地鐵局域網(wǎng)和城域網(wǎng)解決方案t

1、廣州市xx計算機有限公司第 PAGE 55 頁 共 NUMPAGES 55 頁 廣州市地鐵總公司局域網(wǎng)和城域網(wǎng)網(wǎng)絡解決方案項目概述 廣州地鐵總公司的新辦公場所位于廣州市中山五路與解放路交界處的中旅商業(yè)城第十六層，面積約為三千七百平方米，集中了地鐵總公司的財務部、企業(yè)管理總部、人力資源總部等行政管理部門，大約將有二百三十多名工作人員在此辦公。 廣州地鐵總公司將在中旅商業(yè)城十六層建立計算機網(wǎng)絡，該網(wǎng)絡是廣州地鐵總公司企業(yè)管理信息系統(tǒng)的平臺，他將提供以下的服務：各種數(shù)據(jù)庫管理系統(tǒng)，如財務管理系統(tǒng)、合同管理系統(tǒng)等； 辦公自動化信息管理，如公文流轉、電子郵件系統(tǒng)等；國際互聯(lián)網(wǎng)Iternet接入；六間會議

2、室有少量的多媒體信息傳輸；要求實現(xiàn)與公司其他總部位于芳村西朗的運營事業(yè)總部、位于北京路廣百大廈29層的資源開發(fā)總部、位于公園前地鐵控制中心的建設事業(yè)總部、位于環(huán)市西路204號的地鐵設計院網(wǎng)絡互聯(lián)，構筑廣州地鐵總公司城域網(wǎng)，實現(xiàn)全公司信息的共享；允許外出的工作人員通過撥號訪問地鐵總公司網(wǎng)絡、互換信息。需求分析網(wǎng)絡現(xiàn)狀分析布線工程已由廣州地鐵總公司委托其他公司完成。該布線工程全部采用Lucent公司的超五類設備進行施工，將達到Lucent公司十五年保用標準。共有三個設備間，其中一個與計算機房合在一起。三個設備間之間都有電纜直接連接，可形成環(huán)路。網(wǎng)絡布線端口數(shù)達到320個，每個設備間所聯(lián)信息點基本一

3、樣，大約為110個。網(wǎng)絡操作系統(tǒng)將采用MS Windows 2000 Server。網(wǎng)絡需求分析根據(jù)地鐵總公司的要求，這次網(wǎng)絡工程的主要內容包括四部分：中旅商業(yè)城十六層廣州地鐵總公司計算機局域網(wǎng)；中旅商業(yè)城十六層廣州地鐵總公司計算機局域網(wǎng)防火墻及防病毒解決方案；廣州地鐵總公司城域網(wǎng)；中旅商業(yè)城十六層廣州地鐵總公司計算機局域網(wǎng)國際互聯(lián)網(wǎng)接入。總體設計方案系統(tǒng)設計原則高可靠性 計算機網(wǎng)絡系統(tǒng)應采用可靠性較高的產(chǎn)品和容錯較強的網(wǎng)絡結構，以使網(wǎng)絡具有高度的可靠性。應采取多層次的冗余備份手段和技術，保證設備在發(fā)生故障時能在最短時間內恢復，以最大程度地保證網(wǎng)絡的正常運轉。高安全性 根據(jù)建行的管理制度和網(wǎng)絡

4、策略制定一套完善的安全政策，采用合適的技術手段，充分保證網(wǎng)絡安全性。先進性 在技術上要到達當前的國際先進水平。要采用最大先進網(wǎng)絡技術，以適應大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務需求，又要充分考慮未來的發(fā)展，保證網(wǎng)絡建成后3-5年不落后，選用符合國際標準的系統(tǒng)和產(chǎn)品，以保證系統(tǒng)具有較長的生命力和擴展能力，滿足將來系統(tǒng)升級的要求。易管理、易維護 由于計算機網(wǎng)絡系統(tǒng)規(guī)模龐大，需要網(wǎng)絡系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)應具有監(jiān)測、故障診斷、故障隔離、過濾設置等功能，以便于系統(tǒng)的管理和維護。同時應盡可能選取集成度高、模塊化、可通用的產(chǎn)品，以便于管理和維護?？蓴U展性 網(wǎng)絡系統(tǒng)應具有良好可擴展性，隨

5、著業(yè)務的增長和應用水平的提高，網(wǎng)絡應可平滑地擴展的升級，而不需要對網(wǎng)絡結構設備進行大的改動。系統(tǒng)設計概述網(wǎng)絡體系結構和邏輯結構設計確定網(wǎng)絡體系結構及相應的通信協(xié)議，對于系統(tǒng)的改造是一個十分很重要的問題。由于網(wǎng)絡系統(tǒng)的改造涉及到許多部門，而這些部門有的在使用一些專用的系統(tǒng)，有的需要與其它專用系統(tǒng)相連。因此，要共享網(wǎng)絡的資源及在網(wǎng)絡中交換信息，就必須實現(xiàn)不同系統(tǒng)間的實體通信，這需要不同系統(tǒng)采用同一協(xié)議.。網(wǎng)絡體系結構的確定：骨干網(wǎng)絡使用交換式快速以太網(wǎng)。本網(wǎng)絡大量采用以太網(wǎng)產(chǎn)品，因為以太網(wǎng)發(fā)展最為迅速，目前擁有廣泛用戶和眾多的產(chǎn)品，容易得到支持。網(wǎng)絡的主干采用100Mb/S交換式以太網(wǎng)，原因如下：

6、采用100Mb/s以太網(wǎng)交換技術,可使網(wǎng)絡主干速率成倍增長；便于向千兆位以太網(wǎng)過渡；技術成熟；有大量的成功案例可查。網(wǎng)絡拓撲結構采用星型網(wǎng)絡交換技術。通過相應的管理軟件，在不改變網(wǎng)絡節(jié)點物理位置的情況下，可以對網(wǎng)絡的邏輯結構進行合理的劃分，即建立虛擬網(wǎng)絡，來達到網(wǎng)絡信息流量的有效控制。網(wǎng)絡管理系統(tǒng)的確定人們往往只重視網(wǎng)絡的靜態(tài)性能，而忽視了對網(wǎng)絡動態(tài)解決方案重要性的認識。實際上，網(wǎng)絡管理有著極其重要的意義。通過網(wǎng)管軟件可方便地確定網(wǎng)絡故障點，及時解決問題；也可對網(wǎng)絡的信息流量進行有效的控制和分流。要管理網(wǎng)絡端口，需要網(wǎng)上每臺設備都支持SNMP。根據(jù)本網(wǎng)絡的特點，要求網(wǎng)管程序能夠跨越地域對異地的

7、網(wǎng)絡節(jié)點進行管理。連接Internet在與Internet 的連接方面，通過代理服務器，利用ADSL專線訪問服務器，實現(xiàn)與遠程客戶的信息交流。同時，還設立了網(wǎng)管工作站，監(jiān)控網(wǎng)絡的運行狀況，使網(wǎng)絡達到最大的利用效率。四、系統(tǒng)方案局域網(wǎng)設計方案 基本網(wǎng)絡結構設計. 基本網(wǎng)絡物理結構 采用1臺Cisco的帶第三層路由交換功能的千兆以太網(wǎng)交換機 Catalyst 2948G-L3做中心交換機，采用7臺Cisco的Catalyst 3548 XL Enterprise Edition交換機（帶千兆網(wǎng)堆疊模塊）做桌面交換機，每2（3）臺堆疊成一組，通過一個千兆以太網(wǎng)模塊上聯(lián)至主干，下聯(lián)至300多個客戶工作

8、站。各服務器、防火墻主機和路由器通過100兆快速以太網(wǎng)端口直接與中心交換機相聯(lián)。 1）中心交換機的配置 千兆以太網(wǎng)交換機Catalyst 2948G-L3置于主設備間。中心交換機配置1塊24Gbps千兆以太網(wǎng)交換引擎、1塊20端口10M/100M自適應以太網(wǎng)交換模塊、1塊12端口10M/100M自適應第三層交換模塊、8塊2端口1000Base-SX輸入輸出模塊和1塊2端口1000Base-LX輸出模塊。 2）桌面交換機的配置 桌面交換機根據(jù)用戶的實際情況采用7臺Cisco的Catalyst 3548 XL Enterprise Edition交換機，每2（3）臺堆疊成一組，共3組，每組配置如下

9、： Catalyst 3548 XL帶48個10/100Base-T自適應端口 Catalyst 3548 XL堆疊模塊 Catalyst 3548 XL千兆位上聯(lián)模塊 虛擬網(wǎng)（VLAN）的構建VLAN是一個交換網(wǎng)絡，它可以按功能、部門或是應用為基礎來加以邏輯上的劃分，而不是以實體或物理位置為基礎來劃分。VLAN的建立是為了提供更好的分段服務，每一個VLAN就是一個廣播域，也就等于WinNT網(wǎng)絡中的一個子網(wǎng)。這樣可以更有效的控制廣播，對于訪問控制以及日常的網(wǎng)絡管理也可以做到很好的控制。采用VLAN具有下述優(yōu)勢。1）控制網(wǎng)絡上的廣播風暴 VLAN可以提供建立防火墻的機制,防止交換網(wǎng)絡的過量廣播風

10、暴,使用VLAN,可以將某個交換端口或用戶賦于某一個特定的VLAN組,該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機,在一個VLAN中的廣播風暴不會送到VLAN之外,同樣,相鄰的端口不會收到其他VLAN產(chǎn)生的廣播風暴。這樣,可以減少廣播流量,釋放帶寬給用戶應用,減少廣播風暴的產(chǎn)生。2）增加網(wǎng)絡的安全性使用共享式LAN,安全性很難保證,VLAN提供了安全性防火墻,限制了個別用戶的訪問,控制組的大小及位置等。交換端口可以基于應用類型和訪問特權來進行分組,被限制的應用程序和資源一般置于安全性VLAN中。3）集中化的管理控制 通過集中化的VLAN管理程序,網(wǎng)絡管理員可以確定VLAN組,分配特定用戶和交

11、換端口給這些VLAN組,設置安全性等級,限制廣播域的大小,通過冗余鏈路負載分擔網(wǎng)絡流量,跨越交換機配置VLAN通信,監(jiān)控交通流量和VLAN使用的網(wǎng)絡帶寬。這些能力有效的提高了網(wǎng)絡管理程序的可控性,靈活性和監(jiān)視功能,減少了管理的費用, 增加了集中管理的功能。本網(wǎng)絡系統(tǒng)分成多個邏輯子網(wǎng)，一個邏輯子網(wǎng)是由交換機設置的VLAN。不同VLAN之間在數(shù)據(jù)鏈路層(第二層)是互不連通的，當他們需要互相訪問時，必須通過路由器或具有路由能力的交換機（第三層交換機）使它們在網(wǎng)絡層(第三層)連接起來。本系統(tǒng)種所采用的Catalyst 2948G-L3具有第三層路由模塊，不需要附加路由器，VLAN之間的通信在Catal

12、yst 2948G-L3交換機內部即可解決，能夠建立跨過多臺交換機而在整個網(wǎng)絡中起作用的VLAN。Catalyst 2948G-L3和Catalyst 3548 XL Enterprise Edition都支持VLAN劃分，同時由于都支持802.1Q技術，也就能實現(xiàn)VLAN功能，通過802.1Q，網(wǎng)絡中所有交換機就可以采用相同的VLAN設置。服務器可以直接連接到交換機，最高速度可以達到800M。Cisco公司IOS操作系統(tǒng)和Cisco Works網(wǎng)管軟件的統(tǒng)一應用，以統(tǒng)一的軟件平臺把各種不同的硬件連接起來，構成有效、無縫的信息系統(tǒng)，更有利于新應用的部署，同時提高了網(wǎng)絡的整體性能。根據(jù)端口劃分

13、本網(wǎng)絡系統(tǒng)利用交換機的端口來劃分VLAN成員，通過虛擬網(wǎng)管理應用程序, 中心交換機的端口被定義為虛擬網(wǎng)A、B、C三，分配到一個VLAN的各個LAN網(wǎng)段上的所有站點都在同一個廣播域中,它們相互可以直接通信，并允許共享型網(wǎng)絡的升級。 通過交換機端口來劃分網(wǎng)絡成員，其配置過程簡單明了，采用這種方法還便于直接監(jiān)控,可以對端口進行安全控制。與之相比，基于物理地址的劃分方案管理起來不方便，網(wǎng)絡管理員經(jīng)常要進行大量改動；而基于協(xié)議的劃分方案又沒有什么必要，因為網(wǎng)絡本身基于TCP/IP協(xié)議。因此，迄今為止端口劃分是最常用的一種方式。系統(tǒng)的特點1）高性能核心交換機具有先進高速第三層交換功能,所有端口均可進行線速

14、路由、根據(jù)各部門的節(jié)點數(shù)和對帶寬的需求，主干連接分別采用100Mb/s、100Mb/s Trunk和千兆以太網(wǎng)，使網(wǎng)絡的性能價格比達到最佳點。先進的子網(wǎng)劃分方案VLAN是一個交換網(wǎng)絡，它可以按功能、部門或是應用為基礎來加以邏輯上的劃分，而不是以實體或物理位置為基礎來劃分。VLAN的建立是為了提供更好的分段服務，每一個VLAN就是一個廣播域，也就等于Win95網(wǎng)絡中的一個子網(wǎng)。這樣可以更有效的控制廣播，對于訪問控制以及日常的網(wǎng)絡管理也可以做到很好的控制。充分利用CISCO產(chǎn)品的技術優(yōu)勢 綜上所述，本網(wǎng)絡系統(tǒng)的先進性、安全性等特性是顯而易見的，但更重要的是它的網(wǎng)絡整體性能好，符合用戶的需要。網(wǎng)絡服

15、務網(wǎng)絡操作系統(tǒng) Windows 2000 Advanced Server是為服務器開發(fā)的多用途網(wǎng)絡操作系統(tǒng)，它支持范圍廣泛的重要商業(yè)應用程序和一系列豐富的開發(fā)工具，可為企業(yè)用戶提供文件打印、軟件應用、Web功能和通信等各種服務，是一個性能好、工作穩(wěn)定、容易管理的平臺。Windows 2000 Advanced Server 采用模塊化設計,能使現(xiàn)有系統(tǒng)和未來優(yōu)秀的技術相結合,因而可以在保持現(xiàn)有投資的基礎上進一步采用新技術。Windows 2000 Advanced Server具有以下特點: 平臺無關性 Windows 2000 Advanced Server是一個與硬件平臺無關的,可伸縮的服

16、務器操作系統(tǒng)。它可運行在Intel x86系統(tǒng)、精簡指令集計算機(RISC)和DEC Alpha處理機上,從而在選擇計算機系統(tǒng)時有多的自由。2）可擴展性 它可以擴展到對稱多處理器上,使得需要高性能處理器時還可以加上額外的處理器，支持數(shù)達到8路。Windows 2000 Advanced Server在Alpha平臺上支持最多32G的物理內存，在Intel平臺上支持最多8G的內存。3）兼容性 Windows 2000支持Windows應用程序,以及NTFS、FAT和FAT32文件系統(tǒng)。安全性 Windows 2000已將安全性內嵌入操作系統(tǒng),有選擇的訪問控制使你能對單個文件賦予權限。強有力的集中

17、式安全管理,即統(tǒng)一帳號、集中驗證、安全備份管理。Windows 2000支持的安全模板由安全屬性的文件（.inf）組成，它將所有現(xiàn)有的安全屬性組織到一個位置以簡化安全性管理，包含帳戶策略、本地策略、時間日志、受限組、文件系統(tǒng)、注冊表、系統(tǒng)服務七類安全性信息，也可以用作安全分析。Windows 2000用Kerberos驗證，提供更快、更安全的驗證和響應，允許用戶只登陸一次就可以訪問網(wǎng)絡資源。活動目錄 活動目錄采用可擴展的對象存儲方式存儲了網(wǎng)絡上所有對象的信息，并使得這些信息更容易被查找到?；顒幽夸浻徐`活的目錄結構，允許委派對目錄安全的管理，提供更有效率的權限管理。開放性 支持多種傳輸協(xié)議,可在

18、多種網(wǎng)絡環(huán)境下工作可靠性 支持多種容錯方式，有較強的容錯和出錯恢復功能，在多種一般錯誤發(fā)生后一分鐘內自動重啟應用軟件集成Web服務 Microsoft Windows 2000平臺上提供Internet信息服務（IIS），該服務可提供在Intranet或Internet上共享文檔和信息的能力。利用IIS，可以部署靈活可靠、基于Web的應用程序，并可將現(xiàn)有的數(shù)據(jù)和應用程序轉移到Web上。 可見Windows 2000是十分理想的網(wǎng)絡應用平臺，可應用于擁有多種操作系統(tǒng)和提供Internet服務的部門和應用程序服務器。我們建議采用Windows 2000 Advance Server作為網(wǎng)絡服務器的

19、操作系統(tǒng)，用Windows 2000 Server作為應用服務器的操作系統(tǒng)。 應用功能1）辦公自動化和電子郵件服務 Microsoft Exchange Server 是帶有集成組件的電子信息交換服務器，它使通訊交流更容易。它在單一的平臺上結合電子郵件、群組工作表、電子表格和組件應用程序，可以通過一個集中化的管理程序進行管理。它提供了業(yè)界最強的擴展性、可靠性和安全性和最高的處理性能，而所有應用都可以從通過Internet瀏覽器來訪問。與微軟BackOffice產(chǎn)品相結合，使用通用、熟悉的開發(fā)工具， Exchange Server可以快速提供和實施強大的業(yè)務協(xié)作解決方案，滿足用戶對Intrane

20、t協(xié)作的多層次的需求，提高企業(yè)競爭實力。 本電子系統(tǒng)構建于Microsoft Exchange Server電子交換服務器，安裝Exchange服務器作為郵局，存儲、交換、管理郵件系統(tǒng)中的用戶和信件，以電子郵件為基礎，處理公司的所有郵件，構成信息傳遞的基礎，并在此基礎上構建如下應用：個人級的應用主要完成公司內部工作人員日常的辦公工作管理，構建電子辦公室環(huán)境。完成文書處理、電子表格、電子傳真、電子郵件、個人日程安排等功能。構建Microsoft Windows98和Microsoft Office 97 / 2000的套件基礎上。部門級的應用通過Microsoft Exchange Server

21、的Schedule+和Microsoft Office 97 / 2000的Outlook來協(xié)調部門工作，處理會議請求、資源分配和工作安排等。企業(yè)級的應用 構造公文自動處理系統(tǒng)和檔案自動管理系統(tǒng)等辦公自動化應用。通過電子公告板和WWW構建信息發(fā)布和查詢應用，構建與Internet Information Server和Microsoft SQL Server的基礎上，形成內部的Intranet。2）數(shù)據(jù)庫應用目前應用比較廣泛大型數(shù)據(jù)庫系統(tǒng)主要有Informix、Oracle、Sybase、Microsoft-SQL Server根據(jù)目前業(yè)務系統(tǒng)的特點，充分考慮今后系統(tǒng)開放性、高效 性、聯(lián)機事務

22、處理的要求，數(shù)據(jù)庫系統(tǒng)應該采用SQL Server類型，綜合當前SQL Server 產(chǎn)品現(xiàn)狀，我們建議采用Microsoft-SQL Server，并使用獨立的數(shù)據(jù)庫服務器以提高性能。其原因主要有以下幾點：由于本系統(tǒng)的體系結構采用客戶/服務器模式，Microsoft-SQL Server擁有廣泛的客戶基礎，考慮到本模塊主要與控制中心進行數(shù)據(jù)交換及處理，因此充分估計其它業(yè)務及相關系統(tǒng)的要求，采用Microsoft-SQL Server 便于進行與其它系統(tǒng)的數(shù)據(jù)轉換及處理。本系統(tǒng)面臨一逐步推廣使用的過程，因此要求在系統(tǒng)構造時充分考慮其擴展性。MICROSOFT SQL Server 具有開放的體

23、系結構，由于其公開的接口規(guī)格，使得現(xiàn)在多數(shù)4GL程序開發(fā)語言均支持對SQL Server的聯(lián)接，因此MICROSOFT SQL Server 能夠面向多種系統(tǒng)的開發(fā)，便于處理與其它系統(tǒng)的接口問題?？缮炜s性：SQL Server所有的表、SQL代碼、存儲過程、規(guī)則、觸發(fā)器都能夠在不同的平臺上運行。在單用戶的開發(fā)環(huán)境下開發(fā)的應用能夠延伸到多用戶開發(fā)平臺上運行，并且它便于向大型、具有并行處理能力的開放系統(tǒng)硬件環(huán)境轉移?；ゲ僮餍裕篗ICROSOFT 客戶/服務器系統(tǒng)能夠透明地與其它廠商的產(chǎn)品聯(lián)結集成，如DB2、Oracle。分布式數(shù)據(jù)庫支持：MICROSOFT SQL Server 便于廣域網(wǎng)絡環(huán)境下

24、管理數(shù)據(jù)的復制和分布。較大的機構建立應用時，可以把它們的SQL Server網(wǎng)絡當作一個單一的集成資源來對待。MICROSOFT SQL Server 與Windows 2000 連接緊密：目前SQL Server 產(chǎn)品較多，但與Windows 2000連接緊密且性能優(yōu)越的當數(shù)MICROSOFT SQL Server。MICROSOFT SQL Server有良好的安全性，達到C2級安全要求。在SQL Serve數(shù)據(jù)庫的基礎上，可利用各種數(shù)據(jù)庫開發(fā)工具開發(fā)數(shù)據(jù)庫管理系統(tǒng)，也可使用現(xiàn)在流行的基于Windows平臺的MIS管理系統(tǒng)。3）域名服務 由于IP地址是使用一長串的數(shù)字來標注主機鶴其他網(wǎng)絡設

25、備，非常難于記憶和不便于使用，因此目前在Internet上，采用一種具有直觀含義的名字來代替以數(shù)字方式表示的IP地址，這種名字形式的地址稱為域名地址，整個分層的域名地址體系即是域名解析（DNS）。對于企業(yè)來說，域名是企業(yè)在網(wǎng)上的標志，也是企業(yè)推廣自身形象的網(wǎng)絡門戶。 域名解析是當前網(wǎng)絡中一種成熟的技術，在本系統(tǒng)中將用Windows 2000的DNS系統(tǒng)來做域名服務。Windows2000包括的DNS系統(tǒng)支持新的DDNS標準，既支持動態(tài)更新，又可以兼容于NT4網(wǎng)絡，支持手工刷新，結合了WINS的動態(tài)能力和傳統(tǒng)DNS的穩(wěn)定性和健壯性。在Windows2000中，活動目錄與DNS緊密集成在一起，客戶

26、可以更容易更迅速地找到目錄服務器，企業(yè)可以把活動目錄直接連接到Internet以簡化與客戶和合作伙伴進行通訊和提供電子商務，網(wǎng)絡規(guī)劃和管理變得更容易。4）遠程訪問服務RAS（遠程訪問服務）接入提供了協(xié)議封裝和數(shù)據(jù)加密功能，允許移動用戶通過Internet 或公共網(wǎng)絡建立虛擬專用網(wǎng)絡（VPN）模擬點對點專用連接，在計算機之間收發(fā)數(shù)據(jù)，其效果與在專用線路上進行數(shù)據(jù)傳輸一樣安全、有效。在本系統(tǒng)中RAS服務器配有兩個Modem ，外出的工作人員可通過電話網(wǎng)撥號遠程接入與公司進行安全的信息交換。5）Web服務Windows 2000服務器中內置了一個新的Web服務器-Internet Informati

27、on Server(IIS) 5.0。IIS以其強大的服務能力和豐富的開發(fā)手段，使其成為了電子商務的主要服務器平臺，5.0在原有的基礎上，又增加了許多新的功能：IIS 5.0將運行在它上面的Web站點應用和IIS核心服務隔離開來，而且可以對每個站點應用配置獨立的CPU使用率，并可以獨立停止和重起每個進程。這大大提高了Web服務器的可靠性和穩(wěn)定性，是您建立的電子商務站點運行的更加可靠。在安全性方面，IIS 5.0可以使用Windows 2000 Active Directory實現(xiàn)用戶身份的驗證，也可以使用證書和Active Directory的結合來驗證用戶。這為電子商務系統(tǒng)提供了即靈活又可靠

28、的對用戶身份的確認。 IIS 5.0上的Web站點的開發(fā)使用的時Active Server Page (ASP) 3.0。ASP提供了強大的功能和與Windows的緊密集成，同時ASP 3.0又進一步提高了效率。ASP 3.0提供了和XML的集成，同時也可以用ADSI 2.0對Windows 2000 Active Directory進行操作。使用Microsoft Visual InterDev 6.0開發(fā)工具，您可以快速建立您的電子商務系統(tǒng)，也可以建立一個復雜但是功能強勁的電子商務系統(tǒng)。因此在本系統(tǒng)中將配置一臺Web服務器，使用IIS 5.0進行Web開發(fā)，提供完善的Web服務。6）多媒體

29、信息傳輸根據(jù)客戶的需求，本系統(tǒng)采用Microsoft NetMeeting構建多媒體會議系統(tǒng)。備份服務（建議采用） 使用計算機系統(tǒng)處理日常業(yè)務在提高效率的同時， 有一個問題越來越不容忽視， 即數(shù)據(jù)失效問題。 一旦發(fā)生數(shù)據(jù)失效， 企業(yè)就會陷入困境： 客戶資料、 技術文件、 財務賬目等數(shù)據(jù)可能被破壞得面 目全非， 如果系統(tǒng)無法順利恢復， 最終結局將不堪設想。 所以企業(yè)信息化程度越高， 備份和災難恢復 措施就越重要。根據(jù)系統(tǒng)自身的特點和對備份功能的要求，我們建議 在本系統(tǒng)中采用CA公司的ARC serve備份系統(tǒng)。ARCserve 是一 個 跨平臺的網(wǎng)絡數(shù)據(jù)備份軟件，在數(shù)據(jù)保護、災難恢復、病毒防護方

30、面均提供全面的產(chǎn)品支持，目前已成為了業(yè)界的事實標準。CA公司的軟件產(chǎn)品涵蓋大型網(wǎng)絡管理、數(shù)據(jù)庫系統(tǒng)和工具軟件等諸多方面。全球最大的500家企業(yè)中有95%使用了CA公司的產(chǎn)品。產(chǎn)品特性： 全面保護Windows操作系統(tǒng)支持打開文件備份支持對各種數(shù)據(jù)庫如Betrieve、Sybase、Oracle等的備份支持從服務器到工作站的全面網(wǎng)絡備份可以實現(xiàn)無人值守的自動備份備份前掃描病毒，可以實現(xiàn)無毒備份支 持災難恢復Cisco網(wǎng)絡管理CiscoWorksWindows是全面的網(wǎng)絡管理軟件，它提供一整套強有力的工具，可用于管理小型到中型企業(yè)網(wǎng)或工作組。對連網(wǎng)設備自動識別程序可以用色彩鮮明的分級網(wǎng)絡視IP I

31、PX 網(wǎng)生成網(wǎng)絡拓樸圖； 能為Cisco 設備獲取端口狀態(tài)，帶寬使用率，流量統(tǒng)計，協(xié)議信息及其它網(wǎng)絡性 能統(tǒng)計等擴展數(shù)據(jù)；繪圖功能靈活，可快速記錄和分析可能輸出到文件以備電子數(shù)據(jù)表或其它工具 使用的歷史數(shù)據(jù)；管理信息 率（MIB）編輯器和測覽器可以管理第三方SNMP設備；可以定多種性能變量設置，以便產(chǎn)生報警或事件通知； 事件篩選器可以篩選出有用信息以加速故障排除； 設備配置特性用于在Cisco 交換機內配置簡單的虛擬LAN（VLAN）。局域網(wǎng)拓撲圖局域網(wǎng)防火墻及防病毒解決方案 網(wǎng)絡安全風險分析 對于信息網(wǎng)所面臨的安全風險涉及網(wǎng)絡環(huán)境多方面，包括：自然災害水災、火災、地震等； 電子化系統(tǒng)故障系統(tǒng)

32、硬件、電力系統(tǒng)故障等； 人員無意識行為編碼缺陷、系統(tǒng)配置漏洞、誤操作及無意泄漏等； 人員蓄意行為網(wǎng)絡環(huán)境可用性破壞、惡意攻擊等。 其中，前三個方面的風險能夠通過增強對網(wǎng)絡環(huán)境的抗自然災害的能力、加強網(wǎng)絡設備管理維護、系統(tǒng)操作管理等手段來加以完善，盡可能將風險降低到能夠被控制和管理的程度。而對于第四方面的安全風險，對整個信息網(wǎng)的安全環(huán)境所構成的危害最大，同時也是最難于管理與防范的。且不僅僅能夠通過加強對網(wǎng)絡環(huán)境及人員的安全管理所能夠實現(xiàn)的，盡管安全管理非常重要。同時需要相應的安全技術手段輔助完成。這也是本安全方案所要詳細闡述的。對于在信息網(wǎng)環(huán)境中，采取何種安全技術手段且如何實現(xiàn)，就需要通過對前面

33、提到第四方面的安全風險的分析的基礎上，針對信息網(wǎng)安全需求來確定。對于風險來說，它應包括那些可以被管理但又不能被清除的，以及那些能夠中斷網(wǎng)絡工作流并對工作環(huán)境造成破壞性的威脅。其中，主要包括：對于網(wǎng)絡應用服務的非授權訪問 信息交互的保密性 網(wǎng)絡病毒的傳播與滲入 網(wǎng)絡黑客行為 通過對以上主要的網(wǎng)絡威脅分析，使我們能夠準確把握信息網(wǎng)的網(wǎng)絡安全需求。需求分析 網(wǎng)絡安全需求是保護網(wǎng)絡不受破壞，確保網(wǎng)絡服務的可用性。對于信息網(wǎng)絡內部安全需求，包括：能夠滿足信息網(wǎng)絡內的授權用戶對相關專用網(wǎng)絡資源訪問； 能夠對于非授權用戶的訪問進行有效控制和報警； 能夠堅決杜絕病毒和其他危險程序進入網(wǎng)絡； 能夠對于遠程訪問用

34、戶進行安全管理； 加強對于整個信息網(wǎng)絡資源和人員的安全管理與培訓。 安全管理需求分析 如前所述，能否制定一個統(tǒng)一的安全策略，在全網(wǎng)范圍內實現(xiàn)統(tǒng)一的安全管理，對于信息網(wǎng)來說就至關重要了。安全管理主要包括兩個方面：內部安全管理主要是建立內部安全管理制度，如機房管理制度、設備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應急制度等，并采取切實有效的措施保證制度的執(zhí)行。內部安全管理主要采取行政手段和技術手段相結合的方法。 網(wǎng)絡安全管理在網(wǎng)絡上設置防病毒安全檢測系統(tǒng)后，必須保證防病毒系統(tǒng)的設置正確，且其配置不允許被隨便修改。采用用戶和口令認證機制加強對用戶的管理，可以通過財務軟件本

35、身和一些網(wǎng)絡層的管理工具來實現(xiàn)。 安全方案 根據(jù)對信息網(wǎng)現(xiàn)階段的安全需求分析，我們在設計本安全方案時，將采取一切有力的措施，來實現(xiàn)信息網(wǎng)現(xiàn)階段的安全目標，考慮到現(xiàn)階段對網(wǎng)絡病毒的管理要求，本方案提出對網(wǎng)絡病毒防范和管理控制建議，并提出了現(xiàn)階段的網(wǎng)絡安全管理方案。網(wǎng)絡設備的安全配置信息網(wǎng)中，整個網(wǎng)絡的安全首先要確保網(wǎng)絡設備的安全，保證非授權用戶不能訪問網(wǎng)絡任意的網(wǎng)絡通訊設備（例如：路由器，集線器等）。對不同型號、廠家的網(wǎng)絡設備，要防范的內容是一樣的，但具體的配置方法須依照設備要求來實現(xiàn)。對服務器訪問的控制對于服務器用戶可以設置不同的用戶權限，如“非特權”和“特權”兩種訪問權限，非特權訪問權限允許

36、用戶在服務器上查詢某些公眾信息但無法對服務器進行配置；特權訪問權限則允許用戶對服務器進行完全的配置。對服務器訪問的控制建議使用以下的方式：控制臺訪問控制 限制訪問空閑時間 口令的保護 多級管理員權限 CheckPoint FireWall-1 4.0作為開放安全企業(yè)互聯(lián)聯(lián)盟(OPSEC)的組織和倡導者之一，CheckPoint公司致力于企業(yè)級網(wǎng)絡安全產(chǎn)品的研發(fā)，據(jù)IDC的最近統(tǒng)計，其FireWall-1防火墻在市場占有率上已超過44%，財富排名前100的大企業(yè)里近80%選用了CheckPoint FireWall-1防火墻。CheckPoint FireWall-1產(chǎn)品包括以下模塊：基本模塊：

37、狀態(tài)檢測模塊（Inspection Module）：提供訪問控制、客戶機認證、會話認證、地址翻譯和審計功能；防火墻模塊（FireWall Module）：包含一個狀態(tài)檢測模塊，另外提供用戶認證、內容安全和多防火墻同步功能；管理模塊（Management Module）：對一個或多個安全策略執(zhí)行點（安裝了FireWall-1的某個模塊，如狀態(tài)檢測模塊、防火墻模塊或路由器安全管理模塊等的系統(tǒng)）提供集中的、圖形化的安全管理功能；可選模塊連接控制（Connect Control）：為提供相同服務的多個應用服務器提供負載平衡功能；路由器安全管理模塊（Router Security Management）

38、：提供通過防火墻管理工作站配置、維護3Com，Cisco，Bay等路由器的安全規(guī)則；其它模塊，如加密模塊等。圖形用戶界面（GUI）：是管理模塊功能的體現(xiàn)，包括策略編輯器：維護管理對象、建立安全規(guī)則、把安全規(guī)則施加到安全策略執(zhí)行點上去；日志查看器：查看經(jīng)過防火墻的連接，識別并阻斷攻擊；系統(tǒng)狀態(tài)查看器：查看所有被保護對象的狀態(tài)。FireWall-1提供單網(wǎng)關和企業(yè)級兩種產(chǎn)品組合。單網(wǎng)關產(chǎn)品：只有防火墻模塊（包含狀態(tài)檢測模塊）、管理模塊和圖形用戶界面各一個，且防火墻模塊和管理模塊必須安裝在同一臺機器上。企業(yè)級產(chǎn)品：可以有若干基本模塊和可選模塊以及圖形用戶界面組成，特別是可能配置較多的防火墻模塊和獨立

39、的狀態(tài)檢測模塊。企業(yè)級產(chǎn)品的不同模塊可以安裝在不同的機器上。狀態(tài)檢測機制FireWall-1采用CheckPoint公司的狀態(tài)檢測（Stateful Inspection）專利技術，以不同的服務區(qū)分應用類型，為網(wǎng)絡提供高安全、高性能和高擴展性保證。FireWall-1狀態(tài)檢測模塊分析所有的包通訊層，汲取相關的通信和應用程序的狀態(tài)信息。狀態(tài)檢測模塊能夠理解并學習各種協(xié)議和應用，以支持各種最新的應用。狀態(tài)檢測模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據(jù)包，保證網(wǎng)絡的高度安全和數(shù)據(jù)完整。網(wǎng)絡和各種應用的通信狀態(tài)動態(tài)存儲、更新到動態(tài)狀態(tài)表中，結合預定義好的規(guī)則，實現(xiàn)安全策略。狀態(tài)檢測模塊可以識別不同應

40、用的服務類型，還可以通過以前的通信及其它應用程序分析出狀態(tài)信息。狀態(tài)檢測模塊檢驗IP地址、端口以及其它需要的信息以決定通信包是否滿足安全策略。狀態(tài)檢測模塊把相關的狀態(tài)和狀態(tài)之間的關聯(lián)信息存儲到動態(tài)連接表中并隨時更新，通過這些數(shù)據(jù)，F(xiàn)ireWall-1可以檢測到后繼的通信。狀態(tài)檢測技術對應用程序透明，不需要針對每個服務設置單獨的代理，使其具有更高的安全性、高性能、更好的伸縮性和擴展性，可以很容易把用戶的新應用添加到保護的服務中去。FireWall-1提供的INSPECT語言，結合FireWall-1的安全規(guī)則、應用識別知識、狀態(tài)關聯(lián)信息以及通信數(shù)據(jù)構成了一個強大的安全系統(tǒng)。INSPECT是一個面

41、向對象的腳本語言，為狀態(tài)檢測模塊提供安全規(guī)則。通過策略編輯器制定的規(guī)則存為一個用INSPECT寫成的腳本文件，經(jīng)過編譯生成代碼并被加載到安裝有狀態(tài)檢測模塊的系統(tǒng)上。腳本文件是ASCII文件，可以編輯，以滿足用戶特定的安全要求。OPSECCheckPoint是開放安全企業(yè)互聯(lián)聯(lián)盟(OPSEC)的組織和倡導者之一。OPSEC允許用戶通過一個開放的、可擴展的框架集成、管理所有的網(wǎng)絡安全產(chǎn)品。OPSEC通過把FireWall-1嵌入到已有的網(wǎng)絡平臺（如Unix、NT服務器、路由器、交換機以及防火墻產(chǎn)品），或把其它安全產(chǎn)品無縫集成到FireWall-1中，為用戶提供一個開放的、可擴展的安全框架。目前已有

42、包括IBM、HP、Sun、Cisco、BAY等超過135個公司加入到OPSEC聯(lián)盟。企業(yè)級防火墻安全管理FireWall-1允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理安全策略。企業(yè)的防火墻安全策略都存放在防火墻管理模塊的一個規(guī)則庫里。規(guī)則庫里存放的是一些有序的規(guī)則，每條規(guī)則分別指定了源地址、目的地址、服務類型（HTTP、FTP、TELNET等）、針對該連接的安全措施（放行、拒絕、丟棄或者是需要通過認證等）、需要采取的行動（日志記錄、報警等）、以及安全策略執(zhí)行點（是在防火墻網(wǎng)關還是在路由器或者其它保護對象上上實施該規(guī)則）。FireWall-1管理員通過一個防火墻管理工作站管理該規(guī)則庫，建立、維護安全

43、策略，加載安全規(guī)則到裝載了防火墻或狀態(tài)檢測模塊的系統(tǒng)上。這些系統(tǒng)和管理工作站之間的通信必須先經(jīng)過認證，然后通過加密信道傳輸。FireWall-1直觀的圖形用戶界面為集中管理、執(zhí)行企業(yè)安全策略提供了強有力的工具。安全策略編輯器：維護被保護對象，維護規(guī)則庫，添加、編輯、刪除規(guī)則，加載規(guī)則到安裝了狀態(tài)檢測模塊的系統(tǒng)上。日志管理器：提供可視化的對所有通過防火墻網(wǎng)關的連接的跟蹤、監(jiān)視和統(tǒng)計信息，提供實時報警和入侵檢測及阻斷功能。系統(tǒng)狀態(tài)查看器：提供實時的系統(tǒng)狀態(tài)、審計和報警功能。分布的客戶機/服務器結構FireWall-1通過分布式的客戶機/服務器結構管理安全策略，保證高性能、高伸縮性和集中控制。Fir

44、eWall-1由基本模塊（防火墻模塊、狀態(tài)檢測模塊和管理模塊）和一些可選模塊組成。這些模塊可以通過不同數(shù)量、平臺的組合配置成靈活的客戶機/服務器結構。管理模塊包括了圖形用戶界面和管理員定義的相關管理對象規(guī)則庫，網(wǎng)絡對象，服務、用戶等。防火墻模塊、狀態(tài)檢測模塊以及其它可選模塊用來執(zhí)行安全策略，安裝了這些模塊的系統(tǒng)稱為受保護對象（Firewalled System），又稱為安全策略執(zhí)行點（Security Enforcement Point）。FireWall-1的客戶機/服務器結構是完全集成的，只有一個統(tǒng)一的安全策略和一個規(guī)則庫，通過一個單一的防火墻管理工作站，管理多個裝載了防火墻模塊、狀態(tài)檢測

45、模塊或可選模塊的系統(tǒng)。認證（Authentication）遠程用戶和撥號用戶可以經(jīng)過FireWall-1的認證后，訪問內部資源。FireWall-1可以在不修改本地服務器或客戶應用程序的情況下，對試圖訪問內部服務器的用戶進行身份認證。FireWall-1的認證服務集成在其安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認證會話。FireWall-1提供三種認證方法：用戶認證（User Authentication）：針對特定服務提供的基于用戶的透明的身份認證，服務限于FTP、TELNET、HTTP、HTTPS、RLOGIN?？蛻魴C認證（Client Authentication）

46、：基于客戶機IP的認證，對訪問的協(xié)議不做直接的限制。客戶機認證不是透明的，需要用戶先登錄到防火墻認證IP和用戶身份之后，才允許訪問應用服務器。客戶機不需要添加任何附加的軟件或做修改。當用戶通過用戶認證或會話認證后，同時也就已經(jīng)通過客戶機認證。會話認證（Session Authentication）：提供基于服務會話的的透明認證，與IP無關。采用會話認證的客戶機必須安裝一個會話認證代理，訪問不同的服務時必須單獨認證。FireWall-1提供多種認證機制供用戶選擇：S/Key，F(xiàn)ireWall-1 Password，OS Password，LDAP，SecureID，RADIUS，TACACS等。

47、地址翻譯（NAT）FireWall-1支持三種不同的地址翻譯模式：靜態(tài)源地址翻譯：當內部的一個數(shù)據(jù)包通過防火墻出去時，把其源地址（一般是一個內部保留地址）轉換成一個合法地址。靜態(tài)源地址翻譯與靜態(tài)目的地址翻譯通常是配合使用的。靜態(tài)目的地址翻譯：當外部的一個數(shù)據(jù)包通過防火墻進入內部網(wǎng)時，把其目的地址（合法地址）轉換成一個內部使用的地址（一般是內部保留地址）。動態(tài)地址翻譯（也稱為隱藏模式）：把一個內部網(wǎng)的地址段轉換成一個合法地址，以解決企業(yè)的合法IP地址太少的問題，同時隱藏內部網(wǎng)絡結構，提高網(wǎng)絡安全性能。內容安全FireWall-1的內容安全服務保護網(wǎng)絡免遭各種威脅，包括病毒、Jave和Active

48、X代碼攻擊等。內容安全服務可以通過定義特定的資源對象，制定與其它安全策略類似的規(guī)則來完成。內容安全與FireWall-1的其它安全特性集成在一起，通過圖形用戶界面集中管理。OPSEC提供應用開發(fā)接口（API）以集成第三方內容過濾系統(tǒng)。FireWall-1的內容安全服務包括：利用第三方的防病毒服務器，通過防火墻規(guī)則配置，掃描通過防火墻的文件，清除計算機病毒；根據(jù)安全策略，在訪問WEB資源時，從HTTP頁面剝離Java Applet，ActiveX等小程序及Java，Script等代碼；用戶定義過濾條件，過濾URL；控制FTP的操作，過濾FTP傳輸?shù)奈募热荩籗MTP的內容安全（隱藏內部地址、剝離

49、特定類型的附件等）；可以設置在發(fā)現(xiàn)異常時進行記錄或報警；通過控制臺集中管理、配置、維護。連接控制FireWall-1的連接控制模塊提供了負載平衡功能，在提供相同服務的多個應用服務器之間實現(xiàn)負載分擔，應用服務器不要求都放在防火墻后面。用戶可選用不同的負載均衡算法：Server Load該方法由服務器提供負載均衡算法，需要在應用服務器端安裝負載測量引擎；Round TripFireWall-1利用ping命令測定防火墻到各個應用服務器之間的循回時間，選用循回時間最小者響應用戶請求；Round RobinFireWall-1根據(jù)其記錄表中的情況，簡單地指定下一個應用服務器響應；RandomFireW

50、all-1隨機選取應用服務器響應；DomainFireWall-1按照域名最近的原則，指定最近的應用服務器響應。路由器安全管理可以通過FireWall-1的管理工作站對企業(yè)范圍內的路由器提供集中的安全管理：通過圖形用戶界面生成路由器的過濾和配置；引入、維護路由器的訪問控制列表；記錄路由器事件（需要路由器支持日志功能）；在路由器上執(zhí)行通過圖形用戶界面制定的安全策略。FireWall-1可以集中管理以下路由器：Bay Networks routers, version 7.x - 12.xCisco routers, IOS version 9 - 11Cisco PIX Firewall，ver

51、sion 3.0, 4.03Com NetBuilder, version 9.xMicrosoft RAS(Steelhead) Routers for Windows NT server 4.x防火墻及防病毒解決方案軟件要求Checkpoint FireWall-1 4.1(50用戶)for Windows 2000Norton Antivirus 6.0 for Windows 2000網(wǎng)絡管理軟件硬件要求Cisco 2610模塊式路由器服務器（雙網(wǎng)卡，一塊為內部網(wǎng)用一塊為外部網(wǎng)使用）防火墻網(wǎng)絡圖城域網(wǎng)建設基本概述地鐵設計院城域網(wǎng)的建設范圍由中旅商業(yè)城十六層廣州地鐵總公司（地鐵中心機房）

52、、芳村坑口運營事業(yè)總部、廣百商業(yè)大廈二十九層資源開發(fā)總部、公園前控制中心建設事業(yè)總部、環(huán)市西路204號地鐵設計院5個部組成。租用電信線路，采用幀中繼技術組建廣州地鐵城域網(wǎng)，同時支持電話撥號訪問（租用一條256K幀中繼線和3條電話線供撥號訪問）。城域網(wǎng)的建設包括如下幾方面內容： 路由器的安裝、配置和調試 通訊服務器的安裝、調試Web服務器的安裝、調試Mail服務器的安裝、調試防火墻的安裝、設置 城域網(wǎng)網(wǎng)管系統(tǒng)的安裝、調試城域網(wǎng)網(wǎng)絡的測試在城域網(wǎng)的建設中的關鍵要素有：路由器的選型、路由器與通訊服務器的安裝、配置和調試以及“防火墻“的組建和網(wǎng)管系統(tǒng)的安裝、調試。通訊線路和撥號訪問服務廣州地鐵設計院網(wǎng)

53、絡建設中城域網(wǎng)所用的通訊線路或傳輸技術主要有兩種：一為FR、二為PSTN，采用租用256K幀中繼線和3條電話線供撥號訪問虛擬專用網(wǎng)VPN技術 VPN是一個虛擬的網(wǎng)，其重要的意義在于虛擬和專用。為了實現(xiàn)在公網(wǎng)之上傳輸私有數(shù)據(jù)，必須滿足其安全性。VPN技術主要體現(xiàn)在兩個技術要點上：Tunnel、相關隧道協(xié)議（包括PPTP，L2F，L2TP），數(shù)據(jù)安全協(xié)議（IPSEC）。下面針對這幾項技術做一介紹。加密和用戶授權為在公司網(wǎng)上進行個人通信提供了安全保證。 隧道（Tunneling）技術介紹VPN在表面上是一種聯(lián)網(wǎng)的方式，比起專線網(wǎng)絡來，它具有許多優(yōu)點。在VPN中，通過采用一種所謂隧道的技術，可以通過公

54、共路由網(wǎng)絡傳送數(shù)據(jù)分組，例如Internet網(wǎng)或其他商業(yè)性網(wǎng)絡。 這里，專有的隧道類似于點到點的連接。這種方式能夠使得來自許多源的網(wǎng)絡流量從同一個基礎設施中通過分開的隧道。這種隧道技術使用點對點通信協(xié)議代替了交換連接，通過路由網(wǎng)絡來連接數(shù)據(jù)地址。隧道技術允許授權移動用戶或已授權的用戶在任何時間任何地點訪問企業(yè)網(wǎng)絡。 通過TUNNEL的建立，可實現(xiàn)以下功能： 將數(shù)據(jù)流量強制到特定的目的地 隱藏私有的網(wǎng)絡地址 在IP網(wǎng)上傳輸非IP協(xié)議數(shù)據(jù)包 提供數(shù)據(jù)安全支持 協(xié)助完成用戶基于AAA的管理。 在安全方面可提供數(shù)據(jù)包認證、數(shù)據(jù)加密以及密鑰管理等手段。 撥號VPNs使用隧道技術遠程訪問服務器把用戶數(shù)據(jù)打

55、包進IP信息包中，這些信息包通過電信服務提供商網(wǎng)絡傳遞，在Internet里，則需要穿過不同的網(wǎng)絡，最后到達隧道終點 ，然后數(shù)據(jù)拆包，轉發(fā)成最初的形式。VPN允許網(wǎng)絡協(xié)議的轉換，還允許對來自許多源的流量進行區(qū)別，這樣可以指定特定的目的地，接受指定級別的服務。公司網(wǎng)進行遠程訪問通信，從電路交換的，長距離的本地電信服務提供商到ISPs和Internet需要采用隧道技術。隧道技術使用點對點通信協(xié)議，代替了交換連接，通過路由網(wǎng)絡來連接數(shù)據(jù)地址。這代替了電話交換網(wǎng)絡使用的電話號碼連接。隧道技術允許授權移動用戶或已授權的用戶再任何時間任何地點訪問企業(yè)網(wǎng)絡。應用授權技術，隧道技術也禁止未授權的訪問。網(wǎng)管軟件

56、平臺和網(wǎng)管軟件網(wǎng)管軟件平臺是一種綜合網(wǎng)絡管理軟件，他不但具有網(wǎng)絡管理的基本功能，而且用戶可以利用他開發(fā)新的網(wǎng)絡管理應用軟件。目前公認的三大網(wǎng)管軟件平臺：IBM NetView 、HP OpenView 和SUN NetManger，此外還有CA的網(wǎng)管軟件平臺。廣州地鐵設計院的城域網(wǎng)網(wǎng)管，它管理中旅商業(yè)城十六層廣州地鐵總公司（地鐵中心機房）、芳村坑口運營事業(yè)總部、廣百商業(yè)大廈二十九層資源開發(fā)總部、公園前控制中心建設事業(yè)總部、環(huán)市西路204號地鐵設計院5節(jié)點。其建設要考慮網(wǎng)絡硬件平臺、操作系統(tǒng)平臺、協(xié)議平臺、網(wǎng)管平臺、網(wǎng)管應用等各個方面，建議鐵設計院采用IBM NetView網(wǎng)管平臺和Cisco

57、Works網(wǎng)管軟件的網(wǎng)絡管理系統(tǒng)。城域網(wǎng)網(wǎng)絡架構圖 Internet的接入方案ADSL簡介隨著Internet的爆炸式發(fā)展，在Internet上的商業(yè)應用和多媒體等服務也得以迅猛推廣。為了實現(xiàn)用戶接入網(wǎng)的數(shù)字化、寬帶化，提高用戶上網(wǎng)速度，人們提出了多項寬帶接入網(wǎng)技術，包括N-ISDN、Cable Modem、ADSL等等，其中ADSL（非對稱數(shù)字用戶環(huán)路）是最具前景及競爭力的一種,將在未來十幾年甚至幾十年內占主導地位。ADSL是一種通過現(xiàn)有普通電話線為家庭、辦公室提供寬帶數(shù)據(jù)傳輸服務的技術。ADSL即非對稱數(shù)字信號傳送，它能夠在現(xiàn)有的銅雙絞線，即普通電話線上提供高達10Mbit/s的高速下行速

58、率，遠高于ISDN速率；而上行速率有1Mbit/s，傳輸距離達3km5km。ADSL技術的主要特點是可以充分利用現(xiàn)有的銅纜網(wǎng)絡（電話線網(wǎng)絡），在線路兩端加裝ADSL設備即可為用戶提供高寬帶服務。ADSL的另外一個優(yōu)點在于它可以與普通電話共存于一條電話線上，在一條普通電話線上接聽、撥打電話的同時進行ADSL傳輸而又互不影響。安裝ADSL也極其方便快捷，在現(xiàn)有的電話線上安裝ADSL，除了在用戶端安裝ADSL通訊終端外，不用對現(xiàn)有線路作任何改動。局域網(wǎng)用戶具有4個靜態(tài)IP地址，可以在中國公眾多媒體網(wǎng)上架設公司的網(wǎng)站 ，提供WWW、FTP、Email等服務。隨著ADSL技術的進一步推廣應用，ADSL接

59、入還可以提供點對點的遠程醫(yī)療， 遠程教學，遠程可視會議等服務。ADSL與其它接入服務的比較 ADSL與Cable Modem的比較與Cable Mode相比，ADSL技術具有著相當大的優(yōu)勢。Cable Modem的HFC接入方案采用分層樹型結構，其優(yōu)勢是帶寬比較高（10M），但這種技術本身是一個較粗糙的總線型網(wǎng)絡，這就意味者用戶要和鄰近用戶分享有限的帶寬，當一條線路上用戶激增時，其速度將會減慢。再者，有關資料表明，大部分情況下，HFC方案必需兼顧現(xiàn)有的有線電視節(jié)目，而占用了部分帶寬，只剩余了一部分可供傳送其它數(shù)據(jù)信號，所以Cable Modem的理論傳輸速率只能達到一小半。國外公司實驗表明，其

60、速率減為 1M-2Mbps，更常見的是 400K-500Kbps。綜合來看，即使在理想狀態(tài)下，HFC只相當于一個10Mbps的共享式總線型以太網(wǎng)，而ADSL接入方案在網(wǎng)絡拓撲結構上較為先進，因為每個用戶都有單獨的一條線路與ADSL局端相連，它的結構可以看作是星型結構，它的數(shù)據(jù)傳輸帶寬是由每一用戶獨享的。ADSL與普通撥號 Modem及N-ISDN的比較比起普通撥號 Modem的最高56K速率，以及N-ISDN 128K的速率，ADSL的速率優(yōu)勢是不言而喻的。 與普通撥號 Modem 或ISDN相比， ADSL更為吸引人的地方是：它在同一銅線上分別傳送數(shù)據(jù)和語音信號，數(shù)據(jù)信號并不通過電話交換機設