目錄TOC\o"1-4"一、項目概述 5二、需求分析 62.1網絡現狀分析 62.2網絡需求分析 6三、總體設計方案 73.1系統設計原則 73.1.1高可靠性 73.1.2高安全性 73.1.3先進性 73.1.4易管理、易維護 73.1.5可擴展性 83.2系統設計概述 93.2.1網絡體系構造和邏輯構造設計 93.2.2網絡拓撲構造 93.2.3網絡管理系統擬定 93.2.4連接Internet 10四、系統方案 114.1局域網設計方案 114.1.1基本網絡構造設計 基本網絡物理構造 虛擬網（VLAN）構建 系統特點 144.1.2網絡服務 網絡操作系統 應用功能 184.1.3備份服務（建議采用） 234.1.4Cisco網絡管理 244.1.5局域網拓撲圖 264.2局域網防火墻及防病毒解決方案 274.2.1網絡安全風險分析 274.2.2需求分析 284.2.3安全管理需求分析 284.2.4安全方案 304.2.5網絡設備安全配備 304.2.6對服務器訪問控制 304.2.7CheckPointFireWall-14.0 3產品簡介 3狀態檢測機制 3OPSEC 3公司級防火墻安全管理 3分布客戶機/服務器構造 3認證（Authentication） 3地址翻譯（NAT） 3內容安全 3連接控制 3路由器安全管理 394.2.8防火墻及防病毒解決方案 4軟件規定 4硬件規定 4防火墻網絡圖 424.3城域網建設 434.3.1基本概述 434.3.2通訊線路和撥號訪問服務 434.3.3虛擬專用網VPN技術 444.3.4網管軟件平臺和網管軟件 454.3.5城域網網絡架構圖 464.4Internet接入方案 474.4.1ADSL簡介 474.4.2ADSL與其他接入服務比較 4ADSL與CableModem比較 4ADSL與普通撥號Modem及N-ISDN比較 48五、設備報價表 505.1產品報價表 505.2維修報價表 51六、項目實行籌劃 526.1網絡設備及系統軟件驗收 526.2項目籌劃實行 526.3審核施工進度 526.4網絡系統集成性能測試 526.5完善在測試過程中也許浮現各種問題 536.6提交網絡性能測試報告 536.7網絡系統集成驗收 53七、系統驗收原則 547.1系統驗收原則 547.2系統驗收組織 547.3系統驗收根據 547.4系統驗收內容 557.4.1系統性能驗收 5設備性能：主流廠商、主流產品、主流技術 5網絡性能：實用技術、成熟原則、安全管理 567.4.2網管系統規定 5網絡監控功能規定 5網絡管理軟件平臺功能規定 5對網絡設備管理 5各種操作系統及網絡合同管理 5基于GUI圖形界面 5關系型數據庫支持 597.4.3工程質量驗收 607.4.4系統文檔驗收 607.5系統測試、網絡管理與網絡安全原則 617.5.1廣域網測試原則 617.5.2局域網測試原則 627.5.3網管系統原則 637.5.4網絡安全原則 64八、售后服務 658.1試運營期支持 658.2保修期服務 658.3保修期外服務 668.4文檔體系 668.5培訓籌劃 678.5.1培訓目 678.5.2培訓對象 688.5.3培訓方略 688.5.4培訓方式 6現場培訓 6集中培訓 698.5.5課程安排 698.5.6課程描述 70九、金稅服務體系 739.1專業技術隊伍 739.1.1技術支持部 739.1.2客戶服務部 739.2整體服務控制 749.2.1設備交貨與質量控制 749.2.2原廠商產品驗收和技術保證 749.2.3系統和網絡工程實行與監理 749.2.4系統效能調試 759.2.5迅速響應方式 759.2.6全面服務體系 759.3客戶服務流程圖 769.4工程監督流程圖 77

一、項目概述廣州地鐵總公司新辦公場合位于廣州市中山五路與解放路交界處中旅商業城第十六層，面積約為三千七百平方米，集中了地鐵總公司財務部、公司管理總部、人力資源總部等行政管理部門，大概將有二百三十多名工作人員在此辦公。廣州地鐵總公司將在中旅商業城十六層建立計算機網絡，該網絡是廣州地鐵總公司公司管理信息系統平臺，她將提供如下服務：各種數據庫管理系統，如財務管理系統、合同管理系統等；辦公自動化信息管理，如公文流轉、電子郵件系統等；國際互聯網Iternet接入；六間會議室有少量多媒體信息傳播；規定實現與公司其她總部——位于芳村西朗運營事業總部、位于北京路廣百大廈29層資源開發總部、位于公園前地鐵控制中心建設事業總部、位于環市西路204號地鐵設計院網絡互聯，構筑廣州地鐵總公司城域網，實現全公司信息共享；容許外出工作人員通過撥號訪問地鐵總公司網絡、互換信息。

二、需求分析2.1網絡現狀分析布線工程已由廣州地鐵總公司委托其她公司完畢。該布線工程所有采用Lucent公司超五類設備進行施工，將達到Lucent公司十五年保用原則。共有三個設備間，其中一種與計算機房合在一起。三個設備間之間均有電纜直接連接，可形成環路。網絡布線端口數達到320個，每個設備間所聯信息點基本同樣，大概為110個。網絡操作系統將采用MSWindowsServer。2.2網絡需求分析依照地鐵總公司規定，這次網絡工程重要內容涉及四某些：中旅商業城十六層廣州地鐵總公司計算機局域網；中旅商業城十六層廣州地鐵總公司計算機局域網防火墻及防病毒解決方案；廣州地鐵總公司城域網；中旅商業城十六層廣州地鐵總公司計算機局域網國際互聯網接入。

三、總體設計方案3.1系統設計原則3.1.1高可靠性計算機網絡系統應采用可靠性較高產品和容錯較強網絡構造，以使網絡具備高度可靠性。應采用多層次冗余備份手段和技術，保證設備在發生故障時能在最短時間內恢復，以最大限度地保證網絡正常運轉。3.1.2高安全性依照建行管理制度和網絡方略制定一套完善安全政策，采用適當技術手段，充分保證網絡安全性。3.1.3先進性在技術上要到達當前國際先進水平。要采用最大先進網絡技術，以適應大量數據和多媒體信息傳播，既要滿足當前業務需求，又要充分考慮將來發展，保證網絡建成后3-5年不落后，選用符合國際原則系統和產品，以保證系統具備較長生命力和擴展能力，滿足將來系統升級規定。3.1.4易管理、易維護由于計算機網絡系統規模龐大，需要網絡系統具備良好可管理性，網管系統應具備監測、故障診斷、故障隔離、過濾設立等功能，以便于系統管理和維護。同步應盡量選用集成度高、模塊化、可通用產品，以便于管理和維護。3.1.5可擴展性網絡系統應具備良好可擴展性，隨著業務增長和應用水平提高，網絡應可平滑地擴展升級，而不需要對網絡構造設備進行大改動。

3.2系統設計概述3.2.1網絡體系構造和邏輯構造設計擬定網絡體系構造及相應通信合同，對于系統改造是一種十分很重要問題。由于網絡系統改造涉及到許多部門，而這些部門有在使用某些專用系統，有需要與其他專用系統相連。因而，要共享網絡資源及在網絡中互換信息，就必要實現不同系統間實體通信，這需要不同系統采用同一合同.。網絡體系構造擬定：骨干網絡使用互換式迅速以太網。本網絡大量采用以太網產品，由于以太網發展最為迅速，當前擁有廣泛顧客和眾多產品，容易得到支持。網絡主干采用100Mb/S互換式以太網，因素如下：采用100Mb/s以太網互換技術,可使網絡主干速率成倍增長；便于向千兆位以太網過渡；技術成熟；有大量成功案例可查。3.2.2網絡拓撲構造采用星型網絡互換技術。通過相應管理軟件，在不變化網絡節點物理位置狀況下，可以對網絡邏輯構造進行合理劃分，即建立虛擬網絡，來達到網絡信息流量有效控制。3.2.3網絡管理系統擬定人們往往只注重網絡靜態性能，而忽視了對網絡動態解決方案重要性結識。事實上，網絡管理有著極其重要意義。通過網管軟件可以便地擬定網絡故障點，及時解決問題；也可對網絡信息流量進行有效控制和分流。要管理網絡端口，需要網上每臺設備都支持SNMP。依照本網絡特點，規定網管程序可以跨越地區對異地網絡節點進行管理。3.2.4連接Internet在與Internet連接方面，通過代理服務器，運用ADSL專線訪問服務器，實現與遠程客戶信息交流。同步，還設立了網管工作站，監控網絡運營狀況，使網絡達到最大運用效率。

四、系統方案4.1局域網設計方案4.1.1基本網絡構造設計基本網絡物理構造采用1臺Cisco帶第三層路由互換功能千兆以太網互換機–Catalyst2948G-L3做中心互換機，采用7臺CiscoCatalyst3548XLEnterpriseEdition互換機（帶千兆網堆疊模塊）做桌面互換機，每2（3）臺堆疊成一組，通過一種千兆以太網模塊上聯至主干，下聯至300各種客戶工作站。各服務器、防火墻主機和路由器通過100兆迅速以太網端口直接與中心互換機相聯。1） 中心互換機配備千兆以太網互換機Catalyst2948G-L3置于主設備間。中心互換機配備1塊20端口10M/100M自適應以太網互換模塊、1塊12端口10M/100M自適應第三層互換模塊、8塊2端口1000Base-SX輸入輸出模塊和1塊2端口1000Base-LX輸出模塊。互換機預留1塊24Gbps千兆以太網互換引擎模塊接口。2） 桌面互換機配備桌面互換機依照顧客實際狀況采用7臺CiscoCatalyst3548XLEnterpriseEdition互換機，每2（3）臺堆疊成一組，共3組，每組配備如下：Catalyst3548XL帶48個10/100Base-T自適應端口Catalyst3548XL堆疊模塊Catalyst3548XL千兆位上聯模塊虛擬網（VLAN）構建VLAN是一種互換網絡，它可以按功能、部門或是應用為基本來加以邏輯上劃分，而不是以實體或物理位置為基本來劃分。VLAN建立是為了提供更好分段服務，每一種VLAN就是一種廣播域，也就等于WinNT網絡中一種子網。這樣可以更有效控制廣播，對于訪問控制以及尋常網絡管理也可以做到較好控制。采用VLAN具備下述優勢。

1）控制網絡上廣播風暴VLAN可以提供建立防火墻機制,防止互換網絡過量廣播風暴,使用VLAN,可以將某個互換端口或顧客賦于某一種特定VLAN組,該VLAN組可以在一種互換網中或跨接各種互換機,在一種VLAN中廣播風暴不會送到VLAN之外,同樣,相鄰端口不會收到其她VLAN產生廣播風暴。這樣,可以減少廣播流量,釋放帶寬給顧客應用,減少廣播風暴產生。2）增長網絡安全性使用共享式LAN,安全性很難保證,VLAN提供了安全性防火墻,限制了個別顧客訪問,控制組大小及位置等。互換端口可以基于應用類型和訪問特權來進行分組,被限制應用程序和資源普通置于安全性VLAN中。3）集中化管理控制 通過集中化VLAN管理程序,網絡管理員可以擬定VLAN組,分派特定顧客和互換端口給這些VLAN組,設立安全性級別,限制廣播域大小,通過冗余鏈路負載分擔網絡流量,跨越互換機配備VLAN通信,監控交通流量和VLAN使用網絡帶寬。這些能力有效提高了網絡管理程序可控性,靈活性和監視功能,減少了管理費用，增長了集中管理功能。本網絡系統提成各種邏輯子網，一種邏輯子網是由互換機設立VLAN。不同VLAN之間在數據鏈路層(第二層)是互不連通，當她們需要互相訪問時，必要通過路由器或具備路由能力互換機（第三層互換機）使它們在網絡層(第三層)連接起來。本系統種所采用Catalyst2948G-L3具備第三層路由模塊，不需要附加路由器，VLAN之間通信在Catalyst2948G-L3互換機內部即可解決，可以建立跨過多臺互換機而在整個網絡中起作用VLAN。Catalyst2948G-L3和Catalyst3548XLEnterpriseEdition都支持VLAN劃分，同步由于都支持802.1Q技術，也就能實現VLAN功能，通過802.1Q，網絡中所有互換機就可以采用相似VLAN設立。服務器可以直接連接到互換機，最高速度可以達到800M。Cisco公司IOS操作系統和CiscoWorks網管軟件統一應用，以統一軟件平臺把各種不同硬件連接起來，構成有效、無縫信息系統，更有助于新應用布置，同步提高了網絡整體性能。依照端口劃分本網絡系統運用互換機端口來劃分VLAN成員，通過虛擬網管理應用程序，中心互換機端口被定義為虛擬網A、B、C三，分派到一種VLAN各個LAN網段上所有站點都在同一種廣播域中,它們互相可以直接通信，并容許共享型網絡升級。

通過互換機端口來劃分網絡成員，其配備過程簡樸明了，采用這種辦法還便于直接監控,可以對端口進行安全控制。與之相比，基于物理地址劃分方案管理起來不以便，網絡管理員經常要進行大量改動；而基于合同劃分方案又沒有什么必要，由于網絡自身基于TCP/IP合同。因而，迄今為止端口劃分是最慣用一種方式。

系統特點高性能核心互換機具備先進高速第三層互換功能,所有端口均可進行線速路由、依照各部門節點數和對帶寬需求，主干連接分別采用100Mb/s、100Mb/sTrunk和千兆以太網，使網絡性能價格比達到最佳點。先進子網劃分方案VLAN是一種互換網絡，它可以按功能、部門或是應用為基本來加以邏輯上劃分，而不是以實體或物理位置為基本來劃分。VLAN建立是為了提供更好分段服務，每一種VLAN就是一種廣播域，也就等于Win95網絡中一種子網。這樣可以更有效控制廣播，對于訪問控制以及尋常網絡管理也可以做到較好控制。充分運用CISCO產品技術優勢綜上所述，本網絡系統先進性、安全性等特性是顯而易見，但更重要是它網絡整體性能好，符合顧客需要。

4.1.2網絡服務網絡操作系統WindowsAdvancedServer是為服務器開發多用途網絡操作系統，它支持范疇廣泛重要商業應用程序和一系列豐富開發工具，可為公司顧客提供文獻打印、軟件應用、Web功能和通信等各種服務，是一種性能好、工作穩定、容易管理平臺。WindowsAdvancedServer采用模塊化設計,能使既有系統和將來先進技術相結合,因而可以在保持既有投資基本上進一步采用新技術。WindowsAdvancedServer具備如下特點：平臺無關性WindowsAdvancedServer是一種與硬件平臺無關,可伸縮服務器操作系統。它可運營在Intelx86系統、精簡指令集計算機(RISC)和DECAlpha解決機上,從而在選取計算機系統時有多自由。2）可擴展性它可以擴展到對稱多解決器上,使得需要高性能解決器時還可以加上額外解決器，支持數達到8路。WindowsAdvancedServer在Alpha平臺上支持最多32G物理內存，在Intel平臺上支持最多8G內存。3）兼容性Windows支持Windows應用程序,以及NTFS、FAT和FAT32文獻系統。

安全性Windows已將安全性內嵌入操作系統,有選取訪問控制使你能對單個文獻賦予權限。強有力集中式安全管理,即統一帳號、集中驗證、安全備份管理。Windows支持安全模板由安全屬性文獻（.inf）構成，它將所有既有安全屬性組織到一種位置以簡化安全性管理，包括帳戶方略、本地方略、時間日記、受限組、文獻系統、注冊表、系統服務七類安全性信息，也可以用作安全分析。Windows用Kerberos驗證，提供更快、更安全驗證和響應，容許顧客只登陸一次就可以訪問網絡資源。活動目錄活動目錄采用可擴展對象存儲方式存儲了網絡上所有對象信息，并使得這些信息更容易被查找到。活動目錄有靈活目錄構造，容許委派對目錄安全管理，提供更有效率權限管理。開放性支持各種傳播合同,可在各種網絡環境下工作可靠性支持各種容錯方式，有較強容錯和出錯恢復功能，在各種普通錯誤發生后一分鐘內自動重啟應用軟件集成Web服務MicrosoftWindows平臺上提供Internet信息服務（IIS），該服務可提供在Intranet或Internet上共享文檔和信息能力。運用IIS，可以布置靈活可靠、基于Web應用程序，并可將既有數據和應用程序轉移到Web上。 可見Windows是十分抱負網絡應用平臺，可應用于擁有各種操作系統和提供Internet服務部門和應用程序服務器。咱們建議采用WindowsAdvanceServer作為網絡服務器操作系統，用WindowsServer作為應用服務器操作系統。應用功能1）辦公自動化和電子郵件服務MicrosoftExchangeServer是帶有集成組件電子信息互換服務器，它使通訊交流更容易。它在單一平臺上結合電子郵件、群組工作表、電子表格和組件應用程序，可以通過一種集中化管理程序進行管理。它提供了業界最強擴展性、可靠性和安全性和最高解決性能，而所有應用都可以從通過Internet瀏覽器來訪問。與微軟BackOffice產品相結合，使用通用、熟悉開發工具，ExchangeServer可以迅速提供和實行強大業務協作解決方案，滿足顧客對Intranet協作多層次需求，提高公司競爭實力。本電子系統構建于MicrosoftExchangeServer電子互換服務器，安裝Exchange服務器作為郵局，存儲、互換、管理郵件系統中顧客和信件，以電子郵件為基本，解決公司所有郵件，構成信息傳遞基本，并在此基本上構建如下應用：個人級應用重要完畢公司內部工作人員尋常辦公工作管理，構建電子辦公室環境。完畢文書解決、電子表格、電子傳真、電子郵件、個人日程安排等功能。構建MicrosoftWindows98和MicrosoftOffice97/套件基本上。部門級應用通過MicrosoftExchangeServerSchedule+和MicrosoftOffice97/Outlook來協調部門工作，解決會議祈求、資源分派和工作安排等。公司級應用構造公文自動解決系統和檔案自動管理系統等辦公自動化應用。通過電子公示板和WWW構建信息發布和查詢應用，構建與InternetInformationServer和MicrosoftSQLServer基本上，形成內部Intranet。數據庫應用當前應用比較廣泛大型數據庫系統重要有Informix、Oracle、Sybase、Microsoft-SQLServer依照當前業務系統特點，充分考慮此后系統開放性、高效性、聯機事務解決規定，數據庫系統應當采用SQLServer類型，綜合當前SQLServer產品現狀，咱們建議采用Microsoft-SQLServer，并使用獨立數據庫服務器以提高性能。其因素重要有如下幾點：由于本系統體系構造采用客戶/服務器模式，Microsoft-SQLServer擁有廣泛客戶基本，考慮到本模塊重要與控制中心進行數據互換及解決，因而充分預計其他業務及有關系統規定，采用Microsoft-SQLServer便于進行與其他系統數據轉換及解決。本系統面臨一逐漸推廣使用過程，因而規定在系統構造時充分考慮其擴展性。MICROSOFTSQLServer具備開放體系構造，由于其公開接口規格，使得當前多數4GL程序開發語言均支持對SQLServer聯接，因而MICROSOFTSQLServer可以面向各種系統開發，便于解決與其他系統接口問題?？缮炜s性：SQLServer所有表、SQL代碼、存儲過程、規則、觸發器都可以在不同平臺上運營。在單顧客開發環境下開發應用可以延伸到多顧客開發平臺上運營，并且它便于向大型、具備并行解決能力開放系統硬件環境轉移?；ゲ僮餍裕篗ICROSOFT客戶/服務器系統可以透明地與其他廠商產品聯結集成，如DB2、Oracle。分布式數據庫支持：MICROSOFTSQLServer便于廣域網絡環境下管理數據復制和分布。較大機構建立應用時，可以把它們SQLServer網絡當作一種單一集成資源來對待。MICROSOFTSQLServer與Windows連接緊密：當前SQLServer產品較多，但與Windows連接緊密且性能優越當數MICROSOFTSQLServer。MICROSOFTSQLServer有良好安全性，達到C2級安全規定。在SQLServe數據庫基本上，可運用各種數據庫開發工具開發數據庫管理系統，也可使用當前流行基于Windows平臺MIS管理系統。3）域名服務由于IP地址是使用一長串數字來標注主機鶴其她網絡設備，非常難于記憶和不便于使用，因而當前在Internet上，采用一種具備直觀含義名字來代替以數字方式表達IP地址，這種名字形式地址稱為域名地址，整個分層域名地址體系即是域名解析（DNS）。對于公司來說，域名是公司在網上標志，也是公司推廣自身形象網絡門戶。域名解析是當前網絡中一種成熟技術，在本系統中將用WindowsDNS系統來做域名服務。Windows涉及DNS系統支持新DDNS原則，既支持動態更新，又可以兼容于NT4網絡，支持手工刷新，結合了WINS動態能力和老式DNS穩定性和健壯性。在Windows中，活動目錄與DNS緊密集成在一起，客戶可以更容易更迅速地找到目錄服務器，公司可以把活動目錄直接連接到Internet以簡化與客戶和合伙伙伴進行通訊和提供電子商務，網絡規劃和管理變得更容易。4)遠程訪問服務RAS（遠程訪問服務）接入提供了合同封裝和數據加密功能，容許移動顧客通過Internet或公共網絡建立虛擬專用網絡（VPN）模仿點對點專用連接，在計算機之間收發數據，其效果與在專用線路上進行數據傳播同樣安全、有效。在本系統中Cisco遠程路由器配有三個Modem端口，外出工作人員可通過電話網撥號遠程接入與公司進行安全信息互換。5）Web服務Windows服務器中內置了一種新Web服務器--InternetInformationServer(IIS)5.0。IIS以其強大服務能力和豐富開發手段，使其成為了電子商務重要服務器平臺，5.0在原有基本上，又增長了許多新功能：IIS5.0將運營在它上面Web站點應用和IIS核心服務隔離開來，并且可以對每個站點應用配備獨立CPU使用率，并可以獨立停止和重起每個進程。這大大提高了Web服務器可靠性和穩定性，是您建立電子商務站點運營更加可靠。在安全性方面，IIS5.0可以使用WindowsActiveDirectory實現顧客身份驗證，也可以使用證書和ActiveDirectory結合來驗證顧客。這為電子商務系統提供了即靈活又可靠對顧客身份確認。IIS5.0上Web站點開發使用時ActiveServerPage(ASP)3.0。ASP提供了強大功能和與Windows緊密集成，同步ASP3.0又進一步提高了效率。ASP3.0提供了和XML集成，同步也可以用ADSI2.0對WindowsActiveDirectory進行操作。使用MicrosoftVisualInterDev6.0開發工具，您可以迅速建立您電子商務系統，也可以建立一種復雜但是功能強勁電子商務系統。因而在本系統中將配備一臺Web服務器，使用IIS5.0進行Web開發，提供完善Web服務。6）多媒體信息傳播依照客戶需求，本系統采用MicrosoftNetMeeting構建多媒體會議系統。

4.1.3備份服務（建議采用）使用計算機系統解決尋常業務在提高效率同步，有一種問題越來越不容忽視，即數據失效問題。一旦發生數據失效，公司就會陷入困境：客戶資料、技術文獻、財務賬目等數據也許被破壞得面目全非，如果系統無法順利恢復，最后結局將不堪設想。因此公司信息化限度越高，備份和劫難恢復辦法就越重要。依照系統自身特點和對備份功能規定，咱們建議在本系統中采用CA公司ARCserve備份系統。ARCserve是一個跨平臺網絡數據備份軟件，在數據保護、劫難恢復、病毒防護方面均提供全面產品支持，當前已成為了業界事實原則。CA公司軟件產品涵蓋大型網絡管理、數據庫系統和工具軟件等諸多方面。全球最大500家公司中有95%使用了CA公司產品。產品特性：全面保護Windows操作系統支持打開文獻備份支持對各種數據庫如Betrieve、Sybase、Oracle等備份支持從服務器到工作站全面網絡備份可以實現無人值守自動備份備份前掃描病毒，可以實現無毒備份支持劫難恢復

4.1.4Cisco網絡管理CiscoWorksWindows是一種適合中小公司網絡全面網絡管理解決方案。該經濟有效而又易于學習產品為管理基于Cisco互換機、路由器、集線器和訪問服務器網絡提供一系列強大監控和配備工具。通過使用IpswitchWhatsUpGold，您還可以監控打印機、工作站、服務器和重要網絡服務。CiscoWorksWindows5.0具有下列組件：CiscoView5.0版-提供Cisco設備圖形后視圖和前視圖；動態色標圖形顯示簡化了設備狀態監控；特定設備組件診斷、設備配備和應用發布；Ipswitch公司WhatsUpGold4.05版-提供網絡發現、映象、監控和報警跟蹤；閾值管理器-增強了在CiscoRMON啟動設備上設定閾值能力，減少了管理開銷，改進了故障診斷功能；StackMaker-容許顧客將特定類型各種Cisco設備結合在單個堆疊中，并在單個窗口中可視地管理它們；顯示命令-顯示詳細路由器系統和合同信息，而無需顧客記住復雜CiscoIOS命令行語言和語法。CiscoWorksWindows提供以下特性：對連網設備自動辨認程序可以用色彩鮮明分級網絡視IPIPX網生成網絡拓樸圖；能為Cisco設備獲取端口狀態，帶寬使用率，流量記錄，合同信息及其他網絡性能記錄等擴展數據；繪圖功能靈活，可迅速記錄和分析也許輸出到文獻以備電子數據表或其他工具使用歷史數據；管理信息率（MIB）編輯器和測覽器可以管理第三方SNMP設備；可以定各種性能變量設立，以便產生報警或事件告知；事件篩選器可以篩選出有用信息以加速故障排除；設備配備特性用于在Cisco互換機內配備簡樸虛擬LAN（VLAN）。

4.1.5局域網拓撲圖

4.2局域網防火墻及防病毒解決方案4.2.1網絡安全風險分析對于信息網所面臨安全風險涉及網絡環境多方面，涉及：自然災害——水災、火災、地震等；電子化系統故障——系統硬件、電力系統故障等；人員無意識行為——編碼缺陷、系統配備漏洞、誤操作及無意泄漏等；人員蓄意行為——網絡環境可用性破壞、惡意襲擊等。其中，前三個方面風險可以通過增強對網絡環境抗自然災害能力、加強網絡設備管理維護、系統操作管理等手段來加以完善，盡量將風險減少到可以被控制和管理限度。而對于第四方面安全風險，對整個信息網安全環境所構成危害最大，同步也是最難于管理與防范。且不但僅可以通過加強對網絡環境及人員安全管理所可以實現，盡管安全管理非常重要。同步需要相應安全技術手段輔助完畢。這也是本安全方案所要詳細闡述。對于在信息網環境中，采用何種安全技術手段且如何實現，就需要通過對前面提到第四方面安全風險分析基本上，針對信息網安全需求來擬定。 對于風險來說，它應涉及那些可以被管理但又不能被清除，以及那些可以中斷網絡工作流并對工作環境導致破壞性威脅。其中，重要涉及：對于網絡應用服務非授權訪問；信息交互保密性；網絡病毒傳播與滲入；網絡黑客行為。 通過對以上重要網絡威脅分析，使咱們可以精確把握信息網網絡安全需求。4.2.2需求分析 網絡安全需求是保護網絡不受破壞，保證網絡服務可用性。對于信息網絡內部安全需求，涉及：可以滿足信息網絡內授權顧客對有關專用網絡資源訪問；可以對于非授權顧客訪問進行有效控制和報警；可以堅決杜絕病毒和其她危險程序進入網絡；可以對于遠程訪問顧客進行安全管理；加強對于整個信息網絡資源和人員安全管理與培訓。4.2.3安全管理需求分析如前所述，能否制定一種統一安全方略，在全網范疇內實現統一安全管理，對于信息網來說就至關重要了。安全管理重要涉及兩個方面：內部安全管理重要是建立內部安全管理制度，如機房管理制度、設備管理制度、安全系統管理制度、病毒防范制度、操作安全管理制度、安全事件應急制度等，并采用切實有效辦法保證制度執行。內部安全管理重要采用行政手段和技術手段相結合辦法。

網絡安全管理在網絡上設立防病毒安全檢測系統后，必要保證防病毒系統設立對的，且其配備不容許被隨便修改。采用顧客和口令認證機制加強對顧客管理，可以通過財務軟件自身和某些網絡層管理工具來實現。4.2.4安全方案依照對信息網現階段安全需求分析，咱們在設計本安全方案時，將采用一切有力辦法，來實現信息網現階段安全目的，考慮到現階段對網絡病毒管理規定，本方案提出對網絡病毒防范和管理控制建議，并提出了現階段網絡安全管理方案。4.2.5網絡設備安全配備信息網中，整個網絡安全一方面要保證網絡設備安全，保證非授權顧客不能訪問網絡任意網絡通訊設備（例如：路由器，集線器等）。對不同型號、廠家網絡設備，要防范內容是同樣，但詳細配備辦法須依照設備規定來實現。4.2.6對服務器訪問控制對于服務器顧客可以設立不同顧客權限，如“非特權”和“特權”兩種訪問權限，非特權訪問權限容許顧客在服務器上查詢某些公眾信息但無法對服務器進行配備；特權訪問權限則容許顧客對服務器進行完全配備。

對服務器訪問控制建議使用如下方式：控制臺訪問控制限制訪問空閑時間口令保護多級管理員權限4.2.7CheckPointFireWall-14.0產品簡介作為開放安全公司互聯聯盟(OPSEC)組織和倡導者之一，CheckPoint公司致力于公司級網絡安全產品研發，據IDC近來記錄，其FireWall-1防火墻在市場占有率上已超過44%，《財富》排名前100大公司里近80%選用了CheckPointFireWall-1防火墻。CheckPointFireWall-1產品涉及如下模塊：1)基本模塊：狀態檢測模塊（InspectionModule）：提供訪問控制、客戶機認證、會話認證、地址翻譯和審計功能；防火墻模塊（FireWallModule）：包括一種狀態檢測模塊，此外提供顧客認證、內容安全和多防火墻同步功能；管理模塊（ManagementModule）：對一種或各種安全方略執行點（安裝了FireWall-1某個模塊，如狀態檢測模塊、防火墻模塊或路由器安全管理模塊等系統）提供集中、圖形化安全管理功能；

2)可選模塊連接控制（ConnectControl）：為提供相似服務各種應用服務器提供負載平衡功能；路由器安全管理模塊（RouterSecurityManagement）：提供通過防火墻管理工作站配備、維護3Com，Cisco，Bay等路由器安全規則；其他模塊，如加密模塊等。圖形顧客界面（GUI）：是管理模塊功能體現，涉及方略編輯器：維護管理對象、建立安全規則、把安全規則施加到安全方略執行點上去；日記查看器：查看通過防火墻連接，辨認并阻斷襲擊；系統狀態查看器：查看所有被保護對象狀態。FireWall-1提供單網關和公司級兩種產品組合：單網關產品：只有防火墻模塊（包括狀態檢測模塊）、管理模塊和圖形顧客界面各一種，且防火墻模塊和管理模塊必要安裝在同一臺機器上。公司級產品：可以有若干基本模塊和可選模塊以及圖形顧客界面構成，特別是也許配備較多防火墻模塊和獨立狀態檢測模塊。公司級產品不同模塊可以安裝在不同機器上。

狀態檢測機制FireWall-1采用CheckPoint公司狀態檢測（StatefulInspection）專利技術，以不同服務區別應用類型，為網絡提供高安全、高性能和高擴展性保證。FireWall-1狀態檢測模塊分析所有包通訊層，汲取有關通信和應用程序狀態信息。狀態檢測模塊可以理解并學習各種合同和應用，以支持各種最新應用。狀態檢測模塊截獲、分析并解決所有試圖通過防火墻數據包，保證網絡高度安全和數據完整。網絡和各種應用通信狀態動態存儲、更新到動態狀態表中，結合預定義好規則，實現安全方略。狀態檢測模塊可以辨認不同應用服務類型，還可以通過此前通信及其他應用程序分析出狀態信息。狀態檢測模塊檢查IP地址、端口以及其他需要信息以決定通信包與否滿足安全方略。狀態檢測模塊把有關狀態和狀態之間關聯信息存儲到動態連接表中并隨時更新，通過這些數據，FireWall-1可以檢測到后繼通信。狀態檢測技術相應用程序透明，不需要針對每個服務設立單獨代理，使其具備更高安全性、高性能、更好伸縮性和擴展性，可以很容易把顧客新應用添加到保護服務中去。FireWall-1提供INSPECT語言，結合FireWall-1安全規則、應用辨認知識、狀態關聯信息以及通信數據構成了一種強大安全系統。INSPECT是一種面向對象腳本語言，為狀態檢測模塊提供安全規則。通過方略編輯器制定規則存為一種用INSPECT寫成腳本文獻，通過編譯生成代碼并被加載到安裝有狀態檢測模塊系統上。腳本文獻是ASCII文獻，可以編輯，以滿足顧客特定安全規定。OPSECCheckPoint是開放安全公司互聯聯盟(OPSEC)組織和倡導者之一。OPSEC容許顧客通過一種開放、可擴展框架集成、管理所有網絡安全產品。OPSEC通過把FireWall-1嵌入到已有網絡平臺（如Unix、NT服務器、路由器、互換機以及防火墻產品），或把其他安全產品無縫集成到FireWall-1中，為顧客提供一種開放、可擴展安全框架。當前已有涉及IBM、HP、Sun、Cisco、BAY等超過135個公司加入到OPSEC聯盟。公司級防火墻安全管理FireWall-1容許公司定義并執行統一防火墻中央管理安全方略。公司防火墻安全方略都存儲在防火墻管理模塊一種規則庫里。規則庫里存儲是某些有序規則，每條規則分別指定了源地址、目地址、服務類型（HTTP、FTP、TELNET等）、針對該連接安全辦法（放行、回絕、丟棄或者是需要通過認證等）、需要采用行動（日記記錄、報警等）、以及安全方略執行點（是在防火墻網關還是在路由器或者其他保護對象上上實行該規則）。FireWall-1管理員通過一種防火墻管理工作站管理該規則庫，建立、維護安全方略，加載安全規則到裝載了防火墻或狀態檢測模塊系統上。這些系統和管理工作站之間通信必要先通過認證，然后通過加密信道傳播。FireWall-1直觀圖形顧客界面為集中管理、執行公司安全方略提供了強有力工具:安全方略編輯器：維護被保護對象，維護規則庫，添加、編輯、刪除規則，加載規則到安裝了狀態檢測模塊系統上。日記管理器：提供可視化對所有通過防火墻網關連接跟蹤、監視和記錄信息，提供實時報警和入侵檢測及阻斷功能。系統狀態查看器：提供實時系統狀態、審計和報警功能。分布客戶機/服務器構造FireWall-1通過度布式客戶機/服務器構造管理安全方略，保證高性能、高伸縮性和集中控制。FireWall-1由基本模塊（防火墻模塊、狀態檢測模塊和管理模塊）和某些可選模塊構成。這些模塊可以通過不同數量、平臺組合配備成靈活客戶機/服務器構造。管理模塊涉及了圖形顧客界面和管理員定義有關管理對象—規則庫，網絡對象，服務、顧客等。防火墻模塊、狀態檢測模塊以及其他可選模塊用來執行安全方略，安裝了這些模塊系統稱為受保護對象（FirewalledSystem），又稱為安全方略執行點（SecurityEnforcementPoint）。FireWall-1客戶機/服務器構造是完全集成，只有一種統一安全方略和一種規則庫，通過一種單一防火墻管理工作站，管理各種裝載了防火墻模塊、狀態檢測模塊或可選模塊系統。認證（Authentication）遠程顧客和撥號顧客可以通過FireWall-1認證后，訪問內部資源。FireWall-1可以在不修改本地服務器或客戶應用程序狀況下，對試圖訪問內部服務器顧客進行身份認證。FireWall-1認證服務集成在其安全方略中，通過圖形顧客界面集中管理，通過日記管理器監視、跟蹤認證會話。FireWall-1提供三種認證辦法：顧客認證（UserAuthentication）：針對特定服務提供基于顧客透明身份認證，服務限于FTP、TELNET、HTTP、HTTPS、RLOGIN?？蛻魴C認證（ClientAuthentication）：基于客戶機IP認證，對訪問合同不做直接限制?？蛻魴C認證不是透明，需要顧客先登錄到防火墻認證IP和顧客身份之后，才容許訪問應用服務器?？蛻魴C不需要添加任何附加軟件或做修改。當顧客通過顧客認證或會話認證后，同步也就已經通過客戶機認證。會話認證（SessionAuthentication）：提供基于服務會話透明認證，與IP無關。采用會話認證客戶機必要安裝一種會話認證代理，訪問不同服務時必要單獨認證。FireWall-1提供各種認證機制供顧客選取：S/Key，FireWall-1Password，OSPassword，LDAP，SecureID，RADIUS，TACACS等。地址翻譯（NAT）FireWall-1支持三種不同地址翻譯模式：靜態源地址翻譯：當內部一種數據包通過防火墻出去時，把其源地址（普通是一種內部保存地址）轉換成一種合法地址。靜態源地址翻譯與靜態目地址翻譯普通是配合使用。靜態目地址翻譯：當外部一種數據包通過防火墻進入內部網時，把其目地址（合法地址）轉換成一種內部使用地址（普通是內部保存地址）。動態地址翻譯（也稱為隱藏模式）：把一種內部網地址段轉換成一種合法地址，以解決公司合法IP地址太少問題，同步隱藏內部網絡構造，提高網絡安全性能。內容安全FireWall-1內容安全服務保護網絡免遭各種威脅，涉及病毒、Jave和ActiveX代碼襲擊等。內容安全服務可以通過定義特定資源對象，制定與其他安全方略類似規則來完畢。內容安全與FireWall-1其他安全特性集成在一起，通過圖形顧客界面集中管理。OPSEC提供應用開發接口（API）以集成第三方內容過濾系統。FireWall-1內容安全服務涉及：運用第三方防病毒服務器，通過防火墻規則配備，掃描通過防火墻文獻，清除計算機病毒；依照安全方略，在訪問WEB資源時，從HTTP頁面剝離JavaApplet，ActiveX等小程序及Java，Script等代碼；顧客定義過濾條件，過濾URL；控制FTP操作，過濾FTP傳播文獻內容；SMTP內容安全（隱藏內部地址、剝離特定類型附件等）；可以設立在發現異常時進行記錄或報警；通過控制臺集中管理、配備、維護。連接控制FireWall-1連接控制模塊提供了負載平衡功能，在提供相似服務各種應用服務器之間實現負載分擔，應用服務器不規定都放在防火墻背面。顧客可選用不同負載均衡算法：ServerLoad—該辦法由服務器提供負載均衡算法，需要在應用服務器端安裝負載測量引擎；RoundTrip—FireWall-1運用ping命令測定防火墻到各個應用服務器之間循回時間，選用循回時間最小者響應顧客祈求；RoundRobin—FireWall-1依照其登記表中狀況，簡樸地指定下一種應用服務器響應；Random—FireWall-1隨機選用應用服務器響應；Domain—FireWall-1按照域名近來原則，指定近來應用服務器響應。路由器安全管理可以通過FireWall-1管理工作站對公司范疇內路由器提供集中安全管理：通過圖形顧客界面生成路由器過濾和配備；引入、維護路由器訪問控制列表；記錄路由器事件（需要路由器支持日記功能）；在路由器上執行通過圖形顧客界面制定安全方略。

FireWall-1可以集中管理如下路由器：BayNetworksrouters，version7.x-12.xCiscorouters，IOSversion9-11CiscoPIXFirewall，version3.0，4.03ComNetBuilder，version9.xMicrosoftRAS(Steelhead)RoutersforWindowsNTserver4.x

4.2.8防火墻及防病毒解決方案軟件規定CheckpointFireWall-14.1(50顧客)forWindowsNortonAntivirus6.0forWindows網絡管理軟件硬件規定Cisco2610模塊式路由器服務器（雙網卡，一塊為內部網用一塊為外部網使用）防火墻網絡圖

4.3城域網建設4.3.1基本概述地鐵設計院城域網建設范疇由中旅商業城十六層廣州地鐵總公司（地鐵中心機房）、芳村坑口運營事業總部、廣百商業大廈二十九層資源開發總部、公園前控制中心建設事業總部、環市西路204號地鐵設計院5個部構成。租用電信線路，采用幀中繼技術組建廣州地鐵城域網，同步支持電話撥號訪問（租用一條256K幀中繼線和3條電話線供撥號訪問）。城域網建設涉及如下幾方面內容：路由器安裝、配備和調試；通訊服務器安裝、調試；Web服務器安裝、調試；Mail服務器安裝、調試；防火墻安裝、設立；城域網網管系統安裝、調試；城域網網絡測試；在城域網建設中核心要素有：路由器選型、路由器與通訊服務器安裝、配備和調試以及“防火墻“組建和網管系統安裝、調試。4.3.2通訊線路和撥號訪問服務廣州地鐵設計院網絡建設中城域網所用通訊線路或傳播技術重要有兩種：一為FR、二為PSTN，采用租用256K幀中繼線和3條電話線供撥號訪問

4.3.3虛擬專用網VPN技術VPN是一種虛擬網，其重要意義在于"虛擬"和"專用"。為了實當前公網之上傳播私有數據，必要滿足其安全性。VPN技術重要體當前兩個技術要點上：Tunnel、有關隧道合同（涉及PPTP，L2F，L2TP），數據安全合同（IPSEC）。下面針對這幾項技術做一簡介。加密和顧客授權為在公司網上進行個人通信提供了安全保證。隧道（Tunneling）技術簡介VPN在表面上是一種聯網方式，比起專線網絡來，它具備許多長處。在VPN中，通過采用一種所謂"隧道"技術，可以通過公共路由網絡傳送數據分組，例如Internet網或其她商業性網絡。這里，專有"隧道"類似于點到點連接。這種方式可以使得來自許多源網絡流量從同一種基本設施中通過度開隧道。這種隧道技術使用點對點通信合同代替了互換連接，通過路由網絡來連接數據地址。隧道技術容許授權移動顧客或已授權顧客在任何時間任何地點訪問公司網絡。通過TUNNEL建立，可實現如下功能：將數據流量強制到特定目地隱藏私有網絡地址在IP網上傳播非IP合同數據包提供數據安全支持協助完畢顧客基于AAA管理。在安全面可提供數據包認證、數據加密以及密鑰管理等手段。撥號VPNs使用隧道技術遠程訪問服務器把顧客數據打包進IP信息包中，這些信息包通過電信服務提供商網絡傳遞，在Internet里，則需要穿過不同網絡，最后到達隧道終點，然后數據拆包，轉發成最初形式。VPN容許網絡合同轉換，還容許對來自許多源流量進行區別，這樣可以指定特定目地，接受指定級別服務。公司網進行遠程訪問通信，從電路互換，長距離本地電信服務提供商到ISPs和Internet需要采用隧道技術。隧道技術使用點對點通信合同，代替了互換連接，通過路由網絡來連接數據地址。這代替了電話互換網絡使用電話號碼連接。隧道技術容許授權移動顧客或已授權顧客再任何時間任何地點訪問公司網絡。應用授權技術，隧道技術也禁止未授權訪問。4.3.4網管軟件平臺和網管軟件網管軟件平臺是一種綜合網絡管理軟件，她不但具備網絡管理基本功能，并且顧客可以運用她開發新網絡管理應用軟件。當前公認三大網管軟件平臺：IBMNetView、HPOpenView和SUNNetManger，此外尚有CA網管軟件平臺。廣州地鐵設計院城域網網管，它管理中旅商業城十六層廣州地鐵總公司（地鐵中心機房）、芳村坑口運營事業總部、廣百商業大廈二十九層資源開發總部、公園前控制中心建設事業總部、環市西路204號地鐵設計院5節點。其建設要考慮網絡硬件平臺、操作系統平臺、合同平臺、網管平臺、網管應用等各個方面，建議鐵設計院采用ICiscoWorks網管軟件網絡管理系統。

4.3.5城域網網絡架構圖

4.4Internet接入方案4.4.1ADSL簡介隨著Internet爆炸式發展，在Internet上商業應用和多媒體等服務也得以迅猛推廣。為了實現顧客接入網數字化、寬帶化，提高顧客上網速度，人們提出了多項寬帶接入網技術，涉及N-ISDN、CableModem、ADSL等等，其中ADSL（非對稱數字顧客環路）是最具前景及競爭力一種,將在將來十幾年甚至幾十年內占主導地位。

ADSL是一種通過既有普通電話線為家庭、辦公室提供寬帶數據傳播服務技術。ADSL即非對稱數字信號傳送，它可以在既有銅雙絞線，即普通電話線上提供高達10Mbit/s高速下行速率，遠高于ISDN速率；而上行速率有1Mbit/s，傳播距離達3km5km。ADSL技術重要特點是可以充分運用既有銅纜網絡（電話線網絡），在線路兩端加裝ADSL設備即可為顧客提供高寬帶服務。ADSL此外一種長處在于它可以與普通電話共存于一條電話線上，在一條普通電話線上接聽、撥打電話同步進行ADSL傳播而又互不影響。安裝ADSL也極其以便快捷，在既有電話線上安裝ADSL，除了在顧客端安裝ADSL通訊終端外，不用對既有線路作任何改動。局域網顧客具備4個靜態IP地址，可以在中華人民共和國公眾多媒體網上架設公司網站，提供WWW、FTP、E－mail等服務。隨著ADSL技術進一步推廣應用，ADSL接入還可以提供點對點遠程醫療，遠程教學，遠程可視會議等服務。

4.4.2ADSL與其他接入服務比較ADSL與CableModem比較與CableMode相比，ADSL技術具備著相稱大優勢。CableModemHFC接入方案采用分層樹型構造，其優勢是帶寬比較高（10M），但這種技術自身是一種較粗糙總線型網絡，這就意味者顧客要和鄰近顧客分享有限帶寬，當一條線路上顧客激增時，其速度將會減慢。再者，關于資料表白，大某些狀況下，HFC方案必須兼顧既有有線電視節目，而占用了某些帶寬，只剩余了一某些可供傳送其他數據信號，因此CableModem理論傳播速率只能達到一小半。國外公司實驗表白，其速率減為1M-2Mbps，更常用是400K-500Kbps。綜合來看，雖然在抱負狀態下，HFC只相稱于一種10Mbps共享式總線型以太網，而ADSL接入方案在網絡拓撲構造上較為先進，由于每個顧客均有單獨一條線路與ADSL局端相連，它構造可以看作是星型構造，它數據傳播帶寬是由每一顧客獨享。ADSL與普通撥號Modem及N-ISDN比較比起普通撥號Modem最高56K速率，以及N-ISDN128K速率，ADSL速率優勢是不言而喻。與普通撥號Modem或ISDN相比，ADSL更為吸引人地方是：它在同一銅線上分別傳送數據和語音信號，數據信號并不通過電話互換機設備，減輕了電話互換機負載，并且不需要撥號，始終在線，屬于專線上網方式。這意味著使用ADSL上網并不需要繳付此外電話費。綜合以上所述，可以看到ADSL作為一種高速接入Internet技術更具備生命力，是公司接入Internet、開展網上電子商務最佳選取。同步公司Intranet網與Internet之間設有CheckPointFireWall-1防火墻，實現了公司內部網對外信息交流控制和管理，并防止外部非法顧客進入公司Intranet網。Cisco2610路由器通過ADSLModem接入Internet，提供Internet代理服務，為公司Intranet網絡授權顧客提供通過防火墻測覽Internet服務，同步制止非授權顧客訪問Internet。

五、設備報價表5.1 產品報價表品牌規格單價數量正式投標價金額中心網絡設備Catalyst2948G-L374,250.00174,250.00互換機Catalyst3548XLEnterpriseEdition（帶千兆堆疊模塊）37,125.007259,875.00遠程訪問路由器Cisco261014,000.00570,000.00外置MODEM模塊卡、NM-4AS9,675.0019,675.00幀中繼廣域網模塊卡3,050.0013,050.00調制調解器GVC超級魔電400515.0031,545.00網絡安全軟件CheckPointFirewall-1（端口數50）32,485.00132,485.00防病毒軟件NortonAntivirus（用于6臺服務器，100臺工作站）40,300.00140,300.00網絡管理軟件CiscoWorks14,850.00114,850.00網絡設計、調試費16,000.00總計522,030.00

5.2維修報價表備件規格型號價格（元）維修費電源原廠原則配件待定500.00接口壞原廠原則配件待定1200.00模塊壞原廠原則配件待定1000.00閃存原廠原則配件待定500.00ROM原廠原則配件待定500.00

六、項目實行籌劃6.1網絡設備及系統軟件驗收內容涉及：網絡設備與否與裝箱單相符；保修單等證明文獻與否齊全；各設備硬件配備狀況；網絡設備加電試機；系統軟件合法性等。6.2項目籌劃實行按照項目籌劃進行網絡建設，涉及網絡設備和軟件安裝、調試。6.3審核施工進度依照實際施工狀況，解決也許浮現問題，保證工程如期進行。6.4網絡系統集成性能測試涉及：丟包率、錯包率、網絡線速、記錄碰撞、幀故障、網絡應用軟件配備與否合理、各種網絡服務與否實現、網絡安全性及可靠性與否符合合同規定等等。6.5完善在測試過程中也許浮現各種問題糾正在性能測試中浮現問題，保證網絡性能達到設計原則和規定，并詳細記錄問題因素和解決辦法，作為日后系統維護參照。6.6提交網絡性能測試報告6.7網絡系統集成驗收協助顧客組織驗收工作，涉及驗收委員會成立、各驗收參數擬定等；驗收重要涉及：合同履行狀況、網絡系統與否達到預期效果、各種技術文檔等。

七、系統驗收原則7.1系統驗收原則以技術和設備客觀為基本；以系統和實行完善為根據；以顧客和工程師評述為借鑒；以意見和建議中肯為原則。7.2系統驗收組織整個網絡系統建設完畢后由廣州地鐵總公司組織系統集成商進行項目驗收；驗收工作由廣州地鐵總公司主持；廣州xx有限公司做技術和項目管理方面報告；廣州地鐵總公司從顧客角度評介整個網絡系統；關于專家（測試小組）宣布測試成果；驗收組作出系統建設成敗優劣驗收意見，形成書面驗收意見書。7.3系統驗收根據系統文檔需求材料、設計方案、實行方案、設備性能參數、網絡系統技術參數測試記錄、試運營期維護記錄。

顧客文檔培訓記錄、故障記錄、顧客意見書。現場資料現場觀看、現場操作演示、現場測試、維護人員與管理人員評價。7.4系統驗收內容系統性能；網絡管理；工程質量；系統文檔；7.4.1系統性能驗收設備性能：主流廠商、主流產品、主流技術服務器Intel芯片，550MHz以上主頻，內存、外存夠用并有50%左右冗余考慮，高速I/O。局域網設備網卡、互換機100M，主干100M可互換并可堆疊，端口數夠用并有20%左右冗余，支持雙絞線連接，并預留千兆光纖主干接口。廣域網設備具備路由和轉發功能，內存、緩存夠用并有30%左右冗余，可支持PPP和LL連接，支持IP合同，端口數可滿足主備用。網絡性能：實用技術、成熟原則、安全管理技術迅速、高速以太網、（主體）星型構造、智能化可管理。原則IEEE802.3等原則，TCP/IP等事實原則，OSI/ISO等理論原則。安全訪問控制、傳播保護、病毒防治、網絡分段。管理界面和諧、操作以便，可做到構造辨認、狀態監測、流量記錄、設備配備、資源分析、故障診斷與排除。

7.4.2網管系統規定網絡監控功能規定 網管系統應能通過圖形方式顯示網絡拓撲構造、所有網絡節點工作狀態、網絡節點工作性能，可以對網絡上數據量進行記錄和顯示。1）故障報警和排除網絡管理系統在監控網絡設備、主機同步，應設立相應參數閥值。2）設備配備設定網絡管理系統應能通過局域網及廣域網對網絡上設備進行在線修改配備，實現網絡資源動態分派。3）網絡資料記錄分析網管系統將網絡設備運營狀況、網絡故障等各種信息存儲在文獻或數據庫中，供網絡管理員直接存取。網絡管理軟件平臺功能規定網絡管理軟件平臺通過SNMP合同管理全網上TCP/IP資源；網絡管理軟件平臺應支持原則MIB-II管理信息及某些重要廠家MIB管理信息；應能管理各種智能型、支持SNMP合同并采用MIB-II管理信息集網絡設備。對網絡設備管理網絡設備管理由專門系統管理軟件完畢，其功能應涉及：自動發現網絡上路由器，以不同圖標區別不同種類路由器；在一種路由器拓撲圖上顯示所有本地和遠程路由器；以便設立其她類型路由器；監控路由器上數據傳送量及錯誤數據包，當路由器發生故障或某個參數超過閥值時，能自動報警；當關于路由器某一事件發生時，在網管機中預先定義操作會自動執行以排除網絡故障或響應網絡設立變化；所有路由器信息可以長期保存在網絡管理機數據庫中；對網絡設備進行詳細配備。各種操作系統及網絡合同管理網絡配備管理功能規定自動發現網上資源，并自動以不同圖標表達；只需簡潔鼠標操作“point-and-click”，即可在圖形顧客界面上再現直觀網絡拓撲構造圖；可通過系統預定義及系統管理員定義應用查詢網上配備信息，以直觀工具代替復雜查詢指令。2)網絡問題管理功能規定網管中心可以不間斷地對網上IP資源狀態、配備和事件進行監控；系統管理員可通過設立信息過濾器來選取哪些網上信息被送至網管中心；通過事件自動響應系統可使管理員從手動操作中解放出來；有關事件變化及執行操作將作為事件歷史信息送到網管中心做記錄。3)網絡性能管理功能規定通過SNMPAgent，網絡管理軟件平臺可以監控到許多系統性能參數；網絡管理軟件平臺可以監視和報告主機CPU和磁盤運用率；運用公示欄程序“Spread-sheetprogram”，這些網絡性能信息可以以圖形或數字形式呈現，或以ASCII格式輸出；對所有功能均有顧客協助，并提供可選在線資料?；贕UI圖形界面網絡管理軟件平臺應能為網絡管理員提供圖形化網絡IP拓撲構造，使網絡管理員可以迅速以便地發現局域網上浮現IP資源并協助管理員發現故障因素，協助管理員精確測定網絡上數據傳播高峰及文獻服務器磁盤運用率。關系型數據庫支持網絡管理軟件應能支持關系型數據庫，網絡和系統信息可以存儲在這些關系型數據庫中并通過SQLAPI’s進行查詢。報告工具“ReportTools”和數據庫管理工具“DatabaseAdministrationTools”可以直接讀取這些原始數據，雖然SNMPAGENT不再存在依然可以找到這些信息。7.4.3工程質量驗收1）設備按照設計規定配備、調試，保證彼此之間互通，廣域設備地址統一、合同一致、子網清晰，局域網設備構造清晰、層次分明。2）線路按照設計規定搭配、連接，保證顧客端設備、網絡(通道)設備、通訊終端設備之間互通，廣域主備線路統一申請、統一合同，局域線路統一接口、統一線類。3）環境機房、配線間、配線設備整潔、布局合理，線路連接清晰，走線統一，整個環境干凈，溫度、濕度適當，通風良好，既客觀又美觀。7.4.4系統文檔驗收完善性含系統設計文檔--總體方案、詳細設計，系統實行文檔--工程記錄、系統配備，系統維護文檔--操作闡明、維護手冊，尚有各種設備技術文檔，規定設計、實行、維護和技術文檔齊全。

易讀性規定設計文檔、實行文檔、維護文檔進一步淺出，既詳致又精練，按類裝訂成冊，及時移送，統一歸檔，同步規定有完整備份。客觀性規定文檔客觀地反映系統及系統建設狀況，有變動及時修改，不同版本有相應闡明，同步有版本及修改、更新時間記錄。7.5系統測試、網絡管理與網絡安全原則7.5.1廣域網測試原則通斷測試測試廣域網邏輯連通性能，規定可遠程登錄或邏輯上可Ping。速率測試測試廣域網實際數據傳播能力，基本規定2NK端口實際可達NK。疏忙測試測試廣域網在繁忙事務祈求下響應能力，PSTN、ISDN等撥號線路規定接通率在50%左右。

整體測試測試廣域網絡整體性能，規定整體連通并且各終端顧客沒有明顯延遲感。7.5.2局域網測試原則速率測試 測試網絡在正常狀態下傳播速率，基本要為10/100Base-T。穩定性測試測試網絡穩定性、健壯性，基本規定是S-Ping/Ping為50%。安全性測試測試系統對非法侵入及非法顧客抵制能力是重要內容，基本原則為不容許非法登錄。通斷性測試測試網絡和線路與否暢通，基于封裝合同數據傳播與否正常，基本原則為所有線路物理上可Connect、邏輯上可Ping。破壞性測試測試網絡中某某些浮現意外中斷時與否可以及時啟用備用設備保證網絡暢通，基本規定為1小時內可切換、1天內可恢復。集成性測試測試網絡在不同廠家網絡產品配備組合之后網絡性能，基本規定為可集成不同主流廠商同檔產品。拓展性測試網絡拓展性能如何直接影響顧客資金運用率，基本規定為可擴充、冗余端口約10%。整體性測試測試網絡連通后整體性能，規定為可整體連通并無明顯延遲。7.5.3網管系統原則故障管理故障檢測、故障診斷以及故障恢復或排除，保證網絡可以持續可靠地運營。配備管理網絡拓撲構造自動辨認、顯示和管理，網絡設備配備和管理，軟件系統發行和維護。性能管理網絡流量與狀態監測、記錄與分析，性能調試，負載均衡。安全管理網絡非法顧客回絕，網絡日記管理，網絡顧客權限管理。網管系統測試可以和廣域網測試一道進行，網管系統可以作為廣域網關于測試工具和根據。7.5.4網絡安全原則網絡安全重要體當前如下三方面：訪問安全：未經授權，任何系統、任何個人都不可以進入系統有關某些；傳播安全：防止數據在網絡上進行傳播時信息泄露以及網絡邏輯損傷；病毒防治：對網絡病毒防御和清除。網絡安全辦法如下：主服務器業務數據安全備份；網絡設備與通訊線路安全備份；網絡數據傳播中數據安全控制，如加密和解密；應用系統中安全控制：操作系統和數據庫系統兩級帳戶、兩級口令等；網絡病毒疫苗（防病毒軟件）；“防火墻”、病毒“防火墻”；規范系統運營管理和系統安全管理。

八、售后服務8.1試運營期支持在系統試運營期間，廣州市xx有限公司將派出專門人員在現場指引使用人員操作；現場排除系統試運營過程中浮現硬件故障及軟件故障；提供免費熱線電話，接受顧客隨時征詢；應顧客規定，組織集中式系統課室培訓；應技術人員規定，隨時解說系統構造及設計，涉及硬件性能、系統軟件特點。8.2保修期服務在系統驗收通過后，提供對系統一年保修期；對于Cisco網絡產品提供一年免費保修服務；在一年內由廣州市xx有限公司技術人員上門解決顧客軟硬件故障；軟件系統提供一年免費升級維護期；在接到顧客維修維護祈求后2小時內給出實質性答復，需要到現場時，在4小時內到現場；設立維護熱線，為顧客提供技術征詢服務；為顧客培訓至少2名網絡系統管理人員；對核心設備提供備用件；保修期內因顧客人為因素引起系統故障，廣州市xx有限公司提供僅收取備件、備用系統費用維護服務。8.3保修期外服務五年內每年兩次上門為系統做免費檢查與故障診斷，并將檢查成果記錄存檔；對保修期外系統維護祈求，廣州市xx有限公司將積極響應，決不推委，這樣服務廣州市xx有限公司僅收取備件費和維護費；廣州市xx有限應顧客規定與顧客簽定系統維護一攬子承包合同，按合同執行系統維護將給以費用上折扣優惠；合同維護狀況下，廣州市xx有限公司承諾8小時內實質響應，合同規定期間內到現場解決問題；應顧客規定，廣州市xx有限公司為顧客提供系統故障記錄分析報告，供顧客參照；對于顧客系統升級與優化規定或者顧客構建新系統時，廣州市xx有限公司將優先響應，積極為顧客系統建設提供建議和工程實行方面服務。8.4文檔體系在廣州地鐵總公司網絡項目中，廣州市xx有限公司將為顧客提供完善、規范文檔服務，有下面幾點將予以保證：各類文檔有統一格式；各個文檔有完整統一編號，存檔備查；提供紙質、磁介質兩種格式文檔；提交文檔及時，在各個系統完畢后一種月內分別有相應文檔移送顧客；文檔將作為系統驗收必須材料。

整個文檔體系如下構成：系統設計文檔系統設計方案、構造圖、設備配備表等；此外還涉及到費用預算表、籌劃時間安排等內容。系統實行文檔設備資料、系統配備、設備連接等；此外尚有工程日記、工程值班日記、系統返工記錄等。系統維護文檔操作闡明、維護事項；另有系統測試報告、系統維修記錄、系統例行檢查記錄、系統故障記錄分析等。廣州市xx有限公司設文檔管理小組負責文檔歸總整頓和管理工作。8.5培訓籌劃8.5.1培訓目掌握Cisco路由器和互換機安裝、測試及維護辦法，以及Ios慣用命令命令用法；掌握各