【房地产物业管理】物业项目投标管理方案

时间：2021-04-24 18:03:50 来源：蒲公英阅读网 本文已影响人

相关热词搜索：投标 物业管理 物业

【房地产物业管理】物业项目投标管理方案 本文关键词：投标，物业管理，物业，方案，项目

【房地产物业管理】物业项目投标管理方案 本文简介：天马行空官方博客：http://t.qq.com/tmxk_docin；QQ:1318241189；QQ群：175569632物业项目投标管理方案方案名称××小区物业项目投标管理方案受控状态编号我公司接到××小区业委会发来的投标邀请函，经过对此小区的多方考察并结合本公司的实际情况，经公司总经理会议研

【房地产物业管理】物业项目投标管理方案 本文内容：

天马行空官方博客：http://t.qq.com/tmxk_docin

；QQ:1318241189；QQ群：175569632

物业项目投标管理方案

方案名称

××小区物业项目投标管理方案

受控状态

编

号

我公司接到××小区业委会发来的投标邀请函，经过对此小区的多方考察并结合本公司的实际情况，经公司总经理会议研究决定，决定参加此次竞标，力争与之顺利合作。

一、前期调研情况说明

1．小区（大厦）主推户型为面积适中的中小户型，业主数量相对较多，由此引发装修、停车、治安、消防、环境等管理项目所产生的问题多而复杂。

2．据我们的研究分析，未来的业主以首次置业者及来在此工作多年的工薪阶层为主，且多为具有一定学历的阶层，素质相对较高，对物业管理的期望值也较高，因此要求物业管理企业实现管理方式和管理手段的现代化。

……

二、职责

1．公司总经理负责对外投标书编制工作的组织安排和质量控制。

2．公司各职能部门抽调相关人员组成投标编制小组，负责投标书的具体编制工作。

三、投标书的编制

1．人员安排

公司在接到物业管理招标书邀请（或议标书邀请）后，通过对该项目的分析考虑公司实际情况，公司决定参加投标，由公司总经理组建投标书编制小组，其小组分工如下。

（1）经营管理部人员负责及时全面地收集拟接项目的信息。

（2）财务部人员负责开办费用、管理成本、预期效益的测算。

（3）物业部人员负责日常管理工作方案和难点、重点管理方案的拟定、编制。

（4）行政人事部人员负责拟接项目的人员配置，设备、设施配置，以及编制投标方案资料的收集、提供。

（5）质量管理部人员负责管理目标、管理计划、质量保证措施、服务承诺的编制。

2．投标书编写的主要内容

物业管理投标书，即投标人须知中规定投标者必须提交的全部文件，主要包括如下7方面的内容。

（1）管理模式

（2）管理组织架构

（3）管理目标与管理经营宗旨

（4）管理操作

（5）管理费用收支预算方案

（6）附件

（7）招标文件要求提供的其他相关材料

3．编制物业管理投标书要求及应注意的问题

（1）编制物业管理投标书要求

①针对性强；

②可操作性强；

③体现本公司自身优势及专业水平。

（2）编制物业管理投标书应注意的问题

①确保填写无遗漏，无空缺。投标文件中的每一空白都需填写，如有空缺，则被认为放弃意见；重要数据未填写，可能被作为废标处理。

②递交的全部文件每页应签字，若填写中有错误而不得不修改，则应在修改处签字。

③填写方式规范。投标书最好用打字方式填写，或者用墨水笔工整填写。

④不得改变标书格式。若投标公司认为原有标书格式不能表达投标意图，可另附补充说明，

投标文件应字迹清楚、整洁，装帧美观大方。

⑤计算数字必须准确无误。投标公司必须对单价、合计数、分步合计、总标价及其大写数字进行仔细核对。

⑥严守秘密，公平竞争。投标人应严格执行各项相关规定。

四、参加开标会议

公司按照相关要求派出相应的人员参加开标会议，参加会议的人员同时应准备好所需的资料。

五、现场答辩

现场答辩由本公司____总负责，请做好充分准备，答辩现场中要体现本公司实力和管理服务能力。在此准备工作中，需做好如下两方面的工作。

1．答辩前

（1）分析评委可能提出的问题，作好答案提纲；

（2）对竞争对手进行深入调查分析，充分了解其优劣势，并对比己方的优劣势；

（3）知晓本公司特色的地方与优势；

（4）自行模拟训练，主要是对陈述提纲、答辩总结及答辩人的仪表、声音、动作等进行训练，及时发现问题及时纠正。

2．答辩中

（1）保持良好的仪容仪表；

（2）多利用视觉材料，提高自信，加深评委印象；

（3）合理地把握时间。

六、合同签订

评标小组若确定本公司为中标方后，由本公司____与招标方签订合同。

附件：

投标书的编制大纲

××大厦物业管理投标书

前

言

业主：____________

根据已收到的招标编号为物招审字(

)第(

)号的________物业的招标文件，遵照《××市物业管理招标投标管理办法》的规定，结合我公司的企业服务理念及标准，经我公司考察和研究上述招标文件及其他相关内容后，我方愿以我方所递交的标函摘要表中的总投标价，承担上述物业的全部管理工作。

我公司有信心、有能力全面接管此小区的物业，拟在该小区(大厦)管理中除采用以往的成功经验外，还将引进系统工程的方法技术，提高一体化管理水平，根据ISO质量管理和质量保证国际标准中有关服务行业的要求，提高服务层次，改进服务质量。

一、物业公司简介及主要经营业绩

二、拟采取的管理方式

三、工作计划

四、物业管理人员的配备及培训

五、物资装备

六、物业管理经费及收支测算

七、日常管理（环境管理、安全管理、投诉管理、车辆管理等）

八、服务承诺

九、服务项目与其他代办服务项目收费标准

十、附件

相关说明

编制人员

审核人员

批准人员

编制日期

审核日期

批准日期

篇2：技术标才是基药投标方案决胜的关键

技术标才是基药投标方案决胜的关键 本文关键词：才是，决胜，投标，关键，方案

技术标才是基药投标方案决胜的关键 本文简介：技术标才是基药投标方案决胜的关键http://www.jsfw8.com2012年01月05日09:10医药经济报作者：顾虹自2010年11月政府关于基本药物集中采购的56号文公布以来，山东、河南、江苏、湖北、浙江、甘肃、江西、云南、辽宁等十多个省份均开展了以“双信封”为主要招标形式的基本药物集中采

技术标才是基药投标方案决胜的关键 本文内容：

技术标才是基药投标方案决胜的关键

http://www.jsfw8.com2012年01月05日09:10医药经济报作者：顾虹

自2010年11月政府关于基本药物集中采购的56号文公布以来，山东、河南、江苏、湖北、浙江、甘肃、江西、云南、辽宁等十多个省份均开展了以“双信封”为主要招标形式的基本药物集中采购。

然而在沿袭“安徽模式”的“质量优先，价格合理”原则及“先评技术标，技术标得分高者进入商务标，价低者得”的主体精神之外，各地的基药招标采购方案在“实施范围”、“采购上限价”、“经济技术标标准”等多方面均存有差异：

首先，对于各省《方案》中之“实施范围”，江苏、云南、湖南等少数省份实施范围覆盖了全省政府办各级医疗机构外，其余省份绝大多数《方案》的实施范围仅为政府办基层医疗卫生机构。此外，对于河北等少数省份，还在全省划分3个采购区域，规定每个药品科在每个区域中标1家，但中标生产企业只能选择一个区域中标，按照报价由低到高依次选择区域。因此，对于江苏等个别省区，如若产品在该基药招标采购中落标，则意味着将丢失该省份所有公办医疗机构的市场。而河北等省因划分区域，单产品中标机会较大。

其次，对于各省《方案》中“采购上限价”，湖南和云南两省份各自公布招标报价指导价，要求投标价格不得在指导价之上；而其余多数省份则大同小异，基本围绕以下数点（一般所列几点需同时满足）：一是不高于该省上一轮基药招标采购中标价最低价或平均价；二是不高于发改委发布的基药平均采购价格；三是不高于基药实施前基层医疗机构实际进货价格；四是不高于省人保厅提供的2010年医保定点药店零售价格；五是不高于特定抽取省份近期基药中标平均价。

而在各省《方案》之“经济技术标标准”部分，差异更存在于各个细节层面。自56号文后，各省采取“双信封”进行基药招标采购，目前绝大多数省份的基药招标不区分质量层次评标（故目前除江苏省分4个质量分层的审评组外），而仅在技术标评审时，对于不同质量类型给予不同的分值。而各省质量类型的分值给予亦不相同。据不完全统计，该分值不同省份从10~40分不等。此外最高质量层次“专利原研药”与最低质量层次“普通GMP药品”的分数差别也从2~10分不等，其中湖北省药品质量类型的分值仅10分，质量分最大差值仅2分，远落后于其它省份。而广东省《方案》中，甚至未设质量类型的评分指标。故此，对于已入基药目录的专利药、原研药、单独定价药，在类似湖北、广东的招标中基本等同普通产品，不存在任何优势。

此外，多数省份《方案》中，对于高于GMP层次的药品、首次仿制国外药品或所谓标注特定企业生产供应（原研、单独定价、优质优价等）的药品，可自行选择是否参与该基药招标采购。以上优质药如若参与该省基药招标，则与同通用名其它产品一同竞标，如果基药招标落标，该药品仍可参与二级以上医疗机构的药品集中采购招标。但在个别省份情况有存在不同：如湖北，规定优质药若参加基药集中招标落标的规格，不能参加二级以上医疗机构药品集中招标，而基药集中招标的中标规格，除在基层医疗卫生机构销售外，也可在二级以上医疗机构销售；此外仅选择参加二级以上医疗机构药品集中招标的优质药，该中标规格不能在基层医疗卫生机构销售。贵州则明文规定，如果优质药不参加基药招标，则未来均不允许参与下一轮非基药集中采购。

各各省份“双信封”招标中技术标评标要素除质量类型外，56号令中要求的“企业生产规模”、“配送能力”、“销售额”、“行业排名”、“市场信誉”以及GMP（GSP）资质认证、药品质量抽验抽查历史情况、电子监管能力等指标均在各省《方案》中有所体现。

而除此之外，各省份还根据自身特点个性化添加了其他评分指标：如“剂型特点”、“储备条件”、“原料来源”、“产品有效期”、“临床疗效”、“品牌知名度”、“药品包装质量和方便实用”等。广东还新创了“基本药物临床覆盖率”等新指标。其中更为关键的问题是，如“临床疗效”、“品牌知名度”的评分，多数省份是主观分由专家打分决定，因此这部分的主观性和不公平性最大。各省份在评标是对于主观分的占比还各不同。最多的省份主观分占20分（江苏），少的仅占3分（湖北），其余省份主观分一般在8~12分之间。

综上可以看出，不同省份的基药招标采购规则错综复杂，无一相同。在此纷繁的招投标规则之外，像贵州省和云南省还在《方案》中设置了省内与省外分别评审的“地方保护主义”，更增加了生产企业招投标的难度。而面对各省基本药物集中采购一年一轮的招标频次，各生产企业更是分身乏术，顾此失彼。故此，如果探索出一套实施方案，技术标中的质量标准等指标评定科学公平的统一方案是众多生产企业的需求，亦将是决定未来基本药物集中采购工作成败的关键。

（本版文章观点仅代表个人意见，不代表本报立场。）

篇3：扬柴集团网络投标方案

扬柴集团网络投标方案 本文关键词：投标，方案，集团，网络

扬柴集团网络投标方案 本文简介：扬柴集团网络改造解决方案密级：秘密文档编号：090918062项目代号：JSYC–A01扬柴集团网络改造投标网络方案Ver1.0上海博达数据通信有限公司二〇一〇年七月第一章需求分析1.1现状描述扬潍柴动力扬柴迁建项目弱电工程现阶段已经基本完成一期工程。一期工程主要负责联合厂房综合布线，网络设备（联合

扬柴集团网络投标方案 本文内容：

扬柴集团网络改造解决方案

密

级：

秘

密

文档编号：

090918062

项目代号：

JSYC–

A01

扬柴集团网络改造

投标网络方案

Ver

1.0

上海博达数据通信有限公司

二〇一〇年七月

第一章

需求分析

1.1

现状描述

扬潍柴动力扬柴迁建项目弱电工程现阶段已经基本完成一期工程。一期工程主要负责联合厂房综合布线，网络设备（联合厂房建立一个IT机房存放联合厂房所需要的网络、语音设备和服务器）、监控设备（临时控制室在联合厂房）以及监控点摄像头、广播线路和设备（联合厂房IT机房内）的安装调试工作。一期网络建设实现电信和老厂区的专线连接，并且使用两台H3C产的S3600系列交换机双机冷备份模式。联合厂房的语音线路直接连接电信入口。

潍柴动力扬柴公司的产品试验室、维修车间、食堂、南北门、油库、配电房、污水处理站、水泵房、空压房等内部综合布线归属一期工程，已经初步建设或和相关供方已经签订合同，所以不在本次招标范围。

本次投标部分是潍柴动力扬柴公司网络二期工程，是公司核心网络建设（主机房设置在联合厂房201室），公司网络服务器总机房和各个分支网络的光纤敷设及设备（机房和食堂、南门、北门、维修车间、产品试验室之间的光纤线路及设备）。

按照标书的要求，下列IP地址在新区建设时不允许变更：

内部服务器IP地址段：192.107.xxx.xxx。

外部服务器DMZ区IP地址段：192.108.xxx.xxx。

对外IP地址：218.91.153.42（电信）/218.106.97.141（网通）。

1.2

信息规划

根据本次招标的潍柴动力扬柴公司信息规划，本次投标主要包括食堂、南门、北门、机模修车间、产品试验室内部交换机设备，以及和连接网络服务器总机房的光纤建设，联合厂房连接网络服务器总机房的光纤线路。

一期网络系统建设实现电信和老厂区的专线连接，并且使用两台H3C产的S3600系列交换机双机冷备份模式。

本次招标二期网络建设首先实现公司对外网络骨干网（互联网）通讯，实现双防火墙热备、双核心交换机热备，及联合厂房区域双汇聚交换机的双机热备模式，以确保网络系统硬件运行安全，同时实现企业级的网络安全保护，规划公司内部网络系统，提高公司网络安全性。其次实现二期网络系统实现和已经建设好的一期网络系统之间的互联。两个需求必须在技术方案中完整体现。

1.2.1监控网络系统（二期）拓扑图

1.2.2信息网络系统（二期）拓扑图

1.3

系统设计可达到的要求

潍柴动力扬州柴油机有限责任公司新建厂区网络系统设计方案充分考虑潍柴动力扬柴新区整个网络系统布局，考虑有线和无线网络系统资源相结合，考虑潍柴动力扬柴计算机现有资源，以及网络安全、稳定性。确保整个公司网络系统高效、高速、可靠、安全的运转。

1．3.1、实用性：系统简单实用，用户操作、维护简单。完全满足潍柴动力扬柴的实际需要，同时最大限度的节约投入资金。

1.3.2、先进性：在系统设计中采用目前世界上先进的网络设备和综合布线系统。按照国际上成熟的系统结构进行工程安装。

1.3.3、可靠性：系统设备选用技术先进、性能可靠的成熟产品，所有这些设备的技术参数符合国家有关标准的规定。应采用在实际工程广泛应用的成熟可靠的先进技术或产品，以保证系统的长期正常运行。

1.3.4、可扩展性：设计应充分考虑到未来技术发展和使用要求的变化，系统功能扩展和技术提升的可能性，以充分保护投资，保证可持续发展的要求，确保潍柴动力扬柴的投资效益。

1.3.5、设计必须符合相关国际、国家及行业规范及标准。采用国际及行业开放的技术标准和标准化的产品，避免系统互联或扩展出现障碍。

1.3.6、安全性：包括系统自身安全和信息传递的安全。

潍柴动力扬柴公司核心主干网络（千兆），百兆到端。根据潍柴动力扬柴公司信息系统规划要求，主干网络实现千兆速率传输（未来可以扩充实现G级或T级网速需求），核心层绝对实现双机热备，无状态损失或丢失，与因特网连接两个接入口，一个接入口是电信（现10兆，未来100兆），另一个接入口是网通（10兆），接入口和内部网络之间采用双防火墙隔离，做防火墙热备。两个服务器区，一个外部访问服务器区（DMZ区），一个内部访问服务器区。外部客户通过防火墙相应权限和过滤进入DMZ区服务器，内部客户根据相应权限访问内部服务器和外部服务器。外部办事处人员通过电信、网通入口，通过VPN网关（SSL

VPN或者IPSec

VPN、L2TP

VPN）接入，实现和内部网络客户无障碍通信。内部无线用户由AP进入，通过无线交换机的认证，实现数据访问和通讯。

我们的投标书严格实现标书中所要求和描述的网络拓扑结构。

第二章

设计方案

2.1

设计概述

根据上述的应用需求和设计思路，鉴于内网的安全稳定性要求，在总体建设上采用业务与网络分层构建、逐层保护的指导原则，为了保证网络的互联互通性，利用QOS的带宽保证ERP数据在网络繁忙时进行优先传输，并提供各部门、系统网络间的访问控制权限，保证互访的安全控制。所采用的设备以及网络构架都具有良好可扩展性，另外方案要在网络稳定性上着重考虑并规划。主干网核心设备需要进行双机热备。

2.2方案设计

扬柴集团内网以及厂区内各车间及其他办公室地点，

一直到达各个需要网络办公的员工桌面，我们采用分层的网络架构搭建。

2.2.1

网络拓扑

2.2.1

外网出口

外网出口采用防火墙。支持双机热备功能，核心交换机通过两根电缆连到防火墙上，防火墙通过两台2层交换机分别接入电信线路和网通线路。当出口设备开启双机热备后，即使其中一台防火墙出问题，另外一台防火墙也能正常保证外网的使用，不会出现网络中断的情况。

2.2.2

核心设备

作为网络的核心，要有很高的稳定性，瘫痪一分钟都会带来严重的后果，针对这个因素，我们将两台全千兆核心交换机BDCOM

S3928采用双机热备的方式，上联到防火墙，并下联到办公网络。

BDCOM

S3900系列交换机具有240G背板带宽;线速三层交换包转发率达到96Mpps;，是标准三层无阻塞交换机为所有的端口提供多层交换能力和线速的路由转发能力。同时具有高性能、低成本等主要特点。而其强大的处理能力是构建可靠、稳定、高速的IP网络平台的重要保障。同时具有高性能、低成本等主要特点。BDCOM

S3900支持特有的ARP入侵检测功能，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击等。

2.2.3

接入设备

接入交换机作为楼层网络的小型网关设备上连至上级交换机，需要考虑交换机能提供的网络安全性以及设备的处理能力。我们所采用的接入交换机可以支持划分vlan、端口保护、Qos功能、广播/组播风暴控制等功能。同时应具备扩展性。

达到可根据需要灵活地配置网络。交换机能与所有的以太网、快速以太网设备相连接，保护用户已有的网络投资。可在工作组之间或企业内部提供高带宽、高性能连接，同时还能增强服务器群的容量，让用户能更快速存取整个网络资源。可以缓解因为网络带宽不足及用户迅速增长所造成的网络传输瓶颈，并且投资少，管理简单。

2.3

访问控制

我们认为采用VLAN+ACL组网方式，可实现不同部门、不同应用系统之间进行隔离，实现对跨系统、跨部门的访问控制。其本身已经能够提供的安全机制，可保证访问控制的安全。采用VLAN+ACL实现组网，按照各楼层或各部门，实现VLAN的划分。

所有的部门系统全部二层隔离，同一个汇聚层设备下的单位需要进行互通，则在核心交换机上终结VLAN，进行三层互通，如果是不同的汇聚层设备下的单位需要互通，则需要经过汇聚交换机上送到核心交换机上，通过配置的acl和路由进行三层转发，实现受控互通。

第三章

可靠性设计

双机热备实现方案:

对于集团内网的组网方式，我们规划了VRRP双机热备方案：

让我们来看看双机热备的工作

VRRP图1

如上图所示，正常情况下，左边核心交换机优先级高于右边核心交换机，所以左侧核心交换机处于master状态，响应所有对虚拟IP（即图中的192.168.1.1、192.168.2.1）的请求，右侧核心交换机处于backup状态，不会响应任何关于虚拟IP的请求，但是右侧交换机实时关注着从VRRP心跳线发来的状态包。

很明显，现在所有汇聚交换机都会将数据包发送至左侧交机。

左侧交换机作为线路正常时的主交换机。右侧交换机只关注VRRP心跳线发来的状态包。

此时，办公网交换机到左侧核心交换机的线路若发生故障，或左侧核心交换机的发生故障。如下图：

VRRP图2

如果是汇聚交换机到核心交换机的线路产生故障，此时左侧核心交换机将会发现所连接端口发生故障，左侧交换机将会通过VRRP心跳线通知右侧交换机，告之关于192.168.2.1的状态变化，此时，右侧核心交换机将会作为主核心交换机，并相应并处理来自二层汇聚交换机的所有数据包。

如果是左侧核心交换机产生故障，右侧交换机收不到心跳线传来的数据，那么它会认为左侧交换机已经无法正常工作，自己切换成为Master状态，处理来自所有汇聚交换机的数据包。

从左侧核心设备发现线路故障到右侧核心设备变为主交换机，或者右侧核心设备发现左侧设备产生故障无法工作而自己变为主交换机，期间耗时不到2秒钟，对正在使用网络的用户而言，完全感觉不到发生了什么故障。这样就能保证整个网络骨干层7*24小时的无故障运行了。

如果线路恢复正常或左侧核心交换机的故障排查解决完毕能够正常工作，左侧交换机同样可以发现其线路所连接的端口恢复正常，而通知右侧核心设备，同时自己变为主交换机，左侧核心交换机在故障处理完毕后能正常工作同样会通知右侧核心交换机，自己变为主交换机。

第四章

网络安全

4.1

ARP防护

ARP（欺骗类）病毒可谓是现在最普遍的网络危害，一具用户感染病毒就可能危害到整个网络。

欺骗类病毒目前可以分为3种类型：

1、中毒机器不停发送“我是网关”的ARP信息，试图来欺骗其他PC，让他们将自己看作网关，如图中的F0/1口下的PC

A可以通过这种类型的ARP病毒让PC

B认为网关是PC

A。

2、中毒机器不停的变换自己的IP，来扰乱网关设备的ARP表象，试图让网关看到的所有的IP都是自己，这样其他用户的IP就不能被网关设备认出了，如上图中，PC

A可以不停的变换自己的IP，这样网关就会被欺骗认为192.168.43.100也是PC

A，PC

B当然就不能被网关识别了。

3、中毒机器将自己的MAC地址修改成交换机的下一跳网络设备的MAC地址，试图让交换机的MAC表发生紊乱，让交换机从错误的端口发送出数据包，如上图中，PC

A会将自己的MAC地址修改成网关的MAC地址00-E0-0F-27-96-D0，这样交换机在F0/1和F0/24上都学习到这个地址，MAC表就乱了--------这种类型并不能算上ARP病毒，但是同属于欺骗类病毒

目前大部分厂家都是通过绑定IP、MAC、端口的方式来保证安全，但是这样的方式实现起来麻烦（要一条一条的把绑定信息写进去），如果增加了新设备或者某台设备更换了端口或者网卡，如果不及时通知网络管理员进行修改，就没有办法上网，费时费力。

针对这种情况，上海博达设计了一套较完善的ARP防护方式。

在端口下过滤ARP报文，防止冒充网关。既然我们知道交换机的F0/24口上接的是网关，那么F0/1

到F0/23口都不可能发送出“我是网关”的ARP信息，所以我们可以在这些端口下过滤此类报文。

交换机命令（需要两层半交换机，S2226/S2448以上设备）：

interface

FastEthernet0/1

switchport

port-security

block

arp

192.168.43.254

//阻止该端口下发送192.168.43.254的ARP报文

在所有的非上联端口上都配置此类命令，交换机可阻止其下端口发送“我是网关”类的ARP欺骗报文

在接口下配置Filter功能，防ARP扫描攻击。如果中毒机器不停变换自己的IP，那么他在短时间内发送的ARP信息是非常多的，我们可以通过设置ARP计数器的方式来进行管理，在一个时间单位内，如果某个设备发送的ARP数量超过了我们设置的阀值，那么我们将过滤这台设备的MAC一段时间，这个时间段内这台设备发送任何信息我们的交换机都不进行转发。

交换机命令（需要两层半交换机，既S2226/S2448以上设备）：

interface

FastEthernet0/1

filter

arp

//在接口下启用arp过滤功能

！

filter

period

5

//以5秒钟为一个统计周期

filter

block-time

60

//将攻击主机隔离60秒

filter

threshold

100

//一个统计周期超过100个arp报文，就进行隔离

filter

enable

//在全局下启用过滤功能

一旦交换机F0/1端口下有PC在5秒内发送的ARP报文超过100个，交换机将在60秒内禁止此PC的MAC通过。

免费发放ARP

RESPONSE报文，纠正主机错误的网关。对于网关类的设备一般是不主动发送ARP报文的，通常它都是被动响应下面的ARP请求，因此我们也可以让网关主动发送ARP

RESPONSE报文，主动矫正下面PC的错误。

交换机命令（需要三层交换机或者路由器）

arp

free-response

//启用免费发放arp

response报文的功能

arp

free-response

interval

30

//发放arp

response报文的间隔

interface

VLAN1

ip

address

192.168.43.254

255.255.255.0

no

ip

directed-broadcast

!

interface

Loopback0

ip

address

1.1.1.1

255.0.0.0

no

ip

directed-broadcast

这样每30秒网关可以主动矫正下面PC的错误。

将网关的MAC地址、端口、以及VLAN进行绑定，防止MAC欺骗。

交换机命令（两层设备即可）

mac

address-table

static

00e0.0f96.27d0

vlan

1

interface

f0/24

//保证网关的VLAN

1的MAC地址只能出现在F0/24上

将交换机下联口全部开启端口保护，保证用户只能和上联口互通，和其他用户之间无法互通。

交换机命令（两层设备即可）

interface

FastEthernet0/1

switchport

protect

根据上面提到的4种防护ARP欺骗的机制原理，我们可以进行组合，设置多种全网阻断ARP欺骗的拓扑：

首先通过vlan划分隔离广播域，让arp只会在同1个vlan内传播，此外我们可以在接入层采用两层设备S2224交换机，开启端口保护，汇聚层采用两层半交换机S2228，开启Filter防护机制。此类方法可以保证：

1、用户之间发送“我是网关”的ARP欺骗（类型1欺骗）信息由于接入交换机的端口保护机制，无法传播到其他用户的端口上。

2、用户发送类型2欺骗的信息由于汇聚交换机的Filter防护，在汇聚层上就被阻挡掉，无法欺骗网关设备

此类方法的缺点就是同个交换机且在同个vlan下的用户之间无法互相访问。因此我们可以只对不需要产生直接互相通信的两台用户之间开启端口保护，其他不开，或者是采用结合软件的办法，电脑上安装arp防火墙，这样就可以不开启端口保护了。结合软件arp防火墙和两层半交换机的filter功能，也是一种非常实用有效防止arp攻击的方法

4.2

安全制度

任何的措施都不可能解决所有的网络安全问题，也就是“网络没有绝对的安全，没有绝对的网络安全”。我们在采取安全控制措施后，在加强了安全性、可靠性的同时，还需要通过制度和行政手段来进行干预，比如发文强制统一安装网络防病毒软件，因为如果在一个网络里如果有机器没装防病毒产品或者装的是单机版产品，势必会给整个单位网络带来不小影响，在出了问题的时候没有一个统一的解决方案，反而会让他们成为“漏网之鱼”。没有那个单机版用户能保证自己每天都及时做病毒码升级，而且现在装的单机版无非就是瑞星，金山之类的产品，这些产品相对于卡巴斯基这类统一部署的防病毒产品来说还是有一定差距的，像最近的好多单位网络瘫痪都是因为网络里有些机器装了这类软件导致的，而装有统一部署的防病毒的基本上没有问题。还有一种情况普遍，就是网络存储设备的使用，经常会有用户会因为U盘携带病毒而使机器出现问题，如果有一个好的管理制度来做些约束，定期做些关于网络安全方面的培训，使每个人都知道网络安全问题的重要性也很必要。

扬柴集团网络改造解决方案

page

14