《某研发中心网络平台建设方案.docx》由会员分享,可在线阅读,更多相关《某研发中心网络平台建设方案.docx(9页珍藏版)》请在课桌文档上搜索。
1、某研发中心网络平台建设方案某研发中心是2009年10月23日正式揭牌启动运行的,研发中心占地面积为3.1万平方米,总建筑面积为4.5万平方米。研发中心分为南北两个相互对称的区域。研发中心以六大核心技术平台与六大支撑平台为技术支撑。构建了纵向从新药研发到联创研究,横向包含中药、化药、基因工程的全方位的研发体系。某研发中心网络平台要紧向园区入驻企业提供高效、安全的用户接入服务,信息公布平台、资源共享与存储平台、园区内音视频服务。工程计划分期完成,一期工程只要是主干网络建设。要紧完成网络接入服务。-、建设原则有用性原则以现有设备为补充,充分考虑进展的需要来确定系统规模。安全性原则作为一个开放的园区网
2、络,对用户的安全与网络的安全要求较高。成熟与先进性原则产品选型务必是有大量应用的成熟厂商产品。该品牌产品需要及时将新技术引用进来,更好的开展业务,同时也要求保证网络与业务的可靠性。规范性原则系统设计所使用的技术与设备应符合国际标准与国家标准为系统的扩展升级、与其他系统的互联提供良好的基础。开放性与标准化原则在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各类接口满足开放与标准化原则。可扩充与扩展化原则所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽与设备的扩展,应用的扩展与办公地点的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。可管理性原则整
3、个系统的设备应易于管理,易于保护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视与操纵,并能够进行远程管理与故障诊断。高可靠性原则网络系统的稳固可靠是应用系统正常运行的关键保证,在网络设计中特别是关键节点的设计中,选用高可靠性网络产品,实现关键节点冗余并完成负载分担。避免单点故障。最大限度地保证网络系统的高效运行。二、设计方案主干网络设计如下图所示,系统要求为“核心-汇聚-接入”的三层拓扑结构。为终端用户提供“千兆到桌面”的高速园区网与多线路接入的internet网络服务。包含北区Al区、Bl区、Cl区及南区A2区、B2区、C2区的网络主干系统建设。
4、北区每栋楼宇通过光纤与核心交换机连接。南区使用借助公共网络使用VNP技术与核心交换机连接。楼宇内使用分楼层布置接入交换机的方案。接入交换机通过六类双绞线或者更光纤与汇聚交换机相连。中心机房设Al楼6楼。C2Clzz下列简要描述不一致层次所执行的功能:1 .核心层功能核心层通常是一个高速的交换主干网,能尽快地交换数据包。通常不作数据包处理,比如访问操纵与过滤,这些都可能降低数据包的交换速度。就目前园区的规划与进展前景,核心层网络设备应支持IPV6且数据交换能力应大于400GbpSo同时务必具备一定的业务扩展能力。考虑到园区网络是跨区域分区连接。核心层网络还应具备支持三层的MPLSVPN与二层的M
5、PLSVPN,方便北区及南区的连接,考虑到后续的园区网络的进展,核心网络层设备还应提供丰富的无线业务扩展能力。2 .汇聚层功能其功能要紧包含地址或者区域集合、部门或者工作组接入、广播与多目广播域定义、VLAN交换、任何可能的介质传输、安全。汇聚层交换机要你管考虑到扩展性、可靠性、分布性的特点,并具有完备的安全操纵策略、丰富的QoS策略。3 .接入层功能功能组要包含共享带宽、交换带宽、MAC层过滤。接入层交换机应具备高效的流控管理功能。根据某研发中心网络平台千兆以太网系统需求,分层结构并不一定要有十分清晰的物理实体区分,有的交换机即能够工作在汇聚层,同时也可作为接入层的交换设备。因此我们能够根据
6、投资规模等省略汇聚层设备,整个网络使用星网状的网络构造。4 .外网部分某研发中心网络平台的外网要紧作用是提供Internet连接共享,相比内网,外网不管是速率还是稳固性要求都相对较低,但并不意味着不重视。考虑到网络的高效性及高可靠性。外网设备应具备线路负载及冗余功能、丰富的安全管控能力。北区借助多业务汇聚层设备连接外部网络,省去购买外部网络设备费用,而南区考虑使用安全产品连接到外部网络。两区域通过VPN协议形成私有网络。三、系统选型根据甲方要求,与网络管理便于管理的需要,园区所有的数据产品均使用H3C的产品。产品设备的选型不仅要考虑到目前的情况,还应考虑到今后的进展。就目前某的规划及进展前景。
7、我们选用H3C公司最新产品的多业务高端交换机S7503E作为核心层设备,S5600-26C以太网交换机作为汇聚层设备。选用S5000E系列(含24E及48E)全千兆安全智能交换机作为接入层设备。各设备业务性能介绍如下:S7503E:丰富的业务,习惯融合业务网络进展趋势。基于1RE2(第二代智能弹性架构)技术的虚拟化架构不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且关于传统企业网应用,IRF2所提供的高可靠性与无缝升级、扩展能力。S7503E支持MUItiTRF特性,能够作为MCE设备使用;支持三层的MPLSVPN与二层的MPLSVPN(MartiniKompella);支持MPLSOA
8、M特性,方便用户的管理与保护;与H3CMPLSVPNManager配合,实现图形化的MPLS部署与保护。全面支持VPLS,VLL,支持IKVPLS实例,4KVLL,还支持分层VPLS与Q1NQ+VPLS接入方式,提供端到端2层VPN接入方案,支持MPLS/VPLS全线速转发,满足VPLS规模部署要求。满足项目南北区连接的需要,相关于传统的线路租赁业务来说VPN不但节约了费用同时提高了园区网络的安全性H3CS7503E支持TPv4IPv6双协议栈,支持多种隧道技术,支持IPv4IPv6的组播技术,为用户提供完善的IPv4IPv6解决方案;H3CS7500E使用分布式体系架构,实现IPv4IPv6
9、业务的线速无堵塞转发;是成熟商用的IPv6产品。H3CS7503E有线无线一体化,集成的无线操纵模块提供丰富的业务能力,包含精细的用户操纵管理、完善的RF管理及安全机制、快速漫游、超强的QoS与对IPv6的支持等;无线操纵模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。H3CS7503E提供完善的安全防护机制,可从操纵、管理、转发三平面全面保障网络的安全:在操纵平面,内置协议报文攻击识别模块,防止TCN、A即等协议报文攻击,OSPF/BGP/IS-IS路由协议使用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPV3网管协议,SSHV2,
10、基于802.lx、AAA/Radius的用户身份认证与分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN、MAC与端口等多种组合精细绑定;支持URPF单播反向路径转发,防止非法流量访问网络,使用最长匹配逐包转发机制,有效抵御病毒的攻击。H3CS7500E还支持内置的高性能防火墙、特殊流量清洗等模块,将专业的安全融入到交换机之中。H3CS7503E支持不间断转发与优雅重启,提供亳秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议;支持Smart-Link协议,保证双上行网络拓扑的业务亳秒级快速切换。通过上述技
11、术,H3CS7500E能够在承载多业务的情况下不间断运行,实现业务的永续。H3CS5600系列交换机H3CS5600系列全千兆智能弹性交换机是H3C公司为设计与构建高弹性与高智能网络需求而推出的新一代以太网交换机产品。系统使用H3C公司创新的IRF(IntelligentResilientFramework,智能弹性架构)技术,支持高达96G的堆叠带宽与高密度千兆端口,支持万兆上行。S5600系列交换机使用IRF技术组网后,能够在整个堆叠组内实现操纵平面与数据平面所有信息的冗余备份,极大地增强了设备与网络的可靠性,消除了单点故障,避免了业务中断。同时H3CS5600系列交换机不仅支持STP/R
12、STP生成树协议,还提供了基于多VLAN的生成树MSTP,极大提高了链路的冗余备份,提高容错能力,保证网络的稳固运行。支持VRRP虚拟路由冗余协议,与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓扑结构,保持通讯的连续性与可靠性,有效保障网络稳固。支持等价路由实现上行路由的冗余备份与负载分担。使用交、直流双输入电源模块供电,也能够通过更换电源模块来支持PoE功能。S5600系列交换机支持EAD(端点准入防御)功能,配合后台系统能够将终端防病毒、补丁修复等终端安全措施与网络接入操纵、访问权限操纵等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理与监控,使
13、整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。S5600系列交换机支持特有的ARP入侵检测功能,可有效防止黑客或者攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”,对不符合DHCPSnooping动态绑定表或者手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IPSourceChCCk特性,防止包含MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,与大流量地址仿冒带来的DOS攻击。支持集中式MAC地址认证与802.Ix认证。在用户接入网络时完成必要的身份认证,还能够通过灵活的MAC、IP、V
14、LAN、PORT任意组合绑定,有效的防止非法用户访问网络。支持DUD(DisconnectUnauthorisedDevice)认证,通过MAC地址学习数目限制与MAC地址与端口绑定实现。支持用户分级管理与口令保护,支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞;支持防止DoS攻击功能。支持QoSProfile功能。与802JX认证功能相结合,能够动态的为通过认证的用户提供预先配置的一套QoS功能。用户在通过802.Ix认证后,交换机根据AAA服务器上配置的用户名与Profile的对应关系,将相应的Profile动态下发到用户登录的端口上,为该用户提供量身定做的服务
15、质量保证。支持SSH特性。用户通过一个不能保证安全的网络环境远程登录到以太网交换机时,能够提供安全的信息保障与强大的认证功能,以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。H3CS5000E系列全千兆安全智能交换机H3CS5000E所有的端口提供二层千兆线速交换能力,保证所有端口无堵塞的进行报文转发。支持802.Ix认证,安全专区提供多种丰富的安全功能,能够实现IP+MAC+端口+VLAN四元素绑定,并可通过DHCP-Snooping或者者智能绑定自动获取绑定列表,有效防御ARP攻击、DOS攻击及蠕虫攻击,并能够方便的实现安全配置文件的导入与导出。提供LACP.STP/RSTP
16、功能,可有效实现链路扩展及备能够通过web可视化的界面,对交换机的各类功能进行简单方便的操作。SecPathF100-M:四、具体方案设计从网络应用功能与整体定位出发,整体网络方案将基于层次化的设计,即使用三层结构:即核心层,汇聚层及接入层。核心层通过千兆链路连接汇聚层,汇聚层通过千兆链路连接接入层交换机,接入层交换机提供千兆连接到用户桌面的系统结构。设计初期充分考虑到某研发中心的进展规划与未来的前景,在核心层与汇聚层间设备使用模块化设计,为园区的后续进展预留万兆网络提升空间。在北区核心层为未来的无线园区网络提供扩展接口与未来高效安全的园区网络提供深层安全防护接口。根据南北两大园区的地理规划,
17、网络设计如下:计算机网络的核心节点设置在位于北区的Al公共技术服务平台的六楼信息中心主机房,该节点将配置1台核心交换机S7503E,核心交换机通过光纤线与BI区生物技术及生物药研发平台的一台S5600-26C、Cl区国家重大新药创新平台的一台S5600-26C连接;核心交换机在Al区也同时担当汇聚层功能,直接与木楼的接入层交换机一台S5048E与一台S5024E连接。Bl区及Cl区汇聚层交换机S5600-26C分别连接接入交换机(分别为一台S5048E与一台S5024E)。南区网络考虑到前期企业入驻与业务开展等问题,A2区的一台S5600-26C与B2区、C2区的二台S5600-26C接入。让
18、A2区的S5600-26C既做汇聚层交换机也做南区核心层交换机。同时B2区、C2区的二台S5600-26C分别连接一台S5048E接入交换机2区的S5600-26C同时连接一台S5024E接入交换机。外网部分连接为:北区外网通过S7503E的换路由引擎模板直接接入internet,而南区考虑目前业务的开展情况,用一台H3CSecPathFlOO-M宜接接入internet,南北两区分别独立接入interneto通过S7503E与FlOO-M的VPN功能组件园区自己的私有虚拟网。前期接入为南北园区均使用网通与电信双线路100M接入,并在S7503E与ElOO-M上做动态负载均衡。从而构建分区域千
19、兆园区网,区域间的百兆安全私有网络。五、网络拓扑结构六、设备报价清单单价:元序号设备名称数量单位单价合计1H3CS7503E以太网交换机主机1台18700187002H3CS7500E交流电源模块,140OW1块952095203H3CS7500ESalienceVI-TUrbO交换路由引擎1块33600336004113CS7500E12端口增强型千兆以太网光接口模块(SFP,LC)1块41400414005S5600-26C5台13500675006S5048E6台5380322807S5024E4台2830113208H3CSecPathFlOO-M主机-交流电源1台9549.009549.009H3CSecPathFlOO-M2端口10/100BaSeT模块1块7410741010光模块-SFP-GE-多模模块36个12504500011网络管理服务器DELLR7101台4480044800七、八、九、十、