20090310局域网建设方案及配置报价

局域网建设方案及配置报价

第一章 用户需求分析

1.1用户现状

客户一共有40台电脑客户端，未联网，没有服务器。

1.2建设目标

1. 建设一个专用通讯子网,一个多协议的数据网络，并在所有的通讯子网接入节点上支持TCP/IP计算机网络协议。

2. 具备接入所有业务系统的能力，支持各业务系统所要求的计算机网络协议，而且具有多种常用网络协议的支持，保证在有新的业务应用时，可以提供有力的支持。

3. 在互联网上能够将业务、办公自动化集成在同一个网络中，以充分利用信道带宽。在保证目前应的情况下，使网络具有一定的先进性，保护用户的投资。

4. 具有相对完善的网管系统，能对计算机网络进行有效的监控管理，优化网络流量，提高网络运行的安全性，通过日志文件等多种手段，保证网络的高效运行。

1.3对服务器的要求

1. 主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力； 2. 主机系统应具有高的可靠性，能长时间连续工作，并有容错措施； 3. 支持通用大型数据库，如SQL、Oracle等；

4. 具有广泛的软件支持，软件兼容性好，并支持多种传输协议；

5. 能与Internet互联，可提供互联网的应用，如WWW浏览服务、FTP文件传输服务、E-mail电子邮件服务、NEWS新闻组讨论等服务； 6. 支持SNMP网络管理协议，具有良好的可管理性和可维护性；

第二章 系统设计

2.1系统结构拓扑图

第三章 系统配置及报价

序号 产品名称 规格型号 技术性能及参数 CPU：新四核XEON 5405(2.0G\\12M缓存\\1333MHZ)*1\\可支持2个CPU；内存：2*2G FBD DDRII内存\\6个DIMM插槽\\可支持内存热备份功能；硬盘：2*500G SATA热插拔硬盘（7200转）\\最大支持4个硬盘\\板载SATA RAID0,1；slim CD光驱\\USB软驱\\集成INTEL双千兆网卡\\支持网卡冗余、负载均衡等功能\\集成ATI显卡，16M显存1 服务器 联想万全R510 G6(1U) \\600W单电源\\键鼠\\导轨\\万全慧眼III服务器监控管理系统专业版，支持IPMI2.0，实现远程硬件健康状况监控，远程开关机等\\可选万全慧眼III服务器监控管理系统高级版，实现远程KVM完全接管，远程虚拟设备\\1个I/O扩展槽\\1U机架\\支持联想独有的LECOT能耗优化技术\\免工具机柜上架技术\\开机自动故障诊断技术\\3年主要硬件免费保修+3年主要硬件故障免费上门服务\\厂家投标授权函和供货及售后服务承诺函原件 2 内网交换机 外网交换机 防火墙 机柜 操作系统 LS-3600-52P-SI H3C S3600-52P-SI以太网交换机主机,48个10/100Base-T,4个千兆SFP上行口,交流供电 H3C S3100-16TP,以太网交换机,16个10/100Base-T FE,2个COMBO Ports,交流供电 H3C SecPath F100-S 主机-交流电源(4FE) 标准机柜 1 台 11500 11500 1 台 15500 15500 数量 单位 单价 金额 3 LS-3100-16TP H3C SecPath F100-S 金盾 1 台 3150 3150 4 5 6 1 1 1 台 12500 面 套 2600 5800 12500 2600 5800 WINDOWS server WINDOWS SERVER 2003中文版（5用户标准版），2003 含光盘介质与用户手册 含2个服务器端(ServerProtect Ver5.58版)和7 网络杀毒软件 趋势网络版杀毒软件 100个客户端(OfficeScan Ver7.3版)，含一年的电话和电子邮件服务和升级(免费)；须同时支持Windows和Linux/Unix三种操作系统，并须支持最新的Windows Vista 1 套 18700 18700 8 不间断电源 综合布线 3KVA，后备2小时， EAST 12V24H原装电池16节,EAST EA903H 电池箱，CPU带内部软件智能电池管理功能，带网络管理软件 按实际使用线材计算 布线施工、安装调试、系统集成费用（含布线辅料等费用） 1 1 项 12500 项 6500 12500 6500 101750 1 套 13000 13000 9 10 施工费用 合计 人民币（大写）：壹拾万零壹仟柒佰伍拾元整

第四章 设备主要性能及参数

4.1联想万全R510 G6(1U)

R510 G6服务器采用了1U机架式结构，占用托管空间很小。标配1颗新XEON 5405四核处理器，核心频率2.0GHz，前端总线1333MHz，四核共享12M二级缓存，最大支持2颗四核CPU。配备了2*2G 533 FBD DDRII全缓冲内存，ECC技术能够有效的降低内存寻址时产生的错误。

存储上，标配了2块500GB SATA硬盘，支持4个热插拔硬盘位。主板IDE控制器集成单通道ATA100；集成4口 SATAII，可选板载SATA RAID 0，1，10，此外还集成了SAS控制器。采用Intel双千兆自适应网卡，支持网卡冗余、负载均衡等功能，双网卡可分担网络流量负载，避免网络流量过大给服务器系统带来的死机宕机等问题。电源方面，支持AC 90-264v/50Hz输入，电源输出功率600w。

4.2 H3C LS-3600-52P-SI交换机

1) 弹性扩展技术--IRF

H3C S3600系列交换机采用H3C公司创新的IRF（ Intelligent Resilient Framework）智能弹性技术，与传统组网技术相比，在扩展性、可靠性、整体架构的性能方面具有强大的优势：

?

扩展性—IRF技术允许交换机利用互联电缆实现多台设备的扩展，最大扩展

至384个10/100M端口；具有即插即用、单一IP管理，同时大大降低系统扩展的成本。

?

可靠性—通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数

据平面所有信息的冗余备份和无间断三层转发，极大的增强了堆叠架构的可靠性和性能，同时消除了单点故障，避免了业务中断。

?

分布性—通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备

份，从而提高整个网络架构的冗余性和链路资源的利用率。 2) 完备的安全策略

当前的局域网面临着越来越多的安全威胁和挑战，如何实现安全的接入控制，防止病从口入？如何对攻击源进行定位和反查？如何监控网络中的各种流量并进行分析控制？H3C S3600系列交换机在安全策略方面为用户提供全新的技术特性和解决方案。

传统的802.1X认证方式只解决了用户的权限问题，对用户终端的安全状态无能为力，病毒可以通过合法用户的感染终端进入网络系统和应用系统。H3C S3600系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

传统行业和局域网采用DHCP技术后极大简化了网络地址的分配和管理。但同时，在一个不安全的局域网中，存在恶意地址欺骗、擅自修改IP地址、私设DHCP Server等安全事件和隐患。H3C S3600系列交换机提供DHCP Snooping（侦听）功能，通过建立和维护DHCP Snooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID 接口等信息，解决了 DHCP用户的IP和端口跟踪定位问题。同时对不符合绑定表项的非法报文（ARP欺骗报文、擅自修改IP地址的报文）直接丢弃，保证DHCP环境的真实性和一致性。同时利用DHCP Snooping的信任端口特性可以保证DHCP Server的合法性。

H3C S3600系列交换机还支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。 3) 多业务融合能力

按业务类型大致分成数据、语音、视频、多媒体等，不同的业务对基础网络的要求,比如带宽、优先级、延时、端到端的QoS保证等，如果这些都需要手工进行设置和调整,那么网络的适应能力无从谈起，因此IToIP的基础网络应该是对业务变化自动感知和自动适应的系统，对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。

例如对于语音业务来说，大量的IP PHONE的部署需要配置和远程供电，H3C S3600系列交换机通过支持Voice VLAN技术和智能POE技术很好的解决了该类设备的智能检测、供电和优先级的调整问题。

Voice VLAN技术是指交换机通过识别端口的语音流，将对应的接入端口加入Voice VLAN（专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先

级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN安全特性，只允许语音流量通过，可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。

PoE（Power over Ethernet）技术是指通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。PoE技术符合802.3af标准，通过以太网电口对外供电，采用数据线提供-48V直流电源。当PD设备插到端口上后，交换机将自动对PD设备进行检测，进行功率分类，并根据当前剩余电源、端口供电优先级的配置、端口最小功率配置等参数，决定是否对此设备供电以及分配功率。通过PoE技术和Voice VLAN技术的结合可以提供完整的语音设备管理方案。 4) 高可靠性设计

H3C S3600系列交换机除了支持高可靠性的IRF技术以外，还支持传统的STP/RSTP/MSTP和Smart Link二层链路保护技术，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。

支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓扑结构，保持通讯的连续性和可靠性，有效保障网络稳定。

支持ECMP（等价路由），通过配置多条等值路径实现上行路由的冗余备份和负载分担。

采用交流/直流双输入设计，设备既可以采用交流电源输入，也可以直流电源输入，二者之间热备份。 5) 简单易用的管理维护

H3C S3600系列交换机支持VCT（Virtual Cable Test）电缆检测功能，便于快速定位网络故障点。

支持DLDP（Device Link Detection Protocol，设备连接检测协议），可以监控光纤的链路状态。如果发现单向链路存在，DLDP 协议会根据用户配置，自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。

支持SNMP V1/V2/V3，可支持Open View等通用网管平台，以及iMC智能管理中心。支持CLI命令行，Web网管，Telnet，HGMP集群管理，使设备管理更方便。通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力。

4.3 H3C LS-3100-16TP-SI交换机

1) 千兆上行、线速交换

H3C S3100系列千兆交换机具有19.2Gbps的总线带宽，为所有端口提供二层线速交换能力，同时支持千兆上行，满足当前多业务融合对高带宽的需求。 2) 完备的安全控制策略

H3C S3100系列千兆交换机支持802.1x认证，在用户接入网络时完成必要的身份认证，支持MAC地址和端口等多元组绑定、广播风暴抑制和端口锁定功能，保证接入用户的合法性。

支持跨交换机的远程端口镜像功能（RSPAN），可以将接入端口的流量镜像到核心交换机（例如S9500/7500）上，在核心上启动网流分析（Netstream）功能，对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。 3) QoS能力

H3C S3100系列千兆交换机支持每个端口4个输出队列，支持2种队列调度算法：WRR调度算法和HQ+WRR调度算法，可以以不同的优先级将报文放入端口的输出队列。支持端口双向限速，限速的控制粒度最小可达64 Kbps。满足用户多业务识别、分类、资源调度的需要。 4) 简单易用的管理和维护

H3C S3100系列千兆交换机采用无风扇静音设计，特别适合在楼道和办公室使用。支持VCT（Virtual Cable Test）电缆检测功能，便于快速定位网络故障点。

支持堆叠功能，通过增加设备来扩展端口数量和交换能力，多台设备之间的互相备份增强了设备的可靠性，从而保证了网络的平滑升级并能降低扩建成本；同时对多台设备统一管理，降低了管理成本。

通过FTP、TFTP实现设备的远程升级，支持HGMP集群管理系统和故障诊断，实现了设备的集中管理和维护 。

支持SNMP，可支持HP OpenView等通用网管平台，以及H3C iMC网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。

4.4 H3C SecPath F100-S防火墙

SecPath系列产品是H3C公司为中小、大型企业以及运营商用户设计的专业网络安全产品，通过将强大安全抵御功能、专业VPN服务和智能网络特性无缝集成在一个硬件平台上，不但能为用户提供广泛和深入的安全防护和安全连接功

能，同时可以降低与安全相关的总体拥有成本以及部署的复杂程度，是网络安全解决方案的理想选择。

SecPath系列产品作为H3C公司SPN（安全渗透网络）解决方案的重要组成部分，已经成为H3C公司IToIP核心理念中的IP自适应安全网络的坚实基础。 1) 产品概述

SecPath F100-S是H3C公司面向大中型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。

SecPath F100-S 防火墙产品

2) 产品特点

市场领先的安全防护功能

? 增强型状态安全过滤：支持基础、扩展和基于接口的状态检测包过滤技

术，支持按照时间段进行过滤；支持H3C特有ASPF应用层报文过滤（Application Specific Packet Filter）协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245， RTP/RTCP等）应用层协议的状态监控，支持TCP/UDP应用的状态监控。

? 抗攻击防范能力：包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、

提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能；支持智能防范蠕虫病毒技术。 ? 应用层内容过滤：可以有效的识别网络中各种P2P模式的应用，并且对

这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题和内容过滤；支持网页过滤，提供HTTP URL和内容过滤；支持应用层过滤，提供Java/ActiveX Blocking和SQL注入攻击防范。

? 多种安全认证服务：支持RADIUS和HWTACACS协议及域认证；支持基于

PKI /CA体系的数字证书（X.509格式）认证功能；在PPP线路上支持CHAP和PAP验证协议；支持用户身份管理，不同身份的用户拥有不同的命令执行权限；支持用户视图分级，不同级别的用户赋予不同的管理配置权限。

? 集中管理与审计：提供各种日志功能、流量统计和分析功能、各种事件

监控和统计功能、邮件告警功能。

? 全面NAT应用支持：提供多对一、多对多、静态网段、双向转换 、Easy

IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。 专业 灵活的VPN服务

? 支持L2TP VPN、GRE VPN、IPSec VPN、动态VPN等多种VPN业务模式。 ? 利用动态VPN（DVPN）技术，简化VPN配置，实现按需动态构建VPN网

络。

智能网络集成及QoS保证

? 支持路由、透明及混合运行模式 ? 支持静态路由协议

? 支持RIP v1/2、OSPF、BGP动态路由协议 ? 支持路由策略及策略路由 ? 支持基于802.1q VLAN ? 支持PPPoE Client/Server ? DHCP Client/Server/Relay

? 支持流分类、流量监管、流量整形及接口限速 ? 支持拥塞管理（FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ） ? 支持拥塞避免（WRED） 设备高可靠性

? 36年的平均无故障时间(MTBF) ? 远端链路状态监测（L3 monitor） 智能 图形化的管理

? 通过Web方式进行远程配置管理。

? 通过Quidview 网管软件实现与网络设备的统一管理。

? 通过Quidview BIMS系统对数量众多、位置分散的设备提供智能和高效

管理。

? 通过Quidview VPN Manager系统对VPN进行动态和图形化的业务管理和

状态监控。

本文来源：https://www.bwwdw.com/article/yi9x.html