某研發(fā)中心網(wǎng)絡平臺建設方案

1、某研發(fā)中心網(wǎng)絡平臺項目綜述某研發(fā)中心是2009年10月23日正式揭牌啟動運行的，研發(fā)中心占地面積為3.1萬平方米，總建筑面積為4.5萬平方米。研發(fā)中心分為南北兩個相互對稱的區(qū)域。研發(fā)中心以六大核心技術平臺和六大支撐平臺為技術支撐。構(gòu)建了縱向從新藥研發(fā)到聯(lián)創(chuàng)研究，橫向包含中藥、化藥、基因工程的全方位的研發(fā)體系。某研發(fā)中心網(wǎng)絡平臺主要向園區(qū)入駐企業(yè)提供高效、安全的用戶接入服務，信息發(fā)布平臺、資源共享和存儲平臺、園區(qū)內(nèi)音視頻服務。工程計劃分期完成，一期工程只要是主干網(wǎng)絡建設。主要完成網(wǎng)絡接入服務。建設原則實用性原則則以現(xiàn)有設備備為補充充，充分分考慮發(fā)發(fā)展的需需要來確確定系統(tǒng)統(tǒng)規(guī)模。安全性原則則作為一

2、個開開放的園園區(qū)網(wǎng)絡絡，對用用戶的安安全以及及網(wǎng)絡的的安全要要求較高高。成熟和先進進性原則則產(chǎn)品選型必必須是有有大量應應用的成成熟廠商商產(chǎn)品。該該品牌產(chǎn)產(chǎn)品需要要及時將將新技術術引用進進來，更更好的開開展業(yè)務務，同時時也要求求保證網(wǎng)網(wǎng)絡與業(yè)業(yè)務的可可靠性。規(guī)范性原則則系統(tǒng)設計所所采用的的技術和和設備應應符合國國際標準準和國家家標準為為系統(tǒng)的的擴展升升級、與與其他系系統(tǒng)的互互聯(lián)提供供良好的的基礎。開放性和標標準化原原則在設計時，要要求提供供開放性性好、標標準化程程度高的的技術方方案；設設備的各各種接口口滿足開開放和標標準化原原則。可擴充和擴擴展化原原則所有系統(tǒng)設設備不但但滿足當當前需要要，并在在

3、擴充模模塊后滿滿足可預預見將來來需求，如如帶寬和和設備的的擴展，應應用的擴擴展和辦辦公地點點的擴展展等。保保證建設設完成后后的系統(tǒng)統(tǒng)在向新新的技術術升級時時，能保保護現(xiàn)有有的投資資。可管理性原原則整個系統(tǒng)的的設備應應易于管管理，易易于維護護，操作作簡單，易易學，易易用，便便于進行行系統(tǒng)配配置，在在設備、安安全性、數(shù)數(shù)據(jù)流量量、性能能等方面面得到很很好的監(jiān)監(jiān)視和控控制，并并可以進進行遠程程管理和和故障診診斷。高可靠性原原則網(wǎng)絡系統(tǒng)的的穩(wěn)定可可靠是應應用系統(tǒng)統(tǒng)正常運運行的關關鍵保證證，在網(wǎng)網(wǎng)絡設計計中特別別是關鍵鍵節(jié)點的的設計中中，選用用高可靠靠性網(wǎng)絡絡產(chǎn)品，實實現(xiàn)關鍵鍵節(jié)點冗冗余并完完成負載載分

4、擔。避避免單點點故障。最最大限度度地保證證網(wǎng)絡系系統(tǒng)的高高效運行行。設計方案 主主干網(wǎng)絡絡設計如如下圖所所示，系系統(tǒng)要求求為“核心-匯聚-接入”的三層層拓撲結(jié)結(jié)構(gòu)。為為終端用用戶提供供“千兆到到桌面”的高速速園區(qū)網(wǎng)網(wǎng)和多線線路接入入的innterrnett網(wǎng)絡服服務。包包括北區(qū)區(qū)A1區(qū)區(qū)、B11區(qū)、CC1區(qū)及及南區(qū)AA2區(qū)、BB2區(qū)、CC2區(qū)的的網(wǎng)絡主主干系統(tǒng)統(tǒng)建設。北區(qū)每每棟樓宇宇通過光光纖與核核心交換換機連接接。南區(qū)區(qū)采用借借助公共共網(wǎng)絡采采用VNNP技術術和核心心交換機機連接。樓樓宇內(nèi)采采用分樓樓層布置置接入交交換機的的方案。接接入交換換機通過過六類雙雙絞線或或更光纖纖與匯聚聚交換機機相

5、連。中心機房設A1樓6樓。以下簡要描描述不同同層次所所執(zhí)行的的功能：核心層功能能核心層一般般是一個個高速的的交換主主干網(wǎng)，能能盡快地地交換數(shù)數(shù)據(jù)包。一一般不作作數(shù)據(jù)包包處理，例例如訪問問控制和和過濾，這這些都可可能降低低數(shù)據(jù)包包的交換換速度。就目前園區(qū)的規(guī)劃和發(fā)展前景，核心層網(wǎng)絡設備應支持IPV6且數(shù)據(jù)交換能力應大于400Gbps。并且必須具備一定的業(yè)務擴展能力?？紤]到園區(qū)網(wǎng)絡是跨區(qū)域分區(qū)連接。核心層網(wǎng)絡還應具備支持三層的MPLS VPN和二層的MPLS VPN，方便北區(qū)及南區(qū)的連接，考慮到后續(xù)的園區(qū)網(wǎng)絡的發(fā)展，核心網(wǎng)絡層設備還應提供豐富的無線業(yè)務擴展能力。2. 匯聚聚層功能能其功能主要要包括

6、地地址或區(qū)區(qū)域集合合、部門或或工作組組接入、廣播和和多目廣廣播域定定義、VLAAN交換換、任何可可能的介介質(zhì)傳輸輸、安全。匯匯聚層交交換機要要你管考考慮到擴擴展性、可靠性性、分布性性的特點點，并具具有完備備的安全全控制策策略、豐豐富的QQOS策策略。3. 接入入層功能能功能組要包包括共享享帶寬、交換帶帶寬、MACC層過濾濾。接入入層交換換機應具具備高效效的流控控管理功功能。根據(jù)某研發(fā)發(fā)中心網(wǎng)網(wǎng)絡平臺臺千兆以以太網(wǎng)系系統(tǒng)需求求，分層結(jié)結(jié)構(gòu)并不不一定要要有十分分清楚的的物理實實體區(qū)分分，有的的交換機機即可以以工作在在匯聚層，同同時也可可作為接接入層的的交換設設備。因因此我們們可以根根據(jù)投資資規(guī)模等

7、等省略匯匯聚層設設備，整整個網(wǎng)絡絡采用星星網(wǎng)狀的的網(wǎng)絡構(gòu)構(gòu)造。 4.外網(wǎng)部部分 某某研發(fā)中中心網(wǎng)絡絡平臺的的外網(wǎng)主主要作用用是提供供Intternnet連連接共享享，相比比內(nèi)網(wǎng)，外外網(wǎng)無論論是速率率還是穩(wěn)穩(wěn)定性要要求都相相對較低低，但并并不意味味著不重重視?？伎紤]到網(wǎng)網(wǎng)絡的高高效性及及高可靠靠性。外外網(wǎng)設備備應具備備線路負負載及冗冗余功能能、豐富富的安全全管控能能力。北北區(qū)借助助多業(yè)務務匯聚層層設備連連接外部部網(wǎng)絡，省省去購買買外部網(wǎng)網(wǎng)絡設備備費用，而而南區(qū)考考慮使用用安全產(chǎn)產(chǎn)品連接接到外部部網(wǎng)絡。兩兩區(qū)域通通過VPPN協(xié)議議形成私私有網(wǎng)絡絡。系統(tǒng)選型根據(jù)甲方要要求， 和網(wǎng)絡絡管理便便于管理理

8、的需要要，園區(qū)區(qū)所有的的數(shù)據(jù)產(chǎn)產(chǎn)品均采采用H33C的產(chǎn)產(chǎn)品。產(chǎn)品設備的的選型不不僅要考考慮到目目前的情情況，還還應考慮慮到今后后的發(fā)展展。就目目前某的規(guī)劃及及發(fā)展前前景。我我們選用用H3CC公司最最新產(chǎn)品品的多業(yè)業(yè)務高端端交換機機S75503EE作為核核心層設設備，SS56000-26CC 以太太網(wǎng)交換換機作為為匯聚層層設備。選選用S550000E系列列（含224E及及48EE）全千千兆安全全智能交交換機作作為接入入層設備備。各設備業(yè)務務性能介介紹如下下：S775033E： 豐豐富的業(yè)業(yè)務，適適應融合合業(yè)務網(wǎng)網(wǎng)絡發(fā)展展趨勢?；贗RRF2（第第二代智智能彈性性架構(gòu)）技技術的虛虛擬化架架構(gòu)不僅僅

9、成為數(shù)數(shù)據(jù)中心心交換設設備高性性能、虛虛擬化的的關鍵技技術，而而且對于于傳統(tǒng)企企業(yè)網(wǎng)應應用，IIRF22所提供供的高可可靠性和和無縫升升級、擴擴展能力力。S75033E支持持Mullti-VRFF特性，可可以作為為MCEE設備使使用；支支持三層層的MPPLS VPNN和二層層的MPPLS VPNN（Marrtinni、Kommpellla）；支持MMPLSS OAAM特性性，方便便用戶的的管理和和維護；與H33C MMPLSS VPPN MManaagerr配合，實實現(xiàn)圖形形化的MMPLSS部署與與維護。 全面支持VPLS，VLL，支持1K VPLS實例，4K VLL，還支持分層VPLS以及Q

10、INQ+VPLS接入方式，提供端到端2層VPN接入方案，支持MPLS/VPLS全線速轉(zhuǎn)發(fā)，滿足VPLS規(guī)模部署要求。滿足項目南北區(qū)連接的需要，相對于傳統(tǒng)的線路租賃業(yè)務來說VPN不但節(jié)省了費用并且提高了園區(qū)網(wǎng)絡的安全性H3C SS75003E支支持IPPv4/IPvv6雙協(xié)協(xié)議棧,支持多多種隧道道技術，支支持IPPv4/IPvv6的組組播技術術，為用用戶提供供完善的的IPvv4/IIPv66解決方方案；HH3C S75500EE采用分分布式體體系架構(gòu)構(gòu)，實現(xiàn)現(xiàn)IPvv4/IIPv66業(yè)務的的線速無無阻塞轉(zhuǎn)轉(zhuǎn)發(fā)；是是成熟商商用的IIPv66產(chǎn)品。H3C SS75003E有有線無線線一體化化，集成的

11、的無線控控制模塊塊提供豐豐富的業(yè)業(yè)務能力力，包括括精細的的用戶控控制管理理、完善善的RFF管理及及安全機機制、快快速漫游游、超強強的QooS和對對IPvv6的支支持等；無線控控制模塊塊通過與與安全策策略服務務器的聯(lián)聯(lián)動，實實現(xiàn)對無無線接入入用戶的的端點準準入防御御，提高高了整網(wǎng)網(wǎng)的安全全性。H3C SS75003E提提供完善善的安全全防護機機制，可可從控制制、管理理、轉(zhuǎn)發(fā)發(fā)三平面面全面保保障網(wǎng)絡絡的安全全：在控控制平面面，內(nèi)置置協(xié)議報報文攻擊擊識別模模塊，防防止TCCN、ARPP等協(xié)議議報文攻攻擊，OOSPFF/BGGP/IIS-IIS路由由協(xié)議采采用MDD5驗證證，防止止非法路路由更新新報文

12、導導致的網(wǎng)網(wǎng)絡癱瘓瘓；在管管理平面面，SNNMPvv3網(wǎng)管管協(xié)議，SSH V2，基于802.1x、AAA/Radius的用戶身份認證以及分級的用戶權限管理保證了設備管理的安全性；在轉(zhuǎn)發(fā)平面，支持IP、VLAN 、MAC和端口等多種組合精細綁定；支持uRPF單播反向路徑轉(zhuǎn)發(fā)，防止非法流量訪問網(wǎng)絡，采用最長匹配逐包轉(zhuǎn)發(fā)機制，有效抵御病毒的攻擊。H3C S7500E還支持內(nèi)置的高性能防火墻、異常流量清洗等模塊，將專業(yè)的安全融入到交換機之中。 H3C S7503E支持不間斷轉(zhuǎn)發(fā)和優(yōu)雅重啟，提供毫秒級的切換時間；支持等價路由，可幫助用戶建立多條等值路徑，實現(xiàn)流量的負載均衡及冗余備份；支持RRPP快速環(huán)網(wǎng)

13、保護協(xié)議；支持Smart-Link協(xié)議，保證雙上行網(wǎng)絡拓撲的業(yè)務毫秒級快速切換。通過上述技術，H3C S7500E可以在承載多業(yè)務的情況下不間斷運行，實現(xiàn)業(yè)務的永續(xù)。H3C SS56000系列列交換機機 H33C SS56000系列列全千兆兆智能彈彈性交換換機是HH3C公公司為設設計和構(gòu)構(gòu)建高彈彈性和高高智能網(wǎng)網(wǎng)絡需求求而推出出的新一一代以太太網(wǎng)交換換機產(chǎn)品品。系統(tǒng)統(tǒng)采用HH3C公公司創(chuàng)新新的IRRF（Inttellligeent Ressiliientt Frrameeworrk，智智能彈性性架構(gòu))技術，支支持高達達96GG的堆疊疊帶寬和和高密度度千兆端端口，支支持萬兆兆上行。S5600系列

14、交換機采用IRF技術組網(wǎng)后，能夠在整個堆疊組內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份，極大地增強了設備和網(wǎng)絡的可靠性，消除了單點故障，避免了業(yè)務中斷。同時H3C S5600系列交換機不僅支持STP/RSTP生成樹協(xié)議，還提供了基于多VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯能力，保證網(wǎng)絡的穩(wěn)定運行。支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機構(gòu)建VRRP備份組。構(gòu)建故障時的冗余路由拓撲結(jié)構(gòu)，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡穩(wěn)定。支持等價路由實現(xiàn)上行路由的冗余備份和負載分擔。采用交、直流雙輸入電源模塊供電，也可以通過更換電源模塊來支持PoE功能。S5600系列交換機支

15、持EAD（端點準入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復等終端安全措施與網(wǎng)絡接入控制、訪問權限控制等網(wǎng)絡安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡接入終端的檢查、隔離、修復、管理和監(jiān)控，使整個網(wǎng)絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡對病毒、蠕蟲等新興安全威脅的整體防御能力。S5600系列交換機支持特有的ARP入侵檢測功能，可有效防止黑客或攻擊者通過ARP報文實施日趨盛行的“ARP欺騙攻擊”，對不符合DHCP Snooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報文直接丟棄。同時支持IP Source Check特性，防止包括

16、MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的DoS攻擊。支持集中式MAC地址認證和802.1x認證。在用戶接入網(wǎng)絡時完成必要的身份認證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡。支持DUD（Disconnect Unauthorised Device）認證，通過MAC地址學習數(shù)目限制和MAC地址與端口綁定實現(xiàn)。支持用戶分級管理和口令保護，支持MAC地址學習數(shù)目限制、MAC地址與端口綁定、端口隔離、MAC地址黑洞；支持防止DoS攻擊功能。支持QoS Profile功能。和802.1x認證功能相結(jié)合，可以動態(tài)的為

17、通過認證的用戶提供預先配置的一套QoS功能。用戶在經(jīng)過802.1x認證后，交換機根據(jù)AAA服務器上配置的用戶名和Profile的對應關系，將相應的Profile動態(tài)下發(fā)到用戶登錄的端口上，為該用戶提供量身定做的服務質(zhì)量保證。支持SSH特性。用戶通過一個不能保證安全的網(wǎng)絡環(huán)境遠程登錄到以太網(wǎng)交換機時，可以提供安全的信息保障和強大的認證功能，以保護以太網(wǎng)交換機不受諸如IP地址欺詐、明文密碼截取等等攻擊。 H3C S50000EE系列全全千兆安安全智能能交換機機H3C SS50000E所所有的端端口提供供二層千千兆線速速交換能能力，保保證所有有端口無無阻塞的的進行報報文轉(zhuǎn)發(fā)發(fā)。支持持8022.1xx

18、認證，安安全專區(qū)區(qū)提供多多種豐富富的安全全功能，可可以實現(xiàn)現(xiàn)IP+MACC+端口口+VLLAN四四元素綁綁定，并并可通過過DHCCP-SSnooopinng或者者智能綁綁定自動動獲取綁綁定列表表，有效效防御AARP攻攻擊、DDOS攻攻擊及蠕蠕蟲攻擊擊，并可可以方便便的實現(xiàn)現(xiàn)安全配配置文件件的導入入和導出出。提供供LACCP、SSTP/RSTTP功能能，可有有效實現(xiàn)現(xiàn)鏈路擴擴展及備備可以通通過weeb可視視化的界界面，對對交換機機的各種種功能進進行簡單單方便的的操作。SecPaath F1000-MM：SecPaath F1000-MM基于HH3C 先進的的OAAA開放應應用架構(gòu)構(gòu)，SeecPa

19、ath防防火墻能能靈活擴擴展病毒毒防范、網(wǎng)網(wǎng)絡流量量監(jiān)控和和SSLL VPPN等硬硬件業(yè)務務模塊，實實現(xiàn)2-7層的的全面安安全。能能防御DDoS/DDooS攻擊擊（如CCC、SSYN floood、DDNS Queery Floood、SSYN Floood、UUDP Floood等等）、AARP欺欺騙攻擊擊、TCCP報文文標志位位不合法法攻擊、LLargge IICMPP報文攻攻擊、地地址掃描描攻擊和和端口掃掃描攻擊擊等多種種惡意攻攻擊，同同時支持持黑名單單、MAAC綁定定、內(nèi)容容過濾等等先進功功能。支支持基礎礎、擴展展和基于于接口的的狀態(tài)檢檢測包過過濾技術術；支持持H3CC特有AASPFF

20、應用層層報文過過濾協(xié)議議，支持持對每一一個連接接狀態(tài)信信息的維維護監(jiān)測測并動態(tài)態(tài)地過濾濾數(shù)據(jù)包包，支持持對應用用層協(xié)議議的狀態(tài)態(tài)監(jiān)控。集集成IPPSecc、L22TP、GGRE和和SSLL等多種種成熟VVPN接接入技術術，保證證移動用用戶、合合作伙伴伴和分支支機構(gòu)安安全、便便捷的接接入。可可以有效效的識別別網(wǎng)絡中中各種PP2P模模式的應應用，并并且對這這些應用用采取限限流的控控制措施施，有效效保護網(wǎng)網(wǎng)絡帶寬寬；支持持郵件過過濾，提提供SMMTP郵郵件地址址、標題題、附件件和內(nèi)容容過濾；支持網(wǎng)網(wǎng)頁過濾濾，提供供HTTTP UURL和和內(nèi)容過過濾。提提供多對對一、多多對多、靜靜態(tài)網(wǎng)段段、雙向向轉(zhuǎn)換

21、 、Eaasy IP和和DNSS映射等等NATT應用方方式；支支持多種種應用協(xié)協(xié)議正確確穿越NNAT，提提供DNNS、FFTP、HH.3223、NNBT等等NATT ALLG功能能。具體方案設設計從網(wǎng)絡應用用功能和和整體定定位出發(fā)發(fā)，整體體網(wǎng)絡方方案將基基于層次次化的設設計，即即采用三三層結(jié)構(gòu)構(gòu)：即核核心層，匯聚層及接入層。核心層通過千兆鏈路連接匯聚層，匯聚層通過千兆鏈路連接接入層交換機，接入層交換機提供千兆連接到用戶桌面的系統(tǒng)結(jié)構(gòu)。設計初期充分考慮到某研發(fā)中心的發(fā)展規(guī)劃和未來的前景，在核心層和匯聚層間設備采用模塊化設計，為園區(qū)的后續(xù)發(fā)展預留萬兆網(wǎng)絡提升空間。在北區(qū)核心層為未來的無線園區(qū)網(wǎng)絡提

22、供擴展接口和未來高效安全的園區(qū)網(wǎng)絡提供深層安全防護接口。根據(jù)南北兩兩大園區(qū)區(qū)的地理理規(guī)劃，網(wǎng)網(wǎng)絡設計計如下：計算機機網(wǎng)絡的的核心節(jié)節(jié)點設置置在位于于北區(qū)的A1公公共技術術服務平平臺的六六樓信息息中心主主機房，該該節(jié)點將將配置11臺核心心交換機機S75503EE，核心心交換機機通過光光纖線與與B1區(qū)區(qū)生物技技術及生生物藥研研發(fā)平臺臺的一臺臺S56600-26CC、C11區(qū)國家家重大新新藥創(chuàng)新新平臺的的一臺SS56000-226C連連接；核心交交換機在在A1區(qū)區(qū)也同時時擔當匯匯聚層功功能，直直接與本本樓的接接入層交交換機一一臺S550488E和一一臺S550244E連接接。B11區(qū)及CC1區(qū)匯匯聚層交交換機SS56000-226C分分別連接接接入交交換機（分分別為一一臺S550488E和一一臺S550244E ）。南南區(qū)網(wǎng)絡絡考慮到到前期企企業(yè)入駐駐和業(yè)務務開展等等問題，AA2區(qū)的的一臺SS56000-226C與與B2區(qū)區(qū)、C22區(qū)的二二臺S556000-266C接入入。讓AA2區(qū)的的S56600-26CC既做匯匯聚層交交換機也也做南區(qū)區(qū)核心層層交換機機。同時時B2區(qū)區(qū)、C22區(qū)的二二臺S556000-266C分別別連接一一臺S550488E接入入交換機機。A22區(qū)的SS56000-226C同同時連接接一臺SS50224E接接