酒店计算机网络工程设计方案

1、 计算机网络系统2.1 系统概述在数字化、信息化不断发展的今天，各行各业都开始组建自己的网络系统，同国际接轨，希望能与那些同行业的国际公司抗衡。作为集娱乐与服务为一体的酒店宾馆也不甘落后，它们纷纷向着数字化、信息化、网络化方面发展，并建立一套完整的网络系统，为自己服务。 网络系统是酒店智能化建设的核心基础设施，目标是建设一个集数据、语音、视频服务于一体的高带宽、多功能、多服务、开放的、多业务接入的多媒体交换园区网。同时，本网络在建成后，除了满足自身的业务需求外，还能为后续酒店的各项提供一个优秀的支持平台。高尔夫酒店网络工程的计算机网络系统使用基于tcp/ip协议的以太网技术构建，采用核心层、接

2、入层的结构。本计算机网络系统主要采用全新构建，充分保障用户的投资。网络的核心层采用千兆核心交换机，汇聚层和接入层采用千兆接入、百兆安全智能交换机，并可管理到每一个端口。计算机网络系统的核心设在酒店首层的计算机中心机房，每个楼层按区域设置楼层配线箱，作为接入层设备放置点。对于酒店的大会议室、首层大堂公共区域等地方，将采用无线网技术进行全面数据通讯覆盖。计算机网络系统结构示意图如图所示。详细网络结构参看设计图纸的计算机网络系统图。计算机结构示意图计算机网络系统达到以下功能及特点：a)采用千兆以太网作为核心，体现系统高性能；高速无瓶颈连接b)合理规划vlan以对广播风暴实现隔离；支持vlan和三层交

3、换，使网络中的广播风暴大大减少，路由选择延迟大大降低，提高了整个网络的性能。c)可和dhcp服务器配合实现用户权限设定；d)整网方案实现对病毒传播进行有效控制；e)可网管可维护的设备，方便维护帮故障定位；提供snmp+websmart协议的网络管理解决方案。每一个交换机分配一个ip地址，能够管理所有的交换机。它具有稳定、安全、高效等优点。f)无线接入，随心所欲wlan可以在最短的时间内实现酒店的internet 接入，不影响酒店的正常营业，尤其是不影响酒店的装修布局。酒店客人可以在大堂、休闲吧、咖啡屋随时随地实现宽带上网，便捷办公或娱乐，从而经济有效地提高酒店的服务品质与商务档次，彰显酒店独特

4、商务品位。g)加强酒店网络安全通过acl技术隔离客房、商务部与酒店内部网的通信，使酒店内部管理网络（财务部，餐饮部，保安部等部门）与酒店对外网络（客房部，商务部等部门）不能互相访问，确保酒店内部业务及财务数据的安全。在酒店宽带接入处，放置防火墙设备，全面保障酒店内部网络安全。h)集中统一网管,网络扩容性强，可靠性高交换机全面支持酒店网络的扩展，包括设备交换容量的扩展、端口密度的扩展、主干带宽的，以及网络规模的扩展。2.2 用户需求分析酒店的计算机网络系统，不但使酒店内的办公人员能享有其应有的信息资源(包括数据，文本，语音，图像，视频)，而且使入住酒店的旅客能够享有相应的资源。同时要保证系统数据

5、的安全性与完整性，完成网上浏览、查询、订房、交易等功能，网络系统不仅能让用户高速接入internet，而且为其它的企业或个人提供拨入本信息网的能力。信息网的设计应考虑到安全性、可靠性和扩展性等要求。酒店计算机网络系统应采用先进的计算机和网络技术，构建一个高效的、安全可靠的、具备良好的扩充性能和易于管理的企业级酒店综合应用信息系统，使整个计算机业务处理系统达到高度的信息、资源共享，促进内部管理和风险决策科学化，从而大大提高工作效率，提高经营效益和整体管理水平。为此，我们必须考虑以下的设计准则：(1) 提供高性能的计算机网络系统，不仅能够完成满足目前应用对性能的要求，同时也为将来提供足够宽的性能空

6、间。(2) 提供高可靠集成环境，不仅保证数据中心服务器和数据的高可靠运转，同时保证主干从链路到设备的可靠联接。(3) 具备高度集成能力和广泛扩展能力的计算机结构以便将来的发展要求。(4) 应提供很强的internet 电子商务服务，这样可提高酒店的服务水平，使酒店职员和广大用户在任何时候和任何地点都可通过互联网登录到酒店的网络系统查询相关信息资源。(5) 具有很强的安全保护能力，从而有效地保护系统资源。(6) 提供非常易于管理的计算机网络系统环境,很强的、简单、灵活、实用、统一的管理功能,从而确保系统能持续、可靠、有条不紊地运行。(7) 总体结构基于流行的internet/intranet 技

7、术和设计思想。(8) 满足今后视频点播等多媒体应用的需要。根据客户的需求，我们在方案中将通过高品质ip核心网设计， 安全渗透防护设计，互联模块设计，网元、用户、审计全方位管理， ip地址与路由规划等进行全面规划建议。2.3 设计原则和设计目标计算机网络系统设计必须适应当前学校各项应用，又可面向未来信息化发展的需要，因此必须是高质量的。在设计网络时，需要遵循以下原则和目标：1实用性和先进性采用先进成熟的技术满足高尔夫酒店的业务需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的

8、需要。2安全可靠性为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。3灵活性和可扩展性计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据业务的不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。4开放性和互连性具备与多种协

9、议计算机通信网络互连互通的特性，确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。5经济性和投资保护应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留延长已有系统的投资，充分利用以往在资金与技术方面的投入。6可管理性由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采用智能化，可管理的设

10、备，同时采用先进的网络管理软件，实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障2.4 计算机网络系统的选型根据用户需求和我公司类似的工程经验，本方案选用h3c的计算机网络产品。2.5 方案设计2.5.1 核心层-ls-3600-28p-ei交换机网络核心层的目的在于完成分布于不同区域、逻辑组的路由最优化通信，即实现各汇聚层区域间数据的快速转发，以及与教育网和互联网的互连互通。当前，对于网络中心的技术选择从宏观上

11、来说，对如下几个方面的要求尤为突出：l i/o 接口的丰富，一个网络中心首先应该具有多种接入能力，它不仅仅可提供支持各类型的千兆端口，还需要提供万兆端口之类接口。这样才能保证网络中心的技术领先性，保证用户的投资不被浪费。同时我们还应该关注端口密度，这意味在单位面积内可提供更多的接入服务，对于用户的投资保护具有非常重要的意思。l 线速的路由交换能力（三层交换）。一个网络中心，是所有网络应用的核心枢纽，在局域网系统中使用独立的路由器，不单降低系统性能，同时还增加恶劣系统的复杂性。路由交换机应具备支持各种通用的路由协议、对于风暴处理的良好保障措施。在处理能力方面，不但需要提供二层的线速处理能力，还应

12、提供线速的三层处理能力，以达到端口密度要求的同时保证整机性能。因此，系统需具备很高的性能。l 对于qos 的保障能力。qos 的保障通常分为两种方式，一种通过软件实现，一种通过硬件实现。使用软件实现只能从原理上解决qos 的要求，但在实际应用中，由于对系统资源耗费严重，故往往根本不能实际应用。通常采用硬件端口队列解决qos，通过区分不同的业务（如：视频业务、语音业务、app 业务等）将不同的业务放入不同的硬件队列，不单可以对关键业务提供良好的服务级别保护，同时还可以降低系统整体开销。l 多业务集成应用：核心交换机应该有良好的扩展性，能够以增加插卡的模式实现丰富的业务特性。通过内置的高性能防火墙

13、，可以把防火墙的功能与核心交换机集成在一起，充分利用了核心交换机的高可靠性和高稳定性以及高背板带宽；同时由于这种内置防火墙方式的网络流量的路径清晰，简化了网络架构；通过防火墙插卡，还能够实现对核心交换机流量的细致管理。通过集成内置的无线管理控制器模块，可以实现有线、无线一体化管理，同时可以充分利用核心交换机的高可靠性和高稳定性。在核心层，选用了ls-3600-28p-ei交换机，该交换机是h3c的中高端产品，拥有非常高的性能。我们为酒店选配了高性能的第二代引擎，充分满足酒店的发展需要。核心层配置一台ls-3600-28p-ei核心交换机。ls-3600-28p-ei支持丰富的业务插卡。目前支持

14、的包括：流量分析插卡、高性能防火墙插卡、nat插卡、无线控制器插卡。h3c 7500系列交换机产品概述ls 3600系列交换机是h3c公司面向以业务为核心的企业网络架构而推出的新一代高端多业务路由交换机。该产品基于h3c公司自适应安全网络的技术理念，在提供稳定、可靠、安全的高性能l2/l3层交换服务基础上，进一步提供了业务流分析、基于策略的qos、可控组播等智能的业务优化手段，从而为企业it系统构建面向业务的网络平台，实现通信整合，数据整合奠定了基础。ls 3600系列交换机作为h3c公司自适应安全网络的核心产品之一，可广泛的适用于ip城域网、大型企业园区网、中小型企业办公网络的核心层和汇聚层

15、，同时其也可以作为以太无源光网络（epon）的光线路终端（olt）设备，为用户提供多种业务接入、交换、路由一体化的安全融合网络解决方案。ls 3600系列交换机支持高达768g交换容量的高速引擎，包括以下4款产品： 产品特点ls 3600系列业务路由交换机作为面向以业务为核心的新一代it系统基础网络设备，从产品的形态、系统结构的设计、以及产品的性能、可靠性、安全性、扩展性和业务功能等方面都领先于业界同级别产品。l全兼容、模块化系列产品ls 3600系列交换机目前提供s7502（2槽）、s7503（4槽）、s7506（7槽）、s7506r(8槽)4款模块化产品，可以满足不同规模企业不同网络层次的

16、应用需求，同时这些模块化机架式交换机采用统一的硬件和软件平台，完全兼容的引擎和接口板，以及相同的软件版本，可以适应不断发展的企业网络，充分保护用户的投资。l分布式业务处理体系结构ls 3600系列交换机采用先进的全分布式体系结构设计，通过主引擎和分布式高速业务接口板上内置的crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发，通过分布式高速业务接口板上内置的高性能cpu与位于主控引擎上的cpu协同工作，实现acl、流分类、qos、组播等业务的全分布式处理。l强大的l2/l3转发性能ls 3600系列交换机拥有交换容量分别为96gbps、384gbps、768gbps的三种全兼容

17、的高速引擎，分别提供72mpps、198mpps、432mpps的数据转发能力，最大可以提供292个ge或24个10ge，使大型企业网、校园网络核心层、汇聚层网络全面升级至万兆平台成为可能。 l电信级、自适应的可靠性设计ls 3600系列交换机支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔，并可以支持stp/rstp/mstp/vrrp等协议实现链路冗余，同时s7500系列交换机支持基于硬件的rpr弹性分组环和基于软件的快速环网保护技术，分别可以提供50ms和亚秒级别的链路故障业务快速恢复手段，这些使得以s7500系列交换机为核心的骨干网络可靠性大大提高，保障了业务

18、的永续性。 l完善的自适应网络安全特性ls 3600系列交换机遵从最小服务原则，所有可能遭受到攻击的网络服务在默认情况下均关闭。支持安全的ssh登陆、基于用户安全策略的snmp v3、mac+ip+vlan绑定、802.1x认证等安全策略。支持防网络风暴攻击、防dos/ddos攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。支持h3c ead端点安全防御解决方案。支持内置的防火墙安全模块。 l丰富的多业务支持ls 3600系列交换机支持强大的组播功能、灵活qinq、802.1x、内置dhcp-server、nat、pbr、poe+voice vlan、epon等多种业务特性

19、，这些业务特性极大的提高了企业网络业务部署的简便性和灵活性，同时增强了对ip语音、视频、wlan的支持能力，为企业it系统实现通信整合提供了便利。基于 “asic+np”的体系结构，可以灵活的支持业务功能的不断扩展，通过多功能网络处理器模块，可以进一步支持nat、pbr等多种高级业务特性。支持cwdm和单纤双向光模块，可以在1对光纤上承载8个千兆收发业务或在1根光纤上同时承载收发业务，有效节省光纤资源。 l特色的网络流量分析功能 ls 3600系列交换机可以支持netstream（网流分析）功能，通过netstream与h3c xlog网络分析器相互配合，可帮助网络管理员轻松的获得详细的网络应

20、用信息，使网络系统变得透明、可见。例如查看web、文件传输协议(ftp)、telnet和其它著名的tcp/ip应用所占通信资源的百分比，以及用户利用网络和应用资源的详细情况，进而用于高效地规划和分配资源，并保障网络的安全运营。l人性化的运营维护管理特性 ls 3600系列交换机支持集群管理，可以对网元进行批量配置和批量升级，实现acl/vlan的动态策略下发，同时h3c网络管理平台可以实现拓扑管理、可视化图形界面、智能化性能监控、告警管理等功能，这些有助于提高网络管理人员的效率、缩短网络故障及维护扩容的时间。2.5.2 楼层接入层-h3c s3600系列交换机接入层主要负责为用户提供网络接入服

21、务，接入交换机的设置在楼层配线箱内，根据综合布线系统的结构管理水平信息点。结合不同的环境，主要采用二种类型的接入型交换机：24口百兆交换机、48口百兆交换机。所有接入交换机均支持通过千兆链路上联到核心层交换机，并可根据距离选择光纤链路或铜缆链路。在接入层，选用了h3c s3600交换机，该交换机具有采用创新的irf技术，在安全可靠、多业务融合、易管理和维护等特点。h3c 3100系统交换机产品概述h3c s3100系列交换机是h3c公司基于itoip理念设计和开发的智能弹性以太网交换机。系统采用创新的irf技术，在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案，是理

22、想的办公网、业务网和驻地网的汇聚、接入交换机以及中小企业、分支机构的核心交换机。l s3100-28tp-si：24个10/100base-tx以太网端口，2个1000base-x sfp千兆以太网端口，2个10/100/1000base-t以太网端口； s3600-28tp-sih3c s3100系列交换机分为si和ei特性版本。si版本支持高级qos、acl功能、基本三层路由（静态/rip）和irf基本功能(单一ip管理)，ei版本支持更加丰富和完备的企业特性，包括基于硬件的ip单播路由、组播路由和全部的irf特性。产品特点 弹性扩展技术-irfh3c s3100系列交换机采用h3c公司创

23、新的irf（ intelligent resilient framework）智能弹性技术，与传统组网技术相比，在扩展性、可靠性、整体架构的性能方面具有强大的优势： l扩展性irf技术允许交换机利用互联电缆实现多台设备的扩展，最大扩展至384个10/100m端口；具有即插即用、单一ip管理，同时大大降低系统扩展的成本。l可靠性通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发，极大的增强了堆叠架构的可靠性和性能，同时消除了单点故障，避免了业务中断。l分布性通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和

24、链路资源的利用率。 完备的安全策略当前的园区网面临着越来越多的安全威胁和挑战，如何实现安全的接入控制，防止病从口入？如何对攻击源进行定位和反查？如何监控网络中的各种流量并进行分析控制？h3c s3600系列交换机在安全策略方面为用户提供全新的技术特性和解决方案。传统的802.1x认证方式只解决了用户的权限问题，对用户终端的安全状态无能为力，病毒可以通过合法用户的感染终端进入网络系统和应用系统。h3c s3600系列交换机支持ead（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查

25、、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。传统交换机对端口的镜像功能都是基于本地实现，镜像数据流无法穿越网络在核心实现统一采集、监控和分析；h3c s3600支持跨交换机的远程端口镜像功能（rspan），可以将接入端口的流量镜像到核心交换机（例如s9500/7500）上，在核心上启动网流分析（netstream）功能，配合xlog系统对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。传统行业和园区网采用dhcp技术后极大简化了网络地址的分配和管理。但同时，在一个不安全的园区

26、网中（如校园网），存在恶意地址欺骗、擅自修改ip地址、私设dhcp server等安全事件和隐患。h3c s3600系列交换机提供dhcp snooping（侦听）功能，通过建立和维护dhcp snooping绑定表实现侦听接入用户的mac地址、ip地址、租用期、vlan-id 接口等信息，解决了 dhcp用户的ip和端口跟踪定位问题。同时对不符合绑定表项的非法报文（arp欺骗报文、擅自修改ip地址的报文）直接丢弃，保证dhcp环境的真实性和一致性。同时利用dhcp snooping的信任端口特性可以保证dhcp server的合法性。h3c s3600系列交换机还支持特有的arp入侵检测功能

27、，可有效防止黑客或攻击者通过arp报文实施日趋盛行的“arp欺骗攻击”，对不符合dhcp snooping动态绑定表或手工配置的静态绑定表的非法arp欺骗报文直接丢弃。同时支持ip source check特性，防止包括mac欺骗、ip欺骗、mac/ip欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的dos攻击。 多业务融合能力按业务类型大致分成数据、语音、视频、多媒体等，不同的业务对基础网络的要求,比如带宽、优先级、延时、端到端的qos保证等，如果这些都需要手工进行设置和调整,那么网络的适应能力无从谈起，因此itoip的基础网络应该是对业务变化自动感知和自动适应的系统，对业务需要的网络参数能

28、够自动生成、自动下发、自动调整和自动优化。例如对于语音业务来说，大量的ip phone的部署需要配置和远程供电，h3c s3600系列交换机通过支持voice vlan技术和智能poe技术很好的解决了该类设备的智能检测、供电和优先级的调整问题。voice vlan技术是指交换机通过识别端口的语音流，将对应的接入端口加入voice vlan（专用语音vlan）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置voice vlan安全特性，只允许语音流量通过，可以有效防止突发数据流量对voice vlan内的语音流量的冲击。poe（power over

29、 ethernet）技术是指通过以太网对所连接的设备（如ip phone, wireless ap等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。poe技术符合802.3af标准，通过以太网电口对外供电，采用数据线提供-48v直流电源。当pd设备插到端口上后，交换机将自动对pd设备进行检测，进行功率分类，并根据当前剩余电源、端口供电优先级的配置、端口最小功率配置等参数，决定是否对此设备供电以及分配功率。通过poe技术和voice vlan技术的结合可以提供完整的语音设备管理方案。 高可靠性设计h3c s3100系列交换机除了支持高可

30、靠性的irf技术以外，还支持传统的stp/rstp/mstp和smart link二层链路保护技术，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。 支持vrrp虚拟路由冗余协议，与其他三层交换机构建vrrp备份组。构建故障时的冗余路由拓扑结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持ecmp（等价路由），通过配置多条等值路径实现上行路由的冗余备份和负载分担。采用交流/直流双输入设计，设备既可以采用交流电源输入，也可以直流电源输入，二者之间热备份。 简单易用的管理维护h3c s3100系列交换机支持vct（virtual cable test）电缆检测功能，便于快速定位网络

31、故障点。支持dldp（device link detection protocol，设备连接检测协议），可以监控光纤的链路状态。如果发现单向链路存在，dldp 协议会根据用户配置，自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。支持snmp v1/v2/v3，可支持open view等通用网管平台，以及imc智能管理中心。支持cli命令行，web网管，telnet，hgmp集群管理，使设备管理更方便。通过各种开放的标准mib和扩展mib的支持可以提供完善的基于snmp的第三方管理能力。2.5.3 无线接入-h3c wa1208e无线接入主要为酒店的公共区域、大堂和大型会议室等开放式环

32、境提供数据接入，由于大堂公共区域不是很多，为了方便统一管理和规划，本系统将采用胖无线的方式设置，即通过设置无线ap方式进行统一的管理与配置，使用户可以在整个无线网络覆盖的区域内自由穿梭并具有良好的数据传输质量。 产品概述h3c wa1208e是杭州华三通信技术有限公司自主研发的新一代定位于企业运营网络的无线接入点系列设备。支持802.11i安全机制、802.11e edcf qos机制、802.11f切换机制，并提供了如虚拟ap、pppoe认证，mac认证等多类型认证方法共存、多样化的计费策略、多层次的安全策略、全面的二层特性、丰富的管理维护手段等强大的可运营、可管理能力。产品特点l标准：支持

33、ieee802.11a、802.11b、802.11g、802.3、802.3u、802.3af；l数据速率：自动侦测联机速度支持54mbps、48mbps、36mbps、24mbps、18mbps、12mbps、11mbps、9mbps、6mbps、5.5mbps、2mbps、1mbps；支持super a和super g模式下的108mbps速率；l虚拟ap：支持多ssid区分网络，便于安全策略、服务质量策略的隔离或多运营商共同运营；l空口安全：支持64/128 wep加密；支持tkip加密；支持802.11i，支持aes加密；支持加密方式与ssid的绑定；支持essid隐含功能；l服务质

34、量：无线支持802.11e edcf；以太网口支持802.1p；支持优先级队列；支持流量限制（car）；支持流分类；支持ssid/vlan绑定qos策略；lwds：支持ptp、ptmp工作模式；支持连接速率锁定、传输报文整合，提高传输效率；l二层策略：支持二层转发抑止、ssid隔离、wan接口mac地址过滤、acl控制用户接入；支持mac地址学习；支持生成树功能；支持基于多种策略的vlan标记，支持链路完整性；l三层转发：支持静态ip地址；支持dhcp获取ip地址；支持静态路由；l负载均衡：支持基于用户数的负载均衡、基于流量的负载均衡；l多种认证：支持pppoe，802.1x，mac地址认证等

35、多种认证方式；l性能检测：支持基于ap的性能监测，包括用户列表、流量等统计信息显示等；l输出功率：支持输出功率最大500mw、多级功率可调；l接收灵敏度：接收灵敏度达到-97dbm，可以保证覆盖更大距离；l供电模式：支持poe（-48v远程供电）、支持本地供电；l可 靠 性：设备上电自检，升级失败保护，支持硬件watch dog；l可管理性：支持snmp、web、telnet对ap的故障、配置、重启等管理；l升级维护：支持各种安装方式、支持软件远程升级以及配置文件上传下载；l工作模式：适用于多种应用场合，既可提供接入功能，也可以提供桥接功能，或两种功能同时提供。2.5.4 防火墙-h3c se

36、cpath f100-s根据具体应用需求，考虑到目前的网络环境。因此,结合具体的情况,本方案选用1台h3c secpath f1000-s硬件防火墙来实现安全网络与访问控制。产品详细介绍可扩展高性能防火墙h3c secpath防火墙/vpn是业界功能最全面、扩展性最好的防火墙/vpn产品，集成防火墙、vpn和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。h3c secpath f1000系列防火墙支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用aspf（application specific packet filter）应用

37、状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种vpn业务，如l2tp vpn、gre vpn 、ipsec vpn、动态vpn等；支持rip/ospf/bgp/路由策略及策略路由；支持丰富的qos特性，提供流量监管、流量整形及多种队列调度策略。产品特点 扩展性最强基于h3c 先进的oaa开放应用架构，secpath防火墙能灵活扩展病毒防范、网络流量监控和ssl vpn等硬件业务模块，实现2-7层的全面安全。 强大的攻击防范能力能防御dos/ddos攻击（如cc、syn flo

38、od、dns query flood、syn flood、udp flood等）、arp欺骗攻击、tcp报文标志位不合法攻击、large icmp报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、mac绑定、内容过滤等先进功能。 增强型状态安全过滤支持基础、扩展和基于接口的状态检测包过滤技术；支持h3c特有aspf应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。 丰富的vpn特性集成ipsec、l2tp、gre和ssl等多种成熟vpn接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。 应用层内容过滤可以有效的识别

39、网络中各种p2p模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供smtp邮件地址、标题、附件和内容过滤；支持网页过滤，提供http url和内容过滤。 全面nat应用支持提供多对一、多对多、静态网段、双向转换 、easy ip和dns映射等nat应用方式；支持多种应用协议正确穿越nat，提供dns、ftp、h.323、nbt等nat alg功能。 全面的认证服务支持本地用户、radius、tacacs等认证方式，支持基于pki/ca体系的数字证书（x.509格式）认证功能。支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，

40、对于不同级别的用户赋予不同的管理配置权限。 集中管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。2.5.5 ip地址和vlan策略为了提供优质的服务，有效地利用宝贵的ip地址资源，ip地址必须仔细的划分。酒店的网络系统既作为intranet供内部使用，同时又为广大用户提供web站点访问服务，因此，我们对ip地址进行如下划分：ip地址分为两类：外部地址：从城市公众信息网获得合法的ip地址块。内部地址：内部自定义的ip地址，根据管理和发展需要，选择b类地址。使用方法：1系统容纳了众多服务器和管理设备，共需要约1015个ip地址，给予一定量的ip地址，用于主机设

41、备和接入用户。2对于广域网接口的ip地址，在接入因特网时，由选择的网络运营商提供。3. 使用网络地址转换（nat）技术，利用静态方式映射公开ip地址和内部服务器地址，为保护重要的计算机设备，将主（备份）服务器放在内部网中，与外部的web服务器等通过nat实现。4内部工作站在访问internet时，由防火墙系统动态地将内部地址影射为预留的公开地址，不但充分利用了ip地址，还保护内部系统免受非法访问。虚拟网技术（vlan）是近年来兴起的一项新技术。在虚拟网环境中，可以通过划分不同的虚拟网来控制处于同一物理网段中的用户之间的通信。高尔夫酒店的网络系统划分如下网段进行管理：网段：1酒店管理网段2办公网

42、段3客人上网网段4员工上网网段5一卡通系统网段6防火墙网段2.5.6 网络安全及防arp策略网络安全的管理是一个系统化的工程，网络的安全涉及到系统中的各个层面，其中从横向区分，可分为基于网络层的安全、基于ip 层的安全、基于tcp 层（传输层）、基于os 层、基于db 层、基于app 层（到桌面级）等等。日后，网络安全将成为网络的一部分，安全已经和网络密不可分，安全无处不在。今后的计算机网络不但要具有保护网上主机系统、网上终端系统、网上应用系统的能力，还要网络本身具有自我保护的能力，自我防御能力、自我愈合能力，一旦受到网络蠕虫、网络病毒的侵扰甚至网络攻击时，能够快速反应，做到网络能够发现攻击，

43、发现病毒、消除蠕虫，做到即保护网络应用的同时，又保护了网络自身。酒店网络面临的安全威胁大体可分为两种：一是对网络数据的威胁；二是对网络设备的威胁。这些威胁可能来源于各种各样的因素：可能是有意的，也可能是无意的；有可能是来源于外部的，也有可能是酒店内部人员造成的。总结起来大致有以下几种威胁：1非人为、自然力造成的数据丢失、设备失效、线路阻断。2人为但属于操作人员无意的失误造成的数据丢失。3来自外部和内部人员的恶意攻击和入侵。前面两种威胁的预防我们是通过冗余链路、关键点备份以及数据的灾难恢复等手段进行防范来设计的。最后一种是网络所面临的最大威胁，也是网络安全必须解决的问题。对高尔夫酒店的网络安全采

44、取以下几种手段进行防护：1硬件端口隔离 核心交换机和楼层交换机自带端口隔离，对于数据起到直接保护的作用，硬件端口隔离是最直接也是最有效的手段。2虚拟子网的划分利用虚拟子网的路由隔离，按照不同的策略划分子网，以保证内部网络的安全。交换机的每个端口被划分到不同的子网，属于同一个交换机的端口如果被划分到不同的子网，不被授权端口之间也不能直接发生通信。交换机根据每个到达数据包的记录来判断其归属并予以转发。3防火墙技术 为高尔夫酒店的网络系统设置了防火墙，设置在核心交换机与internet之间，防火墙技术的运用是十分必须的，用以保证整个酒店网络的安全。4在接入层设置防御arp攻击交换机要防御arp攻击，

45、就必须能够识别并读取arp报文内容，然后根据报文内容判断是否存在欺骗攻击行为，对于arp欺骗报文进行丢弃处理。在接入层进行arp防御攻击设置。2.5.7 用户管理系统-h3c imc智能管理平台在用户管理方面，需要实现酒店网络的可运营、可维护，我们采用了h3c imc 智能管理平台作为用户管理中心。产品概述h3c专注于ip产品与相关技术的研发、生产和销售，具备完善的产品技术、客户服务、渠道、认证培训体系，为您提供客户化、特性丰富、性价比高的网络产品与解决方案。作为业界领先的网络设备与解决方案供应商，h3c凭着对网络及网络管理的深入分析和理解，凭着对客户需求的深入理解，推出了基于itoip解决方

46、案完整的管理平台，提供包括网络管理、用户管理、业务管理等全面的管理解决方案：h3c智能管理中心（h3c intelligent management center，以下简称h3c imc）。h3c imc是h3c itoip解决方案的统一管理中心，基于soa架构，采用灵活的组件化设计，支持与hp openview、snmpc等通用网管平台的集成，支持集成各多厂家设备管理系统，与h3c的数据通信设备产品一起为用户提供全网解决方案，帮助客户真正实现网络的按需构建。产品特点h3c imc智能管理平台是imc的业务承载平台，实现资源、用户和业务的融合管理，提供网络资源管理、拓扑管理、故障管理、性能管理

47、、用户管理及系统安全管理，基于b/s架构，可以与h3c imc 其他业务组件有效集成，形成多种解决方案。v 可扩展的分布、分级系统架构 支持分布式部署框架，实现业务分布式部署，提高系统整体处理能力 支持集中部署和分布式部署，可以根据管理网络的规模、管理业务多少、服务器硬件配置情况等因素选择部署方式 实时监控系统运行状态，包括服务器cpu、磁盘、内存等利用率的监视，imc所有业务处理进程状态的监视，业务组件运行状态监视支持分级网络管理，实现分层、分域网络的层次化管理 支持多级网络的层次化管理，上级网络实时监控下级网络运行状态，必要时上级网络管理员可以参与下级网络故障的解决 下级网络管理员可以有过

48、滤性的定制上报给上级网络的故障信息，减少网络两级管理的复杂性，同时又可以实时监控全网情况 下级网络可以设定上级网络管理员访问本级网络的权限和管理的范围，保证整网运行状态监控的同时，实现网络的分权管理v 丰富、可定制的资源管理 提供资源、用户、业务的融合管理框架，实现网络一体化管理 实现网络资源、存储资源、计算资源的统一管理，包括路由器、交换机、安全网关、语音设备、ups、存储设备、监控设备、服务器、无线设备、打印机、pc等的管理 支持对主流厂家设备，包括h3c、cisco、huawei等的统一管理，并且，用户可以自己定义设备厂商、系列和型号，以更好的管理不同厂家的系列设备 实现资源、基于资源运

49、营的各类业务及使用资源和业务的人（用户）有效融合和联动，用户可以按实际要求定制任何全网业务流（business process），将网络管理从单一的功能管理转化为基于业务流的管理 支持业务的无限扩展和融合，实现基于资源的业务扩展机制自动识别多种设备类型 灵活、快捷、准确的自动发现算法，方便管理员对已有网络的快速管理 提供基于h3c专利的发现算法，不仅提供了快速自动发现方式，还提供了四种高级自动发现方式，包括路由方式、arp方式、ipsec vpn方式、网段方式等，能快速、准确地发现网络资源 支持自动计算网络拓扑，能够准确计算和描绘物理网络结构多种自动发现方式 支持不同网络视图管理，方便从不同角

50、度管理网络 支持ip视图、设备视图、自定义视图、下级网络视图等多种管理视图，用户可以从不同角度实现整个网络的管理 支持各种视图下各类资源的管理和实时状态的监控 支持各种视图自动网络拓扑生成及状态监控v 真实、直观的拓扑管理 真实、直观的网络拓扑和业务拓扑管理 支持ip拓扑、自定义拓扑、及各类业务拓扑（包括mpls vpn拓扑、ead终端拓扑、无线网络拓扑、epon拓扑等）的统一管理和展示 支持增强的二层拓扑，基于ip的三层拓扑，实现同一个vlan或者网段内部pc与网络设备、二层网络设备之间的互连关系，更方便直观的体现了网络中设备的互联关系 支持等长链路布局、树型布局、星型布局、环型布局、网格布

51、局及手工布局等多种拓扑布局方式 通过拓扑实时展示网络设备及链路状态，实时定位网络故障 支持各种拓扑自动计算能力，通过定时自动发现功能识别网络结构的调整，并能够根据实际网络结构计算并调整网络拓扑结构 支持直接通过拓扑管理网络设备及链路，包括设备web网管管理，设备面板管理，管理、去管理，同步设备状态，浏览设备告警、性能及配置数据，监控接入设备接入用户安全状态监控，监控链路状态，监控网络流量实时和历史数据等 真实、直观的设备面板管理 支持设备面板管理，所见即所得的显示设备的资产组成和运行状态 支持各种网络视图、设备详细信息、网络拓扑等多种操作入口，方便管理v 智能的故障管理 完备的告警和故障管理机

52、制及管理流程 通过：“告警发现上报深度关联分析与统计实时告警通知故障解决固化经验”完整的故障管理流程实现实时监控网络运行状态、及时排除网络故障，保证网络正常 通过固化经验形成完整知识库，为快速排除故障积累经验 丰富的告警类型和告警通知机制 支持包括设备告警、本级网管站及下级网管站告警、通断告警、响应时间告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等多种告警源和告警类型，对上报告警进行分析，关联提取管理员关心的内容及时告警 支持对cisco、3com、huawei、h3c等多厂家告警的识别和解决，支持扩展未知厂家告警类型 支持重复事件阈值告警、闪断事件阈值告警

53、、未知事件阈值告警、未管理设备告警阈值告警、自定义事件过滤规则、自定义告警规则等多种告警事件的提取和关联分析后生成不同级别的告警（告警共分成紧急、重要、次要、警告、事件5个级别；在浏览数据窗口，分别以红色、橙色、黄色、蓝色、灰色五种颜色进行显示），将管理员从繁多的告警事件中解脱出来，避免产生告警风暴，让管理员能专心关注告警的根源 提供包括实时远程告警（手机短信、email告警）、声光告警板集中告警（按告警类型分类告警）、实时告警通知与确认、多种系统快照、拓扑实时展示告警等多种实时告警机制，为管理员从多角度实时监控网络状态v 方便易用的性能管理 一目了然的网络性能指标 支持对cpu利用率、内存利

54、用率、带宽利用率、设备响应性能、设备不可达等是网络性能指标的监视，支持topn统计排序，使用户能一目了然当前网络中的性能瓶颈问题 提供各类常用性能指标的缺省采集模板，同时支持性能指标定义和扩展，满足管理员按需监视的要求 支持饼图、折线图、曲线图等多种图形方式，直观地反映性能指标的变化趋势；提供灵活的组合条件统计和查询；性能报表支持导出html、txt、excel、pdf格式文件： 实时性能告警 支持实时性能监视，当链路或端口的流量超过阈值，系统将会发送性能告警，使网络管理人员可以能够及时了解网络中的隐患，及时消除隐患。同时为故障定位提供手段； 支持对每一个性能指标设置两级阈值，发送不同级别的告

55、警。管理员可以根据告警信息直接了解到设备指标的性能情况，帮助管理员随时了解网络的运行状态，预测流量发展趋势，合理优化网络 宏观诊断网络性能 提供详实的历史统计和分析数据，从宏观角度发现网络瓶颈，为网络扩容、及早发现网络隐患提供保障v 完备的系统安全管理 严谨、灵活的操作员安全策略 支持操作员鉴权功能，不同操作员可以设置不同的访问权限，实现管理员、维护员和查看员拥有不同的访问权限 提供访问控制模板设置功能，约束操作员可以登录的终端机器的ip地址范围，避免恶意尝试另人密码进行登录的行为存在 提供密码控制策略设置功能，约束操作员密码组成要求，包括密码长度、密码复杂性要求、密码有效期等，以约束操作员定期修改密码，并对密码复杂性按要求设置 支持管理员为操作员制定密码控制策略，操作员仅能按照指定的策略定期修改密码，以保证访问系统的安全性 灵活的分组、分级权限管理 支持管理员通过设备分组、用户分组的设置，可以为操作员指定可以管理的指定设备分组和用户分组，并指定其管理权限和角色，包括管理员、维护员和查看员，实现按角色、分权限、分资源（设备和用户）的多层权限控制 提供设置下级网络管理权限，可以通过限制登录下级网络管