酒店网网络构建文档格式.docx
《酒店网网络构建文档格式.docx》由会员分享,可在线阅读,更多相关《酒店网网络构建文档格式.docx(39页珍藏版)》请在冰豆网上搜索。
8、网络安全设计14
8.1确定网络资产14
8.2分析安全风险14
8.3分析安全需求和折中15
8.4设计应用安全机制,策略15
8.5及时更新网络17
8.6因特网连接的安全保护17
8.7关于无线网络17
8.8机房及物理线路安全17
四、物理设计17
1、综合布线17
1.1布线实施安装要点17
1.2各子系统18
1.3系统接地19
1.4综合布线系统的测试20
2、机房环境设计22
2.1机房位置:
大楼四层。
22
2.2机房环境基本要求22
3.设备选型25
3.1防火墙25
3.2服务器25
3.3路由器26
3.4服务器网卡26
3.5台式主机26
3.6存储器26
3.8光纤27
3.9配线架27
3.10双绞线27
3.11无线AP28
五、总结29
一、整体拓扑结构图
二、需求分析
1、引言
1.1编写目的
1.2项目背景
1.3设计目的
通过勘察酒店框架和预算,能够设计较经济效益的酒店的计算机管理系统,在其整体网络的布线和配置达到标准的安全和扩展空间。
酒店的整套的网络系统的功能灵活性高且易于操作。
通过这网络系统实现整个酒店的各个模块能快速、安全地相互实现数据交流传输。
1.4设计思路
1.4.1以酒店的办公室部为酒店的网络枢纽,连接酒店的局域网和外网络。
便于管理酒店同时能时刻更新吸取外部的信息。
1.4.2客房中均提供网上餐饮娱乐预订及各种客服。
客房部中可根据不同等级房间,配置需求不同的网络设备。
1.4.3通过配置更优化的网络安全配置,来加强前台接待和销售功能。
便于用户咨询,能安全无误地储存好用户资料。
1.4.4整个网络的系统具有一定的扩展性,为将来留有提升的空间。
2、功能需求
5—19层每个客房均可上公网;
楼的办公区均可互相通信,也都可以上公网;
其余各层均与4楼(除办公室,财务部)互相通信。
(附:
网络中心设置在四楼。
)
3、数据描述
部门名称
接入点数量
对象类型
内部流量/bps(每个)
外部流量/bps(每个)
前台
4
网页、电子数据表、文字处理文件、数据库(备份)等
2222888
111
客服部
20
电子数据表、数据库(备份)、电子邮件等
2222444
22
财务部
电子数据表、数据库(备份)
公关部
10
电子数据表
222
办公室
电子数据表、数据库(备份)、网页、文字处理文件等
人事部
电子数据表、数据库(备份)、电子邮件信息等
安保部
电子数据表、多媒体对象
222444
客
房
VIP套房
8
网页、电子邮件、多媒体对象、网上下载等
222577
商务套房
商务间
15
标准套房
12
标准间
单人间
其他
按需分配
大小/KB
电子邮件信息
网页
50
100
文字处理文件
200
网上下载
10000
多媒体对象
100000
数据库(备份)
1000000
备注:
内部:
电子数据表,文字处理文件,数据库
外部:
电子邮件信息,网页,网上下载,多媒体对象
4、性能需求和安全需求
4.1容量:
不同级别的楼层之间应有不同的带宽,满足不同顾客的上网需求。
4.2响应时间:
一般操作的响应时间在<
200ms之间,保证各部门之间快速通信。
4.3可靠性:
保证全酒店网络的正常稳定运行,能在网络瘫痪后迅速恢复网络
运行,尽可能短的时间里修复网络。
4.4安全性:
四楼的办公室要求有极好的安全性,运用防火墙和DMZ、雇佣有
专业技术的网络管理人员、安装杀毒软件等来同时阻止外网攻击本酒店网络。
5、操作要求
5.1用户界面
可通过网页等配置方法,对设备进行配置。
5.2硬件接口
安装有硬件防火墙,DMZ区域,同时一些必备的交换机,路由器。
5.3软件接口
软件要求操作系统为中文WIN98\WIN2000\WINXP\WIN2003\WINVISTA\WIN7,装有microsoft数据库驱动程序。
如SQLserver2000
。
安装有高性能的防火墙软件,如卡巴斯基。
5.4故障处理
正常使用时不应出错,且运行速率良好,平时实行网络管理日志系统,方便查阅管理,若运行时遇到不可恢复的系统错误,优先保证数据库完好无损,同时通过之前的对PC的IP划分,及交换机,路由命名快速找到故障点,及时维修!
三、逻辑设计
1、物理结构设计
①以为酒店全局拓扑
②以下为客房全局拓扑
2、物理层的技术选择
2.1有线物理层技术选择:
2.1.1传输介质选择:
双绞线、同轴电缆、光纤;
2.1.2网卡接口类型:
PCI接口;
2.1.3网卡传输速度:
100Mbps。
2.2无线物理层技术选择:
2.2.1传输介质选择:
电磁波、无线电波、微波、红外线;
2.2.2Wi-Fi发射器。
3、局域网技术选择与应用
3.1千兆以太网技术
千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。
IEEE已批准千兆位以太网工程IEEE802.3z。
千兆位以太网和已充分建立的以太网与快速以太网的节点完全匹配。
最初的以太网规范由帧格式定义,且支持CSMA/CD协议、全双工、流控制和由IEEE802.3标准定义的管理项目,千兆位以太网将使用所有这些规范。
总之,千兆位以太网和管理员以前使用和了解的以太网相同,所不同是仅仅是比快速以太网快十倍和它与当前的高带宽需求应用程序相协调的额外特性,而且和日益增强的服务器和台式计算机的功能相匹配。
我们可以看到主干和各网段及桌面已实现了无缝结合,网络管理变得不再让用户望而生畏。
3.2虚拟局域网VLAN
虚拟局域网(VLAN)是Cisco
Fusion体系结构的有机组成部分。
它既是一种技术,也是一种解决方案,可用来构建由交换机、路由器和相应的网络管理应用组成的大型可扩展的交换式企业网。
网络正在从共享介质结构向交换结构迁移。
然而,交换机工作在OSI参考模型的第二层,它们本质上是链路层数据帧转发设备,扩展性能不足,不能满足大中型网络的需求。
在传统的集线器/路由器网络里,用户组被分割成由路由器连接起来的广播域。
此种方式让每一组的用户在其集线器或环中共享带宽,减少了竞争和冲突的可能。
交换式LAN则没有广播域,故而网络深陷于由诸如IPX等对话频繁的协议造成的广播泥潭里。
作为解决之道,VLAN技术应运而生。
一个完善的VLAN解决方案应当具有如下特征:
1)VLAN之间能够跨越多个交换机和不同LAN技术进行通信。
2)VLAN之间能够进行第三层路由。
3)能够根据成员策略自动为某一VLAN增加新用户。
4)能够监测和理解每一VLAN中的流量。
5)能够集中控制和管理VLAN。
6)能够按VLAN来对网络利用率进行规划和优先级设计。
综上所述,本设计主要采用千兆以太网做为酒店的网络总体结构无论在高带宽、可适应性、可扩展性、高性价比、良好的管理性和维护性等各方面都是最明智的选择,成为酒店网完整的、经济的解决方案。
从中心主交换设备经光缆到各楼层之后,与楼栋内部第二级交换机相连,将千兆速度转成10m/100m。
VLAN针对于酒店网络的改变进行管理,即有关整个网络范围内的用户增加、移动和物理位置变化的管理。
借助于VLAN技术,不仅可以减少改变的管理费用,还能够保证原有的访问安全性以及集中化的策略控制。
4、广域网技术的选择和应用
•SDH数字电路
SDH数字电路为2M以上的电路,透明电路,适用于任何传输协议,主要针对的是大带宽专线需求的企业用户。
可以用于组建公司的电话专网、及办公网络互连、视频会议网络等等。
其优点是:
安全、简单、可靠;
带宽范围比较大且有保证;
市内的专线价格比DDN便宜。
其缺点是:
长途专线的价格比较高。
由于SDH数字电路最小带宽是2M,且其价格略高,因此只适合于对带宽需求比较大的企业组建广域网使用,客户群范围受到了一定的限制。
但是现在众多企业希望自己的广域网络上能够承载更多的应用(如网络互连、电话专网或VOIP、视频会议、远程控制等等),而目前的网络设备已经为用户提供了使租用的专线得到最大化利用的技术,相对减低了使用成本。
虽然SDH数字电路也是点对点的方式,但是当用户总部的专线带宽达到一定的值的时候,运营商多会采用光纤的方式为用户总部进行接入。
因此在目前SDH数字电路的价格急剧下降,网络带宽复用技术越来越高的今天,SDH数字电路必将代替DDN专线成为企业组建广域网络的首选专线连接方式。
在广域网建设中,电信网络资源成为广域网建设的关键,它决定了组建网络的方式和用户使用成本。
根据用户需求应以最小的代价或者是通过最省事、最可靠的方式利用电信基础电路解决广域网建设中线路的问题。
因此在本方案中,我们选择SDH数字电路。
5、地址设计和命名模型
外网IP地址块:
201.114.104.0/24;
内网IP地址:
以192.168.网段开头。
192.168.2.0开头的网段表示:
前台,客服部,财务部,公关部,办公室,
人事部,安保部;
VLAN分类
接入点数
Vlan号
VLAN名称
IP网段
默认网关
管理
VLAN1
——
192.168.3.0/24
192.168.3.254
VLAN10
FOREGROUND
192.168.2.0/29
192.168.2.31
VLAN20
SERVER
192.168.2.0/27
192.168.2.63
VLAN30
FINANCIAL
192.168.2.95
VLAN40
PUBLICRELATIONS
192.168.2.0/28
192.168.2.127
VLAN50
OFFICE
192.168.2.159
VLAN60
HR
192.168.2.191
VLAN70
SECURITY
192.168.2.223
VLAN80
VIPROOM
192.168.1.0/28
192.168.1.223
VLAN90
BSNSROOM
192.168.1.175
VLAN100
BNSROOM
192.168.1.0/24
192.168.1.254
VLAN110
STARDANDSROOM
192.168.1.0/26
192.168.1.63
VLAN120
STARDANDROOM
192.168.0.0/24
192.168.0.254
VLAN130
SINGLEROOM
192.168.0.0/25
192.168.0.63
192.168.1.x或者192.168.0.x开头的网段表示:
客房部。
6、路由选择协议
协议
距离矢量或链路状态
内部或外部
汇聚时间
易于设计配置和排错
EIGRP
高级距离矢量
内部
非常快
容易
OSPF
链路状态
快
中等
BGP
距离矢量
外部
选择EIGRP协议,主要考虑到它的汇聚时间快,这样网络发生改变时能够尽快的恢复网络以满足顾客的需要。
选择BGP协议,主要是让酒店网络能够与外部其他网络或因特网的路径上交换信息。
选择RIPv2协议,易于排错管理酒店网络。
交换协议选择增强型生成树协议(STP),阻止交换机产生环路,同时使用VLAN技术,保证各部门之间的安全性。
7、网络管理
7.1网络管理主要任务
对本酒店网络的运行状态进行监测和控制。
包括对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制,这样就能以合理的价格满足网络的一些需求,如实时运行性能、服务质量等。
7.2网络管理过程
7.2.1性能管理
维护酒店网络服务质量(QoS)和网络运营效率。
提供性能监测功能、性能分析功能以及性能管理控制功能,还提供性能数据库的维护以及在发现性能严重下降时启动故障管理系统的功能。
功能主要包括:
(1)收集统计信息。
(2)维护并检查系统状态日志。
(3)确定自然和人工状况下系统的性能。
(4)改变系统操作模式以进行系统性能管理的操作。
7.2.2故障管理
发现和排除酒店网络故障,用于保证网络资源的无障碍无错误的运营状态,包括障碍管理、故障恢复和预防保障。
当网络某个组成部分发生故障时,网络管理器迅速查找到故障并及时排除。
障碍管理主要包括告警、测试、诊断、业务恢复、故障设备更换等。
预防保障为网络提供自愈能力,在系统可靠性下降,业务经常受到影响的准故障条件下实施。
(1)维护并检查错误日志。
(2)接受错误检测报告并做出响应。
(3)跟踪、辨认错误。
(4)执行诊断测试。
(5)纠正错误。
若故障设备被替换,以及通过网络重组迂回故障时,要与资源MIB互通。
在故障影响了有质量保证承诺业务时,故障管理要与计费管理互通,以赔偿用户的损失。
对网络故障的检测依据对网络组成部件状态的监测。
不严重的简单故障记录在错误日志中,不做特别处理;
严重的故障需通知网络管理器,即“警报”。
网络管理器再对警报进行处理,排除故障。
故障较复杂时,网络管理器能执行一些诊断测试来辨别故障原因。
7.2.3配置管理
负责酒店网络的建立、业务的展开以及配置数据的维护。
功能主要包括资源清单管理、资源开通以及业务开通。
目的是为了实现某个特定功能或使网络性能达到最优。
需要管理网络增容、设备更新、新技术的应用、新业务的开通、新用户的加入、业务的撤销、用户的迁徙等原因所导致的网络设备配置的变更。
(1)设置开放系统中有关路由操作的参数。
(2)被管对象和被管对象组名字的管理。
(3)初始化或关闭被管对象。
(4)根据要求收集系统当前状态的有关信息。
(5)获取系统重要变化的信息。
(6)更改系统的配置。
7.2.4安全管理
采用信息安全措施保护酒店网络中的系统、数据以及业务。
目的是提供信息的隐私、认证和完整性保护机制,使网络中的服务、数据以及系统免受侵扰和破坏。
安全管理要调用配置管理中的系统服务对网络中的安全设施进行控制和维护。
当网络发现安全方面的故障时,向故障管理通报安全故障事件以便进行故障诊断和恢复。
安全管理功能要接收计费管理发来的与访问权限有关的计费数据和访问事件通报。
(1)风险分析功能。
(2)安全服务功能。
(3)告警、日志和报告功能。
(4)网络管理系统保护功能。
7.2.5计费管理
记录酒店网络资源的使用,估算出用户使用网络资源可能需要的费用和代价,规定用户可使用的最大费用,从而控制用户过多占用和使用网络资源。
目的是控制和监测网络操作的费用和代价,以保证向用户无误地收取使用网络业务应交纳的费用,也进行一些辅助网络管理服务。
首先根据各类服务的成本、供需关系等因素制定资费政策,资费政策还包括根据业务情况制定的折扣率。
其次要收集计费收据,如使用的网络服务、占用时间、通信距离、通信地点等计费服务费用。
(1)计算网络建设以运营成本。
主要成本包括网络设备器材成本、网络服务成本、人工费用等。
(2)统计网络及其所包含的资源的利用率。
为确定各种业务、各种时间段的计费标准提供依据。
(3)联机收集计费数据。
(4)计算用户应支付的网络服务费用。
(5)账单管理。
保存收费账单及必要的原始数据,以备用户查询和置疑。
7.3网络管理体系结构
酒店网络管理体系结构采用带内与带外监控。
为降低带外监控费用,使用模拟拨号作为备份,而不用ISDN或者帧中继电路。
7.4网络管理的协议选择
7.4.1协议选择
协议包括简单网络管理协议(SNMP)。
7.4.2远程监控(RMON)
网络对远程计算机进行操作的方法,包括对远程计算机进行重新启动、关机等操作、还包括对远端计算机进行日常设置的工作。
通过硬件的配和还可以实现远程开机的功能。
7.4.3估计由网络管理引起的网络流量
通过网络流量计数工具对由网络管理引起的网络流量进行计数。
7.5网络管理工具选择
CiscoWorksforWindows
其中包含以下组件:
①CiscoView提供图形化的前后面板的视图,能够以各种颜色动态地显示设备的状态,并提供对某一特定设备组件的诊断和配置功能。
②WhatsUpGold是一种基于简单网络协议的图形化网络管理工具,可以通过自动或手工创建网络拓扑结构图管理整个企业内部网络,支持监视多个设备,具有网络搜索、拓扑发现、性能监测和警报追踪的功能。
③ThresholdManager使用户能够在支持RMON的Cisco设备上设置极限值及获取时间信息,以降低网络管理费用,增强发现并解决网络故障的能力。
④ShowCommands使用户不必记住每个设备复杂的命令行语法,通过使用Web浏览器进行简单操作就可以获得有关设备详细的系统和协议信息。
CiscoWorksforWindows主要功能包括:
(1)自动发现和显示网络的拓扑结构和设备;
(2)生成和修改网络设备配置参数;
(3)网络状态监控;
(4)设备视图管理;
8、网络安全设计
8.1确定网络资产
包括:
硬件、软件、应用、数据、商业机密等等
8.2分析安全风险
8.2.1网络设备被“黑”
•数据被截获、分析、更改、或删除
•用户口令受到威胁
•设备配置被更改
8.2.2侦查攻击(ARP欺骗等等)
通过AntiArpSniffer防御等等
8.2.3拒绝服务攻击
设定路由器的过滤功能来防止此类攻击,若网域内的封包来源是域外的IP,则直接丢弃不再送出此类假造封包;
尽量避免NAT的使用;
使用QoS以阻止DoS攻击;
采用具备TCP拦截功能的路由器来抵制DoS攻击;
扩展访问列表,适时的改变访问列表的配置内容,从而达到阻止攻击源的目的;
8.3分析安全需求和折中
①可付性
②易用性
③性能
④可用性
⑤可管理性
8.4设计应用安全机制,策略
威胁防御
•病毒防护
虚拟局域网VLAN防病毒扩散:
客房与办公划分开来,使得各个虚拟局域网广播包互不相通,限制病毒与无用信息流通,可避免网络病毒攻击的扩散蔓延。
客房网络安全隔离,对不同客房的客人进行网络隔离保障客人上网信息的私密性,能有效对酒店办公网络根据不同部门进行隔离,确保酒店内部数据的访问控制,从而提高网络效能、增加网络防护能力及安全性。
•通信量过滤:
包括静态分组过滤和动态分组过滤(状态防火墙)
•入侵检测和防御:
基于网络与基于主机的入侵检测系统(IDS)和入侵防御系统(IPS)用来保护边界、外联网和不断扩展的内部网络,通过分析每个进入网络的分组来监视网络的通信量。
设置及时发现DOS并通知防火墙将其拦截在防火墙外。
GAP技术(摆渡策略)
•内容过滤
①URL过滤
通过设置其中的策略来进行管理、分配相应的上网权限与使用的时间段。
安装了内容过滤,要寻找特定的URL的外流用户通信量可以通过由防火墙来检验以谢绝不必要进行访问的网页等。
②电子邮件过滤
通常将其安装在与邮件服务器(通常在DMZ)相同网段以清除带恶意软件的邮件,还可以再把信息发送给终端用户前清除可执行的附件。
DMZ和防火墙
③通信保护
•SSL:
为从网页浏览器来去的数据提供加密。
•文件加密:
采用文件加密软件。
④信任机制和身份验证
•验证、授权和账户(AAA)
•网络允许控制(NAC)
8.5及时更新网络
8.6因特网连接的安全保护
8.6.1物理安全
8.6.2防火墙(保护服务器等)和分组过滤器
8.7关于无线网络
关闭无线路由器的SSID广播或者定期更改无线路由器的SSID号。
8.8机房及物理线路安全
8.8.1酒店数据的备份与灾难恢复,将备份的数据放置与机房以外的地点,并确保在发生故障时候能在规定的时间间隔内通过替换计算机和网络设备来恢复系统运行。
8.8.2机房的用电安全通过