九丈甸园山庄网络设计方案

九丈甸园山庄网络规划方案2010年8月23日目录1、酒店项目概述32、网络建设综述421网络设计的原则422网络设计的目标63、网络建设方案631方案拓扑732设备选型说明833网络规划说明1034无线网络规划说明164、产品简介1741H3CF1000S防火墙1742H3CS7503E核心路由交换机1943H3C3100千兆以太网交换机2644H3CWX5002无线控制器3045H3CWA2220无线AP301、酒店项目概述酒店基础网络建设的目的是为应用服务，如果建了网，用不起来，等于白建。所以，一定要重视应用系统的建设，电话网络是针对客户的通信需求而铺设，并针对酒店行业的话务需求提供的合适的方案，而宽带网络是针对酒店内部信息管理系统，例如互联网接入,视频点播、餐馆系统，房态系统，一卡通门禁系统而先期必须进行的基础设施铺建，只有针对应用而建设的网络，才能使酒店网络真正发挥它的作用。（1）实用性与先进性酒店网络建设的首要原则是要有极好的实用性，因为只有实用才能使酒店管理人员和入住人员直接受益。但在实用的基础上，应尽可能采用先进成熟的技术。选购具有先进技术水平的计算机系统和网络设备，这些设备应该在相当长的时间内保证其先进性。开发和选购的各种网络应用软件也尽可能先进，并有相当长时间的可用性。我公司在电话网络及宽带网络的产品设备上均选用国内、国际知名品牌高科、天波、CISCO、TOPSTAR、布线产品使用国内国际知名品牌MOLEX、VCOM的产品，并提供20年的工程质保。（2）开放性与标准化酒店网络建设的一个显著的特点是具有极好的开放性。这种开放性靠标准化实现，只有符合标准的网络系统才能实现无缝的互连。为此，应制定全网统一的网络体系结构，并遵循统一的通信协议标准。网络体系结构和通信协议应选择广泛使用的国际工业标准，使我们的酒店网络成为一个完全开放式的网络环境。（3）可靠性与安全性酒店网络的建设遵循可靠性的原则也是非常重要的，网络系统所用设备和材料均应符合国际和国内认可的有关标准，并要经过严格检验，网络的每一建设过程都要把好质量关，保证网络系统有一个良好的运行环境。安全性是指网络能够有效地控制系统资源，并有完善的数据保护措施，可靠性是安全的基础。（4）经济性与可扩充性酒店网络建设的经济性是指在满足应用要求的基础上尽最大可能降低成本，使有限的建设费用做更多的事情。但经济性是建立在可扩充性基础上的。计算机及网络互连技术发展迅猛，网络系统的扩充与升级是必然趋势，所以酒店网络建立时，就应为网络系统未来的扩充与升级奠定良好的基础。（5）具备良好的网络管理功能酒店网络建成以后，对整个网络的管理是一项非常重要的工作，因此在网络设计中，应确保该网络具有良好的管理功能。（6）网络只是手段，应用才是目的，重视应用系统的建设2、网络建设综述随着信息技术的飞速发展，网络在人类的工作和生活中的作用与日俱增。传统的商务活动在与互联网结合后，网络技术为商务活动在时间和空间上提供了极大便利，诞生了宽带上网、移动办公、电子商务等多种趋势。这些新的趋势也对酒店行业提出了新的要求，酒店行业的信息化水平应当与时俱进。现代化的酒店需要为客户提供包括住宿、餐饮、娱乐、会议、办公、网络等在内的全方位服务，具备全方位智能化服务的特点。在此过程中，首先就是为酒店搭建一个高效、灵活、可靠的基础网络环境。酒店网络作为整个酒店的信息化管理、服务的基础，必须满足顾客随时随地接入互联网的要求，以提升酒店的现代化管理水平和整体形象。因此网络是酒店行业紧跟商务发展潮流与时俱进的重要支持和强大动力。九丈甸园山庄大酒店是一家环境优雅、设施一流，服务周到的大酒店。为了提高酒店的竞争力，完善硬件设施的配置，酒店领导提出了建立高效、最优的信息网络的需求。酒店按照5星级的要求来建立信息网络，整个系统要求可支持1000M以上传输速率到桌面100M，支持多种网络结构及网络协议，并具有足够的通信冗余，能够为办公自动化及其他系统应用的实现打下坚实的基础。21网络设计的原则网络建设的总原则是统一规划、统一标准、保障安全，技术先进，资源共享，便于扩展、维护简便，面向社会。在本次项目中要采用先进成熟的技术和设计思想，运用先进的集成技术路线，以先进、实用、开放、安全、使用方便和易于操作为原则，突出系统功能的实用性，尽快投入使用，发挥较好的效能。实用性系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进性，使系统便于联网，实现信息资源共享。易于维护管理，具有广泛兼容性，我们的根本原则就是能最大限度地满足网络建设实际的需要。方案所推荐的网络技术和产品具有成熟、稳定、实用的特点，并充分满足客户对网络的需要。先进性计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性，选择硬件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。所推荐的主要网络产品均为高性能优秀产品。在设计中，我们是依据先进性与成熟性并重的原则考虑的，并考虑到近年来的发展特点，我们把先进性放在重要位置。为了未来支持数据、话音、视频等多媒体的传输能力，应大幅提高网络带宽和网络设备的流量处理能力，应实现从桌面至主干交换机各级网络设备全方位地消除网络瓶颈，尽量避免拥塞、显著改善响应时间，还应提供对服务质量的保障机制。开放与标准化原则本系统应是一个开放且标准的系统。本系统采用TCP/IP协议作为主要协议，二层支持标准的8021Q的VLAN。并且，所选产品都遵循相应的标准。我们完全可以做到使网络的硬件环境，通信环境，软件环境，操作平台之间的相互依赖减至最小。可扩展性及易升级性面对中国计算机网络的迅速发展，系统的计算机设备和网络设备必须有非常好的系统扩充性。并且，随着世界网络技术的不断发展，主干网络设备应能平滑升级。因此，在网络平台设计中，采用结构化设计；保证系统结构模块化，软硬件平台可以积木式拼装。采用结构化网络设计的优点是网络的升级可以平滑的进行，网络中任何一部分的升级都不会对网络造成重大影响。良好的可管理性和可维护性我们着重考虑所选产品具有良好的可管理性和可维护性。作为一个系统，所选产品应具有良好的可管理性和可维护性。具有最佳的性能价格比我们仔细分析讨论了需求情况，力求设计紧贴实际需求，在设计上寻求最佳的性能价格比。有高可靠性和安全性系统的可靠性是非常重要的指标。本网络所采用的主要产品采用可靠性设计，力求系统的安全，可靠稳定的运行，才能提供优质的服务。采取多层次的冗余备份手段和技术，保证设备在发生故障时能在最短时间内恢复，以最大程度地保证网络的正常运转。应根据学校网络管理制度和网络策略制定一套完善的安全政策，采用合适的技术手段，充分地保证网络的安全性。二层的安全性，可以通过基于MAC地址进行接入控制，甚至可以利用每端口可透穿的VLAN来实现网络连接的安全性。三层的安全性，通过静态的ARP表，及第三层交换机访问列表（ACL），通过协议、网络地址、应用的端口号进行组合，形成安全的控制策略。具有良好的售后服务和技术支持所选用的网络设备应该是具有良好的售后服务和技术支持服务。同时本土化的服务是至关重要的。服务的最终目的是所有的网络问题设备，厂商都应该给予解决而非是解释理由，一旦网络出现故障，厂商都应该及时与系统集成商赶到现场进行解决，使网络尽快恢复，从而不影响客户的各项工作。22网络设计的目标九丈甸园山庄大酒店希望通过网络建设，把酒店的局域网构建成具有高技术性、高实用性和长期投资效益的网络，并且能够保证系统长期，稳固、高效的运行。根据酒店的要求，我们提出的解决方案大致是利用千兆以太网技术来实现到桌面100M的速率连接。同时对各个客房和酒店内部部门实行虚拟局域网的划分，每个房间一个端口，来达到控制广播风暴，提高工作效率的目的。另一方面通过先进的网络管理软件来统一管理整个网络系统，以提高可管理性和管理的便捷性。酒店局域网设计的目标就是将不同部门的各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成酒店内部依据不同部门而划分的自由INTRANET系统，对外通过路由设备接入广域网，以此来满足顾客对上网的需求。系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性和可扩展性，以及建设的经济性。3、网络建设方案九丈甸园山庄大酒店计算机网络信息化建设遵循网络整体规划，统一实施，最终完成网络信息化建设。网络系统具体规划如下31方案拓扑根据上图显示，整体网络架构采用核心接入的二层网络设计，二层网络架构采用层次化模型设计，即将复杂的网络设计分成2个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。这里将核心层和汇聚层合为一层，在实现同等功能需求的情况下，节约了网络建设成本。二层网络架构设计的网络有二个层次核心层（网络的高速交换主干）、接入层（将工作站接入网络）。整个网络为千兆骨干，百兆至桌面的高速二层网络。核心层核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。由于本方案中核心层和汇聚层合而为一，所以核心层设备还承担了汇聚层设备的部分功能，所以还具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。接入层接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量，能够向工作组提供高速带宽。接入交换机通过双绞线连接各终端节点，同时，在接入层交换机还可限制每端口的MAC地址数据，以保证只有单台PC接入，为管理带来方便；在汇集和核心交换机上做硬件访问列表，封常见病毒端口如冲击波、振荡波、蠕虫等病毒，避免病毒流量泛滥整个网络，导致网络瘫痪；可在汇聚交换机自动启用防ARP欺骗功能，可向PC免费发ARPREPLY报文，防止ARP欺骗，并在交换机打印信息，通知用户杀毒；另外，还可通过VLAN、安全端口、IPMAC绑定等来防止IP地址盗用、账号游离使用等问题。32设备选型说明网络核心层是整个网络的骨干中心，决定着整个网络运行的可靠性，推荐采用S7503E。其背板带宽高达720GBPS，包转发速率为540MPPS，具备L2/L3/L4线速交换能力。S9303万兆路由交换机基于先进的模块化理念进行设计，并采用了基于多处理器分布式处理机制和CROSSBAR空分交换结构的体系结构，关键模块均采用11冗余备份。可提供10GE、GE、FE等各种丰富的接口模块，并全面支持IPV4、IPV6、MPLS、NAT、组播、QOS、带宽控制等业务功能。此款产品定位于运营商IP城域网、校园网、电子政务网和大型企事业网等网络的骨干层。整个系统所具备的高可靠性、高扩展性、强大的业务能力等特点可以满足会展中心局域网网络核心层的建设需求。接入层我们选择采用S310026TP24口交换机和S310052P48口交换机。这些交换机具有性能好、稳定性好、功能丰富等特性，在长期的销售和应用中已经被证明是非常具有性价比的产品。接入层交换机向上使用千兆以太网接口与骨干网形成连接；向下则通过传统的100M端口与普通的个人PC、业务终端等设备进行对接。在每个IDF接入点，如果接入点数量少于24口，即一台交换机可以完成接入的，我们就使用一台设备；如果接入点数量比较多，我们使用多台同型号交换机进行级联（使用千兆口），并且在特殊需要的情况下，通过端口聚合技术形成2G、4G等的高带宽级联，充分保证大信息量的情况下网络的高性能。同时，多台设备连接时，多余的交换机端口也成为用户在小规模扩容时的预留资源，届时用户可以灵活调配这些资源而不必再额外花费金钱去购买新的设备。在这个过程中，对原有正在运行的网络状态也无需作任何修改，非常方便。网络的核心接入交换机形成之后，还需要做其他的扩展内容，才能真正实现各项业务的开展，其中主要包含两部分内容第一、无线接入。群组中放置多台无线AP，针对酒店面积大的实际情况，酒店无线网络的设计方案一般有两种。一种是楼层之间用有线网络进行连接，多个房间共用一台无线路由器或无线AP；另外一种就是使用无线路由器，通过酒店现有的CATV线路传输无线网络信号，这样只需要在机房安装无线路由器，在客户端安装天线就可以实现无线网络覆盖了。第二、局域网只是整个管理体系中的一个组成部分，必须与外部网络练成一个整体，才能真正发挥其作用和威力，为此我们强烈建议使用高性防火墙设备来进行组网。为满足内部用户的安全需求，在网络出口配置一台F1000S防火墙作为出口安全设备。F1000S是华赛公司为大型中型企业用户网络安全应用开发的一款智能防火墙。支持全状态检测技术，支持内容访问控制、入侵检测与防护，支持邮件过滤、病毒防护、攻击防护等多种安全功能。支持多种VPN技术，可灵活构建企业安全VPN网络。提供多种网络分析管理手段，协助管理员完成网络安全管理。选型清单核心交换机LS7503EH3CS7503E以太网交换机主机LSQM1SRPB0H3CS7500ESALIENCEVI交换路由引擎LSQM1GP12SC0H3CS7500E12端口千兆/百兆以太网光接口模块SFP,LCLSQM1AC1400H3CS7500E交流电源模块,1400WSFPGESXMM850A光模块ESFPGE多模模块850NM,05KM,LCIDF1/MDFLS310026TPEIH3AH3CS310026TPEI,以太网交换机主机,24个10/100BASET,2个10/100/1000BASET与1000BASEXSFPCOMBO,交流供电LS310052PH3H3CS310052PL2以太网交换机主机,48个10/100BASET,4个千兆SFP,交流供电SFPGESXMM850A光模块ESFPGE多模模块850NM,05KM,LCIDF2LS310052PH3H3CS310052PL2以太网交换机主机,48个10/100BASET,4个千兆SFP,交流供电SFPGESXMM850A光模块ESFPGE多模模块850NM,05KM,LCIDF3LS310052PH3H3CS310052PL2以太网交换机主机,48个10/100BASET,4个千兆SFP,交流供电SFPGESXMM850A光模块ESFPGE多模模块850NM,05KM,LCIDF4LS310052PH3H3CS310052PL2以太网交换机主机,48个10/100BASET,4个千兆SFP,交流供电SFPGESXMM850A光模块ESFPGE多模模块850NM,05KM,LCIDF5LS310026TPEIH3AH3CS310026TPEI,以太网交换机主机,24个10/100BASET,2个10/100/1000BASET与1000BASEXSFPCOMBO,交流供电SFPGESXMM850A光模块ESFPGE多模模块850NM,05KM,LCIDF6LS310026TPEIH3AH3CS310026TPEI,以太网交换机主机,24个10/100BASET,2个10/100/1000BASET与1000BASEXSFPCOMBO,交流供电SFPGESXMM850A光模块ESFPGE多模模块850NM,05KM,LCIDF7LS310026TPEIH3AH3CS310026TPEI,以太网交换机主机,24个10/100BASET,2个10/100/1000BASET与1000BASEXSFPCOMBO,交流供电SFPGESXMM850A光模块ESFPGE多模模块850NM,05KM,LCIDF8LS310026TPEIH3AH3CS310026TPEI,以太网交换机主机,24个10/100BASET,2个10/100/1000BASET与1000BASEXSFPCOMBO,交流供电SFPGESXMM850A光模块ESFPGE多模模块850NM,05KM,LC无线AP点EWPWA2220AGH3CWA2220AG无线局域网室内型AG双频双模接入点EWPWX500264H32端口千兆COMBO无线控制器支持64AP防火墙NSSECPATHF1000SACH3CSECPATHF1000S主机双交流电源4GE/2SLOT33网络规划说明331IP地址规划IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由汇聚，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则唯一性一个IP网络中不能有两个主机采用相同的IP地址；这就需要选择一个足够大的IP地址范围，不但能够满足现有的需要，同时能够满足未来网络的扩展。简单性地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项；一般我们可以使用10XXX；17216XX；192168XX这样的地址规划，简单而且容易记忆。连续性连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率；可扩展性地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。灵活性地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。332VLAN规划对于网络的大量接入信息点，直接把他们连接在一起是不现实的，无论是对今后的管理还是网络运行的性能都没有好处，所以我们建议使用虚拟局域网VLAN隔离广播域，同时不同的网段之间可以通过三层交换相互访问。VLAN的主要作用是限制广播域的规模，一旦在日后正常运行过程中出现而已攻击等情况引起的广播风暴时，VLAN功能可以有效的减小其影响范围。同时VLAN在划分时，也需要按照部门、各个逻辑子网的的不同，而设置，这样可以保证无关的网络之间不会相互干扰，这在在很大程度上可以保护用户网络的私密性。在核心交换机上面，为每个VLAN设置一个IP网段，不同子网的相互通信都需要通过这个三层的“网关”设备。而这台网关设备可以根据用户的需要灵活的进行控制，允许或者禁止，尽在掌握。在这个二层架构的网络中，接入层设备主要进行连接PC主机、业务终端等设备的连接与控制、甚至进行必要的认证，从源头上保证用户的合法身份和网络流量的正常。核心设备则主要进行对网络中各个VLAN/子网的规划和控制，使的网络中的流量更加合理。最后网络的核心设备依靠他的高性能和高稳定性为整个网络创造一个理想平台。333QOS规划在局域网网络的构建中，数据传输是一个基本的功能。但随着技术的发展，应用需求的多样化，网络越来越多地需要考虑对多种业务的支持及保证，如保障构建中语音、视频等数据在网络中传输的实时性等。通常我们会根据业务网络中的重要程度，都可区分为关键业务与非关键业务，为了使关键业务能得到充分的服务质量保证如时延小、丢包少等，避免因网络拥塞而造成对业务的影响，在网络的设计及构建中就需要考虑能提供合适的QOS保障方案。以下对QOS的服务模型及其做一个阐述1、QOS服务模型QOS方案的设计实施，首先需要考虑选择合适的技术框架，也即服务模型。服务模型指的是一组端到端的QOS功能，目前有以下三种QOS服务模型BESTEFFORTSERVICE尽力服务INTEGRATEDSERVICEINTSERV综合服务11DIFFERENTIATEDSERVICEDIFFSERV区分服务1、BESTEFFORTSERVICE尽力服务是最简单的服务模型。应用程序可以在任何时候，发出任意数量的报文，而且不需要事先获得批准，也不需要通知网络。网络则尽最大的可能性来发送报文，但对时延、可靠性等不提供任何保证。2、INTEGRATEDSERVICEINTSERV是一个综合服务模型，它可以满足多种QOS需求。这种服务模型在发送报文前，需要向网络申请特定的服务。这个请求是通过信令SIGNAL来完成的，应用程序首先通知网络它自己的流量参数和需要的特定服务质量请求，包括带宽、时延等，应用程序一般在收到网络的确认信息，即网络已经为这个应用程序的报文预留了资源后，发送报文。而应用程序发出的报文应该控制在流量参数描述的范围内。网络在收到应用程序的资源请求后，执行资源分配检查ADMISSIONCONTROL，即基于应用程序的资源申请和网络现有的资源情况，判断是否为应用程序分配资源。一旦网络确认为应用程序的报文分配了资源，则只要应用程序的报文控制在流量参数描述的范围内，网络将承诺满足应用程序的QOS需求。而网络将为每个流FLOW，由两端的IP地址、端口号、协议号确定维护一个状态，并基于这个状态执行报文的分类、流量监管POLICING、排队及其调度，来满足对应用程序的承诺，具有面向连接的特性。因此对网络设备的处理能力有较高要求。传送QOS请求的信令是RSVP资源预留协议，它通知路由器应用程序的QOS需求。3、DIFFERENTIATEDSERVICEDIFFSERV即区别服务模型，它可以满足不同的QOS需求。与INTEGRATEDSERVICE不同，它不需要信令，即应用程序在发出报文前，不需要通知路由器。网络不需要为每个流维护状态，它根据每个报文指定的QOS，来提供特定的服务。可以用不同的方法来指定报文的QOS，如IP包的优先级位IPPRECEDENCE、报文的源地址和目的地址等。网络通过这些信息来进行报文的分类、流量整形、流量监管和排队。通常在配置DIFFERENTIATEDSERVICE时，在网络边界的路由器通过报文的源地址和目的地址等对报文进行分类，对不同的报文设置不同的IP优先级，而其他路由器只需要用IP优先级来进行报文的分类。4、服务模型选择这三种服务模型中，只有INTSERV与DIFFSERV这两种能提供多服务的QOS保障。从技术上看，INTSERV具有面向连接的特性及思想，这与IP技术本身无连接特性是不符合的，容易导致网络的复杂化从实现看，INTSERV需要网络对每个流均维持一个软状态，因此会导致设备性能的下降，或实现相同的功能需要更高性能的设备，另外，还需要全网设备都能提供一致的技术才能实现QOS。而DIFFSERV则没有这方面的缺陷，且处理效率高，部署及实施可以分布进行，它只是在构建网络时，需要对网络中的路由器设置相应的规则，会使配置管理比较复杂。因此，一般来讲，利用现有技术提供IPQOS时，为了实现规模适应性，在三级网的构建中往往采用DIFFSERV体系结构。而且，无论是DIFFSERV，还是INTSERV，在最终对服务进行保障时，都是通过以下一些成熟技术来实现CAR。它根据IP包的优先级或QOS组，来进行报文的分类、以及报文的度量和流量监管。队列技术。WRED、PQ、CQ、WFQ等队列技术进行拥塞避免及拥塞管理。在局域网网络构建中，将网络资源充分利用是解决QOS问题最彻底的方法，因此，如何构建、管理好某公司局域网网络，设计出合适的QOS保障方案，使有限的资源获得更好的网络使用效益，成为QOS设计的重点。业务的区分是进行QOS保障的基础。在局域网网络中的业务可以有多种分类法，根据对时间的敏感度，可分为实时业务与非实时业务；根据对数据传送的要求，又可分为可靠业务与不可靠业务等等。再如语音、视频既是实时业务，也是不可靠业务；综合办公、EMAIL是非实时业务，但又是可靠传送业务。另外，即使是实时业务，也还可分为对时延抖动敏感的业务，如IP语音对抖动不敏感业务，如网管系统。334网络安全规划3341网络安全概述根据网络结构和网络应用，在经济实用、安全高效的条件下对网络安全性设计需要从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类分析，公司局域网网络安全主要整个网络构建的方方面面来给予详细阐述。3342网络安全设计应遵循的原则综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。需求、风险、代价平衡的原则对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。一致性原则制定的安全体系结构必须与网络的安全需求相一致易操作性原则易于操作、维护，并便于自动化管理，而不增加或少增加附加操作。易扩展原则随着网络规模的扩大及应用的增加要具有可升级性。3243AAA安全机制博达设备AAA技术提供了网络设备对用户的验证、授权和记帐功能。（1）验证功能各种用户（包括登录、拨号接入用户等）在获得访问网络资源（包括路由器）之前必须先经过验证。验证时可以选择是采用本地维护的用户数据库，还是采用RADIUS服务器所维护的用户数据库，或者是采用TACACS服务器所维护的用户数据库。博达路由器支持与AAA技术相结合的本地数据库、RADIUS、TACACS认证。（2）授权功能通过定义一组属性来限定用户的权限信息，来确定用户的访问权限。这些信息存放在相应的用户数据库内。不同权限的用户能够操作和控制路由器的程度不一样，避免了恶意人为破坏的隐患。（3）记帐功能该功能使得路由器可以对用户访问的网络资源进行跟踪记录，当选择了该项功能时，用户的访问信息便会存入相应的用户数据库内，根据数据库，就可以产生各类用户帐单信息。3244日志功能日志（LOG）功能用于将路由器产生的各种信息以日志形式记录到具备SYSLOG功能的主机上（如UNIX主机或运行SYSLOGD的主机）。日志功能与访问列表功能相结合可以任意定义所要记录的信息，以备查用，如跟踪记录黑客攻击报文等。3245IP地址MAC地址邦定技术MAC地址绑定技术是通过在路由器中静态配置IP地址和MAC地址的映射关系来完成ARP应答来实现的。原理如图所示可以看到，路由器不再动态的响应来自局域网的主机的ARP请求，当接收到一个ARP请求时，路由器首先检查请求报文的源IP地址，然后在自己的静态映射表中寻找与此相对应的MAC地址，如果没有寻找到相关映射，将对此报文不作任何处理，通信也就无法实现，从而保证了可能由无效IP地址的主机发起的攻击。如果寻找到相关映射，就回答一个ARP响应，当响应报文中的目的MAC地址域的值是用映射表中的MAC地址填充的，而不是依据请求报文中的源MAC地址域的地址值。这样，只有请求报文的MAC和静态映射的MAC一致时（即没有伪装IP），通信才可以建立，否则，如图所示，通信也不可能建立，从而防止IP地址的欺骗。3246基于包过滤的防火墙技术博达路由器支持基于包过滤的防火墙技术，防火墙访问列表根据IP报文的IP报头及所承载的上层协议（如TCP）报头中的每一个域包含了可以由路由器进行处理的信息。包过滤通常用到的IP报文的以下属性IP的源、目的地址及协议类型TCP或UDP的源、目的端口ICMP码、ICMP的类型码TCP的标志域服务类型TOSIP报文的优先级（PRECEDENCE）博达路由器的访问表还提供了基于时间的包过滤，可以规定过滤规则发生作用的时间范围，在此时间范围以外，不进行由时间定义的访问规则判断。在时间段的设置上，可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用，在应用上提供极大的灵活性。3247ARP病毒防范技术博达交换机具有以下四种ARP防范技术1、在接口下过滤ARP报文，防止冒充网关。2、在接口下对ARP报文进行IPMAC绑定，防止对网关的欺骗。3、免费发放ARPRESPONSE报文，纠正主机错误的网关。4、在接口下配置FILTER功能，防ARP扫描攻击。通过以上的四个功能，可以完全做到对ARP欺骗和攻击的防治，其中，将ARP报文的IP与MAC绑定这一功能可以彻底防止ARP欺骗，但大的网络中实施起来有可能工作量比较大。因此我们一般情况下可以只启用第一个功能，防止伪造网关的MAC地址，通常的ARP病毒就这这种类型。如果有需要才将主机的IPMAC绑定，对于DHCP环境，我们可以在DHCPSERVER上进行IPMAC绑定，即给特定的MAC地址分配特定的IP地址，再在交换机上做ARP的IPMAC绑定。防ARP攻击这项功能，在统计周期和吞吐量的设定上最好使用默认配，只需要在全局和端口下开启此功能即可。免费发放ARPRESPONSE报文是一个辅助手段，它可以让已经被欺骗的主机自动纠正过来，减少了维护的工作量。34无线网络规划说明无线智能酒店系统主要是通过在酒店布置无线局域网WLAN来提供无线宽带服务，可以在最短的时间内实现酒店的整体接入，不影响酒店的正常营业，尤其是不影响酒店的装修布局。商务客人常常喜欢在酒店大堂、咖啡厅或茶座里用笔记本电脑工作，或是在这些地方进行一个小型的会谈，当客人需要处理电子邮件或上网下载公司的资料时，得到的回答往往是“您必须换一个靠近某个数据点的位置“、“您可以到商务中心去“，或“您必须到房间里用电话线才可以上网“等等。而无线智能酒店系统就可以免除这样的尴尬，它主要是通过在酒店布置无线局域网WLAN来提供无线宽带服务，可以在最短的时间内实现酒店的整体接入，不影响酒店的正常营业，尤其是不影响酒店的装修布局。不同酒店无线网络设计方案根据星级酒店的特点，要实现包括办公楼、行政楼和客房的大面积网络覆盖。网络结构就会包括不同网络设备和不同的连接方式，同时也包含不同功能特征，以充分满足酒店管理的需要。基于上述所述，网络结构应当针对不同的情况解决不同的问题。合理的网络方案不仅简化网络的管理，而且能够提高网络的整体性能和可用性。因此，针对酒店面积大的实际情况，酒店无线网络的设计方案一般有两种。一种是楼层之间用有线网络进行连接，多个房间共用一台无线路由器或无线AP；另外一种就是使用无线路由器，通过酒店现有的CATV线路传输无线网络信号，这样只需要在机房安装无线路由器，在客户端安装天线就可以实现无线网络覆盖了。相比之下，第二种无线网络搭建方案更为可观。因为CATV线路已经成为酒店的标准配置，部署无线网络，只需要加装无线网络信号发射器就可以了，免去布线的烦恼，而且可以节约网络设备投资。因为使用第一种无线网络搭建方案，不仅需要铺设网线，而且需要购买大量的无线路由器，因为在实际应用中，一台无线路由器的信号仅仅能够覆盖3至5间客房。无论是使用效果，还是投资成本，第二种方案都是首选。此外，从楼外和楼内的不同，还可分为楼外覆盖和楼内覆盖两种解决方案楼内覆盖方案是指在走廊中央放置1个无线接入设备APACCESSPOINT，覆盖整个楼层；另一种楼外覆盖方案，是在楼的一侧侧放置1个AP，增加室外天线，覆盖整个大楼。为保证无线信号畅通无阻，本次设计全部采用FITAP模式覆盖全网。4、产品简介41H3CF1000S防火墙扩展性最强基于H3C先进的OAA开放应用架构，SECPATH防火墙能灵活扩展病毒防范、网络流量监控和SSLVPN等硬件业务模块，实现27层的全面安全。强大的攻击防范能力能防御DOS/DDOS攻击（如CC、SYNFLOOD、DNSQUERYFLOOD、SYNFLOOD、UDPFLOOD等）、ARP欺骗攻击、TCP报文标志位不合法攻击、LARGEICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC绑定、内容过滤等先进功能。增强型状态安全过滤支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。丰富的VPN特性集成IPSEC、L2TP、GRE和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。应用层内容过滤可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTPURL和内容过滤。全面NAT应用支持提供多对一、多对多、静态网段、双向转换、EASYIP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H323、NBT等NATALG功能。全面的认证服务支持本地用户、RADIUS、TACACS等认证方式，支持基于PKI/CA体系的数字证书（X509格式）认证功能。支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同的管理配置权限。集中管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。产品规格属性说明运行模式路由模式透明模式混合模式网络安全性AAA服务RADIUS认证HWTACACS认证PKI/CA（X509格式）认证域认证CHAP验证PAP验证防火墙包过滤基础和扩展的访问控制列表基于接口的访问控制列表基于时间段的访问控制列表动态包过滤ASPF应用层报文过滤L应用层协议FTP、HTTP、SMTP、RTSP、H323（Q931，H245，RTP/RTCP）L传输层协议TCP、UDP抗攻击特性LAND/SMURF/FRAGGLE/WINNUKE/PINGOFDEATH/TEARDROP/IPSPOOFING/ARP欺骗攻击防范/TCP报文标志位不合法攻击防范/超大ICMP报文攻击防范/地址/端口扫描的防范防病毒DOS/DDOS攻击防范CC、SYNFLOOD、ICMPFLOOD、UDPFLOOD、DNSQUERYFLOOD、ARPFLOOD等TCPPROXY功能ICMP重定向或不可达报文控制功能TRACERT报文控制功能带路由记录选项IP报文控制功能静态和动态黑名单功能MAC和IP绑定功能透明防火墙基于MAC的访问控制列表支持8021QVLAN透传邮件/网页/应用层过滤邮件过滤网页过滤应用层过滤JAVABLOCKINGACTIVEXBLOCKINGSQL注入攻击防范安全日志及统计用户行为流日志NAT转换日志攻击实时日志黑名单日志地址绑定日志流量告警日志流量统计和分析功能全局/基于安全域连接数率监控全局/基于安全域协议报文比例监控安全事件统计功能EMAIL邮件实时告警功能EMAIL邮件定期信息发布功能NAT支持多个内部地址映射到同一个公网地址支持多个内部地址映射到多个公网地址支持内部地址到公网地址一一映射支持源地址和目的地址同时转换支持外部网络主机访问内部服务器支持内部地址直映射到接口公网IP地址支持DNS映射功能可配置支持地址转换的有效时间支持多种NATALG，包括DNS、FTP、H323、ILS、MSN、NBT、PPTP、SIP等VPNL2TPVPN/GREVPN/IPSECVPN/SSLVPN/DVPN局域网协议ETHERNET_IIETHERNET_SNAP8021QVLAN网络互连链路层协议PPPOE网络协议IP服务ARP域名解析IPUNNUMBEREDDHCP中继DHCP服务器DHCP客户端IP路由静态路由RIPV1/2OSPFBGP路由策略策略路由高可靠性双机状态热备，ACTIVE/ACTIVE和ACTIVE/PASSIVE两种工作模式，支持负载分担和业务备份关键部件冗余设计接口模块热插拔机箱温度自动检测流量监管CAR拥塞管理FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ拥塞避免WRED流量整形GTS服务质量保证（QOS）接口速率限制LR命令行接口通过CONSOLE口进行本地配置通过TELNET或SSH进行本地或远程配置配置命令分级保护，确保未授权用户无法侵入设备提供全中文的提示和帮助信息详尽的调试信息，帮助诊断网络故障提供网络测试工具，如TRACERT、PING、HWPING命令等，迅速诊断网络是否正常用TELNET命令直接登录并管理其它设备FTPSERVER/CLIENT，可以使用FTP下载、上载配置文件和应用程序支持TFTP上传下载文件支持日志功能文件系统管理USERINTERFACE配置，提供对登录用户多种方式的认证和授权功能支持标准网管SNMPV3，并且兼容SNMPV2C、SNMPV1支持NTP时间同步配置管理支持WEB方式进行远程配置管理支持H3CBIMS系统进行设备管理支持H3CVPNMANAGER系统进行VPN业务管理和监控42H3CS7503E核心路由交换机H3CS7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的COMWAREV5操作系统，以IRF2（INTELLIGENTRESILIENTFRAMEWORK2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLSVPN、IPV6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3CS7500E符合“限制电子设备有害物质标准（ROHS）”，是绿色环保的路由交换机。H3CS7500E系列包括S7510E（12槽）、S7506E（8槽）、S7506EV（垂直8槽）、H3CS7506ES（8槽）、S7503E（5槽）、7503ES（3槽）和S7502E4槽7款产品，除了7503ES所有产品均支持冗余主控。H3CS7500E可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业解决方案。丰富的业务，适应融合业务网络发展趋势基于IRF2（第二代智能弹性架构）技术的虚拟化架构H3CS7500E面向数据中心技术的演进，推出了IRF2为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断维护功能；IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF2所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分。全面的MPLS、VPLS业务能力H3CS7500E所有产品均支持MULTIVRF特性，可以作为MCE设备使用；支持三层的MPLSVPN和二层的MPLSVPN（MARTINI、KOMPELLA）；支持MPLSOAM特性，方便用户的管理和维护；与H3CMPLSVPNMANAGER配合，实现图形化的MPLS部署与维护。全面支持VPLS，VLL，支持1KVPLS实例，4KVLL，还支持分层VPLS以及QINQVPLS接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求。高性能IPV4/IPV6业务能力H3CS7500E支持IPV4/IPV6双协议栈,支持多种隧道技术，支持IPV4/IPV6的组播技术，为用户提供完善的IPV4/IPV6解决方案；H3CS7500E采用分布式体系架构，实现IPV4/IPV6业务的线速无阻塞转发；H3CS7500E已经通过了信息产业部的IPV6入网认证和IPV6READY第二阶段认证，是成熟商用的IPV6产品。有线无线一体化，有源无源一体化H3CS7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QOS和对IPV6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3CS7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3CS7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。EAD端点准入防护技术H3CS7500E支持大容量的PORTAL认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供PORTAL认证功能。全方位的安全保障，抵御多种网络安全威胁三平面安全保障机制H3CS7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全在控制平面，内置协议报文攻击识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/ISIS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPV3网管协议，SSHV2，基于8021X、AAA/RADIUS的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN、MAC和端口等多种组合精细绑定；支持URPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3CS7500E还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。有线无线全面支持EADH3CS7500E是EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3CS7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。增强的ACL特性H3CS7500E系列产品支持强大的ACL能力支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，满足金融等行业访问权限严格控制的需求。电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计H3CS7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3CS7500E系列可以在恶劣的环境下长时间稳定运行，达到99999的电信级可靠性。多业务高可靠性运行H3CS7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议；支持SMARTLINK协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3CS7500E可以在承载多业务的情况下不间断运行，实现业务的永续。基于IRF2架构的HAIRF2技术可以把多台S7500E虚拟成一个“联合设备”，使用和配置都如同一台机器，而且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本，并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制，实现毫秒级链路故障检测。组网应用一多业务园区网传统无线组网模式对IPV6、无线安全、用户管理、无线语音等业务需求束手无策，H3CS7500E无线控制器FITAP控制架构实现了对AP的集中管理和配置、对用户的集中权限划分和控制，实现AP自动下载配置文件和软件版本自动更新，还实现了IPV6、无线安全、射频管理和跨三层漫游等功能，满足语音、视频等增值业务的开展。H3CS7500E基于统一的硬件、软件平台，提供有线、无线一体化的解决方案，解决了有线、无线设备分离、网管分离，用户管理分离的难题。图3H3CS7500E在IPV6校园网典型应用组网应用二MPLS网络环境（行业城域网）H3CS7500E系列支持二三层的MPLSVPN和VRFLITE，可提供多种MPLSVPN方案与MPLSVPNMANAGER软件配合，可以实现图形化的MPLS部署和维护。S7500E支持MPLSOAM（OPERATION，ADMINISTRATIONAND