商务连锁酒店网络改造方案

《商务连锁酒店网络改造方案》由会员分享，可在线阅读，更多相关《商务连锁酒店网络改造方案（15页珍藏版）》请在金锄头文库上搜索。

1、XXXX商务连锁酒店网络改造方案杭州华三通信技术有限公司目 录1 门店技术要求及组网方案31.1 技术要求：31.2 组网方案：31.3 设备选型：31.4 门店整体方案特色：52 总店技术要求及组网方案52.1 技术要求：52.2 组网方案：62.3 设备选型：62.4 总部整体方案特色：93 整体网络的介绍103.1 整网的拓扑图：103.2 地址分配：103.3 路由规则和路由图：124 总部网络改造方案高中低三种配置选型134.1 专业防火墙及VPN网关134.2 核心交换机134.3 IPS-入侵抵御系统144.4 无线AP141 门店技术要求及组网方案1.1 技术要求：1、 网络稳

2、定性高2、 低成本3、 门店以VPN方式接入总部4、 支持对客房区、办公区的VLAN划分5、 实现流量控制6、 。1.2 组网方案：1.3 设备选型：ER3200：新一代高性能宽带路由器2个百兆WAN口、4个百兆LAN口选择理由：1、 500Mhz的CPU主频，拥有一颗强劲的心2、 支持IPSec VPN，通过internet实现和总部的VPN连接3、 带有很强的防火墙功能，可以进行灵活acl控制，可以防QQ/MSN，防BT下载，防外网入侵和攻击，智能网页过滤4、 灵活的访问控制功能，可以按部门、按业务、按时间来设置控制策略5、 全面防止ARP攻击，保证上网不掉线6、 弹性带宽控制，忙时不允许

3、超过额定带宽，闲时可超出额定带宽7、 可以进行实时流量统计，按照流量大小进行排序8、 支持将客人的首次internet访问重定向到酒店网站进行宣传9、 2个百兆WAN口，一口以宽带接入internet，另一口配合modem利用PSTN备份链接到总部的modem池，可自动检测故障进行切换。也可以负载均衡方式工作10、 带机量达到100-200台，满足门店的带机要求11、 图形化web管理界面，使用方便12、 为酒店客户定制的管理界面，以客户熟悉和习惯的方式设置13、 支持以web方式远程登录管理14、 宽带路由器同时可做DHCP serverS5024E：全千兆智能防攻击交换机24个千兆下行电口

4、、4个光电复用千兆上行口选择理由：1、 96G的交换容量，全线速无阻塞转发2、 防攻击能力强大a) 防ARP攻击b) 防DOS攻击c) 防蠕虫病毒攻击d) 802.1x认证e) 支持IP+MAC+端口绑定f) 方便地实现安全配置文件的导入和导出3、 交换机使用和管理极其方便a) 简单美观易用的WEB管理界面：网管就想看小人书一样轻松b) 按照不同行业应用特点，在WEB管理界面里定制不同管理专区c) 网吧专区智能端口设定：为网吧收银服务器、监控服务器、电影音乐服务器、游戏更新服务器、路由器等自动进行优化d) 支持Web网管、通过Console口进行管理、Telnet远程管理4、 丰富的端口特性a

5、) 端口隔离、端口安全、端口汇聚、端口镜像、端口带宽控制、广播风暴抑制、VCT电缆检测5、 支持512个基于802.1Q的VLAN，完全满足门店内部的VLAN划分需求6、 高性价比：您付出的每一分钱都物超所值S1526： 24个10/100M自适应RJ45端口，支持端口自动翻转（Auto DI/MDIX） 2个千兆光电复用口（SFP/RJ45复用）1个Console口选择理由：l 支持26个Port VLAN和256个IEEE 802.1Q Tag VLAN l 支持端口聚合：FE：支持整机最多2组，每组最多4个端口；GE：1组，每组最多2端口l 提供端口带宽控制功能，最小粒度为64kbps

6、l 支持IEEE 802.1p优先级协议模式、支持WRR（加权轮询）调度，支持每端口4个输出队列提供端口安全控制功能l 支持广播风暴控制 l 支持端口镜像功能 l 支持MAC地址老化时间设置 l 提供Web管理 l 支持交换机系统软件的升级 l 内置通用电源，1U钢壳，19英寸标准机架结构，工业级设计以上产品的详细资料请参考H3C提供的产品资料。1.4 门店整体方案特色：1、 H3C宽带路由器支持IPSec VPN，防火墙功能，DHCP SERVER，一机多能，简化了网络结构，节省投资2、 整体方案具有完善的安全特性，可以保证门店网络的安全性。尤其可以防止目前困扰很多酒店的ARP病毒攻击的问题

7、。可以防止来自内部和外部的攻击。3、 房间号和VLAN号自动对应，并可以帮助公安监控实现基于客房的精确定位，满足公安监控的要求。4、 客房网络布线自动识别系统，减少酒店网线连接的识别工作。5、 所选择的设备都经过了市场的大量应用考验，成熟稳定可靠6、 高性价比7、 完全满足客户对门店的建设要求，应该说超出客户的要求。2 总店技术要求及组网方案2.1 技术要求：1. 按照200家门店的规模规划公司的硬件网络2. 老的门店的改造尽量使用已经购买的网络设备3. 支持VPN，VLAN，防火墙，网管功能等，说明各主要功能的实现方式4. 网络结构和性能需支持视频会议系统5. 说明设备清单，包括品牌，型号，

8、数量，价格，主要技术指标6. 说明网络拓扑图和路由图。7. 说明总部和门店端IP地址分配方式8. 说明技术支持的方式2.2 组网方案：2.3 设备选型：VPN网关及防火墙：H3C SecPath F1000-S：H3C高性能千兆专业防火墙及VPN网关4个固定GE（两个固定光电COMBO口，两个电口）最大可以扩展到：8GE/4GE+8FE选择理由：1、 F1000-S可以支持3500个IPSEC VPN隧道，完全可以满足200多个门店的接入。2、 加入采用3DES加密方式，可以支持650M的流量。如果200个门店均以2M ADSL接入以IPSEC VPN接入到总部，总共的加密带宽不超过400M，

9、650M的处理能力足够。假设每个门店均以10M的宽带接入internet以IPSEC VPN接入到总部，最高流量2G，但是考虑到不可能全部并发，有一定的收敛比，所以650M带宽也足够。3、 多出口，可以实现同时连接电信、网通的链路，同时还可以利用外接的modem池实现PSTN的备份链路。4、 DMZ区部署用于internet访问的各类服务器。5、 F1000-S专业的防火墙功能，提供完善安全保护：1) 支持基础、扩展和基于接口的状态检测包过滤技术，支持按照时间段进行过滤；2) 支持H3C特有ASPF应用层报文过滤（Application Specific Packet Filter）协议，支持

10、对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245， RTP/RTCP等）应用层协议的状态监控，支持TCP/UDP应用的状态监控3) 对DoS/DDoS攻击的防范4) ARP欺骗攻击的防范5) 提供ARP主动反向查询6) TCP报文标志位不合法攻击防范7) 超大ICMP报文攻击防范8) 地址/端口扫描的防范9) ICMP重定向或不可达报文控制功能10) Tracert报文控制功能11) 带路由记录选项IP报文控制功能12) 静态和动态黑名单功能13) MAC和IP绑定功能14) 支持智能防范蠕虫病毒技术15) 可

11、以有效的识别网络中的BT、Edonkey、Emule等各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；16) 支持邮件过滤，提供SMTP邮件地址、标题和内容过滤；17) 支持网页过滤，提供HTTP URL和内容过滤；18) 支持应用层过滤，提供Java/ActiveX Blocking和SQL注入攻击防范19) 支持RADIUS和HWTACACS协议及域认证20) 支持基于PKI /CA体系的数字证书（X.509格式）认证功能21) 在PPP线路上支持CHAP和PAP验证协议22) 集中管理与审计：提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警

12、功能6、 专业灵活的VPN服务：1) 支持L2TP VPN、GRE VPN、IPSec VPN、动态VPN等多种VPN业务模式2) 利用动态VPN（DVPN）技术，简化VPN配置，实现按需动态构建VPN网络7、 在扩展插槽上增加SSL VPN板卡，可以支持SSL VPN，实现基于任何internet位置上的移动VPN接入酒店网络。8、 集成路由功能，可以省去路由器：1) 支持路由、透明及混合运行模式2) 支持静态路由协议3) 支持RIP v1/2、OSPF、BGP动态路由协议4) 支持路由策略及策略路由业界最高级的安全防护：实时入侵抵御系统IPS（可选）：H3C SecPath T200：H3

13、C实时入侵抵御系统4（10/100/1000M以太电口）一个扩展槽，可以配置4个10/100M以太电口，或2个1000M以太SFF光口选择理由：1、 深度防御、应用层攻击防御：业界最高的安全防护等级1) 客户机和服务器保护- 抵御针对应用和操作系统漏洞的攻击- 摈弃代价昂贵的应急补丁工作- 精细化的深度防御与应用控制2) 病毒过滤- 全球顶尖级病毒分析专家团队- 拥有超过40万的病毒样本- 阻止多种类型的网络蠕虫/病毒攻击- 深度过滤隐藏在IM/P2P/email等常用软件中携带的病毒- 过滤压缩后的病毒、木马- 过滤变种病毒3) 网络基础设施保护- 保护DNS和其他网络基础设施- 抵御流量异

14、常以及SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、CC等各种DDoS攻击- 访问控制4) 流量正规化- 提高网络带宽和路由器性能- 正规化非法网络流量- 优化网络性能5) URL过滤- 根据时间定制过滤规则- 自定义URL过滤规则- URL过滤与带宽管理关联定制组合6) 应用性能保护- 提高带宽和服务器性能- 阻止或限制P2P/IM等非关键流量7) 特征库实时升级- 抵御零日攻击- 最新特征库自动发布2、 专业灵活的VPN服务：1) 支持L2TP VPN、GRE VPN、IPSec VPN、动态VPN等多种VPN业务模式2) 利用动态VPN（DVPN）技术，简化VPN配置，实现按需动态构建VPN网络3、 对威胁的处理方式：1) SecPath T200提供了丰富的威胁响应方式，包括阻断、限流、TCP Reset、抓取原始报文、重定向、隔离、Email告警、日志记录等，各响应方式可以相互组合。设备出厂时已内置了一些常用的响应组合，便于部署和维护。4、 可靠性：1) SecPath T200使用无源连接设备PFC（Power Free Co