广州市地铁总公司网络工程方案样本

目录TOC\o"1-4"一、项目概述 5二、需求分析 62.1网络现状分析 62.2网络需求分析 6三、总体设计方案 73.1系统设计原则 73.1.1高可靠性 73.1.2高安全性 73.1.3先进性 73.1.4易管理、易维护 73.1.5可扩展性 83.2系统设计概述 93.2.1网络体系构造和逻辑构造设计 93.2.2网络拓扑构造 93.2.3网络管理系统拟定 93.2.4连接Internet 10四、系统方案 114.1局域网设计方案 114.1.1基本网络构造设计 基本网络物理构造 虚拟网（VLAN）构建 系统特点 144.1.2网络服务 网络操作系统 应用功能 184.1.3备份服务（建议采用） 234.1.4Cisco网络管理 244.1.5局域网拓扑图 264.2局域网防火墙及防病毒解决方案 274.2.1网络安全风险分析 274.2.2需求分析 284.2.3安全管理需求分析 284.2.4安全方案 304.2.5网络设备安全配备 304.2.6对服务器访问控制 304.2.7CheckPointFireWall-14.0 3产品简介 3状态检测机制 3OPSEC 3公司级防火墙安全管理 3分布客户机/服务器构造 3认证（Authentication） 3地址翻译（NAT） 3内容安全 3连接控制 3路由器安全管理 394.2.8防火墙及防病毒解决方案 4软件规定 4硬件规定 4防火墙网络图 424.3城域网建设 434.3.1基本概述 434.3.2通讯线路和拨号访问服务 434.3.3虚拟专用网VPN技术 444.3.4网管软件平台和网管软件 454.3.5城域网网络架构图 464.4Internet接入方案 474.4.1ADSL简介 474.4.2ADSL与其他接入服务比较 4ADSL与CableModem比较 4ADSL与普通拨号Modem及N-ISDN比较 48五、设备报价表 505.1产品报价表 505.2维修报价表 51六、项目实行筹划 526.1网络设备及系统软件验收 526.2项目筹划实行 526.3审核施工进度 526.4网络系统集成性能测试 526.5完善在测试过程中也许浮现各种问题 536.6提交网络性能测试报告 536.7网络系统集成验收 53七、系统验收原则 547.1系统验收原则 547.2系统验收组织 547.3系统验收根据 547.4系统验收内容 557.4.1系统性能验收 5设备性能：主流厂商、主流产品、主流技术 5网络性能：实用技术、成熟原则、安全管理 567.4.2网管系统规定 5网络监控功能规定 5网络管理软件平台功能规定 5对网络设备管理 5各种操作系统及网络合同管理 5基于GUI图形界面 5关系型数据库支持 597.4.3工程质量验收 607.4.4系统文档验收 607.5系统测试、网络管理与网络安全原则 617.5.1广域网测试原则 617.5.2局域网测试原则 627.5.3网管系统原则 637.5.4网络安全原则 64八、售后服务 658.1试运营期支持 658.2保修期服务 658.3保修期外服务 668.4文档体系 668.5培训筹划 678.5.1培训目 678.5.2培训对象 688.5.3培训方略 688.5.4培训方式 6现场培训 6集中培训 698.5.5课程安排 698.5.6课程描述 70九、金税服务体系 739.1专业技术队伍 739.1.1技术支持部 739.1.2客户服务部 739.2整体服务控制 749.2.1设备交货与质量控制 749.2.2原厂商产品验收和技术保证 749.2.3系统和网络工程实行与监理 749.2.4系统效能调试 759.2.5迅速响应方式 759.2.6全面服务体系 759.3客户服务流程图 769.4工程监督流程图 77

一、项目概述广州地铁总公司新办公场合位于广州市中山五路与解放路交界处中旅商业城第十六层，面积约为三千七百平方米，集中了地铁总公司财务部、公司管理总部、人力资源总部等行政管理部门，大概将有二百三十多名工作人员在此办公。广州地铁总公司将在中旅商业城十六层建立计算机网络，该网络是广州地铁总公司公司管理信息系统平台，她将提供如下服务：各种数据库管理系统，如财务管理系统、合同管理系统等；办公自动化信息管理，如公文流转、电子邮件系统等；国际互联网Iternet接入；六间会议室有少量多媒体信息传播；规定实现与公司其她总部——位于芳村西朗运营事业总部、位于北京路广百大厦29层资源开发总部、位于公园前地铁控制中心建设事业总部、位于环市西路204号地铁设计院网络互联，构筑广州地铁总公司城域网，实现全公司信息共享；容许外出工作人员通过拨号访问地铁总公司网络、互换信息。

二、需求分析2.1网络现状分析布线工程已由广州地铁总公司委托其她公司完毕。该布线工程所有采用Lucent公司超五类设备进行施工，将达到Lucent公司十五年保用原则。共有三个设备间，其中一种与计算机房合在一起。三个设备间之间均有电缆直接连接，可形成环路。网络布线端口数达到320个，每个设备间所联信息点基本同样，大概为110个。网络操作系统将采用MSWindowsServer。2.2网络需求分析依照地铁总公司规定，这次网络工程重要内容涉及四某些：中旅商业城十六层广州地铁总公司计算机局域网；中旅商业城十六层广州地铁总公司计算机局域网防火墙及防病毒解决方案；广州地铁总公司城域网；中旅商业城十六层广州地铁总公司计算机局域网国际互联网接入。

三、总体设计方案3.1系统设计原则3.1.1高可靠性计算机网络系统应采用可靠性较高产品和容错较强网络构造，以使网络具备高度可靠性。应采用多层次冗余备份手段和技术，保证设备在发生故障时能在最短时间内恢复，以最大限度地保证网络正常运转。3.1.2高安全性依照建行管理制度和网络方略制定一套完善安全政策，采用适当技术手段，充分保证网络安全性。3.1.3先进性在技术上要到达当前国际先进水平。要采用最大先进网络技术，以适应大量数据和多媒体信息传播，既要满足当前业务需求，又要充分考虑将来发展，保证网络建成后3-5年不落后，选用符合国际原则系统和产品，以保证系统具备较长生命力和扩展能力，满足将来系统升级规定。3.1.4易管理、易维护由于计算机网络系统规模庞大，需要网络系统具备良好可管理性，网管系统应具备监测、故障诊断、故障隔离、过滤设立等功能，以便于系统管理和维护。同步应尽量选用集成度高、模块化、可通用产品，以便于管理和维护。3.1.5可扩展性网络系统应具备良好可扩展性，随着业务增长和应用水平提高，网络应可平滑地扩展升级，而不需要对网络构造设备进行大改动。

3.2系统设计概述3.2.1网络体系构造和逻辑构造设计拟定网络体系构造及相应通信合同，对于系统改造是一种十分很重要问题。由于网络系统改造涉及到许多部门，而这些部门有在使用某些专用系统，有需要与其他专用系统相连。因而，要共享网络资源及在网络中互换信息，就必要实现不同系统间实体通信，这需要不同系统采用同一合同.。网络体系构造拟定：骨干网络使用互换式迅速以太网。本网络大量采用以太网产品，由于以太网发展最为迅速，当前拥有广泛顾客和众多产品，容易得到支持。网络主干采用100Mb/S互换式以太网，因素如下：采用100Mb/s以太网互换技术,可使网络主干速率成倍增长；便于向千兆位以太网过渡；技术成熟；有大量成功案例可查。3.2.2网络拓扑构造采用星型网络互换技术。通过相应管理软件，在不变化网络节点物理位置状况下，可以对网络逻辑构造进行合理划分，即建立虚拟网络，来达到网络信息流量有效控制。3.2.3网络管理系统拟定人们往往只注重网络静态性能，而忽视了对网络动态解决方案重要性结识。事实上，网络管理有着极其重要意义。通过网管软件可以便地拟定网络故障点，及时解决问题；也可对网络信息流量进行有效控制和分流。要管理网络端口，需要网上每台设备都支持SNMP。依照本网络特点，规定网管程序可以跨越地区对异地网络节点进行管理。3.2.4连接Internet在与Internet连接方面，通过代理服务器，运用ADSL专线访问服务器，实现与远程客户信息交流。同步，还设立了网管工作站，监控网络运营状况，使网络达到最大运用效率。

四、系统方案4.1局域网设计方案4.1.1基本网络构造设计基本网络物理构造采用1台Cisco带第三层路由互换功能千兆以太网互换机–Catalyst2948G-L3做中心互换机，采用7台CiscoCatalyst3548XLEnterpriseEdition互换机（带千兆网堆叠模块）做桌面互换机，每2（3）台堆叠成一组，通过一种千兆以太网模块上联至主干，下联至300各种客户工作站。各服务器、防火墙主机和路由器通过100兆迅速以太网端口直接与中心互换机相联。1） 中心互换机配备千兆以太网互换机Catalyst2948G-L3置于主设备间。中心互换机配备1块20端口10M/100M自适应以太网互换模块、1块12端口10M/100M自适应第三层互换模块、8块2端口1000Base-SX输入输出模块和1块2端口1000Base-LX输出模块。互换机预留1块24Gbps千兆以太网互换引擎模块接口。2） 桌面互换机配备桌面互换机依照顾客实际状况采用7台CiscoCatalyst3548XLEnterpriseEdition互换机，每2（3）台堆叠成一组，共3组，每组配备如下：Catalyst3548XL带48个10/100Base-T自适应端口Catalyst3548XL堆叠模块Catalyst3548XL千兆位上联模块虚拟网（VLAN）构建VLAN是一种互换网络，它可以按功能、部门或是应用为基本来加以逻辑上划分，而不是以实体或物理位置为基本来划分。VLAN建立是为了提供更好分段服务，每一种VLAN就是一种广播域，也就等于WinNT网络中一种子网。这样可以更有效控制广播，对于访问控制以及寻常网络管理也可以做到较好控制。采用VLAN具备下述优势。

1）控制网络上广播风暴VLAN可以提供建立防火墙机制,防止互换网络过量广播风暴,使用VLAN,可以将某个互换端口或顾客赋于某一种特定VLAN组,该VLAN组可以在一种互换网中或跨接各种互换机,在一种VLAN中广播风暴不会送到VLAN之外,同样,相邻端口不会收到其她VLAN产生广播风暴。这样,可以减少广播流量,释放带宽给顾客应用,减少广播风暴产生。2）增长网络安全性使用共享式LAN,安全性很难保证,VLAN提供了安全性防火墙,限制了个别顾客访问,控制组大小及位置等。互换端口可以基于应用类型和访问特权来进行分组,被限制应用程序和资源普通置于安全性VLAN中。3）集中化管理控制 通过集中化VLAN管理程序,网络管理员可以拟定VLAN组,分派特定顾客和互换端口给这些VLAN组,设立安全性级别,限制广播域大小,通过冗余链路负载分担网络流量,跨越互换机配备VLAN通信,监控交通流量和VLAN使用网络带宽。这些能力有效提高了网络管理程序可控性,灵活性和监视功能,减少了管理费用，增长了集中管理功能。本网络系统提成各种逻辑子网，一种逻辑子网是由互换机设立VLAN。不同VLAN之间在数据链路层(第二层)是互不连通，当她们需要互相访问时，必要通过路由器或具备路由能力互换机（第三层互换机）使它们在网络层(第三层)连接起来。本系统种所采用Catalyst2948G-L3具备第三层路由模块，不需要附加路由器，VLAN之间通信在Catalyst2948G-L3互换机内部即可解决，可以建立跨过多台互换机而在整个网络中起作用VLAN。Catalyst2948G-L3和Catalyst3548XLEnterpriseEdition都支持VLAN划分，同步由于都支持802.1Q技术，也就能实现VLAN功能，通过802.1Q，网络中所有互换机就可以采用相似VLAN设立。服务器可以直接连接到互换机，最高速度可以达到800M。Cisco公司IOS操作系统和CiscoWorks网管软件统一应用，以统一软件平台把各种不同硬件连接起来，构成有效、无缝信息系统，更有助于新应用布置，同步提高了网络整体性能。依照端口划分本网络系统运用互换机端口来划分VLAN成员，通过虚拟网管理应用程序，中心互换机端口被定义为虚拟网A、B、C三，分派到一种VLAN各个LAN网段上所有站点都在同一种广播域中,它们互相可以直接通信，并容许共享型网络升级。

通过互换机端口来划分网络成员，其配备过程简朴明了，采用这种办法还便于直接监控,可以对端口进行安全控制。与之相比，基于物理地址划分方案管理起来不以便，网络管理员经常要进行大量改动；而基于合同划分方案又没有什么必要，由于网络自身基于TCP/IP合同。因而，迄今为止端口划分是最惯用一种方式。

系统特点高性能核心互换机具备先进高速第三层互换功能,所有端口均可进行线速路由、依照各部门节点数和对带宽需求，主干连接分别采用100Mb/s、100Mb/sTrunk和千兆以太网，使网络性能价格比达到最佳点。先进子网划分方案VLAN是一种互换网络，它可以按功能、部门或是应用为基本来加以逻辑上划分，而不是以实体或物理位置为基本来划分。VLAN建立是为了提供更好分段服务，每一种VLAN就是一种广播域，也就等于Win95网络中一种子网。这样可以更有效控制广播，对于访问控制以及寻常网络管理也可以做到较好控制。充分运用CISCO产品技术优势综上所述，本网络系统先进性、安全性等特性是显而易见，但更重要是它网络整体性能好，符合顾客需要。

4.1.2网络服务网络操作系统WindowsAdvancedServer是为服务器开发多用途网络操作系统，它支持范畴广泛重要商业应用程序和一系列丰富开发工具，可为公司顾客提供文献打印、软件应用、Web功能和通信等各种服务，是一种性能好、工作稳定、容易管理平台。WindowsAdvancedServer采用模块化设计,能使既有系统和将来先进技术相结合,因而可以在保持既有投资基本上进一步采用新技术。WindowsAdvancedServer具备如下特点：平台无关性WindowsAdvancedServer是一种与硬件平台无关,可伸缩服务器操作系统。它可运营在Intelx86系统、精简指令集计算机(RISC)和DECAlpha解决机上,从而在选取计算机系统时有多自由。2）可扩展性它可以扩展到对称多解决器上,使得需要高性能解决器时还可以加上额外解决器，支持数达到8路。WindowsAdvancedServer在Alpha平台上支持最多32G物理内存，在Intel平台上支持最多8G内存。3）兼容性Windows支持Windows应用程序,以及NTFS、FAT和FAT32文献系统。

安全性Windows已将安全性内嵌入操作系统,有选取访问控制使你能对单个文献赋予权限。强有力集中式安全管理,即统一帐号、集中验证、安全备份管理。Windows支持安全模板由安全属性文献（.inf）构成，它将所有既有安全属性组织到一种位置以简化安全性管理，包括帐户方略、本地方略、时间日记、受限组、文献系统、注册表、系统服务七类安全性信息，也可以用作安全分析。Windows用Kerberos验证，提供更快、更安全验证和响应，容许顾客只登陆一次就可以访问网络资源。活动目录活动目录采用可扩展对象存储方式存储了网络上所有对象信息，并使得这些信息更容易被查找到。活动目录有灵活目录构造，容许委派对目录安全管理，提供更有效率权限管理。开放性支持各种传播合同,可在各种网络环境下工作可靠性支持各种容错方式，有较强容错和出错恢复功能，在各种普通错误发生后一分钟内自动重启应用软件集成Web服务MicrosoftWindows平台上提供Internet信息服务（IIS），该服务可提供在Intranet或Internet上共享文档和信息能力。运用IIS，可以布置灵活可靠、基于Web应用程序，并可将既有数据和应用程序转移到Web上。 可见Windows是十分抱负网络应用平台，可应用于拥有各种操作系统和提供Internet服务部门和应用程序服务器。咱们建议采用WindowsAdvanceServer作为网络服务器操作系统，用WindowsServer作为应用服务器操作系统。应用功能1）办公自动化和电子邮件服务MicrosoftExchangeServer是带有集成组件电子信息互换服务器，它使通讯交流更容易。它在单一平台上结合电子邮件、群组工作表、电子表格和组件应用程序，可以通过一种集中化管理程序进行管理。它提供了业界最强扩展性、可靠性和安全性和最高解决性能，而所有应用都可以从通过Internet浏览器来访问。与微软BackOffice产品相结合，使用通用、熟悉开发工具，ExchangeServer可以迅速提供和实行强大业务协作解决方案，满足顾客对Intranet协作多层次需求，提高公司竞争实力。本电子系统构建于MicrosoftExchangeServer电子互换服务器，安装Exchange服务器作为邮局，存储、互换、管理邮件系统中顾客和信件，以电子邮件为基本，解决公司所有邮件，构成信息传递基本，并在此基本上构建如下应用：个人级应用重要完毕公司内部工作人员寻常办公工作管理，构建电子办公室环境。完毕文书解决、电子表格、电子传真、电子邮件、个人日程安排等功能。构建MicrosoftWindows98和MicrosoftOffice97/套件基本上。部门级应用通过MicrosoftExchangeServerSchedule+和MicrosoftOffice97/Outlook来协调部门工作，解决会议祈求、资源分派和工作安排等。公司级应用构造公文自动解决系统和档案自动管理系统等办公自动化应用。通过电子公示板和WWW构建信息发布和查询应用，构建与InternetInformationServer和MicrosoftSQLServer基本上，形成内部Intranet。数据库应用当前应用比较广泛大型数据库系统重要有Informix、Oracle、Sybase、Microsoft-SQLServer依照当前业务系统特点，充分考虑此后系统开放性、高效性、联机事务解决规定，数据库系统应当采用SQLServer类型，综合当前SQLServer产品现状，咱们建议采用Microsoft-SQLServer，并使用独立数据库服务器以提高性能。其因素重要有如下几点：由于本系统体系构造采用客户/服务器模式，Microsoft-SQLServer拥有广泛客户基本，考虑到本模块重要与控制中心进行数据互换及解决，因而充分预计其他业务及有关系统规定，采用Microsoft-SQLServer便于进行与其他系统数据转换及解决。本系统面临一逐渐推广使用过程，因而规定在系统构造时充分考虑其扩展性。MICROSOFTSQLServer具备开放体系构造，由于其公开接口规格，使得当前多数4GL程序开发语言均支持对SQLServer联接，因而MICROSOFTSQLServer可以面向各种系统开发，便于解决与其他系统接口问题。可伸缩性：SQLServer所有表、SQL代码、存储过程、规则、触发器都可以在不同平台上运营。在单顾客开发环境下开发应用可以延伸到多顾客开发平台上运营，并且它便于向大型、具备并行解决能力开放系统硬件环境转移。互操作性：MICROSOFT客户/服务器系统可以透明地与其他厂商产品联结集成，如DB2、Oracle。分布式数据库支持：MICROSOFTSQLServer便于广域网络环境下管理数据复制和分布。较大机构建立应用时，可以把它们SQLServer网络当作一种单一集成资源来对待。MICROSOFTSQLServer与Windows连接紧密：当前SQLServer产品较多，但与Windows连接紧密且性能优越当数MICROSOFTSQLServer。MICROSOFTSQLServer有良好安全性，达到C2级安全规定。在SQLServe数据库基本上，可运用各种数据库开发工具开发数据库管理系统，也可使用当前流行基于Windows平台MIS管理系统。3）域名服务由于IP地址是使用一长串数字来标注主机鹤其她网络设备，非常难于记忆和不便于使用，因而当前在Internet上，采用一种具备直观含义名字来代替以数字方式表达IP地址，这种名字形式地址称为域名地址，整个分层域名地址体系即是域名解析（DNS）。对于公司来说，域名是公司在网上标志，也是公司推广自身形象网络门户。域名解析是当前网络中一种成熟技术，在本系统中将用WindowsDNS系统来做域名服务。Windows涉及DNS系统支持新DDNS原则，既支持动态更新，又可以兼容于NT4网络，支持手工刷新，结合了WINS动态能力和老式DNS稳定性和健壮性。在Windows中，活动目录与DNS紧密集成在一起，客户可以更容易更迅速地找到目录服务器，公司可以把活动目录直接连接到Internet以简化与客户和合伙伙伴进行通讯和提供电子商务，网络规划和管理变得更容易。4)远程访问服务RAS（远程访问服务）接入提供了合同封装和数据加密功能，容许移动顾客通过Internet或公共网络建立虚拟专用网络（VPN）模仿点对点专用连接，在计算机之间收发数据，其效果与在专用线路上进行数据传播同样安全、有效。在本系统中Cisco远程路由器配有三个Modem端口，外出工作人员可通过电话网拨号远程接入与公司进行安全信息互换。5）Web服务Windows服务器中内置了一种新Web服务器--InternetInformationServer(IIS)5.0。IIS以其强大服务能力和丰富开发手段，使其成为了电子商务重要服务器平台，5.0在原有基本上，又增长了许多新功能：IIS5.0将运营在它上面Web站点应用和IIS核心服务隔离开来，并且可以对每个站点应用配备独立CPU使用率，并可以独立停止和重起每个进程。这大大提高了Web服务器可靠性和稳定性，是您建立电子商务站点运营更加可靠。在安全性方面，IIS5.0可以使用WindowsActiveDirectory实现顾客身份验证，也可以使用证书和ActiveDirectory结合来验证顾客。这为电子商务系统提供了即灵活又可靠对顾客身份确认。IIS5.0上Web站点开发使用时ActiveServerPage(ASP)3.0。ASP提供了强大功能和与Windows紧密集成，同步ASP3.0又进一步提高了效率。ASP3.0提供了和XML集成，同步也可以用ADSI2.0对WindowsActiveDirectory进行操作。使用MicrosoftVisualInterDev6.0开发工具，您可以迅速建立您电子商务系统，也可以建立一种复杂但是功能强劲电子商务系统。因而在本系统中将配备一台Web服务器，使用IIS5.0进行Web开发，提供完善Web服务。6）多媒体信息传播依照客户需求，本系统采用MicrosoftNetMeeting构建多媒体会议系统。

4.1.3备份服务（建议采用）使用计算机系统解决寻常业务在提高效率同步，有一种问题越来越不容忽视，即数据失效问题。一旦发生数据失效，公司就会陷入困境：客户资料、技术文献、财务账目等数据也许被破坏得面目全非，如果系统无法顺利恢复，最后结局将不堪设想。因此公司信息化限度越高，备份和劫难恢复办法就越重要。依照系统自身特点和对备份功能规定，咱们建议在本系统中采用CA公司ARCserve备份系统。ARCserve是一个跨平台网络数据备份软件，在数据保护、劫难恢复、病毒防护方面均提供全面产品支持，当前已成为了业界事实原则。CA公司软件产品涵盖大型网络管理、数据库系统和工具软件等诸多方面。全球最大500家公司中有95%使用了CA公司产品。产品特性：全面保护Windows操作系统支持打开文献备份支持对各种数据库如Betrieve、Sybase、Oracle等备份支持从服务器到工作站全面网络备份可以实现无人值守自动备份备份前扫描病毒，可以实现无毒备份支持劫难恢复

4.1.4Cisco网络管理CiscoWorksWindows是一种适合中小公司网络全面网络管理解决方案。该经济有效而又易于学习产品为管理基于Cisco互换机、路由器、集线器和访问服务器网络提供一系列强大监控和配备工具。通过使用IpswitchWhatsUpGold，您还可以监控打印机、工作站、服务器和重要网络服务。CiscoWorksWindows5.0具有下列组件：CiscoView5.0版-提供Cisco设备图形后视图和前视图；动态色标图形显示简化了设备状态监控；特定设备组件诊断、设备配备和应用发布；Ipswitch公司WhatsUpGold4.05版-提供网络发现、映象、监控和报警跟踪；阈值管理器-增强了在CiscoRMON启动设备上设定阈值能力，减少了管理开销，改进了故障诊断功能；StackMaker-容许顾客将特定类型各种Cisco设备结合在单个堆叠中，并在单个窗口中可视地管理它们；显示命令-显示详细路由器系统和合同信息，而无需顾客记住复杂CiscoIOS命令行语言和语法。CiscoWorksWindows提供以下特性：对连网设备自动辨认程序可以用色彩鲜明分级网络视IPIPX网生成网络拓朴图；能为Cisco设备获取端口状态，带宽使用率，流量记录，合同信息及其他网络性能记录等扩展数据；绘图功能灵活，可迅速记录和分析也许输出到文献以备电子数据表或其他工具使用历史数据；管理信息率（MIB）编辑器和测览器可以管理第三方SNMP设备；可以定各种性能变量设立，以便产生报警或事件告知；事件筛选器可以筛选出有用信息以加速故障排除；设备配备特性用于在Cisco互换机内配备简朴虚拟LAN（VLAN）。

4.1.5局域网拓扑图

4.2局域网防火墙及防病毒解决方案4.2.1网络安全风险分析对于信息网所面临安全风险涉及网络环境多方面，涉及：自然灾害——水灾、火灾、地震等；电子化系统故障——系统硬件、电力系统故障等；人员无意识行为——编码缺陷、系统配备漏洞、误操作及无意泄漏等；人员蓄意行为——网络环境可用性破坏、恶意袭击等。其中，前三个方面风险可以通过增强对网络环境抗自然灾害能力、加强网络设备管理维护、系统操作管理等手段来加以完善，尽量将风险减少到可以被控制和管理限度。而对于第四方面安全风险，对整个信息网安全环境所构成危害最大，同步也是最难于管理与防范。且不但仅可以通过加强对网络环境及人员安全管理所可以实现，尽管安全管理非常重要。同步需要相应安全技术手段辅助完毕。这也是本安全方案所要详细阐述。对于在信息网环境中，采用何种安全技术手段且如何实现，就需要通过对前面提到第四方面安全风险分析基本上，针对信息网安全需求来拟定。 对于风险来说，它应涉及那些可以被管理但又不能被清除，以及那些可以中断网络工作流并对工作环境导致破坏性威胁。其中，重要涉及：对于网络应用服务非授权访问；信息交互保密性；网络病毒传播与渗入；网络黑客行为。 通过对以上重要网络威胁分析，使咱们可以精确把握信息网网络安全需求。4.2.2需求分析 网络安全需求是保护网络不受破坏，保证网络服务可用性。对于信息网络内部安全需求，涉及：可以满足信息网络内授权顾客对有关专用网络资源访问；可以对于非授权顾客访问进行有效控制和报警；可以坚决杜绝病毒和其她危险程序进入网络；可以对于远程访问顾客进行安全管理；加强对于整个信息网络资源和人员安全管理与培训。4.2.3安全管理需求分析如前所述，能否制定一种统一安全方略，在全网范畴内实现统一安全管理，对于信息网来说就至关重要了。安全管理重要涉及两个方面：内部安全管理重要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采用切实有效办法保证制度执行。内部安全管理重要采用行政手段和技术手段相结合办法。

网络安全管理在网络上设立防病毒安全检测系统后，必要保证防病毒系统设立对的，且其配备不容许被随便修改。采用顾客和口令认证机制加强对顾客管理，可以通过财务软件自身和某些网络层管理工具来实现。4.2.4安全方案依照对信息网现阶段安全需求分析，咱们在设计本安全方案时，将采用一切有力办法，来实现信息网现阶段安全目的，考虑到现阶段对网络病毒管理规定，本方案提出对网络病毒防范和管理控制建议，并提出了现阶段网络安全管理方案。4.2.5网络设备安全配备信息网中，整个网络安全一方面要保证网络设备安全，保证非授权顾客不能访问网络任意网络通讯设备（例如：路由器，集线器等）。对不同型号、厂家网络设备，要防范内容是同样，但详细配备办法须依照设备规定来实现。4.2.6对服务器访问控制对于服务器顾客可以设立不同顾客权限，如“非特权”和“特权”两种访问权限，非特权访问权限容许顾客在服务器上查询某些公众信息但无法对服务器进行配备；特权访问权限则容许顾客对服务器进行完全配备。

对服务器访问控制建议使用如下方式：控制台访问控制限制访问空闲时间口令保护多级管理员权限4.2.7CheckPointFireWall-14.0产品简介作为开放安全公司互联联盟(OPSEC)组织和倡导者之一，CheckPoint公司致力于公司级网络安全产品研发，据IDC近来记录，其FireWall-1防火墙在市场占有率上已超过44%，《财富》排名前100大公司里近80%选用了CheckPointFireWall-1防火墙。CheckPointFireWall-1产品涉及如下模块：1)基本模块：状态检测模块（InspectionModule）：提供访问控制、客户机认证、会话认证、地址翻译和审计功能；防火墙模块（FireWallModule）：包括一种状态检测模块，此外提供顾客认证、内容安全和多防火墙同步功能；管理模块（ManagementModule）：对一种或各种安全方略执行点（安装了FireWall-1某个模块，如状态检测模块、防火墙模块或路由器安全管理模块等系统）提供集中、图形化安全管理功能；

2)可选模块连接控制（ConnectControl）：为提供相似服务各种应用服务器提供负载平衡功能；路由器安全管理模块（RouterSecurityManagement）：提供通过防火墙管理工作站配备、维护3Com，Cisco，Bay等路由器安全规则；其他模块，如加密模块等。图形顾客界面（GUI）：是管理模块功能体现，涉及方略编辑器：维护管理对象、建立安全规则、把安全规则施加到安全方略执行点上去；日记查看器：查看通过防火墙连接，辨认并阻断袭击；系统状态查看器：查看所有被保护对象状态。FireWall-1提供单网关和公司级两种产品组合：单网关产品：只有防火墙模块（包括状态检测模块）、管理模块和图形顾客界面各一种，且防火墙模块和管理模块必要安装在同一台机器上。公司级产品：可以有若干基本模块和可选模块以及图形顾客界面构成，特别是也许配备较多防火墙模块和独立状态检测模块。公司级产品不同模块可以安装在不同机器上。

状态检测机制FireWall-1采用CheckPoint公司状态检测（StatefulInspection）专利技术，以不同服务区别应用类型，为网络提供高安全、高性能和高扩展性保证。FireWall-1状态检测模块分析所有包通讯层，汲取有关通信和应用程序状态信息。状态检测模块可以理解并学习各种合同和应用，以支持各种最新应用。状态检测模块截获、分析并解决所有试图通过防火墙数据包，保证网络高度安全和数据完整。网络和各种应用通信状态动态存储、更新到动态状态表中，结合预定义好规则，实现安全方略。状态检测模块可以辨认不同应用服务类型，还可以通过此前通信及其他应用程序分析出状态信息。状态检测模块检查IP地址、端口以及其他需要信息以决定通信包与否满足安全方略。状态检测模块把有关状态和状态之间关联信息存储到动态连接表中并随时更新，通过这些数据，FireWall-1可以检测到后继通信。状态检测技术相应用程序透明，不需要针对每个服务设立单独代理，使其具备更高安全性、高性能、更好伸缩性和扩展性，可以很容易把顾客新应用添加到保护服务中去。FireWall-1提供INSPECT语言，结合FireWall-1安全规则、应用辨认知识、状态关联信息以及通信数据构成了一种强大安全系统。INSPECT是一种面向对象脚本语言，为状态检测模块提供安全规则。通过方略编辑器制定规则存为一种用INSPECT写成脚本文献，通过编译生成代码并被加载到安装有状态检测模块系统上。脚本文献是ASCII文献，可以编辑，以满足顾客特定安全规定。OPSECCheckPoint是开放安全公司互联联盟(OPSEC)组织和倡导者之一。OPSEC容许顾客通过一种开放、可扩展框架集成、管理所有网络安全产品。OPSEC通过把FireWall-1嵌入到已有网络平台（如Unix、NT服务器、路由器、互换机以及防火墙产品），或把其他安全产品无缝集成到FireWall-1中，为顾客提供一种开放、可扩展安全框架。当前已有涉及IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC联盟。公司级防火墙安全管理FireWall-1容许公司定义并执行统一防火墙中央管理安全方略。公司防火墙安全方略都存储在防火墙管理模块一种规则库里。规则库里存储是某些有序规则，每条规则分别指定了源地址、目地址、服务类型（HTTP、FTP、TELNET等）、针对该连接安全办法（放行、回绝、丢弃或者是需要通过认证等）、需要采用行动（日记记录、报警等）、以及安全方略执行点（是在防火墙网关还是在路由器或者其他保护对象上上实行该规则）。FireWall-1管理员通过一种防火墙管理工作站管理该规则库，建立、维护安全方略，加载安全规则到装载了防火墙或状态检测模块系统上。这些系统和管理工作站之间通信必要先通过认证，然后通过加密信道传播。FireWall-1直观图形顾客界面为集中管理、执行公司安全方略提供了强有力工具:安全方略编辑器：维护被保护对象，维护规则库，添加、编辑、删除规则，加载规则到安装了状态检测模块系统上。日记管理器：提供可视化对所有通过防火墙网关连接跟踪、监视和记录信息，提供实时报警和入侵检测及阻断功能。系统状态查看器：提供实时系统状态、审计和报警功能。分布客户机/服务器构造FireWall-1通过度布式客户机/服务器构造管理安全方略，保证高性能、高伸缩性和集中控制。FireWall-1由基本模块（防火墙模块、状态检测模块和管理模块）和某些可选模块构成。这些模块可以通过不同数量、平台组合配备成灵活客户机/服务器构造。管理模块涉及了图形顾客界面和管理员定义有关管理对象—规则库，网络对象，服务、顾客等。防火墙模块、状态检测模块以及其他可选模块用来执行安全方略，安装了这些模块系统称为受保护对象（FirewalledSystem），又称为安全方略执行点（SecurityEnforcementPoint）。FireWall-1客户机/服务器构造是完全集成，只有一种统一安全方略和一种规则库，通过一种单一防火墙管理工作站，管理各种装载了防火墙模块、状态检测模块或可选模块系统。认证（Authentication）远程顾客和拨号顾客可以通过FireWall-1认证后，访问内部资源。FireWall-1可以在不修改本地服务器或客户应用程序状况下，对试图访问内部服务器顾客进行身份认证。FireWall-1认证服务集成在其安全方略中，通过图形顾客界面集中管理，通过日记管理器监视、跟踪认证会话。FireWall-1提供三种认证办法：顾客认证（UserAuthentication）：针对特定服务提供基于顾客透明身份认证，服务限于FTP、TELNET、HTTP、HTTPS、RLOGIN。客户机认证（ClientAuthentication）：基于客户机IP认证，对访问合同不做直接限制。客户机认证不是透明，需要顾客先登录到防火墙认证IP和顾客身份之后，才容许访问应用服务器。客户机不需要添加任何附加软件或做修改。当顾客通过顾客认证或会话认证后，同步也就已经通过客户机认证。会话认证（SessionAuthentication）：提供基于服务会话透明认证，与IP无关。采用会话认证客户机必要安装一种会话认证代理，访问不同服务时必要单独认证。FireWall-1提供各种认证机制供顾客选取：S/Key，FireWall-1Password，OSPassword，LDAP，SecureID，RADIUS，TACACS等。地址翻译（NAT）FireWall-1支持三种不同地址翻译模式：静态源地址翻译：当内部一种数据包通过防火墙出去时，把其源地址（普通是一种内部保存地址）转换成一种合法地址。静态源地址翻译与静态目地址翻译普通是配合使用。静态目地址翻译：当外部一种数据包通过防火墙进入内部网时，把其目地址（合法地址）转换成一种内部使用地址（普通是内部保存地址）。动态地址翻译（也称为隐藏模式）：把一种内部网地址段转换成一种合法地址，以解决公司合法IP地址太少问题，同步隐藏内部网络构造，提高网络安全性能。内容安全FireWall-1内容安全服务保护网络免遭各种威胁，涉及病毒、Jave和ActiveX代码袭击等。内容安全服务可以通过定义特定资源对象，制定与其他安全方略类似规则来完毕。内容安全与FireWall-1其他安全特性集成在一起，通过图形顾客界面集中管理。OPSEC提供应用开发接口（API）以集成第三方内容过滤系统。FireWall-1内容安全服务涉及：运用第三方防病毒服务器，通过防火墙规则配备，扫描通过防火墙文献，清除计算机病毒；依照安全方略，在访问WEB资源时，从HTTP页面剥离JavaApplet，ActiveX等小程序及Java，Script等代码；顾客定义过滤条件，过滤URL；控制FTP操作，过滤FTP传播文献内容；SMTP内容安全（隐藏内部地址、剥离特定类型附件等）；可以设立在发现异常时进行记录或报警；通过控制台集中管理、配备、维护。连接控制FireWall-1连接控制模块提供了负载平衡功能，在提供相似服务各种应用服务器之间实现负载分担，应用服务器不规定都放在防火墙背面。顾客可选用不同负载均衡算法：ServerLoad—该办法由服务器提供负载均衡算法，需要在应用服务器端安装负载测量引擎；RoundTrip—FireWall-1运用ping命令测定防火墙到各个应用服务器之间循回时间，选用循回时间最小者响应顾客祈求；RoundRobin—FireWall-1依照其登记表中状况，简朴地指定下一种应用服务器响应；Random—FireWall-1随机选用应用服务器响应；Domain—FireWall-1按照域名近来原则，指定近来应用服务器响应。路由器安全管理可以通过FireWall-1管理工作站对公司范畴内路由器提供集中安全管理：通过图形顾客界面生成路由器过滤和配备；引入、维护路由器访问控制列表；记录路由器事件（需要路由器支持日记功能）；在路由器上执行通过图形顾客界面制定安全方略。

FireWall-1可以集中管理如下路由器：BayNetworksrouters，version7.x-12.xCiscorouters，IOSversion9-11CiscoPIXFirewall，version3.0，4.03ComNetBuilder，version9.xMicrosoftRAS(Steelhead)RoutersforWindowsNTserver4.x

4.2.8防火墙及防病毒解决方案软件规定CheckpointFireWall-14.1(50顾客)forWindowsNortonAntivirus6.0forWindows网络管理软件硬件规定Cisco2610模块式路由器服务器（双网卡，一块为内部网用一块为外部网使用）防火墙网络图

4.3城域网建设4.3.1基本概述地铁设计院城域网建设范畴由中旅商业城十六层广州地铁总公司（地铁中心机房）、芳村坑口运营事业总部、广百商业大厦二十九层资源开发总部、公园前控制中心建设事业总部、环市西路204号地铁设计院5个部构成。租用电信线路，采用帧中继技术组建广州地铁城域网，同步支持电话拨号访问（租用一条256K帧中继线和3条电话线供拨号访问）。城域网建设涉及如下几方面内容：路由器安装、配备和调试；通讯服务器安装、调试；Web服务器安装、调试；Mail服务器安装、调试；防火墙安装、设立；城域网网管系统安装、调试；城域网网络测试；在城域网建设中核心要素有：路由器选型、路由器与通讯服务器安装、配备和调试以及“防火墙“组建和网管系统安装、调试。4.3.2通讯线路和拨号访问服务广州地铁设计院网络建设中城域网所用通讯线路或传播技术重要有两种：一为FR、二为PSTN，采用租用256K帧中继线和3条电话线供拨号访问

4.3.3虚拟专用网VPN技术VPN是一种虚拟网，其重要意义在于"虚拟"和"专用"。为了实当前公网之上传播私有数据，必要满足其安全性。VPN技术重要体当前两个技术要点上：Tunnel、有关隧道合同（涉及PPTP，L2F，L2TP），数据安全合同（IPSEC）。下面针对这几项技术做一简介。加密和顾客授权为在公司网上进行个人通信提供了安全保证。隧道（Tunneling）技术简介VPN在表面上是一种联网方式，比起专线网络来，它具备许多长处。在VPN中，通过采用一种所谓"隧道"技术，可以通过公共路由网络传送数据分组，例如Internet网或其她商业性网络。这里，专有"隧道"类似于点到点连接。这种方式可以使得来自许多源网络流量从同一种基本设施中通过度开隧道。这种隧道技术使用点对点通信合同代替了互换连接，通过路由网络来连接数据地址。隧道技术容许授权移动顾客或已授权顾客在任何时间任何地点访问公司网络。通过TUNNEL建立，可实现如下功能：将数据流量强制到特定目地隐藏私有网络地址在IP网上传播非IP合同数据包提供数据安全支持协助完毕顾客基于AAA管理。在安全面可提供数据包认证、数据加密以及密钥管理等手段。拨号VPNs使用隧道技术远程访问服务器把顾客数据打包进IP信息包中，这些信息包通过电信服务提供商网络传递，在Internet里，则需要穿过不同网络，最后到达隧道终点，然后数据拆包，转发成最初形式。VPN容许网络合同转换，还容许对来自许多源流量进行区别，这样可以指定特定目地，接受指定级别服务。公司网进行远程访问通信，从电路互换，长距离本地电信服务提供商到ISPs和Internet需要采用隧道技术。隧道技术使用点对点通信合同，代替了互换连接，通过路由网络来连接数据地址。这代替了电话互换网络使用电话号码连接。隧道技术容许授权移动顾客或已授权顾客再任何时间任何地点访问公司网络。应用授权技术，隧道技术也禁止未授权访问。4.3.4网管软件平台和网管软件网管软件平台是一种综合网络管理软件，她不但具备网络管理基本功能，并且顾客可以运用她开发新网络管理应用软件。当前公认三大网管软件平台：IBMNetView、HPOpenView和SUNNetManger，此外尚有CA网管软件平台。广州地铁设计院城域网网管，它管理中旅商业城十六层广州地铁总公司（地铁中心机房）、芳村坑口运营事业总部、广百商业大厦二十九层资源开发总部、公园前控制中心建设事业总部、环市西路204号地铁设计院5节点。其建设要考虑网络硬件平台、操作系统平台、合同平台、网管平台、网管应用等各个方面，建议铁设计院采用ICiscoWorks网管软件网络管理系统。

4.3.5城域网网络架构图

4.4Internet接入方案4.4.1ADSL简介随着Internet爆炸式发展，在Internet上商业应用和多媒体等服务也得以迅猛推广。为了实现顾客接入网数字化、宽带化，提高顾客上网速度，人们提出了多项宽带接入网技术，涉及N-ISDN、CableModem、ADSL等等，其中ADSL（非对称数字顾客环路）是最具前景及竞争力一种,将在将来十几年甚至几十年内占主导地位。

ADSL是一种通过既有普通电话线为家庭、办公室提供宽带数据传播服务技术。ADSL即非对称数字信号传送，它可以在既有铜双绞线，即普通电话线上提供高达10Mbit/s高速下行速率，远高于ISDN速率；而上行速率有1Mbit/s，传播距离达3km5km。ADSL技术重要特点是可以充分运用既有铜缆网络（电话线网络），在线路两端加装ADSL设备即可为顾客提供高宽带服务。ADSL此外一种长处在于它可以与普通电话共存于一条电话线上，在一条普通电话线上接听、拨打电话同步进行ADSL传播而又互不影响。安装ADSL也极其以便快捷，在既有电话线上安装ADSL，除了在顾客端安装ADSL通讯终端外，不用对既有线路作任何改动。局域网顾客具备4个静态IP地址，可以在中华人民共和国公众多媒体网上架设公司网站，提供WWW、FTP、E－mail等服务。随着ADSL技术进一步推广应用，ADSL接入还可以提供点对点远程医疗，远程教学，远程可视会议等服务。

4.4.2ADSL与其他接入服务比较ADSL与CableModem比较与CableMode相比，ADSL技术具备着相称大优势。CableModemHFC接入方案采用分层树型构造，其优势是带宽比较高（10M），但这种技术自身是一种较粗糙总线型网络，这就意味者顾客要和邻近顾客分享有限带宽，当一条线路上顾客激增时，其速度将会减慢。再者，关于资料表白，大某些状况下，HFC方案必须兼顾既有有线电视节目，而占用了某些带宽，只剩余了一某些可供传送其他数据信号，因此CableModem理论传播速率只能达到一小半。国外公司实验表白，其速率减为1M-2Mbps，更常用是400K-500Kbps。综合来看，虽然在抱负状态下，HFC只相称于一种10Mbps共享式总线型以太网，而ADSL接入方案在网络拓扑构造上较为先进，由于每个顾客均有单独一条线路与ADSL局端相连，它构造可以看作是星型构造，它数据传播带宽是由每一顾客独享。ADSL与普通拨号Modem及N-ISDN比较比起普通拨号Modem最高56K速率，以及N-ISDN128K速率，ADSL速率优势是不言而喻。与普通拨号Modem或ISDN相比，ADSL更为吸引人地方是：它在同一铜线上分别传送数据和语音信号，数据信号并不通过电话互换机设备，减轻了电话互换机负载，并且不需要拨号，始终在线，属于专线上网方式。这意味着使用ADSL上网并不需要缴付此外电话费。综合以上所述，可以看到ADSL作为一种高速接入Internet技术更具备生命力，是公司接入Internet、开展网上电子商务最佳选取。同步公司Intranet网与Internet之间设有CheckPointFireWall-1防火墙，实现了公司内部网对外信息交流控制和管理，并防止外部非法顾客进入公司Intranet网。Cisco2610路由器通过ADSLModem接入Internet，提供Internet代理服务，为公司Intranet网络授权顾客提供通过防火墙测览Internet服务，同步制止非授权顾客访问Internet。

五、设备报价表5.1 产品报价表品牌规格单价数量正式投标价金额中心网络设备Catalyst2948G-L374,250.00174,250.00互换机Catalyst3548XLEnterpriseEdition（带千兆堆叠模块）37,125.007259,875.00远程访问路由器Cisco261014,000.00570,000.00外置MODEM模块卡、NM-4AS9,675.0019,675.00帧中继广域网模块卡3,050.0013,050.00调制调解器GVC超级魔电400515.0031,545.00网络安全软件CheckPointFirewall-1（端口数50）32,485.00132,485.00防病毒软件NortonAntivirus（用于6台服务器，100台工作站）40,300.00140,300.00网络管理软件CiscoWorks14,850.00114,850.00网络设计、调试费16,000.00总计522,030.00

5.2维修报价表备件规格型号价格（元）维修费电源原厂原则配件待定500.00接口坏原厂原则配件待定1200.00模块坏原厂原则配件待定1000.00闪存原厂原则配件待定500.00ROM原厂原则配件待定500.00

六、项目实行筹划6.1网络设备及系统软件验收内容涉及：网络设备与否与装箱单相符；保修单等证明文献与否齐全；各设备硬件配备状况；网络设备加电试机；系统软件合法性等。6.2项目筹划实行按照项目筹划进行网络建设，涉及网络设备和软件安装、调试。6.3审核施工进度依照实际施工状况，解决也许浮现问题，保证工程如期进行。6.4网络系统集成性能测试涉及：丢包率、错包率、网络线速、记录碰撞、帧故障、网络应用软件配备与否合理、各种网络服务与否实现、网络安全性及可靠性与否符合合同规定等等。6.5完善在测试过程中也许浮现各种问题纠正在性能测试中浮现问题，保证网络性能达到设计原则和规定，并详细记录问题因素和解决办法，作为日后系统维护参照。6.6提交网络性能测试报告6.7网络系统集成验收协助顾客组织验收工作，涉及验收委员会成立、各验收参数拟定等；验收重要涉及：合同履行状况、网络系统与否达到预期效果、各种技术文档等。

七、系统验收原则7.1系统验收原则以技术和设备客观为基本；以系统和实行完善为根据；以顾客和工程师评述为借鉴；以意见和建议中肯为原则。7.2系统验收组织整个网络系统建设完毕后由广州地铁总公司组织系统集成商进行项目验收；验收工作由广州地铁总公司主持；广州xx有限公司做技术和项目管理方面报告；广州地铁总公司从顾客角度评介整个网络系统；关于专家（测试小组）宣布测试成果；验收组作出系统建设成败优劣验收意见，形成书面验收意见书。7.3系统验收根据系统文档需求材料、设计方案、实行方案、设备性能参数、网络系统技术参数测试记录、试运营期维护记录。

顾客文档培训记录、故障记录、顾客意见书。现场资料现场观看、现场操作演示、现场测试、维护人员与管理人员评价。7.4系统验收内容系统性能；网络管理；工程质量；系统文档；7.4.1系统性能验收设备性能：主流厂商、主流产品、主流技术服务器Intel芯片，550MHz以上主频，内存、外存够用并有50%左右冗余考虑，高速I/O。局域网设备网卡、互换机100M，主干100M可互换并可堆叠，端口数够用并有20%左右冗余，支持双绞线连接，并预留千兆光纤主干接口。广域网设备具备路由和转发功能，内存、缓存够用并有30%左右冗余，可支持PPP和LL连接，支持IP合同，端口数可满足主备用。网络性能：实用技术、成熟原则、安全管理技术迅速、高速以太网、（主体）星型构造、智能化可管理。原则IEEE802.3等原则，TCP/IP等事实原则，OSI/ISO等理论原则。安全访问控制、传播保护、病毒防治、网络分段。管理界面和谐、操作以便，可做到构造辨认、状态监测、流量记录、设备配备、资源分析、故障诊断与排除。

7.4.2网管系统规定网络监控功能规定 网管系统应能通过图形方式显示网络拓扑构造、所有网络节点工作状态、网络节点工作性能，可以对网络上数据量进行记录和显示。1）故障报警和排除网络管理系统在监控网络设备、主机同步，应设立相应参数阀值。2）设备配备设定网络管理系统应能通过局域网及广域网对网络上设备进行在线修改配备，实现网络资源动态分派。3）网络资料记录分析网管系统将网络设备运营状况、网络故障等各种信息存储在文献或数据库中，供网络管理员直接存取。网络管理软件平台功能规定网络管理软件平台通过SNMP合同管理全网上TCP/IP资源；网络管理软件平台应支持原则MIB-II管理信息及某些重要厂家MIB管理信息；应能管理各种智能型、支持SNMP合同并采用MIB-II管理信息集网络设备。对网络设备管理网络设备管理由专门系统管理软件完毕，其功能应涉及：自动发现网络上路由器，以不同图标区别不同种类路由器；在一种路由器拓扑图上显示所有本地和远程路由器；以便设立其她类型路由器；监控路由器上数据传送量及错误数据包，当路由器发生故障或某个参数超过阀值时，能自动报警；当关于路由器某一事件发生时，在网管机中预先定义操作会自动执行以排除网络故障或响应网络设立变化；所有路由器信息可以长期保存在网络管理机数据库中；对网络设备进行详细配备。各种操作系统及网络合同管理网络配备管理功能规定自动发现网上资源，并自动以不同图标表达；只需简洁鼠标操作“point-and-click”，即可在图形顾客界面上再现直观网络拓扑构造图；可通过系统预定义及系统管理员定义应用查询网上配备信息，以直观工具代替复杂查询指令。2)网络问题管理功能规定网管中心可以不间断地对网上IP资源状态、配备和事件进行监控；系统管理员可通过设立信息过滤器来选取哪些网上信息被送至网管中心；通过事件自动响应系统可使管理员从手动操作中解放出来；有关事件变化及执行操作将作为事件历史信息送到网管中心做记录。3)网络性能管理功能规定通过SNMPAgent，网络管理软件平台可以监控到许多系统性能参数；网络管理软件平台可以监视和报告主机CPU和磁盘运用率；运用公示栏程序“Spread-sheetprogram”，这些网络性能信息可以以图形或数字形式呈现，或以ASCII格式输出；对所有功能均有顾客协助，并提供可选在线资料。基于GUI图形界面网络管理软件平台应能为网络管理员提供图形化网络IP拓扑构造，使网络管理员可以迅速以便地发现局域网上浮现IP资源并协助管理员发现故障因素，协助管理员精确测定网络上数据传播高峰及文献服务器磁盘运用率。关系型数据库支持网络管理软件应能支持关系型数据库，网络和系统信息可以存储在这些关系型数据库中并通过SQLAPI’s进行查询。报告工具“ReportTools”和数据库管理工具“DatabaseAdministrationTools”可以直接读取这些原始数据，虽然SNMPAGENT不再存在依然可以找到这些信息。7.4.3工程质量验收1）设备按照设计规定配备、调试，保证彼此之间互通，广域设备地址统一、合同一致、子网清晰，局域网设备构造清晰、层次分明。2）线路按照设计规定搭配、连接，保证顾客端设备、网络(通道)设备、通讯终端设备之间互通，广域主备线路统一申请、统一合同，局域线路统一接口、统一线类。3）环境机房、配线间、配线设备整洁、布局合理，线路连接清晰，走线统一，整个环境干净，温度、湿度适当，通风良好，既客观又美观。7.4.4系统文档验收完善性含系统设计文档--总体方案、详细设计，系统实行文档--工程记录、系统配备，系统维护文档--操作阐明、维护手册，尚有各种设备技术文档，规定设计、实行、维护和技术文档齐全。

易读性规定设计文档、实行文档、维护文档进一步浅出，既详致又精练，按类装订成册，及时移送，统一归档，同步规定有完整备份。客观性规定文档客观地反映系统及系统建设状况，有变动及时修改，不同版本有相应阐明，同步有版本及修改、更新时间记录。7.5系统测试、网络管理与网络安全原则7.5.1广域网测试原则通断测试测试广域网逻辑连通性能，规定可远程登录或逻辑上可Ping。速率测试测试广域网实际数据传播能力，基本规定2NK端口实际可达NK。疏忙测试测试广域网在繁忙事务祈求下响应能力，PSTN、ISDN等拨号线路规定接通率在50%左右。

整体测试测试广域网络整体性能，规定整体连通并且各终端顾客没有明显延迟感。7.5.2局域网测试原则速率测试 测试网络在正常状态下传播速率，基本要为10/100Base-T。稳定性测试测试网络稳定性、健壮性，基本规定是S-Ping/Ping为50%。安全性测试测试系统对非法侵入及非法顾客抵制能力是重要内容，基本原则为不容许非法登录。通断性测试测试网络和线路与否畅通，基于封装合同数据传播与否正常，基本原则为所有线路物理上可Connect、逻辑上可Ping。破坏性测试测试网络中某某些浮现意外中断时与否可以及时启用备用设备保证网络畅通，基本规定为1小时内可切换、1天内可恢复。集成性测试测试网络在不同厂家网络产品配备组合之后网络性能，基本规定为可集成不同主流厂商同档产品。拓展性测试网络拓展性能如何直接影响顾客资金运用率，基本规定为可扩充、冗余端口约10%。整体性测试测试网络连通后整体性能，规定为可整体连通并无明显延迟。7.5.3网管系统原则故障管理故障检测、故障诊断以及故障恢复或排除，保证网络可以持续可靠地运营。配备管理网络拓扑构造自动辨认、显示和管理，网络设备配备和管理，软件系统发行和维护。性能管理网络流量与状态监测、记录与分析，性能调试，负载均衡。安全管理网络非法顾客回绝，网络日记管理，网络顾客权限管理。网管系统测试可以和广域网测试一道进行，网管系统可以作为广域网关于测试工具和根据。7.5.4网络安全原则网络安全重要体当前如下三方面：访问安全：未经授权，任何系统、任何个人都不可以进入系统有关某些；传播安全：防止数据在网络上进行传播时信息泄露以及网络逻辑损伤；病毒防治：对网络病毒防御和清除。网络安全办法如下：主服务器业务数据安全备份；网络设备与通讯线路安全备份；网络数据传播中数据安全控制，如加密和解密；应用系统中安全控制：操作系统和数据库系统两级帐户、两级口令等；网络病毒疫苗（防病毒软件）；“防火墙”、病毒“防火墙”；规范系统运营管理和系统安全管理。

八、售后服务8.1试运营期支持在系统试运营期间，广州市xx有限公司将派出专门人员在现场指引使用人员操作；现场排除系统试运营过程中浮现硬件故障及软件故障；提供免费热线电话，接受顾客随时征询；应顾客规定，组织集中式系统课室培训；应技术人员规定，随时解说系统构造及设计，涉及硬件性能、系统软件特点。8.2保修期服务在系统验收通过后，提供对系统一年保修期；对于Cisco网络产品提供一年免费保修服务；在一年内由广州市xx有限公司技术人员上门解决顾客软硬件故障；软件系统提供一年免费升级维护期；在接到顾客维修维护祈求后2小时内给出实质性答复，需要到现场时，在4小时内到现场；设立维护热线，为顾客提供技术征询服务；为顾客培训至少2名网络系统管理人员；对核心设备提供备用件；保修期内因顾客人为因素引起系统故障，广州市xx有限公司提供仅收取备件、备用系统费用维护服务。8.3保修期外服务五年内每年两次上门为系统做免费检查与故障诊断，并将检查成果记录存档；对保修期外系统维护祈求，广州市xx有限公司将积极响应，决不推委，这样服务广州市xx有限公司仅收取备件费和维护费；广州市xx有限应顾客规定与顾客签定系统维护一揽子承包合同，按合同执行系统维护将给以费用上折扣优惠；合同维护状况下，广州市xx有限公司承诺8小时内实质响应，合同规定期间内到现场解决问题；应顾客规定，广州市xx有限公司为顾客提供系统故障记录分析报告，供顾客参照；对于顾客系统升级与优化规定或者顾客构建新系统时，广州市xx有限公司将优先响应，积极为顾客系统建设提供建议和工程实行方面服务。8.4文档体系在广州地铁总公司网络项目中，广州市xx有限公司将为顾客提供完善、规范文档服务，有下面几点将予以保证：各类文档有统一格式；各个文档有完整统一编号，存档备查；提供纸质、磁介质两种格式文档；提交文档及时，在各个系统完毕后一种月内分别有相应文档移送顾客；文档将作为系统验收必须材料。

整个文档体系如下构成：系统设计文档系统设计方案、构造图、设备配备表等；此外还涉及到费用预算表、筹划时间安排等内容。系统实行文档设备资料、系统配备、设备连接等；此外尚有工程日记、工程值班日记、系统返工记录等。系统维护文档操作阐明、维护事项；另有系统测试报告、系统维修记录、系统例行检查记录、系统故障记录分析等。广州市xx有限公司设文档管理小组负责文档归总整顿和管理工作。8.5培训筹划8.5.1培训目掌握Cisco路由器和互换机安装、测试及维护办法，以及Ios惯用命令命令用法；掌握各