1、XXXX商务连锁酒店网络改造方案目 录1 门店技术要求及组网方案31.1 技术要求：31.2 组网方案：31.3 设备选型：31.4 门店整体方案特色：52 总店技术要求及组网方案52.1 技术要求：52.2 组网方案：62.3 设备选型：62.4 总部整体方案特色：93 整体网络的介绍103.1 整网的拓扑图：103.2 地址分配：103.3 路由规则和路由图：124 总部网络改造方案高中低三种配置选型134.1 专业防火墙及VPN网关134.2 核心交换机134.3 IPS-入侵抵御系统144.4 无线AP141 门店技术要求及组网方案1.1 技术要求：1、 网络稳定性高2、 低成本3、 2、门店以VPN方式接入总部4、 支持对客房区、办公区的VLAN划分5、 实现流量控制6、 。1.2 组网方案：1.3 设备选型：ER3200：新一代高性能宽带路由器2个百兆WAN口、4个百兆LAN口选择理由：1、 500Mhz的CPU主频，拥有一颗强劲的心2、 支持IPSec VPN，通过internet实现和总部的VPN连接3、 带有很强的防火墙功能，可以进行灵活acl控制，可以防QQ/MSN，防BT下载，防外网入侵和攻击，智能网页过滤4、 灵活的访问控制功能，可以按部门、按业务、按时间来设置控制策略5、 全面防止ARP攻击，保证上网不掉线6、 弹性带宽控制，忙时不允许超过额定带宽，闲时可超出3、额定带宽7、 可以进行实时流量统计，按照流量大小进行排序8、 支持将客人的首次internet访问重定向到酒店网站进行宣传9、 2个百兆WAN口，一口以宽带接入internet，另一口配合modem利用PSTN备份链接到总部的modem池，可自动检测故障进行切换。也可以负载均衡方式工作10、 带机量达到100-200台，满足门店的带机要求11、 图形化web管理界面，使用方便12、 为酒店客户定制的管理界面，以客户熟悉和习惯的方式设置13、 支持以web方式远程登录管理14、 宽带路由器同时可做DHCP serverS5024E：全千兆智能防攻击交换机24个千兆下行电口、4个光电复用千兆上行口4、选择理由：1、 96G的交换容量，全线速无阻塞转发2、 防攻击能力强大a) 防ARP攻击b) 防DOS攻击c) 防蠕虫病毒攻击d) 802.1x认证e) 支持IP+MAC+端口绑定f) 方便地实现安全配置文件的导入和导出3、 交换机使用和管理极其方便a) 简单美观易用的WEB管理界面：网管就想看小人书一样轻松b) 按照不同行业应用特点，在WEB管理界面里定制不同管理专区c) 网吧专区智能端口设定：为网吧收银服务器、监控服务器、电影音乐服务器、游戏更新服务器、路由器等自动进行优化d) 支持Web网管、通过Console口进行管理、Telnet远程管理4、 丰富的端口特性a) 端口隔离、端口安全、5、端口汇聚、端口镜像、端口带宽控制、广播风暴抑制、VCT电缆检测5、 支持512个基于802.1Q的VLAN，完全满足门店内部的VLAN划分需求6、 高性价比：您付出的每一分钱都物超所值S1526： 24个10/100M自适应RJ45端口，支持端口自动翻转（Auto DI/MDIX） 2个千兆光电复用口（SFP/RJ45复用）1个Console口选择理由：l 支持26个Port VLAN和256个IEEE 802.1Q Tag VLAN l 支持端口聚合：FE：支持整机最多2组，每组最多4个端口；GE：1组，每组最多2端口l 提供端口带宽控制功能，最小粒度为64kbps l 支持IEEE 8026、.1p优先级协议模式、支持WRR（加权轮询）调度，支持每端口4个输出队列提供端口安全控制功能l 支持广播风暴控制 l 支持端口镜像功能 l 支持MAC地址老化时间设置 l 提供Web管理 l 支持交换机系统软件的升级 l 内置通用电源，1U钢壳，19英寸标准机架结构，工业级设计以上产品的详细资料请参考H3C提供的产品资料。1.4 门店整体方案特色：1、 H3C宽带路由器支持IPSec VPN，防火墙功能，DHCP SERVER，一机多能，简化了网络结构，节省投资2、 整体方案具有完善的安全特性，可以保证门店网络的安全性。尤其可以防止目前困扰很多酒店的ARP病毒攻击的问题。可以防止来自内部和外部7、的攻击。3、 房间号和VLAN号自动对应，并可以帮助公安监控实现基于客房的精确定位，满足公安监控的要求。4、 客房网络布线自动识别系统，减少酒店网线连接的识别工作。5、 所选择的设备都经过了市场的大量应用考验，成熟稳定可靠6、 高性价比7、 完全满足客户对门店的建设要求，应该说超出客户的要求。2 总店技术要求及组网方案2.1 技术要求：1. 按照200家门店的规模规划公司的硬件网络2. 老的门店的改造尽量使用已经购买的网络设备3. 支持VPN，VLAN，防火墙，网管功能等，说明各主要功能的实现方式4. 网络结构和性能需支持视频会议系统5. 说明设备清单，包括品牌，型号，数量，价格，主要技术指标8、6. 说明网络拓扑图和路由图。7. 说明总部和门店端IP地址分配方式8. 说明技术支持的方式2.2 组网方案：2.3 设备选型：VPN网关及防火墙：H3C SecPath F1000-S：H3C高性能千兆专业防火墙及VPN网关4个固定GE（两个固定光电COMBO口，两个电口）最大可以扩展到：8GE/4GE+8FE选择理由：1、 F1000-S可以支持3500个IPSEC VPN隧道，完全可以满足200多个门店的接入。2、 加入采用3DES加密方式，可以支持650M的流量。如果200个门店均以2M ADSL接入以IPSEC VPN接入到总部，总共的加密带宽不超过400M，650M的处理能力足够。9、假设每个门店均以10M的宽带接入internet以IPSEC VPN接入到总部，最高流量2G，但是考虑到不可能全部并发，有一定的收敛比，所以650M带宽也足够。3、 多出口，可以实现同时连接电信、网通的链路，同时还可以利用外接的modem池实现PSTN的备份链路。4、 DMZ区部署用于internet访问的各类服务器。5、 F1000-S专业的防火墙功能，提供完善安全保护：1) 支持基础、扩展和基于接口的状态检测包过滤技术，支持按照时间段进行过滤；2) 支持H3C特有ASPF应用层报文过滤（Application Specific Packet Filter）协议，支持对每一个连接状态信息的维10、护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245， RTP/RTCP等）应用层协议的状态监控，支持TCP/UDP应用的状态监控3) 对DoS/DDoS攻击的防范4) ARP欺骗攻击的防范5) 提供ARP主动反向查询6) TCP报文标志位不合法攻击防范7) 超大ICMP报文攻击防范8) 地址/端口扫描的防范9) ICMP重定向或不可达报文控制功能10) Tracert报文控制功能11) 带路由记录选项IP报文控制功能12) 静态和动态黑名单功能13) MAC和IP绑定功能14) 支持智能防范蠕虫病毒技术15) 可以有效的识别网络中的BT11、Edonkey、Emule等各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；16) 支持邮件过滤，提供SMTP邮件地址、标题和内容过滤；17) 支持网页过滤，提供HTTP URL和内容过滤；18) 支持应用层过滤，提供Java/ActiveX Blocking和SQL注入攻击防范19) 支持RADIUS和HWTACACS协议及域认证20) 支持基于PKI /CA体系的数字证书（X.509格式）认证功能21) 在PPP线路上支持CHAP和PAP验证协议22) 集中管理与审计：提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能6、 专业灵活的VP12、N服务：1) 支持L2TP VPN、GRE VPN、IPSec VPN、动态VPN等多种VPN业务模式2) 利用动态VPN（DVPN）技术，简化VPN配置，实现按需动态构建VPN网络7、 在扩展插槽上增加SSL VPN板卡，可以支持SSL VPN，实现基于任何internet位置上的移动VPN接入酒店网络。8、 集成路由功能，可以省去路由器：1) 支持路由、透明及混合运行模式2) 支持静态路由协议3) 支持RIP v1/2、OSPF、BGP动态路由协议4) 支持路由策略及策略路由业界最高级的安全防护：实时入侵抵御系统IPS（可选）：H3C SecPath T200：H3C实时入侵抵御系统4（113、0/100/1000M以太电口）一个扩展槽，可以配置4个10/100M以太电口，或2个1000M以太SFF光口选择理由：1、 深度防御、应用层攻击防御：业界最高的安全防护等级1) 客户机和服务器保护- 抵御针对应用和操作系统漏洞的攻击- 摈弃代价昂贵的应急补丁工作- 精细化的深度防御与应用控制2) 病毒过滤- 全球顶尖级病毒分析专家团队- 拥有超过40万的病毒样本- 阻止多种类型的网络蠕虫/病毒攻击- 深度过滤隐藏在IM/P2P/email等常用软件中携带的病毒- 过滤压缩后的病毒、木马- 过滤变种病毒3) 网络基础设施保护- 保护DNS和其他网络基础设施- 抵御流量异常以及SYN Flood14、UDP Flood、ICMP Flood、DNS Query Flood、CC等各种DDoS攻击- 访问控制4) 流量正规化- 提高网络带宽和路由器性能- 正规化非法网络流量- 优化网络性能5) URL过滤- 根据时间定制过滤规则- 自定义URL过滤规则- URL过滤与带宽管理关联定制组合6) 应用性能保护- 提高带宽和服务器性能- 阻止或限制P2P/IM等非关键流量7) 特征库实时升级- 抵御零日攻击- 最新特征库自动发布2、 专业灵活的VPN服务：1) 支持L2TP VPN、GRE VPN、IPSec VPN、动态VPN等多种VPN业务模式2) 利用动态VPN（DVPN）技术，简化VPN15、配置，实现按需动态构建VPN网络3、 对威胁的处理方式：1) SecPath T200提供了丰富的威胁响应方式，包括阻断、限流、TCP Reset、抓取原始报文、重定向、隔离、Email告警、日志记录等，各响应方式可以相互组合。设备出厂时已内置了一些常用的响应组合，便于部署和维护。4、 可靠性：1) SecPath T200使用无源连接设备PFC（Power Free Connector）提供掉电保护功能。在T200掉电的情况下，PFC将网络流量自动绕开T200，旁路到下一跳设备上去；当恢复电源供给后，PFC又会自动禁止旁路功能，所有流量将再度流经T200接受检测。核心交换机： H3C S7516、02：19英寸机架式交换机电源冗余备份可以实现主控的冗余备份2个业务槽位192G交换容量144Mpps包转发率选择理由：1、 分布式业务处理体系：H3C S7500系列交换机采用先进的全分布式体系结构设计，通过主引擎和分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发，通过分布式高速业务接口板上内置的高性能CPU与位于主控引擎上的CPU协同工作，实现ACL、流分类、QOS、组播等业务的全分布式处理。2、 强大的L2/L3转发性能：H3C S7500系列交换机支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔，并可以支持STP17、/RSTP/MSTP/VRRP等协议实现链路冗余，同时S7500系列交换机支持基于硬件的RPR弹性分组环和基于软件的快速环网保护技术，分别可以提供50ms和亚秒级别的链路故障业务快速恢复手段，这些使得以S7500系列交换机为核心的骨干网络可靠性大大提高，保障了业务的永续性。3、 H3C S7500系列交换机支持强大的组播功能、灵活QinQ、802.1x、内置DHCP-SERVER、NAT、PBR、POE、EPON等多种业务特性，这些业务特性极大的提高了企业网络业务部署的简便性和灵活性，同时增强了对IP语音、视频、WLAN的支持能力，为企业IT系统实现通信整合提供了便利。基于 “ASIC+NP”18、的体系结构，可以灵活的支持业务功能的不断扩展，通过多功能网络处理器模块，可以进一步支持NAT、PBR等多种高级业务特性。2.4 总部整体方案特色：1、 高性能：防火墙、IPS、核心交换机的性能完全能满足实际要求。2、 高度安全：业界最高等级安全防护。3、 高稳定性：防火墙多链路备份、IPS的掉电保护、核心交换机的电源冗余备份、主控冗余备份。4、 网络结构合理清晰5、 所选择的设备都经过了市场的大量应用考验，成熟稳定可靠6、 高性价比7、 完全满足客户对总部的建设要求3 整体网络的介绍3.1 整网的拓扑图：拓扑图说明：1、 门店和总部的拓扑图不再介绍，前面两章已经介绍。2、 广域网连接方式：每个19、门店可以选择以2M adsl方式接入internet或者以10M宽带接入internet。IPSec VPN可以选择和总部的电信网链路、网通网链路连接。同时每个门店还可以外接一个modem通过pstn网和总部的modem池链接，起到链路的备份作用。但主链路出现故障，还可以通过拨号和总部链接。3.2 地址分配：需要公网IP地址的设备：每个门店的出口路由器需要公网地址，如果只有一条链路，只需要1个公网地址。宽带的公网地址由申请宽带时由运营商提供。如果还需要PSTN备份，该IP地址拨号时自动分配，无需申请。总部出口的防火墙设备，如果有2个出口，需要2个公网地址。另外DMZ中队外服务的服务器每个都需要20、公网IP地址。需要私网IP地址场合：门店需要地址的设备或区域：服务器区，办公区，前台区，客房区，数码房区。策略：“服务器区，办公区，前台区”整体归类为办公网，分配办公网地址段地址“客房区，数码房区”整体归为客房网，分配客房网地址段地址门店需要地址的设备或区域：服务器区，总部办公区，总部信息中心，门店办公区，门店前台区，客房区，数码房区。策略：“服务器区，总部办公区，总部信息中心，门店办公区，门店前台区”整体归类为办公网，分配办公网地址段地址“客房区，数码房区”整体归为客房网，分配客房网地址段地址明确以上原则后，我们再来分析具体如何进行私网地址分配。因为门店的办公网需要和总部的办公网互通，因此每21、个门店的私网网段、以及总部的私网网段都不能重复。而客房网因为彼此之间无需互联，只要能访问互联网即可，因此可以重复。客房网私网IP地址分配规则如下：1、 所有门店（包括总部门店）都采用172.16.0.0的私网B类地址，一个B类地址有65535个IP地址，足够每个门店随便使用了，可以随便用。因为可以重复使用，每个门店都可以这样设置。2、 门店当然也可以只挑选几个C类地址段使用。比如：给数码房区的数码房服务器的地址池配一个C类地址段172.16.1.0。而其他一般客房使用其他的一些C类地址段172.16.2.0、172.16.3.0、172.16.4.0。这些都是在ER3200里面针对客房的DHC22、Pserver中进行设置的，并可以同时设置好对应的VLAN。办公网私网IP地址分配规则如下：1、 所有门店（包括总部门店）、以及总部都采用192.168.0.0的私网B类地址，由于门店需要访问总部的服务器，彼此之间需要互访，所以彼此之间的地址段不能重复。考虑到每个分店的办公PC、服务器数量比较少，给每个门店一个C类地址，有254个地址可用。门店的地址分配方式也是动态分配，地址池在ER3200路由上设置。总部的DHCPserver可以设置的S7502交换机上。总部需要的IP地址数量较多，可以多分配几个C类地址段。3.3 路由规则和路由图：路由规则：门店：1、 客房网只能访问internet，不能23、访问办公网，不能通过IPSEC VPN链接总部；2、 办公网可以访问internet，不能访问客房，可以通过IPSEC VPN链接总部；门店与门店之间：1、 门店与门店可以互访，也可以禁止互访，规则请客户自己确定。互访的控制可以在总部的防火墙上设置规则。路由图：（以门店1为例）4 总部网络改造方案高中低三种配置选型总店的改造涉及到的设备：专业防火墙及VPN网关、核心交换机、IPS、无线。下面针对每种设备推荐配置：4.1 专业防火墙及VPN网关型号规格高配置Secpath F1000-A2个固定GE（两个固定光电COMBO口）1个插槽，最大可以扩展到：4GE/2GE+4FE防火墙吞吐量：1.5G24、bps3DES加密：600MbpsIPSEC VPN隧道数：5000个中配置Secpath F1000-S4个固定GE（两个固定光电COMBO口，两个电口）两个插槽，最大可以扩展到：8GE/4GE+8FE防火墙吞吐量：1Gbps3DES加密：600MbpsIPSEC VPN隧道数：3500个低配置Secpath F100-E4个固定FE1个插槽，最大可以扩展到：8FE/4FE+2GE防火墙吞吐量：400Mbps3DES加密：200MbpsIPSEC VPN隧道数：2000个4.2 核心交换机型号规格高配置H3C S7502E19英寸机架式交换机电源冗余备份可以实现主控的冗余备份2个业务槽位1925、2G交换容量144Mpps包转发率支持IPV4/IPV6支持MPLS中配置H3C S750219英寸机架式交换机电源冗余备份可以实现主控的冗余备份共4个槽位，2个业务槽位192G交换容量144Mpps包转发率低配置S5500-28C-EI19英寸盒式交换机千兆接入万兆上行强三层智能交换机端口形态：24个GE(4个combo)，两个插槽插槽可插：2万兆/插槽、1万兆/插槽支持静态路由、RIP、ospf、is-is、BGP4支持IPV4/IPV6128G交换容量SNMP管理S7502交换路由模块S7500-12端口千兆以太网电口4端口千兆以太网SFP光口业务板1可选S7500-4端口千兆以太网电口26、12端口千兆以太网SFP光口业务板1可选S7500-48端口千兆以太网光接口业务板 1可选S7500-48端口千兆以太网电接口模块 1可选S7500-2端口万兆以太网接口模块 1可选S7500-4端口万兆以太网接口模块 1可选S7500-16端口千兆电口+8端口千兆光口以太网接口模块 1可选S7500-32端口千兆以太网电口(RJ45)+16端口千兆以太网光口业务板1可选4.3 IPS-入侵抵御系统考虑到IPS的价格比较贵，仅推荐一款。型号规格高配置Secpath T2004（10/100/1000M以太电口）一个扩展槽：可以配置4个10/100M以太电口，或2个1000M以太SFF光口吞吐量：200Mbps新建连接数：10万/秒最大连接数：100万中配置低配置4.4 无线AP型号规格高配置EWP-WA2220-AGH3C WA2220-AG 无线局域网室内型AG双频双模接入点低配置EWP-WA2210-AGH3C WA2210-AG 无线局域网室内型AG单频双模接入点