大型酒店網(wǎng)絡(luò)工程方案

..>一、網(wǎng)絡(luò)建立概述隨著我國(guó)互聯(lián)網(wǎng)絡(luò)的高速開(kāi)展，互聯(lián)網(wǎng)絡(luò)對(duì)人們的影響，不僅表達(dá)在人們的工作與學(xué)習(xí)方面，而且越來(lái)越多地表達(dá)于人們生活的各個(gè)方面?；ヂ?lián)網(wǎng)絡(luò)將改變?nèi)祟愓麄€(gè)生活的理念已經(jīng)深入人心1、建立背景：隨著經(jīng)濟(jì)的蓬勃開(kāi)展，為賓館酒店業(yè)的開(kāi)展提供了良好的機(jī)遇，豐厚的利潤(rùn)和巨大的市場(chǎng)也吸引了眾多的競(jìng)爭(zhēng)者，酒店行業(yè)靠什么贏得競(jìng)爭(zhēng)優(yōu)勢(shì)？酒店在做好現(xiàn)有業(yè)務(wù)種類，不斷提高效勞水平的同時(shí)，如何把握客戶的需求，用最經(jīng)濟(jì)的方法獲得最大的客戶滿意度，提高企業(yè)自身的檔次和知名度，同時(shí)拓展新的業(yè)務(wù)增長(zhǎng)點(diǎn)，成為最根本的競(jìng)爭(zhēng)所在，這使得酒店行業(yè)對(duì)信息化的需求非常迫切。有調(diào)查說(shuō)明，酒店的信息效勞水平在很大程度上影響著客人的入住愿望。無(wú)法提供高速互聯(lián)網(wǎng)接入效勞的酒店，對(duì)于客戶來(lái)說(shuō)，無(wú)疑是一場(chǎng)商業(yè)災(zāi)難。1、網(wǎng)絡(luò)拓?fù)鋱D如下：2、技術(shù)實(shí)施、IP地址分配動(dòng)態(tài)地址分配：在ER5200上面開(kāi)啟DHCP分配功能。如以下圖：、防止ARP地址欺騙PCPCPC接入交換機(jī)Internet發(fā)送免費(fèi)ARP更新主機(jī)ARP表免費(fèi)ARP+授權(quán)ARP，解決所有ARP欺騙PCPCARP欺騙一：PC機(jī)假冒網(wǎng)關(guān)ER5200通過(guò)定時(shí)發(fā)送免費(fèi)ARP，更新網(wǎng)絡(luò)主機(jī)上被攻擊篡改了的網(wǎng)關(guān)MAC地址，保證主機(jī)與網(wǎng)關(guān)之間的通信。DHCPDHCP效勞器DHCP請(qǐng)求紀(jì)錄MAC-IP關(guān)系偽造ARPIP-MAC關(guān)系不對(duì)ARP欺騙二：PC機(jī)假冒PC機(jī)ER5200通過(guò)授權(quán)ARP，只容許靜態(tài)ARP和DHCP分配的ARP表相中的IP地址通過(guò)，從而防止PC機(jī)IP與MAC的欺騙。、IDS防范為了防止客房網(wǎng)攻擊，通常會(huì)使用路由器+防火墻的組網(wǎng)。ER5200上內(nèi)置了防攻擊的功能，可以省掉防火墻了、報(bào)文源認(rèn)證、設(shè)置異常流量防護(hù)網(wǎng)絡(luò)中的主時(shí)機(jī)由于出現(xiàn)中毒或網(wǎng)卡異常等原因，向Internet發(fā)送大量的異常報(bào)文，阻塞網(wǎng)絡(luò)，大量消耗設(shè)備的資源。啟用本功能后，設(shè)備會(huì)對(duì)各個(gè)主機(jī)的流量進(jìn)展檢查，發(fā)現(xiàn)有異常流量時(shí)會(huì)進(jìn)展指定的處理，以保證設(shè)備受到此類異常流量攻擊仍能正常工作、設(shè)置IP流量限制*些應(yīng)用〔比方：P2P下載等〕在給用戶帶來(lái)方便的同時(shí)，同時(shí)，也占用了大量的網(wǎng)絡(luò)帶寬。一個(gè)網(wǎng)絡(luò)的總帶寬是有限的，如果這些應(yīng)用過(guò)度占用網(wǎng)絡(luò)帶寬，必將會(huì)影響其他用戶正常使用網(wǎng)絡(luò)。為了保證局域網(wǎng)內(nèi)所有用戶都能正常使用網(wǎng)絡(luò)資源，您可以通過(guò)IP流量限制功能對(duì)局域網(wǎng)內(nèi)指定主機(jī)的流量進(jìn)展限制。、設(shè)置網(wǎng)絡(luò)連接限數(shù)網(wǎng)內(nèi)的主機(jī)遭受NAT攻擊時(shí)，主機(jī)的網(wǎng)絡(luò)連接數(shù)可能會(huì)超過(guò)幾萬(wàn)個(gè)，從而會(huì)嚴(yán)重影響業(yè)務(wù)的正常運(yùn)行或出現(xiàn)網(wǎng)絡(luò)掉線現(xiàn)象。此時(shí)，您可對(duì)指定主機(jī)的最大網(wǎng)絡(luò)連接數(shù)進(jìn)展限制，保證網(wǎng)絡(luò)資源的有效利用四、組網(wǎng)設(shè)備介紹1.路由器〔H3CER5200〕產(chǎn)品概述：ER5200是H3C公司推出的一款高性能千兆下行路由器，它主要定位于以太網(wǎng)/光纖/ADSL接入的SMB市場(chǎng)和政府、企業(yè)機(jī)構(gòu)、網(wǎng)吧等網(wǎng)絡(luò)環(huán)境，如需要高速Internet帶寬的網(wǎng)吧、企業(yè)、學(xué)校和酒店等。ER5200采用專業(yè)的64位雙核網(wǎng)絡(luò)處理器，主頻高達(dá)500MHz，并且支持豐富的軟件特性，如IP<->MAC地址綁定，ARP防攻擊，流量限速，雙WAN負(fù)載均衡，策略路由，源地址路由等功能。它是H3CER系列路由器中的中高端產(chǎn)品，大型網(wǎng)吧用戶和大型企業(yè)用戶的理想選擇。圖1H3CER5200企業(yè)級(jí)路由器產(chǎn)品特點(diǎn)：雙WAN口負(fù)載均衡〔僅ER3200、ER3260、ER5200支持〕負(fù)載均衡可以讓用戶根據(jù)線路實(shí)際帶寬分配網(wǎng)絡(luò)流量，到達(dá)充分利用帶寬的目的。策略路由實(shí)現(xiàn)按照用戶制定的策略選擇路由，如出接口的選擇等。高性能防火墻內(nèi)置高性能防火墻，通過(guò)設(shè)置出站和入站通信策略來(lái)快速地實(shí)現(xiàn)訪問(wèn)控制，防攻擊支持對(duì)來(lái)至因特網(wǎng)和內(nèi)網(wǎng)的常見(jiàn)攻擊進(jìn)展防護(hù)。同時(shí)，內(nèi)置內(nèi)網(wǎng)異常流量防護(hù)模塊，對(duì)局域網(wǎng)內(nèi)各臺(tái)主機(jī)的流量進(jìn)展檢查，并根據(jù)您所選擇的防護(hù)等級(jí)〔支持高、中、低三種〕進(jìn)展相應(yīng)的處理，確保網(wǎng)絡(luò)在遭受此類異常攻擊時(shí)仍能正常工作。ARP雙重防護(hù)通過(guò)靜態(tài)ARP綁定功能，固化了網(wǎng)關(guān)的ARP表項(xiàng)；另外，對(duì)于DHCP分配的IP地址，則采用DHCP授權(quán)ARP技術(shù)，自動(dòng)綁定分配的IP地址/MAC地址信息，從而可以有效地防止ARP欺騙引起的內(nèi)網(wǎng)通訊中斷問(wèn)題；同時(shí)，提供毫秒級(jí)的免費(fèi)ARP定時(shí)發(fā)送機(jī)制，可以有效地防止局域網(wǎng)內(nèi)主機(jī)中毒后引發(fā)的ARP攻擊。VLAN支持多局域網(wǎng)功能，您可以方便的劃分局域網(wǎng)為多個(gè)網(wǎng)段，降低播送域和ARP病毒的影響。針對(duì)每個(gè)局域網(wǎng)可以配置單獨(dú)的DHCPServer和防火墻規(guī)則。業(yè)務(wù)控制QQ/MSN等即時(shí)通訊軟件的大量普及，可能會(huì)引起員工辦公效率低下，無(wú)法集中精力。路由器獨(dú)有的應(yīng)用控制功能，可以方便地限制內(nèi)網(wǎng)用戶對(duì)QQ/MSN等應(yīng)用的使用；同時(shí)還支持對(duì)大智慧/分析家/同花順/廣發(fā)至強(qiáng)/光大證券/國(guó)元證券等金融軟件的應(yīng)用控制功能。另外，您還可以通過(guò)對(duì)特權(quán)用戶組的設(shè)置保證關(guān)鍵用戶的使用不受影響。IPSecVPN通過(guò)VPN平安連接，最多支持10路IPSec連接到辦公網(wǎng)絡(luò)。網(wǎng)絡(luò)流量監(jiān)控提供流量實(shí)時(shí)監(jiān)控和排序功能，同時(shí)提供多種平安日志，包括內(nèi)/外網(wǎng)攻擊實(shí)時(shí)日志、地址綁定日志、流量告警日志和會(huì)話日志，為網(wǎng)絡(luò)管理員實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)運(yùn)行狀態(tài)和平安狀態(tài)提供了更快捷的窗口。網(wǎng)絡(luò)流量限速通過(guò)基于IP的網(wǎng)絡(luò)流量限速功能，可以有效地控制指定用戶的上/下行流量，限制了P2P軟件對(duì)網(wǎng)絡(luò)帶寬的過(guò)度占用。同時(shí)，提供彈性帶寬功能，在網(wǎng)絡(luò)空閑時(shí)可以智能地提升用戶的限制帶寬，既充分地提升了網(wǎng)絡(luò)帶寬的利用率，又保證了網(wǎng)絡(luò)繁忙時(shí)帶寬的可用性。產(chǎn)品規(guī)格：工程描述概述固定端口2個(gè)10/100Base-T*WAN端口3個(gè)10/100/1000Base-T

LAN端口1個(gè)Console接口處理器(CPU)MIPS64位500MHz網(wǎng)絡(luò)處理器內(nèi)存DDRII64MBFLASH8MB軟件特性工作模式主備模式,智能負(fù)載均衡手動(dòng)負(fù)載均衡(電信走電信，聯(lián)通走聯(lián)通)路由轉(zhuǎn)發(fā)模式網(wǎng)絡(luò)協(xié)議PPPoE，DHCP客戶端，DHCP效勞器，NAPT，NTPDDNS(.3322.org)防火墻出站通信策略(源接口/IP/MAC/用戶/目的IP/協(xié)議/端口/時(shí)間段)入站通信策略(源接口/IP/MAC/用戶/目的IP/協(xié)議/端口/時(shí)間段)

網(wǎng)絡(luò)平安ARP防攻擊/免費(fèi)ARP，狀態(tài)數(shù)據(jù)包檢查，防止WAN口的Ping，防止TCPsyn掃描，防止StealthFIN掃描，防止TCP*masTree掃描，防止TCPNull掃描，防止UDP掃描功能，防止Land攻擊功能，防止Smurf攻擊功能，防止WinNuke攻擊功能。防止PingofDeath攻擊，防止SYNFlood攻擊功能，防止UDPFlood攻擊功能，防止ICMPFlood攻擊功能，防止IPSpoofing功能，防止碎片包攻擊，防止TearDrop攻擊，防止Fraggle攻擊功能訪問(wèn)控制IP<->MAC地址綁定(靜態(tài)ARP)，URL過(guò)濾(黑白名單)，MAC地址過(guò)濾，QQ/MSN訪問(wèn)控制，金融軟件控制：大智慧/分析家/同花順/廣發(fā)至強(qiáng)/光大證券/國(guó)元證券QoS流量統(tǒng)計(jì)(基于IP/端口的流量統(tǒng)計(jì)),網(wǎng)絡(luò)流量限速(基于IP，上下行流量分別限速),NAT表項(xiàng)限制,應(yīng)用通道限制(綠色通道/限制通道)流量監(jiān)控基于物理端口的流量統(tǒng)計(jì),基于IP的流量統(tǒng)計(jì)，支持自動(dòng)排序功能,基于IP的NAT鏈接數(shù)統(tǒng)計(jì)路由靜態(tài)路由，策略路由(基于源IP/目的IP/協(xié)議/端口/出接口/時(shí)間段)系統(tǒng)效勞ALG，端口觸發(fā)，UPnP，虛擬效勞器，靜態(tài)NAT(一對(duì)一NAT)，DMZ主機(jī)，VPN透?jìng)?PPTP、L2TP、IPSec)配置管理基于Web的用戶管理接口(遠(yuǎn)程管理/本地管理)，HTTPS遠(yuǎn)程管理，命令行CLI，通過(guò)HTTP升級(jí)系統(tǒng)軟件故障診斷Ping/Tracert，設(shè)備自檢，故障信息一鍵導(dǎo)出2.核心交換機(jī)(H3CS5024P)產(chǎn)品概述：H3CS5024P以太網(wǎng)交換機(jī)是H3C公司自主開(kāi)發(fā)的支持Web管理的二層線速以太網(wǎng)交換產(chǎn)品，是為要求具備高性能且易于安裝的網(wǎng)絡(luò)環(huán)境而設(shè)計(jì)的智能型交換機(jī)。S5024P提供24個(gè)千兆以太網(wǎng)端口、4個(gè)千兆SFP端口〔與后4個(gè)千兆以太網(wǎng)端口復(fù)用〕以及一個(gè)Console端口。該交換機(jī)可以通過(guò)console口、telnet以及web方式登錄進(jìn)展配置，支持VLAN劃分、端口雙向鏡像、端口+MAC地址綁定和端口聚合等功能。圖1H3CS5024P產(chǎn)品外觀示意圖產(chǎn)品特點(diǎn)：符合、、和標(biāo)準(zhǔn)支持端口流量控制，符合提供24個(gè)10/100/1000M自適應(yīng)以太網(wǎng)端口，支持端口自動(dòng)翻轉(zhuǎn)〔AutoMDI/MDI*〕、4個(gè)1000MSFP端口〔與最后4個(gè)1000M電口復(fù)用〕及1個(gè)Console口最多支持255個(gè)符合標(biāo)準(zhǔn)的VLAN，VLANID1－4094可配；最多支持24個(gè)基于端口的VLAN端口會(huì)聚：支持整機(jī)最多4組，每組最多24個(gè)端口支持基于端口的帶寬控制，最小粒度為25Mbps支持優(yōu)先級(jí)、IP優(yōu)先級(jí)和DSCP優(yōu)先級(jí)，支持SP隊(duì)列調(diào)度，支持每端口2個(gè)優(yōu)先級(jí)隊(duì)列；支持播送風(fēng)暴抑制支持端口鏡像功能支持端口綁定支持端口收發(fā)報(bào)文統(tǒng)計(jì)支持MAC地址老化時(shí)間設(shè)置提供命令行接口管理和Web管理支持交換機(jī)系統(tǒng)軟件的升級(jí)內(nèi)置通用電源，1U鋼殼，19英寸標(biāo)準(zhǔn)機(jī)架構(gòu)造，可上機(jī)架。產(chǎn)品規(guī)格：工程描述概述標(biāo)準(zhǔn)IIEEE802.310BASE-T以太網(wǎng)IEEE802.3u100BASE-T*快速以太網(wǎng)IEEE802.3ab1000BASE-T千兆以太網(wǎng)IEEE802.3z千兆以太網(wǎng)〔光纖〕ANSI/IEEE802.3NWay自動(dòng)協(xié)商IEEE802.3*流量控制固定端口24個(gè)10/100/1000BASE-T自協(xié)商的以太網(wǎng)端口1個(gè)Console端口可選端口4個(gè)1000Base-S*/L*SFP光口固定端口屬性連接器類型：RJ-45支持10/100/1000Mbit/s傳輸速率支持半雙工、全雙工、自協(xié)商工作模式支持MDI/MDI-*自適應(yīng)可選端口屬性連接器類型：LC支持1000Mbit/s傳輸速率全雙工網(wǎng)線類型雙絞線：采用5類雙絞線，傳輸距離100m光纖多模：50/125μm多模光纖，配有LC插頭，傳輸距離550m單模短距：9/125μm單模光纖，配有LC插頭，傳輸距離10km單模中距：9/125μm單模光纖，配有LC插頭，傳輸距離40km單模長(zhǎng)距：9/125μm單模光纖，配有LC插頭，傳輸距離70km性能背板帶寬48G轉(zhuǎn)發(fā)能力交換模式存儲(chǔ)轉(zhuǎn)發(fā)模式MAC地址表支持地址自動(dòng)學(xué)習(xí)、自動(dòng)老化〔老化時(shí)間為5分鐘〕；最多支持MAC〔MediaAccessControl〕地址：8K；支持手工配置靜態(tài)MAC：64項(xiàng)軟件VLAN最多支持255個(gè)符合標(biāo)準(zhǔn)的VLAN，VLANID在1-4094范圍內(nèi)可配最多支持24個(gè)基于端口的VLAN優(yōu)先級(jí)隊(duì)列〔QoS〕支持優(yōu)先級(jí)、IP優(yōu)先級(jí)和DSCP優(yōu)先級(jí)隊(duì)列數(shù)：每端口2個(gè)端口會(huì)聚支持整機(jī)最多4個(gè)會(huì)聚組，每組最多24個(gè)端口端口鏡像支持基于端口的雙向鏡像端口帶寬控制最小粒度為25Mbps播送風(fēng)暴抑制所有端口上支持基于帶寬百分比的播送風(fēng)暴抑制配置和管理基于Web的管理支持命令行配置支持通過(guò)Telnet登錄進(jìn)展配置維護(hù)支持調(diào)試信息的輸出、統(tǒng)計(jì)支持Ping維護(hù)診斷工具支持通過(guò)Telnet進(jìn)展遠(yuǎn)程維護(hù)3.接入交換機(jī)(H3CS1526)H3CS1526交換機(jī)是H3C公司自主開(kāi)發(fā)的二層線速以太網(wǎng)交換產(chǎn)品，是為要求具備高性能且易于安裝的網(wǎng)絡(luò)環(huán)境而設(shè)計(jì)的智能型交換機(jī)。S1526提供了24個(gè)10/100Mbps端口，2個(gè)千兆銅纜/SFP〔miniGBIC〕組合端口用于靈活的千兆銅纜或光纖骨干連接，用戶可根據(jù)傳送距離的不同要求靈活的選擇1000BASE-L*、1000BASE-S*、1000BASE-T等多種接口類型。該款交換機(jī)支持Vlan劃分、端口鏡像、端口聚合和QoS等功能，可以通過(guò)WEB界面進(jìn)展方便地配置。H3CS1526產(chǎn)品規(guī)格工程描述概述標(biāo)準(zhǔn)IEEE802.310BASE-T以太網(wǎng)；IEEE802.3u100BASE-T*快速以太網(wǎng)；IEEE802.3ab1000BASE-T千兆以太網(wǎng)；IEEE802.3z千兆以太網(wǎng)〔光纖〕；ANSI/IEEE802.3NWay自動(dòng)協(xié)商；流量控制固定端口24個(gè)10/100Base-T*自適應(yīng)以太網(wǎng)端口；2個(gè)千兆光電復(fù)用端口；1個(gè)Console接口固定端口屬性連接器類型：RJ-45；支持10/100/1000Mbit/s傳輸速率；支持半雙工、全雙工、自協(xié)商工作模式；支持MDI/MDI-*自適應(yīng)網(wǎng)線類型10Base-T：3/4/5類雙絞線，支持最大傳輸距離100m；100Base-T*：5類雙絞線，支持最大傳輸距離100m；1000Base-T：5類雙絞線，支持最大傳輸距離100m可選模塊1000Base-L*-SFP：9/125μm單模光纖，傳輸距離10km；1000BASE-Z*-LR-SFP：9/125μm單模光纖，傳輸距離40km；1000BASE-Z*-VR-SFP：9/125μm單模光纖，傳輸距離70km；1000BASE-S*-SFP：50/125μm多模光纖，傳輸距離550m性能背板帶寬轉(zhuǎn)發(fā)能力交換模式存儲(chǔ)轉(zhuǎn)發(fā)模式MAC地址表支持地址自動(dòng)學(xué)習(xí)、自動(dòng)老化〔老化時(shí)間為5分鐘〕；最多支持MAC〔MediumAccessControl〕地址：8K軟件VLAN基于端口VLAN，支持VLAN最