武汉光电国家实验室（Wuhan National Laboratory for Optoelectronics ）是科技部批准建设的五个国家实验室之一，依托华中科技大学，背靠中国光谷，由武汉邮电科学研究院 ，中科院武汉物理与数学研究所 ，中船重工集团717研究所三个重点科研院所联合负责筹建，其主要科研方向为光电子与信息技术（光学工程、电子科学与技术、计算机科学与技术、信息与通讯工程、生物医学、机械工程），旨在通过建设多学科交叉融合的大型科学研究平台，推动我国科学研究的原始性创新。

    作为国家光电信息产业基地技术创新的源头，武汉光电国家实验室的建设得到了国家科技部、国家教育部，以及湖北省、武汉市政府政策、项目、资金、人才、土地等方面的全方位的大力支持。湖北省委、省政府和武汉市委市政府领导曾多次听取汇报、亲临现场，对项目筹建工作给予指导。

    作为业界领先的网络设备及解决方案供应商，锐捷网络也积极地参与了武汉光电国家实验室的科研网络建设。科研网采用了业界领先的万兆Ipv6多业务高端交换机：RG-S6806E交换机两台，为武汉光电国家实验室的科研网络建立了实验室国家973科研项目的双核心网络平台，两条万兆带宽实现了海量存储数据的高速传输，并成功地将科研网接入到CERNET2 IPV6华中节点，为Ipv6科研应用的测试做了扎实的准备。目前，IPv6网络已经正式投入到科研工作中。

    同时，为建设好武汉光电国家实验室的网络办公学习平台，锐捷网络提供了从楼栋接入到汇聚的系列中低端网络设备：RG-S3550-24、RG-3550-12G千兆三层交换机，RG-S2126G，RG-S2150G千兆安全二层交换机，为实验室网络基础建设提供了稳定、安全、高带宽的应用环境。

要求：安全性与超前性相结合
    武汉光电国家实验室的网络信息化建设必须以用户的应用需求作为基础。随着网络技术的飞速发展和应用水平的逐步提高，用户的网络需求也不断的增加，应用特点也在不断变化。

    建设前期，光电国家实验室信息化网络规模较大，用户数多，进行的各种实验测试过程其网络应用复杂。由于目前网络攻击软件泛滥，同时网络病毒泛滥、新病毒不断呈现，危害性更强，其网络存在很多安全隐患。这是光电国家实验室网络遇到的一般状况的问题。

     而更为特殊的是，武汉光电国家实验室的网络的海量实验存储数据的高速转发、实验室高机密资料的信息保护，以及科研实验的超前性对下一代网络新技术的充分支持等成为建设科研网的攻坚难题。

    因此，从武汉光电国家实验室的网络的建设需求就要考虑到两个层面。一、基本层面，即为满足实验室信息化网络将面临的一般状况需求，为此，锐捷网络提供高性能的数据转发、设备协议支持丰富、具有常见安全防范能力的网络建设特点；二、高级层面，即满足实验室信息化网络将面临的特殊状况需要，为此，锐捷网络提供了高级别的网络安全功能、Ipv6等下一代网络技术（协议）的支持、海量存储数据的高速传输等针对武汉光电国家实验室的网络的特殊情况所必须的功能。

网络建设：万兆IPv6的经典三层构架
    武汉光电国家实验室的网络采用经典三层架构。分普通办公区、重点科研部门两大部分。普通办公区采用锐捷RG-S3550-24/RG-S3550-12G千兆三层交换机作汇聚骨干，采用锐捷RG-S2126G/RG-S2150G两款功能强大的安全二层交换机作接入，千兆上联到汇聚骨干。重点科研部门采用锐捷RG-S6806E多业务万兆交换机作核心，双万兆10GBASE LR链路捆绑互联，IPV4/IPV6双出口线路分别与华中科技大学cernet,cernet2节点对接互通，如图1所示。

    办公区内部使用IPV4私有地址，出口处进行NAT转换。重点科研部分使用IPV4公有地址作办公，使用IPV6全球可聚合单播地址作科研。

技术实现特征：安全与超前
    武汉光电国家实验室的网络建设项目从2005年8月开始破土动工，历时7个月的精心打磨，于2006年3月份正式完工（中间经历了长时间的土建工程整改延误时间）。建成后的网络，完全满足了客户两个层面的不同需求。

一、高速数据传输：为保证网络的高性能数据转发，实验室的普通办公区完全实现千兆骨干，百兆到桌面的高带宽接入。在关键科研部门，高端核心RG-S6806E交换机提供了两条万兆的骨干线路，以及可扩展1.6T的背板，使海量的实验数据传输达到线速转发的可能。同时，锐捷的交换机采用业界领先的SPOH技术，为QoS，ACL的应用实现了到每端口的分解处理，每端口都有独立的FFP芯片，大大降低了设备集中处理器的负载，进一步提升了网络的性能。

二、丰富的协议支持：
---路由技术：对动态路由的支持成熟，如RIPv1v2、OSPFv2、BGPv4；LPM（采用最长匹配）三层交换技术＋HDR(直连主机路由)；ECMP/WCMP（等值多路径路由协议和权重多路径路由协议）对静态路由实现多条链路负载均衡。
---交换技术：IEEE802.1Q、IEEE802.1P、IEEE802.3AD、IEEE802.1D、IEEE802.1W、
IEEE802.1S等待。支持Service Provider vlan(Double Tagging、VLAN tunnel)，实现在以太网环境中的L2 VPN。
---应用协议：RG-S6810E通过扩展高性能的多业务卡，可以支持策略路由、MPLS、load balancing、NAT、VPN、Firewall、web cache redirect常见应用协议。
---完善的QOS支持：灵活支持WFQ、CBWFQ、LLQ、CQ、PQ，灵活支持RED、WRED。灵活支持DSCP业务区分模型。

三、超高级别安全功能：在网络设计与实施过程中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制。从每一个环节，充分保障用户的网络安全。
---SSH加密登陆功能，以及telnet/web登录的源IP限制功能。（管理环节）
---支持防源IP地址欺骗（Souce IP Spoofing）、防DOS/DDOS攻击（Synflood，Smurf），防扫描（PingSweep）等能力。（攻击防范环节）
---支持灵活的访问控制功能，如普通ACL，基于时间的ACL，基于MAC的ACL以及专家级ACL等。（病毒防范及用户隔离环节）
---硬件支持IP、MAC、端口绑定，提高管理者对接入用户的控制能力。（用户隔离环节）

四、下一代网络技术的支持：核心RG-S6806E交换机能同时支持Ipv4、Ipv6，并能灵活支持IPV4、IPV6的网络组合模式，如双栈或隧道。支持基于IPV6的静态动态路由及相关协议，如OSPFv3、RIPng、BGPV6、ICMPV6。设备也对互联网各种新的协议提供了良好的支持，如：ISNMPv3、SNTP、IGMP V3、IGMP SNOOPING V3、PIM-SSM、SYSLOG。实验室的IPV6与cernet2节点互通的模型如图所示。

武汉光电国家实验室Ipv6科研平台模型