酒店網(wǎng)絡(luò)規(guī)劃設(shè)計方案6

1、、網(wǎng)絡(luò)建設(shè)概述隨著我國互聯(lián)網(wǎng)絡(luò)的高速發(fā)展， 互聯(lián)網(wǎng)絡(luò)對人們的影響， 不僅體現(xiàn) 在人們的工作與學(xué)習方面，而且越來越多地體現(xiàn)于人們生活的各個方 面?；ヂ?lián)網(wǎng)絡(luò)將改變?nèi)祟愓麄€生活的理念已經(jīng)深入人心1、建設(shè)背景：隨著經(jīng)濟的蓬勃發(fā)展，為賓館酒店業(yè)的發(fā)展提供了良好的機遇，豐 厚的利潤和巨大的市場也吸引了眾多的競爭者， 酒店行業(yè)靠什么贏得競 爭優(yōu)勢 酒店在做好現(xiàn)有業(yè)務(wù)種類，不斷提高服務(wù)水平的同時，如何把 握客戶的需求，用最經(jīng)濟的辦法獲得最大的客戶滿意度，提高企業(yè)自身 的檔次和知名度，同時拓展新的業(yè)務(wù)增長點，成為最根本的競爭所在， 這使得酒店行業(yè)對信息化的需求非常迫切。有調(diào)查表明，酒店的信息服 務(wù)水平在很大程度

2、上影響著客人的入住愿望。 無法提供高速互聯(lián)網(wǎng)接入 服務(wù)的酒店，對于客戶來說，無疑是一場商業(yè)災(zāi)難。2、上網(wǎng)需求漸增統(tǒng)計資料顯示，酒店客戶中 45的人有上網(wǎng)需求，并且其中有 30 的客人提出了高速上網(wǎng)的要求。值得注意的是，對上網(wǎng)速度有強烈需求 的客戶，對價格又不是很敏感，這些客人是各個酒店利潤的主要來源， 也是各大酒店竭力爭取的商住客戶或者常住客戶。因此，對于同等星級的酒店，在管理水平和房間設(shè)施趨于相近的情 況下，提供高質(zhì)量的互聯(lián)網(wǎng)接入服務(wù)是酒店吸引更多商務(wù)客人入住的有 效手段。采用寬帶接入可以顯著提高星級酒店的信息化服務(wù)水平，酒店入住客人可以輕松自如地實現(xiàn)諸如網(wǎng)上沖浪、 IP 電話及可視電話、電

3、視會議、電子商務(wù)、V0點播（互動點播電視節(jié)目和電影）、虛擬專用網(wǎng) 絡(luò)（VPN等功能。向客戶提供高速上網(wǎng)，提高酒店的服務(wù)檔次，是為了尋求酒店經(jīng)濟 的增長點， 提高酒店的競爭力。 通過傳播酒店的聲音， 發(fā)布酒店的信息， 開放酒店面向客戶的信息，提供查詢酒店信息的渠道，建立網(wǎng)絡(luò)信訪機 制，可加深酒店與客人的感情。通過廣泛開展對酒店客人提供公益性的 信息服務(wù)，例如新聞報道、天氣預(yù)報、旅游指南、航班信息、求醫(yī)問藥 和列車時刻查詢等，可建設(shè)酒店的信息化環(huán)境。酒店可以在寬帶網(wǎng)上運 行酒店管理系統(tǒng)及酒店網(wǎng)站，向全社會推介酒店的業(yè)務(wù)?？蓪崿F(xiàn)酒店內(nèi) 部資源共享，提高資源的利用率，為酒店節(jié)省開支?？蔀榫频晏峁╇娮?

4、商務(wù)，擴大酒店的業(yè)務(wù)范圍、促進酒店的管理模式的轉(zhuǎn)變、提高酒店的 工作效率?？蔀榫频晗蜃詣踊k公及無紙辦公的發(fā)展提供條件。二、設(shè)計原則1、網(wǎng)絡(luò)需求分析石林大酒店上網(wǎng)系統(tǒng)項目涉及到該酒店的 3層樓和兩個會議室， 共計68個信息點，酒店為每個客房的接入帶寬為 100M酒店在二層設(shè)置1個管理間，所有的客房的信息點都進到酒店二層樓管理間， 進行集中管理。2、建設(shè)目標、石林大酒店以因特網(wǎng)接入的總體目標： 實現(xiàn)酒店內(nèi)部每個房間上網(wǎng) 的需求，提供高質(zhì)量的互聯(lián)網(wǎng)接入服務(wù)吸引更多商務(wù)客人入住。提高星 級酒店的信息化服務(wù)水平， 酒店入住客人可以輕松自如地實現(xiàn)諸如網(wǎng)上 沖浪綜合運用計算機網(wǎng)絡(luò)技術(shù)向客戶提供高速上網(wǎng)，

5、提高酒店的服務(wù)檔 次，酒店經(jīng)濟的增長，和酒店的競爭力。3、設(shè)計原則設(shè)計主要要考慮到先進性、可靠性、開放性、經(jīng)濟性、安全性和可 管理性。設(shè)計要立足先進技術(shù)，采用最新科技的電網(wǎng)通技術(shù)，以改變 酒店布線難的問題。使整個網(wǎng)絡(luò)在國內(nèi)保持領(lǐng)先的水平，并具有長足 的發(fā)展能力，以適應(yīng)未來網(wǎng)絡(luò)技術(shù)的發(fā)展。所以，網(wǎng)絡(luò)系統(tǒng)的可靠性 就顯得尤為重要。在網(wǎng)絡(luò)設(shè)計中遵循以下技術(shù)原則： 標準化 系統(tǒng)采用的信息分類編碼、網(wǎng)絡(luò)通信協(xié)議和數(shù)據(jù)接口等技術(shù)標 準，將嚴格按照國家有關(guān)標準或行業(yè)標準規(guī)范。實用性滿足石林大酒店業(yè)務(wù)為需要，充分利用現(xiàn)有資源，避免不計成本盲目 追求最新技術(shù)。利用最適合酒店使用的電網(wǎng)通設(shè)備，采用必要的、先 進的

6、網(wǎng)絡(luò)安全手段與管理技術(shù)， 以節(jié)省投資。 網(wǎng)絡(luò)系統(tǒng)的開放性要好， 支持國際上通用的網(wǎng)絡(luò)協(xié)議、路由協(xié)議等開放的協(xié)議標準，保證與其 它網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)）的平滑連接和擴展。應(yīng)用功能交互能力要強， 用戶界面要簡潔、友好，方便用戶的操作使用。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，設(shè)備 多樣，同時針對企業(yè)的業(yè)務(wù)特點，連接的方式和種類很多。因此在網(wǎng) 絡(luò)設(shè)計的初始對所有可能接入的業(yè)務(wù)做出底層的數(shù)據(jù)流向分析，而且 要考慮如何用成熟的技術(shù)來滿足具體業(yè)務(wù)的應(yīng)用特點，因此需要網(wǎng)絡(luò)設(shè)備支持“標準化”的網(wǎng)絡(luò)協(xié)議， QOS，Traffic 管理和多種類型的組 網(wǎng)方式以及各種標準的接口類型。安全性和保密性系統(tǒng)網(wǎng)絡(luò)充分考慮網(wǎng)絡(luò)的故障容錯糾錯功能，建立安

7、全保障體系，采 用先進的軟硬件等技術(shù)手段，實現(xiàn)網(wǎng)絡(luò)的傳輸安全、數(shù)據(jù)安全接口， 確保網(wǎng)絡(luò)的安全性、保密性。為了保護關(guān)鍵性數(shù)據(jù)的安全可靠，網(wǎng)絡(luò) 提供了多種方式和層次的訪問控制（包括標準訪問控制列表和擴展訪 問控制列表）。網(wǎng)絡(luò)設(shè)備的安全是保護網(wǎng)絡(luò)數(shù) 據(jù)的基礎(chǔ)，防火墻產(chǎn)品具備自身的安全保護（入侵檢測，認證，防火 墻、靈活有力的數(shù)據(jù)包過濾等功能） ，為通信系統(tǒng)提供高質(zhì)量的安全保 障。應(yīng)提供足夠的措施防止受到外部用戶（包括外用戶和內(nèi)用戶）和 黑客的非法訪問、攻擊和破壞。同時，要保證在采取安全措施后，不 影響各個部門應(yīng)用系統(tǒng)的正常運行 （包括語音 / 視頻的應(yīng)用 ）；開放性和可擴充性技術(shù)上要立足長遠發(fā)展，堅

8、持選用開放性系統(tǒng)。開放的網(wǎng)絡(luò)可以讓用 戶自由地選擇不同廠家的產(chǎn)品，不受原有廠家的限制。最大程度地保 護用戶的利益。要求網(wǎng)絡(luò)的設(shè)計一定要符合國際標準。隨著網(wǎng)絡(luò)用戶 應(yīng)用規(guī)模的不斷擴大，要求網(wǎng)絡(luò)能方便地擴充容量，支持更多的用戶 和應(yīng)用。隨著通信技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)能平滑地過渡到新的技術(shù)和 設(shè)備，保護用戶現(xiàn)有投資。 由于內(nèi)部管理系統(tǒng)和對外業(yè)務(wù)的不斷發(fā)展， 網(wǎng)絡(luò)系統(tǒng)必然隨之不斷擴大。因此，目前的網(wǎng)絡(luò)設(shè)計必須為今后的擴 充留有足夠的余地，這樣才能最好地保護投資。系統(tǒng)具有較強的擴充能力，以滿足未來的發(fā)展需求?？删S護性網(wǎng)絡(luò)接入部分具有較高的模塊化程度，可滿足不同業(yè)務(wù)流程的需要， 易于維護和升級。要保證網(wǎng)絡(luò)能

9、正常穩(wěn)定運行，要求網(wǎng)絡(luò)維護人員可 以方便地對網(wǎng)絡(luò)設(shè)備進行遠程控制和配置；并且網(wǎng)絡(luò)設(shè)備要能夠進行 熱插拔，支持冗余、方便進行日常維護。良好的組織和管理對于酒店 網(wǎng)網(wǎng)絡(luò)的正常運轉(zhuǎn)和高效使用有很大幫助。網(wǎng)絡(luò)應(yīng)該能夠提供方便， 靈活，有力的管理系統(tǒng)，讓使用者可以有效地控制和管理整個網(wǎng)絡(luò)。 可對網(wǎng)絡(luò)實行集中檢測、分權(quán)管理，并能統(tǒng)一分配帶寬資源。網(wǎng)絡(luò)必 須面向應(yīng)用，全面支持QoS服務(wù)質(zhì)量管理。擁有先進的網(wǎng)絡(luò)管理平臺， 通過網(wǎng)管工作站對整個網(wǎng)絡(luò)提供實時端口級的管理，拓撲管理， VLAN 的配置和管理。具有對設(shè)備、斷口等的管理、流量統(tǒng)計分析等。隨著 網(wǎng)絡(luò)規(guī)模的擴大和系統(tǒng)復(fù)雜程度的增加，網(wǎng)絡(luò)的管理、監(jiān)控和維護，

10、 以及網(wǎng)絡(luò)故障的診斷和排除變得越來越復(fù)雜。為了使網(wǎng)絡(luò)系統(tǒng)易于管 理和維護，方案將提供先進而完善的網(wǎng)絡(luò)管理系統(tǒng)。這樣，既方便網(wǎng) 絡(luò)管理員的工作，減輕了勞動強度，也提高了網(wǎng)絡(luò)系統(tǒng)的管理程度。高性能，高可靠性 網(wǎng)絡(luò)的設(shè)計方案不但要保證理論上可行，更重要的是實際上可用。充分考慮到應(yīng)用系統(tǒng)的具體情況， 最好地滿足需求。 迅速地處理通信數(shù) 據(jù)，需要網(wǎng)絡(luò)設(shè)備支持高速通信鏈路，提供高數(shù)據(jù)吞吐能力。當今世界， 通信技術(shù)和計算機技術(shù)的發(fā)展日新月異。 方案應(yīng)適應(yīng)新 技術(shù)發(fā)展的潮流， 既兼顧了技術(shù)上的成熟性， 同時也保證了系統(tǒng)的先進性。所選設(shè)備無論在硬件設(shè)備還是軟件功能上， 都在網(wǎng)絡(luò)界處在領(lǐng)先地 位。網(wǎng)絡(luò)及設(shè)備采用分

11、布式、全線速無阻塞結(jié)構(gòu)設(shè)計，確保網(wǎng)絡(luò)及設(shè) 備的高吞吐能力，保證數(shù)據(jù)、音頻、圖像、視頻等多媒體信息的高質(zhì) 量傳輸。具備對多媒體信息的快速查詢、 實時存取、 多路并發(fā)的能力， 能滿足教學(xué)中各個環(huán)節(jié)對多媒體教學(xué)的需要。硬件網(wǎng)絡(luò)產(chǎn)品的選用需 具 有 很 高 的 可 靠 性 ， 較 高 的 MTBF（ 平 均 無 故 障 時 間 MeanTimeBetweenFailures ）值；全對稱各處理器的硬件體系結(jié)構(gòu)， 能 夠做到任意一個處理器和網(wǎng)絡(luò)接口模塊出現(xiàn)故障都不會影響其他模 塊，所有的功能部件 （ 電源、系統(tǒng)總線、處理器模塊、 網(wǎng)絡(luò)接口模塊等 ） 均可以熱插拔和冗余熱備份。除硬件的容錯外，網(wǎng)絡(luò)設(shè)備還應(yīng)

12、具備軟件故障隔離和軟件的熱備 份和熱啟動等，這樣才能保證網(wǎng)絡(luò)運行的萬無一失。為了防止局部的故障引起整個信息系統(tǒng)的癱瘓，要避免網(wǎng)絡(luò)出現(xiàn) 單點失效。在骨干通信信道上提供了備份鏈路，提供冗余路由。在主 要通信設(shè)備上提供了冗余配置，保證不會由于局部模塊的故障影響整 個設(shè)備的運行。為了使網(wǎng)絡(luò)可靠地運行，本方案選用了高品質(zhì)、高性能價格比的 產(chǎn)品，把故障率降到最低。同時，我們采用了系統(tǒng)容錯技術(shù)，當網(wǎng)絡(luò) 系統(tǒng)內(nèi)某一點出現(xiàn)故障時，整個系統(tǒng)仍然能夠繼續(xù)運行而不會造成停 機，從而把損失降到最小。實時性 保證數(shù)據(jù)傳輸?shù)膶崟r性， 應(yīng)符合行業(yè)數(shù)據(jù)傳輸?shù)臉藴省?規(guī)定。要及時， 準確的傳遞經(jīng)濟性建設(shè)系統(tǒng)性價比要高。 設(shè)備選型

13、要本著經(jīng)濟合理的原則： 夠用為主、適當超前，以最大限度地節(jié)約投資。還要保護先前已有的投資易操作即插即用的US電貓設(shè)備，使操作簡單直觀、靈活、易于學(xué)習掌握。三、方案設(shè)計思路 石林大酒店網(wǎng)絡(luò)結(jié)構(gòu)上將按照層次化的原則來進行設(shè)計建設(shè)， 整個網(wǎng)絡(luò) 采用星形聯(lián)結(jié)，網(wǎng)絡(luò)層次為兩層結(jié)構(gòu)，即：核心層和接入層。根據(jù)當前 和將來網(wǎng)絡(luò)發(fā)展和流行趨勢，以及網(wǎng)絡(luò)優(yōu)化改造的要求，整個網(wǎng)絡(luò)全部 采用千兆為主干，百兆交換到桌面的原則實施。1、網(wǎng)絡(luò)拓撲圖如下：有線無線互為補充，網(wǎng)絡(luò)環(huán)境有效延伸在酒店是網(wǎng)絡(luò)建設(shè)中， D-Link 將有線和無線的應(yīng)用特點與酒店的各類環(huán) 境進行靈活匹配，從而將以太網(wǎng)和無線技術(shù)的優(yōu)勢充分發(fā)揮，使酒店的

14、網(wǎng)絡(luò)環(huán)境得以有效延伸， 成功實現(xiàn)了酒店所要求范圍內(nèi)的網(wǎng)絡(luò)覆蓋和接 入。計算機網(wǎng)絡(luò)系統(tǒng)的設(shè)計與綜合布線的設(shè)計相結(jié)合，實現(xiàn)千兆網(wǎng)絡(luò)為 主干，百兆到房間或桌面，使新建的網(wǎng)絡(luò)系統(tǒng)能夠滿足今后用戶的升級 與擴展需求 。2、技術(shù)實施、IP地址分配動態(tài)地址分配：在ER 520（上面開啟DHCJP配功能。如下圖：、防止AR地址欺騙ER52O0通過定時發(fā)送免費ARP更新網(wǎng)絡(luò)主機上被攻擊篡改了的網(wǎng)關(guān)MA地址，保證主機與網(wǎng)關(guān)之間的通信。ER520通過授權(quán)ARP只容許靜態(tài) AR和DHC分配的ARP表相中的IP 地址通過，從而防止PC機IP與MA的欺騙。、IDS防范為了防止客房網(wǎng)攻擊，通常會使用路由器 +防火墻的組網(wǎng)。

15、ER520上內(nèi)置了防攻擊的功能，可以省掉防火墻了、報文源認證、設(shè)置異常流量防護網(wǎng)絡(luò)中的主機會由于出現(xiàn)中毒或網(wǎng)卡異常等原因，向In ternet 發(fā)送大量的異常報文，阻塞網(wǎng)絡(luò)，大量消耗設(shè)備的資源。啟用本功能后， 設(shè)備會對各個主機的流量進行檢查， 發(fā)現(xiàn)有異常流量時會進行指定的處 理，以保證設(shè)備受到此類異常流量攻擊仍能正常工作、設(shè)置IP流量限制某些應(yīng)用（比如：P2P下載等）在給用戶帶來方便的同時，同時，也占用了大量的網(wǎng)絡(luò)帶寬。一個網(wǎng)絡(luò)的總帶寬是有限的，如果這些應(yīng)用過 度占用網(wǎng)絡(luò)帶寬，必將會影響其他用戶正常使用網(wǎng)絡(luò)。為了保證局域網(wǎng)內(nèi)所有用戶都能正常使用網(wǎng)絡(luò)資源，您可以通過 IP 流量限制功能對局域網(wǎng)內(nèi)

16、指定主機的流量進行限制。、設(shè)置網(wǎng)絡(luò)連接限數(shù)網(wǎng)內(nèi)的主機遭受NA攻擊時，主機的網(wǎng)絡(luò)連接數(shù)可能會超過幾萬個， 從而會嚴重影響業(yè)務(wù)的正常運行或出現(xiàn)網(wǎng)絡(luò)掉線現(xiàn)象。此時，您可對指 定主機的最大網(wǎng)絡(luò)連接數(shù)進行限制，保證網(wǎng)絡(luò)資源的有效利用 四、組網(wǎng)設(shè)備介紹1. 路由器（ H3C ER5200）產(chǎn)品概述：ER520是H3（公司推出的一款高性能千兆下行路由器，它主 要定位于以太網(wǎng)/光纖/ADSL接入的SM市場和政府、企業(yè)機構(gòu)、網(wǎng)吧等 網(wǎng)絡(luò)環(huán)境，如需要高速 Internet 帶寬的網(wǎng)吧、企業(yè)、學(xué)校和酒店等。ER5200采用專業(yè)的64位雙核網(wǎng)絡(luò)處理器，主頻高達500MHz并且支持豐 富的軟件特性，如IPMA（地址綁定

17、，ARF防攻擊，流量限速，雙 WA負 載均衡，策略路由，源地址路由等功能。它是 H3CERg列路由器中的中 高端產(chǎn)品，大型網(wǎng)吧用戶和大型企業(yè)用戶的理想選擇。圖1 H3C ER520（企業(yè)級路由器產(chǎn)品特點： 雙WANN負載均衡（僅ER32O0 ER3260 ER520支持）負載均衡可以讓用戶根據(jù)線路實際帶寬分配網(wǎng)絡(luò)流量， 達到充分利用帶 寬的目的。策略路由實現(xiàn)按照用戶制定的策略選擇路由，如出接口的選擇等。高性能防火墻內(nèi)置高性能防火墻， 通過設(shè)置出站和入站通信策略來快速地實現(xiàn)訪問控 制，防攻擊支持對來至因特網(wǎng)和內(nèi)網(wǎng)的常見攻擊進行防護。同時，內(nèi)置內(nèi)網(wǎng)異常流 量防護模塊，對局域網(wǎng)內(nèi)各臺主機的流量進行檢

18、查，并根據(jù)您所選擇的 防護等級（支持高、中、低三種）進行相應(yīng)的處理，確保網(wǎng)絡(luò)在遭受此 類異常攻擊時仍能正常工作。AR雙重防護通過靜態(tài)AR綁定功能，固化了網(wǎng)關(guān)的ARP表項；另外，對于DHC分配的 IP地址，則采用DHC授權(quán)AR技術(shù)，自動綁定分配的IP地址/MAC地址信 息，從而可以有效地防止AR欺騙引起的內(nèi)網(wǎng)通訊中斷問題；同時，提 供毫秒級的免費AR定時發(fā)送機制，可以有效地避免局域網(wǎng)內(nèi)主機中毒 后引發(fā)的AR攻擊。VLAN支持多局域網(wǎng)功能，您可以方便的劃分局域網(wǎng)為多個網(wǎng)段，降低廣播域和AR病毒的影響。針對每個局域網(wǎng)可以配置單獨的 DHCPServer和防火 墻規(guī)則。業(yè)務(wù)控制QQ/MS等即時通訊軟件

19、的大量普及，可能會引起員工辦公效率低下，無 法集中精力。路由器獨有的應(yīng)用控制功能，可以方便地限制內(nèi)網(wǎng)用戶對 QQ/MS等應(yīng)用的使用；同時還支持對大智慧/分析家/同花順/廣發(fā)至強/ 光大證券 /國元證券等金融軟件的應(yīng)用控制功能。另外，您還可以通過 對特權(quán)用戶組的設(shè)置保證關(guān)鍵用戶的使用不受影響。IPSec VPN通過VPr安全連接，最多支持10路IPSec連接到辦公網(wǎng)絡(luò)。網(wǎng)絡(luò)流量監(jiān)控 提供流量實時監(jiān)控和排序功能，同時提供多種安全日志，包括內(nèi)/外網(wǎng)攻擊實時日志、地址綁定日志、流量告警日志和會話日志，為網(wǎng)絡(luò)管理 員實時監(jiān)控網(wǎng)絡(luò)運行狀態(tài)和安全狀態(tài)提供了更快捷的窗口。網(wǎng)絡(luò)流量限速通過基于IP的網(wǎng)絡(luò)流量限速

20、功能，可以有效地控制指定用戶的上 /下行 流量，限制了 P2P軟件對網(wǎng)絡(luò)帶寬的過度占用。同時，提供彈性帶寬功 能，在網(wǎng)絡(luò)空閑時可以智能地提升用戶的限制帶寬，既充分地提升了網(wǎng) 絡(luò)帶寬的利用率，又保證了網(wǎng)絡(luò)繁忙時帶寬的可用性。產(chǎn)品規(guī)格：項目描述概述固定端口2 個 10/100Base-TX WAf端口3 個 10/100/1000Base-TLAN 端口1 個 Con sole 接口處理器（CPU）MIPS 64位500MHz網(wǎng)絡(luò)處理器內(nèi)存DDR II 64MBFLASH8MB軟件特性工作模式主備模式，智能負載均衡手動負載均衡（電信走電信，聯(lián)通走聯(lián)通）路由轉(zhuǎn)發(fā)模式網(wǎng)絡(luò)協(xié)議PPPoE，DHCP客戶端

21、，DHC服務(wù)器，NAPTNTPDDNS防火墻出站通信策略（源接口 /IP/MAC/用戶/目的IP/協(xié)議/端口 /時間段）網(wǎng)絡(luò)安全訪問控制QoS流量監(jiān)控入站通信策略（源接口 /IP/MAC/用戶/目的 IP/協(xié)議/端口 /時間段）ARP&攻擊/免費ARP狀態(tài)數(shù)據(jù)包檢查，防 止WAI口的Ping,防止TCP syn掃描，防止 Stealth FIN掃描，防止 TCPXmaSTree掃描， 防止TCP Null掃描，防止UDP3描功能，防 止Land攻擊功能，防止Smurf攻擊功能，防 止WinNuke攻擊功能。防止Ping of Death 攻擊，防止SYN Flood攻擊功能，防止UDP Flo

22、od攻擊功能，防止ICMPFIood攻擊功能， 防止IP Spoofing功能，防止碎片包攻擊， 防止TearDrop攻擊，防止Fraggle攻擊功能IPMAC地址綁定（靜態(tài)ARP），UR過濾（黑 白名單），MA地址過濾，QQ/MS訪問控制， 金融軟件控制：大智慧/分析家/同花順/廣 發(fā)至強/光大證券/國元證券流量統(tǒng)計（基于IP/端口的流量統(tǒng)計）,網(wǎng)絡(luò) 流量限速（基于IP，上下行流量分別限速）,NAT表項限制，應(yīng)用通道限制（綠色通道 /限制通道）基于物理端口的流量統(tǒng)計，基于IP的流量統(tǒng) 計，支持自動排序功能，基于IP的NAT鏈接數(shù)統(tǒng)計路由靜態(tài)路由，策略路由（基于源IP/目的IP/協(xié) 議/端口

23、/出接口 /時間段）系統(tǒng)服務(wù)ALG端口觸發(fā)，UPnP虛擬服務(wù)器，靜態(tài)NAT一對一 NAT）, DMZ主機，VP透傳（PPTRL2TP、IPSec）配置管理基于We的用戶管理接口（遠程管理/本地管 理），HTTP遠程管理，命令行CLI，通過HTTP 升級系統(tǒng)軟件故障診斷Ping / Tracert，設(shè)備自檢，故障信息一鍵導(dǎo)出2. 核心交換機（H3C S5024P）產(chǎn)品概述：H3C S5024R以太網(wǎng)交換機是H3C公司自主開發(fā)的支持 We管理的二層 線速以太網(wǎng)交換產(chǎn)品，是為要求具備高性能且易于安裝的網(wǎng)絡(luò)環(huán)境而設(shè) 計的智能型交換機。S5024P提供24個千兆以太網(wǎng)端口、4個千兆SFP端口 （與后4個

24、千兆以太網(wǎng)端口復(fù)用）以及一個 Con sole端口。該交換機可以 通過con sole 口、tel net以及web方式登錄進行配置，支持VLAf劃分、端 口雙向鏡像、端口 +MA地址綁定和端口聚合等功能。圖1 H3C S5024P產(chǎn)品外觀示意圖產(chǎn)品特點：符合、Z和標準支持端口流量控制，符合 IEEE提供24個10/100/1000M自適應(yīng)以太網(wǎng)端口，支持端口自動翻轉(zhuǎn)（Auto MDI/MDIX、4個 1000MSFP端口（與最后 4個 1000M電口 復(fù)用）及1個Con sole 口最多支持255個符合IEEE標準的VLAN VLAN ID 1 4094可配;最多支持 24個基于端口的 VL

25、AN端口匯聚：支持整機最多 4組，每組最多 24個端口 支持基于端口的帶寬控制，最小粒度為 25Mbps 支持IEEE優(yōu)先級、IP優(yōu)先級和DSC優(yōu)先級，支持SF隊列調(diào)度， 支持每端口 2個優(yōu)先級隊列;支持廣播風暴抑制支持端口鏡像功能支持端口綁定支持端口收發(fā)報文統(tǒng)計支持MA地址老化時間設(shè)置提供命令行接口管理和Wei管理支持交換機系統(tǒng)軟件的升級內(nèi)置通用電源，1U鋼殼，19英寸標準機架結(jié)構(gòu)，可上機架。產(chǎn)品規(guī)格：項目描述概述標準IIEEE 10BASE-T 以太網(wǎng)IEEE 100BASE-TX快速以太網(wǎng)IEEE 1000BASE-T千兆以太網(wǎng)IEEE千兆以太網(wǎng)（光纖）ANSI/IEEE NWay 自動

26、協(xié)商IEEE流量控制固定端口24個10/100/1000BASE-T自協(xié)商的以太網(wǎng)端口1 個 Con sole 端口可選端口4 個 1000Base-SX/LX SFP光 口固定端口屬性連接器類型：RJ-45支持1O/1OO/1OOOMbit/s 傳輸速率支持半雙工、全雙工、自協(xié)商工作模式支持MDI/MDI-X自適應(yīng)可選端口連接器類型：LC屬性支持1000Mbit/s傳輸速率全雙工網(wǎng)線類型雙絞線：米用5類雙絞線，傳輸距離100m光纖多模：50/125卩m多模光纖，配有LC插頭，傳輸距離 550m單模短距：9/125卩m單模光纖，配有LC插頭，傳輸距離10km單模中距：9/125卩m單模光纖，配

27、有LC插頭，傳輸距離40km單模長距：9/125卩m單模光纖，配有LC插頭，傳輸距離70km性能背板帶寬48G轉(zhuǎn)發(fā)能力交換模式存儲轉(zhuǎn)發(fā)模式MA地址表支持地址自動學(xué)習、自動老化(老化時間為5分鐘);最多支持 MAC( Media Access Control )地址：8K;支持手工配置靜態(tài)MAC 64項軟件VLAN最多支持255個符合IEEE標準的VLAN VLAN ID在1-4094范圍內(nèi)可配最多支持24個基于端口的VLAN優(yōu)先級隊列（QoS支持優(yōu)先級、IP優(yōu)先級和DSC優(yōu)先級隊列數(shù)：每端口 2個端口匯聚支持整機最多4個匯聚組，每組最多24個端口端口鏡像支持基于端口的雙向鏡像端口帶寬控制最小粒

28、度為25Mbps廣播風暴抑制所有端口上支持基于帶寬百分比的廣播風暴抑制配置和管理基于Web勺管理支持命令行配置支持通過Telnet登錄進行配置維護支持調(diào)試信息的輸出、統(tǒng)計支持Ping維護診斷工具支持通過Telnet進行遠程維護3. 接入交換機(H3C S1526)H3CS1526交換機是H3(公司自主開發(fā)的二層線速以太網(wǎng)交換產(chǎn)品，是為要求具備高性能且易于安裝的網(wǎng)絡(luò)環(huán)境而設(shè)計的智能型交換機。S1526提供了 24個 10/100 Mbps端口，2個千兆銅纜 /SFP(mini GBIC)組 合端口用于靈活的千兆銅纜或光纖骨干連接，用戶可根據(jù)傳送距離的不同要求靈活的選擇1000BASE-LX 10

29、00BASE-SX 1000BASE-等多種接口 類型。該款交換機支持Vlan劃分、端口鏡像、端口聚合和QoS等功能， 可以通過WE界面進行方便地配置。H3C S1526產(chǎn)品規(guī)格項目描述概述標準10BASE-T以 太網(wǎng)；100BASE-TX 速以太網(wǎng)；1000BASE-千兆以太網(wǎng)； 千兆以太網(wǎng)(光纖)；ANSI/IEEE NWay自動協(xié)商；流量控制固定端口24個 10/100Base-TX自適應(yīng)以太網(wǎng)端口； 2個千兆光電復(fù)用端口； 1個Co nsole接口固定端口屬性連接器類型：RJ-45;支持1O/1OO/1OOOMbit/s 傳輸速率；支持半雙工、全雙工、自協(xié)商工作模式；支持MDI/MDI

30、-X自適應(yīng)網(wǎng)線類型10Base-T: 3/4/5類雙絞線，支持最大傳輸距離100m 100Base-TX: 5類雙絞線，支持最大傳輸距 離100m 1000Base-T: 5類雙絞線，支持最大傳輸 距離100m可選模塊1000Base-LX-SFP 9/125卩m單模光纖，傳輸距離 10km 1000BASE-ZX-LR-SFP 9/125 卩 m單模光纖， 傳輸距離 40km 1000BASE-ZX-VR-SFP 9/125 卩 m 單模光纖，傳輸距離70km 1000BASE-SX-SFP 50/125卩m多模光纖，傳輸距離550m性能背板帶寬轉(zhuǎn)發(fā)能力交換模式存儲轉(zhuǎn)發(fā)模式MA地址表支持地址

31、自動學(xué)習、自動老化(老化時間為 5分 鐘)；最多支持 MAC( Medium Access Control ) 地址：8K軟件VLAN基于端口 VLAN支持VLANft大數(shù)目：26支持 128個的 VLAN VLAN ID 1-4094 可配優(yōu)先級隊列（QoS標準：；隊列數(shù):4個端口聚合最多可設(shè)置3組端口聚合；2個10/100MbpS端口干 路（每個干路2到4個端口）； 1個千兆端口干路（2 個千兆端口）端口鏡像N:1端口帶寬控制最小粒度為64KbpsVCT支持線路診斷功能配置和管理基于We的管理支持配置文件導(dǎo)入/導(dǎo)出五.網(wǎng)絡(luò)安全酒店網(wǎng)絡(luò)的安全威脅主要來源于兩大塊，一塊是來自于網(wǎng)內(nèi)，一塊來自于

32、網(wǎng)外。來源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。5.1.1 威脅網(wǎng)絡(luò)安全因素分析 計算機網(wǎng)絡(luò)安全受到的威脅包括：1. “黑客”的攻擊；2. 計算機病毒；3. 拒絕服務(wù)攻擊( Denial of Service Attack)。安全威脅的類型：1、非授權(quán)訪問。指對網(wǎng)絡(luò)設(shè)備及信息資源進行非正常使用或越權(quán) 使用等。如操作員安全配置不當造成的安全漏洞，用戶安全意識不強， 用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享。2、冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合 法用戶的使用權(quán)限，以達到占用合法用戶資源的目的。3、破壞數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些 重

33、要信息，以干擾用戶的正常使用。4、干擾系統(tǒng)正常運行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。指改變系統(tǒng)的正 常運行方法，減慢系統(tǒng)的響應(yīng)時間等手段。這會使合法用戶不能正常訪 問網(wǎng)絡(luò)資源，使有嚴格響應(yīng)時間要求的服務(wù)不能及時得到響應(yīng)。5、病毒與惡意攻擊。指通過網(wǎng)絡(luò)傳播病毒或惡意Java、active X等，其破壞性非常高，而且用戶很難防范。6、軟件的漏洞和“后門” 。軟件不可能沒有安全漏洞和設(shè)計缺陷， 這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件 編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門”被 發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒有什么安全可言。如Windows的安全漏洞便有很多。7、電磁輻射。電磁輻

34、射對網(wǎng)絡(luò)信息安全有兩方面影響。一方面，電磁輻射能夠破壞網(wǎng)絡(luò)中的數(shù)據(jù)和軟件，這種輻射的來源主要是網(wǎng)絡(luò)周圍電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻 射源。另一方面，電磁泄漏可以導(dǎo)致信息泄露。5.1.2網(wǎng)絡(luò)安全防范措施在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實現(xiàn)多種信息安全，保障校園內(nèi)部 網(wǎng)絡(luò)安全，我們選購了一套網(wǎng)絡(luò)安全防范設(shè)備。1瑞星殺毒軟件網(wǎng)絡(luò)版1. 超強病毒查殺2. 智能主動防御3. 增強型全網(wǎng)漏洞管理4. 強大的網(wǎng)絡(luò)管理能力是網(wǎng)絡(luò)安全的基礎(chǔ)部署、控制、執(zhí)行、升級、報告和日志、二次開發(fā)。5. 兼容多種平臺6. 一體化智能服務(wù)體系2瑞星企業(yè)級防火墻瑞星全功能NP防火墻是一款整合多種安全防護

35、功能的智能網(wǎng) 絡(luò)安全防火墻，它是瑞星公司針對中小企業(yè)級用戶定制的一款高端 防火墻，型號為： RFW-SME瑞星全功能NP防火墻整合了多種安全防護功能，是建構(gòu)中小型 企業(yè)網(wǎng)絡(luò)的最佳選擇。 RFW-SM擁有通用防火墻功能、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT、主動式入侵檢測（IDS）、虛擬專網(wǎng)（VPN、帶寬管理、 內(nèi)容過濾、以及策略管理等功能。通過架設(shè)瑞星全功能NP防火墻,可以保護用戶的網(wǎng)絡(luò)免于黑客的攻擊，同時也幫助用戶利用因特網(wǎng) 的資源建構(gòu)網(wǎng)絡(luò)安全機制及虛擬專網(wǎng)服務(wù)，還提供了不同等級的網(wǎng) 絡(luò)帶寬管理，讓一些特殊的應(yīng)用服務(wù)可以確保使用帶寬。3瑞星入侵檢測系統(tǒng)作為一種防火墻的合理補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)

36、絡(luò) 攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊 識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。瑞星 RIDS-100入侵 檢測系統(tǒng)能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異 ?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，另外RIDS-100入侵檢測系統(tǒng)可以與防火墻聯(lián)動，自動配置防火墻策略，配合防火墻系統(tǒng)使用，可以全 面保障網(wǎng)絡(luò)的安全，組成完整的網(wǎng)絡(luò)安全解決方案。為了加強對引擎進行訪問的用戶的管理，RIDS-100系統(tǒng)設(shè)計了一套完善的用戶管理機制，每個管理用戶配有一把電子鑰匙（串口或USB接口），內(nèi)裝有該用戶的密鑰

37、和加密算法。用戶在對系統(tǒng)進行管理時必須 插入自己的鑰匙并輸入正確的口令。檢測引擎的接入對被保護網(wǎng)絡(luò)是透明的，它對被保護網(wǎng)絡(luò)的任何流 量和請求均不做反應(yīng)，不影響被保護網(wǎng)絡(luò)的性能網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必 需的各種活動的總稱。5.2.1 網(wǎng)絡(luò)管理的內(nèi)容(1 )網(wǎng)絡(luò)故障管理； (2) 網(wǎng)絡(luò)配置管理； (3) 網(wǎng)絡(luò)性能管理；(4) 網(wǎng)絡(luò)計費管理； (5) 網(wǎng)絡(luò)安全管理。5.2.2 網(wǎng)絡(luò)管理的手段 在網(wǎng)絡(luò)管理方面，為了便于、網(wǎng)絡(luò)管理人員的管理及維護，我們選 購 Quidview 網(wǎng)絡(luò)管理軟件。 Quidview 網(wǎng)絡(luò)管理軟件基于靈活的組件化 結(jié)構(gòu)，用戶可以根據(jù)自

38、己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組 件，真正實現(xiàn)“按需建構(gòu)”。Quidview 網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計， 通過安裝不同的業(yè)務(wù) 組件實現(xiàn)了設(shè)備管理、VPN監(jiān)視與部署、軟件升級管理、配置文件管理、 告警和性能管理等功能。支持多種操作系統(tǒng)平臺，并能夠與多種通用網(wǎng) 管平臺集成，實現(xiàn)從設(shè)備級到網(wǎng)絡(luò)級全方位的網(wǎng)絡(luò)管理。1. 網(wǎng)絡(luò)集中監(jiān)視Quidview 網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓撲發(fā)現(xiàn)功能， 實現(xiàn)全網(wǎng)監(jiān)控， 可 以實時監(jiān)控所有設(shè)備的運行狀況， 并根據(jù)網(wǎng)絡(luò)運行環(huán)境變化提供合適的 方式對網(wǎng)絡(luò)參數(shù)進行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運行。2. 故障管理 故障管理主要功能是對全網(wǎng)設(shè)備的告警信息和運行信

39、息進行實時 監(jiān)控，查詢和統(tǒng)計設(shè)備的告警信息。3. 性能監(jiān)控Quidview 網(wǎng)管系統(tǒng)提供豐富的性能管理功能， 同時以直觀的方式顯 示給用戶。通過性能任務(wù)的配置， 可自動獲得網(wǎng)絡(luò)的各種當前性能數(shù)據(jù)， 并支持設(shè)置性能的門限，當性能超過門限時，可以以告警的方式通知網(wǎng) 管系統(tǒng)。通過統(tǒng)計不同線路、不同資源的利用情況，為優(yōu)化或擴充網(wǎng)絡(luò) 提供依據(jù)。3. 服務(wù)器監(jiān)視管理服務(wù)器是企業(yè) IP 架構(gòu)中的重要組成部分，通過 Quidview ，可實現(xiàn) 服務(wù)器與設(shè)備的統(tǒng)一管理。4. 設(shè)備配置文件管理 當網(wǎng)絡(luò)規(guī)模較大時，網(wǎng)絡(luò)管理員的配置文件管理工作將十分繁重， 如果沒有好的配置文件維護工具，網(wǎng)絡(luò)管理員就只能手動備份配置文

40、 件。這樣就給網(wǎng)絡(luò)管理員管理、維護網(wǎng)絡(luò)帶來一定的困難。Quidview 網(wǎng)絡(luò)配置中心支持對設(shè)備配置文件的集中管理， 包括配置 文件的備份、恢復(fù)以及批量更新等操作，同時還實現(xiàn)了配置文件的基線 化管理，可以對配置文件的變化進行比較跟蹤。6. 設(shè)備軟件升級管理Quidview 提供完善的設(shè)備軟件備份升級控制機制。使用 Quidview ， 管理員可以方便地查詢設(shè)備上運行的軟件版本， 并利用升級分析功能來 確定設(shè)備運行軟件是否需要升級。當升級軟件版本時，可以利用 Quidview 集中備份設(shè)備運行軟件， 然后進行批量升級。 升級之后， 可以 使用 Quidview 進行升級結(jié)果驗證，確保升級操作萬無一

41、失。7. 集群管理針對大量二層交換機設(shè)備的應(yīng)用環(huán)境， Quidview 網(wǎng)絡(luò)管理軟件提供 集群管理功能，通過一個指定公網(wǎng) IP 的設(shè)備（稱作命令交換機）對網(wǎng) 絡(luò)進行管理。8. 堆疊管理Quidview 網(wǎng)絡(luò)管理軟件通過堆疊管理， 可以集中管理較大量的低端 設(shè)備，并且為用戶提供統(tǒng)一的網(wǎng)管界面，方便用戶對大量設(shè)備的統(tǒng)一管 理維護。9. 故障定位與地址反查針對最為常見的端口故障， Quidview 網(wǎng)絡(luò)管理軟件提供了便捷的定 位檢測工具路徑跟蹤和端口環(huán)回測試； 當用戶報告網(wǎng)絡(luò)端口使用異 常時，網(wǎng)絡(luò)管理員可以通過網(wǎng)管對指定用戶端口做環(huán)回測試，直接定位 端口故障。10. RMON管理RMO管理根據(jù)RFC

42、175徒義的標準RMON-MI及華為3Com自定義告 警擴展MIB對主機設(shè)備進行遠程監(jiān)視管理。網(wǎng)絡(luò)安全策略配置5.3.1 安全接入和配置安全接入和配置是指在物理 （控制臺 ）或邏輯 （telnet） 端口接入網(wǎng) 絡(luò)基礎(chǔ)設(shè)施設(shè)備前必須通過認證和授權(quán)限制， 從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供 安全性。限制遠程訪問的安全設(shè)置方法如下表 19安全接入和配置方法訪問方式保證網(wǎng)絡(luò)設(shè)備安全的方法備注Con sole控制接口的訪問設(shè)置密碼和超時限制建議超時限制設(shè)成5分鐘進入特權(quán)exec和設(shè)備配置級別的命令行配置Radius來記錄log on/logout 時間和操作活動；配置至少一個本地賬戶作應(yīng)急之用tel net 訪問

43、采用ACL限制，指定從特定的IP地址來進行telnet 訪問；配置Radius安全紀錄方案；設(shè)置超時限制SSH訪問激活SSH訪問，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進行設(shè)備安全登陸WE管理訪問取消Web!理功能SNM訪問常規(guī)的SNM訪問是用ACL限制從特定IP地 址來進行SNM肪問；記錄非授權(quán)的SNM訪 問并禁止非授權(quán)的SNM企圖和攻擊為增加安全，建 議更改缺省的SNMP Commutiy子串設(shè)置不同賬號通過設(shè)置不同的賬號的訪問權(quán)限，提高安全 性532拒絕服務(wù)的防止網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn) TCP SYN乏濫攻擊、Smurf攻擊等；網(wǎng)絡(luò)設(shè)備的防 TCP SYN勺方法主要是配置網(wǎng)絡(luò)設(shè)備 TCPSYN臨界值，若多于這個臨界值，則丟棄多余的TCPSYN數(shù)據(jù)包；防Smurf 攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā) ICMP echo請求（directed broadcast）