1
2
3 典型配置
表1典型配置
4 组网方案
4.1 组网方案
前台办公
客房
S5024E
ER5100
S1526
酒店管理系统
S1526
监控服务器
隔离
酒店客房区酒店办公区客房
S1526
VLAN 1101VLAN 1102
VLAN 1201VLAN 1202
VLAN 100VLAN 100
Trunk
Trunk
Trunk
图1增强型典型组网方案
4.2 组网说明
1）在S5000E划分VLAN，将酒店内网与外网隔离，控制酒店管理系统及Internet访问权限。

酒店内网分配静态IP。

2）在S5000E启用端口镜像，将所有出口数据镜像到监控服务器，满足公安监控需求。

3）E R5100支持802.1Q VLAN，做VLAN终结，并且开启防ARP欺骗。

4）S5000E开启防ARP欺骗，阻止内网ARP攻击。

4.3 方案特点
在基本型的基础上，替换为ER5100路由器及S5000E核心交换机，提升整网带机量。

具备H3C独有的酒店布线排查系统，方便工程人员为每个房间分配VLAN。

该方案可满足200客房以下的酒店需求。

➢内外网隔离
酒店网络按照功能划分为内网和外网：
内网为酒店办公网络，酒店管理系统等办公系统运行在内网。

外网为酒店客人提供对外的网络接口，覆盖酒店客房、商务中心、大堂、会议室等区域，其中客房采用有线组网为主，公共区域多采用无线组网。

内网、外网之间隔离。

➢Internet访问权限控制
内网：静态分配IP地址，只有指定客户端可以访问Internet，前台等客户端不能访问Internet。

外网：无需认证即可访问Internet，通过DHCP分配IP地址。

➢防ARP欺骗
由于无法限制客人的电脑，外网中经常会出现ARP攻击，导致大部分客人无法正常上网。

需要在接入交换机做隔离，并且在路由器中启用防ARP欺骗。

➢上网行为监控（满足公安部82号令要求）
依据《互联网安全保护技术措施规定》公安部第82号令，公安部要求所有提供上网服务的酒店都必须提供必要的互联网安全保护措施，必须安装相应的安全管理软件。

目前酒店普遍采用为每个房间划分一个VLAN，通过对应的VLAN ID来识别房间号，完成用户上网行为的记录、跟踪、分析，实现各种条件下的查询功能。

4.4 酒店布线排查系统介绍
1、确保所有房间的网线连接到交换机
2、在客房中，例如客房201，将笔记本的网卡接到酒店的上网端口，并且运行酒店布线自动排查软件，输入房间号201，确定，此时，交换机上会将对应的端口加入到VLAN 201，并且会显示该房间接入到了哪台交换机的哪个端口，其它房间如法炮制。