业主营地网络信息系统集成方案.doc

系统集成方案 XXXXXXXXX有限公司XXXX有限公司业主营地网络信息系统集成方案2009-11-25福建新大陆电脑股份有限公司目 录一、 前言4二、业主网络现状及拓朴41、现有信息内网41.1、业务系统61.2、网络系统61.3、网管系统61.4、广域网系统62、现有信息外网72.1、福州本部72.2、XX工地和XX镇驻点83、现有不间断电源84、设计的网络综合布线84.1 内网信息点统计84.2 外网信息点统计9三、建设目标91、业主营地内部信息网络92、业主营地外部信息网络93、不间断电源系统104、信息安全运行保障集中管理系统10四、设计依据10五、设计原则10六、内部信息网络121、主干网络121.1、网络结构及技术要求121.2、设备选型142、广域网接入以及网络系统安全152.1、专线接入152.2、防火墙152.3、入侵防御系统152.4、网络防病毒系统152.5、系统漏洞修复153、网络管理163.1、网络设备的管理173.2、服务器管理173.3、计算机管理183.3.1、布署欣向免疫墙路由器183.3.2、布署公司域控制器203.4、企业应用管理214、视频会议系统分布调整225、内网VLAN和IP地址规划236、内部信息网络总体拓朴23七、外部信息网络251、主干网络251.1、网络结构及设备技术要求251.2、设备选型252、互联网接入及网络系统安全262.1、互联网接入262.2、外网系统安全263、网络管理264、外网VLAN和IP地址规划275、外网网络拓朴27八、不间断电源系统291、中心机房UPS系统291.1、UPS 功率统计291.2、UPS 类型选择301.3、设备选型301.4、后备时间312、弱电间及配线间UPS 系统312.1、弱电间功率计算及UPS分析312.2、配线间UPS分析31九、机房信息安全运行保障集中管理系统321、设计依据322、设计原则323、力禾SupMonitor简介334、系统特点345、系统性能366、系统结构377、系统功能398、监测对象及内容418.1、配电系统428.2、UPS电源检测系统438.3、空调系统448.4、温湿度检测系统448.5、漏水检测系统458.6、消防系统468.7、视频监视系统468.8、门禁系统479、系统设备481、 前言XXXX有限公司（以下简称业主）是XXXX有限公司（以下简称总部）位于XX省的下属单位，目前办公地点有以下三个1、福州本部租用XX大楼的7楼8楼进行办公；2、现在XX县设有一个工地，建设业主营地；3、XX镇设立了一个驻点，方便业主人员在工地办公。在XX业主营地建成之后，将建设业主营地的大楼网络系统，以满足业主的办公及各项业务运行的需要。二、业主网络现状及拓朴1、现有信息内网1）、福州本部信息内网利用XX集团原有的办公网络；2）、XX工地和XX镇驻点建设了临时办公网络；3）、总部、福州本部、XX工地及XX镇驻点采用基于SDH传输链路的IP技术进行广域网组网，实现数据的传输与交换；4）、总部和福州本部之间应用MPLS VPN技术承载多业务流，在数据传输的基础上实现与总部的视频会议功能。现有信息内网拓朴图如下：Page 54 of 541.1、业务系统目前信息内网上运行的有以下五个业务：1、 XX财务系统，属于VLAN106，服务器在总部，福州本部使用；2、 XX财务系统，属于VLAN106，服务器在福州，福州本部使用；3、 办公自动化系统，属于VLAN106，服务器在总部，全网使用；4、 基建信息系统，属于VLAN106，服务器在XX工地，全网使用；5、 视频会议系统，属于VLAN103，服务器在总部，福州本部使用。1.2、网络系统目前信息内网中没有核心交换机，只有两台智能网管型二层交换机，一台H3C S3100-26C-SI，一台H3C S3100-26TP-SI，其他的都是不带网管的普通二层交换机。福州本部七楼八楼的楼层交换机是北电的智能网管型二层交换机，但是业主只有使用权，无法对其设置进行变更，只能做为普通的二层交换机使用。1.3、网管系统位于福州本部、使用XX财务系统的财务机，是总部指定访问的计算机，具体特殊性。除其之外，所有办公计算机全部由三台欣向NuR9266G免疫墙路由器进行网络管理，阻止ARP欺骗攻击、控制网络流量，保证内网主干的畅通、各业务服务器能正常提供服务。1.4、广域网系统福州本部和XX工地之间租用中国电信的2M SDH专线进行连接，中间用H3C F100-A防火墙和H3C F100-A-SI防火墙实现广域网和内网的隔离；XX镇驻点和XX驻点租用中国移动的2M SDH专线进行连接，没有设置防火墙进行隔离。VLAN103和VLAN106在H3C AR46-40路由器上汇聚，应用MPLS VPN技术，通过租用中国电信的2M SDH专线与总部实现数据通信和视频会议功能，用 H3C F100-A做安全接入，实现与广域网和内网的隔离。2、现有信息外网2.1、福州本部福州本部信息外网受场地限制，内部采用四台NetGera WG102无线接入点部署，客户端采用笔记本自带的无线网卡和NetGera WG101无线网卡连接。四台无线接入点通过一台欣向NuR5115M免疫墙路由器接入中国电信的光纤，连接到互联网，网络拓朴如下：2.2、XX工地和XX镇驻点这个两地方都是接入中国移动的光纤连接到互联网，所采用的设备也是由中国移动赠送的家用型路由器和普通交换机。3、现有不间断电源公司有一套3KVA的UPS系统，现布署在XX工地，为服务器和网络设备提供延迟供电服务；延迟供电1个小时。4、设计的网络综合布线业主营地四栋大楼的网络布线由土建单位进行五类屏蔽线布线。l 办公楼所有信息点全部汇聚到相应的楼层配线间；l 业主宿舍楼所有信息点全部汇聚到二层的弱电间；l 监理宿舍楼所有信息点全部汇聚到一层的配线间；l 综合楼所有信息点全部汇聚到一层的配线间；l 办公楼各楼层之间采用多模千兆光纤连接；l 办公楼和业主宿舍楼、监理宿舍楼、综合楼之间采用单模千兆光纤连接。4.1 内网信息点统计地点信息点数终端个数备注办公楼222222合计2222224.2 外网信息点统计地点信息点数终端个数备注办公楼223223业主宿舍楼5858监理宿舍楼4373二层、三层为双人宿舍间综合楼1414合计338368三、建设目标1、业主营地内部信息网络l 千兆为主干，百兆交换到各信息点；l 接入XX公司的广域网络；l 建立安全系统l 建立网络管理系统；l 调整网络配备使视频会议系统在福州和XX两地都可以使用；2、业主营地外部信息网络l 以千兆为主干，百兆交换到各信息点；l 接入互联网；l 建立安全系统l 建立网络管理系统；3、不间断电源系统l 办公楼中心机房设备的供电，并满足三到五年内信息系统扩容的需求；l 办公楼各层配线间设备的供电，l 业主宿舍楼弱电间设备的供电；l 监理宿舍楼和综合楼配线间的供电。4、信息安全运行保障集中管理系统l 中心机房进出监控管理；l 中心机房设备运行环境监控管理。四、设计依据本次网络设计依据为：1. 由公司提供的XX勘测设计院的弱电设计图2. 向公司信息人员询问了解3. 公司原有网络拓朴图4. XX公司信息机房设计及建设规范（试行）5. XX公司广域信息网工程IP方案五、设计原则1) 先进性原则：以先进、成熟的网络通信技术进行组网，支持数据、语音和视像等多媒体应用，能确保网络技术和网络产品几年内基本满足应用的需求。要求采用的系统结构应当是先进的、开放的体系结构；采用的设备、技术应当是业界先进的；采用先进的现代管理技术，以保证系统的科学性。2)实用性原则：既从目前系统规模为出发点，充分考虑用户当前各业务层次、各环节管理中数据处理的便利性和可行性；又考虑长远发展的需要。3)开放性原则：网络要具有良好的开放性，应和其他网络有很好的互连性。4)高可靠性：应采用成熟的先进技术，关键部件要有足够的备份冗余，要具备必要的容错能力。5)可扩展性：在网络技术日新月异的今天，网络要有能力和将来的技术融合，同时要保护现有投资，保证网络系统随时加入新的设备，保证有关软件的顺利升级和扩充。要求：网络规模的可扩展性，包括网络的地理分布、用户数；应用内容的可扩展性，要求网络平台必须具有数据、语音、视像等多种业务支持的能力；网络容量的可扩展性，要求整个网络系统随着用户规模和应用的扩展，网络的传输容量也必须能相应的提高。6)灵活性：整个网络系统必须满足便于安装、便于管理、便于维护、便于使用的要求。 7)安全性：网络的各个环节要尽可能多的提供安全保密措施，来保证网络的性能。安全措施应包括：系统漏洞检测修复、防病毒、防黑客、防止非法或越权访问、安全策略控制等。8)可管理性：网络的建设必须保证网络运行的可管理性。要求可发现网络拓扑、实时监控网络性能、管理维护设备配置、防止网络攻击，并可迅速简便地进行网络故障的诊断。9)经济性原则：在满足系统需求及系统扩展的前提下，应尽可能选用性能价格比优的设备，以便节省投资。10)设计的标准化：整个网络从设计、技术、和设备的选择，为确保将来能够与不同厂家设备、不同应用、不同协议相连接，必须支持多种国际标准的网络接口、和协议，以提供高度的开放性。全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3， 802.3u，802.3z等。支持路由协议：IP 的RIP v1/2，OSPF，BGP-4；IPX 的RIP ，SAP等。支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM、IGMP SNOOPING等。支持网络管理协议：SNMP，RMON，RMON2等。六、内部信息网络根据XX公司现有管理信息网的定位，内部信息网络的作用是：信息化业务应用承载网络和内部办公网络。1、主干网络1.1、网络结构及技术要求l 保障核心网络不间断稳定运行采用双核心、双千兆上行的复合星形二级全冗余结构，实现核心网络不存在单点故障，即任意一台网络设备损坏不会造成主干网络的中断。l 满足五到十年的接入容量核心交换机千兆光口引擎平台接入办公楼各楼层交换机，以后还要接入中控楼和业主其他大楼的交换机，还要考虑一定冗余接入其他光纤设备。核心交换机千兆电口引擎接入业务应用服务器和机房内的交换机。根据其他中型电厂五到十年的信息网络建设情况来看，服务器数量在30台左右。并考虑一定的冗余。l 具有三层交换、VLAN等高级网络功能核心交换机应具有三层交换功能，这对灵活划分网络、安全管理有着重要的作用。子网内部用户之间通信通过子网交换机在第二层（数据链路层）实现，跨子网的通信通过核心交换机在第三层（网络层）实现。采用第三层交换技术，既能实现子网间的信息通信又能对重要子网实施必要的访问控制，避免子网内部数据广播向其他子网扩散，同时方便网络的安全管理。选用的网络设备既要支持虚拟局域网技术，以提供透明的链路通道；又必须支持大多数网络协议，提供网络服务，开展网络应用。这就决定了所有设备必须是可以工作在第二层或第三层的，具有每层对应的管理、安全控制功能。l 支持各种管理机制和安全机制为保证用户带宽，除了采用各种服务质量机制和带宽管理机制外，设备还必须提供全线速的交换和路由能力，有足够大的MAC地址表和路由表。为保证信息内网网络的安全性，设备本身必须支持各种安全机制，确保设备本身不会被轻易入侵。1.2、设备选型基于上述各方面考虑，还有总部的网络都是采用H3C公司的产品，为保证兼容性，采用以下设备：l 2台H3C S7503E-S以太网交换机作为核心交换机；各配置：- 1个24口千兆光口引擎（其中8个口光电复用）；- 5个千兆多模光纤模块来接入各楼层的交换机；- 1个48口千兆电口引擎；- 2个电源模块，保证核心交换机不会因一个电源模块损坏而断电。l 2台H3C S3100-52P 和 8台H3C S3100-26TP-EI做为楼层交换机，配置：- 5个堆叠模块；- 5个千兆多模光纤模块。l 1台H3C S5100-24P-EI千兆交换机做为管理交换机，用于接入服务器的管理网口和一些管理设备。2、广域网接入以及网络系统安全2.1、专线接入广域网接入继续沿用福州到XX的2M SDH专线，只需将原有线路的XX地点做一个变更。2.2、防火墙原有的H3C F100-A-SI 防火墙185Mbps的吞吐量目前满足一条2Mbps 的专线流量，因此继续使用。2.3、入侵防御系统入侵检测系统IDS主要作用是通过监听的方式不间断地收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图；如果发现威胁，就通过各种手段向管理员报警。类似于大楼中的视频监控系统。入侵防御系统IPS则比IDS更进一步，如果发现威胁，就会主动进行阻断。IDS/IPS可以防止黑客入侵，防止非法/越权访问，是防火墙的必要补充。广域网入口处，H3C F100-A-SI防火墙的与核心交换机中间布署一台入侵防御设备 H3C SecPath T200E IPS。2.4、网络防病毒系统防病毒系统及服务器由业主总部统一采购无需配置。2.5、系统漏洞修复目前公司都是采用微软的Windows系列操作系统，服务器也大部分采用微软Windows Server系列操作系统。Windows因使用者众多，成为黑客和病毒制造者攻击的首要目标，各种漏洞和攻击手段不断地被发现。微软公司为此不断地开发补丁程序来修复漏洞，尽量使Windows避免攻击。因此及时地修复计算机操作系统的补丁，可以避免许多黑客和病毒的攻击。微软公司针对企业推出的免费内网更新工具 - Windows Server Update Services ，简称WSUS。企业网络中部署一台WSUS服务器，WSUS每天自动与微软公司的更新服务器保持同步，企业网络中其他服务器和计算机从WSUS服务器获取更新。建议在外网和内网各布署一台WSUS服务器，外网WSUS服务器自动同步，并通过移动存储设备与内网WSUS服务器同步。WSUS系统可以布署在防病毒服务器上。3、网络管理网络管理，是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作，包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。网络管理包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制。对于公司的内网管理，我们将其分为四个方面：1 网络设备的管理2 服务器的管理3 计算机的管理4 企业应用管理3.1、网络设备的管理网络设备的管理体现为发现网络拓扑、实时监控网络性能、管理维护设备配置、并可迅速简便地进行网络故障的诊断。对于以H3C网络设备组建的网络，最适合的网络管理软件应当是H3C开放智能管理中枢（H3C Intelligent Management Center，以下简称H3C iMC），作为H3C IToIP整体解决方案的重要组成部分，H3C iMC采用面向服务架构（SOA）的设计思想，融合并统一管理业务、资源和用户这三大IT组成要素，通过按需装配功能组件与相应的硬件设备配合，形成直接面向客户应用需求的一系列整体解决方案，从而成为H3C IToIP整体解决方案的开放智能管理中枢。H3C iMC 主要是通过SNMP网络管理协议来管理网络中支持SNMP协议的设备。许多设备都支持SNMP网络管理协议，因此H3C iMC也都可以管理这些设备。H3C iMC 还有其他扩展模块，如端口准入、智能报表等模块，可在后期根据需要进行采购。采用H3C iMC-智能管理平台标准版(不含节点) For Windows和管理25节点license，如果管理节点license不够，以后再继续增加。另外还需要布署一台服务器运行H3C iMC 网络管理软件。3.2、服务器管理在一个大中型企业的信息网络系统中，都有各种各样的应用系统，而这些系统的核心都是建立在服务器之上，因此信息网络系统中就会有数量不少的服务器。如何管理这些重要的设备，是网络管理员的工作重点之一。首先应要求服务器支持SNMP管理，这样我们可以网管软件中监测服务器运行状况，出现故障也可以通过网管软件报警；其次服务器应能支持硬件远程管理，这个机房分散而且网络管理人员较少的企业尤为重要。硬件远程管理可以对服务器进行远程开关机、配置、安装操作系统等硬件级别的操作，可以使网络管理人员更为便捷地维护安装服务器，还可以节省服务器光驱、显示器、键盘鼠标、KVM等设备，提高机柜的利用率。服务器硬件远程管理技术，IBM服务器有BMC、HP服务器有iLO、DELL服务器有iDRAC、联想有慧眼。推荐使用 HP的服务器。3.3、计算机管理PC是信息网络中数量最多、最难管理的终端设备，PC管理存在以下几个问题：病毒首先感染的都是PC，PC是网络中的病毒进行网络攻击的源头；不受限制的上传下载，严重堵塞互联网出口或广域网出口；安装的软件繁杂，出现软件冲突机率大；使用者计算机水平不一，办公设备多，问题故障也比较多。为处理这些问题，公司网络管理员疲于奔命，埋头于这些繁琐的事情之中，根本腾不出时间来对公司网络进行分析、规划、优化；也严重影响其他员工的工作效率。对此，应采用一些措施来尽量解决这些问题，帮助网络管理员减轻负担、提高管理效率。3.3.1、布署欣向免疫墙路由器我们可通过H3C 网络管理软件来对每个信息点的端口进行流量限制，甚至可以将发送网络攻击PC所有的端口进行关闭隔离，但那都是获取警告之后的事后处理，此时病毒和木马已经开始蔓延了。如果一个端口下方不止有一台PC或有其他网络设备，对端口进行处理就会把它们都限制了。目前市面上的防病毒软件可以处理已知的病毒，新病毒被查杀的概率很小，只有等到防病毒软件公司采集到样本之后，其软件才有查杀能力。而这个之前，病毒已经获得广泛的传播。因此我们需要布署欣向免疫墙路由器，它由路由器硬件设备、运营中心服务器和客户端驱动程序三部分组成，它们之间使用专有协议进行通讯。路由器硬件负责客户端授权，并对访问路由器外部资源的PC进行强制安装客户端；运营中心服务器对安装上客户端的机器进行分组管理，根据工作性质配置相应的分组策略，收集PC网卡的流量报告和报警日志；客户端驱动程序绑定在PC的网卡之上。对PC机的外网流量和内网流量根据分组策略进行控制；对ARP攻击、虚假IP、虚假MAC地址等危害性比较大的网络攻击进行主动封锁，甚至主动进行PC隔离，由网络管理员处理之后再手动解除；对于IP分片、IP残片、DDOS、SYN洪水等需要海量发送才会产生危害的网络攻击少量放行，超过限制就主动封锁。根据设计，公司内网有240个终端点，考虑15%的增长量，大概为276点，配置一台400个授权的欣向9528免疫墙路由器。由于免疫墙路由器无法对VLAN TAG进行透明传输，因此在内网不能作为网关型设备使用，只作为旁路型设备接入网络。旁路接入无法对PC机强制安装客户端，我们可以使用其他补充手段来解决。3.3.2、布署公司域控制器1996年微软公司发布了一个里程碑式的软件 - Windows NT Server 4.0，NT4.0 和 Windows95一起，为微软奠定了软件帝国的基础。NT4.0 提出了域服务器这个概念，主要作用是：1.安全集中管理：统一安全策略，网络管理员只需在服务器上进行设置即可实现，无需每台PC都进行设置；2.软件集中管理：实现软件分发、指派功能，对于一些软件可以由网络管理员分发、指派，PC机登录域的时候自动安装；3.环境集中管理、漫游：利用AD可以统一客户端桌面,IE,TCP/IP等设置，每个用户的Windows配置存储在服务器上，在福州、在仙游两地的办公电脑环境几乎完全一样；4.活动目录：为公司整体统一管理做基础，其它isa、exchange、防病毒服务器、补丁分发服务器、文件服务器等服务依赖于域服务器；5.用户权限：可以对用户分配不同的访问网络资源权限，而且超级管理员权限配合DameWare NT Utilities软件可以远程登录任一登录域的电脑进行远程软件维护、安装，实现网络管理员对故障的快速反应。布署域控制器需要一台服务器。3.4、企业应用管理随着公司和总部信息化的深入，将会有越来越多的应用系统交付使用，这样，记忆众多的应用系统地址和相关事项是一样相当困难的事。因此建议公司在内网建立一个公司门户网站，把各应用系统的地址和相关事项公布在上面，实现应用导航。日后公司还可以根据实际情况，增加公司门户网站的功能，使公司门户网站成为更好的办公辅助工具。简单的公司门户网站可以布署在域服务器上，使用Apace 等免费开源软件来架设WEB服务器，因为用Windows 2003/2008服务器操作系统自带的IIS来架设WEB服务器，还需要购买一个WEB授权。4、视频会议系统分布调整公司原来有一套视频会议系统，在与总部进行视频会议时使用，布署在福州本部的八楼会议室，通过物价XX内的楼层跳线直接接入到路由器H3C AR46-40的Eth1口上，属于VLAN103，接入福州本部和XX网络的Eth0口上没有开放VLAN103。业主营地大楼建设完成之后，公司领导将会经常在业主营地的会议室参加视频会议，到时是将福州的这一套视频会议系统迁到福州，还是新买一套放在XX由公司领导决定，但我们可以在网络上进行事先调整，以适应这两种情况的发生。l 由于福州本部的网络设备中没有能打VLAN标签的H3C 智能交换机，所以我们将原先布署在XX镇驻点的H3C S3100-26C-SI交换机调整到防火墙的下方，用它来打VLAN TAG；l 将路由器H3C AR46-40 Eth1口上的视频会议系统迁移到H3C交换机下，所在端口打上VLAN103的标签；l 关闭Eth1接口上的VLAN103，开放Eth0接口上的VLAN 103；l 福州本部的网络通过欣向9266G也接入H3C交换机，所在端口打上VLAN106标签；l 将业主营地准备放置视频会议系统的会议室端口打上VLAN106标签。这样，不论是福州的视频会议系统迁移下去，还是配置好的新购视频会议系统，接在会议室的端口上，就可以使用了。5、内网VLAN和IP地址规划根据XX公司广域信息网工程IP方案和现在总部布署情况，对内网的VLAN和IP地址规划如下：VLAN IDVPN通道IP地址段网关功能使用设备Vlan100VPN199.56.233.0/2499.56.233.254实时生产信息备用Vlan101VPN299.56.234.0/2499.56.234.254财务信息备用Vlan102VPN399.56.235.0/2499.56.235.254办公应用主域和门户服务器网络办公设备Vlan103VPN499.56.236.0/2499.56.236.254视频多媒体视频会议系统Vlan104VPN599.56.237.0/2499.56.237.254网管服务器管理端口网管、日志服务器UPS网络监控端口防病毒、WSUS服务器网管机Vlan105VPN699.56.238.0/2499.56.238.254备用备用Vlan106VPN799.56.239.0/2499.56.239.254其他远光财务机、财务服务器基建服务器、数据库服务器网络设备管理地址使用OA和基建系统的PC6、内部信息网络总体拓朴七、外部信息网络根据XX公司现有管理信息网的定位，外部信息网络的作用是：对外业务网络和访问互联网用户终端网络。1、主干网络1.1、网络结构及设备技术要求外部信息网络对网络的高可用性要求没有内网信息网络那么高，使用单核心交换机即可。设备技术要求与内网一致。1.2、设备选型采用以下设备：l 1台H3C S7503E-S以太网交换机作为核心交换机；配置：- 1个24口千兆光口引擎（其中8个口光电复用）；- 5个千兆多模光纤模块来接入各楼层的交换机；- 3个千兆单模光纤模块来接入其他大楼的交换机；- 1个48口千兆电口引擎；- 2个电源模块，保证核心交换机不会因一个电源模块损坏而断电。l 6台H3C S3100-52P 和 5台H3C S3100-26TP-EI做为楼层交换机，配置：- 3个堆叠模块；- 5个千兆多模光纤模块；- 3个千兆单模光纤模块。l 1台H3C S5100-24P-EI千兆交换机做为管理交换机，用于接入服务器的管理网口和一些管理设备。2、互联网接入及网络系统安全2.1、互联网接入业主营地大楼互联网接入，出口带宽建议40Mbps左右。建议福州本部和仙游永久营地互联网接入采用同一家的宽带接入商的线路，因为不同宽带接入商存在互联互通的问题，将会严重影响福州本部和仙游永久营地外网之间的通讯。2.2、外网系统安全外网上病毒与黑客可以直接攻击公司的外网信息网络，安全问题需要重视。我们需要在外网信息网络中部署防火墙、入侵防御系统、应用特征控制系统、防病毒系统。因此我们采用统一威胁管理设备H3C SecPath U200-A。3、网络管理网络设备管理与内网一致；服务器管理与内网一致；外网也建立域服务器，可以和网管服务器整合；外网终端点数368个，考虑以后中控楼和其他大楼外网接入，以及15%的增长量，需采用800个客户端授权的欣向免疫墙NuR9528G+路由器，以网关型设备布署。4、外网VLAN和IP地址规划VLAN IDIP地址段网关功能使用设备Vlan1192.168.1.0/24192.168.1.254业主外网业主办公PC及办公设备Vlan2192.168.2.0/24192.168.2.254监理外网监理办公PC及办公设备Vlan3192.168.3.0/24192.168.3.254综合楼综合楼设备Vlan4192.168.4.0/24192.168.4.254业主宿舍业主宿舍PCVlan5192.168.5.0/24192.168.5.254监理宿舍监理宿舍PCVlan6192.168.6.0/24192.168.6.254备用备用Vlan7192.168.7.0/24192.168.7.254备用备用Vlan8192.168.8.0/24192.168.8.254服务器群各种业务服务器Vlan9192.168.9.0/24192.168.9.254安全网管网络设备管理地址服务器管理地址主域、网管服务器防病毒、WSUS服务器5、外网网络拓朴八、不间断电源系统UPS电源的主要用电设备包括：机房服务器等计算机及网络设备用电、监控系统用电、门禁系统用电、部分机房应急照明用电。由于这些设备进行数据的实时处理与实时传递，关系重大，所以对电源的质量与可靠性的要求最高。设计中采用电源由市电供电加备用供电这种运行方式，以保障电源可靠性的要求；系统中同时考虑采用UPS不间断电源，最大限度满足机房计算机设备对供电电源质量的要求。市电供电与备用供电电源引自两个不同的电源点，在机房进行切换，再经过UPS不间断电源对计算机设备供电。1、中心机房UPS系统1.1、UPS 功率统计设备功率数量总功率一楼配线间H3C S3100-26TP-EI17351 二楼配线间H3C S3100-26TP-EI17234 H3C S3100-52P50150 三楼配线间H3C S3100-26TP-EI17234 H3C S3100-52P502100 四楼配线间H3C S3100-26TP-EI17234 H3C S3100-52P50150 五楼配线间H3C S3100-26TP-EI17234 H3C S3100-52P502100 网络设备柜H3C S7503E-S60031800 H3C S5100-24P-EI46292 H3C F100-A-SI55155 欣向 NuR952830130 欣向 NuR9528G+30130 H3C U200-A1001100 H3C SecPath T200-E3001300 服务器服务器双电源20003060000 显示器、双KVM2003600 网管机50021000 电话设备柜程控交换机200012000 视频监控主机及监视器100011000 报警控制主机5001500 室外摄像机QS1-QS32003600 室外摄像机Q102001200 广播柜100011000 功率统计：69794 实际负载不得超过UPS负载的80%87243 由上表可见，中心机房未来三到五年内需要90KVA以上的UPS容量。1.2、UPS 类型选择目前市面上有工频机、高频机、模块化三种UPS。工频机和高频机容量固定，扩容通过并机实现，这样要对已经装修好的机房进行布局调整；一次性到位又浪费资金。模块化UPS 可以先采购大容量的UPS机架，而后随着设备的增加来增加UPS模块。工频机和高频机最多采用N+1并机UPS冗余。模块化UPS可以采用N+X并机冗余，可实现更高的冗余，提高系统的可用性。1.3、设备选型采用冠军CPHP2060模块化UPS柜，最大容量100KVA，每个UPS模块10KVA。初期配置我们配置6个UPS模块，共60KVA。配置一个UPS网络监控模块，接入到内网管理交换机上，实现对UPS电量的监控管理。 1.4、后备时间采用64节120AH/12V电池，实现60KVA UPS 2个小时的后备时间。UPS 扩容到100KVA，也可以拥有1个多小时的后备时间。2、弱电间及配线间UPS 系统2.1、弱电间功率计算及UPS分析设备功率数量总功率业主宿舍楼弱电间H3C S3100-26TP-EI17117H3C S3100-52P50150室外摄像机QS4-QS920061200功率统计：1277 实际负载不得超过UPS负载的80%1596 由上表可见，公司原有的3KVA UPS 已经满足弱电间配电使用，就无需另行采购。原有配置3KVA 延迟供电1小时，现可延迟供电近2小时。2.2、配线间UPS分析设备功率数量总功率综合楼配线间H3C S3100-26TP-EI17117监理宿舍楼配线间H3C S3100-52P50150两个配线间设备功率极小，推荐采用两台500VA后背式UPS 为其供电即可，后备时间可长达4、5个小时。成本却比从业主宿舍引电源线过来的材料费用还低。九、机房信息安全运行保障集中管理系统随着信息技术的发展和普及，计算机系统及通信设备数量与日俱增，规模越来越大，中心机房、计算机系统和通讯网络已成为各大单位业务管理的核心部分。为保证其安全正常运行，与之配套的机房动力系统、环境系统、消防系统、安防系统必须时时刻刻稳定协调工作。如果机房动力及环境设备出现故障，轻则影响电脑系统的运行，重则造成计算机和通信设备报废，使系统陷入瘫痪，后果不堪设想。因此对中心机房的动力及环境系统进行实时监测管理极其必要。建立一套信息安全运行保障集中管理系统，实现对机房的环境参数和视频图像实现遥测、遥信、遥控、遥调和遥视，预期故障发生，迅速排除故障，记录和处理相关数据，进行综合管理，从而提高机房网络设备运行的可靠性以及保障整个机房的安全性，实现机房的科学管理。1、设计依据l 电气装置工程施工及验收规范 GBJ232-82l 保安电视监控工程技术规范 GA/T76-96l 闭路电视系统工程技术规范 GB50198-94l 安全防范系统通用图形符号 GA/T7494l 民用建筑电气设计规范 JCJ/T16-2000l 电气装置安装工程电缆线路施工及验收规范 GB5016819922、设计原则1) 系统选型高起点：l 技术先进性：选用国际最新的专业厂家产品l 系统高可靠性：系统的硬件和软件均采用技术成熟的产品l 系统运行管理方便：软件系统中文化，组态开发，操作方便l 技术支持能力强：承建单位技术实力强，服务完善l 系统可扩展性能强：模块化结构有利于扩展与维护2) 投资少：系统选型具有高性能价格比3) 建设时间短：在较短的时间内完成系统的安装调试3、力禾SupMonitor简介SupMonitor信息安全运行保障集中管理系统，它向用户提供一种较为全面、完整和一致的解决方案，目的是对分散、面广的各个独立的机房环境设备系统参数进行遥测、遥信、遥控和遥视。对机房内各种环境设备进行全方位管理，时时监视着各种设备的工作状态及参数，并可诊断设备部件情况，更为重要的是系统融合了机房的管理措施，发现异常情况即自动报警，确保系统的可靠运行，减轻了机房维护人员负担，实现了机房的科学管理。4、系统特点v 1专家智能诊断功能实时监测配电、UPS、空调等机房动力和环境设备的工作状态和运行参数。一旦发现设备故障或运行参数越限，系统立即通过图文、电话语音、短信等报警方式报告管理人员，及时解决故障。v 2强大的视频采集和远传功能系统支持视频传输，管理人员可以在网络内任何位置通过系统，观看流畅的机房实时视频，其网络传输采用多播方式，允许多台微机同时浏览。一旦检测到有人非法进入或探头报警，即触发录像过程，把整个过程记录下来，以便查看。v 3完整的报警功能系统自动发现机房设备和机房环境事故，以多种方式（图文、电话语音、声光报警、短信等）发出警报，报警准确度达100%。按事故的性质，弹出窗口，以图形、文字做出相应的表示，发出报警信息。对于紧急报警，立即按权限管理所设置的顺序发出自动短信；对于非紧急报警，如果多时无人处理，也发出自动短信。屏幕弹出事故处理说明窗口，对事故进行说明，精确的报警处理提示，使报警管理更有效、快捷；弹出事故处理人身份认证窗口，进行身份认证，如果输入的代码和口令正确，则关闭报警语音，未经授权者不予响应，防止误操作。报警事件发生时，按照事件的重要程度把报警级别分为四级：正常、一般报警、严重报警、紧急报警，具备包括告警提示、告警描述、短信报警、电话报警等多种方式，同类型设备发生具体事件的报警级别和报警方式可自由组合配置。v 4高可扩性和可维护性系统一改以往采用的数据分散采集集中处理的模式，真正实现了数据的集中采集集中处理和软件的模块化结构设计，为今后机房设备的扩展和维护提供了极大的方便。v 5高安全性系统的数据集中采集大大减少了数据采集模块及配套设备的数量，不仅减少了系统造价，同时减少了系统自身的可能故障点实现多种设备，确保了系统的安全运行。v 6强大的数据管理功能完善的数据记录、打印管理，数据历史趋势和实时趋势记录自动生成，有利于系统的分析研究，自动或手动及定时打印数据报表，使系统参数一目了然。可顺序浏览各个设备当天的运行曲线图、显示事故记录、维护记录等。v 7完整的权限管理功能完善的系统权限管理功能用于监测对象和管理人员的配置管理；管理人员以对系统、各种类型设备的可查看、可控制、可写三种操作分为一般操作员、操作员、系统管理员；其中一般操作员只能进行一些简单的浏览、查看、检索操作；系统操作员则能够在此基础上，进行告警确认、设备遥控、参数配置等维护操作；系统管理员具有最高权限，除具有系统操作员的权限外，还能够进行全面的参数配置、用户管理、系统维护等操作。系统对维护人员进行的所有重要操作都进行详细记录，如登录、遥控、修改参数等。记录的内容包括操作的时间、对象、内容、结果和操作人等。v 8支持多设备、多协议内置多种常用智能设备通讯协议，支持所有提供开放协议（如RS-232/422/485、Lonworks、SNMP等协议）接口的设备，无须任何源程序编程，即可保障系统可靠运行。同时系统提供了简洁的通讯接口，很方便地扩展新的通讯协议。如STULZ、LIEBERT、RC、HIROSS等机房精密空调，MGE、EXIDE、SICON、LIEBERT、IMV等UPS。v 9良好的人机界面系统完全按用户的意图设计界面，并能将图片、曲线、动画、控件等组态到显示界面上，最大程度满足个性化设计，界面形象逼真，通俗易懂。v 10良好的兼容性Sup Monitor 机房信息安全运行保障集中管理系统由于在开发时严格遵循原邮电部发布的有关规范，只对需要扩充的部份进行了适当的扩充，因此具有良好的兼容性，可根据需要将符合规范的其他系统纳入该系统。5、系统性能l 准确性电量 0.5非电量2告警准确率 100%控制准确率 100%l 响应速度多事件、多测点同时告警，可承受多监测点同时告警；从信号告警发生到中心告警响应的时间：实测值3s采样速度：200ms/次l 可靠性 平均无故障时间（MTBF）大于105hl 扩容能力同时监测场地数量可达100个l 开放性采用国际标准TCP/IP通信协议；选用Windows 98 、Windows NT、Windows2000 操作平台;支持各种类形数据库，包括ORACLE 、 SQL Serverl 供电：220V AC；24V DC；12V DCl 通信转换模块隔离电压：1500V DCl 通信方式：RS232或RS485，异步通信6、系统结构SupMonitor机房信息安全运行保障系统采用逐级汇接的拓扑结构。由机房安全运行保障中心CSC(Concentration Supervision Center)、区域管理中心LSC(Local Supervision Center)、现场管理单元FSU(Field Supervision Unit) 、监测模块SM组成树形网络拓扑。1) 安全运行保障管理中心CSC（Concentration Supervision Center）/LSC(Local Supervision Center)管理中心CSC由数据库服务器、智能通讯器、多媒体监控工作站、管理工作站、网络设备等组成一个局域网。监控中心CSC、区域管理中心LSC和机房FSU均可根据实际需要，独立组成监测管理中心。SupMonitor机房安全运行保障系统的管理中心设计遵循以下原则：l 系统有足够的处理速度，以实时地处理来自各被监控点的数据、语音及图像。 l 系统有足够的图像解码速度，以保证监视图像的清晰度和连续性。l 系统要易于扩展，包括被监控点数目、控制台的数目等。l 系统支持高可靠性，监控系统长时间连续工作，并且本身就用于监控其它系统或环境的运行情况，因此，其可靠性显得尤为重要。l 系统有足够的数据存储能力及合理的数据存储方式，具有图像存储和管理能力。l 完善的测试维护功能，提供远程维护手段。l 通用的开发平台及工具，开放式体系结构，开放的网络协议支持不同系统间的联网。l 完善的应用系统功能，友好的中文图形用户界面，操作可靠、安全。2) 现场管理单元FSU（Field Supervision Unit）现场管理单元由现场管理主机、通讯协议转换模块、智能采集模块SM、数字量输入输出模块、开关量输入输出模块、远程通信设备等组成，现场采集系统采用集中式数据采集方式，其结构如下图所示。 现场监控单元FSU结构图 7、系统功能1) 监测模块SM功能l 实时采集被监测设备（智能型和非智能型）及机房环境的运行参数和工作状态，收集故障告警信息，并送往现场管理单元FSU。l 实时接收和执行来自现场监测管理单元FSU的监测和控制命令。2) 现场管理单元FSU的功能l 周期性地采集各监测模块SM传送来的各类信息，进行数据处理、存储、显示打印、实时、主动向区域管理中心LSC发送状态改变或告警信息及相应数据。l 随时接收并快速响应来自区域管理中心LSC的监控命令。l 可通过监测模块SM对各监测对象下达监测和控制命令。l 具有统计辖区内各个监测数据，并将这些统计数据主动定时按要求向区域管