某地鐵局域網(wǎng)和城域網(wǎng)解決方案

項目概述廣州地鐵總公司的新辦公場所位于廣州市中山五路與解放路交界處的中旅商業(yè)城第十六層，面積約為三千七百平方米，集中了地鐵總公司的財務(wù)部、企業(yè)管理總部、人力資源總部等行政管理部門，大約將有二百三十多名工作人員在此辦公。廣州地鐵總公司將在中旅商業(yè)城十六層建立計算機網(wǎng)絡(luò)，該網(wǎng)絡(luò)是廣州地鐵總公司企業(yè)管理信息系統(tǒng)的平臺，他將提供以下的服務(wù)：各種數(shù)據(jù)庫管理系統(tǒng)，如財務(wù)管理系統(tǒng)、合同管理系統(tǒng)等；辦公自動化信息管理，如公文流轉(zhuǎn)、電子郵件系統(tǒng)等；國際互聯(lián)網(wǎng)Iternet接入；六間會議室有少量的多媒體信息傳輸；要求實現(xiàn)與公司其他總部——位于芳村西朗的運營事業(yè)總部、位于北京路廣百大廈29層的資源開發(fā)總部、位于公園前地鐵控制中心的建設(shè)事業(yè)總部、位于環(huán)市西路204號的地鐵設(shè)計院網(wǎng)絡(luò)互聯(lián)，構(gòu)筑廣州地鐵總公司城域網(wǎng)，實現(xiàn)全公司信息的共享；允許外出的工作人員通過撥號訪問地鐵總公司網(wǎng)絡(luò)、互換信息。需求分析網(wǎng)絡(luò)現(xiàn)狀分析布線工程已由廣州地鐵總公司委托其他公司完成。該布線工程全部采用Lucent公司的超五類設(shè)備進行施工，將達到Lucent公司十五年保用標準。共有三個設(shè)備間，其中一個與計算機房合在一起。三個設(shè)備間之間都有電纜直接連接，可形成環(huán)路。網(wǎng)絡(luò)布線端口數(shù)達到320個，每個設(shè)備間所聯(lián)信息點基本一樣，大約為110個。網(wǎng)絡(luò)操作系統(tǒng)將采用MSWindows2000Server。網(wǎng)絡(luò)需求分析根據(jù)地鐵總公司的要求，這次網(wǎng)絡(luò)工程的主要內(nèi)容包括四部分：中旅商業(yè)城十六層廣州地鐵總公司計算機局域網(wǎng)；中旅商業(yè)城十六層廣州地鐵總公司計算機局域網(wǎng)防火墻及防病毒解決方案；廣州地鐵總公司城域網(wǎng)；中旅商業(yè)城十六層廣州地鐵總公司計算機局域網(wǎng)國際互聯(lián)網(wǎng)接入。總體設(shè)計方案系統(tǒng)設(shè)計原則高可靠性計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)采用可靠性較高的產(chǎn)品和容錯較強的網(wǎng)絡(luò)結(jié)構(gòu)，以使網(wǎng)絡(luò)具有高度的可靠性。應(yīng)采取多層次的冗余備份手段和技術(shù)，保證設(shè)備在發(fā)生故障時能在最短時間內(nèi)恢復(fù)，以最大程度地保證網(wǎng)絡(luò)的正常運轉(zhuǎn)。高安全性根據(jù)建行的管理制度和網(wǎng)絡(luò)策略制定一套完善的安全政策，采用合適的技術(shù)手段，充分保證網(wǎng)絡(luò)安全性。先進性在技術(shù)上要到達當前的國際先進水平。要采用最大先進網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務(wù)需求，又要充分考慮未來的發(fā)展，保證網(wǎng)絡(luò)建成后3-5年不落后，選用符合國際標準的系統(tǒng)和產(chǎn)品，以保證系統(tǒng)具有較長的生命力和擴展能力，滿足將來系統(tǒng)升級的要求。易管理、易維護由于計算機網(wǎng)絡(luò)系統(tǒng)規(guī)模龐大，需要網(wǎng)絡(luò)系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)應(yīng)具有監(jiān)測、故障診斷、故障隔離、過濾設(shè)置等功能，以便于系統(tǒng)的管理和維護。同時應(yīng)盡可能選取集成度高、模塊化、可通用的產(chǎn)品，以便于管理和維護。可擴展性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好可擴展性，隨著業(yè)務(wù)的增長和應(yīng)用水平的提高，網(wǎng)絡(luò)應(yīng)可平滑地擴展的升級，而不需要對網(wǎng)絡(luò)結(jié)構(gòu)設(shè)備進行大的改動。系統(tǒng)設(shè)計概述網(wǎng)絡(luò)體系結(jié)構(gòu)和邏輯結(jié)構(gòu)設(shè)計確定網(wǎng)絡(luò)體系結(jié)構(gòu)及相應(yīng)的通信協(xié)議，對于系統(tǒng)的改造是一個十分很重要的問題。由于網(wǎng)絡(luò)系統(tǒng)的改造涉及到許多部門，而這些部門有的在使用一些專用的系統(tǒng)，有的需要與其它專用系統(tǒng)相連。因此，要共享網(wǎng)絡(luò)的資源及在網(wǎng)絡(luò)中交換信息，就必須實現(xiàn)不同系統(tǒng)間的實體通信，這需要不同系統(tǒng)采用同一協(xié)議.。網(wǎng)絡(luò)體系結(jié)構(gòu)的確定：骨干網(wǎng)絡(luò)使用交換式快速以太網(wǎng)。本網(wǎng)絡(luò)大量采用以太網(wǎng)產(chǎn)品，因為以太網(wǎng)發(fā)展最為迅速，目前擁有廣泛用戶和眾多的產(chǎn)品，容易得到支持。網(wǎng)絡(luò)的主干采用100Mb/S交換式以太網(wǎng)，原因如下：采用100Mb/s以太網(wǎng)交換技術(shù),可使網(wǎng)絡(luò)主干速率成倍增長；便于向千兆位以太網(wǎng)過渡；技術(shù)成熟；有大量的成功案例可查。網(wǎng)絡(luò)拓撲結(jié)構(gòu)采用星型網(wǎng)絡(luò)交換技術(shù)。通過相應(yīng)的管理軟件，在不改變網(wǎng)絡(luò)節(jié)點物理位置的情況下，可以對網(wǎng)絡(luò)的邏輯結(jié)構(gòu)進行合理的劃分，即建立虛擬網(wǎng)絡(luò)，來達到網(wǎng)絡(luò)信息流量的有效控制。網(wǎng)絡(luò)管理系統(tǒng)的確定人們往往只重視網(wǎng)絡(luò)的靜態(tài)性能，而忽視了對網(wǎng)絡(luò)動態(tài)解決方案重要性的認識。實際上，網(wǎng)絡(luò)管理有著極其重要的意義。通過網(wǎng)管軟件可方便地確定網(wǎng)絡(luò)故障點，及時解決問題；也可對網(wǎng)絡(luò)的信息流量進行有效的控制和分流。要管理網(wǎng)絡(luò)端口，需要網(wǎng)上每臺設(shè)備都支持SNMP。根據(jù)本網(wǎng)絡(luò)的特點，要求網(wǎng)管程序能夠跨越地域?qū)Ξ惖氐木W(wǎng)絡(luò)節(jié)點進行管理。連接Internet在與Internet的連接方面，通過代理服務(wù)器，利用ADSL專線訪問服務(wù)器，實現(xiàn)與遠程客戶的信息交流。同時，還設(shè)立了網(wǎng)管工作站，監(jiān)控網(wǎng)絡(luò)的運行狀況，使網(wǎng)絡(luò)達到最大的利用效率。四、系統(tǒng)方案局域網(wǎng)設(shè)計方案基本網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計.基本網(wǎng)絡(luò)物理結(jié)構(gòu)采用1臺Cisco的帶第三層路由交換功能的千兆以太網(wǎng)交換機–Catalyst2948G-L3做中心交換機，采用7臺Cisco的Catalyst3548XLEnterpriseEdition交換機（帶千兆網(wǎng)堆疊模塊）做桌面交換機，每2（3）臺堆疊成一組，通過一個千兆以太網(wǎng)模塊上聯(lián)至主干，下聯(lián)至300多個客戶工作站。各服務(wù)器、防火墻主機和路由器通過100兆快速以太網(wǎng)端口直接與中心交換機相聯(lián)。1）中心交換機的配置千兆以太網(wǎng)交換機Catalyst2948G-L3置于主設(shè)備間。中心交換機配置1塊24Gbps千兆以太網(wǎng)交換引擎、1塊20端口10M/100M自適應(yīng)以太網(wǎng)交換模塊、1塊12端口10M/100M自適應(yīng)第三層交換模塊、8塊2端口1000Base-SX輸入輸出模塊和1塊2端口1000Base-LX輸出模塊。2） 桌面交換機的配置桌面交換機根據(jù)用戶的實際情況采用7臺Cisco的Catalyst3548XLEnterpriseEdition交換機，每2（3）臺堆疊成一組，共3組，每組配置如下：Catalyst3548XL帶48個10/100Base-T自適應(yīng)端口Catalyst3548XL堆疊模塊Catalyst3548XL千兆位上聯(lián)模塊虛擬網(wǎng)（VLAN）的構(gòu)建VLAN是一個交換網(wǎng)絡(luò)，它可以按功能、部門或是應(yīng)用為基礎(chǔ)來加以邏輯上的劃分，而不是以實體或物理位置為基礎(chǔ)來劃分。VLAN的建立是為了提供更好的分段服務(wù)，每一個VLAN就是一個廣播域，也就等于WinNT網(wǎng)絡(luò)中的一個子網(wǎng)。這樣可以更有效的控制廣播，對于訪問控制以及日常的網(wǎng)絡(luò)管理也可以做到很好的控制。采用VLAN具有下述優(yōu)勢。

1）控制網(wǎng)絡(luò)上的廣播風暴VLAN可以提供建立防火墻的機制,防止交換網(wǎng)絡(luò)的過量廣播風暴,使用VLAN,可以將某個交換端口或用戶賦于某一個特定的VLAN組,該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機,在一個VLAN中的廣播風暴不會送到VLAN之外,同樣,相鄰的端口不會收到其他VLAN產(chǎn)生的廣播風暴。這樣,可以減少廣播流量,釋放帶寬給用戶應(yīng)用,減少廣播風暴的產(chǎn)生。2）增加網(wǎng)絡(luò)的安全性使用共享式LAN,安全性很難保證,VLAN提供了安全性防火墻,限制了個別用戶的訪問,控制組的大小及位置等。交換端口可以基于應(yīng)用類型和訪問特權(quán)來進行分組,被限制的應(yīng)用程序和資源一般置于安全性VLAN中。3）集中化的管理控制通過集中化的VLAN管理程序,網(wǎng)絡(luò)管理員可以確定VLAN組,分配特定用戶和交換端口給這些VLAN組,設(shè)置安全性等級,限制廣播域的大小,通過冗余鏈路負載分擔網(wǎng)絡(luò)流量,跨越交換機配置VLAN通信,監(jiān)控交通流量和VLAN使用的網(wǎng)絡(luò)帶寬。這些能力有效的提高了網(wǎng)絡(luò)管理程序的可控性,靈活性和監(jiān)視功能,減少了管理的費用,增加了集中管理的功能。本網(wǎng)絡(luò)系統(tǒng)分成多個邏輯子網(wǎng)，一個邏輯子網(wǎng)是由交換機設(shè)置的VLAN。不同VLAN之間在數(shù)據(jù)鏈路層(第二層)是互不連通的，當他們需要互相訪問時，必須通過路由器或具有路由能力的交換機（第三層交換機）使它們在網(wǎng)絡(luò)層(第三層)連接起來。本系統(tǒng)種所采用的Catalyst2948G-L3具有第三層路由模塊，不需要附加路由器，VLAN之間的通信在Catalyst2948G-L3交換機內(nèi)部即可解決，能夠建立跨過多臺交換機而在整個網(wǎng)絡(luò)中起作用的VLAN。Catalyst2948G-L3和Catalyst3548XLEnterpriseEdition都支持VLAN劃分，同時由于都支持802.1Q技術(shù)，也就能實現(xiàn)VLAN功能，通過802.1Q，網(wǎng)絡(luò)中所有交換機就可以采用相同的VLAN設(shè)置。服務(wù)器可以直接連接到交換機，最高速度可以達到800M。Cisco公司IOS操作系統(tǒng)和CiscoWorks網(wǎng)管軟件的統(tǒng)一應(yīng)用，以統(tǒng)一的軟件平臺把各種不同的硬件連接起來，構(gòu)成有效、無縫的信息系統(tǒng)，更有利于新應(yīng)用的部署，同時提高了網(wǎng)絡(luò)的整體性能。根據(jù)端口劃分本網(wǎng)絡(luò)系統(tǒng)利用交換機的端口來劃分VLAN成員，通過虛擬網(wǎng)管理應(yīng)用程序,中心交換機的端口被定義為虛擬網(wǎng)A、B、C三，分配到一個VLAN的各個LAN網(wǎng)段上的所有站點都在同一個廣播域中,它們相互可以直接通信，并允許共享型網(wǎng)絡(luò)的升級。通過交換機端口來劃分網(wǎng)絡(luò)成員，其配置過程簡單明了，采用這種方法還便于直接監(jiān)控,可以對端口進行安全控制。與之相比，基于物理地址的劃分方案管理起來不方便，網(wǎng)絡(luò)管理員經(jīng)常要進行大量改動；而基于協(xié)議的劃分方案又沒有什么必要，因為網(wǎng)絡(luò)本身基于TCP/IP協(xié)議。因此，迄今為止端口劃分是最常用的一種方式。系統(tǒng)的特點1）高性能核心交換機具有先進高速第三層交換功能,所有端口均可進行線速路由、根據(jù)各部門的節(jié)點數(shù)和對帶寬的需求，主干連接分別采用100Mb/s、100Mb/sTrunk和千兆以太網(wǎng)，使網(wǎng)絡(luò)的性能價格比達到最佳點。先進的子網(wǎng)劃分方案VLAN是一個交換網(wǎng)絡(luò)，它可以按功能、部門或是應(yīng)用為基礎(chǔ)來加以邏輯上的劃分，而不是以實體或物理位置為基礎(chǔ)來劃分。VLAN的建立是為了提供更好的分段服務(wù)，每一個VLAN就是一個廣播域，也就等于Win95網(wǎng)絡(luò)中的一個子網(wǎng)。這樣可以更有效的控制廣播，對于訪問控制以及日常的網(wǎng)絡(luò)管理也可以做到很好的控制。充分利用CISCO產(chǎn)品的技術(shù)優(yōu)勢綜上所述，本網(wǎng)絡(luò)系統(tǒng)的先進性、安全性等特性是顯而易見的，但更重要的是它的網(wǎng)絡(luò)整體性能好，符合用戶的需要。網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)操作系統(tǒng)Windows2000AdvancedServer是為服務(wù)器開發(fā)的多用途網(wǎng)絡(luò)操作系統(tǒng)，它支持范圍廣泛的重要商業(yè)應(yīng)用程序和一系列豐富的開發(fā)工具，可為企業(yè)用戶提供文件打印、軟件應(yīng)用、Web功能和通信等各種服務(wù)，是一個性能好、工作穩(wěn)定、容易管理的平臺。Windows2000AdvancedServer采用模塊化設(shè)計,能使現(xiàn)有系統(tǒng)和未來優(yōu)秀的技術(shù)相結(jié)合,因而可以在保持現(xiàn)有投資的基礎(chǔ)上進一步采用新技術(shù)。Windows2000AdvancedServer具有以下特點:平臺無關(guān)性Windows2000AdvancedServer是一個與硬件平臺無關(guān)的,可伸縮的服務(wù)器操作系統(tǒng)。它可運行在Intelx86系統(tǒng)、精簡指令集計算機(RISC)和DECAlpha處理機上,從而在選擇計算機系統(tǒng)時有多的自由。2）可擴展性它可以擴展到對稱多處理器上,使得需要高性能處理器時還可以加上額外的處理器，支持數(shù)達到8路。Windows2000AdvancedServer在Alpha平臺上支持最多32G的物理內(nèi)存，在Intel平臺上支持最多8G的內(nèi)存。3）兼容性Windows2000支持Windows應(yīng)用程序,以及NTFS、FAT和FAT32文件系統(tǒng)。安全性Windows2000已將安全性內(nèi)嵌入操作系統(tǒng),有選擇的訪問控制使你能對單個文件賦予權(quán)限。強有力的集中式安全管理,即統(tǒng)一帳號、集中驗證、安全備份管理。Windows2000支持的安全模板由安全屬性的文件（.inf）組成，它將所有現(xiàn)有的安全屬性組織到一個位置以簡化安全性管理，包含帳戶策略、本地策略、時間日志、受限組、文件系統(tǒng)、注冊表、系統(tǒng)服務(wù)七類安全性信息，也可以用作安全分析。Windows2000用Kerberos驗證，提供更快、更安全的驗證和響應(yīng)，允許用戶只登陸一次就可以訪問網(wǎng)絡(luò)資源。活動目錄活動目錄采用可擴展的對象存儲方式存儲了網(wǎng)絡(luò)上所有對象的信息，并使得這些信息更容易被查找到?；顒幽夸浻徐`活的目錄結(jié)構(gòu)，允許委派對目錄安全的管理，提供更有效率的權(quán)限管理。開放性支持多種傳輸協(xié)議,可在多種網(wǎng)絡(luò)環(huán)境下工作可靠性支持多種容錯方式，有較強的容錯和出錯恢復(fù)功能，在多種一般錯誤發(fā)生后一分鐘內(nèi)自動重啟應(yīng)用軟件集成Web服務(wù)MicrosoftWindows2000平臺上提供Internet信息服務(wù)（IIS），該服務(wù)可提供在Intranet或Internet上共享文檔和信息的能力。利用IIS，可以部署靈活可靠、基于Web的應(yīng)用程序，并可將現(xiàn)有的數(shù)據(jù)和應(yīng)用程序轉(zhuǎn)移到Web上?？梢奧indows2000是十分理想的網(wǎng)絡(luò)應(yīng)用平臺，可應(yīng)用于擁有多種操作系統(tǒng)和提供Internet服務(wù)的部門和應(yīng)用程序服務(wù)器。我們建議采用Windows2000AdvanceServer作為網(wǎng)絡(luò)服務(wù)器的操作系統(tǒng)，用Windows2000Server作為應(yīng)用服務(wù)器的操作系統(tǒng)。應(yīng)用功能1）辦公自動化和電子郵件服務(wù)MicrosoftExchangeServer是帶有集成組件的電子信息交換服務(wù)器，它使通訊交流更容易。它在單一的平臺上結(jié)合電子郵件、群組工作表、電子表格和組件應(yīng)用程序，可以通過一個集中化的管理程序進行管理。它提供了業(yè)界最強的擴展性、可靠性和安全性和最高的處理性能，而所有應(yīng)用都可以從通過Internet瀏覽器來訪問。與微軟BackOffice產(chǎn)品相結(jié)合，使用通用、熟悉的開發(fā)工具，ExchangeServer可以快速提供和實施強大的業(yè)務(wù)協(xié)作解決方案，滿足用戶對Intranet協(xié)作的多層次的需求，提高企業(yè)競爭實力。本電子系統(tǒng)構(gòu)建于MicrosoftExchangeServer電子交換服務(wù)器，安裝Exchange服務(wù)器作為郵局，存儲、交換、管理郵件系統(tǒng)中的用戶和信件，以電子郵件為基礎(chǔ)，處理公司的所有郵件，構(gòu)成信息傳遞的基礎(chǔ)，并在此基礎(chǔ)上構(gòu)建如下應(yīng)用：個人級的應(yīng)用主要完成公司內(nèi)部工作人員日常的辦公工作管理，構(gòu)建電子辦公室環(huán)境。完成文書處理、電子表格、電子傳真、電子郵件、個人日程安排等功能。構(gòu)建MicrosoftWindows98和MicrosoftOffice97/2000的套件基礎(chǔ)上。部門級的應(yīng)用通過MicrosoftExchangeServer的Schedule+和MicrosoftOffice97/2000的Outlook來協(xié)調(diào)部門工作，處理會議請求、資源分配和工作安排等。企業(yè)級的應(yīng)用構(gòu)造公文自動處理系統(tǒng)和檔案自動管理系統(tǒng)等辦公自動化應(yīng)用。通過電子公告板和WWW構(gòu)建信息發(fā)布和查詢應(yīng)用，構(gòu)建與InternetInformationServer和MicrosoftSQLServer的基礎(chǔ)上，形成內(nèi)部的Intranet。2）數(shù)據(jù)庫應(yīng)用目前應(yīng)用比較廣泛大型數(shù)據(jù)庫系統(tǒng)主要有Informix、Oracle、Sybase、Microsoft-SQLServer根據(jù)目前業(yè)務(wù)系統(tǒng)的特點，充分考慮今后系統(tǒng)開放性、高效性、聯(lián)機事務(wù)處理的要求，數(shù)據(jù)庫系統(tǒng)應(yīng)該采用SQLServer類型，綜合當前SQLServer產(chǎn)品現(xiàn)狀，我們建議采用Microsoft-SQLServer，并使用獨立的數(shù)據(jù)庫服務(wù)器以提高性能。其原因主要有以下幾點：由于本系統(tǒng)的體系結(jié)構(gòu)采用客戶/服務(wù)器模式，Microsoft-SQLServer擁有廣泛的客戶基礎(chǔ)，考慮到本模塊主要與控制中心進行數(shù)據(jù)交換及處理，因此充分估計其它業(yè)務(wù)及相關(guān)系統(tǒng)的要求，采用Microsoft-SQLServer便于進行與其它系統(tǒng)的數(shù)據(jù)轉(zhuǎn)換及處理。本系統(tǒng)面臨一逐步推廣使用的過程，因此要求在系統(tǒng)構(gòu)造時充分考慮其擴展性。MICROSOFTSQLServer具有開放的體系結(jié)構(gòu)，由于其公開的接口規(guī)格，使得現(xiàn)在多數(shù)4GL程序開發(fā)語言均支持對SQLServer的聯(lián)接，因此MICROSOFTSQLServer能夠面向多種系統(tǒng)的開發(fā)，便于處理與其它系統(tǒng)的接口問題?？缮炜s性：SQLServer所有的表、SQL代碼、存儲過程、規(guī)則、觸發(fā)器都能夠在不同的平臺上運行。在單用戶的開發(fā)環(huán)境下開發(fā)的應(yīng)用能夠延伸到多用戶開發(fā)平臺上運行，并且它便于向大型、具有并行處理能力的開放系統(tǒng)硬件環(huán)境轉(zhuǎn)移?；ゲ僮餍裕篗ICROSOFT客戶/服務(wù)器系統(tǒng)能夠透明地與其它廠商的產(chǎn)品聯(lián)結(jié)集成，如DB2、Oracle。分布式數(shù)據(jù)庫支持：MICROSOFTSQLServer便于廣域網(wǎng)絡(luò)環(huán)境下管理數(shù)據(jù)的復(fù)制和分布。較大的機構(gòu)建立應(yīng)用時，可以把它們的SQLServer網(wǎng)絡(luò)當作一個單一的集成資源來對待。MICROSOFTSQLServer與Windows2000連接緊密：目前SQLServer產(chǎn)品較多，但與Windows2000連接緊密且性能優(yōu)越的當數(shù)MICROSOFTSQLServer。MICROSOFTSQLServer有良好的安全性，達到C2級安全要求。在SQLServe數(shù)據(jù)庫的基礎(chǔ)上，可利用各種數(shù)據(jù)庫開發(fā)工具開發(fā)數(shù)據(jù)庫管理系統(tǒng)，也可使用現(xiàn)在流行的基于Windows平臺的MIS管理系統(tǒng)。3）域名服務(wù)由于IP地址是使用一長串的數(shù)字來標注主機鶴其他網(wǎng)絡(luò)設(shè)備，非常難于記憶和不便于使用，因此目前在Internet上，采用一種具有直觀含義的名字來代替以數(shù)字方式表示的IP地址，這種名字形式的地址稱為域名地址，整個分層的域名地址體系即是域名解析（DNS）。對于企業(yè)來說，域名是企業(yè)在網(wǎng)上的標志，也是企業(yè)推廣自身形象的網(wǎng)絡(luò)門戶。域名解析是當前網(wǎng)絡(luò)中一種成熟的技術(shù)，在本系統(tǒng)中將用Windows2000的DNS系統(tǒng)來做域名服務(wù)。Windows2000包括的DNS系統(tǒng)支持新的DDNS標準，既支持動態(tài)更新，又可以兼容于NT4網(wǎng)絡(luò)，支持手工刷新，結(jié)合了WINS的動態(tài)能力和傳統(tǒng)DNS的穩(wěn)定性和健壯性。在Windows2000中，活動目錄與DNS緊密集成在一起，客戶可以更容易更迅速地找到目錄服務(wù)器，企業(yè)可以把活動目錄直接連接到Internet以簡化與客戶和合作伙伴進行通訊和提供電子商務(wù)，網(wǎng)絡(luò)規(guī)劃和管理變得更容易。4）遠程訪問服務(wù)RAS（遠程訪問服務(wù)）接入提供了協(xié)議封裝和數(shù)據(jù)加密功能，允許移動用戶通過Internet或公共網(wǎng)絡(luò)建立虛擬專用網(wǎng)絡(luò)（VPN）模擬點對點專用連接，在計算機之間收發(fā)數(shù)據(jù)，其效果與在專用線路上進行數(shù)據(jù)傳輸一樣安全、有效。在本系統(tǒng)中RAS服務(wù)器配有兩個Modem，外出的工作人員可通過電話網(wǎng)撥號遠程接入與公司進行安全的信息交換。5）Web服務(wù)Windows2000服務(wù)器中內(nèi)置了一個新的Web服務(wù)器--InternetInformationServer(IIS)5.0。IIS以其強大的服務(wù)能力和豐富的開發(fā)手段，使其成為了電子商務(wù)的主要服務(wù)器平臺，5.0在原有的基礎(chǔ)上，又增加了許多新的功能：IIS5.0將運行在它上面的Web站點應(yīng)用和IIS核心服務(wù)隔離開來，而且可以對每個站點應(yīng)用配置獨立的CPU使用率，并可以獨立停止和重起每個進程。這大大提高了Web服務(wù)器的可靠性和穩(wěn)定性，是您建立的電子商務(wù)站點運行的更加可靠。在安全性方面，IIS5.0可以使用Windows2000ActiveDirectory實現(xiàn)用戶身份的驗證，也可以使用證書和ActiveDirectory的結(jié)合來驗證用戶。這為電子商務(wù)系統(tǒng)提供了即靈活又可靠的對用戶身份的確認。IIS5.0上的Web站點的開發(fā)使用的時ActiveServerPage(ASP)3.0。ASP提供了強大的功能和與Windows的緊密集成，同時ASP3.0又進一步提高了效率。ASP3.0提供了和XML的集成，同時也可以用ADSI2.0對Windows2000ActiveDirectory進行操作。使用MicrosoftVisualInterDev6.0開發(fā)工具，您可以快速建立您的電子商務(wù)系統(tǒng)，也可以建立一個復(fù)雜但是功能強勁的電子商務(wù)系統(tǒng)。因此在本系統(tǒng)中將配置一臺Web服務(wù)器，使用IIS5.0進行Web開發(fā)，提供完善的Web服務(wù)。6）多媒體信息傳輸根據(jù)客戶的需求，本系統(tǒng)采用MicrosoftNetMeeting構(gòu)建多媒體會議系統(tǒng)。備份服務(wù)（建議采用）使用計算機系統(tǒng)處理日常業(yè)務(wù)在提高效率的同時，有一個問題越來越不容忽視，即數(shù)據(jù)失效問題。一旦發(fā)生數(shù)據(jù)失效，企業(yè)就會陷入困境：客戶資料、技術(shù)文件、財務(wù)賬目等數(shù)據(jù)可能被破壞得面目全非，如果系統(tǒng)無法順利恢復(fù)，最終結(jié)局將不堪設(shè)想。所以企業(yè)信息化程度越高，備份和災(zāi)難恢復(fù)措施就越重要。根據(jù)系統(tǒng)自身的特點和對備份功能的要求，我們建議在本系統(tǒng)中采用CA公司的ARCserve備份系統(tǒng)。ARCserve是一個跨平臺的網(wǎng)絡(luò)數(shù)據(jù)備份軟件，在數(shù)據(jù)保護、災(zāi)難恢復(fù)、病毒防護方面均提供全面的產(chǎn)品支持，目前已成為了業(yè)界的事實標準。CA公司的軟件產(chǎn)品涵蓋大型網(wǎng)絡(luò)管理、數(shù)據(jù)庫系統(tǒng)和工具軟件等諸多方面。全球最大的500家企業(yè)中有95%使用了CA公司的產(chǎn)品。產(chǎn)品特性：全面保護Windows操作系統(tǒng)支持打開文件備份支持對各種數(shù)據(jù)庫如Betrieve、Sybase、Oracle等的備份支持從服務(wù)器到工作站的全面網(wǎng)絡(luò)備份可以實現(xiàn)無人值守的自動備份備份前掃描病毒，可以實現(xiàn)無毒備份支持災(zāi)難恢復(fù)Cisco網(wǎng)絡(luò)管理CiscoWorksWindows是全面的網(wǎng)絡(luò)管理軟件，它提供一整套強有力的工具，可用于管理小型到中型企業(yè)網(wǎng)或工作組。對連網(wǎng)設(shè)備自動識別程序可以用色彩鮮明的分級網(wǎng)絡(luò)視IPIPX網(wǎng)生成網(wǎng)絡(luò)拓樸圖；能為Cisco設(shè)備獲取端口狀態(tài)，帶寬使用率，流量統(tǒng)計，協(xié)議信息及其它網(wǎng)絡(luò)性能統(tǒng)計等擴展數(shù)據(jù)；繪圖功能靈活，可快速記錄和分析可能輸出到文件以備電子數(shù)據(jù)表或其它工具使用的歷史數(shù)據(jù)；管理信息率（MIIB）編輯器器和測覽器可可以管理第三三方SNMPP設(shè)備；可以定多種性能變變量設(shè)置，以以便產(chǎn)生報警警或事件通知知；事件篩選器可以篩篩選出有用信信息以加速故故障排除；設(shè)備配置特性用于于在Ciscco交換機機內(nèi)配置簡單單的虛擬LAAN（VLAN）。局域網(wǎng)拓撲圖局域網(wǎng)防火墻及防防病毒解決方方案網(wǎng)絡(luò)安全風險分析析對于信息網(wǎng)所面臨臨的安全風險險涉及網(wǎng)絡(luò)環(huán)環(huán)境多方面，包包括：自然災(zāi)害——水災(zāi)災(zāi)、火災(zāi)、地地震等；電子化系統(tǒng)故障———系統(tǒng)硬件、電電力系統(tǒng)故障障等；人員無意識行為———編碼缺陷、系系統(tǒng)配置漏洞洞、誤操作及及無意泄漏等等；人員蓄意行為———網(wǎng)絡(luò)環(huán)境可可用性破壞、惡惡意攻擊等。其中，前三個方面面的風險能夠夠通過增強對對網(wǎng)絡(luò)環(huán)境的的抗自然災(zāi)害害的能力、加加強網(wǎng)絡(luò)設(shè)備備管理維護、系系統(tǒng)操作管理理等手段來加加以完善，盡盡可能將風險險降低到能夠夠被控制和管管理的程度。而對于第四方面的的安全風險，對對整個信息網(wǎng)網(wǎng)的安全環(huán)境境所構(gòu)成的危危害最大，同同時也是最難難于管理與防防范的。且不不僅僅能夠通通過加強對網(wǎng)網(wǎng)絡(luò)環(huán)境及人人員的安全管管理所能夠?qū)崒崿F(xiàn)的，盡管管安全管理非非常重要。同同時需要相應(yīng)應(yīng)的安全技術(shù)術(shù)手段輔助完完成。這也是是本安全方案案所要詳細闡闡述的。對于在信息網(wǎng)環(huán)境境中，采取何何種安全技術(shù)術(shù)手段且如何何實現(xiàn)，就需需要通過對前前面提到第四四方面的安全全風險的分析析的基礎(chǔ)上，針針對信息網(wǎng)安安全需求來確確定。 對于風險來說，它它應(yīng)包括那些些可以被管理理但又不能被被清除的，以以及那些能夠夠中斷網(wǎng)絡(luò)工工作流并對工工作環(huán)境造成成破壞性的威威脅。其中，主主要包括：對于網(wǎng)絡(luò)應(yīng)用服務(wù)務(wù)的非授權(quán)訪訪問信息交互的保密性性網(wǎng)絡(luò)病毒的傳播與與滲入網(wǎng)絡(luò)黑客行為 通過對以上主要的的網(wǎng)絡(luò)威脅分分析，使我們們能夠準確把把握信息網(wǎng)的的網(wǎng)絡(luò)安全需需求。需求分析網(wǎng)絡(luò)安全需求是保保護網(wǎng)絡(luò)不受受破壞，確保保網(wǎng)絡(luò)服務(wù)的的可用性。對對于信息網(wǎng)絡(luò)絡(luò)內(nèi)部安全需需求，包括：：能夠滿足信息網(wǎng)絡(luò)絡(luò)內(nèi)的授權(quán)用用戶對相關(guān)專專用網(wǎng)絡(luò)資源源訪問；能夠?qū)τ诜鞘跈?quán)用用戶的訪問進進行有效控制制和報警；能夠堅決杜絕病毒毒和其他危險險程序進入網(wǎng)網(wǎng)絡(luò)；能夠?qū)τ谶h程訪問問用戶進行安安全管理；加強對于整個信息息網(wǎng)絡(luò)資源和和人員的安全全管理與培訓訓。安全管理需求分析析如前所述，能否制制定一個統(tǒng)一一的安全策略略，在全網(wǎng)范范圍內(nèi)實現(xiàn)統(tǒng)統(tǒng)一的安全管管理，對于信信息網(wǎng)來說就就至關(guān)重要了了。安全管理主要包括括兩個方面：：內(nèi)部安全管理主要是建立內(nèi)部安安全管理制度度，如機房管管理制度、設(shè)設(shè)備管理制度度、安全系統(tǒng)統(tǒng)管理制度、病病毒防范制度度、操作安全全管理制度、安安全事件應(yīng)急急制度等，并并采取切實有有效的措施保保證制度的執(zhí)執(zhí)行。內(nèi)部安安全管理主要要采取行政手手段和技術(shù)手手段相結(jié)合的的方法。網(wǎng)絡(luò)安全管理在網(wǎng)絡(luò)上設(shè)置防病病毒安全檢測測系統(tǒng)后，必必須保證防病病毒系統(tǒng)的設(shè)設(shè)置正確，且且其配置不允允許被隨便修修改。采用用用戶和口令認認證機制加強強對用戶的管管理，可以通通過財務(wù)軟件件本身和一些些網(wǎng)絡(luò)層的管管理工具來實實現(xiàn)。安全方案根據(jù)對信息網(wǎng)現(xiàn)階階段的安全需需求分析，我我們在設(shè)計本本安全方案時時，將采取一一切有力的措措施，來實現(xiàn)現(xiàn)信息網(wǎng)現(xiàn)階階段的安全目目標，考慮到到現(xiàn)階段對網(wǎng)網(wǎng)絡(luò)病毒的管管理要求，本本方案提出對對網(wǎng)絡(luò)病毒防防范和管理控控制建議，并并提出了現(xiàn)階階段的網(wǎng)絡(luò)安安全管理方案案。網(wǎng)絡(luò)設(shè)備的安全配配置信息網(wǎng)中，整個網(wǎng)網(wǎng)絡(luò)的安全首首先要確保網(wǎng)網(wǎng)絡(luò)設(shè)備的安安全，保證非非授權(quán)用戶不不能訪問網(wǎng)絡(luò)絡(luò)任意的網(wǎng)絡(luò)絡(luò)通訊設(shè)備（例例如：路由器器，集線器等等）。對不同同型號、廠家家的網(wǎng)絡(luò)設(shè)備備，要防范的的內(nèi)容是一樣樣的，但具體體的配置方法法須依照設(shè)備備要求來實現(xiàn)現(xiàn)。對服務(wù)器訪問的控控制對于服務(wù)器用戶可可以設(shè)置不同同的用戶權(quán)限限，如“非特權(quán)”和“特權(quán)”兩種訪問權(quán)權(quán)限，非特權(quán)權(quán)訪問權(quán)限允允許用戶在服服務(wù)器上查詢詢某些公眾信信息但無法對對服務(wù)器進行行配置；特權(quán)權(quán)訪問權(quán)限則則允許用戶對對服務(wù)器進行行完全的配置置。 對服務(wù)器訪問的控控制建議使用用以下的方式式：控制臺訪問控制限制訪問空閑時間間口令的保護多級管理員權(quán)限CheckPoiintFiireWalll-144.0作為開放安全企業(yè)業(yè)互聯(lián)聯(lián)盟(OPSEEC)的組織和倡倡導者之一，CheckkPointt公司致力于于企業(yè)級網(wǎng)絡(luò)絡(luò)安全產(chǎn)品的的研發(fā)，據(jù)IDC的最近統(tǒng)計計，其FireWWall-11防火墻在市市場占有率上上已超過44%，《財富》排排名前100的大企業(yè)里里近80%選用了CheeckPoiintFiireWalll-1防火火墻。CheckPoiintFiireWalll-1產(chǎn)品品包括以下模模塊：基本模塊：狀態(tài)檢測模塊（IInspecctionModulle）：提供供訪問控制、客客戶機認證、會會話認證、地地址翻譯和審審計功能；防火墻模塊（FiireWalllModdule）：：包含一個狀狀態(tài)檢測模塊塊，另外提供供用戶認證、內(nèi)內(nèi)容安全和多多防火墻同步步功能；管理模塊（MannagemeentMoodule）：：對一個或多多個安全策略略執(zhí)行點（安安裝了FirreWalll-1的某個個模塊，如狀狀態(tài)檢測模塊塊、防火墻模模塊或路由器器安全管理模模塊等的系統(tǒng)統(tǒng)）提供集中中的、圖形化化的安全管理理功能；可選模塊連接控制（ConnnectContrrol）：為為提供相同服服務(wù)的多個應(yīng)應(yīng)用服務(wù)器提提供負載平衡衡功能；路由器安全管理模模塊（RouuterSSecuriityMaanagemment）：：提供通過防防火墻管理工工作站配置、維維護3Comm，Ciscoo，Bay等路由由器的安全規(guī)規(guī)則；其它模塊，如加密密模塊等。圖形用戶界面（GGUI）：是是管理模塊功功能的體現(xiàn)，包包括策略編輯器：維護護管理對象、建建立安全規(guī)則則、把安全規(guī)規(guī)則施加到安安全策略執(zhí)行行點上去；日志查看器：查看看經(jīng)過防火墻墻的連接，識識別并阻斷攻攻擊；系統(tǒng)狀態(tài)查看器：：查看所有被被保護對象的的狀態(tài)。FireWalll-1提供單單網(wǎng)關(guān)和企業(yè)業(yè)級兩種產(chǎn)品品組合。單網(wǎng)關(guān)產(chǎn)品：只有有防火墻模塊塊（包含狀態(tài)態(tài)檢測模塊）、管管理模塊和圖圖形用戶界面面各一個，且且防火墻模塊塊和管理模塊塊必須安裝在在同一臺機器器上。企業(yè)級產(chǎn)品：可以以有若干基本本模塊和可選選模塊以及圖圖形用戶界面面組成，特別別是可能配置置較多的防火火墻模塊和獨獨立的狀態(tài)檢檢測模塊。企企業(yè)級產(chǎn)品的的不同模塊可可以安裝在不不同的機器上上。狀態(tài)檢測機制FireWalll-1采用ChecckPoinnt公司的狀狀態(tài)檢測（SStateffulInnspecttion）專專利技術(shù)，以以不同的服務(wù)務(wù)區(qū)分應(yīng)用類類型，為網(wǎng)絡(luò)絡(luò)提供高安全全、高性能和和高擴展性保保證。FireWalll-1狀態(tài)檢檢測模塊分析析所有的包通通訊層，汲取取相關(guān)的通信信和應(yīng)用程序序的狀態(tài)信息息。狀態(tài)檢測測模塊能夠理理解并學習各各種協(xié)議和應(yīng)應(yīng)用，以支持持各種最新的的應(yīng)用。狀態(tài)檢測模塊截獲獲、分析并處處理所有試圖圖通過防火墻墻的數(shù)據(jù)包，保保證網(wǎng)絡(luò)的高高度安全和數(shù)數(shù)據(jù)完整。網(wǎng)網(wǎng)絡(luò)和各種應(yīng)應(yīng)用的通信狀狀態(tài)動態(tài)存儲儲、更新到動動態(tài)狀態(tài)表中中，結(jié)合預(yù)定定義好的規(guī)則則，實現(xiàn)安全全策略。狀態(tài)檢測模塊可以以識別不同應(yīng)應(yīng)用的服務(wù)類類型，還可以以通過以前的的通信及其它它應(yīng)用程序分分析出狀態(tài)信信息。狀態(tài)檢檢測模塊檢驗驗IP地址、端口口以及其它需需要的信息以以決定通信包包是否滿足安安全策略。狀態(tài)檢測模塊把相相關(guān)的狀態(tài)和和狀態(tài)之間的的關(guān)聯(lián)信息存存儲到動態(tài)連連接表中并隨隨時更新，通通過這些數(shù)據(jù)據(jù)，F(xiàn)ireeWall--1可以檢測測到后繼的通通信。狀態(tài)檢測技術(shù)對應(yīng)應(yīng)用程序透明明，不需要針針對每個服務(wù)務(wù)設(shè)置單獨的的代理，使其其具有更高的的安全性、高高性能、更好好的伸縮性和和擴展性，可可以很容易把把用戶的新應(yīng)應(yīng)用添加到保保護的服務(wù)中中去。FireWalll-1提供的的INSPEECT語言，結(jié)結(jié)合FireeWall--1的安全規(guī)規(guī)則、應(yīng)用識識別知識、狀狀態(tài)關(guān)聯(lián)信息息以及通信數(shù)數(shù)據(jù)構(gòu)成了一一個強大的安安全系統(tǒng)。INSPECT是是一個面向?qū)ο蟮哪_本語語言，為狀態(tài)態(tài)檢測模塊提提供安全規(guī)則則。通過策略略編輯器制定定的規(guī)則存為為一個用INNSPECTT寫成的腳本本文件，經(jīng)過過編譯生成代代碼并被加載載到安裝有狀狀態(tài)檢測模塊塊的系統(tǒng)上。腳腳本文件是ASCII文件，可以以編輯，以滿滿足用戶特定定的安全要求求。OPSECCheckPoiint是開放放安全企業(yè)互互聯(lián)聯(lián)盟(OPSEEC)的組織和倡倡導者之一。OPSEC允許用戶通通過一個開放放的、可擴展展的框架集成成、管理所有有的網(wǎng)絡(luò)安全全產(chǎn)品。OPSEC通過把把FireWWall-11嵌入到已有有的網(wǎng)絡(luò)平臺臺（如Uniix、NT服務(wù)器、路路由器、交換換機以及防火火墻產(chǎn)品），或或把其它安全全產(chǎn)品無縫集集成到FirreWalll-1中，為為用戶提供一一個開放的、可可擴展的安全全框架。目前已有包括IBBM、HP、Sun、Cisco、BAY等超過135個公司加入入到OPSEC聯(lián)盟。企業(yè)級防火墻安全全管理FireWalll-1允許企企業(yè)定義并執(zhí)執(zhí)行統(tǒng)一的防防火墻中央管管理安全策略略。企業(yè)的防防火墻安全策策略都存放在在防火墻管理理模塊的一個個規(guī)則庫里。規(guī)規(guī)則庫里存放放的是一些有有序的規(guī)則，每每條規(guī)則分別別指定了源地地址、目的地地址、服務(wù)類類型（HTTP、FTP、TELNEET等）、針對對該連接的安安全措施（放放行、拒絕、丟丟棄或者是需需要通過認證證等）、需要要采取的行動動（日志記錄錄、報警等）、以以及安全策略略執(zhí)行點（是是在防火墻網(wǎng)網(wǎng)關(guān)還是在路路由器或者其其它保護對象象上上實施該該規(guī)則）。FireWalll-1管理員員通過一個防防火墻管理工工作站管理該該規(guī)則庫，建建立、維護安安全策略，加加載安全規(guī)則則到裝載了防防火墻或狀態(tài)態(tài)檢測模塊的的系統(tǒng)上。這這些系統(tǒng)和管管理工作站之之間的通信必必須先經(jīng)過認認證，然后通通過加密信道道傳輸。FireWalll-1直觀的的圖形用戶界界面為集中管管理、執(zhí)行企企業(yè)安全策略略提供了強有有力的工具。安全策略編輯器：：維護被保護護對象，維護護規(guī)則庫，添添加、編輯、刪刪除規(guī)則，加加載規(guī)則到安安裝了狀態(tài)檢檢測模塊的系系統(tǒng)上。日志管理器：提供供可視化的對對所有通過防防火墻網(wǎng)關(guān)的的連接的跟蹤蹤、監(jiān)視和統(tǒng)統(tǒng)計信息，提提供實時報警警和入侵檢測測及阻斷功能能。系統(tǒng)狀態(tài)查看器：：提供實時的的系統(tǒng)狀態(tài)、審審計和報警功功能。分布的客戶機/服服務(wù)器結(jié)構(gòu)FireWalll-1通過分分布式的客戶戶機/服務(wù)器結(jié)構(gòu)構(gòu)管理安全策策略，保證高高性能、高伸伸縮性和集中中控制。FireWalll-1由基本本模塊（防火火墻模塊、狀狀態(tài)檢測模塊塊和管理模塊塊）和一些可可選模塊組成成。這些模塊塊可以通過不不同數(shù)量、平平臺的組合配配置成靈活的的客戶機/服務(wù)器結(jié)構(gòu)。管理模塊包括了圖圖形用戶界面面和管理員定定義的相關(guān)管管理對象—規(guī)則庫，網(wǎng)網(wǎng)絡(luò)對象，服服務(wù)、用戶等等。防火墻模模塊、狀態(tài)檢檢測模塊以及及其它可選模模塊用來執(zhí)行行安全策略，安安裝了這些模模塊的系統(tǒng)稱稱為受保護對對象（FirrewallledSyystem），又又稱為安全策策略執(zhí)行點（SecurityEnforcementPoint）。FireWalll-1的客戶戶機/服務(wù)器結(jié)構(gòu)構(gòu)是完全集成成的，只有一一個統(tǒng)一的安安全策略和一一個規(guī)則庫，通通過一個單一一的防火墻管管理工作站，管管理多個裝載載了防火墻模模塊、狀態(tài)檢檢測模塊或可可選模塊的系系統(tǒng)。認證（Autheenticaation）遠程用戶和撥號用用戶可以經(jīng)過過FireWWall-11的認證后，訪訪問內(nèi)部資源源。FireeWall--1可以在不不修改本地服服務(wù)器或客戶戶應(yīng)用程序的的情況下，對對試圖訪問內(nèi)內(nèi)部服務(wù)器的的用戶進行身身份認證。FFireWaall-1的的認證服務(wù)集集成在其安全全策略中，通通過圖形用戶戶界面集中管管理，通過日日志管理器監(jiān)監(jiān)視、跟蹤認認證會話。FireWalll-1提供三三種認證方法法：用戶認證（UseerAutthentiicatioon）：針對對特定服務(wù)提提供的基于用用戶的透明的的身份認證，服服務(wù)限于FTP、TELNEET、HTTP、HTTPS、RLOGIIN?？蛻魴C認證（CllientAutheenticaation）：：基于客戶機機IP的認證，對對訪問的協(xié)議議不做直接的的限制。客戶戶機認證不是是透明的，需需要用戶先登登錄到防火墻墻認證IP和用戶身份份之后，才允允許訪問應(yīng)用用服務(wù)器?？涂蛻魴C不需要要添加任何附附加的軟件或或做修改。當當用戶通過用用戶認證或會會話認證后，同同時也就已經(jīng)經(jīng)通過客戶機機認證。會話認證（SesssionAutheenticaation）：：提供基于服服務(wù)會話的的的透明認證，與IP無關(guān)。采用會話認證的客戶機必須安裝一個會話認證代理，訪問不同的服務(wù)時必須單獨認證。FireWalll-1提供多多種認證機制制供用戶選擇擇：S/Keey，F(xiàn)ireWWall-11Passsword，OSPaassworrd，LDAP，SecurreID，RADIUUS，TACACCS等。地址翻譯（NATT）FireWalll-1支持三三種不同的地地址翻譯模式式：靜態(tài)源地址翻譯：：當內(nèi)部的一一個數(shù)據(jù)包通通過防火墻出出去時，把其其源地址（一一般是一個內(nèi)內(nèi)部保留地址址）轉(zhuǎn)換成一一個合法地址址。靜態(tài)源地地址翻譯與靜靜態(tài)目的地址址翻譯通常是是配合使用的的。靜態(tài)目的地址翻譯譯：當外部的的一個數(shù)據(jù)包包通過防火墻墻進入內(nèi)部網(wǎng)網(wǎng)時，把其目目的地址（合合法地址）轉(zhuǎn)轉(zhuǎn)換成一個內(nèi)內(nèi)部使用的地地址（一般是是內(nèi)部保留地地址）。動態(tài)地址翻譯（也也稱為隱藏模模式）：把一一個內(nèi)部網(wǎng)的的地址段轉(zhuǎn)換換成一個合法法地址，以解解決企業(yè)的合合法IP地址太少的的問題，同時時隱藏內(nèi)部網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)，提提高網(wǎng)絡(luò)安全全性能。內(nèi)容安全FireWalll-1的內(nèi)容容安全服務(wù)保保護網(wǎng)絡(luò)免遭遭各種威脅，包包括病毒、JJave和ActivveX代碼攻攻擊等。內(nèi)容容安全服務(wù)可可以通過定義義特定的資源源對象，制定定與其它安全全策略類似的的規(guī)則來完成成。內(nèi)容安全全與FireeWall--1的其它安安全特性集成成在一起，通通過圖形用戶戶界面集中管管理。OPSEC提供應(yīng)用開開發(fā)接口（API）以集成第第三方內(nèi)容過過濾系統(tǒng)。FireWalll-1的內(nèi)容容安全服務(wù)包包括：利用第三方的防病病毒服務(wù)器，通通過防火墻規(guī)規(guī)則配置，掃掃描通過防火火墻的文件，清清除計算機病病毒；根據(jù)安全策略，在在訪問WEB資源時，從HTTP頁面剝離JaavaAppplet，ActivveX等小程程序及Javva，Scrippt等代碼；；用戶定義過濾條件件，過濾URL；控制FTP的操作，過過濾FTP傳輸?shù)奈募?nèi)容；SMTP的內(nèi)容安安全（隱藏內(nèi)內(nèi)部地址、剝剝離特定類型型的附件等）；；可以設(shè)置在發(fā)現(xiàn)異異常時進行記記錄或報警；；通過控制臺集中管管理、配置、維維護。連接控制FireWalll-1的連接接控制模塊提提供了負載平平衡功能，在在提供相同服服務(wù)的多個應(yīng)應(yīng)用服務(wù)器之之間實現(xiàn)負載載分擔，應(yīng)用用服務(wù)器不要要求都放在防防火墻后面。用用戶可選用不不同的負載均均衡算法：ServerLLoad—該方法由服服務(wù)器提供負負載均衡算法法，需要在應(yīng)應(yīng)用服務(wù)器端端安裝負載測測量引擎；RoundTrrip—FireWWall-11利用pingg命令測定防防火墻到各個個應(yīng)用服務(wù)器器之間的循回回時間，選用用循回時間最最小者響應(yīng)用用戶請求；RoundRoobin—FireWWall-11根據(jù)其記錄錄表中的情況況，簡單地指指定下一個應(yīng)應(yīng)用服務(wù)器響響應(yīng)；Random—FFireWaall-1隨機選取應(yīng)應(yīng)用服務(wù)器響響應(yīng)；Domain—FFireWaall-1按照域名最最近的原則，指指定最近的應(yīng)應(yīng)用服務(wù)器響響應(yīng)。路由器安全管理可以通過FireeWall--1的管理工工作站對企業(yè)業(yè)范圍內(nèi)的路路由器提供集集中的安全管管理：通過圖形用戶界面面生成路由器器的過濾和配配置；引入、維護路由器器的訪問控制制列表；記錄路由器事件（需需要路由器支支持日志功能能）；在路由器上執(zhí)行通通過圖形用戶戶界面制定的的安全策略。FireWalll-1可以集集中管理以下下路由器：BayNetwworksrouteers,vversioon7.xx-122.xCiscoroouterss,IOSSverssion99-111CiscoPIIXFirrewalll，versiion3..0,4..03ComNettBuildder,vversioon9.xxMicrosofftRASS(Steeelheadd)RouutersforWWindowwsNTserveer4.xx防火墻及防病毒解解決方案軟件要求CheckpoiintFiireWalll-144.1(500用戶)forWindoows20000NortonAAntiviirus66.0foorWinndows2000網(wǎng)絡(luò)管理軟件硬件要求Cisco26610模塊式路由由器服務(wù)器（雙網(wǎng)卡，一一塊為內(nèi)部網(wǎng)網(wǎng)用一塊為外外部網(wǎng)使用）防火墻網(wǎng)絡(luò)圖城域網(wǎng)建設(shè)基本概述地鐵設(shè)計院城域網(wǎng)網(wǎng)的建設(shè)范圍圍由中旅商業(yè)業(yè)城十六層廣廣州地鐵總公公司（地鐵中中心機房）、芳芳村坑口運營營事業(yè)總部、廣廣百商業(yè)大廈廈二十九層資資源開發(fā)總部部、公園前控控制中心建設(shè)設(shè)事業(yè)總部、環(huán)環(huán)市西路204號地鐵設(shè)計計院5個部組成。租租用電信線路路，采用幀中中繼技術(shù)組建建廣州地鐵城城域網(wǎng)，同時時支持電話撥撥號訪問（租租用一條256K幀中繼線和3條電話線供供撥號訪問）。城域網(wǎng)的建設(shè)包括括如下幾方面面內(nèi)容：路由器的安裝、配配置和調(diào)試通訊服務(wù)器的安裝裝、調(diào)試Web服務(wù)器的安安裝、調(diào)試Mail服務(wù)器的的安裝、調(diào)試試防火墻的安裝、設(shè)設(shè)置城域網(wǎng)網(wǎng)管系統(tǒng)的的安裝、調(diào)試試城域網(wǎng)網(wǎng)絡(luò)的測試試在城域網(wǎng)的建設(shè)中中的關(guān)鍵要素素有：路由器器的選型、路路由器與通訊訊服務(wù)器的安安裝、配置和和調(diào)試以及“防火墻“的組建和網(wǎng)網(wǎng)管系統(tǒng)的安安裝、調(diào)試。通訊線路和撥號訪訪問服務(wù)廣州地鐵設(shè)計院網(wǎng)網(wǎng)絡(luò)建設(shè)中城城域網(wǎng)所用的的通訊線路或或傳輸技術(shù)主主要有兩種：：一為FR、二為PSTN，采用租用256K幀中繼線和3條電話線供供撥號訪問虛擬專用網(wǎng)VPNN技術(shù)VPN是一個虛擬的網(wǎng)，其其重要的意義義在于"虛擬"和"專用"。為了實現(xiàn)現(xiàn)在公網(wǎng)之上上傳輸私有數(shù)數(shù)據(jù)，必須滿滿足其安全性性。VPN技術(shù)主要體體現(xiàn)在兩個技技術(shù)要點上：：Tunneel、相關(guān)隧道道協(xié)議（包括括PPTP，L2F，L2TP），數(shù)據(jù)安安全協(xié)議（IPSEC）。下面針針對這幾項技技術(shù)做一介紹紹。加密和用用戶授權(quán)為在在公司網(wǎng)上進進行個人通信信提供了安全全保證。隧道（Tunneeling）技術(shù)介紹紹VPN在表面上是是一種聯(lián)網(wǎng)的的方式，比起起專線網(wǎng)絡(luò)來來，它具有許許多優(yōu)點。在在VPN中，通過采采用一種所謂謂"隧道"的技術(shù)，可可以通過公共共路由網(wǎng)絡(luò)傳傳送數(shù)據(jù)分組組，例如Interrnet網(wǎng)或其他商商業(yè)性網(wǎng)絡(luò)。這里，專有有的"隧道"類似于點到到點的連接。這這種方式能夠夠使得來自許許多源的網(wǎng)絡(luò)絡(luò)流量從同一一個基礎(chǔ)設(shè)施施中通過分開開的隧道。這這種隧道技術(shù)術(shù)使用點對點點通信協(xié)議代代替了交換連連接，通過路路由網(wǎng)絡(luò)來連連接數(shù)據(jù)地址址。隧道技術(shù)術(shù)允許授權(quán)移移動用戶或已已授權(quán)的用戶戶在任何時間間任何地點訪訪問企業(yè)網(wǎng)絡(luò)絡(luò)。通過TUNNEEL的建立，可可實現(xiàn)以下功功能：將數(shù)據(jù)流量強制到到特定的目的的地隱藏私有的網(wǎng)絡(luò)地地址在IP網(wǎng)上傳輸非IP協(xié)協(xié)議數(shù)據(jù)包提供數(shù)據(jù)安全支持持協(xié)助完成用戶基于于AAA的管理。在安全方面可提供供數(shù)據(jù)包認證證、數(shù)據(jù)加密密以及密鑰管管理等手段。撥號VPNs使用隧道技技術(shù)遠程訪問問服務(wù)器把用用戶數(shù)據(jù)打包包進IP信息包中，這這些信息包通通過電信服務(wù)務(wù)提供商網(wǎng)絡(luò)絡(luò)傳遞，在Interrnet里，則需要要穿過不同的的網(wǎng)絡(luò)，最后后到達隧道終終點，然后數(shù)據(jù)據(jù)拆包，轉(zhuǎn)發(fā)發(fā)成最初的形形式。VPN允許網(wǎng)絡(luò)協(xié)協(xié)議的轉(zhuǎn)換，還還允許對來自自許多源的流流量進行區(qū)別別，這樣可以以指定特定的的目的地，接接受指定級別別的服務(wù)。公公司網(wǎng)進行遠遠程訪問通信信，從電路交交換的，長距距離的本地電電信服務(wù)提供供商到ISPs和Interrnet需要采用隧隧道技術(shù)。隧隧道技術(shù)使用用點對點通信信協(xié)議，代替替了交換連接接，通過路由由網(wǎng)絡(luò)來連接接數(shù)據(jù)地址。這這代替了電話話交換網(wǎng)絡(luò)使使用的電話號號碼連接。隧隧道技術(shù)允許許授權(quán)移動用用戶或已授權(quán)權(quán)的用戶再任任何時間任何何地點訪問企企業(yè)網(wǎng)絡(luò)。應(yīng)應(yīng)用授權(quán)技術(shù)術(shù)，隧道技術(shù)術(shù)也禁止未授授權(quán)的訪問。網(wǎng)管軟件平臺和網(wǎng)網(wǎng)管軟件網(wǎng)管軟件平臺是一一種綜合網(wǎng)絡(luò)絡(luò)管理軟件，他他不但具有網(wǎng)網(wǎng)絡(luò)管理的基基本功能，而而且用戶可以以利用他開發(fā)發(fā)新的網(wǎng)絡(luò)管管理應(yīng)用軟件件。目前公認認的三大網(wǎng)管管軟件平臺：：IBMNNetVieew、HPOpeenVieww和SUNNNetMannger，此此外還有CA的網(wǎng)管軟件件平臺。廣州地鐵設(shè)計院的的城域網(wǎng)網(wǎng)管管，它管理中中旅商業(yè)城十十六層廣州地地鐵總公司（地地鐵中心機房房）、芳村坑坑口運營事業(yè)業(yè)總部、廣百百商業(yè)大廈二二十九層資源源開發(fā)總部、公公園前控制中中心建設(shè)事業(yè)業(yè)總部、環(huán)市市西路204號地鐵設(shè)計計院5節(jié)點。其建設(shè)要考慮網(wǎng)絡(luò)絡(luò)硬件平臺、操操作系統(tǒng)平臺臺、協(xié)議平臺臺、網(wǎng)管平臺臺、網(wǎng)管應(yīng)用用等各個方面面，建議鐵設(shè)設(shè)計院采用IBMNNetVieew網(wǎng)管平臺臺和CiscoWorkss網(wǎng)管軟件的的網(wǎng)絡(luò)管理系系統(tǒng)。城域網(wǎng)網(wǎng)絡(luò)架構(gòu)圖圖Internett的接入方案案ADSL簡介隨著Internett的爆炸式發(fā)發(fā)展，在Interrnet上的商業(yè)應(yīng)應(yīng)用和多媒體體等服務(wù)也得得以迅猛推廣廣。為了實現(xiàn)現(xiàn)用戶接入網(wǎng)網(wǎng)的數(shù)字化、寬寬帶化，提高高用戶上網(wǎng)速速度，人們提提出了多項寬寬帶接入網(wǎng)技技術(shù)，包括N-ISDDN、CableeModeem、ADSL等等，其中ADSL（非對稱數(shù)數(shù)字用戶環(huán)路路）是最具前前景及競爭力力的一種,將在未來十十幾年甚至幾幾十年內(nèi)占主主導地位。

ADSL是一種通通過現(xiàn)有普通通電話線為家家庭、辦公室室提供寬帶數(shù)數(shù)據(jù)傳輸服務(wù)務(wù)的技術(shù)。ADSL即非對稱數(shù)數(shù)字信號傳送送，它能夠在在現(xiàn)有的銅雙雙絞線，即普普通電話線上上提供高達10Mbiit/s的高速下行行速率，遠高高于ISDN速率；而上上行速率有1Mbitt/s，傳輸距離離達3km5kmm。ADSL技術(shù)的主要要特點是可以以充分利用現(xiàn)現(xiàn)有的銅纜網(wǎng)網(wǎng)絡(luò)（電話線線網(wǎng)絡(luò)），在在線路兩端加加裝ADSL設(shè)備即可為為用戶提供高高寬帶服務(wù)。ADSL的另外一個個優(yōu)點在于它它可以與普通通電話共存于于一條電話線線上，在一條條普通電話線線上接聽、撥撥打電話的同同時進行ADSL傳輸而又互互不影響。安裝ADSL也極其方方便快捷，在在現(xiàn)有的電話話線上安裝ADSL，除了在用用戶端安裝ADSL通訊終端外外，不用對現(xiàn)現(xiàn)有線路作任任何改動。局局域網(wǎng)用戶具具有4個靜態(tài)IP地址，可以以在中國公眾眾多媒體網(wǎng)上上架設(shè)公司的的網(wǎng)站，提供WWW、FTP、E－mail等服務(wù)。隨隨著ADSL技術(shù)的進一一步推廣應(yīng)用用，ADSL接入還可以以提供點對點點的遠程醫(yī)療療，遠程教學，遠遠程可視會議議等服務(wù)。

ADSL與其它接接入服務(wù)的比比較ADSL與CabbleMoodem的比較與CableMoode相比，ADSL技術(shù)具有著著相當大的優(yōu)優(yōu)勢。CableeModeem的HFC接入方案采采用分層樹型型結(jié)構(gòu)，其優(yōu)優(yōu)勢是帶寬比比較高（10M），但這種種技術(shù)本身是是一個較粗糙糙的總線型網(wǎng)網(wǎng)絡(luò)，這就意意味者用戶要要和鄰近用戶戶分享有限的的帶寬，當一一條線路上用用戶激增時，其其速度將會減減慢。再者，有有關(guān)資料表明明，大部分情情況下，HFC方案必需兼兼顧現(xiàn)有的有有線電視節(jié)目目，而占用了了部分帶寬，只只剩余了一部部分可供傳送送其它數(shù)據(jù)信信號，所以CableeModeem的理論傳輸輸速率只能達達到一小半。國國外公司實驗驗表明，其速速率減為1M-22Mbps，更常見的的是400KK-500KKbps。綜合來看看，即使在理理想狀態(tài)下，HFC只相當于一一個10Mbpps的共享式總總線型以太網(wǎng)網(wǎng)，而ADSL接入方案在在網(wǎng)絡(luò)拓撲結(jié)結(jié)構(gòu)上較為先先進，因為每每個用戶都有有單獨的一條條線路與ADSL局端相連，它它的結(jié)構(gòu)可以以看作是星型型結(jié)構(gòu)，它的的數(shù)據(jù)傳輸帶帶寬是由每一一用戶獨享的的。ADSL與普通撥撥號Modeem及N-ISDDN的比較比起普通撥號MModem的最高56K速率，以及N-ISDDN1288K的速率，ADSL的速率優(yōu)勢勢是不言而喻喻的。與普通撥號Moodem或ISDN相比，ADSL更為吸引人人的地方是：：它在同一銅銅線上分別傳傳送數(shù)據(jù)和語語音信號，數(shù)數(shù)據(jù)信號并不不通過電話交交換機設(shè)備，減減輕了電話交交換機的負載載，并且不需需要撥號，一一直在線，屬屬于專線上網(wǎng)網(wǎng)方式。這意意味著使用ADSL上網(wǎng)并不需需要繳付另外外的電話費。綜合以上所述，可可以看到ADDSL作為一種高高速接入Interrnet的技術(shù)更具具有生命力，是是企業(yè)接入Interrnet、開展網(wǎng)上上電子商務(wù)的的最佳選擇。同同時企業(yè)Intraanet網(wǎng)與Inteernet之間設(shè)有CheckkPointtFireeWall--1防火墻，實實現(xiàn)了公司內(nèi)部網(wǎng)網(wǎng)對外信息交交流的控制和和管理，并防防止外部非法法用戶進入企企業(yè)Intraanet網(wǎng)。Ciscco26110路由器通過ADSLModemm接入Interrnet，提供Interrnet代理服務(wù)，為為企業(yè)Intraanet網(wǎng)絡(luò)授權(quán)用用戶提供通過過防火墻測覽覽Interrnet服務(wù)，同時時阻止非授權(quán)權(quán)用戶訪問Interrnet。設(shè)備報價表品牌規(guī)格單價數(shù)量正式投標價金額中心網(wǎng)絡(luò)設(shè)備Catalystt29488G-L331交換機Catalystt35488XLEEnterppriseEditiion（帶千兆堆疊模塊塊）7遠程訪問路由器2610（包括接外置MOODEM的模塊卡、幀幀中繼廣域網(wǎng)網(wǎng)模塊卡）5調(diào)制調(diào)解器GVC超級魔電電4003網(wǎng)絡(luò)安全軟件CheckPoointFFirewaall-1（端口數(shù)50）1防病毒軟件NortonAAntiviirus（用于6臺服務(wù)器器，100臺工作站）1網(wǎng)絡(luò)設(shè)計、調(diào)試費費總計項目實施計劃項目實施階段網(wǎng)絡(luò)設(shè)備及系統(tǒng)軟軟件驗收包括：網(wǎng)絡(luò)設(shè)備是是否與裝箱單單相符、保修修單等證明文文件是否齊全全、各設(shè)備硬硬件配置情況況、網(wǎng)絡(luò)設(shè)備備加電試機、系系統(tǒng)軟件的合合法性等。項目計劃實施按照項目計劃進行行網(wǎng)絡(luò)建設(shè)，包包括網(wǎng)絡(luò)設(shè)備備和軟件的安安裝、調(diào)試。審核施工進度根據(jù)實際施工情況況，解決可能能出現(xiàn)的問題題，確保工程程如期進行。網(wǎng)絡(luò)系統(tǒng)集成性能能測試包括：丟包率、錯錯包率、網(wǎng)絡(luò)絡(luò)線速、統(tǒng)計計碰撞、幀故故障、網(wǎng)絡(luò)應(yīng)應(yīng)用軟件配置置是否合理、各各種網(wǎng)絡(luò)服務(wù)務(wù)是否實現(xiàn)、網(wǎng)網(wǎng)絡(luò)安全性及及可靠性是否否符合合同要要求等等。完善在測試過程中中可能出現(xiàn)的的各種問題糾正在性能測試中中出現(xiàn)的問題題，確保網(wǎng)絡(luò)絡(luò)性能達到設(shè)設(shè)計的標準和和要求，并詳詳細記錄問題題的原因和解解決的方法，作作為日后系統(tǒng)統(tǒng)維護的參考考。提交網(wǎng)絡(luò)性能測試試報告網(wǎng)絡(luò)系統(tǒng)集成驗收收協(xié)助用戶組織驗收收工作，包括括驗收委員會會的成立、各各驗收參數(shù)的的確定等；驗驗收主要包括括：合同履行行情況、網(wǎng)絡(luò)絡(luò)系統(tǒng)是否達達到預(yù)期效果果、各種技術(shù)術(shù)文檔等。系統(tǒng)驗收標準系統(tǒng)驗收內(nèi)容系統(tǒng)性能；工程質(zhì)量；系統(tǒng)文檔；工程管理。系統(tǒng)性能驗收設(shè)備性能：主流廠廠商、主流產(chǎn)產(chǎn)品、主流技技術(shù)服務(wù)器： Inntel芯片，550MHHz以上的主頻頻，內(nèi)存、外外存夠用并有有50%左右的冗余考慮，高速速I/O；局域網(wǎng)設(shè)備： 網(wǎng)網(wǎng)卡、交換機機100M，主干100M可交換并可可堆疊，端口口數(shù)夠用并有有20%左右的冗余余，支持雙絞絞線連接，并并預(yù)留千兆光光纖主干的接接口；廣域網(wǎng)設(shè)備： 具具有路由和轉(zhuǎn)轉(zhuǎn)發(fā)功能，內(nèi)內(nèi)存、緩存夠夠用并有30%左右的冗余余，可支持PPP和LL連接接，支持IP協(xié)議，端口口數(shù)可滿足主主備用。網(wǎng)絡(luò)性能：實用技技術(shù)、成熟標標準、安全管管理技術(shù): 快速、高速以太網(wǎng)網(wǎng)、（主體）星星型結(jié)構(gòu)、智智能化可管理理；標準: IEEE8022.3等標準，TCP/IIP等事實標準準，OSI/IISO等理論標準準；安全: 訪問控制、傳輸保保護、病毒防防治、網(wǎng)絡(luò)分分段；管理：界面友好、操操作方便，可可做到結(jié)構(gòu)識識別、狀態(tài)監(jiān)監(jiān)測、流量統(tǒng)統(tǒng)計、設(shè)備配配置、資源分析、故故障診斷與排排除。工程質(zhì)量驗收設(shè)備：按照設(shè)計要要求配置、調(diào)調(diào)試，保證彼彼此之間的互互通，廣域設(shè)設(shè)備地址統(tǒng)一一、協(xié)議一致、子網(wǎng)清清晰，局域網(wǎng)網(wǎng)設(shè)備結(jié)構(gòu)清清晰、層次分分明；線路：按照設(shè)計要要求搭配、連連接，保證用用戶端設(shè)備、網(wǎng)網(wǎng)絡(luò)(通道)設(shè)備、通訊訊終端設(shè)備之之間的互通，廣廣域主備線路路統(tǒng)一申請、統(tǒng)統(tǒng)一協(xié)議，局局域線路統(tǒng)一一接口、統(tǒng)一一線類；環(huán)境：機房、配線線間、配線設(shè)設(shè)備整齊、布布局合理，線線路連接清晰晰，走線統(tǒng)一一，整個環(huán)境境潔凈，溫度度、濕度適宜宜，通風良好好，既客觀又又美觀。系統(tǒng)文檔驗收完善性：含系統(tǒng)設(shè)設(shè)計文檔--總體方案、詳詳細設(shè)計，系系統(tǒng)實施文檔檔--工程記錄、系系統(tǒng)配置，系系統(tǒng)維護文檔檔--操作說明、維維護手冊，還還有各種設(shè)備備的技術(shù)文檔檔，要求設(shè)計計、實施、維維護和技術(shù)文文檔齊全；易讀性：要求設(shè)計計文檔、實施施文檔、維護護文檔深入淺淺出，既詳致致又精練，按按類裝訂成冊冊，及時移交交，統(tǒng)一歸檔檔，同時要求求有完整備份份；客觀性：要求文檔檔客觀地反映映系統(tǒng)及系統(tǒng)統(tǒng)建設(shè)情況，有有變動及時修修改，不同版版本有相應(yīng)說說明，同時有有版本及修改改、更新的時時間記錄。工程管理驗收計劃：目的性強，可可操作性強，有有遠見、有條條理；人員：符合各種工工程角色的需需要，及時到到位，工作細細致；進度：保證關(guān)鍵事事項，總體保保證計劃進度度，并可根據(jù)據(jù)實際情況及及時調(diào)整；組織：組織性強，各各角色職責明明確，協(xié)調(diào)好好，可協(xié)作攻攻關(guān)。系統(tǒng)驗收組織整個網(wǎng)絡(luò)系統(tǒng)建設(shè)設(shè)完成后由廣廣州地鐵總公公司組織有系系統(tǒng)集成商參參與的技術(shù)、項項目驗收；驗收工作由廣州地地鐵總公司主主持；系統(tǒng)集成商做技術(shù)術(shù)和項目管理理方面的匯報報；廣州地鐵總公司從從用戶的角度度評介整個網(wǎng)網(wǎng)絡(luò)系統(tǒng)；有關(guān)專家（測試小小組）宣布測測試結(jié)果；驗收組作出系統(tǒng)建建設(shè)成敗優(yōu)劣劣的驗收意見見，形成書面面的驗收意見見書。系統(tǒng)驗收依據(jù)系統(tǒng)文檔：需求材材料、設(shè)計方方案、實施方方案、設(shè)備性性能參數(shù)、網(wǎng)網(wǎng)絡(luò)系統(tǒng)技術(shù)術(shù)參數(shù)、測試記錄、試試運行期維護護記錄；用戶文檔：培訓記記錄、故障記記錄、用戶意意見書；現(xiàn)場資料：現(xiàn)場觀觀看、現(xiàn)場操操作演示、現(xiàn)現(xiàn)場測試、維維護人員與管管理人員評價價。系統(tǒng)驗收原則以技術(shù)和設(shè)備性能能的客觀為基基礎(chǔ)；以系統(tǒng)和實施管理理的完善為目目標；以用戶和測試人員員的評述為依依據(jù)；以意見和完善建議議的中肯為原原則。網(wǎng)管系統(tǒng)要求1）網(wǎng)絡(luò)監(jiān)控功能要求求 網(wǎng)管系統(tǒng)應(yīng)能通過過圖形方式顯顯示網(wǎng)絡(luò)的拓拓撲結(jié)構(gòu)、所所有網(wǎng)絡(luò)節(jié)點點的工作狀態(tài)態(tài)、網(wǎng)絡(luò)節(jié)點點的工作性能能，可以對網(wǎng)網(wǎng)絡(luò)上的數(shù)據(jù)據(jù)量進行統(tǒng)計計和顯示。故障報警和排除：： 網(wǎng)絡(luò)管理系系統(tǒng)在監(jiān)控網(wǎng)網(wǎng)絡(luò)設(shè)備、主主機的同時，應(yīng)應(yīng)設(shè)置相應(yīng)參參數(shù)閥值；設(shè)備配置設(shè)定： 網(wǎng)絡(luò)管理系系統(tǒng)應(yīng)能通過過局域網(wǎng)及廣廣域網(wǎng)對網(wǎng)絡(luò)絡(luò)上的設(shè)備進進行在線修改配置，實實現(xiàn)網(wǎng)絡(luò)資源源的動態(tài)分配配；網(wǎng)絡(luò)資料統(tǒng)計分析析：網(wǎng)管系統(tǒng)統(tǒng)將網(wǎng)絡(luò)設(shè)備備的運行情況況、網(wǎng)絡(luò)故障障等多種信息息存儲在文件或數(shù)據(jù)庫中中，供網(wǎng)絡(luò)管管理員直接存存取。2）網(wǎng)絡(luò)管理軟件平臺臺功能要求網(wǎng)絡(luò)管理軟件平臺臺通過SNMMP協(xié)議管理理全網(wǎng)上的TTCP/IPP資源；網(wǎng)絡(luò)管理軟件平臺臺應(yīng)支持標準準的MIB--II管理信信息及一些主主要廠家的MMIB管理信信息；應(yīng)能管理各種智能能型的、支持持SNMP協(xié)議議并采用MIIB-II管管理信息集的的網(wǎng)絡(luò)設(shè)備。3）對網(wǎng)絡(luò)設(shè)備的管理理網(wǎng)絡(luò)設(shè)備的管理由由專門的系統(tǒng)統(tǒng)管理軟件完完成，其功能能應(yīng)包括：自動發(fā)現(xiàn)網(wǎng)絡(luò)上的的路由器，以以不同的圖標標區(qū)別不同種種類的路由器器；在一個路由器的拓拓撲圖上顯示示全部本地和和遠程的路由由器；方便設(shè)置其他類型型的路由器；；監(jiān)控路由器上的數(shù)數(shù)據(jù)傳送量及及錯誤的數(shù)據(jù)據(jù)包，當路由由器發(fā)生故障障或某個參數(shù)數(shù)超過閥值時時，能自動報報警；當關(guān)于路由器的某某一事件發(fā)生生時，在網(wǎng)管管機中預(yù)先定定義的操作會會自動執(zhí)行以以排除網(wǎng)絡(luò)故故障或響應(yīng)網(wǎng)網(wǎng)絡(luò)設(shè)置的變變化；所有的路由器信息息可以長期保保存在網(wǎng)絡(luò)管管理機的數(shù)據(jù)據(jù)庫中；對網(wǎng)絡(luò)設(shè)備進行具具體配置。4）各種操作系統(tǒng)及網(wǎng)網(wǎng)絡(luò)協(xié)議的管管理網(wǎng)絡(luò)配置管理的功功能要求：自動發(fā)現(xiàn)網(wǎng)上的資資源，并自動動以不同的圖圖標表示；只需簡潔的鼠標操操作“pointt-and--clickk”，即可在圖圖形用戶界面面上再現(xiàn)直觀觀的網(wǎng)絡(luò)拓撲撲結(jié)構(gòu)圖；可通過系統(tǒng)預(yù)定義義及系統(tǒng)管理理員定義的應(yīng)應(yīng)用查詢網(wǎng)上上的配置信息息，以直觀的的工具代替復(fù)復(fù)雜的查詢指指令。網(wǎng)絡(luò)問題的管理功功能要求：網(wǎng)管中心可以不間間斷地對網(wǎng)上上IP資源的狀狀態(tài)、配置和和事件進行監(jiān)監(jiān)控；系統(tǒng)管理員可通過過設(shè)置信息過過濾器來選擇擇哪些網(wǎng)上信信息被送至網(wǎng)網(wǎng)管中心；通過事件的自動響響應(yīng)系統(tǒng)可使使管理員從手手動操作中解解放出來；相關(guān)事件變化及執(zhí)執(zhí)行的操作將將作為事件的的歷史信息送送到網(wǎng)管中心心做記錄。網(wǎng)絡(luò)性能的管理功功能要求：通過SNMPAAgent，網(wǎng)網(wǎng)絡(luò)管理軟件件平臺可以監(jiān)監(jiān)控到許多系系統(tǒng)性能的參參數(shù)；網(wǎng)絡(luò)管理軟件平臺臺可以監(jiān)視和和報告主機CCPU和磁盤盤的利用率；；利用公告欄程序“Spreadd-sheeetproogram”，這些網(wǎng)絡(luò)絡(luò)性能的信息息可以以圖形形或數(shù)字的形形式展現(xiàn)，或或以ASCIII的格式輸輸出；對所有的功能均有有用戶幫助，并并提供可選的的在線資料。5）基于GUI的圖形形界面網(wǎng)絡(luò)管理軟件平臺臺應(yīng)能為網(wǎng)絡(luò)絡(luò)管理員提供供圖形化的網(wǎng)網(wǎng)絡(luò)IP拓撲結(jié)構(gòu)構(gòu)，使網(wǎng)絡(luò)管管理員可以迅迅速方便地發(fā)發(fā)現(xiàn)局域網(wǎng)上上出現(xiàn)的IPP資源并幫助助管理員發(fā)現(xiàn)現(xiàn)故障原因，幫幫助管理員準準確測定網(wǎng)絡(luò)絡(luò)上數(shù)據(jù)傳輸輸?shù)母叻寮拔奈募?wù)器磁磁盤的利用率率。6）關(guān)系型數(shù)據(jù)庫支持持網(wǎng)絡(luò)管理軟件應(yīng)能能支持關(guān)系型型數(shù)據(jù)庫，網(wǎng)網(wǎng)絡(luò)和系統(tǒng)的的信息可以存存儲在這些關(guān)關(guān)系型數(shù)據(jù)庫庫中并通過SSQLAPPI’s進行查詢。報報告工具“ReporrtToools”和數(shù)據(jù)庫管管理工具“DatabbaseAAdminiistrattionTTools”可以直接讀讀取這些原始始數(shù)據(jù)，即使使SNMP的AGENTT不再存在仍仍然可以找到到這些信息。網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)安全主要體現(xiàn)現(xiàn)在如下三方方面：訪問安全：未經(jīng)授授權(quán)，任何系系統(tǒng)、任何個個人都不可以以進入系統(tǒng)的的相關(guān)部分；；傳輸安全：防止數(shù)數(shù)據(jù)在網(wǎng)絡(luò)上上進行傳輸時時的信息泄露露以及網(wǎng)絡(luò)邏邏輯損傷；病毒防治：對網(wǎng)絡(luò)絡(luò)病毒的防御御和清除。網(wǎng)絡(luò)安全措施如下下：主服務(wù)器業(yè)務(wù)數(shù)據(jù)據(jù)的安全備份份；網(wǎng)絡(luò)設(shè)備與通訊線線路的安全備備份；網(wǎng)絡(luò)數(shù)據(jù)傳輸中的的數(shù)據(jù)安全控控制，如加密密和解密；應(yīng)用系統(tǒng)中的安全全控制：操作作系統(tǒng)和數(shù)據(jù)據(jù)庫系統(tǒng)的兩兩級帳戶、兩兩級口令等；；網(wǎng)絡(luò)病毒疫苗（防防病毒軟件）；；“防火墻”、病毒“防火墻”；規(guī)范的系統(tǒng)運行管管理和系統(tǒng)安安全管理。網(wǎng)絡(luò)測試標準1）局域網(wǎng)測試速率測試： 測測試網(wǎng)絡(luò)在正正常狀態(tài)下的的傳輸速率，基基本要為10/1000Base--T；穩(wěn)定性測試： 測測試網(wǎng)絡(luò)的穩(wěn)穩(wěn)定性、健壯壯性，基本要要求是S-Pinng/Pinng為50%；安全性測試： 測測試系統(tǒng)對非非法侵入及非非法用戶的抵抵制能力是主主要內(nèi)容，基基本的標準為不容許非非法登錄；通斷性測試： 測測試網(wǎng)絡(luò)和線線路是否通暢暢，基于封裝裝協(xié)議的數(shù)據(jù)據(jù)傳輸是否正正常，基本標準為全部線線路物理上可可Conneect、邏輯上可可Ping；破壞性測試： 測測試網(wǎng)絡(luò)中某某部分出現(xiàn)意意外中斷時是是否能夠及時時啟用備用設(shè)設(shè)備保證網(wǎng)絡(luò)的通暢，基基本要求為1小時內(nèi)可切切換、1天內(nèi)可恢復(fù)復(fù)；集成性測試： 測測試網(wǎng)絡(luò)在不不同廠家網(wǎng)絡(luò)絡(luò)產(chǎn)品配置組組合之后的網(wǎng)網(wǎng)絡(luò)性能，基基本要求為可集成不同同主流廠商的的同檔產(chǎn)品；；拓展性測試： 網(wǎng)網(wǎng)絡(luò)的拓展性性能如何直接接影響用戶的的資金利用率率，基本要求求為可擴充、冗余端口口約10%；整體性測試： 測測試網(wǎng)絡(luò)連通通后的整體性性能，要求為為可整體