商务连锁酒店网络改造方案.docx
- 文档编号:14562049
- 上传时间:2023-06-24
- 格式:DOCX
- 页数:20
- 大小:297.88KB
商务连锁酒店网络改造方案.docx
《商务连锁酒店网络改造方案.docx》由会员分享,可在线阅读,更多相关《商务连锁酒店网络改造方案.docx(20页珍藏版)》请在冰点文库上搜索。
商务连锁酒店网络改造方案
XXXX商务连锁酒店
网络改造方案
杭州华三通信技术有限公司
1门店技术要求及组网方案
1.1技术要求:
1、网络稳定性高
2、低成本
3、门店以VPN方式接入总部
4、支持对客房区、办公区的VLAN划分
5、实现流量控制
6、。
。
。
。
1.2组网方案:
1.3设备选型:
ER3200:
新一代高性能宽带路由器
2个百兆WAN口、4个百兆LAN口
选择理由:
1、500Mhz的CPU主频,拥有一颗强劲的心
2、支持IPSecVPN,通过internet实现和总部的VPN连接
3、带有很强的防火墙功能,可以进行灵活acl控制,可以防QQ/MSN,防BT下载,防外网入侵和攻击,智能网页过滤
4、灵活的访问控制功能,可以按部门、按业务、按时间来设置控制策略
5、全面防止ARP攻击,保证上网不掉线
6、弹性带宽控制,忙时不允许超过额定带宽,闲时可超出额定带宽
7、可以进行实时流量统计,按照流量大小进行排序
8、支持将客人的首次internet访问重定向到酒店网站进行宣传
9、2个百兆WAN口,一口以宽带接入internet,另一口配合modem利用PSTN备份链接到总部的modem池,可自动检测故障进行切换。
也可以负载均衡方式工作
10、带机量达到100-200台,满足门店的带机要求
11、图形化web管理界面,使用方便
12、为酒店客户定制的管理界面,以客户熟悉和习惯的方式设置
13、支持以web方式远程登录管理
14、宽带路由器同时可做DHCPserver
S5024E:
全千兆智能防攻击交换机
24个千兆下行电口、4个光电复用千兆上行口
选择理由:
1、96G的交换容量,全线速无阻塞转发
2、防攻击能力强大
a)防ARP攻击
b)防DOS攻击
c)防蠕虫病毒攻击
d)802.1x认证
e)支持IP+MAC+端口绑定
f)方便地实现安全配置文件的导入和导出
3、交换机使用和管理极其方便
a)简单美观易用的WEB管理界面:
网管就想看小人书一样轻松
b)按照不同行业应用特点,在WEB管理界面里定制不同管理专区
c)网吧专区智能端口设定:
为网吧收银服务器、监控服务器、电影音乐服务器、游戏更新服务器、路由器等自动进行优化
d)支持Web网管、通过Console口进行管理、Telnet远程管理
4、丰富的端口特性
a)端口隔离、端口安全、端口汇聚、端口镜像、端口带宽控制、广播风暴抑制、VCT电缆检测
5、支持512个基于802.1Q的VLAN,完全满足门店内部的VLAN划分需求
6、高性价比:
您付出的每一分钱都物超所值
S1526:
24个10/100M自适应RJ45端口,支持端口自动翻转(AutoDI/MDIX)
2个千兆光电复用口(SFP/RJ45复用)
1个Console口
选择理由:
●支持26个PortVLAN和256个IEEE802.1QTagVLAN
●支持端口聚合:
FE:
支持整机最多2组,每组最多4个端口;GE:
1组,每组最多2端口
●提供端口带宽控制功能,最小粒度为64kbps
●支持IEEE802.1p优先级协议模式、支持WRR(加权轮询)调度,支持每端口4个输出队列提供端口安全控制功能
●支持广播风暴控制
●支持端口镜像功能
●支持MAC地址老化时间设置
●提供Web管理
●支持交换机系统软件的升级
●内置通用电源,1U钢壳,19英寸标准机架结构,工业级设计
以上产品的详细资料请参考H3C提供的产品资料。
1.4门店整体方案特色:
1、H3C宽带路由器支持IPSecVPN,防火墙功能,DHCPSERVER,一机多能,简化了网络结构,节省投资
2、整体方案具有完善的安全特性,可以保证门店网络的安全性。
尤其可以防止目前困扰很多酒店的ARP病毒攻击的问题。
可以防止来自内部和外部的攻击。
3、房间号和VLAN号自动对应,并可以帮助公安监控实现基于客房的精确定位,满足公安监控的要求。
4、客房网络布线自动识别系统,减少酒店网线连接的识别工作。
5、所选择的设备都经过了市场的大量应用考验,成熟稳定可靠
6、高性价比
7、完全满足客户对门店的建设要求,应该说超出客户的要求。
2总店技术要求及组网方案
2.1技术要求:
1. 按照200家门店的规模规划公司的硬件网络
2. 老的门店的改造尽量使用已经购买的网络设备
3. 支持VPN,VLAN,防火墙,网管功能等,说明各主要功能的实现方式
4. 网络结构和性能需支持视频会议系统
5. 说明设备清单,包括品牌,型号,数量,价格,主要技术指标
6. 说明网络拓扑图和路由图。
7. 说明总部和门店端IP地址分配方式
8. 说明技术支持的方式
2.2组网方案:
2.3设备选型:
VPN网关及防火墙:
H3CSecPathF1000-S:
H3C高性能千兆专业防火墙及VPN网关
4个固定GE(两个固定光电COMBO口,两个电口)
最大可以扩展到:
8GE/4GE+8FE
选择理由:
1、F1000-S可以支持3500个IPSECVPN隧道,完全可以满足200多个门店的接入。
2、加入采用3DES加密方式,可以支持650M的流量。
如果200个门店均以2MADSL接入以IPSECVPN接入到总部,总共的加密带宽不超过400M,650M的处理能力足够。
假设每个门店均以10M的宽带接入internet以IPSECVPN接入到总部,最高流量2G,但是考虑到不可能全部并发,有一定的收敛比,所以650M带宽也足够。
3、多出口,可以实现同时连接电信、网通的链路,同时还可以利用外接的modem池实现PSTN的备份链路。
4、DMZ区部署用于internet访问的各类服务器。
5、F1000-S专业的防火墙功能,提供完善安全保护:
1)支持基础、扩展和基于接口的状态检测包过滤技术,支持按照时间段进行过滤;
2)支持H3C特有ASPF应用层报文过滤(ApplicationSpecificPacketFilter)协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对FTP、HTTP、SMTP、RTSP、H.323(包括Q.931,H.245,RTP/RTCP等)应用层协议的状态监控,支持TCP/UDP应用的状态监控
3)对DoS/DDoS攻击的防范
4)ARP欺骗攻击的防范
5)提供ARP主动反向查询
6)TCP报文标志位不合法攻击防范
7)超大ICMP报文攻击防范
8)地址/端口扫描的防范
9)ICMP重定向或不可达报文控制功能
10)Tracert报文控制功能
11)带路由记录选项IP报文控制功能
12)静态和动态黑名单功能
13)MAC和IP绑定功能
14)支持智能防范蠕虫病毒技术
15)可以有效的识别网络中的BT、Edonkey、Emule等各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;
16)支持邮件过滤,提供SMTP邮件地址、标题和内容过滤;
17)支持网页过滤,提供HTTPURL和内容过滤;
18)支持应用层过滤,提供Java/ActiveXBlocking和SQL注入攻击防范
19)支持RADIUS和HWTACACS协议及域认证
20)支持基于PKI/CA体系的数字证书(X.509格式)认证功能
21)在PPP线路上支持CHAP和PAP验证协议
22)集中管理与审计:
提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能
6、专业灵活的VPN服务:
1)支持L2TPVPN、GREVPN、IPSecVPN、动态VPN等多种VPN业务模式
2)利用动态VPN(DVPN)技术,简化VPN配置,实现按需动态构建VPN网络
7、在扩展插槽上增加SSLVPN板卡,可以支持SSLVPN,实现基于任何internet位置上的移动VPN接入酒店网络。
8、集成路由功能,可以省去路由器:
1)支持路由、透明及混合运行模式
2)支持静态路由协议
3)支持RIPv1/2、OSPF、BGP动态路由协议
4)支持路由策略及策略路由
业界最高级的安全防护:
实时入侵抵御系统IPS(可选):
H3CSecPathT200:
H3C实时入侵抵御系统
4(10/100/1000M以太电口)
一个扩展槽,可以配置4个10/100M以太电口,或2个1000M以太SFF光口
选择理由:
1、深度防御、应用层攻击防御:
业界最高的安全防护等级
1)客户机和服务器保护
-抵御针对应用和操作系统漏洞的攻击
-摈弃代价昂贵的应急补丁工作
-精细化的深度防御与应用控制
2)病毒过滤
-全球顶尖级病毒分析专家团队
-拥有超过40万的病毒样本
-阻止多种类型的网络蠕虫/病毒攻击
-深度过滤隐藏在IM/P2P/email等常用软件中携带的病毒
-过滤压缩后的病毒、木马
-过滤变种病毒
3)网络基础设施保护
-保护DNS和其他网络基础设施
-抵御流量异常以及SYNFlood、UDPFlood、ICMPFlood、DNSQueryFlood、CC等各种DDoS攻击
-访问控制
4)流量正规化
-提高网络带宽和路由器性能
-正规化非法网络流量
-优化网络性能
5)URL过滤
-根据时间定制过滤规则
-自定义URL过滤规则
-URL过滤与带宽管理关联定制组合
6)应用性能保护
-提高带宽和服务器性能
-阻止或限制P2P/IM等非关键流量
7)特征库实时升级
-抵御零日攻击
-最新特征库自动发布
2、专业灵活的VPN服务:
1)支持L2TPVPN、GREVPN、IPSecVPN、动态VPN等多种VPN业务模式
2)利用动态VPN(DVPN)技术,简化VPN配置,实现按需动态构建VPN网络
3、对威胁的处理方式:
1)SecPathT200提供了丰富的威胁响应方式,包括阻断、限流、TCPReset、抓取原始报文、重定向、隔离、Email告警、日志记录等,各响应方式可以相互组合。
设备出厂时已内置了一些常用的响应组合,便于部署和维护。
4、可靠性:
1)SecPathT200使用无源连接设备PFC(PowerFreeConnector)提供掉电保护功能。
在T200掉电的情况下,PFC将网络流量自动绕开T200,旁路到下一跳设备上去;当恢复电源供给后,PFC又会自动禁止旁路功能,所有流量将再度流经T200接受检测。
核心交换机:
H3CS7502:
19英寸机架式交换机
电源冗余备份
可以实现主控的冗余备份
2个业务槽位
192G交换容量
144Mpps包转发率
选择理由:
1、分布式业务处理体系:
H3CS7500系列交换机采用先进的全分布式体系结构设计,通过主引擎和分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发,通过分布式高速业务接口板上内置的高性能CPU与位于主控引擎上的CPU协同工作,实现ACL、流分类、QOS、组播等业务的全分布式处理。
2、强大的L2/L3转发性能:
H3CS7500系列交换机支持无源背板,支持双路电源供电,支持引擎、电源、风扇的冗余,支持单板热插拔,并可以支持STP/RSTP/MSTP/VRRP等协议实现链路冗余,同时S7500系列交换机支持基于硬件的RPR弹性分组环和基于软件的快速环网保护技术,分别可以提供50ms和亚秒级别的链路故障业务快速恢复手段,这些使得以S7500系列交换机为核心的骨干网络可靠性大大提高,保障了业务的永续性。
3、H3CS7500系列交换机支持强大的组播功能、灵活QinQ、802.1x、内置DHCP-SERVER、NAT、PBR、POE、EPON等多种业务特性,这些业务特性极大的提高了企业网络业务部署的简便性和灵活性,同时增强了对IP语音、视频、WLAN的支持能力,为企业IT系统实现通信整合提供了便利。
基于“ASIC+NP”的体系结构,可以灵活的支持业务功能的不断扩展,通过多功能网络处理器模块,可以进一步支持NAT、PBR等多种高级业务特性。
2.4总部整体方案特色:
1、高性能:
防火墙、IPS、核心交换机的性能完全能满足实际要求。
2、高度安全:
业界最高等级安全防护。
3、高稳定性:
防火墙多链路备份、IPS的掉电保护、核心交换机的电源冗余备份、主控冗余备份。
4、网络结构合理清晰
5、所选择的设备都经过了市场的大量应用考验,成熟稳定可靠
6、高性价比
7、完全满足客户对总部的建设要求
3整体网络的介绍
3.1整网的拓扑图:
拓扑图说明:
1、门店和总部的拓扑图不再介绍,前面两章已经介绍。
2、广域网连接方式:
每个门店可以选择以2Madsl方式接入internet或者以10M宽带接入internet。
IPSecVPN可以选择和总部的电信网链路、网通网链路连接。
同时每个门店还可以外接一个modem通过pstn网和总部的modem池链接,起到链路的备份作用。
但主链路出现故障,还可以通过拨号和总部链接。
3.2地址分配:
需要公网IP地址的设备:
每个门店的出口路由器需要公网地址,如果只有一条链路,只需要1个公网地址。
宽带的公网地址由申请宽带时由运营商提供。
如果还需要PSTN备份,该IP地址拨号时自动分配,无需申请。
总部出口的防火墙设备,如果有2个出口,需要2个公网地址。
另外DMZ中队外服务的服务器每个都需要公网IP地址。
需要私网IP地址场合:
门店需要地址的设备或区域:
服务器区,办公区,前台区,客房区,数码房区。
策略:
“服务器区,办公区,前台区”整体归类为办公网,分配办公网地址段地址
“客房区,数码房区”整体归为客房网,分配客房网地址段地址
门店需要地址的设备或区域:
服务器区,总部办公区,总部信息中心,门店办公区,门店前台区,客房区,数码房区。
策略:
“服务器区,总部办公区,总部信息中心,门店办公区,门店前台区”整体归类为办公网,分配办公网地址段地址
“客房区,数码房区”整体归为客房网,分配客房网地址段地址
明确以上原则后,我们再来分析具体如何进行私网地址分配。
因为门店的办公网需要和总部的办公网互通,因此每个门店的私网网段、以及总部的私网网段都不能重复。
而客房网因为彼此之间无需互联,只要能访问互联网即可,因此可以重复。
客房网私网IP地址分配规则如下:
1、所有门店(包括总部门店)都采用172.16.0.0的私网B类地址,一个B类地址有65535个IP地址,足够每个门店随便使用了,可以随便用。
因为可以重复使用,每个门店都可以这样设置。
2、门店当然也可以只挑选几个C类地址段使用。
比如:
给数码房区的数码房服务器的地址池配一个C类地址段172.16.1.0。
而其他一般客房使用其他的一些C类地址段172.16.2.0、172.16.3.0、172.16.4.0。
。
。
这些都是在ER3200里面针对客房的DHCPserver中进行设置的,并可以同时设置好对应的VLAN。
办公网私网IP地址分配规则如下:
1、所有门店(包括总部门店)、以及总部都采用192.168.0.0的私网B类地址,由于门店需要访问总部的服务器,彼此之间需要互访,所以彼此之间的地址段不能重复。
考虑到每个分店的办公PC、服务器数量比较少,给每个门店一个C类地址,有254个地址可用。
门店的地址分配方式也是动态分配,地址池在ER3200路由上设置。
总部的DHCPserver可以设置的S7502交换机上。
总部需要的IP地址数量较多,可以多分配几个C类地址段。
3.3路由规则和路由图:
路由规则:
门店:
1、客房网只能访问internet,不能访问办公网,不能通过IPSECVPN链接总部;
2、办公网可以访问internet,不能访问客房,可以通过IPSECVPN链接总部;
门店与门店之间:
1、门店与门店可以互访,也可以禁止互访,规则请客户自己确定。
互访的控制可以在总部的防火墙上设置规则。
路由图:
(以门店1为例)
4总部网络改造方案高中低三种配置选型
总店的改造涉及到的设备:
专业防火墙及VPN网关、核心交换机、IPS、无线。
下面针对每种设备推荐配置:
4.1专业防火墙及VPN网关
型号
规格
高配置
SecpathF1000-A
2个固定GE(两个固定光电COMBO口)
1个插槽,最大可以扩展到:
4GE/2GE+4FE
防火墙吞吐量:
1.5Gbps
3DES加密:
600Mbps
IPSECVPN隧道数:
5000个
中配置
SecpathF1000-S
4个固定GE(两个固定光电COMBO口,两个电口)
两个插槽,最大可以扩展到:
8GE/4GE+8FE
防火墙吞吐量:
1Gbps
3DES加密:
600Mbps
IPSECVPN隧道数:
3500个
低配置
SecpathF100-E
4个固定FE
1个插槽,最大可以扩展到:
8FE/4FE+2GE
防火墙吞吐量:
400Mbps
3DES加密:
200Mbps
IPSECVPN隧道数:
2000个
4.2核心交换机
型号
规格
高配置
H3CS7502E
19英寸机架式交换机
电源冗余备份
可以实现主控的冗余备份
2个业务槽位
192G交换容量
144Mpps包转发率
支持IPV4/IPV6
支持MPLS
中配置
H3CS7502
19英寸机架式交换机
电源冗余备份
可以实现主控的冗余备份
共4个槽位,2个业务槽位
192G交换容量
144Mpps包转发率
低配置
S5500-28C-EI
19英寸盒式交换机
千兆接入万兆上行强三层智能交换机
端口形态:
24个GE(4个combo),两个插槽
插槽可插:
2万兆/插槽、1万兆/插槽
支持静态路由、RIP、ospf、is-is、BGP4
支持IPV4/IPV6
128G交换容量
SNMP管理
S7502交换路由模块
S7500-12端口千兆以太网电口+4端口千兆以太网SFP光口业务板
1
可选
S7500-4端口千兆以太网电口+12端口千兆以太网SFP光口业务板
1
可选
S7500-48端口千兆以太网光接口业务板
1
可选
S7500-48端口千兆以太网电接口模块
1
可选
S7500-2端口万兆以太网接口模块
1
可选
S7500-4端口万兆以太网接口模块
1
可选
S7500-16端口千兆电口+8端口千兆光口以太网接口模块
1
可选
S7500-32端口千兆以太网电口(RJ45)+16端口千兆以太网光口业务板
1
可选
4.3IPS-入侵抵御系统
考虑到IPS的价格比较贵,仅推荐一款。
型号
规格
高配置
SecpathT200
4(10/100/1000M以太电口)
一个扩展槽:
可以配置4个10/100M以太电口,或2个1000M以太SFF光口
吞吐量:
200Mbps
新建连接数:
10万/秒
最大连接数:
100万
中配置
低配置
4.4无线AP
型号
规格
高配置
EWP-WA2220-AG
H3CWA2220-AG无线局域网室内型AG双频双模接入点
低配置
EWP-WA2210-AG
H3CWA2210-AG无线局域网室内型AG单频双模接入点
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 商务 连锁 酒店 网络 改造 方案