商務(wù)連鎖酒店網(wǎng)絡(luò)改造方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)XXXX商務(wù)連鎖酒店網(wǎng)絡(luò)改造方案杭州華三通信技術(shù)有限公司目 錄 TOC o 1-3 h z u 門店技術(shù)要求及組網(wǎng)方案技術(shù)要求：網(wǎng)絡(luò)穩(wěn)定性高低成本門店以VPN方式接入總部支持對客房區(qū)、辦公區(qū)的VLAN劃分實現(xiàn)流量控制。組網(wǎng)方案：設(shè)備選型：ER3200：新一代高性能寬帶路由器2個百兆WAN口、4個百兆LAN口選擇理由：500Mhz的CPU主頻，擁有一顆強勁的心支持IPSec VPN，通過internet實現(xiàn)和總部的VPN連接帶有很強的防火墻功能，可以進行靈活acl控制，可

2、以防QQ/MSN，防BT下載，防外網(wǎng)入侵和攻擊，智能網(wǎng)頁過濾靈活的訪問控制功能，可以按部門、按業(yè)務(wù)、按時間來設(shè)置控制策略全面防止ARP攻擊，保證上網(wǎng)不掉線彈性帶寬控制，忙時不允許超過額定帶寬，閑時可超出額定帶寬可以進行實時流量統(tǒng)計，按照流量大小進行排序支持將客人的首次internet訪問重定向到酒店網(wǎng)站進行宣傳2個百兆WAN口，一口以寬帶接入internet，另一口配合modem利用PSTN備份鏈接到總部的modem池，可自動檢測故障進行切換。也可以負載均衡方式工作帶機量達到100-200臺，滿足門店的帶機要求圖形化web管理界面，使用方便為酒店客戶定制的管理界面，以客戶熟悉和習慣的方式設(shè)置支

3、持以web方式遠程登錄管理寬帶路由器同時可做DHCP serverS5024E：全千兆智能防攻擊交換機24個千兆下行電口、4個光電復(fù)用千兆上行口選擇理由：96G的交換容量，全線速無阻塞轉(zhuǎn)發(fā)防攻擊能力強大防ARP攻擊防DOS攻擊防蠕蟲病毒攻擊802.1x認證支持IP+MAC+端口綁定方便地實現(xiàn)安全配置文件的導(dǎo)入和導(dǎo)出交換機使用和管理極其方便簡單美觀易用的WEB管理界面：網(wǎng)管就想看小人書一樣輕松按照不同行業(yè)應(yīng)用特點，在WEB管理界面里定制不同管理專區(qū)網(wǎng)吧專區(qū)智能端口設(shè)定：為網(wǎng)吧收銀服務(wù)器、監(jiān)控服務(wù)器、電影音樂服務(wù)器、游戲更新服務(wù)器、路由器等自動進行優(yōu)化支持Web網(wǎng)管、通過Console口進行管理、

4、Telnet遠程管理豐富的端口特性端口隔離、端口安全、端口匯聚、端口鏡像、端口帶寬控制、廣播風暴抑制、VCT電纜檢測支持512個基于802.1Q的VLAN，完全滿足門店內(nèi)部的VLAN劃分需求高性價比：您付出的每一分錢都物超所值S1526： 24個10/100M自適應(yīng)RJ45端口，支持端口自動翻轉(zhuǎn)（Auto DI/MDIX） 2個千兆光電復(fù)用口（SFP/RJ45復(fù)用）1個Console口選擇理由：支持26個Port VLAN和256個IEEE 802.1Q Tag VLAN 支持端口聚合：FE：支持整機最多2組，每組最多4個端口；GE：1組，每組最多2端口提供端口帶寬控制功能，最小粒度為64kb

5、ps 支持IEEE 802.1p優(yōu)先級協(xié)議模式、支持WRR（加權(quán)輪詢）調(diào)度，支持每端口4個輸出隊列提供端口安全控制功能支持廣播風暴控制 支持端口鏡像功能 支持MAC地址老化時間設(shè)置 提供Web管理 支持交換機系統(tǒng)軟件的升級 內(nèi)置通用電源，1U鋼殼，19英寸標準機架結(jié)構(gòu)，工業(yè)級設(shè)計以上產(chǎn)品的詳細資料請參考H3C提供的產(chǎn)品資料。門店整體方案特色：H3C寬帶路由器支持IPSec VPN，防火墻功能，DHCP SERVER，一機多能，簡化了網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)省投資整體方案具有完善的安全特性，可以保證門店網(wǎng)絡(luò)的安全性。尤其可以防止目前困擾很多酒店的ARP病毒攻擊的問題?？梢苑乐箒碜詢?nèi)部和外部的攻擊。房間號和V

6、LAN號自動對應(yīng)，并可以幫助公安監(jiān)控實現(xiàn)基于客房的精確定位，滿足公安監(jiān)控的要求?？头烤W(wǎng)絡(luò)布線自動識別系統(tǒng)，減少酒店網(wǎng)線連接的識別工作。所選擇的設(shè)備都經(jīng)過了市場的大量應(yīng)用考驗，成熟穩(wěn)定可靠高性價比完全滿足客戶對門店的建設(shè)要求，應(yīng)該說超出客戶的要求?？偟昙夹g(shù)要求及組網(wǎng)方案技術(shù)要求：1. 按照200家門店的規(guī)模規(guī)劃公司的硬件網(wǎng)絡(luò)2. 老的門店的改造盡量使用已經(jīng)購買的網(wǎng)絡(luò)設(shè)備3. 支持VPN，VLAN，防火墻，網(wǎng)管功能等，說明各主要功能的實現(xiàn)方式4. 網(wǎng)絡(luò)結(jié)構(gòu)和性能需支持視頻會議系統(tǒng)5. 說明設(shè)備清單，包括品牌，型號，數(shù)量，價格，主要技術(shù)指標6. 說明網(wǎng)絡(luò)拓撲圖和路由圖。7. 說明總部和門店端IP地址

7、分配方式8. 說明技術(shù)支持的方式組網(wǎng)方案：設(shè)備選型：VPN網(wǎng)關(guān)及防火墻：H3C SecPath F1000-S：H3C高性能千兆專業(yè)防火墻及VPN網(wǎng)關(guān)4個固定GE（兩個固定光電COMBO口，兩個電口）最大可以擴展到：8GE/4GE+8FE選擇理由：F1000-S可以支持3500個IPSEC VPN隧道，完全可以滿足200多個門店的接入。加入采用3DES加密方式，可以支持650M的流量。如果200個門店均以2M ADSL接入以IPSEC VPN接入到總部，總共的加密帶寬不超過400M，650M的處理能力足夠。假設(shè)每個門店均以10M的寬帶接入internet以IPSEC VPN接入到總部，最高流量

8、2G，但是考慮到不可能全部并發(fā)，有一定的收斂比，所以650M帶寬也足夠。多出口，可以實現(xiàn)同時連接電信、網(wǎng)通的鏈路，同時還可以利用外接的modem池實現(xiàn)PSTN的備份鏈路。DMZ區(qū)部署用于internet訪問的各類服務(wù)器。F1000-S專業(yè)的防火墻功能，提供完善安全保護：支持基礎(chǔ)、擴展和基于接口的狀態(tài)檢測包過濾技術(shù)，支持按照時間段進行過濾；支持H3C特有ASPF應(yīng)用層報文過濾（Application Specific Packet Filter）協(xié)議，支持對每一個連接狀態(tài)信息的維護監(jiān)測并動態(tài)地過濾數(shù)據(jù)包，支持對FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245， RTP

9、/RTCP等）應(yīng)用層協(xié)議的狀態(tài)監(jiān)控，支持TCP/UDP應(yīng)用的狀態(tài)監(jiān)控對DoS/DDoS攻擊的防范ARP欺騙攻擊的防范提供ARP主動反向查詢TCP報文標志位不合法攻擊防范超大ICMP報文攻擊防范地址/端口掃描的防范ICMP重定向或不可達報文控制功能Tracert報文控制功能帶路由記錄選項IP報文控制功能靜態(tài)和動態(tài)黑名單功能MAC和IP綁定功能支持智能防范蠕蟲病毒技術(shù)可以有效的識別網(wǎng)絡(luò)中的BT、Edonkey、Emule等各種P2P模式的應(yīng)用，并且對這些應(yīng)用采取限流的控制措施，有效保護網(wǎng)絡(luò)帶寬；支持郵件過濾，提供SMTP郵件地址、標題和內(nèi)容過濾；支持網(wǎng)頁過濾，提供HTTP URL和內(nèi)容過濾；支持應(yīng)

10、用層過濾，提供Java/ActiveX Blocking和SQL注入攻擊防范支持RADIUS和HWTACACS協(xié)議及域認證支持基于PKI /CA體系的數(shù)字證書（X.509格式）認證功能在PPP線路上支持CHAP和PAP驗證協(xié)議集中管理與審計：提供各種日志功能、流量統(tǒng)計和分析功能、各種事件監(jiān)控和統(tǒng)計功能、郵件告警功能專業(yè)靈活的VPN服務(wù)：支持L2TP VPN、GRE VPN、IPSec VPN、動態(tài)VPN等多種VPN業(yè)務(wù)模式利用動態(tài)VPN（DVPN）技術(shù)，簡化VPN配置，實現(xiàn)按需動態(tài)構(gòu)建VPN網(wǎng)絡(luò)在擴展插槽上增加SSL VPN板卡，可以支持SSL VPN，實現(xiàn)基于任何internet位置上的移動

11、VPN接入酒店網(wǎng)絡(luò)。集成路由功能，可以省去路由器：支持路由、透明及混合運行模式支持靜態(tài)路由協(xié)議支持RIP v1/2、OSPF、BGP動態(tài)路由協(xié)議支持路由策略及策略路由業(yè)界最高級的安全防護：實時入侵抵御系統(tǒng)IPS（可選）：H3C SecPath T200：H3C實時入侵抵御系統(tǒng)4（10/100/1000M以太電口）一個擴展槽，可以配置4個10/100M以太電口，或2個1000M以太SFF光口選擇理由：深度防御、應(yīng)用層攻擊防御：業(yè)界最高的安全防護等級客戶機和服務(wù)器保護抵御針對應(yīng)用和操作系統(tǒng)漏洞的攻擊擯棄代價昂貴的應(yīng)急補丁工作精細化的深度防御與應(yīng)用控制病毒過濾全球頂尖級病毒分析專家團隊擁有超過40萬

12、的病毒樣本阻止多種類型的網(wǎng)絡(luò)蠕蟲/病毒攻擊深度過濾隱藏在IM/P2P/email等常用軟件中攜帶的病毒過濾壓縮后的病毒、木馬過濾變種病毒網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護保護DNS和其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施抵御流量異常以及SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、CC等各種DDoS攻擊訪問控制流量正規(guī)化提高網(wǎng)絡(luò)帶寬和路由器性能正規(guī)化非法網(wǎng)絡(luò)流量優(yōu)化網(wǎng)絡(luò)性能URL過濾根據(jù)時間定制過濾規(guī)則自定義URL過濾規(guī)則URL過濾與帶寬管理關(guān)聯(lián)定制組合應(yīng)用性能保護提高帶寬和服務(wù)器性能阻止或限制P2P/IM等非關(guān)鍵流量特征庫實時升級抵御零日攻擊最新特征庫自動發(fā)布專業(yè)靈活的VPN服務(wù)：支

13、持L2TP VPN、GRE VPN、IPSec VPN、動態(tài)VPN等多種VPN業(yè)務(wù)模式利用動態(tài)VPN（DVPN）技術(shù)，簡化VPN配置，實現(xiàn)按需動態(tài)構(gòu)建VPN網(wǎng)絡(luò)對威脅的處理方式：SecPath T200提供了豐富的威脅響應(yīng)方式，包括阻斷、限流、TCP Reset、抓取原始報文、重定向、隔離、Email告警、日志記錄等，各響應(yīng)方式可以相互組合。設(shè)備出廠時已內(nèi)置了一些常用的響應(yīng)組合，便于部署和維護?？煽啃裕篠ecPath T200使用無源連接設(shè)備PFC（Power Free Connector）提供掉電保護功能。在T200掉電的情況下，PFC將網(wǎng)絡(luò)流量自動繞開T200，旁路到下一跳設(shè)備上去；當恢復(fù)

14、電源供給后，PFC又會自動禁止旁路功能，所有流量將再度流經(jīng)T200接受檢測。核心交換機： H3C S7502：19英寸機架式交換機電源冗余備份可以實現(xiàn)主控的冗余備份2個業(yè)務(wù)槽位192G交換容量144Mpps包轉(zhuǎn)發(fā)率選擇理由：分布式業(yè)務(wù)處理體系：H3C S7500系列交換機采用先進的全分布式體系結(jié)構(gòu)設(shè)計，通過主引擎和分布式高速業(yè)務(wù)接口板上內(nèi)置的Crossbar交換網(wǎng)芯片實現(xiàn)板內(nèi)、板間二、三層流量的線速分布式轉(zhuǎn)發(fā)，通過分布式高速業(yè)務(wù)接口板上內(nèi)置的高性能CPU與位于主控引擎上的CPU協(xié)同工作，實現(xiàn)ACL、流分類、QOS、組播等業(yè)務(wù)的全分布式處理。強大的L2/L3轉(zhuǎn)發(fā)性能：H3C S7500系列交換機

15、支持無源背板，支持雙路電源供電，支持引擎、電源、風扇的冗余，支持單板熱插拔，并可以支持STP/RSTP/MSTP/VRRP等協(xié)議實現(xiàn)鏈路冗余，同時S7500系列交換機支持基于硬件的RPR彈性分組環(huán)和基于軟件的快速環(huán)網(wǎng)保護技術(shù)，分別可以提供50ms和亞秒級別的鏈路故障業(yè)務(wù)快速恢復(fù)手段，這些使得以S7500系列交換機為核心的骨干網(wǎng)絡(luò)可靠性大大提高，保障了業(yè)務(wù)的永續(xù)性。H3C S7500系列交換機支持強大的組播功能、靈活QinQ、802.1x、內(nèi)置DHCP-SERVER、NAT、PBR、POE、EPON等多種業(yè)務(wù)特性，這些業(yè)務(wù)特性極大的提高了企業(yè)網(wǎng)絡(luò)業(yè)務(wù)部署的簡便性和靈活性，同時增強了對IP語音、視

16、頻、WLAN的支持能力，為企業(yè)IT系統(tǒng)實現(xiàn)通信整合提供了便利?；?“ASIC+NP”的體系結(jié)構(gòu)，可以靈活的支持業(yè)務(wù)功能的不斷擴展，通過多功能網(wǎng)絡(luò)處理器模塊，可以進一步支持NAT、PBR等多種高級業(yè)務(wù)特性?？偛空w方案特色：高性能：防火墻、IPS、核心交換機的性能完全能滿足實際要求。高度安全：業(yè)界最高等級安全防護。高穩(wěn)定性：防火墻多鏈路備份、IPS的掉電保護、核心交換機的電源冗余備份、主控冗余備份。網(wǎng)絡(luò)結(jié)構(gòu)合理清晰所選擇的設(shè)備都經(jīng)過了市場的大量應(yīng)用考驗，成熟穩(wěn)定可靠高性價比完全滿足客戶對總部的建設(shè)要求整體網(wǎng)絡(luò)的介紹整網(wǎng)的拓撲圖：拓撲圖說明：門店和總部的拓撲圖不再介紹，前面兩章已經(jīng)介紹。廣域網(wǎng)連

17、接方式：每個門店可以選擇以2M adsl方式接入internet或者以10M寬帶接入internet。IPSec VPN可以選擇和總部的電信網(wǎng)鏈路、網(wǎng)通網(wǎng)鏈路連接。同時每個門店還可以外接一個modem通過pstn網(wǎng)和總部的modem池鏈接，起到鏈路的備份作用。但主鏈路出現(xiàn)故障，還可以通過撥號和總部鏈接。地址分配：需要公網(wǎng)IP地址的設(shè)備：每個門店的出口路由器需要公網(wǎng)地址，如果只有一條鏈路，只需要1個公網(wǎng)地址。寬帶的公網(wǎng)地址由申請寬帶時由運營商提供。如果還需要PSTN備份，該IP地址撥號時自動分配，無需申請?？偛砍隹诘姆阑饓υO(shè)備，如果有2個出口，需要2個公網(wǎng)地址。另外DMZ中隊外服務(wù)的服務(wù)器每個都

18、需要公網(wǎng)IP地址。需要私網(wǎng)IP地址場合：門店需要地址的設(shè)備或區(qū)域：服務(wù)器區(qū)，辦公區(qū)，前臺區(qū)，客房區(qū)，數(shù)碼房區(qū)。策略：“服務(wù)器區(qū)，辦公區(qū)，前臺區(qū)”整體歸類為辦公網(wǎng)，分配辦公網(wǎng)地址段地址“客房區(qū)，數(shù)碼房區(qū)”整體歸為客房網(wǎng)，分配客房網(wǎng)地址段地址門店需要地址的設(shè)備或區(qū)域：服務(wù)器區(qū)，總部辦公區(qū)，總部信息中心，門店辦公區(qū)，門店前臺區(qū)，客房區(qū)，數(shù)碼房區(qū)。策略：“服務(wù)器區(qū)，總部辦公區(qū)，總部信息中心，門店辦公區(qū)，門店前臺區(qū)”整體歸類為辦公網(wǎng)，分配辦公網(wǎng)地址段地址“客房區(qū)，數(shù)碼房區(qū)”整體歸為客房網(wǎng)，分配客房網(wǎng)地址段地址明確以上原則后，我們再來分析具體如何進行私網(wǎng)地址分配。因為門店的辦公網(wǎng)需要和總部的辦公網(wǎng)互通，因

19、此每個門店的私網(wǎng)網(wǎng)段、以及總部的私網(wǎng)網(wǎng)段都不能重復(fù)。而客房網(wǎng)因為彼此之間無需互聯(lián)，只要能訪問互聯(lián)網(wǎng)即可，因此可以重復(fù)。客房網(wǎng)私網(wǎng)IP地址分配規(guī)則如下：所有門店（包括總部門店）都采用的私網(wǎng)B類地址，一個B類地址有65535個IP地址，足夠每個門店隨便使用了，可以隨便用。因為可以重復(fù)使用，每個門店都可以這樣設(shè)置。門店當然也可以只挑選幾個C類地址段使用。比如：給數(shù)碼房區(qū)的數(shù)碼房服務(wù)器的地址池配一個C類地址段。而其他一般客房使用其他的一些C類地址段、。這些都是在ER3200里面針對客房的DHCPserver中進行設(shè)置的，并可以同時設(shè)置好對應(yīng)的VLAN。辦公網(wǎng)私網(wǎng)IP地址分配規(guī)則如下：所有門店（包括總部

20、門店）、以及總部都采用的私網(wǎng)B類地址，由于門店需要訪問總部的服務(wù)器，彼此之間需要互訪，所以彼此之間的地址段不能重復(fù)?？紤]到每個分店的辦公PC、服務(wù)器數(shù)量比較少，給每個門店一個C類地址，有254個地址可用。門店的地址分配方式也是動態(tài)分配，地址池在ER3200路由上設(shè)置。總部的DHCPserver可以設(shè)置的S7502交換機上?？偛啃枰腎P地址數(shù)量較多，可以多分配幾個C類地址段。路由規(guī)則和路由圖：路由規(guī)則：門店：客房網(wǎng)只能訪問internet，不能訪問辦公網(wǎng)，不能通過IPSEC VPN鏈接總部；辦公網(wǎng)可以訪問internet，不能訪問客房，可以通過IPSEC VPN鏈接總部；門店與門店之間：門店與

21、門店可以互訪，也可以禁止互訪，規(guī)則請客戶自己確定?；ピL的控制可以在總部的防火墻上設(shè)置規(guī)則。路由圖：（以門店1為例）總部網(wǎng)絡(luò)改造方案高中低三種配置選型總店的改造涉及到的設(shè)備：專業(yè)防火墻及VPN網(wǎng)關(guān)、核心交換機、IPS、無線。下面針對每種設(shè)備推薦配置：專業(yè)防火墻及VPN網(wǎng)關(guān)型號規(guī)格高配置Secpath F1000-A2個固定GE（兩個固定光電COMBO口）1個插槽，最大可以擴展到：4GE/2GE+4FE防火墻吞吐量：1.5Gbps3DES加密：600MbpsIPSEC VPN隧道數(shù)：5000個中配置Secpath F1000-S4個固定GE（兩個固定光電COMBO口，兩個電口）兩個插槽，最大可以擴展到：8GE/4GE+8FE防火墻吞吐量：1Gbps3DES加密：600MbpsIPSEC VPN隧道數(shù)：3500個低配置Secpath F100-E4個固定FE1個插槽，最大可以擴展到：8FE/4FE+2GE防火墻吞吐量：400Mbps3DES加密：200MbpsIPSEC VPN隧道數(shù)：2000個核心交換機型號規(guī)格高配置H3C S7502E19英寸機架式交換機電源冗余備份可以實現(xiàn)主控的冗余備份2個業(yè)務(wù)槽位192G交換容量144