QM_北控數(shù)據(jù)中心建設(shè)方案教學內(nèi)容

1、Good is good, but better carries it.精益求精，善益求善。QM_北控數(shù)據(jù)中心建設(shè)方案-數(shù)據(jù)中心建設(shè)方案需求提出：北京控股集團有限公司方案制作：北京啟迷科技有限公司制作時間：2014年7月10日第一部分方案設(shè)計說明一、項目工程范圍：地面、隔斷、吊頂?shù)葯C房環(huán)境裝修工程電氣工程（機房供配電、UPS）通風工程（空調(diào)系統(tǒng)）機房監(jiān)控報警系統(tǒng)機房防雷接地保護系統(tǒng)服務(wù)器、存儲及網(wǎng)絡(luò)設(shè)備的綜合部署與搭建綜合布線及聯(lián)合調(diào)試二、項目概況隨著計算機網(wǎng)絡(luò)系統(tǒng)技術(shù)和設(shè)備的更新?lián)Q代，安裝計算機及網(wǎng)絡(luò)系統(tǒng)設(shè)備的場地技術(shù)，即數(shù)據(jù)中心工程也在不斷地推陳出新。所采用的新材料、設(shè)備、工藝和技術(shù)，其目

2、的是為了更好地保證數(shù)據(jù)中心的溫度、濕度、潔凈度、照度、防靜電、防干擾、防震動、防雷電、及時監(jiān)控等，能充分滿足環(huán)境內(nèi)設(shè)備的安全可靠地運行，延長系統(tǒng)使用壽命的要求，同時又要給系統(tǒng)管理員創(chuàng)造一個安全、舒適的工作環(huán)境。因此，在設(shè)計上要求充分考慮環(huán)境布局、功能劃分、整體效果、裝飾風格和設(shè)備及系統(tǒng)部署，體現(xiàn)現(xiàn)代數(shù)據(jù)中心的特點和風貌。北京控股集團有限公司成立于2005年1月18日，是北京市委、市政府加快首都國有資本戰(zhàn)略調(diào)整、做大做強少數(shù)關(guān)鍵企業(yè)，對京泰（實業(yè)）集團有限公司、北京控股有限公司和北京市燃氣集團有限責任公司進行聯(lián)合重組而成立的國有獨資公司，是北京市最大的國有企業(yè)之一，也是市委、市政府和市國資委規(guī)劃

3、的首都基礎(chǔ)設(shè)施和公用事業(yè)投融資平臺。成立以來，北控集團實現(xiàn)利潤總額始終名列北京市屬國有企業(yè)首位，并入選“中國最大500家企業(yè)集團”、“中國企業(yè)500強”。北控集團的主要業(yè)務(wù)為城市基礎(chǔ)設(shè)施和公用事業(yè)的投資、運營和管理。公司旗下的紅籌股公司北京控股有限公司是北京市最大的海外上市企業(yè)（HK0392），擁有北京燃氣集團、首都機場高速路、北京第九水廠和燕京啤酒等眾多優(yōu)質(zhì)企業(yè)。其中，北京燃氣集團是全國最大的城市燃氣運營企業(yè)，供氣量占全北京市年用氣量的96%以上；首都機場高速路被稱為國門第一路，是目前連接首都國際機場與北京市中心的主要道路；北京第九水廠是目前北京市最大的地表水廠，其一期工程的自來水供應(yīng)規(guī)模約

4、占北京市的五分之一。在今后的發(fā)展中，北控集團將按照“能源合一、服務(wù)合一”的經(jīng)營模式，打造以燃氣為核心，以公用事業(yè)為主業(yè)，氣、熱、水、路多個強勢業(yè)務(wù)板塊彼此協(xié)同、相互支撐的業(yè)務(wù)格局，從而將自身打造成北京市綜合性城市公用事業(yè)建設(shè)運營服務(wù)商，為首都社會經(jīng)濟發(fā)展作出應(yīng)有的貢獻。數(shù)據(jù)中心裝修總面積約為200平方米。網(wǎng)絡(luò)接入為40MB光纖專線。集團企業(yè)郵局需要滿足300500用戶辦公應(yīng)用。其他需求可參照現(xiàn)有北控大廈17層機房。本方案編制的目的是為北京控股集團有限公司數(shù)據(jù)中心建設(shè)，提供較為完整的綱領(lǐng)性技術(shù)文件，一旦項目開展，我公司將在此基礎(chǔ)上進行深化，用以指導工程施工與管理，確保優(yōu)質(zhì)、高效、安全、文明地完成

5、該工程的建設(shè)任務(wù)。三、設(shè)計依據(jù)國家標準電子計算機機房設(shè)計規(guī)范(GB50174-93)國家標準計算站場地技術(shù)要求(GB2887-89)國家標準電子計算機機房施工及驗收規(guī)范(SJ/T30003-93)國家標準計算機機房活動地板的技術(shù)要求(GB6650-86)國家標準計算站場地安全技術(shù)(GB9361-88)國家標準電氣裝置安裝工程接地裝置施工及驗收規(guī)范(GB50169-92)中華人民共和國公共安全行業(yè)標準GA/T75-94安全防范工程程序與要求中華人民共和國計算機信息系統(tǒng)安全保護條例第二部分機房環(huán)境裝修設(shè)計一、隔斷工程隔斷采用不銹鋼邊框&12mm厚鋼化玻璃。鋼化玻璃隔斷近年正逐漸引入到網(wǎng)絡(luò)機房裝修中

6、。它具有隔音、隔熱、耐壓等特點，透視效果極佳，并增添機房的簡練與豪華感。整個機房四周的墻邊、墻角均做防水處理。玻璃與吊頂、地板交接處安裝亞光不銹鋼踢腳板線。機房及辦工區(qū)內(nèi)隔斷采用不銹鋼大框玻璃隔斷，隔斷與天花、地板交接處裝不銹鋼角線。二、地面工程機房地板采用架空地板，為使水泥砂漿地面達到不起塵、不產(chǎn)塵、保證空調(diào)送風系統(tǒng)的空氣潔凈度，地面需要先涮防塵漆做防塵處理。活動地板的種類較多，根據(jù)板基材料可分為：鋁合金、全鋼、中密度刨花板。它們的表面都是粘貼抗靜電貼面。我們?yōu)楸緳C房選用全鋼防靜電活動地板，可與地面裝飾效果相協(xié)調(diào)。地板安裝高度為0.3M。地板與墻體交界處用不銹鋼踢腳板封邊。機房大門入口處做踏

7、步鋪塑膠地板。三、門窗工程整個機房區(qū)及辦公區(qū)的不銹鋼無框玻璃隔斷上的門均為不銹鋼無框玻璃自由門。四、天花吊頂工程根據(jù)網(wǎng)絡(luò)機房的具體建筑結(jié)構(gòu)情況，整個機房為了確保機房的保溫和消防需要；全部采用微孔鋁制天花板進行鋪設(shè)，該天花板美觀、耐用，防火、防潮，同時與機房屏蔽網(wǎng)一起組成一個完整的屏蔽系統(tǒng)，具抗靜電、抗干擾的作用。為保持機房環(huán)境廉潔度和保持機房溫度均衡，建議采用鋁泊制保溫棉作天花、墻面、地面保溫使機房具有防潮、防塵、保溫的性能。五、墻面裝飾工程墻面處理是指采用在主機房建筑物的墻面、柱面上進行防塵、防潮、防水、保溫處理，同時使房屋內(nèi)部平整、光滑，清潔美觀，改善采用光條件，增強保溫、隔熱、隔音、防塵

8、等性能從而改善環(huán)境條件。主機房墻面、地面及梁面上刷防霉、防潮漆，涂防水油膏，進行防塵處理、確保潔凈度高、不產(chǎn)生粉塵、耐久性高、不產(chǎn)生龜裂、眩光，同時起到防水、防潮、防霉的效果。機房應(yīng)采用優(yōu)質(zhì)鋁塑板，在選擇墻面板材料時，要求能滿足屏蔽系統(tǒng)和等電位系統(tǒng)的需求。優(yōu)質(zhì)鋁塑板生產(chǎn)流程采用目前最新技術(shù)及工藝，外觀光亮，且性能價格比優(yōu)，因此優(yōu)質(zhì)鋁塑板無疑是最佳的方案。在現(xiàn)代科技及工業(yè)的高速發(fā)展，材料領(lǐng)域的廣泛應(yīng)用中，優(yōu)質(zhì)鋁塑板飾面光學效果，潔凈程度、安全性，施工質(zhì)量、施工條件均為最佳，優(yōu)質(zhì)鋁塑板還能滿足屏蔽系統(tǒng)的需求。施工時，我們主要有以下四個步驟進行：平整墻面，使用水泥沙漿找平，為下一步提供良好的工作面；

9、采用2mm厚的輕鋼龍骨，把它固定到墻面上，成為未來裝飾墻面的骨架，同時預(yù)留屏蔽接地的引出線，（分布在不同位置的六處地方，形成多點連接）；選取9mm的優(yōu)質(zhì)埃特板，固定到龍骨上；選取3mm的銀白色的鋁塑板沾在埃特板上，接封處采用銀白色玻璃膠封邊。第三部分配電系統(tǒng)設(shè)計一、主要考慮因素及設(shè)計方案系統(tǒng)能夠正常工作，不僅需要有良好的主設(shè)備、性能卓越的UPS電源和安全舒適的工作環(huán)境，還需要有一個設(shè)計合理、可靠性高的供配電系統(tǒng)。我們?yōu)樵擁椖靠紤]與設(shè)計的內(nèi)容如下：機房內(nèi)用電設(shè)備供電電源均為三相五線制及單相三線制，采用雙回路供電。用電設(shè)備作接地保護，并入土建大樓配電系統(tǒng)。機房用電設(shè)備、配電線路裝置過流過載兩段保護

10、，同時配電系統(tǒng)各級之間有選擇性地配合，配電以放射式向用電設(shè)備供電。機房配電系統(tǒng)所用電線阻燃聚氯乙烯絕緣導線，敷設(shè)噴塑橋架、鍍鋅鐵管及金屬軟管。機房的設(shè)備供電和空調(diào)照明供電分為兩個獨立回路，其中設(shè)備供電由UPS提供并按設(shè)備總用電量的1.3倍進行預(yù)留，而空調(diào)照明用電由市電提供并按空調(diào)設(shè)備的要求供配。機房內(nèi)照明裝置宜采用機房專用無眩光燈盤，照明亮度大于300LUX，事故照明亮度應(yīng)大于60LUX。機房內(nèi)的配電系統(tǒng)考慮了與應(yīng)急照明系統(tǒng)的自動切換。該機房電源進線正常時由市電供電,市電故障時由UPS供電，進線直接引入機房專用配電柜總輸入開關(guān)。機房設(shè)計了一個市電配電箱，對機房的市電進行配電，配電箱為機房專用標

11、準配電箱，配備低壓開關(guān)。柜內(nèi)配有市電備用回路，安裝防雷保護器。機房設(shè)計了UPS配電箱，對機房的UPS電進行配電，配電箱為機房專用標準配電箱，配備低壓開關(guān)。箱內(nèi)配有UPS電源備用回路，安裝防雷保護器。機房所有插座均采用普通電源插座和彈起式銅插座，普通電源插座安裝在墻壁上，彈起式電源插座安裝在防靜電地板上，美觀大方。二、配電設(shè)備及材料選型機房配電工程所需的配電柜、燈具、單相插座、蹺板開關(guān)、多聯(lián)萬用插座板、導線、電纜等均采用國產(chǎn)或進口的電氣優(yōu)質(zhì)產(chǎn)品，經(jīng)實踐證明產(chǎn)品質(zhì)量可靠。三、配電系統(tǒng)設(shè)計空調(diào)照明部分：該部分采用機房專用配電箱來完成，它接到總配電室送過來的市電電源，通過總電源開關(guān)，輸出到分支回路中。

12、UPS電源部分：該部分采用機房專用配電箱來完成，它接到UPS送過來的單路電源，通過100A總電源開關(guān)，輸出到分支回路中。四、UPS不間斷電源設(shè)計具體描述UPS的技術(shù)性能指標有四大類：1)對電網(wǎng)的適應(yīng)能力；2)滿足負載要求的UPS常規(guī)輸出指標；3)UPS的輸出能力和可靠性；4)智能管理和通信功能。a選擇大功率UPS兼顧考慮UPS的輸入功率因數(shù)和輸入電流諧波（電力公害問題）。b要考慮UPS的輸出能力。c要考慮效率與可靠性我們在本項目所采用的UPS不間斷電源需要滿足機房所有用電設(shè)備的額定需求。第四部分空調(diào)工程設(shè)計主機房、備用電源區(qū)域及監(jiān)控室，采用地板下送風，天花下自然回風。設(shè)置2臺制冷量不小于130

13、KW的下送風精密空調(diào)，采用一主一備冗余方式，可滿足溫濕度的要求。空調(diào)加濕水由同樓層（或下一樓層）供水管引入。冷凝排水通過專用排水管排到下一樓層。加濕水管進入機房前，在可操作的位置加裝開關(guān)閥門及電磁閥。在加濕水、冷凝排水的管道須避計算機放置區(qū)域，在機房內(nèi)經(jīng)過時，在機房內(nèi)圍繞計算機設(shè)備和配電設(shè)施放置區(qū)域，設(shè)置圍水堰，防止水漏入機房區(qū)間?？照{(diào)位置區(qū)設(shè)置防倒灌地漏。排氣系統(tǒng)的選擇依照機房功能分區(qū)的設(shè)立，我們設(shè)置各分區(qū)的排氣系統(tǒng)。它可以使機房工作人員有一個好的空氣環(huán)境條件，排氣系統(tǒng)采用吊頂天花內(nèi)安裝，不占用機房空間。我們?yōu)闄C房設(shè)計吸頂式排氣扇，設(shè)備間和工作間各裝2個，定時開啟，排除房間內(nèi)的污濁空氣。第五

14、部分機房監(jiān)控系統(tǒng)根據(jù)數(shù)據(jù)中心的安全及日常管理需要，我們考慮采用與大樓閉路監(jiān)控主機為主的安防系統(tǒng)，并主要針對數(shù)據(jù)中心的主機房、UPS配電室、監(jiān)控室、通道4個區(qū)域共安裝8-10個監(jiān)控攝像頭，用于視頻監(jiān)控，使得數(shù)據(jù)中心周邊及機房核心區(qū)域不留死角，充分保障數(shù)據(jù)中心安全。第六部分機房防雷接地方案一、前言網(wǎng)絡(luò)機房內(nèi)集中了大量微電子設(shè)備，而這些設(shè)備內(nèi)部結(jié)構(gòu)高度集成化（VLSI芯片），從而造成設(shè)備耐過電壓、耐過電流的水平下降，對雷電（包括感應(yīng)雷及操作過電壓）浪涌的承受能力下降。感應(yīng)雷侵入用電設(shè)備及計算機網(wǎng)絡(luò)系統(tǒng)的途徑主要有四個方面：交流電源380V、220V電源線引入；信號傳輸通道引入；地電位反擊以及空間雷閃

15、電磁脈沖(LEMP)等。為了確保機房設(shè)備及電腦網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠運行，以及保證機房工作人員有安全的工作環(huán)境，根據(jù)我國及國際有關(guān)規(guī)范規(guī)定，提出本防雷接地方案。二、設(shè)計依據(jù)1.建筑物防雷設(shè)計規(guī)范GB50057-942.電子計算機房設(shè)計規(guī)范GB50174-933.通信局(站)接地設(shè)計暫行技術(shù)規(guī)定YDJ26-894.計算機場站安全要求GB9361-885.計算站場地技術(shù)要求GB28876.電信專用房屋設(shè)計規(guī)范YD5003-941.民用建筑電氣設(shè)計規(guī)范JGJ/T16-928.CCITT藍皮書K.11建議過電壓和過電流防護的原則9.CCITT通信線路和通信設(shè)備的防雷手冊10.InterStandardIec

16、1312-1nationalProtectionAgainstLEMP11.InternationalStandardIEC1643-1SurgeProtectionDevices三、接地處理利用建筑物基礎(chǔ)地作防雷地及電源地?，F(xiàn)代建筑基礎(chǔ)使用大面積鋼筋綁扎，柱子主鋼筋及四周墻體鋼筋直通到達屋頂女兒墻防雷帶。其接地電阻值一般都能滿足GB5005794的要求，即4。機房一般有四種接地形式，即：計算機專用直流邏輯地、交流工作地、安全保護地、防雷保護地。本次設(shè)計考慮采用原接地極，并采用聯(lián)合接地方式；接地電阻應(yīng)小于歐姆。直流工作地在大樓計算機機房內(nèi)的布局，是作數(shù)字電路等電位地網(wǎng)（或邏輯接地接地網(wǎng)）。該網(wǎng)

17、用銅排在活動地板下，依據(jù)計算機設(shè)備布局，縱橫組成網(wǎng)格，配有專用接地端子，用編織軟銅線以最短的長度與計算機設(shè)備相連。計算機直流地需用接地干線引下至接地端子。四、供電系統(tǒng)根據(jù)有關(guān)規(guī)范，本方案設(shè)計該機房供配電防雷方案如下：一級防雷：配電柜電源進線處接大容通量的電源防雷器。變壓器的機殼、低壓側(cè)的交流零線以及與變壓器相連的電力電纜的金屬外護層應(yīng)就近接地。二級防雷：UPS配電箱引出的三根相線及零線接防雷器，箱內(nèi)交流零線不作重復(fù)接地。機房內(nèi)所布放的交流供電線路中的中性線（零線），應(yīng)采取絕緣導線。交流配電箱上的中性線（零線）匯集排應(yīng)與機架的正常不帶電金屬部分絕緣。三級防雷：使用專用的避雷電源插座。機房內(nèi)所有交

18、直流用電及配電設(shè)備均應(yīng)采取接地保護。交流保護接地線應(yīng)從接地匯集線上專引，嚴禁采用中性線作為交流保護接地線。五、使用防雷器注意事項防雷保護器必須通過接地端以盡可能短的路徑接地。主機房內(nèi)所有設(shè)備采有單點接地法，即所有地線全部接到直流接地匯集排上，再由匯集排與直流地網(wǎng)相連。設(shè)備安裝時，應(yīng)與大樓的外墻及柱子保持一定的安全距離。信號防雷器連接必須與數(shù)據(jù)進線方向一致。不同類型的數(shù)據(jù)傳輸線應(yīng)選用不同類型的保護器。六、方案設(shè)計根據(jù)網(wǎng)絡(luò)機房的實際情況，我們?yōu)榧追皆O(shè)計了一套獨立接地系統(tǒng)和防雷系統(tǒng)：防雷系統(tǒng)我們設(shè)計安裝2個電源避雷器，分別安裝在市電配電箱和UPS電源配電箱中，防止感應(yīng)雷對電源系統(tǒng)的攻擊，（對于直擊雷

19、，大樓避雷針系統(tǒng)進行防護）；接地系統(tǒng)中，我們在機房內(nèi)部防靜電地板下邊利用紫銅做一個等電位帶，為機房設(shè)備提供接地點，同時在大樓外側(cè)，我們利用鍍鋅角鋼和鍍鋅扁鐵建立獨立的接地網(wǎng)系統(tǒng)，兩者之間采用35平方毫米的銅導線連接，使之成為一體。第七部分服務(wù)器、存儲及網(wǎng)絡(luò)設(shè)備的綜合部署與搭建本數(shù)據(jù)中心需要滿足內(nèi)、外網(wǎng)的大量用戶與數(shù)據(jù)交互，涉及到互聯(lián)網(wǎng)、財務(wù)系統(tǒng)、辦公網(wǎng)絡(luò)的綜合業(yè)務(wù)處理，根據(jù)需求，拓撲結(jié)構(gòu)如下圖：其中核心交換機互相熱備、可切換。財務(wù)服務(wù)器做集群。存儲做陣列、并可互相熱備可切換。WEB服務(wù)器前后端分離，與OA服務(wù)器和郵件服務(wù)器均為一用一備，并通過虛擬化環(huán)境進行管理與維護。樓層間網(wǎng)絡(luò)交換與下屬公司、

20、外聯(lián)網(wǎng)絡(luò)做網(wǎng)段劃分。同時考慮到設(shè)備的采購成本、維護成本及使用成本和質(zhì)量與穩(wěn)定性，我們提供了兩套可選設(shè)備的選購范圍，主要區(qū)別為優(yōu)秀的國有自主品牌以及市場選用較多的國際化品牌，詳見“第九部分服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備采購方案”網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全部署思路本次信息建設(shè)雖然僅包括數(shù)據(jù)中心、內(nèi)網(wǎng)樓層以及廣域網(wǎng)中心部分的改造和建設(shè)，但也必須從全局和架構(gòu)的高度進行統(tǒng)一的設(shè)計。建議采用目前國際最新的“信息保障技術(shù)框架（IATF）”安全體系結(jié)構(gòu)，其明確提出需要考慮3個主要的因素：人、操作和技術(shù)。本技術(shù)方案著重討論技術(shù)因素，人和操作則需要在非技術(shù)領(lǐng)域（比如安全規(guī)章制度）方面進行解決。技術(shù)因素方面IATF提出了一個通用的框

21、架，將信息系統(tǒng)的信息保障技術(shù)層面分為了四個技術(shù)框架域：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的防護飛地邊界：解決邊界保護問題局域計算環(huán)境：主機的計算環(huán)境的保護支撐性基礎(chǔ)設(shè)施：安全的信息環(huán)境所需要的支撐平臺并提出縱深防御的IA原則，即人、技術(shù)、操作相結(jié)合的多樣性、多層疊的保護原則。如下圖所示：主要的一些安全技術(shù)和應(yīng)用在框架中的位置如下圖所示：我們在本次網(wǎng)絡(luò)建設(shè)改造中需要考慮的安全問題就是上圖中的“網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保護”、“邊界保護”兩個方面，而“計算機環(huán)境（主機）”、“支撐平臺”則是在系統(tǒng)主機建設(shè)和業(yè)務(wù)應(yīng)用建設(shè)中需要重點考慮的安全問題。設(shè)備級安全防蠕蟲病毒的等DOS攻擊數(shù)據(jù)中心雖然沒有直接連接Intern

22、et，但內(nèi)部專網(wǎng)中很多計算機并無法保證在整個使用周期內(nèi)不會接觸互聯(lián)網(wǎng)和各種移動存儲介質(zhì)，仍然會較多的面臨大量網(wǎng)絡(luò)蠕蟲病毒的威脅，比如RedCode，SQLSlammer等等，由于它們經(jīng)常變換特征，防火墻也不能完全對其進行過濾，它們一般發(fā)作的機理如下：利用MicrodsoftOS或應(yīng)用的緩沖區(qū)溢出的漏洞獲得此主機的控制權(quán)獲得此主機的控制權(quán)后，安裝病毒軟件，病毒軟件隨機生成大量的IP地址，并向這些IP地址發(fā)送大量的IP包。有此安全漏洞的MSOS會受到感染，也隨機生成大量IP地址，并向這些IP地址發(fā)送大量的IP包。導致阻塞網(wǎng)絡(luò)帶寬，CPU利用率升高等直接對網(wǎng)絡(luò)設(shè)備發(fā)出錯包，讓網(wǎng)絡(luò)設(shè)備CPU占用率升高

23、直至引發(fā)協(xié)議錯誤甚至宕機防VLAN的脆弱性配置在數(shù)據(jù)中心的不同安全域進行防火墻訪問控制隔離時，存在多個VLAN，雖然廣泛采用端口捆綁、vPC等技術(shù)使正常工作中拓撲簡化甚至完全避免環(huán)路，但由于網(wǎng)絡(luò)VLAN多且關(guān)系復(fù)雜，無法在工程上完全杜絕諸如網(wǎng)絡(luò)故障切換、誤操作造成的臨時環(huán)路，因此有必要運行生成樹協(xié)議作為二層網(wǎng)絡(luò)中增加穩(wěn)定性的措施。但是，當前有許多軟件都具有STP功能，惡意用戶在它的PC上安裝STP軟件與一個Switch相連，引起STP重新計算，它有可能成為STPRoot,因此所有流量都會流向惡意軟件主機,惡意用戶可做包分析。局域網(wǎng)交換機應(yīng)具有Rootguard（根橋監(jiān)控）功能，可以有效防止其它

24、Switch成為STPRoot。本項目我們在所有允許二層生成樹協(xié)議的設(shè)備上，特別是接入層中都將啟動RootGuard特性，另外Nexus5000/2000還支持BPDUfilters,BridgeAssurance等生成樹特性以保證生成樹的安全和穩(wěn)定。還有一些惡意用戶編制特定的STP軟件向各個Vlan加入，會引起大量的STP的重新計算，引起網(wǎng)絡(luò)抖動，CPU占用升高。本期所有接入層交換機的所有端口都將設(shè)置BPDUGuard功能，一旦從某端口接收到惡意用戶發(fā)來的STPBPDU,則禁止此端口。大量使用了三層交換機，在發(fā)送數(shù)據(jù)前其工作方式同路由器一樣先查找ARP，找到目的端的MAC地址，再把信息發(fā)往目

25、的。很多病毒可以向三層交換機發(fā)一個冒充的ARP,將目的端的IP地址和惡意用戶主機的MAC對應(yīng)，因此發(fā)往目的端的包就會發(fā)往惡意用戶，以此實現(xiàn)包竊聽。在Host上配置靜態(tài)ARP是一種防止方式，但是有管理負擔加重，維護困難，并當通信雙方經(jīng)常更換時，幾乎不能及時更新。本期所使用的所有三層交換機都支持動態(tài)ARPInspection功能，可動態(tài)識別DHCP，記憶MAC地址和IP地址的正確對應(yīng)關(guān)系，有效防止ARP的欺騙。實際配置中，主要配置對Server和網(wǎng)絡(luò)設(shè)備實施的ARP欺騙，也可靜態(tài)人為設(shè)定，由于數(shù)量不多，管理也較簡單。防止DHCP相關(guān)攻擊樓層網(wǎng)段會采用DHCPServer服務(wù)器提供用戶端地址，但是卻

26、面臨著幾種與DHCP服務(wù)相關(guān)的攻擊方式，它們是：DHCPServer冒用：當某一個惡意用戶再同一網(wǎng)段內(nèi)也放一個DHCP服務(wù)器時，PC很容易得到這個DHCPserver的分配的IP地址而導致不能上網(wǎng)。惡意客戶端發(fā)起大量DHCP請求的DDos攻擊：惡意客戶端發(fā)起大量DHCP請求的DDos攻擊，則會使DHCPServer性能耗盡、CPU利用率升高。惡意客戶端偽造大量的MAC地址惡意耗盡IP地址池應(yīng)采用如下技術(shù)應(yīng)對以上常見攻擊：防DHCPServer冒用：此次新采購的用戶端接入交換機應(yīng)當支持DHCPSnoopingVACL,只允許指定DHCPServer的服務(wù)通過，其它的DHCPServer的服務(wù)不能

27、通過Switch。防止惡意客戶端發(fā)起大量DHCP請求的DDos攻擊：此次新采購的用戶端接入交換機應(yīng)當支持對DHCP請求作流量限速，防止惡意客戶端發(fā)起大量DHCP請求的DDos攻擊，防止DHCPServer的CPU利用率升高。惡意客戶端偽造大量的MAC地址惡意耗盡IP地址池：此次新采購的用戶端接入交換機應(yīng)當支持DHCPoption82字段插入，可以截斷客戶端DHCP的請求，插入交換機的標識、接口的標識等發(fā)送給DHCPServer；另外DHCP服務(wù)軟件應(yīng)支持針對此標識來的請求進行限量的IP地址分配，或者其它附加的安全分配策略和條件。網(wǎng)絡(luò)級安全網(wǎng)絡(luò)級安全是網(wǎng)絡(luò)基礎(chǔ)設(shè)施在提供連通性服務(wù)的基礎(chǔ)上所增值的

28、安全服務(wù)，在網(wǎng)絡(luò)平臺上直接實現(xiàn)這些安全功能比采用獨立的物理主機實現(xiàn)具有更為強的靈活性、更好的性能和更方便的管理。本項目我司主要提供訪問控制和隔離（防火墻技術(shù)）。安全區(qū)域劃分數(shù)據(jù)中心安全域的劃分需要建立在對數(shù)據(jù)中心應(yīng)用業(yè)務(wù)的分析基礎(chǔ)之上，因而與前述的虛擬服務(wù)區(qū)的劃分原則一致。實際上按SODC的虛擬化設(shè)計原則，每一個虛擬服務(wù)區(qū)應(yīng)當對應(yīng)唯一的虛擬防火墻，也即對應(yīng)唯一的一個安全域。具體原則如下：同一業(yè)務(wù)一定要在一個安全域內(nèi)有必要進行安全審計和訪問控制的區(qū)域必須使用安全域劃分需要進行虛擬機遷移的虛擬主機要在一個安全域中劃分不宜過細，安全等級一致的業(yè)務(wù)可以在安全域上進行歸并，建議一期不超過5個安全域一般可

29、以劃分為：OA區(qū)，應(yīng)用服務(wù)區(qū)，數(shù)據(jù)庫區(qū)，開發(fā)測試區(qū)等。防火墻部署策略不同安全域之間的訪問控制策略由于虛擬化設(shè)計而只需考慮各個安全域內(nèi)出方向策略和入方向策略即可。建議初始策略依據(jù)如下原則設(shè)定，然后根據(jù)業(yè)務(wù)需求不斷調(diào)整：出方向上不進行策略限制，全部打開入方向上按“最小授權(quán)原則”打開必要的服務(wù)允許發(fā)自內(nèi)部地址的雙方向的ICMP，但對ICMP進行應(yīng)用檢查（Inspect）允許發(fā)自內(nèi)部地址的TraceRoute，便于網(wǎng)絡(luò)診斷關(guān)閉雙方向的TCPSeqRandomization，在數(shù)據(jù)中心內(nèi)的防火墻可以去除該功能以提高轉(zhuǎn)發(fā)效率減少或者不進行NAT，保證數(shù)據(jù)中心內(nèi)的地址透明性，便于ACE提供服務(wù)關(guān)閉nat-c

30、ontrol（此為默認），關(guān)閉xlate記錄，以保證并發(fā)連接數(shù)對每個虛擬防火墻的資源進行最大限定：總連接數(shù)，策略數(shù)，吞吐量，基于每個虛擬防火墻設(shè)定最大未完成連接數(shù)（EmbryonicConnection），將來升級到定義每客戶端的最大未完成連接數(shù)智能主動防御傳統(tǒng)的不停的打補丁和進行特征碼升級的被動防御手段已經(jīng)無法適應(yīng)安全防御的要求，必須由網(wǎng)絡(luò)主動的智能的感知網(wǎng)絡(luò)中的行為和事件，在發(fā)生嚴重后果之前及時通知安全網(wǎng)絡(luò)管理人員，甚至直接聯(lián)動相關(guān)的安全設(shè)備，進行提早措施，才能有效減緩危害。要實現(xiàn)這種智能的主動防御系統(tǒng)，需要網(wǎng)絡(luò)中進行如下部署：對桌面用戶的接入進行感知和相應(yīng)措施對桌面用戶的行為進行分析和感

31、知對全網(wǎng)安全事件、流量和拓撲進行智能的分析、關(guān)聯(lián)和感知對各種信息進行綜合分析然后進行準確的報告第八部分機房設(shè)備材料清單序號分項分部工程項目單位數(shù)量品牌一、機房裝修工程墻面及隔斷裝修工程1機房隔斷天地支架制作2機房鋼化玻璃隔斷制作3機房亞光不繡鋼板地腳線、天角線4墻面9mm厚中密度板底板5墻面輕鋼龍骨6機房鋁塑板墻面7墻面防塵、防潮處理工程地面工程1地面防塵、防潮漆2地臺保溫處理3無邊防靜電活動地板（600*600毫米）4抗靜電地板安裝輔板5辦公區(qū)地面整理工程6緩沖區(qū)塑膠地板天花及照明工程1微孔鋁扣板天花23*40W高級無眩光燈盤（含燈管）3消防疏散指示燈440W日光燈應(yīng)急器門窗工程1防火防盜門

32、2鋼化玻璃單門3玻璃門用高級拉手4門禁系統(tǒng)二、機房布線及配電工程1市電配電箱2100A/3P空氣開關(guān)363A/3P空氣開關(guān)416A/1P空氣開關(guān)5100A/3P空氣開關(guān)663A/3P空氣開關(guān)716A/1P空氣開關(guān)8電源插座（彈起式銅插座）9電源插座1010平方毫米電源線116平方毫米電源線124平方毫米電源線132.5平方毫米電源線14噴塑金屬保護線槽300*150*1.215其他輔助材料（線鼻、線耳等）三、機房設(shè)備1精密空調(diào)2吸頂式排氣扇3電池箱及連線4機房監(jiān)控系統(tǒng)（8-10監(jiān)控攝像頭）5標準機柜四、機房防雷接地工程1電源避雷器2防雷插座DNS-3D3地網(wǎng)保護器4避雷器安裝箱5避雷器保護開關(guān)6電話語音避雷子7銅導線8紫銅排等電位帶9直流接地地極10輔助材料第九部分服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備采購清單方案一：名稱品牌型號數(shù)量單價（元）合計（元）服務(wù)器OA服務(wù)器IBM2臺HR服務(wù)器IBM2臺檔案存儲服務(wù)器HP1臺檔案應(yīng)用服務(wù)器HP1臺WEB系統(tǒng)服務(wù)器IBM2臺郵件系統(tǒng)服務(wù)器IBM2臺財務(wù)服務(wù)器IBM7臺企業(yè)