建谊集团大红门项目BIM实施方案及建立智能与安全的校园网络体系-宜春学院校园网设计方案

建谊集团大红门项目实施方案上海鲁班工程顾问有限公司概要为进一步加强建筑企业信息化建设，不断提高信息化技术应用水平，促进建筑业技术进步和管理水平提升，住房和城乡建设部印发《2011~2015年建筑业信息化发展纲要》，明确提出“十二五”期间将重点推广BIM、协同等新技术在工程中的应用。当前，我国建企转型升级、项目管理和建企信息化都处于困境之中。尤其在特级资质评审就位完成，“后考评时代”到来之际，建筑企业的信息化从顺应“指挥棒”要求向适应企业发展应用要求过渡，并逐渐意识到突破困境将有赖于BIM技术在项目管理全过程中应用，否则行业进步举步维艰。随着技术成熟和实施能力提升，BIM技术已展现出当之无愧的建筑业生产力革命性技术的巨大价值。但是BIM技术、工具和实践，特别是PDPS项目实践，当前还让大家感到迷惑。如何获取BIM技术高投资回报，制定项目BIM应用实施路线图并无更多的行业经验积累，为了给委托方指明方向，我们特意编写本实施方案。本实施方案旨在提供BIM项目实施的方法论和具体应用点，使合作双方项目团队抓住关键，明确项目实施路线图，制订出正确的配套制度和流程，可以提高双方团队协作效率，提升BIM实施项目成功率。

目录TOC\o"1-2"\h\z\u第一章 本项目BIM实施总体概要 1第二章 项目组织落实 22.1 宗旨 22.2 项目团队组建 22.3 双方的协作 32.4 问题与解决方案 4第三章 BIM项目各阶段实施计划方案 53.1 第Ⅰ阶段：前期调研阶段 53.2 第Ⅱ阶段：建模与工程量计算 63.3 第Ⅲ阶段：项目全过程数据提供 73.4 第Ⅳ阶段：碰撞检查 93.5 第Ⅴ阶段：施工方案虚拟动画制作 103.6 第Ⅵ阶段：现场服务 11第四章 本项目BIM实施技术规划 124.1 项目支撑系统软件 124.2 系统部署 124.3 数据安全策略 124.4 培训计划和制度 12第五章 术语定义 13附件1：各阶段成果(进展)报告一览表 15附件2：可能导致PDPS项目失败的10大原因 16签字页： 18建谊集团大红门项目实施方案本项目BIM实施总体概要1.1一个数据中心：BIM数据库（企业+项目）：逐步建立项目级、企业级BIM数据库。1.2两大支撑体系：LubanPDS系统（BE和MC），BIM咨询和技术团队。1.3两大目标：1）建造过程成本控制；2）虚拟施工。1.4四大实施阶段：1）建模，创建5D关联数据库；2）项目调研，植入管理流程；3）项目全员全过程基于BIM的管理、应用、共享、协同；4）验收评价，评估复制过程。1.5五大应用领域：1）成本控制（经济条线）；2）施工生产管理（技术条线）；3）项目协同；4）碰撞检测；5）虚拟建造。项目组织落实宗旨BIM项目成功实施，有赖于双方有力的协作团队，明确的分工和责任落实。组织落实为项目实施第一任务。BIM实施是“一把手工程”，委托方项目经理必须从战略高度统一项目所有成员对BIM项目实施的思想认识，明确团体利益，一致行动。委托方和实施方双方都必须组建具有执行力的专业团队——BIM项目组。项目团队组建委托方团队（建谊集团）团队角色职务（建议）姓名电话职责项目领导小组：负责项目总体目标规划，核心工作审核、决策领导小组组长总裁负责监控项目整体进度，项目过程中核心工作的参与及审定，项目成果的检验项目总监总裁/总经理/主管副总裁项目监督和组织落实，实施方案审核，协助项目协调人推进实施工作，并预防＆解决项目风险项目管理小组：负责项目实施组织、建设、具体执行落地项目经理项目总经理负责项目的执行和具体操作统筹、实施方案的制定，实施进度的把控，项目调研和实施土建专业负责人土建负责人负责土建BIM模型的建立，专业技术协调管理，涉及到PDPS土建部分服务内容的实施和沟通钢筋专业负责人钢筋负责人负责钢筋专业技术协调管理，专业技术协调管理，涉及到PDPS钢筋部分服务内容的实施和沟通安装专业负责人安装负责人负责安装专业技术协调管理，专业技术协调管理，涉及到PDPS安装部分服务内容的实施和沟通现场BIM技术员现场预算员负责BIM模型维护、更新，数据提供实施方团队（鲁班工程顾问）团队角色职务姓名电话职责项目领导小组：负责项目总体目标规划，核心工作审核、决策领导小组组长董事长杨宝责监控项目整体进度，项目过程中核心工作的参与及审定，项目成果的检验项目总监北方区BIM总监王目监督和组织落实，实施方案审核，协助项目协调人推进实施工作，并预防＆解决项目风险项目管理小组：负责项目实施组织、建设、具体执行落地项目经理鲁班工程顾问副总经理陈责项目的执行和具体操作统筹、实施方案的制定，实施进度的把控，项目调研和BPR的实施。项目副经理高级咨询顾问彭助项目经理进行项目具体统筹、监督、组织执行。业务专家——BIM技术总监鲁班工程顾问技术总监王永责实施方内部工作协调和安排；关键节点把控，负责项目实施质量控制；负责各专业BIM模型质量控制。BIM技术现场负责人高级BIM技术顾问吴忠场BIM技术负责人，负责现场BIM技术指导、培训指导，各专业工作组织协调。土建专业负责人土建技术工程师曹责土建BIM模型的建立，专业技术协调管理，涉及到PDPS土建部分服务内容的实施和沟通土建专业负责人土建技术工程师刘责土建BIM模型的建立，专业技术协调管理，涉及到PDPS土建部分服务内容的实施和沟通钢筋专业负责人钢筋技术工程师曾琪责钢筋专业技术协调管理，专业技术协调管理，涉及到PDPS钢筋部分服务内容的实施和沟通安装专业负责人安装技术工程师朱吉责安装专业技术协调管理，专业技术协调管理，涉及到PDPS安装部分服务内容的实施和沟通备注：实施方现场驻场人员根据实施服务各阶段工作的需要，由乙方项目团队成员分阶段驻场。另外，以上实施方团队组成为初步确定，需要根据项目的启动时间，双方最终确认。委托方项目团队组建注意事项明确项目组成员的职责和工作内容，有利于项目的有效实施，避免发生不必要的推脱和扯皮；个别团队角色可以考虑其他人员兼任；根据项目情况，可以考虑增加团队角色，例如增设项目副总监、BIM技术负责人等；为保证项目顺利实施，可以对项目组成员设定相应“KPI”奖惩措施。双方的协作沟通原则明确项目需求；制定BIM建模标准及计算规则（本项目参照鲁班BIM建模标准建立）、项目目标、进度安排；建立通畅高效的沟通渠道；双方工作交接明确应用书面文件，重要文件需双方签字确认，加盖公章。沟通协作平台项目会议（包括协调会、难点沟通会、例会、交底会等），需明确时间与参会人员；项目协同与讨论组（网络平台，使用Myluban协同平台）。项目会议周期：为保证项目实施质量和沟通协作顺畅，项目会议例行化。前期1周一次，项目实施进入正轨后2周1次。内容：项目进展；存在问题；下一阶段计划；BIM模型确认交底（双方技术和经济条线人员共同参与）；技术讨论；成果评价。会议记录：每次会议须有记录，由实施方团队成员负责记录，双方签字确认。问题与解决方案BIM实施过程中，实施方的角色如何定位？A：BIM实施是顾问式服务，不是普通分包商、供应商。既是企业、项目经理的数据顾问，也是项目管理层各条线精细化管理的支撑，委托方项目总监应准确定位BIM服务，并在内部与外部准确沟通协调。BIM实施前期需要注意什么？A：应充分预见BIM实施初期，项目管理中层的偏见和矛盾冲突，委托方项目总监及项目经理要做好协调。BIM项目的实施，可能对当前项目管理的内部管理体系和权力分配形成较大的冲击，在项目实施初期，项目中层如有较多的不理解和冲突是正常的。

BIM项目各阶段实施计划方案BIM项目各阶段都必须制订实施计划，明确目标，落实责任，进度安排，成果提交等。大红门项目合作具体内容：序号阶段服务内容详细合作情况1I项目前期●项目调研、需求分析、实施动员●实施方案设计、沟通●BIM技术体系培训√2Ⅱ-1BIM建模（预算）●建立预算BIM模型√Ⅱ-急BIM建模加急费●每提前1个工作日增加建模费用Ⅱ-2BIM建模（施工）●建立施工BIM模型√3Ⅲ投标方案●量分析：不平衡报价分析●BIM技术负责方案4Ⅳ-1BPR业务流程重组●流程优化、制度保障●管理调整建议√Ⅳ-2数据查询系统部署●PDS系统(含BE、MC客户端)部署●BIM模型上传和调用√Ⅳ-3BIM模型维护●BIM模型维护（设计变更等）√5Ⅴ钢筋下料●钢筋下料翻样●下料翻样优化√6Ⅵ碰撞检查●检测各专业碰撞●出碰撞报告√7Ⅶ-1结算审计配合(对内)●量审核配合Ⅶ-2结算审计配合(对外)●量审核配合√8Ⅷ工程资料数据库建立●在BIM中建立工程资料档案√9Ⅸ现场服务●数据分析、服务指导、培训等√10Ⅹ动画制作●施工方案虚拟动画●对BIM模型进行后期渲染加工11ⅩⅠ其他项目无第Ⅰ阶段：前期调研阶段实施周期：自项目启动开始，20个工作日完成。阶段目标完成大红门项目相关调研工作，了解相关业务流程和相关情况；优化实施方案，以更加适合本项目BIM技术应用；完成初步培训工作，主要是模型交底工作。成果提交《调研报告》《实施方案》第Ⅱ阶段：建模与工程量计算实施周期：自项目启动开始，20个工作日完成（不包括模型核对时间）。阶段目标建立与中标合同、计算规则相符合的预算模型；获得准确工作量数据。本阶段工作说明本阶段工作启动时间：收到设计图纸后开始启动，BIM预算模型完成时间为20个工作日内；工作地点：主要工作在实施方进行，双方需要沟通交底或检查核对再约定时间地点；BIM施工建模时间：建模分一次结构、二次结构和装饰。考虑到图纸变更和调整，建议每一阶段工作在相应阶段施工前1~2个月完成。BIM建模（预算模型与施工模型）BIM模型建立分预算版和施工版，区别为预算模型主要根据国家清单计算规则或者当地定额计算规则进行模型建立并计算工程量，主要用于项目预决算和施工进度款申请。而施工BIM模型则主要根据施工技术规范、方案等建立BIM模型，主要用于实际施工现场管理，BIM建立的标准和计算规则设置与预算BIM模型差别较大。例如施工BIM模型需要分施工段、按实扣减计算等。而钢筋与安装施工模型不能直接用于下料。双方工作事项委托方提供总包范围书面文件；提供计算规则书面文件；提供当地预算文件标准；提供其他计算要求书面文件；工程详细情况交底；协助模型核对，图纸疑问解答；实施方完成本阶段目标后，按时支付本阶段费用。实施方落实组建各专业小组；制定进度计划，向委托方提交书面报告；分专业按照《建模标准》、委托方提供的建模计算依据，建立准确的模型；控制进度和建模计算质量。成果提交报告项目预算BIM模型（光盘）；计算成果报表（书面报表）；《PDPS项目第Ⅰ阶段成果报告》（书面报告）。交接方法实施方敲章确认，委托方项目经理书面签收。验收技术标准《鲁班测量BIM建模标准》委托方提供工程结算规则，当地定额计价规范等计算成果准确性达到协议要求问题与解决方案只要施工模型，不需要预算模式是否可以？A：施工模型和预算模型针对的对象不一样，预算模型对外施工模式对内，缺一不可，否则无法实现项目成本就关键的“多算对比”委托方人员是否也需要建模BIM模型？A：建议委托方人员也建立BIM模型，实施方提供基础数据并不是代替委托方现有人员工作，而是作为顾问方指导BIM技术的应用并且加强BIM模型的准确性。另外委托方人员在建立模型的过程也是熟悉和了解图纸的过程，这样更有利于与实施方人员进行工作对接。BIM模型核对（预算模型）实施周期：双方约定好的时间，5-6个工作日完成。BIM模型建立完成后，双方需对模型及数据进行核对，以保证上传系统的模型（数据）准确性。双方工作事项委托方1）协调预算人员或技术人员配合模型核对；2）提供已经计算完毕的数据。实施方派出专业技术人员参与核对；根据核对情况修改模型；编写模型核对分析报告。成果提交报告项目定稿BIM模型（预算模型）；《模型核对分析报告》。交接方法实施方敲章确认，委托方项目经理书面签收。第Ⅲ阶段：项目全过程数据提供BPR业务流程重组实施周期：模型核对完成后，自模型应用开始，3-4个月完成。BPR价值BPR(BusinessProcessReengineering，业务流程重组)，最早由美国的MichaelHammer和JameChampy提出，在20世纪90年代达到了全盛的一种管理思想。强调以业务流程为改造对象和中心、以关心客户的需求和满意度为目标、对现有的业务流程进行根本的再思考和彻底的再设计，利用先进的制造技术、信息技术以及现代的管理手段、最大限度地实现技术上的功能集成和管理上的职能集成，以打破传统的职能型组织结构，建立全新的过程型组织结构，从而实现企业经营在成本、质量、服务和速度等方面的巨大改善。对于建筑行业项目管理来说，BPR的管理思想同样价值巨大。目前项目管理流程每家都各不相同，相关的流程制度都很完善，但执行是否到位，是否起到应有的效果，每家企业甚至是每个项目都存在着巨大差异。BPR业务流程重组其实就是项目管理的咨询服务。其最大的价值有两个：对目前项目管理的流程进行梳理，把基础数据的应用加入到项目管理流程中去，并建立相关的制度保障；总结各企业项目管理的优势，结合委托方项目情况，应用到本项目中去。双方工作事项委托方提供企业和项目组织架构；提供项目各岗位工作职责；提供分包结算、采购计划、限额领料、施工安排、施工任务单、成本核算等主要项目流程；组织项目各岗位配合调研。实施方落实调研人员；现场实施调研；编写调研报告；提交BIM实施流程以及配套制度实施建议；项目组人员培训及应用情况跟踪；完善并确定相关流程和配套制度。成果提交《BIM实施流程及配套制度建议书》问题与解决方案是否每个项目都需要BPR？A：第一个项目为保证PDPS的顺利实施，BPR是不可或缺的重要环节。通过本项目的调研和梳理，今后其他项目实施PDPS项目委托方可自定决定是否选择BRP业务流程重组。是否存在风险？A：BPR涉及到对现有流程的优化，前期可能会引起大家的不适应，甚至是抵触。这需要双方项目组成员做好充分沟通和调研，按照循序渐进的原则逐步实施，切不可急功近利。数据系统（LubanPDS）部署实施周期：模型核对完成后，10个工作日完成。阶段目标系统成功部署并调试完成通过验收；相关人员培训完成并熟练使用。本阶段工作说明系统部署主要分两部分：服务器端部署和客户端部署服务器端部署：主要工作由委托方完成委托方提供使用人的账号和权限；实施方根据委托方要求进行分配；上传BIM模型并进行调试。客户端部署客户端分：MC和BE。项目预算人员和总部成本控制负责人使用MC，项目其他人员使用BE；实施方负责给使用人员进行培训和指导；根据BPR调研情况，把客户端应用加入到日常工作中；根据使用情况，双方在例会上提出问题并改进。成果提交《PDS系统部署及应用情况》问题与解决方案服务器安全性是否有保障？A：服务器架设在鲁班专门设立的PDPS数据中心，由第三方安全机构托管，实施方有严格的数据安全保密制度，完成可以保证委托方数据的安全性。委托方其他项目是否可以使用本系统A：系统只服务于本项目，从项目签订日起至项目结束。BIM模型维护实施时间：自建模完成开始，至项目竣工结束。双方工作事项委托方提供项目设计变更单等给实施方；按合同要求分阶段支付进度款。实施方根据委托方提供资料调整BIM模型；及时更新系统内BIM模型。维护周期前期由现场人员跟进项目进度情况进行实时调整；后期重要调整：指影响材料采购、进度款申请等情况收到调整申请后3个工作日完成；后期一般调整：其他调整情况，累计2周一次调整。避免引频繁调整引起的工作协同问题和工作量增加等情况。第Ⅳ阶段：碰撞检查实施时间：模型核对完成后，15-20个工作日完成。阶段目标提前发现设计图纸中安装各专业间的碰撞，以及安装与结构间的碰撞；注明碰撞所在位置、涉及图纸以及碰撞详细情况；对可能发现碰撞点提前预警；预留孔洞定位图说明。双方工作项目本阶段工作以实施方为主，BIM模型确认后即可进行碰撞检查。实施方通过后台数据中心进行碰撞检测，最后提交相关碰撞结果。成果提交《PDPS项目第Ⅴ阶段成果报告》（包括每一个碰撞点的管线名称、位置、所在图纸信息、三维截图等情况）《预留孔洞定位图》问题与解决方案没有发现碰撞点，是否意味着这部分费用可以取消？A：不可以。因为碰撞检查的相关工作已经完成，没有检测到碰撞点意味着图纸设计比较完善，或者进行碰撞检测工作是提供的图纸并不完善等多种情况引起。安装发现碰撞点很多，但是设计院不认为是图纸错误，原因是什么？A：由于安装碰撞检查是基于设计院施工图建立的模型并进行碰撞，实际施工中安装专业需做深化设计，因此有些碰撞点是通过设计可以避免。所发现碰撞点是否都会影响施工，需要进行设计变更调整？A：不一定。根据具体的碰撞点来分析。有些是结构方面碰撞肯定需要设计调整。有些碰撞施工过程中可能要求精度不高，施工中走向稍微调整一定具体就可以避免碰撞，这些就不需要调整。第Ⅴ阶段：现场服务实施时间：建模完成后入场。本阶段工作说明本项目前期将安排驻场实施顾问；各阶段实施方根据进展情况安排专业人员（比如机电安装）进行现场服务。双方工作项目委托方；安排现场办公场地（需配置网络）；安排驻场人员住宿。实施方定期组织现场实施例会；负责现场人员培训和指导；及时发现和处理实施过程中出现的问题；协调双方实施团队，确保实施顺利推进。问题与解决方案如安排驻场经理，驻场时间为多久？A：根据项目具体进展决定，通常情况为半年，后期稳定后为每周一次或每月一次现场服务。

本项目BIM实施技术规划项目支撑系统软件鲁班算量系列软件；LubanPDS系统；含：LubanBE、LubanMC两大客户端LubanBIMwork（碰撞检查系统）。系统部署本项目服务器端暂时借用鲁班服务器，客户端安装在本地。数据安全策略制定数据安全制度双方项目组成员应严格严守数据安全制度；在LubanPDS系统严格按商定授权范围设定数据获取权限；未经许可，双方成员严格禁止向第三方提供BIM和数据；两个人不得同时使用同一个账号密码。系统控制更加细化权限设置功能，加强数据控制功能；日志记录功能：定期检查。培训计划和制度每一阶段、实施方项目组应实施详细的培训计划；委托方应制定BIM技术技能掌握的考核评定制度，引导项目团队重视BIM技术的掌握和应用。

术语定义BIM建筑信息模型(BuildingInformationModeling)，是以建筑工程项目的各项相关信息数据作为模型的基础，进行建筑模型的建立。BIM是一种技术，而不是指某一个特定的软件。PDPS项目数据全过程服务（ProjectDataProvidingServices，简称PDPS），为项目全过程管理提供及时准确数据服务，提升项目管理各岗位的数据获取能力。LubanPDS鲁班项目基础数据分析系统（LubanProjectBaseDataAnalysisSystem），是把BIM模型进行统一管理和应用的系统平台。LubanBE鲁班建筑信息模型浏览器（LubanBIMExplorer），LubanPDS系统的客户端之一，用于项目管理各岗位对单个项目的数据查看、统计和分析，简单易用。LubanMC鲁班管理驾驶舱（LubanManagementCockpit），LubanPDS系统的客户端之一，用于集团公司多项目集中管理、查看、统计和分析，以及单个项目不同阶段的多算对比，主要由集团总部管理人员应用。LubanBIMwork鲁班碰撞检查系统。汇总所有工程项目的算量BIM模型到同一平台，利用内设规则逻辑进行碰撞点检查，并自动数据碰撞点位置、三维截图、构件名称等信息。本系统暂不提供用户直接操作使用。项目基础数据与工程成本直接相关的实物量、价格、消耗量等数据，与项目管理流程无关，根据图纸得到的客观数据，用于项目决策和管理。三大基础数据库即价格动态数据库、企业定额数据库、BIM数据库。5D关联数据库指BIM数据库，5D指的是3D模型，1D时间，2D工序（清单工序、施工工序）。虚拟施工利用BIM模型的虚拟性和可视化，提前反映施工难点，避免返工现象的出现。碰撞检查利用BIM模型轻松快捷地在三维空间环境下检查各专业的碰撞情况。计算规则根据国家清单、当地定额或企业自身要求的工程量计算的准则。预算模型预算BIM模型主要根据国家清单计算规则或者当地定额计算规则进行模型建立并计算工程量，主要用于项目预决算和施工进度款申请。施工模型施工BIM模型主要根据施工技术规范、方案等建立BIM模型，主要用于实际施工现场管理。限额领料限额领料就是指计划部门要求生产部门根据限额领料单进行限制数量的领料。BPR业务流程重组（BusinessProcessReengineering），即为了飞跃性地改善成本、质量、服务、速度等现代企业的主要运营基础，必须对工作流程进行根本性的重新思考并彻底改革。企业定额施工企业根据本企业的施工技术和管理水平，以及有关工程造价资料制定的，并供本企业使用的人工、材料和机械台班消耗量。云计算云计算是分布式处理、并行处理和网格计算的发展，或者说是这些计算机科学概念的商业实现。ERPERP是EnterpriseResourcePlanning（企业资源计划）的简称，是针对物资资源管理（物流）、人力资源管理（人流）、财务资源管理（财流）、信息资源管理（信息流）集成一体化的企业管理软件。附件1：各阶段成果(进展)报告一览表序号所属阶段报告名称报告内容备注1Ⅰ《XX工程PDPS总体调研报告》客观真实反映公司总部、项目部以及合作参与本项目的详细情况5Ⅱ《PDPS项目第Ⅰ阶段成果报告》本阶段工作总结、编制说明、数据报告、图纸问题等。（加盖鲁班工料测量章有效）可分细分专业或分一次结构、二次结构等6Ⅱ-1BIM预算模型提供光盘7Ⅱ-2BIM施工模型提供光盘8Ⅳ-1《BIM实施流程以及制度建议书》根据调研情况提出本项目BIM应用建议，管理系统如何与日常管理结合，以及相关制度9Ⅳ-2《PDS系统部署及应用情况》PDS客户端分配安装情况、客户端使用培训情况、应用情况等11Ⅵ《PDPS项目第Ⅱ阶段成果报告》碰撞检查总体情况以及每一个碰撞点的管线名称、位置、所在图纸信息、三维截图等情况15其他《XX工程PDPS月进展报告》每月工作事项、存在问题以及需要配合工作16其他《PDS系统应用日志》记录项目各岗位PDS系统应用情况以及日常应用中存在问题17其他《PDPS项目结案报告》PDPS实施情况总结、各方评价与价值等，本报告意味着项目正式结束。18其他《PDPS项目工作报告》PDPS实施过程中，委托方提出的，经双方确认后给予的增值服务报告。附件2：可能导致PDPS项目失败的10大原因【此10大原因为以往项目所总结，并非针对本项目，列于此仅是为知悉了解】委托方最高层的信任的努力和沟通不够；A：PDPS的价值最大受益方是委托方的最高层，争取委托方高层的认可是非常重要的，对委托方CEO核心价值有三点：1）对业主方：减少少算漏算2）内部运营：提升精细化管理水平3）内部管控：减少内部委托代理风险从而使BIM技术成为企业和项目管理的核心竞争力。没有双方的强有力的组织落实；A：组织落实是项目成功的关键。必须明确落实项目组织，明确项目组成员的工作事项和一对一责任。项目进展过程需跟进落实的事项很多，没有强有力的组织落实、责任分工、跟进检查是难以成功的。项目组成员定期开会沟通实施进展，及时发现并提出过程中的问题，详细讨论下一阶段工作安排。没有制订一个覆盖项目全过程的《BIM项目实施方案》；A：没有针对性的项目实施方案，就相当于没有行动指南，走上迷途和歧路完全可能，PDPS投入协作团队和项目组成员数量不少，没有行动指路明灯，会引起混乱。这项工作需要前期经过详细调研后制定，明确实施关键路径和实施节点，对可能遇到的困难和问题提前做好充分准备。建模团队选择错误：经验、责任心、人员数量是否足够；A：实施方在选择或组建建模团队时，需考虑工程具体情况，各团队擅长领域等，因为这会引起模型建立的效率和质量产生很大差异。选择合适的团队：专业经验、人数符合任务量、地域靠近，都很重要。没有按《PDPS项目实施标准》建立BIM模型；A：BIM模型质量关系到全过程应用数据的准确性，多团队协同的效率一定要遵守统一的数据格式标准，BIM里的数据才能全过程畅行。委托方中层阻力没有成功消解；A：一般的PDPS项目第一阶段都会碰到中层阻力，不理解。PDPS项目给中层仍带来巨大价值，有理有节的沟通，分享互动很重要，良好的沟通能解决这类问题。没有按《PDPS项目质量控制规程》严格执行质量控制程序；A：质量是PDPS的生命线，按照质量控制规程严格控制质量是不可违反的。数据准确是PDPS第一核心价值。工程过于复杂，开始阶段没有进行建模方案、质控方案和实施方案论证，对困难严重性预计不够；A：PDPS将碰到大量高大难题，不难让工作室独立去考虑应对策略，要有方案，并经论证，使项目一开始就走上正确的轨道。实施过程节点报告、阶段成果报告不符合质量标准、不及时，使双方团队不信任增加；A：获得委托方高层认可，必须有节点报告、阶段成果报告，否则委托方高层确认PDPS项目价值的机会不多。对委托方的现有流程集成优化不成功，无法使数据在流程中发挥作用。A：PDPS的核心价值体现在全过程快速准确的数据引用，如果不能使传统习惯流程形成改变，加以优化，让项目管理各条线都用上数据，就会减低PDPS价值。

签字页：本实施方案需经过双方项目组成员认真商讨，并根据双方意见进行修改。最终确认无误后，双方签字确认。序号单位组成员姓名签字意见签字人签字时间备注123456789101112131415建立智能与安全的校园网络体系——宜春学院校园网设计方案公司：CiscoSystems日期:目录1 概述 41.1 宜春学院校园网建设的目标 41.2 宜春学院校园网设计原则 42 宜春学院校园网技术方案简介 62.1 宜春学院校园网设计思想简介 62.1.1网络核心设计分析 72.1.2行政教学区网络设计分析 82.1.3学生公寓区网络设计分析 82.1.4广域网接入设计分析 92.1.5核心交换机与服务器之间的高速安全连接 112.1.6网络管理设计2.2 VLAN设计 122.2.1VLAN的定义 122.2.2VLAN的作用 132.2.3VLAN划分和路由 142.2.4在Catalyst6509上配置第三层服务 162.2.5PVLAN的应用2.3 网络可靠性分析 182.4 网络可扩展性分析 192.4.1IP地址扩展分析 192.4.2网络拓扑扩展分析 203 网络安全性分析 213.1 网络安全策略 213.2 网络设备的安全 223.3 校园网VPN设计分析 253.4 网络特殊安全需求分析 393.5 互连网访问管理设计分析 403.6 以一卡通为例的安全防护设计 414 思科解决方案特点 454.1 更安全的网络核心平台 454.2 思科基于身份的网络服务（IBNS） 484.2.1思科IBNS概述 484.2.2IEEE802.1X技术介绍 514.2.3思科IBNS增强的802.1X 545 其他网络应用技术介绍 575.1 无线技术方案 575.2 IPTelephone技术方案 585.3 多媒体教学解决方案 616 附录一：网络主要设备介绍 706.1 网络设备选择原则 706.2 网络核心交换机——Catalyst6509 706.3 汇聚交换机——Catalyst4500 746.4 汇聚交换机――Catalyst3750 776.5 接入交换机——Catalyst2970G 85产品规格与性能 856.6 接入交换机——Catalyst2950G 876.7 接入交换机——Catalyst2950 886.8 防火墙――PIX525 946.9 入侵检测设备——IDS4235 956.10 路由器――Cisco7401 996.11 网络管理软件CiscoWorks2000 996.11.1CiscoWorks2000产品概览 996.11.2CiscoWorks2000局域网管理组件 1006.12 身份认证（AAA）－CiscoSecureACS 1037 宜春学院校园网网络设备清单 107

1 概述1.1 宜春学院校园网建设的目标1.2 宜春学院总占地1200亩，在校学生10000余人，教职员工1000余人。拥有教学楼、人文楼、医农楼、理工楼、艺术楼、图书馆、行政楼各一栋，学生宿舍15栋以及体育馆、体育场、食堂等多栋建筑。本项目是就宜春学院新校区校园网项目进行招厂商参于项目的竞标，通过先进的网络产品及技术实现园区内信息网络的互连互通，为实现未来的校园网络系统、银校一卡通系统、数字监控系统、多媒体查询系统、数字图书馆系统、教务管理系统等打下良好的网络基础。为保障各项网络应用的稳定可靠运行，需要构建的校园网络具备高度智能，易于管理，能够抵御网络中各种安全隐患，诸如病毒对网络攻击、非法侦听和侵入、未经授权访问、不良信息通过网络传播等等。1.3 宜春学院校园网设计原则本次校园网系统建设遵循统一规划、分步实施的指导思想，工程的设计必须在考虑到满足当前需求的同时，充分考虑到将来整个网络系统的投资保护和对新应用的支持。设计及实施应充分遵循以下原则：易用性：系统具有良好简单的用户界面，供各类用户使用。先进性：紧密结合实际，立足先进技术，采用最新科技水平，使项目具备国内乃至国际领先的地位。可扩展性和可升级性：在保证目前需要的前提下，还要满足未来发展的需要，为将来在本系统上继续发展增值服务提供一个优良的平台、打下坚实的基础。软硬件系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流会呈指数增长，需要系统有很好的可扩展性，并能随技术的发展不断升级。国际标准性和开放性：严格按照国际国内相关标准设计实施，保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。安全性和可靠性：安全性与可靠性是教育网正常运转的保证。包括系统的快速查找及排除故障，在线故障恢复，数据传输的保密及完整，外部非法侵入的防范，内部人员的越级操作的防止等等。成熟性和稳定性：尽量采用成熟稳定的产品和集成技术。注意提高系统整体性能，使整体投资达到最佳。易管理和易维护性：集成的系统必须降低系统维护的难度和要求，方便用户日后的应用、管理和维护。系统设计完成的同时，必须完成与之相关的可操作的管理维护规定，保证系统的稳定运行。高性能：系统设计应充分发挥软硬件和网络的处理能力，并最优化系统的整体性能。投标方应具体说明以上八点的实施方案，选择先进成熟的切实可行的技术，充分利用宽带网的优势。

2 宜春学院校园网技术方案简介2.1 宜春学院校园网设计思想简介宜春学院校园网络拓扑图如下：如上图所示，本次网络设计采用星型三层结构,以网络中心为核心，通过光纤连接教学楼、人文楼、医农楼、理工楼、艺术楼、图书馆、行政楼、学生宿舍、食堂、体育场内部等各个区域，根据流量的不同可采用单链路上联（全双工2Gbps）或双链路上联（全双工4Gbps）。教学行政区通过分布在8个行政教学大楼的汇聚层交换机，分别连接到网络中心。学生公寓区在10号宿舍楼配置了网络分中心，其余14个宿舍楼的通过光纤汇聚在此，然后上连到网络中心。对于重要的接入交换机，例如教学楼教师办公接入交换机、多媒体教室楼接入交换机，根据需求都采用相应数量的10/100/1000M自适应接口，以实现高速率、高性能、良好的投资保护。对于其它接入交换机，采用10/100M自适应接口。服务器集中在网管中心机房，方便管理。配置防火墙、路由器等实现安全的内外部访问。通过网管软件实现全网的统一管理，AAA认证软件灵活控制用户接入。通过该网络设计，将实现安全高速的信息共享，同时奠定未来银校一卡通系统、数字监控系统、多媒体查询系统、数字图书馆系统、教务管理系统等网络基础。以下将对各个部分进行详细介绍。2.1.1针对用户的实际需求，宜春学院校园网拓扑结构选择星型结构。星型结构是指所有的外围接入用户通过接入层和汇聚层的交换机连接到处于网络中心的核心设备上。星型结构的优点是结构简单，易于扩容与维护，但对中心设备和链路有依赖性，中心设备必须保证高可靠性、高性能、支持丰富的应用。在本方案设计中，核心配置1台Catalyst6509交换机，配置双电源、256G高速交换矩阵，实现高可用性、高性能的网络核心。在Catalyst6509上配置1个高性能16口千兆接口模块WS-X6816-GBIC，其与2个引擎上的4个千兆接口共提供20个可用的千兆接口。Catalyst6509分别通过9个千兆光纤接口卡连接到网络流量很大的汇聚层交换机上，如8个行政教学汇聚交换机、1个学生公寓区分中心汇聚交换机，关键应用可以利用GigaEtherChannel技术实现双链路连接（全双工4Gbps）。核心交换机Catalyst6509剩余千兆光接口随时可以实现校园网络的二期铺设和扩展。该处配置的核心交换机Catalyst6509，支持256Gbps（可以扩展到720Gbps）背板，提供210Mpps（400Mpps/720Gbps）包转发能力，性能卓越。Catalyst6509可以平滑升级到更高性能，并提供线速万兆以太网。Catalyst6509上配置的双引擎，支持NSF（Non-StopForwarding）切换方式，引擎切换时会话不会中断，是目前最优异的双引擎备份方式。另外，Catalyst交换机所采用的三层交换处理机制，有别于其它厂商使用的传统Flow-basedSwitching/Cache-basedSwitching机制，Catalyst交换机CEF-basedSwitching机制更适应实际的网络情况，尤其适合于校园网大量用户、大量连接的情况，对于网络中存在的病毒攻击有良好适应力。3种交换方式的详细说明可参见后文。高端的Catalyst6509交换机，不仅仅支持基本的二层、三层功能，还支持丰富的服务应用。例如：Catalyst6500系列交换机可以支持入侵检测模块（IDS）、业界最高性能的防火墙模块（Firewall）、虚拟专网的VPN模块（VPN）、用于负载均衡的内容交换机模块(CSM)、网络流量统计的模块（NAM）等各种应用。一款6500交换机能够满足用户各种不同的需求，而这来自于Catalyst6500系列交换机自身优异的性能基础。可以说，使用Catalyst6500系列交换机作为网络核心，保护了用户未来的投资成本。2.1.2行政教学区的教学楼、人文楼、医农楼、理工楼、艺术楼、图书馆、行政楼分别独立的以光纤连接到网络中心，其中单模光纤7个，多模光纤1个。虽然各个行政教学楼网络要求的功能和各项应用差别比较大，但是对于网络设备的性能要求是一致的，网络拓扑结构也是一致的，因此可以选择相同系列的网络产品。本方案设计中，行政教学区为各楼选择的高档汇聚交换机是WS-C4503，同样具备高达64Gbps无阻塞交换矩阵、48Mpps的2－4层包转发能力，支持高速、智能、多应用网络；配置2个全线速的千兆上连接口（GBIC），同时为教学楼中办公科研用户提供48口10/100/1000M自适应的高速接入。本方案设计中，行政教学区为各楼选择的中档汇聚交换机是WS-C3750G-24TS-S，在一台交换机上集成了24口10/100/1000M自适应接口，和4口小型光纤扩展口。Catalyst3750系列产品采用业界最先进StackWise的堆叠技术，通过高达32Gbps的堆叠背板，为学校提供了优异的投资保护性和易扩展性。本方案设计中，行政教学区为各楼选择的低档汇聚交换机是WS-C2970G-24TS-E，在一台交换机上集成了24口10/100/1000M自适应接口，和4口小型光纤扩展口。它同样具备56Gbps的交换背板和高达38.7Mpps的包转发速率。本方案设计中，行政教学区为各楼选择的接入交换机是WS-C2950T-24，具备2口光纤千兆上连，剩余24个端口采用10/100M接入方式。2.1.3在学生公寓区，由于其端口数量大（约5500个），数据流量巨大，在此区域设定了网络分中心（10号宿舍楼），分中心通过光纤再连接其余的14个宿舍楼（其中有10个多模光纤、4个单模光纤）。分中心汇聚层的交换机，需要使用较高背板带宽和三层包转发性能交换机，并保证在大流量突发时，性能不下降。为提高网络带宽，汇聚层交换机与核心交换机连接时建议采用2根光纤双上联，实现全双工4Gbps带宽，同时预留富裕光纤接口为双机冗余备用。光纤口应该同时支持1000Base－X（SX/LX）和1000Base－T，通过接不同千兆接口卡实现。本方案设计中，学生公寓区分中心的核心交换机为WS-C4506，配置新一代的交换技术CEF，基于硬件（ASIC）的第二层到第四层交换引擎，提供高达64Gbps无阻塞交换矩阵、48Mpps的2－4层包转发能力，支持高速、智能、多应用网络；配置18个全线速的千兆接口（GBIC），并具有优异的投资保护性；配置完成后，不仅具有三层交换汇聚和高速上联性能，模块化的结构还具有良好的扩展性，为未来应用的扩展保留了空间。本方案设计中，学生公寓区各个宿舍楼的汇聚交换机为WS-C2950G-24（针对单模光纤）或者WS-C2950SX-24（针对多模光纤）。两款交换机均具备24口10/100的交换端口，同时有2口千兆上连的光纤接口，配备不同的接口卡就可以连接单模或多模光纤。本方案设计中，中高档学生公寓区接入交换机为WS-C2950-24，低档的接入交换机为PC22224。2.1.4广域网接入设计分析广域网接入通过1台Cisco7401特殊应用路由器（ASR）实现。Cisco7400ASR使用了Cisco的并行快速转发（PXF）专利技术，可以提供整套优秀的硬件加速服务，尤其是对NAT、NetFlowv8、TurboACL、CEF等应用。Cisco7400互联网路由器是业界性能最高的单机架设备、支持多种服务的路由器产品。这种模块化的单端口适配器插槽设备可以支持四十多种接口的、灵活的广域网连接，包括串行、多通道、ISDN、帧中继、ATM、PacketoverSONET(PoS)、从NxDS0到OC3等电信线路和多出口环境。服务选择网关（SSG）是CiscoIOS软件的一项功能，它帮助校园网络运营管理者制定按需提供服务策略，开辟新的收入渠道。Cisco7400系列的SSG能为针对不同IP目的地的用户交互策略提供RADIUS身份认证和记帐功能，这可以为校园网络服务带来更高的系统灵活性和方便性，包括同时登陆多项服务的能力。此外，它还使校园网络运营管理者可根据用户的连接时间和所使用的服务，向用户收取相应的费用，而不是制定一成不变的价格。服务选择网关（SSG）也是思科网络安全体系SAFE的基于身份认证网络服务的有机组成部分。针对远程校区以及校外的家属区接入，可以采用VPN技术连接。2.1.在路由器与广域网公网连接时，需要将校园私网的地址翻译转换为公网地址。路由器上连接双出口，需要在每个端口上作相应的地址翻译NAT。NAT分为以下三种方式，可以根据实际情况选用合适的方式。1、静态地址转换：通过建立内部地址和外部地址的一一对应关系进行转换，可以用于保护内部主机的安全性，但是由于一一对应关系，所以有多少个外部IP地址，才有多少个内部IP地址可进行转换，且一个内部IP只能对应唯一一个外部IP地址。2、动态地址转换通过建立地址池进行动态地址映射转换，和第一中方式比较则具有更大的灵活性和可用性，但同样受到外部IP地址数量的限制。3、端口地址转换对于不同内部IP地址，通过分配外部IP地址的的TCP（UDP）端口号进行转换。Cisco路由器1个外部IP地址最多支持4000个本地IP地址，且具有优异的连接转换速度。此种方式对于内部地址较多，而外部地址较少的用户将是很好的解决方案，缺点是较消耗路由器资源，对路由器内存配置要求较高。2.1.5核心交换机与服2.1核心交换机通过10/100/1000M自适应端口与关键任务服务器连接。在服务器上配多个千兆网卡，就可以通过EthernetChannel技术实现更高速连接，避免服务器成为网络访问的瓶颈。这对于千兆向桌面普及的网络环境下是非常有用的。在核心交换机上可以组成若干服务器专用VLAN，每一个VLAN内部根据业务特性实现PVLAN功能。在核心交换机平台上配备了高性能防火墙、入侵检测模块后，交换机上的每一个端口都处于独立虚拟防火墙和入侵检测的直接保护下，核心网络服务应用安全畅通。2.1.网络管理包括两类：对设备和对应用的管理。建议采用Cisco公司的网络管理解决方案。Cisco公司网络管理解决方案提供一整套完整的网络管理组件，其中包括对Cisco网络设备本身的管理以及对网络上传输的不同应用的管理等。需要指出的是，网络管理会占用一定的网络带宽资源，其流量需求取决于网管配置中的具体参数、设备数目以及管理架构，一般来说，网络管理流量不会超过总流量的5%，这一开销在我们考虑设备性能要求时已经考虑在内。建议在宜春学院校园网网络中心配置CiscoWorks2000网管软件。CiscoWorks2000是基于Web的网络管理组件，它提供设备管理（软件、硬件）、配置管理、图形面板、流量监控、故障判断、拓扑发现等诸多网络管理基本功能。关于网管的设置，我们建议透过防火墙接入网络，同时采用加密通道的带内网管技术（SNMPv3/SSH），从而有效保证对网络的控制能力。为强化网络安全管理，配置CSACS-3.1-WIN-K9的用户权限、认证、计费（AAA）软件。它能够基于Web的用户界面简化和分配了配置工作，与Windows2000ActiveDirectory和NT数据库配合支持融合了Windows用户名/密码管理，能利用Windows性能监视器查看实时统计数据，ACS在运行一个RADIUS或者TACACS+嵌入式CiscoIOS版本时，可以与大多数Cisco路由器/网络访问服务器一同使用。2.2 VLAN设计为了便于管理，并提高校园网网络的效率和安全性，除了上述网络的物理设计外，还需要对网络进行逻辑设计，即划分虚拟网。虚拟网技术是将网络中的物理基础设施与网络的逻辑基础设施相分离，使得网管人员能方便而动态地建立和重构虚拟网络，以适应部门机构的协作与变动，方便网络管理，降低管理的成本。总结起来，有下列因素促使我们采用虚拟网技术： 一个平台多种应用，这些要求相互之间相对独立； 提高带宽的利用效率； 提高网络的安全性； 方便网络的管理。2.2.1VLAN是VirtualLAN的缩写，即虚拟局域网的意思，区别于物理分布的局域网，VLAN是按照某种逻辑划分的局域网，即根据组织结构、功能、项目组或应用而划分的逻辑网段。VLAN与物理分布的局域网间的区别还在于，VLAN能够通过软件改变特定端口的配置来改变局域网的布局，而不必物理地移动网络设备或线缆。一个VLAN的可以对应一个或多个物理端口，也可以跨越多台物理设备，即同一VLAN可以在分布在一台或多台网络设备中，这样VLAN就提供了最大限度的关于配置的灵活性。如下图所示，传统的物理网段与VLAN网段间的不同在于，同一VLAN网段是可以跨越多个物理网络设备形成的逻辑网段，而传统的物理网段只能位于同一个物理的网络设备中。VLAN示例2.2.2VLAN技术是伴随着局域网交换机技术的产生而发展起来的，其最为根本的作用是通过控制广播域的大小来实现本地性能的优化。具体而言，在局域网交换机上，每个VLAN对应一个广播域，这就意味着广播包只能在单独的VLAN内进行广播，而不能跨越一个VLAN广播到另一个VLAN中去。VLAN的作用归纳起来，有如下几个方面：A、控制广播提高性能：类似于局域网交换机隔离冲突，VLAN能够提供广播域间完全的隔离，所有的广播和组播信号只能在同一VLAN内传递，有效地减少广播风暴的产生，从而提高交换设备的性能。B、提高安全性：VLAN通过隔离的方式来改进局域网交换机整体的安全性，对安全性要求高的用户可以分配在同一VLAN中，通过激活路由器的访问控制列表和地址过滤等功能，可以提高系统整体的安全性。C、简化网络管理VLAN有助于简化网络管理，通过配置局域网交换机的物理端口的属性，不必物理地改变工作站的位置就可以实现工作站的添加、移动和改变。在局域网交换机中，缺省的设置是所有的端口都位于同一个VLAN中，如果不设置VLAN的话，全部的端口都位于同一广播域内，广播风暴会造成局域网交换机整体性能的下降。因此，在大型的局域网环境中，为主干交换设备配置VLAN是有重要意义的。但是，局域网交换机作为第二层的交换设备，并不能将数据包从一个VLAN传递到另一个VLAN中，因此，还需要在通过路由器实现多个VLAN间的通讯。方案中所选用的Catalyst6509是一个模块化的网络设备，并且支持多层交换功能，实际上可以将其视为一个集成了第二层交换与第三层路由功能的核心网络设备，通过配置多层交换功能，就可以实现多个VLAN间的通讯。校园网有多个按照职能划分的部门，这些部门内部的一些信息对其它部门的普通用户是不开放的，因此，校园网内部企业网应该根据具体职能部门的设置和工作流程的要求划分多个VLAN（虚拟局域网），将各个部门分配在不同的虚拟局域网之内，各个虚拟局域网彼此之间可以根据需要作连通或隔断的策略选择。比如规定部门A和部门B两个虚拟局域网内的普通用户是不能访问其它部门内部的信息的，而对于领导干部则可以放开互相访问数据的权限，这些策略的设置是通过IP地址、交换机端口等参数实现的。具体说来，在各个分配线间中Catalyst交换机上，可以根据端口或IP地址划分多个VLAN，并且同一个VLAN还可以跨越不同的Catalyst交换机，这些VLAN的通断策略在主干交换机Catalyst6509上制定并实现。网络管理人员通过在Catalyst6509上作配置就能达到对不同VLAN间的通信作控制的目的。Catalyst6509是具有路由功能的交换机，它支持动态路由与静态路由协议。各VLAN之间的连通性即路由可根据实际需要配置或加以限制。2.2.3校园网络中尤其是各种业务、信息流量的汇集点，涉及到不同的职能部门，很多部门具有相对独立的应用，例如财务部、各系教务部、校长办公室等等。因此，各部门之间的信息具有不同程度的保密要求，如果不进行虚拟网络的划分，是根本无法想象的。网络会被广播包所拥塞，用户根本无法使用网络，管理员也根本无法保证网络的安全性和实现对网络的管理。根据用户的需求，在实施时会将各中心局域网根据应用类型划分为多个VLAN，并可随需求进一步划分。虚拟网络划分可以根据实际情况通过使用专门的管理设置软件，对交换机所连接的网络进行虚拟分组，使几个不同端口所连接的网络成为一组。虚拟网的划分可以跨多个交换机，也可一个交换机内划分出多个虚拟网。虚拟网的划分要依据一定的原则，这些原则是对于那些相互之间联系频繁的节点，尽量划分在一个网段，比如说可以按照部门来划分虚拟网，对于较大的部门，可以进一步细化。对于公共的服务器，尽量设置在对其访问数据流量最大的VLAN中，对于应用核心级的服务器，或者为多个VLAN用户所经常访问的服务器，可以使用虚拟多宿主服务器技术，该技术使得一台服务器同时存在于多个VLAN中。有下列技术可以实现虚拟多宿主服务器： 通过在服务器插入多个网卡 服务器使用支持VLANTrunking技术（IEEE802.1Q或ISL）对于有些部门，由于其规模比较大，必须进一步对这些部门按其逻辑进行划分以建立相应的VLAN，划分VLAN之后所带来的问题是原来在一个VLAN中的名字服务现在因为要跨越VLAN而不能完全提供（通俗地说，用户不能在Windows9X的“网上邻居”中看到其它VLAN中的用户），因为由同一部门划分出来的VLAN往往有比较多的联系，为方便用户，名字服务是需要的。这个问题可以通过在网络设备中设置IPHelperAddress服务，将广播请求转发到有特定的地址的服务器来解决。在校园网络中，VLAN主要通过以下两种规则（Rule）的策略来实现： PortRules：基于端口的VLAN是最简单的一种虚拟网形式。但它提供了最好的控制和安全性，它是通过配置分配连在某一端口上的设备基于它们所连接的端口来加入某一个VLAN。 802.1xRules:根据用户的认证信息，由中心安全服务器预定的信息，在交换机端口上动态设置该用户的所属VLAN，相关安全设置参数以及DHCP信息。通过虚拟网的灵活设置，既可为网络管理带来灵活性，使网络维护工作量降低。同时通过虚拟网的组合设置，可实现安全的虚拟网划分，给网络带来相对的安全性。VLAN间的路由目前实现VLAN互连的技术主要有： IEEE802.1Q Inter-Switchlink（ISL） 第三层交换在网络方案中，由于主要使用Cisco设备，建议采用Cisco专有技术Inter-Switchlink来实现跨交换机VLAN之间的通讯，对于其它厂商的交换机可采用802.1q技术。我们可以将两台交换机上的若干不同的端口划归同一VLAN，同时在交换机链路上设置ISL封装，同时在交换机链路上设置ISL封装，通过Catalyst交换机的第三层交换模块来实现VLAN间的路由。三层交换技术是第三层路由技术与第二层交换技术的有机结合，不是简单的把路由器设备的硬件及软件简单地叠加在局域网交换机上。从硬件的实现上看，目前，第二层交换机的接口模块都是通过高速背板/总线（速率可高达几十Gbit/s）交换数据的，在第三层交换机中，与路由器有关的第三层路由硬件模块也插接在高速背板/总线上，这种方式使得路由模块可以与需要路由的其它模块间高速的交换数据，从而突破了传统的外接路由器缺陷。我们建议在不同VLANs的访问采用第三层交换的方式。2.2.4在Catalyst6509上配置第三层服2.2Catalyst6509是Cisco产品线中典型的多层路由交换平台，因其可集成第二层和第三层模块而使局域网交换和路由技术有机结合起来。因此，Catalyst6509不单纯是传统意义上的局域网交换机，而是支持路由技术的多层交换机。Catalyst6509交换机完全可以将其视为一个运行着标准CiscoIOS的路由器，其作用是为基于第二层端口所划分的VLAN提供第三层的路由服务。如果没有路由器的话，位于不同VLAN间网络设备不能实现相互之间的通讯。在多数的网络环境中，VLAN与单独的网络或子网相关联。Catalyst6509使用InterVLAN路由技术实现位于不同VLAN终端之间的通讯。为了配置Catalyst6509的第三层服务模块的InterVLAN路由，首先要配置VTP，然后在交换机上创建和配置VLAN。要在交换机上配置VTP和VLAN，需要在CatalystIOS的特权模式下执行如下的任务： 任务 命令第一步 指明VTP模式 setvtpmode{server|client|transparent}第二步 创建一个VTP域 setvtpdomainname第三步 创建VLAN setvlanvlan_num第四步 为VLAN分配物理端口 setvlanvlan_nummod_num/port_num对于Catalyst6509来讲，要将其视为一个配置了多个以太网端口的路由器。我们建议的配置方式是将千兆端口捆绑成一个port-channel。其他还有两种配置方式可供选择：一种是将每个千兆以太端口配置成IndependentlyInterface，另一种是将千兆以太端口配置成Trunk。这两种方式的共同点是每个千兆以太端口只属于一个VLAN的情况。显然，这不符合实际情况，所以，在配置中心交换机Catalyst6509时，按照我们建议按照port-channel的配置方式进行。这种方式的配置过程是，绑定千兆以太端口形成一个逻辑的port-channel，在这个port-channel上启用trunk连接，trunk是路由器与局域网交换机之间进行通讯的逻辑链路，然后可以在这个逻辑的port-channel下创建若干个子接口并把每个子接口配置成封装IEEE802.1Q协议的trunk连接，每个子接口对应一个VLAN，相应的每个子接口的IP地址就是每个VLAN的网关。2.2.在一个已经存在的VLAN里，思科可以使用privateVLANs为特定的网络应用提供更好的安全控制。PrivateVLANs可以限制同一个VLAN（PirmaryVLAN）的端口之间的访问。Isolatedports只能和promiscuousports通信，Communityports可以和同一个团体的端口和promiscuousports通信，Promiscuousports可以和PrimaryVLAN内所有端口通信。PrivateVLAN也可以有效减轻被侵入的影响范围。基本网络用户都与接入桌面交换机连接，在所有桌面用户的端口上均可以不预设VLAN信息。在相关交换机上设置802.1x安全认证机制，仅当用户通过认证之后，交换机才会根据安全服务器返回的授权信息设置该端口的VLAN属性，流量限制以及针对该特定用户所允许访问的控制列表信息。在桌面交换机接入用户之后，可以向中心安全服务器发送802.1x的记帐信息，当中心安全服务器收集并记入数据库之后，可以通过相关的记帐软件输出用户的网络使用情况并产生帐单。桌面交换机除了基本的802.1x设置之外，还需要设置全面的安全保护特性，其中包括：基于STP协议的安全保护，例如rootguard,portfast等，防止用户非法成为网络的STPROOT；基于MACCAM的安全保护，实现portfast功能；基于ARP攻击的保护，实现PVLAN的功能；基于DHCP与802.1x的保护，利用交换机关于DHCP82option的保护特性，将DHCP地址池与特定交换机对应，动态分配IP地址，网关以及DNS等信息；利用SSH以及思科专用的集簇管理技术，实现针对大量桌面交换机的带内管理，并且防止非法的用户侦听行为；2.3 网络可靠性分析网络的设计和建设应该充分考虑到网络的安全性和稳定性，应该能保证各种在网数据安全、完整，保证各类网络应用的畅通和稳定。对于单个的网络设备，要求设备本身有高可用性，和长期运行的稳定性。对于关键的设备需要支持关键部件的冗余和热插拔功能。另外还要求关键网络设备必须符合安全性要求，具有能阻挡一般性网络攻击的能力。对于整个网络的设计方面，使用技术成熟的网络设备和通信技术，对于网络的重要部分或设备应在网络设计上考虑冗余和备份。减少单点故障对整个网络的影响。网络在硬件和软件上考虑防止非法入侵和破坏的能力，主干网要能抑制广播风暴和地址过滤。整个网络要便于统一管理、监控和维护，并能跟踪、诊断和排除故障。主要网络设备要支持SNMP和RMON。大型的校园网络，必须依靠各种网管软件及特别的网管功能，实现监控、故障诊断和排错。特别强调的是：Catalyst交换机中RemoteSPAN功能可以远程映射端口流量进行分析，方便故障诊断。核心交换机将来自多台分布式主机和交换机的流量集中起来，将跨网络中多个交换机实现源端口和目的端口之间的网络通信流镜像，以此实现集中管理和监控。这样在网络出现故障的时候，在核心交换机的一点上就可以查找到网络中的故障设备和故障端口，不需要进行多个物理点的监控检查，极大降低网络管理的成本，提高网络使用效率。对于三层协议，路由协议可以负载均衡、链路备份、快速的故障恢复；对于二层协议，可以通过802.1s/802.1w或PVST/uplinkfast/backbonefast技术实现负载均衡、链路备份、快速的故障恢复。对于三层协议：通过某些动态路由协议，如EIGRP，可以配置相应的Metric值，使两条链路可以同时工作，当某条链路坏时，可以自动备份到余下的链路上。即实现了负载均衡、链路备份、快速的故障恢复。对于二层协议：802.1s/802.1w或PVST/uplinkfast/backbonefast技术，可以自定义一部分VLAN以链路1为主链路，链路2为备份；对另一部分VLAN以链路2为主链路，链路1为备份。则实现了负载均衡、链路备份、快速的故障恢复。2.4 网络可扩展性分析2.4.1根据经典的TCP/IP协议，全球公共网络（Internet）设备和用户的IP地址是按照相应编址规则分类的：地址类型IP地址子网掩码网段数量每段主机数量A类地址0.x.x.x-127.x.x.x12616,777,214B类地址128.x.x.x-191.x.x.x1638465,532C类地址192.x.x.x-223.x.x.x2097152254D类地址224.x.x.x-247.x.x.x网络广播专用地址E类地址248.x.x.x-255.x.x.x保留地址分解到每个组织或园区网络的公网地址往往不能满足其网络设备和用户的需求。学校在IP地址设计时，针对现有网络设备和用户规模，可以根据表中IP地址分类特点，选择私网的IP地址，通过NAT再将校园中每个用户转换为公网合法地址进行访问。举例说明网络地址的优化：如果选择C类地址，网段很多而每个网段的主机却