研发中心网络平台建设方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
某研发中心网络平台项目综述
某研发中心是2009年10月23日正式揭牌启动运行的,研发中心占地面积为3.1万平方米,总建筑面积为4.5万平方米。研发中心分为南北两个相互对称的区域。研发中心以六大核心技术平台和六大支撑平台为技术支撑。构建了纵向从新药研发到联创研究,横向包含中药、化药、基因工程的全方位的研发体系。某研发中心网络平台主要向园区入驻企业提供高效、安全的用户接入服务,信息发布平台、资源共享和存储平台、园区内音视频服务。工程计划分期完成,一期工程只要是主干网络建设。主要完成网络接入服务。
建设原则
一、
实用性原则
以现有设备为补充,充分考虑发展的需要来确定系统规模。
安全性原则
作为一个开放的园区网络,对用户的安全以及网络的安全要求较高。
成熟和先进性原则
产品选型必须是有大量应用的成熟厂商产品。该品牌产品需要及时将新技术引用进来,更好的开展业务,同时也要求保证网络与业务的可靠性。
规范性原则
系统设计所采用的技术和设备应符合国际标准和国家标准为系统的扩展升级、与其他系统的互联提供良好的基础。
开放性和标准化原则
在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
可扩充和扩展化原则
所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
可管理性原则
整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
高可靠性原则
网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中特别是关键节点的设计中,选用高可靠性网络产品,实现关键节点冗余并完成负载分担。避免单点故障。最大限度地保证网络系统的高效运行。
二、设计方案
主干网络设计如下图所示,系统要求为“核心-汇聚-接入”的三层拓扑结构。为终端用户提供“千兆到桌面”的高速园区网和多线路接入的internet 网络服务。包括北区A1 区、B1 区、C1 区及南区A2 区、B2 区、C2 区的网络主干系统建设。北区每栋楼宇通过光纤与核心交换机连接。南区采用借助公共网络采用VNP 技术和核心交换机连接。楼宇内采用分楼层布置接入交换机的方案。接入交换机通过六类双绞线或更光纤与汇聚交换机相连。中心机房设A1 楼6 楼。
以下简要描述不同层次所执行的功能:
1. 核心层功能
核心层一般是一个高速的交换主干网,能尽快地交换数据包。一般不作数据包处理,例如访问控制和过滤,这些都可能降低数据包的交换速度。就目前园区的规划和发展前景,核心层网络设备应支持 IPV6 且数据交换能力应大于400Gbps。并且必须具备一定的业务扩展能力。考虑到园区网络是跨区域分区连接。核心层网络还应具备支持三层的MPLS VPN 和二层的MPLS VPN,方便北区及南区的连接,考虑到后续的园区网络的发展,核心网络层设备还应提供丰富的无线业务扩展能力。
2. 汇聚层功能
其功能主要包括地址或区域集合、部门或工作组接入、广播和多目广播域定义、VLAN 交换、任何可能的介质传输、安全。汇聚层交换机要你管考虑到扩展性、可靠性、分布性的特点,并具有完备的安全控制策略、丰富的QOS 策略。
3. 接入层功能
功能组要包括共享带宽、交换带宽、MAC 层过滤。接入层交换机应具备高效的流控管理功能。
根据某研发中心网络平台千兆以太网系统需求,分层结构并不一定要有十分清楚的物理实体区分,有的交换机即可以工作在汇聚层,同时也可作为接入层的交换设备。因此我们可以根据投资规模等省略汇聚层设备,整个网络采用星网状的网络构造。
4.外网部分
某研发中心网络平台的外网主要作用是提供Internet 连接共享,相比内网,外网无论是速率还是稳定性要求都相对较低,但并不意味着不重视。考虑到网络的高效性及高可靠性。外网设备应
具备线路负载及冗余功能、丰富的安全管控能力。北区借助多业务汇聚层设备连接外部网络,省去购买外部网络设备费用,而南区考虑使用安全产品连接到外部网络。两区域通过VPN 协议形成私有网络。
三、系统选型
根据甲方要求,和网络管理便于管理的需要,园区所有的数据产品均采用H3C 的产品。
产品设备的选型不仅要考虑到目前的情况,还应考虑到今后的发展。就目前某的规划及发展前景。我们选用H3C 公司最新产品的多业务高端交换机S7503E 作为核心层设备,S5600-26C 以太网交换机作为汇聚层设备。选用S5000E 系列(含24E 及48E)全千兆安全智能交换机作为接入层设备。
各设备业务性能介绍如下:
S7503E:?
丰富的业务,适应融合业务网络发展趋势。基于 IRF2(第二代智能弹性架构)技术的虚拟化架构不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于传统企业网应用,IRF2 所提供的高可靠性和无缝升级、扩展能力。
S7503E 支持Multi-VRF 特性,可以作为MCE 设备使用;支持三层的MPLS VPN 和二层的MPLS VPN (Martini、Kompella);支持MPLS OAM 特性,方便用户的管理和维护;与H3C MPLS VPN Manager配合,实现图形化的MPLS 部署与维护。全面支持VPLS,VLL,支持1K VPLS 实例,4K VLL,还支持分层VPLS 以及QINQ+VPLS 接入方式,提供端到端2 层VPN 接入方案,支持MPLS/VPLS 全线速转发,满足VPLS 规模部署要求。满足项目南北区连接的需要,相对于传统的线路租赁业务来说VPN 不但节省了费用并且提高了园区网络的安全性
H3C S7503E 支持IPv4/IPv6 双协议栈,支持多种隧道技术,支持IPv4/IPv6 的组播技术,为用户提供完善的IPv4/IPv6 解决方案;H3C S7500E 采用分布式体系架构,实现IPv4/IPv6 业务的线速无阻塞转发;是成熟商用的IPv6 产品。
H3C S7503E 有线无线一体化,集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF 管理及安全机制、快速漫游、超强的QoS 和对IPv6 的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
H3C S7503E 提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止TCN、ARP 等协议报文攻击,OSPF/BGP/IS-IS 路由协议采用 MD5 验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3 网管协议,SSH V2,基于802.1x、AAA/Radius 的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN 、MAC 和端口等多种组合精细绑定;支持uRPF 单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。H3C S7500E 还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。
H3C S7503E 支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助