上海市法律援助中心机房和网络改造投标方案

上海市 法律援助中心 机房 和网络改造 项目 投标 方案 万达信息 股份有限公司 2009 年 6 月 上海市法律援助中心机房和网络改造项目投标方案 2 目 录 第一部分：机房改造方案 . 5 1. 系统概述 . 5 2. 设计原则 . 5 3. 需求分析 . 6 3.1. 工程范围 . 6 3.2. 具体技术要求 . 7 3.2.1. 装潢子系统 . 7 3.2.2. 机房空调子系统 . 7 3.2.3. UPS 子系统 . 7 3.2.4. 电气子系统和接地子系统 . 7 3.2.5. 综合布线系统 . 8 3.2.6. 机房防火措施 . 8 4. 设计依据 . 8 5. 方案设计 . 9 5.1. 装潢子系统 . 9 5.1.1. 吊顶工程 .10 5.1.2. 墙面隔断工程 . 11 5.1.3. 架空地板工程 . 11 5.2. 机房空 调子系统 . 12 5.3. 机房 UPS 子系统 . 12 5.3.1. 概述 .12 5.3.2. 系统配置 .13 5.3.3. 产品介绍 .13 5.4. 电气子系统 . 14 5.4.1. 动力供电系统 .14 5.4.2. 插座安排 .14 5.5. 接地子系统 . 14 5.5.1. 电源防雷措施 .15 5.5.2. 接地工程 .15 5.6. 综合布线系统 . 16 5.6.1. 信息点布置 .16 5.6.2. 产品介绍 .17 5.7. 机房防火措施 . 19 6. 施工准备和准备 . 错误 !未定义书签。 7. 机房工程需用户协调配合事宜 .19 第二部分：网络改造方案 .20 1. 系统概述 .20 2. 需求分析 .20 2.1. 局域网分析 . 20 2.1.1. 局域网现状 .20 2.1.2. 存在问题 .21 上海市法律援助中心机房和网络改造项目投标方案 3 2.2. 公务网分析 . 21 2.2.1. 公务网现状 .21 2.2.2. 存在问题 .22 3. 网络系统设计 .22 3.1. 总体设计 . 22 3.2. 网络设计原则 . 22 4. 改造方案设计 .23 4.1. 局域网设计 . 23 4.2. 病毒防护 . 24 4.3. 公务网改造 . 28 5. 设备清单 .28 6. 产品介绍 .28 6.1. 路由器 H3C MSR 3020-AC-H3 . 29 6.1.1. 产品概述 .29 6.1.2. 产品特点 .30 6.2. 接入交换机 H3C S3100-26TP-EI . 34 6.2.1. 产品概述 .34 6.2.2. 产品特点 .36 6.3. 核心交换机 H3C S5510-24P . 38 6.3.1. 产品概述 .38 6.3.2. 产品特点 .39 第三部分：项目管理和售后服务 .42 1. 项目组 织设计 .42 1.1. 项目的质量管理 . 42 1.2. 施工质量的管理与控制 . 44 1.3. 工程实施步骤 . 45 1.3.1. 工程施工图设计 .45 1.3.2. 施工步骤和施工方法 .46 1.3.3. 系统工程施工图具体设计深度 .46 1.3.4. 施工步骤、注意事项 .46 1.3.5. 质量保证计划 .49 1.3.6. 安全生产计划 .49 1.4. 工程验收和文档管理 . 50 1.4.1. 智能化系统工程调试运行与工程验收 .50 1.4.2. 智能化系统工程验收 .52 1.5. 人员的培训 . 55 1.5.1. 培训目的 .55 1.5.2. 培训形式 .55 2. 售后服务承诺 .56 2.1. 日常响应服务 . 57 2.2. 保修描述 . 57 3. 公司简介及案例 .57 3.1. 基本情况 . 57 3.2. 成功案例 . 60 3.2.1. 上海浦东国际机场 .61 3.2.2. 宁波明州医院弱电系统 .61 上海市法律援助中心机房和网络改造项目投标方案 4 3.2.3. 科教党校弱电总包工程 .62 3.2.4. 上海应用技术学院奉贤校区 A、 B 区弱 电系统设计咨询、总包 .62 3.2.5. 上海世博演艺中心智能化系统设计、咨询及技术管理 .63 上海市法律援助中心机房和网络改造项目投标方案 5 第一 部分 ：机房改造方案 1. 系统概述 在现代科学技术高度发展的社会里，电子计算机机房这个概念将越来越广泛地应用于各个领域，近年来信息技术正迅猛发展，但是计算机设备只有通过稳定、可靠的运行才能发挥其效益，而计算机设备的稳定、可靠 运行要依靠电子计算机机房（以下简称 “ 机房 ” ）的严格的环境条件，即机房温度、湿度、洁噪声、振动、静电、电磁干扰等条件及其控制精度，因此机房工程的设计与施工也日益被人们所重视起来。 结合 上海市 法律援助中心办公场地的整体调整和扩充，为了保障上海市法律援助中心 的 “ 12348”热线升级改造工作顺利进行，同时也为法律援助中心相关的应用系统提供一个安全、稳定的机房运行环境， 针对此次机房工程的实际特点和根据业主要求，并兼顾机房具备的各项技术和性能指标的要求，我们提出了 本次 设计方案书。 2. 设计原则 机房的基础设施建设是整个项 目 建设的重要部分，设计必须满足当前 中心 网络的各项需求应用，又面向未来快速增长的发展需求，因此必须是高质量的、灵活的、开放的。结合国情和 法律援助中心 机房的现状，在进行设计时， 遵循以下设计原则： 实用性和先进性 机房建设 采用先进成熟的技术和设备，满足当前的需求，兼顾未来的业务需求。 安全可靠性 在关键设备采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与安全保密等技术措上海市法律援助中心机房和网络改造项目投标方案 6 施提高机房的安全可靠性。 灵活性与可扩展性 机房必须具有良好的灵活性与可扩展性，能够根据机房业 务不断深入发展的需要，扩大设备容量和提高用户数量、质量的功能。具备支持多种网络传输、多种物理接口的能力，提供技术升级、设备更新的灵活性。 标准化 中心机房系统结构设计，基于国家颁布的有关标准，包括各种建筑、机房设计标准，电力电气保障标准以及计算机局域网、广域网标准，坚持统一规范的原则，从而为未来的业务发展，设备增容奠定基础。 经济性 /投资保护 应以较高的性能价格比构建中心机房，使资金的产出投入比达到最大值。以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。 3. 需求分析 上海市法律援助中心机房工 程位于小木桥路 268 弄 1 号 5 楼，机房区域总面积约 70m2 左右，其中主机房为 25m2 左右， 话务室改造面积约 45 平方米， 将原有的机房区域按规范要求重新建设，以满足信息技术应用不断发展的需要。 该机房 工程 将涉及多种学科技术，具体到电子工艺、建筑装潢、空气调节、电气技术、通信技术、消防技术、弱电工程 、自动控制技术等。 3.1. 工程范围 上海市法律援助中心 机房工程的施工范围和主要项目包括： 装潢子系统 机房空调 机房 UPS 上海市法律援助中心机房和网络改造项目投标方案 7 电气 系统 综合布线系统 防火报警系统 3.2. 具体技术要求 3.2.1. 装潢 子系统 将机房区域划分为设备区、话务室等功能区域 。 设备区吊顶采用微孔铝合金吊顶，话务区维持原样。 机房内 采用 抗静电地板。 根据要求配置 8 套 话务台、 3 个 标准机柜设备。 3.2.2. 机房 空调子系统 为保证机房设备 24 小时的运行，机房原有一台 1 匹的家用空调，需要增加一台 5 匹的 空调机系统。 3.2.3. UPS 子 系统 设计 1 套 10KV UPS 系统，延时 30 分钟。 UPS 系统主要用于支持 12348 热线 CTI 设备、 IVR/IFR/TTS 系统 、 录音系统 、 IVR/传真服务器 、 录音服务器 、CTI 服务器 、 12348 热线 数据库服务器 、 12348 热线 应用服务器 ，以及法律援助中心业务管理系统服务器，以及 各种网络设备的供电。 3.2.4. 电气 子 系统 和接地子系统 设计配电箱使 UPS 电源与动力电源分别独立送电 。 上海市法律援助中心机房和网络改造项目投标方案 8 机房内设置环型接地体与建筑物基础接地系统连接。机房防静电地板、金属走线架、机架、重要设备不带电金属机壳、金属穿线管道、 金属龙骨以及其它金属管线均压环连接 形成等电位网。 3.2.5. 综合布线系统 根据整个楼层装修要求，设计布置 100 个电脑，电话信息点及 13 个公务网信息点。 3.2.6. 机房防火措施 根据要求设计机房烟温感探测器、报警器 和手提式气体灭火器 。 4. 设计依据 本次设计所参考的设计依据如下： 电子计算机机房设计规范（ GB50174-97） 计算站场地技术要求（ GB2887-93） 电子计算机机房施工及验收规范（ SJ/T30003） 民用建筑电气设计规范（ JGJ/T16-92） 电气装置安装工程接地装置施工及验收规范（ GB50169-92） 供配电系统设计规范（ GB50052-95） 工业与民用供电系统设计规范（ GBJ52-82） 低压配电设计规范（ GB50054-95） 建筑防雷设计规范 不间断电源技术性能标定方法和试验要求（现行国标电工标准） 上海市法律援助中心机房和网络改造项目投标方案 9 民用建筑照明设计标准 工业企业照明设计标准 计算机机房用活动地板的技术要求（ GB6650-86） 建筑设计防火规范 5. 方案 设计 根据现场情况我方进行 相关 设计 。 主 机房： 约 25m2。 话务室：约 45m2 根据现场实际情况，我们将尽可能利用紧缩有限空间资源来合理的安排机房的布局。 5.1. 装潢 子系统 中心 机房应是安全性、可靠性要求最高、最重要的地方 ，是保证整个办公系上海市法律援助中心机房和网络改造项目投标方案 10 统 正常工作的关键重要部分之一。 由于中心 机房内放置 大量的 计算机设备、网络通讯设备 、网络监控设备和等，因此 需要一个非常严格的操作环境，更重要的是 保证系统的 正常运作，对整个系统的业务是至关重 要的。因此，机房的基本结构组合必须达到以下目的及水准。 中心机房装潢建设 重点目 标是 防尘、防静电、空调、防火等 ； 装修部分主旨是：既要与现代化的计算机通讯设备相匹配，又能通过精良、独特的设计构思，真正体现 “ 现代、高雅、美观、适用 ” 的整体形象。室内装潢部分的设计就遵循四条基本原则： 体现特点 -体现出机房特殊场地装潢特点。 突出重点 -在充分考虑计算机、网络通讯、空调、 UPS等设备的安全性、可靠性、先进性的前提下，达到高雅、大方、简朴的风格。 格调淡雅 -室内装潢基本格调为淡雅； 宜于健康 -设计中在材料的选用 方面，要以自然材质为主，充分考虑环保因素。 设计、施工、材料选用主要考虑： 1）、为保证机房的洁净度，装潢应选用气密性好、不起尘、易清洁的材料； 2）、为满足机房气体消防要求，装潢材料应选用不燃材料（耐火极限 0.5H,耐压 1200Pa）。基于上述几点考虑，本机房装潢选材基本采用金属及其它难燃材料。 贴近业主的需求，对机房的布局进行了合理的布置；机 房静电活动地板架高150mm，机房净高为 2300mm。 （ 机 房静电活动地板 延用以前的高度 ） 。 5.1.1. 吊顶工程 吊顶是机房中重要的组成部分。吊顶上部安装着强电、弱电、线槽 和管线。在吊顶面层上安装着嵌入式灯具、消防报警探测器、气体灭火喷头。现代机房要上海市法律援助中心机房和网络改造项目投标方案 11 求机房吊顶必须防火、防尘、美观和易于拆装。 吊顶设计：本次设计主机房吊顶采用方形铝板吊顶，话务室仍采用原来吊顶。 机房顶棚装修采用吊顶方式。 吊顶天花轻钢龙骨工程： A、 本工程采用密封式，保护区四周须钢筋混凝土或砖墙处理。 B、 范围：包括轻钢龙骨天花板全部作业 C、 材料：使用建材依规格同级品，除非施工说明书有严格的规定外，否则均依照各厂牌对应产品及安装所作指标。 机房内的吊顶主要具有以下作用：安装固定照明灯具及走线；安装固定自动火灾探测器；防 止灰尘下落；饰面板需存放于有防潮设施的场所堆存。 5.1.2. 墙面隔断工程 A、本工程机房 隔断在吊顶下方区域 采用 防火轻钢龙骨 贴石膏板 、上方区域采用防火板材料 。 B、墙面及部分 门框、柱子等根据需要及整体效果情况确定材料 。 C、 机房 采用防火门并安装 闭门器 ，使门能自动关闭。 5.1.3. 架空地板工程 活动地板在计算 机 机房中是必不可少的。机房敷设活动地板主要有以下作用：在活动地板下形成隐蔽空间，可以在地板下敷设电源线管、线槽、综合布线、消防管线等以及一些电气设施（插座、插座箱等）。另外，活动地板可迅速的安装与拆卸，方便设备的布局与调整，为 设备的增容和设备的更新换代提供了有利条件；此外，活动地板的抗静电功能也为计算机及网络设备的安全运行提供了保证。 活动地板的种类较多，可分为：铝合金、全钢等；本次设计采用全钢抗静电上海市法律援助中心机房和网络改造项目投标方案 12 地板，常温常湿下地板绝缘电阻应大于或等于 100K ，地板均匀荷载 大于 500KG/平方米。 抗静电地板安装时，同时要求安装静电泄漏系统。铺设静电泄漏地网，通过静电泄漏干线和机房安全保护地的接地端子封在一起，将静电泄漏掉。 本次 工程中主机房及话务室均采用国产苏杰品牌全钢防静电 活动地板 ， 规格为 600X600，敷设高 度为 0.15米 ， 根据实 际情况可作调整。 活动地板安装过程中，地板与墙面交界处，活动地板需精确切割下料。切割边需封胶处理后安装。地板安装后，用 12厚木基层面贴 1厚发纹不锈钢板饰面踢脚板压边装饰，效果极佳。 建议楼地面必须符合土建规范要求的平整度。地面采用水磨石地面。如地面抹灰应达到高级抹灰的水平。而且地面需要进行防尘处理。通常在地板下的墙面、柱面、地面均刷涂防尘漆两遍。全部水泥面均经刷漆处理，达到不起尘的作用。 5.2. 机房 空调子系统 机房内部保持可靠温、湿度，是系统设备稳定运行的必要保证之一。为保证机房设备 24 小时的运行，机房原有一台 1 匹的家用空调，根据情况增加 1 台海尔 5 匹立柜式空调保证机房制冷效果。 5.3. 机房 UPS子 系统 5.3.1. 概述 为了让用户的主机在机房内部能获得一个可靠的运行环境，不中断的电源的供应是必要的条件，因此，机房的电气工程应该达到如下目标： 1. 电气工程系统无单点失效； 2. 电源供应应该平稳可靠； 3. 电力系统应该免于维护； 上海市法律援助中心机房和网络改造项目投标方案 13 5.3.2. 系统配置 交流不间断系统按远期规划设计，机房网络设备采用交流供电，需配置 1台 10KVA 三进单出的 UPS。 我们将采用 国际知名伊顿品牌 EATON DX10K UPS 系统是连接在输入电源和负载之间，为重 要负载提供不受电网干扰、稳压、稳频的电力供应的电源设备，在市电掉电后， UPS 可继续给负载提供一段时间的供电。 UPS 采用高频双变换结构和先进的全数字控制技术，能提供稳定、洁净、不间断的电源，并具备扩展的网络管理功能，具有很高的可靠性。 同时配置国产优质 洛奇 蓄电池，保障断电后时间 为 30 分钟 (满负荷时 )。 5.3.3. 产品介绍 Eaton DX 系列采用了传统双转换结构，是三相在线式 UPS.本产品广泛适用于中小型数据中心，企业服务器机房 ,制造、交通、能源等领域的控制中心，以及针对工业领域的精密生产和测试设备 . 作为电源供给 和保护的关键设备 ,对电网出现电源停电、电压下陷、电源浪涌、持续欠压、持续过压、频率波动、电源干扰、切换瞬变、谐波失真等 9 种状况可提供良好的解决方案，为用户的负载提供安全可靠的电源保障 。 特点和优点 : 先进的 IGBT 整流技术 ,输入功率因数达 0.99,输入电流谐波小于 3% ， 整机系统效率高达 93% ， 产品内置并机功能，标配并机卡 ,不需要增加外部附件 ,可实现 8 台 UPS 并联工作 ， 并机冗余工作状态下可以支持共用一组电池 ,大大节省了用户的投资 ， 大屏幕中文 LCD 图形化显示面板方便中国用户操作 ， 优秀的工业环境防护性能 ,标配下可以达到 IP21 的防护等级 ， X-Slot 通讯扩展槽和多种上海市法律援助中心机房和网络改造项目投标方案 14 可选通讯扩展卡满足网络智能监控的要求 。 功率等级 20 40KVA 电压 380、 400、 415VAC 频率 50, 60Hz 构造 双变化在线式 5.4. 电气 子系统 设计配电箱使 UPS 电源与动力电源分别独立送电 。 5.4.1. 动力供电系统 本系统供电负荷： 照明、 UPS设备 等。 从楼层强电间输出一支回路到机房配电柜，控制 UPS输入 、 照明、空调等设备用电。 5.4.2. 插座安排 本次机房工程中， UPS 电源插座全部安装在活动地板下方 ；保证每个机柜下方有两个来自不同 2 路的 16A 插座 ，负责网络和主机设备电源。同时在话务室内保证每个话务台有 1 个 220V10A 两三眼电源插座。 5.5. 接地 子 系统 针对 目前 现状，本方案是在用户提供的资料及有关技术人员现场勘察得出的数据的基础上 ，本设计方案 涉及以下内 容（防直击雷已在原建筑设计上解决）： 电源线路的感应雷防护。 接地工程改造或建设。 上海市法律援助中心机房和网络改造项目投标方案 15 5.5.1. 电源 防雷措施 电源感应雷防护 共 分三级防护。 第一级在大楼一层总配 电柜的电源进线端（变压器的次端）安装雷电通流量较大的并联型电源浪 涌防护器（ SPD），主要就近泄放雷电大电流入地。该大厦供电第一级 防护已有，本工程中不用考虑 。 第二级防护在机房所在 楼层配电箱内 中 安装并联型电源 浪 涌防护器 （ SPD） 。本工程中也不用考虑。 第三级采用残压低的串联型 SPD，我们将安装在 机房 UPS 输入 电源前端，主要作用是再次泄放雷电流，吸收并滤掉雷电流的高 频波，把残压降至设备能耐受的电压水平。（该级 SPD 内有多级保护电路，能有效地保护计算机房及重要终端设备的安全） 5.5.2. 接地 工程 根据 GB50343-2004建筑物电子信息系统防雷技术规范要求， 机房所在建筑物采取屏蔽措施，利用建筑物的钢筋混凝土的钢筋、金属支撑物、金属框架等自然构件构成格栅型大空间屏蔽，并实施等电位连接，使建筑物内部处于 LPZ1防雷区。（此项工作在大楼土建工程中已完成） 另外从大楼弱电间敷设接地母线至机房。 机房内设置 30MM 3MM 铜排环型接地体或接地母线，环型接地体与建 筑物基础接 地系统连接（这个接地体一般由大楼物业提供）。 电涌保护器地线、电源保护地（ PE 线）、机房防静电地板、上海市法律援助中心机房和网络改造项目投标方案 16 金属走线架、机架、重要设备不带电金属机壳、金属穿线管道、大面积金属门窗、吊顶和间隔用金属龙骨以及其它金属管线，均与均压环连接，采用 M 型或 S 型接地方式，形成等电位网。 机房内部 通过 BV-6mm2 、 16mm2 铜线 将 装修吊顶、间隔和防静电地板的金属龙骨组成六面屏蔽网格，形成 防雷区 。 5.6. 综合布线系统 本系统共计 100 个非屏蔽信息点及 13 个公务网屏蔽信息点，具体位置以施工图为准，我们将采用国际知名 美国 奇速 品牌 （ GIRARD） 的超五类系统产品。 本次工程中我们以线缆敷设及 信息 点位 安装 端接为主要工作。 5.6.1. 信息点布置 具体点位如下表 : 区域地点 数据点 电话点 公务网点 会议室 2（地插） 2（地插） 资料室 1 1 1 受理室 2 2 上海市法律援助中心机房和网络改造项目投标方案 17 咨询室 1 1 业务部 2 3 3 1 业务部 1 3 3 1 受理室 2 3 3 财务室 2 2 1 音控间 /储藏室 1 1 大会议室 4（地插） 2（地插） 1（地插） 3 个双人办公室 6 6 3 2 个单人办公室 2 2 2 机要 /文印室 1 1 1 主任 室 1 1 2 1 主任室 2 1 2 1 主任用会议室 2（地插） 2（地插） 候谈室 1（地插） 1（地插） 话务室 14 14 合计 50 50 13 5.6.2. 产品介绍 美国奇速 是一家专业研发和生产网络结构化布线产品的跨国公司，总部设在美国亚利桑那州的凤凰城。目前，我们在全球已建立多家工厂及分支机构，遍布在拉丁美洲、亚洲、欧洲和北美地区，公司规模不断壮大，年销售额也迅速增长。 美国奇速 在中国的上海和各中心城市都建立有办事机构，为客户提供包括技术支持、技术培训、售后服务等一系列本地化全 程服务。美国奇速公司致力于满足并超越客户的需求。在技术上我们保持强大的研发能力，不断创新，使美国奇速专业布线产品的可靠性、持久性和创新能力深受用户信赖。 美国奇速公司提供整个布线系统中端到端的全部解决方案，产品分为铜和光纤两种介质，包括七类、超六类、六类和超五类屏蔽与非屏蔽线缆、光缆和接插上海市法律援助中心机房和网络改造项目投标方案 18 件。 美国奇速公司 还推出了电子配线系统，配合网络管理软件可以对网络及布线系统实施有效监控和管理。美国奇速专业布线系统的所有产品均符合国际环保规范，完全不含任何有毒物质。公司积极参与各国际相关组织（如 BICSI 国际建筑业咨询委 员会），始终走在技术的最前沿，从而使我们设计制造的产品符合并超过最新的国际标准（如 UL、 ETL），同时也取得了国家信息产业部和国家测试中心的认证。美国奇速专业布线产品具有良好的性价比，同时又拥有多项设计专利，体现出与众不同的人性化设计理念。此外美国奇速公司提供严格、专业的 GCE 认证工程师培训计划和 25 年系统应用保证等诸多管理体系，并通过认证工程师和认证系统集成公司向用户提供优质的全程式服务。相信我们的产品能以一流的质量和技术服务、合理的价格满足客户在使用专业布线系统时的全部需要 。 超五类非屏蔽布线系统： 超 五类布线产品是目前的主流产品，可以满足语音、视频、数据、多媒体、智能化大楼、智能监控的各类需求。对数据网络，我们可满足从 10-BaseT 以太网、 IBM Token Ring 到 ATM155， ATM622， 100M TP-PMD， 100Base-TX， 100Base-T4，FDDI 及 Gigabit Ethernet（ 1000Base-TX）等高速数据传输的要求。 美国奇速超五类非屏蔽线缆主要应用于商业建筑，专为高速率的数据传输而设计，是追求最佳性能价格比的必要选择；由于采用特殊的绝缘材料和信号平衡技术（ LCL），该产品具有低衰减度，高带宽的特点。 美国奇速超五类信息模块更是采用了独步业界的无印刷线路板技术，使衰减和串扰减少到最小。 并且可免工具压接。 美国奇速超五类配线架都配有两套防尘盖板，蓝色防尘盖标志水平功能区、白色防尘盖标志干线功能区，在该端口不用时可以有效防止灰尘、水汽侵入。用户可以根据需要选择其它颜色或标记来区分不同的功能区。 美国奇速超五类 RJ45 非屏蔽跳线采用高柔软度的24AWG 多股线缆，通过热冲胶一次成型的护套即坚固耐用又能在拥挤的配线架上保护插头，跳线有各种颜色可供上海市法律援助中心机房和网络改造项目投标方案 19 选择，颜色与 EIA/TIA-606 标准完全相容。 超五类屏蔽布线系统： 美国奇速超五类屏蔽电缆在 PVC 护套内有一层金属铝箔包裹住 4 对双绞线可以有效地防止外界对线缆的射频干扰 (RFI)和电磁干扰 (EMI)，保证线缆可以在恶劣的环境中传输高速率的数据。特别适用于金融、政府、部队等对网络安全性能有特殊要求的场所。 美国奇速屏蔽 RJ45 接头的主体材料选用聚碳酸酯（ PC），符合 UL 94-V2 材料要求。外覆镀锡的铜制屏蔽壳，有效地屏蔽了 EMI 和 RFI。控制插拔的按片可以反向弯曲而不折断，具有很高的韧性。 5.7. 机房防火措施 考 虑到本次机 房面积相对较小，设备较少，我们将配置一箱两瓶的手提式气体灭火器，以及加装电子烟温传感器、报警器配合使用，来满足防火要求。 6. 机房工程需用户协调配合事宜 1. 公共事务上的配合 办理施工人员监时出入证。 办理材料货物进出单。 办理电焊动火证。 确定施工用电、用水、垃圾清运要求。 确定施工作息时间。 2. 施工技术上的配合 用户需协调大楼管理处原机拆除或封闭原机房内的消防水喷淋装置。 用房需提供机房供配电主输入断路器位置，供电气接入。 提供机房区域所在楼层的等电位接地桩位置，供机房接地使用。 上海市法律援助中心机房和网络改造项目投标方案 20 第 二 部分 ： 网络改造 方案 1. 系统 概述 结合 上海市 法律援助中心办公场地的整体调整和扩充， 要 重 建一整套高可用性、 高 可靠性的网络，为 上海市法律援助中心 的 “ 12348”热线和相关的 信息管理应用提供一个综合的、安全的运行环境。 本方案设计将以后的应用需求为出发点，根据弱电的实施情况，采用先进的理念和技术，构建全新的网络模式。 2. 需求分析 2.1. 局域网 分析 2.1.1. 局域网现状 上海市法律援助中心，目前网络拓扑如上： 整个网络 分成 3 个 区域： ISDN 区域、 Internet 区域、政务外网区域。 上海市法律援助中心机房和网络改造项目投标方案 21 ISDN 区域实现区县 法律援助分中心的 联网 ，用以支撑目前的“ 12348”热线区县接答服务 。 Internet 区域 通过服务器代理 方式 实现内部 上网 需求 ，通过 2 台 接入 交换机 连接需要上网的 终端用户 。 政务外网区域采用思科 3560 连接政务外网下发的博达交换机，华依防火墙连接思科 3560，而后连接 DELL 服务器，作为政务外网的应用服务器 。 为了保证 Internet 用户也能够访问到 DELL 的应用服务器， DELL 应用服务器才用双网卡模式连接到政务外网和 Internet 平台上。 2.1.2. 存在问题 根据对目前现状的问题，主要存在以下问题： 政务外网 的连接方式 不满足政务外网的接入标准， 需要及时改正 。 上海市 法律援助中心目前的网络设备 老 化 ，交换机采用 D-LINK， 3COM等低端设备， 使用年限较长 ，无法满足改造的大规模应用需求，端口数量也存在不足，故将现有的老设备全部淘汰，采用新设备 。我们在进行新系统的设计时，将考虑新系统 能够很好的兼容原来的老设备， 达 到新旧的稳定切换。 Internet 采用服务器代理方式，很难满足大数据量的需求，并且没有防火墙，入侵检测等安全设备，在网络安全上存在隐患。 政务外网采用防火墙在后，交换机在前的方式，很不规范。 服务器采用双网卡模式，并且没有在 DMZ 区，而又与 Internet 区域相连 ，存在安全上存在风险。 局域网内没有部署防病毒软件 。 2.2. 公务网 分析 2.2.1. 公务网现状 目前 法律援助中心有一个信息点接入公务网非涉密 域， 采用 直接接在公务网上海市法律援助中心机房和网络改造项目投标方案 22 下发的思科 2950 交换机上 的方式 。 2.2.2. 存在问题 根据业务要求，一个信息点无法满足业务需要。 3. 网络系统设计 3.1. 总体设计 在本方案中，根据 法律援助中心 的信息点及接入需求，选择适合的网络设备作为核心交换设备和接入设备，并部署防火墙安全系统。 3.2. 网络设计原则 主要应遵循以下原则： 1) 高性能： 核心交换机 应提供可保证的服务质量和充足的带宽，以适应大量数据传输。整个系统在国内三到五年 内保持领先的水平，并具有长足的发展能力，以适应未来网络技术的发展。 2) 标准化：所有网络设备都应符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。 3) 可扩充性：所有网络设备不但满足当前需要，并在扩充模块后满足可预见将来需求。网络设计要考虑本期网络系统应用和今后网络的发展，便于向更新技术的升级与衔接。 4) 易管理性：网络设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络配置，发现故障。 5) 支持多媒体：支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务，具有多种基于优先级队 列的 QoS 保证，多媒体应用对服务质量有很高的要求，如带宽，延迟，延迟的变化等，需要网络对服务质量 (QoS)有很好的支持。 6) 安全性：网络系统的数据和文件多数要求具有高度的安全性，因此，网络系统本身要有较高的安全性，对使用的信息进行严格的权限管理。 上海市法律援助中心机房和网络改造项目投标方案 23 7) 实用性：系统建设首先要从系统的实用性角度出发，未来内部的信息传输都将依赖于计算机网络系统，所以系统设计必须具有很强的实用性，满足不同用户信息服务的实际需要，具有很高的性能价格比，能为多种应用系统提供强有力的支持平台。 4. 改造 方案设计 4.1. 局域网设计 改造后与原先网络 一样分成 3 个区域。 ISDN 区域保持不变，可以用于老系统正常运行，新系统上线后也可以考虑临时解决不能通过政务外网联网的区县的联网问题。 在 Internet 区域，将原来的 Proxy 服务去掉，增加 华三的 H3C MSR 3020路由器，作为接入路由器， H3C MSR 3020 有强大的扩展功能，可以为以后无线 AP， ip 电话的实施，满足需求。新增一台 防火墙 （司法局配发） ，提高 Internet 的安全管理能力。 核心区域去 除 原来的 D-LINK 交换机，用 H3C 5510 作为核心交换机，满足以后大数据量的业务，在用户接入上海市法律援助中心机房和网络改造项目投标方案 24 方面采 用 H3C 3100 系列 交换机。 在政务外网区域，使用华依防火墙连接政务外网下发的博达交换机，将原先的 3560 放入 DMZ 区，作为 DMZ 接入交换机，所有的依靠政务外网线路的服务器全部接在此交换机上，即接入 DMZ 区，这样能够对服务器有更好的保护。防火墙另一端口与 Internet 区域的核心交换机相连，通过防火墙的安全策略可以很好的将政务外网和 Internet 网达到安全的逻辑隔离。 在安全方面 ，建议 在资金允许的情况下 考虑再增加一些安全设备，保障法律援助中心的核心业务系统的安全 ： 1. 建议使用入侵检测，将 2 探头侦探政务外网 接口和 Internet 接口，可以有效的了解目前网络中一些报警 、 告示。 2. 在 DMZ 区域，建议部署安全审计，由于大部分应用都在 DMZ 区的服务器上，这样可以对 DMZ 区服务器进行监控，了解服务器的访问情况和受攻击情况，对服务器的安全有保障。 3. 在 DMZ 部署 WEB 应用防护系统 ，保障 DMZ 区的 WEB 服务器安全。 4.2. 病毒防护 历年来，全世界各地因为病毒入侵所造成的损失均触目惊心、数不胜数。尤其现在病毒通过网络广泛传播，影响面极大，造成的危害也极大，特别是越来越猖獗的蠕虫病毒，使病毒已经成为危害信息资源和应用系统安全的最主要的 威胁之一。因此，建立一套功能强大的病毒防杀系统对 本系统 而言是十分必要的。 病毒防杀系统的功能 本系统 整体安全架构中的病毒防杀部分专门负责对各类计算机病毒的检测与杀灭，其主要功能包括： 系统病毒预防：预防系统自身常驻系统内存，优先获得系统的控制权，监视和检测系统中的计算机病毒，并组织病毒进入系统和对系统进行破坏。预防手段包括加密可执行程序、系统引导区保护、系统监控与读写控制。 上海市法律援助中心机房和网络改造项目投标方案 25 病毒诊断：根据计算机病毒的特征来判断病毒的种类。为实现有效的病毒诊断，必须对病毒特征信息进行定期更新，并提高系统预测新病毒种类的能力。 病毒杀灭：对计算机资源进行分析和检测，并对发现的病毒予以杀灭处理，恢复原文件。 网络病毒检测：对网络上常见的应用的信息流进行检测，防止计算机病毒通过网络途径传播。 病毒防杀系统的结构 对于覆盖整个 本系统 内部系统范围的病毒防杀系统而言，建议采取多级的结构，实施全方位的病毒防杀。 建议采购 卡巴斯基 网络版 。 卡巴斯基介绍 针对中小型企业用户的卡巴斯基 网络版反病毒软件，使用了最新的卡巴斯基实验室的技术成果。 可应用于任何规模和复杂结构的企业网络，可靠保障用户的信息安全。通过集中管理程序可管理网络中的所有节点 ，具有统一的操作界面，支持大多数常用操作系统和应用程序。卡巴斯基 网络版反病毒软件提供全方位的信息安全防护，可保护工作站、文件服务器、邮件服务器、防火墙、网站服务器，为企业网络内的所有节点提供病毒防护，并可根据您的网络结构定制个性化的兼容防护体系。在解决综合的病毒保护、内置强有力的中央控管功能的同时降低了您的总体拥有成本（ TCO）。 卡巴斯基 管理工具 卡巴斯基 管理工具是专为网络管理员提供的管理工具，使其更方便地直接从管理控制台同时管理企业内所有工作站的病毒防护（例如：安装、配置、更新卡巴斯基 反 毒软件，以及快速有效地处理病毒爆发状况）。 卡巴斯基网络版产品介绍 产品性能参数 卡巴斯基反病毒 windows工作站版 卡巴斯基反病毒文件服务器版 卡巴斯基管理工具 基 集中安装和管理；提供 提供双重的数据保护，能 在管理服上海市法律援助中心机房和网络改造项目投标方案 26 本功能 实时有效的保护，在文件运行、建立或者拷贝的瞬间，就对其进行病毒检测；可保护工作站免受所有已知和未知病毒或者恶意程序的侵害，其保护模块包括：文件保护，邮件保护， web 反病毒保护，主动防御，反间谍保护，反黑客，反垃圾邮件 够实时监控所有已存储、新建和修改的文件，同时扫描数据存储的相应路径，使服 务器得到可靠的保护，其保护模块包括：文件保护，邮件保护 务器端，网络管理员能够实施反病毒保护，为主机群组和单独主机配置策略和任务，保证反病毒数据库和程序模块的全面更新、检测所有客户端系统状态并且对严重问题作出有效的反应 优化性能 通过创建可靠的程序列表，系统管理者能够排除一些再病毒扫描中的恶意程序，从而减少了系统系统负载，大大提高了操作效率；全面支持 64 位系统平台 ；针对笔记本电脑有优化保护；实时扫描邮件和网络传输 ；拦截上网时的跳出窗口和广告页面 ；独特的捕捉脚本病毒技术 KeepUp2Data 模块保证数据库更新的稳定、准确下载；可以检测超过 1200 种存档文件和压缩文件，可以处理ZIP,ARJ,CAB以及 RAR格式中的文件；新开发的 ichecker和 istreams 技术提高了扫描速度；扫描并隔离受感染或者可疑的对象， 管理服务器和客户端可通过专线网络、 VPN、防火墙和代理服务器进行实时通讯；管理员可以通过远程执行反病毒保护，反病毒程序的安装和运行，并不影响客户端终端用户的工作。如果病毒被检测，或者存在工作站事件，系统管理员会收到通知，也可以及时收到邮件或 NetSend通知 安装方光盘直接安 装 Web 共享安装 登陆脚本安装。 光盘直接安装 Web 共享安装 登陆脚本安装。 光盘直接安装 Web 共享安装 上海市法律援助中心机房和网络改造项目投标方案 27 式 控制台推送安装 控制台推送安装 登陆脚本安装。安装前要先安装数据库（卡巴斯基自带 MSDE200或者 SQL Server 2000 sp3 或者 My SQL） 运行环境 windows 98/Me windowsNT 4.0 SP 6a(或更高 )windows2000 professional SP2 windows XP home Edition/professional Linux/Unix windowsNT4.0 windowsNT 4.0SP 6a(或更高 ) windows2000Server/Advance Server windows2003(包括 64 位操作系统 ) Microsoft Internet Explorer 5.5 SP2(或更高 ) Linux/Unix windows XP SP1 或更高 , windows 2000 SP, windows 2003 server, windows NT4 SP 6a widdows vista Linux/Unix 硬件需求 300 MHz Internet Pentium 处理器（或更高） 128MB 内存 72MB 可用磁盘空间 Internet Pentium II 处理器（或更高） 32MB 内存 30MB 可用磁盘空间可以安装 23MB 用以运行 Internet Pentium III 800MHz (或更高 ) 至少 128MB 内存 至少 400MB 可用磁盘空间 上海市法律援助中心机房和网络改造项目投标方案 28 4.3. 公务网改造 公务网 改造采用 少于 5 个 信息点的接入方式。根据业务需求，将预先部署13 个信息点，采用 屏蔽布线 的方式，同时接入公务网的信息点控制在 5 个以内 。接入的桌面 PC 机 ，需向公务网申请加密卡和下载公务网的 kill 杀毒软件。 5. 设备清单 序号 设备名称 品牌 /型号 详细配置 数量 1 路由器 H3C RT-MSR3020-AC-H3路由器 主机自带 2 个千兆电口， 4 个 SIC 槽位， 2 个 MIM 槽位，2 个 ESM 槽位， 1 个 VCPM 槽位， 2 个 VPM 槽位 1 2 接入 交换机 H3C S3100-26TP-EI 交换机 24 个 10/100Base-TX 以太网端口， 2 个10/100/1000Base-T 以太网端口和 2 个复用的100/1000Base-X SFP 端口 1 3 核心交换机 H3C S5510-24P 核心交换机 24 个 10/100/1000Base-T 以太网端口和 4 个1000Base-X SFP 千兆以太网端口（ Combo） 1 4 卡巴斯基反病毒软件 卡巴斯基反病毒软件 卡巴斯基 工作站 +服务器 +100 用户 1 6. 产品介绍 上海市法律援助中心机房和网络改造项目投标方案 29 6.1. 路由器 H3C MSR 3020-AC-H3 6.1.1. 产品概述 MSR（ Multiple Services Routers）多业务开放路由器是杭州华三通信技术有限公司（以下简称“ H3C”）专门面向行业分支机构和大中型企业而推出的新一代网络产品。 MSR 先进的软件结构与硬件平台，能够在最小的投资范围内为企业边缘网络提供一体化解决方案，更能充分满足未来业务扩展的多元化应用需求，符合企业 IT 建设的现状与趋势。 企业信息架构正在由 C/S 模式向 B/S 模式转变， MSR 具备高数据转发能力与高加密能力，很好的解决了转变过程中凸现的网络带宽 压力与安全隐患，保障企业关键业务流可以高速、机密的通过广域网传输。 MSR 集数据安全、语音通信、视频交互、业务定制等功能于一体，能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点，不仅能够最大程度的避免网络中多设备繁杂异构问题，而且极大降低了企业网络建设的初期投资与长期运维成本。 针对企业用户日益个性化的应用需求， MSR 领先集成了可以定制开发的高性能开放业务平台，任何人都可以基于该平台开发自身需要的高级网络业务，企业用户只需安装软件便能在网络中方便的部署相应业务，节省了购置各类高昂专用网络设备 的投资。 H3C MSR 30 系列多业务开放路由器包含 MSR 30-10、 MSR 30-11、 MSR 30-11E、MSR 30-11F、 MSR 30-16、 MSR 30-20、 MSR 30-40 和 MSR 30-60 等八款设备，该系列产品内置的硬件加密功能可以为中小型分支机构提供与总部安全的数据连接， MSR 30 也可以作为中小企业核心设备，承担公司广域路由、局域交换、 IP上海市法律援助中心机房和网络改造项目投标方案 30 语音、视频交互等综合应用。通过在单一平台集成多种网络功能，不仅能够减少业务扩展给企业带来的无尽投资，更能实现总部对众多分支的统一管理和控制 ，免去了大量的运维成本，让企业在信息化进程中更具竞争力。 MSR 30-10、 MSR 30-11、 MSR 30-11E 和 MSR 30-11F 四款路由器则是最为典型的路由交换一体化系列设备，这几款设备通过支持 24 口以太网交换模块或固化 24 口、 48 口以太网交换接口的方式实现交换接口的灵活配置和交换接口高密度的要求， MSR 30-11F 是目前业界能够在 1U 高度的设备上提供最大密度交换接口的路由器产品。这几款设备将功能强大的路由器设备和专业的交换设备有机地结合在一起，能够为用户提供最高性价比的路由交换一体化的应用和 组网。 MSR 30 系列产品采用华三通信技术公司成熟商用的操作系统平台，提供丰富的 QoS 特性，全面支持 IPv6，同时大大地增强部署 MPLS VPN 业务的能力。 MSR30采用 OAA（ Open Application Architecture）开放应用体系架构，产品提供了一个公开软硬件接口及标准规范的开放平台，任何厂商与合作伙伴均可以基于此平台开发更为深层智能的网络应用功能，以形成业务定制、优势互补、深度集成、合作共赢。 MSR30 系列路由器还通过 OAA 架构提供基于路由器的统一通信功能，为用户提供灵活的语音呼叫处 理、 IP-PBX、 IP 电话会议和即时通讯等功能一体化的开放通信解决方案。 6.1.2. 产品特点 先进的硬件体系架构： MSR 30 系列路由器设备在硬件设计方面充分地考虑到集成综合业务的需要，采用了先进的 N-Bus 多总线设计方案，语音、数据、交换、安全四大业务分别经由不同的总线，由专门的协处理引擎并行完成处理，消除总线和 CPU 性能瓶颈，大大提高了该系列路由器集成的多业务部署和实施能力。可满足行业网边缘用户、大中型企业分支机构和小型企业总部多种高质量并发业务无缝集成、完美融合。 上海市法律援助中心机房和网络改造项目投标方案 31 MSR 系列路由器 N-Bus 体系结构 开放式的增值业务平台： MSR 30 基于 OAA（ Open Application Architecture）理念设计，创新性的推出了对外开放的业务平台。该平台提供了一套完整、标准的对外接口（ API 接口）。厂商与合作伙伴均可以在此平台上直接开发各类高级功能（例如应用层攻击抵御 、网络病毒防护、多媒体集合通信、 Web 优化与加速等），用户只需安装开发出的软件，便可以将上述业务与 MSR 30 无缝融合，为日渐细分的个性化需求提供完整的解决方案。 多业务集成并发能力： 集成安全业务 安全已经成为网络的基本功能，由于安全性需要内嵌于整个网络之中，因此路 由器在网络防御战略中起着重要作用。 MSR 30 系列产品提供专门的安全数据连接设计技术，采用内置硬件加密功能的 CPU 和主板上内置的硬件加密引擎（ NDE），通过硬件的方式大大提高数据加密性能，保证转发和加密同步高性能，上海市法律援助中心机房和网络改造项目投标方案 32 同时节省接口插槽。 MSR 30 提供了丰富的安全功能，包括 Firewall、 IPSec VPN、 MPLS VPN、 CA、Secure Shell（ SSH）协议 2.0、入侵保护、 DDoS 防御、攻击防御等。 集成语音业务 MSR 30 系 列 路 由 器 采 用 了 全 新 的 硬 件 语 音 设 计 方 案 ， 提 供 了FXS/FXO/VE1/VT1 等各种语音接口类型，支持 H.323、 SIP 等主流的语音通讯协议，实现了紧急呼叫 /掉电求救 /拨号策略 /传真 /E-PHONE 等各种语音业务。 MSR 30提供 TDM 交换能力，使用户的 TDM 交换在本地完成，大大节省网络资源的同时，使本地话音的接通率和通话质量完全达到电信水准。 集成数据交换 MSR 30 系列提供灵活扩展的以太网交换模块，支持丰富的二层交换特性，极大地满足了企业对于路由交换一体化组网方案的需要。另外， MSR 30-11E 和 MSR 30-11F 还分别固定了 24/48 口的以太网交换接口，大大提高了 该路由器的交换接口密度。 统一通信功能 MSR 30 系列路由器通过基于 OAA 架构的开放通信引擎模块（ OCE）提供呼叫处理、 IP-PBX、 IP 电话会议和即时通讯等功能 ,为用户提供基于 MSR 路由器完美的统一通讯解决方案。 多业务线速并发 MSR 30 系列路由器将全新的硬件架构和结构化的软件系统有机结合，可以为用户提供集成数据、安全、语音、视频以及各种上层应用的服务，满足用户现有的以及未来的互联网应用，而且路由器的原有数据传输性能丝毫未受影响。 成熟商用的操作系统： MSR 30 系列采用了华三公司成熟商用的多业务 、可扩展、组件化的先进操作系统平台，全面支持 IPv6，并支持完善的 MPLS VPN 功能满足各种组网需求。 上海市法律援助中心机房和网络改造项目投标方案 33 完善的下一代 IP 协议解决方案 IPv6 作为下一代网络的基础协议以其鲜明的技术优势得到广泛的认可， MSR全面支持 IPv4/IPv6 双协议栈，支持通用的 IPv4 路由协议、 IPv6 路由协议、组播路由协议和静态路由。 MSR 提供了丰富的 IPv4 向 IPv6 过渡方案，包括双栈技术、隧道技术、地址转换技术（ NAT-PT）和 MPLS 6PE 技术。 领先的 MPLS 流量工程解决方案 MPLS TE 结合了 MPLS 技术与流量工 程，通过建立到达指定路径的 LSP 隧道进行资源预留，使网络流量绕开拥塞节点，达到平衡网络流量的目的。 在资源紧张的情况下， MPLS TE 能够抢占低优先级 LSP 隧道带宽资源，满足大带宽 LSP 或重要用户的需求。同时，当 LSP 隧道故障或网络的某一节点发生拥塞时， MPLS TE 可以通过备份路径和快速重路由 FRR（ Fast Reroute），提供瞬时恢复保护。 创新的虚拟路由器（ VRF）功能 VRF 可以把一台路由器在逻辑上划分为多台虚拟的路由器，每台虚拟的路由器就象单独的一台路由器一样工作，有自己独立的路由表和相应的参 与数据转发的接口，并且彼此业务隔离。这从根本上解决了多种业务并存于一台物理设备且又需要隔离的问题，能够节省用户在设备及通信资源方面的投资。 安全灵活的 VPE 功能 VPE（ VPN PE）是一种特殊的 PE，它和 CE 之间的连接方式不是传统的 DDN/E1/ POS/ETH/PVC 等专线技术，而是 IPSec/L2TP/GRE/UDP VPN 等隧道技术。 VPE 完成IP VPN 与 MPLS VPN 的融合，在网络边缘实现网络资源的逻辑划分及安全隔离，核心网与边缘网络形成了一个整体，实现了端到端的 VPN 功能。 简单便捷的网络 分析工具 NQA（网络质量分析）是测量网络上运行的各种协议性能的一种工具。它可以实现端到端的网络状况监测，包括时延、抖动、丢包率等。不仅能使用 ICMP上海市法律援助中心机房和网络改造项目投标方案 34 协议来测试数据包在本端和指定的目的端之间的往返时间，从而判断目的主机是否可达，还可以探测 DLSw、 DHCP、 FTP、 HTTP、 SNMP 服务器是否打开，以及测试各种服务的响应时间等，提供对网络应用的质量检测。 提供 POE 远程供电特性： MSR 30 系列支持 PoE（ Power Over Ethernet）功能，即可通过双绞线向远端下挂 PD 设备（如 IP Phone、 WLAN AP、 Security、 Bluetooth AP 等）提供电源，实现对下挂 PD 设备远端供电，使设备安装简单而且节省空间。作为供电方PSE（ Power Sourcing Equipment）设备，支持 IEEE802.3af 线路供电标准，同时也可以兼容不符合 802.3af 标准的 PD（ Powered Device）设备。 MSR 30 系列以太网口上的 PoE 特性，能够充分满足未来新兴技术发展的需求，为无线技术、语音技术的发展提供了支持。通过支持 POE 和 Voice VLAN 技术， MSR 30 系列路由器能够提供完 美的数据和语音融合解决方案。 严格的国际认证： MSR 系列在外观结构设计上融入流行时尚的元素，并符合有关 EMC、安规和环保等方面的国际标准，如 CE（欧盟）、 UL（北美）、 FCC（北美）安全准入标准，更突出了产品内在和外在的价值。 6.2. 接入交换机 H3C S3100-26TP-EI 6.2.1. 产品概述 H3C S3100-EI 系列交换机是 H3C 公司为构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品，在满足高性能接入的基础上，提供更全面的安上海市法律援助中心机房和网络改造项目投标方案 35 全接入策略和更强的网络管理维护易用性，是理想的安全易用接入层交换机。 用户对于网络的要求不断提高，接入交换机不只是提供简单的数据交换功能，而是越来越多地面临着安全威胁、管理维护复杂、多业务融合和扩展等诸多问题和挑战： 如何实现用户安全的接入控制，防止病从口入？如何能够准确定位并抑制层出不穷的恶意欺骗攻击，将安全隐患拒之门外？ 如何提高网 络管理和维护的易用性？如何自动检测网络中是否存在问题并快速准确定位故障点，如何批量对网络的管理和维护进行批量操作，以提高网络维护效率，降低维护成本？ 如何满足园区网多业务融合的需求，并批量实现网络资源灵活分配和调度？如何提高网络设备的业务扩展能力，节省用户未来对 IPv6 业务应用的追加投资？ H3C S3100-EI系列交换机在以上各方面为用户提供了全新的技术特性和解决方案，完美地解决了当前网络接入设备面临的各种问题。 S3100-16TP-EI： 16 个 10/100Base-TX 以太网端口， 2 个 10/100/1000Base-T以太网端口和 2 个复用的 100/1000Base-X SFP 端口； S3100-26TP-EI： 24 个 10/100Base-TX 以太网端口， 2 个 10/100/1000Base-T以太网端口和 2 个复用的 100/1000Base-X SFP 端口； S3100-8TP-PWR-EI： 8 个 10/100Base-TX 以太网端口（ PoE）， 1 个10/100/1000Base-T 以太网端口和 1 个复用的 100/1000Base-X SFP 端口； S3100-16TP-PWR-EI： 16 个 10/100Base-TX 以太网端口（ PoE）， 2 个10/100/1000Base-T 以太网端口和 2 个复用的 100/1000Base-X SFP 端口； S3100-26TP-PWR-EI： 24 个 10/100Base-TX 以太网端口（ PoE）， 2 个10/100/1000Base-T 以太网端口和 2 个复用的 100/1000Base-X SFP 端口； 上海市法律援助中心机房和网络改造项目投标方案 36 6.2.2. 产品特点 全面的接入安全策略 H3C S3100-EI 系列交换机支持 EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络 安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 H3C S3100-EI 系列交换机支持特有的 ARP 入侵检测功能，可有效防止黑客或攻击者通过 ARP 报文实施日趋盛行的“ ARP 欺骗攻击”，对不符合 DHCP Snooping动态绑定表或手工配置的静态绑定表的非法 ARP 欺骗报文直接丢弃。同时支持IP Source Check 特性，防止包括 MAC 欺骗、 IP 欺骗、 MAC/IP 欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的 DoS 攻击。另外，利用 DHCP Snooping 的信任端口特性还可以有效杜绝私设 DHCP 服务器，保证 DHCP 环境的真实性和一致性。 H3C S3100-EI 系列交换机支持端口安全特性族，可以有效防范基于 MAC 地址的攻击。可以实现基于 MAC 地址允许 /限制流量，或者设定每个端口允许的 MAC地址的最大数量，使得某个特定端口上的 MAC 地址可以由管理员静态配置，或者由交换机动态学习。 H3C S3100-EI 系列交换机有强大硬件 ACL 能力，能深度识 别报文，支持 L2L4 包过滤功能，提供基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、 IP 协议类型、 TCP/UDP 端口、 TCP/UDP 端口范围、 VLAN、 VLAN 范围等定义ACL，以便交换机进行后续的处理。并且支持基于端口、 VLAN、全局定义和下发ACL 策略 H3C S3100-EI 系列交换机支持集中式 MAC 地址认证和 802.1x 认证，支持用户帐号、 IP、 MAC、 VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（ VLAN、 QoS、 ACL）的动态下发；支持配合 H3C 公司的 CAMS 系统 对在线上海市法律援助中心机房和网络改造项目投标方案 37 用户进行实时的管理，及时的诊断和瓦解网络非法行为。支持对 Proxy 进行有效的管理。 增强的网络管理和维护的易用性 H3C S3100-EI 系列交换机支持通过 FTP、 TFTP 实现设备的远程升级，支持SNMP v1/v2/v3，可支持 Open View 等通用网管平台，以及 iMC 智能管理中心。支持 CLI 命令行， Web 网管， Telnet， HGMP 集群管理，使设备管理更方便。 H3C S3100-EI 系列交换机支持跨交换机的远程端口镜像 RSPAN，可以将接入端口的流量镜像到核心交换机上，可以对全网业务和流量进行 监控、优化部署和恶意攻击监控，满足园区网精细化管理的需要。 H3C S3100-EI 系列交换机支持 VCT（ Virtual Cable Test）电缆检测功能，便于快速定位网络故障点；并支持 DLDP（ Device Link Detection Protocol）单向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将设备的易用性带给用户。 高性能与灵活扩展能力 H3C S3100-EI 系列交换机具有 19.2G 的背板交换容量，支 持所有端口线速转发，满足了用户对高带宽的需求。设备支持 2 个 GE 上行，采用 2 个固定10/100/1000 兆自适应电口和 2 个复用的通用 SFP 端口，并且 SFP 端口既可以支持百兆光模块，也可以支持千兆光模块，在降低用户成本的同时，更好的考虑了用户后续升级的实际需求。 H3C S3100-EI 系列交换机采用专利技术，允许交换机利用专用互联电缆实现多达 16 台设备的堆叠，最大扩展至 384 个 10/100M 端口，支持不同端口设备的混合堆叠 。 具有即插即用、单一 IP 管理。同时大大降低系统扩展的成本，保护了用户投资。 丰富的业务支持能力 H3C S3100-EI 系列交换机 PoE 机型支持 PoE（ Power over Ethernet）技术，通过以太网对所连接的设备（如 IP Phone, Wireless AP 等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设上海市法律援助中心机房和网络改造项目投标方案 38 备的布线和管理成本。 H3C S3100-EI 系列交换机支持 SP（ Strict Priority）、 WRR（ Weighted Round Robin）、 SP+WRR 三种队列调度算法，支持每个端口 4 个输出队列，可以以不同的优先级将报文放入端口的输出队列。 6.3. 核心交换机 H3C S5510-24P 6.3.1. 产品 概述 H3C S5510 系列以太网交换机是 H3C 公司自主开发的三层全千兆多协议以太网交换产品，是为要求具备高性能、较大端口密度且易于安装的网络环境而设计的智能型可网管交换机。 H3C S5510 系列以太网交换机主要面向企业网、城域网汇聚或接入层的需求，同时硬件支持 IPv4 和 IPv6 双栈，可为客户提供丰富的业务特性和路由功能。 H3C S5510 系列以太网交换机目前包含如下型号： S5510-24P： 24 个 10/100/1000Base-T 以太网端口和 4 个 1000Base-X SFP 千兆以太网端口 （ Combo）； S5510-24F： 24 个 1000Base-X SFP 千兆以太网端口和 4 个 10/100/1000Base-T以太网端口（ Combo）； S5510-24P S5510-24F 上海市法律援助中心机房和网络改造项目投标方案 39 6.3.2. 产品特点 丰富的 IPv4 和 IPv6 三层功能 硬件支持 IPv4/IPv6 双栈和 IPv6 over IPv4 隧道，三层线速转发。 S5510 系列以太网交换机硬件支持 IPv4/IPv6 双栈和常用 IPv6 过渡隧道协议（手工Tunnel， 6to4 Tunnel， ISATAP Tunnel， auto-Tunnel），既可以用于纯 IPv4 或IPv6 网络，也可以用于 IPv4 到 IPv6 共存的网络，组网方式灵活，可以用于企业网络或宽带接入。 支持丰富的 IPv6 路由协议，包括 RIPng、 OSPFv3、 ISISv6、 BGP4+ for IPv6。支持 IPv6 的邻居发现协议（ Neighbor Discovery Protocol， NDP），管理邻居节点的交互。支持 PMTU 发现（ Path MTU Discovery）机制，可以找到从源端到目的端的路径上一个合适的 MTU 值，以便有效地利用网络资源并得到最佳的吞吐量。 完备的安全控制策略 H3C S5510 系列交换机支持 EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控， 使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 H3C S5510 系列交换机支持特有的 ARP 入侵检测功能，可有效防止黑客或攻击者通过 ARP 报文实施日趋盛行的“ ARP 欺骗攻击”，对不符合 DHCP Snooping动态绑定表或手工配置的静态绑定表的非法 ARP 欺骗报文直接丢弃。同时支持IP Source Check 特性，防止包括 MAC 欺骗、 IP 欺骗、 MAC/IP 欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的 DoS 攻击。 H3C S5510 系列交换机支持 802.1x 及 MAC 认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的 MAC、 IP、 VLAN、 PORT 任意组合绑定，支持动态VLAN 下发和 Guest VLAN，有效的防止非法用户访问网络。支持端口和 Vlan 下发上海市法律援助中心机房和网络改造项目投标方案 40 ACL，以及支持用户自定义流模板配合实现自定义 ACL 功能，更加灵活方便，保证网络的受控访问。 丰富的 QoS 策略 H3C S5510 系列交换机支持基于源 MAC 地址、目的 MAC 地址、源 IPv4/v6 地址、目的 IPv4/v6 地址、四层端口、协议类型、 VLAN 等信息的流分类， 充分保障了复杂网络对于 QoS 规则的要求。支持基于流的流量限速，优先级标记或映射，基于流的修改 VLAN 以及重定向到端口或下一跳，基于端口的流量整形。提供灵活的队列调度算法，可以同时基于端口和队列进行设置，支持 SP（ Strict Priority）、 WRR（ Weighted Round Robin）、 SP+WRR、 WRED 等模式。支持 CAR 功能，粒度最小达 4Kbps，支持对多个端口的业务流使用同一个 CAR 进行流量监管。用户还可以选择直接在端口下发 CAR，或通过 QoS 策略下发 CAR。 高可靠性及灵活扩展能力 H3C S5510 系列全千兆多协议智能三层交换机实现双电源负载分担，也可以交、直流同时输入。 H3C S5510 系列交换机不仅支持 STP/RSTP 生成树协议，还提供了基于多 VLAN的生成树 MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持 RRPP（ Rapid Ring Protection Protocol）协议，可以防止数据环路引起的广播风暴，当以太网环上一条链路断开时能迅速恢复环网上各个节点之间的通信通路。 支持 VRRP 虚拟路由冗余协议，与其他三层交换机构建 VRRP 备份组。构建故障时 的冗余路由拓扑结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一个备份路由上去，实现上行路由的多级备份。 H3C S5510交换机采用专利技术允许交换机利用专用互联电缆实现多达 16台设备的堆叠，支持不同端口设备的混合堆叠。具有即插即用、单一 IP 管理。同时大大降低系统扩展的成本，保护了用户投资。 强大的多业务能力 上海市法律援助中心机房和网络改造项目投标方案 41 H3C S5510 系列交换机支持 QinQ 即 VLAN VPN 特性，可以将用户私网 VLAN 标签封装在公网 VLAN 标签中，使报文带着两层 VLAN Tag 穿越运营商的骨干网络。S5510 系列交换机支持灵活 QinQ，可以实现针对不同的业务报文打不同的外层VLAN 标签或者不打 VLAN 标签，便于业务分离。 S5510 系列交换机还支持 VLAN translation，可以根据不同用户或业务重新设置 VLAN 标签。同时支持 IPv4 和IPv6 组播功能，支持丰富的组播协议 IGMP Snooping、 MLD Snooping、 IGMP v1/v2/v3、 PIM-DM、 PIM-SM/SSM、 MSDP，支持组播静态路由、组播组静态加入，而且 组播 VLAN 可以跨 VLAN 复制，支持 IGSP v1/v2/v3，支持大容量组播路由，强组播复制能力。 H3C S5510 系列交换机支持 MCE 功能，可以有效解决多 VPN 网络带来的用户数据安全与网络成本之间的矛盾，它使用 CE 设备本身的 VLAN 接口编号与网络内的 VPN 进行绑定，并为每个 VPN 创建和维护独立的路由转发表（ Multi-VRF）。这样不但能够隔离私网内不同 VPN 的报文转发路径，而且通过与 PE 间的配合，也能够将每个 VPN 的路由正确发布至对端 PE，保证 VPN 报文在公网内的传输。 出色的管理性 H3C 5510 交换机支持基于出 /入端口镜像、基于流的镜像以及支持远程端口镜像功能，可以实现统一监控检测 , 使网络管理更方便。支持 SNMP，可支持 Open View等通用网管平台以及 iMC智能管理中心。支持 CLI命令行， Web网管， TELNET，HGMP 集群管理，使设备管理更方便，并且支持 SSH2.0 等加密方式，使得管理更加安全。 上海市法律援助中心机房和网络改造项目投标方案 42 第 三部分 ： 项目管理和售后服务 1. 项目组织设计 1.1. 项目的质量管理 项目的质量管理是智能化系统工程管理的重要组成部分，是智能化系统的实施结果达到系统设备功能要求的保证。 项目的质量管理应包括以下几个方 面： 1. 建立智能化系统工程项目的质量管理体系 项目质量管理人员负责对最终用户就项目进行的各个环节的质量进行汇报和配合同时对内部（本公司）的工程进展开展质量管理工作。 2. 技术支持、技术督导 各智能化子系统必须配备专业人员负责系统方案的深化设计及与设计和工艺部门的协调，并负责现场施工的技术指导。同时，各子系统必须配备专门质量人员就所负责的系统的进展进行技术监督和质量检查。 技术支持、技术督导在智能化系统工程的实施过程中非常重要许多系统在实施过程中的工艺要求保证了系统的功能实现。举例来说，对于综合合布线系统的放线工作 ，综合布线系统的线缆一般走在线槽或线管之内，管槽的安装过程中往往会有杂物进入，或管槽本身带有毛刺，综合布线系统的线缆放线时如果不遵守施工工艺要求，只要接线的力量大一点就可能造成线缆外皮开裂，这样，在综合布线系统测试时，这根线缆的模拟最终测试的结果就失败了。所以，技术支持、技术督导在每个系统的每个工作环节都要得到保证。 3. 项目计划 完善的项目实施计划是保证项目质量的重要因素。没有一个周密的项目实施计划，在项目实话中，不可避免地会被各种突发因素影响工程进度和现场施工环境，进而导致质量问题。 上海市法律援助中心机房和网络改造项目投标方案 43 智能化系统系统工程由于 与现场其他各系统的配合工作进行的时间较长，需要配合的方面较广，所以项目实施计划的制定工作一定要详细、科学地完成。并在项目实施中，根据实际工程情况及时做出修正。 4. 项目实施跟踪 控制就是跟踪与反馈，只有在工程实施中密切掌握系统施工现况，并根据现场条件及时做出调整，才能避免不必要的损失，真正起到项目管理的作用。 5. 质量检验 质量检验是智能化系统工程质量管理和控制的关键手段，只有做好工程每个环节的质量检验及项目结束时的最终质量检验，才能实现真正的质量管理。设立专职质量检验人员，严格执行工程项目的质量管理程序，才能真正 达到质量检验的效果。 6. 纠错和预防措施 纠错和预防措施是为了预防工程项目不合格现象的再发生，消除不合格原因而采取的措施，它是质量体系不可缺少的一个因素。在项目的实施中往往会碰到许多未预料的问题，有系统设计方面的，也有现场施工和管理方面的，这就要求在项目计划中要充分考虑项目实施涉及的各个方面制定预防措施以保证项目的顺利进展。 上海市法律援助中心机房和网络改造项目投标方案 44 施工质量的管理与控制示意图 1.2. 施工质量的管理与控制 施工质量的管理与控制是智能化系统工程质量的根本保证。再好的系统，其功能的实现都施工所完成的。另外由于智能化系统的实施与建筑物土建、装潢等其他系统的实施交叉进行，涉及协调方面非常多，协调时间比较长，因此施工质量的管理与控制就显得尤为重要一量施工质量无保证，其返工难度及对整个项目的进度影响将非常 大。 因此，必须严格做好施工质量的管理与控制工作 施工质量的管理与控制可以在以下几个方面开展工作： 首先，必须建立完善的项目管理队伍，制定严格的项目管理制度，设立专职的质量管理人员。质量管理人员必须参与项目计划的制定，避免盲目赶进度而带来质量隐患。同时，质量管理人员必须亲临现场，掌握项目进展中的实际质量情况随时对工程中的质量问题进行处理。所以，对项目的质量管理人员必须做到充分授权。 在项目实施过程中设立中继检查点，对质量问题做到 “防患于未然 ”项目实施过程中会碰到许多意想不到的情况，如天花板上的布管，本来已有 消防水管，空调风，电线槽等，弱电工程一般进场较晚，弱电子系统的楼宇自动化控制系统（ BA）、安全保卫系统。 对施工进行质量全面跟踪，把责任落实到个人 ,对施工的质量控制和管理，不能总是质量管理员的工作，要把工程质量的概念深入到每个施工人中，在进场施工之前，项目决承包应组织各弱电子系统承包单位及相关部门进行项目的质量教育，各弱电子系统承包单位使出施工质量控制和管理方案。技术监督人员既是技术人员，也要协助质量管理员的工作，工程的每一步都要达到设计的技术和质量要求。 系统实施必须按照最新的图纸、生效的设计方案进行项目 实施特别是后半阶段，工程时间安排很紧，而项目变更又难避免，系统实施必须按照最新的图纸，生效的设计方案进行。在工程中，有时由于更新的施工图纸未能及时发放到相关单位，而造成建筑、装潢单位与弱电子系统施工所用的图纸不一致，这时施工就会发生问题，可能出现工程的返工，从而影响项目的进度计划和工程预算。 上海市法律援助中心机房和网络改造项目投标方案 45 项目管理人员做好与建设单位及其他系统实施单位的实时沟通，协调工程进度及施工方案 ,协调工程进度及施工方案在智能化系统工程的实施中无处不在。如有线电视系统（ CCTV），房间内电视机的位置、信号线缆的接口方式等，用户要求的变 化比较大，如不与用户及其他系统的实施单位实时沟通，协调工程进度及施工方案就会在施工中碰到许多问题。 制定技术实施方案，采用先进可行的施工工艺 ；在智能化系统工程的实施中，先进的设计思想要通过先进的施工技术方案，可行的施工工艺来实现。 实行技术和质量负责制，进行层层技术把关 ；每个现场施工人员都要对所做的工作有责任心，对项目有主人翁精神。工作态度一定要认真。智能化系统由各个弱电子系统组成，而每个弱电子系统又是由每个系统的线缆、接口终端设备和中控设备组成。每一部分的施工虽然是独立的，但所有工作的总和就是每个系统。只 有人人对技术和质量负责，才能建成一个合格的智能化系统。 其它一些项目实施中常用的质量管理措施列举如下： 通过现场协调会议等揍及时解决施工中出现的问题； 施工人员的资质必须严格审查，避免非正常施工带来的危害； 必须严格遵守相关施工管理条例； 做好工程实施及质量检验文档。 综上所述，质量管理和质量控制必须贯穿于智能化系统工程的整个过程，并落实于工程实施管理的每个方面，这样才能使智能化系统工程在保证质量的基础上按时完成。 1.3. 工程实施步骤 1.3.1. 工程施工图设计 在工程前期，首先应做好工程施工图的设计工作。 工程施工图设计 是将系统初步设计和实施方案中的软硬件配置、系统功能要求作细致全面的技术分析和工程参数计算，取得确切的技术数据以后，再绘制在施工平面安装图上， 上海市法律援助中心机房和网络改造项目投标方案 46 1.3.2. 施工步骤和施工方法 本项目要调配好施工步骤，确立重点，采取对策，在施工过程，尤其也要注意施工的调度，加强与设计院、甲方和土建装潢的配合，以确保整个系统在不影响正常工作的前提下保证系统如期开通行。 1.3.3. 系统工程施工图具体设计深度 我方根据土建专业提供的图纸，实地勘测现场，以建筑物各分层的建筑平面图纸为施工平面图纸的基础，在施工平面图上会标明现场主控制器、辅助控制器、读 头、按键、电控锁以及各个设备的安装位置，标注线路走向，引入线方向以及安装配线方式（预埋、线槽、