鐵礦計算機網(wǎng)絡升級改造項目深化設計方案(doc 113頁).doc

北洺河鐵礦計算機網(wǎng)絡升級改造項目 深化設計方案深化設計方案 中科軟科技股份有限公司中科軟科技股份有限公司 2012 年年 7 月月 北洺河鐵礦計算機網(wǎng)絡升級改造項目 I 中科軟科技股份有限公司 目目 錄錄 第一章第一章項目需求分析項目需求分析 4 1 1項目需求概述 4 1 2項目總體要求 4 1 3項目設計指導思想 4 1 4網(wǎng)絡現(xiàn)狀和存在的問題 5 1 4 1網(wǎng)絡系統(tǒng)現(xiàn)狀 6 1 4 2應用系統(tǒng)情況 9 1 4 3現(xiàn)有網(wǎng)絡系統(tǒng)存在的問題 10 1 5項目建設需求 10 1 6項目建設內(nèi)容 11 1 6 1網(wǎng)絡系統(tǒng)升級 11 1 6 2網(wǎng)絡安全系統(tǒng) 12 1 6 3綜合布線系統(tǒng) 12 1 6 4機房改造 12 1 7項目設計參照的標準規(guī)范 13 第二章第二章網(wǎng)絡和安全系統(tǒng)設計網(wǎng)絡和安全系統(tǒng)設計 16 2 1網(wǎng)絡系統(tǒng)設計原則 16 2 2網(wǎng)絡系統(tǒng)架構 16 2 3IP 地址規(guī)劃 20 2 4VLAN 設計 20 2 4 1VLAN 劃分 20 2 4 2VLAN 之間路由實現(xiàn) 22 2 4 3VLAN 之間安全控制 23 2 4 4VTP 設計 23 2 5路由規(guī)劃 23 2 5 1局域網(wǎng)內(nèi)路由規(guī)劃 23 2 5 2互聯(lián)路由 24 2 6無線網(wǎng)絡系統(tǒng) 24 2 7設備命名規(guī)范 25 2 8網(wǎng)絡安全系統(tǒng)設計 26 2 8 1安全保障目標 27 2 8 2設計目標 27 2 8 3上網(wǎng)行為管理系統(tǒng)部署 27 2 8 4安全方案設計要點 27 2 9網(wǎng)絡信息點位及設備布點 29 第三章第三章綜合布線方案設計綜合布線方案設計 38 3 1綜合布線系統(tǒng)概述 38 3 2綜合布線需求和范圍 38 北洺河鐵礦計算機網(wǎng)絡升級改造項目 II 中科軟科技股份有限公司 3 3綜合布線系統(tǒng)設計及施工方案 40 3 3 1綜合布線系統(tǒng)總體設計 40 3 3 2水平布線子系統(tǒng) 40 3 3 3設備間系統(tǒng) 42 3 3 4建筑群主干子系統(tǒng) 44 3 3 5維護和管理 45 3 4綜合布線的施工方法 47 3 5綜合布線系統(tǒng)測試方案 51 第四章第四章機房改造方案設計機房改造方案設計 54 4 1機房裝飾裝修 54 4 1 1機房裝飾工程概述 54 4 1 2地面 55 4 1 3墻面 柱面 56 4 1 4頂棚 57 4 1 5門窗 57 4 1 6其他方面處理 57 4 2UPS 及供電系統(tǒng) 59 4 3UPS 不間斷電源 61 4 3 1艾默生 Adapt 模塊化 UPS 系統(tǒng) 63 4 3 2照明系統(tǒng) 68 4 4接地防雷系統(tǒng) 69 4 4 1接地系統(tǒng) 69 4 4 2防雷系統(tǒng) 71 4 5空調(diào)及新風系統(tǒng) 71 4 6新風系統(tǒng)方案 73 4 7機柜布置 74 4 8機房環(huán)境監(jiān)測系統(tǒng) 75 4 9門禁系統(tǒng) 77 4 10視頻監(jiān)控系統(tǒng) 78 第五章第五章項目施工組織方案項目施工組織方案 80 5 1項目實施指導原則 80 5 2項目組織結構 80 5 3項目實施總體計劃 86 5 4項目實施內(nèi)容 88 5 4 1項目啟動 88 5 4 2項目實施的準備 88 5 4 3到貨驗收 89 5 4 4系統(tǒng)安裝實施 89 5 4 5系統(tǒng)測試 90 5 4 6系統(tǒng)聯(lián)調(diào) 91 5 4 7項目初步驗收 91 5 4 8系統(tǒng)試運行 91 5 4 9項目驗收 91 北洺河鐵礦計算機網(wǎng)絡升級改造項目 III 中科軟科技股份有限公司 5 5項目施工管理 92 5 5 1工程質(zhì)量目標及保證措施 92 5 5 2現(xiàn)場文明施工管理 97 5 5 3施工現(xiàn)場環(huán)保與環(huán)衛(wèi)管理 101 5 6項目風險分析及控制策略 102 5 6 1風險分析 102 5 6 2風險對策 103 5 6 3協(xié)作溝通的重要性 105 5 7項目提交成果 106 5 7 1項目文檔管理 106 5 7 2技術文件交運計劃 107 第六章第六章技術支持及售后服務方案技術支持及售后服務方案 108 6 1售后服務承諾 108 6 2技術支持與服務 109 6 2 1技術支持服務體系 109 6 2 2服務流程 112 6 2 3服務方式 113 6 2 4應急服務響應 114 6 3技術培訓 114 6 3 1培訓遵循的原則 114 6 3 2培訓的方法 115 6 3 3培訓類別 116 6 3 4主要培訓課程表 117 北洺河鐵礦計算機網(wǎng)絡升級改造項目 4 中科軟科技股份有限公司 第一章第一章 項目項目需求分析需求分析 1 1項目需求概述項目需求概述 北洺河鐵礦現(xiàn)有員工 1500 余人 技術及相關管理人員 270 余人 下設 9 個生 產(chǎn)單位 1 個服務單位 18 個職能部門 從建設投產(chǎn)至今 規(guī)模不斷壯大 人員不 斷增加 新技術 新產(chǎn)品廣泛使用 企業(yè)對信息技術的需求也越來越強烈 但由于 受歷史階段條件的限制 沒有進行系統(tǒng)規(guī)劃 網(wǎng)絡系統(tǒng)已不適應礦山發(fā)展的需要 系統(tǒng)建設出現(xiàn)瓶頸 因此 需要對全礦網(wǎng)絡系統(tǒng)重新規(guī)劃和部署 進行全面的升級 改造 以滿足企業(yè)信息化長遠發(fā)展的需要 為了使北洺河鐵礦的網(wǎng)絡系統(tǒng)能夠在未來幾年的時間內(nèi)保持技術上的先進性和 實用性 要求在項目的規(guī)劃和實施中采用先進成熟的網(wǎng)絡 安全 主機設備以及系 統(tǒng)管理模式 實現(xiàn)礦山內(nèi)部所有資源的合理應用和完善管理 使員工都能方便地使 用內(nèi)部網(wǎng)絡 并能夠安全高效地訪問各種內(nèi)部網(wǎng)絡應用服務和因特網(wǎng) 1 2項目總體要求項目總體要求 北洺河鐵礦網(wǎng)絡升級改造工程應當按照 配置合理 功能完善 適度超前 使 用方便 的原則進行全面系統(tǒng)的設計 系統(tǒng)應具備先進性 實用性 安全性 穩(wěn)定 性 可擴充性 可管理性 功能完備 維護簡便等特點 此次網(wǎng)絡升級改造內(nèi)容主要包括網(wǎng)絡系統(tǒng)升級 網(wǎng)絡安全系統(tǒng)建設 綜合布線 系統(tǒng)和機房改造系統(tǒng)等 1 3項目設計指導思想項目設計指導思想 此次北洺河鐵礦網(wǎng)絡建設將將采用先進的網(wǎng)絡安全技術和產(chǎn)品 實現(xiàn)一個高效 的內(nèi)部辦公網(wǎng)絡系統(tǒng) 網(wǎng)絡中的各類服務器設備和網(wǎng)絡設備需要考慮技術上的先進 性 國內(nèi)外及行業(yè)的通用性 并且要有良好的市場形象與售后技術支持 便于維護 和升級 北洺河鐵礦計算機網(wǎng)絡升級改造項目 5 中科軟科技股份有限公司 總體來講 為了使項目的實施順利進行 并使系統(tǒng)規(guī)劃能夠滿足北洺河鐵礦的 應用和發(fā)展的需求 在項目規(guī)劃中應滿足以下要求 開放性 采用開放標準 開放技術 開放結構 實用性 網(wǎng)絡系統(tǒng)設計以實用 滿足應用為主 不追求最高 最新 先進性 計算機網(wǎng)絡技術 軟硬件技術的發(fā)展迅速 網(wǎng)絡的設計要立足于較 高的起點 保證系統(tǒng)有較長的生命力 安全可靠性 同時考慮應用系統(tǒng)的設計 網(wǎng)絡系統(tǒng)設計 硬件設備的選項配 置幾個方面 以確保數(shù)據(jù)的安全 兼容與可擴展性 盡量采用成熟的技術 保證軟硬件的兼容性 同時需考慮 設備的更新與升級的能力 經(jīng)濟性 在滿足功能與性能的基礎上實現(xiàn)性能 價格比最優(yōu) 可管理性 隨著網(wǎng)絡規(guī)模和復雜程度的增加 網(wǎng)絡系統(tǒng)的管理和故障排除將 成為較難的事情 針對各種設備都要提供一定的網(wǎng)絡管理功能 主要依據(jù)原則如下 項目設計應滿足北洺河鐵礦未來發(fā)展的要求 即在礦山規(guī)模發(fā)展擴 大時 本設計仍然能夠滿足礦山管理和運營的要求或方便的變更和升級 采用先進的 成熟的 業(yè)界標準的 在市場上有著廣泛應用的技術 項目設計應遵循實用的原則 避免不切實際貪大求全 所有網(wǎng)絡設備應是主流產(chǎn)品 保證所有設備均為新品并能提供良好 的技術支持服務 工程實施嚴格按照同規(guī)格日期完成并保證質(zhì)量 工程實施需要提供詳細的文檔資料及配置手冊 應提供完整的培訓及售后服務 1 4網(wǎng)絡現(xiàn)狀和存在的問題網(wǎng)絡現(xiàn)狀和存在的問題 北洺河鐵礦信息化發(fā)展相對較早 于 2003 年 6 月礦辦公網(wǎng)絡系統(tǒng)形成 2004 北洺河鐵礦計算機網(wǎng)絡升級改造項目 6 中科軟科技股份有限公司 年 4 月辦公自動化系統(tǒng)啟用 2004 年 10 月金蝶物流系統(tǒng)啟用 2006 年礦網(wǎng)站建立 2006 年以來質(zhì)量管理系統(tǒng) 入井刷卡系統(tǒng)和視頻監(jiān)控系統(tǒng)等先后十多個應用系統(tǒng) 也連接進入局域網(wǎng)內(nèi) 1 4 1 網(wǎng)絡系統(tǒng)現(xiàn)狀網(wǎng)絡系統(tǒng)現(xiàn)狀 北洺河鐵礦網(wǎng)絡系統(tǒng)于 2002 年 11 月組織建設 2003 年 6 月投入使用 機房設 在辦公樓四樓 接入礦局域網(wǎng)的計算機數(shù)量達 240 余臺 1 4 1 1 網(wǎng)絡網(wǎng)絡系統(tǒng)和設備系統(tǒng)和設備現(xiàn)狀現(xiàn)狀 現(xiàn)有網(wǎng)絡系統(tǒng)結構 1 網(wǎng)絡系統(tǒng) 現(xiàn)有網(wǎng)絡系統(tǒng)的結構不清晰 請見如上示意圖 2機房現(xiàn)有設備及利舊說明 一個防火墻 神碼 1800S 一臺路由器 思科 2800 一個核心交換機 華 為 S3600 將對現(xiàn)有路由器思科 2800 進行利舊使用 思科 2800 接入性能和接口已滿足現(xiàn)有 網(wǎng)絡出口要求 設備運行穩(wěn)定 故本次改造對路由器無需更換 北洺河鐵礦計算機網(wǎng)絡升級改造項目 7 中科軟科技股份有限公司 現(xiàn)有核心交換機華為 S3600 已運行了 8 年 初期配置選擇了性能較低的盒式交換 機 單機不具備端口擴展能力 尤其是本次網(wǎng)絡改造中接入交換機采用光纖鏈路上聯(lián) 華為 S3600 光纖端口無法滿足要求 華為 S3600 的交換性能和包轉(zhuǎn)發(fā)率較低僅能滿 足部門級網(wǎng)絡需求 無法滿足礦山現(xiàn)在網(wǎng)絡和應用的需求以及未來的擴展要求 因此 本次網(wǎng)絡改造系統(tǒng)將對核心交換機進行更換 并采用思科 WS 4507R E 作為核心交換 機 5 臺服務器 分別為網(wǎng)站服務器 OA 系統(tǒng)服務器 金蝶 k3 服務器 質(zhì)量管理 系統(tǒng)服務器和 DIMINE 軟件系統(tǒng)服務器 不間斷電源和冷卻空調(diào) 現(xiàn)已損壞 機房設備零散擺放 3 配線間現(xiàn)有網(wǎng)絡設備及利舊說明 具有控制功能的接入交換機 5 臺 品牌型號為 3COM 4400se 分別放置在四樓 配線間 2 臺 二樓配線間 1 臺 一樓配線間 1 臺 五樓配線間 1 臺 所有配線間的接入交換機其中 4 臺已有多個網(wǎng)絡端口損壞情況 不能正常使用 剩余 1 臺可以正常上網(wǎng) 以對此設備進行利舊 并安裝在文化中心分機房內(nèi) 4 車間及部門辦公室網(wǎng)絡設備 由于信息點較少 使用二 三層交換機較多 其中 24 口交換機 5 個 放置在 服務樓 化驗樓和供應科辦公室 8 口交換機 47 個 5 口交換機 5 個 分別放置在 各部門或車間辦公室 所有交換機全部為不帶管理功能的普通交換機 因此對所有 不帶管理功能的普通交換機要全部更換 為此次改造后的的網(wǎng)絡系統(tǒng)便于管理提供 最基本的條件 北洺河鐵礦計算機網(wǎng)絡升級改造項目 8 中科軟科技股份有限公司 1 4 1 2 綜合布線綜合布線現(xiàn)有狀況和利舊說明現(xiàn)有狀況和利舊說明 網(wǎng)絡出口情況 接入 Internet 的網(wǎng)絡出口一個 為中國聯(lián)通 10Mb 寬帶 由 聯(lián)通分公司引入的一條光纜 樓宇建筑布線情況 全礦地表有三個工業(yè)園區(qū) 主工業(yè)園區(qū) 西風井工業(yè)園區(qū)和東風井工業(yè)園區(qū) 現(xiàn)有網(wǎng)絡覆蓋區(qū)域為主工業(yè)園區(qū)和西風井工業(yè)園區(qū) 主工業(yè)園區(qū)網(wǎng)絡覆蓋建筑有辦公樓 服務樓 化驗樓 后勤樓 文化中心等樓 宇建筑 5 棟 材料庫 備件庫等庫房 2 座 80 噸和 100 噸地磅房等平房 2 座 西風井工業(yè)園區(qū)網(wǎng)絡覆蓋建筑為西風井辦公樓 光纜線路借助入井刷卡控制系 統(tǒng)光纜 井下網(wǎng)絡覆蓋區(qū)域為 110 水平調(diào)度安全值班硐室和炸藥庫 230 水平調(diào)度值班 硐室 線路借助質(zhì)量管理系統(tǒng)光纜 網(wǎng)絡覆蓋區(qū)域內(nèi)有 282 個辦公室 3 個井下值班硐室 除主工業(yè)園區(qū)辦公樓 化驗樓一層敷設 84 個信息點外 其余各部位均未敷設 網(wǎng)絡現(xiàn)有覆蓋區(qū)域除分化中心外 全部采用超五類雙絞線傳輸 信息模塊及面 板使用年限已達 8 年之久 所有線纜以老化 信號衰減 延遲現(xiàn)象比較嚴重 信息 模塊存在松散 卡接不嚴等狀況 故對所有線路及模塊和面板進行更換 并對原有 線路進行拆除 文化中心內(nèi)部對所有網(wǎng)絡線路要進行利舊使用 更換新的網(wǎng)絡信息 模塊和面板 在此對文化中心的網(wǎng)絡線纜不予在重新敷設 各區(qū)域之間采用光纖連接 地表 7 條光纜 分別采用電纜溝 直埋和架空敷設 井下 3 條光纜 為質(zhì)量控制系統(tǒng)使用 UPS 電池室現(xiàn)有光纖為分布為 服務樓一根 多模 供應科一跟 多模 80 噸地磅房一根 多模 醫(yī)保專線一根 多模 監(jiān)控中心一根 多模 文化中心 一根 單模 對現(xiàn)有的光纖要全部移至網(wǎng)絡主機房的機柜內(nèi) 并對現(xiàn)有光纖進行 熔接和預留 文化中心單模光纖要接入此次網(wǎng)絡改造項目中 配線間和機房布線情況 辦公樓共有五個配線間 其中一樓與通訊線路合用 二樓為財務科檔案兼金蝶 k3 服務器放置室 三樓為黨委工作部辦公室 四樓與廣播電視合用 五樓為黨委 工作部辦公室 線路均穿過各配線間樓板敷設至各樓層交換機 北洺河鐵礦計算機網(wǎng)絡升級改造項目 9 中科軟科技股份有限公司 服務樓配線間為采礦車間辦公室 化驗樓配線間為選礦車間辦公室 后勤樓配線間為行政事務科科長辦公室 醫(yī)務所配線間為醫(yī)務所辦公室 機房敷設有防靜電地板 機房所有線路均通過四樓配線間穿墻在防靜電地板下 敷設 1 4 2 應用系統(tǒng)情況應用系統(tǒng)情況 現(xiàn)有網(wǎng)絡系統(tǒng)自投入使用后 逐步建立了辦公自動化系統(tǒng) 金蝶 k3 物流系統(tǒng) 質(zhì)量管理系統(tǒng) 入井刷卡系統(tǒng) 視頻監(jiān)控系統(tǒng)和 V5 人力資源薪酬管理系統(tǒng)等應用 系統(tǒng)共 15 個 這些應用系統(tǒng)包括生產(chǎn)過程控制和業(yè)務處理兩個方面 隨著企業(yè)的 發(fā)展 網(wǎng)絡使用需求越來越大 對網(wǎng)絡系統(tǒng)的依賴性越來越強 其中大部分完全依 賴網(wǎng)絡 應用系統(tǒng)建設情況見表 應用系統(tǒng)建設情況表應用系統(tǒng)建設情況表 編編 號號 系統(tǒng)名稱系統(tǒng)名稱系統(tǒng)功能系統(tǒng)功能網(wǎng)絡依賴度網(wǎng)絡依賴度運行地點運行地點 備備 住住 1 辦公自動化系統(tǒng)業(yè)務處理完全全礦 2 金蝶 k3 物流系統(tǒng)業(yè)務處理完全機動 供應部門 3 金蝶 k3 財務系統(tǒng)業(yè)務處理完全財務部門 4 入井刷卡系統(tǒng)業(yè)務處理高調(diào)度室 井口 5 質(zhì)量管理系統(tǒng)過程控制高 質(zhì)量科辦公室 井下 110 230 水平軌道衡 6 視頻監(jiān)控系統(tǒng)業(yè)務處理高保衛(wèi)科監(jiān)控室 7 V5 人力資源薪酬管理系 統(tǒng) 業(yè)務處理完全人力資源科 8 生產(chǎn)設備運行管理系統(tǒng)業(yè)務處理完全機動科和各車間辦公室 9 生產(chǎn)調(diào)度系統(tǒng)業(yè)務處理完全調(diào)度室 10 計量稱重系統(tǒng)過程控制高80t 100t 地磅房 11 風機遠程控制系統(tǒng)過程控制高 調(diào)度室 井下 50 95 110 230 水平風 機站 12 PLC 提升機控制系統(tǒng)過程控制低 主副井 盲豎井 盲斜 井 13 磨礦自動控制系統(tǒng)過程控制不依賴選礦自動化室 14 醫(yī)保刷卡系統(tǒng)業(yè)務處理完全醫(yī)務所 15 安全隱患信息管理系統(tǒng)業(yè)務處理完全 安全科 車間辦公室 井下安全值班室 北洺河鐵礦計算機網(wǎng)絡升級改造項目 10 中科軟科技股份有限公司 1 4 3 現(xiàn)有網(wǎng)絡系統(tǒng)存在的問題現(xiàn)有網(wǎng)絡系統(tǒng)存在的問題 到目前為止 北洺河鐵礦網(wǎng)絡運行已達 8 年之久 網(wǎng)絡技術相對落后 設備陳 舊 線路老化 網(wǎng)絡布線比較散亂 1 網(wǎng)絡架構不清晰 擴展性差 網(wǎng)絡架構不清晰 擴展性差 早期設計的網(wǎng)絡結構簡單 不清晰 比較混 亂 隨著用戶和應用規(guī)模不斷擴大 網(wǎng)絡難以滿足擴展要求 已形成系統(tǒng) 瓶頸 且給網(wǎng)絡管理帶來的很大壓力 2 網(wǎng)絡設備陳舊 線路老化嚴重 穩(wěn)定性差 網(wǎng)絡設備陳舊 線路老化嚴重 穩(wěn)定性差 早期采用的網(wǎng)絡技術相對落后 目前設備陳舊 低端設備多 線路老化嚴重 穩(wěn)定性很差 導致故障頻發(fā) 曾出現(xiàn)網(wǎng)絡癱瘓 服務器損壞 造成大量數(shù)據(jù)丟失 多臺交換機損壞 另 有一些交換機接口有損壞現(xiàn)象 樓宇線路有 20 已不通 現(xiàn)在均只采取了 臨時措施 3 網(wǎng)絡線路和設備布局散亂 網(wǎng)絡信息點較少 網(wǎng)絡布線不規(guī)范網(wǎng)絡線路和設備布局散亂 網(wǎng)絡信息點較少 網(wǎng)絡布線不規(guī)范 現(xiàn)有的網(wǎng) 絡線路和設備布局散亂 網(wǎng)絡信息點較少 無法滿足用戶應用需要 在用 所有網(wǎng)線均為人工制作 造成網(wǎng)絡信號的衰減 網(wǎng)絡存在延遲現(xiàn)象 對實 時性要求較高的應用系統(tǒng)影響較大 甚至無法運行 4 網(wǎng)絡安全管理和防范手段薄弱 網(wǎng)絡安全管理和防范手段薄弱 現(xiàn)有網(wǎng)絡系統(tǒng)沒有監(jiān)控和防范軟件 無法 對網(wǎng)絡進行直接和行之有效的管理 經(jīng)常出現(xiàn)病毒入侵攻擊現(xiàn)象 網(wǎng)絡安 全沒有保證 1 5 項目建設項目建設需求需求 隨著礦山規(guī)模不斷壯大 人員不斷增加 新技術 新產(chǎn)品廣泛使用 企業(yè)對信 息技術的需求也越來越強烈 現(xiàn)有網(wǎng)絡系統(tǒng)已不適應礦山發(fā)展的需要 系統(tǒng)建設出 現(xiàn)瓶頸 為此 根據(jù)上述現(xiàn)狀和問題分析 需對全礦網(wǎng)絡系統(tǒng)綜合設計 進行全面 的升級改造 以滿足企業(yè)信息化長遠發(fā)展需要 1 網(wǎng)絡系統(tǒng)升級改造網(wǎng)絡系統(tǒng)升級改造 重新規(guī)劃網(wǎng)絡架構 采用分層設計方法 提升網(wǎng)絡系統(tǒng)的可擴展性和可管理性 滿足企業(yè)未來的發(fā)展需要 更換現(xiàn)有老舊落后的網(wǎng)絡交換機設備 采用技術先進 知名品牌產(chǎn)品 確保網(wǎng) 北洺河鐵礦計算機網(wǎng)絡升級改造項目 11 中科軟科技股份有限公司 絡核心設備具備強大的數(shù)據(jù)交換和處理能力 為大容量用戶的互聯(lián)網(wǎng)訪問和業(yè)務應 用提供網(wǎng)絡支撐 升級更換辦公自動化 網(wǎng)站服務器 同時所有設備部署到 合理規(guī)劃機房機柜 布局 2 網(wǎng)絡安全系統(tǒng)網(wǎng)絡安全系統(tǒng) 建立網(wǎng)絡的安全保護措施 保證系統(tǒng)安全 對網(wǎng)上服務請求內(nèi)容進行控制 3 綜合布線系統(tǒng)綜合布線系統(tǒng) 建立一套先進 完善的綜合布線系統(tǒng) 滿足北洺河鐵礦辦公網(wǎng)絡的需求 支持 各種數(shù)據(jù)通訊 多媒體技術以及信息管理系統(tǒng) 滿足語音 數(shù)據(jù) 視頻等的傳輸 適應現(xiàn)代和未來技術的發(fā)展 要求所供產(chǎn)品質(zhì)量保證 25 年 布線系統(tǒng)為應采用國家和國際標準及規(guī)范 兼容不同廠商 不同協(xié)議的設備和 系統(tǒng)的信號傳輸 具有可擴充性 并易于維護和管理 采用模塊化設計 具有高可靠性 局部系統(tǒng)故障不影響其他系統(tǒng)正常使用 4 機房改造機房改造 在充分利用和整合現(xiàn)有資源的基礎上 將北洺河鐵礦機房改造建設成優(yōu)良的現(xiàn) 代化計算機機房 包括機房裝飾裝修 UPS 及供電系統(tǒng) 接地防雷系統(tǒng) 空調(diào)及新 風系統(tǒng) 機柜布置 機房環(huán)境監(jiān)測系統(tǒng) 門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)等方面 四樓機 房進行封窗 電池室鋪設高架防靜電地板 對供電系統(tǒng)重新進行設計 對機房和電 池室照明進行改造 在機房與電池室內(nèi)安裝防火報警系統(tǒng)和監(jiān)控系統(tǒng) 在機房和電 池安裝門禁控制管理系統(tǒng) 1 6項目建設內(nèi)容項目建設內(nèi)容 1 6 1 網(wǎng)絡系統(tǒng)升級網(wǎng)絡系統(tǒng)升級 北洺河鐵礦的網(wǎng)絡架構按分層設計方法重新規(guī)劃設計 更換網(wǎng)絡中所有交換機 部分原有交換機可根據(jù)甲方要求進行利舊 辦公自動化和網(wǎng)站服務器兩臺進行更換 其 余四臺利舊 將機房內(nèi)所有的網(wǎng)絡設備及服務器統(tǒng)一安裝在標準網(wǎng)絡機柜或服務器 機柜內(nèi) 并配備 KVM 鼠標 鍵盤等 集中進行管理 辦公樓的接入層交換機安裝 在機房內(nèi)的網(wǎng)絡機柜中 其它區(qū)域內(nèi)的接入層交換機安裝在相應配線間的網(wǎng)絡機柜 北洺河鐵礦計算機網(wǎng)絡升級改造項目 12 中科軟科技股份有限公司 內(nèi) 所有接入層交換機均通過光纜與核心交換機級聯(lián) 在辦公樓 食堂 服務樓和 化驗樓等地的會議室或樓道安裝 AP 并配備無線控制器等相關設備 實現(xiàn)有線網(wǎng) 絡的補充 1 6 2 網(wǎng)絡安全系統(tǒng)網(wǎng)絡安全系統(tǒng) 北洺河鐵礦網(wǎng)絡安全系統(tǒng)重點考慮上網(wǎng)行為管理 需要建立一套完整可行的網(wǎng) 絡安全與管理策略 將內(nèi)部網(wǎng)絡不同區(qū)域進行有效隔離 建立網(wǎng)絡的安全保護措施 保證系統(tǒng)安全 對網(wǎng)上服務請求內(nèi)容進行控制 使非法訪問在到達主機前被拒絕 加強合法用戶的訪問認證 同時將用戶的訪問權限控制在最低限度 全面監(jiān)視對公開 服務器的訪問 及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為 加強對各種訪問的 審計工作 詳細記錄對網(wǎng)絡 服務器的訪問行為 形成完整的系統(tǒng)日志備份與災難恢 復 對所有上網(wǎng)行為進行記錄 詳細記錄到每個 IP 的上網(wǎng)行為 當有入侵網(wǎng)絡的 行為以及出現(xiàn)內(nèi)網(wǎng)互相攻擊時 如掃描攻擊等 及時發(fā)出報警 并對目標機器進 行鎖定 并斷開其網(wǎng)絡連接 1 6 3 綜合布線系統(tǒng)綜合布線系統(tǒng) 按照國家和國際標準及規(guī)范 建立一套先進 完善的綜合布線系統(tǒng) 滿足北洺 河鐵礦辦公網(wǎng)絡的需求 支持各種數(shù)據(jù)通訊 多媒體技術以及信息管理系統(tǒng) 滿足 語音 數(shù)據(jù) 視頻等的傳輸 適應現(xiàn)代和未來技術的發(fā)展 要求所供產(chǎn)品質(zhì)量保證 25 年 布線范圍包括主工業(yè)園區(qū)和東 西風井工業(yè)園區(qū)的大部分房間 網(wǎng)絡覆蓋 范圍內(nèi) 房間房間 229229 個個 信息點有線 707 個 無線 21 個 共計 728 個 光纖布置共 4570 米 主工業(yè)園區(qū) 東 西風井工業(yè)園區(qū)的其他房間 井下 110m 水平 230m 水平 2 個運輸巷 借助安全六大系統(tǒng)環(huán)網(wǎng)實現(xiàn) 1 6 4 機房改造機房改造 為適應北洺河鐵礦信息化和數(shù)據(jù)集中的發(fā)展要求 規(guī)范機房建設與運維管理 北洺河鐵礦計算機網(wǎng)絡升級改造項目 13 中科軟科技股份有限公司 提高機房安全防護和集中管理水平 切實保障各信息系統(tǒng)安全穩(wěn)定運行 參照 GB50174 2008 計算機機房設計規(guī)范 及相關標準 以 技術上先進 經(jīng)濟上合理 安全可靠實用 為原則 在充分利用和整合現(xiàn)有資源的基礎上 將北洺河鐵礦機房 改造建設成優(yōu)良的現(xiàn)代化計算機機房 機房改造內(nèi)容包括 1 機房裝飾裝修 2 UPS 及供電系統(tǒng) 3 接地防雷系統(tǒng) 4 空調(diào)及新風系統(tǒng) 5 機柜布置 6 機房環(huán)境監(jiān)測系統(tǒng) 7 門禁系統(tǒng) 8 視頻監(jiān)控系統(tǒng) 1 7項目設計參照的標準規(guī)范項目設計參照的標準規(guī)范 項目中所有涉及的設備 材料的采用 除本項目規(guī)定的技術參數(shù)和要求外 其 余均遵循最新版的國家標準 GB 行業(yè)標準和國際單位制 SI 本項目的設計及產(chǎn)品滿足本招標規(guī)定的技術參數(shù)和要求以及如下專用標準 GB50311 2007 綜合布線系統(tǒng)工程設計規(guī)范 GB50312 2007 綜合布線系統(tǒng)工程驗收規(guī)范 GB T9771 通信用單模光纖系列 GB4793 2001 測量 控制和試驗室用電氣設備的安全要求 GB4943 2001 信息技術設備的安全 GBJ232 82 電氣裝置工程施工及驗收規(guī)范 GB 2887 2000 電子計算機場地通用規(guī)范 GB50174 2000 電子計算機場地設計規(guī)范 GB9361 1998 計算站場安全要求 SJ T10796 1996 計算機機房用活動地板技術條件 GB50057 94 建筑防雷設計規(guī)范 北洺河鐵礦計算機網(wǎng)絡升級改造項目 14 中科軟科技股份有限公司 SJ T30003 93 電子計算機機房施工及驗收規(guī)范 GB50054 95 低壓配電設計規(guī)范 YT T5015 95 電信工程制圖與圖形符號 JGJ T 16 1992 民用建筑電氣設計規(guī)范 GB50198 94 民用閉路電視監(jiān)視系統(tǒng)工程技術規(guī)范 GA T75 94 安全防范工程程序和要求 GA T74 94 安全防范系統(tǒng)通用圖形符號 GB12663 90 防盜報警控制器通用技術條件 GB10408 1 98 入侵探測器通用技術條件 GB T50314 2000 智能建筑設計標準 GB50174 93 電子計算機機房設計規(guī)范 GB50057 94 建筑物防雷設計規(guī)范 GBJ232 92 電氣裝置安裝工程施工及驗收規(guī)范 GBJ116 88 火災自動報警系統(tǒng)設計規(guī)范 GA305 2001 電氣安裝用阻燃 PVC 塑料平導管通用技術條件 GA385 2002 火災聲和 或光報警器 YDJ44 89 電信網(wǎng)光纖數(shù)字傳輸系統(tǒng)工程施工及驗收規(guī)定 GB16423 2006 金屬非金屬礦山安全規(guī)程 YD T 1170 2001 中華人民共和國通信行業(yè)標準 IP 網(wǎng)絡技術要求 網(wǎng)絡總體 YD T 1171 2001 中華人民共和國信息產(chǎn)業(yè)部頒布的中華人民共和國通信行業(yè) 標準 IP 網(wǎng)絡技術要求 網(wǎng)絡性能參數(shù)與指標 YD T 1149 2001 中華人民共和國信息產(chǎn)業(yè)部頒布的中華人民共和國通信行業(yè) 標準 IP 網(wǎng)絡安全技術要求 安全框架 YD T 1162 1 2001 中華人民共和國信息產(chǎn)業(yè)部頒布的中華人民共和國通信 行業(yè)標準 多協(xié)議標記交換 MPLS 總體技術要求 中華人民共和國信息產(chǎn)業(yè)部頒布的中華人民共和國通信行業(yè)標準 基于網(wǎng)絡的 虛擬 IP 專用網(wǎng) IP VPN 框架 GB T 17963 1999 中華人民共和國國家標準 信息技術 開放系統(tǒng)互連 網(wǎng) 絡層安全協(xié)議 北洺河鐵礦計算機網(wǎng)絡升級改造項目 15 中科軟科技股份有限公司 GB T 17965 2000 中華人民共和國國家標準 信息技術 開放系統(tǒng)互連 高 層安全模型 YD T 1099 2001 中華人民共和國通信行業(yè)標準 千兆比以太網(wǎng)交換機設備 技術規(guī)范 GB T20270 2006 信息安全技術 網(wǎng)絡基礎安全技術要求 GB T20271 2006 信息安全技術 信息系統(tǒng)通用安全技術要求 GA T671 2006 信息安全技術 終端計算機系統(tǒng)安全等級技術要求 GB T20269 2006 信息安全技術 信息系統(tǒng)安全管理要求 GB T20282 2006 信息安全技術 信息系統(tǒng)安全工程管理要求 除上述規(guī)范以外 還遵循行業(yè)企業(yè)現(xiàn)行的規(guī)范和標準要求 北洺河鐵礦計算機網(wǎng)絡升級改造項目 16 中科軟科技股份有限公司 第二章第二章 網(wǎng)絡網(wǎng)絡和安全和安全系統(tǒng)設計系統(tǒng)設計 2 1網(wǎng)絡系統(tǒng)網(wǎng)絡系統(tǒng)設計原則設計原則 統(tǒng)一規(guī)劃網(wǎng)絡連接 網(wǎng)絡設計符合國際標準 包括 IEEE802 3 EIA ISO 等 并且貫穿網(wǎng)絡優(yōu)化 網(wǎng)絡擴展等各個方面 網(wǎng)絡交換設備支持 VLAN 劃分功能 從而增加網(wǎng)絡的可管理性 安全性以 及改善網(wǎng)絡性能 消除網(wǎng)絡瓶頸 網(wǎng)絡骨干節(jié)點具有分擔網(wǎng)絡流量 使網(wǎng)絡負載合理分配到 各個骨干節(jié)點設備上 優(yōu)化網(wǎng)絡的性能 需要合理調(diào)配網(wǎng)絡的資源 最大程度上提高網(wǎng)絡使用率 保證正常工作和 Internet 的安全可靠訪問 預留足夠的網(wǎng)絡端口 合理地擴充網(wǎng)絡規(guī)模 網(wǎng)絡具有高可管理性 需要考慮在多種情況下的網(wǎng)絡的安全性 可靠性 合理的性能價格比 在合理情況下 考慮網(wǎng)絡 3 層 4 層功能 綜上所述 網(wǎng)絡平臺的設計原則可以概括為 經(jīng)濟實用 穩(wěn)定可靠 量體裁衣 易于擴充經(jīng)濟實用 穩(wěn)定可靠 量體裁衣 易于擴充 2 2網(wǎng)絡系統(tǒng)架構網(wǎng)絡系統(tǒng)架構 根據(jù)北洺河鐵礦網(wǎng)絡覆蓋范圍大 網(wǎng)絡節(jié)點分散等特點 北洺河鐵礦整個網(wǎng) 絡采用層次化設計方法 建議進行扁平化設計 結合目前現(xiàn)有情況和布線特點選擇 三層邏輯結構 二層物理結構的網(wǎng)絡結構 或叫做緊縮型網(wǎng)絡結構 緊縮骨干網(wǎng) collapsed backbone 一般應用于企業(yè)園區(qū)網(wǎng)絡中 緊縮骨干網(wǎng) 包括一臺或多臺第 3 層交換機 在核心交換機上完成核心層和分布層的工作 在邏 輯上整個網(wǎng)絡按照分層化結構設計 分為核心層 分布層 接入層 各配線間到達 網(wǎng)絡機房的物理線路充足 按照節(jié)約成本 提高效率得原則 把邏輯上三層結構中 北洺河鐵礦計算機網(wǎng)絡升級改造項目 17 中科軟科技股份有限公司 得核心層和分布層集中在高性能的三層交換設備上 這樣 即節(jié)省了設備和管理成 本 又提高了原本分布層和核心層之間得數(shù)據(jù)傳輸帶寬 方便了管理維護 因此就 形成了三層邏輯結構 二層物理結構的緊縮型網(wǎng)絡結構 核心交換機采用模塊化結構 有很強的網(wǎng)絡擴展能力 還擁有較高的背板帶 寬和轉(zhuǎn)發(fā)速率 以保證數(shù)據(jù)的無阻塞轉(zhuǎn)發(fā)和路由 接入層交換機選用 帶管理型 二層交換機 通過層次化的網(wǎng)絡設計 網(wǎng)絡的不同層次設備承擔不同的任務 使整個網(wǎng)絡結 構清晰 便于維護和管理 便于以后的網(wǎng)絡擴展 網(wǎng)絡系統(tǒng)拓撲圖網(wǎng)絡系統(tǒng)拓撲圖 北洺河鐵礦計算機網(wǎng)絡升級改造項目 18 中科軟科技股份有限公司 北洺河鐵礦計算機網(wǎng)絡升級改造項目 北洺河鐵礦網(wǎng)絡根據(jù)各網(wǎng)絡部分的職能不同劃分為 網(wǎng)絡接入?yún)^(qū) 核心交換 區(qū) 服務器區(qū)和辦公區(qū) 1 網(wǎng)網(wǎng)絡絡接接入入?yún)^(qū)區(qū) 網(wǎng)絡接入?yún)^(qū)是北洺河鐵礦與互聯(lián)網(wǎng)的連接區(qū)域 在網(wǎng)絡接入?yún)^(qū)已部署路由器連接五礦邯邢礦業(yè)有限公司專線 在接入?yún)^(qū)以透明橋接模式部署一臺網(wǎng)康上網(wǎng)行為管理系統(tǒng)NS ICG 3000 40 審計 管控和規(guī)范礦山內(nèi)部的終端上網(wǎng)行為 同時 在邯邢礦業(yè)專線出口處部署一臺 網(wǎng)康互聯(lián)網(wǎng)控制網(wǎng)關 NS ICG5000 PR 采用透明橋接模式 不改變現(xiàn)有網(wǎng)絡結構 主要記錄 審計和管控通過專線 互聯(lián)的各下屬礦山 單位的上網(wǎng)行為 實現(xiàn)優(yōu)化網(wǎng)絡 合理分配帶寬 2 核核心心交交換換區(qū)區(qū) 核心交換區(qū)負責連接各個網(wǎng)絡區(qū)域 并對所有區(qū)域間的數(shù)據(jù)流量進行集中轉(zhuǎn) 發(fā) 辦公樓的網(wǎng)絡交換機 集中在主機房機柜中 便于管理 其它建筑物 均通過 光纜連接 并在各建筑物的分機房放置網(wǎng)絡交換機 及配線材料 部署兩臺高性能三層交換機 Cisco WS 4507R E 作為核心交換機 核心交換機 間通過兩對千兆以太網(wǎng)光口建立起 channel 連接 共同組成核心交換機組 相互 備份并實現(xiàn)負載均衡 兩臺核心交換機都將配置雙電源加強設備運行的穩(wěn)定性 在核心交換機上根據(jù)系統(tǒng)的不同劃分 VLAN 將不同系統(tǒng)隔離開 避免了廣 播風暴和局域網(wǎng)病毒的泛濫 并加強了數(shù)據(jù)的隔離 同時在核心交換機上啟用三 層路由協(xié)議 負責各個區(qū)域之間數(shù)據(jù)流量的集中轉(zhuǎn)發(fā) 針對辦公區(qū) 將在核心交換機上啟用 VRRP 協(xié)議 為辦公區(qū)的數(shù)據(jù)傳輸提供 冗余連接和可靠性的保障 本本期期項項目目暫暫時時先先部部署署一一臺臺 Cisco WS 4507R E 作作為為核核心心交交換換機機 條條件件成成熟熟時時可可 追追加加一一臺臺 Cisco WS 4507R E 安安裝裝設設計計思思路路無無縫縫升升級級 3 服服務務器器區(qū)區(qū) 服務器區(qū)放置著企業(yè)核心業(yè)務原有服務器和各類管理服務器 包括網(wǎng)站 OA K3 系統(tǒng) 質(zhì)量管理 DIMINE 水紋檢測 環(huán)境監(jiān)測監(jiān)控系統(tǒng)和門禁系統(tǒng) 上網(wǎng)行為管理系統(tǒng)和硬盤錄像機等各類服務器和主機 4 辦辦公公區(qū)區(qū) 北洺河鐵礦計算機網(wǎng)絡升級改造項目 20 中科軟科技股份有限公司 連接辦公區(qū)的接入交換機 Cisco Catalyst 2960S 直接連到核心交換機 為辦 公終端的數(shù)據(jù)通信提供 保障 在辦公樓 食堂 服務樓和化驗樓等地的會議室或樓道安裝 AP 并配備無線 控制器等相關設備 實現(xiàn)有線網(wǎng)絡的補充 2 3IP 地址規(guī)劃地址規(guī)劃 IP 地址的合理分配是保證網(wǎng)絡順利運行和網(wǎng)絡資源有效利用的關鍵 充分考 慮到地址空間的合理使用 保證實現(xiàn)最佳的網(wǎng)絡內(nèi)地址分配及業(yè)務流量的均勻分 布 IP 地址空間的分配與合理使用與網(wǎng)絡拓撲結構 網(wǎng)絡組織及路由策略有非常 密切的關系 通常合理的地址規(guī)劃是使連續(xù)的地址盡量集中在一個區(qū)域內(nèi) 因此 核心層應象一個區(qū)域或一個節(jié)點一樣 被分配一段連續(xù)的地址 更進一步 連接進 某一區(qū)域的節(jié)點的 IP 地址范圍應集中在該區(qū)域的地址范圍附近 為保證礦山辦公網(wǎng)絡系統(tǒng)之間數(shù)據(jù)傳輸?shù)目尚行砸约澳芨玫膶崿F(xiàn)路由策略 同時避免出現(xiàn)過于復雜的配置為日后管理維護造成不便降低并降低網(wǎng)絡性能 對于 北洺河鐵礦網(wǎng)絡系統(tǒng)的 IP 地址分配將統(tǒng)一分配 北洺河鐵礦的 IP 地址采用私有地址 由公司統(tǒng)一自動分配 使用私有 IP 地址 空間可以確保專有網(wǎng)絡的 IP 地址不會與 Internet 上的公有地址發(fā)生沖突 便于與 Internet 的互連 并在一定程度上避免內(nèi)部私有網(wǎng)絡遭受外界使用非法手段訪問和 攻擊 在層次結構上首先按公司規(guī)劃進行總體劃分 然后再樓宇 樓層或部門等行 政區(qū)域進行詳細分配 2 4VLAN設計設計 2 4 1 VLAN劃分劃分 為了減少傳輸沖突 提高系統(tǒng)整體性能和網(wǎng)絡處理能力 另外 還考慮到網(wǎng)絡 良好的管理性 易于維護和安全策略的實施 針對用戶網(wǎng)絡系統(tǒng)的實際情況 可以 把功能 應用 相近的設備群組劃分到同一 VLAN 不同部門的設備劃分到不同 北洺河鐵礦計算機網(wǎng)絡升級改造項目 21 中科軟科技股份有限公司 VLAN 中去 這樣就能夠通過訪問控制列表技術實施安全策略 限制未授權的用戶 訪問重要的服務器和數(shù)據(jù)庫 根據(jù) VLAN 劃分原則 建議把不同業(yè)務類型和應用功能的服務器 如網(wǎng)站 OA k3 系統(tǒng) 上網(wǎng)行為管理等 根據(jù)功能組別劃分在不同的 VLAN 內(nèi) 這些服務器 專用 VLAN 只對授權的計算機開放訪問 非授權的計算機將被訪問列表阻隔 局域 網(wǎng)用戶與中心機房的其它計算機劃分在不同的 VLAN 中 為保障應用和數(shù)據(jù)的訪問 安全 可以限制普通用戶只能訪問應用服務器所在的 VLAN 并通過應用服務器來 訪問數(shù)據(jù)庫 同時不同部門的計算機可根據(jù)需要劃分不同的 VLAN 例如財務部與 其它部門劃分在不同 VLAN 內(nèi) 礦區(qū)礦區(qū) VlanVlan 劃分表劃分表 序 號 部門名稱VLAN 中部門簡稱 VLAN ID IP 段掩碼 1 調(diào)度室 安全管理科 DDS AQGL1010 5 80 0255 255 255 128 2 機械動力科 機動科倉庫 80 噸磅房 100 噸磅房 jxdl 80 100 1110 5 80 128255 255 255 128 3 財務科 CWK1210 5 81 0255 255 255 128 4 工程管理科 GCGL1310 5 81 128255 255 255 128 5 人力資源科 RLZY1410 5 82 0255 255 255 128 6 工會委員會 紀檢監(jiān)審科 GH JJJS1510 5 82 128255 255 255 128 7 生產(chǎn)技術計劃科 SCJSJH1610 5 83 0255 255 255 128 8 礦領導 KLD1710 5 83 128255 255 255 128 9 礦長辦公室 黨委工作部 工農(nóng)辦 BGS DWGZB GNB1810 5 84 0255 255 255 128 10 營銷科 經(jīng)營預算科 汽車隊 YXK JYYS QCD1910 5 84 128255 255 255 128 11 地質(zhì)測量科 DZCL2010 5 85 0255 255 255 128 12 信息中心 XXZX2110 5 85 128255 255 255 128 13 選礦車間 化驗室 選礦調(diào)度 保衛(wèi)科 XKCJ BWK XKDD2210 5 86 0255 255 255 128 14 行政事務科 XZSW2310 5 86 128255 255 255 128 15 開拓工區(qū) KTGQ2410 5 87 0255 255 255 128 16 采準車間 CZCJ2510 5 87 128255 255 255 128 17 采礦車間 CKCJ2610 5 88 0255 255 255 128 18 運輸車間 YSCJ2710 5 89 0255 255 255 128 19 提升車間 TSCJ2810 5 89 128255 255 255 128 20 維修車間 WXCJ2910 5 90 128255 255 255 128 21 動力車間 DLCJ3010 5 91 0255 255 255 128 北洺河鐵礦計算機網(wǎng)絡升級改造項目 22 中科軟科技股份有限公司 22 110 萬伏變電站 110W3110 5 91 128255 255 255 128 23 文化中心 WHZX3210 5 92 0255 255 255 128 24 東風井 DFJ3310 5 92 128255 255 255 128 25 西風井 XFJ3410 5 93 0255 255 255 128 26 物資供應科 供應科倉庫 供應科新倉庫 WZGY3510 5 93 128255 255 255 128 27 主井 副井 ZJ FJ3610 5 94 0255 255 255 128 28 井下 230 110 水平 JX230 1103710 5 94 128255 255 255 128 29 服務器 SERVER3810 5 90 0255 255 255 128 30 預留 OPEN3910 5 95 0255 255 255 128 31 設備互聯(lián)地址 10 5 95 192255 255 255 224 32 設備管理地址 110 5 95 224255 255 255 224 業(yè)務地址規(guī)劃 10 5 80 0 10 5 95 191 設備互聯(lián)地址 10 5 95 192 10 5 95 223 設備管理地址 10 5 95 224 10 5 95 254 VLAN 劃分說明 VLAN 的劃分最終以甲方的需求為準 2 4 2 VLAN之間路由實現(xiàn)之間路由實現(xiàn) 在劃分了 VLAN 的環(huán)境下 各 VLAN 成員之間不能直接訪問 不同 VLAN 之間的 流量必須經(jīng)過路由 這一功能可以由三層以太網(wǎng)交換機的多層交換引擎來完成 在用戶網(wǎng)絡系統(tǒng)設計中 VLAN 的劃分可以在核心交換機 樓層交換機上的端 口進行劃分 不同的交換機端口所連接的設備屬于不同的 VLAN 而 VLAN 之間的路 由則由具有三層功能的核心交換機來完成 2 4 3 VLAN之間安全控制之間安全控制 在用戶網(wǎng)絡系統(tǒng)中 由于在核心使用了三層核心交換機 因此所有的 VLAN 之 間的訪問都需要通過三層核心交換機進行 因此可以通過 ACL 訪問控制列表 控 制 VLAN 之間的流量 這樣就可以允許高優(yōu)先級的 VLAN 段訪問低優(yōu)先級的 VLAN 段 而低優(yōu)先級的 VLAN 段不能訪問或有限的訪問高優(yōu)先級 VLAN 段 北洺河鐵礦計算機網(wǎng)絡升級改造項目 23 中科軟科技股份有限公司 2 4 4 VTP設計設計 當網(wǎng)絡中交換機數(shù)量較多時 需要分別在每臺交換機上創(chuàng)建很多重復的 VLAN 工作量大 過程繁瑣 并且容易出錯 由于本次網(wǎng)絡中使用的全部交換機都 為 Cisco 的產(chǎn)品 所以將使用 Cisco 的專有協(xié)議 VLAN 中繼協(xié)議 VTP 來解 決這個問題 Cisco 公司專有的 VTP 協(xié)議能夠從一個中心控制點開始 維護整個企業(yè)網(wǎng)絡 上 VLAN 的添加 刪除和重命名工作 確保配置的一致性 可以減少在數(shù)量眾多的 交換機上配置 VLAN 相關的管理任務 降低認為因素導致的 VLAN 配置不一致現(xiàn)象 例如 VLAN 配置錯誤 名稱不統(tǒng)一等 降低了配置的復雜性 配置 VTP 修建是為了減少在中繼端口上不必要的信息量 VTP 通過修剪 來減 少沒有必要擴散的 VLAN 廣播數(shù)據(jù)流量 提高中繼鏈路的帶寬利用率 VTP 的口令是為了保證 VTP 域的安全 設置了口令之后 除非交換機設置了正 確的口令 否則 新交換機不能自動加入到已存在的管理域中 可以避免 VLAN 被 錯誤或惡意地增加 刪除 2 5路由規(guī)劃路由規(guī)劃 2 5 1 局域網(wǎng)內(nèi)路由規(guī)劃局域網(wǎng)內(nèi)路由規(guī)劃 本項目網(wǎng)絡系統(tǒng)建議采用開放最短路徑優(yōu)先協(xié)議 Open Shortest Path first OSPF 作為全網(wǎng)的路由協(xié)議 OSPF 是由 Internet 工程任務組 IETF 開發(fā)的路由 選擇協(xié)議 OSPF 協(xié)議是一個鏈路狀態(tài)協(xié)議 正如它的命名所描述的 OSPF 使用 Dijkstra 最短路徑優(yōu)先算法 SFP 而且是開放的標準 這里所說的開放是指它不屬 于任何一個廠商或組織所私有 像所有的鏈路狀態(tài)協(xié)議一樣 OSPF 協(xié)議和距離矢量協(xié)議相比 一個主要的改 善就在于它的快速收斂 這樣使 OSPF 協(xié)議可以支持更大型的互連網(wǎng)絡并且不容易 受到有害路由選擇信息的影響 在大型企業(yè)網(wǎng)絡中選用 OSPF 路由協(xié)議的原因主要是 1 對于 OSPF 路由協(xié)議 路由表中表示目的網(wǎng)絡的參數(shù)為 Cost 該參數(shù)為一 虛擬值 與網(wǎng)絡中鏈路的帶寬等相關 也就是說 OSPF 路由信息不受物理設備跳數(shù) 北洺河鐵礦計算機網(wǎng)絡升級改造項目 24 中科軟科技股份有限公司 限制 并且 OSPF 路由協(xié)議還支持 TOS Type of Service 路由 因此 OSPF 比 較適合應用于大型網(wǎng)絡中 2 OSPF 是一種鏈路狀態(tài)的路由協(xié)議 當網(wǎng)絡比較穩(wěn)定時 網(wǎng)絡中的路由信息 是比較少的 并且其廣播也不是周期性的 因此 OSPF 路由協(xié)議即使是在大型網(wǎng)絡 中也能夠較快地收斂 3 OSPF 路由協(xié)議支持路由驗證 只有互相通過路由驗證的路由器之間才能交 換路由信息 并且 OSPF 可以對不同的區(qū)域定義不同的驗證方式 提高網(wǎng)絡的安全 性 4 OSPF 路由協(xié)議對負載分擔的支持性能較好 OSPF 路由協(xié)議支持多條 Cost 相同的鏈路上的負載分擔 目前一些廠家的路由器支持 6 條鏈路的負載分擔 5 在 OSPF 路由協(xié)議中 每一個區(qū)域中的路由器都按照該區(qū)域中定義的鏈路 狀態(tài)算法來計算網(wǎng)絡拓撲結構 這意味著每一個區(qū)域都有著該區(qū)域獨立的網(wǎng)絡拓撲 數(shù)據(jù)庫及網(wǎng)絡拓撲圖 對于每一個區(qū)域 其網(wǎng)絡拓撲結構在區(qū)域外是不可見的 同 樣 在每一個區(qū)域中的路由器對其域外的其余網(wǎng)絡結構也不了解 這意味著 OSPF 路由域中的網(wǎng)絡鏈路狀態(tài)數(shù)據(jù)廣播被區(qū)域的邊界擋住了 這樣做有利于減少網(wǎng)絡中 鏈路狀態(tài)數(shù)據(jù)包在全網(wǎng)范圍內(nèi)的廣播 也是 OSPF 將其路由域或一個 AS 劃分成很多 個區(qū)域的重要原因 2 5 2 互聯(lián)路由互聯(lián)路由 和公司網(wǎng)絡的連接采用靜態(tài)路由 即北洺河鐵礦網(wǎng)絡以默認路由方式指向上級 公司路由器 2 6 無線網(wǎng)絡系統(tǒng)無線網(wǎng)絡系統(tǒng) 北洺河鐵礦網(wǎng)絡系統(tǒng)中 WLAN 采用集中管理架構下的 瘦 AP 無線網(wǎng)絡架構 以保證無線網(wǎng)絡可管理性 安全性 QoS 無縫漫游等功能需求 尤其是方便未來 的運維管理 無線網(wǎng)絡在滿足現(xiàn)有網(wǎng)絡應用的同時 保證對未來網(wǎng)絡技術和應用的支持 如 IPv6 無線話音 無線視頻 組播等技術的支持 以滿足日常辦公和運營管理的要 求 北洺河鐵礦計算機網(wǎng)絡升級改造項目 25 中科軟科技股份有限公司 無線控制器 無線控制器 采用 CT5500 無線管理器 Cisco 5500 系列無線控制器實現(xiàn)無線 配置和管理功能的自動化 為網(wǎng)絡管理員提供更強的可視性和更大的控制能力 讓 管理員更有成本效益地管理無線網(wǎng)絡和保障無線網(wǎng)絡安全 本控制器作為思科一 體化無線網(wǎng)絡 Cisco Unified Wireless Network 的一個組件 提供 Cisco Aironet 無線接入點 Cisco 無線控制系統(tǒng) Wireless Control System WCS 與 Cisco 移動 服務引擎 Mobility Services Engine 之間的實時通信 同時還提供集中化安全策略 無線入侵防御系統(tǒng) IPS 能力 獲獎的 RF 管理 以及高質(zhì)量服務 QoS 無線無線 AP 室內(nèi)采用 CAP3502E 無線接入點 無線連接速度達到 300M 采用 Cisco CleanAir 技術的 Cisco Aironet 3500 系列接入點是業(yè)界首個 802 11n 接入點 可用于創(chuàng)建自行恢復 自行優(yōu)化的無線網(wǎng)絡 CleanAir technology 技術是思科統(tǒng)一無線網(wǎng)絡的一個系統(tǒng)范圍功能 可檢測其他系統(tǒng)無法識別的 RF 干 擾 識別干擾源 在地圖上確定干擾源位置 進行自動調(diào)整來優(yōu)化無線覆蓋 從而 提高空氣介質(zhì)質(zhì)量 這些創(chuàng)新性接入點為關鍵任務移動性提供最高性能的 802 11n 連接 3500 系列通過以智能方式避免干擾 為 802 11n 網(wǎng)絡提供性能保護 以幫 助確保實現(xiàn)可靠的應用程序交付 AP 均配有雙外置天線并根據(jù)現(xiàn)場要求用輔以饋 線鏈接 2 7設備命名規(guī)范設備命名規(guī)范 網(wǎng)絡設備的命名和連接規(guī)范如同綜合布線中線纜的標識 記錄一樣 都非常重 要的 良好的設備命名和連接 可以使網(wǎng)絡的結構清晰 幫助網(wǎng)絡管理員更方便地 管理網(wǎng)絡 提高網(wǎng)絡的可維護性 設置路由器和交換機等設備的名稱 也就是設置設備出現(xiàn)在 CLI 提示符中的 名字 一般以地理位置 型號或者用途來為交換機命名 當需要 Telnet 登陸到若 干臺設備上以維護一個大型網(wǎng)絡時 通過設備名稱提示符提示自己所調(diào)試的設備是 位于哪里的哪一臺設備 使很有必要的 從設備清單中可以看出 此次網(wǎng)絡建設中使用的網(wǎng)絡設備主要包括 3 種類型 上網(wǎng)行為管理設備 二層交換機和三層交換機 設備放置在主機房和井區(qū)設備間 因此 為了便于管理 我們提出設備的命名統(tǒng)一使用如下格式 網(wǎng)絡設備命名