禾草沟煤矿综自系统方案.doc

禾草沟煤矿综自系统方案 232 2020年4月19日 文档仅供参考，不当之处，请联系改正。 第一章 总体概述 第一节 矿井概况 一、矿井概况 禾草沟井田整合区位于陕西省延安市子长县城西南18km（直距）处。行政隶属子长县余家坪乡、寺湾乡及延安市宝塔区蟠龙镇所辖。井田南距延安75Km，北距榆林市226km。 二、矿井主要技术参数： 1、设计生产能力 矿井建设规模4.0Mt/a，全矿井设计服务年限为30.3a。 2、井田开拓 井田采用斜井开拓方式。矿井初期形成三条井筒，主、副、一号回风斜井的井口集中布置在工业场地内。 3、采煤方法、采煤工艺和装备 根据本矿井煤层赋存具体条件，本矿井采用一次采全高长壁综采采煤法。 本矿井采用下行开采顺序，生产能力4.0Mt/a，根据本矿井地质条件和生产规模，本矿井初期开采5号煤层，矿井初期在5号煤501盘区装备2个国产长壁综采工作面、4个综掘工作面达到4.0Mt/a生产能力。 4、通风系统 本矿井为低瓦斯矿井，矿井资源整合后初期采用中央并列式通风方式，抽出式通风方法进行通风，由主、副斜井进风，一号回风斜井出风。 5、井下运输系统 主运输采用带式输送机,井下辅助运输采用无轨胶轮车。 6、排水系统 矿井排水系统由井下主排水泵房和主水仓组成。井下主排水泵房及主水仓位于副斜井井底附近。 主排水设备选用3台MD450-60×4型矿用耐磨多级离心式水泵，每台水泵选配YB560M1-4型隔爆电动机1台，功率500kW，电压10kV，同步转速1500r/min，效率95%。井下主排水泵房采用3台水泵2趟管路排水系统，矿井正常涌水量1台工作，1台备用，1台检修；最大涌水量时2台同时工作。 排水管路选用Ф325×8无缝钢管，矿井正常涌水量时1趟工作，1趟备用;最大涌水量时2趟同时工作。 7、压缩空气系统及制氮设备 在工业场地主斜井井口附近建空气压缩机站一座，利用原有1台LGFD-22/8D型双螺杆固定式空气压缩机，同时另新配置3台LG-27/8G型螺杆式空气压缩机，共4台空气压缩机；其中新增加的3台工作，矿井原有的1台备用。 制氮设备选用井下移动式碳分子筛变压吸附制氮设备。 8、地面生产系统 禾草沟选煤厂是禾草沟矿井配套的矿井型选煤厂。选煤厂规模为4.0Mt/a。厂址与禾草沟矿井同处一个工业广场。本厂原煤入洗上限为50mm，下限为0mm。50mm～0.5mm混煤分选方式为不脱泥无压三产品重介旋流器分选工艺。–0.5mm煤泥分选方法为浮选机。 9、地面运输 矿井煤炭初期采用公路运输，后期根据外运情况及时修建铁路专用线。 10、供电 在本矿井工业场地内建一座35/10kV变电所，其二回35kV电源均引自羊马河110kV变电站35kV不同母线段。正常运行时，两回线路一回运行，一回热备用。 第二节 设计原则及依据 一、设计原则 1、先进性、成熟性和实用性 使用先进、成熟、实用和具有良好发展前景的技术，使得各个子系统具有较长的生命周期，不盲目追求高档次，既能满足当前的需求，又能适应未来的发展（包括设备和技术两方面内容）。 2、安全性、可靠性 把安全放在第一位，建立高效稳定的系统，能提供全年365天，一天24小时的不停顿运作。对于安装的服务器、终端设备、网络设备、控制设备与布线系统，必须能适应严格的工作环境，特别考虑要适应煤矿井下恶劣的客观环境，以确保系统稳定。 3、易操作性 先进且易于使用的图形人机界面功能，提供信息共享与交流、信息资源查询与检索等有效工具。 4、高效率性 注重各子系统的信息共享，提高整个系统高效率的传输与运行能力。 5、实时性 设备和终端必须反应快速，充分配合实时性的需求。 6、完整性 提供与各种外界系统的通信功能，确保信息的完整性并充分利用在整体系统的运作上。 7、可查询性 提供易于使用的数据库功能，让使用者能随时查询信息及制作所需的报表。 8、互联性和可扩展性 把矿井各子系统有机结合起来，满足信息层结构中各层之间信息沟通，增加各子系统之间的互联性和可扩展性，充分考虑将来需求的成长空间，所提供的系统平台与技术应充分配合未来功能及扩充项目的需求，以避免将来重复的投资。标准化、结构化、模块化的设计思想贯彻始终，奠定系统开放性、可扩展性、可维护性、可靠性和经济性的基础。 二、设计依据 本项目的设计、制造、实施均执行最新版国家标准（GB）和行业标准。 n 《煤矿安全规程》 n 《煤炭工业矿井设计规范》 n 《煤炭洗选工程设计规范》 n 《通用用电设备配电设计规范》 n 《电子计算机房设计规范》 n 《建筑物防雷设计规范》 n 《煤矿安全生产监控系统通用技术条件》 n 《煤矿安全监控系统使用与管理规范》 n 《爆炸性环境用防爆电气设备通用要求》； n 《爆炸性环境用防爆电气设备 防爆型电气设备》； n 《爆炸性环境用防爆电气设备 本质安全型电路和电气设备》； n 《煤矿通信、检测、控制用电工电子产品 通用技术条件》； n 《煤矿监控系统总体设计规范》； n 《煤矿监控系统中心站软件开发规范》； n 《煤矿监控系统性能测试方法》； n 《矿井防灭火规范》； n 《矿井通风及安全装备标准》； n 《矿井通风安全监测装置使用管理规范》。 n 《煤炭工业给排水设计规范》 n 《火灾自动报警系统》 n 《煤矿井下采掘作业地点气象条件卫生标准》 n 《矿山安全条例》 n 《爆炸和火灾危险环境电力装置设计规范》 n 《爆炸危险场所安全规定》 n 《邮电部网管系统技术规范》 n 《中国国内电话网No.7信号方式技术规范（暂行规定）》及补充规范 n 《国内No.7信令方式技术规范综合数字网用户部分（ISUP）暂行规定》 n 《CSTA 179/180协议》 n 《软件开发规范》 n 《计算机软件可靠性和维护性管理》 n 《计算机软件质量保证计划规范》 n 《中华人民共和国公共安全行业标准》 n 《建筑电气设计规范》 n 《电气装置安装工程施工及验收规范》 n 《信息技术设备包括电气设备的安全规范》 n 《安全技术防范规范工程程序技术规范》 n 《煤矿安全装备基本要求》 n 国际标准化组织（ISO） n 国际电工委员会（IEC） 其它国家、地区相关规定等。 第三节 工程范围 矿井综合自动化系统工程范围包括： 1、矿井信息化系统网络平台 2、矿井综合自动化系统网络平台（含监控软件平台）； 3、生产自动化子系统； 4、工业电视监控系统； 5、大屏幕显示系统； 6、安全监测监控系统； 7、矿压监测系统； 8、束管监测系统； 9、人员定位安全管理系统； 10、矿井通信系统； 11、胶轮车运输监控系统； 12、井下安全广播系统； 13、生产调度指挥中心机房建设。 本工程包括上述各系统软硬件及其传输线缆等设计、采购、施工、安装、调试等。 第四节 矿井综合信息化系统概述 为满足矿井安全生产的需要，提高矿井管理和控制水平，矿井需要建立生产自动化系统、安全监测监控系统、束管监测系统、人员定位管理系统等各子系统，以完成对矿井环境、设备和人员有效监测与控制，同时经过建立辅助调度系统(包括生产调度通信系统、工业电视监控系统及大屏显示系统等各子系统)实现矿井生产实时监测与调度。 从理论上讲，建立以上各个子系统后，基本上能够满足矿井安全生产的要求。可是，由于以上各个系统之间是相对独立的，相互间数据不能共享，不能深度挖掘各子系统数据的潜在意义，不能整合、统计和分析各子系统的有效数据，也就是说经过以上系统的构架在一定层面上还远远不能满足现代化矿井的建设目标，不能满足矿井的有效管理，包括对矿井设备管理和一定成本核算管理等。 那么如何去解决这个问题?需要怎样的系统构架才能很好的实现矿井"数字化"。 矿井综合信息化系统又称为CIMAS(Computer Integrated Coal Mine Automation System)，利用现代控制技术、现代计算机技术、现代网络技术、现代通讯技术和现代图形显示技术，将煤矿工业的过程控制与企业管理有机地结合的多级分布式计算机网络。经过计算机网络把煤炭企业的管理、计划、决策和煤炭销售、设备购置及底层设备控制、设备维护等信息结合起来，实现了管控一体化，消除传统煤炭工业生产、管理、控制中的信息孤岛。充分利用资源、减少浪费、降低生产成本，提高煤炭企业的全员效益，在最大程度上创造高利润。 矿井综合信息化系统采用三层体系结构：基础自动化层、数据处理层和管理层。见下图。 基础自动化层：即矿井各监控及自动化子系统，经过传感器技术、现场总线技术、工业以太网技术、计算机技术、工业组态技术以及数据库技术等，实现各生产系统、辅助生产系统、安全监测系统等的实时监测监控及数据采集、上传。 数据处理层：矿井自动化实时数据经过PLC采集现场数据，再从组态软件从各PLC控制器采集数据并形成组态监测控制画面。企业管理信息平台经过数据挖掘过滤有效生产实时数据存储到业关系型数据库中，为数据决策分析提供分析基础。 管理层：对控制层提供的安全、生产信息做进一步的分析和整理，为矿井安全、生产管理与经营决策提供支持，并与矿井计算机管理系统进行信息交换，实现矿井管控一体化的建设目标。 建立一个快速、安全、运行可靠的矿井综合自动化系统网络，采用工业以太网技术，为控制层和管理层的大量信息流动提供传输通道的支撑。 第五节 工程目标 根据管控一体化思想，结合工业自动化技术、信息化技术、嵌入式技术、网络技术和通讯技术等一系列现代化手段，同时经过对矿井生产安全、井巷工程等信息的广泛利用和深度开发，搭建禾草沟矿井综合自动化系统网络平台。解决所有子系统传输物理通道和接入问题；对所要求子系统进行数据采集、处理、存储、发布，完成一个信息集中管控/网络发布平台，实现生产、管理等环节的信息交流和资源共享，实现文字、数据、语言、视频、图像、图形等多媒体的传输和处理，达到自动监控、监测和检测生产过程，实现高层决策、管理和生产过程无缝连接，全面提升矿井自动化水平，并最终实现建立高产、高效的数字化矿井的目的。 建设目标： Ø 综合自动化系统由地面集控中心、地面工业以太环网、井下工业以太环网和设备控制层组成。系统建成后，可实现矿井主要生产环节（如：原煤生产、运输、提升、供电、通风、压风、排水、选煤厂等）的远程集中监控。 Ø 在实现对矿井主要生产环节集中监控的同时，建设一套包括：工业电视监控系统、大屏幕显示系统、安全监测监控系统、人员定位管理系统、通信系统等在内的煤矿生产经营综合自动化管理平台，实现整个矿井的生产信息、管理信息的集成化管理，最终实现建立高产、高效的数字化矿井的目标。 第二章 矿井信息化系统网络平台 第一节 网络总体设计 禾草沟煤矿是一个新型的现代化矿井，将设计并部署完整的煤矿企业信息化管理网络平台，为未来煤矿产品的销售信息、物资采购信息和库存信息、财务管理信息、生产调度信息、安全管理信息、企业接入Internet上网业务为核心的企业计算机管理信息化系统提供硬件传输平台。 从应用上来看，禾草沟煤矿企业信息化管理网络将主要承载的是企业内部办公业务管理信息，随着企业信息化管理水平的不断提高，办公应用的逐步丰富，还将包括在网络平台上传输视频会议、VOIP等视频、语音多媒体业务数据。信息化管理网络的主要需求有： Ø 性能需求：网络结构采用技术成熟的星型以太网交换结构，满足用户数据传输的带宽要求。网络的骨干采用千兆光纤（1000Mbps）互联，接入层使用百兆（100Mbps）带宽到桌面的高性能网络； Ø 应用需求：建立可满足多种应用的高质量信息网络，其应用除包括日常办公、安全、生产、经营外，还担任着矿区内外信息交流等业务。同时还要满足矿井行政、调度电话及计算机管理、监控、Internet上网等语音、数据、图像数据的接入和传输； Ø 网络管理需求：建成的网络要求可进行集中式、可视化图形管理，可发现网络拓扑，网络管理员可及时发现网络故障点并予以排除，并可及时隔离非法访问用户，以保证整个网络高效、安全、可靠的运转； Ø 安全需求：一方面要保证企业内部关键设备、关键数据、关键应用的安全，禁止未经授权的非法用户访问；另一方面又要求网络能有效隔离各子网之间未经授权的相互访问，杜绝非法及越权访问；同时有效预防、发现、处理异常的网络访问，确保办公网承载的各项业务访问正常，保证企业对Internet的安全、可靠访问； Ø 多业务的快速接入：设计建成的信息网络的具有良好的扩展性，能满足未来网络应用业务接入的需要，同时对网络系统中各应用业务所发生的有关事件的记录与审计； Ø 实现标准的网络综合布线。根据各个业务科室的实际需要，本着经济、合理、适用的原则进行线路铺设，数据信息点与语音信息点采用适当的标准化接口模块予以满足。 根据禾草沟煤矿网络项目的需求，总的设计思想是核心、汇聚、接入三个层面的星型网络设计。核心交换机提供多种冗余方式，支持万兆以太网。接入交换机具有高交换能力，端口密度高，支持带宽控制，与企业信息化网络骨干连接后能够保证系统的可靠运行，而且能为日后的网络骨干升级预留空间，保证后期设备的维护和升级。 安全性也是公司网络设计方案重点对象，把安全性和VPN服务与可扩展服务架构有机地结合在一起。作为自防御网络的核心设备，要能够提供主动威胁防御，在网络受到威胁之前就能及时阻挡攻击，控制网络行为和应用流量，并提供灵活的VPN连接。保护公司网络提供广泛而深入的安全功能，还能降低实现这种安全性相关的总体部署和运营成本及复杂性。 根据禾草沟煤矿现场实际情况，以办公楼生产调度指挥中心机房为核心层，职工宿舍、联合建筑等为汇聚层。 网络建设主要包括以下内容： Ø 整个矿区网络交换平台的构建： 建设禾草沟煤矿企业信息化管理平台，构成千兆骨干网，百兆到用户桌面的网络系统。 Ø 与互联网Internet的联网：使用高性能路由设备，实现企业信息化管理与国际Internet互联，实现企业上网及办公业务； Ø 网络安全部署：部署网络安全防火墙设备，制定网络安全制度与策略，加强网络安全管理，经过对企业信息网络结构安全性的设计，使网络上各业务系统的数据在逻辑上是完全独立的，在允许权限范围内提供网络连接服务，与综合自动化内部网络系统经过网络安全设备隔离，保障各自网络系统的安全。 Ø 网络管理：配置网络管理系统，对矿井网络设备集中管理、集中控制，使网管人员实现对网络设备的运行状况、故障的监控，形成诊断管理平台，保证网络畅通。 第二节 网络拓扑结构设计 核心层，是一个高速的交换式骨干，它的设计目标是使得交换分组所耗费的时间延迟最小，在园区网的各个汇聚层设备之间提供高速的连接。 汇聚层，是核心层和接入层的分界点，包括以下几大功能：地址或区域的汇聚、将楼层或工作组的访问连接到骨干、广播/组播域的定义、VLAN间路由选择、安全策略接入层，是本地终端用户被许可接入网络的点。 接入层，一般2层交换机在接入层中起非常重要的作用。包括下列功能：线速转发、交换带宽、MAC层过滤。 具体的网络部署描述如下：以一台Cisco C4507R-E核心高性能第三层千兆以太网交换机作为骨干核心交换系统，向下部署6台Cisco WS-C3750G-24PS-S部门级交换机，部门级交换机再向下部署30台Cisco WS-C2960-24TC-L工作组级交换机，骨干交换机至部门级间连接采用采用千兆光缆连接，部门级交换机至工作组级交换机间连接采用百兆铜缆连接方式，网络系统覆盖全矿区各位生产职能部门，经过划分VLAN，区分各职能部门间的网络隔离，建立安全的网络访问环境，根据需要经过核心交换系统的第三层路由交换，转发部门间信息包，同时防止广播风暴及屏蔽不安全访问；网络系统与外部连接经过配备一台Cisco 3825路由器实现与Internet及煤业集团公司的高速联网，考虑对外部网络的安全，在在核心交换机与接入路由器之间配备Cisco ASA 5520防火墙，实现数据过滤和内网安全保护；基于便于网络系统集中管理的考虑，配备cisco公司的网络管理软件Cisco Works 网际管理软件。 在企业信息化管理中，设计配置2台IBM 3850及1台IBM 3650网络应用服务器，满足企业数据库、杀毒、WEB发布、备份、网络管理等应用，所有服务器与千兆核心交换机连接。为企业信息化提供快速服务平台 禾草沟煤矿信息化网络拓扑结构图 第三节 设备配置及选型设计 网络设备的稳定性和技术的先进性对信息网络系统的良好运营起着至关重要的作用，也是保证用户利益的先决条件。根据网络建设需求，选择厂家的主要依据如下： l 设备的设计思想和采用技术的先进性，包括参入国际标准化组织和相关委员会的程度。 l 产品系列的齐全程度，包括网络产品和相关应用产品。从而保障技术的兼容性和实现统一管理。 l 新产品和新技术推出的频度。直接反应了厂家的研究和开发投入的程度。 l 设备工业技术指标。要求达到当今社会先进水平，这在技术飞跃发展的IT产业尤为重要。 l 厂家的服务体系、在国内是否有保税仓库。特别是厂家对中国用户的实际服务水平和用户的评价。 l 厂家软件开发实力，重点是网络操作系统。保障以软件升级为主，从而更好地保护投资。 l 厂家的市场的占有率。厂家的市场占有率已被美国贝尔实验室定为判断技术优劣的标准之一。 l 技术时间淘汰率。即在一定的时间范围内，技术保值程度，特别是厂家经过软件升级的保障技术寿命的能力。 l 设备的维护成本、培训成本、升级成本等综合成本，从而全面的评价性价比。 设备制造厂商的选择 本次选择了美国思科（Cisco）公司作为网络系统设备的制造厂商。 几乎在所有IT的国际标准化组织或委员会中都有Cisco的专业人员，Cisco是当前主流IP技术的发起人，因此其拥有的技术领先于其它公司。 Cisco的产品线是当前网络设备厂商最长的，当前以每个月增加一个产品品种的速度发展。其产品线几乎覆盖了网络所需的全部，更为重要的是覆盖了网络以上大部分应用。因此，选择Cisco不但保障了技术兼容的一致性，而且保障技术发展的一致性。 Cisco公司采用的是长期发展的战略，Cisco表现为收购其它网络公司，而不是被其它公司收购，从而保障对用户持续的技术支持和服务。 Cisco具有完整的服务体系，这种服务体系表现在售后服务上，而且表现在定期网络专家会诊、网络优化服务、成系列的培训体系、工程实施期服务、工程后服务、各种响应服务。特别重要的是Cisco在国内设有备品、备件的保税仓库，不但实际能够保障服务及时性，而且保障了服务的经济性。 Cisco的网络设备的操作系统IOS是最广泛的操作系统，反应了Cisco公司的软件研发能力和网络软件升级能力，软件的适应性基本同市场和技术的发展同步。 Cisco公司绝大部分设备的市场占有率无论在世界还是在中国均排名第一，在中国有许多成功的案例，特别是在电力及企业的成功案例排名各家之首。 由于Cisco设备广泛地使用、服务体系完善、技术淘汰率低，使网络综合成本降低，特别是维护成本由平均的30%降低为15%。 考虑到此网络系统的长期使用运营，投资保护不容忽视。在网络设备方面我们选择了美国思科（CISCO）公司提供所需产品，美国商业周刊的全美1000家最优公司中，CISCO列第2位，仅次于MICROSOFT；因此我们建议选用CISCO公司的网络产品作为本次项目的首选设备 核心层的设计 核心层应该具有高带宽传输能力、高容错性能、高密度和高速率接入等特性，主要任务是以尽可能快的速度交换分组，应当选用具有足够快速度的高性能第三层交换机，而且这些高性能第三层交换机之间的连接要具有足够的带宽。 核心层是网络高速交换的骨干，被设计成尽可能高速交换包，提供以下功能： l 具有高可靠性 l 低延时和良好的可管理性 l 避免使用减慢包处理的进程，如访问列表包过滤等 l 具有界定一致的网络直径 l VLAN之间的路由 l 安全、服务等各项策略的实现 针对于网络系统的具体情况，核心层交换机我们选择能同时满足核心层和汇聚层功能的交换机，由于可能会有网络安全的需要，因此核心层需要考虑提供访问控制能力，要求能提供基于源IP地址和目的IP地址，TCP和UTP的端口进行过滤，提供3/4层的交换能力。 根据以上的设计思想，在网络中心，我们配置了一台美国Cisco公司的Catalyst 4507R作为系统的主干交换机，并配备相应的千兆模块组成高性能、高可用性、可靠性的核心。Cisco Catalyst 4507R-E交换机具有7个插槽，具有丰富的交换板卡，支持千兆以太网光纤接口（GBIC/SFP）或者RJ45口最多可达240个，支持2个10Gb X2的接口模块。C457R-E背板交换能力高达320Gbps，支持以太网供电（PoE），同时也支持引擎冗余和冗余（1+1）热插拔电源设计，提高核心设备的可靠性。 在本方案中我们配置的引擎是CISCO公司新推出的Cisco Catalyst4507R-E系列的第四代引擎WS-X4515，可提供整个设备64Gbps的交换容量和48Mpps的包转发率。 核心交换机配置1个WS-X4418-GB千兆光模块接口板，该板带有18个GBIC扩展插槽，能够支持1000M的SX、LX、ZX的光接口适配器，传输距离最远可达80KM，并配置16个千兆多模光纤接口（GBIC）用于与多个楼层配线间汇聚交换机进行高速互联。 核心交换机配置WS-X4424-RJ45板卡，提供24个千兆电口模块，实现与管理PC、服务器、防火墙等电口设备的千兆连接。 Cisco Catalyst 4507R-E机箱模块端口配置说明 模块插槽 模块及端口说明 备注 1 WS-X4424-RJ45，24个10/100/1000M RJ45接口 能够与网管、服务器、防火墙等互联 2 WS-X4418GB，18个千兆光纤接口模块， 可与汇聚交换机互联 3 WS-X4515 主控模块 4 WS-X4515 冗余主控模块 5 空 预留 6 空 预留 7 空 预留 Catalyst 4500的Catalyst集成式安全特性 利用Catalyst 4500的Catalyst集成式安全特性，能够轻松地预防常见的第二层安全威胁。各种威胁和防止网络遭受袭击的安全特性如下: l MAC 地址泛洪 MAC地址指主机设备的物理地址。交换机的正常行为是在地址表中填写每个到达包的源地址和端口。去往未知目标MAC地址的帧由VLAN上的每个端口发出。这就是交换机或桥接器在第二层执行转发、过滤和学习机制的方法。交换机具有固定的内存空间存储MAC地址。试图造成该表泛洪或溢出的袭击将利用交换机内的在MAC地址学习功能和转发行为。这种袭击将利用这种自然硬件限制，向交换机发送海量未知MAC地址，让交换机学习。可是，一旦达到了第二层转发表的极限，包就会泛洪到VLAN的所有端口，使黑客能够经过交换网络盗取网络连接，进而破坏网络性能。 预防 端口安全特性是一种动态特性，可用于限制和识别允许访问同一物理端口的站点的MAC地址。当某端口分配了安全MAC地址，或者动态学习完成之后，端口将禁止转发该源地址范围之外的包。经过端口安全特性限制交换机端口上允许的MAC地址的数量，有助于防止网络遭受MAC地址泛洪袭击。 DHCP 服务器欺骗和中间人袭击 网络袭击者一般使用恶意DHCP服务器发出IP主机地址，并将其作为默认网关，在两个端点之间重新转发正常流量，从而窃取这两个端点之间的所有流量。因此，这种袭击也称为中间人袭击。 预防: DHCP 监听 所有第二层端口都能够支持思科已获专利的DHCP监听特性。该特性能够为合法DHCP服务器规定可信端口，使之接发这些服务器的DHCP请求和信息。 截获VLAN中的所有DHCP消息后，交换机能够作为用户与合法DHCP服务器之间的小型安全防火墙。 基于地址解析协议（ARP）的中间人攻击 地址解析协议（ARP）的最基本的功能是允许两个站点在LAN网段上通信。 攻击者可能会发送带假冒源地址的ARP包，希望默认网关或其它主机能够承认该地址，并将其保存在ARP表中。ARP协议不执行任何验证或过滤就会在目标主机中为这些恶意主机生成记录项，从而提高了网络易损性。当前，恶意主机能够在端点毫不知情的情况下窃取两个端点之间的谈话内容。攻击者不但能够窃取密码和数据，还能够偷听IP电话内容。 预防: 动态ARP检测 这种攻击能够经过已获专利的思科安全特性 -- 动态ARP检测（DAI）有效预防，这种方法能够保证接入交换机只传输“合法”的ARP请求和答复。DAI能够截获交换机上的每个ARP包，检查ARP信息，然后再更新交换机ARP高速缓存，或者将其转发至相应的目的地。 IP主机欺骗 IP地址欺骗攻击者能够模仿合法地址，方法是人工修改某个地址，或者经过程序执行地址欺骗。互联网蠕虫能够使用欺骗技术隐藏攻击原发地。 预防: IP源防护 利用IP源防护特性，攻击者将无法冒用合法用户的IP地址发动攻击。该特性只允许转发有合法源地址的包。 总结 Catalyst 4500 模块化交换机具有足够的专用硬件资源，不但能实施这些第二层安全特性，还能实施本文未加介绍的许多其它安全特性。这些安全特性如下图所示。 Catalyst 4500的Catalyst集成式安全特性 分布层（汇聚）设计 分布（汇聚）层是访问层和核心层的分界点，而且用来分辨和区别骨干。提供基于策略的连接，包括下面几项功能： l 区域的聚合 l 部门和工作组的访问 在网络系统中，汇聚层交换机我们选择了Cisco公司的千兆交换机：Cisco Catalyst 3750G系列。 分布（汇聚）层交换机经过1000M光纤分别连接核心交换机上,构成强健的骨干连接。 Cisco Catalyst 3750 是Cisco公司具有固定端口的高性能交换机，本次选择主要的型号： Cisco Catalyst 3750G-24PS : 24个10/100/1000M标准RJ45接口，支持802.1af POE供电，4个SFP光纤扩展槽 本次我们需要Cisco Catalyst 3750G-PS 交换机6台。 接入层设计 接入层交换机是边缘设备，是终端站接入网络的第一层。接入交换机能够采用双1Gbps连接汇聚交换机以实现链路冗余与负载均衡，形成具有预防单点故障的冗余网络； 经过QoS为关键任务网络流量分发优先级，从而尽量靠近网络入口对流量进行分类和排队； 经过802.1x,、端口安全性、DHCP侦听、动态ARP检查及IP源保护等工具增加安全性，从而更有效地防止非法网络访问；支持STP、RSTP和MSTP，提供Layer-2的快速收敛。 接入层我们选择了Cisco 2960-24TC-L智能以太网交换机，它是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，有助于提供增强LAN服务。Catalyst 2960具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。 Cisco Catalyst 2960系列提供了以下优势： l 为网络边缘提供了智能特性，如先进的访问控制列表 (ACL)和增强安全特性。 l 双介质上行链路端口提供了千兆以太网上行链路灵活性，能够使用铜缆或光纤上行链路端口。每个双介质上行链路端口都有一个10/100/1000以太网端口和一个SFP千兆以太网端口，在使用时其中一个端口激活，但不能同时使用这两个端口。 l 经过高级QoS、精确速率限制、ACL和组播服务，实现了网络控制和带宽优化。 l 经过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制，实现了 网络安全性。 l 经过嵌入式设备管理器和思科网络助理，简化了网络配置、升级和故障排除，可作为中型市 场或分支机构解决方案的一部分。 l 使用Cisco Smartports自动配置特定应用 互联网接入路由器设计 网络服务商采用光纤等链路方式接入网络中心，网络中心经过路由器以及防火墙之后接入核心交换机，核心交换机再经过光纤链路与汇聚交换机连接。 为了满足电信部门互联网的接入，同时考虑未来与总部网络的专线接入，鉴于此，我们采用Cisco 3825路由器来作为整个网络的边缘接入。 思科系统公司®推出了一个全新的集成多业务路由器系列，它进行了专门的优化，可安全、线速地同时提供数据、话音和视频服务，重新定义了最佳大型企业和中小型企业路由。模块化Cisco® 3800系列集成多业务路由器建立在思科20年的领先地位及创新技术的基础之上，智能地将数据、安全性和话音服务内嵌于单一永续系统，能快速、可扩展地提供关键任务业务应用。Cisco 3800系列的独特集成系统架构提供了最高业务灵活性和投资保护。 1、Network module slot 2 2、Screw holes for grounding lug 3、Network module slot 1 4、HWIC slot 3 5、HWIC slot 1 6、HWIC slot 2 7、HWIC slot 0 8、Console and auxiliary ports 9、Gigabit Ethernet ports 10、Slot for optional SFP module Cisco 3825 路由器有2个10/100/1000M的固定RJ45端口和1个复用的SFP光纤接口。4个广域网插槽， 每个插槽可支持 HWIC， WIC， VIC， 或VWIC 模块，2个局域网扩展插槽， 支持 NM 和 NME网络模块。丰富的接口模块完全满足各种的互联接入。 网络拓扑及配置的分析 经过设计之后，我们对网络拓扑进行了细化。如下： 说明： 核心交换机配置1块X4418-GB的光纤模块板，该板具有18个光纤接口，配合Cisco GBIC光纤模块使用，支持SX、LX、ZX模式以千兆速率传输不同距离。由于核心交换机与汇聚交换机之间为单模光缆，因此我们选择了16块WS-G5486这个1000M单模模块分别与个个楼内的汇聚交换机互联。核心交换机再配置一块WS-X4424-GB-RJ45模块，该模块具有24个10/100/1000M的标准RJ45接口，能够满足网管机、服务器以及防火墙等设备的接入。 各个楼宇中部署Cisco Catalyst3750G-24PS-S作为汇聚交换机；每台汇聚交换机配置一块千兆单模模块（GLC-LH-SM）经过光纤上联核心交换机。 接入交换机采用Cisco Catalyst2960-24TC-L交换机，她具有24个百兆RJ45端口和2个复用的10/100/1000M RJ45接口或SFP光纤端口，利用2个千兆的上联端口，采用端口聚合技术能够与汇聚交换机之间形成2G的连接带宽，消除链路瓶颈，加速数据的传输。 核心交换机与防火墙之间经过千兆电口连接，同时在防火墙上启用NAT。同时利用防火墙的DMZ特性建立对外的信息发布（如：企业网站、Email服务、FTP文件服务等）。开启IPS功能过滤非法入侵的网络流量等。 防火墙与路由器之间采用千兆连接。路由器的另一个千兆电口和运营商的线路连接实现互联网的接入。在未来，如果接入集团网络可采用给路由器上加载网络模块来实现。 服务器 实时数据服务器采用IBM X3850。 技术参数： 2*Intel四核Xeon E7520处理器(1.86GHz, 18M缓存)，可扩至八路处理器，标配2块内存板，16GB(4x4GB) 1066MHz DDR3内存，3*146G 2.5"SAS热插拔硬盘。最大可扩充至3TB，主机带两个千兆以太网卡，2*1975w热插拔电源，4U机架式，DVD光驱，3×7×24。 历史数据服务器、WEB服务器均为单独一台服务器，网管服务器、防病毒服务器共用一台服务器，均采用IBM X3650。 技术参数： 六核英特尔至强处理器E5649 2.53GHz(12MB三级缓存，最高支持1066MHz内存频率，5.86 GT/s QPI), 可扩展至2个处理器。2x4GB 1.35V DDR3 RDIMM内存，高达18个内存插槽(每处理器配置9个内存插槽)。4个PCI-Express x8二代插槽；4个x8插槽经过可选的扩展卡可转换为2个x16插槽；经过可选的扩展卡支持PCI-X。3*146G 2.5“SAS热插拔硬盘；开放式硬盘托架, 最多支持16个2.5英寸热插拔硬盘托架；标配8个，经过选件扩展至16个。集成双口千兆以太网，支持网络唤醒、网络卸载引擎（TOE）等网络高级特性。DVD光驱。460W高效率热插拔电源，可选冗余。ServeRAID M5015阵列卡，支持RAID0、1、5,可选RAID 6。集成IMM, 可选的Virtual Media Key用于远程呈现支持，光通路诊断面板(对处理器、VRM、内存、硬盘驱动器、电源及风扇关键部分的故障进行快速诊断 第四节 网络安全性设计 一、互联网安全防火墙设计 防火墙作为网络安全体系的基础设备已经成为信息系统的标准配置产品。防火墙位于内网和外网的接口处，属于风险较大的边界区域，此处防火墙保护策略如下： 在外网和内网之间进行基于时间、TCP/UDP协议和端口的多种访问控制措施，即对不同服务器只开放相应的访问时间、协议和服务端口，例如www服务器为80端口，SMTP服务为25，POP服务是110，关闭其它响应端口，避免给黑客留下安全漏洞；同时能够针对目的地址，过滤反动的或不健康的站点。 实现细粒度的应用级控制，对高层应用（http,ftp,smtp,pop,nntp）作详细的过滤，如控制用户访问页面路径，过滤java,vbscript组件和邮件，控制用户读写权限等； 实施对公开服务器监控，对来自internet的违规模式和非法访问尝试进行智能识别，纪录和跟踪，阻止黑客的扫描攻击； 所有访问事件做详细审计，并纪录到日志文件，以备管理员分析； 提供MAP（网络地址映射）的安全机制，把公开服务器的地址映射到防火墙的外部端口，internet用户经过防火墙可直接访问服务器，这样隐藏了公开服务器区的网络结构。 采用NAT（网络地址翻译）。NAT允许专用网络在内部使用任意范围的ip地址，而对于公用的internet则表现为有限的公网ip地址范围。由于内部网络能有效地与外界隔离开，所 以NAT也能够对网络的安全性提供一些保证 对内部网机器做IP、MAC地址绑定（或用户和MAC地址绑定），如果源IP 的MAC 地址与配置表中的MAC 地址不符，则禁止该IP访问。对于不在配置表中的IP，有两种策略：一是不在配置表中的默认拒绝，二是不在配置表中的默认允许。 采用认证机制实现用户认证，阻止非授权用户进入网络，从而保证网络系统的可用性。 能够实现内容过滤功能。 此次方案中，部署1台思科ASA5520-AIP20防火墙，以提高网络安全性。ASA5520具有4个10/100/1000M的电接口和一个SSM的扩展插槽，此插槽可支持思科ASA 高级检测和防御（AIP）模块和内容检测及防病毒模块（CSC）。 为Cisco ASA 5500 系列自适应安全设备开发的思科®高级检测和防御安全服务模块（AIP-SSM）能够主动提供全特性入侵防御服务，在网络受到影响之前就及时阻止恶意流量， 包括蠕虫和网络病毒。 AIP-SSM入侵防御服务 利用Cisco IPS Sensor Software 5.x，Cisco A