网络设计方案---张瑞光

1、金狮皇冠酒店网络设金狮皇冠酒店网络设计方案计方案 壹项目背景及需求一、项目背景.6二、项目需求.7贰设计原则一、需求分析.8二、设计原则.9叁方案设计规划一、网络拓扑图.11二、IP地址规划.12三、VLAN规划.13四、命名规则.14目录肆设备报价.15伍设备选型.16陆路由规划一、协议的选择.24二、ACL访问列表规划.29三、网络出口NAT规划.30柒综合布线.31目录捌售后服务条款一、维护. .39二、售后服务.40三、技术培训.40附工程进度一、工程进度表.36二、工程测试.37三、工程验收.38目录一、项目背景一、项目背景 赤峰金狮皇冠酒店是集餐饮、住宿为一体的大型综合酒店， 酒店

2、主楼高11层，客房总数101间（套）占地面积2000平米，建筑面积8456平米，绿化面积120平方米。位于钢铁街西段，对面是松州园小区，邻近红城新世界，南山生态园、长青公园，地处繁华黄金地带，交通便利。 在管理水平和房间设施趋于相近的情况下，无法提供高速互联网接入服务的酒店，对于客户来说，无疑是一场商业灾难，提供高质量的互联网接入服务是酒店吸引更多商务客人入住的有效手段。 二、项目需求二、项目需求 为了提高星级酒店的信息化服务水平，酒店计划入住的客人可以轻松自如地实现宽带上网、公共区域wi-fi覆盖、视频会议、虚拟专用网络（VPN）等功能。 1、分布于3楼-11楼的101间客房必须高速、安全、

3、稳定的接入网络，公共区域wi-fi覆盖。 2、2楼办公网络内各部门员工的终端能够实现互通。所有公司员工均可远程办公。 3、酒店财务部门很重要，不允许其他部门员工访问到，希望有一定的安全措施。 4、网络设备要求高速运行、安全稳定，办公网络以后可以扩展。 5、酒店财务系统、管理系统稳定，财务部门能高速、安全连接网上银行，及时响应客户入住登记、离店结账等。及时准确将住客信息传输至公安部门的相关系统。一、需求分析一、需求分析 根据需求描述，可分析出，将整个酒店分成三个网络，即酒店客房网、酒店办公网（含财务部门）、酒店管理网。 需要使用交换机连接所有客户端。 需要在交换机上划分VLAN，VLAN之间需要

4、配置单臂路由实现互通。 需要划分子网来增加不同部门的安全性。 需要在财务部门做ACL访问控制列表，限制其它部门访问增加其安全性。 网络出口路由器连接外网需做NAT网络地址转换，公共区域wi-fi覆盖。 网络出口路由器具备日志功能，便于配合公安机关进行反向查询和定位安全事件。二、设计原则二、设计原则 设计主要考虑到先进性、可靠性、开放性、经济性、安全性和可管理性。设计要立足于先进技术，是整个网络在国内保持领先的水平，并具有长足的发展能力，以适应未来网络技术的发展。所以，网络系统的可靠性就尤为重要。在网络设计中遵循以下技术原则： 1、标准化 系统采用的信息分类编码、网络通信协议和数据接口等技术标准

5、，将严格按照国家有关标准或行业标准规范。 2、实用性 满足酒店网络需求业务为需要，充分利用现有资源，避免不计成本盲目追求最新技术。利用适合酒店使用的网络设备，采用必要的、陷阱的网络安全手段与管理技术，以节省投资。 3、安全性和保密性 系统网络充分考虑网络的故障容错纠错功能，建立安全保障体系，采用先进的软硬件等技术手段，实现网络的传输安全、数据安全接口。确保网络的安全性、保密性。 4、开放性和扩展性 技术上要立足长远发展，坚持选用开放性系统。 5、可维护性 网络接入部分具有较高的模块化程度，满足不同业务流程的需要，易于维护和升级。 6、易操作 即插即用的接口设备，使操作简单只管、灵活、易于学习和

6、掌握。三.一网络拓扑图二、二、IP地址规划地址规划地址类型地址类型地址范围地址范围客房网27/25(1.0与1.127不能用)办公网2840/25(1.128不能用)管理网4155/25(1.255不能用)公网IP地址5556/24三、三、VLAN规划规划部门部门所属所属VLAN是否全网互通是否全网互通客房网默认VLAN 1只许客房部访问前厅部（管理网）VLAN 10只许行政部访问客房部（客房网）VLAN 20全网互

7、通餐饮部（办公网）VLAN 30全网互通保安部（办公网）VLAN 40全网互通销售部（办公网）VLAN 50全网互通人事部（办公网）VLAN 60全网互通财务部（办公网）VLAN 70 只许行政部访问行政部（办公网）VLAN 80全网互通后勤部（办公网）VLAN 90全网互通工程部（办公网）VLAN 100全网互通采购部（办公网）VLAN 110全网互通四、命名规则四、命名规则序序号号单位名称单位名称所在位置所在位置接入层设备型号接入层设备型号设备名称设备名称是否新是否新购购1客房网10楼H3C S5110-42P-SIKF-S5110-01新购设备2客房网7楼H3C S5110-42P-SI

8、KF-S5110-02新购设备3客房网4楼H3C S5110-28P-SIKF-S5110-03新购设备4办公网2楼H3C S5110-42P-SIBG-S5110-01新购设备5管理网地下室一楼H3C S5110-28P-SIGL-S5110-01新购设备序序号号单位名称单位名称所在位置所在位置汇聚层设备型号汇聚层设备型号设备名称设备名称是否新是否新购购1客房网地下室一楼华为 S5700-52P-LIKF-S5700-00新购设备2办公网地下室一楼华为 S5700-52P-LIBG-S5700-00新购设备3管理网地下室一楼华为 S5700-52P-LIGL-S5700-00新购设备命名规划

9、；命名规划；kfkf代表单位名称、代表单位名称、xxxxxx代表设备型号、代表设备型号、0101代表序列号代表序列号设备报价设备报价设备设备数量数量设备价钱设备价钱H3C S5110-52P-SI315900H3CS5110-28P-SI26400华为S5700S-52P-LI313700华为USG5530195000华为NE40-2191100华为NE40E-X161350000华为AC6005-8110000华为AP3013DN-AGN2436000水晶头水晶头网线网线光光纤纤大工大工小工小工总价总价6盒网线水晶头4盒光纤水晶头共计30箱300米5人施工一个月5人施工一个月盒/35300/

10、箱2/米220/天150/天350100060066004500约64万元一、设备选型一、设备选型H3C S5110-52P-SI产品类型产品类型千兆以太网交换机千兆以太网交换机应用层级应用层级二层二层端口数52个端口结构非模块化端口类型48个10/100/1000Base-T以太网端口，4个1000Base-X以太网端口包转发率78Mpps背板带宽256Gbps传输速率10/100/1000MbpsVLAN功能支持基于端口的VLAN 支持基于MAC的VLAN 支持GVRP 支持GUEST VLAN组播管理支持IGMP Snooping、支持快速离开 支持MLD Snooping 支持组播VL

11、AN网管功能支持Console/AUX Modem/Telnet/SSH2.0命令行配置 支持FTP、TFTP、Xmodem、SFTP文件上下载管理 支持SNMP V1/V2c/V3 支持RMON 支持NTP时钟 支持系统工作日志 支持集群管理 支持H3C iMC智能管理中心Qos支持支持Diff-Serv QoS 每个端口支持8个输出队列 支持802.1p/DSCP优先级映射 支持队列调度机制 支持优先级标记Mark/Remark 支持基于流的包过滤 支持基于流的重定向 支持基于流的限速 H3C S5110-28P-SI产品类型产品类型千兆以太网交换机千兆以太网交换机应用层级应用层级二层二层

12、端口数28个端口结构非模块化端口类型24个10/100/1000Base-T以太网端口，4个1000Base-X以太网端口包转发率42Mpps背板带宽256Gbps传输速率10/100/1000MbpsVLAN功能支持基于端口的VLAN 支持基于MAC的VLAN 支持GVRP 支持GUEST VLAN组播管理支持IGMP Snooping、支持快速离开 支持MLD Snooping 支持组播VLAN网管功能支持Console/AUX Modem/Telnet/SSH2.0命令行配置 支持FTP、TFTP、Xmodem、SFTP文件上下载管理 支持SNMP V1/V2c/V3 支持RMON 支持

13、NTP时钟 支持系统工作日志 支持集群管理 支持H3C iMC智能管理中心Qos支持支持Diff-Serv QoS 每个端口支持8个输出队列 支持802.1p/DSCP优先级映射 支持队列调度机制 支持优先级标记Mark/Remark 支持基于流的包过滤 支持基于流的重定向 支持基于流的限速华为华为 S5700S-52P-LI S5700S-52P-LI产品类型产品类型千兆以太网交换机千兆以太网交换机应用层级应用层级三层三层网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3x，IEEE 802.1Q，IEEE 802.1

14、d，IEEE 802.1X端口数52个端口类型48个10/100/1000Base-T接口，4个1000Base-X SFP接口包转发率78Mpps背板带宽256Gbps传输速率10/100/1000MbpsVLAN功能支持4K个VLAN 支持Guest VLAN、Voice VLAN 支持GVRP协议 支持MUX VLAN功能 支持基于MAC/协议/IP子网/策略/端口的VLAN 支持1:1和N:1 VLAN Mapping功能组播管理支持IGMP v1/v2/v3 Snooping和快速离开机制 支持VLAN内组播转发和组播多VLAN复制 支持捆绑端口的组播负载分担 支持可控组播 支持基于

15、端口的组播流量统计网管功能支持MFF 支持虚拟电缆检测（Virtual Cable Test） 支持SNMPv1/v2/v3 支持RMON 支持eSight网管系统、支持WEB网管特性 支持自动配置 支持HTTPS 支持系统日志、分级告警 支持EEE 802.3az能效以太网（Energy Efficient Ethernet） 支持sFlow功能Qos支持支持对端口接收和发送报文的速率进行限制 支持报文重定向 支持基于端口的流量监管，支持双速三色CAR功能 每端口支持8个队列 支持WRR、DRR、SP、WRRSP、DRR+SP队列调度算法 支持报文的802.1p和DSCP优先级重新标记 支持

16、L2（Layer 2）-L4（Layer 4）包过滤功能，提供基于源MAC 地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN 的非法帧过滤功能 支持基于队列限速和流量整形的功能华为华为 NE40-2设备类型设备类型通用交换路由器通用交换路由器适用范围适用范围中型企业中型企业VPN支持是内置防火墙是局域网接口类型OC-48c/STM-16c POS，GE OC-12c/STM-4c POS，FE OC-3/STM-1 POS，E3/cE3 OC-48/STM-16 cPOS通道化到155M，T3/cT3 OC-3/STM-1 cPOS通道化到E1/T1/64K，E1/cE1

17、OC-48c/STM-16c RPR，灵活插卡 OC-12c/STM-4c ATM OC-3/STM-1 ATM控制端口模块化产品亮点交换容量：16Gbps 转发性能：12Mpps 专用业务板：NAT/NATPT/Netstream/GRE/L2TP支持扩展模块数2其它参数VPN支持 Qos支持电源电压(V)DC：-42-60V AC（220V）：100V-240V电源功率(W)满负荷小于300认证CE、UL/cUL、FCC-PART15、VCCI华为华为 USG5530产品类型产品类型病毒防火墙病毒防火墙并发连并发连接数范接数范围围1 1万万-5-5万万并发连接数最大15000条控制端口4*

18、GE电+4*GE Combo，10*GE/GE电/GE光/BYPASS保护卡安全标准电磁兼容性（EMC），CB，Rohs，FCC，MET，C-tick，VCCI包转发率78Mpps背板带宽256Gbps传输速率10/100/1000Mbps产品亮点基于Symantec多年积累的反病毒技术，采用文件级内容扫描的AV引擎，结合全球领先的仿真环境虚拟执行技术，提供高达99%的精准检出率，采用Symantec领先的漏洞防护技术，针对漏洞（而非攻击代码）提供“虚拟补丁”， 让各种攻击变形无所遁形，全球部署的蜜网系统和300+人的专业安全分析团队，持续追踪最新、最热门、最高危的系统漏洞和软件漏洞，以最快速

19、的应对方案实现零日攻击防护，150名应用识别专家，1300+可识别应用分类，一目了然企业带宽应用，7000万海量网站，130+内容分类，屏蔽挂马钓鱼等恶意网站，防范员工不当操作危害内网安全；隔离赌博色情等不良网站，营造绿色上网环境产品特点关键部件冗余配置，成熟的链路转换机制，支持光电两类内置Bypass插卡，提供超长无故障硬件保障，商用10年+的超稳定软件平台，全球在线设备超过10万台，打造永续的办公环境，56千兆+14万兆的高密度接口，为提前跨入万兆时代的您提供不同组网情况下的安全防护，方便细化安全区域，32G防火墙吞吐，15K并发VPN隧道，大容量NAT转换能力，轻松实现海量业务处理华为华

20、为 NE40E-X16设备类型设备类型全业务路由器全业务路由器VPN支持支持是是支持扩展模块数22个控制端口模块化产品亮点安全性：支持ACL报文过滤，支持URPF，支持GTSM，支持DHCP Snooping，支持防ARP攻击、防DOS/DDOS攻击，支持MAC地址限制、MAC与IP绑定；支持SSH、SSH v2，支持NetStream电源功率(W最大5360W其它参数VPN支持 Qos支持长度(mm)650重量(Kg）满配238kg高度(mm)1420工作温度()0-45工作湿度5%-85%RH存储温度()-5-55存储湿度0%-100%AC6005-8设备类型设备类型无线无线APAP控制器

21、控制器产品功率产品功率320mm320mm233.6mm233.6mm43.6mm43.6mm端口类型业务接口：8个电口，其中最后2个电口与光口组成combo,维护接口：1个RJ-45维护串口，1个USB口传输协议IEEE 802.11a, 802.11b, 802.11g, 802.11d, WMM/802.11e, 802.11h, 802.11n, 802.11ac产品亮点安全性：支持ACL报文过滤，支持URPF，支持GTSM，支持DHCP Snooping，支持防ARP攻击、防DOS/DDOS攻击，支持MAC地址限制、MAC与IP绑定；支持SSH、SSH v2，支持NetStream功

22、能描述适用于小型企业及分支。灵活的组网方式和转发模式。兼容802.11a/b/g/n协议。丰富灵活的用户策略管理及权限控制能力。安全可靠的N+1备份。无线用户集中认证。4Gbit/s的转发能力，提供业界同规格产品最大转发能力。WLAN网络可视化，实时高效的管理监控，优化网络性能。频率范围可管理AP的数量:最多可管理128个APAP License步长（每个License控制的AP数量的基数）:支持1、8两种步长规格其它适合在桌面、标准IEC机柜（19英寸）里安装,内置Web网管，可以提供本地的图形化管理,网管eSight具有丰富的北向接口，符合企业用户使用习惯,支持板内温度探测器，实时监控AC

23、运行环境华为华为AP 3010 DN-AGN-CN产品类型产品类型无线接入点无线接入点网络标准网络标准IEEE 802.11nIEEE 802.11n，IEEE 802.11gIEEE 802.11g，IEEE 802.11bIEEE 802.11b，IEEE 802.11.aIEEE 802.11.a最高传输速率300Mbps 频率范围双频（2.4GHz，5GHz）网络接口1个1000Mbps LAN口 其它接口1个Console口天线类型内置天线天线增益5GHz：2.5dBi2.4GHz：2dBi其它特点支持整机最大用户数达到64个其它性能防水等级：IP31电源电压DC 12V10%电源功

24、率9.5W产品尺寸18018050mm产品重量400g一、路由协议选择一、路由协议选择OSPFOSPF协议主要优点：协议主要优点： 1、OSPF是真正的LOOP- FREE（无路由自环）路由协议。源自其算法本身的优点。（链路状态及最短路径树算法） 2、OSPF收敛速度快：能够在最短的时间内将路由变化传递到整个自治系统。 3、提出区域（area）划分的概念，将自治系统划分为不同区域后，通过区域之间的对路由信息的摘要，大大减少了需传递的路由信息数量。也使得路由信息不会随网络规模的扩大而急剧膨胀。 4、将协议自身的开销控制到最小。见下： 1）用于发现和维护邻居关系的是定期发送的是不含路由信息的hel

25、lo报文，非常短小。包含路由信息的报文时是触发更新的机制。（有路由变化时才会发送）。但为了增强协议的健壮性，每1800秒全部重发一次。 3）在各类可以多址访问的网络中（广播，NBMA），通过选举DR，使同网段的路由器之间的路由交换（同步）次数由 O（N*N）次减少为 O （N）次。 4）提出STUB区域的概念，使得STUB区域内不再传播引入的ASE路由。 5）在ABR（区域边界路由器）上支持路由聚合，进一步减少区域间的路由信息传递。 6）在点到点接口类型中，通过配置按需播号属性（OSPF over On Demand Circuits），使得ospf不再定时发送hello报文及定期更新路由信息

26、。只在网络拓扑真正变化时才发送更新信息。 5、通过严格划分路由的级别（共分四极），提供更可信的路由选择。 6、良好的安全性，ospf支持基于接口的明文及md5 验证。 7、OSPF适应各种规模的网络，最多可达数千台。OSPFOSPF的缺点：的缺点： 1、配置相对复杂。由于网络区域划分和网络属性的复杂性，需要网络分析员有较高的网络知识水平才能配置和管理OSPF网络。 2、路由负载均衡能力较弱。OSPF虽然能根据接口的速率、连接可靠性等信息，自动生成接口路由优先级，但通往同一目的的不同优先级路由，OSPF只选择优先级较高的转发，不同优先级的路由，不能实现负载分担。只有相同优先级的，才能达到负载均衡

27、的目的，不象EIGRP那样可以根据优先级不同，自动匹配流量。OSPFOSPF与与RIPRIP比较比较 rip协议是距离矢量路由选择协议，它选择路由的度量标准（metric)是跳数，最大跳数是15跳，如果大于15跳，它就会丢弃数据包。 ospf协议是链路状态路由选择协议，它选择路由的度量标准是带宽，延迟。 RIPRIP的局限性在大型网络中使用所产生的问题的局限性在大型网络中使用所产生的问题: : RIP的15跳限制，超过15跳的路由被认为不可达。 RIP不能支持可变长子网掩码(VLSM)，导致IP地址分配的低效率。 周期性广播整个路由表，在低速链路及广域网云中应用将产生很大问题。 收敛速度慢于O

28、SPF，在大型网络中收敛时间需要几分钟。 RIP没有网络延迟和链路开销的概念，路由选路基于跳数。拥有较少跳数的路由总是被选为最佳路由即使较长的路径有低的延迟和开销。 RIP没有区域的概念，不能在任意比特位进行路由汇总。 一些增强的功能被引入RIP的新版本RIPv2中，RIPv2支持VLSM，认证以及组播更新。但RIPv2的跳数限制以及慢收敛使它仍然不适用于大型网络。相比相比RIPRIP而言，而言，OSPFOSPF更适合用于大型网络更适合用于大型网络: : 没有跳数的限制 支持可变长子网掩码(VLSM) 使用组播发送链路状态更新，在链路状态变化时使用触发更新，提高了带宽的利用率 收敛速度快 具有

29、认证功能EIGRPEIGRP属于思科私有，所以不用考虑。属于思科私有，所以不用考虑。二、二、ACL访问列表规划访问列表规划 在路由器上做ACL访问控制列表，财务部门和酒店管理系统都是很重要的部门，所以访问列表只需要行政部门可以访问，拒绝其他部门访问，从而保证提高管理、财务部门的安全性。 客房网也需要做ACL，只允许客房部门访问，拒绝其他部门访问，减少住店客户信息被泄露的几率。网络出口网络出口NAT规划规划 NAT称为网络地址转换，用于实现私有网络和公有网络之间的互访。网络出口路由器需要部署PAT特性，完成酒店内私网地址到Internet公网地址的转换，实现酒店与WAN/Internet的互访。

30、网络地址转换如下图：公网地址公网地址私网地址私网地址转换后地址转换后地址55/2456/2427/25552855/2556综合布线综合布线1 1、工作区子系统、工作区子系统 工作区子系统是服务区子系统，它是由信息模块插座和所连接的设备（终端或工作站）组成。我们在设计工作区子系统中充分考虑了以下几点： （1）从信息模块插座到设备的连线采用系统商提供的专用跳线，以保证端接性能； （2）信息模块插座安装在墙壁下方，插

31、座区距离地面30CM； （3）在信息点离墙面较远的地方，采用地槽方式接入，方便用户连接； （4）每个插座根据用户需要包含数据点和语音点； （5）模块和插座的接线按照国际通用标准。2 2 、水平配线子系统、水平配线子系统 水平子系统是整个布线系统重要的组成部分，它是指从工作区模块插座到管理子系统分配线架的连接，其结构一般为星型。它与干线子系统的区别在于：水平子系统总是在同一楼层上，并与信息插座相连，在整个综合布线系统中，水平子系统通常由4对UTP无屏蔽双绞线组成，能支持大多数通讯设备。 （1）水平子系统采用4对UTP超五类或六类无屏蔽双绞线作为传输介质，其水平长度一般不要超过90米； （2）所有

32、电缆走线均采用金属桥架或PVC线槽敷设； （3）明确各信息点的分布位置； （4）充分考虑端接容差、备用线缆及工程损耗，在此基础上估算电缆的总量，并留有余量。3 3 、垂直干线子系统、垂直干线子系统 干线子系统是整个综合布线系统的重要组成部分，它提供建筑物的干线电缆，负责端接管理子系统和设备间子系统。一般采用五类大对数电缆或光缆。 设计干线子系统首先要根据建筑物的结构特点，并遵循路由最短、造价最低、施工方便、布线规范等几个方面考虑，我们在设计中充分考虑了以下几点：（1）明确每层楼的干线要求及整个楼的干线要求；（2）明确从楼层到设备间的干线路由；（3）确定干线的总量；（4）确定干线到设备间的接线方

33、式。4 4 、管理子系统、管理子系统 管理子系统完成干线子系统与水平子系统的端接，位于需要的楼层，其主要设备是配线架和HUB等。在配线架上通过交连和互连可以将通信线路定位或重定位在建筑物的不同地方，从而能更容易的管理通信线路，工作区的信息插座位于各房间，这样，在移动终端设备时，只需进行简单的跳线，即可改变配线，使用户能够在各工作区之间进行任意的插拔。 我们在设计管理子系统时充分考虑了以下几点： （1）配线架的配线对数由可管理的信息点数决定； （2）利用配线架的跳线功能，可使布线系统灵活、功能多样化； （3）管理子系统应有足够的空间放置配线架和网络设备； （4）保持一定的温度和湿度。5 5 、设备间子系统、设备间子系统 设备间子系统有电缆、配线架、光纤接入盒LIU及相关的网络设备组成，在设备间完成了公共系统设备与配线系统的端接。我们在设计设备间子系统充分考虑了以下几点：（1）设备间要有足够的空间，以保障设备间的设备存放；（2）设备间要有良好的