江州市政务网系统设计.doc 62页

'江州市政务网系统设计前言近年来网络质量稳步提高，所有的要求也大幅度的上升，备受广大人民群众的欢迎。多年来在不断发展中为社会培养了大量的人才，而我国正处于建设中国特色社会主义阶段，为了更好、更快的传达党中央的重要文件和会议精社，推进城乡建设，提高广大群众的生活水平，河北省江州市市委市政府对电子政务非常的重视，以前的网络已经不能够满足当前的要求，将对定对机要局进行一次全面的升级。以求对数据信息和语音信息更高的要求，所有地方政务人员不用到县、市政府统一开会，在当地打开电脑即可。本设计方案不仅在技术上体现出符合城乡建设网络发展方向的先进性，更重要的是突出体现了面向应用、以应用为核心的设计理念。建设核心目标就是应用。针对政府机关关键就是数据、语音和视频基础网上的应用。在这方面，我公司经过长年在政府和教育行业技术的积累和对其的认识，特别是政府机关配置了一套非常先进的网络系统，该网络首先是建立一个高速、先进的以太网平台。系统采用模块化的结构设计，各子系统结构相对独立、功能充分互补。系统建设既可全面上马、一步到位，亦可根据政府和地方的资金及需求情况分阶段建设或选建部分子系统。无论是一步到位还是分步实施，整个系统都能有机配合、功能互补，协调一致。不会造成重复建设或系统冲突，非常适用于从全局出发、从长远规划角度出发进行信息化网络建设。本方案以“建网、建库、建队、建制”为主导思想，给江州市政府提供了一个整体的网络规划和解决方案，根据江州市政府第62页共62页投标单位兰州理工大学软件学院 的具体需求，我们对每一部分都做了特别设计，最大限度地贴近政府机关日常的应用需求，虽然我们尽量考虑了其中的每一个细节，但疏漏之处仍会在所难免，敬请有关领导和专家审阅，并提出宝贵意见和建议；服务于国家是我们的立身之本，我们真诚希望河北省江州市政务网网络建设取得圆满成功！第一章概述1.1．项目背景为了提高政府内部工作效率，加速信息化办公，河北省江州市决定建设一个覆盖全市4个区县(沧县、青县、景县、丘县)的局域网。基本情况如下:1.市委机要局机房作为整个网络的中心机房，为了保证网络的安全和保密性从市到区县均采用电信提供的专线连接。2.其中市到4个区县都是电信专线DHE线路。3.市级用户包含市委市政府两栋大楼里的所有用户。原来的网络为大家上互联网用的，为了网络安全，本次局域网内网系统，全部新建。1号办公大楼有6层，楼层高为3米，楼长度为60米，每层用户数量为在75个信息点，其中网络中心设在3层中间的房间。2号办公大楼为5层，楼层高为3米，楼长度为70米，每层用户数量为45个信息点。4.县级用户包含县委、县政府两栋楼。每栋楼有4层，每层楼用户数量大概在20人左右。1.2．项目范围第62页共62页投标单位兰州理工大学软件学院 江州市以及覆盖全市4个区县(沧县、青县、景县、丘县)。市级用户包含市委市政府两栋大楼里的所有用户。原来的网络为大家上互联网用的，为了网络安全，本次局域网内网系统，全部新建。1.3．项目目标中国网络的发展历程，从无到有，从小到大的进行每一步，为我国带来了巨大的改变。为了全面加强小康社会的建设，进一步建设中国特色社会主义，现今河北省江州市为了提高政府内部工作效率，加速信息化办公，决定建设一个覆盖全市4个区县的政务网，将内部网络进行改造，以便于将国家的最新政策传到地方。针以目前信息系统的发展，对基础网络的依赖程度越来越高，保障其各个业务系统稳定、高效的运行。这就需要一个可靠、安全、高效、集成的网络平台来承载其业务的应用。1.4.项目设计要求1、要求设计市委机要局办公1号大楼的综合布线示意图和网络整体分布示意图、光缆选材及配件选用等.2、画出网络综合设计拓扑结构图，并标明设备数量及所选设备的基本规格。3、针对该案例做出解决方案，方案中必须包括：设计原则、设计思路、信息点统计表、需求分析、综合布线设计、网络规划设计、项目实施计划、售后服务承诺等内容。4、做出IP地址规划说明，VLAN划分说明5、要求根据项目需求做出设备配置清单（包含综合布线设备清单和网络平台配置清单，具体选材见附件的可选设备材料单）。1.5.要求完成主要内容1、综合布线示意图2、网络拓扑结构图3、方案设计的思路第62页共62页投标单位兰州理工大学软件学院 4、项目的实施计划5、IP地址规划说明6、V-LAN划分说明7、整体方案的设计8、设备配置清单1.6.方案设计原则（1）先进性与实用性原则采用的技术应是业界先进的，选用的设备和软件应是国内外著名厂商的主流的、先进的产品，但又不盲目追求高、洋、全。适应地方投资能力，既先进有实用。能满足性能要求，易于操作、管理和维护。（2）标准化与开放性原则选用的设备、软件和通讯协议符合国际标准或工业标准。由于地方的与信息化建设有关的楼栋早已经建成，不能完全采用结构化综合布线标准，但应尽量靠近标准。要使网络硬件环境、软件环境、通讯环境、操作平台与高层应用系统之间的相互依赖性减至最小，便于发挥各自的优势。（3）开放性体现在以下方面能适应计算机硬、软件技术的迅速发展。硬件上简便的重新组合能够支撑新环境要求和适应新技术的发展。底层应用系统支撑软件的版本升级对高层应用系统的影响应局限在可控制的范围内或无影响。能适应地方管理体制和组织结构的变化。能采用VLAN（虚拟网络）技术划分网络。应用系统能适应用户发展的新要求，易于修改和扩展新功能。（4）可靠性与安全性原则采用最新的各种容错技术，使网络系统有较高的可靠性。系统对各级网络有监测和管理能力。采用网络安全技术、链路控制协议、“防火墙”等安全控制措施。主设备能进行在线修复、更换和扩充。主设备专线UPS供电。在设备间供电线路采用地线。网络通讯线路在户外一律采用光缆。电力线路应有防雷电措施。第62页共62页投标单位兰州理工大学软件学院 （5）经济性与可扩充性原则在达到总设计目标的前提下，争取高的性能/价格比，力争少花钱，多办事。同时网络应有良好的可扩充性，随着网络技术的不断发展和增加新的任务、扩充新的能力，系统应能方便升级且能最大的限度保护现有的投资。（6）可维护性网络系统便于管理和维护，可随时对系统进行维护和检测，以确保网络系统的安全性。（7）灵活性系统结构必须灵活，便于日后需要对网络进行调整时可随时满足要求，而不必重新大幅度更改。（8）可靠性系统具备网络诊断、测试和在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切换，保证网络时时都正常工作。（9）高性价比性一次性投资，永久受益，用最少的投资获取最大的收益。第62页共62页投标单位兰州理工大学软件学院 第二章用户需求2.1.技术目标网络隔离：充分利用交换机的交换路由功能，根据业务管理需要划分VLAN；防火墙技术；虚拟专用网络（VPN）技术；病毒防治技术主要运用内网（局域网）技术。2.2．用户需求的基本情况（1）市委机要局机房作为整个网络的中心机房，为了保证网络的安全和保密性从市到区县均采用电信提供的专线连接。（2）其中市到4个区县都是电信专线DHE线路。（3）市级用户包含市委市政府两栋大楼里的所有用户。原来的网络为大家上互联网用的，为了网络安全，本次局域网内网系统，全部新建。（4）1号办公大楼有6层，楼层高为3米，楼长度为60米，每层用户数量为在75个信息点，其中网络中心设在3层中间的房间。（5）2号办公大楼为5层，楼层高为3米，楼长度为70米，每层用户数量为45个信息点。县级用户包含县委、县政府两栋楼。每栋楼有4层，每层楼用户数量大概在20人左右。第62页共62页投标单位兰州理工大学软件学院 2.3.信息点统计表市县楼栋信息点数（个）江州市1号楼4502号楼225沧县县委楼80县政府楼80青县县委楼80县政府楼80景县县委楼80县政府楼80丘县县委楼80县政府楼80总计13152.4.技术实现分析针对以上用户需求，我们从几个方面考虑方案设计的要点：（1）在技术上要合理、准确、全面、完整实现需求（2）充分考虑所有县和乡镇将来的发展，预留扩展空间（3）兼顾当地的现实情况，尽可能对当地地方已有的资源利用（4）设备选型恰当、价格合理2.4.1综合布线设计要点设计一个完整的布线方案，一次将所有需要的线统一设计。考虑目前的技术发展现状与应用需求情况，设计中遵照信息传输以千兆为主干，百兆到桌面的原则。其中市到4个区县都是电信专线DHE线路，各个区县到乡镇为1根2M的E1链路。户外就用光纤连接，可以有效的防止雷电破坏设备和干扰，并且保证千兆主干容量。由于用户的楼内信息点之间的距离一般均小于100米，应采用超5类双绞线，不仅能满足当前的需求，也能满足今后的需求。2.4.2计算机网络平台设计要点根据河北省江州市政务网的分布情况、信息点的需求、用户对网络功能的需求，我们认为必须构建一个高速的计算机网络平台，以使数据信息、视频信息、音频信息都能无障碍的传输和处理。选择网络主干为千兆光纤以太网，百兆以太网到用户桌面。第62页共62页投标单位兰州理工大学软件学院 为了提供网络管理和基本的网络应用系统，如WWW、FTP、E-mail、BBS等各种网络服务，需要配置相应的服务器。为了能实现与CERNET、Internet联网，必须配置相应的路由器。第三章综合布线设计由于综合布线属于政府信息化建设的一项基础内容之一，所以在网络环境构建中属于首要考虑的项目，在河北省江州市电子政务内网规划之首，和政府的楼宇建设一样，综合布线和网络平台建设都属于网络建设中的基础建设，所以在本次项目建设中是整体性解决方案的一个重点环节。3.1.综合布线概述智能化建筑通常具有四大主要特征，即楼宇自动化（BuildingAutomation,缩写BA）、通讯自动化(CommunicationAutomation,缩写CA)、办公自动化(OfficeAutomation,OA)、布线综合化。结构化综合布线系统(StructuredCablingSystems,缩写SCS)采用模块化设计和分层星型拓扑结构。它能适应任何大楼或建筑物的布线系统。其代表产品是建筑与建筑群综合布线系统（PDS）。PDS一般采用模块化设计和物理分层星型拓扑结构，传输语音、数据、图像以及各控制信号。综合布线系统是一个组合压接方式、模块化结构、星形布线并且具有开放特征的布线系统。它包括工作区子系统、水平布线子系统、管理子系统、干线子系统、建筑群子系统、设备间子系统、如下图所示。第62页共62页投标单位兰州理工大学软件学院 图一3.1.1工作区子系统工作区子系统又可称为服务区子系统(Coveragearea)，它由RJ-45插座和其所连接的设备（终端或工作站）组成。综合多媒体的工作区子系统包括用户跳线与信息出口：（1）对于所有直接做到信息终端的数据和语音信息点，我们选择了超五类信息模块，安装方便简单，这对维护保养极其重要。（2）该模块的端接点具有并接功能，可进行在线测试和电话串接。（3）信息插座面板具有标识，以色标和编号表示插座类型以及所在区。图二第62页共62页投标单位兰州理工大学软件学院 3.1.2水平布线子系统水平布线子系统也称为水平子系统(Horizontal)。水平布线子系统是整个布线系统的一部分，它由RJ-45插座开始到管理子系统的配线架,结构一般为星形。它与干线子系统的区别在于水平布线子系统总是在一个楼层上，并与信息插座连接。在综合布线系统中，水平子系统由4对UTP（非屏蔽双绞线）组成，能支持大多数现代化通信设备。如果需要某些宽带应用，可以采用光缆。从用户工作区的信息插座开始，水平布线子系统在交叉连接处连接，或在小型通信系统中在以下任何一处进行互连：远程通信（卫星）接线间、干线接线间或设备间。在设备间中，当终端设备位于同一楼层时，水平布线子系统将在干线接线间或远程通信（卫星）接线间的交尺连接处连接。对于水平子系统，综合布线的设计必须具有全面介质设施方面的知识，能够向用户或用户的决策者完善而又经济的设计。3.1.3管理子系统管理子系统(Administration)由交连和I/O组成。管理点为连接其他子系统提供手段。它是连接干线子系统和水平子系统的设备，其主要设备是配线架。交连和互连允许将通信线路定位或重定位在建筑物的不同部分，以便能更容易地管理通信线路。I/O位于用户工作区和其他房间或办公室,使在移动终端设备时能够方便地进行插拔。使用跨接线或插入线时,交叉连接允许将端接在单元一端电缆上的通信线路连接到端接在单元另一端电缆上的线路。跨接线是一根很短的单根导线，可将交叉连接处的二根导线端点连接起来。插入线包含几根导线，而且每根导线末端均有一个连接器。插入线为重新安排线路提供一种简易的方法。互连完成交叉连接的相同目的，但不使用跨接线或插入线，只使用带插头的导线、插座、适配器。互连和交叉连接也适用于光纤。在远程通信（卫星）接线区，如安装在墙上的布线区，交叉连接可以不要插入线，因为线路经常通过跨接连到I/O上的。3.1.4干线子系统第62页共62页投标单位兰州理工大学软件学院 干线子系统提供建筑物干线电缆的路由，它通常是在两个单元之间，特别是在位于中央点的公共系统设备处提供多个线路设施。该子系统由所有的布线电缆组成，或由导线和光纤以及将此光纤连到其他地方的相关支撑硬件组合而成。传输介质可包括一幢多层建筑物楼层之间垂直布线的内部电缆或从主要单元（如计算机房或设备间）和其他干线接线间来的电缆。为了与建筑群的其他建筑物进行通信，干线子系统将中继线交叉连接点和网络接口（由电话局提供的网络设施的一部分）连接起来。网络接口通常放在设备相邻的房间。干线子系统还包括：（1）干线或远程通信(卫星)接线间和设备间之间的竖向或横向电缆走向用的通道；（2）设备间和网络接口之间的连接电缆或设备与建筑群子系统各设施间的电缆；（3）干线接线间与各远程通信(卫星)接线间之间的连接电缆；（4）主设备间和计算机主机房之间的干线电缆。3.1.5建筑群子系统建筑群子系统也可称校园(CampusBackbone)子系统，它是将一个建筑物中的电缆延伸到另一个建筑物的通信设备和装置，通常也是由光缆和相应设备组成。建筑群子系统是综合布线系统的一部分，它支持楼宇之间通信所需的硬件，其中包括导线电缆、光缆以及防止电缆上的脉冲电压进入建筑物的电气保护装置。在建筑群子系统中，会遇到室外敷设电缆问题，一般有三种情况：架空电缆、直埋电缆、地下管道电缆，或者是这三种的任何组合。具体情况应根据现场的环境来决定。3.1.6设备间子系统设备间子系统也称设备（Equipment）子系统。设备间子系统由电缆、连接器和相关支撑硬件组成，它把各种不同设备互连起来，包括邮电部门的光缆、同轴电缆、程控交换机等。第62页共62页投标单位兰州理工大学软件学院 3.2.综合布线系统设计图3.2.1综合布线系统结构根据河北省江州市政务网建设的基本需求和各县乡信息点的分布情况，本方案设计综合布线系统采用三级星型结构，以下是河北省江州市政务网建设网络整体分布示意图，此设计图经过了严格的技术论证，如有不同意见，希望共同作出进一步的修改（见下图）。图三河北省江州市电子政务内网建设网络整体分布示意图从图中可以看出，市委为整个网络的中心，其中市到4个区县都是电信专线DHE线路，各个区县到乡镇为1根2M的E1链路。由于在整个工程中每栋建筑内的综合布线部分大体上相同，这里就根据市委1号办公大楼为基础，画出具体的综合布线布线示意图。1号办公大楼有6层，楼层高为3米，楼长度为60米，用户数量为在75个信息点，其中网络中心设在3层中间的房间。（见下图）第62页共62页投标单位兰州理工大学软件学院 图四综合布线布线示意图上图为市委1号办公大楼综合布线示意图，从图中可以看到由于整栋楼信息点数量不多，根据楼层实际的长和高来设立楼层配线间，由于整栋楼长度为60米高度为3米，根据水平线缆最长距离不超过90米的原则在整栋楼设立两个配线间，1到3楼共用2楼配线间，4到6楼共用5楼配线间，水平区采用超五类非屏蔽双绞线进行布放，在楼层管理间到中心机房属于垂直干线子系统，采用4芯多模1000M光纤进行主干的连接。其他政府办公大楼参照此图，根据实际情况进行楼内系统建设。第62页共62页投标单位兰州理工大学软件学院 3.2.2结构化综合布线产品选择由于综合布线对于政府来讲属于网络的基础建设之一，非常重要，如果采用不合格的产品或者假冒伪略产品，将给用户带来非常严重的后果，目前市场上布线产品中国际品牌的假冒产品比较多，非专业用户根本无法分辨其真伪，所以建议使用一些比较可靠的品牌：本次综合布线产品厂商选择的是VCOM。超五类非屏蔽双绞线推荐选用：VCOM配线架推荐选用VCOM系列产品光缆及光缆固定件均推荐选用国产知名品牌：VCOM机柜推荐选用VCOM品牌PVC管槽及附件推荐选用VCOM品牌3.3.网络整体分布示意图图五第62页共62页投标单位兰州理工大学软件学院 图六区县大楼综合布线图3.4.结构化综合布线子系统设计3.4.1工作区子系统设计工作区子系统由RJ-45插座和其所连接的设备（终端或工作站）组成。8针模块化信息输入/输出(I/O)插座是为所有的综合布线系统推荐的标准I/O插座。标准的8针结构为单一I/O配置提供了支持数据语音、图像或三者的组合所需的灵活性。在终端（工作站）一端,将带有8针的插头软线插入插座。每根4对双绞线都必须终接在工作区的一个8脚(针)的模块化插座(插头)上。（1）设备选取：选用RJ45插座，产品形式统一。选用标准面板。（2）安装位置：工作区设备安装位置有三种：安装在墙上、安置在地上、安装在桌上。由于本方案是二次施工，所以在本设计方案中需要走明线,办公室的RJ45插座都安装在墙上，具体位置根据实际情况而定。3.4.2水平布线子系统设计第62页共62页投标单位兰州理工大学软件学院 水平子系统是综合布线结构的一部分。它由每层配线间至信息插座的配线电缆和工作区用的信息插座等组成。（1）水平子系统采用4对双绞线，电缆沿大楼的地板或顶棚布线。（2）水平子系统根据整个综合布线系统的要求，应在二组交接间、交接间或设备间的配线设备上进行连接。（3）每个4对线电缆必须都终接在工作区的一个8脚（针）的模块化插座（插头）上。（4）针对该校的具体情况，楼内水平走线采用明敷方式，超5类双绞线敷设在PVC管中，下连工作区子系统的RJ45插座。为了方便维护和对线路的检查，建议对于水平子系统的线缆以PVC线槽方式固定。3.4.3管理子系统设计管理子系统为连接其他子系统提供手段。它是连接干线子系统和水平子系统的设备，其主要设备是配线架。根据该校各楼层信息点的数量，选用不同的配线架。1、网管中心与管理间的设计1）市委机要局1号楼三楼机房作为整个网络的中心机房，整个网管中心铺设防静电地板，所有线懒、光缆全部从地板以下穿行。2）市委网络的中心的要求室内有电源、卫生、干燥、安全。3）市委网络的中心与其县网络中心管理间直接连接，县网络中心与乡网络管理间直接连接。4）市委网络中心机柜选用2台1.6米VCOM标准机柜，县委网络管理间使用1.6米VCOM标准机柜，乡政府使用1.0米VCOM标准网络机柜。2、光缆与管理间的设计1）光缆铺设设计（干线）江州市电子政务内网市委1号办公大楼整体解决方案中合计需要敷设2条光缆，它们是：市委网络中心到5楼配线间需要17米多模光缆市委网络中心到2楼配线间需要17多模光缆第62页共62页投标单位兰州理工大学软件学院 3.4.4干线子系统设计垂直干线子系统的传输介质包括一幢多层建筑物楼层之间垂直布线的内部电缆或从主要单元（如计算机房或设备间）和其他干线接线间来的电缆。根据该校的实际情况,垂直干线和水平走线合而为一用双绞线。由于该校各楼无设备间和电缆井，垂直干线子系统具体走线方式还必须进一步与校方协商。注：综合楼楼内的综合布线设计（水平子系统、垂直子系统、工作区子系统、管理子系统）参见设计图纸。3.4.5建筑群子系统设计建筑群子系统也可称校园(CampusBackbone)子系统，它是将一个建筑物中的电缆延伸到另一个建筑物的通信设备和装置，通常也是由光缆和相应设备组成。建筑群子系统是综合布线系统的一部分，它支持楼宇之间通信所需的硬件，其中包括导线电缆、光缆以及防止电缆上的脉冲电压进入建筑物的电气保护装置。在建筑群子系统中，会遇到室外敷设电缆问题，一般有三种情况：架空电缆、直埋电缆、地下管道电缆，或者是这三种的任何组合。具体情况应根据现场的环境来决定。根据该校的具体情况，由于各个楼间距不超过50米，我们建议：内采用室外铠装光缆连接，光缆走线方式需要进一步协商。3.4.6设备间子系统设计设备间子系统也称设备（Equipment）子系统。设备间子系统由电缆、连接器和相关支撑硬件组成，它把各种不同设备互连起来，包括邮电部门的光缆、同轴电缆等。具体连接方式如下:交换机光纤口用ST-SC光跳线连到光缆配线架。配置千兆光纤网卡的服务器和主交换机用千兆铜线连接。其他主机、路由器等设备用双绞线连到交换机的相应口。各种跳线、插头数量统计见报价清单所示。3.5.结构化综合布线系统管理3.5.1线缆代码定义代码缆线类型第62页共62页投标单位兰州理工大学软件学院 F光缆C双绞线V视频电缆A音频线Q其他表一线缆代码定义表3.5.2光缆编号规则此布线系统中我们采用如上光缆编号规则。每个编号唯一的标识一条光缆的一对光芯。楼名代码线缆类型代码线缆序号光芯对序号JXL1F1—1楼名代码建议为楼名的汉字拼音字头，如1教学楼为“JXL1”。线缆类型代码为“F”，表示为光缆。线缆序号为该楼内光缆的顺序编号。光芯对序号为该条光缆的光芯对顺序编号。由于一条光缆的光芯都有不同的色标，光芯对顺序尽量按色标顺序编号（黑、棕、红、橙、黄、绿、蓝、紫、灰、白），同一种颜色，纯色芯在前，花色芯在后。线缆序号与光芯对序号之间有一连字符。例如：JXL1F1－1表示1教学楼第1根光缆的第一对光芯。此编号在下列地方用到：（1）在布线系统平面图和其它一些文档中，用上述的编号来标识对应的光缆的光芯；（2）在光配线架的标签条上用上述编号标明相应位置对应的光缆的光芯，并登记注册；（3）布线工程中，每根光缆的两端都按上述规则标号（不标光芯序号）。3.5.3双绞线编号规则此布线系统中我们采用如下双绞线编号规则。对于双绞线，每个编号唯一的标识一条双绞线电缆、对应一个数据信息点、一个RJ45插孔。第62页共62页投标单位兰州理工大学软件学院 楼名代码线缆类型代码层号线缆序号JXL1—4C001楼名代码建议为楼名的汉字拼音字头，如：1教学楼――JXL1。层号为“1或2”位数字。楼名代码与层号之间有一连字符。线缆类型代码为“C”，表示为双绞线。线缆序号为每层内此类型线缆的顺序编号。例如“JXL1-4C001”表示1教学楼四层第001号双绞线。此编号在下列地方用到：（1）在布线系统平面图和其它一些文档中，都用上述的编号来标识对应的信息点；（2）每个信息盒面板的插孔下方贴以写有上述信息点编号的标签；（3）在配线架的标签条上用上述编号标明相应位置对应的双绞线、信息点编号，并登记注册；（4）穿线工程中，每根4对芯双绞线的两端都按上述规则标号。3.5.4系统测试施工完成后，我们对整个布线系统要进行测试（或委托第三方测试）。（1）双绞线系统测试线路测试：布线完工后测试。用FLUKE公司的DSP-2000测试仪(或其他)，采用TIACAT5BasicL+ACR方法进行测试。测试仪主机端采用3米的跳线，远端采用0.5米的跳线。测试项为：线对，阻抗，长度，PropagationDelay,DelaySkew,近端串绕，远端串绕，衰减，近端ACR，远端ACR。联机测试：整个工程完成后，选取若干个工作站，进行实际的联网测试。测试完毕，写出测试报告。（2）光纤系统测试光纤测试：采用LaserPecisionDivision公司(或其他)的TD-1000OTDR进行测试。为了克服100米的盲区，测试仪与测试线路之间加了100米的光纤跳线。跳线一端为FC头，另一端为ST头。第62页共62页投标单位兰州理工大学软件学院 测试完毕：写出测试报告。3.5.5工程验收（1）验收参照规范工程验收，应参照：GB/T50312-2000（2）竣工文档在竣工时，我们将向用户提供如下布线有关文档：《布线系统各层平面图》。可用于查信息点的位置，槽道的路线。《布线系统结构图》。用于查各级配线架、水平电缆、垂直电缆的连接关系、器件数量、种类等。《房间信息点与双绞线对照表》。用于查询房间信息点对应的双绞线和配线架口。在一个房间里，信息点的顺序为从门的左边绕墙壁一周到门的右边，顺序为1、2、3……。双口墙盒的口顺序为从左到右。《信息点跳线路径表》。记录每次跳线修改活动。《布线系统维护记录》。用来记录所有的维护操作，出现问题时将有助于查对失误的操作，以追踪和修改错误。3.5.6综合布线系统材料统计1号办公大楼有6层，楼层高为3米，楼长度为60米，用户数量为在75个信息点，其中网络中心设在3层中间的房间。市委机要局办公1号大楼综合布线材料清单表工作区：序号名称与规格品牌单位数量备注1单口面板VCOM个75　286型明装底盒VCOM个75　3超五类非屏蔽3米跳线VCOM条75　4超五类模块VCOM个75　配线子系统：5超五类非屏蔽双绞线VCOM箱10305米/箱垂直子系统64芯多模1000M光纤VCOM米34　设备间/配线间：7超五类非屏蔽1米跳线VCOM条75　8理线架VCOM个4　9耦合器(ST)VCOM个16　第62页共62页投标单位兰州理工大学软件学院 101.5米尾纤(ST)VCOM条4　11超五类非屏蔽24口配线架VCOM个4打线式配线架121米光纤跳线(ST-SC)VCOM对4　13标准32U机柜VCOM台3　1412口光纤配线架(ST)VCOM个3　表二综合布线系统材料统计表第62页共62页投标单位兰州理工大学软件学院 第四章网络拓扑结构设计4.1.拓扑结构图图七图八4.2.设计说明如上拓扑结构图中，用入侵检测系统IDS连接方式连接内网和服务器，其中市区服务器，防火墙，集线器，路由器之间都是用超五类双绞线连接，核心交换机和汇聚层交换机之间用多模光纤连接，为防止网络故障，添加一个备用的核心交换机以提高网络的连通性和可靠性。第62页共62页投标单位兰州理工大学软件学院 市区路由器接到电信专线DHE线路连至六个县的路由器，按用户要求，县每栋楼配置一个相应的汇聚层交换机，由于用户数不多，为充分利用资源，可将同县中1栋楼的汇聚层交换机用多模光纤连接到另一栋楼的汇聚层交换机上使之充当核心交换机，汇聚层交换机与各楼栋接入层交换机之间用超五类双绞线连接，然后分别在不同的楼层中划分不用的Vlan便于更好地安全地管理，其它县的网络结构类似。4.3.主要设备选型说明一：核心层交换机（2台）1.品牌型号：CISCOWS-C6506背板带宽：1G扩展插槽：62.网络接口板型号,接口数S-X6524-100FX-MMC3.GBIC模块型号WS-X6516-GBIC1.根据用户需求：①主干设计保证1000M带宽，到工作台桌面保证100M接入，中心采用三层交换机实现网络交换路由，采用千兆光模块。因此中心我们选择三层交换机实现数据的高速交换同时实现局域网路由。同时选择购买S-X6524-100FX-MMC作为千兆光模块实现与汇聚层的连接依次实现千兆主干网，百兆到桌面。②可靠性，适应性用户信息网站应采用大型关系数据库,模块化等先进成熟的技术方法,在给用户提供了极大的灵活性的同时,也有效地保证了系统的可靠性。cisco的网络设备一直是行业老大，在这里我们采用cisco6506比较高端的交换机保证可靠性。双电源的设计保证了中心交换机的供电的冗余。③可扩展性：网络构造应具有高度的扩展性,以降低系统扩充的投入成本,并满足信息技术高速发展的需要.能适应2-3年内的业务增长和突发性事件的需要,确保各级系统的可扩充性和先进性,并注意设备的冗余设计以及网络的负载均衡。Cisco6506的交换机高度模块化，提供插槽的可扩展，电源的可扩展，引擎的可扩展。为日后公司的发展扩容打好基础。第62页共62页投标单位兰州理工大学软件学院 2.根据性价比：cisco6506与其他厂商同类产品相比更有竞争力。优点：●CiscoIOS软件模块化——模块化提高了运营效率，最大限度地缩短了停机时间。实施模块化后，CiscoIOS子系统能作为独立、可自行恢复的进程运行，通过故障抑制和状态化进程重启，缩短了计划外停机时间；通过子系统运行中软件升级（ISSU）简化了软件改动，集成了嵌入式事件管理器（EEM），从而能在进程级自动控制策略●最高PoE可扩展性——提供了支持高密度PoE部署所需的电源可扩展性；6插槽和9插槽机箱（C6506-E和C6509-E型号）的设计超越了当前的6000W电源；E系列机箱支持所有现有控制引擎、线卡、交换矩阵和软件版本●SupervisorEngine720——面向企业核心、分布层和数据中心：高达720Gbps的交换矩阵连接和高达40Mpps的交换性能；支持全新加速思科快速转发（CEF720）和分布式思科快速转发（dCEF720）接口模块；通过硬件支持IPv6和MPLS；支持第三层路由协议●SupervisorEngine32——面向智能配线间以及经济高效的低端核心和分布层部署；拥有一条到模块的32Gbps共享总线连接；支持高达15Mpps的交换性能；集中第二层、第三层转发，有2种型号：8端口1GE型号或2端口10GbE上行链路二：汇聚层交换机（4台）1.品牌型号,容量.扩展槽数：WS-C3750-24TS-E，128MB，02.网络接口板或GBIC模块:无（1）用户需求是千兆主干，百兆到桌面。所以为了达到以上用户需求，考虑到核心层交换机我们必须选择配有光纤接口的交换设备，而cisco3750就适合这一要求，具有1000兆光纤接口。（2）我们考虑到公司日后发展我们选用cisco3750就能满足日后的需要。它不仅能支持二层而且还能支持三层服务！（3）采用与核心交换机相同的cisco的设备达到系统很好兼容性的要求，便于管理。第62页共62页投标单位兰州理工大学软件学院 优点：设备类型:快速以太网交换机交换方式:存储-转发背板带宽（Gbps）:32端口数:24模块化插槽数:2CiscoCatalyst3750系列交换机是一款适用于中型机构和大型企业分支机构的创新产品。该交换机采用了CiscoStackWise技术，通过结合易用性和可堆叠交换机的最高永续性，提高了局域网运行效率。适用于需要低密度接入，具有交换机堆叠功能、第二层以上或第三层特性，以及一或多条光纤上行链路的网络●可用性——802.1S/W支持基于标准的容错性、负载均衡和迅速恢复；Flexlink特性提供了不到100ms的快速收敛；PVST+则通过允许流量在冗余链路上传输，增加了可用带宽●CiscoStackWise技术——单一IP地址和单一命令行界面（CLI）简化了管理；32-Gbps永续架构加速了收敛；1∶N堆叠采用了冗余和第三层上行链路永续性、跨堆叠CiscoEtherChannel技术及QoS，提高了可用性；自动配置和CiscoIOS软件版本检查和升级加速了部署过程；交换机的热添加和删除能保持堆叠持续运行●370WPoE简化了IP电话、无线和视频监视部署；智能电源管理特性增强了控制能力，有助于更好地利用功率预算；PoE与快速以太网或千兆以太网型号相结合，能最大限度地利用现有基础设施投资三：接入交换机（36台）1.品牌型号,容量.扩展槽数：CISCOWS-C2950-24，8M，02.GBIC模块型号：无（1）为了达到系统最佳的兼容性我们继续采用cisco的设备。（2）百兆到桌面的要求，cisco2950较低的端口密度和价格，高性能10/100Mbps连接便能达到要求。（3）提供24接口支持堆叠。优点：iscoCatalyst2950系列交换机是小型、独立、可管理的交换机，带8个快速以太网端口和一条集成快速以太网或千兆以太网上行链路。第62页共62页投标单位兰州理工大学软件学院 这些交换机是专门为在终端用户工作间配线间外使用而设计的，拥有坚固的金属外壳，无风扇，因此运行安静，便于在墙壁或桌下安装，安全的锁定槽可防窃，它还配备了一条电缆导槽，可以保护以太网电缆和交换机。关键特性●网络管理——CNA通过利用CiscoSmartports技术，提供了集中管理和配置，以简化部署及后续维护；基于PC；适用于最多不超过20个设备的网络●快速设置是一种Web浏览器工具，支持简单的交换机设置，以便新手也能完成基本配置四：入侵检测系统：IDS1.品牌型号：鹰眼入侵检测分布型NIDS100-D1E2.接口及带宽:百兆引擎，1U，1个探测口，基本型3.功能模块型号:无选择理由：（1）鹰眼网络入侵检测系统提供强大的入侵检测功能，目前可以检测的攻击类型有24大类，共计900余种入侵行为；（2）功能强大的搜索引擎面对海量的入侵记录，用户如何才能找到自己关心的内容？鹰眼网络入侵检测系统向用户提供了强大的搜索引擎，丰富的查询搜索方式，这样，用户可以非常方便，快速的按照自己的需要查找所关心的入侵记录；（3）鹰眼网络入侵检测系统提供的分析报表形式多样：既有实时反映当前网络安全状态的的即时分析报表，又有综合反映周期安全状况的每日分析报表；既有简单明了的决策型报表，又有详细全面的关联型报表。各类报表中包含了网络安全的整体状况分析、各项数据排名、网络安全趋势及建议等内容，准确的数字配以丰富的图表，令用户对网络安全状况一目了然。同时用户还可以对分析范围、分析强度、显示方式等进行配置，实现个性化的报表分析，得到最符合用户需求的报表；（4）历史记录的统计分析、查询和下载鹰眼网络入侵检测系统在为用户提供实时报告的同时，提供对历史记录的综合统计报告和高级搜索功能，并对提供了历史日志文件记录的高级搜索功能，同时还定期将数据打包，供用户下载；（5）多样化报警和响应方式。鹰眼网络入侵检测系统一旦检测到入侵行为，可以通过多种方式进行报警，并能够根据预定义的策略，选择切断攻击方的所有连接，或通知防火墙，修改过滤规则，阻断攻击，从而保护本地主机的安全。鹰眼网络入侵检测系统具有以下六种报警响应方式：（1）数据库报警第62页共62页投标单位兰州理工大学软件学院 首先在WEB操作界面左上方有一个报警灯实时反映警报数据的变化：l若灯为绿色，则表示无入侵行为发生过；l若灯变为红色，则表示曾有入侵行为发生过；l若灯在不停地闪烁，则表示当前有入侵行为正在发生。同时在界面上可进一步实时查看到所有警报发生的时间、源地址、源端口、目的地址、目的端口、攻击类型、建议解决方案等详细信息。（2）电子邮件报警鹰眼系统能够依照用户自定义的邮件发送策略，将近期检测到的攻击通过电子邮件的方式发送给管理员。管理员不论身处何地，只要能够接收电子邮件，就能够了解网络的安全状况。（3）SNMPTRAP告警鹰眼系统能够将告警信息通过SNMPTrap的方式发送到用户指定的SNMP管理中心，使用户可以通过自己应用环境中的简单网管系统查询到鹰眼告警信息。（4）SYSLOG告警鹰眼系统能够将告警信息发送到用户网络环境中任何开放了syslog服务的服务器上，使用户可以通过查看服务器系统日志的方式查询到鹰眼的告警信息。（5）主动切断鹰眼系统能够基于用户的定制策略在发现TCP和ICMP协议的攻击行为时，向攻击方和被攻击主机发送切断数据包，实施主动切断，以阻止攻击行为的进一步发生。（6）防火墙联动响应在发现一些危险性较大的攻击行为，仅仅依靠IDS无法有效阻止攻击时，鹰眼系统将自动发送阻断请求到实现联动的防火墙，通知防火墙修改过滤规则，及时阻止攻击行为的进一步发生。五：服务器：（５台）第62页共62页投标单位兰州理工大学软件学院 1.品牌型号：IBMXA-322.CPU：IntelXeonMP3.RAM：32GB4.SCSI： 36*2 选择理由：（1）IBM®BladeCenter在机箱中集成了各种网络组件，以简化基础设施复杂性和可管理性，同时降低总体拥有成本。（2）智能管理工具(如IBM导控器)可帮助提供全面的系统管理创新、灵活的模块化技术使用IBMPower处理器的刀片服务器集成到IBMeServerBladeCenter架构之中新的BladeCenter备用随需容量可在您需要时提供额外的容量。（3）创新的模块化技术实现了卓越的性能密度和经济的可用性。其有效的扩展结构是企业应用的理想选择，使您能够按需增加容量，"边增长边付费"。（4）行业标准机柜(42U)中最多可以安装42台服务器，平均每台1U的高度热插拔设计—允许您在不中断其它机箱操作的情况下增加容量六：防火墙（1台）1.品牌型号：龙马卫士防火墙WLMB-1000SX2.接口及带宽：2*1000M+1*100M选购理由：（1）传统防火墙一般是以IP地址为核心进行访问监控，而新一代的龙马卫士防火墙是以用户为核心进行访问监控，实现了用户的认证，授权，记帐（AAA）功能。认证（Authentication）：用来证明用户的真实身份，如：“我是用户Bob，我的密码证明了我确实是。”当用户通过防火墙进行访问时，首先需要对其身份进行认证，认证方式简单方便，认证的工具可以是任何支持认证的网页浏览器如MicrosoftInternetExplorer（IE）或Netscape，身份认证是基于密码技术的，对管理员用户名和口令在传输时进行加密，并且，对防火墙和控制端之间通过网络传输的所有数据全部加密，这样有效地防止了在网络传输过程中数据被窃听、篡改，达到更高可靠性的身份认证。龙马卫士防火墙支持多种认证方式，如用户名和口令，一次性口令认证（OTP）、PAM、PAP/CHAP、MS-CHAP、NT-Domain、Radius、Kerberos、LDAP等，并可以根据用户需求扩展其他认证方式。第62页共62页投标单位兰州理工大学软件学院 授权（Authorization）：在经过了认证后，授权决定了该用户可以进行何种访问活动，如：“用户Bob可以对主机NT_host进行Telnet访问。”龙马卫士防火墙可以对所有用户进行分组管理，对用户组进行授权。认证通过后确定用户所属的用户组，系统将检查安全策略中对此用户组的授权。用户被授权后所有的资源访问能够进行记录实现记帐。记帐（Accounting）：记录了用户实际上进行的访问活动，如某个用户进行了何种访问，对谁进行了访问等信息，如：“用户早10：00从自己的主机对主机NT_host进行了Telnet访问。”龙马卫士防火墙跟踪所有用户的访问记录，为系统审计，发现入侵活动等提供分析依据。龙马卫士防火墙的AAA模块主要由网络访问服务器（NAS）以及认证控制服务器（ACS）两部分组成。认证控制服务器是一个标准的Radius认证服务器，完全遵循RFC2865、2866和部分2869的规范。并以用户为核心，同时具有授权和记帐等功能。认证控制服务器可以为任何支持Radius协议的其他防火墙，路由器和拨号服务器等提供认证服务。认证控制服务器支持多种认证方式，并可以根据用户需求扩展其他认证方式。同时，认证控制服务器还支持认证代理，可以将认证转发给其他的Radius认证服务器。龙马卫士防火墙的认证控制服务器的结构高度模块化，具有良好的可扩展性，并能够扩展新的认证方式。龙马卫士防火墙还为AAA服务提供管理工具。管理工具采用B/S结构，通过浏览器来管理认证服务器上的用户、进程、日志等，并且可以进行远程管理，界面友好，使用方便。（2）实时的连接状态监控功能包过滤是防火墙中的一项主要安全技术，它通过防火墙对进出网络的数据流进行控制与操作。龙马卫士防火墙不仅根据数据包的地址、方向、协议、服务、端口、访问时间进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。传统防火墙的包过滤只是与规则表进行匹配，对符合规则的数据包进行处理，不符合规则的丢弃。由于是基于规则的检查，属于同一连接的不同包毫无任何联系，每个包都要依据规则顺序过滤，这样随着安全规则的增加，势必会使防火墙的性能大幅度的降低，造成网络拥塞。甚至黑客会采用IPSpoofing的办法将自己的非法包伪装成属于某个合法的连接。这样的包过滤既缺乏效率又容易产生安全漏洞。（3）第62页共62页投标单位兰州理工大学软件学院 龙马卫士防火墙采用了基于连接状态检查的包过滤，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合，大大地提高了系统的性能和安全性。龙马卫士防火墙在进行包的检测时不仅将其看成是独立的单元，同时还要考虑与它的前面包的关联性。而无连接的包过滤规则没有考虑这些内在的关联信息，对每个数据包都进行孤立的规则检测，这样就降低了传输效率和安全性。尤其值得一提的是，对于基于UDP协议、ICMP的应用来说，是很难用简单的包过滤技术进行处理的，因为UDP协议本身对于顺序错误或丢失的包，是不做纠错或重传的。而ICMP与IP位于同一层，它被用来传送IP的差错和控制信息。龙马卫士防火墙在对基于UDP协议的连接处理时，会为UDP建立虚拟的连接，同样能够对连接过程状态进行监控。通过规则与连接状态的共同配合，达到包过滤的高效与安全。可以这么说，能够实现对UDP、ICMP协议的实时状态监控，是龙马卫士防火墙有别于其它厂商防火墙的显著特点之一。（2）动态过滤技术,在进行网络通讯时，应用程序的端口必须打开才能进行通讯。传统防火墙一般采用的是静态过滤技术，即事先打开很多端口以满足各种应用的需要，但是有时某些应用程序的端口是动态变化的，如Ftp、H.323、视频会议等应用，事先打开的端口很难满足这种动态变化的需要，而且如果事先打开的端口过多，可能造成很多不安全的隐患，为了解决这些问题，在龙马卫士防火墙中，使用了动态过滤技术。动态过滤技术指的是根据实际应用的需要，为合法的访问连接动态地打开其所需要的端口，在访问结束时自动地将打开的端口关闭。这样在实际应用中，事先只需打开极少数必须打开的端口，在建立合法的访问连接时再适当打开某些需要的端口，当连接结束时，自动地关闭相应的端口，这样能够有效的防止系统存在的‘开口’隐患，解决了事先打开的端口不能满足应用程序的需求等问题，并能在最大程度上挫败黑客的恶意进攻。（3）IP地址盗用自动检测技术每一块网络接口都具有一个唯一的物理标识号码，也就是MAC地址。龙马卫士防火墙提供了将网络接口的IP地址同它的MAC地址进行绑定的功能，因此即使某一用户盗用IP地址，在通过防火墙时也因接口的MAC地址不匹配而拒绝通过。龙马卫士防火墙给用户提供一种自动搜索局域网内给定网段的MAC地址的方法，能够自动获取所有IP地址对应的MAC地址，有效地防止IP地址欺骗。这样，防火墙能够自动监视内部IP地址资源的使用情况。（4）灵活多样的网络地址转换（NAT）第62页共62页投标单位兰州理工大学软件学院 龙马卫士防火墙利用NAT技术对内部地址做转换，使外部网络无法了解内部网络的结构，使黑客很难对内部网的一个用户发起攻击。同时允许内部网络使用自己定制的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。并且，无论防火墙工作在何种模式（路由，透明，混合）下，都能实现NAT功能。龙马卫士防火墙不仅提供了传统的“内部网到外部网”，“外部网到内部网”NAT功能，而且提供任意网络接口的地址转换功能，规则能够根据源地址范围，目的地址范围，端口以及协议等精密匹配。地址转换分为源地址转换和目的地址转换，另外，为了适应复杂的网络结构，防火墙还提供外部网络到内部网络的源地址转换功能。也就是说，对于任何一个网络接口，可以进行向外的源地址转换，向内的目的地址转换以及向内的源地址转换三种NAT。第62页共62页投标单位兰州理工大学软件学院 第五章网络平台设计5.1.信息流分析5.1.1信息流量计算由于视音频的数据流量是负担最大的网络信号，为了保障河北省江州市政务网畅通无阻，我们以视频流为例来分析一下本方案中对网络平台设计的基本要求，“河北省江州市电子政务内网”采用多网合一的技术实现形式，在计算机网络中，需要同时传输计算机数据、数字化的音频编码信息和视频编码信息、语音信息等多中信号，5.1.2信息流向网络视音频流主要来自以下几个方面：主控室内的节目源，如VCD、DVD、VTR、TV等视音频服务器，如VODServer、AODServer等监控点（分布于各个信息点）网络数据流主要来自校内各个信息点，以及Internet等。5.2.网络技术选择5.2.1主要的高速网络技术在网络设计中，只要投资允许，并充分考虑技术的成熟性与以后的生命周期，建议采用100M/1000Mbps高速网络技术构建局域网。当前高速网络技术主要有：快速以太网（FastEthernet）光纤分布式接口（FDDI）异步传送模式（ATM）千兆位以太网（GbpsEthernet）交换技术（Switching技术）此外，第三层和三层以上交换、VPN、宽带网络等新技术不断出现和发展，计算机网络领域中新技术、新产品层出不穷。第62页共62页投标单位兰州理工大学软件学院 建设网络的关键还是网络的实际效益，网络的实用性。下面就千兆以太网本身的技术特点作一些分析，以确定网络技术的选择。5.2.2千兆以太网络千兆以太网继承了10兆、100兆以太网的特征,并具有以下优点：（1）与现有大多数网络设施的兼容性。权威统计表明大多数网络都是以太网，因此千兆以太网与现有网络具有天然的兼容性。千兆以太网在与10兆、100兆以太网通信时不存在需要损失性能的转换操作。（2）简便的网络升级操作。千兆以太网由于完全与以前的10兆、100兆以太网兼容。因此，自然简便的网络升级使得千兆以太网可以“无缝”融入现存的以太网环境中，解决了网络管理员所面临的如何升级现有网络，但不至于造成网络瘫痪的问题。用户总是倾向简单实用，厌恶烦琐复杂的工作。因为升级的挑战过程和额外的知识学习并不是用户建网的目的。（3）技术的成熟性和稳定性。以太网技术是十分成熟的技术，它所组成系统的可靠性已经接近一般的电话通信系统。千兆以太网仍然是以太网，意味着千兆以太网是可以信赖的技术。（4）总体开销较低。总体性的开销是评价网络技术的重要的因素。总体开销不仅包括购买设备的开销，还应包括培训、维护和纠错的开销。千兆以太网产品能提供较好的性能价格比。从台式机联网的网卡、集线器、交换机、路由器、防火墙和其它各种设备，千兆以太网和其它类似速率的通信技术比较，价格总是低廉的。并且，由于用户早已熟悉了以太网技术、以太网的维护和纠错手段，因此以太网维护的开销也较少。从技术本身的特征分析，千兆以太网的技术复杂度也较低。网络管理人员不需要记忆很多术语，不需要经过复杂的额外培训。（5）灵活的网络互联和网络设计。千兆以太网可以支持多种交换、路由和共享式方式。所有当今的网络互联技术，包括第三、四层交换技术和千兆以太网都是兼容的。（6）千兆以太网性能很好。千兆以太网能以千兆线速运行。由于多数千兆以太网使用无冲突的交换式、全双工的结构，应当认为此时的吞吐率将可以接近全双工的理论上的2Gb/s的最大吞吐量。第62页共62页投标单位兰州理工大学软件学院 （7）千兆以太网的距离。千兆以太网标准定义了传输距离的三个目标：最大距离为550米的多模光纤；最大距离为5千米的单模光纤；距离不小于25米、理想为100米的铜线。实际上有一些公司已经突破了这些距离定义的限制，比如说PACKETENGINE公司的千兆以太网传输距离已经达到城域网的长度，并且已经利用长距离的千兆以太网的传输手段建设出了长达近百千米的成功城域网范例。这种长距离的千兆位高速传输的解决方案引起了人们的极大兴趣和关注。目前在局域网络上应用最广泛的技术有以太网、快速以太网、FDDI、TokenRing以及最新崛起的ATM（异步传输模式）、千兆以太网等。在这些技术中，千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。综上所述，在江州市江州市的网络建设中，选择千兆主干，百兆桌面网络技术。建议采用星型网络拓扑结构，全校网络整体构架设计图见下页：5.3.路由器、交换机选型与配置由于政务网建设中网络平台的设计是一次性投资的基础建设之一，从长远发展角度考虑，应该选择一款不仅能够满足目前需求，而且能够满足以后网络扩充需要的路由交换机；其性能要求应该比目前需求适当超前，但从投资角度考虑，其性能价格比非常重要，而国内比较知名的神州数码系列路由器、交换机，其性能稳定，功能完善，价格适中。完全能满足河北省江州市电子政务内网整体需求和未来的发展。5.3.1核心路由器核心路由器是一个网络重要枢纽，它的性能、可靠性高低、直接影响到网络运行质量，DCR-7608路由器是神州数码网络有限公司推出的高性能路由器。凭借路由器的高性能、高可靠和高密度特性，可作为大中型企业和大型行业专网的高密度汇聚设备。同时该路由器具备各种宽带路由器特性，也可作为园区网的出口路由器。　　DCR-7608具有10个扩展插槽。DCR-7608路由器采用高性能CPU，主控板同时提供2个标配10/100/1000M光电组合以太网口和1个10/100M以太网口。支持电源冗余，支持各种高密度接口，支持丰富的增值功能。第62页共62页投标单位兰州理工大学软件学院 5.3.2二级路由器DCR-3680是神州数码专为教育城域网、企事业单位推出的一款性能超群的安全汇聚路由器。DCR-3680既达到神州数码DCR-6000运营商级路由器的性能，同时也支持DCR-6000路由器的模块。其设计独特的内置硬件加密芯片和优化设计的防火墙，大大提升VPN性能和安全性能。为构建低成本、高性能、高可靠的网络提供了选择。DCR-3680标配2个10/100/1000M自适应以太网口，并支持各种运营商级的高密度网络模块。同时采用了高速CPU，可实现线速转发。并且加入了众多安全特性，实现防病毒、防攻击、防BT。特别设计的备份口可提供远程拨号维护，快速解决网络问题。同时优化设计的NAT和防火墙，可以满足4000个用户同时并发上网需求。5.3.3三级路由器DCR-2621为神州数码网络有限公司推出的一款高性价比的安全接入路由器。DCR-2621专为行业专网、小型办事处和企业远程工作者设计，提供优化的安全性和高度的灵活性。可以实现高速、稳定、安全的专线接入或ADSL接入，实现灵活可靠的VoIP、VPN等网络应用。　　DCR-2621提供两个以太网口、一个高速串口，DCR-2621还提供一个扩展接口插槽。其中双以太口的设计独具特色，能满足ADSL或专线的上网需求，高速串口满足行业专网的接入需求；全新设计的安全功能，支持IPSecVPN、防火墙保护和URL过滤等，并特别设计防BT功能。优化设计的高级服务质量（QoS）特性，可优先处理高质量语音、视频和数据应用。同时具备MPLSVPN等新特性，并可平滑升级到IPv6，保护用户投资为未来发展提供保障。5.3.4核心交换机核心交换机是一个网络重要枢纽，它的性能、可靠性高低、直接影响到网络运行质量，因此我们推荐选用神州数码公司的DCRS－6808做为江州市电子政务网主交换机。神州数码网络的千兆通DCRS-6808第62页共62页投标单位兰州理工大学软件学院 系列交换机是具有电信级容错能力的高性能的大型网络核心交换机，可为企业和运营商提供基于领先技术的卓越性能和可靠性。DCRS-6800系列交换机专为发挥千兆以太网潜在的巨大交换能力而设计，其超大容量的交换背板来可以保证任何情况下每个端口均可轻松具备全带宽交换的能力，确保在巨大的通信量和网络负载下始终能够轻松实现线速的第二层和第三层交换。针对于城域网、数据中心、智能大厦、企业网络，可作为理想的网络骨干核心交换机。DCRS-6808有10个插槽，该系列交换机的所有管理模块、交换模块以及电源模块都可互换使用，而且管理模块、电源模块等还可实现冗余备份，温度传感器可以随时监控各个部件的工作温度，从而提供电信级的可靠性。5.3.5汇聚交换机DCRS-5950系列交换机是神州数码网络推出的盒式高性能硬件IPv6万兆路由交换机，该系列交换机采用硬件ASIC芯片实现IPv4与IPv6双协议栈，可全线速转发IPv4/IPv6的2/3层数据包，在IPv6方面处于业界领先的地位。该款产品支持丰富的IPv6隧道协议，可灵活实现IPv4网络与IPv6网络的互连互通，且支持IPv6版本的RIPng，OSPFv3等动态路由协议，可用于部署大型IPv6网络。　　神州数码网络的全线路由交换产品已经通过最为苛刻的国际IPv6Ready第二阶段认证。第二阶段认证被IPv6官方权威机构认定为金牌认证。不仅如此，DCRS-5950系列借助芯片级的转发能力和多样化的业务支持，以及较高的性价比，成为大型企业级网络汇聚和中型网络万兆核心层部署IPv6的最佳解决方案的一部分。该系列交换机支持千兆下联，万兆上联，端口组合非常灵活，万兆核心交换机的技术应用在固定式交换机上，而高度只有1U，充分体现了汇聚产品高性能、小型化、灵活的趋势。在性能和功能方面DCRS-5950系列能够满足大型网络的组网需求，并具备丰富的智能和安全特性，特别适合于作为大型校园网、企业网、IPv4/IPv6城域网的汇聚设备，以及中小型网络的核心设备。第62页共62页投标单位兰州理工大学软件学院 DCRS-5650-28C/52C千兆路由交换机是神州数码网络为充分满足用户构建安全、智能的新一代园区网络而推出的一款以太网交换机。DCRS-5650-28C/52C交换机可用于教育、政府、电信、企业、园区等网络，既可作为大型网络的接入层设备，也可作为中小网络的骨干交换机或小区网络中的楼宇汇聚层设备，千兆光连接做楼宇间互联，千兆电连接做服务器接入。特别适合安全要求比较高的网络接入层，具备业界最强的ACL，结合802.1xClient，DCBI等,提供接入准入控制。　　DCRS-5650-28C可提供24个10/100M自适应RJ45端口、固化4个千兆Combo(SFP/GT)接口，可灵活用做上联及堆叠；　　DCRS-5650-52C可提供48个10/100M自适应RJ45端口、固化4个千兆Combo(SFP/GT)接口，可灵活用做上联及堆叠5.3.4接入交换机选择神州数码DCS-3950系列交换机作为二级交换机，配置在各个楼内的设备间，充当楼内主交换机。样本图片和主要的技术指标如下。产品综述DCS-3950系列交换机是神州数码网络有限公司推出的一款可网管L2/L4堆叠交换机，在安全、运营和堆叠等特性上极具特色，适用于教育、政府、大中型企业网络的接入设备。它具有24个10/100Mbps自适应RJ-45端口和2个模块扩展插槽（可选插百兆光纤模块或千兆模块），可千兆或百兆上联至骨干网。DCS-3950系列支持堆叠卡式标准堆叠和千兆电口卡超级堆叠。通过超级堆叠，用户可以避开堆叠线缆的限制，使物理上相连的设备成为一个完整的堆叠组。作为新一代的交换机，DCS-3950系列具有强大的安全特性。强大的ACL可以完全过滤“冲击波”等病毒，保护核心设备。完全的硬件转发可以在病毒泛滥时使正常数据不受任何影响。DCS-3950系列还支持神州数码网络完整的802.1x认证计费解决方案，可给用户提供良好的网络运营方案，实现“以网养网”的目的，并且可以对用户帐号、IP、MAC等多种信息实现严格的绑定管理，使网络更加易于管理。n主要特点第62页共62页投标单位兰州理工大学软件学院 u基于DCNOS（神州数码网络操作系统）平台u支持堆叠卡式标准堆叠和千兆电口卡超级堆叠，最大可实现9台堆叠。u支持802.1x，可以与DCBI-2000配合构成完整802.1x认证计费解决方案。u强大的ACL功能可以完全过滤“冲击波”等病毒，保护核心设备。u支持端口VLAN、802.1QVLAN和私有VLAN。u具有丰富的QoS策略，每个端口可提供4个优先级队列，支持WRR/SP等调度方式。u支持SNTP时钟协议，实现网络自动同步。u支持SNMP，可采用神州数码集中网管系统LinkManager统一管理，方便简捷。DCS-2000E系列安全运营交换机是专为宽带小区、校园网和企业园区网接入而设计的可网管快速以太网交换机。它们具有独特的网络接入功能和特性，重点突出了网络安全性和可运营性，包括MAC绑定/过滤、MAC地址导入/导出、IEEE802.1QVLAN、端口VLAN、PVLAN、GVRP动态注册VLAN、保护端口、IEEE802.1x接入认证、带宽控制、IEEE802.3ad端口汇聚、QoS、IGMP组播、广播风暴抑制、IEEE802.1D/w/s生成树、集群网管、端口镜像等，可满足宽带园区网络对接入控制和管理的需求，提供了高性价比的宽带园区接入网络解决方案。5.4.系统供电、地线及接地安全根据政府网络的应用需要，在信息中心可以配置知名公司的UPS电源，用于交换机、服务器等重要设备供电。5.5.网络拓扑结构第62页共62页投标单位兰州理工大学软件学院 图九根据以上的信息分析、选型、配置，确定了网络平台的总体结构。本网络为单核星型拓扑结构，市委政府楼有一台路由器7808分别连接以下4个区县每个区县选用DCR-3680汇聚5个乡镇的数据。乡镇以及区县之间的接入交换机。使用DCS-3960系列交换机连接到桌面。从图中可以看出，市委为整个网络的中心，其中市到4个区县都是电信专线DHE线路，各个区县到乡镇为1根2M的E1链路。5.6.路由规划　　根据电子政务行业特点，我们建议在市至县的一级网络以及县至乡镇的二级网络中采用OSPF动态路由协议，采用并进行科学的路由划分。　　根据信息化系统结构的特点，OSPF域划分为两级：　　骨干区域（Area0）：市级核心节点到各县级核心节点为骨干区域，包括国家核心路由器和各省级核心路由器（区域边界路由器ABR）。　　二级子域（AreaN）：县级主节点到下辖各乡镇网络为一个二级子域，包括县级汇聚路由器、乡镇第62页共62页投标单位兰州理工大学软件学院 路由器（自主系统边界路由器ASBR）。　　结合江州市近期网络建设需求我们主要推荐市县内二、三级纵向网络建设方案及乡镇边缘接入解决方案。5.7.政府网络平台功能在这个政府网平台上，一般的网络功能，如网上浏览、文件传输、电子邮件、电子公告，毫无问题都可以实现。全数字网络系统全中的多媒体教学子网、数字监控子网、智能广播子网所有功能实现均建立在此政府网络平台之上。5.8.网络安全本节虽然列在网络平台一章中，但所述内容部不局限于网络平台。安全问题贯穿在校园网的整个层次结构中。在本设计方案中处处体现网络安全第一的思想。这里集中说明政府网安全要点，可以有一个整体概念。5.8.1网络安全概念系统安全的定义：国际标准化组织（ISO）将“计算机安全(ComputerSecurity)”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。”此定义偏重于静态信息保护。国内有人将“计算机安全”定义为：“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄漏，系统连续正常运行。”该定义着重于动态意义的描述。网络安全应该包含以下几个方面：·网络设备电气技术安全·网络平台物理安全·网络平台技术安全·网络服务信息安全·网络应用信息安全（数据安全）·数据备份·计算机病毒防护·对网络安全问题的认知第62页共62页投标单位兰州理工大学软件学院 在现代技术迅速发展的时代，没有绝对安全的网络，安全是一个相对的概念。网络安全不是一个一劳永逸而能解决的问题。安全问题是一个动态问题。网络安全不是一个单纯的技术问题，而是一个包含法制、思想教育、行政管理制度、体制、技术的综合系统工程。网络工程实践表明：真实意义上的网络安全应包含以下四个要素：人员、技术（或称工具）、管理和资金。真正的安全性可以用一个数学格式来表示：安全性＝人员＋管理＋技术＋资金5.8.2安全系统设计原则网络安全设计应当遵守以下几项基本原则：·需求、风险、代价平衡分析的原则·综合性、整体性原则·有效性与实用性原则·安全性评价原则·等级性原则·最小特权原则·多重保护原则·动态化原则5.8.3安全风险与防范（1）网络物理环境的安全风险和防范光缆架空或地埋遭到有意破坏的可能性比较小，受到无意损害的可能性比较大；楼内的网络线路受到有意伤害的可能性虽然比较小，无意的伤害可能性比较大；布线在PVC线槽内，则基本上是安全的；高温可能对环境要求比较高的设备或散热性能差的设备的安全运行带来风险；建议至少在中心机房安装空调。出楼禁用双绞线而采用光缆，可以防止所连接的网络设备因雷电造成意外的损害；（2）电气安全风险和防范第62页共62页投标单位兰州理工大学软件学院 每一个楼只能有一个统一地线。浮动接地点和多点接地供电对网络设备构成极大的安全威胁；提高供电网负载平衡能力。电压过低，某些设备工作不正常；电压过高，对设备的安全威胁最大；突发停电不仅对某些网络设备的电气安全构成威胁，而且系统设置的丢失、破坏、重要数据信息的丢失，有可能带来比较大的损失。建议至少在中心机房采用UPS供电。（3）网络平台安全风险和防范网络平台采用单星型拓朴结构，中心交换机是整个网络的基石，对其安全性要求很高。适当备份，以避免自然损坏的风险是完全必要的。多媒体园区网，信息流量很大。高速的、留有足够冗余带宽的主干网为信息包的传输提供了高速信息公路。如果投资条件允许，采用了三层交换，将路由功能和交换功能融为一体，这种由路由瓶颈引起的网络失效的风险很小。网络布线采用进口结构化布线产品。本公司提供十五年的质量保障，由于网络链路故障引起的网络失效的风险就可减少到最小。网络平台安全的最大薄弱环节在主干服务器。外来“黑客”对网络层的攻击，将主要是针对主干服务器，但这不是网络平台设计和服务器本身所能完全解决的安全问题。如果安全性要求比较高，则应采取路由器、防火墙划分VLAN、加载安全软件等综合措施。服务器和工作站主机操作系统的安全漏洞所带来的安全风险：市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。相比较而言，天酬公司提供的教室端的“嵌入式网络教学计算机”由于采用全硬件结构（软件嵌入固化）安全性要好得多。（4）病毒防范方案计算机病毒对网络的影响可以称得上是灾难性的。对单机使用者来说，软盘是传播病毒的唯一媒介。上网以后，网络就有可能成为传播病毒的最主要的途径。防治计算机病毒是一项系统工程,不是一项单纯的技术工作，不是某一个人的责任，而是每一个上网操作者的责任。第62页共62页投标单位兰州理工大学软件学院 为了校园网的案安全，我们应选择选择多层病毒防卫体系。所谓多层病毒防卫体系，是指在政府网的的每个台式机上要安装台式机的反病毒软件，在服务器上要安装基于服务器的反病毒软件。在代理服务器上安装正版网络防病毒软件，进行病毒检查扫描，检查电子邮件中的病毒。管理措施：定期进行网上病毒检测，制定病毒报告制度。对重要信息定期备份，有价值的信息使用加密保护。定期进行用户安全防范意识的培训。用户一般不要将来历不明的软件装入PC机。要进行病毒检查。确认无病毒时，再将该软件作为网络资源备份在服务器中。定期进行数据备份。当前，主要的数据备份技术有：双机热备份系统、RAID(廉价冗余磁盘阵列)系统、NAS网络存储器、可擦写光盘备份系统、磁带机及磁带库备份系统等。主域名系统DNS和副域名系统DNS应分别保存在两台服务器上，并且互为热备份。重要的数据备份在服务器的存储介质上。5.8.4安全管理的原则性建议系统安全可以采用多种技术来增强和执行。但是，很多安全威胁来源于管理上的松懈及对安全威胁的认识。诸多不安全因素恰恰反映在组织管理和人员使用等方面。安全系统需要由人来计划和管理，任何系统安全措施都不能完全由计算机系统独立承担。各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。市政府可委托网管中心具体组织实施。网管中心在安全管理方面的具体工作是：（1）确定政府网各子系统的安全等级，根据确定的安全等级，确定安全管理的范围。（2）制定网上网用户管理制度。所有上网用户都要造册登记在案。（3）制定信息安全管理制度。对内部关键信息要划分安全等级，实行分级管理。严禁越权访问。（4）制订相应的机房出入管理制度。（5）制订完备的系统维护制度。（6）建立定期安全评估制度，由网管中心定期向领导提供安全分析评估报告。（7）对各级用户定期进行安全培训。第62页共62页投标单位兰州理工大学软件学院 第六章VLAN、IP规划6.1.VLAN、IP技术介绍IP协议作为基本网络通信协议，为网络的互连互通提供了基本载体，是保证网络安全、正常运行的基础，因此必须对网络中的IP地址的使用进行科学的规划。有关IP地址划分的原则如下：（1）IP地址的划分便于地址分类管理；如无线局域网划分独立的IP子网，园区间骨干网络、园区内网络设备均应该划分划分独立的IP子网，数据中心划分独立的IP子网等；（2）地址划分与网络的层次结构相适应，便于形成简单高效的路由、有利于形成路由聚；对于网络IP地址的划分，为便于形成简单高效率的路由，便于路由维护、网络故障诊断，以及提高路由转发匹配效率等目的，IP地址的划分，必须与网络的层次结构向适应，有利于路由汇聚、便于形成简单高效率路由。如，园区内每栋大楼的IP地址应该可以汇聚成一个较大的IP地址，软件园区内网络的IP地址应该可以汇聚到一个更大的IP地址，已形成汇聚路由，同时增加路由的稳定性。（3）地址划分便于诊断网络故障，方便网络维护；对于大规模的网络来说，网络维护关系网络的运行的正常与否，因此，网络维护对于IP地址规划来说，尤其重要。IP地址的划分，有利于诊断网络故障，有利于路由维护，同时，也应该有利于网络路由的自愈等。（4）地址划分有利于网络安全策略的实施；对于基础支撑平台网络来说，网络上承载有5大业务支撑，包括网上教育、信息交流与共享、综合服务管理、研发支持、软件测试平台等，每个平台对安全的要求是有很大的不同，因此，为区别实施各业务的安全策略，在IP地址的划分上，应该有利于实现网络安全策略。虚拟局域网VLAN（VirtualLocalArea第62页共62页投标单位兰州理工大学软件学院 Network）又称虚拟网，从网络管理上被定义为一个位置无关的局域网广播域。VLAN技术是随着交换技术的出现而产生的，在一个校园网内划分若干虚拟子网有以下好处：1．隔离广播。划分虚拟子网后，所有广播将局限在本VLAN子网内，从而有效的提高了网络整体的有效带宽，隔绝了网络的广播风暴。2．方便的工作组划分和管理。划分虚网后，对工作组的划分不再局限于他们的物理位置，而可根据他们的功能进行划分，从而实现网络物理结构和虚拟子网的无关性。3．增强网络安全性。由于各VLAN子网在逻辑上的独立性，可对各虚网按实际情况分别定义安全策略，有效的避免非法入侵，提高各虚网的安全性。在第三层交换机面世之前，交换机所提供的VLAN划分方式只有两种。第一是基于端口。即提供把某个或某几个端口上的机器划分为一个VLAN的方法，这和物理网段较为类似，无法实现位置无关的虚拟网配置。第二是基于MAC地址的。即将子网以MAC地址来划分，这种策略实现了位置无关的虚拟网。IP地址管理：确定我们的地址需要；选择正确的掩码；获得足够的IP地址VLAN的划分与IP子网的规划存在很大的关系。具体的实施过程建议如下进行：1．对全网的IP地址进行全面的规划，确定各子网内主机的数量，并根据IP子网内主机的数量确定掩码的长度。2．确定IP子网的聚合点，聚合点以下采用连续的子网划分。使聚合点向核心路由交换机通告最少的路由。3．选择合适的路由协议进行子网路由。4．根据IP子网的规划，对交换机进行VLAN的规划和划分。建立VLAN和IP子网的对应关系。5．网络管理系统采用完全独立的IP子网和VLAN，实现更安全的对所有网络设备进行管理。第62页共62页投标单位兰州理工大学软件学院 6．根据信息流量的走向和分布，确定服务器集群的VLAN和IP子网。7．在三层路由交换机建立相应的VLAN以及与VLAN绑定的IP子网网关。8．建立相应的子网间的访问策略，在三层路由交换机配置访问列表。6.2.VLAN、IP划分方案（VLSM/CIDR）我们按照每层楼划分一个vlan，即每层楼的用户之间可以相互通信。江州市的核心机房设在1号楼3层可以与市政府以及县区政府之间通信，即可以与所有用户进行通信。江州市的2号楼的中心机房设在3层，可以整栋楼之间进行通信。其余四个县区：1号楼的中心机房设在2层，可以与1号楼的所有用户进行通信。2号楼的2层可以与2号楼的所有用户进行通信。其余的都是每层的用户可以相互通信。每个vlan都有足够的IPvlan的划分江州市:1号楼1-6楼，每楼都是75个信息点，在私有C类地址中进行划分，192.168.xx.xx在主机号中划分一位做子网号。IP网段为192.168.1.0/252号楼1-5楼，每层楼都有45个信息点，同样在C类私有地址中进行划分，192.168.xxx.xxx,在主机中划分两位做子网号。ip网段为192.168.4.0/26.县区：1、2号楼每层都是20个信息点，在主机号中划分3位做子网号。每个vlan都有足够的ip用与扩充，充分体现了可扩展性。服务器名IP划分DHCP192.168.2.2DNS192.168.2.3FTP192.168.2.4Web192.168.2.5表三第62页共62页投标单位兰州理工大学软件学院 市县楼栋楼层电脑数量Vlan号VlanIPIP网段可用范围江州市1号楼17511192.168.1.1/25192.168.1.0/25192.168.1.2～126/2527512192.168.1.129/25192.168.1.128/25192.168.1.13～255/2537513192.168.2.1/25192.168.2.0/25192.168.2.6～126/2547514192.168.2.129/25192.168.2.128/25192.168.2.13～255/2557515192.168.3.1/25192.168.3.0/25192.168.3.2～126/2567516192.168.3.129/25192.168.3.123/25192.168.3.13～255/252号楼14521192.168.4.1/26192.168.4.0/26192.168.4.2～62/2624522192.168.4.65/26192.168.4.64/26192.168.4.66～126/2634523192.168.4.129/26192.168.128/26192.168.4.13～180/2644524192.168.4.193/26192.168.4.192/26192.168.4.19～255/2654525192.168.5.1/26192.168.5.0/26192.168.5.2～62/26表四第62页共62页投标单位兰州理工大学软件学院 市县楼栋楼层电脑数量Vlan号VlanIPIP网段可用范围沧县1号楼120101192.168.6.1/27192.168.6.0/27192.168.6.2～30/27220102192.168.6.33/27192.168.6.32/27192.168.6.34～62/26320103192.168.6.65/27192.168.6.64/27192.168.6.66～194/26420104192.168.6.97/27192.168.6.96/27192.168.6.98～126/262号楼120201192.168.6.129/27192.168.6.128/27192.168.6.128～158/26220202192.168.6.161/27192.168.6.160/27192.168.6.162～190/26320203192.168.6.193/27192.168.6.192/27192.168.6.194～222/26420204192.168.6.225/27192.168.6.224/27192.168.6.226～255/26表五市县楼栋楼层电脑数量Vlan号VlanIPIP网段可用范围120111192.168.7.1/27192.168.7.0/27192.168.7.2～30/27第62页共62页投标单位兰州理工大学软件学院 青县1号楼2112192.168.7.32/2720192.168.7.33/27192.168.7.34～62/26320113192.168.7.65/27192.168.7.64/27192.168.7.66～194/26420114192.168.7.97/27192.168.7.96/27192.168.7.98～126/262号楼120211192.168.7.129/27192.168.7.128/27192.168.7.128～158/26220212192.168.7.161/27192.168.7.160/27192.168.7.162～190/26320213192.168.7.193/27192.168.7.192/27192.168.7.194～222/26420214192.168.7.225/27192.168.7.224/27192.168.7.226～255/26表六市县楼栋楼层电脑数量Vlan号VlanIPIP网段可用范围景县1号楼120121192.168.8.1/27192.168.8.0/27192.168.8.2～30/27第62页共62页投标单位兰州理工大学软件学院 220122192.168.8.33/27192.168.8.32/27192.168.8.34～62/26320123192.168.8.65/27192.168.8.64/27192.168.8.66～194/26420124192.168.8.97/27192.168.8.96/27192.168.8.98～126/26120221192.168.8.129/27192.168.8.128/27192.168.8.128～158/262号楼220222192.168.8.161/27192.168.8.160/27192.168.8.162～190/26320223192.168.8.193/27192.168.8.192/27192.168.8.194～222/26420224192.168.8.225/27192.168.8.224/27192.168.8.226～255/26表七市县楼栋楼层电脑数量Vlan号VlanIPIP网段可用范围丘县1号楼120131192.168.9.1/27192.168.9.0/27192.168.9.2～30/27220132192.168.9.33/27192.168.9.32/27192.168.9.34～62/26320133192.168.9.65/27192.168.9.64/27192.168.9.66～194/26420134192.168.9.97/27192.168.9.96/27192.168.9.98～126/262号楼120231192.168.9.129/27192.168.9.128/27192.168.9.128～158/26220232192.168.9.161/27192.168.9.160/27192.168.9.162～190/26320233192.168.9.193/27192.168.9.192/27192.168.9.194～222/26420234192.168.9.225/27192.168.9.224/27192.168.9.226～255/26表八第62页共62页投标单位兰州理工大学软件学院 第七章工程实施计划7.1.工程实施组织我公司结合多年的工程项目管理经验，针对本项目和贵方组成项目管理领导小组和项目执行小组以及由项目经理带队的项目工作小组，项目领导小组负责对项目进行全面管理，具体指导和协调项目的进度，监督检查项目各阶段的工程质量，并根据项目阶段验收标准进行验收，项目执行小组负责制定项目分阶段验收的标准，制定工程项目的各类规范，如会议备忘录规范、文档资料规范、系统功能规范、系统分析规范、施工实施规范等，同时协助项目领导小组作好项目管理的各项工作，项目工作小组将负责项目的具体实施。从项目管理的具体内容上看，项目管理包括项目人员管理、项目物质管理、项目进度管理、项目文档管理等，我公司在以上各项管理方面都有许多成功的工程管理范例。具体组织在合同签订后双方商定。7.2.工程实施步骤7.2.1项目实施计划项目实施计划的具体内容如下：（1）系统需求调研分析（2）系统初步设计、系统总体设计（3）现场施工场地的勘查（4）合同签订（5）系统设备合同供货（6）设备安装、调试（7）系统联调（8）用户使用和维护技术培训。（9）跟踪技术服务（FOREVER）7.2.2工程进程整个工程的进程可分为：第62页共62页投标单位兰州理工大学软件学院 第一阶段：需求调查分析阶段（包括应用需求、流程调查）第二阶段：设计阶段（包括软硬件系统设计）第三阶段：工程实施阶段（包括所有软硬件系统的安装）第四阶段：测试联调阶段（包括所有子系统的测试和整个系统的联调）第五阶段：系统试运行阶段（包括试运行和系统调整）第六阶段：系统维护阶段（包括正式运行和系统维护）7.3.工程进度和周期我们将派优秀技术人员、熟练工人实施该项目。加上常年有设备库存，会大大缩短系统施工工期，使系统能在贵单位早日投入使用。根据项目具体情况和学校具体要求协商确定具体工期。在现场施工环境良好、校方提供良好工程配合的情况下，我公司实施该项目的工期为20天。7.4.工程验收项目和内容阶段验收项目验收内容验收方式施工前检查环境要求土建施工情况：地面、墙面、门、电源插座及接地装置。施工前检查土建工艺：机房面积、预留孔洞。施工电源。活动地板敷设。器材检验外观检查。规格、品种、数量。电缆电气性能抽样测试。光纤特性测试。安全、防火要求消防器材危险物的堆放预留孔洞的防火措施。第62页共62页投标单位兰州理工大学软件学院 设备安装设备机架规格、程式、外观随工检验安装垂直、水平度油漆不得脱落，标志完整齐全各种螺丝必须坚固防震加固措施接地措施信息插座规格、位置、质量各种螺丝必须坚固标志齐全安装符合工艺要求屏蔽层可靠连接电、光缆布放电缆桥架及槽道安装安装位置正确随工检验安装符合工艺要求接地缆线布放缆线规格、路由、位置符合布放缆线工艺要求缆线的防护设施的设置质量光纤插座符合相关标准各类跳线符合相关标准系统测试双绞线工程电气性能测试连接图竣工检验长度衰减近端串扰光纤特性测试类型（单模或多模）衰减反射系统接地符合设计要求设备测试符合设计要求第62页共62页投标单位兰州理工大学软件学院 工程总验收竣工技术文件清点、交接技术文件竣工检验工程验收评价考核工程质量，确认验收结果表九第62页共62页投标单位兰州理工大学软件学院 第八章设备配置清单8.1.网络设备、布线材料清单及报价表十设备位置设备名称型号配置单价(元)数量总计(元)1号办公楼(市委)WEB服务器FTP服务器品牌型号:ThinkCentreS508183TCW,CPU:3.20GHz,RAM:2GB,SCSI:48XMax16298116298DNS服务器WINS服务器DHCP服务器品牌型号:ThinkCentreS508183TCW，CPU:3.20GHz,RAM:2GB,SCSI:48XMax16298116298数据库服务器品牌型号:H3CNeoceonEX1500S,容量:32TB,扩展槽数:328500128500核心交换机品牌型号:WS-C6509(1300AC),容量:720Gbps,扩展槽数:9740002148000中心处理板型号:WS-X6500-SFM21616302323260网络接口板型号:WS-X4232-L3,接口数:241574512314902GBIC模块型号:WS-X6524-100FX-MM2645302529060汇聚交换机品牌型号:Catalyst3550-12T,容量.扩展槽数:214493228986网络接口板或GBIC模块:WS-G54845250210500接入交换机品牌型号:Catalyst2950,容量.扩展槽数:0425024102000GBIC模块型号:WS-G548337592490216堆叠模块型号:WS-X3500-XL26252463000防火墙2280001228000第62页共62页投标单位兰州理工大学软件学院 品牌型号龙马卫士WLMB-1000LX,接口2*1000M+1*100M及带宽1.4G功能模块型号WLMB-GLX15000230000入侵检测品牌型号曙光:GodEye-HIDS-BASE,CPU：800MHz,内存;256M,硬盘;500M可用空间2000001200000功能模块型号:GodEye-HIDS-Agent-LNX30000260000路由器品牌型号:CISCO3825,容量:1024M扩展槽数:436000136000功能模块1型号:NM-4T765017650网络软件品牌型号:CWLMS-2.2-K9987001987002号办公楼（市政府）汇聚交换机品牌型号:Catalyst3550-12T,扩展槽数:214493114493网络接口板或GBIC模块:WS-G5484525015250接入交换机品牌型号:Catalyst2950,扩展槽数:042501042500GBIC模块型号:WS-G548337591037590堆叠模块型号:WS-X3500-XL26251026250市辖县的县委、县政府路由器品牌型号:CISCO2821-SEC/K9,.扩展槽数:3190006114000功能模块1型号:NM-8A/S268806161280汇聚交换机品牌型号:Catalyst3550-12T,扩展槽数:21449312173916网络接口板或GBIC模块:WS-G548452501263000接入交换机品牌型号:Catalyst2950,扩展槽数:0425048408000GBIC模块型号:WS-G5483375948360864堆叠模块型号:WS-X3500-XL262548252000以上合计（元）3480081第62页共62页投标单位兰州理工大学软件学院 1、用户子系统设备名称型号产品描述单位数量单价(元)合计(元)面板CFPUKS2BIW面板个818141，1862超5类RJ45模块CJ588超5类RJ45模块个1635325，2320用户子系统总价　　　　　6，41822、水平子系统设备名称型号产品描述单位数量单价(元)合计(元)超5类双绞线PUC5504超5类4对无屏蔽双绞线箱/305米1165806，7280水平子系统总价　　　　　6,72803、垂直子系统设备名称型号产品描述单位数量单价(元)合计(元)单模光纤PDU6R61单模光纤米24028.76888垂直子系统总价　　　　　68884、管理区子系统设备名称型号产品描述单位数量单价(元)合计(元)水平端接—PatchPanel　　24口空板CP24BL24口全金属模块式空板个40224.88,992理线器WMPS1U双面线槽式水平理线器个504342，1700空白阻塞CMBAW-X空白阻塞个---2---垂直数据（光缆）配线架　　第62页共62页投标单位兰州理工大学软件学院 光纤配线架FMT1212口光纤箱(机柜安装)个26121224耦合器　耦合器个1232384机架及附件　剥线刀CJST剥线刀把2341682RJ45钳CT5-8RJ45工具把22,6205,2405对工具PDT110M　个21,1942,388工具PDT110　个21,4712,94219"机柜国产1.8米标准机柜个52,1001，0500国产1.6米标准机柜个62,1001，2600语音跳线P110PC4IG2MA110-RJ45跳线568A（2米）根--75--P110PC4IG2M110-110四对跳线（2米）根---　101--光纤跳线F6D2-3M1ST-SC双跳线1米根　3750数据跳线UTPCH3MRJ45-RJ45跳线3米根　490UTPCH5MRJ45-RJ45跳线5米根　690标签L3CPLFWH模块化配线架和家具面板标签卷　1128128扎线带HLS-15R*彩色扎带卷101111,110标签打印机LS3E-AE标签打印机个1　0色带LS3-RIB色带个2　0管理区子系统总价　　　　　44780表十一第62页共62页投标单位兰州理工大学软件学院 8.2项目总造价设备配置布线材料金额（元）348008144780合计（元）3524861表十二第62页共62页投标单位兰州理工大学软件学院 第九章售后服务与技术支持9.1.质量保证期硬件设备：从设备验收合格之日起计算，质量保证期以各产品厂家提供的售后保修期为准。工程完工在验收后，我们可提供试用期的网络保障及相关的技术支持。试用期后依据需求有偿服务。9.2.备件更换对于由于硬件质量问题造成的硬件自然损坏，备件卖方将提供现场服务，免费维修更换损坏的硬件。由于买方人为造成的硬件损坏，卖方有义务对损坏的硬件作有偿更换。9.3.新增设备及备件若买方需新增设备及备件，卖方将会继续向买方提供设备维修、技术支持、备品备件、升级等服务。9.4.故障响应卖方所提供的软硬件系统发生故障后，买方应立即通知我方，我方应在接到故障通知后24小时内通知卖方派技术人员到达现场解决问题。9.5.软件升级我方有责任及时向买方通报软件升级情况，我方应免费提供软件升级及服务（病毒网关软件升级除外）。第62页共62页投标单位兰州理工大学软件学院 9.6.员工培训我方可以根据网络系统的需求为华迪公司培训网络管理人员，负责整个网络系统的后期维护以及公司网络的管理。9.7.质量保证期外的服务如果设备部件损坏，按照厂家保修条例，收取相关的硬件采购费用。对于系统平台维护服务，在不涉及与原方案重大变动的情况下，应与免费服务，投标人应提供免费咨询服务。9.8.用户服务承诺我们的服务宗旨是:"尽一切可能，提供给用户最大程度的便利！"在具体的运作中，可以分为售前、售中、及售后三个方面。9.8.1售前服务（1）提供长期友好的免费技术咨询服务，保证政府部门提出的每一项产品或技术问题得到最为满意的答复。（2）诚恳的解释政府部门对于产品提出的任何疑点。（3）随时响应政府部门领导的样板用户参观和考察的要求。提供专用电子信箱和热线咨询电话。我们将遵循"实用"、"够用"、"好用"的原则,为用户提供的整套解决方案并设计平面图。若您已经拥有了校园网中的某一部分设备，我们还将提供升级和改进方案，使其加入到整体的计划中来。9.8.2售中服务在和政府部门建立正式合作关系的过程中，我们承诺如下服务条款：（1）积极为用户提供有关现代化信息技术的各类资料。（2）及时热情的为用户咨询各类设备的价格及技术性能.（3）在现场布线施工时，充分考虑政府部门的实际情况，结合建筑构造的情况，与校方的负责人员协商进行，做到施工不影响教学，收工不影响卫生环境。第62页共62页投标单位兰州理工大学软件学院 9.8.3售后服务（1）保修期：布线系统产品提供十年年免费保修，终身服务。（2）对所提供的货品在使用地进行第一时间的维修，对不具备现场维修的产品采取替换式服务，以最大程度的保证用户利益。（3）用户使用人员发生变化，免费对新来人员进行培训。（4）提供远程网络访问服务（RAS），保证政府政务的正常进行。（5）如用户无法自行排除故障，远程访问服务亦无法排除，我公司提供及时的现场服务，响应时间：本市1个工作日，外省市：2个工作日。（6）专门建立了全面的政务资源库，并和各电子政务软件公司建立了良好的合作关系，所以能够协助政府部门以代理价购买各类政务用软件及素材。（8）对本公司产品提供终身免费服务。（9）售后服务响应时间：3小时。第62页共62页投标单位兰州理工大学软件学院'