梧州XX酒店網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案2011-1-18

海韻國(guó)際酒店計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案第71頁(yè)共72頁(yè)梧州XX酒店計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案2011年2月

目錄TOC\o"1-4"\h\z\u第1章、項(xiàng)目概述 41.1、項(xiàng)目名稱 41.2、項(xiàng)目背景 41.3、建設(shè)目標(biāo) 51.4、建設(shè)任務(wù) 5第2章、酒店業(yè)務(wù)需求分析 52.1、網(wǎng)絡(luò)架構(gòu)的要求 52.2、酒店業(yè)務(wù)系統(tǒng)架構(gòu)及需求特點(diǎn) 52.2.1、酒店辦公自動(dòng)化系統(tǒng) 62.2.2、酒店一卡通 62.2.3、酒店寬帶網(wǎng)絡(luò)系統(tǒng) 72.2.4、酒店辦公自動(dòng)化 72.2.5、弱電設(shè)備控制系統(tǒng) 72.3、網(wǎng)絡(luò)性能建設(shè)要求 82.4、網(wǎng)絡(luò)可靠性建設(shè)要求 82.5、有線無線網(wǎng)絡(luò)管理平臺(tái)的建設(shè)要求 82.6、網(wǎng)絡(luò)安全建設(shè)要求 8第3章、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)規(guī)劃設(shè)計(jì) 83.1、設(shè)計(jì)思路 83.1.1、以業(yè)務(wù)為核心，充分滿足核心業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)需求 83.1.2、業(yè)務(wù)分離架構(gòu) 93.2、設(shè)計(jì)原則 93.2.1、高可用 93.2.2、高可靠 93.2.3、安全性 93.2.4、先進(jìn)性和成熟合理性 93.2.5、升級(jí)擴(kuò)展性 103.2.6、易用和易維護(hù)性 103.2.7、標(biāo)準(zhǔn)性和開放性 103.2.8、主流品牌和完善的售后服務(wù) 103.3、設(shè)計(jì)依據(jù)及引用標(biāo)準(zhǔn) 113.4、總體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì) 123.5、酒店網(wǎng)絡(luò)架構(gòu)設(shè)計(jì) 123.5.1、拓?fù)鋱D 123.5.2、酒店內(nèi)網(wǎng)功能設(shè)計(jì) 133.5.3、酒店外網(wǎng)功能設(shè)計(jì) 13、核心交換區(qū)設(shè)計(jì) 13、樓層接入?yún)^(qū)設(shè)計(jì) 13、服務(wù)器區(qū)設(shè)計(jì) 14、互聯(lián)網(wǎng)區(qū)設(shè)計(jì) 143.6、網(wǎng)絡(luò)高可用設(shè)計(jì) 143.6.1、高可用設(shè)計(jì) 14、核心交換區(qū)高可用設(shè)計(jì) 14、服務(wù)器區(qū)高可用設(shè)計(jì) 153.7、網(wǎng)絡(luò)高安全設(shè)計(jì) 153.7.1、核心交換機(jī)內(nèi)置強(qiáng)大的安全特性 15、關(guān)鍵部件的安全穩(wěn)定 15、病毒和攻擊防護(hù) 15、設(shè)備管理安全 16、接入安全 163.7.2、接入層網(wǎng)絡(luò)安全規(guī)劃 17、接入層實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒和攻擊的有效控制 173.7.3、酒店外網(wǎng)互聯(lián)區(qū)網(wǎng)絡(luò)安全規(guī)劃 213.7.4、網(wǎng)絡(luò)設(shè)備自身安全加固 21、關(guān)閉IP功能服務(wù) 21、設(shè)備安全防護(hù) 22、關(guān)閉設(shè)備服務(wù) 25、其它安全措施 273.8、VLAN規(guī)劃 273.8.1、各功能區(qū)VLAN定義 273.9、IP分配方案 283.9.1、IP地址規(guī)劃的重要性 283.9.2、IP地址編碼的基本原則 283.9.3、IP地址具體規(guī)劃 293.10、路由規(guī)劃 293.11、QoS部署 303.12、網(wǎng)管系統(tǒng)設(shè)計(jì) 313.12.1、設(shè)備配置的防災(zāi)保護(hù) 313.12.2、設(shè)備系統(tǒng)文件統(tǒng)一管理和規(guī)劃 313.12.3、俯瞰完整的網(wǎng)絡(luò)信息 313.12.4、設(shè)備的精細(xì)化管理 323.13、設(shè)備選型 323.13.1、選型依據(jù) 323.13.2、主要設(shè)備選型 33、核心交換機(jī)選型 33、樓層接入交換機(jī)選型 33、有線無線網(wǎng)絡(luò)管理平臺(tái)選型 34、出口路由器選型 34、無線控制器選型 34、無線AP選型 34、防火墻選型 34第4章、設(shè)備清單 35第5章、產(chǎn)品技術(shù)資料 351、RG-S7800系列多業(yè)務(wù)IPv6核心路由交換機(jī) 352、RG-S2600E系列安全智能以太網(wǎng)交換機(jī) 393、RG-WS5302無線控制器 444、RG-AP220-SE室內(nèi)增強(qiáng)型802.11n無線接入點(diǎn) 515、RG-SNC產(chǎn)品介紹 576、RG-EG1000S易網(wǎng)關(guān) 587、RG-WALL160E防火墻產(chǎn)品介紹 64

項(xiàng)目概述項(xiàng)目名稱梧州XX酒店計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)項(xiàng)目背景酒店信息化建設(shè)是對(duì)傳統(tǒng)酒店管理模式重新規(guī)劃、定位以及標(biāo)準(zhǔn)化和規(guī)范化的過程。充分利用信息技術(shù)，改造和規(guī)范酒店管理流程。降低服務(wù)成本，增強(qiáng)管理效率，提升酒店的競(jìng)爭(zhēng)能力和服務(wù)水平；改善客人上網(wǎng)環(huán)境，為客人創(chuàng)造一個(gè)全方位的，方便快捷，全新的酒店服務(wù)平臺(tái)，實(shí)現(xiàn)以客人為中心的酒店管理理念的轉(zhuǎn)變，以滿足人民生活品質(zhì)日益提高的需要。"數(shù)字化酒店"是將先進(jìn)的網(wǎng)絡(luò)及數(shù)字技術(shù)應(yīng)用于酒店，實(shí)現(xiàn)酒店內(nèi)部管理和管理信息的數(shù)字化采集、存儲(chǔ)、傳輸及后處理，以及各項(xiàng)業(yè)務(wù)流程數(shù)字化運(yùn)作的酒店信息體系。

建設(shè)目標(biāo)梧州XX酒店計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)總體目標(biāo)是滿足酒店業(yè)務(wù)發(fā)展、流程優(yōu)化的需要，提高酒店服務(wù)質(zhì)量，打造“酒店信息化品牌”。建設(shè)任務(wù)酒店辦公網(wǎng)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)建設(shè)酒店客房網(wǎng)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)建設(shè)酒店設(shè)備網(wǎng)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)建設(shè)酒店業(yè)務(wù)需求分析網(wǎng)絡(luò)架構(gòu)的要求酒店網(wǎng)絡(luò)分為兩個(gè)部分：酒店內(nèi)網(wǎng)（PMS、財(cái)務(wù)等）、酒店外網(wǎng)（客房、會(huì)議室、公共場(chǎng)所等），。為了保證網(wǎng)絡(luò)的安全，酒店內(nèi)網(wǎng)、酒店外網(wǎng)采用物理隔離，單獨(dú)組網(wǎng)。酒店業(yè)務(wù)系統(tǒng)架構(gòu)及需求特點(diǎn)酒店信息系統(tǒng)架構(gòu)的目標(biāo)是幫助酒店從整體的角度審視它的IT需求，它為高層次的規(guī)劃奠定了基礎(chǔ)，是一個(gè)符合數(shù)字化酒店需求的邏輯觀點(diǎn)。這種邏輯觀點(diǎn)可以幫助我們了解酒店的各個(gè)組成部分、它們彼此之間的關(guān)系，以及它們需要怎樣進(jìn)行相互交流。酒店門鎖系統(tǒng)酒店門鎖系統(tǒng)酒店綜合管理系統(tǒng)客房控制管理系統(tǒng)背景音樂緊急廣播系統(tǒng)VOD點(diǎn)播系統(tǒng)無線接入網(wǎng)絡(luò)系統(tǒng)面向用戶服務(wù)餐飲管理系統(tǒng)酒店一卡通綜合保安系統(tǒng)酒店自動(dòng)管理系統(tǒng)多媒體商務(wù)會(huì)議系統(tǒng)酒店辦公自動(dòng)化觸摸查詢系統(tǒng)無線通訊系統(tǒng)面向酒店日常管理酒店寬帶網(wǎng)絡(luò)系統(tǒng)酒店視頻會(huì)議系統(tǒng)酒店認(rèn)證計(jì)費(fèi)系統(tǒng)酒店辦公自動(dòng)化系統(tǒng)酒店辦公室自動(dòng)化系統(tǒng)是酒店是直接面對(duì)客人的窗口，具有舉足輕重的地位，時(shí)間對(duì)于客人來說，是非常寶貴的，但是恰恰在客人入住登記、退房結(jié)賬的過程中這2個(gè)環(huán)節(jié)最容易出現(xiàn)長(zhǎng)時(shí)間排隊(duì)現(xiàn)象，造成客人疲憊、煩躁。同時(shí)對(duì)于酒店負(fù)責(zé)這塊的工作人員來說，勞動(dòng)強(qiáng)度大、勞動(dòng)方式單一、心態(tài)也比較煩躁?？腿送朔康臅r(shí)間主要集中在上午8點(diǎn)到10點(diǎn)，對(duì)網(wǎng)絡(luò)系統(tǒng)要求具有高可靠性高、并發(fā)性大、實(shí)時(shí)性和突發(fā)性強(qiáng)。一旦出現(xiàn)故障，要求具備完善的應(yīng)急措施，保證客人能順利完成退房結(jié)賬。酒店一卡通酒店一卡通管理系統(tǒng)實(shí)現(xiàn)的功能包括人事薪資、門禁監(jiān)控、考勤消費(fèi)、IC卡電表、水表、巡更系統(tǒng)和會(huì)議簽到等等，功能范圍幾乎覆蓋酒店所有的角角落落。一卡通管理系統(tǒng)，以高科技產(chǎn)品智能卡作為數(shù)據(jù)和應(yīng)用載體，集成了電子技術(shù)、射頻技術(shù)、IC卡技術(shù)、單片機(jī)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及數(shù)據(jù)庫(kù)技術(shù)等諸多高新科技，經(jīng)過許多模式和較長(zhǎng)時(shí)間的發(fā)展而形成的。其核心意義是子系統(tǒng)數(shù)據(jù)庫(kù)的統(tǒng)一和發(fā)卡中心的統(tǒng)一，其突出特點(diǎn)表現(xiàn)為：一卡、一庫(kù)、一網(wǎng)，可實(shí)現(xiàn)各種系統(tǒng)之間的整合。一卡通系統(tǒng)的穩(wěn)定運(yùn)行對(duì)酒店而言，具有重要的意義。酒店寬帶網(wǎng)絡(luò)系統(tǒng)酒店寬帶網(wǎng)絡(luò)系統(tǒng)為客人提供高速、穩(wěn)定、安全的上網(wǎng)環(huán)境，客人在酒店就可以處理電子郵件，遠(yuǎn)程VPN接入公司網(wǎng)絡(luò)，遠(yuǎn)程視頻會(huì)議，運(yùn)行QQ、MSN等通信工具?？腿藢?duì)酒店網(wǎng)絡(luò)提出了以下要求：高速、穩(wěn)定、安全酒店辦公自動(dòng)化酒店辦公自動(dòng)化系統(tǒng)主要是人、財(cái)、物的管理，包括人事、財(cái)務(wù)管理、物品管理等，因此它最大的需求是數(shù)據(jù)在服務(wù)器端和網(wǎng)絡(luò)上的安全，保證這些數(shù)據(jù)不會(huì)泄露。弱電設(shè)備控制系統(tǒng)酒店中的弱電設(shè)備包括空調(diào)、電梯、照明、視頻監(jiān)控、門禁等設(shè)備，為了保證這些設(shè)備的安全運(yùn)轉(zhuǎn)，需要提供一個(gè)獨(dú)立的網(wǎng)絡(luò)環(huán)境，要保證網(wǎng)絡(luò)的絕對(duì)安全。網(wǎng)絡(luò)性能建設(shè)要求網(wǎng)絡(luò)建成后，在網(wǎng)絡(luò)規(guī)模、技術(shù)水平、性能、穩(wěn)定性和安全性方面，達(dá)到國(guó)內(nèi)同類酒店領(lǐng)先水平，為酒店各類應(yīng)用系統(tǒng)和公共資源服務(wù)提供一個(gè)高速安全可靠的基礎(chǔ)平臺(tái)。網(wǎng)絡(luò)可靠性建設(shè)要求滿足酒店7*24小時(shí)業(yè)務(wù)不間斷運(yùn)行；辦公網(wǎng)要通過設(shè)備冗余、鏈路冗余、路由冗余來來滿足可靠性的要求，使網(wǎng)絡(luò)具有故障自愈的能力。有線無線網(wǎng)絡(luò)管理平臺(tái)的建設(shè)要求建立一套統(tǒng)一有效的網(wǎng)絡(luò)管理系統(tǒng)，能夠直觀全面地監(jiān)控整個(gè)網(wǎng)絡(luò)和各種設(shè)備的運(yùn)行狀態(tài)，詳細(xì)記錄和深入分析網(wǎng)絡(luò)流量，及時(shí)報(bào)告各種故障和性能問題，協(xié)助管理員找到故障的起源，并且對(duì)網(wǎng)絡(luò)的性能變化和故障發(fā)生提前進(jìn)行預(yù)測(cè)。網(wǎng)絡(luò)安全建設(shè)要求構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系，建設(shè)一套行之有效的安全管理機(jī)制和技術(shù)手段，最大程度保證主機(jī)安全、網(wǎng)絡(luò)安全，主動(dòng)發(fā)現(xiàn)、及時(shí)防御、迅速解決安全問題，并采用各種技術(shù)有效防止網(wǎng)絡(luò)病毒的傳播。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)規(guī)劃設(shè)計(jì)設(shè)計(jì)思路以業(yè)務(wù)為核心，充分滿足核心業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)需求酒店網(wǎng)絡(luò)建設(shè)應(yīng)是以業(yè)務(wù)為核心的，設(shè)計(jì)時(shí)要滿足現(xiàn)有業(yè)務(wù)的網(wǎng)絡(luò)通訊需求，并充分考慮新業(yè)務(wù)發(fā)展的需要。網(wǎng)絡(luò)建設(shè)是一項(xiàng)基礎(chǔ)工程，要先于業(yè)務(wù)發(fā)展超前進(jìn)行，進(jìn)而推動(dòng)業(yè)務(wù)的發(fā)展。業(yè)務(wù)分離架構(gòu)梧州XX酒店為客人提供上網(wǎng)服務(wù)，同時(shí)提供酒店自身辦公網(wǎng)網(wǎng)絡(luò)需要，根據(jù)各種業(yè)務(wù)流程的的特點(diǎn)，總體上將酒店計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)問、客房網(wǎng)和設(shè)備網(wǎng)三個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)來建設(shè)。設(shè)計(jì)原則高可用網(wǎng)絡(luò)設(shè)計(jì)首先應(yīng)本著可用性的原則。一方面要能為用戶提供網(wǎng)絡(luò)傳輸服務(wù)，滿足各類數(shù)據(jù)傳輸?shù)男枨螅_(dá)到用戶所需要的網(wǎng)絡(luò)傳輸質(zhì)量；另一方面，所采用的技術(shù)應(yīng)當(dāng)是確保網(wǎng)絡(luò)的正常運(yùn)行的。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)結(jié)合起來，充分考慮到網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢(shì)。高可用性主要體現(xiàn)在網(wǎng)絡(luò)鏈路類型、帶寬的選擇、不同層次所用設(shè)備的處理能力的選擇，網(wǎng)絡(luò)構(gòu)架中采用的相關(guān)支撐技術(shù)和標(biāo)準(zhǔn)的選擇。高可靠網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是數(shù)字化酒店中信息正常流動(dòng)的保證，也是網(wǎng)絡(luò)設(shè)計(jì)基本的原則。設(shè)計(jì)中應(yīng)采用高可靠性的網(wǎng)絡(luò)產(chǎn)品和冗余鏈路、制定完備的網(wǎng)絡(luò)備份策略來滿足可靠性的要求，使網(wǎng)絡(luò)具有故障自愈的能力?？煽啃栽O(shè)計(jì)不僅包括網(wǎng)絡(luò)設(shè)備、鏈路等物理設(shè)計(jì)的可靠性，同時(shí)包括路由等邏輯設(shè)計(jì)的可靠性。安全性在本方案中，通過多種安全技術(shù)和防護(hù)手段，保證系統(tǒng)自身的安全性，保證服務(wù)不會(huì)中斷，同時(shí)保證數(shù)據(jù)不被非法入侵者破壞和盜用。先進(jìn)性和成熟合理性當(dāng)今的計(jì)算機(jī)技術(shù)日新月異，因此要求選擇的系統(tǒng)不僅要保證具有先進(jìn)性，而且要保證技術(shù)方向的正確性。本方案中，結(jié)合考慮實(shí)用和兼顧今后發(fā)展的目的，不僅在網(wǎng)絡(luò)設(shè)備、服務(wù)器等硬件設(shè)備方面，還是在應(yīng)用系統(tǒng)方面，都有選擇地適當(dāng)采取當(dāng)今國(guó)際上主流并領(lǐng)先的產(chǎn)品和技術(shù)，既要考慮現(xiàn)有的條件和水平，滿足當(dāng)前業(yè)務(wù)的需求，又要能與今后的發(fā)展相連接。因此在設(shè)計(jì)相關(guān)設(shè)備配置時(shí)不僅以滿足當(dāng)前的應(yīng)用為基礎(chǔ)，更要考慮到系統(tǒng)應(yīng)當(dāng)具有良好的擴(kuò)充能力，以滿足將來不斷增長(zhǎng)的業(yè)務(wù)需求。設(shè)備的性能越好，對(duì)用戶的響應(yīng)速度就越快，系統(tǒng)提供的服務(wù)就越優(yōu)良,尤其對(duì)應(yīng)用系統(tǒng)來講，效果會(huì)更明顯。我們推薦的產(chǎn)品和技術(shù)都經(jīng)過了市場(chǎng)的考驗(yàn)，有在大型系統(tǒng)中應(yīng)用的成功案例。尤其在硬件平臺(tái)方面，全部采用市場(chǎng)上先進(jìn)的產(chǎn)品和可靠的技術(shù)。升級(jí)擴(kuò)展性系統(tǒng)設(shè)計(jì)構(gòu)架具有可擴(kuò)展性，為業(yè)務(wù)發(fā)展和新產(chǎn)品開發(fā)打下良好基礎(chǔ)。業(yè)務(wù)的發(fā)展對(duì)網(wǎng)絡(luò)的需求是不斷變化的，網(wǎng)絡(luò)應(yīng)用系統(tǒng)為了滿足這些需求也會(huì)隨之變化。面對(duì)不斷變化的情況和需求，網(wǎng)絡(luò)應(yīng)當(dāng)能夠作出快速和有效的反應(yīng)。因此，網(wǎng)絡(luò)必須具備良好的可擴(kuò)展性，應(yīng)支持核心業(yè)務(wù)系統(tǒng)的不斷擴(kuò)展，適應(yīng)未來業(yè)務(wù)的發(fā)展和變化。同時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)當(dāng)能夠變化，具有靈活的伸縮能力，網(wǎng)絡(luò)設(shè)備可以擴(kuò)充和升級(jí)。易用和易維護(hù)性本方案中提供了全面、完善、便捷、統(tǒng)一的系統(tǒng)管理方案，有較全面的應(yīng)急處理預(yù)案，一旦發(fā)生問題在最短的時(shí)間內(nèi)處理解決。我們推薦的系統(tǒng)具有良好的用戶操作界面、完備的幫助信息。集成完備的運(yùn)行監(jiān)視系統(tǒng)、良好的管理界面工具或遠(yuǎn)程控制臺(tái)，易于管理人員對(duì)其進(jìn)行管理和維護(hù)，系統(tǒng)參數(shù)的維護(hù)與管理科通過操作界面實(shí)現(xiàn)。標(biāo)準(zhǔn)性和開放性在本方案中，所有選用的技術(shù)和產(chǎn)品，全部遵循通用的國(guó)際或行業(yè)標(biāo)準(zhǔn)，各系統(tǒng)模塊之間有良好的兼容性。從長(zhǎng)遠(yuǎn)來看，也便于系統(tǒng)的升級(jí)和移植或運(yùn)行其他應(yīng)用軟件，做到一機(jī)多用。主流品牌和完善的售后服務(wù)由于IT技術(shù)和產(chǎn)品更新?lián)Q代非?？?，新的硬件、新的軟件、新的技術(shù)層出不窮，雖然這種情況有利于世界整體發(fā)展，但對(duì)于用戶來講，如果購(gòu)買到的產(chǎn)品技術(shù)不成熟，或產(chǎn)品的設(shè)計(jì)思路有缺陷，對(duì)其投資將帶來巨大的風(fēng)險(xiǎn)，因此，選擇一個(gè)已經(jīng)得到市場(chǎng)認(rèn)可的主流品牌是必須考慮的原則。較好的售后服務(wù)也是對(duì)用戶投資的可靠保證，為了能夠得到更加放心的產(chǎn)品，用戶對(duì)IT生產(chǎn)廠家以及系統(tǒng)集成廠家的服務(wù)質(zhì)量要求也越來越高，所以我們?cè)诖隧?xiàng)目中推薦的廠商有著一流的售后服務(wù)技術(shù)和體系。設(shè)計(jì)依據(jù)及引用標(biāo)準(zhǔn)GB/T50311-2007《建筑與建筑群結(jié)構(gòu)化綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》GB/T50314--2006《智能建筑設(shè)計(jì)標(biāo)準(zhǔn)》GB/T50312-2007《建筑與建筑群結(jié)構(gòu)化綜合布線系統(tǒng)工程驗(yàn)收規(guī)范》GB50303-2004《建筑物電子信息系統(tǒng)防雷規(guī)范》GBJ/T16-92《民用建筑電氣設(shè)計(jì)規(guī)范》ISO/IEC11801《信息技術(shù)-布線標(biāo)準(zhǔn)》EIA568A/TIA568B《商業(yè)建筑電信布線標(biāo)準(zhǔn)》EIA/TIA586《民用建筑線纜標(biāo)準(zhǔn)》EIA/TIATSB67《非屏蔽雙絞線布線測(cè)試標(biāo)準(zhǔn)》YD/T926-1997《大樓通信結(jié)構(gòu)化綜合布線系統(tǒng)》《工業(yè)企業(yè)通訊設(shè)計(jì)規(guī)范》EMC 歐洲電磁兼容性標(biāo)準(zhǔn)ITU-T 國(guó)際電信聯(lián)盟標(biāo)準(zhǔn)ANSIFDDI 美國(guó)國(guó)家標(biāo)準(zhǔn)：分布式光纖數(shù)據(jù)接口IEEE802.3ae國(guó)際電子電氣工程師協(xié)會(huì) IEEE802.5 國(guó)際電子電氣工程師協(xié)會(huì)

總體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)酒店網(wǎng)絡(luò)總體上分為兩個(gè)獨(dú)立的業(yè)務(wù)網(wǎng)絡(luò)：酒店外網(wǎng)、酒店內(nèi)網(wǎng)。酒店內(nèi)網(wǎng)：主要用來承載酒店業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，承載的主要系統(tǒng)及業(yè)務(wù)有：HOTELWEBSITE：酒店門戶網(wǎng)站、PMS：酒店管理系統(tǒng)、CRS：中央預(yù)訂系統(tǒng)、IDS：網(wǎng)絡(luò)分銷系統(tǒng)、GDS：全球分銷系統(tǒng)、CRO：酒店預(yù)訂中心、ERP：企業(yè)資源計(jì)劃、CRM：客戶關(guān)系管理系統(tǒng)、HRMS：人力資源管理系統(tǒng)、ACS：財(cái)務(wù)系統(tǒng)、OA：辦公自動(dòng)化、E-MAIL：電子郵件、LPS：會(huì)員客戶忠誠(chéng)度管理系統(tǒng)、PICCS：酒店成本控制管理系統(tǒng)等。酒店外網(wǎng)：主要供客人、會(huì)議室、公共場(chǎng)所等訪問互聯(lián)網(wǎng)，提供上網(wǎng)業(yè)務(wù)等。酒店網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)拓?fù)鋱D酒店內(nèi)網(wǎng)功能設(shè)計(jì)酒店內(nèi)網(wǎng)是酒店業(yè)務(wù)信息流、財(cái)物信息傳遞的載體，向酒店的管理者和工作人員提供服務(wù)，不僅要保證7*24小時(shí)的穩(wěn)定運(yùn)行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸?shù)浇K端系統(tǒng)，同時(shí)，還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問策略，在提供信息服務(wù)的同時(shí)，保證酒店內(nèi)網(wǎng)自身的安全。根據(jù)模塊化、分層設(shè)計(jì)的理念，建議對(duì)網(wǎng)絡(luò)分為：核心交換區(qū)、樓層接入?yún)^(qū)、服務(wù)器區(qū)。酒店外網(wǎng)功能設(shè)計(jì)酒店外網(wǎng)主要是為客人提供對(duì)外溝通的平臺(tái)，網(wǎng)絡(luò)安全不容忽視，同時(shí)也需要考慮后續(xù)的可擴(kuò)展形。根據(jù)模塊化、分層設(shè)計(jì)的理念，建議對(duì)酒店外網(wǎng)分為：核心交換區(qū)、樓層接入?yún)^(qū)、互聯(lián)網(wǎng)區(qū)。核心交換區(qū)設(shè)計(jì)核心交換區(qū)負(fù)責(zé)匯聚各個(gè)樓棟匯聚區(qū)高性能數(shù)據(jù)轉(zhuǎn)發(fā)，同時(shí)也負(fù)責(zé)與服務(wù)器區(qū)、VPN互聯(lián)平臺(tái)之間的流量轉(zhuǎn)發(fā)。核心交換區(qū)是一個(gè)高速的Layer3交換骨干，不建議進(jìn)行終端系統(tǒng)的連接，也不建議實(shí)施影響高速交換性能的安全訪問控制（ACL）等功能。設(shè)計(jì)時(shí)還需要通過設(shè)備冗余、路由冗余、鏈路冗余等技術(shù)，充分保障網(wǎng)絡(luò)系統(tǒng)穩(wěn)定性。核心交換平區(qū)建議部署兩臺(tái)萬兆核心交換機(jī)，為了保證兩臺(tái)核心設(shè)備的可靠性，建議配置雙電源、雙交換引擎，在核心交換機(jī)上不建議配置復(fù)雜的協(xié)議，只需要啟動(dòng)三層路由協(xié)議和CPU保護(hù)即可。樓層接入?yún)^(qū)設(shè)計(jì)樓棟接入?yún)^(qū)主要是負(fù)責(zé)本樓層內(nèi)的信息點(diǎn)互聯(lián)起來，為各個(gè)信息點(diǎn)提供layer2層接入功能。主要完成以下功能：通過VLAN定義實(shí)現(xiàn)業(yè)務(wù)劃分。實(shí)現(xiàn)QoS，對(duì)數(shù)據(jù)包進(jìn)行分類和標(biāo)記。接入網(wǎng)作為用戶終端接入的唯一接口，在為用戶終端提供高速、方便的網(wǎng)絡(luò)接入服務(wù)的同時(shí)，需要對(duì)用戶終端進(jìn)行入網(wǎng)認(rèn)證、訪問行為規(guī)范控制，從而拒絕非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)資源，并有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊。在每個(gè)樓層根據(jù)信息點(diǎn)的情況建議部署24口或48口全千兆接入交換機(jī)，通過千兆鏈路與匯聚交換機(jī)互聯(lián)。服務(wù)器區(qū)設(shè)計(jì)服務(wù)器區(qū)主要實(shí)現(xiàn)如下功能：PMS、OA等服務(wù)器的網(wǎng)絡(luò)承載；承載網(wǎng)絡(luò)管理平臺(tái)；部署服務(wù)器區(qū)的VLAN信息，實(shí)現(xiàn)VLAN終結(jié)在服務(wù)器區(qū)；實(shí)現(xiàn)服務(wù)器區(qū)到核心交換平臺(tái)的路由策略；實(shí)施安全訪問控制（ACL），保證網(wǎng)絡(luò)安全；服務(wù)器直接連接到核心交換機(jī)，實(shí)現(xiàn)服務(wù)器的安全、高可用承載。互聯(lián)網(wǎng)區(qū)設(shè)計(jì)主要實(shí)現(xiàn)與Internet的互聯(lián)，在互聯(lián)區(qū)建議部署1臺(tái)路由器實(shí)現(xiàn)與Internet的互聯(lián)互通及NAT轉(zhuǎn)換。網(wǎng)絡(luò)高可用設(shè)計(jì)高可用設(shè)計(jì)核心交換區(qū)高可用設(shè)計(jì)核心交換主要通過設(shè)備自身和網(wǎng)絡(luò)架構(gòu)的高可用性設(shè)計(jì)來確保整體高可用。設(shè)備高可用設(shè)計(jì)為提高核心交換機(jī)的設(shè)備級(jí)高可用性，骨干交換機(jī)需要具備以下的高可用性技術(shù)：（一）設(shè)備本身必須達(dá)到99.99%電信級(jí)可靠性；（二）所有關(guān)鍵器件，如主控板、電源等采用冗余設(shè)計(jì)，業(yè)務(wù)模塊支持熱插拔；（三）采用無源背板；（四）支持不間斷轉(zhuǎn)發(fā)，主控板支持熱備份。主備倒換過程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟數(shù)據(jù)；（五）具備CPU保護(hù)技術(shù)來避免異常流量和攻擊流量對(duì)設(shè)備可用性的威脅；網(wǎng)絡(luò)高可用設(shè)計(jì)不間斷路由：為了解決路由備份問題，采用不間斷路由技術(shù)。在核心層設(shè)備的路由主控板發(fā)生問題后，設(shè)備中的備用主控板自然切換為主用，替代執(zhí)行路由的處理，而這個(gè)過程對(duì)轉(zhuǎn)發(fā)平面是透明的，轉(zhuǎn)發(fā)平面可以繼續(xù)轉(zhuǎn)發(fā)報(bào)文，做到不中斷轉(zhuǎn)發(fā)。服務(wù)器區(qū)高可用設(shè)計(jì)為了實(shí)現(xiàn)高可用性，服務(wù)器通常采用雙鏈路上行，網(wǎng)絡(luò)驅(qū)動(dòng)程序?qū)⒍鄠€(gè)網(wǎng)卡捆綁成一個(gè)虛擬的網(wǎng)卡，如果一個(gè)網(wǎng)卡失效，另一個(gè)網(wǎng)卡會(huì)接管它的MAC地址，服務(wù)器使用一個(gè)唯一的IP地址進(jìn)行訪問（兩個(gè)網(wǎng)卡必須位于同一廣播域同一子網(wǎng)）。核心交換機(jī)通過千兆聚合鏈路與服務(wù)器相連。特點(diǎn)：鏈路冗余、故障時(shí)間收斂短。網(wǎng)絡(luò)高安全設(shè)計(jì)核心交換機(jī)內(nèi)置強(qiáng)大的安全特性關(guān)鍵部件的安全穩(wěn)定主機(jī)支持冗余的管理模塊、冗余的電源模塊、各種模塊熱拔插等安全穩(wěn)定保障技術(shù)。主機(jī)實(shí)時(shí)檢測(cè)CPU的使用狀態(tài)，并提供業(yè)界領(lǐng)先的硬件CPU保護(hù)技術(shù)（CPP，CPUProtectPolicy），CPP技術(shù)對(duì)發(fā)往CPU的數(shù)據(jù)進(jìn)行流區(qū)分和流限速，避免非法攻擊包對(duì)CPU的攻擊和資源消耗。病毒和攻擊防護(hù)采用硬件方式提供多種安全防護(hù)能力，例如NFPP、CPP、防DDOS攻擊、非法數(shù)據(jù)包檢測(cè)、數(shù)據(jù)加密、防源IP地址欺騙等等，避免了傳統(tǒng)軟件實(shí)現(xiàn)方式對(duì)整機(jī)性能的影響。NFPP是英文NetworkFoundationProtectionPolicy的縮寫，中文意思是“基礎(chǔ)網(wǎng)絡(luò)保護(hù)策略”；NFPP技術(shù)可以聯(lián)動(dòng)網(wǎng)絡(luò)設(shè)備自身的安全檢測(cè)和安全防護(hù)技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的自動(dòng)智能安全體系。隨著交換機(jī)應(yīng)用的逐漸普及，以及網(wǎng)絡(luò)攻擊的不斷增多，越來越需要為數(shù)據(jù)交換機(jī)提供一種保護(hù)機(jī)制，對(duì)發(fā)往交換機(jī)CPU的數(shù)據(jù)流，進(jìn)行流分類和優(yōu)先級(jí)分級(jí)處理，以及CPU的帶寬限速，以確保在任何情況下CPU都不會(huì)出現(xiàn)負(fù)載過高的狀況，從而能為用戶提供一個(gè)穩(wěn)定的網(wǎng)絡(luò)環(huán)境，這種保護(hù)機(jī)制就是CPUProtectPolicy，簡(jiǎn)稱CPP。提供業(yè)界最為強(qiáng)大的ACL特性，基于SPOH技術(shù)提供IP標(biāo)準(zhǔn)、IP擴(kuò)展、MAC擴(kuò)展、時(shí)間、專家級(jí)等豐富的ACL技術(shù)，支持IPv4/IPv6雙棧下的輸入輸出ACL。提供線卡分布式的IPFIX監(jiān)控技術(shù)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，有助于提早發(fā)現(xiàn)網(wǎng)絡(luò)中病毒和攻擊等不安全行為，并通過流量監(jiān)控技術(shù)提供的詳細(xì)異常流量數(shù)據(jù)信息，識(shí)別攻擊源或攻擊手段。支持同時(shí)啟用多組的多端口同步監(jiān)控技術(shù)，并且支持靈活的輸入、輸出、雙向數(shù)據(jù)鏡像，滿足靈活的網(wǎng)絡(luò)監(jiān)控需求，提升網(wǎng)絡(luò)監(jiān)控能力。設(shè)備管理安全提供SSHv1/v2的加密登陸和管理功能，避免管理信息明文傳輸引發(fā)的潛在威脅。Telnet/Web登錄的源IP限制功能，避免非法人員對(duì)網(wǎng)絡(luò)設(shè)備的管理。SNMPv3提供加密和鑒別功能，可以確保數(shù)據(jù)從合法的數(shù)據(jù)源發(fā)出，確保數(shù)據(jù)在傳輸過程中不被篡改，并且加密報(bào)文，確保數(shù)據(jù)的機(jī)密性。接入安全硬件支持IP、MAC、端口綁定，提高用戶接入控制能力。支持802.1X技術(shù)，滿足6元素綁定接入限制。支持IGMP源端口檢查、源IP檢查、IGMP過濾等功能，可有效控制非法組播源，提高網(wǎng)絡(luò)安全。IGMPv3支持通告客戶端主機(jī)希望接收的多播源服務(wù)器的地址，避免非法的組播數(shù)據(jù)流占用網(wǎng)絡(luò)帶寬。通過PVLAN（端口保護(hù)）隔離用戶之間信息互通，不必占用VLAN資源。支持根據(jù)帶寬速率或帶寬百分比進(jìn)行未知名報(bào)文、多播包、廣播包進(jìn)行控制。端口MAC地址鎖、MAC地址過濾、端口MAC地址接入數(shù)量限制功能可以屏蔽非法主機(jī)的接入和非法數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)。接入層網(wǎng)絡(luò)安全規(guī)劃接入層包括：辦公網(wǎng)樓層接入層、客房網(wǎng)樓層接入層、設(shè)備網(wǎng)弱電設(shè)備接入?yún)^(qū)。用戶在訪問網(wǎng)絡(luò)的過程中，首先要經(jīng)過的就是接入交換機(jī)，在用戶試圖進(jìn)入網(wǎng)絡(luò)的時(shí)候，也就是在接入層交換機(jī)上部署網(wǎng)絡(luò)安全無疑是達(dá)到更好的效果。接入層實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒和攻擊的有效控制 銳捷接入層交換機(jī)內(nèi)置了豐富的安全防護(hù)功能，如下圖：（1）防IP地址盜用和ARP攻擊銳捷接入層交換機(jī)通過對(duì)每一個(gè)ARP報(bào)文進(jìn)行深度的檢測(cè)，即檢測(cè)ARP報(bào)文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。（2）防MACFlood\SYNFlood攻擊通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡(jiǎn)單的一個(gè)命令就可以實(shí)現(xiàn)）。并實(shí)現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進(jìn)行網(wǎng)絡(luò)的攻擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。并且此功能可直接在接入層交換機(jī)上實(shí)現(xiàn)，真正做到了安全控制到邊緣?。?）非法組播源的屏蔽銳捷接入層交換機(jī)均支持IMGP源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口。當(dāng)IGMP源端口檢查打開時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，同時(shí)可以有效杜絕以組播方式的傳播病毒.而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時(shí)IGMP源端口檢查，具有效率更高、配置更簡(jiǎn)單、更加實(shí)用的特點(diǎn)，更加適用于大規(guī)模網(wǎng)絡(luò)應(yīng)用環(huán)境。以上可直接在接入交換機(jī)上部署，保證了組播應(yīng)用的安全性，同時(shí)也提高了網(wǎng)絡(luò)性能?。?）對(duì)DHCP攻擊的控制方式一、非法DHCPServer，為合法用戶的IP請(qǐng)求分配不正確的IP地址、網(wǎng)關(guān)、DNS等錯(cuò)誤信息，不僅影響合法用戶的正常通訊，還導(dǎo)致合法用戶的信息都發(fā)往非法DHCPServer，嚴(yán)重影響合法用戶的信息安全。方式二、惡意用戶通過更換MAC地址的方式向DHCPServer發(fā)送大量的DHCP請(qǐng)求，以消耗DHCPServer可分配的IP地址為目的，使得合法用戶的IP請(qǐng)求無法實(shí)現(xiàn)。銳捷接入層交換機(jī)均可對(duì)以上兩種方式進(jìn)行有效控制：可檢查和控制DHCP響應(yīng)報(bào)文合法性可遏制惡意用戶不斷更換MAC地址的DHCP請(qǐng)求（5）對(duì)DOS攻擊，掃描攻擊的屏蔽通過在銳捷接入層設(shè)備部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。（6）對(duì)網(wǎng)絡(luò)病毒的控制對(duì)于常見的比如沖擊波、振蕩波、ARP病毒等對(duì)網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，本次投標(biāo)的所有銳捷接入層交換機(jī)內(nèi)置了豐富的AC功能，能夠?qū)@些病毒進(jìn)行防范，一旦某個(gè)用戶不小心感染上了這種類型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶，保證了帶寬的有效利用。最有效的防病毒配置文件如下：ipaccess-listextendedlandenyudpanyanyeq136denyudpanyanyeqnetbios-nsdenyudpanyanyeqnetbios-dgmdenyudpanyanyeqnetbios-ssdenyudpanyanyeq445denyudpanyanyeq593denyudpanyanyeq1434denytcpanyanyeq135denytcpanyanyeq136denytcpanyanyeq137denytcpanyanyeq138denytcpanyanyeq445denytcpanyanyeq593denytcpanyanyeq4444denytcpanyanyeq5800denytcpanyanyeq5900denytcpanyanyeq6667denytcpanyanyeq5554denytcpanyanyeq9996permitipanyany端口135

服務(wù)LocationService

說明Microsoft在這個(gè)端口運(yùn)行DCERPCend-pointmapper為它的DCOM服務(wù)。這與UNIX111端口的功能很相似。使用DCOM和RPC的服務(wù)利用計(jì)算機(jī)上的end-pointmapper注冊(cè)它們的位置。遠(yuǎn)端客戶連接到計(jì)算機(jī)時(shí)，它們查找end-pointmapper找到服務(wù)的位置。HACKER掃描計(jì)算機(jī)的這個(gè)端口是為了找到這個(gè)計(jì)算機(jī)上運(yùn)行ExchangeServer嗎？什么版本？還有些DOS攻擊直接針對(duì)這個(gè)端口。端口137、138、139

服務(wù)NETBIOSNameService

說明其中137、138是UDP端口，當(dāng)通過網(wǎng)上鄰居傳輸文件時(shí)用這個(gè)端口。而139端口通過這個(gè)端口進(jìn)入的連接試圖獲得NetBIOS/SMB服務(wù)。這個(gè)協(xié)議被用于windows文件和打印機(jī)共享和SAMBA。還有WINSRegisrtation也用它。端口445說明：445端口和139端口一樣，都是用來開啟SMB服務(wù)的端口。在2000系統(tǒng)里，445開啟NBT（共享文件）服務(wù)，利用它，你才能看見網(wǎng)上鄰居上的其他電腦，利用這個(gè)端口可以獲取主機(jī)的相關(guān)信息?；ヂ?lián)網(wǎng)上的蠕蟲病毒以及其他病毒，利用這個(gè)端口對(duì)該機(jī)以外的其他機(jī)器進(jìn)行病毒傳播。在遠(yuǎn)程控制方面這個(gè)端口作用不是特別大，但是病毒傳播的效果是很明顯的。應(yīng)該封閉這些端口，主要有：TCP135、139、445、593、1025端口和UDP135、137、138、445端口，一些流行病毒的后門端口（如TCP2745、3127、6129端口），以及遠(yuǎn)程服務(wù)訪問端口3389、4444端口如果發(fā)現(xiàn)你的機(jī)器開放這個(gè)端口，可能表示你感染了msblast蠕蟲，清除該蠕蟲的方法如下：1、使用進(jìn)程管理工具結(jié)束msblast.exe的進(jìn)程2編輯注冊(cè)表，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun項(xiàng)中的"Windowsautoupdate"="msblast.exe"鍵值3、刪除c:Winntsystem32目錄下的msblast.exe文件5800，5900端口

首先說明5800，5900端口是遠(yuǎn)程控制軟件VNC的默認(rèn)服務(wù)端口，但是VNC在修改過后會(huì)被用在某些蠕蟲中。

請(qǐng)先確認(rèn)VNC是否是你自己開放并且是必須的，如果不是請(qǐng)關(guān)閉關(guān)閉的方法：1、首先使用fport命令確定出監(jiān)聽在5800和5900端口的程序所在位置（通常會(huì)是c:Winntfont***plorer.exe)

2、在任務(wù)管理器中殺掉相關(guān)的進(jìn)程（注意有一個(gè)是系統(tǒng)本身正常的，請(qǐng)注意！如果錯(cuò)殺可以重新運(yùn)行c:Winntexplorer.exe)

3、刪除C:Winntfonts中的explorer.exe程序。

4、刪除注冊(cè)表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersi（7）對(duì)未知網(wǎng)絡(luò)病毒的防范對(duì)于未知的網(wǎng)絡(luò)病毒，通過在銳捷接入交換機(jī)部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如視頻會(huì)議、視頻監(jiān)控、管理數(shù)據(jù)流有足夠可用的帶寬，當(dāng)新的病毒產(chǎn)生時(shí)，不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行，從而保證了網(wǎng)絡(luò)的高可用性。酒店外網(wǎng)互聯(lián)區(qū)網(wǎng)絡(luò)安全規(guī)劃采用在線模式部署在優(yōu)先保證業(yè)務(wù)持續(xù)的基礎(chǔ)上提供全面的防護(hù)；基于狀態(tài)的鏈路檢測(cè)功能；能夠有效抵御DoS/DDoS攻擊；對(duì)網(wǎng)絡(luò)蠕蟲病毒進(jìn)行有效防護(hù)；可以針對(duì)數(shù)據(jù)進(jìn)行2~7層的深度安全防護(hù)；提供對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)、鏈路的保護(hù)；具備實(shí)時(shí)的升級(jí)特性；提供可供分析的標(biāo)準(zhǔn)日志結(jié)構(gòu)；網(wǎng)絡(luò)設(shè)備自身安全加固網(wǎng)絡(luò)系統(tǒng)安全主要考慮以下幾個(gè)方面：路由安全、接入安全、訪問控制和監(jiān)測(cè)、日志記錄、業(yè)務(wù)隔離等方面。關(guān)閉IP功能服務(wù)有些IP特性被惡意攻擊者利用，會(huì)增加網(wǎng)絡(luò)的危險(xiǎn)，因此，網(wǎng)絡(luò)設(shè)備應(yīng)具備關(guān)閉這些IP功能的能力。1）IP源路由選項(xiàng)開關(guān)在IP路由技術(shù)中，通常一個(gè)IP報(bào)文總是沿著網(wǎng)絡(luò)中的每個(gè)路由器所選擇的路徑上轉(zhuǎn)發(fā)分組。IP協(xié)議中提供了源站和記錄路由選項(xiàng)，它的含義是允許源站明確指定一條到目的地的路由，覆蓋掉中間路由器的路由選擇。并且，在分組到達(dá)目的地的過程中，把該路由記錄下來。源路由選項(xiàng)通常用于指定網(wǎng)絡(luò)路徑的故障診斷和某種特殊業(yè)務(wù)的臨時(shí)傳送。因?yàn)镮P源路由選項(xiàng)忽略了報(bào)文傳輸路徑中的各個(gè)設(shè)備的中間轉(zhuǎn)發(fā)過程，而不管轉(zhuǎn)發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡(luò)結(jié)構(gòu)。因此，設(shè)備應(yīng)能關(guān)閉IP源路由選項(xiàng)功能。2）重定向開關(guān)網(wǎng)絡(luò)設(shè)備向同一個(gè)子網(wǎng)的主機(jī)發(fā)送ICMP重定向報(bào)文，請(qǐng)求主機(jī)改變路由。一般情況下，設(shè)備僅向主機(jī)而不向其它設(shè)備發(fā)送ICMP重定向報(bào)文。但一些惡意的攻擊可能跨越網(wǎng)段向另外一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)送虛假的重定向報(bào)文，以期改變主機(jī)的路由表，干擾主機(jī)正常的IP報(bào)文轉(zhuǎn)發(fā)。因此，設(shè)備應(yīng)能關(guān)閉ICMP重定向報(bào)文的轉(zhuǎn)發(fā)。3）定向廣播報(bào)文轉(zhuǎn)發(fā)開關(guān)在接口上進(jìn)行配置，禁止目的地址為子網(wǎng)廣播地址的報(bào)文從該接口轉(zhuǎn)發(fā)，以防止smurf攻擊。因此，設(shè)備應(yīng)能關(guān)閉定向廣播報(bào)文的轉(zhuǎn)發(fā)。缺省應(yīng)為關(guān)閉狀態(tài)。4）ICMP協(xié)議的功能開關(guān)很多常見的網(wǎng)絡(luò)攻擊利用了ICMP協(xié)議功能。ICMP協(xié)議允許網(wǎng)絡(luò)設(shè)備中間節(jié)點(diǎn)（路由器）向其它設(shè)備節(jié)點(diǎn)和主機(jī)發(fā)送差錯(cuò)或控制報(bào)文；主機(jī)也可用ICMP協(xié)議與網(wǎng)絡(luò)設(shè)備或另一臺(tái)主機(jī)通信。對(duì)ICMP的防護(hù)比較復(fù)雜，因?yàn)镮CMP中一些消息已經(jīng)作廢，而有一些消息在基本傳送中不使用，而另外一些則是常用的消息，因此ICMP協(xié)議處理中應(yīng)根據(jù)這三種差別對(duì)不同的ICMP消息處理，以減少ICMP對(duì)網(wǎng)絡(luò)安全的影響。設(shè)備安全防護(hù)設(shè)備自身的安全防護(hù)技術(shù)1）口令管理為防止對(duì)系統(tǒng)未經(jīng)授權(quán)的訪問，系統(tǒng)必須具有完善的密碼管理功能。雖然幾乎所有數(shù)據(jù)通信設(shè)備都具有RADIUS或TACACS認(rèn)證服務(wù)器進(jìn)行口令管理的能力，但在設(shè)備本地進(jìn)行密碼分配和管理仍是設(shè)備本身應(yīng)具有的安全特性。這里只描述本地密碼管理?？诹畹拿芪娘@示若系統(tǒng)的配置文件以文本方式進(jìn)行保存，則在配置文件中，所有的口令都必須以密文方式顯示和保存。2）控制對(duì)設(shè)備的訪問控制臺(tái)訪問：控制臺(tái)是設(shè)備提供的最基本的配置方式?？刂婆_(tái)擁有對(duì)設(shè)備最高配置權(quán)限，對(duì)控制臺(tái)訪問方式的權(quán)限管理應(yīng)擁有最嚴(yán)格的方式。用戶登錄驗(yàn)證對(duì)從設(shè)備CONSOLE口進(jìn)行訪問配置的用戶必需具有身份認(rèn)證的能力，可以通過本地用戶驗(yàn)證或RADIUS驗(yàn)證實(shí)現(xiàn)。控制臺(tái)超時(shí)注銷控制臺(tái)訪問用戶超過一段時(shí)間對(duì)設(shè)備沒有交互操作，設(shè)備將自動(dòng)注銷本次控制臺(tái)配置任務(wù)。超時(shí)時(shí)間必須可配置，缺省為10分鐘。使能/禁止用戶通過控制臺(tái)對(duì)設(shè)備進(jìn)行訪問通過禁止控制臺(tái)數(shù)據(jù)收發(fā)，禁止用戶直接通過異步線路進(jìn)行配置。這樣，即使非法用戶占領(lǐng)了控制臺(tái)，通過重啟設(shè)備清除了控制臺(tái)訪問口令，也無法通過控制臺(tái)對(duì)設(shè)備進(jìn)行非法配置?？刂婆_(tái)終端鎖定配置用戶離開配置現(xiàn)場(chǎng)，設(shè)備應(yīng)提供暫時(shí)鎖定終端的能力，并設(shè)置解鎖口令。3)異步輔助端口的本地/遠(yuǎn)程撥號(hào)訪問通過設(shè)備的其它異步輔助端口對(duì)設(shè)備進(jìn)行本地、遠(yuǎn)程撥號(hào)的交互配置，是設(shè)備通供的額外配置方式。缺省要求身份驗(yàn)證對(duì)于非控制臺(tái)的其它一切配置手段，必須要求設(shè)備配置身份驗(yàn)證，如果設(shè)備未配，將拒絕接受用戶登錄。用戶登錄驗(yàn)證原理同控制臺(tái)訪問控制的基本能力，這是無論那種配置方式都必需提供的基本控制能力。終端超時(shí)注銷/掛斷原理同控制臺(tái)訪問控制的基本能力，對(duì)于PSTN撥號(hào)配置方式，超時(shí)將掛斷連接。超時(shí)時(shí)間必須可配置，缺省為10分鐘。使能/禁止用戶通過輔助端口對(duì)設(shè)備進(jìn)行交互訪問終端鎖定撥號(hào)用戶回呼功能當(dāng)通過輔助端口以撥號(hào)方式對(duì)設(shè)備進(jìn)行配置時(shí)，可以保證當(dāng)口令被盜用時(shí)，非法用戶也不能盜用線路。4）TELNET訪問缺省要求身份驗(yàn)證對(duì)于非控制臺(tái)的其它一切配置手段，必須要求設(shè)備配置身份驗(yàn)證，如果設(shè)備未配，將拒絕登錄。用戶登錄驗(yàn)證終端超時(shí)退出當(dāng)telnet連接未交互超過一定時(shí)間時(shí)，將斷開本次telnet連接。超時(shí)時(shí)間必須可配置，缺省為10分鐘限制telnet用戶數(shù)目設(shè)備對(duì)telnet用戶數(shù)量必需做出上限控制。使能/禁止用戶通過telnet方式對(duì)設(shè)備進(jìn)行訪問telnet訪問的限入限出限制哪些用戶可以通過telnet客戶端對(duì)設(shè)備進(jìn)行訪問；限制設(shè)備通過telnet客戶端程序?qū)δ切┠繕?biāo)主機(jī)進(jìn)行訪問telnet終端鎖定5）SNMP訪問SNMP是一種使用非常廣泛的協(xié)議，主要用于設(shè)備的監(jiān)控和配置的更改。SNMP協(xié)議自身有安全性保障，同時(shí)SNMPAgent還應(yīng)該具備對(duì)網(wǎng)管站的訪問進(jìn)行限制的能力。需特別指出：SNMP的網(wǎng)管站通常有大量的關(guān)于驗(yàn)證信息的數(shù)據(jù)庫(kù)，例如團(tuán)體名。這些信息可以提供訪問許多路由器或者其他網(wǎng)絡(luò)設(shè)備的途徑。這使得網(wǎng)管站成為許多攻擊的目標(biāo)，因此，必須要保證網(wǎng)管站的安全。SNMPv1的安全性SNMPV1使用的驗(yàn)證方式是基于團(tuán)體名字符串的驗(yàn)證機(jī)制，SNMPv1的驗(yàn)證非常弱：它使用明文作為驗(yàn)證字。大部分的SNMP操作重復(fù)使用該字符串作為周期性輪流檢測(cè)的一部分。如果必須使用SNMPV1，應(yīng)當(dāng)注意如下事項(xiàng)，以避免安全隱患：最好不要使用常用的"public"和"private"作為團(tuán)體名；對(duì)每個(gè)設(shè)備使用不同的團(tuán)體名，或者至少是對(duì)網(wǎng)絡(luò)上的每個(gè)區(qū)域使用不同的團(tuán)體名。不要使只讀的團(tuán)體名和讀寫的團(tuán)體名一致。如果可能，應(yīng)該實(shí)現(xiàn)使用只讀的團(tuán)體名進(jìn)行周期性的輪流檢測(cè)。讀寫的團(tuán)體名應(yīng)該僅僅用于當(dāng)前的寫操作。SNMPv2的安全性SNMP的后序版本SNMPv2進(jìn)行了改進(jìn)，它支持基于MD5的驗(yàn)證方案，并且允許對(duì)訪問的管理數(shù)據(jù)進(jìn)行存取上的限制。SNMPv2基本上是一個(gè)過渡版本，有多個(gè)版本，盡管也考慮了協(xié)議自身的安全性，但是技術(shù)上并不成熟，安全性仍比較弱。尤其要注意的是，目前常用的SNMPv2c，沒有增加安全特性，其安全能力與SNMPv1相同。SNMPv3的安全性SNMPv3對(duì)協(xié)議的安全性給出了全面的解決方案。SNMPv3繼承了SNMPv2u的很多優(yōu)點(diǎn)，并且從系統(tǒng)的角度進(jìn)行了優(yōu)化。它提供了一個(gè)SNMPNMS和AGENT的完整的系統(tǒng)框架。從安全角度來講，SNMPv3使用了基于用戶的安全模式（USM）和基于視圖的訪問控制模式（VACM）。USM使用MD5或者SHA對(duì)報(bào)文進(jìn)行驗(yàn)證，使用DES對(duì)報(bào)文進(jìn)行加密。這樣保證了數(shù)據(jù)的完整性和正確性。VACM則對(duì)當(dāng)前用戶的訪問權(quán)限進(jìn)行檢查，看當(dāng)前用戶是否可以對(duì)管理數(shù)據(jù)進(jìn)行操作。關(guān)于USM和VACM的詳細(xì)介紹可以參見RFC2574和RFC2575。網(wǎng)管訪問控制列表在大多數(shù)網(wǎng)絡(luò)中，合法的SNMP報(bào)文將來自于某幾個(gè)網(wǎng)管站。SNMPAgent應(yīng)使用訪問列表對(duì)SNMP報(bào)文進(jìn)行限制，僅僅允許指定IP地址的網(wǎng)管站訪問。6）HTTP訪問HTTP訪問方式通過HTTP協(xié)議對(duì)設(shè)備進(jìn)行配置和監(jiān)控，同樣是對(duì)設(shè)備的一種交互訪問方式HTTP用戶驗(yàn)證對(duì)HTTP客戶端進(jìn)行身份認(rèn)證，可以選擇采用本地或RADIUS、TACACS協(xié)議等多種方式進(jìn)行認(rèn)證。但目前HTTP協(xié)議本身僅支持明文驗(yàn)證。HTTP訪問控制列表與訪問受限的網(wǎng)管站和telnet客戶端一樣，限制那些HTTP客戶端能夠?qū)υO(shè)備進(jìn)行訪問。關(guān)閉設(shè)備服務(wù)1）關(guān)閉UDP/TCP小端口服務(wù)早期的TCP/UDP端口服務(wù)，設(shè)計(jì)比較簡(jiǎn)單，沒有考慮網(wǎng)絡(luò)安全問題，這類小端口服務(wù)可能被惡意攻擊者利用。例如，7號(hào)UDP端口服務(wù)“echo”回應(yīng)所有發(fā)送給它的包，19號(hào)UDP端口服務(wù)“chargen”自動(dòng)發(fā)送字符串。常見網(wǎng)絡(luò)攻擊中，UDP洪水就是利用chargen和echo來傳送毫無用處的占滿帶寬的數(shù)據(jù)：通過偽造與某一主機(jī)的Chargen服務(wù)之間的一次的UDP連接，回復(fù)地址指向開著Echo服務(wù)的一臺(tái)主機(jī)，這樣就生成在兩臺(tái)主機(jī)之間的足夠多的無用數(shù)據(jù)流，從而消耗網(wǎng)絡(luò)帶寬。其他常見的端口服務(wù)索引參見RFC1700。如果網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)了這些早期的小端口服務(wù)，應(yīng)能通過一條指令關(guān)閉所有的小端口服務(wù)。作為網(wǎng)絡(luò)設(shè)備，最好不實(shí)現(xiàn)這些無用的小端口服務(wù)。2）關(guān)閉協(xié)議服務(wù)設(shè)備上提供很多服務(wù)和應(yīng)用，在不同的網(wǎng)絡(luò)環(huán)境中這些服務(wù)可能是不必要的，若開啟這些服務(wù)將對(duì)設(shè)備自身性能造成影響，因此需要這些關(guān)閉服務(wù)；有些服務(wù)還會(huì)帶來潛在的安全問題，也同樣需要關(guān)閉。關(guān)閉finger服務(wù)利用finger服務(wù)，遠(yuǎn)程主機(jī)可以監(jiān)聽到所有登錄到設(shè)備中的用戶login信息。若被惡意攻擊者利用可以竊取登錄到系統(tǒng)的所有用戶的詳細(xì)信息。網(wǎng)絡(luò)設(shè)備需要禁止finger服務(wù)。關(guān)閉NTP協(xié)議服務(wù)NTP協(xié)議用來在整個(gè)網(wǎng)絡(luò)發(fā)布精確時(shí)鐘。通常在設(shè)備上指定特定的接口去發(fā)送和接收NTP報(bào)文；同時(shí)在某些特定接口上禁止接收NTP報(bào)文，以減少對(duì)設(shè)備性能的損耗。3）設(shè)備健壯性設(shè)計(jì)網(wǎng)絡(luò)設(shè)備暴露出來的安全問題，很多情況下，并不是直接由設(shè)備安全不足產(chǎn)生的，而是設(shè)備本身不健壯導(dǎo)致的。首先，流量負(fù)荷較重容易導(dǎo)致系統(tǒng)崩潰。網(wǎng)絡(luò)在惡意攻擊下，容易呈現(xiàn)流量不對(duì)稱現(xiàn)象，有些設(shè)備對(duì)這個(gè)現(xiàn)象沒有做相應(yīng)的可靠性設(shè)計(jì)。其次，設(shè)備需要對(duì)這類畸形包做健壯性設(shè)計(jì)。在常見網(wǎng)絡(luò)攻擊中，有一類是利用畸形包來攻擊網(wǎng)絡(luò)設(shè)備。例如：淚滴（teardrop）攻擊，對(duì)IP分片的報(bào)文頭，偽造分段長(zhǎng)度，制造出重疊偏移的情況。某些設(shè)備的TCP/IP協(xié)議棧，在收到含有這樣的重疊偏移分段時(shí)將崩潰。因此，對(duì)于寬帶產(chǎn)品，有必要在產(chǎn)品測(cè)試過程中，引入模擬網(wǎng)絡(luò)攻擊測(cè)試，驗(yàn)證各寬帶產(chǎn)品在各類常見攻擊下的可靠性。4）設(shè)備安全補(bǔ)丁軟件補(bǔ)丁是為了對(duì)系統(tǒng)軟件中的某些錯(cuò)誤進(jìn)行修改而發(fā)布的獨(dú)立的軟件單元。軟件補(bǔ)丁應(yīng)當(dāng)在不影響系統(tǒng)正常運(yùn)行的情況下，完成對(duì)系統(tǒng)錯(cuò)誤的修正。對(duì)于設(shè)備存在的軟件安全漏洞，可以采用打軟件補(bǔ)丁的方法進(jìn)行補(bǔ)救。基本要求軟件補(bǔ)丁的加載和生效需要?jiǎng)討B(tài)進(jìn)行，即在不影響用戶業(yè)務(wù)的情況下完成。提供補(bǔ)丁軟件校驗(yàn)碼，增加補(bǔ)丁軟件加載的自身安全。注意事項(xiàng)軟件補(bǔ)丁動(dòng)態(tài)加載的能力可能被惡意攻擊者利用，需要加強(qiáng)權(quán)限管理。缺省應(yīng)關(guān)閉軟件補(bǔ)丁動(dòng)態(tài)加載的能力。其它安全措施1、信息隱匿：NAT在出口路由器上使用NAT，使得公網(wǎng)用戶無法看見本網(wǎng)絡(luò)的用戶IP地址，保護(hù)本網(wǎng)用戶免受公網(wǎng)用戶的攻擊。2、對(duì)所有重要事件log利用Syslog記錄重要的設(shè)備信息(如告警，設(shè)備狀態(tài)變化信息)，可以為故障定位排除提供有利數(shù)據(jù)。3、URPF對(duì)基于源地址欺騙的網(wǎng)絡(luò)攻擊，一般是使用防火墻技術(shù)來解決的，即通過手工配置防火墻策略來拒絕非法源地址的報(bào)文，但這種方法具有一定的局限性。首先，基于源地址欺騙的攻擊者，會(huì)經(jīng)常改變其報(bào)文的源地址來進(jìn)行攻擊，而防火墻是無法動(dòng)態(tài)檢測(cè)到這種變化的，需要網(wǎng)絡(luò)管理人員定期地去更新防火墻的配置。其次，防火墻的實(shí)現(xiàn)需要在接口上配置ACL，如果配置過多的ACL，對(duì)性能會(huì)有很大的影響。VLAN規(guī)劃建議方案，以酒店實(shí)際規(guī)劃為主。供酒店外網(wǎng)、酒店內(nèi)網(wǎng)參考。各功能區(qū)VLAN定義根據(jù)酒店的實(shí)際情況來劃分。IP分配方案建議方案，以酒店實(shí)際規(guī)劃為主。供酒店外網(wǎng)、酒店內(nèi)網(wǎng)參考。IP地址規(guī)劃的重要性IP地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。需要在所分配的IP地址網(wǎng)段中盡可能地利用地址空間，充分考慮地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。IP地址空間的分配與合理使用與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織及路由政策有非常密切的關(guān)系，將對(duì)網(wǎng)絡(luò)的可用性、可靠性和有效性以及保密性產(chǎn)生顯著影響。IP地址規(guī)劃將對(duì)如下環(huán)節(jié)產(chǎn)生影響：路由協(xié)議的運(yùn)行效率網(wǎng)絡(luò)的性能網(wǎng)絡(luò)的擴(kuò)展網(wǎng)絡(luò)的管理IP地址編碼的基本原則唯一性唯一性是IP地址在TCP／IP協(xié)議中最基本的要求，是IP地址的基本特征和IP地址編制的重要依據(jù)。網(wǎng)絡(luò)平臺(tái)內(nèi)部每個(gè)網(wǎng)絡(luò)所使用的網(wǎng)絡(luò)地址字段必須是唯一的，在同一網(wǎng)絡(luò)中所使用的IP地址中包含的主機(jī)地址字段也必須是唯一的，這是實(shí)現(xiàn)IP網(wǎng)絡(luò)互聯(lián)互通的基本條件。連續(xù)性在層次化結(jié)構(gòu)的網(wǎng)絡(luò)中為各個(gè)節(jié)點(diǎn)劃分連續(xù)的IP地址區(qū)間，便于實(shí)觀路徑疊合(RouteSummarization)等優(yōu)化IP地址的分配技術(shù)，簡(jiǎn)化路由表數(shù)據(jù)，提高路由算法的計(jì)算效率和動(dòng)態(tài)路由的快速收斂，能有效利用地址空間。擴(kuò)展性IP地址編制要兼顧網(wǎng)絡(luò)規(guī)模擴(kuò)展的需求，為各個(gè)節(jié)點(diǎn)預(yù)留足夠的IP地址擴(kuò)展區(qū)間時(shí)，應(yīng)考慮對(duì)網(wǎng)絡(luò)在用地址的繼承性，滿足路由協(xié)議的要求、實(shí)現(xiàn)IP地址編用的平滑連接等，這是保證網(wǎng)絡(luò)擴(kuò)展和有序管理的重要條件。節(jié)約、可聚合充分合理利用已申請(qǐng)的地址空間，分配IP時(shí)可以采用VLSM和CDIR技術(shù)，保證IP地址的利用效率，方便路由聚合。管理便捷、可記憶劃分IP地址時(shí)，要考慮到管理的便捷性，可以采用靜態(tài)IP分配、DHCP動(dòng)態(tài)分配方式相結(jié)合的分配方式；設(shè)備互連IP、業(yè)務(wù)IP、loopbackIP分區(qū)域的，方便管理、部署各種策略。IP地址具體規(guī)劃設(shè)備loopbackIP地址規(guī)劃務(wù)必使用32位掩碼的地址。越是核心的設(shè)備，Loopback地址越小。設(shè)備互連地址規(guī)劃建議使用29位掩碼的地址。同類設(shè)備互連，編號(hào)小的設(shè)備取奇地址，編號(hào)大的設(shè)備取偶地址；相對(duì)核心的設(shè)備，使用較小的一個(gè)地址?；ヂ?lián)地址通常要聚合后發(fā)布，在規(guī)劃時(shí)要充分考慮使用連續(xù)的可聚合地址。業(yè)務(wù)IP地址規(guī)劃所有的網(wǎng)關(guān)地址統(tǒng)一使用相同的末位數(shù)字，如：.254都是表示網(wǎng)關(guān)。各地址空間中，服務(wù)器從高往低分配，普通PC從低往高分配。路由規(guī)劃建議方案，以酒店實(shí)際規(guī)劃為主。在所建網(wǎng)絡(luò)系統(tǒng)中將涉及酒店不同虛擬局域網(wǎng)之間的路由轉(zhuǎn)發(fā)以及與外聯(lián)區(qū)或互聯(lián)區(qū)的互聯(lián)，因此需要結(jié)合實(shí)際，在核心交換機(jī)對(duì)三層轉(zhuǎn)發(fā)協(xié)議進(jìn)行設(shè)置，由于通過VLAN隔離業(yè)務(wù)，在接入層交換機(jī)啟用二層接入功能，網(wǎng)關(guān)設(shè)在匯聚交換機(jī)，VLAN終結(jié)于核心交換機(jī)。QoS部署建議方案，以酒店實(shí)際規(guī)劃為主。在傳統(tǒng)的IP網(wǎng)絡(luò)中，所有的報(bào)文都被無區(qū)別的等同對(duì)待，每個(gè)網(wǎng)絡(luò)設(shè)備對(duì)所有的報(bào)文均采用先入先出（FIFO）的策略進(jìn)行處理，它盡最大的努力（best-effort）將報(bào)文送到目的地，但對(duì)報(bào)文傳送的可靠性、傳送延遲等性能不提供任何保證。隨著IP技術(shù)的日趨成熟，IP網(wǎng)絡(luò)電信化已經(jīng)成為大勢(shì)所趨，于是形成了語音、視頻、數(shù)據(jù)等多種業(yè)務(wù)IP統(tǒng)一承載，由于語音、視頻等實(shí)時(shí)業(yè)務(wù)自身的特點(diǎn)對(duì)承載平臺(tái)提出了嚴(yán)格的服務(wù)質(zhì)量要求，因此就必須在網(wǎng)絡(luò)中部署相應(yīng)的QoS技術(shù)，使得網(wǎng)絡(luò)管理者能夠有效地控制網(wǎng)絡(luò)資源的使用，能夠在有限資源的IP平臺(tái)上綜合語音、視頻及數(shù)據(jù)等多種業(yè)務(wù)，能夠區(qū)分業(yè)務(wù)、針對(duì)不同的業(yè)務(wù)提供特色的差分服務(wù)。QoS旨在針對(duì)各種應(yīng)用的不同需求，為其提供不同的服務(wù)質(zhì)量，例如：提供專用帶寬、減少報(bào)文丟失率、降低報(bào)文傳送時(shí)延及時(shí)延抖動(dòng)等。為實(shí)現(xiàn)上述目的，QoS提供了下述功能：1、報(bào)文分類和著色2、避免和管理網(wǎng)絡(luò)擁塞3、流量監(jiān)管和流量整形4、QoS信令協(xié)議在網(wǎng)絡(luò)設(shè)計(jì)中，設(shè)計(jì)合理的QOS保障方案，利用有限的資源，以獲得更好的網(wǎng)絡(luò)使用效益，是非常必要的。良好的QOS保障方案可以確保一般情況下網(wǎng)絡(luò)具有最好的使用效率、實(shí)時(shí)業(yè)務(wù)具有較小延時(shí)，惡劣情況下保證關(guān)鍵業(yè)務(wù)得到應(yīng)有的網(wǎng)絡(luò)服務(wù)。衡量QoS的指標(biāo)包括：1、帶寬/吞吐量-指網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)之間特定應(yīng)用業(yè)務(wù)流的平均速率；2、時(shí)延-指數(shù)據(jù)包在網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)之間傳送的平均往返時(shí)間；3、抖動(dòng)-指時(shí)延的變化；4、丟包率-指在網(wǎng)絡(luò)傳輸過程中丟失報(bào)文的百分比，用來衡量網(wǎng)絡(luò)正確轉(zhuǎn)發(fā)用戶數(shù)據(jù)的能力；5、可用性-指網(wǎng)絡(luò)可以為用戶提供服務(wù)的時(shí)間的百分比。在本期網(wǎng)絡(luò)中QOS方案部署如下：在接入層交換機(jī)接入端口根據(jù)不同業(yè)務(wù)進(jìn)行VLAN標(biāo)記,并可以對(duì)報(bào)文進(jìn)行802.1P優(yōu)先級(jí)標(biāo)記，以便后續(xù)的核心交換根據(jù)相應(yīng)優(yōu)先級(jí)標(biāo)記（802.1P、DSCP）進(jìn)行調(diào)度，當(dāng)然還可以根據(jù)策略的需要部署CAR流量監(jiān)管策略，對(duì)用戶的接入速率進(jìn)行控制，保證網(wǎng)絡(luò)各項(xiàng)應(yīng)用系統(tǒng)處于健康（輕載）的運(yùn)行狀態(tài)。網(wǎng)管系統(tǒng)設(shè)計(jì)酒店內(nèi)網(wǎng)和酒店外網(wǎng)各部署1套網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)的性能管理、故障管理、配置管理。設(shè)備配置的防災(zāi)保護(hù)配置快照：系統(tǒng)可以按照用戶的需要定期采集設(shè)備配置文件，對(duì)設(shè)備配置信息進(jìn)行備份，一 旦設(shè)備配置被破壞，管理員可輕松實(shí)現(xiàn)設(shè)備配置恢復(fù)。IP/MAC/PORT映射表：用戶可以據(jù)此判斷ARP攻擊，系統(tǒng)會(huì)自動(dòng)分析IP/MAC的映射變更，進(jìn)行預(yù)警。設(shè)備系統(tǒng)文件統(tǒng)一管理和規(guī)劃設(shè)備軟件統(tǒng)計(jì)：系統(tǒng)提供統(tǒng)計(jì)信息，詳細(xì)描述網(wǎng)內(nèi)應(yīng)用的設(shè)備型號(hào)、軟件版本信息，為用戶統(tǒng)一規(guī)劃設(shè)備版本提供幫助。設(shè)備軟件批量上傳下載：提供設(shè)備軟件批量上傳下載功能，無需動(dòng)用大量的人力物力,即可實(shí)現(xiàn)網(wǎng)內(nèi)設(shè)備應(yīng)用版本一致。俯瞰完整的網(wǎng)絡(luò)信息拓?fù)涔芾恚簭?qiáng)大的二、三層網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)能力，并通過拓?fù)鋱D進(jìn)行自動(dòng)的布局呈現(xiàn)，提供準(zhǔn) 確的定位查詢功能，提供完整的設(shè)備列表，允許用戶按照自己的需要對(duì)設(shè)備進(jìn)行分組管理呈現(xiàn)。察看在線用戶信息：可在拓?fù)渖喜炜丛诰€用戶信息，包括用戶名、IP地址、MAC地址等信息。注：該功能需要與SAM2.X(含)以上版本配合使用。網(wǎng)絡(luò)聽診器：定期對(duì)網(wǎng)絡(luò)響應(yīng)狀態(tài)進(jìn)行檢查，為管理員對(duì)網(wǎng)絡(luò)進(jìn)行基本體檢提供幫助。事件監(jiān)控：接收設(shè)備發(fā)出的事件信息，進(jìn)行分析呈現(xiàn)。設(shè)備的精細(xì)化管理真實(shí)的設(shè)備面板：提供網(wǎng)絡(luò)設(shè)備的真實(shí)面板，查看設(shè)備最為真實(shí)的信息。配置設(shè)備：向?qū)降脑O(shè)備配置管理，配置簡(jiǎn)單，降低錯(cuò)誤發(fā)生的可能。豐富的信息呈現(xiàn)：提供設(shè)備的路由表、ARP表等詳細(xì)信息查詢，內(nèi)嵌設(shè)備Telnet配置入口和設(shè)備WEB配置入口，提供用戶多種方式管理設(shè)備。設(shè)備選型選型依據(jù)結(jié)合本次項(xiàng)目的實(shí)際情況，并針對(duì)酒店的網(wǎng)絡(luò)需求，在進(jìn)行產(chǎn)品選型時(shí)，我們重點(diǎn)考慮了如下幾個(gè)方面：產(chǎn)品穩(wěn)定成熟對(duì)于酒店網(wǎng)絡(luò)，穩(wěn)定可靠是前提。首先，任何產(chǎn)品的成熟都是通過不斷的市場(chǎng)檢驗(yàn)和長(zhǎng)時(shí)間的修正來保證的，因此，建議所選用的產(chǎn)品必須在市場(chǎng)上大規(guī)模應(yīng)用一年以上，要有廣泛應(yīng)用案例，以充分保障酒店網(wǎng)絡(luò)的可靠性。其次，產(chǎn)品應(yīng)用案例必須有相似性，必須選用具有類似酒店案例項(xiàng)目的產(chǎn)品，以使產(chǎn)品能夠有效的滿足酒店網(wǎng)絡(luò)對(duì)高穩(wěn)定性的需求。高安全我們選擇的設(shè)備本身必須具有高抗攻擊能力。同時(shí)設(shè)備本身必須具備豐富的VLAN+ACL控制功能，以確保各類應(yīng)用的部署和有效隔離。高性能為確保整個(gè)平臺(tái)的高性能實(shí)時(shí)傳輸，需要選用具有高交換能力、高數(shù)據(jù)轉(zhuǎn)發(fā)能力的產(chǎn)品，同時(shí)骨干設(shè)備（核心、匯聚）需支持萬兆線速轉(zhuǎn)發(fā)，從而保證專網(wǎng)的高性能。豐富的QOS保障技術(shù)酒店網(wǎng)絡(luò)平臺(tái)需要支撐多類型應(yīng)用，每種應(yīng)用對(duì)網(wǎng)絡(luò)帶寬、時(shí)延、抖動(dòng)和優(yōu)先級(jí)的要求各不相同，這就需要選用具有豐富QoS功能的產(chǎn)品，以確保各個(gè)應(yīng)用系統(tǒng)的合理部署和使用。高性價(jià)比最貴的產(chǎn)品不一定是最適合的。所以在選擇產(chǎn)品時(shí)，要在滿足酒店網(wǎng)絡(luò)平臺(tái)功能和性能要求的前提下，依據(jù)酒店實(shí)際情況，選擇性價(jià)比高的產(chǎn)品，防止酒店財(cái)政浪費(fèi)。主要設(shè)備選型核心交換機(jī)選型根據(jù)上面的選型原則結(jié)合酒店的實(shí)際需求，我們建議部署銳捷公司的核心路由交換機(jī)RG-S7806。RG-S7806是銳捷網(wǎng)絡(luò)推出的以業(yè)務(wù)為核心、面向下一代網(wǎng)絡(luò)的萬兆骨干路由交換機(jī)，提供大容量、高密度、模塊化體系架構(gòu)，在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)基礎(chǔ)上，具有強(qiáng)大組播功能、基于策略的QOS、有效的安全管理機(jī)制和電信級(jí)的高可靠設(shè)計(jì)，滿足現(xiàn)代網(wǎng)絡(luò)的多種業(yè)務(wù)承載融合和業(yè)務(wù)靈活分類、分流的組網(wǎng)需求?？梢愿鶕?jù)用戶的需求靈活配置，構(gòu)建彈性可擴(kuò)展的現(xiàn)代IP網(wǎng)絡(luò)。RG-S7806系列具有2個(gè)管理引擎插槽，4個(gè)業(yè)務(wù)插槽。關(guān)鍵技術(shù)指標(biāo)：背板帶寬1.6Tbps交換容量900Gbps包轉(zhuǎn)發(fā)率670Mpps總插槽數(shù)6個(gè)提供電源模塊、管理引擎冗余設(shè)計(jì) 樓層接入交換機(jī)選型24口/48口接入交換機(jī)主要用在各個(gè)樓層，建議選擇銳捷網(wǎng)絡(luò)RG-S2600E系列安全接入交換機(jī)。RG-S2600E包含RG-S2628G-E/S2652G-E，提供24/48個(gè)10/100MRG-S2600E交換機(jī)是銳捷網(wǎng)絡(luò)為構(gòu)架安全穩(wěn)定的網(wǎng)絡(luò)推出的基于新一代硬件架構(gòu)的安全智能交換機(jī)，充分融合了網(wǎng)絡(luò)發(fā)展需要的高性能、高安全、多業(yè)務(wù)、易用性特點(diǎn)，并融入了IPv6的特性，為用戶提供全新的技術(shù)特性和解決方案。在IPv6越來越多的應(yīng)用到網(wǎng)絡(luò)時(shí)，RG-S2600E交換機(jī)率先將IPv6的安全和管理延伸到二層半設(shè)備。通過對(duì)IPv6ACL實(shí)現(xiàn)報(bào)文的過濾，保障網(wǎng)絡(luò)安全；完整的IPv6協(xié)議族比如鄰居發(fā)現(xiàn)協(xié)議（ND）、ICMPv6、MTU路徑發(fā)現(xiàn)等滿足了IPv6管理的需要。有線無線網(wǎng)絡(luò)管理平臺(tái)選型有線無線網(wǎng)管軟件建議選擇1套銳捷網(wǎng)絡(luò)RG-SNC。出口路由器選型酒店內(nèi)網(wǎng)、酒店外網(wǎng)互聯(lián)區(qū)路由器選擇銳捷公司RG-EG1000S易網(wǎng)關(guān)。無線控制器選型無線控制器建議采用RG-WS5302無線控制器，RG-WS5302提供了2個(gè)千兆光電復(fù)用端口，為高效的數(shù)據(jù)轉(zhuǎn)發(fā)提供了硬件支持。RG-WS5302起始支持16個(gè)無線接入點(diǎn)的管理，通過license的升級(jí)，最大可支持64個(gè)無線接入點(diǎn)的管理。無線AP選型無線AP建議采用RG-AP220-SE，RG-AP220-SE采用了最新標(biāo)準(zhǔn)的802.11n協(xié)議，RG-AP220-SE采用單路雙頻設(shè)計(jì)，可工作在802.11a/n或802.11b/g/n模式。單個(gè)AP可以提供300Mbps的接入速率。同時(shí)憑借業(yè)界最先進(jìn)的3X3MIMO天線架構(gòu)，可使RG-AP220-SE產(chǎn)品獲得更大的覆蓋范圍。防火墻選型酒店內(nèi)網(wǎng)防火墻建議采用RG-WALL160E防火墻，RG-WALL160E/T/M/S是銳捷網(wǎng)絡(luò)推出的接口豐富、配置靈活、網(wǎng)絡(luò)適應(yīng)能力好的準(zhǔn)千兆防火墻產(chǎn)品。該產(chǎn)品基于自主開發(fā)的RG-SecOS，在高性能硬件平臺(tái)的支撐下，處理能力可以輕松突破1000Mbps。主要功能包括：擴(kuò)展?fàn)顟B(tài)檢測(cè)、ACL、IPS/URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計(jì)/報(bào)告等功能。設(shè)備清單見附件產(chǎn)品技術(shù)資料RG-S7800系列多業(yè)務(wù)IPv6核心路由交換機(jī)產(chǎn)品概述RG-S7800系列交換機(jī)是銳捷網(wǎng)絡(luò)推出的以業(yè)務(wù)為核心、面向下一代網(wǎng)絡(luò)的萬兆骨干路由交換機(jī)，提供大容量、高密度、模塊化體系架構(gòu)，完全滿足城域以太網(wǎng)、下一代IPv6網(wǎng)絡(luò)、大型企業(yè)園區(qū)網(wǎng)的各種需求。產(chǎn)品基于銳捷網(wǎng)絡(luò)自主知識(shí)產(chǎn)權(quán)的RGOS操作系統(tǒng)，在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)基礎(chǔ)上，具有強(qiáng)大組播、基于策略的QoS、有效的安全管理機(jī)制和電信級(jí)的高可靠設(shè)計(jì)，同時(shí)進(jìn)一步融合MPLSVPN、IPv6、網(wǎng)絡(luò)安全絡(luò)等多種網(wǎng)絡(luò)業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、不間斷升級(jí)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)、雙機(jī)虛擬化等多種高可靠技術(shù)，滿足現(xiàn)代網(wǎng)絡(luò)的多種業(yè)務(wù)承載融合和業(yè)務(wù)靈活分類、分流的組網(wǎng)需求。可以根據(jù)用戶的需求靈活配置，構(gòu)建彈性可擴(kuò)展的現(xiàn)代IP網(wǎng)絡(luò)。RG-S7800系列交換機(jī)作為銳捷網(wǎng)絡(luò)的高端產(chǎn)品之一，強(qiáng)大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機(jī)配合，為用戶提供完整的端到端解決方案，是小型網(wǎng)絡(luò)核心和大型網(wǎng)絡(luò)骨干交換機(jī)的理想選擇。產(chǎn)品特性全兼容、模塊化系列產(chǎn)品RG-S7800系列交換機(jī)可以滿足不同規(guī)模企業(yè)不同網(wǎng)絡(luò)層次的應(yīng)用需求，同時(shí)這些模塊化機(jī)架式交換機(jī)采用統(tǒng)一的硬件和軟件平臺(tái)，完全兼容的線卡，以及與銳捷面向十萬兆平臺(tái)的高端產(chǎn)品RG-S8600系列、RG-S9600系列相同的軟件版本，可以適應(yīng)不斷發(fā)展的企業(yè)網(wǎng)絡(luò)，充分保護(hù)用戶的投資。IPv6的全面支持全面支持IPv6協(xié)議族及編址結(jié)構(gòu)，支持ND（鄰居發(fā)現(xiàn)）、ICMPv6、PathMTUDiscovery、DNSv6、DHCPv6等IPv6特性。全面支持IPv6靜態(tài)路由、RIPng、OSPFv3、IS-ISv6、BGP4+等IPV6單播路由協(xié)議，支持MLDv1/v2、MLDSnooping、PIM-SM/DMv6、PIM-SSMv6等IPv6組播特性，為用戶提供完善的IPv4/IPv6解決方案。支持豐富的IPv4向IPv6過渡技術(shù)，包括：IPv6手工隧道、6to4隧道、ISATAP隧道、IPv4overIPv6隧道等隧道技術(shù)，保證IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的平滑過渡。支持豐富的IPv6管理特性，支持SNMPv6、Ping/Traceroutev6、IPv6TACACS+/RADIUS、Telnet/SSHv6、NTPv6，滿足純IPv6網(wǎng)絡(luò)設(shè)備管理的需要。虛擬化技術(shù)支持VSU（VirtualSwitchUnit）即虛擬交換單元，能將傳統(tǒng)網(wǎng)絡(luò)中兩臺(tái)核心層交換機(jī)用VSU替換，VSU和匯聚層交換機(jī)通過聚合鏈路連接，將多臺(tái)物理設(shè)備虛擬為一臺(tái)邏輯上統(tǒng)一的設(shè)備，使其能夠?qū)崿F(xiàn)統(tǒng)一的運(yùn)行，從而達(dá)到減小網(wǎng)絡(luò)規(guī)模、提升網(wǎng)絡(luò)高可靠性的目的