河南省铁生沟煤矿安全监控系统技术设计方案(I).doc

河南省铁生沟煤矿安全监控系统技术设计方案北京合力金桥系统集成技术有限公司2005年7月28日目 录1概述41.1系统现状42合力金桥解决方案的主要特点和优势53需求分析73.1系统总体目标73.2基本需求73.2.1办公楼73.2.2局域网83.2.3广域网83.2.4主机系统83.3硬件系统需求分析计算83.3.1网络服务器系统处理能力估算83.3.2内存估算93.4设计原则104机房建设114.1设计说明114.1.1设计方案遵循原则114.1.2设计依据124.2空间设计124.3设备布置遵循原则124.4环境条件设计原则134.4.1温、湿度及空气含尘浓度134.4.2噪声、电磁干扰、振动及静电144.5室内装饰144.5.1吊顶、墙面144.5.2地面144.6热湿负荷说明154.7设备选择164.8电气技术164.8.1供配电164.9照明174.10静电防护184.11接地184.12综合布线设计195网络设计方案215.1网络拓扑结构215.2广域网设计225.2.1设备的安全性235.2.2控制口console的控制235.2.3远程登录telnet 的控制245.2.4用户的分级管理245.2.5因特网的安全控制：255.3IP地址分配255.4子网划分265.4.1VLAN技术：265.4.2VLAN 划分：285.4.3大屏幕投影系统305.5工程范围305.6系统功能305.7技术性能325.7.1投影屏幕325.7.2投影仪335.7.3网络图像处理器345.7.4切换矩阵365.7.5控制计算机及控制专用软件375.7.6无缝显示墙框架385.8安装条件396监控分中心计算机系统396.1工程概述396.2工程范围26.3功能要求26.4硬件及外设46.4.1计算机性能指标要求46.4.2网络设备56.4.3打印机66.4.4打印服务器76.4.5多串口设备76.5施工要求77综合布线87.1布线设计概述87.1.1综合布线的重要性87.1.2传统布线存在的问题87.1.3采用符合国际标准的结构化布线系统97.1.4结构化综合布线系统是一项较为复杂的系统工程97.1.5结构化综合布线系统97.2结构化综合布线系统设计说明117.2.1设计依据117.2.2设计目标和设备选型117.2.3布线规划设计思想127.2.4各系统的设计概述：121设备选型说明132信息点统计137.2.5布线系统工作内容178成功案例188.1公司完成的重大工程项目188.1.1系统集成部分188.1.2呼叫中心部分208.1.3综合实时计费218.1.4其他工程部分218.2部分系统集成项目简介221 概述1.1 系统现状为了保障河南省铁生沟煤矿安全监控系统工作的开展，集团需要建立一套稳定高效的安全生产监测监控网络，为集团提供可靠的硬件支持。集团的两座办公楼为企业这次需要建设项目的中心及核心，要承担起为集团提供各种应用服务，同时也为其它各地的煤矿公司提供应用系统支持。目前总部大楼还没有建立相应的监控及布线系统，各方面均不能满足企业的要求。2 合力金桥解决方案的主要特点和优势北京合力金桥系统集成有限公司是为适应大型开放式系统集成及软件开发的需要而于1996年11月成立的股份制企业，成立伊始即被北京市新技术开发试验区确认为高新技术企业。2001年6月成为香港上市公司“普纳集团有限公司”（1013）旗下的控股公司。基于我们丰富的计算机网络系统集成经验、成功案例。北京合力金桥系统集成有限公司的主要特点和优势：1 一流的系统集成商和智能楼宇施工单位公司坚持以软件技术和集成服务为立身之本，集中了数十位优秀高级工程师作为企业技术核心力量，集成国际上先进成熟的硬件和软件平台，开发符合国内用户需要的各类应用软件系统，以保证公司向用户提供的是先进而可靠的技术。在完成了诸多大型软件开发和系统集成项目的基础上，积累了丰富的软件开发和工程管理经验，形成了电信大型呼叫中心的设计实施、电信业务运营支撑系统、电信资源管理软件、复杂大型的电信网络系统的系统设计集成、大型电信计费软件的开发实施、数据网管系统设计调试，机房建设装修，弱电工程等雄厚的技术实力。合力金桥公司通过不懈的努力，公司已发展成为国内电信、政府、金融等行业领域内一流的系统集成商和软件开发商。2优秀的产品增值代理商，得到各大厂商的支持 CISCO金牌合作伙伴HP价值增值转销商惠普UNIX高增值代理商IBM产品解决方案供应商SUN高端产品系统集成商ORACLE价值增值合作伙伴3. 强大的技术队伍、完善的服务公司现有200多人的系统集成和软件开发服务队伍，其中系统集成队伍近50人，软件开发人员近30人，软件技术有限公司软件开发人员130人，软件、系统集成项目管理专业人员12人，在系统集成、楼宇建设施工、软件开发、售后维护、项目管理等方面形成了配套合理、技术实力较强的的IT技术支持队伍。在专业技术人员方面，合力金桥拥有各类高、中级人才，包括拥有Cisco公司全球统一认证的最高级人才-互联网络专家（CCIE），拥有HP公司、IBM公司、SUN公司认证的工程师等。公司在2002年4月5日通过SEI CMM LEVEL2标准化认证；在2001年10月8日获得中华人民共和国信息产业部计算机信息系统集成壹级资质证书；在2000年11月9日通过了ISO9001国际质量体系的认证，并在2003年1月经过再次努力顺利地完成了ISO9001从94版到2000版的转版工作。合力金桥的软件开发和工程实施一贯严格按照以上的技术体系执行，形成标准的国际化的软件开发和项目工程管理的办法。公司承担的软件工程、网络工程、通信工程等所有项目已经实施全程化的标准管理，以确保各个项目均能保质保量，按期完成，交付用户使用。2002年底，合力金桥系统集成公司被世界知名的徳勤咨询公司评为亚太地区500家成长最快的高技术企业，排名115位。同时，公司还被国内权威机构评为国内软件百强企业排名第47位。2003年，合力金桥系统集成公司又分别荣获“中国电子政务百强企业”、“2003中国电信行业TOP5集成服务专家”等称号，并获得国家信息安全产品测评认证中心颁发的“国家信息安全认证标准一级服务资质证书”。公司力争以国际化的产品，本地化的成本，为客户提供最适合的解决方案和服务。3 需求分析3.1 系统总体目标为保障河南省铁生沟煤矿安全监控系统工作的进展，集团需要建立一套稳定高效的监测监控系统网络，为河南省铁生沟煤矿提供高效、稳定、安全的监控网络平台，为业务系统的顺畅运行提供基础保障。3.2 基本需求3.2.1 办公楼办公楼大约650平方米左右，党委办公楼大约300多平方米，需要按照相关标准装修，包括：空调系统、供电系统、防火系统、布线系统、监控系统等。3.2.2 局域网河南省铁生沟煤矿总部网络系统包括办公大楼及党委办公楼需要联接主干，将建设成以光纤为传输介质的千兆以太网；各原有系统到桌面的支干采用双绞为传输介质的100M以太网。3.2.3 广域网未来的下属企业通过3种方式将同总部中心机房连接：对于业务系统中的核心企业，通过专线同总部保持实时在线连接。对于业务系统中的重点企业，通过远程VPN网络连接方式同总部相连。对于远程移动用户，通过Remote VPN方式同总部相连。3.2.4 主机系统河南省铁生沟煤矿专用网络服务器选用DL380 G4二台企业级服务器。每台主机可采用双网段与局域网连接，以提高性能和容错能力。每台配备CD-ROM用于软件安装。3.3 硬件系统需求分析计算3.3.1 网络服务器系统处理能力估算对于网络服务器系统的联机操作消耗主要来自于前端用户的数据查询，数据更新等操作，这类操作对系统的实时性要求较高。因此，设定以下估算前提：1) 客户端的最大并发用户按100个考虑；2) 客户终端请求在主机内5秒完成；3) 根据合力金桥成功实施的众多系统经验，考虑到处理的复杂性，每笔的处理平均约相当于10个标准交易；4) 考虑主机系统工作负荷不超过系统处理能力的80%；根据以上要求和假设：按并发用户数估算TPM值：T1 100X 60 / 5 X10= 12000 tpmC考虑工作负荷的冗余：T2 12000 tpmC / 80% = 15000tpmC考虑到未来的发展，建议配置两台主机，每台主机TPMC大于15000的主机作为网络服务器，配置群集软件, 组成高可用性群集系统，互为备份。满足以上配置的小型机有SUN V440和HP DL380，SUN V440、HP DL380的TPMC为35000左右。本方案建议配置两台HP DL380服务器作为网络信心服务器，单机配置2颗1GMHZ CPU或配置两台IBM P615服务器作双机热备，单机配置2颗3GMHZ CPU以满足系统对高处理能力的需求，完全满足铁生沟煤矿集团系统tpmC的要求。3.3.2 内存估算内存的需求估算如下：(1)操作系统:512 MB(2)数据库系统:512 MB(3)应用软件并发连接消耗的操作系统： 100个（最大）连接，1.5MB/用户*100=150 MB(4)并发数据库连接消耗的数据库内存： 100个（最大）连接，1.5MB/用户*100=150 MB(5)应用程序: 512 MB(6)交换空间：512 MB 所以总计需要内存5125121501505125122300M(7)考虑到可用内存会影响系统的整体性能，由于主机配置为2CPU，按业界经验一般事务处理CPU与内存的比例在1：2G为最佳，故建议配置2G内存作为数据库服务器内存。根据上面的计算，合力金桥在本方案建议采用两台HP DL380小型机做为信息中心服务器。3.4 设计原则先进性选用目前最先进性和代表性的设备和技术，包括计算机、网络设备、网络媒介、网络协议、操作系统、数据库、应用软件以及技术手段。目的是保证系统能够承担目前最先进和将来新推出的应用方式，确保系统具有足够的使用年限。可靠性整个系统必须具有很高的可靠性，所有软、硬件设备的故障率要低。关键设备采用容错手段保证系统的可用性，保证系统有良好的可靠性。安全性主要保证数据传输、内部权限控制、防止外部非法入侵等方面的安全和保密，确保不泄密、不因外部非法入侵造成系统故障或错误，并提供有效的备份应急措施，为进行严格的信息安全管理提供技术基础和手段。实用性合理选用成熟的、有成功先例的技术，避免失误，避免重复劳动，求得资金投入的最大效益。开放性所有计算机、网络设备、网络媒介、网络协议、操作系统、数据库、应用软件以及技术手段的选型均应符合国际、国内的工业化标准。保证系统具有高度的灵活性、兼容性。这一条也是确保系统先进性和可扩展性的基础。可扩展性所有计算机、网络设备、网络媒介、网络协议、操作系统、数据库、应用软件以及技术手段的选型必须在尽量节省资金的情况下留有足够的扩展余地。当系统负担增加时，可以方便、灵活、节省地对系统功能和性能进行升级。可管理性通过安装网络管理系统，能够方便地通过一个界面对整个网络系统进行全方位的集中管理。管理内容包括网络性能监控和调整、故障检测与恢复、设备管理与维护等。投资保护新建网络能与现有网络系统无缝连接，保护已有投资。并尽量利用原有设备。4 机房建设4.1 设计说明4.1.1 设计方案遵循原则1） 确保电子计算机系统稳定可靠运行。2） 保障机房工作人员有良好的工作环境。做到技术先进、经济合理、安全适用、确保质量4.1.2 设计依据电子计算机机房设计规范通讯机房静电防护通则防静电工作区供配电系统设计规范工业企业照明设计标准建筑与建筑群综合布线系统工程施工及验收规范建筑与建筑群综合布线系统工程设计规范4.2 空间设计2.1 电子计算机机房组成应按计算机运行特点及设备具体要求确定，一般宜由主机房、基本工作间、辅助房间等组成。根据电子计算机机房设计规范及甲方要求，将操作空间划分成三大部分（主机房、基本工作间监控室、辅助工作区域）。2.2电子计算机机房的使用面积的划分依据为根据计算机设备的外形尺寸布置确定，主机房面积可按下列方法确定： 式中K单台设备占用面积，可取4.55.5（/台）；N计算机主机房内所有设备的总台数。4.3 设备布置遵循原则3.1计算机设备采用分区布置，可分为主机区、存贮器区、数据输入区、数据输出区、通信区和监控调度区等。3.2 需要经常监视或操作的设备布置便利操作。3.3 产生尘埃及废物的设备远离对尘埃敏感的设备，并宜集中布置在靠近机房的回风口处。3.4 主机房内通道与设备间的距离符合下列规定：1）两相对机柜正面之间的距离不应小于1.5m；2）机柜侧面（或不用面）距墙不小于0.5m，当需要维修测试时，则距墙不小于1.2m；4.4 环境条件设计原则4.4.1 温、湿度及空气含尘浓度主机房、基本工作间内的温、湿度满足计算机设备的要求。电子计算机机房内温、湿度满足下列要求：1） 开机时电子计算机机房内的温、湿度，应符合表4.1.1的规定。 表格4.1.1级别项目A级B级夏季冬季全年温度2322021828相对湿度45%65%40%70%温度变化5/h并不得结露10/h并不得结露2） 停机时电子计算机机房内的温、湿度，应符合表4.1.2的规定。表格4.1.2级别项目A级B级温度535535相对湿度40%70%20%80%温度变化5/h并不得结露10/h并不得结露开机时主机房的温、湿度应执行A级，基本工作间可根据设备要求按A、B两级执行，其它辅助房间应按工艺要求确定。主机房内的空气含尘浓度，在静态条件下测试，每升空气中大于或等于0.5M的尘粒数，应少于18000粒。4.4.2 噪声、电磁干扰、振动及静电1.主机房内的噪声，在计算机系统停机条件下，在主操作员位置测量小于68dB（A）。2 .主机房内无线电干扰场强，在频率为0.151000MHz时，不大于126dB。3.主机房内磁场干扰环境场强不大于800A/m。4.在计算机系统停机条件下主机房地板表面垂直及水平向的振动加速度值，不大于500mm/。5. 主机房地面及工作台面的静电泄漏电阻，符合现行国家标准计算机机房用活动地板技术条件的规定。6.主机房内绝缘体的静电电位不大于1KV。4.5 室内装饰主机房室内装饰选用气密性好、不起尘、易清洁，并在温、湿度变化作用下变形小的材料，并符合下列要求：1）墙壁和顶棚表面平整，减少积灰面，并避免眩光。2）铺设活动地板.活动地板符合现行国家标准计算机机房用活动地板技术条件的要求。敷设高度按实际需要确定，宜为200350mm。3）活动地板下的地面和四壁装饰，可采用水泥砂浆抹灰。地面材料平整、耐磨。4)吊顶选用不起尘的吸声材料，4.5.1 吊顶、墙面墙面均采用铝合金微孔板，板厚0.7mm, 板面布有微孔，便于空调回风且有极好的吸音效果。这种顶板材质轻，强度高，不燃烧，无色差，平整度好，便于拆装，利于顶内维修。4.5.2 地面机房区全部采用采用抗静电复合地板。抗静电活动地板美观大方，优质耐用，地板具有:静电，耐磨承载力大，组装方便， 抗污染，便于清洗，装饰性强， 互换性好等优点。主要用于各类电子计算机，程控交换机房，控制室，恒温恒湿净化场地，医疗系统的CT室，核磁共振室，数据中心，通讯枢纽实验室等高洁净要求的环境，以及电视发射台，军事指挥站，卫星地面站，金融结算中心，公安监控指挥中心，智能化办公大楼，语言电教室，国防安全，军队机密屏蔽机房和电力质量检测，检修屏蔽室等领域。规格600x600。抗静电复合地板具有如下特点：*持久耐用的塑胶条固定在地板四边；*铝膜或镀锌铁片可用来固定在每块地板的底面，这样既在结构上加强，又起到阻隔*精密的制作工艺保证了极为精确的尺寸公差，这样保证了每块地板的可替换性；*地板均按最高防火标准设计和测试；*地板均使用相应材料使吸音效果得到改善，从而具有很强的隔音作用；*地板均经过机械抵抗性能及安全性的严格测试；*抗静电安全性：地板上任何一点与地面之间有1.5*1052*1010ohm阻值。4.6 热湿负荷说明1.机房空调的热湿负荷应包括下列内容：1)计算机和其它设备的散热；2)建筑围护结构的传热；3)太阳辐射热；4)人体散热、散湿；5)照明装置散热；6)新风负荷。主机房和监控室空调系统的气流组织，根据设备对空调的要求、设备本身的冷却方式、设备布置密度、设备发热量以及房间温湿度、室内风速、防尘、消声等要求，并结合建筑条件综合考虑。气流组织形式选用气流组织下送上回送风口带可调多叶阀的格栅风口回风口格栅风口送风温差46送风温度高于室内空气露点温度2.空调系统的新风量应取下列三项中的最大值：1)室内总送风量的5；2)按工作人员每人400/h；3)维持室内正压所需风量。4.7 设备选择空调设备的选用原则：1) 空调设备的选用符合运行可靠、经济和节能的原则。2) 空调系统和设备选择根据计算机类型、机房面积、发热量及对温、湿度和空气含尘浓度的要求综合考虑。3) 空调和制冷设备选用高效、低噪声、低振动的设备。4) 空调制冷设备的制冷能力，留有1520的余量。根据以上综合考虑，空调选用日本大金空调或国产知名品牌空调。4.8 电气技术4.8.1 供配电电子计算机机房用电负荷等级及供电要求应按现行国家标准供配电系统设计规范的规定执行。电子计算机供电电源质量根据电子计算机的性能,用途和运行方式（是否联网）等情况,可划分为A、B、C三级（8.1.1）。 表 8.1.1项目等级ABC稳态电压偏移范围（%）25+713稳态频率偏移范围0.20.51电压波形畸变率（%）3558810允许断电持续时间（msS）0442002001500电路选用遵循原则：（详情见附图7）1） 电子计算机机房供配电系统应考虑计算机系统有扩展、升级等可能性，并应预留备用容量。2） 电子计算机机房宜由专用电力变压器供电。3） 机房内其它电力负荷不得由计算机主机电源和不间断电源系统供电。主机房内宜设置专用动力配电箱。4） 单相负荷应均匀地分配在三相线路上，并应使三相负荷不平衡度小于20。5） 电子计算机电源设备靠近主机房设置。6） 电子计算机机房电源进线按现行国家标准建筑防雷设计规范采取防雷措施.电子计算机机房电源采用架空进线，在低压架空电源进线处或专用电力变压器低压配电母线处，装设低压避雷器。7） 主机房设置测试用电源插座,测试用电源插座由计算机主机电源系统供电。8） 主机房内活动地板下部的低压配电线路宜采用铜芯屏蔽导线或铜芯屏蔽电缆。9） 活动地板下部的电源线尽可能远离计算机信号线，并避免并排敷设。4.9 照明4.9.1 电子计算机机房照度设计标准：1）间歇运行的机房取低值；2）持续运行的机房取中值；3）连续运行的机房取高值；4）主机房的平均照度按500Lx取值。4.9.2 电子计算机机房眩光限制标准可按下表分为三级。眩光限制等级表10.2-1眩光限制等级眩光程度适用场所无眩光主机房、基本工作间有轻微眩光第一类辅助房间有眩光感觉第二、三类辅助房间直接型灯具的遮光角不应小于表10.2的规定。主机房、基本工作间宜采用下列措施限制工作面上的反射眩光和作业面上的光幕反射。1）使视觉作业不处在照明光源与眼睛形成的镜面反射角上；2）采用发光表面积大、亮度低、光扩散性能好的灯具；3）视觉作业处家具和工作房间内应采用无光泽表面。4）工作区内一般照明的均匀度（最低照度与平均照度之比）不宜小于0.7。非工作区的照度不宜低于工作区平均照度的1/5。5）条 电子计算机机房内应设置备用照明，其照度宜为一般照明的1/10。备用照明宜为一般照明的一部分。6） 电子计算机机房照明线路宜穿钢管暗敷或在吊顶内穿钢管明敷。本设计依据以上原则采用双管格栅灯直接照明。4.10 静电防护1）主机房内采用的活动地板由水泥刨花板（阻燃性材料）制成。活动地板表面是导静电的，没有暴露金属部分。单元活动地板的系统电阻符合现行国家标准计算机机房用活动地板技术条件的规定。2）主机房内的工作台面及坐椅垫套材料应是导静电的，其体积电阻率为3） 主机房内的导体与大地作可靠的联接，没有对地绝缘的孤立导体。活动地板、工作台面和坐椅垫套进行静电接地。4）静电接地的连接线有足够的机械强度和化学稳定性。导静电地面和台面采用导电胶与接地导体粘接时，其接触面积不小于10C。4.11 接地电子计算机机房接地装置的设置应满足人身的安全及电子计算机正常运行和系统设备的安全要求。电子计算机机房应采用下列四种接地方式：1）交流工作接地，接地电阻不应大于4；2）安全保护接地，接地电阻不应大于4；3）直流工作接地，接地电阻应该计算机系统具体要求确定；4）防雷接地，按现行国家标准建筑防雷设计规范执行。交流工作接地、安全保护接地、直流工作接地、防雷接地等四种接地宜共用一组接地装置，其接地电阻按其中最小值确定；并按现行国家标准建筑防雷设计规范要求采取防止反击措施。电子计算机系统的接地应采取单点接地并宜采取等电位措施。4.12 综合布线设计设计综合布线防护从两方面考虑，一是防止空间电磁场干扰综合布线系统内部计算机网络的正常运行；其二是防止综合面线系统内部网络住处发射泄漏。4.12.1遵循原则 规定了综合布线系统与各种干扰源之间的最小接近距离，保证综合布线系统受到的干扰在最低之内。由于空间干扰源十分复杂，要做到安全隔绝或不受任何干扰是不实际的。所谓最小距离并不是最佳间距，只有当场地条件不允许时才按间隔布置，有条件时距离越大越好。综合布线遵循原则：（1） 与380以下的电力电缆平行时，按敷设方式不同应保持7至60公分间距。若双方都有在接地线槽中，且平行长度10米时，最小间距可以是非曲直公分，这是指信息插座至终端设备之间的暗配管网，此时电力线负荷很小，产生的干扰影响也不会太大。（2） 与配电箱、电梯、变电室等应尽量远离，最小保持100至200公分或以上的间距。（3） 一荧光灯、氟灯、电子启动器或交感设备这间应保持15至30公分或以上的间距。（4） 对于小功率的无线电发射设备最小应保持150公分或以上的间距。若空间电磁场耦合强度较大时，按空间场强标准规定办理。4.12.2综合布线系统的防护措施 选择综合布线系统的防护措施比较复杂，不能简单的套用防护标准。按实际现场情况，结合网络的现有水平和发展趋势，预测今后15年左右可能达到的网络应用水平，以及使用单位经济承受能力和应用需求等多种因素，进行综合分析，客观地做出判断。一般讲一些短时间突发性干扰，计算机网络纠错重发后能够恢复正常，问题不大，最多稍为延误一些时间而已。4.12.3消防与安全1）主机房、监控室设二氧化碳或卤代烷灭火系统，并应按现行有关规范的要求执行。2） 电子计算机机房设火灾自动报警系统（烟感和喷淋装置），并符合现行国家标准火灾自动报警系统设计规范的规定。3）报警系统和自动灭火系统与空调、通风系统联锁。空调系统所采用的电加热器，设置无风断电保护。附表 名词解释本规范用名词解释电子计算机机房主机房、基本工作间、第一类辅助房间、第二类辅助房间及第三类辅助房间的总称主机房计算机主机、操作控制台和主要外部设备（磁盘机、磁带机、软盘输入机、激光打印机、宽行打印机、绘图机、通信控制器、监视器等）的安装场地基本工作间用于完成信息处理过程和必要的技术作业的处所。其中包括：终端室、数据录入室、通信机室、已记录磁介质库、已记录纸介质库等第一类辅助房间直接为计算机硬件维修、软件研究服务的处所。其中包括：硬件维修室、软件分析修改室、仪器仪表室、备件室、随机资料室、未记录磁介质库、未记录纸介质库、硬件人员办公室、软件人员办公室、上机准备室和外来用户工作室等第二类辅助房间为保证电子计算机机房达到各项工艺环境要求所必需的各公用专业技术用房。其中包括：变压器室、高低压配电室、不间断电源室、蓄电池室、发电机室、空调器室、灭火器材室和安全保卫控制室等第三类辅助房间用于生活、卫生等目的的辅助部分。包括：更衣室、休息室、缓冲间和盥洗室等静态条件电子计算机机房空调系统处于正常运行状态，电子计算机系统已安装，室内没有生产人员的情况计算机系统停机条件下主机房内空调系统和不间断供电电源系统均在正常运行，而计算机系统不工作的状态5 网络设计方案5.1 网络拓扑结构总部网络系统包含了3个子系统：办公楼、党委楼、下属公司等，各子系统可以立旧已经建成完善的计算机局域网络平台。原有集团公司总部作为楼层核心节点也通过局域网中的千兆主干与新机房相连。图1 网络拓扑结构示意图1 局域网设计：楼层信息点使用现有的网络线路和计算机设备，应用系统除CECOA系统外，均可正常使用。5.2 广域网设计按照图1所示的网络结构，集团公司总部新机房与下属企业联系方式：考虑到总部中心机房将来同下属企业的连接，并根据要求将会有三种连接方式。对于业务系统中的核心企业，通过专线同总部保持实时在线连接。对于业务系统中的重点企业，通过远程VPN网络连接方式同总部相连。对于远程移动用户，通过Remote VPN方式同总部相连。根据利旧原则，可继续使用原有路由器作为通讯路由器。完成中心机房和将来下属企业的连接。根据利旧原则，利用原有的路由器完成新机房的Internet接入，实现三个网络子系统统一接入因特网。对于因特网的备份线路可考虑用财务公司原有的ADSL线路。5.2.1 设备的安全性对网络设备的访问与配置，主要有以下两种方式：控制口console的控制和远程登录telnet 的控制。5.2.2 控制口console的控制控制口（console）是完成网络设备最初配置的，它一般用来直接接一个终端，另外，AUX口作为辅助。通常，采用密码校验来控制用户访问console口，缺省设置是不需要密码就可以访问。我们可以通过以下方法来控制console口的安全：用户模式密码（只能用一些查看设备状态的命令）;特权模式密码（能使用所有命令查看设备状态和配置设备）会话超时（console口没有使用一段时间后自动断开）;密码加密（将密码以加密的格式保存）;同时，可以和访问列表结合，以保证只有合法的地址才能访问设备，对于公众IP网的具体网络环境，我们建议采用以下一些命令来加强安全性,其中exec-timeout命令用来设置会话超时，access-class用来设置合法的IP地址访问列表，login authentication用来和 TACACS 或RADIUS结合实现集中认证：line con 0 exec-timeout 5 0access-class 3 in login authentication Stringline aux 0 exec-timeout 5 0 access-class 3 in login authentication String access-list 3 permit 55 /* ACL limit vty accessaccess-list 3 deny any5.2.3 远程登录telnet 的控制 通过telnet到网络设备上，我们可以进入用户模式和特权模式，完成查看和配置设备的全部功能，一般的网络设备同时可以有几个虚拟终端口用来远程登陆。我们用上面提到的控制console口的方法来控制telnet的安全，还可以用访问列表来限制远程登录的主机，还可以通过设置TCP端口来控制远程登录的权限。以上的方法都只有密码验证，没有用户名验证，我们还可以用终端访问控制器访问控制系统（TACACS）来进行分用户管理telnet的访问权限，与console口控制类似，我们可以采用下面一些命令来加强telnet的管理其中exec-timeout命令用来设置会话超时， access-class用来设置合法的IP地址，login authentication用来和 TACACS 或RADIUS结合实现集中认证： line vty 0 4 access-class 3 in exec-timeout 5 0 login authentication String transport preferred none!access-list 3 permit 55 /* ACL limit vty accessaccess-list 3 deny any5.2.4 用户的分级管理在网络管理中，一般有许多不同角色的管理者，例如网管操作员，一般网络管理员，高级网络管理员，同时根据网络的区域划分，也可分为区域级网络管理人员和中心级网络管理人员，这些网络管理人员根据其职责的不同和所管理的网络范围，功能的不同，应该具有不同的权限。因此，对网络上的用户进行分级管理，是十分必要的。例如：缺省情况下，Cisco IOS 软件有两种模式，用户模式和特权模式， 每种模式又可以设置16种不同层次的优先级别，用户可以对这16种不同层次的优先级别进行设置，从而使不同的用户具有不同的权限，可以执行自己权限范围内的命令，以完成不同的网络管理目的。同时，用户也可以对某个特殊命令进行编辑和组合，使它可以加入不同的优先级别，从而达到不同的管理目的。5.2.5 因特网的安全控制：通过在路由器上设置访问控制列表，控制主机的IP地址。只有合法的IP地址可以完成诸如：HTTP、FTP等方面的访问；非法的IP不能上网。5.3 IP地址分配因为河南省铁生沟煤矿公司的网络系统是一个企业内部网络，这个网络系统可采用IANA建议；因为IP地址空间的限制，IANA为私用网络保留了以下三块地址空间，这些地址永远不会在Internet合法地址中出现，允许企业自由采用(参见下表)。 Class from IP address to IP address A 55 B 55 C 55企业在建设Intranet时应采用IANA为私用网预留的IP地址空间，如果内部网络的非法IP地址与外部主机的IP地址相同，则在这两台主机间就无法进行通讯，因为地址翻译是在网关的外部接口中进行的，故发送主机本身会直接把数据包返回给源主机，数据包根本到达不了防火墙网关。5.4 子网划分5.4.1 VLAN技术：虚拟局域网（VLANVirtual Local Area Network）逻辑上把网络资源和网络用户按照一定的原则进行划分，把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域，也就是虚拟局域网VLAN。图中几个部门都使用一个中心交换机，但是各个部门属于不同的VLAN，形成各自的广播域，广播报文不能跨越这些广播域传送。虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内，在功能和操作上与传统LAN基本相同，可以提供一定范围内终端系统的互联。VLAN与传统的LAN相比，具有以下优势：减少移动和改变的代价即所说的动态管理网络，也就是当一个用户从一个位置移动到另一个位置是，他的网络属性不需要重新配置，而是动态的完成，这种动态管理网络给网络管理者和使用者都带来了极大的好处，一个用户，无论他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好的。 当然，并不是所有的VLAN定义方法都能做到这一点。虚拟工作组使用VLAN的最终目标就是建立虚拟工作组模型，例如，在企业网中，同一个部门的就好象在同一个LAN上一样，很容易的互相访问，交流信息，同时，所有的广播包也都限制在该虚拟LAN上，而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点，而他仍然在该部门，那么，该用户的配置无须改变；同时，如果一个人虽然办公地点没有变，但他更换了部门，那么，只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境，当然，这只是一个理想的目标，要实现它，还需要一些其他方面的支持；用户不受到物理设备的限制，VLAN用户可以处于网络中的任何地方；VLAN对用户的应用不产生影响；VLAN的应用解决了许多大型二层交换网络产生的问题：限制广播包，提高带宽的利用率：有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小 的广播域，同一个VLAN成员都在由所属VLAN确定的广播域内，那么，当一个数据包没有路由时，交换机只会将此数据包发送到所有属于该VLAN的其他端口，而不是所有的交换机的端口，这样，就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽。增强通讯的安全性：一个VLAN的数据包不会发送到另一个VLAN，这样，其他VLAN的用户的网络上是收不到任何该VLAN的数据包，这样就确保了该VLAN的信息不会被其他VLAN的人窃听，从而实现了信息的保密。增强网络的健壮性：当网络规模增大时，部分网络出现问题往往会影响整个网络，引入VLAN之后，可以将一些网络故障限制在一个VLAN之内。由于VLAN是逻辑上对网络进行划分，组网方案灵活，配置管理简单，降低了管理维护的成本。5.4.2 VLAN 划分： 中心局域网络建议可以划分为以下6个VLAN。1、 财务部2、公司领导3、其它4、网关5、业务部6、防火墙 河南铁生煤矿集团VLAN划分的设置步骤1. 按客户的要求基于端口划分VLAN2. 每个VLAN的机器在同一个网段3. 虚网的通讯用路由处理引擎来实现 VLAN的配置Vlan NumberVlan Port应用VLAN2待定财务部VLAN3待定公司领导VLAN4待定其它VLAN5待定网关VLAN6待定业务部VLAN7待定防火墙创建VLAN：4506#vlan database!进入VLAN数据库，配置VLAN4506 (vlan)#vtp server4506 (vlan)#vlan 2 name XXX4506 (vlan)#vlan 3 name XXX 4506 (vlan)#vlan 4 name XXX4506(vlan)#exit 退出VLAN数据库（其它VLAN配置方法相同）把端口划到某VLAN4506#configure terminal4506 (config)#interface fastEthernet X/Y -指定interface faX/Y 给vlan5 3524XL(config-if)#switchport access vlan 53524XL(config-if)#exit3524XL(config-if)#end3524XL#wr mem -保存配置（其它端口配置方法相同）虚网（子网）间的通讯在Catalyst4506路由引擎模块上进行基于IP的路由.在Catalyst4506上的配置（举例）*4506(config)# router ospf XX /配置路由协议4506(config-network)# network ;network ;network */设置参加路由的网络号4506(config)# interface vlan vlan2 /进入vlan端口设置4506(config-if)# ip address / 设置vlan端口地址虚网间通讯安全的实现及设置虚网间的安全由在4506上配置的访问控制实现.交换机安全端口设置：在交换机上端口安全通过在端口绑定主机的MAC来设置，只有符合端口设定MAC地址的主机才能访问交换机，非法主机不能连通。1 Switch(config)Interface interface-idSwitch(config-if)Switchport mode access/设置端口工作在交换模式2 Switch(config-if)switchport port-security/设置端口为安全端口3 Switch(config-if)switchport port-security maximum 1/设置安全MAC地址的数量，默认为128个。4 Switch(config-if)switchport port-security violation shutdown/设置端口在收到非法访问时，端口变为shutdown状态。5 Switch(config-if)switchport prot-security mac-address xxxx.xxxx.xxxx/设置端口可被哪台主机访问。5.4.3 大屏幕投影系统大屏幕投影系统设置在调度会议中心，实现对整个煤矿的情况的动态监管，综合显示视频图像信号、计算机网络、电子地图及各种计算机图形信息，形成一个查询准确、显示全面、操作便捷、管理高效、美观实用的信号监控管理系统。本系统具有的一个很大优点在于DX投影机具有内置图像处理模块，用户只需把计算机信号和视频信号通过矩阵设备输入到每个投影单元，就可以在组合大屏幕上以mxn的方式缩放显示图像，如单屏显示一路视频或计算机，2x2等组合放大显示一路视频或计算机。5.5 工程范围监控分中心大屏幕投影系统的工程范围包括：投影单元（包括投影仪、67”玻璃屏幕）2X2组合；RGB切换矩阵、网络图像处理器；投影箱体、框架、底座；大屏幕拼接软件等；所需的电力电缆和通信电缆以及各种接头。5.6 系统功能大屏幕投影系统直观、完整、准确、清晰、灵活地显示煤矿及需要监控的的各项信息，通过GQY公司提供的独特的处理方式，大屏幕显示系统支持多路RGB画面和视频画面的实时显示，具有以下功能：整个投影屏幕具有高分辨率、高亮度、高对比度等特点，在室内正常的办公环境条件下屏幕能够显示清晰明亮的图形/图像效果。支持图形拼接、全屏范围内显示的图像无非线性失真。整个屏幕亮度均匀，无“暗角”或“亮角”现象，画面稳定无闪烁。图像拼接完整，无错位。组合屏幕图像的物理拼接间隙小于0.5mm。大屏幕投影显示系统支持以太网结构和TCP/IP协议，可直接与网络连接，并可同时支持多个网络连接，接口为10/100M以太网，可显示各种数据信息，实现网络信息的实时监控功能。支持各种视频图像（PAL, NTSC, SECAM）和不同分辨率（680x4801280x1024）的非网络信号（包括计算机信号、录像机、摄像机、影碟机等）和不同分辨率（800x6001280x1024）的计算机信号在大屏幕上的任意缩放输入显示。网络环境下计算机的各种应用程序的窗口可以在投影屏上任意开窗口显示，自由跨屏移动、打开、改变大小。支持多屏图像拼接，画面可整屏显示，也可分屏显示，用户可灵活开启窗口，定义尺寸，画面能够自由缩放、移动、不受物理拼缝的限制。通过分辨率叠加，大屏幕上能够显示超高分辨率的计算机图形。屏幕上的各种应用窗口（如网络计算机窗口、RGB窗口、视频窗口）可任意同图片文字窗口叠加显示，并且可任意缩放和移动。能在大屏幕上同时显示多个视频图像、计算