某科研所园区网络建设项目

　　一、 项目背景

　　2000年构建的园区网络拓扑结构为环形+星形，环形主干由四台Foundry路由交换机组成，周围单位分别接入这四个骨干节点。投入运营近十年来，为该所科研生产管理发挥了重要的作用。随着以计算机网络为支撑平台的各类科研生产管理应用系统的不断推陈出新，带宽需求的不断增长，网络覆盖面的不断扩大，强化网络安全管理需求的日益迫切，设备老化等原因，2008年4-6月完成了对老科研园区网络系统改造。

　　改造后的网络采用分层次架构，核心层采用2台H3C-S7506E交换机，汇聚层采用6台H3C-S5500-EI交换机(其中2台服务器交换机为S5600)组成，上述设备之间采用三层虚接口地址互连，接入层采用41台H3C-S5100二层交换机。路由协议采用ospf路由协议，各层次均采用访问控制等安全技术。改造后的科研区网络拓扑图如下：

二、 项目建设目标、需求和实施内容

　　2.1　建设目标

　　建立以科研所XX楼为中心的新涉密园区网系统，实现旧园区网平滑迁移到新网络上;构建基于802.1x的端点准入控制系统，实现准入控制系统双机功能;支持增强的ACL特性，实现VLAN之间访问控制，进一步提升园区网管理手段，满足分级保护等访问权限严格控制的需求，为科研所业务运行提供更现代化高效、安全、可靠、稳定的网络服务。

　　通过本项目实施，科研所XX研发平台园区网络将构建以S12508为核心，S7506E为汇聚的IP网络，并实现新老园区网络的融合，为科研、生产、管理等业务运行提供更现代化网络服务为目标。

　　2.2　建设需求

　　1) 网络建设以科研所XXX号楼为中心，覆盖研发平台辅楼、科研老区XXX号楼及其它建筑。

　　2) 新建园区内网络设备全部采用国产设备;

　　3) 对现有服务器群进行统一整合和防护，并放置到防火墙后，与所有接入客户端逻辑上隔离，对服务器区域进行安全防护;

　　4) 新建网络按部门、业务需求重新划分VLAN;

　　5) IP地址采用172.16.X.X网段，合理进行分配;

　　6) 全网启用802.1X端点准入双机认证系统，基于用户安全接入认证;

　　7) 接入层交换机启用IP+MAC+端口绑定;

　　8) 汇聚层实现VLAN隔离;

　　9) 汇聚层启用VRRP、MSTP协议，实现基于VLAN的负载均衡;

　　10) 汇聚层实现防路由欺骗;

　　11) 支持微软SCCM系统自动分发;

　　12) 在科研所XXX楼层接入堆叠交换机与汇聚交换机之间采用两条光纤线路进行万兆冗余连接;汇聚交换机、数据中心防火墙、核心交换机均采用万兆链路进行连接;实现存储设备(含服务器)多个端口聚合，满足高带宽业务需求;

　　13) 核心网络设备之间启用OSPF路由协议;

　　14) 合理划分安全域，并在核心防火墙上部署相应的访问控制策略;

　　15) 实现全网智能化网络管理;完善流量分析与用户行为审计，智能分析报表，防火墙网管日志收集与分析等功能;

　　16) 防火墙要求具备系统管理员、安全保密管理员及安全审计员等角色，三员权限独立，互相制约;

　　17) 完成IMC网管平台版本平滑升级，全网iNode智能客户端程序自动升级，完善EAD功能;

　　18) 对科研所XXX楼层内重要网络设备进行IP全网监控，自成体系与内网物理隔离;

　　2.3　建设实施内容

　　1) 新核心网络搭建;

　　2) 新旧网络对接与服务器群梳理迁移;

　　3) 科研XXX中心楼层内堆叠接入交换机安装调试;

　　4) 架设并完善网络管理平台，实现802.1x双机接入认证;

　　5) 实施IP-MAC-端口的绑定;

　　6) 实现基于用户的接入安全策略部署;

　　7) 实现接入终端的操作系统补丁和杀毒软件检查;

　　8) 实现可控软件的管理;

　　9) 实施VLAN之间访问控制;

　　10) 完成数据中心防火墙部署及访问控制策略配置;

　　11) 完成防火墙日志收集与分析组件部署，提供违规访问日志、事件分析统计等报表;

　　12) 完成IMC平台及配套网管服务组件升级;

　　13) 完成流量分析与用户行为审计组件部署，提供相关的日志信息;

　　14) 完成智能分析报表分析组件部署，提供相关的统计报表;

　　15) 完成iNode智能客户端自动升级;

　　16) 完成网络设备监控系统部署;

　　三、 技术解决方案

　　在保持现有老科研区园区网络正常运行的前提下，为高效圆满地完成科研所新园区网络建设工作，本次项目实施分为两个阶段完成：网络核心构建阶段和网络安全部署阶段。

　　1、网络核心构建阶段主要工作是新核心网络框架搭建及割接、IP地址重新分配及VLAN重新规划、VRRP创建、服务器割接与迁移、工作站接入及线路连接等。

　　2、网络安全部署阶段主要工作是IMC软件平台的安装、升级、基于用户的安全部署，网络安全控制技术部署等。

　　3.1　新核心网络搭建

　　1)新网络IP地址、设备命名及VLAN规划严格按照原定方案实施完成

　　2)新网络路由协议规划严格按照原定方案实施完成

　　3.2　新旧网络对接

　　新的核心骨干网络搭建完成后，接着进行新旧网络对接工作。基于原老区组网情况的考虑，将对接点选择在原网络核心设备和新网络汇聚设备上。如下图所示：

　　对接步骤：

　　1、从新网络核心设备S7506E-A上引出一条千兆线路与原网络S7506E-A连接;

　　2、从新网络核心设备S7506E-B上引出一条千兆线路与原网络S7506E-B连接;

　　3、S12508与原网络的S5600采用二层对接，将vlan12和vlan13采用trunk与S12508对接，vlan612采用accsess与s12508对接;

　　4、发布ospf路由;

　　5、将area0的主路由器(DR)设置为新建网络的S12508上;

　　6、网络测试验证工作;

　　验证项目：(验证方法：ping)

　　1、S12508上连接测试服务器，测试工作站能正常访问旧网络中各服务器及新网络中的测试服务器(其目的是为服务器群正常切换做验证);

　　2、将原服务器在S5600上的网关改动到S12508上，看新老网络中的pc能否访问测试服务器;

　　3.3　服务器调整及线路切换

　　服务器调整

　　现有园区网络中的服务器部署在A楼，本次网络建设需将服务器全部迁移到B楼屏蔽机房进行统一管理。为保证业务的稳定，本次割接中要求保留原服务器IP地址，对其不进行改动。因此原服务器网段，会被引入到新的网络中。

　　服务器调整分为两个部分：

　　1、S5600上连接老网络两台7506E的端口shutdown，测试新老网络中访问服务器的业务是否正常。

　　2、服务器逐步迁移，另外去掉S5600与原网络7506E之间的光纤

　　3.4　科研平台新园区整体网络拓扑示意图

　　四、 效益实现

　　科研所园区网建设项目已经完成，实现如下预期目标：

　　1、 实现新旧核心网络的连接，在此平台上，满足目前各科研财务审计、资产经营、人力资源部、党委工作部、科技部、质保部、条保部、党政办等内部办公业务统一管理。

　　2、 实现科研所各单位在完成网络和用户基本资源统一管理的基础之上，提供融合的基础网络管理和基本接入管理，完成了802.1X+EAD认证功能。

　　3、 实现网络的安全统一部署。

　　兼顾历史、着眼未来，为科研所提供了新老核心网络无缝兼容，又充分考虑科研所网络安全和业务发展需要的、先进实用的接入方案，且本方案符合科研所T市子研究所信息化平台的建设要求

2016年01月