酒店计算机网络设计方案

酒店计算机网络设计方案

1.1.1.网络结构设计原则

层次化设计原则：将网络系统划分层次，分清各层主要功能，建立合理的网

络结构，是网络系统设计成功的关键。合理清晰的层次划分和设计，可以保证网

络系统的骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。

酒店内部局域网外网INTERNET之间使用一台防火墙隔离，主要是核心节点

通过防火墙与INTERNET互联。

网络的结构和性能优化：网络结构的IP优化。网络体系结构以IP为设计基

础，体现在网络层的层次化体系结构。

—IP路由协议的优化；

—TP包转发的优化。提供高速路由查找和包转发机制；

一带宽优化。在合理的QoS控制下，最大限度的利用光纤的带宽；

选择•个开放性、标准化的网络体系结构，以支持各种异构计算机网之旬的

互连。

网络体系结构要求采用TCP/IP体系结构。

考虑到技术发展的成熟度，以及网络建设要有适度的超前性，因此网络体系

需要支持IPv6,建设一个支持IPv4/IPv6的双协议栈网络

IP地址

根据酒店网的发展规模、网络层次结构、路由策略，申请适合的IP地址。

可以尽可能申请到IPv6地址。

管理

在CNSec密钥和证书管理系统中，根据安全级别及职责将管理员划分为三类:

•系统管理员

负责系统核心密钥与证书管理中心的建立、管理。系统用户在系统安装时产

生，通过系统用户控制界面直接与密钥与证书管理中心连接，进行操作，对整个

系统负责，但他没有其他类型管理员的一般操作双限。他的职责包括：

系统安装及初始化

系统服务的启动和停止

系统数据库备份

验证数据库有效性和完整性。

系统数据库恢复

恢复超级管理员

更改算法

把密钥移植到硬件

系统配置管理（是否自动启动服务、是否自动备份数据库等）

守寺

1.1.2.XXX酒店网络总体设计

我公司设计XXX酒店网络系统，采取二层拓扑结构设计。网络层次结构图如

下:

常州（武进）新城市广场假日酒店网络拓扑结构图

Internet

।附楼二楼

主楼1楼

主楼5楼主楼6楼LS'f

百—千

根据各楼层信息点的分布情况，设计采用比威网络推出的基于业界成熟的高

性能ASIC交换技术的基础上开发出来的新一代，高密度，高性能，全千兆无阻

塞智能多层交换机BitStream75051台，采用15台具有先进深度感知技术

（SFLOW技术）,支持IPv6,自带堆叠模块,拥有4个千兆口的24/48口接入交

换机BitStream3228TGS/BitStreani3252TGS。

由于每台接入交换机BitStream3228TGS和BitStream3252TGS均自带二个高

速堆叠模块，均有二个SFP口和二个千兆电口，因此在组网上完全可以实现灵活

搭配，混和堆叠。

以上设计采取冗余设计，根据用户需求和综合布线实际情况，可采用优化设

计方案进行调整，即根据楼层综合布线的分配线间，将交换机采取混和堆叠的方

式，既节约布线的材料，便于布线管理，也便于交换机管理维护，也节约成本。

1.1.3.网络核心层设计

＞网络核心层设备要求

核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点

通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上

实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的网

络设备的性能对于整个网络系统来说是至关重要的。

＞网络核心层设计说明

高带宽

核心支持万兆，以满足大型网络以及新应用对带宽的需求

高可靠性和冗余性：

1)核心设备具有高的可靠性和冗余性

2)核心层通过冗余协议提供链路冗余

密集用户接入

接入交换机具有堆叠功能，可以满足密集用户的接入，并且提供高的性能:

ACL(L2-L4)＞堆叠、集群、PrivateVian、802.lx.Sflow、组播、丰富的Qos

控制功能、带宽限制、广播风暴抑制等等。

＞核心层设备选型

比威网络BitStream7505比威网络推出的基于业界成熟的高性能ASTC交换

技术的基础上开发出来的新一代，高密度，高性能，全千兆无阻塞智能多层交换

机，作为千兆核心多层交换机，提供了多层交换能力和线速的路由转发能力。它

除具有多层路由交换机的容量大、高速转发性能优点外，还进一步将IP网络安

全机制等策略融合到整个交换机系统中，设备具有了更多的智能安全特性，充分

满足构建电信级宽带IP网络的需求。

1.1.4.接入层设计

＞接入层设备结构模型

网络接入层的拓扑结构主要有星型和堆叠型。如下图：

10台24口10/100ML2交换机

240台Host1个CIP地址

接入：星型

10台24口10/100ML2交换机

通过堆福模块分为2组

240台Host1个CEP地址

接入：堆叠

星型：要求连接数多，对L2交换机要求低（成本低），不易产生带宽瓶

颈；

堆叠型：节省连接数，L2交换机成本高，卜联链路处易成为瓶颈°

根据区域分布以及信息点的情况，建议XXX酒店网络接入层结构采用星型,

辅以堆叠型。

＞网络接入层设备要求

接入层作为酒店网管理的边界，要求能够很好地支持对用户的接入管理和控

制。接入层设备即是提供接入服务，它将最终用户连接到网络上。接入层设备普

遍部署在楼宇设备间。由于接入层设备数量多，利用率高，因此要求接入设备具

有很高的稳定性和可靠性。

>网络接入层设计说明

大楼内信息点数较多，考虑采用24/48口可堆叠高性能二层交换机。优先考

虑采用48口高性能二层交换机，如有不足24的尾数，采用24口高性能二层交

换机。

•为了充分充分利用汇聚交换机高交换性能、高千兆端口密度的优势，实

现真正意义上的高速交换平台，在方案设计中，接入交换机尽量不堆叠,

直接通过千兆端口接入汇聚交换机。

•在部分建筑，如果接入交换机到汇聚交换机的连接线路有限，可以根据

信息点分布情况，采用每2-4台交换机堆叠在一起，以1GE上联到汇聚

或者核心交换机,考虑到上联带宽因素，大建议多于4台交换机的堆叠。

•采用以上方式，极限情况下，可以为每个桌面用户提供5.2-20.8Mbps

带宽，大于配线间汇聚上联极限最小带宽。考虑组播方式下的视频应用，

完全可以满足带宽需求。

•如需要增加接入交换机上联带宽，可采用千兆端口聚合技术，以两个以

上的千兆端口连接到汇聚交换机。

用户接入

24/48口可堆叠高性能二层交换机可以通过大楼布设的超5类双绞线

10/100Mbps自适应端口下联到用户的桌面。可以通过端口或者ACL来控制用户

的流量。

接入交换机选择

接入交换机建议选择比威新一代安全智能可堆叠支持千兆上联的二层交换

机BitStream3228/3252TGS。在二层交换机上，提供丰富的安全和控制特性，确

保系统的可靠性。

1.1.5.网络功能设计

>VLAN

VLAN技术可以方便地根据业务需要在同一台交换机上划分出多个逻辑的网

络，有效地减少了广播；同时可以实现在不同的物理位置设置为同一个VLAN广

播域。由于不同VLAN之间不能直接互访，必须通过路由设置进行，所以又增加

了安全性。同时VLAN可以跨过不同的交换机设备,能够在一点进行集中的管理。

由于以上优点，VLAN技术被广泛地应用在Intranet的建设中。

VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上

的一个控制点，它由软件进行管理，所以允许用户利用软件功能灵活地配置资源,

管理网络。利用交换设备中的VLAN功能，不必改变网络的物理基础，即可重新

配置网络。采用VLAN功能，网络性能可以获得较大的改善：

1)VLAN技术能对工作组业务进行过滤，有效地分割通信量，因而能更好

地利用带宽，提高网络总的吞吐量。

2)采用VLAN技术可以将不同楼层或不同房间的设备组成一个网段而不

用更改布线，因为VLAN技术是从逻辑角度而非物理角度来划分子网的，所以采

用VLAN技术能减轻系统的扩容压力，将迁移费用降至最小。

3)采用VLAN技术能有效隔离网络设备，增加网络的安全性和保密性。虚

拟网络的安全策略采用的主要协议为IEEE802.10,此协议结合有鉴别和加密技

术以确保整个网络内部数据的保密性和完整性。

4)VLAN技术能对属于同一工作组的用户提供广播服务，但与传统的局域

网协议所不同的是，虚拟局域网能限制广播的区域，从而节省网络带宽。

5)VLAN可以建立在不同的物理网络上，用封装的办法支法支持不同的网络

协议络协议,如SNMP、NMP、IPX、TCP/IP等，兼容性非常好。

6)VLAN中的主要应用技术为“虚网中继”，VLANTrunking特有技术的采

用也成成为了必然。简而言之，VLANTrunking主要是通过一条高速全双工通道

(200/2000Mbps)来实现将一个LANSwitch端口所划分的不同VLAN与其它LAN

Swiluh中各自相应的VLAN成员进行线路复用连接的技术。VLANTrunking技术

的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高

了整个网络吞吐量和性能指标。

VLANTrunking技术

如果采用VLANtrunking的技术，则VI、¥2、V3均可通过一条全双工的

100/1000Mbps,即200/2000Mbps的速率与上级LANSwitch进行互通并经过位于

树根部的路由器进行路由与其它的VLAN进行通讯。VLANtrunking技术的优点

在于采用一条高速通道连接，提高了通道的使用效率，如在V2,V3无数据量的

情况下，VI可以独占此100/1000M带宽；并且可以使得线路的连接变得简单，

从而大大提高可靠性和网络易维护性。

把不同的部门网络划分到不同的VLAN中，有效的隔离了子网网络间的广播,

并且保证了网络间的安全性。由于部门的地理位置可能跨越多个交换机，所以分

布在配线间的交换机与核心交换机之间通过VLANtrunking技术互连，既保证了

高速的带宽又保证了VLAN之间的快速路由。

VLAN间的访问必须通过路由器或具有路由功能的设备，由于以前的交换设

备一般不提供路由功能（笫三层功能），故必须有一台路由设备与交换机相连,

来提供VLAN间的路由。其缺点是外接路由设备增加了投资和故障点，并且传统

的路由设备采用软件查询路由表，其性能不如交换设备的第二层的帧转发性能,

故限制了系统的整体性能。第三层交换技术正是在这样的背景下出现的。概括来

说,第三层交换技术应具有传统路由器的全部或部分功能，如支持TP/TPX路由，

支持RIP,OSPF,BGP等路由协议；同时采用新的路由、包转发的算法和专用

芯片提高速度，使其达到交换机的性能。一般对IP包的转发速度应在每秒一百

万包以上。有了第三层交换技术，在网络中，可以将二、三层网络灵活地、统一

地整合在一起，满足业务的不同要求。

>QoS(CoS)

■Qos简介

QoS(QualityofService,服务质量)指的是报文传送的吞吐量、时延、

时延抖动、丢失率等性能。从TP网诞生开始，QcS和安全性问题就一直是IP网

的软肋。

为了较好地解决IP网络的QoS问题，Internet工程任务组(IETF)专门成

立了综合业务(IntegratedServices)工作组和差分业务(Differentiated

Services)工作组进行研究。这两个工作组分别提出了各自基于IP网络的QoS

服务协议模型：综合业务模型和差分业务模型。

综合业务模型由于需要占用较多的网络资源，在现实的网络中几乎不可能实

现。而差分业务模型是IETF差分业务工作组提出的一种更具扩展性的实现IP

QoS的方法。该模型将重点放在集合的数据流以及适用于全网业务等级的一套

“单跳行为(PHB)”上。业务在进入网络时进行分类和调整，并被分配给不司的

行为集合，该行为集合由DS编码来标识。在网络核心，报文是根据DS编码所标

识的PHB(per-hopbehavior)属性来转发的。目前，在现实网络中,主要采用

差分业务模型。

■比威交换机对QoS的支持

比威交换机均提供了完善的QoS机制：

核心交换机支持的QoS特征：

>带宽限制：能够针对物理端口或者不同的用户分配不同的带宽，实现

对合理的分配网络资源。

>IEEE802..1P优先级：交换机支持基于优先级的调动算法，可以为不

同优先级的用户提供不同的服务等级，支持802.Ip的优先级探测。

>VLANID

A802.lq标记插入

>2层的端口、3层的1P的源地址和目的地址、4层的TCP/UDP端口

ADIffServ

>TOS/DSCP优先级

>DSCP识别

二层接入交换机支持的QoS特征：

>带宽限制：能够针对物理端口或者不同的用户分配不同的带宽，实现

对合理的分配网络资源。

>IEEE802.1F优先级控制：交换机支持基于优先级的调动算法，可以为

不同优先级的用户提供不同的服务等级。

>支持1GMPvl/v2Snooping组播协议

>VLANID

>802.lq标记插入

■QoS在酒店网中的应用

基于视频的应用，包括酒店视频点播系统、酒店会议直播系统、酒店课件、

远程教学等视频应用的保证

基于语音的应用，包括校长广播系统、IP电话、数字公告系统等。

>流量和带宽管理

■流量统计以及分析

流量模型是网络性能分析和通信网络规划设计的基础，精确的流量模型对

设计高性能网络协议、高效网络拓扑结构、业务量预测与网络规划、高性能价

格比的网络设备与服务器、精确的网络性能分析与预测、拥塞管理与流量均衡、

HI口管理都有重要意义。

目前多数酒店网络使用双出口，流量指标影响着双出口带宽的选择。对流

量进行分析有利于网络管理者按需建设带宽，节约投资。流量情况也是网络性

能的重要指标，通过对流量的监控和分析，有利于酒店对网络设备进行分析比

较，为未来的网络建设提供基础分析数据。流量情况还是网络健康状况的晴雨

表，分析流量状况可以对网络攻击行为、病毒等网络安全事件进行预防和史理,

甚至可以防患于未然。

■BAMS

比威BAMS系统支持即时流量统计和分析，可以为酒店运营提供科学的分

析，为网络的扩容提供历史统计数据。

＞带宽管理

比威BAMS系统与接入层交换机结合，支持基于IP地址、端口、用户的带

宽管理，可以根据用户的实际使用情况分配带宽，如基于视频的用户可以分配

多点带宽用于保证用户的正常使用，对于仅仅使用数据传输的用户分配较少带

宽，以及对于关键应用的使用用户，能够在网络阻塞的情况下进一步保证其带

宽的使用。

并且在限制用户的带宽对用户带宽进行管理的情况下，还能够隔离用户由

于病毒造成的网络阻塞，尽量的保证网络的正常使用，降低网络阻塞的匚率。

＞可靠性设计

系统故障将会导致酒店网运行的中断，妨碍酒店正常教学等活动的进行。

这就要求系统具有高度的可靠性。提高系统可靠性的方法很多，主要有如下三

个方面：

令设备高可用性，汇聚L3交换机具有高可用性指标

。链路冗余，利用汇聚和核心之间的多条链路实现

令协议可靠性，利用动态路由协议的ECMP及VRRP特性

＞链路可靠性

关于链路可靠性我们做了如下设计

汇聚一核心交换机之间的多条链路

汇聚的L3交换机分别有2条GE链路上联到核心交换机，当一条链路发生

故障时，不会导致连接中断。

接入交换机-汇聚交换机之间的连接

接入交换机具有多个千兆端口，根据需要，接入交换机和汇聚交换机之间

可以采用千兆端口聚合技术，通过将两条物理链路整合成一条逻辑链路，实现

增大带宽和链路冗余的功能。

■协议可靠性

酒店网络的路由可靠性我们通过路由层的优化和安全保护来实现。当路由

层的网络故障发生时，保证酒店网络运作不停顿。其主要组成技术为ECMP和

VRRPo

ECMP(EqualMulti-pathRouting)是一种三层协议，可用于不同的网络

接口组合，包括：FE、GE、10GE和S0NET/SDH等。最多有16条路由表中的等

值路径实现网络通讯的负载均衡和冗余。当其中一条路径出现中断时，系统自

动分布负载到其他笔值路径，不会影响用户的网络通讯。

在链路层进行冗余配置之后，利用动态路力协议0SPF,充分利用多链路

的条件，根据情况实行负载均衡或备份。0SPF协议能够在链路发生故障后，

及时检测到并进行路由收敛，发现新的路径，及时更新域间的路由表项，从而

确保全网互连的可靠性。

虚拟路由器冗余协议(VRRP)提供一种解决方案，能够保证终端用户与网

络的联系可靠、稳定、不中断。VRRP是一种容错协议，它保证当主机的下一

跳路由器坏掉时，可以及时的由另一台路由器来代替，从而保持通讯的连续性

和可靠性。为了使VRRP工作，要在路由器上配置虚拟路由器号和虚拟IP地址，

同时产生一个虚拟MAC地址，这样在这个网络中就加入了一个虚拟路由器。而

网络上的主机与虚拟路由器通信，无需了解这个网络上物理路由器的任何信息。

一个虚拟路由器由一个主路由器和若干个备份路由器组成，主路由器实现真正

的转发功能。当主路由器出现故障时，一个备份路由器将成为新的主路由器，

接替它的工作。

＞网络安全性设计

■交换机设备配置

核心交换机安全考虑：

＞安全特征：路由协议认证、SSHv2、TACACS+、RADIUS、MAC和IP

地址绑定、访问控制列表(ACLs)

＞抗拒绝服务：网络入口过滤、单播反向路径转发)、线速ACL、ACL

限速、IP广播控制、ICMP控制、SYN攻击保护和会话控制

核心交换机具有关键硬件冗余，同时具有丰富的安全特征和抗拒绝服务的

强大功能。

接入交换机安全考虑：

＞安全特征:支持端口安全、端口与MAC地址绑定、广播风暴控制、802.lx

和Radius等等

＞硬件支持ACL：通过ACL功能可以对不健康网站或者政治反动网站以

及楼内关键资源如财务系统信息等进行过滤

■出口安全考虑

根据需要打开从内部到外部的常用的许可服务，对于从外网到内网的访问,

只开放许可的服务，其他服务都禁止应用。

充分应用防火墙及核心交换机网络入口过滤、单播反向路径转发、线速

ACL、ACL限速、IP广播控制、ICMP控制、SYN攻击保护和会话控制的安全

控制策略，进行安全配置，保护内部网，特别是关键服务的安全性。

■P2P阻断或限制BT种子设计

比威BitStream3252/28TGS最新型先进交换机可以支持粒度为1K的带宽

控制（按照出、入方向分开控制），我们完全可以在学楼内部，对BT下载不作

限制，但是由于BT大量做种子,影响了网络带宽,我们完全有理由限制BT种子，

做种上传不行,可以设置上行贷款比如100K,手法正常邮件即可

■接入交换机先进的安全性能应用

比威BitStream3252/28TGS最新型先进交换机支持基于用户的接入控制

协议802.lx,提供比传统接入控制方式更为有效的用户端口控制能力，端口

MAC地址限定功能可以对端口接入的主机数目进行控制。

配合比威网络的客户端软件能够对用户的MAC、IP、帐号等信息进行绑定，

精确的对用户进行定位。

SNMPv3、SSH等特性为用户鉴权和数据加密提供了更高的安全性，实现

了安全的管理配置。

sFlow功能的支持，可以按比例抽样指定端口的报文形成标准的sFkw格

式发送到流量分析服务器或策略管理中心，使用户可以更精确监控网络、分析

网络情况。

1.1.6.网络设备选型

■BitStream7505介绍

A产品简介

比威网络BitStream7505机箱式硬件三层交换机是针对大型网络汇聚、中

小型网络核心等情况推出的高性能的机箱式L2/L3/L4交换机。BitStream7505

采用全模块化，具有高密度端口，可提供240G的交换容量，5个扩展插槽，

可根据用户的需求灵活配置，灵活构建弹性可扩展的网络。BilStream7505交

换机产品提供强大的交换和路由功能，可与比威网络各系列交换机配合，为用

户提供完整的端到端解决方案，是大型网络核心骨干交换机的理想选择。

＞适用范围

中小型网络的核心

大型网络汇聚

高性能网络交换环境

主要特点

＞高密度、接口类型丰富的业务模块

BitStrcam7505系列交换机提供高密度端口的接入能力,

整机最多支持120个SFP千兆端口、8个万兆端。

＞高交换容量，全线速交换性能

BitStream7505具有480G的背板带宽，支持240G的交换容量，为所有的

端口提供非阻塞线速转发性能。强大的处理能力是构建可靠、稳定、高速的

IP网络平台的重要保障。

BitStrean)7505交换机硬件支持多层线速交换，能够识别、处理四层以上

的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据

不同的流进行不同的管理和控制o

BitStrcam7505硬件芯片支持IPv6协议，有利于将来进行平滑的网络升

级。

＞功能丰富的安全特性

1BitStrcani7505提供了完整的ACL支持，除通常的标准ACL以及扩展ALC,

BitStream7505还提供基于时间的ACL,使得控制策略非常丰富和灵活。

＞高可靠性设计

BitStream7505系列交换机支持冗余备份，支持STP/RSTP/MSTP、VRRP等

二、三层冗余协议，系统采用冗余电源模块，从而保证核心设备的高可靠性;

主控板和'业务接口板等主要模块全部支持热插拔，保证主机更换板卡时业务不

会中断。

＞产品规格

＜遵循IEEE802.3,IEEE802.3u,IEEE802.3z,IEEE802.3x,

IEEEE802.Id,IEEE802.w,IEEE802.Is,IEEE802.lq,IEEE802.Ip,

1EEE802.3ad等国际标准；

令4个业务插槽，1引擎插槽，可选多种接口标准模块：

.引擎模块附带16个10附00/1000Base-T端口,8个SFP端口

◊24口SFP模块

。48口10/：00/1000Base-T模块

。2口10GE万兆模块

令千兆光端口：120个；万兆端口：8个；

＜背板带宽：480G；

令交换容量：240G；

令三层转发率：180Mpps；

令Mac地址表：64K；

令路由表：64K；

■BitStream3228/3252TGS

在接入层交换机选型上，本方案推荐使用网络端口密集的比较高的可堆叠

BitStream3228/3252TGS交换机。

＞产品样图

［虹口住谷立力喏4i

BitStream3228TGS：24个百兆电口、2个千兆10/100/1OOOBase-TX端口、

2个千兆COMBO口(2个1000MTX&2个SFP)

BitStream3252TGS：48个百兆电口、2个千兆10/100/1000Base-TX端口、

2个千兆COMBO口(2个1000MTX&2个SFP)

＞产品简介

比威网络推出的BitStream3228/52TGS是一款可堆叠的高性能工作组或者

边缘交换机。本交换机能够提供24/48个固定的10/100Base-TX接口，提供2

个千兆10/100/1000Base-T端口，以及2个Combo端口（2个10/100/1000Base-T

和2个SFP插槽），可选用单、多模千兆SFP模块。BitStream3228/52TGS固定

端口可以自动识别正反线，可堆叠、可网管，并且拥有完整的功能特性，以及增

强的认证功能。与比威网络公司其他产品组合，可以为用户提供完整的网络解决

方案。

＞适用范围

•企业和园区网络的接入或汇聚

•用户密集的网络接入

•适用于对安全接入控制较为严格的酒店网

•要求对用户接入带宽进行灵活分配的网络环境

•方便、安全的网络管理需求

＞主要特点

卓越的性能

•基于共享内存体系结构的交换设计，交换带宽高达19.6/31.8Gbps,转发

速率为每秒900多万个数据包，在所有端口上全线速运行。

先进的堆叠方式，良好的扩展性

•环形的堆叠方式，使堆叠设备之间的堆叠带宽增加一倍、数据分担负载,

并且提高了堆叠设备的容错性，保证了网络用户的正常运行。

•方便的堆叠管理，多台设备堆叠后，配置管理使用等同于一台机箱式结构

交换机，大大简化了配置管理工作，方便了用户。

•端口灵活，两个内置端口既可以用于堆叠使用，不使用堆叠功能时可当作

普通千兆端口使用，增加了灵活性、降低了成本，方便了用户。多达4台

的堆叠数量，以及多千兆端口配置，使设各堆叠后百兆、千兆端口达到很

高的密度，可以媲美机箱式交换机，为用户提供了良好的可扩展性。

完整的QoS策略

•支持完整的L2/L3/L4层次的ACL管理控制，全部硬件实现，不影响数据

转发速度。

•支持基于Mac、IP、业务等标准对数据流进行分类，并对各种数据流来进

行不同的流量控制。

•支持基于端口的双向速率限制。

•支持1EEE802.ip.CoS、Diffserv等优先级分类。

•支持FIFO、PQ、WRR等多种优先级处理方式。

强大的安全接入特性

•支持基于用户的接入控制协议802.lx,提供比传统接入控制方式更为有

效的用户端口控制能力，端口MAC地址限定功能可以对端口接入的主机数

目进行控制。

•配合比威网络的客户端软件能够对用户的MAC、11>、帐号等信息进行绑定，

精确的对用户进行定位。

•SNMPv3.SSH等特性为用户鉴权和数据加密提供了更高的安全性，实现

了安全的管理配置。

•sFlow功能的支持，可以按比例抽样指定端口的报文形成标准的sFlcw格

式发送到流量分析服务器或策略管理中心，使用户可以更精确监控网络、

分析网络情况。

IPv6支持

•支持IPv6地址配置、ND、ipv6应用（ping/traceroute）、tcp、udp、

telnet/telnetd^ftp。

>产品规格

•遵循TEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.lq、

IEEE802.lpxIEEE802.ld>IEEE802.』、IEEE802.ls>IEEE802.lx等国际标

准；

•提供24个固定RJ-4510/1OOMUTP接口;

•提供2个Combo千兆端口（两个10/100/1000M电口和2个SFP接口）；

•提供2个：0/100/1000的电口（兼做堆叠端口）；

•19.6G/31.8G无阻塞结构，9.1/13.IMpps包转发率,线速转发;

动态内存分配，支持MAC地址的自学习和更新，可存储8K条Mac地

址;

・存储转发模式(Store-and-Forward)；

•支持9K巨帧转发；

•可编程107100Mbps自适应端口，支持全双工和半双工；

•所有10/100M以太网电接口均自动识别直连线和交又线AutoMD1/X；

•支持IEEE802.3x全双工流控和半双二背压流控；

■支持生成树协议(IEEE802.Id)、(IEEE802.lw)、(IEEE802.Is)；

•具有扩散控制(FloodControl)＞广播风暴控制;

•IEEE802.lqVLAN(4K)、GVRP；

•支持QoS、CoS,提供持EE802.Ip四级优先权队列；

•支持TGMPSnooping；

•支持链路聚合(Trunking)技术，最多4组，每组8条链路；

•支持端口镜像，任一端口经设定监控另一端口的运行状况；

・支持粒度为1K的带宽控制(按照出、入方向分开控制)；

•支持基于二/三/四层的访问控制列表ACL；

■支持PortSecurity端口安全；

•支持sFlow；

•支持IPv6；

•支持802.：x认证(基于Port、MAC)；

■支持RadiusClient；

•支持SSH/；

■支持CLI、Telnet管理方式;

•支持SNMPvl/v2u/v3；

•支持RMON(1,2,3,9)；

•支持SNTP；

•支持SYSLOG；

•支持堆叠功能，堆叠可达4台，堆叠带宽4G；

•支持TFTP方式升级，支持批量升级、配置更新；

•支持多系统文件、多配置文件；

•支持用户分级管理；

•1U高度，：9”机架式；

＞技术指标

•Console端口：标准RS-232cDB9接口

•背板带宽：19.6Gbps

•MAC地址表：8K

•端口指示灯：每个以太口提供一个双色指示灯

绿色亮：端口与所连接的设备建立了稳定的连接之后并工作在100M

状态

橙色亮：端口与所连接的设备建立了稳定的连接之后并工作在10M状

态

闪烁：该端口正在进行数据发送

暗：没有连线或该端口连接不正常

•系统指示灯：

power灯：绿色

亮：此指示灯应该长亮

暗：没有加电或电源系统工作不正常

Diag灯：绿色

闪烁：系统正常

长暗/长亮：系统异常

•外形尺寸：(HxWxD)=43x440x324mm(1.69xl7.32xl2.8

in.)

•重量：3.08kg

•工作温度：0°C〜50°C(32〜122°F)

•储藏温度：-40〜70°C(-40-158°E)

•相对湿度：10〜90%,无霜

•电源：100〜240VAC,47〜63Hz

•最大电流:2.0A@240VAC

・功耗：60W(Max)

•通过FCCCLASSA,CEMARK,C-tick认证

1.1.7.BAMS认证计费

个概述

近几年以宽带网为主的应用业务也越来越多，如视频点播、远程教育、远程

办公，宽带网业务正E益进入我们的生活。

为了有效地为用户提供各种应用服务，实现可管理网络是非常必要的，对于

可管理的网络，如何实现对人的有效管理是重中之重，这包括精确、统一的用户

管理,在实现用户管理的基础上，可以通过相应的计费策略实现灵活的计费管理,

针对这种需求，比威网络通过BAMS（比威接入管理系统），配合交换机以及客

户端软件为客户提供认证、计费解决方案，满足客户对网络安全、用户管理以及

计费的需求。

■问题及需求

网络面临一个最大的问题就是管理问题，除了对设备的有效管理之外，酒店

网络的使用者成为酒店网络问题的多发地，因为，学生群体具有思维活跃的特点,

愿意尝试各种新事物，并且酒店网络的历史建设问题，使酒店网络内部缺乏管理,

酒店网内部缺乏有效的控制手段。因此，给酒店网带来了以下的问题：

非法应用泛滥：包括私自设立ProxyServer,私自设立DHCPServer等

非法用户存在：包括帐号盗用，IP地址仿冒以及MAC地址仿冒等问题

广播流量泛滥：酒店网络内部充斥了各类广播流量

缺乏接入控制：内部网络对用户没有管理手段

为了解决以上问题，比威提供802.Ix+BAMS解决方案，实现泗店网认证、

计费解决方案，限制非法应用，限制非法帐号等，完善接入控制，实现有效的用

户管理和灵活的计费管理。

令比威802.Ix+BAMS认证计费解决方案

针对这种需求，比威网络提供宽带接入管理系统，并通过网络设备的合理布

置，满足客户对于网络应用中的用户管理及计费管理的需要。

之选

B1]^N^woeklnoPathway认证

Web'FTP/EMAILBAMS网络/数据中心

CERNET

8E1OK

》认证是为了用户管理

》用户管理是为了精确BS7K

》打开控制端口

》用户管理是为了提供

服务

BS2224TM

客户端

案指，力工彳一…B•••V(&■•*・N・・・・•■

完整的宽带接入管理解决方案包括以下几个部分，

令比威宽带接入管理系统BAMS

。支持802.lx认证的交换机（如比威网络的BS2224TM）

。比威802.lx客户端软件

■认证过程

认证是实现用户管理的前提，实现用户管理是为了实现可管理的网络，并进

而为用户提供宽带服务，802.1X是TEEE的标准，与以太网技术具有天然的集成

性，并且控制信息流严格区分于转发数据流，保证转发效率。采用EAPoverLAN

技术，实现简单、安全，对于认证前端设备要求低。目前多数接入交换机都支持

此种认证方式。

首先802.lx客户端发起认证请求；

其次802.lx认证交换机转发认证请求到BAMS系统，BAMS检查认证控制信

息，根据Radius认证属性值，判断用户身份的合法性，如果是合法用户，发送

Radius授权包给802.lx认证交换机。

第三，认证交换机接到授权信息，打开交换现控制端口，允许用户接入。

然后，用户可以实现正常的网络应用，包括访问Internet。

交换机在认证通过后，用户开始和结束网络访问时，发送计帐信息到Radius

计帐服务器，并通过BAMS计费处理子系统，完成需要计费管理”

■IEEE802.lx协议的体系结构

IEEE802.lx协议的体系结构包括三个重要的部分：SupplicantSystem客

户端、AuthenticatorSystem认证系统、AuthenticationServerSystem认证

服务器。

客户端系统一般为一个用户终端系统，该终端系统通常要安装一个客户端软

件，用户通过启动这个客户端软件发起802.lx协议的认证过程。为支持基于端

口的接入控制，客户端系统需支持EAPOL(ExtensibleAuthenticationProtocol

OverLAN)协议。

认证系统通常为支持802.lx协议的网络设备。该设备对应于不同用户的端

口(可以是物理端口，也可以是用户设备的MAC地址)有两个逻辑端口：受控

(controlledPort)端口和不受控端口(uncontrolledPort)。不受控端口始

终处于双向连通状态，主要用来传递EAP0L协议帧，可保证客户端始终可以发

出或接受认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和

服务。如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证

系统提供的服务。图中认证系统的受控端口处于未认证状态，因此无法访问认证

系统提供的服务。

认证服务器通常为RADIUS服务器，该服务器可以存储有关用户的信息，比

如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过

认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态

的访问控制列表，用户的后续流量就将接受上述参数的监管。认证服务器和

RADIUS服务器之间通过EAP协议进行通信。

。BAMS

BAMS包括认证子系统，前台处理子系统，系统操作维护中心子系统。认证

子系统主要由Radius认证服务器构成，完成对用户控制信息的认证过程，保证

合法用户的接入宽带系统，防止非法用户接入城域宽带网系统。

802.lx认证交换机实现接入控制功能，中继802.lx客户端发起的认证请求

到BAMS认证子系统，并根据BAMS返回的授权信息执行具体的控制策略，当认证

通过时，打开用户接入端口，允许用户通过。对于非授权用户拒绝接入。

另外，BAMS配合比威802.lx客户端软件，可以实现多元素绑定用户接入管

理，实现精确的用户接入控制，详见下面章节。

比威认证计费解决方案充分考虑网络管理者的灵活使用要求，在通过7元素

绑定进行精确用户管理时，实现自动绑定设置，不需要手动输入绑定元素（如

MAC地址），给用户带来极大的灵活性。

前台处理子系统配合Radius计帐服务器，对采集的计帐数据作集中的史理,

根据具体需求，形成灵活的计费结算策略，如预付费，后付费，普通用户计费,

卡计费（包括充值卡管理）。

通过认证计费管理实现，可以提供以下业务：

◊普通用户、卡用户

令用户开户、停机、销户

令用户资料维护

令用户交费、费用帐务查询

＜用户费用恢复和退费

。操作员的对帐及操作查询

。绑定设置

令BAMS关键技术

■七元素绑定

通过七元素绑定瓦以根据需求，对用户进行精确的管理控制，给网络管理者

带来易维护性。

而且，比威认证计费解决方案充分考虑网络管理者的灵活使用要求，在通过

7元素绑定进行精确用户管理时，不需要手动输入绑定元素（如MAC地址），给

用户带来极大的灵活性。

下面介绍比威认证计费系统的七元素绑定实现。

超辑粉七元素绑定

为了实现对用户的精确的用户管理，仅仅依赖于标准的IEEE802.IX认证，

并不能满足要求，因此，比威网络发展802.IX认证，通过提供多元素绑定，来

满足酒店网络内部精确控制的要求。

比威认证计费解决方案提供7元素绑定，即：

令用户名

令用户MAC

令用户1P

令交换机IP

©交换机端口

。交换机VLAN

。用户的EMAIL帐号

具体来说，可以将这7元素归纳为以下3类：

＜使用者属性：用户名；

＜用户PC的属性：MAC地址，PCIP地址；

◊交换机属性：交换机IP,交换机端口，交换机VLAN信息；

。用户的业务属性：EMAIL帐号；

通过把7元素作不同的组合，可以实现不同的控制策略；

控制策略一：账号/密码只有经过申请获得开通的用户才可以使用网络

控制策略二：1P和账号绑定此法可以在静态IP应用中，解决1P冲突问

题

控制策略三：MAC和账号绑定解决账号盗月问题

控制策略四：TP和MAC绑定公用电脑上网区域

控制策略五：账号、IP和MAC绑定私有电脑上网区域

控制策略六：账号、IP、MAC、接入交换机、端口绑定、VLAN、EMAIL帐号，

最严格的接入控制，实现最精确的用户管理手段

令用户管理

■有效的用户管理

认证的一个基本的目的就是实现有效的用户管理，对不同的用户设置不同的

安全接入控制策略，授予不同接入权限，AAA中授权部分就是针对用户的级别、

权限而设置的。

这个管理部分，主要有两个管理阶段，首先，后台软件为用户设置相应的接

入权限，并通过Radius发送给前端控制设备（如交换机，B