南昌和平国际大酒店智能化及弱电系统安装工程计算机网络系统技术方案泰豪科技股份有限公司目录1系统概述 (1)1.1 需求分析 (1)1.2 设计概述 (1)2系统设计 (2)2.1 方案特色功能 (2)2.2 酒店网络安全设计 (4)2.3 配置及管理 (5)2.4 酒店网络部署解决方案 (8)2.4 主要设备参数 (15)1 系统概述1.1 需求分析系统需要满足以下需要：客人上网、管理人员管理及办公应用、各弱电子系统网络应用、会议网络需求、无线上网；Internet访问权限控制办公网：静态分配IP地址，只有指定客户端可以访问Internet，前台等客户端不能访问Internet。

客房网：无需认证即可访问Internet，通过DHCP分配IP地址。

防ARP欺骗及攻击由于无法限制客人的电脑，客房网中经常会出现ARP攻击，导致大部分客人无法正常上网。

需要在接入交换机做隔离，并且在路由器中启用防ARP欺骗。

上网行为监控依据《互联网安全保护技术措施规定》公安部第82号令，公安部要求所有提供上网服务的酒店都必须提供必要的互联网安全保护措施，必须安装相应的安全管理软件。

目前酒店普遍采用为每个房间划分一个VLAN，通过对应的VLAN ID 来识别房间号，完成用户上网行为的记录、跟踪、分析，实现各种条件下的查询功能。

1.2 设计概述为酒店的各种服务的开展和设备管理提供一个安全、稳定、快速的信息交换平台，网络系统需要具备强大的交换能力和可靠的安全性措施。

客房部分需要为客人提供高速的、可选性高的网络服务，对网速有较高的要求，需要具备完善的管理功能，规划为：有线和无线结合的方式，在所有区域建设无线网络覆盖，提供可管理的无线上网业务，建设千兆到桌面的有线网络。

网络确保每个信息点都能接入。

网络核心设备要求高处理能力，网络结构设计简洁，方便管理。

办公楼层的网络系统应该和酒店部分独立考虑，本次网络系统设计不包含办公楼层部分。

2 系统设计2.1 方案特色功能方便的流量监管功能一：对用户行为的监管支持流量镜像功能，用户上网行为可监控与分析大量VLAN对应房间号，便于监控与追溯功能二：对用户流量的监管可即时监控IP 、MAC 对应的流量，在流量异常的情况下能很方便的查出异常的来源，方便故障检测及网络维护。

VLAN 隔离功能酒店解决方案的VLAN 功能使组网方面更加灵活，同时支持三层VLAN 隔离可以保证酒店网络控制更方便。

酒店解决方案采用每个房间对应一个VLAN 的方式，保证每个客房的网络的相对独立，互不干扰，保证客人上网的信息安全。

强推门户功能客人上网的同时自动先打开酒店的门户网站。

智能QOS酒店解决方案支持多种策略的服务质量保证功能，可以针对IP 地址、端口、流量类型进行带宽保证。

例如：优先高档客房电脑的上网速度，为他分配专用带宽，保证关键客户业务。

优先保证酒店OA 和EMAL 业务带宽，让酒店正常业务不受干扰。

将BT 等下载业务设为最低优先级，不干扰酒店正常业务。

酒店解决方案特有的智能QoS ，继承了传统QoS 的优点，进一步实现了空闲带宽的合理利用。

当某IP 有流量时，和传统QoS 处理方式相同；当此IP 没有流量时，其他IP 可以自由使用分给它的带宽。

100k100kPC 业务闲时酒店业务忙时2.2 酒店网络安全设计防火墙快速设置防火墙酒店解决方案包括智能防火墙功能，管理员可以根据入站和出站通信 策略设定多种策略的访问控制；支持MAC/IP/时间/流量类型等进行灵活设置。

支持防火墙的安全等级设置，包括高、中、低三个级别，企业可以根据各个级别预先定义快速设置防火墙功能。

基于IDS 防范酒店解决方案支持防常见攻击和防端口扫描功能，能够阻止企业网络遭受外界黑客的恶意攻击。

防止常见DOS 攻击为了防止客房网攻击，通常会使用路由器+防火墙的组网。

防ARP 欺骗ARP 欺骗一：PC 机假冒网关通过定时发送免费ARP ，更新网络主机上被攻击篡改了的网关MAC 地址，保证主机与网关之间的通信。

从而防止PC 机IP 与MAC 的欺骗。

防止恶意JAVA 网站2.3 配置及管理有线无线一体化配置管理IP-MAC 冒Java 阻挡这些都是访问过带有恶目前基本所有的星级酒店网络都是有线无线一体化的网络，这套系统能够把整个网络包括有线无线在同一个网络管理软件下进行配置管理。

分级用户管理根据操作设备的用户权限不一样，分配不同的用户名、密码基于IP和时间段的访问控制酒店对员工上网的控制要求有：一、按部门：不同的部门访问网络的权限不一样，销售部业务要求一定要访问网络，财务部门为了信息安全一定不能访问公网。

二、按业务：某些部门的人只需要收发邮件，某些部门的人只需要进行www 访问。

三、按时间：周一到周五上班时间不能上网，其它时间可以上网。

基于MAC地址的访问控制1、局域网内是DHCP动态分配IP地址，每次PC获得的IP不相同，所以无法根据IP地址来进行限制。

2、即便静态设置IP，PC机也可私自更改本机IP地址来上网。

3、由于MAC地址是固化的，无法更改，所以可以通过MAC地址对访问进行控制。

通过VLAN划分的访问控制酒店不同部门、不同层级对网络的访问的有不同的要求，我们能够通过划分不同的VLAN控制访问权限来满足不同的要求。

控制通信控制：防止QQ、MSN98%的中国企业中都有员工至少在使用一种形式的聊天工具(CCID Research)办公室聊天，严重影响正常工作78%的即时消息用户曾因为QQ/MSN而中病毒，并且有泄漏公司机密的问题存在QQ/MSN中的链接很可能带木马，病毒等限制P2P软件ICG支持深度应用识别（DAR）功能，目前能够识别BT、eDonkey、 eMule等多种网络上常见的应用业务流，而且识别能力还在持续不断的增强；上下行速率控制速率限制能给客户带来的好处： 1、按部门类别划分带宽：按照IP 地址段来规划部门，按照对网络的需要程度来分配带宽。

比如192.168.1.30-192.168.40是IT 部门，则可以针对这个网段分配上行200K ，下行1M 的带宽。

2、防止带宽滥用造成掉线：如果局域网内有人用下载工具或者在线看电影，会导致带宽被少数人占用完，其他人无法上网。

可以对每个PC 机的最高速率进行限制。

酒店解决方案特点和优势高可靠：设备冗余、双主控、双电源、链路冗余、NSF/GR …… 高安全：房间vlan 隔离、交换机端口隔离、防ARP 欺骗……800KDepartment #1t #1Department #2t #2Department #3t #3Boss OfficeficeServer FarmInternet高速：全千兆到桌面、线速交换高扩展性：模块化结构、设备容量平滑扩展、无线网络平滑扩展 网络可控：端口限速、非法软件限制 高性价比：性能、价格、稳定性均衡 统一管理：一网多用、统一管理链路诊断：准确查明线缆/光缆损坏地点，节省维修费用2.4 酒店网络部署解决方案酒店网络逻辑关系大堂、客房网、办公之间逻辑隔离，分别对不同区域业务进行授权，如大堂不能上网。

客房不能访问酒店内部办公网络，酒店内部办公网络可以通过VPN 和其他分支酒店协同办公。

写字楼区也可以通过VPN 连接公司内部网络。

酒店常用方案建议配置行限速。

客房网内部办公写字楼区广域网酒店网分支Y分支X为公众用户提供服务的对外务及管理系Interne Internet 酒店内酒店门户网站广域网VPN 业务广域网PN 业务大堂内部数据外部数据组网方案在接入层交换机上划分VLAN，将酒店办公网与客房网隔离，控制酒店管理系统及Internet访问权限。

酒店办公网分配静态IP。

在核心层交换机上启用端口镜像，将所有出口数据镜像到监控服务器，满足公安监控需求。

核心支持802.1Q VLAN，做VLAN终结，并且开启防ARP欺骗。

酒店公共区及会议室区提供无线瘦AP，支持无线接入方式。

且瘦AP产品特性为酒店提供可控、可靠、安全的网络。

无线部署传统酒店的日常运作业务都可以通过网络传输数据来实时实现，如房间预订、开房结算、消费挂帐等，带来的是明显效率的提高；并且在房间里接通了有线网络，客人直接访问内部局域网服务器及Internet，给酒店带来的是综合竞争力的提高。

有线带来的好处显而易见，但其带“尾巴”的先天局限也是无法克服的。

有线接入位置固定，通常应用于无需移动的固定终端接入网络，并提供增值业务；但酒店实际运营中大部分业务无法固定在同一个地点实施，如服务员清理房间调度，服务员工作时会在各个楼层不同房间中移动，传统的方式通过各楼层值班人员人工呼叫或者对讲机呼叫，人工呼叫效率低下，而对讲机呼叫在楼层之间传输距离有限，应用WLAN网络构建WiFi Phone体系是最合适选择。

WLAN解决方案传统酒店中：查房、服务调度通过座机或对讲机、运营商无线电话实现；服务员工作时需要离开座机，而对讲机在室内穿越障碍物传输能力有限，带来效率低下、成本过高；餐厅、茶座点餐通常是手工录入，高峰期无法充分利用时间、效率低下；只有客户房间里提供有线接入网络，宾馆内部茶座、大厅无法访问网络；有线网络的建设往往要在房间中打孔穿洞，施工复杂而漫长，耽误酒店的正常运营；WLAN构建网络具有其先天优势，所有客户端可以随时随地接入到网络，不受端口位置和线缆长度所限制，目前能够作为终端设备与AP通信的设备包括PC 电脑、PDA终端、WiFi语音电话；构建酒店宾馆无线局域网，可以实现：内部运营IP电话，WiFi Phone to WiFi Phone、WiFi Phone to IP Phone，实现楼内业务调度语音化，整栋大楼里漫游切换实现；餐厅、茶座PDA终端实现点餐电子化，一次认证多次接入；大厅、茶座等公共场合提供给客户无线接入服务，访问Internet；如果涉及到运营时有用户认证的需求，还可提供专用GUEST用户，具备基本的访问权限；和平国际大酒店WLAN介绍酒店的WLAN网络，基于规模的大小和客户对于运营增值业务的要求，可以有两套完整的解决方案：FAT AP和FIT AP解决方案。

在南昌和平国际大酒店中采用FIT AP解决方案传统的FAT AP解决方案，采用AP接入有线交换机，所有AP可视作等同于以太网交换机的设备一样管理，这样的网络特点是管理简单、方便，小规模网络成本较低，比价适合中小型的宾馆构建WLAN网络。

一般具备以下特性：全面支持802.11i安全机制、802.11e QoS机制、802.11f切换机制大范围覆盖：高接收灵敏度，达到-97dBm（普通AP-95dBm），保证更远覆盖多VLAN支持：虚拟AP方式支持多VLAN，最多支持8个虚拟SSID的VLAN 划分，每个VLAN用户可以独立认证兼作网桥使用：WDS模式支持PTP、PTMP工作模式；支持连接速率锁定、传输报文整合，提高传输效率负载均衡：支持基于用户数的负载均衡、基于流量的负载均衡多种认证和计费方式：可以对上行和下行业务流作计费；支持预付费业务，在用户余额不足时主动切断网络连接；对于每个SSID能够配置是否需要计费，能够只进行认证，而不计费适应室外恶劣应用环境：支持室外机箱，并内置防雷防雨防冻套件，充分考虑到室外安装工程需求FIT AP方案是在FAT AP基础上发展起来的一种新兴模式，除了AP之外，网络中还引入了Wireless Switch（无线交换机/无线控制器）作为中央集成控制设备实现对整网AP的管理控制，除了传统WLAN网络能够实现的无线接入基本功能之外，能够提供基于三层的漫游切换、基于用户名的权限区分，并可对无线射频环境进行监控，防止未授权的非法AP和客户端接入网络。