網(wǎng)絡(luò)工程-現(xiàn)代酒店網(wǎng)絡(luò)規(guī)劃與構(gòu)建

現(xiàn)代酒店網(wǎng)絡(luò)規(guī)劃與構(gòu)建摘要：當(dāng)今時代經(jīng)濟的迅速發(fā)展和交通的便利化，使得酒店行業(yè)快速發(fā)展。酒店既滿足了人們出行的需要，又滿足了商務(wù)旅行的需求。隨著需求的擴大，目前的酒店的數(shù)量迅速增長。酒店的發(fā)展?jié)摿σ蕾囉谄淦放菩蜗蟮奶岣吆头?wù)質(zhì)量是否給顧客帶來認同感。互聯(lián)網(wǎng)是當(dāng)前信息交流和商務(wù)辦公的主要方式。必要合理的網(wǎng)絡(luò)規(guī)劃已成為現(xiàn)代酒店的核心競爭力。此次網(wǎng)絡(luò)規(guī)劃使用了HUAWEI設(shè)備構(gòu)建一個具有服務(wù)器、無線局域網(wǎng)和訪問控制的網(wǎng)絡(luò)。一旦有了上述的網(wǎng)絡(luò)，就能夠滿足顧客的基本需求，提高顧客的體驗。也能夠確保酒店內(nèi)部運營的便利和管理的規(guī)范化，提升酒店的服務(wù)質(zhì)量。關(guān)鍵詞：路由，交換，網(wǎng)絡(luò)規(guī)劃

ModernhotelnetworkplanningandconstructionAbstract：Withtherapidevolutionofscienceandtechnologyandtheconvenienceoftransportation,thehotelindustrydevelopsrapidly.Thehotelisnotonlyforpeopletotravel,butalsoneedsofbusinesstravel.Withtheexpansionofdemand,thenumberofhotelsisgrowingrapidly.Thedevelopmentpotentialofthehoteldependsontheimprovementofitsbrandimageandwhethertheservicequalitybringscustomersasenseofidentity.Internetisthemainwayofinformationexchangeandbusinessoffice.Necessaryandreasonablenetworkplanninghasbecomethecorecompetitivenessofmodernhotels.ThisnetworkplanningusesHuaweiproductstobuildanetworkwithWLAN,server,firewallandaccesscontrol.Whenthehotelusessuchnetworkplanning,itcanensuretheleisureandonlineworkofcustomersandimprovethecustomerexperience.Itcanalsoensuretheconvenienceofinternaloperationandnormalizationofmanagement,andupgradeservicesofthehotel.Keywords：route，switch，networkplanning目錄TOC\o"1-3"\h\u1緒論 緒論1.1項目建設(shè)背景及意義經(jīng)濟的快速發(fā)展帶動了國內(nèi)酒店業(yè)的蓬勃發(fā)展，現(xiàn)代酒店已從傳統(tǒng)的住宿模式轉(zhuǎn)變?yōu)橐陨虅?wù)為中心，集娛樂、休閑融合為一體的多功能中心。現(xiàn)代酒店蓬勃發(fā)展的背后，網(wǎng)絡(luò)是不可或缺的。酒店網(wǎng)絡(luò)的建設(shè)和維護對酒店的發(fā)展起著重要的作用?，F(xiàn)代酒店的顧客需要瀏覽互聯(lián)網(wǎng)。其中一些是上班族，一些是游客，高速、安全、可靠的上網(wǎng)絡(luò)才能滿足他們的工作甚至娛樂活動。網(wǎng)絡(luò)系統(tǒng)能夠使酒店的顧客享受到靈活快捷的網(wǎng)絡(luò)服務(wù)，有了WLAN之后，顧客可以在客房、餐廳、會議室以及娛樂場所隨時隨地的享受到網(wǎng)絡(luò)服務(wù)，增加了他們的體驗感。高檔客房配置的有網(wǎng)絡(luò)電視、網(wǎng)絡(luò)監(jiān)控系統(tǒng)、點餐系統(tǒng)等，只有暢通的網(wǎng)絡(luò)接入可以滿足顧客的各種需求?，F(xiàn)代酒店的網(wǎng)絡(luò)要求有足夠的功能和較高的保密性。還需一套使用簡單的管理系統(tǒng)及酒店內(nèi)部通訊系統(tǒng)。這套系統(tǒng)取代了原有的對講機，讓酒店員工通過無線網(wǎng)絡(luò)自由交流，這可以提高酒店大型員工的工作效率，為酒店節(jié)約成本。該管理系統(tǒng)可以對每個員工實施智能監(jiān)控，有效提高服務(wù)質(zhì)量。酒店的部分網(wǎng)絡(luò)系統(tǒng)需要與外網(wǎng)完全隔離，保證安全性，比如酒店的財務(wù)管理、客房管理、人員管理等，這樣可以有效安全地服務(wù)顧客。安全穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)與現(xiàn)代酒店的高端服務(wù)相結(jié)合，可以為顧客提供高端的舒適體驗，提高酒店的服務(wù)質(zhì)量，管理效率和競爭力。1.2論文的結(jié)構(gòu)安排論文的結(jié)構(gòu)安排如下：1緒論：介紹項目建設(shè)背景及意義來說明網(wǎng)絡(luò)的建設(shè)和維護對酒店的發(fā)展起著重要作用。2網(wǎng)絡(luò)需求分析：對網(wǎng)絡(luò)接入點、網(wǎng)絡(luò)結(jié)構(gòu)、綜合布線、網(wǎng)絡(luò)功能、網(wǎng)絡(luò)安全與管理等方面進行分析，為網(wǎng)絡(luò)設(shè)計打好基礎(chǔ)。3網(wǎng)絡(luò)系統(tǒng)設(shè)計：根據(jù)網(wǎng)絡(luò)需求分析，進行IP地址分配、網(wǎng)絡(luò)拓撲設(shè)計、無線局域網(wǎng)設(shè)計、服務(wù)器設(shè)計、遠程管理設(shè)計、安全設(shè)計等。4設(shè)備選型：對網(wǎng)絡(luò)設(shè)計選擇交換機和路由器等網(wǎng)絡(luò)設(shè)備的型號和價格進行說明。5實施方案與測試：對網(wǎng)絡(luò)設(shè)備的配置命令進行說明，并使用模擬器完成了大部分的測試。6.總結(jié)：對本次設(shè)計進行總結(jié)。

2網(wǎng)絡(luò)需求分析2.1網(wǎng)絡(luò)接入點分析酒店網(wǎng)絡(luò)分為兩部分：工作網(wǎng)絡(luò)和服務(wù)網(wǎng)絡(luò)。網(wǎng)絡(luò)采用有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)進行訪問，要求全網(wǎng)無線覆蓋，工作區(qū)以及服務(wù)區(qū)的客房和會議室需要有線網(wǎng)絡(luò)接入。如圖2-1：網(wǎng)絡(luò)出口網(wǎng)絡(luò)出口工作區(qū)服務(wù)區(qū)監(jiān)控前臺財政行政客房會議餐廳服務(wù)器無線區(qū)圖2-1酒店區(qū)域分布圖酒店的構(gòu)造為：1樓前臺、財務(wù)和行政辦公室，2-3樓餐廳和會議室，4-8樓為普通客房，9-10樓為總統(tǒng)套房，11-17樓為高檔客房，18-19樓為機房。如圖2-2：圖2-2酒店立體圖根據(jù)房間數(shù)量及無線全覆蓋要求列出了有線接入點的需求量，如表2-1：表2-1接入點需求量工作網(wǎng)有線接入點需求數(shù)量（個）無線接入點需求數(shù)量（個）前臺10100財務(wù)部1010行政部1010監(jiān)控系統(tǒng)800服務(wù)網(wǎng)3樓餐廳201402樓會議室40804-8樓普通客房2505009-10樓總統(tǒng)套房10020011-17樓高檔客房280560共計80016002.2網(wǎng)絡(luò)結(jié)構(gòu)需求分析網(wǎng)絡(luò)結(jié)構(gòu)采用三層拓撲結(jié)構(gòu)，即核心層，匯聚層和接入層。使用HUAWEI網(wǎng)絡(luò)設(shè)備，可實現(xiàn)100m到桌面，滿足顧客的網(wǎng)絡(luò)需求。酒店網(wǎng)絡(luò)結(jié)構(gòu)如圖2-3：核心層核心層核心路由器、核心三層交換機、防火墻匯聚層匯聚三層交換機、無線控制器接入層-工作網(wǎng)手動配置IP地址接入二層交換機接入層-服務(wù)網(wǎng)自動獲取IP地址接入二層交換機、無線接入點圖2-3網(wǎng)絡(luò)結(jié)構(gòu)圖2.2.1接入層需求分析接入層用于直連計算機或者無線接入點，因此使用二層交換機。為了提升網(wǎng)絡(luò)安全性，可以使用一些方法隔離廣播。酒店的接入層劃分為服務(wù)網(wǎng)和工作網(wǎng)，其中工作網(wǎng)全部采用有線電腦入網(wǎng)可以通過網(wǎng)口與二層交換機直連。1、服務(wù)網(wǎng)：為客房、會議室及餐廳主機配置自動獲取IP地址，可以獲得三層交換機下發(fā)的IP地址接入互聯(lián)網(wǎng)。無線網(wǎng)用戶通過無線接入點入網(wǎng)，同樣從三層交換機獲取IP地址，為減輕無線接入點管理的難度，無線網(wǎng)控制器采用華為的無線控制器，實現(xiàn)接入點在全網(wǎng)的自動配置和傳輸，射頻和信道的管理和分配，實現(xiàn)統(tǒng)一管理和安全訪問控制。2、工作網(wǎng)：監(jiān)控、前臺、財務(wù)以及行政采用手動配置IP地址，通過訪問控制列表過濾使前臺、行政可以接入互聯(lián)網(wǎng)并且三層互通，財務(wù)和監(jiān)控與其他的部門隔離。監(jiān)控、前臺和財務(wù)采用端口綁定技術(shù)，不僅便于管理，還可以提高工作網(wǎng)絡(luò)的安全。酒店存在大量顧客，每天都有成千上萬的人在流動，所以酒店需要實時監(jiān)控。標(biāo)準(zhǔn)清晰度IP攝像機用于酒店樓層、街道、會議室、休息中心、俱樂部、停車場和其他區(qū)域。2.2.2匯聚層需求分析匯聚層連接著接入層和核心層，采用三層交換機，匯聚來自接入層的IP地址。酒店網(wǎng)絡(luò)匯聚層通過動態(tài)主機配置協(xié)議下發(fā)IP地址供接入層終端使用，而手動分配IP地址的工作網(wǎng)則在這里做網(wǎng)關(guān)，此外接入層的vlan之間通信也通過路由在這里完成。2.2.3核心層需求分析核心層是為了實現(xiàn)主干網(wǎng)絡(luò)間的最優(yōu)傳輸，對核心層網(wǎng)絡(luò)設(shè)備的性能要求非常高。因此，核心交換機選用HUAWEI的三層交換機，并且用兩臺設(shè)備冗余設(shè)計，可以實現(xiàn)一定的負載均衡。核心層與出口路由器通過配置路由協(xié)議完成通信，出口路由器通過網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議將酒店的私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址與外網(wǎng)通信。2.3綜合布線分析綜合布線系統(tǒng)是基于計算機技術(shù)和通信技術(shù)發(fā)展的結(jié)果，以進一步滿足科學(xué)技術(shù)發(fā)展的需要。綜合布線是網(wǎng)絡(luò)工程的基礎(chǔ)。2.3.1子系統(tǒng)需求分析根據(jù)綜合布線設(shè)計原則，考慮到整個系統(tǒng)的可靠性，傳輸特性和可伸縮性，本酒店中心機房位于頂樓，通過豎井與樓下配線間連接。水平布線子系統(tǒng)設(shè)計：在辦公樓中，從網(wǎng)絡(luò)房到辦公樓最遠數(shù)據(jù)信息點的長度仍小于雙絞線的標(biāo)準(zhǔn)轉(zhuǎn)輸距離為100米。水平布線路徑：網(wǎng)絡(luò)房→樓層豎直通道→各樓層配線間→預(yù)埋PVC線管→AP位置通過網(wǎng)絡(luò)拓撲分析，每個樓層有一個或兩個接入層交換機，所有這些交換機都通過豎井到達屋頂機房的匯聚交換機，再到機房的核心交換機。2.3.2中心機房需求分析中心機房是網(wǎng)絡(luò)系統(tǒng)的信息交換中心，中心機房需求分析的主要內(nèi)容有：1、供電使用酒店供電專線，不能夠斷電或斷電后有備用電源。2、酒店配備獨立機房，機房配備自動滅火器，保證機房能及時清除火源。3、酒店機房配備空調(diào)，使機房溫度保持在正常范圍內(nèi)，讓設(shè)備正常工作。2.4網(wǎng)絡(luò)功能需求分析酒店應(yīng)該提供一流的網(wǎng)絡(luò)服務(wù)，根據(jù)不同顧客的要求，酒店的網(wǎng)絡(luò)應(yīng)該實現(xiàn)以下8點功能：1、實現(xiàn)高速網(wǎng)絡(luò)接入，能夠同時支持2400個用戶快速上網(wǎng)。2、提供無線網(wǎng)絡(luò)服務(wù)，滿足顧客在酒店任意區(qū)域的上網(wǎng)需求。3、提供穩(wěn)定的有線網(wǎng)絡(luò)接口，滿足顧客辦公或者娛樂的需求。4、建立酒店網(wǎng)站服務(wù)器，提供內(nèi)網(wǎng)外網(wǎng)訪問服務(wù)。5、提供基本網(wǎng)絡(luò)服務(wù)功能，DHCP服務(wù)，F(xiàn)TP服務(wù)，NAT服務(wù)。6、工作網(wǎng)絡(luò)擁有辦公自動化的功能，不僅能夠承載先進的管理系統(tǒng)，還能夠安全的接入互聯(lián)網(wǎng)，提供網(wǎng)上預(yù)訂，網(wǎng)上支付等功能。7、酒店所有監(jiān)控攝像頭可以全天候的運作，采用網(wǎng)絡(luò)攝像頭，并且保存至少30天。8、酒店通過VPN實現(xiàn)遠程訪問到連鎖酒店，外地員工同樣也可通過VPN訪問到酒店內(nèi)部資源。2.5網(wǎng)絡(luò)安全與管理需求分析1、網(wǎng)絡(luò)安全，酒店網(wǎng)絡(luò)的威脅主要來源于內(nèi)部服務(wù)網(wǎng)和外網(wǎng)，來源于內(nèi)網(wǎng)的威脅主要是病毒攻擊。為了保障酒店的網(wǎng)絡(luò)安全酒店應(yīng)該采取以下5個措施：（1）硬件可靠性。酒店的網(wǎng)絡(luò)服務(wù)器、交換及路由設(shè)備的性能和質(zhì)量必須有較高的安全保證，核心交換機采用了冗余設(shè)計。（2）酒店使用劃分的vlan將服務(wù)網(wǎng)絡(luò)與工作網(wǎng)絡(luò)隔離開，從而可以有效地防止來自酒店服務(wù)網(wǎng)絡(luò)的攻擊。（3）核心路由器建立一個訪問控制列表，通過禁止在特定網(wǎng)段和服務(wù)上建立通信來阻止對酒店出口路由器的大部分攻擊。（4）酒店工作網(wǎng)使用加密通信，使攻擊者不容易獲取或修改酒店的敏感信息。（5）不允許財務(wù)部訪問外部網(wǎng)絡(luò)，但可以與內(nèi)部網(wǎng)絡(luò)服務(wù)互通。2、網(wǎng)絡(luò)管理是指監(jiān)視和控制網(wǎng)絡(luò)設(shè)備的運行狀態(tài)的一系列管理操作。為了使酒店所有網(wǎng)絡(luò)設(shè)備的管理都通過vlan管理，采取以下2個措施：（1）配置Telnet，交換機均支持Telnet，因此管理員登陸至任何一臺網(wǎng)絡(luò)設(shè)備均能訪問其他任意一臺設(shè)備。（2）配置SSH，SSH相比于Telnet更安全，是通過加密傳輸，但是華為交換機之間并不支持SSH登陸，因此管理從桌面可以安全的登陸至任意一臺設(shè)備。

3網(wǎng)絡(luò)系統(tǒng)設(shè)計3.1系統(tǒng)設(shè)計原則酒店的網(wǎng)絡(luò)系統(tǒng)應(yīng)該充分考慮到網(wǎng)絡(luò)系統(tǒng)設(shè)計原則，以便使酒店網(wǎng)絡(luò)性能更好，更加經(jīng)濟，系統(tǒng)設(shè)計原則如下：1、先進性，設(shè)計網(wǎng)絡(luò)系統(tǒng)的主要目的就是讓在應(yīng)用層工作的設(shè)備能夠正常運行。酒店用戶網(wǎng)絡(luò)帶寬需求量高，同時上網(wǎng)人數(shù)巨大，因此酒店應(yīng)采用先進的網(wǎng)絡(luò)技術(shù)和可靠的網(wǎng)絡(luò)產(chǎn)品。2、開放性，標(biāo)準(zhǔn)化，酒店首先要采用國家和國際標(biāo)準(zhǔn)，然后是實用的行業(yè)標(biāo)準(zhǔn)，能夠使網(wǎng)絡(luò)更加方便地使用?？梢员ＷC酒店網(wǎng)絡(luò)在增加網(wǎng)絡(luò)需求量或者在擴展網(wǎng)絡(luò)覆蓋面積時，可以兼容其他廠家的不同類型的網(wǎng)絡(luò)產(chǎn)品及應(yīng)用軟件。3、可靠性，穩(wěn)定性，首先采用各種容錯技術(shù)及冗余技術(shù)，可以使酒店網(wǎng)絡(luò)有較高的可靠性及穩(wěn)定性，其次采用vlan劃分，訪問控制列表，端口綁定等安全措施，使酒店網(wǎng)絡(luò)更加安全。3.2網(wǎng)絡(luò)規(guī)模計算機網(wǎng)絡(luò)的規(guī)模一般按網(wǎng)絡(luò)覆蓋范圍分為工作組級、部門級、園區(qū)級和企業(yè)級。酒店網(wǎng)絡(luò)屬于園區(qū)級網(wǎng)絡(luò)，組網(wǎng)的主要目的是實現(xiàn)網(wǎng)絡(luò)化辦公，接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)規(guī)模大，網(wǎng)絡(luò)安全重要。3.3IP地址分配酒店網(wǎng)絡(luò)所有網(wǎng)絡(luò)設(shè)備及主機使用私網(wǎng)地址，通過NAPT將私網(wǎng)地址轉(zhuǎn)換為與外網(wǎng)通信的公網(wǎng)地址，公網(wǎng)地址由電信服務(wù)商提供。3.3.1工作IP地址為保證酒店工作網(wǎng)的安全，工作網(wǎng)與服務(wù)網(wǎng)通過二層vlan隔離，并且工作網(wǎng)所有電腦配有獨立的IP地址，IP地址與MAC地址進行綁定。IP規(guī)劃如表3-1：表3-1工作網(wǎng)IP規(guī)劃工作網(wǎng)VlanIP地址網(wǎng)關(guān)DNS前臺Vlan2-5414財務(wù)部Vlan3-5414行政部Vlan4-5414監(jiān)控Vlan5-54143.3.2服務(wù)IP地址服務(wù)網(wǎng)絡(luò)采用DHCP協(xié)議來分配IP地址，并且自動為顧客分配IP地址，使酒店顧客接入互聯(lián)網(wǎng)。接入點需求量如表3-2：表3-2DHCP接入點需求量服務(wù)網(wǎng)有線DHCP接入點需求數(shù)量（個）無線DHCP接入點需求數(shù)量（個）3樓餐廳201402樓會議室40804-8樓普通客房2505009-10樓總統(tǒng)套房10020011-17樓高檔客房280560前臺、財務(wù)、行政0120共計7201600根據(jù)表3，需要分配的IP地址有大約2300個因此設(shè)計了如表3-3所示的IP地址劃分：表3-3服務(wù)網(wǎng)IP地址劃分服務(wù)網(wǎng)VlanIP地址子網(wǎng)掩碼網(wǎng)關(guān)DNS2樓會議室Vlan11-55143樓餐廳Vlan12-55144樓客房Vlan13-55145樓客房Vlan14-5514………………17樓客房Vlan26-5514無線網(wǎng)絡(luò)ACVlan1000014無線網(wǎng)絡(luò)一樓Vlan101-5514無線網(wǎng)絡(luò)二樓Vlan102-5514………………無線網(wǎng)絡(luò)十七樓Vlan117-5514點餐系統(tǒng)Vlan27143.3.3公網(wǎng)IP地址工作網(wǎng)和服務(wù)網(wǎng)使用的都是私網(wǎng)地址，訪問外網(wǎng)使用網(wǎng)絡(luò)端口地址轉(zhuǎn)換技術(shù)。公網(wǎng)采取中國電信的FTTB+LAN，具體如下：1、FTTB+LAN采用數(shù)字寬帶技術(shù)，使光纖接入酒店客房。基本做到1000m到核心、100m到桌面。顧客僅需一塊網(wǎng)卡即可輕松快速的上網(wǎng)。2、酒店帶寬需求量高，因此向電信購買如表3-4地址段。表3-4公網(wǎng)IP地址公網(wǎng)地址池-3.4網(wǎng)絡(luò)拓撲結(jié)構(gòu)酒店網(wǎng)絡(luò)使用三層拓撲結(jié)構(gòu)，即核心層，匯聚層和接入層，總體網(wǎng)絡(luò)設(shè)計及設(shè)備命名如圖3-1：圖3-1網(wǎng)絡(luò)拓撲圖3.4.1接入層網(wǎng)絡(luò)設(shè)計1、VLAN劃分VLAN即虛擬局域網(wǎng)。根據(jù)各部門工作性質(zhì)的不同，將酒店的工作網(wǎng)絡(luò)劃分為不同的VLAN。酒店客房網(wǎng)絡(luò)按樓層劃分為不同的VLAN。即使在同一VLAN之間，也可以使用端口隔離技術(shù)，這樣使用具有以下3個特點：（1）防范廣播風(fēng)暴，不在同一VLAN內(nèi)，不會收到其他VLAN發(fā)送的廣播。（2）提高網(wǎng)絡(luò)安全性，在接入層交換機中，不同的VLAN無法通訊，必須通過匯聚層交換機進行通信，既提高了網(wǎng)絡(luò)安全性，又降低了酒店客戶信息泄露的可能性。（3）靈活性，VLAN可以將酒店的不同部門，網(wǎng)絡(luò)和客戶結(jié)合起來，組成一個既方便又靈活的小區(qū)域網(wǎng)絡(luò)。工作網(wǎng)，服務(wù)網(wǎng)及網(wǎng)絡(luò)設(shè)備的VLAN劃分情況如表3-5：表3-5vlan劃分部門或設(shè)備VLAN部門或設(shè)備VLAN部門或設(shè)備VLAN前臺2會議室11無線網(wǎng)絡(luò)99-117財務(wù)3餐廳12管理地址701行政4客房13-26出口vlan700監(jiān)控5點餐系統(tǒng)272、端口與地址綁定端口和地址綁定技術(shù)是將主機綁定到交換機的端口。如果主機更改了交換機端口，則無法正常連網(wǎng)。端口和地址綁定技術(shù)實現(xiàn)酒店工作網(wǎng)安全性和易管理性，如果財務(wù)室有人用別的終端插入財務(wù)的網(wǎng)絡(luò)將無法上網(wǎng)。端口與地址綁定技術(shù)用在酒店接入層交換機JR-LSW1對接到主機的ACCESS口上，將主機的MAC地址，IP地址和VLAN進行綁定。3.4.2匯聚層網(wǎng)絡(luò)設(shè)計1、DHCP服務(wù)器搭建DHCP動態(tài)主機配置協(xié)議，自動將IP地址分配給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)提供商。酒店服務(wù)網(wǎng)接入點較多，為了使用戶可以隨時上網(wǎng)，所以要搭建DHCP服務(wù)器。在匯聚層交換機HJ-LSW上搭建DHCP服務(wù)器，可以將IP地址發(fā)送到接入層交換機。地址池如表3-6：表3-6DHCP地址池VLANIP地址池網(wǎng)關(guān)Vlan11-55Vlan12-55Vlan13-55Vlan14-55………………Vlan26-55VLAN101-55VLAN102-55………………VLAN117-552、MSTP多生成樹協(xié)議MSTP是以STP為基礎(chǔ)開發(fā)的，作用是消除局域網(wǎng)中的環(huán)路。MSTP通過阻塞掉網(wǎng)絡(luò)中的多余的鏈路，將整個網(wǎng)絡(luò)修剪成沒有環(huán)路的樹狀網(wǎng)絡(luò)，阻止了信息的無限循環(huán)。酒店網(wǎng)絡(luò)核心層設(shè)備(HX-LSW1、HXLSW2)和匯聚層設(shè)備（HJ-LSW）存在環(huán)路采用MSTP可以避免由環(huán)路造成的廣播風(fēng)暴等問題。3.4.3核心層網(wǎng)絡(luò)設(shè)計1、OSPF路由協(xié)議OSPF是一種鏈路狀態(tài)路由協(xié)議，它屬于內(nèi)部網(wǎng)關(guān)協(xié)議。酒店網(wǎng)絡(luò)核心層有一臺防火墻和一臺出口路由器，在這里分配一個區(qū)域Area0，WLAN網(wǎng)絡(luò)需要配置路由協(xié)議，在這里分配一個區(qū)域Area1。端口IP地址及Area分布如圖3-2：圖3-2OSPF區(qū)域分布2、網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換，即把多個私網(wǎng)地址轉(zhuǎn)化成一個或幾個公網(wǎng)地址。由于酒店網(wǎng)絡(luò)擁有大量的終端，需要大量的IP地址。所以在酒店網(wǎng)絡(luò)設(shè)計的時候采用地址轉(zhuǎn)換技術(shù)，將酒店的私網(wǎng)的地址轉(zhuǎn)化為公網(wǎng)的地址，來接入互聯(lián)網(wǎng)。核心層路由器支持NAT技術(shù)，因此在AR的端口GE0/0/0做出口NAPT，內(nèi)部地址為工作網(wǎng)和服務(wù)網(wǎng)的網(wǎng)絡(luò)地址，外部地址是從電信購買的地址，具體如表3-7：表3-7NAT地址池地址IP內(nèi)部地址：/外部地址：-3、鏈路聚合鏈路聚合是將兩條或多條數(shù)據(jù)鏈路組合為一條具有更高帶寬的邏輯鏈路。酒店網(wǎng)絡(luò)核心層交換機HX-LSW1、HX-LSW2及HJ-LSW采用鏈路聚合提高帶寬，幾條線路分別為Eth-trunk（0-2）。鏈路聚合設(shè)計如圖3-3：圖3-3鏈路聚合4、VRRP及VRRP負載均衡VRRP為網(wǎng)絡(luò)設(shè)備提供備份。原理是根據(jù)優(yōu)先級從備份組中選擇一個設(shè)備作為主設(shè)備，用來轉(zhuǎn)發(fā)網(wǎng)絡(luò)設(shè)備之間的流量。當(dāng)這臺設(shè)備故障后，VRRP會重新選擇一個新的主設(shè)備，以保證網(wǎng)絡(luò)設(shè)備之間流量不會中斷轉(zhuǎn)發(fā)。VRRP設(shè)計如圖3-4：圖3-4VRRP設(shè)計3.5無線局域網(wǎng)設(shè)計無線局域網(wǎng)是一種使用射頻和電磁波的技術(shù)。取代了原來的有線網(wǎng)絡(luò)。它使用無線進行通信，能夠非常方便的接入。如今，人人都有一部手機，酒店顧客來到酒店需要隨時隨地上網(wǎng)，三層組網(wǎng)AP上線可以滿足顧客的上網(wǎng)需求。三層網(wǎng)絡(luò)接入點設(shè)計為每層有兩個接入點，一個VLAN和一個網(wǎng)段。接入點可以連接到任何接入層交換機，只要配置了交換機的端口模式，AP便不會受到其他網(wǎng)絡(luò)的影響，這樣的設(shè)計一層樓可以提供253人同時在線，滿足酒店顧客的需求。酒店一共有17層樓則有34個AP，一個AC可以管理所有AP，匯聚層交換機（HJ-LSW）通過DHCP下發(fā)IP地址，總體WLAN設(shè)計如圖3-5：圖3-5WLAN分布圖3.6服務(wù)器設(shè)計1、WWW服務(wù)器，方便游客網(wǎng)上參觀和網(wǎng)上訂房，方便酒店內(nèi)顧客了解酒店的活動，酒店有自己的網(wǎng)站，因此WWW服務(wù)器不可缺少。服務(wù)器位于防火墻的dmz區(qū)域內(nèi)，在防火墻里配置untrust可以訪問dmz區(qū)域，并設(shè)置靜態(tài)NAT，可以給服務(wù)器一個外網(wǎng)地址供外部游客訪問，WWW服務(wù)器外網(wǎng)地址為。2、FTP服務(wù)器，酒店有多個部門，行政需要隨時給前臺或財務(wù)下發(fā)文件，一個FTP服務(wù)器能夠滿足這樣的要求。FTP服務(wù)器在防火墻（FW）的Trust區(qū)域內(nèi)，并設(shè)置ACL，可以供工作網(wǎng)所有主機訪問，而外網(wǎng)主機及服務(wù)網(wǎng)主機無法訪問，ftp服務(wù)器使用私網(wǎng)地址。3、DNS服務(wù)器，酒店內(nèi)部有一整套的網(wǎng)絡(luò)與互聯(lián)網(wǎng)單向隔離，DNS服務(wù)器能夠帶來很多方便之處。DNS服務(wù)器放在防火墻(FW)的Trust區(qū)域內(nèi)，與所有私網(wǎng)地址互通，與外部隔離，DNS服務(wù)器使用地址14。4、點餐系統(tǒng)，酒店有各種各樣的顧客，點餐系統(tǒng)可以給顧客帶來很多便利，顧客只要連接到了酒店的網(wǎng)絡(luò)，即可隨時點餐，餐廳可以馬上收到顧客的需求。點餐系統(tǒng)連接在核心層交換機上，屬于一個獨立的VLAN，與所有私網(wǎng)地址互通，與外部隔離，屬于VLAN27的餐廳可以隨時收到顧客的點餐信號完成點餐，點餐系統(tǒng)使用私網(wǎng)地址。3.7遠程管理設(shè)計1、Telnet是遠程登錄的主要方法。它可以使用戶在本地計算機上就能完成遠程主機的工作。使用戶計算機上的Telnet程序連接到遠程設(shè)備，和直接在交換機路由器的控制臺上輸入一樣。華為交換機支持Telnet不支持ssh，所以交換機登陸交換機只能配置Telnet。2、SSH遠程管理和維護。SSH以加密的方式傳輸信息，它能夠有效防止傳輸信息過程中的泄漏。Telnet以純文本發(fā)送所有數(shù)據(jù)包括用戶輸入的密碼，所以SSH比Telnet更安全。3、管理VLAN及Loopback，Telnet及SSH均需要一個地址來登陸，因此這里添加了管理VLAN和Loopback，交換機路由器全部加入一個VLAN701，配置相應(yīng)的VLANIF的IP地址，路由器加入一個Loopback0并配置IP地址，就是登陸的IP地址了，IP地址分配如表3-8：表3-8管理IP地址設(shè)備名IP地址設(shè)備名IP地址R1HJ-LSWFWACHX-LSW1JR-LSW1HX-LSW2JR-LSW20JR-LSW4JR-LSW31根據(jù)酒店IP地址的設(shè)計，任何地點，只要在任何一臺網(wǎng)絡(luò)設(shè)備上便能管理與維護其他任何設(shè)備?？梢约皶r排除設(shè)備錯誤，方便設(shè)備的管理。3.8安全設(shè)計酒店網(wǎng)絡(luò)的安全威脅主要來源于互聯(lián)網(wǎng)，主要的威脅是計算機病毒和黑客的攻擊。工作網(wǎng)接入層端口綁定技術(shù)能夠有效地抵御ARP攻擊。3.8.1訪問控制列表設(shè)計ACL是保證網(wǎng)絡(luò)安全的一項關(guān)鍵技術(shù)，它使用軟件控制設(shè)備之間的通信，限制網(wǎng)絡(luò)中的流量。酒店網(wǎng)絡(luò)配置ACL如下：1、配置財務(wù)不能訪問外網(wǎng)，在出口路由器(AR1)的端口G0/0/1上配置ACL不允許財務(wù)網(wǎng)段進入。2、配置工作網(wǎng)與服務(wù)網(wǎng)不能互通，在接入交換機（JR-LSW1）的端口E0/0/1上配置ACL不允許服務(wù)網(wǎng)網(wǎng)段進入。3、配置NAT需要訪問控制列表，在出口路由器（AR1）的端口G0/0/0上配置ACL允許所有內(nèi)網(wǎng)網(wǎng)段通過。3.8.2防火墻設(shè)計防火墻是介于外網(wǎng)與酒店內(nèi)網(wǎng)之間的一種安全系統(tǒng)。需要配置防火墻來限制外網(wǎng)對內(nèi)網(wǎng)的訪問，而外網(wǎng)可以訪問WWW服務(wù)器。防火墻區(qū)域設(shè)計如圖3-6:圖3-6防火墻區(qū)域圖

4設(shè)備選型近幾年來，華為的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備不斷更新和完善。華為的產(chǎn)品有著良好的信譽，售后服務(wù)到位，價格友好。為了達到穩(wěn)定可靠的目的，酒店網(wǎng)絡(luò)設(shè)備全部采用華為，本次設(shè)計選擇交換機和路由器型號和價格如表4-1：表4-1設(shè)備選型設(shè)備名產(chǎn)品型號單價/元匯聚層交換機HX-LSW1、HX-LSW2、HJ-LSWS5700-28C-HI19900防火墻FWUSG550037000路由器AR1AR22208700接入層交換機JR-LSWS3700-26C-HI16000服務(wù)器FusionServerRH2288HV2-811500無線控制器ACAC6605-2623000無線接入點APAP6050DN3900

5實施方案與測試5.1VLAN搭建接入層交換機的全部接入端口模式為Access，交換機之間端口模式為Trunk。每個部門、每層樓客房和WLAN擁有不同的VLAN，前臺為例，前臺屬于VLAN2，在JR-LSW1配置VLAN相關(guān)命令：interfaceEthernet0/0/3portlink-typeaccessportdefaultvlan2JR-LSW1和HJ-LSW連接的接口命令：interfaceEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan2to5701在接入層交換機（JR-LSW1）使用命令displayvlan如圖5-1：圖5-1displayvlan要求服務(wù)網(wǎng)絡(luò)三層互通及工作網(wǎng)三層部分互通，在HJ-LSW1配置互通命令，部分結(jié)果如圖5-2：interfaceVlanif2ipaddressinterfaceVlanif4ipaddress圖5-2三層互通行政（vlan4）ping前臺(vlan2）5.2動態(tài)路由協(xié)議上層核心交換機、防火墻及出口路由器之間采用OSPF，F(xiàn)W配置命令如下：ospf1area（區(qū)域0）networknetworknetworkHX-LSW1配置命令如下：ospf1area（區(qū)域1）networknetworknetwork在防火墻上displayiprouting-table如圖5-3：圖5-3displayiprouting-table5.3無線AP搭建酒店網(wǎng)絡(luò)要求無線網(wǎng)絡(luò)全覆蓋。傻瓜式路由器可以自動獲取到IP地址便能自動發(fā)布WLAN，但是不利于管理及維護。這里利用三層組網(wǎng)AC控制AP實現(xiàn)WLAN，其中AC部分命令如下：interfaceWlan-Ess0porthybridpvidvlan101（出口加vlan101的標(biāo)簽）porthybriduntaggedvlan101to102（vlan101、102解標(biāo)簽）wlanwlanacsourceinterfacevlanif100（WLAN源為vlan100）ap-regionid101apid0type-id19mac00e0-fcD4-0E10sn210235448310AF1EC310（配置AP預(yù)認證列表，使特定AP上線）wmm-profilenamewmmid0（配置WMM，默認配置）traffic-profilenametraid0（配置流量模板，默認配置）security-profilenamesecid0（配置安全模板，開放認證）service-setnameregion101id0（配置服務(wù)集region101）forward-modetunnelwlan-ess0ssidhotel1（SSID）traffic-profileid0（配置模板）security-profileid0（配置模板）service-vlan101（業(yè)務(wù)VLAN）radio-profilename2g11nid0(配置2.4G射頻模板bgn配置11N)radio-type80211bgnwmm-profileid0ap0radio1（配置AP0的射頻）radio-profileid1channel40MHz-minus153service-setid0wlan1AP的IP地址通過三層核心交換機通過DHCP下發(fā)，HX-LSW1部分與AP相關(guān)的命令如下：interfaceVlanif99（配置AC列表）ipaddressdhcpselectinterfacedhcpserveroption43sub-option3ascii00interfaceVlanif101（配置VLAN101的DHCP地址池）ipaddressdhcpselectinterfacedhcpserverdns-list14interfaceVlanif100（配置交換機與AC之間的連通）ipaddressospf1router-id（配置相關(guān)路由協(xié)議）areanetworkareanetworknetworknetwork接入層交換機JR-LSW4端口e0/0/2命令：interfaceEthernet0/0/2portlink-typeaccessportdefaultvlan99配置號AC后啟動相應(yīng)的AP，成功后AP將自動發(fā)射WIFI信號，酒店一棟樓AP全覆蓋，因此AP并沒有設(shè)置密碼，用戶連接WIFI上網(wǎng)具體如下：圖5-4配置好AC后AP發(fā)出WIFI信號圖5-5用戶收到WIFI信號圖5-6用戶采用DHCP自動分配IP地址終端用戶連接WIFI信號后可以自動獲取到IP地址，如圖5-7：圖5-7用戶自動獲取IP5.4DHCP服務(wù)器搭建服務(wù)網(wǎng)均采用自動獲取IP地址，以vlan13和vlan26為例，定義地址池vlanif13及vlanif26在HX-LSW2配置命令如下：dhcpenable（啟用DHCP服務(wù)）interfaceVlanif13ipaddressdhcpselectinterfacedhcpserverdns-list14interfaceVlanif26ipaddressdhcpselectinterfacedhcpserverdns-list14接入層交換機JR-LSW2端口e0/0/5的主機獲取到vlan13的IP地址：interfaceEthernet0/0/5portlink-typeaccessportdefaultvlan13服務(wù)網(wǎng)上任意一臺主機查看自動獲取的IP地址，如圖5-8圖5-8服務(wù)網(wǎng)主機從沒有IP地址到獲取到IP地址5.5網(wǎng)絡(luò)地址轉(zhuǎn)換酒店所有私網(wǎng)地址想要訪問外網(wǎng)，NAPT技術(shù)必不可少，NAPT配置在核心出口路由器上，R1配置命令如下：aclnumber2000（定義訪問控制列表）rule5permitsource55nataddress-group054（定義NAT地址池0）interfaceGigabitEthernet0/0/0（定義NAT出口規(guī)則）ipaddressnatoutbound2000address-group0配置了之后再加上出口到Internet的靜態(tài)路由，內(nèi)網(wǎng)任意一臺主機ping外網(wǎng)主機，抓包結(jié)果及路由器上的NAT表如下：圖5-9私網(wǎng)地址Ping外網(wǎng)主機圖5-10Wireshark抓包效果圖5-11disnatsessionall5.6MSTP與VRRPMSTP和VRRP結(jié)合使用可以實現(xiàn)負載分擔(dān)和冗余備份。1、vlanif2及vlanif12在HX-LSW2下vrrp部分命令如下：interfaceVlanif2（配置vlanif2在HX-LSW2為backup）ipaddress52vrrpvrid1virtual-ip54vrrpvrid1priority90interfaceVlanif12（配置vlanif12在HX-LSW2為master）ipaddressvrrpvrid6virtual-ipvrrpvrid6priority120dhcpselectinterfacedhcpserverdns-list14在HX-LSW1下vrrp部分命令如下：interfaceVlanif2（配置vlanif2在HX-LSW1為master）ipaddress51vrrpvrid1virtual-ip54vrrpvrid1priority120interfaceVlanif12（配置vlanif12在HX-LSW1為backup）ipaddressvrrpvrid6virtual-ipvrrpvrid6priority90dhcpselectinterfacedhcpserverdns-list14圖5-12HX-LSW2disvrrp圖5-13HX-LSW1disvrrp2、HX-LSW1的MSTP命令及STP概要如下：stpenable(啟動STP)stpmodemstp（STP模式為MSTP）stpinstance1rootprimary（列子1為主根）stpinstance2rootsecondary（列子2位從根）stpregion-configurationregion-namelhxinstance1vlan2to5（列子1為vlan2到5）instance2vlan11to13（列子2為vlan11到13）activeregion-configuration圖5-14disstpbrief5.7端口與地址綁定以前臺和財務(wù)為例，如圖5-15圖5-15端口綁定JR-LSW1配置命令如下：user-bindstaticmac-address5489-986C-637Fip-addressvlan2user-bindstaticmac-address5489-986C-637FinterfaceE0/0/2vlan2user-bindstaticmac-address5489-983C-744Cip-addressvlan3user-bindstaticmac-address5489-983C-744CinterfaceE0/0/2vlan3前臺的主機本來可以正常上網(wǎng)，可能由于不正當(dāng)操作將網(wǎng)口插進不同的主機上與端口綁定的主機MAC地址改變，將會導(dǎo)致無法上網(wǎng)，如下：圖5-16前臺主機Ping網(wǎng)關(guān)圖5-17地址改變前圖5-18地址改變后5.8遠程管理與維護1、為交換機配置SSH，以核心交換機2為例，HX-LSW2的SHH配置命令如下：rsalocal-key-paircreate（生成本地RSA主機密鑰）stelnetserverenablesshauthentication-typedefaultpasswordaaalocal-userlhxpasswordsimplelhx(設(shè)置SSH用戶名密碼)local-userlhxprivilegelevel3（設(shè)置SSH登陸權(quán)限）local-userlhxservice-typessh（設(shè)置服務(wù)類型為SSH）user-interfacevty04authentication-modeaaaprotocolinboundssh配置了SSH后，在設(shè)備互通的前提下，交換機之間不支持SSH登陸，所以使用SecureCRT軟件進行登陸，在SecureCRT上輸入交換機HX-LSW2的IP地址，采用協(xié)議SSH2，輸入用戶名及密碼登陸：圖5-19配置CRT登陸圖5-20輸入SSH用戶名密碼圖5-21SSH遠程登陸成功2、telnet遠程管理與維護，telnet支持交換機與交換機之間互相登陸，因此配置telnet更加方便，核心交換機HX-LSW2的telnet配置命令如下：aaalocal-userlhxtelpasswordsimplelhx（設(shè)置telnet用戶名密碼）local-userlhxtelprivilegelevel3（設(shè)置telnet權(quán)限）local-userlhxtelservice-typetelnet（設(shè)置服務(wù)類型為telnet）user-interfacevty04authentication-modeaaaprotocolinboundtelnet配置了telnet之后，在設(shè)備互通的前提下，任意一臺設(shè)備（HX-LSW1）可以登陸至任意另一臺設(shè)備，效果如圖5-22：圖5-22telnet遠程登陸5.9鏈路聚合核心層設(shè)備HX-LSW1、HX-LSW2和匯聚層設(shè)備HJ-LSW使用鏈路聚合提高帶寬，分別在HX-LSW1接口G0/0/2、G0/0/3、G0/0/4、G0/0/5上實施，HX-LSW1配置命令及結(jié)果如下：interfaceEth-Trunk0（定義Eth-Trunk0）portlink-typetrunkporttrunkallow-passvlan2to4094interfaceGigabitEthernet0/0/2(將端口G0/0/2加入Eth-Trunk0)eth-trunk0interfaceGigabitEthernet0/0/3(將端口G0/0/3加入Eth-Trunk0)eth-trunk0interfaceEth-Trunk1（定義Eth-Trunk1）portlink-typetrunkporttrunkallow-passvlan2to4094interfaceGigabitEthernet0/0/4(將端口G0/0/4加入Eth-Trunk1)eth-trunk1interfaceGigabitEthernet0/0/5(將端口G0/0/5加入Eth-Trunk1)eth-trunk1圖5-23distrunkmembershipeth-trunk15.10DNS服務(wù)器搭建外網(wǎng)有一臺IP地址為0的服務(wù)器，如圖5-24：圖5-24服務(wù)器內(nèi)部DNS服務(wù)器的地址為14，如圖5-25：圖5-25DNS服務(wù)器配置HX-LSW1配置命令如下：dnsresolvednsserver14在保證了主機的DNS服務(wù)器地址為14的情況下Ping，域名將得到解析如圖5-26：圖5-26ping:5.11IPSECVPN搭建酒店總店私網(wǎng)地址，公網(wǎng)地址，酒店分店私網(wǎng)地址，公網(wǎng)地址，R2配置命令如下：acl