某研发中心网络平台项目综述某研发中心是 2009 年 10 月 23 日正式揭牌启动运行的，研发中心占地面积为 3.1 万平方米， 总建筑面积为 4.5 万平方米。 研发中心分为南北两个相互对称的区域。 研发中心以六大核心技术平 台和六大支撑平台为技术支撑。构建了纵向从新药研发到联创研究，横向包含中药、化药、基因工 程的全方位的研发体系。 某研发中心网络平台主要向园区入驻企业提供高效、 安全的用户接入服务， 信息发布平台、资源共享和存储平台、园区内音视频服务。工程计划分期完成，一期工程只要是主 干网络建设。主要完成网络接入服务。一、 建设原则实用性原则以现有设备为补充，充分考虑发展的需要来确定系统规模。安全性原则作为一个开放的园区网络，对用户的安全以及网络的安全要求较高。成熟和先进性原则产品选型必须是有大量应用的成熟厂商产品。 该品牌产品需要及时将新技术引用进来， 更好的 开展业务，同时也要求保证网络与业务的可靠性。规范性原则系统设计所采用的技术和设备应符合国际标准和国家标准为系统的扩展升级、 与其他系统的互 联提供良好的基础。开放性和标准化原则在设计时， 要求提供开放性好、 标准化程度高的技术方案；设备的各种接口满足开放和标准化 原则。可扩充和扩展化原则所有系统设备不但满足当前需要， 并在扩充模块后满足可预见将来需求， 如带宽和设备的扩展， 应用的扩展和办公地点的扩展等。 保证建设完成后的系统在向新的技术升级时， 能保护现有的投资。可管理性原则整个系统的设备应易于管理， 易于维护， 操作简单， 易学， 易用， 便于进行系统配置， 在设备、 安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。高可靠性原则网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中特别是关键节点的设计 中，选用高可靠性网络产品，实现关键节点冗余并完成负载分担。避免单点故障。最大限度地保证 网络系统的高效运行。二、 设计方案主干网络设计如下图所示，系统要求为“核心-汇聚 - 接入”的三层拓扑结构。为终端用户提供“千兆到桌面”的高速园区网和多线路接入的in ternet 网络服务。包括北区 A1区、B1区、C1区及南区A2区、B2区、C2区的网络主干系统建设。北区每栋楼宇通过光纤与核心交 换机连接。南区采用借助公共网络采用VNP技术和核心交换机连接。 楼宇内采用分楼层布置接入交换机的方案。接入交换机通过六类双绞线或更光纤与汇聚交换机相连。中心机房设A1 楼6楼。以下简要描述不同层次所执行的功能：1. 核心层功能核心层一般是一个高速的交换主干网，能尽快地交换数据包。一般不作数据包处理，例如访问控制和过滤，这些都可能降低数据包的交换速度。就目前园区的规划和发展前景，核心层网络设备应支持IPV6且数据交换能力应大于 400Gbps。并且必须具备一定的业务扩展能力。 考虑到园区网络是跨区域分区连接。核心层网络还应具备支持三层的MPLS VPN和二层的MPLSvpn方便北区及南区的连接，考虑到后续的园区网络的发展，核心网络层设备还应提供丰富 的无线业务扩展能力。2. 汇聚层功能其功能主要包括地址或区域集合、部门或工作组接入、广播和多目广播域定义、VLAN交换、任何可能的介质传输、安全。汇聚层交换机要你管考虑到扩展性、可靠性、分布性的特点，并具有 完备的安全控制策略、丰富的QOS策略。3. 接入层功能功能组要包括共享带宽、交换带宽、MAC!过滤。接入层交换机应具备高效的流控管理功能。根据某研发中心网络平台千兆以太网系统需求， 分层结构并不一定要有十分清楚的物理实体区 分，有的交换机即可以工作在汇聚层，同时也可作为接入层的交换设备。因此我们可以根据投资规 模等省略汇聚层设备，整个网络采用星网状的网络构造。4. 外网部分某研发中心网络平台的外网主要作用是提供 Internet 连接共享，相比内网，外网无论是 速率还是稳定性要求都相对较低，但并不意味着不重视。 考虑到网络的高效性及高可靠性。 外网设 备应具备线路负载及冗余功能、丰富的安全管控能力。北区借助多业务汇聚层设备连接外部网络， 省去购买外部网络设备费用，而南区考虑使用安全产品连接到外部网络。两区域通过VPN协议形成私有网络。三、系统选型根据甲方要求，和网络管理便于管理的需要，园区所有的数据产品均采用H3C的产品。产品设备的选型不仅要考虑到目前的情况，还应考虑到今后的发展。就目前某的规划及发展前景。我们选用H3C公司最新产品的多业务高端交换机S7503E作为核心层设备，S5600-26C以太网交换机作为汇聚层设备。选用 S5000E系列（含24E及48E）全千兆安全智能交换机作为接入层设备。 各设备业务性能介绍如下：S7503E：丰富的业务，适应融合业务网络发展趋势。基于IRF2 （第二代智能弹性架构）技术的虚拟化架构不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF2 所提供的高可靠性和无缝升级、扩展能力。S7503E支持Multi-VRF 特性，可以作为MCE设备使用；支持三层的 MPLSVPN和二层的 MPLSVPN （Martini、Kompella）；支持 MPLS OAM特性，方便用户的管理和维护；与 H3C MPLS VPN Manager 配合，实现图形化的 MPLS部署与维护。全面支持VPLS VLL，支持1K VPLS实例，4K VLL，还支持分层VPLS以及QINQ+VPLS接入方式，提供端到端 2层VPN接入方案，支持 MPLS/VPLS全线速转 发，满足VPLS规模部署要求。满足项目南北区连接的需要，相对于传统的线路租赁业务来说VPN不但节省了费用并且提高了园区网络的安全性H3C S7503E支持IPv4/IPv6 双协议栈，支持多种隧道技术，支持 IPv4/IPv6的组播技术，为用 户提供完善的IPv4/IPv6解决方案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；是成熟商用的 IPv6 产品。H3C S7503E有线无线一体化，集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管 理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3C S7503E 提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSHV2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性； 在转发平面，支持IP、VLAN、MA（和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3C S7500E 还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。H3C S7503E 支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议；支持Smart-Li nk 协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3C S7500E可以在承载多业务的情况下不间断运行，实现业务的永续。H3C S5600系列交换机H3C S5600系列全千兆智能弹性交换机是H3C公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用H3C公司创新的IRF（ IntelligentResilient Framework，智能弹性架构）技术，支持高达 96G的堆叠带宽和高密度千兆端口，支持万兆上行。S5600系列交换机采用 IRF 技术组网后， 能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份，极大地增强了设备和网络的可靠性，消除了单点故障，避免了业务中断。同时H3CS5600系列交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓扑结构，保持通讯的连续性和可靠性，有效保障网络稳定。 支持等价路由实现上行路由的冗余备份和负载分担。采用交、直流双输入电源模块供电，也可以通过更换电源模块来支持 PoE功能。S5600系列交换机支持 EAD（端点准入防御）功能，配合后台系 统可以将终端防病毒、 补丁修复等终端安全措施与网络接入控制、 访问权限控制等网络安全措施整 合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变 被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、 蠕虫等新兴安全威胁的整体防御能力。S5600系列交换机支持特有的 ARP入侵检测功能，可有效防止黑客或攻击者通过 ARP报文实施日趋盛行的“ ARP欺骗攻击”，对不符合 DHCP Snooping动态绑 定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。支持集中式 MAC地址认证和802.1X认证。在用户接入网络时完成必要的身份认证，还可以通 过灵活的MAC IP、VLAN PORT任意组合绑定，有效的防止非法用户访问网络。支持DU（ DisconnectUn authorised Device ）认证，通过 MAC地址学习数目限制和 MAC地址与端口绑定实现。支持用户 分级管理和口令保护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止 DoS攻击功能。支持 QoS Profile 功能。和802.1x认证功能相结合，可以动态的为 通过认证的用户提供预先配置的一套QoS功能。用户在经过 802.1X认证后，交换机根据 AAA服务器上配置的用户名和 Profile 的对应关系， 将相应的 Profile 动态下发到用户登录的端口上， 为该用户提供量身定做的服务质量保证。支持SSH特性。用户通过一个不能保证安全的网络环境远程登 录到以太网交换机时， 可以提供安全的信息保障和强大的认证功能， 以保护以太网交换机不受诸如IP 地址欺诈、明文密码截取等等攻击。H3C S5000E系列全千兆安全智能交换机H3C S5000E 所有的端口提供二层千兆线速交换能力，保证所有端口无阻塞的进行报文转发。支持802.1X认证，安全专区提供多种丰富的安全功能，可以实现IP+MAC瑞口 +VLAN四元素绑定，并可通过DHCP-Snooping或者智能绑定自动获取绑定列表，有效防御 ARP攻击、DOS攻击及蠕虫攻 击，并可以方便的实现安全配置文件的导入和导出。提供LACP STP/RSTP功能，可有效实现链路扩展及备可以通过 web可视化的界面，对交换机的各种功能进行简单方便的操作。SecPath F100-M ：SecPath F100-M基于H3C先进的OAA开放应用架构，SecPath防火墙能灵活扩展病毒防