商务连锁酒店网络改造方案

XXXX商务连锁酒店 网络改造方案 杭州华三通信技术有限公司 目 录 1 门店技术要求及组网方案 3 1 1 技术要求 3 1 2 组网方案 3 1 3 设备选型 3 1 4 门店整体方案特色 5 2 总店技术要求及组网方案 5 2 1 技术要求 5 2 2 组网方案 6 2 3 设备选型 6 2 4 总部整体方案特色 9 3 整体网络的介绍 10 3 1 整网的拓扑图 10 3 2 地址分配 10 3 3 路由规则和路由图 12 4 总部网络改造方案高中低三种配置选型 13 4 1 专业防火墙及 VPN 网关 13 4 2 核心交换机 13 4 3 IPS 入侵抵御系统 14 4 4 无线 AP 14 1 门店技术要求及组网方案门店技术要求及组网方案 1 1 技术要求 技术要求 1 网络稳定性高 2 低成本 3 门店以 VPN 方式接入总部 4 支持对客房区 办公区的 VLAN 划分 5 实现流量控制 6 1 2 组网方案 组网方案 1 3 设备选型 设备选型 ER3200 新一代高性能宽带路由器 2 个百兆 WAN 口 4 个百兆 LAN 口 选择理由 1 500Mhz 的 CPU 主频 拥有一颗强劲的心 2 支持 IPSec VPN 通过 internet 实现和总部的 VPN 连接 3 带有很强的防火墙功能 可以进行灵活 acl 控制 可以防 QQ MSN 防 BT 下载 防 外网入侵和攻击 智能网页过滤 4 灵活的访问控制功能 可以按部门 按业务 按时间来设置控制策略 5 全面防止 ARP 攻击 保证上网不掉线 6 弹性带宽控制 忙时不允许超过额定带宽 闲时可超出额定带宽 7 可以进行实时流量统计 按照流量大小进行排序 8 支持将客人的首次 internet 访问重定向到酒店网站进行宣传 9 2 个百兆 WAN 口 一口以宽带接入 internet 另一口配合 modem 利用 PSTN 备份链 接到总部的 modem 池 可自动检测故障进行切换 也可以负载均衡方式工作 10 带机量达到 100 200 台 满足门店的带机要求 11 图形化 web 管理界面 使用方便 12 为酒店客户定制的管理界面 以客户熟悉和习惯的方式设置 13 支持以 web 方式远程登录管理 14 宽带路由器同时可做 DHCP server S5024E 全千兆智能防攻击交换机 24 个千兆下行电口 4 个光电复用千兆上行口 选择理由 1 96G 的交换容量 全线速无阻塞转发 2 防攻击能力强大 a 防 ARP 攻击 b 防 DOS 攻击 c 防蠕虫病毒攻击 d 802 1x 认证 e 支持 IP MAC 端口绑定 f 方便地实现安全配置文件的导入和导出 3 交换机使用和管理极其方便 a 简单美观易用的 WEB 管理界面 网管就想看小人书一样轻松 b 按照不同行业应用特点 在 WEB 管理界面里定制不同管理专区 c 网吧专区智能端口设定 为网吧收银服务器 监控服务器 电影音乐服务器 游戏更新服务器 路由器等自动进行优化 d 支持 Web 网管 通过 Console 口进行管理 Telnet 远程管理 4 丰富的端口特性 a 端口隔离 端口安全 端口汇聚 端口镜像 端口带宽控制 广播风暴抑制 VCT 电缆检测 5 支持 512 个基于 802 1Q 的 VLAN 完全满足门店内部的 VLAN 划分需求 6 高性价比 您付出的每一分钱都物超所值 S1526 24 个 10 100M 自适应 RJ45 端口 支持端口自动翻转 Auto DI MDIX 2 个千兆光电复用口 SFP RJ45 复用 1 个 Console 口 选择理由 支持 26 个 Port VLAN 和 256 个 IEEE 802 1Q Tag VLAN 支持端口聚合 FE 支持整机最多 2 组 每组最多 4 个端口 GE 1 组 每组最多 2 端口 提供端口带宽控制功能 最小粒度为 64kbps 支持 IEEE 802 1p 优先级协议模式 支持 WRR 加权轮询 调度 支持每端口 4 个 输出队列提供端口安全控制功能 支持广播风暴控制 支持端口镜像功能 支持 MAC 地址老化时间设置 提供 Web 管理 支持交换机系统软件的升级 内置通用电源 1U 钢壳 19 英寸标准机架结构 工业级设计 以上产品的详细资料请参考 H3C 提供的产品资料 1 4 门店整体方案特色 门店整体方案特色 1 H3C 宽带路由器支持 IPSec VPN 防火墙功能 DHCP SERVER 一机 多能 简化了网络结构 节省投资 2 整体方案具有完善的安全特性 可以保证门店网络的安全性 尤其可以 防止目前困扰很多酒店的 ARP 病毒攻击的问题 可以防止来自内部和 外部的攻击 3 房间号和 VLAN 号自动对应 并可以帮助公安监控实现基于客房的精确 定位 满足公安监控的要求 4 客房网络布线自动识别系统 减少酒店网线连接的识别工作 5 所选择的设备都经过了市场的大量应用考验 成熟稳定可靠 6 高性价比 7 完全满足客户对门店的建设要求 应该说超出客户的要求 2 总店技术要求及组网方案总店技术要求及组网方案 2 1 技术要求 技术要求 1 按照 200 家门店的规模规划公司的硬件网络 2 老的门店的改造尽量使用已经购买的网络设备 3 支持 VPN VLAN 防火墙 网管功能等 说明各主要功能的实现方 式 4 网络结构和性能需支持视频会议系统 5 说明设备清单 包括品牌 型号 数量 价格 主要技术指标 6 说明网络拓扑图和路由图 7 说明总部和门店端 IP 地址分配方式 8 说明技术支持的方式 2 2 组网方案 组网方案 2 3 设备选型 设备选型 VPN 网关及防火墙 H3C SecPath F1000 S H3C 高性能千兆专业防火墙及 VPN 网关 4 个固定 GE 两个固定光电 COMBO 口 两个电口 最大可以扩展到 8GE 4GE 8FE 选择理由 1 F1000 S 可以支持 3500 个 IPSEC VPN 隧道 完全可以满足 200 多个门店的接入 2 加入采用 3DES 加密方式 可以支持 650M 的流量 如果 200 个门店均以 2M ADSL 接入以 IPSEC VPN 接入到总部 总共的加密带宽不超过 400M 650M 的处理能力足 够 假设每个门店均以 10M 的宽带接入 internet 以 IPSEC VPN 接入到总部 最高流 量 2G 但是考虑到不可能全部并发 有一定的收敛比 所以 650M 带宽也足够 3 多出口 可以实现同时连接电信 网通的链路 同时还可以利用外接的 modem 池实 现 PSTN 的备份链路 4 DMZ 区部署用于 internet 访问的各类服务器 5 F1000 S 专业的防火墙功能 提供完善安全保护 1 支持基础 扩展和基于接口的状态检测包过滤技术 支持按照时间段进行过滤 2 支持 H3C 特有 ASPF 应用层报文过滤 Application Specific Packet Filter 协议 支持对每一个连接状态信息的维护监测并动态地过滤数据包 支持对 FTP HTTP SMTP RTSP H 323 包括 Q 931 H 245 RTP RTCP 等 应 用层协议的状态监控 支持 TCP UDP 应用的状态监控 3 对 DoS DDoS 攻击的防范 4 ARP 欺骗攻击的防范 5 提供 ARP 主动反向查询 6 TCP 报文标志位不合法攻击防范 7 超大 ICMP 报文攻击防范 8 地址 端口扫描的防范 9 ICMP 重定向或不可达报文控制功能 10 Tracert 报文控制功能 11 带路由记录选项 IP 报文控制功能 12 静态和动态黑名单功能 13 MAC 和 IP 绑定功能 14 支持智能防范蠕虫病毒技术 15 可以有效的识别网络中的 BT Edonkey Emule 等各种 P2P 模式的应用 并且 对这些应用采取限流的控制措施 有效保护网络带宽 16 支持邮件过滤 提供 SMTP 邮件地址 标题和内容过滤 17 支持网页过滤 提供 HTTP URL 和内容过滤 18 支持应用层过滤 提供 Java ActiveX Blocking 和 SQL 注入攻击防范 19 支持 RADIUS 和 HWTACACS 协议及域认证 20 支持基于 PKI CA 体系的数字证书 X 509 格式 认证功能 21 在 PPP 线路上支持 CHAP 和 PAP 验证协议 22 集中管理与审计 提供各种日志功能 流量统计和分析功能 各种事件监控和 统计功能 邮件告警功能 6 专业灵活的 VPN 服务 1 支持 L2TP VPN GRE VPN IPSec VPN 动态 VPN 等多种 VPN 业务模式 2 利用动态 VPN DVPN 技术 简化 VPN 配置 实现按需动态构建 VPN 网络 7 在扩展插槽上增加 SSL VPN 板卡 可以支持 SSL VPN 实现基于任何 internet 位置 上的移动 VPN 接入酒店网络 8 集成路由功能 可以省去路由器 1 支持路由 透明及混合运行模式 2 支持静态路由协议 3 支持 RIP v1 2 OSPF BGP 动态路由协议 4 支持路由策略及策略路由 业界最高级的安全防护 实时入侵抵御系统 IPS 可选 H3C SecPath T200 H3C 实时入侵抵御系统 4 10 100 1000M 以太电口 一个扩展槽 可以配置 4 个 10 100M 以太电口 或 2 个 1000M 以 太 SFF 光口 选择理由 1 深度防御 应用层攻击防御 业界最高的安全防护等级 1 客户机和服务器保护 抵御针对应用和操作系统漏洞的攻击 摈弃代价昂贵的应急补丁工作 精细化的深度防御与应用控制 2 病毒过滤 全球顶尖级病毒分析专家团队 拥有超过 40 万的病毒样本 阻止多种类型的网络蠕虫 病毒攻击 深度过滤隐藏在 IM P2P email 等常用软件中携带的病毒 过滤压缩后的病毒 木马 过滤变种病毒 3 网络基础设施保护 保护 DNS 和其他网络基础设施 抵御流量异常以及 SYN Flood UDP Flood ICMP Flood DNS Query Flood CC 等各种 DDoS 攻击 访问控制 4 流量正规化 提高网络带宽和路由器性能 正规化非法网络流量 优化网络性能 5 URL 过滤 根据时间定制过滤规则 自定义 URL 过滤规则 URL 过滤与带宽管理关联定制组合 6 应用性能保护 提高带宽和服务器性能 阻止或限制 P2P IM 等非关键流量 7 特征库实时升级 抵御零日攻击 最新特征库自动发布 2 专业灵活的 VPN 服务 1 支持 L2TP VPN GRE VPN IPSec VPN 动态 VPN 等多种 VPN 业务 模式 2 利用动态 VPN DVPN 技术 简化 VPN 配置 实现按需动态构建 VPN 网络 3 对威胁的处理方式 1 SecPath T200 提供了丰富的威胁响应方式 包括阻断 限流 TCP Reset 抓取原始报文 重定向 隔离 Email 告警 日志记录等 各响 应方式可以相互组合 设备出厂时已内置了一些常用的响应组合 便于 部署和维护 4 可靠性 1 SecPath T200 使用无源连接设备 PFC Power Free Connector 提供掉电 保护功能 在 T200 掉电的情况下 PFC 将网络流量自动绕开 T200 旁 路到下一跳设备上去 当恢复电源供给后 PFC 又会自动禁止旁路功能 所有流量将再度流经 T200 接受检测 核心交换机 H3C S7502 19 英寸机架式交换机 电源冗余备份 可以实现主控的冗余备份 2 个业务槽位 192G 交换容量 144Mpps 包转发率 选择理由 1 分布式业务处理体系 H3C S7500 系列交换机采用先进的全分布式体系结构 设计 通过主引擎和分布式高速业务接口板上内置的 Crossbar 交换网芯片实 现板内 板间二 三层流量的线速分布式转发 通过分布式高速业务接口板 上内置的高性能 CPU 与位于主控引擎上的 CPU 协同工作 实现 ACL 流分 类 QOS 组播等业务的全分布式处理 2 强大的 L2 L3 转发性能 H3C S7500 系列交换机支持无源背板 支持双路电 源供电 支持引擎 电源 风扇的冗余 支持单板热插拔 并可以支持 STP RSTP MSTP VRRP 等协议实现链路冗余 同时 S7500 系列交换机支持 基于硬件的 RPR 弹性分组环和基于软件的快速环网保护技术 分别可以提供 50ms 和亚秒级别的链路故障业务快速恢复手段 这些使得以 S7500 系列交 换机为核心的骨干网络可靠性大大提高 保障了业务的永续性 3 H3C S7500 系列交换机支持强大的组播功能 灵活 QinQ 802 1x 内置 DHCP SERVER NAT PBR POE EPON 等多种业务特性 这些业务特 性极大的提高了企业网络业务部署的简便性和灵活性 同时增强了对 IP 语音 视频 WLAN 的支持能力 为企业 IT 系统实现通信整合提供了便利 基于 ASIC NP 的体系结构 可以灵活的支持业务功能的不断扩展 通过多功 能网络处理器模块 可以进一步支持 NAT PBR 等多种高级业务特性 2 4 总部整体方案特色 总部整体方案特色 1 高性能 防火墙 IPS 核心交换机的性能完全能满足实际要求 2 高度安全 业界最高等级安全防护 3 高稳定性 防火墙多链路备份 IPS 的掉电保护 核心交换机的电源冗 余备份 主控冗余备份 4 网络结构合理清晰 5 所选择的设备都经过了市场的大量应用考验 成熟稳定可靠 6 高性价比 7 完全满足客户对总部的建设要求 3 整体网络的介绍整体网络的介绍 3 1 整网的拓扑图 整网的拓扑图 拓扑图说明 1 门店和总部的拓扑图不再介绍 前面两章已经介绍 2 广域网连接方式 每个门店可以选择以 2M adsl 方式接入 internet 或者以 10M 宽带接入 internet IPSec VPN 可以选择和总部的电信网链路 网通 网链路连接 同时每个门店还可以外接一个 modem 通过 pstn 网和总部 的 modem 池链接 起到链路的备份作用 但主链路出现故障 还可以 通过拨号和总部链接 3 2 地址分配 地址分配 需要公网需要公网IP地址的设备 地址的设备 每个门店的出口路由器需要公网地址 如果只有一条链路 只需要 1 个公网地址 宽 带的公网地址由申请宽带时由运营商提供 如果还需要 PSTN 备份 该 IP 地址拨号时 自动分配 无需申请 总部出口的防火墙设备 如果有 2 个出口 需要 2 个公网地址 另外 DMZ 中队外服 务的服务器每个都需要公网 IP 地址 需要私网需要私网IP地址场合 地址场合 门店需要地址的设备或区域 服务器区 办公区 前台区 客房区 数码房区 策略 策略 服务器区 办公区 前台区 整体归类为办公网 分配办公网地址段地址 客房区 数码房区 整体归为客房网 分配客房网地址段地址 门店需要地址的设备或区域 服务器区 总部办公区 总部信息中心 门店办公区 门店前台区 客房区 数码房区 策略 策略 服务器区 总部办公区 总部信息中心 门店办公区 门店前台区 整体归类为办 公网 分配办公网地址段地址 客房区 数码房区 整体归为客房网 分配客房网地址段地址 明确以上原则后 我们再来分析具体如何进行私网地址分配 因为门店的办公网需要和总部的办公网互通 因此每个门店的私网网段 以及总部的 私网网段都不能重复 而客房网因为彼此之间无需互联 只要能访问互联网即可 因此可以重复 客房网私网 IP 地址分配规则如下 1 所有门店 包括总部门店 都采用 172 16 0 0 的私网 B 类地址 一个 B 类地址有 65535 个 IP 地址 足够每个门店随便使用了 可以随便用 因为可以重复使用 每个门店都可以这样设置 2 门店当然也可以只挑选几个 C 类地址段使用 比如 给数码房区的数码房服务器 的地址池配一个 C 类地址段 172 16 1 0 而其他一般客房使用其他的一些 C 类地址 段 172 16 2 0 172 16 3 0 172 16 4 0 这些都是在 ER3200 里面针对客房的 DHCPserver 中进行设置的 并可以同时设置好对应的 VLAN 办公网私网 IP 地址分配规则如下 1 所有门店 包括总部门店 以及总部都采用 192 168 0 0 的私网 B 类地址 由于 门店需要访问总部的服务器 彼此之间需要互访 所以彼此之间的地址段不能重 复 考虑到每个分店的办公 PC 服务器数量比较少 给每个门店一个 C 类地址 有 254 个地址可用 门店的地址分配方式也是动态分配 地址池在 ER3200 路由上 设置 总部的 DHCPserver 可以设置的 S7502 交换机上 总部需要的 IP 地址数量 较多 可以多分配几个 C 类地址段 3 3 路由规则和路由图 路由规则和路由图 路由规则 路由规则 门店 1 客房网只能访问 internet 不能访问办公网 不能通过 IPSEC VPN 链接总部 2 办公网可以访问 internet 不能访问客房 可以通过 IPSEC VPN 链接总部 门店与门店之间 1 门店与门店可以互访 也可以禁止互访 规则请客户自己确定 互访的控制可以 在总部的防火墙上设置规则 路由图 以门店路由图 以门店1为例 为例 4 总部网络改造方案高中低三种配置选型总部网络改造方案高中低三种配置选型 总店的改造涉及到的设备 专业防火墙及 VPN 网关 核心交换机 IPS 无线 下面针对每种设备推荐配置 4 1 专业防火墙及专业防火墙及 VPN 网关网关 型号规格 高配置Secpath F1000 A2 个固定 GE 两个固定光电 COMBO 口 1 个插槽 最大可以扩展到 4GE 2GE 4FE 防火墙吞吐量 1 5Gbps 3DES 加密 600Mbps IPSEC VPN 隧道数 5000 个 中配置Secpath F1000 S4 个固定 GE 两个固定光电 COMBO 口 两个电 口 两个插槽 最大可以扩展到 8GE 4GE 8FE 防火墙吞吐量 1Gbps 3DES 加密 600Mbps IPSEC VPN 隧道数 3500 个 低配置Secpath F100 E4 个固定 FE 1 个插槽 最大可以扩展到 8FE 4FE 2GE 防火墙吞吐量 400Mbps 3DES 加密 200Mbps IPSEC VPN 隧道数 2000 个 4 2 核心交换机核心交换机 型号规格 高配置H3C S7502E19 英寸机架式交换机 电源冗余备份 可以实现主控的冗余备份 2 个业务槽位 1