神天学校弱电设计方案.doc

神天学校校园弱电系统设计方案天一电子科技有限公司二一年六月目 录1.1前言61.2 公司简介6第二章 开放型综合布线系统方案62.1开放式布线系统简介62.1.1开放式布线系统原理62.1.2 开放式布线系统的优势62.1.3 开放式布线系统特点72.1.4 开放式布线系统的经济效益72.2 开放式布线系统设计思路72.3 设计依据与技术规范82.3.1国际安装与设计规范82.3.2 国内安装与设计规范82.4 本系统设计指导思想：92.5 综合布线系统92.5.1设计目标的确定92.5.2 十年的使用期保证体系102.6 楼宇内的综合结构化布线系统设计说明112.6.1 布线系统的组成及产品选择原则 工作区子系统.水平子系统.垂直干线子系统.管理区子系统.设备间子系统.与其它系统的配合132.7 开放式管线设计方案132.7.1 校园主干管线设计图（详见图纸）132.7.2 水平子系统的管线设计.墙面型信息出口.地面型信息出口132.8 机房设备电源管线设计142.8.1设备电源管线方式.动力配线要求.配线间电力配置.中心机房配电要求：152.8.2 设备间弱电接地方式152.9 施工和工程质量管理152.9.1 施工组织准备152.9.2 开工条件准备152.9.3 施工力量准备152.9.4 施工方法 施工原则 施工顺序 布线要点 配线间工作环境要求17第三章 校园网络设计方案183.1 校园网需求分析183.1.1网络基本需求183.1.2 对网络平台的需求网络应用特点183.1.3 可靠稳定性的需求193.1.4 用户接入控制需求193.1.5 网络安全应用需求193.1.6 关键业务服务质量保证的需求193.2 校园网设计思路203.2.2 采用标准化、开放的网络技术203.2.3 网络高可靠性原则213.2.4网络可扩充性213.2.5 安全性和保密性213.2.6 网络实现的高性价格比原则223.2.7 网络的可管理性223.3 校园网设计方案223.3.1 校园网交换网络方案说明223.3.2 校园网设计方案说明233.3.3 校园网络信息点统计表243.3.4校园网络拓扑图253.3.5校园网系统图253.4学校网络安全设计方案253.4. 1 项目分析253.4.2 现行网络环境263.4.3 期望解决效果263.4.4 解决效果283.4.5、互联网安全控制设备部署网络拓扑图313.4.6sinfor m5400-ac上网行为管理安全网关主要功能31347sinfor m5400-ac上网行为管理安全网关技术优势341 ）、内网安全管理342）、 访问跟踪、审计373）、 防间谍软件功能384）、 反垃圾邮件技术405）、ips（入侵防御系统）系统436）、 网关杀毒447 ）、防止dos攻击448）、 强大的vpn功能459）、 多线路优势4510）、 丰富的数据中心日志系统453.6设备技术参数493.6.1核心网络交换设备技术参数49dcrs-5950系列硬件ipv6万兆汇聚路由交换机49产品概述49主要特性50高性能50硬件实现ipv650万兆以太网就绪50丰富的网络协议支持50智能灵活的性能资源调度机制flex resource50强大的acl功能50丰富的qos策略513d-smp就绪51完善的网络管理51技术指标513.6.2接入层网络交换机技术参数53第四章 校园广播系统方案564.1 概述574.2、总体设计574.3、高保真可寻址广播部分的实现原理574.4、广播分站的工作原理：584.5、系统的主要功能与特点584.6、主要设备介绍：594.7、可寻址广播箱配置与定压分区参考设计：624.8、系统参考配置清单：624.9、系统示意图:63第五章 校园有线电视系统方案645.1校园有线电视设计思路645.2系统规划645.2.1节目源645.2.2系统前端645.2.3网络传输系统655.3双向传输与分配网络设计665.3.1布线与网络结构665.3.2系统接地675.3.3管线材料的选择67第六章 校园监控系统规划方案686.1校园监控系统设计思路686.2校园监控系统功能686.3校园监控系统组成696.4校园监控摄像机布点706.5监控系统设备选型707.1、盖诺逸影全自动智能录播系统设计思想757.2、系统连接拓扑图767.3、设备配置清单777.4、盖诺逸影全自动微格教学系统特点及优势787.5、盖诺逸影全自动微格教学系统方案介绍807.5.1、视频信号采集子系统807.5.2、音频信号采集子系统807.5.3、全自动录播子系统817.5.4、课件存储、智能编辑子系统817.5.5、录播控制子系统817.5.6、本地、远程主控子系统825.7、编码、压缩、直播子系统827.5.8、全自动微格教学软件系统828.1、系统设计原则878.2、系统技术描述888.3、系统结构示意图：8984一卡通管理系统89841一卡通考勤管理系统89842、一卡通消费管理系统92第一章 概述1.1前言本次方案是根据学校所提供的详细的平面布置图及听取各个部门的意见，同时结合以往施工的经验的基础上完成本方案的设计的。同时，此次为学校提供的开放型综合布线系统、网络系统、广播系统、有线电视系统、监控系统项目的详细方案。1.2 公司简介天一电子科技有限公司成立于2001年，现隶属于宁波保税区企业，公司注册资金1000万元，经营地址在海曙区，现有一支年青并富有创业激情的职工队伍公司多年以来一直致力于安防监控系统、防盗报警系统、可视对讲系统、背景音乐系统、显示屏系统、综合布线系统、网络交换机系统等智能工程的前期规划，方案设计，系统安装调试，工程维保及技术人员培训。我们深信企业的成功来源于产品的卓越品质、来源于优质的项目实施、来源于一流的技术服务、来源于客户的信赖与支持，我们将不懈努力，以优良的产品及优秀的施工和服务回报广大客户！力争成为行业一流的系统工程提供商和系统维护运营商！ 第二章 开放型综合布线系统方案2.1开放式布线系统简介2.1.1开放式布线系统原理开放式布线系统是通过使用符合布线系统标准的物理传输介质，使用相同的低压接插件，连接所有相同的终端和设施，并通过使用不同的跳线和适配器来实现不同供应商提供的设备之间的通信和数据处理。2.1.2 开放式布线系统的优势 以一套单一的标准布线系统，把程控交换器、电脑、各种周边设备综合集成为一个功能齐全的通讯网络系统，并提供一个开放性结构平台，能使于任何不同工业标准的设备在这个系统中运行，以满足众多的日常需要。如： 1. 模拟和数字语音系统。 2. 高速及低速的数字传输。 3. 传真机和图形终端机以及绘图的资料传送或图像传输。 4. 办公室电视电话会议与安全系统的监控信号。 5. 建筑物中的各种楼宇自控的信号等等。2.1.3 开放式布线系统特点开放式布线系统具有以下特点：先进性：开放式布线系统的模块化设计与传统配线之间有本质的区别，开放式布线系统能够通过有效的管理，方便地组合、转换成不同结构的网络系统，传统的布线系统只能依据网络拓扑结构，更改网络系统必须重新布线，重复投资。可靠性：开放式布线系统使用的材料均需符合国际和国内认可的有关标准，经过严格的检验而出品，因而均有质量保证的许诺，一般使用期为10年。 扩展性：根据开放式布线系统的设计思想，该布线系统充分考虑对未来设备的变更和移动，最大限度地满足不断变动的需要。灵活性：根据开放式布线系统的设计思想，可以随时任意地构造网络，以满足不断发展的网络需要。兼容性：根据开放式布线系统的设计规范，该系统可以支持任何符合国际标准的网络厂商设备，为使用者提供最充分的选择余地。2.1.4 开放式布线系统的经济效益综上所述，由于开放式布线系统设计思想的科学化和先进性，本身决定了该系统能带给使用者最佳的性能价格比，最大限度地保证投资者的前期投资，最大限度地减少因变动更新和采用新技术所花费的费用，从而将维护费用降低到最低程度。2.2 开放式布线系统设计思路布线系统设计在考虑整个校园内现在主干管线及将来的具体建筑物的实际需要的业务性质及所提供的达标服务水平的前提下，使系统满足校园现代使用及发展的要求，做到当前技术先进并为学校留有相应的余量。整体校园开方式布线系统建成后将变成国内功能强、兼容性广，提供最佳性比的开放式综合布线系统。本次设计所有的信息点采用超五类模块式插座，所有插座都要配备防尘盖或防尘措施。安装在地面的超五类模块式插座均经过防水处理，满足防水的功能。所有的双绞线均采用超五类utp双绞线,保证系统的高可靠性和高的性能。楼宇的主配线架设在校园每幢楼宇的专用通讯机房内，产品及元件的选择施工要最大限度地方便以后的维护，为此机柜配线的方式，同时配置模块式配线架,可以实现今后的相互替换，保证系统的灵活性。楼宇内部的水平系统均考虑开放式的综合桥架敷设，强弱电要做到安全的隔离措施。其中校园主干的开放式管线系统采用新旧交替结合原则，最大限度的发挥校园内老主干管线的。对有新增布线需求的地方要敷设新主干管线，整体校园主干管线在新旧对接后，其整体使用和维护效果也可以完美的体现出开放式布线系统的科学性和先进性。在设计本次工程方案的同时，考虑到校园内财务等敏感部门基于安全的考虑下，将特殊部门的局域网布线系统设计成为内网和外网的两套独立的布线系统。内外网完全物理隔离，内网的配线架安装在单独的机柜内不与其它配线架混淆安装。外网的配线架与语音的配线架安装在共有的机柜内。如果要实现内外网功能的互换,只需在配线间简单地进行跳线。2.3 设计依据与技术规范2.3.1国际安装与设计规范 ansi/eia/tia-568a 商用建筑通讯布线标准ansi/eia/tia569 商用建筑通讯布线线槽及空间标准ansi eia/tia606 商用建筑通讯布线管理标准ansi eia/tia607 商用建筑通讯布线接地标准 iso/iec 11801 用户楼宇通用布线标准ccitt isdn 综合业务数字网标准 tia/eia tsb-67 商用建筑通讯布线测试标准 tia/eia-568b商用建筑通讯布线标准2.3.2 国内安装与设计规范 建筑与建筑群综合布线系统工程设计规范 cecs72 -97城市住宅区和办公楼电话通信设施设计标准 yd/t2008-93总配线架技术要求和试验方法 yd/t69493 电信网光纤数字传输系统工程施工及验收暂行技术规定 ydj44892.4 本系统设计指导思想： 由于本系统用于宁波神舟学校的弱电综合布线环境。因此，其布线系统的主要功能要满足：为用户提供快捷、开放、易于管理的语音与数据信息基础平台 。为用户提供统一的内、外局域网和广域网（wan）接口。为用户及时传递可靠、准确的信息。为用户提供安全的、绿色的上网环境 。为用户提供语音电话。为用户提供双向闭路有线电视以及校园智能录播等。2.5 综合布线系统 2.5.1设计目标的确定开放式的结构化布线系统是当今最先进最流行的建筑物布线系统，已成为国际上办公大楼的弱电布线标准。它能够满足任何特定建筑物及建筑网络的布线要求，完全开放化，既支持集中式网络系统，又支持分布式网络；支持不同厂家、不同类型的网络产品；符合目前要求和未来发展需要。基于宁波神舟学校的特点，其布线系统选用在此领域世界先进的超五类线结构化开放性综合布线系统作为其语音、数据系统的布线平台。实施后的布线系统可以满足：保护投资结构化布线系统支持各种系统和设备的集成，如可将语音、数据、图像等设备设计在一起工作，从而在硬件，软件、培训方面具有投资保护性。节省费用结构化布线系统有助于将分散的线缆系统合并到一组统一的标准的网络中去。强化的控制管理结构化布线系统的设计使用户自己容易地，标准地排除网络的故障。保证了在管理和支配整个系统中的最高效率 。完整的产品结构化布线系统包括非屏蔽/屏蔽双绞线及光纤传输媒介，交叉连接，适配器连接器插座和插头，传输电器保护设备及工具等。模块化基于物理星型拓扑结构的布线系统提供一种模块化系统管理方法，于是需求即体现在每组结构化的科学管理点上。灵活性用多种高性能的线缆来满足你的联网需求。在速度、距离、信息能力方面都是高性能的。并能与众多厂家产品兼容，于是来自各个厂家的设备都能插到这组通用的楼宇综合布线系统中去。发展性结构化布线系统为了适应未来的发展，采用了积木块式结构。这种结构能将当前的和未来的语音及数据设备，互联设备，网络管理设备方便地扩展进去。2.5.2 十年的使用期保证体系由于超五类线具有非常强的生命力，它有一组综合的保证系统的支持。一次性布线，保证在十年内，其系统性能不会下降，功能不会落后，不会因为网络配置的变化而如 旧式布线方法那样重复大量土木工程，破坏建筑物原有结构，增加不必要的投资，而能够真正达到一次性投资，长年受益。 总之 ,结构化布线系统为你提供： 最低的全寿命使用成本。 超凡的非屏蔽双绞线技术 高速及宽带的传输能力 灵活的，基于开放结构的子系统 具有发展性，以适应未来的需求 众多厂家产品的兼容性2.6 楼宇内的综合结构化布线系统设计说明2.6.1 布线系统的组成及产品选择原则 工作区子系统 工作区子系统由终端设备连接到信息插座的连线和信息插座组成，通过插座既以引出电话也可以连接数据终端或其它传感器及弱电设备。本项目工作区数据插座和语音插座全部采用超五类产品，提供150mhz的带宽。 超五类rj-45 数据模块 双口面板 .水平子系统 水平子系统的作用是将干线子系统的线路延伸到工作区子系统。数据水平线采用超五类非屏蔽双绞线，其信道带宽可达到达150mhz，并提供大大优于五类系统的性能余量。语音水平线采用超五类非屏蔽双绞线，在将来使用过程中，如用户需将语音出口改用于数据出口，只需在水平配线间里做一次简单的跳线即可完成。 另外，超五类四对非屏蔽双绞线(utp)还可以传输各种72v以下直流电压和相应频率以内的弱电信号，包括电话、计算机、楼宇自控设备的控制广播信号、视频监视信号 和各种弱电传感信号等等。.垂直干线子系统本设计中，数据主干采用6类双绞线。语音主干使用五类大对数双绞线再转接到新的楼宇语音机架上。设计中考虑了适量冗余，目的是为了为将来系统向更高级的系统升级作了适当的预留。.管理区子系统考虑到日后语音和数据信息点转换方便，管理区内的语音配线架和数据配线架全部采用24口超五类模块化配线架，能够支持150mhz的信道带宽。100对配线架 超五类模块式24口配线架 .设备间子系统设备间子系统是由各种设备(如计算机主机，网络设备，pbx)及设备连线组成，主要功能是将计算机主机，pbx，分机直拨中继线等公用弱电设备连接到主配线架上 。本项目主设备间及计算机网络中心放置在二层，语音主配线架、数据主配线架、主光纤配线架均放在这二层内。.与其它系统的配合在综合布线系统、电话系统、计算机系统等几大系统中，综合布线系统是基础。它向其它系统提供传输媒介，并通过综合布线系统的管理子系统，对其它系统的构成、连接进行任意的调整和分配。2.7 开放式管线设计方案2.7.1 校园主干管线设计图（详见图纸）2.7.2 水平子系统的管线设计.墙面型信息出口采用走吊顶的轻型装配式槽形电缆桥架的方案，这种方式适用于大型建筑物，为水平系统提供机械保护和支持。装配式槽型电缆桥架是一种闭合式的金属托架，安装在吊顶内，从弱电竖井引向设有信息点的各房间，再由预埋在墙内不同的金属管，引至墙内的暗装铁盒内。结构化布线是辐射型的，线缆量较多，所以线槽容量的计算十分重要。为确保线路的安全，应使槽体有良好的接地端,金属软管、电缆桥架及各种配线箱均需要整体连接后良好接地。接地的方式视建筑物结构，以采用网状或星状接地形式。.地面型信息出口在本系统的部分信息出口采用地面线槽走线方式，这种方式适用于大开间的计算机房及电算教室，有大量信息出口的情况。（埋地式线槽已经安装）线槽从弱电井引出，沿走廊引至各向，到达设有信息点各室时，再由支线槽引入房内的各信息点出口。强电线路可同弱电线路平行铺设，但需分隔于不同的线槽中，两线槽间距应大于等于30mm。这样可向每一个用户提供一个包括数据 、话音、ups及照明电源出口的集成面板，真正做到一个舒适、便利的办公环境。特别强调的是：在铺设埋地式线槽的同时，应作好防水处理，安装具有防水性能的86底盒。安装模块式信息插座时，我们会采用经防水处理后的安装面板进行安装。 地面出口 地面 预埋线槽 2.8 机房设备电源管线设计2.8.1设备电源管线方式.动力配线要求电力铺设线同弱电布线在横向部份可平行走线，但需分隔于不同的金属管槽中，进行良好屏蔽和接地。电力铺设的ac插座应同信息插座的使用环境适配，以满足网络设备的供电需求。.配线间电力配置配线间的ac电源需求与其内部安装的设备数量有关。配线间内至少应有两个供本系统专用的，符合一般办公室照明要求的220v/10a的电源插座。根据接线间内入置设备的供电需求，还需配置另外的带四个ac双排插座的20a 专用线路，此设备不应和其它大型设备并联，并且最好连接至ups电源上，以确保对设备的供电及电源环境要求。值得一提的是对于照明和ups电源线应采用薄金属管进行屏蔽。由于可能会产生偶然断路事故，因此要有邻近的轻便开关来控制这些插座。.中心机房配电要求：中心机房的强电负荷容量为10kv，机房内部负荷容量包括所有的网络及广播设备以及机房空调。若校园发生市电中断情况下，需发电机可直接发电到中心机房保证核心设备的正常使用。2.8.2 设备间弱电接地方式应在设备间墙壁的相应位置设置接地铜排，经接地铜线与弱电设备做焊接或紧 固的硬性连接。2.9 施工和工程质量管理2.9.1 施工组织准备组织全体施工人员熟悉了解工程的施工图、施工工期及各自承担的任务、各系统的 技术要求、标准规范、施工方法、编制施工作业计划、下达施工任务书。2.9.2 开工条件准备 开工前作好主要器材的配套工作，并进行100%的通电检测，作好主要辅料的准备工作，做到实际施工用料与图纸设计相符。根据施工方案做好桥架及管线的敷设工作。2.9.3 施工力量准备按施工期进度计划，合理调整好各类人员，并在进场前进行施工人员在技术、质量、安全材料等方面的培训教育，同时组织好施工班子，各负其职，以提高素质，为创优质工程准备。 2.9.4 施工方法 施工原则桥架暗管敷设及穿线工作，按楼层顺序进行器材安装，按各个系统各自进行，避免施工中忙乱丢失或损坏器材。预先做好各种主机设备，连接电缆插头压制、焊接工作按施工图做好线缆校对、编号包扎工作，保证按质按量完成施工任务施工操作人员，严格按照工艺要求，严守纪录，严格贯彻工艺规范，搞好文明施工 施工顺序根据大楼工程总进度实际情况，编排好施工顺序，在施工中发现技术质量问题，公司及时在现场开分析会，帮助解决疑难，使问题不过夜。对建设单位提出的建议要求 ，在施工中采用和改进。 布线要点管道(或桥架)内穿放电缆时，直线管路的管径利用率一般为50%60%；弯管路的管径利用率一般为40%50%。金属电线管、金属软管、金属桥架及配线架均需整体连接后接地。弯管路的中心夹角不应小于90度；电缆穿放中，避免过紧地缠绕电缆，不要损坏线缆的外皮，不要切断缆内导线；在牵引和捆绑电缆时应消除线缆中的应力(垂直布放的干缆，必须每隔1.5米将电缆固定在梯级电缆桥架上)。根据配线间内需要放置网络设备的供电要求，在配备idf的配线间内必须配置2个以上220v电源插座，在条件允许时，可配备ups不间断电源。施工人员必须遵照电缆色码接续，穿线时每根电缆都必须在两头做出相同的标记，并与施工图吻合。电源线与pds管线尽量减少交叉，两管交叉时应相距5cm以上，两管并行时应相距 15cm以上。配线架的安装位置和所占墙面空间需按设计图纸要求而定。建议在配线架的安装墙面上先固定一块2cm厚涂有防火漆的木板，以便利安装 。光纤布线的传输质量和光纤st连接头的制作质量有直接的关系。因此，在光纤布放需弯曲时不能超过最小弯曲半径：安装时为光纤直径的20倍；安装后为光纤直径的10倍。敷设光纤牵引力不能超过最大敷设张力。 配线间工作环境要求按照标准的设计要求，设备间尤其是要集中放设备的设备间，建议尽量满足下面的要求： 1.将服务电梯安排在设备间附近，以便装运笨重的设备； 2.室温应保持在18摄氏度至27摄氏度之间，相对湿度保持在30% 55%； 3.保持室内无尘或少尘，通风良好，亮度至少达30英尺*烛光； 4.安装合适的消防系统(如采用湿型消防系统，不要把喷头直接对准电气设备)； 5.使用防火门，至少能耐火1小时的防火墙和阻燃漆； 6.提供合适的门锁，至少要有一扇窗留作安全出口； 7.尽量远离存放危险物品的场所和电磁干扰源(如发射机和电动机)； 8.设备间的地板负重能力应为500kg/平方米。 9.根据结构化布线系统的要求，在配线间安装布线硬件的墙壁上须覆盖涂有阻燃漆的3/4英寸(合1.9cm)厚的木板。 10.系统中典型的配线间，其可以走进人的最小安全尺寸是120x150cm，标准的天花板高度为240cm，门的大小至少为高2.1m，宽1m，向外开。主、分配线间，最好有供放置设备设备柜，其大小可按设备的尺寸而定。在设备间尽量将备柜放在靠近竖井的位置，在柜子上方应装有通风口用于设备通风。 11.在配线间内应至少留有二个为本系统专用的，符合一般办公室照明要求 220v 电压, 10a单相三极电源插座。第三章 校园网络设计方案3.1 校园网需求分析3.1.1网络基本需求宁波神舟学校网络建设的总体目标是利用各种先进成熟的网络技术和通信技术，采用统一的网络协议（tcp/ip），建设一个可实现各种综合网络应用的高速计算机网络系统，需要很好的保证学校各个校区方面的互通，同时要求未来能轻松与教育城育网互连互通，通过园区网骨干节点与cernet、internet相连。现今校园网络建设承担着学校行政管理、教育科研、电子教学、远程教育、信息交流和互联网的接入，以及对外技术交流与合作服务等大量的业务。因此构建一个高效、实用、稳定可靠、安全的网络平台，是高校网络建设考虑的重点。宁波神舟学校网络既有一般网络设计的特点，又有着其特殊性，除了一般网络所必需的，如：email、ftp、文件共享服务器、网络论坛、网上聊天、管理数据的传输、处理与查询外，还应考虑到以后包括校内教学视频点播、实时远程教学、在线作业等功能。以及可靠性、稳定性和安全性等条件外，在进行校园网建设规划时，还应该考虑所有信息点的可控性、高性能以及关键业务的qos保证等。另外在网络设计中，如何预留扩展空间和进行投资保护，在满足现有应用的需求的同时，适当考虑信息量增长和变化需要是此次网络改造规划的核心主旨。3.1.2 对网络平台的需求网络应用特点用户数较少，发展速度稳定：宁波神舟学校本期建设大约800多个信息点, 网络应用相对简单，并发流量不大：教师和学生上电脑科主要使用网络进行ftp文件传输、在线音乐、在线影视、网络多媒体教学等流量不大单需要链路质量稳定的的网络应用。安全隐患大：学生是一个易接受新事物、喜欢尝试探索、成就好攻击的“危险群体”。不易管理：学生用户中经常发生ip地址盗用、ip地址冲突、帐号盗用、攻击校园服务器等令网络管理及维护人员非常头疼的问题。外界因素：由于现在网络骇客攻击频繁，入侵者和“肉鸡”病毒的不断增加，使得内网安全的防护重之又重。3.1.3 可靠稳定性的需求可靠稳定的网络平台，是应用业务系统得以实施和推广的基石。网络平台的设计必须从设备、网络拓扑结构、网络技术等几个方面保证网络的可靠稳定性。在核心层之间设备互为备份或自身备份，包括链路、路由、核心引擎等备份；如配置单核心设备应考虑管理引擎模块冗余和电源模块冗余，来保障网络的可靠性和稳定性。3.1.4 用户接入控制需求校园网的信息点分布很广，与一般企业网比较，校园网用户的变动性大，比较难管理，为了保证网络资料的有效利用，对信息点的可控性要求是必须的。做到有效的对用户进行接入控制，保证只有申请开通的合法用户才可以使用网络，为了不影响网路性能，应该在接入层设备分布式实现信息点的控制。3.1.5 网络安全应用需求校园网网络平台的安全，除了要保障网络平台的安全性，还需要在一定程度上保障应用业务系统和其它网络资源的安全。网络平台应该从几个方面保证网络安全：1）设备本身的访问安全；2）内部网之间资源访问安全；3）路由系统的安全；4）互联网访问安全；5）非法站点访问过滤；恶意攻击的实时处理；非法言论的准确追踪；3.1.6 关键业务服务质量保证的需求面向应用（qos）核心层负担着校园网系统所有类型的通信。而由于教育系统的特殊性，其通信的类型几乎涵盖了internet所有的应用通信类型，包括email、ftp、网页浏览、数据库查询、协同计算机辅助教育（cai）、基于计算机的教育（cbt）、协同研究、远程教育、视频广播、视频点播等等应用类型。当网络流量处于高峰期时，必定会影响影响关键业务数据流的响应时间，对于多媒体业务来说就会有说话结巴、图像马赛克的情况。因此高性能的网络，也还是需要qos服务质量保证的。3.2 校园网设计思路校园网网络系统建设遵循统一规划、分步实施的指导思想，工程的设计必须在考虑到满足当前需求的同时，充分考虑到将来整个网络系统的投资保护和长期需要。设计及实施应充分遵循以下原则：3.2.1 网络技术实用性为主，兼顾先进性的原则宁波神舟学校校园网建设采用的交换和传输技术，具有一定的前瞻性，符合一定时期内网络通信技术发展的趋势，并在今后一定的时期内处于领先地位。网络系统设计必须遵循先进性和成熟性。由于it行业的技术更新换代很快，为了保证网络能够满足今后一段时间内应用的发展，在选择网络技术和设备时不仅要考虑先进性，也要考虑技术的成熟性，同时更要考虑接入业务的特点等多方面的因素。一种新技术在刚出现时往往有很大不稳定和不确定因素，需要有一个发展、逐步完善和实践检验的过程，经常有一些技术在刚出现时被宣传和评价很高，但在一段时间后发现存在很多问题，甚至很快退出市场。用户采用了这种技术，往往会因为设备厂商转产停产等问题，无法对网络扩展升级，最终造成前期投资的浪费。一种新的技术产品在刚出现时一般价格都非常高，所以选择使用一种新的技术的最佳时机应该是在这种技术在市场上已经得到较为广泛的应用，并且在使用中得到肯定之后。虽然这时的技术可能已经不是最新的技术，但技术已经成熟，设备的性能价格比更高。所以选择网络技术和设备时不要去追求最新最好，应该遵循先进性和实用性相结合，并找出其中的平衡点。3.2.2 采用标准化、开放的网络技术整个网络系统在结构上实现真正开放，全部采用或符合有关国际标准，使网络具有良好的开放性和兼容性。开放的系统可以使用户自由地选择不同厂家的计算机、网络设备及操作系统，构成真正的跨软硬件平台的系统。网络的设计基于国际标准，网络设备采用标准的接口和规范的协议，满足用户的不同需求并充分利用软硬件资源，保证系统运行的安全可靠，并具有较长的使用生命周期，以适应其业务不断发展的需要，有效地保护用户投资的长期效益。3.2.3 网络高可靠性原则由于神舟国际学校是作为一所先进性的学校，基于网络的各种教学应用必将越来越广泛，对网络的稳定可靠运行要求也会越来越高，对数据传输的实时性的要求，对网络的传输环节要求也很高。因此，一方面选用的网络设备具有相当高的可靠性，要达到电信级标准，具备99.999%的可靠性；另一方面，在网络设计中要采用切实有效的系统备份、系统安全、数据安全和网络安全措施，以保障网络的高可靠性和安全性。建设一个运行稳定可靠的现代化网络系统，网络中任何一台设备或任何一条线路发生故障都不会导致大面积网络失效，并且能够保证在不影响网络正常运行的情况下完成对网络故障的检测和排除。端到端qos保证, 合理规划qos配置，提供端到端的qos保证，使网络中的各种业务有可管理的带宽和时延保证，在出现故障的情况下，能够重点保证关键业务的正常运转。3.2.4网络可扩充性因为目前的网络方案是基于满足当前需求的，随着用户应用规模的不断扩大，网络应可以方便地进行扩充容量以支持更多的用户和应用；随着网络技术的不断发展，网络必须能够平稳地过渡到新的技术和设备。为了保护用户的投资，本方案中的网络设备在将来网络升级或再投资的情况下，能够随时通过增加网络设备或模块来对现有设备进行升级和扩充，并能把替换下来的设备应用到分支或边缘网络上。本方案充分考虑到未来网络升级的平稳衔接，保证网络通讯介质、网络设计核心的向后兼容性。要求核心设备支持万兆及ipv6技术，保护客户未来平滑升级。3.2.5 安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，充分考虑安全性，针对贵校的各种应用，有多种的保护机制，如划分vlan、mac地址绑定、802.1x、802.1d、802.1w等，可通过安全认证实现多元素的安全绑定。另外，未来保护系统内部的网络安全性，整网设备支持acl功能，将病毒包及非法包都尽量限制在二层设备上，避免向上层网络扩散，保护网络整体的安全性设计。3.2.6 网络实现的高性价格比原则建设一个高效的网络，充分优化网络结构，尽量减少网络数据流通环节，减少网络中非业务的网络消耗，充分利用网络中的每一台设备和线路，包括备份设备和链路，在确保各级业务部门实时网上业务正常运行的条件下，尽量节省网络的建设和运行成本。新建的数据通信网络，要在满足网络各项性能指标的前提下，尽可能节约网络建设的投资，保护原有设备的投资，使整个网络的具有较高的性能价格比。在满足基本需求的条件下，如网络的可靠性、安全性、性能和一定的可扩展性等，尽可能降低网络改造的费用。网络技术和设备的选择以满足需要为原则，不追求超过需求的“档次”。3.2.7 网络的可管理性良好的组织和管理对网络的正常运转和高效使用有很大帮助，网络应该能够提供方便、灵活、有力的工具对网络进行集中式的有效管理和控制。方便的监控、良好的管理界面、完备的系统记录都能使管理员在不改变系统运行的情况下对网络系统进行检测、修改及故障恢复等管理维护工作。网络系统中的所有设备均应是可管理的，支持远程监控和故障的过程诊断和恢复，并可通过网管软件方便地监控网络运行的实时情况，对出现的问题及时处理和解决。3.3 校园网设计方案3.3.1 校园网交换网络方案说明本网络规划基于星型结构, 核心交换机采用dcrs-5950,汇聚交换机采用dcs-3950系列。基本网络用户都与接入层交换机连接，在所有桌面用户的端口上均预设专属vlan信息。在每个交换机上接入端口应用acl访问安全控制列表，用于控制接入用户和降低整个校园网络内在危险系数。接入交换机除了基本的802.1q设置之外，还需要设置全面的安全保护特性，其中包括：基于stp协议的安全保护，例如rootguard,portfast等，防止用户非法成为网络的stp root；基于mac cam的安全保护，实现portfast功能；基于arp攻击的保护，实现pvlan的功能；基于dhcp与802.1x的保护，利用交换机关于dhcp 82 option的保护特性，将dhcp地址池与特定交换机对应，动态分配ip地址，网关以及dns等信息；基于acl的安全防护和过滤；关于服务器的接入问题，我们建议根据服务器工作性质选择接接入核心交换机组成若干服务器专用vlan或者直接接入防火墙dmz区域，每一个vlan内部根据业务特性实现pvlan功能。例如外部服务区以及一级内部服务区、二级内部服务区等，分别放置不同功能的服务器，区域之间通过acl进行策略控制，区域内部通过pvlan技术进行有效防护，确保一台服务器的失陷不会影响其他的服务器的防护。3.3.2 校园网设计方案说明网络主干选择千兆以太网。选择合适的光纤接口模块，还可以将个别远距离的接入点联入骨干网。表 ：千兆以太网传输距离协议标准传输介质最大传输距离1000baselx9m单模光纤10000米50m、62.5m多模光纤550米1000basesx50m多模光纤（模式带宽500mhz-km）550米50m多模光纤（模式带宽400mhz-km）500米62.5m多模光纤（模式带宽200mhz-km）275米62.5m多模光纤（模式带宽160mhz-km）220米1000baset4对5类非屏蔽双绞线100米1000basecx同轴电缆25米核心交换机与汇聚层交换机之间的连接核心交换机与分布在各个楼的汇聚交换机通过千兆以太网连接，条件许可的时候也可以采用主干聚集技术连接或者生成树协议（spanning tree）的冗余链路连接。 也可以选择开放最短路径的动态路由协议（ospf）根于不同的优先级别来实现冗余链路的连接3.3.3 校园网络信息点统计表楼宇楼所需信息点楼总信息点楼所需电话点楼总电话点1号楼一楼37+50355（含机房200点）一楼2380二楼41+50二楼20三楼41+50三楼21四36+50163号楼一楼7166（含三楼网络世界90点）一楼138二楼19二楼3三楼27+90三楼19四楼23四楼154号楼一楼58196一楼6162二楼28二楼32三楼28三楼32四楼28四楼32五楼28五楼32六楼13六楼15七楼13七楼13总计7172803.3.4校园网络拓扑图3.3.5校园网系统图3.4学校网络安全设计方案3.4. 1 项目分析目前，校园网络出口进行了非常严格的安全控制，但是针对现在如邮件、oa、视频会议等各种日益繁多及重要、复杂的网络应用，如何来保证保障重点业务应用的安全，提高重点业务应用的速度和效率，网络的安全问题就愈加显得更加重要。而且随着学校不同业务的发展及信息化建设步伐的加快，校园网的网络安全问题也日益徒显。无孔不入的病毒（尤其是木马病毒）仍然会大肆泛滥，甚至严重影响学校应用系统的运行和校园网络关键业务的正常运作。另外由于缺少专门的客户端安全检查设备，无法有效的保护整个局域网的安全性，上班时间员工浏览一些与工作无关的网站，有些员工甚至登陆一些受限制网站，同时使用p2p软件进行下载，耗费了大量时间和网络资源，除了有可能给内网带来不安全因素外，还导致工作效率不高，而且现在业务系统对网络带宽和上网速度及上网的安全性提出了更高的要求。信息化的飞快发展代来方便的同时也带来了威胁，现在的信息技术可以使员工非常方便的在网络上交换数据和信息，在工作便利的同时也不得不面对机密信息泄露的威胁。3.4.2 现行网络环境目前学校的互联网上网环境简述如下： 上网方式：连接到电信专线上网；网络设备：专线下直连一个深信服网络防火墙，下接神码三层核心可网管网络交换机；网络结构：总线拓扑，不同部分划分多个网段规划；内网规模：约5台服务器，近800台左右pc。3.4.3 期望解决效果本方案的基本目标：为宁波神舟学校的互联网上网建设一个先进的、高可用、安全的互联网安全控制系统，保证内网核心如oa办公系统、电子邮件等关键业务系统，及对员工的上网行为进行有效监控和日志有效记录，做到网络出口问题有据可查，并且对网络内当前使用的各种应用与应用占用的有限带宽进行查看，最后利用互联网安全控制设备，保障校园网内的员工健康上网、数据安全，及上网带宽快速、网络稳定的有序管理设计目的。最终在新的架构上我们需要考虑产品的可靠性，可管理性，设备的安全性等，来保证下面的网络架构和功能要求来达到安全可控目的。通过采用sinfor m5x00-ac上网行为管理解决方案，可以保障组织管理者实现完善的网络访问行为管控和行为审计，并达到如下效果，可以帮助学校：1.规范员工上网行为（如禁止上班时间qq聊天、炒股、网络游戏等），提升工作效率上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、qq聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。而通过sinfor ac可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。 2.流量控制、带宽管理，提升带宽利用率对严重吞噬带宽的p2p行为，sinfor ac不仅能彻底封堵，还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分，结合智能qos，既保证了业务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率。3.修补安全漏洞、提升内网安全级别色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网，sinfor ac将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的dos攻击、arp欺骗等也将被sinfor ac彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，sinfor ac亦能侦测发现，从而修复内网安全短板。4.防范信息机密外泄、保护组织信息资产安全员工使用email邮件可能将组织的信息机密发送到公网、甚至竞争对手，sinfor ac特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmail行为，sinfor ac同样可以过滤和记录；而sinfor ac对qq、msn等聊天内容的记录和审计，将警示通过im聊天工具泄密的行为。5.规范员工网络行为、避免法律风险员工利用组织的internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。sinfor ac上网行为管理设备可以管控和过滤员工的此类行为，并详细记录和审计员工的各种网络行为日志，做到有据可查，使组织避免法律风险。 sinfor ac提供的数据中心，海量存储内网用户的各种网络行为日志，图形化的查询、审计、统计、自动报表、内容检索等功能，方便组织管理者了解和掌控您的网络。3.4.4 解决效果34.4.1网络建设分析如何为宁波神舟学校的互联网安全访问工作解决上述问题，并更加有效的推进？从整个网络来看，影响学校信息化安全建设，以及将局域网可靠地向外扩展的因素主要体现在两个方面：一是网络本身是否具备充分抵御内外网安全威胁的能力；二是网络对外延伸扩展部分是否保证远程办公的安全、稳定、快速接入，下面分别加以说明。34.4.2 sinfor ac上网行为管理安全设备可以实现的功能如何有效地解决这些问题，以便提高员工的工作效率，降低学校的安全风险，减少学校的损失，成为学校迫在眉睫的紧要任务。深信服科技推出的sinfor ac从以下几个方面来解决上述问题。1)、 丰富的认证功能sinfor ac提供了丰富的认证功能，对拥有众多内网用户的学校而言，对内网用户实行严格的安全认证管理以避免安全隐患是及其重要的。sinfor ac基于web的用户认证功能，使得管理员对上网用户的管理变得十分灵活方便。用户启用了web认证功能以后，除了对客户端的