研发中心网络平台建设方案.docx

1、研发中心网络平台建设方案某研发中心网络平台项目综述某研发中心是2009年10月23日正式揭牌启动运转的，研发中心占地面积为万平方米，总建筑面积为万平方米。研发中心分为南北两个互相对称的地区。研发中心以六大核心技术平台和六大支撑平台为技术支撑。建立了纵向重新药研发到联创研究，横向包含中药、化药、基因工程的全方向的研发系统。某研发中心网络平台主要向园区入驻公司供给高效、安全的用户接入服务，信息公布平台、资源共享和储存平台、园区内音视频服务。工程计区分期达成，一期工程只假如骨干网络建设。主要达成网络接入服务。一、建设原则适用性原则以现有设施为增补，充足考虑发展的需要来确立系统规模。安全性原则作为一个

2、开放的园区网络，对用户的安全以及网络的安全要求较高。成熟和先进性原则产品选型一定是有大批应用的成熟厂商产品。 该品牌产品需要实时将新技术引用进来，更好的展开业务，同时也要求保证网络与业务的靠谱性。规范性原则系统设计所采纳的技术和设施应切合国际标准和国家标准为系统的扩展升级、与其余系统的互联供给优秀的基础。开放性和标准化原则在设计时，要求供给开放性好、标准化程度高的技术方案；设施的各样接口知足开放和标准化原则。可扩大和扩展化原则全部系统设施不只知足目前需要，并在扩大模块后知足可预示未来需求，如带宽和设备的扩展，应用的扩展和办公地址的扩展等。保证建设达成后的系统在向新的技术升级时，能保护现有的投资

3、。可管理性原则整个系统的设施应易于管理，易于保护，操作简单，易学，易用，便于进行系统配置，在设施、安全性、数据流量、性能等方面获得很好的监督和控制，并能够进行远程管理和故障诊疗。高靠谱性原则网络系统的稳固靠谱是应用系统正常运转的重点保证，在网络设计中特别是重点节点的设计中，采纳高靠谱性网络产品，实现重点节点冗余并达成负载分担。防止单点故障。最大限度地保证网络系统的高效运转。二、设计方案骨干网络设计以下列图所示，系统要求为“核心-汇聚-接入”的三层拓扑结构。为终端用户供给“千兆到桌面”的高速园区网和多线路接入的internet网络服务。包含北区A1区、B1区、C1区及南区A2区、B2区、C2区的

4、网络主关连统建设。北区每栋楼宇经过光纤与核心互换机连结。南区采纳借助公共网络采纳VNP技术和核心互换机连结。楼宇内采纳分楼层部署接入互换机的方案。接入互换机经过六类双绞线或更光纤与汇聚互换机相连。中心计房设A1楼6楼。以下简要描绘不一样层次所履行的功能：核心层功能核心层一般是一个高速的互换骨干网，能赶快地互换数据包。一般不做准据包处理，比如接见控制和过滤，这些都可能降低数据包的互换速度。就目前园区的规划和发展远景，核心层网络设施应支持IPV6且数据互换能力应大于400Gbps。并且一定具备必定的业务扩展能力。考虑到园区网络是跨地区分区连结。核心层网络还应具备支持三层的MPLSVPN和二层的MP

5、LSVPN，方便北区及南区的连结，考虑到后续的园区网络的发展，核心网络层设施还应供给丰富的无线业务扩展能力。汇聚层功能其功能主要包含地址或地区会合、部门或工作组接入、广播和多目广播域定义、VLAN互换、任何可能的介质传输、安全。汇聚层互换机要你管考虑到扩展性、靠谱性、散布性的特色，并拥有齐备的安全控制策略、丰富的QOS策略。接入层功能功能组要包含共享带宽、互换带宽、MAC层过滤。接入层互换机应具备高效的流控管理功能。依据某研发中心网络平台千兆以太网系统需求，分层结构其实不必定要有十分清楚的物理实体区分，有的互换机即能够工作在汇聚层，同时也可作为接入层的互换设施。所以我们能够依据投资规模等省略汇

6、聚层设施，整个网络采纳星网状的网络结构。4.外网部分某研发中心网络平台的外网主要作用是供给Internet连结共享，对比内网，外网无论是速率仍是稳固性要求都相对较低，但其实不意味着不重视。考虑到网络的高效性及高可靠性。外网设施应具备线路负载及冗余功能、丰富的安全管控能力。北区借助多业务汇聚层设施连结外面网络，省去购置外面网络设施花费，而南区考虑使用安全产品连结到外面网络。两地区经过VPN协议形成私有网络。三、系统选型依据甲方要求，和网络管理便于管理的需要，园区全部的数据产品均采纳H3C的产品。产品设施的选型不单要考虑到目前的状况，还应试虑到此后的发展。就目前某的规划及发展远景。我们采纳H3C公

7、司最新产品的多业务高端互换机S7503E作为核心层设施，S5600-26C以太网互换机作为汇聚层设施。采纳 S5000E系列（含24E及48E）全千兆安全智能互换机作为接入层设施。各设施业务性能介绍以下：S7503E：?丰富的业务，适应交融业务网络发展趋向。鉴于IRF2（第二代智能弹性架构）技术的虚构化架构不单成为数据中心互换设施高性能、虚构化的重点技术，并且关于传统公司网应用，IRF2所供给的高靠谱性和无缝升级、扩展能力。S7503E支持Multi-VRF特征，能够作为 MCE设施使用；支持三层的 MPLSVPN和二层的MPLSVPN（Martini、Kompella）；支持MPLSOAM特

8、征，方便用户的管理和保护；与H3CMPLSVPNManager配合，实现图形化的 MPLS部署与保护。全面支持VPLS，VLL，支持1KVPLS实例，4KVLL，还支持分层VPLS以及QINQ+VPLS接入方式，供给端到端2层VPN接入方案，支持 MPLS/VPLS全线速转发，知足VPLS规模部署要求。知足项目南北区连结的需要，相关于传统的线路租借业务来说 VPN不只节俭了花费并且提高了园区网络的安全性H3CS7503E支持IPv4/IPv6双协议栈,支持多种地道技术，支持IPv4/IPv6的组播技术，为用户供给完美的 IPv4/IPv6解决方案；H3CS7500E采纳散布式系统架构，实现IP

9、v4/IPv6业务的线速无堵塞转发；是成熟商用的IPv6产品。H3CS7503E有线无线一体化，集成的无线控制模块供给丰富的业务能力，包含精美的用户控制管理、完美的 RF管理及安全体制、迅速遨游、超强的 QoS和对IPv6的支持等；无线控制模块经过与安全策略服务器的联动，实现对无线接入用户的端点准入防守，提高了整网的安全性。H3CS7503E供给完美的安全防备体制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击辨别模块，防备TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采纳MD5考证，防备非法路由更新报文致使的网络瘫痪；在管理平面，SNMPv3网

10、管协议，SSHV2，鉴于、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设施管理的安全性；在转发平面，支持IP、VLAN、MAC和端口等多种组合精美绑定；支持uRPF单播反向路径转发，防备非法流量接见网络，采纳最长般配逐包转发体制，有效抵抗病毒的攻击。H3CS7500E还支持内置的高性能防火墙、异样流量冲洗等模块，将专业的安全融入到互换机之中。H3CS7503E支持不中断转发和优雅重启，供给毫秒级的切换时间；支持等价路由，可帮助用户成立多条等值路径，实现流量的负载平衡及冗余备份；支持RRPP迅速环网保护协议；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级迅速切换。

11、经过上述技术，H3CS7500E能够在承载多业务的状况下不中断运转，实现业务的永续。H3CS5600系列互换机H3CS5600系列全千兆智能弹性互换机是H3C公司为设计和建立高弹性和高智能网络需求而推出的新一代以太网互换机产品。系统采纳H3C公司创新的IRF（IntelligentResilientFramework，智能弹性架构)技术，支持高达 96G的堆叠带宽和高密度千兆端口，支持万兆上行。S5600系列互换机采纳 IRF技术组网后，能够在整个堆叠组内实现控制平面和数据平面全部信息的冗余备份，极大地加强了设施和网络的靠谱性，除去了单点故障，防止了业务中止。同时 H3CS5600系列互换机不

12、单支持 STP/RSTP生成树协议，还供给了鉴于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳固运转。支持VRRP虚构路由冗余协议，与其余三层互换机建立VRRP备份组。建立故障时的冗余路由拓扑结构，保持通信的连续性和靠谱性，有效保障网络稳固。支持等价路由实现上行路由的冗余备份和负载分担。采纳交、直流双输入电源模块供电，也能够经过改换电源模块来支持PoE功能。S5600系列互换机支持EAD（端点准入防守）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全举措与网络接入控制、接见权限控制等网络安全措施整合为一个联动的安全系统，经过对网络接入终端的检查、隔绝、修

13、复、管理和监控，使整个网络变被动防守为主动防守、 变单点防守为全面防守、变分别管理为集中策略管理，提高了网络对病毒、蠕虫等新兴安全威迫的整体防守能力。S5600系列互换机支持独有的ARP入侵检测功能，可有效防备黑客或攻击者经过 ARP报文实行日益流行的“ARP欺骗攻击”，对不切合DHCPSnooping动向绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接抛弃。同时支持 IPSourceCheck特征，防备包含MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。支持集中式 MAC地址认证和认证。在用户接入网络时达成必需的身份认证，还能够经过灵巧的MA

14、C、IP、VLAN、PORT随意组合绑定，有效的防备非法用户接见网络。支持DUD（DisconnectUnauthorisedDevice）认证，经过 MAC地址学习数量限制和 MAC地址与端口绑定实现。支持用户分级管理和口令保护，支持MAC地址学习数量限制、MAC地址与端口绑定、端口隔绝、 MAC地址黑洞；支持防备 DoS攻击功能。支持QoSProfile功能。和认证功能相联合，可以动向的为经过认证的用户供给早先配置的一套QoS功能。用户在经过认证后，交换机依据AAA服务器上配置的用户名和 Profile的对应关系，将相应的 Profile动向下发到用户登录的端口上，为该用户供给量身定做的服

15、务质量保证。支持SSH特征。用户经过一个不可以保证安全的网络环境远程登录到以太网互换机时，能够供给安全的信息保障和强盛的认证功能，以保护以太网互换机不受诸如IP地址欺骗、明文密码截取等等攻击。H3CS5000E系列全千兆安全智能互换机H3CS5000E全部的端口供给二层千兆线速互换能力，保证全部端口无堵塞的进行报文转发。支持认证，安全专区供给多种丰富的安全功能，能够实现IP+MAC+端口+VLAN四元素绑定，并可经过DHCP-Snooping或许智能绑定自动获得绑定列表，有效防守ARP攻击、DOS攻击及蠕虫攻击，并能够方便的实现安全配置文件的导入和导出。供给LACP、STP/RSTP功能，可有

16、效实现链路扩展及备能够经过web可视化的界面，对互换机的各样功能进行简单方便的操作。SecPathF100-M：SecPathF100-M鉴于H3C先进的OAA开放应用架构，SecPath防火墙能灵巧扩展病毒防备、网络流量监控和SSLVPN等硬件业务模块，实现2-7层的全面安全。能防守DoS/DDoS攻击（如CC、SYNflood、DNSQueryFlood、SYNFlood、UDPFlood等）、ARP欺骗攻击、TCP报文标记位不合法攻击、LargeICMP报文攻击、地址扫描攻击和端口扫描攻击等多种歹意攻击，同时支持黑名单、 MAC绑定、内容过滤等先进功能。支持基础、扩展和鉴于接口的状态检测

17、包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连结状态信息的保护监测并动向地过滤数据包，支持对应用层协议的状态监控。集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术，保证挪动用户、合作伙伴和分支机构安全、便利的接入。能够有效的辨别网络中各样P2P模式的应用，并且对这些应用采纳限流的控制举措，有效保护网络带宽；支持邮件过滤，供给SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，供给HTTPURL和内容过滤。供给多对一、多对多、静态网段、双向变换、EasyIP和DNS映照等NAT应用方式；支持多种应用协议正确穿越NAT，供给DNS、FTP、NBT等NATAL

18、G功能。四、详细方案设计从网络应用功能和整体定位出发，整体网络方案将鉴于层次化的设计，即采纳三层结构：即核心层，汇聚层及接入层。核心层经过千兆链路连结汇聚层，汇聚层经过千兆链路连结接入层互换机，接入层互换机供给千兆连结到用户桌面的系统结构。设计早期充足考虑到某研发中心的发展规划和未来的远景，在核心层和汇聚层间设施采纳模块化设计，为园区的后续发展预留万兆网络提高空间。在北区核心层为未来的无线园区网络供给扩展接口和未来高效安全的园区网络供给深层安全防备接口。依据南北两大园区的地理规划，网络设计以下：计算机网络的核心节点设置在位于北区的A1公共技术服务平台的六楼信息中心主机房，该节点将配置1台核心互

19、换机S7503E，核心互换机经过光纤线与B1区生物技术及生物药研发平台的一台S5600-26C、C1区国家重大新药创新平台的一台S5600-26C连结；核心互换机在A1区也同时担当汇聚层功能，直接与本楼的接入层互换机一台S5048E和一台S5024E连结。B1区及C1区汇聚层互换机S5600-26C分别连结接入互换机（分别为一台 S5048E和一台S5024E）。南区网络考虑到先期公司入驻和业务展开等问题， A2区的一台S5600-26C与B2区、C2区的二台S5600-26C接入。让A2区的S5600-26C既做汇聚层互换机也做南区核心层互换机。同时B2区、C2区的二台S5600-26C分别

20、连结一台S5048E接入互换机。A2区的S5600-26C同时连结一台S5024E接入互换机。外网部分连结为：北区外网经过S7503E的换路由引擎模板直接接入internet，而南区考虑目前业务的展开状况，用一台H3CSecPathF100-M直接接入internet，南北两区分别独立接入internet。经过S7503E与F100-M的VPN功能组件园区自己的私有虚构网。先期接入为南北园区均采纳网通和电信双线路100M接入，并在S7503E与F100-M上做动向负载平衡。进而建立分地区千兆园区网，地区间的百兆安全私有网络。五、网络拓扑结构六、设施报价清单单价：元序号 设施名称数单位单价共计量

21、1H3CS7503E以太网互换机主机1台18700187002H3CS7500E沟通电源模块,1400W1块952095203H3CS7500ESalienceVI-Turbo互换路由引1块3360033600擎4H3CS7500E12端口加强型千兆以太网光1块4140041400接口模块(SFP,LC)5S5600-26C5台13500675006S5048E6台5380322807S5024E4台2830113208H3CSecPathF100-M主机-沟通电源1台9H3CSecPathF100-M2端口10/100BaseT模 1块74107410块10光模块-SFP-GE-多模模块36个12504500011网络管理服务器DELLR7101台4480044800