1、王洼煤礦600萬噸/年改擴建項目綜合信息自動化系統專項設計 第四章 礦井網絡設計第四章 礦井網絡設計本礦井綜合信息自動化系統圖見圖4-1-1，其網絡設計分為兩部分：1、建立覆蓋井上、井下主要生產環節的工業控制網絡； 2、建立覆蓋整個礦井的計算機管理網絡，連接上級集團公司，以Gigabit Ethernet（千兆以太網）為主干網絡，桌面工作站以百兆接入的工業以太網。第一節 工業控制網絡系統設計一、設計目標為使本礦安全、高效地生產，保證設備的正常運行，需要建立一套多層次、多功能，利用現代控制技術、計算機技術、網絡技術、通信技術和圖形顯示技術，將煤礦生產的過程控制與企業管理有機結合的多級分布式綜合自

2、動化系統網絡。本礦工業網絡系統采用千兆工業以太網，按生產關系和地理位置構成邏輯環型網絡結構，將各子系統的主機作為工業以太環網的一個節點，把各現場子系統整合于基于Ethernet/IP的工業以太網中。通過OPC、DDE、數據庫共享、FTP文件上傳等軟件接口完成各子系統的信息整合，達到在地面生產調度指揮中心對全礦生產及相關環節的集中監控，實現礦井的管控一體化。本礦工業網絡系統為實時監控網絡結構，具備有完善的生產監控管理功能，對全礦各主要生產環節及相關的輔助環節的生產過程進行實時數據采集、傳輸、處理、顯示，對主運輸帶式輸送機系統、變電所和通風機等設備進行集中監控，同時配合工業電視系統進行安全圖像監視

3、，以確保人員及設備的安全，全面提高礦井的經濟效益和社會效益。二、網絡技術選擇1、網絡技術的比較作為現代工業控制網絡的技術方案主要有：工業以太網與現場總線。礦井綜合自動化網絡平臺設計可采用工業以太網與現場總線兩種方案，具體比較詳見表4-1-1。表4-1-1 工業以太網方案與現場總線方案性能比較序號比較內容工業以太網方案現場總線方案1協議標準統一且開放的TCP/IP通信協議，便于集成多廠家設備通信協議有很多種，集成多個廠家設備困難2與管理網連接相同的以太網協議，便于連接協議不同，需協議轉換3帶寬提供10M、100M、1000M多種選擇網絡速率慢，一般只有幾十K4可維護性便于維護需要較強的技術能力5

4、組網方式可組成多種拓撲結構只有總線式一種6技術發展支持視頻、數據、音頻三網合一不支持從上面的比較可知：工業以太網技術具有組網方便、互連性好、帶寬高、可維護性好的特點。現代的大型生產監控管理系統中往往使用到多家廠商提供的多種不同類型的設備，為了達到方便管理，保證系統運行穩定的目的，必須選擇一個開放的通信平臺，并將各種不同類型設備的通信統一到這一標準通信平臺之上。為保證良好的兼容性和可擴充性，建議使用以太網Ethernet/IP技術作為整個系統的通信標準。如有其他類型的通信格式，如RS232，RS485或其他專用通信接口等等，均可通過協議網關轉換為以太網信息包，在IP網絡上進行傳送。以太網Ethe

5、rnet/IP技術具有以下的優勢：l 隨著企業的發展、各種新技術的應用，可以預見，對網絡的帶寬要求也會越來越高，比如基于網絡的視頻監控傳輸應用和井下設備震動信息數據采集等都需要進行大量數據的傳輸。以太網技術具有相當高的數據傳輸速率(目前已有成功案例應用于工業環境下的以太網交換機)，能提供足夠的帶寬l 能在同一總線上運行不同的傳輸協議，從而能建立企業的公共網絡平臺或基礎構架l 支持交互式和開放的數據存取技術l 沿用多年，已為眾多的技術人員所熟悉，市場上能提供廣泛的設置、維護和診斷工具，成為事實上的統一標準l 允許使用不同的物理介質和構成不同的拓撲結構l 以太網早期存在不確定性和實時性能欠佳的問題

6、，智能交換機的使用、主動切換功能的實現、優先權的引入等，基本上得到了解決。通過提高數據傳輸速率，仔細地選擇網絡的拓撲結構、設置服務質量（QOS）等，從而保證數據傳輸的準確性和實時性因此，本設計選擇工業以太網組網技術作為本礦綜合自動化工業網絡系統的技術選型。2、網絡冗余方式選型在工業以太網絡中，由于目前的大型控制系統大多為分布式控制系統，因此，多采用總線結構或環形結構。為了進一步提高網絡的可靠性，可以采用單環或雙環、雙星形、多總線網絡結構實現網絡冗余，其結構比較見表4-1-2。表4-1-2幾種工業以太網結構比較星形環形雙星形雙環形網絡拓撲描述一個網絡核心節點下聯各個分節點各個網絡節點串聯成閉環結

7、構雙核心、雙接入節點，接入節點分別連接到核心節點，形成2套網絡每個網絡節點具有2套網絡設備，各個節點串聯成2套環網優點布線簡單，管理方便，直接通過背板交換，交換速度快。分布式網絡，允許光纖出現一處斷點。發生連路故障時，網絡自動在500mS之內切換到總線。冗余網絡，允許交換機、光纖、網線（網卡）三種故障，直接通過背板交換，交換速度快。冗余網絡，允許交換機、兩處光纖、網線（網卡）四種故障。是常用的高級工業冗余網絡系統。星形環形雙星形雙環形缺點沒有冗余，且中央交換機分險過于集中。屬于簡單冗余，當某一交換機發生故障時，會導致單點網絡故障。布線復雜，所有網絡設備、網絡光（電）纜、網卡均為雙份，成本高。冗

8、余實際上是通過軟件編程實現的，因此切換時間與程序編制有較大關系。布線較雙星形簡單，其他成本，如網絡設備、網絡光（電）纜、網卡均為雙份，與雙星形一樣。成本低最低最高高冗余時間50或500ms取決于軟件鏈路故障恢復5或500ms，其他故障取決于軟件因此，經比選可知采用冗余結構的工業以太環網搭建本礦綜合自動化工業網絡系統是合適的，符合技術發展方向。三、系統架構本礦綜合自動化工業網絡系統采用環間耦合冗余兩級網絡結構，在地面和井下分別建立1個環網平臺，地面工業場地和井下環網分別由各自的環網交換機與生產調度指揮中心核心交換機連接，形成一個冗余工業千兆主干環形網、百兆接入的技術方案。兩臺工業核心交換機組成H

9、iper-Ring環網，兩個現場環網基于雙機Coupling冗余耦合技術接入兩臺工業核心交換機，組成全網一致的整體冗余網絡（任一單斷點自愈時間快于50ms）。作為全礦工業以太網的主干網，主干網絡節點提供多種形式的接口方式，方便地面與井下各個子系統的接入，同時方便井上下的工業網絡的擴展與升級。本礦生產調度指揮中心設計安裝2臺1000M工業以太環網核心交換機作為工業以太網核心。2臺千兆核心以太網交換機互為備份，通過Hiper-Ring環網（或Standby環網），構成工業網絡的冗余數據匯聚中心，地面工業場地和井下分別構成一個環網。本礦地面設置9臺1000M工業以太環網交換機，分別安裝于：副斜井提升

10、機房控制室、通風機房控制室、35kV變電站控制室、空氣壓縮及制氮站控制室、鍋爐房控制室、生活污水處理站控制室、礦井水處理站控制室、儲煤倉配電點、主井10kV變電所控制室，構成地面工業以太環網。本礦井下設置2臺1000M工業以太環網交換機，安裝于井下采區上部10kV變電所、井下10kV水泵房變電所。圖4-1-1 工業控制網絡拓撲圖四、系統設計 1、工業以太網產品選型由于工業環境（如煤礦等行業）的特殊性，普通交換機在抗干擾性能、電磁兼容性、可靠性、可用性、MTBF等方面不能完全適應工業環境的要求，且不能形成高速冗余環的連接方式，使用壽命也會大大降低。因而必須采用工業級的以太網交換機。本設計采用KY

11、LAND的工業以太網交換機系列。KYLAND的工業級以太網設備采用牢靠的重負荷設計，其性能指標遠遠超過一般的網絡產品，電磁兼容性、工作溫度、防震等指標完全符合工作現場的要求。支持多種網絡拓撲結構和多重冗余方式，如（單）環網冗余、單環雙節點冗余、雙總線冗余、雙環網冗余和環間冗余。所有冗余結構在切換時，已傳遞的數據延遲小于50ms（千兆設備可達50ms環收斂，百兆設備可達300ms環收斂），不會造成數據丟失的問題。KYLAND的工業以太網產品技術特點：l 整個自動化綜合控制網采用工業級的網絡交換機，實現惡劣環境的網絡連接。l 整個自動化綜合控制網采用具有50ms自愈功能的環形冗余網絡結構提高了網絡

12、系統的可靠性。l 核心采用模塊化的SICOM6496G交換機，提供多種冗余機制：環冗余、電源冗余等，避免網絡中的部分單點故障。并可實現將來網絡的擴充升級。l 整個環網采用千兆骨干帶寬，為數據、視頻、語音提供三網合一提供了足夠的帶寬。l 整個網管系統可對所有的綜合自動化網的網絡設備進行實時監控。并提供報警提示功能。同時提供OPC協議，支持監控軟件的集成。l 井下交換機經過防爆認證，具備MA證，符合煤礦安全規程。2、工業以太網路由設計工業網主傳輸和一部分分支傳輸介質采用光纜，設計如下：l 井下光纜將全部采用鎧裝單模光纖，地面光纜將采用單模光纖l 光纜將直接接入信息機房綜合自動化系統核心交換機l 地

13、面工業環網主干光纖均采用12芯單模光纜，井下工業環網主干光纖均采用12芯單模光纜。光纖敷設設計：l 敷設多芯光纖冗余通道，并組成井上、下環網。l 地面電、光纜與動力、照明電纜共用室外電纜溝及電纜排管敷設，無電纜溝及電纜排管處，采用電纜穿柵格式塑料管埋地敷設。l 井下光纜敷設主巷道采用橋架敷設，其它巷道采用電纜掛鉤方式敷設。l 光纖為了保證信號衰減，盡量減少熔接次數l 主干光纖每500m要求有20m的預留，為熔接預留長度。l 光纜/電纜敷設過程中，根據現場實際情況，需要做保護光纜/電纜段必須嚴格做保護，具體保護輔材由集成商提供。表4-1-2 光纜配置表光纖名稱規格規格芯數備 注井下工業主干環網礦

14、用阻燃單模12環網2芯使用，2芯備用，其他可作為備用或其他系統臨時借用井下分支礦用阻燃單模12綜采工作面自動化和數字工業電視使用地面主干單模12環網2芯使用，2芯備用，其他可作為備用或其他系統臨時借用。地面分支單模12數字工業電視使用地面、井下環網均以燈房浴室及任務交待室聯合建筑生產調度指揮中心為起點，分別經過地面、井下各生產環節，最終連接回到生產調度指揮中心形成可靠的光纖環網，連接方式根據可靠性、靈活性、實用性原則組建。地面千兆工業以太環網光纖敷設路由為：生產調度指揮中心副斜井提升機房通風機房35kV變電站空氣壓縮及制氮站鍋爐房生活污水處理站礦井水處理站儲煤倉配電點主井10kV變電所生產調度

15、指揮中心。由于井下鎧裝阻燃礦用光纜最大為30芯，敷設光纜根據環網需求和冗余性，由主井敷設1根30芯單模鎧裝阻燃礦用光纜、副井敷設1根30芯單模鎧裝阻燃礦用光纜下井，井下千兆工業以太環網使用12芯，30芯中其余的芯數供其他系統使用。井下千兆工業以太環網的光纖敷設路由為：生產調度指揮中心采區上部10kV變電所井下10kV水泵房變電所生產調度指揮中心。3、工業核心交換機1）工業核心交換機選型工業核心網絡交換機是工業以太網的核心，其性能直接關系到工業網絡的運行穩定、性能、管理維護和未來網絡的發展及可擴充性，其性能好壞是決定整個工業控制網絡的穩定性和傳輸速度的重要因素之一。本設計方案工業網絡系統核心交換

16、機選擇KYLAND的SICOM6496G。 SICOM6496G系列三層交換機專為滿足骨干網絡高速高負載傳輸音頻、視頻和控制數據的需要而設計，能夠滿足工廠、交通、船舶等行業的需要。核心交換機要求采用模塊化設計，端口密度高，外觀緊湊，在保持工業產品的高度靈活性和可靠性的同時提供了更為強大的處理能力。提供動態路由和多播路由，支持HIPER-Ring，Redundant Coupling 等冗余機制、也滿足 GL 認證及相關的抗沖擊、抗振動標準。可為高實時控制響應服務的工業核心主干網和要求苛刻的多業務應用提供端口線速的多層交換能力。每臺交換機均可跨所有端口提供無阻塞的第 2 層和第 3 層交換。 S

17、ICOM6496G系列工業以太網交換機采用模塊化設計，便于擴展、端口配置，具有以下特點：l 模組化設計,可支持48G或96+8G接口；后出線設計,滿足工業現場要求；專利散熱技術,無風扇設計；IP40防護等級；CE,FCC認證；l 冗余技術:支持DT-Ring協議族(自愈時間50ms),MSTP和VRRP，與二層設備可統一組網；l 組播協議:支持IGMP,IGMP Snooping,PIM-SM,PIM-DM,DVMRPl 路由協議:支持RIPv1/v2,OSPFv2,BGPv4和靜態路由協議l 網絡劃分:支持VLAN,GVRPl 服務質量:支持QoSl 帶寬管理:支持端口聚合,端口限速,廣播風

18、暴抑制l 網絡管理監控:支持CLI,Telnet,WEB管理方式,Kyvision集中管理,支持SNMPv1/v2,RMON,LLDP,SNTP,DHCPl 網絡安全:支持ACLl 設備管理:支持FTP/TFTP升級,支持日志記錄與上傳l 設備維護:支持端口鏡像l 告警輸出:支持端口和環告警2）工業核心交換機配置工業核心交換機機架集成 8 個 GE 雙絞線（10/100/1000 Mbit/s）端口或 8 個 GE Combo 端口（SFP 100/1000 Mbit/s 或雙絞線 10/100/1000 Mbit/s），通過介質模塊擴展 16 個 GE 端口。不但可滿足自動化控制網的各類服務

19、器、監控終端連接的千兆高速連接入網，還可有剩余端口用于將來的擴展之用。l 每臺SICOM6496-主機模塊1，提供2個電源插槽,2個主控交換模塊插槽 4塊l 每臺配置SM6.3-Power-48DC-電源模塊1l 每臺配置SM6.3-4GX/GE-20GE 交換模塊2， 提供8個千兆Combo口,30個10/100/1000M自適應以太網RJ45接口4、工業節點交換機SICOM6000是三層模塊化卡軌式網管型工業以太網交換機。它提供了4個1000Base-X SFP接口和10/100/1000Base-T(X)combo口，24個光電可選百兆接口或12個RS232/RS485串行接口。SICO

20、M6000符合工業4級EMC設計要求，提供IP40防護等級。提供基于Kyvision3.0，CLI，WEB多種管理方式。節點交換機的主要特點如下：煤礦井下產品要求已通過“MA”認證。l 冗余技術：支持DT-Ring協議族(自愈時間50ms)，MSTP和VRRPl 組播協議：支持IGMP，IGMPSnooping，PIM-SM，PIM-DM，DVMRPl 路由協議：支持RIPv1/v2，OSPFv2，BGPv4和靜態路由協議l 網絡劃分：支持VLAN，GVRP l 服務質量：支持QoSl 帶寬管理：支持端口聚合，端口限速，廣播風暴抑制l 網絡管理監控：支持CLI，Telnet，WEB管理方式，K

21、yvision集中管理，SNMPv1/v2，RMON，SNTP，LLDP，DHCPl 網絡安全：支持ACLl 設備管理：支持FTP/TFTP升級，支持日志記錄與上傳l 設備維護：支持端口鏡像l 告警輸出：支持電源，端口和環告警1）地面環網工業節點交換機配置在井上環網部分配置9臺SICOM6000節點交換機，并與中央網絡設備的核心交換機進行冗余互連，以保證網絡上聯的冗余。井上環網部分直接采用千兆環網，根據實際需要，井上每臺節點交換機配置：l SICOM6000-主機1 ，提供1個電源模塊插槽,1個主控交換引擎插槽,3個功能模塊插槽,1個千兆模塊插槽。l SM6.1-Power-12/24/48電

22、源模塊1。l SM6.1-4GX/GE千兆接口模塊1，提供4個千兆Combo接口。l SM6.1-8T功能模塊1，提供8個10/100M自適應以太網RJ45接口。l SM6.1-4FX-4T功能模塊1，提供4個百兆SFP插槽,4個10/100M自適應以太網RJ45接口。2）井下環網工業節點交換機井下子環網配置2臺防爆認證并取得MA證書的工業節點交換機連接成環，以保證網絡上聯的冗余。井下子環網直接采用千兆環網，根據實際需要，井下每臺SICOM6000交換機配置：l SICOM6000-主機1 ，提供1個電源模塊插槽,1個主控交換引擎插槽,3個功能模塊插槽,1個千兆模塊插槽l SM6.1-Powe

23、r-12/24/48電源模塊1l SM6.1-4GX/GE千兆接口模塊1，提供4個千兆Combo接口l SM6.1-8T功能模塊2，提供16個10/100M自適應以太網RJ45接口l SM6.1-4FX-4T功能模塊1，提供4個百兆SFP插槽,4個10/100M自適應以太網RJ45接口5、服務器及其他網絡設備硬件部分的集成以服務器為核心，在監控中心集成平臺中，共有如下的服務器系統：1）服務器共5臺，其中管控服務器2臺，數據庫服務器2臺，WEB服務器1臺。型號規格：IBM System x3850 X5Intel 至強E7-4807處理器內存：16GB硬盤：配置3300G SAS硬盤配置Serv

24、eRAID-8k RAID5卡雙網卡21000Mbps光驅：DVD/CD-RW Combo光驅冗余電源：1975W,220V安裝方式：4U機架式安裝2）安全隔離網閘共1臺，應用于SCADA控制網絡與計算機管理網絡之間的單向傳輸，保障信息安全。型號規格：sis-3000-GE11內網配置：2個10/100M網絡接口，1個10/100M管理口，1個10/100M雙機備口外網標配：4個10/100M網絡接口，1個10/100M管理口可擴展為熱插拔冗余電源并發連接數：20000每秒新建連接：不低于1300平均無故障時間： 50000小時安裝方式：2U機架式安裝3）操作終端生產調度指揮中心設工程師站2臺

25、，操作員站4臺。型號規格：T5600專業工作站Intel至強E7-4807處理器PCI Express x16 Gen 2顯卡，1G顯存4G內存，500G SATA硬盤PCI-e Broadcom千兆控制器卡，提供2個千兆端口24英寸液晶顯示屏正版 Windows 7 Professional 64位 (available with XP Mode)4）移動管理終端共2臺。型號規格：ThinkPad T430Intel 酷睿2雙核 i5,主頻不低于2.4GHz二級緩存：3MB2G內存，500GB硬盤，DVD-RW, 256M顯存14.1英寸液晶顯示屏，內置802.11a/b/g無線網卡、集成1

26、000M以太網卡正版Windows 7 Professional5) 磁盤陣列共1臺。設備型號：IBM System Storage DS5020 Express最大支持 112 個 2 TB SATA 磁盤驅動器提供高達 224 TB 的物理存儲量，本項目采用32塊2 TB SATA硬盤，達到64 TB 的物理存儲量最大傳輸率：3700MB/s高速緩存：4GB的物理緩存MTBF：1000000小時RAID支持：參數糾錯RAID 0，1，3，5，6，10主機接口：8個 8 Gbps 光纖通道6）光纖通道交換機共1臺。型號規格： IBM System Storage SAN24B-4 Expre

27、ssIBM System Storage SAN24B-4 Express交換機帶有 24個端口，其中 8個端口已激活（0到7），8Gbps 光纖通道（FC）支持的存儲產品：IBM System Storage DS5020 Express支持的服務器：IBM System X系列安裝方式：1U機架式安裝7）千兆防火墻共1臺。設備型號： Power V-1428-TD安裝方式：1U機架式安裝標準配置4個SFP插槽（可插單模/多模/電口）8個10/100/1000MBASE-T端口并發連接數200萬支持VPN功能，VPN隧道數5000條6、工業網絡系統網絡管理本礦綜合自動化系統整體網絡采用井下、

28、井上、核心三個網絡的構架，主要傳輸業務有電力監控系統、視頻監控系統、語音通信系統、信號控制系統，在生產指揮調度中心、主斜井10kV變電所、副井提升機房、變電站、通風機房、井下變電所等地放置工業以太網交換機，井上、井下、核心交換機通過1000M光纖互聯，核心機房由兩臺KYLAND工業以太網交換機SICOM6496G組成，通過VRRP（Virtual Router Redundancy Protocol）虛擬路由冗余協議實現核心網絡的冗余，并在兩臺交換機啟用兩個備份組，這樣，既分擔了設備負載和網絡流量，又提高了網絡可靠性。井上井下由11臺KYLAND工業以太網交換機SICOM6000分別組成兩個千

29、兆冗余環網，將井上和井下網絡物理相隔離提高網絡的安全性，井上井下環網交換機啟用DT-Ring快速環網冗余協議，保障了網絡的無擾切換，網絡自愈時間小于50ms，在井下環網中啟用SICOM6000的VLAN（Virtual Local Area Network)虛擬局域網絡功能，將井下視頻、語音、控制等業務隔離，防止業務的廣播風暴產生影響其他業務，并將交換機各業務接入端口（交換機使用端口）采用KYLAND的廣播風暴抑制功能，可以實現網絡中“有效數據傳輸，無效數據隔離”的功能，提高網絡數據傳輸的安全性。同時采用QOS（Quality of Service）服務質量功能，根據不同的業務級別對交換機的接

30、入端口進行帶寬分配，提高網絡數據傳輸的高效性。7、子系統接入光纖環網接口和通信協議本礦綜合自動化各子系統，采用標準的TCP/IP協議和工業級以太網技術加以實現，實現將井上和井下區域控制器和綜合監控站所采集的信息和控制信號傳送給有關系統。8、工業網絡系統供電設計1）地面網絡設備供電設計KYLAND工業交換機節點設備均為專為工業環境設計的工業交換設備，能夠適應高溫、高濕、塵埃和震動的環境，滿足在煤礦環境的防爆及安全要求。并且必須符合爆炸危險環境電力裝置設計規范GB50058-2014以及煤礦安全規程2011版等的規定，并取得有效的煤礦礦用產品安全標志。地面工業節點交換機可以直接安裝在節點機柜內，設

31、備就地取電。為了保證交換機供電的穩定性，應配置UPS電源，工業節點交換機機房UPS電源應具備以下性能指標：UPS容量為3kVA，在線式UPS；機架式安裝，安裝在工業節點交換機機柜內；電池后備時間必須在UPS主機80%負載情況下實現2小時不間斷供電；地面輸入為220V，輸出為220V。2）井下網絡設備供電設計目前KYLAND生產的工業以太網交換機為非隔爆或本安型的，無防爆等級，因此不能直接用于煤礦井下。為保證井下安全，必須按照爆炸危險環境電力裝置設計規范GB50058-2014以及煤礦安全規程2011版的規定，將交換機的非本安信號通過相應的電路轉換成本安信號，并將工業以太網交換機安裝于符合Exd

32、I級別隔爆兼本安箱中，并提供本質安全輸出。考慮到現場的惡劣條件，為減少因電源故障而產生的網絡中斷等事故發生幾率；提高網絡的可用性，應配備了專用的小型防爆UPS設備。UPS容量為3kVA，在線式防爆UPS。電池后備時間必須在UPS主機80%負載情況下實現2小時不間斷供電。輸入為127V，輸出為24V直流。第二節 計算機管理網絡系統設計一、設計目標本礦井計算機管理網絡布線系統以信息中心機房（燈房浴室任務交待室聯合建筑內）為核心，以生產指揮樓、燈房浴室任務交待室聯合建筑、2-5#單身公寓、食堂、器材庫、綜采設備庫、機修間、消防材料庫為接入點，在上述單位部門實施統一的網絡布線（包括光纜布線與銅纜布線）

33、。計算機管理網絡系統是企業信息管理系統運行的硬件平臺，主干網絡采用千兆單模光纖傳輸，網絡百兆帶寬到桌面。通過本礦井管理網絡系統傳輸數據、語音、視頻信息，實現企業辦公自動化、統一上網等業務，實現與集團聯網，與綜合自動化網絡之間通過網閘隔離聯網。二、系統架構本礦井管理網絡系統由核心交換機、接入交換機、服務器、路由器、防火墻、及相應網管軟件及應用軟件組成。本礦井管理網絡系統構架如下：l 整體網絡結構采用星型結構設計；l 采用以千兆以太網交換技術為核心骨干的網絡技術，提供標準化的高速率主干網連接，可以在同一個網絡中支持多種服務質量，以支持目前和未來數據庫、多媒體等應用和服務的需求；l 采用的所有設備和

34、技術均符合國際標準，網絡中使用的設備和協議完全符合國際通用的技術標準，兼容現有的網絡環境，提供很好的互聯性能；l 網絡能提供足夠的帶寬，豐富的接口形式，滿足用戶對應用和帶寬的基本需要，并保留一定的余量供擴展使用，最大可能地降低網絡傳輸的延遲；l 網絡有很高的可靠性、穩定性及冗余，提供拓撲結構及設備的冗余和備份，把單點失效對網絡系統的影響減少到最小，避免由于網絡故障造成用戶損失；l 網絡有良好的可擴充性，對未來的應用和技術有一定的前瞻性，隨著網絡的規模及其運行的應用不斷擴展，現有系統能提供足夠地擴充能力，適應發展的需要；l 網絡易于安裝、操作和維護，在網絡中使用單一的網絡管理軟件來管理所有網絡設

35、備，對網絡設備及VLAN等進行直觀、靈活的配置，提供完整的網絡拓撲圖。三、計算機管理網絡設備布置1、系統設計企業計算機管理網的整體網絡結構應采用星型結構，它與工業以太環網共同構成本礦整個網絡傳輸的物理平臺。企業計算機管理網絡是企業信息管理系統運行的硬件平臺，傳輸數據、語音、視頻信息，實現企業辦公自動化、統一上網等業務。本礦計算機管理網分為兩層，核心交換機是礦井辦公局域網中的一級交換機，它連接局域網絡的二級交換機，通過路由器、硬件防火墻與當地電信、網通等公網運營商連通，實現與INTERNET的連接。本礦計算機管理網絡的數據系統的中心機房設置在燈房浴室聯合建筑內，設有光纖配線架（ODF）、核心交換

36、機、網絡路由器、防火墻、企管網服務器等網絡設備。在生產指揮樓、燈房浴室任務交待聯合建筑、食堂、2-5#單身公寓、機修間設置接入層交換機及配線架等設備，綜采設備庫、器材庫、消防材料庫的網絡通過以太網光電轉換器與機修間網絡交換機連接。信息點數據模塊采用RJ45超五類非屏蔽模塊 、水平系統采用超五類非屏蔽雙絞線（FTP） 、數據主干采用12芯單模光纖 ，各樓層信息點聚集到各個子建筑的機房內。 管理網絡系統拓撲圖見圖4-2-1：圖4-2-1企業管理網絡拓撲圖本礦井交換機布置位置、規格和數量見表4-1：序號安裝位置設備型號數量核心交換機1任務交待室及燈房浴室Cisco Catalyst WS-C4507

37、R1接入交換機1生產指揮樓Cisco Catalyst 2960-48TC-L22任務交待室及燈房浴室Cisco Catalyst 2960-48TC-L332號單身公寓Cisco Catalyst 2960-48TC-L243號單身公寓Cisco Catalyst 2960-48TC-L254號單身公寓Cisco Catalyst 2960-48TC-L265號單身公寓Cisco Catalyst 2960-48TC-L27食堂Cisco Catalyst 2960-24TC-L18機修間Cisco Catalyst 2960-8TC-L12、計算機管理網絡路由設計計算機管理網傳輸介質采用1

38、2芯單模光纜，以星形結構連接。地面布線工業廣場采用電纜溝敷設或穿硬聚氯乙烯管埋地敷設。光纜由機房企業管理網核心交換機以星形方式連接各建筑接入交換機3、核心交換機選型核心層是網絡的骨干。核心層節點是整個煤礦管理網絡系統的核心，設備承載的壓力最大，設計目的是實現快速收斂、提高可靠性和加強穩定性。本礦管理網絡核心交換機應具備以下性能指標：l 支持萬兆鏈路；l 設備插槽（交換路由引擎插槽+接口板插槽）總數不小于9；l 配備雙引擎、雙電源、雙風扇；l 配置不少于24個千兆單模光口；l 配置不少于48個千兆電口；l 引擎總帶寬不小于720Gbps；l 支持802.1x、訪問控制列表(ACL)、Secure

39、 Shell(SSH)協議、動態ARP檢測(DAI)、源IP防護等安全特性；l 支持RIP、OSPF等路由協議，支持智能QoS功能，支持端口安全、地址綁定、DHCP Snooping等安全技術，所配模塊必須能夠完全利用交換機備板；l 通過基于 Web的GUI，提供先進的管理和配置功能。本礦管理網絡系統核心交換機設計選擇Cisco Catalyst WS-C4507R。圖4-2-2 Cisco Catalyst WS-C4507R交換機外形圖Cisco Catalyst WS-C4507R產品為布線室和數據中心提供高性能等密度的每秒10/100/1000Mbit的以太網模塊化交換平臺，提供高性能

40、的企業交換解決方案，本交換機可根據礦的不同系統和網絡介質提供不同的端口，具有非常大的網絡擴展和配置的靈活性。Cisco Catalyst 4500系列為企業局域網接入、小型骨干網、L3分布點和集成式SMB和分支機構提供先進的高性能解決方案。其優點包括： 1）性能：Cisco Catalyst 4500 提供的高級交換解決方案不但能隨著端口的增加擴充帶寬，還采用了業內領先的應用專用集成電路（ASIC）技術，能夠提供線速L2-L3 10/100或千兆交換能力。由于L2交換提供模塊化管理引擎靈活性和全面的線路卡兼容性，因而能將性能擴展到 320Gbps和250Mpps。利用 Cisco Expres

41、s Forwarding，L3-L4交換也可以擴展到320Gbps和250Mpps。交換性能與路由項或支持的高級L3服務的數量無關。 2）為關鍵業務應用提供帶寬保護：利用 QoS 或安全特性，在部署 Cisco Catalyst 4500 系列管理引擎時，將不會降低轉發性能，Cisco Catalyst 4500 系列平臺將繼續以完全線速轉發。 3）端口密度：Cisco Catalyst 4500 系列能夠滿足機箱中 388個以太網端口的網絡組件連接要求。Cisco Catalyst 4500 系列支持從網絡邊緣直接到桌面計算機的業內密度最高的10/100/1000自適應、自協商千兆以太網。萬

42、兆以太網上行鏈路端口支持高密度千兆以太網到桌面部署和交換機到交換機應用。Cisco Catalyst 4500 系列的可熱插拔、易于使用的模塊化交換解決方案不但能降低復雜性，還能容易地支持當今網絡中不斷變化的桌面環境。 4）管理引擎冗余性：冗余管理引擎有助于縮短計劃內和計劃外網絡停機時間，改善業務連續性，并提高員工生產率。帶狀態化切換的不間斷轉發（NSF/SSO）能夠在管理引擎切換過程中提供連續包轉發。NSF/SSO 能夠顯著提高L2或L3環境中的網絡可靠性和可用性。完全圖像ISSU為新線路卡、新電源、新特性或缺陷修復提供無影響的快速軟件升級，而且不會影響路由過程，也不會使網絡不穩定。即使 C

43、isco IOS Software 圖像正在升級或降級，IP語音也不會掉線。NSF/SSO 和 ISSU 對IP語音（VoIP）等關鍵業務應用非常重要。 5）投資保護：由于 Cisco Catalyst 4500 系列采用了靈活的模塊化架構，因而能夠為局域網接入或分支機構網絡提供經濟高效的接口升級。由于Cisco Catalyst 4500 系列機箱之間的備件兼容性支持電源和交換線路卡的通用化，因而能降低總部署、遷移和支持成本。 6）功能上透明的線路卡：只需添加新的管理引擎，Cisco Catalyst 4500 系列系統就可以容易地將所有系統端口升級到更高交換功能。與遷移過程中需要執行全面設

44、備升級的傳統交換產品不同，該系統不需要更換老線路卡和布線就可以增強所有系統端口的功能。這種架構優勢延長了 Cisco Catalyst 4500 系列線路卡的有用部署時間。 7）一致的軟件架構：由于采用了一致的 Cisco Catalyst 軟件和用戶界面，用戶可以利用掌握的知識，通過 Cisco Catalyst 2960、3560、4500 和 6500 系列交換機以及 Cisco Catalyst 3750 交換機的結合發展基礎設施。 8）Cisco IOS Software 網絡服務：Cisco Catalyst 4500 系列交換機提供能夠增強公司網絡的成熟的企業級L2-L3特性。這

45、些特性能夠滿足大中型企業的高級網絡需求，因為它們是多年來根據客戶的意見和建議改進的結果。 9）高級安全性：在 Cisco Catalyst 4500 系列上支持多種安全特性，例如 802.1x、訪問控制列s表（ACL）、安全Shell（SSH）協議、單播RPF（uRPF）、端口安全性、動態ARP檢測（DAI）、IP Source Guard、控制平面限速、802.1x 不可訪問認證回避、802.1x 單向控制端口、MAC 認證回避、多域認證和專用虛擬局域網（PVLAN），以便增強網絡控制和靈活性。如果有選擇地或者全部采用這些特性，網絡管理員不但能防止非法訪問服務器或應用，讓不同的人用不同的權限

46、使用同一臺PC，還能防止網絡入侵者通過盜竊用戶名和密碼訪問交換機，或者防止出現有意或意外廣播風暴。 10）基于硬件的組播：獨立于協議的組播（PIM）、密集模式和稀疏模式、互聯網小組管理協議（IGMP）、組播偵聽器識別（MLD）偵聽和思科組管理協議支持基于標準的經過思科技術增強的高效多媒體網絡，而且不會降低性能。 11）可管理性：Cisco Catalyst 4500 系列得到了 CiscoWorks 產品線的支持，提供的創新工具能夠集中管理主要網絡特性，例如可用性、響應能力、永續性和安全性，以便建立智能交換基礎設施。通用模塊化QoS 命令行界面（CLI）不但能簡化策略流量圖的創建，還能為大、小

47、型Cisco Catalyst 交換機提供一致的界面。網絡運作可以通過基于Web、GUI和CLI的靈活管理方式得到增強。最重要的是，每臺 Cisco Catalyst 4500 系列交換機都有思科服務和支持解決方案作后盾。 4、接入交換機選型接入交換機主要是連接終端用戶，在產品選型上主要需要考慮以下幾點：l 端口數量；根據信息點密度情況，合理的采用48和24口、8口相結合。l 上行鏈路介質和帶寬選擇，上行鏈路帶寬應達到1000M。l 網絡管理和終端設備介入控制，能夠支持802.1X和mac綁定。本礦接入層交換機具備以下性能指標：l 支持增強性的二、三層交換服務器特性；l 配置24或48個10/

48、100M RJ45接口；l 配置不少于4個10/100M/1000M 接口（10/100/1000BASE-T或SFP）；l 背板容量：不低于32Gbps；l 轉發速率：不低于9.6Mpps；l 支持QoS功能，支持IEEE 802.1Q標準的VLAN；l 通過基于 Web的GUI，提供先進的管理和配置功能；l 配置光纖接口模塊；l 所有交換接口實現線速轉發，千兆上聯、百兆到桌面。考慮到與主干交換機的兼容性以及無縫融合。建議采用與主干交換機同廠商的產品。因此我們將采用Cisco的Catalyst Catalyst 2960T交換機（48或24或8個10/100端口和2個固定的1000BASE-

49、T上行鏈路端口）通過作為本網工作組級接入交換機組，直接連接各職能工作站。以合理價格實現工作組與終端設備的100Mbps連接的可擴展交換機，Cisco Catalyst 2960是將專用快速以太網式的性能擴展到整個網絡的理想選擇，它可使用戶的終端設備服務器及其它網絡設施享受這種高性能的解決方案。這種高性能的解決方案可隨網絡的成長而自由地擴展。圖4-2-3 Cisco Catalyst 2960交換機外形圖5、服務器設計選型數據庫服務器、WEB服務器、網管服務器性能指標設計要求：l 結構：機架式；l 處理器：雙CPU四核2.5G /雙CPU新六核 不低于2.0G/緩存不低于8M， CPU：，可擴至

50、二路處理器；l 集成4MB二級緩存，處理器支持超線程以及EM64T，1GHz前端總線；集成iLo遠程管理,集成Smart Array 6i U320 SCSI陣列控制器；l 集成雙口千兆以太網卡；l 內存：4GB 雙路交錯 PC2-5300 DDR2 SDRAM內存，支持高級ECC和在線備援，最大可擴充至64GB；l 三個64位PCI-X插槽，包括兩個100MHz非熱插拔插槽和一個133MHz；l 配置4 x 72GB SAS 驅動器，帶可選硬盤驅動器；l 雙電源線，可熱插拔。6、防火墻設備選型本礦管理網絡系統上聯王洼煤業公司網絡系統，下聯本礦工業網絡系統。本礦管理網絡系統可能受到來自INTE

51、RNET的網絡攻擊，為了保證管理網絡系統的安全，設置防火墻（天融信品牌）連接王洼煤業公司網絡系統。工業網絡系統是整個煤礦生產自動化系統的網絡平臺，為了保證生產控制系統穩定安全運行，管理網絡與工業網絡通過控制網防火墻相連，即保證管理系統可以讀取生產自動化系統的數據，又保證生產自動化工業網絡系統的安全。7、移動管理終端系統配置2臺移動管理終端，作為網絡日常維護管理使用。參考設備：IBM ThinkPad T400Intel 酷睿2雙核 P8600,主頻不低于2.4GHz二級緩存：3MB2G內存，320GB硬盤，DVD-RW, 256M顯存14.1英寸液晶顯示屏，內置802.11a/b/g無線網卡、

52、集成1000M以太網卡中文Microsoft Windows XP/VSTA操作系統 8、IP地址分配設計在管理網絡系統建設過程中應嚴格遵守公司IP地址管理規范。在分配的IP地址范圍內，可以采用動態地址和靜態分配相結合的方法來實現IP地址的有效管理，具體方法為：l 用于廣域網和局域網的網絡設備互連采用靜態IP地址；l 用于其他網絡設備互連如防火墻、入侵檢測等采用靜態IP地址；l 服務器和維護管理工作站采用靜態IP地址；l 重要的工作站如相關部門領導采用靜態IP地址；l 其他普通接入用戶采用動態分配的IP地址。9、網絡管理軟件網絡管理是網絡組建中的重要組成部分。良好的網絡管理系統可以幫助用戶在很

53、大程度上優化網絡結構、預防和及時排除故障，減少網絡的維護費用，以獲得很好的投資回報。根據網絡設備的特點，設計采用Cisco的專業網管軟CiscoWorks2000，LMS（CiscoWorks LAN Managerment Solution）來管理本礦管理網絡系統。Cisco works2000，作為業界知名的網管軟件，能夠充分管理企業的網絡。主要有以下功能：l 設備故障管理：提供設備的實時檢測、分析，故障預警，并出具豐富的報表；l 設備資產管理：提供企業網絡設備的詳細清單，簡單配置，例如：軟件升級等；l 設備可視化可視化監管：提供基于網絡設備實物的可視化網管界面，允許配置、監測；l 設備配

54、置管理：提供整網的拓撲自動發現、相關一二層信息、路徑分析；l 廣域網線路管理：實時監測網絡的延時、擁塞、抖動等情況。第三節 信息安全系統設計一、設計目標本礦信息安全系統的建設應符合本礦井信息安全系統建設技術要求，結合公司信息安全系統建設經驗進行。信息作為一種資產，是企業或組織進行正常商務運作和管理不可或缺的資源。從最高層次來講，信息安全關系到國家的安全；對組織機構來說，信息安全關系到正常運作和持續發展；就個人而言，信息安全是保護個人隱私和財產的必然要求。信息安全的任務，就是要采取措施(技術手段及有效管理)讓這些信息資產免遭威脅，或者將威脅帶來的后果降到最低程度，以此維護組織的正常運作。信息安全

55、是一個廣泛而抽象的概念，不同領域不同方面對其概念的闡述都會有所不同。本礦井綜合信息化平臺其安全定義是：保護信息系統的硬件、軟件及相關數據，使之不因為偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統能夠連續、可靠、正常地運行。二、系統構架本礦井信息安全系統由五方面組成，管理組織、物理安全、網絡安全、系統安全、數據安全。三、設計方案1、管理組織為了保證本礦井信息系統的安全，應參考ISO/IEC 27001:2005標準的要求，建立本礦井信息安全管理體系，保證信息安全系統的建設。信息安全管理組織是保證信息安全系統建設的基礎，通過信息安全組織系統的建設，本礦井可以制定信息安全策略，在本礦井建立一套

56、通用的、行之有效的安全機制保證信息安全，在本礦井所有員工中樹立起信息安全責任感，增強信息資產可用性、完整性和保密性，提高全體員工的信息安全意識和信息安全知識水平。信息安全管理組織首先要明確本礦井的管理層對信息安全承擔最終責任，信息安全系統具體管理工作由礦信息中心統一管理方式，其他相關部門/單位配合執行。本礦井各個部門之間必須緊密配合共同進行信息安全系統的維護和建設。本礦井信息系統內的每個重要的資產需要明確所有者、安全責任人、安全維護人員、使用人員。同時本礦井應當積極與政府機構、集團保持必要的聯系，共同協調信息安全相關問題。本礦井信息安全小組每年至少進行一次信息安全風險評估工作，并對安全策略進行復審。信息安全管理者代表每年對風險評估結果和安全策略的修改進行審批。2、物理安全本礦井信息安全系統物理安全是保障整個綜合信息化平臺信息安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。1）設備安全 設備安全主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁