数码酒店网络方案样本

希尔顿数码酒店计算机网络系统集成目录TOC\o"1-3"一、概述 11.1计算机网络系统设计背景 11.2计算机网络系统集成方案遵循原则 11.3计算机网络系统集成方案遵循原则及合同 2二、顾客需求分析 3三、方案设计 53.1网络系统设计 51、网络技术分析 52.总体方案详解 63.设备选型 93.2服务器系统设计 153.3UPS系统设计 253.4网络操作系统设计 27概述1计算机网络系统设计背景在竞争激烈今天，信息就意味着成功；而计算机网络－将各种个人电脑、服务器、工作站和其他硬件通过相应软件所有联接于一种共用系统－在协助公司赢得战略优势上起着重要作用，让你跨越办公室地理位置限制迅速、以便、可靠地传送数据。但是，今天网络将不能满足明日需求。功能日益强大应用系统，不断增长顾客，以及近来浮现对声音、图像和多媒体信息支持，使既有网络解决方案不堪重负。为了配合形势，需要一种从主线上全新技术来支持实时信息系统，以便在将来数年内保持竞争优势。互换技术是将来网络发展方向，是提高网络带宽到1000M核心，互换技术主持顾客之间多条专有线路高速连接，消除带宽瓶颈，同步为大型网络提供了一种强而有力、大规模、可伸缩解决方案。互换式互联网络提供了使您业务走向将来虚拟网络能力。从今日网络实际限制中解脱出来,这一体系构造让您建立一种可扩展、高性能、易于使用公司信息系统。此外，这项技术不但支持数据，还支持声音、影像和多媒体应用，这正满足了您对将来需要。1.2计算机网络系统集成方案遵循原则依照当前需求和将来发展，咱们本着如下原则，提供网络设计方案。（1）原则化计算机网络系统就是要实现网络信息及设备资源共享，实现以便信息交流,完毕不同厂商设备和计算机软件互连。在一种复杂大型网络系统里，必然有各种厂商硬件及软件，为了保证顾客网络系统具备互操作性、可用性、可靠性、可扩充性、可管理性，应建立一种开放式，遵循国际原则网络系统。避免导致顾客在网络使用上局限性。（2）可扩展性由于顾客业务不断扩展，网络系统必然随之不断扩大。因而，当前网络设计必要为此后扩充留有足够余地，以保护投资，使设计计算机系统可以在一定期间内得以满足不断增长应用需求。（3）先进性当今世界，通信和计算机技术发展日新月异。咱们方案要适应新技术发展潮流，满足顾客对新应用需求，并保证网络系统在若干年内不落伍，适应飞速发展科学技术。（4）有效性和可靠性咱们方案要充分考虑顾客详细状况，不但理论上可行，更重要是事实上可用和高效。最佳地适应顾客需求。为了使网络能可靠地运营，咱们方案中要选用高品质产品，把故障率降到最低，另一方面，咱们要使用系统容错技术，从而使停机损失率降到最低。（5）可管理性随着网络规模和复杂限度增长，管理和故障排除就越来越困难。当前工作越来越多地依托计算机系统，计算机将成为必不可少办公设备，计算机系统故障会给咱们带来损失将越来越大。为了减少损失，尽快地排除故障是十分必要，因此使用网络设备具备网管能力，并且拥有一套良好网络管理软件也就显得越来越重要。它可以减少故障排除时间，优化网络性能，节约开支，创造效益。咱们方案将提供先进而完善网络管理。同步保证网络易于管理和维护也是网络安全运营、可靠有效重要因素。（6）易用性任何一项高品位科学技术（涉及计算机网络）开发目是更好服务与人类工作、学习、生活，提高人们办事效率，减少工作强度，提高工作质量。这就规定计算机网络开发具备良好易用性，成为工作助手。1.3计算机网络系统集成方案遵循原则及合同IEEE802.3：广播总线网络系统IEEE802.3u100Base-TX：迅速以太网铜电缆原则IEEE802.3u100Base-FX：迅速以太网光纤原则IEEE802.3z1000Base-TX：千兆以太网铜电缆原则IEEE802.3z1000Base-SX：千兆以太网光纤原则IEEEStd802.3：Nway自适应IEEE802.3x全双工流量控制IEEE802.3p优先级队列IEEE802.9集成音频和数据局域网原则IEEE802.10局域网内安全性标记信息包IEEE802.1QVLAN标记对具备VLAN802.1过滤控制TCP/IP合同：传播控制层合同/Internet合同CSMA/CD合同：带冲突检测载波检测多路访问合同DHCP合同：动态主机配备合同DLCI合同：数据链路连接标记合同EGP合同：外部网关合同EIGRP合同：增强内部网关路由合同ICMP合同：网间控制报文合同IGRP合同：内部网关路由合同IPX/SPX合同：网际包互换/顺序包互换网络合同HDLC合同：高档数据链路控制合同PPP合同：点对点合同QoS合同：服务质量控制合同RMON合同：远程网络控制合同SMTP合同：简朴邮件传播合同SNAP合同：原则网络访问合同SNMP合同：简朴网络管理合同顾客需求分析希尔顿数码酒店将建设成为一种五星级当代化国际酒店，专门为国际、国内高档商务人士提供住宿、娱乐、休闲高档场合，同步提供大型国际会议全套服务办法。在当今信息社会，电子商务兴起，正在变化着老式商业操作模式，商务运作更依赖于高速、稳定、可靠信息网络平台，作为国际当代化酒店为客人提供优越商务办公环境是必不可少，使客人完全可以完毕在公司办公室可以实现功能，不但如此还要保证个人信息资源安全性和隐秘性。高速高带宽信息高速公路网络主干为1000M互换式迅速以太网，可以实现各种各样应用，例如：电视会议、多媒体文献传播、电子商务等等，为应用系统建设打下良好物质基本，满足当前与将来网络系统及应用系统对带宽需要。远程办公智能化入住客人可以通过酒店网络平台，在客房里就可以访问到自己公司网络资源，进行信息资源调用，并且可以实现诸如电子邮件收发、网络电话、网络FAX、网络打印、远程管理等当代化手段，与公司保持事实联系。并且提供严密安全保护办法，保证客人商业机密安全。高效率办公自动化系统办公及业务解决将走向当代化，形成新，符合当代业务特点方式，管理更加科学化，效率更高。领导通过查询系统可以以便、快捷对信息中心财务状况、人事材料、公司文档等资料进行查询，信息中心状况一目了然。全面记录分析和领导决策支持系统针对某一重大问题，酒店管理层可以在网上展开调查，并对反馈成果进行分析，作出最后决策，交领导决策层讨论。对公司内调查时节约了人员集散时间，缩短了问题反馈时间，对外地还可通过Internet对远在千里之外顾客展开调查，提高了对重大问题迅速反映能力。财务管理计算机化财务核算实现计算机管理，使管理过程更加简朴、可靠；会计核算更迅速、精确，可以及时向领导、税务部门、主管部门反映公司财务、资金状况；各种分录、帐目更加整洁，易于查询、记录，打印更加美观、迅速。计算机自动化控制将使财会核算过程更为高效、便捷、可靠。通过Internet，掌握世界经济、科技动向网上信息传播速度较其他煤体更快、更新，酒店管理层可随时查阅世界各地经济信息，做到足不出户，就可以纵览天下，随时掌握世界经济动态，随时作出决策。电子邮件广泛使用，使得信件传递更加迅速，以往几天才干到达信件，通过网络只需几分钟即可送到。可以随时与上级主管部门报告工作，与关于单位进行业务往来。也可以通过网络与员工进行交流。信息电子化，实现无纸化办公信息存储及传播大量采用电子化手段，使得信息查询、传递更加以便、快捷，同步无纸化办公实现，节约了大量办公费用，适应了当今信息化时代需要。信息化酒店管理客人可以在客房内浏览互联网，可以通过网络预定房间，查询服务项目、价格。可以进行房源管理、房态查询、预订查询、客帐查询、客户登记、消费结算等当代化管理。电子商场，网络交易建立自己网站，发布服务信息、服务报价、电子交易、进行网上拍卖，对外地员工进行网上培训。结实网络防卫办法网络建设应具备良好防卫手段，以防止恶意侵入和破坏，保护网络健康、稳定、可靠运营。防止公司资源和信息、数据泄漏。方案设计3.1网络系统设计1、网络技术分析(1)、迅速以太网互换（100BASE-TX，100BASE-FX）迅速以太网互换是采用高速互换技术，推出目就是将带宽密集型资源(如服务器或台式互换机)性能提高一种级别，站点数增长会不导致每个站点可用带宽减少。使用原则IEEE802.3u合同，是建立在以太网基本上，它与以太网兼容性、经济有效性及稳定性已经使其成为应用最广泛高速网络技术之一。迅速以太网传播介质是100BASE-FX光纤和100BASE-TX铜缆。此外它可以支持全双工操作，使网络带宽增长一倍，获得更佳网络性能。在光纤链路下连接不超过半径2Km，双绞线不超过100M，拓扑构造为星形构造，支持多链路备份，但在较大网络中收敛速度慢。（2）、FDDIFDDI是采用共享介质技术，站点数增长会导致每个站点可用带宽减少，拓扑构造为双环，最大距离可支持200Km，双向传播速率最高可达到200Mbps，不适于多媒体应用，支持双链路冗余，容错性能较好，原则完备，技术成熟。可构造大型网络，但带宽不可扩展，是上一代大型网络连接产品。（3）、100VG-AnyLAN物理介质存取方式：DemandPriorityPolling，一种新但未被广泛接受技术。有一定实时性，不适于构造大型网络，合用于工作组。支持厂商很少。（4）、ATM是网络发展方向，全互换式网络，数据以信元格式定长传播，传播速度快，速率可增长，155M-622M（当前最高速率622Mbps），面向连接技术。实时性强，较好地支持多媒体应用。站点数增长不会导致每个站点可用带宽减少。支持多条链路冗余和备份，容错性好，带宽高且可增长，提供良好QoS机制，适于构造大型网络甚至广域网。多业务宽带骨干ATM技术ATM技术早在90年代初就已经被提出，只是由于技术需进一步成熟，市场需求未形成，在当时并没有被投入实用。发展到90年代中后期，承载业务技术迅速发展，电信顾客对网络服务种类和服务质量规定不断提高，而当时多数电信运营商采用是TDM网络和X.25网络，无法适应当时网络状况来满足这些不同顾客需求，因而必要采用一种全新网络技术来满足市场需求；ATM技术此时已经基本成熟，同步由于市场需求驱动，ATM技术成为一种被广大电信运营商采用宽带骨干技术。仔细分析一下市场状况，据瑞典电信记录和预测，当前话音业务发展已经趋于饱和，业务增长正在趋于平缓，这是由于话音业务特点是：实时性，单一性，以及业务量稳定性，已拥有电话基本网络已经可以满足话音业务需求。而数据业务近几年来增长不久，并将在将来两年内()达到所有业务占有率70-80%以上；同步视频、图象等多媒体应用需求也有较大增长，重要在公众娱乐方面。与老式电话业务相比较，这些新浮现和增长业务特点重要为：高突发性，高速率，各种服务质量规定。ATM采用记录复用技术，以固定长度信元(53个字节)传送数据，为顾客提供虚拟电路(VC)，即具备TDM特点有兼顾记录复用优势，同步具备优越流量管理机制，是满足以上各种业务顾客需求适当技术。采用ATM技术组建基本网络特点(1)多媒体业务：由于ATM采用记录复用技术，可以动态分派带宽，对于具备突发性特点数据业务来说极为有利；同步，ATM以固定长度信元传送顾客业务，又可以保证对时延敏感顾客需求，如话音等。此外，对于传送多媒体业务应用ATM网络来说，最不同于老式网络方面就是要面对各种不同特点顾客信息，为了满足这样顾客需求，ATM技术中规定了各种服务质量级别，并且拥有相应服务质量保证机制。因而，ATM对于多媒体业务应用是最抱负网络技术；(2)充分运用宝贵中继带宽以及优越QOS保证机制ATM技术最大特点之一就是具备优越流量管理机制。ATM论坛TM4.0规范规定了一套完整闭环式(积极)拥塞管理机制，不但可以将拥塞发生也许性减少到最小，还可以在先进互换机缓存和排队机制配合下将中继带宽运用率提高到95%以上，从而最大限度上运用了宝贵中继带宽，为网络运营商带来及其客观经济效益。同步优越管理机制也保证了不同顾客QOS。(3)硬件解决速度ATM采用固定长度信元传送数据，使顾客业务信息拥入成为可预见，加上先进硬件芯片技术，使得ATM互换机完全采用硬件技术来完毕ATM信元互换。因而采用ATM技术网络速度可以提高到硬件解决速度，完全满足当代顾客不断增长传送速率规定。(4)为IP业务提供有效技术传送平台如本文开头所述，IP业务已经发生突飞猛进增长，并且还将继续这种增长势头，因而，在基本网络平台上传送顾客业务大多数为IP业务应用，采用什么样网络平台传送IP业务就显得特别重要。ATM技术平台可觉得IP业务提供有效传送通道。重要流量管理机制由于QOS以及拥塞控制机制是ATM特别突出于其她技术特点，本文将重点描述ATM流量管理技术。流量管理机制和服务质量保证机制重要涉及：流量监管UPC，输入端队列管理，中继队列管理，智能帧丢失，闭环式拥塞控制机制以及动态缓存机制(1)流量监管UPCUPC位于互换机入口处，起到数据流量监视管理作用。当顾客数据进入网络时，一方面由UPC机制监管，衡量顾客数据与否符合合同，符合合同，则顺利送入网络；若不符合合同，则有两种做法：或者简朴丢弃；或者在不符合合同信元上打标记(CLP=1)。互换机采用双漏筒(DualLeakyBucket)机制进行计算。(2)输入端队列管理Per-VC-Queuing：在网络输入端，互换机应采用Per-VC-Queuing和Per-VC-RateScheduling队列管理(见下图)，来保证业务QOS和不同顾客之间公正性。每个顾客连接有自己缓冲队列，互换机依照该连接参数和网络使用状况对该队列进行服务(Service)。Per-VC-Queuing和Per-VC-RateSchedduling机制保证了每个顾客连接带宽分派，同步在顾客间提供了防火墙，防止了顾客间互相影响。若网络接入VC1，VC2和VC3三个顾客，其业务量分别进入各自队列，互换机依照三个顾客通过CAC与网络订立合同中业务描述参数(PCR，SCR，MCR等)以及QOS参数(CLR，CTD等)，决定三个顾客数据与否前传以及传送多少动作，由Per-VC-RateScheduling来调节三个顾客数据传送速率大小。这样操作不但可以满足不同顾客对QOS不同需求，也保证了顾客数据之间传送公平性，其中任一顾客数据突发都不会影响其他两个顾客。综上所述，Per-VC-Queuing保证了每个连接均有它自己队列和缓存区，以保证每个连接业务特性和QOS。这保证了较高档别连接永远也不会受到较低连接或变化多端网络状况影响。(3)中继队列管理业务级别队列在互换机中继上应提供每一种业务级别排队，与输入端per-Vc排队结合在一起可以改进连接，区别业务，以满足不同客户需求。在一种互换平台上支持多顾客业务和在它们之间共享带宽能力是基于ATM互换构造最富吸引力长处之一。当输入端采用UPCPolicing以及Per-VC-Queuing/Per-vc-Scheduling将顾客数据进行了优化和整形之后，OptiClass在中继上为不同顾客服务级别(如：CBR/VBR/ABR/UBR)进行了QOS保证。互换机应有足够中继队列，不但可以支持既有ATM业务级别：CBR、VBR-RT、VBR-NRT、ABR、UBR，还为IP业务不同QOS奠定基本。(关于IPCOS描述见本讲座话题IPQOS)。同步还可觉得飞速发展顾客新应用打下从硬件到软件良好基本，这是网络业务可扩展性一种重要体现。(4)智能丢帧机制(IPD)在ATM网络中传送数据，无论本来数据包大下，均会被砍成53个字节ATM信元，当其中有一种信元丢失时，顾客数据通过网络传送到目端，重新恢复成原有数据包才会发现已有某些数据丢失，由高层合同发出重传祈求。显而易见，这种工作方式是非常没有效率，由于有也许网络中传送着许多目端顾客会丢弃数据，不但占用网络贵重带宽资源，也有也许导致拥塞。智能早丢包机制正是为理解决这个问题而浮现。其原理是：一旦发现数据丢失，就将整个数据包丢失(数据包尾部除外)，从而避免网络中继带宽挥霍，并且将拥塞发生也许性控制在网络外部。IPD机制涉及两种：早丢包(EPD)机制，以及某些丢包机制(PPD)，这种智能机制可以使得信元级传播损伤不被扩大。互换机支持这两种机制。EPD基于缓冲器大小以及阈值，当阈值达到某一拟定值时，EDP机制判断为拥塞会发生，于是预先把将要进入缓冲器整帧(最后一种带有EOF信元除外)丢弃，以避免拥塞发生，提高网络有效吞吐量图EarlyPacketDiscardSchemePPD工作方式见下图。PPD机制不采用阈值判断方式，而是当网络发生拥塞并开始丢弃信元时，PPD机制将属于同一帧随后所有信元最后一种带有EOF信元出外，所有丢弃，以避免无效信元占用网络资源。CEP端可以依托最后一种带有EOF信元来确认顾客帧，并规定重发。(5)ATM闭环式拥塞控制ABRVSVDATMFROUMTM4.0采用RM(ResourceManagement)信元作为反馈信息，反馈网络资源应用状况。ATMTM4.0规定了四种方式：ATMTM4.0规定了四种方式：ABRwithEFCI，ABRwithERStamping，ABRwithExlicitcelltagging和ABRwithVS/VD(VirutalSource/VirtualDestination)。前三种均采用RM信元反馈网络状况，但RM信元是反馈到CPE设备上，由CPE设备来控制顾客数据发送状况，网络并没有积极权来控制顾客数据发送；而ABRVS/VD则是将网络互换机虚设成源端和终端，RM信元反馈状况由互换机作出反映，并且可以在每个节点或一种网络段基本上灵活地设立网络内流量控制环，如下图所示。因而采用ABRVS/VD网络运营者才可以积极可依照每个网络规模，时延和网络跳数等规定设立网络VS/VD控制环，以保证在网络拥塞时不发生信元丢失和业务中断。(6)动态缓存管理实现更有效拥塞管理互换机应配有大型缓存区和动态缓存管理方案，用于保证延迟敏感和非敏感业务进入或离开节点。互换机依照所呈现业务量和业务级别合同逐个向虚拟电路动态地分派缓存区，既能保证业务量最低规定，又可以最有效地动态使用缓存区。充分缓存区随时可以适应进入节点大规模业务量，防止网络因发生与其她竞争对手业务常用拥塞和缓存区局限性而导致大规模丢弃现象，提高网络有效吞吐量。ATM上所开展业务，无论是帧中继，ATM还是IP业务都具备很强突发性。ATM骨干网互换机在除了可以建立连接与高速互换信元这些基本功能之外，也必要具备可以有效支持数据突发机制。这些机制有在ATMForum里已直接有所述(ABRExplcitRate,ABRVS/VD)，有些是间接规定(PerVCQ)，其中一种不在Forum直接规范范畴内，但已是学术界或工业界一致批准结论就是-网络数据在ATMVC上传播端到端性能取决于缓冲器大小。没有足够缓冲器，将导致在业务时突发时浮现严重数据丢失现象。当信元流失现象发生时，数据必要重发，这会导致客户应用层延迟增长，使客户吞吐量下降。如果网络拥塞现象依然存在，重发包/信元只会使拥塞恶化。重发包也会在网络里(拥塞处)被丢弃。综上所述，ATM技术以其优越流量管理机制、适应于各种QOS多媒体业务需求等特点在既有网络中得到较好验证。（5）、千兆位以太网（GigabitEthernet）千兆以太网原则已正式颁布。它可以在园区网中提供高达1Gbps带宽，同步提供对原有以太网环境自然简便升级方式。千兆以太网采用同以太网、迅速以太网、迅速以太网同样CSMA/CD合同、同样包格式及同样包长，简化了对顾客原有网络升级，提供了一定限度上投资保护。迅速以太网FDDIATM千兆以太网传播速率100M100M155M/622M1000M访问方式CSMA/CD，碰撞TOKENPROTOCOL，无碰撞QoS信元互换带优先级CSMA/CD，碰撞介质类型双绞线多模光纤单模光纤双绞线（CDDI）多模光纤单模光纤双绞线多模光纤单模光纤双绞线多模光纤单模光纤产品原则化限度高限度高实现方案接近原则实现方案原则价格低高高中拓扑构造星型构造双环构造星型构造星型构造合用范畴局域网城域网城域网园区网千兆以太网在保持迅速以太网CSMA/CD基本构造同步提供1000M带宽和优先级支持，基本上兼容广泛使用互换以太网，同步具备一定服务质量和服务类别(Qos/Cos)能力，具备平滑升级特性和优秀传播性能。互换式千兆以太网具备如下特性：(1)成熟性以太网技术发展到今天，各种原则已经逐渐完善，技术驱于成熟，是当前在计算机网络中应用较为广泛园区主干网技术。(2)扩展性以太网、迅速以太网均使用IEEE802.3原则，可以不用修改而将当前应用平滑过渡，并且千兆位以太网也使用了相似原则，保证与迅速以太网兼容性。(3)适应性千兆以太网具备很大应用空间。适合几乎所用应用。并且可以与各种类型传播介质连接，具备更强适应性。综上所述，千兆以太网技术是一种较优技术选取。园区网络主干技术选择毫无疑问，目前可行选择技术只有2种，即622MbpsATM和千兆以太网。下面对这2种技术在与IP相关多个方面进行了对比：千兆以太网（以帧方式传输）ATM（以信元方式传输）IP包传输效率采用ASIC芯片进行子网之间IP包传输，速度快。路由协议如OSPF由软件运行采用全双工操作以提高传输效率采用MPOA在子网之间传输IP包以旁路速度较慢路由器MPOA客户需要专用硬件支持这是一种捷径式路由技术，旁路了防火墙固定长度信元导致传送IP包效率不高服务级别和服务质量新IEEE802.3帧格式提供了数据包优先级别（CoS）和标准VLAN（IEEE802.1p/802.1Q）低延时（一般小于15μs）用户可以对流量进行优先化标识，在网络发生拥挤时保证高优先级应用响应时间交换机拥有多个不同级别输出队列IPTOS(TypesofService)提供IP层服务级别IPTOS中CoS位可以映射成ATMQoS可为每个虚连接分配一个队列为话音、视频和数据提供服务质量（分别为CBR、VBR和UBR）但LANE1.0并未使用CBR和VBR目前直接在VBR上开发应用几乎没有流量控制全双工操作及不同速率接口要求有流量控制802.3x可用于降低输入数据流速率需要TCP层流量控制流控实现有以下差异：潜在拥塞问题只能工作在全双工方式消耗带宽基于ABR端到端流控要求ATM站点和边缘交换机支持ABR未被普遍采用实现上难易程度交换机需要高速背板支持需要新硬件控制器第三层交换不要求对原网络进行彻底更新需要有系统方法设计和维护ATM网需要新硬件以支持MPOA客户用户需重新培训是否能保证网络平滑升级新帧格式向后兼容第三层交换不要求对原网络进行彻底更新利用MPOA在IP主机之间建立捷径式路经，MPOA要求硬件支持虚拟网用802.1Q建立基于端口VLANIntranet要求建立基于子网VLAN某些交换机支持基于策略虚拟网ATM强项VLAN与LANE和MPOA集成在一起每个端口可属于多个VLANIPMulticast第2、3层交换机使用IGMPSnooping技术自动设置IPMulticast小组某些第3层交换机还支持DVMRP路由协议可以建立点到多点虚连接第4层数据流控制ASIC硬件可辨认TCP端口号交换机可将Qos/CoS/ToS参数应用于交换数据流上对IP应用区分优先级无从以上对比可以看出，建设交换式IP园区骨干网所需功能用千兆以太网是完全可以实现。这主要是由于支持千兆以太网第3/4层交换机出现大大地增强了千兆以太网在园区地位，原来认为以太网一些不足，如对多媒体应用支持、灵活网络拓扑结构和多链路负载分享、基于标准虚拟网等，已被新技术和标准所解决。CISCO千兆以太网交换机在单模光纤上传输距离可达75公里，同时还支持IPoverSDH/SONET，使得这种技术能从园区扩展到城域网。ATM技术将继续在一定时期内在广域网领域发挥作用；对于那些要求有严格服务质量保证（例如利用ATM线路仿真技术提供高质量话音通讯）用户来说，ATM技术仍是值得考虑选择。但在大厦网络建设中骨干网络采用ATM网络，桌面采用以太网技术，就要通过ATM信元到以太网数据帧转换，增长了网络负载，减少了总体性能，并且ATM与以太网结合必要通过LANE（ATM局域网仿真），这样ATM上QoS技术就不能完全实现。但是本着发展性原则，咱们在选取设备时候，还要从技术发展长远考虑，因此采用设备完全是模块化设计，可以最大限度满足当前应用需求，又经济同步，提供可扩展插槽，为将来酒店发展预留空间，可以支持ATM、千兆WAN。当应用需求增长时，在当前网络平台基本上，只须添加某些扩展模块即可以平滑过渡到更高水准。针对希尔顿数码酒店详细状况和规定，本方案选取了中心互换机采用千兆级互换机，主干采用千兆以太网技术，与二级互换机连接；二级互换机采用10M/100M自适应互换机，实现到顾客互换100M。2.总体方案详解希尔顿数码酒店计算机应用重要以大量信息查询、信息检索、资源共享为主，传播信息有大量图片、图象、音频、数据，因而需要较大带宽和传播速率，本方案采用技术先进、并已形成国际原则千兆以太网作为主干网。以太网原则由IEEELAN-MAN原则委员会802.3工作组创立并维护。近几年，802.3z工作组致力于光纤和屏蔽跨接电缆集合（“短距离铜线”）千兆以太网解决方案。1997年春天，新工作组802.3ab成立，研究基于4对5类缆线“长距铜线”解决方案，其原则为4对5类UTP、最大长度100米千兆以太网连接，该原则为以太网MAC层定义了一种接口GMII（GigabitMediaIndependentInterface），还定义了管理、中继器操作、拓扑规则及四种物理层信令系统：1000Base-SX（短波长光纤）、1000Base-LX（长波长光纤）、1000Base-CX（短距离铜线）和1000Base-T（100米4对5类UTP）。注：1000Base-CX为150欧姆、平衡屏蔽特殊电缆集合，线速1.25Gbps，使用基于光通道8B/10B编码方式，其时间帧与光纤连接相似。千兆以太网也是以太网，可以保证产品向前兼容，重要有：互换机、上连/下连模块、网卡、千兆以太网路由器，以及一种新设备，叫缓存式分派机（buffereddistributor）。缓存式分派机是一种全双工、多端口类似集线器设备，将两个或工作在1Gbps以上802.3链路连接起来。缓存式分派机把分组转发到除源链路外其他所有链路上，提供共享带宽域（与802.3冲突域相对），也被称为“盒子中CSMA/CD”。它与802.3中继器（repeater）不同，容许在转发到达各链路帧之前先加以缓冲。作为共享带宽设备，缓存式分派器应与路由器和互换机区别开。配有千兆以太网接口路由器可以有支持高于或低于千兆速率背板，而连到千兆以太网缓存式分派器背板端口共享一千兆带宽，对于多端口千兆以太网互换机而言，其高性能背板可支持数千兆带宽。本方案主干核心级互换机采用CISCO6000千兆互换机，各楼层设立二台CISCO3548XL提供48个10/100M迅速以太网接口，两个扩展模块，可插接一种千兆GBIC光纤模块，进行链路上联至3508XL。另一种插槽插接一种千兆GBIC堆叠模块，堆叠分设备间3548XL。CISCO3548XL提供100M到桌面速率。考虑到千兆以太网卡价格比较昂贵，但是网络服务器往往是一种网络瓶颈，因而可以采用CISCO先进迅速以太网通道技术，实现互换机到服务器200M速率。CISCO6000千兆互换机预留插槽，可以满足希尔顿数码酒店信息中心网络扩充，以及与其她办公楼、开发楼光纤连接。分派线间设立比较多，由于考虑到大厦此后需要外租，外租单位不需作太大变动就可以与大厦网络系统独立出来，如果外租单位不具备管理能力，仍可以由大厦信息管理中心管理，并且同样具备良好安全性。并通过ciscowork对网络进行全面管理。互换技术VLAN技术应用为了加强网络系统安全性，防止广播风暴，有效运用网络带宽，减少网络负载，提高网络传播速率，采用VLAN（虚拟局域网）技术，依照互换机端口将网络划分为客房（VLAN1）、宾馆（VLAN2）、服务（VLAN3）、管理层（VLAN4）四个VLAN，VLAN之间通过ISL形成网络主干，使广播包限制于VLAN内。每个VLAN必要设立自己安全属性、访问级别、QoS（服务质量）、CoS（服务级别）。VLAN安全属性访问级别QoS应用管理最高专有权限中级酒店办公中枢系统客房高设定私有帐号高档客人远程访问宾馆中内部设立权限低档寻常办公服务中GUEST高档Web服务VLANs容许网络管理人员使用相应虚拟网络软件设计、修改和管理网络而无需变化网络物理构造。一种虚拟网是一种广播域，它不受路由器限制。实现虚拟网后，网管人员无需变化网络物理构造，就可依照部门性质和公司需求建立和配备“虚拟网络”。使用VLAN管理软件创立虚拟网具备诸多长处：·迅速构成VLAN而无需变化其网络物理构造；·为每个VLAN分派它所需要带宽；·在网络环境中增长安全性；·优化VLANs以适应某种特殊应用需要；虚拟网设计中重要考虑了下面因素：·定义：虚拟网定义决定了实现虚拟网方案。1）依照互换机端口定义：可以设定一系列端口，使它们在同一种广播域中。2）依照MAC地址定义：将特定MAC地址集合汇集成虚拟网。3）依照IP定义：依照计算机IP地址子网号划分虚拟网。4）依照应用定义：考虑到应用对带宽和服务级别不同规定，综合上面1-3种定义。·监控：可以监视虚拟网运营状态、阻塞状况、安全状况等。老式LAN普通是以广播方式工作，而网络监控是通过一台相连网控设备收集并解决。互换机由于有专门连接而变化了这种网络监控追踪技术，重要方式有：嵌入式监控2）外部监控3）内置智能代理·路由：虚拟网之间如何互连，涉及虚拟网互连路由算法及实现方式。使用老式路由器分布式/集中式虚拟路由·基于方略管理：基于方略管理，是虚拟网中最高境界。顾客都要通过某种技术来达到其应用目，基于方略管理正是将规则和限制嵌入整个网络管理系统种。NetFlow技术

NetFlow重要功能在于它可觉得服务供应商和公司提供网络容量规划、趋势分析以及数据优先级方面信息。这项技术也可以用于基于IP计费应用和服务级别保证（SLA）校验服务。

NetFlow工作原理重要是：NetFlow先记录下初始化IP包数据，如IP合同类型、服务种类（ToS）、接口标记等，然后，为了更有效对数据进行匹配和计数，NetFlow让随后数据在同一种数据流中进行传播，同步，对它们使用各自相应服务，如安全性过滤、QoS方略、流量策划等。实时数据被存储在NetFlow缓存中，通过读取操作指令就可以重新找回。是为酒店客户提供高优先级别QoS保证。

在NetFlow基本上，Cisco公司又提出了NetFlow方略路由（NPR）技术。这个基于CiscoIOS服务技术，提供了流量规划、IP预先分类功能，为方略路由提供了高效、高性能NetFlow机制。由于NPR也支持CEF体系构造，因而可以用于分布式平台上。

对Internet访问采用稳定、可靠、高速率DDN专线连接（详细收费状况与本地电信部门联系），可以进行64K/128K/2M连接，考虑希尔顿数码酒店信息中心应用需求及经济性原则，建议采用2M方式。通过CISCO路由器及DTU与本地数据局进行点对点连接，CISCO路由器有较好扩展性，可以满足顾客将来对ISDN、帧中继需求，保护顾客投资。并且可以通过路由器自代IOS操作系统，设立包过滤机制，实现防火墙功能，加强公司网安全机制，防止网络袭击。为了保证酒店网络稳定运营，应当提供广域网线路冗余，建议采用价格低廉、稳定ISDN线路作为备份，防止DDN专线浮现意外故障时，网络仍可以正常工作。为了给酒店客人提供完善办公环境，建议采用VPN远程连接服务。VPN远程连接服务与电话拨号比较：带宽：电话拨号网络传播速率受电话线路限制只能达到14kbps，而VPN连接可以保证在56kbps速率，消除了客人上网瓶颈，上网速率更快捷。费用：免除了远程电话拨号长途电话通信费用，只收取本地市话费用。安全：采用VPN原则合同（L2TP）和ciscoIpsec隧道加密合同，使客人在网络上传播数据通过56位加密保护，保证了客人利益。应用：客人通过INTERNET只能远程访问公司网页、及进行邮件收发等简朴应用，而通过VPN，客人可以通过自己在公司帐号、密码建立与公司网络专线，直接访问公司资源，犹如在公司局域网上同样，实现真正远程办公。在当代社会中，国家、组织或其她团队强大与否很大限度依赖于其信息流。信息流必要要以安全可靠方式从源端传送到目端，这样接受者才干拟定所接受信息与发送信息是一致，并且某种类型信息不应当被网络上其她主机所辨认。在安全面，路由器是保证网络安全第一关，其保护方略是以访问表形式进行，被创立访问表可以被用来容许或回绝信息流通过一种或各种路由器接口。访问表对CISCO安全是至关重要。保证安全有诸多因素，其中最为重要是控制报文流进入网络，通过检测报文头部信息来防止特定报文进入一种网络，称为“报文过滤”，“报文过滤”让顾客可以基于报文源IP地址、目IP地址和应用类型控制流入网络数据流。在诸多状况下，路由器是管理边界，管理域表达网络设备普通分组，网络设备可以是被单个管理组织所维护如工作站、服务器、路由器等。不同管理域有不同安全方略，路由器所承担一项功能是将这些分离管理域连接起来。路由器作为一种园区LAN与Internet或各种园区网之间连接点来承担这项任务。在这种状况下，由于两个管理域之间互通报文都要通过路由器，因此路由器是唯一适合于过滤报文设备。并且对于地理上分离组织，路由器对数据网络连接是必要，因此不再需要其她附加设备和软件就可以实现报文过滤安全功能。尽管在许多服务器平台上可以安装特别硬件来提供分离组织之间WAN连接，但这种方案扩展性并不好。服务器普通不能提供CISCO路由器中这样齐备合同和物理接口。因此大型组织乐于选取这种成熟解决方案。CISCOIOS操作系统中包括了创立一种复杂边界安全解决方案所有功能。对于希尔顿酒店网络系统还要需要更高安全保护办法，因而建议采用CISCOPIX防火墙作为酒店网络结实防御系统。CISCOPIX防火墙面向固定连接线路安全性防护装置提供了极高安全性，采用基于自适应安全性算法（ASA）防护方案，可有效防止网络黑客入侵。所有进入网络数据包都将与基于ASA算法建立起涉及源地址，目地址，端标语码及TCP序列号等数据列表项目相比较，只有列表项目中存在相应连接线路，才可以通过防火墙访问。网络安全防范技术当前，网络安全防范技术重要从网络访问和网络合同入手，有下面某些详细技术。1.密码学技术密码学技术不只局限于对数据进行简朴加密解决，而是涉及加密、消息摘要、数字签名及密钥管理在内所有涉及到密码学知识技术。网络安全服务实现离不开加密技术支持，应用加密技术不但可以提供信息保密性和数据完整性，并且可以保证通信双方身份真实性。2.访问控制访问控制是依照网络中主体和客体之间访问授权关系，对访问过程做出限制，可分为自主访问控制和强制访问控制。自主访问控制重要基于主体及其身份来控制主体活动，可以实行顾客权限管理、访问属性（读、写、执行）管理等。强制访问控制则强调对每一主、客体进行密级划分，并采用敏感标记来标记主、客体密级。3.身份认证身份认证重要是通过标记和鉴别顾客身份，防止袭击者假冒合法顾客获取访问权限。对于普通计算机网络而言，重要考虑主机和节点身份认证，至于顾客身份认证可以由应用系统来实现。4.安全审计安全审计通过对网络上发生各种访问状况记录日记，并对日记进行记录分析，从而对资源使用状况进行事后分析。审计也是发现和追踪事件惯用办法。5.安全监控安全监控技术重要是对入侵行为及时发现和反映，运用入侵者留下痕迹（试图登录失败记录、异常网络流量）来有效地发现来自外部或内部非法入侵；同步可以对入侵做出及时响应，涉及断开非法连接、报警等办法。安全监控技术以探测与控制为主，起积极防御作用。6.安全漏洞检测安全漏洞检测技术是指运用已知袭击手段对系统进行积极弱点扫描，以求及时发现系统漏洞，同步给出漏洞报告，指引系统管理员采用系统软件升级或关闭有关服务等手段避免受到这些袭击。以上是最基本网络安全技术，其她尚有例如SSL、SHTTP、SOCKS、IPSec和SET等各种安全合同和安全技术，均是对这些技术不同应用和扩展。当前网络安全产品市场上主流产品有防火墙、VPN和入侵检测系统等，它们功能、对有关袭击防范办法各不相似。防火墙防火墙是当前使用最广泛一种网络安全产品。从技术角度来讲，防火墙有3种体系构造：代理型防火墙、包过滤型防火墙和电路型防火墙。但当前市场上防火墙产品重要以应用代理和状态包过滤（StatefulPacketFiltering）防火墙为主。状态包过滤是一种通过跟踪网络连接状态并依照状态信息动态进行包过滤机制。以FTP合同为例，FTP合同指令通过20号端口，而数据通过21号端口进行传播。状态包过滤防火墙对其解决过程如下：当防火墙收到FTP客户端向合法FTP服务器20号端口发来连接祈求，会在连接状态表中记录本次连接有关信息，涉及源地址和目地址、端标语、TCP序列号以及其她标志等，之后防火墙只容许从该FTP服务器20号和21号端口向客户端祈求端口传播合法命令和数据。在这个过程中，防火墙通过记录连接状态，设立了动态存取控制规则，更有效地抵制非法数据包。如果袭击者想穿透该防火墙，需要伪造IP地址、端标语、TCP序列号和其她IP标记，难度很大。通过防火墙合理配备可以抵制如下各种网络袭击。防火墙带有多块网卡，不同网卡相应于不同网段，通过将网卡与相应网段绑定，可以有效抵制地址欺骗袭击；防火墙可以配备阻塞ICMP报文，只容许某些类型（例如回应祈求类型）ICMP数据报文通过，从而抵制“pingofdeath”之类袭击；使用NAT功能，所有从防火墙流出IP数据包源地址均为防火墙上保存合法IP地址，不但可以使内部主机共享有限InternetIP地址，并且可以隐藏内部网络信息。但是该功能将会对数据包解决速度导致一定影响；防火墙可以配备成阻塞ActiveX和JavaApplets，防止恶意程序对内部主机进行袭击；防火墙除了可以对主机地址、网卡地址和主机名进行认证之外，还可以实现基于顾客身份认证，例如采用口令认证、RADIUS认证以及硬件参加认证等等，有效地防止地址欺骗、身份冒用等袭击。在选购防火墙时候重要应当考虑安全性、高效性、可管理性和合用性等因素。1.安全性是评价防火墙好坏最重要因素，由于购买防火墙重要目是为了保护网络免受袭击。但是安全性不像速度、配备界面那样直观，便于预计，往往被顾客所忽视。对于安全性评估需要配合使用某些袭击手段进行。2.性能重要涉及2个方面：最大并发连接数和数据包转发率。最大并发连接数是衡量防火墙可扩展性一种重要指标。数据包转发率是指在所有安全规则配备对的状况下，防火墙对数据流量解决速度。购买防火墙需求不同，对这2个参数规定也不同。例如一台用于保护电子商务Web站点防火墙，支持越多连接意味着可以接受越多客户和交易，因此防火墙可以同步解决各种顾客祈求是最重要，哪怕每个连接流量很小。但是对于那些经常需要传播大文献，对实时性规定比较高顾客，高包转发率则是关注重点。3.防火墙管理简朴是对安全性一种补充。当前诸多防火墙被攻破大多数不是由于程序编码问题，而是管理和配备错误导致。对管理评估可以从如下3个方面进行。（1）远程管理容许网络管理员可以远程对防火墙进行干预，并且所有远程通信需要通过严格认证和加密。例如管理员下班后浮现入侵迹象，防火墙可以通过发送电子邮件方式告知该管理员，管理员可以远程封锁防火墙对外网卡接口或修改防火墙配备。（2）访问控制规则配备界面应当直观、使用简朴。大多数防火墙产品都提供了基于Web方式或GUI配备界面。（3）日记文献不但可以协助顾客追查袭击者踪迹，还可以记录流量。防火墙某些功能可以在日记文献中得到体现。防火墙提供灵活、可读性强审计界面是很重要，例如顾客可以查询从某一固定IP地址发出流量，访问服务器列表等等。由于袭击者可以采用不断地添写日记以覆盖原有日记办法使追踪无法进行，因此防火墙应当提供设定日记大小功能，同步在日记已满时予以提示。4.合用性是指量力而行，防火墙也有高低端之分，配备不同，价格不同，性能也不同。在购买防火墙时候应挑选可以满足流量规定即可，并不需要盲目追求高性能。尚有，有些防火墙功能非常强大，管理配备需要有网络和安全专业知识，在购买时应当考虑自己与否需要这些复杂功能。路由器实现功能DDN数字数据网数字数据网(DigitalDataNetwork)是运用数字信道传播数据信号数据传播网，它传播媒介有光缆、数字微波、卫星信道以及顾客端可用普通电缆和双绞线。运用数字信道传播数据信号与老式模仿信道相比，具备传播质量高、速度快、带宽运用率高等一系列长处。DDN向顾客提供是半永久性数字连接，沿途不进行复杂软件解决，因而延时较短，避免了分组网中传播时延大且不固定缺陷；DDN采用交叉连接装置，可依照顾客需要，在商定期间内接通所需带宽线路，信道容量分派和接续在计算机控制下进行，具备极大灵活性，使顾客可以开通种类繁多信息业务，传播任何适当信息。DDN有四个构成某些：数字通道、DDN节点、网管控制和顾客环路。(1)DDN是同步数据传播网，不具备互换功能。但可依照与顾客所订合同，定期接通所需路由（这便是半永久性连接概念）。(2)传播速率高，网络时延小。由于DDN采用了同步转移模式数字时分复用技术，顾客数据信息依照事先商定合同，在固定期隙以预先设定通道带宽和速率，顺序传播，这样只需准时隙辨认通道就可以精确地将数据信息送到目终端。由于信息是顺序到达目终端，免除了目终端对信息重组，因而，减小了时延。当前DDN可达到最高传播速率为155Mbit/s，平均时延≤450us。(3)DDN为全透明网。DDN是任何规程都可以支持，不受约束全透明网，可支持网络层以及其上任何合同，从而可满足数据、图像、声音等各种业务需要。三、节点类型在“中华人民共和国DDN技术体制”中将DDN节点提成2兆节点、接入节点和顾客节点三种类型。1、2兆节点2兆节点是DDN网络骨干节点，执行网络业务转换功能。重要提供2048kbit/s(E1)数字通道接口和交叉连接、对N*64kbit/s电路进行复用和交叉连接以及帧中继业务转接功能。2、接入节点接入节点重要为DDN各类业务提供接入功能，重要有：1、N*64kbit/s、2048kbit/s数字通道接口；

2、N*64kbit/s(N=1~31)复用；

3、不大于64kbit/s子速率复用和交叉连接；

4、帧中继业务顾客接入和本地帧中继功能；

5、压缩话音/G3传真顾客入网。3、顾客节点顾客节点重要为DDN顾客入网提供接口并进行必要合同转换。它涉及小容量时分复用设备；LAN通过帧中继互联网桥/路由器等。在实际组建各级网络时，可以依照网络规模、业务量等详细状况，酌情变动上述节点类型划分。例如：把2兆节点和接入节点归并为一类节点，或者把接入节点和顾客节点归并为一类节点，以满足详细状况下需要。ISDN技术ISDN是一种能提供较高带宽和稳定连接新型Internet接入方式，在一种B通道状况下，就可以提供64K带宽，当使用2B通道时就可提供128K高速通道，其性能已与DDN十分相近。

特点：迅速一条ISDN线传播速率64kpbs～128kbps，ISDN呼喊建立只需几秒钟。可靠ISDN提供端到端数字连接，更少重传和误传。经济一条线可以同步上网和打电话，传播能力强，节约通信费用。DDN专线接入资费表带宽类别初装费租用类别月流量费调测费基带Modem19.2-64Kbit/s40009900限流量1G/月，超过某些6元/M4000元包月制7700元/月，不限流量7700元64-128Kbit/s4000

9900限流量1G/月，超过某些6元/M5000元包月制1.3万/月，不限流量13000元128-256Kbit/s400013900限流量1G/月，超过某些6元/M7000元包月制2.1万/月，不限流量21000元256-512Kbit/s400013900

限流量1G/月，超过某些6元/M9000元包月制3.4万/月，不限流量34000元ISDN专线接入资费表带宽类别初装费租用类别月基本费调测费端口占用费64Kbit/s（1B）2450免包月制3千/月，不限流量元/月128Kbit/s（2B）

2450免包月制5千/月，不限流量3500元/月VPN技术VPN技术力求带给用户是在公网之上为企业构筑安全可靠，方便快捷企业私有网络，并为企业节省资金。根据业务类型，VPN业务大致可分为三类，引用Cisco定义方式，将三种用户需求定义为：IntranetVPN、AccessVPN与ExtranetVPN。所谓IntranetVPN即企业总部与分支机构间通过公网构筑虚拟网。AccessVPN是指企业员工或企业小分支机构通过公网远程拨号方式构筑虚拟网。ExtranetVPN即企业间发生收购、兼并或企业间战略联盟，使不同企业网通过公网来构筑虚拟网。其中我们通常把AccessVPN叫做拨号VPN，即VPDN，将IntranetVPN和ExtranetVPN统称为专线VPN或场地到场地VPN。根据上述分类，作为拥有网络资源大型ISP，推广VPN业务种类也相应分为拨号VPN业务和专线VPN业务两类，下文分别加以讨论。拨号VPN业务拨号VPN是对ISP最具实际意义解决方案。拨号VPN隧道发起又分为由用户发起、ISP拨号服务器（NAS）发起或企业网远程路由器发起三种。真正对ISP具有实践意义是通过NAS发起VPDN。该VPN核心是通过L2TP（LayerTwoTunnelProtocol）协议，来实现第二层隧道封装。通过L2TP开展VPDN，能为用户带来这样利益：客户到ISP各节点出差或办公时，可通过当地市话直接拨号上网，并访问企业网。以中国电信169为例，若开通了VPDN业务，公司员工到各地出差时，只需拨打当地169，然后输入用户名、口令即可。认证结束后，用户可以直接登录到自己公司NT域服务器上，与其她员工共享信息。L2TP实现根本意义在于：企业网可以真正用来管理自己用户。企业员工不必在ISP上拥有自己账号，员工可以使用自己在企业网中账号和口令拨号上网。企业员工通过上网可以真正得到企业网中可用信息，而这些企业网信息是通过公网上普通拨号上网无法得到。ISP仅针对企业收费，企业帮助ISP发展了用户，提高了ISP拨号设备端口利用率，增加了ISP收入。企业员工也因此节省了远程拨号费用，得到有用企业网信息，双方均可受益。ISP在实现VPDN业务时，急需解决是下述两个问题。1．不同厂商设备互操作性VPDN实现需要拨号服务器和企业网网关（通常是企业网与ISP互联路由器或防火墙）互通。在L2TP协议中将ISP拨号服务器定义为LAC（L2TPAccessConcentrator），将企业网网关定义为LNS（L2TPNetworkServer），鉴于L2TP协议并没有最终标准化，因此LAC和LNS互操作性始终令人放心不下。目前，在国内拨号服务器市场中，占有量最大设备是CiscoAS5x00、华为QuidwayA8010等。企业网网关设备中Cisco路由器占有较大优势，Bay公司和3Com公司路由器也拥有一定市场份额。2．对VPDN认证、计费设备互操作性仅仅满足了ISP业务开展初步要求，而业务开展根本要求是VPDN认证、计费。提到拨号用户认证和计费，我们必须看到RADIUS（RemoteAuthenticationDialInUserService），RADIUS是实现拨号用户认证和计费关键所在。ISP需要运营模式是建立中心RADIUS服务器，各节点RADIUS服务器将VPDN访问请求包，作为漫游包送到中心RADIUS认证，中心RADIUS服务器，通过拨号用户名中Domain部分（即中）来认证用户，并返回认证通过或认证拒绝包。NAS通过本地RADIUS转发得到该认证包。并发起与远端企业网网关L2TP隧道，真正用户名与口令认证是在隧道初始化时，在企业端RADIUS服务器上实现。值得注意是：由于L2TP标准化没有最终完成，各厂商与L2TP相关属性定义方式可能不同，因此，在RADIUS中定义L2TP相关属性需根据不同厂商定义，采用不同方法予以实现。VPDN计费是ISP更为关心问题。现实解决方案是：通过ISP端中心RADIUS对企业用户进行统一计费，企业端RADIUS起到了认证和监督作用。为企业查账方便，ISP可将企业中每个员工具体使用情况交付企业，但只向企业发送一个账单。针对VPDN企业用户，ISP甚至可以在实际运营中适当调整资费，减少上网费用，鼓励企业用户多多上网。可以估算，在VPDN业务中，增加一个中等规模企业用户，相当于发展了至少100个个人用户！专线VPN业务专线VPN为用户提供应是安全可靠，并具有QoS保障虚拟专网。专线VPN目标市场有三类客户：第一类是国家政府机构，各大部委；第二类是在国内各地拥有众多办事处大型企业；第三类是在华经商外企分支机构。今年是政府上网年，专线VPN技术又恰恰能够解决国家政府机关、各大部委上网、安全及互联问题。因此，最有市场发展前景。政府机关通过ISP分布在全国各地节点直接上网，IPSEC可以实现各分支机构隧道建立和安全通信，为特定政府部委（如海关，税务等）安全需求提供了保障。针对第二类用户，ISP可通过批发VPN端口对其提供服务。企业网各节点通过ISPVPN设备进行接入，完成企业网内部通信要求。该项业务可以同VPDN一起，由ISP为企业提供全面VPN解决方案。对于第三类用户，客户群虽然较大，但企业总部设在国外，只有企业IT经理才能决定在企业网上是否应用VPN技术。因为将通过国际链路，跨越多个ISP，国内ISP无法保障其应用所需QoS。企业网建设者可以完全不依赖ISP通过公网来实现VPN。对ISP而言，企业通过Internet上网建立其Intranet（企业节省了国际专线费用），已为ISP带来了利润。专线VPN通常是由IPSEC协议来实现。IPSEC是一套完整协议，它定义了在公网上安全传输数据方式。IPSEC复杂性来源于防止网络上窃听者对数据篡改，并确保数据通信双方身份，对数据进行安全加密。其中，通信双方加密密钥交换，安全信任关系确立（即建立SecurityAssociation）是IPSEC实现关键。在Internet密钥交换（即IKE）实现方式上，又有手工配置方式，Pre-ShareKey方式和CA中心方式三种方式。专线VPN对ISP而言，另一个重要功能就是为用户提供QoS保障。在基于ATM或FrameRelayISP骨干网上实现QoS并不是很难事情，但在基于传统IP路由骨干网络上实现QoS，却非常困难，这是由IPv4先天不足所决定。尽管从RFC2205到RFC2210，IETF详细定义了资源保留协议RSVP（ResourceReservationProtocol），Cisco也为在IP网上实现QoS，作了大量努力：WFQ、PriorityQueue、CustomQueue等多种不同方法均可以对链路实现QoS保障，但上述QoS实现技术在ISP中并未得到真正推广。国家公众多媒体骨干网带宽已有155M，在带宽还没有被充分利用时，划出一部分带宽为国家部委或政府机关提供VPNQoS保障是完全可行。-另外，GRE（GenericRoutingEncapsulation）是一种简单专线VPN实现方式，GRE并未对数据进行真正加密，它仅仅是将IP数据包封装在以封装路由器为源地址，以目路由器为目地址数据包内。GRE实现对ISP实践意义在于以下几点：专线用户可携带与ISP所管辖自治域系统不同IP地址块上网，通过在ISP第三层网络上实现GRE封装，使上述需求成为可能。试举例如下：中国教育科研网节点A，因缺乏长途专线，无法接入教育网当地核心节点B。但节点A和节点B可以同时接入电信169网，通过GRE简单实现，节点A就像直接接入节点B一样，通过Traceroute命令来测试，我们仅看到路由从节点A直接跳到节点B，并无169网若干中间路由器。将企业用户非IP网络（如IPX、APPLETALK）通过Internet建立隧道。使非IP企业网能够通过ISP网络轻松互联。节省ISPIP资源，使专线用户采用保留地址上网。企业各分支机构均采用其自己定制保留地址，在企业总部采用NAT技术，让整个企业网访问Internet。VPN安全合同概览PPTP－PointtoPointTunnelProtocal点对点隧道合同这是一种最流行Internet合同，它提供PPTP客户机与PPTP服务器之间加密通信，它容许公司使用专用“隧道”，通过公共Internet来扩展公司网络。通过Internet数据通信，需要对数据流进行封装和加密，PPTP就可以实现这两个功能，从而可以通过Internet实现多功能通信。这就是说，通过PPTP封装或“隧道”服务，使非IP网络可以获得进行Internet通信长处。但是PPTP会话不可通过代理器进行，PPTP是Microsoft和其他厂家支持原则，它是PPTP合同扩展，它可以通过Internet建立多合同VPN。L2TP－Layer2TunnelingProtocol第二层隧道合同除Microsft外，另有某些厂家也做了许多开发工作，PPTP能支持Macintosh和Unix，CiscoL2F（Layer2Forwarding）就是又一种隧道合同。Microsoft、Cisco和其他某些网络厂商正一起努力使L2F与PPTP融合，产生一种新L2TP合同。PPTP和L2TP十分相似，由于L2TP有一某些就是采用PPTP合同，两个合同都容许客户通过其间网络建立隧道，L2TP正在由涉及Microsoft在内几家厂商开发。L2TP还支持信道认证，但它没有规定信道保护办法。IPSEC—InternetPortocolSecurity因特网合同安全性该合同正在IETF（因特网工程任务组）指引下开发。开发这个合同目是要解决当前合同中存在某些缺陷，这个原则开发完毕最快也要在一年后来。Microsoft承诺支持L2TP和IPSEC。IPSEC是由IETFIP安全性工作组定义合同集，它用于保证网络层之间安全通信。该合同草案建议使用IPSEC合同集保护IP网和非IP网上L2TP业务，以及如何将IPSEC和L2FP一起使用，但它并未试图将端对端安全性原则化。SOCKsSOCKs是一种网络连接代理合同，它使SOCKs一端主机完全访问SOCKs；而另一端主机不规定IP直接可达。SOCKs能将连接祈求进行鉴别和授权，并建立代理连接和传送数据。SOCKs通惯用作网络防火墙，它使SOCKs背面主机能通过Internet获得完全访问权，而避免了通过Internet对内部主机进行未授权访问。当前，有SOCKsV4和SOCKsV5二个版本，SOCKsV5可以解决UDP，而SOCKsV4则不能。防火墙功能防火墙处在5层网络安全体系中最底层，属于网络层安全技术范畴。在这一层上，公司对安全系统提出问题是：所有IP与否都能访问到公司内部网络系统？如果答案是：“是”，则阐明公司内部网还没有在网络层采用相应防范办法。作为内部网络与外部公共网络之间第一道屏障，防火墙是最先受到人们注重网络安全产品之一。虽然从理论上看，防火墙处在网络安全最底层，负责网络间安全认证与传播，但随着网络安全技术整体发展和网络应用不断变化，当代防火墙技术已