酒店方案技术建议书

1、H3C酒店解决方案技术建议书2007-09-03H3C机密，未经许可不得扩散第32页，共25页Catalog 目 录1 网络建设需求51.1 酒店客房网和办公网隔离 51.2 In ter net访问权限控制 51.3 防ARP欺骗及攻击 51.4 上网行为监控 51.5 强推门户61.6 VPN 62 ICT酒店解决方案特色功能 62.1 方便的流量监管 62.2 VLAN隔离功能72.3 强推门户功能 72.4 智能 QOS 83 通用功能83.1 防火墙83.1.1 快速设置防火墙 83.1.2 基于IDS防范93.1.3 防止常见DOS攻击93.1.4 防 ARP 欺骗103.1.5

2、防止恶意JAVA网站 113.2 配置及管理123.2.1 web 配置123.2.2 分级用户管理 123.2.3 无线操作133.2.4 基于IP和时间段的访问控制 133.2.5 基于MAC地址的访问控制 143.2.6 通过VLAN划分的访问控制 143.3 应用控制153.3.1 通信控制：防止 QQ、MSN 153.3.2 多种类型的访问控制（ MAC过滤/访问控制/网页控制） 163.3.3 限制P2P软件163.3.4 上下行速率控制 174 ICT酒店解决方案特点和优势 175 酒店网络部署解决方案 185.1 酒店网络逻辑关系 185.2 酒店常用方案建议配置 185.3

3、快捷酒店205.3.1 组网方案205.3.2 组网说明20533方案特点215.4 商务酒店215.4.1 组网方案215.4.2 组网说明215.4.3 方案特点225.5 星级酒店225.5.1 组网方案225.5.2 组网说明225.5.3 方案特点235.6 连锁酒店245.6.1 组网方案245.6.2 方案特点246 H3C酒店解决方案分享 25Table List 表目录表i典型配置错误!未定义书签Figure List 图目录图2基本型典型组网方案 21图3增强型典型组网方案 221网络建设需求1.1酒店客房网和办公网隔离酒店网络按照功能划分为客房网和办公网：酒店管理系统等办

4、公系统运行在办公网。客房网为酒店客人提供对外的网络接口，覆盖酒店客房、商务中心、大堂、会议室等区域，其中客房采用有线组网为主，公共区域多采用无线组网。 客房网、办公网之间隔离。1.2 In ternet访问权限控制办公网：静态分配IP地址，只有指定客户端可以访问In ternet，前台等客户 端不能访问In ternet。客房网：无需认证即可访问In ternet，通过DHCP分配IP地址。1.3防ARP欺骗及攻击由于无法限制客人的电脑，客房网中经常会出现ARP攻击，导致大部分客人 无法正常上网。需要在接入交换机做隔离，并且在路由器中启用防ARP欺骗。1.4上网行为监控依据互联网安全保护技术措

5、施规定公安部第82号令，公安部要求所有提供上网服务的酒店都必须提供必要的互联网安全保护措施，必须安装相应的安全管理软件。目前酒店普遍采用为每个房间划分一个 VLAN，通过对应的VLAN ID 来识别房间号，完成用户上网行为的记录、跟踪、分析，实现各种条件下的查询 功能。1.5强推门户能够对使用浏览器访问外部网络的用户强制推送门户界面，支持用户认证功 能（可使能和取消）。当用户PC开机后第一次使用浏览器访问In ternet时，将先 访问酒店门户网站，然后才能正常访问。1.6 VPN连锁酒店之间传输的数据经过公网，由于有些数据要求保密，而使用专线连 接造价太高，因此希望通过VPN互联，传输过程中

6、要求加密，同时保证价格尽量 低。2 ICT酒店解决方案特色功能2.1方便的流量监管功能一：对用户行为的监管监控月艮劳器隘控PC釉店客房网ER5100負上网B上网流至A上阿流章支持流量镜像功能，用户上网行为可监控与分析 大量VLAN对应房间号，便于监控与追溯功能二：对用户流量的监管可即时监控IP、MAC对应的流量，在流量异常的情况下能很方便的查出异常的来源，方便故障检测及网络维护，2.2 VLAN隔离功能ICT酒店解决方案的VLAN功能使企业用户在组网方面更加灵活，同时支持 三层VLAN隔离可以保证酒店网络控制更方便。ICT酒店解决方案采用每个房间 对应一个VLAN的方式，保证每个客房的网络的相

7、对独立，互不干扰，保证客人 上网的信息安全2.3强推门户功能客人上网的同时自动先打开酒店的门户网站，加深客人对酒店的印象，提升酒店品牌。2.4智能QOSpc流量100kpc流量100kPC不受带宽限制，可抢占空闲带宽ICT酒店解决方案支持多种策略的服务质量保证功能，可以针对IP地址、端口、流量类型进行带宽保证。例如：优先高档客房电脑的上网速度，为他分配专用带宽，保证关键客户业务。优先保证酒店OA和EMAL业务带宽，让酒店正常业务不受干扰。将BT等下载业务设为最低优先级，不干扰酒店正常业务。ICT酒店解决方案特有的智能QoS，继承了传统QoS的优点，进一步实现了 空闲带宽的合理利用。当某IP有流

8、量时，和传统QoS处理方式相同；当此IP没有 流量时，其他IP可以自由使用分给它的带宽。3通用功能3.1防火墙3.1.1快速设置防火墙ICT酒店解决方案包括智能防火墙功能，管理员可以根据入站和出站通信策略设定多种策略的访问控制；支持MAC/IP/时间/流量类型等进行灵活设置。支 持防火墙的安全等级设置，包括高、中、低三个级别，企业可以根据各个级别预 先定义快速设置防火墙功能。3.1.2基于IDS防范ICT酒店解决方案支持防常见攻击和防端口扫描功能，能够阻止企业网络遭受外界黑客的恶意攻击。3.1.3防止常见DOS攻击防火墙源地址与目的地址都 设成你的地址，看你如 何招架！Internet黑客造大

9、量的SYN报 文,我是收不到给我 的ACK报文的，哈?为了防止客房网攻击，通常会使用路由器 +防火墙的组网?现在在ICG上内置了防攻击的功能，可以省掉防火墙了安全配置 攻击防范基本设置 f基車设置谙选择希要曲范的攻击类罂；F启动TCP naptha玫击防范P启动SYN饲攻攬范W 启unreachable击防范3.1.4防ARP欺骗ARP欺骗一：PC机假冒网关ICG通过定时发送免费ARP,更新网络主机上被攻击篡改了的网关 MAC地 址，保证主机与网关之间的通信。ARP欺骗二：PC机假冒PC机DHCP服务IP-MAC关系不 去ICG通过授权ARP，只容许静态ARP和DHCP分配的ARP表相中的IP

10、地址通 过，从而防止PC机IP与MAC的欺骗。3.1.5防止恶意JAVA网站www.irca.Tu. netJava阻挡S1片另世力狂沖栉衣if.i硯卉夏直书1).严.1:忡举电护打IhCfciU品isift更改也工 “ 咖!*科片* M USNUI这些都是访问过带有恶意 Java代码网站的后果厂 JaffaEldckiigML輪号（2000-2m）厂 EM |Fr -iHfX在web界面中其中Java Blocking 功能。还可以记录日志，看看那些恶意网站被屏蔽3.2配置及管理3.2.1 web 配置HBCH3C设SLAN 口券戳耳木量务I捋门厂刁连子网掩码都iPtt tfc：|i 11.

11、1子可码：24 255 255 256 0JL帀曲直冋导DHCPJB#*；fftti归启用厂禁止3.2.2分级用户管理根据操作设备的用户权限不一样，分配不同的用户名、密码创審用户用尸名：審码：1-冇5字符）访问等鐵；VisitorT（1 _ 63冷）雪送暉MonitorCortfi?ur&| Sinpla 二|4种用户角色Managemsnt11/ 1./ 1J 1iJ1 3K J脫消密码昼示模式；擾要信是用尸名admin访问等靱Manaaenie nt323无线操作324基于IP和时间段的访问控制 写字楼区的公司对员工上网的控制要求有：一、按部门：不同的部门访问网络的权限不一样， 销售部业务

12、要求一定要访问网 络，财务部门为了信息安全一定不能访问公网。二、 按业务：某些部门的人只需要收发邮件，某些部门的人只需要进行WWW访 问。三、按时间：周一到周五上班时间不能上网，其它时间可以上网。这些要求在ICG产品的web界面中都可以轻松实现!安全配吉A业务腔制型整ILL r按不同时间段按部门IP地址1|0B:0DJ-|16：IiXElWES五r2|mOD7_|24.d6_JHFr_ r五 r rAF起止HT间按业务对应的Jh d|i9inm 1 ?iWw I|19Q.169.1 3DI|13? igfl 1325基于MAC地址的访问控制1、局域网内是DHCP动态分配IP地址，每次PC获得的

13、IP不相同，所以无法根据IP 地址来进行限制。2、即便静态设置IP，PC机也可私自更改本机IP地址来上网。3、由于MAC地址是固化的，无法更改，所以可以通过MAC地址对访问进行控制。当局域网是二层组网的时候， 可以通过路由 器来设置MAC地址过滤。MAC地址 莎源眼倔址|0012-3F1C-CCtF 厂目的MAChfc址|(MACitS : HHHH-HHHH-HHHHo )3.2.6通过VLAN划分的访问控制3.3应用控制3.3.1 通信控制：防止 QQ、MSN98%的中国企业中都有员工至少在使用一种形式的聊天工具(CCID Research)办公室聊天，严重影响正常工作78%的即时消息用户

14、曾因为QQ/MSN而中病毒，并且有泄漏公司机密的问题 存在QQ/MSN中的链接很可能带木马，病毒等Web界面中轻松禁止 QQ/MSN332多种类型的访问控制（MAC过滤/访问控制/网页控制）黄色网站安全配置a业务左制【URL狀在这里禁止掉相应的 网站地址刪昭件并却茁rims(I股票网站F URL|*. 163. oom吓丁股豬 |i 92.1 1.5下载网站3.3.3 限制P2P软件在这里可以导入“黄色网站地址”、“股票网站地址”、“下 载网站地址”等等，可以轻松实现对网站访问的控制ICG支持深度应用识别（DAR）功能，目前能够识别BT、eDonkey、eMule等多种网络上常见的应用业务流，

15、而且识别能力还在持续不断的增强;BT种子服务器BT共享者R20BT下载通话3、BT下载限速64K1、正常办公保证5M2、确保语音无时延分支业务流 语音流BT流334上下行速率控制Department #1Department #2Department #3Boss Office 500KiJ800KServer Farmsj 300KJ 400K即可以对网段进行限速，也 可以对单个IP进行限速。速率限制能给客户带来的好处:1、按部门类别划分带宽:按照IP地址段来规划部门，按照对网络的需要程度来分配带宽。比如0-192.168.40是IT部门, 则可以针对这个网段分配上行

16、200K，下行1M的带宽2、防止带宽滥用造成掉线：如果局域网内有人用下载工具或者在线看电影，会导致带宽被少数人占用完，其他人无法上网。可以对每个PC机的最高速率进行限制。4酒店解决方案特点和优势高可靠：设备冗余、双主控、双电源、链路冗余、NSF/GR高安全：房间vlan隔离、交换机端口隔离、防ARP欺骗 高速：经理办公千兆到桌面、客房百兆接入、线速交换高扩展性：模块化结构、设备容量平滑扩展、无线网络平滑扩展 网络可控：端口限速、非法软件限制高性价比：性能、价格、稳定性均衡统一管理：一网多用、统一管理链路诊断：准确查明线缆/光缆损坏地点，节省维修费用便利WEB管理界面：小型酒店 WEB管理界面，

17、节省维护成本5酒店网络部署解决方案5.1酒店网络逻辑关系大堂酒店内部业务酒店门户网站公众用户网络酒广域网客房网部办公分支Y为公众用户提供 服务的对外业务访问In ternet业务分支X1数据中心酒店办公业务-及管理系统域网VPN业务内部数据：.外部数据 办公业务大堂、客房网、办公、写字楼区域之间逻辑隔离，分别对不同区域业务进行 授权，如大堂不能上网。客房不能访问酒店内部办公网络，酒店内部办公网络可 以通过VPN和其他分支酒店协同办公。写字楼区也可以通过 VPN连接公司内部网络5.2酒店常用方案建议配置方案类型名称设备选型特点强劲型方案核心交换机H3C S5024E全千兆交换机，48Gbps转发

18、性能可以达到所有 端口线速转发，性能强劲可配置标准802.1QVLAN （非端口 VLAN）支持Web管理，管理更容易接入交换机H3C S152619英寸标准机架设备二层百兆接入设备可以提供端口限速功能可配置标准802.1QVLAN （非端口 VLAN ）支持Web管理，管理更容易岀口路由器H3C MSR20-20专业路由器产品可配置802.1Q标准VLAN （非端口 VLAN ）支持IPSec VPN功能提供流量分析业务标准型方案核心交换机H3C S2126二层线速交换能力可配置标准802.1QVLAN （非端口 VLAN ）低功耗静音设计，采用无风扇设计，彻底免除噪 音接入交换机H3C S

19、1024经典二层接入设备提供百兆速率接入岀口路由器H3C ER3100高性价比岀口路由器采用64位网络处理器，主频高达500MHz，同时 配合DDRII高速RAM进行高速转发，可以达到百 兆线速转发支持802.1Q标准VLAN （非端口 VLAN ）支持IPSec VPN功能支持Web管理，管理更容易5.3快捷酒店5.3.1 组网方案客房数在100问以下的小酒店.仅提供客房服务InternetERS100客房前台酒店客馬网踊庄曾理系统图1快捷酒店组网方案5.3.2组网说明1) 在S5000P划分VLAN ,将酒店办公网与客房网隔离，控制酒店管理系统及 In ternet访问权限。酒店办公网分配

20、静态IP。2) 在S1526为每个客房划分一个VLAN，实现互相隔离。例如：客房302的 VLAN 为 302。3) 在S5000P启用端口镜像，将所有出口数据镜像到监控服务器，满足公安 监控需求。4) ER5100支持802.1Q VLAN，做VLAN终结，并且开启防 ARP欺骗。533方案特点在满足中小酒店基本需求的基础上， 增加端口隔离、防ARP欺骗功能，并且 通过对每个客房划分VLAN的方式，实现公安部安全监控的要求，性价比较高。5.4商务酒店5.4.1组网方案洒后客宅用商勢酒店比快丄刖台大斤图2商务酒店组网方案捷酒店冇大厅多了小会议事5.4.2组网说明1) 在S5000P划分VLAN

21、，将酒店办公网与客房网隔离，控制酒店管理系统及 In ternet访问权限。酒店办公网分配静态IP。2) 在S1526为每个客房划分一个VLAN，实现互相隔离。例如：客房302的 VLAN 为 302。3) 在S5000P启用端口镜像，将所有出口数据镜像到监控服务器，满足公安 监控需求。4) MSR20-10W支持802.1Q VLAN，做VLAN终结，并且开启防 ARP欺骗。5) MSR20-10W支持WLAN，可在大厅和会议室进行无线覆盖，无需布线，方便，美观。543方案特点在满足中小酒店基本需求的基础上， 增加端口隔离、防ARP欺骗功能，并且 通过对每个客房划分VLAN的方式，实现公安部

22、安全监控的要求，大厅通过无线 接入，方便快捷，性价比较高。5.5星级酒店5.5.1 组网方案M5R20-20/MSP30-I5152S酒店办公厨I nternet图3星级酒店组网方案1)在S5000E划分VLAN，将酒店办公网与客房网隔离,控制酒店管理系统及5.5.2组网说明In ternet访问权限。酒店办公网分配静态IP。2) 在S5000E启用端口镜像，将所有出口数据镜像到监控服务器，满足公安 监控需求。3) MSR20/30系列支持802.1Q VLAN，做VLAN终结，并且开启防ARP欺骗4) 每个客房放置一个S1505L，提供两个上网端口(按照房间号设置VLAN ID 号)，1个VOD点