管理网项目实施方案.doc

北京方大网络管理建设北京方大网络管理建设 管理网项目实施方案管理网项目实施方案 陕西长城信息有限责任公司 2020 年 1 月 7 日 目 录 1 概述 概述 1 2 公司管理网整体规划 公司管理网整体规划 3 2 1 直属单位整体规划 3 2 2 三级设备连接规范 4 2 3 VLAN 及 IP 地址规划 4 3 物流公司现状描述物流公司现状描述 5 4 综合布线 针对改造 综合布线 针对改造 5 4 1 需求 5 4 3 实施方案 5 5 网络工程 网络工程 6 5 1 需求 6 5 2 实施方案 6 5 3 接入交换设备分配 7 6 机房工程 机房工程 7 6 1 需求分析及整改措施 7 6 2 实施方案 9 机房平面图 9 防静电地板 10 UPS电源 11 精密空调 11 7 系统集成 系统集成 13 8 产品清单产品清单 16 1 概述 由于不存在下级单位访问 所以在此次集团管理数据通信网建设中作为二 级单位三级部署的模式 确保公司管理网安全可靠 才能保证四个单位顺畅的 接入到整个管理类数据通信网 才能保证管理网各个重要业务系统 如 OA 办 公自动化 营销系统 财务系统等业务应用平稳运行 本管理网项目 二期 实施方案主要为公司建立一套完整 可靠 安全的网络 根据各单位信息系统的不同建设情况 工作内容涵盖四个部分 综合布线 网 络工程 机房工程和系统集成 综合布线 主要工作为对公司本部现有布线系统整改 管理网专线链路由 运营商负责 后附工作界面说明 网络工程 按照统一标准 为需要接入管理网又没有内部局域网的单位 主要是二 三级网络节点 组建完整规范的局域网 对有内部局域网但无法 接入管理网的单位进行改造和升级 使所有单位局域网具有统一的网络拓扑结 构 能够按照统一标准将终端计算机接入管理网 机房工程 对公司信息化机房进行整改 使得满足管理网建设要求 按照 统一标准 为不符合设备运行环境要求的单位 主要是二 三级网络节点 改 造或搭建 以改造为主 一个经济型网络设备机房 以满足管理网设备对温度 湿度和净度的基本需求 并将管理网汇聚设备接入 UPS 不间断电源 避免设备 停电造成区域网络中断 系统集成 包括办公网络调整 管理网路由调整 管理网安全设备调整 管理网与互联网的逻辑隔离实施 实现设备冗余 链路冗余等 依据前期调研 管理网试点 整体方案论证等结合信息化网络相关规范和 行业标准 在充分考虑安全行 稳定性后 我方制定出符合安全要求 高可靠 可扩展 易管理的网络结构和管理网项目 二期 实施方案 通过本次管理信息网项目实现 机房建设和局域网的综合布线 每个房间保证至少两个信息点 办公楼 办公室内局域网全覆盖 UPS 不间断电源提供机房主要网络设备的电源保护 意外停电后 应能 立刻起效 同时根据配置的电池容量 保证设备能持续工作至少 6 小 时 起到县 市级网络链路的保障 采用终端隔离软件 结合准入管理设备实现局域网 互联网 与管理专 网的逻辑隔离 采用终端隔离软件 结合准入管理设备实现用户对特定安全区域如财务 数据库服务器的受限访问 实现对特定用户对特定业务系统如财务系 统的受限访问 利用互联网 VPN IPSec 实现管理网专线链路的冗余 同时利用互联网出 口防火墙 实现局域网宽控制功能 融合各单位自身的 小应用系统 2 物流公司管理网整体规划 2 1 直属单位整体规划 本次项目中 在原有管理网三级 MSTP 专线结构的基础上 为保证管理网 业务的可靠性 增加了通过 IPSec VPN 链路直接接入省核心节点的路径 在路由设备上 通过实施 OSPF 动态路由协议 实现链路物理或逻辑故障时 的自动切换 2 2 三级设备连接规范 2 3 VLAN 及 IP 地址规划 核心交换配置规范核心交换配置规范 序号序号IPIP 段功能段功能局域网局域网 IPIP 段段 内网内网 VLANVLAN IDID 核心交换核心交换 VLANVLAN 地址地址 1 连接准入设备段 192 168 147 0147192 168 147 254 2 管理地址 192 168 169 0169192 168 169 254 3 外网链接段 192 168 170 0170192 168 170 254 4 下级供电所 VLAN 192 168 255 0255192 168 255 254 5 单位局域网地址 192 168 17x 017x192 168 17x 254 外网网关地址规范外网网关地址规范 序号序号内网接口内网接口内网地址内网地址外网接口外网接口外网地址外网地址 1e0 2192 168 170 250e0 1 运营商提供 设备名参照其它链路备份设备 例如设备名参照其它链路备份设备 例如 SXBJ M3108 WG SXBJ M3108 WG 准入设备名为 准入设备名为 SXBJ M3100 SXBJ M3100 ZR ZR 说明 连接准入设备接口为说明 连接准入设备接口为 Gi0 1 Gi0 1 连接外网网关接口为连接外网网关接口为 Gi0 2Gi0 2 核心交换连接接入交换机 核心交换连接接入交换机 为为 Gi0 40 48 Gi0 40 48 接入交换机上联口采用千兆口 接入交换机上联口采用千兆口 针对物流公司 目前局域网运行正常 IP 地址目前均为静态分配 所以建 议目前不改动原有 IP 地址划分 无小应用业务系统 IP 地址 子网掩码及 VLAN 规划如下 办公楼 192 168 1 x 255 255 255 0 VLAN 171 3 公司现状描述 公司机房位于办公楼 211 汇集了办公大楼及其它楼的级联线缆 目前办 公使用了 4 台 24 口非网管交换机 办公点位数为 100 台左右 线缆无标签 无 配线架 直接接入机柜内 机柜距离墙面较近 如果将机柜调整到标准位置后 线缆将面临长度不足的问题 4 综合布线 针对改造 4 1 需求 本次管理信息网项目主要是管理网二期的综合改造和优化 主要为物流公 司办公楼内办公局域网进行改造 对物流公司机房现有网络柜内的网线进行延长 重新整理 优化 标示化 整改 4 3 实施方案 实施内容如下 撤掉物流公司旧机柜 对双绞线缆长度问题采用配线架或网络模块对接 的方式延长敷设到规划机柜的位置 安装配线架 测量线缆并完善线缆标识 以备日后维护 5 网络工程 5 1 需求 公司网络主机大约 100 台 分布在办公楼内 局域网为简单的局域网 没 有自己独立 完整的网络环境 管理网一期时部署的一台路由器交换一体机目 前作为主要管理网设备 目前未使用 本次管理信息网项目是对管理网一期的补充 深化和完善 提供 OA 办公自 动化 营销系统 呼叫中心系统 视频会议系统等重要业务系统使用 主要包括以下几点 实现局域网与管理网融合 通过互联网 VPN 链路 实现管理网 MSTP 专线的冗余 增强互联网出口的安全 实现互联网和管理网专网的逻辑隔离 5 2 实施方案 利用核心交换机作为局域网办公网络区域划分的主干交换机 利用高端口 密度交换机作为用户接入交换机 利用多功能网关实现管理网添加一路 VPN 冗 余链路 做双链路备份 提高管理网可靠性 局域网核心交换机 局域网核心交换机 使用一台高性能模块化全千兆三层交换机 实现网络分区域划分 根据可 根据办公区域进行 VLAN 划分 同时独立划分供电所 VLAN 局域网接入交换机 局域网接入交换机 使用百兆到桌面千兆上联的二层交换机进行公司内部办公计算机接入 根据现有局域网环境 尽量合理利用现有交换机等硬件资源 进行网络的 调整和划分 互联网防火墙互联网防火墙 互联网出入口采用一台高性能一体化安全网关 起到互联网接入作用 同 时建立互联网 VPN IPSec 加密通道 实现专网的冗余链路 管理网准入控制设备 管理网准入控制设备 管理网与局域网之间部署准入控制设备 准入控制设备 利用软件终端隔离软件保证所有 接入管理网的计算机在同一时刻实现与互联网的逻辑隔离 接入互联网的计算 机在接入管理网后自动断开互联网连接 接入管理网的计算机在接入互联网后 自动断开管理网连接 5 3 接入交换设备分配 接入交换均为非网管交换机 且均为使用多年的老旧设备 不利于日后维 护且随时有宕机的风险 因此建议更换为新的可网管二层接入交换机 原有 4 台 更换为 3 台 6 机房工程 6 1 需求分析及整改措施 公司机房位于办公楼房间 面积约 50 平方米 无玻璃隔断 无防静电地板 以下为现场调研时情况 为避免重复投资 节约资源 在能满足公司数据管理网二期建设技术要求 的前提下 需对物流公司机房进行整改 具体整改措施如下 1 对机房内线缆进行重新排放 捆扎 配线架端接 并做出规范标识 制作配线架对照表等 利于维护管理 2 将机房内网络机柜淘汰 由于原网络机柜长宽为 60cm 60cm 且较为 陈旧 质量较差 新配 2 面机柜为 60cm 100cm 为了整齐统一 淘汰 原网络机柜 3 设定新机柜位置 把网线利用新机柜及配线架重新迁移 以便于管理 网二期新部署的设备连接及维护 4 根据管理网对机房环境的要求 铺设新的静电地板 原有静电地板已 经比较陈旧 需要安装新的防静电地板 按照 18 平米估算 5 根据机房的面积及功能划分 保留原有玻璃隔断 6 根据管理网对机房温度的要求 安装机房专用精密空调 拆除原壁挂 式家用空调 安装新机房专用空调 7 根据管理网对机房电源的要求 安装专用 UPS 电源 保障管理网设备 正常运转 6 2 实施方案 公司信息系统机房建设工程包括 1 防静电地板部分 2 UPS 不间断电源系统 3 精密空调系统 机房平面图机房平面图 下图为机房布置图 防静电地板防静电地板 根据物流公司机房面积按 50 平方米估算 地板为全钢组件 底面采用深级拉伸钢板 表面采用硬质钢板 上下钢板 冲压 点焊成形 四边采用先进的焊接补强结构 除传统底部 64 个拱形拉伸外 新增 32 个凸起小球 解决了普通地板底部平板区域相对薄弱的缺点 增强了地 板的整体载中载荷 极限载荷和均布载荷 地板基体表面经磷化后进行静电喷 涂处理 喷涂层材料为热固性环氧塑粉末 表面达到柔光 防腐 耐磨效果 内腔内填充发泡水泥 地板面贴 地板面贴 地板表面粘贴高耐磨抗静电 HPL 三聚氰胺 贴面 支承系统 支架 横梁 支承系统 支架 横梁 采用四周支承式 支架上托板 底板为钢板 下支承为圆型或方型钢管 为便于安装调整 在下支承杆上安装有调整罗母 支承高度可以通过调整支承 罗杆的高度进行调节 调整范围为 25mm 支承高度调整后 可通过拧紧罗母 进行锁定 横梁为专用矩形钢管 具有钢性好 承载能力强等特点 支架 横 梁表面经镀锌处理 美观 防腐 主机房地面首先进行基层清理 主机房地面首先进行基层清理 主机房安装防静电地板 规格为 600 600 35mm 地板铺设高度为 300mm 配原厂地脚及配件 原厂地脚胶及螺丝胶 地板铺设做到所有连线横平竖直 所有相邻地板之间高低公差 0 5 mm 水平位置公差 1 0mm 抗静电地板沿墙 收边处理 主机房入口处做踏步台阶及收边处理 防静电地板 品牌 冀美 JIME 冀美 JIME 牌地板 冀美 JIME 是一家专注于从事机房专用抗静电活 动地板研发 制造 销售为一体的专业机房地板生产销售公司 自公司创建以 来 一直本着制造与国际知名机房抗静电活动地板品牌产品质量媲美的经营理 念 不断学习并采用进口地板制作工艺技术 至今已建立起了集开发设计 生 产制造 销售流通与安装服务于一体的全方位供给体系 产品生产先后通过了 ISO9001 国际质量体系认证 ISO14001 环境管理体系认证 UPS 电源 机房供电采用 UPS 供电方式 每台机柜由两个独立的 PDU 进行供电 实现 双回路 双控制冗余供电使负载适中 均匀 平衡 根据中心机房设备用电量计算 本次 UPS 单机额定容量为 2KVA 满足管 理网设备在意外断电时 后备延时 6 小时需求 UPS 电源采用 易事特 UPS 实现机架式 UPS 机头及电池组安装 放置于新 配置机柜中 精密空调 为使机房内主要设备和管理操作人员有一个良好的工作环境 并为其具备 能够安全 可靠地运行 发挥其最大的工作效率 就要提供一个符合其运行标 准要求的机房环境 这包含对制冷 制热 加湿 去湿 滤尘有严格的标准要 求 设备运行情况 使用寿命与工作环境有密切关系 温度 湿度 洁净度就 是工作环境的关键因素 方案实施空调采用艾默生 ATP05 机房专用精密空调 本次项目根据新机房设备数量 功率等 配置机房专用精密空调 制冷量 5700W 显冷量 5130W 标准风量 1300 m3 h 停电保护 来电自启动功能 网络管理功能 标配 RS485 监控接口 并免费提供通信协议 支持主备切 换功能 支持设备远程管理 7 系统集成 1 专网链路冗余 省集团公司已经实施了全省数据专线管理网的建设 实现了省 市 县三级 联网 该网络根据所属区域 分别租用移动 联通的 MSTP 数据专线 形成了 单链路的管理网环境 考虑到营销系统 呼叫中心系统 财务系统 OA 办公自动化系统 基建系 统等 越来越多的业务系统需要承载在管理类数据专网上 链路可能出现的故 障 将导致业务的中断 造成的损失无法预估 为此 本方案中增设一台多功 能安全网关设备 通过 IPSecVPN 技术与集团公司 VPN 设备组成加密通道 实现 管理专网链路的另一条冗余线路 在专网路由器进行合理的配置 实现专线链路与 VPN 冗余链路的自动冗余 保证当专线链路出现物理故障而中断时 VPN 链路能及时的起效 保证业务的 不间断 2 机房可靠性 机房配置专用 UPS 保证在电力出现问题时 能维持至少 6 小时的故障处 理 恢复时间 3 双网逻辑隔离 考虑到当前县级单位局域网的现状 及全省要全面实现内网 外网物理隔 离工作所面临的巨大资源 经费 人力 物力等问题 本方案中 先期采用逻 辑双网隔离的措施 利用增设的管理网准入设备配合专用准入客户端软件 实 现客户端 PC 机不能同时接入到互联网和管理类数据专网 只有通过了管理网准 入设备的 PC 机 才能访问专网 断开专网连接后 才能访问互联网 该逻辑隔离方式 能有效的阻断来自互联网的可能的跳板攻击 同时 采 用准入的方式 可以有效的监管客户端 PC 的网络行为 提高数据专网的安全性 相比物理隔离方式 具有更高的可操作性 能极大的降低物理双网隔离带来的 巨大维护量 能有效的促进县级单位 营业所用户的安全意识 4 财务 营销专机专用及监控 对于财务 营销系统等配置的专用 PC 机 其不与互联网连接 专用于业务 工作使用 通过配置财务 营销专用客户端 专用用户组或账号方式 实现管 理网的准入 有效杜绝其他用户对财务系统的访问 财务 营销专用客户端可以采取 MAC 机器码等硬件信息进行 PC 设备的 识别 只有准入的硬件设备才可接入专网 防止滥用专用客户端 5 内外网链路检测 接入管理类数据专网的 PC 设备 必须安装专用准入客户端 不安装的计算 机将无法通过准入设备的认证 将只能访问互联网 已经接入专网的 PC 设备 如果一旦检测到非法外联 即同时接通了互联网 其专网连接将立刻自动被断 开 同时 在集团公司的监管服务器上会有非法外联的报警信息 6 链路及终端接入情况统计 本方案中 所有县级下的供电所 营业厅都将采用运营商专线的方式 接 入到县级单位的专网路由器上 根据各个市级单位 县级单位及营业所的专网接入情况 在集团公司监管 服务器上 能清晰的以图示的方式展现当前链路情况及 PC 终端接入情况 8 产品清单 序号序号物品名称物品名称型号型号配置说明配置说明单位单位数量数量 交换路由 一体机 H3C MSR3620 1 台主机 1 台电源 1 块 24 口千兆板卡套 1 LS 5500 28C SI H3C S5500 28C SI 以太网交换机主机 24GE 4SFP Combo 2Slots CAB RPS500 800 1m RPS 电源线 1m RPS500 8001 核心交换机 LSWM1RPS80 0 H3C RPS800 A 冗余电源系统 台 1 2 接入交换机 LS S2152 H3C LS S2152 以太网交换机主机 48FE 2GE 2SFP 1Console 口 无风扇 台 3 3 准入控制 山石网科 SG 6000 E1700 硬件参数 1U 机框 含 2 个固化交流电源 9 个千兆电口 软件参数 含操作系统 StoneOS 最大网络吞吐量 1 5Gbps 最大 并发连接数 100 万 每秒新建为 1 5 万 支持 web 管理功能 系统软件功能模块包 括 分级访问控制功能 NAT 地址转换功能 IPSec VPN L2TP VPN DDoS 攻击防御能 力 ARP 功能 透明模式 路由模式 链 路负载 VLAN 子接口功能 静态路由协议 RIPv2 协议 OSPFv2 协议 BGP 协议 GRE 功能 ALG 功能 组播功能 链路捆绑 等价路由 SNMP 管理功能 TELNET 管理 SSH 管理 支持双机热备 支持集中管理 等功能 台 1 4 多功能安全 网关 山石网科 SG 6000 M3108 硬件参数 1U 机框 含 2 个固化交流电源 8 个千兆电口 2 个千兆光电互斥接口 软件 参数 含操