旅游景区自动票务系统设计方案

旅游景区自动票务系统设计方案第一章：项目背景一个旅游景区的面积大约有3000——5000亩大小，景区有东、西、南、北4个门，数据中心位于南门旁。游客购买门票可以使用刷卡、网购或者现金，购买后，门票打印机自动打印带有条码的卡片门票，游客通过景区门口的翼闸读票即可通过。每个门口2个翼闸，两台PC，景区内部通过有线快速以太网连接。服务器放置于数据中心（不考虑后台软件系统费用）。需要购置服务器若干台，交换机如干台，PC若干台，（“若干台”者需要论证具体需要几台）。翼闸8台，门票打印机8台。第二章：项目分析2.1需求分析某旅游景区刚刚建成，是一大型3000亩旅游景区，为了实现景区的自动化售票系统，旅游景区客流量大，一般景区年客流量大约在30－120万人次，门票方式将是非常重要的考虑因素，需要建立自己企业的Intranet。景区有东、西、南、北4个门，数据中心位于南门旁。游客购买门票可以使用刷卡、网购或者现金，购买后，门票打印机自动打印带有条码的卡片门票，游客通过景区门口的翼闸读票即可通过。系统需要实现的目标如下：（1）现有效的数据交换和共享。企业通过两条专线接入电信和网通。（2）景点实现售票自动化，可通过刷卡，网购或现金交易。（3）景点对外提供网站购票，并且能够保证网站安全，不受外部或者内部攻击。（4）购买后，门票打印机自动打印带有条码的卡片门票，游客通过景区门口的翼闸读票即可通过。（5）服务器放置于数据中心。需要购置服务器若干台，交换机如干台，PC若干台，翼闸8台，门票打印机8台。（6）充分考虑后续网络的接入扩展性。（7）充分考虑数据中心内部网络的安全性。2.2网络设计原则我们遵循以下的原则进行网络设计：实用性实用性是网络系统建设的首要原则，该网络必须最大限度的满足需求，保证网络服务的质量，否则就会影响日常工作效率。标准化整个网络从设计、技术和设备的选择，要确保将来可能的不同厂家设备、不同应用、不同协议连接的需求，必须支持国际标准的网络接口和协议，以提供高度的开放性。先进性先进性主要是针对网络系统的设计思想、网络结构、软硬件设施以及所选用技术等方面。只有先进的技术才可能为网络带来更高的性能，并且能保证在技术上不容易被淘汰。可扩展性可扩展性是指该网络系统能够适应需求的变化。随着技术发展，信息量增多和业务的扩大，网络将在规模和性能两方面进行一定程度的扩展。可靠性网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效，核心设备需要支持冗余备份。安全性网络安全性在整个网络中是个很重要的问题，网络系统建设应采取一定手段控制网络的安全性，以保证网络正常运行。管理性随着网络规模和复杂程度的增加，管理和故障排除就会越来越困难。为保障网络中心的正常运行，网络必须易于管理，支持网络网段与端口的监控、网络流量与出错的统计、网络故障的定位、诊断、修复。2.3安全目标该旅游景点自动售票系统安全体系建设的目标是在国家和行业相关安全政策和标准的指导下，结合信息系统自身的安全风险防范需求，通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等，全面提升信息系统的安全性，能面对目前和未来一段时期内的安全威胁，实现对全网安全状况的统一管理，更好地保障信息系统的正常运行，全面提升售票信息系统的安全保护水平，并达到国家信息安全等级保护相关标准的要求。2.4设计遵循的规范综合布线1、TIA/EIA-568A商业大楼电信布线标准（加拿大采用CSA工T529）2、EIA/TIA-569电信通道和空间的商业大楼标准（CSAT530）3、EIA/TIA-570住宅和N型商业电信布线标准CSAT5254、TIA/EIA-606商业大楼电信基础设施的管理标准（CSAT528）5、TIA/EIA-607商业大楼接地/连接要求（CSAT527）6、ANSI/IEEE802.5-1989令牌环网访问方法和物理层规范7、GB50311-2007《建筑与建筑群综合布线系统工程设计规范》8、GB50312-2007《建筑与建筑群综合布线系统工程验收规范》9、CECS72：97《建筑与建筑群综合布线系统工程设计及验收规范》网络系统在整个项目的建设过程中，我公司将遵循和参照最新的、最权威的、最具有代表性的信息安全标准。这些安全标准包括：1、ISO/IEC15408Informationtechnology–Securitytechniques–EvaluationcriteriaforITsecurity信息技术—安全技术—信息技术安全评估准则（等同于CommonCriteriaforInformationTechnologySecurityEvaluationV2.1，简称CCV2.1）2、BS7799Codeofpracticeforinformationsecuritymanagement信息安全管理纲要（即将被ISO采纳为ISO17799）3、IETF-RFC—RequestsForComments是InternetEngineeringTaskForce组织发布的TCP/IP标准及相关说明等资料。其中有许多有关安全的标准和说明作为本项目的参考标准和资料。4、我国的国家标准GB、国家军用标准GJB、公共安全行业标准GA、行业标准SJ等标准作为本项目的参考标准。5、GB9813-88《微型数字电子计算机通用技术条件》6、JY0001-88《教学仪器产品的检验规则》7、JY0002-88《教学仪器产品的检验规则》8、JY0009-90《教学电子仪器的环境要求和试验方法》第三章：项目涉及的相关理论和技术1）防火墙：所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。2）访问控制列表：访问控制列表（AccessControlLists,ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。此外，在路由器的许多其他配置任务中都需要使用访问控制列表，如网络地址转换（NetworkAddressTranslation，NAT）、按需拨号路由（DialonDemandRouting，DDR）、路由重分布（RoutingRedistribution）、策略路由（Policy-BasedRouting，PBR）等很多场合都需要访问控制列表。3）地址转化（NAT）：路由器将私有地址转换为公有地址使数据包能够发到因特网上，同时从因特网上接收数据包时，将公用地址转换为私有地址。在计算机网络中，网络地址转换（NetworkAddressTranslation或简称NAT，也叫做网络掩蔽或者IP掩蔽）是一种在IP数据包通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术。4）生成树：生成树算法的网桥协议STP(SpanningTreeProtocol)它通过生成生成树保证一个已知的网桥在网络拓扑中沿一个环动态工作。网桥与其他网桥交换BPDU消息来监测环路，然后关闭选择的网桥接口取消环路，统指IEEE802·1生成树协议标准和早期的数字设备合作生成树协议，该协议是基于后者产生的。IEEE版本的生成树协议支持网桥区域，它允许网桥在一个扩展本地网中建设自由环形拓扑结构。IEEE版本的生成树协议通常为在数字版本之上的首选版本。5）SVI：交换机虚拟接口用于三层交换机跨vlan间路由。具体可以用interfacevlan接口配置命令来创建svi,然后为其配置ip地址即可实现路由功能。6）路由协议原理：路由器提供了异构网互联的机制，实现将一个网络的数据包发送到另一个网络，路由就是指导IP数据包发送的路径信息。路由协议是在路由指导IP数据包发送过程中事先约定好的规定和标准。作用：路由协议主要运行于路由器上，路由协议是用来确定到达路径的，它包括RIP，IGRP（Cisco私有协议），EIGRP（Cisco私有协议），OSPF，IS-IS，BGP。起到一个地图导航，负责找路的作用。它工作在网络层。第四章：网络详细设计方案4.1网络拓扑图4.2IP地址规划在构建基于TCP/IP的企业网络时，IP地址的选择是根据企业网络规模大小从以下三类国际Internet组织公布的私有网段中产生，这些范围内的IP地址不在Internet上传输，是专门提供给企业用来建设内部网络（Intranet）A类私有IP：10.0.0.0——10.255.255.255。B类私有IP：172.16.0.0——172.16.31.255。C类私有IP：192.168.0.0——192.168.255.255。对于小型网络，由于用户少、设备数量少，建议使用地址空间小的192.168.0.0/16的网络。而对于中大型园区网络，如三层结构的校园网，由于上网人数多，设备数量多，建议采用地址空间大的10.0.0.0/8的网络4.3VLAN规划虚拟局域网（VLAN）是将局域网内广播域逻辑地址划分为若干子网。在一个交换局域网中，所有局域网段通过交换机连接到一起，路由器连在交换机上（如果是三层交换机，则不需路由器），可以按网段和站点的逻辑分组形成广播域，通过在局域网交换机内过滤广播包，使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。虚拟局域网之间的寻径由路由器完成。虚拟局域网建立之后，能有效地控制网络的广播风暴，减少不必要的资源带宽浪费，并能随着企业规模的发展和调整改变通信流的模式。VLAN规划需要考虑如下因素：用户VLAN与设备管理VLAN分开（IP地址）。为网络扩容进行可汇总的预留设计。IP地址与VLAN编号（其它相关因素）有一定的对照性。用户VLANVLAN100用户IP地址段10.1.100.0/24根据具体需求与安全性要求等情况综合分析，景区网络IP地址详细规划如IP地址规划表物理位置Vlan范围IP网段默认网关获取方式东门入口VLAN10192.168.1.1--192.168.1.253/24192.168.1.254DHCP西门入口VLAN20192.168.2.1--192.168.2.253/24192.168.2.254DHCP南门入口VLAN30192.168.3.1--192.168.3.253/24192.168.3.254DHCP北门入口VLAN40192.168.4.1--192.168.4.253/24192.168.4.254DHCP内部serverVLAN50192.168.5.1--192.168.5.253/24192.168.5.254DHCPWeb服务器VLAN60192.168.6.1--192.168.6.253/24192.168.6.254DHCP第五章：网络安全设计1）vlan技术VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。2）防火墙技术所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的