商务连锁酒店网络改造方案1

精心整理XXXX商务连锁酒店网络改造方案杭州华三通信技术有限公司精心整理目 录1 门店技术要求及组网方案31.1 技术要求：31.2 组网方案：31.3 设备选型：31.4 门店整体方案特色：52 总店技术要求及组网方案52.1 技术要求：52.2 组网方案：62.3 设备选型：62.4 总部整体方案特色：93 整体网络的介绍103.1 整网的拓扑图：103.2 地址安排：103.3 路由规那么和路由图：124 总部网络改造方案中学低三种配置选型134.1 专业防火墙及VPN网关134.2 核心交换机134.3 IPS-入侵抵挡系统144.4 无线AP14精心整理1 门店技术要求及组网方案1.1 技术要求：1、 网络稳定性高2、 低本钱3、 门店以VPN方式接入总部4、 支持对客房区、办公区的VLAN划分5、 实现流量限制6、 。1.2 组网方案：1.3 设备选型：ER3200：新一代高性能宽带路由器2个百兆WAN口、4个百兆LAN口选择理由：1、 500Mhz的CPU主频，拥有一颗强劲的心2、 支持IPSec VPN，通过internet实现和总部的VPN连接3、 带有很强的防火墙功能，可以进展敏捷acl限制，可以防QQ/MSN，防BT下载，防外网入侵和攻击，智能网页过滤4、 敏捷的访问限制功能，可以按部门、按业务、按时间来设置限制策略5、 全面防止ARP攻击，保证上网不掉线6、 弹性带宽限制，忙时不允许超过额定带宽，闲时可超出额定带宽7、 可以进展实时流量统计，遵照流量大小进展排序8、 支持将客人的首次internet访问重定向到酒店网站进展传播9、 2个百兆WAN口，一口以宽带接入internet，另一口协作modem利用PSTN备份链接到总部的modem池，可自动检测故障进展切换。也可以负载均衡方式工作10、 带机量到达100-200台，满意门店的带机要求11、 图形化web管理界面，运用便利12、 为酒店客户定制的管理界面，以客户熟识和习惯的方式设置13、 支持以web方式远程登录管理14、 宽带路由器同时可做DHCP serverS5024E：全千兆智能防攻击交换机24个千兆下行电口、4个光电复用千兆上行口选择理由：1、 96G的交换容量，全线速无堵塞转发2、 防攻击实力强大a) 防ARP攻击b) 防DOS攻击c) 防蠕虫病毒攻击d) 802.1x认证e) 支持IP+MAC+端口绑定f) 便利地实现平安配置文件的导入和导出3、 交换机运用和管理极其便利a) 简洁美观易用的WEB管理界面：网管就想看小人书一样轻松b) 遵照不同行业应用特点，在WEB管理界面里定制不同管理专区c) 网吧专区智能端口设定：为网吧收银效劳器、监控效劳器、电影音乐效劳器、嬉戏更新效劳器、路由器等自动进展优化d) 支持Web网管、通过Console口进展管理、Telnet远程管理4、 丰富的端口特性a) 端口隔离、端口平安、端口会聚、端口镜像、端口带宽限制、播送风暴抑制、VCT电缆检测5、 支持512个基于802.1Q的VLAN，完全满意门店内部的VLAN划分需求6、 高性价比：您付出的每一分钱都物超所值S1526： 24个10/100M自适应RJ45端口，支持端口自动翻转Auto DI/MDIX 2个千兆光电复用口SFP/RJ45复用1个Console口选择理由：l 支持26个Port VLAN和256个IEEE 802.1Q Tag VLAN l 支持端口聚合：FE：支持整机最多2组，每组最多4个端口；GE：1组，每组最多2端口l 供应端口带宽限制功能，最小粒度为64kbps l 支持IEEE 802.1p优先级协议模式、支持WRR加权轮询调度，支持每端口4个输出队列供应端口平安限制功能l 支持播送风暴限制 l 支持端口镜像功能 l 支持MAC地址老化时间设置 l 供应Web管理 l 支持交换机系统软件的升级 l 内置通用电源，1U钢壳，19英寸标准机架构造，工业级设计以上产品的具体资料请参考H3C供应的产品资料。1.4 门店整体方案特色：1、 H3C宽带路由器支持IPSec VPN，防火墙功能，DHCP SERVER，一机多能，简化了网络构造，节约投资2、 整体方案具有完善的平安特性，可以保证门店网络的平安性。尤其可以防止目前困扰许多酒店的ARP病毒攻击的问题。可以防止来自内部和外部的攻击。3、 房间号和VLAN号自动对应，并可以协助公安监控实现基于客房的准确定位，满意公安监控的要求。4、 客房网络布线自动识别系统，削减酒店网线连接的识别工作。5、 所选择的设备都经过了市场的大量应用考验，成熟稳定牢靠6、 高性价比7、 完全满意客户对门店的建立要求，应当说超出客户的要求。2 总店技术要求及组网方案2.1 技术要求：1. 遵照200家门店的规模规划公司的硬件网络2. 老的门店的改造尽量运用已经购置的网络设备3. 支持VPN，VLAN，防火墙，网管功能等，说明各主要功能的实现方式4. 网络构造和性能需支持视频会议系统5. 说明设备清单，包括品牌，型号，数量，价格，主要技术指标6. 说明网络拓扑图和路由图。7. 说明总部和门店端IP地址安排方式8. 说明技术支持的方式2.2 组网方案：2.3 设备选型：VPN网关及防火墙：H3C SecPath F1000-S：H3C高性能千兆专业防火墙及VPN网关4个固定GE两个固定光电COMBO口，两个电口最大可以扩展到：8GE/4GE+8FE选择理由：1、 F1000-S可以支持3500个IPSEC VPN隧道，完全可以满意200多个门店的接入。2、 参加采纳3DES加密方式，可以支持650M的流量。假如200个门店均以2M ADSL接入以IPSEC VPN接入到总部，总共的加密带宽不超过400M，650M的处理实力足够。假设每个门店均以10M的宽带接入internet以IPSEC VPN接入到总部，最高流量2G，但是考虑到不行能全部并发，有必须的收敛比，所以650M带宽也足够。3、 多出口，可以实现同时连接电信、网通的链路，同时还可以利用外接的modem池实现PSTN的备份链路。4、 DMZ区部署用于internet访问的各类效劳器。5、 F1000-S专业的防火墙功能，供应完善平安爱护：1) 支持根底、扩展和基于接口的状态检测包过滤技术，支持遵照时间段进展过滤；2) 支持H3C特有ASPF应用层报文过滤Application Specific Packet Filter协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323包括Q.931，H.245， RTP/RTCP等应用层协议的状态监控，支持TCP/UDP应用的状态监控3) 对DoS/DDoS攻击的防范4) ARP欺瞒攻击的防范5) 供应ARP主动反向查询6) TCP报文标记位不合法攻击防范7) 超大ICMP报文攻击防范8) 地址/端口扫描的防范9) ICMP重定向或不行达报文限制功能10) Tracert报文限制功能11) 带路由记录选项IP报文限制功能12) 静态和动态黑名单功能13) MAC和IP绑定功能14) 支持智能防范蠕虫病毒技术15) 可以有效的识别网络中的BT、Edonkey、Emule等各种P2P模式的应用，并且对这些应用采纳限流的限制措施，有效爱护网络带宽；16) 支持邮件过滤，供应SMTP邮件地址、标题和内容过滤；17) 支持网页过滤，供应HTTP URL和内容过滤；18) 支持应用层过滤，供应Java/ActiveX Blocking和SQL注入攻击防范19) 支持RADIUS和HWTACACS协议及域认证20) 支持基于PKI /CA体系的数字证书X.509格式认证功能21) 在PPP线路上支持CHAP和PAP验证协议22) 集中管理与审计：供应各种日志功能、流量统计和分析功能、各种事务监控和统计功能、邮件告警功能6、 专业敏捷的VPN效劳：1) 支持L2TP VPN、GRE VPN、IPSec VPN、动态VPN等多种VPN业务模式2) 利用动态VPNDVPN技术，简化VPN配置，实现按需动态构建VPN网络7、 在扩展插槽上增加SSL VPN板卡，可以支持SSL VPN，实现基于任何internet位置上的移动VPN接入酒店网络。8、 集成路由功能，可以省去路由器：1) 支持路由、透亮及混合运行模式2) 支持静态路由协议3) 支持RIP v1/2、OSPF、BGP动态路由协议4) 支持路由策略及策略路由业界最高级的平安防护：实时入侵抵挡系统IPS可选：H3C SecPath T200：H3C实时入侵抵挡系统410/100/1000M以太电口一个扩展槽，可以配置4个10/100M以太电口，或2个1000M以太SFF光口选择理由：1、 深度防备、应用层攻击防备：业界最高的平安防护等级1) 客户机和效劳器爱护- 抵挡针对应用和操作系统漏洞的攻击- 摈弃代价昂贵的应急补丁工作- 精细化的深度防备与应用限制2) 病毒过滤- 全球顶尖级病毒分析专家团队- 拥有超过40万的病毒样本- 阻挡多种类型的网络蠕虫/病毒攻击- 深度过滤隐藏在IM/P2P/email等常用软件中携带的病毒- 过滤压缩后的病毒、木马- 过滤变种病毒3) 网络根底设施爱护- 爱护DNS和其他网络根底设施- 抵挡流量异样以及SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、CC等各种DDoS攻击- 访问限制4) 流量正规化- 提高网络带宽和路由器性能- 正规化非法网络流量- 优化网络性能5) URL过滤- 依据时间定制过滤规那么- 自定义URL过滤规那么- URL过滤与带宽管理关联定制组合6) 应用性能爱护- 提高带宽和效劳器性能- 阻挡或限制P2P/IM等非关键流量7) 特征库实时升级- 抵挡零日攻击- 最新特征库自动发布2、 专业敏捷的VPN效劳：1) 支持L2TP VPN、GRE VPN、IPSec VPN、动态VPN等多种VPN业务模式2) 利用动态VPNDVPN技术，简化VPN配置，实现按需动态构建VPN网络3、 对威逼的处理方式：1) SecPath T200供应了丰富的威逼响应方式，包括阻断、限流、TCP Reset、抓取原始报文、重定向、隔离、Email告警、日志记录等，各响应方式可以相互组合。设备出厂时已内置了一些常用的响应组合，便于部署和维护。4、 牢靠性：1) SecPath T200运用无源连接设备PFCPower Free Connector供应掉电爱护功能。在T200掉电的状况下，PFC将网络流量自动绕开T200，旁路到下一跳设备上去；当复原电源供应后，PFC又会自动制止旁路功能，全部流量将再度流经T200承受检测。核心交换机： H3C S7502：19英寸机架式交换机电源冗余备份可以实现主控的冗余备份2个业务槽位192G交换容量144Mpps包转发率选择理由：1、 分布式业务处理体系：H3C S7500系列交换机采纳先进的全分布式体系构造设计，通过主引擎和分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发，通过分布式高速业务接口板上内置的高性能CPU与位于主控引擎上的CPU协同工作，实现ACL、流分类、QOS、组播等业务的全分布式处理。2、 强大的L2/L3转发性能：H3C S7500系列交换机支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔，并可以支持STP/RSTP/MSTP/VRRP等协议实现链路冗余，同时S7500系列交换机支持基于硬件的RPR弹性分组环和基于软件的快速环网爱护技术，分别可以供应50ms和亚秒级别的链路故障业务快速复原手段，这些使得以S7500系列交换机为核心的骨干网络牢靠性大大提高，保障了业务的永续性。3、 H3C S7500系列交换机支持强大的组播功能、敏捷QinQ、802.1x、内置DHCP-SERVER、NAT、PBR、POE、EPON等多种业务特性，这些业务特性极大的提高了企业网络业务部署的简便性和敏捷性，同时增加了对IP语音、视频、WLAN的支持实力，为企业IT系统实现通信整合供应了便利。基于 “ASIC+NP”的体系构造，可以敏捷的支持业务功能的不断扩展，通过多功能网络处理器模块，可以进一步支持NAT、PBR等多种高级业务特性。2.4 总部整体方案特色：1、 高性能：防火墙、IPS、核心交换机的性能完全能满意实际要求。2、 高度平安：业界最高等级平安防护。3、 高稳定性：防火墙多链路备份、IPS的掉电爱护、核心交换机的电源冗余备份、主控冗余备份。4、 网络构造合理清楚5、 所选择的设备都经过了市场的大量应用考验，成熟稳定牢靠6、 高性价比7、 完全满意客户对总部的建立要求3 整体网络的介绍3.1 整网的拓扑图：拓扑图说明：1、 门店和总部的拓扑图不再介绍，前面两章已经介绍。2、 广域网连接方式：每个门店可以选择以2M adsl方式接入internet或者以10M宽带接入internet。IPSec VPN可以选择和总部的电信网链路、网通网链路连接。同时每个门店还可以外接一个modem通过pstn网和总部的modem池链接，起到链路的备份作用。但主链路出现故障，还可以通过拨号和总部链接。3.2 地址安排：须要公网IP地址的设备：每个门店的出口路由器须要公网地址，假如只有一条链路，只须要1个公网地址。宽带的公网地址由申请宽带时由运营商供应。假如还须要PSTN备份，该IP地址拨号时自动安排，无需申请。总部出口的防火墙设备，假如有2个出口，须要2个公网地址。另外DMZ中队外效劳的效劳器每个都须要公网IP地址。须要私网IP地址场合：门店须要地址的设备或区域：效劳器区，办公区，前台区，客房区，数码房区。策略：“效劳器区，办公区，前台区”整体归类为办公网，安排办公网地址段地址“客房区，数码房区”整体归为客房网，安排客房网地址段地址门店须要地址的设备或区域：效劳器区，总部办公区，总部信息中心，门店办公区，门店前台区，客房区，数码房区。策略：“效劳器区，总部办公区，总部信息中心，门店办公区，门店前台区”整体归类为办公网，安排办公网地址段地址“客房区，数码房区”整体归为客房网，安排客房网地址段地址明确以上原那么后，我们再来分析具体如何进展私网地址安排。因为门店的办公网须要和总部的办公网互通，因此每个门店的私网网段、以及总部的私网网段都不能重复。而客房网因为彼此之间无需互联，只要能访问互联网即可，因此可以重复。客房网私网IP地址安排规那么如下：1、 全部门店包括总部门店都采纳172.16.0.0的私网B类地址，一个B类地址有65535个IP地址，足够每个门店随意运用了，可以随意用。因为可以重复运用，每个门店都可以这样设置。2、 门店当然也可以只选择几个C类地址段运用。比方：给数码房区的数码房效劳器的地址池配一个C类地址段172.16.1.0。而其他一般客房运用其他的一些C类地址段172.16.2.0、172.16.3.0、172.16.4.0。这些都是在ER3200里面针对客房的DHCPserver中进展设置的，并可以同时设置好对应的VLAN。办公网私网IP地址安排规那么如下：1、 全部门店包括总部门店、以及总部都采纳192.168.0.0的私网B类地址，由于门店须要访问总部的效劳器，彼此之间须要互访，所以彼此之间的地址段不能重复。考虑到每个分店的办公PC、效劳器数量比拟少，给每个门店一个C类地址，有254个地址可用。门店的地址安排方式也是动态安排，地址池在ER3200路由上设置。总部的DHCPserver可以设置的S7502交换机上。总部须要的IP地址数量较多，可以多安排几个C类地址段。3.3 路由规那么和路由图：路由规那么：门店：1、 客房网只能访问internet，不能访问办公网，不能通过IPSEC VPN链接总部；2、 办公网可以访问internet，不能访问客房，可以通过IPSEC VPN链接总部；门店与门店之间：1、 门店与门店可以互访，也可以制止互访，规那么请客户自己确定。互访的限制可以在总部的防火墙上设置规那么。路由图：以门店1为例4 总部网络改造方案中学低三种配置选型总店的改造涉及到的设备：专业防火墙及VPN网关、核心交换机、IPS、无线。下面针对每种设备引荐配置：4.1 专业防火墙及VPN网关型号规格高配置Secpath F1000-A2个固定GE两个固定光电COMBO口1个插槽，最大可以扩展到：4GE/2GE+4FE防火墙吞吐量：1.5Gbps3DES加密：600MbpsIPSEC VPN隧道数：5000个中配置Secpath F1000-S4个固定GE两个固定光电COMBO口，两个电口两个插槽，最大可以扩展到：8GE/4GE+8FE防火墙吞吐量：1Gbps3DES加密：600MbpsIPSEC VPN隧道数：3500个低配置Secpath F100-E4个固定FE1个插槽，最大可以扩展到：8FE/4FE+2GE防火墙吞吐量：400Mbps3DES加密：200MbpsIPSEC VPN隧道数：2000个4.2 核心交换机型号规格高配置H3C S7502E19英寸机架式交换机电源冗余备份可以实现主控的冗余备份2个业务槽位192G交换容量144Mpps包转发率支持IPV4/IPV6支持MPLS中配置H3C S750219英寸机架式交换机电源冗余备份可以实现主控的冗余备份共4个槽位，2个业务槽位192G交换容量144Mpps包转发率低配置S5500-28C-EI19英寸盒式交换机千兆接入万兆上行强三层智能交换机端口形态：24个GE(4个combo)，两个插槽插槽可插：2万兆/插槽、1万兆/插槽支持静态路由、RIP、ospf、is-is、BGP4支持IPV4/IPV6128G交换容量SNMP管理S7502交换路由模块S7500-12端口千兆以太网电口4端口千兆以太网SFP光口业务板1可选S7500-4端口千兆以太网电口12端口千兆以太网SFP光口业务板1可选S7500-48端口千兆以太网光接口业务板 1可选S7500-48端口千兆以太网电接口模块 1可选S7500-2端口万兆以太网接口模块 1可选S7500-4端口万兆以太网接口模块 1可选S7500-16端口千兆电口+8端口千兆光口以太网接口模块 1可选S7500-32端口千兆以太网电口(RJ45)+16端口千兆以太网光口业务板1可选4.3 IPS-入侵抵挡系统考虑到IPS的价格比拟贵，仅引荐一款。型号规格高配置Secpath T200410/100/1000M以太电口一个扩展槽：可以配置4个10/100M以太电口，或2个1000M以太SFF光口吞吐量：200Mbps新建连接数：10万/秒最大连接数：100万中配置低配置4.4 无线AP型号规格高配置EWP-WA2220-AGH3C WA2220-AG 无线局域网室内型AG双频双模接入点低配置EWP-WA2210-AGH3C WA2210-AG 无线局域网室内型AG单频双模接入点