上海市皇庭大酒店弱电系统方案书

1、上海市皇庭大酒店弱电系统方案书公司：上海爱谱华顿电子工业有限公司地址：沪南路号目录第一节、项目概述5第从事建筑智能化系统工程设计、施工积累的经验、考虑酒店具体情况，适当设置监控点，布置点如下：一层共需 内所有将出现的布线问题。结构化布线系统与传统布线系统的比较传输介质结构化布线系统传统布线系统1、以双绞线来传输、电话使用专用的电话线12、单一的传输介质2、电脑及网络使用同轴电3、电话和电脑线可互用缆3、电脑电话线不能共用不同电脑系1、从配线架到墙上插座完全统一，1、各种不同电脑及网络布统适合不同电脑主机和 RING 的连接不同的电缆并使用不同的的处理方式3、电脑终端机，电话机和其它网络结构，设

2、备的插座可互用而且完全相同。线路无法共用也无法通用4、移动计算机设备， 电话设备十分2、电脑和电话之插座不能方便互用5、单一插座可接一部话机和一个终3、移动电话或电脑必须要端机重布线标准化问题满足商用建筑标准无国际标准可遵循1、EIATIA5682、EIATIA5693、TSB364、TSB405、ISOIEC11801双绞线的预1、可传输 IBM 电脑 2.358MBPS速因不同缆线而定定率，达358M2、电脑 4.275MBPS速率，达 280M3、可传输 10MBPS速率，达 350M4、可传输 9600，达 350M5、可传 100MBPS的TPDDI ，达 100M（CAT.5）大计

3、 ”。在众多产品当中，大多数和外形尺寸基本相同，但电气性能、机械特性差异较大，常被人们忽视。因此，在选用产品时，要选用其中具有较强研发、制造和销售能力的符合国际标准的专业厂家的成品，本方案选用 AMP 综合布线产品 .10.1 面板墙上型面板： AMP 具有多种面板供选择， 有模块化设计的面板 （需配模块化衬套）、一体化面板、倾斜式面板、 平面式面板及盲板。 本方案采用的信息插座均为超五类 RJ45 型双孔、单孔面板，所有插座面板尺寸均为 86型。10.2 超五类模块AMP 的模块特点是现代工艺水平的引线框结构和绝缘位移接触体，以保证最高质量和最高可靠性的有效连接。没有用波峰焊连接的印制电路板

4、形成的潜在质量问题，电镀的端接类型保证一绞距保持在1/2英寸以内，可作端接最少10次，端接罩提供优异的应变松弛，有助于控制电缆弯曲半径和牢牢保持电缆就位。10.3 信息插座接线方法综合布线系统允许同一建筑物内采用不同类型的信息插座，但它们本质上是相似的，并可分为两大类，即三类插座和超五类插座。在本方案中采用全超五类信息插座，这类插座都是 8 针，RJ-45 型的，并且都符合 ISDN 接口标准，其详细的管脚分配详见图10.4 配线架AMP 的全金属模块化面板配架是有24口或 48口。十一、环境的建议这里我们主要针对设备间的设备环境， 安装条件和连接方式作以简要的说明。 按照标准的设计要求，设备

5、间尤其是要集中放设备的设备间，应尽量满足下面的要求：室温应保持在 18至 27之间，相对湿度保持在 30%55%；保持室内无尘或少尘，通风良好，亮度至少达 30英尺 烛光；安装合适的消防系统（如采用湿型消防系统，不要把喷头直接对准电气设备）；10使用防火门，至少能耐火1小时的防火墙和阻燃漆；提供合适的门锁，至少要有一扇窗口留作安全出口；尽量远离存放危险物品的场所；13设备间的高度应至少2.55米高度的无障碍空间，门的大小至少为高2.1 宽0.9m，地板负重能力至少应为500Kg/平方米。另外对于系统的要求，应在配线间安装布线硬体的墙壁上覆盖涂有阻燃漆的3/4英寸（合 1.9cm）的木板。设备间

6、的大小完全取决于安装的电气设备的空间要求。另外，在主、分配线间，还要有供放置设备的设备柜， 其大小可按设备的尺寸而定，一般采用木质或玻璃材料制成。 在设备间尽量将设备柜放在靠近竖井的位置，在柜子上方应装有通风口用于设备通风；亦可采用设备架，但要同时做好防尘的考虑。十的语音、数据、图象通信的发展需求，国际权威通信评测结构把OmniPCXEnterprise誉为真正的、新一代的通信服务器。软硬件的模块化设计并以客户机/ 服务器的结构为各类用户提供了最灵活和最方便的服务，同时为用户的自行开发应用提供了最佳的平台。 OmniPCX Enterprise 广泛采用了各类标准，操作系统符合 LINUX标准

7、，局域网接入符合 Ethernet TCP/IP标准，PABX组网采用 QSIG标准，CSTA标准用于 CTI应用等。OmniPCX Enterprise 可根据酒店的发展需要， 在其通信平台上灵活增加各种服务器向各类客户提供多样化的服务，上海贝尔阿尔卡特业务通信系统有限公司可在OmniPCX Enterprise的基础上提供全套方案，以满足酒店在 PT，OSPF v3， RIPng等多种功能，实现广域网链路下的 IPv6。全面支持 MPLS特性 支持 MPLS转发以及基于 MPLS的二层 VPN 和三层 VPN, 支持多种跨域方式，以实现透明的以太网传输服务和其他企业的互连业务。高可靠性保障

8、 提供多种备份技术确保在故障时提供备用方案，这其中包括：虚链路 /虚模板 /拨号接口 /逻辑接口间的链路层备份、动态路由实现网络层备份、 VRRP和 HSRP实现设备层备份。独特的智能网络侦测特性， 可以检测到网络目的地的可达性， 并将检测结果反馈到联动模块，触发相应的主备线路切换。 可以设定主线路上的流量预警， 当流量达到预先设定的值后，其多余的流量将自动选择到备份线路上。友好的管理和维护多种手段优化管理，支持性能监控、故障告警、病毒及攻击告警、批量路由器的自动升级、配置自动分发等。命令行提供中英文双语、命令分级保护。支持 SNMPv3，能够对路由器进行远程的可视化配置。提供 DHCP Se

9、rver，简化了局域网组建。兼容CDP，可实现网络设备的统一管理。技术指标属性规格固定接口2个 10/100M 快速以太网端口1个 Console端口1个 AUX 口2个高速通用串口模块插槽2个插槽存储器BootRom ： 512kFLASH ： 8M-1GSDRAM ： 64M-1G外形尺寸445mm?295mm?44mm(长 ?宽 ?高)温湿度工作： 0 40； 10% 85%无冷凝存储： -20 65； 5% 95%无冷凝电源特性交流：电压 170264V,频率 47 63Hz, 电流 1A/230V直流：电压 -36 -72V,电流 1.5A最大功率40w链路层协议FR、X.25 、L

10、APB 、PPP、PPPoE(Server/Client) 、Multilink PPP 、HDLC 、SLIP 、ISDN（ PRI/BRI ）、LLC2 、SDLC 、DLSW-SSP 、XoT 、X.25-TCP 、802.1Q网络层协议和ARP 、代理 ARP 、 DNS、 DNS 代理、 NAT 、 ICMP 、 IGMP 、 DHCP应用(Server/Client/Relay) 、 IP Multicast路由协议静态路由、 RIP、OSPF、BGP-4 、DDR 、PBR、DVMRP 、PIM-DM/SM、兼容 EIGRPIPv6支持 ETH 和 PPP链路层， Telnet，

11、 ICMPv6 ，支持 RIPng、 OSPFv3等单播路由协议， 6to4 Tunnels ， configured Tunnels ，ISATAP 、 NATPTMPLSMPLS 三层 VPN ， MPLS二层 VPN ，支持三种跨 AS方式 (VRF-VRF 、MP-EBGP 、 MP-EBGP multi-hop)网络安全AAA Radius 、 TACACS+ 、防火墙、 L2TP 、PPTP、 GRE 、IPSec、 IKE网络可靠性端口备份、 HSRP、VRRP 、增强 backup、链路自动侦测服务质量FIFO 、PQ、CQ、CBWFQ 、WFQ 、RED、WRED 、DSCP

12、、IP Precedence、RTS、 RSVP、 CAR网络管理SNMP V1/2/3 、 RMON 、兼容 CDP语音应用Gatekeeper （ Server/Client ）、 IVR接入层设备选型需求简述接入层设备分布在各楼层设备间，该设备性能要求不是太高，但是自在配置 /功能上要求比较高，如必须支持堆叠功能，需要配置置少一块千兆上联模块，必须支持802.1Q VLAN ，必须支持访问控制列表以防止冲击波、震荡波等病毒功能，必须支持802.1X安全接入协议（全网的安全接入控制；具体参见下面的拓扑图分析。结合上面的分析，神州数码建议采用 DCS-3900系列作为所有接入设备，具体技术简

13、介参见下面 DCS-3900系列的描述。A系列 智能安全接入交换机DCS-3926SDCS-3950SDCS-3900S系列智能安全以太网交换机，包括 DCS-3926S、DCS-3950S等,在安全、运营和堆叠等方面上极具特色，适用于教育、政府、大中型企业网络的接入设备。DCS-3926S则具有 24个10/100Mbps自适应 RJ-45端口和 2个模块扩展插槽（可选插百兆模块和千兆模块）可千兆或百兆聚合上联至汇聚层交换机或者核心层交换机。DCS-3950S具有 48个10/100Mbps自适应 RJ-45端口和 2个模块扩展插槽（可选插百兆模块和千兆模块），高密度的端口设计加上优秀的堆叠

14、特性， 使得终端用户密集的园区网接入层建设成本大大降低，同时，这一切都是在线速转发的基础上实现的。主要特征强大的 ACL 功能作为新款的 L2/4交换机， DCS-3900S系列交换机提供了完整的 ACL 策略，可根据源 /目的 IP地址、源 /目的 MAC 地址、 IP协议类型、 TCP/UDP端口号、 IP Precendence、时间范围、 ToS对数据进行分类，并进行不同的转发策略。通过 ACL 策略的实施，用户可以在接入层交换机过滤掉 “冲击波 ”、“震荡波 ”、“红色代码 ”等病毒包， 防止扩散和冲击核心设备。卓越的安全特性全面的受控组播方案 DCSCM ，可以对源和目的进行安全控

15、制， 完整实现了在接入层网络中基于 IGMP 源端口和目的端口的检查技术， 可完全限制合法组播在网络中的稳定传输，有效控制组播建立的整个过程，保障了正常合法的组播应用的稳定运行；率先支持对特征复杂 (64字节 )的应用流量的访问控制， 让用户可以在各种网络的环境中应对出现复杂情况；监控 pingSweep等攻击行为，安全防扫描，并采取防攻击措施，全面保护交换机和服务器等网络设施的安全。丰富的网络协议支持DCS-3900S系列交换机支持 802.1d/w/s 生成树协议，支持 802.1Q、 802.1p、802.3ad、802.3x、 GVRP、 DHCP等标准。支持 SNTP等时钟协议，实现

16、网络自动同步。丰富的 QoS策略DCS-3900S系列交换机为每个端口提供了 4个优先级队列， 可根据端口、 802.1p、ToS、 DSCP、TCP/UDP端口进行流量分类，并分配不同的服务级别，支持 WRR/SP等调度方式，为语音 /数据 /视频在同一网络中传输提供所要求的不同服务质量。完善的网络管理DCS-3900S系列交换机支持 SNMP，支持带内和带外管理， 支持 CLI 和WEB 界面，支持 RMON ，并可采用 SMTP协议自动向管理员信箱发送相关敏感信息。 DCS-3900S 系列交换机支持 SSH协议，可以最大限度地保证交换机的配置管理的安全性。可采用神州数码集中网管系统 L

17、inkManager统一管理，方便简捷。完整的认证计费解决方案DCS-3900系列交换机支持完整的神州数码增强型802.1x认证计费解决方案，支持按交换机端口和 MAC 地址方式的认证。实施该套方案后，用户在不通过认证的情况下将无法使用网络，可以有效避免用户私自更改 IP对网络的冲击。配合神州数码的安全接入控制与计费系统 DCBI-3000 和802.1x客户端，可以实现按时长 /流量计费，可以实现用户帐号、密码、 IP、MAC 、VLAN 、端口、交换机的严格绑定，还可以防止代理软件，对合法客户发送通知 /广告，进行上网时段控制，基于用户动态实现 VLAN 授权和带宽授权，可基于组策略实现动

18、态IP 地址分配而不必使用DHCP 服务器等。DCS-3900S系列交换机是实现网络运营的非常理想的接入交换机。技术指标项目属性DCS-3926SDCS-3950S接口形式固定端口24个10/100M 端口48个10/100M 电口扩展插槽2个扩展插槽，可选多种扩展模块?交换能力32Gbps48Gbps包转发速率6.6Mpps，全线速10.1Mpps，全线速性能指标最大千兆端口数22量MAC 表项8K16KVLAN 表项4K4K?物理尺寸445mm?259mm?44 mm440mm?331mm?44 mm相对湿度5% 95% 无凝结物理规格运行温度0 50电源交流： 100240 V AC ，

19、 50/60 Hz ( 内置通用电源 )功耗最大 40WMTBF80,000小时?项目属性DCS-3926SDCS-3950S主要特征堆叠支持生成树组播协议QoSACL802.1D （ STP）、 802.1w （ RSTP）、 802.1s（ MSTP ）IGMP Snooping&Query每端口 4个队列，支持 802.1p，ToS，应用端口号， DifferServ ，支持WRR/SP等调度方式支持标准 ACL 和扩展 ACL ，支持 IP ACL 、MAC ACL 、IP-MAC ACL ，支持基于源 /目的 IP地址、源/目的 MAC 地址、IP协议类型、 TCP/UDP 端口号、

20、 IP Precendence、时间范围、 ToS对数据进行过滤。支持对特征复杂(前 80个字节 )的应用流量的访问控制如Bt 。监控增强安全特性pingSweep等攻击行为，并采取防攻击措施，防非法组播源，受控组播。Free-Resourse支持增强 ARP安全功支持防 ARP 欺骗、防 ARP 扫描能带宽管理基速率： 1Mbps ，步长：百兆端口为 1Mbps, 千兆端口为 8MbpsMAC 操作支持端口 /MAC 自动捆绑，支持 MAC 过滤VLAN 类型基于端口 /802.1Q协议，支持 GVRP ，支持 PVLAN流控支持 HOL 防头包阻塞，半双工背压，全双工IEEE802.3xD

21、HCP支持 Client/Server端口聚合支持 802.3ad，最大可支持 6组 trunk,每 trunk 可到 8个端口，支持基于目的 MAC 的负载均衡支持基于端口和 MAC 地址，支持神州数码802.1x整体解决方案， 可以实现按时长 /流量计费，可以实现用户帐号、密码、IP、 MAC 、IEEE802.1xVLAN 、端口、交换机的严格绑定，可以防止代理软件，防止PC克隆，对客户发送通知 /广告，上网时段控制， 基于用户动态实现 VLAN授权和带宽授权，可基于组策略实现动态IP地址分配而不必使用DHCP 服务器等。认证支持 RADIUS端口镜象支持广播风暴控制支持，可设定允许广播

22、通过速率IEEE802.1D IEEE 802.3 IEEE 802.3u IEEE802.3ad IEEE 802.3x 支持的网络标准 IEEE 802.3z IEEE802.1Q IEEE 802.1p IEEE 802.1xIEEE802.1w ?IEEE ?802.1s 等? ?管理界面CLI 、 WEBConsoleRJ-45Telnet支持 Server/ClientSNMPv1、 v2c 、 v3系统日志支持网络管理支持配置管理分级SSH支持RMON1，2， 3， 9四组MIB 接口提供集中网管软件神州数码 LinkManager 网管软件Security IP 安全支持网管功

23、能? ?其他SNTPBOOTP支持支持FTP/TFTP支持3.3 网络详细设计网络架构设计本次网络架构采用直观的二层架构模型，即核心层、接入层，在此不作过多赘述。拓扑图如下：设计VLAN 在逻辑上等价于广播域。更具体的说，我们可以将VLAN 类比成一组最终用户的集合。这些用户可以处在不同的物理LAN 上，但他们之间可以象在同一个LAN 上那样自收通信而不受物理位置的限制。在这里，网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要，通过相应的网络软件灵活的建立和配置虚拟网，并为每个虚拟网分配它所需要的带宽。在本次网络设计中，作为整个系统的核心网络设备， 根据具

24、体需要划分多个 VLAN ，其中 ADMIN 作为设备管理用 VLAN ，这样可以对这些不同 VLAN 之间的通讯进行控制，这样既可以节约成本，又可以保障重要网段的安全，同时减少广播和冲突，提高系统的可用性。在接入交换机与接入汇聚交换机之间采用802.1Q作为 VLAN 的传输协议。根据用户目前的应用需求，我们建议设置如下VLAN ：信息中心核心交换机 VLAN 划分：信息中心核心交换机需要连接服务器、防火墙等以及下联楼宇接入交换机，由于核心交换机主要实现线速的路由转发，所以建议各个不同功能连接采用不同的 VLAN ID ，同时包括一个网络管理用的 VLAN 。VLANVLAN用途ID2-N各

25、不同功能连接使用100网络设备管理 VLAN接入交换机 VLAN 划分：建议根据实际情况结合不同用户群体划分VLAN。VLANVLAN用途IDN-M上联核心以及不同用户群体使用100网络设备管理 VLAN以上是我们建议的 VLAN 划分策略，我们规划的网络系统支持灵活的VLAN划分，在项目实施阶段，我们将根据具体要求予以最后设计。地址设计IP地址是 TCP/IP协议族中的网络层逻辑地址， 它被用来唯一地标识网络中的一个节点 ,用户主机。 IP地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变

26、化的收敛速度。可变长子网掩码技术 (VLSM - Variable Length Subnet Mask)为用户地址分配提供了很大方便。传统地， IP协议采用分层地址结构，它由 4个字节 (32位) 组成，每个字节用三位十进制数 (0-255)表示，每个字节之间用圆点号隔开，它包含两个部分：网络号和主机节点号。 IP地址分为 A 、 B、C、D、 E五类，其中常用的是 A 、B、 C三类。IP地址的分配应遵循以下几个原则：唯一性：一个 IP网络中不能有两个主机采用相同的 IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项；连续性：连续地址在层次结构网络中易于进行路

27、径叠合，大大缩减路由表，提高路由算法的效率；可扩展性：地址分配在每一层次上都要留有余量， 在网络规模扩展时能保证地址叠合所需的连续性；灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间；为了有效地利用地址空间， 我们可以对 IP地址进行子网划分， 从地址的主机部分借取若干位作为子网号，剩余部分仍然表示主机号。另外，为了灵活地在不同规模的子网中分配不同数量的 IP地址，我们需要采用 VLSM 技术，它可根据需要在任意位划分子网边界，对一个主网络号，可分出最小只有 2个主机号的子网，亦可划分出一个较大的子网，因此它很灵活，特别是在广域路由交换机的互联中，只需 2个主机号地址，

28、 VLSM 非常有用，大大节约了地址空间，又保证了网络设计的灵活性。在进行地址分配时，一般先用一个定长的子网掩码将地址空间分成若干个相同规模的子网，再在每个子网中根据所需的子网数量和规模采用VLSM 进行子网的细分。IP地址的分配在工程实施前根据实际情况进行详细和具体综合规划。路由设计单播路由通过上述的分析，由于本次网络建设规划采用二层架构，所以我们建议采用默认静态路由连接外网。组播路由对于用户的组播（ Multicast ）路由需求，如网络电视、视频会议等直接在核心交换机上相应的 VIF 上启用 DVMRP 或者 PIM组播路由协议即可。服务质量控制（ QoS）设计实施目的：优先传输关键数据

29、实现技术： QoS实施对象：核心层 /接入层交换机根据外网平台数据类型及特点，建立统一的QoS策略IP Precedence的设置 通过 Policy-Based Routing实现；拥塞避免机制 采用 WRED- Weighted Random Early Detection实现；队列输出管理机制 采用 CBWFQ- Class Based Weighted Fair Queuing；带宽控制机制 采用 CAR- mitted Access Rate实现；IP包的优先级排序（从上往下优先级降低）：实施传输数据（视频，语音）普通数据（文件传输， EMAIL, 互联网访问）优先级所谓的 IP P

30、recedence指的是在 IP包头中预留的 Type of Service3位比特， 3位比特从000到 111共可设置 8个有效值，权值越低，优先级越低。我们一般可以使用其中从 000 到 101六个级别， 110和 111用来保留给网络内部其它信令等通讯使用。在 RFC791中，给每个 IP Precedence值定义了一个名字。 在具体配置中， 我们经常会应用这些名字来标识相应的 IP Precedence值。每个 IP Precedence值的相应名字在下表中列出。IP Precedence ValuesNumberName0Routine1Priority2Immediate3Fl

31、ash4flash-override5Critical6Internet7NetworkIP优先级可以控制 IP包在网络设备中被处理的优先程度， 可以和各种队列技术结合起来使用，比如 WRED在发生阻塞时，先丢弃优先级低的 IP包。建议使用以下的优先级划分方法：业务应用类型IP Precedence 值Name其它应用（如 FTP和）0routine管理信息系统2immediate设备管理3flash关键业务系统4flash-override数据包的分级在一进入局域网交换机时就实现，也就是在网络的边缘实现IP优先权设置，以减轻核心网络设备的负担，同时也可以实现局域网中的QoS控制。拥塞避免控制

32、 -WRED数据包被设置 IP优先权后，通过路由处理被送到相应的端口等待传输。 为实现 QoS 控制，数据包将被根据它的 IP优先权值被送入不同的队列，按照 WFQ设定的策略进行传输。但假如网络拥塞造成排队数据包超出缓存，所有的数据包在进入队列前就都会被丢弃， QOS的控制就无从谈起，所以在排队数据包超出缓存前就应进行拥塞避免机制的控制，而 WRED 技术则可根据 IP优先权丢弃数据包。队列管理机制在经过拥塞避免机制 WRED 的处理后，数据包在输出端口根据其优先级被分配至不同的队列排队等待输出，由于出口带宽总归是有限的，同时只能有一个数据包被发送，那么它们按照怎样的顺序输出成为 QoS保证的

33、关键。控制队列输出的机制也就是拥塞管理的机制，也就是我们常说的队列技术 (Queuing)。在我们的实现方案中，推荐使用WFQ技术作为输出端口的拥塞管理机制。端口限速机制端口限速是一种基于硬件芯片的带宽控制机制，它可以在同一个物理端口上，来对不同方向的流量使用不同的带宽。如果超过其最大限制，则将其数据包丢掉。同时，该功能对于判断网络故障也非常有用。端口限速机制将被用于接入汇聚/接入层交换机 DCS-3926S。3.4全网防病毒安全设计为了防止日益猖獗的冲击波、振荡波病毒或者以后类似变种及新型病毒对网络造成的严重影响，尤其是这类病毒可以导致三层交换机处于瘫痪状态（ CPU 利用率100%），大大

34、影响了交通系统正常的业务应用，导致非常严重的损失。为了防患于未然，我们建议在整个系统的各个层次进行访问控制，如下。骨干网核心、区域汇聚交换机防病毒设置在病毒环境中， 6804系列交换机可通过访问控制列表实现防止病毒攻击。在6804(config)#模式下作如下配置：ip access-list extended kkkdeny icmp any any / 丢弃 ICMP 报文，禁止 PING数据包的通过 deny tcp any any eq loc-srv / 禁止冲击波病毒的相关端口数据通过 deny tcp any any eq profiledeny tcp any any eq 1

35、37deny tcp any any eq 138deny tcp any any eq netbios-ssndeny tcp any any eq 4444deny tcp any any eq microsoft-dsdeny tcp any any eq -rpc-epmapdeny udp any any eq loc-srvdeny udp any any eq profiledeny udp any any eq netbios-nsdeny udp any any eq netbios-dgmdeny udp any any eq netbios-ssndeny udp any

36、 any eq microsoft-dsdeny udp any any eq -rpc-epmapdeny udp any any eq tftppermit ip any any/ 最后必须加上此命令 ,即允许其他数据通过 ,如上网 80端口接入交换机防病毒设置神州数码 DCS 3926S/3950S不仅支持常规的基于 IP/PORT的 ACL ，还支持基于 MAC 地址的 ACL ，可以实现众多层次的访问控制，具体配置举例如下：第一步：启用访问控制列表 (使用 access-list ip extend命令来创建访问控制列表 ) Console(config)# access-list

37、IP extended kkkConsole(config-ext-acl)# deny 1 any any/禁止 ICMP （ IP协议号为1）报文 ,即禁止 PING数据包的通过/以下是针对冲击波病毒攻击的端口进行限制/Console(config-ext-acl)# deny UDP any any destination-port 135/ 丢弃 UDP端口号为135的报文Console(config-ext-acl)# deny UDP any any destination-port 136Console(config-ext-acl)# deny UDP any any dest

38、ination-port 137Console(config-ext-acl)# deny UDP any any destination-port 138Console(config-ext-acl)# deny UDP any any destination-port 139Console(config-ext-acl)# deny UDP any any destination-port 445Console(config-ext-acl)# deny UDP any any destination-port 593Console(config-ext-acl)# deny TCP an

39、y any destination-port 135Console(config-ext-acl)# deny TCP any any destination-port 136Console(config-ext-acl)# deny TCP any any destination-port 137Console(config-ext-acl)# deny TCP any any destination-port 138Console(config-ext-acl)# deny TCP any any destination-port 139Console(config-ext-acl)# d

40、eny TCP any any destination-port 445Console(config-ext-acl)# deny TCP any any destination-port 593Console(config-ext-acl)# deny TCP any any destination-port 4444Console(config-ext-acl)# deny UDP any any destination-port 69Console(config-ext-acl)# permit any any第二步： 针对每类规则添加相应的 ACL MASK ，决定 ACL 作用顺序

41、(使用 access-list ip mask命令来创建 )Console(config)#access-list IP mask-precedence inPMS接口，如：Console(config-ip-mask-acl)# mask protocol any any /针对 ICMP报文的 MASK Console(config-ip-mask-acl)# mask protocol any any destination-port / 针对冲击波端口的 MASK第二步：将已创建的访问控制列表应用的相应的物理接口 (使用 ip access-group命令，注意 ACL 是不能应用到虚

42、拟接口如 :VLAN INTERFACE 上的 )Console(config)# interface ethernet 1/1-6Console(config-if)# ip access-group kkk in这样，从 1口到 6口进入的报文中，数据包都可以通过 (如通过 80端口上网PING 和冲击波常用到的端口都被封掉)。,但是除此以外的其他3.5 酒店上网计费系统系统组成酒店上网计费系统的结构如下：神州数码DCBA-HOTEL-BI 酒店宽带运营计费管理系统主要由两部分组成：神州数码 DCBA-Hotel ( 酒店宽带接入网关 )神州数码 DCBI-3000酒店版上网计费管理系统

43、(计费及 PMS接口 )。注意：如果不需要按用户的计费功能，可不采用DCBI-3000 酒店版，只采用DCBA-Hotel 网关实现即插即用功能。功能特点IP PnP网络即插即用基于 IP PnP (IP网络即插即用 ) 和Dynamic Address Translation (动态地址转换 ) 技术，客人上网无需更改其便携计算机的网络设置，即插即上。高效的数据吞吐率基于自主研发的流控制技术、高速的数据链路层控制和包转发技术，实现线速、无阻塞转发，确保系统不会成为宽带接入的性能瓶颈。高可用性、高稳定性、良好开放性系统基于知名实时系统 VXWORKS 。技术先进，具有良好的开放性，可与其他硬、

44、软厂家对接。灵活的管理方式系统可以通过 Telnet远程管理，支持 TFTP，支持 Web管理，支持 SNMP 实现统一网管。强大的网络功能系统支持 Access List( 接入控制 ) 、 Bandwidth Management(带宽管理 ) 、 Service Management(服务管理 )、Session Management(用户连接管理 )、Home Page Redirection(首页重定向 )、Access Control and Security(用户访问控制 )等功能。强大的用户、计费、帐务管理功能系统基于 Web认证 (Browser-Based Authenti

45、cation)，支持多付费类型：预付费、预付卡、后付费、限额后付费等等；支持批量开户、销户；支持多种灵活的访问控制功能，可针对客房设置网络带宽、网络服务等。引入客房组、子客房的概念，大大增强了上网管理的易用性和灵活性。提供出账、调帐、收费等完善的，帐务管理功能，包括自动生成账单、打印账单、手工调帐、账单查询、账单核销等等，便于酒店进行规范的商业运营。丰富的酒店 PMS系统支持我们对于酒店业务有深入的了解，系统提供了多种知名酒店系统Micros Fidelio 、FCS、VMS 、JDS、中软好泰、西湖软件、东软等。支持 Check In/Out (入住 /退房 )、Room Change (换

46、房 ) 、Room State Match (客房同步 ) 、Day end Check (夜审 )等酒店日常业务。方便的客人自助服务系统还提供了 Service Presentment（服务提示）功能。客人在上网时可以选择宽带接入的方式，并且在上网的过程中得到实时的上网信息。宽带接入服务器是重要的宽带网络设备。随着宽带需求的激增、流媒体内容的出现以及在线宽带游戏等网络服务的流行，对宽带接入服务器提出了更高的要求。 DCBA-HOTEL 是神州数码 DCBA-HOTEL-BI 宽带网络解决方案中具有高性价比的宽带接入服务器产品系列。它适用于 Ethernet、ADSL 、 HFC、 HomeP

47、NA 、Wireless等所有宽带环境，可以透明地插入酒店宽带网络，无需改动原有的网络结构，高效的数据吞吐率对网络速度绝无影响。产品具有独一无二的开放性、灵活性、可扩展性和可管理性。产品外观DCBA-HOTEL 带有三个自适应 10/100M RJ45口。其中一个上连口， 一个连接酒店客房，一个连接酒店内部网。此外，还一个 RS232串口用以配置设备。设备前视图设备后视图功能特点IP PnP 网络即插即用酒店是服务性行业，住客的感觉方便程度是衡量一家酒店服务水平高低的标准。在酒店客房上网的住客，不可能和专业人员一样理解一堆诸如 IP地址、掩码、网关等参数，即使酒店配备专业人员帮助，对住客自带机

48、器的操作也会让客人感觉不方便和不自在。 DCBA-HOTEL 提供了国际领先的 IP PnP技术，客人接入宽带网只需要插上网线。这样一来，不但提高了酒店服务质量，减少了相关人员的工作量，而且客人回到原网络环境也不会因为改过设置而上不了网。注： IP PnP是一项尖端技术，有三个层次：1.DHCP。这种情况下， 默认客人计算机自动获得 IP的，很多厂家宣称的 “即插即用 ” 仅仅是实现了 DHCP服务器。2.IP PnP。这个层次可以允许客人计算机原来就设好了IP，同样可以把用户接入进来，但这也仅仅是 IP层面的 “即插即用 ”。3.真正的 IP PnP。大家都知道，接入网络是为了网络服务，如：

49、收发E-Mail 、连接VPN 等等。真正的网络即插即用，不仅仅只是保证网络层面上的连通(刚才提到的第二个层次 )，更重要的是保证客人能够使用网络服务， DCBA-HOTEL 做到的就是这一点。性能稳定、高效DCBA-HOTEL 基于国际先进技术，创新的流控制技术、高速的数据链路层控制和包转发技术，实现全线速、无阻塞转发。DCBA-HOTEL 采用嵌入式架构，由 CPU+专用主板 +基于 VXWORKS 专用实时系统构成，其性能和稳定性大大高于基于 PC Base(基于工程机 )的同类产品。DCBA-HOTEL 内部使用的是 Flash，比硬盘存储装置寿命长数倍，速度也比硬盘存储装置快很多倍。

50、良好的用户界面DCBA-HOTEL 是基于 Web认证 (Browser-Based Authentication)，支持所有标准浏览器，如： IE和Netscape，支持所有语种。由于使用了 Home Page Redirection(首页重定向 )技术，客人上网认证时不需要输入特定的 (URL) ，打开浏览器就会被自动导向到认证页面。认证的过程基于 SSL加密，确保不会泄密。认证成功后，客人可以看到实时的上网信息，例如：上网时长。酒店可以定制所有的页面，获得相应的广告效应。提供丰富的控制功能：DCBA-HOTEL 提供了 Access List(接入控制 )、 Bandwidth Mana

51、gement(带宽管理 )、 Service Management(服务管理 )、Session Management(用户连接管理 )等网络管理控制能力。利用这些功能，可以很方便地分配上网带宽以保证每个客人公平使用带宽资源；可以满足不同级别客人的网络服务需求；可以控制酒店内部员工上网等。标准的网络设备：DCBA-HOTEL 支持 TFTP固件升级；支持 SNMP网管；可以和所有的网络产品互联使用。DCBA-HOTEL 为标准 1U/2U设备，可机架安装。产品特性其他说明IP 管理：支持 ACL，与 Radius 配合可以实现用户分配固定 IPIP 地址转换：支持 NAT，反向 NAT用户控制

52、：实现用户 MAC地址绑定，用户 VLAN绑定，实时扣流量，实时扣时长路由协议：支持静态路由和 RIP速率管理：以32kbit/s 为单位控制用户最高接入速率设备管理：支持 SNMP、Telnet ，支持 Console 口的命令行配置 (RS232)转发包速度：6-7 万包每秒酒店版上网计费管理系统DCBA-HOTEL-BI 计费体系结构涉及到三方：客人上网用的电脑（ Guest），DCBA-HOTEL( 酒店宽带接入网关 )，DCBI-3000 酒店版 (后台软件 )。DCBA-HOTEL-BI 计费体系结构如下图所示：计费系统概述DCBA-HOTEL-BI 中的 DCBI-3000 酒店

53、版计费系统是全面兼容Radius协议的实时服务器。作为计费系统的核心部分， DCBI-3000 酒店版对所有的宽带连接进行验证、授权、记费，支持各种 Radius兼容的宽带接入设备。DCBA-HOTEL-BI 中的 DCBA-Hotel 基于标准 1U工业服务器，采用嵌入式操作系统，内置强大的费率引擎，内置各种流行的酒店 PMS接口，具有良好的稳定性、高效性、开放性和可扩展性。酒店版特点高效稳定系统采用通讯专用设计模式和大量的多线程技术，保证系统稳定运行并拥有高效的数据处理性能。全面兼容 Radius协议全面兼容 RADIUS 协议，支持 IETF RFC2865、 RFC2866，是一个功能

54、完全的 AAA （验证，授权，记费）服务器。验证：符合 RADIUS 协议的认证规范。对密码进行 MD5 加密，保证数据安全性。授权：对 RADIUS 协议进行了扩展，可以授予不同的客房不同的权限，例如：不同的带宽。计费：符合 RADIUS 协议规范，同时增加了针对宽带计费特点的多个 VSA 属性，使其更适合宽带应用。强大的计费功能DCBI-3000 酒店版内置强大的费率引擎，在实时计费的基础上，系统支持基于时间、基于流量、费用封顶以及包天制等各种计费方式 :按时长计费。按基本计费时长单位（最小为 1分钟）的计费，比如 0.5元/分钟， 4 元 /15分钟等。按流量计费。按基本计费流量单位（千

55、字节或者兆字节）的计费，比如 2元/兆字节， 0.0001元/千字节等。按时长计费包天封顶。同时长计费，但是每天有一个总消费封顶限制。比如0.5元 /分钟，每天 80元封顶。一天定义为 24小时计费周期，周期起点可以选择中午 12点、凌晨 0点、用户 Check-In时间或者用户首次登录上网时间。按时长计费包半天封顶。同时长计费用，但是每半天有一个封顶限制。比如0.5元 /分钟，每天 60元封顶。半天定义为 12小时计费周期，周期起点为固定的中午 12点和凌晨 0点。按时长计费包半天封顶。同时长计费用，但是每半天有一个封顶限制。比如0.5元 /分钟，每天 60元封顶。半天定义为 12小时计费周

56、期，周期起点为固定的中午 12点和凌晨 0点。包天计费。按天计费，比如每天 80元或每天 120元等。一天定义为 24小时计费周期，周期起点可以选择中午 12点、凌晨 0点、用户 Check-In时间或者用户首次登录上网时间。并可选择无论是否使用都强制收费。普通客房包月计费。按月的计费，比如每月 300元、每月 600元等。由于客房用户的流动性，计费月定义为固定的 30天，月计费周期的起点一般选择用户的 Check-In当天，也可以选择 1日或者 21日。商务客房包月计费。同客房包月计费，面向固定的商务用户，比如酒店商务楼部分的公司客户。 月的定义类似电信的 IP计费，可选每月 1日凌晨到下月

57、 1日凌晨，或者每月 21日凌晨到下月 21日凌晨。分级权限管理系统提供了权限级别管理、管理员帐号管理和日志管理功能。系统管理权限分为以下几组：前台管理权限组。包括客房用户 Check-In，Check-Out，换房和修改客房帐号密码权限 (与酒店接口后无需使用 )；帐号管理权限组。包括帐号开户、销户、删除、帐号资料维护等权限；账务管理权限组。包括账务查询，销账，反销账权限；计费管理权限组。包括宽带服务管理，计费策略管理权限；系统管理权限组。包括权限组管理，系统管理员帐号管理，系统日志查询和删除权限；Radius管理权限组。包括 Radius配置， Radius日志查询， DCBA-HOTEL

58、 资料维护和网管， Radius日志查询权限；PMS管理权限组。包括 PMS配置， PMS日志查询和 PMS销账管理。日志功能系统提供完善的系统、 Radius、计费、 PMS日志。系统易用性DCBI-3000 酒店版管理软件于 B/S架构，采用基于浏览器的友好人机界面。酒店版酒店接口一个好的酒店宽带网解决方案，不仅要解决好网络方面的问题，还要解决好与酒店业务及酒店系统的融合的问题。 神州数码公司在这方面作了大量的调查， 在项目实施中也积累了许多宝贵的经验， 真正理解了酒店的需求， 研发并完善了一整套符合酒店业务习惯的酒店接口系统。其结构示意图如下：酒店版酒店接口概述DCBA-HOTEL-BI

59、 酒店宽带系统提供了丰富的酒店 PMS支持，并成功融合了宽带网络计费与酒店业务， 满足酒店业务需求， 提供诸如： Check In/Out、Room State Match、 Room Change、Day End Check等功能。DCBA-HOTEL-BI 酒店接口严格按照相关的酒店 PMS协议编写，和酒店软件提供商紧密合作，确保接口的稳定性、正确性，保障酒店业务稳定开展。酒店版酒店接口特点广泛支持DCBA-HOTEL-BI 支持的 PMS协议及厂家有 :Micros FidelioMicros PMS QueryHOBIC-RSIFCSVMSJDS中软好泰西湖软件东软上海灵通功能完备DC

60、BA-HOTEL-BI 酒店 PMS接口完整提供了酒店业务所需要的功能，酒店的日常业务都能支持。当前台作Check In/Out时，系统能够开断相应客房宽带；夜审(Day EndCheck)时，系统可以对此间发生的数据进行Buffer；支持房态同步 (Room State Match)等。此外系统利用 PMS接口还能完成客人身份的认定，这样一来，即使酒店使用无法认证到端口的宽带交换机， 也不需要专门为客人开设帐号、 密码。进一步提高酒店宽带服务水准。稳定可靠DCBA-HOTEL-BI 酒店 PMS接口严格遵循相关的酒店接口协议，系统运行于嵌入式工控平台，安全、稳定、可靠。当 PMS接口出现故障