酒店計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)解決方案

酒店計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)解決方案

1.1.前言

根據(jù)XXX酒店的網(wǎng)絡(luò)的需求，木著“可靠性、實(shí)用性、安全性、先進(jìn)性、開(kāi)

放性”的設(shè)計(jì)原則，以系統(tǒng)生命周期長(zhǎng)、管理維護(hù)方便和保護(hù)投資為主要技術(shù)特

色，以適應(yīng)XXX酒店當(dāng)前應(yīng)用和后續(xù)發(fā)展的需要目的。

1.2.需求分析

L2.1.概述

需求分析是所有工程生命周期的第一個(gè)階段并貫穿于工程的整個(gè)生命周期。

任何一個(gè)工程，實(shí)際都要經(jīng)歷需求分析、系統(tǒng)設(shè)計(jì)、建造實(shí)施、質(zhì)量完善四個(gè)階

段。需求分析的目的是確定工程系統(tǒng)的目標(biāo)。促使目標(biāo)系統(tǒng)最大地滿(mǎn)足用戶(hù)需求。

完整、準(zhǔn)確、有效的需求分析結(jié)果是工程設(shè)計(jì)成功的基本依據(jù)之一。正確、有效

XXX酒店項(xiàng)目中

基礎(chǔ)建筑狀況如下

主樓層：8層；附樓地下一層，地上二層，主機(jī)房設(shè)在附樓二層網(wǎng)絡(luò)機(jī)房，

總建筑面積約為66平方米。

綜合布線系統(tǒng)采用星型拓?fù)浣Y(jié)構(gòu)為主，水平布線采用超6類(lèi)電纜，網(wǎng)絡(luò)分層

采用二層結(jié)構(gòu)，接入交換機(jī)必須提供可支持上聯(lián)的千兆端口，以提供可擴(kuò)展性,

并保證100M到用戶(hù)桌面，經(jīng)匯聚后以千兆帶寬通過(guò)多模光纖上聯(lián)大樓主干網(wǎng)絡(luò)。

本布線系統(tǒng)約需數(shù)據(jù)信息點(diǎn)430個(gè)，語(yǔ)音信息點(diǎn)508。信息點(diǎn)的分布及接入層交

換機(jī)情況如下表所示：

配線間樓層數(shù)據(jù)語(yǔ)音24口交換機(jī)48口交換機(jī)

IDF1附樓二層8313611

1DF2主樓一層19321

IDF3主樓二層15211

IDF4主樓三層42441

TDF5主樓四層54551

1DF6主樓五層54551

IDF7主樓六層55561

1DI-8主樓七層55561

IDF9主樓八層洲531

總計(jì)43050831

1.2.2.應(yīng)用需求

XXX酒店網(wǎng)絡(luò)中，絕大多數(shù)為客戶(hù)終端機(jī)，同時(shí)有少量主要針對(duì)樓內(nèi)的網(wǎng)絡(luò)

資源服務(wù)，例如FTP、BBS、視頻廣播等。網(wǎng)絡(luò)應(yīng)用的主要類(lèi)型有：WWW瀏覽、FTP

文件傳輸、收發(fā)電子郵件、在線視頻轉(zhuǎn)播和收看、多媒體課件、電子商務(wù)客戶(hù)端、

文件共享等。

1.2.3.帶寬需求

下面為當(dāng)前一些應(yīng)用對(duì)帶寬的需求：

>電話(huà),傳真，電子郵件,基本公眾信息服務(wù)64K

>高質(zhì)量可視電話(huà)，視頻會(huì)議,數(shù)字音

頻384K

>文件傳輸,W州應(yīng)用，圖象傳輸，電子購(gòu)物1M

>MPEG"VCD視頻點(diǎn)播，交互式電視,廣播電

視1.2M-1.5M

>MPEG2/DVD視頻點(diǎn)播.高清晰度電

視3M-4M

>3D應(yīng)用，VRML虛擬現(xiàn)實(shí)，實(shí)時(shí)多媒體4M

XXX酒店網(wǎng)絡(luò)的用戶(hù)，可以根據(jù)用戶(hù)類(lèi)型分為普通終端用戶(hù)和服務(wù)用戶(hù)兩類(lèi)。

普通終端用戶(hù)的網(wǎng)絡(luò)應(yīng)用又分為實(shí)時(shí)和非實(shí)時(shí)兩種。實(shí)時(shí)網(wǎng)絡(luò)應(yīng)用中對(duì)傳輸帶寬

需求最大的是實(shí)時(shí)視頻傳輸。目前高質(zhì)量視頻流傳輸?shù)膸捫枨鬄?Mb/s,而

對(duì)于低質(zhì)量的實(shí)時(shí)視頻傳輸，325Kb/s的就可以達(dá)到實(shí)用的要求。對(duì)于非實(shí)時(shí)網(wǎng)

絡(luò)應(yīng)用，尤其是文件傳輸類(lèi)的應(yīng)用，帶寬越大越好。而在1Mb/s帶寬下所有非

實(shí)時(shí)網(wǎng)絡(luò)應(yīng)用均可順利進(jìn)行。然而在網(wǎng)絡(luò)的實(shí)際應(yīng)用中，用戶(hù)實(shí)際使用的帶寬取

決于起點(diǎn)對(duì)終點(diǎn)傳輸路徑中所有連路的最小帶寬處所能分得的帶寬和服務(wù)器的

吞吐量，絕大多數(shù)在100?500Kb/s之間。所以，普通終端用戶(hù)的基本流量為每

人1—2Mb/so

對(duì)于服務(wù)用戶(hù)其所需帶寬越大越好，但此時(shí)的瓶頸往往是服務(wù)器的其它硬件

處理能力，如CPU、內(nèi)存、硬盤(pán)、數(shù)據(jù)庫(kù)訪問(wèn)速度等，根據(jù)統(tǒng)計(jì)，通常為每臺(tái)采

用千兆網(wǎng)卡的服務(wù)器平均網(wǎng)絡(luò)流量為200-300Mb/s左右。

通過(guò)采用組播技術(shù)，也可以大幅度減少多媒體應(yīng)用對(duì)網(wǎng)絡(luò)帶寬的占用。

1.2.4.管理需求分析

■實(shí)用的網(wǎng)絡(luò)管理

一個(gè)好的網(wǎng)絡(luò)管理體統(tǒng)可以讓網(wǎng)絡(luò)人員更加經(jīng)濟(jì)高效地管理網(wǎng)絡(luò)，優(yōu)化網(wǎng)絡(luò)

資源，降低網(wǎng)絡(luò)運(yùn)行維護(hù)成本。所以網(wǎng)絡(luò)管理系統(tǒng)必須具有如下的功能：

拓?fù)涔芾?/p>

＞能夠?qū)蝹€(gè)或多個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)拓?fù)洹?/p>

＞能夠自動(dòng)發(fā)現(xiàn)管轄區(qū)域內(nèi)網(wǎng)上的IP資源，并自動(dòng)以不同的圖標(biāo)表示不

同的設(shè)備，也可以規(guī)定搜索的地址范I韋I。

＞系統(tǒng)可根據(jù)發(fā)現(xiàn)的數(shù)據(jù)自動(dòng)生成整個(gè)網(wǎng)絡(luò)的拓?fù)鋱D，即可在圖形用戶(hù)界

面上再現(xiàn)直觀的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的顯示方式可以按照用戶(hù)

的愛(ài)好自行拖曳編排，從而以最方便直觀的方式展示網(wǎng)絡(luò)結(jié)構(gòu)。

配置管理

＞故障報(bào)警設(shè)備等級(jí)：設(shè)備優(yōu)先級(jí)、故障級(jí)別

輪詢(xún)方式：周期、超時(shí)、重試

故障定義：設(shè)備故障、應(yīng)用故障、服務(wù)故障、自定義故障干預(yù)報(bào)警

干預(yù)報(bào)警是指系統(tǒng)顯示管理人員正在處理設(shè)備故隙設(shè)備上會(huì)顯示

黃燈以便告訴其它管理人員，故障正在處理中

＞設(shè)備故障情況

顯示指定網(wǎng)絡(luò)設(shè)備發(fā)生故障的情況，包括該設(shè)備的名稱(chēng)、地址、故

障信息以及發(fā)生故障的時(shí)間

＞歷史報(bào)警查詢(xún)統(tǒng)計(jì)

對(duì)收到的各種報(bào)警信息入庫(kù)處理，通過(guò)對(duì)數(shù)據(jù)庫(kù)的統(tǒng)計(jì)報(bào)表查詢(xún)可

以分析網(wǎng)絡(luò)的故障原因以及統(tǒng)計(jì)網(wǎng)絡(luò)設(shè)各出現(xiàn)故障的頻度

＞重要設(shè)備監(jiān)控

管理員可以根據(jù)設(shè)備的重要程度將被管設(shè)備分為不同的組，每個(gè)

管理員只需看見(jiàn)他所關(guān)心的設(shè)備，其它拓?fù)鋱D上的設(shè)備對(duì)他就不太重

要。每當(dāng)設(shè)備出現(xiàn)故障，就能清楚的發(fā)現(xiàn)是哪臺(tái)設(shè)備發(fā)生的，并能查

看詳細(xì)故障信息。

性能管理

能夠通過(guò)設(shè)備運(yùn)行情況收集和實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)沒(méi)備的性能指標(biāo)實(shí)現(xiàn)網(wǎng)絡(luò)性能

管理，包括網(wǎng)絡(luò)流量、設(shè)備吞吐情況，設(shè)備IP包差錯(cuò)情況，子網(wǎng)或網(wǎng)段丟包情

況等，可以實(shí)時(shí)報(bào)警，并以數(shù)據(jù)表和實(shí)時(shí)圖形曲線方式顯示出來(lái)，并且可以拓展

性能管理的種類(lèi)

安全管理

網(wǎng)絡(luò)管理系統(tǒng)能夠提供嚴(yán)格的等級(jí)和權(quán)限管理，每個(gè)管理員只能在其等級(jí)和

權(quán)限范圍內(nèi)操作可分為：用戶(hù)等級(jí)、功能權(quán)限、管理權(quán)限。

統(tǒng)計(jì)報(bào)表

歷史數(shù)據(jù)的統(tǒng)計(jì)分析對(duì)于分析網(wǎng)絡(luò)性能，尋找網(wǎng)絡(luò)隱患有十分重要的作用。

網(wǎng)管系統(tǒng)產(chǎn)生的大量信息，由于可以存儲(chǔ)在關(guān)系型數(shù)據(jù)庫(kù)中，所以查詢(xún)、制作報(bào)

表十分簡(jiǎn)單，更提供專(zhuān)業(yè)的Report工具，該工具與網(wǎng)管系統(tǒng)緊密集成，可以將

存儲(chǔ)的歷史數(shù)據(jù)以多種圖形或數(shù)字的形式展現(xiàn)出來(lái)，或以ASCII的格式輸出。

■精確統(tǒng)?的用戶(hù)管理

精確性：什么時(shí)間什么地點(diǎn)什么人在訪問(wèn)什么資源。

統(tǒng)一性：在有線和無(wú)線接入上，接入層有統(tǒng)一的數(shù)據(jù)庫(kù)，方便全網(wǎng)漫游。

當(dāng)然，認(rèn)證是精確統(tǒng)一的用戶(hù)管理的前提和基礎(chǔ)。

為了對(duì)接入網(wǎng)絡(luò)用戶(hù)的有效管理和監(jiān)控，必須在用戶(hù)接入網(wǎng)絡(luò)是使用身份認(rèn)

證技術(shù)。目前，業(yè)界存在的身份認(rèn)證技術(shù)比較多，例如：基于PPP0E的RADIUS

認(rèn)訐、基干LDAP認(rèn)訐技術(shù)、基于DHCP認(rèn)訐技術(shù)、基于WEB認(rèn)訐技術(shù)、TEEE802.lx

認(rèn)證協(xié)議等等。

下面著重介紹IEEE802.lx認(rèn)證協(xié)議

802.lx的核心是可擴(kuò)展認(rèn)證協(xié)議(ExtensibleAuthorization

Protocol,EAP),是思科、微軟和其它組織一起向IEEE802.lx委員會(huì)提交的一

種IEEE標(biāo)準(zhǔn)，使得無(wú)線網(wǎng)卡制造商和RADIUS服務(wù)器廠商可以獨(dú)立地開(kāi)發(fā)出可互

操作的客戶(hù)端和服務(wù)器端軟件。

在802.1x出現(xiàn)之前,企業(yè)網(wǎng)上有線LAN應(yīng)用都沒(méi)有直接控制到端口的方法。

也不需要控制到端口。但是隨著無(wú)線LAN的應(yīng)用以及LAN接入在電信網(wǎng)上大規(guī)模

開(kāi)展，有必要對(duì)端口加以控制，以實(shí)現(xiàn)用戶(hù)級(jí)的接入控制。802.lx就是IEEE為

了解決基于端口的接入控制(Port-BasedAccessControl)而定義的一個(gè)標(biāo)準(zhǔn)。

802.lx并不只是為了無(wú)線LAN,而是計(jì)劃成為L(zhǎng)AN端口的一個(gè)普遍的接入控

制機(jī)制。它的驗(yàn)證機(jī)制是基于RADIUS中擴(kuò)展的驗(yàn)證協(xié)議(Extensible

AuthenticationProtocol,EAP)°RADIUS是一個(gè)提供驗(yàn)證服務(wù)的IETF標(biāo)準(zhǔn)的

方法。EAP是使客戶(hù)機(jī)與驗(yàn)證服務(wù)器協(xié)商驗(yàn)證的協(xié)議。例如，客戶(hù)機(jī)可以檢查服

務(wù)器是否能夠使用某種類(lèi)型的智能卡，以及不能使用時(shí)，是否同意使用競(jìng)爭(zhēng)握手

確認(rèn)協(xié)議(ChallengeHandshakeAuthenticationProtocol,CHAP)等。

802.IX標(biāo)準(zhǔn)充分利用了現(xiàn)有的驗(yàn)證協(xié)議,即可擴(kuò)展驗(yàn)證協(xié)議(EAPERFC

2284])°802.IX標(biāo)準(zhǔn)可以利用為PPP編寫(xiě)的可擴(kuò)展驗(yàn)證協(xié)議，并將其與物理介

質(zhì)聯(lián)系起來(lái)，如以太網(wǎng)、令牌網(wǎng)或無(wú)線局域網(wǎng)?？蓴U(kuò)展驗(yàn)證協(xié)議信息被包含在

802.IX信息中，并被稱(chēng)為EAP0L,即EAPoverLAN。

802.IX無(wú)線局域網(wǎng)驗(yàn)證技術(shù)擁有三個(gè)主要的組件：包括三部分：Supplicant

System,客戶(hù)端(PC/網(wǎng)絡(luò)設(shè)備)；AuthenticatorSystem,認(rèn)證系統(tǒng)；

AuthenticationSeverSystem,認(rèn)證服務(wù)器。(通常是一個(gè)遠(yuǎn)程驗(yàn)證撥號(hào)接入用

戶(hù)服務(wù)器，不過(guò)802.IX并未對(duì)此做出具體要求)。

目前802.IX認(rèn)證技術(shù)已經(jīng)發(fā)展到可以基于邏輯端口的身份認(rèn)證，即基于主

機(jī)MAC地址的認(rèn)證。

為了做到對(duì)接入用戶(hù)的精確管理，可以在上述身份認(rèn)證技術(shù)所需的客戶(hù)端軟

件上實(shí)現(xiàn)多重綁定功能，即可以把IP地址、MAC地址、交換機(jī)端口號(hào)、VLANTD

等等元素根據(jù)需要靈活捆綁在一起，這樣，實(shí)現(xiàn)對(duì)用戶(hù)的精確定位就非常方便了。

下表是幾種常用認(rèn)證方式的比較:

認(rèn)證方式WEBBAS^E/PPPOE802.lx1

標(biāo)準(zhǔn)程度非標(biāo)準(zhǔn)RFC2516IEEESO2.1X

封裝開(kāi)銷(xiāo)小大小

對(duì)網(wǎng)絡(luò)拓?fù)涞挠绊戄^小大無(wú)影響

多播支持好差好

IP地址認(rèn)證前分配認(rèn)證后分配認(rèn)證后分配

設(shè)備成本較高（全程Vian）高(BRAS)較低

基于上述比較，可以得出結(jié)論：在對(duì)用戶(hù)進(jìn)行身份認(rèn)證時(shí)推薦采用

IEEE802.IX認(rèn)證協(xié)議。

■靈活的計(jì)費(fèi)管理

通常，計(jì)費(fèi)系統(tǒng)包括計(jì)費(fèi)字系統(tǒng)和帳務(wù)處理子系統(tǒng)。

計(jì)費(fèi)子系統(tǒng)

計(jì)費(fèi)子系統(tǒng)讀取Radius服務(wù)器生成的用戶(hù)訪問(wèn)記錄，對(duì)其進(jìn)行處理，產(chǎn)生

原始的用戶(hù)計(jì)費(fèi)信息，提供給帳務(wù)系統(tǒng)做帳務(wù)處理和用戶(hù)查詢(xún)使用。此信息是反

映用戶(hù)使用網(wǎng)絡(luò)情況的最基本的資料，通過(guò)進(jìn)一步的分析統(tǒng)計(jì)可以全面了解整個(gè)

撥號(hào)網(wǎng)絡(luò)的使用情況，為管理和決策提供幫助。

帳務(wù)處理子系統(tǒng)

帳務(wù)處理子系統(tǒng)根據(jù)預(yù)先設(shè)定進(jìn)行帳務(wù)計(jì)算。根據(jù)每個(gè)用戶(hù)選擇的資費(fèi)計(jì)算

方式和網(wǎng)絡(luò)的使用情況計(jì)算出相應(yīng)的網(wǎng)絡(luò)訪問(wèn)費(fèi)用。并且提供出帳、核帳、銷(xiāo)帳

的功能。系統(tǒng)通常都有專(zhuān)門(mén)的資費(fèi)管理功能，支持多種資費(fèi)計(jì)算方式，包括按實(shí)

際使用時(shí)間（以分鐘為單位）固定費(fèi)率的計(jì)費(fèi)方式，和定額限時(shí)的包月制方式,

即使用時(shí)間在限定時(shí)間以?xún)?nèi)的，只收取固定的費(fèi)用，若超過(guò)了限定的時(shí)間，則要

按較高的費(fèi)率收取費(fèi)用。對(duì)于包月制可以設(shè)定幾個(gè)檔次供用戶(hù)選擇，如10,20,

50,100小時(shí)等。

另外系統(tǒng)有些計(jì)費(fèi)系統(tǒng)還支持時(shí)段優(yōu)惠的的計(jì)費(fèi)方式，優(yōu)惠時(shí)段和折扣率時(shí)

可調(diào)的。

自指定付費(fèi)方式

計(jì)費(fèi)方式有很多種：包月制、按時(shí)K計(jì)費(fèi)、按流量計(jì)費(fèi)等等。酒店可以根據(jù)

實(shí)際情況選擇不同的計(jì)費(fèi)方式。

優(yōu)惠計(jì)費(fèi)策略

為了實(shí)現(xiàn)優(yōu)惠計(jì)費(fèi)策略，可以在計(jì)費(fèi)后臺(tái)數(shù)據(jù)庫(kù)平臺(tái)實(shí)行相應(yīng)的設(shè)置來(lái)達(dá)到

目的。

自服務(wù)系統(tǒng)的靈活性

自服務(wù)系統(tǒng)的個(gè)性化應(yīng)用可以實(shí)現(xiàn)：用戶(hù)自充值，用戶(hù)費(fèi)用查詢(xún)，在線修改

密碼。

1.2.5.安全需求分析

安全問(wèn)題從來(lái)就不是單一的問(wèn)題，它涉及到許多方方面面。首先，在絕大多

數(shù)信息系統(tǒng)環(huán)境中，風(fēng)險(xiǎn)點(diǎn)或威脅點(diǎn)不是單一-的。這些風(fēng)險(xiǎn)點(diǎn)包括物理安全、邏

輯安全和安全管理三個(gè)層面。物理安全涉及到關(guān)鍵設(shè)施設(shè)備的安全和資產(chǎn)存放地

點(diǎn)的安全等內(nèi)容。邏據(jù)安全涉及到訪問(wèn)控制和數(shù)據(jù)完整性等方面。安全管理包括

人員安全管理政策、組織安全管理政策等方面。上述任何一個(gè)方面出問(wèn)題，都可

能引起安全事故。其次，安全問(wèn)題是動(dòng)態(tài)的。由于信息技術(shù)在不斷地變化，信息

技術(shù)安全問(wèn)題具有動(dòng)態(tài)性。今天的安全問(wèn)題到明天也許不再成為安全問(wèn)題，而今

天無(wú)關(guān)緊要的問(wèn)題，明天可能成為嚴(yán)重的安全威脅。這種動(dòng)態(tài)性導(dǎo)致不可能存在

一勞永逸的解次方案。第三點(diǎn)，安全不是僅僅由安全產(chǎn)品來(lái)解次的問(wèn)題。安全的

多面性使僅僅采用安全產(chǎn)品來(lái)防范難以奏效。例如不可能用一個(gè)防火墻將所有的

安全問(wèn)題擋在門(mén)外。如果使用一個(gè)未經(jīng)認(rèn)證的調(diào)制解調(diào)器把內(nèi)部網(wǎng)連接到外部網(wǎng),

就可以繞開(kāi)防火墻對(duì)系統(tǒng)安全構(gòu)成威脅。因此在實(shí)際的安全策略中，更有效的方

法是制定并嚴(yán)格實(shí)施酒店內(nèi)的安全政策，采用安全產(chǎn)品只不過(guò)是安全政策的一個(gè)

方面。最后要說(shuō)明的一點(diǎn)就是“沒(méi)有100%的安全性”。由于安全的多面性和動(dòng)

態(tài)性，難以找到一個(gè)方法對(duì)安全問(wèn)題實(shí)現(xiàn)百分之百的覆蓋。其次即使找到這樣的

方法，一般從資源和成本考慮也不易接受。業(yè)界普遍遵循的概念是所謂的“適度

安全準(zhǔn)則”，即根據(jù)具體情況提出適度的安全目標(biāo)加以實(shí)現(xiàn)。

綜上所述，系統(tǒng)安全問(wèn)題不是僅僅涉及安全技術(shù)、產(chǎn)品等方面的片面問(wèn)題，

而是涵蓋了技術(shù)、人員、管理等多方面的系統(tǒng)問(wèn)題，必須采取系統(tǒng)化的方法加以

解決。

在這里，我們從三個(gè)大的方向加以考慮：事前加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、事中快速

反應(yīng)機(jī)制、事后安全審計(jì)。

■事前加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

“防范于未然”，在安全事故發(fā)生以前就做到事先加強(qiáng)安全措施是非常有效

的。對(duì)一個(gè)網(wǎng)絡(luò)的整體而言，我們可以采取的安全保護(hù)措施有很多。

在網(wǎng)絡(luò)出口處或者在網(wǎng)絡(luò)的每個(gè)安全域的邊界我們都可以部署防火墻。防火

墻設(shè)備在網(wǎng)落中起著非常重要的作用，具有安全防范、訪問(wèn)控制和日志審計(jì)等功

能，是整個(gè)網(wǎng)絡(luò)的主要安全屏障。

除了防火墻外，入侵檢測(cè)IDS的部署也是必不可少的。入侵檢測(cè)系統(tǒng)是防火

墻的合理補(bǔ)充，它可擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)

攻識(shí)別和響應(yīng)），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，幫助管理員洞察網(wǎng)絡(luò)攻擊行

為。在網(wǎng)絡(luò)中合理地部署入侵檢測(cè)系統(tǒng)，就相當(dāng)于在各個(gè)交通十字路口安裝電子

監(jiān)視眼和攝像頭一樣，可以捕獲系統(tǒng)中各種違反正常安全策略的異常行為。針對(duì)

每個(gè)受保護(hù)的網(wǎng)絡(luò)的骨干子網(wǎng)，都應(yīng)部署入侵檢測(cè)系統(tǒng)和配置相應(yīng)的入侵檢測(cè)規(guī)

則。在網(wǎng)絡(luò)中心設(shè)置入侵檢測(cè)系統(tǒng)的管理中心，統(tǒng)一管理部署在各個(gè)骨干子網(wǎng)中

的入侵檢測(cè)系統(tǒng)代理，實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)的集中管理、分布放置。

對(duì)于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)設(shè)備路由器和交換機(jī)，在網(wǎng)絡(luò)中存在大量掃描流量

以及大量諸如DDOS攻擊、沖擊波攻擊等不安全因素下，如何來(lái)保證網(wǎng)絡(luò)設(shè)備本

身的安全即正常運(yùn)行？高效的ACL控制功能是設(shè)備本身應(yīng)該具備的。訪問(wèn)控制表

（ACL）策略是一種由PolicyDirector使用的方法，它向安全域中的資源提供

了細(xì)粒度保護(hù)，是一組規(guī)則或許可權(quán)，指定對(duì)受保護(hù)對(duì)象執(zhí)行操作所需的條件。

線速ACL特性涵蓋MAC層，IP層，應(yīng)用層，可以從多個(gè)層次根據(jù)用戶(hù)需求進(jìn)行

數(shù)據(jù)控制。用戶(hù)可以按照源MAC地址和目標(biāo)MAC地址、IP地址或TCP/U可端口

拒絕包，因而根據(jù)需要控制網(wǎng)絡(luò)的敏感部分。如果所有ACL查詢(xún)都在硬件上執(zhí)行，

那么，在網(wǎng)絡(luò)中實(shí)施基于ACP的安全性時(shí)，就不會(huì)降低傳送性能。

所以線速ACL技術(shù)，具備以下關(guān)鍵特性：

線速擴(kuò)展訪問(wèn)控制列表（ACL）一提供線速交換和路由功能的同時(shí)，線速控

制數(shù)據(jù)轉(zhuǎn)發(fā)和限制對(duì)系統(tǒng)管理界面的訪問(wèn)

功能豐富的ACL實(shí)現(xiàn)方案一基于源或目的MAC地址、以太網(wǎng)幀結(jié)構(gòu)、IP地

址、IP協(xié)議類(lèi)型、TCP或UDP端口、IP優(yōu)先級(jí)或ToS值對(duì)流量進(jìn)行識(shí)別。

選擇性ACL日志記錄一收集匹配拒絕或許可條件的數(shù)據(jù)包的統(tǒng)計(jì)數(shù)據(jù)。

安裝能夠預(yù)先發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患的評(píng)估系統(tǒng)也是非常重要的。安全評(píng)估系統(tǒng)

主要針對(duì)用戶(hù)系統(tǒng)內(nèi)部的各種安全漏洞實(shí)施漏洞內(nèi)描，借以檢查出系統(tǒng)中主機(jī)的

安全隱患，例如，各種常見(jiàn)服務(wù)端口的情況，各種常見(jiàn)服務(wù)的情況，和弱密碼的

探測(cè)等，并提供相應(yīng)的掃描結(jié)果報(bào)告，用戶(hù)可打印和統(tǒng)計(jì)有漏洞主機(jī)的掃描信息,

并查詢(xún)漏洞的詳細(xì)信息，使用戶(hù)全面了解系統(tǒng)的安全狀況，提早做好防范措施

為了更好地管理用戶(hù)，合理利用和優(yōu)化網(wǎng)絡(luò)資源，很有必要對(duì)有網(wǎng)絡(luò)需求的

用戶(hù)進(jìn)行身份認(rèn)證，包括有線接入用戶(hù)和無(wú)線移動(dòng)接入用戶(hù)。

同時(shí)，為了實(shí)時(shí)、準(zhǔn)確、快速的定位用戶(hù)位置，可以考慮采用多屬性綁定功

能加強(qiáng)對(duì)用戶(hù)的管理。

網(wǎng)絡(luò)安全體系牽涉網(wǎng)點(diǎn)眾多，網(wǎng)絡(luò)連接比較復(fù)雜。要保護(hù)這樣一個(gè)繁雜的網(wǎng)

絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證.安全系統(tǒng)要能夠提供統(tǒng)一的集中的

靈活的管理機(jī)制，一方面要能讓網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另

外一方面，要能讓網(wǎng)管人員靈活處理具體事務(wù)

■事中快速反應(yīng)機(jī)制

在新的安全形勢(shì)下的網(wǎng)絡(luò)建設(shè)，我們應(yīng)該考慮全防衛(wèi)的網(wǎng)絡(luò)安全是從網(wǎng)絡(luò)的

各個(gè)層面、各個(gè)產(chǎn)品類(lèi)型的角度考慮，是一個(gè)全面的安全體系架構(gòu)。同時(shí)，安全

網(wǎng)絡(luò)中的各個(gè)設(shè)備組成之間不是相互獨(dú)立的，而是互動(dòng)式的，通過(guò)全新的聯(lián)動(dòng)體

系，將網(wǎng)絡(luò)的各個(gè)組成部分安全、可靠的互動(dòng)起來(lái)，包括在事先部署的主動(dòng)防御

體系如防火墻、入侵檢測(cè)IDS、安全評(píng)估系統(tǒng)、病毒防護(hù)系統(tǒng)、郵件安全系統(tǒng)等，

從而為用戶(hù)提供一個(gè)完整的、互動(dòng)式的安全網(wǎng)絡(luò)架構(gòu)。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)一旦發(fā)現(xiàn)外部黑客對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)入侵、非法訪問(wèn)和

越權(quán)資源使用等事件，可立即通過(guò)協(xié)議聯(lián)動(dòng)到出口位置的防火墻系統(tǒng)或路由器系

統(tǒng)，自動(dòng)添加相應(yīng)策略，將入侵者IP地址進(jìn)行封禁指定時(shí)間，使外部入侵者無(wú)

法通過(guò)防火墻或路由器系統(tǒng)。

隱患掃描系統(tǒng)通過(guò)安全評(píng)估內(nèi)部網(wǎng)絡(luò)，一旦發(fā)現(xiàn)內(nèi)部有機(jī)器存在較嚴(yán)重的安

全隱患和漏洞；可立即通過(guò)P協(xié)議聯(lián)動(dòng)到出口位置的防火墻系統(tǒng)或路由器系統(tǒng);

防火墻系統(tǒng)或路由器系統(tǒng)根據(jù)聯(lián)動(dòng)信息自動(dòng)添加策略，禁止外部訪問(wèn)存在安全漏

洞的內(nèi)部機(jī)器，從而有效的保護(hù)內(nèi)部網(wǎng)絡(luò)。

訪客通過(guò)訪問(wèn)控制網(wǎng)關(guān)使用內(nèi)部網(wǎng)絡(luò)后（有線或無(wú)線連接），訪客可能對(duì)內(nèi)

部網(wǎng)絡(luò)進(jìn)行非法訪問(wèn)和網(wǎng)絡(luò)入侵；此時(shí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可檢測(cè)到本事件；入侵

檢測(cè)系統(tǒng)通過(guò)協(xié)議聯(lián)動(dòng)相應(yīng)的訪問(wèn)控制網(wǎng)關(guān)；訪問(wèn)控制網(wǎng)關(guān)通過(guò)ACL禁止正在進(jìn)

行入侵的訪客使用內(nèi)部網(wǎng)絡(luò)。

通過(guò)郵件安全系統(tǒng)可以為用戶(hù)解決郵件病毒和垃圾郵件的困擾，同時(shí)也可以

通過(guò)安全互動(dòng)體系更全面的防范郵件病毒和垃圾郵件。郵件安全系統(tǒng)一旦發(fā)現(xiàn)內(nèi)

部有用戶(hù)通過(guò)郵件方式傳播病毒或發(fā)送垃圾郵件［也可能是本機(jī)器已經(jīng)感染過(guò)病

毒，病毒本身通過(guò)郵件進(jìn)行自動(dòng)傳播）；可立即通過(guò)互動(dòng)協(xié)議聯(lián)動(dòng)到內(nèi)部相應(yīng)的

交換機(jī)或訪問(wèn)控制網(wǎng)關(guān)；交換機(jī)或訪問(wèn)控制網(wǎng)關(guān)根據(jù)聯(lián)動(dòng)信息通過(guò)ACL禁止本用

戶(hù)的郵件發(fā)送，從而有效的防范郵件病毒和垃圾郵件傳播。

如今的病毒大部分是通過(guò)網(wǎng)絡(luò)進(jìn)行自動(dòng)傳播，比如Nimda和RedCode病毒

等，一旦內(nèi)部有機(jī)器感染上病毒，本機(jī)器會(huì)大量通過(guò)網(wǎng)絡(luò)服務(wù)進(jìn)行病毒傳播，最

終使內(nèi)部網(wǎng)絡(luò)癱瘓，并導(dǎo)致內(nèi)部其他機(jī)器也感染上本病毒c

網(wǎng)絡(luò)防病毒系統(tǒng)可以解決病毒的傳播，同時(shí)也可以通過(guò)互動(dòng)體系更全面防范

病毒傳播。

防病毒系統(tǒng)一旦發(fā)現(xiàn)內(nèi)部有機(jī)器傳播病毒；可通過(guò)互動(dòng)體系聯(lián)動(dòng)給交換機(jī)、

防火墻、路由器和訪問(wèn)控制網(wǎng)關(guān)；交換機(jī)、防火墻、路由器和訪問(wèn)控制網(wǎng)關(guān)通過(guò)

ACL將正在傳播病毒的機(jī)器進(jìn)行有效隔離，使之不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)，從而更加有

效的避免了病毒的傳播。

■事后安全審計(jì)

安全審計(jì)系統(tǒng)必須實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)上和用戶(hù)系統(tǒng)中發(fā)生的各類(lèi)與安全有關(guān)的

事件，如網(wǎng)絡(luò)入侵、垃圾郵件、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用

等，將這些情況真實(shí)記錄，并能對(duì)于嚴(yán)重的違規(guī)行為進(jìn)行阻斷。安全審計(jì)系統(tǒng)所

做的記錄如同飛機(jī)上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時(shí)能夠提供寶貴的偵破和取

證輔助數(shù)據(jù)，并具有防銷(xiāo)毀和篡改的特性。

安全審計(jì)跟蹤機(jī)制的內(nèi)容是在安全審計(jì)跟蹤中記錄有關(guān)安全的信息，而安全

審計(jì)管理的內(nèi)容是分析和報(bào)告從安全審計(jì)跟蹤中得來(lái)的信息。安全審計(jì)跟蹤將考

慮要選擇記錄什么信息以及在什么條件下記錄信息。

收集審計(jì)跟蹤的信息，通過(guò)列舉被記錄的安全事件的類(lèi)別（例如對(duì)安全要求

的明顯違反或成功操作的完成），能適應(yīng)各種不同的需要。已知安全審計(jì)的存在

可對(duì)某些潛在的侵犯安全的攻擊源起到威攝作用。所以在網(wǎng)絡(luò)設(shè)計(jì)之初，選擇網(wǎng)

絡(luò)設(shè)備時(shí)就必須考慮這些設(shè)備是否具備安全日志分析、流量報(bào)表分析等功能。

1.2.6.兼容性需求

對(duì)于新建設(shè)的XXX酒店新網(wǎng)絡(luò)，所采用的各種設(shè)備之間必須具有良好的相容

性和互操作性。

1.3.網(wǎng)絡(luò)設(shè)計(jì)方案

1.3.1,網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)原則

層次化設(shè)計(jì)原則：將網(wǎng)絡(luò)系統(tǒng)劃分層次，分清各層主要功能，建立合理的網(wǎng)

絡(luò)結(jié)構(gòu)，是網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成功的關(guān)鍵。合理清晰的層次劃分和設(shè)計(jì)，可以保證網(wǎng)

絡(luò)系統(tǒng)的骨干穩(wěn)定可靠、接入安全、便于擴(kuò)充和管理、易于故障隔離和排除。

酒店內(nèi)部局域網(wǎng)外網(wǎng)INTERNET之間使用一臺(tái)防火墻隔離，主要是核心節(jié)點(diǎn)

通過(guò)防火墻與INTERNET互聯(lián)。

網(wǎng)絡(luò)的結(jié)構(gòu)和性能優(yōu)化：網(wǎng)絡(luò)結(jié)構(gòu)的IP優(yōu)化。網(wǎng)絡(luò)體系結(jié)構(gòu)以IP為設(shè)計(jì)基

礎(chǔ)，體現(xiàn)在網(wǎng)絡(luò)層的層次化體系結(jié)構(gòu)。

-IP路由協(xié)議的優(yōu)化；

一1P包轉(zhuǎn)發(fā)的優(yōu)化。提供高速路由查找和包轉(zhuǎn)發(fā)機(jī)制；

一帶寬優(yōu)化。在合理的QoS控制下，最大限度的利用光纖的帶寬；

選擇一個(gè)開(kāi)放性、標(biāo)準(zhǔn)化的網(wǎng)絡(luò)體系結(jié)構(gòu)，以支持各種異構(gòu)計(jì)算機(jī)網(wǎng)之間的

互連。

網(wǎng)絡(luò)體系結(jié)構(gòu)要求采用TCP/IP體系結(jié)構(gòu)。

考慮到技術(shù)發(fā)展的成熟度，以及網(wǎng)絡(luò)建設(shè)要有適度的超前性，因此網(wǎng)絡(luò)體系

需要支持IPv6,建設(shè)一個(gè)支持IPv4/IPv6的雙協(xié)議棧網(wǎng)絡(luò)

IP地址

根據(jù)酒店網(wǎng)的發(fā)展規(guī)模、網(wǎng)絡(luò)層次結(jié)構(gòu)、路由策略，申請(qǐng)適合的IP地址。

可以盡可能申請(qǐng)到IPv6地址。

管理

在CNSec密鑰和證書(shū)管理系統(tǒng)中，根據(jù)安全級(jí)別及職責(zé)將管理員劃分為三類(lèi):

?系統(tǒng)管理員

負(fù)責(zé)系統(tǒng)核心密鑰與證書(shū)管理中心的建立、管理。系統(tǒng)用戶(hù)在系統(tǒng)安裝時(shí)產(chǎn)

生，逋過(guò)系統(tǒng)用戶(hù)控制界面直接與密鑰與證書(shū)管埋中心連接，進(jìn)行操作，對(duì)整個(gè)

系統(tǒng)負(fù)責(zé)，但他沒(méi)有其他類(lèi)型管理員的一般操作權(quán)限。他的職責(zé)包括：

系統(tǒng)安裝及初始化

系統(tǒng)服務(wù)的啟動(dòng)和停止

系統(tǒng)數(shù)據(jù)庫(kù)備份

驗(yàn)證數(shù)據(jù)庫(kù)有效性和完整性。

系統(tǒng)數(shù)據(jù)庫(kù)恢復(fù)

恢復(fù)超級(jí)管理員

更改算法

把密鑰移植到硬件

系統(tǒng)配置管理（是否自動(dòng)啟動(dòng)服務(wù)、是否自動(dòng)備份數(shù)據(jù)庫(kù)等）

等等

1.3.2.XXX酒店網(wǎng)絡(luò)總體設(shè)計(jì)

我公司設(shè)計(jì)XXX酒店網(wǎng)絡(luò)系統(tǒng)，采取二層拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)。網(wǎng)絡(luò)層次結(jié)構(gòu)圖如

下:

根據(jù)各樓層信息點(diǎn)的分布情況，設(shè)計(jì)采用比威網(wǎng)絡(luò)推出的基于'業(yè)界成熟的高

性能ASIC交換技術(shù)的基礎(chǔ)上開(kāi)發(fā)出來(lái)的新一代，高密度，高性能，全千兆無(wú)阻

塞智能多層交換機(jī)BitStream75051臺(tái)，采用15臺(tái)具有先進(jìn)深度感知技術(shù)

（SFLOW技術(shù)），支持IPv6,自帶堆疊模塊，擁174個(gè)千兆口的24/48口接入交

換機(jī)BitStream3228TGS/BitStreani3252TGS。

由于每臺(tái)接入交換機(jī)BitStream3228TGS和BitStream3252TGS均自帶二個(gè)高

速堆疊模塊，均有二個(gè)SFP口和二個(gè)千兆電口，因此在組網(wǎng)上完全可以實(shí)現(xiàn)員活

搭配，混和堆疊。

以上設(shè)計(jì)采取冗余設(shè)計(jì)，根據(jù)用戶(hù)需求和綜合布線實(shí)際情況，可采用優(yōu)化設(shè)

計(jì)方案進(jìn)行調(diào)整，即根據(jù)樓層綜合布線的分配線間，將交換機(jī)采取混和堆疊的方

式，既節(jié)約布線的材料，便于布線管理，也便于交換機(jī)管理維護(hù)，也節(jié)約成本。

1.3.3.網(wǎng)絡(luò)核心層設(shè)計(jì)

＞網(wǎng)絡(luò)核心層設(shè)備要求

核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，骨干層設(shè)計(jì)任務(wù)的重點(diǎn)

通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上

實(shí)施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對(duì)核心層的網(wǎng)

絡(luò)設(shè)備的性能對(duì)于整個(gè)網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)是至關(guān)重要的。

＞網(wǎng)絡(luò)核心層設(shè)計(jì)說(shuō)明

高帶寬

核心支持萬(wàn)兆，以滿(mǎn)足大型網(wǎng)絡(luò)以及新應(yīng)用對(duì)帶寬的需求

高可靠性和冗余性：

1)核心設(shè)備具有高的可靠性和冗余性

2)核心層通過(guò)冗余協(xié)議提供鏈路冗余

密集用戶(hù)接入

接入交換機(jī)具有堆疊功能，可以滿(mǎn)足密集用戶(hù)的接入，并且提供高的性能:

ACL(L2-L4)＞堆疊、集群、PrivateVian、802.lx.Sflow、組播、豐富的Qos

控制功能、帶寬限制、廣播風(fēng)暴抑制等等。

＞核心層設(shè)備選型

比威網(wǎng)絡(luò)BitStream7505比威網(wǎng)絡(luò)推出的基于業(yè)界成熟的高性能ASTC交換

技術(shù)的基礎(chǔ)上開(kāi)發(fā)出來(lái)的新一代，高密度，高性能，全千兆無(wú)阻塞智能多層交換

機(jī)，作為千兆核心多層交換機(jī)，提供了多層交換能力和線速的路由轉(zhuǎn)發(fā)能力。它

除具有多層路由交換機(jī)的容量大、高速轉(zhuǎn)發(fā)性能優(yōu)點(diǎn)外，還進(jìn)一步將IP網(wǎng)絡(luò)安

全機(jī)制等策略融合到整個(gè)交換機(jī)系統(tǒng)中，設(shè)備具有了更多的智能安全特性，充分

滿(mǎn)足構(gòu)建電信級(jí)寬帶IP網(wǎng)絡(luò)的需求。

1.3.4.接入層設(shè)計(jì)

＞接入層設(shè)備結(jié)構(gòu)模型

網(wǎng)絡(luò)接入層的拓?fù)浣Y(jié)構(gòu)主要有星型和堆疊型。如下圖：

10臺(tái)24口10/100ML2交換機(jī)

240臺(tái)Host1個(gè)CIP地址

接入：星型

10臺(tái)24口10/100ML2交換機(jī)

通過(guò)堆布槎塊分為2組

240臺(tái)Host1個(gè)CLP地址

接入：堆疊

星型：要求連接數(shù)多，對(duì)L2交換機(jī)要求低（成本低），不易產(chǎn)生帶寬瓶

頸；

堆疊型：節(jié)省連接數(shù)，L2交換機(jī)成本高，上聯(lián)鏈路處易成為瓶頸.

根據(jù)區(qū)域分布以及信息點(diǎn)的情況，建議XXX酒店網(wǎng)絡(luò)接入層結(jié)構(gòu)采用星型，

輔以堆疊型。

＞網(wǎng)絡(luò)接入層設(shè)備要求

接入層作為酒店網(wǎng)管理的邊界，要求能夠很好地支持對(duì)用戶(hù)的接入管理和控

制。接入層設(shè)備即是提供接入服務(wù)，它將最終用戶(hù)連接到網(wǎng)絡(luò)上。接入層設(shè)備普

遍部署在樓宇設(shè)備間。由于接入層設(shè)備數(shù)量多，利用率高，因此要求接入設(shè)備具

有很高的穩(wěn)定性和可靠性。

>網(wǎng)絡(luò)接入層設(shè)計(jì)說(shuō)明

大樓內(nèi)信息點(diǎn)數(shù)較多，考慮采用24/48口可堆疊高性能二層交換機(jī)。優(yōu)先考

慮采用48口高性能二層交換機(jī)，如有不足24的尾數(shù)，采用24口高性能二層交

換機(jī)。

?為了充分充分利用匯聚交換機(jī)高交換性能、高千兆端口密度的優(yōu)勢(shì)，實(shí)

現(xiàn)真正意義上的高速交換平臺(tái)，在方案設(shè)計(jì)中，接入交換機(jī)盡量不堆疊,

直接通過(guò)千兆端口接入?yún)R聚交換機(jī)。

?在部分建筑，如果接入交換機(jī)到匯聚交換機(jī)的連接線路有限，可以根據(jù)

信息點(diǎn)分布情況，采用每2-4臺(tái)交換機(jī)堆疊在一起，以1GE上聯(lián)到匯聚

或者核心交換機(jī),考慮到上聯(lián)帶寬因素，穴建議多于4臺(tái)交換機(jī)的堆疊。

?采用以上方式，極限情況下，可以為每個(gè)桌面用戶(hù)提供5.2-20.8Mbps

帶寬，大于配線間匯聚上聯(lián)極限最小帶寬。考慮組播方式下的視頻應(yīng)用，

完全可以滿(mǎn)足帶寬需求。

?如需要增加接入交換機(jī)上聯(lián)帶寬，可采用千兆端口聚合技術(shù)，以?xún)蓚€(gè)以

上的千兆端口連接到匯聚交換機(jī)。

用戶(hù)接入

24/48口可堆疊高性能二層交換機(jī)可以通過(guò)大樓布設(shè)的超5類(lèi)雙絞線

10/100Mbps自適應(yīng)端口下聯(lián)到用戶(hù)的桌面?？梢酝ㄟ^(guò)端口或者ACL來(lái)控制用戶(hù)

的流量。

接入交換機(jī)選擇

接入交換機(jī)建議選擇比威新一代安全智能可堆疊支持千兆上聯(lián)的二層交換

機(jī)BitStream3228/3252TGS。在二層交換機(jī)上，提供豐富的安全和控制特性，確

保系統(tǒng)的可靠性。

1.3.5.網(wǎng)絡(luò)功能設(shè)計(jì)

>VLAN

VLAN技術(shù)可以方便地根據(jù)業(yè)務(wù)需要在同一臺(tái)交換機(jī)上劃分出多個(gè)邏輯的網(wǎng)

絡(luò)，有效地減少了廣播；同時(shí)可以實(shí)現(xiàn)在不同的物理位置設(shè)置為同一個(gè)VLAN廣

播域。由于不同VLAN之間不能直接互訪，必須通過(guò)路由設(shè)置進(jìn)行，所以又增加

了安全性。同時(shí)VLAN可以跨過(guò)不同的交換機(jī)設(shè)備,能夠在一點(diǎn)進(jìn)行集中的管理。

由于以上優(yōu)點(diǎn)，VLAN技術(shù)被廣泛地應(yīng)用在Intranet的建設(shè)中。

VLAN是建立在各種交換技術(shù)基礎(chǔ)之上的。所謂交換實(shí)質(zhì)上只是物理網(wǎng)絡(luò)上

的一個(gè)控制點(diǎn)，它由軟件進(jìn)行管理，所以允許用戶(hù)利用軟件功能靈活地配置資源,

管理網(wǎng)絡(luò)。利用交換設(shè)備中的VLAN功能，不必改變網(wǎng)絡(luò)的物理基礎(chǔ)，即可重新

配置網(wǎng)絡(luò)。采用VLAN功能，網(wǎng)絡(luò)性能可以獲得較大的改善：

1)VLAN技術(shù)能對(duì)工作組業(yè)務(wù)進(jìn)行過(guò)濾，有效地分割通信量，因而能更好

地利用帶寬，提高網(wǎng)絡(luò)總的吞吐量。

2)采用VLAN技術(shù)可以將不同樓層或不同房間的設(shè)備組成一個(gè)網(wǎng)段而不

用更改布線，因?yàn)閂LAN技術(shù)是從邏輻角度而非物理角度來(lái)劃分子網(wǎng)的，所以采

用VLAN技術(shù)能減輕系統(tǒng)的擴(kuò)容壓力，將遷移費(fèi)用降至最小。

3)采用VLAN技術(shù)能有效隔離網(wǎng)絡(luò)設(shè)備，增加網(wǎng)絡(luò)的安全性和保密性。虛

擬網(wǎng)絡(luò)的安全策略采用的主要協(xié)議為IEEE802.10,此協(xié)議結(jié)合有鑒別和加密技

術(shù)以確保整個(gè)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性和完整性。

4)VLAN技術(shù)能對(duì)屬于同一工作組的用戶(hù)提供廣播服務(wù)，但與傳統(tǒng)的局域

網(wǎng)協(xié)議所不同的是，虛擬局域網(wǎng)能限制廣播的區(qū)域，從而節(jié)省網(wǎng)絡(luò)帶寬。

5)VLAN可以建立在不同的物理網(wǎng)絡(luò)上，用封裝的辦法支法支持不同的網(wǎng)絡(luò)

協(xié)議絡(luò)協(xié)議，如SNMP、NMP、IPX、TCP/IP等,兼容性非常好。

6)VLAN中的主要應(yīng)用技術(shù)為“虛網(wǎng)中繼”，VLANTrunking特有技術(shù)的采

用也成成為了必然。簡(jiǎn)而言之，VLANTrunking主要是通過(guò)一條高速全雙工通道

(200/2000Mbps)來(lái)實(shí)現(xiàn)將一個(gè)LANSwitch端口所劃分的不同VLAN與其它LAN

Swilch中各自相應(yīng)的VLAN成員進(jìn)行線路復(fù)用連接的技術(shù)。VLANTrunking技術(shù)

的采用，既節(jié)省了信道數(shù)據(jù)量，乂提高了可靠性，并便于管理及方便連接，提高

了整個(gè)網(wǎng)絡(luò)吞吐量和性能指標(biāo)。

VLANTrunking技術(shù)

如果采用VLANtrunking的技術(shù)，則VI、1/2、V3均可通過(guò)一條全雙工的

100/1000Mbps,即200/2000Mbps的速率與上級(jí)LANSwitch進(jìn)行互通并經(jīng)過(guò)位于

樹(shù)根部的路由器進(jìn)行路由與其它的VLAN進(jìn)行通訊。VLANtrunking技術(shù)的優(yōu)點(diǎn)

在于采用一條高速通道連接，提高了通道的使用效率，如在V2,V3無(wú)數(shù)據(jù)量的

情況下，VI可以獨(dú)占此100/1000M帶寬；并且可以使得線路的連接變得簡(jiǎn)單，

從而大大提高可靠性和網(wǎng)絡(luò)易維護(hù)性。

把不同的部門(mén)網(wǎng)絡(luò)劃分到不同的VLAN中，有效的隔離了子網(wǎng)網(wǎng)絡(luò)間的廣播,

并且保證了網(wǎng)絡(luò)間的安全性。由于部門(mén)的地理位置可能跨越多個(gè)交換機(jī)，所以分

布在配線間的交換機(jī)與核心交換機(jī)之間通過(guò)VLANtrunking技術(shù)互連，既保證了

高速的帶寬又保證了VLAN之間的快速路由。

VLAN間的訪問(wèn)必須通過(guò)路由器或具有路由功能的設(shè)備，由于以前的交換設(shè)

備一般不提供路由功能（第三層功能），故必須有一臺(tái)路由設(shè)備與交換機(jī)相連，

來(lái)提供VLAN間的路由。其缺點(diǎn)是外接路由設(shè)備增加了投資和故障點(diǎn)，并且傳統(tǒng)

的路由設(shè)備采用軟件查詢(xún)路由表，其性能不如交換設(shè)備的第二層的幀轉(zhuǎn)發(fā)性能,

故限制了系統(tǒng)的整體性能。第三層交換技術(shù)正是在這樣的背景下出現(xiàn)的。概括來(lái)

說(shuō)，第三層交換技術(shù)應(yīng)具有傳統(tǒng)路由器的全部或部分功能，如支持IP/IPX路由，

支持RIP,OSPF,BGP等路由協(xié)議；同時(shí)采用新的路由、包轉(zhuǎn)發(fā)的算法和專(zhuān)用

芯片提高速度，使其達(dá)到交換機(jī)的性能。一般對(duì)IP包的轉(zhuǎn)發(fā)速度應(yīng)在每秒一百

萬(wàn)包以上。有了第三層交換技術(shù)，在網(wǎng)絡(luò)中，可以將二、三層網(wǎng)絡(luò)靈活地、統(tǒng)一

地整合在一起，滿(mǎn)足業(yè)務(wù)的不同要求。

>QoS(CoS)

■Qos簡(jiǎn)介

QoS(QualityofService,服務(wù)質(zhì)量)指的是報(bào)文傳送的吞吐量、時(shí)延、

時(shí)延抖動(dòng)、丟失率等性能。從TP網(wǎng)誕生開(kāi)始，QcS和安全性問(wèn)題就一直是IP網(wǎng)

的軟肋。

為了較好地解決IP網(wǎng)絡(luò)的QoS問(wèn)題，Internet工程任務(wù)組(IETF)專(zhuān)門(mén)成

立了綜合業(yè)務(wù)(IntegratedServices)工作組和差分業(yè)務(wù)(Differentiated

Services)工作組進(jìn)行研究。這兩個(gè)工作組分別提出了各自基于IP網(wǎng)絡(luò)的QoS

服務(wù)協(xié)議模型：綜合業(yè)務(wù)模型和差分業(yè)務(wù)模型。

綜合業(yè)務(wù)模型由于需要占用較多的網(wǎng)絡(luò)資源，在現(xiàn)實(shí)的網(wǎng)絡(luò)中幾乎不可能實(shí)

現(xiàn)。而差分業(yè)務(wù)模型是IETF差分業(yè)務(wù)工作組提出的一種更具擴(kuò)展性的實(shí)現(xiàn)IP

QoS的方法。該模型將重點(diǎn)放在集合的數(shù)據(jù)流以及適用于全網(wǎng)業(yè)務(wù)等級(jí)的一套

“單跳行為(PHB)”上。業(yè)務(wù)在進(jìn)入網(wǎng)絡(luò)時(shí)進(jìn)行分類(lèi)和調(diào)整，并被分配給不司的

行為集合，該行為集合由DS編碼來(lái)標(biāo)識(shí)。在網(wǎng)絡(luò)核心，報(bào)文是根據(jù)DS編碼所標(biāo)

識(shí)的PHB(per-hopbehavior)屬性來(lái)轉(zhuǎn)發(fā)的。目前,在現(xiàn)實(shí)網(wǎng)絡(luò)中,主要采用

差分業(yè)務(wù)模型。

■比威交換機(jī)對(duì)QoS的支持

比威交換機(jī)均提供了完善的QoS機(jī)制：

核心交換機(jī)支持的QoS特征：

>帶寬限制：能夠針對(duì)物理端口或者不同的用戶(hù)分配不同的帶寬，實(shí)現(xiàn)

對(duì)合理的分配網(wǎng)絡(luò)資源。

>IEEE802..1P優(yōu)先級(jí)：交換機(jī)支持基于優(yōu)先級(jí)的調(diào)動(dòng)算法，可以為不

同優(yōu)先級(jí)的用戶(hù)提供不同的服務(wù)等級(jí)，支持802.Ip的優(yōu)先級(jí)探測(cè)。

>VLANID

A802.lq標(biāo)記插入

>2層的端口、3層的1P的源地址和目的地址、4層的TCP/UDP端口

>DIffServ

>TOS/DSCP優(yōu)先級(jí)

>DSCP識(shí)別

二層接入交換機(jī)支持的QoS特征：

>帶寬限制：能夠針對(duì)物理端口或者不同的用戶(hù)分配不同的帶寬，實(shí)現(xiàn)

對(duì)合理的分配網(wǎng)絡(luò)資源。

>IEEE802.1F優(yōu)先級(jí)控制：交換機(jī)支持基于優(yōu)先級(jí)的調(diào)動(dòng)算法，可以為

不同優(yōu)先級(jí)的用戶(hù)提供不同的服務(wù)等級(jí)。

>支持1GMPvl/v2Snooping組播協(xié)議

>VLANID

>802.lq標(biāo)記插入

■QoS在酒店網(wǎng)中的應(yīng)用

基于視頻的應(yīng)用，包括酒店視頻點(diǎn)播系統(tǒng)、酒店會(huì)議直播系統(tǒng)、酒店課件、

遠(yuǎn)程教學(xué)等視頻應(yīng)用的保證

基于語(yǔ)音的應(yīng)用，包括校長(zhǎng)廣播系統(tǒng)、IP電話(huà)、數(shù)字公告系統(tǒng)等。

>流量和帶寬管理

■流量統(tǒng)計(jì)以及分析

流量模型是網(wǎng)絡(luò)性能分析和通信網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的基礎(chǔ)，精確的流量模型對(duì)

設(shè)計(jì)高性能網(wǎng)絡(luò)協(xié)議、高效網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)量預(yù)測(cè)與網(wǎng)絡(luò)規(guī)劃、高性能價(jià)

格比的網(wǎng)絡(luò)設(shè)備與服務(wù)器、精確的網(wǎng)絡(luò)性能分析與預(yù)測(cè)、擁塞管理與流量均衡、

出口管理都有重要意義。

目前多數(shù)酒店網(wǎng)絡(luò)使用雙出口，流量指標(biāo)影響著雙出口帶寬的選擇。對(duì)流

量進(jìn)行分析有利于網(wǎng)絡(luò)管理者按需建設(shè)帶寬，節(jié)約投資。流量情況也是網(wǎng)絡(luò)性

能的重要指標(biāo)，通過(guò)對(duì)流量的監(jiān)控和分析，有利于酒店對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行分析比

較，為未來(lái)的網(wǎng)絡(luò)建設(shè)提供基礎(chǔ)分析數(shù)據(jù)。流量情況還是網(wǎng)絡(luò)健康狀況的晴雨

表,分析流量狀況可以對(duì)網(wǎng)絡(luò)攻擊行為、病毒等網(wǎng)絡(luò)安全事件進(jìn)行預(yù)防和史理,

甚至可以防患于未然。

■BAMS

比威BAMS系統(tǒng)支持即時(shí)流量統(tǒng)計(jì)和分析，可以為酒店運(yùn)營(yíng)提供科學(xué)的分

析，為網(wǎng)絡(luò)的擴(kuò)容提供歷史統(tǒng)計(jì)數(shù)據(jù)。

＞帶寬管理

比威BAMS系統(tǒng)與接入層交換機(jī)結(jié)合，支持基于IP地址、端口、用戶(hù)的帶

寬管理，可以根據(jù)用戶(hù)的實(shí)際使用情況分配帶寬，如基于視頻的用戶(hù)可以分配

多點(diǎn)帶寬用于保證用戶(hù)的正常使用，對(duì)于僅僅使用數(shù)據(jù)傳輸?shù)挠脩?hù)分配較少帶

寬，以及對(duì)于關(guān)鍵應(yīng)用的使用用戶(hù)，能夠在網(wǎng)絡(luò)阻塞的情況下進(jìn)一步保證其帶

寬的使用。

并且在限制用戶(hù)的帶寬對(duì)用戶(hù)帶寬進(jìn)行管理的情況下，還能夠隔離用戶(hù)由

于病毒造成的網(wǎng)絡(luò)阻塞，盡量的保證網(wǎng)絡(luò)的正常使用，降低網(wǎng)絡(luò)阻塞的匚率。

＞可靠性設(shè)計(jì)

系統(tǒng)故障將會(huì)導(dǎo)致酒店網(wǎng)運(yùn)行的中斷，妨礙酒店正常教學(xué)等活動(dòng)的進(jìn)行。

這就要求系統(tǒng)具有高度的可靠性。提高系統(tǒng)可靠性的方法很多，主要有如下三

個(gè)方面：

。設(shè)備高可用性，匯聚L3交換機(jī)具有高可用性指標(biāo)

＜鏈路冗余，利用匯聚和核心之間的多條鏈路實(shí)現(xiàn)

＜協(xié)議可靠性，利用動(dòng)態(tài)路由協(xié)議的ECMP及VRRP特性

＞鏈路可靠性

關(guān)于鏈路可靠性我們做了如下設(shè)計(jì)

匯聚一核心交換機(jī)之間的多條鏈路

匯聚的L3交換機(jī)分別有2條GE鏈路上聯(lián)到核心交換機(jī)，當(dāng)一條鏈路發(fā)生

故障時(shí)，不會(huì)導(dǎo)致連接中斷。

接入交換機(jī)-匯聚交換機(jī)之間的連接

接入交換機(jī)具有多個(gè)千兆端口，根據(jù)需要，接入交換機(jī)和匯聚交換機(jī)之間

可以采用千兆端口聚合技術(shù)，通過(guò)將兩條物理鏈路整合成一條邏輯鏈路，實(shí)現(xiàn)

增大帶寬和鏈路冗余的功能。

■協(xié)議可靠性

酒店網(wǎng)絡(luò)的路由可靠性我們通過(guò)路由層的優(yōu)化和安全保護(hù)來(lái)實(shí)現(xiàn)。當(dāng)路由

層的網(wǎng)絡(luò)故障發(fā)生時(shí)，保證酒店網(wǎng)絡(luò)運(yùn)作不停頓。其主要組成技術(shù)為ECMP和

VRRPo

ECMP(EqualMulti-pathRouting)是一種三層協(xié)議，可用于不同的網(wǎng)絡(luò)

接口組合，包括：FE、GE、10GE和S0NET/SDH等。最多有16條路由表中的等

值路徑實(shí)現(xiàn)網(wǎng)絡(luò)通訊的負(fù)載均衡和冗余。當(dāng)其中一條路徑出現(xiàn)中斷時(shí)，系統(tǒng)自

動(dòng)分布負(fù)載到其他筆值路徑，不會(huì)影響用戶(hù)的網(wǎng)絡(luò)通訊。

在鏈路層進(jìn)行冗余配置之后，利用動(dòng)態(tài)路力協(xié)議0SPF,充分利用多鏈路

的條件，根據(jù)情況實(shí)行負(fù)載均衡或備份。0SPF協(xié)議能夠在鏈路發(fā)生故障后，

及時(shí)檢測(cè)到并進(jìn)行路由收斂，發(fā)現(xiàn)新的路徑，及時(shí)更新域間的路由表項(xiàng)，從而

確保全網(wǎng)互連的可靠性。

虛擬路由器冗余協(xié)議(VRRP)提供一種解決方案，能夠保證終端用戶(hù)與網(wǎng)

絡(luò)的聯(lián)系可靠、穩(wěn)定、不中斷。VRRP是一種容錯(cuò)協(xié)議，它保證當(dāng)主機(jī)的下一

跳路由器壞掉時(shí)，可以及時(shí)的由另一臺(tái)路由器來(lái)代替，從而保持通訊的連續(xù)性

和可靠性。為了使VRRP工作，要在路由器上配置虛擬路由器號(hào)和虛擬IP地址，

同時(shí)產(chǎn)生一個(gè)虛擬MAC地址，這樣在這個(gè)網(wǎng)絡(luò)中就加入了一個(gè)虛擬路由器。而

網(wǎng)絡(luò)上的主機(jī)與虛擬路由器通信，無(wú)需了解這個(gè)網(wǎng)絡(luò).上物理路由器的任何信息。

一個(gè)虛擬路由器由一個(gè)主路由器和若干個(gè)備份路由器組成，主路由器實(shí)現(xiàn)真正

的轉(zhuǎn)發(fā)功能。當(dāng)主路由器出現(xiàn)故障時(shí)，一個(gè)備份路由器將成為新的主路由器，

接替它的工作。

＞網(wǎng)絡(luò)安全性設(shè)計(jì)

■交換機(jī)設(shè)備配置

核心交換機(jī)安全考慮：

＞安全特征：路由協(xié)議認(rèn)證、SSHv2、TACACS+、RADIUS、MAC和IP

地址綁定、訪問(wèn)控制列表(ACLs)

＞抗拒絕服務(wù)：網(wǎng)絡(luò)入口過(guò)濾、單播反向路徑轉(zhuǎn)發(fā))、線速ACL、ACL

限速、IP廣播控制、ICMP控制、SYN攻擊保護(hù)和會(huì)話(huà)控制

核心交換機(jī)具有關(guān)鍵硬件冗余，同時(shí)具有豐富的安全特征和抗拒絕服務(wù)的

強(qiáng)大功能。

接入交換機(jī)安全考慮:

＞安全特征:支持端口安全、端口與MAC地址綁定、廣播風(fēng)暴控制、802.lx

和Radius等等

＞硬件支持ACL：通過(guò)ACL功能可以對(duì)不健康網(wǎng)站或者政治反動(dòng)網(wǎng)站以

及樓內(nèi)關(guān)鍵資源如財(cái)務(wù)系統(tǒng)信息等進(jìn)行過(guò)濾

■出口安全考慮

根據(jù)需要打開(kāi)從內(nèi)部到外部的常用的許可服務(wù)，對(duì)于從外網(wǎng)到內(nèi)網(wǎng)的訪問(wèn),

只開(kāi)放許可的服務(wù)，其他服務(wù)都禁止應(yīng)用。

充分應(yīng)用防火墻及核心交換機(jī)網(wǎng)絡(luò)入口過(guò)濾、單播反向路徑轉(zhuǎn)發(fā)、線速

ACL、ACL限速、IP廣播控制、ICMP控制、SYN攻擊保護(hù)和會(huì)話(huà)控制的安全

控制策略，進(jìn)行安全配置，保護(hù)內(nèi)部網(wǎng)，特別是關(guān)鍵服務(wù)的安全性。

■P2P阻斷或限制BT種子設(shè)計(jì)

比威BitStream3252/28TGS最新型先進(jìn)交換機(jī)可以支持粒度為1K的帶寬

控制（按照出、入方向分開(kāi)控制），我們完全可以在學(xué)樓內(nèi)部，對(duì)BT下載不作

限制，但是由丁BT大量做種子,影響了網(wǎng)絡(luò)帶寬,我們完全有理由限制BT種子，

做種上傳不行,可以設(shè)置上行貸款比如100K,手法正常郵件即可

■接入交換機(jī)先進(jìn)的安全性能應(yīng)用

比威BitStream3252/28TGS最新型先進(jìn)交換機(jī)支持基于用戶(hù)的接入控制

協(xié)議802.lx,提供比傳統(tǒng)接入控制方式更為有效的用戶(hù)端口控制能力，端口

MAC地址限定功能可以對(duì)端口接入的主機(jī)數(shù)目進(jìn)行控制。

配合比威網(wǎng)絡(luò)的客戶(hù)端軟件能夠?qū)τ脩?hù)的MAC、IP、帳號(hào)等信息進(jìn)行綁定，

精確的對(duì)用戶(hù)進(jìn)行定位。

SNMPv3、SSH等特性為用戶(hù)鑒權(quán)和數(shù)據(jù)加密提供了更高的安全性，實(shí)現(xiàn)

了安全的管理配置。

sFlow功能的支持，可以按比例抽樣指定端口的報(bào)文形成標(biāo)準(zhǔn)的sFkw格

式發(fā)送到流量分析服務(wù)器或策略管理中心，使用戶(hù)可以更精確監(jiān)控網(wǎng)絡(luò)、分析

網(wǎng)絡(luò)情況。

1.3.6.網(wǎng)絡(luò)設(shè)備選型

■BitStream7505介紹

A產(chǎn)品簡(jiǎn)介

比威網(wǎng)絡(luò)BitStream7505機(jī)箱式硬件三層交換機(jī)是針對(duì)大型網(wǎng)絡(luò)匯聚、中

小型網(wǎng)絡(luò)核心等情況推出的高性能的機(jī)箱式L2/L3/L4交換機(jī)。BitStream7505

采用全模塊化，具有高密度端口，可提供240G的交換容量，5個(gè)擴(kuò)展插槽，

可根據(jù)用戶(hù)的需求靈活配置，靈活構(gòu)建彈性可擴(kuò)展的網(wǎng)絡(luò)。BilStream7505交

換機(jī)產(chǎn)品提供強(qiáng)大的交換和路由功能，可與比威網(wǎng)絡(luò)各系列交換機(jī)配合，為用

戶(hù)提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干交換機(jī)的理想選擇。

＞適用范圍

中小型網(wǎng)絡(luò)的核心

大型網(wǎng)絡(luò)匯聚

高性能網(wǎng)絡(luò)交換環(huán)境

主要特點(diǎn)

＞高密度、接口類(lèi)型豐富的業(yè)務(wù)模塊

BitStrcam7505系列交換機(jī)提供高密度端口的接入能力,

整機(jī)最多支持120個(gè)SFP千兆端口、8個(gè)萬(wàn)兆端。

＞高交換容量，全線速交換性能

BitStream7505具有480G的背板帶寬，支持240G的交換容量，為所有的

端口提供非阻塞線速轉(zhuǎn)發(fā)性能。強(qiáng)大的處理能力是構(gòu)建可靠、穩(wěn)定、高速的

IP網(wǎng)絡(luò)平臺(tái)的重要保障。

BitStrean)7505交換機(jī)硬件支持多層線速交換，能夠識(shí)別、處理四層以上

的應(yīng)用業(yè)務(wù)流，所有端口都具有單獨(dú)的數(shù)據(jù)包過(guò)濾、區(qū)分不同應(yīng)用流，并根據(jù)

不同的流進(jìn)行不同的管理和控制o

BitStrcam7505硬件芯片支持IPv6協(xié)議，有利于將來(lái)進(jìn)行平滑的網(wǎng)絡(luò)升

級(jí)。

＞功能豐富的安全特性

1BitStrcani7505提供了完整的ACL支持，除通常的標(biāo)準(zhǔn)ACL以及擴(kuò)展ALC,

BitStream7505還提供基于時(shí)間的ACL,使得控制策略非常豐富和靈活。

＞高可靠性設(shè)計(jì)

BilSlream7505系列交換機(jī)支持冗余備份，支持STP/RSTP/MSTP、VRRP等

二、三層冗余協(xié)議，系統(tǒng)采用冗余電源模塊，從而保證核心設(shè)備的高可靠性;

主控板和'業(yè)務(wù)接口板等主要模塊全部支持熱插拔，保證主機(jī)更換板卡時(shí)業(yè)務(wù)不

會(huì)中斷。

＞產(chǎn)品規(guī)格

＜遵循IEEE802.3,IEEE802.3u,IEEE802.3z,IEEE802.3x,

IEEEE802.Id,IEEE802.w,IEEE802.Is,IEEE802.lq,IEEE802.Ip,

1EEE802.3ad等國(guó)際標(biāo)準(zhǔn)；

令4個(gè)業(yè)務(wù)插槽，1引擎插槽，可選多種接口標(biāo)準(zhǔn)模塊：

.引擎模塊附帶16個(gè)10附00/1000Base-T端口,8個(gè)SFP端口

?24口SFP模塊

。48口10/：00/1000Base-T模塊

。2口10GE萬(wàn)兆模塊

令千兆光端口：120個(gè)；萬(wàn)兆端口：8個(gè)；

＜背板帶寬：480G；

令交換容量：240G；

令三層轉(zhuǎn)發(fā)率：180Mpps；

令Mac地址表：64K；

令路由表：64K；

■BitStream3228/3252TGS

在接入層交換機(jī)選型上，本方案推薦使用網(wǎng)絡(luò)端口密集的比較高的可堆疊

BitStream3228/3252TGS交換機(jī)。

＞產(chǎn)品樣圖

............................................................................

..............................................................................................,,33

任玨H至g雛

BitStream3228TGS：24個(gè)百兆電口、2個(gè)千兆10/100/1OOOBase-TX端口、

2個(gè)千兆COMBO口(2個(gè)1000MTX&2個(gè)SFP)

BitStream3252TGS：48個(gè)百兆電口、2個(gè)千兆10/100/1000Base-TX端口、

2個(gè)千兆COMBO口(2個(gè)1000MTX&2個(gè)SFP)

＞產(chǎn)品簡(jiǎn)介

比威網(wǎng)絡(luò)推出的BitStream3228/52TGS是一款可堆疊的高性能工作組或者

邊緣交換機(jī)。本交換機(jī)能夠提供24/48個(gè)固定的10/100Base-TX接口，提供2

個(gè)千兆10/100/1OOOBase-T端口，以及2個(gè)Combo端口（2個(gè)10/100/1000Base-T

和2個(gè)SFP插槽），可選用單、多模千兆SFP模塊。BitStream3228/52TGS固定

端口可以自動(dòng)識(shí)別正反線，可堆疊、可網(wǎng)管，并且擁有完整的功能特性，以及增

強(qiáng)的認(rèn)證功能。與比威網(wǎng)絡(luò)公司其他產(chǎn)品組合，可以為用戶(hù)提供完整的網(wǎng)絡(luò)解決

方案。

》適用范圍

?企業(yè)和園區(qū)網(wǎng)絡(luò)的接入或匯聚

?用戶(hù)密集的網(wǎng)絡(luò)接入

?適用于對(duì)安全接入控制較為嚴(yán)格的酒店網(wǎng)

?要求對(duì)用戶(hù)接入帶寬進(jìn)行靈活分配的網(wǎng)絡(luò)環(huán)境

?方便、安全的網(wǎng)絡(luò)管理需求

＞主要特點(diǎn)

卓越的性能

?基于共享內(nèi)存體系結(jié)構(gòu)的交換設(shè)計(jì)，交換帶寬高達(dá)19.6/31.8Gbps,轉(zhuǎn)發(fā)

速率為每秒900多萬(wàn)個(gè)數(shù)據(jù)包，在所有端口上全線速運(yùn)行。

先進(jìn)的堆疊方式，良好的擴(kuò)展性

?環(huán)形的堆疊方式，使堆疊設(shè)備之間的堆疊帶寬增加一倍、數(shù)據(jù)分擔(dān)負(fù)載,

并且提高了堆疊設(shè)備的容錯(cuò)性，保證了網(wǎng)絡(luò)用戶(hù)的正常運(yùn)行。

?方便的堆疊管理，多臺(tái)設(shè)備堆疊后，配置管理使用等同于一臺(tái)機(jī)箱式結(jié)構(gòu)

交換機(jī)，大大簡(jiǎn)化了配置管理工作，方便了用戶(hù)。

?端口靈活，兩個(gè)內(nèi)置端口既可以用于堆疊使用，不使用堆疊功能時(shí)可當(dāng)作

普通千兆端口使用，增加了靈活性、降低了成本，方便了用戶(hù)。多達(dá)4臺(tái)

的堆疊數(shù)量，以及多千兆端口配置，使設(shè)各堆疊后百兆、千兆端口達(dá)到很

高的密度，可以媲美機(jī)箱式交換機(jī)，為用戶(hù)提供了良好的可擴(kuò)展性。

完整的QoS策略

?支持完整的L2/L3/L4層次的ACL管理控制，全部硬件實(shí)現(xiàn)，不影響數(shù)據(jù)

轉(zhuǎn)發(fā)速度。

?支持基于Mac、IP、業(yè)務(wù)等標(biāo)準(zhǔn)對(duì)數(shù)據(jù)流進(jìn)行分類(lèi)，并對(duì)各種數(shù)據(jù)流來(lái)進(jìn)

行不同的流量控制。

?支持基于端口的雙向速率限制。

?支持1EEE802.ip.CoS、Diffserv等優(yōu)先級(jí)分類(lèi)。

?支持FIFO、PQ、WRR等多種優(yōu)先級(jí)處理方式。

強(qiáng)大的安全接入特性

?支持基于用戶(hù)的接入控制協(xié)議802.lx,提供比傳統(tǒng)接入控制方式更為有

效的用戶(hù)端口控制能力，端口MAC地址限定功能可以對(duì)端口接入的主機(jī)數(shù)

目進(jìn)行控制。

?配合比威網(wǎng)絡(luò)的客戶(hù)端軟件能夠?qū)τ脩?hù)的HAC、II>、帳號(hào)等信息進(jìn)行綁定，

精確的對(duì)用戶(hù)進(jìn)行定位。

?SNMPv3.SSH等特性為用戶(hù)鑒權(quán)和數(shù)據(jù)加密提供了更高的安全性，實(shí)現(xiàn)

了安全的管理配置。

?sFlow功能的支持，可以按比例抽樣指定端口的報(bào)文形成標(biāo)準(zhǔn)的sFlc.w格

式發(fā)送到流量分析服務(wù)器或策略管理中心，使用戶(hù)可以更精確監(jiān)控網(wǎng)絡(luò)、

分析網(wǎng)絡(luò)情況。

IPv6支持

?支持IPv6地址配置、ND、ipv6應(yīng)用（ping/traceroute）、tcp、udp、

telnet/telnet（Kftp。

>產(chǎn)品規(guī)格

?遵循TEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.lq、

IEEE802.Ip.IEEE802.ld>IEEE802.lw、IEEE802.ls>IEEE802.lx等國(guó)際標(biāo)

準(zhǔn)；

?提供24個(gè)固定RJ-4510/1OOMUTP接口;

?提供2個(gè)Combo千兆端口（兩個(gè)10/100/1000M電口和2個(gè)SFP接口）；

?提供2個(gè)：0/100/1000的電口（兼做堆疊端口）；

?19.6G/3L8G無(wú)阻塞結(jié)構(gòu),9.1/13.IMpps包轉(zhuǎn)發(fā)率,線速轉(zhuǎn)發(fā);

動(dòng)態(tài)內(nèi)存分配，支持MAC地址的自學(xué)習(xí)和更新，可存儲(chǔ)8K條Mac地

址;

?存儲(chǔ)轉(zhuǎn)發(fā)模式(Storc-and-Forward)；

?支持9K巨幀轉(zhuǎn)發(fā)；

?可編程10/100Mbps自適應(yīng)端口，支持全雙工和半雙工；

?所有10/100M以太網(wǎng)電接口均自動(dòng)識(shí)別直連線和交叉線AutoMDI/X；

?支持TEEE802.3X全雙工流控和半雙二背壓流控；

■支持生成樹(shù)協(xié)議(IEEE802.Id)、(IEEE802.lw)、(IEEE802.Is)；

■具有擴(kuò)散控制(FloodControl)廣播風(fēng)暴控制；

■IEEE802.lqVLAN(4K)、GVRP；

?支持QoS、CoS,提供持EE802.lp四級(jí)優(yōu)先權(quán)隊(duì)列；

?支持TGMPSnooping；

?支持鏈路娶合(Trunking)技術(shù)，最多4組，每組8條鏈路；

?支持端口鏡像，任一端口經(jīng)設(shè)定監(jiān)控另一端口的運(yùn)行狀況；

?支持粒度為1K的帶寬控制(按照出、入方向分開(kāi)控制)；

?支持基于二/三/四層的訪問(wèn)控制列表ACL；

?支持PortSecurity端口安全;

?支持sFlow；

?支持IPv6；

?支持802二x認(rèn)證(基于Port、MAC)；

■支持RadiusClient；

?支持SSH/；

■支持CLI、Telnet管理方式;

?支持SNMPvl/v2u/v3；

?支持RMON(1,2,3,9)；

?支持SNTP；

?支持SYSLOG；

?支持堆疊功能，堆疊可達(dá)4臺(tái)，堆疊帶寬4G；

?支持TFTP方式升級(jí)，支持批量升級(jí)、配置更新；

?支持多系統(tǒng)文件、多配置文件；

?支持用戶(hù)分級(jí)管理；

?1U高度，：9”機(jī)架式；

A技術(shù)指標(biāo)

?Console端口：標(biāo)準(zhǔn)RS-232cDB9接口

?背板帶寬：19.6Gbps

?MAC地址表：8K

?端口指示燈：每個(gè)以太口提供一個(gè)雙色指示燈

綠色亮：端口與所連接的設(shè)備建立了穩(wěn)定的連接之后并工作在100M

狀態(tài)

橙色亮：端口與所連接的設(shè)備建立了穩(wěn)定的連接之后并工作在10M狀

態(tài)

閃爍：該端口正在進(jìn)行數(shù)據(jù)發(fā)送

暗：沒(méi)有連線或該端口連接不正常

?系統(tǒng)指示燈：

power燈：綠色

亮：此指不燈應(yīng)該長(zhǎng)亮

暗：沒(méi)有加電或電源系統(tǒng)工作不正常

Diag燈：綠色

閃爍：系統(tǒng)正常

長(zhǎng)暗/長(zhǎng)亮：系統(tǒng)異常

?外形尺寸：(HxWxD)=43x440x324mm(1.69xl7.32xl2.8

in.)

?重量：3.08kg

?工作溫度：0°C?50°C(32?122°F)

?儲(chǔ)藏溫度：-40?70°C(-40-158°E)

?相對(duì)濕度：10?90%,無(wú)霜

?電源：100?240VAC,47?63Hz

?最大電流:2.0A@240VAC

?功耗：60W(Max)

?