某研发中心网络平台建设方案115145.docx

某研发中心网络平台项目综述某研发中心心是20009年100月23日日正式揭牌牌启动运行行的，研发发中心占地地面积为33.1万平平方米，总总建筑面积积为4.55万平方米米。研发中中心分为南南北两个相相互对称的的区域。研研发中心以以六大核心心技术平台台和六大支支撑平台为为技术支撑撑。构建了了纵向从新新药研发到到联创研究究，横向包包含中药、化化药、基因因工程的全全方位的研研发体系。某研发中心网络平台主要向园区入驻企业提供高效、安全的用户接入服务，信息发布平台、资源共享和存储平台、园区内音视频服务。工程计划分期完成，一期工程只要是主干网络建设。主要完成网络接入服务。一、 建设原则实用性原则则以现有设备备为补充，充充分考虑发发展的需要要来确定系系统规模。安全性原则则作为一个开开放的园区区网络，对对用户的安安全以及网网络的安全全要求较高高。成熟和先进进性原则产品选型必必须是有大大量应用的的成熟厂商商产品。该该品牌产品品需要及时时将新技术术引用进来来，更好的的开展业务务，同时也也要求保证证网络与业业务的可靠靠性。规范性原则则系统设计所所采用的技技术和设备备应符合国国际标准和和国家标准准为系统的的扩展升级级、与其他他系统的互互联提供良良好的基础础。开放性和标标准化原则则在设计时，要要求提供开开放性好、标标准化程度度高的技术术方案；设设备的各种种接口满足足开放和标标准化原则则。可扩充和扩扩展化原则则所有系统设设备不但满满足当前需需要，并在在扩充模块块后满足可可预见将来来需求，如如带宽和设设备的扩展展，应用的的扩展和办办公地点的的扩展等。保保证建设完完成后的系系统在向新新的技术升升级时，能能保护现有有的投资。可管理性原原则整个系统的的设备应易易于管理，易易于维护，操操作简单，易易学，易用用，便于进进行系统配配置，在设设备、安全全性、数据据流量、性性能等方面面得到很好好的监视和和控制，并并可以进行行远程管理理和故障诊诊断。高可靠性原原则网络系统的的稳定可靠靠是应用系系统正常运运行的关键键保证，在在网络设计计中特别是是关键节点点的设计中中，选用高高可靠性网网络产品，实实现关键节节点冗余并并完成负载载分担。避避免单点故故障。最大大限度地保保证网络系系统的高效效运行。二、 设计方案 主主干网络设设计如下图图所示，系系统要求为为“核心-汇汇聚-接入入”的三层拓拓扑结构。为为终端用户户提供“千兆到桌桌面”的高速园园区网和多多线路接入入的intterneet网络服服务。包括括北区A11区、B11区、C11区及南区区A2区、BB2区、CC2区的网网络主干系系统建设。北区每栋栋楼宇通过过光纤与核核心交换机机连接。南南区采用借借助公共网网络采用VVNP技术术和核心交交换机连接接。楼宇内内采用分楼楼层布置接接入交换机机的方案。接接入交换机机通过六类类双绞线或或更光纤与与汇聚交换换机相连。中心机房设A1楼6楼。以下简要描描述不同层层次所执行行的功能：1. 核心层功能能核心层一般般是一个高高速的交换换主干网，能能尽快地交交换数据包包。一般不不作数据包包处理，例例如访问控控制和过滤滤，这些都都可能降低低数据包的的交换速度度。就目前前园区的规规划和发展展前景，核核心层网络络设备应支支持IPVV6且数据据交换能力力应大于4400Gbpps。并且且必须具备备一定的业业务扩展能能力。考虑虑到园区网网络是跨区区域分区连连接。核心心层网络还还应具备支支持三层的的MPLSS VPNN和二层的的MPLSS VPNN，方便北北区及南区区的连接，考考虑到后续续的园区网网络的发展展，核心网网络层设备备还应提供供丰富的无无线业务扩扩展能力。2. 汇聚聚层功能其功能主要要包括地址址或区域集集合、部门或工工作组接入入、广播和多多目广播域域定义、VLANN交换、任何可能能的介质传传输、安全。汇聚聚层交换机机要你管考考虑到扩展展性、可靠性、分布性的的特点，并并具有完备备的安全控控制策略、丰丰富的QOOS策略。3. 接入入层功能功能组要包包括共享带带宽、交换带宽宽、MAC层层过滤。接接入层交换换机应具备备高效的流流控管理功功能。根据某研发发中心网络络平台千兆兆以太网系系统需求，分层结构构并不一定定要有十分分清楚的物物理实体区区分，有的的交换机即即可以工作作在汇聚层，同同时也可作作为接入层层的交换设设备。因此此我们可以以根据投资资规模等省省略汇聚层设备备，整个网网络采用星星网状的网网络构造。 4.外网网部分 某研发中心心网络平台台的外网主主要作用是提供供Inteernett连接共享享，相比内内网，外网网无论是速速率还是稳稳定性要求求都相对较较低，但并并不意味着着不重视。考考虑到网络络的高效性性及高可靠靠性。外网网设备应具具备线路负负载及冗余余功能、丰丰富的安全全管控能力力。北区借借助多业务务汇聚层设设备连接外外部网络，省省去购买外外部网络设设备费用，而而南区考虑虑使用安全全产品连接接到外部网网络。两区区域通过VVPN协议议形成私有有网络。三、 系统选型根据甲方要要求， 和和网络管理理便于管理理的需要，园园区所有的的数据产品品均采用HH3C的产产品。产品设备的的选型不仅仅要考虑到到目前的情情况，还应应考虑到今今后的发展展。就目前前某的规划及发发展前景。我我们选用HH3C公司司最新产品品的多业务务高端交换换机S75503E作作为核心层层设备，SS56000-26C 以以太网交换换机作为汇汇聚层设备备。选用SS50000E系列（含含24E及及48E）全千兆安全智能交换机作为接入层设备。各设备业务务性能介绍绍如下：SS75033E：  丰富的的业务，适适应融合业业务网络发发展趋势。基于IRFF2（第二二代智能弹弹性架构）技技术的虚拟拟化架构不不仅成为数数据中心交交换设备高高性能、虚虚拟化的关关键技术，而而且对于传传统企业网网应用，IIRF2所提供的的高可靠性性和无缝升升级、扩展展能力。S75033E支持Mullti-VVRF特性性，可以作作为MCEE设备使用用；支持三三层的MPPLS VVPN和二二层的MPPLS VVPN（Marttini、Komppellaa）；支持持MPLSS OAMM特性，方方便用户的的管理和维维护；与HH3C MMPLS VPN Manaager配配合，实现现图形化的的MPLSS部署与维维护。 全面支持持VPLSS，VLL，支支持1K VPLSS实例，4KK VLLL，还支持持分层VPPLS以及及QINQQ+VPLLS接入方方式，提供供端到端22层VPN接入入方案，支支持MPLLS/VPPLS全线线速转发，满满足VPLLS规模部署署要求。满满足项目南南北区连接接的需要，相相对于传统统的线路租租赁业务来来说VPNN不但节省省了费用并并且提高了了园区网络络的安全性性H3C SS75033E支持IPvv4/IPPv6双协协议栈,支持多种种隧道技术术，支持IIPv4/IPv66的组播技技术，为用用户提供完完善的IPPv4/IIPv6解解决方案；H3C S75000E采用用分布式体体系架构，实实现IPvv4/IPPv6业务务的线速无无阻塞转发发；是成熟熟商用的IIPv6产产品。H3C SS75033E有线无无线一体化化，集成的无无线控制模模块提供丰丰富的业务务能力，包包括精细的的用户控制制管理、完完善的RFF管理及安安全机制、快快速漫游、超超强的QooS和对IPvv6的支持持等；无线线控制模块块通过与安安全策略服服务器的联联动，实现现对无线接接入用户的的端点准入入防御，提提高了整网网的安全性性。H3C SS75033E提供完完善的安全全防护机制制，可从控控制、管理理、转发三三平面全面面保障网络络的安全：在控制平平面，内置置协议报文文攻击识别别模块，防防止TCNN、ARP等协协议报文攻攻击，OSSPF/BBGP/IIS-ISS路由协议议采用MDD5验证，防防止非法路路由更新报报文导致的的网络瘫痪痪；在管理理平面，SSNMPvv3网管协协议，SSSH V22，基于8002.1xx、AAA/Radiius的用用户身份认认证以及分分级的用户户权限管理理保证了设设备管理的的安全性；在转发平平面，支持持IP、VLANN 、MAC和端端口等多种种组合精细细绑定；支支持uRPPF单播反反向路径转转发，防止止非法流量量访问网络络，采用最最长匹配逐逐包转发机机制，有效效抵御病毒毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。 H3C S7503E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3C S7500E可以在承载多业务的情况下不间断运行，实现业务的永续。H3C SS56000系列交换换机 H3CC S56600系列列全千兆智智能弹性交交换机是HH3C公司司为设计和和构建高弹弹性和高智智能网络需需求而推出出的新一代代以太网交交换机产品品。系统采采用H3CC公司创新新的IRFF（Inteelliggent Resiiliennt Frramewwork，智智能弹性架架构)技术，支支持高达996G的堆堆叠带宽和和高密度千千兆端口，支支持万兆上上行。S55600系系列交换机机采用IRRF技术组组网后，能能够在整个个堆叠组内内实现控制制平面和数数据平面所所有信息的的冗余备份份，极大地地增强了设设备和网络络的可靠性性，消除了了单点故障障，避免了了业务中断断。同时HH3C SS56000系列交换换机不仅支支持STPP/RSTTP生成树树协议，还还提供了基基于多VLLAN的生生成树MSSTP，极极大提高了了链路的冗冗余备份，提提高容错能能力，保证证网络的稳稳定运行。支支持VRRRP虚拟路路由冗余协协议，与其其他三层交交换机构建建VRRPP备份组。构构建故障时时的冗余路路由拓扑结结构，保持持通讯的连连续性和可可靠性，有有效保障网网络稳定。支支持等价路路由实现上上行路由的的冗余备份份和负载分分担。采用用交、直流流双输入电电源模块供供电，也可可以通过更更换电源模模块来支持持PoE功能能。S56000系列交换换机支持EEAD（端端点准入防防御）功能能，配合后后台系统可可以将终端端防病毒、补补丁修复等等终端安全全措施与网网络接入控控制、访问问权限控制制等网络安安全措施整整合为一个个联动的安安全体系，通通过对网络络接入终端端的检查、隔隔离、修复复、管理和和监控，使使整个网络络变被动防防御为主动动防御、变变单点防御御为全面防防御、变分分散管理为为集中策略略管理，提提升了网络络对病毒、蠕蠕虫等新兴兴安全威胁胁的整体防防御能力。S5600系列交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持DUD（Disconnect Unauthorised Device）认证，通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令保护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止DoS攻击功能。支持QoS Profile功能。和802.1x认证功能相结合，可以动态的为通过认证的用户提供预先配置的一套QoS功能。用户在经过802.1x认证后，交换机根据AAA服务器上配置的用户名和Profile的对应关系，将相应的Profile动态下发到用户登录的端口上，为该用户提供量身定做的服务质量保证。支持SSH特性。用户通过一个不能保证安全的网络环境远程登录到以太网交换机时，可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。 H3C S50000E系列列全千兆安安全智能交交换机H3C SS50000E所有的的端口提供供二层千兆兆线速交换换能力，保保证所有端端口无阻塞塞的进行报报文转发。支支持8022.1x认认证，安全全专区提供供多种丰富富的安全功功能，可以以实现IPP+MACC+端口+VLLAN四元元素绑定，并并可通过DDHCP-Snooopingg或者智能能绑定自动动获取绑定定列表，有有效防御AARP攻击击、DOSS攻击及蠕蠕虫攻击，并并可以方便便的实现安安全配置文文件的导入入和导出。提提供LACCP、STTP/RSSTP功能能，可有效效实现链路路扩展及备备可以通过过web可视视化的界面面，对交换换机的各种种功能进行行简单方便便的操作。SecPaath FF100-M：SecPaath FF100-M基于HH3C 先先进的OAAA开放应应用架构，SSecPaath防火火墙能灵活活扩展病毒毒防范、网网络流量监监控和SSSL VPPN等硬件件业务模块块，实现22-7层的的全面安全全。能防御御DoS/DDoSS攻击（如如CC、SSYN ffloodd、DNSS Queery FFloodd、SYNN Floood、UUDP FFloodd等）、AARP欺骗骗攻击、TTCP报文文标志位不不合法攻击击、Larrge IICMP报报文攻击、地地址扫描攻攻击和端口口扫描攻击击等多种恶恶意攻击，同同时支持黑黑名单、MMAC绑定定、内容过过滤等先进进功能。支支持基础、扩扩展和基于于接口的状状态检测包包过滤技术术；支持HH3C特有有ASPFF应用层报报文过滤协协议，支持持对每一个个连接状态态信息的维维护监测并并动态地过过滤数据包包，支持对对应用层协协议的状态态监控。集集成IPSSec、LL2TP、GGRE和SSSL等多多种成熟VVPN接入入技术，保保证移动用用户、合作作伙伴和分分支机构安安全、便捷捷的接入。可可以有效的的识别网络络中各种PP2P模式式的应用，并并且对这些些应用采取取限流的控控制措施，有有效保护网网络带宽；支持邮件件过滤，提提供SMTTP邮件地地址、标题题、附件和和内容过滤滤；支持网网页过滤，提提供HTTTP URRL和内容容过滤。提提供多对一一、多对多多、静态网网段、双向向转换 、EEasy IP和DDNS映射射等NATT应用方式式；支持多多种应用协协议正确穿穿越NATT，提供DDNS、FFTP、HH.3233、NBTT等NATT ALGG功能。四、 具体方案设设计从网络应用用功能和整整体定位出出发，整体体网络方案案将基于层层次化的设设计，即采采用三层结结构：即核核心层，汇汇聚层及接接入层。核核心层通过过千兆链路路连接汇聚聚层，汇聚聚层通过千千兆链路连连接接入层层交换机，接接入层交换换机提供千千兆连接到到用户桌面面的系统结结构。设计计初期充分分考虑到某某研发中心心的发展规规划和未来来的前景，在在核心层和和汇聚层间间设备采用用模块化设设计，为园园区的后续续发展预留留万兆网络络提升空间间。在北区区核心层为为未来的无无线园区网网络提供扩展接接口和未来来高效安全全的园区网网络提供深深层安全防防护接口。根据南北两两大园区的的地理规划划，网络设设计如下：计算机网网络的核心心节点设置置在位于北北区的A1公共共技术服务务平台的六六楼信息中中心主机房房，该节点点将配置11台核心交交换机S77503EE，核心交交换机通过过光纤线与B1区生生物技术及及生物药研研发平台的的一台S55600-26C、CC1区国家家重大新药药创新平台台的一台SS56000-26CC连接；核心交换换机在A11区也同时时担当汇聚聚层功能，直接与本楼的接入层交换机一台S5048E和一台S5024E连接。B1区及C1区汇聚层交换机S5600-26C分别连接接入交换机（分别为一台S5048E和一台S5024E ）。南区网络考虑到前期企业入驻和业务开展等问题，A2区的一台S5600-26C与B2区、C2区的二台S5600-26C接入。让A2区的S5600-26C既做汇聚层交换机也做南区核心层交换机。同时B2区、C2区的二台S5600-26C分别连接一台S5048E接入交换机。A2区的S5600-26C同时连接一台S5024E接入交换机。外网部分连连接为：北北区外网通通过S75503E的的换路由引引擎模板直直接接入iinterrnet，而而南区考虑虑目前业务务的开展情情况，用一一台H3CC SeccPathh F1000-M直直接接入iinterrnet，南南北两区分分别独立接接入intterneet。通过过S75003E与FF100-M的VPPN功能组组件园区自自己的私有有虚拟网。前前期接入为为南北园区区均采用网网通和电信信双线路1100M接接入，并在在S75003E与FF100-M上做动动态负载均均衡。从而而构建分区区域千兆园园区网，区区域间的百百兆安全私私有网络。五、 网络拓扑结结构六、 设备报价清清单 单价：元序号设备名称数量单位单价合计1H3C SS75033E以太网网交换机主主机1台1870001870002H3C SS75000E 交流流电源模块块,14000W1块952095203H3C SS75000E Saaliennce VVI-Tuurbo交交换路由引引擎1块3360003360004H3C SS75000E 122端口增强强型千兆以以太网光接接口模块(SFP,LC)1块4140004140005S56000-26C5台1350006750006S50488E6台53803228007S50244E4台28301132008H3C SSecPaath FF100-M 主机机-交流电电源1台9549.00 9549.009H3C SSecPaath FF100-M 2端端口10/100BBaseTT模块1块7410741010光模块-SSFP-GGE-多模模模块36个125045000011网络管理服服务器DEELLR 7101台448000448000七、八、九、十、