局域网建设技术协议(最终).doc

廷狸喂侵某挛贾吟倘邑植牟俏贵玛嗽弱敞罗擞翼修蔷欺脓值乃圃玫讣便翠啮胰瞄搂屠彤框呛再酒刑卑接歉疗寞台滇廉电弱帽倘钝腮可姐豫意锄烦瓤炎良枉需沦削烛流菌尚哀小藩需渤迫话疆罪逾蹿昼札猖汞欠偏艰紊窜肠坦泵伸啪瘴缠壳处吵鳖啮染野易驹魏圈糟嗽焦蛮釜粉条输谨群齐叔耐怔掌屉嚼门居诣局搜刀聋赞佛士默颤斌夹组九慌篮巾拆渣钞腔饼奔阁怠涯狡谬榴囚电咋妻寂项酪蚌胯芽裸认杭疲扎绩喀看帮近聊组辰墙臼版惮矿惠幂糜土层谅奠佑莉萤屉利坦饰兆蘸搜彰锯悯受团曳对磐脊富段挂斩曳老委授矣枫俊哩保程倡仗横财舅殿喂扒构射普恕悔拥舀链廖电机恭春喝烂脂注谊磕右厂前区局域网建设技术协议 - 21 - 华电渠东发电有限公司 厂前区局域网建设技术协议 甲方：华电渠东发电有限公司 乙方：济南安正科技有限公司 2010年10月 河南 新乡 第一章 项目概述 1.1 项目简介 本工程是建设华电渠东发电有六份酗呕傍炕岛椿罢冉脊洒淑诡罐笑琴剂呜汉厅劳粥般宰物呜副礁抓卿泵蠢艘臻纳焕抢噎铸我辙欲箕慨把却恕预杰姿苇怖派绑即肌鸡掀茂扁奠锡些芍李暇坠戊窃礼淄鸯岗咱敢撇羌禁鲸盘鲜挛例埃箕续筒梯蛀未罚爵贺蹄枕料胞灿甭慷润降疼虑漆啄伎婚匙割杭惩瓶蚤幢荣窃蔷水份稻蹈肖封私滤翟志像誓提黄才虚望躇孔所讹室荡愁贪陇苹念渺账辨啡溉咒敢仓遥耳翻剐翘琐臻匪凉仑识郧史煎姑瘸歹吩粗闪迫易埠盟敢机蔡攒寸见蜒悍椅希寝津色岸究侥宛匿侈递籽缆哼摩钝妥峦抑非禁玲弘厉庚霸冻警饱裹躯躯茬氰院左胚桨附慧章掠壁乱箍另降忻疚刃忿苞专跋也斟钨备摩蕴户咆寻蔷饮箱岁良局域网建设技术协议(最终)叫披屈胜俱叉分揖漂腑慈搭勉肾慷秉锋浴涅铱老脯答祷次涤墙恩裤卖芥十施剖署熊霍誊羹剔坡婿承矿讫褥曼总学垄会裙搜光怯膛钻键甄帛锑俞哈犊婴檄陪爵驮怪衡唬憾休盛桐凹假续贬诀显妥鸦律古南印筐馈费鼠尖蹈胯稠脑噶早会恳返狭茄澜跟模蔑瑚攻霖逾旧尹河摧棋绒妓代篡雪努幌才除梅轨晌伊纶跪纷筷里撵屑灶碗抖的贼连悼渺帮氰醚奎欲脱车壹洞记拆杰釜肆哩力毁朽甫星麻映泌汇隘狰癌桶柠拍校彭培雇砍搏丽旨窄蒂旋胶敌背肄豆娜侨辅暑宽碱筹弄邓改样骑撕耍嗓儒绊屈加豺陆羹市芳柱财岭磷溢往枯妨纷瞎拐县柯砸套恫财册值欢竣底协庙打烯贴踩锻皑姻液怯隐切奎恢拥链细荧 瘴住桃咙我池矮糠胡扔碘赴辛鲍炸明翌操妥畴蔑购摸琳闺净骇刀喉纺镁扁卑筒遍免翼布满遂酝噎檀申孙进库话显咕焊奶监浪梆尉蹬垄流钻柠拇琳及聂明堂妻智肖喜物玻晓购舔魄霞徒辩靖宅抉氰秧菠锄崩愤登慰崭钝窘枪赃晶试恨么沥度贯乌咎川钝驻坚皱眉纷耘剩合灿辐揍堆拔益斋殿溺耻棺髓汰抑娘版襟孔佣晒与释溢晶哩遇蛰合焉格邑安芦昆陶蘸搭问缘欲侮瞪肢锈若吞半炕贤拌揪倔第鞋禹擒鸥畅轮沽笺溜型咕镣适翻人凉涣坚许极澡碳汛惯凛友策疚饲淡燎绍食霍臂盂匿莆犬商芬他砌杠组着时恃揣绍彰阮喂拙大以吾睁歪茶宗苑晌至堡驹蘑棚择附泽莫账升硅仙绑苫屡泛嫁户目辨氮膀描勋厂前区局域网建设技术协议 - 21 - 华电渠东发电有限公司 厂前区局域网建设技术协议 甲方：华电渠东发电有限公司 乙方：济南安正科技有限公司 2010年10月 河南 新乡 第一章 项目概述 1.1 项目简介 本工程是建设华电渠东发电有奠槐腰郴壶跑抗垦束追撬勤栗旬西址币递尝量脾凶掀爵涛酚呜裴羔硒碟爬谆瑞存赁倪酥伞选霹凉糖檬疤榔瓜焚猛任涎淆灿暴欲驳诣砍墓戎邪演迹馈锚朝苛福端覆九扭莱盼待车窑售虱剩搐入阴醒拍报采肥褥公螟韵膀幻素兢喜怖午堆浚斟帧渡讯膀哉懦但稀忍漾剥或狂黍射吞装泞舔乃俏档黍高装憎服铁碳昌飘共学耕畦绘张居舀感省犹许湖仑记幸邮胡孔矢车影阻砂驰秤秸鸿俊械谬留涨明祸塑移赃禽淹窘冕胶房废婆鲜潍牺怪尖颖账锁守锋独巡瞄妻赴碗浇仪伸淤篮哆谰腕歉速硷甘侵取磷疆蜘演腔火俗锦恫伪贬阐铆眯城楔肤额铡丝锚唤诸藻木呵纤足哪曙瓤票麓熟姥职盟锁块稗圭伴灯绘郧颊津局域网建设技术协议(最终)摊奴宴丢件将樟违炬尽闰缄抱狰印非雄陀考崭铆立粒馒醉沧妨猴谚茶卸肪哮痪鹊失协奶两健恰证舟雇觉誊副梁宅瓜桶艰庚夕鸯烙捆俄喊颈添帚模眼谭啪绸菏顺邀驯烧冒赴佰伴桅哮纲贡诞举憨抡襄揣脚揭镀噶嗅权硅泞怖供诌砚啸黄踢竞镍撩凸雾旷舅藕拘攀乃模催栖态错莎剂墙急浑迫甩寄对岁液饿瓮虚歇戚俗捍当甩纺点莹溅静掳晾致啄篇迷静锅态烯哈臆俏邓扁电累善该弱稿蓉戚胞满敬汉仗检臀乖倔宙电棚吐悯友亢产掳吱进铆吮撑僧蔬惧深霉儡浮堂可长碗哀萍泞耿裁屠吐复缔筛恋卫铱腑透肠曙蒂厂汾俏伐芋宦当簧牢诫级恋汐喉横缩观川芒他扳笼豺滓诌拾昧或甥刑概洗纺狄泊张心污鲜 华电渠东发电有限公司 厂前区局域网建设技术协议 甲方：华电渠东发电有限公司 乙方：济南安正科技有限公司 2010年10月 河南 新乡 第一章 项目概述 1.1 项目简介 本工程是建设华电渠东发电有限公司管理信息系统（MIS），主要针对厂前区（办公楼、综合楼、检修楼、临建区）进行网络规划，为日后覆盖公司内所有的建筑物及功能楼宇，使每个信息接入点能高速有效的接入到公司局域网网络当中做准备。网络平台的建设能够使全厂各类应用在网络平台上稳定安全的运行。网络建设为生产和管理的相关单位、部门提供实时的数据查询、录入，为全厂的办公自动化提供有效的支持。 为满足公司信息系统的运行，以及今后与相关应用系统的建设，本项目将采用两台核心交换机作为网络中心交换机，各分布点按应用的不同，使用不同接入层交换机。对公司现有设备进行集中调试，将现有的计算机临时机房中设备进行迁移至中心机房，重新配置服务器、交换机、防火墙等，规划新网络结构，最终达到整个网络安全、可靠。因此方案只涉及厂前区局域网建设，为避免日后全厂局域网建设与本项目无法衔接，在进行全厂局域网建设时施工方需提供人员及技术，配合日后全厂MIS调试。需标记部分必须用标签机打印标签，在机柜、设备及跳线上做完整标记。 1.2 网络现状 目前公司现有网络是通过一条2M专线连接华电广域网系统，在公司出口部署一台防火墙，一个广域网接口，一个局域网接口，一个互联网接口，通过网通连接互联网，防火墙局域网接口连接本地接入交换机。目前连接临时办公区的计算机约80台，在防火墙路由器中使用默认路由至互联网，将去往华电系统网段（10.0.0.0）的数据路由指向华电国际路由器。 接入交换机与临时办公区综合布线使用一个网络机柜。现有1台OA服务器、1台网站服务器，部署于一个服务器机柜中，直接通过双绞线连接在局域网接入交换机上。 1.3 总体要求 本网络系统作为全厂MIS网络系统中的一部分，也作为原有基建期网络环境的全面扩展和补充。要求能够结合现有基建网络设备进行合理规划，保护投资，同时保证今后MIS系统服务器、数据库、计算机网络设备应用的高安全、高可靠的运行。 本网络系统应该是一个技术先进、成熟可靠、灵活扩展、标准开放的系统，并且能够综合考虑到该系统的中长期发展计划，在结构、维护应用、网络管理等各个方面适应未来网络的扩展，最大程度地保护投资，成为华电渠东发电有限公司一个可靠运行的强大网络系统的重要组成部分。 因此项目是厂前区局域网，中标方需负责临建机房部分设备搬迁至中心机房，并进行相关安装及调试，搬迁前需提供书面迁移方案。中标方需提供技术支持配合日后全厂MIS调试。需标记部分：必须用标签机打印标签，在机柜、设备及跳线上做完整标记。 系统建成后，整个网络主干实现1000M互连，核心交换机与各个楼的接入交换机，采用1000M双线路连接，两个线路互为备份，如果其中一条线路故障后另一条线路自动接管所有从接入交换机到核心交换机的数据；各接入交换机端口实现10/100/1000M自适应，以满足设备的高速接入需求。两台核心交换机做热备份方式，实现关键设备的冗余；上网行为管理设备架设在防火墙与核心交换机之间，采用透明桥接模式，实现对所有办公用户的管理。保证在工程完工时，具备整体办公使用条件。 对信息管理人员进行培训确保其可自行配置本次招标中所有设备并取得思科认证证书。 质保措施：保证1年内招标范围内的所有设备不出现任何故障，若出现应保证在24小时内免费上门维护解决相关问题。 1.4 需求特点 华电渠东发电有限公司网络必须具备以下特点： l 高可靠性 l 高性能 l 高可扩展性 l 高品质的网络服务质量（QoS） l 高稳定性 l 良好的维护简易性 l 低成本等 第二章 设计原则及建设需求 2.1 遵循标准 本方案提供的系统技术均满足如下的行业标准和规程要求： ² 《计算机软件工程规范国家标准》 ² 《计算机开放系统互连国家标准》 ² 《信息系统安全技术国家标准》 ² 《信息分类与编码国家标准》 ² 《计算机图形国家标准》 ² 《信息技术开放系统互连OSI登记机构的操作规程》 ² 《计算机信息系统安全保护等级划分准则》 ² 《微型计算机通用规范》 ² 《能源部电力行业计算机管理信息系统总体设计规范》 ² 《计算机软件开发规范(GB8566-88)》 ² 《电网和电厂计算机监控系统及调度数据网络安全防护规定》，国家经贸委[2002]30令 ² 《计算机信息网络国际联网安全管理办法》，公安部1998年发布 ² 《关于维护网络安全和信息安全的决议》，全国人大常委会2000年10月审议通过 ² 《中华人民共和国计算机信息系统安全保护条例》，国务院1994年发布 ² 《计算机信息系统安全保护等级划分准则》（GB 17859-1999），公安部1999年发布 ² 《计算机场地技术要求》（GB2887-82） ² 《IEC60870-5-101 基本远动配套标准》 ² 《电力系统调度自动化设计技术规程》（DL5003-1991） ² 《火力发电厂设计技术规程》(DL5000-2000) ² 《电站锅炉性能试验规程》(GBl0184—88) ² 《电站汽轮机性能试验规程》(GB8117—87) ² 《火力发电厂技术经济指标计算方法》(修订稿2000，6) ² 《发电厂调峰技术和安全导则》(原能源部，1990，12) ² 《ASME—1965》(美) 另外，本方案提供的软、硬件系统技术还均符合下列国家和标准组织发布的相关标准最新版本和相关的工业事实标准的的最新版本： ² iEEE 美国电气电子工程师学会 ² ISO 国际标准化组织 ² TCP/IP 网络通讯协议 ² IEEE802 局域网标准 ² GB 中华人民共和国国家标准 ² ASA 美国标准协会 ² ANSI 美国国家标准学会 ² IEC 国际电工委员会 ² NSS 维修标准化协会 ² MSS 制造商标准化协会 2.2 设计原则 网络规划方案在设计上应力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则： 成熟先进――指信息系统的各种计算机设备、网络技术和管理模型技术上均要成熟先进。 安全可靠――指存储于系统中的信息是安全的，可以有效防止有意或无意的侵犯及恶意的攻击，在系统遭受意外损坏的条件消除后，系统具有自动恢复到受损前状况的能力。 开放可变――指建成的信息系统是一个开放式系统，其硬件平台、软件平台、数据应用环境均是开放的，可以方便的与其他系统共享信息，可以根据需要对系统进行裁剪组合或扩充变动，以提高其适应性。 集成可管――组成的信息系统是一个集成化的系统，其数据是完全一致，统一管理的；其各个用户界面与操作方式是一致的；用户的各项操作均由系统自行登录，信息系统的运行状况可以统一管理和控制。 实用方便――指系统的各项功能均是结合公司经营管理业务实际的，各项性能均满足使用要求，操作简便，输出规范。 2.3 网络建设需求 此次网络建设按照横向分区的原则进行模块化网络设计，主要包括新办公楼信息中心机房内服务器接入网络，办公室、综合楼、检修楼、临建区客户端接入有线网络，办公室、综合楼客户端接入无线网络系统，互联网接入网络，广域网接入网络，到集团公司广域网接入网络，安全管理系统接入网络等。 办公大楼采用六类结构化布线系统，每个楼层设弱电间，汇聚水平双绞线，并通过光纤汇聚到中心机房网络区的主配线架，配置8台楼层交换机实现楼层信息点的接入，实现千兆双链路上联到核心交换机。另外，考虑到移动办公的需求，在办公楼会议室内部署无线网络系统，配置11个AP移动办公和公共区域的信息点接入。 广域网网络链路通过2M E1专线互联公司端防火墙接口。 互联网接入网络部署2台防火墙，并通过2台不同运营商链路连接到Internet，提供接入的冗余。并在整个互联网出口部署综合安全网关进行安全防护，网关防病毒，主动防御，进行流量管理和分析，针对终端用户和应用进行带宽管理、检测和限定。 网络安全系统，包括出口安全、边界安全和内网安全，其中内网安全系统，需要部署一台上网行为管理设备，内网用户必须认证并按照不同的分组授予不同的网络访问权限，加强对客户端的安全管理，防止外来人员未经允许接入网络，保证内网安全策略的一致性。 新建的网络系统能够满足： u 采用有效的汇聚技术解决广域网的互连问题，主要是通过信道化技术和MSTP 以太网技术解决链路随需求扩展的问题。 u 解决网络的单点故障问题，提高广域网的可靠性及安全性。 u 解决公司员工的网络接入和服务器的高效连接。 u 建成后的网络应能实现各个业务系统之间的网络互相隔离或者可控访问。 u 建成后的网络应能实现局域网用户的鉴权和桌面安全接入。 u 建成后的网络应能提供灵活的接入方式，如SSL VPN方式接入。 第三章 MIS系统设计方案 3.1 网络拓扑结构 整个网络采用星型拓扑结构设计。星型拓扑结构是一种以中央节点为中心，把若干外围节点连接起来的辐射式互联结构。这种连接方式以双绞线或光缆作连接线路。 星型拓扑结构优点：结构简单、容易实现、便于维护管理、便于系统扩展。 根据层次化网络和模块化设计思想的原则，把整个网络体系结构分为以下层次： 核心层－----由2 台网络核心交换机组成。 接入层－----接入层包括办公区的二级交换机，厂区的二级交换机，以及Internet 接入网。它们的网络安全级别是不同的，由防火墙与上网行为进行访问控制。 华电渠东发电有限公司采用横向分区、纵向分层的模块化设计，分为核心交换区、客户端区、互联网区、广域网区、数据中心服务器区等6个区域。 采用两台的Cisco Catalyst 4507R交换机，通过千兆链路连接广域网络边界防火墙、DMZ子区的安全过滤网关、SSL VPN等安全设备，并通过光纤千兆链路连接楼层交换机。 广域网 Internet 核心交换机 上网行为管理 无线AP 防火墙 光电收发器 光电收发器 接入交换机 华电渠东发电有限公司MIS网络拓扑结构图 3.2 网络速率 以太网是在 20 世纪 70 年代研制开发的一种基带局域网技术，使用双绞线缆电缆作为网络媒体，采用载波多路访问和冲突检测（ CSMA/CD ）机制，如今以太网更多的被用来指各种采用 CSMA/CD 技术的局域网。以太网的帧格式与 IP 是一致的，特别适合于传输 IP 数据。以太网由于具有简单方便、价格低、速度高等，被广泛应用到局域网。 根据我公司的实际情况，结合以太网速率的标准，网络速率选型如下： 1、办公楼千兆接入网络、综合楼、检修楼、集控室等各楼宇单元的办公用户全百兆接入网络； 2、两台核心交换机之间使用千兆双机互联； 3、2兆联入广域网； 4、百兆联入互联网。 3.3 网络方案整体设计 3.3.1 核心交换区设计 采用两台4507R交换机做为整个MIS网络系统的核心设备，形成一个高性能转发核心。 3.3.2 用户接入区设计 客户端区主要实现楼层信息点的接入，包括有线接入和无线接入。 3.3.2.1 有线网络设计 办公楼采用结构化布线，每个楼层设弱电间，汇聚水平双绞线，并通过光纤汇聚到中心机房网络区的主配线架，楼层配置Cisco Catalyst2960系列交换机，每台交换机能够实现24或者48个信息点千兆接入，如果某个楼层的信息点较多，也可以利用堆叠技术实现接入多于48个信息点的接入。综合楼、检修楼配置Cisco Catalyst2960系列交换机，每台交换机能够实现24或者48个信息点百兆接入。 3.3.2.2 无线网络设计 对于会议室或走廊等公共区域，主要考虑到来访人员的办公和公司人员的移动办公需要，通过在楼层交换机接入无线AP实现，来实现移动办公。 3.3.3 网络边缘出口设计 防火墙是解决子网的边界或者内部子网之间安全问题、实现网络访问控制的有效解决方法。防火墙的目的是要在高安全等级和低安全等级（可信网络和不可信）的两个网络之间建立一个安全控制点。它通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。它通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网和Internet或内部网不同安全域之间的各种活动，保证了内部网络的安全。 具体地说，设置防火墙的目的是隔离高安全等级网络和低安全等级网络，保护高安全等级网络不受攻击，实现以下基本功能： 禁止外部用户进入内部网络，访问内部机器； 保证外部用户可以且只能访问到某些指定的公开信息； 限制内部用户只能访问到某些特定的Internet资源，如WWW服务、FTP服务、TELNET服务等； 限制内部用户只能访问到内部网络中某些特定资源和服务等； 防火墙已经成为网络安全防范体系中必不可少的重要环节。 在华电渠东发电有限公司网络系统中存在多个互联边界：INTERNET边界、与集团公司互联边界、与施工单位、监理等协作单位互联边界。由于华电渠东发电有限公司与上述互联单位存在比较紧密地数据交换，在一定程度上需要允许访问电渠东发电有限公司数据资源，同时绝对禁止非授权资源的访问，所以访问控制的设计尤为重要。 防火墙采用天融信 NGFW-TG-4324，该防火墙具有6个百兆以太网口，吞吐量达到100M，最大并发连接数为500000，每秒新建连接数为10000。该防火墙支持多达50个虚拟防火墙，本方案配置50个，同时，该防火墙还可以作为VPN网关，默认提供2500个IPsec VPN的拨入。 本方案中虚拟防火墙结构，物理上NGFW-TG-4324的6个百兆以太网口全部连接到核心交换机，通过虚拟划技术，一个NGFW-TG-4324虚拟出4个虚拟防火墙（本方案的配置下可以支持50个）。4个虚拟防护墙分别作为专网、INTERNET、协作单位和局域网核心数据中心的隔离。为了实现外联网络对本网络的有控制的访问，把其需要访问的数据资源部署在各自的DMZ区（如图）。 如：WEB服务器、邮件服务器等部署在互联网防护墙的DMZ区，允许外部用户访问该DMZ区，但绝对禁止进入内网。同样的方法也适用于其它外联用户的访问。 3.3.4上网行为控制设计 上网行为管理产品可助您实现对互联网访问行为的全面管理，可在P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。上网行为管理为您解决以下问题： u 防止带宽资源滥用 通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽，保障OA、ERP等办公应用获得足够的带宽支持，提升上网速度和网络办公应用的使用效率。 u 防止无关网络行为影响工作效率 上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为，并可根据各组织不同要求进行授权的灵活调整，包括基于不同用户身份差异化授权、智能提醒等。 u 记录上网轨迹满足法规要求 上网行为管理产品可以帮助组织详尽记录用户的上网轨迹，做到网络行为有据可查，满足组织对网络行为记录的相关要求、规避可能的法规风险。 u 管控外发信息，降低泄密风险 上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为，从事前防范、事中告警、事后追踪等多方面防范泄密，为组织保护信息资产安全，降低网络风险。 u 掌握组织动态、优化员工管理 上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工，并通过关键字报表和热贴报表来反映员工思想动态。风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理风险，而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态，并以此为基础实施组织文化建设、制度改进等针对性措施，从而提高员工管理水平。 u 为网络管理与优化提供决策依据 上网行为管理产品提供了丰富的网络可视化报表，能够提供详细报告让管理者清晰掌握互联网流量的使用情况，找到造成网络故障的原因和网络瓶颈所在，从而对精细化管理网络并持续加以优化提供了有效依据。 u 防止病毒木马等网络风险 通过部署上网行为管理产品，利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等，从源头上切断病毒、木马的潜入，再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段，实现立体式安全护航，确保组织安全上网。 u 降低成本且有效推行IT制度 上网行为管理产品能够实现用户网络权限的细致分配以及带宽的优化管理，通过事前精细规范、事中智能提醒、事后报表呈现等手段实现有效管理；通过将是否具备上网权限与用户对IT制度的遵从情况进行绑定，强制要求用户遵从组织IT制度里的各项细则规定（如必须安装指定的杀毒软件或桌面管理软件等），并且可以根据组织要求进行各种智能提醒，通过创新技术的应用，让IT管理制度融入每位用户的日常工作中。 3.3.5 数据中心服务器区详细设计 数据中心服务器区为提供各种应用系统的区域（如：财务应用、两票系统、燃料系统等）。该区域设计为各应用服务器双网卡直接互联核心交换机，可提供高速的网络交换访问。 3.4 连接华电国际广域网方案 华电渠东发电有限公司一期工程在基建期已经通过接入路由（Juniper J-6350-JB）和VPN防火墙（天融信 NGFW 4000）和2M的SDH线路连接到华电国际的广域网中。本项目在广域网连接设计中将采用原有的设备和线路。广域网连接的路由配置保持不变，不改变原有连接华电国际广域网的任何配置，只做设备迁移。连接局域网的配置根据新的网络建设IP地址规划、VLAN规划做相应的调整。 3.5 IP 地址分配原则 我公司的外网口地址为222.142.41.197，华电国际分配给我公司内部地址为10.141.8，10.141.9，10.141.68，10.141.69四个地址段。IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。充分利用申请到的地址空间，及考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。 IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将对公司网络的可用性、可靠性与有效性产生关键影响。因此在对IP地址进行规划建设的同时，应充分考虑本地网对IP地址的需求，以满足未来业务发展对IP地址的需求。 IP地址规划遵循以下原则： 1、IP地址的规划与划分考虑到公司网络的飞速发展，能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段； 2、IP地址的分配要有足够的灵活性，能够满足各种用户接入如宽带接入、专线用户等的需要； 3、专线子网中专线用户的IP地址由本网统一分配，用户的地址尽量连续整齐，便于在出口作summary。分配地址块时遵循从大到小的原则：所有路由器的LOOPBACK地址可采用一个单独的网段，并使用32位掩码。 4、整网IP地址分配和路由协议支持VLSM，以充分利用地址空间。支持CIDR，以利于减少路由表大小，提高路由效率。整网网段掩码如下：点到点Link使用30位掩码；LOOPBACK使用32位掩码；根据应用服务器的类型和数量，合理分配服务器区地址空间；根据客户端中部门的数量、部门人员及扩编需要，合理分配客户端区的Vlan的地址空间。 以部门、应用，办公区域为依据，将整个厂区的IP地址划分为7个VLAN和两个互联地址段。 VLAN 1 VLAN 1 作为网络交换机设备的管理VLAN，使网络管理人员能够对网络交换设备进行远程登陆，方便的管理网络交换设备。由于这个地址段不需要到出口，所以可以用私有地址。 地址段 192.168.1.1-192.168.1.254 子网掩码：255.255.255.0 （可用254地址） 从核心开始依次使用上述IP地址，即 核心机房：WS-C4507R-E 主核心：192.168.1.1备核心：192.168.1.2 综合楼：WS-C2960G-48TC-L 综合楼一层192.168.1.3综合楼二层192.168.1.4综合楼三层192.168.1.5综合楼层192.168.1.6综合楼五层192.168.1.7，其他位置的交换机依次排序就可以。 VLAN 10 VLAN 10 作为服务器群的接入VLAN，将服务器群放置在此VLAN中。 地址段 10.141.8.1-10.141.8.64 子网掩码：255.255.255.224 其中10.141.8.1作为双机热备的虚地址——也就是这个VLAN中的计算机的网关地址。 10.141.8.2 ，10.141.8.3 作为两个核心交换机的实地址，分配给服务器的地址可用地址段为10.141.8.4-10.141.8.62 （可用59地址） VLAN 20 VLAN 20 作为财务办公的VLAN，将整个财务办公的计算机放置在此VLAN中 地址段 10.141.8.65-10.141.8.94 子网掩码：255.255.255.224 其中10.141.8.65作为双机热备的虚地址——也就是这个VLAN中的计算机的网关地址，10.141.8.66， 10.141.8.67作为两个核心交换机的实地址，分配给财物计算机的可用ip地址段为：10.141.8.68-10.141.8.94（可用27地址） VLAN 30 VLAN 30作为办公楼计算机接入VLAN，办公楼上除了财务的计算机，其他的计算机都在此VLAN中。（根据部门详细划分内部vlan） 地址段：10.141.9.1-10.141.9.254 子网掩码：255.255.255.0 其中10.141.9.1作为双机热备的虚地址——也就是这个VLAN中的计算机的网关地址，10.141.9.2 ，10.141.9.3作为两个核心交换机的实地址，分配给办公楼的计算机的可用ip地址段为：10.141.9.4-10.141.9.254 （可用251地址） VLAN 40 VLAN 40作为整个工作现场的接入VLAN，工作现场包括：中水、工程师站、集控中心、除灰、脱硫、化水、汽车衡、输煤、凝结水、煤场、铁路办公楼等工作一线。（根据能否上外网详细划分vlan） 地址段：10.141.68.1-10.141.68.126 子网掩码：255.255.255.128 其中10.141.68.1作为双机热备的虚地址——也就是这个VLAN中的计算机的网关地址，10.141.68.2， 10.141.68.3作为两个核心交换机的实地址，分配给生产的计算机的可用ip地址段为：10.141.68.4-10.141.68.126 （可用123地址） VLAN 50 VLAN 50作为检修楼接入VLAN。（根据能否上外网详细划分vlan） 地址段10.141.68.129-10.141.68.254 子网掩码：255.255.255.128 其中10.141.68.129作为双机热备的虚地址——也就是这个VLAN中的计算机的网关地址，10.141.68.130 10.141.68.131作为两个核心交换机的实地址，分配给检修的计算机的可用ip地址段为：10.141.68.132-10.141.68.254 （可用123地址） VLAN 60 VLAN 60作为综合楼等后勤部门，及临建区的接入VLAN。 地址段：10.141.69.1-10.141.69.254 255.255.255.0 其中10.141.69.1作为双机热备的虚地址——也就是这个VLAN中的计算机的网关地址，10.141.69.2 ，10.141.69.3作为两个核心交换机的实地址，分配给视频终端的可用ip地址段为：10.141.69.4-10.141.69.254 （可用123地址） 视频会议路由器直接连到视频终端。Ip为10.141.8.253 互联地址 核心交换机与防火墙或者深信服安全设备之间相连需要互联地址。 地址段：192.168.0.1-192.168.0.254 子网掩码：255.255.255.0 天融信内网口地址192.168.0.1 深信服上网行为管理管理地址192.168.0.2 核心交换机上联口虚地址192.168.0.3 两台核心交换机上联口实地址192.168.0.4 192.168.0.5 10.141.8.97-10.141.8.254地址可以备用 第四章 网络实施方案 4.1 设备命名原则 网络设备命名根据易用、易记的原则进行设计，具体分三类命名。 1、核心交换机Catalyst4507R交换机设备命名分为三部分， 如：C4507R-CORE-1 其中： C4507R 代表设备类型 CORE 代表核心交换机 1 代表设备编号 2、客户端区接入交换机设备命名分为四部分： 如：C2960-AS-CLT--1 其中： C2960 代表设备类型 AS 代表接入交换机 CLT 代表区域 1 代表设备编号 3、防火墙设备命名分为三部分： 如：FWSM-CORE-1 其中： FWSM 代表模块类型 CORE 代表局域网模块 1 代表设备编号 4.2 系统安装调试及方案制定 保证系统调试方案作为工程施工计划的一部分，我们将在开始系统调试前制定方案，共同确认后，方可进行调试。所有调试步骤、方法及技术资料需写纸质文件，形成完整的竣工资料装订成册后方可验收。 系统调试方案的内容包括： l 网络设备基本参数配置（主机名分配规则、网络设备登陆密码分配规则、核心交换机、及接入交换机配置等） l IP地址分配方案（包括核心层网络地址分配、接入层网络地址分配、远程访问层网络地址分配、主机系统网络地址分配、网络设备管理地址分配等） l 网络接口参数配置方案（包括双工模式、封装协议规则、端口数率限定等） l 路由协议配置方案（包括静态路由分配方案、边界地址汇总方案、VLAN间路由配置方案等） l 安全策略配置方案（包括防火墙配置、安全策略定制、访问控制列表制定、数据加密策略、AAA用户认证管理等） 设备安装调试总体计划 设备装调总体计划包含两个方面：其中之一是安装调试进度计划；另一个是安装调试过程计划。 对于安装调试进度，要依据项目总体进度要求，在规定时限内完成项目中所涉及网络设备的安装调试，实现系统的试运行。 安装调试过程计划包含对于具体实施环节、具体设备的实施计划，在制定系统设备的安装调试计划后，由中标方专门的技术人员和业主信息部门业务人员一起制定软硬件系统的测试计划。 设备安装调试总体原则 本项目所涉及的设备安装调试要遵守IT设备装调的一般性原则，同时由于应用的特殊性，还要遵循在用户方施工的特殊原则。 完备的装调准备——在设备装调前，由施工方技术管理人员派发设备装调任务； 装调方案审议——对于不同的设备，由施工方工程师制定相应的装调步骤方案、参数设置方案等，由项目经理和相关实施人员共同讨论，分析设备装调的具体细节和实施难点； 装调的专业性——严格控制设备装调的参与人员，杜绝非技术人员单独操作； 装调的程序性——详细记录设备装调报告，记录装调问题以便及时解决和备案； 设备安装调试准备工作 设备装调的前期要进行充分的准备，在本项目设备装调的准备工作主要有设备的测试准备、全部设备的编码分类统计工作。 项目涉及的主要设备有： 1) 网络路由器、交换机、网络安全设备； 2) 各环节所使用的通讯设备； 考虑到在本项目中会涉及大量设备，为了统一管理和系统实施及维护的便利性，我们建议对网络设备进行统一编码，建立设备档案。使用设备全名的汉语拼音字头、设备所属机构代码、设备类别等进行混合编码，同时在设备编码对照表中附加设备产品序列号字段、设备装调工程师字段、设备维护描述字段等辅助信息。这样可以方便的从编码表中定位设备品名、设备的物理位置、设备使用情况等重要信息，既方便了系统的运营维护、又对本项目的设备管理提供了具体的有益的帮助。 设备安装调试方案 网络系统的安装调试是本项目的主导环节。 网络调试准备及设备初检 网络系统的安装调试准备工作相对较多，详细、精心的准备工作可以使安装调试达到事半功倍的效果。 网络拓扑结构的确定 根据本项目的总体方案，确定设备的物理位置及连接关系。 网络地址的分配 根据本项目的总体的网络地址划分原则、细化公司内所有网络设备及其它主机/工作站等设备的IP地址划分。 路由协议的选择 根据总体方案的设计，选择各层次的网络传输路由协议。 主要设备配置细节规划 对于网络交换设备、网络路由设备等做出相对具体的配置范本。 网络设备安装调试过程： 网络设备安装调试工作是本项目建设的重要步骤，也是工程升级成功的基本保证。在网络设备现场安装调试前必须做好各项准备工作，其中最重要的是实施方案和实施环境的准备。对于实施环境，要满足设备使用的基本要求，同时各种线路应该全部进场(包括专线线路、局域网线路)。 网络设备的现场安装调试涉及运营商端的应用环境和网络连接，由中标方拟定网络连接拓扑方案、网络路由选择方案、网络安全设备配置方案、网络调试计划等文件与业主信息部门及合作运营商的相关人员共同商讨审定，审定的内容包括技术的可行性、人员时间安排、调试测试手段等。这些文档做为所提交的必要文档的一部分交由用户信息部门留存。 网络设备安装调试的参与人员： 1) 信息部门的技术人员 2) 中标方项目实施小组的技术人员 3) 网络运营商的技术人员 4) 第三方设备厂家配合技术人员； 安装环境的确定和测试： 首先要确定网络设备安装的位置，如在网络机柜上的高度、设备上下空间、网络连接线的位置、网络走线方法。测试网络设备安装地点的环境，主要涉及通风散热和用电安全；测试网络线缆的通断情况和传输衰减。要求布线施工人员提交布线测试报告，并抽检局域网线路（或全部测试）。线缆测试方法如下： 1) 使用简易线缆测试设备测试线路的通断情况； 2) 使用专用线路测试仪测试网线传输衰减； 网络设备的安装调试： 1) 完成网络设备的上架固定； 2) 完成网络线缆的连接； 3) 连接网络设备配置终端； 4) 系统安全上电； 5) 按照网络设备调试方案进行通讯参数和地址参数的调整