XX酒店网络建设建议书.docx

XX酒店网络建设建议书一综述 1.1 建设需求XX酒店共有3栋大楼，其中两栋大楼27层，一栋大楼21层，共计75层，共计1800各信息点，楼层规划使用OLT系统进行连接，中心机房放置一台核心交换机连接出口设备，为酒店客户或办公人员提供互联网服务。本建议书主要针对核心交换机和出口设备进行设计。1.2需求分析 根据客户网络建设需求对核心交换和出口设备进行分析：1 高性能：核心交换作为网络内各VLAN网关，终结VLAN内二层广播报文，考虑到信息点较多，需要采用高性能设备。2 高可靠性：核心交换机作为XX酒店网络关键设备，需要考虑设备硬件自身冗余。3 安全性：客户除互联网访问需求外，同时还需要考虑安全防护需求。4 可控性：根据酒店行业网络应用需求，出口设备选择同时还要具备带宽控制、上网行为管理等需求。二 解决方案2.1 网络拓扑方案说明：各楼层通过EPON传输设备至OLT汇总点，OLT通过千兆链路或万兆链路连接至核心交换机，本次核心交换机采用迈普MyPower S6800-08A，MyPower S6800系列高性能电信级交换机采用先进的200G交换平台，可以提供超大容量L2/L3层数据交换服务；采用ATCA理念，先进的电信级99.999%设备稳定性设计，所有部件全冗余，主控卡和交换矩阵硬件分离；支持MPLS和IPv6数据的全分布式硬件线速处理，满足核心层设备高密度、高吞吐量的MPLS和IPv6数据转发要求；提供电信网络的管理特性，通过OAM协议可以对网络链路、业务、用户端进行全面的管理。考虑到客户除互联网访问需求外，同时还有安全防护以及上网行为管理，所以本次网络出口采用了迈普MPSec ISG1000-X1-AC作为出口设备。MPSec ISG1000系列是面向中小企业、政府单位应用而开发的新一代高性能出口安全网关产品。MPSec ISG1000系列产品采用了最新的多核体系架构，实现防火墙性能的跨越式突破。处传统的防火墙基本功能外，同时还提供高性能防病毒、IPS防攻击、防病毒、行为监管、反垃圾邮件模块。支持深度状态检测、外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤、3G卡等功能，能够有效的保证网络的安全。2.1产品清单迈普通信技术有限公司设备清单 序号产品型号描述数量单价格合计安全网关方案一MPSec ISG1000-X1-AC MPSec ISG1000-X1-AC，安全，万兆低端安全网关，配置4个SFP口+4个GE口，支持3个扩展槽，可以配置4SFP+4GE/1SFP+/4SFP+扩展模块；内置1TB硬盘，配置交流冗余电源，标准1U设备 1105840105840方案二MPSec MSG4000-X1-ACMPSecMSG4000-X1-AC、万兆级安全网关。4个GE口+8个SFP口；4个模块化插槽；冗余交流电源。1143640143640MSG4000-X1-UTM-3Y MSG4000-X1-UTM-3Y、UTM功能模块3年期授权，含IPS、AV、AC、URL和NBC等功能模块 12154621546交换机1SM6800-08A-MFSM6800-08A-MF 交换机箱（含背板、防尘板），2个主控插槽、2个交换矩阵板插槽、8个线卡插槽、1个风扇插槽，8个电源插槽。119800198002SM68A-MPUBH主控卡（含软件），必配1张，支持2张冗余备份。建议配置两条DDR400-512S，可选配一个U盘和一个CF卡。用于SM6800-08A-MF、SM6800-16A-MF28640172803SM68A-SFUAH交换矩阵卡，必配1张，支持2张冗余备份。用于SM6800-04A-MF、SM6800-08A-MF216200324004SM68A-16GET8GEHSM68A-16GET8GEH、16端口千兆电+8个千兆Combo接口卡1972097205AD1000-1S007Z1000瓦交流电源模块，必配1个，支持N+1冗余备份。适用于S6800-02A/04A/08A/16A-MF系列主机。2216043206SM68A-SIUHSM68A-SIUH、液晶显示模块1180018007DDR333-1024S DDR memory bar_DDR333-1024S_78.02G50.403(RoHS), sodimm200, 1GB, 400M, 2rank, 64bit 272014408FAN-13A-01风扇，必配1个，用于SM6800-08A-MF128082808交换机合计合计89568选型一合计195408选型二合计2547542.2产品介绍2.2.1 MyPower S6800系列万兆核心路由交换机MyPower S6800系列万兆核心路由交换机外观图MyPower S6800系列高性能万兆核心路由交换机是迈普公司推出的新一代多业务高性能电信级核心交换机平台产品，可以向用户提供高性能、高可靠、多业务的网络服务。MyPower S6800系列高性能电信级交换机采用先进的200G交换平台，可以提供超大容量L2/L3层数据交换服务；采用ATCA理念，先进的电信级99.999%设备稳定性设计，所有部件全冗余，主控卡和交换矩阵硬件分离；支持MPLS和IPv6数据的全分布式硬件线速处理，满足核心层设备高密度、高吞吐量的MPLS和IPv6数据转发要求；提供电信网络的管理特性，通过OAM协议可以对网络链路、业务、用户端进行全面的管理。MyPower S6800系列高性能电信级交换机作为多业务网络核心平台，可与迈普全系列交换机一起为金融、运营商、政府、能源、交通、教育、军队等用户提供全方位的广域网和局域网解决方案，广泛应用于以上各个行业领域的国家级和省级数据中心、国家级和省级网络核心、大型园区网核心、运营商IP城域网核心。MyPower S6800系列高性能电信级交换机分别提供4槽、8槽、12槽、20槽四种机框满足不同业务容量客户的需求。l 先进的万兆交换硬件体系架构设计保证大容量交换容量l 核心保障机制和关键部件冗余保证设备的电信级可靠性l 集中式/分布式的IPv6/MPLS处理机制满足各类应用需求l 完善的网络安全特性能够提供全面的攻击和病毒防范能力l 支持虚拟化功能，可以实现配置统一管理和数据同步功能l 丰富的多业务卡设计，通过众核处理实现了多业务的加速l 超低功耗设计延长交换平台的寿命，降低设备运转能耗l 领先的电信级产品的易用性、可管理性、OAM特性硬件规格产品型号S6800-08机框整机槽位数12主控板槽位数2交换板槽位数2业务引擎槽位数8电源槽位数8交换容量6.4Tbps转发性能（IPv4）3810Mpps转发性能（IPv6）3810MppsUSB主控板上提供一个USB接口配置口主控板上提供一个配置接口存储卡主控板上提供一个CF扩展接口外形尺寸（长宽高）444x600x577（13U）输入电压AC：100260V，5060HzDC：3672V功耗（非POE最大值）1000W温度工作温度： 045存储温度：-1060湿度工作湿度：1090% 不结露存储湿度：1090% 不结露散热方式风扇散热软件特性链路层协议与技术局域网支持MAC地址学习数目限制；静态MAC配置；黑洞MACEthernet，Ethernet II、VLAN（VLAN-BASED PORT VLAN、VOICE VLAN、Guest VLAN）、802.3x、802.1p、802.1Q、802.1x、支持基于端口、mac、IP地址的绑定、协议端口号的vlan，支持SVLAN及PVLANQINQ、灵活的QinQSTP/RSTP/MSTP；支持BPDU TUNNEL；IGMP Snooping、GVRPIEEE802.3ad LACP二层聚合多对多的端口镜像，远程端口镜像RSPAN，跨板的端口镜像，不同速率的端口镜像，支持基于流的镜像，支持跨网段的流镜像功能ERPAN基于端口的广播流量抑制，基于端口的未知组播流量抑制，基于端口的未知单播流量抑制，基于端口绝对带宽进行流量抑制，可按照PPS和BPS进行抑制网络协议ARP功能动态和静态ARP、代理ARP、免费ARP路由协议静态路由RIP v1/v2、RIPngOSPF v2、OSPFv3IS-IS、IS-ISv6IRMPBGP、BGP4+ECMP（等价多路径）、路由策略、递归路由组播协议IGMP v1/v2/v3、MLD V1/V2IGMP Snooping、MLD SnoopingPIM-DM、PIM-SM、PIM-SDM、PIM-SSMDVMRP、MSDPIP应用DHCP Server、DHCP Client、DHCP Relay、DHCP Snooping、Option 82DHCPv6 Server、DHCPv6 Client、DHCPv6 RelayDNS、DDNSFTP Server、FTP ClientPing、TraceIP Accounting、UDP Helper、NTPIPv6IPv6基本功能：IPv6 ND，IPv6 PMTU，IPv6 FIB，IPv6 ACLIPv6过渡隧道技术：IPv6手动隧道、GRE隧道、IPv4兼容IPv6自动隧道、6to4隧道、ISATAP隧道网络安全性端口端口安全、端口隔离ARPARP Guard，DAI，静态ARP捆绑，ACL标准IP ACL、扩展IP ACL、标准MAC ACL、以太协议ACL、IPv6 ACL、自反ACL、高级ACL安全防护控制平面保护、URPFDDOS防攻击ICMP Flood拦截、Smurf攻击拦截、Fraggle攻击拦截、LAND攻击拦截、SYN Flood攻击拦截应用控制流量控制、URL过滤VPNGRE认证Local认证，Radius，Tacacs，AAAPortal认证、802.1x认证、MAC地址认证用户安全登陆用户IP/MAC绑定MPLSMPLS L2 VPN支持L2VPNMPLS/BGP VPN(L3 VPN)支持一个Site属于多个VPN、支持多角色主机MPLS VPN跨域支持三种跨域MPLS VPN方式MPLS TE支持MPLS TE/FRR，FRR切换时间小于50msMPLS OAMMPLS ping、MPLS tracerouteQoS流分类基于端口、MAC地址、IP地址、IP优先级、DSCP优先级、TCP/UDP端口号、协议类型等队列技术支持PQ、CQ、WRR、WFQ等队列调度技术，带宽控制粒度64Kbps流量监管CAR、LR拥塞管理Sp、RR、WRR、WDRR拥塞避免RED、WRED流量整形GTS其他PLS QoS、IPv6 QoS可靠性部件可靠电源、风扇、业务模块热插拔管理控制引擎和转发引擎完全分离风扇模块采取多组风扇组冗余备份关键部件主控板和电源均支持冗余备份双 Image、双 Bootrom设计链路可靠支持BFD for BGP/IS-IS/OSPF/RSVP/VPLS PW/VRRP等支持EIPS支持Keepalive Gateway支持Smart Link功能备份功能接口备份方式支持VRRP、VRRPv3、VRRPE支持基于带宽的负载分担与备份支持基于用户（IP地址）的负载分担与备份业务可靠软件热补丁/在线升级支持NSF/GR for OSFP/BGP/IS-IS/LDP/RSVP等支持IP FRR、TE FRR虚拟化虚拟化功能支持4台以上设备堆叠支持跨设备的链路捆绑支持10000M光接口的堆叠功能OAM网络管理SNMP v1/v2/v3、MIB、RMON、SYSLOG系统管理Console口登录管理、Telnet（VTY）远程管理、SSH管理、WEB管理网络质量保证（SLA）支持DHCP, FTP,TFTP,HTTP,ICMP,UDP public, UDP private, TCP public, TCP private, SNMP等协议测试支持网络的时延、抖动、丢包率等测试2.2.1 MPSec ISG1000-X1-AC出口安全网关MPSec ISG1000系列是面向运营商互联网专线、中小企业互联网出口应用、营业网点与总部之间的VPN接入而开发的新一代高性能出口安全网关产品。MPSec ISG1000系列产品采用自主开发的MPSec OS安全操作系统平台，突破硬件处理器对应用层安全检测的性能瓶颈，能以高性能提供上网行为管理、流量控制、防病毒、IPS、VPN等功能。MPSec ISG1000系列产品集防火墙、上网行为管理、流量控制、VPN、路由、WIFI等功能于一体，能够将多种业务部署在同一节点，在充分节约用户投资的情况下提供安全、灵活、便捷的一体化组网与接入方案，有效降低整体的运维成本。 采用先进的硬件平台及软件架构全线产品使用MIPS多核平台，高速安全处理，统一化的特征库和一体化分析处理引擎设计，极大的提高了多功能模块同时运行时的运行效率。 应用层多业务安全并发高性能采用多核算法，突破安全产品硬件瓶颈。实现防火墙、VPN、防病毒、IPS防攻击、上网行为管理、流量控制、日志查询与审计多业务并发的真正高性能处理。 灵活的上网行为控制与审计MPSec ISG1000系列安全出口网关能精确收集用户浏览的网站、发表的内容，结合用户认证系统可以精准定位到每个用户的上网行为。另外安全出口网关支持对VPN隧道内流量识别，可精确规范和审计隧道内的上网行为，并支持对隧道内各种应用实现分类，提供快速查询功能。 精确灵活的流量控制管理MPSec ISG1000系列安全出口网关能够全面识别互联网常见应用，包括经常造成带宽滥用、工作效率降低的BT下载、IM及时通讯、在线视频、炒股、游戏等。将安全出口网关部署于网络的出口，可以有效地遏制各种应用抢夺宝贵的带宽和IT资源，从而确保网络资源的合理配置和关键业务的服务质量，显著提高网络的整体性能。MPSec ISG1000系列安全出口网关支持灵活精确的流量控制，可以对IP与应用进行流量嵌套，支持4层QoS，可以对客户业务进行精细化控制。 支持全面的网络攻击防护支持DoS/DDoS攻击防护，支持MAC和IP绑定功能，支持智能防范蠕虫病毒技术、ARP攻击防护、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范等等网络攻击防护。 完善的日志管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能，配合日志管理系统可以完成日志的记录、查询和分析。 高性能的硬件VPN处理内置专用的硬件VPN协处理模块，支持GRE、L2TP、IPSec、SSL VPN等多种VPN业务模式。支持多种平台移动终端VPN接入。 高可靠性保障支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份，支持自动同步特征库和策略库。支持双配置文件，设备关键部件均采用冗余设计。 灵活的无线接入MPSec ISG1000系列支持插3G卡，支持3G拨号，可以在3G上建立IPSEC VPN，可以作为主链路或者主IPSEC VPN的备份链路，能够做到即时切换。MPSec ISG1000-F2W支持WIFI接入，提供WLAN终端灵活接入，支持802.11b/g/n，支持802.11n 2*2 MIMO接入。功能规格功能描述监控与报表系统状态、线路流量监控、用户监控、应用监控、在线用户管理日志查询日志服务器配置、日志过滤、系统管理日志、流量日志、网站日志、应用日志防火墙状态防火墙、线路限速、流量控制、安全策略、上网行为管理控制攻击防护IP-MAC绑定、Ping of death、Land-base、Tear drop、Tcp flag、Winnuke、Smurf、Ip选项、Ip Spoof、Jolt2等对象管理地址对象、服务对象、应用对象、时间对象、URL对象、关键字对象认证用户本地认证、RADIUS认证、LDAP认证网络管理物理接口、子接口、网桥接口、汇聚接口、LOOPBACK接口、接口管理、DHCP、静态路由、RIP、OSPF、ISP路由、NAT、DNS、SNMP系统管理管理账户、管理设定、时间设定、系统升级、系统重启、配置文件导入导出、双配置VPNIPSEC VPN、GRE VPN、L2TP VPN、SSL VPN 其他安全功能IPS、AV2.2.1 MPSec MSG4000-X1出口安全网关图一 MPSec MSG4000-X1安全网关正面图MPSec MSG4000-X1是迈普通信技术股份有限公司全新推出的万兆级众核安全网关产品。其基于角色、深度应用的“MIPS并行众核+高速交换总线”安全架构突破了传统防火墙只能基于 “IP+端口”五元组的安全过滤控制。处理器模块化设计可以提升整体处理能力，突破了传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。MPSec MSG4000-X1处理能力达到万兆级别，可广泛适用于政府、金融、运营商、能源、教育、军队、大型企业等机构，可部署在网络的主要结点及Internet出口及数据中心，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSL VPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 模块化、全并行处理的安全架构(并行众核+高速交换总线)MPSec MSG4000系列产品采用了并行众核处理器技术，同时在内部又采用了高速交换总线，使得MSG4000-X1系列产品在应用层安全处理的性能上有了质的飞跃，为网络应用安全提供专业的高性能硬件平台。同时，迈普自主开发的64位实时安全操作系统MP SecOS采用专利的多处理器全并行架构，和常见的众核处理器或NP/ASIC只负责三层包转发的架构不同；MP SecOS实现了从网络层到应用层的众核全并行处理。因此MSG4000较业界其他的众核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升，为同时开启多项防护功能奠定了性能基础，突破了传统安全网关的功能实用性和性能无法两全的局限。 强健的专用实时并行操作系统MPSec MSG4000系列产品采用了专用的64位实时并行操作系统MP SecOS，其并行处理能力和模块化的结构易于集成和扩展更多的安全功能。针对新一代众核处理器进行的全面优化和安全加固极大地提高了系统处理效率、稳定性和安全性。模块化和并行多任务的处理机制，为迈普新一代的网络安全系统提供了极大的可扩展能力，包括支持更多的核处理器和集成更多的安全功能。 安全视图化 管理视图化通过MP SecOS内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。 接入视图化MP SecOS基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。 应用视图化MP SecOS内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。MP SecOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。 全面的VPN解决方案MSG4000众核安全网关支持多种IPSec VPN的部署，它能够完全兼容标准的IPSec VPN。MSG4000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合众核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。迈普安全网关独具特色的即插即用VPN，可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置，完全解决了传统IPSec VPN设备配置难、使用难、维护成本高的问题。MSG4000众核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性，为用户提供方便、快捷的安全远程接入服务。 内容安全MSG4000可选UTM软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能，可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的网页做到及时响应。防火墙 全新一代基于应用和角色控制的防火墙 基于应用/角色的安全策略 可防范DNS Query Flood、SYN Flood、DoS/DDoS等攻击 各种畸形报文攻击防护 ARP 欺骗防护网络功能 IEEE802.1Q VLAN 中继、PPPoE 客户端 IEEE802.3ad 链路聚合 ECMP、WECMP DHCP 中继、服务器和客户端 DNS 代理、DDNS、NTP 静态路由、策略路由（基于源、目的、服务、协议） 动态路由RIP v1/v2、OSPF、BGPVPN 支持各种标准IPSec VPN协议及部署方式 创新的PnPVPN (即插即用VPN) 支持 SSL VPN (可选USB-key) 支持L2TP VPN病毒过滤 基于流