KJLXX2XZ-01集团公司信息化建设实施细则课案(共16页).doc
《KJLXX2XZ-01集团公司信息化建设实施细则课案(共16页).doc》由会员分享,可在线阅读,更多相关《KJLXX2XZ-01集团公司信息化建设实施细则课案(共16页).doc(16页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、精选优质文档-倾情为你奉上文件代码KJLXX2XZ-01版 次1.0受控状态非受控页 数11 凯捷利集团有限公司Kaijieli Group 集团及各子公司信息化建设与管理实施细则编制部门签发日期发布日期实施日期批准人审核人会签人拟制人发送范围抄报:集团经营班子主送:集团全单位前言局域网是一个高速、稳定、安全、可靠、成熟的高性能系统。随着建设公司的不断发展和应用水平的提高,对局域网系统的需求也会不断增长,这对局域网的先进性、标准性、开放性、可扩展性、可升级性提出了很高的要求,同时还要满足易管理和易维护的管理需求。同时建设公司需要通过接入公网,成为整个信息高速高路的一个结点,开放性地融入全球信息
2、网络。建设公司办公区信息接入点将通过局域网实现对Internet的统一访问。整个方案设计应体现以下特点:u 方案全部满足使用要求,在此基础上结合建设公司的具体应用情况以及功能需求,对局域网的先进性、易用性、可扩展性、开放性、安全可靠性、成熟稳定性、易维护管理性等因素进行综合考虑,系统全部选用高性能设备;u 整个局域网方案采用核心层和汇聚层两级局域网结构,核心层与汇聚层都采用百兆主干,保证了系统整体的高性能和高可靠性;u 系统均采用先进、成熟、安全、可靠、标准的技术和设备。能够满足建设公司近期与远期的发展需要。设备供应商是国内知名厂家或公司,信誉好,服务体系健全。u 重视网络与信息安全的管理。要
3、解决好生产实时控制系统与管理信息系统、内部网络与外部网络、企业网与因特网等关键边界点的安全防护工作。建立包括各种应急恢复预案防范措施和网络实时安全监视技术措施的完整网络安全体系。1建设目标从信息化实施细则和目标来分析,大漕泾项目具体要求对网络建设要满足以下业务要求:11满足项目部在整个工程建设管理过程中,对计算机信息化所提出的各方面的需求。12建立内部域,实现计算机管理和项目部内部快捷、安全、可靠的数据共享和交流;对重要数据共享等,应严格控制好安全权限。13实现项目部与项目公司、各主标段施工单位、监理公司、设计工代等单位之间较快捷、安全、可靠的数据访问和连接,又具有比较安全的隔离措施;项目部、
4、监理公司、设计工代等单位,办公场所将放置在同一区域内的,因此考虑将以上单位的所有计算机安排在同一个局域网,但对监理公司、工代的所有计算机将采用同一个网络底层交换机接入,设置与项目部字段不同的IP地址,底层交换机连接到布置在机房内的三层交换机上,与项目部的网络划分成不同的VLAN,来保证与项目部计算机之间物理上的隔离和数据的连接,以保证项目部计算机信息的安全性。14项目部与各主要施工单位之间的数据连接,考虑由施工单位的机房放光纤到项目部的机房,并将光纤连接到三层交换机,与我们划分成不同的VLAN。施工单位将通过这种形式来访问我们的P3E/C,PAP系统,WEB系统。15满足PAP工程建设管理信息
5、系统、P3 E/C项目管理软件、工业监控、视频会议、项目部网站运行和发布等功能的要求。16具有较大的外网带宽,能够远程登陆,并能实现与上海本部、各项目部之间建立较快的数据交流。7与外网不仅要求具有物理上隔离和逻辑上连通的功能,还要具有VPN互连功能。18项目部内选用百兆带宽方案,现在的网络接点都对十兆和百兆带宽自适应,在费用上基本没有差别,为此所有的交换机必须选用百兆交换机;19防火墙开通VPN功能,可实现项目部与上海本部之间,项目部与项目部之间的安全互访;也可保证无论何时何地,只要计算机能够连上Internet,项目部员工就可以通过VPN的移动客户端服务,接入项目部或公司上海本部的内网进行正
6、常的办公操作(为保证正常接入的速度,建议最好使用宽带接入)。110 建立数据备份机制,确保数据安全;111为了确保网络安全,对防火墙、三层交换机等设备安装调试要确保网络安全。112 各项目IP地址段应由上海本部统一分配。2系统规划21设计原则设计目标:l 先进性、实用性和易用性为了确保系统具有较长的生命周期,保护投资,在系统软硬件配置上,要综合考虑实用化目标、投资、以及国际计算机技术发展的趋势等因素,进行规划。l 稳定性、可持续发展和经济性系统建设考虑到系统以后的扩充和变化,保持系统的可扩展性,采用成熟、稳定、性能价格比高、扩展能力强的产品。l 开放性、标准性和可扩展性局域网络系统不仅是一个内
7、部网络,同时要接入Internet,因此所使用的操作系统、网络通讯协议和接口必须符合国际标准,符合技术发展的潮流,以保持系统具有较强的互联能力,具有开放性和可扩展性。l 安全性、可靠性和可维护性系统具有很高的可靠性和安全性。尽量降低系统维护的难度和要求,方便用户日后的应用、管理和维护。建成的网络应该满足总体建设目标及以下需求:l 采用三层交换技术,整个局域网系统分为两级:核心层、汇聚层;l 核心层到汇聚层的网络带宽不低于百兆的高速互通;l 支持多媒体应用系统,提供高宽带,保证对实时数据流的传输;l 网络提供安全可靠的保证手段,以保证数据在局域网内安全传输;l Internet统一出口带宽为10
8、M;22总体网络结构网络建设层次清晰,可以采用核心层和汇聚层两层结构,核心层到汇聚层的网络带宽不低于千兆,汇聚层到各楼层信息点的网络带宽不低于百兆(根据实际网络规模,核心层到汇聚层的网络带宽可以不低于百兆)。核心层及汇聚层网络支持多种千兆以太网接口(千兆多模、千兆电口)以及链路聚合技术,实现主干链路的高速互通。在计算机机房设核心交换机。局域网通过1台防火墙(路由模式)实现Internet接入。为保证网络的安全,不受到来自外网的攻击,在网络边界采用防火墙设备进行网络的保护。随着人员增加,网络可以通过新增接入层交换机,即可简单、方便实现扩充,保证未来使用。总部网络拓扑图如下:项目网络拓扑图如下:具
9、体规划如下: 1中心交换机采用cisco 3550,各单位之间划分VLAN,做到隔离和互相访问策略配置。普通交换机为D-LINK 1024R+。 2所有服务器采用DELL 2950。主要使用三台服务器,使用windows 2000 server系统。 3防火墙使用东软产品,做到包过滤,NAT转换等服务。 4所用单位通过一条电信宽带连接到internet。 5. 所有座位模块接口直接安装在座位上。同时预留备用信息点。23 网络及硬件根据总部要求和项目具体情况进行规划,项目局域网络主要采用下列硬件设备:l 服务器:三台,主要有数据库服务器、WEB及文件服务器、域控制服务器,为项目网络提供服务和管理
10、、存放数据库、文件资料等。l 防火墙:为项目网络提供上网、对外服务转换、控制管理等管理。l 三层交换机:CISCO3550,为项目各单位提供VLAN网络划分、控制和管理。l 普通交换机:D-LINK 1024 R+。l 其他:UPS、视频切换器、机柜、磁带机、打印机、扫描仪等。24 IP地址规划及DNS、DHCP在建设局域网时,为了保证建设公司网络系统建设的完整性和延续性,IP地址的规划应当统筹考虑,根据公司本部划分的网络段及网络的整体结构和规模来规划全网的IP地址。为简化局域网上IP地址的管理,建议局域网采用DHCP和固定IP结合方式,实现IP地址、网关、DNS服务器的自动分配,普通用户只需
11、接到网络上,不经过任何配置就可以正常使用,大大简化了管理员的工作。DHCP要求配置在运行稳定可靠的服务器上,否则一旦出现故障,会影响所有使用动态地址分配的用户的使用。25网络安全为了保证项目内各单位之间业务沟通上需要,同时保证各单位之间安全,采用三层交换机进行VLAN划分,既可以保证各单位之间隔离又能实现互相访问。为了保证网络的高可用性与高可靠性,在局域网的Internet出口处配置1台防火墙。防火墙是设置在不同网络(如可信任的内部网和不可信任的外部网)或网络安全域之间的一系列部件组合。它是不同网络或网络安全域之间信息的唯一出口,能根据企业的安全政策,通过对IP地址、TCP/UDP端口等各个级
12、别的详细配置控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施,作为局域网络安全的屏障,其主要目标是保护局域网络资源,强化网络安全策略;防止内部信息泄露和外部入侵;提供对网络资源的访问控制;提供对网络活动的审计、监督等功能。26公网接入技术为了访问Internet,需将局域网与Internet进行互联,以满足局域网高速、安全、可靠的与Internet进行互通。为了满足项目网络需要,项目可以采用10M光纤接入,对网络响应速度等做具体要求,同时要求拥有5个以上固定公网IP。27局域网建设 根据网络规划,结合以前项目部局域网建设的
13、经验,按照项目部具体实际情况,进行大漕泾项目部局域网建设具体有以下几个方面:l 组网详细方案;完成网络拓扑结构图;l 选定局域网软、硬件配置;l 对项目信息点进行统计规划;l 根据办公室建筑设计图,完成网络线路设计,完成工程图纸;l 工程建设及设备调试。 注意:为了保证数据传输,对双绞线要求采用超5类线,对于距离比较远的地方和施工单位,要求采用光纤接入。3网络及硬件配置31 服务器配置项目部共配置3台服务器:l 主域及文件控制器一台(Xeon 3.0GHz/1GB/146GB)作为主域控制器和文件服务器。安装WIN2000 SERVER操作系统,要求安装最新补丁包,主要配置域和文件共享服务,同
14、时配置DNS、WINS服务,主要为域、网站和管理信息系统服务。对文件共享权限要严格控制。l 数据库服务器一台(Xeon 3.0GHz/1GB/146GB)作为P3E/C软件和PAP系统的数据库服务器。安装WIN2000 SERVER操作系统,要求安装最新补丁包,安装SQL SERVER数据库系统,给数据库安装最新补丁,然后建立P3E/C和PAP系统数据库。l WEB服务器一台(Xeon 3.0GHz/1GB/146GB)作为P3的WEB环境发布、工业监控系统和项目内部网站的服务器。32 防火墙配置防火墙和VPN认证设备的型号使用与上海本部一致的型号、规格,具体为东大阿派软件公司生产的,具有IP
15、 sec VPN功能的NetEye FW4032-FE4-V系列的防火墙。用于ISP网络接入,防止网络攻击,设置网络访问规则,对网络内外互访进行安全控制,用于VPN连接。防火墙是在项目部局域网和Internet之间架设的网络隔离设备,通过对内网与外网之间交换数据的过滤,彻底保证内网的安全性,同时防火墙还具有路由和NAT功能,可进行内网和外网之间的地址转换和路由转换。具体要配置包过滤、地址转换、VPN等主要几个用途。33 三层交换机配置三层交换是在二层交换的基础上增加了路由模块功能的交换机,它又和简单的路由功能有区别,路由器实现的的是OSI网络层的数据路由,存在网络瓶颈问题,数据的路由转发不能以
16、较快速度发送。而三层交换通常能够在居域网内以线速度进行交换,比一般路由器速度快10-100倍。它的基于网络层的VLAN网络分段功能能够使局域网广播风暴控制在VLAN之内,使得其不能在居域网蔓延,降低网络负载。在VLAN之间可以设定访问控制过滤的规则,能使其具有特定地址信息的接口的控制能力,既可以允许VLAN之间特定信息流通过,也可以阻止某个子网内用户访问特定信息。配置cisco 3550一台,作为整个局域网的核心交换机,用于接入防火墙,内网交换机接入,提高整体网络吞吐量,设置网络VLAN策略,实现业主、工程公司、监理、承包商之间更好的信息传输。根据项目需要和要求划分几个VLAN,把端口分配给各
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- KJLXX2XZ 01 集团公司 信息化 建设 实施细则 16
限制150内