《局域网建设技术协议(最终)(共31页).doc》由会员分享,可在线阅读,更多相关《局域网建设技术协议(最终)(共31页).doc(31页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上华电渠东发电有限公司厂前区局域网建设技术协议甲方:华电渠东发电有限公司乙方:济南安正科技有限公司2010年10月 河南 新乡第一章 项目概述1.1 项目简介本工程是建设华电渠东发电有限公司管理信息系统(MIS),主要针对厂前区(办公楼、综合楼、检修楼、临建区)进行网络规划,为日后覆盖公司内所有的建筑物及功能楼宇,使每个信息接入点能高速有效的接入到公司局域网网络当中做准备。网络平台的建设能够使全厂各类应用在网络平台上稳定安全的运行。网络建设为生产和管理的相关单位、部门提供实时的数据查询、录入,为全厂的办公自动化提供有效的支持。为满足公司信息系统的运行,以及今后与相关应用
2、系统的建设,本项目将采用两台核心交换机作为网络中心交换机,各分布点按应用的不同,使用不同接入层交换机。对公司现有设备进行集中调试,将现有的计算机临时机房中设备进行迁移至中心机房,重新配置服务器、交换机、防火墙等,规划新网络结构,最终达到整个网络安全、可靠。因此方案只涉及厂前区局域网建设,为避免日后全厂局域网建设与本项目无法衔接,在进行全厂局域网建设时施工方需提供人员及技术,配合日后全厂MIS调试。需标记部分必须用标签机打印标签,在机柜、设备及跳线上做完整标记。1.2 网络现状 目前公司现有网络是通过一条2M专线连接华电广域网系统,在公司出口部署一台防火墙,一个广域网接口,一个局域网接口,一个互
3、联网接口,通过网通连接互联网,防火墙局域网接口连接本地接入交换机。目前连接临时办公区的计算机约80台,在防火墙路由器中使用默认路由至互联网,将去往华电系统网段(10.0.0.0)的数据路由指向华电国际路由器。 接入交换机与临时办公区综合布线使用一个网络机柜。现有1台OA服务器、1台网站服务器,部署于一个服务器机柜中,直接通过双绞线连接在局域网接入交换机上。1.3 总体要求本网络系统作为全厂MIS网络系统中的一部分,也作为原有基建期网络环境的全面扩展和补充。要求能够结合现有基建网络设备进行合理规划,保护投资,同时保证今后MIS系统服务器、数据库、计算机网络设备应用的高安全、高可靠的运行。本网络系
4、统应该是一个技术先进、成熟可靠、灵活扩展、标准开放的系统,并且能够综合考虑到该系统的中长期发展计划,在结构、维护应用、网络管理等各个方面适应未来网络的扩展,最大程度地保护投资,成为华电渠东发电有限公司一个可靠运行的强大网络系统的重要组成部分。因此项目是厂前区局域网,中标方需负责临建机房部分设备搬迁至中心机房,并进行相关安装及调试,搬迁前需提供书面迁移方案。中标方需提供技术支持配合日后全厂MIS调试。需标记部分:必须用标签机打印标签,在机柜、设备及跳线上做完整标记。系统建成后,整个网络主干实现1000M互连,核心交换机与各个楼的接入交换机,采用1000M双线路连接,两个线路互为备份,如果其中一条
5、线路故障后另一条线路自动接管所有从接入交换机到核心交换机的数据;各接入交换机端口实现10/100/1000M自适应,以满足设备的高速接入需求。两台核心交换机做热备份方式,实现关键设备的冗余;上网行为管理设备架设在防火墙与核心交换机之间,采用透明桥接模式,实现对所有办公用户的管理。保证在工程完工时,具备整体办公使用条件。对信息管理人员进行培训确保其可自行配置本次招标中所有设备并取得思科认证证书。质保措施:保证1年内招标范围内的所有设备不出现任何故障,若出现应保证在24小时内免费上门维护解决相关问题。1.4 需求特点华电渠东发电有限公司网络必须具备以下特点:l 高可靠性l 高性能l 高可扩展性l
6、高品质的网络服务质量(QoS)l 高稳定性l 良好的维护简易性l 低成本等第二章 设计原则及建设需求2.1 遵循标准本方案提供的系统技术均满足如下的行业标准和规程要求: 计算机软件工程规范国家标准 计算机开放系统互连国家标准 信息系统安全技术国家标准 信息分类与编码国家标准 计算机图形国家标准 信息技术开放系统互连OSI登记机构的操作规程 计算机信息系统安全保护等级划分准则 微型计算机通用规范 能源部电力行业计算机管理信息系统总体设计规范 计算机软件开发规范(GB8566-88) 电网和电厂计算机监控系统及调度数据网络安全防护规定,国家经贸委200230令 计算机信息网络国际联网安全管理办法,
7、公安部1998年发布 关于维护网络安全和信息安全的决议,全国人大常委会2000年10月审议通过 中华人民共和国计算机信息系统安全保护条例,国务院1994年发布 计算机信息系统安全保护等级划分准则(GB 17859-1999),公安部1999年发布 计算机场地技术要求(GB2887-82) IEC60870-5-101 基本远动配套标准 电力系统调度自动化设计技术规程(DL5003-1991) 火力发电厂设计技术规程(DL5000-2000) 电站锅炉性能试验规程(GBl018488) 电站汽轮机性能试验规程(GB811787) 火力发电厂技术经济指标计算方法(修订稿2000,6) 发电厂调峰技
8、术和安全导则(原能源部,1990,12) ASME1965(美)另外,本方案提供的软、硬件系统技术还均符合下列国家和标准组织发布的相关标准最新版本和相关的工业事实标准的的最新版本: iEEE美国电气电子工程师学会 ISO国际标准化组织 TCP/IP网络通讯协议 IEEE802局域网标准 GB中华人民共和国国家标准 ASA美国标准协会 ANSI美国国家标准学会 IEC国际电工委员会 NSS维修标准化协会 MSS制造商标准化协会2.2 设计原则网络规划方案在设计上应力求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和实用性。具体来讲,其设计遵循以下原则: 成熟先进指信息系统的各种计算机设备
9、、网络技术和管理模型技术上均要成熟先进。安全可靠指存储于系统中的信息是安全的,可以有效防止有意或无意的侵犯及恶意的攻击,在系统遭受意外损坏的条件消除后,系统具有自动恢复到受损前状况的能力。开放可变指建成的信息系统是一个开放式系统,其硬件平台、软件平台、数据应用环境均是开放的,可以方便的与其他系统共享信息,可以根据需要对系统进行裁剪组合或扩充变动,以提高其适应性。集成可管组成的信息系统是一个集成化的系统,其数据是完全一致,统一管理的;其各个用户界面与操作方式是一致的;用户的各项操作均由系统自行登录,信息系统的运行状况可以统一管理和控制。实用方便指系统的各项功能均是结合公司经营管理业务实际的,各项
10、性能均满足使用要求,操作简便,输出规范。2.3 网络建设需求此次网络建设按照横向分区的原则进行模块化网络设计,主要包括新办公楼信息中心机房内服务器接入网络,办公室、综合楼、检修楼、临建区客户端接入有线网络,办公室、综合楼客户端接入无线网络系统,互联网接入网络,广域网接入网络,到集团公司广域网接入网络,安全管理系统接入网络等。办公大楼采用六类结构化布线系统,每个楼层设弱电间,汇聚水平双绞线,并通过光纤汇聚到中心机房网络区的主配线架,配置8台楼层交换机实现楼层信息点的接入,实现千兆双链路上联到核心交换机。另外,考虑到移动办公的需求,在办公楼会议室内部署无线网络系统,配置11个AP移动办公和公共区域
11、的信息点接入。广域网网络链路通过2M E1专线互联公司端防火墙接口。互联网接入网络部署2台防火墙,并通过2台不同运营商链路连接到Internet,提供接入的冗余。并在整个互联网出口部署综合安全网关进行安全防护,网关防病毒,主动防御,进行流量管理和分析,针对终端用户和应用进行带宽管理、检测和限定。网络安全系统,包括出口安全、边界安全和内网安全,其中内网安全系统,需要部署一台上网行为管理设备,内网用户必须认证并按照不同的分组授予不同的网络访问权限,加强对客户端的安全管理,防止外来人员未经允许接入网络,保证内网安全策略的一致性。新建的网络系统能够满足:u 采用有效的汇聚技术解决广域网的互连问题,主要
12、是通过信道化技术和MSTP 以太网技术解决链路随需求扩展的问题。u 解决网络的单点故障问题,提高广域网的可靠性及安全性。u 解决公司员工的网络接入和服务器的高效连接。u 建成后的网络应能实现各个业务系统之间的网络互相隔离或者可控访问。u 建成后的网络应能实现局域网用户的鉴权和桌面安全接入。u 建成后的网络应能提供灵活的接入方式,如SSL VPN方式接入。第三章 MIS系统设计方案3.1 网络拓扑结构 整个网络采用星型拓扑结构设计。星型拓扑结构是一种以中央节点为中心,把若干外围节点连接起来的辐射式互联结构。这种连接方式以双绞线或光缆作连接线路。 星型拓扑结构优点:结构简单、容易实现、便于维护管理
13、、便于系统扩展。根据层次化网络和模块化设计思想的原则,把整个网络体系结构分为以下层次:核心层-由2 台网络核心交换机组成。接入层-接入层包括办公区的二级交换机,厂区的二级交换机,以及Internet 接入网。它们的网络安全级别是不同的,由防火墙与上网行为进行访问控制。华电渠东发电有限公司采用横向分区、纵向分层的模块化设计,分为核心交换区、客户端区、互联网区、广域网区、数据中心服务器区等6个区域。采用两台的Cisco Catalyst 4507R交换机,通过千兆链路连接广域网络边界防火墙、DMZ子区的安全过滤网关、SSL VPN等安全设备,并通过光纤千兆链路连接楼层交换机。广域网Internet
14、核心交换机上网行为管理无线AP防火墙光电收发器光电收发器接入交换机华电渠东发电有限公司MIS网络拓扑结构图3.2 网络速率 以太网是在 20 世纪 70 年代研制开发的一种基带局域网技术,使用双绞线缆电缆作为网络媒体,采用载波多路访问和冲突检测( CSMA/CD )机制,如今以太网更多的被用来指各种采用 CSMA/CD 技术的局域网。以太网的帧格式与 IP 是一致的,特别适合于传输 IP 数据。以太网由于具有简单方便、价格低、速度高等,被广泛应用到局域网。 根据我公司的实际情况,结合以太网速率的标准,网络速率选型如下:1、办公楼千兆接入网络、综合楼、检修楼、集控室等各楼宇单元的办公用户全百兆接
15、入网络;2、两台核心交换机之间使用千兆双机互联;3、2兆联入广域网;4、百兆联入互联网。3.3 网络方案整体设计3.3.1 核心交换区设计 采用两台4507R交换机做为整个MIS网络系统的核心设备,形成一个高性能转发核心。3.3.2 用户接入区设计客户端区主要实现楼层信息点的接入,包括有线接入和无线接入。3.3.2.1 有线网络设计 办公楼采用结构化布线,每个楼层设弱电间,汇聚水平双绞线,并通过光纤汇聚到中心机房网络区的主配线架,楼层配置Cisco Catalyst2960系列交换机,每台交换机能够实现24或者48个信息点千兆接入,如果某个楼层的信息点较多,也可以利用堆叠技术实现接入多于48个
16、信息点的接入。综合楼、检修楼配置Cisco Catalyst2960系列交换机,每台交换机能够实现24或者48个信息点百兆接入。3.3.2.2 无线网络设计 对于会议室或走廊等公共区域,主要考虑到来访人员的办公和公司人员的移动办公需要,通过在楼层交换机接入无线AP实现,来实现移动办公。3.3.3 网络边缘出口设计防火墙是解决子网的边界或者内部子网之间安全问题、实现网络访问控制的有效解决方法。防火墙的目的是要在高安全等级和低安全等级(可信网络和不可信)的两个网络之间建立一个安全控制点。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全
17、保护。它通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet或内部网不同安全域之间的各种活动,保证了内部网络的安全。具体地说,设置防火墙的目的是隔离高安全等级网络和低安全等级网络,保护高安全等级网络不受攻击,实现以下基本功能: 禁止外部用户进入内部网络,访问内部机器;保证外部用户可以且只能访问到某些指定的公开信息;限制内部用户只能访问到某些特定的Internet资源,如WWW服务、FTP服务、TELNET服务等;限制内部用户只能访问到内部网络中某些特定资源和服务
18、等;防火墙已经成为网络安全防范体系中必不可少的重要环节。 在华电渠东发电有限公司网络系统中存在多个互联边界:INTERNET边界、与集团公司互联边界、与施工单位、监理等协作单位互联边界。由于华电渠东发电有限公司与上述互联单位存在比较紧密地数据交换,在一定程度上需要允许访问电渠东发电有限公司数据资源,同时绝对禁止非授权资源的访问,所以访问控制的设计尤为重要。防火墙采用天融信 NGFW-TG-4324,该防火墙具有6个百兆以太网口,吞吐量达到100M,最大并发连接数为,每秒新建连接数为10000。该防火墙支持多达50个虚拟防火墙,本方案配置50个,同时,该防火墙还可以作为VPN网关,默认提供250
19、0个IPsec VPN的拨入。本方案中虚拟防火墙结构,物理上NGFW-TG-4324的6个百兆以太网口全部连接到核心交换机,通过虚拟划技术,一个NGFW-TG-4324虚拟出4个虚拟防火墙(本方案的配置下可以支持50个)。4个虚拟防护墙分别作为专网、INTERNET、协作单位和局域网核心数据中心的隔离。为了实现外联网络对本网络的有控制的访问,把其需要访问的数据资源部署在各自的DMZ区(如图)。如:WEB服务器、邮件服务器等部署在互联网防护墙的DMZ区,允许外部用户访问该DMZ区,但绝对禁止进入内网。同样的方法也适用于其它外联用户的访问。3.3.4上网行为控制设计 上网行为管理产品可助您实现对互
20、联网访问行为的全面管理,可在P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。上网行为管理为您解决以下问题:u 防止带宽资源滥用 通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA、ERP等办公应用获得足够的带宽支持,提升上网速度和网络办公应用的使用效率。 u 防止无关网络行为影响工作效率 上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整,包括基于不同
21、用户身份差异化授权、智能提醒等。u 记录上网轨迹满足法规要求 上网行为管理产品可以帮助组织详尽记录用户的上网轨迹,做到网络行为有据可查,满足组织对网络行为记录的相关要求、规避可能的法规风险。u 管控外发信息,降低泄密风险 上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,为组织保护信息资产安全,降低网络风险。u 掌握组织动态、优化员工管理 上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工,并通过关键字报表和热贴报表来反映员工思想动态。风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理
22、风险,而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态,并以此为基础实施组织文化建设、制度改进等针对性措施,从而提高员工管理水平。u 为网络管理与优化提供决策依据 上网行为管理产品提供了丰富的网络可视化报表,能够提供详细报告让管理者清晰掌握互联网流量的使用情况,找到造成网络故障的原因和网络瓶颈所在,从而对精细化管理网络并持续加以优化提供了有效依据。u 防止病毒木马等网络风险 通过部署上网行为管理产品,利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手
23、段,实现立体式安全护航,确保组织安全上网。u 降低成本且有效推行IT制度 上网行为管理产品能够实现用户网络权限的细致分配以及带宽的优化管理,通过事前精细规范、事中智能提醒、事后报表呈现等手段实现有效管理;通过将是否具备上网权限与用户对IT制度的遵从情况进行绑定,强制要求用户遵从组织IT制度里的各项细则规定(如必须安装指定的杀毒软件或桌面管理软件等),并且可以根据组织要求进行各种智能提醒,通过创新技术的应用,让IT管理制度融入每位用户的日常工作中。3.3.5 数据中心服务器区详细设计数据中心服务器区为提供各种应用系统的区域(如:财务应用、两票系统、燃料系统等)。该区域设计为各应用服务器双网卡直接
24、互联核心交换机,可提供高速的网络交换访问。3.4 连接华电国际广域网方案 华电渠东发电有限公司一期工程在基建期已经通过接入路由(Juniper J-6350-JB)和VPN防火墙(天融信 NGFW 4000)和2M的SDH线路连接到华电国际的广域网中。本项目在广域网连接设计中将采用原有的设备和线路。广域网连接的路由配置保持不变,不改变原有连接华电国际广域网的任何配置,只做设备迁移。连接局域网的配置根据新的网络建设IP地址规划、VLAN规划做相应的调整。3.5 IP 地址分配原则 我公司的外网口地址为222.142.41.197,华电国际分配给我公司内部地址为10.141.8,10.141.9,
25、10.141.68,10.141.69四个地址段。IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。充分利用申请到的地址空间,及考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。 IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将对公司网络的可用性、可靠性与有效性产生关键影响。因此在对IP地址进行规划建设的同时,应充分考虑本地网对IP地址的需求,以满足未来业务发展对IP地址的需求。 IP地址规划遵循以下原则: 1、IP地址的规划与划分考虑到公司网络的飞速发展,能够满足未来发展的需要;即要满足本期工程对IP地址的需求,同时要充
26、分考虑未来业务发展,预留相应的地址段; 2、IP地址的分配要有足够的灵活性,能够满足各种用户接入如宽带接入、专线用户等的需要; 3、专线子网中专线用户的IP地址由本网统一分配,用户的地址尽量连续整齐,便于在出口作summary。分配地址块时遵循从大到小的原则:所有路由器的LOOPBACK地址可采用一个单独的网段,并使用32位掩码。 4、整网IP地址分配和路由协议支持VLSM,以充分利用地址空间。支持CIDR,以利于减少路由表大小,提高路由效率。整网网段掩码如下:点到点Link使用30位掩码;LOOPBACK使用32位掩码;根据应用服务器的类型和数量,合理分配服务器区地址空间;根据客户端中部门的
27、数量、部门人员及扩编需要,合理分配客户端区的Vlan的地址空间。 以部门、应用,办公区域为依据,将整个厂区的IP地址划分为7个VLAN和两个互联地址段。VLAN 1VLAN 1 作为网络交换机设备的管理VLAN,使网络管理人员能够对网络交换设备进行远程登陆,方便的管理网络交换设备。由于这个地址段不需要到出口,所以可以用私有地址。地址段 192.168.1.1-192.168.1.254 子网掩码:255.255.255.0 (可用254地址)从核心开始依次使用上述IP地址,即核心机房:WS-C4507R-E 主核心:192.168.1.1备核心:192.168.1.2 综合楼:WS-C2960
28、G-48TC-L综合楼一层192.168.1.3综合楼二层192.168.1.4综合楼三层192.168.1.5综合楼层192.168.1.6综合楼五层192.168.1.7,其他位置的交换机依次排序就可以。VLAN 10VLAN 10 作为服务器群的接入VLAN,将服务器群放置在此VLAN中。地址段 10.141.8.1-10.141.8.64 子网掩码:255.255.255.224 其中10.141.8.1作为双机热备的虚地址也就是这个VLAN中的计算机的网关地址。 10.141.8.2 ,10.141.8.3 作为两个核心交换机的实地址,分配给服务器的地址可用地址段为10.141.8.
29、4-10.141.8.62 (可用59地址)VLAN 20VLAN 20 作为财务办公的VLAN,将整个财务办公的计算机放置在此VLAN中地址段 10.141.8.65-10.141.8.94 子网掩码:255.255.255.224 其中10.141.8.65作为双机热备的虚地址也就是这个VLAN中的计算机的网关地址,10.141.8.66, 10.141.8.67作为两个核心交换机的实地址,分配给财物计算机的可用ip地址段为:10.141.8.68-10.141.8.94(可用27地址)VLAN 30VLAN 30作为办公楼计算机接入VLAN,办公楼上除了财务的计算机,其他的计算机都在此V
30、LAN中。(根据部门详细划分内部vlan)地址段:10.141.9.1-10.141.9.254 子网掩码:255.255.255.0其中10.141.9.1作为双机热备的虚地址也就是这个VLAN中的计算机的网关地址,10.141.9.2 ,10.141.9.3作为两个核心交换机的实地址,分配给办公楼的计算机的可用ip地址段为:10.141.9.4-10.141.9.254 (可用251地址)VLAN 40VLAN 40作为整个工作现场的接入VLAN,工作现场包括:中水、工程师站、集控中心、除灰、脱硫、化水、汽车衡、输煤、凝结水、煤场、铁路办公楼等工作一线。(根据能否上外网详细划分vlan)地
31、址段:10.141.68.1-10.141.68.126 子网掩码:255.255.255.128其中10.141.68.1作为双机热备的虚地址也就是这个VLAN中的计算机的网关地址,10.141.68.2, 10.141.68.3作为两个核心交换机的实地址,分配给生产的计算机的可用ip地址段为:10.141.68.4-10.141.68.126 (可用123地址)VLAN 50VLAN 50作为检修楼接入VLAN。(根据能否上外网详细划分vlan)地址段10.141.68.129-10.141.68.254 子网掩码:255.255.255.128其中10.141.68.129作为双机热备的
32、虚地址也就是这个VLAN中的计算机的网关地址,10.141.68.130 10.141.68.131作为两个核心交换机的实地址,分配给检修的计算机的可用ip地址段为:10.141.68.132-10.141.68.254 (可用123地址)VLAN 60 VLAN 60作为综合楼等后勤部门,及临建区的接入VLAN。地址段:10.141.69.1-10.141.69.254 255.255.255.0其中10.141.69.1作为双机热备的虚地址也就是这个VLAN中的计算机的网关地址,10.141.69.2 ,10.141.69.3作为两个核心交换机的实地址,分配给视频终端的可用ip地址段为:1
33、0.141.69.4-10.141.69.254 (可用123地址)视频会议路由器直接连到视频终端。Ip为10.141.8.253互联地址核心交换机与防火墙或者深信服安全设备之间相连需要互联地址。地址段:192.168.0.1-192.168.0.254 子网掩码:255.255.255.0天融信内网口地址192.168.0.1深信服上网行为管理管理地址192.168.0.2核心交换机上联口虚地址192.168.0.3两台核心交换机上联口实地址192.168.0.4 192.168.0.510.141.8.97-10.141.8.254地址可以备用第四章 网络实施方案4.1 设备命名原则网络设
34、备命名根据易用、易记的原则进行设计,具体分三类命名。1、核心交换机Catalyst4507R交换机设备命名分为三部分,如:C4507R-CORE-1其中:C4507R 代表设备类型CORE 代表核心交换机 1 代表设备编号2、客户端区接入交换机设备命名分为四部分:如:C2960-AS-CLT-1其中:C2960 代表设备类型AS 代表接入交换机CLT 代表区域1 代表设备编号3、防火墙设备命名分为三部分:如:FWSM-CORE-1其中:FWSM 代表模块类型CORE 代表局域网模块1 代表设备编号专心-专注-专业4.2 系统安装调试及方案制定保证系统调试方案作为工程施工计划的一部分,我们将在开
35、始系统调试前制定方案,共同确认后,方可进行调试。所有调试步骤、方法及技术资料需写纸质文件,形成完整的竣工资料装订成册后方可验收。系统调试方案的内容包括:l 网络设备基本参数配置(主机名分配规则、网络设备登陆密码分配规则、核心交换机、及接入交换机配置等)l IP地址分配方案(包括核心层网络地址分配、接入层网络地址分配、远程访问层网络地址分配、主机系统网络地址分配、网络设备管理地址分配等)l 网络接口参数配置方案(包括双工模式、封装协议规则、端口数率限定等)l 路由协议配置方案(包括静态路由分配方案、边界地址汇总方案、VLAN间路由配置方案等)l 安全策略配置方案(包括防火墙配置、安全策略定制、访
36、问控制列表制定、数据加密策略、AAA用户认证管理等)设备安装调试总体计划设备装调总体计划包含两个方面:其中之一是安装调试进度计划;另一个是安装调试过程计划。对于安装调试进度,要依据项目总体进度要求,在规定时限内完成项目中所涉及网络设备的安装调试,实现系统的试运行。 安装调试过程计划包含对于具体实施环节、具体设备的实施计划,在制定系统设备的安装调试计划后,由中标方专门的技术人员和业主信息部门业务人员一起制定软硬件系统的测试计划。设备安装调试总体原则本项目所涉及的设备安装调试要遵守IT设备装调的一般性原则,同时由于应用的特殊性,还要遵循在用户方施工的特殊原则。完备的装调准备在设备装调前,由施工方技
37、术管理人员派发设备装调任务;装调方案审议对于不同的设备,由施工方工程师制定相应的装调步骤方案、参数设置方案等,由项目经理和相关实施人员共同讨论,分析设备装调的具体细节和实施难点;装调的专业性严格控制设备装调的参与人员,杜绝非技术人员单独操作;装调的程序性详细记录设备装调报告,记录装调问题以便及时解决和备案;设备安装调试准备工作设备装调的前期要进行充分的准备,在本项目设备装调的准备工作主要有设备的测试准备、全部设备的编码分类统计工作。项目涉及的主要设备有:1) 网络路由器、交换机、网络安全设备;2) 各环节所使用的通讯设备;考虑到在本项目中会涉及大量设备,为了统一管理和系统实施及维护的便利性,我
38、们建议对网络设备进行统一编码,建立设备档案。使用设备全名的汉语拼音字头、设备所属机构代码、设备类别等进行混合编码,同时在设备编码对照表中附加设备产品序列号字段、设备装调工程师字段、设备维护描述字段等辅助信息。这样可以方便的从编码表中定位设备品名、设备的物理位置、设备使用情况等重要信息,既方便了系统的运营维护、又对本项目的设备管理提供了具体的有益的帮助。设备安装调试方案网络系统的安装调试是本项目的主导环节。网络调试准备及设备初检网络系统的安装调试准备工作相对较多,详细、精心的准备工作可以使安装调试达到事半功倍的效果。网络拓扑结构的确定根据本项目的总体方案,确定设备的物理位置及连接关系。网络地址的
39、分配根据本项目的总体的网络地址划分原则、细化公司内所有网络设备及其它主机/工作站等设备的IP地址划分。路由协议的选择根据总体方案的设计,选择各层次的网络传输路由协议。主要设备配置细节规划对于网络交换设备、网络路由设备等做出相对具体的配置范本。网络设备安装调试过程:网络设备安装调试工作是本项目建设的重要步骤,也是工程升级成功的基本保证。在网络设备现场安装调试前必须做好各项准备工作,其中最重要的是实施方案和实施环境的准备。对于实施环境,要满足设备使用的基本要求,同时各种线路应该全部进场(包括专线线路、局域网线路)。 网络设备的现场安装调试涉及运营商端的应用环境和网络连接,由中标方拟定网络连接拓扑方
40、案、网络路由选择方案、网络安全设备配置方案、网络调试计划等文件与业主信息部门及合作运营商的相关人员共同商讨审定,审定的内容包括技术的可行性、人员时间安排、调试测试手段等。这些文档做为所提交的必要文档的一部分交由用户信息部门留存。网络设备安装调试的参与人员:1) 信息部门的技术人员2) 中标方项目实施小组的技术人员3) 网络运营商的技术人员4) 第三方设备厂家配合技术人员;安装环境的确定和测试:首先要确定网络设备安装的位置,如在网络机柜上的高度、设备上下空间、网络连接线的位置、网络走线方法。测试网络设备安装地点的环境,主要涉及通风散热和用电安全;测试网络线缆的通断情况和传输衰减。要求布线施工人员
41、提交布线测试报告,并抽检局域网线路(或全部测试)。线缆测试方法如下:1) 使用简易线缆测试设备测试线路的通断情况;2) 使用专用线路测试仪测试网线传输衰减;网络设备的安装调试:1) 完成网络设备的上架固定;2) 完成网络线缆的连接;3) 连接网络设备配置终端;4) 系统安全上电;5) 按照网络设备调试方案进行通讯参数和地址参数的调整6) 设置网络设备的路由参数7) 设置网络设备QOS相关参数8) 设置网络设备的安全性相关参数在网络设备调试过程中,记录各参数的调整情况,保存网络设备配置文件。网络设备连通性测试:网络设备连通性测试主要采用Ping命令手段,通过Ping方案设计中所要求的不同目标网段
42、或目标地址来测试网络的连通性,通过考察Ping命令的返回信息分析判断网络连通行性能:如分析相应时间、丢包率等,并做相应调整以达到通讯性能最佳。通过TraceRoute命令考察通讯连接的路由路径,对路由跳数进行分析,来调整路由方式使得连接发起方与连接目标方的路由跳数最少。在这个网络安装调试阶段可以保留网络设备接收Telnet登陆和Ftp文件传输,这样可以方便网络设备在本项目实施过程中的参数调整。在运行阶段为保证安全性再封死对该类连接请求的响应。系统联合调试方案在完成上述集成工作之后,需要对所有节点进行联调,以确保整个系统的正常运行。在联调阶段,要详细记录各子系统运行参数,确保及时发现问题及尽快解
43、决。具体工作包括:1)记录/分析交换机工作状态从交换机中提取交换机的工作日志和相关的统计数据,如:流量、丢包、拥塞等。2)记录/分析路由器工作状态从路由器中提取路由器的工作日志和相关的统计数据,如:流量、丢包、线路通/断等。3)记录/分析局域网工作状态从交换机中提取交换机的工作日志和相关的统计数据,如:网络利用率、流量、丢包等,结合局域网出现的有关现象,分析局域网的工作状态。4)记录/分析主机工作状态从主机中提取主机的工作日志,结合日常维护工作的记录,分析主机的工作状态,如CPU、内存、IO队列、磁盘队列、网络吞吐率等。5)记录/分析软件系统工作状态从系统中提取各种应用软件的工作日志,结合日常
44、维护工作的记录,分析应用软件的工作状态。6)工作日志在系统联调期间,要详细、严格记录联调过程中发生的问题,无论是对设备的调整,还是系统出现故障。应当每天下午或晚上,按照上面所描述的步骤进行系统数据的收集和分析。可以及时发现系统运行中发生的异常和故障,准确定位,并及时解决。施工规范项目施工标准工程实施主要有如下几部分内容:1、 开箱验货:施工方和业主方同时在场进行开箱验货,开箱验收时先检查包装外观和设备外观,发现外观有损坏的,停止开箱,马上进行处理。先打开装箱单所在的箱子,取出装箱单(一式两份),按照装箱单中的数量核对。验货完毕后,根据验货情况双方在装箱单上签字,货物正式移交给用户,货物的保管责
45、任为用户。装箱单双方各包管一份。开箱验货发现的物料问题,务必在3天内进行反馈处理。2、 设备安装施工方参照各产品随机发货的设备安装手册中安装要求进行设备的硬件安装和软件调试,主要有以下几方面内容:1) 施工过程中,施工人员要遵守用户、相应的行为规范。2) 施工中发现无法解决的技术问题,及时向技术负责人汇报,寻求技术支持,使题能得到快速定位解决。需要升级软件版本的按照相关指导书进行软件版本升级。3) 工程项目经理每周五发送工程周报,发给用户和相关人员。周报模板参考附件。停工期间不发送工程周报。4) 设备安装调试过程中,对照工程质量检查标准进行工程质量自检。5) 设备安装调试完成后进行相关的业务测
46、试。并有测试记录和双方签字。6) 与用户及其他参与厂家及线路提供商召开工前协调会。3、 工程培训工前和完工集中培训:在开工前或完工后,对华电渠东2*330MW电厂技术人员集中进行网络知识和产品培训,施工方进行培训资料和授课老师确定。按照用户的要求对用户进行培训。工程施工中的现场培训:工程施工中,设备安装时要对用户的技术人员进行培训,主要培训产品知识、安装特点、常见故障处理等内容。让用户掌握基本维护和设备日常使用知识。具体培训计划见培训方案。4、 机房服务热线挂牌对主要机房进行机房服务热线挂牌,让用户的维护人员能够了解维护和支持的途径。施工行为规范工程实施中要遵守如下几方面行为规范:1、 精神面貌1) 衣着整洁,注意个人卫生;2) 仪表大方,精力充沛;3) 保持愉快的工作情绪,不将个人情绪带到工作之中;4) 站立要抬头挺胸,身子不要歪靠在一旁;5) 走路不可摇晃,遇急事可加快步伐,但不可慌张奔跑;6) 坐下时不要跷二郎腿,不可抖动