标准化校园网建设标准

/ 26 标准化校园网的建设标准 一、建立标准化的校园网 1.物理拓扑图及逻辑拓扑图
/ 26 2.有线无线一体化泛载接入网：可以完善的支持基于百兆、千兆、万兆速率的有线接入和基于802.11a/b/gn的无线接入。 以人本主义为出发点、以客户需求为导向，充分考虑了方案和产品的一体化融合理念，分别从五个维度进行了一体化设计。 （1）接入一体化：通过将有线网和无线网无缝融合实现有线、无线客户端一体化全覆盖接入； （2）交换转发一体化：通过AC控制器和有线交换机的一体化设计实现有线、无线流量交换转发可共用一张网进行高性能转发； （3）管理认证一体化：通过统一网管平台和统一认证计费系统的一体化设计实现有线无线管理一体化、认证计费一体化； （4）IPv4/IPv6一体化：有线和无线全线产品均支持全功能的IPv4/IPv6 特性以及IPv4/IPv6一体化认证管理； （5）安全认证一体化：有线无线均支持Web Portal/802.1X一体化、外网/内网一体化、准入/准出一体化。 3. 高速骨干双栈网：骨干网设计包括汇聚和核心交换设备，以“云服务”理念为核心，强调硬件全功能支持IPv4/IPv6双栈协议以及老设备IPv4向IPv6平滑过渡手段;骨干设备通过部署成熟的OSFP动态路由协议实现互联互通，结
/ 26 合ECMP协议形成基于多归多活的虚拟化交换资源池，可根据业务功能、流量等进行自动选路、负载均衡、路由和流量飘移并可以和融合一体出口网进行三层策略联动从而实现“核心＋出口”单点故障避免、故障自愈等特性。 4. 融合一体出口网：通过在校园网络出口部署DCFW系列多核安全网关、DCFS系列流量整形网关，解决了出口的网络安全问题及流量控制问题，配合DCBI-NETLOG上网行为审计系统，可以提供详细的上网行为日志记录，同时，通过DCSM认证管理平台与以上设备联动策略机制，可以实现更加强大的流量控制与上网行为管理功能，比如基于用户的流量控制、基于实名的行为审计、校园网舆情监控等功能。 5. 数据中心 数据中心设备总体要求：综合考虑服务器、存储、网络、管理、性能、业务连续性等因素设计完整的云计算数据中心解决方案，对服务器、存储系统、网络资源、安全设备进行整合，形成安全可靠的虚拟主机群集，实现虚拟机热迁移，并规划设计数据容灾。采用统一的管理界面集中管理本项目的计算池、网络池、存储池、安全及优化池。 提供SAN存储网络架构，为虚拟化系统的部署提供统一存储空间，提供详细的存储网络架构方案，将新采购的服务器和存储设备进行整合形成为一体化的数据存储网络。 方案架构设计应具有弹性的扩展能力，充分考虑用

户未来的发展需求，直至实现本地与容灾端的双活云计算数据中心，最大程度保护投资。 数据中心设备配置清单 序号 系统名称 内容 数量 单位 1 云数据中心计算单元 刀片服务器机箱，详细参数见后续表格 1 套 两路刀片服务器，详细参数见后续表格 4 台 虚拟化操作系统，详细参数见后续表格 1 套 2 云数据中心存储单元 高性能存储节点系统，详细参数见后续表格 1 套
/ 26 3 云数据中心网络池 统一网络交换设备，详细参数见后续表格 1 套 4 云数据中心安全池 虚拟化防病毒软件，详细参数见后续表格 1 套 5 集成服务要求 详细参数见后续表格 1 项 （1）“云”数据中心计算池：数据中心计算单元作为核心业务的支撑系统，承担整个业务系统数据的存储和处理，具有业务量大、存储量大的特点，所以关键的数计算单元选择尤为重要。高可靠性和可用性是首要的需求，其次才是数据处理能力和安全性，然后是可扩展性和可管理性。 建议配置4台两路刀片服务器构成虚拟化服务器集群，提供整个数据中心各种应用系统的运行支撑，确保所有应用系统高可用，高性能；针对以上所有服务器系统，提供1套刀片服务器机箱，并配置相关网络、光纤接口，通过管理软件统一管理所有刀片服务器、刀箱、及附属网络设备。 A、刀片服务器机箱 技术指标 技术要求 数量 1套 品牌 CISCO UCS 5108 单套刀片服务器机箱配置要求 机箱高度 ≥5U 扩展能力 整机箱支持不少于8个两路刀片服务器或4个四路刀片服务器。内部全冗余结构，支持冗余路径。 连接端口数量与速率 ★支持两个对外冗余连接模块；配置一个对外连接模块； 对外（连接以太网与SAN网络）的连接总端口数不少于8个万兆的光纤以太网技术（FCoE）接口；或8个万兆以太网+8个8Gb FC接口模块； 供电模块 配置冗余热插拔电源模块，支持N+N冗余，每电源最大输出功率2500W；配置冗余热插拔机箱散热风扇模块。 远程管理 支持基于IP远程KVM，实现远程管理及维护的功能。
/ 26 I/O带宽 每服务器插槽提供不少于10 Gbps的I/O带宽，两个插槽共享不少于20 Gbps的I/O带宽 安装与支持 提供现场安装服务。提供技术维护服务及现场技术支持。 B、刀片服务器 技术指标 技术要求 数量 4台 品牌 Cisco B200 M3 单台刀片服务器配置要求 处理器 ★配置2个不低于2.00 GHz E5-2640八核处理器； 内存 ★配置不少于128 GB DDR3内存，单根内存不低于8GB，最大可扩容至768GB ★配置不少于20个DIMM内存插槽； 硬盘类型支持 支持不少于2个热插拔SSD硬盘 RAID卡 支持RAID 0，1 操作系统支持 支持Windows, Linux，ESXi等主流操作系统 虚拟适配器卡 ★至少配置一块双端口虚

拟适配器，每端口速率为20GB，支持 FCoE，可至少虚拟出8块网卡和2块HBA卡。可根据需要扩展至2块虚拟适配器。如果需要扩展卡才能满足要求，请在报价清单“其他”项目注明设备规格型号与价格。 连接端口 数量与速率 ★配置总端口数不少于2个10Gb FCoE硬件接口通道或不少于2个10Gb以太网接口+2个8Gb FC接口；网卡需硬件支持二层虚拟交换。 性能要求 ★要求服务器硬件配置信息（如MAC、WWN等）和刀片服务器剥离，通过SAN BOOT方式实现虚拟系统部署；更换服务器时无需做配置变更，降低维护复杂度。 动态扩展 要求在不改变网络架构下，服务器可以动态扩展。支持不
/ 26 少于40个机箱和320把刀。 管理功能 提供远程方式下对刀片服务器机箱中的硬件设备进行访问、资产管理、配置、诊断、监控、故障检测、审核及统计数据收集工作提供全功能的XML API，允许通过外部管理工具对系统进行全面控制； 在系统扩容后不应增加管理系统的复杂性和添加任何额外的管理软硬件。可以采用内置芯片或单独服务器的方式。 安装与支持 提供现场安装服务。提供技术维护服务及现场技术支持。 C、虚拟化操作系统 本次配置一套虚拟化软件作为云计算操作系统软件： 技术指标 技术要求 数量 ★8个或以上物理CPU许可包，含1套管理中心软件许可。 品牌 知名品牌，原厂商非OEM产品，提供研发原厂800电话支持。推荐VMware 基本要求 采用裸金属架构，无需绑定操作系统即可搭建虚拟化平台。 每个虚拟机可以支持虚拟多路CPU（vSMP）技术，以满足高负载应用环境的要求，最高可支持超过8路虚拟CPU。 具备高可用功能，当一台物理机发生故障时，之上的虚拟机可以实现在集群之内的其它物理机上自动重启，提高业务连续性； 可以实现在线的虚拟机迁移功能，可以在不停机的状态下，实现虚拟机在集群之内的不同物理机之间迁移，保障业务连续性。 提供整合备份功能，能够利用重复删除技术对VM进行快速备份(全备份或增量备份)和恢复；同时提供备份接口，能够与第三方备份软件无缝兼容。 兼容性要求 兼容现有市场上X86服务器上能够运行的主流操作系统，尤其包括以下操作系统：Windows NT、WinXP、windows Vista、Win2000、Win2003、windows 2008、Reahat Linux、Suselinux、Solaris x86、Novell、
/ 26 Trubolinux、FreeBSD、Ubuntu、Debian、Mac OS等等。 支持主流应用软件的运行，包括但不局限于数据库、中间件、ERP等等。 功能性要求 具有合理的内存调度机制，能够实现内存的过量使用(如共享页面技术等)，保障内存资源的充分利用。每台VM(虚拟机)的内存大小可以达到1TB。 虚拟化平台内建虚拟交换机(vSwitch)，

实现VM之间或与物理机之间的网络调度，支持同一物理机上VM之间的网络隔离(支持VLAN)。内建虚拟交换机vSwitch的数量至少达到127个，每个VSwitch的端口数量至少达到1016个。 具有共享数据文件系统，支持逻辑卷的动态调整，可以聚合多个异构逻辑卷（LUN），并实现在线进行存储容量的增长。每台VM(虚拟机)可以支持到64TB的存储容量。 支持热添加CPU 和内存功能，在不对用户造成中断的情况下，根据需要为虚拟机部署更多 CPU 和内存。 提供专用的P2V工具，实现物理机至虚拟机的平滑过渡。 管理中心软件 提供统一的图形界面管理软件，可以在一个地点完成所有虚拟机的日常管理工作，包括控制管理、CPU内存管理、用户管理、存储管理、网络管理、日志收集、性能分析、故障诊断、权限管理、在线维护等工作。同时支持Web client和命令行管理功能。 （2）云数据中心存储池 存储节点设备配置 指标项 指标要求 品牌* EMC VNX 5100 系统架构★ 全冗余模块化光纤SAN存储设备； 存储控制器★ 配置两个存储控制器实现冗余，存储控制器采用Intel双核处理器，主频≥1.6GHz； 配置≥8GB高速缓存；写缓存镜像保护，要求缓存采用掉电保护技术，意外断电时能够将将缓存中的数据写入硬盘,
/ 26 保证长时间停电情况下缓存数据永不丢失 配置≥4个8Gb光纤通道主机端口，最大可支持8个8Gb FC端口； 操作系统支持 Windows、Linux、AIX、Solaris、HP-UX、Vmware ESX等 磁盘接口★ 配置≥4个6Gb四通道SAS磁盘接口 磁盘扩展能力★ 最大可支持≥140TB容量 磁盘类型支持★ 必须支持以下硬盘类型： 15000转SAS硬盘： 300G、600G； 10000转SAS硬盘：300G、600G； 7200转SAS硬盘：2TB； 企业级闪存硬盘：100GB、200GB RAID类型支持 支持RAID 0，1，1/0，3，5，6等多种raid类型 热备盘★ 支持主动性热备盘技术，支持硬盘预拷贝技术,提前发现故障盘，主动迁移故障盘数据，规避系统降级的风险； 支持全局热备盘，不限定热备盘的位置，可提供跨框的热备服务 本次配置硬盘★ 采用15K rpm SAS磁盘，8颗，单颗硬盘600G；采用7.2K rpm SATA磁盘，7颗，单颗硬盘2T。 支持LUN数量 配置≥512个 LUN许可 支持主机数量 配置≥512个存储分区，或相应数量主机同时接入磁盘存储系统，提供足够的分区以便有效地支持大规模的整合或虚拟化环境，从而帮助降低硬件和存储管理成本 管理软件 配置基于WEB的阵列管理软件许可,在单一WEB管理界面实现存储管理和监控；无需在主机端安装管理软件 虚拟资源调配置虚拟资源调配功能，可以为应用程序提供比在存储
/ 26 配功能★ 阵列中分配给它的物理容量更多的容量，提高存储空间利用率； 虚拟化

软件集成★ 可自动发现在虚拟化软件管理的所有虚拟机，提供端到端的虚拟到物理的映射信息 数据远程迁移功能★ 配置2台存储之间存储级的远程数据复制迁移功能，数据复制支持推和拉两种方式，要求支持不同品牌阵列之间的数据复制 多路径软件 支持主机多路径管理软件许可，提供主机到存储阵列间多路径的故障切换和负载均衡功能，支持基于数据块/IO数量等高级负载均衡功能； 数据备份功能★ 配置以下功能： 提供数据备份功能软件一套，要求支持Windows、Linux、UNIX等操作系统，支持Oracle、SQL server、DB2等主流数据库系统，提供源端重复数据消除功能，满足超过1000个客户端及应用程序许可。 远程数据保护功能 支持以下功能： 远程数据镜像复制软件，保证存储间数据一致性，要求复制软件基于阵列；两个存储之间的连续数据复制功能，并能记录多组写操作，便于以后恢复到多个重要时间点 二级缓存扩展★ 支持存储二级缓存扩展功能，最大扩展空间可达100GB以上 系统升级能力★ 具有不停机的系统软硬件升级和扩充能力，包括软件升级、系统微码升级、系统处理能力的扩充、存储容量的扩充及I/O能力的扩充 保修和服务★ 提供3 年7*24 原厂保修服务 （3）云数据中心网络池 统一交换设备：配置高性能的统一交换机壹套，构成高可用的网络池交换单元，作为计算池、存储池、网络池的纽带。
/ 26 技术指标 技术要求 数量 1套 品牌 思科 UCS 6248 单台接入交换机配置要求 性能要求 ★全万兆交换机；具备线速的万兆以太网和以太网光纤通道（FCoE）功能；不丢包转发，低转发延迟； 连接端口数量与速率 ★配置万兆以太网接口数≥28，本次激活不小于10个端口；要求每个端口都支持1GE/10GE/8G FC，支持10G FCoE。 本次每台配置不少于4个万兆模块连接服务器机箱，不少于2个万兆光模块连接核心交换机，不少于2个8G FC多模模块连接存储交换机 二层转发率 ★基于硬件的二层转发率≥900Gbps 包转发率 ★包转发率≥700M 管理端口 至少提供一个10/100/1000Mbps自适应管理端口 可用性 配置冗余电源和冗余风扇 支持标准 IEEE 802.1p、IEEE 802.1Q、IEEE 802.1s、IEEE 802.1w、IEEE 802.3、IEEE 802.3ad、IEEE 802.3ae: 10 Gigabit Ethernet
/ 26 管理功能 ★1、可实现管理域内所有刀片机箱、刀片服务器、I/O接口模块、万兆汇聚交换机、存储接入模块等硬件组件的统一管理，且一个管理域可支持到不少于100片服务器；在系统扩容后不应增加管理系统的复杂性和添加任何额外的管理软硬件。如果采用单独管理服务器方式，请在投标报价清单“其他”项中列明服务器和软件，此次项目需满足未来至少6个

机箱的管理。 2、支持服务器物理信息（如MAC、WWN等）和服务器剥离，可使用配置文件来配置服务器及其I/O连接，配置文件可使工作负载在服务器之间进行转移，以变更指定给一项工作负载的硬件资源或者使服务器离线进行维护或升级； 3、支持虚拟光驱技术安装操作系统及应用软件。 ★4、要求高可用设计。要求实现在服务器未安装操作系统前，批量更新BIOS版本，HBA版本，RAID控制器版本。实现在服务器未安装操作系统前批量设定服务器启动顺序，SAN启动，网卡与VLAN的关联，BIOS设定（如允许或禁止超线程）等功能。本次项目要求实现至少六个刀箱的管理，如果采用单独管理服务器加软件方式，请在报价清单“其他”项中注明服务器和软件报价 （4）云数据中心安全池 虚拟化防病毒软件 技术指标 技术要求 数量 1套 品牌 趋势 配置要求 1套，包含8个物理CPU许可 基本要求 ★针对本期的计算池虚拟化环境，虚拟机安全防护系统，直接安装在虚拟化操作系统底层，无需其他操作系统，无需安装客
/ 26 户端，可提供实时病毒过滤功能；病毒防护模块，可进行实时/手动/计划病毒扫描，并提供相关病毒查杀日志。该病毒功能可整合云操作系统专用接口，实现免客户端安装的应用模式 集成性要求 ★必须和云操作系统的虚拟机在线迁移功能以及虚拟机高可用功能集成，能够自动感知和保护虚拟环境的变更和迁移。能与云操作系统管理软件集成。与云操作系统APIs的集成使得它能在计算池中服务器上作为一个虚拟应用快速部署，并立即开始透明化地保护虚拟机 功能性要求 可扩展DPI(深度内容检测)功能，可同时保护操作系统和应用服务（数据库，Web，DHCP等） 基于专用API接口提高运行效率，必须具有集中控管的功能，能够统一的管理和配置，并且日志能够统一的在集中控管平台上呈现 6.基础网络设备 序号 设备名称 技术规格要求 推荐品牌 单位 数量 一、 校园网 1 核心交换机主机 机箱式路由交换机主机 1，整机可用插槽数≥20个，背板带宽≥32Tbps； 2，主机含1个交流电源模块，不含管理引擎模块。 锐捷、DCN、H3C 台 2 2 电源模块 220V交流电源模块 锐捷、DCN、H3C 块 2 3 管理引擎模块 管理引擎模块，交换容量≥16Tbps，包转发速率≥11900Mpps 锐捷、DCN、H3C 块 2 4 业务模块 增强系列业务模块，万兆SFP+接口≥24个 锐捷、DCN、H3C 块 2 5 业务模块 增强系列业务模块，10/100/1000Base-T≥24个 锐捷、DCN、H3C 块 2 6 数据中心交换机 数据中心千兆路由交换机 1，规格要求：配置千兆电口≥48个，万兆SFP+接口≥4个； 2，性能要求：交换容量≥400Gbps，包转发速率≥286Mpps； 3，配置交

流电源模块≥2个，风扇模块≥3个。 锐捷、DCN、H3C 台 1
/ 26 7 安全网关 千兆安全网关 1，规格要求：最大可用千兆接口≥8个,10/100/1000M以太网电口≥6个,千兆SFP接口≥2个，双电源冗余设计； 2，性能要求：吞吐量≥8Gbps，并发连接数≥150万，每秒新建会话数≥70,000，VPN隧道数≥2000，SSL 并发用户数(标配/最大)≥16/ 1,000； 3，支持基于身份、深度应用安全的访问控制、IPSEC/SSL VPN、QoS、应用管理、病毒过滤、入侵防御、反垃圾邮件、内置报表等安全服务。 锐捷、DCN、H3C 台 1 8 流量控制网关 流量控制网关 1，规格要求：2U机架式，双电源冗余设计，千兆电口≥6个，千兆SFP接口≥2个。 2，性能要求：吞吐量双向≥2Gbps，并发连接数≥250万，每秒新建会话数≥70,000； 3，功能要求：可实现对网络中各种流量进行管理、控制，支持ByPass功能。 锐捷、DCN、H3C 台 1 9 网络管理系统 网络管理系统。 1，功能要求：支持网络拓扑发现、资源管理、设备管理、终端管理、性能管理、故障分析、异常流量监测、服务器管理、WEB监控等； 2，配置网络管理节点数≥100。 锐捷、DCN、H3C 套 1 10 无线控制器 有线无线一体化智能控制器 1，规格要求：配置10/100/1000Base-T接口≥12个，千兆SFP(Combo)接口≥4个，万兆(XFP/SFP+)扩展插槽≥2个； 2，性能要求：配置AP管理许可≥32台,最多可支持管理AP≥256台，交换容量≥360Gbps，包转发速率≥270Mpps。 锐捷、DCN、H3C 套 1 11 身份认证管理 1、规格要求：千兆主机箱，SFP光口插槽≥4千兆，千兆RJ-45电口≥4个 2、性能要求：支持IPV4 & IPV6，支持RADUIS/LDAP认证，支持16k以下用户并发，ORACLE数据库平台。 3、配置要求：配置1K-2K的并发用户许可。 锐捷、DCN、H3C 台 1 12 汇聚交换机 路由交换机 1，规格要求：每台机器配置千兆电口≥24个，千兆Combo口≥4个，扩展插槽≥2个； 2，性能要求：交换容量≥250Gbps，包转发速率≥96Mpps； 3，支持Static Routing、RIPv1/v2、VRRP、IGMP v1/v2/v3、ARP、ARP Proxy、ICMPv6、ND、RIPng等协议； 锐捷、DCN、H3C 台 若干
/ 26 4，每台机器配置2口万兆SFP+接口扩展模块≥1个。 13 24口接入交换机 以太网交换机主机 1，规格要求：10/100/1000Base-T端口≥24个，千兆COMBO口≥2个，千兆SFP光口≥2个； 2，性能要求：交换容量≥208Gbps，包转发速率≥84Mpps； 3，功能要求：支持IPv4/IPv6 静态路由，支持RIP/RIPng。 锐捷、DCN、H3C 台 若干 14 48口接入交换机 以太网交换机主机 1，规格要求：10/100/1000Base-T端口≥48个，千兆SFP光口≥4个； 2，性能要求：交换容量≥250Gbps，包转发速率≥132Mpps； 3，功能要求：支持IPv4/IPv6 静态路由，支持RIP/RIPng。 锐

捷、DCN、H3C 台 若干 15 无线AP 802.11a\b\g\n无线 AP(2.4GHz & 5GHz 双路双频，并可同时工作，天线可拆卸，802.3at PoE) 锐捷、DCN、H3C 台 若干 16 万兆模块 万兆光模块-SFP-单模（1310nm，SMF，10km）-LC接口 锐捷、DCN、H3C 块 若干 17 千兆光模块 千兆光模块-SFP-单模（1310nm，SMF，10km）-LC接口 锐捷、DCN、H3C 块 若干 二、 设备网（监控、广播、一卡通） 1 核心交换机主机 机箱式路由交换机主机 1，整机可用插槽数≥4个，背板带宽≥3Tbps； 2，主机不含交流电源模块，不含管理引擎模块； 3，支持Static Routing、RIPv1/V2、OSPFv2、BGP4等协议。 锐捷、DCN、H3C 台 1 2 交流电源模块 220V交流电源模块 锐捷、DCN、H3C 块 1 3 管理引擎 管理引擎模块；交换容量≥1.6Tbps，包转发速率≥1100Mpps 锐捷、DCN、H3C 块 1
/ 26 4 业务板模块 标准业务模块（每个业务板配置万兆XFP接口≥1个，千兆SFP接口≥12个，千兆Combo接口≥12个） 锐捷、DCN、H3C 块 1 5 汇聚交换机 路由交换机 1，规格要求：每台机器配置千兆电口≥16个，千兆Combo口≥6个，扩展插槽≥1个； 2，性能要求：交换容量≥250Gbps，包转发速率≥96Mpps； 3，支持Static Routing、RIPv1/v2、VRRP、IGMP v1/v2/v3、ARP、ARP Proxy、ICMPv6、ND、RIPng等协议。 锐捷、DCN、H3C 台 若干 6 24口接入交换机 以太网交换机主机 1，规格要求：10/100Base-T端口≥24个，千兆COMBO口≥2个； 2，性能要求：交换容量≥64Gbps，包转发速率≥9.6Mpps； 3，功能要求：支持IGMP Snooping&Query、支持802.1p，ToS，DSCP，端口优先级，支持WRR/SP等调度方式。 锐捷、DCN、H3C 台 若干 7 光模块 千兆光模块-SFP-单模（1310nm，SMF，10km）-LC接口 锐捷、DCN、H3C 块 若干 二、建立数字校园应用平台 校园学校综合管理信息平台建设的总体目标是：利用先进成熟的计算机技术、网络技术与数据库技术，通过科学合理的管理规范与完备通用的技术规范，基于统一的信息标准整合、集成各种信息资源，构建安全、可靠、可扩展、易维护的综合管理信息平台，实现中等学校各项管理工作的信息化；为广大师生提供简便、快捷的网络化信息服务。具体如下： 1、构建统一信息门户平台：集中信息资源管理、应用服务管理与内容整合，为广大师生提供统一访问入口、个性化的综合信息服务。 2、建设协同办公服务平台：基于校园网/互联网为教职工及管理人员提供先进实用、高效安全的无纸化办公平台。 3、建设掌上校园服务平台：使用无线通信网络及移动计算技术，将各种信息资源和应用服务进行整合、挖掘和展现，为管理人员、教职工、学生、学生家长和公众提供便捷的移动信息服务。 建设部门业务支撑系统：包括教职

工管理系统、教务网络管理系统、数字迎
/ 26 新管理系统、学生工作管理系统、团委工作管理系统、就业指导管理系统、数字离校管理系统、资产设备管理系统和网络教学平台等，实现中等学校各项管理工作的信息化。 运行环境(标准配置) 名称 数量 项目 建议规格 数据库 服务器 1 硬件 CPU 数量≥2 内存 ≥8GB 硬盘 数量≥1，单盘容量≥146GB 网络适配器 1000MB/S 网络 校园网 连接畅通 Internet 禁止连接 软件 操作系统 Microsoft Windows SERVER 2008 数据库 管理系统 Microsoft SQL Server 2008(企业版) 信 息 门 户 应 用 服务器 1 硬件 CPU 数量≥2 内存 ≥8GB 硬盘 数量≥1，单盘容量≥146GB 网络适配器 1000MB/S 网络 校园网 连接畅通 Internet 连接畅通 软件 操作系统 Solaris或Linux或 Microsoft Windows Server 2008 应用服务器 Jboss或IBM WebSphere或BEA Weblogic 应 用 系 统 应 用 服务器 1 硬件 CPU 数量≥2 内存 ≥8GB 硬盘 数量≥1，单盘容量≥146GB 网络适配器 1000MB/S 网络 校园网 连接畅通
/ 26 Internet 连接畅通 软件 操作系统 Microsoft Windows SERVER 2008 应用服务器 Microsoft IIS 6.0 WEB 客户端 1 网络 校园网 或Internet 连接畅通 软件 操作系统 Microsoft Windows 7 浏览器 Microsoft Internet Explorer 8.0 三、网络管理与网络安全 网络管理是通过相应的管理系统对网络及其用户进行管理，以保障网络及其信息服务系统的正常运行。 网络安全是指通过制定网络安全政策和利用网络安全技术（包括软件和硬件）设备对网络系统和计算机系统进行安全防护。 1、网络管理 一套好的网络管理系统能给学校老师带来很大的帮助，并减轻很多繁杂的日常事务。随着学校信息化建设的逐渐展开，网络的层次也逐渐复杂，而中职学校信息中心的老师一般人数不多，如何能高效、及时的管理好整个校园网络，防患于未然，堵漏于及时，是考核信息中心老师的关键指标。神州数码网络数字化校园的管理针对网络平台资源、用户资源、数据资源、媒体资源进行统一配置与控制。 LinkManager NM是神州数码网络基于多年开发与服务经验，推出的一款基于Windows平台的新一代综合性网络管理软件。LinkManager NM以易用、实用为开发原则，定位于对网络和业务应用实施深入而全面的监控，把网络拓扑发现、资源管理、设备管理、终端管理、性能管理、故障分析、异常流量监测、服务器管理、数据库管理、WEB监控等融为一体。 LinkManager NM通过可视化、仪表化、智能化的网络导航管理模式，将复杂的网络管理工作简单化、人性化，让网管软件带动用户来熟悉与掌控自己的网络，大大降低了用户技术入门的门槛，助广大网管人员轻松驾驭网络。 2、网络安

全 网络安全是数字校园建设的重点和要点，需要多维度、多层面考虑，神州数
/ 26 码结合充分的用户调研和实地验证，从接入安全防护、无线安全防护到边界安全防护、安全监控与日志全维度针对数字校园推出了整体安全解决方案，有效解决了用户所面临网络安全问题。 （1）设备自身安全 A接入交换机 随着网络的发展，网络安全问题特别是内网网络安全问题越来越严重，如：ARP欺骗、ARP攻击、MAC地址盗用、IP扫描、IP冲突、ICMP扫描攻击等问题越来越严重。因此接入交换机的安全特性越来越重要，能否有效的解决内网特别是接入层安全问题，已经是衡量网络的重要的因素。神州数码接入交换机具有极其强大的安全特性以及接入层安全解决方案，可有效的防止内网安全威胁，如：ARP欺骗以及扫描攻击、ClonePC盗用、MAC地址攻击、DHCP攻击等等。从接入层开始，打造高效、安全、稳定的网络，有效的保证了校园网的运营效果。 B汇聚交换机 提供了完整的ACL策略，并使用不同的策略进行转发。通过ACL策略的实施，用户可以过滤掉“冲击波”、“震荡波”、“红色代码”等病毒包，防止扩散和冲击核心设备。支持IEEE802.1x基于端口的认证，为网络提供端口级的安全保证。配合RADIUS等认证机制，可有效防止非法用户侵入网络。 C核心交换机 “交换引擎CPU核心保护”：可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪。 D无线安全 所有的安全策略全部集中在AC控制器上统一发布和控制，包括用户身份认证、入网行为控制、安全加密、无线入侵检测、无线电射频管理等，网管人员只要在AC控制器上配置安全策略，就可轻松地完成整网的安全策略的配置，除此之外还可以结合AC和POE交换机的安全特性，轻松部署ARP立体防御、DHCP Snooping、IPv6 SAVI、ACL等安全策略有效实现无线网络的高安全防护能力。 多SSID：可以根据需要，如用户的种类、应用的种类，在神州数码网络无线系统中设置多个SSID，不同的SSID采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式，该SSID不广播，
/ 26 用户无法看到，防止非法用户的连接企图。SSID还可以选择在某些AP上出现，某些AP上不出现，限制SSID出现的范围也是实现安全性的一种手段。 加密：神州数码网络无线系统支持多种加密的方式，二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i 多种加密方式，三层的加密支持IPSec VPN加密，这样使得加密的方式更加的灵活，可以根据实际需求进行选择。 E“关键协议绿色通道” 功能 可保障正常、合法、速度合理的关键控制报文（VRRP、STP、MS

TP、RIP、OSPF、BGP、组播协议、双引擎板间心跳等）在大流量业务下不被淹没，快速处理不中断； F先进的LPM技术 可抵抗“冲击波”病毒、“zero day”病毒、“SQL slammer warm”病毒等； G端口信任模式 可检测非法BPDU、非法DHCP Server等，从而保障网络的安全。 （2）边界防护安全 在校园网出口，多核安全网关，采取先进的多核+ASIC硬件架构设计，保证了在校园网出口高吞吐量，多业务流量的条件下，也能轻松应对。除了执行传统防火墙的安全隔离、防御功能以外，还能实现防Dos/DDos攻击，SSL/IPsec VPN等多种功能。 多核安全网关采用16核64位嵌入式处理器和高速交换总线技术（如下图），实现了芯片级的硬件加解密、QoS流量管理，避免了传统ASIC和NP安全系统新建连接能力和流量控制能力弱的弊病。通过扩展license，终结者安全网关还可以支持高达1Gbps的防病毒过滤，高达8000万地址容量的URL过滤以及强大的IPS功能。
/ 26 多核安全网关采用多核处理器架构，在实际工作中，每个核心可以在相对节能的方式下运行，牺牲单个核心的运算速度，但多颗核心协同处理任务，以达到性能倍增的目的。 3、流量管理 网络的开放性和网络技术的迅速发展使得网络出口带宽作为一个重要资源越来越得到信息技术管理部门和运营部门的重点关注，通过流量分析方法发现网络中各种应用的对带宽占用情况是实现带宽资源有效利用的第一步，在此基础之上通过基于应用的管理手段来实现对关键应用的保障、阻断或限制非关键性业务的应用。 在运营或强化管理的网络中，内部用户对外部网络的访问权限管理、流量管理、应用管理、应用审计是IT管理或运营部门关注的另外一个重点。 （1）带宽决策支持：统计、监控和分析校园网各种应用所占的带宽比例，为校园网的用途和下一步的规划提供科学依据。通过对网络上的流量数据进行监控和分析，量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多少，从而得知用户的网络最主要的用途是什么。 （2）带宽宏观管理：限制每个用户的上网带宽，自动采取平均分配带宽的优化算法，确保带宽资源分配的公平性和合理性；不同用户组分配不同带宽，即可轻松实现区分服务。
/ 26 （3）非法应用抑制：有效控制各种应用所占带宽，保证关键应用，抑制不希望的应用，如下图所示，为DCFS流量控制策略加载前后，迅雷流量所占用的带宽对比。 （4）内网节点预警：监控内网每个节点的实时出流量、实时入流量的大小，可用来判断内网节点是否存在攻击行为、中病毒等问题。如下图所示，通过双击认为“有问题”的

某台主机的地址，可看该主机详细会话情况。
/ 26 （5）带宽二级管理：这是DCFS系列产品的独有的管道复用技术，不仅可以针对每个用户实现带宽的管理，而且同时也可对不同种网络应用协议进行带宽管理。（例如：在限制每用户的带宽不超过256K的同时，还可以同时限制针对总体上限制BT的总带宽不超过10M） （6）特色应用跟踪升级：网络应用的识别率高、针对中国本地特色应用能进行精确识别。国内本地化应用识别强，可识别600余种应用，对于新出现的应用，我们提供对新的网络应用识别的按需定制升级服务。 （7）认证、流控联动：DCFS系列产品是业界首个将身份认证与流量整形完美结合产品，支持用户身份认证、带宽授权、灵活计费和用户审计功能，与神州数码DCSM认证中心配合，实现了应用识别与用户身份的联动绑定，可将对网络应用的阻断、限制策略与用户名、用户组一一对应，实现个性化的上网服务。
/ 26 实际运营时，我们可以制定如下规则的用户策略： 认证用户名 应用控制策略 计费策略 曹操 阻断所有P2P应用 保障魔兽世界256Kbps带宽 不限制其他带宽 时长计费 刘备 限制迅雷为1Mbps带宽 限制电驴为512Kbps带宽 不限制其他带宽 有限时长计费 孙权 保障不低于2Mbps的在线视频带宽 保障skype不低于128Kbps带宽 流量计费 诸葛亮 上班时间保障大智慧128Kbps带宽 包月计费 张飞 不限制任何应用，总带宽不高于2Mbps Cernet流量不计费 非cernet流量包月计费 7）精兵简政，优化出口拓扑：由于DCFS产品结合了认证网关和流控网关的功能，网络出口就不需要再额外串接网关型计费设备，避免了过多的网络设备在出口串接，形成故障点和带宽瓶颈的问题。
/ 26 4、用户管理 针对校园用户管理的需求，以及当前所面临的问题，统一认证管理平台通过五个统一、十个一体化解决客户所面临的安全管理与认证所遇到的所有问题，如下图所示： （1）WebPortal和802.1x一体化的价值 通过认证计费管理平台实现WebPortal和802.1x一体化，可以方便的与接入交换机及出口网关设备相互通，对不同的区域可以根据学校需要采用不同的认证管理方式，例如对于学生宿舍区采用控制力比较强的802.1x认证方式，在接入端实现终端多元素绑定，对于教师办公区域，可以采用灵活方便的Web Portal的认证方式。 （2）准入和准出一体化的价值 通过认证计费管理平台实现准入和准出一体化，校园用户只需要一套帐号密码，经过一次认证就可以实现访问内外网的需求，同时也可以实现内网访问只认证不计费，外网访问计费的方式。通过认证平台与出口流控设备的互动，可以实现非常灵活的

计费方式，不仅可以按照上网时长计费，也可以根据流量计费或根据带宽计费。 （3）有线和无线一体化的价值 校园网同时具备有线网络和无线网络接入能力，通过有线无线一体化，可以避免有线、无线使用不同的认证计费平台，进而提升用户的上网体验效果，无论
/ 26 用户采用有线方式还是无线方式上网，都可以通过统一的认证计费平台来进行认证、计费、管理，即减少了网络投资，又方便管理。 （4）IPv4/IPv6一体化的价值 新建设校园网同时承载IPv4和IPv6协议。认证计费管理平台需要同时支持IPv4与IPv6，管理员可以很方便的看到用户的IPv4与IPv6方面的相关信息，方便管理，通过IPv4与IPv6的统一认证，也增强了IPv6方面的网络安全，避免IPv6用户可以不经过认证就能接入网络。 （5）私有、标准一体化的价值 由于校园网建设周期较长，且设备经常需要升级，这就造成了学校校园网的建设几乎不可能至始至终都使用同一厂家的设备，这就需要认证计费管理平台能够与不同厂商的接入交换机之间实现互通，实现接入端802.1x统一认证，无论接入端使用的是哪家主流厂商的接入交换机都要求认证计费管理平台能与之互通，实现终端802.1x认证，并且可以实现一些诸如多元素绑定、即时消息、强制下线等等一些特色功能。 （6）计费帐户一体化的价值 随着教育信息化的发展，学生在校需要使用一卡通系统，一卡走遍校园，通过一张卡可以在食堂、超市、图书馆、水房等地使用，一卡通系统需要与网络认证计费平台相联动，以可以实现通过一卡通系统来交纳网费、查询网费、更改帐户信息等功能 （7）认证计费、安全管理一体化的价值 认证计费管理平台集认证计费与安全管理于一身，不仅可以实现基于用户名、密码的认证，也可以通过与客户端软件的配合实现主机的安全性检查，保证只有安全的终端才可以接入网络，接入网络后，也可以防止客户端私改IP、MAC，避免ARP相关网络攻击。 （8）身份管理、带宽管理一体化的价值 通过认证计费管理平台与校园网出口流控设备相互动，可以实现身份认证、带宽管理一体化，流控设备可以根据具体的用户来设置策略，可以根据具体用户来分配带宽资源，也可以根据用户群组来分配带宽资源，对不同的用户群组可以设置不同的策略。
/ 26 （9）网元管理、服务管理一体化的价值 认证计费管理平台不仅可以实现网元管理，还可以实现易用的用户自服务的管理，方便实现用户业务办理、修改信息、查询信息、帐单导出、问题保修等服务。 （10）实名审计、舆情监控一体化 通过认证计费管理平台与上网行为审计系统

互动，可以在上网行为审计系统上实现基于实名的审计，而不是传统的基于IP的审计，同时可以实现实时的舆情监控，民意调查功能。 结合以上特点，针对有线和无线PC采用WebPortal方式认证，移动终端设备可以采用WebPortal认证方式认证，也可以采用App客户端认证方式。App客户端认证方在移动终端设备中应用性高于WebPortal认证方式。在App Store上可下载基于IOS的客户端；在Android Market上可下载基于Android的客户端。 要求平台认证计费网关支持多种认证协议，能够直接终结PPPoE、PPTP认证协议，同时还支持802.1x、Web登录方式，自有的专用客户端还能提供防代理、透三层绑定MAC、在线催费、信息发布等功能，学校可根据自己的需要，灵活选择一种或多种认证方式。另外还支持标准的RADIUS协议，能够很方便的与第三方设备进行认证与计费，大大保护学校网络设备的投资。