酒店網絡規劃設計方案6

1、袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄

2、袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂

3、蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃

4、薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃

5、薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁

6、薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂

7、蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀芄蚆螇膆芃螈羂肂莂蒈螅羈莁薀羈莆莁螃螄節莀裊聿膈荿薅袂肄莈蚇肇羀莇蝿袀艿蒆葿肆膅蒅薁袈肁蒅蚃肄羇蒄袆袇蒞蒃薅螀芁蒂蚈羅膇蒁螀螈肅蒀蒀羃罿蕿薂螆羋蕿蚄羂膄薈螇螄肀薇薆羀肆薆蠆袃蒞薅螁肈芀薄袃袁膆薃薃肆肂膀蚅衿羈艿螈肅芇羋蕆袈膃芇蠆肅腿芇螂羆肅芆襖蝿莄芅薄羄芀 一、網絡建設概述隨著我國互聯網絡的高速發展，互聯網絡對人們的影響，不僅體現在人們的工作與學習方面，而且越來越多地體現于人們生活的各個方面?；ヂ摼W絡將改變人類整個生活的理念已經深入人心1、建設背景：隨著

8、經濟的蓬勃發展，為賓館酒店業的發展提供了良好的機遇，豐厚的利潤和巨大的市場也吸引了眾多的競爭者，酒店行業靠什么贏得競爭優勢？ 酒店在做好現有業務種類，不斷提高服務水平的同時，如何把握客戶的需求，用最經濟的辦法獲得最大的客戶滿意度，提高企業自身的檔次和知名度，同時拓展新的業務增長點，成為最根本的競爭所在，這使得酒店行業對信息化的需求非常迫切。有調查表明，酒店的信息服務水平在很大程度上影響著客人的入住愿望。無法提供高速互聯網接入服務的酒店，對于客戶來說，無疑是一場商業災難。2、上網需求漸增統計資料顯示，酒店客戶中45的人有上網需求，并且其中有30的客人提出了高速上網的要求。值得注意的是，對上網速度

9、有強烈需求的客戶，對價格又不是很敏感，這些客人是各個酒店利潤的主要來源，也是各大酒店竭力爭取的商住客戶或者常住客戶。 因此，對于同等星級的酒店，在管理水平和房間設施趨于相近的情況下，提供高質量的互聯網接入服務是酒店吸引更多商務客人入住的有效手段。采用寬帶接入可以顯著提高星級酒店的信息化服務水平，酒店入住客人可以輕松自如地實現諸如網上沖浪、ip電話及可視電話、電視會議、電子商務、vod點播（互動點播電視節目和電影）、虛擬專用網絡（vpn）等功能。 向客戶提供高速上網，提高酒店的服務檔次，是為了尋求酒店經濟的增長點，提高酒店的競爭力。通過傳播酒店的聲音，發布酒店的信息，開放酒店面向客戶的信息，提供

10、查詢酒店信息的渠道，建立網絡信訪機制，可加深酒店與客人的感情。通過廣泛開展對酒店客人提供公益性的信息服務，例如新聞報道、天氣預報、旅游指南、航班信息、求醫問藥和列車時刻查詢等，可建設酒店的信息化環境。酒店可以在寬帶網上運行酒店管理系統及酒店網站，向全社會推介酒店的業務。可實現酒店內部資源共享，提高資源的利用率，為酒店節省開支?？蔀榫频晏峁╇娮由虅眨瑪U大酒店的業務范圍、促進酒店的管理模式的轉變、提高酒店的工作效率?？蔀榫频晗蜃詣踊k公及無紙辦公的發展提供條件。 二、設計原則1、網絡需求分析石林大酒店上網系統項目涉及到該酒店的3層樓和兩個會議室，共計68個信息點，酒店為每個客房的接入帶寬為100m

11、。酒店在二層設置1個管理間，所有的客房的信息點都進到酒店二層樓管理間，進行集中管理。2、建設目標、石林大酒店以因特網接入的總體目標：實現酒店內部每個房間上網的需求，提供高質量的互聯網接入服務吸引更多商務客人入住。提高星級酒店的信息化服務水平，酒店入住客人可以輕松自如地實現諸如網上沖浪綜合運用計算機網絡技術向客戶提供高速上網，提高酒店的服務檔次，酒店經濟的增長，和酒店的競爭力。3、設計原則設計主要要考慮到先進性、可靠性、開放性、經濟性、安全性和可管理性。設計要立足先進技術，采用最新科技的電網通技術，以改變酒店布線難的問題。使整個網絡在國內保持領先的水平，并具有長足的發展能力，以適應未來網絡技術的

12、發展。所以，網絡系統的可靠性就顯得尤為重要。在網絡設計中遵循以下技術原則：標準化系統采用的信息分類編碼、網絡通信協議和數據接口等技術標準，將嚴格按照國家有關標準或行業標準規范。實用性滿足石林大酒店業務為需要，充分利用現有資源，避免不計成本盲目追求最新技術。利用最適合酒店使用的電網通設備，采用必要的、先進的網絡安全手段與管理技術，以節省投資。網絡系統的開放性要好，支持國際上通用的網絡協議、路由協議等開放的協議標準，保證與其它網絡（內網、外網）的平滑連接和擴展。應用功能交互能力要強，用戶界面要簡潔、友好，方便用戶的操作使用。網絡結構復雜，設備多樣，同時針對企業的業務特點，連接的方式和種類很多。因此

13、在網絡設計的初始對所有可能接入的業務做出底層的數據流向分析，而且要考慮如何用成熟的技術來滿足具體業務的應用特點，因此需要網絡設備支持“標準化”的網絡協議，qos，traffic管理和多種類型的組網方式以及各種標準的接口類型。 安全性和保密性系統網絡充分考慮網絡的故障容錯糾錯功能，建立安全保障體系，采用先進的軟硬件等技術手段，實現網絡的傳輸安全、數據安全接口，確保網絡的安全性、保密性。為了保護關鍵性數據的安全可靠，網絡提供了多種方式和層次的訪問控制（包括標準訪問控制列表和擴展訪問控制列表）。網絡設備的安全是保護網絡數據的基礎，防火墻產品具備自身的安全保護（入侵檢測，認證，防火墻、靈活有力的數據包

14、過濾等功能），為通信系統提供高質量的安全保障。應提供足夠的措施防止受到外部用戶（包括外用戶和內用戶）和黑客的非法訪問、攻擊和破壞。同時，要保證在采取安全措施后，不影響各個部門應用系統的正常運行(包括語音/視頻的應用)；開放性和可擴充性技術上要立足長遠發展，堅持選用開放性系統。開放的網絡可以讓用戶自由地選擇不同廠家的產品，不受原有廠家的限制。最大程度地保護用戶的利益。要求網絡的設計一定要符合國際標準。隨著網絡用戶應用規模的不斷擴大，要求網絡能方便地擴充容量，支持更多的用戶和應用。隨著通信技術的不斷發展，網絡能平滑地過渡到新的技術和設備，保護用戶現有投資。由于內部管理系統和對外業務的不斷發展，網絡

15、系統必然隨之不斷擴大。因此，目前的網絡設計必須為今后的擴充留有足夠的余地，這樣才能最好地保護投資。系統具有較強的擴充能力，以滿足未來的發展需求?？删S護性網絡接入部分具有較高的模塊化程度，可滿足不同業務流程的需要，易于維護和升級。要保證網絡能正常穩定運行，要求網絡維護人員可以方便地對網絡設備進行遠程控制和配置；并且網絡設備要能夠進行熱插拔，支持冗余、方便進行日常維護。良好的組織和管理對于酒店網網絡的正常運轉和高效使用有很大幫助。網絡應該能夠提供方便，靈活，有力的管理系統，讓使用者可以有效地控制和管理整個網絡?？蓪W絡實行集中檢測、分權管理，并能統一分配帶寬資源。網絡必須面向應用，全面支持qos服

16、務質量管理。擁有先進的網絡管理平臺，通過網管工作站對整個網絡提供實時端口級的管理，拓撲管理，vlan的配置和管理。具有對設備、斷口等的管理、流量統計分析等。隨著網絡規模的擴大和系統復雜程度的增加，網絡的管理、監控和維護，以及網絡故障的診斷和排除變得越來越復雜。為了使網絡系統易于管理和維護，方案將提供先進而完善的網絡管理系統。這樣，既方便網絡管理員的工作，減輕了勞動強度，也提高了網絡系統的管理程度。高性能，高可靠性網絡的設計方案不但要保證理論上可行，更重要的是實際上可用。充分考慮到應用系統的具體情況，最好地滿足需求。迅速地處理通信數據，需要網絡設備支持高速通信鏈路，提供高數據吞吐能力。當今世界，

17、通信技術和計算機技術的發展日新月異。方案應適應新技術發展的潮流，既兼顧了技術上的成熟性，同時也保證了系統的先進性。所選設備無論在硬件設備還是軟件功能上，都在網絡界處在領先地位。網絡及設備采用分布式、全線速無阻塞結構設計，確保網絡及設備的高吞吐能力，保證數據、音頻、圖像、視頻等多媒體信息的高質量傳輸。具備對多媒體信息的快速查詢、實時存取、多路并發的能力，能滿足教學中各個環節對多媒體教學的需要。硬件網絡產品的選用需具有很高的可靠性，較高的mtbf（平均無故障時間meantimebetweenfailures）值；全對稱各處理器的硬件體系結構，能夠做到任意一個處理器和網絡接口模塊出現故障都不會影響其

18、他模塊，所有的功能部件(電源、系統總線、處理器模塊、網絡接口模塊等)均可以熱插拔和冗余熱備份。除硬件的容錯外，網絡設備還應具備軟件故障隔離和軟件的熱備份和熱啟動等，這樣才能保證網絡運行的萬無一失。為了防止局部的故障引起整個信息系統的癱瘓，要避免網絡出現單點失效。在骨干通信信道上提供了備份鏈路，提供冗余路由。在主要通信設備上提供了冗余配置，保證不會由于局部模塊的故障影響整個設備的運行。為了使網絡可靠地運行，本方案選用了高品質、高性能價格比的產品，把故障率降到最低。同時，我們采用了系統容錯技術，當網絡系統內某一點出現故障時，整個系統仍然能夠繼續運行而不會造成停機，從而把損失降到最小。實時性保證數據

19、傳輸的實時性，應符合行業數據傳輸的標準、規定。要及時，準確的傳遞經濟性建設系統性價比要高。設備選型要本著經濟合理的原則：夠用為主、適當超前，以最大限度地節約投資。還要保護先前已有的投資 易操作即插即用的usb電貓設備，使操作簡單直觀、靈活、易于學習掌握。三、方案設計思路石林大酒店網絡結構上將按照層次化的原則來進行設計建設，整個網絡采用星形聯結，網絡層次為兩層結構，即：核心層和接入層。根據當前和將來網絡發展和流行趨勢，以及網絡優化改造的要求，整個網絡全部采用千兆為主干，百兆交換到桌面的原則實施。1、網絡拓撲圖如下：有線無線互為補充，網絡環境有效延伸在酒店是網絡建設中，d-link將有線和無線的應

20、用特點與酒店的各類環境進行靈活匹配，從而將以太網和無線技術的優勢充分發揮，使酒店的網絡環境得以有效延伸，成功實現了酒店所要求范圍內的網絡覆蓋和接入。計算機網絡系統的設計與綜合布線的設計相結合，實現千兆網絡為主干，百兆到房間或桌面，使新建的網絡系統能夠滿足今后用戶的升級與擴展需求。2、技術實施2.1、ip地址分配動態地址分配：在er 5200上面開啟dhcp分配功能。如下圖：2.2、防止arp地址欺騙er5200通過定時發送免費arp，更新網絡主機上被攻擊篡改了的網關mac地址，保證主機與網關之間的通信。er5200通過授權arp，只容許靜態arp和dhcp分配的arp表相中的ip地址通過，從而

21、防止pc機ip與mac的欺騙。2.3、ids防范 為了防止客房網攻擊，通常會使用路由器+防火墻的組網。er5200上內置了防攻擊的功能，可以省掉防火墻了2.4、報文源認證2.5、設置異常流量防護網絡中的主機會由于出現中毒或網卡異常等原因，向internet 發送大量的異常報文，阻塞網絡，大量消耗設備的資源。啟用本功能后，設備會對各個主機的流量進行檢查，發現有異常流量時會進行指定的處理，以保證設備受到此類異常流量攻擊仍能正常工作2.6、設置ip流量限制某些應用（比如：p2p下載等）在給用戶帶來方便的同時，同時，也占用了大量的網絡帶寬。一個網絡的總帶寬是有限的，如果這些應用過度占用網絡帶寬，必將會

22、影響其他用戶正常使用網絡。為了保證局域網內所有用戶都能正常使用網絡資源，您可以通過ip流量限制功能對局域網內指定主機的流量進行限制。2.7、設置網絡連接限數 網內的主機遭受nat攻擊時，主機的網絡連接數可能會超過幾萬個，從而會嚴重影響業務的正常運行或出現網絡掉線現象。此時，您可對指定主機的最大網絡連接數進行限制，保證網絡資源的有效利用四、組網設備介紹1.路由器（h3c er5200）產品概述：er5200是h3c公司推出的一款高性能千兆下行路由器，它主要定位于以太網/光纖/adsl接入的smb市場和政府、企業機構、網吧等網絡環境，如需要高速internet帶寬的網吧、企業、學校和酒店等。er5

23、200采用專業的64位雙核網絡處理器，主頻高達500mhz，并且支持豐富的軟件特性，如ipmac地址綁定，arp防攻擊，流量限速，雙wan負載均衡，策略路由，源地址路由等功能。它是h3c er系列路由器中的中高端產品，大型網吧用戶和大型企業用戶的理想選擇。圖1 h3c er5200企業級路由器產品特點：雙wan口負載均衡（僅er3200、er3260、er5200支持）負載均衡可以讓用戶根據線路實際帶寬分配網絡流量，達到充分利用帶寬的目的。策略路由實現按照用戶制定的策略選擇路由，如出接口的選擇等。 高性能防火墻內置高性能防火墻，通過設置出站和入站通信策略來快速地實現訪問控制， 防攻擊支持對來至

24、因特網和內網的常見攻擊進行防護。同時，內置內網異常流量防護模塊，對局域網內各臺主機的流量進行檢查，并根據您所選擇的防護等級（支持高、中、低三種）進行相應的處理，確保網絡在遭受此類異常攻擊時仍能正常工作。arp雙重防護通過靜態arp綁定功能，固化了網關的arp表項；另外，對于dhcp分配的ip地址，則采用dhcp授權arp技術，自動綁定分配的ip地址/mac地址信息，從而可以有效地防止arp欺騙引起的內網通訊中斷問題；同時，提供毫秒級的免費arp定時發送機制，可以有效地避免局域網內主機中毒后引發的arp攻擊。vlan支持多局域網功能，您可以方便的劃分局域網為多個網段，降低廣播域和arp病毒的影響

25、。針對每個局域網可以配置單獨的dhcp server和防火墻規則。業務控制qq/msn等即時通訊軟件的大量普及，可能會引起員工辦公效率低下，無法集中精力。路由器獨有的應用控制功能，可以方便地限制內網用戶對qq/msn等應用的使用；同時還支持對大智慧/分析家/同花順/廣發至強/光大證券/國元證券等金融軟件的應用控制功能。另外，您還可以通過對特權用戶組的設置保證關鍵用戶的使用不受影響。 ipsec vpn通過vpn安全連接，最多支持10路ipsec連接到辦公網絡。網絡流量監控提供流量實時監控和排序功能，同時提供多種安全日志，包括內/外網攻擊實時日志、地址綁定日志、流量告警日志和會話日志，為網絡管理

26、員實時監控網絡運行狀態和安全狀態提供了更快捷的窗口。 網絡流量限速通過基于ip的網絡流量限速功能，可以有效地控制指定用戶的上/下行流量，限制了p2p軟件對網絡帶寬的過度占用。同時，提供彈性帶寬功能，在網絡空閑時可以智能地提升用戶的限制帶寬，既充分地提升了網絡帶寬的利用率，又保證了網絡繁忙時帶寬的可用性。產品規格：項目描述概述固定端口2個10/100base-tx wan端口3個10/100/1000base-t lan端口1個console接口處理器(cpu)mips 64位500mhz 網絡處理器內存ddr ii 64mbflash8mb軟件特性工作模式主備模式,智能負載均衡手動負載均衡(電

27、信走電信，聯通走聯通)路由轉發模式網絡協議pppoe ，dhcp 客戶端，dhcp服務器，napt，ntpddns()防火墻出站通信策略(源接口/ip/mac/用戶/目的ip/協議/端口/時間段) 入站通信策略(源接口/ip/mac/用戶/目的ip/協議/端口/時間段) 網絡安全arp防攻擊/免費arp，狀態數據包檢查，防止wan口的ping，防止tcp syn掃描，防止stealth fin掃描，防止tcp xmas tree掃描，防止tcp null掃描，防止udp掃描功能，防止land 攻擊功能，防止smurf攻擊功能，防止winnuke攻擊功能。防止ping o

28、f death攻擊，防止syn flood攻擊功能，防止udp flood攻擊功能，防止icmp flood攻擊功能，防止ip spoofing功能，防止碎片包攻擊，防止teardrop攻擊，防止fraggle攻擊功能訪問控制ipmac地址綁定(靜態arp) ，url過濾(黑白名單)，mac地址過濾，qq/msn訪問控制，金融軟件控制：大智慧/分析家/同花順/廣發至強/光大證券/國元證券qos流量統計(基于ip/端口的流量統計),網絡流量限速(基于ip，上下行流量分別限速),nat表項限制,應用通道限制(綠色通道/限制通道)流量監控基于物理端口的流量統計,基于ip的流量統計，支持自動排序功能,

29、基于ip的nat鏈接數統計路由靜態路由，策略路由(基于源ip/目的ip/協議/端口/出接口/時間段)系統服務alg，端口觸發，upnp，虛擬服務器，靜態nat(一對一nat)，dmz 主機，vpn透傳(pptp、l2tp、ipsec)配置管理基于web的用戶管理接口(遠程管理/本地管理)，https遠程管理，命令行cli，通過http 升級系統軟件故障診斷ping / tracert，設備自檢，故障信息一鍵導出2.核心交換機(h3c s5024p)產品概述：h3c s5024p以太網交換機是h3c公司自主開發的支持web管理的二層線速以太網交換產品，是為要求具備高性能且易于安裝的網絡環境而設計

30、的智能型交換機。s5024p提供24個千兆以太網端口、4個千兆sfp端口（與后4個千兆以太網端口復用）以及一個console端口。該交換機可以通過console口、telnet以及web方式登錄進行配置，支持vlan劃分、端口雙向鏡像、端口+mac地址綁定和端口聚合等功能。圖1 h3c s5024p產品外觀示意圖產品特點：符合ieee802.3、ieee802.3u、ieee802.3ab/z和ieee802.3x標準支持端口流量控制，符合ieee 802.3x提供24個10/100/1000m自適應以太網端口，支持端口自動翻轉（auto mdi/mdix）、4個1000m sfp端口（與最后

31、4個1000m電口復用）及1個console口最多支持255個符合ieee 802.1q標準的vlan，vlan id 14094可配；最多支持24個基于端口的vlan端口匯聚：支持整機最多4組，每組最多24個端口支持基于端口的帶寬控制，最小粒度為25mbps 支持ieee 802.1p優先級、ip優先級和dscp優先級，支持sp隊列調度，支持每端口2個優先級隊列；支持廣播風暴抑制支持端口鏡像功能支持端口綁定支持端口收發報文統計支持mac地址老化時間設置 提供命令行接口管理和web管理 支持交換機系統軟件的升級 內置通用電源，1u鋼殼，19英寸標準機架結構，可上機架。產品規格：項目描述概述標準

32、iieee 802.3 10base-t 以太網ieee 802.3u 100base-tx 快速以太網ieee 802.3ab 1000base-t千兆以太網ieee 802.3z 千兆以太網（光纖）ansi/ieee 802.3 nway自動協商ieee 802.3x 流量控制固定端口24個10/100/1000base-t自協商的以太網端口1個console端口可選端口4個1000base-sx/lx sfp光口固定端口屬性連接器類型：rj-45支持10/100/1000mbit/s傳輸速率支持半雙工、全雙工、自協商工作模式支持mdi/mdi-x自適應可選端口屬性連接器類型：lc支持10

33、00mbit/s傳輸速率 全雙工網線類型雙絞線：采用5類雙絞線，傳輸距離100m 光纖多模：50/125m多模光纖，配有lc插頭，傳輸距離550m單模短距：9/125m單模光纖，配有lc插頭，傳輸距離10km單模中距：9/125m單模光纖，配有lc插頭，傳輸距離40km單模長距：9/125m單模光纖，配有lc插頭，傳輸距離70km性能背板帶寬48g 轉發能力35.71mpps交換模式存儲轉發模式mac地址表支持地址自動學習、自動老化（老化時間為5分鐘）；最多支持mac（media access control）地址：8k；支持手工配置靜態mac：64項軟件vlan最多支持255個符合ieee

34、802.1q標準的vlan，vlan id在1-4094范圍內可配最多支持24個基于端口的vlan優先級隊列（qos）支持802.1p優先級、ip優先級和dscp優先級隊列數：每端口2個端口匯聚支持整機最多4個匯聚組，每組最多24個端口端口鏡像支持基于端口的雙向鏡像端口帶寬控制最小粒度為25mbps廣播風暴抑制所有端口上支持基于帶寬百分比的廣播風暴抑制配置和管理基于web的管理支持命令行配置支持通過telnet登錄進行配置維護支持調試信息的輸出、統計支持ping維護診斷工具支持通過telnet進行遠程維護3.接入交換機(h3c s1526)h3c s1526交換機是h3c公司自主開發的二層線速

35、以太網交換產品，是為要求具備高性能且易于安裝的網絡環境而設計的智能型交換機。s1526提供了24個10/100 mbps端口，2個千兆銅纜/sfp（mini gbic）組合端口用于靈活的千兆銅纜或光纖骨干連接，用戶可根據傳送距離的不同要求靈活的選擇1000base-lx、1000base-sx、1000base-t等多種接口類型。該款交換機支持vlan劃分、端口鏡像、端口聚合和qos等功能，可以通過web界面進行方便地配置。h3c s1526產品規格項目描述概述標準ieee802.3 10base-t以太網；ieee802.3u 100base-tx快速以太網；ieee802.3ab 1000

36、base-t千兆以太網；ieee802.3z 千兆以太網（光纖）；ansi/ieee 802.3 nway自動協商；ieee802.3x流量控制固定端口24個10/100base-tx自適應以太網端口；2個千兆光電復用端口；1個console接口固定端口屬性連接器類型：rj-45；支持10/100/1000mbit/s傳輸速率；支持半雙工、全雙工、自協商工作模式；支持mdi/mdi-x自適應網線類型10base-t：3/4/5類雙絞線，支持最大傳輸距離100m；100base-tx：5類雙絞線，支持最大傳輸距離100m；1000base-t：5類雙絞線，支持最大傳輸距離100m可選模塊1000

37、base-lx-sfp：9/125m單模光纖，傳輸距離10km；1000base-zx-lr-sfp：9/125m單模光纖，傳輸距離40km；1000base-zx-vr-sfp：9/125m單模光纖，傳輸距離70km；1000base-sx-sfp：50/125m多模光纖，傳輸距離550m性能背板帶寬8.8g轉發能力6.55mpps交換模式存儲轉發模式mac地址表支持地址自動學習、自動老化（老化時間為5分鐘）；最多支持mac（medium access control）地址：8k軟件vlan基于端口vlan，支持vlan最大數目:26支持128個802.1q的vlan，vlan id 1-4

38、094可配優先級隊列（qos）標準:802.1p；隊列數:4個端口聚合最多可設置3組端口聚合；2個10/100mbps端口干路（每個干路2到4個端口）；1個千兆端口干路（2個千兆端口）端口鏡像n:1端口帶寬控制最小粒度為64kbpsvct支持線路診斷功能配置和管理基于web的管理支持配置文件導入/導出五 網絡安全酒店網絡的安全威脅主要來源于兩大塊，一塊是來自于網內，一塊來自于網外。來源于網內的威脅主要是病毒攻擊和黑客行為攻擊。5.1.1 威脅網絡安全因素分析計算機網絡安全受到的威脅包括：1.“黑客”的攻擊；2. 計算機病毒；3. 拒絕服務攻擊（denial of service attack）

39、。安全威脅的類型：1、非授權訪問。指對網絡設備及信息資源進行非正常使用或越權使用等。如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享。2、冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權限，以達到占用合法用戶資源的目的。3、破壞數據的完整性。指使用非法手段，刪除、修改、重發某些重要信息，以干擾用戶的正常使用。4、干擾系統正常運行，破壞網絡系統的可用性。指改變系統的正常運行方法，減慢系統的響應時間等手段。這會使合法用戶不能正常訪問網絡資源，使有嚴格響應時間要求的服務不能及時得到響應。5、病毒與惡意攻擊。指通過網絡

40、傳播病毒或惡意java、active x等，其破壞性非常高，而且用戶很難防范。6、軟件的漏洞和“后門”。軟件不可能沒有安全漏洞和設計缺陷，這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件編程人員為了方便而設置的，一般不為外人所知，可是一旦“后門”被發現，網絡信息將沒有什么安全可言。如windows的安全漏洞便有很多。7、電磁輻射。電磁輻射對網絡信息安全有兩方面影響。一方面，電磁輻射能夠破壞網絡中的數據和軟件，這種輻射的來源主要是網絡周圍電子電氣設備產生的電磁輻射和試圖破壞數據傳輸而預謀的干擾輻射源。另一方面，電磁泄漏可以導致信息泄露。5.1.2 網絡安全防范措施在不改變原有網絡結

41、構的基礎上實現多種信息安全，保障校園內部網絡安全，我們選購了一套網絡安全防范設備。1 瑞星殺毒軟件網絡版1. 超強病毒查殺2. 智能主動防御3. 增強型全網漏洞管理4. 強大的網絡管理能力是網絡安全的基礎部署、控制、執行、升級、報告和日志、二次開發。 5. 兼容多種平臺6. 一體化智能服務體系2 瑞星企業級防火墻瑞星全功能np防火墻是一款整合多種安全防護功能的智能網絡安全防火墻，它是瑞星公司針對中小企業級用戶定制的一款高端防火墻，型號為：rfw-sme。 瑞星全功能np防火墻整合了多種安全防護功能，是建構中小型企業網絡的最佳選擇。rfw-sme擁有通用防火墻功能、網絡地址轉換（nat）、主動式

42、入侵檢測（ids）、虛擬專網（vpn）、帶寬管理、內容過濾、以及策略管理等功能。通過架設瑞星全功能np防火墻，可以保護用戶的網絡免于黑客的攻擊，同時也幫助用戶利用因特網的資源建構網絡安全機制及虛擬專網服務，還提供了不同等級的網絡帶寬管理，讓一些特殊的應用服務可以確保使用帶寬。 3 瑞星入侵檢測系統作為一種防火墻的合理補充，入侵檢測技術能夠幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高了信息安全基礎結構的完整性。瑞星rids-100入侵檢測系統能實時捕獲內外網之間傳輸的所有數據，利用內置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網絡上發生的

43、入侵行為和異?，F象，并在數據庫中記錄有關事件，另外rids-100入侵檢測系統可以與防火墻聯動，自動配置防火墻策略，配合防火墻系統使用，可以全面保障網絡的安全，組成完整的網絡安全解決方案。為了加強對引擎進行訪問的用戶的管理，rids-100系統設計了一套完善的用戶管理機制，每個管理用戶配有一把電子鑰匙（串口或usb接口），內裝有該用戶的密鑰和加密算法。用戶在對系統進行管理時必須插入自己的鑰匙并輸入正確的口令。檢測引擎的接入對被保護網絡是透明的，它對被保護網絡的任何流量和請求均不做反應，不影響被保護網絡的性能。 5.2 網絡管理網絡管理就是指監督、組織和控制網絡通信服務以及信息處理所必需的各種活

44、動的總稱。5.2.1 網絡管理的內容(1）網絡故障管理；(2) 網絡配置管理；(3) 網絡性能管理；(4) 網絡計費管理；(5) 網絡安全管理。5.2.2 網絡管理的手段在網絡管理方面，為了便于、網絡管理人員的管理及維護，我們選購quidview網絡管理軟件。quidview網絡管理軟件基于靈活的組件化結構，用戶可以根據自己的管理需要和網絡情況靈活選擇自己需要的組件，真正實現“按需建構”。quidview網絡管理軟件采用組件化結構設計，通過安裝不同的業務組件實現了設備管理、vpn監視與部署、軟件升級管理、配置文件管理、告警和性能管理等功能。支持多種操作系統平臺，并能夠與多種通用網管平臺集成，實

45、現從設備級到網絡級全方位的網絡管理。1. 網絡集中監視quidview網絡管理軟件提供統一拓撲發現功能，實現全網監控，可以實時監控所有設備的運行狀況，并根據網絡運行環境變化提供合適的方式對網絡參數進行配置修改，保證網絡以最優性能正常運行。2. 故障管理故障管理主要功能是對全網設備的告警信息和運行信息進行實時監控，查詢和統計設備的告警信息。3. 性能監控quidview網管系統提供豐富的性能管理功能，同時以直觀的方式顯示給用戶。通過性能任務的配置，可自動獲得網絡的各種當前性能數據，并支持設置性能的門限，當性能超過門限時，可以以告警的方式通知網管系統。通過統計不同線路、不同資源的利用情況，為優化或

46、擴充網絡提供依據。3. 服務器監視管理服務器是企業ip架構中的重要組成部分，通過quidview，可實現服務器與設備的統一管理。4. 設備配置文件管理當網絡規模較大時，網絡管理員的配置文件管理工作將十分繁重，如果沒有好的配置文件維護工具，網絡管理員就只能手動備份配置文件。這樣就給網絡管理員管理、維護網絡帶來一定的困難。quidview網絡配置中心支持對設備配置文件的集中管理，包括配置文件的備份、恢復以及批量更新等操作，同時還實現了配置文件的基線化管理，可以對配置文件的變化進行比較跟蹤。6. 設備軟件升級管理quidview提供完善的設備軟件備份升級控制機制。使用quidview，管理員可以方便

47、地查詢設備上運行的軟件版本，并利用升級分析功能來確定設備運行軟件是否需要升級。當升級軟件版本時，可以利用quidview集中備份設備運行軟件，然后進行批量升級。升級之后，可以使用quidview進行升級結果驗證，確保升級操作萬無一失。7.集群管理針對大量二層交換機設備的應用環境，quidview網絡管理軟件提供集群管理功能，通過一個指定公網ip的設備（稱作命令交換機）對網絡進行管理。8. 堆疊管理quidview網絡管理軟件通過堆疊管理，可以集中管理較大量的低端設備，并且為用戶提供統一的網管界面，方便用戶對大量設備的統一管理維護。9. 故障定位與地址反查針對最為常見的端口故障，quidview

48、網絡管理軟件提供了便捷的定位檢測工具路徑跟蹤和端口環回測試；當用戶報告網絡端口使用異常時，網絡管理員可以通過網管對指定用戶端口做環回測試，直接定位端口故障。10. rmon管理rmon管理根據rfc1757定義的標準rmon-mib及華為3com自定義告警擴展mib對主機設備進行遠程監視管理。5.3 網絡安全策略配置5.3.1安全接入和配置安全接入和配置是指在物理(控制臺)或邏輯(telnet)端口接入網絡基礎設施設備前必須通過認證和授權限制，從而為網絡基礎設施提供安全性。限制遠程訪問的安全設置方法如下表19安全接入和配置方法訪問方式保證網絡設備安全的方法備注console控制接口的訪問設置密

49、碼和超時限制建議超時限制設成5分鐘進入特權exec和設備配置級別的命令行配置radius來記錄logon/logout時間和操作活動；配置至少一個本地賬戶作應急之用telnet訪問采用acl限制，指定從特定的ip地址來進行telnet訪問；配置radius安全紀錄方案；設置超時限制ssh訪問激活ssh訪問，從而允許操作員從網絡的外部環境進行設備安全登陸web管理訪問取消web管理功能snmp訪問常規的snmp訪問是用acl限制從特定ip地址來進行snmp訪問；記錄非授權的snmp訪問并禁止非授權的snmp企圖和攻擊為增加安全,建議更改缺省的snmp commutiy子串設置不同賬號通過設置不同

50、的賬號的訪問權限，提高安全性5.3.2 拒絕服務的防止網絡設備拒絕服務攻擊的防止主要是防止出現tcp syn泛濫攻擊、smurf攻擊等；網絡設備的防tcp syn的方法主要是配置網絡設備tcp syn臨界值，若多于這個臨界值，則丟棄多余的tcp syn數據包；防smurf攻擊主要是配置網絡設備不轉發icmp echo請求(directed broadcast)和設置icmp包臨界值，避免成為一個smurf攻擊的轉發者、受害者。5.3.3 訪問控制1 允許從內網訪問internet，端口全開放。2 允許從公網到dmz（非軍事）區的訪問請求：web服務器只開放80端口，mail服務器只開放25和1

51、10端口。3 禁止從公網到內部區的訪問請求，端口全關閉。4 允許從內網訪問dmz（非軍事）區，端口全開放5 允許從dmz（非軍事）區訪問internet，端口全開放6 禁止從dmz（非軍事）區訪問內網，端口全關閉。5.4電源系統六 網絡存儲設計為保證網絡系統的安全運轉及電源發生故障時重要數據的儲存,須配置具有高可靠性的ups電源。為此,在網絡中心配置了一套山特c3kva/2100w的ups電源。1、 在網絡中將san和nas融合作為一種主流技術，san具有傳統存儲方案無以比擬的優勢，但從現狀來看傳統的基于文件訪問服務器的存儲方案仍然占據一定地位，兩種方案將會在很長的一段時間內并存，新的&州方案

52、可以考慮到與nas存儲系統的互操作性與融合。san存儲網絡系統是以塊級的方式操作，而nas網絡存儲系統是以文件(file)級的方式表達。這意味著nas系統對于文件級的服務有著更高效和快速的性能。而應用數據塊的數據庫應用和大數據塊的io操作則以san為優先。隨著校園網絡中數據量的增加，服務器的數據存儲和操作越來越頻繁，直接影響整個網絡的性能，并成為使用的瓶頸。san和nas有著不同的存儲結構和特點。san能夠實現高速數據存儲，適合做數據庫服務器存儲以及一些對讀取數據要求高的應用；nas著重于文件共享功能，完成多臺服務器文件系統級的共享，適合做文件服務器。在校園網絡中存在著不同的數據需求，因此，根

53、據校園網絡中傳輸數據的特點，將san和nas融合應用于校園網絡，是提高系統性能的有效途經。在nas與san融合的過程中，在融合的方案中“既有nas，又有san”，我校在現有的存儲系統中增加了nas功能作為文件服務器，使整個存儲部署更加靈活。2、 分級存儲數據分級存儲是指數據客體存放在不同級別的存儲設備(磁盤、磁盤陣列、存儲系統等)中的存儲方式。現在高校的數據中心越來越復雜，數據保護是其關鍵。但是并非所有的數據都具有同樣的價值和要求同樣的存儲性能。用分級存儲的方式構建存儲體系可以在很大程度上降低存儲成本，為學校節約資金。我校根據數據的重要性和利用率高低將數據存儲在不同類型的設備上。這些設備根據其

54、性能和成本劃分為不同的級別，這些分級設備可以包括本地硬盤、本地陣列、das磁盤陣列，ip san存儲等。經常被讀、寫訪問的關鍵應用數據，如oracle數據庫文件、郵件服務器、網上教學。計費系統，重要的視頻點播等，存放于ip san存儲系統中；而一些本身數據量大，讀訪問量也大但是不是很關鍵的數據就存儲到das磁盤陣列，比如影視視頻資料；而其他那些數據量不是很大，讀數據要求不是很高的數據放在磁盤陣列上，比如www服務器的數據。由上圖可以看出，我校所使用的分級存儲方式。既充分利用了存儲設備的性能。又科學合理有效地組織了數據存儲。七設備報價清單名稱單位單價小計金浪（面板+地盒）套68金浪超五類模塊個68志盟2號網線箱122m豪華機柜個1金浪110網絡配線架（24口）金浪超五類水晶頭包3理線器信息點施工費68管材批h3c er5200臺1s1526臺3s5024p臺1總計 膃蒅薆肄膂蚇袁羀膁莇蚄袆膀葿衿膅腿薁螞肁膈蚄袈羇芇莃蝕袃芇蒅袆蝿芆蚈蠆膇芅莇羄肅芄蒀螇罿芃薂羂裊節蚄螅膄芁莄薈肀莁蒆螄羆莀蕿薆袂荿羋螂袈莈蒁蚅膇莇薃袀肅莆蚅蚃羈蒞蒞袈襖蒞蕆蟻膃蒄薀袇聿蒃螞蝕羅蒂莁裊羈聿薄螈袇肈蚆羃膆肇莆螆肂肆蒈羂羈肅薀螄襖膄蚃薇膂膃莂螃肈膃蒅薆肄膂蚇袁羀膁莇蚄袆膀葿衿膅腿薁螞肁膈蚄袈羇芇莃蝕袃芇蒅袆蝿芆蚈蠆膇芅莇羄肅芄蒀螇