铁矿计算机网络升级改造项目深化设计方案.doc

北洺河铁矿计算机网络升级改造项目 深化设计方案深化设计方案 中科软科技股份有限公司中科软科技股份有限公司 2012 年年 7 月月 目目 录录 第一章第一章项目需求分析项目需求分析 4 1 1项目需求概述 4 1 2项目总体要求 4 1 3项目设计指导思想 4 1 4网络现状和存在的问题 5 1 4 1网络系统现状 6 1 4 2应用系统情况 9 1 4 3现有网络系统存在的问题 10 1 5项目建设需求 10 1 6项目建设内容 11 1 6 1网络系统升级 11 1 6 2网络安全系统 12 1 6 3综合布线系统 12 1 6 4机房改造 12 1 7项目设计参照的标准规范 13 第二章第二章网络和安全系统设计网络和安全系统设计 16 2 1网络系统设计原则 16 2 2网络系统架构 16 2 3IP 地址规划 20 2 4VLAN 设计 20 2 4 1VLAN 划分 20 2 4 2VLAN 之间路由实现 22 2 4 3VLAN 之间安全控制 23 2 4 4VTP 设计 23 2 5路由规划 23 2 5 1局域网内路由规划 23 2 5 2互联路由 24 2 6无线网络系统 24 2 7设备命名规范 25 2 8网络安全系统设计 26 2 8 1安全保障目标 27 2 8 2设计目标 27 2 8 3上网行为管理系统部署 27 2 8 4安全方案设计要点 27 2 9网络信息点位及设备布点 29 第三章第三章综合布线方案设计综合布线方案设计 38 3 1综合布线系统概述 38 3 2综合布线需求和范围 38 3 3综合布线系统设计及施工方案 40 3 3 1综合布线系统总体设计 40 3 3 2水平布线子系统 40 3 3 3设备间系统 42 3 3 4建筑群主干子系统 44 3 3 5维护和管理 45 3 4综合布线的施工方法 47 3 5综合布线系统测试方案 51 第四章第四章机房改造方案设计机房改造方案设计 54 4 1机房装饰装修 54 4 1 1机房装饰工程概述 54 4 1 2地面 55 4 1 3墙面 柱面 56 4 1 4顶棚 57 4 1 5门窗 57 4 1 6其他方面处理 57 4 2UPS 及供电系统 59 4 3UPS 不间断电源 61 4 3 1艾默生 Adapt 模块化 UPS 系统 63 4 3 2照明系统 68 4 4接地防雷系统 69 4 4 1接地系统 69 4 4 2防雷系统 71 4 5空调及新风系统 71 4 6新风系统方案 73 4 7机柜布置 74 4 8机房环境监测系统 75 4 9门禁系统 77 4 10视频监控系统 78 第五章第五章项目施工组织方案项目施工组织方案 80 5 1项目实施指导原则 80 5 2项目组织结构 80 5 3项目实施总体计划 86 5 4项目实施内容 88 5 4 1项目启动 88 5 4 2项目实施的准备 88 5 4 3到货验收 89 5 4 4系统安装实施 89 5 4 5系统测试 90 5 4 6系统联调 91 5 4 7项目初步验收 91 5 4 8系统试运行 91 5 4 9项目验收 91 5 5项目施工管理 92 5 5 1工程质量目标及保证措施 92 5 5 2现场文明施工管理 97 5 5 3施工现场环保与环卫管理 101 5 6项目风险分析及控制策略 102 5 6 1风险分析 102 5 6 2风险对策 103 5 6 3协作沟通的重要性 105 5 7项目提交成果 106 5 7 1项目文档管理 106 5 7 2技术文件交运计划 107 第六章第六章技术支持及售后服务方案技术支持及售后服务方案 108 6 1售后服务承诺 108 6 2技术支持与服务 109 6 2 1技术支持服务体系 109 6 2 2服务流程 112 6 2 3服务方式 113 6 2 4应急服务响应 114 6 3技术培训 114 6 3 1培训遵循的原则 114 6 3 2培训的方法 115 6 3 3培训类别 116 6 3 4主要培训课程表 117 第一章第一章 项目项目需求分析需求分析 1 1项目需求概述项目需求概述 北洺河铁矿现有员工 1500 余人 技术及相关管理人员 270 余人 下设 9 个生 产单位 1 个服务单位 18 个职能部门 从建设投产至今 规模不断壮大 人员不 断增加 新技术 新产品广泛使用 企业对信息技术的需求也越来越强烈 但由于 受历史阶段条件的限制 没有进行系统规划 网络系统已不适应矿山发展的需要 系统建设出现瓶颈 因此 需要对全矿网络系统重新规划和部署 进行全面的升级 改造 以满足企业信息化长远发展的需要 为了使北洺河铁矿的网络系统能够在未来几年的时间内保持技术上的先进性和 实用性 要求在项目的规划和实施中采用先进成熟的网络 安全 主机设备以及系 统管理模式 实现矿山内部所有资源的合理应用和完善管理 使员工都能方便地使 用内部网络 并能够安全高效地访问各种内部网络应用服务和因特网 1 2项目总体要求项目总体要求 北洺河铁矿网络升级改造工程应当按照 配置合理 功能完善 适度超前 使 用方便 的原则进行全面系统的设计 系统应具备先进性 实用性 安全性 稳定 性 可扩充性 可管理性 功能完备 维护简便等特点 此次网络升级改造内容主要包括网络系统升级 网络安全系统建设 综合布线 系统和机房改造系统等 1 3项目设计指导思想项目设计指导思想 此次北洺河铁矿网络建设将将采用先进的网络安全技术和产品 实现一个高效 的内部办公网络系统 网络中的各类服务器设备和网络设备需要考虑技术上的先进 性 国内外及行业的通用性 并且要有良好的市场形象与售后技术支持 便于维护 和升级 总体来讲 为了使项目的实施顺利进行 并使系统规划能够满足北洺河铁矿的 应用和发展的需求 在项目规划中应满足以下要求 开放性 采用开放标准 开放技术 开放结构 实用性 网络系统设计以实用 满足应用为主 不追求最高 最新 先进性 计算机网络技术 软硬件技术的发展迅速 网络的设计要立足于较 高的起点 保证系统有较长的生命力 安全可靠性 同时考虑应用系统的设计 网络系统设计 硬件设备的选项配 置几个方面 以确保数据的安全 兼容与可扩展性 尽量采用成熟的技术 保证软硬件的兼容性 同时需考虑 设备的更新与升级的能力 经济性 在满足功能与性能的基础上实现性能 价格比最优 可管理性 随着网络规模和复杂程度的增加 网络系统的管理和故障排除将 成为较难的事情 针对各种设备都要提供一定的网络管理功能 主要依据原则如下 项目设计应满足北洺河铁矿未来发展的要求 即在矿山规模发展扩 大时 本设计仍然能够满足矿山管理和运营的要求或方便的变更和升级 采用先进的 成熟的 业界标准的 在市场上有着广泛应用的技术 项目设计应遵循实用的原则 避免不切实际贪大求全 所有网络设备应是主流产品 保证所有设备均为新品并能提供良好 的技术支持服务 工程实施严格按照同规格日期完成并保证质量 工程实施需要提供详细的文档资料及配置手册 应提供完整的培训及售后服务 1 4网络现状和存在的问题网络现状和存在的问题 北洺河铁矿信息化发展相对较早 于 2003 年 6 月矿办公网络系统形成 2004 年 4 月办公自动化系统启用 2004 年 10 月金蝶物流系统启用 2006 年矿网站建立 2006 年以来质量管理系统 入井刷卡系统和视频监控系统等先后十多个应用系统 也连接进入局域网内 1 4 1 网络系统现状网络系统现状 北洺河铁矿网络系统于 2002 年 11 月组织建设 2003 年 6 月投入使用 机房设 在办公楼四楼 接入矿局域网的计算机数量达 240 余台 1 4 1 1 网络网络系统和设备系统和设备现状现状 现有网络系统结构 1 网络系统 现有网络系统的结构不清晰 请见如上示意图 2机房现有设备及利旧说明 一个防火墙 神码 1800S 一台路由器 思科 2800 一个核心交换机 华 为 S3600 将对现有路由器思科 2800 进行利旧使用 思科 2800 接入性能和接口已满足现有 网络出口要求 设备运行稳定 故本次改造对路由器无需更换 现有核心交换机华为 S3600 已运行了 8 年 初期配置选择了性能较低的盒式交换 机 单机不具备端口扩展能力 尤其是本次网络改造中接入交换机采用光纤链路上联 华为 S3600 光纤端口无法满足要求 华为 S3600 的交换性能和包转发率较低仅能满 足部门级网络需求 无法满足矿山现在网络和应用的需求以及未来的扩展要求 因此 本次网络改造系统将对核心交换机进行更换 并采用思科 WS 4507R E 作为核心交换 机 5 台服务器 分别为网站服务器 OA 系统服务器 金蝶 k3 服务器 质量管理 系统服务器和 DIMINE 软件系统服务器 不间断电源和冷却空调 现已损坏 机房设备零散摆放 3 配线间现有网络设备及利旧说明 具有控制功能的接入交换机 5 台 品牌型号为 3COM 4400se 分别放置在四楼 配线间 2 台 二楼配线间 1 台 一楼配线间 1 台 五楼配线间 1 台 所有配线间的接入交换机其中 4 台已有多个网络端口损坏情况 不能正常使用 剩余 1 台可以正常上网 以对此设备进行利旧 并安装在文化中心分机房内 4 车间及部门办公室网络设备 由于信息点较少 使用二 三层交换机较多 其中 24 口交换机 5 个 放置在 服务楼 化验楼和供应科办公室 8 口交换机 47 个 5 口交换机 5 个 分别放置在 各部门或车间办公室 所有交换机全部为不带管理功能的普通交换机 因此对所有 不带管理功能的普通交换机要全部更换 为此次改造后的的网络系统便于管理提供 最基本的条件 1 4 1 2 综合布线综合布线现有状况和利旧说明现有状况和利旧说明 网络出口情况 接入 Internet 的网络出口一个 为中国联通 10Mb 宽带 由 联通分公司引入的一条光缆 楼宇建筑布线情况 全矿地表有三个工业园区 主工业园区 西风井工业园区和东风井工业园区 现有网络覆盖区域为主工业园区和西风井工业园区 主工业园区网络覆盖建筑有办公楼 服务楼 化验楼 后勤楼 文化中心等楼 宇建筑 5 栋 材料库 备件库等库房 2 座 80 吨和 100 吨地磅房等平房 2 座 西风井工业园区网络覆盖建筑为西风井办公楼 光缆线路借助入井刷卡控制系 统光缆 井下网络覆盖区域为 110 水平调度安全值班硐室和炸药库 230 水平调度值班 硐室 线路借助质量管理系统光缆 网络覆盖区域内有 282 个办公室 3 个井下值班硐室 除主工业园区办公楼 化验楼一层敷设 84 个信息点外 其余各部位均未敷设 网络现有覆盖区域除分化中心外 全部采用超五类双绞线传输 信息模块及面 板使用年限已达 8 年之久 所有线缆以老化 信号衰减 延迟现象比较严重 信息 模块存在松散 卡接不严等状况 故对所有线路及模块和面板进行更换 并对原有 线路进行拆除 文化中心内部对所有网络线路要进行利旧使用 更换新的网络信息 模块和面板 在此对文化中心的网络线缆不予在重新敷设 各区域之间采用光纤连接 地表 7 条光缆 分别采用电缆沟 直埋和架空敷设 井下 3 条光缆 为质量控制系统使用 UPS 电池室现有光纤为分布为 服务楼一根 多模 供应科一跟 多模 80 吨地磅房一根 多模 医保专线一根 多模 监控中心一根 多模 文化中心 一根 单模 对现有的光纤要全部移至网络主机房的机柜内 并对现有光纤进行 熔接和预留 文化中心单模光纤要接入此次网络改造项目中 配线间和机房布线情况 办公楼共有五个配线间 其中一楼与通讯线路合用 二楼为财务科档案兼金蝶 k3 服务器放置室 三楼为党委工作部办公室 四楼与广播电视合用 五楼为党委 工作部办公室 线路均穿过各配线间楼板敷设至各楼层交换机 服务楼配线间为采矿车间办公室 化验楼配线间为选矿车间办公室 后勤楼配线间为行政事务科科长办公室 医务所配线间为医务所办公室 机房敷设有防静电地板 机房所有线路均通过四楼配线间穿墙在防静电地板下 敷设 1 4 2 应用系统情况应用系统情况 现有网络系统自投入使用后 逐步建立了办公自动化系统 金蝶 k3 物流系统 质量管理系统 入井刷卡系统 视频监控系统和 V5 人力资源薪酬管理系统等应用 系统共 15 个 这些应用系统包括生产过程控制和业务处理两个方面 随着企业的 发展 网络使用需求越来越大 对网络系统的依赖性越来越强 其中大部分完全依 赖网络 应用系统建设情况见表 应用系统建设情况表应用系统建设情况表 编编 号号 系统名称系统名称系统功能系统功能网络依赖度网络依赖度运行地点运行地点 备备 住住 1 办公自动化系统业务处理完全全矿 2 金蝶 k3 物流系统业务处理完全机动 供应部门 3 金蝶 k3 财务系统业务处理完全财务部门 4 入井刷卡系统业务处理高调度室 井口 5 质量管理系统过程控制高 质量科办公室 井下 110 230 水平轨道衡 6 视频监控系统业务处理高保卫科监控室 7 V5 人力资源薪酬管理系 统 业务处理完全人力资源科 8 生产设备运行管理系统业务处理完全机动科和各车间办公室 9 生产调度系统业务处理完全调度室 10 计量称重系统过程控制高80t 100t 地磅房 11 风机远程控制系统过程控制高 调度室 井下 50 95 110 230 水平风 机站 12 PLC 提升机控制系统过程控制低 主副井 盲竖井 盲斜 井 13 磨矿自动控制系统过程控制不依赖选矿自动化室 14 医保刷卡系统业务处理完全医务所 15 安全隐患信息管理系统业务处理完全 安全科 车间办公室 井下安全值班室 1 4 3 现有网络系统存在的问题现有网络系统存在的问题 到目前为止 北洺河铁矿网络运行已达 8 年之久 网络技术相对落后 设备陈 旧 线路老化 网络布线比较散乱 1 网络架构不清晰 扩展性差 网络架构不清晰 扩展性差 早期设计的网络结构简单 不清晰 比较混 乱 随着用户和应用规模不断扩大 网络难以满足扩展要求 已形成系统 瓶颈 且给网络管理带来的很大压力 2 网络设备陈旧 线路老化严重 稳定性差 网络设备陈旧 线路老化严重 稳定性差 早期采用的网络技术相对落后 目前设备陈旧 低端设备多 线路老化严重 稳定性很差 导致故障频发 曾出现网络瘫痪 服务器损坏 造成大量数据丢失 多台交换机损坏 另 有一些交换机接口有损坏现象 楼宇线路有 20 已不通 现在均只采取了 临时措施 3 网络线路和设备布局散乱 网络信息点较少 网络布线不规范网络线路和设备布局散乱 网络信息点较少 网络布线不规范 现有的网 络线路和设备布局散乱 网络信息点较少 无法满足用户应用需要 在用 所有网线均为人工制作 造成网络信号的衰减 网络存在延迟现象 对实 时性要求较高的应用系统影响较大 甚至无法运行 4 网络安全管理和防范手段薄弱 网络安全管理和防范手段薄弱 现有网络系统没有监控和防范软件 无法 对网络进行直接和行之有效的管理 经常出现病毒入侵攻击现象 网络安 全没有保证 1 5 项目建设项目建设需求需求 随着矿山规模不断壮大 人员不断增加 新技术 新产品广泛使用 企业对信 息技术的需求也越来越强烈 现有网络系统已不适应矿山发展的需要 系统建设出 现瓶颈 为此 根据上述现状和问题分析 需对全矿网络系统综合设计 进行全面 的升级改造 以满足企业信息化长远发展需要 1 网络系统升级改造网络系统升级改造 重新规划网络架构 采用分层设计方法 提升网络系统的可扩展性和可管理性 满足企业未来的发展需要 更换现有老旧落后的网络交换机设备 采用技术先进 知名品牌产品 确保网 络核心设备具备强大的数据交换和处理能力 为大容量用户的互联网访问和业务应 用提供网络支撑 升级更换办公自动化 网站服务器 同时所有设备部署到 合理规划机房机柜 布局 2 网络安全系统网络安全系统 建立网络的安全保护措施 保证系统安全 对网上服务请求内容进行控制 3 综合布线系统综合布线系统 建立一套先进 完善的综合布线系统 满足北洺河铁矿办公网络的需求 支持 各种数据通讯 多媒体技术以及信息管理系统 满足语音 数据 视频等的传输 适应现代和未来技术的发展 要求所供产品质量保证 25 年 布线系统为应采用国家和国际标准及规范 兼容不同厂商 不同协议的设备和 系统的信号传输 具有可扩充性 并易于维护和管理 采用模块化设计 具有高可靠性 局部系统故障不影响其他系统正常使用 4 机房改造机房改造 在充分利用和整合现有资源的基础上 将北洺河铁矿机房改造建设成优良的现 代化计算机机房 包括机房装饰装修 UPS 及供电系统 接地防雷系统 空调及新 风系统 机柜布置 机房环境监测系统 门禁系统和视频监控系统等方面 四楼机 房进行封窗 电池室铺设高架防静电地板 对供电系统重新进行设计 对机房和电 池室照明进行改造 在机房与电池室内安装防火报警系统和监控系统 在机房和电 池安装门禁控制管理系统 1 6项目建设内容项目建设内容 1 6 1 网络系统升级网络系统升级 北洺河铁矿的网络架构按分层设计方法重新规划设计 更换网络中所有交换机 部分原有交换机可根据甲方要求进行利旧 办公自动化和网站服务器两台进行更换 其 余四台利旧 将机房内所有的网络设备及服务器统一安装在标准网络机柜或服务器 机柜内 并配备 KVM 鼠标 键盘等 集中进行管理 办公楼的接入层交换机安装 在机房内的网络机柜中 其它区域内的接入层交换机安装在相应配线间的网络机柜 内 所有接入层交换机均通过光缆与核心交换机级联 在办公楼 食堂 服务楼和 化验楼等地的会议室或楼道安装 AP 并配备无线控制器等相关设备 实现有线网 络的补充 1 6 2 网络安全系统网络安全系统 北洺河铁矿网络安全系统重点考虑上网行为管理 需要建立一套完整可行的网 络安全与管理策略 将内部网络不同区域进行有效隔离 建立网络的安全保护措施 保证系统安全 对网上服务请求内容进行控制 使非法访问在到达主机前被拒绝 加强合法用户的访问认证 同时将用户的访问权限控制在最低限度 全面监视对公开 服务器的访问 及时发现和拒绝不安全的操作和黑客攻击行为 加强对各种访问的 审计工作 详细记录对网络 服务器的访问行为 形成完整的系统日志备份与灾难恢 复 对所有上网行为进行记录 详细记录到每个 IP 的上网行为 当有入侵网络的 行为以及出现内网互相攻击时 如扫描攻击等 及时发出报警 并对目标机器进 行锁定 并断开其网络连接 1 6 3 综合布线系统综合布线系统 按照国家和国际标准及规范 建立一套先进 完善的综合布线系统 满足北洺 河铁矿办公网络的需求 支持各种数据通讯 多媒体技术以及信息管理系统 满足 语音 数据 视频等的传输 适应现代和未来技术的发展 要求所供产品质量保证 25 年 布线范围包括主工业园区和东 西风井工业园区的大部分房间 网络覆盖 范围内 房间房间 229229 个个 信息点有线 707 个 无线 21 个 共计 728 个 光纤布置共 4570 米 主工业园区 东 西风井工业园区的其他房间 井下 110m 水平 230m 水平 2 个运输巷 借助安全六大系统环网实现 1 6 4 机房改造机房改造 为适应北洺河铁矿信息化和数据集中的发展要求 规范机房建设与运维管理 提高机房安全防护和集中管理水平 切实保障各信息系统安全稳定运行 参照 GB50174 2008 计算机机房设计规范 及相关标准 以 技术上先进 经济上合理 安全可靠实用 为原则 在充分利用和整合现有资源的基础上 将北洺河铁矿机房 改造建设成优良的现代化计算机机房 机房改造内容包括 1 机房装饰装修 2 UPS 及供电系统 3 接地防雷系统 4 空调及新风系统 5 机柜布置 6 机房环境监测系统 7 门禁系统 8 视频监控系统 1 7项目设计参照的标准规范项目设计参照的标准规范 项目中所有涉及的设备 材料的采用 除本项目规定的技术参数和要求外 其 余均遵循最新版的国家标准 GB 行业标准和国际单位制 SI 本项目的设计及产品满足本招标规定的技术参数和要求以及如下专用标准 GB50311 2007 综合布线系统工程设计规范 GB50312 2007 综合布线系统工程验收规范 GB T9771 通信用单模光纤系列 GB4793 2001 测量 控制和试验室用电气设备的安全要求 GB4943 2001 信息技术设备的安全 GBJ232 82 电气装置工程施工及验收规范 GB 2887 2000 电子计算机场地通用规范 GB50174 2000 电子计算机场地设计规范 GB9361 1998 计算站场安全要求 SJ T10796 1996 计算机机房用活动地板技术条件 GB50057 94 建筑防雷设计规范 SJ T30003 93 电子计算机机房施工及验收规范 GB50054 95 低压配电设计规范 YT T5015 95 电信工程制图与图形符号 JGJ T 16 1992 民用建筑电气设计规范 GB50198 94 民用闭路电视监视系统工程技术规范 GA T75 94 安全防范工程程序和要求 GA T74 94 安全防范系统通用图形符号 GB12663 90 防盗报警控制器通用技术条件 GB10408 1 98 入侵探测器通用技术条件 GB T50314 2000 智能建筑设计标准 GB50174 93 电子计算机机房设计规范 GB50057 94 建筑物防雷设计规范 GBJ232 92 电气装置安装工程施工及验收规范 GBJ116 88 火灾自动报警系统设计规范 GA305 2001 电气安装用阻燃 PVC 塑料平导管通用技术条件 GA385 2002 火灾声和 或光报警器 YDJ44 89 电信网光纤数字传输系统工程施工及验收规定 GB16423 2006 金属非金属矿山安全规程 YD T 1170 2001 中华人民共和国通信行业标准 IP 网络技术要求 网络总体 YD T 1171 2001 中华人民共和国信息产业部颁布的中华人民共和国通信行业 标准 IP 网络技术要求 网络性能参数与指标 YD T 1149 2001 中华人民共和国信息产业部颁布的中华人民共和国通信行业 标准 IP 网络安全技术要求 安全框架 YD T 1162 1 2001 中华人民共和国信息产业部颁布的中华人民共和国通信 行业标准 多协议标记交换 MPLS 总体技术要求 中华人民共和国信息产业部颁布的中华人民共和国通信行业标准 基于网络的 虚拟 IP 专用网 IP VPN 框架 GB T 17963 1999 中华人民共和国国家标准 信息技术 开放系统互连 网 络层安全协议 GB T 17965 2000 中华人民共和国国家标准 信息技术 开放系统互连 高 层安全模型 YD T 1099 2001 中华人民共和国通信行业标准 千兆比以太网交换机设备 技术规范 GB T20270 2006 信息安全技术 网络基础安全技术要求 GB T20271 2006 信息安全技术 信息系统通用安全技术要求 GA T671 2006 信息安全技术 终端计算机系统安全等级技术要求 GB T20269 2006 信息安全技术 信息系统安全管理要求 GB T20282 2006 信息安全技术 信息系统安全工程管理要求 除上述规范以外 还遵循行业企业现行的规范和标准要求 第二章第二章 网络网络和安全和安全系统设计系统设计 2 1网络系统网络系统设计原则设计原则 统一规划网络连接 网络设计符合国际标准 包括 IEEE802 3 EIA ISO 等 并且贯穿网络优化 网络扩展等各个方面 网络交换设备支持 VLAN 划分功能 从而增加网络的可管理性 安全性以 及改善网络性能 消除网络瓶颈 网络骨干节点具有分担网络流量 使网络负载合理分配到 各个骨干节点设备上 优化网络的性能 需要合理调配网络的资源 最大程度上提高网络使用率 保证正常工作和 Internet 的安全可靠访问 预留足够的网络端口 合理地扩充网络规模 网络具有高可管理性 需要考虑在多种情况下的网络的安全性 可靠性 合理的性能价格比 在合理情况下 考虑网络 3 层 4 层功能 综上所述 网络平台的设计原则可以概括为 经济实用 稳定可靠 量体裁衣 易于扩充经济实用 稳定可靠 量体裁衣 易于扩充 2 2网络系统架构网络系统架构 根据北洺河铁矿网络覆盖范围大 网络节点分散等特点 北洺河铁矿整个网 络采用层次化设计方法 建议进行扁平化设计 结合目前现有情况和布线特点选择 三层逻辑结构 二层物理结构的网络结构 或叫做紧缩型网络结构 紧缩骨干网 collapsed backbone 一般应用于企业园区网络中 紧缩骨干网 包括一台或多台第 3 层交换机 在核心交换机上完成核心层和分布层的工作 在逻 辑上整个网络按照分层化结构设计 分为核心层 分布层 接入层 各配线间到达 网络机房的物理线路充足 按照节约成本 提高效率得原则 把逻辑上三层结构中 得核心层和分布层集中在高性能的三层交换设备上 这样 即节省了设备和管理成 本 又提高了原本分布层和核心层之间得数据传输带宽 方便了管理维护 因此就 形成了三层逻辑结构 二层物理结构的紧缩型网络结构 核心交换机采用模块化结构 有很强的网络扩展能力 还拥有较高的背板带 宽和转发速率 以保证数据的无阻塞转发和路由 接入层交换机选用 带管理型 二层交换机 通过层次化的网络设计 网络的不同层次设备承担不同的任务 使整个网络结 构清晰 便于维护和管理 便于以后的网络扩展 网络系统拓扑图网络系统拓扑图 北洺河铁矿网络根据各网络部分的职能不同划分为 网络接入区 核心交换 区 服务器区和办公区 1 网网络络接接入入区区 网络接入区是北洺河铁矿与互联网的连接区域 在网络接入区已部署路由器连接五矿邯邢矿业有限公司专线 在接入区以透明桥接模式部署一台网康上网行为管理系统NS ICG 3000 40 审计 管控和规范矿山内部的终端上网行为 同时 在邯邢矿业专线出口处部署一台 网康互联网控制网关 NS ICG5000 PR 采用透明桥接模式 不改变现有网络结构 主要记录 审计和管控通过专线 互联的各下属矿山 单位的上网行为 实现优化网络 合理分配带宽 2 核核心心交交换换区区 核心交换区负责连接各个网络区域 并对所有区域间的数据流量进行集中转 发 办公楼的网络交换机 集中在主机房机柜中 便于管理 其它建筑物 均通过 光缆连接 并在各建筑物的分机房放置网络交换机 及配线材料 部署两台高性能三层交换机 Cisco WS 4507R E 作为核心交换机 核心交换机 间通过两对千兆以太网光口建立起 channel 连接 共同组成核心交换机组 相互 备份并实现负载均衡 两台核心交换机都将配置双电源加强设备运行的稳定性 在核心交换机上根据系统的不同划分 VLAN 将不同系统隔离开 避免了广 播风暴和局域网病毒的泛滥 并加强了数据的隔离 同时在核心交换机上启用三 层路由协议 负责各个区域之间数据流量的集中转发 针对办公区 将在核心交换机上启用 VRRP 协议 为办公区的数据传输提供 冗余连接和可靠性的保障 本本期期项项目目暂暂时时先先部部署署一一台台 Cisco WS 4507R E 作作为为核核心心交交换换机机 条条件件成成熟熟时时可可 追追加加一一台台 Cisco WS 4507R E 安安装装设设计计思思路路无无缝缝升升级级 3 服服务务器器区区 服务器区放置着企业核心业务原有服务器和各类管理服务器 包括网站 OA K3 系统 质量管理 DIMINE 水纹检测 环境监测监控系统和门禁系统 上网行为管理系统和硬盘录像机等各类服务器和主机 4 办办公公区区 连接办公区的接入交换机 Cisco Catalyst 2960S 直接连到核心交换机 为办 公终端的数据通信提供 保障 在办公楼 食堂 服务楼和化验楼等地的会议室或楼道安装 AP 并配备无线 控制器等相关设备 实现有线网络的补充 2 3IP 地址规划地址规划 IP 地址的合理分配是保证网络顺利运行和网络资源有效利用的关键 充分考 虑到地址空间的合理使用 保证实现最佳的网络内地址分配及业务流量的均匀分 布 IP 地址空间的分配与合理使用与网络拓扑结构 网络组织及路由策略有非常 密切的关系 通常合理的地址规划是使连续的地址尽量集中在一个区域内 因此 核心层应象一个区域或一个节点一样 被分配一段连续的地址 更进一步 连接进 某一区域的节点的 IP 地址范围应集中在该区域的地址范围附近 为保证矿山办公网络系统之间数据传输的可行性以及能更好的实现路由策略 同时避免出现过于复杂的配置为日后管理维护造成不便降低并降低网络性能 对于 北洺河铁矿网络系统的 IP 地址分配将统一分配 北洺河铁矿的 IP 地址采用私有地址 由公司统一自动分配 使用私有 IP 地址 空间可以确保专有网络的 IP 地址不会与 Internet 上的公有地址发生冲突 便于与 Internet 的互连 并在一定程度上避免内部私有网络遭受外界使用非法手段访问和 攻击 在层次结构上首先按公司规划进行总体划分 然后再楼宇 楼层或部门等行 政区域进行详细分配 2 4VLAN设计设计 2 4 1 VLAN划分划分 为了减少传输冲突 提高系统整体性能和网络处理能力 另外 还考虑到网络 良好的管理性 易于维护和安全策略的实施 针对用户网络系统的实际情况 可以 把功能 应用 相近的设备群组划分到同一 VLAN 不同部门的设备划分到不同 VLAN 中去 这样就能够通过访问控制列表技术实施安全策略 限制未授权的用户 访问重要的服务器和数据库 根据 VLAN 划分原则 建议把不同业务类型和应用功能的服务器 如网站 OA k3 系统 上网行为管理等 根据功能组别划分在不同的 VLAN 内 这些服务器 专用 VLAN 只对授权的计算机开放访问 非授权的计算机将被访问列表阻隔 局域 网用户与中心机房的其它计算机划分在不同的 VLAN 中 为保障应用和数据的访问 安全 可以限制普通用户只能访问应用服务器所在的 VLAN 并通过应用服务器来 访问数据库 同时不同部门的计算机可根据需要划分不同的 VLAN 例如财务部与 其它部门划分在不同 VLAN 内 矿区矿区 VlanVlan 划分表划分表 序 号 部门名称VLAN 中部门简称 VLAN ID IP 段掩码 1 调度室 安全管理科 DDS AQGL1010 5 80 0255 255 255 128 2 机械动力科 机动科仓库 80 吨磅房 100 吨磅房 jxdl 80 100 1110 5 80 128255 255 255 128 3 财务科 CWK1210 5 81 0255 255 255 128 4 工程管理科 GCGL1310 5 81 128255 255 255 128 5 人力资源科 RLZY1410 5 82 0255 255 255 128 6 工会委员会 纪检监审科 GH JJJS1510 5 82 128255 255 255 128 7 生产技术计划科 SCJSJH1610 5 83 0255 255 255 128 8 矿领导 KLD1710 5 83 128255 255 255 128 9 矿长办公室 党委工作部 工农办 BGS DWGZB GNB1810 5 84 0255 255 255 128 10 营销科 经营预算科 汽车队 YXK JYYS QCD1910 5 84 128255 255 255 128 11 地质测量科 DZCL2010 5 85 0255 255 255 128 12 信息中心 XXZX2110 5 85 128255 255 255 128 13 选矿车间 化验室 选矿调度 保卫科 XKCJ BWK XKDD2210 5 86 0255 255 255 128 14 行政事务科 XZSW2310 5 86 128255 255 255 128 15 开拓工区 KTGQ2410 5 87 0255 255 255 128 16 采准车间 CZCJ2510 5 87 128255 255 255 128 17 采矿车间 CKCJ2610 5 88 0255 255 255 128 18 运输车间 YSCJ2710 5 89 0255 255 255 128 19 提升车间 TSCJ2810 5 89 128255 255 255 128 20 维修车间 WXCJ2910 5 90 128255 255 255 128 21 动力车间 DLCJ3010 5 91 0255 255 255 128 22 110 万伏变电站 110W3110 5 91 128255 255 255 128 23 文化中心 WHZX3210 5 92 0255 255 255 128 24 东风井 DFJ3310 5 92 128255 255 255 128 25 西风井 XFJ3410 5 93 0255 255 255 128 26 物资供应科 供应科仓库 供应科新仓库 WZGY3510 5 93 128255 255 255 128 27 主井 副井 ZJ FJ3610 5 94 0255 255 255 128 28 井下 230 110 水平 JX230 1103710 5 94 128255 255 255 128 29 服务器 SERVER3810 5 90 0255 255 255 128 30 预留 OPEN3910 5 95 0255 255 255 128 31 设备互联地址 10 5 95 192255 255 255 224 32 设备管理地址 110 5 95 224255 255 255 224 业务地址规划 10 5 80 0 10 5 95 191 设备互联地址 10 5 95 192 10 5 95 223 设备管理地址 10 5 95 224 10 5 95 254 VLAN 划分说明 VLAN 的划分最终以甲方的需求为准 2 4 2 VLAN之间路由实现之间路由实现 在划分了 VLAN 的环境下 各 VLAN 成员之间不能直接访问 不同 VLAN 之间的 流量必须经过路由 这一功能可以由三层以太网交换机的多层交换引擎来完成 在用户网络系统设计中 VLAN 的划分可以在核心交换机 楼层交换机上的端 口进行划分 不同的交换机端口所连接的设备属于不同的 VLAN 而 VLAN 之间的路 由则由具有三层功能的核心交换机来完成 2 4 3 VLAN之间安全控制之间安全控制 在用户网络系统中 由于在核心使用了三层核心交换机 因此所有的 VLAN 之 间的访问都需要通过三层核心交换机进行 因此可以通过 ACL 访问控制列表 控 制 VLAN 之间的流量 这样就可以允许高优先级的 VLAN 段访问低优先级的 VLAN 段 而低优先级的 VLAN 段不能访问或有限的访问高优先级 VLAN 段 2 4 4 VTP设计设计 当网络中交换机数量较多时 需要分别在每台交换机上创建很多重复的 VLAN 工作量大 过程繁琐 并且容易出错 由于本次网络中使用的全部交换机都 为 Cisco 的产品 所以将使用 Cisco 的专有协议 VLAN 中继协议 VTP 来解 决这个问题 Cisco 公司专有的 VTP 协议能够从一个中心控制点开始 维护整个企业网络 上 VLAN 的添加 删除和重命名工作 确保配置的一致性 可以减少在数量众多的 交换机上配置 VLAN 相关的管理任务 降低认为因素导致的 VLAN 配置不一致现象 例如 VLAN 配置错误 名称不统一等 降低了配置的复杂性 配置 VTP 修建是为了减少在中继端口上不必要的信息量 VTP 通过修剪 来减 少没有必要扩散的 VLAN 广播数据流量 提高中继链路的带宽利用率 VTP 的口令是为了保证 VTP 域的安全 设置了口令之后 除非交换机设置了正 确的口令 否则 新交换机不能自动加入到已存在的管理域中 可以避免 VLAN 被 错误或恶意地增加 删除 2 5路由规划路由规划 2 5 1 局域网内路由规划局域网内路由规划 本项目网络系统建议采用开放最短路径优先协议 Open Shortest Path first OSPF 作为全网的路由协议 OSPF 是由 Internet 工程任务组 IETF 开发的路由 选择协议 OSPF 协议是一个链路状态协议 正如它的命名所描述的 OSPF 使用 Dijkstra 最短路径优先算法 SFP 而且是开放的标准 这里所说的开放是指它不属 于任何一个厂商或组织所私有 像所有的链路状态协议一样 OSPF 协议和距离矢量协议相比 一个主要的改 善就在于它的快速收敛 这样使 OSPF 协议可以支持更大型的互连网络并且不容易 受到有害路由选择信息的影响 在大型企业网络中选用 OSPF 路由协议的原因主要是 1 对于 OSPF 路由协议 路由表中表示目的网络的参数为 Cost 该参数为一 虚拟值 与网络中链路的带宽等相关 也就是说 OSPF 路由信息不受物理设备跳数 限制 并且 OSPF 路由协议还支持 TOS Type of Service 路由 因此 OSPF 比 较适合应用于大型网络中 2 OSPF 是一种链路状态的路由协议 当网络比较稳定时 网络中的路由信息 是比较少的 并且其广播也不是周期性的 因此 OSPF 路由协议即使是在大型网络 中也能够较快地收敛 3 OSPF 路由协议支持路由验证 只有互相通过路由验证的路由器之间才能交 换路由信息 并且 OSPF 可以对不同的区域定义不同的验证方式 提高网络的安全 性 4 OSPF 路由协议对负载分担的支持性能较好 OSPF 路由协议支持多条 Cost 相同的链路上的负载分担 目前一些厂家的路由器支持 6 条链路的负载分担 5 在 OSPF 路由协议中 每一个区域中的路由器都按照该区域中定义的链路 状态算法来计算网络拓扑结构 这意味着每一个区域都有着该区域独立的网络拓扑 数据库及网络拓扑图 对于每一个区域 其网络拓扑结构在区域外是不可见的 同 样 在每一个区域中的路由器对其域外的其余网络结构也不了解 这意味着 OSPF 路由域中的网络链路状态数据广播被区域的边界挡住了 这样做有利于减少网络中 链路状态数据包在全网范围内的广播 也是 OSPF 将其路由域或一个 AS 划分成很多 个区域的重要原因 2 5 2 互联路由互联路由 和公司网络的连接采用静态路由 即北洺河铁矿网络以默认路由方式指向上级 公司路由器 2 6 无线网络系统无线网络系统 北洺河铁矿网络系统中 WLAN 采用集中管理架构下的 瘦 AP 无线网络架构 以保证无线网络可管理性 安全性 QoS 无缝漫游等功能需求 尤其是方便未来 的运维管理 无线网络在满足现有网络应用的同时 保证对未来网络技术和应用的支持 如 IPv6 无线话音 无线视频 组播等技术的支持 以满足日常办公和运营管理的要 求 无线控制器 无线控制器 采用 CT5500 无线管理器 Cisco 5500 系列无线控制器实现无线 配置和管理功能的自动化 为网络管理员提供更强的可视性和更大的控制能力 让 管理员更有成本效益地管理无线网络和保障无线网络安全 本控制器作为思科一 体化无线网络 Cisco Unified Wireless Network 的一个组件 提供 Cisco Aironet 无线接入点 Cisco 无线控制系统 Wireless Control System WCS 与 Cisco 移动 服务引擎 Mobility Services Engine 之间的实时通信 同时还提供集中化安全策略 无线入侵防御系统 IPS 能力 获奖的 RF 管理 以及高质量服务 QoS 无线无线 AP 室内采用 CAP3502E 无线接入点 无线连接速度达到 300M 采用 Cisco CleanAir 技术的 Cisco Aironet 3500 系列接入点是业界首个 802 11n 接入点 可用于创建自行恢复 自行优化的无线网络 CleanAir technology 技术是思科统一无线网络的一个系统范围功能 可检测其他系统无法识别的 RF 干 扰 识别干扰源 在地图上确定干扰源位置 进行自动调整来优化无线覆盖 从而 提高空气介质质量 这些创新性接入点为关键任务移动性提供最高性能的 802 11n 连接 3500 系列通过以智能方式避免干扰 为 802 11n 网络提供性能保护 以帮 助确保实现可靠的应用程序交付 AP 均配有双外置天线并根据现场要求用辅以馈 线链接 2 7设备命名规范设备命名规范 网络设备的命名和连接规范如同综合布线中线缆的标识 记录一样 都非常重 要的 良好的设备命名和连接 可以使网络的结构清晰 帮助网络管理员更方便地 管理网络 提高网络的可维护性 设置路由器和交换机等设备的名称 也就是设置设备出现在 CLI 提示符中的 名字 一般以地理位置 型号或者用途来为交换机命名 当需要 Telnet 登陆到若 干台设备上以维护一个大型网络时 通过设备名称提示符提示自己所调试的设备是 位于哪里的哪一台设备 使很有必要的 从设备清单中可以看出 此次网络建设中使用的网络设备主要包括 3 种类型 上网行为管理设备 二层交换机和三层交换机 设备放置在主机房和井区设备间 因此 为了便于管理 我们提出设备的命名统一使用如下格式 网络设备命名规则将采用字母与数字结合的方法 具体规则为 字段字段 1 字段字段 2 nn 各字段的含义如下 字段名称字段名称字段含义字段含义 字段 1字段 1 用于标识设备安装地点 为 其中 办公楼机房 BGL 东风井 DFJ 西风井 XFJ 字段 2 字段 2 用于设备型号 定义为 核心交换机 4507R E S4507R 接入交换机 C2960S C2960S 无线控制器 CT5500 CT5500 无线 AP CAP3502E CAP3502E 以此类推 Nnnn 用于标识网络设备编号 范围为 01 99 2 8网络安全系统网络安全系统设计设计 按照邯邢矿业计算机网络系统统一规划要求 北洺河铁矿不再单独设立防火墙 等边区安全设备 本次网络安全系统侧重考虑上网行为管理等安全设备 北洺河铁矿网络安全系统需要建立一套完整可行的网络安全与管理策略 将内 部网络不同区域进行有效隔离 建立网络的安全保护措施 保证系统安全 对网上 服务请求内容进行控制 使非法访问在到达主机前被拒绝 加强合法用户的访问认 证 同时将用户的访问权限控制在最低限度 全面监视对公开服务器的访问 及时发 现和拒绝不安全的操作和黑客攻击行为 加强对各种访问的审计工作 详细记录对 网络 服务器的访问行为 形成完整的系统日志备份与灾难恢复 对所有上网行为 进行记录 详细记录到每个 IP 的上网行为 当有入侵网络的行为以及出现内网互 相攻击时 如扫描攻击等 及时发出报警 并对目标机器进行锁定 并断开其网 络连接 2 8 1 安全保障目标安全保障目标 按照 统一规划 分级实施 综合防范 整体安全 分级保护 务求实效 的原 则 建立综合安全服务体系 从物理 网络 系统 信息和应用等方面保证整体安 全 以应用与实效为主导 管理与技术并重 建立综合防范机制 保障北洺河铁矿 网络平台安全 高效