局域网建设技术协议(最终

《局域网建设技术协议(最终》由会员分享，可在线阅读，更多相关《局域网建设技术协议(最终（29页珍藏版）》请在装配图网上搜索。

1、-华电渠东发电*厂前区局域网建设技术协议甲方：华电渠东发电*乙方：*安正科技*2010年10月 * *第一章 项目概述1.1 项目简介本工程是建设华电渠东发电*管理信息系统（MIS），主要针对厂前区（办公楼、综合楼、检修楼、临建区）进行网络规划，为日后覆盖公司内所有的建筑物及功能楼宇，使每个信息接入点能高速有效的接入到公司局域网网络当中做准备。网络平台的建设能够使全厂各类应用在网络平台上稳定安全的运行。网络建设为生产和管理的相关单位、部门提供实时的数据查询、录入，为全厂的办公自动化提供有效的支持。为满足公司信息系统的运行，以及今后与相关应用系统的建设，本项目将采用两台核心交换机作为网络中心交换

2、机，各分布点按应用的不同，使用不同接入层交换机。对公司现有设备进行集中调试，将现有的计算机临时机房中设备进行迁移至中心机房，重新配置服务器、交换机、防火墙等，规划新网络结构，最终达到整个网络安全、可靠。因此方案只涉及厂前区局域网建设，为避免日后全厂局域网建设与本项目无法衔接，在进行全厂局域网建设时施工方需提供人员及技术，配合日后全厂MIS调试。需标记部分必须用标签机打印标签，在机柜、设备及跳线上做完整标记。1.2 网络现状 目前公司现有网络是通过一条2M专线连接华电广域网系统，在公司出口部署一台防火墙，一个广域网接口，一个局域网接口，一个互联网接口，通过网通连接互联网，防火墙局域网接口连接本地

3、接入交换机。目前连接临时办公区的计算机约80台，在防火墙路由器中使用默认路由至互联网，将去往华电系统网段（10.0.0.0）的数据路由指向华电国际路由器。 接入交换机与临时办公区综合布线使用一个网络机柜。现有1台OA服务器、1台服务器，部署于一个服务器机柜中，直接通过双绞线连接在局域网接入交换机上。1.3 总体要求本网络系统作为全厂MIS网络系统中的一部分，也作为原有基建期网络环境的全面扩展和补充。要求能够结合现有基建网络设备进行合理规划，保护投资，同时保证今后MIS系统服务器、数据库、计算机网络设备应用的高安全、高可靠的运行。本网络系统应该是一个技术先进、成熟可靠、灵活扩展、标准开放的系统，

4、并且能够综合考虑到该系统的中长期发展计划，在结构、维护应用、网络管理等各个方面适应未来网络的扩展，最大程度地保护投资，成为华电渠东发电*一个可靠运行的强大网络系统的重要组成部分。因此项目是厂前区局域网，中标方需负责临建机房部分设备搬迁至中心机房，并进行相关安装及调试，搬迁前需提供书面迁移方案。中标方需提供技术支持配合日后全厂MIS调试。需标记部分：必须用标签机打印标签，在机柜、设备及跳线上做完整标记。系统建成后，整个网络主干实现1000M互连，核心交换机与各个楼的接入交换机，采用1000M双线路连接，两个线路互为备份，如果其中一条线路故障后另一条线路自动接管所有从接入交换机到核心交换机的数据；

5、各接入交换机端口实现10/100/1000M自适应，以满足设备的高速接入需求。两台核心交换机做热备份方式，实现关键设备的冗余；上网行为管理设备架设在防火墙与核心交换机之间，采用透明桥接模式，实现对所有办公用户的管理。保证在工程完工时，具备整体办公使用条件。对信息管理人员进行培训确保其可自行配置本次招标中所有设备并取得思科认证证书。质保措施：保证1年内招标*围内的所有设备不出现任何故障，若出现应保证在24小时内免费上门维护解决相关问题。1.4 需求特点华电渠东发电*网络必须具备以下特点：l 高可靠性l 高性能l 高可扩展性l 高品质的网络服务质量（QoS）l 高稳定性l 良好的维护简易性l 低成

6、本等第二章 设计原则及建设需求2.1 遵循标准本方案提供的系统技术均满足如下的行业标准和规程要求： 计算机软件工程规*国家标准 计算机开放系统互连国家标准 信息系统安全技术国家标准 信息分类与编码国家标准 计算机图形国家标准 信息技术开放系统互连OSI登记机构的操作规程 计算机信息系统安全保护等级划分准则 微型计算机通用规* 能源部电力行业计算机管理信息系统总体设计规* 计算机软件开发规*(GB8566-88) 电网和电厂计算机监控系统及调度数据网络安全防护规定，国家经贸委200230令 计算机信息网络国际联网安全管理办法，公安部1998年发布 关于维护网络安全和信息安全的决议，全国人大常委会

7、2000年10月审议通过 中华人民*国计算机信息系统安全保护条例，国务院1994年发布 计算机信息系统安全保护等级划分准则（GB 17859-1999），公安部1999年发布 计算机场地技术要求（GB2887-82） IEC60870-5-101 基本远动配套标准 电力系统调度自动化设计技术规程（DL5003-1991） 火力发电厂设计技术规程(DL5000-2000) 电站锅炉性能试验规程(GBl018488) 电站汽轮机性能试验规程(GB811787) 火力发电厂技术经济指标计算方法(修订稿2000，6) 发电厂调峰技术和安全导则(原能源部，1990，12) ASME1965(美)另外，本

8、方案提供的软、硬件系统技术还均符合下列国家和标准组织发布的相关标准最新版本和相关的工业事实标准的的最新版本： iEEE美国电气电子工程师学会 ISO国际标准化组织 TCP/IP网络通讯协议 IEEE802局域网标准 GB中华人民*国国家标准 ASA美国标准协会 ANSI美国国家标准学会 IEC国际电工委员会 NSS维修标准化协会 MSS制造商标准化协会2.2 设计原则网络规划方案在设计上应力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则： 成熟先进指信息系统的各种计算机设备、网络技术和管理模型技术上均要成熟先进。安全可靠指存储于系统中的信息是安全

9、的，可以有效防止有意或无意的侵犯及恶意的攻击，在系统遭受意外损坏的条件消除后，系统具有自动恢复到受损前状况的能力。开放可变指建成的信息系统是一个开放式系统，其硬件平台、软件平台、数据应用环境均是开放的，可以方便的与其他系统共享信息，可以根据需要对系统进行裁剪组合或扩充变动，以提高其适应性。集成可管组成的信息系统是一个集成化的系统，其数据是完全一致，统一管理的；其各个用户界面与操作方式是一致的；用户的各项操作均由系统自行登录，信息系统的运行状况可以统一管理和控制。实用方便指系统的各项功能均是结合公司经营管理业务实际的，各项性能均满足使用要求，操作简便，输出规*。2.3 网络建设需求此次网络建设按

10、照横向分区的原则进行模块化网络设计，主要包括新办公楼信息中心机房内服务器接入网络，办公室、综合楼、检修楼、临建区客户端接入有线网络，办公室、综合楼客户端接入无线网络系统，互联网接入网络，广域网接入网络，到集团公司广域网接入网络，安全管理系统接入网络等。办公大楼采用六类结构化布线系统，每个楼层设弱电间，汇聚水平双绞线，并通过光纤汇聚到中心机房网络区的主配线架，配置8台楼层交换机实现楼层信息点的接入，实现千兆双链路上联到核心交换机。另外，考虑到移动办公的需求，在办公楼会议室内部署无线网络系统，配置11个AP移动办公和公共区域的信息点接入。广域网网络链路通过2M E1专线互联公司端防火墙接口。互联网

11、接入网络部署2台防火墙，并通过2台不同运营商链路连接到Internet，提供接入的冗余。并在整个互联网出口部署综合安全网关进行安全防护，网关防病毒，主动防御，进行流量管理和分析，针对终端用户和应用进行带宽管理、检测和限定。网络安全系统，包括出口安全、边界安全和内网安全，其中内网安全系统，需要部署一台上网行为管理设备，内网用户必须认证并按照不同的分组授予不同的网络访问权限，加强对客户端的安全管理，防止外来人员未经允许接入网络，保证内网安全策略的一致性。新建的网络系统能够满足：u 采用有效的汇聚技术解决广域网的互连问题，主要是通过信道化技术和MSTP 以太网技术解决链路随需求扩展的问题。u 解决网

12、络的单点故障问题，提高广域网的可靠性及安全性。u 解决公司员工的网络接入和服务器的高效连接。u 建成后的网络应能实现各个业务系统之间的网络互相隔离或者可控访问。u 建成后的网络应能实现局域网用户的鉴权和桌面安全接入。u 建成后的网络应能提供灵活的接入方式，如SSL VPN方式接入。第三章 MIS系统设计方案3.1 网络拓扑结构 整个网络采用星型拓扑结构设计。星型拓扑结构是一种以中央节点为中心，把若干外围节点连接起来的辐射式互联结构。这种连接方式以双绞线或光缆作连接线路。 星型拓扑结构优点：结构简单、容易实现、便于维护管理、便于系统扩展。根据层次化网络和模块化设计思想的原则，把整个网络体系结构分

13、为以下层次：核心层-由2 台网络核心交换机组成。接入层-接入层包括办公区的二级交换机，厂区的二级交换机，以及Internet 接入网。它们的网络安全级别是不同的，由防火墙与上网行为进行访问控制。华电渠东发电*采用横向分区、纵向分层的模块化设计，分为核心交换区、客户端区、互联网区、广域网区、数据中心服务器区等6个区域。采用两台的Cisco Catalyst 4507R交换机，通过千兆链路连接广域网络边界防火墙、DMZ子区的安全过滤网关、SSL VPN等安全设备，并通过光纤千兆链路连接楼层交换机。广域网Internet核心交换机上网行为管理无线AP防火墙光电收发器光电收发器接入交换机华电渠东发电*

14、MIS网络拓扑结构图3.2 网络速率 以太网是在 20 世纪 70 年代研制开发的一种基带局域网技术，使用双绞线缆电缆作为网络媒体，采用载波多路访问和冲突检测（ CSMA/CD ）机制，如今以太网更多的被用来指各种采用 CSMA/CD 技术的局域网。以太网的帧格式与 IP 是一致的，特别适合于传输 IP 数据。以太网由于具有简单方便、价格低、速度高等，被广泛应用到局域网。 根据我公司的实际情况，结合以太网速率的标准，网络速率选型如下：1、办公楼千兆接入网络、综合楼、检修楼、集控室等各楼宇单元的办公用户全百兆接入网络；2、两台核心交换机之间使用千兆双机互联；3、2兆联入广域网；4、百兆联入互联网

15、。3.3 网络方案整体设计3.3.1 核心交换区设计 采用两台4507R交换机做为整个MIS网络系统的核心设备，形成一个高性能转发核心。3.3.2 用户接入区设计客户端区主要实现楼层信息点的接入，包括有线接入和无线接入。3.3.2.1 有线网络设计 办公楼采用结构化布线，每个楼层设弱电间，汇聚水平双绞线，并通过光纤汇聚到中心机房网络区的主配线架，楼层配置Cisco Catalyst2960系列交换机，每台交换机能够实现24或者48个信息点千兆接入，如果*个楼层的信息点较多，也可以利用堆叠技术实现接入多于48个信息点的接入。综合楼、检修楼配置Cisco Catalyst2960系列交换机，每台交

16、换机能够实现24或者48个信息点百兆接入。3.3.2.2 无线网络设计 对于会议室或走廊等公共区域，主要考虑到来访人员的办公和公司人员的移动办公需要，通过在楼层交换机接入无线AP实现，来实现移动办公。3.3.3 网络边缘出口设计防火墙是解决子网的边界或者内部子网之间安全问题、实现网络访问控制的有效解决方法。防火墙的目的是要在高安全等级和低安全等级（可信网络和不可信）的两个网络之间建立一个安全控制点。它通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。它通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的

17、审计和控制。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网和Internet或内部网不同安全域之间的各种活动，保证了内部网络的安全。具体地说，设置防火墙的目的是隔离高安全等级网络和低安全等级网络，保护高安全等级网络不受攻击，实现以下基本功能： 禁止外部用户进入内部网络，访问内部机器；保证外部用户可以且只能访问到*些指定的公开信息；限制内部用户只能访问到*些特定的Internet资源，如服务、FTP服务、TELNET服务等；限制内部用户只能访问到内部网络中*些特定资源和服务等；防火墙已经成为网络安全防*体系中必不可少的重要环节。 在华电渠东发电*网络系统中存在多个

18、互联边界：INTERNET边界、与集团公司互联边界、与施工单位、监理等协作单位互联边界。由于华电渠东发电*与上述互联单位存在比较紧密地数据交换，在一定程度上需要允许访问电渠东发电*数据资源，同时绝对禁止非授权资源的访问，所以访问控制的设计尤为重要。防火墙采用天融信 NGFW-TG-4324，该防火墙具有6个百兆以太网口，吞吐量达到100M，最大并发连接数为500000，每秒新建连接数为10000。该防火墙支持多达50个虚拟防火墙，本方案配置50个，同时，该防火墙还可以作为VPN网关，默认提供2500个IPsec VPN的拨入。本方案中虚拟防火墙结构，物理上NGFW-TG-4324的6个百兆以太

19、网口全部连接到核心交换机，通过虚拟划技术，一个NGFW-TG-4324虚拟出4个虚拟防火墙（本方案的配置下可以支持50个）。4个虚拟防护墙分别作为专网、INTERNET、协作单位和局域网核心数据中心的隔离。为了实现外联网络对本网络的有控制的访问，把其需要访问的数据资源部署在各自的DMZ区（如图）。如：WEB服务器、服务器等部署在互联网防护墙的DMZ区，允许外部用户访问该DMZ区，但绝对禁止进入内网。同样的方法也适用于其它外联用户的访问。3.3.4上网行为控制设计 上网行为管理产品可助您实现对互联网访问行为的全面管理，可在P2P流量管理、防止内网泄密、防*法规风险、互联网访问行为记录、上网安全等

20、多个方面为您提供最有效的解决方案。上网行为管理为您解决以下问题：u 防止带宽资源滥用 通过基于应用类型、类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽，保障OA、ERP等办公应用获得足够的带宽支持，提升上网速度和网络办公应用的使用效率。 u 防止无关网络行为影响工作效率 上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为，并可根据各组织不同要求进行授权的灵活调整，包括基于不同用户身份差异化授权、智能提醒等。u 记录上网轨迹满足法规要求 上网行为管理产品可以帮助组织详尽记录用户的上

21、网轨迹，做到网络行为有据可查，满足组织对网络行为记录的相关要求、规避可能的法规风险。u 管控外发信息，降低泄密风险 上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为，从事前防*、事中告警、事后追踪等多方面防*泄密，为组织保护信息资产安全，降低网络风险。u 掌握组织动态、优化员工管理 上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工，并通过关键字报表和热贴报表来反映员工思想动态。风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理风险，而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态，并以此为基础实施组织文化建设、制度改

22、进等针对性措施，从而提高员工管理水平。u 为网络管理与优化提供决策依据 上网行为管理产品提供了丰富的网络可视化报表，能够提供详细报告让管理者清晰掌握互联网流量的使用情况，找到造成网络故障的原因和网络瓶颈所在，从而对精细化管理网络并持续加以优化提供了有效依据。u 防止病毒木马等网络风险 通过部署上网行为管理产品，利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马的访问、封堵不良等，从源头上切断病毒、木马的潜入，再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段，实现立体式安全护航，确保组织安全上网。u 降低成本且有效推行IT制度 上网行为管理产品能够实现用户网络权限的细

23、致分配以及带宽的优化管理，通过事前精细规*、事中智能提醒、事后报表呈现等手段实现有效管理；通过将是否具备上网权限与用户对IT制度的遵从情况进行绑定，强制要求用户遵从组织IT制度里的各项细则规定（如必须安装指定的杀毒软件或桌面管理软件等），并且可以根据组织要求进行各种智能提醒，通过创新技术的应用，让IT管理制度融入每位用户的日常工作中。3.3.5 数据中心服务器区详细设计数据中心服务器区为提供各种应用系统的区域（如：财务应用、两票系统、燃料系统等）。该区域设计为各应用服务器双网卡直接互联核心交换机，可提供高速的网络交换访问。3.4 连接华电国际广域网方案 华电渠东发电*一期工程在基建期已经通过接

24、入路由（Juniper J-6350-）和VPN防火墙（天融信 NGFW 4000）和2M的SDH线路连接到华电国际的广域网中。本项目在广域网连接设计中将采用原有的设备和线路。广域网连接的路由配置保持不变，不改变原有连接华电国际广域网的任何配置，只做设备迁移。连接局域网的配置根据新的网络建设IP地址规划、VLAN规划做相应的调整。3.5 IP 地址分配原则我公司的外网口地址为222.142.41.197，华电国际分配给我公司内部地址为10.141.8，10.141.9，10.141.68，10.141.69四个地址段。IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。充分利用申请到

25、的地址空间，及考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。 IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将对公司网络的可用性、可靠性与有效性产生关键影响。因此在对IP地址进行规划建设的同时，应充分考虑本地网对IP地址的需求，以满足未来业务发展对IP地址的需求。 IP地址规划遵循以下原则： 1、IP地址的规划与划分考虑到公司网络的飞速发展，能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段； 2、IP地址的分配要有足够的灵活性，能够满足各种用户接入如宽带接入、专线用户等的需要；

26、 3、专线子网中专线用户的IP地址由本网统一分配，用户的地址尽量连续整齐，便于在出口作summary。分配地址块时遵循从大到小的原则：所有路由器的LOOPBACK地址可采用一个单独的网段，并使用32位掩码。 4、整网IP地址分配和路由协议支持VLSM，以充分利用地址空间。支持CIDR，以利于减少路由表大小，提高路由效率。整网网段掩码如下：点到点Link使用30位掩码；LOOPBACK使用32位掩码；根据应用服务器的类型和数量，合理分配服务器区地址空间；根据客户端中部门的数量、部门人员及扩编需要，合理分配客户端区的Vlan的地址空间。 以部门、应用，办公区域为依据，将整个厂区的IP地址划分为7个

27、VLAN和两个互联地址段。VLAN 1VLAN 1 作为网络交换机设备的管理VLAN，使网络管理人员能够对网络交换设备进行远程登陆，方便的管理网络交换设备。由于这个地址段不需要到出口，所以可以用私有地址。地址段 192.168.1.1-192.168.1.254 子网掩码：255.255.255.0 （可用254地址）从核心开始依次使用上述IP地址，即核心机房：WS-C4507R-E 主核心：192.168.1.1备核心：192.168.1.2 综合楼：WS-C2960G-48TC-L综合楼一层192.168.1.3综合楼二层192.168.1.4综合楼三层192.168.1.5综合楼层192

28、.168.1.6综合楼五层192.168.1.7，其他位置的交换机依次排序就可以。VLAN 10VLAN 10 作为服务器群的接入VLAN，将服务器群放置在此VLAN中。地址段 10.141.8.1-10.141.8.64 子网掩码：255.255.255.224 其中10.141.8.1作为双机热备的虚地址也就是这个VLAN中的计算机的网关地址。 10.141.8.2 ，10.141.8.3 作为两个核心交换机的实地址，分配给服务器的地址可用地址段为10.141.8.4-10.141.8.62 （可用59地址）VLAN 20VLAN 20 作为财务办公的VLAN，将整个财务办公的计算机放置在

29、此VLAN中地址段 10.141.8.65-10.141.8.94 子网掩码：255.255.255.224 其中10.141.8.65作为双机热备的虚地址也就是这个VLAN中的计算机的网关地址，10.141.8.66， 10.141.8.67作为两个核心交换机的实地址，分配给财物计算机的可用ip地址段为：10.141.8.68-10.141.8.94（可用27地址）VLAN 30VLAN 30作为办公楼计算机接入VLAN，办公楼上除了财务的计算机，其他的计算机都在此VLAN中。（根据部门详细划分内部vlan）其中10.141.9.1作为双机热备的虚地址也就是这个VLAN中的计算机的网关地址，

30、10.141.9.2 ，10.141.9.3作为两个核心交换机的实地址，分配给办公楼的计算机的可用ip地址段为：10.141.9.4-10.141.9.254 （可用251地址）VLAN 40VLAN 40作为整个工作现场的接入VLAN，工作现场包括：中水、工程师站、集控中心、除灰、脱硫、化水、汽车衡、输煤、凝结水、煤场、铁路办公楼等工作一线。（根据能否上外网详细划分vlan）其中10.141.68.1作为双机热备的虚地址也就是这个VLAN中的计算机的网关地址，10.141.68.2， 10.141.68.3作为两个核心交换机的实地址，分配给生产的计算机的可用ip地址段为：10.141.68.

31、4-10.141.68.126 （可用123地址）VLAN 50VLAN 50作为检修楼接入VLAN。（根据能否上外网详细划分vlan）其中10.141.68.129作为双机热备的虚地址也就是这个VLAN中的计算机的网关地址，10.141.68.130 10.141.68.131作为两个核心交换机的实地址，分配给检修的计算机的可用ip地址段为：10.141.68.132-10.141.68.254 （可用123地址）VLAN 60 VLAN 60作为综合楼等后勤部门，及临建区的接入VLAN。其中10.141.69.1作为双机热备的虚地址也就是这个VLAN中的计算机的网关地址，10.141.69

32、.2 ，10.141.69.3作为两个核心交换机的实地址，分配给视频终端的可用ip地址段为：10.141.69.4-10.141.69.254 （可用123地址）视频会议路由器直接连到视频终端。I互联地址核心交换机与防火墙或者深信服安全设备之间相连需要互联地址。10.141.8.97-10.141.8.254地址可以备用第四章 网络实施方案4.1 设备命名原则网络设备命名根据易用、易记的原则进行设计，具体分三类命名。1、核心交换机Catalyst4507R交换机设备命名分为三部分，如：C4507R-CORE-1其中：C4507R 代表设备类型CORE 代表核心交换机1 代表设备编号2、客户端区

33、接入交换机设备命名分为四部分：如：C2960-AS-CLT-1其中：C2960 代表设备类型AS 代表接入交换机CLT 代表区域1 代表设备编号3、防火墙设备命名分为三部分：如：FWSM-CORE-1其中：FWSM 代表模块类型CORE 代表局域网模块1 代表设备编号. z.-4.2 系统安装调试及方案制定保证系统调试方案作为工程施工计划的一部分，我们将在开始系统调试前制定方案，共同确认后，方可进行调试。所有调试步骤、方法及技术资料需写纸质文件，形成完整的竣工资料装订成册后方可验收。系统调试方案的内容包括：l 网络设备基本参数配置（主机名分配规则、网络设备登陆密码分配规则、核心交换机、及接入交

34、换机配置等）l IP地址分配方案（包括核心层网络地址分配、接入层网络地址分配、远程访问层网络地址分配、主机系统网络地址分配、网络设备管理地址分配等）l 网络接口参数配置方案（包括双工模式、封装协议规则、端口数率限定等）l 路由协议配置方案（包括静态路由分配方案、边界地址汇总方案、VLAN间路由配置方案等）l 安全策略配置方案（包括防火墙配置、安全策略定制、访问控制列表制定、数据加密策略、AAA用户认证管理等）设备安装调试总体计划设备装调总体计划包含两个方面：其中之一是安装调试进度计划；另一个是安装调试过程计划。对于安装调试进度，要依据项目总体进度要求，在规定时限内完成项目中所涉及网络设备的安装

35、调试，实现系统的试运行。 安装调试过程计划包含对于具体实施环节、具体设备的实施计划，在制定系统设备的安装调试计划后，由中标方专门的技术人员和业主信息部门业务人员一起制定软硬件系统的测试计划。设备安装调试总体原则本项目所涉及的设备安装调试要遵守IT设备装调的一般性原则，同时由于应用的特殊性，还要遵循在用户方施工的特殊原则。完备的装调准备在设备装调前，由施工方技术管理人员派发设备装调任务；装调方案审议对于不同的设备，由施工方工程师制定相应的装调步骤方案、参数设置方案等，由项目经理和相关实施人员共同讨论，分析设备装调的具体细节和实施难点；装调的专业性严格控制设备装调的参与人员，杜绝非技术人员单独操作

36、；装调的程序性详细记录设备装调报告，记录装调问题以便及时解决和备案；设备安装调试准备工作设备装调的前期要进行充分的准备，在本项目设备装调的准备工作主要有设备的测试准备、全部设备的编码分类统计工作。项目涉及的主要设备有：1) 网络路由器、交换机、网络安全设备；2) 各环节所使用的通讯设备；考虑到在本项目中会涉及大量设备，为了统一管理和系统实施及维护的便利性，我们建议对网络设备进行统一编码，建立设备档案。使用设备全名的汉语拼音字头、设备所属机构代码、设备类别等进行混合编码，同时在设备编码对照表中附加设备产品序列号字段、设备装调工程师字段、设备维护描述字段等辅助信息。这样可以方便的从编码表中定位设备

37、品名、设备的物理位置、设备使用情况等重要信息，既方便了系统的运营维护、又对本项目的设备管理提供了具体的有益的帮助。设备安装调试方案网络系统的安装调试是本项目的主导环节。网络调试准备及设备初检网络系统的安装调试准备工作相对较多，详细、精心的准备工作可以使安装调试达到事半功倍的效果。网络拓扑结构的确定根据本项目的总体方案，确定设备的物理位置及连接关系。网络地址的分配根据本项目的总体的网络地址划分原则、细化公司内所有网络设备及其它主机/工作站等设备的IP地址划分。路由协议的选择根据总体方案的设计，选择各层次的网络传输路由协议。主要设备配置细节规划对于网络交换设备、网络路由设备等做出相对具体的配置*本

38、。网络设备安装调试过程：网络设备安装调试工作是本项目建设的重要步骤，也是工程升级成功的基本保证。在网络设备现场安装调试前必须做好各项准备工作，其中最重要的是实施方案和实施环境的准备。对于实施环境，要满足设备使用的基本要求，同时各种线路应该全部进场(包括专线线路、局域网线路)。网络设备的现场安装调试涉及运营商端的应用环境和网络连接，由中标方拟定网络连接拓扑方案、网络路由选择方案、网络安全设备配置方案、网络调试计划等文件与业主信息部门及合作运营商的相关人员共同商讨审定，审定的内容包括技术的可行性、人员时间安排、调试测试手段等。这些文档做为所提交的必要文档的一部分交由用户信息部门留存。网络设备安装调

39、试的参与人员：1) 信息部门的技术人员2) 中标方项目实施小组的技术人员3) 网络运营商的技术人员4) 第三方设备厂家配合技术人员；安装环境的确定和测试：首先要确定网络设备安装的位置，如在网络机柜上的高度、设备上下空间、网络连接线的位置、网络走线方法。测试网络设备安装地点的环境，主要涉及通风散热和用电安全；测试网络线缆的通断情况和传输衰减。要求布线施工人员提交布线测试报告，并抽检局域网线路（或全部测试）。线缆测试方法如下：1) 使用简易线缆测试设备测试线路的通断情况；2) 使用专用线路测试仪测试网线传输衰减；网络设备的安装调试：1) 完成网络设备的上架固定；2) 完成网络线缆的连接；3) 连接

40、网络设备配置终端；4) 系统安全上电；5) 按照网络设备调试方案进行通讯参数和地址参数的调整6) 设置网络设备的路由参数7) 设置网络设备QOS相关参数8) 设置网络设备的安全性相关参数在网络设备调试过程中，记录各参数的调整情况，保存网络设备配置文件。网络设备连通性测试：网络设备连通性测试主要采用Ping命令手段，通过Ping方案设计中所要求的不同目标网段或目标地址来测试网络的连通性，通过考察Ping命令的返回信息分析判断网络连通行性能：如分析相应时间、丢包率等，并做相应调整以达到通讯性能最佳。通过TraceRoute命令考察通讯连接的路由路径，对路由跳数进行分析，来调整路由方式使得连接发起方

41、与连接目标方的路由跳数最少。在这个网络安装调试阶段可以保留网络设备接收Telnet登陆和Ftp文件传输，这样可以方便网络设备在本项目实施过程中的参数调整。在运行阶段为保证安全性再封死对该类连接请求的响应。系统联合调试方案在完成上述集成工作之后，需要对所有节点进行联调，以确保整个系统的正常运行。在联调阶段，要详细记录各子系统运行参数，确保及时发现问题及尽快解决。具体工作包括：1)记录/分析交换机工作状态从交换机中提取交换机的工作日志和相关的统计数据，如：流量、丢包、拥塞等。2)记录/分析路由器工作状态从路由器中提取路由器的工作日志和相关的统计数据，如：流量、丢包、线路通/断等。3)记录/分析局域

42、网工作状态从交换机中提取交换机的工作日志和相关的统计数据，如：网络利用率、流量、丢包等，结合局域网出现的有关现象，分析局域网的工作状态。4)记录/分析主机工作状态从主机中提取主机的工作日志，结合日常维护工作的记录，分析主机的工作状态，如CPU、内存、IO队列、磁盘队列、网络吞吐率等。5)记录/分析软件系统工作状态从系统中提取各种应用软件的工作日志，结合日常维护工作的记录，分析应用软件的工作状态。6)工作日志在系统联调期间，要详细、严格记录联调过程中发生的问题，无论是对设备的调整，还是系统出现故障。应当每天下午或晚上，按照上面所描述的步骤进行系统数据的收集和分析。可以及时发现系统运行中发生的异常

43、和故障，准确定位，并及时解决。施工规*项目施工标准工程实施主要有如下几部分内容：1、 开箱验货：施工方和业主方同时在场进行开箱验货，开箱验收时先检查包装外观和设备外观，发现外观有损坏的，停止开箱，马上进行处理。先打开装箱单所在的箱子，取出装箱单（一式两份），按照装箱单中的数量核对。验货完毕后，根据验货情况双方在装箱单上签字，货物正式移交给用户，货物的保管责任为用户。装箱单双方各包管一份。开箱验货发现的物料问题，务必在3天内进行反馈处理。2、 设备安装施工方参照各产品随机发货的设备安装手册中安装要求进行设备的硬件安装和软件调试，主要有以下几方面内容：1) 施工过程中，施工人员要遵守用户、相应的行

44、为规*。2) 施工中发现无法解决的技术问题，及时向技术负责人汇报，寻求技术支持，使题能得到快速定位解决。需要升级软件版本的按照相关指导书进行软件版本升级。3) 工程项目经理每周五发送工程周报，发给用户和相关人员。周报模板参考。停工期间不发送工程周报。4) 设备安装调试过程中，对照工程质量检查标准进行工程质量自检。5) 设备安装调试完成后进行相关的业务测试。并有测试记录和双方签字。6) 与用户及其他参与厂家及线路提供商召开工前协调会。3、 工程培训工前和完工集中培训：在开工前或完工后，对华电渠东2*330MW电厂技术人员集中进行网络知识和产品培训，施工方进行培训资料和授课老师确定。按照用户的要求

45、对用户进行培训。工程施工中的现场培训：工程施工中，设备安装时要对用户的技术人员进行培训，主要培训产品知识、安装特点、常见故障处理等内容。让用户掌握基本维护和设备日常使用知识。具体培训计划见培训方案。4、 机房服务热线挂牌对主要机房进行机房服务热线挂牌，让用户的维护人员能够了解维护和支持的途径。施工行为规*工程实施中要遵守如下几方面行为规*：1、 精神面貌1) 衣着整洁，注意个人卫生；2) 仪表大方，精力充沛；3) 保持愉快的工作情绪，不将个人情绪带到工作之中；4) 站立要抬头挺胸，身子不要歪靠在一旁；5) 走路不可摇晃，遇急事可加快步伐，但不可慌*奔跑；6) 坐下时不要跷二郎腿，不可抖动双腿，

46、不可仰坐在沙发或座椅上。2、 礼仪1) 与用户初次见面时应主动作自我介绍，递上名片；2) 见到用户应主动打招呼，做到礼貌热情；3) 出入房间，上下电梯，应让用户先行；4) 与用户交谈时要关注对方、彬彬有礼、谈吐得体，说话要铿锵有力，注意礼貌用语；5) 养成倾听的习惯，不轻易打断用户的谈话或随意转移话题，谈到重要的事情要作记录；6) 对用户应真诚、富有耐心，做到谦虚稳重，不可夸夸其谈，以免给用户造成轻浮、不可信的印象；7) 与用户有不同意见时，应保持头脑冷静，必要时上报相关人员，切忌与用户争执；对用户有礼有节。3、 机房行为规*1) 主动了解并严格遵守用户的各项规章制度，比如进机房是否穿拖鞋等规

47、定；2) 进机房时要征得用户同意，离开机房要与用户打招呼，必要时要提交申请报告。出入机房所带物品应严格登记。3) 插拨单板需带防静电手腕；4) 少借用户的东西，若借后，恢复原样，及时归还；5) 严禁擅自使用用户，如确实工作需要，须经用户同意后才能使用；6) 严禁在机房内抽烟、玩游戏和乱动其它厂家设备；7) 每天工作结束后,要清理工作现场,整理各种物品，保持机房整洁；8) 绝不允许与用户发生争执。9) 严禁将亲戚、朋友等无关人员带入机房。项目验收标准根据工程合同条款和用户要求完成初验、终验，具体操作流程如下：1、 初验：1) 了解用户对初验的特殊需求，确定初验时间、初验内容及日程安排。2) 工程

48、负责人在安装调试过程中可与用户随工人员完成部分技术指标的测试，双方签字确认后的数据在得到用户许可后，可以做为初验的测试数据使用。工程项目经理与用户共同组织进行初验。初验中的每一个测试项目都必须有用户签字。3) 初验通过后，工程项目经理填写系统初验证书一式二份，由双方签字、盖章。施工方和用户各保留一份。系统初验证书模板参照。4) 在系统安装调试完成后应先自测，在通过自测并试运行一个月后，由中标方配合用户依照验收方案进行初验，并向用户提交初验报告，经用户认可后系统进入试运行阶段，试运行三个月后，按网络系统集成的验收要求进行最终验收并由双方签署最终验收证书。2、 终验步骤1) 了解用户对终验的特殊要

49、求，确定验收时间、测验内容及日程安排。2) 按双方协商的内容进行测试验收。3) 终验结束后，工程负责人填写工程竣工终验证书一式二份，双方签字、盖章。施工方和用户各保留一份。工程竣工终验证书模板参照。施工进度计划施工总进度计划我公司将以精良的施工设备、精干的施工队伍和科学的组织管理，在确保工程质量创优前提下，确保按合同工期完成工程施工。施工进度计划编制进度计划编制依据系根据招标文件、图纸、现场勘察情况并结合我公司的实际施工经验和劳动力，配备满足进度计划要求的劳动力、施工设备，并充分考虑不利因素对施工的影响，狠抓台班生产率和设备完好率。从科学组织施工目的出发，化整分区段施工，段间流水作业，段内工序

50、衔接，充分利用劳动力和设备资源，削减高峰强度，避免待工，缩短工期。施工工期保证措施、首先，公司高度重视，将其作为公司重点项目，从施工管理人员、资金、材料等方面重点考虑，及时调度。项目部每周定期召开专业班组工种协调会，做到事前周密计划，安排好各工序工种的相互紧密衔接，及时掌握工地情况，对照计划检查进度，对进度滞后的要查清原因，分析情况，调整施工方案，采取增加人员，机械等措施，解决进度拖后问题。、中标后尽快组织人员、机械设备进场，配齐各种生产要素，完成各项临时工程。、进场后，立即开展测量工作，放出管线、组织人员平整场地，、精心编制实施性的施工组织设计，根据施工实际情况进一步优化和调整施工方案，采取

51、有效的措施，加强现场施工管理，确保工程顺利进行。、实行目标管理责任制。项目经理根据施工总进度计划编制周作业计划，施工员根据周计划分解到日计划，按日计划安排每天施工工作，认真检查落实，保证本工程总进度计划的全面实施。如未能按时完成时，要及时查找原因，并采取一定的措施，把滞后的进度抢回来。、根据需要进行必要的加班加点，以确保工程按时完成。雨季施工时，积极与气象部门联系，及时掌握天气状况，充分利用雨停初晴等间隙，组织充足的机械、人力分段施工、分段突击。、抓好质量关，把好安全关，努力使质量安全成为促进工期的推动力。建立质量关键工序岗位控制点，加强质量控制，保证工序质量，杜绝因前道工序质量不合格返工而造

52、成的全盘工期滞后。、充分发挥内部潜力，广泛开展班组、施工队竞争，对按时完成工作量的队组给予一定的奖励，并提供更多的工作机会。营造人人争先、大干多干多受益气氛。、针对工程施工复杂和不确定性较大的特点，我项目部在作好前期工作的情况下，将积极与业主，监理协调合作，尽快完善，缩短材料的选型工作，使工程的准备更充分。、充分备料，保证材料的及时到位，按施工进度计划的要求分批按期组织进场，避免待料窝工。、在机械调配方面，随时根据施工现场的需要进行调配。充分发挥机械优势来提高工效，备齐本工程所需的施工机具，备足主要施工机械易损坏部件，并组织一个技术精良、设备完善的维修组，加强设备保养工作，及时进行维修，确保机

53、械设备的正常使用。. z.-施工保障措施质量保障措施质量保证对于本项目的工程质量，我们从以下方面给予保障：人员-在工程实施前，选择具有一定的技术水平和工程相关产品资质认证的工程师参与工程实施方案对网络设计、实施方案由总部技术专家召开方案分析会进行评审核，发现的问题在工程前进行控制。环境准备-要求客户按照设备安装手册和工程质量要求进行工程安装环境准备，对客户安装环境进行仔细考察，协助客户完善安装条件。培训-对客户进行产品知识、实施方案、设备运维等方面的培训，使他们掌握基本的故障排除能力并取得思科认证证书。工程质量检查-工程在施工过程中工程师要参照工程质量检查标准进行工程质量自检，并对照工程质量标

54、准进行评分，输出工程质量自检表。工程实施过程中项目技术负责人对工程质量的现场抽查，发现的问题及时进行整改。质量监控实施-按照产品安装手册和工程质量标准进行工程实施，安装结束后进行工程质量自检，避免上线后的整改和返工。检查-设备安装完成后，业务上线前，应向H3C项目经理或相关行业接口人申请进行工程质量检查，输出工程质量分数质量改进工程整改-工程质量检查得分低于85分或客户满意度调查分数低于8分的工程，需进行整改，整改完成后申请复查，确保不留问题或隐患，影响客户业务和设备的长期稳定运行。经验积累-记录工程中发生的工程质量问题，并通告给用户，避免同样的问题在不同的局点中再次发生。工期保障措施为保障本

55、项目按期完成，我们提供以下保障措施：1) 成立项目支持组，由领导小组和工程小组组成，领导小组由公司主管组成，对项目提供公司高层支持，优先为本项目分配资源；工程小组由公司的行业专家、高级技术支持工程师组成，为本项目提供有力的技术保障，确保本项目的顺利实施。2) 优化设计方案，针对用户网络现状和网络改造目标，成立项目评审小组，结合设备的功能特性对方案进行优化，提出合理化建议。3) 强有力的项目管理，对整个项目实施过程进行全面监控、跟踪，切实遵循项目章程进行操作，对成员作合理的细化分工，从时间、人力、质量等方面进行有效控制。针对项目工程进度，把整个项目分为多个相关子任务，对每一个子任务制定详细的工作

56、计划，包括信息收集，准备工作，方案提交和审核，切换实施等，使得每一个分任务都在按计划有条不紊进行，最终实现整个项目的顺利完成。中标方需负责临建机房部分设备搬迁至中心机房，并进行相关安装及调试，搬迁前需提供书面迁移方案。中标方需提供技术支持配合日后全厂MIS调试。4.2.1 交换机调试中心交换机的调试主要包括以下几个步骤：l 交换机基本参数配置l 局域网端口配置l 三层模块参数配置l VLAN划分配置l VLAN间路由配置l 双机热备配置l 安全策略配置l 其他策略配置4.2.2 上网行为设备调试l 基本配置l 连接双机防火墙配置l 策略配置l 用户组配置l 流控制配置l 应用控制配置4.2.3

57、 防火墙设备调试l 基本配置l NAT配置l 策略配置4.2.4 无线网络设备调试l 基本设置l 安全设置l 漫游设置4.3培训及质保 对业主的信息管理人员进行培训保证使其达到自行配置所有设备的水平并取得思科认证证书。1年内出现任何质量问题24小时内免费上门维护解决相关问题。. z.-第五章 设备清单一、核心交换机序号物资名称规格型号单位数量生产厂家备注1机箱WS-C4507R-E台2思科中心交换机，双机热备Cat4500 E-Series 7-Slot Chassis, fan, no ps, Red Sup Capable，原厂质保3年2电源PWR-C45-1400AC块4思科中心交换机，

58、Catalyst 4500 1400W AC Power Supply (Data Only) 原厂质保3年3引擎WS-*45-SUP6L-E块2思科Catalyst 4500 E-Series Sup 6-E Lite, 2*10GE(*2) w/ Twin Gig或Catalyst 4500 Supervisor V (2 GE),Console(RJ-45)。原厂质保3年4电口WS-*4648-GB-RJ45+E块2思科中心交换机，Catalyst 4500 Enhanced 48-Port 10/100/1000 Base-T (RJ-45) 原厂质保3年5光口WS-*4448-GB-

59、SFP块2思科中心交换机，Catalyst 4500 E-Series 48-Port GB (SFP) 原厂质保3年二、接入交换机序号物资名称规格型号单位数量生产厂家备注1交换机WS-C2960G-24TC-L台4思科接入设备，Catalyst 2960 24 10/100/1000, 4 T/SFP LAN Base Image，原厂质保3年2交换机WS-C2960G-48TC-L台4思科接入设备，Catalyst 2960 48 10/100/1000, 4 T/SFP LAN Base Image，原厂质保3年3交换机WS-C2960-48TC-L台4思科Catalyst 2960 4

60、8 10/100 + 2T/SFP LAN Base Image，原厂质保3年三、模块跳线序号物资名称规格型号单位数量生产厂家备注1单模模块GLC-LH-SM块50思科中心交换机，GE SFP, LC connector L*/LH transceiver双机互联用，原厂质保3年2多模模块GLC-S*-MM块5思科中心交换机，GE SFP, LC connector S*/MM核心双机互联用，原厂质保3年3光纤跳线LC-LC-5M-MM对2TCL中心交换机，多模5米LC-LC4光纤跳线PJ50244-S3(2.0)对5TCL单模 LC-LC 3M5光纤跳线PJ50244-S5(2.0)对10T

61、CL单模 LC-LC 5M6光纤跳线PJ50234-S3(2.0)对3TCL单模 ST-LC 3M7光纤跳线PJ50234-S5(2.0)对6TCL单模 ST-LC 5M8光纤跳线PJ50234-S10(2.0)对6TCL单模 ST-LC 10M9光纤跳线PJ50223-S3(3.0)对3TCL单模 ST-SC 3M10光纤跳线PJ50223-S5(3.0)对5TCL单模 ST-SC 5M11光纤跳线PJ50223-S10(3.0)对10TCL单模 ST-SC 10M12网络跳线PJ21010根80TCL1M 六类非屏蔽13网络跳线PJ21020根100TCL2M 六类非屏蔽14网络跳线PJ21030根100TCL3M 六类非屏蔽15网络跳线PJ21050根200TCL5M 六类非屏蔽