方案标书样例.docx
《方案标书样例.docx》由会员分享,可在线阅读,更多相关《方案标书样例.docx(13页珍藏版)》请在冰豆网上搜索。
方案标书样例
方案设计一
(交换和路由两方面)
一、总体规划
公司建设初期已经实施了简单的网络系统,但随着公司规模的不断扩大和业务的不断扩展,员工数量的不断增多和信息应用系统的不断增加,现有的网络系统逐渐不能满足企业信息化建设的要求,因此计划对宁波总公司的局域网络和总公司与分公司之间互联网络进行重新规划设计,以提高网络的可用性、安全性和可靠性,并保留一定的可扩展性,在公司内实现一个完善、高效、高可用性和高可靠性的办公网络,用以满足各项业务发展的需要。
(一般都是大体德的一样的,开头的,没有特别要求)
(一)网络总体设计(文章开篇要求不太冗长,就是分析项目需求,告诉投标企业那些需求你所总结出的结果,就是要求某公司的需要,并表明你的标书适合这个企业的程度))
1.1XX公司需求分析概述
XX公司是一家拥有300名员工的新型IT企业,公司有近300台运行windows2000/xp的计算机。
公司总部位于宁波,并分别在A市、B市设有分公司。
总部设有财务、生产和销售4个部门,每个分公司则由销售、生产和财务3个部门组成,由总部统一管理。
网络拓扑图(自己画的,就是大体上面标出那个交换机或路由器在余姚还是慈溪还是宁波,不需要很详细)
注:
以上pc机只起到代表作用
主要技术如下:
(二)设备清单(要表明每个设备的情况,到时好购买,进行预算)
代码
设备名称
型号规格
单位
数量
说明(作用)
外网
internet
1
服务器(FTP)
以满足要求为原则,适时选配
台
至少1台
作为主服务器、数据库服务器、文件服务器、视频点播服务器、WEB服务、和E—mail服务器等
2
路由器
Cisco2621
台
3
可采用有线通、ISDN、ADSL、FTTB、专线等
3
中心交换机
Cisco3550
台
2
有光纤扩展接口或三层交换功能,易扩展管理
二、设备命名规范和连接规范(可以写成两列,也可为表格,但必须要说明每一台设备的命名可用先地名再部门名再机器名号等,不需硬性规定,可与样例一样))
(一)设备命名规范
总公司的路由器nb-Ra
总公司的2950-1交换机nb-xs-s1
总公司的2950-2交换机nb-cw-s2
总公司的2950-3交换机nb-yf-s3
总公司的3550交换机nb-Sa
总公司的3550交换机nb-Sb
总公司的销售客户机1nb-xs-pc1
总公司的财务客户机1nb-cw-pc2
(二)设备连接规范(若在图中标示可使每设备显得混乱,所以在图中会更清楚,相当于对拓扑图进行解释,要求图中出现的端口都要详细规定)
设备
端口
所连接的设备及端口
Ra
S0
Rb-S0
S1
Rc-S0
F0/0
Sa-F0/0
F0/1
Sb-F0/0
Rb
e0/0
S4-f0/0
Rc
e0/0
S5-f0/0
Sa
F0/1
Sb-f0/1
F0/2
S1-f0/0
F0/3
S2-f0/0
F0/4
S3-f0/0
Sb
F0/2
S1-f0/1
F0/3
S2-f0/1
F0/4
S3-f0/1
(三)VLAN划分与IP地址规划(要好好规划)
总部设有财务、研发和销售3个部门,总公司共有大约180人,每个部门最多可以容纳30人,总公司内的VLAN按照部门进行了划分,并分配相应的IP地址:
部门
Vlan号
Vlan名
网络IP
宁波总部销售部
Vlan11
xiaoshou
192.168.1.32/27
宁波总部财务部
Vlan22
caiwu
192.168.1.64/27
宁波总部生产部
Vlan33
shengchan
192.168.1.96/27
B市分公司
Vlan100
cixi
10.0.4.0/24
A市分公司
Vlan200
yuyao
10.0.3.0/24
VLAN端口的划分:
(表格说明,清晰)
设备名
Trunk口
VLAN1接口
VLAN2接口
VLAN3接口
S1
F0/0-3
F0/4--8
F0/9--12
F0/13--16
S2
F0/0-3
F0/4--8
F0/9--12
F0/13--16
S3
F0/0-3
F0/4--8
F0/9--12
F0/13--16
(四)交换部分设计(说明再设计中用到那些技术,并说明用到那些地方////或者可以介绍技术(命令)就如VTP技术,协议等等,但是技术说明必须与项目相关)
为了提高可靠性,将网络设计成双核心结构,为保证高性能,采用双核心进行负载分担。
当其中一个核心交换机出现故障的时候,数据能够自动转换到另一台交换机上,启到冗余备份的作用。
1、配置VTP
首先在三层交换机SWa配置VTP域名为:
XX.com,模式为server,VTP口令为123456,使用version2版本,启用vtp修剪功能。
2、在Sa的vlan数据库上(全局模式下也可以)创建vlan11、vlan22、
vlan33。
名称以此为xiaoshou、caiwui、shengchan。
创建vlan,其它加入vtp域的交换机就能学习到相同的vlan,但是不学习端口划分。
)
3、在其它交换机上设置vtp域名为XX.com,模式为client.并配置VTP密码为123456。
4、配置STP
(1)、在Sa上设置vlan11、vlan22和vlan33的根网桥(第一种设计方法,设置好的优先级为24576)
注意:
设置根网桥的目的是为了优化网络,保持网络的稳定性。
(2)、配置交换机互连的所以端口为trunk模式.配置交换机Sa的fa0/1端口为trunk模式,并激活端口。
(只有trunk端口才运行VTP,STP和vlan之间相互通信,Sa的配置与Sb的配置相同。
5、PPP分装
点对点协议(PPP)为在点对点连接上传输多协议数据包提供了一个标准方法。
PPP最初设计是为两个对等节点之间的IP流量传输提供一种封装协议。
在TCP-IP协议集中它是一种用来同步调制连接的数据链路层协议(OSI模式中的第二层),替代了原来非标准的第二层协议,即SLIP。
除了IP以外PPP还可以携带其它协议,包括DECnet和Novell的Internet网包交换(IPX)。
PPP主要由以下几部分组成:
封装:
一种封装多协议数据报的方法。
PPP封装提供了不同网络层协议同时在同一链路传输的多路复用技术。
PPP封装精心设计,能保持对大多数常用硬件的兼容性。
链路控制协议:
PPP提供的LCP功能全面,适用于大多数环境。
LCP用于就封装格式选项自动达成一致,处理数据包大小限制,探测环路链路和其他普通的配置错误,以及终止链路。
LCP提供的其他可选功能有:
认证链路中对等单元的身份,决定链路功能正常或链路失败情况。
网络控制协议:
一种扩展链路控制协议,用于建立、配置、测试和管理数据链路连接。
配置:
使用链路控制协议的简单和自制机制。
该机制也应用于其它控制协议,例如:
网络控制协议(NCP)。
为了建立点对点链路通信,PPP链路的每一端,必须首先发送LCP包以便设定和测试数据链路。
在链路建立,LCP所需的可选功能被选定之后,PPP必须发送NCP包以便选择和设定一个或更多的网络层协议。
一旦每个被选择的网络层协议都被设定好了,来自每个网络层协议的数据报就能在链路上发送了。
链路将保持通信设定不变,直到有LCP和NCP数据包关闭链路,或者是发生一些外部事件的时候(如,休止状态的定时器期满或者网络管理员干涉)。
6、NAT技术
NAT(网络地址转换):
它是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标准,允许一个整体机构以一个公用IP(InternetProtocol)地址出现在Internet上。
顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。
NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关处将内部地址替换成公用地址,从而在外部公(internet)上正常使用,NAT可以使多台计算机共享Internet连接,这一功能很好地解决了公共IP地址紧缺的问题。
方案设计二
一、路由部分设计
(一)OSPF区域规划(为何使用OSPF协议而不是其他的,并对该协议的区域划分等进行说明)
可根据网络用户的要求来平衡费用和性能,以选择相应的路由。
在一个自治系统内可划分出若干个区域,每个区域根据自己的拓扑结构计算最短路径,这减少了OSPF路由实现的工作量;OSPF属动态的自适应协议,对于网络的拓扑结构变化可以迅速地做出反应,进行相应调整,提供短的收敛期,使路由表尽快稳定化。
每个路由器都维护一个相同的、完整的全网链路状态数据库。
这个数据库很庞大,寻径时,该路由器以自己为根,构造最短路径树,然后再根据最短路径构造路由表。
路由器彼此交换,并保存整个网络的链路信息,从而掌握全网的拓扑结构,并独立计算路由。
分为三个区域:
are0are1are2
总公司为区域are0A市为区域are1B市为区域are2
(二)路由器IP规划
路由接口
IP地址
3层交换机上的路由接口1(F0/0)
192.168.1.161/27
3层交换机上的路由接口2(F0/1)
192.168.1.129/27
3层交换机上的路由接口3(S0)
10.0.2.1/24
3层交换机上的路由接口4(S1)
10.0.1.1/24
路由器RbS0接口
10.0.2.2/24
路由器RbE0接口
10.0.3.1/24
路由器RcS0接口
10.0.1.2/24
路由器RcE0接口
10.0.4.1/24
(就是要根据公司的具体情况进行相关设备的配置)
二、广域网部分(公司外网事情,如何让公司上外网的配置,考察任务书中的要求)
广域网通常跨接很大的物理范围,它能连接多个城市或国家并能提供远距离通信。
广域网内的交换机一般采用点到点之间的专用线路连接起来。
广域网的组网方式有虚电路方式和数据报方式两种,分别对应面向连接和无连接两种网络服务模式。
(一)、网络设计思路
公司目前的需求和未来的发展,在设计和建设公司的网络中,我们
坚持全局统一规划,既做到与公司信息化长远发展相适应,又坚持分步实施、稳步
实施的策略。
将计算机网络建设成一个起点高、安全可靠、易于扩充和升级、便于管理
使用的网络系统。
具体包括:
1.坚持严格按照国家烟信息网的建设原则和标准进行设计。
2.网络系统应充分考虑现有的网络设备的使用,并保持与相关国际标准、国家标准以及主流操作系统、网络协议的兼容性,体现网络的先进性。
3.各局域网的信息能够及时、准确、透明地传输到决策、管理、生产和销售等部门,各局域网之间相互沟通。
4.建立一个负载均衡的网络系统,要求其具有较高的可靠性、可管理性及容错性。
5.具有很好的扩展性,以备将来有支持多媒体信息,如图像、话音、数据的同时传输的能力。
6.信息中心是一个具有信息转发、信息存储共享、信息综合处理及查询服务能力的交换网络的核心,为全局提供必要的信息服务。
7.网络便于管理、维护和使用。
(二)、网络技术设计
1.网络关键技术选型
(1)广域网线路选型
专用线路为远程瑞点之间提供点对点固定带宽的数字传输通路,尤其在对速度、安全和控制要求甚高的WAN应用环境,是实现WAN连接的主要手段,其通信费用由专用线路的带宽和两端之间距离决定。
由于各单位地距离不是很远,宁波网通将提供宽带数字电路(SDH),不仅可靠性高、并且具有很好的性能价格比。
因此在网络设计中我们选用SDH或DDN线路作为广域网的首选线路。
(2)交换以太网技术
交换以太网是先进并比较成熟的网络技术。
它在保证与以太网协议兼容的前提下,提高络利用率,减少网络资源争夺造成的冲突,使网络性能大幅度提高,以满足各类数据信息传输的要求。
动态交换代表了当今交换技术发展的方向,所以在网络设计中采用基于动态交换技术。
(3)VLAN(虚拟局域网)技术
VLAN是逻辑上的网络,可以避免许多实际网络的缺点和限制。
在同一个虚拟网络VLAN内部的成员属于同一个共享介质区域,可以相互连通;不同VLAN之间的成员是不可能直接进行相互访问的,从而可以满足实际生活中各机构管理的需要,使得日常的管理维护非常方便。
我们利用VLAN技术,对不同部门或不同的服务性质划分,保证信息资源仅对合法用户开放,同时可以简化终端的删除、增加、改动,控制通信活动,保护工作组和网络安全。
(4)第三层或多层交换技术
从网络用户的角度看,LAN通讯被分成两种等级的性能。
数据包直接通过交换机进行传递时,享受着高速公路快速的、稳定的传递性能。
但是那些被迫经过路由器的数据包只能使用慢速通路,当流量负荷严重时,会受到更严重的延迟困扰。
多层(三层)交换技术正是交换技术和路由技术智能化的组合,它为各种结构的局域网提供一个完整的、集成的解决方案。
2.广域网设计
XX公司主干网的拓扑结构是:
以宁波总公司为中心的星型结构。
XX公司广域网是以宁波电信SDH或DDN专线系统为基础,以市局信息中心为中心,将各二级单位局域网连接起来,同时考虑了线路和设备的备份。
为了确保在现有和不断发展的通讯条件基础上,实现系统最大程度的互联性和管理性,在网络设计中统一采用一致的网络协议、路由协议和网络操作系统标准,建立了XX公司的Intranet网络。
(2)广域网路由协议
在一个大型的广域网中,路由协议的选择主要取决于两个方面,一个是广域网的拓扑结构,另一个是路由协议的效率。
我们在广域网中使用OSPF作为主干路由协议,OSPF是由属于IETF的IGP工作组所开发的,是为IP网络而设计的,成为一种标准的路由协议,被大多数路由器厂家支持,它不但具有较高的效率,而且具有可靠的安全机制和良好的开放性。
(3)广域网中心节点设计
信息中心是XX公司广域网的信息交换中心,是所有二级单位网络出口信道的路由汇接枢纽,也是整个XX公司广域网络的控制、管理和维护中心。
汇接路由器用于信息中心与各二级单位的网络连接,由于其处于广域网的汇接中心位置,因此要求具有很高的包转发和交换能力、足够的接入端口种类和数量,并具有较强的管理控制能力等功能。
为此在市局信息中心配置两台Cisco 3662路由器,既起到备份的作用,又确保负载均衡,其采用先进的体系结构设计,高的备板路由能力,具有很高的性能价格比,对语音图象等新技术有全面的支持。
对于XX公司这样大型的计算机广域网络,路由备份功能是不可缺少的,在网络设计中,在Cisco 3662上增加NM16-AM及NM-8B-S/T模块,ISDN线路或电话拨号网作为路由备份线路,以保证网络正常运行,减少瘫痪时间,它是降低经济损失。
(4)IP地址分配
XX公司广域网IP地址是参照行业标准计算机网络建设技术规范进行设计。
下属单位根据其网络规模得到一个或多个C类网段的IP地址路由协议
三、网络安全性设计(可有可无,其实还是不需的,)
(不会硬件写软件,若是软件就要看软件的功能;硬件就要详细配置过程)
(一)网络安全建设管理
信息安全管理是XXNET管理的组成部分,它必然具有规划、组织、协调和控制等管理的基本特征。
通过系统风险分析和评估等手段确定XXNET公司的信息系统安全需求和目标,围绕“积极预防、及时发现、迅速响应、确保恢复”的方针进行安全运行维护,控制风险。
在预防环节,应重点考虑安全预警、账号口令管理、端口服务管理、补丁管理、终端管理等基础性和日常性工作,在威胁到来之前,消除网络内部所有可能被攻击者利用的安全隐患,如管理的薄弱环节、系统漏洞、弱口令等。
在发现环节,主要通过业务系统中部署的防火墙、IDS以及日志分析系统、CERT组织的信息、投诉信息以及流量监控系统等,建立安全日常监控制度,及时发现网络入侵并采取措施,将损失降低到最低。
在安全事件响应和业务系统恢复环节,需要按照业务连续性要求,制定备份和应急响应预案,并定期演练。
确保在出现紧急安全事件时能够迅速确定事件性质并恢复系统。
同时,为避免由于一个新的业务系统引入时存在安全隐患,导致整个网络环境安全水平下降,应该按照国家“同步规划、同步建设、同步运行”的安全建设方针,明确在业务系统规划阶段增加安全需求的审核、安全防护方案的制定。
对于网络信息安全有两个普遍的观点:
其一是“三分技术,七分管理”,说的是网络信息安全主要靠管理手段来保障,技术对网络信息安全的贡献只占三成;其二是“木桶原理”,说的是网络信息安全由一些基本的安全因素构成,这些安全因素中最脆弱的哪一部分将成为网络信息安全的最大威胁。
(二)网络一般安全策略
(1)物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
(2)计算机硬件和软件的资产安全
主要包括计算机硬件不被替换或者移走,所使用的计算机软件是否存在版权问题,是否使用了不允许使用的软件等。
(3)网络体系结构安全
主要包括如下一些内容:
相对独立的局域网的拓扑结构不存在环路。
通信线路通信性能上不存在瓶颈。
通信线路某一部分故障影响的范围尽可能小。
通信网络设备故障影响的范围尽可能小。
局域网与Internet的连接要有隔离措施等。
(4)网络服务器安全控制
网络允许在服务器控制台上执行一系列操作。
用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。
网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
(5)网络端口和节点的安全控制
网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。
自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。
网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。
在对用户的身份进行验证之后,才允许用户进入用户端。
然后,用户端和服务器端再进行相互验证。
(6)防火墙控制
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。
在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
(三)、ACL设计(ACL要设计,要保证公司的服务器要安全,至少要两个访问控制列表,至于用哪个,随意)
访问控制列表(AccessControlList,ACL)是路由器接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
基本原理:
ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
功能:
网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。
ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
IP访问控制列表的分类:
1.标准IP访问控制列表
当我们要想阻止来自某一网络的所有通信流量,或者充许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。
标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。
2.扩展IP访问控制列表
扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。
扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。
3.命名访问控制列表
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。
使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。
在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。
实现方法:
首先在全局配置模式下定义访问列表,然后将其应用到接口中,使通过该接口的数据包需要进行相应的匹配,然后决定被通过还是拒绝。
并且访问列表语句按顺序、逻辑地处理,它们在列表中自上向下开始匹配数据包。
如果一个数据包头与访问权限表的某一语句不匹配,则继续检测列表中的下一个语句。
在执行到访问列表的最后,还没有与其相匹配的语句,数据包将被隐含的“拒绝”语句所拒绝。
(三)网络可靠性设计
(一)设备和链路冗余
在骨干网设备连接中,单一链路的连接很容易实现,但一个简单的故障就会造成网络的中断.因此在实际网络组建的过程中,为了保持网络的稳定性,在多台交换机组成的网络环境中,通常都使用一些备份连接,以提高网络的健壮性、稳定性.
这里的备份连接也称为备份链路或者冗余链路.备份链路之间的交换机经常互相连接,形成一个环路,通过环路可以在一定程度上实现冗余.
链路的冗余备份能为网络带来健壮性、稳定性和可靠性等好处,但是备份链路也会使网络存在环路,环路问题是备份链路所面临的最为严重的问题,交换机之间的环路将导致网络新问题的发生:
广播风暴
多帧复制
地址表的不稳定
以下是对链路冗余的设计
1,网络结构:
环形物理拓扑,星形逻辑拓扑。
核心交换机采用3550×2做HSRP;接入层(或者说汇聚层,只有2层)交换机3部为2950,每2部间有链路互联用作冗余。
2,VLAN设计:
3个VLAN,通过配置RSTP在核心HSRP的两部交换机之间做负载均衡
3,服务器连接:
1部服务器,所有服务器连接在3550上,双网口一边一个。
(二)HRSP设计
XX里的每个成员路由器仍然是标准的路由器,客户端仍然可以将成员路由器配置成其默认网关。
在Cisco路由器中,最多可以配置256个HSRP组,因为HSRP能够使用的MAC地址类似于:
0000.0c07.ac**。
HRSP每隔3秒发送hello包,包括groupID,HSRPgroup和优先级(默认为100)。
路由器彼此之间依据优先级,确定优先级最高的路由器是活动路由器。
如果优先级相同,在IP地址高的成为活动路由器。
在HRSP组中,只允许同时存在一个活动路由器,其他路由器都处于备用状态,备用路由器不转发数据包。
如果备用路由器持续不断地收
升级会员 