管理网项目实施方案.docx
《管理网项目实施方案.docx》由会员分享,可在线阅读,更多相关《管理网项目实施方案.docx(19页珍藏版)》请在冰豆网上搜索。
管理网项目实施方案
北京方大网络管理建设
管理网项目实施方案
陕西长城信息有限责任公司
2022年4月27日
1、概述
由于不存在下级单位访问,所以在此次集团管理数据通信网建设中作为二级单位三级部署的模式,确保公司管理网安全可靠,才能保证四个单位顺畅的接入到整个管理类数据通信网,才能保证管理网各个重要业务系统,如OA办公自动化、营销系统、财务系统等业务应用平稳运行。
本管理网项目(二期)实施方案主要为公司建立一套完整、可靠、安全的网络。
根据各单位信息系统的不同建设情况,工作内容涵盖四个部分:
综合布线、网络工程、机房工程和系统集成。
综合布线:
主要工作为对公司本部现有布线系统整改。
(管理网专线链路由运营商负责,后附工作界面说明)。
网络工程:
按照统一标准,为需要接入管理网又没有内部局域网的单位(主要是二、三级网络节点)组建完整规范的局域网,对有内部局域网但无法接入管理网的单位进行改造和升级,使所有单位局域网具有统一的网络拓扑结构,能够按照统一标准将终端计算机接入管理网。
机房工程:
对公司信息化机房进行整改,使得满足管理网建设要求。
按照统一标准,为不符合设备运行环境要求的单位(主要是二、三级网络节点)改造或搭建(以改造为主)一个经济型网络设备机房,以满足管理网设备对温度、湿度和净度的基本需求,并将管理网汇聚设备接入UPS不间断电源,避免设备停电造成区域网络中断。
系统集成:
包括办公网络调整、管理网路由调整、管理网安全设备调整、管理网与互联网的逻辑隔离实施,实现设备冗余、链路冗余等。
依据前期调研、管理网试点、整体方案论证等结合信息化网络相关规范和行业标准,在充分考虑安全行、稳定性后,我方制定出符合安全要求,高可靠、可扩展、易管理的网络结构和管理网项目(二期)实施方案。
通过本次管理信息网项目实现:
●机房建设和局域网的综合布线,每个房间保证至少两个信息点,办公楼办公室内局域网全覆盖;
●UPS不间断电源提供机房主要网络设备的电源保护。
意外停电后,应能立刻起效,同时根据配置的电池容量,保证设备能持续工作至少6小时,起到县-市级网络链路的保障;
●采用终端隔离软件,结合准入管理设备实现局域网(互联网)与管理专网的逻辑隔离;
●采用终端隔离软件,结合准入管理设备实现用户对特定安全区域如财务数据库服务器的受限访问,实现对特定用户对特定业务系统如财务系统的受限访问;
●利用互联网VPNIPSec实现管理网专线链路的冗余。
同时利用互联网出口防火墙,实现局域网宽控制功能;
●融合各单位自身的“小应用系统”。
2、物流公司管理网整体规划
2.1直属单位整体规划
本次项目中,在原有管理网三级MSTP专线结构的基础上,为保证管理网业务的可靠性,增加了通过IPSecVPN链路直接接入省核心节点的路径。
在路由设备上,通过实施OSPF动态路由协议,实现链路物理或逻辑故障时的自动切换。
2.2三级设备连接规范
2.3VLAN及IP地址规划
核心交换配置规范
序号
IP段功能
局域网IP段
内网VLANID
核心交换VLAN地址
1
连接准入设备段
192.168.147.0
147
192.168.147.254
2
管理地址
192.168.169.0
169
192.168.169.254
3
外网链接段
192.168.170.0
170
192.168.170.254
4
下级供电所VLAN
192.168.255.0
255
192.168.255.254
5
单位局域网地址
192.168.17x.0
17x
192.168.17x.254
外网网关地址规范
序号
内网接口
内网地址
外网接口
外网地址
1
e0/2
192.168.170.250
e0/1
运营商提供
设备名参照其它链路备份设备,例如“SXBJ-M3108-WG”,准入设备名为“SXBJ-M3100-ZR”
说明:
连接准入设备接口为Gi0/1,连接外网网关接口为Gi0/2,核心交换连接接入交换机为Gi0/40-48,接入交换机上联口采用千兆口。
针对物流公司,目前局域网运行正常,IP地址目前均为静态分配,所以建议目前不改动原有IP地址划分,无小应用业务系统。
IP地址、子网掩码及VLAN规划如下:
办公楼:
192.168.1.x/255.255.255.0VLAN:
171
3公司现状描述
公司机房位于办公楼211,汇集了办公大楼及其它楼的级联线缆,目前办公使用了4台24口非网管交换机,办公点位数为100台左右,线缆无标签,无配线架,直接接入机柜内,机柜距离墙面较近,如果将机柜调整到标准位置后线缆将面临长度不足的问题。
4综合布线(针对改造)
4.1需求
本次管理信息网项目主要是管理网二期的综合改造和优化。
主要为物流公司办公楼内办公局域网进行改造。
对物流公司机房现有网络柜内的网线进行延长、重新整理、优化、标示化整改。
4.3实施方案
实施内容如下:
Ø撤掉物流公司旧机柜,对双绞线缆长度问题采用配线架或网络模块对接的方式延长敷设到规划机柜的位置,安装配线架。
Ø测量线缆并完善线缆标识,以备日后维护。
5、网络工程
5.1需求
公司网络主机大约100台,分布在办公楼内。
局域网为简单的局域网,没有自己独立、完整的网络环境。
管理网一期时部署的一台路由器交换一体机目前作为主要管理网设备,目前未使用。
本次管理信息网项目是对管理网一期的补充、深化和完善,提供OA办公自动化、营销系统、呼叫中心系统、视频会议系统等重要业务系统使用。
主要包括以下几点:
●实现局域网与管理网融合;
●通过互联网VPN链路,实现管理网MSTP专线的冗余;
●增强互联网出口的安全;
●实现互联网和管理网专网的逻辑隔离;
5.2实施方案
利用核心交换机作为局域网办公网络区域划分的主干交换机,利用高端口密度交换机作为用户接入交换机。
利用多功能网关实现管理网添加一路VPN冗余链路,做双链路备份,提高管理网可靠性。
局域网核心交换机:
使用一台高性能模块化全千兆三层交换机,实现网络分区域划分。
根据可根据办公区域进行VLAN划分,同时独立划分供电所VLAN。
局域网接入交换机:
使用百兆到桌面千兆上联的二层交换机进行公司内部办公计算机接入。
根据现有局域网环境,尽量合理利用现有交换机等硬件资源,进行网络的调整和划分。
互联网防火墙:
互联网出入口采用一台高性能一体化安全网关,起到互联网接入作用,同时建立互联网VPNIPSec加密通道,实现专网的冗余链路。
管理网准入控制设备:
管理网与局域网之间部署准入控制设备,利用软件终端隔离软件保证所有接入管理网的计算机在同一时刻实现与互联网的逻辑隔离:
接入互联网的计算机在接入管理网后自动断开互联网连接,接入管理网的计算机在接入互联网后自动断开管理网连接。
5.3接入交换设备分配
接入交换均为非网管交换机,且均为使用多年的老旧设备,不利于日后维护且随时有宕机的风险,因此建议更换为新的可网管二层接入交换机,原有4台,更换为3台。
6、机房工程
6.1需求分析及整改措施
公司机房位于办公楼房间,面积约50平方米。
无玻璃隔断,无防静电地板。
以下为现场调研时情况:
为避免重复投资、节约资源,在能满足公司数据管理网二期建设技术要求的前提下,需对物流公司机房进行整改。
具体整改措施如下:
1、对机房内线缆进行重新排放、捆扎、配线架端接、并做出规范标识,制作配线架对照表等,利于维护管理;
2、将机房内网络机柜淘汰。
由于原网络机柜长宽为60cm*60cm,且较为陈旧,质量较差,新配2面机柜为60cm*100cm,为了整齐统一,淘汰原网络机柜。
3、设定新机柜位置。
把网线利用新机柜及配线架重新迁移,以便于管理网二期新部署的设备连接及维护;
4、根据管理网对机房环境的要求,铺设新的静电地板。
原有静电地板已经比较陈旧,需要安装新的防静电地板;按照18平米估算。
5、根据机房的面积及功能划分,保留原有玻璃隔断;
6、根据管理网对机房温度的要求,安装机房专用精密空调;拆除原壁挂式家用空调,安装新机房专用空调。
7、根据管理网对机房电源的要求,安装专用UPS电源,保障管理网设备正常运转。
6.2实施方案
公司信息系统机房建设工程包括:
1)防静电地板部分
2)UPS不间断电源系统
3)精密空调系统
机房平面图
下图为机房布置图:
防静电地板
根据物流公司机房面积按50平方米估算。
地板为全钢组件,底面采用深级拉伸钢板,表面采用硬质钢板,上下钢板冲压、点焊成形,四边采用先进的焊接补强结构,除传统底部64个拱形拉伸外,新增32个凸起小球,解决了普通地板底部平板区域相对薄弱的缺点,增强了地板的整体载中载荷、极限载荷和均布载荷。
地板基体表面经磷化后进行静电喷涂处理,喷涂层材料为热固性环氧塑粉末,表面达到柔光、防腐、耐磨效果。
内腔内填充发泡水泥。
地板面贴:
地板表面粘贴高耐磨抗静电HPL(三聚氰胺)贴面。
支承系统:
(支架、横梁)
采用四周支承式,支架上托板、底板为钢板、下支承为圆型或方型钢管,为便于安装调整,在下支承杆上安装有调整罗母,支承高度可以通过调整支承罗杆的高度进行调节,调整范围为±25mm,支承高度调整后,可通过拧紧罗母进行锁定。
横梁为专用矩形钢管,具有钢性好、承载能力强等特点。
支架、横梁表面经镀锌处理,美观、防腐。
主机房地面首先进行基层清理;
主机房安装防静电地板;规格为600*600*35mm。
地板铺设高度为300mm,配原厂地脚及配件、原厂地脚胶及螺丝胶,地板铺设做到所有连线横平竖直,所有相邻地板之间高低公差≤0.5mm,水平位置公差≤1.0mm,抗静电地板沿墙收边处理;
主机房入口处做踏步台阶及收边处理。
●防静电地板
品牌:
冀美(JIME)
“冀美(JIME)”牌地板。
冀美(JIME)是一家专注于从事机房专用抗静电活动地板研发、制造、销售为一体的专业机房地板生产销售公司,自公司创建以来,一直本着制造与国际知名机房抗静电活动地板品牌产品质量媲美的经营理念,不断学习并采用进口地板制作工艺技术,至今已建立起了集开发设计、生产制造、销售流通与安装服务于一体的全方位供给体系,产品生产先后通过了ISO9001国际质量体系认证、ISO14001环境管理体系认证。
UPS电源
机房供电采用UPS供电方式;每台机柜由两个独立的PDU进行供电,实现双回路、双控制冗余供电使负载适中、均匀、平衡。
根据中心机房设备用电量计算,本次UPS单机额定容量为:
2KVA,满足管理网设备在意外断电时,后备延时6小时需求。
UPS电源采用:
易事特UPS。
实现机架式UPS机头及电池组安装,放置于新配置机柜中。
精密空调
为使机房内主要设备和管理操作人员有一个良好的工作环境,并为其具备能够安全、可靠地运行,发挥其最大的工作效率,就要提供一个符合其运行标准要求的机房环境。
这包含对制冷、制热、加湿、去湿、滤尘有严格的标准要求,设备运行情况、使用寿命与工作环境有密切关系,温度、湿度、洁净度就是工作环境的关键因素。
方案实施空调采用艾默生ATP05机房专用精密空调。
本次项目根据新机房设备数量、功率等,配置机房专用精密空调:
制冷量:
5700W,显冷量:
5130W
标准风量:
1300(m3/h)
停电保护:
来电自启动功能
网络管理功能:
标配RS485监控接口,并免费提供通信协议;支持主备切换功能;支持设备远程管理。
7、系统集成
1、专网链路冗余
省集团公司已经实施了全省数据专线管理网的建设,实现了省-市-县三级联网。
该网络根据所属区域,分别租用移动、联通的MSTP数据专线,形成了单链路的管理网环境。
考虑到营销系统、呼叫中心系统、财务系统、OA办公自动化系统、基建系统等,越来越多的业务系统需要承载在管理类数据专网上,链路可能出现的故障,将导致业务的中断,造成的损失无法预估。
为此,本方案中增设一台多功能安全网关设备,通过IPSecVPN技术与集团公司VPN设备组成加密通道,实现管理专网链路的另一条冗余线路。
在专网路由器进行合理的配置,实现专线链路与VPN冗余链路的自动冗余,保证当专线链路出现物理故障而中断时,VPN链路能及时的起效,保证业务的不间断。
2、机房可靠性
机房配置专用UPS,保证在电力出现问题时,能维持至少6小时的故障处理、恢复时间。
3、双网逻辑隔离
考虑到当前县级单位局域网的现状,及全省要全面实现内网、外网物理隔离工作所面临的巨大资源、经费、人力、物力等问题,本方案中,先期采用逻辑双网隔离的措施,利用增设的管理网准入设备配合专用准入客户端软件,实现客户端PC机不能同时接入到互联网和管理类数据专网。
只有通过了管理网准入设备的PC机,才能访问专网,断开专网连接后,才能访问互联网。
该逻辑隔离方式,能有效的阻断来自互联网的可能的跳板攻击。
同时,采用准入的方式,可以有效的监管客户端PC的网络行为,提高数据专网的安全性。
相比物理隔离方式,具有更高的可操作性,能极大的降低物理双网隔离带来的巨大维护量。
能有效的促进县级单位、营业所用户的安全意识。
4、财务、营销专机专用及监控
对于财务、营销系统等配置的专用PC机,其不与互联网连接,专用于业务工作使用。
通过配置财务、营销专用客户端(专用用户组或账号方式),实现管理网的准入,有效杜绝其他用户对财务系统的访问。
财务、营销专用客户端可以采取MAC、机器码等硬件信息进行PC设备的识别,只有准入的硬件设备才可接入专网,防止滥用专用客户端。
5、内外网链路检测
接入管理类数据专网的PC设备,必须安装专用准入客户端,不安装的计算机将无法通过准入设备的认证,将只能访问互联网。
已经接入专网的PC设备,如果一旦检测到非法外联,即同时接通了互联网,其专网连接将立刻自动被断开,同时,在集团公司的监管服务器上会有非法外联的报警信息。
6、链路及终端接入情况统计
本方案中,所有县级下的供电所、营业厅都将采用运营商专线的方式,接入到县级单位的专网路由器上。
根据各个市级单位、县级单位及营业所的专网接入情况,在集团公司监管服务器上,能清晰的以图示的方式展现当前链路情况及PC终端接入情况。
8、产品清单
序号
物品名称
型号
配置说明
单位
数量
交换路由一体机
H3CMSR3620
1台主机、1台电源、1块24口千兆板卡
套
1
1
核心交换机
LS-5500-28C-SI
H3CS5500-28C-SI-以太网交换机主机(24GE+4SFPCombo+2Slots)
台
1
CAB-RPS500/800-1m
RPS电源线-1m-RPS500/800
LSWM1RPS800
H3CRPS800-A冗余电源系统
2
接入交换机
LS-S2152
H3CLS-S2152以太网交换机主机(48FE+2GE+2SFP+1Console口,无风扇)
台
3
3
准入控制
山石网科
SG-6000-E1700
硬件参数:
1U机框,含2个固化交流电源,9个千兆电口.软件参数:
含操作系统StoneOS,最大网络吞吐量1.5Gbps,最大并发连接数100万,每秒新建为1.5万,支持web管理功能。
系统软件功能模块包括:
分级访问控制功能、NAT地址转换功能、IPSecVPN、L2TPVPN、DDoS攻击防御能力、ARP功能、透明模式、路由模式、链路负载、VLAN子接口功能、静态路由协议、RIPv2协议、OSPFv2协议、BGP协议、GRE功能、ALG功能、组播功能、链路捆绑、等价路由、SNMP管理功能、TELNET管理、SSH管理、支持双机热备、支持集中管理等功能
台
1
4
多功能安全网关
山石网科
SG-6000-M3108
硬件参数:
1U机框,含2个固化交流电源,8个千兆电口,2个千兆光电互斥接口.软件参数:
含操作系统StoneOS,,最大网络吞吐量2Gbps,最大并发连接数100万,每秒新建为1.2万,支持web管理功能。
系统软件功能模块包括:
分级访问控制功能、NAT地址转换功能、流量控制、IPSecVPN、L2TPVPN、DDoS攻击防御能力、ARP功能、透明模式、路由模式、链路负载、VLAN子接口功能、静态路由协议、RIPv2协议、OSPFv2协议、BGP协议、GRE功能、ALG功能、组播功能、链路捆绑、等价路由、SNMP管理功能、TELNET管理、SSH管理、支持双机热备、支持集中管理等功能。
台
1
5
机房空调
ATP05C1
艾默生精密空调制冷量:
5700;显冷量:
5130;标准风量:
1300m3/h
台
1
6
不间断电源
EA902HRT
易事特2KVAEA902HRT;后备不小于6小时;单相三线(1Φ+N+PE);110Vac~295Vac±5V(半载),140Vac~295Vac±5V(满载),
186Vac~252Vac(旁路),输出电压稳定度≤±1%;
45hz~55Hz(50Hz),55Hz~65Hz(60Hz);功率因数≥0.98;输出功率:
2000VA/1800W;
台
1
7
机柜
爽欣
爽欣42U标准服务器机柜黑色、网孔、九折型材;2个1U万用PDU:
8孔;包含所有安装附件及材料
个
2
9
静电地板
JIME
冀美全钢防静电地板600×600×35mm;包含安装相关附件及材料(防尘漆、接地、防静电泄露网、地板安装支架、踢脚线等);原厂3年保修;
平米
18
11
综合布线改造
AMP(安普)
双口网络面板(含底盒);模块;24口110配线架;包含安装人工、附件及材料(配线架、桥架、线槽、模块、水晶头、成品跳线等)以及少量直线距离≤100米范围内的光纤连接(线路和设备)
信息点(个)
96