集團(tuán)云數(shù)據(jù)中心科研網(wǎng)絡(luò)規(guī)劃設(shè)計

1、集團(tuán)云數(shù)據(jù)中心科研網(wǎng)絡(luò)規(guī)劃設(shè)計12網(wǎng)絡(luò)整體架構(gòu)科研網(wǎng)網(wǎng)絡(luò)規(guī)劃目錄集團(tuán)現(xiàn)網(wǎng)分為信息內(nèi)網(wǎng)和信息外網(wǎng)，信息內(nèi)網(wǎng)與信息外網(wǎng)之間物理隔離，通過網(wǎng)閘進(jìn)數(shù)據(jù)擺渡。目前網(wǎng)絡(luò)運(yùn)行基本正常，但隨著IT環(huán)境的日益復(fù)雜，規(guī)模日益增長，網(wǎng)絡(luò)系統(tǒng)局部存在問題仍有待改善。信息內(nèi)網(wǎng)承載全院用戶訪問自建業(yè)務(wù)系統(tǒng)和國網(wǎng)統(tǒng)推業(yè)務(wù)系統(tǒng)的內(nèi)網(wǎng)流量；信息外網(wǎng)承載全院用戶訪問Inerent及對公網(wǎng)用戶提供服務(wù)的流量；信息內(nèi)網(wǎng)和信息外網(wǎng)的網(wǎng)絡(luò)拓?fù)涠疾捎眯切?，全網(wǎng)都采用靜態(tài)路由實現(xiàn)互通。設(shè)備、鏈路、服務(wù)器接入有較多的單點，缺少冗余，可用性不高；網(wǎng)絡(luò)架構(gòu)層次不清晰，數(shù)據(jù)中心和辦公網(wǎng)未有效隔離，數(shù)據(jù)中心沒有進(jìn)行功能區(qū)域劃分；二層廣播域跨越雙中心，

2、出現(xiàn)廣播風(fēng)暴會導(dǎo)致整網(wǎng)不可用；數(shù)據(jù)中心沒有進(jìn)行功能區(qū)域劃分，缺少統(tǒng)一的安全策略；安全防護(hù)手段比較單一，缺乏安全縱深；網(wǎng)絡(luò)設(shè)備配置存在安全薄弱環(huán)節(jié)，業(yè)務(wù)流量的監(jiān)控和分析手段不足；大數(shù)據(jù)相關(guān)業(yè)務(wù)的網(wǎng)絡(luò)都為千兆，存在帶寬瓶頸；帶外管理網(wǎng)不完備，運(yùn)維管理效率不高；網(wǎng)絡(luò)基礎(chǔ)服務(wù)沒有統(tǒng)一的管理（DHCP、DNS、NTP等）需要注意的是 關(guān)鍵節(jié)點的設(shè)備和鏈路（A中心核心、南京院區(qū)、武漢院區(qū)） 采用冗余部署，具備一定的可用性；在網(wǎng)絡(luò)出口部署防火墻對集團(tuán)信息內(nèi)網(wǎng)進(jìn)行整體安全防護(hù)，專門的DMZ區(qū)對外提供服務(wù)，并部署WAF進(jìn)行WEB安全防護(hù)；值得肯定的是安全性性能可用性信息內(nèi)網(wǎng)的網(wǎng)絡(luò)核心為A中心的兩臺S7506E，

3、通過中電飛華的鏈路連接各個院區(qū)（武漢院區(qū)例外），A中心院區(qū)內(nèi)網(wǎng)用戶的網(wǎng)關(guān)在核心交換機(jī)上，其他各院區(qū)的用戶網(wǎng)關(guān)均在本地的匯聚交換機(jī)上，通過出口的一組Juniper防火墻實現(xiàn)安全防護(hù)，訪問國網(wǎng)公司信息內(nèi)網(wǎng)的業(yè)務(wù)系統(tǒng)?？捎眯园踩钥晒芾硇畔⑼饩W(wǎng)的網(wǎng)絡(luò)核心為A中心的兩臺S7506E，通過中電飛華的鏈路連接各個院區(qū)（武漢院區(qū)例外），A中心院區(qū)內(nèi)網(wǎng)用戶的網(wǎng)關(guān)在核心交換機(jī)上，其他各院區(qū)的用戶網(wǎng)關(guān)均在本地的匯聚交換機(jī)上，有線用戶和無線用戶的Internet出口分離，部署了部分安全設(shè)備實現(xiàn)安全防護(hù)。設(shè)備、鏈路、服務(wù)器接入有較多的單點，缺少冗余，可用性不高；網(wǎng)絡(luò)架構(gòu)層次不清晰，數(shù)據(jù)中心和辦公網(wǎng)未有效隔離，數(shù)據(jù)中心

4、沒有進(jìn)行功能區(qū)域劃分；二層廣播域跨越雙中心，出現(xiàn)廣播風(fēng)暴會導(dǎo)致整網(wǎng)不可用；數(shù)據(jù)中心沒有進(jìn)行功能區(qū)域劃分，缺少統(tǒng)一的安全策略；安全防護(hù)手段比較單一，缺乏安全縱深；網(wǎng)絡(luò)設(shè)備配置存在安全薄弱環(huán)節(jié)，業(yè)務(wù)流量的監(jiān)控和分析手段不足；帶外管理網(wǎng)不完備，運(yùn)維管理效率不高；網(wǎng)絡(luò)基礎(chǔ)服務(wù)沒有統(tǒng)一的管理（DHCP、DNS、NTP等）。需要注意的是 關(guān)鍵節(jié)點的設(shè)備和鏈路（A中心核心、南京院區(qū)、武漢院區(qū)） 采用冗余部署，有線側(cè)Intenet出口雙鏈路，通過LB進(jìn)行負(fù) 載均衡，具備一定的可用性；有線用戶網(wǎng)絡(luò)出口部署了防火墻和IDS設(shè)備，對集團(tuán)信息外網(wǎng)進(jìn)行整體安全防護(hù)，通過專門的DMZ區(qū)對外提供服務(wù)，無線用戶側(cè)部署了上網(wǎng)行

5、為管理和防火墻；值得肯定的是安全性可用性可用性安全性可管理高可用性安全性可管理性靈活性可擴(kuò)展性性能網(wǎng)絡(luò)結(jié)構(gòu)的高可用性，物理資源的冗余部署，邏輯關(guān)系的松耦合設(shè)計，不會因為任何一個網(wǎng)絡(luò)模塊發(fā)生故障而影響全局網(wǎng)絡(luò)的暢通。網(wǎng)絡(luò)安全區(qū)域合理規(guī)劃，安全策略精細(xì)化部署，符合信息系統(tǒng)安全等級保護(hù)基本要求，全網(wǎng)的安全策略進(jìn)行統(tǒng)一的管理，能夠滿足未來業(yè)務(wù)發(fā)展對安全的需求。網(wǎng)絡(luò)的帶寬、時延、抖動等性能指標(biāo)滿足業(yè)務(wù)系統(tǒng)的要求；采用業(yè)務(wù)功能模塊化和網(wǎng)絡(luò)拓?fù)鋵哟位脑O(shè)計方法，使得網(wǎng)絡(luò)架構(gòu)在功能、容量、覆蓋能力等各方面具有易擴(kuò)展能力，使其能夠動態(tài)響應(yīng)業(yè)務(wù)發(fā)展變化，快速滿足業(yè)務(wù)和應(yīng)用不斷變化對網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的要求，配合業(yè)務(wù)的快

6、速發(fā)展或變革。采用新技術(shù)和新特性時，網(wǎng)絡(luò)架構(gòu)不需要調(diào)整或調(diào)整較小，滿足業(yè)務(wù)與應(yīng)用系統(tǒng)靈活多變的部署需求。網(wǎng)絡(luò)簡單、健壯，易于管理和維護(hù)，滿足行業(yè)監(jiān)管要求及日常運(yùn)維的需求，并提供及時發(fā)現(xiàn)和排除網(wǎng)絡(luò)故障的能力。集團(tuán)的網(wǎng)絡(luò)規(guī)劃參考業(yè)界通用的高可用性、安全性、可擴(kuò)展性、性能、靈活性和可管理性六個設(shè)計原則。核心網(wǎng)架構(gòu)前端網(wǎng)絡(luò)后端網(wǎng)絡(luò)前后端網(wǎng)絡(luò)分離接入?yún)R聚核心網(wǎng)絡(luò)松耦合DCDCDCWNWNWNWNBRBRBR標(biāo)準(zhǔn)化部署連接方式標(biāo)準(zhǔn)化協(xié)議部署標(biāo)準(zhǔn)化物理部署標(biāo)準(zhǔn)化模塊化分區(qū)網(wǎng)絡(luò)分層設(shè)計集團(tuán)的網(wǎng)絡(luò)采用松耦合設(shè)計，信息內(nèi)網(wǎng)、外網(wǎng)和科研網(wǎng)均基于核心網(wǎng)架構(gòu)，標(biāo)準(zhǔn)化設(shè)計和部署，數(shù)據(jù)中心內(nèi)部前后端網(wǎng)絡(luò)分離，模塊化分區(qū)和分

7、層設(shè)計，使集團(tuán)的網(wǎng)絡(luò)在業(yè)務(wù)可用性及連續(xù)性、快速響應(yīng)、網(wǎng)絡(luò)標(biāo)準(zhǔn)化、網(wǎng)絡(luò)風(fēng)險控制以及業(yè)務(wù)價值回報五個方面達(dá)到同業(yè)成熟期的能力。集團(tuán)網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)、信息外網(wǎng)和科研網(wǎng)，信息內(nèi)網(wǎng)承載全院用戶訪問自建業(yè)務(wù)系統(tǒng)和國網(wǎng)統(tǒng)推業(yè)務(wù)系統(tǒng)的內(nèi)網(wǎng)流量；信息外網(wǎng)承載全院用戶訪問Inerent及對公網(wǎng)用戶提供服務(wù)的流量；科研網(wǎng)承載各院所實驗室的科研流量。三張網(wǎng)絡(luò)物理上相互獨(dú)立，互訪需要經(jīng)過隔離裝置進(jìn)行數(shù)據(jù)擺渡。12網(wǎng)絡(luò)整體架構(gòu)科研網(wǎng)網(wǎng)絡(luò)規(guī)劃目錄科研網(wǎng)網(wǎng)絡(luò)規(guī)劃目錄網(wǎng)絡(luò)總體架構(gòu)設(shè)計科研網(wǎng)路由設(shè)計5.15.2科研網(wǎng)承載各院所實驗室的科研流量，提供Internet專線、衛(wèi)星、4G/LTE/APN等多種廣域網(wǎng)接入方式。設(shè)計要點:

8、架構(gòu)科研網(wǎng)最外側(cè)部署路由器，靈活實現(xiàn)各種鏈路接入方式，部署防火墻和IPS實現(xiàn)四至七層的安全防護(hù)，部署上網(wǎng)行為管理對科研網(wǎng)用戶的上網(wǎng)行為進(jìn)行管理和審計，滿足監(jiān)管要求；承載平臺的核心交換負(fù)責(zé)接入管理業(yè)務(wù)區(qū)和各院所的實驗室，支持網(wǎng)絡(luò)虛擬化，簡化路由部署和管理。安全性從外到內(nèi)部署鏈路層到應(yīng)用層的多類安全設(shè)備，實現(xiàn)四至七層的縱深安全防御。高可用性互聯(lián)網(wǎng)出口區(qū)的設(shè)備都采用雙機(jī)，鏈路冗余備份。靈活性網(wǎng)絡(luò)架構(gòu)靈活，便于擴(kuò)展，能哆實現(xiàn)專線、衛(wèi)星、3G/4G/LTE/APN等多種接入方式?？蒲芯W(wǎng)承載平臺負(fù)責(zé)接入各院所的實驗室，滿足實驗室與外界的訪問需求。設(shè)計主要考慮安全性、高可用性和靈活性。管理業(yè)務(wù)區(qū)是保障IT基礎(chǔ)架構(gòu)正常運(yùn)行的操作和管理區(qū)域，安管中心（SOC）、網(wǎng)管服務(wù)器、日志主機(jī)、維護(hù)終端等都部署在此區(qū)域。設(shè)計要點: 架構(gòu)科研網(wǎng)網(wǎng)絡(luò)規(guī)模不大，管理業(yè)務(wù)區(qū)的服務(wù)器數(shù)量有限，只部署一組匯聚，服務(wù)器直接接入?yún)R聚。匯聚由兩臺中端交換機(jī)組成，支持網(wǎng)絡(luò)虛擬化技術(shù)，作為本區(qū)域的業(yè)務(wù)網(wǎng)關(guān)；高可用性匯聚設(shè)備和防火墻都采用雙設(shè)備，服務(wù)器通過雙網(wǎng)卡同時接入?yún)R聚交換機(jī)上，實現(xiàn)設(shè)備及接入的高可用性；區(qū)域匯聚支持網(wǎng)絡(luò)虛擬化，防火墻與區(qū)域匯聚之間、區(qū)域匯聚與承載平臺的核心交換之間均采用跨設(shè)備的鏈路聚合，實現(xiàn)節(jié)點之間連接的高可用性。安全性通過防火墻對進(jìn)出管理業(yè)務(wù)區(qū)的流量進(jìn)行