惠州国际大酒店网络设计方案

1、惠州国际大酒店网络设计方案 1 项目概述 1.1 项目背景 随着经济的蓬勃发展，为酒店业的发展提供了良好的机遇，丰厚的利润和巨 大的市场也吸引了众多的竞争者。酒店行业靠什么赢得竞争优势？ 酒店不仅要 做好现有业务种类， 不断提高服务水平， 还要把握客户的需求， 用最经济的办法 获得最大的客户满意度， 提高企业自身的档次和知名度， 同时拓展新的业务增长 点，这使得酒店行业对信息化的需求非常迫切。 调查表明， 酒店的信息服务水平 在很大程度上影响着客人的入住愿望。 无法提供高速互联网接入服务的酒店， 对 于客户来说，无疑是一场商业灾难。 1.2 酒店概况 惠州国际大酒店由一栋建筑组成，主楼楼高 2

2、0 层,1-3 层为商业服务， 4-5 层以多媒体会议室为主 , 6层为公司办公室， 7-20 层以酒店客房为主。酒店客房 数量为 300 间。网络须覆盖酒店客房、办公区、地下停车场、大堂、会议室、宴 会厅、商务中心、健身中心、行政酒廊、餐厅和酒吧等地。 1.3 项目概况 结合酒店建筑平面布局及配套情况， 我们对规划的酒店智能化系统包括以下 系统：电子巡更系统；室内无线对讲系统；电子会议系统；门禁系统；无线网络 系统。 （1）本网络覆盖酒店客房、办公区、地下停车场、大堂、会议室、宴会厅、 商务中心、健身中心、行政酒廊、餐厅和酒吧等地； （2）逻辑网络架构分内、外网，内网即酒店办公的 0A网，日

3、常办公用，包 括前台、财务室、经理室等；外网即客房、 大厅、餐厅等客户有上网需求的地方， 两网完全隔离可以确保酒店办公的 0A网不受任何干扰； （3）无线网络部分，本方案采用无线 AP +无线网络控制器的方式，AP只 负责接入，控制器负责集中认证，这样可以很好的实现无缝漫游，AP的覆盖范 围尽可能广（覆盖酒店各楼层、 商务中心、大厅、餐厅、酒吧、前台、停车场等）， 同时设备辐射并不过强，符合国家无线使用标准，不对人及通讯设备造成危害、 干扰等。 2 需求分析 2.1 需求分析 根据国际大酒店的建筑特点， 在本酒店的智能化建设方面除与高档酒店相适 应的各种设施外， 为使该酒店实现高度信息化、 数

4、字化、 从而实现酒店的现代化 的管理和业务应用的需要，主要以下方面要着重考虑： （1）考虑到酒店提供的国际会务功能，应当着重考虑大型会议的多语言翻 译、多媒体展示和远程传输等等； （2）对于环境调节的机电设备要求较高，从智能化角度来看，就是要求楼 宇自控系统的调节能力要求较高； （3）五星级酒店不仅仅是对设施的要求，更重要的是五星级的服务，所以 针对这个特点应该配置一系列可选择的辅助酒店管理的软、硬件设施； （4）满足酒店日常0A办公需求，满足客户及酒店内部多媒体会议需求； （ 5 ）为扩充 VOIP 业务预留资源； （ 6）新网络应该具有足够的先进性，不仅应该能承载普通的（文件，打印 等）网

5、络流量，并且应该支持多样 QOSt性，保证有足够的带宽运行基于IP网 络的实时PC TO PC语音传输，以及未来可能会具有视频会议流量； （7）新网络应该具有足够的强壮性，应该具有足够的灾难恢复措施，包括 电源冗余，设备冗余，主机冗余，数据库冗余，线路冗余，拨号链路冗余； （8）新网络应该具有足够的安全性，采取带 CBCA特性的路由器，以及防火 墙以及设置DMZ区,防杀病毒、入侵检测、和漏洞扫描与修补系统、网络数据完 整、网络安全保护保证内网的绝对安全，将来数据在外网以及 INTERNETS传输 应该采取加密 , 并且数据传输线路应该采取全屏蔽双绞线 , 防止信息的流失和泄 露； （9）新网络

6、应该具有足够的功能性，不仅应该具有普通的网络传输功能， 并且应该具有对外发布的平台，内部建立 INTERNAT实现内部信息处理、信息 共享、信息发布一体化。 2.2 设计原则 根据对智能系统的理解，酒店系统将充分考虑实用性、可扩展性、先进性、 专业性、开放性、安全性、服务性，经济性。 （1）实用性：系统在满足工程中所要求的功能和水准，并且符合国内外有 关规范的前提下，达到系统实现容易、操作方便的要求。 （2）可扩展性：由于时代的发展与信息技术的更新，在系统设计时要考虑 系统的可扩展性，充分考虑设备的兼容，系统主机要有可扩展余地。 （3）先进性：在满足实用性和可靠性的前提下采用最先进的系统，特别

7、是 符合计算机技术和网络通信技术最新发展潮流，且相当成熟的系统。 （4）专业性：充分考虑酒店的特殊性，进行综合设计并突出专业。 （5）开放性：遵循系统开放的原则，各系统应提供符合国际标准的软硬件、 通信、网络和数据库管理系统等诸方面的接口和工具， 使系统具备良好的灵活性、 兼容性、扩展性和可移植性。 （6）服务性：系统将适应多功能、外向性的要求，突出便利性和舒适性， 服务于酒店内的用户。 （7）经济性：在实现先进性、实用性，可靠性前提下，充分考虑系统的经 济效益，使未来系统在性能与价格比上在同类系统和条件中达到最优。 （8）安全性：网络系统应是一个安全系统，并具备各种安全保卫手段和措 施，如通

8、过VLAN的划分和交换机过滤技术来保证网络安全性。网络的安全机制 可以有效地阻止未授权用户的访问，并能提供广播通信量的控制，消除广播风暴; 利用防病毒软件，可以有效阻止病毒的传播和破坏。 3方案总体设计 3.1网络拓扑结构 3.1.1网络拓扑图 图1网络拓扑图 3.1.2层次模型拓扑结构图 图2层次模型网络拓扑图 3.1.3层次拓扑结构特点 (1) 把一个大问题分解成几个小问题，从而容易解决; (2) 将局部拓扑结构改变所产生的影响降至最小； (3) 减少路由器必须存储和处理的数据量； (4) 提供良好的路由聚合数据流收敛。 3.1.4层次拓扑结构目标及策略 n标 笫略 光分前可达性 紫止内邯

9、静的找认踣牲 访问檸制.繁止簟略赂由ME步址理理利件存的过优 隔品拓挣结构的蜚化 Ht宙黑含 加熾拓扑朗购嚨化的隔死瞬健检心出轴.静輩揍入尺设徉的貂甘 摊制滞山裒例人廿 楼楼心JB内则述樓鼓巾ft 的收敛 减少交檢嗡足时僵柴界用的案存点和收盘曲 嗨傑按入出爲由岳斯金地樓枚的链性敌屮皆朗岀其与乳翠肚上叫斯允许的 访问悴料 Rih白匍的数蹴 救据升细钢划的过涯 也含标记歎辭的理务属性.共闭逋道的H他迪缘删务 3.2 分层设计思路 3.2.1 核心层设计 核心层是一个高速的交换骨干， 是网络所有流量的最终承受者和汇聚者。 由于核心层设备处于整个网络中是最关键的地位， 任何故障都可能造成整个 系统的瘫

10、痪，因此设备的选型十分重要。从可靠性和安全性出发，结合价格 因素的考虑。 （1）设计目标 处理高速数据流，尽可能快地交换数据分组而不应卷入具体的数据 分组的运算中，为下两层提供优化的数据运输功能。 （2）设计策略 核心层的所有设备应具有充分的可到达性； 不要在核心层执行任何网络策略； 禁止内部网的默认路径和策略路由，减少处理器和内存的过载，进行 访问控制。 3.2.2 汇聚层设计 汇聚层把大量来自接入层的访问路径进行汇聚和集中，实现通信量的收 敛，提供基于统一策略的互连性，提高网络中聚合点的效率，同时减少核心 层设备路由路径的数量。 （1）设计目标 隔离拓扑结构的变化、控制路由表的大小，以及网

11、络流量的收敛。 （2）主要功能 地址的聚集、部门和工作组的接入、 VLA N间的通信、传输介质的转 换，以及安全控制。 （3）实际应用 一般按楼宇的地理分布来设计汇聚层，汇聚交换机尽可能放置在汇 聚层的中心位置。汇聚交换机与核心交换机采用千兆以太链路冗余方式 互连，以保证主干链路的冗余连接。汇聚交换机用级联的方式，通过千 兆位端口与各楼宇的接入交换机连接。 3.2.3 接入层设计 接入层是最终用户与网络的接口，它应该提供较高的端口密度和即插即 用的特性，同时应该便于管理和维护，所以一般设计在各楼宇内。 （1）设计目标 将流量馈入网络 为确保将接入层流量馈入网络，要做到： 1接入层路由器所接收的

12、链接数，不要超出其与汇聚层之间允许的链 接数； 2如果不是转发到局域网外主机的流量，就不要通过接入层的设备进 行转发； 3不要将接入层设备作为两个汇聚层路由器之间的连接点，即不要用 一个接入层路由器同时连接两台汇聚层路由器。 控制访问 1由于接入层是用户接入网络的入口，所以也是黑客入侵的门户； 2接入层通常用包过滤策略提供基本的安全性，保护局部网段免受网 络内外的攻击。基本的过滤策略包括：严禁欺骗、广播源和直接广播，防 止直通的数据，标记数据的服务属性，关闭通道的其他边缘服务。 （2）主要功能 带宽共享、交换带宽、MAC层过滤、网段划分、访问列表过滤以及为 最终用户提供对园区网络访问的途径。

13、3.3 综合布线系统设计 3.3.1 总体设计说明 （1）数据的插座模块均选择超五类产品，语音及数据水平干缆选择超五类 UTP； （2）面板采用单孔或双孔 86 型面板； （3）数据干缆选择 5类 25对线缆； （4）管理间数据水平子系统配线架选择 24 口机柜式连接配线架，在考虑了 水平距离的限制的前提下，建筑物内应考虑设置一个配线间； （ 5）综合布线主机房设在建筑物内中间楼层。 3.3.2 信息点统计 満睹烷狂卢氓计眾 地下二議 tiff 50 3C 一楼 wrr 60 二、三喽 養厅 150 峯功能主滾室 600 500 180 丸.十儀 1&0 H十二犠 和 200 十三、十阿褪 2

14、00 +五*十片樓 SDO 血 240 2馭 图4酒店信息点统计 333工作区布线子系统设计 (1) 工作区子系统 工作区布线子系统由终端设备连接到信息插座的连线(或软线)组成， 它包括装配软线、适配器和连接所需的扩展软线，并在终端设备和I/O之间 搭桥。 在进行终端设备和I/O连接时，可能需要某种传输电子装置，但是这种 装置并不是工作区子系统的一部分。例如，有限距离调制解调器能为终端与 其它设备之间的兼容性和传输距离的延长提供所需的转换信号。有限距离调 制解调器不需要内部的保护线路，但一般的调制解调器都有内部的保护线路。 (2) 涉及器件 8601/8602朗讯单孔、双孔面板，此面板为英制

15、86型面板，带语音/数 据标识条，带弹簧门以防尘。 图5 86型面板 MPS100BH-26超五类模块，配合面板使用，此模块为标准的RJ-45接口, 兼容RJ-11接口，用于接插计算机网络线或电话线。 图 6 RJ-45 接口 那J:阱 Ilk自卢百 1 / 2 / 白 f ,L 4 xS Xff f f f f f T f I i i ti 8 -i li I I f / = = = = = = =. = = = * = 图 16 S5700-24TP-SI(AC)实物图 华为S5700-24TP-SI(AC)详细参数: 主要参数 产品类型 千兆以太网交换机 传输速率 10/100/1000

16、Mbps 交换方式 存储-转发 背板带宽 256Gbps 包转发率 72Mpps M /IAC地址表 16K 端口参数 端口结构 非模块化 端口数量 28个 端口描述 24 个 10/100/1000Base-T 端口，4 个 100/1000Base-X 千兆 Combo口 扩展模块 1个堆叠扩展插槽 传输模式 全双工/半双工自适应 功能特性 堆叠功能 可堆叠 网络标准 IEEE 802.3，IEEE 802.3u，IEEE 802.3ab， IEEE 802.3z，IEEE 802.3x，IEEE 802.1Q， IEEE 802.1d ，IEEE 802.1X VLAN 支持4K个VLA

17、N 支持 Guest VLAN、Voice VLAN 支持基于 MAC协议/IP子网/策略/端口的 QOS 组播管理 安全管理 VLAN 支持1:1和N:1 VLAN交换功能 支持对端口接收和发送报文的速率进行限 制 支持报文重定向 支持基于端口的流量监管，支持双速三色 CAR功能 每端口支持8个队列 支持 WRR DRR SP、WRQ SP、DRR+SF队 列调度算法 支持报文的802.1p和DSCP优先级重新标 记 支持 L2 (Layer 2 ) -L4 (Layer 4 )包过 滤功能，提供基于源 MAC 地址、目的 MAC地址、源IP地址、目的 IP地址、端口、协议、VLAN 的非法

18、帧过滤功能 支持基于队列限速和端口Shapping功能 支持 IGMP v1/v2/v3 Snooping 和快速离开机制 支持VLAN内组播转发和组播 多VLANM制 支持捆绑端口的组播负载分担 支持可控组播 基于端口的组播流量统计 用户分级管理和口令保护 支持防止DOS ARP攻击功能、ICMP防攻 击 支持IP、MAC端口、VLAN的组合绑定 支持端口隔离、端口安全、 Sticky MAC 支持黑洞MAC地址 支持MAC地址学习数目限制 支持IEEE 802.1X 认证，支持单端口最大 用户数限制 网络管理 其它参数 电源电压 电源功率 产品尺寸 产品重量 环境标准 支持 AAA认证，支

19、持 Radius、TACACS、 NAC等多种方式 支持 SSH V2.0 支持HTTPS 支持CPU保护功能 支持黑名单和白名单 支持堆叠 支持MFF 支持虚拟电缆检测(Virtual Cable Test) 支持端口镜像和 RSPAN(远程端口镜像) 支持Tel net远程配置、维护 支持 SNMPv1/v2/v3 支持RMON 支持网管系统、支持 WEE网管特性 支持集群管理HGMP 支持系统日志、分级告警 支持GVRP协议 支持MUX VLAN功能 AC 100-240V 40W 250X 180X 43.6mm 1.4kg 工作温度：0-50 C 工作湿度：10%-90% 存储温度：

20、-5-55 C 存储湿度：10%-90% 表 3 S5700-24TP-SI(AC)详细参数 3.5.4 路由器选型(cisco 3825c/k9 ) 图 17 cisco 3825c/k9 实物图 cisco 3825c/k9 详细参数: 基本参数 路由器类型 多业务路由器 网络协议 Cisco ClickStart， SNMP 传输速率 10/100/1000Mbps 端口结构 模块化 局 方域网接口 2个 扩展模块 1个小型可插拔（SFP）插槽+2个增强网络 模块（NME+4个高速广域网接口卡 （HWIC +2个高级集成模块（AIM）插槽+4个PVDM 插槽 包转发率 10Mbps： 1

21、4880pps 100Mbps： 148810pps 1000Mbps： 1488100pps 功能参数 防火墙 内置防火墙 Qos支持 支持 VPN支持 支持 其它参数 产品内存 256MB 电源电压 AC 100-240V，47-63HZ 电源功率 210W 典型功耗（不带任何模块）52W 产品认证 UL 60950，CAN/CSA C22.2 No.60950，EN 60950，AS/NZS 60950 环境标准 工作温度：0-40 C 存储温度：-40-70 C 湿度：5%-85%（非冷凝） 环境标准 工作温度：0-50 C 工作湿度：10%-90% 存储温度：-5-55 C 存储湿度

22、：10%-90% 表4 cisco 3825c/k9 详细参数 3.5.5 服务器选型(IBM System x3850 X5(7145N12) 图 18 IBM System x3850 X5(7145N12) 实物图 IBM System x3850 X5(7145N12)详细参数: 产品类型 企业级 基本参数 产品类别 机架式 产品结构 4U CPU类型 In tel至强 7500 CPU型 号 XeonX7560 CPU频率 2.266GHz 智能加速主频 2.666GHz 标配CPU数量 4颗 处理器 最大CPU数量 4颗 制程工艺 45nm 三级缓存 24MB 总线规格 QPI 6

23、.4GT/s CPU核心 八核 CPU线程数 16线程 主板 内存 存储 网络 扩展槽 内存类型 内存容量 内存描述 最大内存容量 硬盘接口类型 标配硬盘容量 硬盘描述 热插拔盘位 RAID模式 光驱 网络控制器 系统管理 管理及其它 系统支持 电源性能 电源类型 电源数量 电源电压 电源功率 7X半长PCI-E (2个热插拔) DDR3 32GB 8X 4GB 1066MHz DDR3内存 1TB SAS 584GB 4块146GB SAS硬盘 支持热插拔 RAID 0 , 1 , 5 DVD 两个千兆以太网卡 Alert on LAN 2，服务器自动重启，IBM Systems Direc

24、tor , IBM ServerGuide ，集 成管理模块(IMM),光通路诊断(单独供 电)，适用于硬盘驱动器/处理器/VRM/风扇 / 内存的 Predictive Failure Analysis, Wake on LAN,动态系统分析，QPI Faildown，单点故障转移 Windows Server 2008( Standard , Enterprise 禾口 Data Center Edition , 32 位和64位) 32 位和 64 位 Red Hat Enterprise Linux SUSE Enterprise Linux ( Server 禾口 Advaneed

25、Server ) VMware ESX Server/ESXi 4.0 冗余电源 2个 220V 1975W 表 5 IBM System x3850 X5(7145N12) 详细参数 3.6 IP地址、VLAN规:划 他店ip地址規划 部门 VLA1N 唱地址范碉 子网持討 VLAN2 192 16fl 2 2 19； 1&S 2 25$ 25$ 255255 D VLAN3-VLANa 192.166 3.3-192.&255 255 255.255 0 巾场tfi許部 VLftNO 1Q20 2 102 1M9 255 255 255 255 0 VLAN1O V9Z.168.102-1

26、92.108 10255 255 255 255 0 人力贸襯母 VLAN11 192.16fi 11 2-192 16B1J 355 255.255.255.fl VLAN12 192 1&6 12? 1921?25S 255 255 255 0 VLAN13 W2.iae25S2S5 25S0 VLAN14 172.16 2.2-172.16.2 255 255 255 0 0 图19 IP地址、VLAN规划 3.7网络安全策略 3.7.1 建立防火墙 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP 地址标准。它允许具有私有IP地址的内部网络访问

27、因特网。它还意味着用 户不许要为其网络中每一台机器取得注册的IP地址。 在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统 将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址 和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络 地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的 连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根 据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙 认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内 部计算机中。当不符合规则时，防火墙认为该访问是不安全

28、的，不能被接受， 防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的， 不需要用户进行设置，用户只要进行常规操作即可。 3.7.2网络保密措施 （1）堵住服务器操作系统安全漏洞 任何网络操作系统的安全性都是相对的，无论是UNIX还是NT都存在安 全漏洞，他们的站点会不定期发布系统补丁，系统管理员应定期下载，及时 堵住系统漏洞。 （2）注意保护系统管理员的密码 用户名和密码应当设置合理，口令应大小写混合，最好加上特殊字符 和数字，至少不能少于 16 位，同时应定期修改； 口令不得以明文方式存放在系统中； 建立帐号锁定机制，当同一帐号的密码校验错误若干次时，自动断开 连接并锁定该帐

29、号。 （3）关闭不必要的服务端口。 谨慎开放缺乏安全保障的端口：很多黑客攻击程序是针对特定服务和特 定服务端口的。 常用服务端口有： WEB 80，SMTP 25，POP3 110，可根据情况选择 关闭； 比较危险 （很可能存在系统漏洞 ） 的服务端口： TELNET 23， FINGER： 79，建议关闭掉。 对必须打开的服务（如SQL数据库等）进行安全检查。 （4）制定完善的安全管理制度 定期使用网络管理软件对整个局域网进行监控，发现问题及时防范。定 期使用黑客软件攻击自己的系统，以便发现漏洞，及时补救。谨慎利用共享 软件，不应随意下载使用共享软件。 （5）注意WEB艮务的安全问题 WEB

30、S程人员编写的CG、ASP PHP等程序存在的问题，会暴露系统结 构或使服务目录可读写，这样黑客入侵的发挥空间就更大。在给 WE冈艮务器 上传前，要进行脚本安全检查。 （6）警惕DOS攻击和DDO攻击 DOS攻击和DDO攻击可以使网站系统失去与互联网通信的能力，甚至于 系统崩溃。建议：如果有条件允许的话，可以使用具有 DoS和DdoS防护的 防火墙。 3.7.3 数据安全性和完整性措施 数据安全性和完整性就是数据的安全技术 为了解决上述问题，就必须利用另外一种安全技术 数字签名 PKI（Publie Key Infrastucture ）技术就是利用公钥理论和技术建立的 提供安全服务的基础设施

31、。 PKI 技术是信息安全技术的核心，也是电子商务 的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等 活动缺少物理接触， 因此使得用电子方式验证信任关系变得至关重要。 而 PKI 技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有 效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控 制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。 它必须充分考虑互操作性和可扩展性。 它是认证机构(CA)、注册机构(RA)、 策略管理、密钥(Key)与证书(Certificate 、管理、密钥备份与恢复、撤 消系统等功能模块的有机结合。 (

32、 1、认证机构 CA( Certification Authorty 、就是这样一个确保信任度的权威实体， 它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户 电子身份证明一证书，任何相信该 CA的人，按照第三方信任原则，也都应 当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被 伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码 学有关系，而且与整个PKI系统的构架和模型有关。此外，灵活也是 CA能 否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地 和其他厂家的CA产品兼容。 ( 2、注册机构 RA( Registration Authorty、是用户和CA的接口，它所获得的用户标 识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支 持远程登记。要确保整个 PKI 系统的安全、灵活，就必须设计和实现网络化、 安全的且易于操作的RA系统。 ( 3、策略管理 在