1、桂林中学网络改造方案桂林中学校园网建设是为广大学校师生提供教学、科研和综合信息服务的支持环境,是教学信息化环境的基础设施和实现各项管理、办公自动化的基础,是建立远程教育体系的基本保证,是提高全体师生素质的重要手段。在本次网络建设中,需要对原有的网络系统进行升级改造,重新规划整个网络系统,整理中心机房及各楼层的子配线间。通过本次网络改造使校园网覆盖学校办公、教学、宿舍等区域,包括综合楼、教学楼、办公楼、教工、宿舍楼和图书馆等。一、网络总体设计桂林中学网络系统采用当前国际上流行的 1000Base-T 交换式以太网技术,千兆以太网技术基于传统的成熟稳定的以太网技术,可以与用户的以太网为主的网络无缝
2、连接,中间不需要任何格式转换,大大提高了数据的转发和处理能力,减少了交换设备的负担。同时,千兆以太网技术可扩展到 10 Gbps,与以太网技术、快速以太网技术向下兼容。本系统采用三层结构进行网络设计,即核心层、汇聚层和接入层。考虑到校园网内数据流量和网络的扩展能力,核心层选用背板带宽为 1.6Tbit/s 的华为 S7506 核心交换机,通过用光纤(校方已敷设完毕)连接到汇聚层交换机,实现“千兆互连,百兆到桌面” 。由于校园网需要接入互联网,因此选用一台Quidway SecPath 100F-A 防火墙保证内网的安全。二、详细设计1.网络拓扑结构图InternetS7506 核心交换机连接两
3、栋学生宿舍楼信息点 120 个防火墙连接办公楼信息点 100 个DMZ 电信宽带H3C E352 级联 H3C S2126CWEB 服务器连接高三楼信息点 20 个服务器群2. 核心层网络设计根据桂林中学信息点的分布及数量情况,考虑到核心交换机需要为内网的各项信息化应用提供一个高速、优质的数据通信和图像传输平台,满足数据和视频传输的需要,考虑到目前的应用以及将来网络扩展的需要,特别选用了一台技术先进的、高性能的华为 3COM S7506 核心路由交换机来构造内部网络的中心节点。核心交换机配置 1 块自带 4 个个 SFP 千兆接口、Salience III 384G 的管理模块及主控引擎,使核
4、心交换的交换容量达到 384Gbps,198Mpps 的包转发率完全满足校园网的需求。为满足会聚层交换机的连接,采用一块 4 端口千兆以太网电口(RJ45)+12 端口千兆以太网 SFP 光口业务板,配置 6 块多模光纤模块连接和 1 块单模光纤模块连接会聚层交换机。针对宿舍楼西区、校综合楼、办公楼的信息节点较多的情况,核心交换机与这三个会聚层交换机之间增配一块多模光纤模块,与原配的多模光纤模块采用链路聚合的方式保证传输带宽为2G。通过以上配置的核心交换机具有 16 个千兆 SFP 接口(配 12 个光纤模块)和 4 个 1000Base-T RJ45 端口,通过核心交换机 384Gbps 的
5、背板交换带宽,为网络系统提供稳定的三层路由交换功能。网络中心节点与 9 个汇聚层节点通过光缆相连,形成内网主干信息通道。3、汇聚层网络设计千兆 百兆双绞线连接校综合楼信息点 60 个电脑教室信息点 180 个连接宿舍楼南区信息点 30 个连接图书馆信息点 20 个1 台 H3C E352连接宿舍楼西区信息点 120 个 连接教工楼信息点 30 个链路聚合双千兆 汇聚层主要用于汇聚接入层的网络流量,并提供各种服务和控制功能。汇聚层设备均位于各个汇聚区域的核心,在本次项目建设中,我们设立了 9 个网络汇聚区域,根据汇聚区域的信息点数量,选用了 9 台华为 3COM E328 教育网以太网交换机,配
6、置 8 块多模光纤模块通过多模光纤连接核心交换机,校园网内其中一栋学生宿舍的会聚层节点由于距离较远,因此配置了一块单模光纤模块通过单模光纤连接核心交换机。为了减轻与核心节点的数据交换压力和信息点较多带来的带宽瓶颈,我们在校办公楼(100 点) 、校综合楼(240 点) 、宿舍楼西区(120 点)的会聚层交换机上配置了 2 块光纤模块,采用链路聚合使这三个会聚层节点与核心交换机之间的传输带宽达到 2G。华为 3COME328 教育网交换机具有 32G 的背板交换容量,完全满足会聚网络数据连接网络核心的需求。各汇聚层交换机提供的 24 个 10/100Base-TX 端口除连接接入层交换机以外,其
7、余端口也可作为工作站的接入使用。4、接入层网络设计接入层交换机主要用于校园网内所有的信息点与用户终端的接入。根据桂林中学接入层网络的实际应用与业务需求,从保护校方投资的角度考虑,在接入层我们提倡使用安全和智能化的 2 层线速交换机进行网络的接入。另外,接入交换机需要支持网管以满足对整个网络统一管理的需求。基于以上因素考虑,我们在桂林中学校园网的接入层设计中,在利用校方原有的接入层交换机的基础上,选用了 12 台华为 3COM 公司生产的 S2126-CN 型以太网交换机,该交换机的背板容量达到 12.8G,满足各信息节点对校园网络的高速访问。该交换机支持 VLAN 和 IGMP Snoopin
8、g 组播协议,校方可以很方便的通过交换机的网络管理功能实现子网划分和校园网内的视频点播。本系统的接入层交换机放置在各楼层子配线柜中,通过双绞线级连到汇聚层交换机,各信息点通过超 5 类双绞线与华为 3COMS2126-CN 交换机相连,保证每个桌面信息点独享 100MBPS 的带宽,完全满足桂林中学对接入层网络的要求。5、防火墙设计由于桂林中学校园网需要接入互联网,如果网络的边界没有必要的安全防护,来自互联网的黑客会很容易进入到内部网络,窃取各种资料或对服务器进行攻击,更为严重的是有可能导致整个网络堵塞、瘫痪,甚至崩溃。因此在本系统中,我们选用了华为公司生产的 Quidway SecPath
9、100F-A 防火墙进行防护。校园网内的计算机通过防火墙的 NAT 地址转换功能访问互联网,完全保护了内网的安全。该防火墙采用包过滤技术,内置 IDS 功能,可防御 DOS、IP 欺骗、IP 盗用和端口扫描等攻击,同时具有报警功能,非常适合桂林中学校园网的使用。本系统防火墙建议校方通过电信光纤宽带申请固定 IP 地址与 Internet连接。将来可配置一台 WEB 服务器连接防火墙的 DMZ 口,配置防火墙内相应的访问策略后,可以保证校园网站的安全。6、UPS 设计为了保证电源的不间断,防止意外停电造成服务器数据丢失,本建设项目选用一台 EAST EA804H 4KVA 工频在线 UPS。为满
10、足停电后系统的正常运转,配备了 EAST 12V 65AH 电池 16 节,保证停电后中心机房网络设备 3 个小时的正常工作时间。EAST EA804H UPS 的 CPU 带内部软件智能电池管理功能,带网络管理软件,校方管理和维护 UPS 非常方便。同时,该产品在桂林本地有维修站,设备故障时当日有备机更换,非常适合桂林中学使用。三、系统功能本方案设计的校园网系统结合学校现有的应用软件即可提供如下功能:1) 网络具备性能优越的硬件、软件、信息等资源共享功能,可实现:网络办公、管理、信息发布、数据库服务等功能;2) 提供 Intranet 网络服务功能:如网站访问、电子邮件、文件传输、远程登录、
11、新闻组讨论、电子公告牌、域名服务等。3) 提供办公自动化网络平台:A、提供受存取权控制的文件、档案查询服务。B、提供贵重设备仪器及其它设备信息的管理服务。C、提供专业资料数据库服务。D、提供各学科专业资料数据库服务。E、提供学校自己的管理信息系统(MIS) 。4) 提供图书、文献的查询与检索服务功能,增强档案信息管理的自动化能力。5) 可结合网络、多媒体、智能监控等技术,提供完善的智能服务。6) 支持视频会议系统。7) 支持交互式多媒体及信息点播(VOD)等功能,采用的交换机支持优先级队列及 IP 组播(IGMP) ,服务质量(QOS)可有效防止视频会议及 IP 电话时的抖动延迟。8) 支持标
12、准 Radius 协议,同时提供 Radius+功能;支持 TACAS+协议;保证对用户的精确认证。支持 SSH V1/2。基于最长匹配的路由方式,保证所有报文均获得相同的转发性能,对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力。9) 系统采用 VLAN 技术隔离广播风暴,提高网络性能。同时通过 VLAN 限制外来用户对校园网的访问,甚至能锁定某台设备的 MAC 地址,因此能确保网络的安全性。四、系统特点本系统根据桂林中学的实际需求进行规划设计,完全满足学校目前的教学需求、管理需求和将来的扩展,网络系统具有以下特点:1) 高速的局域网连接:网络主干采用当前流行的千兆快速以太网,可保证1
13、00M 交换到桌面的传输速率并方便未来的扩展;2) 系统安全可靠: 系统中心交换机采用三层核心交换机,对网络用户具有分类控制功能; 校园网与 Internet 网相连后具有“防火墙”过滤功能,以防止网络黑客入侵网络系统;对网络资源的访问提供完善的权限控制,可对接入因特网的各网络用户进行权限控制。3) 操作方便,易于管理:所选用的网络设备支持中文图形化管理,操作和管理非常方便; 4) 技术先进:网络结构和所选设备具有先进的技术和长远发展潜力,既能满足可见时间内的实际需要,又可以适应未来发展的需要;5) 经济实用,性价比高:在满足学校当前的应用和扩展需求的基础上,合理选择、配置各种网络技术和设备,
14、使学校少花钱多办事。五、系统配置及报价序号 品 名 规 格 型 号单位数量 备注1核心路由交换机以太网交换机交流主机-XG-POE 一台。技术要求如下:背板容量1.6Tbit/s,交换容量384Gbps,包转发率198Mpps;双电源;主板插槽7,业务槽位数6;最大万兆接口24,最大千兆接口288,最大百兆接口288;MAC 地址表64K;主机支持IEEE 标准 802.3af POE 功能;路由表容量64K;*VLAN4K,支持基于端口的 VLAN Trunk,支持 VLAN 间路由;支持端口聚合,每组最大支持 8 个 GE 口或 8 个 FE 口捆绑,支持跨板端口聚合;支持 IP+MAC+
15、VLAN+PORT 的任意组合绑定;通过配置多功能业务板可支持 NAT;支持 RRPP 快速环网保护协议;支持 IEEE 802.1X Sever;支持带宽控制,控制粒度=64Kbps;支持 802.3x 流控机制及半双工反压流控;支持静态路由,RIPV1/V2,OSPFV2,IS-IS,BGPV4,支持 ECMP 等值路由(4 条);支持 GMRP、PIM-DM、PIM-SM、IGMP、IGMP Snooping 等协议;支持PQ、CQ、SP、RED、WRR、WFHBD;可靠性:支持 VRRP,所有模块、风扇、电源支持冗余和热插拔;支持 SNMP V1/V2/V3、RMON 支持集群网管;支
16、持中文图形化管理。必须提供提供信产部入网证书、投标授权证明(原件)及厂家售后服务证明(原件)建议品牌:华为 3COM H3C S7506、cisco、北电网络台 12 管理模块管理模块及主控引擎-自带 4 个 SFP 千兆接口-Salience III 384G,建议品牌:华为 3COM H3C S7500、cisco、北电网络 块 14接口业务板4 端口千兆以太网电口(RJ45)+12 端口千兆以太网 SFP 光口业务板(SFP,LC),建议品牌:华为 COMH3C S7500、cisco、北电网络 块 15千兆光接口模块千兆以太网光接口模块 光模块-SFP-GE-多模模块,配一根 SC-L
17、C跳线,建议品牌:华为 3COM、cisco、北电网络 块 116千兆光接口模块光模块-SFP-GE-单模模块-(1310nm,10km,LC),配一根 SC-LC 跳线,建议品牌:华为 3COM、cisco、北电网络 块 17会聚层交换机10/100M 以太口24 个,10/100/1000M 以太口2 个;千兆插槽数量2 个;背板交换容量32Gbps,包转发性能9.5Mpps;MAC 地址表16K;VLAN 支持数量4K;支持堆叠数量8 台;支持静态路由、RIP V1/V2;支持识别进入端口的流的MAC 地址,如果是 IP 电话流,就会将该端口加入相应的 Voice VLAN;支持 UDP
18、 Helper;最大支持 8 个 FE 口或 4 个 GE 端口聚合;支持带宽控制,控制粒度=64Kbps;支持 IEEE 802.1X Sever 认证协议;支持 IEEE 802.1d(STP),支持 IEEE802.1w(RSTP),支持 IEEE802.1s(MSTP)等生成树协议;支持 VCT(Virtual Cable Test)电缆检测功能,便于快速定位网络故障点;支持SNMP V1/V2/V3;支持 SSH V2;支持中文图形化管理。必须提供提供信产部入网证书、投标授权证明(原件)及厂家售后服务证明(原件)建议品牌:华为 3COM H3C E328、cisco、北电网络台 98
19、千兆光接口模块光模块-SFP-GE- 多模模块-(850nm,0.55km,LC) ,配一根 SC-LC 跳线,建议品牌:华为 3COM 、 cisco、北电网络 块 119千兆光接口模块光模块-SFP-GE-单模模块-(1310nm,10km,LC),配一根 SC-LC 跳线,建议品牌:华为 3COM、cisco、北电网络 块 1要求:1、具有系统集成资质;2、提供网络改造方案;3、所提供的设备必须与原网络相兼容;3、网络设备免费保修一年,负责免费上门安装及调试;4、所有缆线及附属配件由中标单位免费负责提供;5、免费现场培训技术人员2-3 人;6、系统出现故障时必须 2 小时内到场服务。10
20、接入层交换机固定 FE 接口数量25 个,百兆扩展插槽1 个;交换机支持百兆电接口、百兆光接口;交换背板容量12.8G,包转发性能6.6Mpps;VLAN 支持数量512;MAC 地址表4K;支持端口镜像;优先权/802.1p;流量控制/802.3x;支持端口汇聚,最大汇聚端口数8;支持 IGMP Snooping 组播协议;支持 STP/RSTP 协议,符合 IEEE802.1D、IEEE802.1W 等生成树协议;支持 SNMP V1/V2/V3;支持 SSH;支持中文图形化管理。采用无风扇静音设计。建议品牌:华为 3COM H3C S2126-CN、cisco、北电网络。台 1211 防
21、火墙具有 1 个配置口(CON)、1 个备份口(AUX)、4 LAN FE+3 WAN FE,1 个 MIM 插槽,16MB FLASH,256MB SDRAM,AAA 服务包括:RADIUS、CHAP 验证、PAP 验证、结合 RSA ACE/Server 和 SecurID实现双因素认证、域认证,防火墙支持包过滤、欺骗攻击防范、ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大 ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS 攻击防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由记录选项 IP 报文控制功能、静态和动态黑名单功能、MAC
22、和 IP 绑定功能。一年免费质保,免费上门服务。所有配件均由厂家原装同时通过公安部、国家信息安全测评认证中心、国家保密局涉密信息系统、解放军信息安全测评中心的认证;要求所有配件均由厂家原装,需要提供厂家供货证明(原件)及厂家售后服务证明(原件)。 建议品牌:Quidway SecPath 100F-A、CISCO、北电网络台 112 UPS 4KVA UPS,大屏幕中文液晶显示,配 16 节 EAST 12V 65AH 3 小时电池,1 个全钢电池箱,带自动和手动旁路维修开关。通过 3C认证,随机附送监控软件(光盘),三年免费保修及上门服务,建议品牌:EA804H、山特、梅兰日兰 台 113网络线路改造含 1 个 TCL24 口配线架、1 个理线架、1 个 24 口机架式光纤配线盒、24 个光纤藕合器、1.5 米 RJ45 跳线 24 根、光纤熔接(18 个点)、对中心机房及楼层配线间线路进行整理。项 1桂林市金源通信有限公司2006 年 11 月 24 日
