第04章 矿井网络设计

1、王洼煤矿600万吨/年改扩建项目综合信息自动化系统专项设计 第四章 矿井网络设计第四章 矿井网络设计本矿井综合信息自动化系统图见图4-1-1，其网络设计分为两部分：1、建立覆盖井上、井下主要生产环节的工业控制网络； 2、建立覆盖整个矿井的计算机管理网络，连接上级集团公司，以Gigabit Ethernet（千兆以太网）为主干网络，桌面工作站以百兆接入的工业以太网。第一节 工业控制网络系统设计一、设计目标为使本矿安全、高效地生产，保证设备的正常运行，需要建立一套多层次、多功能，利用现代控制技术、计算机技术、网络技术、通信技术和图形显示技术，将煤矿生产的过程控制与企业管理有机结合的多级分布式综合自

2、动化系统网络。本矿工业网络系统采用千兆工业以太网，按生产关系和地理位置构成逻辑环型网络结构，将各子系统的主机作为工业以太环网的一个节点，把各现场子系统整合于基于Ethernet/IP的工业以太网中。通过OPC、DDE、数据库共享、FTP文件上传等软件接口完成各子系统的信息整合，达到在地面生产调度指挥中心对全矿生产及相关环节的集中监控，实现矿井的管控一体化。本矿工业网络系统为实时监控网络结构，具备有完善的生产监控管理功能，对全矿各主要生产环节及相关的辅助环节的生产过程进行实时数据采集、传输、处理、显示，对主运输带式输送机系统、变电所和通风机等设备进行集中监控，同时配合工业电视系统进行安全图像监视

3、，以确保人员及设备的安全，全面提高矿井的经济效益和社会效益。二、网络技术选择1、网络技术的比较作为现代工业控制网络的技术方案主要有：工业以太网与现场总线。矿井综合自动化网络平台设计可采用工业以太网与现场总线两种方案，具体比较详见表4-1-1。表4-1-1 工业以太网方案与现场总线方案性能比较序号比较内容工业以太网方案现场总线方案1协议标准统一且开放的TCP/IP通信协议，便于集成多厂家设备通信协议有很多种，集成多个厂家设备困难2与管理网连接相同的以太网协议，便于连接协议不同，需协议转换3带宽提供10M、100M、1000M多种选择网络速率慢，一般只有几十K4可维护性便于维护需要较强的技术能力5

4、组网方式可组成多种拓扑结构只有总线式一种6技术发展支持视频、数据、音频三网合一不支持从上面的比较可知：工业以太网技术具有组网方便、互连性好、带宽高、可维护性好的特点。现代的大型生产监控管理系统中往往使用到多家厂商提供的多种不同类型的设备，为了达到方便管理，保证系统运行稳定的目的，必须选择一个开放的通信平台，并将各种不同类型设备的通信统一到这一标准通信平台之上。为保证良好的兼容性和可扩充性，建议使用以太网Ethernet/IP技术作为整个系统的通信标准。如有其他类型的通信格式，如RS232，RS485或其他专用通信接口等等，均可通过协议网关转换为以太网信息包，在IP网络上进行传送。以太网Ethe

5、rnet/IP技术具有以下的优势：l 随着企业的发展、各种新技术的应用，可以预见，对网络的带宽要求也会越来越高，比如基于网络的视频监控传输应用和井下设备震动信息数据采集等都需要进行大量数据的传输。以太网技术具有相当高的数据传输速率(目前已有成功案例应用于工业环境下的以太网交换机)，能提供足够的带宽l 能在同一总线上运行不同的传输协议，从而能建立企业的公共网络平台或基础构架l 支持交互式和开放的数据存取技术l 沿用多年，已为众多的技术人员所熟悉，市场上能提供广泛的设置、维护和诊断工具，成为事实上的统一标准l 允许使用不同的物理介质和构成不同的拓扑结构l 以太网早期存在不确定性和实时性能欠佳的问题

6、，智能交换机的使用、主动切换功能的实现、优先权的引入等，基本上得到了解决。通过提高数据传输速率，仔细地选择网络的拓扑结构、设置服务质量（QOS）等，从而保证数据传输的准确性和实时性因此，本设计选择工业以太网组网技术作为本矿综合自动化工业网络系统的技术选型。2、网络冗余方式选型在工业以太网络中，由于目前的大型控制系统大多为分布式控制系统，因此，多采用总线结构或环形结构。为了进一步提高网络的可靠性，可以采用单环或双环、双星形、多总线网络结构实现网络冗余，其结构比较见表4-1-2。表4-1-2几种工业以太网结构比较星形环形双星形双环形网络拓扑描述一个网络核心节点下联各个分节点各个网络节点串联成闭环结

7、构双核心、双接入节点，接入节点分别连接到核心节点，形成2套网络每个网络节点具有2套网络设备，各个节点串联成2套环网优点布线简单，管理方便，直接通过背板交换，交换速度快。分布式网络，允许光纤出现一处断点。发生连路故障时，网络自动在500mS之内切换到总线。冗余网络，允许交换机、光纤、网线（网卡）三种故障，直接通过背板交换，交换速度快。冗余网络，允许交换机、两处光纤、网线（网卡）四种故障。是常用的高级工业冗余网络系统。星形环形双星形双环形缺点没有冗余，且中央交换机分险过于集中。属于简单冗余，当某一交换机发生故障时，会导致单点网络故障。布线复杂，所有网络设备、网络光（电）缆、网卡均为双份，成本高。冗

8、余实际上是通过软件编程实现的，因此切换时间与程序编制有较大关系。布线较双星形简单，其他成本，如网络设备、网络光（电）缆、网卡均为双份，与双星形一样。成本低最低最高高冗余时间50或500ms取决于软件链路故障恢复5或500ms，其他故障取决于软件因此，经比选可知采用冗余结构的工业以太环网搭建本矿综合自动化工业网络系统是合适的，符合技术发展方向。三、系统架构本矿综合自动化工业网络系统采用环间耦合冗余两级网络结构，在地面和井下分别建立1个环网平台，地面工业场地和井下环网分别由各自的环网交换机与生产调度指挥中心核心交换机连接，形成一个冗余工业千兆主干环形网、百兆接入的技术方案。两台工业核心交换机组成H

9、iper-Ring环网，两个现场环网基于双机Coupling冗余耦合技术接入两台工业核心交换机，组成全网一致的整体冗余网络（任一单断点自愈时间快于50ms）。作为全矿工业以太网的主干网，主干网络节点提供多种形式的接口方式，方便地面与井下各个子系统的接入，同时方便井上下的工业网络的扩展与升级。本矿生产调度指挥中心设计安装2台1000M工业以太环网核心交换机作为工业以太网核心。2台千兆核心以太网交换机互为备份，通过Hiper-Ring环网（或Standby环网），构成工业网络的冗余数据汇聚中心，地面工业场地和井下分别构成一个环网。本矿地面设置9台1000M工业以太环网交换机，分别安装于：副斜井提升

10、机房控制室、通风机房控制室、35kV变电站控制室、空气压缩及制氮站控制室、锅炉房控制室、生活污水处理站控制室、矿井水处理站控制室、储煤仓配电点、主井10kV变电所控制室，构成地面工业以太环网。本矿井下设置2台1000M工业以太环网交换机，安装于井下采区上部10kV变电所、井下10kV水泵房变电所。图4-1-1 工业控制网络拓扑图四、系统设计 1、工业以太网产品选型由于工业环境（如煤矿等行业）的特殊性，普通交换机在抗干扰性能、电磁兼容性、可靠性、可用性、MTBF等方面不能完全适应工业环境的要求，且不能形成高速冗余环的连接方式，使用寿命也会大大降低。因而必须采用工业级的以太网交换机。本设计采用KY

11、LAND的工业以太网交换机系列。KYLAND的工业级以太网设备采用牢靠的重负荷设计，其性能指标远远超过一般的网络产品，电磁兼容性、工作温度、防震等指标完全符合工作现场的要求。支持多种网络拓扑结构和多重冗余方式，如（单）环网冗余、单环双节点冗余、双总线冗余、双环网冗余和环间冗余。所有冗余结构在切换时，已传递的数据延迟小于50ms（千兆设备可达50ms环收敛，百兆设备可达300ms环收敛），不会造成数据丢失的问题。KYLAND的工业以太网产品技术特点：l 整个自动化综合控制网采用工业级的网络交换机，实现恶劣环境的网络连接。l 整个自动化综合控制网采用具有50ms自愈功能的环形冗余网络结构提高了网络

12、系统的可靠性。l 核心采用模块化的SICOM6496G交换机，提供多种冗余机制：环冗余、电源冗余等，避免网络中的部分单点故障。并可实现将来网络的扩充升级。l 整个环网采用千兆骨干带宽，为数据、视频、语音提供三网合一提供了足够的带宽。l 整个网管系统可对所有的综合自动化网的网络设备进行实时监控。并提供报警提示功能。同时提供OPC协议，支持监控软件的集成。l 井下交换机经过防爆认证，具备MA证，符合煤矿安全规程。2、工业以太网路由设计工业网主传输和一部分分支传输介质采用光缆，设计如下：l 井下光缆将全部采用铠装单模光纤，地面光缆将采用单模光纤l 光缆将直接接入信息机房综合自动化系统核心交换机l 地

13、面工业环网主干光纤均采用12芯单模光缆，井下工业环网主干光纤均采用12芯单模光缆。光纤敷设设计：l 敷设多芯光纤冗余通道，并组成井上、下环网。l 地面电、光缆与动力、照明电缆共用室外电缆沟及电缆排管敷设，无电缆沟及电缆排管处，采用电缆穿栅格式塑料管埋地敷设。l 井下光缆敷设主巷道采用桥架敷设，其它巷道采用电缆挂钩方式敷设。l 光纤为了保证信号衰减，尽量减少熔接次数l 主干光纤每500m要求有20m的预留，为熔接预留长度。l 光缆/电缆敷设过程中，根据现场实际情况，需要做保护光缆/电缆段必须严格做保护，具体保护辅材由集成商提供。表4-1-2 光缆配置表光纤名称规格规格芯数备 注井下工业主干环网矿

14、用阻燃单模12环网2芯使用，2芯备用，其他可作为备用或其他系统临时借用井下分支矿用阻燃单模12综采工作面自动化和数字工业电视使用地面主干单模12环网2芯使用，2芯备用，其他可作为备用或其他系统临时借用。地面分支单模12数字工业电视使用地面、井下环网均以灯房浴室及任务交待室联合建筑生产调度指挥中心为起点，分别经过地面、井下各生产环节，最终连接回到生产调度指挥中心形成可靠的光纤环网，连接方式根据可靠性、灵活性、实用性原则组建。地面千兆工业以太环网光纤敷设路由为：生产调度指挥中心副斜井提升机房通风机房35kV变电站空气压缩及制氮站锅炉房生活污水处理站矿井水处理站储煤仓配电点主井10kV变电所生产调度

15、指挥中心。由于井下铠装阻燃矿用光缆最大为30芯，敷设光缆根据环网需求和冗余性，由主井敷设1根30芯单模铠装阻燃矿用光缆、副井敷设1根30芯单模铠装阻燃矿用光缆下井，井下千兆工业以太环网使用12芯，30芯中其余的芯数供其他系统使用。井下千兆工业以太环网的光纤敷设路由为：生产调度指挥中心采区上部10kV变电所井下10kV水泵房变电所生产调度指挥中心。3、工业核心交换机1）工业核心交换机选型工业核心网络交换机是工业以太网的核心，其性能直接关系到工业网络的运行稳定、性能、管理维护和未来网络的发展及可扩充性，其性能好坏是决定整个工业控制网络的稳定性和传输速度的重要因素之一。本设计方案工业网络系统核心交换

16、机选择KYLAND的SICOM6496G。 SICOM6496G系列三层交换机专为满足骨干网络高速高负载传输音频、视频和控制数据的需要而设计，能够满足工厂、交通、船舶等行业的需要。核心交换机要求采用模块化设计，端口密度高，外观紧凑，在保持工业产品的高度灵活性和可靠性的同时提供了更为强大的处理能力。提供动态路由和多播路由，支持HIPER-Ring，Redundant Coupling 等冗余机制、也满足 GL 认证及相关的抗冲击、抗振动标准。可为高实时控制响应服务的工业核心主干网和要求苛刻的多业务应用提供端口线速的多层交换能力。每台交换机均可跨所有端口提供无阻塞的第 2 层和第 3 层交换。 S

17、ICOM6496G系列工业以太网交换机采用模块化设计，便于扩展、端口配置，具有以下特点：l 模组化设计,可支持48G或96+8G接口；后出线设计,满足工业现场要求；专利散热技术,无风扇设计；IP40防护等级；CE,FCC认证；l 冗余技术:支持DT-Ring协议族(自愈时间50ms),MSTP和VRRP，与二层设备可统一组网；l 组播协议:支持IGMP,IGMP Snooping,PIM-SM,PIM-DM,DVMRPl 路由协议:支持RIPv1/v2,OSPFv2,BGPv4和静态路由协议l 网络划分:支持VLAN,GVRPl 服务质量:支持QoSl 带宽管理:支持端口聚合,端口限速,广播风

18、暴抑制l 网络管理监控:支持CLI,Telnet,WEB管理方式,Kyvision集中管理,支持SNMPv1/v2,RMON,LLDP,SNTP,DHCPl 网络安全:支持ACLl 设备管理:支持FTP/TFTP升级,支持日志记录与上传l 设备维护:支持端口镜像l 告警输出:支持端口和环告警2）工业核心交换机配置工业核心交换机机架集成 8 个 GE 双绞线（10/100/1000 Mbit/s）端口或 8 个 GE Combo 端口（SFP 100/1000 Mbit/s 或双绞线 10/100/1000 Mbit/s），通过介质模块扩展 16 个 GE 端口。不但可满足自动化控制网的各类服务

19、器、监控终端连接的千兆高速连接入网，还可有剩余端口用于将来的扩展之用。l 每台SICOM6496-主机模块1，提供2个电源插槽,2个主控交换模块插槽 4块l 每台配置SM6.3-Power-48DC-电源模块1l 每台配置SM6.3-4GX/GE-20GE 交换模块2， 提供8个千兆Combo口,30个10/100/1000M自适应以太网RJ45接口4、工业节点交换机SICOM6000是三层模块化卡轨式网管型工业以太网交换机。它提供了4个1000Base-X SFP接口和10/100/1000Base-T(X)combo口，24个光电可选百兆接口或12个RS232/RS485串行接口。SICO

20、M6000符合工业4级EMC设计要求，提供IP40防护等级。提供基于Kyvision3.0，CLI，WEB多种管理方式。节点交换机的主要特点如下：煤矿井下产品要求已通过“MA”认证。l 冗余技术：支持DT-Ring协议族(自愈时间50ms)，MSTP和VRRPl 组播协议：支持IGMP，IGMPSnooping，PIM-SM，PIM-DM，DVMRPl 路由协议：支持RIPv1/v2，OSPFv2，BGPv4和静态路由协议l 网络划分：支持VLAN，GVRP l 服务质量：支持QoSl 带宽管理：支持端口聚合，端口限速，广播风暴抑制l 网络管理监控：支持CLI，Telnet，WEB管理方式，K

21、yvision集中管理，SNMPv1/v2，RMON，SNTP，LLDP，DHCPl 网络安全：支持ACLl 设备管理：支持FTP/TFTP升级，支持日志记录与上传l 设备维护：支持端口镜像l 告警输出：支持电源，端口和环告警1）地面环网工业节点交换机配置在井上环网部分配置9台SICOM6000节点交换机，并与中央网络设备的核心交换机进行冗余互连，以保证网络上联的冗余。井上环网部分直接采用千兆环网，根据实际需要，井上每台节点交换机配置：l SICOM6000-主机1 ，提供1个电源模块插槽,1个主控交换引擎插槽,3个功能模块插槽,1个千兆模块插槽。l SM6.1-Power-12/24/48电

22、源模块1。l SM6.1-4GX/GE千兆接口模块1，提供4个千兆Combo接口。l SM6.1-8T功能模块1，提供8个10/100M自适应以太网RJ45接口。l SM6.1-4FX-4T功能模块1，提供4个百兆SFP插槽,4个10/100M自适应以太网RJ45接口。2）井下环网工业节点交换机井下子环网配置2台防爆认证并取得MA证书的工业节点交换机连接成环，以保证网络上联的冗余。井下子环网直接采用千兆环网，根据实际需要，井下每台SICOM6000交换机配置：l SICOM6000-主机1 ，提供1个电源模块插槽,1个主控交换引擎插槽,3个功能模块插槽,1个千兆模块插槽l SM6.1-Powe

23、r-12/24/48电源模块1l SM6.1-4GX/GE千兆接口模块1，提供4个千兆Combo接口l SM6.1-8T功能模块2，提供16个10/100M自适应以太网RJ45接口l SM6.1-4FX-4T功能模块1，提供4个百兆SFP插槽,4个10/100M自适应以太网RJ45接口5、服务器及其他网络设备硬件部分的集成以服务器为核心，在监控中心集成平台中，共有如下的服务器系统：1）服务器共5台，其中管控服务器2台，数据库服务器2台，WEB服务器1台。型号规格：IBM System x3850 X5Intel 至强E7-4807处理器内存：16GB硬盘：配置3300G SAS硬盘配置Serv

24、eRAID-8k RAID5卡双网卡21000Mbps光驱：DVD/CD-RW Combo光驱冗余电源：1975W,220V安装方式：4U机架式安装2）安全隔离网闸共1台，应用于SCADA控制网络与计算机管理网络之间的单向传输，保障信息安全。型号规格：sis-3000-GE11内网配置：2个10/100M网络接口，1个10/100M管理口，1个10/100M双机备口外网标配：4个10/100M网络接口，1个10/100M管理口可扩展为热插拔冗余电源并发连接数：20000每秒新建连接：不低于1300平均无故障时间： 50000小时安装方式：2U机架式安装3）操作终端生产调度指挥中心设工程师站2台

25、，操作员站4台。型号规格：T5600专业工作站Intel至强E7-4807处理器PCI Express x16 Gen 2显卡，1G显存4G内存，500G SATA硬盘PCI-e Broadcom千兆控制器卡，提供2个千兆端口24英寸液晶显示屏正版 Windows 7 Professional 64位 (available with XP Mode)4）移动管理终端共2台。型号规格：ThinkPad T430Intel 酷睿2双核 i5,主频不低于2.4GHz二级缓存：3MB2G内存，500GB硬盘，DVD-RW, 256M显存14.1英寸液晶显示屏，内置802.11a/b/g无线网卡、集成1

26、000M以太网卡正版Windows 7 Professional5) 磁盘阵列共1台。设备型号：IBM System Storage DS5020 Express最大支持 112 个 2 TB SATA 磁盘驱动器提供高达 224 TB 的物理存储量，本项目采用32块2 TB SATA硬盘，达到64 TB 的物理存储量最大传输率：3700MB/s高速缓存：4GB的物理缓存MTBF：1000000小时RAID支持：参数纠错RAID 0，1，3，5，6，10主机接口：8个 8 Gbps 光纤通道6）光纤通道交换机共1台。型号规格： IBM System Storage SAN24B-4 Expre

27、ssIBM System Storage SAN24B-4 Express交换机带有 24个端口，其中 8个端口已激活（0到7），8Gbps 光纤通道（FC）支持的存储产品：IBM System Storage DS5020 Express支持的服务器：IBM System X系列安装方式：1U机架式安装7）千兆防火墙共1台。设备型号： Power V-1428-TD安装方式：1U机架式安装标准配置4个SFP插槽（可插单模/多模/电口）8个10/100/1000MBASE-T端口并发连接数200万支持VPN功能，VPN隧道数5000条6、工业网络系统网络管理本矿综合自动化系统整体网络采用井下、

28、井上、核心三个网络的构架，主要传输业务有电力监控系统、视频监控系统、语音通信系统、信号控制系统，在生产指挥调度中心、主斜井10kV变电所、副井提升机房、变电站、通风机房、井下变电所等地放置工业以太网交换机，井上、井下、核心交换机通过1000M光纤互联，核心机房由两台KYLAND工业以太网交换机SICOM6496G组成，通过VRRP（Virtual Router Redundancy Protocol）虚拟路由冗余协议实现核心网络的冗余，并在两台交换机启用两个备份组，这样，既分担了设备负载和网络流量，又提高了网络可靠性。井上井下由11台KYLAND工业以太网交换机SICOM6000分别组成两个千

29、兆冗余环网，将井上和井下网络物理相隔离提高网络的安全性，井上井下环网交换机启用DT-Ring快速环网冗余协议，保障了网络的无扰切换，网络自愈时间小于50ms，在井下环网中启用SICOM6000的VLAN（Virtual Local Area Network)虚拟局域网络功能，将井下视频、语音、控制等业务隔离，防止业务的广播风暴产生影响其他业务，并将交换机各业务接入端口（交换机使用端口）采用KYLAND的广播风暴抑制功能，可以实现网络中“有效数据传输，无效数据隔离”的功能，提高网络数据传输的安全性。同时采用QOS（Quality of Service）服务质量功能，根据不同的业务级别对交换机的接

30、入端口进行带宽分配，提高网络数据传输的高效性。7、子系统接入光纤环网接口和通信协议本矿综合自动化各子系统，采用标准的TCP/IP协议和工业级以太网技术加以实现，实现将井上和井下区域控制器和综合监控站所采集的信息和控制信号传送给有关系统。8、工业网络系统供电设计1）地面网络设备供电设计KYLAND工业交换机节点设备均为专为工业环境设计的工业交换设备，能够适应高温、高湿、尘埃和震动的环境，满足在煤矿环境的防爆及安全要求。并且必须符合爆炸危险环境电力装置设计规范GB50058-2014以及煤矿安全规程2011版等的规定，并取得有效的煤矿矿用产品安全标志。地面工业节点交换机可以直接安装在节点机柜内，设

31、备就地取电。为了保证交换机供电的稳定性，应配置UPS电源，工业节点交换机机房UPS电源应具备以下性能指标：UPS容量为3kVA，在线式UPS；机架式安装，安装在工业节点交换机机柜内；电池后备时间必须在UPS主机80%负载情况下实现2小时不间断供电；地面输入为220V，输出为220V。2）井下网络设备供电设计目前KYLAND生产的工业以太网交换机为非隔爆或本安型的，无防爆等级，因此不能直接用于煤矿井下。为保证井下安全，必须按照爆炸危险环境电力装置设计规范GB50058-2014以及煤矿安全规程2011版的规定，将交换机的非本安信号通过相应的电路转换成本安信号，并将工业以太网交换机安装于符合Exd

32、I级别隔爆兼本安箱中，并提供本质安全输出。考虑到现场的恶劣条件，为减少因电源故障而产生的网络中断等事故发生几率；提高网络的可用性，应配备了专用的小型防爆UPS设备。UPS容量为3kVA，在线式防爆UPS。电池后备时间必须在UPS主机80%负载情况下实现2小时不间断供电。输入为127V，输出为24V直流。第二节 计算机管理网络系统设计一、设计目标本矿井计算机管理网络布线系统以信息中心机房（灯房浴室任务交待室联合建筑内）为核心，以生产指挥楼、灯房浴室任务交待室联合建筑、2-5#单身公寓、食堂、器材库、综采设备库、机修间、消防材料库为接入点，在上述单位部门实施统一的网络布线（包括光缆布线与铜缆布线）

33、。计算机管理网络系统是企业信息管理系统运行的硬件平台，主干网络采用千兆单模光纤传输，网络百兆带宽到桌面。通过本矿井管理网络系统传输数据、语音、视频信息，实现企业办公自动化、统一上网等业务，实现与集团联网，与综合自动化网络之间通过网闸隔离联网。二、系统架构本矿井管理网络系统由核心交换机、接入交换机、服务器、路由器、防火墙、及相应网管软件及应用软件组成。本矿井管理网络系统构架如下：l 整体网络结构采用星型结构设计；l 采用以千兆以太网交换技术为核心骨干的网络技术，提供标准化的高速率主干网连接，可以在同一个网络中支持多种服务质量，以支持目前和未来数据库、多媒体等应用和服务的需求；l 采用的所有设备和

34、技术均符合国际标准，网络中使用的设备和协议完全符合国际通用的技术标准，兼容现有的网络环境，提供很好的互联性能；l 网络能提供足够的带宽，丰富的接口形式，满足用户对应用和带宽的基本需要，并保留一定的余量供扩展使用，最大可能地降低网络传输的延迟；l 网络有很高的可靠性、稳定性及冗余，提供拓扑结构及设备的冗余和备份，把单点失效对网络系统的影响减少到最小，避免由于网络故障造成用户损失；l 网络有良好的可扩充性，对未来的应用和技术有一定的前瞻性，随着网络的规模及其运行的应用不断扩展，现有系统能提供足够地扩充能力，适应发展的需要；l 网络易于安装、操作和维护，在网络中使用单一的网络管理软件来管理所有网络设

35、备，对网络设备及VLAN等进行直观、灵活的配置，提供完整的网络拓扑图。三、计算机管理网络设备布置1、系统设计企业计算机管理网的整体网络结构应采用星型结构，它与工业以太环网共同构成本矿整个网络传输的物理平台。企业计算机管理网络是企业信息管理系统运行的硬件平台，传输数据、语音、视频信息，实现企业办公自动化、统一上网等业务。本矿计算机管理网分为两层，核心交换机是矿井办公局域网中的一级交换机，它连接局域网络的二级交换机，通过路由器、硬件防火墙与当地电信、网通等公网运营商连通，实现与INTERNET的连接。本矿计算机管理网络的数据系统的中心机房设置在灯房浴室联合建筑内，设有光纤配线架（ODF）、核心交换

36、机、网络路由器、防火墙、企管网服务器等网络设备。在生产指挥楼、灯房浴室任务交待联合建筑、食堂、2-5#单身公寓、机修间设置接入层交换机及配线架等设备，综采设备库、器材库、消防材料库的网络通过以太网光电转换器与机修间网络交换机连接。信息点数据模块采用RJ45超五类非屏蔽模块 、水平系统采用超五类非屏蔽双绞线（FTP） 、数据主干采用12芯单模光纤 ，各楼层信息点聚集到各个子建筑的机房内。 管理网络系统拓扑图见图4-2-1：图4-2-1企业管理网络拓扑图本矿井交换机布置位置、规格和数量见表4-1：序号安装位置设备型号数量核心交换机1任务交待室及灯房浴室Cisco Catalyst WS-C4507

37、R1接入交换机1生产指挥楼Cisco Catalyst 2960-48TC-L22任务交待室及灯房浴室Cisco Catalyst 2960-48TC-L332号单身公寓Cisco Catalyst 2960-48TC-L243号单身公寓Cisco Catalyst 2960-48TC-L254号单身公寓Cisco Catalyst 2960-48TC-L265号单身公寓Cisco Catalyst 2960-48TC-L27食堂Cisco Catalyst 2960-24TC-L18机修间Cisco Catalyst 2960-8TC-L12、计算机管理网络路由设计计算机管理网传输介质采用1

38、2芯单模光缆，以星形结构连接。地面布线工业广场采用电缆沟敷设或穿硬聚氯乙烯管埋地敷设。光缆由机房企业管理网核心交换机以星形方式连接各建筑接入交换机3、核心交换机选型核心层是网络的骨干。核心层节点是整个煤矿管理网络系统的核心，设备承载的压力最大，设计目的是实现快速收敛、提高可靠性和加强稳定性。本矿管理网络核心交换机应具备以下性能指标：l 支持万兆链路；l 设备插槽（交换路由引擎插槽+接口板插槽）总数不小于9；l 配备双引擎、双电源、双风扇；l 配置不少于24个千兆单模光口；l 配置不少于48个千兆电口；l 引擎总带宽不小于720Gbps；l 支持802.1x、访问控制列表(ACL)、Secure

39、 Shell(SSH)协议、动态ARP检测(DAI)、源IP防护等安全特性；l 支持RIP、OSPF等路由协议，支持智能QoS功能，支持端口安全、地址绑定、DHCP Snooping等安全技术，所配模块必须能够完全利用交换机备板；l 通过基于 Web的GUI，提供先进的管理和配置功能。本矿管理网络系统核心交换机设计选择Cisco Catalyst WS-C4507R。图4-2-2 Cisco Catalyst WS-C4507R交换机外形图Cisco Catalyst WS-C4507R产品为布线室和数据中心提供高性能等密度的每秒10/100/1000Mbit的以太网模块化交换平台，提供高性能

40、的企业交换解决方案，本交换机可根据矿的不同系统和网络介质提供不同的端口，具有非常大的网络扩展和配置的灵活性。Cisco Catalyst 4500系列为企业局域网接入、小型骨干网、L3分布点和集成式SMB和分支机构提供先进的高性能解决方案。其优点包括： 1）性能：Cisco Catalyst 4500 提供的高级交换解决方案不但能随着端口的增加扩充带宽，还采用了业内领先的应用专用集成电路（ASIC）技术，能够提供线速L2-L3 10/100或千兆交换能力。由于L2交换提供模块化管理引擎灵活性和全面的线路卡兼容性，因而能将性能扩展到 320Gbps和250Mpps。利用 Cisco Expres

41、s Forwarding，L3-L4交换也可以扩展到320Gbps和250Mpps。交换性能与路由项或支持的高级L3服务的数量无关。 2）为关键业务应用提供带宽保护：利用 QoS 或安全特性，在部署 Cisco Catalyst 4500 系列管理引擎时，将不会降低转发性能，Cisco Catalyst 4500 系列平台将继续以完全线速转发。 3）端口密度：Cisco Catalyst 4500 系列能够满足机箱中 388个以太网端口的网络组件连接要求。Cisco Catalyst 4500 系列支持从网络边缘直接到桌面计算机的业内密度最高的10/100/1000自适应、自协商千兆以太网。万

42、兆以太网上行链路端口支持高密度千兆以太网到桌面部署和交换机到交换机应用。Cisco Catalyst 4500 系列的可热插拔、易于使用的模块化交换解决方案不但能降低复杂性，还能容易地支持当今网络中不断变化的桌面环境。 4）管理引擎冗余性：冗余管理引擎有助于缩短计划内和计划外网络停机时间，改善业务连续性，并提高员工生产率。带状态化切换的不间断转发（NSF/SSO）能够在管理引擎切换过程中提供连续包转发。NSF/SSO 能够显著提高L2或L3环境中的网络可靠性和可用性。完全图像ISSU为新线路卡、新电源、新特性或缺陷修复提供无影响的快速软件升级，而且不会影响路由过程，也不会使网络不稳定。即使 C

43、isco IOS Software 图像正在升级或降级，IP语音也不会掉线。NSF/SSO 和 ISSU 对IP语音（VoIP）等关键业务应用非常重要。 5）投资保护：由于 Cisco Catalyst 4500 系列采用了灵活的模块化架构，因而能够为局域网接入或分支机构网络提供经济高效的接口升级。由于Cisco Catalyst 4500 系列机箱之间的备件兼容性支持电源和交换线路卡的通用化，因而能降低总部署、迁移和支持成本。 6）功能上透明的线路卡：只需添加新的管理引擎，Cisco Catalyst 4500 系列系统就可以容易地将所有系统端口升级到更高交换功能。与迁移过程中需要执行全面设

44、备升级的传统交换产品不同，该系统不需要更换老线路卡和布线就可以增强所有系统端口的功能。这种架构优势延长了 Cisco Catalyst 4500 系列线路卡的有用部署时间。 7）一致的软件架构：由于采用了一致的 Cisco Catalyst 软件和用户界面，用户可以利用掌握的知识，通过 Cisco Catalyst 2960、3560、4500 和 6500 系列交换机以及 Cisco Catalyst 3750 交换机的结合发展基础设施。 8）Cisco IOS Software 网络服务：Cisco Catalyst 4500 系列交换机提供能够增强公司网络的成熟的企业级L2-L3特性。这

45、些特性能够满足大中型企业的高级网络需求，因为它们是多年来根据客户的意见和建议改进的结果。 9）高级安全性：在 Cisco Catalyst 4500 系列上支持多种安全特性，例如 802.1x、访问控制列s表（ACL）、安全Shell（SSH）协议、单播RPF（uRPF）、端口安全性、动态ARP检测（DAI）、IP Source Guard、控制平面限速、802.1x 不可访问认证回避、802.1x 单向控制端口、MAC 认证回避、多域认证和专用虚拟局域网（PVLAN），以便增强网络控制和灵活性。如果有选择地或者全部采用这些特性，网络管理员不但能防止非法访问服务器或应用，让不同的人用不同的权限

46、使用同一台PC，还能防止网络入侵者通过盗窃用户名和密码访问交换机，或者防止出现有意或意外广播风暴。 10）基于硬件的组播：独立于协议的组播（PIM）、密集模式和稀疏模式、互联网小组管理协议（IGMP）、组播侦听器识别（MLD）侦听和思科组管理协议支持基于标准的经过思科技术增强的高效多媒体网络，而且不会降低性能。 11）可管理性：Cisco Catalyst 4500 系列得到了 CiscoWorks 产品线的支持，提供的创新工具能够集中管理主要网络特性，例如可用性、响应能力、永续性和安全性，以便建立智能交换基础设施。通用模块化QoS 命令行界面（CLI）不但能简化策略流量图的创建，还能为大、小

47、型Cisco Catalyst 交换机提供一致的界面。网络运作可以通过基于Web、GUI和CLI的灵活管理方式得到增强。最重要的是，每台 Cisco Catalyst 4500 系列交换机都有思科服务和支持解决方案作后盾。 4、接入交换机选型接入交换机主要是连接终端用户，在产品选型上主要需要考虑以下几点：l 端口数量；根据信息点密度情况，合理的采用48和24口、8口相结合。l 上行链路介质和带宽选择，上行链路带宽应达到1000M。l 网络管理和终端设备介入控制，能够支持802.1X和mac绑定。本矿接入层交换机具备以下性能指标：l 支持增强性的二、三层交换服务器特性；l 配置24或48个10/

48、100M RJ45接口；l 配置不少于4个10/100M/1000M 接口（10/100/1000BASE-T或SFP）；l 背板容量：不低于32Gbps；l 转发速率：不低于9.6Mpps；l 支持QoS功能，支持IEEE 802.1Q标准的VLAN；l 通过基于 Web的GUI，提供先进的管理和配置功能；l 配置光纤接口模块；l 所有交换接口实现线速转发，千兆上联、百兆到桌面。考虑到与主干交换机的兼容性以及无缝融合。建议采用与主干交换机同厂商的产品。因此我们将采用Cisco的Catalyst Catalyst 2960T交换机（48或24或8个10/100端口和2个固定的1000BASE-

49、T上行链路端口）通过作为本网工作组级接入交换机组，直接连接各职能工作站。以合理价格实现工作组与终端设备的100Mbps连接的可扩展交换机，Cisco Catalyst 2960是将专用快速以太网式的性能扩展到整个网络的理想选择，它可使用户的终端设备服务器及其它网络设施享受这种高性能的解决方案。这种高性能的解决方案可随网络的成长而自由地扩展。图4-2-3 Cisco Catalyst 2960交换机外形图5、服务器设计选型数据库服务器、WEB服务器、网管服务器性能指标设计要求：l 结构：机架式；l 处理器：双CPU四核2.5G /双CPU新六核 不低于2.0G/缓存不低于8M， CPU：，可扩至

50、二路处理器；l 集成4MB二级缓存，处理器支持超线程以及EM64T，1GHz前端总线；集成iLo远程管理,集成Smart Array 6i U320 SCSI阵列控制器；l 集成双口千兆以太网卡；l 内存：4GB 双路交错 PC2-5300 DDR2 SDRAM内存，支持高级ECC和在线备援，最大可扩充至64GB；l 三个64位PCI-X插槽，包括两个100MHz非热插拔插槽和一个133MHz；l 配置4 x 72GB SAS 驱动器，带可选硬盘驱动器；l 双电源线，可热插拔。6、防火墙设备选型本矿管理网络系统上联王洼煤业公司网络系统，下联本矿工业网络系统。本矿管理网络系统可能受到来自INTE

51、RNET的网络攻击，为了保证管理网络系统的安全，设置防火墙（天融信品牌）连接王洼煤业公司网络系统。工业网络系统是整个煤矿生产自动化系统的网络平台，为了保证生产控制系统稳定安全运行，管理网络与工业网络通过控制网防火墙相连，即保证管理系统可以读取生产自动化系统的数据，又保证生产自动化工业网络系统的安全。7、移动管理终端系统配置2台移动管理终端，作为网络日常维护管理使用。参考设备：IBM ThinkPad T400Intel 酷睿2双核 P8600,主频不低于2.4GHz二级缓存：3MB2G内存，320GB硬盘，DVD-RW, 256M显存14.1英寸液晶显示屏，内置802.11a/b/g无线网卡、

52、集成1000M以太网卡中文Microsoft Windows XP/VSTA操作系统 8、IP地址分配设计在管理网络系统建设过程中应严格遵守公司IP地址管理规范。在分配的IP地址范围内，可以采用动态地址和静态分配相结合的方法来实现IP地址的有效管理，具体方法为：l 用于广域网和局域网的网络设备互连采用静态IP地址；l 用于其他网络设备互连如防火墙、入侵检测等采用静态IP地址；l 服务器和维护管理工作站采用静态IP地址；l 重要的工作站如相关部门领导采用静态IP地址；l 其他普通接入用户采用动态分配的IP地址。9、网络管理软件网络管理是网络组建中的重要组成部分。良好的网络管理系统可以帮助用户在很

53、大程度上优化网络结构、预防和及时排除故障，减少网络的维护费用，以获得很好的投资回报。根据网络设备的特点，设计采用Cisco的专业网管软CiscoWorks2000，LMS（CiscoWorks LAN Managerment Solution）来管理本矿管理网络系统。Cisco works2000，作为业界知名的网管软件，能够充分管理企业的网络。主要有以下功能：l 设备故障管理：提供设备的实时检测、分析，故障预警，并出具丰富的报表；l 设备资产管理：提供企业网络设备的详细清单，简单配置，例如：软件升级等；l 设备可视化可视化监管：提供基于网络设备实物的可视化网管界面，允许配置、监测；l 设备配

54、置管理：提供整网的拓扑自动发现、相关一二层信息、路径分析；l 广域网线路管理：实时监测网络的延时、拥塞、抖动等情况。第三节 信息安全系统设计一、设计目标本矿信息安全系统的建设应符合本矿井信息安全系统建设技术要求，结合公司信息安全系统建设经验进行。信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源。从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。信息安全的任务，就是要采取措施(技术手段及有效管理)让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。信息安全

55、是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。本矿井综合信息化平台其安全定义是：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。二、系统构架本矿井信息安全系统由五方面组成，管理组织、物理安全、网络安全、系统安全、数据安全。三、设计方案1、管理组织为了保证本矿井信息系统的安全，应参考ISO/IEC 27001:2005标准的要求，建立本矿井信息安全管理体系，保证信息安全系统的建设。信息安全管理组织是保证信息安全系统建设的基础，通过信息安全组织系统的建设，本矿井可以制定信息安全策略，在本矿井建立一套

56、通用的、行之有效的安全机制保证信息安全，在本矿井所有员工中树立起信息安全责任感，增强信息资产可用性、完整性和保密性，提高全体员工的信息安全意识和信息安全知识水平。信息安全管理组织首先要明确本矿井的管理层对信息安全承担最终责任，信息安全系统具体管理工作由矿信息中心统一管理方式，其他相关部门/单位配合执行。本矿井各个部门之间必须紧密配合共同进行信息安全系统的维护和建设。本矿井信息系统内的每个重要的资产需要明确所有者、安全责任人、安全维护人员、使用人员。同时本矿井应当积极与政府机构、集团保持必要的联系，共同协调信息安全相关问题。本矿井信息安全小组每年至少进行一次信息安全风险评估工作，并对安全策略进行复审。信息安全管理者代表每年对风险评估结果和安全策略的修改进行审批。2、物理安全本矿井信息安全系统物理安全是保障整个综合信息化平台信息安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。1）设备安全 设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁