1、 在局域网的平台上,将来可能会架设很多不同厂商的不同功能的设备,这就需要我们建设的网络平台必须符合国际标准的协议,常用的端口要开放,便于其他标准设备在网络中的拓展。4、安全性 高星级用户对PC的上网安全非常重视,需要在局域网中杜绝内网病毒泛滥导致的病毒入侵和攻击,防止黑客在内网非法扫描和窃取。5、具备高性能和高可靠性 局域网的数据通信要具备较高的可靠性,这就需要硬件设备商和软件提供商拥有很好的研发实力和技术维护能力。硬件设备要具有较高的转发性能才能满足用户网上冲浪、办公、视频等功能的要求。所以如今多种不同的业务共用同一个物理的网络平台,对网络设备的服务质量、处理性能和可靠性提出了更高的要求。6
2、、可扩展、易升级 将来用户数量的增加或增加具有新功能的设备,都有可能会改变现有的网络拓扑,这就要求我们在物理端口方面保有一定的冗余,网络运行的协议要足够开放,使整体网络具有很好的拓展性。根据用户的个性化需求,软件产品要能够通过升级来解决过去功能上的不足。7、性价比高 在满足各项技术指标的基础上,选择具有最佳性价比的设备,在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资。三、富建大酒店网络总体规划1、 组网方案拓扑图图 1(整体拓扑)说明:1、安全网关负责双线路接入,开启负载均衡及带宽分配。 2、防火墙开启深度检测及病毒过滤等安全防护。 3、核心交换机承载了多个网络系统,需要有很高的
3、处理能力,需要考虑电源及主控的冗余。采用3块十二千兆电口业务版,分别负责通信网及无线覆盖、电视系统、门禁智控系统三。 4、接入交换机通过千兆光纤连接到核心交换机,形成高速通道,支持ACL、VLAN、Qos、ARP芯片过滤等。 5、无线接入交换机需要对AP进行POE供电。 5-13层客房每层建议部署4-6台无线AP。 1-4层餐饮娱乐中心,特别是会议中心对无线接入要求很高,需要部署5-10台AP。 布线要求:主机房到每楼层铺设4芯光纤或4条网线(不超过100米可采用网线)。楼层弱电间到房间布4条网线(客房上网1条,电视2条,智控1条)。楼层弱电间到走廊顶部需要布4-5条连接AP做无线覆盖。2、
4、酒店网络系统架构说明及设备选型分析在酒店的计算机网络局域网结构设计中,我们建议采用核心-接入两级星型拓扑结构。同时针对酒店的网络特点,将网络分为三个系统:通信网及无线覆盖系统、IPTV点播系统、门禁智控系统。其中通信及无线系统分为三个部分,一是客房网(外网),二是办公网(内网),三是无线网,相互间通过VLAN隔离及权限设置。本设计中的核心到接入采用1000M光纤作为骨干网。网络设计能够满足酒店5-8年内业务的需求,并可实现大容量的升级扩容。设备选型考虑到酒店网络应用的重要性及将来视频、数据流量的逐步增长,核心交换机我们选用S7310高端多业务路由交换机,保证核心设备数据的转发能力及稳定性。为提
5、高网络可靠性,可使用、双主控、双电源设计,与汇聚交换机形成双星型结构,提升网络冗余能力。接入层采用S2328/2348全网管安全交换机,网络接入层由支持硬件芯片ARP过滤。网络核心层主要担负主干的快速转发,并实现VLAN间的互访和隔离,设计原则是保证核心层的高度稳定可靠和快速转发;接入层主要负责对核心层的上联形成快速通道及桌面用户的安全接入。1)核心交换机核心交换机是整个局域网的核心枢纽,必须采用性能优异,稳定可靠,功能丰富,端口类型丰富,密度高的设备。推荐核心交换机采用 S7310交换机。 S7310机箱式硬件三层交换机是针对大型网络汇聚、中小型网络核心等情况推出的高性能的机箱式L2/L3/
6、L4交换机。 S7310完全为自主研发产品,采用全模块化,具有高密度端口, 4.8T的背板带宽,可根据用户的需求灵活配置,灵活构建弹性可扩展的网络。 S7310交换机产品提供强大的交换和路由功能,可与公司各系列交换机配合,为用户提供完整的端到端解决方案,是大型网络核心骨干交换机的理想选择。可在在 S7310上配置双电源双主控,切实保证系统的可靠性和稳定性。 在 S7310上配置3块12口千兆光电复用业务板,其中每块业务版分别负责通信及无线、VOD视频点播、智控的业务。 在数据链路层(第二层),可以通过STP、RSTP、PVST等协议和技术实现网络的可靠性和快速切换。在网络层(第三层),可以通过
7、路由技术来实现负载均衡和快速切换,保证了网络系统的可靠性和可用性。 S7310具有4.8T背板,可以提供全端口线速转发。 S7310系列功能完备,支持基于RADIUS的用户认证和计费,可用于宽带用户接入控制;支持出口网络地址转换(NAT)、IP 路由RIP I /II ,OSPF V2 ;ARP,TCP/UDP,ICMP;DHCP/BOOTP, DHCP 中继、源和目的Mac地址过滤,源和目的IP地址过滤的ACL(访问列表控制)、Web管理、SNMP管理;支持IEEE 802.1d 生成树协议(Spanning Tree)、IEEE 802.1p 优先级及业务分类(QOS,COS)、IEEE
8、802.1Q VLAN、IEEE 803.ad 链路捆绑(Trunk)、采用集群技术,支持多台设备堆叠(Stacking)、IGMP Snooping、静态组播配置;提供双电源,增加系统可靠性;智能转发策略,具有对“红码病毒”和“冲击波病毒”攻击完全的防御能力;广播和组播风暴控制、802.1x 和PORTAL认证功能、端口镜像等。2)接入交换机 S2328交换机拥有24个RJ45 10/100BASE-TX自适应端口,及2个千兆光电复用口; S2348交换机拥有48个RJ45 10/100BASE-TX自适应端口,及2个千兆光电复用口;可根据需要灵活地配置光电网络,接入交换机与核心交换机采用千
9、兆光连接。 S2328/2348还支持强大的ACL访问控制列表功能。支持多种通用网管协议。3)防火墙安全系统办公网出口部署F3000E-306防火墙,以增强各运作系统的安全性,防止网络外用户的恶意攻击及重要数据的窃取。在汇聚、接入交换机上开启DHCP Snooping功能,配合Firewall全面控制酒店常见的ARP病毒攻击。Firewall 将外网、内部局域网、DMZ区域等三网数据安全隔开。邮件服务器(E-mail)、网站服务器(WWW Server)等需要面向公网开放的、重要的电子商务系统将放置于防火墙的DMZ区。在客房网之前部署一台上网行为管理系统,对内网客人的PC安全进行保障,对客人的
10、上网流量进行合理规划。状态检测功能,在网络层由检查引擎截获数据包并抽取出与应用层状态有关的信息,维护一个动态的状态信息表并对后续的数据包进行检查,来确定是否允许数据通过,可有效发现并阻断伪造数据包和地址欺骗等攻击。深度包检测功能,可对数据流中应用层的负载进行检查,可利用数据特征库对数据内容进行对比分析。在维护底层网络连接的同时维护应用层通讯状态。4)出口网关出口网关采用GW806负责NAT地址转换功能,配合DHCP服务器功能,负责对内网客房PC进行地址的自动分配,免去客人手工输入IP地址的步骤,使客人获得良好感知。开启ARP Scanning等安全功能,防止ARP病毒,TCP SYN Floo
11、ding、UDP Flooding等DDos病毒的攻击,减少断网的故障率。完美的负载均衡,起用基于目的地址、源地址、流量、路由权重多种策略路由,实现有备用线路和多线路接入要求下的负载均衡功能。GBSC智能带宽控制,对内网任意客房主机或者主机群组提供个性化服务控制,例如,对办公租户的端口设置带宽限速。还可对客房设置最高、最低带宽的弹性控制,同时满足高速上网和限速下载功能。开启VPN功能,酒店管理公司可以通过VPN隧道连接到总部。Router支持目前所有的VPN协议和加密算法,同时可以将L2TP、IPSEC、PPTP等单一或者组合使用,实现企业远程办公和企业虚拟专业网络办公的完整解决方案。5)无线
12、网络系统无线局域网(WLAN)是无线宽带数据传输系统,为用户提供足够的带宽的情况下增加了移动性;同时承载无线点餐、无线收银等酒店自身应用需求。AP覆盖部分:无线覆盖区域物理分布在酒店每层,客房每层楼4台无线AP,娱乐会议等每楼层部署5-10台AP。我们在本次无线网络项目建设中采用AWS5000H型AP。AWS5000H型AP支持IEEE802.3af标准的PoE供电,因此可以通过位于各个楼层内的POE交换机为每一个AWS5000H型AP供电。无线网控制、管理部分:在网络核心层,我们采用了目前基于最先进的第三代无线网络技术的AC控制器对整个无线网路进行统一的管理。采用一台AC1000对全网AP进
13、行集中管理和控制,各覆盖区域内AP通过有线网络连接至AC1000控制器,实现了无线集中控制。无线网络管理部分:WG2000是磐达公司推出的无线网络交换机管理系统,主要提供增强的管理、无缝的安全性,并且易于规划各种规模的无线网络,同时还兼容了磐达公司的的路由器、防火墙、以太网交换机设备组网,提供对 AP、交换机和控制器的全面控制以优化网络并增强安全性。四、技术说明1、ARP攻击解决方案针对ARP攻击的各种方式,根据网关的防御功能我们提出自己的解决方案:1、启动ARP Scanning功能,自动对内网进行扫描,学习内网ip地址和mac地址的对应关系,并把对应关系加到静态arp表中,以解决对网关的欺
14、骗。2、开启ARP Filter功能,ARP病毒对CPU进行洪泛攻击或某个IP进行扫描或者BT下载时,那么他在短时间内发送的ARP信息是非常多的,我们可以通过设置ARP计数器的方式来进行管理,在一个时间单位内,如果某个设备发送的ARP数量超过了我们设置的阀值,单位时间超过数量的这台设备的MAC将会被暂时BLOCK掉,过一段时间再自动解禁。3、启用DHCP Snooping功能,对PC申请IP地址过程进行跟踪记录,自动绑定到相应的端口,没有经过合法申请IP地址的PC无法上网,中毒机器被自动的单独隔离。4、采用支持硬件过滤ARP病毒设备,采用 S2328/5248交换设备,交换机端口芯片会根据所绑
15、定的信息对所有报文进行检查,不匹配的报文将被丢弃。2、VLAN和IP划分从安全和隔离广播域角度出发,可以在整个网络范围内,采用802.1Q的VLAN划分,可以基于物理位置,比如以楼层、房间等为单位划分。或者基于逻辑组群的划分,比如以部门、职能划分等。不同部门会划分在不同的VLAN中,由于信息资料共享或不同部门间信息点的访问,VLAN之间会有不同的互联互通的需要。而不同的VLAN之间的访问权限又会不同,所以我们会用到三层路由交换的功能去设置这些复杂的需求功能。比如,中层领导以上可以访问研发部的文件而其他部门则不可以,个别高层领导可以访问财务部的文件,而其他人员不可以,且财务部还不能回访到高层领导
16、的信息点,等等。VLAN的划分在安全网关,核心、接入交换机上均可实现。3、VOD点播及IPTV组播技术IPTV基于核心交换机(组播交换机)的组播复制方式 该实现方式适合所有接入方式,核心交换机至IPTV业务控制点之间的直播业务采用组播M-VLAN承载,核心交换机具备IGMPProxy功能,可以采用主动静态下拉或者动态下拉的方式将IPTV组播业务通过组播M-VLAN送抵至接入交换机,然后按需跨VLAN复制给用户。所谓主动静态下拉就是指不管有没有用户需要组播流,接入交换机均主动向上行发送组播加入报文进行引流;所谓动态下拉是指只有当有第一个用户组播加入时,才进行引流,后续用户不再进行引流,当所有用户
17、组播均离开时,核心交换机发送组播离开消息切断组播流,从而实现“按需引流,一次引流,多用户应用”的目的。4、其他安全措施及管理除了对ARP病毒的防御,安全网关还提供了其他丰富的安全技术和措施。1)采用帐号、密码登录,分级授权管理,确保设备自身的管理安全。2)支持TCP SYN Flooding、UDP Flooding、ICMP Flooding的攻击防御。3)优良的带宽控制功能并支持PC的nat链接数目限制和整个网络链接数目限制,以杜绝BT、电驴、迅雷等P2P软件对网络带宽的吞噬。4)通过在安全网关上实施访问列表,对常用病毒端口进行禁止。5)拥有类DMZ区,支持隔离保护重要的办公部门或重要人员
18、办公点。6)针对于网络带宽分配,支持对部门或某物理地址进行精准分配。较为有效的措施还有:用户接入的认证,可以提供802.1X,Web认证等多种用户认证方式;端口和MAC地址的过滤功能,端口用户数限制等功能。其他的辅助措施还包括广播风暴抑制,端口限速等。设备汇总表楼层设备用途数量数量小计负一楼(机房)双线路接入网关GW8061防火墙F3000E-306核心交换机S7310AC1000(无线控制器)交换机S2348(办公)POE交换机S2308无线AP WAP2000NI5一层、二层、四层交换机S23483交换机S2324618三层10五楼-十三楼279合计:32131455关键设备参数要求:序号
19、设备名称型号单位接入网关2个千兆光电复用口、3个10/100/1000M以太网口,64位多核平台,支持双线路接入,转发率800Kpps台2核心交换机支持10个扩展插槽,背板容量4.8T,交换容量1.52Tbps,包转发速率952Mpps,配置3块十二口千兆光电复用口业务版,带rps电源备份接口,支持MPLS VPN、IPV6接入交换机48个10/100M以太网电口,2个10/100/1000M电口,2个千兆SFP光口,背板容量48G ,芯片支持ARP过滤机制,支持ACL4防火墙10/100/1000M电口6,吞吐量:3.5G;并发连接数200万条;VPN通道数2000条AC控制器支持128个AP,支持VLAN数:4094 ;并发用户数:4K ;端口类型和数量:1个CONSOLE口/4个千兆电口;供电方式:220VAC ;备份方式:AC热备份/VRRP方式实现;CPU:INTEL C-M/1.5G;内存:2GAP802.11b/g/n,支持1个10/100/1000Base-T,支持IEEE802. 3af 远程以太网供电(PoE)
