福建对外经济贸易职业技术学院校园宿舍宽带项目建议书.docx
《福建对外经济贸易职业技术学院校园宿舍宽带项目建议书.docx》由会员分享,可在线阅读,更多相关《福建对外经济贸易职业技术学院校园宿舍宽带项目建议书.docx(14页珍藏版)》请在冰点文库上搜索。
福建对外经济贸易职业技术学院校园宿舍宽带项目建议书
福建对外经济贸易职业技术学院校园宿舍宽带项目建议书
2015年6月
一、前言
1.1.背景
信息化、网络化、数字化的校园是特色鲜明高水平大学的基本要求。
特色鲜明的高水平大学不仅体现在教师素质高,学术大师汇聚,科学研究处于国际前沿等方面,校园信息化程度也是衡量一个大学发展水平的重要方面。
带宽通畅的网络主干、快捷方便的上网方式、丰富翔实的信息资源共同形成一个优良的教学、科研、管理和服务网络环境,是特色鲜明的高水平大学必须具备的重要支撑条件。
1.2.项目目标
通过对校园网进行全面升级、改造,将校园网建成一套稳定的、安全的、易于管理维护的,能够充分体现智能、绿色等当前信息技术最前沿的综合网络系统,并为校园一卡通提供可靠稳定的网络通道。
本网络改造技术方案尽可能面对未来应用的发展,并充分利用先进的技术手段和管理手段,实现对大规模物理网络的灵活调用;同时,先进的基础架构能对不断扩容的要求作出灵活响应,并且保持管理的一致性,为本校及各合作院校提供各种应用及服务,最终实现网络资源优化和整合。
1.3.建设需求
对福建对外经济贸易职业技术学院的校园宿舍宽带项目网络建设需求如下:
1、学生上网可溯源,做到安全可控,需要增加上网行为管理设备;
2、出口需要增加万兆防火墙,作为安全防护,防止网络攻击。
3、保持校园网学生原来拨号上网方式不变,学生可以直接访问校园网,需在校园核心机房部署1台BARS设备,作为认证终结。
二、网络设计方案
2.1.设计原则
●实用性和先进性
以“投资合理、实先进用、全面考虑、立足目前、顾及发展”为原则。
不盲目追求最省钱,而更应重视高的性能价格比;不盲目追求最大、最全,更要重视最实用、最好用;不盲目追求超前,更应重视业务发展的需要。
●经济性和投资保护
应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最大值。
能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。
●开放性和互连性
所采用的设备代表现今技术发展的方向,并且设备采用成熟的技术,在业务特性上具有一定前瞻性,既反映当今先进水平,同时又为今后发展留有空间,能够承载和交换各种信息。
系统所有设备在业务功能支持上具有可继承、可广泛扩展的特性,设备在硬件上支持VLAN、ACL、QoS、组播等常用的各种业务功能,并可通过升级软件实现新的业务特性扩展。
●灵活性和可扩展性
计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据校方网络的不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。
具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。
系统设计充分考虑未来网络发展,留有充分的扩充余量,选用设备为模块化设计,所需功能可灵活配置,便于更新扩充,核心设备、骨干设备在系统结构、产品系列、交换容量与处理能力等方面均具有升级换代的能力,这种扩充不仅能充分保护原有资源,而且具有较高的性能价格比。
●可靠性和可管理性
系统在设计上借鉴国内外先进系统的经验,采用成熟技术,保证系统可靠运行,在系统的架构上也充分考虑将来的冗余扩展,当主系统出现故障时,能实施在线故障恢复,系统能做到自动故障切换立即投入运行,而不会造成任何损失。
为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。
要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。
在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全等技术措施提高整个网络系统的安全可靠性。
在整个网络中所有的网络交换机都支持SNMP协议,可以通过网络管理系统软件进行管理。
使用SNMP协议对网络上所有支持SNMP的设备、网络的所有IP节点、网络拓扑结构和连接实施监控,可以对交换机和路由器进行管理。
2.2.依据规范与标准
计算机网络系统设计依据的标准和规范如下:
●GB/Z15629.1-2000信息技术系统间远程通信和信息交换局域网和城域网特定要求第1部分:
局域网标准综述
●GB/T5271.25-2000信息技术词汇第25部分:
局域网
●GB/T15629.5-1996信息技术局域网和城域网第5部分:
令牌环访问方法和物理层规范
●GB/T15629.2-1995信息处理系统局域网第2部分:
逻辑链路控制
●GB15629.11-2003信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:
无线局域网媒体访问控制和物理层规范
●《信息技术互连国际标准》(ISO/IEC11801-2002)
●《信息技术、软件包质量要求和测试》(GB/T17544-1998)
●以太网标准、快速以太网标准、千兆以太网、万兆以太网标准(IEEE802.3/802.3u/802.3ab、802.3z/802.ae、802.ak、802.an)
●ITIL标准及ISO/IEC20000认证
●IEEESNMPv1/V2/V3、RMON、MIB等标准
●《国家信息化领导小组关于我国电子政务建设指导意见》(中办发〔2002〕17号);
●《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号);
●《中共中央办公厅、国务院办公厅转发〈国家信息化领导小组关于推进国家电子政务网络建设的意见〉的通知》(中办发〔2006〕18号);
2.3.网络总体设计
学院宿舍区网络拓扑规划如下:
1.整个宿舍区网络接入保持不变,采用ONU到楼层,ONU汇聚至机房的OLT
2.OLT汇聚至核心机房,在核心机房出口部署1台BRAS,作为拨号认证网关,学生认证完毕后,可直接访问内网或者互联网。
3.出口部署一台万兆防火墙来防范外网对内网的攻击。
4.部署一台上网行为设备对网络的上网行为进行业务识别与带宽控制,并进行上网行为的记录审计,管控。
2.4.PPPOE认证网关(BARS设备)
本方案中BRAS设备采用核心路由器,采用业界先进的交换架构,采用ComwareV7网络操作系统,提供丰富的业务特性和强大的自愈功能,可广泛应用于行业IP专网核心层和汇聚层以及运营商网络MSE等网络位置。
BRAS设备参数要求:
设备架构
支持主控板、交换网板、业务板完全物理分离,提供设备面板图并指出对应的主控板、交换网板和业务板槽位,支持独立的交换网板4个。
支持母板+子卡的结构,同一块母板上应可同时混插POS接口、GE接口以提高接口的利用率;
支持母板+子卡的结构,同一块母板上应可同时混插POS接口、GE接口以提高接口的利用率;
业务插槽数
整机框全物理尺寸的业务槽位数4,不含主控、交换网板槽位,非子卡槽位。
交换容量
18.14Tbps
整机包转发能力
2880Mpps
关键部件冗余
主控、交换网板、电源等关键部件冗余配置
路由协议
支持RIP、OSPF、BGP-4、IS-IS等路由协议
链路层协议
支持PPP、MP、HDLC等链路层协议
支持ETHERNET、MSTP等链路层协议
MPLS
支持分布式L3MPLSVPN
支持跨域MPLSVPN(Option1/2/3)
组播VPN
配置MPLSVPN组播功能板卡或license
虚拟化
支持N:
1虚拟化。
支持将四台物理设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合。
实配虚拟化功能板卡或license。
GREVPN
支持GRE。
为保证性能,本次要求实配VPN功能板卡或license,
Netstream
硬件支持分布式Netstream功能,实配支持NetStream功能license。
NAT
硬件支持分布式NAT功能,实配NAT功能板卡或license
支持EasyIP、静态NAT转换、动态NAT转换等多种方式;支持NAT多实例、VPNNAT、丰富的NATALG、NAT日志与用户行为审计等功能
接口类型
支持10GE、100GE、155M/622M/2.5G/10GPOS、155M/622MATM、E1接口、155M/622MCPOS、RPR等广域网接口。
多业务扩展能力
支持与路由器一体化的防火墙、IPS独立硬件业务插卡。
电源系统
支持内置交流电源
2.5.出口安全设计
出口安全,将内外网进行有效的隔离,防护外部对内部病毒攻击、入侵攻击、拒绝服务攻击等危害行为、可以基于多链路的负载均衡,并且可以针对出口业务流量实现精细化管理,实现保障关键业务,限制或禁止非关键业务,及保障外部对内部发布的门户网站的快速访问。
在出口处部署一台万兆防火墙
>>>万兆防火墙产品规格
硬件架构
采用64位多核高性能处理器和高速存储器
主控模块内存≥4G
U及2U以下盒式设备
支持单板类型
24个千兆+6个万兆接口
端口要求
12个千兆光口+12个千兆电口+4个万兆端口
整机最大可扩展接口数量48GE+10*10GE
产品性能
最大并发连接数400万
每秒新建连接数15万
整机吞吐量30Gbps
可靠性要求
支持VRRP和跨设备的双机热备,实现负载分担和业务备份;支持IPSecVPN的IKE状态同步。
基本功能
支持安全区域管理,可基于接口、VLAN划分安全区域
ASPF状态检查
支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤,支持时间段安全策略设置。
支持虚拟防火墙技术,虚拟防火墙数量256个
支持P2P限流功能
VPN支持:
IPSecVPN、GREVPN;
内置IPSecVPN硬件加密芯片
支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志
支持流量监控日志
支持二进制格式日志、支持用户行为流日志
必须支持一对一、地址池等NAT方式
必须支持多种应用协议,如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT的NATALG功能
支持一个公网IP地址NAT并发100万连接
支持策略NATALG功能
支持策略NAT功能
支持静态路由、RIPv1/2、OSPF、BGP、策略路由等
支持应用层过滤,必须支持JavaBlocking、ActiveX过滤,支持FTP协议深度检测,支持FTP命令字过滤,支持URL过滤
能够防范DOS/DDOS攻击:
Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、SYNFlood、ICMPFlood、UDPFlood、ARP欺骗、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范
部署模式
支持路由模式、透明模式和混杂模式
电源
采用模块化电源,支持交流、直流电源两种模式
配套管理
支持SNMPv1、SNMPv2C、SNMPv3,
支持CONSOLE、TELNET、SSHV1.5管理方式
支持NTP时间同步
2.6.上网行为管理
上网行为管理通过接入出口设备等相互联动实现校园网的整体安全,并且与准入认证系统实现无缝对接,实现实名制的上网行为管理、审计、记录。
符合公安部82号令,实名制上网行为审计。
并配置一台服务器用于备份存放ACG上的日志文件。
设备能对网络中的网络社区、P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。
利用智能流控、智能阻断、智能路由等技术,配合创新的社交网络行为管理功能、清晰易管理日志等功能,可以提供业界最全面、完善的上网行为管理解决方案。
从而保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计,为用户全面了解网络应用模型和流量趋势,优化其带宽资源,开展各项业务提供有力的支撑。
>>>上网行为管理设备产品规格
产品结构
机架式独立硬件设备,标准2U机箱,系统硬件为全内置封闭式结构,稳定可靠,加电即可运行,启动过程无须人工干预。
多核架构设计,CPU核数目8个,不允许采用X86架构
内置冗余电源,最大功率300W;内置Bypass模块,在设备断电、重启时,可自动切换到Bypass状态,当设备恢复时,可自动切换回工作状态
接口
业务口:
4个GE(光电可选);
最大可扩展至16个GE(光电可选)或4个GE(光电可选)+12万兆接口
管理口:
1个10/100M自适应端口
扩展插槽3个,必须可同时支持千兆光电和万兆光接口模块
存储介质
实配1T硬盘,实现本地日志存储
网络吞吐量
10Gbps;
内存
8G;
最大在线用户数
10000
部署模式
支持路由模式、透明(网桥)模式、混合模式;
路由支持
支持静态路由、策略路由、RIP、OSPF、ISP路由,其中ISP路由支持自定义,并可提供基于应用的策略路由;
链路聚合
透明、路由模式下支持将多条链路带宽进行捆绑;
3G支持
支持3G扩展,支持电信、联通等主流3G网卡。
支持3G接口的常在线和按需上线模式,并支持在3G接口上运行IPSecVPN;
应用协议识别
支持主流P2P、IM、在线视频、网络游戏、网络炒股等应用识别;
支持BYOD特征库,可识别ios版和安卓版移动互联网软件如微博、微信等特征;
支持基于IP、端口等自定义协议服务;
应用特征库可提供在线升级和手动升级
URL过滤
内置URL分类库,支持约100个URL分类,URL库可在线升级
支持自定义URL过滤,并支持URL的模糊匹配;
可广泛识别恶意网站、违法网站;
行为分析与审计
支持自定义关键字对象,在应用控制的时候可选择“包含”、“不包含”、“等于”、“不等于”四种匹配模式,匹配类型包含关键字和数字;
支持即时通讯应用管控的精细化管理,可管控“位置分享”、“朋友圈”、“附近的人”、“朋友圈”、“摇一摇”、“漂流瓶”、“收发文件”、“收发消息”、“视频语音”、“登陆注销”等行为;
支持P2P应用管控的精细化管理,可管控“下载”、“代理”、“Kad网络连接”、“Ed2k网络连接”、“UPnP协议”、“DHT网络连接”、“连接请求”等行为;
支持网络社区应用管控的精细化管理,可管控“举报”、“收藏”、“私信”、“@”、“赞”、“删除”、“搜索”、“关注”、“转发”、“评论”、“发表”、“注销”、“登陆”等行为;
支持股票应用的行情和交易特征,并可以将股票软件的行情和交易进行区分管控;
支持收集流量日志,记录IP地址、应用、上下行流量、总流量、产生时间等详细信息;
支持收集网站访问日志,记录用户所有访问网站行为;支持收集搜索引擎日志,记录用户的搜索内容;支持收集IM通讯软件日志,记录用户登陆、注销、收发消息、收发文件等行为;支持收集邮件日志,记录邮件发件人、收件人、主题、正文、附件等信息;
流量分析
支持连续自动识别及自动分类基于7层网络流量;
支持实时和历史监控各链路上行/下行流量,带宽,在线用户数,TOPN用户/应用深度流量分析;
能够查看指定时间段内、指定用户/用户组/应用/应用组的带宽、流量、连接数;
支持应用、用户查看的深度查看,可查看源/目的地址,协议类型、端口号、并将应用与用户深度关联;
安全功能
支持基于接口、安全域、IP地址、用户、应用、服务、时间等元素的安全策略,并在同一条安全策略中集成应用过滤、URL过滤、IPSecVPN功能;
实配标准的IPSecVPN功能,支持NAT穿越、DPD、动态地址协商、域名协商,支持野蛮模式、主模式,支持AES、DES、3DES等主流算法,支持HubSpoke组网及VPN隧道状态监控;
支持端口扫描防护、IP扫描防护、防护pingofdeath、land-base、teardrop、winnuke、smurf等异常包攻击、防SYN/UDP/ICMP/DNSflood攻击、攻击黑名单等功能;
流量管理
支持通道化的QoS,支持基于源地址、用户、服务、应用、时间进行带宽控制,并支持配置保障带宽、限制带宽、带宽借用、每IP带宽、带宽优先级等QoS动作,时间选择支持基于日计划、周计划、单次计划等。
支持4级层次化QoS、支持多级用户/用户组嵌套,;
支持用户(用户组)+应用(应用组)+时间等条件的组合进行多线路带宽管理;
支持进行IP、整机会话限制;
WEBPotal认证
支持WEBPortal认证功能,支持本地认证、Radius认证、LDAP认证,支持选择同一用户是否允许在多个客户端同时登陆,支持配置强制重新认证间隔,支持配置认证通过后重定向URL;
双机热备
支持双机热备及会话同步,支持同步配置、运行状态,支持配置抢占模式和抢占延时,支持配置HA监控接口
配置管理
支持中文Web界面管理及命令行管理,支持基于SSL协议的远程安全管理;
系统日志
支持本地日志记录和远程日志输出;
需提供专用的日志审计管理软件;