广州地铁局域网和城域网解决方案

广州地铁局域网和城域网解决方案 广州市xx计算机有限公司 www.dgework.com 第 1 页 共 61 页 一、 项目概述 广州地铁总公司的新办公场所位于广州市中山五路与解放路交界处的中旅商业城第十六层，面积约为三千七百平方米，集中了地铁总公司的财务部、企业管理总部、人力资源总部等行政管理部门，大约将有二百三十多名工作人员在此办公。 广州地铁总公司将在中旅商业城十六层建立计算机网络，该网络是广州地铁总公司企业管理信息系统的平台，他将提供以下的服务: , 各种数据库管理系统，如财务管理系统、管理系统等; , 办公自动化信息管理，如公文流转、电子邮件系统等; , 国际互联网Iternet接入; , 六间会议室有少量的多媒体信息传输; , 要求实现与公司其他总部——位于芳村西朗的运营事业总部、位 于北京路广百大厦29层的资源开发总部、位于公园前地铁控制中 心的建设事业总部、位于环市西路204号的地铁设计院网络互联 ，构筑广州地铁总公司城域网，实现全公司信息的共享; , 允许外出的工作人员通过拨号访问地铁总公司网络、互换信息。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 2 页 共 61 页 二、 需求分析 2.1 网络现状分析 , 布线工程已由广州地铁总公司委托其他公司完成。该布线工程 全部采用Lucent公司的超五类设备进行施工，将达到Lucent公 司十五年保用。 , 共有三个设备间，其中一个与计算机房合在一起。三个设备间之 间都有电缆直接连接，可形成环路。 20个，每个设备间所联信息点基本一样，大, 网络布线端口数达到3 约为110个。网络操作系统将采用MS Windows 2000 Server。 2.2 网络需求分析 根据地铁总公司的要求，这次网络工程的主要内容包括四部分: , 中旅商业城十六层广州地铁总公司计算机局域网; , 中旅商业城十六层广州地铁总公司计算机局域网防火墙及防病 毒解决方案; , 广州地铁总公司城域网; , 中旅商业城十六层广州地铁总公司计算机局域网国际互联网接 入。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 3 页 共 61 页 三、 总体设计方案 3.1 系统设计原则 3.1.1. 高可靠性 计算机网络系统应采用可靠性较高的产品和容错较强的网络结构，以使网络具有高度的可靠性。应采取多层次的冗余备份手段和技术，保证设备在发生故障时能在最短时间内恢复，以最大程度地保证网络的正常运转。 3.1.2. 高安全性 根据建行的#管理制度#和网络策略制定一套完善的安全政策，采用合适的技术手段，充分保证网络安全性。 3.1.3. 先进性 在技术上要到达当前的国际先进水平。要采用最大先进网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需 保证网络建成后3-5年不落后，选用求，又要充分考虑未来的发展， 符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。 3.1.4. 易管理、易维护 由于计算机网络系统规模庞大，需要网络系统具有良好的可管理 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 4 页 共 61 页 性，网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块化、可通用的产品，以便于管理和维护。 3.1.5. 可扩展性 网络系统应具有良好可扩展性，随着业务的增长和应用水平的提高，网络应可平滑地扩展的升级，而不需要对网络结构设备进行大的改动。 3.2 系统设计概述 3.2.1 网络体系结构和逻辑结构设计 确定网络体系结构及相应的通信协议，对于系统的改造是一个十分很重要的问题。由于网络系统的改造涉及到许多部门，而这些部门有的在使用一些专用的系统，有的需要与其它专用系统相连。因此，要共享网络的资源及在网络中交换信息，就必须实现不同系统间的实体通信，这需要不同系统采用同一协议.。 网络体系结构的确定:骨干网络使用交换式快速以太网。本网络大量采用以太网产品，因为以太网发展最为迅速，目前拥有广泛用户和众多的产品，容易得到支持。网络的主干采用100Mb/S交换式以太网，原因如下: , 采用100Mb/s以太网交换技术,可使网络主干速率成倍增长; , 便于向千兆位以太网过渡; , 技术成熟; 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 5 页 共 61 页 , 有大量的成功案例可查。 3.2.2 网络拓扑结构 采用星型网络交换技术。通过相应的管理软件，在不改变网络节点物理位置的情况下，可以对网络的逻辑结构进行合理的划分，即建立虚拟网络，来达到网络信息流量的有效控制。 3.2.3 网络管理系统的确定 人们往往只重视网络的静态性能，而忽视了对网络动态解决方案重要性的认识。实际上，网络管理有着极其重要的意义。通过网管软件可方便地确定网络故障点，及时解决问题;也可对网络的信息流量 需要网上每台设备都支进行有效的控制和分流。要管理网络端口， 持SNMP。根据本网络的特点，要求网管程序能够跨越地域对异地的网络节点进行管理。 3.2.4 连接Internet 在与Internet 的连接方面，通过代理服务器，利用ADSL专线访问服务器，实现与远程客户的信息交流。同时，还设立了网管工作站，监控网络的运行状况，使网络达到最大的利用效率。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 6 页 共 61 页 四、系统方案 4.1 局域网设计方案 4.1.1 基本网络结构设计 4.1.1.1. 基本网络物理结构 采用1台Cisco的带第三层路由交换功能的千兆以太网交换机 – Catalyst 2948G-L3做中心交换机，采用7台Cisco的Catalyst 3548 XL Enterprise Edition交换机(带千兆网堆叠模块)做桌面交换机，每2(3)台堆叠成一组，通过一个千兆以太网模块上联至主干，下联至300多个客户工作站。各服务器、防火墙主机和路由器通过100兆快速以太网端口直接与中心交换机相联。 1) 中心交换机的配置 千兆以太网交换机Catalyst 2948G-L3置于主设备间。中心交换机配置1块24Gbps千兆以太网交换引擎、1块20端口10M/100M自 适应第三层交换模块、适应以太网交换模块、1块12端口10M/100M自 8块2端口1000Base-SX输入输出模块和1块2端口1000Base-LX输出模块。 ) 桌面交换机的配置 2 桌面交换机根据用户的实际情况采用7台Cisco的Catalyst 3548 XL Enterprise Edition交换机，每2(3)台堆叠成一组，共3组，每组配置如下: , Catalyst 3548 XL带48个10/100Base-T自适应端口 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 7 页 共 61 页 , Catalyst 3548 XL堆叠模块 , Catalyst 3548 XL千兆位上联模块 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 8 页 共 61 页 4.1.1.2. 虚拟网(VLAN)的构建 VLAN是一个交换网络，它可以按功能、部门或是应用为基础来加以逻辑上的划分，而不是以实体或物理位置为基础来划分。VLAN的建立是为了提供更好的分段服务，每一个VLAN就是一个广播域，也就等于WinNT网络中的一个子网。这样可以更有效的控制广播，对于访问控制以及日常的网络管理也可以做到很好的控制。 采用VLAN具有下述优势。 1)控制网络上的广播风暴 VLAN可以提供建立防火墙的机制,防止交换网络的过量广播风暴,使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播风暴不会送到VLAN之外,同样,相邻的端口不会收到其他VLAN产生的广播风暴。这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生。 2)增加网络的安全性 使用共享式LAN,安全性很难保证,VLAN提供了安全性防火墙,限制了个别用户的访问,控制组的大小及位置等。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。 3)集中化的管理控制 通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。这些能力有效的提高了网络管理程序的可控性,灵活性和监视功能,减少了管理的费用, 增加了集中管理的功能。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 9 页 共 61 页 本网络系统分成多个逻辑子网，一个逻辑子网是由交换机设置的VLAN。不同VLAN之间在数据链路层(第二层)是互不连通的，当他们需要互相访问时，必须通过路由器或具有路由能力的交换机(第三层交换机)使它们在网络层(第三层)连接起来。本系统种所采用的Catalyst 2948G-L3具有第三层路由模块，不需要附加路由器，VLAN之间的通信在Catalyst 2948G-L3交换机内部即可解决，能够建立跨过多台交换机而在整个网络中起作用的VLAN。 Catalyst 2948G-L3和Catalyst 3548 XL Enterprise Edition都支持VLAN划分，同时由于都支持802.1Q技术，也就能实现VLAN功能，通过802.1Q，网络中所有交换机就可以采用相同的VLAN设置。服务器可以直接连接到交换机，最高速度可以达到800M。Cisco公司IOS操作系统和Cisco Works网管软件的统一应用，以统一的软件平台把各种不同的硬件连接起来，构成有效、无缝的信息系统，更有利于新应用的部署，同时提高了网络的整体性能。 根据端口划分 本网络系统利用交换机的端口来划分VLAN成员，通过虚拟网管理应用程序, 中心交换机的端口被定义为虚拟网A、B、C三，分配到一个VLAN的各个LAN网段上的所有站点都在同一个广播域中,它们相互可以直接通信，并允许共享型网络的升级。 通过交换机端口来划分网络成员，其配置过程简单明了，采用这种方法还便于直接监控,可以对端口进行安全控制。与之相比，基于物理地址的划分方案管理起来不方便，网络管理员经常要进行大量改动;而基于协议的划分方案又没有什么必要，因为网络本身基于TCP/IP协议。因此，迄今为止端口划分是最常用的一种方式。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 10 页 共 61 页 4.1.1.3. 系统的特点 1)高性能 核心交换机具有先进高速第三层交换功能,所有端口均可进行线速路由、根据各部门的节点数和对带宽的需求，主干连接分别采用100Mb/s、100Mb/s Trunk和千兆以太网，使网络的性能价格比达到最佳点。 2)先进的子网划分方案 VLAN是一个交换网络，它可以按功能、部门或是应用为基础来加以逻辑上的划分，而不是以实体或物理位置为基础来划分。VLAN的建立是为了提供更好的分段服务，每一个VLAN就是一个广播域，也就等于Win95网络中的一个子网。这样可以更有效的控制广播，对于访问控制以及日常的网络管理也可以做到很好的控制。 3)充分利用CISCO产品的技术优势 综上所述，本网络系统的先进性、安全性等特性是显而易见的，但更重要的是它的网络整体性能好，符合用户的需要。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 11 页 共 61 页 4.1.2. 网络服务 4.1.2.1. 网络操作系统 Windows 2000 Advanced Server是为服务器开发的多用途网络操作系统，它支持范围广泛的重要商业应用程序和一系列丰富的开发工具，可为企业用户提供文件打印、软件应用、Web功能和通信等各种服务，是一个性能好、工作稳定、容易管理的平台。Windows 2000 Advanced Server 采用模块化设计,能使现有系统和未来优秀的技术相结合,因而可以在保持现有投资的基础上进一步采用新技术。 Windows 2000 Advanced Server具有以下特点: 1)平台无关性 Windows 2000 Advanced Server是一个与硬件平台无关的,可伸缩的服务器操作系统。它可运行在Intel x86系统、精简指令集计算机(RISC)和DEC Alpha处理机上,从而在选择计算机系统时有多的自由。 2)可扩展性 它可以扩展到对称多处理器上,使得需要高性能处理器时还可以加上额外的处理器，支持数达到8路。Windows 2000 Advanced Server在Alpha平台上支持最多32G的物理内存，在Intel平台上支持最多8G的内存。 3)兼容性 Windows 2000支持Windows应用程序,以及NTFS、FAT和FAT32文件系统。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 12 页 共 61 页 4)安全性 Windows 2000已将安全性内嵌入操作系统,有选择的访问控制使你能对单个文件赋予权限。强有力的集中式安全管理,即统一帐号、集中验证、安全备份管理。Windows 2000支持的安全模板由安全属性的文件(.inf)组成，它将所有现有的安全属性组织到一个位置以简化安全性管理，包含帐户策略、本地策略、时间日志、受限组、文件系统、注册表、系统服务七类安全性信息，也可以用作安全分析。Windows 2000用Kerberos验证，提供更快、更安全的验证和响应，允许用户只登陆一次就可以访问网络资源。 5)活动目录 活动目录采用可扩展的对象存储方式存储了网络上所有对象的信息，并使得这些信息更容易被查找到。活动目录有灵活的目录结构，允许委派对目录安全的管理，提供更有效率的权限管理。 )开放性 6 支持多种传输协议,可在多种网络环境下工作 7)可靠性 支持多种容错方式，有较强的容错和出错恢复功能，在多种一般错误发生后一分钟内自动重启应用软件 8)集成Web服务 Microsoft Windows 2000平台上提供Internet信息服务(IIS)，该服务可提供在Intranet或Internet上共享文档和信息的能力。利用IIS，可以部署灵活 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 13 页 共 61 页 可靠、基于Web的应用程序，并可将现有的数据和应用程序转移到Web上。 可见Windows 2000是十分理想的网络应用平台，可应用于拥有多种操作系统和提供Internet服务的部门和应用程序服务器。我们建议采用Windows 2000 Advance Server作为网络服务器的操作系统，用Windows 2000 Server作为应用服务器的操作系统。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 14 页 共 61 页 4.1.2.2. 应用功能 1)办公自动化和电子邮件服务 Microsoft Exchange Server 是带有集成组件的电子信息交换服务器，它使通讯交流更容易。它在单一的平台上结合电子邮件、群组工作表、电子表格和组件应用程序，可以通过一个集中化的管理程序进行管理。它提供了业界最强的扩展性、可靠性和安全性和最高的处理性能，而所有应用都可以从通过Internet浏览器来访问。与微软BackOffice产品相结合，使用通用、熟悉的开发工具， Exchange Server可以快速提供和实施强大的业务协作解决方案，满足用户对Intranet协作的多层次的需求，提高企业竞争实力。 本电子系统构建于Microsoft Exchange Server电子交换服务器，安装Exchange服务器作为‎‎邮局，存储、交换、管理邮件系统中的用户和信件，以电子邮件为基础，处理公司的所有邮件，构成信息传递的基础，并在此基础上构建如下应用: , 个人级的应用 主要完成公司内部工作人员日常的办公工作管理，构建电子办公室环境。完成文书处理、电子表格、电子传真、电子邮件、个人日程安 套件排等功能。构建Microsoft Windows98和Microsoft Office 97 / 2000的基础上。 , 部门级的应用 通过Microsoft Exchange Server的Schedule+和Microsoft Office 97 / 2000的Outlook来协调部门工作，处理会议请求、资源分配和工作安排等 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 15 页 共 61 页 。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 16 页 共 61 页 , 企业级的应用 构造公文自动处理系统和档案自动管理系统等办公自动化应用。通过电子公告板和WWW构建信息发布和查询应用，构建与Internet Information Server和Microsoft SQL Server的基础上，形成内部的Intranet。 2)数据库应用 目前应用比较广泛大型数据库系统主要有Informix、Oracle、Sybase、Microsoft-SQL Server根据目前业务系统的特点，充分考虑今后系统开放性、高效 性、联机事务处理的要求，数据库系统应该采用SQL Server类型，综合当前SQL Server 产品现状， 我们建议采用Microsoft-SQL Server，并使用独立的数据库服务器以提高性能。其原因主要有以下几点: , 由于本系统的体系结构采用客户/服务器模式，Microsoft-SQL Server拥有广泛的客户基础，考虑到本模块主要与控制中心进行 数据交换及处理，因此充分估计其它业务及相关系统的要求，采用 Microsoft-SQL Server 便于进行与其它系统的数据转换及处理。 , 本系统面临一逐步推广使用的过程，因此要求在系统构造时充 分考虑其扩展性。MICROSOFT SQL Server 具有开放的体系结构，由于 其公开的接口规格，使得现在多数4GL程序开发语言均支持对S QL Server的联接，因此MICROSOFT SQL Server 能够面向多种系统 的开发，便于处理与其它系统的接口问题。 , 可伸缩性:SQL Server所有的表、SQL代码、存储过程、规则、触发器 都能够在不同的平台上运行。在单用户的开发环境下开发的应 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 17 页 共 61 页 用能够延伸到多用户开发平台上运行，并且它便于向大型、具 有并行处理能力的开放系统硬件环境转移。 , 互操作性:MICROSOFT 客户/服务器系统能够透明地与其它厂商的产品 联结集成，如DB2、Oracle。 , 分布式数据库支持:MICROSOFT SQL Server 便于广域网络环境下管理 数据的复制和分布。较大的机构建立应用时，可以把它们的SQL Server网络当作一个单一的集成资源来对待。 , MICROSOFT SQL Server 与Windows 2000 连接紧密:目前SQL Serve r 产品较多，但与Windows 2000连接紧密且性能优越的当数MICR OSOFT SQL Server。 , MICROSOFT SQL Server有良好的安全性，达到C2级安全要求。 , 在SQL Serve数据库的基础上，可利用各种数据库开发工具开发数 据库管理系统，也可使用现在流行的基于Windows平台的MIS管 理系统。 3)域名服务 由于IP地址是使用一长串的数字来标注主机鹤其他网络设备，非常难于记忆和不便于使用，因此目前在Internet上，采用一种具有直观含义的名字来代替以数字方式表示的IP地址，这种名字形式的地址称为域名地址，整个分层的域名地址体系即是域名解析(DNS)。对于企业来说，域名是企业在网上的标志，也是企业推广自身形象的网络门户。 域名解析是当前网络中一种成熟的技术，在本系统中将用Windows 2000的DNS系统来做域名服务。Windows2000包括的DNS系统支持新的DDNS标准，既支持动态更新，又可以兼容于NT4网络，支持手工刷新，结合了WINS的动态能力和传统DNS的稳定性和健壮性。在Windows2000中，活动目录与DNS紧密集成在一起，客户可以更容易更迅速地找到目录服务器，企业可以把活动目录直接连接到Internet以简化与客户和 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 18 页 共 61 页 合作伙伴进行通讯和提供电子商务，网络规划和管理变得更容易。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 19 页 共 61 页 4)远程访问服务 RAS(远程访问服务)接入提供了协议封装和数据加密功能，允许移动用户通过Internet 或公共网络建立虚拟专用网络(VPN)模拟点对点专用连接，在计算机之间收发数据，其效果与在专用线路上进行数据传输一样安全、有效。 在本系统中RAS服务器配有两个Modem ，外出的工作人员可通过电话网拨号远程接入与公司进行安全的信息交换。 5)Web服务 Windows 2000服务器中内置了一个新的Web服务器--Internet Information Server(IIS) 5.0。IIS以其强大的服务能力和丰富的开发手段，使其成为了电子商务的主要服务器平台，5.0在原有的基础上，又增加了许多新的功能: , IIS 5.0将运行在它上面的Web站点应用和IIS核心服务隔离开来，而且可 以对每个站点应用配置独立的CPU使用率，并可以独立停止和重起每个进程。 这大大提高了Web服务器的可靠性和稳定性，是您建立的电子商务站点运行 的更加可靠。 , 在安全性方面，IIS 5.0可以使用Windows 2000 Active Directory实现 用户身份的验证，也可以使用证书和Active Directory的结合来验证用户。 这为电子商务系统提供了即灵活又可靠的对用户身份的确认。 , IIS 5.0上的Web站点的开发使用的时Active Server Page (ASP) 3.0。ASP 提供了强大的功能和与Windows的紧密集成，同时ASP 3.0又进一步提高了 效率。ASP 3.0提供了和XML的集成，同时也可以用ADSI‎‎ 2.0对Windows 2000 Active Directory进行操作。使用Microsoft Visual InterDev 6.0开发工 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 20 页 共 61 页 具，您可以快速建立您的电子商务系统，也可以建立一个复杂但是功能强劲 的电子商务系统。 因此在本系统中将配置一台Web服务器，使用IIS 5.0进行Web开发，提供完善的Web服务。 6)多媒体信息传输 根据客户的需求，本系统采用Microsoft NetMeeting构建多媒体会议系统。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 21 页 共 61 页 4.1.3. 备份服务(建议采用) 使用计算机系统处理日常业务在提高效率的同时， 有一个问题越来越不容忽视， 即数据失效问题。 一旦发生数据失效， 企业就会陷入困境: 客户资料、 技术文件、 财务账目等数据可能被破坏得面 目全非， 如果系统无法顺利恢复， 最终结局将不堪设想。 所以企业信息化程度越高， 备份和灾难恢复 措施就越重要。根据系统自身的特点和对备份功能的要求，我们建议 在本系统中采用CA公司的ARC serve备份系统。 ARCserve 是一 个 跨平台的网络数据备份软件，在数据保护、灾难恢复、病毒防护方面均提供全面的产品支持，目前已成为了业界的事实标准。CA公司的软件产品涵盖大型网络管理、数据库系统和工具软件等诸多方面。全球最大的500家企业中有95%使用了CA公司的产品。 产品特性: indows操作系统 , 全面保护W , 支持打开文件备份 , 支持对各种数据库如Betrieve、Sybase、Oracle等的备份 , 支持从服务器到工作站的全面网络备份 , 可以实现无人值守的自动备份 , 备份前扫描病毒，可以实现无毒备份 , 支 持灾难恢复 4.1.4. Cisco网络管理 CiscoWorksWindows是全面的网络管理软件，它提供一整套强有力的工具，可用于管理小型到中型企业网或工作组。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 22 页 共 61 页 , 对连网设备自动识别程序可以用色彩鲜明的分级网络视IP IPX 网生成网络拓朴图; , 能为Cisco 设备获取端口状态，带宽使用率，流量统计，协议信息 及其它网络性 能统计等扩展数据; , 绘图功能灵活，可快速记录和分析可能输出到文件以备电子数 据表或其它工具 使用的历史数据; , 管理信息 率(MIB)编辑器和测览器可以管理第三方SNMP设备; , 可以定多种性能变量设置，以便产生报警或事件通知; , 事件筛选器可以筛选出有用信息以加速故障排除; , 设备配置特性用于在Cisco 交换机内配置简单的虚拟LAN(VLAN)。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 23 页 共 61 页 4.1.5. 局域网拓扑图 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 24 页 共 61 页 4.2. 局域网防火墙及防病毒解决方案 4.2.1. 网络安全风险分析 对于信息网所面临的安全风险涉及网络环境多方面，包括: , 自然灾害——水灾、火灾、地震等; , 电子化系统故障——系统硬件、电力系统故障等; , 人员无意识行为——编码缺陷、系统配置漏洞、误操作及无意泄漏 等; , 人员蓄意行为——网络环境可用性破坏、恶意攻击等。 其中，前三个方面的风险能够通过增强对网络环境的抗自然灾害的能力、加强网络设备管理维护、系统操作管理等手段来加以完善，尽可能将风险降低到能够被控制和管理的程度。 而对于第四方面的安全风险，对整个信息网的安全环境所构成的危害最大，同时也是最难于管理与防范的。且不仅仅能够通过加强对网络环境及人员的安全管理所能够实现的，尽管安全管理非常重要。同时需要相应的安全技术手段辅助完成。这也是本安全方案所要详细阐述的。 对于在信息网环境中，采取何种安全技术手段且如何实现，就需要通过对前面提到第四方面的安全风险的分析的基础上，针对信息网安全需求来确定。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 25 页 共 61 页 对于风险来说，它应包括那些可以被管理但又不能被清除的，以及那些能够中断网络工作流并对工作环境造成破坏性的威胁。其中，主要包括: , 对于网络应用服务的非授权访问 , 信息交互的保密性 , 网络病毒的传播与渗入 , 网络黑客行为 通过对以上主要的网络威胁分析，使我们能够准确把握信息网的网络安全需求。 4.2.2. 需求分析 网络安全需求是保护网络不受破坏，确保网络服务的可用性。对于信息网络内部安全需求，包括: , 能够满足信息网络内的授权用户对相关专用网络资源访问; , 能够对于非授权用户的访问进行有效控制和报警; , 能够坚决杜绝病毒和其他危险程序进入网络; , 能够对于远程访问用户进行安全管理; , 加强对于整个信息网络资源和人员的安全管理与培训。 4.2.3. 安全管理需求分析 如前所述，能否制定一个统一的安全策略，在全网范围内实现统一的安全管理，对于信息网来说就至关重要了。 安全管理主要包括两个方面: 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 26 页 共 61 页 , 内部安全管理 主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。 , 网络安全管理 在网络上设置防病毒安全检测系统后，必须保证防病毒系统的设置正确，且其配置不允许被随便修改。采用用户和口令认证机制加强对用户的管理，可以通过财务软件本身和一些网络层的管理工具来实现。 4.2.4. 安全方案 根据对信息网现阶段的安全需求分析，我们在设计本安全方案时，将采取一切有力的措施，来实现信息网现阶段的安全目标，考虑到现阶段对网络病毒的管理要求，本方案提出对网络病毒防范和管理控制建议，并提出了现阶段的网络安全管理方案。 4.2.5. 网络设备的安全配置 信息网中，整个网络的安全首先要确保网络设备的安全，保证非授权用户不能访问网络任意的网络通讯设备(例如:路由器，集线器等)。对不同型号、厂家的网络设备，要防范的内容是一样的，但具体的配置方法须依照设备要求来实现。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 27 页 共 61 页 4.2.6. 对服务器访问的控制 对于服务器用户可以设置不同的用户权限，如“非特权”和“特权”两种访问权限，非特权访问权限允许用户在服务器上查询某些公众信息但无法对服务器进行配置;特权访问权限则允许用户对服务器进行完全的配置。 对服务器访问的控制建议使用以下的方式: , 控制台访问控制 , 限制访问空闲时间 , 口令的保护 , 多级管理员权限 4.2.7. CheckPoint FireWall-1 4.0 作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一，CheckPoint公司致力于企业级网络安全产品的研发，据IDC的最近统计，其FireWall-1防火墙在市场占有率上已超过44%，《财富》排名前100的大企业里近80%选用了CheckPoint FireWall-1防火墙。 CheckPoint FireWall-1产品包括以下模块: , 基本模块: , 状态检测模块(Inspection Module):提供访问控制、客户机认证、 会话认证、地址翻译和审计功能; , 防火墙模块(FireWall Module):包含一个状态检测模块，另外提供 用户认证、内容安全和多防火墙同步功能; 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 28 页 共 61 页 , 管理模块(Management Module):对一个或多个安全策略执行点(安装 了FireWall-1的某个模块，如状态检测模块、防火墙模块或路由器安 全管理模块等的系统)提供集中的、图形化的安全管理功能; , 可选模块 , 连接控制(Connect Control):为提供相同服务的多个应用服务器提 供负载平衡功能; , 路由器安全管理模块(Router Security Management):提供通过防火墙 管理工作站配置、维护3Com，Cisco，Bay等路由器的安全规则; , 其它模块，如加密模块等。 , 图形用户界面(GUI):是管理模块功能的体现，包括 , 策略编辑器:维护管理对象、建立安全规则、把安全规则施加到安 全策略执行点上去; , 日志查看器:查看经过防火墙的连接，识别并阻断攻击; , 系统状态查看器:查看所有被保护对象的状态。 FireWall-1提供单网关和企业级两种产品组合。 , 单网关产品:只有防火墙模块(包含状态检测模块)、管理模块和 图形用户界面各一个，且防火墙模块和管理模块必须安装在同一台 机器上。 , 企业级产品:可以有若干基本模块和可选模块以及图形用户界面 组成，特别是可能配置较多的防火墙模块和独立的状态检测模块 。企业级产品的不同模块可以安装在不同的机器上。 状态检测机制 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 29 页 共 61 页 FireWall-1采用CheckPoint公司的状态检测(Stateful Inspection)专利技术，以不同的服务区分应用类型，为网络提供高安全、高性能和高扩展性保证。 FireWall-1状态检测模块分析所有的包通讯层，汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用。 状态检测模块截获、分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略。 Applications Applications Presentations Applications Presentations Sessions Presentations Sessions Transport Sessions Transport Network Transport DataLink DataLink DataLink Physical Physical Physical INSPECTINSPECT DynamicDynamic Dynamic Dynamic Dynamic EngEngineine State TablesState Tables State TablesState Tables State Tables 状态检测模块可以识别不同应用的服务类型，还可以通过以前的通信及其它应用程序分析出状态信息。状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。 状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新，通过这些数据，FireWall-1可以检测到后继的通信。 状态检测技术对应用程序透明，不需要针对每个服务设置单独的代理，使其具有更高的安全性、高性能、更好的伸缩性和扩展性，可以很容易把用户的新应用添加到保护的服务中去。 FireWall-1提供的INSPECT语言，结合FireWall-1的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 30 页 共 61 页 INSPECT是一个面向对象的脚本语言，为状态检测模块提供安全规则。通过策略编辑器制定的规则存为一个用INSPECT写成的脚本文件，经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是ASCII文件，可以编辑，以满足用户特定的安全要求。 OPSEC CheckPoint是开放安全企业互联联盟(OPSEC)的组织和倡导者之一。OPSEC允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安全产品。 OPSEC通过把FireWall-1嵌入到已有的网络平台(如Unix、NT服务器、路由器、交换机以及防火墙产品)，或把其它安全产品无缝集成到FireWall-1中，为用户提供一个开放的、可扩展的安全框架。 目前已有包括IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC联盟。 企业级防火墙安全管理 FireWall-1允许企业定义并执行统一的防火墙中央管理安全策略。企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则，每条规则分别指定了源地址、目的地址、服务类型(HTTP、FTP、TELNET等)、针对该连接的安全措施(放行、拒绝、丢弃或者是需要通过认证等)、需要采取的行动(日志记录、报警等)、以及安全策略执行点(是在防火墙网关还是在路由器或者其它保护对象上上实施该规则)。 FireWall-1管理员通过一个防火墙管理工作站管理该规则库，建立、维护安全策略，加载安全规则到装载了防火墙或状态检测模块的系 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 31 页 共 61 页 统上。这些系统和管理工作站之间的通信必须先经过认证，然后通过加密信道传输。 FireWall-1直观的图形用户界面为集中管理、执行企业安全策略提供了强有力的工具。 , 安全策略编辑器:维护被保护对象，维护规则库，添加、编辑、 删除规则，加载规则到安装了状态检测模块的系统上。 , 日志管理器:提供可视化的对所有通过防火墙网关的连接的 跟踪、监视和统计信息，提供实时报警和入侵检测及阻断功 能。 , 系统状态查看器:提供实时的系统状态、审计和报警功能。 分布的客户机/服务器结构 ，保证高性FireWall-1通过分布式的客户机/服务器结构管理安全策略能、高伸缩性和集中控制。 FireWall-1由基本模块(防火墙模块、状态检测模块和管理模块)和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机/服务器结构。 管理模块包括了图形用户界面和管理员定义的相关管理对象—规则库，网络对象，服务、用户等。防火墙模块、状态检测模块以及其它可选模块用来执行安全策略，安装了这些模块的系统称为受保护对象(Firewalled System)，又称为安全策略执行点(Security Enforcement Point)。 FireWall-1的客户机/服务器结构是完全集成的，只有一个统一的安全策略和一个规则库，通过一个单一的防火墙管理工作站，管理多个装载了防火墙模块、状态检测模块或可选模块的系统。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 32 页 共 61 页 认证(Authentication ) 远程用户和拨号用户可以经过FireWall-1的认证后，访问内部资源。FireWall-1可以在不修改本地服务器或客户应用程序的情况下，对试图访问内部服务器的用户进行身份认证。FireWall-1的认证服务集成在其安全策略中，通过图形用户界面集中管理，通过日志管理器监视、跟踪认证会话。 FireWall-1提供三种认证方法: , 用户认证(User Authentication):针对特定服务提供的基于用户的透 明的身份认证，服务限于FTP、TELNET、HTTP、HTTPS、RLOGIN。 , 客户机认证(Client Authentication):基于客户机IP的认证，对访问 的协议不做直接的限制。客户机认证不是透明的，需要用户先 登录到防火墙认证IP和用户身份之后，才允许访问应用服务器 。客户机不需要添加任何附加的软件或做修改。当用户通过用 户认证或会话认证后，同时也就已经通过客户机认证。 , 会话认证(Session Authentication):提供基于服务会话的的透明认证， 与IP无关。采用会话认证的客户机必须安装一个会话认证代 理，访问不同的服务时必须单独认证。 , FireWall-1提供多种认证机制供用户选择:S/Key，FireWall-1 Passw ord，OS Password，LDAP，SecureID，RADIUS，TACACS等。 地址翻译(NAT) FireWall-1支持三种不同的地址翻译模式: , 静态源地址翻译:当内部的一个数据包通过防火墙出去时，把其源 地址(一般是一个内部保留地址)转换成一个合法地址。静态源地 址翻译与静态目的地址翻译通常是配合使用的。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 33 页 共 61 页 , 静态目的地址翻译:当外部的一个数据包通过防火墙进入内部网时 ，把其目的地址(合法地址)转换成一个内部使用的地址(一般是 内部保留地址)。 , 动态地址翻译(也称为隐藏模式):把一个内部网的地址段转换成 一个合法地址，以解决企业的合法IP地址太少的问题，同时隐藏内 部网络结构，提高网络安全性能。 内容安全 FireWall-1的内容安全服务保护网络免遭各种威胁，包括病毒、Jave和ActiveX代码攻击等。内容安全服务可以通过定义特定的资源对象，制定与其它安全策略类似的规则来完成。内容安全与FireWall-1的其它安全特性集成在一起，通过图形用户界面集中管理。OPSEC提供应用开发接口(API)以集成第三方内容过滤系统。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 34 页 共 61 页 FireWall-1的内容安全服务包括: , 利用第三方的防病毒服务器，通过防火墙规则配置，扫描通过防 火墙的文件，清除计算机病毒; , 根据安全策略，在访问WEB资源时，从HTTP页面剥离Java Applet， ActiveX等小程序及Java，Script等代码; , 用户定义过滤条件，过滤URL; , 控制FTP的操作，过滤FTP传输的文件内容; , SMTP的内容安全(隐藏内部地址、剥离特定类型的附件等); , 可以设置在发现异常时进行记录或报警; , 通过控制台集中管理、配置、维护。 连接控制 FireWall-1的连接控制模块提供了负载平衡功能，在提供相同服务的多个应用服务器之间实现负载分担，应用服务器不要求都放在防 用户可选用不同的负载均衡算法: 火墙后面。 , Server Load—该方法由服务器提供负载均衡算法，需要在应用服务 器端安装负载测量引擎; , Round Trip—FireWall-1利用ping命令测定防火墙到各个应用服务 器之间的循回时间，选用循回时间最小者响应用户请求; , Round Robin—FireWall-1根据其记录表中的情况，简单地指定下一 个应用服务器响应; , Random—FireWall-1随机选取应用服务器响应; , Domain—FireWall-1按照域名最近的原则，指定最近的应用服务器 响应。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 35 页 共 61 页 路由器安全管理 , 可以通过FireWall-1的管理工作站对企业范围内的路由器提供集中 的安全管理: , 通过图形用户界面生成路由器的过滤和配置; , 引入、维护路由器的访问控制列表; , 记录路由器事件(需要路由器支持日志功能); , 在路由器上执行通过图形用户界面制定的安全策略。 FireWall-1可以集中管理以下路由器: , Bay Networks routers, version 7.x - 12.x , Cisco routers, IOS version 9 - 11 PIX Firewall，version 3.0, 4.0 , Cisco , 3Com NetBuilder, version 9.x , Microsoft RAS(Steelhead) Routers for Windows NT server 4.x 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 36 页 共 61 页 4.2.8 防火墙及防病毒解决方案 软件要求 , Checkpoint FireWall-1 4.1(50用户)for Windows 2000 , Norton Antivirus 6.0 for Windows 2000 , 网络管理软件 硬件要求 , Cisco 2610模块式路由器 , 服务器(双网卡，一块为内部网用一块为外部网使用) 防火墙网络图 对方网络 外部网络外部网络 网关Web不设防区不设防区路由器服务器(DMZ)(DMZ) 防火墙内部网络内部网络服务器内部局域网 路由器 内部网络 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 37 页 共 61 页 4.3. 城域网建设 4.3.1. 基本概述 地铁设计院城域网的建设范围由中旅商业城十六层广州地铁总公司(地铁中心机房)、芳村坑口运营事业总部、广百商业大厦二十九层资源开发总部、公园前控制中心建设事业总部、环市西路204号地铁设计院5个部组成。租用电信线路，采用帧中继技术组建广州地铁城域网，同时支持电话拨号访问(租用一条256K帧中继线和3条电话线供拨号访问)。 城域网的建设包括如下几方面内容: , 路由器的安装、配置和调试 , 通讯服务器的安装、调试 , Web服务器的安装、调试 , Mail服务器的安装、调试 , 防火墙的安装、设置 , 城域网网管系统的安装、调试 , 城域网网络的测试 在城域网的建设中的关键要素有:路由器的选型、路由器与通讯服务器的安装、配置和调试以及“防火墙“的组建和网管系统的安装、调试。 4.3.2. 通讯线路和拨号访问服务 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 38 页 共 61 页 广州地铁设计院网络建设中城域网所用的通讯线路或传输技术主要有两种:一为FR、二为PSTN，采用租用256K帧中继线和3条电话线供拨号访问 4.3.3. 虚拟专用网VPN技术 VPN是一个虚拟的网，其重要的意义在于"虚拟"和"专用"。为了实现在公网之上传输私有数据，必须满足其安全性。VPN技术主要体现在两个技术要点上:Tunnel、相关隧道协议(包括PPTP，L2F，L2TP)，数据安全协议(IPSEC)。下面针对这几项技术做一介绍。加密和用户授权为在公‎‎司网上进行个人通信提供了安全保证。 隧道(Tunneling)技术介绍 VPN在表面上是一种联网的方式，比起专线网络来，它具有许多优点。在VPN中，通过采用一种所谓"隧道"的技术，可以通过公共路由网络传送数据分组，例如Internet网或其他商业性网络。 这里，专有的"隧道"类似于点到点的连接。这种方式能够使得来自许多源的网络流量从同一个基础设施中通过分开的隧道。这种隧道技术使用点对点通信协议代替了交换连接，通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。 通过TUNNEL的建立，可实现以下功能: , 将数据流量强制到特定的目的地 , 隐藏私有的网络地址 , 在IP网上传输非IP协议数据包 , 提供数据安全支持 , 协助完成用户基于AAA的管理。 在安全方面可提供数据包认证、数据加密以及密钥管理等手段。 拨号VPNs 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 39 页 共 61 页 使用隧道技术远程访问服务器把用户数据打包进IP信息包中，这些信息包通过电信服务提供商网络传递，在Internet里，则需要穿过不同的网络，最后到达隧道终点 ，然后数据拆包，转发成最初的形式。VPN允许网络协议的转换，还允许对来自许多源的流量进行区别，这样可以指定特定的目的地，接受指定级别的服务。公司网进行远程访问通信，从电路交换的，长距离的本地电信服务提供商到ISPs和Internet需要采用隧道技术。隧道技术使用点对点通信协议，代替了交换连接，通过路由网络来连接数据地址。这代替了电话交换网络使用的电话号码连接。隧道技术允许授权移动用户或已授权的用户再任何时间任何地点访问企业网络。应用授权技术，隧道技术也禁止未授权的访问。 4.3.4. 网管软件平台和网管软件 合网络管理软件，他不但具有网络管理的网管软件平台是一种综 基本功能，而且用户可以利用他开发新的网络管理应用软件。目前公认的三大网管软件平台:IBM NetView 、HP OpenView 和SUN NetManger，此外还有CA的网管软件平台。 广州地铁设计院的城域网网管，它管理中旅商业城十六层广州地铁总公司(地铁中心机房)、芳村坑口运营事业总部、广百商业大厦二十九层资源开发总部、公园前控制中心建设事业总部、环市西路204号地铁设计院5节点。 其建设要考虑网络硬件平台、操作系统平台、协议平台、网管平台、网管应用等各个方面，建议铁设计院采用IBM NetView网管平台和Cisco Works网管软件的网络管理系统。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 40 页 共 61 页 4.3.5. 城域网网络架构图 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 41 页 共 61 页 4.4. Internet的接入方案 4.4.1. ADSL简介 随着Internet的爆炸式发展，在Internet上的商业应用和多媒体等服务也得以迅猛推广。为了实现用户接入网的数字化、宽带化，提高用户上网速度，人们提出了多项宽带接入网技术，包括N-ISDN、Cable Modem、ADSL等等，其中ADSL(非对称数字用户环路)是最具前景及竞争力的一种,将在未来十几年甚至几十年内占主导地位。 ADSL是一种通过现有普通电话线为家庭、办公室提供宽带数据传输服务的技术。ADSL即非对称数字信号传送，它能够在现有的铜双 ，即普通电话线上提供高达10Mbit/s的高速下行速率，远高于绞线 ISDN速率;而上行速率有1Mbit/s，传输距离达3km----5km。ADSL技术的主要特点是可以充分利用现有的铜缆网络(电话线网络)，在线路两端加装ADSL设备即可为用户提供高宽带服务。ADSL的另外一个优点在于它可以与普通电话共存于一条电话线上，在一条普通电话线上接听、拨打电话的同时进行ADSL传输而又互不影响。 安装ADSL也极其方便快捷，在现有的电话线上安装ADSL，除了在用户端安装ADSL通讯终端外，不用对现有线路作任何改动。局域网用户具有4个静态IP地址，可以在中国公众多媒体网上架设公司的网站 ，提供WWW、FTP、E,mail等服务。随着ADSL技术的进一步推广应用，ADSL接入还可以提供点对点的远程医疗， 远程教学，远程可视会议等服务。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 42 页 共 61 页 4.4.1. ADSL与其它接入服务的比较 ADSL与Cable Modem的比较 与Cable Mode相比，ADSL技术具有着相当大的优势。Cable Modem的HFC接入方案采用分层树型结构，其优势是带宽比较高(10M)，但这种技术本身是一个较粗糙的总线型网络，这就意味者用户要和邻近用户分享有限的带宽，当一条线路上用户激增时，其速度将会减慢。再者，有关资料表明，大部分情况下，HFC方案必需兼顾现有的有线电视节目，而占用了部分带宽，只剩余了一部分可供传送其它数据信号，所以Cable Modem的理论传输速率只能达到一小半。国外公司实验表明，其速率减为 1M-2Mbps，更常见的是 400K-500Kbps。综合来看，即使在理想状态下，HFC只相当于一个10Mbps的共享式总线型以太网，而ADSL接入方案在网络拓扑结构上较为先进，因为每个用户都有单独的一条线路与ADSL局端相连，它的结构可以看作是星型结构，它的数据传输带宽是由每一用户独享的。 ADSL与普通拨号 Modem及N-ISDN的 比较 , 比起普通拨号 Modem的最高56K速率，以及N-ISDN 128K的速率，ADSL 的速率优势是不言而喻的。 , 与普通拨号 Modem 或ISDN相比， ADSL更为吸引人的地方是:它在同一 铜线上分别传送数据和语音信号，数据信号并不通过电话交换机设备，减轻 了电话交换机的负载，并且不需要拨号，一直在线，属于专线上网方式。这 意味着使用ADSL上网并不需要缴付另外的电话费。 综合以上所述，可以看到ADSL作为一种高速接入Internet的技术更具有生命力，是企业接入Internet、开展网上电子商务的最佳选择。同时企业Intranet网与 Internet之间设有CheckPoint FireWall-1防火墙，实现了公司内部网对外信息交流的控制和管理，并防止外部非法用户进入企业Intranet网。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 43 页 共 61 页 Cisco 2610路由器通过ADSL Modem接入Internet，提供Internet代理服务，为企业Intranet网络授权用户提供通过防火墙测览Internet服务，同时阻止非授权用户访问Internet。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 44 页 共 61 页 五、 设备报价表 品牌 单价 数量 正式投标价 规格 金额 1 中心网络设Catalyst 2948 G-L3 备 7 交换机 Catalyst 3548 XL Enter prise Edition (带千兆堆叠模块) 2610 5 远程访问路 (包括接外置MODEM由器 的模块卡、帧中继广域 网模块卡) 3 调制调解器 GVC 超级魔电400 1 网络安全软Check Point Firew 件 all-1(端口数50) 1 防病毒软件 Norton Antivirus (用于6台服务器，100 台工作站) 网络设计、调试 费 总计 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 45 页 共 61 页 六、 项目实施 6.1. 项目实施阶段 6.1.1. 网络设备及系统软件验收 包括:网络设备是否与装箱单相符、保修单等证明文件是否齐全、各设备硬件配置情况、网络设备加电试机、系统软件的合法性等。 6.1.2. 项目计划实施 按照项目计划进行网络建设，包括网络设备和软件的安装、调试。 6.1.3. 审核施工进度 根据实际施工情况，解决可能出现的问题，确保工程如期进行。 6.1.4. 网络系统集成性能测试 包括:丢包率、错包率、网络线速、统计碰撞、帧故障、网络应用软件配置是否合理、各种网络服务是否实现、网络安全性及可靠性是否符合合同要求等等。 6.1.5. 完善在测试过程中可能出现的各种问题 纠正在性能测试中出现的问题，确保网络性能达到设计的标准和要求，并详细记录问题的原因和解决的方法，作为日后系统维护的 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 46 页 共 61 页 参考。 6.1.6. 提交网络性能测试报告 6.1.7. 网络系统集成验收 协助用户组织验收工作，包括验收委员会的成立、各验收参数的确定等;验收主要包括:合同履行情况、网络系统是否达到预期效果、各种技术文档等。 6.2. 系统验收标准 6.2.1. 系统验收内容 , 系统性能; , 工程质量; , 系统文档; , 工程管理。 6.2.2. 系统性能验收 设备性能:主流厂商、主流产品、主流技术 服务器: Intel芯片，550MHz以上的主频，内存、外存够用并有50%左右 的冗余考虑，高速I/O; 局域网设备: 网卡、交换机100M，主干100M可交换并可堆叠，端口数 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 47 页 共 61 页 够用并有20%左右的冗余，支持双绞线连接，并预留千 兆光纤主干的接口; 广域网设备: 具有路由和转发功能，内存、缓存够用并有30%左右的冗余，可 支持PPP和LL连接，支持IP协议，端口数可满足主备 用。 网络性能:实用技术、成熟标准、安全管理 技术: 快速、高速以太网、(主体)星型结构、智能化可管理; 标准: IEEE 802.3等标准，TCP/IP等事实标准，OSI/ISO等理论标准; 安全: 访问控制、传输保护、病毒防治、网络分段; 管理: 界面友好、操作方便，可做到结构识别、状态监测、流量统计、设备配 置、资源分析、故障诊断与排除。 工程质量验收 设备: 按照设计要求配置、调试，保证彼此之间的互通，广域设备地 址统一、 协议一致、子网清晰，局域网设备结构清晰、层次分明; 连接，保证用户端设备、网络(通道)设备、线路: 按照设计要求搭配、 通讯终端设备之间的互通，广域主备线路统一申请、统一协 议，局域线路统一接口、统一线类; 环境: 机房、配线间、配线设备整齐、布局合理，线路连接清晰，走线 统一，整个环境洁净，温度、湿度适宜，通风良好，既客观又美 观。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 48 页 共 61 页 系统文档验收 完善性: 含系统设计文档--总体方案、详细设计，系统实施文档--工程 记录、系统配置，系统维护文档--操作、维护手册，还有各 种设备的技术文档，要求设计、实施、维护和技术文档齐全; 易读性: 要求设计文档、实施文档、维护文档深入浅出，既详致又精 练，按类装订成册，及时移交，统一归档，同时要求有完整备 份; 客观性: 要求文档客观地反映系统及系统建设情况，有变动及时修 改，不同版本有相应说明，同时有版本及修改、更新的时间 记录。 6.2.3. 工程管理验收 计划:目的性强，可操作性强，有远见、有条理; 人员:符合各种工程角色的需要，及时到位，工作细致; 进度:保证关键事项，总体保证计划进度，并可根据实际情况及时调整; 组织:组织性强，各角色职责明确，协调好，可协作攻关。 系统验收组织 , 整个网络系统建设完成后由广州地铁总公司组织有系统集成商 参与的技术、项目验收; , 验收工作由广州地铁总公司主持; , 系统集成商做技术和项目管理方面的汇报; , 广州地铁总公司从用户的角度评介整个网络系统; , 有关专家(测试小组)宣布测试结果; , 验收组作出系统建设成败优劣的验收意见，形成书面的验收意见 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 49 页 共 61 页 书。 系统验收依据 系统文档:需求材料、设计方案、实施方案、设备性能参数、网络系统技术参数、 测试记录、试运行期维护记录; 用户文档:培训记录、故障记录、用户意见书; 现场资料:现场观看、现场操作演示、现场测试、维护人员与管理人员评价。 系统验收原则 , 以技术和设备性能的客观为基础; , 以系统和实施管理的完善为目标; , 以用户和测试人员的评述为依据; , 以意见和完善建议的中肯为原则。 网管系统要求 1)网络监控功能要求 网管系统应能通过图形方式显示网络的拓扑结构、所有网络节点的工作状态、网络节点的工作性能，可以对网络上的数据量进行统计和显示。 故障报警和排除: 网络管理系统在监控网络设备、主机的同时， 应设置相应参数阀值; 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 50 页 共 61 页 设备配置设定: 网络管理系统应能通过局域网及广域网对网络上的设备进 行在线修改配置，实现网络资源的动态分配; 网络资料统计分析:网管系统将网络设备的运行情况、网络故障等多种信息存储 在文件或数据库中，供网络管理员直接存取。 2)网络管理软件平台功能要求 , 网络管理软件平台通过SNMP协议管理全网上的TCP/IP资源; , 网络管理软件平台应支持标准的MIB-II管理信息及一些主要厂家 的MIB管理信息; , 应能管理各种智能型的、支持SNMP协议并采用MIB-II管理信息集的 网络设备。 3)对网络设备的管理 网络设备的管理由专门的系统管理软件完成，其功能应包括: , 自动发现网络上的路由器，以不同的图标区别不同种类的路由 器; , 在一个路由器的拓扑图上显示全部本地和远程的路由器; , 方便设置其他类型的路由器; , 监控路由器上的数据传送量及错误的数据包，当路由器发生故障 或某个参数超过阀值时，能自动报警; , 当关于路由器的某一事件发生时，在网管机中预先定义的操作会 自动执行以排除网络故障或响应网络设置的变化; , 所有的路由器信息可以长期保存在网络管理机的数据库中; , 对网络设备进行具体配置。 4)各种操作系统及网络协议的管理 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 51 页 共 61 页 , 网络配置管理的功能要求: , 自动发现网上的资源，并自动以不同的图标表示; , 只需简洁的鼠标操作“point-and-click”，即可在图形用户界面上 再现直观的网络拓扑结构图; , 可通过系统预定义及系统管理员定义的应用查询网上的配置信 息，以直观的工具代替复杂的查询指令。 网络问题的管理功能要求: , 网管中心可以不间断地对网上IP资源的状态、配置和事件进行 监控; , 系统管理员可通过设置信息过滤器来选择哪些网上信息被送至 网管中心; , 通过事件的自动响应系统可使管理员从手动操作中解放出来; , 相关事件变化及执行的操作将作为事件的历史信息送到网管中 心做记录。 网络性能的管理功能要求: , 通过SNMP Agent，网络管理软件平台可以监控到许多系统性能的 参数; , 网络管理软件平台可以监视和报告主机CPU和磁盘的利用率; , 利用公告栏程序“Spread-sheet program”，这些网络性能的信息可 以以图形或数字的形式展现，或以ASCII的格式输出; , 对所有的功能均有用户帮助，并提供可选的在线资料。 5)基于GUI的图形界面 网络管理软件平台应能为网络管理员提供图形化的网络IP拓扑 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 52 页 共 61 页 结构，使网络管理员可以迅速方便地发现局域网上出现的IP资源并帮助管理员发现故障原因，帮助管理员准确测定网络上数据传输的高峰及文件服务器磁盘的利用率。 6)关系型数据库支持 网络管理软件应能支持关系型数据库，网络和系统的信息可以存储在这些关系型数据库中并通过SQL API’s进行查询。报告工具“Report Tools”和数据库管理工具“Database Administration Tools”可以直接读取这些原始数据，即使SNMP的AGENT不再存在仍然可以找到这些信息。 网络安全措施 网络安全主要体现在如下三方面: , 访问安全:未经授权，任何系统、任何个人都不可以进入系统的相关 部分; , 传输安全:防止数据在网络上进行传输时的信息泄露以及网络逻 辑损伤; , 病毒防治:对网络病毒的防御和清除。 网络安全措施如下: , 主服务器业务数据的安全备份; , 网络设备与通讯线路的安全备份; , 网络数据传输中的数据安全控制，如加密和解密; , 应用系统中的安全控制:操作系统和数据库系统的两级帐户、 两级口令等; , 网络病毒疫苗(防病毒软件); 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 53 页 共 61 页 , “防火墙”、病毒“防火墙”; , 规范的系统运行管理和系统安全管理。 网络测试标准 1)局域网测试 速率测试: 测试网络在正常状态下的传输速率，基本要为10/100Base-T; 稳定性测试: 测试网络的稳定性、健壮性，基本要求是S-Ping/Ping为50%; 安全性测试: 测试系统对非法侵入及非法用户的抵制能力是主要内容，基本 的标准为不容许非法登录; 通断性测试: 测试网络和线路是否通畅，基于封装协议的数据传输是否正常， 基本标准为全部线路物理上可Connect、逻辑上可P ing; 破坏性测试: 测试网络中某部分出现意外中断时是否能够及时启用备用设备 保证网络的通畅，基本要求为1小时内可切换、1天内可 恢复; 集成性测试: 测试网络在不同厂家网络产品配置组合之后的网络性能，基本 要求为可集成不同主流厂商的同档产品; 拓展性测试: 网络的拓展性能如何直接影响用户的资金利用率，基本要求为 可扩充、冗余端口约10%; 整体性测试: 测试网络连通后的整体性能，要求为可整体连通并无 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 54 页 共 61 页 明显延迟。 2)广域网测试 通断测试: 测试广域网的逻辑连通性能，要求可远程登录或逻辑上可Ping; 速率测试: 测试广域网实际的数据传输能力，基本要求2NK端口实际可达 NK; 疏忙测试: 测试广域网在繁忙的事务请求下的响应能力，PSTN、ADSL等拨 号线路要求接通率在50%左右; 备份测试: 测试备份通讯线路的安全切换能力和平均切换时间，要求可以安 全、自动地切换并且自动切换时间在1分钟内; 整体测试: 测试广域网络的整体性能，要求整体连通并且各终端用户没有明 显的延迟感。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 55 页 共 61 页 七、售后服务计划 广州市xx计算机有限公司对所售出的设备提供最完善的优质售后服务，为了明确保修期内的服务内容和进一步做好保修服务工作，特提供以下详细服务说明。 7.1. 前期运输与设备安装 1) 由经过专门训练的货运人员负责装卸, 尽量不在阴雨天装运; 2) 采用防震效果优良的运输车辆,选择路面状况较好的路线; 3) 货物装卸时由我公司工程技术人员在现场协同用户监督清点, 保 证轻装轻卸。 4) 送货至用户指定电脑室进行安装调试; 5) 安装前协同用户检查机房和设备间设施达到以下要求: , 电源要求:电压:220V?5%;频率:50HZ?3HZ 系统额定功率需另 加50%的安全系数。要求使用不间断电源稳压供电系统 (UPS)。照明、办公设备、空调等不得与系统电源相连，如有困 难要采取隔离和稳压措施。 , 地线系统:地线良好，整个系统(含若干个工作站在同一网络 中)只能有且仅有一根接地参考点。地线要单独做，且接地电 阻小于4欧姆。 , 机房要求:温度:22?C，?5?C，相对湿度:45—70%， 露点:不结 露。 , 温度变化率:小于5?C/小时，湿度变化率:小于6%/小时。需要有 防静电地面(严禁使用地毯)。 6) 安装时与用户确认电脑的配置是否与合同相符及外观完好无损 等情况; 7) 安装完毕但尚未交付使用的设备可由我方派专人看管或移交用 户方指定人员签字认可; 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 56 页 共 61 页 8) 安装完成后的机房由我方负责清场，纸箱等填充物放至用户指 定地点; 9) 设备移交时需一一清点电脑、附件、保修卡等资料，保证其完整 性; 10) 与用户共同制定机房管理守则。 7.2. 保修期的服务 7.2.1. 保修期间的确立 保修期从双方依据合同要求将设备移交至用户指定地点及并安装调试、完成验收报告之日算起，整机上门保修壹年。 7.2.2. 建立设备管理文档 工程结束之后，我方将填写相关的设备管理文档，包括《进场前勘探报告》《实施工作日志》《工程验收报告》《客户服务单》。建立专门的用户档案，在每一次检查及维修工作后由用户和维修工程师共同填写检修记录，以便于定期跟踪服务。 7.2.3. Cisco保修期内的服务 7.3. 保修期后的服务 保修期后，xx公司还可以根据用户的使用提供零配件供应、网络技术咨询、设备升级、设备维修保养等服务。用户可根据需要向xx公司采购有关服务产品，并另行签订。xx公司将给以优惠的价格。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 57 页 共 61 页 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 58 页 共 61 页 7.4. xx服务体系 7.4.1. 专业的技术队伍 我们拥有一大批COMPAQ、HP、IBM、Cisco、ORACLE、MS、Lotus、JAVA等高级认证工程师，多年从事网络的设计、安装、调试、维护等工作，具有丰富的行业经验。 技术支持部 为用户提供系统分析和设计服务。技术人员具有多年技术咨询、系统分析和大中型计算机网络设计等实践经验，熟练掌握快速以太网、FDDI、ATM等大中型网络设计技术。 客户服务部 专职负责用户系统技术服务工作。为用户提供快速、有效的服务，确保用户系统的性能优越和关键业务的持续、稳定的运作。 7.4.2. 整体的服务控制 作为原生产厂商全球化服务支持体系的重要组成部分，我们为国内用户提供标准的、全面的解决方案支持。提供从设备交货、产品验收、工程实施和效能调试等一系列整体的服务流程。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 59 页 共 61 页 设备交货与质量控制 原厂商产品的制造及质量检验都由电脑来控制，严格执行ISO9000标准。通过Internet查询、跟踪合同设备的交货情况，有专人跟单。 原厂商产品的验收和技术保证 我们提供的这项服务不但可以确保用户系统尽快而有效地运行，还可以培训用户技术人员熟悉系统的各项配置和全面掌握相关技术(如系统操作和管理等)，从而有效地将“整个系统”(包括产品和技术)完整、平滑地移交给用户技术人员。 产品确认:包括硬件产品、网络产品、数据库及应用开发工具的确认 功能确认:根据产品的性能指标和功能描述，逐一检验和确认。 配置确认:结合用户的要求，对产品的配置(包括系统，网络、数据库和软件) 进行检验，并形成相应的技术报告。 系统和网络工程的实施与监理 xx公司实行项目负责制，服务小组将完成项目实施计划的制定、设备齐套和性能测试、设备安装环境的测试和验收、设备安装与调试、系统初验与系统试运行、系统终验、项目服务技术文档建立以及售后服务。 系统效能调试 系统运行一段时间后，需要对系统整体性能进行调整。华南资讯将 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 60 页 共 61 页 根据用户的需要，组织专业服务小组，按照规定的流程，完成系统的整体性能优化要求。 快速的响应方式 经验丰富的工程技术人员通过电话、传真、电子邮件或网络交谈等形式，迅速诊断、解决各种技术故障和疑难问题，提供快捷有效的技术支持。 全面的服务体系 针对用户的实际需要，华南资讯提供全面的技术服务支持:系统需求分析、方案设计及严格的可行性分析和审核、必要的施工准备 、检验、技术准备、人员培训等)、程序化安装调试流(包括设备齐套 程及专业服务小组负责、严格的项目测试及验收程序、有效的事前控制体系和工程质量监督等。 xx公司结合多年的计算机系统集成经验，制定出了一整套严格的工作流程和服务规范。每一阶段的服务工作均是在紧密联系用户的基础上进行，并有严格的质量要求，以保证整个工程项目的实施质量。 为了保证用户系统有效而稳定的运行，xx公司还提供售后技术支持和服务，最终用户只要提供自己的服务合同号，即可获得所需的售后支持和服务。 广州市地铁总公司局域网和城域网网络解决方案 广州市xx计算机有限公司 www.dgework.com 第 61 页 共 61 页 广州市地铁总公司局域网和城域网网络解决方案