酒店計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計解決方案

酒店計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計解決方案

1.1.前言

根據(jù)XXX酒店的網(wǎng)絡(luò)的需求，木著“可靠性、實用性、安全性、先進性、開

放性”的設(shè)計原則，以系統(tǒng)生命周期長、管理維護方便和保護投資為主要技術(shù)特

色，以適應(yīng)XXX酒店當前應(yīng)用和后續(xù)發(fā)展的需要目的。

1.2.需求分析

L2.1.概述

需求分析是所有工程生命周期的第一個階段并貫穿于工程的整個生命周期。

任何一個工程，實際都要經(jīng)歷需求分析、系統(tǒng)設(shè)計、建造實施、質(zhì)量完善四個階

段。需求分析的目的是確定工程系統(tǒng)的目標。促使目標系統(tǒng)最大地滿足用戶需求。

完整、準確、有效的需求分析結(jié)果是工程設(shè)計成功的基本依據(jù)之一。正確、有效

XXX酒店項目中

基礎(chǔ)建筑狀況如下

主樓層：8層；附樓地下一層，地上二層，主機房設(shè)在附樓二層網(wǎng)絡(luò)機房，

總建筑面積約為66平方米。

綜合布線系統(tǒng)采用星型拓撲結(jié)構(gòu)為主，水平布線采用超6類電纜，網(wǎng)絡(luò)分層

采用二層結(jié)構(gòu)，接入交換機必須提供可支持上聯(lián)的千兆端口，以提供可擴展性,

并保證100M到用戶桌面，經(jīng)匯聚后以千兆帶寬通過多模光纖上聯(lián)大樓主干網(wǎng)絡(luò)。

本布線系統(tǒng)約需數(shù)據(jù)信息點430個，語音信息點508。信息點的分布及接入層交

換機情況如下表所示：

配線間樓層數(shù)據(jù)語音24口交換機48口交換機

IDF1附樓二層8313611

1DF2主樓一層19321

IDF3主樓二層15211

IDF4主樓三層42441

TDF5主樓四層54551

1DF6主樓五層54551

IDF7主樓六層55561

1DI-8主樓七層55561

IDF9主樓八層洲531

總計43050831

1.2.2.應(yīng)用需求

XXX酒店網(wǎng)絡(luò)中，絕大多數(shù)為客戶終端機，同時有少量主要針對樓內(nèi)的網(wǎng)絡(luò)

資源服務(wù)，例如FTP、BBS、視頻廣播等。網(wǎng)絡(luò)應(yīng)用的主要類型有：WWW瀏覽、FTP

文件傳輸、收發(fā)電子郵件、在線視頻轉(zhuǎn)播和收看、多媒體課件、電子商務(wù)客戶端、

文件共享等。

1.2.3.帶寬需求

下面為當前一些應(yīng)用對帶寬的需求：

>電話,傳真，電子郵件,基本公眾信息服務(wù)64K

>高質(zhì)量可視電話，視頻會議,數(shù)字音

頻384K

>文件傳輸,W州應(yīng)用，圖象傳輸，電子購物1M

>MPEG"VCD視頻點播，交互式電視,廣播電

視1.2M-1.5M

>MPEG2/DVD視頻點播.高清晰度電

視3M-4M

>3D應(yīng)用，VRML虛擬現(xiàn)實，實時多媒體4M

XXX酒店網(wǎng)絡(luò)的用戶，可以根據(jù)用戶類型分為普通終端用戶和服務(wù)用戶兩類。

普通終端用戶的網(wǎng)絡(luò)應(yīng)用又分為實時和非實時兩種。實時網(wǎng)絡(luò)應(yīng)用中對傳輸帶寬

需求最大的是實時視頻傳輸。目前高質(zhì)量視頻流傳輸?shù)膸捫枨鬄?Mb/s,而

對于低質(zhì)量的實時視頻傳輸，325Kb/s的就可以達到實用的要求。對于非實時網(wǎng)

絡(luò)應(yīng)用，尤其是文件傳輸類的應(yīng)用，帶寬越大越好。而在1Mb/s帶寬下所有非

實時網(wǎng)絡(luò)應(yīng)用均可順利進行。然而在網(wǎng)絡(luò)的實際應(yīng)用中，用戶實際使用的帶寬取

決于起點對終點傳輸路徑中所有連路的最小帶寬處所能分得的帶寬和服務(wù)器的

吞吐量，絕大多數(shù)在100?500Kb/s之間。所以，普通終端用戶的基本流量為每

人1—2Mb/so

對于服務(wù)用戶其所需帶寬越大越好，但此時的瓶頸往往是服務(wù)器的其它硬件

處理能力，如CPU、內(nèi)存、硬盤、數(shù)據(jù)庫訪問速度等，根據(jù)統(tǒng)計，通常為每臺采

用千兆網(wǎng)卡的服務(wù)器平均網(wǎng)絡(luò)流量為200-300Mb/s左右。

通過采用組播技術(shù)，也可以大幅度減少多媒體應(yīng)用對網(wǎng)絡(luò)帶寬的占用。

1.2.4.管理需求分析

■實用的網(wǎng)絡(luò)管理

一個好的網(wǎng)絡(luò)管理體統(tǒng)可以讓網(wǎng)絡(luò)人員更加經(jīng)濟高效地管理網(wǎng)絡(luò)，優(yōu)化網(wǎng)絡(luò)

資源，降低網(wǎng)絡(luò)運行維護成本。所以網(wǎng)絡(luò)管理系統(tǒng)必須具有如下的功能：

拓撲管理

＞能夠?qū)蝹€或多個網(wǎng)絡(luò)設(shè)備進行自動拓撲。

＞能夠自動發(fā)現(xiàn)管轄區(qū)域內(nèi)網(wǎng)上的IP資源，并自動以不同的圖標表示不

同的設(shè)備，也可以規(guī)定搜索的地址范I韋I。

＞系統(tǒng)可根據(jù)發(fā)現(xiàn)的數(shù)據(jù)自動生成整個網(wǎng)絡(luò)的拓撲圖，即可在圖形用戶界

面上再現(xiàn)直觀的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖網(wǎng)絡(luò)拓撲結(jié)構(gòu)的顯示方式可以按照用戶

的愛好自行拖曳編排，從而以最方便直觀的方式展示網(wǎng)絡(luò)結(jié)構(gòu)。

配置管理

＞故障報警設(shè)備等級：設(shè)備優(yōu)先級、故障級別

輪詢方式：周期、超時、重試

故障定義：設(shè)備故障、應(yīng)用故障、服務(wù)故障、自定義故障干預(yù)報警

干預(yù)報警是指系統(tǒng)顯示管理人員正在處理設(shè)備故隙設(shè)備上會顯示

黃燈以便告訴其它管理人員，故障正在處理中

＞設(shè)備故障情況

顯示指定網(wǎng)絡(luò)設(shè)備發(fā)生故障的情況，包括該設(shè)備的名稱、地址、故

障信息以及發(fā)生故障的時間

＞歷史報警查詢統(tǒng)計

對收到的各種報警信息入庫處理，通過對數(shù)據(jù)庫的統(tǒng)計報表查詢可

以分析網(wǎng)絡(luò)的故障原因以及統(tǒng)計網(wǎng)絡(luò)設(shè)各出現(xiàn)故障的頻度

＞重要設(shè)備監(jiān)控

管理員可以根據(jù)設(shè)備的重要程度將被管設(shè)備分為不同的組，每個

管理員只需看見他所關(guān)心的設(shè)備，其它拓撲圖上的設(shè)備對他就不太重

要。每當設(shè)備出現(xiàn)故障，就能清楚的發(fā)現(xiàn)是哪臺設(shè)備發(fā)生的，并能查

看詳細故障信息。

性能管理

能夠通過設(shè)備運行情況收集和實時監(jiān)測網(wǎng)絡(luò)沒備的性能指標實現(xiàn)網(wǎng)絡(luò)性能

管理，包括網(wǎng)絡(luò)流量、設(shè)備吞吐情況，設(shè)備IP包差錯情況，子網(wǎng)或網(wǎng)段丟包情

況等，可以實時報警，并以數(shù)據(jù)表和實時圖形曲線方式顯示出來，并且可以拓展

性能管理的種類

安全管理

網(wǎng)絡(luò)管理系統(tǒng)能夠提供嚴格的等級和權(quán)限管理，每個管理員只能在其等級和

權(quán)限范圍內(nèi)操作可分為：用戶等級、功能權(quán)限、管理權(quán)限。

統(tǒng)計報表

歷史數(shù)據(jù)的統(tǒng)計分析對于分析網(wǎng)絡(luò)性能，尋找網(wǎng)絡(luò)隱患有十分重要的作用。

網(wǎng)管系統(tǒng)產(chǎn)生的大量信息，由于可以存儲在關(guān)系型數(shù)據(jù)庫中，所以查詢、制作報

表十分簡單，更提供專業(yè)的Report工具，該工具與網(wǎng)管系統(tǒng)緊密集成，可以將

存儲的歷史數(shù)據(jù)以多種圖形或數(shù)字的形式展現(xiàn)出來，或以ASCII的格式輸出。

■精確統(tǒng)?的用戶管理

精確性：什么時間什么地點什么人在訪問什么資源。

統(tǒng)一性：在有線和無線接入上，接入層有統(tǒng)一的數(shù)據(jù)庫，方便全網(wǎng)漫游。

當然，認證是精確統(tǒng)一的用戶管理的前提和基礎(chǔ)。

為了對接入網(wǎng)絡(luò)用戶的有效管理和監(jiān)控，必須在用戶接入網(wǎng)絡(luò)是使用身份認

證技術(shù)。目前，業(yè)界存在的身份認證技術(shù)比較多，例如：基于PPP0E的RADIUS

認訐、基干LDAP認訐技術(shù)、基于DHCP認訐技術(shù)、基于WEB認訐技術(shù)、TEEE802.lx

認證協(xié)議等等。

下面著重介紹IEEE802.lx認證協(xié)議

802.lx的核心是可擴展認證協(xié)議(ExtensibleAuthorization

Protocol,EAP),是思科、微軟和其它組織一起向IEEE802.lx委員會提交的一

種IEEE標準，使得無線網(wǎng)卡制造商和RADIUS服務(wù)器廠商可以獨立地開發(fā)出可互

操作的客戶端和服務(wù)器端軟件。

在802.1x出現(xiàn)之前,企業(yè)網(wǎng)上有線LAN應(yīng)用都沒有直接控制到端口的方法。

也不需要控制到端口。但是隨著無線LAN的應(yīng)用以及LAN接入在電信網(wǎng)上大規(guī)模

開展，有必要對端口加以控制，以實現(xiàn)用戶級的接入控制。802.lx就是IEEE為

了解決基于端口的接入控制(Port-BasedAccessControl)而定義的一個標準。

802.lx并不只是為了無線LAN,而是計劃成為LAN端口的一個普遍的接入控

制機制。它的驗證機制是基于RADIUS中擴展的驗證協(xié)議(Extensible

AuthenticationProtocol,EAP)°RADIUS是一個提供驗證服務(wù)的IETF標準的

方法。EAP是使客戶機與驗證服務(wù)器協(xié)商驗證的協(xié)議。例如，客戶機可以檢查服

務(wù)器是否能夠使用某種類型的智能卡，以及不能使用時，是否同意使用競爭握手

確認協(xié)議(ChallengeHandshakeAuthenticationProtocol,CHAP)等。

802.IX標準充分利用了現(xiàn)有的驗證協(xié)議,即可擴展驗證協(xié)議(EAPERFC

2284])°802.IX標準可以利用為PPP編寫的可擴展驗證協(xié)議，并將其與物理介

質(zhì)聯(lián)系起來，如以太網(wǎng)、令牌網(wǎng)或無線局域網(wǎng)?？蓴U展驗證協(xié)議信息被包含在

802.IX信息中，并被稱為EAP0L,即EAPoverLAN。

802.IX無線局域網(wǎng)驗證技術(shù)擁有三個主要的組件：包括三部分：Supplicant

System,客戶端(PC/網(wǎng)絡(luò)設(shè)備)；AuthenticatorSystem,認證系統(tǒng)；

AuthenticationSeverSystem,認證服務(wù)器。(通常是一個遠程驗證撥號接入用

戶服務(wù)器，不過802.IX并未對此做出具體要求)。

目前802.IX認證技術(shù)已經(jīng)發(fā)展到可以基于邏輯端口的身份認證，即基于主

機MAC地址的認證。

為了做到對接入用戶的精確管理，可以在上述身份認證技術(shù)所需的客戶端軟

件上實現(xiàn)多重綁定功能，即可以把IP地址、MAC地址、交換機端口號、VLANTD

等等元素根據(jù)需要靈活捆綁在一起，這樣，實現(xiàn)對用戶的精確定位就非常方便了。

下表是幾種常用認證方式的比較:

認證方式WEBBAS^E/PPPOE802.lx1

標準程度非標準RFC2516IEEESO2.1X

封裝開銷小大小

對網(wǎng)絡(luò)拓撲的影響較小大無影響

多播支持好差好

IP地址認證前分配認證后分配認證后分配

設(shè)備成本較高（全程Vian）高(BRAS)較低

基于上述比較，可以得出結(jié)論：在對用戶進行身份認證時推薦采用

IEEE802.IX認證協(xié)議。

■靈活的計費管理

通常，計費系統(tǒng)包括計費字系統(tǒng)和帳務(wù)處理子系統(tǒng)。

計費子系統(tǒng)

計費子系統(tǒng)讀取Radius服務(wù)器生成的用戶訪問記錄，對其進行處理，產(chǎn)生

原始的用戶計費信息，提供給帳務(wù)系統(tǒng)做帳務(wù)處理和用戶查詢使用。此信息是反

映用戶使用網(wǎng)絡(luò)情況的最基本的資料，通過進一步的分析統(tǒng)計可以全面了解整個

撥號網(wǎng)絡(luò)的使用情況，為管理和決策提供幫助。

帳務(wù)處理子系統(tǒng)

帳務(wù)處理子系統(tǒng)根據(jù)預(yù)先設(shè)定進行帳務(wù)計算。根據(jù)每個用戶選擇的資費計算

方式和網(wǎng)絡(luò)的使用情況計算出相應(yīng)的網(wǎng)絡(luò)訪問費用。并且提供出帳、核帳、銷帳

的功能。系統(tǒng)通常都有專門的資費管理功能，支持多種資費計算方式，包括按實

際使用時間（以分鐘為單位）固定費率的計費方式，和定額限時的包月制方式,

即使用時間在限定時間以內(nèi)的，只收取固定的費用，若超過了限定的時間，則要

按較高的費率收取費用。對于包月制可以設(shè)定幾個檔次供用戶選擇，如10,20,

50,100小時等。

另外系統(tǒng)有些計費系統(tǒng)還支持時段優(yōu)惠的的計費方式，優(yōu)惠時段和折扣率時

可調(diào)的。

自指定付費方式

計費方式有很多種：包月制、按時K計費、按流量計費等等。酒店可以根據(jù)

實際情況選擇不同的計費方式。

優(yōu)惠計費策略

為了實現(xiàn)優(yōu)惠計費策略，可以在計費后臺數(shù)據(jù)庫平臺實行相應(yīng)的設(shè)置來達到

目的。

自服務(wù)系統(tǒng)的靈活性

自服務(wù)系統(tǒng)的個性化應(yīng)用可以實現(xiàn)：用戶自充值，用戶費用查詢，在線修改

密碼。

1.2.5.安全需求分析

安全問題從來就不是單一的問題，它涉及到許多方方面面。首先，在絕大多

數(shù)信息系統(tǒng)環(huán)境中，風險點或威脅點不是單一-的。這些風險點包括物理安全、邏

輯安全和安全管理三個層面。物理安全涉及到關(guān)鍵設(shè)施設(shè)備的安全和資產(chǎn)存放地

點的安全等內(nèi)容。邏據(jù)安全涉及到訪問控制和數(shù)據(jù)完整性等方面。安全管理包括

人員安全管理政策、組織安全管理政策等方面。上述任何一個方面出問題，都可

能引起安全事故。其次，安全問題是動態(tài)的。由于信息技術(shù)在不斷地變化，信息

技術(shù)安全問題具有動態(tài)性。今天的安全問題到明天也許不再成為安全問題，而今

天無關(guān)緊要的問題，明天可能成為嚴重的安全威脅。這種動態(tài)性導(dǎo)致不可能存在

一勞永逸的解次方案。第三點，安全不是僅僅由安全產(chǎn)品來解次的問題。安全的

多面性使僅僅采用安全產(chǎn)品來防范難以奏效。例如不可能用一個防火墻將所有的

安全問題擋在門外。如果使用一個未經(jīng)認證的調(diào)制解調(diào)器把內(nèi)部網(wǎng)連接到外部網(wǎng),

就可以繞開防火墻對系統(tǒng)安全構(gòu)成威脅。因此在實際的安全策略中，更有效的方

法是制定并嚴格實施酒店內(nèi)的安全政策，采用安全產(chǎn)品只不過是安全政策的一個

方面。最后要說明的一點就是“沒有100%的安全性”。由于安全的多面性和動

態(tài)性，難以找到一個方法對安全問題實現(xiàn)百分之百的覆蓋。其次即使找到這樣的

方法，一般從資源和成本考慮也不易接受。業(yè)界普遍遵循的概念是所謂的“適度

安全準則”，即根據(jù)具體情況提出適度的安全目標加以實現(xiàn)。

綜上所述，系統(tǒng)安全問題不是僅僅涉及安全技術(shù)、產(chǎn)品等方面的片面問題，

而是涵蓋了技術(shù)、人員、管理等多方面的系統(tǒng)問題，必須采取系統(tǒng)化的方法加以

解決。

在這里，我們從三個大的方向加以考慮：事前加強網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、事中快速

反應(yīng)機制、事后安全審計。

■事前加強網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

“防范于未然”，在安全事故發(fā)生以前就做到事先加強安全措施是非常有效

的。對一個網(wǎng)絡(luò)的整體而言，我們可以采取的安全保護措施有很多。

在網(wǎng)絡(luò)出口處或者在網(wǎng)絡(luò)的每個安全域的邊界我們都可以部署防火墻。防火

墻設(shè)備在網(wǎng)落中起著非常重要的作用，具有安全防范、訪問控制和日志審計等功

能，是整個網(wǎng)絡(luò)的主要安全屏障。

除了防火墻外，入侵檢測IDS的部署也是必不可少的。入侵檢測系統(tǒng)是防火

墻的合理補充，它可擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進

攻識別和響應(yīng)），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，幫助管理員洞察網(wǎng)絡(luò)攻擊行

為。在網(wǎng)絡(luò)中合理地部署入侵檢測系統(tǒng)，就相當于在各個交通十字路口安裝電子

監(jiān)視眼和攝像頭一樣，可以捕獲系統(tǒng)中各種違反正常安全策略的異常行為。針對

每個受保護的網(wǎng)絡(luò)的骨干子網(wǎng)，都應(yīng)部署入侵檢測系統(tǒng)和配置相應(yīng)的入侵檢測規(guī)

則。在網(wǎng)絡(luò)中心設(shè)置入侵檢測系統(tǒng)的管理中心，統(tǒng)一管理部署在各個骨干子網(wǎng)中

的入侵檢測系統(tǒng)代理，實現(xiàn)入侵檢測系統(tǒng)的集中管理、分布放置。

對于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)設(shè)備路由器和交換機，在網(wǎng)絡(luò)中存在大量掃描流量

以及大量諸如DDOS攻擊、沖擊波攻擊等不安全因素下，如何來保證網(wǎng)絡(luò)設(shè)備本

身的安全即正常運行？高效的ACL控制功能是設(shè)備本身應(yīng)該具備的。訪問控制表

（ACL）策略是一種由PolicyDirector使用的方法，它向安全域中的資源提供

了細粒度保護，是一組規(guī)則或許可權(quán)，指定對受保護對象執(zhí)行操作所需的條件。

線速ACL特性涵蓋MAC層，IP層，應(yīng)用層，可以從多個層次根據(jù)用戶需求進行

數(shù)據(jù)控制。用戶可以按照源MAC地址和目標MAC地址、IP地址或TCP/U可端口

拒絕包，因而根據(jù)需要控制網(wǎng)絡(luò)的敏感部分。如果所有ACL查詢都在硬件上執(zhí)行，

那么，在網(wǎng)絡(luò)中實施基于ACP的安全性時，就不會降低傳送性能。

所以線速ACL技術(shù)，具備以下關(guān)鍵特性：

線速擴展訪問控制列表（ACL）一提供線速交換和路由功能的同時，線速控

制數(shù)據(jù)轉(zhuǎn)發(fā)和限制對系統(tǒng)管理界面的訪問

功能豐富的ACL實現(xiàn)方案一基于源或目的MAC地址、以太網(wǎng)幀結(jié)構(gòu)、IP地

址、IP協(xié)議類型、TCP或UDP端口、IP優(yōu)先級或ToS值對流量進行識別。

選擇性ACL日志記錄一收集匹配拒絕或許可條件的數(shù)據(jù)包的統(tǒng)計數(shù)據(jù)。

安裝能夠預(yù)先發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患的評估系統(tǒng)也是非常重要的。安全評估系統(tǒng)

主要針對用戶系統(tǒng)內(nèi)部的各種安全漏洞實施漏洞內(nèi)描，借以檢查出系統(tǒng)中主機的

安全隱患，例如，各種常見服務(wù)端口的情況，各種常見服務(wù)的情況，和弱密碼的

探測等，并提供相應(yīng)的掃描結(jié)果報告，用戶可打印和統(tǒng)計有漏洞主機的掃描信息,

并查詢漏洞的詳細信息，使用戶全面了解系統(tǒng)的安全狀況，提早做好防范措施

為了更好地管理用戶，合理利用和優(yōu)化網(wǎng)絡(luò)資源，很有必要對有網(wǎng)絡(luò)需求的

用戶進行身份認證，包括有線接入用戶和無線移動接入用戶。

同時，為了實時、準確、快速的定位用戶位置，可以考慮采用多屬性綁定功

能加強對用戶的管理。

網(wǎng)絡(luò)安全體系牽涉網(wǎng)點眾多，網(wǎng)絡(luò)連接比較復(fù)雜。要保護這樣一個繁雜的網(wǎng)

絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證.安全系統(tǒng)要能夠提供統(tǒng)一的集中的

靈活的管理機制，一方面要能讓網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另

外一方面，要能讓網(wǎng)管人員靈活處理具體事務(wù)

■事中快速反應(yīng)機制

在新的安全形勢下的網(wǎng)絡(luò)建設(shè)，我們應(yīng)該考慮全防衛(wèi)的網(wǎng)絡(luò)安全是從網(wǎng)絡(luò)的

各個層面、各個產(chǎn)品類型的角度考慮，是一個全面的安全體系架構(gòu)。同時，安全

網(wǎng)絡(luò)中的各個設(shè)備組成之間不是相互獨立的，而是互動式的，通過全新的聯(lián)動體

系，將網(wǎng)絡(luò)的各個組成部分安全、可靠的互動起來，包括在事先部署的主動防御

體系如防火墻、入侵檢測IDS、安全評估系統(tǒng)、病毒防護系統(tǒng)、郵件安全系統(tǒng)等，

從而為用戶提供一個完整的、互動式的安全網(wǎng)絡(luò)架構(gòu)。

網(wǎng)絡(luò)入侵檢測系統(tǒng)一旦發(fā)現(xiàn)外部黑客對內(nèi)部網(wǎng)絡(luò)進行網(wǎng)絡(luò)入侵、非法訪問和

越權(quán)資源使用等事件，可立即通過協(xié)議聯(lián)動到出口位置的防火墻系統(tǒng)或路由器系

統(tǒng)，自動添加相應(yīng)策略，將入侵者IP地址進行封禁指定時間，使外部入侵者無

法通過防火墻或路由器系統(tǒng)。

隱患掃描系統(tǒng)通過安全評估內(nèi)部網(wǎng)絡(luò)，一旦發(fā)現(xiàn)內(nèi)部有機器存在較嚴重的安

全隱患和漏洞；可立即通過P協(xié)議聯(lián)動到出口位置的防火墻系統(tǒng)或路由器系統(tǒng);

防火墻系統(tǒng)或路由器系統(tǒng)根據(jù)聯(lián)動信息自動添加策略，禁止外部訪問存在安全漏

洞的內(nèi)部機器，從而有效的保護內(nèi)部網(wǎng)絡(luò)。

訪客通過訪問控制網(wǎng)關(guān)使用內(nèi)部網(wǎng)絡(luò)后（有線或無線連接），訪客可能對內(nèi)

部網(wǎng)絡(luò)進行非法訪問和網(wǎng)絡(luò)入侵；此時網(wǎng)絡(luò)入侵檢測系統(tǒng)可檢測到本事件；入侵

檢測系統(tǒng)通過協(xié)議聯(lián)動相應(yīng)的訪問控制網(wǎng)關(guān)；訪問控制網(wǎng)關(guān)通過ACL禁止正在進

行入侵的訪客使用內(nèi)部網(wǎng)絡(luò)。

通過郵件安全系統(tǒng)可以為用戶解決郵件病毒和垃圾郵件的困擾，同時也可以

通過安全互動體系更全面的防范郵件病毒和垃圾郵件。郵件安全系統(tǒng)一旦發(fā)現(xiàn)內(nèi)

部有用戶通過郵件方式傳播病毒或發(fā)送垃圾郵件［也可能是本機器已經(jīng)感染過病

毒，病毒本身通過郵件進行自動傳播）；可立即通過互動協(xié)議聯(lián)動到內(nèi)部相應(yīng)的

交換機或訪問控制網(wǎng)關(guān)；交換機或訪問控制網(wǎng)關(guān)根據(jù)聯(lián)動信息通過ACL禁止本用

戶的郵件發(fā)送，從而有效的防范郵件病毒和垃圾郵件傳播。

如今的病毒大部分是通過網(wǎng)絡(luò)進行自動傳播，比如Nimda和RedCode病毒

等，一旦內(nèi)部有機器感染上病毒，本機器會大量通過網(wǎng)絡(luò)服務(wù)進行病毒傳播，最

終使內(nèi)部網(wǎng)絡(luò)癱瘓，并導(dǎo)致內(nèi)部其他機器也感染上本病毒c

網(wǎng)絡(luò)防病毒系統(tǒng)可以解決病毒的傳播，同時也可以通過互動體系更全面防范

病毒傳播。

防病毒系統(tǒng)一旦發(fā)現(xiàn)內(nèi)部有機器傳播病毒；可通過互動體系聯(lián)動給交換機、

防火墻、路由器和訪問控制網(wǎng)關(guān)；交換機、防火墻、路由器和訪問控制網(wǎng)關(guān)通過

ACL將正在傳播病毒的機器進行有效隔離，使之不能訪問內(nèi)部網(wǎng)絡(luò)，從而更加有

效的避免了病毒的傳播。

■事后安全審計

安全審計系統(tǒng)必須實時監(jiān)測網(wǎng)絡(luò)上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的

事件，如網(wǎng)絡(luò)入侵、垃圾郵件、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用

等，將這些情況真實記錄，并能對于嚴重的違規(guī)行為進行阻斷。安全審計系統(tǒng)所

做的記錄如同飛機上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時能夠提供寶貴的偵破和取

證輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。

安全審計跟蹤機制的內(nèi)容是在安全審計跟蹤中記錄有關(guān)安全的信息，而安全

審計管理的內(nèi)容是分析和報告從安全審計跟蹤中得來的信息。安全審計跟蹤將考

慮要選擇記錄什么信息以及在什么條件下記錄信息。

收集審計跟蹤的信息，通過列舉被記錄的安全事件的類別（例如對安全要求

的明顯違反或成功操作的完成），能適應(yīng)各種不同的需要。已知安全審計的存在

可對某些潛在的侵犯安全的攻擊源起到威攝作用。所以在網(wǎng)絡(luò)設(shè)計之初，選擇網(wǎng)

絡(luò)設(shè)備時就必須考慮這些設(shè)備是否具備安全日志分析、流量報表分析等功能。

1.2.6.兼容性需求

對于新建設(shè)的XXX酒店新網(wǎng)絡(luò)，所采用的各種設(shè)備之間必須具有良好的相容

性和互操作性。

1.3.網(wǎng)絡(luò)設(shè)計方案

1.3.1,網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計原則

層次化設(shè)計原則：將網(wǎng)絡(luò)系統(tǒng)劃分層次，分清各層主要功能，建立合理的網(wǎng)

絡(luò)結(jié)構(gòu)，是網(wǎng)絡(luò)系統(tǒng)設(shè)計成功的關(guān)鍵。合理清晰的層次劃分和設(shè)計，可以保證網(wǎng)

絡(luò)系統(tǒng)的骨干穩(wěn)定可靠、接入安全、便于擴充和管理、易于故障隔離和排除。

酒店內(nèi)部局域網(wǎng)外網(wǎng)INTERNET之間使用一臺防火墻隔離，主要是核心節(jié)點

通過防火墻與INTERNET互聯(lián)。

網(wǎng)絡(luò)的結(jié)構(gòu)和性能優(yōu)化：網(wǎng)絡(luò)結(jié)構(gòu)的IP優(yōu)化。網(wǎng)絡(luò)體系結(jié)構(gòu)以IP為設(shè)計基

礎(chǔ)，體現(xiàn)在網(wǎng)絡(luò)層的層次化體系結(jié)構(gòu)。

-IP路由協(xié)議的優(yōu)化；

一1P包轉(zhuǎn)發(fā)的優(yōu)化。提供高速路由查找和包轉(zhuǎn)發(fā)機制；

一帶寬優(yōu)化。在合理的QoS控制下，最大限度的利用光纖的帶寬；

選擇一個開放性、標準化的網(wǎng)絡(luò)體系結(jié)構(gòu)，以支持各種異構(gòu)計算機網(wǎng)之間的

互連。

網(wǎng)絡(luò)體系結(jié)構(gòu)要求采用TCP/IP體系結(jié)構(gòu)。

考慮到技術(shù)發(fā)展的成熟度，以及網(wǎng)絡(luò)建設(shè)要有適度的超前性，因此網(wǎng)絡(luò)體系

需要支持IPv6,建設(shè)一個支持IPv4/IPv6的雙協(xié)議棧網(wǎng)絡(luò)

IP地址

根據(jù)酒店網(wǎng)的發(fā)展規(guī)模、網(wǎng)絡(luò)層次結(jié)構(gòu)、路由策略，申請適合的IP地址。

可以盡可能申請到IPv6地址。

管理

在CNSec密鑰和證書管理系統(tǒng)中，根據(jù)安全級別及職責將管理員劃分為三類:

?系統(tǒng)管理員

負責系統(tǒng)核心密鑰與證書管理中心的建立、管理。系統(tǒng)用戶在系統(tǒng)安裝時產(chǎn)

生，逋過系統(tǒng)用戶控制界面直接與密鑰與證書管埋中心連接，進行操作，對整個

系統(tǒng)負責，但他沒有其他類型管理員的一般操作權(quán)限。他的職責包括：

系統(tǒng)安裝及初始化

系統(tǒng)服務(wù)的啟動和停止

系統(tǒng)數(shù)據(jù)庫備份

驗證數(shù)據(jù)庫有效性和完整性。

系統(tǒng)數(shù)據(jù)庫恢復(fù)

恢復(fù)超級管理員

更改算法

把密鑰移植到硬件

系統(tǒng)配置管理（是否自動啟動服務(wù)、是否自動備份數(shù)據(jù)庫等）

等等

1.3.2.XXX酒店網(wǎng)絡(luò)總體設(shè)計

我公司設(shè)計XXX酒店網(wǎng)絡(luò)系統(tǒng)，采取二層拓撲結(jié)構(gòu)設(shè)計。網(wǎng)絡(luò)層次結(jié)構(gòu)圖如

下:

根據(jù)各樓層信息點的分布情況，設(shè)計采用比威網(wǎng)絡(luò)推出的基于'業(yè)界成熟的高

性能ASIC交換技術(shù)的基礎(chǔ)上開發(fā)出來的新一代，高密度，高性能，全千兆無阻

塞智能多層交換機BitStream75051臺，采用15臺具有先進深度感知技術(shù)

（SFLOW技術(shù)），支持IPv6,自帶堆疊模塊，擁174個千兆口的24/48口接入交

換機BitStream3228TGS/BitStreani3252TGS。

由于每臺接入交換機BitStream3228TGS和BitStream3252TGS均自帶二個高

速堆疊模塊，均有二個SFP口和二個千兆電口，因此在組網(wǎng)上完全可以實現(xiàn)員活

搭配，混和堆疊。

以上設(shè)計采取冗余設(shè)計，根據(jù)用戶需求和綜合布線實際情況，可采用優(yōu)化設(shè)

計方案進行調(diào)整，即根據(jù)樓層綜合布線的分配線間，將交換機采取混和堆疊的方

式，既節(jié)約布線的材料，便于布線管理，也便于交換機管理維護，也節(jié)約成本。

1.3.3.網(wǎng)絡(luò)核心層設(shè)計

＞網(wǎng)絡(luò)核心層設(shè)備要求

核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，骨干層設(shè)計任務(wù)的重點

通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上

實施。核心層一直被認為是所有流量的最終承受者和匯聚者，所以對核心層的網(wǎng)

絡(luò)設(shè)備的性能對于整個網(wǎng)絡(luò)系統(tǒng)來說是至關(guān)重要的。

＞網(wǎng)絡(luò)核心層設(shè)計說明

高帶寬

核心支持萬兆，以滿足大型網(wǎng)絡(luò)以及新應(yīng)用對帶寬的需求

高可靠性和冗余性：

1)核心設(shè)備具有高的可靠性和冗余性

2)核心層通過冗余協(xié)議提供鏈路冗余

密集用戶接入

接入交換機具有堆疊功能，可以滿足密集用戶的接入，并且提供高的性能:

ACL(L2-L4)＞堆疊、集群、PrivateVian、802.lx.Sflow、組播、豐富的Qos

控制功能、帶寬限制、廣播風暴抑制等等。

＞核心層設(shè)備選型

比威網(wǎng)絡(luò)BitStream7505比威網(wǎng)絡(luò)推出的基于業(yè)界成熟的高性能ASTC交換

技術(shù)的基礎(chǔ)上開發(fā)出來的新一代，高密度，高性能，全千兆無阻塞智能多層交換

機，作為千兆核心多層交換機，提供了多層交換能力和線速的路由轉(zhuǎn)發(fā)能力。它

除具有多層路由交換機的容量大、高速轉(zhuǎn)發(fā)性能優(yōu)點外，還進一步將IP網(wǎng)絡(luò)安

全機制等策略融合到整個交換機系統(tǒng)中，設(shè)備具有了更多的智能安全特性，充分

滿足構(gòu)建電信級寬帶IP網(wǎng)絡(luò)的需求。

1.3.4.接入層設(shè)計

＞接入層設(shè)備結(jié)構(gòu)模型

網(wǎng)絡(luò)接入層的拓撲結(jié)構(gòu)主要有星型和堆疊型。如下圖：

10臺24口10/100ML2交換機

240臺Host1個CIP地址

接入：星型

10臺24口10/100ML2交換機

通過堆布槎塊分為2組

240臺Host1個CLP地址

接入：堆疊

星型：要求連接數(shù)多，對L2交換機要求低（成本低），不易產(chǎn)生帶寬瓶

頸；

堆疊型：節(jié)省連接數(shù)，L2交換機成本高，上聯(lián)鏈路處易成為瓶頸.

根據(jù)區(qū)域分布以及信息點的情況，建議XXX酒店網(wǎng)絡(luò)接入層結(jié)構(gòu)采用星型，

輔以堆疊型。

＞網(wǎng)絡(luò)接入層設(shè)備要求

接入層作為酒店網(wǎng)管理的邊界，要求能夠很好地支持對用戶的接入管理和控

制。接入層設(shè)備即是提供接入服務(wù)，它將最終用戶連接到網(wǎng)絡(luò)上。接入層設(shè)備普

遍部署在樓宇設(shè)備間。由于接入層設(shè)備數(shù)量多，利用率高，因此要求接入設(shè)備具

有很高的穩(wěn)定性和可靠性。

>網(wǎng)絡(luò)接入層設(shè)計說明

大樓內(nèi)信息點數(shù)較多，考慮采用24/48口可堆疊高性能二層交換機。優(yōu)先考

慮采用48口高性能二層交換機，如有不足24的尾數(shù)，采用24口高性能二層交

換機。

?為了充分充分利用匯聚交換機高交換性能、高千兆端口密度的優(yōu)勢，實

現(xiàn)真正意義上的高速交換平臺，在方案設(shè)計中，接入交換機盡量不堆疊,

直接通過千兆端口接入?yún)R聚交換機。

?在部分建筑，如果接入交換機到匯聚交換機的連接線路有限，可以根據(jù)

信息點分布情況，采用每2-4臺交換機堆疊在一起，以1GE上聯(lián)到匯聚

或者核心交換機,考慮到上聯(lián)帶寬因素，穴建議多于4臺交換機的堆疊。

?采用以上方式，極限情況下，可以為每個桌面用戶提供5.2-20.8Mbps

帶寬，大于配線間匯聚上聯(lián)極限最小帶寬。考慮組播方式下的視頻應(yīng)用，

完全可以滿足帶寬需求。

?如需要增加接入交換機上聯(lián)帶寬，可采用千兆端口聚合技術(shù)，以兩個以

上的千兆端口連接到匯聚交換機。

用戶接入

24/48口可堆疊高性能二層交換機可以通過大樓布設(shè)的超5類雙絞線

10/100Mbps自適應(yīng)端口下聯(lián)到用戶的桌面。可以通過端口或者ACL來控制用戶

的流量。

接入交換機選擇

接入交換機建議選擇比威新一代安全智能可堆疊支持千兆上聯(lián)的二層交換

機BitStream3228/3252TGS。在二層交換機上，提供豐富的安全和控制特性，確

保系統(tǒng)的可靠性。

1.3.5.網(wǎng)絡(luò)功能設(shè)計

>VLAN

VLAN技術(shù)可以方便地根據(jù)業(yè)務(wù)需要在同一臺交換機上劃分出多個邏輯的網(wǎng)

絡(luò)，有效地減少了廣播；同時可以實現(xiàn)在不同的物理位置設(shè)置為同一個VLAN廣

播域。由于不同VLAN之間不能直接互訪，必須通過路由設(shè)置進行，所以又增加

了安全性。同時VLAN可以跨過不同的交換機設(shè)備,能夠在一點進行集中的管理。

由于以上優(yōu)點，VLAN技術(shù)被廣泛地應(yīng)用在Intranet的建設(shè)中。

VLAN是建立在各種交換技術(shù)基礎(chǔ)之上的。所謂交換實質(zhì)上只是物理網(wǎng)絡(luò)上

的一個控制點，它由軟件進行管理，所以允許用戶利用軟件功能靈活地配置資源,

管理網(wǎng)絡(luò)。利用交換設(shè)備中的VLAN功能，不必改變網(wǎng)絡(luò)的物理基礎(chǔ)，即可重新

配置網(wǎng)絡(luò)。采用VLAN功能，網(wǎng)絡(luò)性能可以獲得較大的改善：

1)VLAN技術(shù)能對工作組業(yè)務(wù)進行過濾，有效地分割通信量，因而能更好

地利用帶寬，提高網(wǎng)絡(luò)總的吞吐量。

2)采用VLAN技術(shù)可以將不同樓層或不同房間的設(shè)備組成一個網(wǎng)段而不

用更改布線，因為VLAN技術(shù)是從邏輻角度而非物理角度來劃分子網(wǎng)的，所以采

用VLAN技術(shù)能減輕系統(tǒng)的擴容壓力，將遷移費用降至最小。

3)采用VLAN技術(shù)能有效隔離網(wǎng)絡(luò)設(shè)備，增加網(wǎng)絡(luò)的安全性和保密性。虛

擬網(wǎng)絡(luò)的安全策略采用的主要協(xié)議為IEEE802.10,此協(xié)議結(jié)合有鑒別和加密技

術(shù)以確保整個網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性和完整性。

4)VLAN技術(shù)能對屬于同一工作組的用戶提供廣播服務(wù)，但與傳統(tǒng)的局域

網(wǎng)協(xié)議所不同的是，虛擬局域網(wǎng)能限制廣播的區(qū)域，從而節(jié)省網(wǎng)絡(luò)帶寬。

5)VLAN可以建立在不同的物理網(wǎng)絡(luò)上，用封裝的辦法支法支持不同的網(wǎng)絡(luò)

協(xié)議絡(luò)協(xié)議，如SNMP、NMP、IPX、TCP/IP等,兼容性非常好。

6)VLAN中的主要應(yīng)用技術(shù)為“虛網(wǎng)中繼”，VLANTrunking特有技術(shù)的采

用也成成為了必然。簡而言之，VLANTrunking主要是通過一條高速全雙工通道

(200/2000Mbps)來實現(xiàn)將一個LANSwitch端口所劃分的不同VLAN與其它LAN

Swilch中各自相應(yīng)的VLAN成員進行線路復(fù)用連接的技術(shù)。VLANTrunking技術(shù)

的采用，既節(jié)省了信道數(shù)據(jù)量，乂提高了可靠性，并便于管理及方便連接，提高

了整個網(wǎng)絡(luò)吞吐量和性能指標。

VLANTrunking技術(shù)

如果采用VLANtrunking的技術(shù)，則VI、1/2、V3均可通過一條全雙工的

100/1000Mbps,即200/2000Mbps的速率與上級LANSwitch進行互通并經(jīng)過位于

樹根部的路由器進行路由與其它的VLAN進行通訊。VLANtrunking技術(shù)的優(yōu)點

在于采用一條高速通道連接，提高了通道的使用效率，如在V2,V3無數(shù)據(jù)量的

情況下，VI可以獨占此100/1000M帶寬；并且可以使得線路的連接變得簡單，

從而大大提高可靠性和網(wǎng)絡(luò)易維護性。

把不同的部門網(wǎng)絡(luò)劃分到不同的VLAN中，有效的隔離了子網(wǎng)網(wǎng)絡(luò)間的廣播,

并且保證了網(wǎng)絡(luò)間的安全性。由于部門的地理位置可能跨越多個交換機，所以分

布在配線間的交換機與核心交換機之間通過VLANtrunking技術(shù)互連，既保證了

高速的帶寬又保證了VLAN之間的快速路由。

VLAN間的訪問必須通過路由器或具有路由功能的設(shè)備，由于以前的交換設(shè)

備一般不提供路由功能（第三層功能），故必須有一臺路由設(shè)備與交換機相連，

來提供VLAN間的路由。其缺點是外接路由設(shè)備增加了投資和故障點，并且傳統(tǒng)

的路由設(shè)備采用軟件查詢路由表，其性能不如交換設(shè)備的第二層的幀轉(zhuǎn)發(fā)性能,

故限制了系統(tǒng)的整體性能。第三層交換技術(shù)正是在這樣的背景下出現(xiàn)的。概括來

說，第三層交換技術(shù)應(yīng)具有傳統(tǒng)路由器的全部或部分功能，如支持IP/IPX路由，

支持RIP,OSPF,BGP等路由協(xié)議；同時采用新的路由、包轉(zhuǎn)發(fā)的算法和專用

芯片提高速度，使其達到交換機的性能。一般對IP包的轉(zhuǎn)發(fā)速度應(yīng)在每秒一百

萬包以上。有了第三層交換技術(shù)，在網(wǎng)絡(luò)中，可以將二、三層網(wǎng)絡(luò)靈活地、統(tǒng)一

地整合在一起，滿足業(yè)務(wù)的不同要求。

>QoS(CoS)

■Qos簡介

QoS(QualityofService,服務(wù)質(zhì)量)指的是報文傳送的吞吐量、時延、

時延抖動、丟失率等性能。從TP網(wǎng)誕生開始，QcS和安全性問題就一直是IP網(wǎng)

的軟肋。

為了較好地解決IP網(wǎng)絡(luò)的QoS問題，Internet工程任務(wù)組(IETF)專門成

立了綜合業(yè)務(wù)(IntegratedServices)工作組和差分業(yè)務(wù)(Differentiated

Services)工作組進行研究。這兩個工作組分別提出了各自基于IP網(wǎng)絡(luò)的QoS

服務(wù)協(xié)議模型：綜合業(yè)務(wù)模型和差分業(yè)務(wù)模型。

綜合業(yè)務(wù)模型由于需要占用較多的網(wǎng)絡(luò)資源，在現(xiàn)實的網(wǎng)絡(luò)中幾乎不可能實

現(xiàn)。而差分業(yè)務(wù)模型是IETF差分業(yè)務(wù)工作組提出的一種更具擴展性的實現(xiàn)IP

QoS的方法。該模型將重點放在集合的數(shù)據(jù)流以及適用于全網(wǎng)業(yè)務(wù)等級的一套

“單跳行為(PHB)”上。業(yè)務(wù)在進入網(wǎng)絡(luò)時進行分類和調(diào)整，并被分配給不司的

行為集合，該行為集合由DS編碼來標識。在網(wǎng)絡(luò)核心，報文是根據(jù)DS編碼所標

識的PHB(per-hopbehavior)屬性來轉(zhuǎn)發(fā)的。目前,在現(xiàn)實網(wǎng)絡(luò)中,主要采用

差分業(yè)務(wù)模型。

■比威交換機對QoS的支持

比威交換機均提供了完善的QoS機制：

核心交換機支持的QoS特征：

>帶寬限制：能夠針對物理端口或者不同的用戶分配不同的帶寬，實現(xiàn)

對合理的分配網(wǎng)絡(luò)資源。

>IEEE802..1P優(yōu)先級：交換機支持基于優(yōu)先級的調(diào)動算法，可以為不

同優(yōu)先級的用戶提供不同的服務(wù)等級，支持802.Ip的優(yōu)先級探測。

>VLANID

A802.lq標記插入

>2層的端口、3層的1P的源地址和目的地址、4層的TCP/UDP端口

>DIffServ

>TOS/DSCP優(yōu)先級

>DSCP識別

二層接入交換機支持的QoS特征：

>帶寬限制：能夠針對物理端口或者不同的用戶分配不同的帶寬，實現(xiàn)

對合理的分配網(wǎng)絡(luò)資源。

>IEEE802.1F優(yōu)先級控制：交換機支持基于優(yōu)先級的調(diào)動算法，可以為

不同優(yōu)先級的用戶提供不同的服務(wù)等級。

>支持1GMPvl/v2Snooping組播協(xié)議

>VLANID

>802.lq標記插入

■QoS在酒店網(wǎng)中的應(yīng)用

基于視頻的應(yīng)用，包括酒店視頻點播系統(tǒng)、酒店會議直播系統(tǒng)、酒店課件、

遠程教學(xué)等視頻應(yīng)用的保證

基于語音的應(yīng)用，包括校長廣播系統(tǒng)、IP電話、數(shù)字公告系統(tǒng)等。

>流量和帶寬管理

■流量統(tǒng)計以及分析

流量模型是網(wǎng)絡(luò)性能分析和通信網(wǎng)絡(luò)規(guī)劃設(shè)計的基礎(chǔ)，精確的流量模型對

設(shè)計高性能網(wǎng)絡(luò)協(xié)議、高效網(wǎng)絡(luò)拓撲結(jié)構(gòu)、業(yè)務(wù)量預(yù)測與網(wǎng)絡(luò)規(guī)劃、高性能價

格比的網(wǎng)絡(luò)設(shè)備與服務(wù)器、精確的網(wǎng)絡(luò)性能分析與預(yù)測、擁塞管理與流量均衡、

出口管理都有重要意義。

目前多數(shù)酒店網(wǎng)絡(luò)使用雙出口，流量指標影響著雙出口帶寬的選擇。對流

量進行分析有利于網(wǎng)絡(luò)管理者按需建設(shè)帶寬，節(jié)約投資。流量情況也是網(wǎng)絡(luò)性

能的重要指標，通過對流量的監(jiān)控和分析，有利于酒店對網(wǎng)絡(luò)設(shè)備進行分析比

較，為未來的網(wǎng)絡(luò)建設(shè)提供基礎(chǔ)分析數(shù)據(jù)。流量情況還是網(wǎng)絡(luò)健康狀況的晴雨

表,分析流量狀況可以對網(wǎng)絡(luò)攻擊行為、病毒等網(wǎng)絡(luò)安全事件進行預(yù)防和史理,

甚至可以防患于未然。

■BAMS

比威BAMS系統(tǒng)支持即時流量統(tǒng)計和分析，可以為酒店運營提供科學(xué)的分

析，為網(wǎng)絡(luò)的擴容提供歷史統(tǒng)計數(shù)據(jù)。

＞帶寬管理

比威BAMS系統(tǒng)與接入層交換機結(jié)合，支持基于IP地址、端口、用戶的帶

寬管理，可以根據(jù)用戶的實際使用情況分配帶寬，如基于視頻的用戶可以分配

多點帶寬用于保證用戶的正常使用，對于僅僅使用數(shù)據(jù)傳輸?shù)挠脩舴峙漭^少帶

寬，以及對于關(guān)鍵應(yīng)用的使用用戶，能夠在網(wǎng)絡(luò)阻塞的情況下進一步保證其帶

寬的使用。

并且在限制用戶的帶寬對用戶帶寬進行管理的情況下，還能夠隔離用戶由

于病毒造成的網(wǎng)絡(luò)阻塞，盡量的保證網(wǎng)絡(luò)的正常使用，降低網(wǎng)絡(luò)阻塞的匚率。

＞可靠性設(shè)計

系統(tǒng)故障將會導(dǎo)致酒店網(wǎng)運行的中斷，妨礙酒店正常教學(xué)等活動的進行。

這就要求系統(tǒng)具有高度的可靠性。提高系統(tǒng)可靠性的方法很多，主要有如下三

個方面：

。設(shè)備高可用性，匯聚L3交換機具有高可用性指標

＜鏈路冗余，利用匯聚和核心之間的多條鏈路實現(xiàn)

＜協(xié)議可靠性，利用動態(tài)路由協(xié)議的ECMP及VRRP特性

＞鏈路可靠性

關(guān)于鏈路可靠性我們做了如下設(shè)計

匯聚一核心交換機之間的多條鏈路

匯聚的L3交換機分別有2條GE鏈路上聯(lián)到核心交換機，當一條鏈路發(fā)生

故障時，不會導(dǎo)致連接中斷。

接入交換機-匯聚交換機之間的連接

接入交換機具有多個千兆端口，根據(jù)需要，接入交換機和匯聚交換機之間

可以采用千兆端口聚合技術(shù)，通過將兩條物理鏈路整合成一條邏輯鏈路，實現(xiàn)

增大帶寬和鏈路冗余的功能。

■協(xié)議可靠性

酒店網(wǎng)絡(luò)的路由可靠性我們通過路由層的優(yōu)化和安全保護來實現(xiàn)。當路由

層的網(wǎng)絡(luò)故障發(fā)生時，保證酒店網(wǎng)絡(luò)運作不停頓。其主要組成技術(shù)為ECMP和

VRRPo

ECMP(EqualMulti-pathRouting)是一種三層協(xié)議，可用于不同的網(wǎng)絡(luò)

接口組合，包括：FE、GE、10GE和S0NET/SDH等。最多有16條路由表中的等

值路徑實現(xiàn)網(wǎng)絡(luò)通訊的負載均衡和冗余。當其中一條路徑出現(xiàn)中斷時，系統(tǒng)自

動分布負載到其他筆值路徑，不會影響用戶的網(wǎng)絡(luò)通訊。

在鏈路層進行冗余配置之后，利用動態(tài)路力協(xié)議0SPF,充分利用多鏈路

的條件，根據(jù)情況實行負載均衡或備份。0SPF協(xié)議能夠在鏈路發(fā)生故障后，

及時檢測到并進行路由收斂，發(fā)現(xiàn)新的路徑，及時更新域間的路由表項，從而

確保全網(wǎng)互連的可靠性。

虛擬路由器冗余協(xié)議(VRRP)提供一種解決方案，能夠保證終端用戶與網(wǎng)

絡(luò)的聯(lián)系可靠、穩(wěn)定、不中斷。VRRP是一種容錯協(xié)議，它保證當主機的下一

跳路由器壞掉時，可以及時的由另一臺路由器來代替，從而保持通訊的連續(xù)性

和可靠性。為了使VRRP工作，要在路由器上配置虛擬路由器號和虛擬IP地址，

同時產(chǎn)生一個虛擬MAC地址，這樣在這個網(wǎng)絡(luò)中就加入了一個虛擬路由器。而

網(wǎng)絡(luò)上的主機與虛擬路由器通信，無需了解這個網(wǎng)絡(luò).上物理路由器的任何信息。

一個虛擬路由器由一個主路由器和若干個備份路由器組成，主路由器實現(xiàn)真正

的轉(zhuǎn)發(fā)功能。當主路由器出現(xiàn)故障時，一個備份路由器將成為新的主路由器，

接替它的工作。

＞網(wǎng)絡(luò)安全性設(shè)計

■交換機設(shè)備配置

核心交換機安全考慮：

＞安全特征：路由協(xié)議認證、SSHv2、TACACS+、RADIUS、MAC和IP

地址綁定、訪問控制列表(ACLs)

＞抗拒絕服務(wù)：網(wǎng)絡(luò)入口過濾、單播反向路徑轉(zhuǎn)發(fā))、線速ACL、ACL

限速、IP廣播控制、ICMP控制、SYN攻擊保護和會話控制

核心交換機具有關(guān)鍵硬件冗余，同時具有豐富的安全特征和抗拒絕服務(wù)的

強大功能。

接入交換機安全考慮:

＞安全特征:支持端口安全、端口與MAC地址綁定、廣播風暴控制、802.lx

和Radius等等

＞硬件支持ACL：通過ACL功能可以對不健康網(wǎng)站或者政治反動網(wǎng)站以

及樓內(nèi)關(guān)鍵資源如財務(wù)系統(tǒng)信息等進行過濾

■出口安全考慮

根據(jù)需要打開從內(nèi)部到外部的常用的許可服務(wù)，對于從外網(wǎng)到內(nèi)網(wǎng)的訪問,

只開放許可的服務(wù)，其他服務(wù)都禁止應(yīng)用。

充分應(yīng)用防火墻及核心交換機網(wǎng)絡(luò)入口過濾、單播反向路徑轉(zhuǎn)發(fā)、線速

ACL、ACL限速、IP廣播控制、ICMP控制、SYN攻擊保護和會話控制的安全

控制策略，進行安全配置，保護內(nèi)部網(wǎng)，特別是關(guān)鍵服務(wù)的安全性。

■P2P阻斷或限制BT種子設(shè)計

比威BitStream3252/28TGS最新型先進交換機可以支持粒度為1K的帶寬

控制（按照出、入方向分開控制），我們完全可以在學(xué)樓內(nèi)部，對BT下載不作

限制，但是由丁BT大量做種子,影響了網(wǎng)絡(luò)帶寬,我們完全有理由限制BT種子，

做種上傳不行,可以設(shè)置上行貸款比如100K,手法正常郵件即可

■接入交換機先進的安全性能應(yīng)用

比威BitStream3252/28TGS最新型先進交換機支持基于用戶的接入控制

協(xié)議802.lx,提供比傳統(tǒng)接入控制方式更為有效的用戶端口控制能力，端口

MAC地址限定功能可以對端口接入的主機數(shù)目進行控制。

配合比威網(wǎng)絡(luò)的客戶端軟件能夠?qū)τ脩舻腗AC、IP、帳號等信息進行綁定，

精確的對用戶進行定位。

SNMPv3、SSH等特性為用戶鑒權(quán)和數(shù)據(jù)加密提供了更高的安全性，實現(xiàn)

了安全的管理配置。

sFlow功能的支持，可以按比例抽樣指定端口的報文形成標準的sFkw格

式發(fā)送到流量分析服務(wù)器或策略管理中心，使用戶可以更精確監(jiān)控網(wǎng)絡(luò)、分析

網(wǎng)絡(luò)情況。

1.3.6.網(wǎng)絡(luò)設(shè)備選型

■BitStream7505介紹

A產(chǎn)品簡介

比威網(wǎng)絡(luò)BitStream7505機箱式硬件三層交換機是針對大型網(wǎng)絡(luò)匯聚、中

小型網(wǎng)絡(luò)核心等情況推出的高性能的機箱式L2/L3/L4交換機。BitStream7505

采用全模塊化，具有高密度端口，可提供240G的交換容量，5個擴展插槽，

可根據(jù)用戶的需求靈活配置，靈活構(gòu)建彈性可擴展的網(wǎng)絡(luò)。BilStream7505交

換機產(chǎn)品提供強大的交換和路由功能，可與比威網(wǎng)絡(luò)各系列交換機配合，為用

戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干交換機的理想選擇。

＞適用范圍

中小型網(wǎng)絡(luò)的核心

大型網(wǎng)絡(luò)匯聚

高性能網(wǎng)絡(luò)交換環(huán)境

主要特點

＞高密度、接口類型豐富的業(yè)務(wù)模塊

BitStrcam7505系列交換機提供高密度端口的接入能力,

整機最多支持120個SFP千兆端口、8個萬兆端。

＞高交換容量，全線速交換性能

BitStream7505具有480G的背板帶寬，支持240G的交換容量，為所有的

端口提供非阻塞線速轉(zhuǎn)發(fā)性能。強大的處理能力是構(gòu)建可靠、穩(wěn)定、高速的

IP網(wǎng)絡(luò)平臺的重要保障。

BitStrean)7505交換機硬件支持多層線速交換，能夠識別、處理四層以上

的應(yīng)用業(yè)務(wù)流，所有端口都具有單獨的數(shù)據(jù)包過濾、區(qū)分不同應(yīng)用流，并根據(jù)

不同的流進行不同的管理和控制o

BitStrcam7505硬件芯片支持IPv6協(xié)議，有利于將來進行平滑的網(wǎng)絡(luò)升

級。

＞功能豐富的安全特性

1BitStrcani7505提供了完整的ACL支持，除通常的標準ACL以及擴展ALC,

BitStream7505還提供基于時間的ACL,使得控制策略非常豐富和靈活。

＞高可靠性設(shè)計

BilSlream7505系列交換機支持冗余備份，支持STP/RSTP/MSTP、VRRP等

二、三層冗余協(xié)議，系統(tǒng)采用冗余電源模塊，從而保證核心設(shè)備的高可靠性;

主控板和'業(yè)務(wù)接口板等主要模塊全部支持熱插拔，保證主機更換板卡時業(yè)務(wù)不

會中斷。

＞產(chǎn)品規(guī)格

＜遵循IEEE802.3,IEEE802.3u,IEEE802.3z,IEEE802.3x,

IEEEE802.Id,IEEE802.w,IEEE802.Is,IEEE802.lq,IEEE802.Ip,

1EEE802.3ad等國際標準；

令4個業(yè)務(wù)插槽，1引擎插槽，可選多種接口標準模塊：

.引擎模塊附帶16個10附00/1000Base-T端口,8個SFP端口

?24口SFP模塊

。48口10/：00/1000Base-T模塊

。2口10GE萬兆模塊

令千兆光端口：120個；萬兆端口：8個；

＜背板帶寬：480G；

令交換容量：240G；

令三層轉(zhuǎn)發(fā)率：180Mpps；

令Mac地址表：64K；

令路由表：64K；

■BitStream3228/3252TGS

在接入層交換機選型上，本方案推薦使用網(wǎng)絡(luò)端口密集的比較高的可堆疊

BitStream3228/3252TGS交換機。

＞產(chǎn)品樣圖

............................................................................

..............................................................................................,,33

任玨H至g雛

BitStream3228TGS：24個百兆電口、2個千兆10/100/1OOOBase-TX端口、

2個千兆COMBO口(2個1000MTX&2個SFP)

BitStream3252TGS：48個百兆電口、2個千兆10/100/1000Base-TX端口、

2個千兆COMBO口(2個1000MTX&2個SFP)

＞產(chǎn)品簡介

比威網(wǎng)絡(luò)推出的BitStream3228/52TGS是一款可堆疊的高性能工作組或者

邊緣交換機。本交換機能夠提供24/48個固定的10/100Base-TX接口，提供2

個千兆10/100/1OOOBase-T端口，以及2個Combo端口（2個10/100/1000Base-T

和2個SFP插槽），可選用單、多模千兆SFP模塊。BitStream3228/52TGS固定

端口可以自動識別正反線，可堆疊、可網(wǎng)管，并且擁有完整的功能特性，以及增

強的認證功能。與比威網(wǎng)絡(luò)公司其他產(chǎn)品組合，可以為用戶提供完整的網(wǎng)絡(luò)解決

方案。

》適用范圍

?企業(yè)和園區(qū)網(wǎng)絡(luò)的接入或匯聚

?用戶密集的網(wǎng)絡(luò)接入

?適用于對安全接入控制較為嚴格的酒店網(wǎng)

?要求對用戶接入帶寬進行靈活分配的網(wǎng)絡(luò)環(huán)境

?方便、安全的網(wǎng)絡(luò)管理需求

＞主要特點

卓越的性能

?基于共享內(nèi)存體系結(jié)構(gòu)的交換設(shè)計，交換帶寬高達19.6/31.8Gbps,轉(zhuǎn)發(fā)

速率為每秒900多萬個數(shù)據(jù)包，在所有端口上全線速運行。

先進的堆疊方式，良好的擴展性

?環(huán)形的堆疊方式，使堆疊設(shè)備之間的堆疊帶寬增加一倍、數(shù)據(jù)分擔負載,

并且提高了堆疊設(shè)備的容錯性，保證了網(wǎng)絡(luò)用戶的正常運行。

?方便的堆疊管理，多臺設(shè)備堆疊后，配置管理使用等同于一臺機箱式結(jié)構(gòu)

交換機，大大簡化了配置管理工作，方便了用戶。

?端口靈活，兩個內(nèi)置端口既可以用于堆疊使用，不使用堆疊功能時可當作

普通千兆端口使用，增加了靈活性、降低了成本，方便了用戶。多達4臺

的堆疊數(shù)量，以及多千兆端口配置，使設(shè)各堆疊后百兆、千兆端口達到很

高的密度，可以媲美機箱式交換機，為用戶提供了良好的可擴展性。

完整的QoS策略

?支持完整的L2/L3/L4層次的ACL管理控制，全部硬件實現(xiàn)，不影響數(shù)據(jù)

轉(zhuǎn)發(fā)速度。

?支持基于Mac、IP、業(yè)務(wù)等標準對數(shù)據(jù)流進行分類，并對各種數(shù)據(jù)流來進

行不同的流量控制。

?支持基于端口的雙向速率限制。

?支持1EEE802.ip.CoS、Diffserv等優(yōu)先級分類。

?支持FIFO、PQ、WRR等多種優(yōu)先級處理方式。

強大的安全接入特性

?支持基于用戶的接入控制協(xié)議802.lx,提供比傳統(tǒng)接入控制方式更為有

效的用戶端口控制能力，端口MAC地址限定功能可以對端口接入的主機數(shù)

目進行控制。

?配合比威網(wǎng)絡(luò)的客戶端軟件能夠?qū)τ脩舻腍AC、II>、帳號等信息進行綁定，

精確的對用戶進行定位。

?SNMPv3.SSH等特性為用戶鑒權(quán)和數(shù)據(jù)加密提供了更高的安全性，實現(xiàn)

了安全的管理配置。

?sFlow功能的支持，可以按比例抽樣指定端口的報文形成標準的sFlc.w格

式發(fā)送到流量分析服務(wù)器或策略管理中心，使用戶可以更精確監(jiān)控網(wǎng)絡(luò)、

分析網(wǎng)絡(luò)情況。

IPv6支持

?支持IPv6地址配置、ND、ipv6應(yīng)用（ping/traceroute）、tcp、udp、

telnet/telnet（Kftp。

>產(chǎn)品規(guī)格

?遵循TEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.lq、

IEEE802.Ip.IEEE802.ld>IEEE802.lw、IEEE802.ls>IEEE802.lx等國際標

準；

?提供24個固定RJ-4510/1OOMUTP接口;

?提供2個Combo千兆端口（兩個10/100/1000M電口和2個SFP接口）；

?提供2個：0/100/1000的電口（兼做堆疊端口）；

?19.6G/3L8G無阻塞結(jié)構(gòu),9.1/13.IMpps包轉(zhuǎn)發(fā)率,線速轉(zhuǎn)發(fā);

動態(tài)內(nèi)存分配，支持MAC地址的自學(xué)習(xí)和更新，可存儲8K條Mac地

址;

?存儲轉(zhuǎn)發(fā)模式(Storc-and-Forward)；

?支持9K巨幀轉(zhuǎn)發(fā)；

?可編程10/100Mbps自適應(yīng)端口，支持全雙工和半雙工；

?所有10/100M以太網(wǎng)電接口均自動識別直連線和交叉線AutoMDI/X；

?支持TEEE802.3X全雙工流控和半雙二背壓流控；

■支持生成樹協(xié)議(IEEE802.Id)、(IEEE802.lw)、(IEEE802.Is)；

■具有擴散控制(FloodControl)廣播風暴控制；

■IEEE802.lqVLAN(4K)、GVRP；

?支持QoS、CoS,提供持EE802.lp四級優(yōu)先權(quán)隊列；

?支持TGMPSnooping；

?支持鏈路娶合(Trunking)技術(shù)，最多4組，每組8條鏈路；

?支持端口鏡像，任一端口經(jīng)設(shè)定監(jiān)控另一端口的運行狀況；

?支持粒度為1K的帶寬控制(按照出、入方向分開控制)；

?支持基于二/三/四層的訪問控制列表ACL；

?支持PortSecurity端口安全;

?支持sFlow；

?支持IPv6；

?支持802二x認證(基于Port、MAC)；

■支持RadiusClient；

?支持SSH/；

■支持CLI、Telnet管理方式;

?支持SNMPvl/v2u/v3；

?支持RMON(1,2,3,9)；

?支持SNTP；

?支持SYSLOG；

?支持堆疊功能，堆疊可達4臺，堆疊帶寬4G；

?支持TFTP方式升級，支持批量升級、配置更新；

?支持多系統(tǒng)文件、多配置文件；

?支持用戶分級管理；

?1U高度，：9”機架式；

A技術(shù)指標

?Console端口：標準RS-232cDB9接口

?背板帶寬：19.6Gbps

?MAC地址表：8K

?端口指示燈：每個以太口提供一個雙色指示燈

綠色亮：端口與所連接的設(shè)備建立了穩(wěn)定的連接之后并工作在100M

狀態(tài)

橙色亮：端口與所連接的設(shè)備建立了穩(wěn)定的連接之后并工作在10M狀

態(tài)

閃爍：該端口正在進行數(shù)據(jù)發(fā)送

暗：沒有連線或該端口連接不正常

?系統(tǒng)指示燈：

power燈：綠色

亮：此指不燈應(yīng)該長亮

暗：沒有加電或電源系統(tǒng)工作不正常

Diag燈：綠色

閃爍：系統(tǒng)正常

長暗/長亮：系統(tǒng)異常

?外形尺寸：(HxWxD)=43x440x324mm(1.69xl7.32xl2.8

in.)

?重量：3.08kg

?工作溫度：0°C?50°C(32?122°F)

?儲藏溫度：-40?70°C(-40-158°E)

?相對濕度：10?90%,無霜

?電源：100?240VAC,47?63Hz

?最大電流:2.0A@240VAC

?功耗：60W(Max)

?