自来水厂网络信息综合布线设计方案建议书.docx
《自来水厂网络信息综合布线设计方案建议书.docx》由会员分享,可在线阅读,更多相关《自来水厂网络信息综合布线设计方案建议书.docx(42页珍藏版)》请在冰豆网上搜索。
自来水厂网络信息综合布线设计方案建议书
自来水厂网络信息综合布线设计方案
建议书
目录
第一节系统方案介绍
1、方案目标
2、设计原则
第二节网络系统建设方案
1、网络系统设计原则
2、网络拓扑图
3、设计方案简介
4、总体方案的优势
第三节产品介绍
1、服务器
2、防火墙
3、主交换机
4、楼层交换机及参数说明
第四节设备报价清单
第一节系统方案介绍
1、方案目标
##市自来水公司的信息化建设属于初级阶段,随着##市自来水公司业务系统的不断升级和增加,建设稳定安全的网络环境,使管理更加规范化、现代化,实在轻松管理,并能充分利用现有资源来有效提升企业的无形资产,从而带动整个企业迅速发展。
该项目的总体目标是:
(1)建设一个可保障性的网络平台
(2)真正提高工作效率、促进工作效果
(3)管理规范化
(4)最大化的利用现有资源
(5)建立网络平台、业务平台和企业应用、办公自动化系统
二、设计原则
##市自来水公司系统设计的原则是系统在满足各种信息处理功能需求的前提下,为了提高系统的各项性能指标所应遵循的规则。
遵循这些规则不仅可以提高系统整体性能,还能延长整个系统的使用寿命。
结合##市自来水公司的实际情况,本方案遵守以下设计总则:
1、先进性原则
采用当今国内、国际上先进和成熟的计算机软硬件技术,使新建立的系统能够最大限度地适应今后发展变化和业务发展变化的需要,从目前国内发展看来,系统总体设置的先进性原则主要体现在以下几个方面:
(1)采用的系统结构应当是先进的、开发的体系结构
(2)采用的计算机技术应当是先进的,如双机热备份技术、共享阵列盘技术、容错技术、RAID技术、多媒体技术
(3)采用面向对象的软件设计、编程方法,保证系统的模块化设计
(4)先进的现代管理技术,以保证系统地科学性
2、可靠性原则
系统运行后,经常要采集大量的数据,并进行处理。
信息量大,存贮周期长,因此任一时刻的系统故障都会给用户带来不可估量的损失,这就是要求系统具有高度的可靠性。
系统建设尽可能采用主流产品,以保证其高质量的稳定性,采用成熟技术以降低系统的不稳定性。
同时系统采用可能详尽的故障处理方案,加强系统的故障对策功能。
3、安全性
安全性是信息中心正常运转的必备条件之一,必须考虑数据传输的保密及完整,外部非法侵入的防范,内部人员的月季操作的防范等。
4、易用性原则
系统的使用要简单方便和可靠,供各类用户使用。
5、开放性原则
开放性是现今计算机技术发展过程中形成的一种建立大系统,扩大系统交流范围的技术原则。
系统总体方案在体系机构、硬件平台、软件平台的确定方面,从设备选型到设计,开发都充分考虑了“标准和开发”的原则
6、标准化原则
严格按照国际国内相关标准设计实施,保障系统具有较长的生命力和扩展能力,满足将来系统的要求。
选用的各软硬件产品必须遵循国际标准和行业标准。
7、实用性原则
实用性就是能够最大限度地满足应用实际工作需求,是各子系统在建设过程中必须考虑的一种系统性能,它是计算机应用系统对用户的最基本承诺。
8、可扩展、可维护原则
系统的扩展将是不可避免的,保护投资是系统设计需要考虑的。
9、经济性原则
根据实际需求及企业的发展趋势,设备选型一方面要考虑安全、可靠、先进,同时,要考虑经济实用,要易于扩展升级、易于操作、易于管理维护、易于用户掌握和学习使用。
在完成系统目标的基础上,力争用最少的钱办最多的事,保护用户投资。
第二节网络系统建设方案
1、网络系统设计原则
随着社会的发展和用户数量的迅速增加,用户需求的多种多样以及企业竞争的加剧,如何满足用户各种各样的需求,提供良好的服务,以及对市场变化的快速反映,对于现代企业提出了更高的要求。
对社会高速的发展和用户需求迅速的变化与增长的处理核心是数据,是对大量数据完整、正确、安全、快捷的获取、交换、汇总的处理。
而这一切的基础是计算机技术和网络平台。
网络平台的设计在总体上需满足以上几个原则:
(1)技术先进性
计算机网络技术的发展非常迅速,在计算机应用领域占有越来越重要的地位。
必须认识到,建立计算机网络是一个动态的过程,在这个过程中将不断有新技术产生,有新产品出现。
因此,网络一定要采八较先进的组网技术,选用代表当今世界潮流趋势的计算机公司的网络产品,才能在未来的发展中保持技术领先。
。
(2)安全可靠性
网络的安全可靠性是网络的一个重要的指标。
网络的设计必须对可靠性重点考虑。
从结构设计、产品选择以及网络管理上要对网络的可靠性作出保证。
因此,在网络的设计上,应特别注意如何保证网络系统的可靠性。
(3)国际标准及开放性
现代计算机网络技术发展的趋势是遵循国际统一标准的开放系统、支持分布式计算和客户机/服务器应用模式。
网络应该是一个能够互联不同厂商的服务器/计算机,运行多种网络操作系统、网络协议,兼容其他厂商的网络产品,遵守国际标准的开放式系统。
这样才能在未来的发展中保持网络配置和应用模式的灵活性。
(4)成熟性
采用的设备和网络方案应该是经典的、成熟的、已被普遍应用的。
(5)充足的、可扩展的带宽
随着业务处理系统复杂程度的增加,网络用户数量的增长以及多媒体技术的普及,当今的网络对带宽的需求日益增加。
传统的共享式网络已不能满足需求。
网络系统应该能够为每个用户提供充足的带宽,满足用户的实际应用需求,并且带宽应该是动态可调整、可扩展的。
(6)规模可扩展性及灵活性
网络的规模将会不断扩大,对计算机的应用需求越来越高,要适应这种变化,网络在配置上必须是可扩充的。
设计的灵活性可使网络管理人员能够方便的增加、减少或变动各种节点,或是划分各种逻辑网段和物理网段。
(7)安全性
安全性与可靠性同样重要,除了系统级提供多种安全控制的手段外,网络设计也要提供保障其安全的手段。
(8)网络可管理
网络在设计时必须提供足的手段进行方便的管理,以确保其始终在最佳状态下运行。
对于该网络,如果没有网络管理功能将很难保证系统的正常运行。
(9)实用性
网络设计一定要充分保护和利用网络现有的资源,同时要根据实际情况,采用新技术和新设备,还要考虑组网过程要与平台建立及开发同步进行,建立一个实用的网络。
力求使网络既能满足目前需要,又能适应未来发展,同时达到较好的性能/价格比。
2、网络拓扑图
新建的##市自来水厂办公楼网络由防火墙、主交换机及其他网络设备组成。
根据现场环境了解,总共五层楼,同时必须为每个楼层预留大于10—24个信息点,为保证网络安全采用VLAN划分。
如下图所示:
3、设计方案简介
##自来水公司信息化建设本着先进性、可靠性、高效性和保护性投资的角度出发,本次大楼采用核心交换机,通过千兆端口联至服务器,下联通过千兆链路和各楼层的24口交换机相连,整网通过网管软件进行统一设备管理。
##自来水公司信息化建设项目网络的结构采用二层结合的结构,即采用核心层和接入层二层结构。
核心层提供汇聚仁各接入层数据至网络的核心层,并分担核心的部分功能,提供本区域的多层路由、交换能力;接入层为各接入单位提供提供10/100M连接和本地的交换能力。
核心层:
核心层网络组成高速互联的主干,提供整个网络的中心多层路由、交换能力;由于核心层对网络互连是至关重要的,因此核心层应具有高可靠性,并且应能快速适应网络的变化:
并支持硬件冗余和软件的可升级。
接入层:
接入层为用户提供在局部网段访问互连网络的能力,直接与桌面计算机接入。
接入层为各接入单位提供提供10/100M连接和本地的交换能力,实现VLAN划分与安全控制。
。
这种层次型的结构,不仅提高了整个网络的可用性、可靠性,而且可以滤除网络主干上不必要的流量,并为网络管理与运行维护提供良好的基础。
同时,上述的二层结构为逻辑划分,在实际应用,二层功能并非必须由有界限分明的硬件设备来实现。
在本网络方案设计中,主要是对各楼分不分网络进行设计配置,塔楼部分设备暂不考虑,因此我们设计了下面网络配置:
(1)、核心层
##自来水公司信息化建设项目外网网络系统是一个规模较大的网络项目,因此我们在此次网络方案地设计上,充分考虑了网络建设的各项性能指标,提出二、三层相结合的网络结构;同时,考虑到叫网络应具有极高的网络性价比。
在##自来水公司信息化建设项目的网络中心配置H3C-5500多业务核心交换机,承载全网的路由、交换任务。
所配置的交换路由模块带4端口千兆以太网电口、12端口千兆以太网sfp光口。
所配置的千兆光纤端口用于连接各楼层的接入层交换机堆叠组,干兆电口用于连接服务器、网管平台等。
(2)、接入/汇聚层
##自来水公司信息化建设项目的各楼层用户则通过楼层配线间的H3C-3600系列接入交换机的实现10/100M的快速以太网接入。
每个H3C-3600接入交换机堆叠组则通过千兆多模光纤链路分别连接至核心路由交换机的干兆板卡上,以提供更高的性能和可靠性。
(3)、安全设备
我们选用高性能的SG—T200S防火墙路由器,作为##自来水公司整个计算机网络的外网出口,并保障整个网络的安全
(4)、网络管理
网络是否能安全可靠运行,非常关键依赖于“网管”系统,良好网络规划与设计,并选用附合具体网络结构的网络管理,能大大降低网络运行成本,同时能大大降低网络管理员的劳动强度。
通过有效的网络管理,能提供给网络管理员一个非常清晰的网络拓扑结构,把大量网络运行的状态数据转化非常简单的图形提示,及时反馈网络中出现的问题,能将网络管理变得轻松,为网络运行提供良好地保障。
##自来水公司信息化建设项目计算机网络系统中,建议配置强大的网管系统,QuidView网络管理软件,实现了对全网管理、配置、监控、告警等一系列的功能。
4、总体方案的优势
●高性能:
千兆网络骨干,核心设备,接入设备全线交换,且支持万兆以便将来可
实现无缝连接
●高可靠:
服务器设备全冗余没计,确保了企业的业务连续性
●高安全:
全面布薯了防火墙而且在服务器与核心交换机之间安装了统一威胁的
管理设备,大大提高了企业网络的安全性和服务性。
●高智能:
设备完美的Qos技术确保了全网端的智能化,真正实现语言、数据及其
它业务的高度融合。
●高标准:
在产品的选型上我们都采用了国际市场占有率比较高的产品,在产品的性能上都是属于世界领先地位,产品的性能和标准等也属于世界领先水平。
第三节产品介绍
1、服务器惠普ProliantDL385G7
(1)产品介绍
惠普ProliantDL385G7是一款设计精良,采用模块化设计,便于拆装,并提供冗余的高性能机架式服务器。
为提高服务器的可用性和可维护性,AMD平台的ProliantG7服务器并不是简单的一款产品,而是一代全新的产品,整个平台经过全新设计,在内存、I/O、存储等方面都有了更强的改进。
惠普ProliantDL385G7支持双路代号“Magny-Cours”的AMD皓龙6128处理器,这使得DL385G7成为惠普迄今为止核心数量最多的双路AMD平台——2U空间最多可以容纳24个物理核心,相比上代的“Istanbul”双路平台核心数量增加了一倍。
处理器平台的升级带动了内存、I/O的大幅提升,DL385G7内存插槽增加到24个,内存数量要比双路的至强5600平台多出6个,支持DDR3-1333内存,无论容量还是带宽都有明显改观。
惠普ProliantDL385G7已提升管理功能,iLO全称IntegratedLights-out,是惠普独特的远程管理技术,可以无需借助第三方软件,通过浏览器进行服务器状态的监控和控制,iLO将让管理员更好的管理设备。
因以上特点,惠普ProliantDL385G7是本次方案首选择的产品。
2、防火墙LinkTrust®SG-T200S
LinkTrust®SecurityGateway(简称LinkTrust®SG)是北京安氏领信科技发展有限公司开发的领信(LinkTrust)家族产品中的一位重要成员。
T200S是安氏领信专门面向中小型企业、宾馆、网吧、大中型企业分支机构及行业用户设计的新一代集防火墙、千兆三层交换、上网行为管理、链路负载均衡、无线安全、3G接入管理、带宽管理、VPN、入侵防护于一体的多功能安全网关。
网络应用安全一体化解决方案以安氏领信全新推出的安全网关T200S为承载平台,通过T200S内置三层千兆安全交换模块和无线模块,可以轻松接入大量办公PC、业务服务器等,免除企业另外购置不同品牌、不同型号的交换机、路由器、无线路由器等网络设备,为企业降低维护难度、节省投资成本。
T200S提供强劲的上网行为管理模块中网页过滤、应用控制功能与带宽管理模块、内容审计模块相结合,实现过滤不良网站、控制网络应用、优化带宽流量等功能,并全面监控和审计互联网使用状况,以提高对互联网访问的控制力度,解决网络访问无序、带宽资源滥用、机密信息外泄、网络安全隐患等问题。
T200S提供强劲的无线安全模块和认证模块相结合,实现无线蹭网卡免疫和无线安全接入。
T200S通过多种接入方式及上网行为管理、ARP欺骗免疫、无线安全认证、ADSL虚拟拨号、3G接入管理、多链路负载均衡、远程VPN安全互联等模块,为企业网络应用保驾护航。
安氏领信提出的企业网络应用安全一体化解决方案,能应对当今复杂多变的网络应用,满足当下企业用户对互联网接入、局域网部署、无线互联、上网行为管理、安全应用等多方面应用需求。
序号
项目
描述
l
硬件参数
采用标准IU机架结构;应具备23个10/100/1000M以太网口+4个10/100/1000M以太网电口,升级为4个千兆光口
2
性能要求
最大并发连接数:
》=150万
每秒最大新建连续数:
》=12000
网络吞吐量:
1518字节1.2G、256字节180M
最大策略数:
2000
VPN性能:
100M
3
功能扩展
防病毒、圾邮件、协议细度控制、VPN等扩展功
能可以通过在线升级许可证方式激活相关功能模块
4
基本功能
支持多种接口模式:
路由模式、NAT模式,透明模式,并支持任意的混合模式
具备23个10/100/1000Mbps自适应高性能/高密度
交换接口、支持交换接口数据镜像,支持双向千兆转发、WLAN划分、802.1q封装TRUNK链路
支持URL关键字过滤
支持即时通讯(QQ、MSN等)、P2P下载(迅雷、BT、电驴等)等应用协议管控
支持Web—Mail、BBS等外发信息管理
支持应用代理服务功能;具有DHCP服务器、客户端功能并支持DHCP中继功能
NAT支持,支持多种地址转换方式
支持基于策略的NAT,可以为特定流量制定NAT策略,
实现对IP数据流量选择性的NAT操作
支持PPPOE协议,为ADSL拨号接入提供
安全的网关防护,同时支持多DSL或Cable-modem线路的带宽复用及冗余
支持多ISP链路状态检测、负载分配及相互备援
支持802.1qVLAN协议和子接口划分,实现不同网段包转发及网间访问控制
支持802.11b/g标准WIFI无线网络,最高支持54Mbps无线传输速率。
支持SSID隐藏,支持无线频道、发
射功率、无线速率等多种参数的灵活配置,支持无线MAC地址过滤等
支持完善的流量整形功能,可以对一组IP做整体可用宽带的控制,并可以限定每个IP的宽带使用
支持HA热备份功能,切换时间不超过一秒
可基于安全域、协议、源/目的地址(段)、时间七元组的任意组合设置访问控制策略,支持基于策略的连接状态超时时间可控,支持基于策略的连接数限制
支持静态路由、策略路由等路由模式,支持RIP、OSPF等多种动态路由协议
支持多种动态路由协议间的路由重发布
支持ARP保护机制,支持IP/MAC的主动探测、查看、绑定、删除等,并支持关键服务器的ARP的主动防护
可进行Ping检测、数据报捕获、路由查询;可对内外网机器的连接状态查询,可实时显示并发连接数目;
支持服务器负载均衡
支持NTP/SNTP协议
支持3G移动通信网络高速接入
支持DDNS协议;
支持用户身份认证功能,支持多种协议认证服务器:
本地用户、Radius、LDAP和NTDomain认证服务器
支持与终端安全管理系统互动,实现终端访问控制的强制认证;
5
认证审计
支持实时用户行为审计监控,记录上网站点地址,审计上午内容并可随时将结果自动到FTP到处分析,可自定义记录内容,审计记录采用开放式文本文件结构存储,满足第三方审计分析软件分析要求
支持流量审计:
支持指定接口或子网的流量审计;支持基于IP地址和协议的流量排名功能,并能够显示各个IP地址使用的各种应用协议的流量,并能在管理界面提供实时、历史流量统计图形及列表;提供通过邮件发送流量审计报表功能
内置IPS入侵防御功能,签名具有可根据实际应用进
行定制开发的能力,签名库具有在线更新的机制
支持抗DoS/DDoS攻击:
能抵御多种DDoS/DoS攻击方
式,对于SynFlood、SessionFlGod、Land、ICMPflood、
UDPFlood等能按照自定义阀值实现控制,支持抗端
口扫描;
6
安全防护
采用深度协议检测来监控数据流,能够对P2P、IM(雅
虎messenger\小财神、网页版淘宝旺吐、搜狐聊天
软件、Skype,新浪UC、QQ、网易泡泡、MSN、Lava—Lava、
酷宝Jabber等)、VOIP(VtalkNetPhone、UUCall、
Net2PhoneH.323等)、网络游戏、文件类型(ZIP、
Torrent、Swf、RAR、PNG、PDF、微软Office文件控
制、JPEG、GIF、EXE、BMP)、流媒体、协议误用、蠕虫
等应用层仆议特征的检测、识别、过滤、阻断和带
宽限制;能对异常流量做自定义的检测:
可灵活定制并发的多线程数量和Cache大小能力,满
足性能和杀毒效果的平衡掌控要求:
支持对SMTPPOP3和IMAP协议的垃圾邮件检测能力
具有基于策隅匹配的端口流量镜像能力;
7
支持VPN
支持IPSecPPTP、L2TP、L2TPoverIPSec、SSt
等VPN
支持PPTP、IPSec的NAT穿越;
支持IPSec、SSL的Gateway—to—Gateway(网关互网
关)混合部署漠式
支持SPsec、SSL、PPTP、L2TP的(client—to—Gateway
(移动用户到网关)部署模式
支持IPSec、SSL、PPTV、L2TP的Dynamic
Sd'met—to--(…oway(移动子网到网关)的部署模式
支持IPSec、SSL混合部署下的星形连接方式
(hub—spoke)
支持iPSec、—小+PPTP、L2TP的动态IP网关接入部
署
支持接口桥模式下的VPN部署
支持IPSec0overPPPoE的部署
支持ADSL拨号状态下使用VPN建立隧道
支持多端口并发VPN隧道的功能
8
管理功能
满足GB/T18336-2001管理权限分级要求,提供三权分离的管
理模式
提供基于SSL的WEB图形化管理界面,提供专业的命
令行配置方式,提供SNMP网管协议的管理方式,提供
Console标准控制方式
支持控制台,Syslog,电子邮件,等告警方式
支持系统、内核及特征库的在线升级和手工升级;
支持系统内核的灾难恢复RescueMode;恢复出厂状态或管理员
口令
9
资质证明
中国人民共和国公安部《计算机信息系统安全专用产品销售许可证》
国家保密局《涉密信息系统产品检验证书》
国家版权局《软件著作权证书》
北京市科学技术委员会《软件产品等级证书》
公安部计算机病毒防治产品检验中心检测为合格品,并出具检验报告。
中国信息安全认证中心的《中国国家信息安全产品认证证书》
3、主交换机H3CS5500系列增强型IPv6万兆交换机
(l)、产品概述
H3CS5500—EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。
支持最多4个万兆扩展接口,支持IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代;除此以外,其出色的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城域网边缘设备的第一选择。
S5500—28C—EI/S5500—,28C—PWR—EI/s5500—52C—EI/s5500—52C—PWR—EI/S5500—28F—EIH3CS5500—EI系列以太网交换机目前包含如下型号:
S5500—28C—Ei:
24个10/100/1000Base—T以太网端口4个复用的SFP千兆端口(Combo),两个扩展槽位;
(2)、产品特点
●高扩展性保护投资随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条集群IOGE链路将是我们的未来发展方向。
H3CS5500-EI系列交换机支持两个扩展槽位,每个槽位支持最大两端口的lOGE扩展模块及两端口的CX4扩展模块:
在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。
IPv4到IPv6的演变是以太网发展的大势所趋,网络设备对于IPv6的支持不仅是简单的可用就行,而是需要达到商用的标准,S5500—EI已经通过了国际最权威的IPv6Ready第二阶段认证,而且通过了信息产业部严格的IP诵入网测试。
这个系列产品是基于硬件的IPv4/IPv6双栈平台,支持丰富的IPv4和IPv6:
三层路由协议、组播协议和策略路由机制,实现IPv4到IPv6的平滑升级。
●智能弹性架构H3CS5500—Ei系列交换机支持IRF2(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。
IRF可以为用户带来以下好处:
●简化管理IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。
●简化业务IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议
升级会员 