项目概述B

网络系统集成投标方案

XX网络A1 XXXXX XXX

2013.6.4

目录

项目概述： .................................................. - 3 - （一） 技术要求： ........................................... - 3 - （二） 用户需求分析 ......................................... - 4 - （三） 网络系统设计 ......................................... - 5 -

1． 网络拓朴图........................................... - 5 - 2． IP地址划分 .......................................... - 5 - （四） 设备选型 ............................................. - 6 -

1． 防护墙：............................................. - 6 - 2． 交换机：............................................. - 7 - 3． 路由器：............................................. - 8 - 4． 服务器：............................................. - 9 - 5． 客户机：............................................. - 9 - （五） 系统设计 ............................................ - 10 -

1． 文件服务器设计...................................... - 10 - 2． 客户端设置.......................................... - 10 - （六） 安全设计 ............................................ - 11 -

1． 系统安全:........................................... - 11 - 2． 物理安全:........................................... - 11 - 3． 网络安全:........................................... - 11 - 4． 服务器端............................................ - 11 - （七） 售后服务 ............................................ - 12 - （八） 技术支持与培训 ...................................... - 12 - （九） 保修期 .............................................. - 12 - （十） 保证售后服务质量的措施 .............................. - 13 -

项目概述：

本公司现在正在通过乙方开发积分系统，准备将积分系统的服务器主机放在公司，所以将整个公司的内网做重新组建。积分系统的客户端在中国各地的经销商的平板电脑上WEB版，目前将开拓1000个客户端，将来准备开发到5000客户端，外加AAP程序连接，现在是1个电信固定IP的专线，所以现在这样的情况不知道，选用什么硬件防火墙和路由器来做，外加10个分支机构，以后VPN连接总部。请推荐一个合适的机型，和布局方法。内网准备更换所有的交换机，添加一台核心交换机，和接入交换机。

（一）技术要求：

（1）防火墙：不少于3个百兆以上端口，并发连接数不少于1500000条，支持路由、桥模式、混合模式，支持IPSEC/SSL VPN、负载均衡、流量控制、QoS、双机热备，中文管理界面。

（2）交换机： 国内品牌，不少于24个端口，要求考虑和现有网络设备的兼容性，支持主流的网络互联协议，支持三层路由、ACL、IP/MAC绑定等功能。

（3）客户端：6 个部门之间不能互相访问，但是都可以访问服务区和Internet。 （4）服务端：服务区不能访问Internet。Internet不能主动发起访问内部服务。

网络工程整体设计方案

采用先进的计算机、网络设备和软件，以及先进的系统集成技术和管理模式，为用户提供一个既能满足现有需求又具有扩展升级能力、同时达到最高性价比的办公网络体系。

（二）用户需求分析

1、公司管理模式

◆公司各部门经理向总经理负责 ◆各部门员工向部门经理负责 2、公司下设机构

◆经理、人事部、销售部、技术部、策划部、工程部 3、用户系统需求

◆用户安全、帐户管理

1.每个部门每个员工每台电脑每个账户设置自己的密码，且各部门之间用户账户都需独立。 2.使用的技术：AAA技术，加密机制，域机制

（1）AAA系统的简称分别为认证(Authentication)：验证用户的身份与可使用的网络服务； 授权(Authorization)：依据认证结果开放网络服务给用户；

计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。

公司内部每个员工的电脑都可以进行身份认证允许进入系统，确保用户的隐私以及数据安全。

（2）对数据进行密码变换以产生密文。加密既能为数据提供机密性，也能为通信业务流信息提供机密性。在公司内部传输数据时能提高安全性，防止用户的密码姓名等隐私外泄等。 （3）每个部门经理通过域机制把所属部门的员工放在一个域内方便管理以及监控

◆用户权限管理

1.每个员工都拥有一般权限，部门经理有管理员权限，总经理（董事长）有超级管理员权限。 2.员工互相之间均不存在管理权限，员工不能查看最上级电脑内的文件数据，但上级可以监视，不同部门的文件数据不得共享。总经理（董事长）拥有查看所有部门文件的权限。 使用的技术：基于角色的访问控制（Role-Based Access Control，RBAC）， （1）RBAC中的权限与角色是相关联的，用户通过成为适当角色的成员而得到这些角色的权限，这就能够极大地简化了权限的管理。

总经理可以分配所有部门经理进入对应的用户权限中，再由部门经理进行逐级的分配实现用户权限的控制。但逐一分配权限的是件耗时且不够方便的过程，因此可以对“组”进行操作，将权限一致的人员编入同一组，然后对该组进行权限分配，这样就大大缩减了时间以及人力。 ◆网络访问控制

1.部门经理能够对直属员工的电脑进行网络控制，但不同部门之间不存在网络控制。 2.使用的技术：访问控制列表（ACL），策略路由

（1）通过配置不同的控制列表或策略达到对特定人员的电脑进行网络或流量控制，并能监视部分员工电脑。

（2）策略路由有route-map，PBR，distribute-list等等 ◆事件日志

1.部门经理能查看公司内部自己所属部门的日志事件，但不能跨部门。总经理（董事长）能查看各个部门的日志以及收集。

2.使用的技术：GFI EventsManager，ELM Log Manager，Event Tracker等

（1）GFI EventsManager 支持windows事件日志，系统日志和附和互联网联合会标准的日志文件，不支持internet认证服务

（2）ELM Log Manager能够监视windows事件日志，Microsoft ISA Server日志文件，IIS日志文件等，还支持系统日志和SNMP陷阱

（3）Event Tracker使用基于代理的架构管理日志，其标准代理每分钟能处理700条事件，而高性能代理每分钟可以处理7000条事件，还支持windows事件日志，linux系统等。 4、建设原则

◆开放性、灵活性、可靠性、安全性、可扩展性、可管理性

（三）网络系统设计

1．网络拓朴图

2．IP地址划分

VLAN与IP地址规划

核心交换机间的以太网通道： SW： 192.168.70.1/24 SW： 172.16.20.0 SW: 172.16.10.0 两个接入层交换机

Sw2-1: 端口1 ：192.168.1.1 端口2：192.168.2.1 Sw2-2: 端口1 ： 192.168.1.1 端口2：192.168.2.2 边界路由器IP:

S1/0:202.102.1.1

服务器:

Web服务器: 202.102.1.2 FTP服务器：202.102.2.1 DNS服务器:202.102.2.2 流媒体:172.16.1.254

远程VPN用户：172.16.1.1 网关：172.16.1.254

（四）设备选型

1．防护墙：

Juniper SSG-320M-SH 参数规格 重要参数

设备类型：企业级防火墙 网络吞吐量：450Mbps 并发连接数：64000

用户数限制：无用户数限制

网络端口：4*10/100/1000，3个物理接口模块...

入侵检测：DoS

安全过滤带宽：175Mbps 管理：SNMP VPN支持：支持 安全标准：TUV, CSA, CB

其他性能：防火墙、IPSec VPN、IPS、防病毒... 操作系统：ScreenOS

2．交换机：

核心层交换机：

1、华为S5700-52C-EI详细参数 产品类型：千兆以太网交换机 应用层级：三层

传输速率：10/100/1000Mbps 端口数量：48个

背板带宽：256Gbps

VLAN：支持4K个VLAN支持Guest VLAN、... 网络管理：支持堆叠 支持MFF支持虚拟电... 包转发率：132Mpps MAC地址表：32K

网络标准：IEEE 802.3，IEEE 802.3u，IEEE ... 端口结构：非模块化 交换方式：存储-转发

H3C S5500-28C-PWR-EI详细参数 产品类型：企业级交换机

应用层级：三层

传输速率：10Mbps/100Mbps/1000Mbps/10000M... 端口数量：28个 背板带宽：256Gbps

VLAN：支持基于端口的VLAN（4K个） 支... 网络管理：支持XModem/FTP/TFTP加载升级... 包转发率：96Mpps MAC地址表：32K 端口结构：非模块化

交换方式：存储-转发

端口描述：24个10/100/1000Base-T以太网端... 汇集层交换机：

华为Quidway S9303详细参数 重要参数

产品类型：路由交换机 应用层级：三层

传输速率：10/100/1000Mbps 背板带宽：3Tbps

VLAN：支持Access、Trunk、Hybrid方式... 网络管理：支持Console、Telnet、SSH等终端... 包转发率：540Mpps MAC地址表：16K 端口结构：模块化

交换方式：存储-转发

组播管理：支持IGMPv1/v2/v3、IGMP v1/v2/v... 电源功率：整机供电能力：800W，整机最大PO... 接入层交换机：

1、华为S5700-24TP-SI(AC)参数 重要参数

产品类型：千兆以太网交换机 应用层级：三层

传输速率：10/100/1000Mbps 端口数量：28个 背板带宽：256Gbps

VLAN：支持4K个VLAN支持Guest VLAN、... 网络管理：支持堆叠 支持MFF支持虚拟电... 包转发率：36Mpps

MAC地址表：16K

网络标准：IEEE 802.3，IEEE 802.3u，IEEE ... 端口结构：非模块化 交换方式：存储-转发

3．路由器：

边界路由器：

华为Quidway NE20E-8

重要参数

端口结构：模块化

传输速率：10/100/1000Mbps 包转发率：6Mpps Qos支持：支持 VPN支持：支持 电源功率：320W

2、H3C ER8300

重要参数

端口结构：非模块化 广域网接口：2个

局域网接口：8个

传输速率：10/100/1000Mbps

网络管理：基于Web的用户管理接口（远程管... 用户数量：400台

防火墙：内置防火墙

网络协议：PPPoE，DHCP，NAPT，NTP，DDNS Qos支持：支持 VPN支持：支持

产品内存：128MB DDRII

处理器：MIPS 64位双核700MHz 网络处理器...

4．服务器：

1、IBM System x3650 M4(7915I51)

重要参数

产品类别：机架式

CPU型号：Xeon E5-2650 2GHz 标配CPU数量：1颗

内存容量：8GB ECC DDR3

内部硬盘架数：最大支持8块2.5英寸或3块3.5英寸... 网络控制器：7×USB端口（2个前置，4个后置，... 产品结构：2U

RAID模式：M5110E RAID 0，1 扩展槽：2×PCI-E 3.0 1×PCI-X（可选）... 光驱：DVD（可选） 最大CPU数量：2颗 最大内存容量：768GB

2、HP ProLiant BL460c Gen8(666161-B21)

重要参数

产品类别：刀片式

CPU型号：Xeon E5-2620 2GHz 标配CPU数量：1颗

内存容量：4GB DDR3

内部硬盘架数：最大支持2块SFF SAS/SATA/SSD硬... 网络控制器：千兆网卡 RAID模式：RAID 0，1 扩展槽：2×PCI-E G3 x16 最大CPU数量：2颗 最大内存容量：512GB 内存插槽数量：16

CPU类型：Intel 至强E5-2600

5．客户机：

联想ThinkCentre M8480t（i5 3570/4GB/1TB）

重要参数

CPU 型号：Intel 酷睿 i5 3570

CPU 频率：3.4GHz

内存容量：4GB DDR3 1333MHz 硬盘容量：1TB 7200转

显卡芯片：AMD Radeon HD 7650 1GB 光驱类型：DVD刻录机 产品类型：商用台式机 显卡类型：独立显卡

音频系统：集成

有线网卡：1000Mbps以太网卡 最高睿频：3800MHz 核心/线程数：四核心/四线程

（五）系统设计

1．文件服务器设计

使用RED HAT 7系统

◆ 硬盘分区

每台服务器硬盘大小为300GB，分为三个区：

Root区：80G：电脑所安装的各类软件以及系统程序安装包 Home区：100G：公司所会使用的数据或者工作所需文件数据 Swap区：80G：其他图片等资料 剩下的空间作为扩展区以备以后使用 ◆ 启用磁盘配额

在“文件服务器磁盘配额”页面上，可以设置磁盘配额，来跟踪和控制各个用户在 NTFS 卷上以卷为单位的磁盘空间使用情况。“配置您的服务器向导”会自动将磁盘配额应用到所有 NTFS 文件系统的新用户，使用的是磁盘空间配置已经应用的。只有在您想防止服务器占用的磁盘空间超过某一特定数量或者您的磁盘空间数量有限的情况下，才需要更改“文件服务器磁盘配额”页面上的信息。大多数情况下，可以接受默认系统设置。

如果您想在用户超过指定的磁盘空间限制值或者当用户超过指定的磁盘空间警告级别（即，用户接近其配额限制值时）时记录事件，可以在该页面上对其进行指定。

◆ 采用NTFS文件系统

通过NTFS权限控制用户对文件和文件夹的访问，从而确保文件和文件夹的安全。通过NTFS权限可控制用户对某个NTFS文件或文件夹所有执行的操作，并且可以跟踪用户对文件所执行的所有操作。它有可靠的文件系统以及更好的安全性。上级可通过NTFS文件系统对每个文件以及文件夹进行监控确保文件安全。

2．客户端设置

每台员工的电脑都使用WIN7或者LINUX系统，LINUX系统对于企业公司的使用率较高，WIN7普遍性较高，可以分两个系统都安装并在需求下酌情选择。

同时在每台电脑上都安装系统必备的一些软件如Office，VM虚拟机，杀毒软件等等。 硬盘分区：

每台电脑硬盘大小为1T，分为四个区：

C盘（系统区）：200G 主要放置电脑所安装的各类软件以及系统程序安装包

D盘（数据资料区）：500G 主要放置公司所会使用的数据或者工作所需文件数据

F盘（视频图片区）：100G 主要放置各类视频或者图片数据

G盘（备份区）：200G 主要放置数据的备份，以防出现意外

（六）安全设计

1． 系统安全:

应用系统的访问限制在汇聚层的多层交换机上实施访问控制，限制园区网用户对特定应用系统的访问，或者只允许特定的用户访问某些资源。

2．物理安全:

设备的物理安全性是指运行中的设备，未经授权的人员不能直接接触到。提高设备的物理安全性，是最基本的要求。通过将设备安置在独立的设备间中，并增加门禁系统，确保只有授权的管理和维护人员才能接触到物理设备。

配置设备的口令，是防止非授权的人员更改网络系统的配置的重要手段。要为所有的设备设置口令。要为每一台设备配置CONSOLE口令，AUX口令，VTY口令，特权口令等在口令方面，需要制定管理制度并严格执行。口令管理制度包括口令的设置，保管，更改，口令的强度等内容。

3．网络安全:

1）进行VTP域的认证能够保证局域网的VLAN等的安全。设置了口令之后，除非交换机设置了正确的口令，否则。新交换机不能自动加入到已存在的管理域中。保证了局域网的运行安全，可以避免因为VLAN被错误或者恶意的增加。删除造成的运行事故。

2)园区用户的接入控制,因为一般的安全措施都不是针对网络呢的用户的，严格控制用户的接入，可以避免非法用户接入带来的潜在的安全隐患。园区网系统建设验收完毕之后，确保交换机的所有用户端口处于关闭状态。只有用户使用申请通过批准之后网络管理员才能将端口激活。

3) 因特网的接入安全控制是非常重要的，不仅需要布置防火墙等安全设备，还要指定严格的安全策略。

4．服务器端

1)服务器端需要高安全性，应搭建一套完整的安全防御策略如防火墙，入侵检测，身份识别等系统来达到安全要求。可用软件如入侵检测专家系统（IDES），密码技术等

2)服务器要定期做好检查，并要与网络系统的一些安全策略相联系。

3)因服务器端是重要设备，需做好备份准备，如遇到突发事件能及时备份系统以及数据，减少对公司企业的损失

4)服务器端要集中管理好数据文件，并对特定重要数据进行特定处理如加密等。

5、客户端

1)将客户端所需软件如杀毒软件等安装完毕并确保有足够的空间存放数据

2)设置不同权限监控客户端的操作

（七）售后服务

工程进度分成以下几个阶段（时间以合同签定后起算）：

1.软、硬件设备订购（第一周）；

2.软件方案设计（第一周至第二周）；

3.工程实施方案制定（第一周至第二周）；

4.设备到货验收（第三周）；

5.工程人员及设备进场（第三周）；

6.设备安装调试（第三周至第四周）；

7.初验（第五周）；

8.试运行（第五周至第六周）；

9.终验（试运行三个月）。

（八）技术支持与培训

技术支持：3年内提供系统功能扩充的技术咨询服务。 现场技术支持和维护：试运行期及其后1年内，系统运行问题中，对于不能电话（邮件或传真）解决的复杂问题，到现场进行技术支持服务。

现场操作支持：1年内，系统使用过程中，对于不能电话（邮件或传真）解决的复杂问题，到现场进行系统操作方面的技术支持服务。

维护期以优惠的价格提供零配件

（九）保修期

从最终验收完成之后的一年为保修期，保修期间我方要保修除消耗品以外的所有设备。在保修期内，如果系统发生故障，设备的所有硬件和软件出现的不合格部分，我方要调查故障原因并迅速修复或更换，直至满足最终验收指标和性能的要求，或者更换整个或部分有缺陷的材料。由此所发生的全部费用由我方负责。

保修期以后，我方对其提供的设备提供终身的技术支援。对于设备故障，我方应在24小时内作出响应并及时修复。

（十）保证售后服务质量的措施

⑴.同类工程不定期举办技术讲座或培训班。单项工程在系统设备交付前试运行过程由工程负责人安排为用户培训人员，使其掌握系统性能，会正确操作，排除简单故障。

⑵. 技术咨询服务分电话服务和信函（传真）回复。

电话回复：当用户在使用过程中遇到技术问题或其它问题时，服务人员通过电话耐心解释，一时难以回答的技术问题应及时组织相关人员商量研究，尽量在当日内答复用户，并作记录。 信函（传真）回复：用户用信函反映问题时，收到信函后三日内予以电话或挂号信回复，用户来信要有登记，并交售后服务部门存档。

⑶. 售后服务部门负责售后服务质量信息的收集、整理，每季度召集各相关项目的项目经理开会，探讨不断提高工程质量的有效措施，并付诸实施。

⑷. 系统设备使用过程中出现故障，接到信息后记录信息，内部协调后，立即用电话回复，约定时间，组织力量前往上门服务。保修期内免费，非正常使用的损坏，只收取成本费。 ⑸. 维修人员完成任务（排除故障）后与用户共同填写“售后（技术）服务报告”一式两份，交用户和售后服务部门保存。此报告作为维修人员报销、记奖考核的依据。

⑹. 用户跟踪服务，根据工程项目联系卡，建立用户跟踪服务制度。对重点工程重点跟踪。重点工程跟踪在工程验收投入使用后的头一年，每月主动电话咨询一次。第二年，每季度跟踪一次；第三年至第五年，每半年跟踪询问一次，有问题及时沟通及时解决。每次电话内容要有记录。

⑺ .条件成熟时组织用户座谈会，走访用户开展上门服务。

网络系统集成投标方案

XX网络A1 XXXXX XXX

2013.6.4

目录

项目概述： .................................................. - 3 - （一） 技术要求： ........................................... - 3 - （二） 用户需求分析 ......................................... - 4 - （三） 网络系统设计 ......................................... - 5 -

1． 网络拓朴图........................................... - 5 - 2． IP地址划分 .......................................... - 5 - （四） 设备选型 ............................................. - 6 -

1． 防护墙：............................................. - 6 - 2． 交换机：............................................. - 7 - 3． 路由器：............................................. - 8 - 4． 服务器：............................................. - 9 - 5． 客户机：............................................. - 9 - （五） 系统设计 ............................................ - 10 -

1． 文件服务器设计...................................... - 10 - 2． 客户端设置.......................................... - 10 - （六） 安全设计 ............................................ - 11 -

1． 系统安全:........................................... - 11 - 2． 物理安全:........................................... - 11 - 3． 网络安全:........................................... - 11 - 4． 服务器端............................................ - 11 - （七） 售后服务 ............................................ - 12 - （八） 技术支持与培训 ...................................... - 12 - （九） 保修期 .............................................. - 12 - （十） 保证售后服务质量的措施 .............................. - 13 -

项目概述：

本公司现在正在通过乙方开发积分系统，准备将积分系统的服务器主机放在公司，所以将整个公司的内网做重新组建。积分系统的客户端在中国各地的经销商的平板电脑上WEB版，目前将开拓1000个客户端，将来准备开发到5000客户端，外加AAP程序连接，现在是1个电信固定IP的专线，所以现在这样的情况不知道，选用什么硬件防火墙和路由器来做，外加10个分支机构，以后VPN连接总部。请推荐一个合适的机型，和布局方法。内网准备更换所有的交换机，添加一台核心交换机，和接入交换机。

（一）技术要求：

（1）防火墙：不少于3个百兆以上端口，并发连接数不少于1500000条，支持路由、桥模式、混合模式，支持IPSEC/SSL VPN、负载均衡、流量控制、QoS、双机热备，中文管理界面。

（2）交换机： 国内品牌，不少于24个端口，要求考虑和现有网络设备的兼容性，支持主流的网络互联协议，支持三层路由、ACL、IP/MAC绑定等功能。

（3）客户端：6 个部门之间不能互相访问，但是都可以访问服务区和Internet。 （4）服务端：服务区不能访问Internet。Internet不能主动发起访问内部服务。

网络工程整体设计方案

采用先进的计算机、网络设备和软件，以及先进的系统集成技术和管理模式，为用户提供一个既能满足现有需求又具有扩展升级能力、同时达到最高性价比的办公网络体系。

（二）用户需求分析

1、公司管理模式

◆公司各部门经理向总经理负责 ◆各部门员工向部门经理负责 2、公司下设机构

◆经理、人事部、销售部、技术部、策划部、工程部 3、用户系统需求

◆用户安全、帐户管理

1.每个部门每个员工每台电脑每个账户设置自己的密码，且各部门之间用户账户都需独立。 2.使用的技术：AAA技术，加密机制，域机制

（1）AAA系统的简称分别为认证(Authentication)：验证用户的身份与可使用的网络服务； 授权(Authorization)：依据认证结果开放网络服务给用户；

计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。

公司内部每个员工的电脑都可以进行身份认证允许进入系统，确保用户的隐私以及数据安全。

（2）对数据进行密码变换以产生密文。加密既能为数据提供机密性，也能为通信业务流信息提供机密性。在公司内部传输数据时能提高安全性，防止用户的密码姓名等隐私外泄等。 （3）每个部门经理通过域机制把所属部门的员工放在一个域内方便管理以及监控

◆用户权限管理

1.每个员工都拥有一般权限，部门经理有管理员权限，总经理（董事长）有超级管理员权限。 2.员工互相之间均不存在管理权限，员工不能查看最上级电脑内的文件数据，但上级可以监视，不同部门的文件数据不得共享。总经理（董事长）拥有查看所有部门文件的权限。 使用的技术：基于角色的访问控制（Role-Based Access Control，RBAC）， （1）RBAC中的权限与角色是相关联的，用户通过成为适当角色的成员而得到这些角色的权限，这就能够极大地简化了权限的管理。

总经理可以分配所有部门经理进入对应的用户权限中，再由部门经理进行逐级的分配实现用户权限的控制。但逐一分配权限的是件耗时且不够方便的过程，因此可以对“组”进行操作，将权限一致的人员编入同一组，然后对该组进行权限分配，这样就大大缩减了时间以及人力。 ◆网络访问控制

1.部门经理能够对直属员工的电脑进行网络控制，但不同部门之间不存在网络控制。 2.使用的技术：访问控制列表（ACL），策略路由

（1）通过配置不同的控制列表或策略达到对特定人员的电脑进行网络或流量控制，并能监视部分员工电脑。

（2）策略路由有route-map，PBR，distribute-list等等 ◆事件日志

1.部门经理能查看公司内部自己所属部门的日志事件，但不能跨部门。总经理（董事长）能查看各个部门的日志以及收集。

2.使用的技术：GFI EventsManager，ELM Log Manager，Event Tracker等

（1）GFI EventsManager 支持windows事件日志，系统日志和附和互联网联合会标准的日志文件，不支持internet认证服务

（2）ELM Log Manager能够监视windows事件日志，Microsoft ISA Server日志文件，IIS日志文件等，还支持系统日志和SNMP陷阱

（3）Event Tracker使用基于代理的架构管理日志，其标准代理每分钟能处理700条事件，而高性能代理每分钟可以处理7000条事件，还支持windows事件日志，linux系统等。 4、建设原则

◆开放性、灵活性、可靠性、安全性、可扩展性、可管理性

（三）网络系统设计

1．网络拓朴图

2．IP地址划分

VLAN与IP地址规划

核心交换机间的以太网通道： SW： 192.168.70.1/24 SW： 172.16.20.0 SW: 172.16.10.0 两个接入层交换机

Sw2-1: 端口1 ：192.168.1.1 端口2：192.168.2.1 Sw2-2: 端口1 ： 192.168.1.1 端口2：192.168.2.2 边界路由器IP:

S1/0:202.102.1.1

服务器:

Web服务器: 202.102.1.2 FTP服务器：202.102.2.1 DNS服务器:202.102.2.2 流媒体:172.16.1.254

远程VPN用户：172.16.1.1 网关：172.16.1.254

（四）设备选型

1．防护墙：

Juniper SSG-320M-SH 参数规格 重要参数

设备类型：企业级防火墙 网络吞吐量：450Mbps 并发连接数：64000

用户数限制：无用户数限制

网络端口：4*10/100/1000，3个物理接口模块...

入侵检测：DoS

安全过滤带宽：175Mbps 管理：SNMP VPN支持：支持 安全标准：TUV, CSA, CB

其他性能：防火墙、IPSec VPN、IPS、防病毒... 操作系统：ScreenOS

2．交换机：

核心层交换机：

1、华为S5700-52C-EI详细参数 产品类型：千兆以太网交换机 应用层级：三层

传输速率：10/100/1000Mbps 端口数量：48个

背板带宽：256Gbps

VLAN：支持4K个VLAN支持Guest VLAN、... 网络管理：支持堆叠 支持MFF支持虚拟电... 包转发率：132Mpps MAC地址表：32K

网络标准：IEEE 802.3，IEEE 802.3u，IEEE ... 端口结构：非模块化 交换方式：存储-转发

H3C S5500-28C-PWR-EI详细参数 产品类型：企业级交换机

应用层级：三层

传输速率：10Mbps/100Mbps/1000Mbps/10000M... 端口数量：28个 背板带宽：256Gbps

VLAN：支持基于端口的VLAN（4K个） 支... 网络管理：支持XModem/FTP/TFTP加载升级... 包转发率：96Mpps MAC地址表：32K 端口结构：非模块化

交换方式：存储-转发

端口描述：24个10/100/1000Base-T以太网端... 汇集层交换机：

华为Quidway S9303详细参数 重要参数

产品类型：路由交换机 应用层级：三层

传输速率：10/100/1000Mbps 背板带宽：3Tbps

VLAN：支持Access、Trunk、Hybrid方式... 网络管理：支持Console、Telnet、SSH等终端... 包转发率：540Mpps MAC地址表：16K 端口结构：模块化

交换方式：存储-转发

组播管理：支持IGMPv1/v2/v3、IGMP v1/v2/v... 电源功率：整机供电能力：800W，整机最大PO... 接入层交换机：

1、华为S5700-24TP-SI(AC)参数 重要参数

产品类型：千兆以太网交换机 应用层级：三层

传输速率：10/100/1000Mbps 端口数量：28个 背板带宽：256Gbps

VLAN：支持4K个VLAN支持Guest VLAN、... 网络管理：支持堆叠 支持MFF支持虚拟电... 包转发率：36Mpps

MAC地址表：16K

网络标准：IEEE 802.3，IEEE 802.3u，IEEE ... 端口结构：非模块化 交换方式：存储-转发

3．路由器：

边界路由器：

华为Quidway NE20E-8

重要参数

端口结构：模块化

传输速率：10/100/1000Mbps 包转发率：6Mpps Qos支持：支持 VPN支持：支持 电源功率：320W

2、H3C ER8300

重要参数

端口结构：非模块化 广域网接口：2个

局域网接口：8个

传输速率：10/100/1000Mbps

网络管理：基于Web的用户管理接口（远程管... 用户数量：400台

防火墙：内置防火墙

网络协议：PPPoE，DHCP，NAPT，NTP，DDNS Qos支持：支持 VPN支持：支持

产品内存：128MB DDRII

处理器：MIPS 64位双核700MHz 网络处理器...

4．服务器：

1、IBM System x3650 M4(7915I51)

重要参数

产品类别：机架式

CPU型号：Xeon E5-2650 2GHz 标配CPU数量：1颗

内存容量：8GB ECC DDR3

内部硬盘架数：最大支持8块2.5英寸或3块3.5英寸... 网络控制器：7×USB端口（2个前置，4个后置，... 产品结构：2U

RAID模式：M5110E RAID 0，1 扩展槽：2×PCI-E 3.0 1×PCI-X（可选）... 光驱：DVD（可选） 最大CPU数量：2颗 最大内存容量：768GB

2、HP ProLiant BL460c Gen8(666161-B21)

重要参数

产品类别：刀片式

CPU型号：Xeon E5-2620 2GHz 标配CPU数量：1颗

内存容量：4GB DDR3

内部硬盘架数：最大支持2块SFF SAS/SATA/SSD硬... 网络控制器：千兆网卡 RAID模式：RAID 0，1 扩展槽：2×PCI-E G3 x16 最大CPU数量：2颗 最大内存容量：512GB 内存插槽数量：16

CPU类型：Intel 至强E5-2600

5．客户机：

联想ThinkCentre M8480t（i5 3570/4GB/1TB）

重要参数

CPU 型号：Intel 酷睿 i5 3570

CPU 频率：3.4GHz

内存容量：4GB DDR3 1333MHz 硬盘容量：1TB 7200转

显卡芯片：AMD Radeon HD 7650 1GB 光驱类型：DVD刻录机 产品类型：商用台式机 显卡类型：独立显卡

音频系统：集成

有线网卡：1000Mbps以太网卡 最高睿频：3800MHz 核心/线程数：四核心/四线程

（五）系统设计

1．文件服务器设计

使用RED HAT 7系统

◆ 硬盘分区

每台服务器硬盘大小为300GB，分为三个区：

Root区：80G：电脑所安装的各类软件以及系统程序安装包 Home区：100G：公司所会使用的数据或者工作所需文件数据 Swap区：80G：其他图片等资料 剩下的空间作为扩展区以备以后使用 ◆ 启用磁盘配额

在“文件服务器磁盘配额”页面上，可以设置磁盘配额，来跟踪和控制各个用户在 NTFS 卷上以卷为单位的磁盘空间使用情况。“配置您的服务器向导”会自动将磁盘配额应用到所有 NTFS 文件系统的新用户，使用的是磁盘空间配置已经应用的。只有在您想防止服务器占用的磁盘空间超过某一特定数量或者您的磁盘空间数量有限的情况下，才需要更改“文件服务器磁盘配额”页面上的信息。大多数情况下，可以接受默认系统设置。

如果您想在用户超过指定的磁盘空间限制值或者当用户超过指定的磁盘空间警告级别（即，用户接近其配额限制值时）时记录事件，可以在该页面上对其进行指定。

◆ 采用NTFS文件系统

通过NTFS权限控制用户对文件和文件夹的访问，从而确保文件和文件夹的安全。通过NTFS权限可控制用户对某个NTFS文件或文件夹所有执行的操作，并且可以跟踪用户对文件所执行的所有操作。它有可靠的文件系统以及更好的安全性。上级可通过NTFS文件系统对每个文件以及文件夹进行监控确保文件安全。

2．客户端设置

每台员工的电脑都使用WIN7或者LINUX系统，LINUX系统对于企业公司的使用率较高，WIN7普遍性较高，可以分两个系统都安装并在需求下酌情选择。

同时在每台电脑上都安装系统必备的一些软件如Office，VM虚拟机，杀毒软件等等。 硬盘分区：

每台电脑硬盘大小为1T，分为四个区：

C盘（系统区）：200G 主要放置电脑所安装的各类软件以及系统程序安装包

D盘（数据资料区）：500G 主要放置公司所会使用的数据或者工作所需文件数据

F盘（视频图片区）：100G 主要放置各类视频或者图片数据

G盘（备份区）：200G 主要放置数据的备份，以防出现意外

（六）安全设计

1． 系统安全:

应用系统的访问限制在汇聚层的多层交换机上实施访问控制，限制园区网用户对特定应用系统的访问，或者只允许特定的用户访问某些资源。

2．物理安全:

设备的物理安全性是指运行中的设备，未经授权的人员不能直接接触到。提高设备的物理安全性，是最基本的要求。通过将设备安置在独立的设备间中，并增加门禁系统，确保只有授权的管理和维护人员才能接触到物理设备。

配置设备的口令，是防止非授权的人员更改网络系统的配置的重要手段。要为所有的设备设置口令。要为每一台设备配置CONSOLE口令，AUX口令，VTY口令，特权口令等在口令方面，需要制定管理制度并严格执行。口令管理制度包括口令的设置，保管，更改，口令的强度等内容。

3．网络安全:

1）进行VTP域的认证能够保证局域网的VLAN等的安全。设置了口令之后，除非交换机设置了正确的口令，否则。新交换机不能自动加入到已存在的管理域中。保证了局域网的运行安全，可以避免因为VLAN被错误或者恶意的增加。删除造成的运行事故。

2)园区用户的接入控制,因为一般的安全措施都不是针对网络呢的用户的，严格控制用户的接入，可以避免非法用户接入带来的潜在的安全隐患。园区网系统建设验收完毕之后，确保交换机的所有用户端口处于关闭状态。只有用户使用申请通过批准之后网络管理员才能将端口激活。

3) 因特网的接入安全控制是非常重要的，不仅需要布置防火墙等安全设备，还要指定严格的安全策略。

4．服务器端

1)服务器端需要高安全性，应搭建一套完整的安全防御策略如防火墙，入侵检测，身份识别等系统来达到安全要求。可用软件如入侵检测专家系统（IDES），密码技术等

2)服务器要定期做好检查，并要与网络系统的一些安全策略相联系。

3)因服务器端是重要设备，需做好备份准备，如遇到突发事件能及时备份系统以及数据，减少对公司企业的损失

4)服务器端要集中管理好数据文件，并对特定重要数据进行特定处理如加密等。

5、客户端

1)将客户端所需软件如杀毒软件等安装完毕并确保有足够的空间存放数据

2)设置不同权限监控客户端的操作

（七）售后服务

工程进度分成以下几个阶段（时间以合同签定后起算）：

1.软、硬件设备订购（第一周）；

2.软件方案设计（第一周至第二周）；

3.工程实施方案制定（第一周至第二周）；

4.设备到货验收（第三周）；

5.工程人员及设备进场（第三周）；

6.设备安装调试（第三周至第四周）；

7.初验（第五周）；

8.试运行（第五周至第六周）；

9.终验（试运行三个月）。

（八）技术支持与培训

技术支持：3年内提供系统功能扩充的技术咨询服务。 现场技术支持和维护：试运行期及其后1年内，系统运行问题中，对于不能电话（邮件或传真）解决的复杂问题，到现场进行技术支持服务。

现场操作支持：1年内，系统使用过程中，对于不能电话（邮件或传真）解决的复杂问题，到现场进行系统操作方面的技术支持服务。

维护期以优惠的价格提供零配件

（九）保修期

从最终验收完成之后的一年为保修期，保修期间我方要保修除消耗品以外的所有设备。在保修期内，如果系统发生故障，设备的所有硬件和软件出现的不合格部分，我方要调查故障原因并迅速修复或更换，直至满足最终验收指标和性能的要求，或者更换整个或部分有缺陷的材料。由此所发生的全部费用由我方负责。

保修期以后，我方对其提供的设备提供终身的技术支援。对于设备故障，我方应在24小时内作出响应并及时修复。

（十）保证售后服务质量的措施

⑴.同类工程不定期举办技术讲座或培训班。单项工程在系统设备交付前试运行过程由工程负责人安排为用户培训人员，使其掌握系统性能，会正确操作，排除简单故障。

⑵. 技术咨询服务分电话服务和信函（传真）回复。

电话回复：当用户在使用过程中遇到技术问题或其它问题时，服务人员通过电话耐心解释，一时难以回答的技术问题应及时组织相关人员商量研究，尽量在当日内答复用户，并作记录。 信函（传真）回复：用户用信函反映问题时，收到信函后三日内予以电话或挂号信回复，用户来信要有登记，并交售后服务部门存档。

⑶. 售后服务部门负责售后服务质量信息的收集、整理，每季度召集各相关项目的项目经理开会，探讨不断提高工程质量的有效措施，并付诸实施。

⑷. 系统设备使用过程中出现故障，接到信息后记录信息，内部协调后，立即用电话回复，约定时间，组织力量前往上门服务。保修期内免费，非正常使用的损坏，只收取成本费。 ⑸. 维修人员完成任务（排除故障）后与用户共同填写“售后（技术）服务报告”一式两份，交用户和售后服务部门保存。此报告作为维修人员报销、记奖考核的依据。

⑹. 用户跟踪服务，根据工程项目联系卡，建立用户跟踪服务制度。对重点工程重点跟踪。重点工程跟踪在工程验收投入使用后的头一年，每月主动电话咨询一次。第二年，每季度跟踪一次；第三年至第五年，每半年跟踪询问一次，有问题及时沟通及时解决。每次电话内容要有记录。

⑺ .条件成熟时组织用户座谈会，走访用户开展上门服务。