第六章招标项目技术、商务及其他要求.doc

第六章 招标项目技术、商务及其他要求项目名称：攀枝花市实验学校校园网络建设及人事考试中心标准化考场建设采购内容：本项目划分为2个包件，本次为A包第二次招标。A包：基础网络改扩建设备参数：A包：（一）学校校园网建设目标学校校园网（基础网络）建设的目的是能满足学校现代化教学及管理需要，实现教育现代化、提高教学水平，通过计算机信息管理系统提高学校日常管理的效率。故从网络系统方面提供最优化的方案，为建设集“校园网”、“数字电视网”、“数字广播网”、“视频会议网”、“安防监控网”等一体的“数字化校园”修建“高速公路”，以促进信息技术与教育深度融合为着力点，全面提高信息技术在教育、教学、管理和科研等领域的应用水平，支撑教育改革创新、强化内涵和提高质量。矚慫润厲钐瘗睞枥庑赖賃軔朧碍鳝绢。学校校园网是一个融合多业务的网络，作为多业务的承载体，系统建设的目标是面向多应用和下一代网络，并且提供全面的QoS保障服务，使网络安全可靠，稳定运行，提供可管理的多应用支持能力，为多项信息化应用提供高速、安全、有效的基础保障。聞創沟燴鐺險爱氇谴净祸測樅锯鳗鲮。根据应用划分和功能需要，本次设计思路为分区分层设计，最基础的为网络连接，其中包括两个分区：有线网络区、无线接入区。在此基础之上的是安全设计，遵循的是端到端设计原则，无论是有线还是无线，安全策略共用，再往上的则是网络管理区，实现对设备、用户、资源的统一管理和智能联动。残骛楼諍锩瀨濟溆塹籟婭骒東戇鳖納。（二）学校校园网建设内容及要求2.1设计原则学校校园网规划要实现内部全方位的数据共享，不但要实现教育教学全信息化管理，同时必须具备高性能、高安全性、高可靠性，具有可管理、可增值特性以及开放性、兼容性、可扩展性，通过Internet或教育城域网实现远程互动教学。酽锕极額閉镇桧猪訣锥顧荭钯詢鳕驄。学校校园网设计所采用的总体指导原则如下：一网共用、多网融合，多项应用统一部署学校基础网络为校园信息化的各类信息化应用提供统一的网络传输支撑平台。考虑到校内用户数量和业务种类发展的不确定性，要求核心交换机、汇聚交换机及接入层设备需具有强大的扩展功能，整个网络要完整统一、组网灵活，并成为易扩充的弹性网络平台，能够随着需求变化，充分留有扩容余地。彈贸摄尔霁毙攬砖卤庑诒尔肤亿鳔简。先进适用，方便扩展学校基础网络规划采用符合网络技术发展方向和先进、成熟、适用的技术与设备，为多业务的发展留有足够的可扩展空间，以满足不断增加的新的应用需求。有线无线相结合，能提供强大的负载支撑。謀荞抟箧飆鐸怼类蒋薔點鉍杂篓鳐驱。开放与统一标准学校基础网络的技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；提供开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。厦礴恳蹒骈時盡继價骚卺癩龔长鳏檷。2.2校园网建设总体要求为学校“数字电视网”、“数字广播网”、“视频会议网”、“远程互动教学网”、“安防监控网”、“班班通”、“人人通”、“一卡通”等应用做好基础网络建设，能够满足以上应用的负载并留有扩展空间。基础网络的建设必须满足以上应用的组网和负载要求，能够完美支撑音视频数据流的传输负载。茕桢广鳓鯡选块网羈泪镀齐鈞摟鳎饗。带宽设计为主（骨）干万兆（10G），接入千兆（1000M），垂直子系统采用屏蔽CAT6（六类）千兆网线级联，水平子系统采用非屏蔽CAT6千兆网线到终端PC,汇聚交换机采用2路万兆光纤上联至核心交换机，汇聚交换机1000M下联接入层设备。主干网采用OSPF+MSTP等技术，实现主干网路由快速收敛和流量冗余备份功能，万兆主干设计保障未来对于高带宽业务的可持续发展及实现投资保护，提高了主干网络的稳定可靠性。另外，为满足“班班通”和“人人通”互动教学，要求各教学区域部署无线AP，无线有线结合，有线端口密度必须满足“班班通”、“数字电视”、“数字广播”等终端设备的接入要求，无线AP需支持POE远程供电，保证节能环保，既减少强电需要的材料及施工成本，又能提高用电安全。鹅娅尽損鹌惨歷茏鴛賴縈诘聾諦鳍皑。（三）校园网网络拓扑（四）校园网设备配置需求序号设备性能数量单位配置说明六艺术楼1核心交换机双电源，双交换路由引擎，20端口万兆以太网SFP，20端口千兆以太网光口， 24端口千兆以太网电接口(RJ45)1套万兆核心交换机2行为审计设备应用控制网关主机（4GE Combo+16GE电口），含日志分析与管理软件授权1台网关设备3软件管理平台交换机管理软件1套配套管理软件无线设备管理软件1套云计算软件1套用户同时认证并发2000个1台4无线控制器双电源8端口千兆Combo口，2个万兆口，无线控制器，管理256个AP1套AC5接入交换机48*10/100/1000Base-T电口， 2*10GBASE-X SFP+万兆光口，2*10G BASE-T万兆电口1套汇聚交换机(POE交换机)以太网交换机主机(24GE+4SFP Combo)8台微机室使用48GE+4SFP Combo5台微机室使用以太网交换机主机24FE+2SFP Combo+1Console口1台用户监控接入6面板APAP(正面：3个10/100/1000Mbps 自协商以太网口、1个RJ45 透传接口、1个USB接口,背面:1个上行口（10/100/1000Mbps 自协商以太网口）1个RJ45 透传接口)17台每个办公室放置1个7光模块万兆模块-(1310nm,10km,LC)4个千兆模块-(1310nm,10km,LC)2个8机房配置KVM1台中心机房设备网络设备机柜2套服务器机柜2UPS电源_5KVA 单进单出 1GBT整流含蓄电池1套定制电池柜1套电池汇流柜1+2空开1套行政楼9汇聚交换机48*10/100/1000Base-T电口， 2*10GBASE-X SFP+万兆光口，2*10G BASE-T万兆电口1套汇聚交换机(POE交换机)10接入交换机以太网交换机主机(24FE+2SFP Combo+1Console)1台用户监控接入11面板AP墙面AP(正面：3个10/100/1000Mbps 自协商以太网口、1个RJ45 透传接口、1个USB接口,背面:1个上行口（10/100/1000Mbps 自协商以太网口）1个RJ45 透传接口)24台每个办公室放置1个12光模块万兆模块-(1310nm,10km,LC)2个教学楼（一教）13汇聚交换机48*10/100/1000Base-T电口， 2*10GBASE-X SFP+万兆光口，2*10G BASE-T万兆电口1套汇聚交换机(POE交换机)14接入交换机以太网交换机主机(24FE+2SFP Combo+1Console)1台用户监控接入15面板AP墙面AP(正面：3个10/100/1000Mbps 自协商以太网口、1个RJ45 透传接口、1个USB接口,背面:1个上行口（10/100/1000Mbps 自协商以太网口）1个RJ45 透传接口)20台1-6层每层1个室内吊装型AP16光模块万兆模块-(1310nm,10km,LC)2个教学楼（二教）17汇聚交换机48*10/100/1000Base-T电口， 2*10GBASE-X SFP+万兆光口，2*10G BASE-T万兆电口2套汇聚交换机(POE交换机)18面板AP墙面AP(正面：3个10/100/1000Mbps 自协商以太网口、1个RJ45 透传接口、1个USB接口,背面:1个上行口（10/100/1000Mbps 自协商以太网口）1个RJ45 透传接口)15台每个办公室放置1个19接入交换机以太网交换机主机(48FE+2GE+2SFP+1Console)1台用户监控接入20光模块万兆模块-(1310nm,10km,LC)4个教学楼（三教）21汇聚交换机24*10/100/1000Base-T电口， 2*10GBASE-X SFP+万兆光口，2*10G BASE-T万兆电口1套汇聚交换机(POE交换机)22接入交换机以太网交换机主机(24FE+2SFP Combo+1Console)1台用户监控接入23面板AP墙面AP(正面：3个10/100/1000Mbps 自协商以太网口、1个RJ45 透传接口、1个USB接口,背面:1个上行口（10/100/1000Mbps 自协商以太网口）1个RJ45 透传接口)4台每个办公室放置1个24光模块万兆模块-(1310nm,10km,LC)2个教学楼（四教）25汇聚交换机24*10/100/1000Base-T电口， 2*10GBASE-X SFP+万兆光口，2*10G BASE-T万兆电口1套汇聚交换机(POE交换机)26接入交换机以太网交换机主机(24FE+2SFP Combo+1Console)1台用户监控接入27光模块万兆模块-(1310nm,10km,LC)2个教学楼（五教）28汇聚交换机48*10/100/1000Base-T电口， 2*10GBASE-X SFP+万兆光口，2*10G BASE-T万兆电口1套汇聚交换机(POE交换机)29接入交换机以太网交换机主机(48FE+2GE+2SFP+1Console)1台用户监控接入30面板AP墙面AP(正面：3个10/100/1000Mbps 自协商以太网口、1个RJ45 透传接口、1个USB接口,背面:1个上行口（10/100/1000Mbps 自协商以太网口）1个RJ45 透传接口)33台每个办公室放置1个31光模块万兆模块-(1310nm,10km,LC)2个综合楼32汇聚交换机24*10/100/1000Base-T电口， 2*10GBASE-X SFP+万兆光口，2*10G BASE-T万兆电口1套汇聚交换机(POE交换机)33接入交换机以太网交换机主机(24FE+2SFP Combo+1Console)1台用户监控接入34光模块万兆模块-(1310nm,10km,LC)2个35面板AP墙面AP(正面：3个10/100/1000Mbps 自协商以太网口、1个RJ45 透传接口、1个USB接口,背面:1个上行口（10/100/1000Mbps 自协商以太网口）1个RJ45 透传接口)12台每个办公室放置1个宿舍楼36汇聚交换机24*10/100/1000Base-T电口， 2*10GBASE-X SFP+万兆光口，2*10G BASE-T万兆电口1套汇聚交换机(POE交换机)37接入交换机以太网交换机主机(24FE+2SFP Combo+1Console)1台用户监控接入38面板AP墙面AP(正面：3个10/100/1000Mbps 自协商以太网口、1个RJ45 透传接口、1个USB接口,背面:1个上行口（10/100/1000Mbps 自协商以太网口）1个RJ45 透传接口)12台每个办公室放置1个39光模块万兆模块-(1310nm,10km,LC)2个南（北）校门40接入交换机以太网交换机主机(24FE+2SFP Combo+1Console)1台门卫室接入交换机(POE交换机)41光模块光模块-SFP-GE-单模模块-(1310nm,10km,LC)2个42面板AP墙面AP(正面：3个10/100/1000Mbps 自协商以太网口、1个RJ45 透传接口、1个USB接口,背面:1个上行口（10/100/1000Mbps 自协商以太网口）1个RJ45 透传接口)2台每个门卫室配置一个其它43项目总体集成设备安装、调试及线路铺设施工及原有布线系统的拆除1批44辅材设备连接线、接连光纤、墙柜、PVC管材等1批45机房整改机柜安装，走线架及机柜线路整理1项46培训软件及硬件操作培训，系统功能培训等1项47互联网接入提供200Mb互联网专线接入（固定IP地址）5年48固定电话接入提供40部固定座机电话（共含1600元话费）5年49运维费用5年注：光缆均为单模。（五）核心层设备要求整个学校配置一台核心交换机（为数据中心级万兆交换机），要求配置双引擎和双电源确保设备关键部件冗余，万兆（光）端口密度要求24个以上，用于整个学校（含分校区）汇聚层设备调速连接，同时要求该核心交换机配置相应的千兆光/电口用于服务器等设备的连接。后期随着学校信息化不断发展还可以对整个核心设备进行扩容实现双核心并通过虚拟化技术将两台核心设备虚拟化成一台，减少整个学校的网络结构。籟丛妈羥为贍偾蛏练淨槠挞曉养鳌顿。核心层部署规划:路由规划，网络路由规划采用IGP和BGP相结合的路由模式。其中，在主干网上首先运行OSPF路由协议。采用OSPF主要是考虑到OSPF的技术成熟，稳定性高，收敛速度快，配置和管理都很简便，对TE的支持也很好。把所有的主干设备（包括核心交换机和汇聚层交换机）都设置在AREA 0中，然后每个汇聚层以下再独立的划分一个AREA，这样在技术实现上最简单，也最稳定，又便于实施路由聚合，进而便于进行管理和控制。預頌圣鉉儐歲龈讶骅籴買闥龅绌鳆現。为配合MPLS，在校区主干设备之间同时启用BGP协议，在MPLS内部启用MP-BGP协议。由于校园网结构相对简单，同时基于便于VPN、组播等的配置和管理方便的考虑，把整个学校划分到一个AS域当中，主干设备之间建立IBGP邻居关系。这样避免了VPN和组播的跨域问题。同时，为了避免出现N平方的问题，还需要在网络上指定主、备的BGP路由反射器来进行路由传递和下发。渗釤呛俨匀谔鱉调硯錦鋇絨钞陉鳅陸。（六）汇聚及接入设备要求汇聚交换机需使用万兆光口上联至核心交换机的万兆光口。汇聚交换机及接入交换机上支持以下多种安全策略：（1）防ARP攻击ARP攻击包括中间人攻击(Man In The Middle)和仿冒网关两种类型。应对ARP入侵检测（ARP Intrusion Detection）在DHCP的网络环境中，使能DHCP Snooping功能，交换机会记录用户的IP和MAC信息，形成IP+MAC+Port+VLAN的绑定记录。交换机利用该绑定信息，可以判断用户发出的ARP报文是否合法。使能对指定VLAN内所有端口的ARP检测功能，即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测，只有符合绑定表项的ARP报文才允许转发；如果端口接收的ARP报文的源IP或源MAC不在DHCP Snooping动态表项或DHCP Snooping静态表项中，则ARP报文被丢弃。这样就有效的防止了非法用户的ARP攻击。铙誅卧泻噦圣骋贶頂廡缝勵罴楓鳄烛。（2）防止地址仿冒常见的地址欺骗种类有 MAC欺骗、IP欺骗、IP/MAC欺骗，其目的一般为伪造身份或者获取针对IP/MAC的特权。当目前较多的是攻击行为：如Ping Of Death、SYN flood、ICMP Unreachable Storm等，另外病毒和木马的攻击也具有典型性，比如伪造源地址攻击公网上的 DNS服务器，直接目的是希望通过DNS服务器对伪造源地址的响应和等待，造成DDOS攻击，并以此扩大攻击效果。擁締凤袜备訊顎轮烂蔷報赢无貽鳃闳。应对IP Source Check对于DHCP用户，使能DHCP Snooping后，结合IP+MAC+Port+VLAN的绑定表项下发硬件ACL，使端口上只能通过符合该绑定的IP报文，对于不符合绑定关系的直接丢弃。由于该功能由硬件实现，不影响交换机的CPU性能。对于静态IP的用户，通过配置静态的绑定表项，也可以完成该功能。贓熱俣阃歲匱阊邺镓騷鯛汉鼉匮鲻潰。（3）防止DHCP攻击在某些情况下，入侵者可以将一个DHCP 服务器加入网络，令其“冒充”这个网段的DHCP 服务器。这让入侵者可以为缺省的网关和域名服务器（DNS 和WINS）提供错误的DHCP 信息，从而将客户端指向黑客的主机。这种误导让黑客获得其他用户对保密信息的访问权限，例如用户名和密码，而其他用户对攻击一无所知。坛摶乡囂忏蒌鍥铃氈淚跻馱釣缋鲸鎦。应对DHCP Snooping 如前所述DHCP Snooping能够过滤来自网络中主机或其他设备的非信任DHCP报文，其中包括对应交换机上不信任的端口的客户端IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等消息。交换机支持在每个VLAN基础上启用DHCP Snooping特性。蜡變黲癟報伥铉锚鈰赘籜葦繯颓鲷洁。因此，通过使用DHCP Snooping 特性中的端口信任特性来防止用户私自设置DHCP server。一旦在设备上指定专门的DHCP server服务器的接入端口则其他端口的DHCP server的报文将被全部丢弃。買鲷鴯譖昙膚遙闫撷凄届嬌擻歿鲶锖。（4）防止MAC地址攻击MAC地址攻击是利用模拟发包软件发送大量的源MAC变化的报文，使交换机的MAC地址表溢出，后续的报文由于无法进行MAC学习，报文会在VLAN内广播，攻击者可以利用广播的报文，进行监听或者占用网络流量，使网络拥塞。綾镝鯛駕櫬鹕踪韦辚糴飙钪麦蹣鲵殘。应对端口安全（Port Security）端口安全（Port Security）是一种对网络接入进行控制的安全机制，用来防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习。驅踬髏彦浃绥譎饴憂锦諑琼针咙鲲鏵。如果某个端口上的MAC地址超过最大允许量，或者在该端口发现带有非法源MAC的数据帧，设备将会断开端口连接、或过滤把此MAC地址的报文以保证端口安全性；或者发送trap信息通知网络管理员进行监控和相关操作。猫虿驢绘燈鮒诛髅貺庑献鵬缩职鲱样。（5）防止网络环路应对端口环回检测（loopback-detection）与生成树STP协议用于避免不同端口间行程环路不同，端口环回则可以用于发现交换机一个端口下的环路。交换机在端口上按照VLAN定时发送检测报文，如果发出去的报文能从同一个端口收上来，那么证明该端口上有环路。发现环路后，交换机会发trap告警或者使端口处于受控状态，以防止环路风暴的扩大。锹籁饗迳琐筆襖鸥娅薔嗚訝摈馍鲰钵。（七）无线网络建设要求能够支持多SSID，用于区分不同的服务；无线设备必须支持IPv4和IPv6双栈及POE供电，提供和有线网同等的应用承载，能够配合汇聚或接入交换机定时远程供电；構氽頑黉碩饨荠龈话骛門戲鷯瀏鲮晝。能够实现用户认证、访问控制、带宽控制及公安部令第82号的溯源要求；WLAN系统要求能够智能选择干扰最小的工作频段，保证良好的用户体验；WLAN系统要求具有无线入侵防御功能，对于非法AP和非法SSID进行抑制，防止恶意窃取用户信息；支持2.4和5.0G双频段AP，实现无线终端自动分流；面板AP需支持802.11ac标准，必须具有3个以上有线接口和电话接口，且完全不影响原有有线网络的使用。上行链路采用千兆以太网接口，突破了传统百兆速率的限制，使有线口不再成为无线接入的速率瓶颈，能够支撑“班班通”设备及数字广播等终端的有线网络接入需求，亦为将来支持更高速率更多射频组合提供了平滑升级的平台；輒峄陽檉簖疖網儂號泶蛴镧釃邊鲫釓。出口设备能对整个无线网络的访问进行应用控制，识别访问应用和流量控制等；必须采用瘦AP的组网模式。在核心交换机旁路部署无线控制器，实现集中管理校区内的无线AP，并通过交换用户认证信息，实现用户漫游。同时采用瘦AP的方式可以实现零配置部署和软件自动升级；尧侧閆繭絳闕绚勵蜆贅瀝纰縭垦鲩换。要与计费系统对接，实现针对用户计费、管理、控制功能（此项针对校园内教师住户）；（1）无线设备部署要求绿色低碳设计：AP采用专业绿色低碳设计，支持动态MIMO省电模式(DMPS)与增强型自动省电传送(E-APSD)，智能辨识终端实际性能需求，合理化调配终端休眠队列，动态调整MIMO工作模式。识饒鎂錕缢灩筧嚌俨淒侬减攙苏鲨运。AP支持Green AP模式，实现单天线待机，节能更精准。AP通过创新性的逐包功率控制(PPC)技术，在确保报文能成功传输的前提下动态调节AP设备和客户端直接的双向功率，以达到减少设备能耗和延长移动终端待机时间的作用。凍鈹鋨劳臘锴痫婦胫籴铍賄鹗骥鲧戲。支持Fat/Fit两种模式：AP支持Fat（胖）和Fit（瘦）两种工作模式，根据网络规划的需要，可以灵活地在Fat和Fit两种工作模式中切换，同时用户可以根据应用需求，灵活选择所需的设备出厂版本（Fat模式版本或Fit模式版本)。恥諤銪灭萦欢煬鞏鹜錦聰櫻郐燈鲦軫。工作模式切换过程只需要简易命令行，且可以通过设备网管批量执行，有利于将客户的无线网络由小型网络平滑升级到大型网络，从而适合大规模无线网络的平滑扩容升级。鯊腎鑰诎褳鉀沩懼統庫摇饬缗釷鲤怃。（2）无线方案工程施工要求无线校园网为达到理想的覆盖、使用效果，工程勘测是其中重要的一环，因此前期的工程勘测方案对于后期的安装实施有很大的影响。硕癘鄴颃诌攆檸攜驤蔹鸶胶据实鲣赢。本次学校的无线网络覆盖原则如下：由于学校各建筑近年来通过“校安工程”加固，承重墙、隔断墙、房门等普遍较厚，除一教学楼、办公楼、男女生宿舍以外都是钢混结构建筑，对无线信号的衰减较大。其中部分建筑改造项目无法使用吸顶天线，所以尽可能不选择把天线放在天花板内的安装方案。行政办公区域普遍为铸铁防盗门，房间内使用面板式AP进行覆盖。阌擻輳嬪諫迁择楨秘騖輛埙鵜蔹鲢幟。图书馆、演播大厅、体育馆等室内大空间区域，采用吸顶式AP安装。（3）用户认证要求账号分类：临时用户（访客）针对临时用户，分配临时账号，所有的临时账号和相应的SSID进行绑定，只能通过这个临时SSID接入。临时账号，可以根据客户平均等待时间，设定一定的有效期，有效期过后，账号自动失效。氬嚕躑竄贸恳彈瀘颔澩纷釓鄧鳌鲡貼。固定用户（教职员工等）针对教职工/学生用户，管理人员通过后台数据进行固定账号分配，所有固定账号和相应的SSID进行绑定，只能通过相应的SSID进行接入，固定账号可以根据教职工的工号（身份证号）或学生的相关信息进行认证。釷鹆資贏車贖孙滅獅赘慶獷緞瑋鲟将。（4）统一管理平台为了满足对学校多业务支撑网络的高效管理和控制，管理和控制系统应是个集成化管理平台，根据网络业务发展的需要，能够通过逐步增加模块的方式提供基础设备管理、用户管理、安全管理、流量管理、无线管理以及多媒体管理。怂阐譜鯪迳導嘯畫長凉馴鸨撟鉍鲞谣。所有的管理界面需要WEB化，并且各个管理组件不是简单的叠加，能够实现必要的联动来实现更加灵活的管理功能。谚辞調担鈧谄动禪泻類谨觋鸾帧鲜奧。学校在网络中心机房部署一套综合信息管理系统。其具有全面的管理和控制功能，完成各个管理功能模块的信息采集和策略执行。嘰觐詿缧铴嗫偽純铪锩癱恳迹见鲛請。设备管理设备管理功能必须提供基本的网络资源管理、拓扑管理、故障管理、性能管理、配置管理。不仅要实现全线数据通信设备的统一管理（包括无线产品、路由产品、交换机、防火墙等），也可通过标准MIB实现对各主流厂商的数据通信设备进行管理。熒绐譏钲鏌觶鷹緇機库圆鍰缄鹗鲚圆。用户认证管理认证系统需要具备强大的用户身份认证：支持802.1x、PPPoE、Portal、无线接入等多种认证接入方式；支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多种身份验证方式；支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的安全性，防止帐号盗用和非法接入；支持与Windows域管理器、第三方邮件系统（必须支持LDAP协议）的统一认证，避免用户记忆多个用户名和密码；支持多区域用户漫游。鶼渍螻偉阅劍鲰腎邏蘞阕簣择睜鲔诌。认证通过后严格控制用户访问权限，保证网络安全：基于用户的权限控制策略，为不同用户定制不同网络访问权限；可以控制用户的上网带宽（QoS；802.1x认证支持）、限制用户的同时在线数、禁止用户设置和使用代理服务器；可以实现对用户ACL、VLAN的控制，限制用户对内部敏感服务器和外部非法网站的访问（802.1x认证支持）；可以限制用户IP地址分配策略，防止IP地址盗用和冲突；可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网；可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露。纣忧蔣氳頑莶驅藥悯骛覲僨鴛鋅鲒嗚。无论有线或无线用户，访问互联网必须通过认证，方式可多选。用户行为审计用户行为审计解决方案的核心是日志分析系统，日志分析系统主要由数据采集器、数据处理器和数据分析器三个部件组成，分别解决用户行为审计中的数据采集、数据清理与数据分析问题，为校园网络的管理者提供了丰富、直观的查询、统计和分析报表。颖刍莖蛺饽亿顿裊赔泷涨负這恻鲑觶。（八）机房建设要求本次机房建设严格按照国家标准进行设计，还应根据学校信息化建设的发展需求，充分考虑到“数字电视网”、“数字广播网”、“视频会议网”、“安防监控网”等网络核心设备的集中管理而进行合理优化的设计，使实施后的机房能够保证所有“网络”核心设备稳定可靠的运行，并且为信息中心工作人员提供良好的工作环境。濫驂膽閉驟羥闈詔寢賻減栖綜诉鲐卺。机房工程设计必须做到严谨、认真、负责、一丝不苟。机房必须严肃认真地综合规划、科学设计、严格施工。机房布置应该整体布局合理、整洁美观；配电线路安全可靠；接地系统良好。技术指标达到使用方便、照度适宜、用电安全、防火、防尘、防震、防雷、抗静电、抗电磁干扰、能自动调节温度及湿度等。总之，须避免因工程设计失误可能引发的各种设备故障，以致造成“网络”瘫痪，给学校带来损失。銚銻縵哜鳗鸿锓謎諏涼鏗穎報嚴鲍蝇。（1）总体设计目标网络规划设计目标是为校园各类业务系统的应用提供安全、可靠、稳定的支撑平台。目标分为以下两类：1）满足学校各类非生产控制业务信息化应用的需要，是核心目标和首要目标。2）提供IP多媒体应用（语音、视频）、电视电话会议、视频监控等网络服务。（2）设计原则本次设计总体上应遵循先进性、实用性、开放性、统一性、可扩展性、安全性及可管理性的原则A、先进性：应采用世界上先进成熟的网络技术和设备，能承载和交换各种类型的信息。B、实用性：以满足现有需要为出发点适度超前，应在要求与投资间权衡，以获取高性价比。C、开放性：遵循国际、国内及相关行业的技术标准，采用开放技术、开放的体系结构、开放的组件、开放的用户接口，实现平台、应用的互联互通和资源共享。挤貼綬电麥结鈺贖哓类芈罷鸨竇鲋鑿。D、统一性：按照统一标准、统一平台要求，科学的统一规划设计及选型。E、可扩展性：充分留有扩充余地，能在规模和性能两方向上进行扩展。F、安全性：具备各种安全防护手段和措施，重点保证整个系统的安全可控性。G、可管理性：具备良好的管理手段和界面，降低运行维护成本。（3）设计目标本次机房按国家B级机房的建设标准进行设计实施。 (4)设计项目根据实际需求及目前攀枝花市机房系统建设的实际情况，本次主要设计以下子系统：机房装修系统，监控系统门禁系统，供配电系统，防雷接地系统，机房综合布线系统，消防气体灭火及自动报警系统，机柜系统，UPS电源系统。赔荊紳谘侖驟辽輩袜錈極嚕辫鏢鲈蕆。机房装修机房建设中的机房装修主要包括吊顶、隔断墙、门、窗、墙壁装修、地面、活动地板的施工验收及其他室内作业。机房装修是整个机房建设的基础，是机房环境建设的重要环节。机房必须具备防尘、防潮、抗静电、阻燃、绝缘、隔热、降噪音的物理环境;机房功能区域分隔要清晰明了、便于识别和维护。塤礙籟馐决穩賽釙冊庫麩适绲挝鲅偬。机房装修作业应符合装饰工程施工及验收规范、地面及楼面工程施工及验收规范、木结构工程施工及验收规范及钢结构工程施工及验收规范的有关规定。裊樣祕廬廂颤谚鍘羋蔺递灿扰谂鲂茎。在机房建设过程中应保证现场、材料和设备的清洁。隐蔽工程(如地板下、吊顶上、假墙、夹层内)在封口前必须先除尘、清洁处理，暗处表层应能保持长期不起尘、不起皮和不龟裂。仓嫗盤紲嘱珑詁鍬齊驁絛鯛鱧俁鱿親。机房所有管线穿墙处的裁口必须做防尘处理，然后对缝隙必须用密封材料填堵。在裱糊、粘接贴面及进行其他涂复施工时，其环境条件应符合材料说明书的规定。绽萬璉轆娛閬蛏鬮绾瀧恒蟬轅紗鱼臚。机房装修材料应选择无毒、无刺激性、阻燃材料。供电系统市电系统：信息系统设备供电系统必须与空调、照明系统分开。信息系统设备供电系统要求：频率，50Hz;电压，380V/220V;相数，三相五线或三相四线制/单相三线制;稳态电压偏移范围220v(-10+10%);稳态频率偏移范围,50Hz(-0.5+0.5%)。机房UPS电源要采用独立双回路供电，输入电流应符合UPS输入端电流要求;市电引入配电箱总开关150安、UPS输入空开32A、其它空开16A、满足需要后预留32A空开一只、16A空开2只。电缆采用：3x16+1x10平方国标铜芯电缆。骁顾燁鶚巯瀆蕪領鲡赙骠弒綈閶魉齠。UPS系统：保证机房核心设备(服务器、网络设备及辅助设备)安全稳定运行。核心设备供电系统必须达到一类供电标准，即必须建立不间断供电系统。市电停电时，不间断电源系统主机电源实际输出功率宜大于后端负载1.5倍，满负荷运转时间不得小于10小时。UPS输出端安装一套配电箱、配置每个机柜一路16A空开空开、预留4路16A空开。UPS至设备供电线路置于走线架上层，分支到各用电区域，向各个用电插座分配电力，防止外界电磁干扰系统设备;线路上要有标帖表明去向及功能。瑣钋濺暧惲锟缟馭篩凉貿锕戧晋魇缫。设备要求：1、采用国际知名品牌。2、满足5000W的1.5倍合计7500W10小时的后备时间。（九）综合布线要求本次校园网建设的光纤线路及非屏蔽六类网线都由考试系统监控项目中标方承建，校园网建设方要负责协助光纤线路及非屏蔽六类网线承建方完成所有线路建设。（十）系统设备技术参数要求鎦诗涇艳损楼紲鯗餳類碍穑鳓责髌鹊。序号名称设备参数要求数量单位备注1核心交换机1、业务板槽位数（不包含主控引擎槽位）6个；主控引擎槽位数2个；2、整机交换容量25Tbps,包转发率9600Mpps；3、支持FCoE、TRILL、EVB等功能；4、虚拟化：支持并配置虚拟化，可将多台物理设备虚拟化为一台逻辑设备，虚拟组内可以实现一致的转发表项，统一的管理，跨物理设备的链路聚合。支持将一台物理交换机虚拟化成N台逻辑交换机，交换机间硬件独立且相互隔离。支持将核心/汇聚和接入设备通过纵向虚拟化技术形成一台纵向逻辑虚拟设备，相当于把接入设备作为一块远程接口板加入核心设备。5、支持防火墙业务板卡、EPON、无线控制器、流量统计分析、SSL VPN、流控、负载均衡业务板业务插卡扩展，为保证性能，每个功能由对应的硬件功能插卡实现，不接受开放功能插卡通过License(许可)扩展其它功能的方式。6、证书：提供工信部入网许可证复印件，产品需满足欧盟RoHS标准，原厂提供RoHS认证，均提供复印件加盖厂商鲜章；配置要求：配置冗余引擎、冗余电源、配置20端口10G光接口、24个千兆电口，20个千兆光口.1台2万兆汇聚交换机（48口）1、交换容量255Gbps；包转发率130Mpps2、接口48个10/100/1000Base-T以太网POE+端口，4个万兆光端口;3、虚拟化特性：支持将两台物理设备虚拟化为一台逻辑设备，虚拟组内可以实现一致的转发表项，统一的管理，跨物理设备的链路聚合,最大可以支持4台；支持并配置纵向虚拟化，纵向维度上支持异构虚拟化，将核心和汇聚设备通过纵向虚拟化技术形成一台纵向逻辑虚拟设备，支持把一台盒式设备作为一块远程接口板加入主设备系统，以达到扩展I/O端口能力和进行集中控制管理的目的；4、路由：支持静态路由；支持RIPv1/v2、OSPFv1/v2，OSPFv3；5、证书：提供工信部入网证书；提供以太网交换机软件著作权证书；为保证产品品质，产品需满足欧盟RoHS标准，原厂提供RoHS认证，均提供复印件加盖厂商鲜章；6. 为方便管理维护，所有交换机、安全设备、AC、AP、管理平台、服务器必须统一品牌。6台3万兆汇聚交换机（24口）1、交换容量255Gbps；包转发率95Mpps4台2、接口24个10/100/1000Base-T以太网POE+端口，4个万兆光端口;3、虚拟化特性：支持将两台物理设备虚拟化为一台逻辑设备，虚拟组内可以实现一致的转发表项，统一的管理，跨物理设备的链路聚合,最大可以支持4台；支持并配置纵向虚拟化，纵向维度上支持异构虚拟化，将核心和汇聚设备通过纵向虚拟化技术形成一台纵向逻辑虚拟设备，支持把一台盒式设备作为一块远程接口板加入主设备系统，以达到扩展I/O端口能力和进行集中控制管理的目；4、路由：支持静态路由；支持RIPv1/v2、OSPFv1/v2，OSPFv35、证书：提供工信部入网证书；提供以太网交换机软件著作权证书；为保证产品品质，产品需满足欧盟RoHS标准，原厂提供RoHS认证，均提供复印件加盖厂商鲜章；6. 为方便管理维护，所有交换机、安全设备、AC、AP、管理平台、服务器必须统一品牌。4千兆交换机（24口）1、交换容量255G，包转发率65Mpps.2、支持24个千兆电口，4个千兆光口.3、支持静态、RIPv1/v2等协议.4、支持基于端口的VLAN，VLAN支持数量4K.5、支持将多台物理设备互相连接起来，使其虚拟为一台逻辑设备，可以将这多台设备看成一台单一设备进行管理和使用.6、提供工信部入网证书复印件.7、提供以太网交换机软件著作权证书复印件加盖厂商鲜章.8. 为方便管理维护，所有交换机、安全设备、AC、AP、管理平台、服务器必须统一品牌。8台5千兆交换机（48口）1、交换容量255G，包转发率102Mpps.2、支持48个千兆电口，4个千兆光口.3、支持静态、RIPv1/v2等协议.4、提供工信部入网证书复印件加盖厂商鲜章.5、提供以太网交换机软件著作权证书复印件加盖厂商鲜章.6. 为方便管理维护，所有交换机、安全设备、AC、AP、管理平台、服务器必须统一品牌。5台6百兆交换机（48口）1、交换容量60G，包转发率13Mpps.2台2、支持48个百兆电口，2个千兆光口，2个千兆电口.3、支持静态、RIP、OSPF等协议.4、提供工信部入网证书复印件.5、提供以太网交换机软件著作权证书复印件.6. 为方便管理维护，所有交换机、安全设备、AC、AP、管理平台、服务器必须统一品牌。7百兆交换机（24口）1、交换容量60G，包转发率6Mpps.2、支持24个百兆电口，2个千兆光口，2个千兆电口.3、支持静态、RIP、OSPF等协议.4、提供工信部入网证书复印件.5、提供以太网交换机软件著作权证书复印件.6. 为方便管理维护，所有交换机、安全设备、AC、AP、管理平台、服务器必须统一品牌。8台8出口网关1、多核架构设计，CPU核数目2个，不允许采用X86架构，功能采用模块化结构设计。2、内置冗余电源，最大功率100W；内置Bypass模块，在设备断电、重启时，可自动切换到Bypass状态，当设备恢复时，可自动切换回工作状态。3、配置20个千兆电口，配置4个千兆光口。4、配置500G硬盘，实现本地日志存储。5、吞吐量8Gbps，最大连接数200万。7、支持3G扩展，支持电信、联通等主流3G网卡。支持3G接口的常在线和按需上线模式，并支持在3G接口上运行IPSec VPN，投标时提供web配置界面截图加盖原商鲜章，该项功能要求中标以后进行测试。8、支持自定义URL过滤，并支持URL的模糊匹配，投标时提供web配置界面截图加盖原商鲜章，该项功能要求中标以后进行测试。9、支持自定义关键字对象，在应用控制的时候可选择“包含”、“不包含”、“等于”、“不等于”四种匹配模式，匹配类型包含关键字和数字，投标时提供web配置界面截图加盖原商鲜章，该项功能要求中标以后进行测试。10、支持即时通讯应用管控的精细化管理，可管控“位置分享”、“朋友圈”、“附近的人”、“朋友圈”、“摇一摇”、“漂流瓶”、“收发文件”、“收发消息”、“视频语音”、“登陆注销”等行为，投标时提供web配置界面截图加盖原商鲜章，该项功能要求中标以后进行测试。11、支持P2P应用管控的精细化管理，可管控“下载”、“代理”、“Kad网络连接”、“Ed2k网络连接”、“UPnP协议”、“DHT网络连接”、“连接请求”等行为，投标时提供web配置界面截图加盖原商鲜章，该项功能要求中标以后进行测试。12、支持网络社区应用管控的精细化管理，可管控“举报”、“收藏”、“私信”、“”、“赞”、“删除”、“搜索”、“关注”、“转发”、“评论”、“发表”、“注销”、“登陆”等行为，投标时提供web配置界面截图加盖原商鲜章，该项功能要求中标以后进行测试。13、支持股票应用的行情和交易特征，并可以将股票软件的行情和交易进行区分管控，投标时提供web配置界面截图加盖原商鲜章，该项功能要求中标以后进行测试。14、支持收集流量日志，记录IP地址、应用、上下行流量、总流量、产生时间等详细信息，投标时提供web配置界面截图加盖原商鲜章。15、支持收集网站访问日志，记录用户所有访问网站行为；支持收集搜索引擎日志，记录用户的搜索内容；支持收集IM通讯软件日志，记录用户登陆、注销、收发消息、收发文件等行为；支持收集邮件日志，记录邮件发件人、收件人、主题、正文、附件等信息，投标时提供web配置界面截图加盖原商鲜章，该项功能要求中标以后进行测试。16、实配标准的IPSec VPN功能，支持NAT穿越、DPD、动态地址协商、域名协商，支持野蛮模式、主模式，支持AES、DES、3DES等主流算法，支持Hub Spoke组网及VPN隧道状态监控，投标时提供web配置界面截图加盖原商鲜章，该项功能要求中标以后进行测试。17、支持端口扫描防护、IP扫描防护、防护ping of death、land-base、tear drop、winnuke、smurf等异常包攻击、防SYN/UDP/ICMP/DNS flood攻击、攻击黑名单等功能，投标时提供web配置界面截图加盖原商鲜章，该项功能要求中标以后进行测试。18、支持4级层次化QoS、支持多级用户/用户组嵌套，投标时提供web配置界面截图加盖原商鲜章，该项功能要求中标以后进行测试。19、支持进行IP、整机会话限制，投标时提供web配置界面截图加盖原商鲜章，该项功能要求中标以后进行测试。20、提供生产厂商软件成熟度CMMI4级证书复印件加盖厂商鲜章。21、须具有公安部销售许可证，提供有效证书复印件加盖厂商鲜章。22、须具有ISO9001质量管理体系认证，提供有效证书复印件加盖厂商鲜章。22、须具有ISO14001体系认证，提供有效证书复印件加盖厂商鲜章24. 为方便管理维护，所有交换机、安全设备、AC、AP、管理平台、服务器必须统一品牌。1台9云计算平台（软件）1.为方便管理和保证兼容性，与核心交换机同一品牌。2.虚拟化软件采用裸金属架构；3.虚拟化软件支持CPU硬件虚拟化技术，如IntelVT和AMD-V技术，虚拟机可在Intel和AMD CPU间进行迁移，该项功能要求中标以后进行测试；4.虚拟化软件应基于KVM开发，可维护性好，能够随着Linux版本的升级而升级；5.提供基于B/S架构的WEB管理平台统一管理；6.支持完整的虚拟机生命周期管理，提供虚拟机的创建、启动、暂停、恢复、休眠、重启、关闭、关闭电源、修改、删除、查询等功能，投标时提供web配置界面截图加盖原商鲜章，该项功能要求中标以后进行测试；7.支持批量修改虚拟机的配置参数，包括：I/O优先级、启动优先级、是否自动迁移、CPU调度优先级、CPU个数、内存大小、自动启动、VM启动设备、启用VNC代理等，提供完整界面的截图加盖原厂鲜章，该项功能要求中标以后进行测试；8.支持设置磁盘缓存模式，如数据读写时关闭主机缓存、关闭主机与虚拟磁盘缓存、关闭虚拟磁盘写缓存、写缓存后同步等模式，提供完整界面的截图加盖原厂鲜章，该项功能要求中标以后进行测试；9.支持虚拟机定时快照功能，以将虚拟机当前信息进行备份，在需要的时候使用此快照将虚拟机恢复到快照时的状态，提供完整界面的截图加盖原厂