商務(wù)連鎖酒店網(wǎng)絡(luò)改造方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專(zhuān)心-專(zhuān)注-專(zhuān)業(yè)專(zhuān)心-專(zhuān)注-專(zhuān)業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專(zhuān)心-專(zhuān)注-專(zhuān)業(yè)XXXX商務(wù)連鎖酒店網(wǎng)絡(luò)改造方案杭州華三通信技術(shù)有限公司目 錄 TOC o 1-3 h z u 門(mén)店技術(shù)要求及組網(wǎng)方案技術(shù)要求：網(wǎng)絡(luò)穩(wěn)定性高低成本門(mén)店以VPN方式接入總部支持對(duì)客房區(qū)、辦公區(qū)的VLAN劃分實(shí)現(xiàn)流量控制。組網(wǎng)方案：設(shè)備選型：ER3200：新一代高性能寬帶路由器2個(gè)百兆WAN口、4個(gè)百兆LAN口選擇理由：500Mhz的CPU主頻，擁有一顆強(qiáng)勁的心支持IPSec VPN，通過(guò)internet實(shí)現(xiàn)和總部的VPN連接帶有很強(qiáng)的防火墻功能，可以進(jìn)行靈活acl控制，可

2、以防QQ/MSN，防BT下載，防外網(wǎng)入侵和攻擊，智能網(wǎng)頁(yè)過(guò)濾靈活的訪(fǎng)問(wèn)控制功能，可以按部門(mén)、按業(yè)務(wù)、按時(shí)間來(lái)設(shè)置控制策略全面防止ARP攻擊，保證上網(wǎng)不掉線(xiàn)彈性帶寬控制，忙時(shí)不允許超過(guò)額定帶寬，閑時(shí)可超出額定帶寬可以進(jìn)行實(shí)時(shí)流量統(tǒng)計(jì)，按照流量大小進(jìn)行排序支持將客人的首次internet訪(fǎng)問(wèn)重定向到酒店網(wǎng)站進(jìn)行宣傳2個(gè)百兆WAN口，一口以寬帶接入internet，另一口配合modem利用PSTN備份鏈接到總部的modem池，可自動(dòng)檢測(cè)故障進(jìn)行切換。也可以負(fù)載均衡方式工作帶機(jī)量達(dá)到100-200臺(tái)，滿(mǎn)足門(mén)店的帶機(jī)要求圖形化web管理界面，使用方便為酒店客戶(hù)定制的管理界面，以客戶(hù)熟悉和習(xí)慣的方式設(shè)置支

3、持以web方式遠(yuǎn)程登錄管理寬帶路由器同時(shí)可做DHCP serverS5024E：全千兆智能防攻擊交換機(jī)24個(gè)千兆下行電口、4個(gè)光電復(fù)用千兆上行口選擇理由：96G的交換容量，全線(xiàn)速無(wú)阻塞轉(zhuǎn)發(fā)防攻擊能力強(qiáng)大防ARP攻擊防DOS攻擊防蠕蟲(chóng)病毒攻擊802.1x認(rèn)證支持IP+MAC+端口綁定方便地實(shí)現(xiàn)安全配置文件的導(dǎo)入和導(dǎo)出交換機(jī)使用和管理極其方便簡(jiǎn)單美觀易用的WEB管理界面：網(wǎng)管就想看小人書(shū)一樣輕松按照不同行業(yè)應(yīng)用特點(diǎn)，在WEB管理界面里定制不同管理專(zhuān)區(qū)網(wǎng)吧專(zhuān)區(qū)智能端口設(shè)定：為網(wǎng)吧收銀服務(wù)器、監(jiān)控服務(wù)器、電影音樂(lè)服務(wù)器、游戲更新服務(wù)器、路由器等自動(dòng)進(jìn)行優(yōu)化支持Web網(wǎng)管、通過(guò)Console口進(jìn)行管理、

4、Telnet遠(yuǎn)程管理豐富的端口特性端口隔離、端口安全、端口匯聚、端口鏡像、端口帶寬控制、廣播風(fēng)暴抑制、VCT電纜檢測(cè)支持512個(gè)基于802.1Q的VLAN，完全滿(mǎn)足門(mén)店內(nèi)部的VLAN劃分需求高性?xún)r(jià)比：您付出的每一分錢(qián)都物超所值S1526： 24個(gè)10/100M自適應(yīng)RJ45端口，支持端口自動(dòng)翻轉(zhuǎn)（Auto DI/MDIX） 2個(gè)千兆光電復(fù)用口（SFP/RJ45復(fù)用）1個(gè)Console口選擇理由：支持26個(gè)Port VLAN和256個(gè)IEEE 802.1Q Tag VLAN 支持端口聚合：FE：支持整機(jī)最多2組，每組最多4個(gè)端口；GE：1組，每組最多2端口提供端口帶寬控制功能，最小粒度為64kb

5、ps 支持IEEE 802.1p優(yōu)先級(jí)協(xié)議模式、支持WRR（加權(quán)輪詢(xún)）調(diào)度，支持每端口4個(gè)輸出隊(duì)列提供端口安全控制功能支持廣播風(fēng)暴控制 支持端口鏡像功能 支持MAC地址老化時(shí)間設(shè)置 提供Web管理 支持交換機(jī)系統(tǒng)軟件的升級(jí) 內(nèi)置通用電源，1U鋼殼，19英寸標(biāo)準(zhǔn)機(jī)架結(jié)構(gòu)，工業(yè)級(jí)設(shè)計(jì)以上產(chǎn)品的詳細(xì)資料請(qǐng)參考H3C提供的產(chǎn)品資料。門(mén)店整體方案特色：H3C寬帶路由器支持IPSec VPN，防火墻功能，DHCP SERVER，一機(jī)多能，簡(jiǎn)化了網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)省投資整體方案具有完善的安全特性，可以保證門(mén)店網(wǎng)絡(luò)的安全性。尤其可以防止目前困擾很多酒店的ARP病毒攻擊的問(wèn)題。可以防止來(lái)自?xún)?nèi)部和外部的攻擊。房間號(hào)和V

6、LAN號(hào)自動(dòng)對(duì)應(yīng)，并可以幫助公安監(jiān)控實(shí)現(xiàn)基于客房的精確定位，滿(mǎn)足公安監(jiān)控的要求?？头烤W(wǎng)絡(luò)布線(xiàn)自動(dòng)識(shí)別系統(tǒng)，減少酒店網(wǎng)線(xiàn)連接的識(shí)別工作。所選擇的設(shè)備都經(jīng)過(guò)了市場(chǎng)的大量應(yīng)用考驗(yàn)，成熟穩(wěn)定可靠高性?xún)r(jià)比完全滿(mǎn)足客戶(hù)對(duì)門(mén)店的建設(shè)要求，應(yīng)該說(shuō)超出客戶(hù)的要求?？偟昙夹g(shù)要求及組網(wǎng)方案技術(shù)要求：1. 按照200家門(mén)店的規(guī)模規(guī)劃公司的硬件網(wǎng)絡(luò)2. 老的門(mén)店的改造盡量使用已經(jīng)購(gòu)買(mǎi)的網(wǎng)絡(luò)設(shè)備3. 支持VPN，VLAN，防火墻，網(wǎng)管功能等，說(shuō)明各主要功能的實(shí)現(xiàn)方式4. 網(wǎng)絡(luò)結(jié)構(gòu)和性能需支持視頻會(huì)議系統(tǒng)5. 說(shuō)明設(shè)備清單，包括品牌，型號(hào)，數(shù)量，價(jià)格，主要技術(shù)指標(biāo)6. 說(shuō)明網(wǎng)絡(luò)拓?fù)鋱D和路由圖。7. 說(shuō)明總部和門(mén)店端IP地址

7、分配方式8. 說(shuō)明技術(shù)支持的方式組網(wǎng)方案：設(shè)備選型：VPN網(wǎng)關(guān)及防火墻：H3C SecPath F1000-S：H3C高性能千兆專(zhuān)業(yè)防火墻及VPN網(wǎng)關(guān)4個(gè)固定GE（兩個(gè)固定光電COMBO口，兩個(gè)電口）最大可以擴(kuò)展到：8GE/4GE+8FE選擇理由：F1000-S可以支持3500個(gè)IPSEC VPN隧道，完全可以滿(mǎn)足200多個(gè)門(mén)店的接入。加入采用3DES加密方式，可以支持650M的流量。如果200個(gè)門(mén)店均以2M ADSL接入以IPSEC VPN接入到總部，總共的加密帶寬不超過(guò)400M，650M的處理能力足夠。假設(shè)每個(gè)門(mén)店均以10M的寬帶接入internet以IPSEC VPN接入到總部，最高流量

8、2G，但是考慮到不可能全部并發(fā)，有一定的收斂比，所以650M帶寬也足夠。多出口，可以實(shí)現(xiàn)同時(shí)連接電信、網(wǎng)通的鏈路，同時(shí)還可以利用外接的modem池實(shí)現(xiàn)PSTN的備份鏈路。DMZ區(qū)部署用于internet訪(fǎng)問(wèn)的各類(lèi)服務(wù)器。F1000-S專(zhuān)業(yè)的防火墻功能，提供完善安全保護(hù)：支持基礎(chǔ)、擴(kuò)展和基于接口的狀態(tài)檢測(cè)包過(guò)濾技術(shù)，支持按照時(shí)間段進(jìn)行過(guò)濾；支持H3C特有ASPF應(yīng)用層報(bào)文過(guò)濾（Application Specific Packet Filter）協(xié)議，支持對(duì)每一個(gè)連接狀態(tài)信息的維護(hù)監(jiān)測(cè)并動(dòng)態(tài)地過(guò)濾數(shù)據(jù)包，支持對(duì)FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245， RTP

9、/RTCP等）應(yīng)用層協(xié)議的狀態(tài)監(jiān)控，支持TCP/UDP應(yīng)用的狀態(tài)監(jiān)控對(duì)DoS/DDoS攻擊的防范ARP欺騙攻擊的防范提供ARP主動(dòng)反向查詢(xún)TCP報(bào)文標(biāo)志位不合法攻擊防范超大ICMP報(bào)文攻擊防范地址/端口掃描的防范ICMP重定向或不可達(dá)報(bào)文控制功能Tracert報(bào)文控制功能帶路由記錄選項(xiàng)IP報(bào)文控制功能靜態(tài)和動(dòng)態(tài)黑名單功能MAC和IP綁定功能支持智能防范蠕蟲(chóng)病毒技術(shù)可以有效的識(shí)別網(wǎng)絡(luò)中的BT、Edonkey、Emule等各種P2P模式的應(yīng)用，并且對(duì)這些應(yīng)用采取限流的控制措施，有效保護(hù)網(wǎng)絡(luò)帶寬；支持郵件過(guò)濾，提供SMTP郵件地址、標(biāo)題和內(nèi)容過(guò)濾；支持網(wǎng)頁(yè)過(guò)濾，提供HTTP URL和內(nèi)容過(guò)濾；支持應(yīng)

10、用層過(guò)濾，提供Java/ActiveX Blocking和SQL注入攻擊防范支持RADIUS和HWTACACS協(xié)議及域認(rèn)證支持基于PKI /CA體系的數(shù)字證書(shū)（X.509格式）認(rèn)證功能在PPP線(xiàn)路上支持CHAP和PAP驗(yàn)證協(xié)議集中管理與審計(jì)：提供各種日志功能、流量統(tǒng)計(jì)和分析功能、各種事件監(jiān)控和統(tǒng)計(jì)功能、郵件告警功能專(zhuān)業(yè)靈活的VPN服務(wù)：支持L2TP VPN、GRE VPN、IPSec VPN、動(dòng)態(tài)VPN等多種VPN業(yè)務(wù)模式利用動(dòng)態(tài)VPN（DVPN）技術(shù)，簡(jiǎn)化VPN配置，實(shí)現(xiàn)按需動(dòng)態(tài)構(gòu)建VPN網(wǎng)絡(luò)在擴(kuò)展插槽上增加SSL VPN板卡，可以支持SSL VPN，實(shí)現(xiàn)基于任何internet位置上的移動(dòng)

11、VPN接入酒店網(wǎng)絡(luò)。集成路由功能，可以省去路由器：支持路由、透明及混合運(yùn)行模式支持靜態(tài)路由協(xié)議支持RIP v1/2、OSPF、BGP動(dòng)態(tài)路由協(xié)議支持路由策略及策略路由業(yè)界最高級(jí)的安全防護(hù)：實(shí)時(shí)入侵抵御系統(tǒng)IPS（可選）：H3C SecPath T200：H3C實(shí)時(shí)入侵抵御系統(tǒng)4（10/100/1000M以太電口）一個(gè)擴(kuò)展槽，可以配置4個(gè)10/100M以太電口，或2個(gè)1000M以太SFF光口選擇理由：深度防御、應(yīng)用層攻擊防御：業(yè)界最高的安全防護(hù)等級(jí)客戶(hù)機(jī)和服務(wù)器保護(hù)抵御針對(duì)應(yīng)用和操作系統(tǒng)漏洞的攻擊擯棄代價(jià)昂貴的應(yīng)急補(bǔ)丁工作精細(xì)化的深度防御與應(yīng)用控制病毒過(guò)濾全球頂尖級(jí)病毒分析專(zhuān)家團(tuán)隊(duì)擁有超過(guò)40萬(wàn)

12、的病毒樣本阻止多種類(lèi)型的網(wǎng)絡(luò)蠕蟲(chóng)/病毒攻擊深度過(guò)濾隱藏在IM/P2P/email等常用軟件中攜帶的病毒過(guò)濾壓縮后的病毒、木馬過(guò)濾變種病毒網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)保護(hù)DNS和其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施抵御流量異常以及SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、CC等各種DDoS攻擊訪(fǎng)問(wèn)控制流量正規(guī)化提高網(wǎng)絡(luò)帶寬和路由器性能正規(guī)化非法網(wǎng)絡(luò)流量?jī)?yōu)化網(wǎng)絡(luò)性能URL過(guò)濾根據(jù)時(shí)間定制過(guò)濾規(guī)則自定義URL過(guò)濾規(guī)則URL過(guò)濾與帶寬管理關(guān)聯(lián)定制組合應(yīng)用性能保護(hù)提高帶寬和服務(wù)器性能阻止或限制P2P/IM等非關(guān)鍵流量特征庫(kù)實(shí)時(shí)升級(jí)抵御零日攻擊最新特征庫(kù)自動(dòng)發(fā)布專(zhuān)業(yè)靈活的VPN服務(wù)：支

13、持L2TP VPN、GRE VPN、IPSec VPN、動(dòng)態(tài)VPN等多種VPN業(yè)務(wù)模式利用動(dòng)態(tài)VPN（DVPN）技術(shù)，簡(jiǎn)化VPN配置，實(shí)現(xiàn)按需動(dòng)態(tài)構(gòu)建VPN網(wǎng)絡(luò)對(duì)威脅的處理方式：SecPath T200提供了豐富的威脅響應(yīng)方式，包括阻斷、限流、TCP Reset、抓取原始報(bào)文、重定向、隔離、Email告警、日志記錄等，各響應(yīng)方式可以相互組合。設(shè)備出廠時(shí)已內(nèi)置了一些常用的響應(yīng)組合，便于部署和維護(hù)。可靠性：SecPath T200使用無(wú)源連接設(shè)備PFC（Power Free Connector）提供掉電保護(hù)功能。在T200掉電的情況下，PFC將網(wǎng)絡(luò)流量自動(dòng)繞開(kāi)T200，旁路到下一跳設(shè)備上去；當(dāng)恢復(fù)

14、電源供給后，PFC又會(huì)自動(dòng)禁止旁路功能，所有流量將再度流經(jīng)T200接受檢測(cè)。核心交換機(jī)： H3C S7502：19英寸機(jī)架式交換機(jī)電源冗余備份可以實(shí)現(xiàn)主控的冗余備份2個(gè)業(yè)務(wù)槽位192G交換容量144Mpps包轉(zhuǎn)發(fā)率選擇理由：分布式業(yè)務(wù)處理體系：H3C S7500系列交換機(jī)采用先進(jìn)的全分布式體系結(jié)構(gòu)設(shè)計(jì)，通過(guò)主引擎和分布式高速業(yè)務(wù)接口板上內(nèi)置的Crossbar交換網(wǎng)芯片實(shí)現(xiàn)板內(nèi)、板間二、三層流量的線(xiàn)速分布式轉(zhuǎn)發(fā)，通過(guò)分布式高速業(yè)務(wù)接口板上內(nèi)置的高性能CPU與位于主控引擎上的CPU協(xié)同工作，實(shí)現(xiàn)ACL、流分類(lèi)、QOS、組播等業(yè)務(wù)的全分布式處理。強(qiáng)大的L2/L3轉(zhuǎn)發(fā)性能：H3C S7500系列交換機(jī)

15、支持無(wú)源背板，支持雙路電源供電，支持引擎、電源、風(fēng)扇的冗余，支持單板熱插拔，并可以支持STP/RSTP/MSTP/VRRP等協(xié)議實(shí)現(xiàn)鏈路冗余，同時(shí)S7500系列交換機(jī)支持基于硬件的RPR彈性分組環(huán)和基于軟件的快速環(huán)網(wǎng)保護(hù)技術(shù)，分別可以提供50ms和亞秒級(jí)別的鏈路故障業(yè)務(wù)快速恢復(fù)手段，這些使得以S7500系列交換機(jī)為核心的骨干網(wǎng)絡(luò)可靠性大大提高，保障了業(yè)務(wù)的永續(xù)性。H3C S7500系列交換機(jī)支持強(qiáng)大的組播功能、靈活QinQ、802.1x、內(nèi)置DHCP-SERVER、NAT、PBR、POE、EPON等多種業(yè)務(wù)特性，這些業(yè)務(wù)特性極大的提高了企業(yè)網(wǎng)絡(luò)業(yè)務(wù)部署的簡(jiǎn)便性和靈活性，同時(shí)增強(qiáng)了對(duì)IP語(yǔ)音、視

16、頻、WLAN的支持能力，為企業(yè)IT系統(tǒng)實(shí)現(xiàn)通信整合提供了便利?；?“ASIC+NP”的體系結(jié)構(gòu)，可以靈活的支持業(yè)務(wù)功能的不斷擴(kuò)展，通過(guò)多功能網(wǎng)絡(luò)處理器模塊，可以進(jìn)一步支持NAT、PBR等多種高級(jí)業(yè)務(wù)特性。總部整體方案特色：高性能：防火墻、IPS、核心交換機(jī)的性能完全能滿(mǎn)足實(shí)際要求。高度安全：業(yè)界最高等級(jí)安全防護(hù)。高穩(wěn)定性：防火墻多鏈路備份、IPS的掉電保護(hù)、核心交換機(jī)的電源冗余備份、主控冗余備份。網(wǎng)絡(luò)結(jié)構(gòu)合理清晰所選擇的設(shè)備都經(jīng)過(guò)了市場(chǎng)的大量應(yīng)用考驗(yàn)，成熟穩(wěn)定可靠高性?xún)r(jià)比完全滿(mǎn)足客戶(hù)對(duì)總部的建設(shè)要求整體網(wǎng)絡(luò)的介紹整網(wǎng)的拓?fù)鋱D：拓?fù)鋱D說(shuō)明：門(mén)店和總部的拓?fù)鋱D不再介紹，前面兩章已經(jīng)介紹。廣域網(wǎng)連

17、接方式：每個(gè)門(mén)店可以選擇以2M adsl方式接入internet或者以10M寬帶接入internet。IPSec VPN可以選擇和總部的電信網(wǎng)鏈路、網(wǎng)通網(wǎng)鏈路連接。同時(shí)每個(gè)門(mén)店還可以外接一個(gè)modem通過(guò)pstn網(wǎng)和總部的modem池鏈接，起到鏈路的備份作用。但主鏈路出現(xiàn)故障，還可以通過(guò)撥號(hào)和總部鏈接。地址分配：需要公網(wǎng)IP地址的設(shè)備：每個(gè)門(mén)店的出口路由器需要公網(wǎng)地址，如果只有一條鏈路，只需要1個(gè)公網(wǎng)地址。寬帶的公網(wǎng)地址由申請(qǐng)寬帶時(shí)由運(yùn)營(yíng)商提供。如果還需要PSTN備份，該IP地址撥號(hào)時(shí)自動(dòng)分配，無(wú)需申請(qǐng)?？偛砍隹诘姆阑饓υO(shè)備，如果有2個(gè)出口，需要2個(gè)公網(wǎng)地址。另外DMZ中隊(duì)外服務(wù)的服務(wù)器每個(gè)都

18、需要公網(wǎng)IP地址。需要私網(wǎng)IP地址場(chǎng)合：門(mén)店需要地址的設(shè)備或區(qū)域：服務(wù)器區(qū)，辦公區(qū)，前臺(tái)區(qū)，客房區(qū)，數(shù)碼房區(qū)。策略：“服務(wù)器區(qū)，辦公區(qū)，前臺(tái)區(qū)”整體歸類(lèi)為辦公網(wǎng)，分配辦公網(wǎng)地址段地址“客房區(qū)，數(shù)碼房區(qū)”整體歸為客房網(wǎng)，分配客房網(wǎng)地址段地址門(mén)店需要地址的設(shè)備或區(qū)域：服務(wù)器區(qū)，總部辦公區(qū)，總部信息中心，門(mén)店辦公區(qū)，門(mén)店前臺(tái)區(qū)，客房區(qū)，數(shù)碼房區(qū)。策略：“服務(wù)器區(qū)，總部辦公區(qū)，總部信息中心，門(mén)店辦公區(qū)，門(mén)店前臺(tái)區(qū)”整體歸類(lèi)為辦公網(wǎng)，分配辦公網(wǎng)地址段地址“客房區(qū)，數(shù)碼房區(qū)”整體歸為客房網(wǎng)，分配客房網(wǎng)地址段地址明確以上原則后，我們?cè)賮?lái)分析具體如何進(jìn)行私網(wǎng)地址分配。因?yàn)殚T(mén)店的辦公網(wǎng)需要和總部的辦公網(wǎng)互通，因

19、此每個(gè)門(mén)店的私網(wǎng)網(wǎng)段、以及總部的私網(wǎng)網(wǎng)段都不能重復(fù)。而客房網(wǎng)因?yàn)楸舜酥g無(wú)需互聯(lián)，只要能訪(fǎng)問(wèn)互聯(lián)網(wǎng)即可，因此可以重復(fù)。客房網(wǎng)私網(wǎng)IP地址分配規(guī)則如下：所有門(mén)店（包括總部門(mén)店）都采用的私網(wǎng)B類(lèi)地址，一個(gè)B類(lèi)地址有65535個(gè)IP地址，足夠每個(gè)門(mén)店隨便使用了，可以隨便用。因?yàn)榭梢灾貜?fù)使用，每個(gè)門(mén)店都可以這樣設(shè)置。門(mén)店當(dāng)然也可以只挑選幾個(gè)C類(lèi)地址段使用。比如：給數(shù)碼房區(qū)的數(shù)碼房服務(wù)器的地址池配一個(gè)C類(lèi)地址段。而其他一般客房使用其他的一些C類(lèi)地址段、。這些都是在ER3200里面針對(duì)客房的DHCPserver中進(jìn)行設(shè)置的，并可以同時(shí)設(shè)置好對(duì)應(yīng)的VLAN。辦公網(wǎng)私網(wǎng)IP地址分配規(guī)則如下：所有門(mén)店（包括總部

20、門(mén)店）、以及總部都采用的私網(wǎng)B類(lèi)地址，由于門(mén)店需要訪(fǎng)問(wèn)總部的服務(wù)器，彼此之間需要互訪(fǎng)，所以彼此之間的地址段不能重復(fù)?？紤]到每個(gè)分店的辦公PC、服務(wù)器數(shù)量比較少，給每個(gè)門(mén)店一個(gè)C類(lèi)地址，有254個(gè)地址可用。門(mén)店的地址分配方式也是動(dòng)態(tài)分配，地址池在ER3200路由上設(shè)置?？偛康腄HCPserver可以設(shè)置的S7502交換機(jī)上。總部需要的IP地址數(shù)量較多，可以多分配幾個(gè)C類(lèi)地址段。路由規(guī)則和路由圖：路由規(guī)則：門(mén)店：客房網(wǎng)只能訪(fǎng)問(wèn)internet，不能訪(fǎng)問(wèn)辦公網(wǎng)，不能通過(guò)IPSEC VPN鏈接總部；辦公網(wǎng)可以訪(fǎng)問(wèn)internet，不能訪(fǎng)問(wèn)客房，可以通過(guò)IPSEC VPN鏈接總部；門(mén)店與門(mén)店之間：門(mén)店與

21、門(mén)店可以互訪(fǎng)，也可以禁止互訪(fǎng)，規(guī)則請(qǐng)客戶(hù)自己確定?；ピL(fǎng)的控制可以在總部的防火墻上設(shè)置規(guī)則。路由圖：（以門(mén)店1為例）總部網(wǎng)絡(luò)改造方案高中低三種配置選型總店的改造涉及到的設(shè)備：專(zhuān)業(yè)防火墻及VPN網(wǎng)關(guān)、核心交換機(jī)、IPS、無(wú)線(xiàn)。下面針對(duì)每種設(shè)備推薦配置：專(zhuān)業(yè)防火墻及VPN網(wǎng)關(guān)型號(hào)規(guī)格高配置Secpath F1000-A2個(gè)固定GE（兩個(gè)固定光電COMBO口）1個(gè)插槽，最大可以擴(kuò)展到：4GE/2GE+4FE防火墻吞吐量：1.5Gbps3DES加密：600MbpsIPSEC VPN隧道數(shù)：5000個(gè)中配置Secpath F1000-S4個(gè)固定GE（兩個(gè)固定光電COMBO口，兩個(gè)電口）兩個(gè)插槽，最大可以擴(kuò)展到：8GE/4GE+8FE防火墻吞吐量：1Gbps3DES加密：600MbpsIPSEC VPN隧道數(shù)：3500個(gè)低配置Secpath F100-E4個(gè)固定FE1個(gè)插槽，最大可以擴(kuò)展到：8FE/4FE+2GE防火墻吞吐量：400Mbps3DES加密：200MbpsIPSEC VPN隧道數(shù)：2000個(gè)核心交換機(jī)型號(hào)規(guī)格高配置H3C S7502E19英寸機(jī)架式交換機(jī)電源冗余備份可以實(shí)現(xiàn)主控的冗余備份2個(gè)業(yè)務(wù)槽位192G交換容量144