铁矿计算机网络升级改造项目深化设计方案.doc

《铁矿计算机网络升级改造项目深化设计方案.doc》由会员分享，可在线阅读，更多相关《铁矿计算机网络升级改造项目深化设计方案.doc（34页珍藏版）》请在沃文网上搜索。

1、目 录第一章项目需求分析41.1项目需求概述41.2项目总体要求41.3项目设计指导思想41.4网络现状和存在的问题51.4.1网络系统现状61.4.2应用系统情况91.4.3现有网络系统存在的问题101.5项目建设需求101.6项目建设内容111.6.1网络系统升级111.6.2网络安全系统121.6.3综合布线系统121.6.4机房改造121.7项目设计参照的标准规范13第二章网络和安全系统设计162.1网络系统设计原则162.2网络系统架构162.3IP地址规划202.4VLAN设计202.4.1VLAN划分202.4.2VLAN之间路由实现222.4.3VLAN之间安全控制232.4.

2、4VTP设计232.5路由规划232.5.1局域网内路由规划232.5.2互联路由242.6无线网络系统242.7设备命名规范252.8网络安全系统设计262.8.1安全保障目标272.8.2设计目标272.8.3上网行为管理系统部署272.8.4安全方案设计要点272.9网络信息点位及设备布点29第三章综合布线方案设计383.1综合布线系统概述383.2综合布线需求和范围383.3综合布线系统设计及施工方案403.3.1综合布线系统总体设计403.3.2水平布线子系统403.3.3设备间系统423.3.4建筑群主干子系统443.3.5维护和管理453.4综合布线的施工方法473.5综合布线系

3、统测试方案51第四章机房改造方案设计544.1机房装饰装修544.1.1机房装饰工程概述544.1.2地面554.1.3墙面、柱面564.1.4顶棚574.1.5门窗574.1.6其他方面处理574.2UPS及供电系统594.3UPS不间断电源614.3.1艾默生Adapt 模块化UPS系统634.3.2照明系统684.4接地防雷系统694.4.1接地系统694.4.2防雷系统714.5空调及新风系统714.6新风系统方案734.7机柜布置744.8机房环境监测系统754.9门禁系统774.10视频监控系统78第五章项目施工组织方案805.1项目实施指导原则805.2项目组织结构805.3项目

4、实施总体计划865.4项目实施内容885.4.1项目启动885.4.2项目实施的准备885.4.3到货验收895.4.4系统安装实施895.4.5系统测试905.4.6系统联调915.4.7项目初步验收915.4.8系统试运行915.4.9项目验收915.5项目施工管理925.5.1工程质量目标及保证措施925.5.2现场文明施工管理975.5.3施工现场环保与环卫管理1015.6项目风险分析及控制策略1025.6.1风险分析1025.6.2风险对策1035.6.3协作沟通的重要性1055.7项目提交成果1065.7.1项目文档管理1065.7.2技术文件交运计划107第六章技术支持及售后服务

5、方案1086.1售后服务承诺1086.2技术支持与服务1096.2.1技术支持服务体系1096.2.2服务流程1126.2.3服务方式1136.2.4应急服务响应1146.3技术培训1146.3.1培训遵循的原则1146.3.2培训的方法1156.3.3培训类别1166.3.4主要培训课程表117项目需求分析项目需求概述 北?河铁矿现有员工1500余人,技术及相关管理人员270余人,下设9个生产单位,1个服务单位,18个职能部门。从建设投产至今,规模不断壮大,人员不断增加,新技术、新产品广泛使用,企业对信息技术的需求也越来越强烈,但由于受历史阶段条件的限制,没有进行系统规划,网络系统已不适应矿

6、山发展的需要,系统建设出现瓶颈,因此,需要对全矿网络系统重新规划和部署,进行全面的升级改造,以满足企业信息化长远发展的需要。 为了使北?河铁矿的网络系统能够在未来几年的时间内保持技术上的先进性和实用性,要求在项目的规划和实施中采用先进成熟的网络、安全、主机设备以及系统管理模式,实现矿山内部所有资源的合理应用和完善管理,使员工都能方便地使用内部网络,并能够安全高效地访问各种内部网络应用服务和因特网。项目总体要求 北?河铁矿网络升级改造工程应当按照“配置合理、功能完善、适度超前、使用方便”的原则进行全面系统的设计,系统应具备先进性、实用性、安全性、稳定性、可扩充性、可管理性,功能完备,维护简便等特

7、点。 此次网络升级改造内容主要包括网络系统升级、网络安全系统建设、综合布线系统和机房改造系统等。项目设计指导思想 此次北?河铁矿网络建设将将采用先进的网络安全技术和产品,实现一个高效的内部办公网络系统。网络中的各类服务器设备和网络设备需要考虑技术上的先进性,国内外及行业的通用性,并且要有良好的市场形象与售后技术支持,便于维护和升级。 总体来讲,为了使项目的实施顺利进行,并使系统规划能够满足北?河铁矿的应用和发展的需求,在项目规划中应满足以下要求: 开放性:采用开放标准、开放技术、开放结构。 实用性:网络系统设计以实用、满足应用为主,不追求最高、最新。 先进性:计算机网络技术、软硬件技术的发展迅

8、速,网络的设计要立足于较高的起点,保证系统有较长的生命力。 安全可靠性:同时考虑应用系统的设计、网络系统设计、硬件设备的选项配置几个方面,以确保数据的安全。 兼容与可扩展性:尽量采用成熟的技术,保证软硬件的兼容性,同时需考虑设备的更新与升级的能力。 经济性:在满足功能与性能的基础上实现性能/价格比最优。 可管理性:随着网络规模和复杂程度的增加,网络系统的管理和故障排除将成为较难的事情,针对各种设备都要提供一定的网络管理功能。 主要依据原则如下: 项目设计应满足北?河铁矿未来发展的要求,即在矿山规模发展扩大时,本设计仍然能够满足矿山管理和运营的要求或方便的变更和升级。 采用先进的、成熟的、业界标

9、准的、在市场上有着广泛应用的技术。 项目设计应遵循实用的原则,避免不切实际贪大求全。 所有网络设备应是主流产品,保证所有设备均为新品并能提供良好的技术支持服务。 工程实施严格按照同规格日期完成并保证质量。 工程实施需要提供详细的文档资料及配置手册。 应提供完整的培训及售后服务。 网络现状和存在的问题 北?河铁矿信息化发展相对较早,于2003年6月矿办公网络系统形成,2004年4月办公自动化系统启用,2004年10月金蝶物流系统启用,2006年矿网站建立,2006年以来质量管理系统、入井刷卡系统和视频监控系统等先后十多个应用系统也连接进入局域网内。网络系统现状 北?河铁矿网络系统于2002年11

10、月组织建设,2003年6月投入使用,机房设在办公楼四楼,接入矿局域网的计算机数量达240余台。网络系统和设备现状现有网络系统结构网络系统现有网络系统的结构不清晰,请见如上示意图。机房现有设备及利旧说明 一个防火墙(神码1800S),一台路由器(思科2800),一个核心交换机(华为S3600)。 将对现有路由器思科2800进行利旧使用,思科2800接入性能和接口已满足现有网络出口要求,设备运行稳定,故本次改造对路由器无需更换; 现有核心交换机华为S3600已运行了8年,初期配置选择了性能较低的盒式交换机,单机不具备端口扩展能力,尤其是本次网络改造中接入交换机采用光纤链路上联,华为S3600光纤端

11、口无法满足要求;华为S3600的交换性能和包转发率较低仅能满足部门级网络需求,无法满足矿山现在网络和应用的需求以及未来的扩展要求;因此,本次网络改造系统将对核心交换机进行更换,并采用思科WS-4507R-E作为核心交换机; 5台服务器,分别为网站服务器、OA系统服务器、金蝶k3服务器、质量管理系统服务器和DIMINE软件系统服务器。 不间断电源和冷却空调(现已损坏)。 机房设备零散摆放。配线间现有网络设备及利旧说明 具有控制功能的接入交换机5台,品牌型号为3COM 4400se,分别放置在四楼配线间2台,二楼配线间1台,一楼配线间1台,五楼配线间1台。 所有配线间的接入交换机其中4台已有多个网

12、络端口损坏情况,不能正常使用;剩余1台可以正常上网,以对此设备进行利旧,并安装在文化中心分机房内;车间及部门办公室网络设备 由于信息点较少,使用二、三层交换机较多,其中24口交换机5个,放置在服务楼、化验楼和供应科办公室。8口交换机47个,5口交换机5个,分别放置在各部门或车间办公室;所有交换机全部为不带管理功能的普通交换机,因此对所有不带管理功能的普通交换机要全部更换,为此次改造后的的网络系统便于管理提供最基本的条件;综合布线现有状况和利旧说明 网络出口情况:接入Internet的网络出口一个,为中国联通10Mb宽带,由联通分公司引入的一条光缆。 楼宇建筑布线情况 全矿地表有三个工业园区:主

13、工业园区、西风井工业园区和东风井工业园区。现有网络覆盖区域为主工业园区和西风井工业园区。 主工业园区网络覆盖建筑有办公楼、服务楼、化验楼、后勤楼、文化中心等楼宇建筑5栋,材料库、备件库等库房2座,80吨和100吨地磅房等平房2座。 西风井工业园区网络覆盖建筑为西风井办公楼。光缆线路借助入井刷卡控制系统光缆。 井下网络覆盖区域为-110水平调度安全值班硐室和炸药库,-230水平调度值班硐室。线路借助质量管理系统光缆。 网络覆盖区域内有282个办公室,3个井下值班硐室,除主工业园区办公楼、化验楼一层敷设84个信息点外,其余各部位均未敷设。 网络现有覆盖区域除分化中心外,全部采用超五类双绞线传输,信

14、息模块及面板使用年限已达8年之久,所有线缆以老化,信号衰减、延迟现象比较严重,信息模块存在松散、卡接不严等状况;故对所有线路及模块和面板进行更换,并对原有线路进行拆除;文化中心内部对所有网络线路要进行利旧使用,更换新的网络信息模块和面板,在此对文化中心的网络线缆不予在重新敷设; 各区域之间采用光纤连接,地表7条光缆,分别采用电缆沟、直埋和架空敷设,井下3条光缆,为质量控制系统使用。 UPS电池室现有光纤为分布为:服务楼一根多模、供应科一跟(多模)、80吨地磅房一根(多模)、医保专线一根(多模)、监控中心一根(多模)、文化中心一根(单模);对现有的光纤要全部移至网络主机房的机柜内,并对现有光纤进

15、行熔接和预留;文化中心单模光纤要接入此次网络改造项目中; 配线间和机房布线情况 办公楼共有五个配线间。其中一楼与通讯线路合用,二楼为财务科档案兼金蝶k3服务器放置室,三楼为党委工作部办公室,四楼与广播电视合用,五楼为党委工作部办公室,线路均穿过各配线间楼板敷设至各楼层交换机。 服务楼配线间为采矿车间办公室。 化验楼配线间为选矿车间办公室。 后勤楼配线间为行政事务科科长办公室。 医务所配线间为医务所办公室。 机房敷设有防静电地板,机房所有线路均通过四楼配线间穿墙在防静电地板下敷设。应用系统情况 现有网络系统自投入使用后,逐步建立了办公自动化系统,金蝶k3物流系统、质量管理系统、入井刷卡系统、视频

16、监控系统和V5人力资源薪酬管理系统等应用系统共15个。这些应用系统包括生产过程控制和业务处理两个方面,随着企业的发展,网络使用需求越来越大,对网络系统的依赖性越来越强。其中大部分完全依赖网络,应用系统建设情况见表。应用系统建设情况表编号系统名称系统功能网络依赖度运行地点备住1办公自动化系统业务处理完全全矿2金蝶k3物流系统业务处理完全机动、供应部门3金蝶k3财务系统业务处理完全财务部门4入井刷卡系统业务处理高调度室、井口5质量管理系统过程控制高质量科办公室、井下-110、-230水平轨道衡6视频监控系统业务处理高保卫科监控室7V5人力资源薪酬管理系统业务处理完全人力资源科8生产设备运行管理系统

17、业务处理完全机动科和各车间办公室9生产调度系统业务处理完全调度室10计量称重系统过程控制高80t、100t地磅房11风机远程控制系统过程控制高调度室、井下-50、-95、-110、-230水平风机站12PLC提升机控制系统过程控制低主副井、盲竖井、盲斜井13磨矿自动控制系统过程控制不依赖选矿自动化室14医保刷卡系统业务处理完全医务所15安全隐患信息管理系统业务处理完全安全科、车间办公室、井下安全值班室 现有网络系统存在的问题 到目前为止,北?河铁矿网络运行已达8年之久,网络技术相对落后,设备陈旧,线路老化,网络布线比较散乱。网络架构不清晰,扩展性差。早期设计的网络结构简单,不清晰,比较混乱,随

18、着用户和应用规模不断扩大,网络难以满足扩展要求,已形成系统瓶颈,且给网络管理带来的很大压力;网络设备陈旧、线路老化严重,稳定性差。早期采用的网络技术相对落后,目前设备陈旧,低端设备多、线路老化严重,稳定性很差,导致故障频发,曾出现网络瘫痪,服务器损坏,造成大量数据丢失,多台交换机损坏,另有一些交换机接口有损坏现象,楼宇线路有20%已不通,现在均只采取了临时措施。网络线路和设备布局散乱,网络信息点较少,网络布线不规范。现有的网络线路和设备布局散乱,网络信息点较少,无法满足用户应用需要。在用所有网线均为人工制作,造成网络信号的衰减,网络存在延迟现象,对实时性要求较高的应用系统影响较大,甚至无法运行

19、。网络安全管理和防范手段薄弱。现有网络系统没有监控和防范软件,无法对网络进行直接和行之有效的管理,经常出现病毒入侵攻击现象,网络安全没有保证。项目建设需求 随着矿山规模不断壮大,人员不断增加,新技术、新产品广泛使用,企业对信息技术的需求也越来越强烈,现有网络系统已不适应矿山发展的需要,系统建设出现瓶颈,为此,根据上述现状和问题分析,需对全矿网络系统综合设计,进行全面的升级改造,以满足企业信息化长远发展需要。网络系统升级改造 重新规划网络架构,采用分层设计方法,提升网络系统的可扩展性和可管理性。满足企业未来的发展需要。 更换现有老旧落后的网络交换机设备,采用技术先进、知名品牌产品,确保网络核心设

20、备具备强大的数据交换和处理能力,为大容量用户的互联网访问和业务应用提供网络支撑。 升级更换办公自动化、网站服务器。同时所有设备部署到,合理规划机房机柜布局。网络安全系统 建立网络的安全保护措施,保证系统安全。对网上服务请求内容进行控制。综合布线系统 建立一套先进、完善的综合布线系统,满足北?河铁矿办公网络的需求。支持各种数据通讯、多媒体技术以及信息管理系统,满足语音、数据、视频等的传输,适应现代和未来技术的发展,要求所供产品质量保证25年。 布线系统为应采用国家和国际标准及规范,兼容不同厂商、不同协议的设备和系统的信号传输,具有可扩充性,并易于维护和管理。 采用模块化设计,具有高可靠性,局部系

21、统故障不影响其他系统正常使用。机房改造 在充分利用和整合现有资源的基础上,将北?河铁矿机房改造建设成优良的现代化计算机机房。包括机房装饰装修、UPS及供电系统、接地防雷系统、空调及新风系统、机柜布置、机房环境监测系统、门禁系统和视频监控系统等方面。四楼机房进行封窗,电池室铺设高架防静电地板。对供电系统重新进行设计,对机房和电池室照明进行改造,在机房与电池室内安装防火报警系统和监控系统。在机房和电池安装门禁控制管理系统。项目建设内容网络系统升级 北?河铁矿的网络架构按分层设计方法重新规划设计,更换网络中所有交换机,部分原有交换机可根据甲方要求进行利旧。办公自动化和网站服务器两台进行更换,其余四台

22、利旧.将机房内所有的网络设备及服务器统一安装在标准网络机柜或服务器机柜内,并配备KVM、鼠标、键盘等,集中进行管理。办公楼的接入层交换机安装在机房内的网络机柜中,其它区域内的接入层交换机安装在相应配线间的网络机柜内,所有接入层交换机均通过光缆与核心交换机级联。在办公楼、食堂、服务楼和化验楼等地的会议室或楼道安装AP,并配备无线控制器等相关设备,实现有线网络的补充。网络安全系统 北?河铁矿网络安全系统重点考虑上网行为管理,需要建立一套完整可行的网络安全与管理策略,将内部网络不同区域进行有效隔离。建立网络的安全保护措施,保证系统安全。对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝。加强合

23、法用户的访问认证,同时将用户的访问权限控制在最低限度,全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为。加强对各种访问的审计工作,详细记录对网络、服务器的访问行为,形成完整的系统日志备份与灾难恢复。对所有上网行为进行记录,详细记录到每个IP的上网行为,当有入侵网络的行为以及出现内网互相攻击时(如扫描攻击等),及时发出报警,并对目标机器进行锁定,并断开其网络连接。综合布线系统 按照国家和国际标准及规范,建立一套先进、完善的综合布线系统,满足北?河铁矿办公网络的需求。支持各种数据通讯、多媒体技术以及信息管理系统,满足语音、数据、视频等的传输,适应现代和未来技术的发展,要求所供产

24、品质量保证25年。布线范围包括主工业园区和东、西风井工业园区的大部分房间,网络覆盖范围内,房间229个。信息点有线707个,无线21个,共计728个。光纤布置共4570米。 主工业园区、东、西风井工业园区的其他房间、井下-110m水平、-230m水平2个运输巷,借助安全六大系统环网实现。机房改造 为适应北?河铁矿信息化和数据集中的发展要求,规范机房建设与运维管理,提高机房安全防护和集中管理水平,切实保障各信息系统安全稳定运行,参照GB50174-2008计算机机房设计规范及相关标准,以“技术上先进,经济上合理,安全可靠实用”为原则,在充分利用和整合现有资源的基础上,将北?河铁矿机房改造建设成优

25、良的现代化计算机机房。机房改造内容包括: 1、机房装饰装修 2、UPS及供电系统 3、接地防雷系统 4、空调及新风系统 5、机柜布置 6、机房环境监测系统 7、门禁系统 8、视频监控系统项目设计参照的标准规范 项目中所有涉及的设备、材料的采用,除本项目规定的技术参数和要求外,其余均遵循最新版的国家标准(GB)、行业标准和国际单位制(SI)。 本项目的设计及产品满足本招标规定的技术参数和要求以及如下专用标准: GB50311-2007综合布线系统工程设计规范 GB50312-2007综合布线系统工程验收规范 GB/T9771 通信用单模光纤系列 GB4793-2001 测量、控制和试验室用电气设

26、备的安全要求 GB4943-2001 信息技术设备的安全 GBJ232?82电气装置工程施工及验收规范 GB/2887-2000 电子计算机场地通用规范 GB50174-2000 电子计算机场地设计规范 GB9361-1998 计算站场安全要求; SJ/T10796-1996 计算机机房用活动地板技术条件 GB50057-94建筑防雷设计规范 SJ/T30003-93 电子计算机机房施工及验收规范 GB50054-95低压配电设计规范 YT/T5015-95电信工程制图与图形符号 JGJ/T 16?1992 民用建筑电气设计规范 GB50198-94 民用闭路电视监视系统工程技术规范 GA/T

27、75-94 安全防范工程程序和要求 GA/T74-94 安全防范系统通用图形符号 GB12663-90 防盗报警控制器通用技术条件 GB10408.1-98 入侵探测器通用技术条件 GB/T50314-2000智能建筑设计标准 GB50174-93 电子计算机机房设计规范 GB50057-94 建筑物防雷设计规范 GBJ232-92 电气装置安装工程施工及验收规范 GBJ116-88 火灾自动报警系统设计规范 GA305-2001电气安装用阻燃PVC塑料平导管通用技术条件 GA385-2002火灾声和/或光报警器 YDJ44-89 电信网光纤数字传输系统工程施工及验收规定 GB16423-20

28、06 金属非金属矿山安全规程 YD/T 1170-2001中华人民共和国通信行业标准IP网络技术要求-网络总体 YD/T 1171-2001中华人民共和国信息产业部颁布的中华人民共和国通信行业标准IP网络技术要求-网络性能参数与指标 YD/T 1149-2001中华人民共和国信息产业部颁布的中华人民共和国通信行业标准IP网络安全技术要求-安全框架 YD/T 1162.1-2001 中华人民共和国信息产业部颁布的中华人民共和国通信行业标准多协议标记交换(MPLS)总体技术要求 中华人民共和国信息产业部颁布的中华人民共和国通信行业标准基于网络的虚拟IP专用网(IP-VPN)框架。 GB/T 179

29、63-1999 中华人民共和国国家标准信息技术 开放系统互连 网络层安全协议 GB/T 17965-2000中华人民共和国国家标准信息技术 开放系统互连 高层安全模型 YD/T 1099-2001 中华人民共和国通信行业标准千兆比以太网交换机设备技术规范 GB/T20270-2006 信息安全技术?网络基础安全技术要求 GB/T20271-2006 信息安全技术?信息系统通用安全技术要求 GA/T671-2006信息安全技术?终端计算机系统安全等级技术要求 GB/T20269-2006 信息安全技术?信息系统安全管理要求 GB/T20282-2006 信息安全技术?信息系统安全工程管理要求 除

30、上述规范以外,还遵循行业企业现行的规范和标准要求。 网络和安全系统设计网络系统设计原则统一规划网络连接,网络设计符合国际标准,包括:IEEE802.3、 EIA、 ISO等,并且贯穿网络优化、网络扩展等各个方面。网络交换设备支持VLAN划分功能,从而增加网络的可管理性、安全性以及改善网络性能。消除网络瓶颈,网络骨干节点具有分担网络流量,使网络负载合理分配到各个骨干节点设备上。优化网络的性能,需要合理调配网络的资源,最大程度上提高网络使用率。保证正常工作和Internet的安全可靠访问。预留足够的网络端口,合理地扩充网络规模。网络具有高可管理性,需要考虑在多种情况下的网络的安全性、可靠性。合理的

31、性能价格比。在合理情况下,考虑网络3层、4层功能。 综上所述,网络平台的设计原则可以概括为: 经济实用,稳定可靠,量体裁衣,易于扩充。网络系统架构 根据北?河铁矿网络覆盖范围大、网络节点分散等特点,北?河铁矿整个网络采用层次化设计方法,建议进行扁平化设计,结合目前现有情况和布线特点选择三层逻辑结构、二层物理结构的网络结构(或叫做紧缩型网络结构)。紧缩骨干网(collapsed backbone)一般应用于企业园区网络中,紧缩骨干网包括一台或多台第3层交换机,在核心交换机上完成核心层和分布层的工作。在逻辑上整个网络按照分层化结构设计,分为核心层、分布层、接入层。各配线间到达网络机房的物理线路充足

32、,按照节约成本、提高效率得原则,把逻辑上三层结构中得核心层和分布层集中在高性能的三层交换设备上,这样,即节省了设备和管理成本,又提高了原本分布层和核心层之间得数据传输带宽。方便了管理维护。因此就形成了三层逻辑结构、二层物理结构的紧缩型网络结构。 核心交换机采用模块化结构,有很强的网络扩展能力;还拥有较高的背板带宽和转发速率,以保证数据的无阻塞转发和路由。接入层交换机选用带管理型二层交换机。 通过层次化的网络设计,网络的不同层次设备承担不同的任务,使整个网络结构清晰,便于维护和管理,便于以后的网络扩展。 网络系统拓扑图 北?河铁矿网络根据各网络部分的职能不同划分为:网络接入区、核心交换区、服务器

33、区和办公区。 (1)网络接入区 网络接入区是北?河铁矿与互联网的连接区域。 在网络接入区已部署路由器连接五矿邯邢矿业有限公司专线。 在接入区以透明桥接模式部署一台网康上网行为管理系统NS-ICG 3000-40,审计、管控和规范矿山内部的终端上网行为。 同时,在邯邢矿业专线出口处部署一台 网康互联网控制网关NS-ICG5000-PR,采用透明桥接模式,不改变现有网络结构,主要记录、审计和管控通过专线互联的各下属矿山、单位的上网行为,实现优化网络,合理分配带宽 (2)核心交换区 核心交换区负责连接各个网络区域,并对所有区域间的数据流量进行集中转发。办公楼的网络交换机集中在主机房机柜中,便于管理。

34、其它建筑物均通过光缆连接,并在各建筑物的分机房放置网络交换机及配线材料。 部署两台高性能三层交换机Cisco WS-4507R-E作为核心交换机,核心交换机间通过两对千兆以太网光口建立起channel连接,共同组成核心交换机组,相互备份并实现负载均衡。两台核心交换机都将配置双电源加强设备运行的稳定性。 在核心交换机上根据系统的不同划分VLAN,将不同系统隔离开,避免了广播风暴和局域网病毒的泛滥,并加强了数据的隔离。同时在核心交换机上启用三层路由协议,负责各个区域之间数据流量的集中转发。 针对办公区,将在核心交换机上启用VRRP协议,为办公区的数据传输提供冗余连接和可靠性的保障。 本期项目暂时先

35、部署一台Cisco WS-4507R-E作为核心交换机,条件成熟时可追加一台Cisco WS-4507R-E,安装设计思路无缝升级。 (3)服务器区 服务器区放置着企业核心业务原有服务器和各类管理服务器。包括网站、OA、K3系统、质量管理、DIMINE、水纹检测、环境监测监控系统和门禁系统、上网行为管理系统和硬盘录像机等各类服务器和主机。 (4)办公区 连接办公区的接入交换机 Cisco Catalyst 2960S直接连到核心交换机,为办公终端的数据通信提供保障。 在办公楼、食堂、服务楼和化验楼等地的会议室或楼道安装AP,并配备无线控制器等相关设备,实现有线网络的补充。IP地址规划IP地址的

36、合理分配是保证网络顺利运行和网络资源有效利用的关键。充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。 IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由策略有非常密切的关系,通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此,核心层应象一个区域或一个节点一样,被分配一段连续的地址。更进一步,连接进某一区域的节点的IP地址范围应集中在该区域的地址范围附近。 为保证矿山办公网络系统之间数据传输的可行性以及能更好的实现路由策略,同时避免出现过于复杂的配置为日后管理维护造成不便降低并降低网络性能,对于北?河铁矿网络系统的IP地址分配将统一分配。 北?河铁

37、矿的IP地址采用私有地址,由公司统一自动分配。使用私有IP地址空间可以确保专有网络的IP地址不会与Internet上的公有地址发生冲突,便于与Internet的互连,并在一定程度上避免内部私有网络遭受外界使用非法手段访问和攻击。 在层次结构上首先按公司规划进行总体划分,然后再楼宇、楼层或部门等行政区域进行详细分配。 VLAN设计 VLAN划分 为了减少传输冲突,提高系统整体性能和网络处理能力,另外,还考虑到网络良好的管理性,易于维护和安全策略的实施,针对用户网络系统的实际情况,可以把功能(应用)相近的设备群组划分到同一VLAN,不同部门的设备划分到不同VLAN中去,这样就能够通过访问控制列表技

38、术实施安全策略。限制未授权的用户访问重要的服务器和数据库。 根据VLAN划分原则,建议把不同业务类型和应用功能的服务器(如网站、OA、k3系统、上网行为管理等)根据功能组别划分在不同的VLAN内。这些服务器专用VLAN只对授权的计算机开放访问,非授权的计算机将被访问列表阻隔;局域网用户与中心机房的其它计算机划分在不同的VLAN中,为保障应用和数据的访问安全,可以限制普通用户只能访问应用服务器所在的VLAN,并通过应用服务器来访问数据库;同时不同部门的计算机可根据需要划分不同的VLAN,例如财务部与其它部门划分在不同VLAN内。 矿区Vlan划分表序号部门名称VLAN中部门简称VLAN IDIP

39、 段掩码1调度室/安全管理科DDS AQGL1010.5.80.0255.255.255.1282机械动力科/机动科仓库/80吨磅房/100吨磅房jxdl 80 1001110.5.80.128255.255.255.1283财务科CWK1210.5.81.0255.255.255.1284工程管理科GCGL1310.5.81.128255.255.255.1285人力资源科RLZY1410.5.82.0255.255.255.1286工会委员会/纪检监审科GH JJJS1510.5.82.128255.255.255.1287生产技术计划科SCJSJH1610.5.83.0255.255.2

40、55.1288矿领导KLD1710.5.83.128255.255.255.1289矿长办公室/党委工作部/工农办BGS DWGZB GNB1810.5.84.0255.255.255.12810营销科/经营预算科/汽车队YXK JYYS QCD1910.5.84.128255.255.255.12811地质测量科DZCL2010.5.85.0255.255.255.12812信息中心XXZX2110.5.85.128255.255.255.12813选矿车间/化验室/选矿调度/保卫科XKCJ BWK XKDD2210.5.86.0255.255.255.12814行政事务科XZSW2310.

41、5.86.128255.255.255.12815开拓工区KTGQ2410.5.87.0255.255.255.12816采准车间CZCJ2510.5.87.128255.255.255.12817采矿车间CKCJ2610.5.88.0255.255.255.12818运输车间YSCJ2710.5.89.0255.255.255.12819提升车间TSCJ2810.5.89.128255.255.255.12820维修车间WXCJ2910.5.90.128255.255.255.12821动力车间DLCJ3010.5.91.0255.255.255.12822110万伏变电站110W3110.

42、5.91.128255.255.255.12823文化中心WHZX3210.5.92.0255.255.255.12824东风井DFJ3310.5.92.128255.255.255.12825西风井XFJ3410.5.93.0255.255.255.12826物资供应科/供应科仓库/供应科新仓库WZGY3510.5.93.128255.255.255.12827主井/副井ZJ FJ3610.5.94.0255.255.255.12828井下-230、-110水平JX230 1103710.5.94.128255.255.255.12829服务器SERVER3810.5.90.0255.255

43、.255.12830预留OPEN3910.5.95.0255.255.255.12831设备互联地址 10.5.95.192255.255.255.22432设备管理地址 110.5.95.224255.255.255.224业务地址规划:10.5.80.0-10.5.95.191设备互联地址:10.5.95.192-10.5.95.223设备管理地址:10.5.95.224-10.5.95.254 VLAN划分说明:VLAN的划分最终以甲方的需求为准;VLAN之间路由实现 在划分了VLAN的环境下,各VLAN成员之间不能直接访问,不同VLAN之间的流量必须经过路由,这一功能可以由三层以太网交

44、换机的多层交换引擎来完成。 在用户网络系统设计中,VLAN的划分可以在核心交换机、楼层交换机上的端口进行划分,不同的交换机端口所连接的设备属于不同的VLAN,而VLAN之间的路由则由具有三层功能的核心交换机来完成。 VLAN之间安全控制 在用户网络系统中,由于在核心使用了三层核心交换机,因此所有的VLAN之间的访问都需要通过三层核心交换机进行,因此可以通过ACL(访问控制列表)控制VLAN之间的流量,这样就可以允许高优先级的VLAN段访问低优先级的VLAN段,而低优先级的VLAN段不能访问或有限的访问高优先级VLAN段。VTP设计 当网络中交换机数量较多时,需要分别在每台交换机上创建很多重复的 VLAN。工作量大、过程繁琐,并且容易出错。由于本次网络中使用的全部交换机都为 Cisco的产品,所以将使用 Cisco的专有协议?VLAN 中继协议(VTP)来解决这个问题。 Cisco 公司专有的 VTP 协议能够从一个中心控制点开始,维护整个企业网