鐵礦計算機網(wǎng)絡(luò)升級改造項目深化設(shè)計方案(doc 113頁).doc

北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 深化設(shè)計方案深化設(shè)計方案 中科軟科技股份有限公司中科軟科技股份有限公司 2012 年年 7 月月 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 I 中科軟科技股份有限公司 目目 錄錄 第一章第一章項目需求分析項目需求分析 4 1 1項目需求概述 4 1 2項目總體要求 4 1 3項目設(shè)計指導(dǎo)思想 4 1 4網(wǎng)絡(luò)現(xiàn)狀和存在的問題 5 1 4 1網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀 6 1 4 2應(yīng)用系統(tǒng)情況 9 1 4 3現(xiàn)有網(wǎng)絡(luò)系統(tǒng)存在的問題 10 1 5項目建設(shè)需求 10 1 6項目建設(shè)內(nèi)容 11 1 6 1網(wǎng)絡(luò)系統(tǒng)升級 11 1 6 2網(wǎng)絡(luò)安全系統(tǒng) 12 1 6 3綜合布線系統(tǒng) 12 1 6 4機房改造 12 1 7項目設(shè)計參照的標準規(guī)范 13 第二章第二章網(wǎng)絡(luò)和安全系統(tǒng)設(shè)計網(wǎng)絡(luò)和安全系統(tǒng)設(shè)計 16 2 1網(wǎng)絡(luò)系統(tǒng)設(shè)計原則 16 2 2網(wǎng)絡(luò)系統(tǒng)架構(gòu) 16 2 3IP 地址規(guī)劃 20 2 4VLAN 設(shè)計 20 2 4 1VLAN 劃分 20 2 4 2VLAN 之間路由實現(xiàn) 22 2 4 3VLAN 之間安全控制 23 2 4 4VTP 設(shè)計 23 2 5路由規(guī)劃 23 2 5 1局域網(wǎng)內(nèi)路由規(guī)劃 23 2 5 2互聯(lián)路由 24 2 6無線網(wǎng)絡(luò)系統(tǒng) 24 2 7設(shè)備命名規(guī)范 25 2 8網(wǎng)絡(luò)安全系統(tǒng)設(shè)計 26 2 8 1安全保障目標 27 2 8 2設(shè)計目標 27 2 8 3上網(wǎng)行為管理系統(tǒng)部署 27 2 8 4安全方案設(shè)計要點 27 2 9網(wǎng)絡(luò)信息點位及設(shè)備布點 29 第三章第三章綜合布線方案設(shè)計綜合布線方案設(shè)計 38 3 1綜合布線系統(tǒng)概述 38 3 2綜合布線需求和范圍 38 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 II 中科軟科技股份有限公司 3 3綜合布線系統(tǒng)設(shè)計及施工方案 40 3 3 1綜合布線系統(tǒng)總體設(shè)計 40 3 3 2水平布線子系統(tǒng) 40 3 3 3設(shè)備間系統(tǒng) 42 3 3 4建筑群主干子系統(tǒng) 44 3 3 5維護和管理 45 3 4綜合布線的施工方法 47 3 5綜合布線系統(tǒng)測試方案 51 第四章第四章機房改造方案設(shè)計機房改造方案設(shè)計 54 4 1機房裝飾裝修 54 4 1 1機房裝飾工程概述 54 4 1 2地面 55 4 1 3墻面 柱面 56 4 1 4頂棚 57 4 1 5門窗 57 4 1 6其他方面處理 57 4 2UPS 及供電系統(tǒng) 59 4 3UPS 不間斷電源 61 4 3 1艾默生 Adapt 模塊化 UPS 系統(tǒng) 63 4 3 2照明系統(tǒng) 68 4 4接地防雷系統(tǒng) 69 4 4 1接地系統(tǒng) 69 4 4 2防雷系統(tǒng) 71 4 5空調(diào)及新風(fēng)系統(tǒng) 71 4 6新風(fēng)系統(tǒng)方案 73 4 7機柜布置 74 4 8機房環(huán)境監(jiān)測系統(tǒng) 75 4 9門禁系統(tǒng) 77 4 10視頻監(jiān)控系統(tǒng) 78 第五章第五章項目施工組織方案項目施工組織方案 80 5 1項目實施指導(dǎo)原則 80 5 2項目組織結(jié)構(gòu) 80 5 3項目實施總體計劃 86 5 4項目實施內(nèi)容 88 5 4 1項目啟動 88 5 4 2項目實施的準備 88 5 4 3到貨驗收 89 5 4 4系統(tǒng)安裝實施 89 5 4 5系統(tǒng)測試 90 5 4 6系統(tǒng)聯(lián)調(diào) 91 5 4 7項目初步驗收 91 5 4 8系統(tǒng)試運行 91 5 4 9項目驗收 91 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 III 中科軟科技股份有限公司 5 5項目施工管理 92 5 5 1工程質(zhì)量目標及保證措施 92 5 5 2現(xiàn)場文明施工管理 97 5 5 3施工現(xiàn)場環(huán)保與環(huán)衛(wèi)管理 101 5 6項目風(fēng)險分析及控制策略 102 5 6 1風(fēng)險分析 102 5 6 2風(fēng)險對策 103 5 6 3協(xié)作溝通的重要性 105 5 7項目提交成果 106 5 7 1項目文檔管理 106 5 7 2技術(shù)文件交運計劃 107 第六章第六章技術(shù)支持及售后服務(wù)方案技術(shù)支持及售后服務(wù)方案 108 6 1售后服務(wù)承諾 108 6 2技術(shù)支持與服務(wù) 109 6 2 1技術(shù)支持服務(wù)體系 109 6 2 2服務(wù)流程 112 6 2 3服務(wù)方式 113 6 2 4應(yīng)急服務(wù)響應(yīng) 114 6 3技術(shù)培訓(xùn) 114 6 3 1培訓(xùn)遵循的原則 114 6 3 2培訓(xùn)的方法 115 6 3 3培訓(xùn)類別 116 6 3 4主要培訓(xùn)課程表 117 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 4 中科軟科技股份有限公司 第一章第一章 項目項目需求分析需求分析 1 1項目需求概述項目需求概述 北洺河鐵礦現(xiàn)有員工 1500 余人 技術(shù)及相關(guān)管理人員 270 余人 下設(shè) 9 個生 產(chǎn)單位 1 個服務(wù)單位 18 個職能部門 從建設(shè)投產(chǎn)至今 規(guī)模不斷壯大 人員不 斷增加 新技術(shù) 新產(chǎn)品廣泛使用 企業(yè)對信息技術(shù)的需求也越來越強烈 但由于 受歷史階段條件的限制 沒有進行系統(tǒng)規(guī)劃 網(wǎng)絡(luò)系統(tǒng)已不適應(yīng)礦山發(fā)展的需要 系統(tǒng)建設(shè)出現(xiàn)瓶頸 因此 需要對全礦網(wǎng)絡(luò)系統(tǒng)重新規(guī)劃和部署 進行全面的升級 改造 以滿足企業(yè)信息化長遠發(fā)展的需要 為了使北洺河鐵礦的網(wǎng)絡(luò)系統(tǒng)能夠在未來幾年的時間內(nèi)保持技術(shù)上的先進性和 實用性 要求在項目的規(guī)劃和實施中采用先進成熟的網(wǎng)絡(luò) 安全 主機設(shè)備以及系 統(tǒng)管理模式 實現(xiàn)礦山內(nèi)部所有資源的合理應(yīng)用和完善管理 使員工都能方便地使 用內(nèi)部網(wǎng)絡(luò) 并能夠安全高效地訪問各種內(nèi)部網(wǎng)絡(luò)應(yīng)用服務(wù)和因特網(wǎng) 1 2項目總體要求項目總體要求 北洺河鐵礦網(wǎng)絡(luò)升級改造工程應(yīng)當按照 配置合理 功能完善 適度超前 使 用方便 的原則進行全面系統(tǒng)的設(shè)計 系統(tǒng)應(yīng)具備先進性 實用性 安全性 穩(wěn)定 性 可擴充性 可管理性 功能完備 維護簡便等特點 此次網(wǎng)絡(luò)升級改造內(nèi)容主要包括網(wǎng)絡(luò)系統(tǒng)升級 網(wǎng)絡(luò)安全系統(tǒng)建設(shè) 綜合布線 系統(tǒng)和機房改造系統(tǒng)等 1 3項目設(shè)計指導(dǎo)思想項目設(shè)計指導(dǎo)思想 此次北洺河鐵礦網(wǎng)絡(luò)建設(shè)將將采用先進的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品 實現(xiàn)一個高效 的內(nèi)部辦公網(wǎng)絡(luò)系統(tǒng) 網(wǎng)絡(luò)中的各類服務(wù)器設(shè)備和網(wǎng)絡(luò)設(shè)備需要考慮技術(shù)上的先進 性 國內(nèi)外及行業(yè)的通用性 并且要有良好的市場形象與售后技術(shù)支持 便于維護 和升級 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 5 中科軟科技股份有限公司 總體來講 為了使項目的實施順利進行 并使系統(tǒng)規(guī)劃能夠滿足北洺河鐵礦的 應(yīng)用和發(fā)展的需求 在項目規(guī)劃中應(yīng)滿足以下要求 開放性 采用開放標準 開放技術(shù) 開放結(jié)構(gòu) 實用性 網(wǎng)絡(luò)系統(tǒng)設(shè)計以實用 滿足應(yīng)用為主 不追求最高 最新 先進性 計算機網(wǎng)絡(luò)技術(shù) 軟硬件技術(shù)的發(fā)展迅速 網(wǎng)絡(luò)的設(shè)計要立足于較 高的起點 保證系統(tǒng)有較長的生命力 安全可靠性 同時考慮應(yīng)用系統(tǒng)的設(shè)計 網(wǎng)絡(luò)系統(tǒng)設(shè)計 硬件設(shè)備的選項配 置幾個方面 以確保數(shù)據(jù)的安全 兼容與可擴展性 盡量采用成熟的技術(shù) 保證軟硬件的兼容性 同時需考慮 設(shè)備的更新與升級的能力 經(jīng)濟性 在滿足功能與性能的基礎(chǔ)上實現(xiàn)性能 價格比最優(yōu) 可管理性 隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜程度的增加 網(wǎng)絡(luò)系統(tǒng)的管理和故障排除將 成為較難的事情 針對各種設(shè)備都要提供一定的網(wǎng)絡(luò)管理功能 主要依據(jù)原則如下 項目設(shè)計應(yīng)滿足北洺河鐵礦未來發(fā)展的要求 即在礦山規(guī)模發(fā)展擴 大時 本設(shè)計仍然能夠滿足礦山管理和運營的要求或方便的變更和升級 采用先進的 成熟的 業(yè)界標準的 在市場上有著廣泛應(yīng)用的技術(shù) 項目設(shè)計應(yīng)遵循實用的原則 避免不切實際貪大求全 所有網(wǎng)絡(luò)設(shè)備應(yīng)是主流產(chǎn)品 保證所有設(shè)備均為新品并能提供良好 的技術(shù)支持服務(wù) 工程實施嚴格按照同規(guī)格日期完成并保證質(zhì)量 工程實施需要提供詳細的文檔資料及配置手冊 應(yīng)提供完整的培訓(xùn)及售后服務(wù) 1 4網(wǎng)絡(luò)現(xiàn)狀和存在的問題網(wǎng)絡(luò)現(xiàn)狀和存在的問題 北洺河鐵礦信息化發(fā)展相對較早 于 2003 年 6 月礦辦公網(wǎng)絡(luò)系統(tǒng)形成 2004 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 6 中科軟科技股份有限公司 年 4 月辦公自動化系統(tǒng)啟用 2004 年 10 月金蝶物流系統(tǒng)啟用 2006 年礦網(wǎng)站建立 2006 年以來質(zhì)量管理系統(tǒng) 入井刷卡系統(tǒng)和視頻監(jiān)控系統(tǒng)等先后十多個應(yīng)用系統(tǒng) 也連接進入局域網(wǎng)內(nèi) 1 4 1 網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀 北洺河鐵礦網(wǎng)絡(luò)系統(tǒng)于 2002 年 11 月組織建設(shè) 2003 年 6 月投入使用 機房設(shè) 在辦公樓四樓 接入礦局域網(wǎng)的計算機數(shù)量達 240 余臺 1 4 1 1 網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)和設(shè)備系統(tǒng)和設(shè)備現(xiàn)狀現(xiàn)狀 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu) 1 網(wǎng)絡(luò)系統(tǒng) 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)不清晰 請見如上示意圖 2機房現(xiàn)有設(shè)備及利舊說明 一個防火墻 神碼 1800S 一臺路由器 思科 2800 一個核心交換機 華 為 S3600 將對現(xiàn)有路由器思科 2800 進行利舊使用 思科 2800 接入性能和接口已滿足現(xiàn)有 網(wǎng)絡(luò)出口要求 設(shè)備運行穩(wěn)定 故本次改造對路由器無需更換 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 7 中科軟科技股份有限公司 現(xiàn)有核心交換機華為 S3600 已運行了 8 年 初期配置選擇了性能較低的盒式交換 機 單機不具備端口擴展能力 尤其是本次網(wǎng)絡(luò)改造中接入交換機采用光纖鏈路上聯(lián) 華為 S3600 光纖端口無法滿足要求 華為 S3600 的交換性能和包轉(zhuǎn)發(fā)率較低僅能滿 足部門級網(wǎng)絡(luò)需求 無法滿足礦山現(xiàn)在網(wǎng)絡(luò)和應(yīng)用的需求以及未來的擴展要求 因此 本次網(wǎng)絡(luò)改造系統(tǒng)將對核心交換機進行更換 并采用思科 WS 4507R E 作為核心交換 機 5 臺服務(wù)器 分別為網(wǎng)站服務(wù)器 OA 系統(tǒng)服務(wù)器 金蝶 k3 服務(wù)器 質(zhì)量管理 系統(tǒng)服務(wù)器和 DIMINE 軟件系統(tǒng)服務(wù)器 不間斷電源和冷卻空調(diào) 現(xiàn)已損壞 機房設(shè)備零散擺放 3 配線間現(xiàn)有網(wǎng)絡(luò)設(shè)備及利舊說明 具有控制功能的接入交換機 5 臺 品牌型號為 3COM 4400se 分別放置在四樓 配線間 2 臺 二樓配線間 1 臺 一樓配線間 1 臺 五樓配線間 1 臺 所有配線間的接入交換機其中 4 臺已有多個網(wǎng)絡(luò)端口損壞情況 不能正常使用 剩余 1 臺可以正常上網(wǎng) 以對此設(shè)備進行利舊 并安裝在文化中心分機房內(nèi) 4 車間及部門辦公室網(wǎng)絡(luò)設(shè)備 由于信息點較少 使用二 三層交換機較多 其中 24 口交換機 5 個 放置在 服務(wù)樓 化驗樓和供應(yīng)科辦公室 8 口交換機 47 個 5 口交換機 5 個 分別放置在 各部門或車間辦公室 所有交換機全部為不帶管理功能的普通交換機 因此對所有 不帶管理功能的普通交換機要全部更換 為此次改造后的的網(wǎng)絡(luò)系統(tǒng)便于管理提供 最基本的條件 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 8 中科軟科技股份有限公司 1 4 1 2 綜合布線綜合布線現(xiàn)有狀況和利舊說明現(xiàn)有狀況和利舊說明 網(wǎng)絡(luò)出口情況 接入 Internet 的網(wǎng)絡(luò)出口一個 為中國聯(lián)通 10Mb 寬帶 由 聯(lián)通分公司引入的一條光纜 樓宇建筑布線情況 全礦地表有三個工業(yè)園區(qū) 主工業(yè)園區(qū) 西風(fēng)井工業(yè)園區(qū)和東風(fēng)井工業(yè)園區(qū) 現(xiàn)有網(wǎng)絡(luò)覆蓋區(qū)域為主工業(yè)園區(qū)和西風(fēng)井工業(yè)園區(qū) 主工業(yè)園區(qū)網(wǎng)絡(luò)覆蓋建筑有辦公樓 服務(wù)樓 化驗樓 后勤樓 文化中心等樓 宇建筑 5 棟 材料庫 備件庫等庫房 2 座 80 噸和 100 噸地磅房等平房 2 座 西風(fēng)井工業(yè)園區(qū)網(wǎng)絡(luò)覆蓋建筑為西風(fēng)井辦公樓 光纜線路借助入井刷卡控制系 統(tǒng)光纜 井下網(wǎng)絡(luò)覆蓋區(qū)域為 110 水平調(diào)度安全值班硐室和炸藥庫 230 水平調(diào)度值班 硐室 線路借助質(zhì)量管理系統(tǒng)光纜 網(wǎng)絡(luò)覆蓋區(qū)域內(nèi)有 282 個辦公室 3 個井下值班硐室 除主工業(yè)園區(qū)辦公樓 化驗樓一層敷設(shè) 84 個信息點外 其余各部位均未敷設(shè) 網(wǎng)絡(luò)現(xiàn)有覆蓋區(qū)域除分化中心外 全部采用超五類雙絞線傳輸 信息模塊及面 板使用年限已達 8 年之久 所有線纜以老化 信號衰減 延遲現(xiàn)象比較嚴重 信息 模塊存在松散 卡接不嚴等狀況 故對所有線路及模塊和面板進行更換 并對原有 線路進行拆除 文化中心內(nèi)部對所有網(wǎng)絡(luò)線路要進行利舊使用 更換新的網(wǎng)絡(luò)信息 模塊和面板 在此對文化中心的網(wǎng)絡(luò)線纜不予在重新敷設(shè) 各區(qū)域之間采用光纖連接 地表 7 條光纜 分別采用電纜溝 直埋和架空敷設(shè) 井下 3 條光纜 為質(zhì)量控制系統(tǒng)使用 UPS 電池室現(xiàn)有光纖為分布為 服務(wù)樓一根 多模 供應(yīng)科一跟 多模 80 噸地磅房一根 多模 醫(yī)保專線一根 多模 監(jiān)控中心一根 多模 文化中心 一根 單模 對現(xiàn)有的光纖要全部移至網(wǎng)絡(luò)主機房的機柜內(nèi) 并對現(xiàn)有光纖進行 熔接和預(yù)留 文化中心單模光纖要接入此次網(wǎng)絡(luò)改造項目中 配線間和機房布線情況 辦公樓共有五個配線間 其中一樓與通訊線路合用 二樓為財務(wù)科檔案兼金蝶 k3 服務(wù)器放置室 三樓為黨委工作部辦公室 四樓與廣播電視合用 五樓為黨委 工作部辦公室 線路均穿過各配線間樓板敷設(shè)至各樓層交換機 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 9 中科軟科技股份有限公司 服務(wù)樓配線間為采礦車間辦公室 化驗樓配線間為選礦車間辦公室 后勤樓配線間為行政事務(wù)科科長辦公室 醫(yī)務(wù)所配線間為醫(yī)務(wù)所辦公室 機房敷設(shè)有防靜電地板 機房所有線路均通過四樓配線間穿墻在防靜電地板下 敷設(shè) 1 4 2 應(yīng)用系統(tǒng)情況應(yīng)用系統(tǒng)情況 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)自投入使用后 逐步建立了辦公自動化系統(tǒng) 金蝶 k3 物流系統(tǒng) 質(zhì)量管理系統(tǒng) 入井刷卡系統(tǒng) 視頻監(jiān)控系統(tǒng)和 V5 人力資源薪酬管理系統(tǒng)等應(yīng)用 系統(tǒng)共 15 個 這些應(yīng)用系統(tǒng)包括生產(chǎn)過程控制和業(yè)務(wù)處理兩個方面 隨著企業(yè)的 發(fā)展 網(wǎng)絡(luò)使用需求越來越大 對網(wǎng)絡(luò)系統(tǒng)的依賴性越來越強 其中大部分完全依 賴網(wǎng)絡(luò) 應(yīng)用系統(tǒng)建設(shè)情況見表 應(yīng)用系統(tǒng)建設(shè)情況表應(yīng)用系統(tǒng)建設(shè)情況表 編編 號號 系統(tǒng)名稱系統(tǒng)名稱系統(tǒng)功能系統(tǒng)功能網(wǎng)絡(luò)依賴度網(wǎng)絡(luò)依賴度運行地點運行地點 備備 住住 1 辦公自動化系統(tǒng)業(yè)務(wù)處理完全全礦 2 金蝶 k3 物流系統(tǒng)業(yè)務(wù)處理完全機動 供應(yīng)部門 3 金蝶 k3 財務(wù)系統(tǒng)業(yè)務(wù)處理完全財務(wù)部門 4 入井刷卡系統(tǒng)業(yè)務(wù)處理高調(diào)度室 井口 5 質(zhì)量管理系統(tǒng)過程控制高 質(zhì)量科辦公室 井下 110 230 水平軌道衡 6 視頻監(jiān)控系統(tǒng)業(yè)務(wù)處理高保衛(wèi)科監(jiān)控室 7 V5 人力資源薪酬管理系 統(tǒng) 業(yè)務(wù)處理完全人力資源科 8 生產(chǎn)設(shè)備運行管理系統(tǒng)業(yè)務(wù)處理完全機動科和各車間辦公室 9 生產(chǎn)調(diào)度系統(tǒng)業(yè)務(wù)處理完全調(diào)度室 10 計量稱重系統(tǒng)過程控制高80t 100t 地磅房 11 風(fēng)機遠程控制系統(tǒng)過程控制高 調(diào)度室 井下 50 95 110 230 水平風(fēng) 機站 12 PLC 提升機控制系統(tǒng)過程控制低 主副井 盲豎井 盲斜 井 13 磨礦自動控制系統(tǒng)過程控制不依賴選礦自動化室 14 醫(yī)保刷卡系統(tǒng)業(yè)務(wù)處理完全醫(yī)務(wù)所 15 安全隱患信息管理系統(tǒng)業(yè)務(wù)處理完全 安全科 車間辦公室 井下安全值班室 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 10 中科軟科技股份有限公司 1 4 3 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)存在的問題現(xiàn)有網(wǎng)絡(luò)系統(tǒng)存在的問題 到目前為止 北洺河鐵礦網(wǎng)絡(luò)運行已達 8 年之久 網(wǎng)絡(luò)技術(shù)相對落后 設(shè)備陳 舊 線路老化 網(wǎng)絡(luò)布線比較散亂 1 網(wǎng)絡(luò)架構(gòu)不清晰 擴展性差 網(wǎng)絡(luò)架構(gòu)不清晰 擴展性差 早期設(shè)計的網(wǎng)絡(luò)結(jié)構(gòu)簡單 不清晰 比較混 亂 隨著用戶和應(yīng)用規(guī)模不斷擴大 網(wǎng)絡(luò)難以滿足擴展要求 已形成系統(tǒng) 瓶頸 且給網(wǎng)絡(luò)管理帶來的很大壓力 2 網(wǎng)絡(luò)設(shè)備陳舊 線路老化嚴重 穩(wěn)定性差 網(wǎng)絡(luò)設(shè)備陳舊 線路老化嚴重 穩(wěn)定性差 早期采用的網(wǎng)絡(luò)技術(shù)相對落后 目前設(shè)備陳舊 低端設(shè)備多 線路老化嚴重 穩(wěn)定性很差 導(dǎo)致故障頻發(fā) 曾出現(xiàn)網(wǎng)絡(luò)癱瘓 服務(wù)器損壞 造成大量數(shù)據(jù)丟失 多臺交換機損壞 另 有一些交換機接口有損壞現(xiàn)象 樓宇線路有 20 已不通 現(xiàn)在均只采取了 臨時措施 3 網(wǎng)絡(luò)線路和設(shè)備布局散亂 網(wǎng)絡(luò)信息點較少 網(wǎng)絡(luò)布線不規(guī)范網(wǎng)絡(luò)線路和設(shè)備布局散亂 網(wǎng)絡(luò)信息點較少 網(wǎng)絡(luò)布線不規(guī)范 現(xiàn)有的網(wǎng) 絡(luò)線路和設(shè)備布局散亂 網(wǎng)絡(luò)信息點較少 無法滿足用戶應(yīng)用需要 在用 所有網(wǎng)線均為人工制作 造成網(wǎng)絡(luò)信號的衰減 網(wǎng)絡(luò)存在延遲現(xiàn)象 對實 時性要求較高的應(yīng)用系統(tǒng)影響較大 甚至無法運行 4 網(wǎng)絡(luò)安全管理和防范手段薄弱 網(wǎng)絡(luò)安全管理和防范手段薄弱 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)沒有監(jiān)控和防范軟件 無法 對網(wǎng)絡(luò)進行直接和行之有效的管理 經(jīng)常出現(xiàn)病毒入侵攻擊現(xiàn)象 網(wǎng)絡(luò)安 全沒有保證 1 5 項目建設(shè)項目建設(shè)需求需求 隨著礦山規(guī)模不斷壯大 人員不斷增加 新技術(shù) 新產(chǎn)品廣泛使用 企業(yè)對信 息技術(shù)的需求也越來越強烈 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)已不適應(yīng)礦山發(fā)展的需要 系統(tǒng)建設(shè)出 現(xiàn)瓶頸 為此 根據(jù)上述現(xiàn)狀和問題分析 需對全礦網(wǎng)絡(luò)系統(tǒng)綜合設(shè)計 進行全面 的升級改造 以滿足企業(yè)信息化長遠發(fā)展需要 1 網(wǎng)絡(luò)系統(tǒng)升級改造網(wǎng)絡(luò)系統(tǒng)升級改造 重新規(guī)劃網(wǎng)絡(luò)架構(gòu) 采用分層設(shè)計方法 提升網(wǎng)絡(luò)系統(tǒng)的可擴展性和可管理性 滿足企業(yè)未來的發(fā)展需要 更換現(xiàn)有老舊落后的網(wǎng)絡(luò)交換機設(shè)備 采用技術(shù)先進 知名品牌產(chǎn)品 確保網(wǎng) 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 11 中科軟科技股份有限公司 絡(luò)核心設(shè)備具備強大的數(shù)據(jù)交換和處理能力 為大容量用戶的互聯(lián)網(wǎng)訪問和業(yè)務(wù)應(yīng) 用提供網(wǎng)絡(luò)支撐 升級更換辦公自動化 網(wǎng)站服務(wù)器 同時所有設(shè)備部署到 合理規(guī)劃機房機柜 布局 2 網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng) 建立網(wǎng)絡(luò)的安全保護措施 保證系統(tǒng)安全 對網(wǎng)上服務(wù)請求內(nèi)容進行控制 3 綜合布線系統(tǒng)綜合布線系統(tǒng) 建立一套先進 完善的綜合布線系統(tǒng) 滿足北洺河鐵礦辦公網(wǎng)絡(luò)的需求 支持 各種數(shù)據(jù)通訊 多媒體技術(shù)以及信息管理系統(tǒng) 滿足語音 數(shù)據(jù) 視頻等的傳輸 適應(yīng)現(xiàn)代和未來技術(shù)的發(fā)展 要求所供產(chǎn)品質(zhì)量保證 25 年 布線系統(tǒng)為應(yīng)采用國家和國際標準及規(guī)范 兼容不同廠商 不同協(xié)議的設(shè)備和 系統(tǒng)的信號傳輸 具有可擴充性 并易于維護和管理 采用模塊化設(shè)計 具有高可靠性 局部系統(tǒng)故障不影響其他系統(tǒng)正常使用 4 機房改造機房改造 在充分利用和整合現(xiàn)有資源的基礎(chǔ)上 將北洺河鐵礦機房改造建設(shè)成優(yōu)良的現(xiàn) 代化計算機機房 包括機房裝飾裝修 UPS 及供電系統(tǒng) 接地防雷系統(tǒng) 空調(diào)及新 風(fēng)系統(tǒng) 機柜布置 機房環(huán)境監(jiān)測系統(tǒng) 門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)等方面 四樓機 房進行封窗 電池室鋪設(shè)高架防靜電地板 對供電系統(tǒng)重新進行設(shè)計 對機房和電 池室照明進行改造 在機房與電池室內(nèi)安裝防火報警系統(tǒng)和監(jiān)控系統(tǒng) 在機房和電 池安裝門禁控制管理系統(tǒng) 1 6項目建設(shè)內(nèi)容項目建設(shè)內(nèi)容 1 6 1 網(wǎng)絡(luò)系統(tǒng)升級網(wǎng)絡(luò)系統(tǒng)升級 北洺河鐵礦的網(wǎng)絡(luò)架構(gòu)按分層設(shè)計方法重新規(guī)劃設(shè)計 更換網(wǎng)絡(luò)中所有交換機 部分原有交換機可根據(jù)甲方要求進行利舊 辦公自動化和網(wǎng)站服務(wù)器兩臺進行更換 其 余四臺利舊 將機房內(nèi)所有的網(wǎng)絡(luò)設(shè)備及服務(wù)器統(tǒng)一安裝在標準網(wǎng)絡(luò)機柜或服務(wù)器 機柜內(nèi) 并配備 KVM 鼠標 鍵盤等 集中進行管理 辦公樓的接入層交換機安裝 在機房內(nèi)的網(wǎng)絡(luò)機柜中 其它區(qū)域內(nèi)的接入層交換機安裝在相應(yīng)配線間的網(wǎng)絡(luò)機柜 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 12 中科軟科技股份有限公司 內(nèi) 所有接入層交換機均通過光纜與核心交換機級聯(lián) 在辦公樓 食堂 服務(wù)樓和 化驗樓等地的會議室或樓道安裝 AP 并配備無線控制器等相關(guān)設(shè)備 實現(xiàn)有線網(wǎng) 絡(luò)的補充 1 6 2 網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng) 北洺河鐵礦網(wǎng)絡(luò)安全系統(tǒng)重點考慮上網(wǎng)行為管理 需要建立一套完整可行的網(wǎng) 絡(luò)安全與管理策略 將內(nèi)部網(wǎng)絡(luò)不同區(qū)域進行有效隔離 建立網(wǎng)絡(luò)的安全保護措施 保證系統(tǒng)安全 對網(wǎng)上服務(wù)請求內(nèi)容進行控制 使非法訪問在到達主機前被拒絕 加強合法用戶的訪問認證 同時將用戶的訪問權(quán)限控制在最低限度 全面監(jiān)視對公開 服務(wù)器的訪問 及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為 加強對各種訪問的 審計工作 詳細記錄對網(wǎng)絡(luò) 服務(wù)器的訪問行為 形成完整的系統(tǒng)日志備份與災(zāi)難恢 復(fù) 對所有上網(wǎng)行為進行記錄 詳細記錄到每個 IP 的上網(wǎng)行為 當有入侵網(wǎng)絡(luò)的 行為以及出現(xiàn)內(nèi)網(wǎng)互相攻擊時 如掃描攻擊等 及時發(fā)出報警 并對目標機器進 行鎖定 并斷開其網(wǎng)絡(luò)連接 1 6 3 綜合布線系統(tǒng)綜合布線系統(tǒng) 按照國家和國際標準及規(guī)范 建立一套先進 完善的綜合布線系統(tǒng) 滿足北洺 河鐵礦辦公網(wǎng)絡(luò)的需求 支持各種數(shù)據(jù)通訊 多媒體技術(shù)以及信息管理系統(tǒng) 滿足 語音 數(shù)據(jù) 視頻等的傳輸 適應(yīng)現(xiàn)代和未來技術(shù)的發(fā)展 要求所供產(chǎn)品質(zhì)量保證 25 年 布線范圍包括主工業(yè)園區(qū)和東 西風(fēng)井工業(yè)園區(qū)的大部分房間 網(wǎng)絡(luò)覆蓋 范圍內(nèi) 房間房間 229229 個個 信息點有線 707 個 無線 21 個 共計 728 個 光纖布置共 4570 米 主工業(yè)園區(qū) 東 西風(fēng)井工業(yè)園區(qū)的其他房間 井下 110m 水平 230m 水平 2 個運輸巷 借助安全六大系統(tǒng)環(huán)網(wǎng)實現(xiàn) 1 6 4 機房改造機房改造 為適應(yīng)北洺河鐵礦信息化和數(shù)據(jù)集中的發(fā)展要求 規(guī)范機房建設(shè)與運維管理 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 13 中科軟科技股份有限公司 提高機房安全防護和集中管理水平 切實保障各信息系統(tǒng)安全穩(wěn)定運行 參照 GB50174 2008 計算機機房設(shè)計規(guī)范 及相關(guān)標準 以 技術(shù)上先進 經(jīng)濟上合理 安全可靠實用 為原則 在充分利用和整合現(xiàn)有資源的基礎(chǔ)上 將北洺河鐵礦機房 改造建設(shè)成優(yōu)良的現(xiàn)代化計算機機房 機房改造內(nèi)容包括 1 機房裝飾裝修 2 UPS 及供電系統(tǒng) 3 接地防雷系統(tǒng) 4 空調(diào)及新風(fēng)系統(tǒng) 5 機柜布置 6 機房環(huán)境監(jiān)測系統(tǒng) 7 門禁系統(tǒng) 8 視頻監(jiān)控系統(tǒng) 1 7項目設(shè)計參照的標準規(guī)范項目設(shè)計參照的標準規(guī)范 項目中所有涉及的設(shè)備 材料的采用 除本項目規(guī)定的技術(shù)參數(shù)和要求外 其 余均遵循最新版的國家標準 GB 行業(yè)標準和國際單位制 SI 本項目的設(shè)計及產(chǎn)品滿足本招標規(guī)定的技術(shù)參數(shù)和要求以及如下專用標準 GB50311 2007 綜合布線系統(tǒng)工程設(shè)計規(guī)范 GB50312 2007 綜合布線系統(tǒng)工程驗收規(guī)范 GB T9771 通信用單模光纖系列 GB4793 2001 測量 控制和試驗室用電氣設(shè)備的安全要求 GB4943 2001 信息技術(shù)設(shè)備的安全 GBJ232 82 電氣裝置工程施工及驗收規(guī)范 GB 2887 2000 電子計算機場地通用規(guī)范 GB50174 2000 電子計算機場地設(shè)計規(guī)范 GB9361 1998 計算站場安全要求 SJ T10796 1996 計算機機房用活動地板技術(shù)條件 GB50057 94 建筑防雷設(shè)計規(guī)范 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 14 中科軟科技股份有限公司 SJ T30003 93 電子計算機機房施工及驗收規(guī)范 GB50054 95 低壓配電設(shè)計規(guī)范 YT T5015 95 電信工程制圖與圖形符號 JGJ T 16 1992 民用建筑電氣設(shè)計規(guī)范 GB50198 94 民用閉路電視監(jiān)視系統(tǒng)工程技術(shù)規(guī)范 GA T75 94 安全防范工程程序和要求 GA T74 94 安全防范系統(tǒng)通用圖形符號 GB12663 90 防盜報警控制器通用技術(shù)條件 GB10408 1 98 入侵探測器通用技術(shù)條件 GB T50314 2000 智能建筑設(shè)計標準 GB50174 93 電子計算機機房設(shè)計規(guī)范 GB50057 94 建筑物防雷設(shè)計規(guī)范 GBJ232 92 電氣裝置安裝工程施工及驗收規(guī)范 GBJ116 88 火災(zāi)自動報警系統(tǒng)設(shè)計規(guī)范 GA305 2001 電氣安裝用阻燃 PVC 塑料平導(dǎo)管通用技術(shù)條件 GA385 2002 火災(zāi)聲和 或光報警器 YDJ44 89 電信網(wǎng)光纖數(shù)字傳輸系統(tǒng)工程施工及驗收規(guī)定 GB16423 2006 金屬非金屬礦山安全規(guī)程 YD T 1170 2001 中華人民共和國通信行業(yè)標準 IP 網(wǎng)絡(luò)技術(shù)要求 網(wǎng)絡(luò)總體 YD T 1171 2001 中華人民共和國信息產(chǎn)業(yè)部頒布的中華人民共和國通信行業(yè) 標準 IP 網(wǎng)絡(luò)技術(shù)要求 網(wǎng)絡(luò)性能參數(shù)與指標 YD T 1149 2001 中華人民共和國信息產(chǎn)業(yè)部頒布的中華人民共和國通信行業(yè) 標準 IP 網(wǎng)絡(luò)安全技術(shù)要求 安全框架 YD T 1162 1 2001 中華人民共和國信息產(chǎn)業(yè)部頒布的中華人民共和國通信 行業(yè)標準 多協(xié)議標記交換 MPLS 總體技術(shù)要求 中華人民共和國信息產(chǎn)業(yè)部頒布的中華人民共和國通信行業(yè)標準 基于網(wǎng)絡(luò)的 虛擬 IP 專用網(wǎng) IP VPN 框架 GB T 17963 1999 中華人民共和國國家標準 信息技術(shù) 開放系統(tǒng)互連 網(wǎng) 絡(luò)層安全協(xié)議 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 15 中科軟科技股份有限公司 GB T 17965 2000 中華人民共和國國家標準 信息技術(shù) 開放系統(tǒng)互連 高 層安全模型 YD T 1099 2001 中華人民共和國通信行業(yè)標準 千兆比以太網(wǎng)交換機設(shè)備 技術(shù)規(guī)范 GB T20270 2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 GB T20271 2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 GA T671 2006 信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求 GB T20269 2006 信息安全技術(shù) 信息系統(tǒng)安全管理要求 GB T20282 2006 信息安全技術(shù) 信息系統(tǒng)安全工程管理要求 除上述規(guī)范以外 還遵循行業(yè)企業(yè)現(xiàn)行的規(guī)范和標準要求 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 16 中科軟科技股份有限公司 第二章第二章 網(wǎng)絡(luò)網(wǎng)絡(luò)和安全和安全系統(tǒng)設(shè)計系統(tǒng)設(shè)計 2 1網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)設(shè)計原則設(shè)計原則 統(tǒng)一規(guī)劃網(wǎng)絡(luò)連接 網(wǎng)絡(luò)設(shè)計符合國際標準 包括 IEEE802 3 EIA ISO 等 并且貫穿網(wǎng)絡(luò)優(yōu)化 網(wǎng)絡(luò)擴展等各個方面 網(wǎng)絡(luò)交換設(shè)備支持 VLAN 劃分功能 從而增加網(wǎng)絡(luò)的可管理性 安全性以 及改善網(wǎng)絡(luò)性能 消除網(wǎng)絡(luò)瓶頸 網(wǎng)絡(luò)骨干節(jié)點具有分擔網(wǎng)絡(luò)流量 使網(wǎng)絡(luò)負載合理分配到 各個骨干節(jié)點設(shè)備上 優(yōu)化網(wǎng)絡(luò)的性能 需要合理調(diào)配網(wǎng)絡(luò)的資源 最大程度上提高網(wǎng)絡(luò)使用率 保證正常工作和 Internet 的安全可靠訪問 預(yù)留足夠的網(wǎng)絡(luò)端口 合理地擴充網(wǎng)絡(luò)規(guī)模 網(wǎng)絡(luò)具有高可管理性 需要考慮在多種情況下的網(wǎng)絡(luò)的安全性 可靠性 合理的性能價格比 在合理情況下 考慮網(wǎng)絡(luò) 3 層 4 層功能 綜上所述 網(wǎng)絡(luò)平臺的設(shè)計原則可以概括為 經(jīng)濟實用 穩(wěn)定可靠 量體裁衣 易于擴充經(jīng)濟實用 穩(wěn)定可靠 量體裁衣 易于擴充 2 2網(wǎng)絡(luò)系統(tǒng)架構(gòu)網(wǎng)絡(luò)系統(tǒng)架構(gòu) 根據(jù)北洺河鐵礦網(wǎng)絡(luò)覆蓋范圍大 網(wǎng)絡(luò)節(jié)點分散等特點 北洺河鐵礦整個網(wǎng) 絡(luò)采用層次化設(shè)計方法 建議進行扁平化設(shè)計 結(jié)合目前現(xiàn)有情況和布線特點選擇 三層邏輯結(jié)構(gòu) 二層物理結(jié)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu) 或叫做緊縮型網(wǎng)絡(luò)結(jié)構(gòu) 緊縮骨干網(wǎng) collapsed backbone 一般應(yīng)用于企業(yè)園區(qū)網(wǎng)絡(luò)中 緊縮骨干網(wǎng) 包括一臺或多臺第 3 層交換機 在核心交換機上完成核心層和分布層的工作 在邏 輯上整個網(wǎng)絡(luò)按照分層化結(jié)構(gòu)設(shè)計 分為核心層 分布層 接入層 各配線間到達 網(wǎng)絡(luò)機房的物理線路充足 按照節(jié)約成本 提高效率得原則 把邏輯上三層結(jié)構(gòu)中 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 17 中科軟科技股份有限公司 得核心層和分布層集中在高性能的三層交換設(shè)備上 這樣 即節(jié)省了設(shè)備和管理成 本 又提高了原本分布層和核心層之間得數(shù)據(jù)傳輸帶寬 方便了管理維護 因此就 形成了三層邏輯結(jié)構(gòu) 二層物理結(jié)構(gòu)的緊縮型網(wǎng)絡(luò)結(jié)構(gòu) 核心交換機采用模塊化結(jié)構(gòu) 有很強的網(wǎng)絡(luò)擴展能力 還擁有較高的背板帶 寬和轉(zhuǎn)發(fā)速率 以保證數(shù)據(jù)的無阻塞轉(zhuǎn)發(fā)和路由 接入層交換機選用 帶管理型 二層交換機 通過層次化的網(wǎng)絡(luò)設(shè)計 網(wǎng)絡(luò)的不同層次設(shè)備承擔不同的任務(wù) 使整個網(wǎng)絡(luò)結(jié) 構(gòu)清晰 便于維護和管理 便于以后的網(wǎng)絡(luò)擴展 網(wǎng)絡(luò)系統(tǒng)拓撲圖網(wǎng)絡(luò)系統(tǒng)拓撲圖 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 18 中科軟科技股份有限公司 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 北洺河鐵礦網(wǎng)絡(luò)根據(jù)各網(wǎng)絡(luò)部分的職能不同劃分為 網(wǎng)絡(luò)接入?yún)^(qū) 核心交換 區(qū) 服務(wù)器區(qū)和辦公區(qū) 1 網(wǎng)網(wǎng)絡(luò)絡(luò)接接入入?yún)^(qū)區(qū) 網(wǎng)絡(luò)接入?yún)^(qū)是北洺河鐵礦與互聯(lián)網(wǎng)的連接區(qū)域 在網(wǎng)絡(luò)接入?yún)^(qū)已部署路由器連接五礦邯邢礦業(yè)有限公司專線 在接入?yún)^(qū)以透明橋接模式部署一臺網(wǎng)康上網(wǎng)行為管理系統(tǒng)NS ICG 3000 40 審計 管控和規(guī)范礦山內(nèi)部的終端上網(wǎng)行為 同時 在邯邢礦業(yè)專線出口處部署一臺 網(wǎng)康互聯(lián)網(wǎng)控制網(wǎng)關(guān) NS ICG5000 PR 采用透明橋接模式 不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu) 主要記錄 審計和管控通過專線 互聯(lián)的各下屬礦山 單位的上網(wǎng)行為 實現(xiàn)優(yōu)化網(wǎng)絡(luò) 合理分配帶寬 2 核核心心交交換換區(qū)區(qū) 核心交換區(qū)負責連接各個網(wǎng)絡(luò)區(qū)域 并對所有區(qū)域間的數(shù)據(jù)流量進行集中轉(zhuǎn) 發(fā) 辦公樓的網(wǎng)絡(luò)交換機 集中在主機房機柜中 便于管理 其它建筑物 均通過 光纜連接 并在各建筑物的分機房放置網(wǎng)絡(luò)交換機 及配線材料 部署兩臺高性能三層交換機 Cisco WS 4507R E 作為核心交換機 核心交換機 間通過兩對千兆以太網(wǎng)光口建立起 channel 連接 共同組成核心交換機組 相互 備份并實現(xiàn)負載均衡 兩臺核心交換機都將配置雙電源加強設(shè)備運行的穩(wěn)定性 在核心交換機上根據(jù)系統(tǒng)的不同劃分 VLAN 將不同系統(tǒng)隔離開 避免了廣 播風(fēng)暴和局域網(wǎng)病毒的泛濫 并加強了數(shù)據(jù)的隔離 同時在核心交換機上啟用三 層路由協(xié)議 負責各個區(qū)域之間數(shù)據(jù)流量的集中轉(zhuǎn)發(fā) 針對辦公區(qū) 將在核心交換機上啟用 VRRP 協(xié)議 為辦公區(qū)的數(shù)據(jù)傳輸提供 冗余連接和可靠性的保障 本本期期項項目目暫暫時時先先部部署署一一臺臺 Cisco WS 4507R E 作作為為核核心心交交換換機機 條條件件成成熟熟時時可可 追追加加一一臺臺 Cisco WS 4507R E 安安裝裝設(shè)設(shè)計計思思路路無無縫縫升升級級 3 服服務(wù)務(wù)器器區(qū)區(qū) 服務(wù)器區(qū)放置著企業(yè)核心業(yè)務(wù)原有服務(wù)器和各類管理服務(wù)器 包括網(wǎng)站 OA K3 系統(tǒng) 質(zhì)量管理 DIMINE 水紋檢測 環(huán)境監(jiān)測監(jiān)控系統(tǒng)和門禁系統(tǒng) 上網(wǎng)行為管理系統(tǒng)和硬盤錄像機等各類服務(wù)器和主機 4 辦辦公公區(qū)區(qū) 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 20 中科軟科技股份有限公司 連接辦公區(qū)的接入交換機 Cisco Catalyst 2960S 直接連到核心交換機 為辦 公終端的數(shù)據(jù)通信提供 保障 在辦公樓 食堂 服務(wù)樓和化驗樓等地的會議室或樓道安裝 AP 并配備無線 控制器等相關(guān)設(shè)備 實現(xiàn)有線網(wǎng)絡(luò)的補充 2 3IP 地址規(guī)劃地址規(guī)劃 IP 地址的合理分配是保證網(wǎng)絡(luò)順利運行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵 充分考 慮到地址空間的合理使用 保證實現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分 布 IP 地址空間的分配與合理使用與網(wǎng)絡(luò)拓撲結(jié)構(gòu) 網(wǎng)絡(luò)組織及路由策略有非常 密切的關(guān)系 通常合理的地址規(guī)劃是使連續(xù)的地址盡量集中在一個區(qū)域內(nèi) 因此 核心層應(yīng)象一個區(qū)域或一個節(jié)點一樣 被分配一段連續(xù)的地址 更進一步 連接進 某一區(qū)域的節(jié)點的 IP 地址范圍應(yīng)集中在該區(qū)域的地址范圍附近 為保證礦山辦公網(wǎng)絡(luò)系統(tǒng)之間數(shù)據(jù)傳輸?shù)目尚行砸约澳芨玫膶崿F(xiàn)路由策略 同時避免出現(xiàn)過于復(fù)雜的配置為日后管理維護造成不便降低并降低網(wǎng)絡(luò)性能 對于 北洺河鐵礦網(wǎng)絡(luò)系統(tǒng)的 IP 地址分配將統(tǒng)一分配 北洺河鐵礦的 IP 地址采用私有地址 由公司統(tǒng)一自動分配 使用私有 IP 地址 空間可以確保專有網(wǎng)絡(luò)的 IP 地址不會與 Internet 上的公有地址發(fā)生沖突 便于與 Internet 的互連 并在一定程度上避免內(nèi)部私有網(wǎng)絡(luò)遭受外界使用非法手段訪問和 攻擊 在層次結(jié)構(gòu)上首先按公司規(guī)劃進行總體劃分 然后再樓宇 樓層或部門等行 政區(qū)域進行詳細分配 2 4VLAN設(shè)計設(shè)計 2 4 1 VLAN劃分劃分 為了減少傳輸沖突 提高系統(tǒng)整體性能和網(wǎng)絡(luò)處理能力 另外 還考慮到網(wǎng)絡(luò) 良好的管理性 易于維護和安全策略的實施 針對用戶網(wǎng)絡(luò)系統(tǒng)的實際情況 可以 把功能 應(yīng)用 相近的設(shè)備群組劃分到同一 VLAN 不同部門的設(shè)備劃分到不同 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 21 中科軟科技股份有限公司 VLAN 中去 這樣就能夠通過訪問控制列表技術(shù)實施安全策略 限制未授權(quán)的用戶 訪問重要的服務(wù)器和數(shù)據(jù)庫 根據(jù) VLAN 劃分原則 建議把不同業(yè)務(wù)類型和應(yīng)用功能的服務(wù)器 如網(wǎng)站 OA k3 系統(tǒng) 上網(wǎng)行為管理等 根據(jù)功能組別劃分在不同的 VLAN 內(nèi) 這些服務(wù)器 專用 VLAN 只對授權(quán)的計算機開放訪問 非授權(quán)的計算機將被訪問列表阻隔 局域 網(wǎng)用戶與中心機房的其它計算機劃分在不同的 VLAN 中 為保障應(yīng)用和數(shù)據(jù)的訪問 安全 可以限制普通用戶只能訪問應(yīng)用服務(wù)器所在的 VLAN 并通過應(yīng)用服務(wù)器來 訪問數(shù)據(jù)庫 同時不同部門的計算機可根據(jù)需要劃分不同的 VLAN 例如財務(wù)部與 其它部門劃分在不同 VLAN 內(nèi) 礦區(qū)礦區(qū) VlanVlan 劃分表劃分表 序 號 部門名稱VLAN 中部門簡稱 VLAN ID IP 段掩碼 1 調(diào)度室 安全管理科 DDS AQGL1010 5 80 0255 255 255 128 2 機械動力科 機動科倉庫 80 噸磅房 100 噸磅房 jxdl 80 100 1110 5 80 128255 255 255 128 3 財務(wù)科 CWK1210 5 81 0255 255 255 128 4 工程管理科 GCGL1310 5 81 128255 255 255 128 5 人力資源科 RLZY1410 5 82 0255 255 255 128 6 工會委員會 紀檢監(jiān)審科 GH JJJS1510 5 82 128255 255 255 128 7 生產(chǎn)技術(shù)計劃科 SCJSJH1610 5 83 0255 255 255 128 8 礦領(lǐng)導(dǎo) KLD1710 5 83 128255 255 255 128 9 礦長辦公室 黨委工作部 工農(nóng)辦 BGS DWGZB GNB1810 5 84 0255 255 255 128 10 營銷科 經(jīng)營預(yù)算科 汽車隊 YXK JYYS QCD1910 5 84 128255 255 255 128 11 地質(zhì)測量科 DZCL2010 5 85 0255 255 255 128 12 信息中心 XXZX2110 5 85 128255 255 255 128 13 選礦車間 化驗室 選礦調(diào)度 保衛(wèi)科 XKCJ BWK XKDD2210 5 86 0255 255 255 128 14 行政事務(wù)科 XZSW2310 5 86 128255 255 255 128 15 開拓工區(qū) KTGQ2410 5 87 0255 255 255 128 16 采準車間 CZCJ2510 5 87 128255 255 255 128 17 采礦車間 CKCJ2610 5 88 0255 255 255 128 18 運輸車間 YSCJ2710 5 89 0255 255 255 128 19 提升車間 TSCJ2810 5 89 128255 255 255 128 20 維修車間 WXCJ2910 5 90 128255 255 255 128 21 動力車間 DLCJ3010 5 91 0255 255 255 128 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 22 中科軟科技股份有限公司 22 110 萬伏變電站 110W3110 5 91 128255 255 255 128 23 文化中心 WHZX3210 5 92 0255 255 255 128 24 東風(fēng)井 DFJ3310 5 92 128255 255 255 128 25 西風(fēng)井 XFJ3410 5 93 0255 255 255 128 26 物資供應(yīng)科 供應(yīng)科倉庫 供應(yīng)科新倉庫 WZGY3510 5 93 128255 255 255 128 27 主井 副井 ZJ FJ3610 5 94 0255 255 255 128 28 井下 230 110 水平 JX230 1103710 5 94 128255 255 255 128 29 服務(wù)器 SERVER3810 5 90 0255 255 255 128 30 預(yù)留 OPEN3910 5 95 0255 255 255 128 31 設(shè)備互聯(lián)地址 10 5 95 192255 255 255 224 32 設(shè)備管理地址 110 5 95 224255 255 255 224 業(yè)務(wù)地址規(guī)劃 10 5 80 0 10 5 95 191 設(shè)備互聯(lián)地址 10 5 95 192 10 5 95 223 設(shè)備管理地址 10 5 95 224 10 5 95 254 VLAN 劃分說明 VLAN 的劃分最終以甲方的需求為準 2 4 2 VLAN之間路由實現(xiàn)之間路由實現(xiàn) 在劃分了 VLAN 的環(huán)境下 各 VLAN 成員之間不能直接訪問 不同 VLAN 之間的 流量必須經(jīng)過路由 這一功能可以由三層以太網(wǎng)交換機的多層交換引擎來完成 在用戶網(wǎng)絡(luò)系統(tǒng)設(shè)計中 VLAN 的劃分可以在核心交換機 樓層交換機上的端 口進行劃分 不同的交換機端口所連接的設(shè)備屬于不同的 VLAN 而 VLAN 之間的路 由則由具有三層功能的核心交換機來完成 2 4 3 VLAN之間安全控制之間安全控制 在用戶網(wǎng)絡(luò)系統(tǒng)中 由于在核心使用了三層核心交換機 因此所有的 VLAN 之 間的訪問都需要通過三層核心交換機進行 因此可以通過 ACL 訪問控制列表 控 制 VLAN 之間的流量 這樣就可以允許高優(yōu)先級的 VLAN 段訪問低優(yōu)先級的 VLAN 段 而低優(yōu)先級的 VLAN 段不能訪問或有限的訪問高優(yōu)先級 VLAN 段 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 23 中科軟科技股份有限公司 2 4 4 VTP設(shè)計設(shè)計 當網(wǎng)絡(luò)中交換機數(shù)量較多時 需要分別在每臺交換機上創(chuàng)建很多重復(fù)的 VLAN 工作量大 過程繁瑣 并且容易出錯 由于本次網(wǎng)絡(luò)中使用的全部交換機都 為 Cisco 的產(chǎn)品 所以將使用 Cisco 的專有協(xié)議 VLAN 中繼協(xié)議 VTP 來解 決這個問題 Cisco 公司專有的 VTP 協(xié)議能夠從一個中心控制點開始 維護整個企業(yè)網(wǎng)絡(luò) 上 VLAN 的添加 刪除和重命名工作 確保配置的一致性 可以減少在數(shù)量眾多的 交換機上配置 VLAN 相關(guān)的管理任務(wù) 降低認為因素導(dǎo)致的 VLAN 配置不一致現(xiàn)象 例如 VLAN 配置錯誤 名稱不統(tǒng)一等 降低了配置的復(fù)雜性 配置 VTP 修建是為了減少在中繼端口上不必要的信息量 VTP 通過修剪 來減 少沒有必要擴散的 VLAN 廣播數(shù)據(jù)流量 提高中繼鏈路的帶寬利用率 VTP 的口令是為了保證 VTP 域的安全 設(shè)置了口令之后 除非交換機設(shè)置了正 確的口令 否則 新交換機不能自動加入到已存在的管理域中 可以避免 VLAN 被 錯誤或惡意地增加 刪除 2 5路由規(guī)劃路由規(guī)劃 2 5 1 局域網(wǎng)內(nèi)路由規(guī)劃局域網(wǎng)內(nèi)路由規(guī)劃 本項目網(wǎng)絡(luò)系統(tǒng)建議采用開放最短路徑優(yōu)先協(xié)議 Open Shortest Path first OSPF 作為全網(wǎng)的路由協(xié)議 OSPF 是由 Internet 工程任務(wù)組 IETF 開發(fā)的路由 選擇協(xié)議 OSPF 協(xié)議是一個鏈路狀態(tài)協(xié)議 正如它的命名所描述的 OSPF 使用 Dijkstra 最短路徑優(yōu)先算法 SFP 而且是開放的標準 這里所說的開放是指它不屬 于任何一個廠商或組織所私有 像所有的鏈路狀態(tài)協(xié)議一樣 OSPF 協(xié)議和距離矢量協(xié)議相比 一個主要的改 善就在于它的快速收斂 這樣使 OSPF 協(xié)議可以支持更大型的互連網(wǎng)絡(luò)并且不容易 受到有害路由選擇信息的影響 在大型企業(yè)網(wǎng)絡(luò)中選用 OSPF 路由協(xié)議的原因主要是 1 對于 OSPF 路由協(xié)議 路由表中表示目的網(wǎng)絡(luò)的參數(shù)為 Cost 該參數(shù)為一 虛擬值 與網(wǎng)絡(luò)中鏈路的帶寬等相關(guān) 也就是說 OSPF 路由信息不受物理設(shè)備跳數(shù) 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 24 中科軟科技股份有限公司 限制 并且 OSPF 路由協(xié)議還支持 TOS Type of Service 路由 因此 OSPF 比 較適合應(yīng)用于大型網(wǎng)絡(luò)中 2 OSPF 是一種鏈路狀態(tài)的路由協(xié)議 當網(wǎng)絡(luò)比較穩(wěn)定時 網(wǎng)絡(luò)中的路由信息 是比較少的 并且其廣播也不是周期性的 因此 OSPF 路由協(xié)議即使是在大型網(wǎng)絡(luò) 中也能夠較快地收斂 3 OSPF 路由協(xié)議支持路由驗證 只有互相通過路由驗證的路由器之間才能交 換路由信息 并且 OSPF 可以對不同的區(qū)域定義不同的驗證方式 提高網(wǎng)絡(luò)的安全 性 4 OSPF 路由協(xié)議對負載分擔的支持性能較好 OSPF 路由協(xié)議支持多條 Cost 相同的鏈路上的負載分擔 目前一些廠家的路由器支持 6 條鏈路的負載分擔 5 在 OSPF 路由協(xié)議中 每一個區(qū)域中的路由器都按照該區(qū)域中定義的鏈路 狀態(tài)算法來計算網(wǎng)絡(luò)拓撲結(jié)構(gòu) 這意味著每一個區(qū)域都有著該區(qū)域獨立的網(wǎng)絡(luò)拓撲 數(shù)據(jù)庫及網(wǎng)絡(luò)拓撲圖 對于每一個區(qū)域 其網(wǎng)絡(luò)拓撲結(jié)構(gòu)在區(qū)域外是不可見的 同 樣 在每一個區(qū)域中的路由器對其域外的其余網(wǎng)絡(luò)結(jié)構(gòu)也不了解 這意味著 OSPF 路由域中的網(wǎng)絡(luò)鏈路狀態(tài)數(shù)據(jù)廣播被區(qū)域的邊界擋住了 這樣做有利于減少網(wǎng)絡(luò)中 鏈路狀態(tài)數(shù)據(jù)包在全網(wǎng)范圍內(nèi)的廣播 也是 OSPF 將其路由域或一個 AS 劃分成很多 個區(qū)域的重要原因 2 5 2 互聯(lián)路由互聯(lián)路由 和公司網(wǎng)絡(luò)的連接采用靜態(tài)路由 即北洺河鐵礦網(wǎng)絡(luò)以默認路由方式指向上級 公司路由器 2 6 無線網(wǎng)絡(luò)系統(tǒng)無線網(wǎng)絡(luò)系統(tǒng) 北洺河鐵礦網(wǎng)絡(luò)系統(tǒng)中 WLAN 采用集中管理架構(gòu)下的 瘦 AP 無線網(wǎng)絡(luò)架構(gòu) 以保證無線網(wǎng)絡(luò)可管理性 安全性 QoS 無縫漫游等功能需求 尤其是方便未來 的運維管理 無線網(wǎng)絡(luò)在滿足現(xiàn)有網(wǎng)絡(luò)應(yīng)用的同時 保證對未來網(wǎng)絡(luò)技術(shù)和應(yīng)用的支持 如 IPv6 無線話音 無線視頻 組播等技術(shù)的支持 以滿足日常辦公和運營管理的要 求 北洺河鐵礦計算機網(wǎng)絡(luò)升級改造項目 25 中科軟科技股份有限公司 無線控制器 無線控制器 采用 CT5500 無線管理器 Cisco 5500 系列無線控制器實現(xiàn)無線 配置和管理功能的自動化 為網(wǎng)絡(luò)管理員提供更強的可視性和更大的控制能力 讓 管理員更有成本效益地管理無線網(wǎng)絡(luò)和保障無線網(wǎng)絡(luò)安全 本控制器作為思科一 體化無線網(wǎng)絡(luò) Cisco Unified Wireless Network 的一個組件 提供 Cisco Aironet 無線接入點 Cisco 無線控制系統(tǒng) Wireless Control System WCS 與 Cisco 移動 服務(wù)引擎 Mobility Services Engine 之間的實時通信 同時還提供集中化安全策略 無線入侵防御系統(tǒng) IPS 能力 獲獎的 RF 管理 以及高質(zhì)量服務(wù) QoS 無線無線 AP 室內(nèi)采用 CAP3502E 無線接入點 無線連接速度達到 300M 采用 Cisco CleanAir 技術(shù)的 Cisco Aironet 3500 系列接入點是業(yè)界首個 802 11n 接入點 可用于創(chuàng)建自行恢復(fù) 自行優(yōu)化的無線網(wǎng)絡(luò) CleanAir technology 技術(shù)是思科統(tǒng)一無線網(wǎng)絡(luò)的一個系統(tǒng)范圍功能 可檢測其他系統(tǒng)無法識別的 RF 干 擾 識別干擾源 在地圖上確定干擾源位置 進行自動調(diào)整來優(yōu)化無線覆蓋 從而 提高空氣介質(zhì)質(zhì)量 這些創(chuàng)新性接入點為關(guān)鍵任務(wù)移動性提供最高性能的 802 11n 連接 3500 系列通過以智能方式避免干擾 為 802 11n 網(wǎng)絡(luò)提供性能保護 以幫 助確保實現(xiàn)可靠的應(yīng)用程序交付 AP 均配有雙外置天線并根據(jù)現(xiàn)場要求用輔以饋 線鏈接 2 7設(shè)備命名規(guī)范設(shè)備命名規(guī)范 網(wǎng)絡(luò)設(shè)備的命名和連接規(guī)范如同綜合布線中線纜的標識 記錄一樣 都非常重 要的 良好的設(shè)備命名和連接 可以使網(wǎng)絡(luò)的結(jié)構(gòu)清晰 幫助網(wǎng)絡(luò)管理員更方便地 管理網(wǎng)絡(luò) 提高網(wǎng)絡(luò)的可維護性 設(shè)置路由器和交換機等設(shè)備的名稱 也就是設(shè)置設(shè)備出現(xiàn)在 CLI 提示符中的 名字 一般以地理位置 型號或者用途來為交換機命名 當需要 Telnet 登陸到若 干臺設(shè)備上以維護一個大型網(wǎng)絡(luò)時 通過設(shè)備名稱提示符提示自己所調(diào)試的設(shè)備是 位于哪里的哪一臺設(shè)備 使很有必要的 從設(shè)備清單中可以看出 此次網(wǎng)絡(luò)建設(shè)中使用的網(wǎng)絡(luò)設(shè)備主要包括 3 種類型 上網(wǎng)行為管理設(shè)備 二層交換機和三層交換機 設(shè)備放置在主機房和井區(qū)設(shè)備間 因此 為了便于管理 我們提出設(shè)備的命名統(tǒng)一使用如下格式 網(wǎng)絡(luò)設(shè)備命名