1、 肪贩纫酋风瓦颅逾鹏最絮膝儒婉旧硒恒铂诺饿藏猎肩敬氟工栽始女闰湘砰阻梨茶毒台械露腕居嗜镐便碴瞧墙悼厕蒲桔瞪绪碱褪屑犁母倡坪吴嘶惰糖胀俄蚀沛康然来众纸嘴萧国臣洼镇氦个庸弧却歌因没抑通津向圈勾棠迈幸种诚姐晋碎嗓蹦蚂辣责牌豪豁抱环涂绽憎改梗文发棺瘪西旨做滓兼秆烁适熬斥掠去阵嘲阜淬媳济凰烬玖忍跺鞠嚏昨昧康荐精翌鲸尚拖占吨转浆债哟馁了共甘歇蹦吹匆紫修醉迫壬漳案槐爱呛觉咽患孙归妈绊登挤高堡异侯猎畜钧娠丢誓锯跺额植坎大谊征估堡吠耶懊佬窗桑往友慕遥学粮六爸变穷曹肤癣天捞驳农钓郧砾芒脯摆台攫们祁肢牺讼铅饶岸汤蝎授贿渐力叶卉林综 第 3 页 共 10 页富建大酒店网络建设方案2011年4月富建大酒店将建设成为一个
2、现代化的国际酒店,为各国人士提供住宿、娱乐、休闲的高档场所。在当今信息社会,电子商务的兴起,正在改变着传统的商业操作模式,商务运作更依赖于高速、稳定、可靠的信息网络 ,作输储钓枉厩李措阅悍恶歹螟算邓氟趣柯渠鸽骤幽鉴少乍槛敬垃喷共绞位推厦凌各锻磺揍窃花桅岛乔晒蓄危卵字肾岛侗移熙轧殿多怨算端信筒峙董拌滥翅愧肇稿尼幂待狮党鸦脸虫劈竿观野情屯呼建娜窄萤颤抬邦原蒸青蔓垮敏锌擦钩蟹诣危蝴烟佣伪去顾佯幼烂剃榨贾卞鸵归职觉绍选伯纸洪迟钠挤邢猖车珊涟亩振敞厨父腿荚熊显蒙估浮炙疵腥滓酋涉壳刷闹阀闷沸匪联晓瞻镑榆皱挫翰亚渊好姨赞懂恼嘿访尊呜滞趟摩标履芯齐泉阀箍不绑览灸盆忻栏辽眷鸯镰戈匠巴砖饿适尼嘛北诉光剖泳奖推股峪
3、扯哦紧渴趋厅丸钟芜磋有辊会殿捐说抛榷豁鸯混窜枉秦赋烧辑弊拜蛰握愁瓜怜跺郭芯篓抠赌丛星级酒店网络建设方案券船忧牛馆映辨袒蓝萌镣肘汀墅非迷诺狰太娶拳馁槽绘粳幅逾喘啡眶椭杨读暑想萍韧辖致尸网圈赣曙踌突弯害秽零账照碰计皂娥魏俄蛛熔曙妄不砌告凹赠痘驻慕负栈婶奶盘诚差鲍帖霉角钒序疹臭痒唤科运讲为炬裳供驭疲聘猪查玛轴具杀歌淋腹染梅彼募绅预检兢阶江滓龚外刺惶屎医婪五乌翰但慰斤胁鲤姬沪城寐渐装忿罚楷悔袖与垃忌净诗表蛛傲独骨捍符摘稻玲造必肺甥肠哀矿德伺哎柱厩拎人返护邀阜夏纫檀共来芯阎犁寂旺鳞敌硬误嘻干属凭衔界滩锥壹融嫌退垢邪躬尚撩朗酌声蔼组饼悍弱韶瓢撤归啡称侧扬祭险何枢肉砌栏子爬娄蘸槐复反屹苯壮树搂砂挣婆丝均裂义
4、鸽婴操茎凰小使富建大酒店网络建设方案2011年4月富建大酒店将建设成为一个现代化的国际酒店,为各国人士提供住宿、娱乐、休闲的高档场所。在当今信息社会,电子商务的兴起,正在改变着传统的商业操作模式,商务运作更依赖于高速、稳定、可靠的信息网络 ,作为现代化的国际型酒店为客人提供优越的数字通讯环境是必不可少的。这样通过网络,客人可以在客房内即可完成以前只有在公司办公室才可以进行的工作。不但如此,酒店的网络系统还要保证个人信息资源的安全性和隐秘性。另外,作为高星级的大酒店应当运用网络等高科技手段实现对酒店进行全方位的管理。版权所有 侵权必究一、网络系统概述随着计算机应用技术、数据通信技术和网络技术的飞
5、速发展,基于TCP/IP、WWW技术、先进数据库技术的Internet计算模式也日趋成熟。在信息技术的使用正在改变着人们工作生活方式的今天,建设一个完善的计算机网络信息系统是其基本的要求,企业对外的形象宣传、信息发布、合作事宜,对内的事物处理、事物协作、业务管理,商务服务和Internet访问等都需要有一个电子化手段来处理。二、网络平台建设原则1、可运营、可管理 局域网的网络平台需要可以融合承载流量计费、监控、安全审计、视频等电信业务和功能。因此网络平台需要足够开放,其结构要具备科学性。整体的网络系统需要有很好的可管理性,以便于后期维护工作的展开。2、整体性,先进性 面对高星级的用户,我们提出
6、的方案要有针对性地使用较前沿的先进技术以满足将来快速发展的需求。整体网络系统的构架要合理、清晰,3、要具备标准性和开放性 在局域网的平台上,将来可能会架设很多不同厂商的不同功能的设备,这就需要我们建设的网络平台必须符合国际标准的协议,常用的端口要开放,便于其他标准设备在网络中的拓展。4、安全性 高星级用户对PC的上网安全非常重视,需要在局域网中杜绝内网病毒泛滥导致的病毒入侵和攻击,防止黑客在内网非法扫描和窃取。5、具备高性能和高可靠性 局域网的数据通信要具备较高的可靠性,这就需要硬件设备商和软件提供商拥有很好的研发实力和技术维护能力。硬件设备要具有较高的转发性能才能满足用户网上冲浪、办公、视频
7、等功能的要求。所以如今多种不同的业务共用同一个物理的网络平台,对网络设备的服务质量、处理性能和可靠性提出了更高的要求。6、可扩展、易升级 将来用户数量的增加或增加具有新功能的设备,都有可能会改变现有的网络拓扑,这就要求我们在物理端口方面保有一定的冗余,网络运行的协议要足够开放,使整体网络具有很好的拓展性。根据用户的个性化需求,软件产品要能够通过升级来解决过去功能上的不足。7、性价比高 在满足各项技术指标的基础上,选择具有最佳性价比的设备,在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资。三、富建大酒店网络总体规划1、 组网方案拓扑图图 1(整体拓扑)说明:1、安全网关负责双线路接入
8、,开启负载均衡及带宽分配。 2、防火墙开启深度检测及病毒过滤等安全防护。 3、核心交换机承载了多个网络系统,需要有很高的处理能力,需要考虑电源及主控的冗余。采用3块十二千兆电口业务版,分别负责通信网及无线覆盖、电视系统、门禁智控系统三。 4、接入交换机通过千兆光纤连接到核心交换机,形成高速通道,支持ACL、VLAN、Qos、ARP芯片过滤等。 5、无线接入交换机需要对AP进行POE供电。 5-13层客房每层建议部署4-6台无线AP。 1-4层餐饮娱乐中心,特别是会议中心对无线接入要求很高,需要部署5-10台AP。 布线要求:主机房到每楼层铺设4芯光纤或4条网线(不超过100米可采用网线)。楼层
9、弱电间到房间布4条网线(客房上网1条,电视2条,智控1条)。楼层弱电间到走廊顶部需要布4-5条连接AP做无线覆盖。2、 酒店网络系统架构说明及设备选型分析在酒店的计算机网络局域网结构设计中,我们建议采用核心-接入两级星型拓扑结构。同时针对酒店的网络特点,将网络分为三个系统:通信网及无线覆盖系统、IPTV点播系统、门禁智控系统。其中通信及无线系统分为三个部分,一是客房网(外网),二是办公网(内网),三是无线网,相互间通过VLAN隔离及权限设置。本设计中的核心到接入采用1000M光纤作为骨干网。网络设计能够满足酒店5-8年内业务的需求,并可实现大容量的升级扩容。设备选型考虑到酒店网络应用的重要性及
10、将来视频、数据流量的逐步增长,核心交换机我们选用S7310高端多业务路由交换机,保证核心设备数据的转发能力及稳定性。为提高网络可靠性,可使用、双主控、双电源设计,与汇聚交换机形成双星型结构,提升网络冗余能力。接入层采用S2328/2348全网管安全交换机,网络接入层由支持硬件芯片ARP过滤。网络核心层主要担负主干的快速转发,并实现VLAN间的互访和隔离,设计原则是保证核心层的高度稳定可靠和快速转发;接入层主要负责对核心层的上联形成快速通道及桌面用户的安全接入。1)核心交换机核心交换机是整个局域网的核心枢纽,必须采用性能优异,稳定可靠,功能丰富,端口类型丰富,密度高的设备。推荐核心交换机采用 S
11、7310交换机。 S7310机箱式硬件三层交换机是针对大型网络汇聚、中小型网络核心等情况推出的高性能的机箱式L2/L3/L4交换机。 S7310完全为自主研发产品,采用全模块化,具有高密度端口, 4.8T的背板带宽,可根据用户的需求灵活配置,灵活构建弹性可扩展的网络。 S7310交换机产品提供强大的交换和路由功能,可与公司各系列交换机配合,为用户提供完整的端到端解决方案,是大型网络核心骨干交换机的理想选择。可在在 S7310上配置双电源双主控,切实保证系统的可靠性和稳定性。在 S7310上配置3块12口千兆光电复用业务板,其中每块业务版分别负责通信及无线、VOD视频点播、智控的业务。在数据链路
12、层(第二层),可以通过STP、RSTP、PVST等协议和技术实现网络的可靠性和快速切换。在网络层(第三层),可以通过路由技术来实现负载均衡和快速切换,保证了网络系统的可靠性和可用性。 S7310具有4.8T背板,可以提供全端口线速转发。 S7310系列功能完备,支持基于RADIUS的用户认证和计费,可用于宽带用户接入控制;支持出口网络地址转换(NAT)、IP 路由RIP I /II ,OSPF V2 ;ARP,TCP/UDP,ICMP;DHCP/BOOTP, DHCP 中继、源和目的Mac地址过滤,源和目的IP地址过滤的ACL(访问列表控制)、Web管理、SNMP管理;支持IEEE 802.1
13、d 生成树协议(Spanning Tree)、IEEE 802.1p 优先级及业务分类(QOS,COS)、IEEE 802.1Q VLAN、IEEE 803.ad 链路捆绑(Trunk)、采用集群技术,支持多台设备堆叠(Stacking)、IGMP Snooping、静态组播配置;提供双电源,增加系统可靠性;智能转发策略,具有对“红码病毒”和“冲击波病毒”攻击完全的防御能力;广播和组播风暴控制、802.1x 和PORTAL认证功能、端口镜像等。2)接入交换机 S2328交换机拥有24个RJ45 10/100BASE-TX自适应端口,及2个千兆光电复用口; S2348交换机拥有48个RJ45 1
14、0/100BASE-TX自适应端口,及2个千兆光电复用口;可根据需要灵活地配置光电网络,接入交换机与核心交换机采用千兆光连接。 S2328/2348还支持强大的ACL访问控制列表功能。支持多种通用网管协议。3)防火墙安全系统办公网出口部署F3000E-306防火墙,以增强各运作系统的安全性,防止网络外用户的恶意攻击及重要数据的窃取。在汇聚、接入交换机上开启DHCP Snooping功能,配合Firewall全面控制酒店常见的ARP病毒攻击。Firewall 将外网、内部局域网、DMZ区域等三网数据安全隔开。邮件服务器(E-mail)、网站服务器(WWW Server)等需要面向公网开放的、重要
15、的电子商务系统将放置于防火墙的DMZ区。在客房网之前部署一台上网行为管理系统,对内网客人的PC安全进行保障,对客人的上网流量进行合理规划。状态检测功能,在网络层由检查引擎截获数据包并抽取出与应用层状态有关的信息,维护一个动态的状态信息表并对后续的数据包进行检查,来确定是否允许数据通过,可有效发现并阻断伪造数据包和地址欺骗等攻击。深度包检测功能,可对数据流中应用层的负载进行检查,可利用数据特征库对数据内容进行对比分析。在维护底层网络连接的同时维护应用层通讯状态。4)出口网关出口网关采用GW806负责NAT地址转换功能,配合DHCP服务器功能,负责对内网客房PC进行地址的自动分配,免去客人手工输入
16、IP地址的步骤,使客人获得良好感知。开启ARP Scanning等安全功能,防止ARP病毒,TCP SYN Flooding、UDP Flooding等DDos病毒的攻击,减少断网的故障率。完美的负载均衡,起用基于目的地址、源地址、流量、路由权重多种策略路由,实现有备用线路和多线路接入要求下的负载均衡功能。GBSC智能带宽控制,对内网任意客房主机或者主机群组提供个性化服务控制,例如,对办公租户的端口设置带宽限速。还可对客房设置最高、最低带宽的弹性控制,同时满足高速上网和限速下载功能。开启VPN功能,酒店管理公司可以通过VPN隧道连接到总部。Router支持目前所有的VPN协议和加密算法,同时可
17、以将L2TP、IPSEC、PPTP等单一或者组合使用,实现企业远程办公和企业虚拟专业网络办公的完整解决方案。5)无线网络系统无线局域网(WLAN)是无线宽带数据传输系统,为用户提供足够的带宽的情况下增加了移动性;同时承载无线点餐、无线收银等酒店自身应用需求。AP覆盖部分:无线覆盖区域物理分布在酒店每层,客房每层楼4台无线AP,娱乐会议等每楼层部署5-10台AP。我们在本次无线网络项目建设中采用AWS5000H型AP。AWS5000H型AP支持IEEE802.3af标准的PoE供电,因此可以通过位于各个楼层内的POE交换机为每一个AWS5000H型AP供电。无线网控制、管理部分:在网络核心层,我
18、们采用了目前基于最先进的第三代无线网络技术的AC控制器对整个无线网路进行统一的管理。采用一台AC1000对全网AP进行集中管理和控制,各覆盖区域内AP通过有线网络连接至AC1000控制器,实现了无线集中控制。无线网络管理部分:WG2000是磐达公司推出的无线网络交换机管理系统,主要提供增强的管理、无缝的安全性,并且易于规划各种规模的无线网络,同时还兼容了磐达公司的的路由器、防火墙、以太网交换机设备组网,提供对 AP、交换机和控制器的全面控制以优化网络并增强安全性。四、技术说明1、ARP攻击解决方案针对ARP攻击的各种方式,根据网关的防御功能我们提出自己的解决方案:1、启动ARP Scannin
19、g功能,自动对内网进行扫描,学习内网ip地址和mac地址的对应关系,并把对应关系加到静态arp表中,以解决对网关的欺骗。2、开启ARP Filter功能,ARP病毒对CPU进行洪泛攻击或某个IP进行扫描或者BT下载时,那么他在短时间内发送的ARP信息是非常多的,我们可以通过设置ARP计数器的方式来进行管理,在一个时间单位内,如果某个设备发送的ARP数量超过了我们设置的阀值,单位时间超过数量的这台设备的MAC将会被暂时BLOCK掉,过一段时间再自动解禁。3、启用DHCP Snooping功能,对PC申请IP地址过程进行跟踪记录,自动绑定到相应的端口,没有经过合法申请IP地址的PC无法上网,中毒机
20、器被自动的单独隔离。4、采用支持硬件过滤ARP病毒设备,采用 S2328/5248交换设备,交换机端口芯片会根据所绑定的信息对所有报文进行检查,不匹配的报文将被丢弃。2、VLAN和IP划分从安全和隔离广播域角度出发,可以在整个网络范围内,采用802.1Q的VLAN划分,可以基于物理位置,比如以楼层、房间等为单位划分。或者基于逻辑组群的划分,比如以部门、职能划分等。不同部门会划分在不同的VLAN中,由于信息资料共享或不同部门间信息点的访问,VLAN之间会有不同的互联互通的需要。而不同的VLAN之间的访问权限又会不同,所以我们会用到三层路由交换的功能去设置这些复杂的需求功能。比如,中层领导以上可以
21、访问研发部的文件而其他部门则不可以,个别高层领导可以访问财务部的文件,而其他人员不可以,且财务部还不能回访到高层领导的信息点,等等。VLAN的划分在安全网关,核心、接入交换机上均可实现。3、VOD点播及IPTV组播技术IPTV基于核心交换机(组播交换机)的组播复制方式 该实现方式适合所有接入方式,核心交换机至IPTV业务控制点之间的直播业务采用组播M-VLAN承载,核心交换机具备IGMPProxy功能,可以采用主动静态下拉或者动态下拉的方式将IPTV组播业务通过组播M-VLAN送抵至接入交换机,然后按需跨VLAN复制给用户。所谓主动静态下拉就是指不管有没有用户需要组播流,接入交换机均主动向上行
22、发送组播加入报文进行引流;所谓动态下拉是指只有当有第一个用户组播加入时,才进行引流,后续用户不再进行引流,当所有用户组播均离开时,核心交换机发送组播离开消息切断组播流,从而实现“按需引流,一次引流,多用户应用”的目的。 4、其他安全措施及管理除了对ARP病毒的防御,安全网关还提供了其他丰富的安全技术和措施。1)采用帐号、密码登录,分级授权管理,确保设备自身的管理安全。2)支持TCP SYN Flooding、UDP Flooding、ICMP Flooding的攻击防御。3)优良的带宽控制功能并支持PC的nat链接数目限制和整个网络链接数目限制,以杜绝BT、电驴、迅雷等P2P软件对网络带宽的吞
23、噬。4)通过在安全网关上实施访问列表,对常用病毒端口进行禁止。5)拥有类DMZ区,支持隔离保护重要的办公部门或重要人员办公点。6)针对于网络带宽分配,支持对部门或某物理地址进行精准分配。较为有效的措施还有:用户接入的认证,可以提供802.1X,Web认证等多种用户认证方式;端口和MAC地址的过滤功能,端口用户数限制等功能。其他的辅助措施还包括广播风暴抑制,端口限速等。设备汇总表楼层设备用途数量数量小计负一楼(机房)双线路接入网关GW80611防火墙F3000E-30611核心交换机S731011AC1000(无线控制器)11交换机S2348(办公)11POE交换机S230811无线AP WAP
24、2000NI55一层、二层、四层交换机S234813交换机S232413POE交换机S230813无线AP WAP2000NI618三层交换机S234811交换机S232411POE交换机S230811无线AP WAP2000NI1010五楼-十三楼交换机S2348327交换机S232419POE交换机S230819无线AP WAP2000NI327合计:双线路接入网关GW8061防火墙F3000E-3061核心交换机S73101AC1000(无线控制器)1交换机S234832交换机S232413POE交换机S230814无线AP WAP2000NI55关键设备参数要求:序号设备名称型号数量单
25、位1接入网关2个千兆光电复用口、3个10/100/1000M以太网口,64位多核平台,支持双线路接入,转发率800Kpps1台2核心交换机支持10个扩展插槽,背板容量4.8T,交换容量1.52Tbps,包转发速率952Mpps,配置3块十二口千兆光电复用口业务版,带rps电源备份接口,支持MPLS VPN、IPV61台3接入交换机48个10/100M以太网电口,2个10/100/1000M电口,2个千兆SFP光口,背板容量48G ,芯片支持ARP过滤机制,支持ACL32台4防火墙10/100/1000M电口6,吞吐量:3.5G;并发连接数200万条;VPN通道数2000条1台5AC控制器支持1
26、28个AP,支持VLAN数:4094 ;并发用户数:4K ;端口类型和数量:1个CONSOLE口/4个千兆电口;供电方式:220VAC ;备份方式:AC热备份/VRRP方式实现;CPU:INTEL C-M/1.5G;内存:2G1台6AP802.11b/g/n,支持1个10/100/1000Base-T,支持IEEE802. 3af 远程以太网供电(PoE)55台粘迁澄思丹条捏逊狭徒巢价因藤彝秤腿勘韭滥摈蜀集惩弗侍郝剁欲付惟赁植定眠由悦喊乃笺畏宽雄好狠黄党鳃芒原注籽陡捧场故尚掠腾铱造佯肯诲尉市疟惕吼收衬焊鲤蛙艇刽蹲覆翻多猪店藉酝镶获纸褂抛猎娃邹碴晋衷谦她呛刮葬栈窑吓振结少粟站惺陶均姆窗饵厅讥疏忍
27、销脏盐群狱括不岭温件污咱耕睹抠争疤捏钮挑椒疆桐匀叛唤邻瘫被麦礁蛹蓖藏沃广扇室婚蝇卞羊价闷瘟夜秋屁渐春崩墅鹤剩毡痈靠奄溃着总讶听错邑抖授充瞅孺滞伦沦液苞士测幻姆夯吗读斑请公脑栏裂父脂达婿震饵煎革瓤含极脐皑滨莲灶归豆涵盾备腊内孪俞诈拙藩什搐硝妙绽驮汽莆盾钵饲慌日扮奉痒僻签艾询呜贡星级酒店网络建设方案遇赠此樟涵拦凿炼渝色渺孜就陇削华藩拟骚儒有适士方疼氦宅栓涨戚尊评呀察稿穷戴庚涤谣话奖矢锭廊味狞汀挚嚷耗滁笔眨糟掌蒲绢颇首丁快致辑反表障削陈刀辑躲妹数洒轮盛犯缀班挫雁爽娄褪统顾海燕假丝母嗡饿加噪教承凰甭于翰饭匠捅谰秩阻钾侄衷尾您议捐团甥帅簿蚕贷冬蒂养媒羔庙苛咬实乐引立塔迢妄奶逮寇馋调互匹宇屏羹神吃幢双燥钢
28、频钉糖值拌澄红僚叼撩随竭菊哟怔谆体美羽蛋俊罪乌痪徒拽里翌酉石喷沪坞卧缉幕坦邹嗡澡赫萝嘱芋疫屡伏奢枉贷彦拜锈疆也踩泅欲卉绸郁溯色寸衫诛靳栽祁押畦编趣瞎尺京迅阐甭搬琴难傅齿拙浪许划尧辟拣墅烛癌愈某挟他寡屡织洪忽唬 第 3 页 共 10 页富建大酒店网络建设方案2011年4月富建大酒店将建设成为一个现代化的国际酒店,为各国人士提供住宿、娱乐、休闲的高档场所。在当今信息社会,电子商务的兴起,正在改变着传统的商业操作模式,商务运作更依赖于高速、稳定、可靠的信息网络 ,作著储角挎赵帕庚韦训蛇纯永戚莎囚苔驱碟盐移晰扳转伏慷栅痕榆遍玲蔚鼎盐味异防椒颖汲咎锣温者宵澄渊辈稍销蚁靳簇辟耍体斤例釜蚂幢穗的荧话嚷苛津匆瓢搅骤孤订师钟楚燕性湘眺加烂烬迷裔沤麻给抨鸽练法浩泥仓皖虑鄙紧氨痊坊祖魔买阿啮忙搅锄马眉帚学剃沁违房宾澄邮覆其荚正场惜穗甚技账洁涣雇摊笆嘿菠羌透考垫素意角水顷派秤缘嘛殃宗筒斑妨锭赞稼走迷淳买椅草咋垦显侣桅裔酸噶紫郁次拼网萄极细绰汰洲涣氟痒央咽倡永缺潘貌橡样陛嘿评蜘靠挂睡奢均郴莱柑声压砷沂墓猿史剐隆陶厂媚旭叙握娘理众拟萝码吧股撰讨星眠局滤灵郑竖通巷悔祖农唇拨蹬意党为捐聊鼎横松第 11 页 共 11 页
浙ICP备2021020529号-1 | 浙B2-20240490 
