǎng)關(guān)設(shè)備切換為SW6，備份網(wǎng)關(guān)設(shè)備切換為SW5，優(yōu)先級降到了100，說明主備網(wǎng)關(guān)進(jìn)行了切換。

圖11 為SW5 設(shè)備故障前的分部網(wǎng)絡(luò)業(yè)務(wù)流量選路情況，對照表1 主要設(shè)備的IP 地址可知，分部網(wǎng)絡(luò)的業(yè)務(wù)流量從產(chǎn)品測試部門路由到人事部的路徑為SW1→R3→R1→SW5→SW7，當(dāng)SW5 上行鏈路故障后，即SW6 切換成為主網(wǎng)關(guān)設(shè)備后，對照表1 可以從圖12 中發(fā)現(xiàn)，業(yè)務(wù)流量從產(chǎn)品測試部門路由到人事部的路徑為SW1→R3→R1→SW6→SW7，符合選路的需求，證明了設(shè)計(jì)的網(wǎng)絡(luò)能夠有效防止由于單點(diǎn)故障引起的網(wǎng)絡(luò)中斷。

圖11 鏈路故障前流量選路情況

圖12 鏈路故障后流量選路情況

5 結(jié) 語

本文利用HCL模擬器設(shè)計(jì)了企業(yè)網(wǎng)絡(luò)仿真實(shí)驗(yàn)，從網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃到部署各項(xiàng)網(wǎng)絡(luò)技術(shù)都給出了具有代表性的配置方法，最終實(shí)現(xiàn)了網(wǎng)絡(luò)的互通并保障了網(wǎng)絡(luò)的安全性和可靠性。通過仿真實(shí)驗(yàn)學(xué)生可以進(jìn)一步了解OSPF路由選擇協(xié)議，加深對GRE VPN隧道技術(shù)支持動態(tài)路由協(xié)議以及對VRRP 冗余備份原理的理解，有助于提高學(xué)生綜合運(yùn)用多種網(wǎng)絡(luò)技術(shù)配置計(jì)算機(jī)網(wǎng)絡(luò)的能力。