某科技大学校园网络建设项目技术标投标书Word格式文档下载.docx
《某科技大学校园网络建设项目技术标投标书Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《某科技大学校园网络建设项目技术标投标书Word格式文档下载.docx(18页珍藏版)》请在冰豆网上搜索。
信息与计算科学11级
法人授权代表(盖章或签名):
李优
日期:
2013年5月30日
第二章用户需求分析与任务
2.1用户需求分析
建立校园网络成为信息学院邮科院校区的基础建设工作,它直接关系到学校的教学和科研工作的质量和水平。
校园网络的建设规划需求具有高扩充性和最佳的投资效益并且易于管理为目的。
网络在信息学院教学办公环境中起着至关重要的作用,校园网的运作,校园网的运作模式带来大量动态的WWW应用数据传输,会有相当一部分应用主服务器有高速接入网络的需求(目前为100、1000Mbps,今后可能会更高)。
这就是需求网络有足够的竹竿宽带和扩展能力。
2.2项目要达到的任务
满足计算机教学科研、行政办公需求,提供各种教学、办公工具和支撑平台,提供丰富的计算机软硬件资源。
具有完善的办公事务处理能力,包括电子公文传递、电子公文管、电子邮件、邮件收发等无纸化办公自动化功能。
具有远程通信能力,借助电话网等通信手段,以最低的通信成本,方便的实现远程互联,加强各单位之间的业务联系和信息资源共享。
可以通过有线、无线等多种方式实现网络接入,网络出口处直接连接数据库,学校网络系统确保整个计算机网络系统的可靠性、安全性,容错能力强,确保信息处理安全保密,最好还可以实现通信的零资费。
第三章综合布线系统设计与拓扑图
3.1校园网设计的基本原则
校园网建设是一项大型网络工程,各个学校需要根据自身的实际情况来制定网络设计原则。
该学校网络需要具有包括图书信息、学校行政办公等综合业务信息管理系统,为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。
校园网覆盖整个学校校园,网络设计一般应遵循下列5个基本原则:
可靠性和高性能
网络必须是可靠的,包括网络物理级的可靠性,如服务器、风扇、电源、线路等;
以及网络逻辑级的可靠性,如交换的汇聚、核心,链路冗余。
网络必须具有足够高的性能,满足业务的需要。
3.2实用性和经济性
由于学校资金并不是很充足,不可能一步到位。
另一方面,学校的应用水平参差不齐,某些系统即使安装了也利用不起来,因此,在校园网的建设过程中,系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则。
3.3可扩展性和可升级性
系统要有可扩展性和可升级性,随着学院不断的扩招,业务的增长和应用水平的提高,网络中的数据和信息流将按指数级增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
设备应选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
3.4易管理、易维护
由于校园骨干网络系统规模庞大,应用丰富而复杂,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。
同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。
3.5安全性、保密性
网络系统应具有良好的安全性。
由于校园骨干网络为多个用户内部网提供互联并支持多种业务,要求不仅能进行灵活有效的安全控制,同时还应支持虚拟专网,以提供多层次的安全选择。
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。
3.6灵活性、综合性
通过采用结构化、模块化的设计形式,满足系统及用户各种不同的需求,适应不断变革中的要求。
以满足系统与功能为目标,保证总体方案的设计合理,满足用户的需求,同时便于系统使用过程中的维护,以及今后系统的二次开发与移植。
3.7模块化、层次化的设计原则
所谓模块化就是将把整个网络按功能和安全需求分为若干个组件,这些组件之间有一定的安全边界,组件内部有完整的网络设计。
(1)解决解决各网络之间的冲突问题
(2)简化安装和后台设备管理
(3)易于故障检测和分离问题
(4)易于执行不同类型的服务和安全方针
(5)易于扩展和/或代替原来的技术
第四章技术与服务
4.1主要网络技术
目前,主要流行四种高速网络技术:
快速以太网100BASE-T、异步传输(ATM)、光纤分布数据接口(FDDI)、100VG-AnyLan。
在校园主干网主中应用最多的是千兆以太网和ATM。
千兆以太网是快速以太网的一种,千兆以太网依然遵循802.3以太网协议,包括帧格式、媒体控制技术(MAC)、全双工技术和流量控制技术,但数据速率达到1000Mbit/s,比快速以太网提高了10倍。
今天,局域网中最普遍采用的技术是以太网技术。
据国际数据公司(IDC)的分析家分析,截至1997年底,所有已安装的网络85%都是以太网,其中有1.18亿台PC、工作站和服务器互联。
在所有重要的高速局域网技术中,交换型千兆以太网具有最优的性价比。
单位数据速率下千兆以太网与交换型FDDI、155Mbit/sATM、622Mbit/sATM、快速以太网的价格。
千兆以太网之所以受欢迎,是因为它集价格低廉、连网简单、可扩容和管理简便等优势于一身。
ATM技术最初是由电话业务发展起来的,可提供155M~622Mbit/s的速率,2.4Gbit/s的速率很快也会应用。
ATM是为大型可伸缩的和可恢复的骨干网而设计的,其主要功能之一是可在LAN和WAN中将电话、数据、话音和视频传输集成在一起。
但是,ATM现在的通用标准还未完全确定,ATM的网络解决方案还只能由各网络设备商提供,各网络设备商之间还不能完全兼容。
投入多少资金是评价任一新的网络技术的重要因素,这不仅包括购买设备的价钱,还需考虑网络管理、应用维护、人员培训、设备维修及故障监测等多方面的费用。
如果采用像以太网这类人们熟知的技术,人员的开支在减少,网络管理者不必对现有的网络维护人员重新进行配置和培训,也不必更换现有的网络分析和管理工具。
但越来越多的协议和技术会增加网络的复杂度,因此采用基于以太网解决方案要比采用FDDI或ATM更为简单。
同时,相对简单的网络也相应能降低投资成本。
布线和传输距离:
基于多模光纤的千兆传输距离不小于550米,基于5类非屏蔽双绞线的千兆传输距离不小于100米,在单模光纤上的传输距离现已达到50,000米,显然,这个距离对于园区建筑物之间的互连环境已经足够了,但是对于城域网和广域网,它仍然显得无能为力。
ATM的发展目标就是要建立这样一个广域信息传输系统。
它不受任何物理结构的限制,也和所传输的数字数据类型无关。
就是说,ATM可以用于在世界上最大的广域网络中传输任何形式的数字数据信息。
升级的可行性和可用性:
只需将传统以太局域网的主干设备加插千兆以太网适配模块,在新的网络主干之间形成千兆链路,或是增加千兆以太网多层交换机,而将原先的网络主干结构移向下级应用即可,为园区局域网升级提代了较为合理的解决方案利用ETHERCHANNAL技术提供了一个主干带宽平滑升级和主干链路冗余备份的办法。
在传统以太局域网所提出的ATM技术升级解决方案中,均采用ATM交换机形成网络主干,这样做难以保护用户已有的投资和技术。
ATM局域网升级的投资要比升兆以太网升级的投资高得多此外,用户在进行ATM网络升级时,为了保证网络的可靠性和高效率,也就不得不选用同一厂商的网络产品。
可直接由以太网升级而来,也可直接升级为千兆以太网,利用THERCHANNAL技术提供了一个主干带宽平滑升级和主干链路冗余备份的办法。
服务质量:
千兆以太网和传统的以太网技术一样是基于争用媒质的网络技术,但通过利用目前出现的一些协议,如IEEE802.1P/Q,再加上多层智能交换技术和RSVP可以提供网络服务满意的质量保证。
在ATM端到端的环境中,具有严格和细致的服务质量保证能力,实现价格昂贵,目前的ATM网络几乎都没有利用到它的服务质量能力。
千兆以太网技术结合第三层智能交换技术能够轻松满足园区网络主干的带宽、可扩展性和服务质量等严格要求,并能无缝连接快速以太网和以太网网络,是目前园区主干技术中性价比最好的高速网络解决方案,广域网的互连一直是ATM的主要应用,但作为园区网络主干,ATM不能无缝连接快速以太网和以太网网络,那么ATM的许多重要特性和优势就不能得到应用,实际上这就降低了ATM技术的价值。
例如,除非是在端到端的ATM连接中,一般不能充分利用ATM的服务质量能力;
所以在千兆以太网技术出现之后,把ATM应用于园区网络主干时一定要慎重。
所以只有在网络建设过程中切实考虑本网络的特定需求,综合利用千兆以太网技术、ATM快速以太网技术,才能提供比较完美的网络解决方案,将用户带入畅通的高速网络世界。
4.2三层交换技术
按照OSI/RM分层体系结构将低三层归为通信子网,主要完成信息的交换和路由功能。
由于物理层只是负责信息的收发,是直接负责两点间信号的传递工作,不存在路由寻址问题,因而寻址主要在数据链路层和网络层之间进行。
其中,数据链路层使用的是物理地址,可通过相应软件人工配置。
以太网采用的是广播寻址方式,因而不需要网络层。
但以太网采用CSMA/CD方式竞争信道,一旦同一网上机器数量多,便会使利用率明显下降,于是就提出了广播域和碰撞域的概念。
为了解决碰撞问题,人们设计了桥(Bridge)和集线器(Hub)(分别用于总线型网和星型网)来分割网段,希望通过减小广播域来达到减小碰撞域的目的。
然而桥和集线器的通讯方式是共享信道,依然无法解决不同节点对之间的碰撞问题。
因此人们又设计了交换式集线器(SwitchHub),通过Cache映射端口和MAC地址,为了扩展SwitchHub的连接能力,将一个端口与多个MAC地址对应,并在此基础上提出了虚拟局域网(VLAN)的概念。
VLAN缩小了广播域,且增强了安全性,但不同局域网间的信息交互必须通过网络层解决,因此传统的做法就是在不同的VLAN间添加路由器。
以每两个VLAN间用一条路由来计算,N个VLAN之间全交换就需要2N-1条路由来实现全连接,当N很大时,对路由器的性能要求很高,于是便形成了小交换机边上配大路由器的局面。
同时因为路由器是采用存储转发方法,只能依靠软件实现,其时间级为毫秒,而交换式集线器只需查MAC地址,就可将数据帧转发,采用直通(Cut-through)方式实现,可以由硬件直接完成,其时间级是纳秒。
所以路由器便成为当今高速网络交换的瓶颈。
为了解决这个问题,人们又提出了第三层交换的思想和方法。
为了能够用硬件实现数据转发的目标,必须对第三层的功能和结构进行细化。
一种较为流行的细化方式是将传统的第三层分为路由选择和交换。
第三层路由选择的处理是基于CPU的密集计算和费时的工作,它处理除了数据传送数据外路由选择和地址处理的每个方面,主要输出是一个简单的转发数据库,该数据库用于实际数据传输。
这个功能与传统的路由功能十分接近,仅仅减少了分组转发的功能模块。
分组转发的功能模块被嵌入到第三层交换中,它处理实现实际的数据传输,在传输的工程中使用路由选择所提供的转发表。
从理论上,任何一种协议都可以实现第三层交换,但实际中往往考虑那些使用较为频繁的协议数据类型,这样既便于开发设计硬件,又容易降低成本。
4.3网络连接介质
连接介质中最关键的是从主交换机到二级交换机的连接,即网络的主干。
一般说来主要根据网络中心机房到二级交换机的物理距离来决定主干采用何种连接介质。
如果这个距离大于100m,必须使用光缆,2km以内用多模光纤,大于2km就要采用单模光纤。
如果距离小于100m,则可以采用千兆铜缆技术。
二级交换机以下的支干线路,因为地域上相距不会太远,从整体性能上来看也没有必要使用千兆连接,一般都使用超五类UTP的百兆连接,即百兆连接到桌面。
4.4校园网与外部的连接
校园网与外部的连接,实际上是用网络连接技术将局域网与广域网连接起来。
广域网实际上就是由许许多多的局域网互联起来的。
许多不同种类,不同架构,不同规模,不同地域的校园网连接起来,可以互通信息,共享网络资源,成为区域性的教科网,城域网的组成部分,从而构成一个网络体系。
另外,也可以将校园网与Internet连接起来,方便教师与学生的日常使用。
4.5校园内的无线网络接入
侧重实际应用,覆盖校园内大部分区域,为教学和学习生活提供切实可用的无线网络环境;
特别是学生宿舍这类没有有线网络资源或有线资源不充足的区域。
保证网络访问的安全性;
采用AC+FITAP模式建网,便于管理和扩展。
覆盖范围要求:
I.有线网络无法接入的室外场所:
校园内一些场所很难实现网络有线接入,采用无线方式可以实现覆盖大范围室外空间的无线网络接入。
主要包括各宿舍及教学楼附近空地等。
II.有线网络使用不便或受限的室内空间:
校园内一些室内场所空间较大,会产生许多人同时接入网络的需求,采用有线的方式只能提供少量接口,不能满足要求。
用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。
主要包括图书馆、主楼、各教学楼等;
认证、计费和管理要求
要与现有的计费系统对接,实现针对用户计费、管理、控制功能;
校园无线网网络结构要求:
运营商承建的无线接入网络要与原校方的有线网络物理独立,无线设备通过自己的汇聚设备进行接入。
在汇聚层与原校方网络进行连接。
这样便于管理运维,明确责任。
产品能力要求要求:
I.产品支持AES、WEP加密等安全标准;
II.漫游切换;
III.支撑QOS能力
无线网络拓扑图如下图所示:
对于中小型规模的校园网络,建议AC侧挂在局端BRAS,采用大容量的AC设备(如H3C的S75E+AC插卡或WX6103)。
这样集中的AC设备可以同时管理多个学校的AP设备。
对于网络规模较大(AP数量在1K以上)的校园无线网络,建议AC设备直接部署在校内,侧挂在校园内的汇聚交换机即可。
无线接入网单独建设,与原校方网络仅在汇聚层连接。
即使覆盖教学区的AP设备,也通过运营商的接入交换机直接连接到汇聚交换机上,而不是通过原校方的接入交换机接入。
因此,无线接入网络与原校方网络物理上是完全独立的,这样便于运营商统一进行IP地址和VLAN的规划管理,便于运行维护。
对于Internet和校园网两大业务,采用两个SSID进行接入。
其中Internet业务采用集中转发,业务数据流通过无线隧道连接到AC上;
而校园网业务采用本地转发模式,业务数据流在AP连到接入交换机上就转为以太网标准报文格式,可以直接L2转发,通过汇聚交换机接入原校园网,不需要在连接到AC上,避免了数据流的迂回。
当然,所有无线管理信令的流量都必须到AC上进行处理。
校方无线接入认证点设备是在用户通过无线访问校内资源(或教育网)时做认证时的认证网关。
对于大部分学校而言,其原有线网访问教育网时通常已部署有认证网关,可以直接利用。
对于访问校园内网资源的用户,是否需要认证计费,或者只认证不计费完全取决与校方。
4.6业务流程说明
Internet业务流程如下图所示):
用户首先通过Intenet业务的SSID接入无线网络
客户端发起PPPOE认证请求
PPPOE认证请求在AP上封装进无线隧道,隧道数据流不带TAG上传到接入交换机
接入交换机为无线隧道数据流标记VLAN(实际上就是无线管理VLAN)并L2上传
BRASL3转发数据流到AC
AC将用户数据流出隧道后,标记用户业务VLAN,并L2透传到BRAS
BRAS对用户进行PPPOE认证过程
认证通过后用户业务数据流同样在无线隧道内传输,由AC出隧道后转发到BRAS,BRASL3转发到Internet。
校园网业务流程如下图所示(以Portal认证为例):
用户首先通过校园网业务的SSID接入无线网络
客户端发起DHCP请求
DHCP认证请求在AP上直接标记VLAN,带TAG上传到接入交换机
接入交换机与汇聚交换机L2转发DHCP请求到校园网中
校园网对用户分配IP地址,网关指向校园网络认证网关
用户访问校园网络,触发portal认证
认证通过后用户可以访问校园网资源
要注意的是,Internet业务与校园网业务采用不同SSID,因此在应用中用户无法同时访问校内资源和Internet资源。
第五章网络管理
5.1故障管理
故障管理是定位和解决网络问题和故障的过程,它涉及以下步骤:
发现故障,确定故障所在,解决故障(如果可能)使用故障管理技术,网络管理人员就可以更快地定位和解决故障。
事实上,这种工具软件在用户报告故障之前,就可以定位和解决故障。
5.2配置管理
网络设备的配置控制数据网络的行为,网络配置是发现和设置这些现有设备的过程。
配置管理工具软件可以提供所有网桥的目录,显示出目前每个网桥的软件版本,你就可以容易地确定哪个网桥需要新的软件升级。
5.3性能管理
性能涉及了了测量网络硬件、软件、和媒体的性能。
例如,测量活动可能包括利用率、误码率、响应时间等。
利用性能管理信息,管理人员可以确定网络是否具有满足用户需要的能力。
5.4安全管理
安全管理是对网络中获得信息的过程进行控制。
一些由计算机存储的进入网络中的信息可能不适合于每个用户观察,这类敏感的信息包括:
如有关公司内部的一些机密文件,象新产品的开发信息和客户名单等等。
安全管理将是提供对终端服务器上进入点的监控,并且记录正在操作的人员地址。
安全管理还可以提供报警信号提醒管理员潜在的安全问题。
5.5记账管理
计帐管理涉及了跟踪每个或一组用户使用网络资源的情况,它也涉及了注册或取消进入网络的资格。
利用网络计费管理工具软件,可以迅速了解每个用户使用网络的情况。
网络管理平台的基本功能是使得网络管理员完成所有的网络管理任务,即网络管理员通过平台可以查询网络中所有设备的信息,进而用各种方式使用这些数据。
第六章网络安全
如同需要用锁来保证有形的财产的安全一样,计算机和数据网也需要一种保护信息安全的防犯物。
在一个互连网络中,安全性既重要又困难。
说它重要,是因为信息具有显著的价值——信息可以被直接买卖,也可以通过间接地使用信息创造出可获得高利润的新的产品或服务。
说它困难,是因为安全性意味着既要了解正参加合作的用户、计算机、服务和网络在何时相互依赖以及如何相互依赖,还要了解网络硬件和协议的技术细节。
从广义上讲,术语“网络安全性”和“信息安全性”是指能够确保网络上的信息和服务不被非授权的用户所使用。
安全性意味着:
数据的完整性,防止对计算机资源的非授权地随意访问,防止随意地窃听或偷窥以及随便地打断服务。
当然,如同不能保证物理财产针对犯罪来说的绝对安全,也没有网络的绝对安全。
由于信息的飘忽不定和难以捕捉,保护像信息这样的资源一般比提供物理的安全性更加困难。
数据完整性(即保护信息不被非授权的改变)是关键;
数据可用性(即保证外来者不能通过使网络业务流饱和来阻止对数据的合法访问)也是个关键。
因为信息在通过网络时可以被复制,必须防止数据被非授权的监听。
也就是,网络安全性也必须包括保护隐私。
西安科技大学网络建设方案设计原则是:
整个大学网络必须是一个严密的安全保密体系。
采取的安全措施不能影响整个网络运行效率。
保密设备要做到管理方便,完善可靠。
加密系统具有良好的网络兼容性和可扩展性,实现防窃取、防篡改、防破坏三大功能。
按照国家主管部门对政府办公网络安全保密性的相应法规和规定,要保障系统内部信息的安全,我们主要应该做到处理秘密级、机密级信息的系统与不涉及保密信息的系统实行物理隔离,秘密级、机密级信息在网络上采取加密传输。
第七章部署防火墙
防火墙是设置在内部网络与Internet之间的一个或一组系统,用以实施两个网络间的访问控制和安全策略。
狭义上防火墙指安装了防火墙软件的主机或/和路由系统;
广义上还包括整个网络的安全策略和安全行为。
防火墙技术属于被动防卫型,它通过在网络边界上建立一个网络通信监控系统来保护内部网络安全的目的,其功能是按照设定的条件对通过的信息进行检查和过滤。
防火墙是实施组织的网络安全策略、保护内部信息的第一道屏障,其作用主要有:
保护功能拒绝非授权访问、保护网络系统和私人及敏感信息不受侵害。
连接功能作为内部网络与Internet之间的单一连接点。
管理功能实施统一的安全策略,检查网络使用情况,进行流量控制等。
防火墙有三个属性:
所有进出内部网的数据包必须经过它;
仅被本地安全策略所授权的数据包才能通过它;
防火墙本身对攻击必须具有免疫能力。
在内部网络和外网之间之间通过防火墙,建立起一个DMZ区。
与外网关联业务的服务器都可以放在DMZ区,Internet上的用户只能到达DMZ区相应的服务器。
并且内部网络到Internet的连接,是通过NA地址翻译的方式进行,可以充分隐藏和保护内部网络和DMZ区设备。
防火墙在内外网络连接中起两个作用:
(1)利用访问控制列表(AccessControlList,ACL)实安全防护防火墙操作系统IOS通过访问控制列表(ACL)技术支持包过滤防火墙技术,根据事先确定的安全策略建立相应的访问列表,可以对数据包、路由信息包进行拦截与控制,可以根据源目的地址、协议类型、TCP端口号进行控制。
这样,我们就可以在Extranet上建立第一道安全防护墙,屏蔽对内部网Intranet的非法访问。
(2)利用地址转换(NetworkAddressTranslation,NAT)实现安全保护防火墙另外一个强大功能就是内外地址转换。
进行IP地址转换由两个好处:
其一是隐藏内部网络真正的IP地址,这可以使黑客(h
升级会员 