大型酒店网络工程方案.doc

《大型酒店网络工程方案.doc》由会员分享，可在线阅读，更多相关《大型酒店网络工程方案.doc（16页珍藏版）》请在咨信网上搜索。

本页为作品封面，下载后可以自由编辑删除，欢迎下载！！！ 精 品 文 档 1 【精品word文档、可以自由编辑！】 一、网络建设概述 随着我国互联网络的高速发展，互联网络对人们的影响，不仅体现在人们的工作与学习方面，而且越来越多地体现于人们生活的各个方面。互联网络将改变人类整个生活的理念已经深入人心 1、建设背景： 随着经济的蓬勃发展，为宾馆酒店业的发展提供了良好的机遇，丰厚的利润和巨大的市场也吸引了众多的竞争者，酒店行业靠什么赢得竞争优势？ 酒店在做好现有业务种类，不断提高服务水平的同时，如何把握客户的需求，用最经济的办法获得最大的客户满意度，提高企业自身的档次和知名度，同时拓展新的业务增长点，成为最根本的竞争所在，这使得酒店行业对信息化的需求非常迫切。有调查表明，酒店的信息服务水平在很大程度上影响着客人的入住愿望。无法提供高速互联网接入服务的酒店，对于客户来说，无疑是一场商业灾难。 1、网络拓扑图如下： 2、技术实施 2.1、IP地址分配 动态地址分配：在ER 5200上面开启DHCP分配功能。 如下图： 2.2、防止ARP地址欺骗 PC PC 接入交换机 Internet 发送免费ARP更新主机ARP表 免费ARP+授权ARP，解决所有ARP欺骗 PC PC ARP欺骗一：PC机假冒网关 ER5200通过定时发送免费ARP，更新网络主机上被攻击篡改了的网关MAC地址，保证主机与网关之间的通信。 DHCP服务器 DHCP请求 纪录MAC-IP关系 伪造ARP IP-MAC关系不对 ARP欺骗二：PC机假冒PC机 ER5200通过授权ARP，只容许静态ARP和DHCP分配的ARP表相中的IP地址通过，从而防止PC机IP与MAC的欺骗。 2.3、IDS防范 为了防止客房网攻击，通常会使用路由器+防火墙的组网。 ER5200上内置了防攻击的功能，可以省掉防火墙了 2.4、报文源认证 2.5、设置异常流量防护 网络中的主机会由于出现中毒或网卡异常等原因，向Internet 发送大量的异常报文，阻塞网络，大量消耗设备的资源。启用本功能后，设备会对各个主机的流量进行检查，发现有异常流量时会进行指定的处理，以保证设备受到此类异常流量攻击仍能正常工作 2.6、设置IP流量限制 某些应用（比如：P2P下载等）在给用户带来方便的同时，同时，也占用了大量的网络带宽。一个网络的总带宽是有限的，如果这些应用过度占用网络带宽，必将会影响其他用户正常使用网络。 为了保证局域网内所有用户都能正常使用网络资源，您可以通过IP流量限制功能对局域网内指定主机的流量进行限制。 2.7、设置网络连接限数 网内的主机遭受NAT攻击时，主机的网络连接数可能会超过几万个，从而会严重影响业务的正常运行或出现网络掉线现象。此时，您可对指定主机的最大网络连接数进行限制，保证网络资源的有效利用 四、组网设备介绍 1.路由器（H3C ER5200） 产品概述：ER5200是H3C公司推出的一款高性能千兆下行路由器，它主要定位于以太网/光纤/ADSL接入的SMB市场和政府、企业机构、网吧等网络环境，如需要高速Internet带宽的网吧、企业、学校和酒店等。 ER5200采用专业的64位双核网络处理器，主频高达500MHz，并且支持丰富的软件特性，如IP<->MAC地址绑定，ARP防攻击，流量限速，双WAN负载均衡，策略路由，源地址路由等功能。它是H3C ER系列路由器中的中高端产品，大型网吧用户和大型企业用户的理想选择。 图1 H3C ER5200企业级路由器 产品特点： 双WAN口负载均衡（仅ER3200、ER3260、ER5200支持） 负载均衡可以让用户根据线路实际带宽分配网络流量，达到充分利用带宽的目的。 策略路由 实现按照用户制定的策略选择路由，如出接口的选择等。 高性能防火墙 内置高性能防火墙，通过设置出站和入站通信策略来快速地实现访问控制， 防攻击 支持对来至因特网和内网的常见攻击进行防护。同时，内置内网异常流量防护模块，对局域网内各台主机的流量进行检查，并根据您所选择的防护等级（支持高、中、低三种）进行相应的处理，确保网络在遭受此类异常攻击时仍能正常工作。 ARP双重防护 通过静态ARP绑定功能，固化了网关的ARP表项；另外，对于DHCP分配的IP地址，则采用DHCP授权ARP技术，自动绑定分配的IP地址/MAC地址信息，从而可以有效地防止ARP欺骗引起的内网通讯中断问题；同时，提供毫秒级的免费ARP定时发送机制，可以有效地避免局域网内主机中毒后引发的ARP攻击。 VLAN 支持多局域网功能，您可以方便的划分局域网为多个网段，降低广播域和ARP病毒的影响。针对每个局域网可以配置单独的DHCP Server和防火墙规则。 业务控制 QQ/MSN等即时通讯软件的大量普及，可能会引起员工办公效率低下，无法集中精力。路由器独有的应用控制功能，可以方便地限制内网用户对QQ/MSN等应用的使用；同时还支持对大智慧/分析家/同花顺/广发至强/光大证券/国元证券等金融软件的应用控制功能。另外，您还可以通过对特权用户组的设置保证关键用户的使用不受影响。 IPSec VPN 通过VPN安全连接，最多支持10路IPSec连接到办公网络。 网络流量监控 提供流量实时监控和排序功能，同时提供多种安全日志，包括内/外网攻击实时日志、地址绑定日志、流量告警日志和会话日志，为网络管理员实时监控网络运行状态和安全状态提供了更快捷的窗口。 网络流量限速 通过基于IP的网络流量限速功能，可以有效地控制指定用户的上/下行流量，限制了P2P软件对网络带宽的过度占用。同时，提供弹性带宽功能，在网络空闲时可以智能地提升用户的限制带宽，既充分地提升了网络带宽的利用率，又保证了网络繁忙时带宽的可用性。 产品规格： 项目 描述 概述 固定端口 2个10/100Base-TX WAN端口 3个10/100/1000Base-T  LAN端口 1个Console接口 处理器(CPU) MIPS 64位500MHz 网络处理器 内存 DDR II 64MB FLASH 8MB 软件特性 工作模式 主备模式, 智能负载均衡 手动负载均衡(电信走电信，联通走联通) 路由转发模式 网络协议 PPPoE ，DHCP 客户端，DHCP服务器，NAPT，NTP DDNS(www.3322.org) 防火墙 出站通信策略(源接口/IP/MAC/用户/目的IP/协议/端口/时间段) 入站通信策略(源接口/IP/MAC/用户/目的IP/协议/端口/时间段)  网络安全 ARP防攻击/免费ARP，状态数据包检查，防止WAN口的Ping，防止TCP syn扫描，防止Stealth FIN扫描，防止TCP Xmas Tree扫描，防止TCP Null扫描，防止UDP扫描功能，防止Land 攻击功能，防止Smurf攻击功能，防止WinNuke攻击功能。防止Ping of Death攻击，防止SYN Flood攻击功能，防止UDP Flood攻击功能，防止ICMP Flood攻击功能，防止IP Spoofing功能，防止碎片包攻击，防止TearDrop攻击，防止Fraggle攻击功能 访问控制 IP<->MAC地址绑定(静态ARP) ，URL过滤(黑白名单)，MAC地址过滤，QQ/MSN访问控制，金融软件控制：大智慧/分析家/同花顺/广发至强/光大证券/国元证券 QoS 流量统计(基于IP/端口的流量统计),网络流量限速(基于IP，上下行流量分别限速),NAT表项限制,应用通道限制(绿色通道/限制通道) 流量监控 基于物理端口的流量统计,基于IP的流量统计，支持自动排序功能,基于IP的NAT链接数统计 路由 静态路由，策略路由(基于源IP/目的IP/协议/端口/出接口/时间段) 系统服务 ALG，端口触发，UPnP，虚拟服务器，静态NAT(一对一NAT)，DMZ 主机，VPN透传(PPTP、L2TP、IPSec) 配置管理 基于Web的用户管理接口(远程管理/本地管理)，HTTPS远程管理，命令行CLI，通过HTTP 升级系统软件 故障诊断 Ping / Tracert，设备自检，故障信息一键导出 2.核心交换机(H3C S5024P) 产品概述： H3C S5024P以太网交换机是H3C公司自主开发的支持Web管理的二层线速以太网交换产品，是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。S5024P提供24个千兆以太网端口、4个千兆SFP端口（与后4个千兆以太网端口复用）以及一个Console端口。该交换机可以通过console口、telnet以及web方式登录进行配置，支持VLAN划分、端口双向镜像、端口+MAC地址绑定和端口聚合等功能。 图1 H3C S5024P产品外观示意图 产品特点： 符合IEEE802.3、IEEE802.3u、IEEE802.3ab/z和IEEE802.3x标准 支持端口流量控制，符合IEEE 802.3x 提供24个10/100/1000M自适应以太网端口，支持端口自动翻转（Auto MDI/MDIX）、4个1000M SFP端口（与最后4个1000M电口复用）及1个Console口 最多支持255个符合IEEE 802.1q标准的VLAN，VLAN ID 1－4094可配；最多支持24个基于端口的VLAN 端口汇聚：支持整机最多4组，每组最多24个端口 支持基于端口的带宽控制，最小粒度为25Mbps 支持IEEE 802.1p优先级、IP优先级和DSCP优先级，支持SP队列调度，支持每端口2个优先级队列； 支持广播风暴抑制 支持端口镜像功能 支持端口绑定 支持端口收发报文统计 支持MAC地址老化时间设置 提供命令行接口管理和Web管理 支持交换机系统软件的升级 内置通用电源，1U钢壳，19英寸标准机架结构，可上机架。 产品规格： 项目 描述 概述 标准 IIEEE 802.3 10BASE-T 以太网 IEEE 802.3u 100BASE-TX 快速以太网 IEEE 802.3ab 1000BASE-T千兆以太网 IEEE 802.3z 千兆以太网（光纤） ANSI/IEEE 802.3 NWay自动协商 IEEE 802.3x 流量控制 固定端口 24个10/100/1000BASE-T自协商的以太网端口 1个Console端口 可选端口 4个1000Base-SX/LX SFP光口 固定端口属性 连接器类型：RJ-45 支持10/100/1000Mbit/s传输速率 支持半双工、全双工、自协商工作模式 支持MDI/MDI-X自适应 可选端口属性 连接器类型：LC 支持1000Mbit/s传输速率 全双工 网线类型 双绞线：采用5类双绞线，传输距离100m 光纤 多模：50/125µm多模光纤，配有LC插头，传输距离550m 单模短距：9/125µm单模光纤，配有LC插头，传输距离10km 单模中距：9/125µm单模光纤，配有LC插头，传输距离40km 单模长距：9/125µm单模光纤，配有LC插头，传输距离70km 性能 背板带宽 48G 转发能力 35.71Mpps 交换模式 存储转发模式 MAC地址表 支持地址自动学习、自动老化（老化时间为5分钟）；最多支持MAC（Media Access Control）地址：8K；支持手工配置静态MAC：64项 软件 VLAN 最多支持255个符合IEEE 802.1q标准的VLAN，VLAN ID在1-4094范围内可配 最多支持24个基于端口的VLAN 优先级队列（QoS） 支持802.1p优先级、IP优先级和DSCP优先级 队列数：每端口2个 端口汇聚 支持整机最多4个汇聚组，每组最多24个端口 端口镜像 支持基于端口的双向镜像 端口带宽控制 最小粒度为25Mbps 广播风暴抑制 所有端口上支持基于带宽百分比的广播风暴抑制 配置和管理 基于Web的管理 支持命令行配置 支持通过Telnet登录进行配置 维护 支持调试信息的输出、统计 支持Ping维护诊断工具 支持通过Telnet进行远程维护 3.接入交换机(H3C S1526) H3C S1526交换机是H3C公司自主开发的二层线速以太网交换产品，是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。S1526提供了24个10/100 Mbps端口，2个千兆铜缆/SFP（mini GBIC）组合端口用于灵活的千兆铜缆或光纤骨干连接，用户可根据传送距离的不同要求灵活的选择1000BASE-LX、1000BASE-SX、1000BASE-T等多种接口类型。该款交换机支持Vlan划分、端口镜像、端口聚合和QoS等功能，可以通过WEB界面进行方便地配置。 H3C S1526 产品规格 项目 描述 概述 标准 IEEE802.3 10BASE-T以太网；IEEE802.3u 100BASE-TX快速以太网；IEEE802.3ab 1000BASE-T千兆以太网；IEEE802.3z 千兆以太网（光纤）；ANSI/IEEE 802.3 NWay自动协商；IEEE802.3x流量控制 固定端口 24个10/100Base-TX自适应以太网端口；2个千兆光电复用端口；1个Console接口 固定端口属性 连接器类型：RJ-45；支持10/100/1000Mbit/s传输速率；支持半双工、全双工、自协商工作模式；支持MDI/MDI-X自适应 网线类型 10Base-T：3/4/5类双绞线，支持最大传输距离100m；100Base-TX：5类双绞线，支持最大传输距离100m；1000Base-T：5类双绞线，支持最大传输距离100m 可选模块 1000Base-LX-SFP：9/125µm单模光纤，传输距离10km；1000BASE-ZX-LR-SFP：9/125µm单模光纤，传输距离40km；1000BASE-ZX-VR-SFP：9/125µm单模光纤，传输距离70km；1000BASE-SX-SFP：50/125µm多模光纤，传输距离550m 性能 背板带宽 8.8G 转发能力 6.55Mpps 交换模式 存储转发模式 MAC地址表 支持地址自动学习、自动老化（老化时间为5分钟）；最多支持MAC（Medium Access Control）地址：8K 软件 VLAN 基于端口VLAN，支持VLAN最大数目:26 支持128个802.1Q的VLAN，VLAN ID 1-4094可配 优先级队列（QoS） 标准:802.1p；队列数:4个 端口聚合 最多可设置3组端口聚合；2个10/100Mbps端口干路（每个干路2到4个端口）；1个千兆端口干路（2个千兆端口） 端口镜像 N:1 端口带宽控制 最小粒度为64Kbps VCT 支持线路诊断功能 配置和管理 基于Web的管理 支持配置文件导入/导出 五、设备报价清单 名称 单位 单价 小计 金浪（面板+地盒） 套 68 　 金浪超五类模块 个 68 　 志盟2号网线 箱 12 　 2M豪华机柜 个 1 　 金浪110网络配线架（24口） 　 　 　 金浪超五类水晶头 包 3 　 理线器 　 　 　 信息点施工费 　 68 　 管材 批 　 　 H3C ER5200 台 1 　 S1526 台 3 　 S5024P 台 1 　 总计