禾草沟煤矿综自系统方案.doc

投标设备方案说明禾草沟煤矿综自系统方案第一章 总体概述第一节 矿井概况一、矿井概况禾草沟井田整合区位于陕西省延安市子长县城西南18km（直距）处。行政隶属子长县余家坪乡、寺湾乡及延安市宝塔区蟠龙镇所辖。井田南距延安75km，北距榆林市226km。二、矿井主要技术参数：1、设计生产能力矿井建设规模4.0mt/a，全矿井设计服务年限为30.3a。2、井田开拓井田采用斜井开拓方式。矿井初期形成三条井筒，主、副、一号回风斜井的井口集中布置在工业场地内。3、采煤方法、采煤工艺和装备根据本矿井煤层赋存具体条件，本矿井采用一次采全高长壁综采采煤法。本矿井采用下行开采顺序，生产能力4.0mt/a，根据本矿井地质条件和生产规模，本矿井初期开采5号煤层，矿井初期在5号煤501盘区装备2个国产长壁综采工作面、4个综掘工作面达到4.0mt/a生产能力。4、通风系统本矿井为低瓦斯矿井，矿井资源整合后初期采用中央并列式通风方式，抽出式通风方法进行通风，由主、副斜井进风，一号回风斜井出风。5、井下运输系统主运输采用带式输送机,井下辅助运输采用无轨胶轮车。6、排水系统矿井排水系统由井下主排水泵房和主水仓组成。井下主排水泵房及主水仓位于副斜井井底附近。主排水设备选用3台md450-604型矿用耐磨多级离心式水泵，每台水泵选配yb560m1-4型隔爆电动机1台，功率500kw，电压10kv，同步转速1500r/min，效率95%。井下主排水泵房采用3台水泵2趟管路排水系统，矿井正常涌水量1台工作，1台备用，1台检修；最大涌水量时2台同时工作。排水管路选用3258无缝钢管，矿井正常涌水量时1趟工作，1趟备用;最大涌水量时2趟同时工作。7、压缩空气系统及制氮设备在工业场地主斜井井口附近建空气压缩机站一座，利用原有1台lgfd-22/8d型双螺杆固定式空气压缩机，同时另新配置3台lg-27/8g型螺杆式空气压缩机，共4台空气压缩机；其中新增加的3台工作，矿井原有的1台备用。制氮设备选用井下移动式碳分子筛变压吸附制氮设备。8、地面生产系统禾草沟选煤厂是禾草沟矿井配套的矿井型选煤厂。选煤厂规模为4.0mt/a。厂址与禾草沟矿井同处一个工业广场。本厂原煤入洗上限为50mm，下限为0mm。50mm0.5mm混煤分选方式为不脱泥无压三产品重介旋流器分选工艺。0.5mm煤泥分选方法为浮选机。9、地面运输矿井煤炭初期采用公路运输，后期根据外运情况及时修建铁路专用线。10、供电在本矿井工业场地内建一座35/10kv变电所，其二回35kv电源均引自羊马河110kv变电站35kv不同母线段。正常运行时，两回线路一回运行，一回热备用。第二节 设计原则及依据一、设计原则1、先进性、成熟性和实用性使用先进、成熟、实用和具有良好发展前景的技术，使得各个子系统具有较长的生命周期，不盲目追求高档次，既能满足当前的需求，又能适应未来的发展（包括设备和技术两方面内容）。2、安全性、可靠性把安全放在第一位，建立高效稳定的系统，能提供全年365天，一天24小时的不停顿运作。对于安装的服务器、终端设备、网络设备、控制设备与布线系统，必须能适应严格的工作环境，特别考虑要适应煤矿井下恶劣的客观环境，以确保系统稳定。3、易操作性先进且易于使用的图形人机界面功能，提供信息共享与交流、信息资源查询与检索等有效工具。4、高效率性注重各子系统的信息共享，提高整个系统高效率的传输与运行能力。5、实时性设备和终端必须反应快速，充分配合实时性的需求。6、完整性提供与各种外界系统的通信功能，确保信息的完整性并充分利用在整体系统的运作上。7、可查询性提供易于使用的数据库功能，让使用者能随时查询信息及制作所需的报表。8、互联性和可扩展性把矿井各子系统有机结合起来，满足信息层结构中各层之间信息沟通，增加各子系统之间的互联性和可扩展性，充分考虑将来需求的成长空间，所提供的系统平台与技术应充分配合未来功能及扩充项目的需求，以避免将来重复的投资。标准化、结构化、模块化的设计思想贯彻始终，奠定系统开放性、可扩展性、可维护性、可靠性和经济性的基础。二、设计依据本项目的设计、制造、实施均执行最新版国家标准（gb）和行业标准。n 煤矿安全规程2007版n 煤炭工业矿井设计规范n 煤炭洗选工程设计规范n 通用用电设备配电设计规范n 电子计算机房设计规范n 建筑物防雷设计规范n 煤矿安全生产监控系统通用技术条件n 煤矿安全监控系统使用与管理规范n 爆炸性环境用防爆电气设备通用要求；n 爆炸性环境用防爆电气设备 防爆型电气设备；n 爆炸性环境用防爆电气设备 本质安全型电路和电气设备；n 煤矿通信、检测、控制用电工电子产品 通用技术条件；n 煤矿监控系统总体设计规范；n 煤矿监控系统中心站软件开发规范；n 煤矿监控系统性能测试方法；n 矿井防灭火规范；n 矿井通风及安全装备标准；n 矿井通风安全监测装置使用管理规范。n 煤炭工业给排水设计规范n 火灾自动报警系统n 煤矿井下采掘作业地点气象条件卫生标准n 矿山安全条例n 爆炸和火灾危险环境电力装置设计规范n 爆炸危险场所安全规定n 邮电部网管系统技术规范n 中国国内电话网no.7信号方式技术规范（暂行规定）及补充规范n 国内no.7信令方式技术规范综合数字网用户部分（isup）暂行规定n csta 179/180协议n 软件开发规范n 计算机软件可靠性和维护性管理n 计算机软件质量保证计划规范n 中华人民共和国公共安全行业标准n 建筑电气设计规范n 电气装置安装工程施工及验收规范n 信息技术设备包括电气设备的安全规范n 安全技术防范规范工程程序技术规范n 煤矿安全装备基本要求n 国际标准化组织（iso）n 国际电工委员会（iec）其它国家、地区相关规定等。第三节 工程范围矿井综合自动化系统工程范围包括：1、矿井信息化系统网络平台2、矿井综合自动化系统网络平台（含监控软件平台）；3、生产自动化子系统；4、工业电视监控系统；5、大屏幕显示系统；6、安全监测监控系统；7、矿压监测系统；8、束管监测系统；9、人员定位安全管理系统；10、矿井通信系统；11、胶轮车运输监控系统；12、井下安全广播系统；13、生产调度指挥中心机房建设。本工程包括上述各系统软硬件及其传输线缆等设计、采购、施工、安装、调试等。第四节 矿井综合信息化系统概述为满足矿井安全生产的需要，提高矿井管理和控制水平，矿井需要建立生产自动化系统、安全监测监控系统、束管监测系统、人员定位管理系统等各子系统，以完成对矿井环境、设备和人员有效监测与控制，同时通过建立辅助调度系统(包括生产调度通信系统、工业电视监控系统及大屏显示系统等各子系统)实现矿井生产实时监测与调度。从理论上讲，建立以上各个子系统后，基本上可以满足矿井安全生产的要求。但是，由于以上各个系统之间是相对独立的，相互间数据不能共享，不能深度挖掘各子系统数据的潜在意义，不能整合、统计和分析各子系统的有效数据，也就是说通过以上系统的构架在一定层面上还远远不能满足现代化矿井的建设目标，不能满足矿井的有效管理，包括对矿井设备管理和一定成本核算管理等。那么如何去解决这个问题?需要怎样的系统构架才能很好的实现矿井数字化。矿井综合信息化系统又称为cimas(computer integrated coal mine automation system)，利用现代控制技术、现代计算机技术、现代网络技术、现代通讯技术和现代图形显示技术，将煤矿工业的过程控制与企业管理有机地结合的多级分布式计算机网络。通过计算机网络把煤炭企业的管理、计划、决策和煤炭销售、设备购置及底层设备控制、设备维护等信息结合起来，实现了管控一体化，消除传统煤炭工业生产、管理、控制中的信息孤岛。充分利用资源、减少浪费、降低生产成本，提高煤炭企业的全员效益，在最大程度上创造高利润。矿井综合信息化系统采用三层体系结构：基础自动化层、数据处理层和管理层。见下图。基础自动化层：即矿井各监控及自动化子系统，通过传感器技术、现场总线技术、工业以太网技术、计算机技术、工业组态技术以及数据库技术等，实现各生产系统、辅助生产系统、安全监测系统等的实时监测监控及数据采集、上传。数据处理层：矿井自动化实时数据通过plc采集现场数据，再从组态软件从各plc控制器采集数据并形成组态监测控制画面。企业管理信息平台通过数据挖掘过滤有效生产实时数据存储到业关系型数据库中，为数据决策分析提供分析基础。 管理层：对控制层提供的安全、生产信息做进一步的分析和整理，为矿井安全、生产管理与经营决策提供支持，并与矿井计算机管理系统进行信息交换，实现矿井管控一体化的建设目标。建立一个快速、安全、运行可靠的矿井综合自动化系统网络，采用工业以太网技术，为控制层和管理层的大量信息流动提供传输通道的支撑。第五节 工程目标根据管控一体化思想，结合工业自动化技术、信息化技术、嵌入式技术、网络技术和通讯技术等一系列现代化手段，同时通过对矿井生产安全、井巷工程等信息的广泛利用和深度开发，搭建禾草沟矿井综合自动化系统网络平台。解决所有子系统传输物理通道和接入问题；对所要求子系统进行数据采集、处理、存储、发布，完成一个信息集中管控/网络发布平台，实现生产、管理等环节的信息交流和资源共享，实现文字、数据、语言、视频、图像、图形等多媒体的传输和处理，达到自动监控、监测和检测生产过程，实现高层决策、管理和生产过程无缝连接，全面提升矿井自动化水平，并最终实现建立高产、高效的数字化矿井的目的。建设目标： 综合自动化系统由地面集控中心、地面工业以太环网、井下工业以太环网和设备控制层组成。系统建成后，可实现矿井主要生产环节（如：原煤生产、运输、提升、供电、通风、压风、排水、选煤厂等）的远程集中监控。 在实现对矿井主要生产环节集中监控的同时，建设一套包括：工业电视监控系统、大屏幕显示系统、安全监测监控系统、人员定位管理系统、通信系统等在内的煤矿生产经营综合自动化管理平台，实现整个矿井的生产信息、管理信息的集成化管理，最终实现建立高产、高效的数字化矿井的目标。第二章 矿井信息化系统网络平台第一节 网络总体设计禾草沟煤矿是一个新型的现代化矿井，将设计并部署完整的煤矿企业信息化管理网络平台，为未来煤矿产品的销售信息、物资采购信息和库存信息、财务管理信息、生产调度信息、安全管理信息、企业接入internet上网业务为核心的企业计算机管理信息化系统提供硬件传输平台。从应用上来看，禾草沟煤矿企业信息化管理网络将主要承载的是企业内部办公业务管理信息，随着企业信息化管理水平的不断提高，办公应用的逐步丰富，还将包括在网络平台上传输视频会议、voip等视频、语音多媒体业务数据。信息化管理网络的主要需求有： 性能需求：网络结构采用技术成熟的星型以太网交换结构，满足用户数据传输的带宽要求。网络的骨干采用千兆光纤（1000mbps）互联，接入层使用百兆（100mbps）带宽到桌面的高性能网络； 应用需求：建立可满足多种应用的高质量信息网络，其应用除包括日常办公、安全、生产、经营外，还担任着矿区内外信息交流等业务。同时还要满足矿井行政、调度电话及计算机管理、监控、internet上网等语音、数据、图像数据的接入和传输； 网络管理需求：建成的网络要求可进行集中式、可视化图形管理，可发现网络拓扑，网络管理员可及时发现网络故障点并予以排除，并可及时隔离非法访问用户，以保证整个网络高效、安全、可靠的运转； 安全需求：一方面要保证企业内部关键设备、关键数据、关键应用的安全，禁止未经授权的非法用户访问；另一方面又要求网络能有效隔离各子网之间未经授权的相互访问，杜绝非法及越权访问；同时有效预防、发现、处理异常的网络访问，确保办公网承载的各项业务访问正常，保证企业对internet的安全、可靠访问； 多业务的快速接入：设计建成的信息网络的具有良好的扩展性，能满足未来网络应用业务接入的需要，同时对网络系统中各应用业务所发生的有关事件的记录与审计； 实现标准的网络综合布线。根据各个业务科室的实际需要，本着经济、合理、适用的原则进行线路铺设，数据信息点与语音信息点采用适当的标准化接口模块予以满足。根据禾草沟煤矿网络项目的需求，总的设计思想是核心、汇聚、接入三个层面的星型网络设计。核心交换机提供多种冗余方式，支持万兆以太网。接入交换机具有高交换能力，端口密度高，支持带宽控制，与企业信息化网络骨干连接后能够保证系统的可靠运行，并且能为日后的网络骨干升级预留空间，保证后期设备的维护和升级。安全性也是公司网络设计方案重点对象，把安全性和vpn服务与可扩展服务架构有机地结合在一起。作为自防御网络的核心设备，要能够提供主动威胁防御，在网络受到威胁之前就能及时阻挡攻击，控制网络行为和应用流量，并提供灵活的vpn连接。保护公司网络提供广泛而深入的安全功能，还能降低实现这种安全性相关的总体部署和运营成本及复杂性。根据禾草沟煤矿现场实际情况，以办公楼生产调度指挥中心机房为核心层，职工宿舍、联合建筑等为汇聚层。网络建设主要包括以下内容： 整个矿区网络交换平台的构建： 建设禾草沟煤矿企业信息化管理平台，构成千兆骨干网，百兆到用户桌面的网络系统。 与互联网internet的联网：使用高性能路由设备，实现企业信息化管理与国际internet互联，实现企业上网及办公业务； 网络安全部署：部署网络安全防火墙设备，制定网络安全制度与策略，加强网络安全管理，通过对企业信息网络结构安全性的设计，使网络上各业务系统的数据在逻辑上是完全独立的，在允许权限范围内提供网络连接服务，与综合自动化内部网络系统通过网络安全设备隔离，保障各自网络系统的安全。 网络管理：配置网络管理系统，对矿井网络设备集中管理、集中控制，使网管人员实现对网络设备的运行状况、故障的监控，形成诊断管理平台，保证网络畅通。第二节 网络拓扑结构设计核心层，是一个高速的交换式骨干，它的设计目标是使得交换分组所耗费的时间延迟最小，在园区网的各个汇聚层设备之间提供高速的连接。汇聚层，是核心层和接入层的分界点，包括以下几大功能：地址或区域的汇聚、将楼层或工作组的访问连接到骨干、广播/组播域的定义、vlan间路由选择、安全策略接入层，是本地终端用户被许可接入网络的点。接入层，通常2层交换机在接入层中起非常重要的作用。包括下列功能：线速转发、交换带宽、mac层过滤。具体的网络部署描述如下：以一台cisco c4507r-e核心高性能第三层千兆以太网交换机作为骨干核心交换系统，向下部署6台cisco ws-c3750g-24ps-s部门级交换机，部门级交换机再向下部署30台cisco ws-c2960-24tc-l工作组级交换机，骨干交换机至部门级间连接采用采用千兆光缆连接，部门级交换机至工作组级交换机间连接采用百兆铜缆连接方式，网络系统覆盖全矿区各位生产职能部门，通过划分vlan，区分各职能部门间的网络隔离，建立安全的网络访问环境，根据需要通过核心交换系统的第三层路由交换，转发部门间信息包，同时防止广播风暴及屏蔽不安全访问；网络系统与外部连接通过配备一台cisco 3825路由器实现与internet及煤业集团公司的高速联网，考虑对外部网络的安全，在在核心交换机与接入路由器之间配备cisco asa 5520防火墙，实现数据过滤和内网安全保护；基于便于网络系统集中管理的考虑，配备cisco公司的网络管理软件cisco works 2000网际管理软件。在企业信息化管理中，设计配置2台ibm 3850及1台ibm 3650网络应用服务器，满足企业数据库、杀毒、web发布、备份、网络管理等应用，所有服务器与千兆核心交换机连接。为企业信息化提供快速服务平台禾草沟煤矿信息化网络拓扑结构图第三节 设备配置及选型设计网络设备的稳定性和技术的先进性对信息网络系统的良好运营起着至关重要的作用，也是保证用户利益的先决条件。根据网络建设需求，选择厂家的主要依据如下：l 设备的设计思想和采用技术的先进性，包括参入国际标准化组织和相关委员会的程度。l 产品系列的齐全程度，包括网络产品和相关应用产品。从而保障技术的兼容性和实现统一管理。l 新产品和新技术推出的频度。直接反应了厂家的研究和开发投入的程度。l 设备工业技术指标。要求达到当今社会先进水平，这在技术飞跃发展的it产业尤为重要。l 厂家的服务体系、在国内是否有保税仓库。特别是厂家对中国用户的实际服务水平和用户的评价。l 厂家软件开发实力，重点是网络操作系统。保障以软件升级为主，从而更好地保护投资。l 厂家的市场的占有率。厂家的市场占有率已被美国贝尔实验室定为判断技术优劣的标准之一。l 技术时间淘汰率。即在一定的时间范围内，技术保值程度，特别是厂家通过软件升级的保障技术寿命的能力。l 设备的维护成本、培训成本、升级成本等综合成本，从而全面的评价性价比。设备制造厂商的选择本次选择了美国思科（cisco）公司作为网络系统设备的制造厂商。几乎在所有it的国际标准化组织或委员会中都有cisco的专业人员，cisco是目前主流ip技术的发起人，因此其拥有的技术领先于其他公司。cisco的产品线是目前网络设备厂商最长的，目前以每个月增加一个产品品种的速度发展。其产品线几乎覆盖了网络所需的全部，更为重要的是覆盖了网络以上大部分应用。因此，选择cisco不仅保障了技术兼容的一致性，而且保障技术发展的一致性。cisco公司采用的是长期发展的战略，cisco表现为收购其他网络公司，而不是被其他公司收购，从而保障对用户持续的技术支持和服务。cisco具有完整的服务体系，这种服务体系表现在售后服务上，而且表现在定期网络专家会诊、网络优化服务、成系列的培训体系、工程实施期服务、工程后服务、各种响应服务。特别重要的是cisco在国内设有备品、备件的保税仓库，不仅实际可以保障服务及时性，而且保障了服务的经济性。cisco的网络设备的操作系统ios是最广泛的操作系统，反应了cisco公司的软件研发能力和网络软件升级能力，软件的适应性基本同市场和技术的发展同步。cisco公司绝大部分设备的市场占有率无论在世界还是在中国均排名第一，在中国有许多成功的案例，特别是在电力及企业的成功案例排名各家之首。由于cisco设备广泛地使用、服务体系完善、技术淘汰率低，使网络综合成本降低，特别是维护成本由平均的30%降低为15%。考虑到此网络系统的长期使用运营，投资保护不容忽视。在网络设备方面我们选择了美国思科（cisco）公司提供所需产品，美国商业周刊的全美1000家最优公司中，cisco列第2位，仅次于microsoft；因此我们建议选用cisco公司的网络产品作为本次项目的首选设备核心层的设计核心层应该具有高带宽传输能力、高容错性能、高密度和高速率接入等特性，主要任务是以尽可能快的速度交换分组，应当选用具有足够快速度的高性能第三层交换机，并且这些高性能第三层交换机之间的连接要具有足够的带宽。核心层是网络高速交换的骨干，被设计成尽可能高速交换包，提供以下功能：l 具有高可靠性l 低延时和良好的可管理性l 避免使用减慢包处理的进程，如访问列表包过滤等l 具有界定一致的网络直径l vlan之间的路由l 安全、服务等各项策略的实现针对于网络系统的具体情况，核心层交换机我们选择能同时满足核心层和汇聚层功能的交换机，由于可能会有网络安全的需要，所以核心层需要考虑提供访问控制能力，要求能提供基于源ip地址和目的ip地址，tcp和utp的端口进行过滤，提供3/4层的交换能力。根据以上的设计思想，在网络中心，我们配置了一台美国cisco公司的catalyst 4507r作为系统的主干交换机，并配备相应的千兆模块组成高性能、高可用性、可靠性的核心。cisco catalyst 4507r-e交换机具有7个插槽，具有丰富的交换板卡，支持千兆以太网光纤接口（gbic/sfp）或者rj45口最多可达240个，支持2个10gb x2的接口模块。c457r-e背板交换能力高达320gbps，支持以太网供电（poe），同时也支持引擎冗余和冗余（1+1）热插拔电源设计，提高核心设备的可靠性。在本方案中我们配置的引擎是cisco公司新推出的cisco catalyst4507r-e系列的第四代引擎ws-x4515，可提供整个设备64gbps的交换容量和48mpps的包转发率。核心交换机配置1个ws-x4418-gb千兆光模块接口板，该板带有18个gbic扩展插槽，可以支持1000m的sx、lx、zx的光接口适配器，传输距离最远可达80km，并配置16个千兆多模光纤接口（gbic）用于与多个楼层配线间汇聚交换机进行高速互联。核心交换机配置ws-x4424-rj45板卡，提供24个千兆电口模块，实现与管理pc、服务器、防火墙等电口设备的千兆连接。cisco catalyst 4507r-e机箱模块端口配置说明模块插槽模块及端口说明备注1ws-x4424-rj45，24个10/100/1000m rj45接口可以与网管、服务器、防火墙等互联2ws-x4418gb，18个千兆光纤接口模块，可与汇聚交换机互联3ws-x4515 主控模块4ws-x4515冗余主控模块5空预留6空预留7空预留catalyst 4500的catalyst集成式安全特性利用catalyst 4500的catalyst集成式安全特性，可以轻松地预防常见的第二层安全威胁。各种威胁和防止网络遭受袭击的安全特性如下:l mac 地址泛洪mac地址指主机设备的物理地址。交换机的正常行为是在地址表中填写每个到达包的源地址和端口。去往未知目标mac地址的帧由vlan上的每个端口发出。这就是交换机或桥接器在第二层执行转发、过滤和学习机制的方法。交换机具有固定的内存空间存储mac地址。试图造成该表泛洪或溢出的袭击将利用交换机内的在mac地址学习功能和转发行为。这种袭击将利用这种自然硬件限制，向交换机发送海量未知mac地址，让交换机学习。但是，一旦达到了第二层转发表的极限，包就会泛洪到vlan的所有端口，使黑客能够通过交换网络盗取网络连接，进而破坏网络性能。预防端口安全特性是一种动态特性，可用于限制和识别允许访问同一物理端口的站点的mac地址。当某端口分配了安全mac地址，或者动态学习完成之后，端口将禁止转发该源地址范围之外的包。通过端口安全特性限制交换机端口上允许的mac地址的数量，有助于防止网络遭受mac地址泛洪袭击。dhcp 服务器欺骗和中间人袭击网络袭击者通常使用恶意dhcp服务器发出ip主机地址，并将其作为默认网关，在两个端点之间重新转发正常流量，从而窃取这两个端点之间的所有流量。因此，这种袭击也称为中间人袭击。预防: dhcp 监听所有第二层端口都可以支持思科已获专利的dhcp监听特性。该特性能够为合法dhcp服务器规定可信端口，使之接发这些服务器的dhcp请求和信息。截获vlan中的所有dhcp消息后，交换机可以作为用户与合法dhcp服务器之间的小型安全防火墙。基于地址解析协议（arp）的中间人攻击地址解析协议（arp）的最基本的功能是允许两个站点在lan网段上通信。攻击者可能会发送带假冒源地址的arp包，希望默认网关或其它主机能够承认该地址，并将其保存在arp表中。arp协议不执行任何验证或过滤就会在目标主机中为这些恶意主机生成记录项，从而提高了网络易损性。目前，恶意主机可以在端点毫不知情的情况下窃取两个端点之间的谈话内容。攻击者不但可以窃取密码和数据，还可以偷听ip电话内容。预防: 动态arp检测这种攻击可以通过已获专利的思科安全特性 - 动态arp检测（dai）有效预防，这种方法能够保证接入交换机只传输“合法”的arp请求和答复。dai能够截获交换机上的每个arp包，检查arp信息，然后再更新交换机arp高速缓存，或者将其转发至相应的目的地。ip主机欺骗ip地址欺骗攻击者可以模仿合法地址，方法是人工修改某个地址，或者通过程序执行地址欺骗。互联网蠕虫可以使用欺骗技术隐藏攻击原发地。预防: ip源防护利用ip源防护特性，攻击者将无法冒用合法用户的ip地址发动攻击。该特性只允许转发有合法源地址的包。总结catalyst 4500 模块化交换机具有足够的专用硬件资源，不但能实施这些第二层安全特性，还能实施本文未加介绍的许多其它安全特性。这些安全特性如下图所示。catalyst 4500的catalyst集成式安全特性分布层（汇聚）设计分布（汇聚）层是访问层和核心层的分界点，并且用来分辨和区别骨干。提供基于策略的连接，包括下面几项功能：l 区域的聚合l 部门和工作组的访问在网络系统中，汇聚层交换机我们选择了cisco公司的千兆交换机：cisco catalyst 3750g系列。分布（汇聚）层交换机通过1000m光纤分别连接核心交换机上,构成强健的骨干连接。cisco catalyst 3750 是cisco公司具有固定端口的高性能交换机，本次选择主要的型号：cisco catalyst 3750g-24ps : 24个10/100/1000m标准rj45接口，支持802.1af poe供电，4个sfp光纤扩展槽本次我们需要cisco catalyst 3750g-ps 交换机6台。接入层设计接入层交换机是边缘设备，是终端站接入网络的第一层。接入交换机可以采用双1gbps连接汇聚交换机以实现链路冗余与负载均衡，形成具有预防单点故障的冗余网络；通过qos为关键任务网络流量分发优先级，从而尽量靠近网络入口对流量进行分类和排队；通过802.1x,、端口安全性、dhcp侦听、动态arp检查及ip源保护等工具增加安全性，从而更有效地防止非法网络访问；支持stp、rstp和mstp，提供layer-2的快速收敛。接入层我们选择了cisco 2960-24tc-l智能以太网交换机，它是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，有助于提供增强lan服务。catalyst 2960具有集成安全特性，包括网络准入控制(nac)、高级服务质量(qos)和永续性，可为网络边缘提供智能服务。cisco catalyst 2960系列提供了以下优势：l 为网络边缘提供了智能特性，如先进的访问控制列表 (acl)和增强安全特性。l 双介质上行链路端口提供了千兆以太网上行链路灵活性，可以使用铜缆或光纤上行链路端口。每个双介质上行链路端口都有一个10/100/1000以太网端口和一个sfp千兆以太网端口，在使用时其中一个端口激活，但不能同时使用这两个端口。l 通过高级qos、精确速率限制、acl和组播服务，实现了网络控制和带宽优化。l 通过多种验证方法、数据加密技术和基于用户、端口和mac地址的网络准入控制，实现了 网络安全性。l 通过嵌入式设备管理器和思科网络助理，简化了网络配置、升级和故障排除，可作为中型市 场或分支机构解决方案的一部分。l 使用cisco smartports自动配置特定应用互联网接入路由器设计网络服务商采用光纤等链路方式接入网络中心，网络中心通过路由器以及防火墙之后接入核心交换机，核心交换机再通过光纤链路与汇聚交换机连接。为了满足电信部门互联网的接入，同时考虑未来与总部网络的专线接入，鉴于此，我们采用cisco 3825路由器来作为整个网络的边缘接入。思科系统公司推出了一个全新的集成多业务路由器系列，它进行了专门的优化，可安全、线速地同时提供数据、话音和视频服务，重新定义了最佳大型企业和中小型企业路由。模块化cisco 3800系列集成多业务路由器建立在思科20年的领先地位及创新技术的基础之上，智能地将数据、安全性和话音服务内嵌于单一永续系统，能快速、可扩展地提供关键任务业务应用。cisco 3800系列的独特集成系统架构提供了最高业务灵活性和投资保护。1、network module slot 22、screw holes for grounding lug3、network module slot 14、hwic slot 35、hwic slot 16、hwic slot 27、hwic slot 08、console and auxiliary ports9、gigabit ethernet ports10、slot for optional sfp modulecisco 3825 路由器有2个10/100/1000m的固定rj45端口和1个复用的sfp光纤接口。4个广域网插槽， 每个插槽可支持 hwic， wic， vic， 或vwic 模块，2个局域网扩展插槽， 支持 nm 和 nme网络模块。丰富的接口模块完全满足各种的互联接入。网络拓扑及配置的分析经过设计之后，我们对网络拓扑进行了细化。如下：说明：核心交换机配置1块x4418-gb的光纤模块板，该板具有18个光纤接口，配合cisco gbic光纤模块使用，支持sx、lx、zx模式以千兆速率传输不同距离。由于核心交换机与汇聚交换机之间为单模光缆，所以我们选择了16块ws-g5486这个1000m单模模块分别与个个楼内的汇聚交换机互联。核心交换机再配置一块ws-x4424-gb-rj45模块，该模块具有24个10/100/1000m的标准rj45接口，可以满足网管机、服务器以及防火墙等设备的接入。各个楼宇中部署cisco catalyst3750g-24ps-s作为汇聚交换机；每台汇聚交换机配置一块千兆单模模块（glc-lh-sm）通过光纤上联核心交换机。接入交换机采用cisco catalyst2960-24tc-l交换机，他具有24个百兆rj45端口和2个复用的10/100/1000m rj45接口或sfp光纤端口，利用2个千兆的上联端口，采用端口聚合技术可以与汇聚交换机之间形成2g的连接带宽，消除链路瓶颈，加速数据的传输。核心交换机与防火墙之间通过千兆电口连接，同时在防火墙上启用nat。同时利用防火墙的dmz特性建立对外的信息发布（如：企业网站、email服务、ftp文件服务等）。开启ips功能过滤非法入侵的网络流量等。防火墙与路由器之间采用千兆连接。路由器的另一个千兆电口和运营商的线路连接实现互联网的接入。在未来，如果接入集团网络可采用给路由器上加载网络模块来实现。服务器实时数据服务器采用ibm x3850。技术参数：2*intel四核xeon e7520处理器(1.86ghz, 18m缓存)，可扩至八路处理器，标配2块内存板，16gb(4x4gb) 1066mhz ddr3内存，3*146g 2.5sas热插拔硬盘。最大可扩充至3tb，主机带两个千兆以太网卡，2*1975w热插拔电源，4u机架式，dvd光驱，3724。历史数据服务器、web服务器均为单独一台服务器，网管服务器、防病毒服务器共用一台服务器，均采用ibm x3650。技术参数：六核英特尔至强处理器e5649 2.53ghz(12mb三级缓存，最高支持1066mhz内存频率，5.86 gt/s qpi), 可扩展至2个处理器。2x4gb 1.35v ddr3 rdimm内存，高达18个内存插槽(每处理器配置9个内存插槽)。4个pci-express x8二代插槽；4个x8插槽通过可选的扩展卡可转换为2个x16插槽；通过可选的扩展卡支持pci-x。3*146g 2.5“sas热插拔硬盘；开放式硬盘托架, 最多支持16个2.5英寸热插拔硬盘托架；标配8个，通过选件扩展至16个。集成双口千兆以太网，支持网络唤醒、网络卸载引擎（toe）等网络高级特性。dvd光驱。460w高效率热插拔电源，可选冗余。serveraid m5015阵列卡，支持raid0、1、5,可选raid 6。集成imm, 可选的virtual media key用于远程呈现支持，光通路诊断面板(对处理器、vrm、内存、硬盘驱动器、电源及风扇关键部分的故障进行快速诊断第四节 网络安全性设计一、互联网安全防火墙设计防火墙作为网络安全体系的基础设备已经成为信息系统的标准配置产品。防火墙位于内网和外网的接口处，属于风险较大的边界区域，此处防火墙保护策略如下：在外网和内网之间进行基于时间、tcp/udp协议和端口的多种访问控制措施，即对不同服务器只开放相应的访问时间、协议和服务端口，例如www服务器为80端口，smtp服务为25，pop服务是110，关闭其他响应端口，避免给黑客留下安全漏洞；同时可以针对目的地址，过滤反动的或不健康的站点。实现细粒度的应用级控制，对高层应用（http,ftp,smtp,pop,nntp）作详细的过滤，如控制用户访问页面路径，过滤java,vbscript组件和邮件，控制用户读写权限等；实施对公开服务器监控，对来自internet的违规模式和非法访问尝试进行智能识别，纪录和跟踪，阻止黑客的扫描攻击；所有访问事件做详细审计，并纪录到日志文件，以备管理员分析；提供map（网络地址映射）的安全机制，把公开服务器的地址映射到防火墙的外部端口，internet用户通过防火墙可直接访问服务器，这样隐藏了公开服务器区的网络结构。采用nat（网络地址翻译）。nat允许专用网络在内部使用任意范围的ip地址，而对于公用的internet则表现为有限的公网ip地址范围。由于内部网络能有效地与外界隔离开，所 以nat也可以对网络的安全性提供一些保证对内部网机器做ip、mac地址绑定（或用户和mac地址绑定），如果源ip 的mac 地址与配置表中的mac 地址不符，则禁止该ip访问。对于不在配置表中的ip，有两种策略：一是不在配置表中的默认拒绝，二是不在配置表中的默认允许。采用认证机制实现用户认证，阻止非授权用户进入网络，从而保证网络系统的可用性。能够实现内容过滤功能。此次方案中，部署1台思科asa5520-aip20防火墙，以提高网络安全性。asa5520具有4个10/100/1000m的电接口和一个ssm的扩展插槽，此插槽可支持思科asa 高级检测和防御（aip）模块和内容检测及防病毒模块（csc）。为cisco asa 5500 系列自适应安全设备开发的思科高级检测和防御安全服务模块（aip-ssm）能够主动提供全特性入侵防御服务，在网络受到影响之前就及时阻止恶意流量， 包括蠕虫和网络病毒。aip-ssm入侵防御服务利用cisco ips sensor software 5.x，cisco aip-ssm 能够将线内防御服务与创新技术结合在一起，提高准确性。客户可以放心地使用入侵防御系统（ips）解决方案提供的有效保护，而无需担心合法流量会被丢弃。 如果部署在cisco asa 5500 系列设备内，aip-ssm 将能够与其它网络安全资源配合在一起，对网络提供主动、全面的保护。 由于cisco aip-ssm 采用了以下技术，因而能使用户更加放心地抵御各种威胁： 准确的在线防御技术-既能积极预防各种威胁，又不会丢弃合法流量。这种独特的技术能够对数据进行智能、自动、关联 分析，以保证客户能充分发挥入侵防御解决方案的优势。多种威胁识别-通过l2到l7的详细流量检测，防止用户违背网络策略、盗用各种漏洞并执行异常操作。独特网络协作-通过网络协作提高可扩展性和永续性，包括有效的流量捕获技术、负载均衡功能以及对加密流量的可视 性。强大的管理、事件关联和支持服务-提供完整的解决方案，包括配置、管理、数据关联和高级支持服务。对于网络级入侵 防御解决方案，思科安全监控、分析和响应系统（cisco security mars）能够发现、隔离和准确删除恶意组件。利用思科意外控制系统（ics），由于网络能够快速适应和提供分布式响应，因而能有效防止新的蠕虫和病毒发 作。如果结合在一起，这些组件能够提供全面的线内防御解决方案，使客户能够放心地检测和阻止各种恶意流量，以保证业务连续性不受影响。二、网络防病毒设计设计选用一套卡巴斯基网络杀毒软件一套。在卡巴斯基产品的保护下，公司的信息资产将不再会受到安全威胁，并且企业的网络资源可以在全球范围内安全地实时共享。针对服务器开发的保护组件，专为当今快速增长的高负荷动态企业网络环境而设计。产品亮点：l 集中安装和管理 l 支持cisconac (网络准入控制) l 为工作站和服务器提供综合的网络威胁防护 l iswift技术能够避免网络数据的重复扫描 l 服务器处理器之间的负载均衡 l 隔离被感染的工作站 l 修复恶意软件对系统所做的非法纂改 l 高灵活性l 更多功能l 主动防御最新的恶意程序 l 实时扫描邮件和网络数据流 l 包含ids 和ips的个人防火墙 l 在各种网络中（包括wifi）工作时都可受到保护 l 反恶意攻击的自我保护技术 l 隔离可疑对象 l 自动更新威胁特征库三、数据存储与备份设计服务器在安装过程中首先安装操作系统、驱动程序、各种补丁、各种应用程序等，一旦出现故障需要重新恢复服务器时需要很长时间并严重危及系统安全。设计在服务器配置高性能的raid功能，在raid组内损坏一块硬盘不造成数据的丢失，通过配置可以立即用热备盘替代损坏的磁盘，从而提高数据存储的安全性、可靠性；同时配备光纤存储磁盘阵列柜，确保数据存储与备份的可靠安全。第五节 网络可管理性设计网络管理的目的在于提供一种对计算机网络进行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展等手段，从而以合理的代价，组织和利用系统资源，提供正常、安全、可靠、有效、充分、用户友好的服务。系统管理应具有同时支持网络监视和控制两方面的能力：网络监视功能是为了掌握当前运行状态；而网络控制功能是采取措施确保网络的正常运行。这就需要一个中央管理系统来进行网络运行的维护和管理，用极少的维护人员的情况下发挥最大的运行效果。主要表现在：全方位、多层次的管理：不仅能管理点到点的网络通信；不仅管理基本的网络设备，还应能管理应用层的功能；例如可以在工作站远程配置设备，划分vlan，配置密码，分析网络流量等。 尽可能小的系统开销：管理尽可能多的协议层和尽可能大的范围是以增大系统开销为代价的。应根据实际情况对网络管理的范围和所需的开销进行统一、合理的分配和选择；提供划分虚网的手段：根据应用或部门可以划分成若干个虚拟子网。1、基于网管软件的管理方法cisco works 2000是一系列基于snmp的网际管理应用软件，可以实现对网络设备管理，流量管理、配置管理等功能。数据中心配置一台网管工作站，网管工作站可通过图形化管理和配置。网管系统功能主要包括如下：1）故障管理维护并检查错误日志，形成故障统计；接受错误检测报告并作出反应；跟踪、辩认错误；执行诊断测试；纠正错误。2）配置管理可以访问被管理设备的配置文件，并在必要时分析和编辑；网络节点设备部件、端口的配置；网络节点设备系统软件的配置。网络业务配置，网络节点数据的配置与修改，网络各种业务政策的配置与管理；对配置操作过程的记录统计。3）性能管理自动发现网络拓扑结构及网络配置，实时监控设备状态；通过对被管理设备的监控或轮询，获取有关网络运行的信息及统计数据；对历史统计数据的分析功能；优化网络性能，消除网络中的瓶颈，实现网络流量的均匀分布。4）安全管理网管系统采取高级别、多层次的安全防护措施；对各种配置数据、统计数据采取备份、保护措施；网管系统应提供严格的操作控制和存取控制；当网管系统出现故障时，能自动及人工恢复正常工作，不影响网络的正常运行。2、基于telnet客户访问的管理方法它是通过分配ip地址实现的，它允许网络管理员在禾草沟煤矿的任何地方都能方便的访问网络设备，实现方法：首先，划分管理网段（vlan），禾草沟煤矿的所有企业网网络设备都属于这个网段，别人无权访问。然后，给每个网络设备分配属于这个网段的ip地址，设置密码和相应权限。3、基于web的网络管理方法这也是一种广泛应用的管理方法。它允许使用万维网浏览器访问并配置网络设备，这个访问通过http（超文本传输协议）来提供的。利用我们熟悉的界面实现管理，思科网络设备将web功能嵌入在设备中，给每个设备分配一个管理网段的ip地址，这样，每个设备有自己的web地址，管理员可通过浏览器直接访问并管理该设备，在这种方式下，网络管理软件与网络设备集成在一起。网络管理软件无须完成协议转换。所有的管理信息都是通过http协议传送。4、基于rmon（远程网络监控）的网络管理我们所用网络设备完全支持rmon管理。通过配置，启用romn实现网管。rmon mib（管理信息库）由一组统计数据、分析数据和诊断数据构成，利用许多供应商生产的标准工具都可以显示出这些数据，因而它具有独立于供应商的远程网络分析功能。rmon探测器和rmon客户机软件在这里是网管软件结合在一起在网络环境中实施rmon。当一个探测器发现一个网段处于一种不正常状态时，它会主动与网络管理控制台的rmon客户应用程序联系，并将描述不正常状况的捕获信息转发，提供快速，简单的故障排除。5、远程管理另外，考虑到我管理人员可能出差，结合公共网络，通过配置实现管理人员在外地的对网络的管理维护。或者在中心设备上的控制口上连接一个modem，实现远程拨号访问，也可以满足远程管理的要求。6、系统文件和配置文件管理对于设备的系