富建大酒店网络建设方案2011年4月富建大酒店将建设成为一个现代化的国际酒店,为各国人士提供住宿、娱乐、休闲的高档场所。在当今信息社会,电子商务的兴起,正在改变着传统的商业操作模式,商务运作更依赖于高速、稳定、可靠的信息网络,作为现代化的国际型酒店为客人提供优越的数字通讯环境是必不可少的。这样通过网络,客人可以在客房内即可完成以前只有在公司办公室才可以进行的工作。不但如此,酒店的网络系统还要保证个人信息资源的安全性和隐秘性。另外,作为高星级的大酒店应当运用网络等高科技手段实现对酒店进行全方位的管理。第2页共10页版权所有侵权必究一、网络系统概述随着计算机应用技术、数据通信技术和网络技术的飞速发展,基于TCP/IP、技术、先进数据库技术的Internet计算模式也日趋成熟。在信息技术的使用正在改变着人们工作生活方式的今天,建设一个完善的计算机网络信息系统是其基本的要求,企业对外的形象宣传、信息发布、合作事宜,对内的事物处理、事物协作、业务管理,商务服务和Internet访问等都需要有一个电子化手段来处理。二、网络平台建设原则1、可运营、可管理局域网的网络平台需要可以融合承载流量计费、监控、安全审计、视频等电信业务和功能。因此网络平台需要足够开放,其结构要具备科学性。整体的网络系统需要有很好的可管理性,以便于后期维护工作的展开。2、整体性,先进性面对高星级的用户,我们提出的方案要有针对性地使用较前沿的先进技术以满足将来快速发展的需求。整体网络系统的构架要合理、清晰,3、要具备标准性和开放性在局域网的平台上,将来可能会架设很多不同厂商的不同功能的设备,这就需要我们建设的网络平台必须符合国际标准的协议,常用的端口要开放,便于其他标准设备在网络中的拓展。4、安全性高星级用户对PC的上网安全非常重视,需要在局域网中杜绝内网病毒泛滥导致的病毒入侵和攻击,防止黑客在内网非法扫描和窃取。5、具备高性能和高可靠性局域网的数据通信要具备较高的可靠性,这就需要硬件设备商和软件提供商拥有很好的研发实力和技术维护能力。硬件设备要具有较高的转发性能才能满足用户网上冲浪、办公、视频等功能的要求。所以如今多种不同的业务共用同一个物理的网络平台,对网络设备的服务质量、处理性能和可靠性提出了更高的要求。6、可扩展、易升级将来用户数量的增加或增加具有新功能的设备,都有可能会改变现有的网络拓扑,这就要求我们在物理端口方面保有一定的冗余,网络运行的协议要足够开放,使整体网络具有很好的拓展性。根据用户的个第3页共10页性化需求,软件产品要能够通过升级来解决过去功能上的不足。7、性价比高在满足各项技术指标的基础上,选择具有最佳性价比的设备,在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资。三、富建大酒店网络总体规划1、组网方案拓扑图图1(整体拓扑)说明:1、安全网关负责双线路接入,开启负载均衡及带宽分配。2、防火墙开启深度检测及病毒过滤等安全防护。3、核心交换机承载了多个网络系统,需要有很高的处理能力,需要考虑电源及主控的冗余。采用3块十二千兆电口业务版,分别负责通信网及无线覆盖、电视系统、门禁智控系统三。4、接入交换机通过千兆光纤连接到核心交换机,形成高速通道,支持ACL、VLAN、Qos、ARP芯片过滤等。5、无线接入交换机需要对AP进行POE供电。5-13层客房每层建议部署4-6台无线AP。1-4层餐饮娱乐中心,特别是会议中心对无线接入要求很高,需第4页共10页要部署5-10台AP。布线要求:主机房到每楼层铺设4芯光纤或4条网线(不超过100米可采用网线)。楼层弱电间到房间布4条网线(客房上网1条,电视2条,智控1条)。楼层弱电间到走廊顶部需要布4-5条连接AP做无线覆盖。2、酒店网络系统架构说明及设备选型分析在酒店的计算机网络局域网结构设计中,我们建议采用核心-接入两级星型拓扑结构。同时针对酒店的网络特点,将网络分为三个系统:通信网及无线覆盖系统、IPTV点播系统、门禁智控系统。其中通信及无线系统分为三个部分,一是客房网(外网),二是办公网(内网),三是无线网,相互间通过VLAN隔离及权限设置。本设计中的核心到接入采用1000M光纤作为骨干网。网络设计能够满足酒店5-8年内业务的需求,并可实现大容量的升级扩容。设备选型考虑到酒店网络应用的重要性及将来视频、数据流量的逐步增长,核心交换机我们选用S7310高端多业务路由交换机,保证核心设备数据的转发能力及稳定性。为提高网络可靠性,可使用、双主控、双电源设计,与汇聚交换机形成双星型结构,提升网络冗余能力。接入层采用S2328/2348全网管安全交换机,网络接入层由支持硬件芯片ARP过滤。网络核心层主要担负主干的快速转发,并实现VLAN间的互访和隔离,设计原则是保证核心层的高度稳定可靠和快速转发;接入层主要负责对核心层的上联形成快速通道及桌面用户的安全接入。1)核心交换机核心交换机是整个局域网的核心枢纽,必须采用性能优异,稳定可靠,功能丰富,端口类型丰富,密度高的设备。推荐核心交换机采用S7310交换机。S7310机箱式硬件三层交换机是针对大型网络汇聚、中小型网络核心等情况推出的高性能的机箱式L2/L3/L4交换机。S7310完全为自主研发产品,采用全模块化,具有高密度端口,4.8T的背板带宽,可根据用户的需求灵活配置,灵活构建弹性可扩展的网络。S7310交换机产品提供强大的交换和路由功能,可与公司各系列交换机配合,为用户提供完整的端到端解决方案,是大型网络核心骨干交换机的理想选择。可在在S7310上配置双电源双主控,切实保证系统的可靠性和稳定性。在S7310上配置3块12口千兆光电复用业务板,其中每块业务版分别负责通信及无线、VOD视频点播、智控的业务。第5页共10页在数据链路层(第二层),可以通过STP、RSTP、PVST等协议和技术实现网络的可靠性和快速切换。在网络层(第三层),可以通过路由技术来实现负载均衡和快速切换,保证了网络系统的可靠性和可用性。S7310具有4.8T背板,可以提供全端口线速转发。S7310系列功能完备,支持基于RADIUS的用户认证和计费,可用于宽带用户接入控制;支持出口网络地址转换(NAT)、IP路由RIPI/II,OSPFV2;ARP,TCP/UDP,ICMP;DHCP/BOOTP,DHCP中继、源和目的Mac地址过滤,源和目的IP地址过滤的ACL(访问列表控制)、Web管理、SNMP管理;支持IEEE802.1d生成树协议(SpanningTree)、IEEE802.1p优先级及业务分类(QOS,COS)、IEEE802.1QVLAN、IEEE803.ad链路捆绑(Trunk)、采用集群技术,支持多台设备堆叠(Stacking)、IGMPSnooping、静态组播配置;提供双电源,增加系统可靠性;智能转发策略,具有对“红码病毒”和“冲击波病毒”攻击完全的防御能力;广播和组播风暴控制、802.1x和PORTAL认证功能、端口镜像等。2)接入交换机S2328交换机拥有24个RJ-4510/100BASE-TX自适应端口,及2个千兆光电复用口;S2348交换机拥有48个RJ-4510/100BASE-TX自适应端口,及2个千兆光电复用口;可根据需要灵活地配置光电网络,接入交换机与核心交换机采用千兆光连接。S2328/2348还支持强大的ACL访问控制列表功能。支持多种通用网管协议。3)防火墙安全系统办公网出口部署F3000E-306防火墙,以增强各运作系统的安全性,防止网络外用户的恶意攻击及重要数据的窃取。在汇聚、接入交换机上开启DHCPSnooping功能,配合Firewall全面控制酒店常见的ARP病毒攻击。Firewall将外网、内部局域网、DMZ区域等三网数据安全隔开。邮件服务器(E-mail)、网站服务器()等需要面向公网开放的、重要的电子商务系统将放置于防火墙的DMZ区。在客房网之前部署一台上网行为管理系统,对内网客人的PC安全进行保障,对客人的上网流量进行合理规划。状态检测功能,在网络层由检查引擎截获数据包并抽取出与应用层状态有关的信息,维护一个动态的状态信息表并对后续的数据包进行检查,来确定是否允许数据通过,可有效发现并阻断伪造数据包和地址欺骗等攻击。深度包检测功能,可对数据流中应用层的负载进行检查,可利用数据特征库对数据内容进行对比分析。在维护底层网络连接的同时维护应用层通讯状态。4)出口网关出口网关采用GW806负责NAT地址转换功能,配合DHCP服务器功能,负责对内网客房PC进行地址的自动分配,免去客人手工输入IP地址的步骤,使客人获得良好感知。第6页共10页开启ARPScanning等安全功能,防止ARP病毒,TCPSYNFlooding、UDPFlooding等DDos病毒的攻击,减少断网的故障率。完美的负载均衡,起用基于目的地址、源地址、流量、路由权重多种策略路由,实现有备用线路和多线路接入要求下的负载均衡功能。GBSC智能带宽控制,对内网任意客房主机或者主机群组提供个性化服务控制,例如,对办公租户的端口设置带宽限速。还可对客房设置最高、最低带宽的弹性控制,同时满足高速上网和限速下载功能。开启VPN功能,酒店管理公司可以通过VPN隧道连接到总部。Router支持目前所有的VPN协议和加密算法,同时可以将L2TP、IPSEC、PPTP等单一或者组合使用,实现企业远程办公和企业虚拟专业网络办公的完整解决方案。5)无线网络系统无线局域网(WLAN)是无线宽带数据传输系统,为用户提供足够的带宽的情况下增加了移动性;同时承载无线点餐、无线收银等酒店自身应用需求。AP覆盖部分:无线覆盖区域物理分布在酒店每层,客房每层楼4台无线AP,娱乐会议等每楼层部署5-10台AP。我们在本次无线网络项目建设中采用AWS5000H型AP。AWS5000H型AP支持IEEE802.3af标准的PoE供电,因此可以通过位于各个楼层内的POE交换机为每一个AWS5000H型AP供电。无线网控制、管理部分:在网络核心层,我们采用了目前基于最先进的第三代无线网络技术的AC控制器对整个无线网路进行统一的管理。采用一台AC1000对全网AP进行集中管理和控制,各覆盖区域内AP通过有线网络连接至AC1000控制器,实现了无线集中控制。无线网络管理部分:WG2000是磐达公司推出的无线网络交换机管理系统,主要提供增强的管理、无缝的安全性,并且易于规划各种规模的无线网络,同时还兼容了磐达公司的的路由器、防火墙、以太网交换机设备组网,提供对AP、交换机和控制器的全面控制以优化网络并增强安全性。四、技术说明1、ARP攻击解决方案针对ARP攻击的各种方式,根据网关的防御功能我们提出自己的解决方案:第7页共10页1、启动ARPScanning功能,自动对内网进行扫描,学习内网ip地址和mac地址的对应关系,并把对应关系加到静态arp表中,以解决对网关的欺骗。2、开启ARPFilter功能,ARP病毒对CPU进行洪泛攻击或某个IP进行扫描或者BT下载时,那么他在短时间内发送的ARP信息是非常多的,我们可以通过设置ARP计数器的方式来进行管理,在一个时间单位内,如果某个设备发送的ARP数量超过了我们设置的阀值,单位时间超过数量的这台设备的MAC将会被暂时BLOCK掉,过一段时间再自动解禁。3、启用DHCPSnooping功能,对PC申请IP地址过程进行跟踪记录,自动绑定到相应的端口,没有经过合法申请IP地址的PC无法上网,中毒机器被自动的单独隔离。4、采用支持硬件过滤ARP病毒设备,采用S2328/5248交换设备,交换机端口芯片会根据所绑定的信息对所有报文进行检查,不匹配的报文将被丢弃。2、VLAN和IP划分从安全和隔离广播域角度出发,可以在整个网络范围内,采用802.1Q的VLAN划分,可以基于物理位置,比如以楼层、房间等为单位划分。或者基于逻辑组群的划分,比如以部门、职能划分等。不同部门会划分在不同的VLAN中,由于信息资料共享或不同部门间信息点的访问,VLAN之间