局域网建设技术协议(最终)

华电渠东发电有限公司厂前区局域网建设技术协议甲方：华电渠东发电有限公司乙方：济南安正科技有限公司2010年10月河南新乡第一章项目概述1.1项目简介本工程是建设华电渠东发电有限公司管理信息系统（MIS），主要针对厂前区（办公楼、综合楼、检修楼、临建区）进行网络规划，为日后覆盖公司内所有的建筑物及功能楼宇，使每个信息接入点能高速有效的接入到公司局域网网络当中做准备。网络平台的建设能够使全厂各类应用在网络平台上稳定安全的运行。网络建设为生产和管理的相关单位、部门提供实时的数据查询、录入，为全厂的办公自动化提供有效的支持。为满足公司信息系统的运行，以及今后与相关应用系统的建设，本项目将采用两台核心交换机作为网络中心交换机，各分布点按应用的不同，使用不同接入层交换机。对公司现有设备进行集中调试，将现有的计算机临时机房中设备进行迁移至中心机房，重新配置服务器、交换机、防火墙等，规划新网络结构，最终达到整个网络安全、可靠。因此方案只涉及厂前区局域网建设，为避免日后全厂局域网建设与本项目无法衔接，在进行全厂局域网建设时施工方需提供人员及技术，配合日后全厂MIS调试。需标记部分必须用标签机打印标签，在机柜、设备及跳线上做完整标记。1.2网络现状目前公司现有网络是通过一条2M专线连接华电广域网系统，在公司出口部署一台防火墙，一个广域网接口，一个局域网接口，一个互联网接口，通过网通连接互联网，防火墙局域网接口连接本地接入交换机。目前连接临时办公区的计算机约80台，在防火墙路由器中使用默认路由至互联网，将去往华电系统网段（10.0.0.0）的数据路由指向华电国际路由器。接入交换机与临时办公区综合布线使用一个网络机柜。现有1台OA服务器、1台网站服务器，部署于一个服务器机柜中，直接通过双绞线连接在局域网接入交换机上。1.3总体要求本网络系统作为全厂MIS网络系统中的一部分，也作为原有基建期网络环境的全面扩展和补充。要求能够结合现有基建网络设备进行合理规划，保护投资，同时保证今后MIS系统服务器、数据库、计算机网络设备应用的高安全、高可靠的运行。本网络系统应该是一个技术先进、成熟可靠、灵活扩展、标准开放的系统，并且能够综合考虑到该系统的中长期发展计划，在结构、维护应用、网络管理等各个方面适应未来网络的扩展，最大程度地保护投资，成为华电渠东发电有限公司一个可靠运行的强大网络系统的重要组成部分。因此项目是厂前区局域网，中标方需负责临建机房部分设备搬迁至中心机房，并进行相关安装及调试，搬迁前需提供书面迁移方案。中标方需提供技术支持配合日后全厂MIS调试。需标记部分：必须用标签机打印标签，在机柜、设备及跳线上做完整标记。系统建成后，整个网络主干实现1000M互连，核心交换机与各个楼的接入交换机，采用1000M双线路连接，两个线路互为备份，如果其中一条线路故障后另一条线路自动接管所有从接入交换机到核心交换机的数据；各接入交换机端口实现10/100/1000M自适应，以满足设备的高速接入需求。两台核心交换机做热备份方式，实现关键设备的冗余；上网行为管理设备架设在防火墙与核心交换机之间，采用透明桥接模式，实现对所有办公用户的管理。保证在工程完工时，具备整体办公使用条件。对信息管理人员进行培训确保其可自行配置本次招标中所有设备并取得思科认证证书。质保措施：保证1年内招标范围内的所有设备不出现任何故障，若出现应保证在24小时内免费上门维护解决相关问题。1.4需求特点华电渠东发电有限公司网络必须具备以下特点：高可靠性高性能高可扩展性高品质的网络服务质量（QoS）高稳定性良好的维护简易性低成本等第二章设计原则及建设需求2.1遵循标准本方案提供的系统技术均满足如下的行业标准和规程要求：《计算机软件工程规范国家标准》《计算机开放系统互连国家标准》《信息系统安全技术国家标准》《信息分类与编码国家标准》《计算机图形国家标准》《信息技术开放系统互连OSI登记机构的操作规程》《计算机信息系统安全保护等级划分准则》《微型计算机通用规范》《能源部电力行业计算机管理信息系统总体设计规范》《计算机软件开发规范(GB8566-88)》《电网和电厂计算机监控系统及调度数据网络安全防护规定》，国家经贸委[2002]30令《计算机信息网络国际联网安全管理办法》，公安部1998年发布《关于维护网络安全和信息安全的决议》，全国人大常委会2000年10月审议通过《中华人民共和国计算机信息系统安全保护条例》，国务院1994年发布《计算机信息系统安全保护等级划分准则》（GB17859-1999），公安部1999年发布《计算机场地技术要求》（GB2887-82）《IEC60870-5-101基本远动配套标准》《电力系统调度自动化设计技术规程》（DL5003-1991）《火力发电厂设计技术规程》(DL5000-2000)《电站锅炉性能试验规程》(GBl0184—88)《电站汽轮机性能试验规程》(GB8117—87)《火力发电厂技术经济指标计算方法》(修订稿2000，6)《发电厂调峰技术和安全导则》(原能源部，1990，12)《ASME—1965》(美)另外，本方案提供的软、硬件系统技术还均符合下列国家和标准组织发布的相关标准最新版本和相关的工业事实标准的的最新版本：iEEE美国电气电子工程师学会ISO国际标准化组织TCP/IP网络通讯协议IEEE802局域网标准GB中华人民共和国国家标准ASA美国标准协会ANSI美国国家标准学会IEC国际电工委员会NSS维修标准化协会MSS制造商标准化协会2.2设计原则网络规划方案在设计上应力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则：成熟先进――指信息系统的各种计算机设备、网络技术和管理模型技术上均要成熟先进。安全可靠――指存储于系统中的信息是安全的，可以有效防止有意或无意的侵犯及恶意的攻击，在系统遭受意外损坏的条件消除后，系统具有自动恢复到受损前状况的能力。开放可变――指建成的信息系统是一个开放式系统，其硬件平台、软件平台、数据应用环境均是开放的，可以方便的与其他系统共享信息，可以根据需要对系统进行裁剪组合或扩充变动，以提高其适应性。集成可管――组成的信息系统是一个集成化的系统，其数据是完全一致，统一管理的；其各个用户界面与操作方式是一致的；用户的各项操作均由系统自行登录，信息系统的运行状况可以统一管理和控制。实用方便――指系统的各项功能均是结合公司经营管理业务实际的，各项性能均满足使用要求，操作简便，输出规范。2.3网络建设需求此次网络建设按照横向分区的原则进行模块化网络设计，主要包括新办公楼信息中心机房内服务器接入网络，办公室、综合楼、检修楼、临建区客户端接入有线网络，办公室、综合楼客户端接入无线网络系统，互联网接入网络，广域网接入网络，到集团公司广域网接入网络，安全管理系统接入网络等。办公大楼采用六类结构化布线系统，每个楼层设弱电间，汇聚水平双绞线，并通过光纤汇聚到中心机房网络区的主配线架，配置8台楼层交换机实现楼层信息点的接入，实现千兆双链路上联到核心交换机。另外，考虑到移动办公的需求，在办公楼会议室内部署无线网络系统，配置11个AP移动办公和公共区域的信息点接入。广域网网络链路通过2ME1专线互联公司端防火墙接口。互联网接入网络部署2台防火墙，并通过2台不同运营商链路连接到Internet，提供接入的冗余。并在整个互联网出口部署综合安全网关进行安全防护，网关防病毒，主动防御，进行流量管理和分析，针对终端用户和应用进行带宽管理、检测和限定。网络安全系统，包括出口安全、边界安全和内网安全，其中内网安全系统，需要部署一台上网行为管理设备，内网用户必须认证并按照不同的分组授予不同的网络访问权限，加强对客户端的安全管理，防止外来人员未经允许接入网络，保证内网安全策略的一致性。新建的网络系统能够满足：采用有效的汇聚技术解决广域网的互连问题，主要是通过信道化技术和MSTP以太网技术解决链路随需求扩展的问题。解决网络的单点故障问题，提高广域网的可靠性及安全性。解决公司员工的网络接入和服务器的高效连接。建成后的网络应能实现各个业务系统之间的网络互相隔离或者可控访问。建成后的网络应能实现局域网用户的鉴权和桌面安全接入。建成后的网络应能提供灵活的接入方式，如SSLVPN方式接入。第三章MIS系统设计方案3.1网络拓扑结构整个网络采用星型拓扑结构设计。星型拓扑结构是一种以中央节点为中心，把若干外围节点连接起来的辐射式互联结构。这种连接方式以双绞线或光缆作连接线路。星型拓扑结构优点：结构简单、容易实现、便于维护管理、便于系统扩展。根据层次化网络和模块化设计思想的原则，把整个网络体系结构分为以下层次：核心层－----由2台网络核心交换机组成。接入层－----接入层包括办公区的二级交换机，厂区的二级交换机，以及Internet接入网。它们的网络安全级别是不同的，由防火墙与上网行为进行访问控制。华电渠东发电有限公司采用横向分区、纵向分层的模块化设计，分为核心交换区、客户端区、互联网区、广域网区、数据中心服务器区等6个区域。采用两台的CiscoCatalyst4507R交换机，通过千兆链路连接广域网络边界防火墙、DMZ子区的安全过滤网关、SSLVPN等安全设备，并通过光纤千兆链路连接楼层交换机。华电渠东发电有限公司MIS网络拓扑结构图3.2网络速率以太网是在20世纪70年代研制开发的一种基带局域网技术，使用双绞线缆电缆作为网络媒体，采用载波多路访问和冲突检测（CSMA/CD）机制，如今以太网更多的被用来指各种采用CSMA/CD技术的局域网。以太网的帧格式与IP是一致的，特别适合于传输IP数据。以太网由于具有简单方便、价格低、速度高等，被广泛应用到局域网。根据我公司的实际情况，结合以太网速率的标准，网络速率选型如下：Internet核心交换机上网行为管理无线AP防火墙光电收发器光电收发器接入交换机广域网1、办公楼千兆接入网络、综合楼、检修楼、集控室等各楼宇单元的办公用户全百兆接入网络；2、两台核心交换机之间使用千兆双机互联；3、2兆联入广域网；4、百兆联入互联网。3.3网络方案整体设计3.3.1核心交换区设计SiSiSiSi核心交换区采用两台4507R交换机做为整个MIS网络系统的核心设备，形成一个高性能转发核心。3.3.2用户接入区设计客户端区主要实现楼层信息点的接入，包括有线接入和无线接入。3.3.2.1有线网络设计办公楼采用结构化布线，每个楼层设弱电间，汇聚水平双绞线，并通过光纤汇聚到中心机房网络区的主配线架，楼层配置CiscoCatalyst2960系列交换机，每台交换机能够实现24或者48个信息点千兆接入，如果某个楼层的信息点较多，也可以利用堆叠技术实现接入多于48个信息点的接入。综合楼、检修楼配置CiscoCatalyst2960系列交换机，每台交换机能够实现24或者48个信息点百兆接入。3.3.2.2无线网络设计对于会议室或走廊等公共区域，主要考虑到来访人员的办公和公司人员的移动办公需要，通过在楼层交换机接入无线AP实现，来实现移动办公。3.3.3网络边缘出口设计防火墙是解决子网的边界或者内部子网之间安全问题、实现网络访问控制的有效解决方法。防火墙的目的是要在高安全等级和低安全等级（可信网络和不可信）的两个网络之间建立一个安全控制点。它通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。它通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网和Internet或内部网不同安全域之间的各种活动，保证了内部网络的安全。具体地说，设置防火墙的目的是隔离高安全等级网络和低安全等级网络，保护高安全等级网络不受攻击，实现以下基本功能：禁止外部用户进入内部网络，访问内