某研发中心网络平台建设方案_第1页
某研发中心网络平台建设方案_第2页
某研发中心网络平台建设方案_第3页
某研发中心网络平台建设方案_第4页
某研发中心网络平台建设方案_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、某研发中心网络平台项目综述 某研发中心是 2009 年 10 月 23 日正式揭牌启动运行的,研发中心占地面积为3.1 万平方米,总 建筑面积为 4.5 万平方米。 研发中心分为南北两个相互对称的区域。 研发中心以六大核心技术平台和 六大支撑平台为技术支撑。构建了纵向从新药研发到联创研究,横向包含中药、化药、基因工程的全 方位的研发体系。某研发中心网络平台主要向园区入驻企业提供高效、安全的用户接入服务,信息发 布平台、资源共享和存储平台、园区内音视频服务。工程计划分期完成,一期工程只要是主干网络建 设。主要完成网络接入服务。 一、 建设原则 实用性原则 以现有设备为补充,充分考虑发展的需要来确

2、定系统规模。 安全性原则 作为一个开放的园区网络,对用户的安全以及网络的安全要求较高。 成熟和先进性原则 产品选型必须是有大量应用的成熟厂商产品。 该品牌产品需要及时将新技术引用进来, 更好的开 展业务,同时也要求保证网络与业务的可靠性。 规范性原则 系统设计所采用的技术和设备应符合国际标准和国家标准为系统的扩展升级、 与其他系统的互联 提供良好的基础。 开放性和标准化原则 在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原 则。 可扩充和扩展化原则 所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展, 应用的扩展和办公地点的扩

3、展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。 可管理性原则 整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、 安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。 高可靠性原则 网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中特别是关键节点的设计中, 选用高可靠性网络产品,实现关键节点冗余并完成负载分担。避免单点故障。最大限度地保证网络系 统的高效运行。 二、 设计方案 主干网络设计如下图所示,系统要求为“核心 -汇聚 -接入”的三层拓扑结构。为终端用户提 供“千兆到桌面”的高速园区网和多线路接入的

4、in ternet 网络服务。包括北区 A1区、B1区、 C1区及南区A2区、B2区、C2区的网络主干系统建设。北区每栋楼宇通过光纤与核心交换机连 接。南区采用借助公共网络采用VNP技术和核心交换机连接。 楼宇内采用分楼层布置接入交换机 的方案。接入交换机通过六类双绞线或更光纤与汇聚交换机相连。中心机房设A1 楼 6 楼。 以下简要描述不同层次所执行的功能: 1. 核心层功能 核心层一般是一个高速的交换主干网,能尽快地交换数据包。一般不作数据包处理,例如访 问控制和过滤,这些都可能降低数据包的交换速度。就目前园区的规划和发展前景,核心层网络 设备应支持IPV6且数据交换能力应大于 400Gbp

5、s。并且必须具备一定的业务扩展能力。考虑到 园区网络是跨区域分区连接。核心层网络还应具备支持三层的MPLS VPN和二层的MPLS VPN方 便北区及南区的连接, 考虑到后续的园区网络的发展, 核心网络层设备还应提供丰富的无线业务 扩展能力。 2. 汇聚层功能 其功能主要包括地址或区域集合、部门或工作组接入、广播和多目广播域定义、VLAN 交换、任 何可能的介质传输、安全。汇聚层交换机要你管考虑到扩展性、可靠性、分布性的特点,并具有完备 的安全控制策略、丰富的 QOS策略。 3. 接入层功能 功能组要包括共享带宽、交换带宽、MAC层过滤。接入层交换机应具备高效的流控管理功能。 根据某研发中心网

6、络平台千兆以太网系统需求,分层结构并不一定要有十分清楚的物理实体区 分,有的交换机即可以工作在汇聚层,同时也可作为接入层的交换设备。因此我们可以根据投资规模 等省略汇聚层设备,整个网络采用星网状的网络构造。 4. 外网部分 某研发中心网络平台的外网主要作用是提供 Internet 连接共享,相比内网,外网无论是速 率还是稳定性要求都相对较低,但并不意味着不重视。考虑到网络的高效性及高可靠性。外网设备应 具备线路负载及冗余功能、丰富的安全管控能力。北区借助多业务汇聚层设备连接外部网络,省去购 买外部网络设备费用,而南区考虑使用安全产品连接到外部网络。两区域通过VPN协议形成私有网络。 三、系统选

7、型 根据甲方要求,和网络管理便于管理的需要,园区所有的数据产品均采用H3C的产品。 产品设备的选型不仅要考虑到目前的情况,还应考虑到今后的发展。就目前某的规划及发展前景。我 们选用H3C公司最新产品的多业务高端交换机S7503E作为核心层设备,S5600-26C以太网交换机作 为汇聚层设备。选用 S5000E系列(含24E及48E)全千兆安全智能交换机作为接入层设备。 各设备业务性能介绍如下: S7503E:? 丰富的业务,适应融合业务网络发展趋势。基于 IRF2 (第二代智能弹性架构)技术的虚拟化架 构不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于传统企业网应用,IRF2 所提供

8、 的高可靠性和无缝升级、扩展能力。 S7503E支持Multi-VRF特性,可以作为 MCE设备使用;支持三层的 MPLSVPN和二层的MPLSVPN (Marti ni、Kompella);支持 MPLS OAM特性,方便用户的管理和维护;与H3C MPLS VPN Man age配 合,实现图形化的 MPLS部署与维护。全面支持VPLS VLL,支持1K VPLS实例,4K VLL,还支持分 层VPLS以及QINQ+VPL黴入方式,提供端到端 2层VPN接入方案,支持 MPLS/VPLS全线速转发,满 足VPLS规模部署要求。满足项目南北区连接的需要,相对于传统的线路租赁业务来说VPN不但

9、节省 了费用并且提高了园区网络的安全性 H3C S7503E支持IPv4/IPv6双协议栈,支持多种隧道技术,支持 IPv4/IPv6的组播技术,为用户 提供完善的IPv4/IPv6解决方案;H3C S7500E采用分布式体系架构,实现 IPv4/IPv6 业务的线速无 阻塞转发;是成熟商用的 IPv6 产品。 H3C S7503E有线无线一体化,集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、 完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;无线控制模块通过与安全策 略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。 H3C S7503

10、E 提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在 控制平面,内置协议报文攻击识别模块,防止TCN ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议 采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPV3网管协议,SSH V2, 基于 802.1x 、AAA/Radius 的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转 发平面,支持IP、VLAN、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法 流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。H3C S7500E还支持内置的高性 能防

11、火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。 H3C S7503E 支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助 用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP 快速环网保护协议;支持 Smart-Link 协议,保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3C S7500E 可以在 承载多业务的情况下不间断运行,实现业务的永续。 H3C S5600 系列交换机 H3C S5600 系列全千兆智能弹性交换机是H3C 公司为设计和构建高弹性和高智能网络需求而推出 的新一代以太网交换机产品。系统采用H3C公司创新的IRF (Inte

12、lligent Resilient Framework, 智能弹性架构)技术,支持高达 96G的堆叠带宽和高密度千兆端口,支持万兆上行。S5600系列交换 机采用 IRF 技术组网后, 能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份,极大地 增强了设备和网络的可靠性,消除了单点故障,避免了业务中断。同时H3CS5600系列交换机不仅支 持STP/RSTP生成树协议,还提供了基于多VLAN的生成树 MSTP极大提高了链路的冗余备份,提高 容错能力,保证网络的稳定运行。支持VRRF虚拟路由冗余协议,与其他三层交换机构建 VRRP备份组。 构建故障时的冗余路由拓扑结构,保持通讯的连续性和

13、可靠性,有效保障网络稳定。支持等价路由实 现上行路由的冗余备份和负载分担。采用交、直流双输入电源模块供电,也可以通过更换电源模块来 支持PoE功能。S5600系列交换机支持 EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、 补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体 系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变 单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体 防御能力。S5600系列交换机支持特有的 ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文

14、 实施日趋盛行的“ ARP欺骗攻击”,对不符合 DHCP Snooping动态绑定表或手工配置的静态绑定表的 非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性,防止包括 MAC欺骗、IP欺骗、MAC/IP 欺骗在内的非法地址仿冒,以及大流量地址仿冒带来的DoS攻击。支持集中式 MAC地址认证和802.1X 认证。在用户接入网络时完成必要的身份认证,还可以通过灵活的MAC IP、VLAN PORT任意组合绑 定,有效的防止非法用户访问网络。支持DUD(Disconnect Unauthorised Device)认证,通过 MAC 地址学习数目限制和 MAC地址与端口绑定实

15、现。支持用户分级管理和口令保护,支持MAC地址学习数 目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞;支持防止 DoS攻击功能。支持 QoSProfile 功能。和802.1X认证功能相结合,可以动态的为通过认证的用户提供预先配置的一套QoS功能。用 户在经过802.1X认证后,交换机根据 AAA服务器上配置的用户名和Profile 的对应关系,将相应的 Profile 动态下发到用户登录的端口上,为该用户提供量身定做的服务质量保证。支持SSH特性。用 户通过一个不能保证安全的网络环境远程登录到以太网交换机时,可以提供安全的信息保障和强大的 认证功能,以保护以太网交换机不受诸如 IP

16、地址欺诈、明文密码截取等等攻击。 H3C S5000E系列全千兆安全智能交换机 H3C S5000E 所有的端口提供二层千兆线速交换能力,保证所有端口无阻塞的进行报文转发。支 持802.1X认证,安全专区提供多种丰富的安全功能,可以实现IP+MAC瑞口 +VLAN四元素绑定,并可 通过DHCP-Snooping或者智能绑定自动获取绑定列表,有效防御ARP攻击、DOS攻击及蠕虫攻击,并 可以方便的实现安全配置文件的导入和导出。提供LACP STP/RSTP功能,可有效实现链路扩展及备 可以通过web可视化的界面,对交换机的各种功能进行简单方便的操作。 SecPath F100-M : SecPa

17、th F100-M基于H3C先进的OAA开放应用架构,SecPath防火墙能灵活扩展病毒防范、网 络流量监控和 SSLVPN等硬件业务模块,实现 2-7层的全面安全。能防御 DoS/DDoS攻击(如CC SYN flood、DNSQuery Flood、SYNFlood、UDPFlood 等)、ARP欺骗攻击、TCP报文标志位不合法攻击、 Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击,同时支持黑名单、MAC绑定、 内容过滤等先进功能。支持基础、扩展和基于接口的状态检测包过滤技术;支持H3C特有ASPF应用 层报文过滤协议, 支持对每一个连接状态信息的维护监测并动态地过

18、滤数据包,支持对应用层协议的 状态监控。集成IPSec、L2TP、GRE和 SSL等多种成熟VPN接入技术,保证移动用户、合作伙伴和分 支机构安全、便捷的接入。可以有效的识别网络中各种P2P模式的应用,并且对这些应用采取限流的 控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持 网页过滤,提供 HTTPURL和内容过滤。提供多对一、多对多、静态网段、双向转换、Easy IP和DNS 映射等NAT应用方式;支持多种应用协议正确穿越NAT提供 DNS FTP、H.323、NBT等NAT ALG功 能。 四、具体方案设计 从网络应用功能和整体定位出发,整体网络

19、方案将基于层次化的设计,即采用三层结构:即核心 层,汇聚层及接入层。核心层通过千兆链路连接汇聚层,汇聚层通过千兆链路连接接入层交换机,接 入层交换机提供千兆连接到用户桌面的系统结构。 设计初期充分考虑到某研发中心的发展规划和未来 的前景,在核心层和汇聚层间设备采用模块化设计,为园区的后续发展预留万兆网络提升空间。在北 区核心层为未来的无线园区网络提供扩展接口和未来高效安全的园区网络提供深层安全防护接口。 根据南北两大园区的地理规划,网络设计如下:计算机网络的核心节点设置在位于北区的A1 公 共技术服务平台的六楼信息中心主机房,该节点将配置1台核心交换机S7503E,核心交换机通过光 纤线与 B

20、1 区生物技术及生物药研发平台的一台 S5600-26C、 C1 区国家重大新药创新平台的一台 S5600-26C 连接;核心交换机在 A1 区也同时担当汇聚层功能, 直接与本楼的接入层交换机一台 S5048E 和一台S5024E连接。B1区及C1区汇聚层交换机 S5600-26C分别连接接入交换机(分别为一台 S5048E 和一台S5024E )。南区网络考虑到前期企业入驻和业务开展等问题,A2区的一台S5600-26C与B2 区、C2区的二台S5600-26C接入。让 A2区的S5600-26C既做汇聚层交换机也做南区核心层交换机。 同时B2区、C2区的二台S5600-26C分别连接一台 S5048E接入交换机。 A2区的S5600-26C同时连接 一台S5024E接入交换机。 外网部分连接为:北区外网通过S7503E的换路由引擎模板直接接入in

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论