一、項目概述Iternet六間會議室有少量的多信息傳輸百29層的資源開發總部、位于公園前地鐵控制中心的建設事業總部、204允許外出的通過撥號地鐵總公司網絡、互換信息二、需求分析布線工程已由廣州地鐵總公司委托其他公司完成。該布線工程全部采用LucentLucent320MSWindows2000Server中旅商業城十六層廣州地鐵總公司計算機局域網及防解決方案三、總體設計方案高可靠高安全，充分保證性先進展，保證網絡建成后3-5年不，選用符合國際標準的系統和產品，以保證系易管理、易統應具有監測、故障、故障、過濾設置等功能，以便于系統的管理和維護。同時應盡可能選取集成度高、模塊化、可通用的產品，以便于管理和可擴展網絡體系結構和邏輯結構設100Mb/S交換式以太網，原因如下：100Mb/s以太網交換技術,網絡拓撲結網絡管理系統的確絡端口，需要網上每臺設備都支持SNMP。根據本網絡的特點，要求程序能夠地域對異地的網絡節點進行管理。連接在與Internet的連接方面，通過服務器，利用ADSL專線服務器，實現與客戶的信息交流同時還設立了工作站網絡的運行狀況，基本網絡結構1CiscoCatalyst2948G-L37Cisco的Catalyst3548XLEnterpriseEdition（帶千兆網堆疊模塊）2（3）臺堆疊成一組，300100千兆以太網交換機Catalyst2948G-L3置于主設備間。中心交換機配置1塊24Gbps千兆以太網交換引擎、1塊20端口10M/100M自適應以太網交換模塊、1塊12端口10M/100M自適應第三層交換模塊、821000Base-SX輸入輸出121000Base-LX桌面交換機根據用戶的實際情況采用7臺Cisco的Catalyst3548XLXL4810/100Base-TXLXLVLAN就是一個廣播域，也就等于WinNT網絡中的一個子VLANVLAN可以提供建立的機制,防止交換網絡的過量廣播風暴,使用VLAN,可以將某個交換端口或用戶賦于某一個特定的VLAN組,該VLAN組可以之外,同樣,VLAN,可以減少廣播使用共享式LAN,安全性很難保證,VLAN提供了安全性,限制了個別用戶的,控制組的大小及位置等。交換端口可以基于應用類型和來進行分組,VLAN中。N管理程序,N組,分配特定用戶和交換端口給這些VN組,設置安全性等級,限制廣播域的大小,通過冗余鏈路負載分擔網絡流量,交換機配置N通信,交通流量和N使用的網絡帶寬。這些能力有效的提高了網絡管理程序的可控性,靈活性和監視功能,減少了管理的費用,增加了集中管理的功能。層)連接起來。本系統種所采用的Catalyst2948G-L3具有第三層路由模塊，不需要附加路由器，VLAN之間的通信在Catalyst2948G-L3交換機即可解決，VLAN。Catalyst2948G-L3Catalyst3548XLEnterpriseEditionVLAN劃分，802.1QVLAN802.1Q，網絡中所有交換機就可以采用相同的VLAN設置。服務器可以直接連接到交換機，最高速度可以達到800MCisco公司IOS操作系統和CiscoWorks軟件的統一應本網絡系統利用交換機的端口來劃分VLAN成員，通過虛擬理應用程序A、B、CVLAN的各個LAN網段上的所有站點都在同一個廣播域中,它們相互可以直接通信，并允許還便于直接,可以對端口進行安全控制。與之相比，基于物理地址的劃分方TCP/IP協議。因此，迄今為止端口劃分是最常用的式。據的節點數和對帶寬的需求，主干連接分別采用100Mb/s、100Mb/sTrunkVLAN是一個交換網絡，它可以按功能、部門或是應用為基礎來加以邏輯上的劃分，而不是以實體或物理位置為基礎來劃分。VLAN分段服務，每一個VLAN就是一個廣播域，也就等于Win95網絡中的一個子網。這樣可以更有效的控制廣播對于控制以及日常的網絡管理也可以做到很好充分利用CISCO網絡服indows2000ndSrvrbindows2000ndSrvr采用模塊化設計,能使現有系統和未來優秀的技術相結合,因而可以在保持現有投資的基礎上進一步采用新技術。Windows2000AdvancedServerWindows2000AdvancedServer操作系統。它可運行在Inx86系統、精簡指令集計算機(RISC)和DECAlpha8Windows2000AdvancedServerAlpha持最多32G的物理內存，在In平臺上支持最多8G的內存。Windows2000WindowsNTFS、FATFAT32Windows2000已將安全性內嵌入操作系統,有選擇的控制使你能對單個理。Windows2000支持的安全模板由安全屬性的文件（.inf）組成，它將所有安全分析。Windows2000Kerberos允許用戶只登陸一次就可以網絡資源。活動采用可擴展的對象方式了網絡上所有對象的信息并使得這些信息更容易被查找到。活動有靈活的結構，允許委派對安全的Web（IISWebWeb統和提供Internet服務的部門和應用程序服務器。我們建議采用Windows2000AdvanceServerWindows2000ServerExchangeServer是帶有集成組件的電子信息交換服務器，它瀏覽器來。與微軟BackOffice產品相結合，使用通用、熟悉的開發工具，ExchangeServer可以快速提供和實施強大的業務協作解決方案，滿足用戶對Intranet本電子系統構建于ExchangeServer電子交換服務器，安裝Exchange服務器作為郵局，、交換、管理郵件系統中的用戶和信件，以電成文書處理、電子表格、電子傳真、電子郵件、個人日程安排等功能。構建Windows98和Office97/2000的套件基礎上。通過ExchangeServer的Schedule+和Office972000Outlook構造公文自動處理系統和自動管理系統等辦公自動化應用通過電子公WWWInternetInformationServer和SQLServer的基礎上，形成的Intranet。目前應用比較廣泛大型數據庫系統主要有Informix、Oracle、Sybase、-SQLServer根據目前業務系統的特點，充分考慮今后系統開放性、高效性、聯機事務處理的要求，數據庫系統應該采用SQLServer類型，綜合當SQLServer產品現狀，我們建議采用-SQLServer，并使用獨立的數據庫服務器以提高由于本系統的體系結構采用客戶/服務器模式，-SQLServer擁有充分估計其它業務及相關系統的要求，采用-SQLServer便于本系統一逐步推廣使用的過程，因此要求在系統構造時充分考慮其擴展性。SQLServer具有開放的體系結構，由于其公開的接口規格，使得現在多數4GL程序開發語言均支持對SQLServer的聯接，因此SQLServer能夠面向多種系統的開發，便于處理與其它系統的可伸縮性：SQLServer所有的表、SQL代碼、過程、規則、觸發器都能互操作性：客戶/服務器系統能夠透明地與其它廠商的產品聯結DB2、Oracle。分布式數據庫支持：SQLServer的和分布。較大的機構建立應用時，可以把它們的SQLServer網絡當 SQLServerWindows2000SQLServer較多，但與Windows2000連接緊密且性能優越的當數SQLSQLServerC2在SQLServe數據庫的基礎上，可利用各種數據庫開發工具開發數據庫管理WindowsMISIPInternet替以數字方式表示的IP地址，這種名字形式的地址稱為地址，整個分層的（DNS解析是當前網絡中一種成技術，在本系統中將用Windows2000的DNS系統來做服務Windows2000包括的DNS系統支持新的DDNS標準既支NT4WINSDNSWindows2000DNSInternet理變得更容易。通過Internet或公共網絡建立虛擬網絡（）模擬點對點連接，在計算機之間收發數據，其效果與在線進行數據傳輸一樣安全、有效。在本系統中RAS服務器配有兩個Modem，外出的可通過網撥號WebWindows2000服務器中內置了一個新的Web務器--InternetInformationServer(IIS)5.0。IIS以其強大的服務能力和豐富的開發，使其成為了電子商務的主要服務器平臺，5.0IIS5.0將運行在它上面的Web站點應用和IIS服務開來，而且可以對每個站點應用配置獨立的CPUWeb在安全性方面，IIS5.0Windows2000ActiveDirectory戶的驗證，也可以使用和ActiveDirectory的結合來驗證用戶。這為電子商務系統提供了即靈活又可靠的對用戶的確認。IIS5.0上的Web站點的開發使用的時ActiveServerPage(ASP)3.0。ASP提供了強大的功能和與Windows的緊密集成，同時ASP3.0又進一步提高了效率ASP3.0提供了和XML的集成同時也可以用ADSI2.0Windows2000ActiveDirectory進行操作。使用VisualInterDev6.0開發WebIIS5.0Web開發，提供Web服務。多信息傳根據客戶的需求，本系統采用NetMeeting構建多會議系統備份服務（建議采用使用計算機系統處理日常業務在提高效率的同時，有一個問題越來越不容忽視，即數據失效問題。一旦發生數據失效，企業就會陷入困境：、最終結局將設想。所以企業信息化程度越高，備份和恢復措施就越CAARCserveARCserve是一個跨平臺的網絡數據備份軟件，在數據保護、恢復、病毒防護方面均提供全面的產品支持，目前已成為了業界的事實標準。CA公司的50095%CAWindowsBetrieve、Sybase、Oracle備份前掃描，可以實現無毒備支持恢Cisco網絡CiscoWorksWindowsIPIPX絡性能統計等擴展數據；具使用的歷史數據；管理信息率（MIB）編輯器和測覽器可以管理第SNMP設備可以定多種性能變量設置，以便產生或事件通知LAN（VLAN局域網拓撲局域網及防解決方4.2.1.風險分對于信息網所的安全風險涉及網絡環境多方面，包括自然——水災、火災、等無意識行為——編碼缺陷、系統配置、誤操作及無意泄漏等；蓄意行為——網絡環境可用性破壞、等。同時也是最難于管理與防范的且不僅僅能夠通過加強對網絡環境及的安全中斷網絡工作流并對工作環境造成破壞性的。其中，主要包括：信息交互的網絡的與滲網絡行通過對以上主要的網絡分析，使我們能夠準確把握信息網的需需求分能夠滿足信息網絡內的用戶對相關網絡資源能夠對于非用戶的進行有效控制和能夠堅決杜絕和其他程序進入網絡能夠對于用戶進行安全管理加強對于整個信息網絡資源和的安全管理與培訓安全管理需求實有效的措施保證制度的執行安全管理主要采取行政和技術相安全方網絡設備的安全配能網絡任意的網絡通訊設備（例如：路由器，集線器等。對不同型號、廠對服務器的控進行配置；權限則允許用戶對服務器進行完全的配置。對服務器的控制建議使用以下的方式控制臺控限制空閑時CheckPointFireWall-1致力于企業級產品的研發，據IDC的最近統計，其FireWall-1在44%FireWall-1。CheckPointFireWall-1狀態檢測模塊（InspectionModule）：提供控制、客戶機認證、會話認模塊（FireWallModule）：包含一個狀態檢測模塊，另外提供用戶認證、內容安全和多同步功能；管理模塊（ManagementModule）：對一個或多個安全策略執行點（安裝了FireWall-1的某個模塊，如狀態檢測模塊、模塊或路由器安全管理模連接控制（ConnectControl）：為提供相同服務的多個應用服務器提供負載路由器安全管理模塊（RouterSecurityManagement）：提供通過管理工作站配置、3Com，Cisco，Bay等路由器的安全規則；圖形用戶界面（GUI）：策略編輯器：管理對象、建立安全規則、把安全規則施加到安全策略執日志查看器：查看經過的連接，識別并阻斷FireWall-1單網關產品：只有模塊（包含狀態檢測模塊）、管理模塊和圖形用戶界面各一個，且模塊和管理模塊必須安裝在同一臺機器上。是可能配置較多的模塊和獨立的狀態檢測模塊。企業級產品的不同模FireWall-1采用CheckPoint公司的狀態檢測（StatefulInspection）專利狀態檢測模塊截獲、分析并處理所有試圖通過的數據包，保證網絡 Applications狀態檢測模塊把相關的狀態和狀態之間的關聯信息到動態連接表中并狀態檢測技術對應用程序透明，不需要針對每個服務設置單獨的，使策略編輯器制定的規則存為一個用INSPECT寫成的文件，經過編譯生成代碼并被加載到安裝有狀態檢測模塊的系統上。文件是ASCII文件，可以編輯，CheckPoint是開放安全企業互聯(OPSEC)的組織和倡導者之一。允許用戶通過一個開放的、可擴展的框架集成、管理所有的產品目前已有包括IBM、HP、Sun、Cisco、BAY等超過135個公司加入到OPSEC企業級安全管FireWall-1允許企業定義并執行統一的管理安全策略企業的火墻安全策略都存放在管理模塊的一個規則規則存放的是一些有序的規則，每條規則分別指定了源地址、目的地址、服務類型（HTTP、FTP、NET等）、針對該連接的安全措施（放行、、丟棄或者是需要通過認證、FireWall-1管理員通過一個管理工作站管理該規則庫，建立安、FireWall-1安全策略編輯器：被保護對象，規則庫，添加、編輯、刪除規日志管理器：提供可視化的對所有通過網關的連接的、監視和統計信息，提供實警和檢測及阻斷功能。系統狀態查看器：提供實時的系統狀態、審計和功能。FireWall-1由基本模塊（模塊、狀態檢測模塊和管理模塊）和一些可選模塊組成。這些模塊可以通過不同數量、平臺的組合配置成靈活的客戶機/System全策略執行點（SecurityEnforcementPointFireWall-1的客戶機/服務器結構是完全集成的，只有一個統一的安全策略和一個規則庫，通過一個單一的管理工作站，管理多個裝載了模塊、認證用戶和撥號用戶可以經過FireWall-1的認證后，資源。FireWall-1服務器的用戶進行認證。FireWall-1的認證服務集成在其安全策略中，通過圖形用戶界面集中管理，通過日志管理器監視、認證會話。Authentication份認證，服務限于FTP、NET、HTTP、HTTPS、RLOGIN。客戶機認證（ClientAuthentication：基于客戶機IP的認證，對的協議不做直接的限制。客戶機認證不是透明的，需要用戶先登錄到認證IP和用戶之后，才允許應用服務器。客戶機不需要添加任何附加的軟會話認證（SessionAuthentication：提供基于服務會話的的透明認證，與IPFireWall-1提供多種認證機制供用戶選擇：S/Key，FireWall-1Password，OSPassword，LDAP，SecureID，RADIUS，TACACS等。地址翻譯FireWall-1靜態源地址翻譯：當的一個數據包通過出去時，把其源地址（一般是一個保留地址）轉換成一個合法地址。靜態源地址翻譯與靜態目的靜態目的地址翻譯：當外部的一個數據包通過進入網時，把其目的地址（合法地址）轉換成一個的地址（一般是保留地址）。動態地址翻譯（也稱為隱藏模式）：把一個網的地址段轉換成一個合法地址，以解決企業的合法IP地址太少的問題，同時隱藏網絡結構，提高FireWall-1的內容安全服務保護網絡免遭各種，包括、Jave和ActiveX代碼等。內容安全服務可以通過定義特定的資源對象，制定與其它FireWall-1的其它安全特性集成在一起，通過圖形用戶界面集中管理。OPSEC提供應用開發接口（API）以集成第內利用第的防服務器通過規則配置掃描通過的文件，清除計算機；根據安全策略在WEB資源時從HTTP頁面剝離Java等小程序及Java，Script控制FTP的操作，過濾FTPSMTP的內容安全（隱藏地址、剝離特定類型的附件等可以設置在發現異常時進行記錄或通過控制臺集中管理、配置、。ServerLoad—該方法由服務器提供負載均衡算法，需要在應用服務器端安裝RoundTrip—FireWall-1利用命令測定到各個應用服務器之間的RoundRobin—FireWall-1根據其記錄表中的情況，簡單地指定下一個應用服Random—FireWall-1—FireWall-1按照最近的原則，指定最近的應用服務器響應FireWall-1的管理工作站對企業范圍內的路由器提供集中的安全管引入、路由器的控制列表記錄路由器事件（需要路由器支持日志功能BayNetworksrouters,version7.x-Ciscorouters,IOSversion9-CiscoPIXFirewall，version3.0,3ComNetBuilder,versionRAS(Steelhead)RoutersforWindowsNTserver4.x4.2.8及防解決方CheckpointFireWall-14.1(50)forWindowsNorton 6.0forWindowsCisco2610對對方網網路由服務局域服務路由網不設防外部網基本概路，采用幀中繼技術組建廣州地鐵城域網，同時話撥號（租用一條256K幀中繼線和3條線供撥號）。Mail城域網系統的安裝、調裝、配置和調試以及““的組建和系統的安裝、調試。通訊線路和撥號服一為FR、二為PSTN，采用租用256K幀中繼線和3條線供撥號虛擬 技是一個虛擬的網，其重要的意義在于"虛擬"和""。為了實現在公網PPTPL2FL2TP（IPSEC面針對這幾項技術做一介紹加密和用戶為在公司網上進行個人通信提供了在表面上是一種聯網的方式，比起專線網絡來，它具有許多優點。在"隧道"例如Internet網或其他商業性網絡。這里，專有的"隧道"類似于點到點的連接。址隧道技術允許移動用戶或已的用戶在任何時間任何地點企業網絡。通過TUNNEL的建立，可實現以下功能：IPIPAAA在安全方面可提供數據包認證、數據加密以及密鑰管理等。撥號 使用隧道技術服務器把用戶數據打包進IP信息包中，這些信息包通過電信服務提供商網絡傳遞，在Internet里，則需要穿過不同的網絡，最后到達隧道終點，然后數據拆包，轉發成最初的形式。允許網絡協議的轉換，還允到ISPs和Internet需要采用隧道技術。隧道技術使用點對點通信協議，代替了交連接隧道技術允許移動用戶或已的用戶再任何時間任何地點企業網絡。應用技術，隧道技術也未的。軟件平臺和軟而且用戶可以利用他開發新的網絡管理應用軟件。目前公認的三大軟件平臺：IBMNetView、HPOpenView和SUNNetManger，此外還有CA的軟廣州地鐵設計院的城域網，它管理中旅商業城十六層廣州地鐵總公（地鐵中心機房、芳村坑口運營事業總部、廣百商業二十九層資源開發總2045節點。各個方面，建議鐵設計院采用IBMNetView平臺和CiscoWorks軟件的城域網網絡架ADSL簡隨著Internet的式發展，在Internet上的商業應用和多等服務人們提出了多項寬帶接入網技術，包括N-ISDN、CableModem、ADSLADSL是一種通過現有普通線為家庭、提供寬帶數據傳輸服務的技術。ADSL即非對稱數字信號傳送，它能夠在現有的銅雙絞線，即普通線上提供高達10Mbit/s的高速下行速率，遠高于ISDN速率；而上行速率有1Mbit/s3km5km。ADSL銅纜網（線網絡）路兩端加裝ADSL設備即可為用戶提供高寬帶服務ADSL的另外一個優點在于它可以與普通共存于一條線上，在一條普通線上接聽、撥打的同時進行ADSL傳輸而又互不影響。安裝ADSL也極其方便快捷在現有的線上安裝ADSL，除了在用戶端安裝ADSL通訊終端外，不用對現有線路作任何改動。局域網用戶具有4個靜態IP地址，可以公眾多網上架設公司的，提供WWW、FTP、等服務。隨著ADSL技術的進一步推廣應用，ADSL接入還可以提供點對點的醫療，教學，可視會議等服務。ADSL與其它接入服務的比ADSLCableModem與CableMode相比，ADSLCableModemHFC（10M一個較粗糙的總線型網絡，這就意味者用戶要和鄰近用戶有限的帶寬，當一條線用戶激增時，其速度將會減慢。再者，有關資料表明，大部分情況下，HFC方案必需兼顧現有的有線電視，而占用了部分帶寬，只剩余了一部分CableModem的理論傳輸速率只能達到一小半。國外公司實驗表明，其速率減為1M-2Mbps，更常見的是400K-500Kbps。綜合來看，即使在理想狀態下，HFC10Mbps的共享式總線型以太網，而ADSL接入方案在網絡拓撲結構上較為先進，因為每個用戶都有單獨的一條線路與ADSL局端相連，它的結構可以看作是星型結構，它的數據傳輸帶寬是ADSLModemN-ISDNModem或ISDNADSL銅線上分別傳送數據和語音信號，數據信號并不通過交換機設備，減輕了交換機的負載，并且不需要撥號，一直，屬于專線上網方式。這意味著使用ADSL上網并不需要繳付另外的費。ADSLInternet的技術更具有生命力，是企業接入Internet、開展網上電子商務的最佳選擇。同時企業Intranet網與Internet之間設有CheckPointFireWall-1，實現了公司網對外信息交流的控制和管理，并防止外部用戶進入企業Intranet網。Cisco2610由器通過ADSLModem接入Internet，提供Internet服務，為企業Intranet網絡用戶提供通過測覽Internet服務，同時非用戶Catalyst2948G-1Catalyst3548XLEnterprise7（MODEM的卡5GVC3CheckPointFirewall-1（1防軟（6臺服務器，100工作站1費網絡設備及系統軟件件配置情況、網絡設備加電試機、系統軟件的等。項目計劃實審核施工進網絡系統集能測是否合理各種網絡服務是否實現性及可靠性是否符合合同要求等等完善在測試過程中可能出現的各種 提交網絡性能測試報網絡系統集成協助用戶組織驗收工作，包括驗收的成立、各驗收參數的確定等；驗設備性能：主流廠商、主品、主流技服務器：In，550MHz以上的主頻，內存、外存夠用并有50%左右I/O；100M100M有20%左右的冗余，支持雙絞線連接，并預留千兆光纖主干的接30%左右的冗余，可PPP和LL連接，支持IP（主體）標準:IEEE802.3，TCP/IP，OSI/ISO安全:控制、傳輸保護、防治、網絡分段；置、資源分析、故障與排除。設備：按照設計要求配置、調試，保證彼此之間的互通，廣域設備地址統一、線路：按照設計要求搭配、連接，保證用戶端設備、網絡(通道)設備、通訊環境：機房、配線間、配線設備整齊、布局合理，線路連接清晰，走線統一，系統配置，文檔--操作說明、手冊，還有各種設備的技術文檔，要求設計、實施、和技術文檔齊全；易讀性：要求設計文檔、實施文檔、文檔深入淺出，既詳致又精練，按客觀性：要求文檔客觀地反映系統及系統建設情況，有變動及時修改，不同工程管理驗有關（測試小組）宣布驗收組作出系統建設成敗優劣的驗收意見，形成的驗收意見書測試記錄、試運行期記錄；現場資料：現場、演示、現場測試、與管理評價以用戶和測試的評述為依據網絡功能要故障和排除：網絡管理系統在網絡設備、主機的同時，應設置相應參 行修改配置，實現網絡資源的動態分配；：網絡資料統計分析系統將網絡設備的運行情況、網絡故障等多種信息：SNMPTCP/IP在一個路由器的拓撲圖上顯示全部本地和的路由器過閥值時，能自動；click中心可以不間斷地對網上IP資源的狀態、配置和事件進行系統管理員可通過設置信息過濾器來選擇哪些網上信息被送至中心相關事件變化及執行的操作將作為事件的歷史信息送到中心做記錄通過SNMPAgent，網絡管理軟件平臺可以到許多系統性能的參數CPUprogramASCII對所有的功能均有用戶幫助，并提供可選的資料GUIIPIP的及文件服務器磁盤的利用率。系型數據庫中并通過SQLAPI’s進行查詢。報告工具“ReportTools”和數據庫管理工具“DatabaseAdministrationTools”可以直接這些原始數據，即SNMPAGENT主要體現在如下面安全：，任何系統、任何個人都不可以進入系統的相關部分傳輸安全：防止數據在網絡上進行傳輸時的信息以及網絡邏輯損傷防治：對網絡的防御和清除。措網絡數據傳