docICT酒店解決方案

1、H3C酒店解決方案Catalog 目 錄1 網(wǎng)絡(luò)建設(shè)需求51.1 酒店客房網(wǎng)和辦公網(wǎng)隔離 51.2 In ter net訪問(wèn)權(quán)限控制 51.3 防ARP欺騙及攻擊 51.4 上網(wǎng)行為監(jiān)控 51.5 強(qiáng)推門(mén)戶61.6 VPN 62 ICT酒店解決方案特色功能 62.1 方便的流量監(jiān)管 62.2 VLAN隔離功能72.3 強(qiáng)推門(mén)戶功能 72.4 智能 QOS 83 通用功能93.1 防火墻93.1.1 快速設(shè)置防火墻 93.1.2 基于IDS防范93.1.3 防止常見(jiàn)DOS攻擊93.1.4 防 ARP 欺騙103.1.5 防止惡意JAVA網(wǎng)站 113.2 配置及管理123.2.1 web 配置12

2、3.2.2 分級(jí)用戶管理 123.2.3 無(wú)線操作133.2.4 基于IP和時(shí)間段的訪問(wèn)控制 133.2.5 基于MAC地址的訪問(wèn)控制 143.2.6 通過(guò)VLAN劃分的訪問(wèn)控制 153.3 應(yīng)用控制153.3.1 通信控制：防止 QQ、MSN 153.3.2 多種類型的訪問(wèn)控制（ MAC過(guò)濾/訪問(wèn)控制/網(wǎng)頁(yè)控制） 163.3.3 限制P2P軟件163.3.4 上下行速率控制 174 ICT酒店解決方案特點(diǎn)和優(yōu)勢(shì) 175 酒店網(wǎng)絡(luò)部署解決方案 185.1 酒店網(wǎng)絡(luò)邏輯關(guān)系 185.2 酒店常用方案建議配置 195.3 快捷酒店195.3.1 組網(wǎng)方案19532 組網(wǎng)說(shuō)明20533 方案特點(diǎn)20

3、5.4 商務(wù)酒店205.4.1 組網(wǎng)方案205.4.2 組網(wǎng)說(shuō)明215.4.3 方案特點(diǎn)215.5 星級(jí)酒店225.5.1 組網(wǎng)方案225.5.2 組網(wǎng)說(shuō)明225.5.3 方案特點(diǎn)235.6 連鎖酒店235.6.1 組網(wǎng)方案235.6.2 方案特點(diǎn)236 H3C酒店解決方案分享 24Table List 表目錄表i典型配置錯(cuò)誤!未定義書(shū)簽Figure List 圖目錄圖2基本型典型組網(wǎng)方案 20圖3增強(qiáng)型典型組網(wǎng)方案 221網(wǎng)絡(luò)建設(shè)需求1.1酒店客房網(wǎng)和辦公網(wǎng)隔離酒店網(wǎng)絡(luò)按照功能劃分為客房網(wǎng)和辦公網(wǎng)：酒店管理系統(tǒng)等辦公系統(tǒng)運(yùn)行在辦公網(wǎng)?？头烤W(wǎng)為酒店客人提供對(duì)外的網(wǎng)絡(luò)接口，覆蓋酒店客房、商務(wù)中心

4、、大堂、會(huì)議室等區(qū)域，其中客房采用有線組網(wǎng)為主，公共區(qū)域多采用無(wú)線組網(wǎng)。 客房網(wǎng)、辦公網(wǎng)之間隔離。1.2 In ternet訪問(wèn)權(quán)限控制辦公網(wǎng)：靜態(tài)分配IP地址，只有指定客戶端可以訪問(wèn)In ternet，前臺(tái)等客戶 端不能訪問(wèn)In ternet?？头烤W(wǎng)：無(wú)需認(rèn)證即可訪問(wèn)In ternet，通過(guò)DHCP分配IP地址。1.3防ARP欺騙及攻擊由于無(wú)法限制客人的電腦，客房網(wǎng)中經(jīng)常會(huì)出現(xiàn)ARP攻擊，導(dǎo)致大部分客人 無(wú)法正常上網(wǎng)。需要在接入交換機(jī)做隔離，并且在路由器中啟用防ARP欺騙。1.4上網(wǎng)行為監(jiān)控依據(jù)互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定公安部第82號(hào)令，公安部要求所有提供上網(wǎng)服務(wù)的酒店都必須提供必要的互聯(lián)網(wǎng)

5、安全保護(hù)措施，必須安裝相應(yīng)的安全管理軟件。目前酒店普遍采用為每個(gè)房間劃分一個(gè) VLAN，通過(guò)對(duì)應(yīng)的VLAN ID 來(lái)識(shí)別房間號(hào)，完成用戶上網(wǎng)行為的記錄、跟蹤、分析，實(shí)現(xiàn)各種條件下的查詢 功能。1.5強(qiáng)推門(mén)戶能夠?qū)κ褂脼g覽器訪問(wèn)外部網(wǎng)絡(luò)的用戶強(qiáng)制推送門(mén)戶界面，支持用戶認(rèn)證功 能（可使能和取消）。當(dāng)用戶PC開(kāi)機(jī)后第一次使用瀏覽器訪問(wèn)In ternet時(shí)，將先 訪問(wèn)酒店門(mén)戶網(wǎng)站，然后才能正常訪問(wèn)。1.6 VPN連鎖酒店之間傳輸?shù)臄?shù)據(jù)經(jīng)過(guò)公網(wǎng)，由于有些數(shù)據(jù)要求保密，而使用專線連 接造價(jià)太高，因此希望通過(guò)VPN互聯(lián)，傳輸過(guò)程中要求加密，同時(shí)保證價(jià)格盡量 低。2 ICT酒店解決方案特色功能2.1方便的流量

6、監(jiān)管功能一：對(duì)用戶行為的監(jiān)管日上網(wǎng)流量灑店客叫支持流量鏡像功能，用戶上網(wǎng)行為可監(jiān)控與分析 大量VLAN對(duì)應(yīng)房間號(hào)，便于監(jiān)控與追溯功能二：對(duì)用戶流量的監(jiān)管ICG200D可即時(shí)監(jiān)控IP、MAC對(duì)應(yīng)的流量，在流量異常的情況下能很方便的查出異常的來(lái)源，方便故障檢測(cè)及網(wǎng)絡(luò)維護(hù)，2.2 VLAN隔離功能ICT酒店解決方案的VLAN功能使企業(yè)用戶在組網(wǎng)方面更加靈活，同時(shí)支持 三層VLAN隔離可以保證酒店網(wǎng)絡(luò)控制更方便。ICT酒店解決方案采用每個(gè)房間 對(duì)應(yīng)一個(gè)VLAN的方式，保證每個(gè)客房的網(wǎng)絡(luò)的相對(duì)獨(dú)立，互不干擾，保證客人 上網(wǎng)的信息安全2.3強(qiáng)推門(mén)戶功能客人上網(wǎng)的同時(shí)自動(dòng)先打開(kāi)酒店的門(mén)戶網(wǎng)站，加深客人對(duì)酒店

7、的印象，提升 酒店品牌2.4智能QOSpc流量100kpc流量100kPC不受帶寬限制，可搶占空閑帶寬ICT酒店解決方案支持多種策略的服務(wù)質(zhì)量保證功能，可以針對(duì)IP地址、端口、流量類型進(jìn)行帶寬保證。例如：優(yōu)先高檔客房電腦的上網(wǎng)速度，為他分配專用帶寬，保證關(guān)鍵客戶業(yè)務(wù)。優(yōu)先保證酒店OA和EMAL業(yè)務(wù)帶寬，讓酒店正常業(yè)務(wù)不受干擾。將BT等下載業(yè)務(wù)設(shè)為最低優(yōu)先級(jí)，不干擾酒店正常業(yè)務(wù)。ICT酒店解決方案特有的智能QoS，繼承了傳統(tǒng)QoS的優(yōu)點(diǎn)，進(jìn)一步實(shí)現(xiàn)了 空閑帶寬的合理利用。當(dāng)某IP有流量時(shí)，和傳統(tǒng)QoS處理方式相同；當(dāng)此IP沒(méi)有 流量時(shí)，其他IP可以自由使用分給它的帶寬。3通用功能3.1防火墻3.

8、1.1快速設(shè)置防火墻ICT酒店解決方案包括智能防火墻功能，管理員可以根據(jù)入站和出站通信策略設(shè)定多種策略的訪問(wèn)控制；支持MAC/IP/時(shí)間/流量類型等進(jìn)行靈活設(shè)置。支 持防火墻的安全等級(jí)設(shè)置，包括高、中、低三個(gè)級(jí)別，企業(yè)可以根據(jù)各個(gè)級(jí)別預(yù) 先定義快速設(shè)置防火墻功能。3.1.2基于IDS防范ICT酒店解決方案支持防常見(jiàn)攻擊和防端口掃描功能，能夠阻止企業(yè)網(wǎng)絡(luò) 遭受外界黑客的惡意攻擊防火墻造大量的SYN報(bào) 文,我是收不到給我 的ACK報(bào)文的，哈哈 黑客3.1.3防止常見(jiàn)DOS攻擊源地址與目的地址都 設(shè)成你的地址，看你如 何招架！?為了防止客房網(wǎng)攻擊，通常會(huì)使用路由器 +防火墻的組網(wǎng)?現(xiàn)在在ICG上內(nèi)置

9、了防攻擊的功能，可以省掉防火墻了安全配置 攻擊防范基本設(shè)置 請(qǐng)?jiān)鞊駟桃盏墓纛愋?F啟動(dòng)TCP naptha玫擊防范F SYN cookie 攻擻范p 啟jIP Unreachable改擊防范3.1.4防ARP欺騙ARP欺騙一：PC機(jī)假冒網(wǎng)關(guān)Internetpcpcpcpc更新網(wǎng)絡(luò)主機(jī)上被攻擊篡改了的網(wǎng)關(guān) MAC地ICG通過(guò)定時(shí)發(fā)送免費(fèi)ARP, 址，保證主機(jī)與網(wǎng)關(guān)之間的通信。ARP欺騙二：PC機(jī)假冒PC機(jī)DHCP服務(wù)IP-MAC關(guān)系不 去ICG通過(guò)授權(quán)ARP，只容許靜態(tài)ARP和DHCP分配的ARP表相中的IP地址通 過(guò)，從而防止PC機(jī)IP與MAC的欺騙。3.1.5防止惡意JAVA網(wǎng)站www

10、.irca.Tu. netS1片另世力狂沖櫛衣if.i硯卉夏直書(shū)1).嚴(yán).1:忡舉電護(hù)打IhCfciU品Java阻擋sift更改i也工 “ 咖!*科片* M USNUI這些都是訪問(wèn)過(guò)帶有惡意 Java代碼網(wǎng)站的后果廠 JaffaEldckiigML輪號(hào)（2000-2m）廠 EM |Fr -iHfX在web界面中其中Java Blocking 功能。還可以記錄日志，看看那些惡意網(wǎng)站被屏蔽3.2配置及管理3.2.1 web 配置H3C保存S!百H3C蚩審査）4導(dǎo)設(shè)置LAN 口券戳 knFHIP Hl tfc：子砸碼：児魚(yú)確titwrafftti匚H亡引歸饕：歸啟用廠慕一卜3.2.2分級(jí)用戶管理根據(jù)

11、操作設(shè)備的用戶權(quán)限不一樣，分配不同的用戶名、密碼系統(tǒng)管理 系統(tǒng)訪冋創(chuàng)建用戶】用尸槻常融碼電曲闍修改用門(mén)1血尸切換軸創(chuàng)肄用戶用尸名：脫消捆要信息用尸名訪問(wèn)等臥adm i nFTanaaeitie nt323無(wú)線操作324基于IP和時(shí)間段的訪問(wèn)控制寫(xiě)字樓區(qū)的公司對(duì)員工上網(wǎng)的控制要求有:、按部門(mén)：不同的部門(mén)訪問(wèn)網(wǎng)絡(luò)的權(quán)限不一樣， 銷售部業(yè)務(wù)要求一定要訪問(wèn)網(wǎng)絡(luò)，財(cái)務(wù)部門(mén)為了信息安全一定不能訪問(wèn)公網(wǎng)、按業(yè)務(wù)：某些部門(mén)的人只需要收發(fā)郵件，某些部門(mén)的人只需要進(jìn)行WWW訪問(wèn)。三、按時(shí)間：周一到周五上班時(shí)間不能上網(wǎng)，其它時(shí)間可以上網(wǎng)這些要求在ICG產(chǎn)品的web界面中都可以輕松實(shí)現(xiàn)!|上10二匕 JUp2 |T.

12、OD_ _|24 00_wJ衣全配旨 業(yè)務(wù)輕制起止吐間按不同時(shí)間段|i9i-ies.i 3D|192/63.1.2|13? 103 1 T COIPWtt廠按部門(mén)IP地址325基于MAC地址的訪問(wèn)控制1、局域網(wǎng)內(nèi)是DHCP動(dòng)態(tài)分配IP地址，每次PC獲得的IP不相同，所以無(wú)法根據(jù)IP 地址來(lái)進(jìn)行限制。2、即便靜態(tài)設(shè)置IP，PC機(jī)也可私自更改本機(jī)IP地址來(lái)上網(wǎng)。3、由于MAC地址是固化的，無(wú)法更改，所以可以通過(guò)MAC地址對(duì)訪問(wèn)進(jìn)行控制。當(dāng)局域網(wǎng)是二層組網(wǎng)的時(shí)候， 可以通過(guò)路由 器來(lái)設(shè)置MAC地址過(guò)濾。MAC地址莎源購(gòu)油址|0012-3F1C-CC7F目的MACifc址|（MAC也址的格式HHHH-

13、HHHH-HHHH.）326通過(guò)VLAN劃分的訪問(wèn)控制島級(jí)配宜a LAN接口設(shè)置I將不同的接口加入不同的Vian當(dāng)中VL*-fiz3ifiififfTVLkMl 1z1 FliArrrAW/11wi ,Y |FTiArr P1CZ31 Liei-：i. 1赫竝廣劃.譏剛屮例m：頭尋憶廠血fitvUW蠢按門(mén)3.3應(yīng)用控制3.3.1 通信控制：防止 QQ、MSN98%的中國(guó)企業(yè)中都有員工至少在使用一種形式的聊天工具(CCID Research)辦公室聊天，嚴(yán)重影響正常工作78%的即時(shí)消息用戶曾因?yàn)镼Q/MSN而中病毒，并且有泄漏公司機(jī)密的問(wèn)題 存在QQ/MSN中的鏈接很可能帶木馬，病毒等舲豳魁赭制

14、基本W(wǎng)eb界面中輕松禁止 QQ/MSN藥斷睚詔匸】建Fq&FmSN黃色網(wǎng)站安全配置a峻控制典過(guò)遺在這里禁止掉相應(yīng)的網(wǎng)站地址股票網(wǎng)站下載網(wǎng)站(1-32F UFL心掰TF-PB |t92.1E81.5離馳養(yǎng)條件并且盼萌rimsI?星M圉廉咖陲票閆站地址刃丟在這里可以導(dǎo)入“黃色網(wǎng)站地址”、“股票網(wǎng)站地址”、“下 載網(wǎng)站地址”等等，可以輕松實(shí)現(xiàn)對(duì)網(wǎng)站訪問(wèn)的控制332多種類型的訪問(wèn)控制（MAC過(guò)濾/訪問(wèn)控制/網(wǎng)頁(yè)控制）BT種子服務(wù)器BT共享者BT下載卜公I(xiàn)C通話* r7r kIPM 1、正常辦公保證5M2、確保語(yǔ)音無(wú)時(shí)延IC通話服務(wù)器Web服務(wù)器總部3.3.3 限制P2P軟件ICG支持深度應(yīng)用識(shí)別（DA

15、R）功能，目前能夠識(shí)別BT、eDonkey、eMule等多種網(wǎng)絡(luò)上常見(jiàn)的應(yīng)用業(yè)務(wù)流，而且識(shí)別能力還在持續(xù)不斷的增強(qiáng);業(yè)務(wù)流語(yǔ)音流BT流分支3、BT下載限速64KServer Farms 500K800K即可以對(duì)網(wǎng)段進(jìn)行限速，也 可以對(duì)單個(gè)ip進(jìn)行限速。334上下行速率控制Department #1Department #2Department #3Boss Office速率限制能給客戶帶來(lái)的好處：1、按部門(mén)類別劃分帶寬：按照IP地址段來(lái)規(guī)劃部門(mén)，按照對(duì)網(wǎng)絡(luò)的需要程度來(lái)分配帶寬。比如0-192.168.40是IT部門(mén)，則可以針對(duì)這個(gè)網(wǎng)段分配上行 200K，下行1M的帶寬。2

16、、防止帶寬濫用造成掉線：如果局域網(wǎng)內(nèi)有人用下載工具或者在線看電影，會(huì)導(dǎo)致帶寬被少數(shù)人占用完，其他人無(wú)法上網(wǎng)。可以對(duì)每個(gè)PC機(jī)的最高速率進(jìn)行限制。4 ICT酒店解決方案特點(diǎn)和優(yōu)勢(shì)高可靠：設(shè)備冗余、雙主控、雙電源、鏈路冗余、NSF/GR高安全：房間vlan隔離、交換機(jī)端口隔離、防ARP欺騙 高速：經(jīng)理辦公千兆到桌面、客房百兆接入、線速交換 高擴(kuò)展性：模塊化結(jié)構(gòu)、設(shè)備容量平滑擴(kuò)展、無(wú)線網(wǎng)絡(luò)平滑擴(kuò)展 網(wǎng)絡(luò)可控：端口限速、非法軟件限制 高性價(jià)比：性能、價(jià)格、穩(wěn)定性均衡統(tǒng)一管理：一網(wǎng)多用、統(tǒng)一管理鏈路診斷：準(zhǔn)確查明線纜/光纜損壞地點(diǎn)，節(jié)省維修費(fèi)用便利WEB管理界面：小型酒店 WEB管理界面，節(jié)省維護(hù)成本5

17、酒店網(wǎng)絡(luò)部署解決方案5.1酒店網(wǎng)絡(luò)邏輯關(guān)系酒店辦公業(yè)務(wù)-及管理系統(tǒng)公眾用戶f網(wǎng)絡(luò)酒業(yè)務(wù)訪問(wèn) Internet廣域網(wǎng)客房網(wǎng)部辦公大堂分支Y域網(wǎng)VPN業(yè)務(wù)酒店內(nèi) 部業(yè)務(wù)酒店門(mén) 戶網(wǎng)站為公眾用戶提供服務(wù)的對(duì)外業(yè)務(wù)fI分支X內(nèi)部數(shù)據(jù)；:外部數(shù)據(jù):.辦公業(yè)務(wù)數(shù)據(jù)中心大堂、客房網(wǎng)、辦公、寫(xiě)字樓區(qū)域之間邏輯隔離，分別對(duì)不同區(qū)域業(yè)務(wù)進(jìn)行 授權(quán)，如大堂不能上網(wǎng)?？头坎荒茉L問(wèn)酒店內(nèi)部辦公網(wǎng)絡(luò)，酒店內(nèi)部辦公網(wǎng)絡(luò)可 以通過(guò)VPN和其他分支酒店協(xié)同辦公。寫(xiě)字樓區(qū)也可以通過(guò) VPN連接公司內(nèi)部 網(wǎng)絡(luò)。5.2酒店常用方案建議配置吾店常用方竇1西1弼足的需*ICGMIM+超 bMP卅 15肚 房裁在前咽M/WAhMA.千兆到

18、桌直防ARP玫擊，防遜欺騾支持4 AW1匸AN劃分廁瞎BT.迅雷下栽眼垃流量統(tǒng)計(jì)日志替警安空防火墻ICG：00）+S524P+S52i（客盛在100貶砂歿授年徵W Ab展人單收卽證按入千兆到桌亶防4RP攻擊，防ART戳騾支持J A炳 - AN劃昔剛箔迅雷下載隈擔(dān)超統(tǒng)計(jì)日志告薯安全肪火墻IC G30W flO（J+S5l 31E+S15 26 f客刪在:oo-刊處問(wèn)）支搏單砍WAN寒人單蔥咐加股入千菲到卓面防ARP攻擊，防妣戦常對(duì)札削伏昨AIM巧瀏塔BT.迅雷卞戟駁逵流量統(tǒng)計(jì)P忖保證數(shù)堀傳輸安全舲防比墻VLANfe廣播域5.3快捷酒店5.3.1 組網(wǎng)方案迺its存呵話店辦仝阿圖1快捷酒店組網(wǎng)方案

19、532組網(wǎng)說(shuō)明1) 在S5000P劃分VLAN ,將酒店辦公網(wǎng)與客房網(wǎng)隔離，控制酒店管理系統(tǒng)及 In ternet訪問(wèn)權(quán)限。酒店辦公網(wǎng)分配靜態(tài)IP。2) 在S1526為每個(gè)客房劃分一個(gè)VLAN，實(shí)現(xiàn)互相隔離。例如：客房302的 VLAN 為 302。3) 在S5000P啟用端口鏡像，將所有出口數(shù)據(jù)鏡像到監(jiān)控服務(wù)器，滿足公安 監(jiān)控需求。4) ICG支持802.1Q VLAN，做VLAN終結(jié)，并且開(kāi)啟防ARP欺騙。5.3.3方案特點(diǎn)在滿足中小酒店基本需求的基礎(chǔ)上， 增加端口隔離、防ARP欺騙功能，并且 通過(guò)對(duì)每個(gè)客房劃分VLAN的方式，實(shí)現(xiàn)公安部安全監(jiān)控的要求，性價(jià)比較高。5.4商務(wù)酒店5.4.1

20、組網(wǎng)方案科務(wù)酒店比快雨方犬斤圖2商務(wù)酒店組網(wǎng)方案542組網(wǎng)說(shuō)明1) 在S5000P劃分VLAN ,將酒店辦公網(wǎng)與客房網(wǎng)隔離，控制酒店管理系統(tǒng)及 In ternet訪問(wèn)權(quán)限。酒店辦公網(wǎng)分配靜態(tài)IP。2) 在S1526為每個(gè)客房劃分一個(gè)VLAN，實(shí)現(xiàn)互相隔離。例如：客房302的 VLAN 為 302。3) 在S5000P啟用端口鏡像，將所有出口數(shù)據(jù)鏡像到監(jiān)控服務(wù)器，滿足公安 監(jiān)控需求。4) ICG支持802.1Q VLAN，做VLAN終結(jié)，并且開(kāi)啟防ARP欺騙。5) ICG2000支持WLAN，可在大廳和會(huì)議室進(jìn)行無(wú)線覆蓋，無(wú)需布線，方便, 美觀。5.4.3方案特點(diǎn)在滿足中小酒店基本需求的基礎(chǔ)上，

21、增加端口隔離、防ARP欺騙功能，并且通過(guò)對(duì)每個(gè)客房劃分VLAN的方式，實(shí)現(xiàn)公安部安全監(jiān)控的要求，大廳通過(guò)無(wú)線 接入，方便快捷，性價(jià)比較高。5.5星級(jí)酒店5.5.1 組網(wǎng)方案圖3星級(jí)酒店組網(wǎng)方案5.5.2組網(wǎng)說(shuō)明1) 在S5000E劃分VLAN ,將酒店辦公網(wǎng)與客房網(wǎng)隔離，控制酒店管理系統(tǒng)及 In ternet訪問(wèn)權(quán)限。酒店辦公網(wǎng)分配靜態(tài)IP。2) 在S5000E啟用端口鏡像，將所有出口數(shù)據(jù)鏡像到監(jiān)控服務(wù)器，滿足公安 監(jiān)控需求。3) ICG3000/5000支持802.1Q VLAN，做VLAN 終結(jié)，并且開(kāi)啟防 ARP欺騙。4) 每個(gè)客房放置一個(gè)S1505L，提供兩個(gè)上網(wǎng)端口(按照房間號(hào)設(shè)置VLAN ID 號(hào))，1個(gè)VOD點(diǎn)播端口(設(shè)置VOD專用VLAN ID)，1個(gè)擴(kuò)展端口。5) 寫(xiě)字