盘江煤电集团网络工程案例

目前，计算机技术、通讯技术、网络技术正在以前所未有的速度飞速发展。这些高速发展的新技术带动人类步入了计算技术发展的新时代—网络时代。信息传输的高速、安全可靠及各任意点之间的计算机网络通讯对信息传输介质及结构提出更高的要求。综合布线系统的设计是一项技术性十分强的综合设计，它必须全面考虑业主的需求以及未来技术发展的需要。具体设计时，根据需求按照国家设计规范选用不同的光缆、电缆、电缆组合、信息插座、适配器及布线路由，对每一个子系统进行综合的考虑及独立的设计，既不能产生瓶颈，又不能有过多的冗余。整个系统设计既需要考虑性能价格比，又要充分考虑未来的需求，综合布线不同于目前的电话通讯线路与计算机线路的简单相加，它是将整个网络的通讯线路融为一体，以便用户能更方便地利用通讯线路享受到现在与未来的多种服务。
    一．盘江煤电集团网络建设的目的和要求：
    1. 实现矿业集团的信息化建设，使每个矿井、洗煤厂、选煤厂、电石厂等其他附属企业与矿业集团中心进行信息传输。
    2. 实现每个矿井的安全数据实时传输到公司机关和安全监督部门，确保安全生产。对采集的数据进行双机热备份处理。
    3. 矿井、洗煤厂、选煤厂、电石厂等其他附属企业与集团公司之间使用光缆实现千兆传输速度。
    4. 实现矿井、洗煤厂、选煤厂、电石厂等其他附属企业之间进行文件传输和办公自动化。
    5. 统一整个集团公司的财务系统，实现各单位之间的财务安全报表和统一管理。
    6. 建设集团公司自己的网站。
    7. 实现距离公司机关较远的附属公司对中心服务器的访问。
    8. 与远方的用户建立一条VPN通道。使固定用户和移用户通过VPN通道与中心服务器进行数据传输和文件共享。
    9. 完善每个矿井、洗煤厂、选煤厂、电石厂等其他附属企业内部网络，使集团公司信息中心对整个网络进行管理。对整个网络进行监控，对于部分设备可以管理到指定端口。
    10. 建立整个网络的安全机制，防止恶意性入侵和病毒感染。
    二．盘江煤电集团网络方案设计和施工：
    根据客户要求和工程的具体需要，本着节约成本实现功能的原则。我们设计了整个网络的拓扑和设备（具体请参照网络拓扑图和设备清单）。这里我们必须着重指出来的是这个拓扑结构的光缆没有完全铺设完成，由中心到A点、B点和由D点到E点没有铺设光缆。根据实际需要A点和B点距离中心只有两公里，所以我们采用多摸光缆直埋的方法进行布线。D点到E点有十几公里我们采用单摸光缆直埋的方法进行布线。整个网络虽然是星型拓扑结构，但是各个点之间距离比较远，最远的达到30多公里。由于工程要求主干传输速度实现1000M，同时又得降低成本，我这里采用北极星（Polaris）牌千兆收发器来实现光电信号的转换。星型拓扑的中心集中了很多收发器，其中包括单摸的和多摸的，怎样使这些收发器能够稳定的工作是保证整个网络畅通的关键。使用与收发器配套的北极星牌机箱将所有的收发器统一固定起来，此机箱能够提供冗余的供电系统设计科学便于散热。而且使双绞线和光纤跳线有规律的摆放美观大方。从中心交换机端口（1000M）出来的双绞线连接到收发器的端口（1000M），从收发器通过光纤跳线连接到光缆上。在接收端也是光纤收发器连接交换机的1000M模块。这样这个网络的主干网部分就实现了1000M传输速度。各个煤矿、洗煤厂、选煤厂相连的内部网络是100M的。
    广域网接入选择的是2M带宽的以太信号。ISP给定了5个固定的IP地址。这里我们选用的CISCO的2621路由器，只使用了它的两个以太口。一个接广域网到来的信号另一个与放火墙相连。路由器上还有一个8AM的猫池模块。再路由器上除了密码、名称等基本配置外，还需要将防火墙的WAN端口地址映射出去以便它的客户端能够在广域网中找到它并建立VPN通道。路由器需要设置成NAT方式工作，将8AM的相应命令配置好使之能够正常工作。建立8个用户和密码用来远程用户登陆的时候使用。根据客户的需要建立相应的访问列表和安全机制。放火墙我们选择的是Netscreen 25 ，它的WAN端口必须与路由的LAN端口在统一网段内（在这里是一个网段内的公有IP）。在字符界面下设置一个管理IP。这样就可以在WEB界面下对其进行配置了。对防火墙的配置首先是它的用户和密码。主要配置的放火墙的输入和输出，然后是对其政策的配置。最后添加用户即可，设置它的各个端口是否可以远程登陆。防火墙的配置可以导入和导出，在配置发生错误的时候可以迅速恢复。放火墙的LAN口与3COM4900系列的三层交换机相连端口并在同一个网段内，在交换机上划分多个VLAN，是其中一个VLAN所属的哪个端口与防火墙相连。默认状态下是各个VLAN之间可以路由的。在交换机上设置景泰路由指向路由与路由器的静态指定相互对应。交换机也可以作访问列表限制相关VLAN对WAN的访问。各个交换机分别设置相应的VLAN，各个交换机相连的端口都是1000M的模块。交换机之间相连的端口必须作tag即802.1Q。每个交换机都设置了自己的管理IP便于远程管理。
    服务器采用的是HP的ML570，两台服务器分别和磁盘阵列柜相连作双机热备份。软件使用Windows2000 server 加 data ware 软件，主要是实现SQL server的数据备份。两台服务器分别接到中心交换机上，使用一个虚拟的IP地址。此外还需要一台网管机用来监控所有的网络设备运行情况。使用3COM的网管软件可以实时的观察网络硬件的运行情况。可以对远程的交换机进行远程管理和配置。可以对路由器和防火墙进行调试。
    对于防火墙用户端的调试可以通过一台PC用猫拨号上网然后配置Netscreen-25的客户端来实现。要注意防火墙的三次验证。配置成功后图标上会有一个小的黄钥匙。可以与服务器之间进行数据传输等活动。此时8AM的用户也可以通过拨号的方式与路由器之间连接，它可以访问内网也可以访问外网。
    通过拨号或者是公网IP可以实现远程管理。管理员可以通过telnet、web等方式进入网络内部进行调试和管理。
    安全技术是通过路由器、防火墙、交换机相互协调配合来完成的。比如使用路由的访问列表、防火墙安全策略和交换机访问权限等。软件方面主要是使用金山公司的网络杀毒软件来实现的。建立一套相应的安全管理机制来控制认为内部破坏。