酒店网络设计方案Word文件下载.docx
- 文档编号:17332401
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:42
- 大小:227.72KB
酒店网络设计方案Word文件下载.docx
《酒店网络设计方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《酒店网络设计方案Word文件下载.docx(42页珍藏版)》请在冰豆网上搜索。
酒店格局为:
长50米,宽20米。
中间是过道,两边是房间。
2、建设目标、
XX商务酒店以因特网接入的总体目标:
实现酒店内部每个房间上网的需求,提供高质量的互联网接入服务吸引更多商务客人入住。
提高星级酒店的信息化服务水平,酒店入住客人可以轻松自如地实现诸如网上冲浪综合运用计算机网络技术向客户提供高速上网,提高酒店的服务档次,酒店经济的增长,和酒店的竞争力。
3、设计原则
设计主要要考虑到先进性、可靠性、开放性、经济性、安全性和可管理性。
设计要立足先进技术,采用最新科技的电网通技术,以改变酒店布线难的问题。
使整个网络在国内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。
所以,网络系统的可靠性就显得尤为重要。
在网络设计中遵循以下技术原则:
3.2.1标准化
系统采用的信息分类编码、网络通信协议和数据接口等技术标准,将严格按照国家有关标准或行业标准规范。
3.2.2实用性
满足XX商务酒店业务为需要,充分利用现有资源,避免不计成本盲目追求最新技术。
利用最适合酒店使用的电网通设备,采用必要的、先进的网络安全手段与管理技术,以节省投资。
3.2.3安全性和保密性
系统网络充分考虑网络的故障容错纠错功能,建立安全保障体系,采用先进的软硬件等技术手段,实现网络的传输安全、数据安全接口,确保网络的安全性、保密性。
3.2.4开放性和可扩充性
技术上要立足长远发展,坚持选用开放性系统。
3.2.5可维护性
网络接入部分具有较高的模块化程度,可满足不同业务流程的需要,易于维护和升级。
三、方案设计思路
XX商务酒店网络结构上将按照层次化的原则来进行设计建设,整个网络采用星形联结,网络层次为三层结构,即:
核心层、汇聚层和接入层。
根据当前和将来网络发展和流行趋势,以及网络优化改造的要求,整个网络全部采用千兆为主干,百兆交换到桌面的原则实施。
整个酒店也做无线与有线网络。
无线部分:
根据酒店的格局与考虑到无线网络的安全性与稳定性、经济性。
我们采用H3C无线控制器AC+瘦AP做分布式布置。
一、二层各放置2个H3CEWP-WA2610E-GNP-FIT500MW大功率AP做分布式布置。
3-14楼每层各放1个AP通过一分三功分器,每个AP带7根天线,左右各延伸8米出来再各连接一个一分三功分器,再分别延长8米与12.5米的天线。
AP接入信号通过楼层交换机接入,无线AP均采用POE供电模块通过网线来给无线AP供电,从而节约强电的布线成本,也可以提到节能环保的作用,为酒店的用电节省很多。
14层楼共放置16个AP。
所有AP通过H3C有线无线一体化交换机EWP-WX3024E-POEP-H3来管理,EWP-WX3024E-POEP-H3又是一台三层24口千兆交换机,在这里我们也用他做整个酒店的核心交换机,起到一机两用的功能,从而节约降低硬件设备的成本投入。
天线分布示意图:
无线控制器+瘦AP方案优点:
1)AP零配置
无线控制器+FITAP控制架构对设备的功能进行了重新划分,其中无线控制器负责无线网络的接入控制,转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制;
FITAP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。
H3C公司在支持这种新的网络架构时将一些新的智能功能集成进FITAP和无线控制器中,以便于给用户呈现统一的网络管理接口:
⏹FITAP的配置保存在无线控制器中,FITAP启动时会自动从无线控制器下载合适的设备配置信息
⏹FITAP需要能够自动获取IP地址,同时FITAP需要能够自动发现可接入的无线控制器,并对无线控制器和FITAP之间的网络拓扑不敏感
⏹无线控制器支持FITAP的配置代理和查询代理,能够将用户对FITAP的配置顺利传达到指定的FITAP设备,同时可以实时察看FITAP的状态和统计信息
⏹无线控制器保存FITAP的最新软件,并负责FITAP软件的自动更新
2)H3C公司通过这一全新的网络管理接口可以很好的解决目前型WLAN网络组网中存在的管理问题:
⏹用户只需要建立业务参数模板和设备参数模板,并设定指定的AP引用这些模板,当FITAP启动时无线控制器会根据预先的配置引用信息给FITAP下发配置,用户的配置工作量大大减少。
⏹用户对FITAP的管理是通过无线控制器来代理完成,网管不再关心FITAP的IP地址,FITAP和无线控制器之间的关联是自动完成,不再需用户对AP进行的配置干预。
⏹无线用户的数据报文被FITAP封装在AP和AC间的数据隧道中,接入AP的边缘网络不需要再为无线用户的接入而更改VLAN和ACL等配置
⏹无线控制器保存了所管理的FITAP的运行状况和在线用户统计信息,维护人员只需登录到指定的无线控制器就可以完成信息察看。
用户对FITAP的管理是通过无线控制器来代理完成,因此在线更改服务策略设定和安全策略设定也不再需要逐一登录到AP设备,而只需要登录到指定的无线控制器就可以完成设置,无线控制器会自动把新的配置下发到指定的FITAP。
⏹用户不再需要手动逐一对AP设备进行软件升级,AP在每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本,如果无线控制器上保存的版本更新,FITAP会自动更新本地的软件影像。
⏹AP本地不再保存配置信息,即使设备丢失也不存在因配置丢失而出现的安全隐患。
1无线网络规划
1)频率规划
目前针对WLAN来讲,2.4G具有3具不重叠的信道,针对5.8G具有5个不重叠信道,但由于网络用户具有一定的不确定性,故网络覆盖时所需要的WLAN网络空间都要进行2.4G与5.8G的频率覆盖,从网络规划的角度出发,主要考虑2.4G与5.8G二个频率的覆盖设计,针对2.4G的频率的信号衰减模型主要采用如下:
PathLoss(dB)=46+10*n*LogD(m),而对于5.8G的信号衰减模型:
PathLoss(dB)=32.4+20*lgf[MHz]+20*lgd[KM]+a*d[KM],以上二信号衰减模型进行网络的设计,到具体网络实施时要进行工勘与优化,而对于信道主要采用1、6、11三个信道交错使用,具体的面覆盖逻辑示意图如下:
图1.WLAN2.4G信道规划示意图
2)频率复用
图2.无线覆盖示意图
针对频率复用的设计与实现主要侧重于重叠区域,考虑到802.11技术中目前业界主要采用DCF的仲裁,这样会导致从网络实施的角度出发,没有办法做到像GSM、3G网络的控制力度,从技术原理的角度出发,没有办法实现很好的频率复用,只能被动做些负载均衡的功能。
每个AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆盖范围,对于54Mbps的覆盖范围不重叠,对于54Mbps与18Mbps就可能进行重叠,可以根据网络侧的负载功能进行实现一定程度的频率复用功能,从网络规划的角度出发,WLAN基本上、下行无线链路复用的处理问题,因为目前都是DCF方式,而从只能结合业务目标实现网络覆盖效果,具体网络使用效果使用负载均衡功能进行实现。
负载均衡的功能实现具体原理如下:
⏹根据负载均衡的配置确定负载均衡的模式、SSID、其他参与负载均衡的AP的标识、用户数或流量的阀值等进行一定的初始化;
⏹确定本AP的2个射频模块连接的STA用户数量和流量;
⏹通过UDP协议以私有方式定时进行AP间通讯。
先进行握手,成功后才进行数据的交换,获取参与负载均衡的AP的负载信息。
⏹当有STA要接入时,根据其工作频率,比较本AP上该射频下的负载和其他AP的指定SSID下的用户数或流量,以及负载均衡的SSID绑定接口的速率集,决定STA能否接入。
同时要注意到若用户数已达到AP某个SSID的最大用户数,则该AP的SSID不允许再接入STA;
3)AP容量规划
从业界实现的DCF方式来看,没有一个最大用户数的限制,但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制,H3C目前每个AP最大的用户默认限制为64个用户,并可以根据实际情况更改每个AP限制接入的用户数。
根据多年的WLAN部署经验,H3C建议,从网络规划的角度出发,按照每个AP覆盖25~30用户进行部署,可以保证用户的接入质量和正常需求下的网络吞吐量。
有线网络部分:
有线网络部分,中心机房放置在一楼,有3个分配线间:
2楼(管理2层);
5楼(管理3-7层):
10楼(管理8-14层)。
中心机房到5、10楼主干走单模光纤。
汇聚层到接入层主干走六类线,接入层直接走超五类线。
汇聚层交换机我们采用H3C二层千兆5016P交换机做汇聚、接入层交换机采用H3CS1024E交换机做接入。
路由器我们采用H3CER3260双链路接入做出口路由器。
1、网络拓扑图如下:
2、技术实施
2.1、IP地址分配
动态地址分配:
在ER3260上面开启DHCP分配功能。
如下图:
2.2、防止ARP地址欺骗
ER3260通过定时发送免费ARP,更新网络主机上被攻击篡改了的网关MAC地址,保证主机与网关之间的通信。
ER3260通过授权ARP,只容许静态ARP和DHCP分配的ARP表相中的IP地址通过,从而防止PC机IP与MAC的欺骗。
2.3、IDS防范
为了防止客房网攻击,通常会使用路由器+防火墙的组网。
ER3260上内置了防攻击的功能,可以省掉防火墙了
2.4、报文源认证
2.5、设置异常流量防护
网络中的主机会由于出现中毒或网卡异常等原因,向Internet发送大量的异常报文,阻塞网络,大量消耗设备的资源。
启用本功能后,设备会对各个主机的流量进行检查,发现有异常流量时会进行指定的处理,以保证设备受到此类异常流量攻击仍能正常工作
2.6、设置IP流量限制
某些应用(比如:
P2P下载等)在给用户带来方便的同时,同时,也占用了大量的网络带宽。
一个网络的总带宽是有限的,如果这些应用过度占用网络带宽,必将会影响其他用户正常使用网络。
为了保证局域网内所有用户都能正常使用网络资源,您可以通过IP流量限制功能对局域网内指定主机的流量进行限制。
2.7、设置网络连接限数
网内的主机遭受NAT攻击时,主机的网络连接数可能会超过几万个,从而会严重影响业务的正常运行或出现网络掉线现象。
此时,您可对指定主机的最大网络连接数进行限制,保证网络资源的有效利用
四、组网设备介绍
1.路由器(H3CER3260)
ER3260是H3C公司推出的一款高性能路由器,它主要定位于以太网/光纤/ADSL接入的SMB市场和政府、企业机构、网吧等网络环境,如需要高速Internet带宽的网吧、企业、学校和酒店等。
ER3260采用专业的64位网络处理器,主频高达500MHz,并且支持丰富的软件特性,如IP<
->
MAC地址绑定,ARP防攻击,流量限速,双WAN负载均衡,策略路由,源地址路由等功能。
它是H3CER系列路由器中的中高端产品,大型网吧用户和大型企业用户的理想选择。
专业的64位网络处理器,主频高达500MHz
高性能,达到百兆线速转发
典型带机量为200台
高处理性能
ER3260采用64位网络处理器,主频高达500MHz,同时配合DDRII高速RAM进行高速转发,可以达到百兆线速转发。
在实际应用中,典型的带机量为200台。
双WAN口负载均衡
负载均衡可以让企业网用户根据线路实际带宽分配网络流量,达到充分利用带宽的目的。
华三通信结合国内网络用户的使用习惯和特点,有针对性地推出了智能负载均衡和手动负载均衡两种均衡模式,满足了双线路接入用户对带宽的灵活应用需求。
智能负载均衡根据用户实际带宽比分配实际的网络流量;
手动负载均衡根据导入的路由表进行转发;
支持策略路由表的导入/导出功能,只需导入合适的路由表即可实现“电信走电信,联通走联通”的功能。
IPSecVPN
ER3260支持标准的IPSecVPN,用户可以通过简单的WEB配置实现点对点之间的安全的VPN连接,最高支持168位的3DES加密;
同时H3C结合国内用户的组网特点在ER3260上同时支持通过域名方式配置IPSecVPN连接和NAT-T的NAT穿越功能。
多局域网功能(VLAN)
ER3260支持多局域网功能,企业可以方便的划分局域网为多个网段,降低广播域和ARP病毒的影响,针对每个局域网可以配置单独的DHCPServer和防火墙规则,ER3260最多可同时支持16个内部局域网。
ARP病毒双重防护
ER3260通过IP<
MAC地址绑定功能,固定了网关的ARP列表,可以有效防止ARP欺骗引起的内网通讯中断;
此外ER3260毫秒级的免费ARP的定时发送机制,可以有效地避免局域网PC中毒后引发的ARP攻击。
网络流量限速
BT,迅雷等P2P软件对网络带宽的过度占用会影响到网内其他用户的正常业务,ER3260通过基于IP或基于NAT表项的网络流量限速机制可以有效地控制单台PC的上/下行流量和建立的NAT表项的个数,限制了P2P软件对网络带宽的过度占用。
业务控制(QQ/MSN/金融软件)
QQ/MSN等即时通讯软件的大量普及,造成员工办公效率低下,无法集中精力。
ER3260独有的应用控制功能,可以方便的限制内网用户对QQ/MSN等应用的使用,ER3260同时支持对大智慧/分析家/同花顺/广发至强/光大证券/国元证券等金融软件的应用控制功能。
此外,用户可以通过对特权用户组的设置保证关键用户的使用不受影响。
项目
描述
概述
固定端口
2个10/100Base-TXWAN端口
3个10/100Base-TXLAN端口
1个Console接口
处理器(CPU)
MIPS64位500MHz网络处理器
内存
DDRII64MB
FLASH
8MB
指示灯
每端口:
Link/Act,Speed
每设备:
Power,W1/W2
外形尺寸(长×
宽×
高)
440(W)×
230(D)×
44(H)mm
标准的19英寸机架安装宽度,1U高
输入电压
100~240VAC,50/60Hz
功耗
20W
工作温度
0℃~40℃
存储温度
-10℃~70℃
工作湿度
10%~90%无凝结
存储湿度
5%~90%无凝结
散热方式
风扇散热
软件特性
工作模式
主备模式
智能负载均衡
手动负载均衡(电信走电信,联通走联通)
路由转发模式
网络协议
PPPoE
DHCP客户端
DHCP服务器
NAPT
NTP
防火墙
出站通信策略(源接口/IP/MAC/用户/目的IP/协议/端口/时间段)
入站通信策略(源接口/IP/MAC/用户/目的IP/协议/端口/时间段)
网络安全
ARP防攻击/免费ARP
状态数据包检查
防止WAN口的Ping
防止TCPsyn扫描
防止StealthFIN扫描
防止TCPXmasTree扫描
防止TCPNull扫描
防止UDP扫描功能
防止Land攻击功能
防止Smurf攻击功能
防止WinNuke攻击功能
防止PingofDeath攻击
防止SYNFlood攻击功能
防止UDPFlood攻击功能
防止ICMPFlood攻击功能
防止IPSpoofing功能
防止碎片包攻击
防止TearDrop攻击
防止Fraggle攻击功能
访问控制
IP<
MAC地址绑定(静态ARP)
URL过滤(黑白名单)
MAC地址过滤
QQ/MSN访问控制
金融软件控制
大智慧/分析家/同花顺/广发至强/光大证券/国元证券
QoS
流量统计(基于IP/端口的流量统计)
网络流量限速(基于IP,上下行流量分别限速)
NAT表项限制
应用通道限制(绿色通道/限制通道)
流量监控
基于物理端口的流量统计
基于IP的流量统计,支持自动排序功能
基于IP的NAT链接数统计
路由
静态路由
策略路由(基于源IP/目的IP/协议/端口/出接口/时间段)
系统服务
ALG
端口触发
UPnP
虚拟服务器
静态NAT(一对一NAT)
DMZ主机
VPN透传(PPTP、L2TP、IPSec)
配置管理
基于Web的用户管理接口(远程管理/本地管理)
HTTPS远程管理
命令行CLI
通过HTTP升级系统软件
故障诊断
Ping/Tracert
设备自检
故障信息一键导出
认证
CEClassA
CCC
2.核心交换机与无线控制器(H3CWX3024E)
H3CWX3000系列有线无线一体化交换机(AC,AccessController)是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的集成无线控制器和千兆以太网交换机功能的网络设备。
WX3000系列一体化交换机定位于中小型企业网和大型企业分支机构的一体化接入,提供纯千兆以太网有线接入口,支持PoE+供电,同时兼容802.11a/b/g/n协议。
配合H3C公司自主研发的FitAP可以满足中、小型企业一体化移动网解决方案等无线场景的典型应用。
提供对802.11nAP的管理
WX3000系列一体化交换机在支持对传统802.11a/b/gAP管理的同时,还可以与H3C基于802.11n协议的AP配合组网,从而提供相当于传统802.11a/b/g协议数倍的无线接入速率,能够覆盖更大的范围,使无线多媒体应用成为现实。
提供灵活的数据转发方式
传统的无线控制器部署一般采用集中式转发模式,AC可以对报文进行全面控制和安全监管,但所有的无线业务流量需要到AC进行统一处理,核心链路带宽和AC转发能力容易成为瓶颈。
特别是AP和AC通过广域网方式进行连接时,AP作为数据接入设备部署在分支机构,而AC部署在总部,所有用户数据由AP发送到AC,再由AC进行集中转发,导致转发效率低下。
WX3000系列一体化交换机可以支持集中式转发和分布式转发,用户根据业务需要和网络实际情况可以灵活设置转发方式。
支持精细的无线用户接入控制和管理
基于MAC的认证接入控制方式,不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。
基于MAC的VLAN同样也是WX3000系列一体化交换机的一大特色,在控制策略上,管理员可以把相同性质的用户(MAC)划分到同一个VLAN,同时在AC上基于VLAN配置安全策略,这样做既可以简化系统配置,又可以做到用户级粒度的精细管理。
出于安全性或计费等考虑,系统管理员可能希望控制无线用户接入到网络中的位置。
WX3000系列一体化交换机支持基于AP位置的用户接入控制。
当无线用户接入网络时,可以通过认证服务器向AC下发允许用户接入的AP列表,在AC上进行接入控制,从而达到限制无线用户只能接入到指定位置的AP的目的。
支持802.1x认证,MAC地址认证,Portal认证等
WX3000系列一体化交换机支持多种认证方式:
802.1x认证:
WX3000系列一体化交换机支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式,同时还支持802.1x本地认证方式,提供对MD5、TLS、PEAP这几种主流认证方式的支持,用户不再需要额外配置AAA服务器。
WX3000还支持通过802.1x认证后动态授权VLAN和ACL功能,对用户的策略可以事先设定好,用户认证时,系统自动配置客户权限。
MAC地址认证:
WX3000支持MAC地址认证,对一些手持终端(例如:
Wi-FiPhone、手持移动终端等)并不方便采取电脑上的认证方式,MAC地址认证却可以轻松解决该问题,实现在控制器或者AAA服务器上配置好合法的MAC地址,这些MAC地址对应的终端就可以被允许被接入到网络,而事先没有被配置的非法终端则不能接入无线网络,该功能极大地方便了例如无线医疗系统等应用,MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络,而拒绝病人的无线PDA使用专用无线网络。
Portal认证:
WX3000提供内置的Portal认证服务器。
该认证方式无需客户端配合,直接通过浏览器WEBPortal页面作为认证通道,当用户认证通过后,可以灵活跳转到指定访问首页并启动相应授权和计费。
同时也可以根据策略要求,灵活推送定制Portal页面,达到广告宣传、信息传递的作用,广泛使用在无线校园、无线城市、访客接入等应用场景。
提供UserProfile
在基于用户授权方式的网络管理中,用户通过认证,即获得访问网络的权限。
授权包括控制用户可访问的网络范围,以及用户可获得的网络服务质量,如访问带宽、访问优先级。
在用户移动的网络或大型网络中,为了方便网管人员开展日常的管理工作,UserProfile特性提供了一种更模块化、更简单的管
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 酒店 网络 设计方案