【文章內(nèi)容簡介】 種數(shù)據(jù)類型，不同的業(yè)務系統(tǒng)對網(wǎng)絡服務的要求不同，因此在 辦公網(wǎng) 中需要 實施一定的 QoS 策略，保證對于不同的應用數(shù)據(jù)根據(jù)其具體要求提供相應的網(wǎng)絡服務，并能在必要的時 候優(yōu)先保證關鍵性業(yè)務數(shù)據(jù)的傳輸。 QoS 技術本身比較復雜， QoS 應主要實施接入帶寬控制和優(yōu)先級設置，避免過于復雜的QoS 設計（如流量整形、流量工程等）。 網(wǎng)絡安全 要求 針對 XX 局 的各種應用，有多種的保護機制，如劃分 VLAN、 MAC 地址綁定、配合 ACL等具體技術提升整個網(wǎng)絡的安全性 。 針對 XX 局 網(wǎng)絡的特點， 網(wǎng)絡安全的部署和實施應該從具體應用對安全的需求出發(fā)， 根據(jù)需求部署相應的安全機制、制訂相應的安全策略、部署安全設備。 網(wǎng)絡可管理性 作為 XX 局 工作 、管理、學習的支撐平臺 ，為了保證上層各個應用系統(tǒng)的穩(wěn)定運行， 辦公網(wǎng) 本身的可靠穩(wěn)定健康運行極為重要。因此，必須建立一套有效的網(wǎng)絡管理系統(tǒng)，以保障核心業(yè)務系統(tǒng)和關鍵應用系統(tǒng)的 7*24 小時不間斷的運行。 網(wǎng)管系統(tǒng)必須實現(xiàn)對網(wǎng)絡的集中監(jiān)控和對網(wǎng)絡資源的合理使用，必須隨時全面地、深入地了解網(wǎng)絡設備的健康狀態(tài)、流量狀態(tài)以及流量趨勢狀態(tài)和流量結構狀態(tài)等，從而提供高水平的面向應用的網(wǎng)絡服務質(zhì)量和網(wǎng)絡運維服務水平。 辦公網(wǎng) 網(wǎng) 管系統(tǒng)應按照二 個層面進行設計： 網(wǎng)絡層管理：包括網(wǎng)絡拓撲和網(wǎng)絡性能管理。顯示內(nèi)容專業(yè)化，縱觀全局；可以分析全網(wǎng)流量狀態(tài)、流量結構等信息，并提供專業(yè)報告。 設備層管理 ：包括設備的故障管理與配置管理，以及日常監(jiān)控。相關內(nèi)容細致化，操作便利。 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 8 4. 辦公網(wǎng) 總體網(wǎng)絡規(guī)劃 網(wǎng)絡拓撲圖 總體網(wǎng)絡架構 辦公網(wǎng) 主要用來承載與 XX 局 工作 、管理、學習相關的 各種 業(yè)務系統(tǒng)，根據(jù)網(wǎng)絡分層設計理念，本次 辦公網(wǎng) 分為如下幾個層次：核心交換機區(qū)、服務器區(qū)、 樓層接入?yún)^(qū) 。 核心交換機區(qū) 部署在網(wǎng)絡中心，主要負責 辦公網(wǎng) 全網(wǎng)的 高性能線速轉(zhuǎn)發(fā)，實現(xiàn)服務器區(qū) 、 樓層接入?yún)^(qū)之間的互聯(lián)。 核心交換區(qū)是一個高速的 Layer3 交換骨干， 設計 時 需要通過 設備冗余、路由冗余、鏈路冗余等技術，充分保障網(wǎng)絡系統(tǒng)穩(wěn)定性。 核心交換平 區(qū)建議部署 萬兆核心交換機 ，形成高性能、高可靠核心交換機 區(qū)。 為了保證單臺核心設備的可靠性，建議配置雙電源 ，在核心交換機上不建議配置復雜的協(xié)議，只需要啟動三層路由協(xié)議和 CPU 保護即可。 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 9 服務器接入?yún)^(qū) 部署在網(wǎng)絡中心，主要實現(xiàn)以下功能： ? 用來承載 XX 局 的所有服務器，為 XX 局 辦公人員 提供網(wǎng)絡服務。 ? 承載 辦公網(wǎng) 網(wǎng)管系統(tǒng)； 服務器通過 L2 層 千兆鏈路 歸屬到核心交換機上 ，合理使用核心交換機上端口資源 。 樓層接入?yún)^(qū) 部署在各個配線間，用來實現(xiàn)信息點的安全接入 。 主要完成以下功能： ? 通過 VLAN 定義實現(xiàn)業(yè)務劃分。 ? 實現(xiàn) QoS，對數(shù)據(jù)包進行分類和標記。 ? 接入網(wǎng)作為 用戶終端接入 的唯一接口，在為用戶終端提供高速、方便的網(wǎng)絡接入服務的同時，需要對用戶終端進行訪問行為規(guī)范控制， 從而 拒絕非法用戶使用網(wǎng)絡，保證合法用戶合理使用網(wǎng)絡資源 ，并 有效防止和控制病毒傳播和網(wǎng)絡攻擊 。 在每個 配線間部署 24 口接入交換機，通過 L2 層 千兆鏈路 雙歸屬到核心交換機 。 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 10 5. 辦公網(wǎng) 高可用性設計 網(wǎng)絡的可靠性是一個從端到端的全程概念，單純提高某一層面的可靠性并不能對網(wǎng)絡整體的可靠性有很大改善。 網(wǎng)絡的可靠性最終要從設備級、鏈路級、網(wǎng)絡級、業(yè)務級等各層次保證。 設備級高可 用設計 設備級的可靠性：包括設備本身的健 壯性及對周圍環(huán)境的適應能力，可靠的設備應該對關鍵部件（如 交換網(wǎng)板，電源等）進行冗余備份，并且可以在惡劣的環(huán)境下長時間穩(wěn)定運行。 設備級可靠性的另外一個重要方面就是設備在線升級能力及容錯能力，容錯能力體現(xiàn)在如設備發(fā)生故障時，可自動平滑的啟動備份部件，不對業(yè)務造成影響。 本方案中采用 XX 網(wǎng)絡的數(shù)據(jù)通信交換機， XX 網(wǎng)絡交換機在 2020 年榮獲第一批“中國名牌”交換機，產(chǎn)品品質(zhì)得到了國家權威評測結構的認可，品質(zhì)過硬。 XX 網(wǎng)絡交換機在網(wǎng)絡設備上進行了軟、硬件的架構優(yōu)化，確 保網(wǎng)絡交換機具備“ %”的電信級穩(wěn)定性。 設備部件無單點故障 XX 網(wǎng)絡核心骨干交換機 RGS7800 系列均在設備本身的重要部件上進行了無故障設計。 主要體現(xiàn)在： ? 雙路電源，負載均衡供電 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 11 ? 3 風扇冗余設計，互為備份 ? 0 故障無源背板設計 操作系統(tǒng)模塊化 XX 網(wǎng)絡的通用操作系統(tǒng) Ruijie General Operation System（ RGOS）自 2020 年開發(fā)至今，已成為 XX 網(wǎng)絡全線交換路由產(chǎn)品統(tǒng)一的系統(tǒng)平臺。 XXRGOS 模塊化操作系統(tǒng)設計原理圖 ? 這是一種模塊化軟件平臺（對軟 件系統(tǒng)進行劃分之后，將不同的系統(tǒng)任務分割成一些很少交互的可管理子集） ? 系統(tǒng)內(nèi)核通過 POSIX 連接各功能模塊。各功能模塊獨立，故障隔離，提升新功能開發(fā)測試效率和系統(tǒng)穩(wěn)定性。 ? RGOS 系統(tǒng)內(nèi)核通過 POSIX 接口連接硬件抽象層，擴展支持多種網(wǎng)絡產(chǎn)品，如交換機、路由器、出口設備等。通過 RGOS 的開放性設計，可以整合多種產(chǎn)品資源，加速產(chǎn)品與技術發(fā)展。利用多種網(wǎng)絡產(chǎn)品組網(wǎng)形成基于 RGOS 的智能、融合的IP 網(wǎng)絡。 三平面分離保護 傳統(tǒng)交換機系統(tǒng)分為數(shù)據(jù)平面和控制平面兩部分。控制平面負責各種協(xié)議的運行和控制，提供 TELNET、 WEB、 SSH、 SNMP 等管理接口，執(zhí)行管理員對于網(wǎng)絡設備各種網(wǎng)絡功能的設置命令，交換機是否穩(wěn)定的直接根源。數(shù)據(jù)平面數(shù)據(jù)的各種處理轉(zhuǎn)發(fā)過程，包括L2/L3/ACL/QOS/組播等各種功能。數(shù)據(jù)平面是交換機最耗費資源的平面。 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 12 XX 的高端交換機將控制平面再分離，分為控制平面和管理平面，由管理平面負責提供TELNET、 WEB、 SSH、 SNMP 等管理接口，保證在路由震蕩、網(wǎng)絡復雜、病毒攻擊條件下，控制平面的協(xié)議運行占用大量設備資源，管理平面獨立于控制平面，可以輕松通過管理平面在線定位和規(guī)避網(wǎng)絡設備的非正常運行 ，高度保證了系統(tǒng)穩(wěn)定性。 RGS7800 系列交換機在“三平面分離”的基礎上加強了各平面內(nèi)部的保護。 “平面保護”通過分別對“控制平面、管理平面、數(shù)據(jù)平面”三個平面提供大量的保護技術，極大地保證了各個平面的內(nèi)部穩(wěn)定性。 硬件 CPU 保護 目前眾多的網(wǎng)絡病毒都是通過對網(wǎng)絡設備的 CPU 上進行特定協(xié)議的攻擊。例如，利用偽造的數(shù)據(jù)包瞄準具體協(xié)議，向網(wǎng)絡設備發(fā)動攻擊。攻擊會大量消耗 CPU 上的資源 (CPU 循環(huán)和通信隊列 )，從而達到攻擊目的。 XX 網(wǎng)絡 RGS7800 系列交換機通過硬件的方式對發(fā)往控制平面的數(shù)據(jù)進行分 類，把不同的協(xié)議數(shù)據(jù)歸類到不同的隊列然后對不同的隊列進行限速，專門對路由引擎進行保護，阻擋外界的 DOS 攻擊。而且并不影響轉(zhuǎn)發(fā)速度，所以 CPP 能夠在不影響性能的前提下，靈活且有力的防止攻擊，而且保證了即使有大規(guī)模攻擊數(shù)據(jù)發(fā)往 CPU 的時候依然可以在交換機內(nèi)部對數(shù)據(jù)進行區(qū)分對外。 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 13 CPP 提供三種保護方法，來保護 CPU 的利用率。 第一，可以配置 CPU 接受數(shù)據(jù)流的總帶寬，從全局上保護 CPU。 第二，可以設備 QOS 隊列，為每種隊列設置帶寬。 第三，為每種類型的報文設置最大速率。 經(jīng)過信息產(chǎn)業(yè)部權威測試中心測試， 得出結論：“ XX 網(wǎng)絡的 CPP 功能可進一步提高交換機抗攻擊的能力和保持網(wǎng)絡拓撲與 CPU 的穩(wěn)定性” 網(wǎng)絡服務質(zhì)量保證 建議方案，以 XX 局 實際規(guī)劃為主。 在傳統(tǒng)的 IP 網(wǎng)絡中，所有的報文都被無區(qū)別的等同對待，每個 網(wǎng)絡設備 對所有的報文均采用先入先出（ FIFO）的策略進行處理，它盡最大的努力（ besteffort）將報文送到目的地，但對報文傳送的可靠性、傳送延遲等性能不提供任何保證。 隨著 IP 技術的日趨成熟， IP 網(wǎng)絡電信化已經(jīng)成為大勢所趨，于是形成了語音、視頻、數(shù)據(jù)等多種業(yè)務 IP 統(tǒng)一承載，由于語音、視頻等實時業(yè)務自 身的特點對承載平臺提出了嚴格的服務質(zhì)量要求，因此就必須在網(wǎng)絡中部署相應的 QoS 技術，使得網(wǎng)絡管理者能夠有效地控制網(wǎng)絡資源的使用，能夠在有限資源的 IP 平臺上綜合語音、視頻及數(shù)據(jù)等多種業(yè)務，能夠區(qū)分業(yè)務、針對不同的業(yè)務提供特色的差分服務。 QoS 旨在針對各種應用的不同需求，為其提供不同的服務質(zhì)量，例如：提供專用帶寬、減少報文丟失率、降低報文傳送時延及時延抖動等。為實現(xiàn)上述目的， QoS 提供了下述功能： （ 1） 報文分類和著色 （ 2） 避免和管理網(wǎng)絡擁塞 （ 3） 流量監(jiān)管和流量整形 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學