酒店計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)方案

酒店計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)方案

1.1.1.網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)原則

層次化設(shè)計(jì)原則：將網(wǎng)絡(luò)系統(tǒng)劃分層次，分清各層主要功能，建立合理的網(wǎng)

絡(luò)結(jié)構(gòu)，是網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成功的關(guān)鍵。合理清晰的層次劃分和設(shè)計(jì)，可以保證網(wǎng)

絡(luò)系統(tǒng)的骨干穩(wěn)定可靠、接入安全、便于擴(kuò)充和管理、易于故障隔離和排除。

酒店內(nèi)部局域網(wǎng)外網(wǎng)INTERNET之間使用一臺防火墻隔離，主要是核心節(jié)點(diǎn)

通過防火墻與INTERNET互聯(lián)。

網(wǎng)絡(luò)的結(jié)構(gòu)和性能優(yōu)化：網(wǎng)絡(luò)結(jié)構(gòu)的IP優(yōu)化。網(wǎng)絡(luò)體系結(jié)構(gòu)以IP為設(shè)計(jì)基

礎(chǔ)，體現(xiàn)在網(wǎng)絡(luò)層的層次化體系結(jié)構(gòu)。

—IP路由協(xié)議的優(yōu)化；

—TP包轉(zhuǎn)發(fā)的優(yōu)化。提供高速路由查找和包轉(zhuǎn)發(fā)機(jī)制；

一帶寬優(yōu)化。在合理的QoS控制下，最大限度的利用光纖的帶寬；

選擇?個開放性、標(biāo)準(zhǔn)化的網(wǎng)絡(luò)體系結(jié)構(gòu)，以支持各種異構(gòu)計(jì)算機(jī)網(wǎng)之旬的

互連。

網(wǎng)絡(luò)體系結(jié)構(gòu)要求采用TCP/IP體系結(jié)構(gòu)。

考慮到技術(shù)發(fā)展的成熟度，以及網(wǎng)絡(luò)建設(shè)要有適度的超前性，因此網(wǎng)絡(luò)體系

需要支持IPv6,建設(shè)一個支持IPv4/IPv6的雙協(xié)議棧網(wǎng)絡(luò)

IP地址

根據(jù)酒店網(wǎng)的發(fā)展規(guī)模、網(wǎng)絡(luò)層次結(jié)構(gòu)、路由策略，申請適合的IP地址。

可以盡可能申請到IPv6地址。

管理

在CNSec密鑰和證書管理系統(tǒng)中，根據(jù)安全級別及職責(zé)將管理員劃分為三類:

?系統(tǒng)管理員

負(fù)責(zé)系統(tǒng)核心密鑰與證書管理中心的建立、管理。系統(tǒng)用戶在系統(tǒng)安裝時產(chǎn)

生，通過系統(tǒng)用戶控制界面直接與密鑰與證書管理中心連接，進(jìn)行操作，對整個

系統(tǒng)負(fù)責(zé)，但他沒有其他類型管理員的一般操作雙限。他的職責(zé)包括：

系統(tǒng)安裝及初始化

系統(tǒng)服務(wù)的啟動和停止

系統(tǒng)數(shù)據(jù)庫備份

驗(yàn)證數(shù)據(jù)庫有效性和完整性。

系統(tǒng)數(shù)據(jù)庫恢復(fù)

恢復(fù)超級管理員

更改算法

把密鑰移植到硬件

系統(tǒng)配置管理（是否自動啟動服務(wù)、是否自動備份數(shù)據(jù)庫等）

守寺

1.1.2.XXX酒店網(wǎng)絡(luò)總體設(shè)計(jì)

我公司設(shè)計(jì)XXX酒店網(wǎng)絡(luò)系統(tǒng)，采取二層拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)。網(wǎng)絡(luò)層次結(jié)構(gòu)圖如

下:

常州（武進(jìn)）新城市廣場假日酒店網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

Internet

?附樓二樓

主樓1樓

主樓5樓主樓6樓LS'f

百—千

根據(jù)各樓層信息點(diǎn)的分布情況，設(shè)計(jì)采用比威網(wǎng)絡(luò)推出的基于業(yè)界成熟的高

性能ASIC交換技術(shù)的基礎(chǔ)上開發(fā)出來的新一代，高密度，高性能，全千兆無阻

塞智能多層交換機(jī)BitStream75051臺，采用15臺具有先進(jìn)深度感知技術(shù)

（SFLOW技術(shù)）,支持IPv6,自帶堆疊模塊,擁有4個千兆口的24/48口接入交

換機(jī)BitStream3228TGS/BitStreani3252TGS。

由于每臺接入交換機(jī)BitStream3228TGS和BitStream3252TGS均自帶二個高

速堆疊模塊，均有二個SFP口和二個千兆電口，因此在組網(wǎng)上完全可以實(shí)現(xiàn)靈活

搭配，混和堆疊。

以上設(shè)計(jì)采取冗余設(shè)計(jì)，根據(jù)用戶需求和綜合布線實(shí)際情況，可采用優(yōu)化設(shè)

計(jì)方案進(jìn)行調(diào)整，即根據(jù)樓層綜合布線的分配線間，將交換機(jī)采取混和堆疊的方

式，既節(jié)約布線的材料，便于布線管理，也便于交換機(jī)管理維護(hù)，也節(jié)約成本。

1.1.3.網(wǎng)絡(luò)核心層設(shè)計(jì)

＞網(wǎng)絡(luò)核心層設(shè)備要求

核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，骨干層設(shè)計(jì)任務(wù)的重點(diǎn)

通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上

實(shí)施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對核心層的網(wǎng)

絡(luò)設(shè)備的性能對于整個網(wǎng)絡(luò)系統(tǒng)來說是至關(guān)重要的。

＞網(wǎng)絡(luò)核心層設(shè)計(jì)說明

高帶寬

核心支持萬兆，以滿足大型網(wǎng)絡(luò)以及新應(yīng)用對帶寬的需求

高可靠性和冗余性：

1)核心設(shè)備具有高的可靠性和冗余性

2)核心層通過冗余協(xié)議提供鏈路冗余

密集用戶接入

接入交換機(jī)具有堆疊功能，可以滿足密集用戶的接入，并且提供高的性能:

ACL(L2-L4)＞堆疊、集群、PrivateVian、802.lx.Sflow、組播、豐富的Qos

控制功能、帶寬限制、廣播風(fēng)暴抑制等等。

＞核心層設(shè)備選型

比威網(wǎng)絡(luò)BitStream7505比威網(wǎng)絡(luò)推出的基于業(yè)界成熟的高性能ASTC交換

技術(shù)的基礎(chǔ)上開發(fā)出來的新一代，高密度，高性能，全千兆無阻塞智能多層交換

機(jī)，作為千兆核心多層交換機(jī)，提供了多層交換能力和線速的路由轉(zhuǎn)發(fā)能力。它

除具有多層路由交換機(jī)的容量大、高速轉(zhuǎn)發(fā)性能優(yōu)點(diǎn)外，還進(jìn)一步將IP網(wǎng)絡(luò)安

全機(jī)制等策略融合到整個交換機(jī)系統(tǒng)中，設(shè)備具有了更多的智能安全特性，充分

滿足構(gòu)建電信級寬帶IP網(wǎng)絡(luò)的需求。

1.1.4.接入層設(shè)計(jì)

＞接入層設(shè)備結(jié)構(gòu)模型

網(wǎng)絡(luò)接入層的拓?fù)浣Y(jié)構(gòu)主要有星型和堆疊型。如下圖：

10臺24口10/100ML2交換機(jī)

240臺Host1個CIP地址

接入：星型

10臺24口10/100ML2交換機(jī)

通過堆福模塊分為2組

240臺Host1個CEP地址

接入：堆疊

星型：要求連接數(shù)多，對L2交換機(jī)要求低（成本低），不易產(chǎn)生帶寬瓶

頸；

堆疊型：節(jié)省連接數(shù)，L2交換機(jī)成本高，卜聯(lián)鏈路處易成為瓶頸°

根據(jù)區(qū)域分布以及信息點(diǎn)的情況，建議XXX酒店網(wǎng)絡(luò)接入層結(jié)構(gòu)采用星型,

輔以堆疊型。

＞網(wǎng)絡(luò)接入層設(shè)備要求

接入層作為酒店網(wǎng)管理的邊界，要求能夠很好地支持對用戶的接入管理和控

制。接入層設(shè)備即是提供接入服務(wù)，它將最終用戶連接到網(wǎng)絡(luò)上。接入層設(shè)備普

遍部署在樓宇設(shè)備間。由于接入層設(shè)備數(shù)量多，利用率高，因此要求接入設(shè)備具

有很高的穩(wěn)定性和可靠性。

>網(wǎng)絡(luò)接入層設(shè)計(jì)說明

大樓內(nèi)信息點(diǎn)數(shù)較多，考慮采用24/48口可堆疊高性能二層交換機(jī)。優(yōu)先考

慮采用48口高性能二層交換機(jī)，如有不足24的尾數(shù)，采用24口高性能二層交

換機(jī)。

?為了充分充分利用匯聚交換機(jī)高交換性能、高千兆端口密度的優(yōu)勢，實(shí)

現(xiàn)真正意義上的高速交換平臺，在方案設(shè)計(jì)中，接入交換機(jī)盡量不堆疊,

直接通過千兆端口接入?yún)R聚交換機(jī)。

?在部分建筑，如果接入交換機(jī)到匯聚交換機(jī)的連接線路有限，可以根據(jù)

信息點(diǎn)分布情況，采用每2-4臺交換機(jī)堆疊在一起，以1GE上聯(lián)到匯聚

或者核心交換機(jī),考慮到上聯(lián)帶寬因素，大建議多于4臺交換機(jī)的堆疊。

?采用以上方式，極限情況下，可以為每個桌面用戶提供5.2-20.8Mbps

帶寬，大于配線間匯聚上聯(lián)極限最小帶寬。考慮組播方式下的視頻應(yīng)用，

完全可以滿足帶寬需求。

?如需要增加接入交換機(jī)上聯(lián)帶寬，可采用千兆端口聚合技術(shù)，以兩個以

上的千兆端口連接到匯聚交換機(jī)。

用戶接入

24/48口可堆疊高性能二層交換機(jī)可以通過大樓布設(shè)的超5類雙絞線

10/100Mbps自適應(yīng)端口下聯(lián)到用戶的桌面?？梢酝ㄟ^端口或者ACL來控制用戶

的流量。

接入交換機(jī)選擇

接入交換機(jī)建議選擇比威新一代安全智能可堆疊支持千兆上聯(lián)的二層交換

機(jī)BitStream3228/3252TGS。在二層交換機(jī)上，提供豐富的安全和控制特性，確

保系統(tǒng)的可靠性。

1.1.5.網(wǎng)絡(luò)功能設(shè)計(jì)

>VLAN

VLAN技術(shù)可以方便地根據(jù)業(yè)務(wù)需要在同一臺交換機(jī)上劃分出多個邏輯的網(wǎng)

絡(luò)，有效地減少了廣播；同時可以實(shí)現(xiàn)在不同的物理位置設(shè)置為同一個VLAN廣

播域。由于不同VLAN之間不能直接互訪，必須通過路由設(shè)置進(jìn)行，所以又增加

了安全性。同時VLAN可以跨過不同的交換機(jī)設(shè)備,能夠在一點(diǎn)進(jìn)行集中的管理。

由于以上優(yōu)點(diǎn)，VLAN技術(shù)被廣泛地應(yīng)用在Intranet的建設(shè)中。

VLAN是建立在各種交換技術(shù)基礎(chǔ)之上的。所謂交換實(shí)質(zhì)上只是物理網(wǎng)絡(luò)上

的一個控制點(diǎn)，它由軟件進(jìn)行管理，所以允許用戶利用軟件功能靈活地配置資源,

管理網(wǎng)絡(luò)。利用交換設(shè)備中的VLAN功能，不必改變網(wǎng)絡(luò)的物理基礎(chǔ)，即可重新

配置網(wǎng)絡(luò)。采用VLAN功能，網(wǎng)絡(luò)性能可以獲得較大的改善：

1)VLAN技術(shù)能對工作組業(yè)務(wù)進(jìn)行過濾，有效地分割通信量，因而能更好

地利用帶寬，提高網(wǎng)絡(luò)總的吞吐量。

2)采用VLAN技術(shù)可以將不同樓層或不同房間的設(shè)備組成一個網(wǎng)段而不

用更改布線，因?yàn)閂LAN技術(shù)是從邏輯角度而非物理角度來劃分子網(wǎng)的，所以采

用VLAN技術(shù)能減輕系統(tǒng)的擴(kuò)容壓力，將遷移費(fèi)用降至最小。

3)采用VLAN技術(shù)能有效隔離網(wǎng)絡(luò)設(shè)備，增加網(wǎng)絡(luò)的安全性和保密性。虛

擬網(wǎng)絡(luò)的安全策略采用的主要協(xié)議為IEEE802.10,此協(xié)議結(jié)合有鑒別和加密技

術(shù)以確保整個網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性和完整性。

4)VLAN技術(shù)能對屬于同一工作組的用戶提供廣播服務(wù)，但與傳統(tǒng)的局域

網(wǎng)協(xié)議所不同的是，虛擬局域網(wǎng)能限制廣播的區(qū)域，從而節(jié)省網(wǎng)絡(luò)帶寬。

5)VLAN可以建立在不同的物理網(wǎng)絡(luò)上，用封裝的辦法支法支持不同的網(wǎng)絡(luò)

協(xié)議絡(luò)協(xié)議,如SNMP、NMP、IPX、TCP/IP等，兼容性非常好。

6)VLAN中的主要應(yīng)用技術(shù)為“虛網(wǎng)中繼”，VLANTrunking特有技術(shù)的采

用也成成為了必然。簡而言之，VLANTrunking主要是通過一條高速全雙工通道

(200/2000Mbps)來實(shí)現(xiàn)將一個LANSwitch端口所劃分的不同VLAN與其它LAN

Swiluh中各自相應(yīng)的VLAN成員進(jìn)行線路復(fù)用連接的技術(shù)。VLANTrunking技術(shù)

的采用，既節(jié)省了信道數(shù)據(jù)量，又提高了可靠性，并便于管理及方便連接，提高

了整個網(wǎng)絡(luò)吞吐量和性能指標(biāo)。

VLANTrunking技術(shù)

如果采用VLANtrunking的技術(shù)，則VI、￥2、V3均可通過一條全雙工的

100/1000Mbps,即200/2000Mbps的速率與上級LANSwitch進(jìn)行互通并經(jīng)過位于

樹根部的路由器進(jìn)行路由與其它的VLAN進(jìn)行通訊。VLANtrunking技術(shù)的優(yōu)點(diǎn)

在于采用一條高速通道連接，提高了通道的使用效率，如在V2,V3無數(shù)據(jù)量的

情況下，VI可以獨(dú)占此100/1000M帶寬；并且可以使得線路的連接變得簡單，

從而大大提高可靠性和網(wǎng)絡(luò)易維護(hù)性。

把不同的部門網(wǎng)絡(luò)劃分到不同的VLAN中，有效的隔離了子網(wǎng)網(wǎng)絡(luò)間的廣播,

并且保證了網(wǎng)絡(luò)間的安全性。由于部門的地理位置可能跨越多個交換機(jī)，所以分

布在配線間的交換機(jī)與核心交換機(jī)之間通過VLANtrunking技術(shù)互連，既保證了

高速的帶寬又保證了VLAN之間的快速路由。

VLAN間的訪問必須通過路由器或具有路由功能的設(shè)備，由于以前的交換設(shè)

備一般不提供路由功能（笫三層功能），故必須有一臺路由設(shè)備與交換機(jī)相連,

來提供VLAN間的路由。其缺點(diǎn)是外接路由設(shè)備增加了投資和故障點(diǎn)，并且傳統(tǒng)

的路由設(shè)備采用軟件查詢路由表，其性能不如交換設(shè)備的第二層的幀轉(zhuǎn)發(fā)性能,

故限制了系統(tǒng)的整體性能。第三層交換技術(shù)正是在這樣的背景下出現(xiàn)的。概括來

說,第三層交換技術(shù)應(yīng)具有傳統(tǒng)路由器的全部或部分功能，如支持TP/TPX路由，

支持RIP,OSPF,BGP等路由協(xié)議；同時采用新的路由、包轉(zhuǎn)發(fā)的算法和專用

芯片提高速度，使其達(dá)到交換機(jī)的性能。一般對IP包的轉(zhuǎn)發(fā)速度應(yīng)在每秒一百

萬包以上。有了第三層交換技術(shù)，在網(wǎng)絡(luò)中，可以將二、三層網(wǎng)絡(luò)靈活地、統(tǒng)一

地整合在一起，滿足業(yè)務(wù)的不同要求。

>QoS(CoS)

■Qos簡介

QoS(QualityofService,服務(wù)質(zhì)量)指的是報文傳送的吞吐量、時延、

時延抖動、丟失率等性能。從TP網(wǎng)誕生開始，QcS和安全性問題就一直是IP網(wǎng)

的軟肋。

為了較好地解決IP網(wǎng)絡(luò)的QoS問題，Internet工程任務(wù)組(IETF)專門成

立了綜合業(yè)務(wù)(IntegratedServices)工作組和差分業(yè)務(wù)(Differentiated

Services)工作組進(jìn)行研究。這兩個工作組分別提出了各自基于IP網(wǎng)絡(luò)的QoS

服務(wù)協(xié)議模型：綜合業(yè)務(wù)模型和差分業(yè)務(wù)模型。

綜合業(yè)務(wù)模型由于需要占用較多的網(wǎng)絡(luò)資源，在現(xiàn)實(shí)的網(wǎng)絡(luò)中幾乎不可能實(shí)

現(xiàn)。而差分業(yè)務(wù)模型是IETF差分業(yè)務(wù)工作組提出的一種更具擴(kuò)展性的實(shí)現(xiàn)IP

QoS的方法。該模型將重點(diǎn)放在集合的數(shù)據(jù)流以及適用于全網(wǎng)業(yè)務(wù)等級的一套

“單跳行為(PHB)”上。業(yè)務(wù)在進(jìn)入網(wǎng)絡(luò)時進(jìn)行分類和調(diào)整，并被分配給不司的

行為集合，該行為集合由DS編碼來標(biāo)識。在網(wǎng)絡(luò)核心，報文是根據(jù)DS編碼所標(biāo)

識的PHB(per-hopbehavior)屬性來轉(zhuǎn)發(fā)的。目前，在現(xiàn)實(shí)網(wǎng)絡(luò)中,主要采用

差分業(yè)務(wù)模型。

■比威交換機(jī)對QoS的支持

比威交換機(jī)均提供了完善的QoS機(jī)制：

核心交換機(jī)支持的QoS特征：

>帶寬限制：能夠針對物理端口或者不同的用戶分配不同的帶寬，實(shí)現(xiàn)

對合理的分配網(wǎng)絡(luò)資源。

>IEEE802..1P優(yōu)先級：交換機(jī)支持基于優(yōu)先級的調(diào)動算法，可以為不

同優(yōu)先級的用戶提供不同的服務(wù)等級，支持802.Ip的優(yōu)先級探測。

>VLANID

A802.lq標(biāo)記插入

>2層的端口、3層的1P的源地址和目的地址、4層的TCP/UDP端口

ADIffServ

>TOS/DSCP優(yōu)先級

>DSCP識別

二層接入交換機(jī)支持的QoS特征：

>帶寬限制：能夠針對物理端口或者不同的用戶分配不同的帶寬，實(shí)現(xiàn)

對合理的分配網(wǎng)絡(luò)資源。

>IEEE802.1F優(yōu)先級控制：交換機(jī)支持基于優(yōu)先級的調(diào)動算法，可以為

不同優(yōu)先級的用戶提供不同的服務(wù)等級。

>支持1GMPvl/v2Snooping組播協(xié)議

>VLANID

>802.lq標(biāo)記插入

■QoS在酒店網(wǎng)中的應(yīng)用

基于視頻的應(yīng)用，包括酒店視頻點(diǎn)播系統(tǒng)、酒店會議直播系統(tǒng)、酒店課件、

遠(yuǎn)程教學(xué)等視頻應(yīng)用的保證

基于語音的應(yīng)用，包括校長廣播系統(tǒng)、IP電話、數(shù)字公告系統(tǒng)等。

>流量和帶寬管理

■流量統(tǒng)計(jì)以及分析

流量模型是網(wǎng)絡(luò)性能分析和通信網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的基礎(chǔ)，精確的流量模型對

設(shè)計(jì)高性能網(wǎng)絡(luò)協(xié)議、高效網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)量預(yù)測與網(wǎng)絡(luò)規(guī)劃、高性能價

格比的網(wǎng)絡(luò)設(shè)備與服務(wù)器、精確的網(wǎng)絡(luò)性能分析與預(yù)測、擁塞管理與流量均衡、

HI口管理都有重要意義。

目前多數(shù)酒店網(wǎng)絡(luò)使用雙出口，流量指標(biāo)影響著雙出口帶寬的選擇。對流

量進(jìn)行分析有利于網(wǎng)絡(luò)管理者按需建設(shè)帶寬，節(jié)約投資。流量情況也是網(wǎng)絡(luò)性

能的重要指標(biāo)，通過對流量的監(jiān)控和分析，有利于酒店對網(wǎng)絡(luò)設(shè)備進(jìn)行分析比

較，為未來的網(wǎng)絡(luò)建設(shè)提供基礎(chǔ)分析數(shù)據(jù)。流量情況還是網(wǎng)絡(luò)健康狀況的晴雨

表，分析流量狀況可以對網(wǎng)絡(luò)攻擊行為、病毒等網(wǎng)絡(luò)安全事件進(jìn)行預(yù)防和史理,

甚至可以防患于未然。

■BAMS

比威BAMS系統(tǒng)支持即時流量統(tǒng)計(jì)和分析，可以為酒店運(yùn)營提供科學(xué)的分

析，為網(wǎng)絡(luò)的擴(kuò)容提供歷史統(tǒng)計(jì)數(shù)據(jù)。

＞帶寬管理

比威BAMS系統(tǒng)與接入層交換機(jī)結(jié)合，支持基于IP地址、端口、用戶的帶

寬管理，可以根據(jù)用戶的實(shí)際使用情況分配帶寬，如基于視頻的用戶可以分配

多點(diǎn)帶寬用于保證用戶的正常使用，對于僅僅使用數(shù)據(jù)傳輸?shù)挠脩舴峙漭^少帶

寬，以及對于關(guān)鍵應(yīng)用的使用用戶，能夠在網(wǎng)絡(luò)阻塞的情況下進(jìn)一步保證其帶

寬的使用。

并且在限制用戶的帶寬對用戶帶寬進(jìn)行管理的情況下，還能夠隔離用戶由

于病毒造成的網(wǎng)絡(luò)阻塞，盡量的保證網(wǎng)絡(luò)的正常使用，降低網(wǎng)絡(luò)阻塞的匚率。

＞可靠性設(shè)計(jì)

系統(tǒng)故障將會導(dǎo)致酒店網(wǎng)運(yùn)行的中斷，妨礙酒店正常教學(xué)等活動的進(jìn)行。

這就要求系統(tǒng)具有高度的可靠性。提高系統(tǒng)可靠性的方法很多，主要有如下三

個方面：

令設(shè)備高可用性，匯聚L3交換機(jī)具有高可用性指標(biāo)

。鏈路冗余，利用匯聚和核心之間的多條鏈路實(shí)現(xiàn)

令協(xié)議可靠性，利用動態(tài)路由協(xié)議的ECMP及VRRP特性

＞鏈路可靠性

關(guān)于鏈路可靠性我們做了如下設(shè)計(jì)

匯聚一核心交換機(jī)之間的多條鏈路

匯聚的L3交換機(jī)分別有2條GE鏈路上聯(lián)到核心交換機(jī)，當(dāng)一條鏈路發(fā)生

故障時，不會導(dǎo)致連接中斷。

接入交換機(jī)-匯聚交換機(jī)之間的連接

接入交換機(jī)具有多個千兆端口，根據(jù)需要，接入交換機(jī)和匯聚交換機(jī)之間

可以采用千兆端口聚合技術(shù)，通過將兩條物理鏈路整合成一條邏輯鏈路，實(shí)現(xiàn)

增大帶寬和鏈路冗余的功能。

■協(xié)議可靠性

酒店網(wǎng)絡(luò)的路由可靠性我們通過路由層的優(yōu)化和安全保護(hù)來實(shí)現(xiàn)。當(dāng)路由

層的網(wǎng)絡(luò)故障發(fā)生時，保證酒店網(wǎng)絡(luò)運(yùn)作不停頓。其主要組成技術(shù)為ECMP和

VRRPo

ECMP(EqualMulti-pathRouting)是一種三層協(xié)議，可用于不同的網(wǎng)絡(luò)

接口組合，包括：FE、GE、10GE和S0NET/SDH等。最多有16條路由表中的等

值路徑實(shí)現(xiàn)網(wǎng)絡(luò)通訊的負(fù)載均衡和冗余。當(dāng)其中一條路徑出現(xiàn)中斷時，系統(tǒng)自

動分布負(fù)載到其他筆值路徑，不會影響用戶的網(wǎng)絡(luò)通訊。

在鏈路層進(jìn)行冗余配置之后，利用動態(tài)路力協(xié)議0SPF,充分利用多鏈路

的條件，根據(jù)情況實(shí)行負(fù)載均衡或備份。0SPF協(xié)議能夠在鏈路發(fā)生故障后，

及時檢測到并進(jìn)行路由收斂，發(fā)現(xiàn)新的路徑，及時更新域間的路由表項(xiàng)，從而

確保全網(wǎng)互連的可靠性。

虛擬路由器冗余協(xié)議(VRRP)提供一種解決方案，能夠保證終端用戶與網(wǎng)

絡(luò)的聯(lián)系可靠、穩(wěn)定、不中斷。VRRP是一種容錯協(xié)議，它保證當(dāng)主機(jī)的下一

跳路由器壞掉時，可以及時的由另一臺路由器來代替，從而保持通訊的連續(xù)性

和可靠性。為了使VRRP工作，要在路由器上配置虛擬路由器號和虛擬IP地址，

同時產(chǎn)生一個虛擬MAC地址，這樣在這個網(wǎng)絡(luò)中就加入了一個虛擬路由器。而

網(wǎng)絡(luò)上的主機(jī)與虛擬路由器通信，無需了解這個網(wǎng)絡(luò)上物理路由器的任何信息。

一個虛擬路由器由一個主路由器和若干個備份路由器組成，主路由器實(shí)現(xiàn)真正

的轉(zhuǎn)發(fā)功能。當(dāng)主路由器出現(xiàn)故障時，一個備份路由器將成為新的主路由器，

接替它的工作。

＞網(wǎng)絡(luò)安全性設(shè)計(jì)

■交換機(jī)設(shè)備配置

核心交換機(jī)安全考慮：

＞安全特征：路由協(xié)議認(rèn)證、SSHv2、TACACS+、RADIUS、MAC和IP

地址綁定、訪問控制列表(ACLs)

＞抗拒絕服務(wù)：網(wǎng)絡(luò)入口過濾、單播反向路徑轉(zhuǎn)發(fā))、線速ACL、ACL

限速、IP廣播控制、ICMP控制、SYN攻擊保護(hù)和會話控制

核心交換機(jī)具有關(guān)鍵硬件冗余，同時具有豐富的安全特征和抗拒絕服務(wù)的

強(qiáng)大功能。

接入交換機(jī)安全考慮：

＞安全特征:支持端口安全、端口與MAC地址綁定、廣播風(fēng)暴控制、802.lx

和Radius等等

＞硬件支持ACL：通過ACL功能可以對不健康網(wǎng)站或者政治反動網(wǎng)站以

及樓內(nèi)關(guān)鍵資源如財務(wù)系統(tǒng)信息等進(jìn)行過濾

■出口安全考慮

根據(jù)需要打開從內(nèi)部到外部的常用的許可服務(wù)，對于從外網(wǎng)到內(nèi)網(wǎng)的訪問,

只開放許可的服務(wù)，其他服務(wù)都禁止應(yīng)用。

充分應(yīng)用防火墻及核心交換機(jī)網(wǎng)絡(luò)入口過濾、單播反向路徑轉(zhuǎn)發(fā)、線速

ACL、ACL限速、IP廣播控制、ICMP控制、SYN攻擊保護(hù)和會話控制的安全

控制策略，進(jìn)行安全配置，保護(hù)內(nèi)部網(wǎng)，特別是關(guān)鍵服務(wù)的安全性。

■P2P阻斷或限制BT種子設(shè)計(jì)

比威BitStream3252/28TGS最新型先進(jìn)交換機(jī)可以支持粒度為1K的帶寬

控制（按照出、入方向分開控制），我們完全可以在學(xué)樓內(nèi)部，對BT下載不作

限制，但是由于BT大量做種子,影響了網(wǎng)絡(luò)帶寬,我們完全有理由限制BT種子，

做種上傳不行,可以設(shè)置上行貸款比如100K,手法正常郵件即可

■接入交換機(jī)先進(jìn)的安全性能應(yīng)用

比威BitStream3252/28TGS最新型先進(jìn)交換機(jī)支持基于用戶的接入控制

協(xié)議802.lx,提供比傳統(tǒng)接入控制方式更為有效的用戶端口控制能力，端口

MAC地址限定功能可以對端口接入的主機(jī)數(shù)目進(jìn)行控制。

配合比威網(wǎng)絡(luò)的客戶端軟件能夠?qū)τ脩舻腗AC、IP、帳號等信息進(jìn)行綁定，

精確的對用戶進(jìn)行定位。

SNMPv3、SSH等特性為用戶鑒權(quán)和數(shù)據(jù)加密提供了更高的安全性，實(shí)現(xiàn)

了安全的管理配置。

sFlow功能的支持，可以按比例抽樣指定端口的報文形成標(biāo)準(zhǔn)的sFkw格

式發(fā)送到流量分析服務(wù)器或策略管理中心，使用戶可以更精確監(jiān)控網(wǎng)絡(luò)、分析

網(wǎng)絡(luò)情況。

1.1.6.網(wǎng)絡(luò)設(shè)備選型

■BitStream7505介紹

A產(chǎn)品簡介

比威網(wǎng)絡(luò)BitStream7505機(jī)箱式硬件三層交換機(jī)是針對大型網(wǎng)絡(luò)匯聚、中

小型網(wǎng)絡(luò)核心等情況推出的高性能的機(jī)箱式L2/L3/L4交換機(jī)。BitStream7505

采用全模塊化，具有高密度端口，可提供240G的交換容量，5個擴(kuò)展插槽，

可根據(jù)用戶的需求靈活配置，靈活構(gòu)建彈性可擴(kuò)展的網(wǎng)絡(luò)。BilStream7505交

換機(jī)產(chǎn)品提供強(qiáng)大的交換和路由功能，可與比威網(wǎng)絡(luò)各系列交換機(jī)配合，為用

戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干交換機(jī)的理想選擇。

＞適用范圍

中小型網(wǎng)絡(luò)的核心

大型網(wǎng)絡(luò)匯聚

高性能網(wǎng)絡(luò)交換環(huán)境

主要特點(diǎn)

＞高密度、接口類型豐富的業(yè)務(wù)模塊

BitStrcam7505系列交換機(jī)提供高密度端口的接入能力,

整機(jī)最多支持120個SFP千兆端口、8個萬兆端。

＞高交換容量，全線速交換性能

BitStream7505具有480G的背板帶寬，支持240G的交換容量，為所有的

端口提供非阻塞線速轉(zhuǎn)發(fā)性能。強(qiáng)大的處理能力是構(gòu)建可靠、穩(wěn)定、高速的

IP網(wǎng)絡(luò)平臺的重要保障。

BitStrean)7505交換機(jī)硬件支持多層線速交換，能夠識別、處理四層以上

的應(yīng)用業(yè)務(wù)流，所有端口都具有單獨(dú)的數(shù)據(jù)包過濾、區(qū)分不同應(yīng)用流，并根據(jù)

不同的流進(jìn)行不同的管理和控制o

BitStrcam7505硬件芯片支持IPv6協(xié)議，有利于將來進(jìn)行平滑的網(wǎng)絡(luò)升

級。

＞功能豐富的安全特性

1BitStrcani7505提供了完整的ACL支持，除通常的標(biāo)準(zhǔn)ACL以及擴(kuò)展ALC,

BitStream7505還提供基于時間的ACL,使得控制策略非常豐富和靈活。

＞高可靠性設(shè)計(jì)

BitStream7505系列交換機(jī)支持冗余備份，支持STP/RSTP/MSTP、VRRP等

二、三層冗余協(xié)議，系統(tǒng)采用冗余電源模塊，從而保證核心設(shè)備的高可靠性;

主控板和'業(yè)務(wù)接口板等主要模塊全部支持熱插拔，保證主機(jī)更換板卡時業(yè)務(wù)不

會中斷。

＞產(chǎn)品規(guī)格

＜遵循IEEE802.3,IEEE802.3u,IEEE802.3z,IEEE802.3x,

IEEEE802.Id,IEEE802.w,IEEE802.Is,IEEE802.lq,IEEE802.Ip,

1EEE802.3ad等國際標(biāo)準(zhǔn)；

令4個業(yè)務(wù)插槽，1引擎插槽，可選多種接口標(biāo)準(zhǔn)模塊：

.引擎模塊附帶16個10附00/1000Base-T端口,8個SFP端口

?24口SFP模塊

。48口10/：00/1000Base-T模塊

。2口10GE萬兆模塊

令千兆光端口：120個；萬兆端口：8個；

＜背板帶寬：480G；

令交換容量：240G；

令三層轉(zhuǎn)發(fā)率：180Mpps；

令Mac地址表：64K；

令路由表：64K；

■BitStream3228/3252TGS

在接入層交換機(jī)選型上，本方案推薦使用網(wǎng)絡(luò)端口密集的比較高的可堆疊

BitStream3228/3252TGS交換機(jī)。

＞產(chǎn)品樣圖

［虹口住谷立力喏4i

BitStream3228TGS：24個百兆電口、2個千兆10/100/1OOOBase-TX端口、

2個千兆COMBO口(2個1000MTX&2個SFP)

BitStream3252TGS：48個百兆電口、2個千兆10/100/1000Base-TX端口、

2個千兆COMBO口(2個1000MTX&2個SFP)

＞產(chǎn)品簡介

比威網(wǎng)絡(luò)推出的BitStream3228/52TGS是一款可堆疊的高性能工作組或者

邊緣交換機(jī)。本交換機(jī)能夠提供24/48個固定的10/100Base-TX接口，提供2

個千兆10/100/1000Base-T端口，以及2個Combo端口（2個10/100/1000Base-T

和2個SFP插槽），可選用單、多模千兆SFP模塊。BitStream3228/52TGS固定

端口可以自動識別正反線，可堆疊、可網(wǎng)管，并且擁有完整的功能特性，以及增

強(qiáng)的認(rèn)證功能。與比威網(wǎng)絡(luò)公司其他產(chǎn)品組合，可以為用戶提供完整的網(wǎng)絡(luò)解決

方案。

＞適用范圍

?企業(yè)和園區(qū)網(wǎng)絡(luò)的接入或匯聚

?用戶密集的網(wǎng)絡(luò)接入

?適用于對安全接入控制較為嚴(yán)格的酒店網(wǎng)

?要求對用戶接入帶寬進(jìn)行靈活分配的網(wǎng)絡(luò)環(huán)境

?方便、安全的網(wǎng)絡(luò)管理需求

＞主要特點(diǎn)

卓越的性能

?基于共享內(nèi)存體系結(jié)構(gòu)的交換設(shè)計(jì)，交換帶寬高達(dá)19.6/31.8Gbps,轉(zhuǎn)發(fā)

速率為每秒900多萬個數(shù)據(jù)包，在所有端口上全線速運(yùn)行。

先進(jìn)的堆疊方式，良好的擴(kuò)展性

?環(huán)形的堆疊方式，使堆疊設(shè)備之間的堆疊帶寬增加一倍、數(shù)據(jù)分擔(dān)負(fù)載,

并且提高了堆疊設(shè)備的容錯性，保證了網(wǎng)絡(luò)用戶的正常運(yùn)行。

?方便的堆疊管理，多臺設(shè)備堆疊后，配置管理使用等同于一臺機(jī)箱式結(jié)構(gòu)

交換機(jī)，大大簡化了配置管理工作，方便了用戶。

?端口靈活，兩個內(nèi)置端口既可以用于堆疊使用，不使用堆疊功能時可當(dāng)作

普通千兆端口使用，增加了靈活性、降低了成本，方便了用戶。多達(dá)4臺

的堆疊數(shù)量，以及多千兆端口配置，使設(shè)各堆疊后百兆、千兆端口達(dá)到很

高的密度，可以媲美機(jī)箱式交換機(jī)，為用戶提供了良好的可擴(kuò)展性。

完整的QoS策略

?支持完整的L2/L3/L4層次的ACL管理控制，全部硬件實(shí)現(xiàn)，不影響數(shù)據(jù)

轉(zhuǎn)發(fā)速度。

?支持基于Mac、IP、業(yè)務(wù)等標(biāo)準(zhǔn)對數(shù)據(jù)流進(jìn)行分類，并對各種數(shù)據(jù)流來進(jìn)

行不同的流量控制。

?支持基于端口的雙向速率限制。

?支持1EEE802.ip.CoS、Diffserv等優(yōu)先級分類。

?支持FIFO、PQ、WRR等多種優(yōu)先級處理方式。

強(qiáng)大的安全接入特性

?支持基于用戶的接入控制協(xié)議802.lx,提供比傳統(tǒng)接入控制方式更為有

效的用戶端口控制能力，端口MAC地址限定功能可以對端口接入的主機(jī)數(shù)

目進(jìn)行控制。

?配合比威網(wǎng)絡(luò)的客戶端軟件能夠?qū)τ脩舻腗AC、11>、帳號等信息進(jìn)行綁定，

精確的對用戶進(jìn)行定位。

?SNMPv3.SSH等特性為用戶鑒權(quán)和數(shù)據(jù)加密提供了更高的安全性，實(shí)現(xiàn)

了安全的管理配置。

?sFlow功能的支持，可以按比例抽樣指定端口的報文形成標(biāo)準(zhǔn)的sFlcw格

式發(fā)送到流量分析服務(wù)器或策略管理中心，使用戶可以更精確監(jiān)控網(wǎng)絡(luò)、

分析網(wǎng)絡(luò)情況。

IPv6支持

?支持IPv6地址配置、ND、ipv6應(yīng)用（ping/traceroute）、tcp、udp、

telnet/telnetd^ftp。

>產(chǎn)品規(guī)格

?遵循TEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.lq、

IEEE802.lpxIEEE802.ld>IEEE802.』、IEEE802.ls>IEEE802.lx等國際標(biāo)

準(zhǔn)；

?提供24個固定RJ-4510/1OOMUTP接口;

?提供2個Combo千兆端口（兩個10/100/1000M電口和2個SFP接口）；

?提供2個：0/100/1000的電口（兼做堆疊端口）；

?19.6G/31.8G無阻塞結(jié)構(gòu)，9.1/13.IMpps包轉(zhuǎn)發(fā)率,線速轉(zhuǎn)發(fā);

動態(tài)內(nèi)存分配，支持MAC地址的自學(xué)習(xí)和更新，可存儲8K條Mac地

址;

?存儲轉(zhuǎn)發(fā)模式(Store-and-Forward)；

?支持9K巨幀轉(zhuǎn)發(fā)；

?可編程107100Mbps自適應(yīng)端口，支持全雙工和半雙工；

?所有10/100M以太網(wǎng)電接口均自動識別直連線和交又線AutoMD1/X；

?支持IEEE802.3x全雙工流控和半雙二背壓流控；

■支持生成樹協(xié)議(IEEE802.Id)、(IEEE802.lw)、(IEEE802.Is)；

?具有擴(kuò)散控制(FloodControl)＞廣播風(fēng)暴控制;

?IEEE802.lqVLAN(4K)、GVRP；

?支持QoS、CoS,提供持EE802.Ip四級優(yōu)先權(quán)隊(duì)列；

?支持TGMPSnooping；

?支持鏈路聚合(Trunking)技術(shù)，最多4組，每組8條鏈路；

?支持端口鏡像，任一端口經(jīng)設(shè)定監(jiān)控另一端口的運(yùn)行狀況；

?支持粒度為1K的帶寬控制(按照出、入方向分開控制)；

?支持基于二/三/四層的訪問控制列表ACL；

■支持PortSecurity端口安全；

?支持sFlow；

?支持IPv6；

?支持802.：x認(rèn)證(基于Port、MAC)；

■支持RadiusClient；

?支持SSH/；

■支持CLI、Telnet管理方式;

?支持SNMPvl/v2u/v3；

?支持RMON(1,2,3,9)；

?支持SNTP；

?支持SYSLOG；

?支持堆疊功能，堆疊可達(dá)4臺，堆疊帶寬4G；

?支持TFTP方式升級，支持批量升級、配置更新；

?支持多系統(tǒng)文件、多配置文件；

?支持用戶分級管理；

?1U高度，：9”機(jī)架式；

＞技術(shù)指標(biāo)

?Console端口：標(biāo)準(zhǔn)RS-232cDB9接口

?背板帶寬：19.6Gbps

?MAC地址表：8K

?端口指示燈：每個以太口提供一個雙色指示燈

綠色亮：端口與所連接的設(shè)備建立了穩(wěn)定的連接之后并工作在100M

狀態(tài)

橙色亮：端口與所連接的設(shè)備建立了穩(wěn)定的連接之后并工作在10M狀

態(tài)

閃爍：該端口正在進(jìn)行數(shù)據(jù)發(fā)送

暗：沒有連線或該端口連接不正常

?系統(tǒng)指示燈：

power燈：綠色

亮：此指示燈應(yīng)該長亮

暗：沒有加電或電源系統(tǒng)工作不正常

Diag燈：綠色

閃爍：系統(tǒng)正常

長暗/長亮：系統(tǒng)異常

?外形尺寸：(HxWxD)=43x440x324mm(1.69xl7.32xl2.8

in.)

?重量：3.08kg

?工作溫度：0°C?50°C(32?122°F)

?儲藏溫度：-40?70°C(-40-158°E)

?相對濕度：10?90%,無霜

?電源：100?240VAC,47?63Hz

?最大電流:2.0A@240VAC

?功耗：60W(Max)

?通過FCCCLASSA,CEMARK,C-tick認(rèn)證

1.1.7.BAMS認(rèn)證計(jì)費(fèi)

個概述

近幾年以寬帶網(wǎng)為主的應(yīng)用業(yè)務(wù)也越來越多，如視頻點(diǎn)播、遠(yuǎn)程教育、遠(yuǎn)程

辦公，寬帶網(wǎng)業(yè)務(wù)正E益進(jìn)入我們的生活。

為了有效地為用戶提供各種應(yīng)用服務(wù)，實(shí)現(xiàn)可管理網(wǎng)絡(luò)是非常必要的，對于

可管理的網(wǎng)絡(luò)，如何實(shí)現(xiàn)對人的有效管理是重中之重，這包括精確、統(tǒng)一的用戶

管理,在實(shí)現(xiàn)用戶管理的基礎(chǔ)上，可以通過相應(yīng)的計(jì)費(fèi)策略實(shí)現(xiàn)靈活的計(jì)費(fèi)管理,

針對這種需求，比威網(wǎng)絡(luò)通過BAMS（比威接入管理系統(tǒng)），配合交換機(jī)以及客

戶端軟件為客戶提供認(rèn)證、計(jì)費(fèi)解決方案，滿足客戶對網(wǎng)絡(luò)安全、用戶管理以及

計(jì)費(fèi)的需求。

■問題及需求

網(wǎng)絡(luò)面臨一個最大的問題就是管理問題，除了對設(shè)備的有效管理之外，酒店

網(wǎng)絡(luò)的使用者成為酒店網(wǎng)絡(luò)問題的多發(fā)地，因?yàn)?，學(xué)生群體具有思維活躍的特點(diǎn),

愿意嘗試各種新事物，并且酒店網(wǎng)絡(luò)的歷史建設(shè)問題，使酒店網(wǎng)絡(luò)內(nèi)部缺乏管理,

酒店網(wǎng)內(nèi)部缺乏有效的控制手段。因此，給酒店網(wǎng)帶來了以下的問題：

非法應(yīng)用泛濫：包括私自設(shè)立ProxyServer,私自設(shè)立DHCPServer等

非法用戶存在：包括帳號盜用，IP地址仿冒以及MAC地址仿冒等問題

廣播流量泛濫：酒店網(wǎng)絡(luò)內(nèi)部充斥了各類廣播流量

缺乏接入控制：內(nèi)部網(wǎng)絡(luò)對用戶沒有管理手段

為了解決以上問題，比威提供802.Ix+BAMS解決方案，實(shí)現(xiàn)泗店網(wǎng)認(rèn)證、

計(jì)費(fèi)解決方案，限制非法應(yīng)用，限制非法帳號等，完善接入控制，實(shí)現(xiàn)有效的用

戶管理和靈活的計(jì)費(fèi)管理。

令比威802.Ix+BAMS認(rèn)證計(jì)費(fèi)解決方案

針對這種需求，比威網(wǎng)絡(luò)提供寬帶接入管理系統(tǒng)，并通過網(wǎng)絡(luò)設(shè)備的合理布

置，滿足客戶對于網(wǎng)絡(luò)應(yīng)用中的用戶管理及計(jì)費(fèi)管理的需要。

之選

B1]^N^woeklnoPathway認(rèn)證

Web'FTP/EMAILBAMS網(wǎng)絡(luò)/數(shù)據(jù)中心

CERNET

8E1OK

》認(rèn)證是為了用戶管理

》用戶管理是為了精確BS7K

》打開控制端口

》用戶管理是為了提供

服務(wù)

BS2224TM

客戶端

案指，力工彳一…B???V(&■?*?N?????■

完整的寬帶接入管理解決方案包括以下幾個部分，

令比威寬帶接入管理系統(tǒng)BAMS

。支持802.lx認(rèn)證的交換機(jī)（如比威網(wǎng)絡(luò)的BS2224TM）

。比威802.lx客戶端軟件

■認(rèn)證過程

認(rèn)證是實(shí)現(xiàn)用戶管理的前提，實(shí)現(xiàn)用戶管理是為了實(shí)現(xiàn)可管理的網(wǎng)絡(luò)，并進(jìn)

而為用戶提供寬帶服務(wù)，802.1X是TEEE的標(biāo)準(zhǔn)，與以太網(wǎng)技術(shù)具有天然的集成

性，并且控制信息流嚴(yán)格區(qū)分于轉(zhuǎn)發(fā)數(shù)據(jù)流，保證轉(zhuǎn)發(fā)效率。采用EAPoverLAN

技術(shù)，實(shí)現(xiàn)簡單、安全，對于認(rèn)證前端設(shè)備要求低。目前多數(shù)接入交換機(jī)都支持

此種認(rèn)證方式。

首先802.lx客戶端發(fā)起認(rèn)證請求；

其次802.lx認(rèn)證交換機(jī)轉(zhuǎn)發(fā)認(rèn)證請求到BAMS系統(tǒng)，BAMS檢查認(rèn)證控制信

息，根據(jù)Radius認(rèn)證屬性值，判斷用戶身份的合法性，如果是合法用戶，發(fā)送

Radius授權(quán)包給802.lx認(rèn)證交換機(jī)。

第三，認(rèn)證交換機(jī)接到授權(quán)信息，打開交換現(xiàn)控制端口，允許用戶接入。

然后，用戶可以實(shí)現(xiàn)正常的網(wǎng)絡(luò)應(yīng)用，包括訪問Internet。

交換機(jī)在認(rèn)證通過后，用戶開始和結(jié)束網(wǎng)絡(luò)訪問時，發(fā)送計(jì)帳信息到Radius

計(jì)帳服務(wù)器，并通過BAMS計(jì)費(fèi)處理子系統(tǒng)，完成需要計(jì)費(fèi)管理”

■IEEE802.lx協(xié)議的體系結(jié)構(gòu)

IEEE802.lx協(xié)議的體系結(jié)構(gòu)包括三個重要的部分：SupplicantSystem客

戶端、AuthenticatorSystem認(rèn)證系統(tǒng)、AuthenticationServerSystem認(rèn)證

服務(wù)器。

客戶端系統(tǒng)一般為一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟

件，用戶通過啟動這個客戶端軟件發(fā)起802.lx協(xié)議的認(rèn)證過程。為支持基于端

口的接入控制，客戶端系統(tǒng)需支持EAPOL(ExtensibleAuthenticationProtocol

OverLAN)協(xié)議。

認(rèn)證系統(tǒng)通常為支持802.lx協(xié)議的網(wǎng)絡(luò)設(shè)備。該設(shè)備對應(yīng)于不同用戶的端

口(可以是物理端口，也可以是用戶設(shè)備的MAC地址)有兩個邏輯端口：受控

(controlledPort)端口和不受控端口(uncontrolledPort)。不受控端口始

終處于雙向連通狀態(tài)，主要用來傳遞EAP0L協(xié)議幀，可保證客戶端始終可以發(fā)

出或接受認(rèn)證。受控端口只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和

服務(wù)。如果用戶未通過認(rèn)證，則受控端口處于未認(rèn)證狀態(tài)，則用戶無法訪問認(rèn)證

系統(tǒng)提供的服務(wù)。圖中認(rèn)證系統(tǒng)的受控端口處于未認(rèn)證狀態(tài)，因此無法訪問認(rèn)證

系統(tǒng)提供的服務(wù)。

認(rèn)證服務(wù)器通常為RADIUS服務(wù)器，該服務(wù)器可以存儲有關(guān)用戶的信息，比

如用戶所屬的VLAN、CAR參數(shù)、優(yōu)先級、用戶的訪問控制列表等等。當(dāng)用戶通過

認(rèn)證后，認(rèn)證服務(wù)器會把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)構(gòu)建動態(tài)

的訪問控制列表，用戶的后續(xù)流量就將接受上述參數(shù)的監(jiān)管。認(rèn)證服務(wù)器和

RADIUS服務(wù)器之間通過EAP協(xié)議進(jìn)行通信。

。BAMS

BAMS包括認(rèn)證子系統(tǒng)，前臺處理子系統(tǒng)，系統(tǒng)操作維護(hù)中心子系統(tǒng)。認(rèn)證

子系統(tǒng)主要由Radius認(rèn)證服務(wù)器構(gòu)成，完成對用戶控制信息的認(rèn)證過程，保證

合法用戶的接入寬帶系統(tǒng)，防止非法用戶接入城域?qū)拵ЬW(wǎng)系統(tǒng)。

802.lx認(rèn)證交換機(jī)實(shí)現(xiàn)接入控制功能，中繼802.lx客戶端發(fā)起的認(rèn)證請求

到BAMS認(rèn)證子系統(tǒng)，并根據(jù)BAMS返回的授權(quán)信息執(zhí)行具體的控制策略，當(dāng)認(rèn)證

通過時，打開用戶接入端口，允許用戶通過。對于非授權(quán)用戶拒絕接入。

另外，BAMS配合比威802.lx客戶端軟件，可以實(shí)現(xiàn)多元素綁定用戶接入管

理，實(shí)現(xiàn)精確的用戶接入控制，詳見下面章節(jié)。

比威認(rèn)證計(jì)費(fèi)解決方案充分考慮網(wǎng)絡(luò)管理者的靈活使用要求，在通過7元素

綁定進(jìn)行精確用戶管理時，實(shí)現(xiàn)自動綁定設(shè)置，不需要手動輸入綁定元素（如

MAC地址），給用戶帶來極大的靈活性。

前臺處理子系統(tǒng)配合Radius計(jì)帳服務(wù)器，對采集的計(jì)帳數(shù)據(jù)作集中的史理,

根據(jù)具體需求，形成靈活的計(jì)費(fèi)結(jié)算策略，如預(yù)付費(fèi)，后付費(fèi)，普通用戶計(jì)費(fèi),

卡計(jì)費(fèi)（包括充值卡管理）。

通過認(rèn)證計(jì)費(fèi)管理實(shí)現(xiàn)，可以提供以下業(yè)務(wù)：

?普通用戶、卡用戶

令用戶開戶、停機(jī)、銷戶

令用戶資料維護(hù)

令用戶交費(fèi)、費(fèi)用帳務(wù)查詢

＜用戶費(fèi)用恢復(fù)和退費(fèi)

。操作員的對帳及操作查詢

。綁定設(shè)置

令BAMS關(guān)鍵技術(shù)

■七元素綁定

通過七元素綁定瓦以根據(jù)需求，對用戶進(jìn)行精確的管理控制，給網(wǎng)絡(luò)管理者

帶來易維護(hù)性。

而且，比威認(rèn)證計(jì)費(fèi)解決方案充分考慮網(wǎng)絡(luò)管理者的靈活使用要求，在通過

7元素綁定進(jìn)行精確用戶管理時，不需要手動輸入綁定元素（如MAC地址），給

用戶帶來極大的靈活性。

下面介紹比威認(rèn)證計(jì)費(fèi)系統(tǒng)的七元素綁定實(shí)現(xiàn)。

超輯粉七元素綁定

為了實(shí)現(xiàn)對用戶的精確的用戶管理，僅僅依賴于標(biāo)準(zhǔn)的IEEE802.IX認(rèn)證，

并不能滿足要求，因此，比威網(wǎng)絡(luò)發(fā)展802.IX認(rèn)證，通過提供多元素綁定，來

滿足酒店網(wǎng)絡(luò)內(nèi)部精確控制的要求。

比威認(rèn)證計(jì)費(fèi)解決方案提供7元素綁定，即：

令用戶名

令用戶MAC

令用戶1P

令交換機(jī)IP

?交換機(jī)端口

。交換機(jī)VLAN

。用戶的EMAIL帳號

具體來說，可以將這7元素歸納為以下3類：

＜使用者屬性：用戶名；

＜用戶PC的屬性：MAC地址，PCIP地址；

?交換機(jī)屬性：交換機(jī)IP,交換機(jī)端口，交換機(jī)VLAN信息；

。用戶的業(yè)務(wù)屬性：EMAIL帳號；

通過把7元素作不同的組合，可以實(shí)現(xiàn)不同的控制策略；

控制策略一：賬號/密碼只有經(jīng)過申請獲得開通的用戶才可以使用網(wǎng)絡(luò)

控制策略二：1P和賬號綁定此法可以在靜態(tài)IP應(yīng)用中，解決1P沖突問

題

控制策略三：MAC和賬號綁定解決賬號盜月問題

控制策略四：TP和MAC綁定公用電腦上網(wǎng)區(qū)域

控制策略五：賬號、IP和MAC綁定私有電腦上網(wǎng)區(qū)域

控制策略六：賬號、IP、MAC、接入交換機(jī)、端口綁定、VLAN、EMAIL帳號，

最嚴(yán)格的接入控制，實(shí)現(xiàn)最精確的用戶管理手段

令用戶管理

■有效的用戶管理

認(rèn)證的一個基本的目的就是實(shí)現(xiàn)有效的用戶管理，對不同的用戶設(shè)置不同的

安全接入控制策略，授予不同接入權(quán)限，AAA中授權(quán)部分就是針對用戶的級別、

權(quán)限而設(shè)置的。

這個管理部分，主要有兩個管理階段，首先，后臺軟件為用戶設(shè)置相應(yīng)的接

入權(quán)限，并通過Radius發(fā)送給前端控制設(shè)備（如交換機(jī)，B