酒店網(wǎng)絡(luò)技術(shù)方案V2

目錄一、酒店網(wǎng)業(yè)務(wù)需求分析 21.1、項(xiàng)目背景 21.2、本次項(xiàng)目需求 4二、網(wǎng)絡(luò)設(shè)計(jì)原則 52.1、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) 62.2、傳統(tǒng)園區(qū)網(wǎng)存在的問題 62.3、Juniper的園區(qū)網(wǎng)結(jié)構(gòu)設(shè)計(jì) 7酒店交換網(wǎng)分層及功能 7三、項(xiàng)目方案規(guī)劃 93.1、網(wǎng)絡(luò)設(shè)備集成方案 10設(shè)備選型 10設(shè)備部署 10進(jìn)一步酒店網(wǎng)絡(luò)改造建議 113.2、酒店交換網(wǎng)選用設(shè)備 12JuniperEX系列交換機(jī) 12EX2200系列交換機(jī) 14EX4200系列交換機(jī) 錯(cuò)誤！未定義書簽。管理和支持選項(xiàng) 16防火墻SSG520 16行為審計(jì)系統(tǒng)-深信服M5400-AC 錯(cuò)誤！未定義書簽。3.3、酒店交換網(wǎng)結(jié)構(gòu)詳細(xì)設(shè)計(jì) 183.4、方案特點(diǎn) 18四、酒店網(wǎng)路由及參數(shù)設(shè)計(jì) 20路由設(shè)計(jì) 錯(cuò)誤！未定義書簽。IP地址規(guī)劃 20VLAN 規(guī)劃 20安全規(guī)劃 21QOS設(shè)計(jì) 22以太網(wǎng)遠(yuǎn)程供電 23JUNIPER公司簡介 25一、酒店網(wǎng)業(yè)務(wù)需求分析1.1、項(xiàng)目背景近年來，現(xiàn)代高科技和信息技術(shù)(IT)正在由智能大廈(IB)走向智能住宅酒店，進(jìn)而走進(jìn)家庭(SH)?，F(xiàn)代社會的家庭成員正在以追求家庭智能化帶來的多元化信息和安全、舒適與便利的生活環(huán)境作為一個(gè)理想的目標(biāo)。在高速發(fā)展的商務(wù)時(shí)代，無法提供高速互聯(lián)網(wǎng)接入服務(wù)的智能社區(qū)，對于他們的客戶來說，無疑是十分遺憾的。作為一座具有星級水準(zhǔn)的智能社區(qū)不僅僅只看它的外型是否幽雅宜人，或者是戶型是否愜如人意，還要看它是否是智能型的建筑，諸如安全防范、家居智能化或?qū)拵暇W(wǎng)。而對于現(xiàn)代社會，網(wǎng)絡(luò)已經(jīng)成為象電話一樣，是人們生活中不可分割的一部分，隨著寬帶上網(wǎng)用戶的不斷增多，而基于網(wǎng)絡(luò)的應(yīng)用也日益擴(kuò)張，它已經(jīng)深入到人們生活的每一個(gè)領(lǐng)域。寬帶應(yīng)用可以實(shí)現(xiàn)網(wǎng)上IP電話、可視電話、傳真、高速上網(wǎng)、高速下載；視頻點(diǎn)播、在線音樂點(diǎn)播、MTV點(diǎn)播、遠(yuǎn)程醫(yī)療、遠(yuǎn)程教育、網(wǎng)上證券、網(wǎng)絡(luò)游戲、語音聊天、會議電視、電子商務(wù)、網(wǎng)絡(luò)電視等，并可實(shí)現(xiàn)酒店的綜合智能管理，酒店周邊環(huán)境管理等，給社區(qū)生活帶來新的理念。利用酒店局域網(wǎng)可以在酒店內(nèi)部創(chuàng)建虛擬社區(qū)，每一個(gè)用戶都可以和酒店里的任何一個(gè)或幾個(gè)用戶網(wǎng)上交流；物業(yè)管理公司可以通過酒店寬帶網(wǎng)絡(luò)為住戶提供全面地服務(wù)，如給廣告商做廣告，網(wǎng)上購物、訂機(jī)票、火車票、貨運(yùn)、速遞、發(fā)布信息等一些增值服務(wù)。實(shí)現(xiàn)酒店內(nèi)住戶的全面上網(wǎng)，將會增強(qiáng)網(wǎng)絡(luò)應(yīng)用服務(wù)項(xiàng)目，為酒店內(nèi)員工的生活和學(xué)習(xí)帶來了便利，發(fā)揮我中心提供信息技術(shù)的價(jià)值。目前，酒店局域網(wǎng)經(jīng)過前期的建設(shè)，已經(jīng)初具規(guī)模。中心機(jī)房為酒店內(nèi)11棟樓宇提供網(wǎng)絡(luò)接入，其中4、9、13、15層有3個(gè)接入點(diǎn)，每單元有3層，每層10戶；中心機(jī)房設(shè)在1樓4、9、13、15號樓到中心機(jī)房之間是通過網(wǎng)線，網(wǎng)絡(luò)現(xiàn)狀如圖所示：酒店網(wǎng)絡(luò)拓?fù)鋱D拓?fù)湔f明：網(wǎng)絡(luò)采用三層結(jié)構(gòu)，出口核心層、匯聚層、接入層，分別由H3c二層交換機(jī)充當(dāng)，所有用戶在一個(gè)vlan中,酒店現(xiàn)有接入用戶240戶左右（估計(jì)平時(shí)用戶上網(wǎng)高峰人數(shù)在300人次左右），主要應(yīng)用是瀏覽新聞、收發(fā)E-mail郵件、網(wǎng)絡(luò)游戲、炒股及QQ農(nóng)場類的internet方面的應(yīng)用。隨著音頻、視頻多媒體流應(yīng)用的進(jìn)一步普及，使得目前網(wǎng)絡(luò)設(shè)備的負(fù)載達(dá)到了飽和；并且由于核心設(shè)備的偶爾故障，性能及穩(wěn)定性已經(jīng)不能滿足用戶及應(yīng)用增長對于網(wǎng)絡(luò)性能的要求。當(dāng)上網(wǎng)用戶集中時(shí)，網(wǎng)絡(luò)速度明顯變慢。所有這些因素都嚴(yán)重地制約了酒店住戶的正常上網(wǎng)和網(wǎng)絡(luò)服務(wù)質(zhì)量的提升。因此，必須采取措施解決酒店局域網(wǎng)存在的問題，使得酒店局域網(wǎng)能夠更好地為酒店客人服務(wù)。目前，酒店網(wǎng)存在的問題主要有：1、上網(wǎng)速度慢2、網(wǎng)絡(luò)內(nèi)部存在堵塞或丟包的現(xiàn)象3、病毒問題4、網(wǎng)絡(luò)設(shè)備環(huán)境問題5、ARP欺騙問題6、到主干傳輸線路傳輸質(zhì)量問題7、出口性能瓶頸問題8、網(wǎng)絡(luò)結(jié)構(gòu)問題1.2、本次項(xiàng)目需求本次網(wǎng)絡(luò)改造規(guī)劃將遵循“總體規(guī)劃、分步實(shí)施、分期投入、逐步建設(shè)”原則。既要充分考慮到管委會信息系統(tǒng)的整體性、系統(tǒng)性、長期性、開放性和集成性，同時(shí)又要結(jié)合管委會機(jī)房現(xiàn)有實(shí)際情況及現(xiàn)有設(shè)備， 充分考慮，保護(hù)原有投資。根據(jù)單位總體規(guī)劃、分步實(shí)施的總體思路，將逐漸對 1-10號樓進(jìn)行網(wǎng)絡(luò)改造，本次網(wǎng)絡(luò)改造的內(nèi)容如下：1、將現(xiàn)有核心交換機(jī)設(shè)備進(jìn)行升級改造，增加一臺核心交換機(jī)、與辦公區(qū)網(wǎng)絡(luò)隔離，同時(shí)調(diào)整酒店內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)，使得網(wǎng)絡(luò)結(jié)構(gòu)更合理，提升酒店網(wǎng)運(yùn)行的可靠性及性能。2、調(diào)整酒店網(wǎng)內(nèi)部分接入層交換機(jī)，扁平化網(wǎng)絡(luò)結(jié)構(gòu) ,優(yōu)先考慮對現(xiàn)有14層樓的匯聚接進(jìn)行更換，采用千兆交換機(jī)；將現(xiàn)有退下來的交換機(jī)替換原有二層交換機(jī)，逐步將酒店內(nèi)網(wǎng)絡(luò)設(shè)備統(tǒng)一。3、建議對光纖傳輸鏈路帶寬進(jìn)行改造，滿足酒店網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整的需要。4、所有新購設(shè)備必須滿足未來網(wǎng)絡(luò)安全、流控等設(shè)備部署的條件。二、網(wǎng)絡(luò)設(shè)計(jì)原則酒店網(wǎng)交換網(wǎng)絡(luò)作為企業(yè)網(wǎng)絡(luò)重要組成部分，建設(shè)目標(biāo)應(yīng)該致力于能夠提供一個(gè)靈活、先進(jìn)和可靠的多業(yè)務(wù)平臺，為企業(yè)網(wǎng)絡(luò)進(jìn)一步承載更多業(yè)務(wù)，建立自動化全網(wǎng)絡(luò)的業(yè)務(wù)，降低企業(yè)運(yùn)作成本，方便快捷的拓展企業(yè)市場，增強(qiáng)企業(yè)市場競爭力打下良好的基礎(chǔ)。本技術(shù)方案書根據(jù)客戶網(wǎng)絡(luò)現(xiàn)狀和網(wǎng)絡(luò)發(fā)展趨勢進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)，在滿足基本業(yè)務(wù)需求的基礎(chǔ)上，根據(jù)以下原則提出網(wǎng)絡(luò)規(guī)劃建議：先進(jìn)性：網(wǎng)絡(luò)應(yīng)采用業(yè)界先進(jìn)的主流設(shè)備，充分滿足現(xiàn)在及將來網(wǎng)絡(luò)、業(yè)務(wù)發(fā)展的需求，并采用先進(jìn)成熟的通信和計(jì)算機(jī)技術(shù)進(jìn)行組網(wǎng)?？蓴U(kuò)充性：必須隨著需求的變化，充分留有擴(kuò)充余地。網(wǎng)絡(luò)結(jié)構(gòu)采用層次化的網(wǎng)絡(luò)結(jié)構(gòu)，利于網(wǎng)絡(luò)的管理和維護(hù)，網(wǎng)絡(luò)的穩(wěn)定，網(wǎng)絡(luò)的可擴(kuò)展，同時(shí)盡量減少網(wǎng)絡(luò)的層次，減少網(wǎng)絡(luò)延時(shí)，提高網(wǎng)絡(luò)性能。投資保護(hù)：選擇性能價(jià)格比最好的設(shè)備，并考慮容量和性能配置的靈活性。標(biāo)準(zhǔn)化和開放性：采用通用的國際標(biāo)準(zhǔn)和協(xié)議，不采用或盡量少采用廠家特有的產(chǎn)品和功能。能與其它廠家的產(chǎn)品互連互通，能夠承載和交換各種信息?？煽啃裕豪梦锢礞溌穫浞莺蛣討B(tài)路由協(xié)議實(shí)現(xiàn)路由備份和負(fù)載分擔(dān)，保證網(wǎng)絡(luò)互通性安全；關(guān)鍵部件冗余配置，保證單節(jié)點(diǎn)的可靠性。安全性：采用防火墻技術(shù)和入侵防御技術(shù)，重點(diǎn)保護(hù)應(yīng)用系統(tǒng)服務(wù)器不受入侵。在設(shè)備選型上充分考慮設(shè)備抗攻擊的能力。2.1、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)基于以上的原則和業(yè)務(wù)需求分析，在進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)時(shí)應(yīng)多考慮多方面因素。典型的園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)可分為三個(gè)層次：接入層、匯聚層和核心層。傳統(tǒng)的園區(qū)網(wǎng)設(shè)計(jì)更多的考慮了節(jié)點(diǎn)的覆蓋，往往犧牲了網(wǎng)絡(luò)的更為重要的性能和可靠性。我們先來看看傳統(tǒng)園區(qū)網(wǎng)設(shè)計(jì)存在的問題。2.2、傳統(tǒng)園區(qū)網(wǎng)存在的問題傳統(tǒng)的交換網(wǎng)絡(luò)采用多個(gè)層次， 二層跨越較多設(shè)備。除了接入、匯聚和核心層之外，在某些網(wǎng)絡(luò)中可能還多一個(gè)分配層，以下是傳統(tǒng)園區(qū)交換網(wǎng)的示意圖：傳統(tǒng)園區(qū)網(wǎng)結(jié)構(gòu)三層匯聚二層匯聚

廣域網(wǎng)邊界核心層安全雜亂無序二層網(wǎng)絡(luò)難以管理的 匯聚層STP接入層以上是較為典型的傳統(tǒng)園區(qū)交換網(wǎng)現(xiàn)狀或者設(shè)計(jì)，在過去的 10多年中，很多交換廠商都在推行這種方式， 大部分交換廠商現(xiàn)在仍在推行。 這種結(jié)構(gòu)的缺點(diǎn)是顯而易見的，列舉如下：長期成本增加：過多的設(shè)備導(dǎo)致 CAPEX（資本性支出）長期增加，過多的層次導(dǎo)致交換機(jī)特性不完整。 網(wǎng)絡(luò)層次多設(shè)備多會導(dǎo)致網(wǎng)絡(luò)管理困難，并且長期增加 OPEX（運(yùn)營支出）投入。長期來看，采用密度低、性能差、特性少的設(shè)備，構(gòu)建過多層次的網(wǎng)絡(luò)，而不注重每個(gè)層次和每個(gè)節(jié)點(diǎn)的性能和功能，不僅不會節(jié)省成本，反而會導(dǎo)致TCO（總體擁有成本）的不斷上升。應(yīng)用效果差：應(yīng)用數(shù)據(jù)流需要跨越過多的設(shè)備和鏈路， 會導(dǎo)致時(shí)延增加。特性不完善：由于網(wǎng)絡(luò)中有部分交換機(jī)特新支持差，導(dǎo)致全網(wǎng)整體很難設(shè)計(jì)和部署針對應(yīng)用或者安全的特性。例如，很多接入層交換機(jī) QOS支持差，導(dǎo)致整體的 QOS設(shè)計(jì)無法部署。Uptime無法控制：由于過多的層次、過多的設(shè)備以及過多的鏈路存在，使得全網(wǎng)出現(xiàn)故障的概率高升，并且難以定位故障。STP問題太多：STP一直以來都是園區(qū)網(wǎng)頭痛的問題， 難以設(shè)計(jì)和部署，轉(zhuǎn)發(fā)和阻塞端口較難規(guī)劃。出現(xiàn)鏈路或者故障時(shí)難以定位，并且存在較長的收斂時(shí)間，對園區(qū)網(wǎng)承載的應(yīng)用影響很大。配線繁瑣：傳統(tǒng)的園區(qū)網(wǎng)級聯(lián)層次較多，在不同的層面和節(jié)點(diǎn)上需要設(shè)置配線架，無論是實(shí)施還是故障查找都非常的繁瑣。2.3、Juniper 的園區(qū)網(wǎng)結(jié)構(gòu)設(shè)計(jì)酒店交換網(wǎng)分層及功能模塊化的網(wǎng)絡(luò)設(shè)計(jì)有助于適應(yīng)網(wǎng)絡(luò)的快速發(fā)展和更新，也能夠靈活的實(shí)現(xiàn)新業(yè)務(wù)的接入，而不用重新改造網(wǎng)絡(luò)。合理層次化的網(wǎng)絡(luò)結(jié)構(gòu)符合模塊化的特點(diǎn)，在網(wǎng)絡(luò)的不同層面定義不同的功能，使得網(wǎng)絡(luò)流量可以通過各層面設(shè)備獨(dú)立的轉(zhuǎn)發(fā)和負(fù)載均衡，同時(shí)可以簡化管理和故障定位。在企業(yè)網(wǎng)中，從桌面設(shè)備連接的接入交換到園區(qū)中心的核心層設(shè)備，可以根據(jù)建筑和樓層以及信息點(diǎn)的分布，可以將園區(qū)網(wǎng)從功能上分為三個(gè)層面：接入層：負(fù)責(zé)接入控制的邊緣，為最終用戶或者服務(wù)器提供接入園區(qū)網(wǎng)服務(wù)，例如PC、打印機(jī)、IP電話、監(jiān)控?cái)z像頭等。這是進(jìn)入網(wǎng)絡(luò)的第一個(gè)接入點(diǎn)，是對合法用戶和設(shè)備實(shí)行認(rèn)證的理想地點(diǎn)。接入層也是對用戶流量進(jìn)行分類和實(shí)現(xiàn)端到端QoS控制的邏輯點(diǎn)。為了實(shí)現(xiàn)不同類型的終端接入，接入層交換機(jī)應(yīng)該具備 L2轉(zhuǎn)發(fā)、L3路由及轉(zhuǎn)發(fā)、10/100/1000M端口自適應(yīng)、POE、QOS、服務(wù)安全策略以及接入控制等功能。匯聚層：網(wǎng)絡(luò)的分布層是接入層交換機(jī)的匯聚點(diǎn)，負(fù)責(zé)匯聚多個(gè)接入層交換機(jī)的連接和流量，圍繞核心層部署，同時(shí)將流量中轉(zhuǎn)給核心層。由于匯聚層的位置重要性，匯聚層交換機(jī)必須支持高密度線速端口、HA硬件和軟件特性。與接入層的下聯(lián)鏈路一般需要有冗余，向上的上聯(lián)鏈路需要支持高帶寬（比如萬兆端口或者多GE端口），支持L3路由匯總、快速收斂和負(fù)載均衡。核心層：負(fù)責(zé)為匯聚層交換機(jī)和連接廣域網(wǎng)的路由器之間提供牢固、可靠和高速的連接通道，實(shí)現(xiàn)園區(qū)網(wǎng)與分支結(jié)構(gòu)或者 Internet的流量中轉(zhuǎn)。這個(gè)層面的設(shè)備必須具備高密度的千兆、萬兆線速端口和豐富的HA特性，有電源冗余、風(fēng)扇冗余、交換矩陣冗余、冗余引擎，并且具有模塊化的操作系統(tǒng)。三、項(xiàng)目方案規(guī)劃本次項(xiàng)目我公司本著從客戶現(xiàn)有網(wǎng)絡(luò)環(huán)境出發(fā)，承諾完全兼容原有網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)無縫集成的原則，做如下規(guī)劃：酒店網(wǎng)絡(luò)改造網(wǎng)絡(luò)規(guī)劃圖如上圖所示，中心機(jī)房新增一臺高性能 JuniperEX2200-24T 匯聚交換機(jī)，一臺百兆防火墻 JuniperSSG140。4、9、13、15號樓各新增高性能接入交換機(jī) JuniperEX2200-24T五臺，直接通過千兆光纖連接，上行至匯聚的

EX2200設(shè)備，構(gòu)架千兆園區(qū)網(wǎng)絡(luò)。本次選用交換機(jī)組合能提供

72個(gè)千兆電口，并且為全線速千兆，沒有背板帶寬瓶頸問題。同時(shí)節(jié)省了接入?yún)^(qū)機(jī)柜內(nèi)空間，減少能耗和故障點(diǎn)。鑒于各類酒店應(yīng)用應(yīng)該受到專門的安全保護(hù)， 以控制非法的訪問，有效阻擋病毒蠕蟲以及網(wǎng)絡(luò)黑客的攻擊，消除被竊取、篡改、刪除的威脅。因此，本次項(xiàng)目中將新增1臺安全網(wǎng)關(guān)及用于酒店網(wǎng)內(nèi)部相關(guān)應(yīng)用的保護(hù)。3.1、網(wǎng)絡(luò)設(shè)備集成方案設(shè)備選型依據(jù)項(xiàng)目中對設(shè)備的具體要求，本次工程中提供以下網(wǎng)絡(luò)設(shè)備來滿足網(wǎng)絡(luò)需求。1、酒店網(wǎng)中心機(jī)房：中心機(jī)房新增一臺高性能 JuniperEX2200-24T 匯聚交換機(jī)，一臺防火墻JuniperSSG140。2、4、9、13、15號樓接入交換機(jī)選擇Juniper 網(wǎng)絡(luò)公司EX2200型號作為接入網(wǎng)絡(luò)的交換機(jī)設(shè)備；本次項(xiàng)目設(shè)備配置如下表：廠商型號描述數(shù)量JuniperEX2200-24TEX2200,24-port10/100/1000BaseT(4-ports+SFP+ACPS6JuniperSSG-140-SBSSG140MSystem,,1ACPowerSupply1設(shè)備部署如“網(wǎng)絡(luò)規(guī)劃圖”中所示，在酒店網(wǎng)中心機(jī)房，部署一臺新的交換機(jī)EX2200-24F；物理鏈路連接防火墻SSG140到EX2200之間采用六類線千兆電口互聯(lián)；接入層設(shè)備，在有鏈路資源的情況下，盡量采用千兆上連到匯聚交換機(jī)EX2200-24T上，，采用可單GE或百兆連接到EX4200-24F上。路由協(xié)議規(guī)劃根據(jù)酒店網(wǎng)現(xiàn)狀，建議核心層和匯聚層的三層網(wǎng)絡(luò)設(shè)備都啟用靜態(tài)路由。如果以后增加單獨(dú)互聯(lián)網(wǎng)出口，那么核心交換機(jī)到互聯(lián)網(wǎng)為默認(rèn)路由網(wǎng)絡(luò)安全ACL針對固定端口蠕蟲攻擊的防護(hù)；蠕蟲攻擊的網(wǎng)絡(luò)端口如下：用于控制Blaster 蠕蟲的傳播udp69tcp4444用于控制沖擊波病毒的掃描和攻擊tcp135-139udp135-139tcp445udp445udp593tcp593用于控制振蕩波的掃描和攻擊tcp445tcp5554tcp9995tcp9996用于控制Worm_MSBlast.A蠕蟲的傳播udp1434如果上述端口與網(wǎng)絡(luò)正常業(yè)務(wù)接口無關(guān)，建議在核心交換機(jī)上進(jìn)行端口關(guān)閉。設(shè)備的遷移割接為有效地進(jìn)行項(xiàng)目實(shí)施，建議采用以下步驟，逐步進(jìn)行網(wǎng)絡(luò)設(shè)備的割接和遷移，確保每次割接成功，同時(shí)減少對現(xiàn)網(wǎng)影響，并便于應(yīng)急回退。第一步，結(jié)合現(xiàn)網(wǎng)情況，進(jìn)行 IP地址規(guī)劃，制定具體割接方案。第二步，采用新設(shè)備搭建新的接入及核心網(wǎng)絡(luò)，網(wǎng)絡(luò)完全具備條件后方考慮進(jìn)行業(yè)務(wù)遷移割接。第三步，采用新的匯聚交換機(jī)及安全網(wǎng)關(guān)替換網(wǎng)絡(luò)原有設(shè)備，觀察確認(rèn)業(yè)務(wù)流量無影響。第四步，接入交換機(jī)逐步割接上線。業(yè)務(wù)將逐步引導(dǎo)到新的園區(qū)網(wǎng)絡(luò)中。第六步，在需要調(diào)整的匯聚層設(shè)備上進(jìn)行配置（如動態(tài)路由協(xié)議） 。進(jìn)一步酒店網(wǎng)絡(luò)改造建議酒店網(wǎng)網(wǎng)絡(luò)改造第一步（ 4、9、13、15號樓網(wǎng)絡(luò)改造）完成后，進(jìn)一步的網(wǎng)絡(luò)改造，可以向酒店網(wǎng)絡(luò)設(shè)備及鏈路消除單點(diǎn)故障隱患、 優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)流，加強(qiáng)網(wǎng)絡(luò)應(yīng)用安全控制等方向考慮。如下圖酒店的出口路由器、出口防火墻、匯聚交換機(jī)等核心網(wǎng)絡(luò)設(shè)備均考慮熱冗余配置，并且接入層網(wǎng)絡(luò)設(shè)備至匯聚層網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)鏈路也考慮冗余鏈接。 互聯(lián)網(wǎng)出口路由器分擔(dān)互聯(lián)網(wǎng)出口流量。 同時(shí)在接入層交換機(jī)上做用戶的細(xì)致化接入控制，提高整體網(wǎng)絡(luò)的安全性和健壯性。3.2、酒店交換網(wǎng)選用設(shè)備JuniperEX系列交換機(jī)Juniper網(wǎng)絡(luò)EX系列以太網(wǎng)交換機(jī)運(yùn)營商級可靠性安全風(fēng)險(xiǎn)管理網(wǎng)絡(luò)虛擬化應(yīng)用控制降低TCO運(yùn)營商公認(rèn)的硬件和軟件威脅牽制和統(tǒng)一接入控制虛擬路由和 GRE隧道穿越JUNOS和統(tǒng)一管理應(yīng)用可視性和服務(wù)質(zhì)量Juniper網(wǎng)絡(luò)EX2200、EX4200和EX8200系列以太網(wǎng)交換機(jī)展示了五種關(guān)鍵特性，結(jié)合在一起構(gòu)成了真正的企業(yè)級交換解決方案：運(yùn)營商級可靠性、安全風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)虛擬化、應(yīng)用控制、降低總體擁有成本(TCO)。運(yùn)營商級可靠性：一順百順，一通百通。因此，Juniper網(wǎng)絡(luò)EX系列以太網(wǎng)交換機(jī)使用被全球最大規(guī)模電信運(yùn)營商網(wǎng)絡(luò)所部署的、經(jīng)過實(shí)踐驗(yàn)證的相同技術(shù)——包括應(yīng)用特定的高性能集群電路(ASIC)、系統(tǒng)架構(gòu)和JUNOS?軟件，從而構(gòu)成了強(qiáng)韌的、經(jīng)久耐用的、高度可靠的網(wǎng)絡(luò)基礎(chǔ)設(shè)施解決方案來為高績效企業(yè)服務(wù)。安全風(fēng)險(xiǎn)管理：Juniper網(wǎng)絡(luò)EX系列以太網(wǎng)交換機(jī)完全兼容Juniper網(wǎng)絡(luò)統(tǒng)一接入控制(UAC)解決方案，能夠提供另一層安全保護(hù)。產(chǎn)品首先實(shí)施用戶和病毒檢查，然后才執(zhí)行端到端的、精準(zhǔn)的安全策略，用于決定誰有權(quán)訪問哪些網(wǎng)絡(luò)資源，并通過實(shí)施服務(wù)質(zhì)量(QoS)策略來確保業(yè)務(wù)流程的交付?；诋惓５募和{檢測功能能夠識別出并阻斷分布式拒絕服務(wù)(DDoS)攻擊，從而提供更深入的保護(hù)。網(wǎng)絡(luò)虛擬化：EX系列交換機(jī)采用 Juniper網(wǎng)絡(luò)集群交換技術(shù)，最多允許 10個(gè)EX4200交換機(jī)互連在一起，并作為單一系統(tǒng)發(fā)揮作用。通過集群交換技術(shù)，用戶能夠在一個(gè)經(jīng)濟(jì)高效的小巧平臺中獲得機(jī)箱式系統(tǒng)的可靠性、可用性和高端口密度，從而實(shí)現(xiàn)機(jī)箱式和可堆疊交換機(jī)的雙重優(yōu)勢。EX系列交換機(jī)還支持通用路由封裝(GRE)隧道穿越技術(shù)，用于從遠(yuǎn)程位置向網(wǎng)絡(luò)運(yùn)行中心的監(jiān)控產(chǎn)品發(fā)送鏡像流量，以便集中分析、排除故障或構(gòu)建相互隔離的重疊網(wǎng)絡(luò)，因此不會遇到與生成樹相關(guān)的問題。應(yīng)用控制：成功管理網(wǎng)絡(luò)需要您了解網(wǎng)絡(luò)的使用情況，以便優(yōu)化應(yīng)用交付，并最大限度地提高運(yùn)行效率。Juniper網(wǎng)絡(luò)機(jī)箱式EX8200系列以太網(wǎng)交換機(jī)使用集群的高性能ASIC，允許您以線速查看150多個(gè)應(yīng)用，從而針對用戶如何使用系統(tǒng)獲得前所未有的洞察力。為了便于區(qū)分，Juniper網(wǎng)絡(luò)EX系列以太網(wǎng)交換機(jī)將應(yīng)用分為業(yè)務(wù)、P2P、消息傳遞或游戲等多個(gè)類別，并提供主要會話雙方、各應(yīng)用的帶寬消耗、各位置的流量分配等具體信息，以便您深入了解網(wǎng)絡(luò)中的應(yīng)用行為。為確保為應(yīng)用流量合理地分配優(yōu)先級，EX系列以太網(wǎng)交換機(jī)在每個(gè)端口支持強(qiáng)韌的8個(gè)QoS隊(duì)列——足以為控制層、語音、視頻和多個(gè)級別的數(shù)據(jù)流量提供獨(dú)立隊(duì)列，并為融合樓宇自動化和安全監(jiān)控?cái)z像機(jī)等其他網(wǎng)絡(luò)留有空間。降低TCO：高可擴(kuò)展的“按需購買，漸進(jìn)擴(kuò)展”架構(gòu)，低功耗、低占地空間和低冷卻要求的網(wǎng)絡(luò)設(shè)計(jì)，通用操作系統(tǒng)，適用于所有 Juniper網(wǎng)絡(luò)產(chǎn)品的統(tǒng)一管理工具，所有這些優(yōu)勢結(jié)合在一起，能夠幫助 EX系列以太網(wǎng)交換機(jī)客戶同時(shí)降低前期購置和后期運(yùn)行成本。高性能的高密度平臺允許用戶從小規(guī)模起步，然后循序漸進(jìn)地實(shí)施增長，從而為擁擠的配線間和數(shù)據(jù)中心節(jié)省了寶貴空間，同時(shí)降低了能耗和冷卻等循環(huán)成本。利用整個(gè)交換機(jī)系列中統(tǒng)一部署的通用JUNOSTM軟件版本，EX系列以太網(wǎng)交換機(jī)可確保在整個(gè)基礎(chǔ)設(shè)施中的一致實(shí)施并縮短學(xué)習(xí)過程。統(tǒng)一管理工具則能夠合并系統(tǒng)監(jiān)控和維護(hù)工作，既省時(shí)又省錢。Juniper網(wǎng)絡(luò)EX系列以太網(wǎng)交換機(jī)的這些屬性結(jié)合在一起能夠提高網(wǎng)絡(luò)的經(jīng)濟(jì)性，允許企業(yè)減少用在網(wǎng)絡(luò)基礎(chǔ)設(shè)施上面的投資和時(shí)間，將更多資金和精力用在創(chuàng)新技術(shù)上以便獲得競爭優(yōu)勢。EX2200系列交換機(jī)固定配置的Juniper網(wǎng)絡(luò)EX2200系列以太網(wǎng)交換機(jī)是簡單的、經(jīng)濟(jì)高效的獨(dú)立交換機(jī)，適用于低密度的分支辦事處和區(qū)域辦事處。 EX2200交換機(jī)部署在配線間，為用戶和 IP產(chǎn)品提供網(wǎng)絡(luò)訪問服務(wù)，并能夠?yàn)楝F(xiàn)在的融合網(wǎng)絡(luò)提供簡單的即插即用10/100/1000BASE-T連接。Juniper網(wǎng)絡(luò)EX2200系列以太網(wǎng)交換機(jī)提供24和48端口兩種配置，以便滿足大多數(shù)分支辦事處對端口密度的要求?？蛇x的4端口千兆以太網(wǎng)(GbE)，可用于高速連接其他 EX2200系列交換機(jī)、匯聚層交換機(jī)及路由器等上游設(shè)備。 您可現(xiàn)場安裝上行鏈路模塊，無需中斷系統(tǒng)運(yùn)行，從而為大型企業(yè)網(wǎng)絡(luò)中的遠(yuǎn)程辦事處或者樓宇網(wǎng)絡(luò)中的單個(gè)樓層提供靈活解決方案。融合通信及以太網(wǎng)供電Juniper網(wǎng)絡(luò)EX2200系列以太網(wǎng)交換機(jī)在設(shè)計(jì)時(shí)注重滿足融合通信網(wǎng)絡(luò)的需求。 24和48端口平臺都選局部的以太網(wǎng)供電 (PoE)選項(xiàng)來支持網(wǎng)絡(luò)電話、閉路攝像機(jī)。每個(gè)EX2200系列交換機(jī)都能為每個(gè)PoE端口提供全部的15.4瓦電力，從而避免了設(shè)置問題，使IT人員無需再為公平配電而產(chǎn)生顧慮。全部(所有端口)和局部(8個(gè)端口)PoE選項(xiàng)可確保解決方案優(yōu)化用于部署在所有環(huán)境中。簡化維護(hù)工作大多數(shù)分支和區(qū)域辦事處都沒有配備資深I(lǐng)T人員。EX2200系列交換機(jī)允許不了解技術(shù)知識的員工輕松開展基本的維護(hù)工作，以確保網(wǎng)絡(luò)的正常啟動和運(yùn)行。Juniper網(wǎng)絡(luò)一致的操作系統(tǒng)與所有EX系列交換機(jī)一樣，EX2200平臺也與Juniper網(wǎng)絡(luò)路由器運(yùn)行相同的JUNOSTM軟件，并使用經(jīng)過實(shí)踐驗(yàn)證的相同技術(shù)，因此是真正的企業(yè)級交換機(jī)，提供運(yùn)營商級可靠性來輕而易舉地滿足客戶要求。JUNOS操作系統(tǒng)EX系列交換機(jī)與Juniper網(wǎng)絡(luò)路由器產(chǎn)品使用相同的模塊化 JUNOS?軟件，能夠在整個(gè)Juniper網(wǎng)絡(luò)基礎(chǔ)設(shè)施上一致地實(shí)施所有的控制層特性。所有產(chǎn)品均運(yùn)行通用操作系統(tǒng)，能夠大幅度降低培訓(xùn)要求以及維護(hù)和管理負(fù)擔(dān)，從而降低TCO。嚴(yán)格遵守“三個(gè)一”的開發(fā)流程是JUNOS?軟件提供核心價(jià)值的基礎(chǔ)——單一源代碼、單一版本模式和單一模塊化架構(gòu)。單一源代碼可確保JUNOS?軟件在整個(gè)發(fā)展過程中始終都是單一操作系統(tǒng)，與運(yùn)行在哪些產(chǎn)品平臺上無關(guān)。單一版本模式意味著每個(gè)新版本都是先前版本的超級版本；全新的JUNOS?軟件特性始終都在主代碼行實(shí)施，永遠(yuǎn)不會在缺陷修復(fù)版本中實(shí)施，從而確保版本過渡的穩(wěn)定性及特性的可用性。JUNOS?軟件的模塊化架構(gòu)可確保它比整體式的代碼庫更易于控制。 硬件抽象層允許您只需一次性地編寫控制層特性即可在不同硬件中快速實(shí)施它們。 這種模塊化方法還能增強(qiáng)容錯(cuò)能力，這是因?yàn)槊總€(gè)JUNOS?協(xié)議的daemon都運(yùn)行在受保護(hù)的專用內(nèi)存空間中，如果某個(gè)組件中出現(xiàn)生成樹等故障， 問題組件可獨(dú)立地平滑重啟，不會影響到其他系統(tǒng)單元。 如果是在單片操作系統(tǒng)中，類似故障通常會迫使整個(gè)系統(tǒng)重啟。8.8.8.Q20Q30Q40單一操作系統(tǒng)單一版本單一架構(gòu)JUNOSTM軟件使用單一源代碼、嚴(yán)格遵守版本流程并采用單一模塊化架構(gòu)。管理和支持選項(xiàng)EX系列交換機(jī)支持 4個(gè)管理選項(xiàng)，其中 2個(gè)提供產(chǎn)品級監(jiān)控，2個(gè)提供企業(yè)級管理。基于JUNOS?XML的命令行接口(CLI)工具以及嵌入在每個(gè)EX系列交換機(jī)中的J-Web用戶界面提供產(chǎn)品級管理功能。JUNOSTMCLI與運(yùn)行JUNOSTM的所有產(chǎn)品提供相同的特性實(shí)施、 自動化和腳本編制參數(shù)，而基于J-Web的集成管理工具則允許用戶逐個(gè)交換機(jī)地輕松執(zhí)行配置、監(jiān)控、維護(hù)和故障排除任務(wù)。Juniper網(wǎng)絡(luò)NetScreen-SecurityManager(NSM)擴(kuò)展了支持服務(wù)，為EX系列交換機(jī)以及Juniper網(wǎng)絡(luò)防火墻和入侵檢測產(chǎn)品提供系統(tǒng)級的故障、配置和性能監(jiān)控服務(wù)。由于運(yùn)行JUNOS?軟件，EX系列交換機(jī)還兼容HPOpenView、IBMTivoliNetView和NetCool以及ComputerAssociatesUnicenter等第三方管理系統(tǒng)，提供網(wǎng)絡(luò)運(yùn)行的綜合視圖。防火墻SSG140如“網(wǎng)絡(luò)規(guī)劃圖”中所示，采用一臺安全網(wǎng)關(guān) SSG140部署在核心交換機(jī)，通過千兆鏈路串聯(lián)，作為酒店中心網(wǎng)絡(luò)到外網(wǎng)通信的安全防護(hù)設(shè)備。安全策略：在安全域劃分的基礎(chǔ)上，我們將不同的網(wǎng)絡(luò)資源部署在相應(yīng)的安全域中， 利用防火墻的安全控制機(jī)制來實(shí)現(xiàn)各安全域之間的訪問控制。 原則上，只允許各安全域根據(jù)服務(wù)和應(yīng)用的需要開放相應(yīng)的資源和訪問端口， 限制不必要的服務(wù)，提高本域的安全性；允許高安全級別用戶訪問低安全域中的資源。 但不允許低安全域中的用戶訪問高安全域中的非授權(quán)資源。防火墻性能：SSG520防火墻支持600M全可以滿足現(xiàn)有需求；就擴(kuò)展性來說，以后如果流量有擴(kuò)展性要求，SSG520防火墻可以支持 802.3ad（LACP）協(xié)議，將多個(gè)接口捆綁擴(kuò)展帶寬，或直接升級采用萬兆接口連接。因此從可預(yù)見的 5年時(shí)間內(nèi)，防火墻在此位置上不會形成整體系統(tǒng)的瓶頸問題。防火墻工作模式：防火墻工作模式建議為路由 /NAT模式，防火墻兩側(cè)為不同的網(wǎng)段，內(nèi)側(cè)為用戶群所處的網(wǎng)段，用戶群的網(wǎng)關(guān)為防火墻內(nèi)網(wǎng)口地址。同時(shí)，在防火墻上實(shí)施sourceNAT技術(shù)，將解決用戶互聯(lián)網(wǎng)訪問的ip地址短缺問題。4．穩(wěn)定性和功能擴(kuò)展性保障：SSG防火墻采用多總線的 ASIC

硬件結(jié)構(gòu)，ASIC技術(shù)在國外已經(jīng)歷了

10多年的發(fā)展，技術(shù)成熟穩(wěn)定。ASIC防火墻采用多組專門的ASIC芯片處理不同任務(wù)，如Session表維持、查找、防拒絕服務(wù)攻擊、VPN加解密、應(yīng)用層檢測等資源耗用嚴(yán)重的任務(wù)，CPU配合處理一些簡單功能調(diào)用。并且防火墻采用系統(tǒng)多總線結(jié)構(gòu)設(shè)計(jì)，數(shù)據(jù)總線與控制總線分開，互不影響，在大任務(wù)量大流量環(huán)境下，ASIC防火墻可以保持一致的穩(wěn)定性和性能，是關(guān)鍵網(wǎng)絡(luò)中有保障的防火墻技術(shù)。由于JuniperASIC技術(shù)的成熟度以及與CPU配合處理的機(jī)制，保證了產(chǎn)品的功能集成度和擴(kuò)展性，Juniper防火墻從推出至今，其功能集成度和擴(kuò)展速度一直保持業(yè)界領(lǐng)先5．網(wǎng)絡(luò)層訪問控制：SSG防火墻可以基于源、目的地址、源、目的端口、協(xié)議類型、用戶和時(shí)間進(jìn)行細(xì)粒度的設(shè)置訪問控制規(guī)則，控制進(jìn)入服務(wù)器網(wǎng)段的流量和訪問企圖。6．抗拒絕服務(wù)攻擊：可以在SSG防火墻上啟用抗拒絕服務(wù)攻擊功能，針對內(nèi)部服務(wù)器群進(jìn)行抗拒絕服務(wù)攻擊防護(hù)，支持的抗攻擊類型如：SYNAttack/DenyICMPFlood/DenyUDPFlood/LimitSession/DenySYNFragment/DenyTCPPacketWithoutFlag/DenySYNandFINBitsSet/DenyFINBitWithNoACKBit/DenyPortScanAttack/DenyICMPFragment/DenyPingofDeathAttack/AddressSweepAttack/DenyLargeICMPPacket/DenyTearDropAttack/DenyIPSourceRouteOption/DetectIPRecordRouteOption/DetectIPSecurityOptionDetectIPStrictSourceRouteOption/DenyUnknownProtocol/DenyFragment/DenyIPSpoofingAttackDenyBadIPOption/DenyIPTimestampOption/DetectIPLooseSourceRouteOption/DetectIPStreamOption/FilterWinNukeAttack/DenyLandAttack等。3.3、酒店交換網(wǎng)結(jié)構(gòu)詳細(xì)設(shè)計(jì)企業(yè)網(wǎng)絡(luò)應(yīng)用的不斷增加和發(fā)展， 伴隨以太網(wǎng)技術(shù)飛速的進(jìn)步，低速率的以太網(wǎng)10/100M端口已無法滿足園區(qū)網(wǎng)高帶寬的需求，從市場的發(fā)展來看，千兆已成為園區(qū)以太網(wǎng)的主流，而萬兆以太網(wǎng)技術(shù)的成熟為千兆到桌面鑒定了堅(jiān)實(shí)的基礎(chǔ)。考慮到園區(qū)網(wǎng)的特點(diǎn)，并滿足未來業(yè)務(wù)發(fā)展的需要， 建議從接入層開始部署功能全面的千兆交換機(jī)，淘汰低速的交換機(jī)。在接入層交換機(jī)上全面開啟L3功能，同時(shí)啟用VLAN等L2特性。接入層上聯(lián)鏈路配置L3功能，而不會形成L2的環(huán)路，利用動態(tài)路由協(xié)議OSPF實(shí)現(xiàn)L3負(fù)載均衡和冗余，在出現(xiàn)鏈路故障的情況下可以實(shí)現(xiàn)亞秒級的收斂；而接入端口保持L2配置，仍然可以開啟 L2的特性。接入層接口可以根據(jù)實(shí)際情況開啟STP防止環(huán)路發(fā)生，不會影響到上聯(lián)鏈路的收斂。在接入層啟用L3功能，可以消除STP難以設(shè)計(jì)、難以定位和故障查找的缺點(diǎn)，STP會導(dǎo)致數(shù)據(jù)傳送經(jīng)過次優(yōu)化路勁，并且無法實(shí)現(xiàn)負(fù)載均衡。 在出現(xiàn)設(shè)備或者鏈路故障的情況下，STP的收斂需要30s至50秒的時(shí)間，而RSTP和MSTP協(xié)議過于負(fù)載，設(shè)計(jì)和配置都十分負(fù)載，不適合企業(yè)網(wǎng)，而且還存在兼容性問題。JuniperEX系列交換機(jī)硬件和軟件支持強(qiáng)大的 L3路由功能，不需要增加額外的費(fèi)用，基礎(chǔ) JUNOS軟件就支持OSPF、ECMP，可以實(shí)現(xiàn)快速網(wǎng)絡(luò)的收斂。3.4、方案特點(diǎn)通過以上的規(guī)劃建議，能夠較好的滿足用戶網(wǎng)絡(luò)的發(fā)展需要，主要具有如下一些特點(diǎn)：無瓶頸的網(wǎng)絡(luò)千兆三層到桌面的接入能力。 所有設(shè)備之間（服務(wù)器與交換機(jī)之間，各類終端與交換機(jī)之間，交換機(jī)與安全設(shè)備之間）均采用千兆GE相聯(lián)，線速轉(zhuǎn)發(fā)，大大提高性能，網(wǎng)絡(luò)中不存在單點(diǎn)性能瓶頸。整體網(wǎng)絡(luò)骨干可以擴(kuò)展到萬兆接口，以滿足今后業(yè)務(wù)發(fā)展需要；良好的擴(kuò)展性所有設(shè)備都具有很好的擴(kuò)展性，以滿足未來數(shù)年的需要。交換機(jī)選用了 EX2200，除了命令行方式外，還提供 WEB管理方式，可觀的看到每個(gè)端口的連接狀態(tài)、溫度、 CPU和內(nèi)存利用率、版本信息等，并以圖形化方式配置交換機(jī)和 troubleshooting ，大大降低維護(hù)成本。提高傳輸效率可通過交換機(jī)集群方式，使網(wǎng)絡(luò)扁平化，減少了網(wǎng)絡(luò)層次和網(wǎng)元數(shù)量，能夠提高流量轉(zhuǎn)發(fā)效率、降低訪問時(shí)延、簡化網(wǎng)絡(luò)管理、方便故障定位、消除STP等問題。節(jié)能環(huán)保，節(jié)省空間Juniper公司的EX4200交換機(jī)在確保設(shè)備性能的同時(shí)，充分考慮到未來機(jī)房空間的重要性，占用最小的機(jī)架空間；在同級別設(shè)備中提供最低的設(shè)備功耗，消耗最小的電量和制冷。降低客戶的整體投資。PoE技術(shù)的使用機(jī)房和圖書館中為了實(shí)現(xiàn)實(shí)時(shí)監(jiān)控，往往部署攝像頭設(shè)備滿足業(yè)務(wù)需求。PoE技術(shù)（PoweroverEthernet）提供了方便的電源供應(yīng)，簡化電力系統(tǒng)的部署。JuniperEX交換機(jī)系列內(nèi)置PoE接口，提供更加方便的部署方案。四、酒店網(wǎng)路由及參數(shù)設(shè)計(jì)IP地址規(guī)劃IP地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。對于企業(yè)網(wǎng)的IP地址的分配應(yīng)該盡可能地合理利用地址空間，充分考慮到地址空間的合理分配，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。IP地址空間的分配與合理使用與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織及路由政策有非常密切的關(guān)系，將對網(wǎng)絡(luò)的可用性、可靠性與有效性產(chǎn)生顯著影響， 充分考慮園區(qū)網(wǎng)對IP地址的需求，滿足未來業(yè)務(wù)發(fā)展對 IP地址的需求。在企業(yè)網(wǎng)已有或者規(guī)劃的地址范圍中，按如下原則進(jìn)行地址分配：分配一個(gè)C的地址，用于所有園區(qū)網(wǎng) Loopback地址，采用/32位掩碼，便于網(wǎng)絡(luò)管理和維護(hù)。分配一個(gè)C的地址，用戶園區(qū)網(wǎng)的設(shè)備互聯(lián)，采用 /29位掩碼。分配4個(gè)C的地址給數(shù)據(jù)中心，用于不同樓層的 vlan每個(gè)接入層或者一組交換機(jī)交換分配 1個(gè)C的地址，用于DHCP地址分配。VLAN規(guī)劃我們建議采用三層的方案，減少 VLAN 的穿透，避免配合和管理的復(fù)雜出錯(cuò)，并且取消STP。因此，VLAN的使用只需要在接入交換機(jī)本地規(guī)劃，為了更好的網(wǎng)絡(luò)管理，仍然保持 VLAN的統(tǒng)一規(guī)劃，建議如下表：VLANID 用途1-20 網(wǎng)管使用21-500 數(shù)據(jù)中心使用501-1000 各建筑接入交換機(jī)使用1001-4000 預(yù)留安全規(guī)劃企業(yè)內(nèi)網(wǎng)的安全最重要的位置是在交換網(wǎng)的邊緣，建議在接入交換機(jī)層面部署安全策略，消除安全隱患。配置ACL：在園區(qū)網(wǎng)可能會經(jīng)常出現(xiàn)一些異常的主機(jī) （不管是惡意的還是無意的）發(fā)送針對垃圾和攻擊流量，而其中大部分會是比較常見的攻擊手段，有比較典型的特征，比如針對某些 TCP/UDP端口號。EX交換機(jī)支持完善靈活的過濾機(jī)制，可以基于物理端口、 VLAN和邏輯端口進(jìn)行過濾，針對這些常見的攻擊地址和端口進(jìn)行阻斷，過濾常見攻擊流量進(jìn)入企業(yè)網(wǎng)。DHCPsnooping：園區(qū)網(wǎng)一般都存在 DHCP的服務(wù)，企業(yè)員工或者合作伙伴可以直接通過 DHCP獲取地址接入到園區(qū)網(wǎng)中。DHCP可以方便IP地址管理，減輕 IT部門的工作負(fù)擔(dān)。但是，在有些網(wǎng)絡(luò)中，會存在惡意的或者誤配的主機(jī)冒充 DHCPserver的情況發(fā)生，會影響到整個(gè)園區(qū)交換網(wǎng)的正常運(yùn)行。EX交換機(jī)支持DHCPsnooping功能，可以在接入層有效的防止接入端口的惡意的或者誤配置的主機(jī)冒充DHCPserver。IPsourceguard：在接入層可能存在很多偽裝IP地址的惡意攻擊行為，為了防止這種隱患的出現(xiàn)，EX交換機(jī)支持IPsourceguard功能，與DHCPsnooping配合使用，可以在

2層接入端口開啟此功能防止

IPspoofing

攻擊。DAI：

ARP（地址解析協(xié)議）是另一種本身不安全的網(wǎng)絡(luò)服務(wù)。

ARP

用于建立

IP

地址表和

MAC

地址的映射關(guān)系。未經(jīng)請求的

ARP

是物理MAC 地址向 IP地址所有權(quán)信息的非請求廣播。同樣可從互聯(lián)網(wǎng)上下載的Ettercap等工具可使惡意用戶利用這一行為并成為中間人， 進(jìn)而訪問他們不應(yīng)訪問的機(jī)密信息。 Ettercap是一種“智能化嗅探器”，它可使毫無技術(shù)能力的惡意用戶收集資源 /用戶名/密碼信息。EX交換機(jī)支持強(qiáng)大的DAI功能，不僅可以防止ARP欺騙，還可以阻斷冒充網(wǎng)關(guān)的攻擊，防止惡意的ARP攻擊危害園區(qū)網(wǎng)的安全。MACLimiting：第二層交換機(jī)根據(jù)MAC 地址建立轉(zhuǎn)發(fā)表，根據(jù)MAC地址進(jìn)行轉(zhuǎn)發(fā)、過濾和學(xué)習(xí)。然而，這個(gè)表只有有限的空間。 MAC 泛洪攻擊會迫使交換機(jī)學(xué)習(xí)偽 MAC 地址，使MAC地址表過載，并使數(shù)據(jù)從整個(gè)第二層VLAN 域泛洪傳送。雖然這是第二層交換機(jī)的標(biāo)準(zhǔn)行為，但它仍可導(dǎo)致網(wǎng)絡(luò)和主機(jī)性能的降低。為防止這種攻擊， EX交換機(jī)提供了端口安全特性，可以限制某個(gè)給定端口所能學(xué)習(xí)的 MAC地址的數(shù)目。如果有更多地址進(jìn)入交換機(jī)， EX交換機(jī)會將這些端口置入限制模式，以保護(hù)網(wǎng)絡(luò)免受攻擊。這可確保某個(gè)給定端口只能學(xué)習(xí)數(shù)目不多的MAC 地址，當(dāng)學(xué)習(xí)其他地址時(shí)就會鎖定該端口。這樣，就能立刻阻止攻擊。QOS設(shè)計(jì)企業(yè)網(wǎng)絡(luò)中有很多重要的業(yè)務(wù)和流量，在網(wǎng)絡(luò)出現(xiàn)異常或者擁塞的情況下，這些重要的流量會遭受到?jīng)_擊， 可能會導(dǎo)致業(yè)務(wù)或者網(wǎng)絡(luò)的不可用， 為了保障這些重要流量和業(yè)務(wù)的正常運(yùn)行，需要在企業(yè)網(wǎng)中配置 QOS策略。企業(yè)網(wǎng)的服務(wù)質(zhì)量保障需要非常系統(tǒng)和完整的 QOS解決方案和設(shè)計(jì)。在傳統(tǒng)的園區(qū)網(wǎng)設(shè)計(jì)中，受到很多廠商交換機(jī) QOS能力差的限制，很難整體部署 QOS，只能是在個(gè)別節(jié)點(diǎn)或者個(gè)別鏈路上進(jìn)行局部的配置，沒有起到全網(wǎng)保障的作用。JuniperEX全系列交換機(jī)基于 ASIC技術(shù)，所有EX系列交換機(jī)的每端口都提供8個(gè)基于硬件的服務(wù)類別 (CoS)隊(duì)列。同時(shí)還支持一組通用的排隊(duì)、流量整形和擁塞管理算法。利用這些機(jī)制，企業(yè)將能夠支持各種類別的流量并制訂粒度極細(xì)的QoS策略。根據(jù)企業(yè)網(wǎng)的特點(diǎn)，建議采用以 DiffServ為主的QOS技術(shù)，采用DSCP和IPPrecedence相兼容的標(biāo)記方式。接入交換機(jī)實(shí)現(xiàn)業(yè)務(wù)的分類、標(biāo)記和帶寬控制，匯聚或者核心交換機(jī)根據(jù) DSCP等級標(biāo)記按優(yōu)先順序進(jìn)行 IP包的轉(zhuǎn)發(fā)。企業(yè)網(wǎng)的業(yè)務(wù)對網(wǎng)絡(luò)傳送的指標(biāo)級別各不相同，這些指標(biāo)包括時(shí)延、抖動、丟包，而這些指標(biāo)會受到很多不確定因素的影響， 依靠傳統(tǒng)的網(wǎng)絡(luò)方式很難控制。包括一般來說，企業(yè)網(wǎng)中存在 5種以上不同需求的業(yè)務(wù)。比如：網(wǎng)絡(luò)控制信令流量（NC）、IP電話、視頻會議、視頻監(jiān)控、實(shí)時(shí)業(yè)務(wù)、訪問 DC的流量、訪問OA的流量和訪問 Internet的流量。要保障和區(qū)分這些不同業(yè)務(wù)的服務(wù)質(zhì)量，需要放入不同的隊(duì)列進(jìn)行調(diào)度，建議如下的隊(duì)列規(guī)劃：業(yè)務(wù)種類標(biāo)記帶寬分配調(diào)度方式NC7、65%PQVoice510%PQVide420%PQoClass310%WRR1Class210%WRR2Inter140%WRRnetOther05%WRR以太網(wǎng)遠(yuǎn)程供電Juniper網(wǎng)絡(luò)提供基于標(biāo)準(zhǔn)的、開放的局域網(wǎng)交換機(jī)和其他網(wǎng)絡(luò)產(chǎn)品，為企業(yè)提供了安全的投資選擇。通過 Juniper網(wǎng)絡(luò)基礎(chǔ)設(shè)施，企業(yè)可靈活地購買一流的VoIP和視頻系統(tǒng)以及其他的統(tǒng)一通信服務(wù)和應(yīng)用，無需擔(dān)心供應(yīng)商鎖定問題，也無需運(yùn)行專用協(xié)議。Juniper網(wǎng)絡(luò)對標(biāo)準(zhǔn)的支持也意味著企業(yè)能夠利用現(xiàn)有的統(tǒng)一通信硬件和軟件及其他現(xiàn)有基礎(chǔ)設(shè)施。EX系列交換機(jī)支持用于實(shí)現(xiàn)高可用性 (HA)、QoS和安全性的標(biāo)準(zhǔn)技術(shù)。此外，Juniper網(wǎng)絡(luò)EX系列交換機(jī)還支持面向統(tǒng)一通信環(huán)境的主要標(biāo)準(zhǔn)，包括PoE、LLDP和LLDP-MED。LLDP和LLDP-MED使以太網(wǎng)端點(diǎn)和網(wǎng)絡(luò)設(shè)備能夠識別出彼此的屬性和功能，以便即插即用地設(shè)置 IP電話。接入交換機(jī)必須為 PoE提供強(qiáng)大而靈活的支持。傳統(tǒng)的可堆疊交換機(jī)對 PoE通常采用“非全即零”的做法，即要么給所有端口供電，要么不給任何端口供電。當(dāng)提供PoE時(shí)，傳統(tǒng)的交換機(jī)還需要通過單獨(dú)的電源和管理軟件才能滿足電力需求并控制電流的流動。相比之下，Juniper網(wǎng)絡(luò)EX2200和EX4200系列交換機(jī)采用非屏蔽雙絞線(UTP)端口，同時(shí)提供基于IEEE802.3af標(biāo)準(zhǔn)的全部和局部3級PoE選項(xiàng)，能夠在每PoE端口提供最大15.4瓦電流。例如，EX4200系列交換機(jī)允許客戶選擇每平臺8個(gè)、24個(gè)或48個(gè)PoE端口的交換機(jī)，以便他們只需購買所需的PoE支持。Juniper網(wǎng)絡(luò)EX系列對PoE的實(shí)施比其他供應(yīng)商更加高效。EX系列交換機(jī)的電源足以為整個(gè)交換機(jī)及全部的PoE端口供電，因此無需添加電源。EX系列交換機(jī)靈活的PoE選項(xiàng)允許企業(yè)通過融合網(wǎng)絡(luò)輕松連接基于IP的各類設(shè)備和統(tǒng)一通信系統(tǒng)，并為其供電，如VoIP電話、視頻會議系統(tǒng)、閉路電視系統(tǒng)、徽章讀取器、遙測中心和自動化設(shè)備等。為了簡化融合網(wǎng)絡(luò)和統(tǒng)一通信技術(shù)的部署工作， Juniper網(wǎng)絡(luò)EX2200和EX4200系列交換機(jī)還支持LLDP（又稱IEEE802.1AB）及其擴(kuò)展——LLDP-MED。使用LLDP和LLDP-MED，Juniper網(wǎng)絡(luò)EX系列交換機(jī)能夠自動識別出VoIP電話、安全攝像機(jī)和其他端點(diǎn)，并決定它們的用電要求。LLDP-MED能夠自動發(fā)現(xiàn)設(shè)備所在位置，如果是VoIP設(shè)備，還能提供PoE端點(diǎn)的增強(qiáng)型911(E911)服務(wù)和電力屬性。LLDP-MED還能調(diào)配局域網(wǎng)策略，包括虛擬局域網(wǎng)(VLAN)分配和QoS設(shè)置等。鑒于LLDP和LLDP-MED協(xié)議均為業(yè)界標(biāo)準(zhǔn)協(xié)議，因此，Juniper網(wǎng)絡(luò)EX系列交換機(jī)能夠與多個(gè)供應(yīng)商提供的端點(diǎn)互操作，從而允許企業(yè)靈活地選擇一流VoIP和其他終端解決方案，不用鎖定在很多交換機(jī)供應(yīng)商提供的局限的解決方案中。JUNIPER公司簡介Juniper網(wǎng)絡(luò)公司，作為全球領(lǐng)先的聯(lián)網(wǎng)和安全性解決方案供應(yīng)商，十余年來一直致力于實(shí)現(xiàn)網(wǎng)絡(luò)商務(wù)模式的轉(zhuǎn)型。Juniper網(wǎng)絡(luò)公司的一系列聯(lián)網(wǎng)解決方案為其全球超過100個(gè)國家的20000多個(gè)客戶（其中包括全球頂尖的30家電信運(yùn)營商和《財(cái)富》全球100強(qiáng)企業(yè)中的92家）提供所需的安全性和高性能來支持全球最大型、最復(fù)雜、要求最嚴(yán)格的關(guān)鍵網(wǎng)絡(luò)?，F(xiàn)任CTO兼創(chuàng)始人PradeepSindhu于1996年創(chuàng)立Juniper網(wǎng)絡(luò)公司。1998年Juniper 第一款產(chǎn)品--M40發(fā)售。1999年Juniper 在NASDAQ公開上市。2002年收購Unisphere網(wǎng)絡(luò)公司，添加了 E-系列邊緣路由產(chǎn)品。2003年成立班加羅爾研發(fā)中心。2003年Juniper 向業(yè)界發(fā)出創(chuàng)建Infranet 的號召，并獲得廣泛響應(yīng)。Infranet是將互聯(lián)網(wǎng)的覆蓋范圍與專網(wǎng)的可靠性和安全性完美相結(jié)合的公共網(wǎng)絡(luò)。）2004年收購NetScreen科技公司，添加了系列網(wǎng)絡(luò)安全產(chǎn)品，在 SSLVPN市場取得了全球 領(lǐng)導(dǎo)地位。2005年收購Peribit 科技公司、Kagoor網(wǎng)絡(luò)公司、Redline網(wǎng)絡(luò)公司，Acorn公司和Funk軟件公司。2005年Juniper 為韓國戶名電信服務(wù)供應(yīng)商 KT部署T-系列核心路由平臺，這也是公司部署的第 1000臺T-系列核心路由器。2006年推出統(tǒng)一接入控制（UAC）解決方案和安全業(yè)務(wù)網(wǎng)關(guān)（ SSG）產(chǎn)品。2006年被標(biāo)準(zhǔn)普爾（S&P）選入標(biāo)準(zhǔn)普爾 500指數(shù)。2006年年收入達(dá)23億美元。2007年在全球44個(gè)國家設(shè)有117個(gè)辦事處，擁有員工超過 5000人。Juniper全球的領(lǐng)導(dǎo)地位全球超過100個(gè)國家的20000多個(gè)大型客戶：《財(cái)富》100強(qiáng)中的92家大頂尖電信運(yùn)營商10大商業(yè)銀行中的 8家美國50個(gè)州政府中的47個(gè)家納斯達(dá)克上市公司9000家全球合作伙伴Juniper的客戶Juniper 網(wǎng)絡(luò)公司安全可靠的網(wǎng)絡(luò)平臺專門為依賴網(wǎng)絡(luò)獲得戰(zhàn)略性收益的客戶量身設(shè)計(jì)，比如電信運(yùn)營商、企業(yè)、政府和科研教育機(jī)構(gòu)。這些致力于創(chuàng)新的客戶依靠Juniper 提供的產(chǎn)品和服務(wù)來建立自己的競爭優(yōu)勢， 并且大幅提高了網(wǎng)絡(luò)的安全、性能及經(jīng)濟(jì)效果，實(shí)現(xiàn)著他們各自的目標(biāo)。電信運(yùn)營商：借助Juniper網(wǎng)絡(luò)公司高級流量處理和自動供給技術(shù)，電信運(yùn)營商可在高價(jià)值、高使用率的細(xì)分市場中獲得成功。企業(yè)：Juniper網(wǎng)絡(luò)公司安全可靠的網(wǎng)絡(luò)平臺為網(wǎng)絡(luò)密集型企業(yè)提升競爭力--對員工和商業(yè)伙伴開放網(wǎng)絡(luò)并最小化安全風(fēng)險(xiǎn)。通過幫助企業(yè)了解用戶是誰，并賦予相應(yīng)的網(wǎng)絡(luò)訪問權(quán)限，幫助企業(yè)保護(hù)當(dāng)前的動態(tài)網(wǎng)絡(luò)。政府：Juniper網(wǎng)絡(luò)公司為政府部門提供同類最佳的網(wǎng)絡(luò)及安全解決方案--提供極其可靠和穩(wěn)定的軟件以及符合業(yè)界標(biāo)準(zhǔn)的服務(wù)和支持。Juniper網(wǎng)絡(luò)公司的網(wǎng)絡(luò)和安全解決方案旨在抵御當(dāng)前的威脅，同時(shí)不影響性能或可擴(kuò)展性。研究與教育機(jī)構(gòu)：全球有成百上千個(gè)科研教育機(jī)構(gòu)和高級科研網(wǎng)絡(luò)都依賴Juniper網(wǎng)絡(luò)公司的解決方案來支持其先進(jìn)的科研和學(xué)術(shù)應(yīng)用，即使在要求最嚴(yán)格的環(huán)境下仍能確?？深A(yù)測、可擴(kuò)展的性能，如基于IP的HDTV、數(shù)據(jù)挖掘、三維成像以及遠(yuǎn)程顯微鏡等。Juniper的合作伙伴Juniper網(wǎng)絡(luò)公司致力于成為IP網(wǎng)絡(luò)和安全領(lǐng)域的最佳合作伙伴，為渠道合作伙伴創(chuàng)造更多盈利機(jī)會，作為他們?yōu)榭蛻籼峁﹥r(jià)值的回報(bào)，并正在借助J-Partner計(jì)劃把它變?yōu)楝F(xiàn)實(shí)。身為J-Partner的您都會得到Juniper的獎勵(lì)和回饋，此外通過專業(yè)化服務(wù)和獲取認(rèn)證等方式，您還可以接觸到當(dāng)前業(yè)界最廣泛的路由與網(wǎng)絡(luò)解決方案。J-Partner代理商計(jì)劃有助于把握新商機(jī)。我們提供給您高級安全解決方案、應(yīng)用加速解決方案、企業(yè)聯(lián)網(wǎng)解決方案、電信運(yùn)營商基礎(chǔ)設(shè)施等專業(yè)化服務(wù)，使您能夠得到最適合貴公司商務(wù)模式的方式，靈活的與Juniper合作。J-Partner代理商計(jì)劃有助于最大限度提升總財(cái)務(wù)機(jī)遇。我們除了通過專業(yè)化服務(wù)和增值定價(jià)來銷售產(chǎn)品，還通過制定靈活的業(yè)務(wù)計(jì)劃保護(hù)投資。依靠J-Partner代理商計(jì)劃，Juniper正在改變著平臺供應(yīng)商和渠道合作伙伴之間的關(guān)系?？蛻糁С諮uniper提供一系列全面、靈活、業(yè)界領(lǐng)先的技術(shù)支持、專業(yè)服務(wù)以及培訓(xùn)課程，幫助客戶及合作伙伴從其網(wǎng)絡(luò)和安全性投資中獲取最大的收益。Juniper-- 全球領(lǐng)先的聯(lián)網(wǎng)及安全方案供應(yīng)商Juniper實(shí)現(xiàn)的通過單一IP網(wǎng)絡(luò)提供安全可靠通信的這一創(chuàng)舉，領(lǐng)先于行業(yè)步伐。以此為基礎(chǔ)的高性能IP平臺能夠支持各種規(guī)模的服務(wù)和應(yīng)用，針對不同類型用戶的需求、服務(wù)以及應(yīng)用的實(shí)際狀況構(gòu)建網(wǎng)絡(luò)，并革命性地解決了希望從網(wǎng)絡(luò)獲取戰(zhàn)略價(jià)值的客戶的兩難問題。在每個(gè)涉入領(lǐng)域，Juniper 的市場份額均位居前三甲，同時(shí)，也創(chuàng)造了很多個(gè)第一：第一個(gè)基于特定應(yīng)用集成電路（ASIC）的平臺；第一個(gè)基于ASIC的防火墻；第一個(gè)入侵檢測與防護(hù)（IDP）產(chǎn)品，以及最全面且最具遠(yuǎn)見的SSLVPN產(chǎn)品。Juniper的產(chǎn)品Juniper網(wǎng)絡(luò)公司以技術(shù)為本，致力于保持行業(yè)領(lǐng)導(dǎo)地位，保持著與合作伙伴的融洽關(guān)系，并開發(fā)出一系列安全可靠的平臺產(chǎn)品，這其中包括了從小型辦事處到全球最大型的IP骨干網(wǎng)站點(diǎn)的各類型解決方案。網(wǎng)絡(luò)基礎(chǔ)設(shè)施平臺Juniper全面的IP基礎(chǔ)設(shè)施產(chǎn)品系列涵蓋了各種可靠的高性能路由平臺，采用通用的產(chǎn)品架構(gòu)，安裝了經(jīng)過驗(yàn)證的JUNOS模塊化操作系統(tǒng)，確保提供可預(yù)測的高效IP基礎(chǔ)設(shè)施，并能夠大規(guī)模提供安全可靠的用戶體驗(yàn)。T-系列：作為核心路由平臺可提供高可用性、可靠性和高擴(kuò)展性，并可降低操作成本與資金支出。全新的TXMatrix解決方案為多基座基礎(chǔ)設(shè)施的中央路由與交換核心元件，可同時(shí)整合多個(gè)T640平臺，以便構(gòu)建可支援?dāng)?shù)個(gè)Terabit的傳輸處理能力的核心解決方案。M-系列：將業(yè)界最佳的 IP/MPLS功能和無與倫比的可靠性、安全性及豐富的業(yè)務(wù)結(jié)合。這些多業(yè)務(wù)邊緣路由平臺可協(xié)助客戶將多業(yè)務(wù)網(wǎng)絡(luò)整合到單一的IP/MPLS基礎(chǔ)設(shè)施，同時(shí)以誘人的新服務(wù)開發(fā)嶄新的獲利機(jī)會。J-系列：在企業(yè)級路由器產(chǎn)品包中提供JUNOS模塊化操作系統(tǒng)，可降低遠(yuǎn)程邊緣網(wǎng)絡(luò)的運(yùn)營與設(shè)備成本。支持企業(yè)和可控的服務(wù)部署。E-系列：是IP邊緣及寬頻服務(wù)路由平臺,可在邊緣網(wǎng)絡(luò)中提供有效的控制、傳輸及計(jì)費(fèi)服務(wù)。MX-系列：MX960以太網(wǎng)業(yè)務(wù)路由器是業(yè)界容量最大的運(yùn)營商級以太網(wǎng)平臺，提供最大可達(dá)960千兆位每秒（Gbps）的交換和路由容量。作為第一款優(yōu)化用于新興以太網(wǎng)網(wǎng)絡(luò)架構(gòu)和服務(wù)的Juniper平臺，MX960專門構(gòu)建用于滿足最苛刻的運(yùn)營商網(wǎng)絡(luò)。MX960有效支持高密度接口和大容量的交換吞吐量，適用于廣泛的企業(yè)和住宅應(yīng)用與服務(wù)，包括高速傳輸和VPN服務(wù)、下一代寬帶多重播放服務(wù)以及大容量的互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)互連等。EX系列：EX系列交換機(jī)包括