某某生物药厂网络建设方案Word文件下载.docx
《某某生物药厂网络建设方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《某某生物药厂网络建设方案Word文件下载.docx(26页珍藏版)》请在冰豆网上搜索。
![某某生物药厂网络建设方案Word文件下载.docx](https://file1.bdocx.com/fileroot1/2023-1/3/bc4dfa5c-1991-4ff1-a9c3-c27f9b6b6b8b/bc4dfa5c-1991-4ff1-a9c3-c27f9b6b6b8b1.gif)
同时在主、副网络中心取近向周边相关单位建筑等地方用多模光缆作为主干连接,各单位建筑内的各职能管理部门通过五类双绞线连接到相应楼层配线间的二级交换设备上。
以下为本期项目所需施工涉及的大楼及生产车间:
光纤接入点位置
覆盖范围
长度
厂部办公楼、制水楼
网络中心至副网络中心距离(8芯单模)
700米
厂部办公楼、成品库
网络中心至成品库距离(4芯多模)
200米
制水楼、201
副网络中心至201距离(4芯多模)
450米
制水楼、202
副网络中心至202距离(4芯多模)
300米
制水楼、四车间
副网络中心至四车间距离(4芯多模)
400米
制水楼、三车间
副网络中心至三车间距离(4芯多模)
250米
制水楼、检验楼
副网络中心至检验楼距离(4芯多模)
350米
制水楼、研究所
副网络中心至研究所距离(8芯单模)
总计
3100米
二、综合布线系统:
“**”生物药厂主干设计为千兆以太网,实现百兆到各终端信息点。
在综合布线系统这个物理平台上使数据、语音、图象等的高速传输,实现网络信息共享,视频点播功能,满足日常办公工作的需要。
我们为“**”生物药厂的综合布线系统设计6个部分:
建筑群子系统、工作区部分、配线子系统、干线子系统、设备间(交接间)部分。
下面分别对本工程综合布线系统的几个部分进行逐一描述:
整个企业的网络中心设置在办公楼的三楼,为主网络中心。
网络中心设置数据总配线架和网络设备。
网络交换设备提供接入到电信网宽带的端口,同时根据整个厂区建筑群子系统所需的光纤数量,提供相应的光端口数目,再通过光纤跳线,将网络设备的光端口与光纤配线架连接。
主网络中心和副网络中心向其他部门建筑群敷设室外8芯单模以及室外4芯多模光缆,网络中心与副网络中心敷设室外8芯室外单模光缆,由此形成单模和多模混布的主干光缆路由。
在各配线间区域内以及配线间之间,根据需要,分别从各配线间敷设五类双绞线。
厂区建筑群子系统干线采用室外光纤,设计时考虑到整个企业的面积很大,同时光纤路由较长,所以多模光纤选用50/125μm多模室外光纤,该光纤传输带宽为400MHz/Km,在550m范围内支持1000兆位以太网传输。
如果光纤传输距离超过550m时,则采用单模室外光纤来保证主干支持1000兆位以太网传输。
厂区建筑群子系统路由的设计主要依据厂区的建筑总体规划和每个建筑物综合布线系统信息点的数量,同时我们在设计时充分考虑了与其它系统的综合利用,施工的方便、路由最短、造价最低、布线规范和扩充简便等几个方面,对整个企业进行了综合管网的设计,具体路由见综合管网平面图(中标后实地勘察后设计)。
主干管道为100mm塑料子管,分支到各具体楼房根据实际需要敷设,计算机网络中心到企业配线间根据距离远近采用单模/多模X芯室外光纤。
配线子系统由工作区的信息插座、信息插座至楼层配线设备的配线电缆或光缆、楼层配线设备(FD)和跳线等组成。
以下我们分成三部分来进行详述:
(1)工作区的信息插座根据使用要求,采用两种设计:
一种为普通型信息插座,具有防尘功能,并具有保护跳线功能,防止因碰撞而损坏。
普通型信息插座设置在墙面和柱面;
一种为地面插座,除具有一般信息插座的功能外,还有防水功能。
两种信息插座都采用标准的超五类RJ45模块,支持100MHz带宽。
在设置架空地板的房间,如综合大楼的计算机网络中心、办公地可采用了隔断插座,在信息点不是很密集的小房间,设计采用普通型信息插座,安装在墙面。
(2)根据实际应用的需求,我们设计配线子系统中水平布线电缆时选用超五类UTP-4P,设计带宽为100MHz。
超五类非屏蔽双绞线技术成熟,满足百兆传输要求,具有很高的性价比。
六类、七类布线产品,虽众多厂商推出各自产品,单无统一标准,且整个系统价格高。
屏蔽线缆价格高,施工、维护难度高,根据应用环境无需采用。
设计水平布线的布线方式首先考虑到路由最短,对于长度比较大的建筑,采用了合理走向的方式进行设计。
工程设计的水平布线最长的路由只有85m,完全符合规范中水平电缆不超过90m的规定。
设计水平布线的布线方式时还要兼顾施工的方便、造价最低、布线规范和扩充简便等几个方面。
结合各个建筑的具体情况,在信息点较少同时又较分散的区域,我们主要采用了直接埋管敷设的方式;
在信息点密集且又大面积分布的楼层,如果采用直接埋管布线方式,就会导致出现管路交叉过多,这样会给施工造成很大麻烦,所以采用在吊顶内设置吊装金属线槽,水平布线先走线槽,然后再由支管引出到信息插座。
在设置吊装金属线槽的楼层,其上一层的水平布线还可以利用本层的金属线槽来走线。
这样的布线方式既经济合理又方便施工。
在信息点很密集的大开间房间里,水平布线最适合采用墙面线槽的布线方式。
配线间内的楼层配线设备采用标准的RJ45模块化配线架和标准RJ45跳线。
水平布线线缆直接连接到该交接间的配线设备上,再通过跳线将水平布线线缆连接到网络交换设备。
光纤配线架端接来自干线子系统的光纤,再通过光纤跳线与网络交换设备连接。
干线子系统由设备间的建筑物配线设备和跳线以及设备间至各楼层交接间的干线电缆组成。
本次方案设计中,每个需连接的厂房只设一个配线间,没有楼层交接间。
以下对建筑物配线设备和干线电缆分别进行描述:
(1)建筑物配线设备和跳线设置在每个楼的设备间内,建筑物配线设备包括光纤配线架和RJ45模块化配线架;
跳线包括语音跳线、光纤跳线(ST-SC)和标准RJ45跳线。
设备间的光纤配线架端接来自建筑群子系统的光纤,再通过光纤跳线与网络交换设备连接。
RJ45模块化配线架与数据双绞线干线电缆(或水平布线线缆)连接再通过标准RJ45跳线将水平布线线缆连接到网络交换设备。
(2)由于办公大楼楼层设2、5、8配间。
数据电缆采用超五类双绞线,从每个楼房的设备间到每个房间的信息终端点。
设备间是在每一个建筑内的适当地点设置电信设备和计算机网络设备,以及建筑物配线设备,进行网络管理的场所。
对于综合布线系统工程设计,设备间主要安装建筑物配线设备(BD)。
针对功能不同,主要放置网络设备、数据配线架、语音配线架、有线电视放大器等设备。
三、安装工艺的设计
(1)、设备间
1、设备间室温应保持在10~30OC之间,相对湿度应保持20%~80%,并应有良好的通风;
2、设备间内应有足够的设备安装空间,其面积最低不小于10m2。
3、设备间应防止有害气体(如SO2、H2S、NH3、NO2等)侵入,并应有良好的防尘措施,尘埃含量限定值符合下表的规定。
尘埃限值
灰尘颗粒的最大直径(μm)
0.5
1
3
5
灰尘颗粒的最大浓度(粒子数/m3)
1.4*107
7*105
2.4*105
1.3*105
注:
灰尘粒子应是不导电的,非铁磁性和非腐蚀性的。
4、设备安装要求:
1)、机架或机柜前面的净空不应小于800mm,后面的净空不应小于600mm;
2)、在设备间安装其他设备时,设备周围的净空要求,按该设备的相关规范执行。
5、设备间应提供不少于两个220V、10A的单相电源插座。
6、使用防火门,至少能耐火1小时的防火墙和阻燃漆。
7、垂直穿过设备间的干线电缆在穿越楼板处应作好密封。
8、设备间的安装工艺要求除上述规定外,应满足〈〈电信专用房屋设计规范〉〉YD5003—94中有关配线设备的规定,安装电信设备或其他应用设备时,应符合相应的设计规定。
(2)、交接间
1、交接间的面积不应小于5m2。
2、交接间的设备安装和电源要求,与设备间相同。
3、交接间应有良好的通风。
安装有源设备时,室温宜保持在10~30OC,相对湿度宜保持在20%~80%。
(3)、电缆
管内穿放大对数电缆时,直线管路的管径利用率为50%~60%,弯管路的管径利用率为40%~50%。
管内穿4对对绞电缆时,截面利用率为25%~30%,线槽的截面利用率不超过50%。
(4)工作区
1、安装在地面上的信息插座采用防水和抗压的接线盒;
2、安装在墙面或柱子上的信息插座底部离地面的高度为300mm;
3、工作区的电源要求:
1)、每1个工作区至少应配置1个220V交流电源插座;
2)、工作区的电源插座应选用带保护接地的单相电源插座,保护接地与零线应严格分开。
(5)系统接地
所有设备间、计算机房、网络中心及交接间,应提供接地端接箱,接地线由联合接地体上采用不小于16mm2的绝缘导线单独引上,接地电阻小于1欧姆。
进出建筑物的保护钢管在进入建筑物处应接地。
四、室外光缆的架设:
由于8芯光缆和4芯光缆全部是室外敷设,需要考虑到其抗拉伸、抗破坏等因素,所以选择室外轻铠单模光缆,该光缆用于建筑物外安装的光传输介质,光缆具有褶皱的轧纹钢带及两根加强钢丝,为室外应用提供完善的保护。
光缆外皮为黑色,由阻燃材料制成。
见下图:
室外光缆
在厂区建筑之间进行室外光缆敷设,一般采用两种方法,即地下管道敷设和架空敷设。
采用地下管道敷设光缆时会遇到三种情况:
小孔—小孔,即光缆从地上通过一个建筑物的小孔进入地下管道,再从另一个建筑物处的小孔出来;
人孔—人孔,即光缆经人孔进入管道,由此牵到另一个人孔,光缆在其中走直线;
在有一个或多个转弯的管道中牵引光缆。
在上面这些情况中,可以使用人力或机器来牵引,需要注意光缆安装弯曲半径、安装应力等规范。
在选择管道时需要保证和电力管道必须至少有8CM混凝土或30CM的压实土层隔开,且掩埋深度起码要低于地面0.5M,或应符合厂区有关规定的深度。
架空敷设光缆时,可选用72.2毫米的镀锌钢绞线作悬挂光缆的吊线。
吊线与光缆要良好接地,要有防雷、防电措施,并有防震、防风的机械性能。
架空吊线与电力线的水平与垂直距离要2米以上,离地面最小高度为5米,离房顶最小距离为1.5米。
架空光缆的挂式有:
吊挂式与自承式。
自承式不用钢绞吊线,光缆下垂,承受风荷力较差,因此常用吊挂式。
当厂区内的建筑物之间有电线杆时,可以在建筑物与电线杆之间架设钢丝绳,将光缆系在钢丝绳上;
如果建筑物之间没有电线杆,但两建筑物间的距离在50米左右时,亦可直接在建筑物之间通过钢索架设光缆。
架空光缆在进入建筑物时要穿入建筑物外墙上的U形钢保护套,然后向下或向上延伸,电缆入口的孔径一般为5CM。
光纤再进行熔接时,应该尽量选用同一批次的光纤,提高熔接工艺度,来降低光纤熔接损耗,一般要求控制在0.04dB以下,超过此值要重新熔接。
按照要求,所有光缆熔接在光纤接线盒里,并固定在ST型耦合器上。
五、综合布线产品的选择:
布线产品的好坏关系到整个系统的运行状况,经过我们对国内外众多厂商产品的综合比较,室内外光纤选用JOFC的国产品牌,双绞线、模块、配线架选用NORDX/CDT公司IBDN系列布线产品。
NORDX/CDT公司总部位于加拿大魁北克省的蒙特利尔。
公司在全球12个国家设有35家办事机构,并在加拿大、墨西哥和欧洲各建有一家制造机构。
公司的产品行销到全球的以下地区:
北美、欧洲、非洲、亚太地区以及拉丁美洲与加勒比海地区。
NORDX/CDT公司生产和销售超过2000多种产品,并将这些产品推向了全世界,满足了国际商用通讯场的需求。
公司以其遍布全球的认证系统厂商网络为荣,并与它们携手合作向用户提供其智能、可靠的结构化布线解决方案的安装服务。
NORDX/CDT公司的全部产品都是由公司自行设计与生产的。
具备了这一条件,公司便可以将其各种产品作为一个完整的系统来进行测试,从而保证端到端的信道性能。
凭借着在布线行业中超过百年的经验,NORDX/CDT继续在向用户提供物美价廉的网络布线解决方案方面发挥着领导作用。
实际上,今天所沿用许多规范与标准在NORDX/CDT公司早先的IBDN设计指南中都可以找到。
NORDX/CDT公司的4对线铜质填充式电缆具有独特的双绝缘设计。
所有的线缆都是在不同尺寸的线轴上生产出来的。
全部线缆都在出厂前接受过检测。
每100米线缆要接受高频与低频电压的检验以确定线缆是否满足了5类、AnixterL5、1200系列或2400系列的要求。
六、网络设备的选择:
“**”生物药厂网络目前已经具有一个企业办公网络,但没有核心交换设备,仅有4台D-LINK1226G的二层100M交换机,主中心机房和各个生产车间没有网络连接,目前用机有100台左右,将来估计有150多台计算机的应用。
目前服务器仅有财务使用的一台,整个网络结构是以100M混合型网络,没有划分VLAN和很好的做好网络线缆的标记。
内部计算机没有统一管理,管理混乱,内部没有网络行为管理设备,上网速度比较慢,影响正常的公司业务。
“**”生物药厂通过这次的网络设备改造,要求能够达到:
1.更换现有的交换机为可网管,可防ARP病毒的交换机,以消除局域网内ARP病毒可能造成的影响。
2.添置安全流量控制网关设备,对不同种应用进行带宽流量管理,同时限制部分应用的上网时间,以实现对核心应用的带宽保证,消除非许可的上网应用对员工工作效率的影响。
核心交换机:
在交换网络设备的选择上,我们选用了ZYXEL公司的GS-3012FAC作为核心交换处理中心的交换机。
GS-3012FAC
在厂部办公楼主网络中心放置一台GS-3012F核心交换机,交换机的上行千兆/百兆自适应的电(光)口通过防火墙设备连接到电信运营商的宽带网络中。
在制水楼副网络中心也同样放置一台GS-3012F核心交换机,通过单模光纤连接到厂部办公楼主网络中心的GS-3012F核心交换机上,主、副网络中心的这两台核心交换机互为备份同时实现负载均衡。
主、副网络中心的两台GS-3012F核心交换机下行各自提供提供12个千兆光(电)口连接到厂部办公楼以及厂区其他部门建筑的接入层交换机,为厂区各相关部门提供网络服务。
GS-3012F是ZyXEL推出的一款全千兆网管型交换机。
该产品端口排列紧凑、类型丰富,能够实现多种千兆线路混接,具有非常广泛的适用性。
该产品具有12个SFP端口,每个SFP端口可以根据需要选择相应SFP模块,连接不同种类的线路,最多可以连接多达12条千兆光纤网络,非常适合大数据量的核心数据交换。
GS-3012F支持802.1wRSTP,保证备份链路能在主链路失效时快速启动,对网络故障恢复的延时之短使用户几乎无法察觉,保证了用户的可用性。
高达34万小时的平均无故障时间和内部冗余电源更保证产品具有了极大的稳定性。
GS-3012F高达24Gbps的背板带宽将提供所有端口的无阻塞交换。
如果进行千兆交换机对联,该产品可以兼容IEEE802.3ad,支持LACP、静态和动态链接汇聚;
提供8条千兆线路捆绑,为用户提供高达16Gbps的高速互联,完全满足企业核心级交换互联的需求。
WFQ(WeightedFairQueue)技术的应用将保证高优先级数据包的顺利通过,为企业QoS实施提供强有力保障。
此外,GS-3012F交换机还支持各端口MAC绑定/数量限制/过滤、IP/TCP/UDP过滤、支持巨帧、端口捆绑、802.1x、端口镜像、端口限速、快速生成树协议、VLAN(Port/802.1Q)、优先级队列、IGMP侦听、广播风暴控制、Web/telnet/Console/带外管理、支持ZyXEL的丛管理(iStacking)、提供冗余电源。
其具备丰富的第二层和第三层功能和极高的性能并且提供丰富的网络管理特性,以满足“**”生物药厂网骨干的各种复杂要求。
厂部办公楼:
在厂部办公大楼有118个信息点,对此我们采用了五台ZYXEL公司的ES-2024A可网管二层快速以太网络交换机为这118个信息点提供接入服务。
ES-2024A
由于这118个信息点分布在同一栋楼内,我们可采用五类双绞线将这五台ES-2024A交换机上联到厂部办公楼主网络中心的GS-3012F核心交换机中。
ZyXELES-2024A可网管二层快速以太网络交换机基于无阻塞的8.8Gbps以太网络架构,提供24Port10/100Mbps的二层交换能力,在线速上超过了现有的CAT-5到桌面计算机的应用。
它的双属性Port(RJ-45或者SFP)能够高速循环往复的传送信息,并更高效率的利用频宽。
合勤ES-2024A的特点之一是扩展了安全功能,能够阻止XX的数据通过。
它所支持的802.1x验证限制了XX的用户使用频宽,同时合法的用户亦可管理其流量。
通过与其它功能的同时运作,其它的网络控制可以在检查用户名和密码之后被执行,它可以为有线的和无线的用户提供集中的认证服务。
除了认证保护,ZyXELES-2024A支持的硬件机制(包括MAC过滤,MAC冻结和特定MAC地址转发)允许网络管理人员根据设备的MAC设置安全策略。
ES-2024A是为提高网络网关安全策略所设计,能够提供综合安全功能的设备。
同GS-3012F一样,ES-2024A也支持802.1wRSTP协议,使其能够快速修复断开的链路,并且能够帮助形成有弹性的网络,这些网络能够大大的提高运行时间和网络利用率。
GS-3012F和ES-2024A这两款交换机均提供iStackingSNMP/Web/Telnet和RS-232的支持,使对于交换机的网络管理变得很容易。
相对于传统的有限制的网络管理,ZyXEL通过先进的管理性能证明了自己的强大功能,例如ZyXEL独有的iStacking丛集管理技术能够使管理员通过单一的IP地址管理高达24台交换机,值得注意的是这个巧妙的功能降低了操作费用,同时增加了管理多种ZyXEL交换机的弹性。
IT人员可以为操作的便利选择Web,命令列接口(CLI)或者基于文字的设定文件,甚至可以用SSHv1/v2和SSL对指令进行加密。
由于这些久经考验的功能性,IT人员有能力花最低的代价建造高度安全和有效的公司网络。
考虑到厂部办公楼为厂内的主要信息处理集中分布区域,网络的稳定和信息安全因此显得尤为重要。
目前,因为ARP而导致企业网络瘫痪的例子举不胜举,很多企业面对这些攻击束手无策,ARP攻击已经对各行各业网络造成了巨大威胁,但一直没有得到有效的解决。
ZYXEL公司的GS-3012F和ES-2024A这两款交换机均能够通过ARP入侵检测功能,识别并读取ARP报文内容,然后根据报文内容判断是否存在欺骗攻击行为,对于ARP欺骗报文进行丢弃处理,从而有效的防御ARP攻击。
首先,交换机启用DHCPSnooping对DHCP报文进行监测。
DHCPSnooping通过监测DHCP报文记录了用户的IP/MAC/VLAN/PORT等信息,并形成一个DHCPSnooping绑定表。
交换机端口接收到的ARP报文后,通过查找DHCPSnooping建立的绑定关系表,来判断ARP应答报文的发送者源IP、源MAC是否合法。
若ARP报文中的发送者源MAC、IP匹配绑定表中的内容,则认为是合法的报文,允许通过;
否则认为是欺骗攻击报文,就进行丢弃。
通过ARP入侵检测,能够防止接入终端发起任何ARP欺骗攻击,可有效解决ARP欺骗攻击问题,消除局域网内ARP病毒可能造成的影响。
其他接入点:
对于厂区内其他部门建筑的网络接入,我们采用了ZYXELGS-1124A系列交换机作为二级接入,该交换机作为ZYXEL桌面型交换机,具有千兆可扩充性和100M线速交换到桌面的能力。
GS-1124A
网络防火墙:
网络防火墙采用ZyWALLUSG-300,新一代统一威胁管理安全网关,在单一设备融合IPSecVPN和SSLVPN技术,满足企业各种VPN应用需求,实现随时随地安全接入。
用户可以根据实际应用环境选择IPSecVPN或者SSLVPN技术,配合用户控制,防病毒,入侵检测等安全功能,便捷安全地访问企业内部资源。
ZyWALLUSG300采用世界病毒应对速度最快的卡巴斯基防病毒引擎,在网关处构筑第一道安全防线,保证企业网络不受病毒/蠕虫及各种恶意软件的破坏。
内置SecuASIC硬件加速引擎,打破传统网络瓶颈,在实际环境下,提供稳定高速的吞吐量。
同时,入侵检测功能对通过网络的各种流量实时分析,鉴别非法有害的网络行为。
通过L2~L7的深层检测,ZyWALLUSG300能够有效检测出异常协议及报文,利用不断更新的特征码抵御层出不穷的网络威胁。
ZyWALLUSG300具备全面的IM/P2P应用管理功能,通过应用层监控,杜绝因为IM/P2P滥用引起的法律纠纷,病毒/木马入侵等安全隐患,更有效地提高员工工作效率,优化网络带宽使用。
越来越多的即时通讯工具被用作商业用途,成为工作不可或缺的一部分,但同时也成为恶意攻击的对象。
ZyWALLUSG300具备IM/P2P粒度控制功能及详细的日志系统,对流行的IM/P2P进行控制,如BT,ICQ,MSN和QQ。
ZyWALLUSG300支持三层的虚拟技术(VLAN、虚拟接口/接口别名)。
用户能够根据需要为不同的的物理端口设置VLAN或虚拟接口,通过自由组织VLAN、虚拟接口,组成相互独立的不同安全区设置配置相应的安全策略。
通过虚拟接口和区域概念,ZyWALLUSG300能够很容易在大型复杂网络环境中实现快速部署和量身打造的安全管理策略。
除基于ACL的访问控制外,ZyWALLUSG300具备全新的智能用户的策略引擎,在决定是否允许数据包通过时,可以基于多种因素(如:
用户ID、用户组、访问时间、网络带宽限制等)。
还可以应用这些策略在其它的安全特性上,如:
VPN、内容过滤、应用控制等。
我们之所以选择ZYXEL产品是以下原因:
ZYXEL不管从技术上、服务上、均为网络产商中的佼佼者,产品性能稳定,扩展灵活,产品场占有率很高。
七、防病毒方案
由于“**”生物药厂网络的使用涉及到外网和办公网络,很难保证内部某些站点不被病毒感染,而网络各部分的联系又相对紧密,病毒将不可避免的从单一桌面迅速