XX学院智慧校园建设项目设计方案.docx

XX学院智慧校园建设项目设计方案目录L总体设计11.1. 系统架构11.2. 总体技术要求3L3.总体建设需求42.建设内容52. 1.数据中心机房53. 2.网络安全设备114. 3.云桌面机房145. 4.教学电脑机房156. 5.智慧课室157. 6.多媒体课室158. 7.智慧党建平台建设169. 8.校园基础网络1610. 9.舆情监测系统2411. 10.综合布线系统2412. 1.光缆工程263 .项目验收方案263. 1.验收要求264. 2.验收内容265. 3.验收交付成果276. 4.到货检验277. 5.系统测试288. 6.初步验收299. 7.竣工验收2910. 8.工程移交314 .基础设备设施建设清单334.1 校园网络建设清单495.主要产品详细技术参数及要求525. 1.校园基础网络526. 2.数据中心机房607. 3.网络安全监测体系648. 4.机房网络安全体系669. 5.智慧党建平台7010. 6.智慧课室7111. 7.多媒体课室7412. 8.云桌面机房和教学电脑机房7813. 9.舆情监测系统81.总体设计1.I.系统架构本期项目XX学院XX校区新建校园网需实现万兆到房间，千兆到桌面的IOG-PON高速网络。校园无线部分采用WIFl6AP设计，宿舍区采用IOG-PONONU无线网的方式；本项目将全光网技术融入教育，将为校园实施教学改革、实现智慧教育目标，提供强大的技术支撑。智慧校园网络架构如图所示，整体架构分为接入层、汇聚层、核心交换层，整体规划包含有线网络及无线网络，网络具备教育网、互联网、潮连校区等专网出口。整体系统架构如下图所示：传缘用例：: 光纤; 其致 :呼脸 rri ;代力上/岂备解.-一；绦合日亳通产惠缙安全态劣至网行为 审计率疑 系垛序知管理VP BP iS患叫吧终蠢我学”徐合Ie y×x分光分光«1<MU W> 畤海刎4AP &出亩&国>5 $1 $下一代防火墙.二做不交蒯匚二至栉, Hv/ E.I .彳 ：BftAS路由 HOL1_ _ ×4EC3 IPPBX *4 ST聚层1女训楼、S H宿金簿分光分光M >Mr.rl cm © q* M防$一加遍Q .，国橙入层 5¥图1系统架构图1.接入层在每个区域内（教室、办公室、宿舍、会议室等房间内）部署校园网C）NU设备，ONU可提供千兆网络接口（可支持POE+供电能力）、POTS语音接口以及WiFi6无线网络覆盖。在办公区、教学区、图书馆、体育馆部署AP设备，提供WiFi6无线网络信号覆盖，满足教学区、办公区内高速无线网络接入需求。在学生宿舍安装支持WiFi6的ONU,为学生宿舍提供无线网络覆盖。1 .汇聚层汇聚层由无源光分发网络组成（ODN），主要包含SPL、FDT.FAT、ATB和光缆等组件，带来汇聚层设备间的空间节省、减少设备间的取电和散热要求。无源分光器在全光网系统中，是ODN组成中核心的器件，属于纯无源物理器件，在OLT和ONU间提供光通道，起着连接OLT和ONU的作用，具有很高的可靠性。本项目采用2:16盒式分光器。2 .核心层核心层即是交换核心，称为骨干交换，处于本核心层的设备称之为核心交换机，它包括核心交换平台的构建。核心层部署校园的核心设备，对接传输设备实现传输网络和IP网络之间的转换，转发各个教学楼和学生宿舍之间的流量，以满足多媒体、关键应用数据的要求，满足日常教学对网络的需求。核心层包括智慧校园的各类服务子系统，它为校园的用户提供统一的系统界面。主要包括面向校园管理类的服务系统、面向教学类的智能应用系统、面向校园生活类的服务系统组成。新建核心交换机、路由器、OLT.防火墙、无线控制器等，为整个校园网提供汇聚交换、出口路由及网络安全防护功能、核心网带宽达到万兆。学校核心层部署的两台核心交换机，连接学校所有的汇聚交换机，承载学校教学办公、学生宿舍以及科研创新和租赁企业的所有业务流量。核心层需要采用全连接树型结构，需要具有高带宽、高转发性能、40GE/100GE多样化的端口接入能力、高可靠性等要求。为了有效提升核心层运行的可靠性，单台核心交换机需要具备主控1+1冗余备份，交换网板N+1冗余，环境监测板、电源和风扇框同样配置冗余且支持热插拔，为了保证设备有效散热正常工作，设备需要采用准后出风风道设计。两台核心交换机采用横向虚拟化技术，将两台交换机从逻辑上整合成一台交换机，实现虚拟化系统主控1+N备份，虚拟化系统中只要保证任意一框的一个主控板运行正常，多框业务即可稳定运行,虚拟化既简化了配置和管理，又提高了网络的可靠性和扩展能力。3 .网络管理区网络管理区是管理网络节点（例如网管系统）的区域。网管系统通过网管协议与和网络设备交互，能够提供配置、管理和运维功能，本期新建一套网管平台，为校园IeT设备提供自动化部署，支持可视化故障诊断、智能容量分析等功能，能有效帮助学校提高运维效率、提升资源使用率、降低运维成本，保障ICT系统稳定运行。4 .安全管理区安全管理区是作为保障整个校园网的安全防护体系，主要由全网行为管理、安全态势感知、终端安全管理等网络安全等级保护设备组成，符合等保2。的要求下，对本项目数据中心机房进行第二级等级保护防护的需求。12总体技术要求1 .本期校园网网络采用PoN技术，将全光网技术融入教育，提供强大的技术支撑；项目建设完成后，需实现万兆到房间，千兆到桌面的高速IOG-Pe）N网络。2 .校园网的办公区无线部分采用WIFI6AP设计，宿舍区无线部分采用带WIFl6的ONU设计。3 .本项目采用全光网(Pc)L)技术方案：提供基于WlFl技术的无线及千兆有线接入的能力，实现有线/无线一体化建设；分光比16,采用一级分光，单分光器最多接入不超过16个ONU,保障每个接入终端拥有高带宽、低时延的使用效果。4 .提供学生上网日志可查、可溯源、可管理，满足校园网络安全管理需求。1.3.总体建设需求序号建设系统建设内容1数据中心机房建设本期项目按照数据中心设计规范(GB50174-2017)规定的电子信息系统机房的技术要求，建设一个安全可靠、舒适实用、节能高效和具有可扩充性的数据中心机房。2网络安全监测体系本项目规划建设一个网络安全监测体系，为校园网络构建集应用、数据、平台、主机、网络、物理等六层安全防护体系和态势感知能力。3机房网络安全体系本项目根据信息安全技术网络安全等级保护基本要求(GB/T22239-2019)的技术要求，按照信息系统的安全保护等级第二级的相关要求，对本项目数据中心机房进行网络安全等级保护加固。4云桌面机房和教学电脑机房本项目规划在新建校区建设4间云桌面机房。每间云桌面机房可容纳人数70人左右；每间机房部署71台云桌面终端，共计部署284台云桌面终端，性能要求能同时承载每间云桌面机房里学生及教师71人访问云桌面，并流畅运行教学软件。5智慧课室建设本项目规划对50人座的66间课室进行智能化建设，每间课室配置1台智慧云屏，实现多媒体教学、校务信息发布、平台集中管控等功能。6多媒体课室建设本项目规划对新校区的8间170人座多媒体课室进行智能化、信息化建设，每间多媒体课室配备智慧大屏、智慧黑板、扩音系统等设备，满足师生日常合班教学需求。7智慧党建平台本项目规划建设一套涵盖党务管理、组织生活管理、党员教育、党建宣传、党群服务、在线投票等党建工作领域业务的软件平台。8校园基础网络本项目按照IOG-PON全光网络架构进行校园网络部署，建设一张高速、安全、稳定、可管、可控的有线无线一体化校园网络。9舆情监测系统本期项目规划建设一个舆情监测系统，实时监测关注的教学及教育行业相关信息，掌握相关工作人员的办事态度、纪律作风等负面信息，对敏感信息自动预警，如发现相关舆情，第一时间发送到相关负责人手中，快速响应，切实提高主动发现、主动研判、主动导控负面舆情的能力。2.建设内容21.数据中心机房本项目中，数据中心机房位于XX校区综合楼4层，机房面积约为60球，规划建设10台网络机柜，2台30KW制冷量列间空调、1台动力电源稳压系统,配置32节200AH电池，后备时长为1小时；同时在机房内设置1台同步显示终端，提供项目整体运行数据的展示查看。1fi721R77电池ffl32 3 CIIOO同步显示终筑机拒机柜机框机能机M列问空调列同?调机柜机机机柜动力电源 校压系统2nn综合楼4F数据中心机房图2数据中心平面布局图2.1 1.装饰装修系统1 .机房装饰需遵循“绿色、环保”的基本原则，满足安全性、可靠性、灵活性、扩展性、美观舒适、经济合理等要求，以及相关建设标准要求，并注重各专业的综合配合协调与衔接和机房工艺环境专业特性的保障。2 .机房装饰工程直接决定了整个数据机房的外观形象，本方案采取明快、现代的设计风格。另外，由于计算机机房在功能方面的特殊性，使得计算机机房的装修设计除了必须遵循美观、实用等一般性原则外，还必须满足机房对环境(包括温湿度、照度、洁净度、电磁屏蔽等)的特殊要求。3 .本机房装饰设计主要包括地面、吊顶、墙面、隔断、门窗以及防尘、防噪、保温等机房整体工艺方面。机房装修主要原则：4 .机房的装饰设计将满足数据中心设计规范GB501742017对计算机机房的洁净度和特殊介质的存放要求。5 .充分考虑各类服务器设备、网络系统、空调系统、动力电源稳压系统等设备安全运行的前提下，达到美观、大方的风格，富有现代感。6 .机房装饰用材选用气密性好、不起尘、易清洁、符合环保要求、在温度和湿度变化作用下变形小、具有表面静电耗散性能的材料，并满足防火、防潮的要求。充分考虑环保因素，有利于工作人员的自身健康。7 .机房内所有材料均为阻燃或难燃材料。2.1.2.供配电系统本工程机房供电系统分为不间断电源系统和市电系统、柴油发电机电源三部分。在设计上，各个系统的控制都采取独立控制方式，这样减少各系统的相互影响。而且在单个系统中出现故障都不会产生对整个系统的影响。一、供电回路(1)动力电源稳压系统回路：机房动力电源稳压系统供电电源经动力电源稳压系统稳频、稳压、调整电压波形后为计算机及其相关网络设备等供电，同时也为动力电源稳压系统电池充电；当遇到市电供电线路断电时，动力电源稳压系统后备电池立即放电，经动力电源稳压系统逆变后给计算机设备不间断供电。(2)市电回路：插座、空调、照明、新风、排烟及其他具有电冲击性及感性和容性的设备使用，对不同相位分配均衡负载。二、双回路冗余供电系统设计根据当前主流服务器、网络设备均采用双电源供电的工作模式，为了提高计算机、网络设备供电系统的可用性，本次网络机房动力电源稳压系统供电到每个机柜均是两个回路，对于大多数双电源负载，则实现了两路供电的冗余保障。机房区域设备采用双路电源冗余供电保证在核心设备其中一个电源模块出现故障，由另一个电源模块承担全部负载，以保障设备的正常运行Q三、供电特性(1)由于计算机设备、网络设备进行数据的实时处理与实时传递，关系重大，所以对电源的质量与可靠性的要求较高。因此对这方面的供电采用动力电源稳压系统，动力电源稳压系统切换具备延时功能，防止市电瞬间闪断。这样既能保证计算机设备的供电质量，又能保证不间断供电Q(2)机房内的其它非计算机专用设备，如机房照明、空调、维修插座等具有一定感性负载的设备，这部分设备通常启动电流较大，易产生高次谐波等冲击脉冲，影响电压的稳定性，导致电压波形畸变，从而影响计算机等设备的安全用电Q对于这部分供电系统设计专用市电回路供电。在整个供配电系统设计中，严格按照“科学合理、技术先进、经济适用”的原则，考虑远期机房电源扩充，给电力供电系统留有相应的冗余量。2.1.3动力电源稳压系统动力电源稳压系统是连接在输入电源和负载之间，为重要负载提供不受电网干扰、稳压、稳频的电力供应的电源设备，在市电掉电后，动力电源稳压系统设备依靠配置的电池可继续给负载提供一段时间的供电。结合机房主机房的面积，本次设计使用模块化动力电源稳压系统主机。主机房配置一套三进三出40KVA动力电源稳压系统，根据目前使用需求，规划建设10个网络机柜，电池配制12V200AH的高性能免维护铅酸蓄电池，1组电池架，每组32节，后备时间1小时。动力电源稳压系统主要供给计算机设备、网络设备、消防照明以及监控中心内的控制设备等，计算机设备包括服务器设备、存储设备等。2.1.4.冷热循环与新风系统一、精密空调系统机房专用空调在选型时，要考虑的热负荷因素很多，包括设备本身发热量，照明发热量，通过缝隙的渗透和新风热负荷。机房内精密空调系统的冷负荷主要包括：1 .设备的冷负荷；2 .照明的冷负荷；3 .外窗的辐射热和窗体传热的冷负荷；4 .外墙和屋顶的传热冷负荷；5 .人体的冷负荷及湿负荷；由于数据中心机房窗户采用不燃板进行二次封闭，顶面、墙面均做保温处理，内部人员数量和流动性都很小，根据相关资料介绍和实际测算，机房内空调的负荷主要来自于其中的设备和照明的发热，约占其负荷总量的7080%,所以为简化计算设计只对设备和照明的发热进行计算，而其它类型负荷只进行适当估算。根据项目建设需求，本期项目数据中心机房建设1个模块化组，10台网络机柜，规划设计2台30KW制冷量的精密空调，一用一备。二、冷热循环系统机房在除模块化机柜的空间外，另外配置1台5匹的循环散热系统，该系统具备来电自启动等功能。三、新风系统为了防止外界灰尘进入机房内，网络机房设计为封闭的区域，与外界没有空气流通，同时需保证机房区对外形成正压，安装新风机可将机房外的空气中的尘埃杂质经过过滤及预处理后再送入机房区Q数据中心设计规范GB50174-2017规定：1 .主机房必须维持一定的正压。主机房与其它房间、走廊间的压差不应小于5Pa,与室外静压差不应小于10Pa。2 .计算机房的新风量应采取下列要求的最大值：3 .满足人均新风量不小于40m3人/小时；4 .满足机房的室内外静压差（7llPa）°根据机房的设计要求和实际情况，综合考虑本机房所需新风区的设计面积、设备数量等因素。网络机房均设计为新风送风区域，新风量800m3小时，以满足新风要求。新风机上电动防火阀需与机房区消防系统联动。21.5.火灾自动报警及气体灭火系统一、火灾自动报警系统本工程消防报警系统设计在机房内安装置感烟、感温探测器。各分区探测器将探测信号送至消防报警控制主机。火灾报警与控制管路采用镀锌电管敷设，采用RVS1.5绝缘导线，消防主机采用市电供电加自备电源两种供电方式，保证机器正常工作，各消防控制区内安装的探测器将探测信号传输给报警控制主机，值班人员根据控制主机上所显示探测器编号、地址，确认该区域是否发生火情，根据相应的情况做出处理，消防报警控制主机通过联动控制模块将报警联动用信号传输至机房电源室市电总配电柜的总空开的分励控制端子，保证电源系统与消防系统的联动功能的实现。二、气体灭火系统根据电子信息机房设计规范要求及机房的实际情况，主机房、电池间设置为一个气体灭火保护区，采用无管网自动灭火装置，灭火药剂采用七氟丙烷无毒纯净气体。该系统使用的灭火剂为七氟丙烷灭火剂，众所周知燃烧进行有三个要素，即火源、氧及可产生链锁反应的可燃物。七氟丙烷灭火机理在于隔绝氧气,中断燃烧链。21.6.防雷接地系统机房所在大楼本身应具有良好的防直击雷保护措施，此次防雷工程设计主要针对本项目数据中心机房部分，按照GB50057-2010建筑物防雷设计规范进行设计，重点考虑因雷击或线路过电压对计算机及其相关设备造成的损坏，进行合理的等电位连接，从而提高整体机房的耐雷电冲击水平。本工程采用联合接地方式。交流接地、安全保护地、直流工作接地、防雷接地、防静电接地、屏蔽接地等公用一组接地装置。主机房、电源室四周用N40*40*4mm角钢做一套抗静电保护地，将计算机设备的金属外壳、电源设备金属外壳、金属地板支架、及金属框架、设施管路就近连接至该保护地，采用线径不小于6mm2,同时与机房安全工作接地、防雷地等以最短距离形成结构相连Q主机房设备区采用30*3mm紫铜排组成等电位接地网络,安全工作接地、防雷地等以最短距离形成结构相连，并用50mm2铜芯线引至大楼联合接地端子。本机房的接地系统为联合接地方式，采用大楼联合接地桩，需检测大楼联合接地桩，接地电阻RW4Q,检测合格后方可使用。2.1.7.动力及环境集中监控系统本项目中，针对微模块动环监控需求，规划建设一套一体化动环系统。微模块综合监控产品，针对小微机房、微模块监控管理而开发，软硬件一体化，涵盖微模块动力环境系统、门禁管理系统、视频管理系统的全部功能，节省管理微模块的配套建设成本，降低多系统运维的难度，轻建设强应用。解决中小型机房无人值守问题。微模块监控对象包括：包括机柜微环境、列间空调，精密列头柜，机房温湿度传感器，漏水，烟感，门磁等。22网络安全设备22L网络安全监测体系通过建设网络安全监测系统，对所有经校园网流转的网络内容进行解析，能够及时阻止内部的计算机通过互联网发生的敏感信息泄露，快速定位追查源头，防止违规事件发生；能够对整个网络及计算机用户上网行为、网络流量进行监控，帮助网络高效、稳定、安全的运行，为校园信息化建设及管理提供有效的技术支撑。2.2.1.L下一代防火墙下一代防火墙具备ACL访问控制，L2-L7层安全防护，病毒过滤，入侵防御（IPS）,僵尸主机检测等能力；产品包含三年WEB应用防护识别库、IPS特征库、僵尸网络防护库、实时漏洞分析识别库和URL&应用识别库更新，保持设备具备检测防御最新威胁的能力。2212资产测绘系统互联网暴露面资产测绘系统基于大网数据能力建设，提供互联网暴露面资产发现和网络空间资产测绘能力。系统完全贴合互联网暴露面治理、漏洞风险管控、重保或者护网行动等应用场景的防守需求Q采用主动探测十大网被动数据的综合分析方案，从攻击者视角，结合资产的业务属性，对从传统IT资产到流动数字资产在内的多维度资产进行盘点与管理，形成资产画像。自动化、周期性系统任务执行，可及时发现潜在受威胁的核心业务资产，辅助快速缩小资产暴露面。利用大网netflow综合建模分析，捕获到真实的端口通连信息，可以达到被动收集、业务/网络无感知的效果。2.2.13终端安全管理系统（终端杀毒软件）终端安全管理系统解决了PC终端和服务器端防毒杀毒需求，具有以下几方面功能：周密预防：系统漏洞扫描，补丁修复管理、终端基线检查，资产盘点，资产主动发现，微隔离，轻补丁漏洞免疫；全面防护：文件实时监控，勒索诱饵防护，勒索病毒立体防护，勒索攻击对抗，无文件攻击防护,停更系统智御；灵敏检测：恶意文件检测，僵尸网络检测，暴力破解检测，网端联动杀毒，流氓软件拦截；快速响应：文件急速隔离，终端一键隔离，感染文件修复，病毒处置响应，网端深度联动（SIP、AF、AC）,全网威胁定位；简便运维：外设管控，违规外联检测，远程桌面，加强版广告弹窗拦截能力;2214.安全态势感知本项目在校园网部署安全感知平台全网检测系统对各节点安全检测探针的数据进行收集，并通过可视化的形式为用户呈现校园网业务资产及针对内网关键业务资产的攻击与潜在威胁，并通过该平台对现网所有安全系统进行统一管理和策略下发。222.机房网络安全体系XX学院XX校区（一期）工程建设项目智慧校园建设采购项目所涉及到的系统平台及应用，用户单位是教育部门、学校各职能部门以及相关的教师、学生等，涉及各个重要的教学信息化系统的数据接入管理，信息系统受到破坏后，会对用户单位的合法权益产生严重损害，需进行信息系统安全等级保护设计和评测。根据建设系统中应用系统的重要程度和自身安全需求，依据国家标准计算机信息系统安全保护等级划分准则，实行等级防护、适度防护，本项目数据中心机房信息安全等级保护建议定级为第二级，数据中心机房物理环境的安全按照信息安全技术信息系统安全等级保护定级指南(GBT222402008)对第二级系统的安全保护要求进行建设。2.2.21.堡垒机安全运维审计，运维行为全程审计，运维权限集中管理，建立统一运维的安全管理入口，实现统一的账户管理、身份认证、授权管理和安全审计等功能。2.2.22漏洞扫描系统进行安全风险评估和扫描。能够帮助客户识别和发现网络中的各类资产，高效、全面、精准地检查网络中的各类脆弱性风险，根据扫描结果提供专业、有效的安全分析和修补建议，全面提升客户网络环境的整体安全性。2.22.3.日志审计系统建立统一日志监控与审计平台，实时不间断将网络中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统等的日志、警报等信息汇集到审计中心，满足二级等保日志留存不少于180天的要求。2.2.2.4.应用防火墙专注于门户网站、数据中心业务系统、APl接口等应用的安全防护，基于漏斗化的多重Bot防护、攻防威胁情报、智能语义分析进行高效检测Web攻击，满足OWASpToPlO防护需求和符合监管要求。提供贴合业务的多重手段，帮助用户建设适用业务需求的安全防线，并通过多种智能分析技术持续对抗各类威胁。总结出口防火墙解决了校园出口安全问题；WAF防火墙解决数据中心应用安全防护问题；等保一体机(内含堡垒机系统、日志审计系统、漏扫系统)满足二级等保合规要求。2.2.25全网行为管理全网行为管理AC聚焦办公网安全威胁，通过用户接入认证、终端安全管控、上网行为管控、违规行为审计四大能力，全面管控办公网用户身份安全，降低终端违规接入、上网违规行为、敏感数据泄密等内部风险，实现网端融合管控以及全网可视可控，让办公更规范、更高效、更安全。(1)用户接入认证：终端接入认证，防范非法入网出网(2)终端安全管控：轻量级合规检查，安全基线和防外联(3)上网行为管控：上网违规行为管控，网络访问安全合规(4)违规行为审计：违规行为可视，风险行为智能分析2.3 .云桌面机房云桌面机房的建设思路是用云桌面产品替代传统PC。在计算机教室中，除了降低运维管理的难度和工作量以外，对于机房桌面，更是要求部署的云桌面具备教学场景的场景化特性，具备常用的教学管理和互动功能，从而提供丰富的教学场景支持，提高教学体验和效果。本项目中，在XX学院新建XX校区的4间电脑机房规划建设为云桌面机房:1、在学校数据中心机房部署1台云桌面应用节点，作为云桌面管理端系统部署，性能要求能同时承载300人并发访问云桌面。2、本期项目规划在4间云桌面机房内部署每间71台云桌面终端，性能要求能同时承载每间电脑室里学生及教师71人访问云桌面，并流畅运行教学软件。云桌面终端以胖终端模式建设，云桌面应用节点端负责云桌面终端的统一管理以及下发系统镜像，运算处理由前端PC机独立提供，具备集成显卡，满足CAD、3D画图等教学软件使用。2.4 .教学电脑机房一、新建4间教学电脑机房：本项目规划在XX学院新建XX校区的4间教学电脑机房进行综合布线施工,每间教学电脑机房预留部署71台（其中70台是学生电脑，1台是教师电脑）终端的网口、电源插座等配套设施。二、改造2间教学电脑机房：本项目规划在XX学院新建XX校区的2间教学电脑机房进行综合布线的改造建设，每间教学电脑机房预留部署71台（其中70台是学生电脑，1台是教师电脑）终端的网口、电源插座等配套设施。本项目所有教学电脑机房所采购的硬件终端需包含对应的配套课堂管理软件。25智慧课室本期项目开展智慧课室的建设，对XX学院新建XX校区的66间课堂提供信息化支撑。根据学院智慧校园发展需求，本期XX学院新建XX校区建设50人座的66间课室，每间课室分别配置1台智慧教学终端、1块推拉黑板，所有课室通过班级系统管理后台实现智慧课堂教学等功能。26多媒体课室根据学院智慧校园发展需求，本期项目开展多媒体课室的建设，对江门市技师学院新建XX校区的8间170人座多媒体课室提供信息化支撑，为新校区师生提供一个可供开展多媒体教学的完善场景。每间多媒体课室配置4台55寸L7mm拼接屏（2x2拼接使用）、1台多媒体教室管理终端（含许可）、1块推拉黑板，1台调音设备、2对无源音箱、1套无线话筒，1张定制教学讲台（含凳）。2.7 .智慧党建平台建设建强基层党组织战斗堡垒的前提基础是要把党的基本制度、党建基本动作抓好抓实、落小落细。对基层党建工作而言，就是要推动工作往实里做、往实效处做，不能把说了当做了、把做了当做好了。如何运用互联网技术+思维，发挥智慧党建的优势，利用信息化智能化手段，推动支部的标准化规范化建设成为基层党建工作的一个值得深入探究、很有现实意义的课题。本项目中规划建设一套智慧党建平台，规划建设功能模块包括有：党建门户、党务工作、党员教育、组织生活等，具体详见清单。为学院提供一个党建学习、教育的平台。2.8 .校园基础网络根据当前网络技术的发展趋势，作为今后各类智慧校园应用的承载基础，本项目的校园网络系统部分需按照全光网络架构进行部署，确保多媒体教学及各类校园信息化应用系统的良好承载，并确保相关网络系统技术10年内不落后，保证项目的投资有效性。校园网络整体架构如下图所示：图3校园网架构核心层：核心层即是交换核心，称为骨干交换，处于本核心层的设备称之为核心交换机，它包括核心交换平台的构建。核心层部署校园的核心设备，对接传输设备实现传输网络和IP网络之间的转换，转发各个教学楼、综合楼、实训楼和学生宿舍之间的流量，以满足多媒体、关键应用数据的要求，满足学校日常对网络的需求。校园核心层部署的两台核心交换机，连接学校所有的汇聚交换机和OLT,承载学校教学办公、教学、学生宿舍的所有业务流量。核心层需要采用全连接树型结构，需要具有高带宽、高转发性能多样化的端口接入能力、高可靠性等要求。为了有效提升核心层运行的可靠性，单台核心交换机需要具备主控1+1冗余备份，交换网板N+1冗余，环境监测板、电源和风扇框同样配置冗余且支持热插拔，为了保证设备有效散热正常工作，设备需要采用准后出风风道设计。两台核心交换机采用横向虚拟化技术，将两台交换机从逻辑上整合成一台交换机，实现虚拟化系统主控1+N备份，虚拟化系统中只要保证任意一框的一个主控板运行正常，多框业务即可稳定运行,虚拟化既简化了配置和管理，又提高了网络的可靠性和扩展能力。OLT采用IoG-PON技术，OLT通过IOGE接口与核心交换机互联，OLT与核心交换机互联端口可扩容。接入层：末端通过光网络单元(ONU)实现多业务接入。2.8.1. 核心网络设计核心层主要的设备有出口BRAS路由器、核心交换机、网管认证系统、AC无线控制器、代拨平台等设备；核心交换机：主要承载宿舍区和办公区的网关,根据不同的楼栋与区域设置相应的VLAN及IP地址BRAS:用于智能终端认证上网，主要配合认证设备实现PPPOE拨号，设置为宿舍区业务地址网关，并且设置DHCP,将所有的业务地址开启认证,根据客户的需求可以设置为POrta1、802.1X、及IPOE等认证形式。无线控制器：用于无线AP的管控设备，主要配合认证服务终端实现用户认证上网的功能，无线认证针对于不同的厂商对接，可能会出现用户体验不佳，如无线断断续续，不稳定，无法实现无感知的功能等。认证服务终端：用户实现内部POrtal认证，内部认证设备主要是核心和无线控制器发起radius报文发送至认证服务终端，认证服务终端在根据自身创建的用户和密码进行检测也可根据客户的LDAP或者AD域实现用户密码的同步。针对宿舍区配合出口代拨设备实现内部Ponal一次认证后配合代拨设备实现与运营商的PPOE拨号。网管服务终端：可实现大部分主流厂商网络设备的监控与管理，实现配置的修改和下发，PoN组件可以针对所属厂商的PoN设备，实现查看统一管理配置下发等，而对于其他厂商的PoN设备无法实现纳管。代拨系统：通过代拨系统实现教师、学生宿舍区域的拨号上网功能，同时通过代拨系统完成路由选择。2.82 全光网络设计本项目选用IoG-PON作为学校各区域实现光纤接入解决方案，提供大容量和高带宽的数据和IP语音业务的接入，能够满足FTTX包括FTTN、FTTC.FTTB.FrrH等各种接入组网模式的需求。282.1.PON网络规划整体网络规划采取自下而上的方式，根据校园ONU规格及数量选择分光器及OLT。2.83 22规划原贝!|1、光缆少，节点少，维护小；2、平衡网络资源最大化与成本最小化（设备成本、施工建设成本、后期维护成本）；3、考虑网络可靠性，考虑网络保护方案；4、考虑网络扩容扩建，满足后续网络接入的需求；5、考虑后期新增业务建设及统一管理维护。2.8.2 3.OLTl+本方案采用可靠的IOG-PoN系统，本项目配置两台OLT设备，支持1+1冗余备份，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。OLT交换机可通过加配普通IOGE业务板来扩展上行带宽。IOGOLT最大支持1:128分光比，系统最大可支持15360个ONU,传输距离可达20kmoOLT所有主件（引擎板，业务板，电源，风扇）支持热插拔；双主控模块冗余备份；交换网冗余；双电源模块冗余备份；风扇冗余；无源背板设计，因此故障率大大降低，运营支出最大程度地降低。确保系统的稳定可靠运行。OLT内置安全机制，可从控制、管理、转发三平面全方位保障网络设备的安全。内置协议报文攻击识别模块，防止协议报文攻击；安全的SNMPV3网管协议；IP、VLAN、MAC和端口等多种组合绑定；组播/广播风暴抑制;URPF单播反向路径转发，防止非法或者异常的流量进入网络；抵御多种病毒攻击，保证设备管理的安全。支持标准，扩展和用户自定义ACL(128字节深度检测)；支持基于VLAN的ACL；支持出、入双方向的ACL,每板支持4000条acl,处于业界领先水平；支持流量监管，粒度64Kbps；支持流量整形，可基于端口或队列灵活设置；支持报文DSCPIPToSCOSExp优先级功能；支持SP、WRR.WFQ、SP+WFQ等多种模式的队列调度机制；支持TaIDrop等多种拥塞避免机制。为多业务运行提供高品质的QOS服务质量保障。全面支持各种IPV4、IPV6的单播、组播路由协议，支持优雅重启、等价路由、策略路由、路由策略；支持L3MPLSVPN、L2VPN等功能，核心交换机完全融合强大的三层路由交换机功能，可同时承担IOG-PON接入和核心/汇聚层路由交换机双重角色，减少网络层次，降低用户组网成本。28.24.无源分光器设计无源分光器在POL系统中，是ODN组成中核心的器件，属于纯无源物理器件，在OLT和ONU间提供光通道，起着连接OLT和ONU的作用，具有很高的可靠性。分光器根据分光比的大小，可分为1：N或者2：N(N=24816/32/64)0其中2：N的分光器具有2个上行光纤口，可以实现网络TyPeB单/双归属保护，保护主干网络，提供POL系统的可靠性。根据安装方式，可分为盒式分光器和机架式分光器：盒式分光器比较小巧，布放方式比较灵活；机架式分光器可以固定在19英寸标准机架内，整齐美观。本次考虑到日常维护便利及现场部署，建议采用盒式分光器。考虑到后期XX学院XX校区校园网的业务发展需求，保证各信息接入点能够提供足够的带宽，再满足学生日常工作学习的需求下，减少投资浪费，本项目采用2:16分光比。2.8.3 .办公网络设计办公区有线部分采用PON组网方式进行部署，AP安装在每个办公室内,网线及电话线接入房间ONU。用户采用POrtal进行认证，通过部署两台OLT设备对办公区域的ONU进行统一接入，中间采用一级分光设计，用户通过POrtal认证通过后即可访问校园内部及外部资源。无线部分则采用ONU+AP方式，通过ONU可提供用户自由选择无线还是有线方式进行部署，也根据不同场景不同并发情况进行高密与普通AP部署,认证部分统一采用校园内部平台进行认证。2.8.4 学区域网络设计教室区域无线部分通过ONU+POE供电模块+AP形式进行部署，包含单端口电源注入器和25W电源适配器，通过标准以太网RJ-45接口给WLANAP等PD设备供电，与网络终端设备之间通过六类线缆连接，分别适用于10/100/1()00M网络环境。有线部分通过教室ONU接入网线连接电脑或多媒体黑板。2.8.5.学生宿舍网络学生宿舍区采用一级分光，根据宿舍人数不同，部署不同数量自带WiFl的ONU。学生可根据自带WIFI的ONU发布的无线SSlD或者有线端口实现用户的统一认证上网。2.86无线网总体设计本次在阶梯教室、教室、多媒体教室等人员密集、存在大量终端并发需求的场景，通过采用高性能Wi-Fi6无线设备，全面提升网络连接质量。Wi-Fi6无线设备在网络容量、带宽使用效率、AP支持的终端数量以及Wi-Fi网络覆盖等方面都可以实现全面提升，可以完整覆盖高密、放装等场景，让校园师生随时随地获得极致在线教学体验，更灵活便捷的教学方式提升教学效率和教育质量。本次无线建设将采用无线控制器AC+无线瘦AP的部署方式，根据人员密度等需求采用不同的放装AP进行部署。无线控制器AC+无线瘦AP架构下的无线网络由无线控制器，和多台无线AP组成，所有的无线AP皆由该控制器进行统一的配置和管理。无线AP可以通过POE的ONU进行远程的POE供电或者选择本地供电。如果采用远程的PoE供电，则可以在无线控制器上按照时间进行无线AP的开关定时，按照设定好的策略自动定时开关AP,可以实现一定的节能需求。通过和网管系统配合，AP启动时网管系统可以自动下发合适的设备配置信息。网管系统可以负责AP软件的自动更新，方便运维减少网管人员工作量。2.8.7.用户认证设计2.8.7.1.portal认证校内用户仅需要一次认证即可访问内外网络，用户终端通过弹出的页面（POiIa1）、或者客户端（802.1x）的形式主动输入账户密码，核心交换机根据用户的请求的认证报文，发送至radius服务节点，radius服务节点联合代拨设备根据用户名和密码进行匹配，判断该用户用户名密码是否正确，并且根据用户的属性分配不通的上网权限。28.7.2.Radius代拨方案校园网出口采用BRAS设备,有线无线用户采用PortaI或802.1X方式接入，实现有线、无线统一身份认证。本地AAA服务节点采用深澜或城市热点，采用RadiUS-Proxy方案与多家运营商的AAA交互。用户在上网时，通过学校的账户登录自服务系统，绑定运营商账号密码，自服务系统的客户端会将用户名打上相应运营商的后缀，发往BRAS设备做认