校园网无线网络投标书
国防工业职业技术学院双核心校园组
建项目
投
标
书
投标单位:八一网络科技
投标单位全权代表:王伟凯
2017年 10月 20日
致:国防工业职业技术学院
首先感贵公司对我公司的信任,使我们公司有机会参与贵单位的投标,我们
深感荣幸并表示真诚的意。
我公司仔细研究了贵单位工程的招标文书及有关资料,同时对施工现场及周围环境进行调查了解,经过反复论证、认真分析,愿意承担贵单位所发的文件中的
各项条款,同时做出了符合该工程工期、质量等方面的施工安排,组织技术熟练、质量过硬、善打硬仗的施工队伍负责该工程的所需材料的施工。我们对该单位工程
的设计方案和预算进行了汇总,在后面条条列出。
如信任我们公司,由我们公司中标承担该工程,我们会完全按照标书中的设
计进行并兑现标书中的所有承诺,为贵单位做出我们的贡献。
投标价格: 20 万元
投标时间: 1 个月
目录
一、需求分析
二、双核心校园网络组建拓扑规划图
1、双核心校园网规划设计
2、 RIP 动态路由协议
3、网络冗余设计
1)链路聚合
2)多生成树协议( MSTP)
3)虚拟路由器冗余协议( VRRP)
4、双链路接入Internet
5、网络管理设计
1)基于 Telnet/SSH 的远程登录管理
2)基于 SNMP的网络管理
3)交换机集群管理
4)镜像技术及应用
5)Qos 及配置管理
三、双核心校园网项目材料分项报价表
四、法定代表人授权书
负责人
震
玉梅
鸟英
王伟凯王启超
陆和晨
五、培训服务及售后服务
一、需求分析
本工程是位于国防工业职业技术学院教学楼的双核心校园网组建工程,
建筑结构是由一栋办公图书楼、三栋教学实训楼和六栋学生宿舍楼组成,现在各建筑物局域网已建成,现要将各楼宇局域网互联,建设成高可靠性的校园网。网络建设需求如下:
( 1)校园局域网可以实现多媒体教学、视频点播、办公自动化、资源共享等。
( 2)校园网要具有一定地稳定性、可用性和健壮性。
( 3)校园网办公图书楼和教学实训楼用户可访问教育网免费资源。
(4)校园网的所有用户均可访问 Internet 资源,需要双出口。
(5)在网络管理方面要实现易于管理、方便维护等可管理性。
(6)应客户要求,本次项目所用所有设备,全部采用国产。
根据项目需求及分析,为增强网络的稳定性、健壮性,本项目拓扑结构采用
冗余层次化拓扑结构,两个核心交换机之间使用聚合链路相连接,可以提供冗余,增加宽带。根据用户需求,不同的流量网络出口不同,所以本项目应规划为双出口网络: Cernet( 教育网 ) 和 ISP,所以需要改变网流量的走向,需配置策略路由
等功能;核心交换机和出口路由器应配置冗余备份、负载均衡功能,可使用 VRRP、MSTP等技术来实现,另外路由器上还需配置 NAT。对于路由规划,网路由配置针对小型网络的动态路由协议 RIP(路由信息协议),即核心交换机和汇聚层交换机上配置 RIP。
二、双核心校园网系统图
1、双核心校园网规划设计
双核心网络冗余结构设计
冗余设计的手段是在网络中安装并行的,备用的组件,例如路
由器,核心交换机,电源,
如图所示,备用的核心交换机 A1 在核心交换机 A2 出现故障时,仍然能将来自汇聚层交换机 B2的数据接收到核心层。
( 2)备用链路
当网络中的某条主路径出现故障时,会影响到网络的互联性,为了保持网络的畅通,
冗余网络设计提供了备用链路的设计。备用链路是由路由器、交换机以及路由器与交换机之间
的独立备用链路构成的,它是主路径上的设备与链路的重复设置。
本项目中,采用非对称性备份链路设计方案。非对称性备份链路设计方案中备份链路
提供较小或相等的带宽,只在主链路出现故障时备份链路才生效。如上图,L2 可提供较小的带宽,在主链路L1 和设备 A1 运行正常的情况下,备份链路L2 可以不运行。
( 3)校园网双核心双出口网络拓扑
该网络拓扑中,为增强网络的稳定性、健壮性,在网络核心层采用了增加网络设备的冗余方法,采用双核心交换机结构,为网络的核心增强了可用性。而在网络
出口也采用了双出口的Internet接入方案,满足用户不同网流量访问不同网络资源
的需求。
B、IP 地址规划设计
一级子网地址/
掩
码
172.17.0.0/21 172.17.8.0/21
(1)子网划分及IP 地址分配表
二级子网地址/ 掩IP 地址围
码
172.17.0.0/24172.17.0.1~172.17.0.254
172.17.1.0/24172.17.1.1~172.17.1.254
172.17.2.0/24172.17.2.1~172.17.2.254
172.17.3.0/24172.17.3.1~172.17.3.254
172.17.4.0/24172.17.4.1~172.17.4.254
172.17.5.0/24172.17.5.1~172.17.5.254
172.17.6.0/24172.17.6.1~172.17.6.254
172.17.7.0/24172.17.7.1~172.17.7.254
172.17.8.0/24172.17.8.1~172.17.8.254
172.17.9.0/24172.17.9.1~172.17.9.254
172.17.10.0/24172.17.10.1~172.17.10.254
172.17.11.0/24172.17.11.1~172.17.11.254
172.17.12.0/24172.17.12.1~172.17.12.254
用途
核心层设备
互连及服务
器组
汇聚层 - 核心
层设备互连
172.17.16.0/21 172.17.24.0/21 172.17.32.0/21172.17.13.0/24172.17.13.1~172.17.13.254
172.17.14.0/24172.17.14.1~172.17.14.254
172.17.15.0/24172.17.15.1~172.17.15.254
172.17.16.0/24172.17.16.1~172.17.16.254
172.17.17.0/24172.17.17.1~172.17.17.254
172.17.18.0/24172.17.18.1~172.17.18.254
172.17.19.0/24172.17.19.1~172.17.19.254
172.17.20.0/24172.17.20.1~172.17.20.254
172.17.21.0/24172.17.21.1~172.17.21.254
172.17.22.0/24172.17.22.1~172.17.22.254
172.17.23.0/24172.17.23.1~172.17.23.254
172.17.24.0/24172.17.24.1~172.17.24.254
172.17.25.0/24172.17.25.1~172.17.25.254
172.17.26.0/24172.17.26.1~172.17.26.254
172.17.27.0/24172.17.27.1~172.17.27.254
172.17.28.0/24172.17.28.1~172.17.28.254
172.17.29.0/24172.17.29.1~172.17.29.254
172.17.30.0/24172.17.30.1~172.17.30.254
172.17.31.0/24172.17.31.1~172.17.31.254
172.17.32.0/24172.17.32.1~172.17.32.254
172.17.33.0/24172.17.33.1~172.17.33.254
172.17.34.0/24172.17.34.1~172.17.34.254
172.17.35.0/24172.17.35.1~172.17.35.254
172.17.36.0/24172.17.36.1~172.17.36.254
办公图书楼
教学实训楼
学生宿舍楼
172.17.37.0/24172.17.37.1~172.17.37.254
172.17.38.0/24172.17.38.1~172.17.38.254
172.17.39.0/24172.17.39.1~172.17.39.254??备用172.17.240.0/21备用172.17.248.0/21备用
所在位置图书办公楼
教学实训楼学生宿舍楼
(2)VLAN-IP 规划表
VLAN ID子网地址 / 掩码用途
Vlan 10172.17.16.0/24办公用
Vlan 20172.17.17.0/24电子阅览室用
Vlan 30172.17.24.0/241#教学实训楼
Vlan 40172.17.25.0/242#教学实训楼
Vlan 50172.17.26.0/243#教学实训楼
Vlan 60172.17.32.0/241#学生宿舍楼
Vlan 70172.17.33.0/242#学生宿舍楼
Vlan 80172.17.34.0/243#学生宿舍楼
Vlan 90172.17.35.0/244#学生宿舍楼
Vlan 100172.17.36.0/245#学生宿舍楼
Vlan 110172.17.37.0/246#学生宿舍楼
( 3)子网区域分配对照表
区域IP 子网
核心层设备互连及服务器组172.17.0.0/21
汇聚层 - 核心层设备互连172.17.8.0/21
办公图书馆172.17.16.0/21
教学实训楼172.17.24.0/21
学生宿舍楼172.17.32.0/21
4.2 RIP 动态路由协议及其配置
3、对两台出口设备,两台核心交换机以及四台汇聚层交换机上的RIPV2 配置
Rip 的特点:仅和相邻的路由器交换信息。如果两个路由器之间的通信不经过另外一个路由
器,那么这两个路由器是相邻的。RIP 规定,不相邻的路由器之间不交换信息。路由器交换的信息是当前本路由器所知道的全部信息,即自己的路由表。按固定时间交换路由信息,如每隔30s,然后路由器根据收到的路由信息更新路由表。RIP 只适用于小型互联网,如小型的校园网和局域网。
建立此拓扑的作用:使两台相邻的路由器之间通过rip动态路由协议,实现校园网或者区域
网中两台路由器之间路由信息的互通。
本项目中RIPV2 的配置:router rip(启动rip动态路由协议)
Version2(声明 rip版本2)
No auto-summary(关闭自动汇总)
Network 172.17.0.0(通告网段)
RIPV2 的管理及排错
用 sh ip route查看路由信息
通过 debug ip rip命令进行调试,以便排错
问题:为什么用RIPV2 配置?
答:适用分类路由,在它的路由更新中并不带有子网信息;
Ripv2是一种无类别路由协议;
Ripv2报文中携带掩码信息,支持VLSM和 CIDR;
Ripv2支持以组播方式发送路由更新报文,组播地址为224.0.0.9,减少网络与系统资源消耗;(优化路由更新发送地址,由广播变成组播,支持触发更新功能。大大缩减协议
流量)
Ripv2支持对协议报文经行验证,并提供明文验证和MD5验证方式,增强安全性。(增加了验证机制)
本端设备设备描述本端接口IP 地址/ 掩码对端设备对端接口
R1ISP 出口路GE0/0/0172.17.0.1/24L1E0/0/6
由器
E0/0/0172.17.3.1/24L2E0/0/1
R2Cernet 出口GE0/0/0172.17.1.1/24L2E0/0/6路由器
E0/0/0172.17.2.1/24L1E0/0/1
E0/0/6172.17.0.2/24R1GE0/0/0
核心层交换
机 1
L1
L2核心层交换
机 2
办公图书楼
汇聚成交换L3
机 1
办公图书楼
汇聚成交换L4
机 2
教学实训楼
汇聚层交换L5
机
学生宿舍楼
汇聚层交换L6
机E0/0/1172.17.2.2/24R2E0/0/0 E0/0/5172.17.8.1/24L3E0/0/1 E0/0/4172.17.9.1/24L4E0/0/1 E0/0/3172.17.10.1/24L5E0/0/1 E0/0/2172.17.11.1/24L6E0/0/1 E0/0/6172.17.1.2/24R2GE0/0/0 E0/0/1172.17.3.2/24R1E0/0/0 E0/0/2172.17.12.1/24L3E0/0/2 E0/0/3172.17.13.1/24L4E0/0/2 E0/0/4172.17.14.1/24L5E0/0/2 E0/0/5172.17.15.1/24L6E0/0/2 E0/0/1172.17.8.2/24L1E0/0/5 E0/0/2172.17.12.2/24L2E0/0/2 E0/0/1172.17.9.2/24L1E0/0/4 E0/0/2172.17.13.2/24L2E0/0/3 E0/0/1172.17.10.2/24L1E0/0/3 E0/0/2172.17.14.2/24L2E0/0/4 E0/0/1172.17.11.2/24L1E0/0/2 E0/0/2172.17.15.2/24L2E0/0/5
4.3 网络冗余设计1、链路聚合
本项目中,我们将在核心交换0/8 两个物理端口捆绑成一个逻辑端口,该逻辑端
口带宽为两个物理端口带宽机L1 和 L2 之间采用链路聚合,L1 与 L2 分别通过两
个物理端口E0/0/5 和 E0/0/6 连接,如果在两个交换机上分别作链路聚合的配置,
即可把 E0/0/5和E0/0/6之和,那么两个交换机这时就是通过一条逻辑通道连接
的了,该逻辑通道中的任一物理链路还可起到链路备份作用。
2、多生成树协议 MSTP
本次项目中,采用的MSTP技术, MSTP 设置 VLAN映射表(即VLAN和生成树的对应关系表),把 VLAN和生成树联系起来;通过增加“实例”(将多个VLAN整合到一个集合中)这个概念,将多个 VLAN捆绑到一个实例中,以节省通信开销和资源占用率。 MSTP把一个交换网络划分成多个域,每个域形成多棵生成树,生成树之间彼此独立。
MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限
循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载分担。
3、虚拟路由冗余协议( VRRP)
IP报文上的,支持各种上层协议,同时VRRP还支持将真实VRRP报文是封装
在
接口IP地址设置为虚拟IP地址。
在本项目中,采用双核心结构,两台核心交换机采用链路聚合方式连接,可以起到负载均衡的作用。在核心交换机L1 和L2 上,配置VRRP,为各VLAN用户提供网关的冗余。
如, VLAN10的主路由设备为 L1,备份路由设备为 L2,当主 L1 故障或跟踪的接口故障时, L2 将成为 VLAN10主路由设备。
4.4 双链路接入Internet Array
保证Internet接入的稳定性对于校园网来说是重要的。采用一条Internet接入,也就是说使用一个ISP 的链路无法保证它提供的Internet链路的持续可用性,从而可能导致
Internet访问和web服务器的中断,而中断带来的影响是不可估量的。多链路冗余起到在
多个运营商之间故障的转移,但是网络边界设备作为外网的接入点,当设备出现故障便会导
致外网之间的网络业务的全部中断,引起单点故障影响业务正常运行。因此在网络接入点部署多
台设备形成备份 / 冗余是非常必要的,其中一台设备发生故障时,数据便会切换到另外一台设备上
继续传输,而且还可以做设备性能的叠加增强。
(1)策略路由
三层设备在转发数据包时一般都基于数据包的目的地址,策略路由可以不仅仅依据目的
地址转发数据包,它可以基于源地址、数据应用、数据包长度等。这样转发数据包更灵活。
使用策略路由可以设置数据包的行为,比如下一跳、下一接口等,这样在存在多条链路的情
况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力。策略路由一般针对的是接口入(in) 方向的数据包。
为了保证校园网办公图书楼以及教学实训楼流量可以访问教育网免费资源,而其他流量或访问资源均通过 ISP 访问,需要在核心交换机 L1 和 L2 上配置 NAT和策略路由。
172.17.16.0/21、172.17.24.0/21和172.17.32.0/21是校园网部地址,其中172.17.160/21
为办公图书楼网络、络; 202.110.33.0/24 设备的口 ip 地址为172.17.24.0/21.为教学实训楼网络、
表示 ISP 的地址, 101.220.22.0/24
172.17.0.1/30,cernet出口设备口
172.17.32.0/21为学生宿舍楼网
表示 cernet公网地址,ISP出口
ip 地址为 172.17.1.1/30。、
核心交换机上的配置:
!配置校园网访问教育网资源的访问控制列表
access-list 110 permit ip 172.17.16.0 0.0.7.255 any
access-list 110 permit ip 172.17.24.0 0.0.7.255 any
access-list 110 deny ip any any
!配置基于所有教育网的国站点(免费流量)的访问控制列表
access-list 112 permit ip any 61.140.0.0 252.252.0.0
access-list 112 permit ip any 61.149.0.0 252.255.0.0
... ...
access-list 112 permit ip any 211.152.0.0 252.255.128.0
access-list 112 permit ip any 211.167.64.0 252.255.192.0
access-list 112 permit ip any 211.167.128.0 252.255.224.0
access-list 112 permit ip any 21 1.167.192.0 252.255.192.0
access-list 112 deny ip any any
!配置策略路由,特定网段的所有流量都经由 cernet 出口设备到教育网,其它的流量经 ISP 出口设备到Internet
route-map policy1 permit 10!定义策略路由 policy1 ,用于实现负载分担和备份
match ip address 110 !匹配访问列表110,办公图书楼以及教学实训楼流量
match ip address 112 !同时匹配列表112,目标地址为教育网免费资源
set ip nest-hop 172.17.2.1 !设置下一跳为 171.17.2.1,即 cernet 出口设备与cat4500E-1 的连接口
set ip default next-hop 172.17.0.1 !如果 cat4500E-1和 cernet 出口设备之间的链路down 掉了 , 就使用默认的下一跳 , 也就是 ISP 出口设备
route-map policy1 permit 20!不满足序列号 10 规则的,就匹配序列号20 规则
set ip next –hop 172.17.0.1 !除办公图书楼、教学实训楼外的流量, 则下一跳为 ISP 出口设备
set ip default next-hop 172.17.2.1 !如果 cat4500E-1和 ISP 出口设备之间的链路 down 掉了,就使用默认的下一跳,也就是cernet出口设备
!完全保证没有非授权流量从 Cernet 流出,应当把中国教育科研网的免费地址访问控制列表(即上文中的access – list 112访问控制列表)应用连接到cernet出口设备的端口。
Ip access-group 112
! 将提供负载均衡和备份的路由策略应用于cat4500E-1的网入接口。
Ip policy route-map policy1
( 2) ISP 出口设备配置:配置ISP 出口设备与核心交换机cat4500E-1连接接口f0/0,与核心交换机cat4500E-2连接接口f0/1,与 ISP 设备连接接口为s0/0 。配置如下:
interface f0/0
ip address 172.17.0.1 255.255.255.252
ip nat inside
ip nat pool my-isp 202.110.33.10 202.110.33.40 !
设置对外访问地址
ip nat inside source route-map ISP-a pool my-isp overload
access-list 111 permit ip 172.17.0.0 0.0.255.255 any!指定NAT围
route-map ISP-a permit 10 !源地址为局域网所有地址且匹配s0/0口路由的策略
match ip address 111
match interface s0/0
interface f0/1
ip address 172.17.3.1 255.255.255.252
ip nat inside
interface s0/0
ip address 202.110.33.1 255.255.255.252
ip nat outside
ip route 0.0.0.0 0.0.0.0 202.110.33.2 !配置默认路由
( 3)cernet出口设备配置。配置cernet出口设备与核心交换机cat4500E-1连接接口f0/1 ,与核心交换机cat4500E-2连接接口f0/0 。配置如下:
interface f0/0
ip address 172.17.1.1 255.255.255.252
interface f0/1
ip address 172.17.2.2 255.255.255.252
ip nat inside
ip nat pool my-edu 101.220.22.20 101.220.22.30 !设置对外访问地址
ip nat inside source route-map cernet-a pool my-edu overload
access-list 110 permit ip 172.17.16.0 0.0.7.255 any
access-list 110 permit ip 172.17.24.0 0.0.7.255 any
access-list 110 deny ip any any
access-list 112 permit ip any 61.140.0.0 255.252.0.0
access-list 112 permit ip any 61.149.0.0 255.252.0.0
... ...
access-list 112 permit ip any 211.152.0.0 255.252.128.0
access-list 112 permit ip any 211.67.64.0 255.252.192.0
access-list 112 permit ip any 211.167.128.0 255.252.224.0
access-list 112 permit ip any 211.167.192.0 255.252.192.0
access-list 112 permit ip any any
4.5 、网络管理设计
1.基于 Telnet/SSH 的远程登录管理
交换机的管理方式基本分为两种:带管理和带外管理。Telnet 协议是 TCP/IP 协
议族中的一员,是 Internet 远程登录服务的标准协议和主要方式。SSH( Secure
Shell )为建立在应用层和传输层基础上的安全协议。
2.基于 SNMP的网络管理
SNMP可做的工作很多,比如以下几类:
以图表的方式显示路由器/ 交换机的带宽使用情况,可以按端口,数据流向等分类。
以图形方式显示网络错误( 比如 CRC错误 ).
某个端口出现问题时可以发送警告信息给管理员。
3.交换机集群管理
交换机集群技术可以将分布在不同地理围的交换机逻辑地组合到一起,可以进行统
一的管理。
4镜像技术及应用
镜像技术是把交换机的一个或多个端口(或 VLAN)的流量完全复制一份,从另外一个端口(目的端口)发出去,以便网络管理人员从目的端口通过分析源端口的流量来实现对网络的监听。
镜像的作用主要是为了给某种网络分析器提供网络数据流。它既可以实现一个
VLAN中若干个源端口向一个监控端口镜像数据,也可以从若干个VLAN向一个监控端口镜像数据。源端口的E0/0/2~5号端口上流转的所有数据均被镜像至E0/015 号监控端口,而数据分析设备通过监控端口收到了所有来自E0/0/2~5上号端口的数据,如下图所示:
5.Qos 及配置管理
QoS(服务质量)是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种
技术。在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要 Qos,但是对关键应
用和多媒体应用就十分必要。当网络过载或阻塞时, QoS能确保重要业务量不延迟或丢弃,同时保
证网络的高速运行。
通过本任务的学习和技能训练,我们应该能规划设计网络中的网络中的主要设备的网络管理方法,理解和掌握网络中的设备的支持,Telnet/SSH 远程管理的配置,基于SNMP网络管理协议的配置,交换机集群管理的配置等,并了解端口镜像,QoS的用用及配置管理。