网络安全及管理

第4章　计算机网络系统

4.1　网络的作用、内容及要求

4.1.1　概述

随着我国经济的高速发展和综合国力的不断增强，我国的世界地位日益提高，众多的大型国际会议经常在我国召开，2010年上海世博会、2011年深圳大运会以及2012年的广州亚运会都是促进全国旅游业发展的一个好机遇。这几项全球注目的盛事将给旅游业创造极好的机会，也给酒店行业的发展带来极大的促进作用。同时，商务部高度重视中国的酒店与餐饮业，在扩大内需、拉动消费方面，将大力发展酒店与餐饮业。预计2008年以及2010年酒店行业效益增长的局面会呈直线上升趋势，根据规划，到2015年全国将新增各类住宿设施约20万家，其中星级酒店约1万家，五星级酒店将超过500家，对休闲度假酒店的需求也将成倍增长。在旺盛的旅游度假需求的推动下，众多世界顶级的酒店管理集团正在中国迅速布阵，2007年至今酒店业资本市场的充分活跃也表明了酒店业发展的广阔前景。

酒店行业在快速发展的同时，竞争也日趋白热化。如何建立酒店品牌，提供差异化服务，发展并保持品牌忠诚度和差异化？如何满足客户多样化服务要求？如何提高客户安全感和满意度？如何提供不同用户的个性化服务？如何增加收入，提高投入产出比，增加利润？如何改善内部运营效率，提高生产率？如何扩大酒店规模，优化投资？

图4.1　计算机网络楼层结构图

提高自身的管理水平和服务质量，提供个性化、差异化的服务，就成为吸引顾客、稳定客源的决定因素。数字化、智能化已成为当今酒店发展的主要核心竞争力之一。这就要求利用信息技术，提供更有效的精细化管理，优化自身服务，提高投入产出比，打造新一代的智能数字酒店。图4.1所示为酒店计算机网络楼层结构图。

通过数字化酒店信息建设，利用高速发展的信息技术，可以使更多客户了解酒店信息，扩大经营范围；可以为客户提供高速的宽带访问、VOIP、VOD等个性化服务；可以提升内部工作效率，提高客户满意度，降低运营成本。

4.1.2　网络建设的内容和要求

现代化的酒店要求计算机网络系统以提高办公效率、服务质量，增强网络安全性和可靠性为目的，总结为以下几个要点：

1）构建高性能的网络

（1）整个网络的出口处设置一台高端路由器，专门对Internet访问进行管理，确保Internet高速访问。

（2）使用高端核心路由交换机。高端核心交换机能够提供高性能的数据转发，实现丰富的业务特性，不会成为整个网络的传输瓶颈。

（3）通过在核心交换机上配置防火墙、IPS、无线等业务插卡，实现安全融合网络，保障整个网络的安全可控。同时，避免安全设备成为网络数据传输的瓶颈。

（4）构建高性能的网络。

2）构建高可靠的网络

（1）核心交换机和出口路由器作为内部网络和Internet接入的核心设备，需要具备高可靠性能核心交换机配置双机热备，每台核心交换机配置2套电源模块和路由交换引擎；出口路由器配置冗余双主控引擎及双电源。通过双机热备的设计方式，能够实现业务的负载均衡，提供高性能的数据交互；在某个主控引擎出现故障的情况下，能够迅速地将业务切换至正常工作的主控引擎上来，并且需要保证切换过程不会出现数据丢失的状况，以保障各种业务的不中断运行。

（2）核心交换机必须支持智能防护功能，能够主动防御对网络设备发起的地址扫描、DoS/DDoS、ARP攻击等网络攻击行为，具有对广播/组播报文进行限速等安全防护功能。

（3）全面融合的安全网络。在核心交换机上配置防火墙插卡、无线控制器插卡模块、千兆防御系统模块等，插卡于核心交换机之间通过高速背板互联，消除数据传输瓶颈，提供了网络的可靠性。

3）构建高安全的网络

（1）在核心交换机上配置防火墙和入侵防御系统板卡，实现高度集成安全，实现各个区域的安全隔离；采用虚拟防火墙技术，将单个物理防火墙逻辑上划分为多个虚拟防火墙，每个虚拟防火墙和VPN进行绑定，实现安全策略的灵活绑定。

（2）在网络出口部署应用控制设备，实现对网络中的P2P/IM带宽滥用、“一拖N”、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，可对网络流量、用户上网行为进行深入分析与全面的事后审计，并具有强大的URL过滤功能，进而为用户优化其网络资源、全面了解网络应用模型和流量趋势、开展各项业务提供有力的支撑。

4）构建易管理的网络

（1）全面的设备管理。网管系统要能够实现对主流厂商的设备全面管理，避免一套网管只能管理一家设备的情况。除了传统的路由器、交换机之外，网络管理系统还要对网络中的诸如安全、存储、服务器、UPS等设备进行管理，实现设备资源的集中化管理。

（2）灵活方便的拓扑管理。网管系统要支持丰富、灵活的拓扑管理方式。

（3）智能告警。网管系统必须能够自动汇总全网故障设备，并形成列表，使管理人员能够快速、清晰地找到需要关注的故障设备。

（4）性能管理。网管系统不能单是设备简单的管理，还要为网络优化提供依据。网管系统必须能够对网络中的流量、带宽利用率、设备内存、CPU的利用率、设备不可达等性能提供全面的数据报表，为网络的后续优化提供全面的数据支撑。集中的设备配置和设备软件管理。网络管理系统必须能够对网络设备的软件和配置进行批量化操作，简化设备升级或配置更新、恢复的工作。

4.2　网络设计

4.2.1　系统设计

1）设计原则

（1）高性能

目前网络主要作为数据、视频、语音的综合承载平台，核心交换机需要提供充足的带宽和高品质的服务质量，采用最新科技，以适应大量数据传输以及多媒体信息的传输，在国内三到五年内保持领先水平，并具有长足的发展能力，以适应未来网络技术的发展。如：核心交换机必须具备全分布式、线速交换能力，支持丰富的业务扩展模块。

（2）高可靠

网络系统是日常业务和各种应用系统的基础设施，应保证工作日和重点时期不间断运行。整个网络应有足够的冗余，设备在发生故障时能以热插拔的方式在最短时间内加以修复。可靠性还应充分考虑网络系统的健壮性，使整个网络具有一定的容错能力，减少单点故障。

（3）标准化

所购网络设备应符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。

（4）可扩展性

网络设备不但要满足当前需要，并在扩充模块后满足可预见的未来需求。网络设计要考虑本期网络系统应用和今后网络的发展，便于向更新技术的升级与衔接。要留有扩充余量，包括端口数量、带宽、业务保障的升级能力。

（5）易管理性

网络设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络配置，发现故障。

（6）支持多媒体

新增设备必须支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务，具有多种基于优先级队列的QOS保证，多媒体应用对服务质量有很高的要求，如带宽、延迟等，需要网络对服务质量（QOS）有很好的支持。

（7）安全性

网络系统中传输的数据和文件通常要求具有高度的安全性，因此，网络设备本身要有较高的安全性，对使用的信息进行严格的权限管理，在技术上提供先进的、可靠的、全面的安全方案和应急措施，确保系统万无一失。同时符合国家关于网络安全的标准和管理条例。

2）解决方案

从客人接受服务的角度、酒店业务及管理实现角度以及酒店运营管理节能化角度进行考虑，未来的智能化数字酒店至少应包括以下系统：酒店宽带网络系统、酒店门锁系统、客房控制管理系统、背景音乐紧急广播系统、KTV/VOD点播系统、VOIP电话系统、多媒体商务会议系统、楼宇自动化管理系统、餐饮管理系统、酒店一卡通（消费、娱乐、门禁、考勤等）系统、综合保安（闭路监控、门禁、入侵报警、巡更、停车场管理）系统、触摸查询系统、酒店智能管理系统（节能）、无线通信转发系统，以及酒店办公自动化系统等；通过这些子系统共同形成数字酒店综合管理系统，通过对酒店内公共环境和运作流程的直接监督和分析，为客户提供贴身服务的同时，使酒店经营及管理更加高效、先进、科学，时刻处于一个稳定的良性循环中。

由于技术发展以及管理性、连通性等需求，智能数字酒店信息网络、智能楼宇系统、智能商业建筑网络系统承载网络IP化融合成为趋势，考虑到酒店未来业务发展的需要，进行网络设施建设时需要考虑基础设施要满足未来业务发展的需求，设备应具有良好的扩展性、稳定性、可靠性和安全性，同时要管理简单、便捷，易于部署、维护。

3）核心层设计

作为酒店的数据中心和网络管理中心，核心层网络负载较大，运行可靠性要求高，因此，核心层设计必须遵循高性能、高可靠、高安全、易管理的设计原则。

（1）路由器

在外网进网处设计一台高端路由器，代替普通的防火墙作为内部网络访问Internet的出口路由，具有高端的性能，完全满足外网接入需求。路由器的主控单元和电源模块均为双机冗余式设计，以确保设备的可靠性。同时为路由器配置一块多端口电接口模块，在有多根运营商接入时可以满足要求，方便扩展。

（2）应用控制网关

在路由器与核心交换机之间配置一套ACG应用控制网关，对整个网络的外网访问进行统计和控制，对整个网络的外出访问流量进行有效的管理，保证了整个网络的安全性和可管理性。

该控制网关应具备如下功能：

①强大的P2P/IM业务监控

能精确检测Thunder（迅雷）、BitTorrent、eMule、eDonkey、QQ、MSN、PPlive等近百种P2P/IM应用。同时，可基于时间、用户、区域、应用协议等，对P2P/IM应用进行告警、限流、干扰或阻断。

②完善的安全审计系统

可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方位的行为监控和记录；同时，通过综合分析、检测用户网络流量与流向趋势，事后对历史数据进行分析，为用户提供细化的网络行为审计管理系统。

③强大的过滤功能

通过自定义IP地址、主机名、正则表达式等方式设置URL特征库，支持根据不同的URL策略设置不同的响应方式，支持根据时间表对不同的URL策略设置不同的响应动作，避免保密信息的外泄，免受非法信息的干扰，确保网络的健康使用。

④全面识别“地下”VOIP

支持对Skype、H.323、SIP、中桥、UUCall等近百种协议或网关的呼叫识别、阻断或干扰。

⑤用户行为分析

采用先进的技术分析手段，全面分析网络应用的流量类型和流量流向趋势，统计网络热点，发掘业务增长点；分析用户行为，统计用户兴趣，为个性化运营提供依据，并通过开放的平台接口，与第三方业务平台对接，提供高附加值业务，如在用户行为兴趣分析的基础上提供定向WEB广告服务。

（3）核心交换机

数据中心机房的核心交换机应选择高性能交换机。

所选用的交换机应当是插槽式模块化设计，能够提供大容量的交换能力，并使用万兆光纤接口模块，用以连接各个汇聚交换机。中心交换机上需提供多层交换功能，支持网络VLAN的划分和VLAN之间的通信，便于对整个网络进行管理。

核心层的功能主要是实现骨干网络之间的优化传输，核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。

为满足较高的网络流量负荷，网络中心主交换机应使用高性能的模块化多层交换机，模块插槽数不少于10个，保证将来扩展需要。主交换机需具有基于硬件的第三层路由交换能力。网络系统需运行视频、语音等多媒体应用，因此，必须提供面向应用的QOS服务。中心设备通过万兆光纤下联，因此，需提供10G的接入，网络主干的接入必须采用万兆光端口。

（4）汇聚层设计

汇聚层的功能是将接入层的设备进行统一管理、收纳，实现网络拓扑变化的隔离，以增强网络的稳定性和易管理性。

（5）接入层设计

接入交换机的基本功能就是负责大密度的用户终端接入，因此从接入层入手能够方便地控制用户接入，保证网络安全。特别是对于重要网段和区域，接入交换机需要具备网络层地址与数据链路层地址绑定功能，防止地址欺骗。

接入交换机具备如下功能：

①支持网管。接入设备支持网管，以实现全网的整体管理，方便故障定位与网络性能优化。

②支持MAC地址攻击防范。所谓MAC地址表容量攻击，是指攻击源发送源MAC地址不断变化的报文，网络设备在收到这种报文后，会进行源MAC地址学习。由于MAC地址表容量是有限的，当MAC地址表项达到最大容量后，正常报文的MAC地址学习将无法完成。在进行二层转发时，这些报文将会在VLAN内广播，严重影响网络带宽，同时也会对网络设备下挂主机造成冲击。

③支持MAC、IP地址绑定，防范地址盗用。所谓地址盗用是指一个非法用户仿冒合法用户的IP地址，盗用合法用户的IP地址进行上网。网络设备会学习到错误的ARP表项，影响合法用户的正常上网。接入交换机必须具有防范非法用户盗用地址上网的能力。通过在交换机上面配置MAC地址和IP地址绑定的安全地址表项，交换机在学习ARP表项时会根据该安全地址表项进行检查，满足条件则学习ARP表项，不满足条件则不学习。

④支持地址扫描攻击防范。地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，网络设备会给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可能引起网络中断。

（6）可靠性设计

网络的高效运行有赖于每个设备节点的高可靠设计，要保证网络的可靠性，必须要选用具备企业级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作，达到准电信的可靠运行。

系统设备的高可靠性体现在硬件、软件、保护机制等几个方面：

①采用全分布式体系结构

分布式体系结构是提高可靠性的基础，与集中式体系设备相比较，分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外，更为关键的是将管理、数据转发、接口处理等功能分配在不同的部件上，协同工作；分布式体系可以分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分部件，不影响其他功能。

②关键部件冗余

采用分布式体系，对设备的关键部件，如主控板、交换网、电源和风扇等，进行冗余构造配置，保证系统在工作中不会全部失效。本次网络升级涉及的核心交换机都必须支持关键部件，如主控引擎单元、电源、风扇等的冗余。

③热插拔特性

设备任意单板需要支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的7×24小时不间断运行。

冗余电源支持：冗余电源供电可保障系统具有可靠的能量源。

④散热系统

散热系统使设备长时间运行而不至因为系统升温过高出现故障，冗余风扇等散热装置可以增加设备的运行时间及减少故障发生。

⑤热补丁技术

热补丁技术能够保证在不重启设备的前提下，在线修改软件BUG，增加新的业务特性。用户可以方便地加载、激活、去激活、运行或删除补丁单元。通过热补丁技术，降低了设备需要重启的次数，为客户提供更长的网络正常工作时间。

（7）无线网络设计

现代酒店的面积开阔，且办公楼以外租为主，室内的装饰及布局无法确定甚至更改频繁，导致有线网络无法满足这些区域的网络接入需求，必须使用无线网络加以补充。

企业级无线网络的设计原则，一般采用瘦AP的方式，包括无线控制器、无线供电方案、无线AP、无线安全。

①无线控制器

为了确保系统的高性能和可靠性，本设计将无线控制器、防火墙模块、入侵检测系统都以插槽的模式集成在核心交换机机箱内，实现线速交换，同时采用的双机热备设计方式能够确保系统卓越的性能。同时拥有以下优点：

◆配置简单：AP零配置、所有的配置集中在无线交换机上完成，简单便捷；

◆维护方便：管理、维护针对无线交换机来实现，不需要对每一台AP进行操作；

◆易于升级：针对特性增加带来的软件版本升级需求，只需要对无线交换机进行操作即可，不需要对每一台无线AP单独升级；

◆安全可控：可以集中进行射频及功率、信道调整，黑白名单、无线入侵检测、安全访问控制等功能；

◆更易扩展：根据需要，可以灵活增加补点AP，支持三层漫游，方便扩展支持无线监控、话音应用等业务。

②无线供电方案

无线AP部署位置的灵活性，要求其可以通过POE实现远程供电，目前的POE交换机遵循的是IEEE802.3af标准，最大输出功率是15W左右，而业界主流的IEEE802.11nAP需要的工作功率多大于15W，为了解决这样的供电需求，需要遵循IEEE802.3at草案的POE＋供电交换机，才能真正发挥IEEE802.11n的性能优势。

选用供电POE24口交换机，无线AP可通过双绞线直接连接到交换机上，无须额外的电源设计，既降低了施工难度，又使得后期管理和维护更为方便。

③无线AP

无线AP的部署，可以采用壁挂或吸顶方式。为了保证更好的覆盖效果，一般建议在天花板安装吸顶天线，尤其是在天花板吊顶是铝合金扣板的情况下必须使用吸顶天线。

选用瘦AP作为无线接入点，同时为每个无线AP配备2只增益天线，以及射频电缆延长线，在面积较大的区域内，可使用射频电缆延长线盒增益天线的组合实现大面积的无线覆盖。

④无线安全

WLAN利用了不可见的公用媒介进行空中信号传播，安全问题是部署无线的巨大挑战，无线交换机在安全方面需要实现：防范未授权AP、防范非法用户、防范ARP攻击、防范网络带宽滥用、黑白名单设置等功能。

采用无线管理控制插槽模块集成对无线AP的管理、控制、数据转发的功能，可提供防ARP攻击，无线入侵检测，多种加密认证安全技术，有效解决企业网络面临的安全挑战；除此以外，还集成了多种应用服务，包括DHCP服务器、PORTAL认证服务器、RADIUS服务器等，以及WEB管理应用，有效确保了无线网络的安全。

4）IP地址规划及路由设计

（1）IP地址规划

①确定内部网IP地址的类型

IP地址由32位二进制数码组成，8位为一组，分为4组，中间用“.”隔开。每个IP地址有两部分，即网络标识和主机标识，这两种标识长度的不同，使IP地址分为五类，常用的有A、B、C三类，相应地址范围为（其中X表示0～255之间的任意数）：

A类：1.X.X.X～126.X.X.X

B类：128.X.X.X～191.X.X.X

C类：192.X.X.X～223.X.X.X

不难看出，A类IP表示少数网络上有众多主机，B类IP表示网络和主机分布适中，C 类IP表示很多网络上有少量主机。在选择内部网的IP地址类型时，应根据内部网中的子网数量及每个子网的规模进行选择。在此选用C类，前三段标识不同的网络，第四段标识一个网络中的不同主机。为使IP地址反映内部网的特点，我们给其中的每一段都赋予了实际意义。第一段用来区分主干网和非主干网，主干网取192，非主干网取196，第二段区分不同地理位置的子网，甲地取1，乙地取2，这样当内部网进行扩展，有新的子网加入时，其IP地址的规划非常容易实现。

内部网中所有设备的子网掩码均选用缺省值255.255.255.0，不再用掩码划分子网。

②规划交换机各端口的IP地址

网络中的服务器、客户机都直接或间接地连接到交换机的各个端口，因此规划交换器各端口的IP地址是规划整个内部网IP地址的关键。

每个子网中，交换器各端口起到网关的作用，为了让网关IP地址有规律，交换器端口IP地址的主机标识都取“1”。

③规划FDDI端口IP地址

每个子网中，FDDI是主干网。甲地有两台交换器，每台有两个FDDI端口，构成三个FDDI双环。两台交换器FDDI端口的IP地址分别设为192.1.1.1、192.1.2.1、192.1.2.2 和192.1.3.1，其中两个处于同一网段的FDDI端口用于两台交换器之间的相连，乙地交换器有一个FDDI端口，地址设为192.2.1.1。

④规划Ethernet端口IP地址

客户机通过集线器分别接在交换机的各个Ethernet端口上，若一个集线器上的客户机共享10M带宽。哪些客户机共享10M带宽，应根据内部网的具体应用来决定。假如客户机没有特殊的带宽要求，可按客户机所属的行政单位或所在的楼层分配带宽。假设客户机较均匀地分布在各楼层内且无特殊的带宽要求，取后一种方式，把同一楼层内的客户机接在一个集线器上。Ethernet端口IP地址的第三段取客户机分布的楼层号，甲地客户机分布的3至8层楼，交换机的Ethernet端口的IP地址分别设为196.1.1.1～196.1.8.1，其中1、2口接邮件服务器、打印服务器，3～8口分别接相应楼层内的客户机，如3层楼的客户机，通过集线器接在Ethernet的第3个端口上。乙地客户机分布在2至6层，交换机8个Ethernet端口的IP地址分别设为196.2.1.1～196.2.8.1。

⑤规划服务器IP地址

服务器可以接在主干网FDDI上，独占或共享100M带宽，也可以接在交换机的Internet端口上，独占10M带宽。具体接在哪个端口，占用多大带宽，是由该服务器在内部网中所承担的任务决定的。但不管接在哪个端口上，服务器都是与所接的交换器端口处于同一网络，即服务器IP地址的网络标识与所接端口的网络标识是相同的，因此服务器IP地址的规划只需对主机标识规划就可以了。本例依据内部网中服务器的类型对主机标识做了不同规划，数据库服务器的主机标识为20，WEB服务器为30，邮件服务器为40，打印服务器为50。如甲地接在FDDI端口上的数据库服务器，IP地址为192.1.1.20；接在第一、二个Ethernet端口的邮件服务器、打印服务器，IP地址分别为196.1.1.40、196.1.2.50。

⑥规划客户机IP地址

客户机与所接的交换器的端口处于同一网络，其IP地址的规划也只需对其主机标识进行规划即可。在具体规划时，应尽量考虑使主机标识体现内部网中客户机的某些特征，如所属的行政单位或所在具体物理位置等。取后一种方式，主机标识直接引用其所在的房间号，因为大多数客户机与房间号具有一一对应关系。如甲地某台客户机位于3楼的30号房间，其IP地址设为196.1.3.30。选用这种方式，有两点需要注意：一是当房间号大于255时，主机标识不能直接引用，应再考虑其他对应关系。二是客户机的IP地址不具有连续性，因为有些房间可能无客户机，而另一些房间可能有不只一台客户机，为方便今后新的客户机IP地址的分配，应做好现有客户机IP地址的整理记录工作。

另外，如果内部网要与互联网Internet相连，在规划内部网IP地址之前，应到有关部门办理申请Internet网的IP地址。由于Internet上的IP地址比较紧张，申请到的IP地址可能不够分配给内部网的每一个设备，这时仍需对内部网的IP地址进行规划。内部网与Internet的连接，可通过代理服务器等手段实现。

（2）路由协议设计

路由协议是路由器软件中重要的组成部分。路由器的路由功能就是通过这些路由协议来实现的，路由协议的作用是用来建立以及维护路由表。路由表是记录一些转发数据到已知目的节点的最佳路径，有了它，只需直接按路径转发数据包即可，可大大提高数据转发的速度和效率。

典型的路由选择方式有两种：静态路由和动态路由。静态路由是在路由器中设置的固定的路由表，除非网络管理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映，一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当动态路由与静态路由发生冲突时，以静态路由为准。而动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路由器重新启动其路由算法，并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然，各种动态路由协议会不同程度地占用网络带宽和CPU资源。

静态路由和动态路由有各自的特点和适用范围，因此在网络中动态路由通常作为静态路由的补充。当一个分组在路由器中进行寻径时，路由器首先查找静态路由，如果查到则根据相应的静态路由转发分组；否则再查找动态路由。

OSPF是一种基于链路状态的路由协议，需要每个路由器向其同一管理域的所有其他路由器发送链路状态广播信息。在OSPF的链路状态广播中包括所有接口信息、所有的量度和其他一些变量。利用OSPF的路由器首先必须收集有关的链路状态信息，并根据一定的算法计算出到每个节点的最短路径。而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新信息。与RIP不同，OSPF将一个自治域再划分为区，相应地即有两种类型的路由选择方式：当源和目的地在同一区时，采用区内路由选择；当源和目的地在不同区时，则采用区间路由选择。这就大大减少了网络开销，并增加了网络的稳定性。当一个区内的路由器出了故障时并不影响自治域内其他区路由器的正常工作，这也给网络的管理、维护带来方便。

4.2.2　网络规划

整个网络采用核心层、汇聚层、接入层的标准三层网络架构。传输带宽为万兆主干光纤连接，千兆到桌面。整个网络规划应分为对外商业性办公大楼和客房管理内部受理。分成独立的汇聚层进行网络配置，提供Internet接入服务。办公楼根据楼层的特点，考虑到以后的使用方式多样化，故每层设置一个单独的接入层交换机，各层单独管理。

1）整体网络设计

为提高酒店人员的工作效率，方便入住的旅客，保证酒店内部的各个信息孤岛能够有效地连成一个整体，并很好地链接到Internet网上，使酒店融合到世界的大网络中，整体设计和核心网络的性能非常重要。网络全部采用可管理的智能设备，采用核心层和接入分层设计。

2）经济连锁酒店方案设计

经济连锁酒店方案的设计既保证用户的投资，又在功能和带宽上满足旅客的要求。图4.2为经济型连锁酒店网络示意图。

图4.2　经济型连锁酒店网络示意图

出口路由器采用智能集成多业务路由器产品，采用模块化结构，结构中集成了安全、语音、数据、交换多业务，并集成丰富的接口类型，具有灵活的可扩展性，大大降低了建设成本和维护费用。

客房网络设计：核心网络采用三层智能以太网交换机和出口路由器相连，各楼层采用接入层交换机相接，可以实现千兆到楼层、百兆到房间的带宽。

三层智能以太网交换机采用高速ASIC交换芯片实现L2～L7数据线速转发，提供完备的以太网协议族支撑和高效的QoS优先级机制，具备灵活多样的管理手段。支持完整的三层路由协议。主要定位于小型网络的汇聚设备企业网和宽带IP城域网的接入层，非常适合经济型酒店的汇聚使用，为用户提供高速、高效、高性价比的汇聚方案。

同时，接入层交换机采用固定接口和模块化接口结合的机器架构，1U高度，结构紧凑小巧，既可入19英寸标准机架，也可以靠近客户端桌面放置，安装方便，应用灵活。并支持通过千兆以太网电接口的同系列交换机的堆叠，方便酒店以后的扩大需要。

行政办公网络和客房网络分开设计，采用接入层交换机单独连接到出口路由器上，前台接待、客房服务和物业管理等电脑终端直接连接到接入层交换机，组网灵活方便。

3）大型星级酒店网络设计（如图4.3所示）

图4.3　大型星级酒店网络设计图

（1）整体客房网络设计

现代大型星级酒店，不但要为客户提供对外的客房网络，并要考虑到客户举办商务会议、新闻发布会等活动时对高带宽和高交换网络的需要，所以对于大型星级酒店来说，一个高带宽、多功能、高安全、高可靠性的网络是非常重要的。

出口路由器采用智能集成多业务路由器，采用模块化结构，智能集成数据、QoS、VPN等多种业务功能，具有灵活的可扩展性，支持TCP拦截，支持DDOS、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP等攻击的防护，电源等关键部位1＋1备份，大大提高了网络的安全性和维护成本。

核心网络采用万兆以太网交换机，互为备份，极大地保障了酒店网络的高速交换和安全。交换机具备10GE、GE、FE、POS、PON等各种丰富的接口模块，并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。同时，可以内置防火墙单板，为酒店财务、管理等各种子系统提供了电信级高带宽、高可靠、多业务的保证。

酒店为旅客提供的客房网络，一般典型的规模100～200间房间，约有500人左右，特殊活动时可能会有更多的用户，在核心万兆交换机以后，对于每个楼层，采用高密度接口千兆以太网交换机，实现千兆到楼层、百兆到房间的高带宽网络，上行千兆连接核心交换机。

接入层以太网交换机，要支持基于业务流的ACL过滤机制，支持对P2P、视频流等业务流区分限速，支持对特征病毒的过滤，支持CPU保护机制，防DDOS攻击技术，保护网络安全稳定。并支持4 000个IEEE802.1QVLAN，支持基于端口、协议、子网的VLAN，支持PVLAN实现同一802.1QVLAN内部的端口隔离，更加有效地保证了房间之间的隔离安全。在有必要时也可开通特定房间之间的互访，为旅客提供差异化的服务。

在酒店网络设计中，为方便旅客随时办公、休闲和放松相结合，一般会配套一些会议室、咖啡厅、酒吧等场所，提供这些地区的网络方便，更为酒店赢得了旅客的忠诚度和满意感。

在这些场所，采用千兆以太网交换机接入，上联核心交换机，下联无线AP，支持WLAN的接入，随时随刻满足旅客的上网需要，同时可以采用接入层交换机访问控制功能与大堂的服务网络接入分开，以保证酒店内部网络的安全。一种设备，实现多种功能，既保护投资又满足旅客需要，安全又方便。

（2）办公区网络设计

酒店的办公区网络虽然较客房网络规模要小一些，但安全和可靠更值得关注。其结构如图4.4所示。

图4.4　酒店办公区网络结构图

办公网络和客房网络采用同一个出口设备。但出口路由器和核心网之间采用统一安全网关，在网络边界处提供了实时的保护。设备能够在不影响网络性能情况下检测有害的病毒、蠕虫及其他基于内容的安全威胁的产品。系统还集成了防火墙、VPN、入侵检测与防护（IPS）、内容过滤和流量控制功能，提供了高性价比、方便和强大的解决方案。

如中兴通信的酒店办公区网络，核心层采用全千兆智能交换机，互为备份。和客房网络采用同一个路由器出口，但在逻辑上实现分离管理。

前台接待、客户服务和综合管理包括财务系统网络接入设备分别和核心交换机相连，逻辑上和客房网络分组隔离，并在端口上单独区分功能子网。并且，在核心交换机上可以内置防火墙网络，采取策略控制，有效地保证办公网络包括财务信息的安全。

每台办公电脑百兆与接入层交换机相连，提供高速可靠的内部网络交换。

4.3　网络安全及管理

4.3.1　网络安全设计

随着网络上应用的不断丰富，现有系统的安全性需求越来越高。现实的网络环境要求必须将以连通性为中心的设计思路转变为以安全为中心的设计思路，并按照以安全为核心的设计思路的要求对网络进行规划设计实施。

1）安全设备的选择

分级保护作为现代酒店的重要内容，安全设备必须满足分级保护的要求，必须经过国家保密局的严格测试和认证，提供丰富的安全防护功能，保障网络的安全运行。

随着网络上信息化应用的不断深入，网络边界安全成为最重要的安全问题之一，针对网络边界也需要组合型的安全解决方案。考虑到当前网络上主要威胁，采用以防火墙和入侵防御系统（IPS）为支撑的边界安全解决方案。

2）防火墙

是最主流也是最重要的安全产品，是边界安全解决方案的核心。它可以对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。由于防火墙部署在网关位置，也可以在防火墙中集成防病毒模块和网络安全监控模块。

设计将防火墙涵盖在核心部分内，采用模块式插槽的方式，将防火墙嵌入核心设备中并同时采用双机热备设计，既要避免导致网络通信产生瓶颈，又要保证系统长期稳定运行。

3）入侵防御

传统的安全解决方案中，防火墙和入侵检测系统（Intrusion Detection System，IDS）已经被普遍接受，但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备，不能充分地分析应用层协议数据中的攻击信号，而IDS也不能阻挡检测到的攻击。因此，即使在网络中已部署了防火墙、TDS等基础网络安全产品，IT部门仍然会发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周，而是近年来蠕虫、P2F、木马等安全威胁日益滋长并演变到应用层面的结果，必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。以入侵防御系统（Intrusion Prevention System，IPS）为代表的应用层安全设备，作为防火墙的重要补充，很好地解决了应用层防御的问题，并且变革了管理员构建网络防御的方式。通过在线部署，IPS可以检测并直接阻断恶意流量。采用模块式插槽的方式，将入侵防御系统嵌入在核心设备中并同时采用双机热备设计，既避免了入侵防御系统导致通信产生瓶颈，又可确保系统长期稳定运行。

4）边界安全

全面防护：在安全区域规划基础上，在网络边界部署防火墙、IPS等安全能够实现网络2～7层的威胁抵御，形成动态、立体的全面安全防护。

深层防护：通过防火墙和IPS的部署，可以形成有效的深层次安全防护。如对蠕虫等病毒的传播和攻击进行防御、抵抗DOS/DDOS的攻击等。

5）办公区安全

由于现代酒店网络使用人群多样化、计算机水平参差不齐，在网络内部，很容易发生由于内部用户的操作不当而引起的网络安全事件。因此内网办公网安全是网络安全建设重点。

网络信息系统的建设主要考虑问题有：用户接入控制；病毒提前预防；用户权限细分；告警自动响应；安全统一管理。

内网办公网安全解决方案考虑到内部办公网安全面临的各种挑战，针对上述主要问题都提出了具有针对性的方法，这些方法相互关联、相互配合，形成完善的内网安全解决方案。

（1）病毒预防

通过用户终端软件对PC的补丁、病毒库升级状态进行检查，确保每一个终端健康接入，预防病毒感染；防火墙进行安全域分割，最小化可能的病毒扩散范围；防火墙/IPS对内网数据流进行监控，根据特征识别病毒，并且通过与网络设备和终端软件的联动，直接控制病毒爆发点。

（2）用户接入控制

①终端软件对接入用户进行身份认证，杜绝非法用户接入。

②终端软件收集终端用户的安全状态，上报给安全管理平台，对用户终端安全状态进行检查，拒绝不符合安全策略的用户登录。

③固防火墙、IPS对内网数据流进行监控，及时阻断攻击的同时，将安全事件上报安全管理平台。

④安全管理中心收集、分析网络中的各种安全日志，通知智能管理中心，智能管理中心向网络设备、安全设备和终端软件统一下发安全管理策略，精确控制攻击源头。

⑤威胁追根溯源：安全管理中心采集网络设备、安全设备和服务器的安全日志，结合用户终端准入客户端上报的用户上网过程、安全状态、病毒查杀事件，进行统一分析，实时输出审计报告。当发生安全事故后，可以根据记录的信息对用户既往行为进行分析和追根溯源。同时，安全管理员可以按照法律法规（如SOX法案）和标准中的规定，定制相应的审计报告。

⑥安全全面掌控：基于先进的深度挖掘及分析技术，安全管理中心能对网络中的设备进行管理，通过对海量信息的采集、分析、关联、汇聚和统一处理，协助管理员实时监控内网安全状况，及时发现安全隐患。

4.3.2　网络管理设计

信息化建设发展到现在，已经由大规模的基础建设阶段转入精细化管理阶段；而随着网络规模的不断扩大，网络的维护管理日益成为一个十分突出的问题。实现精细化的网络管理及维护的关键在于网管系统的可用性及有效性，因此，设计一个科学合理有效的网管系统对充分发挥网络潜力，方便各网上应用系统的业务开展是至关重要的。

1）智能管理平台

针对管理需求，为计算机网络系统配备一套智能管理平台。实现资源、用户和业务的融合管理，提供网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理，基于B/S架构，形成多种解决方案。

该系统平台能够提供资源、用户、业务的融合管理框架，实现网络一体化管理。

实现网络资源、存储资源、计算资源的统一管理，包括路由器、交换机、安全网关、语音设备、UPS、存储设备、监控设备、服务器、无线设备、打印机、PC等的管理。

支持对主流厂家设备的统一管理，并且，用户可以自己定义设备厂商、系列和型号，以更好地管理不同厂家的系列设备。

实现资源、基于资源运营的各类业务及使用资源和业务的人（用户）有效融合和联动，用户可以按实际要求定制任何全网业务流（Business Process），将网络管理从单一的功能管理转化为基于业务流的管理。

支持业务的无限扩展和融合，实现基于资源的业务扩展机制。

2）用户接入管理

用户接入管理软件软件可以根据用户的特点，分配特定的接入权限和访问权限，如在办公内的接入用户，在身份认证成功之后，可访问办公区域的内部网络数据，而在商业区内接入的用户则不应当拥有此权限，这样既方便了网络管理，又确保了网络安全性。

通过该软件，可对网络接入需求的人员进行统计，并分配相应的用户名和用户组，针对各用户组实现各自的访问权限。在用户使用过程中，能够直观而清晰地看到该用户状态，该功能可与用户计费管理功能共同使用。

3）用户计费管理系统

计费方案的功能基本包括：UAM服务管理；UAM用户接入管理；UAM自助信息维护；计费组件用户信息管理；计费组件资费管理；计费组件服务管理、计费组件用户信息查询和计费组件导出管理、计费组件系统管理和计费组件统计报表。

在部署安装计费组件后，UAM自助部分会出现用户的计费相关信息。用户自己可以实现对于自身信息的维护操作，如用户费用处理、上网明细查询、缴费记录、用户暂停和充值操作等。

4.4　工程实例

本节介绍南京聚立工程技术公司为常州凯纳豪生大酒店设计安装的计算机网络系统实例，以供参考。

4.4.1　设计架构及功能

1）架构

该酒店需求为一套具有核心层和接入层的局域网络，实现主干千兆汇聚、百兆到桌面。为酒店业务和行政管理提供先进、可靠、基于标准的数据传输平台，为五星级酒店提供信息传输。

网络系统能够让每个用户都真正实现“百兆到桌面”甚至“千兆到桌面”，即使多个用户处于峰值带宽利用状态，也不会对数据传输速率产生影响；数据库及存储系统在未来业务系统不断扩大、用户不断增加的情况下，网络仍然保持反应迅速，处理快速。

网络系统是否稳定是系统能否正常运作的根本，只有保证网络系统的稳定，才能保证业务系统及办公系统的不间断运作。为适应业务和应用发展的需要，必须考虑到未来的发展趋势，一个成熟可用的网络系统，是可以随着需求的不断扩大而随时升级。这就需要保证核心不变的基础上，可以拥有支持多应用、可扩展的特性。

根据网络设计理论中的分级网络设计原则，分为三层结构，包括核心层、汇聚层和接入层。以下简要描述不同层次所执行的功能。

2）功能

（1）核心层功能

核心层一般是一个高速的交换主干网，能尽快地交换数据包。一般不作数据包处理，例如访问控制和过滤，这些都可能降低数据包的交换速度。

（2）汇聚层功能

包括地址或区域集合、部门或工作组接入、广播和多目广播域定义、VLAN交换、任何可能的介质传输、安全。

（3）接入层功能

包括共享带宽、交换带宽、MAC层过滤。

根据千兆以太网系统需求，分层结构并不一定要有十分清楚的物理实体区分，有的交换机既可以工作在汇聚层，同时也可作为接入层的交换设备。因此我们可以根据投资规模等省略汇聚层设备，整个网络采用星网状的网络构造。

3）局域网设计

在计算机网络系统的局域网中，选用1台核心交换机担负酒店网络核心交换任务的运行，负责支持各种网络应用，内外网用VLAN划分。核心交换机必须具有高可靠性，支持引擎和电源的冗余，具备第三、四层交换功能，为酒店各个部门、子网的VLAN提供策略性的路由。能快速适应网络的变化，并充分考虑了以后与分布层、接入层的链路冗余。

接入层选用二层交换机，为用户提供高密度的100/1 000M接入。支持控制对资源的访问，通过VLAN的划分，实现对用户的有效管理；并可以根据需要对部分用户资源访问的权限进行控制，有效地实现了整个网络系统的安全性；与核心交换机采用千兆光纤链路连接。

整个系统中选用的设备均支持RSTP、QoS（服务质量）等技术，在设备的调度阶段，要根据实际使用特点，对不同的用户进行网络的流量控制，为不同的用户提供不同等级的高级服务质量保证及安全的网络集成特性。

整个计算机网络系统的核心设备均采用模块化设计，随着用户以及不同需求的增加，可以方便地对计算机网络系统进行逐步的升级、扩展，未来还可以通过增加模块支持和实现目前流行的IP电话、视频会议等实时性的数据技术。

4.4.2　网络拓扑结构

根据网络分层设计的思想，整个网络采用星网型拓扑的分层网络结构，分为核心层、接入层两层，使用分布式交换。同时从可靠性和安全性方面来考虑，网络中核心交换设备采用冗余结构。

考虑用户投资计划，以及企业网“整体设计，分步实施”的设计原则，核心层使用一台H3CS7506E多业务核心交换机，配置引擎和电源，进行冗余备份和负载均衡，提高网络的可靠性和健壮性。

接入层交换机采用S3100－26TP－EI，放至管理间采用千兆光纤连接到核心层，保证不产生传输瓶颈。

4.4.3　系统设备配置

1）核心交换机S7500E

其性能如表4.1所示。

表4.1　核心交换机性能

续表4.1

2）接入层交换机SI3100－26TP－EI

（1）功能特性简介

H3CS3100－EI系列交换机是H3C公司为构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品，在满足高性能接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性，是理想的安全易用接入层交换机。

①H3CS3100－26TP－EI性能规格

应用类型：工作组交换机

应用层级：二层

系统内存包缓冲：384KB；SDRAM：64MB；Flash：8MB

交换方式：存储－转发

背板带宽：19.2Gbps

包转发率：6.55Mbps

VLAN支持：支持

MAC地址表：8K

②H3CS3100－26TP－EI网络特征

网络标准：IEEE802.3，802.3u，802.3z，802.3ab，802.3x，802.1D，802.1Q

传输速率：10/100/1000Mbps

端口类型：10/100BASE－T，10/100/1000BASE－T，100/1000Base－XSFP

端口结构：固定端口

固定端口数：26

模块化插槽数：2

③H3CS3100－26TP－EI高级特性

是否支持全双工：全、半双工。

（2）网管支持型

网管功能支持XModem/FTP/TFTP加载升级，支持命令行接口（CLI），Telnet，Console口进行配置，支持HGMPv2集群管理，支持SNMPv1/v2/v3，WEB网管，支持RMON1，2，3，9组MIB，支持H3CiMC智能管理中心，支持系统日志，分级告警。

①H3CS3100－26TP－EI电气参数

额定电压（V）AC：

额定电压范围：100～240V，50/60Hz；

最大电压范围：90～264V，47～63Hz

额定功率（W）：17

②H3CS3100－26TP－EI外观与环境

尺寸（mm）：440×160×160

工作温度（℃）：0～45

工作湿度：10%～90%

工作高度（m）：3 000

存储温度（℃）：－40～70

存储湿度：10%～90%

存储高度（m）：6 000

3）统一威胁管理SecPath U200－A

H3CSecPath U200－A是H3C公司面向中小型企业/分支机构设计的新一代UTM（United Threat Management，统一威胁管理）设备，其外形图如图4.5所示，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。

图4.5　统一威胁管理器外形图

H3C公司的SecPath U200－A不仅能够全面有效地保证用户网络的安全，还支持SNMP和TR－069网管方式，最大化减少设备运营成本和维护复杂性。

（1）市场领先的安全防护功能

①完善的防火墙功能：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CC、SYN flood、地址扫描和端口扫描等多种恶意攻击。

②丰富的VPN特性：支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理。

③实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。

④实时的垃圾邮件防护：可以拦截垃圾邮件，净化邮件系统，解决垃圾邮件对正常工作的干扰问题。

⑤先进的URL过滤：实现基于用户的URL访问控制，防止因浏览恶意或未授权的网站（如网络钓鱼攻击网站）而带来的安全威胁。

⑥全面的流量管理：能精确检测BitTorrent、Thunder（迅雷）、QQ等P2P/IM应用，提供告警、限速、干扰或阻断等多种方式，保障网络核心业务正常应用。

⑦细致的行为审计：可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录，实现细化的网络行为审计管理。

⑧NAT应用：提供多对一、多对多、静态网段、双向转换、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。

（2）电信级设备高可靠性

采用H3C公司拥有自主知识产权的软/硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。

①支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份。

②36年的平均无故障时间（MTBF）。

③智能图形化的管理。

④简单易用的Web UI管理。

⑤支持基于SNMP和TR－069协议的管理。

⑥通过H3CUTM管理软件实现统一管理。

⑦通过H3CSecCenter安全管理中心实现统一管理。

其系统规格，如表4.2所示。

表4.2　系统规格表

续表4.2

其功能特性，如表4.3所示。

表4.3　系统性能表

续表4.3

续表4.3

统一威胁管理系统平台结构，如图4.6所示。

图4.6　统一威胁管理系统平台结构图

该平台具有：多功能集成，实现全网应用层安全防护；多核、多线程硬件平台，具有强大的处理能力；双机状态热备技术，高可靠网络设计；统一Web界面，降低管理复杂度。

4）服务器HP DL3805G5

HP DL3805G5采用四核Intel Xeon X5460处理器，2G内存。存储方面，集成了Smart Array E200阵列控制器，64MB高速缓存，支持RAID 0/1，可选128MB电池保护写缓存以支持RAID 5。此外它还集成双NC373i多功能千兆网卡，带TCP/IP Offload引擎，通过可选的许可证可实现加速iSCSI，集成iLO 2远程管理。这款服务器具有5个PCI Express扩展槽：3个x4PCI Express，2个x8PCI Express，8个小尺寸热插拔SASTA硬盘槽位，1个1 000W热插拔电源，可选冗余，6个热插拔冗余风扇，支持CD－ROM、DVD－ROM、Combo、DVD＋RW或软驱。