业主营地网络信息系统集成方案.docx

1、业主营地网络信息系统集成方案业主营地网络信息系统集成方案一、 前言 4二、业主网络现状及拓朴 41、现有信息内网 41.1、业务系统 61.2、网络系统 61.3、网管系统 61.4、广域网系统 62、现有信息外网 72.1、福州本部 72.2、XX工地和XX镇驻点 83、现有不间断电源 84、设计的网络综合布线 84.1 内网信息点统计 84.2 外网信息点统计 9三、建设目标 91、业主营地内部信息网络 92、业主营地外部信息网络 93、不间断电源系统 104、信息安全运行保障集中管理系统 10四、设计依据 10五、设计原则 10六、内部信息网络 121、主干网络 121.1、网络结构及技

2、术要求 121.2、设备选型 142、广域网接入以及网络系统安全 152.1、专线接入 152.2、防火墙 152.3、入侵防御系统 152.4、网络防病毒系统 152.5、系统漏洞修复 153、网络管理 163.1、网络设备的管理 173.2、服务器管理 173.3、计算机管理 183.3.1、布署欣向免疫墙路由器 183.3.2、布署公司域控制器 203.4、企业应用管理 214、视频会议系统分布调整 225、内网VLAN和IP地址规划 236、内部信息网络总体拓朴 23七、外部信息网络 251、主干网络 251.1、网络结构及设备技术要求 251.2、设备选型 252、互联网接入及网络系

3、统安全 262.1、互联网接入 262.2、外网系统安全 263、网络管理 264、外网VLAN和IP地址规划 275、外网网络拓朴 27八、不间断电源系统 291、中心机房UPS系统 291.1、UPS 功率统计 291.2、UPS 类型选择 301.3、设备选型 301.4、后备时间 312、弱电间及配线间UPS 系统 312.1、弱电间功率计算及UPS分析 312.2、配线间UPS分析 31九、机房信息安全运行保障集中管理系统 321、设计依据 322、设计原则 323、力禾SupMonitor简介 334、系统特点 345、系统性能 366、系统结构 377、系统功能 398、监测对象

4、及内容 418.1、配电系统 428.2、UPS电源检测系统 438.3、空调系统 448.4、温湿度检测系统 448.5、漏水检测系统 458.6、消防系统 468.7、视频监视系统 468.8、门禁系统 479、系统设备 481、前言某有限公司（以下简称业主）是某有限公司（以下简称总部）位于XX省的下属单位，目前办公地点有以下三个1、福州本部租用XX大楼的7楼8楼进行办公；2、现在XX县设有一个工地，建设业主营地；3、XX镇设立了一个驻点，方便业主人员在工地办公。在XX业主营地建成之后，将建设业主营地的大楼网络系统，以满足业主的办公及各项业务运行的需要。二、业主网络现状及拓朴1、现有信息内

5、网1）、福州本部信息内网利用XX集团原有的办公网络；2）、XX工地和XX镇驻点建设了临时办公网络；3）、总部、福州本部、XX工地及XX镇驻点采用基于SDH传输链路的IP技术进行广域网组网，实现数据的传输与交换；4）、总部和福州本部之间应用MPLS VPN技术承载多业务流，在数据传输的基础上实现与总部的视频会议功能。现有信息内网拓朴图如下：1.1、业务系统目前信息内网上运行的有以下五个业务：1、XX财务系统，属于VLAN106，服务器在总部，福州本部使用；2、XX财务系统，属于VLAN106，服务器在福州，福州本部使用；3、办公自动化系统，属于VLAN106，服务器在总部，全网使用；4、基建信息

6、系统，属于VLAN106，服务器在XX工地，全网使用；5、视频会议系统，属于VLAN103，服务器在总部，福州本部使用。1.2、网络系统目前信息内网中没有核心交换机，只有两台智能网管型二层交换机，一台H3C S3100-26C-SI，一台H3C S3100-26TP-SI，其他的都是不带网管的普通二层交换机。福州本部七楼八楼的楼层交换机是北电的智能网管型二层交换机，但是业主只有使用权，无法对其设置进行变更，只能做为普通的二层交换机使用。1.3、网管系统位于福州本部、使用XX财务系统的财务机，是总部指定访问的计算机，具体特殊性。除其之外，所有办公计算机全部由三台欣向NuR9266G免疫墙路由器进

7、行网络管理，阻止ARP欺骗攻击、控制网络流量，保证内网主干的畅通、各业务服务器能正常提供服务。1.4、广域网系统福州本部和XX工地之间租用中国电信的2M SDH专线进行连接，中间用H3C F100-A防火墙和H3C F100-A-SI防火墙实现广域网和内网的隔离；XX镇驻点和XX驻点租用中国移动的2M SDH专线进行连接，没有设置防火墙进行隔离。VLAN103和VLAN106在H3C AR46-40路由器上汇聚，应用MPLS VPN技术，通过租用中国电信的2M SDH专线与总部实现数据通信和视频会议功能，用 H3C F100-A做安全接入，实现与广域网和内网的隔离。2、现有信息外网2.1、福州

8、本部福州本部信息外网受场地限制，内部采用四台NetGera WG102无线接入点部署，客户端采用笔记本自带的无线网卡和NetGera WG101无线网卡连接。四台无线接入点通过一台欣向NuR5115M免疫墙路由器接入中国电信的光纤，连接到互联网，网络拓朴如下：2.2、XX工地和XX镇驻点这个两地方都是接入中国移动的光纤连接到互联网，所采用的设备也是由中国移动赠送的家用型路由器和普通交换机。3、现有不间断电源公司有一套3KVA的UPS系统，现布署在XX工地，为服务器和网络设备提供延迟供电服务；延迟供电1个小时。4、设计的网络综合布线业主营地四栋大楼的网络布线由土建单位进行五类屏蔽线布线。 办公楼

9、所有信息点全部汇聚到相应的楼层配线间； 业主宿舍楼所有信息点全部汇聚到二层的弱电间； 监理宿舍楼所有信息点全部汇聚到一层的配线间； 综合楼所有信息点全部汇聚到一层的配线间； 办公楼各楼层之间采用多模千兆光纤连接； 办公楼和业主宿舍楼、监理宿舍楼、综合楼之间采用单模千兆光纤连接。4.1 内网信息点统计地点信息点数终端个数备注办公楼222222合计2222224.2 外网信息点统计地点信息点数终端个数备注办公楼223223业主宿舍楼5858监理宿舍楼4373二层、三层为双人宿舍间综合楼1414合计338368三、建设目标1、业主营地内部信息网络 千兆为主干，百兆交换到各信息点； 接入XX公司的广域

10、网络； 建立安全系统 建立网络管理系统； 调整网络配备使视频会议系统在福州和XX两地都可以使用；2、业主营地外部信息网络 以千兆为主干，百兆交换到各信息点； 接入互联网； 建立安全系统 建立网络管理系统；3、不间断电源系统 办公楼中心机房设备的供电，并满足三到五年内信息系统扩容的需求； 办公楼各层配线间设备的供电， 业主宿舍楼弱电间设备的供电； 监理宿舍楼和综合楼配线间的供电。4、信息安全运行保障集中管理系统 中心机房进出监控管理； 中心机房设备运行环境监控管理。四、设计依据本次网络设计依据为：1. 由公司提供的XX勘测设计院的弱电设计图2. 向公司信息人员询问了解3. 公司原有网络拓朴图4.

11、 XX公司信息机房设计及建设规范（试行）5. XX公司广域信息网工程IP方案五、设计原则1) 先进性原则：以先进、成熟的网络通信技术进行组网，支持数据、语音和视像等多媒体应用，能确保网络技术和网络产品几年内基本满足应用的需求。要求采用的系统结构应当是先进的、开放的体系结构；采用的设备、技术应当是业界先进的；采用先进的现代管理技术，以保证系统的科学性。2)实用性原则：既从目前系统规模为出发点，充分考虑用户当前各业务层次、各环节管理中数据处理的便利性和可行性；又考虑长远发展的需要。3)开放性原则：网络要具有良好的开放性，应和其他网络有很好的互连性。4)高可靠性：应采用成熟的先进技术，关键部件要有足

12、够的备份冗余，要具备必要的容错能力。5)可扩展性：在网络技术日新月异的今天，网络要有能力和将来的技术融合，同时要保护现有投资，保证网络系统随时加入新的设备，保证有关软件的顺利升级和扩充。要求：网络规模的可扩展性，包括网络的地理分布、用户数；应用内容的可扩展性，要求网络平台必须具有数据、语音、视像等多种业务支持的能力；网络容量的可扩展性，要求整个网络系统随着用户规模和应用的扩展，网络的传输容量也必须能相应的提高。6)灵活性：整个网络系统必须满足便于安装、便于管理、便于维护、便于使用的要求。 7)安全性：网络的各个环节要尽可能多的提供安全保密措施，来保证网络的性能。安全措施应包括：系统漏洞检测修复

13、、防病毒、防黑客、防止非法或越权访问、安全策略控制等。8)可管理性：网络的建设必须保证网络运行的可管理性。要求可发现网络拓扑、实时监控网络性能、管理维护设备配置、防止网络攻击，并可迅速简便地进行网络故障的诊断。9)经济性原则：在满足系统需求及系统扩展的前提下，应尽可能选用性能价格比优的设备，以便节省投资。10)设计的标准化：整个网络从设计、技术、和设备的选择，为确保将来能够与不同厂家设备、不同应用、不同协议相连接，必须支持多种国际标准的网络接口、和协议，以提供高度的开放性。全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3， 802.3u，802.3z

14、等。支持路由协议：IP 的RIP v1/2，OSPF，BGP-4；IPX 的RIP ，SAP等。支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM、IGMP SNOOPING等。支持网络管理协议：SNMP，RMON，RMON2等。六、内部信息网络根据XX公司现有管理信息网的定位，内部信息网络的作用是：信息化业务应用承载网络和内部办公网络。1、主干网络1.1、网络结构及技术要求 保障核心网络不间断稳定运行采用双核心、双千兆上行的复合星形二级全冗余结构，实现核心网络不存在单点故障，即任意一台网络设备损坏不会造成主干网络的中断。 满足五到十年的接入容量核心交换机千兆光口引擎平台接入办

15、公楼各楼层交换机，以后还要接入中控楼和业主其他大楼的交换机，还要考虑一定冗余接入其他光纤设备。核心交换机千兆电口引擎接入业务应用服务器和机房内的交换机。根据其他中型电厂五到十年的信息网络建设情况来看，服务器数量在30台左右。并考虑一定的冗余。 具有三层交换、VLAN等高级网络功能核心交换机应具有三层交换功能，这对灵活划分网络、安全管理有着重要的作用。子网内部用户之间通信通过子网交换机在第二层（数据链路层）实现，跨子网的通信通过核心交换机在第三层（网络层）实现。采用第三层交换技术，既能实现子网间的信息通信又能对重要子网实施必要的访问控制，避免子网内部数据广播向其他子网扩散，同时方便网络的安全管理

16、。选用的网络设备既要支持虚拟局域网技术，以提供透明的链路通道；又必须支持大多数网络协议，提供网络服务，开展网络应用。这就决定了所有设备必须是可以工作在第二层或第三层的，具有每层对应的管理、安全控制功能。 支持各种管理机制和安全机制为保证用户带宽，除了采用各种服务质量机制和带宽管理机制外，设备还必须提供全线速的交换和路由能力，有足够大的MAC地址表和路由表。为保证信息内网网络的安全性，设备本身必须支持各种安全机制，确保设备本身不会被轻易入侵。1.2、设备选型基于上述各方面考虑，还有总部的网络都是采用H3C公司的产品，为保证兼容性，采用以下设备： 2台H3C S7503E-S以太网交换机作为核心交

17、换机；各配置：- 1个24口千兆光口引擎（其中8个口光电复用）；- 5个千兆多模光纤模块来接入各楼层的交换机；- 1个48口千兆电口引擎；- 2个电源模块，保证核心交换机不会因一个电源模块损坏而断电。 2台H3C S3100-52P 和 8台H3C S3100-26TP-EI做为楼层交换机，配置：- 5个堆叠模块；- 5个千兆多模光纤模块。 1台H3C S5100-24P-EI千兆交换机做为管理交换机，用于接入服务器的管理网口和一些管理设备。2、广域网接入以及网络系统安全2.1、专线接入广域网接入继续沿用福州到XX的2M SDH专线，只需将原有线路的XX地点做一个变更。2.2、防火墙原有的H3

18、C F100-A-SI 防火墙185Mbps的吞吐量目前满足一条2Mbps 的专线流量，因此继续使用。2.3、入侵防御系统入侵检测系统IDS主要作用是通过监听的方式不间断地收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图；如果发现威胁，就通过各种手段向管理员报警。类似于大楼中的视频监控系统。入侵防御系统IPS则比IDS更进一步，如果发现威胁，就会主动进行阻断。IDS/IPS可以防止黑客入侵，防止非法/越权访问，是防火墙的必要补充。广域网入口处，H3C F100-A-SI防火墙的与核心交换机中间布署一台入侵防御设备 H3C SecPath T200E IPS。2.4、网

19、络防病毒系统防病毒系统及服务器由业主总部统一采购无需配置。2.5、系统漏洞修复目前公司都是采用微软的Windows系列操作系统，服务器也大部分采用微软Windows Server系列操作系统。Windows因使用者众多，成为黑客和病毒制造者攻击的首要目标，各种漏洞和攻击手段不断地被发现。微软公司为此不断地开发补丁程序来修复漏洞，尽量使Windows避免攻击。因此及时地修复计算机操作系统的补丁，可以避免许多黑客和病毒的攻击。微软公司针对企业推出的免费内网更新工具 - Windows Server Update Services ，简称WSUS。企业网络中部署一台WSUS服务器，WSUS每天自动与

20、微软公司的更新服务器保持同步，企业网络中其他服务器和计算机从WSUS服务器获取更新。建议在外网和内网各布署一台WSUS服务器，外网WSUS服务器自动同步，并通过移动存储设备与内网WSUS服务器同步。WSUS系统可以布署在防病毒服务器上。3、网络管理网络管理，是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作，包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。网络管理包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制。对于公司的内网管理，我们将其分为四个方面：1网络设备的管理2服务器的管理3计算机的管理4企业应用管理3.1、网

21、络设备的管理网络设备的管理体现为发现网络拓扑、实时监控网络性能、管理维护设备配置、并可迅速简便地进行网络故障的诊断。对于以H3C网络设备组建的网络，最适合的网络管理软件应当是H3C开放智能管理中枢（H3C Intelligent Management Center，以下简称H3C iMC），作为H3C IToIP整体解决方案的重要组成部分，H3C iMC采用面向服务架构（SOA）的设计思想，融合并统一管理业务、资源和用户这三大IT组成要素，通过按需装配功能组件与相应的硬件设备配合，形成直接面向客户应用需求的一系列整体解决方案，从而成为H3C IToIP整体解决方案的开放智能管理中枢。H3C i

22、MC 主要是通过SNMP网络管理协议来管理网络中支持SNMP协议的设备。许多设备都支持SNMP网络管理协议，因此H3C iMC也都可以管理这些设备。H3C iMC 还有其他扩展模块，如端口准入、智能报表等模块，可在后期根据需要进行采购。采用H3C iMC-智能管理平台标准版(不含节点) For Windows和管理25节点license，如果管理节点license不够，以后再继续增加。另外还需要布署一台服务器运行H3C iMC 网络管理软件。3.2、服务器管理在一个大中型企业的信息网络系统中，都有各种各样的应用系统，而这些系统的核心都是建立在服务器之上，因此信息网络系统中就会有数量不少的服务器

23、。如何管理这些重要的设备，是网络管理员的工作重点之一。首先应要求服务器支持SNMP管理，这样我们可以网管软件中监测服务器运行状况，出现故障也可以通过网管软件报警；其次服务器应能支持硬件远程管理，这个机房分散而且网络管理人员较少的企业尤为重要。硬件远程管理可以对服务器进行远程开关机、配置、安装操作系统等硬件级别的操作，可以使网络管理人员更为便捷地维护安装服务器，还可以节省服务器光驱、显示器、键盘鼠标、KVM等设备，提高机柜的利用率。服务器硬件远程管理技术，IBM服务器有BMC、HP服务器有iLO、DELL服务器有iDRAC、联想有慧眼。推荐使用 HP的服务器。3.3、计算机管理PC是信息网络中数

24、量最多、最难管理的终端设备，PC管理存在以下几个问题：病毒首先感染的都是PC，PC是网络中的病毒进行网络攻击的源头；不受限制的上传下载，严重堵塞互联网出口或广域网出口；安装的软件繁杂，出现软件冲突机率大；使用者计算机水平不一，办公设备多，问题故障也比较多。为处理这些问题，公司网络管理员疲于奔命，埋头于这些繁琐的事情之中，根本腾不出时间来对公司网络进行分析、规划、优化；也严重影响其他员工的工作效率。对此，应采用一些措施来尽量解决这些问题，帮助网络管理员减轻负担、提高管理效率。3.3.1、布署欣向免疫墙路由器我们可通过H3C 网络管理软件来对每个信息点的端口进行流量限制，甚至可以将发送网络攻击PC

25、所有的端口进行关闭隔离，但那都是获取警告之后的事后处理，此时病毒和木马已经开始蔓延了。如果一个端口下方不止有一台PC或有其他网络设备，对端口进行处理就会把它们都限制了。目前市面上的防病毒软件可以处理已知的病毒，新病毒被查杀的概率很小，只有等到防病毒软件公司采集到样本之后，其软件才有查杀能力。而这个之前，病毒已经获得广泛的传播。因此我们需要布署欣向免疫墙路由器，它由路由器硬件设备、运营中心服务器和客户端驱动程序三部分组成，它们之间使用专有协议进行通讯。路由器硬件负责客户端授权，并对访问路由器外部资源的PC进行强制安装客户端；运营中心服务器对安装上客户端的机器进行分组管理，根据工作性质配置相应的分

26、组策略，收集PC网卡的流量报告和报警日志；客户端驱动程序绑定在PC的网卡之上。对PC机的外网流量和内网流量根据分组策略进行控制；对ARP攻击、虚假IP、虚假MAC地址等危害性比较大的网络攻击进行主动封锁，甚至主动进行PC隔离，由网络管理员处理之后再手动解除；对于IP分片、IP残片、DDOS、SYN洪水等需要海量发送才会产生危害的网络攻击少量放行，超过限制就主动封锁。根据设计，公司内网有240个终端点，考虑15%的增长量，大概为276点，配置一台400个授权的欣向9528免疫墙路由器。由于免疫墙路由器无法对VLAN TAG进行透明传输，因此在内网不能作为网关型设备使用，只作为旁路型设备接入网络。

27、旁路接入无法对PC机强制安装客户端，我们可以使用其他补充手段来解决。3.3.2、布署公司域控制器1996年微软公司发布了一个里程碑式的软件 - Windows NT Server 4.0，NT4.0 和 Windows95一起，为微软奠定了软件帝国的基础。NT4.0 提出了域服务器这个概念，主要作用是：1.安全集中管理：统一安全策略，网络管理员只需在服务器上进行设置即可实现，无需每台PC都进行设置；2.软件集中管理：实现软件分发、指派功能，对于一些软件可以由网络管理员分发、指派，PC机登录域的时候自动安装；3.环境集中管理、漫游：利用AD可以统一客户端桌面,IE,TCP/IP等设置，每个用户的

28、Windows配置存储在服务器上，在福州、在仙游两地的办公电脑环境几乎完全一样；4.活动目录：为公司整体统一管理做基础，其它isa、exchange、防病毒服务器、补丁分发服务器、文件服务器等服务依赖于域服务器；5.用户权限：可以对用户分配不同的访问网络资源权限，而且超级管理员权限配合DameWare NT Utilities软件可以远程登录任一登录域的电脑进行远程软件维护、安装，实现网络管理员对故障的快速反应。布署域控制器需要一台服务器。3.4、企业应用管理随着公司和总部信息化的深入，将会有越来越多的应用系统交付使用，这样，记忆众多的应用系统地址和相关事项是一样相当困难的事。因此建议公司在内

29、网建立一个公司门户网站，把各应用系统的地址和相关事项公布在上面，实现应用导航。日后公司还可以根据实际情况，增加公司门户网站的功能，使公司门户网站成为更好的办公辅助工具。简单的公司门户网站可以布署在域服务器上，使用Apace 等免费开源软件来架设WEB服务器，因为用Windows 2003/2008服务器操作系统自带的IIS来架设WEB服务器，还需要购买一个WEB授权。4、视频会议系统分布调整公司原来有一套视频会议系统，在与总部进行视频会议时使用，布署在福州本部的八楼会议室，通过物价XX内的楼层跳线直接接入到路由器H3C AR46-40的Eth1口上，属于VLAN103，接入福州本部和XX网络的

30、Eth0口上没有开放VLAN103。业主营地大楼建设完成之后，公司领导将会经常在业主营地的会议室参加视频会议，到时是将福州的这一套视频会议系统迁到福州，还是新买一套放在XX由公司领导决定，但我们可以在网络上进行事先调整，以适应这两种情况的发生。 由于福州本部的网络设备中没有能打VLAN标签的H3C 智能交换机，所以我们将原先布署在XX镇驻点的H3C S3100-26C-SI交换机调整到防火墙的下方，用它来打VLAN TAG； 将路由器H3C AR46-40 Eth1口上的视频会议系统迁移到H3C交换机下，所在端口打上VLAN103的标签； 关闭Eth1接口上的VLAN103，开放Eth0接口上的VLAN 103； 福州本部的网络通过欣向9266G也接入H3C交换机，所在端口打上VLAN106标签； 将业主营地准备放置视频会议系统的会议室端口打上VLAN106标签。这样，不论是福州的视频会议系统迁移下去，还是配置好的新购视频会议系统，接在会议室的端口上，就可以使用了。5、内网VLAN和IP地址规划根据XX公司广域信息网工程IP方案和现在总部布署情况，对内网的VLAN和IP地址规划如下：VLAN IDVPN通道IP地址段网关功能使用设备Vlan100VPN199.56.233.0/2499.56.233.254实时生产信息