酒店网络规划设计方案最新版本Word文档格式.docx
《酒店网络规划设计方案最新版本Word文档格式.docx》由会员分享,可在线阅读,更多相关《酒店网络规划设计方案最新版本Word文档格式.docx(30页珍藏版)》请在冰豆网上搜索。
标准化
系统采用的信息分类编码、网络通信协议和数据接口等技术标准,将严格按照国家有关标准或行业标准规范。
实用性
满足石林大酒店业务为需要,充分利用现有资源,避免不计成本盲目追求最新技术。
利用最适合酒店使用的电网通设备,采用必要的、先进的网络安全手段与管理技术,以节省投资。
网络系统的开放性要好,支持国际上通用的网络协议、路由协议等开放的协议标准,保证与其它网络(内网、外网)的平滑连接和扩展。
应用功能交互能力要强,用户界面要简洁、友好,方便用户的操作使用。
网络结构复杂,设备多样,同时针对企业的业务特点,连接的方式和种类很多。
因此在网络设计的初始对所有可能接入的业务做出底层的数据流向分析,而且要考虑如何用成熟的技术来满足具体业务的应用特点,因此需要网络设备支持“标准化”的网络协议,QOS,Traffic管理和多种类型的组网方式以及各种标准的接口类型。
安全性和保密性
系统网络充分考虑网络的故障容错纠错功能,建立安全保障体系,采用先进的软硬件等技术手段,实现网络的传输安全、数据安全接口,确保网络的安全性、保密性。
为了保护关键性数据的安全可靠,网络提供了多种方式和层次的访问控制(包括标准访问控制列表和扩展访问控制列表)。
网络设备的安全是保护网络数
据的基础,防火墙产品具备自身的安全保护(入侵检测,认证,防火墙、灵活有力的数据包过滤等功能),为通信系统提供高质量的安全保障。
应提供足够的措施防止受到外部用户(包括外用户和内用户)和黑客的非法访问、攻击和破坏。
同时,要保证在采取安全措施后,不影响各个部门应用系统的正常运行(包括语音/视频的应用);
开放性和可扩充性
技术上要立足长远发展,坚持选用开放性系统。
开放的网络可以让用户自由地选择不同厂家的产品,不受原有厂家的限制。
最大程度地保护用户的利益。
要求网络的设计一定要符合国际标准。
随着网络用户应用规模的不断扩大,要求网络能方便地扩充容量,支持更多的用户和应用。
随着通信技术的不断发展,网络能平滑地过渡到新的技术和设备,保护用户现有投资。
由于内部管理系统和对外业务的不断发展,网络系统必然随之不断扩大。
因此,目前的网络设计必须为今后的扩充留有足够的余地,这样才能最好地保护投资。
系统具有较强的扩充能力,以满足未来的发展需求。
可维护性
网络接入部分具有较高的模块化程度,可满足不同业务流程的需要,易于维护和升级。
要保证网络能正常稳定运行,要求网络维护人员可以方便地对网络设备进行远程控制和配置;
并且网络设备要能够进行热插拔,支持冗余、方便进行日常维护。
良好的组织和管理对于酒店网网络的正常运转和高效使用有很大帮助。
网络应该能够提供方便,灵活,有力的管理系统,让使用者可以有效地控制和管理整个网络。
可对网络实行集中检测、分权管理,并能统一分配带宽资源。
网络必须面向应用,全面支持QoS服务质量管理。
拥有先进的网络管理平台,通过网管工作站对整个网络提供实时端口级的管理,拓扑管理,VLAN的配置和管理。
具有对设备、断口等的管理、流量统计分析等。
随着网络规模的扩大和系统复杂程度的增加,网络的管理、监控和维护,以及网络故障的诊断和排除变得越来越复杂。
为了使网络系统易于管理和维护,方案将提供先进而完善的网络管理系统。
这样,既方便网络管理员的工作,减轻了劳动强度,也提高了网络系统的管理程度。
高性能,高可靠性
网络的设计方案不但要保证理论上可行,更重要的是实际上可用。
充分考虑到应用系统的具体情况,最好地满足需求。
迅速地处理通信数据,需要网络设备支持高速通信链路,提供高数据吞吐能力。
当今世界,通信技术和计算机技术的发展日新月异。
方案应适应新技术发展的潮流,既兼顾了技术上的成熟性,同时也保证了系统的先进性。
所选设备无论在硬件设备还是软件功能上,都在网络界处在领先地位。
网络及设备采用分布式、全线速无阻塞结构设计,确保网络及设备的高吞吐能力,保证数据、音频、图像、视频等多媒体信息的高质量传输。
具备对多媒体信息的快速查询、实时存取、多路并发的能力,能满足教学中各个环节对多媒体教学的需要。
硬件网络产品的选用需具有很高的可靠性,较高的MTBF(平均无故障时间MeanTimeBetweenFailures)值;
全对称各处理器的硬件体系结构,能够做到任意一个处理器和网络接口模块出现故障都不会影响其他模块,所有的功能部件(电源、系统总线、处理器模块、网络接口模块等)均可以热插拔和冗余热备份。
除硬件的容错外,网络设备还应具备软件故障隔离和软件的热备份和热启动等,这样才能保证网络运行的万无一失。
为了防止局部的故障引起整个信息系统的瘫痪,要避免网络出现单点失效。
在骨干通信信道上提供了备份链路,提供冗余路由。
在主要通信设备上提供了冗余配置,保证不会由于局部模块的故障影响整个设备的运行。
为了使网络可靠地运行,本方案选用了高品质、高性能价格比的产品,把故障率降到最低。
同时,我们采用了系统容错技术,当网络系统内某一点出现故障时,整个系统仍然能够继续运行而不会造成停机,从而把损失降到最小。
实时性
保证数据传输的实时性,应符合行业数据传输的标准、规定。
要及时,准确的传递
经济性
建设系统性价比要高。
设备选型要本着经济合理的原则:
够用为主、适当超前,以最大限度地节约投资。
还要保护先前已有的投资
易操作
即插即用的USB电猫设备,使操作简单直观、灵活、易于学习掌握。
三、方案设计思路
石林大酒店网络结构上将按照层次化的原则来进行设计建设,整个网络采用星形联结,网络层次为两层结构,即:
核心层和接入层。
根据当前和将来网络发展和流行趋势,以及网络优化改造的要求,整个网络全部采用千兆为主干,百兆交换到桌面的原则实施。
1、网络拓扑图如下:
有线无线互为补充,网络环境有效延伸
在酒店是网络建设中,D-Link将有线和无线的应用特点与酒店的各类环境进行灵活匹配,从而将以太网和无线技术的优势充分发挥,使酒店的网络环境得以有效延伸,成功实现了酒店所要求范围内的网络覆盖和接入。
计算机网络系统的设计与综合布线的设计相结合,实现千兆网络为主干,百兆到房间或桌面,使新建的网络系统能够满足今后用户的升级与扩展需求。
2、技术实施
2.1、IP地址分配
动态地址分配:
在ER5200上面开启DHCP分配功能。
如下图:
2.2、防止ARP地址欺骗
ER5200通过定时发送免费ARP,更新网络主机上被攻击篡改了的网关MAC地址,保证主机与网关之间的通信。
ER5200通过授权ARP,只容许静态ARP和DHCP分配的ARP表相中的IP地址通过,从而防止PC机IP与MAC的欺骗。
2.3、IDS防范
为了防止客房网攻击,通常会使用路由器+防火墙的组网。
ER5200上内置了防攻击的功能,可以省掉防火墙了
2.4、报文源认证
2.5、设置异常流量防护
网络中的主机会由于出现中毒或网卡异常等原因,向Internet发送大量的异常报文,阻塞网络,大量消耗设备的资源。
启用本功能后,设备会对各个主机的流量进行检查,发现有异常流量时会进行指定的处理,以保证设备受到此类异常流量攻击仍能正常工作
2.6、设置IP流量限制
某些应用(比如:
P2P下载等)在给用户带来方便的同时,同时,也占用了大量的网络带宽。
一个网络的总带宽是有限的,如果这些应用过度占用网络带宽,必将会影响其他用户正常使用网络。
为了保证局域网内所有用户都能正常使用网络资源,您可以通过IP流量限制功能对局域网内指定主机的流量进行限制。
2.7、设置网络连接限数
网内的主机遭受NAT攻击时,主机的网络连接数可能会超过几万个,从而会严重影响业务的正常运行或出现网络掉线现象。
此时,您可对指定主机的最大网络连接数进行限制,保证网络资源的有效利用
四、组网设备介绍
1.路由器(H3CER5200)
产品概述:
ER5200是H3C公司推出的一款高性能千兆下行路由器,它主要定位于以太网/光纤/ADSL接入的SMB市场和政府、企业机构、网吧等网络环境,如需要高速Internet带宽的网吧、企业、学校和酒店等。
ER5200采用专业的64位双核网络处理器,主频高达500MHz,并且支持丰富的软件特性,如IP<
->
MAC地址绑定,ARP防攻击,流量限速,双WAN负载均衡,策略路由,源地址路由等功能。
它是H3CER系列路由器中的中高端产品,大型网吧用户和大型企业用户的理想选择。
图1H3CER5200企业级路由器
产品特点:
双WAN口负载均衡(仅ER3200、ER3260、ER5200支持)
负载均衡可以让用户根据线路实际带宽分配网络流量,达到充分利用带宽的目的。
策略路由
实现按照用户制定的策略选择路由,如出接口的选择等。
高性能防火墙
内置高性能防火墙,通过设置出站和入站通信策略来快速地实现访问控制,
防攻击
支持对来至因特网和内网的常见攻击进行防护。
同时,内置内网异常流量防护模块,对局域网内各台主机的流量进行检查,并根据您所选择的防护等级(支持高、中、低三种)进行相应的处理,确保网络在遭受此类异常攻击时仍能正常工作。
ARP双重防护
通过静态ARP绑定功能,固化了网关的ARP表项;
另外,对于DHCP分配的IP地址,则采用DHCP授权ARP技术,自动绑定分配的IP地址/MAC地址信息,从而可以有效地防止ARP欺骗引起的内网通讯中断问题;
同时,提供毫秒级的免费ARP定时发送机制,可以有效地避免局域网内主机中毒后引发的ARP攻击。
VLAN
支持多局域网功能,您可以方便的划分局域网为多个网段,降低广播域和ARP病毒的影响。
针对每个局域网可以配置单独的DHCPServer和防火墙规则。
业务控制
QQ/MSN等即时通讯软件的大量普及,可能会引起员工办公效率低下,无法集中精力。
路由器独有的应用控制功能,可以方便地限制内网用户对QQ/MSN等应用的使用;
同时还支持对大智慧/分析家/同花顺/广发至强/光大证券/国元证券等金融软件的应用控制功能。
另外,您还可以通过对特权用户组的设置保证关键用户的使用不受影响。
IPSecVPN
通过VPN安全连接,最多支持10路IPSec连接到办公网络。
网络流量监控
提供流量实时监控和排序功能,同时提供多种安全日志,包括内/外网攻击实时日志、地址绑定日志、流量告警日志和会话日志,为网络管理员实时监控网络运行状态和安全状态提供了更快捷的窗口。
网络流量限速
通过基于IP的网络流量限速功能,可以有效地控制指定用户的上/下行流量,限制了P2P软件对网络带宽的过度占用。
同时,提供弹性带宽功能,在网络空闲时可以智能地提升用户的限制带宽,既充分地提升了网络带宽的利用率,又保证了网络繁忙时带宽的可用性。
产品规格:
项目
描述
概述
固定端口
2个10/100Base-TXWAN端口
3个10/100/1000Base-T
LAN端口
1个Console接口
处理器(CPU)
MIPS64位500MHz网络处理器
内存
DDRII64MB
FLASH
8MB
软件特性
工作模式
主备模式,
智能负载均衡
手动负载均衡(电信走电信,联通走联通)
路由转发模式
网络协议
PPPoE,DHCP客户端,DHCP服务器,NAPT,NTP
DDNS(www.3322.org)
防火墙
出站通信策略(源接口/IP/MAC/用户/目的IP/协议/端口/时间段)
入站通信策略(源接口/IP/MAC/用户/目的IP/协议/端口/时间段)
网络安全
ARP防攻击/免费ARP,状态数据包检查,防止WAN口的Ping,防止TCPsyn扫描,防止StealthFIN扫描,防止TCPXmasTree扫描,防止TCPNull扫描,防止UDP扫描功能,防止Land攻击功能,防止Smurf攻击功能,防止WinNuke攻击功能。
防止PingofDeath攻击,防止SYNFlood攻击功能,防止UDPFlood攻击功能,防止ICMPFlood攻击功能,防止IPSpoofing功能,防止碎片包攻击,防止TearDrop攻击,防止Fraggle攻击功能
访问控制
IP<
MAC地址绑定(静态ARP),URL过滤(黑白名单),MAC地址过滤,QQ/MSN访问控制,金融软件控制:
大智慧/分析家/同花顺/广发至强/光大证券/国元证券
QoS
流量统计(基于IP/端口的流量统计),网络流量限速(基于IP,上下行流量分别限速),NAT表项限制,应用通道限制(绿色通道/限制通道)
流量监控
基于物理端口的流量统计,基于IP的流量统计,支持自动排序功能,基于IP的NAT链接数统计
路由
静态路由,策略路由(基于源IP/目的IP/协议/端口/出接口/时间段)
系统服务
ALG,端口触发,UPnP,虚拟服务器,静态NAT(一对一NAT),DMZ主机,VPN透传(PPTP、L2TP、IPSec)
配置管理
基于Web的用户管理接口(远程管理/本地管理),HTTPS远程管理,命令行CLI,通过HTTP升级系统软件
故障诊断
Ping/Tracert,设备自检,故障信息一键导出
2.核心交换机(H3CS5024P)
H3CS5024P以太网交换机是H3C公司自主开发的支持Web管理的二层线速以太网交换产品,是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。
S5024P提供24个千兆以太网端口、4个千兆SFP端口(与后4个千兆以太网端口复用)以及一个Console端口。
该交换机可以通过console口、telnet以及web方式登录进行配置,支持VLAN划分、端口双向镜像、端口+MAC地址绑定和端口聚合等功能。
图1H3CS5024P产品外观示意图
符合IEEE802.3、IEEE802.3u、IEEE802.3ab/z和IEEE802.3x标准
支持端口流量控制,符合IEEE802.3x
提供24个10/100/1000M自适应以太网端口,支持端口自动翻转(AutoMDI/MDIX)、4个1000MSFP端口(与最后4个1000M电口复用)及1个Console口
最多支持255个符合IEEE802.1q标准的VLAN,VLANID1-4094可配;
最多支持24个基于端口的VLAN
端口汇聚:
支持整机最多4组,每组最多24个端口
支持基于端口的带宽控制,最小粒度为25Mbps
支持IEEE802.1p优先级、IP优先级和DSCP优先级,支持SP队列调度,支持每端口2个优先级队列;
支持广播风暴抑制
支持端口镜像功能
支持端口绑定
支持端口收发报文统计
支持MAC地址老化时间设置
提供命令行接口管理和Web管理
支持交换机系统软件的升级
内置通用电源,1U钢壳,19英寸标准机架结构,可上机架。
标准
IIEEE802.310BASE-T以太网
IEEE802.3u100BASE-TX快速以太网
IEEE802.3ab1000BASE-T千兆以太网
IEEE802.3z千兆以太网(光纤)
ANSI/IEEE802.3NWay自动协商
IEEE802.3x流量控制
24个10/100/1000BASE-T自协商的以太网端口
1个Console端口
可选端口
4个1000Base-SX/LXSFP光口
固定端口属性
连接器类型:
RJ-45
支持10/100/1000Mbit/s传输速率
支持半双工、全双工、自协商工作模式
支持MDI/MDI-X自适应
可选端口属性
LC
支持1000Mbit/s传输速率全双工
网线类型
双绞线:
采用5类双绞线,传输距离100m
光纤
多模:
50/125µ
m多模光纤,配有LC插头,传输距离550m
单模短距:
9/125µ
m单模光纤,配有LC插头,传输距离10km
单模中距:
m单模光纤,配有LC插头,传输距离40km
单模长距:
m单模光纤,配有LC插头,传输距离70km
性能
背板带宽
48G
转发能力
35.71Mpps
交换模式
存储转发模式
MAC地址表
支持地址自动学习、自动老化(老化时间为5分钟);
最多支持MAC(MediaAccessControl)地址:
8K;
支持手工配置静态MAC:
64项
软件
最多支持255个符合IEEE802.1q标准的VLAN,VLANID在1-4094范围内可配
优先级队列(QoS)
支持802.1p优先级、IP优先级和DSCP优先级
队列数:
每端口2个
端口汇聚
支持整机最多4个汇聚组,每组最多24个端口
端口镜像
支持基于端口的双向镜像
端口带宽控制
最小粒度为25Mbps
广播风暴抑制
所有端口上支持基于带宽百分比的广播风暴抑制
配置和管理
基于Web的管理
支持命令行配置
支持通过Telnet登录进行配置
维护
支持调试信息的输出、统计
支持Ping维护诊断工具
支持通过Telnet进行远程维护
3.接入交换机(H3CS1526)
H3CS1526交换机是H3C公司自主开发的二层线速以太网交换产品,是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。
S1526提供了24个10/100Mbps端口,2个千兆铜缆/SFP(miniGBIC)组合端口用于灵活的千兆铜缆或光纤骨干连接,用户可根据传送距离的不同要求灵活的选择1000BASE-LX、1000BASE-SX、1000BASE-T等多种接口类型。
该款交换机支持Vlan划分、端口镜像、端口聚合和QoS等功能,可以通过WEB界面进行方便地配置。
H3CS1526
产品规格
IEEE802.310BASE-T以太网;
IEEE802.3u100BASE-TX快速以太网;
IEEE802.3ab1000BASE-T千兆以太网;
IEEE802.3z千兆以太网(光纤);
ANSI/IEEE802.3NWay自动协商;
IEEE802.3x流量控制
24个10/100Base-TX自适应以太网端口;
2个千兆光电复用端口;
RJ-45;
支持10/100/1000Mbit/s传输速率;
支持半双工、全双工、自协商工作模式;
10Base-T:
3/4/5类双绞线,支持最大传输距离100m;
100Base-TX:
5类双绞线,支持最大传输距离100m;
1000Base-T:
5类双绞线,支持最大传输距离100m
可选模块
1000Base-LX-SFP:
m单模光纤,传输距离10km;
1000BASE-ZX-LR-SFP:
m单模光纤,传输距离40km;
1000BASE-ZX-VR-SFP:
m单模光纤,传输距离70km;
1000BASE-SX-SFP:
m多模光纤,传输距离550m
8.8G
6.55Mpps
最多支持MAC(MediumAccessControl)地址:
8K
基于端口VLAN,支持VLAN最大数目:
26
支持128个802.1Q的VLAN,VLANID1-4094可配
标准:
802.1p;
队列数:
4个
端口聚合
最多可设置3组端口聚合;
2个10/100Mbps端口干路(每个干路2到4个端口);
1个千兆端口干路(2个千兆端口)
N:
1
最小粒度为64Kbps
VCT
支持线路诊断功能
支持配置文件导入/导出
五.网络安全
酒店网络的安全威胁主要来源于两大块,一块是来自于网内,一块来自于网外。
来源于网内的威胁主要是病毒攻击和黑客行为攻击。
5.1.1威胁网络安全因素分析
计算机网络安全受到的威胁包括:
1.“黑客”的攻击;
2.计算机病毒;
3.拒绝服务攻击(DenialofServ
升级会员 