校园网络改造工程招标说明书
关于发布“校园网络改造工程招标说明书”的请示
教育产业公司:
据集团公司招投标工作规定及三原教产批【2012】16号文件精神,三原中学拟实施校园网络改造公开招标,现初拟“校园网络改造工程招标说明书”,是否公开发布,请予批示!
附:校园网络改造工程招标说明书
校园网络升级改造工程招标说明书
一、网络改造工程概况
1、工程名称:校园网络升级改造工程
2、工程内容:网络设计、设备材料供应、系统集成、安装、调试、运行、验收、竣工验收资料、技术服务、售后服务等内容。
3、网络系统集成的主要内容
投标人须承担对所采购和原有网络设备的整体网络集成和今后5年的技术支持服务工作。负责完成网络系统实施的分析、设计、集成、安装、调试等工作。
网络设备连接
投标人应将新采购的和现有的网络设备进行连接,实现与原有网络设备的互联互
通和协议策略的一致性。
IP地址规划
对局域网IP地址使用进行优化,达到合理、科学的目的。对IP地址分配的原则
为:由学校技术部门提供整体规划,按规划进行设置网段。
VLAN划分
制定VLAN划分策略,规划并实施VLAN划分,实现基于端口或mac 等的VLAN
划分及MAC地址绑定。
网络安全
提供安全策略方案,通过设计访问控制列表(ACL)实现VLAN和VLAN之间的
安全控制。其中包括原有设备和新购设备的配置。
网络管理配置
实现对所采购和原有网络交换机设备的SNMP配置,以支持网络管理。
路由协议配置
确定路由策略,实现路由配置
QOS 配置
为保证视频系统的效果,完成主交换机上QOS相关配置。
人员培训
在项目实施过程中,现场的实施工程师必须结合用户的实际网络环境对用户方的
技术人员进行现场技术培训。
二、网络改造技术质量要求
1、按学校网络改造方案实施主要配件、附属配件、管材、线材等辅材购置安装,及效果调试。
2、所用网络配件、辅材材质优质,性能良好,正规厂家品牌,符合国家相关标准。
3、主要设备、辅材安装规范、焊接(连接)安全可靠。
4、严格按学校改造方案实施网络改造作业。
三、工程投标报价
1、按招标文件提供的项目清单、配置质量要求、规格型号,品牌实施报价。
2、每一项目必须报单价和合价,并报其综合费、辅材费、人工费、机械费之单价和合价等。
3、汇总单项报价,为投标总价。
四、工程价款结算及支付方式
1、无预付款。
2、设备购置按货物到校安装验收合格后双方办理结算。
3、竣工验收合格交付使用后30天内支付总价95%,余5%作质保金,在1年质保期结束无质量问题时付清余款。
五、投标文件内容及要求
1、投标文件须有以下内容
(1)、投标承诺书:对网络改造工程项目质量、工期、销售价优惠、付款方式等作出承诺。
(2)、销售施工企业投标,须提供资质证复印件、法定代表人投标不在场时,其委托代理
人须提供授权书。
(3)、投标报价表,并单个项目汇总。
(4)、投标人近期业绩简介。
2、投标要求:
1)投标文件原则上用A4纸张,四号宋体字,要求文字清楚。
2)以上投标文件的四个方面内容,每个必须盖投标单位公章和法定代表人签章;否则无效,为废标。
3)全部投标文件均装入一个纸袋并密封盖章。
六、投标时间及地点
投标截止时间:2012年6月16日17:00
投标地点:成都市三原外国语学校
联系人:耿老师梁老师
联系电话:028-******** 159********
七、开标评标中标
2012年6月21日,由招标单位领导及相关人员在集团公司、产业公司的监督下开标和评标,原则上按低价中标并参照投标人其他条件确定中标人。以文书或电话通知中标人为准。
八、中标人在得到中标通知5天内与投标单位签定施工合同
附件:成都市三原外国语学校网络改造方案
成都市三原外国语学校
2012年6月8日
校长批示:
附件二:
成都市三原外国语学校网络升级改造方案
一、升级改造背景
(1)计算机设备较多,接入校园网计算机大约1000台左右,其中,通过WIFI接入校园网数目也在逐步增加。
(2)学校教学办公区接入基本是采用家用的无线路由器,有些办公区域wifi接入集中较多,经常造成数据拥塞,经常出现网络访问的缓慢和断网现象,同时信道相互重叠,影响无线传输。无线网络管理安全性差,大部分网络带宽都被未经允许WIFI设备(学生所用手机、Ipad等)所占用,无线网络维护成本高,不便于集中管理。
(3)三原学校网络以电信40M光纤接入科技楼三楼中心机房,以此为中心分流到教师苑1-8幢楼宇(156个信息结点)、教师周转房(74个信息结点)、学生一二号楼(138个信息结点)、中学办公区(184个信息结点)、三个学生机房(180个信息结点);同时,光纤接入3-50M教育专网,各处室部门工作人员电脑在使用,现在采用负载均衡分配上网流量。据网络监测统计,在每天下午2:30-5:00,晚上8:30-10:30,有时也出现在上午10:30-12:30时段,时常出现带宽满载,办公及家用网速缓慢,网络使用者意见大。
(4)在学校校园网上承载多种系统:互联网系统、校财务系统、校园一卡通系统、FTP 文件服务系统、WEB教学智慧库上传下载系统、教育专网。
(5)学校现有网络由飞塔路由器(Fortanet300A UTM)处理内网和外网之间的数据交换,同时还为内网中不同vlan的用户之间提供数据交换的功能,同时对用户之间的访问权限进行控制,是网络的核心,下接了一台华为三层交换机作为汇聚交换机。现各楼宇主要通过光纤传输信号,到各接入点主要采用普通交换机进行交换信息,在高峰时期上网人数达到700人之多,由于下层全部采用的是不同厂商的非网管交换机,质量也良莠不齐,缺乏广播流量控制、ARP病毒抑制、环路抑制、广播流量控制等必要的安全控制措施,高峰期时常导致网络故障发生。造成了网络访问的缓慢和通信问题。
(6)有的教室和办公室主体结构是大开间布局,地面和墙壁已经施工完毕,若进行网络应用改造,埋设缆线工作量巨大,而且老师办公室每学年都有变化,导致信息点的放置也不能确定,这样,构建一个有线局域网络就会面对各种不便。
(7)办公室放置家庭无线路由器,不便于管理,易丢失;无线网络覆盖范围小,几乎只能局限在本房间,要覆盖整个教学区,会增投很多此设备,同时会造成相互干扰;此设备最多允许登录10多个用户,超过一定数量后,上网慢,甚至无法登录。由于不能集中管理,学生利用手机wifi接入校园网较多,致使流量带宽消耗大和校园网络安全受到威胁。
(8)学校网络设备很多是2002年前时购置的,随着接入计算机数增加,采购设备品牌和使用时间不统一,有些核心设备老化严重,造成数据传输不稳定。
(9)中心机房UPS电源断电后不能起保护和时延作用,停电后学校WEB服务器和集团公司服务器不能使用。
二、网络升级改造方案
(一)、教学区有线网络部分改造
(1)将网络主干的交换机换成可网管的交换机(华为QS2326TP-SI),将网络设计成核心和接入两个部分。核心交换机采用三层交换机(华为QS5700-24TP-PWR-SI),将内网的可网管数据交换机全部转移到核心交换机上,同时可以在三层交换机上和可网管的交换机进行划分vlan,并进行访问控制,大大提高网络的性能。
(2)将行政楼、教学楼、学生一二号楼、教师苑、教师周转房的交换机全部换成可网管带安全控制功能的交换机(华为QS2326TP-SI),部分区域可以将原有的交换机到下面做接入,在可网管交换机上可以对其进行相关安全控制和VLAN划分,这样即可保证网络的安全性又将设备充分利用。
(3)把财务办公、教育专网、校园一卡通、教学办公通过VLAN划分进行业务隔离,保障一卡通系统、财务系统、教育专网、办公系统的稳定和安全。
(二)、教学区无线网络部分改造
对于无线局域网来说,要考虑无线网络的覆盖问题,另一方面也要考虑无线网络安全管理问题。校园局域网一般具有较大的规模,不是无线产品的简单组合,而是一种整体的校园
网络系统。考虑到日后扩展的需要,校园无线局域网系统应尽量保证高吞吐量、安全的移动性以及与有线网络的无缝结合。
现有一栋七单元五层教学大楼和行政办公大楼,要求:每一层单独接入;用户之间安全访问隔离;无线用户使用笔记本、手持终端(PDA、PAD、手机)接入该无线网络;保证每一层无线覆盖的信号效果;实现该无线网络的可管理、可监控。
采用无线交换机集中部署
选用D-Link DWS-3024二层千兆无线交换机,智能的,安全的,并且可管理和升级的一体化有线/无线局域网交换模式。通过combo SFP,可选10G连接的开放式插槽1以及基于以太网供电和冗余电源(RPS),这些千兆无线交换机使企业能轻易的升级到下一代802.11n无线局域网,无线设备的应用简便并且不受物理位置的影响,对安全的无线移动性和策略的执行提供集中管理,DWS-3024千兆无线交换机是巩固安全,管理带宽和维护整个无线网络智能化的核心单元。除了在用户漫游时监视用户身份和维持他们的认证外,这些无线交换机还能配置和控制无线接入点的其他方面,包括RF信道和电源管理,无线流量分段;AP漫游和负载平衡,非法AP检测和AP访问安全。
针对配线房的分布式应用,每个无线交换机能支持最多48个无线接入点。AP可以直接与无线交换机端口连接,或者通过局域网交换机间接与它连接。利用在每个端口集成802.23af PoE,这些交换机允许被连接的AP安放在用AC电源供电的设备难以访问的地方。硬件预先支持下一代更高速的802.11n无线标准设备千兆传输速率。
关于电源管理,DWS-3024/DWS-3026允许管理员设置AP的传送输出电源以满足个别国家的规定,并且可在需要时远程重新启动AP。
通过一个集中管理平台,网络维护和配置过程变得更加有效率。如果有任何一个接入点无法访问,管理员可以立刻识别出无法访问的AP所在位置并且立即用另外一个AP替换它。DWS-3024/交换机将自动使用之前AP的相同配置对新的AP进行设置。
除了进行增强的二层转发,DWS-3024/DWS-3026也提供三层和四层服务以及身份跟踪功能。通过集中RF策略,最少信道使用的自动选择和AP负载平衡,DWS-3024/DWS-3026能有效的管理无线带宽以优化WLAN流量。得益于交换机间漫游,网间漫游和AP到交换机的千
兆速率传送,使得不同AP间能迅速漫游。这些交换机也提供一些弹性功能,比如冗余负载分配千兆连接,802.1q VLAN流量分段和致命IGMP侦测,以便支持IP多播数据流DWS-3024提供全面的网络安全特性,包括集成的基于MAC地址认证,入侵检测,AAA Radius服务器等。
D-LINK在DWS-3024无线交换机系统中实现了一套完整的端到端分层式安全模式。每个独立的无线子网都可以有自己独立的安全机制,例如:为访客无线网可以配置较低或开放的安全策略,而内部员工网配置高强度的安全策略。
身份验证:将确保只有授权用户和设备才能访问网络,无线交换机提供了一系列身份验证机制,以支持各种安全要求。
无线交换机AP的三层部署方式
DWL-3500AP采用PoE供电,选择DWS-3024无线交换机就近接入。AP在加电后,AP
发送Hello广播包试图发现交换机,因为无线交换机都处在汇聚核心层,不在同一个广播域,AP在指定时间内没有收到无线交换机回应的Parent数据包,AP就会发起DHCP Discover数据包。DHCP Server回应DHCP Offer数据包,里面含有AP的地址、掩码、网关,另外也含有Wireless Switch地址列表,AP选择合适的Wireless Switch 去Adopt, 无线交换机把AP需要的配置发送给AP。这样无线交换机和AP之间的通信就正常建立起来。
由于DHCP Server和AP也不在同一个广播域内,需要在汇聚层交换机上启用DHCP Relay 功能,将DHCP广播包转成发往DHCP Server的单播包。
DWS-3024是全千兆口,建议将光纤端口用于上连端口,接入企业网络,其他端口直接用于与DWL-3500AP进行通信。
DWS-3024上为移动计算机和测试PC设置统一的办公用WLAN,例如为media,所有用户都使用这个WLAN,并且使用相同的Windows登录的用户名和口令使用WLAN网络。无线交换机根据Windows上的Internet Authentication Server返回的vlan ID为用户动态分配VLAN,从而区分不同的用户。
在一个无线交换机下的两个AP下进行切换。虽然AP部署在不同的IP网段里,但是由于用户的相关信息都在同一个无线交换机里,在切换时IP地址保持不变,因此可以实现快速无缝切换。
无线频道分布图
由于AP较多,应注意AP的信道规划。相邻3个区域内要采用完全不干扰的频段,如信道1、6、11。
因为实际施工中,建筑材料、办公环境差异很大,故对信号影响也很大,如果实测信号穿透情况良好,方案可以进一步优化,每层只需要放置更少数量的AP即可。AP的数量视现场实际勘测情况而定。
为了保障无线网络系统处于最佳运营状态。因此,为了保证在发生突发事件的情况下系统的正常运行,设计中需规划一定的冗余数量的AP以及无线信号的冗余。
DWL-3500AP在实际运用中有多种选择,一般可以选用外置3db或5db的全向天线,在全向天线不能覆盖需要的位置时,可以选用合适的定向天线达到覆盖的目的。
(三)、收费区(教师苑和周转房)网络部分改造
将楼层的交换机换成可网管的交换机(华为QS2326TP-SI),将网络设计成核心和接入两个部分。核心交换机采用三层交换机(华为QS5700-24TP-AC-SI),将内网的可网管数据交换机全部转移到核心交换机上,同时可以在三层交换机上和可网管的交换机进行划分vlan,并进行访问控制,大大提高网络的性能。
收费区进行AAA认证后才能接入网络,要求把各楼道交换机进行VLAN划分和MAC绑定,进行ACL策略和安全设置。要求把已经损坏集线柜箱进行更换,清理线路与用户门牌号进行一一对应。
(四)、中心机房的升级改造
1、更换一套5KW断电保护24小时的UPS电池。
2、增投一台硬件级流控大师。
3、中心机房是全校网络核心部分,在现有设备上增投一台华为-赛门铁克USG2250UTM 设备,进行路由、安全、流量限制等功能。或为了实现低带宽达到高效果的作用。
4、把所有接入机房光纤(包括到各楼宇光纤、教育专网光纤、电信光纤、视频监控光纤)上架,并进行熔纤整理。
5、预留新修办公楼接入光纤和端口。
6、收费用户要求进行虚拟PPOE拨号接入校园网。
三、校园网络改造须购置设备清单及经费预算
四、校园网络构建后效果
1、满足全校超过千台电脑上网看网页,即时通讯(QQ,MSN)。
2、满足教学楼ABCDEF五层楼全部无线覆盖,所有经过认证后的笔记本电脑或手机均可通过无线上网,并且可以漫游。
3、行政楼无线覆盖,满足行政楼所有笔记本和手机均可无线上网。
4、覆盖全校的四层认证系统,防止未经认证用户联网(收费区+教师区)可选择是否在网络接口层认证,传输层认证,IP层认证,应用层认证。
5、收费区支持ppoe拨号认证(仿电信ISP宽带认证),用户通过宽带连接输入用户名密码联网。
6、无线区支持hotsopt认证(仿移动WIFI认证),无线用户可以通过电脑或手机连接上无线网络,在网页中输入帐号密码进行认证连网。。
7、全校范围流量控制,教师区网段限速+个别IP不限速;收费区按资费提供带宽,带宽可调。
8、支持NAT转换,可以使外网用户访问内部服务器。
9、支持上网行为控制和分时段控制,限制BT下载,禁止高危端口,分时段限速或不限速。
10、支持收费区计费认证,可支持分钟,小时,天,周,月,季,年计费。
11、可网络管理网络设备,设备故障无需亲临现场,网络结构改变可通过网络对接入交换机进行vlan 划分达到,无需重新插拔网线或更换设备。
12、支持在中心机房群发通告到所有已经联网的电脑,无论该PC电脑自身是否存在安全隐患或漏洞或安装杀毒软件及防火墙,只要该电脑联网,查看网页,就收到中心机房传达的通告。