某科技大学校园网络建设项目技术标投标书Word格式文档下载.docx

1、信息与计算科学11级法人授权代表（盖章或签名）： 李优日期: 2013 年 5 月 30 日第二章用户需求分析与任务21用户需求分析建立校园网络成为信息学院邮科院校区的基础建设工作，它直接关系到学校的教学和科研工作的质量和水平。校园网络的建设规划需求具有高扩充性和最佳的投资效益并且易于管理为目的。网络在信息学院教学办公环境中起着至关重要的作用，校园网的运作，校园网的运作模式带来大量动态的WWW应用数据传输，会有相当一部分应用主服务器有高速接入网络的需求（目前为100、1000Mbps，今后可能会更高）。这就是需求网络有足够的竹竿宽带和扩展能力。2.2项目要达到的任务满足计算机教学科研、行政办公

2、需求，提供各种教学、办公工具和支撑平台，提供丰富的计算机软硬件资源。具有完善的办公事务处理能力，包括电子公文传递、电子公文管、电子邮件、邮件收发等无纸化办公自动化功能。具有远程通信能力，借助电话网等通信手段，以最低的通信成本，方便的实现远程互联，加强各单位之间的业务联系和信息资源共享。可以通过有线、无线等多种方式实现网络接入，网络出口处直接连接数据库，学校网络系统确保整个计算机网络系统的可靠性、安全性，容错能力强，确保信息处理安全保密，最好还可以实现通信的零资费。第三章 综合布线系统设计与拓扑图31校园网设计的基本原则校园网建设是一项大型网络工程，各个学校需要根据自身的实际情况来制定网络设计原

3、则。该学校网络需要具有包括图书信息、学校行政办公等综合业务信息管理系统，为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校校园，网络设计一般应遵循下列5个基本原则：可靠性和高性能网络必须是可靠的，包括网络物理级的可靠性，如服务器、风扇、电源、线路等；以及网络逻辑级的可靠性，如交换的汇聚、核心，链路冗余。网络必须具有足够高的性能，满足业务的需要。3.2 实用性和经济性由于学校资金并不是很充足，不可能一步到位。另一方面，学校的应用水平参差不齐，某些系统即使安装了也利用不起来，因此，在校园网的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实

4、用、经济的原则。3.3 可扩展性和可升级性系统要有可扩展性和可升级性，随着学院不断的扩招，业务的增长和应用水平的提高，网络中的数据和信息流将按指数级增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。3.4 易管理、易维护由于校园骨干网络系统规模庞大，应用丰富而复杂，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。3.5 安全性、保密性网络系统应具有良好的安全性。由于

5、校园骨干网络为多个用户内部网提供互联并支持多种业务，要求不仅能进行灵活有效的安全控制，同时还应支持虚拟专网，以提供多层次的安全选择。在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。3.6 灵活性、综合性通过采用结构化、模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求。以满足系统与功能为目标，保证总体方案的设计合理，满足用户的需求，同时便于系统使用过程中的维护，以及今后系统的二次开发与移植。3.7 模块化、层次化的设计原则所谓模块化就是将把整个网络按功能

6、和安全需求分为若干个组件，这些组件之间有一定的安全边界，组件内部有完整的网络设计。（1）解决解决各网络之间的冲突问题（2）简化安装和后台设备管理（3）易于故障检测和分离问题（4）易于执行不同类型的服务和安全方针（5）易于扩展和/或代替原来的技术第四章 技术与服务4.1主要网络技术目前，主要流行四种高速网络技术：快速以太网 100BASE-T 、异步传输（ A TM ）、光纤分布数据接口（ FDDI ）、 100VG-AnyLan 。在校园主干网主中应用最多的是千兆以太网和 ATM 。千兆以太网是快速以太网的一种，千兆以太网依然遵循 802.3 以太网协议，包括帧格式、媒体控制技术（ MAC ）

7、、全双工技术和流量控制技术，但数据速率 达到 1000Mbit/s ，比快速以太网提高了 10 倍。今天，局域网中最普遍采用的技 术是以太网技术。据国际数据公司（ IDC ）的分析家分析，截至 1997 年底，所有 已安装的网络 85% 都是以太网，其中有 1.18 亿台 PC 、工作站和服务器互联。在所有重要的高速局域网技术中，交换型千兆以太网具有最优的性价比。单位数据速率下千兆以太网与交换型 FDDI 、 155Mbit/s A TM 、 622Mbit/s ATM 、快速以太网的价格。千兆以太网之所以受欢迎，是因为它集价格低廉、连网简单 、可扩容和管理简便等优势于一身。ATM技术最初是由

8、电话业务发展起来的，可提供 155M622Mbit/s 的速率，2.4Gbit/s 的速率很快也会应用。 ATM 是为大型可伸缩的和可恢复的骨干网而设计的，其主要功能之一是可在 LAN 和 WAN 中将电话、数据、话音和视频传输集 成在一起。但是， ATM 现在的通用标准还未完全确定， ATM 的网络解决方案还只能由各网络设备商提供，各网络设备商之间还不能完全兼容。投入多少资金是评价任一新的网络技术的重要因素，这不仅包括购买设备 的价钱，还需考虑网络管理、应用维护、人员培训、设备维修及故障监测等多方 面的费用。如果采用像以太网这类人们熟知的技术，人员的开支在减少，网络管 理者不必对现有的网络维

9、护人员重新进行配置和培训，也不必更换现有的网络分 析和管理工具。但越来越多的协议和技术会增加网络的复杂度，因此采用基于以 太网解决方案要比采用 FDDI 或 ATM 更为简单。同时，相对简单的网络也相应能降低投资成本。布线和传输距离：基于多模光纤的千兆传输距离不小于 550 米，基于5类 非屏蔽双绞线的千兆传输距离不小于100米，在单模光纤上的传输距离现已达到50,000 米，显然，这个距离对于园区建筑物之间的互连环境已经足够了，但是对于城域网和广域网，它仍然显得无能为力。 ATM 的发展目标就是要建立这样一个广域信息传输系统。它不受任何物理结构的限制，也和所传输的数字数据 类型无关。就是说，

10、ATM 可以用于在世界上最大的广域网络中传输任何形式的数字数据信息。升级的可行性和可用性：只需将传统以太局域网的主干设备加插千兆以太网适配模块，在新的网络主干之间形成千兆链路，或是增加千兆以太网多层交换机 ，而将原先的网络主干结构移向下级应用即可，为园区局域网升级提代了较为合理的解决方案利用 ETHERCHANNAL 技术提供了一个主干带宽平滑升级和主干链路冗余备份的办法。 在传统以太局域网所提出的 ATM 技术升级解决方案中，均采用ATM交换机形成网络主干，这样做难以保护用户已有的投资和技术。 ATM 局域网升级的投资要比升兆以太网升级的投资高得多此外，用户在进行 ATM 网络升级时，为了保

11、证网络的可靠性和高效率，也就不得不选用同一厂商的网络产品。 可直接由以太网升级而来,也可直接升级为千兆以太网,利用 THERCHANNAL 技术 提供了一个主干带宽平滑升级和主干链路冗余备份的办法。服务质量：千兆以太网和传统的以太网技术一样是基于争用媒质的网络技术，但通过利用目前出现的一些协议，如 IEEE802.1P/Q ，再加上多层智能交换技术和 RSVP 可以提供网络服务满意的质量保证。 在 ATM 端到端的环境中，具 有严格和细致的服务质量保证能力，实现价格昂贵，目前的 ATM 网络几乎都没有 利用到它的服务质量能力。千兆以太网技术结合第三层智能交换技术能够轻松满足园区网络主干的带宽、

12、可扩展性和服务质量等严格要求，并能无缝连接快速以太网和以太网网络，是目前园区主干技术中性价比最好的高速网络解决方案，广域网的互连一直是ATM 的主要应用，但作为园区网络主干， ATM 不能无缝连接快速以太网和以太网网络，那么 ATM 的许多重要特性和优势就不能得到应用，实际上这就降低了 AT M技术的价值。例如，除非是在端到端的 ATM 连接中，一般不能充分利用 ATM 的 服务质量能力；所以在千兆以太网技术出现之后，把 ATM 应用于园区网络主干时 一定要慎重。所以 只有在网络建设过程中切实考虑本网络的特定需求，综合利用 千兆以太网技术、 ATM 快速以太网技术，才能提供比较完美的网络解决方

13、案，将 用户带入畅通的高速网络世界。4.2 三层交换技术按照 OSI/RM 分层体系结构将低三层归为通信子网，主要完成信息的交换和路由功能。由于物理层只是负责信息的收发，是直接负责两点间信号的传递工 作 ，不存在路由寻址问题，因而寻址主要在数据链路层和网络层之间进行。其中， 数据链路层使用的是物理地址，可通过相应软件人工配置。以太网采用的是广播 寻址方式，因而不需要网络层。但以太网采用 CSMA/CD 方式竞争信道，一旦同一 网上机器数量多，便会使利用率明显下降，于是就提出了广播域和碰撞域的概念。为了解决碰撞问题，人们设计了桥（ Bridge ）和集线器（ Hub ）（分别用于总线 型网 和星

14、型网）来分割网段，希望通过减小广播域来达到减小碰撞域的目的。然 而桥和集线器的通讯方式是共享信道，依然无法解决不同节点对之间的碰撞问题。因此人们又设计了交换式集线器（ Switch Hub ），通过 Cache 映射端口和 MAC 地址，为了扩展 Switch Hub 的连接能力，将一个端口与多个 MAC 地址对应，并在此基础上提出了虚拟局域网（ VLAN ）的概念。 VLAN 缩小了广播域，且增强了安全性，但不同局域网间的信息交互必须通过网络层解决，因此传统的做法就是 在不同的 VLAN 间添加路由器。以每两个 VLAN 间用一条路由来计算， N 个 VLAN 之间全交换就需要 2N-1 条

15、路由来实现全连接，当 N 很大时，对路由器的性能要求很高，于是便形成了小交换机边上配大路由器的局面。同时因为路由器是采用存储转发方法，只能依靠软件实现，其时间级为毫秒，而交换式集线器只需查MAC地址，就可将数据帧转发，采用直通（ Cut-through ）方式实现，可以由硬件直接完成，其时间级是纳秒。所以路由器便成为当今高速网络交换的瓶颈。为了解决这个问题，人们又提出了第三层交换的思想和方法。为了能够用硬件实现数据转发的目标，必须对第三层的功能和结构进行细化。一种较为流行的细化方式是将传统的第三层分为路由选择和交换。第三层路由选择的处理是基于 CPU 的密集计算和费时的工作，它处理除了数据传送

16、数据外路由选择和地址处理的每个方面，主要输出是一个简单的转发数据库，该数据库用于实际数据传输。这个功能与传统的路由功能十分接近，仅仅减少了分组转发的功能模块。分组转发的功能模块被嵌入到第三层交换中，它处理实现实际 的数据传输，在传输的工程中使用路由选择所提供的转发表。从理论上，任何一种协议都可以实现第三层交换，但实际中往往考虑那些使用较为频繁的协议数据 类型，这样既便于开发设计硬件，又容易降低成本。4.3网络连接介质连接介质中最关键的是从主交换机到二级交换机的连接，即网络的主干。 一般说来主要根据网络中心机房到二级交换机的物理距离来决定主干采用何种连接介质。如果这个距离大于 100m ，必须使

17、用光缆， 2km 以内用多模光纤，大于 2km就要采用单模光纤。如果距离小于 100m ，则可以采用千兆铜缆技术。二级交换机以下的支干线路，因为地域上相距不会太远，从整体性能上来 看也没有必要使用千兆连接，一般都使用超五类 UTP 的百兆连接，即百兆连接到桌面。4.4 校园网与外部的连接校园网与外部的连接，实际上是用网络连接技术将局域网与广域网连接起来。广域网实际上就是由许许多多的局域网互联起来的。许多不同种类，不同 架构，不同规模，不同地域的校园网连接起来，可以互通信息，共享网络资源， 成为区域性的教科网，城域网的组成部分，从而构成一个网络体系。另外，也可以将校园网与 Internet 连接

18、起来，方便教师与学生的日常使用。4.5校园内的无线网络接入侧重实际应用，覆盖校园内大部分区域，为教学和学习生活提供切实可用的无线网络环境；特别是学生宿舍这类没有有线网络资源或有线资源不充足的区域。保证网络访问的安全性；采用AC+FIT AP模式建网，便于管理和扩展。覆盖范围要求：I. 有线网络无法接入的室外场所：校园内一些场所很难实现网络有线接入，采用无线方式可以实现覆盖大范围室外空间的无线网络接入。主要包括各宿舍及教学楼附近空地等。II. 有线网络使用不便或受限的室内空间：校园内一些室内场所空间较大，会产生许多人同时接入网络的需求，采用有线的方式只能提供少量接口，不能满足要求。用无线网络覆盖

19、来解决相当数量的移动设备同时访问网络的问题。主要包括图书馆、主楼、各教学楼等；认证、计费和管理要求要与现有的计费系统对接，实现针对用户计费、管理、控制功能；校园无线网网络结构要求：运营商承建的无线接入网络要与原校方的有线网络物理独立，无线设备通过自己的汇聚设备进行接入。在汇聚层与原校方网络进行连接。这样便于管理运维，明确责任。产品能力要求要求：I. 产品支持AES、WEP加密等安全标准；II. 漫游切换；III.支撑QOS能力无线网络拓扑图如下图所示：对于中小型规模的校园网络，建议AC侧挂在局端BRAS，采用大容量的AC设备（如H3C的S75E+AC插卡或WX6103）。这样集中的AC设备可以

20、同时管理多个学校的AP设备。对于网络规模较大（AP数量在1K以上）的校园无线网络，建议AC设备直接部署在校内，侧挂在校园内的汇聚交换机即可。无线接入网单独建设，与原校方网络仅在汇聚层连接。即使覆盖教学区的AP设备，也通过运营商的接入交换机直接连接到汇聚交换机上，而不是通过原校方的接入交换机接入。因此，无线接入网络与原校方网络物理上是完全独立的，这样便于运营商统一进行IP地址和VLAN的规划管理，便于运行维护。对于Internet和校园网两大业务，采用两个SSID进行接入。其中Internet业务采用集中转发，业务数据流通过无线隧道连接到AC上；而校园网业务采用本地转发模式，业务数据流在AP连到

21、接入交换机上就转为以太网标准报文格式，可以直接L2转发，通过汇聚交换机接入原校园网，不需要在连接到AC上，避免了数据流的迂回。当然，所有无线管理信令的流量都必须到AC上进行处理。校方无线接入认证点设备是在用户通过无线访问校内资源（或教育网）时做认证时的认证网关。对于大部分学校而言，其原有线网访问教育网时通常已部署有认证网关，可以直接利用。对于访问校园内网资源的用户，是否需要认证计费，或者只认证不计费完全取决与校方。4.6 业务流程说明Internet业务流程如下图所示）：用户首先通过Intenet业务的SSID接入无线网络 客户端发起PPPOE认证请求PPPOE认证请求在AP上封装进无线隧道，

22、隧道数据流不带TAG上传到接入交换机接入交换机为无线隧道数据流标记VLAN（实际上就是无线管理VLAN）并L2上传BRAS L3转发数据流到ACAC将用户数据流出隧道后，标记用户业务VLAN，并L2透传到BRASBRAS对用户进行PPPOE认证过程认证通过后用户业务数据流同样在无线隧道内传输，由AC出隧道后转发到BRAS，BRAS L3转发到Internet。校园网业务流程如下图所示（以Portal认证为例）：用户首先通过校园网业务的SSID接入无线网络客户端发起DHCP请求DHCP认证请求在AP上直接标记VLAN，带TAG上传到接入交换机接入交换机与汇聚交换机L2转发DHCP请求到校园网中校

23、园网对用户分配IP地址，网关指向校园网络认证网关用户访问校园网络，触发portal认证认证通过后用户可以访问校园网资源要注意的是， Internet业务与校园网业务采用不同SSID，因此在应用中用户无法同时访问校内资源和Internet资源。第五章 网络管理5.1故障管理故障管理是定位和解决网络问题和故障的过程，它涉及以下步骤：发现故障，确定故障所在 ， 解决故障（如果可能）使用故障管理技术，网络管理人员就可以更快地定位和解决故障。事实上，这种工具软件在用户报告故障之前，就可以定位和解决故障。5.2配置管理网络设备的配置控制数据网络的行为，网络配置是发现和设置这些现有设备的过程。配置管理工具软

24、件可以提供所有网桥的目录，显示出目前每个网桥的软件 版本，你就可以容易地确定哪个网桥需要新的软件升级。5.3性能管理性能涉及了了测量网络硬件、软件、和媒体的性能。例如，测量活动可能 包括利用率、误码率、响应时间等。利用性能管理信息，管理人员可以确定网络 是否具有满足用户需要的能力。5.4安全管理安全管理是对网络中获得信息的过程进行控制。一些由计算机存储的进入网络中的信息可能不适合于每个用户观察，这类敏感的信息包括：如有关公司内 部的一些机密文件，象新产品的开发信息和客户名单等等。安全管理将是提供对终端服务器上进入点的监控，并且记录正在操作的人员地址。安全管理还可以提供报警信号提醒管理员潜在的安

25、全问题。5.5记账管理 计帐管理涉及了跟踪每个或一组用户使用网络资源的情况，它也涉及了注 册或取消进入网络的资格。利用网络计费管理工具软件，可以迅速了解每个用户 使用网络的情况。网络管理平台的基本功能是使得网络管理员完成所有的网络管理任务，即网络管理员通过平台可以查询网络中所有设备的信息，进而用各种方式使用这些数据。第六章 网络安全如同需要用锁来保证有形的财产的安全一样，计算机和数据网也需要一种 保护信息安全的防犯物。在一个互连网络中，安全性既重要又困难。说它重要， 是因为信息具有显著的价值 信息可以被直接买卖，也可以通过间接地使用信 息创造出可获得高利润的新的产品或服务。说它困难，是因为安全

26、性意味着既要了解正参加合作的用户、计算机、服务和网络在何时相互依赖以及如何相互依赖，还要了解网络硬件和协议的技术细节。从广义上讲，术语 “ 网络安全性 ” 和 “ 信息安全性 ” 是指能够确保网络上 的信息和服务不被非授权的用户所使用。安全性意味着：数据的完整性，防止对计算机资源的非授权地随意访问，防止随意地窃听或偷窥以及随便地打断服务。 当然，如同不能保证物理财产针对犯罪来说的绝对安全，也没有网络的绝对安全。由于信息的飘忽不定和难以捕捉，保护像信息这样的资源一般比提供物理的安 全性更加困难。数据完整性（即保护信息不被非授权的改变）是关键；数据可用性（即保证外来者不能通过使网络业务流饱和来阻止

27、对数据的合法访问）也是个关键。因为信息在通过网络时 可以被复制，必须防止数据被非授权的监听。也就是，网络安全性也必须包括保护隐私。西安科技大学网络建设方案设计原则是：整个大学网络必须是一个严密的安全保密体系。采取的安全措施不能影响整个网络运行效率。保密设备要做到管理方便，完善可靠。加密系统具有良好的网络兼容性和可扩展性，实现防窃取、防篡改、防破坏三大功能。按照国家主管部门对政府办 公网络安全保密性的相应法规和规定，要保障系统内部信息的安全，我们主要应 该做到处理秘密级、机密级信息的系统与不涉及保密信息的系统实行物理隔离，秘密级、机密级信息在网络上采取加密传输。第七章 部署防火墙防火墙是设置在内

28、部网络与 Internet 之间的一个或一组系统，用以实施两个网络间的访问控制和安全策略。狭义上防火墙指安装了防火墙软件的主机或 /和路由系统；广义上还包括整个网络的安全策略和安全行为。防火墙技术属于 被动防卫型，它通过在网络边界上建立一个网络通信监控系统来保护内部网络安 全的目的，其功能是按照设定的条件对通过的信息进行检查和过滤。防火墙是实 施组织的网络安全策略、保护内部信息的第一道屏障，其作用主要有：保护功能 拒绝非授权访问、保护网络系统和私人及敏感信息不受侵害。连接功能作为内部 网络与 Internet 之间的单一连接点。管理功能实施统一的安全策略，检查网络使用情况，进行流量控制等。防火

29、墙有三个属性：所有进出内部网的数据包必须经过它；仅被本地安全 策略所授权的数据包才能通过它；防火墙本身对攻击必须具有免疫能力。在内部网络和外网之间之间通过防火墙，建立起一个 DMZ 区。与外网关联 业务的服务器都可以放在 DMZ 区， Internet 上的用户只能到达 DMZ 区相应的服务器。并且内部网络到 Internet 的连接，是通过 NA地址翻译的方式进行，可以充分隐藏和保护内部网络和 DMZ 区设备。防火墙在内外网络连接中起两个作用：（1） 利用访问控制列表（ Access Control List， ACL）实安全防护防火墙操作系统 IOS 通过访问控制列表（ ACL ）技术支持包过滤防火墙技术，根据事先确定的安全策略建立相应的访问列表，可以对数据包、路由信息包进行拦截与控制 ，可以根据源目的地址、协议类型、 TCP 端口号进行控制。这样，我们就可以在Extranet 上建立第一道安全防护墙，屏蔽对内部网 Intranet 的非法访问。（2） 利用地址转换（ Network Address Translation， NAT）实现安全保护防火墙另外一个强大功能就是内外地址转换。进行 IP 地址转换由两个好处：其一是隐藏内部网络真正的 IP 地址，这可以使黑客（ h