研发中心网络平台建设方案.docx
- 文档编号:30582406
- 上传时间:2023-08-18
- 格式:DOCX
- 页数:12
- 大小:33.41KB
研发中心网络平台建设方案.docx
《研发中心网络平台建设方案.docx》由会员分享,可在线阅读,更多相关《研发中心网络平台建设方案.docx(12页珍藏版)》请在冰豆网上搜索。
研发中心网络平台建设方案
某研发中心网络平台项目综述某研发中心是2009年10月23日正式揭牌启动运转的,研发中心占地面积为万平方米,总建筑面积为万平方米。
研发中心分为南北两个互相对称的地区。
研发中心以六大核心技术平台和六大支撑平台为技术支撑。
建立了纵向重新药研发到联创研究,横向包含中药、化药、基因工程的全方向的研发系统。
某研发中心网络平台主要向园区入驻公司供给高效、安全的用户接入服务,信息公布平台、资源共享和储存平台、园区内音视频服务。
工程计区分期达成,一期工程只假如骨干网络建设。
主要达成网络接入服务。
一、建设原则
适用性原则以现有设施为增补,充足考虑发展的需要来确立系统规模。
安全性原则作为一个开放的园区网络,对用户的安全以及网络的安全要求较高。
成熟和先进性原则产品选型一定是有大批应用的成熟厂商产品。
该品牌产品需要实时将新技术引用进来,
更好的展开业务,同时也要求保证网络与业务的靠谱性。
规范性原则
系统设计所采纳的技术和设施应切合国际标准和国家标准为系统的扩展升级、与其余系统的互联供给优秀的基础。
开放性和标准化原则在设计时,要求供给开放性好、标准化程度高的技术方案;设施的各样接口知足开放
和标准化原则。
可扩大和扩展化原则全部系统设施不只知足目前需要,并在扩大模块后知足可预示未来需求,如带宽和设
备的扩展,应用的扩展和办公地址的扩展等。
保证建设达成后的系统在向新的技术升级时,能保护现有的投资。
可管理性原则整个系统的设施应易于管理,易于保护,操作简单,易学,易用,便于进行系统配置,
在设施、安全性、数据流量、性能等方面获得很好的监督和控制,并能够进行远程管理和
故障诊疗。
高靠谱性原则网络系统的稳固靠谱是应用系统正常运转的重点保证,在网络设计中特别是重点节点的设计中,采纳高靠谱性网络产品,实现重点节点冗余并达成负载分担。
防止单点故障。
最大限度地保证网络系统的高效运转。
二、设计方案
骨干网络设计以下列图所示,系统要求为“核心-汇聚-接入”的三层拓扑结构。
为终
端用户供给“千兆到桌面”的高速园区网和多线路接入的internet网络服务。
包含北区A1区、B1区、C1区及南区A2区、B2区、C2区的网络主关连统建设。
北区每栋楼宇
经过光纤与核心互换机连结。
南区采纳借助公共网络采纳VNP技术和核心互换机连结。
楼宇内采纳分楼层部署接入互换机的方案。
接入互换机经过六类双绞线或更光纤与汇
聚互换机相连。
中心计房设A1楼6楼。
以下简要描绘不一样层次所履行的功能:
核心层功能核心层一般是一个高速的互换骨干网,能赶快地互换数据包。
一般不做准据包处
理,比如接见控制和过滤,这些都可能降低数据包的互换速度。
就目前园区的规划和
发展远景,核心层网络设施应支持IPV6且数据互换能力应大于400Gbps。
并且一定具备必定的业务扩展能力。
考虑到园区网络是跨地区分区连结。
核心层网络还应具备支
持三层的MPLSVPN和二层的MPLSVPN,方便北区及南区的连结,考虑到后续的园区网络的发展,核心网络层设施还应供给丰富的无线业务扩展能力。
汇聚层功能
其功能主要包含地址或地区会合、部门或工作组接入、广播和多目广播域定义、VLAN
互换、任何可能的介质传输、安全。
汇聚层互换机要你管考虑到扩展性、靠谱性、散布性
的特色,并拥有齐备的安全控制策略、丰富的QOS策略。
接入层功能
功能组要包含共享带宽、互换带宽、MAC层过滤。
接入层互换机应具备高效的流控管理功能。
依据某研发中心网络平台千兆以太网系统需求,分层结构其实不必定要有十分清楚的物理实体区分,有的互换机即能够工作在汇聚层,同时也可作为接入层的互换设施。
所以我们能够依据投资规模等省略汇聚层设施,整个网络采纳星网状的网络结构。
4.外网部分某研发中心网络平台的外网主要作用是供给Internet连结共享,对比内网,外网无论是速率仍是稳固性要求都相对较低,但其实不意味着不重视。
考虑到网络的高效性及高可靠性。
外网设施应具备线路负载及冗余功能、丰富的安全管控能力。
北区借助多业务汇聚层设施连结外面网络,省去购置外面网络设施花费,而南区考虑使用安全产品连结到外面
网络。
两地区经过VPN协议形成私有网络。
三、系统选型
依据甲方要求,和网络管理便于管理的需要,园区全部的数据产品均采纳H3C的产
品。
产品设施的选型不单要考虑到目前的状况,还应试虑到此后的发展。
就目前某的规划及发
展远景。
我们采纳H3C公司最新产品的多业务高端互换机S7503E作为核心层设施,
S5600-26C以太网互换机作为汇聚层设施。
采纳S5000E系列(含24E及48E)全千兆安全智能互换机作为接入层设施。
各设施业务性能介绍以下:
S7503E:
?
丰富的业务,适应交融业务网络发展趋向。
鉴于IRF2(第二代智能弹性架构)技术的虚构化架构不单成为数据中心互换设施高性能、虚构化的重点技术,并且关于传统公司网
应用,IRF2所供给的高靠谱性和无缝升级、扩展能力。
S7503E支持Multi-VRF特征,能够作为MCE设施使用;支持三层的MPLSVPN和二层的MPLSVPN(Martini、Kompella);支持MPLSOAM特征,方便用户的管理和保护;与
H3CMPLSVPNManager配合,实现图形化的MPLS部署与保护。
全面支持VPLS,VLL,支持1KVPLS实例,4KVLL,还支持分层VPLS以及QINQ+VPLS接入方式,供给端到端
2层VPN接入方案,支持MPLS/VPLS全线速转发,知足VPLS规模部署要求。
知足项目南北区连结的需要,相关于传统的线路租借业务来说VPN不只节俭了花费并且提高了园区网络的安全性H3CS7503E支持IPv4/IPv6双协议栈,支持多种地道技术,支持IPv4/IPv6的组播技术,
为用户供给完美的IPv4/IPv6解决方案;H3CS7500E采纳散布式系统架构,实现IPv4/IPv6
业务的线速无堵塞转发;是成熟商用的IPv6产品。
H3CS7503E有线无线一体化,集成的无线控制模块供给丰富的业务能力,包含精美的用户
控制管理、完美的RF管理及安全体制、迅速遨游、超强的QoS和对IPv6的支持等;无线
控制模块经过与安全策略服务器的联动,实现对无线接入用户的端点准入防守,提高了整网的安全性。
H3CS7503E供给完美的安全防备体制,可从控制、管理、转发三平面全面保障网络的安全:
在控制平面,内置协议报文攻击辨别模块,防备TCN、ARP等协议报文攻击,
OSPF/BGP/IS-IS路由协议采纳MD5考证,防备非法路由更新报文致使的网络瘫痪;在管理平面,SNMPv3网管协议,SSHV2,鉴于、AAA/Radius的用户身份认证以及分级
的用户权限管理保证了设施管理的安全性;在转发平面,支持IP、VLAN、MAC和端口等多种组合精美绑定;支持uRPF单播反向路径转发,防备非法流量接见网络,采纳最长
般配逐包转发体制,有效抵抗病毒的攻击。
H3CS7500E还支持内置的高性能防火墙、异样流量冲洗等模块,将专业的安全融入到互换机之中。
H3CS7503E支持不中断转发和优雅重启,供给毫秒级的切换时间;支持等价路由,可帮助用户成立多条等值路径,实现流量的负载平衡及冗余备份;支持RRPP迅速环网保
护协议;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级迅速切换。
经过上述技
术,H3CS7500E能够在承载多业务的状况下不中断运转,实现业务的永续。
H3CS5600系列互换机H3CS5600系列全千兆智能弹性互换机是H3C公司为设计和建立高弹性和高智能网络需求而推出的新一代以太网互换机产品。
系统采纳H3C公司创新的IRF(IntelligentResilient
Framework,智能弹性架构)技术,支持高达96G的堆叠带宽和高密度千兆端口,支持万兆上行。
S5600系列互换机采纳IRF技术组网后,能够在整个堆叠组内实现控制平面和数据平
面全部信息的冗余备份,极大地加强了设施和网络的靠谱性,除去了单点故障,防止了业
务中止。
同时H3CS5600系列互换机不单支持STP/RSTP生成树协议,还供给了鉴于多
VLAN的生成树MSTP,极大提高了链路的冗余备份,提高容错能力,保证网络的稳固运转。
支持VRRP虚构路由冗余协议,与其余三层互换机建立VRRP备份组。
建立故障时的冗余路由拓扑结构,保持通信的连续性和靠谱性,有效保障网络稳固。
支持等价路由实现上行路由的冗余备份和负载分担。
采纳交、直流双输入电源模块供电,也能够经过改换电源模
块来支持PoE功能。
S5600系列互换机支持EAD(端点准入防守)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全举措与网络接入控制、接见权限控制等网络安全措施整合为一个联动的安全系统,经过对网络接入终端的检查、隔绝、修复、管理和监控,使整个网络变被动防守为主动防守、变单点防守为全面防守、变分别管理为集中策略管理,
提高了网络对病毒、蠕虫等新兴安全威迫的整体防守能力。
S5600系列互换机支持独有的ARP入侵检测功能,可有效防备黑客或攻击者经过ARP报文实行日益流行的“ARP欺骗攻
击”,对不切合DHCPSnooping动向绑定表或手工配置的静态绑定表的非法ARP欺骗报文
直接抛弃。
同时支持IPSourceCheck特征,防备包含MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大流量地址仿冒带来的DoS攻击。
支持集中式MAC地址认证和认证。
在用户接入网络时达成必需的身份认证,还能够经过灵巧的MAC、IP、VLAN、
PORT随意组合绑定,有效的防备非法用户接见网络。
支持DUD(DisconnectUnauthorisedDevice)认证,经过MAC地址学习数量限制和MAC地址与端口绑定实现。
支持用户分级
管理和口令保护,支持MAC地址学习数量限制、MAC地址与端口绑定、端口隔绝、MAC
地址黑洞;支持防备DoS攻击功能。
支持QoSProfile功能。
和认证功能相联合,可
以动向的为经过认证的用户供给早先配置的一套QoS功能。
用户在经过认证后,交换机依据AAA服务器上配置的用户名和Profile的对应关系,将相应的Profile动向下发到
用户登录的端口上,为该用户供给量身定做的服务质量保证。
支持SSH特征。
用户经过一
个不可以保证安全的网络环境远程登录到以太网互换机时,能够供给安全的信息保障和强盛
的认证功能,以保护以太网互换机不受诸如IP地址欺骗、明文密码截取等等攻击。
H3CS5000E系列全千兆安全智能互换机H3CS5000E全部的端口供给二层千兆线速互换能力,保证全部端口无堵塞的进行报文转发。
支持认证,安全专区供给多种丰富的安全功能,能够实现IP+MAC+端口+VLAN
四元素绑定,并可经过DHCP-Snooping或许智能绑定自动获得绑定列表,有效防守ARP攻击、DOS攻击及蠕虫攻击,并能够方便的实现安全配置文件的导入和导出。
供给LACP、
STP/RSTP功能,可有效实现链路扩展及备能够经过web可视化的界面,对互换机的各样功能进行简单方便的操作。
SecPathF100-M:
SecPathF100-M鉴于H3C先进的OAA开放应用架构,SecPath防火墙能灵巧扩展病毒
防备、网络流量监控和SSLVPN等硬件业务模块,实现2-7层的全面安全。
能防守DoS/DDoS
攻击(如CC、SYNflood、DNSQueryFlood、SYNFlood、UDPFlood等)、ARP欺骗攻击、
TCP报文标记位不合法攻击、LargeICMP报文攻击、地址扫描攻击和端口扫描攻击等多种
歹意攻击,同时支持黑名单、MAC绑定、内容过滤等先进功能。
支持基础、扩展和鉴于接
口的状态检测包过滤技术;支持H3C特有ASPF应用层报文过滤协议,支持对每一个连结
状态信息的保护监测并动向地过滤数据包,支持对应用层协议的状态监控。
集成IPSec、
L2TP、GRE和SSL等多种成熟VPN接入技术,保证挪动用户、合作伙伴和分支机构安全、
便利的接入。
能够有效的辨别网络中各样P2P模式的应用,并且对这些应用采纳限流的控
制举措,有效保护网络带宽;支持邮件过滤,供给SMTP邮件地址、标题、附件和内容过
滤;支持网页过滤,供给HTTPURL和内容过滤。
供给多对一、多对多、静态网段、双向
变换、EasyIP和DNS映照等NAT应用方式;支持多种应用协议正确穿越NAT,供给DNS、
FTP、、NBT等NATALG功能。
四、详细方案设计从网络应用功能和整体定位出发,整体网络方案将鉴于层次化的设计,即采纳三层结
构:
即核心层,汇聚层及接入层。
核心层经过千兆链路连结汇聚层,汇聚层经过千兆链路连结接入层互换机,接入层互换机供给千兆连结到用户桌面的系统结构。
设计早期充足考
虑到某研发中心的发展规划和未来的远景,在核心层和汇聚层间设施采纳模块化设计,为
园区的后续发展预留万兆网络提高空间。
在北区核心层为未来的无线园区网络供给扩展接
口和未来高效安全的园区网络供给深层安全防备接口。
依据南北两大园区的地理规划,网络设计以下:
计算机网络的核心节点设置在位于北
区的A1公共技术服务平台的六楼信息中心主机房,该节点将配置1台核心互换机S7503E,
核心互换机经过光纤线与B1区生物技术及生物药研发平台的一台S5600-26C、C1区国家重
大新药创新平台的一台S5600-26C连结;核心互换机在A1区也同时担当汇聚层功能,直接
与本楼的接入层互换机一台S5048E和一台S5024E连结。
B1区及C1区汇聚层互换机
S5600-26C分别连结接入互换机(分别为一台S5048E和一台S5024E)。
南区网络考虑到
先期公司入驻和业务展开等问题,A2区的一台S5600-26C与B2区、C2区的二台S5600-26C
接入。
让A2区的S5600-26C既做汇聚层互换机也做南区核心层互换机。
同时B2区、C2区
的二台S5600-26C分别连结一台S5048E接入互换机。
A2区的S5600-26C同时连结一台S5024E
接入互换机。
外网部分连结为:
北区外网经过S7503E的换路由引擎模板直接接入internet,而南区
考虑目前业务的展开状况,用一台H3CSecPathF100-M直接接入internet,南北两区分别独
立接入internet。
经过S7503E与F100-M的VPN功能组件园区自己的私有虚构网。
先期接
入为南北园区均采纳网通和电信双线路100M接入,并在S7503E与F100-M上做动向负载
平衡。
进而建立分地区千兆园区网,地区间的百兆安全私有网络。
五、网络拓扑结构
六、设施报价清单单价:
元序号设施名称数单位单价共计量
1H3CS7503E以太网互换机主机
1台1870018700
2H3CS7500E沟通电源模块,1400W
1块95209520
3H3CS7500ESalienceVI-Turbo互换路由引1
块3360033600
擎
4H3CS7500E12端口加强型千兆以太网光1
块4140041400
接口模块(SFP,LC)
5S5600-26C5台1350067500
6S5048E6台5380322807S5024E4台283011320
8H3CSecPathF100-M主机-沟通电源
1台
9H3CSecPathF100-M2端口10/100BaseT模1块74107410块
10光模块-SFP-GE-多模模块
36个125045000
11网络管理服务器DELLR710
1台4480044800
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 研发 中心 网络 平台 建设 方案
![提示](https://static.bdocx.com/images/bang_tan.gif)