admin 前言:
共享简单实用的酒店计算机网络系统设计方案。
一、网络建设的总体目标:
构建高效可靠的IP托管网络,确保在网络上运行的业务数据的高性能传输,核心是高性能万兆路由交换机,两个设备使用相互默认的待机、负载平衡技术,确保整个网络的稳定可靠运行。
实现主要网络设备冗余、线路冗余架构,将线路设备故障对网点业务开展的影响降至最低,提供快速的业务恢复机制。
提供良好的可扩展性网络部署,包括网络设备的选用以及网络设备的数量,为线路提速、应用扩张等提供良好的网络设计支持;同时考虑网络的安全特性,网络扩展能力需要考虑在网络中的安全规划,在网络中的安全方案的统一部署。
采取有效的管理、控制策略,保障关键业务的优先传输(如业务类数据优先通过等),能够很好的承载网络中不同业务数据的开展,保证三网合一(视频、语音、数据)的传输效果。
布署统一的网络管理方案,实现对全网设备包括有线和无线设备的统一集中网管。
具体的拓扑如下所示:
建议本项目的网络建设,网络结构采用双星型三层网络方案,为了保证网络的安全可靠在核心交换机上部署防火墙和IPS板卡设备,核心交换机采用双GE链路互联放置在大楼的中心机房,在每二个楼层布置一台汇聚层交换机提供接入交换机的集中接入,汇聚层交换机到核心交换机实现双链路上行连接,每层楼根据信息点的分布数量布置若干接入交换机,接入交换机的和楼层的汇聚交换机统一放置在各楼层的配电间里。考虑到无线应用,每层楼部署若干无线AP提供用户的无线接入,并且考虑到采用Fit AP(瘦AP)解决方案对大楼实现无线覆盖,因此在大楼中心机房核心交换机上部署一块无线控制器(AC)板卡实现对无线AP的集中管理。为了对网络进行统一管理,在中心机房还部署一台网络管理服务器,安装图形化的网络管理系统。由于公安部82号令要求对于提供公共网络必须进行监控,因此在出口路由器上连接用户上网行为审计服务器,用来对终端用户的上网行为进行事后审计,追查用户的非法网络行为,满足公安部门对用户网络访问日志进行审计的硬性要求。
针对酒店计算机网络应用,结合综合布系统结构,将设计物理隔离的网络(外网和酒店内网),满足未来酒店办公和入住客人所应用的网络相对独立,保证酒店资源安全。
二、酒店网络设计:
考虑到酒店的特殊性和重要性,保证该处网络的稳定性是第一位的。因此建议酒店采用如下结构图:
对酒店网络进行单独设计,最主要是考虑了要保证网络的可靠性。因此我们建议在酒店采用双核心交换机(属于大楼的汇聚层交换机),使用VRRP虚礼路由冗余协议互相备份,接入层交换机使用双链路通过光纤分别连接到2台核心交换机,无论是从设备上还是网络结构上,保证网络的99.999%的电信级稳定可靠性,避免了单点故障。
三、酒店无线设计:
酒店客房需要进行全面覆盖,由于无线覆盖需要考虑房间内墙体等障碍物体对无线信号的屏蔽以及无线信号的穿越角度等问题,因此为了保证楼层内每个房间的无线信号覆盖能力,需要在楼层内部署足够数量的AP。考虑每个分局每个楼层的面积基本相同,因此每层楼AP的部署位置基本相同,按照一般工程施工的经验,每层楼布放4个AP, AP位置的分布示意图如下所示。为保证系统的维护和保养的方便性,所有楼层AP都集中放置于楼层弱电间内,通过专用放大器,延长AP的天馈线的方式进行安装。
四、网络规划建议:
考虑到网络的应用规模,建议接入层交换机使用带千兆上行的智能交换机来接入汇聚层网络,接入层交换机应该具有ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”,可同时采用52口和26口接入层交换机组网。
汇聚层交换机采用全千兆接口用来连接各个楼层的接入层交换机,连接方式建议为多模光纤,这样可以有效保证远距离的连接。
互联网出口建议配置2台高性能路由器,由于大楼用户量非常大,因此高性能的核心路由器必不可少,同时2台路由器可以起到互相备份的作用。建议大楼采用双出口设计(用户量太大,单链路单设备无法保证用户上网效率),一条联通(原网通)线路,一条电信线路,每个出口部署一台路由器,这样可以有效保障用户访问互联网的速度,保证了网络出口的安全可靠。同时可以在路由器上进行QOS部署,保证高级别客户数据报文优先转发。
网络安全设计:
通过在网络部署防火墙,主要目的是实现以下四大功能:
攻击的防范
随着网络技术不断的发展,Internet上的现成的攻击工具越来越多,而且可以通过Internet广泛传播,由此导致Internet上的攻击行为也越来越多,而且越来越复杂,防火墙必须可以有效的阻挡来自网络边界的各种攻击行为。
服务器安全防护
接入网络后,用户会进行业务的交互或是信息发布、企业宣传需要在边界部署服务器,因此,必须在能够提供公众访问这些服务器的同时,保证这些服务器的安全。
内部用户访问外部管理
必须对内部用户访问外部行为进行细致的管理,比如能够支持WEB、邮件、以及BT等应用模式的内容过滤,避免网络资源的滥用,也避免通过外部引入各种安全风险。
远程移动办公
通过部署防火墙作为VPN网关,可以实现远程移动用户方便的通过加密隧道方式(IPSec VPN、SSL VPN等)连入公司内网,访问公司内部资源。
PS:
薛哥最近创建了智能化弱电圈子,欢迎同行加入,每天更新弱电技术知识
(此处已添加圈子卡片,请到今日头条客户端查看)