九丈甸园山庄网络设计方案.doc

九丈甸园山庄网络方案 - 1 - 九丈甸园山庄九丈甸园山庄 网网 络络 规规 划划 方方 案案 20102010 年年 8 8 月月 2323 日日 九丈甸园山庄网络方案 - 2 - 目录目录 1 1、酒店项目概述、酒店项目概述3 3 2 2、网络建设综述、网络建设综述4 4 2.1 网络设计的原则4 2.2 网络设计的目标6 3 3、网络建设方案、网络建设方案6 6 3.1 方案拓扑7 3.2 设备选型说明8 3.3 网络规划说明.10 3.4 无线网络规划说明.16 4 4、产品简介、产品简介1717 4.1 H3C F1000-S 防火墙 .17 4.2 H3C S7503E 核心路由交换机 19 4.3 H3C 3100 千兆以太网交换机 26 4.4 H3C WX5002 无线控制器 30 4.5 H3C WA2220 无线 AP30 九丈甸园山庄网络方案 - 3 - 1 1、酒店项目概述、酒店项目概述 酒店基础网络建设的目的是为应用服务，如果建了网，用不起来，等于白建。所以，一定要重视应 用系统的建设，电话网络是针对客户的通信需求而铺设，并针对酒店行业的话务需求提供的合适的方案， 而宽带网络是针对酒店内部信息管理系统，例如互联网接入,视频点播、餐馆系统，房态系统，一卡通门 禁系统而先期必须进行的基础设施铺建，只有针对应用而建设的网络，才能使酒店网络真正发挥它的作 用。 （1）实用性与先进性 酒店网络建设的首要原则是要有极好的实用性，因为只有实用才能使酒店管理人员和入住人员直接受益。 但在实用的基础上，应尽可能采用先进成熟的技术。选购具有先进技术水平的计算机系统和网络设备， 这些设备应该在相当长的时间内保证其先进性。开发和选购的各种网络应用软件也尽可能先进，并有相 当长时间的可用性。我公司在电话网络及宽带网络的产品设备上均选用国内、国际知名品牌高科、天波、 CISCO、TOPSTAR、布线产品使用国内国际知名品牌 MOLEX、VCOM 的产品，并提供 20 年的工程质保。 （2）开放性与标准化 酒店网络建设的一个显著的特点是具有极好的开放性。这种开放性靠标准化实现，只有符合标准的网络 系统才能实现无缝的互连。为此，应制定全网统一的网络体系结构，并遵循统一的通信协议标准。网络 体系结构和通信协议应选择广泛使用的国际工业标准，使我们的酒店网络成为一个完全开放式的网络环 境。 （3）可靠性与安全性 酒店网络的建设遵循可靠性的原则也是非常重要的，网络系统所用设备和材料均应符合国际和国内认可 的有关标准，并要经过严格检验，网络的每一建设过程都要把好质量关，保证网络系统有一个良好的运 行环境。安全性是指网络能够有效地控制系统资源，并有完善的数据保护措施，可靠性是安全的基础。 （4）经济性与可扩充性 酒店网络建设的经济性是指在满足应用要求的基础上尽最大可能降低成本，使有限的建设费用做更多的 事情。但经济性是建立在可扩充性基础上的。计算机及网络互连技术发展迅猛，网络系统的扩充与升级 是必然趋势，所以酒店网络建立时，就应为网络系统未来的扩充与升级奠定良好的基础。 （5）具备良好的网络管理功能 酒店网络建成以后，对整个网络的管理是一项非常重要的工作，因此在网络设计中，应确保该网络具有 九丈甸园山庄网络方案 - 4 - 良好的管理功能。 （6）网络只是手段，应用才是目的，重视应用系统的建设 2 2、网络建设综述、网络建设综述 随着信息技术的飞速发展，网络在人类的工作和生活中的作用与日俱增。传统的商务活动在与互联 网结合后，网络技术为商务活动在时间和空间上提供了极大便利，诞生了宽带上网、移动办公、电子商 务等多种趋势。这些新的趋势也对酒店行业提出了新的要求，酒店行业的信息化水平应当与时俱进。现 代化的酒店需要为客户提供包括住宿、餐饮、娱乐、会议、办公、网络等在内的全方位服务，具备全方 位智能化服务的特点。在此过程中，首先就是为酒店搭建一个高效、灵活、可靠的基础网络环境。酒店 网络作为整个酒店的信息化管理、服务的基础，必须满足顾客随时随地接入互联网的要求，以提升酒店 的现代化管理水平和整体形象。因此网络是酒店行业紧跟商务发展潮流与时俱进的重要支持和强大动力。 九丈甸园山庄大酒店是一家环境优雅、设施一流，服务周到的大酒店。为了提高酒店的竞争力，完 善硬件设施的配置，酒店领导提出了建立高效、最优的信息网络的需求。 酒店按照 5 星级的要求来建立信息网络，整个系统要求可支持 1000M 以上传输速率(到桌面 100M)， 支持多种网络结构及网络协议，并具有足够的通信冗余，能够为办公自动化及其他系统应用的实现打下 坚实的基础。 2.12.1 网络设计的原则网络设计的原则 网络建设的总原则是：统一规划、统一标准、保障安全，技术先进，资源共享，便于扩展、维护简 便，面向社会。 在本次项目中要采用先进成熟的技术和设计思想，运用先进的集成技术路线，以先进、实用、开放、 安全、使用方便和易于操作为原则，突出系统功能的实用性，尽快投入使用，发挥较好的效能。 实用性实用性 系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进 性，使系统便于联网，实现信息资源共享。易于维护管理，具有广泛兼容性，我们的根本原则就是能最 大限度地满足网络建设实际的需要。方案所推荐的网络技术和产品具有成熟、稳定、实用的特点，并充 分满足客户对网络的需要。 先进性先进性 九丈甸园山庄网络方案 - 5 - 计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性，选择硬 件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。所推荐的主要网络产品均 为高性能优秀产品。在设计中，我们是依据先进性与成熟性并重的原则考虑的，并考虑到近年来的发展 特点，我们把先进性放在重要位置。 为了未来支持数据、话音、视频等多媒体的传输能力，应大幅提高网络带宽和网络设备的流量处理 能力，应实现从桌面至主干交换机各级网络设备全方位地消除网络瓶颈，尽量避免拥塞、显著改善响应 时间，还应提供对服务质量的保障机制。 开放与标准化原则开放与标准化原则 本系统应是一个开放且标准的系统。本系统采用 TCP/IP 协议作为主要协议，二层支持标准的 802.1Q 的 VLAN。并且，所选产品都遵循相应的标准。我们完全可以做到使网络的硬件环境，通信环境，软件环 境，操作平台之间的相互依赖减至最小。 可扩展性及易升级性可扩展性及易升级性 面对中国计算机网络的迅速发展，系统的计算机设备和网络设备必须有非常好的系统扩充性。并且， 随着世界网络技术的不断发展，主干网络设备应能平滑升级。因此，在网络平台设计中，采用结构化设 计；保证系统结构模块化，软硬件平台可以积木式拼装。 采用结构化网络设计的优点是网络的升级可以平滑的进行，网络中任何一部分的升级都不会对网络 造成重大影响。 良好的可管理性和可维护性良好的可管理性和可维护性 我们着重考虑所选产品具有良好的可管理性和可维护性。作为一个系统，所选产品应具有良好的可 管理性和可维护性。 具有最佳的性能价格比具有最佳的性能价格比 我们仔细分析讨论了需求情况，力求设计紧贴实际需求，在设计上寻求最佳的性能价格比。 有高可靠性和安全性有高可靠性和安全性 系统的可靠性是非常重要的指标。本网络所采用的主要产品采用可靠性设计，力求系统的安全，可 靠稳定的运行，才能提供优质的服务。采取多层次的冗余备份手段和技术，保证设备在发生故障时能在 最短时间内恢复，以最大程度地保证网络的正常运转。 应根据学校网络管理制度和网络策略制定一套完善的安全政策，采用合适的技术手段，充分地保证 网络的安全性。 二层的安全性，可以通过基于 MAC 地址进行接入控制，甚至可以利用每端口可透穿的 VLAN 来实现网 络连接的安全性。 三层的安全性，通过静态的 ARP 表，及第三层交换机访问列表（ACL） ，通过协议、网络地址、应用 九丈甸园山庄网络方案 - 6 - 的端口号进行组合，形成安全的控制策略。 具有良好的售后服务和技术支持具有良好的售后服务和技术支持 所选用的网络设备应该是具有良好的售后服务和技术支持服务。同时本土化的服务是至关重要的。 服务的最终目的是所有的网络问题设备，厂商都应该给予解决而非是解释理由，一旦网络出现故障，厂 商都应该及时与系统集成商赶到现场进行解决，使网络尽快恢复，从而不影响客户的各项工作。 2.22.2 网络设计的目标网络设计的目标 九丈甸园山庄大酒店希望通过网络建设，把酒店的局域网构建成具有高技术性、高实用性和长期投 资效益的网络，并且能够保证系统长期，稳固、高效的运行。 根据酒店的要求 ，我们提出的解决方案大致是：利用千兆以太网技术来实现到桌面 100M 的速率连 接。同时对各个客房和酒店内部部门实行虚拟局域网的划分，每个房间一个端口，来达到控制广播风暴， 提高工作效率的目的。另一方面通过先进的网络管理软件来统一管理整个网络系统，以提高可管理性和 管理的便捷性。 酒店局域网设计的目标就是将不同部门的各种不同应用的信息资源通过高性能的网络设备相互连接 起来，形成酒店内部依据不同部门而划分的自由 INTRANET 系统，对外通过路由设备接入广域网，以此来 满足顾客对上网的需求。系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、 高度的安全可靠性、良好的开放性和可扩展性，以及建设的经济性。 3 3、网络建设方案、网络建设方案 九丈甸园山庄大酒店计算机网络信息化建设遵循网络整体规划，统一实施，最终完成网络信息化建 九丈甸园山庄网络方案 - 7 - 设。网络系统具体规划如下： 3.13.1 方案拓扑方案拓扑 根据上图显示，整体网络架构采用核心-接入的二层网络设计，二层网络架构采用层次化模型设计， 即将复杂的网络设计分成 2 个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题 变成许多简单的小问题。这里将核心层和汇聚层合为一层，在实现同等功能需求的情况下，节约了网络 建设成本。二层网络架构设计的网络有二个层次：核心层（网络的高速交换主干） 、接入层（将工作站接 入网络） 。整个网络为千兆骨干，百兆至桌面的高速二层网络。 核心层：核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有 如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应 该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。由于本方案中核心层和 汇聚层合而为一，所以核心层设备还承担了汇聚层设备的部分功能，所以还具有实施策略、安全、工作 组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。 接入层：接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量，能够向工 作组提供高速带宽。接入交换机通过双绞线连接各终端节点，同时，在接入层交换机还可限制每端口的 九丈甸园山庄网络方案 - 8 - mac 地址数据，以保证只有单台 pc 接入，为管理带来方便；在汇集和核心交换机上做硬件访问列表，封 常见病毒端口如：冲击波、振荡波、蠕虫等病毒，避免病毒流量泛滥整个网络，导致网络瘫痪；可在汇 聚交换机自动启用防 arp 欺骗功能，可向 PC 免费发 arp reply 报文，防止 arp 欺骗，并在交换机打印信 息，通知用户杀毒；另外，还可通过 vlan、安全端口、IP+MAC 绑定等来防止 IP 地址盗用、账号游离使 用等问题。 3.23.2 设备选型说明设备选型说明 网络核心层是整个网络的骨干中心，决定着整个网络运行的可靠性，推荐采用 S7503ES7503E。其背板带宽 高达 720Gbps，包转发速率为 540Mpps，具备 L2/L3/L4 线速交换能力。S9303 万兆路由交换机基于先进的 模块化理念进行设计，并采用了基于多处理器分布式处理机制和 Crossbar 空分交换结构的体系结构，关 键模块均采用 1:1 冗余备份。可提供 10GE、GE、FE 等各种丰富的接口模块，并全面支持 IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。此款产品定位于运营商 IP 城域网、校园网、 电子政务网和大型企事业网等网络的骨干层。整个系统所具备的高可靠性、高扩展性、强大的业务能力 等特点可以满足会展中心局域网网络核心层的建设需求。 接入层我们选择采用 S3100-26TPS3100-26TP 24 口交换机和 S3100-52PS3100-52P 48 口交换机。这些交换机具有性能好、 稳定性好、功能丰富等特性，在长期的销售和应用中已经被证明是非常具有性价比的产品。接入层交换 机向上使用千兆以太网接口与骨干网形成连接；向下则通过传统的 100M 端口与普通的个人 PC、业务终端 等设备进行对接。在每个 IDF 接入点，如果接入点数量少于 24 口，即一台交换机可以完成接入的，我们 就使用一台设备；如果接入点数量比较多，我们使用多台同型号交换机进行级联（使用千兆口） ， 并且 在特殊需要的情况下，通过端口聚合技术形成 2G、4G 等的高带宽级联，充分保证大信息量的情况下网络 的高性能。同时，多台设备连接时，多余的交换机端口也成为用户在小规模扩容时的预留资源，届时用 户可以灵活调配这些资源而不必再额外花费金钱去购买新的设备。在这个过程中，对原有正在运行的网 络状态也无需作任何修改，非常方便。 网络的核心接入交换机形成之后，还需要做其他的扩展内容，才能真正实现各项业务的开展，其 中主要包含两部分内容： 第一、无线接入。群组中放置多台无线 AP，针对酒店面积大的实际情况，酒店无线网络的设计方 案一般有两种。一种是楼层之间用有线网络进行连接，多个房间共用一台无线路由器或无线 AP；另 外一种就是使用无线路由器，通过酒店现有的 CATV 线路传输无线网络信号，这样只需要在机房安装 无线路由器，在客户端安装天线就可以实现无线网络覆盖了。 第二、局域网只是整个管理体系中的一个组成部分，必须与外部网络练成一个整体，才能真正发挥 九丈甸园山庄网络方案 - 9 - 其作用和威力，为此我们强烈建议使用高性防火墙设备来进行组网。 为满足内部用户的安全需求，在网络出口配置一台 F1000-SF1000-S 防火墙作为出口安全设备。F1000-S 是华 赛公司为大型中型企业用户网络安全应用开发的一款智能防火墙。支持全状态检测技术，支持内容访问 控制、入侵检测与防护，支持邮件过滤、病毒防护、攻击防护等多种安全功能。支持多种 VPN 技术，可 灵活构建企业安全 VPN 网络。提供多种网络分析管理手段，协助管理员完成网络安全管理。 选型清单：选型清单： 核心交换机核心交换机 LS-7503E H3C S7503E 以太网交换机主机 LSQM1SRPB0 H3C S7500E Salience VI 交换路由引擎 LSQM1GP12SC0 H3C S7500E 12 端口千兆/百兆以太网光接口模块(SFP,LC) LSQM1AC1400 H3C S7500E 交流电源模块,1400W SFP-GE-SX-MM850-A 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) IDF1/MDFIDF1/MDF LS-3100-26TP-EI-H3-A H3C S3100-26TP-EI,以太网交换机主机,24 个 10/100Base-T,2 个 10/100/1000Base-T 与 1000Base-X SFP COMBO,交流供电 LS-3100-52P-H3 H3C S3100-52P L2 以太网交换机主机,48 个 10/100Base-T,4 个千 兆 SFP,交流供电 SFP-GE-SX-MM850-A 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) IDF2IDF2 LS-3100-52P-H3 H3C S3100-52P L2 以太网交换机主机,48 个 10/100Base-T,4 个千 兆 SFP,交流供电 SFP-GE-SX-MM850-A 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) IDF3IDF3 LS-3100-52P-H3 H3C S3100-52P L2 以太网交换机主机,48 个 10/100Base-T,4 个千 兆 SFP,交流供电 SFP-GE-SX-MM850-A 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) IDF4IDF4 LS-3100-52P-H3 H3C S3100-52P L2 以太网交换机主机,48 个 10/100Base-T,4 个千 兆 SFP,交流供电 SFP-GE-SX-MM850-A 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) IDF5IDF5 LS-3100-26TP-EI-H3-A H3C S3100-26TP-EI,以太网交换机主机,24 个 10/100Base-T,2 个 10/100/1000Base-T 与 1000Base-X SFP COMBO,交流供电 SFP-GE-SX-MM850-A 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) IDF6IDF6 九丈甸园山庄网络方案 - 10 - LS-3100-26TP-EI-H3-A H3C S3100-26TP-EI,以太网交换机主机,24 个 10/100Base-T,2 个 10/100/1000Base-T 与 1000Base-X SFP COMBO,交流供电 SFP-GE-SX-MM850-A 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) IDF7IDF7 LS-3100-26TP-EI-H3-A H3C S3100-26TP-EI,以太网交换机主机,24 个 10/100Base-T,2 个 10/100/1000Base-T 与 1000Base-X SFP COMBO,交流供电 SFP-GE-SX-MM850-A 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) IDF8IDF8 LS-3100-26TP-EI-H3-A H3C S3100-26TP-EI,以太网交换机主机,24 个 10/100Base-T,2 个 10/100/1000Base-T 与 1000Base-X SFP COMBO,交流供电 SFP-GE-SX-MM850-A 光模块-ESFP-GE-多模模块(850nm,0.5km,LC) 无线无线 APAP 点点 EWP-WA2220-AG H3C WA2220-AG 无线局域网室内型 AG 双频双模接入点 EWP-WX5002-64-H3 2 端口千兆 Combo 无线控制器(支持 64AP) 防火墙防火墙 NS-SecPath F1000-S-AC H3C SecPath F1000-S 主机-双交流电源(4GE/2Slot) 3.33.3 网络规划说明网络规划说明 .1 IPIP 地址规划地址规划 IP 地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可 扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由汇聚，减少路由器中路由表的长度， 减少对路由器 CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络 地址的可管理性。 具体分配时要遵循以下原则：具体分配时要遵循以下原则： 唯一性：唯一性：一个 IP 网络中不能有两个主机采用相同的 IP 地址；这就需要选择一个足够大的 IP 地址范围， 不但能够满足现有的需要，同时能够满足未来网络的扩展。 简单性：简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项；一般我们可以使用 10.x.x.x；172.16.x.x；192.168.xx 这样的地址规划，简单而且容易记忆。 连续性：连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率； 可扩展性：可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。 灵活性：灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。 九丈甸园山庄网络方案 - 11 - .2 VLANVLAN 规划规划 对于网络的大量接入信息点，直接把他们连接在一起是不现实的，无论是对今后的管理还是网络运 行的性能都没有好处，所以我们建议使用虚拟局域网 VLAN 隔离广播域，同时不同的网段之间可以通过三 层交换相互访问。 VLAN 的主要作用是限制广播域的规模，一旦在日后正常运行过程中出现而已攻击等情况引起的广播 风暴时，VLAN 功能可以有效的减小其影响范围。同时 VLAN 在划分时，也需要按照部门、各个逻辑子网的 的不同，而设置，这样可以保证无关的网络之间不会相互干扰，这在在很大程度上可以保护用户网络的 私密性。 在核心交换机上面，为每个 VLAN 设置一个 IP 网段，不同子网的相互通信都需要通过这个三层的 “网关”设备。而这台网关设备可以根据用户的需要灵活的进行控制，允许或者禁止，尽在掌握。 在这个二层架构的网络中，接入层设备主要进行连接 PC 主机、业务终端等设备的连接与控制、甚至 进行必要的认证，从源头上保证用户的合法身份和网络流量的正常。核心设备则主要进行对网络中各个 VLAN/子网的规划和控制，使的网络中的流量更加合理。最后网络的核心设备依靠他的高性能和高稳定性 为整个网络创造一个理想平台。 .3 QoSQoS 规划规划 在局域网网络的构建中，数据传输是一个基本的功能。但随着技术的发展，应用需求的多样化，网 络越来越多地需要考虑对多种业务的支持及保证，如保障构建中语音、视频等数据在网络中传输的实时 性等。 通常我们会根据业务网络中的重要程度，都可区分为关键业务与非关键业务，为了使关键业务能得 到充分的服务质量保证(如时延小、丢包少等)，避免因网络拥塞而造成对业务的影响，在网络的设计及 构建中就需要考虑能提供合适的 QoS 保障方案。 以下对 QoS 的服务模型及其做一个阐述： 1 1、QoSQoS 服务模型服务模型 QoS 方案的设计实施，首先需要考虑选择合适的技术框架，也即服务模型。服务模型指的是一组端到 端的 QoS 功能，目前有以下三种 QoS 服务模型： * Best-Effort service尽力服务 * Integrated service(Intserv)综合服务 1.1 Differentiated service(Diffserv)区分服务 1、Best-Effort service 九丈甸园山庄网络方案 - 12 - 尽力服务是最简单的服务模型。应用程序可以在任何时候，发出任意数量的报文，而且不需要事先 获得批准，也不需要通知网络。网络则尽最大的可能性来发送报文，但对时延、可靠性等不提供任何保 证。 2 2、IntegratedIntegrated serviceservice Intserv 是一个综合服务模型，它可以满足多种 QoS 需求。这种服务模型在发送报文前，需要向网络 申请特定的服务。这个请求是通过信令(signal)来完成的，应用程序首先通知网络它自己的流量参数和 需要的特定服务质量请求，包括带宽、时延等，应用程序一般在收到网络的确认信息，即网络已经为这 个应用程序的报文预留了资源后，发送报文。而应用程序发出的报文应该控制在流量参数描述的范围内。 网络在收到应用程序的资源请求后，执行资源分配检查(Admission control)，即基于应用程序的资 源申请和网络现有的资源情况，判断是否为应用程序分配资源。一旦网络确认为应用程序的报文分配了 资源，则只要应用程序的报文控制在流量参数描述的范围内，网络将承诺满足应用程序的 QoS 需求。而 网络将为每个流(flow，由两端的 IP 地址、端口号、协议号确定)维护一个状态，并基于这个状态执行报 文的分类、流量监管(policing)、排队及其调度，来满足对应用程序的承诺，具有面向连接的特性。因 此对网络设备的处理能力有较高要求。 传送 QoS 请求的信令是 RSVP(资源预留协议)，它通知路由器应用程序的 QoS 需求。 3 3、DifferentiatedDifferentiated serviceservice Diffserv 即区别服务模型，它可以满足不同的 QoS 需求。与 Integrated service 不同，它不需要信 令，即应用程序在发出报文前，不需要通知路由器。网络不需要为每个流维护状态，它根据每个报文指 定的 QoS，来提供特定的服务。可以用不同的方法来指定报文的 QoS，如 IP 包的优先级位(IP Precedence)、报文的源地址和目的地址等。网络通过这些信息来进行报文的分类、流量整形、流量监管 和排队。 通常在配置 Differentiated service 时，在网络边界的路由器通过报文的源地址和目的地址等对报 文进行分类，对不同的报文设置不同的 IP 优先级，而其他路由器只需要用 IP 优先级来进行报文的分类。 4 4、服务模型选择、服务模型选择 这三种服务模型中，只有 Intserv 与 Diffserv 这两种能提供多服务的 QoS 保障。从技术上看， Intserv 具有面向连接的特性及思想，这与 IP 技术本身无连接特性是不符合的，容易导致网络的复杂化; 从实现看，Intserv 需要网络对每个流均维持一个软状态，因此会导致设备性能的下降，或实现相同的功 能需要更高性能的设备，另外，还需要全网设备都能提供一致的技术才能实现 QoS。而 Diffserv 则没有 这方面的缺陷，且处理效率高，部署及实施可以分布进行，它只是在构建网络时，需要对网络中的路由 九丈甸园山庄网络方案 - 13 - 器设置相应的规则，会使配置管理比较复杂。 因此，一般来讲，利用现有技术提供 IP QoS 时，为了实现规模适应性，在三级网的构建中往往采用 Diffserv 体系结构。 而且，无论是 Diffserv，还是 Intserv，在最终对服务进行保障时，都是通过以下一些成熟技术来 实现： * CAR。它根据 IP 包的优先级或 QoS 组，来进行报文的分类、以及报文的度量和流量监管。 * 队列技术。WRED、PQ、CQ、WFQ 等队列技术进行拥塞避免及拥塞管理。 在局域网网络构建中，将网络资源充分利用是解决 QoS 问题最彻底的方法，因此，如何构建、管理 好某公司局域网网络，设计出合适的 QoS 保障方案，使有限的资源获得更好的网络使用效益，成为 QOS 设计的重点。 业务的区分是进行 QoS 保障的基础。在局域网网络中的业务可以有多种分类法，根据对时间的敏感 度，可分为实时业务与非实时业务；根据对数据传送的要求，又可分为可靠业务与不可靠业务等等。再 如语音、视频既是实时业务，也是不可靠业务；综合办公、E-mail 是非实时业务，但又是可靠传送业务。 另外，即使是实时业务，也还可分为对时延抖动敏感的业务，如 IP 语音; 对抖动不敏感业务，如网管系 统。 .4 网络安全规划网络安全规划 网络安全概述 根据网络结构和网络应用，在经济实用、安全高效的条件下对网络安全性设计需要从物理安全、链 路安全、网络安全、系统安全、应用安全及管理安全进行分类分析，公司局域网网络安全主要整个网络 构建的方方面面来给予详细阐述。 网络安全设计应遵循的原则 综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措施。 需求、风险、代价平衡的原则：对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析， 然后制定规范和措施，确定本系统的安全策略。 一致性原则：制定的安全体系结构必须与网络的安全需求相一致 易操作性原则：易于操作、维护，并便于自动化管理，而不增加或少增加附加操作。 易扩展原则：随着网络规模的扩大及应用的增加要具有可升级性。 九丈甸园山庄网络方案 - 14 - AAA 安全机制 博达设备 AAA 技术提供了网络设备对用户的验证、授权和记帐功能。 （1）验证功能 各种用户（包括登录、拨号接入用户等）在获得访问网络资源（包括路由器）之前必须先经过验证。 验证时可以选择是采用本地维护的用户数据库，还是采用 Radius 服务器所维护的用户数据库，或者是采 用 Tacacs+服务器所维护的用户数据库。 博达路由器支持与 AAA 技术相结合的本地数据库、Radius、Tacacs+认证。 （2）授权功能 通过定义一组属性来限定用户的权限信息，来确定用户的访问权限。这些信息存放在相应的用户数 据库内。不同权限的用户能够操作和控制路由器的程度不一样，避免了恶意人为破坏的隐患。 （3）记帐功能 该功能使得路由器可以对用户访问的网络资源进行跟踪记录，当选择了该项功能时，用户的访问 信息便会存入相应的用户数据库内，根据数据库，就可以产生各类用户帐单信息。 日志功能 日志（log）功能用于将路由器产生的各种信息以日志形式记录到具备 Syslog 功能的主机上（如 Unix 主机或运行 Syslogd 的主机） 。日志功能与访问列表功能相结合可以任意定义所要记录的信息，以备 查用，如跟踪记录黑客攻击报文等。 IP 地址MAC 地址邦定技术 MAC 地址绑定技术是通过在路由器中静态配置 IP 地址和 MAC 地址的映射关系来完成 ARP 应答来实现 的。原理如图所示： 九丈甸园山庄网络方案 - 15 - 可以看到，路由器不再动态的响应来自局域网的主机的 ARP 请求，当接收到一个 ARP 请求时，路由 器首先检查请求报文的源 IP 地址，然后在自己的静态映射表中寻找与此相对应的 MAC 地址，如果没有寻 找到相关映射，将对此报文不作任何处理，通信也就无法实现，从而保证了可能由无效 IP 地址的主机发 起的攻击。如果寻找到相关映射，就回答一个 ARP 响应，当响应报文中的目的 MAC 地址域的值是用映射 表中的 MAC 地址填充的，而不是依据请求报文中的源 MAC 地址域的地址值。这样，只有请求报文的 MAC 和静态映射的 MAC 一致时（即没有伪装 IP） ，通信才可以建立，否则，如图所示，通信也不可能建立，从 而防止 IP 地址的欺骗。 基于包过滤的防火墙技术 博达路由器支持基于包过滤的防火墙技术，防火墙访问列表根据 IP 报文的 IP 报头及所承载的上层 协议（如 TCP）报头中的每一个域包含了可以由路由器进行处理的信息。包过滤通常用到的 IP 报文的以 下属性： IP 的源、目的地址及协议类型 TCP 或 UDP 的源、目的端口 ICMP 码、ICMP 的类型码 TCP 的标志域 服务类型 TOS IP 报文的优先级（precedence） 博达路由器的访问表还提供了基于时间的包过滤，可以规定过滤规则发生作用的时间范围，在此时 间范围以外，不进行由时间定义的访问规则判断。在时间段的设置上，可以采用绝对时间段和周期时间 九丈甸园山庄网络方案 - 16 - 段以及连续时间段和离散时间段配合使用，在应用上提供极大的灵活性。 ARP 病毒防范技术 博达交换机具有以下四种 ARP 防范技术： 1、在接口下过滤 ARP 报文，防止冒充网关。 2、在接口下对 ARP 报文进行 IP+MAC 绑定，防止对网关的欺骗。 3、免费发放 ARP RESPONSE 报文，纠正主机错误的网关。 4、在接口下配置 Filter 功能，防 ARP 扫描攻击。 通过以上的四个功能，可以完全做到对 arp 欺骗和攻击的防治，其中，将 arp 报文的 IP 与 MAC 绑定 这一功能可以彻底防止 arp 欺骗，但大的网络中实施起来有可能工作量比较大。因此我们一般情况下可 以只启用第一个功能，防止伪造网关的 MAC 地址，通常的 ARP 病毒就这这种类型。 如果有需要才将主机的 IP+MAC 绑定，对于 DHCP 环境，我们可以在 DHCP Server 上进行 IP+MAC 绑定， 即：给特定的 MAC 地址分配特定的 IP 地址，再在交换机上做 ARP 的 IP+MAC 绑定。 防 arp 攻击这项功能，在统计周期和吞吐量的设定上最好使用默认配，只需要在全局和端口下开启 此功能即可。 免费发放 arp response 报文是一个辅助手段，它可以让已经被欺骗的主机自动纠正过来，减少了维 护的工作量。 3.43.4 无线网络规划说明无线网络规划说明 无线智能酒店系统主要是通过在酒店布置无线局域网 WLAN 来提供无线宽带服务，可以在最短的 时间内实现酒店的整体接入，不影响酒店的正常营业，尤其是不影响酒店的装修布局。 商务客人常常喜欢在酒店大堂、咖啡厅或茶座里用笔记本电脑工作，或是在这些地方进行一个 小型的会谈，当客人需要处理电子邮件或上网下载公司的资料时，得到的回答往往是：“您必须换一 个靠近某个数据点的位置“、“您可以到商务中心去“，或“您必须到房间里用电话线才可以上网“等等。 而无线智能酒店系统就可以免除这样的尴尬，它主要是通过在酒店布置无线局域网 WLAN 来提供无线 宽带服务，可以在最短的时间内实现酒店的整体接入，不影响酒店的正常营业，尤其是不影响酒店 的装修布局。 不同酒店无线网络设计方案不同酒店无线网络设计方案 九丈甸园山庄网络方案 - 17 - 根据星级酒店的特点，要实现包括办公楼、行政楼和客房的大面积网络覆盖。网络结构就会包 括不同网络设备和不同的连接方式，同时也包含不同功能特征，以充分满足酒店管理的需要。基于 上述所述，网络结构应当针对不同的情况解决不同的问题。合理的网络方案不仅简化网络的管理， 而且能够提高网络的整体性能和可用性。 因此，针对酒店面积大的实际情况，酒店无线网络的设计方案一般有两种。一种是楼层之间用 有线网络进行连接，多个房间共用一台无线路由器或无线 AP；另外一种就是使用无线路由器，通过 酒店现有的 CATV 线路传输无线网络信号，这样只需要在机房安装无线路由器，在客户端安装天线就 可以实现无线网络覆盖了。 相比之下，第二种无线网络搭建方案更为可观。因为 CATV 线路已经成为酒店的标准配置，部署 无线网络，只需要加装无线网络信号发射器就可以了，免去布线的烦恼，而且可以节约网络设备投 资。因为使用第一种无线网络搭建方案，不仅需要铺设网线，而且需要购买大量的无线路由器，因 为在实际应用中，一台无线路由器的信号仅仅能够覆盖 3 至 5 间客房。无论是使用效果，还是投资 成本，第二种方案都是首选。 此外，从楼外和楼内的不同，还可分为楼外覆盖和楼内覆盖两种解决方案:楼内覆盖方案是指在 走廊中央放置 1 个无线接入设备 AP(Access Point)，覆盖整个楼层；另一种楼外覆盖方案，是在楼 的一侧侧放置 1 个 AP，增加室外天线，覆盖整个大楼。为保证无线信号畅通无阻，本次设计全部采 用 FIT AP 模式覆盖全网。 4 4、产品简介、产品简介 4.14.1 H3CH3C F1000-SF1000-S 防火墙防火墙 扩展性最强扩展性最强 基于 H3C 先进的 OAA 开放应用架构，SecPath 防火墙能灵活扩展病毒防范、网络流量监控和 SSL VPN 等 硬件业务模块，实现 2-7 层的全面安全。 强大的攻击防范能力强大的攻击防范能力 能防御 DoS/DDoS 攻击（如 CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood 等）、ARP 欺骗攻 击、TCP 报文标志位不合法攻击、Large ICMP 报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击， 同时支持黑名单、MAC 绑定、内容过滤等先进功能。 九丈甸园山庄网络方案 - 18 - 增强型状态安全过滤增强型状态安全过滤 支持基础、扩展和基于接口的状态检测包过滤技术；支持 H3C 特有 ASPF 应用层报文过滤协议，支持对每 一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。 丰富的丰富的 VPNVPN 特性特性 集成 IPSec、L2TP、GRE 和 SSL 等多种成熟 VPN 接入技术，保证移动用户、合作伙伴和分支机构安全、便 捷的接入。 应用层内容过滤应用层内容过滤 可以有效的识别网络中各种 P2P 模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽； 支持邮件过滤，提供 SMTP 邮件地址、标题、附件和内容过滤；支持网页过滤，提供 HTTP URL 和内容过 滤。 全面全面 NATNAT 应用支持应用支持 提供多对一、多对多、静态网段、双向转换 、Easy IP 和 DNS 映射等 NAT 应用方式；支持多种应用协议 正确穿越 NAT，提供 DNS、FTP、H.323、NBT 等 NAT ALG 功能。 全面的认证服务全面的认证服务 支持本地用户、RADIUS、TACACS 等认证方式，支持基于 PKI/CA 体系的数字证书（X.509 格式）认证功能。 支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对 于不同级别的用户赋予不同的管理配置权限。 集中管理与审计集中管理与审计 提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。 产品规格产品规格 属性说明 运行模式 路由模式 透明模式 混合模式 网络安全性AAA 服务 RADIUS 认证 HWTACACS 认证 PKI /CA（X.509 格式）认证 域认证 CHAP 验证 PAP 验证 九丈甸园山庄网络方案 - 19 - 防火墙 包过滤 基础和扩展的访问控制列表 基于接口的访问控制列表 基于时间段的访问控制列表 动态包过滤 ASPF 应用层报文过滤 l 应用层协议： FTP、HTTP、SMTP、RTSP、H.323（Q.931，H. 245，RTP/RTCP） l 传输层协议：TCP、UDP 抗攻击特性 Land/Smurf/Fraggle/WinNuke/Ping of Death/Tear Drop/IP Spoofing/ARP 欺骗攻击防范/TCP 报文标 志位不合法攻击防范/超大 ICMP 报文攻击防范/ 地址/端口扫描的防范 防病毒 DoS/DDoS 攻击防范 CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP Flood 等 TCP Proxy 功能 ICMP 重定向或不可达报文控制功能 Tracert 报文控制功能 带路由记录选项 IP 报文控制功能 静态和动态黑名单功能 MAC 和 IP 绑定功能 透明防火墙 基于 MAC 的访问控制列表 支持 802.1q VLAN 透传 九丈甸园山庄网络方案 - 20 - 邮件/网页/应 用层过滤 邮件过滤 网页过滤 应用层过滤 Java Blocking ActiveX Blocking SQL 注入攻击防范 安全日志及统 计 用户行为流日志 NAT 转换日志 攻击实时日志 黑名单日志 地址绑定日志 流量告警日志 流量统计和分析功能 全局/基于安全域连接数率监控 全局/基于安全域协议报文比例监控 安全事件统计功能 E-MAIL 邮件实时告警功能 E-MAIL 邮件定期信息发布功能 九丈甸园山庄网络方案 - 21 - NAT 支持多个内部地址映射到同一个公网地址 支持多个内部地址映射到多个公网地址 支持内部地址到公网地址一一映射 支持源地址和目的地址同时转换 支持外部网络主机访问内部服务器 支持内部地址直映射到接口公网 IP 地址 支持 DNS 映射功能 可配置支持地址转换的有效时间 支持多种 NAT ALG，包括 DNS、FTP、H.323、ILS、MSN、NBT、PPTP、 SIP 等 VPNL2TP VPN/GRE VPN/IPSec VPN/SSL VPN/DVPN 局域网协议 Ethernet_II Ethernet_SNAP 802.1q VLAN 网络互连 链路层协议PPPoE 网络协议IP 服务 ARP 域名解析 IP UNNUMBERED DHCP 中继 DHCP 服务器 DHCP 客户端 九丈甸园山庄网络方案 - 22 - IP 路由 静态路由 RIP v1/2 OSPF BGP 路由策略 策略路由 高可靠性 双机状态热备，Active/Active 和 Active/Passive 两种工作模式，支持 负载分担和业务备份 关键部件冗余设计 接口模块热插拔 机箱温度自动检测 流量监管CAR 拥塞管理FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ 拥塞避免WRED 流量整形GTS 服务质量保证 （QoS） 接口速率限制LR 九丈甸园山庄网络方案 - 23 - 命令行接口 通过 Console 口进行本地配置 通过 Telnet 或 SSH 进行本地或远程配置 配置命令分级保护，确保未授权用户无法侵入设备 提供全中文的提示和帮助信息 详尽的调试信息，帮助诊断网络故障 提供网络测试工具，如 Tracert、Ping、HWPing 命 令等，迅速诊断网络是否正常 用 Telnet 命令直接登录并管理其它设备 FTP Server/Client，可以使用 FTP 下载、上载配置 文件和应用程序 支持 TFTP 上传下载文件 支持日志功能 文件系统管理 User-interface 配置，提供对登录用户多种方式的认 证和授权功能 支持标准网管 SNMPv3，并且兼容 SNM