大型酒店網(wǎng)絡工程方案.doc

一、網(wǎng)絡建設概述隨著我國互聯(lián)網(wǎng)絡的高速發(fā)展，互聯(lián)網(wǎng)絡對人們的影響，不僅體現(xiàn)在人們的工作與學習方面，而且越來越多地體現(xiàn)于人們生活的各個方面。互聯(lián)網(wǎng)絡將改變?nèi)祟愓麄€生活的理念已經(jīng)深入人心1、建設背景：隨著經(jīng)濟的蓬勃發(fā)展，為賓館酒店業(yè)的發(fā)展提供了良好的機遇，豐厚的利潤和巨大的市場也吸引了眾多的競爭者，酒店行業(yè)靠什么贏得競爭優(yōu)勢？ 酒店在做好現(xiàn)有業(yè)務種類，不斷提高服務水平的同時，如何把握客戶的需求，用最經(jīng)濟的辦法獲得最大的客戶滿意度，提高企業(yè)自身的檔次和知名度，同時拓展新的業(yè)務增長點，成為最根本的競爭所在，這使得酒店行業(yè)對信息化的需求非常迫切。有調查表明，酒店的信息服務水平在很大程度上影響著客人的入住愿望。無法提供高速互聯(lián)網(wǎng)接入服務的酒店，對于客戶來說，無疑是一場商業(yè)災難。1、網(wǎng)絡拓撲圖如下：2、技術實施2.1、IP地址分配動態(tài)地址分配：在ER 5200上面開啟DHCP分配功能。如下圖：2.2、防止ARP地址欺騙PCPC接入交換機Internet發(fā)送免費ARP更新主機ARP表免費ARP+授權ARP，解決所有ARP欺騙PCPCARP欺騙一：PC機假冒網(wǎng)關ER5200通過定時發(fā)送免費ARP，更新網(wǎng)絡主機上被攻擊篡改了的網(wǎng)關MAC地址，保證主機與網(wǎng)關之間的通信。DHCP服務器DHCP請求紀錄MAC-IP關系偽造ARPIP-MAC關系不對ARP欺騙二：PC機假冒PC機ER5200通過授權ARP，只容許靜態(tài)ARP和DHCP分配的ARP表相中的IP地址通過，從而防止PC機IP與MAC的欺騙。2.3、IDS防范 為了防止客房網(wǎng)攻擊，通常會使用路由器+防火墻的組網(wǎng)。ER5200上內(nèi)置了防攻擊的功能，可以省掉防火墻了2.4、報文源認證2.5、設置異常流量防護網(wǎng)絡中的主機會由于出現(xiàn)中毒或網(wǎng)卡異常等原因，向Internet 發(fā)送大量的異常報文，阻塞網(wǎng)絡，大量消耗設備的資源。啟用本功能后，設備會對各個主機的流量進行檢查，發(fā)現(xiàn)有異常流量時會進行指定的處理，以保證設備受到此類異常流量攻擊仍能正常工作2.6、設置IP流量限制某些應用（比如：P2P下載等）在給用戶帶來方便的同時，同時，也占用了大量的網(wǎng)絡帶寬。一個網(wǎng)絡的總帶寬是有限的，如果這些應用過度占用網(wǎng)絡帶寬，必將會影響其他用戶正常使用網(wǎng)絡。為了保證局域網(wǎng)內(nèi)所有用戶都能正常使用網(wǎng)絡資源，您可以通過IP流量限制功能對局域網(wǎng)內(nèi)指定主機的流量進行限制。2.7、設置網(wǎng)絡連接限數(shù) 網(wǎng)內(nèi)的主機遭受NAT攻擊時，主機的網(wǎng)絡連接數(shù)可能會超過幾萬個，從而會嚴重影響業(yè)務的正常運行或出現(xiàn)網(wǎng)絡掉線現(xiàn)象。此時，您可對指定主機的最大網(wǎng)絡連接數(shù)進行限制，保證網(wǎng)絡資源的有效利用四、組網(wǎng)設備介紹1.路由器（H3C ER5200）產(chǎn)品概述：ER5200是H3C公司推出的一款高性能千兆下行路由器，它主要定位于以太網(wǎng)/光纖/ADSL接入的SMB市場和政府、企業(yè)機構、網(wǎng)吧等網(wǎng)絡環(huán)境，如需要高速Internet帶寬的網(wǎng)吧、企業(yè)、學校和酒店等。ER5200采用專業(yè)的64位雙核網(wǎng)絡處理器，主頻高達500MHz，并且支持豐富的軟件特性，如IPMAC地址綁定，ARP防攻擊，流量限速，雙WAN負載均衡，策略路由，源地址路由等功能。它是H3C ER系列路由器中的中高端產(chǎn)品，大型網(wǎng)吧用戶和大型企業(yè)用戶的理想選擇。圖1 H3C ER5200企業(yè)級路由器產(chǎn)品特點：雙WAN口負載均衡（僅ER3200、ER3260、ER5200支持）負載均衡可以讓用戶根據(jù)線路實際帶寬分配網(wǎng)絡流量，達到充分利用帶寬的目的。策略路由實現(xiàn)按照用戶制定的策略選擇路由，如出接口的選擇等。 高性能防火墻內(nèi)置高性能防火墻，通過設置出站和入站通信策略來快速地實現(xiàn)訪問控制， 防攻擊支持對來至因特網(wǎng)和內(nèi)網(wǎng)的常見攻擊進行防護。同時，內(nèi)置內(nèi)網(wǎng)異常流量防護模塊，對局域網(wǎng)內(nèi)各臺主機的流量進行檢查，并根據(jù)您所選擇的防護等級（支持高、中、低三種）進行相應的處理，確保網(wǎng)絡在遭受此類異常攻擊時仍能正常工作。ARP雙重防護通過靜態(tài)ARP綁定功能，固化了網(wǎng)關的ARP表項；另外，對于DHCP分配的IP地址，則采用DHCP授權ARP技術，自動綁定分配的IP地址/MAC地址信息，從而可以有效地防止ARP欺騙引起的內(nèi)網(wǎng)通訊中斷問題；同時，提供毫秒級的免費ARP定時發(fā)送機制，可以有效地避免局域網(wǎng)內(nèi)主機中毒后引發(fā)的ARP攻擊。VLAN支持多局域網(wǎng)功能，您可以方便的劃分局域網(wǎng)為多個網(wǎng)段，降低廣播域和ARP病毒的影響。針對每個局域網(wǎng)可以配置單獨的DHCP Server和防火墻規(guī)則。業(yè)務控制QQ/MSN等即時通訊軟件的大量普及，可能會引起員工辦公效率低下，無法集中精力。路由器獨有的應用控制功能，可以方便地限制內(nèi)網(wǎng)用戶對QQ/MSN等應用的使用；同時還支持對大智慧/分析家/同花順/廣發(fā)至強/光大證券/國元證券等金融軟件的應用控制功能。另外，您還可以通過對特權用戶組的設置保證關鍵用戶的使用不受影響。 IPSec VPN通過VPN安全連接，最多支持10路IPSec連接到辦公網(wǎng)絡。網(wǎng)絡流量監(jiān)控提供流量實時監(jiān)控和排序功能，同時提供多種安全日志，包括內(nèi)/外網(wǎng)攻擊實時日志、地址綁定日志、流量告警日志和會話日志，為網(wǎng)絡管理員實時監(jiān)控網(wǎng)絡運行狀態(tài)和安全狀態(tài)提供了更快捷的窗口。 網(wǎng)絡流量限速通過基于IP的網(wǎng)絡流量限速功能，可以有效地控制指定用戶的上/下行流量，限制了P2P軟件對網(wǎng)絡帶寬的過度占用。同時，提供彈性帶寬功能，在網(wǎng)絡空閑時可以智能地提升用戶的限制帶寬，既充分地提升了網(wǎng)絡帶寬的利用率，又保證了網(wǎng)絡繁忙時帶寬的可用性。產(chǎn)品規(guī)格：項目描述概述固定端口2個10/100Base-TX WAN端口3個10/100/1000Base-T LAN端口1個Console接口處理器(CPU)MIPS 64位500MHz 網(wǎng)絡處理器內(nèi)存DDR II 64MBFLASH8MB軟件特性工作模式主備模式,智能負載均衡手動負載均衡(電信走電信，聯(lián)通走聯(lián)通)路由轉發(fā)模式網(wǎng)絡協(xié)議PPPoE ，DHCP 客戶端，DHCP服務器，NAPT，NTPDDNS()防火墻出站通信策略(源接口/IP/MAC/用戶/目的IP/協(xié)議/端口/時間段) 入站通信策略(源接口/IP/MAC/用戶/目的IP/協(xié)議/端口/時間段) 網(wǎng)絡安全ARP防攻擊/免費ARP，狀態(tài)數(shù)據(jù)包檢查，防止WAN口的Ping，防止TCP syn掃描，防止Stealth FIN掃描，防止TCP Xmas Tree掃描，防止TCP Null掃描，防止UDP掃描功能，防止Land 攻擊功能，防止Smurf攻擊功能，防止WinNuke攻擊功能。防止Ping of Death攻擊，防止SYN Flood攻擊功能，防止UDP Flood攻擊功能，防止ICMP Flood攻擊功能，防止IP Spoofing功能，防止碎片包攻擊，防止TearDrop攻擊，防止Fraggle攻擊功能訪問控制IPMAC地址綁定(靜態(tài)ARP) ，URL過濾(黑白名單)，MAC地址過濾，QQ/MSN訪問控制，金融軟件控制：大智慧/分析家/同花順/廣發(fā)至強/光大證券/國元證券QoS流量統(tǒng)計(基于IP/端口的流量統(tǒng)計),網(wǎng)絡流量限速(基于IP，上下行流量分別限速),NAT表項限制,應用通道限制(綠色通道/限制通道)流量監(jiān)控基于物理端口的流量統(tǒng)計,基于IP的流量統(tǒng)計，支持自動排序功能,基于IP的NAT鏈接數(shù)統(tǒng)計路由靜態(tài)路由，策略路由(基于源IP/目的IP/協(xié)議/端口/出接口/時間段)系統(tǒng)服務ALG，端口觸發(fā)，UPnP，虛擬服務器，靜態(tài)NAT(一對一NAT)，DMZ 主機，VPN透傳(PPTP、L2TP、IPSec)配置管理基于Web的用戶管理接口(遠程管理/本地管理)，HTTPS遠程管理，命令行CLI，通過HTTP 升級系統(tǒng)軟件故障診斷Ping / Tracert，設備自檢，故障信息一鍵導出2.核心交換機(H3C S5024P)產(chǎn)品概述：H3C S5024P以太網(wǎng)交換機是H3C公司自主開發(fā)的支持Web管理的二層線速以太網(wǎng)交換產(chǎn)品，是為要求具備高性能且易于安裝的網(wǎng)絡環(huán)境而設計的智能型交換機。S5024P提供24個千兆以太網(wǎng)端口、4個千兆SFP端口（與后4個千兆以太網(wǎng)端口復用）以及一個Console端口。該交換機可以通過console口、telnet以及web方式登錄進行配置，支持VLAN劃分、端口雙向鏡像、端口+MAC地址綁定和端口聚合等功能。圖1 H3C S5024P產(chǎn)品外觀示意圖產(chǎn)品特點：符合IEEE802.3、IEEE802.3u、IEEE802.3ab/z和IEEE802.3x標準支持端口流量控制，符合IEEE 802.3x提供24個10/100/1000M自適應以太網(wǎng)端口，支持端口自動翻轉（Auto MDI/MDIX）、4個1000M SFP端口（與最后4個1000M電口復用）及1個Console口最多支持255個符合IEEE 802.1q標準的VLAN，VLAN ID 14094可配；最多支持24個基于端口的VLAN端口匯聚：支持整機最多4組，每組最多24個端口支持基于端口的帶寬控制，最小粒度為25Mbps 支持IEEE 802.1p優(yōu)先級、IP優(yōu)先級和DSCP優(yōu)先級，支持SP隊列調度，支持每端口2個優(yōu)先級隊列；支持廣播風暴抑制支持端口鏡像功能支持端口綁定支持端口收發(fā)報文統(tǒng)計支持MAC地址老化時間設置 提供命令行接口管理和Web管理 支持交換機系統(tǒng)軟件的升級 內(nèi)置通用電源，1U鋼殼，19英寸標準機架結構，可上機架。產(chǎn)品規(guī)格：項目描述概述標準IIEEE 802.3 10BASE-T 以太網(wǎng)IEEE 802.3u 100BASE-TX 快速以太網(wǎng)IEEE 802.3ab 1000BASE-T千兆以太網(wǎng)IEEE 802.3z 千兆以太網(wǎng)（光纖）ANSI/IEEE 802.3 NWay自動協(xié)商IEEE 802.3x 流量控制固定端口24個10/100/1000BASE-T自協(xié)商的以太網(wǎng)端口1個Console端口可選端口4個1000Base-SX/LX SFP光口固定端口屬性連接器類型：RJ-45支持10/100/1000Mbit/s傳輸速率支持半雙工、全雙工、自協(xié)商工作模式支持MDI/MDI-X自適應可選端口屬性連接器類型：LC支持1000Mbit/s傳輸速率 全雙工網(wǎng)線類型雙絞線：采用5類雙絞線，傳輸距離100m 光纖多模：50/125m多模光纖，配有LC插頭，傳輸距離550m單模短距：9/125m單模光纖，配有LC插頭，傳輸距離10km單模中距：9/125m單模光纖，配有LC插頭，傳輸距離40km單模長距：9/125m單模光纖，配有LC插頭，傳輸距離70km性能背板帶寬48G 轉發(fā)能力35.71Mpps交換模式存儲轉發(fā)模式MAC地址表支持地址自動學習、自動老化（老化時間為5分鐘）；最多支持MAC（Media Access Control）地址：8K；支持手工配置靜態(tài)MAC：64項軟件VLAN最多支持255個符合IEEE 802.1q標準的VLAN，VLAN ID在1-4094范圍內(nèi)可配最多支持24個基于端口的VLAN優(yōu)先級隊列（QoS）支持802.1p優(yōu)先級、IP優(yōu)先級和DSCP優(yōu)先級隊列數(shù)：每端口2個端口匯聚支持整機最多4個匯聚組，每組最多24個端口端口鏡像支持基于端口的雙向鏡像端口帶寬控制最小粒度為25Mbps廣播風暴抑制所有端口上支持基于帶寬百分比的廣播風暴抑制配置和管理基于Web的管理支持命令行配置支持通過Telnet登錄進行配置維護支持調試信息的輸出、統(tǒng)計支持Ping維護診斷工具支持通過Telnet進行遠程維護3.接入交換機(H3C S1526)H3C S1526交換機是H3C公司自主開發(fā)的二層線速以太網(wǎng)交換產(chǎn)品，是為要求具備高性能且易于安裝的網(wǎng)絡環(huán)境而設計的智能型交換機。S1526提供了24個10/100 Mbps端口，2個千兆銅纜/SFP（mini GBIC）組合端口用于靈活的千兆銅纜或光纖骨干連接，用戶可根據(jù)傳送距離的不同要求靈活的選擇1000BASE-LX、1000BASE-SX、1000BASE-T等多種接口類型。該款交換機支持Vlan劃分、端口鏡像、端口聚合和QoS等功能，可以通過WEB界面進行方便地配置。H3C S1526產(chǎn)品規(guī)格項目描述概述標準IEEE802.3 10BASE-T以太網(wǎng)；IEEE802.3u 100BASE-TX快速以太網(wǎng)；IEEE802.3ab 1000BASE-T千兆以太網(wǎng)；IEEE802.3z 千兆以太網(wǎng)（光纖）；ANSI/IEEE 802.3 NWay自動協(xié)商；IEEE802.3x流量控制固定端口24個10/100Base-TX自適應以太網(wǎng)端口；2個千兆光電復用端口；1個Console接口固定端口屬性連接器類型：RJ-45；支持10/100/1000Mbit/s傳輸速率；支持半雙工、全雙工、自協(xié)商工作模式；支持MDI/MDI-X自適應網(wǎng)線類型10Base-T：3/4/5類雙絞線，支持最大傳輸距離100m；100Base-TX：5類雙絞線，支持最大傳輸距離100m；1000Base-T：