换,既要有本地网络的信息共享,又要考虑与互联网的信息交换,将来还有可能在集团内组成VPN网络。
本方案综合考虑了先进性、可靠性、可扩展性、安全性和易管理性等设计原则,全网均采用了业界领先的博达网络交换机产品。
考虑业务网应用的重要性及将来视频、数据流量的逐步增长,核心采用了高性能的H3C S5120-28P-SL交换机,保证核心设备数据的转发能力及稳定性。为提高网络可靠性,本方案中使用双核心设计,与接入交换机形成双形星结构,提升网络冗余能力。
接入层采用H3C 1526 交换机,各交换机配备了24个百兆电口,由于接入点会设置多台交换机,这个接入点的多台交换机互相以GE逐个级联,即热备方式,在网络形成核心1-接入点1A-接入点1B-接入点1C-核心2-核心1的环形结构,如图:
在网内使用用SPANTREE协议,防止出现路由环路,减少由于网络设备响应慢
12
而引发的故障,整个网络由三个环形组成。针对客房用户,该交换机可以开启端口保护功能,隔离各个房间用户之间的通信,防御病毒传播,网络攻击等不安全因素。
在这里我们将内网用户连到LAN接口,WAN连接互联网,主要用来接酒店网站应用服务器,如WEB、MAIL等,同时可以根据需求合理的对网络流量进行限制,保证不会因为内网某些用户使用P2P软件而吞噬他人带宽的情况出现。
酒店网络规划中拟采用按接入类别进行VLAN的划分,并为每个VLAN分配一个IP段,IP由信息中心统一管理,在核心交换机启用IP路由,由核心交换机做IP路由转发。
物理网络拓扑如下:
贵宾楼Internet网络出口会所DMZ客房楼互联网应用服务器
2.2.4无线网络设计
无线局域网(WLAN)是无线宽带数据传输系统,它利用扩频技术,与双绞线或铜线构成的有线网络相比,WLAN在为用户提供足够的带宽的情况下增加了移
13
动性,在AP覆盖范围内,用户可接入有线网络。无线局域网不仅可以实现许多新的应用,还可以克服线缆限制引起的不便性,解决某些特殊区域无法布线的问题。
本项目中的无线局域网接入设备符合802.10b/g标准,采用星形拓扑结构,其最大带宽可达300Mbps,用户可通过AP接入其中,进而接入Internet。 2.2.5 IP地址规划及VLAN规划
本项目中,根据不同的部门和客人类别划分IP段,其中酒店内部办人员使用固定IP方式连接网络,使用严格的IP和交换机绑定技术,而酒店客户则使用DHCP方式自动获取IP连接网络,易于使用,更显人性化。
在全网统一部署VLAN,建议以部门为单位规划不同的VLAN,保证信息安全,尽量减少病毒、攻击对部门间计算机造成影响。
在本方案中首先根据计算机的用途划分一个VLAN,首先服务器直接连接核心交换机,单独划一个VLAN;其次,将酒店内不能访问互联网的计算机单独设置一个VLAN;个别应用系统需要独立隔离的也需要单独划分一个VLAN,酒店内的客户可以分门别类,如标准间客户、套间客户、总统套客户分别划分一个VLAN,并分配独立的IP段。在地址资源足够的情况下,建议为每个VLAN分配128个地址或256个地址的IP地址段,这种方式出于对客户的一些管理需求,更接近于实际,但这种方式对网络的管理工作量相对比较大,需要首先实现对全网的精细化管理。
对VLAN和IP段进行细分的好处是在接入和核心交换机上可以用很小的代价实现对网络的安全控制和管理,对客户分等分级,做好网络质量保证,在网络拥塞时保证重要客户的上网质量,提高客户感知。 2.2.6路由规划
路由器采用H3C-ER3100安全接入网关,能支持200用户,具有IP+MAC绑定,防ARP、防火墙等功能,满足于酒店、企业的网络接入要求。
核心交换机采用H3C S5120-28P-SL全千兆安全管理型交换机(具有端口聚合、VLAN划分,镜像端口,MAC地址过滤,能够实现数据快速无堵塞转发)。
14
接入层交换机采用H3C 1526百兆智能型交换机(具有VLAN划分、流量控制等简单管理功能),一楼无线采用tplink AP. 2.2.7网络安全措施
对于网络安全应包括两层含义,一是网络安全,二是访问控制的安全。在此我们针对酒店网络,结合H3C公司网络设备、安全设备为网络安全的支持情况,给出全网网络安全建议。 网络安全概述
网络为人们提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性,网络安全成为必须面对的一个实际问题。网络上存在着各种类型的攻击方式,包括:
窃听报文 —— 攻击者使用报文获取设备,从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。通过Internet的数据传输,存在时间上的延迟,更存在地理位置上的跨越,要避免数据不受窃听,基本是不可能的。
IP地址欺骗 —— 攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。
源路由攻击 —— 报文发送方通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。
端口扫描 — 通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击,使得路由器整个DOWN掉或无法正常运行。
拒绝服务攻击 —— 攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。最近拒绝服务攻击又有了新的发展,出现了分布式拒绝服务攻击,Distributed Denial Of Service,简称DDOS。许多大型网站都曾被黑客用DDOS
15
相关推荐:
loading