沪东重机三网合一成功案例

　　案 例 简 介

　　对大型制造企业来说，它们的网络则承载了更多功能，一员工考勤、就餐，出于安全和管理目的的监控，产品研发、测试数据的传输，都依赖网络这一介质;由于设备上线较早，有的通常是IP数据传输网络、监控网络、电话语音网络、一卡通网络等应用网络相互重叠，各自为政，这一状况为网络应用系统管理及维护工作带来了一定难度。随着业务和管理水平的发展，许多制造企业的管理者越来越意识到，先进的网络规划不但能够提高信息系统的安全性和稳定性，还能够为企业带来管理和生产效率的提高，真正为公司带来效益。沪东重机的管理层先见性地意识到这个问题，提出了网络整合和改造的计划，并寻找专业IT服务商的帮助。

　　用 户 名 称

　　沪东重机股份有限公司

　　用 户 类 型

　　制造

　　用 户 需 求

　　沪东重机是上海著名的船舶制造企业，已在上海证交所上市，属于重型工业制造企业。在实施整网改造之前，沪东重机建立了物理隔离的内部网络和外部网络，用于满足内部信息传递及Internet访问需要;针对主要办公设施的安防需要，建立了基于模拟传输的监控网络;继承原母公司沪东中华造船厂建设的一卡通系统，用于满足人员考勤及消费需要。虽然原有网络从基本实现了所需功能，但由于历史原因，系统规划的整体性不够强，主要有以下几个方面的不足：

　　1、 网络系统方面：

　　原有网络是经过多次部署扩展建成，因此建设过程中缺乏整体规划及扩展预留，网络结构繁复且层次性较差，不便于统一管理维护;组网设备产品规格性能不统一，端口多样，容易造成整网传输的瓶颈，缺乏网络设备集中管理手段;局域网终端用户均通过单台建立windows路由远程服务的网关服务器完成路由互访，可靠性较差，易受攻击。

　　2、 视频监控系统方面：

　　原有监控系统使用模拟传输方式完成数据采集、编解码，部署范围受线缆传输能力制约，部署不够灵活性，设备不便于集中管理控制。由于厂区地形因素制约，原有监控网络建立两套系统，分别完成不同区域的安防监控。

　　3、 一卡通系统方面：

　　延用了原母公司建设的一卡通系统，由于该系统依托于原母公司内部网络，导致现有网络必须保留相应接口完成与母公司内部网络的互联。同时该系统的管理权归属于母公司，造成系统设备管理、维护、统一数据采集等运维工作的展开比较麻烦。

　　4、 网络安全方面

　　沪东重机对外接口缺乏强有力的防护手段，不能可靠抵御网络入侵、病毒扩散等安全威胁;缺乏完整的内网接入管理机制，对内部接入设备的访问不能进行完全有效的控制，可能会威胁到内部数据安全。

　　由于原有网络先天性缺乏统一的管理和系统规划，导致运行和管理的效率不高，是典型的自下而上的信息系统规划方式。面对高速发展的公司业务，沪东重机的管理层认为原有网络系统已经比较滞后，希望通过建设更加统一先进的网络系统提升其对企业运营的支持能力。

　　技 术 路 线

　　针对沪东重机原始网络的复杂性，脉山龙进行了细致的分析和完善的规划，确定了全面的实施思路：

　　1. 整网内、外网物理隔离;

　　2. 内、外网在连接线路上采取必要的安全措施，配置防火墙、入侵监测、用户接入认证、网管、防病毒、系统补丁等系统;

　　3. 内网采用高性能的交换机组成核心骨干，核心骨干的连接采用双机、双线路连接的方式以提高网络的高速性和可靠性。满足主干千兆双冗余、百兆桌面、部分千兆桌面的需求;

　　4. 设备设计容量满足内部局域网未来800个终端网络接入;

　　5. IP数据传输网络、IP视频监控网络、VOIP网络三网合一，同时完成其他基于TCP/IP传输架构的系统的整合;

　　6. 规划各公司分厂、分支机构及相关供应商提供与公司总部接入;

　　7. 建立坚强的数据安全保障系统、灾难恢复机制;

　　8. 满足7×24不间断运作的要求;

　　9. 建立全新的系统集成、VLAN划分、AD构架、应用系统移植、存储建设、服务器构架。

　　基于上述的实施思路，脉山龙部署了若干个可共享基础通讯资源、独立实现自身功能、便于集中管理的网络子系统：

　　1. 网络传输子系统

　　系统使用业界广泛认同的三级网络结构部署，该结构具有层次结构清晰、易于实现、故障隔离、易于扩展、避免瓶颈现象、支持冗余等优势。

　　先进而简洁的三级网络结构：

　　在设备选型方面，使用业内先进厂商H3C的交换路由设备，结合H3C提出的优势技术，实现千兆/万兆主干、主干设备热备、动态路由转换、终端用户接入认证、VLAN划分、防火墙过滤、主动入侵检测、QOS等先进功能;同时整合IP视频监控系统、VOIP系统，并顺带将原有一卡通系统并入新建网络，完成多网合一，统一管理，大大提高系统资源利用效率，降低网络整体运维成本。

　　2. IP视频监控子系统

　　部署全新的基于TCP/IP传输的视频监控系统，摄像头完成数据采集后，直接交由编码设备转换为IP包借由IP网络完成信号传输，通过网络内的视频控制服务器对视频数据进行集中管理调用，利用网络存储系统完成视频数据的存储归档，利用解码设备和监视器实现视频回放，利用终端软接实现桌面用户的调用查看。

　　3. VOIP子系统

　　部署全新VOIP系统，将传统模拟内部电话系统提升至基于IP网络传输的数字式内部电话系统，通过使用语音控制服务器，实现最大可管理400个数字语音设备，不仅满足目前沪东重机的试点运行需要，同时兼顾未来的拓展考虑。

　　成 果

　　沪东重机各级用户对新建网络均给予了良好的评价，并对脉山龙的整体技术实力和实施人员的专业的服务精神予以高度肯定。

　　作为网络设备制造商的H3C公司也对该项目的实施给了很高的认同，一方面，脉山龙公司在设计和实施方面表现了很强的把握能力，各类设备高度匹配，实施的品质称典范;另一方面，该项目是典型的三合一网络，并采用了H3C的全线网络产品，因此厂家也将之定为样板示范工程。