局域网建设技术协议(最终)
华电渠东发电有限公司
厂前区局域网建设技术协议
甲方:华电渠东发电有限公司
乙方:济南安正科技有限公司
2010年10月
河南 新乡
第一章 项目概述
1.1 项目简介
本工程是建设华电渠东发电有限公司管理信息系统(MIS ),主要针对厂前区(办公楼、综合楼、检修楼、临建区)进行网络规划,为日后覆盖公司内所有的建筑物及功能楼宇,使每个信息接入点能高速有效的接入到公司局域网网络当中做准备。网络平台的建设能够使全厂各类应用在网络平台上稳定安全的运行。网络建设为生产和管理的相关单位、部门提供实时的数据查询、录入,为全厂的办公自动化提供有效的支持。
为满足公司信息系统的运行,以及今后与相关应用系统的建设,本项目将采用两台核心交换机作为网络中心交换机,各分布点按应用的不同,使用不同接入层交换机。对公司现有设备进行集中调试,将现有的计算机临时机房中设备进行迁移至中心机房,重新配臵服务器、交换机、防火墙等,规划新网络结构,最终达到整个网络安全、可靠。因此方案只涉及厂前区局域网建设,为避免日后全厂局域网建设与本项目无法衔接,在进行全厂局域网建设时施工方需提供人员及技术,配合日后全厂MIS 调试。需标记部分必须用标签机打印标签,在机柜、设备及跳线上做完整标记。
1.2 网络现状
目前公司现有网络是通过一条2M 专线连接华电广域网系统,在公司出口部署一台防火墙,一个广域网接口,一个局域网接口,一个互联网接口,通过网通连接互联网,防火墙局域网接口连接本地接入交换机。目前连接临时办公区的计算机约80台,在防火墙路由器中使用默认路由至互联网,将去往华电系统网段(10.0.0.0)的数据路由指向华电国际路由器。
接入交换机与临时办公区综合布线使用一个网络机柜。现有1台OA 服务器、1台网站服务器,部署于一个服务器机柜中,直接通过双绞线连接在局域网接入交换机上。
1.3 总体要求
本网络系统作为全厂MIS 网络系统中的一部分,也作为原有基建期网络环境的全面扩展和补
充。要求能够结合现有基建网络设备进行合理规划,保护投资,同时保证今后MIS 系统服务器、数据库、计算机网络设备应用的高安全、高可靠的运行。
本网络系统应该是一个技术先进、成熟可靠、灵活扩展、标准开放的系统,并且能够综合考虑到该系统的中长期发展计划,在结构、维护应用、网络管理等各个方面适应未来网络的扩展,最大程度地保护投资,成为华电渠东发电有限公司一个可靠运行的强大网络系统的重要组成部分。
因此项目是厂前区局域网,中标方需负责临建机房部分设备搬迁至中心机房,并进行相关安装及调试,搬迁前需提供书面迁移方案。中标方需提供技术支持配合日后全厂MIS 调试。需标记部分:必须用标签机打印标签,在机柜、设备及跳线上做完整标记。
系统建成后,整个网络主干实现1000M 互连,核心交换机与各个楼的接入交换机,采用1000M 双线路连接,两个线路互为备份,如果其中一条线路故障后另一条线路自动接管所有从接入交换机到核心交换机的数据;各接入交换机端口实现10/100/1000M自适应,以满足设备的高速接入需求。两台核心交换机做热备份方式,实现关键设备的冗余;上网行为管理设备架设在防火墙与核心交换机之间,采用透明桥接模式,实现对所有办公用户的管理。保证在工程完工时,具备整体办公使用条件。
对信息管理人员进行培训确保其可自行配臵本次招标中所有设备并取得思科认证证书。 质保措施:保证1年内招标范围内的所有设备不出现任何故障,若出现应保证在24小时内免费上门维护解决相关问题。
1.4 需求特点
华电渠东发电有限公司网络必须具备以下特点:
● 高可靠性
● 高性能
● 高可扩展性
● 高品质的网络服务质量(QoS )
● 高稳定性
● 良好的维护简易性
● 低成本等
第二章 设计原则及建设需求
2.1 遵循标准
本方案提供的系统技术均满足如下的行业标准和规程要求:
✧ 《计算机软件工程规范国家标准》
✧ 《计算机开放系统互连国家标准》
✧ 《信息系统安全技术国家标准》
✧ 《信息分类与编码国家标准》
✧ 《计算机图形国家标准》
✧ 《信息技术开放系统互连OSI 登记机构的操作规程》
✧ 《计算机信息系统安全保护等级划分准则》
✧ 《微型计算机通用规范》
✧ 《能源部电力行业计算机管理信息系统总体设计规范》
✧ 《计算机软件开发规范(GB8566-88)》
✧ 《电网和电厂计算机监控系统及调度数据网络安全防护规定》,国家经贸委[2002]30令 ✧ 《计算机信息网络国际联网安全管理办法》,公安部1998年发布
✧ 《关于维护网络安全和信息安全的决议》,全国人大常委会2000年10月审议通过
✧ 《中华人民共和国计算机信息系统安全保护条例》,国务院1994年发布
✧ 《计算机信息系统安全保护等级划分准则》(GB 17859-1999),公安部1999年发布
✧ 《计算机场地技术要求》(GB2887-82)
✧ 《IEC60870-5-101 基本远动配套标准》
✧ 《电力系统调度自动化设计技术规程》(DL5003-1991)
✧ 《火力发电厂设计技术规程》(DL5000-2000)
✧ 《电站锅炉性能试验规程》(GBl0184—88)
✧ 《电站汽轮机性能试验规程》(GB8117—87)
✧ 《火力发电厂技术经济指标计算方法》(修订稿2000,6)
✧ 《发电厂调峰技术和安全导则》(原能源部,1990,12)
✧ 《ASME —1965》(美)
另外,本方案提供的软、硬件系统技术还均符合下列国家和标准组织发布的相关标准最新版本和相关的工业事实标准的的最新版本:
✧ iEEE
✧ ISO
✧ TCP/IP
✧ IEEE802
✧ GB
✧ ASA
✧ ANSI
✧ IEC
✧ NSS
✧ MSS 美国电气电子工程师学会 国际标准化组织 网络通讯协议 局域网标准 中华人民共和国国家标准 美国标准协会 美国国家标准学会 国际电工委员会 维修标准化协会 制造商标准化协会
2.2 设计原则
网络规划方案在设计上应力求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和实用性。具体来讲,其设计遵循以下原则:
成熟先进――指信息系统的各种计算机设备、网络技术和管理模型技术上均要成熟先进。 安全可靠――指存储于系统中的信息是安全的,可以有效防止有意或无意的侵犯及恶意的攻击,在系统遭受意外损坏的条件消除后,系统具有自动恢复到受损前状况的能力。
开放可变――指建成的信息系统是一个开放式系统,其硬件平台、软件平台、数据应用环境均是开放的,可以方便的与其他系统共享信息,可以根据需要对系统进行裁剪组合或扩充变动,以提高其适应性。
集成可管――组成的信息系统是一个集成化的系统,其数据是完全一致,统一管理的;其各个用户界面与操作方式是一致的;用户的各项操作均由系统自行登录,信息系统的运行状况可以统一管理和控制。
实用方便――指系统的各项功能均是结合公司经营管理业务实际的,各项性能均满足使用要求,操作简便,输出规范。
2.3 网络建设需求
此次网络建设按照横向分区的原则进行模块化网络设计,主要包括新办公楼信息中心机房内服务器接入网络,办公室、综合楼、检修楼、临建区客户端接入有线网络,办公室、综合楼客户端接入无线网络系统,互联网接入网络,广域网接入网络,到集团公司广域网接入网络,安全管理系统接入网络等。
办公大楼采用六类结构化布线系统,每个楼层设弱电间,汇聚水平双绞线,并通过光纤汇聚到中心机房网络区的主配线架,配臵8台楼层交换机实现楼层信息点的接入,实现千兆双链路上联到核心交换机。另外,考虑到移动办公的需求,在办公楼会议室内部署无线网络系统,配臵11个AP 移动办公和公共区域的信息点接入。
广域网网络链路通过2M E1专线互联公司端防火墙接口。
互联网接入网络部署2台防火墙,并通过2台不同运营商链路连接到Internet ,提供接入的冗余。并在整个互联网出口部署综合安全网关进行安全防护,网关防病毒,主动防御,进行流量管理和分析,针对终端用户和应用进行带宽管理、检测和限定。
网络安全系统,包括出口安全、边界安全和内网安全,其中内网安全系统,需要部署一台上
网行为管理设备,内网用户必须认证并按照不同的分组授予不同的网络访问权限,加强对客户端的安全管理,防止外来人员未经允许接入网络,保证内网安全策略的一致性。
新建的网络系统能够满足:
◆ 采用有效的汇聚技术解决广域网的互连问题,主要是通过信道化技术和MSTP 以太
网技术解决链路随需求扩展的问题。
◆ 解决网络的单点故障问题,提高广域网的可靠性及安全性。
◆ 解决公司员工的网络接入和服务器的高效连接。
◆ 建成后的网络应能实现各个业务系统之间的网络互相隔离或者可控访问。
◆ 建成后的网络应能实现局域网用户的鉴权和桌面安全接入。
◆ 建成后的网络应能提供灵活的接入方式,如SSL VPN方式接入。
第三章 MIS系统设计方案
3.1 网络拓扑结构
整个网络采用星型拓扑结构设计。星型拓扑结构是一种以中央节点为中心,把若干外围节点连接起来的辐射式互联结构。这种连接方式以双绞线或光缆作连接线路。
星型拓扑结构优点:结构简单、容易实现、便于维护管理、便于系统扩展。
根据层次化网络和模块化设计思想的原则,把整个网络体系结构分为以下层次:
核心层-----由2 台网络核心交换机组成。
接入层-----接入层包括办公区的二级交换机,厂区的二级交换机,以及Internet 接入网。它们的网络安全级别是不同的,由防火墙与上网行为进行访问控制。
华电渠东发电有限公司采用横向分区、纵向分层的模块化设计,分为核心交换区、客户端区、互联网区、广域网区、数据中心服务器区等6个区域。
采用两台的Cisco Catalyst 4507R交换机,通过千兆链路连接广域网络边界防火墙、DMZ 子区的安全过滤网关、SSL VPN等安全设备,并通过光纤千兆链路连接楼层交换机。
无线AP
光电收发器
华电渠东发电有限公司MIS 网络拓扑结构图
3.2 网络速率
以太网是在 20 世纪 70 年代研制开发的一种基带局域网技术,使用双绞线缆电缆作为网络媒体,采用载波多路访问和冲突检测( CSMA/CD )机制,如今以太网更多的被用来指各种采用 CSMA/CD 技术的局域网。以太网的帧格式与 IP 是一致的,特别适合于传输 IP 数据。以太网由于具有简单方便、价格低、速度高等,被广泛应用到局域网。
根据我公司的实际情况,结合以太网速率的标准,网络速率选型如下:
1、办公楼千兆接入网络、综合楼、检修楼、集控室等各楼宇单元的办公用户全百兆接入网络;
2、两台核心交换机之间使用千兆双机互联;
3、2兆联入广域网;
4、百兆联入互联网。
3.3 网络方案整体设计
3.3.1 核心交换区设计
采用两台4507R 交换机做为整个MIS 网络系统的核心设备,形成一个高性能转发核心。
3.3.2 用户接入区设计
客户端区主要实现楼层信息点的接入,包括有线接入和无线接入。
3.3.2.1 有线网络设计
办公楼采用结构化布线,每个楼层设弱电间,汇聚水平双绞线,并通过光纤汇聚到中心机房网络区的主配线架,楼层配臵Cisco Catalyst2960系列交换机,每台交换机能够实现24或者48个信息点千兆接入,如果某个楼层的信息点较多,也可以利用堆叠技术实现接入多于48个信息点的接入。综合楼、检修楼配臵Cisco Catalyst2960系列交换机,每台交换机能够实现24或者48个信息点百兆接入。
3.3.2.2 无线网络设计
对于会议室或走廊等公共区域,主要考虑到来访人员的办公和公司人员的移动办公需要,通过在楼层交换机接入无线AP 实现,来实现移动办公。
3.3.3 网络边缘出口设计
防火墙是解决子网的边界或者内部子网之间安全问题、实现网络访问控制的有效解决方法。
防火墙的目的是要在高安全等级和低安全等级(可信网络和不可信)的两个网络之间建立一个安全控制点。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。它通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet 或内部网不同安全域之间的各种活动,保证了内部网络的安全。
具体地说,设臵防火墙的目的是隔离高安全等级网络和低安全等级网络,保护高安全等级网
络不受攻击,实现以下基本功能:
禁止外部用户进入内部网络,访问内部机器;
保证外部用户可以且只能访问到某些指定的公开信息;
限制内部用户只能访问到某些特定的Internet 资源,如WWW 服务、FTP 服务、TELNET 服
务等;
限制内部用户只能访问到内部网络中某些特定资源和服务等;
防火墙已经成为网络安全防范体系中必不可少的重要环节。
在华电渠东发电有限公司网络系统中存在多个互联边界:INTERNET 边界、与集团公司互联边界、与施工单位、监理等协作单位互联边界。由于华电渠东发电有限公司与上述互联单位存在比较紧密地数据交换,在一定程度上需要允许访问电渠东发电有限公司数据资源,同时绝对禁止非授权资源的访问,所以访问控制的设计尤为重要。
防火墙采用天融信 NGFW-TG-4324,该防火墙具有6个百兆以太网口,吞吐量达到100M ,
最大并发连接数为500000,每秒新建连接数为10000。该防火墙支持多达50个虚拟防火墙,本方案配臵50个,同时,该防火墙还可以作为VPN 网关,默认提供2500个IPsec VPN的拨入。
本方案中虚拟防火墙结构,物理上NGFW-TG-4324的6个百兆以太网口全部连接到核心交换
机,通过虚拟划技术,一个NGFW-TG-4324虚拟出4个虚拟防火墙(本方案的配臵下可以支持50个)。4个虚拟防护墙分别作为专网、INTERNET 、协作单位和局域网核心数据中心的隔离。为了实现外联网络对本网络的有控制的访问,把其需要访问的数据资源部署在各自的DMZ 区(如图)。
如:WEB 服务器、邮件服务器等部署在互联网防护墙的DMZ 区,允许外部用户访问该DMZ
区,但绝对禁止进入内网。同样的方法也适用于其它外联用户的访问。
3.3.4上网行为控制设计
上网行为管理产品可助您实现对互联网访问行为的全面管理,可在P2P 流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。上网行为管理为您解决以下问题:
◆ 防止带宽资源滥用
通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P 、在线视频、大文件下载等不良应用所占用的带宽,保障OA 、ERP 等办公应用获得足够的带宽支持,提升上网速度和网络办公应用的使用效率。
◆ 防止无关网络行为影响工作效率
上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整,包括基于不同用户身份差异化授权、智能提醒等。
◆ 记录上网轨迹满足法规要求
上网行为管理产品可以帮助组织详尽记录用户的上网轨迹,做到网络行为有据可查,满足组织对网络行为记录的相关要求、规避可能的法规风险。
◆ 管控外发信息,降低泄密风险
上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,为组织保护信息资产安全,降低网络风险。
◆ 掌握组织动态、优化员工管理
上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工,并通过关键字报表和热贴报表来反映员工思想动态。风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理风险,而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态,并以此为基础实施组织文化建设、制度改进等针对性措施,从而提高员工管理水平。
◆ 为网络管理与优化提供决策依据
上网行为管理产品提供了丰富的网络可视化报表,能够提供详细报告让管理者清晰掌握互联网流量的使用情况,找到造成网络故障的原因和网络瓶颈所在,从而对精细化管理网络并持续加以优化提供了有效依据。
◆ 防止病毒木马等网络风险
通过部署上网行为管理产品,利用其内臵的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入、DOS 防御、ARP 欺骗防护等多种安全手段,实现立体式安全护航,确保组织安全上网。
◆ 降低成本且有效推行IT 制度
上网行为管理产品能够实现用户网络权限的细致分配以及带宽的优化管理,通过事前精细规范、事中智能提醒、事后报表呈现等手段实现有效管理;通过将是否具备上网权限与用户对IT 制度的遵从情况进行绑定,强制要求用户遵从组织IT 制度里的各项细则规定(如必须安装指定的杀毒软件或桌面管理软件等),并且可以根据组织要求进行各种智能提醒,通过创新技术的应用,让IT 管理制度融入每位用户的日常工作中。
3.3.5 数据中心服务器区详细设计
数据中心服务器区为提供各种应用系统的区域(如:财务应用、两票系统、燃料系统等)。该
区域设计为各应用服务器双网卡直接互联核心交换机,可提供高速的网络交换访问。
3.4 连接华电国际广域网方案
华电渠东发电有限公司一期工程在基建期已经通过接入路由(Juniper J-6350-JB )和VPN 防火墙(天融信 NGFW 4000)和2M 的SDH 线路连接到华电国际的广域网中。本项目在广域网连接设计中将采用原有的设备和线路。广域网连接的路由配臵保持不变,不改变原有连接华电国际广域网的任何配臵,只做设备迁移。连接局域网的配臵根据新的网络建设IP 地址规划、VLAN 规划做相应的调整。
3.5 IP 地址分配原则
我公司的外网口地址为222.142.41.197,华电国际分配给我公司内部地址为10.141.8,10.141.9,10.141.68,10.141.69四个地址段。IP 地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。充分利用申请到的地址空间,及考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。
IP 地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将对公司网络的可用性、可靠性与有效性产生关键影响。因此在对IP 地址进行规划建设的同时,应充分考虑本地网对IP 地址的需求,以满足未来业务发展对IP 地址的需求。
IP 地址规划遵循以下原则:
1、IP 地址的规划与划分考虑到公司网络的飞速发展,能够满足未来发展的需要;即要满足本期工程对IP 地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
2、IP 地址的分配要有足够的灵活性,能够满足各种用户接入如宽带接入、专线用户等的需要;
3、专线子网中专线用户的IP 地址由本网统一分配,用户的地址尽量连续整齐,便于在出口作summary 。分配地址块时遵循从大到小的原则:所有路由器的LOOPBACK 地址可采用一个单独的网段,并使用32位掩码。
4、整网IP 地址分配和路由协议支持VLSM ,以充分利用地址空间。支持CIDR ,以利于减少路由表大小,提高路由效率。整网网段掩码如下:点到点Link 使用30位掩码;LOOPBACK 使用32位掩码;根据应用服务器的类型和数量,合理分配服务器区地址空间;根据客户端中部门的数量、部门人员及扩编需要,合理分配客户端区的Vlan 的地址空间。
以部门、应用,办公区域为依据,将整个厂区的IP 地址划分为7个VLAN 和两个互联地址段。
VLAN 1
VLAN 1 作为网络交换机设备的管理VLAN ,使网络管理人员能够对网络交换设备进行远程登陆,方便的管理网络交换设备。由于这个地址段不需要到出口,所以可以用私有地址。
地址段 192.168.1.1-192.168.1.254 子网掩码:255.255.255.0 (可用254地址) 从核心开始依次使用上述IP 地址,即
核心机房:WS-C4507R-E
主核心:192.168.1.1备核心:192.168.1.2
综合楼:WS-C2960G-48TC-L
综合楼一层192.168.1.3综合楼二层192.168.1.4综合楼三层192.168.1.5综合楼层192.168.1.6综合楼五层192.168.1.7,其他位置的交换机依次排序就可以。
VLAN 10
VLAN 10 作为服务器群的接入VLAN ,将服务器群放置在此VLAN 中。
地址段 10.141.8.1-10.141.8.64 子网掩码:255.255.255.224
其中10.141.8.1作为双机热备的虚地址——也就是这个VLAN 中的计算机的网关地址。 10.141.8.2 ,10.141.8.3 作为两个核心交换机的实地址,分配给服务器的地址可用地址段为10.141.8.4-10.141.8.62 (可用59地址)
VLAN 20
VLAN 20 作为财务办公的VLAN ,将整个财务办公的计算机放置在此VLAN 中
地址段 10.141.8.65-10.141.8.94 子网掩码:255.255.255.224
其中10.141.8.65作为双机热备的虚地址——也就是这个VLAN 中的计算机的网关地址,10.141.8.66, 10.141.8.67作为两个核心交换机的实地址,分配给财物计算机的可用ip 地址段为:10.141.8.68-10.141.8.94(可用27地址)
VLAN 30
VLAN 30作为办公楼计算机接入VLAN ,办公楼上除了财务的计算机,其他的计算机都在此VLAN 中。(根据部门详细划分内部vlan )
地址段:10.141.9.1-10.141.9.254 子网掩码:255.255.255.0
其中10.141.9.1作为双机热备的虚地址——也就是这个VLAN 中的计算机的网关地址,10.141.9.2 ,10.141.9.3作为两个核心交换机的实地址,分配给办公楼的计算机的可用ip 地址段为:10.141.9.4-10.141.9.254 (可用251地址)
VLAN 40
VLAN 40作为整个工作现场的接入VLAN ,工作现场包括:中水、工程师站、集控中心、除灰、脱硫、化水、汽车衡、输煤、凝结水、煤场、铁路办公楼等工作一线。(根据能否上外网详细划分vlan )
地址段:10.141.68.1-10.141.68.126 子网掩码:255.255.255.128
其中10.141.68.1作为双机热备的虚地址——也就是这个VLAN 中的计算机的网关地址,10.141.68.2, 10.141.68.3作为两个核心交换机的实地址,分配给生产的计算机的可用ip 地址段为:10.141.68.4-10.141.68.126 (可用123地址)
VLAN 50
VLAN 50作为检修楼接入VLAN 。(根据能否上外网详细划分vlan )
地址段10.141.68.129-10.141.68.254 子网掩码:255.255.255.128
其中10.141.68.129作为双机热备的虚地址——也就是这个VLAN 中的计算机的网关地址,10.141.68.130 10.141.68.131作为两个核心交换机的实地址,分配给检修的计算机的可用ip 地址段为:10.141.68.132-10.141.68.254 (可用123地址)
VLAN 60
VLAN 60作为综合楼等后勤部门,及临建区的接入VLAN 。
地址段:10.141.69.1-10.141.69.254 255.255.255.0
其中10.141.69.1作为双机热备的虚地址——也就是这个VLAN 中的计算机的网关地址,10.141.69.2 ,10.141.69.3作为两个核心交换机的实地址,分配给视频终端的可用ip 地址段为:10.141.69.4-10.141.69.254 (可用123地址)
视频会议路由器直接连到视频终端。Ip 为10.141.8.253
互联地址
核心交换机与防火墙或者深信服安全设备之间相连需要互联地址。
地址段:192.168.0.1-192.168.0.254 子网掩码:255.255.255.0
天融信内网口地址192.168.0.1
深信服上网行为管理管理地址192.168.0.2
核心交换机上联口虚地址192.168.0.3
两台核心交换机上联口实地址192.168.0.4 192.168.0.5
10.141.8.97-10.141.8.254地址可以备用
第四章 网络实施方案
4.1 设备命名原则
网络设备命名根据易用、易记的原则进行设计,具体分三类命名。
1、核心交换机Catalyst4507R 交换机设备命名分为三部分,
如:C4507R-CORE-1
其中:
C4507R 代表设备类型
CORE 代表核心交换机
1 代表设备编号
2、客户端区接入交换机设备命名分为四部分:
如:C2960-AS-CLT--1
其中:
C2960 代表设备类型
AS 代表接入交换机
CLT 代表区域
1 代表设备编号
3、防火墙设备命名分为三部分:
如:FWSM-CORE-1
其中:
FWSM 代表模块类型
CORE 代表局域网模块
1 代表设备编号
4.2 系统安装调试及方案制定
保证系统调试方案作为工程施工计划的一部分,我们将在开始系统调试前制定方案,共同确认后,方可进行调试。所有调试步骤、方法及技术资料需写纸质文件,形成完整的竣工资料装订成册后方可验收。
系统调试方案的内容包括:
● 网络设备基本参数配臵(主机名分配规则、网络设备登陆密码分配规则、核心交换机、及接入交
换机配臵等)
● IP 地址分配方案(包括核心层网络地址分配、接入层网络地址分配、远程访问层网络地址分配、
主机系统网络地址分配、网络设备管理地址分配等)
● 网络接口参数配臵方案(包括双工模式、封装协议规则、端口数率限定等)
● 路由协议配臵方案(包括静态路由分配方案、边界地址汇总方案、VLAN 间路由配臵方案等) ● 安全策略配臵方案(包括防火墙配臵、安全策略定制、访问控制列表制定、数据加密策略、AAA
用户认证管理等)
设备安装调试总体计划
设备装调总体计划包含两个方面:其中之一是安装调试进度计划;另一个是安装调试过程计划。
对于安装调试进度,要依据项目总体进度要求,在规定时限内完成项目中所涉及网络设备的安装调试,实现系统的试运行。
安装调试过程计划包含对于具体实施环节、具体设备的实施计划,在制定系统设备的安装调试计划后,由中标方专门的技术人员和业主信息部门业务人员一起制定软硬件系统的测试计划。
设备安装调试总体原则
本项目所涉及的设备安装调试要遵守IT 设备装调的一般性原则,同时由于应用的特殊性,还要遵循在用户方施工的特殊原则。
完备的装调准备——在设备装调前,由施工方技术管理人员派发设备装调任务;
装调方案审议——对于不同的设备,由施工方工程师制定相应的装调步骤方案、参数设置方案等,由项目经理和相关实施人员共同讨论,分析设备装调的具体细节和实施难点;
装调的专业性——严格控制设备装调的参与人员,杜绝非技术人员单独操作;
装调的程序性——详细记录设备装调报告,记录装调问题以便及时解决和备案;
设备安装调试准备工作
设备装调的前期要进行充分的准备,在本项目设备装调的准备工作主要有设备的测试准备、全部设备的编码分类统计工作。
项目涉及的主要设备有:
1) 网络路由器、交换机、网络安全设备;
2) 各环节所使用的通讯设备;
考虑到在本项目中会涉及大量设备,为了统一管理和系统实施及维护的便利性,我们建议对网络设备进行统一编码,建立设备档案。使用设备全名的汉语拼音字头、设备所属机构代码、设备类别等进行混合编码,同时在设备编码对照表中附加设备产品序列号字段、设备装调工程师字段、设备维护描述字段等辅助信息。这样可以方便的从编码表中定位设备品名、设备的物理位置、设备使用情况等重要信息,既方便了系统的运营维护、又对本项目的设备管理提供了具体的有益的帮助。
设备安装调试方案
网络系统的安装调试是本项目的主导环节。
网络调试准备及设备初检
网络系统的安装调试准备工作相对较多,详细、精心的准备工作可以使安装调试达到事半功倍的效果。 网络拓扑结构的确定
根据本项目的总体方案,确定设备的物理位置及连接关系。
网络地址的分配
根据本项目的总体的网络地址划分原则、细化公司内所有网络设备及其它主机/工作站等设备的IP 地址划分。
路由协议的选择
根据总体方案的设计,选择各层次的网络传输路由协议。
主要设备配置细节规划
对于网络交换设备、网络路由设备等做出相对具体的配置范本。
网络设备安装调试过程:
网络设备安装调试工作是本项目建设的重要步骤,也是工程升级成功的基本保证。在网络设备现场安装调试前必须做好各项准备工作,其中最重要的是实施方案和实施环境的准备。对于实施环境,要满足设备使用的基本要求,同时各种线路应该全部进场(包括专线线路、局域网线路) 。
网络设备的现场安装调试涉及运营商端的应用环境和网络连接,由中标方拟定网络连接拓扑方案、网络路由选择方案、网络安全设备配置方案、网络调试计划等文件与业主信息部门及合作运营商的相关人员共同商讨审定,审定的内容包括技术的可行性、人员时间安排、调试测试手段等。这些文档做为所提交的必要文档的一部分交由用户信息部门留存。
网络设备安装调试的参与人员:
1) 信息部门的技术人员
2) 中标方项目实施小组的技术人员
3) 网络运营商的技术人员
4) 第三方设备厂家配合技术人员;
安装环境的确定和测试:
首先要确定网络设备安装的位置,如在网络机柜上的高度、设备上下空间、网络连接线的位置、网络走线方法。测试网络设备安装地点的环境,主要涉及通风散热和用电安全;测试网络线缆的通断情况和传
输衰减。要求布线施工人员提交布线测试报告,并抽检局域网线路(或全部测试)。线缆测试方法如下:
1) 使用简易线缆测试设备测试线路的通断情况; 2) 使用专用线路测试仪测试网线传输衰减;
网络设备的安装调试:
1) 完成网络设备的上架固定; 2) 完成网络线缆的连接; 3) 连接网络设备配置终端; 4) 系统安全上电;
5) 按照网络设备调试方案进行通讯参数和地址参数的调整 6) 设置网络设备的路由参数 7) 设置网络设备QOS 相关参数 8) 设置网络设备的安全性相关参数
在网络设备调试过程中,记录各参数的调整情况,保存网络设备配置文件。
网络设备连通性测试:
网络设备连通性测试主要采用Ping 命令手段,通过Ping 方案设计中所要求的不同目标网段或目标地址来测试网络的连通性,通过考察Ping 命令的返回信息分析判断网络连通行性能:如分析相应时间、丢包率等,并做相应调整以达到通讯性能最佳。通过TraceRoute 命令考察通讯连接的路由路径,对路由跳数进行分析,来调整路由方式使得连接发起方与连接目标方的路由跳数最少。
在这个网络安装调试阶段可以保留网络设备接收T elnet 登陆和Ftp 文件传输,这样可以方便网络设备在本项目实施过程中的参数调整。在运行阶段为保证安全性再封死对该类连接请求的响应。
系统联合调试方案
在完成上述集成工作之后,需要对所有节点进行联调,以确保整个系统的正常运行。 在联调阶段,要详细记录各子系统运行参数,确保及时发现问题及尽快解决。具体工作包括: 1) 记录/分析交换机工作状态
从交换机中提取交换机的工作日志和相关的统计数据,如:流量、丢包、拥塞等。 2) 记录/分析路由器工作状态
从路由器中提取路由器的工作日志和相关的统计数据,如:流量、丢包、线路通/断等。 3) 记录/分析局域网工作状态
从交换机中提取交换机的工作日志和相关的统计数据,如:网络利用率、流量、丢包等,结合局域网出现的有关现象,分析局域网的工作状态。
4) 记录/分析主机工作状态
从主机中提取主机的工作日志,结合日常维护工作的记录,分析主机的工作状态,如CPU 、内存、IO 队列、磁盘队列、网络吞吐率等。
5) 记录/分析软件系统工作状态
从系统中提取各种应用软件的工作日志,结合日常维护工作的记录,分析应用软件的工作状态。
6) 工作日志
在系统联调期间,要详细、严格记录联调过程中发生的问题,无论是对设备的调整,还是系统出现故障。应当每天下午或晚上,按照上面所描述的步骤进行系统数据的收集和分析。可以及时发现系统运行中发生的异常和故障,准确定位,并及时解决。
施工规范
项目施工标准
工程实施主要有如下几部分内容:
1、 开箱验货:
施工方和业主方同时在场进行开箱验货,开箱验收时先检查包装外观和设备外观,发现外观有损坏的,停止开箱,马上进行处理。
先打开装箱单所在的箱子,取出装箱单(一式两份),按照装箱单中的数量核对。验货完毕后,根据验货情况双方在装箱单上签字,货物正式移交给用户,货物的保管责任为用户。装箱单双方各包管一份。
开箱验货发现的物料问题,务必在3天内进行反馈处理。
2、 设备安装
施工方参照各产品随机发货的设备安装手册中安装要求进行设备的硬件安装和软件调试,主要有以下几方面内容:
1) 2)
施工过程中,施工人员要遵守用户、相应的行为规范。
施工中发现无法解决的技术问题,及时向技术负责人汇报,寻求技术支持,使题能得到快速定位
解决。需要升级软件版本的按照相关指导书进行软件版本升级。
3)
工程项目经理每周五发送工程周报,发给用户和相关人员。周报模板参考附件。停工期间不发送
工程周报。
4) 5) 6)
设备安装调试过程中,对照《工程质量检查标准》进行工程质量自检。 设备安装调试完成后进行相关的业务测试。并有测试记录和双方签字。 与用户及其他参与厂家及线路提供商召开工前协调会。
3、 工程培训
工前和完工集中培训:在开工前或完工后,对华电渠东2*330MW电厂技术人员集中进行网络知识和产品培训,施工方进行培训资料和授课老师确定。按照用户的要求对用户进行培训。
工程施工中的现场培训:工程施工中,设备安装时要对用户的技术人员进行培训,主要培训产品知识、安装特点、常见故障处理等内容。让用户掌握基本维护和设备日常使用知识。
具体培训计划见培训方案。
4、 机房服务热线挂牌
对主要机房进行机房服务热线挂牌,让用户的维护人员能够了解维护和支持的途径。
施工行为规范
工程实施中要遵守如下几方面行为规范:
1、 精神面貌
1) 2) 3) 4) 5) 6)
衣着整洁,注意个人卫生; 仪表大方,精力充沛;
保持愉快的工作情绪,不将个人情绪带到工作之中; 站立要抬头挺胸,身子不要歪靠在一旁;
走路不可摇晃,遇急事可加快步伐,但不可慌张奔跑;
坐下时不要跷二郎腿,不可抖动双腿,不可仰坐在沙发或座椅上。
2、 礼仪
1) 2) 3) 4) 5) 6) 印象;
7) 礼有节。
与用户有不同意见时,应保持头脑冷静,必要时上报相关人员,切忌与用户争执;对用户有与用户初次见面时应主动作自我介绍,递上名片; 见到用户应主动打招呼,做到礼貌热情; 出入房间,上下电梯,应让用户先行;
与用户交谈时要关注对方、彬彬有礼、谈吐得体,说话要铿锵有力,注意礼貌用语; 养成倾听的习惯,不轻易打断用户的谈话或随意转移话题,谈到重要的事情要作记录; 对用户应真诚、富有耐心,做到谦虚稳重,不可夸夸其谈,以免给用户造成轻浮、不可信的
3、 机房行为规范
1) 2)
主动了解并严格遵守用户的各项规章制度,比如进机房是否穿拖鞋等规定;
进机房时要征得用户同意,离开机房要与用户打招呼,必要时要提交申请报告。出入机房所
带物品应严格登记。
3) 4) 5) 6) 7) 8) 9)
插拨单板需带防静电手腕;
少借用户的东西,若借后,恢复原样,及时归还;
严禁擅自使用用户电话,如确实工作需要,须经用户同意后才能使用; 严禁在机房内抽烟、玩游戏和乱动其它厂家设备;
每天工作结束后, 要清理工作现场, 整理各种物品,保持机房整洁; 绝不允许与用户发生争执。
严禁将亲戚、朋友等无关人员带入机房。
项目验收标准
根据工程合同条款和用户要求完成初验、终验,具体操作流程如下:
1、 初验:
1)
了解用户对初验的特殊需求,确定初验时间、初验内容及日程安排。
2) 工程负责人在安装调试过程中可与用户随工人员完成部分技术指标的测试,双方签字确认
后的数据在得到用户许可后,可以做为初验的测试数据使用。工程项目经理与用户共同组织进行初验。初验中的每一个测试项目都必须有用户签字。 3)
初验通过后,工程项目经理填写《系统初验证书》一式二份,由双方签字、盖章。施工方
和用户各保留一份。《系统初验证书》模板参照附件。 4)
在系统安装调试完成后应先自测,在通过自测并试运行一个月后,由中标方配合用户依照
验收方案进行初验,并向用户提交初验报告,经用户认可后系统进入试运行阶段,试运行三个月后,按网络系统集成的验收要求进行最终验收并由双方签署最终验收证书。
2、 终验步骤
1) 2) 3)
了解用户对终验的特殊要求,确定验收时间、测验内容及日程安排。 按双方协商的内容进行测试验收。
终验结束后,工程负责人填写《工程竣工终验证书》一式二份,双方签字、盖章。施工方
和用户各保留一份。《工程竣工终验证书》模板参照附件。
施工进度计划 施工总进度计划
我公司将以精良的施工设备、精干的施工队伍和科学的组织管理,在确保工程质量创优前提下,确保按合同工期完成工程施工。
施工进度计划编制
进度计划编制依据系根据招标文件、图纸、现场勘察情况并结合我公司的实际施工经验和劳动力,配备满足进度计划要求的劳动力、施工设备,并充分考虑不利因素对施工的影响,狠抓台班生产率和设备完好率。
从科学组织施工目的出发,化整分区段施工,段间流水作业,段内工序衔接,充分利用劳动力和设备资源,削减高峰强度,避免待工,缩短工期。
施工工期保证措施
1、首先,公司高度重视,将其作为公司重点项目,从施工管理人员、资金、材料等方面重点考虑,及时调度。项目部每周定期召开专业班组工种协调会,做到事前周密计划,安排好各工序工种的相互紧密衔接,及时掌握工地情况,对照计划检查进度,对进度滞后的要查清原因,分析情况,调整施工方案,采取增加人员,机械等措施,解决进度拖后问题。
2、中标后尽快组织人员、机械设备进场,配齐各种生产要素,完成各项临时工程。 3、进场后,立即开展测量工作,放出管线、组织人员平整场地,
4、精心编制实施性的施工组织设计,根据施工实际情况进一步优化和调整施工方案,采取有效的措施,加强现场施工管理,确保工程顺利进行。
5、实行目标管理责任制。项目经理根据施工总进度计划编制周作业计划,施工员根据周计划分解到
日计划,按日计划安排每天施工工作,认真检查落实,保证本工程总进度计划的全面实施。如未能按时完成时,要及时查找原因,并采取一定的措施,把滞后的进度抢回来。
6、根据需要进行必要的加班加点,以确保工程按时完成。雨季施工时,积极与气象部门联系,及时掌握天气状况,充分利用雨停初晴等间隙,组织充足的机械、人力分段施工、分段突击。
7、抓好质量关,把好安全关,努力使质量安全成为促进工期的推动力。建立质量关键工序岗位控制点,加强质量控制,保证工序质量,杜绝因前道工序质量不合格返工而造成的全盘工期滞后。
8、充分发挥内部潜力,广泛开展班组、施工队竞争,对按时完成工作量的队组给予一定的奖励,并提供更多的工作机会。营造人人争先、大干多干多受益气氛。
9、针对工程施工复杂和不确定性较大的特点,我项目部在作好前期工作的情况下,将积极与业主,监理协调合作,尽快完善,缩短材料的选型工作,使工程的准备更充分。
10、充分备料,保证材料的及时到位,按施工进度计划的要求分批按期组织进场,避免待料窝工。 11、在机械调配方面,随时根据施工现场的需要进行调配。充分发挥机械优势来提高工效,备齐本工程所需的施工机具,备足主要施工机械易损坏部件,并组织一个技术精良、设备完善的维修组,加强设备保养工作,及时进行维修,确保机械设备的正常使用。
施工保障措施 质量保障措施
质量保证
对于本项目的工程质量,我们从以下方面给予保障:
人员--在工程实施前,选择具有一定的技术水平和工程相关产品资质认证的工程师参与工程实施
方案—对网络设计、实施方案由总部技术专家召开方案分析会进行评审核,发现的问题在工程前进行控制。
环境准备--要求客户按照设备安装手册和工程质量要求进行工程安装环境准备,对客户安装环境进行仔细考察,协助客户完善安装条件。
培训--对客户进行产品知识、实施方案、设备运维等方面的培训,使他们掌握基本的故障排除能力并取得思科认证证书。
工程质量检查--工程在施工过程中工程师要参照《工程质量检查标准》进行工程质量自检,并对照工程质量标准进行评分,输出《工程质量自检表》。工程实施过程中项目技术负责人对工程质量的现场抽查,发现的问题及时进行整改。
质量监控
实施--按照产品安装手册和工程质量标准进行工程实施,安装结束后进行工程质量自检,避免上线后的整改和返工。
检查--设备安装完成后,业务上线前,应向H3C 项目经理或相关行业接口人申请进行工程质量检查,输出工程质量分数
质量改进
工程整改--工程质量检查得分低于85分或客户满意度调查分数低于8分的工程,需进行整改,整改完成后申请复查,确保不留问题或隐患,影响客户业务和设备的长期稳定运行。
经验积累-记录工程中发生的工程质量问题,并通告给用户,避免同样的问题在不同的局点中再次发生。
工期保障措施
为保障本项目按期完成,我们提供以下保障措施:
1) 成立项目支持组,由领导小组和工程小组组成,领导小组由公司主管组成,对项
目提供公司高层支持,优先为本项目分配资源;工程小组由公司的行业专家、高级技术支持工程师组成,为本项目提供有力的技术保障,确保本项目的顺利实施。 2) 优化设计方案,针对用户网络现状和网络改造目标,成立项目评审小组,结合设
备的功能特性对方案进行优化,提出合理化建议。
3) 强有力的项目管理,对整个项目实施过程进行全面监控、跟踪,切实遵循项目章
程进行操作,对成员作合理的细化分工,从时间、人力、质量等方面进行有效控制。
针对项目工程进度,把整个项目分为多个相关子任务,对每一个子任务制定详细的工作计划,包括信息收集,准备工作,方案提交和审核,切换实施等,使得每一个分任务都在按计划有条不紊进行,最终实现整个项目的顺利完成。
中标方需负责临建机房部分设备搬迁至中心机房,并进行相关安装及调试,搬迁前需提供书面迁移方案。中标方需提供技术支持配合日后全厂MIS 调试。
4.2.1 交换机调试
中心交换机的调试主要包括以下几个步骤: ● 交换机基本参数配臵 ● 局域网端口配臵 ● 三层模块参数配臵 ● VLAN 划分配臵 ● VLAN 间路由配臵 ● 双机热备配臵 ● 安全策略配臵 ● 其他策略配臵
4.2.2 上网行为设备调试
● 基本配臵
● 连接双机防火墙配臵 ● 策略配臵 ● 用户组配臵 ● 流控制配臵 ● 应用控制配臵
4.2.3 防火墙设备调试
● 基本配臵
● NAT 配臵 ● 策略配臵
4.2.4 无线网络设备调试
● 基本设臵 ● 安全设臵 ● 漫游设臵
4.3 培训及质保
对业主的信息管理人员进行培训保证使其达到自行配置所有设备的水平并取得思科认证证书。1年内出现任何质量问题24小时内免费上门维护解决相关问题。
第五章 设备清单
色6个(5个12mm ,1个18),网线钳,三凌3M-8868-A 测试仪,罗技鼠标5个等
第六章 施工进度
12月15日前完成清单中所有设备的调试安装使厂前区局域网具备整体使用条件,并提供相关资料,供业主验收。
厂前区局域网建设技术协议
签 字 页
甲方:华电渠东发电有限公司(盖章)
代表人(签字):
联系方式:
日 期: 年 月 日
乙方:济南安正科技有限公司(盖章)
代表人(签字):
联系方式:
日 期: 年 月 日