酒店网络建设方案.docx

酒店网络建设方案建议书XX年XX月第1章酒店信息化背景2-1.1 酒店业的发展机遇2-1.2 酒店信息化的意义3-第2章XX酒店需求分析5-2.1 骨干网络高性能、高稳定性需求6-2.2 网络安全性需求6-2.3 出口部署需求6-2.4 热点区域无线覆盖需求7-2.5 网络扩展性需求7-2.6 网络管理需求7-第3章XX酒店网络建设要求8-3.1 建设目标8-3.2 建设内容8-3.3 网络系统设计原则8-3.3.1 安全性8-3.3.2 先进性8-3.3.3 开放性9-3.3.4 扩展性9-3.3.5 高性能9-3.3.6 标准化9-3.3.7 可管理9-第4章XX酒店网络系统解决方案10-4.1 骨干网络高性能、高稳定性Il-4.1.1 骨干设备选择11-4.1.2 先进技术带来的高性能11-4.1.3 构架的稳定可靠16-4.2 网络安全性保证16-4.2.1 出口设备安全策略16-4.2.2 核心、接入交换机安全策略17-4.2.3 病毒、攻击防护方式18-4.3 出口设计20-4.3.1 高性能的NAT特性20-4.3.2 强大的安全防护能力20-4.3.3 高效的流量控制策略21-4.4 无线覆盖设计21-4.4.1 室内覆盖21-4.4.2 室外覆盖22-4.5 网络后期扩展性23-4.6 先进的网络管理23-4.6.1 强劲的网络拓朴发现能力23-4.6.2 智能化的事件管理机制24-463 融的能融涮赠能 »-一第1章酒店信息化背景1.1 酒店业的发展机遇随着国民经济的持续快速增长以及消费升级的不断加快，我国酒店业2007年的增长速度十分惊人。国际排名前十位的国际饭店集团已悉数进入中国并持续扩张，二线品牌也已陆续登陆。有关专家表示，2008年酒店业在保持高速增长的同时，将进一步细分市场，其差异化竞争将明显加剧。我国经济持续增长的态势仍将继续，投资、消费、出口等方面的需求拉动，将成为酒店业发展的最根本保障。此外，加入WTO后，外资饭店不再享受“超国民待遇”，各种不同所有制企业将在同一起跑线上竞争；国外人力资本和货币资本的大量进入，不仅能带来海外游客和商务客人，同时还将带来新的经营方式，这对我国酒店业整体素质的提高也将起到不容忽视的作用。2007年是世界旅游业连续第四个快速增长的年份，世界旅游组织公布的数据显示，2007年全球旅游收入已经达到8000亿美元，国际跨境旅游人数达到了9亿人次，比2006年增加了6.2%,超出了4.1%的长期预测。亚太地区成为世界上游客量位列第二的地区，中国以10%的增长率，继续巩固了世界旅游业前列国家之一的地位。2007年我国入境旅游者1.32亿人次，旅游外汇收入419.49亿美元，国内旅游收入7770亿人民币。受奥运因素的影响，08、09年我国的旅游总收入的增速可能进一步提高，旅游行业加速增长的趋势明显。西部大开发战略和“奥运效应”也将为国内酒店业发展提供强大动力。我国酒店业分布布局极不平衡，沿海和旅游业发达地区拥有全国大部分旅游住宿设施。庄玉海认为，中西部旅游市场的开发带动了酒店市场的崛起，可以借助西部大开发的热潮向中西部市场积极发展。而随着北京申办2008年奥运会成功，国内旅游及酒店业将获得更加广阔发展前景。国家和各级政府普遍重视旅游业对优化产业结构、提升经济优势的作用，并出台了一系列鼓励旅游业发展的政策措施，为包括酒店业在内的旅游业快速发展提供了现实政策环境。国务院关于进一步加快旅游业发展的通知己对旅游业发展作出了具体部署，明令取消长期以来制约旅游企业发展的一系列歧视性收费。旅游业的发展必将带动在旅游中处于资源配置和中枢位置的酒店业的发展，酒店业在保持旅游业6大要素（食、住、行、游、购、娱）中“住”这一环节的同时，向“食”、“娱”等方面发展仍具有十分广阔的空间。1.2 酒店信息化的意义根据国家统计局发布的中国星级酒店行业统计数据，目前我国星级以上酒店超过了1万家，其中三星级酒店数量超过了5000家。星级酒店数量迅速发展的同时，酒店客房的出租率却没有明显的改善，目前酒店房客的出租率只有60%左右。在酒店行业，独到的服务永远是在竞争中独树一帜的筹码。但是当前的客户对酒店服务的要求己远远不仅限于服务生和客房服务。未来的领先酒店将为宾客提供更多样化的服务并从其酒店运营中赚取更多利润。更多的服务和更高的生产率意味着更高的宾客满意度，这些将最终推动整体利润的提高。酒店面临着一个竞争高度激烈的环境，客户的忠诚度在不断下降，而且现在的许多酒店无法满足宾客的技术需求，如视频会议、集成式的统一消息传递和遍及酒店的高速无线访问。目前酒店竞争力的关键已不再是装饰装潢，而是酒店的网络接入能力。当今的旅行者希望将他们的工作和家庭生活延伸到旅途环境中，在享受舒适房间的同时自如地使用各种领先的技术。此外，泗店也面临提高运营收入的压力。为维持利润，酒店必须将不断增加每个房间的收入作为永恒的目标。为了在现有的资源条件下提供更好的服务，酒店必须提高员工的生产率，而员工的流动也是一个需要解决的问题。宾客的安全备受关注，因此酒店需要实施更有效的监督和监控。此外，酒店还必须控制运营成本。但是为满足以上要求而增加新的设施和服务无疑将影响利润，而且这些服务还必须高效地部署。在当今这个信息爆炸的时代，建设数字化酒店，帮助客人随时掌握迅速变化的信息，已经成为酒店赢得客户青睐，提高客户忠诚度的重要途径。商旅客人是酒店的重要客户群，他们对酒店的信息基础设施非常重视，在某种程度上，已经超过了酒店装潢、客房数量、房间设施、酒店价格等方面，成为客人下榻酒店的重要因素。酒店行业处在激烈竞争的前沿，对信息化的需求非常迫切。某城市所作的一份调查表明，酒店的信息服务水平在很大程度上影响了客人的入住愿望。统计资料显示：酒店客户中45%有上网需求，其中30%的客人提出了高速上网的要求，另有客人对酒店能否提供VoD比较敏感。值得注意的是，对上网速度和VOD有强烈需求的客户对价格又不是很敏感，这些客人是各个酒店利润的主要来源，也是各大酒店都要竭力争取的商住客户或者常住客户。因此，对于同等星级的酒店，在管理水平和房间设施趋于相近的情况下，提供高质量的互联网接入服务和VoD业务，是酒店吸引更多商务客人入住非常有效的手段。酒店信息化可以带来；一是为酒店的管理者、决策者提供及时、准确地掌握酒店经营各个环节情况的信息技术；二是针对酒店的经营，为节省运营成本、提高运营质量和管理效率的信息化管理和控制技术；三是直接面对顾客所提供的信息化服务。采用全新的计算机网络信息化管理系统，可以在以下几个方面提高酒店的管理效率，改善服务水准。(1)为销售提供全面、准确的信息数据。酒店销售以、客人为中心，需要了解客人的需求，细分目标市场，适销对路酒店销售的核心产品是客房，以合理的价格在相应的时间将客房销售出去是使销售具有成效的关键。(2)为客人提供快捷、细致、周到的服务。酒店业竞争日益激烈，而竞争的焦点越来越汇聚到酒店的服务的质量上。高档酒店的衡量标准首先是能否有一个标准的客房流程(客人的入住、在住和离店三个阶段)为客人提供快捷、细致、周到的服务。(3)为财务提供严密的帐务系统。客人在酒店任意消费点消费时，系统自动提示该客人的帐上余额，对于客人超限自动报警，提示补交押金。所有的消费单实时汇总到客人的帐号上，避免跑漏账，并提高超限客人的自动电话语音催缴。严密的计帐规则，严密的权限控制，严密的监督机制。(4)具有处理各种复杂情况的能力。团体、会议业务是酒店业务中最复杂的部分，它具有人员多、信息管理工作量大、帐务变化复杂的特点。信息管理应提供从预定、入住、在住、到离店等环节结算全套解决方案。对于诸如客人不同时抵达，会议结束后不同时离店，退房但不结算的情况可以十分方便的处理。系统还可以方便快捷的处理团队包房包价情况，对于团队在酒店内的活动安排可以事先预定和修改，以便各部门提前准备。(5)为领导的决策提供强有力的支持。(6)门禁、消费实现“一卡通”。可利用智能卡作为信息载体，通过与相应得计算机管理软件相结合，使持卡客人在酒店内能够用一张卡方便的完成进出房门、消费娱乐、挂帐结算等活动，为客人提供方便快捷的服务。“一卡通”系统简化了结帐手续，控制了内部的现金流通，严格控制房屋的进入，对酒店规范服务，提高帐务于保安的安全管理水平大有益处。(7)面向Intenlet及电子商务。随着因特网的进一步发展，各种基于网络的应用业务也如雨后春笋地发展起来，例如网上银行，远程教育，远程医疗、视频新闻报道等。其中方便、快捷、高效的电子商务更以惊人的速度飞速扩张。从1998-2007年里，全球电子商务的发展都将超过30机亳无疑问，对于酒店业而言InteriIet电子商务将成为最具经济价值和发展潜力的业务。通过Internet酒店不仅可以宣传自己，提高知名度和企业形象，更重要的是可以扩大销售渠道，使酒店有能力适应新一轮竞争，不至于被淘汰。第2章XX酒店需求分析XX酒店坐落于XX市金融、商贸中心XX路。其地理位置优越，距机场7公里，离火车站和中国出口商品交易会所仅3公里，附近还有闻名中外的历史文化古迹和旅游景点：中山纪念堂、黄花岗、镇海楼、南越王墓、白云山和越秀山等。高级购物中心、商务楼寓环绕宾馆四周。这些环境形成了XX酒店得天独厚集食、住、商、游、购于一地的五星级酒店。在电子商务广泛应用的今天，一个酒店能否提供全方位的宽带上网已成为众多商务人士选择入住的重要条件之一。XX酒店的原有网络主要应用于酒店信息系统。但是随着信息化的进一步深入，简单的酒店信息系统已经不能满足业务的增长，业务要求XX泗店能够提供接入互联网、泗店管理视频点播、俱乐部信息发布、入住客户及办公员工上网浏览等服务。另外酒店大堂部分、休息区、酒吧及西餐厅需实现上网。为了进一步提高提升酒店的服务与管理水平，提高客户服务满意度，并大幅增强综合竞争力，花园酒店负责人提出了实现大范围网络覆盖的需求，并要求网络系统具备先进性、经济性、可扩展性、安全性等特点。2.1骨干网络高性能、高稳定性需求网络骨干是整个网络流量的承受者和汇聚者，因此对骨干网络高性能、高稳定性提出了高的要求。骨干网络的问题将导致整个网络部可用，所以为了提高设备的可靠性和稳定性，可采用骨干网络冗余设计，能够实现设备的热备和失效自动切换。2.2 网络安全性需求网络安全包括网络级、系统级、用户级、应用级的安全，在网络级，需要利用防火墙的过滤与隔离功能，将信任网络（内网）和不信任的网络（外网）隔离开来，并利用防火墙或出口路由器的NAT（网络地址转换）功能，对外屏蔽内网的网络拓扑信息，从而避免内网受到外来攻击。在网络内部，根据用户的网络使用需求，将用户和网络资源划分为不同的VLAN,在VLAN间根据需求启用相应的ACL（访问控制列表），从而保证用户的物理隔离和资源访问的安全。23出口部署需求XX酒店会采用XX运营商的网络出口。出口目前一般会出现三个问题：一是NAT网络地址转换的性能问题：二是病毒和攻击的防御；二是P2P应用过多，需要去做流量控制。出口设备要支持NAT（地址转换）是共识的，运营商只会给我们几个甚至一个公网IP地址，而酒店内部使用的是私有地址，那么访问Internet需要进行NAT。NAT（地址转换）是出口设备一项很重要的任务，但是，从普遍情况来看，NAT却成为了上网速度慢的一个重要原因。究其根本，设备的性能是一个很大的原因（对于NAT支持的优劣）；出口的安全防护一直是大家重点关注的对象，当前出口面临的网络威胁主要表现2个特点：首先，快速增长的网络带宽为网络威胁提供了更多的空间，网络越发达，网络威胁出现的次数越多，网络威胁造成的损失也就越大。其次，越来越丰富的应用，使得网络安全的应对面也越来越广，造成网络威胁的种类也越来越多，不仅有非法入侵、网络渗透，还有网络欺骗、DOS/DDOS攻击、各种恶意软件、垃圾邮件等。对于出口设备来说，要具备一定的防病毒、防攻击的能力；在网络中，一定会有某些用户或者应用（如BT等P2P应用）在过多的占用着网络资源。尤其是P2P的应用，经常造成整网数据传输的缓慢。所以，有必要对用户或者某些特定应用进行流量的控制。2.4 热点区域无线覆盖需求在一些不便于布线或布线成本较高的场合，比如已经装修好的房间或者大厅等等。或为了满足用户更灵活的联网需求，比如用户在酒店大堂、咖啡厅、茶座或者是花园中。采用无线局域网进行网络建设是酒店实现该地区网络接入的最灵活的方案。2. 5网络扩展性需求网络必须能够扩展以适应适应未来业务的发展，并保护投资。3. 6网络管理需求随着网络规模的不断扩大，网络的管理越来越重要，管理的事务也越来越复杂，日常的网络维护和操作的工作量大大增加，网络系统需要一个可靠，便捷、功能强大的网络管理系统来充分有效的管理和利用网络资源。第3章XX酒店网络建设要求3.1 建设目标XX酒店此次进行的网络建设，目的是将XX酒店网络建设成为一个借助信息化管理手段的高水平的智能化、数字化的网络，能够承载XX酒店管理信息系统、入住客户随时随地的接入互联网、酒店管理视频点播、俱乐部信息发布等等业务需求。建成后的XX酒店网络将能够大大的帮助酒店提升客户体验和酒店形象，提高酒店信息管理的效率。3.2 建设内容XX酒店此次进行的网络建设，本着是“总体规划，一步到位”的建设思路，搭建一个安全可靠，稳定高性能的网络基础平台，为酒店信息化提供服务。本次建设共考虑以下几点：网络核心支持万兆扩展、骨干网络全千兆、信息点百兆接入、安全高性能的网络出口、热点区域的无线覆盖、统一的网络管理。4. 3网络系统设计原则4.1.1 安全性网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和控制机制，使系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保隙正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。4.1.2 先进性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，可以在信息技术不断发展的今天，在系统建成以后比较长的一段时间内能满足用户需求增长的需要；不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证网络建设的领先地位。本方案的设计宗旨是“立足今日，着眼未来”，在保证技术成熟的前提下，充分先进技术，满足现有需求，充分考虑潜在扩充。从而最大限度保护用户投资。4.1.3 开放性采用开放的软硬件平台和数据库管理系统，遵循国际标准化组织提出的开放系统互联的标准，应用软件必须独立于软硬件平台，能集成任何第三方的应用，具有良好的可扩展性、可移植性和互操作性。4.1.4 扩展性系统必须具有良好的可扩充性，在系统结构、系统容量与技术方案等方面必须具有升级换代的可能，核心设备必须采用模块化的结构，符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源，保证现有的计算机系统的使用，逐步过渡，有效保护用户投资。4.1.5 高性能网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。4.1.6 标准化建立一个可靠、高效、灵活的计算机网络系统平台，不仅着重考虑数据信息能够讯速、准确、安全、可靠地交换，还要考虑同层次网络互连，远程分部的互联，以及与相关信息系统网际互联，以充分共享资源。这些需求体现在设计时，要求提供开放性好、标准化程度高的技术方案，设备的各种接口满足标准化原则。4.1.7 可管理随着网络规模的不断扩大，网络的管理越来越重要，管理的事务也越来越复杂。整个网络系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络配置，网络在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。如：可以通过友好的图形化界面，对网络进行虚网划分，设置各子网的访问权限，实施网络的动态监测、配置，数据流量的分析等，简化网络的管理。第4章XX酒店网络系统解决方案此次XX酒店网络建设，目的是建立一个稳定、安全、可靠的网络，为酒店的管理信息化和互联网接入服务建设提供一个优秀的网络基础平台。整个网络分成三个层次，采用核心一接入的二层网络架构。核心层由两台万兆核心交换机组成，通过千兆光纤链路互联组，保证骨干网的高性能和高稳定。在各个楼层采用二层交换机堆叠，通过千兆光纤上联至核心设备。实现千兆骨干，百兆到桌面的网络拓扑结构。在热点区域部署无线网络覆盖。5. 1骨干网络高性能、高稳定性5.1.1 骨干设备选择网络分为两层：核心层、接入层。核心层的功能主要是实现骨干网络之间的优化传输，核心层任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能、网络的各种应用应尽量少在核心层上实施。核心层一直被认为是流量的最终承受者和汇聚者，因此对核心层的设计以及网络设备的要求十分严格。方案中在核心层采用两台锐捷网络RG-S7600系列多业务IPv6核心路由交换机作为整个校园网的冗余备份路由交换平台。核心双机通过双千兆链路上联至出口防火墙，实现出口的负载分担和冗余备份，提升出口数据流量转发效率。核心双机与片区汇聚节点通过双递归链路进行连接，实现骨干网链路的冗余连接。核心双机之间采用双万兆链路聚合设计进行连接，提供双倍的转发带宽和高度的链路冗余，进一步提升了骨干网的稳定可靠。RG-S7600系列多业务IPv6核心路由交换机硬件实现路由交换和线速万兆转发功能满足整个校园网核心的路由交换。RG-S7600系列多业务IPv6核心路由交换机和汇聚层设备通过启用OSPF路由协议和RSTP、MSTP生成树协议，保证线路的负载均衡和冗余备份。整个核心部分具有强大的未来扩展能力。RG-S7600系列多业务IPv6核心路由交换机的APS技术能保证主控冗余和自动失效切换，满足99.999%的电信级应用需求。同时RG-S7600系列多业务IPv6核心路由交换机完全兼容主流网络设备的CLl界面，配置方便，支持完善的流分类策略和丰富的QoS特性，是校园网建设核心层网络设备的理想选择。核心层设备RG-S7600系列多业务IPv6核心路由交换机采用千兆光纤与汇聚层设备相连，充分保证网络骨干线路的带宽需求，真正达到网络内部的高速数据交换。5.1.2 先进技术带来的高性能1.1.1 .1SPOH技术提供更强的数据处理能力SpOHiSynchronizationProcessOverHardWare,是“基于硬件的同步式处理技术”缩写。SPOH:基于硬件的同步式处理技术IPICGPfC GPIC GPICWMUGPIC 6PICBjji¾7a(4,l( GPICCMICT i L 1 i H0"jt5<9ML2 L tabletablgGPICCiPICGPfCManPaacableIMltf锐捷核心设备支持SPOH技术一一专注于安全防护和智能保障的交换技术！在线卡分布式设计的基础上，为各个物理端口配备专用的FFP(FFP:fastfilterprocessor)处理模块，FFP模块可以实现硬件处理QoS与ACL功能，实现整机数据端口级同步处理ACL/QOS;同时，通过线卡芯片线速转发L2/L3/组播数据，实现了从线卡到端口的全面分布式硬件设计，有效分流、缓解线卡ASIC芯片的负载压力，极大地提升交换机的整体数据处理能力。既满足业务急剧增长，保持网络的高性能无阻塞交换和网络安全的防护，实现大数据多业务全线速处理。SPOH技术保障了核心设备的高性能无阻塞数据交换和网络安全的高级防护，实现大数据多业务全线速处理，从而达到了电信级的可靠性保障。1.1.2 .2LPM+HDR技术提供更高的路由处理效率最长匹配(LPM)三层交换技术可以解决传统方式“多次交换”中采用“流精确匹配”而带来存储空间压力过大的问题。最长匹配(LPM)技术支持静态路由、动态学习到的路由都直接以网段形式存储于硬件转发表，一个目的网段使用一个转发表项，而直连网段仅生成表项内容为“目的IP地址”的主机转发表，对于其它不明目的网段IP地址的数据包直接通过硬件缺省路由转发。因此，LPM技术的优点是极大地节约存储空间，病毒和攻击数据可以通过硬件网段路由或缺省路由进行转发，不增加额外的硬件表项，避免了存储溢出问题，保障设备的正常运行。在LPM技术中依然保留了CPU参与一次路由的需要，虽然每个网段只有一次CPU参与的需要，但是在三层设备拥有直连网段，主机转发表数量比较多的情况下，CPU的第一次参与依然会对三层转发的处理效率产生一些影响，HDR技术可以进一步优化LPM技术的处理效率，主机直接路由（HDR:HOStdirectRoute）用于解决CPU参与“一次路由”的不足。主机直接路由（HDR）支持三层设备在最长匹配硬件转发中的下一跳节点和数据转发出口运行ARP协议时把对应的MAC地址直接下载到硬件转发表。因此，没有了第一次CPU参与路由的效率影响，网络中的所有主机（HoSt）都可以通过最长匹配硬件转发表进行直接的三层转发。1.PM+HDR三层交换技术不需要CPU参与、节约了缓存空间，不仅极大地提高了路由效率，而且避免了病毒和攻击对网络设备本身的影响，提高设备的稳定性。1.1.1.1 3第二代Crossbar硬件体系提供更强的数据转发效率锐捷多业务核心路由交换机采用最先进的第二代Crossbar硬件体系架构：第二代BlIfferedCroSSbar技术具有如下特性:调度任务非常简单，通过背压流控，每个交叉点自动独立地进行调度，不需要配置整个系统的所有“输出输入线卡对“，不带来CroSSbar的调度损耗。调度相互独立，不存在所有“输出输入线卡对”同步地从一个状态变化到另一个状态，因此，就不需同步每个数据包发送的结束时间，允许直接对非定长数据包进行操作，没有包分割和重组。因为没有包分割和调度效率的影响，内部超速并不需要。BufferedCrossbar可以处理相同速率的外部线卡BufferedCrossbar技术克服第一代Crossbar架构技术的局限性，BufferedCroSSbar架构内置了众多缓存，采用分布式调度，无需内部加速，可直接处理非定长包，充分发挥CrOSSbar芯片的交换效率和处理性能，从而使整个设备系统达到了电信级的高性能和高可靠性。4.1.2.4 三平面分离保护技术提供更高的稳定可靠性锐捷网络核心路由交换机通过采用数据平面、控制平面、管理平面相互分离的设计方式，保证了最耗费主机资源的数据处理转发任务不影响交换机的管理和协议运行，而在路由和环境复杂多变条件下，控制平面的任务不影响交换机的管理，高度保证了交换机系统的稳定性。保证了即便出现设备由于数据交换异常瘫痪状态情况，依然可以通过Telnet>Console等管理界面正常登陆管理该设备。从根本上高度保证了系统的稳定可靠性。4.1.2.5 CPP(CPUProtectPolicy)机制提供更强的安全性尽管通过加密认证可以保护网络中的通信协议，但是它并不能完全的防止非法恶意用户对路由引擎（CPU）上特定协议的攻击。例如，攻击者仍可以利用伪造的数据包瞄准具体协议，向路由交换机发动攻击。尽管这些数据包无法通过鉴权检查，但是攻击仍可以消耗CPU上的资源（CPU循环和通信队列），因此在某种程度上达到攻击的目的。锐捷网络核心路由交换产品通过硬件的方式对发往控制平面的数据进行分类，把不同的协议数据归类到不同的队列然后对不同的队列进行限速，专门对路由引擎进行保护，阻挡外界的DOS攻击。而且并不影响转发速度，所以CPP能够在不限制性能的前提下，灵活且有力的防止攻击，而且保证了即使有大规模攻击数据发往CPU的时候依然可以在交换机内部对数据进行区分对外。CPP提供三种保护方法，来保护CPU的利用率。第一，可以配置CPU接受数据流的总带宽，从全局上保护CPU。第二，可以设备QoS队列，为每种队列设置带宽。第三，为每种类型的报文设置最大速率。具体实现方式如下：针对不同的系统报文进行分类。CPP可针对arp、bpdu（IhCp、igmp、rip,ospfsPim、gvrp>vvrp的报文进行分类，并分别设置不同的带宽。CPU端口共有8个优先级队列（queue）,可以配置每种类型的报文对应的队列，硬件根据配置自动地将这种类型的报文的送到指定队列，并可分别设置队列的最大速率。可以配置CPU端口的总的带宽，从全局上保护CPUo4.1.3构架的稳定可靠整个网络网络骨干采用成熟的双核心设计。核心双机与片区汇聚节点通过双递归链路进行连接，实现骨干网链路的冗余连接。核心双机之间采用双万兆链路聚合设计进行连接，提供双倍的转发带宽和高度的链路冗余，进一步提升了骨干网的稳定可靠。同时核心层采用锐捷网络RG-S7600系列多业务IPV6核心路由交换机，骨干设备本身具有电信级可靠性保障，分布式CrOSSbar硬件体系直接处理非定长包，充分发挥CrOSSbar芯片的交换效率和处理性能、SPOH技术提供更强的数据处理能力、LPM+HDR技术提供能高的路由处理效率、冗余负载均衡设计提供更高的可用性、管理平面和控制平面的分离保证了设备的高稳定性。4.2网络安全性保证4.2.1 出口设备安全策略RG-WALL160策略：在防火墙上启用如下图所示的多种防攻击策略；为服务器（DMZ区）做相应的地址映射；启用多种病毒过滤策略，如下图所示；同时启用多种酒店个性化的过滤、状态检测等安全手段。安全策略抗攻击接口名称后用STNYloodIcaPNaodPingefDeathDPFlcxxlPINGSTEZPTCF锅U扫班Dp端口扫端Iinf'nh>felX*XXXXXXX规则序号:规则名:(1-64位字母、汉字(每个汉字为2位)、数字、减号、 下划跳的组合)加止:目的地址:IP地址IF地址服务1*作动作VPN WWi;<<KfiftV 流M控制：L检我流kJ出网口时冏wz.检查流入网口：用户认证长连接;.保护主机'保力隈务限制主机I限制服务YRL过渡，入侵防护:I2P限制；樨度行为检窝图妾限制：NPE20策略：启用NAT特性；针对每个用户做限速：iprate-control1bandwidthup30()down800sessiontotal20()rate50,每个IP上行限速30OkbPS下行限速80OkbPs,同时每个IP限200并发会话数、50的新建连接数。4.2.2 核心、接入交换机安全策略4.2.2.1完善的用户IP/MAC地址绑定方案中提供的包括核心、接入交换机均支持基于整机级和端口级两种IP、MAC地址绑定功能，并采用硬件芯片直接实现。在提高安全性的同时不影响交换机数据交换性能。4.2.2.2分布式网络病毒(攻击)防御基于网络的特点，它是一个开放的应用环境，在这种环境下尤其容易感染网络病毒和发生网络攻击，这会给网络主干带来严重冲击，甚至可能造成整网瘫痪。因此，为了保证整个网络的带宽可用性。防止网络病毒传播扩散，防止网络攻击的发生，在该方案中，采用分布式网络病毒（攻击）防御体系设计思想。核心、接入层网络设备均支持嵌入式防DDoS攻击、防病毒扩散等，可直接屏蔽网络特征病毒传播扩散，防止网络攻击。同时接入层设备S2100G硬件智能识别2-4层数据流、可实现非常丰富的ACL访问控制功能，最大程度的实现分布式的网络安全控制防护。4.2.2.3防ARP欺骗攻击目前网络中较多的出现了ARP欺骗攻击，可造成整个网段瘫痪或者信息泄密的严重后果。S2100G支持防ARP欺骗功能，有效地杜绝ARP网关欺骗行为的发生，更好地提高了网络的安全性。4.2.3病毒、攻击防护方式4.2.3.1IP扫描攻击及防范众所周知，许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的，大量的扫描报文也急剧占用网络带宽，导致正常的网络通讯无法进行。为此，锐捷RG-S7606交换机提供了防扫描的功能，用以防止黑客扫描和类似“冲击波病毒”的攻击，并能减少三层交换机的CPU负担。目前发现的扫描攻击有两种：目的IP地址变化的扫描，我们称为“scandestipattack”。这种扫描是最危害网络的，不但消耗网络带宽，增加交换机的负担，更是大部分黑客攻击手段的起手。目的IP地址不存在，却不断的发送大量报文，我们称为“samedestipattack,这种攻击主要是针对减少交换机CPU的负担来设计。对三层交换机来说，如果目的IP地址存在，则报文的转发会通过交换芯片直接转发，不会占用交换机CPU的资源，而如果目的IP不存在，交换机CPU会定时的尝试连接，而如果大量的这种攻击存在，也会消耗着CPU资源。当然，这种攻击的危害比第一种小得多了。以上这两种攻击，我们交换机都可以在每个接口上调整相应的攻击阀值、攻击主机隔离的时间等参数，以便管理员最细化的管理配置。4.2.3.2DDoS攻击及防范近年来，各种DoS攻击(DeniaIOfSerViCe,拒绝服务)报文在互联网上传播，给互联网用户带来很大烦恼。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。攻击报文主要采用伪装源IP以防暴露其踪迹。针对这种情况，RFC2827提出在网络接入处设置入口过滤(IngreSSFilting),来限制伪装源IP的报文进入网络。这种方法更注重在攻击的早期和从整体上防止DoS的发生，因而具有较好效果。使用这种过滤也能够帮助ISP和网管来准确定位使用真实有效的源IP的攻击者。ISP应该也必须采用此功能防止报文攻击进入Imernet;网络管理员应该执行过滤来确保网络不会成为此类攻击的发源地。锐捷S7606、S2100G交换机采用基于RFC2827的入口过滤规则来防止DoS攻击，该过滤采用硬件实现而不会给网络转发增加负担。4.2.3.3ARP欺骗攻击及防范ARP欺骗攻击近年来呈愈演愈烈之势，每个网络管理员基本上都会碰到。该欺骗攻击会导致经常出现断网、设备CPU利用率居高不下、信息泄密等多种恶果。ARP欺骗主要存在以下5种方式：冒充网关欺骗主机、冒充主机欺骗网关、冒充主机欺骗主机、黑洞攻击、泛洪攻击。这些攻击的防御可以在接入层交换机上做，无论用户的IP地址是动态的还是静态的，均可以有效的进行防御。防御基本原理是采用IP+MAC+端口三元素绑定，启用ARPCheCk功能。若用户的IP地址是静态的，可以采用手工绑定或通过802.IX认证中的IP授权模式自动绑定；若用户的IP地址是静态的，可以采用DHCPSnoOPing的方式，用户获取地址的同时在交换机端口做绑定。4.3出口设计1.1.1 3.1高性能的NAT特性锐捷网络NPE（NetWorkOutPutEngine,网络出口引擎）是锐捷网络在其系统平台RGNOS上自主研发推出网络出口专用产品。根据网络出口设备所特有的需求，在基于全新NP架构上进行性能和功能的完美整合。在IPv4地址匮乏的中国，NAT作为国内网络出口设备必备的功能，其需要提供高速的NAT,在NPE设备技术上，NAT与REF（锐捷快速交换）高效的配合，并充分利用流交换技术，实现高速NAT,使其在作为网络出口设备的性能上不成为瓶颈。出口NAT网络地址转换的能力主要通过NPE20来提供。该设备可以提供50万条的并发NAT连接数，充分满足酒店、企业、大型分支机构的网络出口高效转发。1.1.2 强大的安全防护能力在XX网络出口，我们将安全防护主要交给RG-WALL160o其具备强大的安全性能，具体表现在以下几个方面：报文过滤：报文过滤是防火墙最基本的功能，它根据安全策略对数据流进行检查，让合法的流量通过，将非法的流量阻止，从而达到访问控制的目的。状态检测：对基于六元组来识别网络流量，并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤。攻击防御：基于状态检测，可以防御的各种网络攻击包括：IP畸形包攻击、IP假冒、TCP劫持入侵、SYNflood.Smurf、PingofDeath>Teardorp>Land、pingflood、UDPFlood等.内容过滤：能够针对URL地址进行灵活地分类，并应用到各种策略上，实现基于用户策略的URL访问过滤。以后还将支持与内容过滤服务器的联动来提供更深粒度的网络内容过流。1.1.3 高效的流量控制策略流量限制是防止某些用户或者应用（如BT等P2P应用）占用过多的网络资源，使用流量管理用户能够公平使用带宽。对于一些常见的DOS/DDOS攻击，在其他防御手段都无效的情况下，流量限制是一个简单直接的方式。NPE具有丰富的流量控制功能：带宽限制：可以提供从基于接口的粗粒度，到基于策略的每用户的细粒度的带宽限制；并发会话数限制：基于策略的或者每用户的并发会话数限制；新建会话速率限制：基于策略的或者每用户的新建会话速率限制。4.4无线覆盖设计4.4.1室内覆盖采用锐捷网络RG-P-720对需要室内覆盖的热点区域做无线的覆盖。锐捷RG-P-720是锐捷网络针对楼宇内部无线高速互连、大范围高穿墙能力的信号覆盖等需求推出的运营级室内型无线接入点产品。锐捷网络通过对无线网络覆盖与传输应用趋势的精准把握，率先在业内采用了双路双频三模高速芯片组设计，同时提供双路硬件系统架构，可同时支持工作于2.4GHz和5.8GHz的802.lla/b/g标准协议，可以针对各种不同的网络组网需求提供灵活的解决方案。在支持覆盖模式和无线网桥模式时，均可以达到108MbPS高速传输，保证了高密度接入用户环境中的访问。RG-P-72O采用了双路大功率内置型双向放大器设计，较大的发射功率配合内置或外接天线，可完全保隙信号在楼宇内部的传输，并专门针对穿透障碍物能力进行了加强，同时，较低的噪声指数提高了接收灵敏度，更使得覆盖范围大大增加。符合802.3af的以太网供电系统，可通过远程网线同时传输数据与供电信号，更有效降低了部署成本。4.4.2室外覆盖采用锐捷网络RG-P-780对需要网络覆盖的室外热点区域做无线的覆盖。RG-P-780是锐捷网络针对高速无线传输、大范围信号覆盖、远距离无线互联等需求推出的大功率运营级室外型无线接入点产品。根据无线网络覆盖与网桥传输应用逐渐广泛的发展趋势，率先在业内采用了双路双频三模高速芯片组设计，同时提供双路无线信号覆盖与网桥互联的完美结合，并同时支持工作于2.4GHZ和5.8GHZ的802.lla/b/g标准协议，可以针对各种不同的网络组网需求提供灵活的解决方案。在支持覆盖模式和无线网桥模式时，均可以达到108MbPS高速传输，保证了高密