旅游景区自动票务系统设计方案.docx
《旅游景区自动票务系统设计方案.docx》由会员分享,可在线阅读,更多相关《旅游景区自动票务系统设计方案.docx(64页珍藏版)》请在冰豆网上搜索。
旅游景区自动票务系统设计方案
旅游景区自动票务系统设计方案
第一章:
项目背景
一个旅游景区的面积大约有3000——5000亩大小,景区有东、西、南、北4个门,数据中心位于南门旁。
游客购买门票可以使用刷卡、网购或者现金,购买后,门票打印机自动打印带有条码的卡片门票,游客通过景区门口的翼闸读票即可通过。
每个门口2个翼闸,两台PC,景区部通过有线快速以太网连接。
服务器放置于数据中心(不考虑后台软件系统费用)。
需要购置服务器若干台,交换机如干台,PC若干台,(“若干台”者需要论证具体需要几台)。
翼闸8台,门票打印机8台。
第二章:
项目分析
2.1需求分析
某旅游景区刚刚建成,是一大型3000亩旅游景区,为了实现景区的自动化售票系统,旅游景区客流量大,一般景区年客流量大约在30-120万人次,门票方式将是非常重要的考虑因素,需要建立自己企业的Intranet。
景区有东、西、南、北4个门,数据中心位于南门旁。
游客购买门票可以使用刷卡、网购或者现金,购买后,门票打印机自动打印带有条码的卡片门票,游客通过景区门口的翼闸读票即可通过。
系统需要实现的目标如下:
(1)现有效的数据交换和共享。
企业通过两条专线接入电信和网通。
(2)景点实现售票自动化,可通过刷卡,网购或现金交易。
(3)景点对外提供购票,并且能够保证安全,不受外部或者部攻击。
(4)购买后,门票打印机自动打印带有条码的卡片门票,游客通过景区门口的翼闸读票即可通过。
(5)服务器放置于数据中心。
需要购置服务器若干台,交换机如干台,PC若干台,翼闸8台,门票打印机8台。
(6)充分考虑后续网络的接入扩展性。
(7)充分考虑数据中心部网络的安全性。
2.2网络设计原则
我们遵循以下的原则进行网络设计:
●实用性
实用性是网络系统建设的首要原则,该网络必须最大限度的满足需求,保证网络服务的质量,否则就会影响日常工作效率。
●标准化
整个网络从设计、技术和设备的选择,要确保将来可能的不同厂家设备、不同应用、不同协议连接的需求,必须支持国际标准的网络接口和协议,以提供高度的开放性。
●先进性
先进性主要是针对网络系统的设计思想、网络结构、软硬件设施以及所选用技术等方面。
只有先进的技术才可能为网络带来更高的性能,并且能保证在技术上不容易被淘汰。
●可扩展性
可扩展性是指该网络系统能够适应需求的变化。
随着技术发展,信息量增多和业务的扩大,网络将在规模和性能两方面进行一定程度的扩展。
●可靠性
网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效,核心设备需要支持冗余备份。
●安全性
网络安全性在整个网络中是个很重要的问题,网络系统建设应采取一定手段控制网络的安全性,以保证网络正常运行。
●管理性
随着网络规模和复杂程度的增加,管理和故障排除就会越来越困难。
为保障网络中心的正常运行,网络必须易于管理,支持网络网段与端口的监控、网络流量与出错的统计、网络故障的定位、诊断、修复。
2.3安全目标
该旅游景点自动售票系统安全体系建设的目标是在国家和行业相关安全政策和标准的指导下,结合信息系统自身的安全风险防需求,通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等,全面提升信息系统的安全性,能面对目前和未来一段时期的安全威胁,实现对全网安全状况的统一管理,更好地保障信息系统的正常运行,全面提升售票信息系统的安全保护水平,并达到国家信息安全等级保护相关标准的要求。
2.4设计遵循的规
综合布线
1、TIA/EIA-568A
商业大楼电信布线标准(加拿大采用CSA工T529)
2、EIA/TIA-569
电信通道和空间的商业大楼标准(CSAT530)
3、EIA/TIA-570
住宅和N型商业电信布线标准CSAT525
4、TIA/EIA-606
商业大楼电信基础设施的管理标准(CSAT528)
5、TIA/EIA-607
商业大楼接地/连接要求(CSAT527)
6、ANSI/IEEE802.5-1989
令牌环网访问方法和物理层规
7、GB50311-2007
《建筑与建筑群综合布线系统工程设计规》
8、GB50312-2007
《建筑与建筑群综合布线系统工程验收规》
9、CECS72:
97
《建筑与建筑群综合布线系统工程设计及验收规》
网络系统
在整个项目的建设过程中,我公司将遵循和参照最新的、最权威的、最具有代表性的信息安全标准。
这些安全标准包括:
1、ISO/IEC15408Informationtechnology–Securitytechniques–EvaluationcriteriaforITsecurity信息技术—安全技术—信息技术安全评估准则(等同于CommonCriteriaforInformationTechnologySecurityEvaluationV2.1,简称CCV2.1)
2、BS7799Codeofpracticeforinformationsecuritymanagement信息安全管理纲要(即将被ISO采纳为ISO17799)
3、IETF-RFC—RequestsForComments是InternetEngineeringTaskForce组织发布的TCP/IP标准及相关说明等资料。
其中有许多有关安全的标准和说明作为本项目的参考标准和资料。
4、我国的国家标准GB、国家军用标准GJB、公共安全行业标准GA、行业标准SJ等标准作为本项目的参考标准。
5、GB9813-88《微型数字电子计算机通用技术条件》
6、JY0001-88《教学仪器产品的检验规则》
7、JY0002-88《教学仪器产品的检验规则》
8、JY0009-90《教学电子仪器的环境要求和试验方法》
第三章:
项目涉及的相关理论和技术
1)防火墙:
所谓防火墙指的是一个有软件和硬件设备组合而成、在部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
防火墙是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离部和外部网络,以阻挡来自外部的网络入侵。
2)访问控制列表:
访问控制列表(AccessControlLists,ACL)是应用在路由器接口的指令列表。
这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。
至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。
作为外网进入企业网的第一道关卡,路由器上的访问控制列表成为保护网安全的有效手段。
此外,在路由器的许多其他配置任务中都需要使用访问控制列表,如网络地址转换(NetworkAddressTranslation,NAT)、按需拨号路由(DialonDemandRouting,DDR)、路由重分布(RoutingRedistribution)、策略路由(Policy-BasedRouting,PBR)等很多场合都需要访问控制列表。
3)地址转化(NAT):
路由器将私有地址转换为公有地址使数据包能够发到因特网上,同时从因特网上接收数据包时,将公用地址转换为私有地址。
在计算机网络中,网络地址转换(NetworkAddressTranslation或简称NAT,也叫做网络掩蔽或者IP掩蔽)是一种在IP数据包通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术。
4)生成树:
生成树算法的网桥协议STP(SpanningTreeProtocol)它通过生成生成树保证一个已知的
网桥在网络拓扑中沿一个环动态工作。
网桥与其他网桥交换BPDU消息来监测环路,然后
关闭选择的网桥接口取消环路,统指IEEE802·1生成树协议标准和早期的数字设备合作生
成树协议,该协议是基于后者产生的。
IEEE版本的生成树协议支持网桥区域,它允许网
桥在一个扩展本地网中建设自由环形拓扑结构。
IEEE版本的生成树协议通常为在数字版本
之上的首选版本。
5)SVI:
交换机虚拟接口
用于三层交换机跨vlan间路由。
具体可以用interfacevlan接口配置命令来创建svi,然后为其配置ip地址即可实现路由功能。
6)路由协议
原理:
路由器提供了异构网互联的机制,实现将一个网络的数据包发送到另一个网络,路由就是指导IP数据包发送的路径信息。
路由协议是在路由指导IP数据包发送过程中事先约定好的规定和标准。
作用:
路由协议主要运行于路由器上,路由协议是用来确定到达路径的,它包括RIP,IGRP(Cisco私有协议),EIGRP(Cisco私有协议),OSPF,IS-IS,BGP。
起到一个地图导航,负责找路的作用。
它工作在网络层。
第四章:
网络详细设计方案
4.1网络拓扑图
4.2IP地址规划
在构建基于TCP/IP的企业网络时,IP地址的选择是根据企业网络规模大小从以下三类国际Internet组织公布的私有网段中产生,这些围的IP地址不在Internet上传输,是专门提供给企业用来建设部网络(Intranet)
A类私有IP:
10.0.0.0——10.255.255.255。
B类私有IP:
172.16.0.0——172.16.31.255。
C类私有IP:
192.168.0.0——192.168.255.255。
对于小型网络,由于用户少、设备数量少,建议使用地址空间小的192.168.0.0/16的网络。
而对于型园区网络,如三层结构的校园网,由于上网人数多,设备数量多,建议采用地址空间大的10.0.0.0/8的网络
4.3VLAN规划
虚拟局域网(VLAN)是将局域网广播域逻辑地址划分为若干子网。
在一个交换局域网中,所有局域网段通过交换机连接到一起,路由器连在交换机上(如果是三层交换机,则不需路由器),可以按网段和站点的逻辑分组形成广播域,通过在局域网交换机过滤广播包,使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。
虚拟局域网之间的寻径由路由器完成。
虚拟局域网建立之后,能有效地控制网络的广播风暴,减少不必要的资源带宽浪费,并能随着企业规模的发展和调整改变通信流的模式。
VLAN规划需要考虑如下因素:
用户VLAN与设备管理VLAN分开(IP地址)。
为网络扩容进行可汇总的预留设计。
IP地址与VLAN编号(其它相关因素)有一定的对照性。
用户VLANVLAN100
用户IP地址段10.1.100.0/24
根据具体需求与安全性要求等情况综合分析,景区网络IP地址详细规划如
IP地址规划表
物理
位置
Vlan围
IP网段
默认网关
获取方式
东门
入口
VLAN10
192.168.1.1--192.168.1.253/24
192.168.1.254
DHCP
西门
入口
VLAN20
192.168.2.1--192.168.2.253/24
192.168.2.254
DHCP
南门
入口
VLAN30
192.168.3.1--192.168.3.253/24
192.168.3.254
DHCP
北门
入口
VLAN40
192.168.4.1--192.168.4.253/24
192.168.4.254
DHCP
部server
VLAN50
192.168.5.1--192.168.5.253/24
192.168.5.254
DHCP
Web
服务器
VLAN60
192.168.6.1--192.168.6.253/24
192.168.6.254
DHCP
第五章:
网络安全设计
1)vlan技术
VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。
一个VLAN可以在一个交换机或者跨交换机实现。
VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。
基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。
2)防火墙技术
所谓防火墙指的是一个有软件和硬件设备组合而成、在部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
防火墙是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离部和外部网络,以阻挡来自外部的网络入侵。
3)安装杀毒软件
杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。
杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的杀毒软件还带有数据恢复等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和其他恶意软件的查杀程序,入侵预防系统等)的重要组成部分。
4)其他安全措施
定期更改密码等;
第六章:
设备选型
6.1核心层交换机选型
华为S5700-52C-SI参数
∙优点:
性能稳定,功能强大,质量不错,端口丰富,扩展性不错,速度快,功耗低。
∙缺点:
设置比较复杂。
重要参数
∙产品类型:
千兆以太网交换机
应用层级:
三层
∙背板带宽:
256Gbps
包转发率:
132Mpps
∙端口结构:
非模块化
电源电压:
AC100-240V,50-60Hz
∙端口描述:
48个10/100/1000Base-T端口,4个1000Base-XSFP端口
电源功率:
<78W
华为S5700-52C-SI详细参数
主要参数
∙产品类型千兆以太网交换机
∙应用层级三层
∙传输速率10/100/1000Mbps
∙交换方式存储-转发
∙背板带宽256Gbps
∙包转发率132Mpps
∙MAC地址表16K
端口参数
∙端口结构非模块化
∙端口数量52个
∙端口描述48个10/100/1000Base-T端口,4个1000Base-XSFP端口
∙扩展模块2个扩展插槽
功能特性
∙堆叠功能可堆叠
∙VLAN支持4K个VLAN
支持GuestVLAN、VoiceVLAN
支持基于MAC/协议/IP子网/策略/端口的VLAN
支持1:
1和N:
1VLAN交换功能
∙QOS支持对端口接收和发送报文的速率进行限制
支持报文重定向
支持基于端口的流量监管,支持双速三色CAR功能
每端口支持8个队列
支持WRR、DRR、SP、WRR+SP、DRR+SP队列调度算法
支持报文的802.1p和DSCP优先级重新标记
支持L2(Layer2)-L4(Layer4)包过滤功能,提供基于源MAC
地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN
的非法帧过滤功能
支持基于队列限速和端口Shapping功能
∙组播管理支持IGMPv1/v2/v3Snooping
和快速离开机制
支持VLAN组播转发和组播
多VLAN复制
支持捆绑端口的组播负载分担
支持可控组播
基于端口的组播流量统计
IGMPv1/v2/v3、PIM-SM、PIM-DM、PIM-SSM
∙网络管理支持堆叠
支持MFF
支持虚拟电缆检测(VirtualCableTest)
支持端口镜像和RSPAN(远程端口镜像)
支持Telnet远程配置、维护
支持SNMPv1/v2/v3
支持RMON
支持网管系统、支持WEB网管特性
支持集群管理HGMP
支持系统日志、分级告警
支持GVRP协议
支持MUXVLAN功能
∙安全管理用户分级管理和口令保护
支持防止DOS、ARP攻击功能、ICMP防攻击
支持IP、MAC、端口、VLAN的组合绑定
支持端口隔离、端口安全、StickyMAC
支持黑洞MAC地址
支持MAC地址学习数目限制
支持IEEE802.1X认证,支持单端口最大用户数限制
支持AAA认证,支持Radius、TACACS+、NAC等多种方式
支持SSHV2.0
支持HTTPS
支持CPU保护功能
支持黑和白
其它参数
∙电源电压AC100-240V,50-60Hz
∙电源功率<78W
∙产品尺寸442×420×43.6mm
∙环境标准工作温度:
0-50℃
相对湿度:
10%-90%(无凝露)
保修信息
∙保修政策全国联保,享受三包服务
∙客服400-830-8300;400-690-2116;800-830-8300
∙备注周一至周日:
8:
00-20:
00
∙详细容保修只适用在客户购买的国家或地区,保修不可以移转到另一个国家或地区(除非在产品保修说明中另有注明保修可移转)。
设备移转到另一个国家或地区后,新客户可以选择购买维保服务,但必需通过维保服务的签约前审核程序,例如设备检验进入官网>>
华为S5700-48TP-SI(AC)
∙优点:
性能稳定,功能强大,质量不错,端口丰富,扩展性不错,速度快,功耗低。
∙缺点:
设置比较复杂。
重要参数
∙产品类型:
千兆以太网交换机
应用层级:
三层
∙背板带宽:
256Gbps
包转发率:
72Mpps
∙端口结构:
非模块化
电源电压:
AC100-240V
∙端口描述:
48个10/100/1000Base-T端口,4个100/1000Base-X千兆Combo口
电源功率:
<74W
华为S5700-48TP-SI(AC)详细参数
主要参数
∙产品类型千兆以太网交换机
∙应用层级三层
∙传输速率10/100/1000Mbps
∙交换方式存储-转发
∙背板带宽256Gbps
∙包转发率72Mpps
∙MAC地址表16K
端口参数
∙端口结构非模块化
∙端口数量52个
∙端口描述48个10/100/1000Base-T端口,4个100/1000Base-X千兆Combo口
∙扩展模块1个堆叠扩展插槽
∙传输模式全双工/半双工自适应
功能特性
∙网络标准IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3z,IEEE802.3x,IEEE802.1Q,IEEE802.1d,IEEE802.1X
∙堆叠功能可堆叠
∙VLAN支持4K个VLAN
支持GuestVLAN、VoiceVLAN
支持基于MAC/协议/IP子网/策略/端口的VLAN
支持1:
1和N:
1VLAN交换功能
∙QOS支持对端口接收和发送报文的速率进行限制
支持报文重定向
支持基于端口的流量监管,支持双速三色CAR功能
每端口支持8个队列
支持WRR、DRR、SP、WRR+SP、DRR+SP队列调度算法
支持报文的802.1p和DSCP优先级重新标记
支持L2(Layer2)-L4(Layer4)包过滤功能,提供基于源MAC
地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN
的非法帧过滤功能
支持基于队列限速和端口Shapping功能
∙组播管理支持IGMPv1/v2/v3Snooping
和快速离开机制
支持VLAN组播转发和组播
多VLAN复制
支持捆绑端口的组播负载分担
支持可控组播
基于端口的组播流量统计
∙网络管理支持堆叠
支持MFF
支持虚拟电缆检测(VirtualCableTest)
支持端口镜像和RSPAN(远程端口镜像)
支持Telnet远程配置、维护
支持SNMPv1/v2/v3
支持RMON
支持网管系统、支持WEB网管特性
支持集群管理HGMP
支持系统日志、分级告警
支持GVRP协议
支持MUXVLAN功能
∙安全管理用户分级管理和口令保护
支持防止DOS、ARP攻击功能、ICMP防攻击
支持IP、MAC、端口、VLAN的组合绑定
支持端口隔离、端口安全、StickyMAC
支持黑洞MAC地址
支持MAC地址学习数目限制
支持IEEE802.1X认证,支持单端口最大用户数限制
支持AAA认证,支持Radius、TACACS+、NAC等多种方式
支持SSHV2.0
支持HTTPS
支持CPU保护功能
支持黑和白
其它参数
∙电源电压AC100-240V
∙电源功率<74W
∙产品尺寸250×180×43.6mm
∙产品重量<1.4kg
∙环境标准工作温度:
0-50℃
工作湿度:
10%-90%
存储温度:
-5-55℃
存储湿度:
10%-90%
6.2防火墙选型
深信服NGAF-1020
∙设备类型:
下一代防火墙
网络吞吐量:
三层吞吐量:
400Mbps,七层吞吐量:
100Mbps
∙并发连接数:
100000
网络端口:
4个电口
∙入侵检测:
智能Dos、DDoS攻击防护,2500+条漏洞特征库,1000+Web应用威胁特征库,通过CVE兼容性认证
VPN支持:
支持
∙其他性能:
传统防火墙:
覆盖传统防火墙功能包括访问控制、NAT支持、路由协议、VLAN属性等
病毒防护:
支持基于流引擎查毒技术,针对HTTP、FTP、SMTP、POP3等协议进行查杀
WEB攻击防护:
SQL注入、XSS跨站脚本、CSRF跨站请求伪造等
其他功能:
网页防篡改、敏感信息防泄漏、智能防护联动、统一集中管理
电源:
单电源,60W
重要参数
∙设备类型:
下一代防火墙
∙网络吞吐量:
三层吞吐量:
400Mbps,七层吞...
∙并发连接数:
100000
∙网络端口:
4个电口
∙入侵检测:
智能Dos、DDoS攻击防护,2500+...
∙VPN支持:
支持
∙其他性能:
传统防火墙:
覆盖传统防火墙功...
∙电源:
单电源,60W
∙适用环境:
工作温度:
0-40℃存储温度:
...
深信服NGAF-1020详细参数
主要参数
∙设备类型下一代防火墙
∙并发连接数100000
∙网络吞吐量三层吞吐量:
400Mbps,七层吞吐量:
100Mbps
∙网络端口4个电口
∙VPN支持支持
∙入侵检测智能Dos、DDoS攻击防护,2500+条漏洞特征库,1000+Web应用威胁特征库,通过CVE兼容性认证
一般参数
∙电源单电源,60W
∙外形设计1U
∙适用环境工作温度:
0-40℃
存储温度:
-20-70℃
相对湿度:
5%-95%(无凝结状态)
∙其他性能传统防火墙:
覆盖传统防火墙功能包括访问控制、NAT支持、路由协议、VLAN属性等
病毒防护:
支持基于流引擎查毒技术,针对HTTP、FTP、SMTP、POP3等协议进行查杀
WEB攻击防护:
SQL注入、XSS跨站脚本、CSRF跨站请求伪造等
其他功能:
网页防篡改、敏感信息防泄漏、智能防护联动、统一集中管理
天融信NGFW4000(TG-4324)
∙优点:
适合于大中型企业级的防火墙,并发数大于1000000,在同类产品中是很少见的,弥补了400Mbps的网络吞吐量
∙缺点:
网络端口少,一共才6个
重要参数
升级会员 