学校网络实训室工程项目方案.doc

. 佛山市xx职业技术学校 网络安全存储实训室 工程项目项目编号：CCGP2013113G 实 施 方 案北京大恒软件技术有限公司 2013年11月1日目录1.1 项目建设背景41.2 大恒实施本项目的优势51.2.1 丰富的实际项目经验51.2.2 专业化实施、服务队伍61.2.3 强大的系统集成实力71.2.4 公司总体实力71.3 网络安全实验室方案设计（H3C部分）81.3.1 实验室总体设计81.3.2 实验室整体布局101.3.3 实验室内容设计131.3.4 实验课程管理271.3.5 实验室教材311.4 厂家的支持及合作计划（H3C校企合作部分）341.4.1 合力共建H3C网络学院341.4.2 共建H3C授权培训中心341.4.3 师资培训351.4.4 定制化教材371.4.5 对外培训服务371.4.6 新技术、新应用定期交流371.5 工程实施381.5.1 工程实施要点381.5.2 需求分析及方案确定391.5.3 整体规划项目实施401.6 项目组织管理411.6.1 项目组织411.6.2 岗位职责421.6.3 项目阶段管理431.6.4 需方介入441.6.5 风险管理451.7 项目实施进度计划471.7.1 到货安排471.7.2 执行进度计划471.7.3 项目进度管理481.7.4 采购人配合条件501.7.5 场地及环境准备501.7.6 安装工具准备521.8 系统安装531.8.1 系统安装时间、地点及相关事宜531.8.2 安装工作的主要目标531.8.3 设备的安装内容、方法及步骤531.9 系统测试及验收541.9.1 概述541.9.2 系统验收计划561.9.3 系统初验581.9.4 试运行581.9.5 最终验收591.10 项目实施设备技术响应表601.11 系统具体安装措施701.12 售后服务承诺701.12.1 交货服务、交货期：701.12.2 安装调试、培训服务：701.12.3 免费保修期限与服务方式：711.12.4 服务机构：711.12.5 响应时间：711.12.6 试运行和正式运行期支持721.12.7 正式运行期售后服务721.12.8 备件库：721.12.9 伴随服务：721.12.10 保修期过后：721.1 项目建设背景教育领域以教育体制改革为核心，进行了院校合并、专升本、学员扩招、新校区建设等等变革，实现了教育行业规模的扩大，基本解决了社会对高学历人才的供需矛盾，建立了院校自我积累、自我发展的健康发展机制。随着通信技术的飞速发展，社会对网络的建设人才、管理人才和运营人才有大量的需求，对人才的技术素质的要求也有很大的提高。因此，学校为了使学生能更好的学习和掌握技术知识，必须加强相关专业的教学和科研环境的建设和改造。只有提高计算机专业、信息安全专业、数据通信专业的教学质量，改进教学手段，加强实践环节，使学生尽快掌握最新的网络技术知识，具备较强的理论和实践相结合的能力，才能使学生日后更好地服务于社会，同时这也是关系学校教学评估的一项重要指标。网络实验室是随着信息科学技术教育的发展而建立起来的，在教学和科研中具有非常重要的作用，是学校教学实验环节中最重要的组成部分之一。网络实验室的建设水平、教学科研水平不仅反映出学校的办学水平，而且对学生的学习、教师的教学也将产生巨大的影响。复合型人才培养现在很多学生都面临就业难的问题， 70%毕业生找工作难，而工作岗位却很多，这就说明很多毕业生和企业用人标准之间存在一定差距，很多用人单位更希望应聘者不仅具备较好的理论知识，更应具备较好的实践能力，乃至对相关行业有一定认识。这就说明掌握理论、实践能力、行业知识的复合型人才才能更具竞争优势，更能满足社会的需要。行业网络、信息技术发展的需求在很多行业中，IT部门更多的是提出新技术新应用的需求，而缺乏独立开发的能力，这往往是因为IT在这些行业当中是作为辅助支撑的角色。那就需要在此方面专业的研究机构提供帮助。同时职教的科研成果在各个行业当中得到采用，是形成生产力转化的重要途径。从这两点我们可以得出，职教完全可以利用自身技术与设施的优势服务于社会。1.2 大恒实施本项目的优势大恒实施本项目的优势主要体现我们在集成行业具有丰富的实施经验,具体表现在以下方面：1.2.1 丰富的实际项目经验我公司从成立以来，始终将为集成服务作为自己的主要目标，每年都为各行业用户提供从电脑、主机设备、到网络系统、存储备份系统、监控系统以及保修、服务等全方位的设备、技术服务等，在长期的合作中，不仅锻炼了自己，获得了在各行业（如教育、政府、公检法、工商业、制造业等）的信誉，更重要的是了解了每个行业的IT的应用发展状况，为向用户提供更加具有针对性的满足客户要求的解决方案奠定了良好的基础。大恒系统集成部是一支从事网络工程的专业化队伍，依托中科院自动化所，在楼宇自控系统、综合布线系统、保安监控系统、计算机网络系统、办公自动化管理系统、信息管理系统、智能化社区综合系统、商业自动化系统等系统集成方面拥有强大的技术实力和丰富的工程总包管理经验，为用户提供从咨询、规划、设计到安装、调试、技术培训、售后服务一体化的服务。尤其在SAN存储方面，大恒推出自有品牌的SAN存储系统和存储解决方案。同时同国际知名主机和存储厂商（IBM、华为赛门铁克、HP、EMC、HDS等）合作，在北京投资建立了“大恒存储中心试验室”，该试验室是基于开放性概念设计，整个系统环境以主流操作系统、主流计算机体系、主流数据接口、主流数据管理软件、主流存储设备为依据搭建。在此试验室可以进行产品测试、培训等工作，培养了一大批专业工程师。我们有着多年系统集成服务经验的工程师，长期参与各个行业的工程实施和系统维护，也是我们在此项工程比其他公司所具有的优势之一。1.2.2 专业化实施、服务队伍我公司总部位于北京，并在广州、上海、深圳、杭州、成都等全国各地区设有分公司或办事处，配备了专业技术人员和现场服务人员，为用户提供及时、全面的技术支持服务。我公司拥有一支工作经验丰富、技术实力雄厚、人员稳定的技术服务队伍，全公司拥有员工近500人。其中65%是专业人员。分别在各事业部、工程管理部、测试部、客户服务中心工作。其中系统集成部的工程师有近80人，他们大多数拥有3-15年IBM、HP、SUN、CISCO、华为、3COM、Microsoft、AVAYA、VERITAS、CA、LEGATO、Quest等主机、存储、网络、布线系统、操作系统、备份系统等的一系列工作经验。在广州，北京大恒软件技术有限公司广州分公司拥有一支工作经验丰富、技术实力雄厚、人员稳定的技术服务队伍，全公司拥有员工42人。其中65%是专业人员。分别在技术支持部、系统集成部、工程管理部、调试部、客户服务中心工作。同时，我公司是一个专业的存储设备生产商，提供一套整体的DAS、NAS、SAN、IP-SAN等的解决方案。对本次方案的主机、服务器、存储阵列、数据安全备份等规划实施有着强大的技术实力。基于以往的项目经验，我公司可以保障在最短的时间内安全、可靠地实施整个项目，充分满足用户的需求，确保该项目的顺利启动和正式运作。1.2.3 强大的系统集成实力我公司实施的项目综合了主机、存储、备份、网络、布线、应用、安全等各方面设备和技术，使公司具备了强大的系统集成的工程能力，能解决实际项目中的各种技术问题和工程实施问题。我公司获得了国家信息产业部授予的“计算机系统集成一级资质”和“涉及国家秘密的计算机信息系统集成甲级资质”等，公司的系统集成综合实力获得了国家的认可。公司同时是IBM、赛门铁克、Oracle、HP、SUN、Cisco、华为、华赛、Intel、H3C、康普、联想等公司的代理商。在与厂商的长期合作中，我们对他们的各种产品及相关组合有很好的了解和经验。1.2.4 公司总体实力 大恒公司是上市公司大恒集团的核心企业，股票名称“大恒科技”，代码：600288； 具有信息产业部颁发的信息系统集成一级资质，建设部颁发的建设部甲级设计资质，国家保密局颁发的计算机系统集成涉密甲级资质，国家人民防空办公室颁发的人防设计施工甲级资质，规划委员会颁发的建筑智能化工程设计和施工二级资质； 公司成立于1993年，广州分公司成立于2001年，可以提供长期稳定的售后服务保障； 公司通过ISO9000质量体系认证以及高新技术企业认证，按其规定严格实施项目管理；精选范本1.3 网络安全实验室方案设计（H3C部分）H3C的IToIP（IT on IP）的网络实验室架构理念，是以IP网络为核心整合IT的“计算”、“通信”、“存储”三大基础资源的新IT网络实验室架构。其精髓在于“全业务”，即网络实验室包括了所有的业务；其核心内涵可以用七个字概括：整合、开放、价值链。整合网络实验室是各种IT技术融合的黏合剂与催化剂。网络实验室不再仅仅是数据通信网络，而且还是语音、视讯等多媒体融合通信的网络，是IP与存储技术的融合，改变传统的存储方式，进行存储逐步虚拟化的网络；是基于“IP集合通信”实现分散的多业务、多技术体制、多媒体网络的整合。开放网络实验室的体系是开放的，体现在以下几点：实验室的设备可以根据需要分期建设，持续扩展，平滑升级，不需要更换原有设备；实验室的使用也是开放的，从使用人群来看，不仅面向校内的师生，也可面向社会开放，从使用地点来看，不仅可在校内的网络实验室进行实验，也可通过VPN技术构建远程访问实验室，即使在家里也可以使用网络实验室；实验室的架构是公开的，可通过开放的中间件平台进行各种软件的二次开发和定制，实现各种富有特色的行业解决方案等。 价值链通过网络实验室的建设，相关科研项目的开发、社会培训的开展，校企业合作的深入，构造信息化建设的价值链，首先幅射教育行业，其次可幅射到其它各个行业，成为其它行业信息化考察学习的实验基地，最终打造成为区域信息化的龙头。1.3.1 实验室总体设计网络技术方面的相关课程具有很强的实践性，学生除了需要学习大量的网络知识之外同时也需要大量的网络实验。随着需要进行网络实验的学生数量越来越多，网络实验的需求量也越来越大，如何有效管理网络实验室，如何方便的进行灵活的网络实验组合，如何组织配套的相关实验资料，成为了建设网络实验室的重要问题。针对网络实验室的需求现状，采用实验设备和实验PC分离设计，以分组实验台为网络实验基本单元的实验室设计理念。整体结构如下图所示：网络实验室从逻辑上可分为实验台区域、学生机区域和教师管理区域，各区域通过实验室中心交换机进行接入等。在实验台区，根据实验小组的划分及实验内容的不同，将不同类型的网络设备分类组成各个实验台，并且可以将不同类型的实验设备在不同实验台内进行划分部署。实验台区计划共分为10组，每组配置相同，可满足10组学生同时实验。学生上机操作配置专门的操作终端，目前规划共分为10组，每组5至6人，每组学生对应1组实验台，同时，学生的操作终端配置双网卡，其中一为有线、另一为无线，一方面可以对设备进行实验操作，另一方面终端也将作为实验台的终端PC机，用于校验实验结果。网络实验中需要教师进行大量的管理工作，如管理实验设备，配置网络实验环境，管理学员的认证、授权等。实验室配置有实验室管理系统，系统将有助于教师可以方便、快捷地完成这些工作。同时为保护用户原有的投资，我们这次的实验设备，在保证实验功能的情况下，保留了原来用户的网络设备。保留了20台S2108-E18交换机和10台AR 28-09B路由器用于路由交换技术实验；另外的思科3560则用为实验室的中心交换机，连接各个区域的设备，另外两台3com的4400交换机，则做为学生机的接入交换机来用。1.3.2 实验室整体布局本次设计按照每个实验台可供5到6人同时实验，每个实验小组都能在一个实验台上单独完成全部实验内容，通过10个实验台可以构成一个实验室，供60人左右实验。为达到良好的实验效果，有利于加强每组成员之间的交流，并增加对设备的直观感受，提高学生动手组网的能力，实验室采用实验台学生机 形成岛式布局。 实验室布局平面图岛式布局是目前最流行的实验室布局方式，每个物理实验组成为一个小岛，每个组推荐56个学生使用，最多不应该超过8人。 实验室布局效果图实验室中有一个核心机柜，放置中心交换机组（可能是一台交换机，也可能是几台交换机级联或者堆叠而成，提供足够的网络接口）、防火墙、实验室管理系统服务器以及其他必要的服务器等。因此，网络实验室机柜的数量=N+1（N=实验组的数量）。 实验室网络布线图 1号线：红色，4条双绞线，小机柜与核心机柜相连，不可拔除。2号线：蓝色，6条串口线，学生机串口与实验机柜相连，不可拔除。3号线：黄色，6条双绞线，学生机网卡与实验机柜相连，不可拔除。注意：跳线区分直通线缆和交叉线缆。1.3.3 实验室内容设计实验内容根据配置的实验设备，共分综合路由交换、网络高可用性、无线局域网、网络安全技术和IP管理系统等五大类别。可实验内容将覆盖业界主流的网络技术和安全技术，如路由交换、无线、应用层安全以及网络管理、用户认证系统内容，将针对目前广泛关注的网络高可用性实验。 综合路由交换实验路由和交换是网络建设的基础，也是各种网络应用的传输平台。路由交换实验也是实验室建设的重点，本次建设的路由交换实验台具有贴切实际组网需都求，可根据课程灵活组合，使学员可以熟悉网络基本协议、学习组网设计、模拟各类实际环境、排除网络故障等，同时亲身体验所设计网络的高速连通性、高可靠冗余等特性，完成从认识、熟悉到设计、排错等多种教学和实验，熟练掌握网络实用技术。综合路由交换实验共分10组，每组配置4台路由器MSR 2020、1台F100-M防火墙、2台三层交换机3600、2台二层交换机E126B、1台WX3010无线控制器和1台WA2210-AG无线AP。实验台组网结构如下图：综合型路由交换台可完成以下实验课程。实验项目实验内容各种网络接口在具体实验之前，安排课时集中介绍常用的网络设备、相应的接口和连接线缆等，讲解网络产品、相应的工作方式、连接控制方法以及工作原理，并联系如何通过线缆连接设备。交换机的基本配置交换机基本配置交换机堆叠利用TFTP管理交换机配置升级交换机操作系统交换机集群管理交换机端口镜像交换机QOS交换机端口聚合路由器基本配置路由器的基本配置利用TFTP管理路由器配置升级路由器操作系统路由协议静态路由RIP Version 12路由协议OSPF路由协议IS-IS路由协议BGP路由协议路由备份技术路由过滤配置路由重分布、策略路由VRRPQOS局域网技术实验虚拟局域网VLAN生成树配置生成树的高级技术VLAN配置组播技术防ARP欺骗MPLS MPLS信令MPLS L3 VPNMPLS L2 VPNMPLS VPN QOSIPV6技术IPv6基础IPv6过渡技术IPv6 路由技术IPv6 组播技术IPv6 QOS及安全 WLAN无线实验随着网络应用的逐渐普及，人们对网络的依赖性愈来愈强，需要随时随地接入网络，获取服务，WLAN无线接入方式越来越得到用户的认可，并已成为网络建设的热点技术。但如何解决WLAN部署过程中涉及的网络安全、带宽、QOS、传输距离、抗干扰能力等问题，成为WLAN成功实施的关键。网络实验室设计了WLAN实验课程，以使学生、学员随时掌握无线网络技术的最新发展。本次无线实验台采用目前业界最为先进的技术，采用Fit AP组网方案，支持802.11a/b/g。无线实验将作为最基础的内容，共配置10组，与路由交换实验台一起，无线设备包括1台无线交换机和1台无线AP.实验内容、目标：内容包括WLAN网络环境的构建，FIT/FAT AP的切换及配置，无线网卡、无线交换机、工作组网桥、室外网桥等的配置，尝试各种联结方式，同时试验各种加密认证方式，无线切换、漫游，模拟实际实施环境，尝试无线用户管理，FAT AP组网、FIT AP L2/L3组网。教学的最终目标是使学生、学员掌握WLAN的基础技术，成为无线技术的专业人员。 网络安全技术实验安全威胁无处不在，简单的防火墙已远远不能保护网络的安全，用户在尽情享受网络带来的巨大便利性的同时，如何保障关键信息不受侵犯，还需要多层次、多种安全技术的相互配合。对于来自Internet的外部安全威胁，防火墙是网络安全的第一道防线，而与防火墙相配合的IPS/IDS、VPN等设备和技术，则能充分弥补防火墙只能在IP层抵御网络攻击的不足。而最大的威胁还是来自用户网络内部。据统计，80%的网络攻击和泄密行为都是在网络内部发生，如何防范非法用户的接入，如何为不同部门、不同类型的应用、不同的人员提供不同的网络访问控制权限，成为内部网络安全的关注点，这涉及交换机VLAN技术，ACL技术，终端用户认证等多种技术。同时，目前安全技术更趋向于应用层安全，包括IPS、P2P控制、行为审计、防病毒等。在安全实验台，设计了多种安全实验，为广大学生及学员提供不同层次的安全产品实验环境，覆盖防火墙软、 IPSec/SSL VPN、网络深度检测与在线防御、防病毒、防垃圾邮件、WEB URL过滤、P2P控制和行为审计等安全技术，以期学生可以全面掌握网络安全技术，并最终成为网络安全专家。安全实验将作为最基础的内容，共配置5组，与路由交换实验台一起，每组安全设备包括1台具有多种安全功能一体的UTM设备和1台MSR 2020路由器，UTM可偏重于IPS、P2P控制、行为审计、防病毒等实验，多功能路由器MSR 2020可偏重于各种VPN包括SSL VPN的实验。以下是部分安全课程的实验内容：防火墙实验、安全VPN实验。 IP存储试验基于IP的存储网络技术让数据的集中整合和远程共享成为可能，并且带来了极具竞争力的高性能、低成本特性。作为全球IP领域的领导厂商之一，H3C一直致力于推动iSCSI技术的发展，潜心开发符合客户应用需要的网络存储产品和相关解决方案。H3C的存储产品支持持续数据保护和系统级的数据备份功能，可为应用系统提供连续的数据快照，有效的应对病毒、人为误操作导致的数据丢失问题，结合远程启动功能，能对用户终端进行快速恢复。除此之外，H3C存储产品还提供VTL虚拟带库功能、WORM等多种功能，能为用户的数据保护、业务保护提供全面的解决方案。通过对H3C的网络存储产品进行学习，可让学生掌握当前存储领域的最实用技术，并针对不同用户需求设计不同安全级别的存储解决方案。 H3C网络学院存储技术课程，主要定位于网络存储的基本概念和理论、H3C网络存储设备的管理、配置、维护和故障排除。覆盖了存储的架构、网络存储的协议、磁盘和RAID等基础知识以及H3C网络存储设备配置方法、Windows和Linux主机连接配置、高级数据保护功能配置、主机磁盘保护功能配置和故障的排除等知识点。课程内容设置考虑了前瞻性和实用性，覆盖了从存储原理、配置，项目实施到维护等全方位的存储技术，强调学生、学员的实际应用能力已经将在社会上面临的考验，将H3C在行业、企业中关于应用的解决方案、案例等直接纳入课程教学体系中。通过针对性的实际操作，学生、学员不仅可以提高动手能力、更能切身体验相关行业的应用特点，为以后的就业打下良好的基础。实验内容、目标 IP存储系统以及网络环境搭建 了解RAID技术和存储设备的配置升级方式 掌握数据快照、VTL、WORM、远程启动技术的配置方法 模拟远程备份、设计存储解决方案 教学的最终目标是使学生、学员掌握存储基本原理，了解存储技术的最新发展情况，能对存储设备进行熟练配置，并设计完整存储解决方案。 IPS试验.1 入侵检测实验实验内容：IPS产品在旁路部署时可以作为IDS使用。第一步：使用客户端的攻击软件对服务器进行模拟攻击。第二步：配置交换机为监听模式，让IPS能够监控到流经交换机的流量。第三步：观察IPS的安全日志，看是否有攻击信息。教学目标：了解IDS入侵检测的工作原理及操作方法。.2 蠕虫威胁实验实验内容：IPS产品在线部署时可以作为IPS使用。第一步：配置IPS，打开蠕虫防护规则。第二步：在客户端安装蠕虫程序，人为将客户端感染蠕虫病毒。第三步：观察服务器是否遭受蠕虫病毒感染，观察IPS的日志是否有蠕虫病毒传播日志。第四步：将IPS的蠕虫防护规则关闭。第五步：观察服务器是否遭受蠕虫病毒感染。教学目标：了解蠕虫病毒传播原理及IPS防护蠕虫病毒的操作方法。.3 后门威胁实验实验内容：IPS产品在线部署时可以作为IPS使用。第一步：配置IPS，打开后门防护规则。第二步：在客户端安装后门控制程序，在服务器端安装带有后门的服务程序。在客户端使用控制程序控制服务器的后门程序。第三步：观察客户端是否能控制服务器，观察IPS的日志是否有后门攻击日志。第四步：将IPS的后门防护规则关闭。继续在客户端使用控制程序控制服务器。第五步：观察服务器是否被控制。教学目标：了解后门攻击的原理及IPS防护后门病毒的操作方法。.4 木马威胁实验实验内容：第一步：配置IPS，打开木马防护规则。第二步：在客户端安装木马控制程序，在服务器端拷贝客户端的木马程序。第三步：观察是否能够拷贝成功，观察IPS的攻击日志。第四步：将IPS的木马防护规则关闭。继续在服务器端拷贝客户端的木马程序。第五步：观察服务器是否中毒。教学目标：了解木马攻击的原理及IPS防护木马病毒的操作方法。.5 CC攻击实验实验内容：第一步：配置IPS，打开CC防护规则。第二步：在客户端安装安装CC攻击客户端，在服务器端安装测试用论坛或聊天室。使用CC攻击客户端攻击服务器。第三步：观察服务器是否还能正常工作，观察IPS的攻击日志。第四步：将IPS的CC防护规则关闭。继续攻击服务器。第五步：观察服务器是否还能正常访问。教学目标：了解CC攻击的原理及IPS防护CC攻击的操作方法。.6 迅雷限速实验实验内容：第一步：配置IPS，打开迅雷限速规则。将总体迅雷流量限制在10Kbps。第二步：在客户端安装迅雷客户端，进行下载，带宽至少要达到128K。第三步：观察迅雷下载速度是否能够超过10K。教学目标：了解IPS对迅雷的限速操作方法及效果。.7 电骡限速实验实验内容：第一步：配置IPS，打开电骡限速规则。将总体电骡流量限制在10Kbps。第二步：在客户端安装电骡客户端，进行下载，带宽至少要达到128K。第三步：观察电骡下载速度是否能够超过10K。教学目标：了解IPS对电骡的限速操作方法及效果。.8 QQ限速实验实验内容：第一步：配置IPS，打开QQ限速规则。将总体QQ流量限制在10Kbps。第二步：在客户端安装QQ客户端，从好友处下载文件，带宽至少要达到128K。第三步：观察QQ下载速度是否能够超过10K。教学目标：了解IPS对QQ的限速操作方法及效果。.9 MSN限速实验实验内容：第一步：配置IPS，打开MSN限速规则。将总体MSN流量限制在10Kbps。第二步：在客户端安装MSN客户端，从好友处下载文件，带宽至少要达到128K。第三步：观察MSN下载速度是否能够超过10K。教学目标：了解IPS对MSN的限速操作方法及效果。.10 禁止传奇游戏实验实验内容：第一步：配置IPS，打开传奇游戏禁止规则。第二步：在客户端安装传奇客户端，登陆传奇服务器。第三步：观察是否能正常进行传奇游戏。教学目标：了解IPS对传奇游戏的禁止操作方法及效果。.11 禁止跑跑卡丁车游戏实验实验内容：第一步：配置IPS，打开跑跑卡丁车游戏禁止规则。第二步：在客户端安装跑跑卡丁车客户端，登陆跑跑卡丁车服务器。第三步：观察是否能正常进行跑跑卡丁车游戏。教学目标：了解IPS对跑跑卡丁车游戏的禁止操作方法及效果。.12 禁止大智慧炒股软件实验实验内容：第一步：配置IPS，打开大智慧炒股软件禁止规则。第二步：在客户端安装大智慧炒股软件客户端，登陆大智慧炒股软件服务器。第三步：观察是否能正常运行大智慧炒股软件，看股票行情。教学目标：了解IPS对大智慧炒股软件的禁止操作方法及效果。.13 基于用户的带宽管理实验实验内容：第一步：配置IPS，设置客户端的IP的带宽仅有10Kbps。第二步：在客户端运行任意网络程序，使用任意工具下载。第三步：使用流量分析工具，在客户端上观察是否超过10Kbps的流量。教学目标：了解IPS基于用户的流量限制操作方法及效果。.14 基于时间段的带宽管理实验实验内容：第一步：配置IPS，设置客户端的IP在上班时间（8点至18点）的带宽仅有10Kbps，其他时间不限。第二步：上班时间，在客户端运行任意网络程序，使用任意工具下载。第三步：使用流量分析工具，在客户端上观察是否超过10Kbps的流量。第四步：非上班时间，在客户端运行任意网络程序，使用任意工具下载。第五步：使用流量分析工具，在客户端上观察是否超过10Kbps的流量。教学目标：了解IPS基于时间段对用户的流量限制操作方法及效果。 UTM实验实验内容：UTM包括IPS/IDS、防火墙、VPN等多种功能。模拟实际网络环境，配置IDS抵御来自网络内部的攻击，尤其来自于合法用户的病毒和攻击。包括IDS 监控数据采集、设备安全性测试、攻击应对策略测试、主动告警功能测试等内容。H3C SecPath IPS（Intrusion Prevention System）集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为，并对分布在网络中的各种P2P、IM等非关键业务进行有效管理，实现对网络应用、网络基础设施和网络性能的全面保护.SecPath IPS 强大的功能可以让学生深度地理解IDS/IPS技术。教学目标：掌握IDS/IPS部署设计，理解工作原理，熟悉IDS/IPS网络安全策略以及相关工程实施步骤。内容包括：UTM病毒检测实验、UTM病毒库离线升级实验、IPS攻击特征库离线升级实验、UTM垃圾邮件过滤实验、UTM WEB内容过滤实验、UTM深度攻击实验等。1.3.4 实验课程管理本次实验室建设配置有实验室管理系统，采用H3C的NEMS（Network Experiment Management System，H3C NEMS是教师用来进行网络实验教学管理的辅助工具。教师通过NEMS进行实验设备的管理、实验课程的设置、实验内容的定制、实验环境的部署、实验过程的管理监控、实验环境的恢复、实验结果的获取验证等。H3C 实验室管理系统主要包括如下功能：l 管理实验设备：提供对设备控制台、实验设备和配置文件的管理功能，包括获取实验设备信息，获取、查看、编辑、比较设备配置文件，设置实验设备缺省配置等功能。l 管理实验内容：提供灵活的实验内容定制功能，包括定义每个网络实验所使用的实验设备，每个实验设备在实验开始时的初始配置，在实验完成后应有的正确配置，并可以对这些已定义的网络实验进行分类，组成不同的实验集，便于管理。l 管理实验课程：提供管理学员信息和实验课程的功能，包括录入学员信息，定义实验课程，为学员指定应完成的所有实验，查看和管理学员的实验结果和成绩等。l 管理实验过程：提供对整个实验过程的管理功能，包括实验环境的快速部署、实验结果的快速获取等，并可以将已有的实验结果重新部署到实验环境，便于验证或继续进行实验。H3C NEMS系统基于B/S架构，提供完善的实验室管理功能。H3C NEMS系统可以自动获取学员IP信息，通过访问控制绑定，并下发到设备控制器，实现和实验设备自动绑定。在实际实验部署中，针对某一实验，学生登陆后只能看到所做实验的设备。完备的实验定义H3C NEMS系统内置多个以上路由和交换实验，同时可分类进行管理，如新建、编辑和删除。同时，实验管理中包括定义实验需要的设备，包括设备类型、实验初始配置、实验正确配置、屏蔽命令集等。 定义实验组网拓扑图、实验操作手册等。全面的实验管理：n 控制实验启动、结束。n 一键恢复实验环境。n 批量获取实验结果。n 强制学员下线。实验结果管理查询实验结果，支持根据实验课程、实验包等查询，并查看实验详细信息。同时，具有强大的实验结果校验能力，可根据预先定义的实验结果，进行实验结果校对。这一功能主要是针对教学业务而言。每次实验课或实验考试后，学生直接离开即可，老师将每个学生实验结果配置拷贝到自己的电脑中，并利用多配置分析系统对标准答案和学生作业、答卷进行自动差别比较，发现学生实验的问题，并给出相应的成绩。1.3.5 实验室教材作为网络实验室,最重要的功能首先是能够满足学校本科生和研究生的教学工作，满足对社会开展各种培训的需要，因此，一个好的教材非常重要。本次实验室在教学过程中，可以参考下面几类教材。 标准化教材H3C公司针对高校的需求，开发了各种教材，可以满足学校教学的需要。标准化教材包括： H3C网络学院系列教程 网络安全技术教材和实验手册 无线WLAN技术教材和实验手册 网管技术教材和实验手册 专业化教材H3C公司在高校实验室具有规模功能的应用，H3C公司在提供实验室所需的要硬件、软件系统的同时，还根据各高校的特点，与高校强强联合，推出的专业化的教材。我方在教学过程中，可根据情况进行参考。参考教材一：H3C公司与北京航空航天大学合作开发了计算机网络实验教材，由高教出版社出版：参考教材二：H3C公司与清华大学合作开发了IPV6技术教材，由清华大学出版社正式出版。 教材定制化计划此外，H3C公司为满足不同用户不同层次的培训需求，除了向客户提供标准的网络产品培训课程和网络技术认证培训课程，还提供客户化定制培训服务，并可提供定制化的教材，我方可以根据教学安排，提出相应的实验要求，由H3C公司提供技术支持，结合H3C公司在网络技术的积累以及对各行业的网络需求的理解，在教材开发方面展开合作，使教材更具针对性。1.4 厂家的支持及合作计划（H3C校企合作部分）1.4.1 合力共建H3C网络学院本实训室建成以后，XX职业技术学校将成为珠三角网络技术支持中心的核心合作伙伴，中心将为学院提供人才实训、顶岗实习、接收毕业生就业等服务，根据实际的企业需求情况，每年安排2030名学生进行顶岗实习，每年接收35名优秀毕业生到企业就业。同时在学校挂“XX职业技术学校H3C网络学院”牌匾。H3C公司在珠三角的用户有数百家，每年用户都有网络培训需求，可由H3C公司推荐在贵院网络实验室进行学习培训，学校老师通过与企业用户沟通，更好了解企业应用，提高老师的教学质量。1.4.2 共建H3C授权培训中心H3C授权培训中心（H3C Authorized Training Center-HATC)是经过H3C公司严格评估，授权实施相应H3C认证培训项目的培训教育机构，接受H3C公司监督和管理。H3C授权培训中心通过高质量的课堂和实验教学，为客户提供以提升技术为基础的网络设计与实施能力的培训。高校建立了网络实验室以后，可以向H3C公司申请成为H3C授权培训中心。在过去的几年中，网络技术培训飞速发展，带来了大量的市场机会，学校开展网络培训是一个很好的增值服务的方法。可以将培训获得的收益投入实验室的建设以及教学环境的改善中来，实现滚动发展。H3C公司作为业界的主流厂商，产品市场占有率高，培训和认证受到社会的广泛认同，具有很高的权威性。目前在中国各大中心城市拥有20余家授权培训中心和120余家网络学院，海外在巴西、德国、埃及、俄罗斯、新加坡等地建立多家授权培训中心和网络学院，负责全球市场的认证培训实施和推广。成为H3C公司授权培训中心后，享有如下的利益：a)优厚的奖励作为H3C 授权培训中心， 如果您的培训业绩超过一定的额度， 您就有机会获得奖励， 获得奖励的多少以您的季度培训业绩为依据进行评定。H3C 公司将每年将根据年度培训贡献和培训质量， 评选出金银牌H3C 授权培训中心和金银牌H3C 认证教师， 并给于适当奖励。b)合理的硬件购买价格H3C 将以合理的价格向授权培训伙伴提供培训设备， 以降低授权培训中心的运营成本， 帮助授权培训中心的成长。C) 回报丰厚的认证教材销售机会很多公司在不断要求H3C 为其提供H3C 认证教材。H3C 授权培训中心是H3C 销售认证教材的主要机构， 您可以把H3C 认证教材课转售给其他公司， 从而使您可以接触到潜在的大客户。但您不得将认证教材转售给下述机构： 有意再次转售该教材的机构或将教材用于公共或专门课程收费培训的机构。当您转售H3C 认证教材时， 您须为交易承担全部责任。d) 覆盖广泛的H3C 培训促销活动H3C 会举办特别的培训促销活动以促使更多的客户参加我们的培训， 并提供机会让H3C 授权培训中心参加这些活动， 以提高您的市场知名度， 为您带来更多的市场机会。除以上几个部分以外，H3C授权培训中心还将获得：独一无二的身份标识、及时更新的技术信息、高品质的培训产品、大量的推荐机会、全面的在线资料、准确及时的直接支持以及业界认同的H3C认证老师资格。1.4.3 师资培训按照XX职业技术学校实验室项目要求，H3C公司在杭州总部为XX职业技术学校定制课程，并培养5-6名专职教师，使其掌握H3C公司网络产品及系统管理的相关知识和技能，达到一个工程师的技术水平。同时还将实施教师到企业项目实践、实习的工作，每年接收23名教师到相关企业进行23个月的项目实践，直接参加到不同项目、技术支持与服务项目中进行实习和实践。在学院师资培养的基础上，H3C公司将进一步加深与学院的合作，将根据H3C公司佛山办的项目给与学院学生老师进行项目实施，以此提高学院的技术水平、项目能力和社会服务能力。专业的师资队伍是培训和教学质量的最佳保证。通过与设备厂家进行全作，厂家可提供完善的培训。H3C公司极其重视师资队伍的建设，当高校建立了H3C网络实验室后，H3C公司将会为学校培训老师，以充分保证学校网络实验室的效果和质量。师资培训的内容分为三类：一是实验课程内容的培训：H3C公司对学校的老师进行网络实验室相关课程的培训，以使老师熟悉课程内容，彻底掌握H3C产品的配置、维护等必要知识，成为一个专家，通过这些培训，一方面提高了学校实验室老师的技术能力和动手能力，另一方面又能最大限度地发挥网络实验室的功能，更好地为学校教学和科研服务；二是关于实验室管理方面的培训：H3C公司根据多年来在高校建立网络实验室的经验，已总结出一套行之有效的实验室管理方法和流程，比如实验室的设备管理流程，实验室上机管理方法和实验室值班员、管理员守则等一系列规章制度等，这些经验可以和学校进行共享，使学校根据这些内容迅速地制订出适合本校实际情况的实验室管理办法来，而不用从头去摸索和掌握，从而促进了网络实验室的成功运行；三是关于行业解决方案的培训：网络实验室可以对社会其它行业进行开放，培训其它行业的技术人员，比如网络实验室可以招收政府行业的学员，开展关于政府内部网络的各种组网方式、组网方案的培训，另外，对学校内部学生的培训，也有需要模拟其它行业网络实际环境，这就需要学校的老师对各行各业的网络解决方案非常熟悉，才能顺利地开展这些培训。H3C公司汇聚了各个行业的建网专家，对各行各业的网络有着深刻的认识和独到的见解，可以根据学校的要求进行行业解决方案的培训，以使学校老师掌握迅速掌握各行业的网络特点，更好地为教学、社会培训服务。1.4.4 定制化教材此外，H3C公司为满足XX职业技术学校的培训需求，除了向客户提供标准的网络产品培训课程和网络技术认证培训课程，还为XX职业技术学校提供客户化定制培训服务。并可提供定制化的教材。1.4.5 对外培训服务“XX职业技术学校H3C网络学院”将结合学院建设的“佛山市南方职业教育基地总部”建设项目的需要，作为其中的一个模块部分，实施对政府、企业、社会、其他高职院校的网络专项人才培训，H3C公司在珠三角的用户有数百家，每年用户都有网络培训需求， H3C公司和学院将共同策划和推进培训基地的项目工作开展，力争在挂牌的当年完成50100人的H3C网络系统培训认证工作，以后每年完成100300的H3C网络专项人才培训工作。愿望：通过H3C公司与XX职业技术学校的校企合作，达到双赢目的。1.4.6 新技术、新应用定期交流IT行业是不断变化和发展的，不断地有新技术、新应用、新产品出现，H3C公司作为业界领先的IT厂商，可通过定期、不定期资料发放，定时安排H3C网络专家与学校进行交流，在学校召开技术研讨会，以及邀请学校参加业务技术大会等方式，使学校的老师的知识不断得到更新和升华，使学校网络安全实验室甚至校园网的建设水平紧跟业界领先产品和技术的发展步伐。 因此，通过网络安全实验室的建设，学校不仅仅只是建立了一个实验室，而是搭建了一个很好的平台，通过这个平台，通过与H3C公司的合作，来与业界最新产品技术保持同步。1.5 工程实施1.5.1 工程实施要点1本项目施工的所有设备我们将提供厂商原装、全新的、符合国家及用户提出的有关质量标准的设备，并做出质量保证承诺。 2所建议的设备的性能都达到参考指标表中所列技术指标。3我们在项目实施提供的设备均给出具体的选型依据说明，并提供有关产品资料或说明书，这些证明文件以附件形式在验收文件中列出。若提供的产品资料或说明书与投标文件中建议的同一指标不一致时，均由生产厂商出具相关证明，否则以产品资料或说明书为准。4我公司根据招标文件载明的标的采购项目实际情况，拟在项目的非主体、非关键性工作均由本公司完成，并特此说明。5我们承诺：所提供产品中凡列入中华人民共和国实施强制性产品认证的产品目录的产品都已经获得CCC认证证书。6项目工期要求：我们将保证一定在合同签订后:30个工作日内完成供货、实施和验收。7凡属于政府强制采购的节能产品，我们所提供产品均已列入最新一期的节能产品政府采购清单（该清单可查询中国政府采购网）。8我公司非所提供主要产品（网络安全设备、存储设备）的制造商，具有制造商或其分支机构针对本项目的授权书和售后服务承诺函（原件）；9我公司承诺在中标后签订合同前，提供所供货主要产品（网络安全设备、存储设备）厂商出具的售后服务承诺函原件。用户有权要求本公司提供中标的主要设备送国家认可的第三方实验室按照招标文件的性能参数进行测试，测试费用由我公司支付。不能提供样机或不能通过技术测试或测试结果与投标文件不符的视为虚假承诺，报相关的政府采购监督管理部门进行处理，导致整批货物被拒收和索赔，由此引发的所有损失由中标人负责。10我公司为本项目提供设备，及其安装服务，以及3年免费上门保修服务（其中：网络安全设备、存储设备提供原厂3年免费保修服务），布线系统线材提供厂商15年品质保证。施工要点：我公司接到佛山市禅城区政府采购中心发出的中标通知书，在与用户签定政府采购合同后，免费送货上门，具体如下。1、 供货、验收时间：严格按照合同签订后30个工作日完成供货、实施。争取比标书要求提前完成。具体开工时间，以签订的施工合同要求为准。安装调试在设备到货后3个工作日内开始进行。2、 实施地点：佛山市XX职业技术学校指定地点。3、 供货产品外观清洁，标记编号以及盘面显示等字体清晰，明确。4、 供货产品均提供厂商授权函及供货确认函原件、出厂合格证等质量证明文件，以及满足设备安装、使用和维护的技术文件，包括仪器和附件箱清单、质量合格检定证明文件、保修卡、使用中文说明和中文维护手册。5、 所有设备均须由我公司送货上门并安装调试。用户不再支付任何费用。6、 自系统安装工作一开始，我们将允许采购单位的工作人员一起参与系统的安装、测试、诊断及解决遇到的问题等各项工作。7、 对提供的产品保证叁年的产品免费技术支持售后服务，布线系统提供厂商15年以上品质保证。1.5.2 需求分析及方案确定我公司有幸成为项目实施