项目一_任务3-3_卫生局新办公楼办公网方案

项目一_任务3-3_卫生局新办公楼办公网方案内容摘要：

种数据类型，不同的业务系统对网络服务的要求不同，因此在 办公网 中需要 实施一定的 QoS 策略，保证对于不同的应用数据根据其具体要求提供相应的网络服务，并能在必要的时 候优先保证关键性业务数据的传输。 QoS 技术本身比较复杂， QoS 应主要实施接入带宽控制和优先级设置，避免过于复杂的QoS 设计（如流量整形、流量工程等）。 网络安全 要求 针对 XX 局 的各种应用，有多种的保护机制，如划分 VLAN、 MAC 地址绑定、配合 ACL等具体技术提升整个网络的安全性。 针对 XX 局 网络的特点， 网络安全的部署和实施应该从具体应用对安全的需求出发， 根据需求部署相应的安全机制、制订相应的安全策略、部署安全设备。 网络可管理性 作为 XX 局 工作 、管理、学习的支撑平台 ，为了保证上层各个应用系统的稳定运行， 办公网 本身的可靠稳定健康运行极为重要。 因此，必须建立一套有效的网络管理系统，以保障核心业务系统和关键应用系统的 7*24 小时不间断的运行。 网管系统必须实现对网络的集中监控和对网络资源的合理使用，必须随时全面地、深入地了解网络设备的健康状态、流量状态以及流量趋势状态和流量结构状态等，从而提供高水平的面向应用的网络服务质量和网络运维服务水平。 办公网 网 管系统应按照二 个层面进行设计： 网络层管理：包括网络拓扑和网络性能管理。 显示内容专业化，纵观全局；可以分析全网流量状态、流量结构等信息，并提供专业报告。 设备层管理 ：包括设备的故障管理与配置管理，以及日常监控。 相关内容细致化，操作便利。 湖南工业职业技术学院 网络技术专业教学资源库 8 4. 办公网 总体网络规划 网络拓扑图 总体网络架构 办公网 主要用来承载与 XX 局 工作 、管理、学习相关的 各种 业务系统，根据网络分层设计理念，本次 办公网 分为如下几个层次：核心交换机区、服务器区、 楼层接入区。 核心交换机区 部署在网络中心，主要负责 办公网 全网的 高性能线速转发，实现服务器区 、 楼层接入区之间的互联。 核心交换区是一个高速的 Layer3 交换骨干， 设计 时 需要通过 设备冗余、路由冗余、链路冗余等技术，充分保障网络系统稳定性。 核心交换平 区建议部署 万兆核心交换机 ，形成高性能、高可靠核心交换机 区。 为了保证单台核心设备的可靠性，建议配置双电源 ，在核心交换机上不建议配置复杂的协议，只需要启动三层路由协议和 CPU 保护即可。 湖南工业职业技术学院 网络技术专业教学资源库 9 服务器接入区 部署在网络中心，主要实现以下功能：  用来承载 XX 局 的所有服务器，为 XX 局 办公人员 提供网络服务。  承载 办公网 网管系统； 服务器通过 L2 层 千兆链路 归属到核心交换机上 ，合理使用核心交换机上端口资源。 楼层接入区 部署在各个配线间，用来实现信息点的安全接入。 主要完成以下功能：  通过 VLAN 定义实现业务划分。  实现 QoS，对数据包进行分类和标记。  接入网作为 用户终端接入 的唯一接口，在为用户终端提供高速、方便的网络接入服务的同时，需要对用户终端进行访问行为规范控制， 从而 拒绝非法用户使用网络，保证合法用户合理使用网络资源 ，并 有效防止和控制病毒传播和网络攻击。 在每个 配线间部署 24 口接入交换机，通过 L2 层 千兆链路 双归属到核心交换机。 湖南工业职业技术学院 网络技术专业教学资源库 10 5. 办公网 高可用性设计 网络的可靠性是一个从端到端的全程概念，单纯提高某一层面的可靠性并不能对网络整体的可靠性有很大改善。 网络的可靠性最终要从设备级、链路级、网络级、业务级等各层次保证。 设备级高可 用设计 设备级的可靠性：包括设备本身的健 壮性及对周围环境的适应能力，可靠的设备应该对关键部件（如 交换网板，电源等）进行冗余备份，并且可以在恶劣的环境下长时间稳定运行。 设备级可靠性的另外一个重要方面就是设备在线升级能力及容错能力，容错能力体现在如设备发生故障时，可自动平滑的启动备份部件，不对业务造成影响。 本方案中采用 XX 网络的数据通信交换机， XX 网络交换机在 2020 年荣获第一批“中国名牌”交换机，产品品质得到了国家权威评测结构的认可，品质过硬。 XX 网络交换机在网络设备上进行了软、硬件的架构优化，确 保网络交换机具备“ %”的电信级稳定性。 设备部件无单点故障 XX 网络核心骨干交换机 RGS7800 系列均在设备本身的重要部件上进行了无故障设计。 主要体现在：  双路电源，负载均衡供电 湖南工业职业技术学院 网络技术专业教学资源库 11  3 风扇冗余设计，互为备份  0 故障无源背板设计 操作系统模块化 XX 网络的通用操作系统 Ruijie General Operation System（ RGOS）自 2020 年开发至今，已成为 XX 网络全线交换路由产品统一的系统平台。 XXRGOS 模块化操作系统设计原理图  这是一种模块化软件平台（对软 件系统进行划分之后，将不同的系统任务分割成一些很少交互的可管理子集）  系统内核通过 POSIX 连接各功能模块。 各功能模块独立，故障隔离，提升新功能开发测试效率和系统稳定性。  RGOS 系统内核通过 POSIX 接口连接硬件抽象层，扩展支持多种网络产品，如交换机、路由器、出口设备等。 通过 RGOS 的开放性设计，可以整合多种产品资源，加速产品与技术发展。 利用多种网络产品组网形成基于 RGOS 的智能、融合的IP 网络。 三平面分离保护 传统交换机系统分为数据平面和控制平面两部分。 控制平面负责各种协议的运行和控制，提供 TELNET、 WEB、 SSH、 SNMP 等管理接口，执行管理员对于网络设备各种网络功能的设置命令，交换机是否稳定的直接根源。 数据平面数据的各种处理转发过程，包括L2/L3/ACL/QOS/组播等各种功能。 数据平面是交换机最耗费资源的平面。 湖南工业职业技术学院 网络技术专业教学资源库 12 XX 的高端交换机将控制平面再分离，分为控制平面和管理平面，由管理平面负责提供TELNET、 WEB、 SSH、 SNMP 等管理接口，保证在路由震荡、网络复杂、病毒攻击条件下，控制平面的协议运行占用大量设备资源，管理平面独立于控制平面，可以轻松通过管理平面在线定位和规避网络设备的非正常运行 ，高度保证了系统稳定性。 RGS7800 系列交换机在“三平面分离”的基础上加强了各平面内部的保护。 “平面保护”通过分别对“控制平面、管理平面、数据平面”三个平面提供大量的保护技术，极大地保证了各个平面的内部稳定性。 硬件 CPU 保护 目前众多的网络病毒都是通过对网络设备的 CPU 上进行特定协议的攻击。 例如，利用伪造的数据包瞄准具体协议，向网络设备发动攻击。 攻击会大量消耗 CPU 上的资源 (CPU 循环和通信队列 )，从而达到攻击目的。 XX 网络 RGS7800 系列交换机通过硬件的方式对发往控制平面的数据进行分 类，把不同的协议数据归类到不同的队列然后对不同的队列进行限速，专门对路由引擎进行保护，阻挡外界的 DOS 攻击。 而且并不影响转发速度，所以 CPP 能够在不影响性能的前提下，灵活且有力的防止攻击，而且保证了即使有大规模攻击数据发往 CPU 的时候依然可以在交换机内部对数据进行区分对外。 湖南工业职业技术学院 网络技术专业教学资源库 13 CPP 提供三种保护方法，来保护 CPU 的利用率。 第一，可以配置 CPU 接受数据流的总带宽，从全局上保护 CPU。 第二，可以设备 QOS 队列，为每种队列设置带宽。 第三，为每种类型的报文设置最大速率。 经过信息产业部权威测试中心测试， 得出结论：“ XX 网络的 CPP 功能可进一步提高交换机抗攻击的能力和保持网络拓扑与 CPU 的稳定性” 网络服务质量保证 建议方案，以 XX 局 实际规划为主。 在传统的 IP 网络中，所有的报文都被无区别的等同对待，每个 网络设备 对所有的报文均采用先入先出（ FIFO）的策略进行处理，它尽最大的努力（ besteffort）将报文送到目的地，但对报文传送的可靠性、传送延迟等性能不提供任何保证。 随着 IP 技术的日趋成熟， IP 网络电信化已经成为大势所趋，于是形成了语音、视频、数据等多种业务 IP 统一承载，由于语音、视频等实时业务自 身的特点对承载平台提出了严格的服务质量要求，因此就必须在网络中部署相应的 QoS 技术，使得网络管理者能够有效地控制网络资源的使用，能够在有限资源的 IP 平台上综合语音、视频及数据等多种业务，能够区分业务、针对不同的业务提供特色的差分服务。 QoS 旨在针对各种应用的不同需求，为其提供不同的服务质量，例如：提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。 为实现上述目的， QoS 提供了下述功能： （ 1） 报文分类和着色 （ 2） 避免和管理网络拥塞 （ 3） 流量监管和流量整形 湖南工业职业技术学院 网络技术专业教学。