安防监控 大屏显示 机房建设 数据容灾备份 综合布线 其他
数据中心网络系统

一、设计要求

网络系统作为公用信息传输平台,应满足应用系统等综合业务要求。

1)网络安全性需求

内部网络安全考虑,首先是公共资源的安全,如数据中心、分数据机房要防止来自内网的攻击和安全事件;其次是各单位自身的数据安全需求;最后是用户的接入管理;要建设一个安全、可靠、稳定的出口来防止来自互联网的攻击。

2)统一网络管理平台

为了保障网络安全、稳定运行,简化管理,必须对所有网络设备的状态、性能、配置、密码、故障、安全事件、资产进行统一管理、监控,使网络管理者能及时、清楚的了解整个网络的运行状况。

二、设计原则

?  高可靠性设计

网络系统的稳定性是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络结构,制定可靠地网络备份策略,保证网络具有故障自愈的能力,大限制地支持各个系统的正常运行。

?  模块化的网络结构

网络首先架构是清晰的,是可组合可拆分的,每个功能区域都自成体系,可以通过统一的接口和骨干网连接,在某些关键区域,如业务网或财务网边界可以实施安全策略。

?  选用成熟的技术

网络的建设选用成熟的技术,不盲目的追求新而全,而是选用成熟稳定,当前主流,且平稳运行了多年的技术作为主要技术,保障各个系统接口之间的兼容,各层次、级别网络的互联互通。

?  选用主流的产品

另外,考虑到系统的可管理、可维护性,在建设自有网络时,在性价比相当的情况下,尽量选用当前市场主流的产品,选择具有多年的市场和技术考验,具有强大的技术支持和研发能力的产品。

?  满足未来3-5年的规划发展

网络建设改造时,应结合区域位置、部门规划、公司战略、业务应用等多个方面综合考虑,结合未来技术的发展方向,力争网络后能满足未来3-5年的发展需要,同时能够保护投资。

三、设计说明

1、网络整体构架

整个网络采用双核心互联、核心与汇聚双链路(核心和汇聚层设备物理位置集中在核心机房、宿舍楼,逸夫楼,行政楼,图书馆等)、接入三层构架方式,每个汇聚点以千兆双链路上联至核心节点,提供办公区域千兆或百兆、学生区域百兆接入;学院、图书馆实现双千兆连接至汇聚。

网络整体架构图

网络整体架构图

2、整网路由规划

校园网全网采用OSPF路由协议。

3、网络安全

在整个数据中心出口部署防火墙+核心交换机+IPS设备,对出口流量进行管理、对应用进行识别控制的目的,防止校园网络带宽滥用。核心之间可达到线速万兆,支持校园网对带宽的高速需求。

4、网络管理

部署统一的网络管理平台,涵盖拓扑、告警、性能和配置等管理功能,使网络状况一目了然,而且需要结合交换机和路由器设备,实现客户所需的各种严格的访问控制策略,从而构成对网络访问的权限控制。

网络管理平台除了管理传统的路由器、交换机外,还可以对网络中的无线、安全、语音、存储、服务器、打印机、UPS等设备进行管理,实现设备资源的集中化管理;可以快速、准确地发现网络资源,包括路由方式、ARP方式、IPSec VPN方式、网段方式等;支持设备面板管理,所见即所得的显示设备的资产组成和运行状态。

5、网络链路设计

通过电信,联通,移动提供新校区和旧校区的互联网络主链路接入;新校区现有架构里的核心交换机RG-N18010,与本次投标中旧校区的核心交换机RG-N18010通过10G万兆接口进行VSU虚拟方式捆绑成一整体设备。旧校区现有核心交换机S8606-Bseries设备进行利旧,利旧设备准备部署在汇聚层。

边界汇聚交换机S5750-24GT/8sfp-E设备,做为数据中心虚拟化平台服务器接口。其中5台RG-S5750-28GT-L汇聚交换机,与旧校区和新校区核心交换机通过1000M网口实现链路冗余,双机冗余全互联结构,为网络提供冗余,避免了单节点故障,提高网络可靠性和健壮性;(见架构图)新校区网络架构需要进行改造,改造RG-S5750-28GT-L新校区所有汇聚交换机,与旧校区和新校区核心交换机通过1000M网口实现链路冗余,双机冗余全互联结构,为网络提供冗余,避免了单节点故障,提高网络可靠性和健壮性;(见架构图)新校区与旧校区通过网络加速设备提升上网速度;新校区与旧校区上网流量控制RG-ACE-2000D实现链路冗余,并且通过进行有线和无线上网系统进行计费。在网络系统中分别部署开户认证计费系统、有线,无线并发认证计费系统、计费系统短信验证。

双机冗余全互联结构,为网络提供冗余,避免了单节点故障,提高网络可靠性和健壮性。

6、网络安全设计

互联网出口部署1台路由器和1台的RG-WALL 1600-m5100防火墙,不仅提供VPN接入,还提供了对边界安全的防护。

新校区核心交换机、服务器区、DMZ区接入边界交换机,交换机划分VLAN,隔离网络广播风暴,实现安全访问控制。

新校区和旧校区核心交换机、服务器区部署入侵检测系统,WEB防护系统,数据安全审计系统,日志系统等提供防攻击阻拦,防止篡改,对各类网页文件的保护,包括静态和动态网页以及各类文件信息,对指定文件夹以及子文件夹的保护,避免上传非法文件及木马等恶意文件或插入恶意代码。为虚拟化平台提供坚强的后盾

7、WiFi系统支持

旧校区已经部署WiFi控制器,瘦AP基站,新建架构平台网络系统支持与原有WiFi控制器和瘦AP基站进行无缝对接。

瘦AP基站通过POE交换机与有线网络系统进行互连,POE交换机与RG-S5750-28GT-L汇聚交换机互联,实现1000M接入,瘦AP与POE交换机进行互联,实现千兆到终端。

四、方案设计的特点

1、系统架构分层;

2、模块化架构,可拆分组合;

3、业务(安全)区域划分;

4、系统骨干和主要节点实现冗余;

5、平台传输快捷、可靠、无瓶颈;

6、全局可控,分级管理的模式;

7、可部署全局的安全策略。

 

bmlg.png

地址:北京市海淀区闵庄路清琴麓院东院1号楼
咨询:400-777-8874 传真:82662277
网站:ag视讯 www.broadwon.com
Email:yunwei@www.broadwon.com