网络规划师论文分析

论文架构要求：摘要（300字）、项目背景（500字）、正文（1300字）建议不要超过五个模块、总结（200字）。

一、内容
参考架构1：PSV架构/问答式
1、风险与现状分析：把风险和问题说清楚。
2、问题的整改：具体的问题，一个个整改。里面可以罗列多个小标题，比如：
（1）架构优化
（2）网络安全整改
（3）xxx
3、建设效果与总结。

参考架构2：模块化结构
1、整体建设的标准，方法论等。
2、分模块谈建设，比如出口区域、核心区域、服务器区域、安全管理区等。

参考架构3：等保架构
1、分析现状和标准的差异，方法论等。
2、直接参考等保测评，管理+技术（10点）抽取重要的部分写。

二、格式
1、写模块、分小标题。
2、模块间要有逻辑、清晰明了。先有架构再有其他的。模块内部不要过分嵌套，不要再使用小分点了。
3、分段，每段不宜超过500字，适当留白。

三、范文解析
随着互联网及其各种应用的飞速发展，网络信息资源呈现出爆炸性增长的趋势，对数据进行高效率的存储、管理和使用成为信息发展的需求。网络存储就是一种利于信息整合与数据共享，易于管理的、安全的存储结构和技术，将网络带入了以数据为中心的时代。
请围绕"论网络存储技术与应用”论题，依次对以下三个方面进行论述。
1.简要论述目前网络存储技术，包括主流的技术分类及标准、网络拓扑结构、服务器架设、通信链路与连接、软硬件配置与设备等。
2.详细叙述你参与设计和实施的大中型网络项目中采用的网络存储方案，包括选用的技术、基础建设的要求、数据交换与负载均衡等。
3.分析和评估你所实施的网络存储项目的效果、瓶颈以及相关的改进措施。

一、网络结构设计
1、骨干网络架构
2、物联网架构
二、存储设计
1、分布式和集中式存储结合
2、虚拟化存储
三、容灾备份
标题是存储技术，应当以存储为核心。先写存储，再写存储网络，存储备份网络。

网络安全防护设计
本校园网采用在较为稳定且易拓展和维护的树形网络架构的基础上根据业务类型划分相应的VLAN，网络架构划分为出口区、DMZ区、核心区、汇聚层、接入层。（为什么要分区、如何分区）出口区域是内部校园网与外部网络的边界，采用深信服AF-1000-D440下一代防火墙连接外部网络，开启DDOS防护、入侵防护、实时漏洞分析安全功能。同时，开启动态NAT地址转换，将一个公网地址映射为多个内网地址，便于隐藏校园网内网地址。DMZ区中主要存放服务器为师生以及外来用户提供访问。与出口区域的防火墙直连，同时也采用深信服的AF-1000-D440下一代防火墙作为边界防火墙，对于访问者的流量进行审查，保障该区域的网络安全。

根据我行信息系统边界，采取SDN+VXLAN技术将我行数据中心网络分为办公业务区（负责OA系统、财务系统、经营决策管理系统等行内业务接入）、核心业务区（负责柜面系统、电子渠道等核心业务的接入）、重要外联区（负责重要外联线路的接入，例如人民银行、银联、政府等单位）、广域网接入区（负责提供数据中心到核心各地州办事处骨干网的连接）、互联网接入区（负责互联网接入）、安全管理区（负载各区域监测和网络管理）。各区域网络边界均部署两台华为USG6600系列防火墙，做区域隔离和访问控制，并根据各区域安全要求配置相应安全策略，同时开启防病毒功能，截断病毒通过网络传播的途径，有效防止病毒从其他区域传播到内部其他安全域中，净化网络流量。同时两两设备间进行设备HA高可用，避免因为单点故障导致该区域业务中断。（分区设计，分区后的效果）

此次网络安全建设，根据前期调研及等保2.0要求，我们在数据中心互联网接入区串行部署两台华为AntiDDoS1900设备，并购买抗DDoS服务运用大数据分析技术，针对多种网络流量进行抽象建模，可以实现T级防护性能，秒级攻击响应速度和超百种攻击的全面防御。在安全管理区部署以下设备：一是部署安全态势感知，采用最新大数据分析和机器学习技术，准确识别和防御APT攻击，避免核心信息资产损失。二是部署360综合日志审计系统，用于对操作系统、数据库和网络设备的日志采集和分析，并记录下所有对系统和网络设备的操作，以达到违规操作可实时发现，发生事故有源可溯。三是部署堡垒机，针对系统资源运维操作进行管控，重点从账号管理、统一认证、集中权限、行为审计方面，对整个运维过程进行事前预防、事中控制和事后审计，满足等保2.0关于身份鉴别、访问控制方面的技术要求。

统一存储的部署
虚拟机中高可用特性和虚拟机迁移均离不开共享存储，为达到系统高可用的要求，我在本次项目中决定采用统一存储来替代服务器的本地存储。当前主流的网络存储技术有NAS、FC-SAN和IP-SAN。其中NAS是部署在前端业务网络中的存储设备，其自带文件系统，可以很好地支持文件数据的共享和处理，但对数据库等快速存储的支持度不高；FC-SAN是后端独立组网的统一存储，其将SCSI协议封装的FC协议中传输，具有速度快、安全性高、稳定性强及可扩充性好的优势，也能很好地支持数据库存储，但其需要使用专用的FC交换机和HBA网卡。

考虑到本地供应商对此类设备备货不多，且使用、维护的技术门槛较高，最终采用IP-SAN网络存储，IP-SAN除了具有FC-SAN的优点外，其使用的设备均为普通的以太网设备，使用及维护简单，且更好地支持远距离的数据备份。本次项目，采购了一台华为Oceanstor5600作为存储设备；存储网络方面，选择了双通道双交换后端组网模式，以两台华为S6700万兆交换机作为存储的网络核心，连接存储设备与各物理服务器；硬盘选择方面，综合对比了SSD、SAS、SATA盘的读写性能及性价比，选择了SSD硬盘作为虚拟机操作系统存储，SAS盘作为数据存储，将两种盘分别做RAID5加热备盘双保险，各自划分3个LUN，映射给3个集群。由集群内的ESXI主机共享存储空间，创建虚拟机时，选择精简置备以节省硬盘，并在虚拟机中安装Utralpath软件以消除双通道造成的存储在虚拟机中重复映射问题。

疫情应用系统中的网络规划与设计
网络架构设备。此次疫情应用系统的网络架构设计并没有选择常规的三层网络架构，而是选择了大二层的网络架构，主要有如下两点考虑：首先由于需要部署虚拟机，大二层网络可以保证虚拟机的顺利迁移。其次大二层网络是扁平化管理，可以提高整个运维管理效率。核心交换机选择了两台华为CLOS架构的CE12800系列的交换机，并配置双主控、双冗余、双电源、双风扇，提升网络的冗余度，并对这两台核心进行了虚拟化，使其成为一台逻辑上的设备，进一步提高了整体网络的可靠性。以往配置核心交换机，是在核心交换机上开启MSTP+VRRP的方式进行网络的冗余接入和负载均衡，这种方式配置较为复杂，并且由于MSTP的破环机制，会阻塞一条链路，从而降低了带宽的利用率，同时VRRP的主备切换会让网络中的部分疫情应用系统出现丢包的状况，影响业务的正常运行。接入交换机选择了华为S5700系列的接入交换机，并且开启telemetry功能。该功能通过推模式，可以毫秒级检测网络质量，并周期性的主动向网管设备上发送设备的接口流量统计、CPU或内存数据等信息，而传统运维采用5-15分钟级别的SNMP采集，无法及时发现网络抖动等情况。由于telemerty功能是基于BFD硬件芯片处理功能，所以并不会收到交换机CPU使用率的影响，同时telemetry还能通过智能算法分析，实时检测时延、丢包、丢包位置并能对网络拥塞进行预测，从而保证疫情应用系统的安全平稳运行。

网络管理
我院 IT 人员编制较少，运维难度大，为此本次部署了华为 eSight 统一网管系统，帮助我院运维人员进行业务配置、区域监控、故障诊断、实现对全院网络系统包括无线网在内的统一管理。该系统可实时监控无线网络在线 AP 数、离线 AP 数、网络速率、用户数等信息；WLAN 业务出现故障后，可从用户、AP、AC三个维度发起诊断，发现故障原因并提供解决方法，实现整网轻松运维。

取得效果和存在的不足
项目完成后，项目组使用笔记本安装 inSSIDer 无线信号扫描工具对我院各区域无线信号进行了测试，信号强度基本在-45dbm 至-65dbm 之间，满足设计技术要求，使用下载软件测试实际流量也达到预期目标。我院各项移动医疗业务随即开展，医护人员通过 PDA、平板电脑等移动设备顺畅与电子病历等系统连接，实现移动查房、无线护理等业务，减轻了工作压力，提供了诊断和查房效率。部分科室根据需求配置了防盗手环、资产标签、输液传感器等设备实现了婴儿防盗、资产定位、无线输液等物联网医疗业务。以上业务的顺利开展证明本项目达到预期目标，是一次成功的项目。
但本次改造也存在一些不足，例如前期AP 规划时未考虑到可移动的障碍物，导致后期个别 AP 受影响较大，后经过调整后得到解决；由于资金问题，本次互联网出口均部署的单设备，存在单点故障的风险，还需在后续建设进行升级优化。

无线与 IP 设计
在 AP 的选择上根据应用场景选择了不同设备。首先在医院病房使用华为敏捷分布式 WIFI 方案，采用 AD9431DN 中心配置 R251D-E 射频单元，使用网线连接，实现各病房信号满格覆盖，有效地解决了各病房间墙体厚、干扰大的问题。其次，各科室办公室、护士站和走廊采用放装型 AP4050DN-E，千兆上联，单个 AP 可支持 60 个终端的并发接入；第三：在门诊大厅和会议室采用华为高密 AP6750-10T，内置智能天线，能应对用户密集并发接入人数多的情景。另外，在疗养花园部署了华为 AP8182DN 室外 AP，支持远距离覆盖，在院领导办公室和部分小办公室采用了墙面 AP，既美观又能保障每个角落信号无死角覆盖。

IP 地址的合理规划是网络设计的重要环节，IP 地址规划的好坏，影响到网络路由协议方法的效率，影响到网络的性能、拓展和管理。公司根据业务划分多个部门，部门又细化为科室，一般相同部门的科室所在的物理位置也集中在一起，在统计完各部门的终端点位和数量需求后，根据部门和科室的位置进行划分不同的 IP 地址网段，不同部门选择在 172.16.0.0 网段进行分配，部门内再细分。而无线 AP 的管理网段选择 192.168.0.0 网段，通过 AC 控制器统一管理。重新规划后 IP 地址便于路由汇聚和策略制定，方便管理和维护，有效减轻技术人员的工作量。