酒店方案说明.docx
《酒店方案说明.docx》由会员分享,可在线阅读,更多相关《酒店方案说明.docx(8页珍藏版)》请在冰豆网上搜索。
酒店方案说明
安福大厦网络解决方案
安福大厦网络建设分为两部分,一部分为客房网,主要实现客房终端接入到INTERNET,另一部分为VOD及信息发布网络,主要承载着VOD视频点播业务及多媒体信息发布业务,根据用户的需求,我们设计的网络系统如下:
1.客房网络
客房网络的拓扑结构如下如示:
客房网络共有网络信息点1600个左右,采用两层网络结构核心层与接入层,千兆骨干,百兆到桌面,核心层采用双核心方式,实现双机热备及负载均衡,每楼层的南、北侧竖井分别设置接入交换机,接入层交换机通过千光纤链路双上行至双核心交换机,实现链路的冗余。
在个别楼层需要实现无线覆盖,共需21个无线AP。
核心层交换机我们建议采用H3CS7506E交换机,配置两台,每台S7506E交换机配置双引擎双电源,提高设备的可靠性。
并配置一块48端口光接口业务板实现接入层交换机的接入。
H3CS7500E系列产品是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的ComwareV5操作系统,以第二代智能弹性架构(IRF,IntelligentResilientFramework)为系统基石的虚拟化软件系统,进一步融合MPLSVPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
H3CS7500E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
S7506E背板带宽为1.6Tbps,可以提供768Gbps的交换容量,最多可实现288个千兆电口(光口)接入,整机提供两个主控槽位及6个业务板槽位,可扩展多种业务插卡(如防火墙、IPS);
S7500E采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3CS7500E系列可以在恶劣的环境下长时间稳定运行,达到99.999%的电信级可靠性。
S7506E交换机支持智能弹性架构技术(IRF),可以把多台S75E虚拟成一个“联合设备”,使用,配置如同一台机器,而且扩展端口数量和交换能力,同时也通过多台设备之间的互相备份增强了设备的可靠性,提供毫秒级的链路收敛能力。
简化了管理过程,降低管理成本,并可根据实际需求平滑扩容网络容量。
接入层交换机采用H3C3100-EI系列交换机,接入区域信息点数量少于24个,采用H3CS3100-26TP-EI交换机,它可以提供24个10/100M接口,2个10/100/1000Base-T以太网端口和2个复用的100/1000Base-XSFP端口;接入区域信息点数量多于24个少于48个,采用一台S3100-52P交换机,它可以提供48个10/100Base-T以太网端口,4个1000Base-SFP千兆以太网端口;接入区域信息点数量多于48个少于72个采用一台S3100-52P与台S3100-26TP-EI,两台交换机采用堆叠的方式,实现统一管理。
H3CS3100-EI系列交换机是H3C公司为构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品,在满足高性能接入的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性,是理想的安全易用接入层交换机。
无线覆盖,我们建议采用无线控制器+FITAP解决方案,H3C公司FITAP解决方案,采用集中式架构,在原有网络增加无线功能时,可以轻松地把原来有线企业网络,在不改变其网络的原有规划和部署的情况下,甚至不需要中断原有网络就可以轻松叠加一个无线网络,该无线网络和原有的有线网络可以形成有线无线一体化的接入方案,这种保护客户已有投资的升级方法,可以大大减少网络升级和部署的成本。
无线控制器采用H3CWX3024,WX3024默认可以管理24个无线AP,通过扩展license,可提供最多48个AP的管理,满足现有需求,并具有一定的扩展性。
无线AP采用H3CWA2210无线AP,WA2210支持IEEE802.11a或IEE802.11b/g,发射功率为100mw满室内无线覆盖要求。
网络管理,随着网络建设的不断深入发展,除了单纯的追求高带宽、高速率外,安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点,网络精细化管理也越来越深入人心,一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。
所以本次设计我们建议配置一套IMC智能网络管理平台,基于多年的积累和对用户网络的深入理解,H3C智能管理中心平台为用户提供了实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能等管理功能,不仅提供功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。
H3C智能管理平台除了涵盖网络管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动。
对于无线网络的管理,我们建议配置一套IMCWSM无线管理组件,WSM无线运营管理组件依托iMC智能管理平台,实现有线无线一体化的管理,在iMC系统全面的有线网络管理的基础上,为管理员提供无线网络管理能力。
管理员无需重新搭建IT管理平台,即可在原有的有线网络管理系统中增加无线管理功能,与有线管理平台统一部署,节省用户投入,节约维护成
互联网出口配置一台H3C6602路由器,实同INTERNET高速接入,SR6600是业界第一款基于多核多线程处理器技术架构的路由器产品,其全新的硬件平台和面向业务设计的理念诠释了数据通信业务汇聚/接入和企业网关的新型解决方案,更加充分的满足未来业务扩展的多元化应用需求,符合各行业IT建设的现状与发展趋势。
网络安全,为了保障内网的安全,我们建议在网络出口处部署一台H3CF1000-A防火墙,H3CSecPathF1000-A支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(ApplicationSpecificPacketFilter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TPVPN、GREVPN、IPSecVPN、动态VPN等;支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
并且为了在线阻止网络病毒,我们建议在F1000-A防火墙上配置一块ASM防病毒模块,H3CASM(Anti-VirusSecurityModule)是应用于H3CSecPath防火墙/MSR路由器中的防病毒安全模块,具有查杀毒能力强、易部署、成本低、配置管理方便等特点。
ASM防病毒模块可以快速有效的阻断蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透,防御外部网络的蠕虫病毒、后门木马和垃圾邮件侵袭;采用面向对象的高稳定性设计和高应变型智能引擎,可以识别和处理未知病毒,降低网络风险;支持在线实时升级功能,能够实时升级病毒特征库及病毒引擎;支持对知名协议和文件的识别、处理,并且可以定制相应病毒防范策略。
为了合理的分配网络出口带宽及用户上网的行为审计,我们建议在网络出品口处部署一台H3CACG2000-M应用控制网关,H3CSecPathACG(ApplicationControlGateway)是业界识别最全面、控制手段最丰富的高性能应用控制网关,能对网络中的P2P/IM带宽滥用、“地下”VoIP、“一拖N”、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,可对网络流量、用户上网行为进行深入分析与全面的事后审计,并具有强大的URL过滤功能,进而帮助用户优化其网络资源,全面了解网络应用模型和流量趋势,开展各项业务提供有力的支撑。
2.VOD及信息发布网络
拓扑图如下所示:
VOD及信息发布网络采用三层网络结构核心层、汇聚层、接入层,千兆骨干,百兆到桌面,核心层采用单核心方式,在14F、9F、5F设置汇聚交换机,汇聚交换机与核心交换机通过千兆光纤链路连接,每楼层的南、北侧竖井分别设置接入交换机。
核心交换机采用H3CS7506E,配双引擎、双电源,配置块24口光口板,其中8端口可光电复用,汇聚交换机采用H3CS5500-28C-EI交换机,S5500-28C-EI可提供24个10/100/1000Base-T以太网端口,4个复用的SFP千兆端口(Combo),两个扩展槽位;整机交换容量高达192Gbps,支持万兆接口扩展,接入层交换机采用H3CS3100-26TP-EI交换机。
3.几个要点说明
(1)整网设计思路
✧高性能
承载网络的性能是网络良好运行的基础,方案中采用的各个级别的网络设备在保证经济性的前提下,都确保了高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,力争实现高品质透明网络。
✧高可靠
设备的可靠性——网络中所涉及的网络设备,采用了电信级的高可靠设计。
客房网核心交换机采用双核心架构,每台核心交换机配置了双引擎双电源,确保网络应用不会出现中断。
VOD点播网采用单核心设计,也配置了双引擎双电源,实现高可靠。
✧可扩展
网络带宽的可扩展性:
交换机支持百兆、千兆端口的带宽汇聚(TRUNK),在未来可平滑升级至万兆骨干。
✧安全性
方案中采用多种安全策略:
网络路由信息交换安全策略:
包含路由器的认证,路由信息过滤,多种动态路由协议信息交换控制等。
网络服务安全控制:
包含标准访问控制列表(ACL),扩展的访问控制列表(ExtendACL),动态访问控制列表(RefliexACL),按数据流的访问统计和监控(Netflow),网络资源访问用户认证/授权和记帐(lock&key)。
基于网络层的加密:
网络设备可提供基于标准的网络层加密技术:
IPSec,可以提供高可靠的网络访问安全机制。
网络攻击防范:
可通过对网络访问连接的监控和分析,发现可能出现的网络攻击,如SyncAttack等,并采取相应的的控制手段保护网络资源。
网络系统告警(Syslog):
网络中采用的设备可对监控到的网络攻击和各种非正常访问发出告警,提醒网络管理人员及时发现问题并采取相应安全策略。
设备安全:
网络的各种安全策略的实现均基于网络设备的安全设置,这使得网络设备本身的安全控制显得尤其重要。
网络设备本身具有多种访问控制安全策略。
易管理维护
由于采用TCP/IP协议这种非面向连接的网络层互连协议,网络的管理重点在于网络的结构化设计。
整个网络的服务提供均建立在一层次化方式,也就是当新的用户接入到网络之中不会影响网络的骨干,管理人员只需在相应接入设备做相应的配置即可,因此网络管理简单、高效。
✧QoS支持能力
核心交换机需提供丰富的Diffserv/QoS支持,提供多种规则组合条件下的流映射和分类、流量监管(CAR)、拥塞控制方法(RED、WRED、SA-RED)、队列调度和输出流整形等功能,真正做到业务区分并保证带宽/时延/抖动在限定的范围之内,使贵行可以为用户提供具有不同服务质量等级的服务保证,使骨干网真正成为同时承载数据、语音和视频业务的综合网络。
(2)酒店办公网和客房网的虚拟子网划分
说明:
外网部分可划分为几个VLAN:
办公网VLAN、客房网VLAN和管理网VLAN如下图所示:
每个楼层接入交换机下,可按需求做基于端口的VLAN,每个交换机下可分为三个VLAN,所有VLAN全部终结在防火墙上,结合虚拟防火墙技术实现三个VLAN间的访问策略,客房VLAN与办公VLAN完全隔离不能互访,管理网可以访问客房网与办公网。
并且,考虑到客房的信息安全,可以实现客房VLAN内部端口间的隔离。
(3)客房网的带宽限制
说明:
客房网内部带宽的限制可以通过QOS的端口限速功能实现,可以设定客人的最高上网带宽,避免过高占用酒店出口带宽影响酒店正常办公以及其他客人上网,客房网互联网出口带宽通过ACG应用控制网关实现,基于不同IP实现不同带宽的分配。
(4)核心交换机的耗电量(为UPS采购提供依据)。
说明:
7506E整机功耗653.2W(满配)。
F1000-A功率100W。
ACG2000-M功率150W。
SR6602功率150W。
WX3024功率450W。
升级会员 