地铁局域网和城域网解决方案

一、项目概述Iternet六间会议室有少量的多信息传输百29层的资源开发总部、位于公园前地铁控制中心的建设事业总部、204允许外出的通过拨号地铁总公司网络、互换信息二、需求分析布线工程已由广州地铁总公司委托其他公司完成。该布线工程全部采用LucentLucent320MSWindows2000Server中旅商业城十六层广州地铁总公司计算机局域网及防解决方案三、总体设计方案高可靠高安全，充分保证性先进展，保证网络建成后3-5年不，选用符合国际标准的系统和产品，以保证系易管理、易统应具有监测、故障、故障、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块化、可通用的产品，以便于管理和可扩展网络体系结构和逻辑结构设100Mb/S交换式以太网，原因如下：100Mb/s以太网交换技术,网络拓扑结网络管理系统的确络端口，需要网上每台设备都支持SNMP。根据本网络的特点，要求程序能够地域对异地的网络节点进行管理。连接在与Internet的连接方面，通过服务器，利用ADSL专线服务器，实现与客户的信息交流同时还设立了工作站网络的运行状况，基本网络结构1CiscoCatalyst2948G-L37Cisco的Catalyst3548XLEnterpriseEdition（带千兆网堆叠模块）2（3）台堆叠成一组，300100千兆以太网交换机Catalyst2948G-L3置于主设备间。中心交换机配置1块24Gbps千兆以太网交换引擎、1块20端口10M/100M自适应以太网交换模块、1块12端口10M/100M自适应第三层交换模块、821000Base-SX输入输出121000Base-LX桌面交换机根据用户的实际情况采用7台Cisco的Catalyst3548XLXL4810/100Base-TXLXLVLAN就是一个广播域，也就等于WinNT网络中的一个子VLANVLAN可以提供建立的机制,防止交换网络的过量广播风暴,使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以之外,同样,VLAN,可以减少广播使用共享式LAN,安全性很难保证,VLAN提供了安全性,限制了个别用户的,控制组的大小及位置等。交换端口可以基于应用类型和来进行分组,VLAN中。N管理程序,N组,分配特定用户和交换端口给这些VN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,交换机配置N通信,交通流量和N使用的网络带宽。这些能力有效的提高了网络管理程序的可控性,灵活性和监视功能,减少了管理的费用,增加了集中管理的功能。层)连接起来。本系统种所采用的Catalyst2948G-L3具有第三层路由模块，不需要附加路由器，VLAN之间的通信在Catalyst2948G-L3交换机即可解决，VLAN。Catalyst2948G-L3Catalyst3548XLEnterpriseEditionVLAN划分，802.1QVLAN802.1Q，网络中所有交换机就可以采用相同的VLAN设置。服务器可以直接连接到交换机，最高速度可以达到800MCisco公司IOS操作系统和CiscoWorks软件的统一应本网络系统利用交换机的端口来划分VLAN成员，通过虚拟理应用程序A、B、CVLAN的各个LAN网段上的所有站点都在同一个广播域中,它们相互可以直接通信，并允许还便于直接,可以对端口进行安全控制。与之相比，基于物理地址的划分方TCP/IP协议。因此，迄今为止端口划分是最常用的式。据的节点数和对带宽的需求，主干连接分别采用100Mb/s、100Mb/sTrunkVLAN是一个交换网络，它可以按功能、部门或是应用为基础来加以逻辑上的划分，而不是以实体或物理位置为基础来划分。VLAN分段服务，每一个VLAN就是一个广播域，也就等于Win95网络中的一个子网。这样可以更有效的控制广播对于控制以及日常的网络管理也可以做到很好充分利用CISCO网络服indows2000ndSrvrbindows2000ndSrvr采用模块化设计,能使现有系统和未来优秀的技术相结合,因而可以在保持现有投资的基础上进一步采用新技术。Windows2000AdvancedServerWindows2000AdvancedServer操作系统。它可运行在Inx86系统、精简指令集计算机(RISC)和DECAlpha8Windows2000AdvancedServerAlpha持最多32G的物理内存，在In平台上支持最多8G的内存。Windows2000WindowsNTFS、FATFAT32Windows2000已将安全性内嵌入操作系统,有选择的控制使你能对单个理。Windows2000支持的安全模板由安全属性的文件（.inf）组成，它将所有安全分析。Windows2000Kerberos允许用户只登陆一次就可以网络资源。活动采用可扩展的对象方式了网络上所有对象的信息并使得这些信息更容易被查找到。活动有灵活的结构，允许委派对安全的Web（IISWebWeb统和提供Internet服务的部门和应用程序服务器。我们建议采用Windows2000AdvanceServerWindows2000ServerExchangeServer是带有集成组件的电子信息交换服务器，它浏览器来。与微软BackOffice产品相结合，使用通用、熟悉的开发工具，ExchangeServer可以快速提供和实施强大的业务协作解决方案，满足用户对Intranet本电子系统构建于ExchangeServer电子交换服务器，安装Exchange服务器作为邮局，、交换、管理邮件系统中的用户和信件，以电成文书处理、电子表格、电子传真、电子邮件、个人日程安排等功能。构建Windows98和Office97/2000的套件基础上。通过ExchangeServer的Schedule+和Office972000Outlook构造公文自动处理系统和自动管理系统等办公自动化应用通过电子公WWWInternetInformationServer和SQLServer的基础上，形成的Intranet。目前应用比较广泛大型数据库系统主要有Informix、Oracle、Sybase、-SQLServer根据目前业务系统的特点，充分考虑今后系统开放性、高效性、联机事务处理的要求，数据库系统应该采用SQLServer类型，综合当SQLServer产品现状，我们建议采用-SQLServer，并使用独立的数据库服务器以提高由于本系统的体系结构采用客户/服务器模式，-SQLServer拥有充分估计其它业务及相关系统的要求，采用-SQLServer便于本系统一逐步推广使用的过程，因此要求在系统构造时充分考虑其扩展性。SQLServer具有开放的体系结构，由于其公开的接口规格，使得现在多数4GL程序开发语言均支持对SQLServer的联接，因此SQLServer能够面向多种系统的开发，便于处理与其它系统的可伸缩性：SQLServer所有的表、SQL代码、过程、规则、触发器都能互操作性：客户/服务器系统能够透明地与其它厂商的产品联结DB2、Oracle。分布式数据库支持：SQLServer的和分布。较大的机构建立应用时，可以把它们的SQLServer网络当 SQLServerWindows2000SQLServer较多，但与Windows2000连接紧密且性能优越的当数SQLSQLServerC2在SQLServe数据库的基础上，可利用各种数据库开发工具开发数据库管理WindowsMISIPInternet替以数字方式表示的IP地址，这种名字形式的地址称为地址，整个分层的（DNS解析是当前网络中一种成技术，在本系统中将用Windows2000的DNS系统来做服务Windows2000包括的DNS系统支持新的DDNS标准既支NT4WINSDNSWindows2000DNSInternet理变得更容易。通过Internet或公共网络建立虚拟网络（）模拟点对点连接，在计算机之间收发数据，其效果与在线进行数据传输一样安全、有效。在本系统中RAS服务器配有两个Modem，外出的可通过网拨号WebWindows2000服务器中内置了一个新的Web务器--InternetInformationServer(IIS)5.0。IIS以其强大的服务能力和丰富的开发，使其成为了电子商务的主要服务器平台，5.0IIS5.0将运行在它上面的Web站点应用和IIS服务开来，而且可以对每个站点应用配置独立的CPUWeb在安全性方面，IIS5.0Windows2000ActiveDirectory户的验证，也可以使用和ActiveDirectory的结合来验证用户。这为电子商务系统提供了即灵活又可靠的对用户的确认。IIS5.0上的Web站点的开发使用的时ActiveServerPage(ASP)3.0。ASP提供了强大的功能和与Windows的紧密集成，同时ASP3.0又进一步提高了效率ASP3.0提供了和XML的集成同时也可以用ADSI2.0Windows2000ActiveDirectory进行操作。使用VisualInterDev6.0开发WebIIS5.0Web开发，提供Web服务。多信息传根据客户的需求，本系统采用NetMeeting构建多会议系统备份服务（建议采用使用计算机系统处理日常业务在提高效率的同时，有一个问题越来越不容忽视，即数据失效问题。一旦发生数据失效，企业就会陷入困境：、最终结局将设想。所以企业信息化程度越高，备份和恢复措施就越CAARCserveARCserve是一个跨平台的网络数据备份软件，在数据保护、恢复、病毒防护方面均提供全面的产品支持，目前已成为了业界的事实标准。CA公司的50095%CAWindowsBetrieve、Sybase、Oracle备份前扫描，可以实现无毒备支持恢Cisco网络CiscoWorksWindowsIPIPX络性能统计等扩展数据；具使用的历史数据；管理信息率（MIB）编辑器和测览器可以管理第SNMP设备可以定多种性能变量设置，以便产生或事件通知LAN（VLAN局域网拓扑局域网及防解决方4.2.1.风险分对于信息网所的安全风险涉及网络环境多方面，包括自然——水灾、火灾、等无意识行为——编码缺陷、系统配置、误操作及无意泄漏等；蓄意行为——网络环境可用性破坏、等。同时也是最难于管理与防范的且不仅仅能够通过加强对网络环境及的安全中断网络工作流并对工作环境造成破坏性的。其中，主要包括：信息交互的网络的与渗网络行通过对以上主要的网络分析，使我们能够准确把握信息网的需需求分能够满足信息网络内的用户对相关网络资源能够对于非用户的进行有效控制和能够坚决杜绝和其他程序进入网络能够对于用户进行安全管理加强对于整个信息网络资源和的安全管理与培训安全管理需求实有效的措施保证制度的执行安全管理主要采取行政和技术相安全方网络设备的安全配能网络任意的网络通讯设备（例如：路由器，集线器等。对不同型号、厂对服务器的控进行配置；权限则允许用户对服务器进行完全的配置。对服务器的控制建议使用以下的方式控制台控限制空闲时CheckPointFireWall-1致力于企业级产品的研发，据IDC的最近统计，其FireWall-1在44%FireWall-1。CheckPointFireWall-1状态检测模块（InspectionModule）：提供控制、客户机认证、会话认模块（FireWallModule）：包含一个状态检测模块，另外提供用户认证、内容安全和多同步功能；管理模块（ManagementModule）：对一个或多个安全策略执行点（安装了FireWall-1的某个模块，如状态检测模块、模块或路由器安全管理模连接控制（ConnectControl）：为提供相同服务的多个应用服务器提供负载路由器安全管理模块（RouterSecurityManagement）：提供通过管理工作站配置、3Com，Cisco，Bay等路由器的安全规则；图形用户界面（GUI）：策略编辑器：管理对象、建立安全规则、把安全规则施加到安全策略执日志查看器：查看经过的连接，识别并阻断FireWall-1单网关产品：只有模块（包含状态检测模块）、管理模块和图形用户界面各一个，且模块和管理模块必须安装在同一台机器上。是可能配置较多的模块和独立的状态检测模块。企业级产品的不同模FireWall-1采用CheckPoint公司的状态检测（StatefulInspection）专利状态检测模块截获、分析并处理所有试图通过的数据包，保证网络 Applications状态检测模块把相关的状态和状态之间的关联信息到动态连接表中并状态检测技术对应用程序透明，不需要针对每个服务设置单独的，使策略编辑器制定的规则存为一个用INSPECT写成的文件，经过编译生成代码并被加载到安装有状态检测模块的系统上。文件是ASCII文件，可以编辑，CheckPoint是开放安全企业互联(OPSEC)的组织和倡导者之一。允许用户通过一个开放的、可扩展的框架集成、管理所有的产品目前已有包括IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC企业级安全管FireWall-1允许企业定义并执行统一的管理安全策略企业的火墙安全策略都存放在管理模块的一个规则规则存放的是一些有序的规则，每条规则分别指定了源地址、目的地址、服务类型（HTTP、FTP、NET等）、针对该连接的安全措施（放行、、丢弃或者是需要通过认证、FireWall-1管理员通过一个管理工作站管理该规则库，建立安、FireWall-1安全策略编辑器：被保护对象，规则库，添加、编辑、删除规日志管理器：提供可视化的对所有通过网关的连接的、监视和统计信息，提供实警和检测及阻断功能。系统状态查看器：提供实时的系统状态、审计和功能。FireWall-1由基本模块（模块、状态检测模块和管理模块）和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机/System全策略执行点（SecurityEnforcementPointFireWall-1的客户机/服务器结构是完全集成的，只有一个统一的安全策略和一个规则库，通过一个单一的管理工作站，管理多个装载了模块、认证用户和拨号用户可以经过FireWall-1的认证后，资源。FireWall-1服务器的用户进行认证。FireWall-1的认证服务集成在其安全策略中，通过图形用户界面集中管理，通过日志管理器监视、认证会话。Authentication份认证，服务限于FTP、NET、HTTP、HTTPS、RLOGIN。客户机认证（ClientAuthentication：基于客户机IP的认证，对的协议不做直接的限制。客户机认证不是透明的，需要用户先登录到认证IP和用户之后，才允许应用服务器。客户机不需要添加任何附加的软会话认证（SessionAuthentication：提供基于服务会话的的透明认证，与IPFireWall-1提供多种认证机制供用户选择：S/Key，FireWall-1Password，OSPassword，LDAP，SecureID，RADIUS，TACACS等。地址翻译FireWall-1静态源地址翻译：当的一个数据包通过出去时，把其源地址（一般是一个保留地址）转换成一个合法地址。静态源地址翻译与静态目的静态目的地址翻译：当外部的一个数据包通过进入网时，把其目的地址（合法地址）转换成一个的地址（一般是保留地址）。动态地址翻译（也称为隐藏模式）：把一个网的地址段转换成一个合法地址，以解决企业的合法IP地址太少的问题，同时隐藏网络结构，提高FireWall-1的内容安全服务保护网络免遭各种，包括、Jave和ActiveX代码等。内容安全服务可以通过定义特定的资源对象，制定与其它FireWall-1的其它安全特性集成在一起，通过图形用户界面集中管理。OPSEC提供应用开发接口（API）以集成第内利用第的防服务器通过规则配置扫描通过的文件，清除计算机；根据安全策略在WEB资源时从HTTP页面剥离Java等小程序及Java，Script控制FTP的操作，过滤FTPSMTP的内容安全（隐藏地址、剥离特定类型的附件等可以设置在发现异常时进行记录或通过控制台集中管理、配置、。ServerLoad—该方法由服务器提供负载均衡算法，需要在应用服务器端安装RoundTrip—FireWall-1利用命令测定到各个应用服务器之间的RoundRobin—FireWall-1根据其记录表中的情况，简单地指定下一个应用服Random—FireWall-1—FireWall-1按照最近的原则，指定最近的应用服务器响应FireWall-1的管理工作站对企业范围内的路由器提供集中的安全管引入、路由器的控制列表记录路由器事件（需要路由器支持日志功能BayNetworksrouters,version7.x-Ciscorouters,IOSversion9-CiscoPIXFirewall，version3.0,3ComNetBuilder,versionRAS(Steelhead)RoutersforWindowsNTserver4.x4.2.8及防解决方CheckpointFireWall-14.1(50)forWindowsNorton 6.0forWindowsCisco2610对对方网网路由服务局域服务路由网不设防外部网基本概路，采用帧中继技术组建广州地铁城域网，同时话拨号（租用一条256K帧中继线和3条线供拨号）。Mail城域网系统的安装、调装、配置和调试以及““的组建和系统的安装、调试。通讯线路和拨号服一为FR、二为PSTN，采用租用256K帧中继线和3条线供拨号虚拟 技是一个虚拟的网，其重要的意义在于"虚拟"和""。为了实现在公网PPTPL2FL2TP（IPSEC面针对这几项技术做一介绍加密和用户为在公司网上进行个人通信提供了在表面上是一种联网的方式，比起专线网络来，它具有许多优点。在"隧道"例如Internet网或其他商业性网络。这里，专有的"隧道"类似于点到点的连接。址隧道技术允许移动用户或已的用户在任何时间任何地点企业网络。通过TUNNEL的建立，可实现以下功能：IPIPAAA在安全方面可提供数据包认证、数据加密以及密钥管理等。拨号 使用隧道技术服务器把用户数据打包进IP信息包中，这些信息包通过电信服务提供商网络传递，在Internet里，则需要穿过不同的网络，最后到达隧道终点，然后数据拆包，转发成最初的形式。允许网络协议的转换，还允到ISPs和Internet需要采用隧道技术。隧道技术使用点对点通信协议，代替了交连接隧道技术允许移动用户或已的用户再任何时间任何地点企业网络。应用技术，隧道技术也未的。软件平台和软而且用户可以利用他开发新的网络管理应用软件。目前公认的三大软件平台：IBMNetView、HPOpenView和SUNNetManger，此外还有CA的软广州地铁设计院的城域网，它管理中旅商业城十六层广州地铁总公（地铁中心机房、芳村坑口运营事业总部、广百商业二十九层资源开发总2045节点。各个方面，建议铁设计院采用IBMNetView平台和CiscoWorks软件的城域网网络架ADSL简随着Internet的式发展，在Internet上的商业应用和多等服务人们提出了多项宽带接入网技术，包括N-ISDN、CableModem、ADSLADSL是一种通过现有普通线为家庭、提供宽带数据传输服务的技术。ADSL即非对称数字信号传送，它能够在现有的铜双绞线，即普通线上提供高达10Mbit/s的高速下行速率，远高于ISDN速率；而上行速率有1Mbit/s3km5km。ADSL铜缆网（线网络）路两端加装ADSL设备即可为用户提供高宽带服务ADSL的另外一个优点在于它可以与普通共存于一条线上，在一条普通线上接听、拨打的同时进行ADSL传输而又互不影响。安装ADSL也极其方便快捷在现有的线上安装ADSL，除了在用户端安装ADSL通讯终端外，不用对现有线路作任何改动。局域网用户具有4个静态IP地址，可以公众多网上架设公司的，提供WWW、FTP、等服务。随着ADSL技术的进一步推广应用，ADSL接入还可以提供点对点的医疗，教学，可视会议等服务。ADSL与其它接入服务的比ADSLCableModem与CableMode相比，ADSLCableModemHFC（10M一个较粗糙的总线型网络，这就意味者用户要和邻近用户有限的带宽，当一条线用户激增时，其速度将会减慢。再者，有关资料表明，大部分情况下，HFC方案必需兼顾现有的有线电视，而占用了部分带宽，只剩余了一部分CableModem的理论传输速率只能达到一小半。国外公司实验表明，其速率减为1M-2Mbps，更常见的是400K-500Kbps。综合来看，即使在理想状态下，HFC10Mbps的共享式总线型以太网，而ADSL接入方案在网络拓扑结构上较为先进，因为每个用户都有单独的一条线路与ADSL局端相连，它的结构可以看作是星型结构，它的数据传输带宽是ADSLModemN-ISDNModem或ISDNADSL铜线上分别传送数据和语音信号，数据信号并不通过交换机设备，减轻了交换机的负载，并且不需要拨号，一直，属于专线上网方式。这意味着使用ADSL上网并不需要缴付另外的费。ADSLInternet的技术更具有生命力，是企业接入Internet、开展网上电子商务的最佳选择。同时企业Intranet网与Internet之间设有CheckPointFireWall-1，实现了公司网对外信息交流的控制和管理，并防止外部用户进入企业Intranet网。Cisco2610由器通过ADSLModem接入Internet，提供Internet服务，为企业Intranet网络用户提供通过测览Internet服务，同时非用户Catalyst2948G-1Catalyst3548XLEnterprise7（MODEM的卡5GVC3CheckPointFirewall-1（1防软（6台服务器，100工作站1费网络设备及系统软件件配置情况、网络设备加电试机、系统软件的等。项目计划实审核施工进网络系统集能测是否合理各种网络服务是否实现性及可靠性是否符合合同要求等等完善在测试过程中可能出现的各种 提交网络性能测试报网络系统集成协助用户组织验收工作，包括验收的成立、各验收参数的确定等；验设备性能：主流厂商、主品、主流技服务器：In，550MHz以上的主频，内存、外存够用并有50%左右I/O；100M100M有20%左右的冗余，支持双绞线连接，并预留千兆光纤主干的接30%左右的冗余，可PPP和LL连接，支持IP（主体）标准:IEEE802.3，TCP/IP，OSI/ISO安全:控制、传输保护、防治、网络分段；置、资源分析、故障与排除。设备：按照设计要求配置、调试，保证彼此之间的互通，广域设备地址统一、线路：按照设计要求搭配、连接，保证用户端设备、网络(通道)设备、通讯环境：机房、配线间、配线设备整齐、布局合理，线路连接清晰，走线统一，系统配置，文档--操作说明、手册，还有各种设备的技术文档，要求设计、实施、和技术文档齐全；易读性：要求设计文档、实施文档、文档深入浅出，既详致又精练，按客观性：要求文档客观地反映系统及系统建设情况，有变动及时修改，不同工程管理验有关（测试小组）宣布验收组作出系统建设成败优劣的验收意见，形成的验收意见书测试记录、试运行期记录；现场资料：现场、演示、现场测试、与管理评价以用户和测试的评述为依据网络功能要故障和排除：网络管理系统在网络设备、主机的同时，应设置相应参 行修改配置，实现网络资源的动态分配；：网络资料统计分析系统将网络设备的运行情况、网络故障等多种信息：SNMPTCP/IP在一个路由器的拓扑图上显示全部本地和的路由器过阀值时，能自动；click中心可以不间断地对网上IP资源的状态、配置和事件进行系统管理员可通过设置信息过滤器来选择哪些网上信息被送至中心相关事件变化及执行的操作将作为事件的历史信息送到中心做记录通过SNMPAgent，网络管理软件平台可以到许多系统性能的参数CPUprogramASCII对所有的功能均有用户帮助，并提供可选的资料GUIIPIP的及文件服务器磁盘的利用率。系型数据库中并通过SQLAPI’s进行查询。报告工具“ReportTools”和数据库管理工具“DatabaseAdministrationTools”可以直接这些原始数据，即SNMPAGENT主要体现在如下面安全：，任何系统、任何个人都不可以进入系统的相关部分传输安全：防止数据在网络上进行传输时的信息以及网络逻辑损伤防治：对网络的防御和清除。措网络数据传