南通加州时尚酒店网络整改方案0618.docx

1、南通加州时尚酒店网络整改方案0618南通加州时尚酒店网络改造方案盛（苏州）有限公司版权所有 XX2009年06月22日目 录1 网络改造原则 11.1 网络设计原则 11.2 安全建设原则 12 需求及解决方案 22.1 当前网络主要问题 2A. 网络架构不合理 2B. 客房未隔离，ARP病毒泛滥 2C. 布线凌乱，走线混乱 2D. 主要网络设备陈旧 32.2 网络整改说明 3A. 核心+接入的网络架构 3B. 客房隔离，最大限度降低病毒影响范围 4C. 隔离办公客房网络，提升整体安全性 4D. 千兆到桌面的解决方案 4E. 上网速度管理提供差异性网络服务 5F. 服务器规划 53 设备介绍

2、53.1 核心交换机E300-24TS-C 53.2 接入层设备E200-24TS 84 产品清单 101 网络改造原则1.1 网络设计原则高可靠性：应合理设计网络架构，制订可靠的网络备份策略；网络有充分的冗余设计。高性能比：采用合理的网络链路和设备具备足够高的数据转发能力，保证各种信息（数据、图像）的高质量传输。灵活性及可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级，支持向IPv6的扩展以及保留支持万兆的能力，最大程度的减少对网络架构和现有设备的调整（考虑年限5年）。高可管理性：因系统节点众多，网络规模大，所以要求能对网络实行集中监测、分权管理，并统一分配带宽资源。高安全性：网

3、络设备支持统一的安全策略，能有效防止外部攻击，并保证关键数据不被非法窃取、篡改或泄漏。高兼容性：支持国际上通用的网络协议、路由协议等开放的标准，有利于保证不同品牌网络设备之间以及与其它网络（如中国电信、中国移动之间等其它网络）之间的平滑连接互通，及将来网络的扩展。1.2 安全建设原则网络安全建设上应从长远考虑，本着基础先行，应用为本的原则，作总体设计，分步实施，避免重复投资。基础设施建设，在技术上应以先进性和实用性为本，以达到最优的性能价格比为原则，为下一步的应用提供强大的、坚实的基础平台。目前，网络并且飞速发展的今天，黑客的攻击方式以及病毒的发作方式也是多种多样的，不断的更新换代；网络安全方

4、案应该能够完全满足现在的网络，并且能够灵活适应网络发展的趋势，适应将来的攻击方式，避免不可靠的投资。2 需求及解决方案2.1 当前网络主要问题A. 网络架构不合理酒店机房环境恶劣，部分设备如交换机以及路由器等设备都是以前的老的设备，配置低，只能适合家用或者小型的局域网使用，很难胜任酒店这种大流量网络的工作。整网没有部署核心交换机，各个楼层的接入交换机不是直接连到中心机房的核心交换机上，而是通过级联相互连接起来，最后连接到防火墙；这样不仅容易形成单点故障（接入交换机任何一台发生故障都将会导致其它与之级联的楼层受到影响），而且由于接入交换机的接口速度小，容易形成楼层之间的数据阻塞。B. 客房未隔离

5、，ARP病毒泛滥ARP 简单一点讲就是别人恶意攻击你的IP，导致你发送或者接受信息失败。ARP攻击将会造成大量被欺骗的主机无法正常访问网络，让网关无法与PC通讯，造成频繁掉线。更有甚者，攻击者们可以利用黑客工具对主机和路由器进行ARP欺骗。如此一来，在网络内的任何主机的上网行为都要受到黑客主机的控制，酒店客人的QQ、邮箱、网游、网银等密码一个都不少的落入黑客的手中。酒店客人入驻具有一些随机性，入住的客户电脑可能携带有一些电脑病毒或者由于访问一些网站而中毒。当前酒店全部使用D-Link交换机，并且整体网络缺乏核心，各台接入交换机通过级联相互连接；如果入驻的客人电脑携带有病毒或者通过浏览网站而中毒

6、，病毒很容易通过这些没有任何隔离措施的交换机进行传播，导致其它客人电脑也中毒，甚至可能会导致整网瘫痪，严重影响酒店形象。C. 布线凌乱，走线混乱可能因为酒店一开始建设的时候并为考虑作为商务酒店用，前期在网络铺设的时候并未对网路有足够的重视，导致网线凌乱不堪，走线混乱。连最基本的走线槽，穿线管等工作都没有做到。大量的网线直接从墙道内顺下，然后有若干的小型交换机分配。线体裸露，部分地方甚至出现老鼠咬过的痕迹。D. 主要网络设备陈旧所谓“工欲善其事,必先利其器！”，要想从根本上解决酒店网络掉线，断线，网络缓慢等问题，必须彻底的对酒店网络进行改造。对现有陈旧，不能胜任设备进行拆除更换。虽然这样的操作会

7、需要一定的投资，但从长远角度讲，相对于客户投诉、客源流失等问题，这样的操作是必须的，而且需要在短时间能得到解决。2.2 网络整改说明A. 核心+接入的网络架构整个网络采用核心、接入两个层次。核心层的功能主要是实现各个接入交换机之间的优化传输，核心层设计任务的重点通常是可靠性和高速的传输。核心层一直被认为是整个网络的核心，因此对核心层的设计以及网络设备的要求十分严格。在本方案设计中，核心采用盛科网络高性能路由交换机E300-24TS-C，具有48Gbps的交换容量，36Mpps的IP包转发率；硬件支持IPv4/IPv6双栈，方便以后向IPv6网络的升级，具有光口、电口，可对服务器、交换机等进行灵

8、活的接入。随着各种新的网络应用的不断涌现，对带宽的要求也越来越高；因此建议接入交换机应该具有较高的交换容量和包转发率，提升酒店客人网络体验。B. 客房隔离，最大限度降低病毒影响范围在接入交换机上进行基于物理端口的VLAN划分，通过VLAN对每个房间进行二层隔离，从根源避免用户之间的相互影响，限制病毒传播；接入交换机通过监控用户的正常动态IP地址获取过程，获取正常用户的IP-MAC对应关系在接入交换机上绑定，并且根据绑定信息，过滤掉所有不匹配绑定关系的ARP报文，来防止接入的用户主机进行ARP欺骗攻击。这种防攻击手段能够有效防御各种ARP攻击。对于某些采用静态IP地址设置，如打印机、服务器的特殊

9、客户端，可采取在接入交换机上手工添加表项的方式进行合法IP-MAC的绑定。各台接入交换机都上联到核心交换机，而不是以前简单的级联，避免流量瓶颈和单点故障；所有VLAN网关都终结在核心交换机上，并且在核心交换机部署ARP Inspection、DHCP Snooping、IP Source Guard和Port-Security等安全特性及其组合，杜绝病毒在交换机之间的进一步传播泛滥。C. 隔离办公客房网络，提升整体安全性各台接入交换机上联到核心交换机上。在核心交换机上部署二层ACL（访问控制列表），在二层完全隔离办公网络和客房网络的互访，使客人无法访问酒店的办公系统，保证办公系统的安全，提高整

10、体网络的安全性。D. 千兆到桌面的解决方案随着技术和应用的发展，VOD等高带宽的应用越来越多，考虑到而且酒店内部网络可能会部署视频点播系统供客人使用，或者保留网络支持这种部署的能力。因此建议接入交换机应该具有较高的交换容量和包转发率，提升酒店客人感知。接入交换机应全部采用10/100/1000Mbps自适应端口，实现千兆到桌面，相对于酒店以前的10/100M网络，网速提升10倍，大大提升用户网络体验，提升酒店形象。通过千兆双绞线捆绑或者光纤实现与核心设备的高速互联，避免上联瓶颈。E. 上网速度管理提供差异性网络服务通过在接入交换机对不同的用户分类进行优先级的设置，轻松区分豪华套房、高级客房和普

11、通标准间的网络服务，提供差异化的网络使用体验，帮助提升客房价值。另外通过限制BT、Emule等非法下载工具占用的带宽，有效管理出口带宽，使酒店客户有更完美的网络使用感知。F. 服务器规划应用服务器（DHCP、DNS等）、文件服务器、财务服务器、视频点播服务器以及酒店管理系统服务器连接到一台全千兆的接入交换机，接入交换机通过千兆双绞线上联到核心交换机。WEB、Mail和FTP服务器连接到一台全千兆的接入交换机，因为要对外部提供一定的服务，考虑到安全性，连接到防火墙的DMZ区。3 设备介绍3.1 核心交换机E300-24TS-CE300系列路由交换机是盛科网络基于自主开发的核心芯片构建的三层全千兆

12、多协议固定配置以太网交换产品，是为满足高性能、高可靠性要求而设计的新一代智能型路由交换机。E300系列路由交换机主要面向园区网的汇聚和接入、小型企业的核心或者汇聚的需求，有效保护用户现有设备的投资。硬件支持IPv4和IPv6双栈，增强的组播与QoS能力，可为客户提供丰富的业务特性和路由功能以及基于硬件的安全特性。本次采用的核心交换机型号为：Centec E300-24TS-C：E300-24TS-C：24个10/100/1000Base-T以太网端口，4个1000Base-X SFP千兆以太网端口（Combo）；产品特点： 大容量全线速的多层交换E300系列路由交换机具有48G的交换容量和36

13、Mpps的二/三层包转发能力，支持所有端口线速转发，并能够识别和处理四到七层的业务流，所有端口和VLAN都具有单独双向的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制的能力。 丰富的IPv4和IPv6三层功能E300系列路由交换机硬件支持IPv4/IPv6双栈和常用IPv6过渡隧道协议（手工Tunnel，6to4 Tunnel，ISATAP），确保IPv4网络向IPv6网络的平滑过渡。既可以用于纯IPv4或IPv6网络，也可以用于IPv4到IPv6共存的网络，组网方式灵活。支持丰富的路由协议，包括RIPv1/v2，RIPng，OSPF v1/v2/v3，BGP4+。支持IPv4

14、和IPv6组播功能，支持丰富的组播协议IGMP/MLD Snooping、IGMP/MLD Proxy、IGMP v1/v2/v3、 PIM-DM、PIM-SM/SSM、Bi-PIM，支持大容量组播路由，高达64K组播组，支持1K物理多播和4K逻辑多播。 丰富的QoS策略E300系列路由交换机支持L2-L7复杂流分类；最大可支持64K个流规则； 每端口8个输出队列, 提供灵活的队列调度算法，支持多级的WDRR，SP/WRR混合调度；支持流量监管功能，每个报文支持最多4次流量监管；支持三级流量整形，整形的粒度可以精确至8Kbps。 完备的安全控制策略支持802.1x认证，在用户接入网络时完成必要

15、的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络；支持标准和扩展ACL，可以在任意接口和VLAN上指定安全策略；支持用户分级管理和口令保护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止DoS攻击功能；细粒度CPU流保护；支持SSH特性。 高可靠性E300系列路由交换机支持双电源负载分担和冗余保护，用户可以选配交流或直流电源输入；支持LACP进行动态链路汇聚；支持STP/RSTP/MSTP, 极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行；支持VRRP虚拟路由冗余协议。 出色的管理性E300系

16、列路由交换机支持基于出/入端口/VLAN镜像、基于流的镜像以及支持远程端口镜像功能，可以实现统一监控检测, 使网络管理更方便；支持SNMP，可支持Open View等通用网管平台。也支持CLI命令行，TELNET，SSH管理方式。Centec E300-24TS-C技术参数功能及技术指标参数要求交换容量48Gbps转发性能36Mpps千兆电接口数量24千兆光接口数量4（与千兆电接口Combo）VLAN数目4KIPv4路由协议支持静态路由、RIPv1/v2、OSPF、BGP等IPv4动态路由协议；支持PIM-SM、IGMPv1/v2/v3、IGMP Snooping等IPv4组播路由协议IPv6

17、路由协议支持ND、RIPng、OSPFv3、BGP4+ for IPv6、VRRPv3、MLD SNOOPING、ICMPv6等协议，支持IPv6 Tunnel和IPv6路由策略MAC地址表32K链路聚合支持最大8个GE端口聚合 带宽控制支持带宽控制，控制粒度8Kbps认证协议特性支持IEEE 802.1x Server生成树协议支持IEEE 802.1d（STP）支持IEEE802.1w（RSTP）支持IEEE802.1s（MSTP）设备管理SNMPv1/v2/v3；支持SSHv2/Telnet/CLI/Console等方式管理盛科网络的E300-24TS-C提供高达24个10/100/10

18、00M自适应的电口和4个SFP光纤上联接口（Combo），通过千兆双绞线对下联的交换机进行汇聚。支持丰富的IPv4/IPv6路由协议，为以后的网络升级改造提供便利；支持32K的MAC地址表容量，而且可以根据将来网络的特点，调整MAC地址表和路由表的容量，在满足新的网络的对MAC表和路由表容量需求的同时，最大限度的保护用户投资。3.2 接入层设备E200-24TSE200系列路由交换机是盛科网络资助研发的全千兆固定配置以太网交换产品，是为满足高性能、高可靠性要求而设计的新一代智能型接入交换机。E200系列交换机主要面向企业网、行业客户接入层的需求，帮助用户建设高性价比、高可靠性的优化网络，有效保

19、护用户对现有设备的投资。 Centec E200-24TS-C接入交换机型号为：E200-24TS-C：24个10/100/1000Base-T以太网端口，4个SFP千兆端口（Combo）；产品特点： 线速、低延迟的转发具有48G的交换容量和36Mpps的包转发能力，支持所有端口线速转发，采用高速包缓存，快速转发，低延迟。 高可靠、低功耗采用高可靠的低功耗设计，可以在无空调的高温甚至通风不畅的环境下工作； 支持STP/RSTP, 极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。 出色的管理性支持基于端口的镜像功能，方便对网络中的流量进行监控, 使网络管理和故障排查更高效；支持通过C

20、LI/Telnet进行管理；提供全中文的Web网管方式。 防ARP攻击交换式网络架构中，防ARP恶意攻击是在进行网络设计时必须考虑的重要元素，网络层次越往上，要处理的数据流量越大，对ARP恶意攻击越敏感；汇聚和核心交换机，由于担负着整个网络的数据流量交换，如果发生ARP恶意攻击，不仅会占用汇聚/核心交换机宝贵的处理资源，而且由于汇聚/核心交换机的特殊地位，有可能会成为新的ARP恶意攻击的源头，甚至会影响到对整个网络的正常运行。E200接入交换机支持防ARP恶意攻击；通过在接入层就对ARP报文进行检测，对恶意的ARP报文进行丢弃，把ARP恶意攻击的影响限制在本交换机内，减弱ARP恶意攻击的影响，

21、减小ARP恶意攻击的范围，使汇聚/核心交换机能专注于进行正常数据的转发，保证整个网络正常可靠的运行。 完善的QoS功能每端口4个入口优先级队列、4个出口优先级队列；支持基于端口的QOS优先级配置；支持802.1P优先级；支持802.1P优先级到QOS优先级的映射，支持映射关系配置；支持IP DSCP，支持DSCP到QOS优先级的映射和映射关系配置；支持基于端口的出入双向速率限制；支持完善的风暴控制，可对广播、组播、未知单播、ICMP报文等进行速率控制。Centec E200-24TS-C技术参数功能及技术指标参数要求交换容量48Gbps转发性能36Mpps固定接口24个10/100/1000M

22、以太网电口千兆光接口数量4VLAN特性VLAN支持数量4KMAC地址表8K链路聚合支持最大12个FE端口/2个GE端口聚合带宽控制支持带宽控制，控制粒度32Kbps认证协议特性支持IEEE 802.1x Server生成树协议支持IEEE 802.1d（STP），支持IEEE802.1w（RSTP）设备管理支持CLI/Telnet管理；支持全中文Web管理盛科网络的E200-24TS-C提供24个10/100/1000M自适应的以太网电口和4个Combo使用的1000M的SFP光口，为所有接入服务器、PC以及其它设备，提供1000M高速接入，通过双绞线接入到汇聚交换机；支持细粒度的QoS流量限

23、速和802.1P/DSCP的优先级自定义，在保证关键应用流畅、可靠运行的同时，对不必要的广播、组播和未知单播，通过Storm-Control功能进行限制；支持8K的MAC地址表容量，支持全中文Web配置管理。4 产品清单类别设备型号配置说明数量单位核心层E300-24TS-CE300交换机，交换容量54Gbps，包转发率36Mpps1台E300IPSI盛科E300系列操作系统增强功能软件V2.0，支持IPv4/IPv61套接入层E200-24TS-C24个1000M电口，4个SFP千兆光口，支持Web管理12台网线AMP六类网线，一箱300米3箱水晶头AMP水晶头，一盒100个2盒技术支持三年服务（一年包换，两年有限保修）