徐州石化企业网V2.docx
- 文档编号:17500995
- 上传时间:2023-07-26
- 格式:DOCX
- 页数:45
- 大小:228.06KB
徐州石化企业网V2.docx
《徐州石化企业网V2.docx》由会员分享,可在线阅读,更多相关《徐州石化企业网V2.docx(45页珍藏版)》请在冰点文库上搜索。
徐州石化企业网V2
徐州石化储运公司项目
建议书
神州数码有限公司
二○○二年四月
目录
第一章现状及需求分析1
1.1现状1
1.2建设需求及分析1
1.2.1综合布线系统1
1.2.2网络系统改造2
1.2.3软件系统3
1.2.4Internet接入3
第二章网络设计原则4
第三章网络设计方案8
3.1网络总体方案8
3.2广域网结构设计9
3.3徐州基地园区网12
3.4网络管理方案17
3.5Internet接入18
3.6徐州外二级单位局域网20
3.7IP地址和路由规划21
3.7.1IP地址规划21
3.7.2路由规划21
第四章主机系统设计24
4.1中心机房服务器选择24
4.1.1概述24
4.1.2AIX操作系统的特点26
4.1.3小深蓝F85简介31
4.2徐州基地内外二级单位服务器34
第五章网络安全设计35
5.1VLAN划分及域划分和域控制35
5.2内部网不同安全域的隔离及访问控制35
5.3网络反病毒36
5.4系统安全的非技术因素36
5.4.1物理环境因素37
5.4.2安全的管理因素37
第六章技术方案特点40
6.1高可靠性40
6.2安全性40
6.3可扩展性41
6.4高性能42
6.5多服务支持42
第七章培训43
7.1总体需求及目标43
7.2用户现场培训44
7.3原厂商授权培训44
7.4出国培训46
第一章现状及需求分析
1.1现状
管道储运公司是中国石化下属的运输企业,公司主营业务为原油管道运输,总部在徐州,现有员工近万人,下二级单位近20个。
其中从事输油生产的二级企业九个,分布在全国的江苏、山东、河南、湖北、河北、浙江六个省,徐州基地有十多个二级单位。
目前,徐州基地机关办公大楼有两座(分别为办公楼和综合楼),办公楼已经进行了综合布线,但在今年的大楼改造过程中将进行重新布线。
综合楼没有进行综合布线。
档案楼为档案馆专用,已进行综合布线,需要增加10个信息点。
公司网络机房位于办公楼四楼中部。
徐州基地通过微波线路与中石化的骨干连接,现有3COMRAS1500四台,提供modem的远程拨号访问。
徐州基地二级单位有三个单位已经进行了综合布线,其中两个单位与公司办公楼之间已经布有光纤,并已进行连接。
其它单位(8个)还没有网络环境,徐州市内各二级单位与机关办公大楼的距离均在2公里以内。
徐州市外的二级单位中南京、维坊已建有局域网,其中南京与徐州之间通过2M的微波线路连接。
其他二级单位与公司网络的连接现采用公司专有的微波线路(64K-2M),接口类型为BNC和V35。
其中襄樊无法与公司专有微波线路连接,可采用VPN方式。
公司现有
1.2建设需求及分析
1.2.1综合布线系统
1、机关大楼综合布线(作为一个水平系统布线,配线间设在四楼中间位置),共150个信息点。
2、通信楼综合布线,共60个信息点。
3、综合楼综合布线,共100个信息点。
4、徐州基地内6个二级单位大楼综合布线,各60个信息点。
5、徐个二级单位办公大楼综合布线。
(大楼结构类似),各80个信息点。
6、中心机房改造(中心机房设在通信楼六楼,通信楼与机关大楼物理相连)
需求分析:
各大楼的布线以单一水平系统为主,原则上不设分配线间。
各大楼与通信楼中心机房通过单模或多模光纤进行连接。
1.2.2网络系统改造
1、徐州基地二级单位网络与公司网络的联接(1G光纤)。
2、机关大楼、综合楼与网络主干联接(2G/1G光纤)。
3、主干网核心交换机选择,机关办公大楼接入交换机选择,办公大楼原交换机改为综合楼使用。
4、徐州基地二级单位交换机选择(与公司网络1G联接)。
5、徐外二级单位交换机选择(与公司网络通过微波联接64K-2M)。
6、中心路由器选择,与徐外单位联接。
7、公司网络服务器选择(功能包括:
DOMAIN、E-MAIL、DNS、WINS、PROXY、WWW、DATABASE。
)
8、防火墙选择及DMZ区服务器选择(DMZ区功能包括:
WWW、DNS、E-MAIL等。
)
需求分析:
为了进一步提高公司的信息化水平,尤其是为了配合即将在全集团全面开展的ERP系统的全面实施,建设一套覆盖全公司的高性能的数据通信网,实现数据稳定、可靠的传输。
建立千兆以太网为骨干的园区网,提供Internet接入,并保障系统的安全性和可靠性。
广域网线路除襄樊外通过公司的微波通信网进行连接,连接速率为64k到2Mbps。
1.2.3软件系统
1、公司内部网络IP范围,此范围由中国石化指定,为10.90.00---10.90.255.255,子网按255.255.248.0掩码划分。
一个二级单位占用一个子网。
2、PC服务器采用WINDOWS2000SERVER或WINDOWS2000ADVANCESERVER操作系统。
3、电子邮件系统采用MSEXCHANGE5.5或2000。
4、PROXYSERVER建议采用MSISA。
5、数据库建议采用MSSQL7或2000。
6、DMZ区服务器建议采用IBM服务器,但应包括具备下列功能的软件:
WWW、E-MAIL、DNS等。
7、防病毒软件。
建议采用赛门铁克公司的软件。
1.2.4Internet接入
1、公司将申请顶级国际域名。
如:
。
徐州基地二级单位因物理联接速度较高,可以考虑不设置子域,徐外二级单位均设子域,用户从本地登录。
由此设计AD的集成。
2、徐州基地二级单位通过公司出口进入INTERNET,徐外二级单位不从徐州出口进入INTERNET。
第二章网络设计原则
生产制造型企业有其鲜明特点,企业的物流、资金流、信息流存在复杂的管理问题。
正因如此,所以相应的革新也最多,ERP(企业资源计划)、MRP(物流需求计划系统)、SCM(供应链管理)、CRM(客户关系管理)、CAD/CAM(计算机辅助设计与制造)等概念和产品非常流行。
不过,无论面对哪一种应用模式,企业都需要有一个网络化的信息平台。
越来越多的生产制造企业也感受到网络经济的冲击,意识到建网的重要性。
日益更新的网络技术为网络化生产、经营和服务的特殊需求提供了广阔的发展空间。
生产制造型企业的具体特点要求网络产品和技术符合以下特点。
网络的连通性
企业中计算机等终端设备之间的连通性是需要满足的基本条件,网络环境就是提供需要通信的计算机设备之间的环境,以实现丰富多彩的网络应用。
徐州石化储运公司网络是建设覆盖全厂区的数据通信网,配合即将在集团开展的ERP的全面实施进行建设的,要保证通过各种可能的方式连接各二级单位,实现公司内部的数据传输。
网络的可靠性
许多现有网络在初始建设时不仅要考虑如何实现数据传输,还要充分考虑网络的冗余和可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作,所带来的后果便是企业的经济损失,影响企业的声誉和形象。
徐州石化储运公司网络系统是ERP等关键业务系统的信息支撑平台,设计时必须考虑到介质的冗余、设备的冗余、路由的冗余的因素,保证系统在任何时候可以稳定、可靠的运行。
网络的安全性
在商品竞争日益激烈的今天,企业对网络的安全性有非常的要求。
很多企业在局域网和广域网中传递的数据都是相当重要的信息。
因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用严密的安全措施,在网络通信层,操作系统层,系统应用层,数据库层四个层次综合的基础之上,建立整体的安全策略的控制,在综合运用防护工具(如:
防火墙、操作系统身份认证、加密等手段)的同时,考虑利用检测工具(如:
漏洞评估、入侵检测等系统)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。
网络的可管理性
随着网络规模的日益扩大,网络设备的数量和种类日益增加,网络应用日益多样化,网络管理也日益重要。
良好的网络管理要重视人力、物力的预先投入,网络的主动控制,不仅能够进行定性管理,而且还能够对网络流量进行定量分析,了解网络健康状况。
有预见性地发现网络上的问题,降低网络故障所带来的损失,使网络管理的投入达到事半功倍的效果。
本项目涉及上千个信息点的管理,必须进行统一的IP地址规划,统一的路由设计,以及提供集中式的网络管理方案。
网络的可扩展性
网络建设为未来的发展提供的扩展接口是非常理智的选择。
随着企业规模的扩大、业务的增长、网络的扩展和升级是不可避免的问题。
通过提供模块化的网络结构设计和模块化的网络产品,能为用户的网络提供很强的扩展和升级能力。
同时技术选择时应考虑技术的先进性、成熟性,技术与产品符合网络技术发展趋势,符合网络技术进步的主流。
网络的多媒体支持
由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟,网络传输的流量不再是单一的数据了,多媒体的网络传输成为网络技术的趋势。
同时,在网络带宽非常宝贵的情况下,丰富的QoS机制,如:
IP优先、排队、组播和链路压缩等优化技术能使多媒体和关键业务得到有效的保障。
网络的高性能
随着上网用户的不断增多,访问和数据量剧增,网络负载相应加重;多媒体技术的广泛应用,视频数据、音频数据也会消耗大量网络带宽。
没有高性能的网络支持,将导致系统响应缓慢、甚至在业务量激增时,发生系统崩溃、中止和异常等现象。
高性能的网络也是一些关键业务和特殊应用的必备条件。
徐州石化管道储运公司是中石化下属的骨干,企业的信息化建设是一种综合性的系统工程,包含从根据需求进行方案设计、硬件设备选型采购、机房及网络工程施工、应用软件设计开发、直到硬软件安装、调试、培训、维护等一系列工程环节,这就要求在系统建设选择实力强大技术全面、经验丰富的原厂商和系统集成商。
Cisco公司为全球最大的数据网络厂商,在企业网络的市场占有率达85%,Internet骨干网络市场占有率90%。
Cisco在多个国际标准化组织中占有相当有利主导地位,在其发展过程中不断推动网络技术的进步,并在不断变化的市场中一直处于领先地位,远远超越竞争对手。
随着中国网络市场的飞速发展,Cisco公司在中国建立起完整的技术支持和服务体系,并将最先进的网络产品以最快速度提供给中国的用户。
IBM公司全称InternationalBusinessMachine(国际商务机器公司),是全球最大的IT公司。
最近和Company(康柏)合并后的新惠普成为全球IT业的第二大公司。
IBM公司作为电子商务的领头羊公司,它的产品覆盖多个领域,从传统的大、中、小服务器等,到最新的电子商务软件和技术服务等,在众多领域处于业界领先的地位。
作为老牌的IT公司,IBM最近10多年一直保持强劲的业绩增长,在中国,IBM的业务更是突飞猛进地随着中国电子商务的发展一起前进。
在IBM的众多产品线中,IBM的服务器一直保持稳步发展,在金融、电信、政府、企业等众多行业中,IBM的服务器销量一直保持前茅、遥遥领先。
神州数码有限公司是联想集团旗下的一间主力公司,是在联想集团面对互联网经济的挑战进行业务重组的大背景下形成,由原联想集团的联想科技公司、联想系统集成公司和联想网络公司所组成。
2001年6月成功在香港上市。
神州数码集成系统事业本部是IBM公司和CISCO公司在中国最主要的代理商和战略合作伙伴之一,同时也是IBM和CISCO公司的培训合作伙伴,可以自行开展IBM和CISCO课程培训。
和原厂商以联盟的形式携手出现。
这种强-强合作将为客户提供更有力更直接的优质服务。
2001年度系统集成销售收入20亿元,在国内系统集成商中排名第一(IDC统计数据)。
神州数码系统集成事业本部现有包括主机、网络、数据库等各方面的专业技术人才100多人,全部受过专业技术培训且大部分都得到了原厂商的资质认证,高素质的技术队伍为我们向客户提供优质、高效的软硬件、网络和应用开发一体化服务奠定了坚实的基础。
基于十余年在系统集成市场的探索磨砺,神州集成积累了丰富的金融、电信、财税、制造等行业的行业经验和技术经验,与最终客户在战略性的深层次合作中互动发展,成功地为客户提供从评估需求到IT设计、制定解决方案直至实施全面的、规范化的高品质的服务,多次受到客户的高度赞誉和媒体的一致褒扬,在业界和客户方树立了系统集成商的专业化形象。
神州数码作为国内最大的系统集成商推荐Cisco和IBM为徐州石化管道储运公司网络和服务器的解决方案提供商。
第三章网络设计方案
3.1网络总体方案
根据徐州石化储运公司的行政结构和地理分布,我们建议全网按层次化结构进行设计。
将全网划分为徐州市内园区网、Internet接入、广域网、徐州外二级单位局域网几部分。
徐州市内园区网建立千兆以太网为骨干的,二级星型交换网,中心提供二台中心交换机,中心交换机实现负载均衡、冗余备份。
徐州基地内和市内二级单位的办公楼分别配置交换机连接用户微机,根据步线系统的设计,各办公楼只有水平布线,只设一个配线间,建议配置一台48口可堆叠交换机,方便管理,并提供扩展功能。
Internet接入,申请Internet出口,并提供e-mail,www,DNS服务器,保证Internet接入的安全性,配置一台防火墙,外部的DNS和WWW服务器连接在DMZ区,实现内外网、DMZ区的安全隔离,襄樊的二级单位考虑与徐州基地建立VPN连接。
广域网线路,通过石化内部的微波线路和徐州市外二级单位和中石化总公司连接,提供速率64K到2M,提供接口V35或BNC。
与南京和总公司之间的线路已连接。
提供拨号接入,已有访问服务器,从安全性考虑,建议配置认证服务器对拨号用户进行身份验证。
3.2广域网结构设计
在徐州中心机房配置一台Cisco7206VXR路由器用来连接广域网线路,配置2个PA-8T-V35串口模块,提供V35接口的微波线路的连接;配置2个PA-4E1G/75模块,提供BNC接口的E1微波线路的连接。
徐州外二级单位除南京已有局域网和广域网线路外,襄樊由于距离太远没有微波线路广域网连接考虑VPN的方式连接。
其他8个二级单位可以配置一台Cisco2610路由器连接广域网线路,根据微波设备提供的接口选择同步串口或E1接口模块。
徐州外二级单位的Internet接入原则上使用本单位的出口,不使用徐州基地的Internet出口。
从安全隔离的角度考虑,建议各二级单位分别配置一台亿阳信通防火墙实现二级单位局域网和徐州基地园区网的安全隔离。
防火墙2个接口有不同的安全级别,连接公司总部的接口安全级别最高,连接二级单位局域网接口的安全级别最低。
安全级别高的区域可以访问安全级别低的区域,安全级别低的区域如要访问安全级别低的接口需要进行特别设置,将相应的IP地址和协议开放,如二级单位只能访问徐州基地的服务器,不能访问其他计算机和Internet。
2个接口之间不作网络地址转换。
在公司总部一台CiscoVPN3030集中器,襄樊配置一台CiscoVPN3005,实现VPN的连接。
利用原有的4台RAS1500拨号服务器提供移动用户的拨号接入。
广域网共配置一台7206路由器,8台2610路由器,9台亿阳信通防火墙,VPN3030和VPN3005各一台。
1.1中心路由器7206VXR一台
订货号
说明
单价
数量
C7206VXR/400/2FE
7206VXRwithNPE-400andI/OControllerwith2FE/EPorts
$26,250
1
PA-8T-V35=
8-PortSerial,V.35PortAdapter
$12,000
2
CAB-7KACA
ACPowerCord(Australia)
$0
1
PA-4E1G/75=
4-PortE1G.703SerialPortAdapter(75ohm/Unbalanced)
$6,750
2
CAB-V35MT=
V.35Cable,DTE,Male,10Feet
$150
16
CAB-E1-BNC
E1CableBNC75ohm/Unbal5m
$150
8
1.2二级单位路由器8台
订货号
说明
单价
数量
CISCO2610
EthernetModularRouterw/CiscoIOSIPSoftware
$2,993
8
WIC-1T
1-PortSerialWANInterfaceCard
$600
8
CAB-V35MT=
V.35Cable,DTE,Male,10Feet
$150
8
1.3二级单位防火墙9台
订货号
说明
单价RMB
数量
SFW-2000
亿阳网警防火墙,3块网卡
¥88,000
9
1.4VPN设备
订货号
说明
单价
数量
CVPN3030-NR-BUN
CVPN3030-NRnon-redundanthwset,sw,client,/USpowercord
$33,000
1
CVPN3005-E/FE
VPN3005Concentratorw/210/100Ethernets;100users@4Mbps
$4,500
1
3.3徐州基地园区网
徐州基地园区网连接基地内部网络中心及基地内外二级单位。
配置二台CiscoCatalyst6506交换机,通过千兆以太网光纤链路连接基地内部各大楼交换机,及基地外各大楼交换机。
同时通过千兆光纤接口连接中心机房的高性能服务器。
在核心交换机上Catalyst6506具有6个扩展槽,目前配置高性能SUP2交换引擎(带2个千兆上连端口,第二代PFC卡和第二代MSFC卡),1个WS-6500-SFM交换结构模块,1个WS-X6548-RJ48端口10/100M快速以太网交换模块,1个WS-X6516-GBIC16端口千兆以太网交换模块。
同时为了便于保存交换机IOS配置数据,Catalyst6506上还配置一块16M的PCMCIA闪存卡。
2台Catalyst6506交换机之间通过交换引擎上的2个千兆接口用GEC(GigabitEthernetChannel)实现高速、冗余的连接。
2台中心交换机通过SpanningTree实现楼层交换机上联链路的冗余,并且通过HSRP实现Vlan之间路由的冗余。
Catalyst6509高性能三层交换机拥有目前业界最强的QoS和Policing的功能。
支持基于MAC地址、IP地址、VLAN的速率限制。
它能够限制单个流的带宽和整个流的带宽,支持所有的COS,DSCP,并能够进行他们之间的互相转换。
所有的处理通过PFC硬件来进行线速处理,具有很高的处理效率。
高性能三层交换机的VACL具有非常强大的处理能力。
它能够基于2,3,4层的信息对用户的信息和访问进行控制。
不仅能够作虚网之间的控制,还能够作一个虚网内部的访问控制。
所有的访问控制表均由硬件来进行线速处理,有很高的处理效率。
通过协议独立组播(PIM),因特网组管理协议(IGMP)提供多媒体和组播应用端到端的可扩展带宽。
这些服务只转发流量到用户指定组播组的交换机而不影响其他用户。
6506高性能交换机为ERP、语音、多媒体的应用提供足够的数据吞吐和转发率,同时又实现不同业务的不同QoS和策略要求。
核心交换机6509同时实现部分分布层的功能,如地址的聚集、广播域/组播域的定义、VLAN间的路由、安全控制。
机关办公楼由于信息点数量较多,而且布线系统只有水平系统,建议配置一台CiscoCatalyst4006交换机,Catalyst4006有6个扩展槽,配置一个高性能、支持无阻塞第2/3/4层交换和增强型控制的SupervisorEgineIII交换引擎(带2个GBIC千兆上连端口),同时配置四个WS-X4148-RJ48端口快速以太网模块,另配置2个WS-G5484多模短波长千兆以太网GBIC接口卡,可插在交换引擎的GBIC插槽上,提供多模光纤的千兆连接,第2层和第3/4层的交换被集成到CiscoCatalystSupervisorEngineIII上的单一硬件引擎中,从而扩展了可供选择的CiscoCatalyst4000网络部署方案。
SupervisorEngineIII可以通过范围广泛的第3层服务(例如基于端口的QoS,负载共享,容错功能等,这些服务可以加强它在高端配线间中的部署能力),简化传统的第2层LAN交换。
CiscoCatalystSupervisorEngineIII支持范围广泛的第2层功能,其中包括可从任何端口对虚网(VLAN)进行灵活配置以及对生成树的增强,从而确保将网络汇聚时间缩短到最低程度,从而最大限度地提高网络的可靠性和可用性。
综合楼的网络设备可以利用机关办公楼原有的网络设备3COM3300。
其他基地内和徐州市内的二级单位共有9个,基地内有物业处、档案楼、设计院、供应处4个二级单位,徐州市内有工程公司、建筑公司、学校、医院、石油机械厂5个二级单位。
这些二级单位通过单模或多模光纤连接到通信楼6楼的中心机房。
其中基地内的大楼信息点数为50个左右,基地外的大楼信息点数为80个左右。
各二级单位配置多台CiscoCatalyst2950交换机,如有80个信息点可配置2台WS-C2950G-48-EMI交换机,60个信息点可配置一台WS-C2950-48-EMI,一台WS-C2950G-24-EMI。
堆叠交换机之间通过堆叠电缆连接在一起,交换机上有2个GBIC插槽,一个通过光纤与核心交换机连接,另一个实现交换机之间的堆叠。
每个堆叠同时通过2个千兆上连与核心交换机6506连接,方案的特点:
1.高性价比:
使用堆叠的方式实现,可根据用户数量的增长灵活选择投资。
2.可管理性:
交换机之间通过CiscoGigaStack可以提供基于硬件的、独立的堆叠总线,在点到点配置可提供堆栈内交换机之间2Gbps的传输速率。
一个堆栈内的交换机可作为一个对象统一进行配置,而不需对交换机进行单独配置。
堆叠方式有雏菊花链和星型两种方式,星型连接需要一台堆叠主机3508G或3550-12G如下图所示:
徐州基地园区网拓扑如下图所示:
徐州基地园区网共配置2台Catalyst6506核心交换机,一台Catalyst4006二级交换机放置在机关大楼,9台Catalyst2950二级交换机分别放置在9个二级单位的办公大楼内。
配置3台亿阳信通防火墙实现财务部、设计院、业务处的局域网的安全隔离。
2.1核心交换机65062台
订货号
说明
单价
数量
WS-C6506
Catalyst6506Chassis
$11,990
2
WS-CAC-1300W
Catalyst60001300WACPowerSupply
$5,993
2
WS-CAC-1300W/2
Catalyst6000Second1300WACPowerSupply
$5,993
2
CAB-7513ACA
ACPOWERCORD(AUSTRALIA)
$0
2
SC6K-SUP2K8-7.1.1
Catalyst6000Supervisor2FlashImage,Release7.1.1
$0
2
WS-X6K-S2-MSFC2
Catalyst6500Supervis
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 徐州 石化 企业 V2