单位信息化管理平台工程项目方案书

1、大 数据中 心机房X X X单位信息化管理平台工程项目方案书设计单位:建设单位: 编制日期:目录 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 第一章项目概述71.应用背景7 HYPERLINK l bookmark6 o Current Document 第二章总体设计9 HYPERLINK l bookmark8 o Current Document 1.设计原则91. 1.先进性91.2.实用性91.3.可扩展性92.1.4.兼容性91. 5.安全性101.6.规范性101. 7.经济性10设计依据10 HYPERLINK

2、l bookmark10 o Current Document 3.系统设计163. 1.网络系统163. 2.网络布线系统203. 3.机房系统203. 4.信息安全系统213. 5.灾备系统23 HYPERLINK l bookmark14 o Current Document 3. 6.服务器和存储系统25 HYPERLINK l bookmark16 o Current Document 第三章系统设计方案29 HYPERLINK l bookmark18 o Current Document 1.网络系统291. 1.需求分析291.2.建网原则331.3.组网设计34 HYPERL

3、INK l bookmark20 o Current Document 1.4.VLAN/路由规划351.5.网络管理411.6.无线网络431.7.冗余方案611.8.网络安全62语音系统643 2 1. 彳口 652. 2.总体设计722. 3.通信功能752. 4.系统组件82 HYPERLINK l bookmark38 o Current Document 3.网络布线系统933.1.需求分析933. 3.2.布线结构943. 3.3.选型要求963. 3.4.系统设计983. 4.机房系统1193. 4.1.工程分项1193. 4.2.需求分析1213. 4.3.系统设计122 H

4、YPERLINK l bookmark42 o Current Document 3. 4.4.机房空调工程138 HYPERLINK l bookmark44 o Current Document 3. 4.5.智能门禁系统144 HYPERLINK l bookmark46 o Current Document 3. 4.6.漏水检测系统150 HYPERLINK l bookmark48 o Current Document 3. 4.7.中心机房集中监控1513.4.&供配电系统152 HYPERLINK l bookmark52 o Current Document 3. 4.9.U

5、PS 系统1523. 4.10.空调设备1553. 4.11.温湿度监控1573. 4.12.门禁系统1583. 4.13.消防系统1583. 4.14.环境监控164 HYPERLINK l bookmark58 o Current Document 3. 5.信息安全系统1703. 5.1.面临问题1703. 5.2.需求分析1745. 3.总体规划1883. 5. 4.安全架构1903. 5. 5.核心能力1933. 5. 6.核心功能2033. 6.灾备系统2233. 6. 1.建设策略2233. 6. 2.技术路线2243. 6. 3.需求分析2273. 6. 4.总体架构228 H

6、YPERLINK l bookmark66 o Current Document 3. 6. 5.灾备运维管理229 HYPERLINK l bookmark68 o Current Document 3. 6. 6.灾难恢复预案230 HYPERLINK l bookmark70 o Current Document 3. 6. 7.灾难恢复演练231 HYPERLINK l bookmark72 o Current Document 7.服务器和存储系统2333. 7. 1.需求分析2333. 7. 2.系统架构2367. 3.系统功能2373.&数据备份系统2473.& 1.备份方式24

7、7系统设计248核心功能250 HYPERLINK l bookmark80 o Current Document 第四章项目管理259 HYPERLINK l bookmark82 o Current Document 1.项目基本情况2591. 1.项目建设目标2591.2.主要建设内容259 HYPERLINK l bookmark84 o Current Document 项目组人员配置260 HYPERLINK l bookmark86 o Current Document 3.项目计划265 HYPERLINK l bookmark88 o Current Document 3.1

8、.计划开、竣工日期和施工进度表265 HYPERLINK l bookmark90 o Current Document 3. 2.项目建设质量目标2653. 3.采购供应计划266 HYPERLINK l bookmark92 o Current Document 4.施工方案2724. 1.施工准备2724. 2.物资准备273 HYPERLINK l bookmark94 o Current Document 4. 3.现场平面布置274 HYPERLINK l bookmark96 o Current Document 4. 4.施工管理措施275 HYPERLINK l bookma

9、rk98 o Current Document 4. 5.施工应急措施276 HYPERLINK l bookmark100 o Current Document 5.深化设计2774. 5. 1.深化设计内容2774. 5. 2.编制步骤2784. 5. 3.设计规范2794. 5. 4.设计控制2794. 5. 5.设计审核2814. 5. 6.技术管理2834. 6.施工工艺2844. 6. 1.安装工艺284 HYPERLINK l bookmark102 o Current Document 4. 6. 2.线缆敷设工艺292 HYPERLINK l bookmark104 o Cu

10、rrent Document 4. 6. 3.综合布线施工工艺297 HYPERLINK l bookmark106 o Current Document 4. 6. 4.机房工程施工工艺303 HYPERLINK l bookmark108 o Current Document 4. 7.调试验收3194. 7. 1.调试计划3194. 7. 2.调试条件3224. 7. 3.调试内容323 HYPERLINK l bookmark110 o Current Document 4. 8.验收规范3254.& 1.综合布线系统3264. 8. 2.缆线敷设326 HYPERLINK l boo

11、kmark112 o Current Document 4. 8. 3.配套设施安装330 HYPERLINK l bookmark114 o Current Document 4. 8. 4.光缆芯线终端331 HYPERLINK l bookmark116 o Current Document 4. 9.竣工验收3329. 1.机房工程334 第五章培训及维 331.*1 I 3 38 TOC o 1-5 h z HYPERLINK l bookmark122 o Current Document 1. 1.综合布线系统339 HYPERLINK l bookmark124 o Curre

12、nt Document 1.2.网络系统培训340 HYPERLINK l bookmark126 o Current Document 1. 3.电子机房系统3412.月 3 2 HYPERLINK l bookmark130 o Current Document 2. 1.免费维修保养3422. 2.系统的完善343 HYPERLINK l bookmark132 o Current Document 2. 3.维修保养分类3442. 4.维修记录3442. 5.保修期满344第一章项目概述应用背景本信息智能化项目，包括网络架构，网络布线，数据中心， 数据安全，数据容灾等系统，因此弱电工程

13、的方案应当更切实可 行地度身设计。为了保证项目成功的顺利实现，将使用一套先进的、结构化 的、成熟的系统集成方法指导项目的实施，这套方法论将重点强 调：:项目管理:解决方案的规划设计:子系统的集成:质量控制:资源管理:系统测试:变更管理:全面协调管理第二章总体设计设计原则先进性在保证系统实用、稳定的前提下，适当采用先进成熟的主流 技术，符合今后的发展方向，延长系统的生命周期。实用性系统应满足工作流程合理、直观、操作简单、易于使用，即 实用性原则。本系统将实现档案扫描、数据管理、查询统计、数 据交换应用等日常管理功能，优化的系统结构和完善的数据库系 统，完善灵活的查询与统计功能，友好的用户界面等。

14、可扩展性系统采用在总体框架基础上挂接实现业务功能子系统的模式, 实现数据的自动流转，并且这个模式本身具有高度的灵活性和可 扩展性。兼容性在本系统建设中要充分加以利用。在基础建设中，要注重系本次设计所参考的设计依据如下:统之间的衔接，切实保障系统之间的信息资源共享，避免重复建 设，最大程度发挥现有各类资源的效益，保护已有的投资。安全性系统应遵循安全性原则，可建立较为严密的访问分级、数据 加密、电子身份验证等机制，并通过手工、定期自动等方式进行 多途径数据备份，在保证系统用户权限合法性的同时，保证数据 的准确、不易破坏和不易泄密。系统建设中应充分考虑分级联网及与外网衔接中的应用操作 与信息访问安全

15、问题。规范性技术上要符合单位信息化建设的规范，同时能随关键技术的 发展不断升级，始终保持适用性；经济性符合单位信息化建设的同时，要保持经济性。22设计依据电子计算机机房设计规范(GB501742008)电子计算机机房施工及验收规范(SJ/T3000393)计算站场地技术要求(GB2887-93)计算站场地安全技术(GB9361-88)计算机机房用活动地板技术条件(GB6650-86)民用建筑电气设计规范(JGJ/T16-92)工业与民用供电系统设计规范(GBJ52-82)低压配电装置及线路设计规范(GBJ54-83)电气装置安装工程施工及验收规范(GBJ32-82, 其中部分章节按90-92年

16、的新版规范)电气装置安装工程接地装置施工及验收规范(GB50169-92)低压配电设计规范(GB5005495)不间断电源设备 不间断电源技术性能标定方法和试验要求(现行国标电工标准)建筑物电气装置(国际电工标准)安全防范工程程序与要求(GA/T7587)建筑设计防火规范(GBJ1687)建筑内部装修设计防火规范(GB5022295)建筑与建筑群综合布线系统工程设计规范(GB/T50311-2000)智能建筑设计标准(GB/T50314-2000)建筑防雷设计规范(GB50057-94)民用建筑电器设计规范(JGJ/T16-92)建筑与建筑群综合布线系统工程施工及验收规范(GB/T 50312

17、-2000)商用建筑综合布线标准(ELA/TA568 (B) ISO/IEC 11801 2002中国采暖通风与空气调节设计规范(GBJ19-87)安全防范工程程序与要求(GA/T75-94)安全防范系统通用图形符号(GA/T7494)民用闭路监视电视系统工程技术规范(GB/50198-94)以太网、快速以太网、千兆以太网以及相关的互联网 协议建筑设计防火规范(GB50016-2006)气体灭火系统设计规范(GB50370-2005)气体灭火系统施工及验收规范(GB502632007)自动喷水灭火系统设计规范(GB50084-2001)自动喷水灭火系统施工及验收规范(GB50261-96)火灾

18、自动报警系统设计规范(GB50116-98)火灾自动报警系统施工及验收规范 (GB50166-92)采暖通风与空气调节设计规范(GBJ19-87) (2001年版)通风与空调工程施工及验收规范(GB50243-97)建筑智能化系统工程设计标准(DB32/181-1998)建筑智能化系统工程实施及验收规范(DB32/366-1999)2.3.系统设计网络系统数据网络采用三层结构：核心层，汇聚层及接入层。三栋楼 之间采用万兆网络主干，在每一楼内部署汇集走千兆数据交换， 建立高速，安全，合理的网络环境。并在新建的网络平台上，实 现基于IP的统一通信和三幢楼内的无线移动办公。本此项目的网 络部分可分为

19、三个部分进行详细设计和展开说明：数据交换部分、 无线网络部分和IP通信部分。其中：数据交换部分的设计思想实用性：遵循面向应用，注重实效，急用先上，逐步完善的 原则；充分保护已有投资，不设计成华而不实的无线网络，也不 设计成利用率低下的网络，我们以实用性的原则要求为依据，建 设具有最低的TCO （拥有的总成本最低），有最高的性价比的无 线局域网络。先进性：采用先进成熟的网络概念、技术、方法与设备，反 映当今先进水平,又给未来的发展留有余地；充分采用目前国际、 国内流行和成熟的技术，保证网络能适应技术的快速发展。可靠性：系统必须可靠运行，主要的、关键的设备应有冗余, 一旦系统某些部分出现故障，应能

20、很快恢复工作，并且不能造成 任何损失。开放性：选择的产品应具有好的互操作性和可移植性，并符 合相关的国际标准和工业标准；无论发生任何变化，均能够最大 可能性的开放标准。可扩充性：系统是一个逐步发展的应用环境，在系统结构、 产品系统、系统容量与处理能力等方面必须具有升级换代的可能, 这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比;可维护性：系统具有良好的网络管理、网络监控、故障分析 和处理能力，使系统具有极高的可维护性；安全性：必须具有高度的保密机制，灵活方便的权限设定和 控制机制，以使系统具有多种手段来防备各种形式的非法侵入和 机密信息的泄露。.无线网络部分的设计思想兼容性原则:无线

21、局域网采用的技术应可在各个厂商的交换 网络中实现。即不管现有的网络平台是哪个品牌的，所用的无线 解决方案在其上都可以正常运行。先进性原则:第一代无线局域网主要是采用胖AP,每一台AP 都要单独进行配置，费时、费力、费成本；第二代无线局域网融 入了无线网关功能但还是不能集中进行管理和配置，其管理性和 安全性以及对有线网络的依赖成为了第一代和第二代WLAN产 品发展的瓶颈，在这样的环境下，基于无线集中控制技术的集中 式无线组网产品应运而生。新一代无线局域网采用无线控制器 和 LAP的架构，使得无线局域网的网络性能、网络管理和安全管理 能力得以大幅提高。可管理性原则:在网络管理方面，必须具有集中控管

22、、智能调 控、自动恢复、负载均衡等实用功能，使所建的无线网络可以适 应多种环境的变化，可动态地保证良好的应用效果。大大减少管 理成本。安全性原则:在网络安全性方面，无线局域网系统要具有与有 线局域网同样要求的安全防护措施。可靠性原则:具有提供智能化的无线电波自动调控功率能力， 以确保单个AP接入点在发生故障时，邻近AP的功率自动加大， 不会影响无线的接入服务；具有无线频段自动调功能，确保AP 的信号达到最大的覆盖。扩展性原则:通过一个集中的无线局域网管理方案，实现对所 有的AP功能的配置和管理。同时整个系统可以根据用户的需要 进行规模上的扩展，扩展后所有功能和管理的模式保持不便。同 时，还应支

23、持多SSID,可以方便的把语音、视频以及其他类型 的数据的应用进行扩展。IP通信部分的设计思想扩展性：采用开放的平台，能够和园区网的平台能够完美融 合。先进性和成熟性：采用通信领域的最新技术，保证系统在建 成后一段时间内不会因技术落后而大规模调整，并能够通过升级 保持系统的先进性，延长其生命周期，同时又要保证先进的技术 是稳定的、成熟的，支持现有的多种业务功能。高可靠性和可管理性：出于企业管理和效益的考虑，建立方 便、全面的通信网络管理对保证通信网络安全、高效的运行是非 常重要的。系统必须易于使用，必须能够提供安全的远程Web登 陆管理方式，以减少员工培训费用；同时，系统维护应尽量集中、 简单

24、，尽量避免复杂系统和多系统组合的维护开销，减轻维护人 员的负担，提高网管和决策的效率。网络布线系统单位综合布线系统（PDS）的目的就是将建筑群内所有建筑 单体的计算机技术、通信技术，信息技术与建筑艺术有机结合， 通过对设备的自动监控，对信息资源的管理和对使用者的信息服 务及其与建筑的优化组合，所获得的投资合理，适合信息社会要 求并且有安全、髙效、舒适、便利与灵活特点的建筑物。本次设 计内容为单位屏蔽综合布线系统工程方案、施工、安装、调试、 检测与运行维护保障等服务机房系统单位机房建设统一考虑机房各个子系统的建设。各个系统设 计应遵循国际、国家有关机房建设方面的技术标准、规范。机房 的设计必须满

25、足当前各项需求应用，又面向未来快速增长的发展 需求，本方案将采用现代先进的和成熟的技术将单位机房按功能 划分，并且分别将各个功能区域建设成一个高效、美观、实用的 环境系统。机房工程不仅集建筑、电气、安装、网络等多个专业技术于 一体，更需要丰富的工程实施和管理经验。机房设计与施工的优 劣直接关系到机房内计算机系统是否能稳定可靠地运行，是否能 保证各类信息通讯畅通无阻。我们设计机房改造后的环境必须能够满足计算机等各种微电 子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪音干 扰、安全保安、防漏、电源质量、振动、防雷和接地等的要求。单位机房工程机房工程项目具体包括中心机房系统工程的设 计、施工、

26、安装、调试及服务，以及该系统所需设备的采购、集 成等。包括：机房装修；供配电系统（包括UPS配电）；精密空 调；防雷及接地处理；监控系统（漏水监控）；气体消防；门禁等。 并且考虑带中国科学院机房整体信号屏蔽和安全措施。234 信息安全系统根据对招标文件的理解，此次单位二期IT/IS信息化项目信 息安全总体目标是：建立较为严密的访问分级、数据加密、电子 身份验证等机制，并通过手工、定期自动等方式进行多途径数据 备份，在保证系统用户权限合法性的同时，保证数据的准确、不 易破坏和不易泄密。项目的目标可以归纳为：（1）提出单位信息安全规划，设计信息系统安全架构。包括信息安全技术架构、信息安全管理架构和

27、相应的制度规 范架构等。制定信息安全建设实施计划，分解重点任务和主要 工作内容，确定主要建设项目，规划项目的建设目标、实施 计划、资源需求等。项目的具体技术实现目标，包括且不仅限于以下方 面：网络边界安全对网络边界进行安全隔离，防范非法入侵对网络边界进行入侵保护，防范非法入侵对网络流量进行过滤，防范网络病毒或网络攻击对网络流量进行流量清洗，优化企业带宽对互联网访问进行控制，只有合法用户才能访问相应资源对网络流量进行过滤，只有允许访问的内容才能正常访问2.342传输安全提供IPSEC VPN服务，为外网用户提供安全接入提供SSLVPN服务，保证应用系统的访问安全.主机安全实现核心服务器的安全保护

28、，预防入侵。记录核心服务器的 操作记录，用户访问等，实现主机系统层面的安全审计。核心网段安全实现对核心网络流量的安全检测和访问保护。终端安全终端接入安全，防止未经授权的设备接入内部网络，防止一 机双网，实现IP地址绑定，确保内网安全。终端防病毒，实现对 终端的安全保护应用层安全对应用系统文件进行加密保护和访问授权，防止敏感信息的 泄露。数据备份对应用数据进行定期备份，确保数据的完整性和可用性。2.3.5.灾备系统所谓信息系统的灾难备份系统(简称灾备系统)，就是除了拥 有一套完整的计算机信息系统（通常称之为生产中心）之外，还 应当另外建立一套计算机信息系统（通常称之为灾难备份中心或 灾备中心）。

29、这套系统能在突发性灾难发生，造成生产中心停止工 作时，能够快速及时地接管原来运行在生产中心的所有或者部分 业务，达到减少或者避免灾难事件发生时所造成的损失，为业务 系统提供完善、优质、持续服务的目的。灾难备份系统的建设可以以有效的手段来增强信息系统的抗 灾能力、保障业务系统的连续运行、最大限度地减小突发灾难带 来的影响和损失。单位要求信息系统有非常高的可用性和可靠性，在发生灾难 事件后，核心信息系统能在短时间内恢复，数据不能丢失，或者 尽可能少丢失，以保证单位的数据的安全性和信息系统的持续性。 这就对单位的灾难备份系统的设计和运行管理模式提出了很高的 要求。从业务发展的角度来看，IT系统将成为

30、单位业务系统的关 键因素。因此，如何通过管理和技术提供系统7X24小时的高可 用性，增强系统抗风险能力，保障业务的持续运作，已经成为单 位IT系统建设中必须实现的任务。单位实施灾难备份项目的重大意义在于，它以有效的手段来 保障单位业务系统的正常及持续运行。由于单位各应用系统对灾 难备份的要求不同，由此决定了所采用的技术手段也不一样。从 另一个方面看，灾难备份系统的建设又可以分为技术与管理咨询 两个大的方面。:技术角度切入的灾难备份包含服务器、存储和灾备网络, 数据复制实现，灾备系统监控，灾备系统切换及测试、演练等 方面；:管理咨询角度切入的灾难备份包含IT恢复流程，业务 恢复流程，紧急响应流程

31、，灾难恢复团队建设，公共关系，危 机处理等方面。2.3.6.服务器和存储系统.服务器服务器的整合在业界有两大设计方向：纵向扩展和横向扩展。 纵向扩展是通过大型SMP系统实现机内性能提升，主要适用于 对CPU、内存性能要求大的系统整合，如数据库服务器整合；横 向扩展是通过高密度机架安装来提升单一机架内的性能，主要适 用于I/O频繁但CPU、内存压力相对较小的系统整合，如web 服务器整合、小型应用整合等。在本次设计中，单位的服务器主 要以x86架构的PC服务器为主。一般情况下，每台服务器都是单独运行的，一旦某台服务器 出现不可预见的意外导致宕机，就会造成相关业务的停顿；而单 位的某些应用是关键业

32、务，不允许有停机的情况发生，因此，有 必要建立应用的HA高可用系统，保证任意一台服务器上的应用 停顿之后都会有另外一台服务器迅速的接管其应用，使应用连续 运行。基于虚拟化技术的服务器整合解决方案可以极大的提高服务 器的效率，大幅度简化了服务器管理的复杂性，提高了整体系统 的可用性。同时还明显的减少了投资成本，具有很好的技术领先 性和性价比。虚拟技术由于采用了将传统服务器应用程序环境封 装成可移动的档案文件的技术，很容易实现业务的连续不间断运 行，针对应用和访问量灵活部署，降低系统总成本。建议单位的 一些应用（如AD/DNS/DHCP等）采用虚拟化技术来实现。2362基于SAN架构的存储系统目前

33、，各个应用系统的数据分散存放在各自的服务器上，不 利于数据的集中管理，而且随着数据量的不断增长，备份在本地 的话，需要占用大量的存储空间，需要添加更多的磁盘，甚至需 要单独的磁盘阵列，而如果采用网络集中备份的方式的话，数据 量越大，备份的时间也越长，致使网络的压力不断增大，甚至导 致整个网络的效率变得很差。根据以上的分析，单位需要建立一个髙速高效的SAN存储 专用网络，服务器全部连接在光纤交换机中，通过SAN共享一 个大的存储设备。为了能够有效的共享存储设备，需要一套存储 管理软件，用于解决企业计算与存储区域网（SAN）环境中日益 复杂且耗资巨大的关键任务数据与磁盘资源的管理问题。由于采用了

34、SAN结构，存储系统具备了良好的可用性、可 靠性和可扩展性。随着存储容量的爆炸性增长，SAN架构允许企 业独立地增加它们的存储容量。SAN架构也使得管理及集中控制 变得简单化。2363数据备份系统对于单位的关键系统来说，单单通过构建HA集群系统是不 够的。因为HA集群系统只能保证出现硬件或软件故障的情况下, 可以由另外一台备机来接管，但是一旦服务器或共享磁盘阵列上 的数据被误删除或由于其他原因丢失了，集群系统就无能为力了， 只有通过事先的备份记录来恢复数据。因此，需要建立一个集中管理、安全、可靠、高效的自动化 备份系统。该系统应能保证现阶段的设备及应用正常运行，还可 以保证将来一段时间内对数据

35、备份的新的需求。同时，目前选择 的设备和技术必须能够满足先进性和扩展性的要求，具有很好的扩展能力。第三章系统设计方案网络系统需求分析数据网络采用三层结构：核心层，汇聚层及接入层。楼与楼之间 走万兆数据交换，楼内走千兆数据交换，建立高速，安全，合理的网 络环境。为了提供多媒体信息和关键性应用在网络上的可靠高质量传输, 保护用户的投资，最大限度地满足今后很长一段时间内的应用需求, 最好要求企业网络基础设施能够提供运营商级别或电信级别的业务 能力。本着“建设一个统一融合网络”的准则，我们认为建设一个具 备运营商级别特性的内部网络，需要整个网络提供端到端的智能性保 证，而非仅在网络核心提供。这对整个网

36、络从核心到边缘，直到广域 网，远程节点设备都提出了很高的要求，要求整个网络基础设施可以 提供：端到端的高性能、运营商级的可靠性、运营商级的智能性、运 营商级的安全性、运营商级的可管理性，以及向将来技术的迁移和扩 展。以下对每个特性需求作详细描述：:端到端的高性能（智能化的性能）应用的变化对网络的性能提出了新的要求，特别是在加载了 QoS 策略、安全性策略、负载均衡策略等智能策略后的智能性能。一方面 各种多媒体应用如视频会议系统等不断实施，另一方面企业的关键性 业务如ERP、0A业务的不断增长，这些业务及应用均对网络带宽提 出了日益增长的需求，并且部分业务还要求其带宽必须是得到保证的 带宽，如视

37、频应用等。同时，由于网络安全策略和QoS策略的加载 对一般交换机性能会产生很大的负面影响，所以要求统一网络不仅仅 具有高性能的数据包转发能力，更包括高性能的QoS、高性能的安 全访问控制能力等，也就是说交换机的性能与是否加载了 QoS策略、 安全策略无关，并且这些性能必须是端到端的。:运营商级的髙可靠性(99.999%)不管用户是关键性公用事业机构还是一般的商业组织，其内部网 络可靠性直接影响到其正常运作，而且由于建设的是需要承载企业数 据业务和今后一些多媒体(包括视频和音频)业务于一体的综合性网 络，任何网络的单点失败都可能对企业造成很大的损失，所以网络基 础设施必须提供运营商级的可靠性。所

38、以整个网络的拓扑设计、设备 配置、协议支持都必须充分体现出对高可靠性的支持，不允许网络有 任何的间断，任何网络部件和链路的切换都不应该影响到应用的运行, 做到智能持续服务。运营商级的智能性，提供线速的端到端的QoS保证在一个综合业务内部局域网络中，各种不同的应用对网络基础平 台提出了不同的要求，如：语音需要很小的带宽，但是需要保证其延 时和抖动，视频（如视频会议应用等）则同时对带宽和网络延时提出 苛刻的要求，关键性的数据应用如MRP/ERP软件也对传输时延有着 严格的要求，同时满足所有不同应用的不同需求，需要整个网络平台 提供可靠的端到端的QoS保证。可靠的基于策略的QoS保证是建设 统一网络

39、的必要前提，而且QoS的提供必须能够保证线速性能和髙 可靠性。一般情况下一个端到端的链路中，既有二层交换机又有三层 交换机，能否实现两层QoS到三层QoS的相互映射将是整个系统能 否提供端到端QoS保证的关键。同时需要说明的这种QoS保证能力 不应以牺牲系统性能作为代价。高可管理性网络基础设施的高可管理性可以简化整个网络的管理负担，减少 网络的维护费用，并且提供快速的网络恢复和故障解决。对于一个融 合的网络，网络的可管理性是建设统一网络至关重要的因素。优秀的 网管不仅可以有效提高网络的利用率，更可以大大减少企业在网络管 理上面的设备及人员投资，更合理的对所有设备进行配置及资源分配, 真正做到髙

40、效率低成本的管理。这些工作包括QoS策略的制定、安 全策略的制定等复杂功能的设置，如何通过简单的管理操作来完成， 做到One Touch的可管理性。:运营商级的安全性网络基础设施和运行在其上面的应用日益成为整个企业的心脏， 对于一个关键性企业，网络的安全性非常重要，尤其是对一些重要信 息和敏感的资源，需要有非常好的安全控制，以免机密泄露或影响正 常的生产工作。所以网络平台必须同时提供对外的访问控制，而且可 以做到企业内部网络各个部门之间的访问控制。除了流量的安全性外, 网络设备已日益成为网络攻击的目标（如DoS攻击），因此网络基础设 施的每个网络设备必须同时提供流量到设备的安全性、流量通过设备

41、 的安全性和设备之间通信的安全性，实现各个多层次的运营商级安全 性。需要说明的这种安全性不应以牺牲系统性能作为代价。:可扩展性应用的不断发展要求网络的建设具备很好的可扩展性，包括容量、 性能、协议、网络拓扑及各种业务等。在网络设计和设备选型方面必 须充分考虑到方案的可扩展性。可扩展性也是建设融合网络的必备条 件。为了构建一个融合的统一网络，除了以上关键性要素之外，网络 还必须提供灵活的VLAN支持、广泛的协议支持等。3.1.2.建网原则:先进性在保证系统实用、稳定的前提下，适当采用先进成熟的主流技术， 符合今后的发展方向，延长系统的生命周期。:实用性系统应满足工作流程合理、直观、操作简单、易于

42、使用，即实用 性原则。本系统将实现档案扫描、数据管理、查询统计、数据交换应 用等日常管理功能，优化的系统结构和完善的数据库系统，完善灵活 的查询与统计功能，友好的用户界面等。:可扩展性系统采用在总体框架基础上挂接实现业务功能子系统的模式，实 现数据的自动流转，并且这个模式本身具有高度的灵活性和可扩展性。:兼容性在本系统建设中要充分加以利用。在基础建设中，要注重系统之 间的衔接，切实保障系统之间的信息资源共享，避免重复建设，最大 程度发挥现有各类资源的效益，保护已有的投资。:安全性系统应遵循安全性原则，可建立较为严密的访问分级、数据加密、 电子身份验证等机制，并通过手工、定期自动等方式进行多途径

43、数据 备份，在保证系统用户权限合法性的同时，保证数据的准确、不易破 坏和不易泄密。系统建设中应充分考虑分级联网及与外网衔接中的应用操作与 信息访问安全问题。:规范性技术上要符合单位信息化建设的规范，同时能随关键技术的发展 不断升级，始终保持适用性；:经济性符合单位信息化建设的同时，要保持经济性；3.1.3.组网设计整个网络以高性能，快速，安全为基准，以可管理，可扩展为原 则。楼与楼之间采用环状光纤网络，以达到快速收敛，在任何一台核 心出现问题时，均不出现断线情况，以保证数据的安全及流通性。核心之间采用双光纤进行链接，完成双核心双冗余的，安全网络结构。核心到汇聚采用万兆光纤进行数据交换，以达到楼

44、与楼之间的数 据高速传递交换，设有双汇聚层交换机，双光纤接入核心进行冗余, 安全性更高，网络更合理。楼内即汇聚到接入采用千兆交纤及铜缆，建立高速接入网络。VLAN/路由规划IP地址分配总体规范为了方便网络地址统一管理和路由的聚类，同时考虑到将来网络 扩展的需要，内部网络地址将采用私有网段。整个内部网络对于外部 Internet的访问以及外部网络对内部一些提供服务的服务器的访问将 使用电信服务商提供的公网IP地址。举例：内部局域网IP地址分配对应表网段名称IP网段描述VLAN 101172. 16. 101.部门10/24VLAN 102172. 16. 102.0/24部门2VLAN 1031

45、72. 16. 103.0/24部门3VLAN 104172. 16. 104.0/24部门4VLAN 105172. 16. 105.0/24部门5VLAN 201172. 16. 201.0/24服务器群VLAN 151172. 16. 151 0/24环境测试VLAN 100172. 16. 100.0/24管理A172. 16. 234.0/24HSRP 组B172. 16. 235.0/24HSRP 组C172. 16. 8&0/24DMZ3.142. VLAN技术的规划与实施VLAN （虚拟局域网）是对连接到的第二层交换机端口的网络用 户的逻辑分段，不受网络用户的物理位置限制而根据

46、用户需求进行网 络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可 以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用 程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决 冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中，所有的用户在同 一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广 播风暴的控制和网络安全只能在第三层的路由器上实现。VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴 控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络 中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提髙。 不同的V

47、LAN之间的数据传输是通过第三层（网络层）的路由来实现 的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭 建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制 网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合 使用能够为网络提供较好的安全措滋。另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和 管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在 局域网中有效利用虚拟局域网技术能够提高网络运行效率。建议在本网络中划分两类VLAN, 种为内部的VLAN, 种为 外部的VLAN。内部的VLAN,在本地终结，通过路由方式和其它的 VLAN进行通讯。

48、外部的VLAN,通过802.1 q穿越骨干网实现二层 跨区联通或在路由器端终结。在局域网中部署VLAN的目的主要在于增加局域网的灵活性、安 全性、带宽利用率以及能更好的控制广播。网段名称IP网段描述VLAN 101172. 16. 101.0/24部门1VLAN 102172. 16. 102.0/24部门2VLAN 103172. 16. 103.0/24部门3VLAN 104172. 16. 104.0/24部门4VLAN 105172. 16. 105.0/24部门5VLAN 201172. 16. 201.0/24服务器群VLAN 151172. 16. 151.0/24环境测试VLA

49、N 100172. 16. 100.0/24管理备注:所有 VLAN Interface 的 IP 地址为 172.16X254。X代表不同的VLANo 3.143. Trunk技术的规划与实施交换机端口可以运行在接入模式(Access mode)或者干道模式(trunk mode)0交换机端口所连接的连路也相应地被称为接入链路 和trunk链路。在接入模式下，接口属于且仅属于一个VLAN。接入 端口(access port)是一个连接终端设备或者服务器的交换机端口； 在接入链路上传送帧与其他的以太网帧是相同的。而干道(Trunks)则负责在同一个点到点链路上同时传送多个 VLAN的通信。在t

50、runking协议中，多个VLAN在一条链路上实现复 用。通过配置，可以让trunk链路传送所有或者部分VLAN。.路由设计路由协议的选择对网络的可靠性、灵活性、可拓展性有较大的影 响。路由协议的选择基本原则是：管理上层次分明，局部的变动不影 响上层路由配置和全局路由配置；技术上应尽量简单、灵活，以提高 路由器的处理效率。能够反映出整个网络的层次结构，并与自治域、 各节点子网的IP地址分配相结合，做到合理的路由聚合，减少路由 表的长度，减轻路由更新给网络带来的负荷。层次化的设计结构，通过划分区域更好的规划网络，减少路由更 新信息。各汇聚或接入层交换机可采用静态路由到主干交换机，这样既方 便管理

51、，又避免了路由更新给网络带来的负荷。网络中运行其他路由协议的网络(如OSPF,RIP,IGRP,EIGRP) 可通过路由协议转换(Redistribute)变成RIP协议，保证网络的平 化过渡。具体路由设计可在深化设计阶段进行确定。3.1.5.网络管理采用Ciscoworks LMS作为单位的管理平台。现在局域网已经成为网络架构中的关键系统。对局域网的管理已 经从以设备为中心过渡到管理数据流量和语音流量。因此，对网络设 备的分离以便排错，监测管理就显得更重要了。CiscoWorks LMS具 有先进的设备发现技术、端口配置工具、先进的连接分析、配置管理， 设备和网络诊断能力。CiscoWork

52、s LMS包括一组应用程序和工具对局域网进行配置、 监测和排错。这些工具包括错误管理，网络拓扑的察看，设备配置的 管理，二层/三层路由分析，语音路由追踪，流量监测，端站点的流 量追踪，设备的排错等等。我们介绍一下LMS中的几个主要的应用 程序：CiscoWorks Campus Manager -这是一组基于 Web 的应用 程序，用来管理局域网中的交换机。包括二层设备及其连接的发现, 数据流的发现和管理，详细的拓扑图示，VLAN/LANE的配置，端站 点的追踪，二/三层的路由分析和IP电话用户及其路由信息等。CiscoWorks Device Fault Manager -本应用程序可以实时

53、的 给出出错设备的错误分析，并及时采用各种方式通知网络管理员。nGenius Real-Time Monitor -这是一个基于Web的多用户流 量管理工具。可以实时的监测、排错和维护网络活动。它采用图形化 的分析和报告，使管理员对网络活动一目了然。CiscoWorks RME(Resource Manager Essentials)-对网络 中设备的管理。它会维护网络中的设备清单，对设备及其配置和软件所产生的变化做出纪录。CiscoView -图形化实时显示设备的工具，使管理员如身临其 境。CiscoWorks Management Server -是大多数网管软件的运行平台，它同时提供与第

54、三方管理软件集成的接口。3.1.6.无线网络单位无线网络采用无线网络控制器集中控制式组网，全网的AP 设备通过布线连接到无线网络控制器上。整个网络基本上也可分为三 层划分：核心控制层、有线传输层、无线AP层、无线终端层在设计和建设单位无线网络时，需要在规划无线网络架构时就要 设计好如下要求：无线AP的布设位置无线系统的扩展能力无线网络可靠性无线AP自动恢复功能 无线终端的漫游支持无线应用QoS保证 无线网络安全无线接入点的负载均衡能力.设计原则单位无线网系统建设无线局域网系统设计和建设原则如下：:采用WLAN交换技术及WLAN交换体系结构。:无线应用各自独立逻辑通道:用户子网和设备子网隔离，无

55、线用户无法访问设备子网；AP的IP网络设置从DHCP获取或者进行安装前静态配置,AP的无线网络设置由无线控制器集中推送；:充分利用现有网络结构与资源，不单独组网，AP就近接入有线网络（接入层POE交换机）。:采用集中控管的组网方式，集中控制管理所有的AP。AP的供电不单独拉线，采用POE供电的方式。:采用先进的WLAN网管系统管理无线局域网。:建立安全的无线局域网络。:提供髙质量的QOS保证，以达到对多媒体及语音的支持。:充分考虑WLAN的安全性，采用先进的WLAN安全技术 保障。:无线局域网系统要能方便和灵活地调整与扩充。.建设原则依据网络建设原则，在无线局域网组网技术、设备产品选型、网 络

56、管理和网络安全等方面考虑以下设计原则：采用先进的802.11N无线组网技术基于研究所对于无线局域网应用、安全和管理的方面的要求，需 要采用无线交换机和Thin AP的架构，使得无线局域网的网络性能、 网络管理和安全管理能力得以大幅提高。技术标准成熟需要采用成熟的技术，要求在国内外需要有相应的成功案例，并 且稳定运行的系统。 智能管理能力和易维护原则在网络管理方面，必须具有集中控管、智能调控、自动恢复、负 载均衡等实用功能，使所建的无线网络可以适应多种环境的变化，可 动态地保证良好的应用效果。同时，还应具有远端AP数据进行采集、 远程监控、终端定位等功能，支持多SSID,可以方便的把语音、视 频

57、以及其他类型的数据的应用进行分开管理。无线应用安全性原则在网络安全性方面，无线局域网系统要具有与有线局域网同样要 求的安全防护措滋，无线网的安全性主要从以下几个方面考虑：（1） 接入认证：具有支持多种用户认证方式；（2）采用具有用户状态访问 控制的防火墙技术；（3）具有数据在无线信道上传输的VPN机制；（4）具有无线网的防病毒机制（5）具有无线电波监控能力，能提供 无线入侵侦测和无线终端位置的追踪功能。无线网组网的健壮性原则具有提供智能化的无线电波自动调控与切换能力，以确保单个 AP接入点在发生故障时自动切换到邻近AP,不会影响无线的接入 服务；具有支持热备份的无线交换机冗余备份机制。无线网组

58、网的可扩展性原则通过一个集中的无线局域网网管平台实现对所有的AP功能的配 置和管理，AP既可以提供无线接入，也可设置为无线入侵监控、无 线终端追踪定位、无线电波传输分析的工作模式。同时整个系统可以 根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保 持不便。由于无线局域网技术发展迅速，当一些新的标准和技术出现 时，可以非常方便进行无线局域网的升级，并把这些技术应用到整个 企业当中。:无线网设备和技术选型的标准化原则无线局域网采用的技术支持应为国际标准或业界标准，不使用某 个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的 投资保护。无线网络产品系列采用一种由一台或几台中央无

59、线控制器控制 和管理“瘦”接入点的集中式无线局域网部署模式。这套系列的三个 主要构件包括一个多频点接入点（AP）、无线控制器（WLC）组合和 一套无线管理软件系统（WCS）。在整个无线移动解决方案中，每个 构件均起着重要作用。.设计范围.1.无线终端层无线终端层是为了实现单位各种应用而提供的信息终端承载平 台，单位无线应用主要分为数据应用和语音应用（本期暂不考虑无线 语音），对于这两种应用的终端分别进行分析。:数据应用一般承载数据应用的终端包括笔记本、PDA、内嵌无线网卡的手 持设备、无线办公设备（包括打印机、扫描仪、投影仪等）。广泛的终端设备需要无线的接入并且要享受无线的高速、安全、 稳定等

60、特点是一件困难的事情，并且无线终端设备与无线网络接入设 备也会产生兼容性问题，或者即使可以接入，但是也只能作为一个基 本的连接手段，而不能保证高效、安全、稳定的接入目的。针对这类接入终端设备，创造了 CCX （Compatible Extension Program）计划实现了这个目的，通过CCX计划来确保各家无线终 端产品的厂商的设备和无线网络系统的兼容性和互操作性，将为了实 现高级能力而需要的无线终端的特性，通过一个软件包SDK的形式 发送，这样无线厂商就可以无偿的享受先进的无线网络系统带来的所 有高级的功能，从而使这些无线终端厂商的产品和无线网络系统无缝 集成。在2004年的早期，的CC