凤凰花园酒店方案

凤凰花园酒店 网络方案书 Page 1 of 20 凤凰花园酒店数字化组网凤凰花园酒店数字化组网 方案方案 上海思瀚科技有限公司上海思瀚科技有限公司 目 录 一 传统酒店面临的挑战 2 二 数字酒店建设可促酒店又好又快发展 3 三 数字商务酒店建设的主要内容 3 四 NETGEAR 公司新一代数字商务酒店组网方案 4 4 1 凤凰花园酒店数字化酒店内部办公有线组网方案 5 4 1 1 网络结构 5 4 1 2 网络建成后可支持的关键办公业务应用 7 4 2 NETGEAR 经典数字酒店技术特点 7 4 2 1 802 3ad 链路聚合控制 LACP 技术 7 4 2 2 QoS 策略和控制机制 9 4 2 3 访问控制安全机制 13 4 2 4 酒店网络建成后可支持的关键业务应用 19 五 配置清单 20 凤凰花园酒店 网络方案书 Page 2 of 20 改革开放二十多年来 全国酒店数量平均每年增长 10 以上 据 2009 年中国星级酒 店统计公报 截止 2008 年底 全国共有星级酒店 15628 家 较 2007 年增长 15 06 酒 店业在快速发展的同时 酒店行业的竞争也日趋白热化 酒店管理水平和服务质量的高低 是能否赢得顾客 稳定客源的决定因素 而采用先进的网络技术来建设酒店的管理信息系 统 打造新一代的数字酒店是提高管理水平的重要手段 目前对于以前只能提供传统服务 的酒店而言 如何借助 IT 技术 提供更为有效的精细化管理 优化自身服务 提高投入产 出比 打造新一代的智能酒店模式 已成为衡量每一间酒店面临关系到其生存发展的首要 问题之一 数字化酒店的建设深度也成为一间酒店评定 星 级的重要依据 一 传统酒店面临的挑战一 传统酒店面临的挑战 目前传统型的酒店所面临的一些问题有 1 1 无法建立酒店品牌 酒店服务单一 无差异性无法建立酒店品牌 酒店服务单一 无差异性 由于酒店的服务传统 单一 无创造性 造成酒店经营多年仍然不能树立品牌形象 无法赢取客户的忠诚度 不能形成稳定的客户群体 导致酒店的收入波动性非常强 不能进入良性循环的经营状态 2 2 如何提高客户所要求的越来越高的服务 如何提高客户所要求的越来越高的服务 随着人们生活水平的提高 客户的素质提高的同时对酒店的要求也将会 变得越来越挑 剔 比如在预定服务 接待 登记入帐 结帐 服务素质 会务等各方面客户都会提 出苛刻的要求 因此 酒店需要借助信息化系统从基础设施的根本方面提高整体的服 务质素以满足客户的要求 3 3 提高客户满意度 提供个性化服务 提高客户满意度 提供个性化服务 所谓的个性化服务是指酒店能够为客户提供能适合其个人要求的度身定做的细致服务 而不仅仅停留于传统酒店所能提供的单一的 无区别的服务 由于每个人的品味 喜 好不同 因此酒店将面临如何了解客人的需求 并为其提供各种能迎合其个人喜好的 优化服务方案的问题 4 4 改善运行效率 提高员工的生产率 改善运行效率 提高员工的生产率 在提供各种多源化增值服务的同时 必然带来如何管理的问题 比如 IP 国际长途电话 无线 WIFI 上网 一站式商务服务等等都要求专业人员的管理的维护 因此事件的处理 流程和员工的工作效率已经成为一个酒店是否能够提供成功的多源化服务的关键 5 5 改善 提高客人的安全感觉 改善 提高客人的安全感觉 要使酒店给客人有在家一样的感觉 这样的酒店才能赢得客户的良好口碑 并为树立 凤凰花园酒店 网络方案书 Page 3 of 20 酒店品牌提供保证 如酒店保安人员的管理 酒店房间的布局 房间内门禁 通讯系 统设计等等都能直接提高客人对酒店的归属感觉 二 数字酒店建设可促酒店又好又快发展二 数字酒店建设可促酒店又好又快发展 针对酒店以上所面临的问题 我们再看看信息化系统建设在酒店发展中所能发挥的重要 作用 1 通过酒店信息化建设 依赖 IT 行业高科技带来的强大信息优势 可以增加信息的搜集 途径和加快信息发布速度 通过让客户获取的酒店信息和酒店获取更多大客户信息来扩大 经营范围 2 通过酒店信息化建设 依赖其 WIFI 移动局域网技术 多媒体应用技术可以提供更加多 元化的个性化服务 以增加酒店经营手段 树立品牌形象 稳定并增加酒店的整体收入 3 通过酒店信息化建设 依赖其快速的数据库基础平台 先进的管理软件 可以增加员工 的工作效率 提高酒店的竞争力 4 通过酒店信息化建设 依赖其优秀的软件管理系统 集中的开放管理平台 可以为酒店 节省经营成本 优化投资 5 通过酒店信息化建设 依赖其集中管理的优势 如智能房间终端电话 PDA 下单 一键 式服务等等 可以加快客户要求服务的响应时间 提供服务质量和客户对酒店的服务满意 度 6 通过酒店的信息化建设 依赖其强大的数字安防技术 电子门禁 数字监控 海量存储 等 可以为酒店及客户提供有力的安全保障 增加客户的安全感 7 完善的酒店信息化建设 可以为酒店争取更高的星级评定 从而增加酒店的整体经营收 入 三 数字商务酒店建设的主要内容三 数字商务酒店建设的主要内容 酒店的信息化建设应该包含两方面的内容 一 基础网络建设 1 网络骨干建设 2 网络设备的采购 交换机 无线控制器 无线接入点 内容安全网关 互联 网计费网关等 二 终端系统的采购 1 存储系统 群集服务器 磁盘阵列 磁盘柜以及相关的软件 2 终端系统 服务器 电脑 打印 传真机 IP 电话机 凤凰花园酒店 网络方案书 Page 4 of 20 三 应用系统的建设 1 酒店管理系统 2 网络用户管理系统 包括有线和无线的网络用户的验证 计费等 3 无线网络用户管理 提供统一的无线用户接入管理和策略功能 3 多媒体应用服务系统 包括 IP 电话 数字电视 视频 VOD 点播 4 保安 服务系统 监控 门禁 智能服务台 电话一键服务等 5 其它增值服务系统 从以上酒店信息化建设的内容来看 基础网络建设是整个酒店信息化建设的基础 信 息化建设的相关内容都依赖于一套高效 稳定 易于使用的基础网络的支持 四 四 NETGEARNETGEAR 公司新一代数字商务酒店组网方案公司新一代数字商务酒店组网方案 根据上面的资料分析 我们已经知道酒店信息化建设的重要性 而酒店的基础网络建 设则又是酒店信息化建设的基础保证 在此思瀚科技有限公司结合自身多年的网络方案设 计经验和自身产品特性 站在网络信息技术发展的高处 为酒店行业定做了一套基础网络 建设的数字化基础架构解决方案 本公司认为 数字酒店的基础网络建设应该符合以下要求 1 1 基础网络系统应该具有高的性能基础网络系统应该具有高的性能 并且符合网络技术发展的趋势并且符合网络技术发展的趋势 2 2 基础网络系统应该具有良好的稳定性和冗错特性基础网络系统应该具有良好的稳定性和冗错特性 3 3 基础网络系统应该具有灵活和可升级的特性基础网络系统应该具有灵活和可升级的特性 4 4 基础网络应该具备抵抗日常病毒攻击的能力和系统遭到破坏后的自愈能力基础网络应该具备抵抗日常病毒攻击的能力和系统遭到破坏后的自愈能力 5 5 基础网络应该具有设备操作简便 易于集中管理的特点 无需专人维护基础网络应该具有设备操作简便 易于集中管理的特点 无需专人维护 6 6 基础网络系统应该支持多媒体应用 基础网络系统应该支持多媒体应用 7 7 基础网络应该包含移动网络的建设 以增加酒店的竞争力 提供多元化的增值服务 基础网络应该包含移动网络的建设 以增加酒店的竞争力 提供多元化的增值服务 数字酒店建设的基础网络应该分为 高可靠性酒店内部办公网络高可靠性酒店内部办公网络和安全高速的酒店客安全高速的酒店客 房局域网房局域网两大部分 其中酒店内部办公网络建设应适当考虑互联网数据 信息安全的建设部 分 客房局域网络的建设应该包含有线网络和无线局域网络的建设部分 以满足提供传统的 服务和多元化的增值服务的需要求 以下将会对数字酒店的两个网络建设作详细的描述 凤凰花园酒店 网络方案书 Page 5 of 20 4 14 1 凤凰花园酒店数字化酒店内部办公有线组网方案凤凰花园酒店数字化酒店内部办公有线组网方案 4 1 14 1 1 网络结构网络结构 酒店内部的业务处理 财务操作等将完全依赖于酒店内部办公网络 该网络设计应该 充分考虑到网络的高带宽 链路冗余和全方位安全设计 整体设计图如下 图图 1 1 高可靠性酒店内部办公网络 高可靠性酒店内部办公网络 根据凤凰花园酒店信息化建设目标要求和网络分层的设计思路 酒店的有线网分为核 心和接入的二层拓朴架构 采用万兆骨干核心和百兆堆叠安全智能交换机到桌面的体系架 构 酒店信息中心即网络核心采用了两台 GSM7328Sv2 GSM7328FS 万兆交换机构建高性能 高可靠的核心 楼层接入采用 FS728TS 系列堆叠安全智能交换机通过两条千兆光纤两两捆 绑 802 3ad 链路聚合 后分别上联核心 GSM7328Sv2 GSM7328FS 双线的部署方式起到了主 干链路流量负载均衡和冗余灾备的强大功效 在核心交换机与互联网出口之间 通过千兆端口连接一台 NETGEAR 的 FR538G 防火墙 NETGEAR 的高性能 ProSafe 四 WAN 防火墙为小型和中型公司提供一个完整有力的解决方案 该机架式状态数据包检测 SPI 防火墙 最多可支持 400 个用户 提供多达 80 000 条并 发连接数 该 FR538G 可以作为一个 DHCP 服务器 支持 IP Mac 的绑定 服务质量 针对 凤凰花园酒店 网络方案书 Page 6 of 20 每个 IP 服务的上传速和下载速率 简单网络管理协议 SNMP 并有一个强大的 SPI 防火墙 以保护您电脑的安全 防范入侵者最常见的 Internet 攻击 方案设计特色方案设计特色 可供选择的光纤或者电口万兆核心交换机 提供最大144Gbps 196Gbps的超级线速交 换能力和万兆骨干的升级能力 全部接入层交换机均采用两根千兆光纤或者双绞线连接到核心交换机 从网络的接 入到核心层提供了双链路捆绑的互备方案 最大限度地保证了网络的稳定性能 全网的交换机均支持广播风暴抑制功能 有效控制ARP广播和各种DDOS攻击 全网交换机均支持流量控制功能 可以通过有效控制每个桌面端口的流量 以达到 平均分配宽带资源 保障出口可用带宽的目的 以达到快防问因特网资源的目的 全网交换机均支持IP与MAC地址或者MAC地址与端口的绑定功能 有效抵御ARP及其变 种病毒的攻击 全网交换机均支持VLAN间隔离 有效防止 蠕虫 和ARP等病毒横向蔓延和攻击 通过核心交换机的三层路由功能和访问控制列表功能可以对网络资源进行合理分配 为用户定义不同级别的使用权限等高级功能 通过互联网认证 计费网关配合 可提供基于接入层交换机端口的有线网络用户认证 的功能 802 1x 通过交换机对IGMP QOS的支持可实现对酒店多媒体应用的优化处理 全部网络设备均支持网页的直接管理 无需要客户端支持 配置方便 操作简单 全网管功能的核心交换机 支持堆叠功能的接入层交换机 具有高度的集中管理能 力 可信赖的产品坏件新品包换服务 4 1 24 1 2 网络建成后可支持的关键办公业务应用网络建成后可支持的关键办公业务应用 1 高速的 INETERNET 接入 包括即时资讯 电子邮件 网站发布 信息共享的功能 2 基于互联网络数据信息的安全防御 包括有效抵御病毒 木马 钓鱼程序和垃圾邮件 3 高速内部局域网信息交换 包括酒店管理系统 无纸化办公系统等 4 高速的内部数据共享 包括文件 图片和电子白板资料共享等 5 基于用户身份的安全认证 包括用户 ID 标识 物理地址识别和流量控制等安全功 能 凤凰花园酒店 网络方案书 Page 7 of 20 6 多媒体应用 包括视频会议系统 IP 电话支持 视频 VOD 等支持 7 快速的网络数据备份平台 8 24 小时无故障办公 4 24 2 NETGEARNETGEAR 经典数字酒店技术特点经典数字酒店技术特点 4 2 14 2 1 802 3ad802 3ad 链路聚合控制链路聚合控制 LACP LACP 技术技术 一般而言 链路聚合技术也称为主干链路捆绑技术 Trunking 我们可将交换机 的几个端口通过设置让它们聚合在一起 就象虚拟成了一个端口一样 这样可以使交换 机之间或交换机和服务器之间形成可靠的连接 并且连接带宽 Nx2 倍 全双工 从逻辑 链路上看 它是一个整体 内部的组成 并且传输的数据对上层服务透明 聚合内部的几 根物理链路可以共同完成数据传输并互为备份 单个传输链路中断不会影响其他链路的 传输 IEEE 802 3ad 是执行链路聚合的标准方法 而 IEEE 802 3ad 的使用需要交换机或 服务器网卡的支持 链路聚合的工作方式在不同厂商的技术中有多种实现方式 包括了 象比如常见的 Trunking 协议 Cisco Fast Ethernet Channel FEC 协议等等 都是可以 让该交换机通过配置来哪些端口是属于同一个聚合内 链路聚合控制协议 Link Aggregation Control Protocol 是 IEEE 802 3ad 标准 的主要内容之一 它定义了一种标准的聚合控制方式 使用 IEEE 802 3ad 链路聚合 控制 LACP 的优势在于它在交换机中自动创建链路聚合 而且它允许您使用支持 IEEE 802 3ad 标准的其他厂商的链路聚合技术 在 IEEE 802 3ad 标准中 链路聚合控制协议 LACP 自动通知交换机应该聚集 哪些端口 IEEE 802 3ad 聚合配置之后 链路聚合控制协议数据单元 LACPDU 就会 在服务器和交换机或者是交换机与交换机之间进行交换 聚合的双方设备通过协议交 互聚合信息 根据双方的参数和状态 自动将匹配的链路聚合在一起收发数据 聚合 形成后 交换设备维护聚合链路状态 当双方配置变化时 自动调整或解散聚合链路 凤凰花园酒店 网络方案书 Page 8 of 20 LACP 协议报文中的聚合信息包括本设备的配置参数和聚合状态等 报文发送方式 分为事件触发和周期发送 当聚合状态或配置变化事件发生时 本系统通过发送协议 报文通知对端自身的变化 聚合链路稳定工作时 系统定时交换当前状态以维护链路 协议报文不携带序列号 因此双方不检测和重发丢失的协议报文 需要指出的是 LACP 协议并不等于链路聚合技术 而是 IEEE802 3ad 提供的一种 链路聚合控制方式 具体实现中也可采用其它的聚合控制方式 另外值得关心的是 在做链路聚合的时候 建议聚合内的链路的线路速度最好相同 例如 全都为 100 Mbps 或 1 Gbps 最好都是全双工的 4 2 24 2 2 QoSQoS 策略和控制机制策略和控制机制 4 2 2 14 2 2 1 QoSQoS 服务质量服务质量 队列技术队列技术 Qos 技术是能为网络中不同类型业务的数据流提供服务的能力 主要目的是提供资源 带宽的控制 更有效的使用网络资源 控制抖动和传输延迟及丢包率 如实时多媒体应用 IP 电话 VOD 视频点播等 定制可控的服务和保证关键应用的传输 如果仅是 IP 技术本身是只能提供 尽力 best effort 服务模式的 所以缺乏完 善的 QoS 机制 就无法适应计算机及应用系统多样化的要求 如果仅靠增加网络带宽不 能彻底解决问题 因为一方面带宽是不可能无限制增加的 另一方面带宽的增加是无法 赶上应用系统的变化 用户的增加所给网络带来的巨大流量压力 解决 IP 网络 QoS 问 题的关键在于网络如何通过各种智能手段参予对不同数据流 应用系统乃至用户对网络 使用的管理 充分发挥网络的利用率 使有限的带宽发挥最大的作用 服务质量 QoS 基于端到端的服务级别可提供三个基本的级别 尽力的服务 区分 服务和确保服务 QoS 旨在针对各种应用的不同需求 为其提供不同的服务质量 例如 提供专用带宽 减少报文丢失率 降低报文传送时延及时延抖动等 为实现上述目的 QoS 提供了下述功能 报文分类 网络拥塞管理 网络拥塞避免 流量控制和流量整 形 QoS 信令协议等等 凤凰花园酒店 网络方案书 Page 9 of 20 服务质量可以通过采用多种队列的管理工具来解决不同数据流的问题 比如 先进先出先进先出 FIFO FIFO 对列对列 网络拥塞是存储数据包 拥塞解除后 按数据包到达次序转发 数据包 优先级别队列优先级别队列 PQ PQ 确保重要数据流得到最快处理 优先级别越高的数据有限处理 优先级队列可以根据网络协议 接口 数据包大小以及源 目的地址来赋 予数据包的级别高低 一般的网络设备 PQ 都可支持四个优先级别 依 次为 高优先级 中等优先级 一般优先级和低优先级 而此方案中使 用的交换机都是每端口都可支持 8 个优先队列 0 7 的 IP 优先级值有 8 个 0 7 0 优先级最低 7 优先级最高 在默认情况下 IP 优先级 6 和 7 是用于网络控制通讯使用 不推荐用户使用 如果交换机使用 IPv6 增强版本软件的话 可支持 16 个优先级对列 16 种优先级别中的 9 种用于非实时传输业务 其余的 8 种用于实时传输业 务 但在 IPv6 协议中并没有严格规定 IPv6 路由设备应如何使用这一优 先级区域 定制队列定制队列 CQ CQ 用于确保一些重要应用的最小带宽或延迟需求 可对一些拥塞点上 提供一定固定比例的带宽 其他带宽给其他应用使用 我们可以设置各 个轮选队列的发送的大小 例如 队列 1 发送 1500 字节后由队列 2 发 送 队列 2 发送 500 字节以后由队列 3 发送 队列 3 发送 1000 字节后 凤凰花园酒店 网络方案书 Page 10 of 20 由队列 4 发送 CQ 最大可以支持 16 个轮选队列 当线路带宽比较 充裕的时候 通过 CQ 可以实现动态的带宽分配 加权队列加权队列 WFQ WFQ 提供智能队列工具 可以确保队列得到带宽 然后根据加权公平算 法对各种业务流量进行公平调度 防止出现某一突发性大数据流将带宽 全部占用的现象 这种队列机制配置方便 使数据流得到指定的服务 特别是当在高优先级别的队列中没有数据传输时 WFQ 可以将带宽分配给 低优先级的数据流使用 WFQ 算法使每个传输中的数据流的吞吐量和响应 时间变的可预知 4 2 2 24 2 2 2 QosQos 服务质量服务质量 带宽控制带宽控制 基于端口的速率限制 基于 IP 的速率限制 基于数据流的速率限制 带宽控制技术提供了精确带宽使用策略 可向用户提供访问速度承诺 Committed Access Rate CAR 在输入端口 每个 IP 流都可以进行速度限制 基于数据流进行带宽分配 如果某个流超过了带宽限制 到达的数据包将被丢弃或 赋予较低的优先级 流量控制可以基于第 2 层端口 数据流类以及单个第 4 层数据 流 可以应用于不同的环境 为接入提供不同级别的访问速度控制 保证实时多媒 体数据和关键任务数据的传输 4 2 2 34 2 2 3 QoSQoS 服务质量服务质量 DiffServ DiffServ 区分服务区分服务 DiffServ 是 IETF 组织在 1998 年推出的基于 DSCP 的 QoS 解决方案 这是 一种基于类的 QoS 技术 主要用于骨干网 使用 DiffServ 在网络入口处根据服务要求对 业务进行分类 流量控制 同时设置报文的 DSCP 域 在网络中根据实施好的 QoS 机制来区 分每一类通信 依据分组的 DSCP 值 并为之服务 包括资源分配 队列调度 分组丢弃 策略等 统称为 PHB DiffServ 域中的所有节点都将根据分组的 DSCP 字段来遵守 PHB DiffServ 通过将业务定义为有限的类 可以很好地解决扩展性的问题 同时 由于 DiffServ 很好地沿袭了 IP 本身的技术理念 相对而言 很容易在现有的 IP 网络及产品中 实现 因此 目前商用网络中的 QoS 实现总体上基本都是基于 DiffServ 模型的 凤凰花园酒店 网络方案书 Page 11 of 20 DiffServ 是一个多服务模型 它可以满足不同的 QoS 需求 与 IntServ 不同 它不需 要使用 RSVP 带宽预留技术 即应用程序在发出报文前 不需要通知路由设备为其预留资 源 对 DiffServ 服务模型 网络不需要为每个流维护状态 它根据每个报文指定的 QoS 来提供特定的服务 可以用不同的方法来指定报文的 QoS 如 IP 报文的优先级位 IP Precedence 报文的源地址和目的地址等 网络通过这些信息来进行报文的分类 流量整 形 流量监管和队列调度 通常在配置 DiffServ 时 在边界设备上通过报文的源地址和目的地址等对报文 进行分类 对不同的报文设置不同的 CoS 值 而其他设备只需要用 CoS 值来进行报文的分 类 DiffServ 一般用来为一些重要的应用提供端到端的 QoS 它通过下列技术来实现 CAR CAR 允许的访问速率允许的访问速率 它根据报文的 ToS 或 CoS 值 对于 IP 报文是指 IP 优先 级或者 DSCP 对于层 MPLS 报文是指 EXP 域等等 IP 报文的五元组等信息 进行报文分类 完成报文的标记和流量监管 一般来讲 通过设置允许的访 问速率 CAR 可以用于扩展访问分类表的优先级 这样就可以给应用程序和用 户或源 目的子网赋予优先等级值 这一功能应尽可能的配置在网络的边缘接 入交换机上 以便于后续的网络设备按预定的策略提供服务 队列技术队列技术 通过 WRED PQ CQ WFQ CBWFQ 等队列技术对拥塞的报文进行缓存 和调度 实现拥塞管理 在 DiffServ 的服务中 有拥塞管理和拥塞避免两种 策略 拥塞管理策略一般应用于外出接口 根据需要将不同的业务流量按一 定的顺序发送出去 来保证某些业务的正常运行 典型的拥塞管理策略有 WFQ 加权公平队列 PQ 优先级队列 CQ 可定制队列 等等 拥塞避免工具拥塞避免工具 WRED WRED 加权公平早期检测加权公平早期检测 上谈到的几种队列调度机制都是对总数据队列中的数据 进行分类 然后再进行调度 但是 当出现网络拥塞的时候 入口带宽往往是 高于出口带宽的 在这样的情况下 总数据队列很快就会溢出 这个时候数据 设备默认会对进入的数据包实施尾部丢弃 丢弃所有入站数据包直至总数据队 列不再溢出为止 这样的尾部丢弃机制同样会对实时性业务产生影响 所以我 凤凰花园酒店 网络方案书 Page 12 of 20 们需要一种策略来防止总数据队列的溢出 这就是拥塞避免策略拥塞避免策略 其中最常见 的拥塞避免策略是 WREDWRED 加权公平早期检测 加权公平早期检测 WRED 可以根据用户的需要 对 不同的数据流设置不同的丢弃阀值 例如 当总队列达到 50 时 开始丢弃级 别最低的数据包 当总队列达到 70 时 开始丢弃第二级别的数据包 当总队 列达到 90 时 开始丢弃第三级别的数据包 以次类推 通过丢弃低级别的数 据包来避免总数据队列的溢出 保证高优先级的数据包始终能够进入数据总队 列接受调度 从而保证高优先级业务的顺利展开 拥塞避免策略一般用于入站 接口 防止因为线路拥塞而使数据中继设备的队列溢出 一般来说 根据实际 情况 将拥塞避免策略和拥塞管理策略结合使用可以得到比较好的效果 4 2 34 2 3 访问控制安全机制访问控制安全机制 NETGEAR 下一代 安全系列交换机 GSM73xxS 和 FSM73xxS 提供了强劲的基于硬件 的 2 3 4 层的访问控制列表 其 ACL 表项可自定义 100 条策略 每个策略可自定义 22 条 规则 完全满足整个应用网络的需求 全新设计的 基于硬件处理的 ACL 功能启用后 不会对影响整个网络的交换的性能 保护路由处理 从已具有的 IP 包过滤技术来看 完 全可以作为局域网内部的防火墙的角色功能 另外 利用 ACL 技术和 Qos 机制可有效控 制和防止网络病毒的传播和非法的攻击 ProSafe GSM73xxS 和 FSM73xxS 系列可以对用户进行基于用户的认证和授权 可支 持完整的 802 1x Radius network login 功能 配合 NETGEAR 在中国的 802 1x 客户 端软件及 Radius Server 软件 可实现用户名与 客户端 IP 地址 客户端 MAC 地址 所接 交换机的管理 IP 地址 NAS IP Address 交换机端口及端口 VLAN ID 的灵活绑定 为接 入端提供了安全 灵活的身份验证和控制手段 我们在中国的 802 1x 客户端软件及 Radius Server 软件是具有完全的计费功能的 另外 下一代全网管安全系列交换机还 具备交换机端口 MAC 地址绑定和多种层次 L2 3 4 的 ACL 安全访问控制功能 其安全 访问策略可以有限地抵制多种网络工击 如 DDOS 网络扫描等 4 2 3 14 2 3 1 用户端口隔离用户端口隔离 凤凰花园酒店 网络方案书 Page 13 of 20 方法一 用 802 1Q Vlan 隔离 在边缘接入的以太网交换机上按端口划分 Vlan 每个用户或用户组占用一个 Vlan 802 1Q 用于标记 VLAN 公共端口 公共 端口上的二层 VLAN 间相互不能直接通讯 o 方法二 利用 Port Vlan 技术 在边缘接入的交换机上划分 Port Vlan 使用户端 口之间不能直接通信 用户端口只能和上连公共口通信 公共端口可以直 接连接 PC 或服务器 或连接其他交换机 4 2 3 24 2 3 2 MACMAC 地址与交换机端口绑定地址与交换机端口绑定 MAC 地址与交换机端口绑定的功能大多数直接应用配置在网络边缘接入层交换机上 此方案推荐的 NETGEAR 的 ProSafe 全网管交换机都支持此功能 MAC 地址和端口绑 定的方式可分为静态绑定和动态绑定两种 1 静态绑定可通过在交换机的端口上配置指定的 MAC 地址列表来实现 交换机经 过这样的配置后 网络里面只有唯一合法主机可以使用网络 如果对该主机的 网卡进行了更换或者其他 PC 机想通过这个端口使用网络都是不可用的 除非删 除或修改该端口上绑定的 MAC 地址 才能正常使用 该功能主要用户防止非法 用户使用网络 同时亦由于 MAC 地址的唯一性 网络管理员可以通过查看数据 包的 MAC 地址快速定位网络故障点 另外另外 在本方案中推荐的在本方案中推荐的 NETGEARNETGEAR 交换机交换机 均可支持均可支持 MACMAC 地址和端口加地址和端口加 IPIP 地址的绑定地址的绑定 2 动态绑定通过交换机动态学习端口 MAC 并可以配置端口的最大合法 MAC 地址 数量 并以一定时间内所学习到的地址作为合法 MAC 地址 一直到指定的 MAC 地址数量时 交换机端口关闭并清除 MAC 地址 然后再重学习 通过这个功能 可安全有效的阻止 MAC 洪泛攻击 4 2 3 34 2 3 3 ACLACL 访问控制访问控制 ACL 是应用到交换机接口的指令列表 这些指令列表用来告诉交换机哪些数据 凤凰花园酒店 网络方案书 Page 14 of 20 包可以接收 哪些数据包要拒绝 接收或拒绝的条件可以是源地址 目的地址 端 口号 MAC 地址和协议等等指示条件来决定 它常见的主要应用功能有 限制网络流量 提高网络性能 例如 ACL 可以根据数据包的协议 指定 这种类型的数据包的优先级 分配特定应用的流量带宽 同等情况下优先级高的 先被交换机处理 提供网络访问的基本安全手段 例如 ACL 允许某一主机访问您的资源 而禁 止另一主机访问同样的资源 在交换机接口处 决定那种类型的通信流量被转发 那种通信类型的流量被阻 塞 例如 允许网络的 E mail 被通过 而阻止 FTP 通信 建立访问控制列表后 可以限制网络流量 提高网络性能 对通信流量起到控制 的手段 这也是对网络访问的基本安全手段 ACL 的访问常见的规则主要有 标准访问控制列表 可限制某些 IP 的访问流量 扩展访问控制列表 可控制某方面应用的访问 基于端口和 MAC 的访问控制列表 可对交换机具体对应端口进行访问控制 4 2 3 44 2 3 4 802 1x802 1x 端口认证原理端口认证原理 IEEE802 1x 协议具有完备的用户认证 管理功能 可以很好地支撑企业 校园 园 区的网络的边缘用户接入安全接入和管理 更可为园区 企业网络的计费 安全 运 营和管理要求提供了极大的管理优势 IEEE802 1x 协议对认证方式和认证体系结构 上进行了优化 凤凰花园酒店 网络方案书 Page 15 of 20 IEEE802 1x 是 IEEE 在 2001 年 6 月通过的基于端口访问控制的接入管理协议 IEEE802 系列 LAN 标准是目前居于主导地位的局域网络标准 传统的 IEEE802 协议 定义的局域网不提供接入认证 只要用户能接入局域网控制设备 如传统的局域网 交换机 用户就可以访问局域网中的设备或资源 这是一个安全隐患 对于移动办 公 驻地网运营等应用 设备提供者希望能对用户的接入进行控制和配置 此外还 存在支持计费的需求 因此 802 1x 产生了 IEEE802 1x 是一种基于端口的网络接入控制技术 在 LAN 设备的物理接入级对 接入设备进行认证和控制 此处的物理接入级指的是 局域网交换机设备的端口 连 接在该类端口上的用户设备如果能通过认证 就可以访问 LAN 内的资源 如果不能 通过认证 则无法访问 LAN 内的资源 相当于物理上断开连接 下面首先让我们了解一下 IEEE802 1x 端口访问控制协议的体系结构 1 IEEE802 1x 体系介绍 虽然 IEEE802 1x 定义了基于端口的网络接入控制协议 但是需要注意的是该协议 仅适用于接入设备与接入端口间点到点的连接方式 其中端口可以是物理端口 也可以是逻辑端口 典型的应用方式有 局域网交换机的一个物理端口仅连接一 个 End Station 这是基于物理端口的 IEEE 802 11 定义的无线 LAN 接入方 式是基于逻辑端口的 凤凰花园酒店 网络方案书 Page 16 of 20 图 1 IEEE802 1x 的体系结构 IEEE802 1x 的体系结构中包括三个部分 Supplicant System 用户接入设用户接入设 备备 Authenticator System 接入控制单元接入控制单元 Authentication Sever System 认证服务器认证服务器 在用户接入层设备 如局域网交换机 实现 IEEE802 1x 的认证系统部分 即 Authenticator IEEE802 1x 的客户端一般安装在用户 PC 中 典型的为 Windows XP 操作系统自带的客户端 或其他第三方的免费 802 1x 客户端 认 证服务器系统一般驻留在运营商的 AAA 中心 Supplicant 与 Authenticator 间运行 IEEE802 1x 定义的 EAPOL 协议 Authenticator 与 Authentication Sever 间同样运行 EAP 协议 EAP 帧中封 装了认证数据 将该协议承载在其他高层次协议中 如 Radius 以便穿越复杂 的网 络到达认证服务器 Authenticator 每个物理端口内部有受控端口 Controlled Port 和非受控端 口 unControlled Port 等逻辑划分 非受控端口始终处于双向连通状态 主要 用来 传递 EAPOL 协议帧 可保证随时接收 Supplicant 发出的认证 EAPOL 报 文 受控端口只有在认证通过的状态下才打开 用于传递网络资源和服务 受控 端口可配置为双向受控 仅输入受控两种方式 以适应不同的应用环境 输入受 控方式应用在需要桌面管理的场合 例如管理员远程唤醒一台计算机 supplicant 2 IEEE802 1x 认证过程 凤凰花园酒店 网络方案书 Page 17 of 20 图 2 IEEE802 1x 的认证过程 3 IEEE802 1x 的特点 1 协议实现简单 IEEE802 1x 协议为二层协议 不需要到达三层 对设备的整体性能要求不高 可 以有效降低建网成本 2 认证和业务分离 IEEE802 1x 的认证体系结构中采用了 可控端口 和 不可控端口 的逻辑功能 从 而可以实现业务与认证的分离 由 Radius 服务器和以太网交换机利用不可控的逻 辑端口共同完成对用户的认证与控制 业务报文直接承载在正常的二层报文上通 过可控端口进行交换 所以通过认证之后的数据包是无需封装的纯数据包 认证 系统简化了 PPPOE 方式中对每个数据包进行拆包和封装等繁琐的工作 所以 802 1x 封装效率高 消除了网络瓶颈 同时 由于 IEEE802 1x 认证包采用了在不可 控通道中的独立处理的方式 因此认证处理容量可以很大 远远高于传统的 BAS 无需购买昂贵设备 降低了建网成本 3 和其他认证方式的比较 IEEE802 1x 协议虽然源于 IEEE 802 11 无线以太网 EAPOW 但是 它在以太网 中的引入 解决了传统的 PPPOE 和 WEB PORTAL 认证方式带来的问题 消除了网络 瓶颈 减轻了网络封装开销 降低了建网成本 众所周知 PPPOE 是从基于 ATM 的窄带网引入到宽带以太网的 由此可以看出 PPPOE 并不是为宽带以太网量身定做的认证技术 将其应用于宽带以太网 必然 会有其局限性 虽然其方式较灵活 在窄带网中有较丰富的应用经验 但是 它 凤凰花园酒店 网络方案书 Page 18 of 20 的封装方式 也造成了宽带以太网的种种问题 在 PPPOE 认证中 认证系统必须 将每个包进行拆解才能判断和识别用户是否合法 一旦用户增多或者数据包增大 封装速度必然跟不上 成为了网络瓶颈 其次这样大量的拆包封包过程必须由一 个功能强劲同时价格昂贵的设备来完成 这个设备就是我们传统的 BAS 每个用 户发出的每个数据包 BAS 必须进行拆包识别和封装转发 为了解决瓶颈问题 厂 商想出了提高 BAS 性能 或者采用大量分布式 BAS 等方式来解决问题 但是 BAS 的功能就决定了它是一个昂贵的设备 这样一来建设成本就会越来越高 WEB PORTAL 认证是基于业务类型的认证 不需要安装其他客户端软件 只需要浏 览器就能完成 就用户来说较为方便 但是由于 WEB 认证走的是 7 层协议 从逻 辑上来说为了达到网络 2 层的连接而跑到 7 层做认证 这首先不符合网络逻辑 其次由于认证走的是 7 层协议 对设备必然提出更高要求 增加了建网成本 第 三 WEB 是在认证前就为用户分配了 IP 地址 对目前网络珍贵的 IP 地址来说造 成了浪费 而且分配 IP 地址的 DHCP 对用户而言是完全裸露的 容易造成被恶意 攻击 一旦受攻击瘫痪