大理一号院酒店网络改造方案.docx
《大理一号院酒店网络改造方案.docx》由会员分享,可在线阅读,更多相关《大理一号院酒店网络改造方案.docx(45页珍藏版)》请在冰豆网上搜索。
大理一号院酒店网络改造方案
大理一号院酒店网络改造
建设方案
H3C通信技术有限公司
2014年2月
1.网络现状
大理古城一号院无线网络一直不稳定,特别是客房区的无线WIFI频频出问题,现将常见故障归结如下:
vn1800G74栋2层,每栋每层50平米,每栋间隔2米,AP:
ARG1210穿墙王
方案一拓扑图:
(文档后附上大图)
1、此方案是施工的方案,整个客房区上网通过飞鱼星路由器。
客房AP关闭DHCP服务,飞鱼星开启HDCP分配给AP和终端设备IP地址,整个无线WIFI覆盖酒店区域,使用同一个用户名和密码,实现无线信号漫游。
此方案使用后出现移动设备无法获取最优网络,使用中客房无线经常出现“有信号无法上网”等故障。
我个人认为有以下原因:
单个AP或者飞鱼星无故死机,只能重新启动设备。
2、方案二拓扑图雷同方案一。
此方案是现用的方案。
此方案中终端设备的IP地址由AP分配。
每个AP的WAN口地址使用飞鱼星的地址(手动指定静态IP)。
每个无线点成单独的无线网络,无线连接使用不同的用户名和密码,去掉无线漫游功能。
此方案使用后出现最多的问题是移动设备无法获取的AP给的IP地址(设备显示有信号,但无法连接),重启AP后能正常获取IP地址,上网正常。
2.网络分析
针对大理一号院酒店客房网现状可得出如下几点结果:
1、网络建设不规范,导致出现网络经常不稳定情况的发生;
2、从路由器至交换机再到无线AP均是SOHO(简易,家用)型设备,且这些品牌的设备在市面上主要用于家用,不适合大理一号院酒店这么高档次的酒店使用;
3、无线AP带机量不足,AP布点规划不合理,致使客房区无线网络体验差;
以上是现网存在的主要几点原因,针对网络现状,我们将给出合理的网络规划方案。
3.酒店网络解决方案
本次大理一号院酒店网络改造主要是针对客房无线网络进行改造。
客房网主要作为酒店客人、部分管理人员上网用,同时提供无线网络服务。
网络改造后的拓扑图如下:
如图所示:
酒店客房网采用核心+接入层的网络结构。
原来的什么飞鱼星路由器,傻瓜交换机,所谓的穿墙王无线AP均不要在使用,既是要使用,也最好作为补充使用。
本次网络改造如下:
核心交换机:
客房网核心交换机,是整个客房网网络的核心节点,是酒店用户访问Internet资源的核心设备。
所以高可靠性以及高性能的设备是酒店考虑的关键。
所以建议核心层采用H3CS5800-32C-PWE高性能三层可扩展交换机。
H3CS5800-32C-PWR交换机是全三层万兆可扩展交换机,同时它还支持扩展无线控制功能,所有电口支持POE供电,可通过双绞线直接给与其相连的无线AP进行供电(该产品详细介绍及技术规格请查阅产品介绍章节)。
接入交换机:
接入层采用H3CS3110-10TP-PWR交换机替换原有的傻瓜交换机,该交换机支持8个百兆以太网电口(支持POE供电)2个10/100/1000Base-T以太网端口和2个复用的100/1000Base-XSFP端口。
H3CS3110系列交换机是H3C公司为构建高安全、高智能网络需求而专门设计的新一代百兆以太网交换机产品,在满足高性能接入的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性,是理想的安全易用接入层交换机。
S3110系列交换机具备百兆到桌面,千兆上行的特点,上行通过千兆光纤接入到核心交换机,下行直接连接用户终端或者无线AP,同时提供无线AP的POE供电功能,免去二次布线的成本和烦恼。
无线AP:
针对以上分析结果,建议淘汰原来酒店采用的所谓穿墙王无线AP。
本次网络改造建议采用H3CWA2610H面板式无线AP对整个酒店区域内的所有客房进行精密覆盖。
H3CWA2610H-GN无线接入点是H3C自主研发的新一代面板式无线接入设备(以下简称AP),可以安装在任意86mm面板的暗盒之上,不破坏原有装修,安装方便,可管理能力强。
WA2610H-GN适合于学校宿舍、医院病房、酒店房间等各种密集房间场所,解决了在这些场景中,传统AP布放方式信号质量不佳的问题,并极大的减少了安装成本以及实施时所带来的运营成本。
网络出口安全网关:
本次网络改造建议淘汰原来使用的飞鱼星路由器,此路由器数据转发性能较差,无法满足酒店客房网的统一出口,因此才会出现经常网络故障的原因。
为了是酒店客房网既能正常访问Internet,同时又可在一定程度上保障整个客房网网络的安全,网络出口位置我们建议采用1套H3CF100-S-G防火墙作为客房网出口网关。
它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(pingofdeath,land,synflooding,pingflooding,teardrop,…)、端口扫描(portscanning)、IP欺骗(ipspoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。
同时支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(ApplicationSpecificPacketFilter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如GREVPN、IPSecVPN等,可以构建多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持IPv4/IPv6双协议栈;支持丰富的QoS特性。
而且该防火墙的数据转发性能较高,数据包吞吐量可达1G以上,足以满足大理一号院酒店客房网的正常使用需求。
4.有线无线一体化设计
无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。
无线局域网具有以下显著特点:
简易性:
WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;
灵活性:
无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;
综合成本较低:
一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。
同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和Intranet相连,从体系结构上节省了协议转换器等相关设备;
扩展能力强:
WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;
4.1.酒店无线部署设计
目前无线局域网普遍采用802.11n协议,本次酒店客房网设计的无线局域网将主要支持先进的802.11b/g/n(150M带宽)标准以提供可供实际应用的相对稳定的网络通讯服务。
无线覆盖侧重实际应用,主要部署在酒店内部的房间,为移动接入提供切实可用的无线网络环境;
为了避免二次部署电源线造成的装修破坏,采用POE供电的方式对所有无线AP进行POE供电,也就是说用普通的网线来同时对AP进行供电以及数据传输。
这样既减轻了施工布线的难度,也降低的酒店装修破坏的风险。
只需要各个AP根据自身的部署物理位置,接入到最近的POE供电交换机,就可以直接通过POE交换机供电。
4.2.无线安全
酒店可往往无线局域网络主要服务于使用便携电脑的客人,由于无线具有一定开放性,因此必须着重考虑无线接入安全。
无线网络安全部分主要包括以下方面的内容:
MAC地址过滤:
目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端才能进入网络中;
SSID管理:
是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,如果没有SSID标识则不能进入网络;
WEP加密:
WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密;
支持AES加密,AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流理来看,基本上是不可能的;
H3C无线方案中可根据用户名来划分权限,即相同用户在不同地点接入无线网络其权限保持一致;密钥设置可能根据SSID信息与用户信息进行组合,即不同的SSID下不同的用户的密钥生成可以不一样,这样一定程度上保证用户之间串号问题产生,从而保护投资,以达到营维平衡;
与H3C公司的EAD方案配合,可以实现无线接入统一认证,并实现流量异常、报文异常监管,从而进一步保护网络的安全。
4.3.无线覆盖解决方案
本次设计的有线无线一体化接入方案为无线控制器+“瘦”AP方案,无线控制器作为无线数据控制转发中心,旁挂部署在酒店客房网核心交换机侧,无线接入点则部署在各个区域,实现酒店无线区域的移动接入。
FitAP和无线控制器之间既可以在同一个网段,也可以不在同一个网段,它们之间通过CAPWAP协议自动建立隧道(该隧道基于UDP,可以穿越三层网络),结合有线交换机的接入功能,这样就非常容易部署企业级有线无线一体化接入方案。
无线控制器+瘦AP方案的特点如下:
1)智能射频管理:
每个AP上电时,无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率,在保证覆盖的前提下保证AP间的干扰最小。
当AP覆盖区域受到外界强信号干扰时,无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号
当覆盖区域内的某个AP发生故障而造成覆盖黑洞时,无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域,当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态。
2)智能负载均衡:
无线控制器可以设定AP间对接入用户进行负载分担,负载分担的策略可以是基于AP接入的用户数量,AP流量负载情况;
当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP;
只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现。
3)无线入侵检测:
非法设备是未经网络管理者许可部署的无线设备或者是发起无线攻击的设备,无线控制器可以指定AP工作在两种工作模式:
模式一、AP负责监听空口所有信道的信息,但不负责用户报文的转发。
模式二、AP在为用户转发数据的同时定期切换到其他信道监听信息;
AP设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器;
无线控制器根据AP上报的设备信息识别合法设备,排除非法设备;
无线控制器可以控制AP将非法设备列入黑名单或者对其发起攻击。
本次无线网络采用S5800交换机插无线控制器板卡+WA2610H(面板式AP)构建。
5.产品介绍
5.1.H3CSecPathF100-S-G防火墙(出口安全网关)
H3CSecPathF100-S-G是H3C公司推出的新一代防火墙产品,能够满足中小企业不断变化的网络环境和日益丰富网络应用的需要。
SecPathF100-S-G继承H3C一贯的高性能、高可靠硬件平台,能够为用户提供线速、稳定的应用体验。
SecPathF100-S-G不但可以提供传统的基础安全功能,如状态检测、NAT、VPN、链路负载均衡等;同时通过统一的软件平台和处理引擎,SecPathF100-S-G有效整合防火墙、入侵防御、应用层流量识别与控制、防病毒功能,为用户提供一体化的应用安全防护。
H3CSecPathF100-S-G不仅能够通过H3CSecCenter安全管理中心进行设备管理和维护,同时还支持SNMP和TR-069网管方式,最大化减少设备运营成本和维护复杂性。
5.1.1.产品特点
市场领先的基础安全防护
全面的基础安全防护:
提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。
能够防御ARP欺骗、TCP报文标志位不合法、LargeICMP报文、SYNflood、地址扫描和端口扫描等多种恶意攻击
丰富的VPN特性:
支持L2TPVPN、GREVPN、IPSecVPN及SSLVPN等远程安全接入方式,同时设备集成硬件加密引擎实现高性能的VPN处理
专业的NAT应用:
提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NATALG功能
灵活可扩展的深度安全防护
与基础安全防护高度集成的一体化安全业务处理平台
全面的应用层流量识别与管理:
通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测Thunder/WebThunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用;支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制
高精度、高效率的入侵检测引擎。
采用H3C公司自主知识产权的FIRST(FullInspectionwithRigorousStateTest,基于精确状态的全面检测)引擎。
FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率
实时的病毒防护:
采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码
全面、及时的安全特征库。
通过多年经营与积累,H3C公司拥有业界资深的攻击特征库团队,同时配备有专业的攻防实验室,紧跟网络安全领域的最新动态,从而保证特征库的及时准确更新
技术领先的IPv6
国内率先支持IPv6状态防火墙,真正意义上实现IPv6条件下的防火墙功能,满足迫在眉睫的IPv6应用需求
支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能
支持IPv6各种过渡技术,包括NAT-PT、IPv6OverIPv4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道等
支持IPv6ACL、Radius等安全技术
电信级设备的高可靠性
采用H3C公司拥有自主知识产权的软、硬件平台。
产品应用从电信运营商到中小企业用户,经历了多年的市场考验
支持VRRP和NQA链路状态检测,有效提升组网可靠性
极具性价比的多业务特性
集成链路负载均衡特性,通过链路状态检测、链路繁忙保护等技术,有效实现企业互联网出口的多链路自动均衡和自动切换
一体化集成SSLVPN特性,满足移动办公、员工出差的安全访问需求,不仅可结合USB-Key进行移动用户的身份认证,还可与企业原有认证系统相结合、实现一体化的认证接入
作为分支机构的出口设备,支持广域网EAD解决方案
简单易用的智能管理
简单易用的WebUI管理
适合专业用户的全命令行管理
支持基于SNMP和TR-069协议的管理
通过H3CSecCenter安全管理中心实现统一管理
5.1.2.产品技术规格
项目
描述
接口
1个配置口(CON)
5GE
插槽
1个MIM插槽,可通过该插槽扩展网络接口
DDRSDRAM
512M
CF卡
标配256MCF卡
外型尺寸(W×H×D)
300mm×260mm×43.6mm
电源模块
输入额定电压
100VAC~240VAC;50/60Hz
最大输入电流
1.6A
最大功率消耗
27W
环境温度
工作:
0~45℃
非工作:
-40~70℃
环境湿度
工作:
10~95%,无冷凝
非工作:
5~95%,无冷凝
重量
<2.22Kg
属性
说明
运行模式
路由模式
透明模式
混合模式
网络安全性
AAA服务
Portal认证
RADIUS认证
HWTACACS认证
PKI/CA(X,509格式)认证
域认证
CHAP验证
PAP验证
防火墙
安全区域划分
可以防御Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYNFlood、UPDFlood、ICMPFlood等多种恶意攻击
基础和扩展的访问控制列表
基于时间段的访问控制列表
动态包过滤
ASPF应用层报文过滤
静态和动态黑名单功能
MAC和IP绑定功能
基于MAC的访问控制列表
支持802.1qVLAN透传
病毒防护
基于病毒特征进行检测
支持病毒库手动和自动升级
报文流处理模式
支持HTTP、FTP、SMTP、POP3协议
支持的病毒类型:
Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等
支持病毒日志和报表
入侵防御
支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS常等攻击的防御
支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御
支持对BT等P2P/IM识别和控制
支持攻击特征库的分类(根据攻击类型、目标机系统进行分类)、分级(分高、中、低、提示四级)
支持攻击特征库的手动和自动升级(TFTP和HTTP)
URL过滤
客户自定义URL过滤规则库
支持JavaBlocking、ActiveXBlocking过滤
安全日志及统计
系统操作日志
防火墙日志
攻击防护日志
黑名单日志
NAT日志
NAT
支持多个内部地址映射到同一个公网地址
支持多个内部地址映射到多个公网地址
支持内部地址到公网地址一一映射
支持源地址和目的地址同时转换
支持外部网络主机访问内部服务器
支持内部地址直映射到接口公网IP地址
支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NATALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等
VPN
L2TPVPN
支持根据VPN用户完整用户名、用户域名向指定LNS发起连接
支持为VPN用户分配地址
支持进行LCP重协商和二次CHAP验证
GREVPN
IPSec/IKE
支持AH、ESP协议
支持手工或通过IKE自动建立安全联盟
ESP支持DES、3DES、AES多种加密算法
支持MD5及SHA-1验证算法
支持IKE主模式及野蛮模式
支持NAT穿越
支持DPD检测
SSLVPN
支持WebProxy服务
支持Telnet、Windows、VNC远程桌面共享
支持Outlook、Notes
支持固定服务端口的TCP应用程序
支持路由模式的IP互连
支持客户端隧道分离
支持对可访问网段的限制
支持对TCP、UDP和ICMP报文的过滤
支持使用私有协议对客户端虚网卡IP地址的分配
支持SSLVPN客户端之间的通讯
客户端支持WINS服务和DNS服务
支持本地认证、RADIUS认证、LDAP认证、AD认证、PKI证书认证和双因子认证
支持对操作系统、浏览器、用户证书、指定文件和指定进程的检查
支持清除缓存的网页、Cookie、客户端程序和客户端配置
网络互连
局域网协议
Ethernet_II
Ethernet_SNAP
802.1qVLAN
链路层协议
PPPoEClient
网络协议
IP服务
IPv4
ARP
域名解析
IPUNNUMBERED
DHCP中继
DHCP服务器
DHCP客户端
IP路由
静态路由
RIPv1/2
OSPF
BGP
策略路由
高可靠性
VRRP
NQA
QoS
流量监管
CAR
配置管理
命令行接口
通过Console口进行本地配置
通过Telnet或SSH进行本地或远程配置
配置命令分级保护,确保未授权用户无法侵入设备
详尽的调试信息,帮助诊断网络故障
用Telnet命令直接登录并管理其它设备
FTPServer/Client,TFTPClient
支持日志功能
User-interface配置,提供对登录用户多种方式的认证和授权功能。
支持标准网管SNMPv3,并且兼容SNMPv2c、SNMPv1
支持NTP时间同步
支持Web方式进行远程配置管理
支持SNMP、TR069网管协议
支持H3CSecCenter安全管理中心进行设备管理
认证
支持欧洲严格的RoHS环保认证
5.2.H3CS5800交换机(核心交换机+无线控制器)
S5800系列机箱式交换机支持H3C创新的IRF2(IntelligentResilientFramework2,第二代智能弹性架构)技术,用户可以将多台S5800交换机连接,形成一个逻辑上的独立实体,从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。
5.2.1.产品特点
灵活的端口扩展能力
随着用户端带宽不断提高,服务器万兆网卡的应用越来越广泛,交换机需要提供更高的转发性能和万兆端口扩展能力。
H3CS58系列机箱式交换机支持业内最高的万兆端口密度,单台设备可以按需扩展至最多24个全线速转发的万兆端口。
此外,该系列产品还可以提供灵活的千兆接入端口,可以提供16个千兆光接口或者电接口扩展模块,单台设备可以按需扩展至最多84个全线速转发的千兆端口,满足大型网络汇聚或中小网络核心对于光电混合配置的要求。
智能弹性架构
H3CS5800/S5820X系列交换机支持IRF2(第二代智能弹性架构)技术,在扩展性、可靠性、整体架构和可用性方面具有强大的优势,主要体现在四个方面:
扩展性:
IRF技术允许交换机利用互联电缆实现多台设备的扩展;具有即插即用、单一IP管理,同步升级的优点,同时大大降低系统扩展的成本。
可靠性:
通过专利的路由热备份技术,在整个IRF组内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发,极大的增强了IRF组的可靠性和高性能,同时消除了单点故障,避免了业务中断。
分布性:
通过分布式链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率。
可用性:
通过标准的万兆以太网接口实现智能弹性架构,可以根据需求分配业务带宽和系统连接带宽,合理分配本地流量与上行流量;不仅可以实现机架内、跨机架,甚至跨区域的远距离智能弹性架构。
强大的缓存能力
针对于数据中心大流量数据无阻塞传输的要求,H3CS58系列可以提供强大的缓存能力,并且支持先进的缓存调度机制可以保证设备缓存能力有效利用的最大化。
灵活的风道方向选择
为了更好的配合数据中心的风道设计,S5800/S5820X系列交换机部分款型为用户提供了更灵活的风道方案,
升级会员 