某研發(fā)中心網(wǎng)絡平臺建設方案_第1頁
某研發(fā)中心網(wǎng)絡平臺建設方案_第2頁
某研發(fā)中心網(wǎng)絡平臺建設方案_第3頁
某研發(fā)中心網(wǎng)絡平臺建設方案_第4頁
某研發(fā)中心網(wǎng)絡平臺建設方案_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、某研發(fā)中心網(wǎng)絡平臺項目綜述 某研發(fā)中心是 2009 年 10 月 23 日正式揭牌啟動運行的,研發(fā)中心占地面積為3.1 萬平方米,總 建筑面積為 4.5 萬平方米。 研發(fā)中心分為南北兩個相互對稱的區(qū)域。 研發(fā)中心以六大核心技術平臺和 六大支撐平臺為技術支撐。構(gòu)建了縱向從新藥研發(fā)到聯(lián)創(chuàng)研究,橫向包含中藥、化藥、基因工程的全 方位的研發(fā)體系。某研發(fā)中心網(wǎng)絡平臺主要向園區(qū)入駐企業(yè)提供高效、安全的用戶接入服務,信息發(fā) 布平臺、資源共享和存儲平臺、園區(qū)內(nèi)音視頻服務。工程計劃分期完成,一期工程只要是主干網(wǎng)絡建 設。主要完成網(wǎng)絡接入服務。 一、 建設原則 實用性原則 以現(xiàn)有設備為補充,充分考慮發(fā)展的需要來確

2、定系統(tǒng)規(guī)模。 安全性原則 作為一個開放的園區(qū)網(wǎng)絡,對用戶的安全以及網(wǎng)絡的安全要求較高。 成熟和先進性原則 產(chǎn)品選型必須是有大量應用的成熟廠商產(chǎn)品。 該品牌產(chǎn)品需要及時將新技術引用進來, 更好的開 展業(yè)務,同時也要求保證網(wǎng)絡與業(yè)務的可靠性。 規(guī)范性原則 系統(tǒng)設計所采用的技術和設備應符合國際標準和國家標準為系統(tǒng)的擴展升級、 與其他系統(tǒng)的互聯(lián) 提供良好的基礎。 開放性和標準化原則 在設計時,要求提供開放性好、標準化程度高的技術方案;設備的各種接口滿足開放和標準化原 則。 可擴充和擴展化原則 所有系統(tǒng)設備不但滿足當前需要,并在擴充模塊后滿足可預見將來需求,如帶寬和設備的擴展, 應用的擴展和辦公地點的擴

3、展等。保證建設完成后的系統(tǒng)在向新的技術升級時,能保護現(xiàn)有的投資。 可管理性原則 整個系統(tǒng)的設備應易于管理,易于維護,操作簡單,易學,易用,便于進行系統(tǒng)配置,在設備、 安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制,并可以進行遠程管理和故障診斷。 高可靠性原則 網(wǎng)絡系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵保證,在網(wǎng)絡設計中特別是關鍵節(jié)點的設計中, 選用高可靠性網(wǎng)絡產(chǎn)品,實現(xiàn)關鍵節(jié)點冗余并完成負載分擔。避免單點故障。最大限度地保證網(wǎng)絡系 統(tǒng)的高效運行。 二、 設計方案 主干網(wǎng)絡設計如下圖所示,系統(tǒng)要求為“核心 -匯聚 -接入”的三層拓撲結(jié)構(gòu)。為終端用戶提 供“千兆到桌面”的高速園區(qū)網(wǎng)和多線路接入的

4、in ternet 網(wǎng)絡服務。包括北區(qū) A1區(qū)、B1區(qū)、 C1區(qū)及南區(qū)A2區(qū)、B2區(qū)、C2區(qū)的網(wǎng)絡主干系統(tǒng)建設。北區(qū)每棟樓宇通過光纖與核心交換機連 接。南區(qū)采用借助公共網(wǎng)絡采用VNP技術和核心交換機連接。 樓宇內(nèi)采用分樓層布置接入交換機 的方案。接入交換機通過六類雙絞線或更光纖與匯聚交換機相連。中心機房設A1 樓 6 樓。 以下簡要描述不同層次所執(zhí)行的功能: 1. 核心層功能 核心層一般是一個高速的交換主干網(wǎng),能盡快地交換數(shù)據(jù)包。一般不作數(shù)據(jù)包處理,例如訪 問控制和過濾,這些都可能降低數(shù)據(jù)包的交換速度。就目前園區(qū)的規(guī)劃和發(fā)展前景,核心層網(wǎng)絡 設備應支持IPV6且數(shù)據(jù)交換能力應大于 400Gbp

5、s。并且必須具備一定的業(yè)務擴展能力??紤]到 園區(qū)網(wǎng)絡是跨區(qū)域分區(qū)連接。核心層網(wǎng)絡還應具備支持三層的MPLS VPN和二層的MPLS VPN方 便北區(qū)及南區(qū)的連接, 考慮到后續(xù)的園區(qū)網(wǎng)絡的發(fā)展, 核心網(wǎng)絡層設備還應提供豐富的無線業(yè)務 擴展能力。 2. 匯聚層功能 其功能主要包括地址或區(qū)域集合、部門或工作組接入、廣播和多目廣播域定義、VLAN 交換、任 何可能的介質(zhì)傳輸、安全。匯聚層交換機要你管考慮到擴展性、可靠性、分布性的特點,并具有完備 的安全控制策略、豐富的 QOS策略。 3. 接入層功能 功能組要包括共享帶寬、交換帶寬、MAC層過濾。接入層交換機應具備高效的流控管理功能。 根據(jù)某研發(fā)中心網(wǎng)

6、絡平臺千兆以太網(wǎng)系統(tǒng)需求,分層結(jié)構(gòu)并不一定要有十分清楚的物理實體區(qū) 分,有的交換機即可以工作在匯聚層,同時也可作為接入層的交換設備。因此我們可以根據(jù)投資規(guī)模 等省略匯聚層設備,整個網(wǎng)絡采用星網(wǎng)狀的網(wǎng)絡構(gòu)造。 4. 外網(wǎng)部分 某研發(fā)中心網(wǎng)絡平臺的外網(wǎng)主要作用是提供 Internet 連接共享,相比內(nèi)網(wǎng),外網(wǎng)無論是速 率還是穩(wěn)定性要求都相對較低,但并不意味著不重視??紤]到網(wǎng)絡的高效性及高可靠性。外網(wǎng)設備應 具備線路負載及冗余功能、豐富的安全管控能力。北區(qū)借助多業(yè)務匯聚層設備連接外部網(wǎng)絡,省去購 買外部網(wǎng)絡設備費用,而南區(qū)考慮使用安全產(chǎn)品連接到外部網(wǎng)絡。兩區(qū)域通過VPN協(xié)議形成私有網(wǎng)絡。 三、系統(tǒng)選

7、型 根據(jù)甲方要求,和網(wǎng)絡管理便于管理的需要,園區(qū)所有的數(shù)據(jù)產(chǎn)品均采用H3C的產(chǎn)品。 產(chǎn)品設備的選型不僅要考慮到目前的情況,還應考慮到今后的發(fā)展。就目前某的規(guī)劃及發(fā)展前景。我 們選用H3C公司最新產(chǎn)品的多業(yè)務高端交換機S7503E作為核心層設備,S5600-26C以太網(wǎng)交換機作 為匯聚層設備。選用 S5000E系列(含24E及48E)全千兆安全智能交換機作為接入層設備。 各設備業(yè)務性能介紹如下: S7503E:? 豐富的業(yè)務,適應融合業(yè)務網(wǎng)絡發(fā)展趨勢?;?IRF2 (第二代智能彈性架構(gòu))技術的虛擬化架 構(gòu)不僅成為數(shù)據(jù)中心交換設備高性能、虛擬化的關鍵技術,而且對于傳統(tǒng)企業(yè)網(wǎng)應用,IRF2 所提供

8、 的高可靠性和無縫升級、擴展能力。 S7503E支持Multi-VRF特性,可以作為 MCE設備使用;支持三層的 MPLSVPN和二層的MPLSVPN (Marti ni、Kompella);支持 MPLS OAM特性,方便用戶的管理和維護;與H3C MPLS VPN Man age配 合,實現(xiàn)圖形化的 MPLS部署與維護。全面支持VPLS VLL,支持1K VPLS實例,4K VLL,還支持分 層VPLS以及QINQ+VPL黴入方式,提供端到端 2層VPN接入方案,支持 MPLS/VPLS全線速轉(zhuǎn)發(fā),滿 足VPLS規(guī)模部署要求。滿足項目南北區(qū)連接的需要,相對于傳統(tǒng)的線路租賃業(yè)務來說VPN不但

9、節(jié)省 了費用并且提高了園區(qū)網(wǎng)絡的安全性 H3C S7503E支持IPv4/IPv6雙協(xié)議棧,支持多種隧道技術,支持 IPv4/IPv6的組播技術,為用戶 提供完善的IPv4/IPv6解決方案;H3C S7500E采用分布式體系架構(gòu),實現(xiàn) IPv4/IPv6 業(yè)務的線速無 阻塞轉(zhuǎn)發(fā);是成熟商用的 IPv6 產(chǎn)品。 H3C S7503E有線無線一體化,集成的無線控制模塊提供豐富的業(yè)務能力,包括精細的用戶控制管理、 完善的RF管理及安全機制、快速漫游、超強的QoS和對IPv6的支持等;無線控制模塊通過與安全策 略服務器的聯(lián)動,實現(xiàn)對無線接入用戶的端點準入防御,提高了整網(wǎng)的安全性。 H3C S7503

10、E 提供完善的安全防護機制,可從控制、管理、轉(zhuǎn)發(fā)三平面全面保障網(wǎng)絡的安全:在 控制平面,內(nèi)置協(xié)議報文攻擊識別模塊,防止TCN ARP等協(xié)議報文攻擊,OSPF/BGP/IS-IS路由協(xié)議 采用MD5驗證,防止非法路由更新報文導致的網(wǎng)絡癱瘓;在管理平面,SNMPV3網(wǎng)管協(xié)議,SSH V2, 基于 802.1x 、AAA/Radius 的用戶身份認證以及分級的用戶權限管理保證了設備管理的安全性;在轉(zhuǎn) 發(fā)平面,支持IP、VLAN、MAC和端口等多種組合精細綁定;支持uRPF單播反向路徑轉(zhuǎn)發(fā),防止非法 流量訪問網(wǎng)絡,采用最長匹配逐包轉(zhuǎn)發(fā)機制,有效抵御病毒的攻擊。H3C S7500E還支持內(nèi)置的高性 能防

11、火墻、異常流量清洗等模塊,將專業(yè)的安全融入到交換機之中。 H3C S7503E 支持不間斷轉(zhuǎn)發(fā)和優(yōu)雅重啟,提供毫秒級的切換時間;支持等價路由,可幫助 用戶建立多條等值路徑,實現(xiàn)流量的負載均衡及冗余備份;支持RRPP 快速環(huán)網(wǎng)保護協(xié)議;支持 Smart-Link 協(xié)議,保證雙上行網(wǎng)絡拓撲的業(yè)務毫秒級快速切換。通過上述技術,H3C S7500E 可以在 承載多業(yè)務的情況下不間斷運行,實現(xiàn)業(yè)務的永續(xù)。 H3C S5600 系列交換機 H3C S5600 系列全千兆智能彈性交換機是H3C 公司為設計和構(gòu)建高彈性和高智能網(wǎng)絡需求而推出 的新一代以太網(wǎng)交換機產(chǎn)品。系統(tǒng)采用H3C公司創(chuàng)新的IRF (Inte

12、lligent Resilient Framework, 智能彈性架構(gòu))技術,支持高達 96G的堆疊帶寬和高密度千兆端口,支持萬兆上行。S5600系列交換 機采用 IRF 技術組網(wǎng)后, 能夠在整個堆疊組內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份,極大地 增強了設備和網(wǎng)絡的可靠性,消除了單點故障,避免了業(yè)務中斷。同時H3CS5600系列交換機不僅支 持STP/RSTP生成樹協(xié)議,還提供了基于多VLAN的生成樹 MSTP極大提高了鏈路的冗余備份,提高 容錯能力,保證網(wǎng)絡的穩(wěn)定運行。支持VRRF虛擬路由冗余協(xié)議,與其他三層交換機構(gòu)建 VRRP備份組。 構(gòu)建故障時的冗余路由拓撲結(jié)構(gòu),保持通訊的連續(xù)性和

13、可靠性,有效保障網(wǎng)絡穩(wěn)定。支持等價路由實 現(xiàn)上行路由的冗余備份和負載分擔。采用交、直流雙輸入電源模塊供電,也可以通過更換電源模塊來 支持PoE功能。S5600系列交換機支持 EAD(端點準入防御)功能,配合后臺系統(tǒng)可以將終端防病毒、 補丁修復等終端安全措施與網(wǎng)絡接入控制、訪問權限控制等網(wǎng)絡安全措施整合為一個聯(lián)動的安全體 系,通過對網(wǎng)絡接入終端的檢查、隔離、修復、管理和監(jiān)控,使整個網(wǎng)絡變被動防御為主動防御、變 單點防御為全面防御、變分散管理為集中策略管理,提升了網(wǎng)絡對病毒、蠕蟲等新興安全威脅的整體 防御能力。S5600系列交換機支持特有的 ARP入侵檢測功能,可有效防止黑客或攻擊者通過ARP報文

14、 實施日趨盛行的“ ARP欺騙攻擊”,對不符合 DHCP Snooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的 非法ARP欺騙報文直接丟棄。同時支持IP Source Check特性,防止包括 MAC欺騙、IP欺騙、MAC/IP 欺騙在內(nèi)的非法地址仿冒,以及大流量地址仿冒帶來的DoS攻擊。支持集中式 MAC地址認證和802.1X 認證。在用戶接入網(wǎng)絡時完成必要的身份認證,還可以通過靈活的MAC IP、VLAN PORT任意組合綁 定,有效的防止非法用戶訪問網(wǎng)絡。支持DUD(Disconnect Unauthorised Device)認證,通過 MAC 地址學習數(shù)目限制和 MAC地址與端口綁定實

15、現(xiàn)。支持用戶分級管理和口令保護,支持MAC地址學習數(shù) 目限制、MAC地址與端口綁定、端口隔離、MAC地址黑洞;支持防止 DoS攻擊功能。支持 QoSProfile 功能。和802.1X認證功能相結(jié)合,可以動態(tài)的為通過認證的用戶提供預先配置的一套QoS功能。用 戶在經(jīng)過802.1X認證后,交換機根據(jù) AAA服務器上配置的用戶名和Profile 的對應關系,將相應的 Profile 動態(tài)下發(fā)到用戶登錄的端口上,為該用戶提供量身定做的服務質(zhì)量保證。支持SSH特性。用 戶通過一個不能保證安全的網(wǎng)絡環(huán)境遠程登錄到以太網(wǎng)交換機時,可以提供安全的信息保障和強大的 認證功能,以保護以太網(wǎng)交換機不受諸如 IP

16、地址欺詐、明文密碼截取等等攻擊。 H3C S5000E系列全千兆安全智能交換機 H3C S5000E 所有的端口提供二層千兆線速交換能力,保證所有端口無阻塞的進行報文轉(zhuǎn)發(fā)。支 持802.1X認證,安全專區(qū)提供多種豐富的安全功能,可以實現(xiàn)IP+MAC瑞口 +VLAN四元素綁定,并可 通過DHCP-Snooping或者智能綁定自動獲取綁定列表,有效防御ARP攻擊、DOS攻擊及蠕蟲攻擊,并 可以方便的實現(xiàn)安全配置文件的導入和導出。提供LACP STP/RSTP功能,可有效實現(xiàn)鏈路擴展及備 可以通過web可視化的界面,對交換機的各種功能進行簡單方便的操作。 SecPath F100-M : SecPa

17、th F100-M基于H3C先進的OAA開放應用架構(gòu),SecPath防火墻能靈活擴展病毒防范、網(wǎng) 絡流量監(jiān)控和 SSLVPN等硬件業(yè)務模塊,實現(xiàn) 2-7層的全面安全。能防御 DoS/DDoS攻擊(如CC SYN flood、DNSQuery Flood、SYNFlood、UDPFlood 等)、ARP欺騙攻擊、TCP報文標志位不合法攻擊、 Large ICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊,同時支持黑名單、MAC綁定、 內(nèi)容過濾等先進功能。支持基礎、擴展和基于接口的狀態(tài)檢測包過濾技術;支持H3C特有ASPF應用 層報文過濾協(xié)議, 支持對每一個連接狀態(tài)信息的維護監(jiān)測并動態(tài)地過

18、濾數(shù)據(jù)包,支持對應用層協(xié)議的 狀態(tài)監(jiān)控。集成IPSec、L2TP、GRE和 SSL等多種成熟VPN接入技術,保證移動用戶、合作伙伴和分 支機構(gòu)安全、便捷的接入??梢杂行У淖R別網(wǎng)絡中各種P2P模式的應用,并且對這些應用采取限流的 控制措施,有效保護網(wǎng)絡帶寬;支持郵件過濾,提供SMTP郵件地址、標題、附件和內(nèi)容過濾;支持 網(wǎng)頁過濾,提供 HTTPURL和內(nèi)容過濾。提供多對一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、Easy IP和DNS 映射等NAT應用方式;支持多種應用協(xié)議正確穿越NAT提供 DNS FTP、H.323、NBT等NAT ALG功 能。 四、具體方案設計 從網(wǎng)絡應用功能和整體定位出發(fā),整體網(wǎng)絡

19、方案將基于層次化的設計,即采用三層結(jié)構(gòu):即核心 層,匯聚層及接入層。核心層通過千兆鏈路連接匯聚層,匯聚層通過千兆鏈路連接接入層交換機,接 入層交換機提供千兆連接到用戶桌面的系統(tǒng)結(jié)構(gòu)。 設計初期充分考慮到某研發(fā)中心的發(fā)展規(guī)劃和未來 的前景,在核心層和匯聚層間設備采用模塊化設計,為園區(qū)的后續(xù)發(fā)展預留萬兆網(wǎng)絡提升空間。在北 區(qū)核心層為未來的無線園區(qū)網(wǎng)絡提供擴展接口和未來高效安全的園區(qū)網(wǎng)絡提供深層安全防護接口。 根據(jù)南北兩大園區(qū)的地理規(guī)劃,網(wǎng)絡設計如下:計算機網(wǎng)絡的核心節(jié)點設置在位于北區(qū)的A1 公 共技術服務平臺的六樓信息中心主機房,該節(jié)點將配置1臺核心交換機S7503E,核心交換機通過光 纖線與 B

20、1 區(qū)生物技術及生物藥研發(fā)平臺的一臺 S5600-26C、 C1 區(qū)國家重大新藥創(chuàng)新平臺的一臺 S5600-26C 連接;核心交換機在 A1 區(qū)也同時擔當匯聚層功能, 直接與本樓的接入層交換機一臺 S5048E 和一臺S5024E連接。B1區(qū)及C1區(qū)匯聚層交換機 S5600-26C分別連接接入交換機(分別為一臺 S5048E 和一臺S5024E )。南區(qū)網(wǎng)絡考慮到前期企業(yè)入駐和業(yè)務開展等問題,A2區(qū)的一臺S5600-26C與B2 區(qū)、C2區(qū)的二臺S5600-26C接入。讓 A2區(qū)的S5600-26C既做匯聚層交換機也做南區(qū)核心層交換機。 同時B2區(qū)、C2區(qū)的二臺S5600-26C分別連接一臺 S5048E接入交換機。 A2區(qū)的S5600-26C同時連接 一臺S5024E接入交換機。 外網(wǎng)部分連接為:北區(qū)外網(wǎng)通過S7503E的換路由引擎模板直接接入in

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論