畢業(yè)設(shè)計(jì)（論文）論文題目論文題目：xxxx網(wǎng)絡(luò)的規(guī)劃與實(shí)現(xiàn)學(xué)院：專業(yè)：學(xué)生姓名：學(xué)生學(xué)號(hào)：指導(dǎo)教師：導(dǎo)師職稱：完成日期：xxxx網(wǎng)絡(luò)的規(guī)劃與實(shí)現(xiàn)摘要由于業(yè)務(wù)不斷發(fā)展，市場發(fā)生改變，xxxx全方位重構(gòu)自己的網(wǎng)絡(luò)和服務(wù)架構(gòu)，希望加強(qiáng)資源利用率，加強(qiáng)系統(tǒng)性能，創(chuàng)建起完備的安全防護(hù)體系，這種重新形成既改良了當(dāng)前的經(jīng)營機(jī)制，又給未來的技術(shù)更新和業(yè)務(wù)開拓打下牢靠的基礎(chǔ)。xxxx全面重塑網(wǎng)絡(luò)與服務(wù)體系，形成起高效，穩(wěn)定又安全的技術(shù)框架。新系統(tǒng)在網(wǎng)絡(luò)方面更好地支撐復(fù)雜業(yè)務(wù)，服務(wù)層可智能調(diào)度資源，即便處于高并發(fā)，高負(fù)荷時(shí)依舊穩(wěn)定運(yùn)行。經(jīng)檢測，這種架構(gòu)穩(wěn)定性強(qiáng)，能抵御風(fēng)險(xiǎn)，既保證日常運(yùn)作，又大幅優(yōu)化市場競爭力，給后續(xù)業(yè)務(wù)發(fā)展創(chuàng)建穩(wěn)固根基。關(guān)鍵詞：網(wǎng)絡(luò)規(guī)劃，路由與交換技術(shù)，Keepalived，Zabbix第1章緒論1.1項(xiàng)目背景信息技術(shù)不斷發(fā)展，業(yè)務(wù)規(guī)模逐步增大，在此情形下，xxxx決心全方位重建原有的網(wǎng)絡(luò)與服務(wù)架構(gòu)。這是因?yàn)橐鉀Q復(fù)雜的業(yè)務(wù)需求，也要應(yīng)對越發(fā)激烈的市場競爭，之前在高并發(fā)處理，數(shù)據(jù)安全，跨部門協(xié)作方面存在瓶頸，而新架構(gòu)改良了資源調(diào)度情況，提升了通信效率，明顯改善了系統(tǒng)的穩(wěn)定性與靈活性，這種重建同時(shí)符合當(dāng)下需求，而且給未來技術(shù)升級(jí)和業(yè)務(wù)拓展供應(yīng)有力支持，有益于企業(yè)一直保留核心競爭力。1.2論文研究主要內(nèi)容xxxx總部位處深圳，在大連設(shè)有分公司，由于業(yè)務(wù)不斷發(fā)展，要改善經(jīng)營效益，該公司便對原來的網(wǎng)絡(luò)架構(gòu)執(zhí)行全面重建，新架構(gòu)采用VRRP達(dá)成網(wǎng)關(guān)多重化，從而改良網(wǎng)絡(luò)可用率并保障業(yè)務(wù)連續(xù)運(yùn)行；利用MSTP改良跨VLAN通信狀況，免除出現(xiàn)環(huán)路問題；經(jīng)由鏈路聚合增大關(guān)鍵鏈路的帶寬而且使其性能更為穩(wěn)定，在接入層采取端口隔離措施來增強(qiáng)設(shè)備進(jìn)入的把控能力，可以有效地防御偽造報(bào)文的侵襲；在出口設(shè)置防火墻加強(qiáng)對流量的調(diào)度管理，再加上雙鏈路多重化配合策略路由做到快捷的故障轉(zhuǎn)換功能，總部和分公司之間依靠IPsecVPN創(chuàng)建起安全通道，以確保數(shù)據(jù)傳送過程中的安全保密性。從服務(wù)架構(gòu)來講，依靠LVS和Keepalived形成起來的高可用平臺(tái)達(dá)成了流量均衡和容災(zāi)功能；LNMP架構(gòu)改善了Web服務(wù)的性能；雙主數(shù)據(jù)庫與Keepalived保證了數(shù)據(jù)的一致性和高可用性；主備DNS系統(tǒng)加強(qiáng)了解析效率和用戶體驗(yàn)，iSCSI給Web節(jié)點(diǎn)供應(yīng)統(tǒng)一的存儲(chǔ)支持，使得數(shù)據(jù)管理更為簡便。在監(jiān)測方面，公司安排了Zabbix系統(tǒng)，并利用Ansible批量安裝客戶端，從而提升了運(yùn)維效率；警報(bào)機(jī)制和可視化分析又進(jìn)一步鞏固了系統(tǒng)的穩(wěn)定性并加快了問題應(yīng)對速度，整體架構(gòu)經(jīng)過改良之后，為公司筑牢了可靠的技術(shù)根基，也為日后的拓展和革新創(chuàng)建了不錯(cuò)的前提。1.3國內(nèi)外現(xiàn)狀當(dāng)下的技術(shù)環(huán)境當(dāng)中，企業(yè)對于網(wǎng)絡(luò)架構(gòu)的依賴性不斷加劇，高可用性，可靠性以及靈活性變得十分關(guān)鍵，國內(nèi)企業(yè)常常會(huì)采用網(wǎng)關(guān)冗余，鏈路聚合以及VLAN改良等技術(shù)來提升穩(wěn)定性并改善帶寬利用率。像亞馬遜，谷歌這樣的國際企業(yè)，則搭建起分布式架構(gòu)，它們憑借多鏈路冗余，加密隧道和高效的容災(zāi)機(jī)制，保障全球業(yè)務(wù)能夠?qū)崿F(xiàn)無縫對接，動(dòng)態(tài)路由協(xié)議，端口隔離以及智能流量調(diào)度被運(yùn)用起來之后，企業(yè)就可以更好地應(yīng)對高并發(fā)狀況和復(fù)雜的業(yè)務(wù)情形。在服務(wù)架構(gòu)上，國內(nèi)企業(yè)靠LNMP，LVS和Keepalived技術(shù)達(dá)成高可用負(fù)載均衡，國際企業(yè)偏好云原生，微服務(wù)和自動(dòng)化運(yùn)維，雙主數(shù)據(jù)庫架構(gòu)，主備DNS以及像iSCSI這樣的存儲(chǔ)改良措施來改善數(shù)據(jù)可靠性和響應(yīng)速度，利用Zabbix即時(shí)檢測并配合Ansible自動(dòng)執(zhí)行部署，企業(yè)就可以改善資源運(yùn)作水平，做到高效又穩(wěn)定的業(yè)務(wù)運(yùn)轉(zhuǎn)。1.4目的和意義信息技術(shù)飛速發(fā)展之際，企業(yè)網(wǎng)絡(luò)架構(gòu)及服務(wù)設(shè)計(jì)已成為數(shù)字化運(yùn)作的關(guān)鍵所在，為適應(yīng)業(yè)務(wù)提升并滿足將來拓展需求，xxxx開啟了這個(gè)項(xiàng)目，以形成起高可用性，安全可靠的網(wǎng)絡(luò)與服務(wù)體系。經(jīng)由整合資源，采用負(fù)載均衡和容災(zāi)機(jī)制，系統(tǒng)即便處于高負(fù)荷狀態(tài)仍然能夠穩(wěn)定，高效運(yùn)行，此次重構(gòu)另外改善了公司的運(yùn)作效率，而且給相似情形下的網(wǎng)絡(luò)改善給予了范例，有幫助于安拓達(dá)成數(shù)字化轉(zhuǎn)型并做到可持續(xù)發(fā)展。第2章關(guān)鍵技術(shù)介紹2.1網(wǎng)絡(luò)關(guān)鍵技術(shù)介紹2.1.1MSTPMSTP是生成樹協(xié)議在多VLAN環(huán)境下的拓展，它可把大量VLAN映射到同一個(gè)生成樹實(shí)例當(dāng)中，以此減輕網(wǎng)絡(luò)設(shè)備的計(jì)算負(fù)擔(dān)，相較于RSTP或者STP，MSTP支持快速收斂，而且做到了鏈路負(fù)載均衡，有效地提升了冗余鏈路的利用率以及網(wǎng)絡(luò)的整體穩(wěn)定性REF_Ref16125\r\h[6]。2.1.2VRRPVRRP允許若干物理路由器共用一個(gè)虛擬IP地址來當(dāng)作默認(rèn)網(wǎng)關(guān)，以此優(yōu)化網(wǎng)絡(luò)的容錯(cuò)能力，主設(shè)備一旦宕機(jī)，備設(shè)備便會(huì)自動(dòng)接手虛擬IP，做到無縫切換，利用優(yōu)先級(jí)設(shè)置能夠較為靈活地調(diào)控主備角色，它被普遍應(yīng)用于網(wǎng)絡(luò)出口的冗余當(dāng)中。2.1.3策略路由策略路由按照源地址，目標(biāo)地址，端口號(hào)等條件來確定流量的轉(zhuǎn)發(fā)路徑，其彌補(bǔ)了傳統(tǒng)路由表存在的不足，該路由可被應(yīng)用到多運(yùn)營商接入，區(qū)分不同業(yè)務(wù)類型流量之類的場景當(dāng)中，從而提升網(wǎng)絡(luò)的控制能力和安全水平REF_Ref16240\r\h[1]。2.1.4IPsecVPNIPsecVPN依靠加密和身份認(rèn)證來創(chuàng)建安全的通訊隧道，這是確保遠(yuǎn)程數(shù)據(jù)輸送安全的主要方案，它兼容許多加密算法和認(rèn)證協(xié)議，能夠在公網(wǎng)環(huán)境下幫助企業(yè)達(dá)成安全又穩(wěn)定的跨區(qū)域關(guān)聯(lián)。2.2服務(wù)關(guān)鍵技術(shù)介紹2.2.1Keepalived+LVSKeepalived依靠VRRP達(dá)成VIP的主備轉(zhuǎn)換，而且融合健康檢查功能，能夠自動(dòng)判別后端服務(wù)狀況，同LVS一起完成四層負(fù)載均衡，這種搭配具有高并發(fā)處理能力和高速故障遷移能力，屬于塑造高可用集群系統(tǒng)經(jīng)常采用的方案REF_Ref16240\r\h[9]。2.2.2DNSDNS把域名解析成IP地址，支持方便用戶的訪問形式，在企業(yè)網(wǎng)絡(luò)當(dāng)中，主要和備用DNS的設(shè)置可以改良解析的可靠性，如果再加上負(fù)載均衡機(jī)制，就能夠改善流量分配情況，加快服務(wù)應(yīng)答速度，從而進(jìn)一步改善訪問感受。2.2.3ZabbixZabbix屬于開源監(jiān)測工具，主要面向企業(yè)，它許可從許多平臺(tái)收集性能數(shù)據(jù)，以直觀形式表現(xiàn)這些數(shù)據(jù)，還能發(fā)出警告通知，經(jīng)由安排代理端并指定模板，可以集中監(jiān)測系統(tǒng)負(fù)荷，網(wǎng)絡(luò)流量之類的項(xiàng)目，從而加強(qiáng)故障預(yù)測能力，優(yōu)化運(yùn)維效率。2.2.4AnsibleAnsible屬于輕量級(jí)自動(dòng)化運(yùn)維工具，它采取無代理架構(gòu)，依靠SSH達(dá)成批量設(shè)置和部署，其Playbook腳本既簡單又便于守護(hù)，很合適在大規(guī)模集群環(huán)境下立即開展初始化，軟件部署以及參數(shù)變更等任務(wù)，堪稱企業(yè)自動(dòng)化運(yùn)維的有力武器。第3章系統(tǒng)分析3.1公司背景分析xxxx致力于為客戶提供先進(jìn)的信息技術(shù)服務(wù)和業(yè)務(wù)流程優(yōu)化解決方案。隨著業(yè)務(wù)極速發(fā)展，之前的系統(tǒng)無法滿足擴(kuò)充和高可用性方面的需求，于是，該公司重新塑造網(wǎng)絡(luò)和服務(wù)框架，全方位加強(qiáng)系統(tǒng)的靈活性與可擴(kuò)展性，從而支撐日后的業(yè)務(wù)開拓和技術(shù)更新。新架構(gòu)融合有線和無線網(wǎng)絡(luò)，員工依靠密碼接入內(nèi)外網(wǎng)，訪客則利用開放網(wǎng)絡(luò)連接外部資源，為優(yōu)化通信質(zhì)量，公司接入移動(dòng)和電信網(wǎng)絡(luò)，還在總部與分公司之間設(shè)置VPN，以保證跨地域數(shù)據(jù)傳送安全。在服務(wù)體系上，公司慢慢利用LVS和Keepalived搭建集群架構(gòu)，做到負(fù)載均衡和高可用性，促使關(guān)鍵業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)行，當(dāng)下總部共有600名員工，分屬財(cái)務(wù)，人事，研發(fā)，銷售和運(yùn)維這五個(gè)核心部門。公司人員詳情如表3.1所示。表3.1公司人員分布表部門人數(shù)財(cái)務(wù)部20人人事部30人研發(fā)部300人銷售部100人運(yùn)維部150人3.2網(wǎng)絡(luò)需求分析3.2.1內(nèi)網(wǎng)組網(wǎng)需求分析公司需形成起高效，安全且可擴(kuò)展的內(nèi)網(wǎng)架構(gòu)，合理劃分部門網(wǎng)絡(luò)，以此改良數(shù)據(jù)隔離效果并優(yōu)化管理效率，運(yùn)用分層設(shè)計(jì)與動(dòng)態(tài)IP分配，加強(qiáng)靈活性并改良資源利用率，核心層采取冗余機(jī)制，保證業(yè)務(wù)連續(xù)不斷，還要憑借靈活的拓?fù)浣Y(jié)構(gòu)應(yīng)對組織變動(dòng)，為將來業(yè)務(wù)拓展供應(yīng)支撐。3.2.2無線網(wǎng)絡(luò)需求分析公司打算形成起覆蓋面全的無線網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)要能支持員工經(jīng)過認(rèn)證登錄內(nèi)外網(wǎng)，而訪客則放開外網(wǎng)訪問權(quán)限，無線網(wǎng)絡(luò)應(yīng)當(dāng)具有高效的AP切換能力，從而保證辦公時(shí)移動(dòng)不會(huì)出現(xiàn)斷連狀況，進(jìn)一步改善整體網(wǎng)絡(luò)感受并優(yōu)化辦公效率。3.2.3網(wǎng)絡(luò)安全需求分析要想保障網(wǎng)絡(luò)安全，就得嚴(yán)格把控設(shè)備接入情況，只許經(jīng)過授權(quán)的設(shè)備執(zhí)行訪問，在接入層安排好安全策略，防止資源被濫用以及未授權(quán)的接入狀況發(fā)生，在內(nèi)網(wǎng)和外網(wǎng)之間做好流量管理與權(quán)限設(shè)置工作，針對核心節(jié)點(diǎn)加大異常檢測及應(yīng)對力度，從而保證系統(tǒng)穩(wěn)定運(yùn)行并保護(hù)好數(shù)據(jù)安全。3.2.4出口網(wǎng)絡(luò)需求分析出口網(wǎng)絡(luò)按多鏈路冗余設(shè)計(jì)，鏈路出現(xiàn)故障時(shí)可極速切換，經(jīng)由地址轉(zhuǎn)換來改善私網(wǎng)設(shè)備的訪問效率，而且部署了靈活的流量控制策略，以滿足不同業(yè)務(wù)的需求，從而改良出口的性能和安全性。3.2.5VPN需求分析公司打算塑造加密VPN通道來保護(hù)總部和分公司之間的數(shù)據(jù)安全，從而達(dá)成高效又穩(wěn)定的數(shù)據(jù)互聯(lián)，此通道保密性佳，抗干擾能力強(qiáng)，可以保證關(guān)鍵業(yè)務(wù)數(shù)據(jù)隨時(shí)可靠傳送，支持多地協(xié)同工作。3.3服務(wù)需求分析3.3.1集群需求分析要應(yīng)對訪問量的擴(kuò)大以及高可用性的需求，就要部署包含負(fù)載均衡和故障移交機(jī)制的集群架構(gòu)，借助分配流量來改進(jìn)并發(fā)能力，憑借故障切換來保證服務(wù)的連續(xù)性，進(jìn)而為系統(tǒng)的穩(wěn)定運(yùn)行以及未來的擴(kuò)展形成基礎(chǔ)。3.3.2業(yè)務(wù)服務(wù)需求分析Web平臺(tái)和信息系統(tǒng)不斷發(fā)展，這就對系統(tǒng)并發(fā)處理能力提出了更高要求，新架構(gòu)要改善服務(wù)分配和性能調(diào)度情況，從而加強(qiáng)處理效率并加快響應(yīng)速度，保證核心業(yè)務(wù)穩(wěn)定運(yùn)行，還要支撐后續(xù)業(yè)務(wù)發(fā)展。3.3.3域名解析需求分析平臺(tái)數(shù)量增長時(shí)，創(chuàng)建具備主備結(jié)構(gòu)的DNS系統(tǒng)就很必要，這可加強(qiáng)分析效率并優(yōu)化可用性，依靠快速而準(zhǔn)確的分析以及異常切換機(jī)制，可以保證內(nèi)部資源訪問穩(wěn)定持續(xù)。3.3.4存儲(chǔ)需求分析集群系統(tǒng)必要穩(wěn)定且可持久化存儲(chǔ)數(shù)據(jù)，如此才能保證數(shù)據(jù)在重啟或者遷移時(shí)不會(huì)丟失，這個(gè)方案應(yīng)當(dāng)具有高效的讀寫性能，而且要支持多節(jié)點(diǎn)共享，從而確保關(guān)鍵數(shù)據(jù)可靠可用，進(jìn)而為多業(yè)務(wù)環(huán)境供應(yīng)支撐。3.3.5監(jiān)控需求分析采取集群部署之后，要及時(shí)觀察系統(tǒng)的運(yùn)行情況，監(jiān)測系統(tǒng)應(yīng)該具備獲取性能指標(biāo)和發(fā)出異常警報(bào)的功能，包含硬件，網(wǎng)絡(luò)以及資源狀況等方面，從而有助于迅速解決問題，保證系統(tǒng)具有較高的可用性和穩(wěn)定性。3.3.6自動(dòng)化需求分析集群規(guī)模不斷擴(kuò)充時(shí)，采用自動(dòng)化部署對于優(yōu)化運(yùn)維效率十分關(guān)鍵，借助批量部署和集中配置，可以簡化監(jiān)測客戶端的安裝流程，規(guī)避人工失誤，進(jìn)一步提升一致性與經(jīng)營效率。3.3.7虛擬化需求分析為確保各系統(tǒng)時(shí)間一致性并提高日志分析與業(yè)務(wù)協(xié)同的準(zhǔn)確性，計(jì)劃在虛擬化環(huán)境中部署統(tǒng)一的時(shí)間服務(wù)節(jié)點(diǎn)。該服務(wù)將以輕量級(jí)方式運(yùn)行，具有良好的資源隔離、安全性和易于維護(hù)的優(yōu)勢，可通過配置多個(gè)時(shí)間源來提高同步精度和可用性，從而滿足當(dāng)前網(wǎng)絡(luò)架構(gòu)對時(shí)間同步的需求。3.4系統(tǒng)環(huán)境說明網(wǎng)絡(luò)部分利用華為eNSP模擬器來做相關(guān)部署和測試，服務(wù)器集群依靠VMwareWorkstation16Pro平臺(tái)展開部署，其操作系統(tǒng)選擇CentOS7，這樣就更易于創(chuàng)建虛擬化環(huán)境，并執(zhí)行各種服務(wù)檢測和功能校驗(yàn)。大連東軟信息學(xué)院畢業(yè)設(shè)計(jì)（論文）第4章系統(tǒng)設(shè)計(jì)第5章系統(tǒng)實(shí)現(xiàn)5.1網(wǎng)絡(luò)實(shí)現(xiàn)5.1.1網(wǎng)絡(luò)拓?fù)鋵?shí)現(xiàn)在華為eNSP環(huán)境當(dāng)中，按照xxxx的設(shè)計(jì)，形成起三層架構(gòu)的企業(yè)網(wǎng)絡(luò)，該網(wǎng)絡(luò)支持有線和無線接入，經(jīng)由華為CLI來細(xì)致地設(shè)置交換機(jī)，路由器，防火墻等設(shè)備，而且采用華為USG6000V防火墻鏡像，從而加強(qiáng)仿真的逼真度和功能的完善性。具體的物理拓?fù)浣Y(jié)構(gòu)如圖5.1所示。圖5.1網(wǎng)絡(luò)物理拓?fù)鋱D5.1.2鏈路聚合實(shí)現(xiàn)核心交換機(jī)Core1和Core2利用鏈路聚合技術(shù)，經(jīng)由LACP把許多端口整合為邏輯鏈路，以此改良帶寬并加強(qiáng)負(fù)載均衡能力，給予鏈路冗余部分來保證網(wǎng)絡(luò)穩(wěn)定，若某條鏈路出現(xiàn)故障，就會(huì)自動(dòng)轉(zhuǎn)換流量。以Core2上配置鏈接聚合為例，說明鏈路聚合的具體配置步驟。[Core2]interfaceEth-Trunk2[Core2-Eth-Trunk2]modelacp-static[Core2-Eth-Trunk2]trunkportg0/0/1to0/0/2[Core2-Eth-Trunk2]portlink-typetrunk[Core2-Eth-Trunk2]porttrunkallow-passvlanall在Core2中查看鏈路聚合的實(shí)現(xiàn)效果如圖5.2所示。圖5.2鏈路聚合實(shí)現(xiàn)效果圖5.1.3MSTP實(shí)現(xiàn)xxxx想要阻止環(huán)路產(chǎn)生，就在核心與匯聚交換機(jī)之間部署了MSTP協(xié)議，Core2在實(shí)例2中針對VLAN20，40，60，100和102充當(dāng)主根橋，在實(shí)例1中為備根橋，Core1的設(shè)置與之相反，這樣做可完成負(fù)載均衡并改良網(wǎng)絡(luò)資源的利用率。以Core2上配置MSTP為例，說明MSTP具體配置步驟。[Core2]stpregion-configuration[Core2-mst-region]region-nameboss[Core2-mst-region]revision-level1[Core2-mst-region]instance1vlan103050101[Core2-mst-region]instance2vlan204060100102[Core2-mst-region]activeregion-configuration[Core2-mst-region]q[Core2]stpinstance2rootprimary[Core2]stpinstance1rootsecondary在LSW2中查看MSTP的實(shí)現(xiàn)效果如圖5.3所示。圖5.3MSTP實(shí)現(xiàn)效果圖5.1.4VRRP實(shí)現(xiàn)xxxx采用VRRP協(xié)議執(zhí)行網(wǎng)關(guān)冗余設(shè)置，規(guī)避單點(diǎn)故障現(xiàn)象，Core2在VLAN20，40，60，100，102環(huán)境下充當(dāng)主網(wǎng)關(guān)角色，余下則為備用網(wǎng)關(guān)，Core1同Core2形成備份關(guān)系，可做到快速檢測故障并轉(zhuǎn)換相關(guān)功能，從而保證網(wǎng)絡(luò)持續(xù)運(yùn)行且具有較高可用率。以Core2上對VLAN10和VLAN20配置VRRP為例，說明VRRP的具體配置步驟。[Core2]intVlanif10[Core2-Vlanif10]ipadd24[Core2-Vlanif10]vrrpvrid10virtual-ip[Core2-Vlanif10]q[Core2]intVlanif20[Core2-Vlanif20]ipadd24[Core2-Vlanif20]vrrpvrid20virtual-ip[Core2-Vlanif20]vrrpvrid20priority120[Core2-Vlanif20]vrrpvrid20preempt-modetimerdelay20[Core2-Vlanif20]vrrpvrid20trackinterfaceg0/0/9reduced30在Core2中查看VRRP的實(shí)現(xiàn)效果如圖5.4所示。圖5.4VRRP實(shí)現(xiàn)效果圖5.1.5DHCP實(shí)現(xiàn)為提升管理效率并確保網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，DHCP服務(wù)器直接連接核心交換機(jī)，為VLAN10、VLAN20、VLAN30、VLAN40、VLAN50、VLAN100、VLAN101和VLAN102提供動(dòng)態(tài)IP地址分配。以DHCP服務(wù)器上為VLAN20配置DHCP功能為例，說明DHCP的具體配置步驟。#配置地址池[DHCP]ippoolvlan20[DHCP-ip-pool-vlan20]gateway-list[DHCP-ip-pool-vlan20]networkmask24[DHCP-ip-pool-vlan20]dns-list12#配置DHCP服務(wù)中繼[Core2]intVlanif20[Core2-Vlanif20]dhcpselectrelay[Core2-Vlanif20]dhcprelayserver-ip0在DHCP服務(wù)器中查看地址池實(shí)現(xiàn)效果如圖5.5所示。圖5.5DHCP中地址池實(shí)現(xiàn)效果圖5.1.6無線網(wǎng)絡(luò)實(shí)現(xiàn)（1）AP上線公司部署了三種無線網(wǎng)絡(luò)，其一為訪客網(wǎng)絡(luò)（VLAN101開放式接入），其二是員工網(wǎng)絡(luò)（VLAN102內(nèi)部通信），其三為管理網(wǎng)絡(luò)（VLAN100設(shè)備管理），交換機(jī)與AP相連接的端口需設(shè)置為Trunk模式，并指定恰當(dāng)?shù)腜VID，從而保障無線網(wǎng)絡(luò)穩(wěn)定運(yùn)行。以LSW6和AC上配置無線網(wǎng)絡(luò)功能為例，說明無線的具體配置步驟。#交換機(jī)配置[LSW6]inte0/0/3[LSW6-Ethernet0/0/3]portlink-typetrunk[LSW6-Ethernet0/0/3]porttrunkallow-passvlan100101102[LSW6-Ethernet0/0/3]porttrunkpvidvlan100#創(chuàng)建AP組，將AP改名后加入組中[AC]wlan[AC-wlan-view]ap-groupnamegroup1[AC-wlan-ap-group-group1]q[AC-wlan-view]ap-id0ap-mac00e0-fc9e-4fa0[AC-wlan-ap-0]ap-nameF1[AC-wlan-ap-0]ap-groupgroup1[AC-wlan-ap-0]q[AC-wlan-view]ap-id1ap-mac00e0-fc1c-6690[AC-wlan-ap-1]ap-nameF2[AC-wlan-ap-1]ap-groupgroup1#創(chuàng)建訪客的安全模板、SSID模板和VAP模板[AC1-wlan-view]security-profilenamesec_g[AC1-wlan-sec-prof-sec_g]securityopen[AC1-wlan-sec-prof-sec_g]q[AC1-wlan-view]ssid-profilenamessid_g[AC1-wlan-ssid-prof-ssid_g]ssidG_wlan[AC1-wlan-ssid-prof-ssid_g]q[AC1-wlan-view]vap-profilenamevap_g[AC1-wlan-vap-prof-vap_g]forward-modedirect-forward[AC1-wlan-vap-prof-vap_g]ssid-profilessid_g[AC1-wlan-vap-prof-vap_g]security-profilesec_g[AC1-wlan-vap-prof-vap_g]service-vlanvlan-id101#創(chuàng)建員工的安全模板、SSID模板和VAP模板[AC1-wlan-view]security-profilenamesec_b [AC1-wlan-sec-prof-sec_b]securitywpa2pskpass-phrasea1234567aes[AC1-wlan-sec-prof-sec_b]q[AC1-wlan-view]ssid-profilenamessid_b[AC1-wlan-ssid-prof-ssid_b]ssidB_wlan[AC1-wlan-ssid-prof-ssid_b]q[AC1-wlan-view]vap-profilenamevap_b[AC1-wlan-vap-prof-vap_b]ssid-profilessid_b[AC1-wlan-vap-prof-vap_b]security-profilesec_b[AC1-wlan-vap-prof-vap_b]service-vlanvlan-id102[AC1-wlan-vap-prof-vap_b]forward-modedirect-forward#VAP模板引用到射頻[AC1-wlan-view]ap-groupnamegroup1[AC1-wlan-ap-group-group1]vap-profilevap_gwlan1radioall [AC1-wlan-ap-group-group1]vap-profilevap_bwlan2radioall在AC中查看AP上線情況如圖5.6所示。圖5.6AP上線效果圖（2）訪客功能實(shí)現(xiàn)為確保內(nèi)網(wǎng)安全，xxxx對訪客網(wǎng)絡(luò)VLAN101實(shí)施訪問控制策略，僅允許其訪問外網(wǎng)，并禁止其與內(nèi)網(wǎng)其他資源進(jìn)行通信，該策略通過ACL（訪問控制列表）實(shí)現(xiàn)。以Core2上配置ACL為例，說明ACL的具體配置步驟。[Core2]acl3001[Core2-acl-adv-3001]rulepermitipsource55destination00[Core2-acl-adv-3001]ruledenyipsource55destination 55[Core2-acl-adv-3001]ruledenyipsource55destination55[Core2-acl-adv-3001]rulepermitipsource55[Core2-acl-adv-3001]q[Core2]traffic-filteroutboundacl3001在Core2中查看ACL訪問控制列表如圖5.7所示。圖5.7訪問控制列表效果圖5.1.7防火墻實(shí)現(xiàn)為提升內(nèi)部網(wǎng)絡(luò)的安全等級(jí)，企業(yè)在網(wǎng)絡(luò)出口處設(shè)置了防火墻，并制訂了細(xì)致的安全策略來管理不同用戶的訪問權(quán)限，例如，內(nèi)網(wǎng)用戶可訪問ISP1區(qū)域。以FW1上配置允許內(nèi)部用戶訪問ISP1區(qū)域?yàn)槔f明防火墻的具體配置步驟。[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0[FW1-zone-trust]addinterfaceGigabitEthernet1/0/1[FW1-zone-trust]q[FW1]firewallzoneISP1[FW1-zone-ISP1]addinterfaceGigabitEthernet1/0/3[FW1]security-policy[FW1-policy-security]rulenametrust_ISP1[FW1-policy-security-rule-trust_ISP1]source-zonetrust[FW1-policy-security-rule-trust_ISP1]destination-zoneISP1[FW1-policy-security-rule-trust_ISP1]source-addressmask[FW1-policy-security-rule-trust_ISP1]actionpermit通過瀏覽器查看防火墻接口及劃入?yún)^(qū)域如圖5.8所示。圖STYLEREF1\s5.8防火墻接口及劃入?yún)^(qū)域圖通過瀏覽器查看防火墻安全策略如圖5.9所示。圖5.9防火墻安全策略圖5.1.8內(nèi)網(wǎng)安全實(shí)現(xiàn)（1）端口隔離公司在財(cái)務(wù)部門的交換機(jī)上打開端口隔離功能，阻止部門內(nèi)部設(shè)備直接通信，只能經(jīng)由網(wǎng)關(guān)去獲取被授權(quán)的資源。以LSW3上配置端口隔離為例，說明端口隔離具體配置步驟。[LSW3]inte0/0/1[LSW3-Ethernet0/0/1]port-isolateenable[LSW3-Ethernet0/0/1]q[LSW3]inte0/0/2[LSW3-Ethernet0/0/2]port-isolateenable（2）服務(wù)器IP-MAC綁定為防止ARP欺騙，企業(yè)會(huì)把服務(wù)器的IP地址和MAC地址實(shí)施綁定操作，以此來保障IP地址和設(shè)備身份的合法性，其中，關(guān)鍵服務(wù)器0和1已經(jīng)完成MAC地址綁定。通過瀏覽器查看防火墻服務(wù)器的IP-MAC綁定如圖5.10所示。圖5.10服務(wù)器IP-MAC綁定圖5.1.9NAT實(shí)現(xiàn)要滿足內(nèi)網(wǎng)用戶的上網(wǎng)需求，出口防火墻就要設(shè)置PAT策略，并安排兩個(gè)地址池，以適應(yīng)不同ISP的訪問規(guī)則，做到靈活的互聯(lián)網(wǎng)訪問。防火墻利用靜態(tài)NAT把DMZ里的Web服務(wù)器映射到公網(wǎng)IP上，這樣外部用戶才能正常訪問公司系統(tǒng)。以FW1上配置PAT和靜態(tài)NAT為例，說明PAT和靜態(tài)NAT的具體配置步驟。[FW1]nataddress-group1[FW1-address-group-1]modepat[FW1-address-group-1]section0[FW1-address-group-1]q[FW1]nataddress-group2[FW1-address-group-2]modepat[FW1-address-group-2]section0[FW1]natserver0protocoltcpglobalwwwinside0www通過瀏覽器查看防火墻NAT策略如圖5.11所示。圖5.11NAT策略圖5.1.10內(nèi)網(wǎng)路由實(shí)現(xiàn)在網(wǎng)絡(luò)出口防火墻FW1和核心交換機(jī)上執(zhí)行OSPF動(dòng)態(tài)路由協(xié)議的部署時(shí)，要宣告其直連網(wǎng)段，而且可調(diào)整cost來改良路徑。以FW1上配置OSPF為例，說明OSPF的具體配置步驟。[FW1]ospf1[FW1-ospf-1]area[FW1-ospf-1-area-]network[FW1-ospf-1-area-]network[FW1-ospf-1-area-]network55在FW1中查看OSPF的實(shí)現(xiàn)效果如圖5.12所示。圖5.12OSPF實(shí)現(xiàn)效果圖5.1.11出口網(wǎng)絡(luò)實(shí)現(xiàn)防火墻把ISP1和ISP2雙出口鏈路實(shí)施結(jié)合，按要求路由借助VLAN流量對不同ISP出口加以區(qū)分，用IP-Link技術(shù)來監(jiān)測鏈路狀態(tài)，做到故障鏈路自動(dòng)轉(zhuǎn)換，保障訪問穩(wěn)定。以FW1上配置策略路由和IP-Link為例，說明策略路由和IP-Link的具體配置步驟。#配置策略路由[FW1]policy-based-route[FW1-policy-pbr]rulenameISP1[FW1-policy-pbr-rule-ISP1]ingress-interfaceGigabitEthernet1/0/0[FW1-policy-pbr-rule-ISP1]ingress-interfaceGigabitEthernet1/0/1[FW1-policy-pbr-rule-ISP1]source-addressmask[FW1-policy-pbr-rule-ISP1]source-addressmask[FW1-policy-pbr-rule-ISP1]source-addressmask[FW1-policy-pbr-rule-ISP1]source-addressmask[FW1-policy-pbr-rule-ISP1]trackip-linkISP1[FW1-policy-pbr-rule-ISP1]actionpbregress-interfaceGigabitEthernet1/0/3next-hop[FW1-policy-pbr-rule-ISP1]rulenameISP2[FW1-policy-pbr-rule-ISP2]ingress-interfaceGigabitEthernet1/0/0[FW1-policy-pbr-rule-ISP2]ingress-interfaceGigabitEthernet1/0/1[FW1-policy-pbr-rule-ISP2]source-addressmask[FW1-policy-pbr-rule-ISP2]source-addressmask[FW1-policy-pbr-rule-ISP2]source-addressmask[FW1-policy-pbr-rule-ISP2]source-addressmask[FW1-policy-pbr-rule-ISP2]source-addressmask[FW1-policy-pbr-rule-ISP2]trackip-linkISP2[FW1-policy-pbr-rule-ISP2]actionpbregress-interfaceGigabitEthernet1/0/4next-hop#配置IP-Link[FW1]ip-linkcheckenable[FW1]ip-linknameISP1[FW1-iplink-ISP1]source-ip[FW1-iplink-ISP1]destinationmodeicmp[FW1-iplink-ISP1]ip-linknameISP2[FW1-iplink-ISP2]source-ip[FW1-iplink-ISP2]destinationmodeicmp[FW1-iplink-ISP2]q[FW1]iproute-staticGigabitEthernet1/0/3trackip-linkISP1[FW1]iproute-staticGigabitEthernet1/0/4trackip-linkISP2通過瀏覽器查看防火墻策略路由如圖5.13所示。圖5.13策略路由圖5.1.12IPsecVPN實(shí)現(xiàn)公司若要保障總部與分公司的數(shù)據(jù)安全，就要部署IPsecVPN，并在防火墻FW1創(chuàng)建加密通道以防未授權(quán)訪問，分公司經(jīng)由VPN便可安全訪問總部資源，從而達(dá)成安全的遠(yuǎn)程辦公與協(xié)作。以FW1上配置IPsecVPN為例，說明IPsecVPN的具體配置步驟。[FW1]acl3000[FW1-acl-adv-3000]rule5permitipsource55destination55[FW1-acl-adv-3000]q[FW1]ikeproposal1[FW1-ike-proposal-1]q[FW1]ipsecproposal1[FW1-ipsec-proposal-1]q[FW1]ikepeerfw2[FW1-ike-peer-fw2]pre-shared-keyadmin[FW1-ike-peer-fw2]ike-proposal1[FW1-ike-peer-fw2]remote-address[FW1-ike-peer-fw2]q[FW1]ipsecpolicypolicy-11isakmp[FW1-ipsec-policy-isakmp-policy-1-1]proposal1[FW1-ipsec-policy-isakmp-policy-1-1]ike-peerfw2[FW1-ipsec-policy-isakmp-policy-1-1]securityacl3000[FW1-ipsec-policy-isakmp-policy-1-1]q[FW1]int1/0/3[FW1-GigabitEthernet1/0/3]ipsecpolicypolicy-1通過瀏覽器查看防火墻中IPsecVPN協(xié)商結(jié)果如圖5.14所示。圖5.14IPsecVPN協(xié)議結(jié)果圖5.2服務(wù)實(shí)現(xiàn)5.2.1調(diào)度服務(wù)器實(shí)現(xiàn)在DS1和DS2上部署Keepalived以后，要想達(dá)成主備切換的穩(wěn)定性，就須要完善相關(guān)的設(shè)置，拿DS1來說，它的keepalived.conf這個(gè)文件里，全局段會(huì)把router_id設(shè)成DS1，這么做就能保證系統(tǒng)在產(chǎn)生故障移交的時(shí)候準(zhǔn)確認(rèn)出節(jié)點(diǎn)的角色，給后面的高可用機(jī)制形成基本的保障。具體的全局段配置內(nèi)容如圖5.15所示。圖5.15DS1中Keepalived全局段配置內(nèi)容圖DS1中Keepalived所配的VRRP實(shí)例用來管理虛擬IP的可用性，其角色設(shè)為MASTER，綁定ens33接口，虛擬路由ID指定為80，優(yōu)先級(jí)設(shè)為100，虛擬IP指定為0/24，如此一來，當(dāng)主機(jī)出現(xiàn)故障時(shí)，備機(jī)就能接管VIP，進(jìn)而保證業(yè)務(wù)不會(huì)中斷。具體的實(shí)例段配置內(nèi)容如圖5.16所示。圖5.16DS1中Keepalived實(shí)例段配置內(nèi)容圖在DS1配置文件的LVS段里，以DR模式把用戶請求調(diào)度給Web服務(wù)器1和2，以此達(dá)成流量負(fù)載均衡，該方式既改進(jìn)了請求分發(fā)的效率，又改進(jìn)了整個(gè)系統(tǒng)應(yīng)對高并發(fā)的能力。具體的LVS段配置內(nèi)容如圖5.17所示。圖5.17DS1中KeepalivedLVS段配置內(nèi)容圖完成相關(guān)設(shè)置之后，在DS1當(dāng)中查詢網(wǎng)絡(luò)接口信息時(shí)，可以看到ens33已經(jīng)與VIP0完成綁定，這顯示主節(jié)點(diǎn)運(yùn)轉(zhuǎn)正常，Keepalived已經(jīng)發(fā)揮效力，這樣的結(jié)果證明主備切換機(jī)制確實(shí)具有實(shí)用性。DS1上查詢IP地址的結(jié)果如圖5.18所示。圖5.18DS1查看IP地址圖在DS2上執(zhí)行查詢的時(shí)候，僅僅出現(xiàn)本地IP地址，沒有關(guān)聯(lián)VIP，這體現(xiàn)出DS2正處在BACKUP狀態(tài)，主從轉(zhuǎn)換邏輯正常運(yùn)作，系統(tǒng)的高可用機(jī)制處在有效的監(jiān)測之下。DS2上查詢IP地址的結(jié)果如圖5.19所示。圖5.19DS2查看IP地址圖為完善負(fù)載均衡功能，兩臺(tái)調(diào)度服務(wù)器均設(shè)置了ipvsadm工具，統(tǒng)一用輪詢算法執(zhí)行調(diào)度，這個(gè)方案優(yōu)化了請求分發(fā)的均衡性，也優(yōu)化了系統(tǒng)整體吞吐能力，合適于高并發(fā)業(yè)務(wù)場景。配置完成后的LVS規(guī)則列表如圖5.20所示。圖5.20LVS規(guī)則列表圖在Web服務(wù)器RS1和RS2上，要想LVS-DR模式下的VIP得以正確轉(zhuǎn)發(fā)，就務(wù)必調(diào)整ARP相關(guān)的內(nèi)核參數(shù)，經(jīng)由腳本修改arp_ignore和arp_announce之類的參數(shù)，可以有效地規(guī)避錯(cuò)誤回應(yīng)，保障VIP的穩(wěn)定關(guān)聯(lián)，做到DR模式的自動(dòng)化部署。具體的腳本內(nèi)容如圖5.21所示。圖5.21修改內(nèi)核參數(shù)腳本圖5.2.2Web服務(wù)器實(shí)現(xiàn)Web服務(wù)器RS1和RS2設(shè)置了Nginx+PHP環(huán)境，指定根目錄為/web，并關(guān)聯(lián)域名，開啟PHP分析功能及錯(cuò)誤頁面重新定位功能，從而改善用戶體驗(yàn)，對諸如連接維持之類的參數(shù)加以調(diào)整，以加強(qiáng)響應(yīng)性能。以RS1為例，具體的Nginx配置內(nèi)容如圖5.22所示。圖5.22RS1的Nginx配置內(nèi)容圖5.2.3數(shù)據(jù)庫服務(wù)器實(shí)現(xiàn)在創(chuàng)建雙主復(fù)制數(shù)據(jù)庫集群時(shí)，要對mariadb-server.conf文件實(shí)施修改，在[mysqld]段加入log-bin=master.log來啟用二進(jìn)制日志，再指定server-id=31用于識(shí)別單個(gè)實(shí)例，這樣操作之后就具有了主從復(fù)制功能，可以保證數(shù)據(jù)一致并達(dá)成高可用性。以DB1為示例，具體的配置內(nèi)容如圖5.23所示。圖5.23DB1的配置內(nèi)容圖DB1配置結(jié)束以后，執(zhí)行SHOWMASTERSTATUS命令來驗(yàn)證日志狀態(tài)，結(jié)果表明日志文件是master.000004，偏移量為379，這就體現(xiàn)日志功能已經(jīng)開啟而且可以用于同步。數(shù)據(jù)庫服務(wù)器DB1的Master狀態(tài)如圖5.24所示。圖5.24DB1的Master狀態(tài)圖在DB2上執(zhí)行“SHOWSLAVESTATUS\G”命令之后，其結(jié)果表明日志文件同DB1一致，偏移位置也是符合要求的，而且“Slave_IO_Running”與“Slave_SQL_Running”兩者的值都是“Yes”，這便體現(xiàn)著復(fù)制狀態(tài)處于正常情況，主從同步機(jī)制已然達(dá)成并運(yùn)作起來。數(shù)據(jù)庫服務(wù)器DB2的Slave狀態(tài)如圖5.25所示。圖5.25DB2的Slave狀態(tài)圖若要提升數(shù)據(jù)庫的高可用性，DB1和DB2都會(huì)部署Keepalived，就拿DB1來說，其全局段的router_id被指定為db_master，檢測腳本位于/etc/keepalived/checkmariadb.sh，檢測時(shí)間設(shè)為2秒，如此便可及時(shí)監(jiān)測數(shù)據(jù)庫的運(yùn)行狀況，保證在主節(jié)點(diǎn)出現(xiàn)故障時(shí)迅速執(zhí)行切換。具體的全局段與腳本段的內(nèi)容如圖5.26所示。圖5.26DB1中Keepalived全局段及腳本段內(nèi)容圖DB1與ens33接口實(shí)施綁定，其集群ID指定為70，狀態(tài)設(shè)定為BACKUP，優(yōu)先級(jí)設(shè)為100，采用非搶占模式（nopreempt）防止太過頻繁地執(zhí)行切換。而且調(diào)用健康檢查腳本，保證虛擬IP地址0/24由健康節(jié)點(diǎn)負(fù)責(zé)承載，以此來提升集群的可用性以及穩(wěn)定性。具體的實(shí)例段配置內(nèi)容如圖5.27所示。圖5.27DB1中Keepalived實(shí)例段內(nèi)容圖Keepalived可經(jīng)由設(shè)置健康檢查腳本來判斷MariaDB服務(wù)是否正常，該腳本利用“l(fā)sof-i:3306”命令監(jiān)測數(shù)據(jù)庫監(jiān)聽端口，若此端口未處于監(jiān)聽狀態(tài)，便會(huì)自動(dòng)停止Keepalived服務(wù)，并釋放VIP，從而做到故障節(jié)點(diǎn)的自動(dòng)隔離，保證高可用機(jī)制發(fā)揮作用。具體的腳本內(nèi)容如圖5.28所示。圖5.28腳本內(nèi)容圖5.2.4域名解析服務(wù)器實(shí)現(xiàn)在DNS1服務(wù)器當(dāng)中，要對/etc/named.conf執(zhí)行編輯，針對正向區(qū)域“”和反向區(qū)域“110.16.172.”均指定為Master類型，其中正向記錄存放于antuo.zone文件里面，而反向記錄則寫進(jìn)110.zone文件之中，還要向DNS2（2）賦予權(quán)限來做區(qū)域傳送，從而保證主從數(shù)據(jù)的一致性。具體的配置內(nèi)容如圖5.29所示。圖5.29DNS1的配置內(nèi)容圖DNS2被設(shè)置成從服務(wù)器，它借助slaves/antuo.zone和slaves/110.zone來獲取主DNS的同步數(shù)據(jù)，主機(jī)是DNS1（1），這兩個(gè)區(qū)域都被設(shè)定為從屬性質(zhì)，這樣做可以保證在主機(jī)發(fā)生故障的時(shí)候仍然能夠執(zhí)行解析工作，從而提升系統(tǒng)的可用程度。具體的配置內(nèi)容如圖5.30所示。圖5.30DNS2的配置內(nèi)容圖在DNS1服務(wù)器的/var/named目錄下，配置antuo.zone與110.zone這兩個(gè)文件，正向文件里要把SOA記錄設(shè)成，NS記錄設(shè)為dns1和dns2，再添加上諸如www這樣主機(jī)的A記錄，反向文件當(dāng)中則要配置PTR記錄，以做到從IP到域名的反向查找。具體的配置內(nèi)容如圖5.31所示。圖5.31DNS1的正反向解析文件圖重啟DNS2服務(wù)之后，就會(huì)從DNS1那里去同步解析數(shù)據(jù)，用“l(fā)s/var/named/slaves/”這個(gè)命令，可以看到自動(dòng)生成的antuo.zone和110.zone這兩個(gè)文件，就知道主從同步機(jī)制開始起作用，這樣就能保證解析是一樣的，在DNS2這個(gè)從服務(wù)器上去看生成的解析文件效果。在從DNS2服務(wù)器上查看生成解析文件的效果如圖5.32所示。圖5.32DNS2生成解析文件效果圖5.2.5存儲(chǔ)服務(wù)器實(shí)現(xiàn)iSCSI目標(biāo)服務(wù)器利用targetcli創(chuàng)建目標(biāo)iqn.2022-05.com.antuo:test，并啟用20GB磁盤/dev/sdb作為存儲(chǔ)對象，其模式被指定為write-thru。在tpg1之下存在兩條ACL規(guī)則，它們分別針對客戶端RS1和RS2，而且這兩條規(guī)則皆映射為mapped_lun0，該服務(wù)的監(jiān)聽地址為:3260，運(yùn)行狀態(tài)良好。存儲(chǔ)服務(wù)器的具體配置內(nèi)容如圖5.33所示。圖5.33存儲(chǔ)服務(wù)器配置內(nèi)容圖在RS1上，Initiator的名稱被設(shè)置成.antuo:rs1，然后利用iscsiadm命令去連接iSCSI目標(biāo)服務(wù)器，這個(gè)過程執(zhí)行無誤，其會(huì)話傳送地址顯示為0:3260，之后用lsblk來檢查，就可以看到sdb（容量為20GB）掛載到了/antuo目錄下，這表明存儲(chǔ)映射已經(jīng)達(dá)成。以RS1為例，具體的配置內(nèi)容如圖5.34所示。圖5.34RS1服務(wù)器iSCSI存儲(chǔ)掛載與會(huì)話狀態(tài)驗(yàn)證圖5.2.6監(jiān)控服務(wù)器實(shí)現(xiàn)在服務(wù)器上完成Zabbix監(jiān)測系統(tǒng)的部署之后，可以經(jīng)由Web界面來瀏覽所有處于監(jiān)測之下的主機(jī)的狀態(tài)，ZabbixAgent的連接很穩(wěn)定，各主機(jī)的狀態(tài)均顯示正常（ZBX），這表明系統(tǒng)運(yùn)行狀況良好，具備即時(shí)數(shù)據(jù)采集的能力，而且給運(yùn)維工作帶來了可視化的便利。在瀏覽器查看監(jiān)控效果如圖5.35所示。圖5.35Zabbix監(jiān)控效果圖Zabbix已設(shè)置好多種服務(wù)的檢測及告警策略，當(dāng)服務(wù)出現(xiàn)異常時(shí)，系統(tǒng)會(huì)自動(dòng)觸發(fā)告警，并以郵件形式告知管理員，各種觸發(fā)器模板均已生效，形成起多層次的故障響應(yīng)機(jī)制，從而改善了系統(tǒng)的可維護(hù)性。具體的告警規(guī)則如圖5.36所示。圖5.36Zabbix告警規(guī)則圖5.2.7自動(dòng)化實(shí)現(xiàn)在集群環(huán)境當(dāng)中，利用Ansible服務(wù)器來批量部署ZabbixAgent客戶端，經(jīng)由Playbook自動(dòng)化實(shí)行安裝，設(shè)置以及服務(wù)守護(hù)相關(guān)操作，這樣就可以做到各個(gè)節(jié)點(diǎn)的性能數(shù)據(jù)被統(tǒng)一采集，突出改進(jìn)了運(yùn)維效率和可保障性。（1）Ansible服務(wù)器免密碼SSH登錄配置要做到自動(dòng)化運(yùn)作，Ansible服務(wù)器利用ssh-keygen產(chǎn)生密鑰，并把公鑰分發(fā)給目標(biāo)主機(jī)，從而達(dá)成免密碼SSH登錄，保證Ansible劇本可順利運(yùn)行。執(zhí)行“sshroot@目標(biāo)服務(wù)器IP”驗(yàn)證免密登錄效果如圖5.37所示。圖5.37Ansible服務(wù)器測試免密登錄效果圖（2）Ansible服務(wù)器主機(jī)清單配置在Ansible服務(wù)器上面修改主機(jī)清單文件，把要監(jiān)測的服務(wù)器的IP地址加進(jìn)去，然后將其命名為zabbix。主機(jī)清單內(nèi)容如圖5.38所示。圖5.38Ansible服務(wù)器主機(jī)清單內(nèi)容圖（3）Ansible服務(wù)器Ping模塊主機(jī)連通性測試運(yùn)行ansibleall-mping指令來檢測各個(gè)主機(jī)之間的聯(lián)通情況，倘若反饋結(jié)果均為SUCCESS，這就顯示網(wǎng)絡(luò)通信處于正常狀態(tài)，可以穩(wěn)定地接受指令請求。測試的效果如圖5.39所示。圖5.39Ansible服務(wù)器測試連通性效果圖（4）Ansible服務(wù)器編寫Playbook劇本編寫zabbix.yaml劇本完成ZabbixAgent的自動(dòng)部署流程，包含檢測并復(fù)制安裝包，經(jīng)由YUM執(zhí)行安裝，指定開機(jī)自啟，修改配置文件使其指向Server地址0，然后重新啟動(dòng)服務(wù)。執(zhí)行完畢之后清除臨時(shí)文件，以維持系統(tǒng)的干凈整潔。具體的內(nèi)容如圖5.40和圖5.41所示。圖5.40劇本內(nèi)容1圖圖5.41劇本內(nèi)容2圖（5）Ansible服務(wù)器執(zhí)行Playbook劇本在Ansible服務(wù)器上，執(zhí)行劇本，對主機(jī)清單中的所有受控服務(wù)器進(jìn)行ZabbixAgent的自動(dòng)化部署。通過運(yùn)行“ansible-playbookagent.yaml”命令，自動(dòng)完成軟件安裝、配置文件修改以及服務(wù)啟動(dòng)等關(guān)鍵步驟。執(zhí)行劇本結(jié)果如圖5.42所示。圖5.42Ansible服務(wù)器執(zhí)行劇本結(jié)果圖5.2.8虛擬化實(shí)現(xiàn)使用命令完成了Docker的安裝，并通過版本信息確認(rèn)軟件已正確部署，系統(tǒng)環(huán)境配置無誤，為后續(xù)服務(wù)運(yùn)行打下基礎(chǔ)。查看Docker版本如圖5.43所示。圖5.43查看Docker版本通過執(zhí)行dockerpull命令順利獲取了最新版本的NTP鏡像，確保后續(xù)部署過程中依賴的環(huán)境文件齊全。鏡像下載完成后，系統(tǒng)未報(bào)錯(cuò)，具備立即啟動(dòng)并運(yùn)行容器的基礎(chǔ)條件。查看拉取鏡像結(jié)果如圖5.44所示。圖5.44查看拉取鏡像結(jié)果容器順利啟動(dòng)并保持運(yùn)行狀態(tài)，已通過環(huán)境變量配置了時(shí)間同步服務(wù)器地址，確保服務(wù)節(jié)點(diǎn)能夠穩(wěn)定提供時(shí)間同步功能。監(jiān)測輸出顯示服務(wù)正常，具備持續(xù)提供時(shí)鐘信號(hào)的能力。啟動(dòng)服務(wù)如圖5.45所示。圖5.45啟動(dòng)時(shí)間同步服務(wù)通過查看容器的運(yùn)行狀態(tài)，確認(rèn)時(shí)間同步服務(wù)已處于正常運(yùn)行中；隨后使用命令檢查其同步源信息，驗(yàn)證服務(wù)節(jié)點(diǎn)已成功與設(shè)定的時(shí)間服務(wù)器建立連接并進(jìn)行時(shí)間同步。查看結(jié)果如圖5.46所示。圖5.46查看時(shí)間同步服務(wù)容器狀態(tài)與同步源信息第6章系統(tǒng)測試6.1網(wǎng)絡(luò)功能測試6.1.1有線網(wǎng)絡(luò)通信測試要保證公司網(wǎng)絡(luò)架構(gòu)穩(wěn)定又合理，就要對VLAN之間的通信，內(nèi)部服務(wù)能否到達(dá)，內(nèi)外網(wǎng)結(jié)合狀況展開檢測，檢測內(nèi)容包含不同部門VLAN彼此訪問，內(nèi)網(wǎng)訪問公司服務(wù)器是否可行，還有內(nèi)部網(wǎng)絡(luò)介入互聯(lián)網(wǎng)穩(wěn)不穩(wěn)定。檢測結(jié)果顯示，網(wǎng)絡(luò)設(shè)置合乎預(yù)期，總體通信穩(wěn)定又可靠，在部門互聯(lián)檢測的時(shí)候，研發(fā)部（VLAN30）同運(yùn)維部（VLAN50）可以完成數(shù)據(jù)交互，保證業(yè)務(wù)正常運(yùn)行。測試結(jié)果如圖6.1所示。圖6.1部門間通信結(jié)果圖內(nèi)部資源訪問評(píng)定時(shí)，各部門均能正常訪問公司W(wǎng)eb服務(wù)器，這證明內(nèi)部網(wǎng)絡(luò)具有連通性，譬如運(yùn)維部就順利訪問到公司W(wǎng)eb服務(wù)器，從而保障了業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行。測試結(jié)果如圖6.2所示。圖6.2部門與服務(wù)器通信結(jié)果圖外網(wǎng)連通性評(píng)定時(shí)，公司內(nèi)網(wǎng)終端可穩(wěn)定訪問互聯(lián)網(wǎng)，這就驗(yàn)證了出口網(wǎng)絡(luò)可用，比如，運(yùn)維部順利連入外網(wǎng)，于是內(nèi)部用戶就能正常訪問互聯(lián)網(wǎng)資源。測試結(jié)果如圖6.3所示。圖6.3部門與互聯(lián)網(wǎng)通信結(jié)果圖6.1.2MSTP測試要想驗(yàn)證MSTP有沒有生效，可以模擬銷售部PC4不斷去Ping互聯(lián)網(wǎng)地址，然后在LSW2的GE0/0/3和GE0/0/4端口處獲取流量，結(jié)果表明，GE0/0/3沒有檢測到ICMP數(shù)據(jù)，但GE0/0/4卻可以正常接收到，這就體現(xiàn)出GE0/0/3進(jìn)入到了阻塞狀態(tài)，MSTP達(dá)成了對冗余鏈路的阻斷。測試結(jié)果如圖6.4所示。圖6.4MSTP測試結(jié)果圖6.1.3VRRP測試在測試之前，要先確認(rèn)在正常情形下Core1和Core2的主備狀態(tài)，接著去模擬Core1上行口G0/0/9出現(xiàn)故障的狀況，這時(shí)系統(tǒng)立即執(zhí)行主備切換，數(shù)據(jù)流并不會(huì)被截?cái)?。這樣的結(jié)果證實(shí)了VRRP機(jī)制具備穩(wěn)定且高效可用的特性，可以保障業(yè)務(wù)持續(xù)運(yùn)行。測試結(jié)果如圖6.5所示。圖6