网络系统实施方案

共分为3个区域：、内网、DMZ。

区域从路由器到防火墙端口主要是实现Internet连接访问及安全防护功能。

内网区域从防火墙内网端口到工作站，包括核心交换机、接入交换机、无线AP、内网应用服务器。主要实现内网连接、应用服务支撑功能。

DMZ区域从防火墙DMZ端口到内网应用服务器，包括内、应用服务器及数据库服务器。主要实现对内、用户提供服务。

通过防火墙设置禁止访问内网，访问DMZ区的端口、IP地址等。

根据总包的综合布线方案，桥华酒店的网络设计按照分层次结构的原则自顶向下设计，共分为两层结构：核心层（桥华酒店核心机房）、接入层（各弱电间接入节点）。

桥华酒店网络主要满足酒店内部运营以及办公需求，由于设计服务多样性、对于各自网络应用的复杂性、内网各自数据安全的保密性、甚至网速的要求都不尽相同，因此桥华酒店的网络的稳定性也是非常重要的因素。充分考虑到网络应用的特殊性和酒店内部办公网用户的安全性要求，我们做出如下设计：

1）考虑到网络接入的安全性和重要性，因此在出口安置一台防火墙设备，防火墙对公众内网做NAT地址转换，开启内置的安全功能，例如防DDOS攻击、防TCP端口扫描、Syn flood攻击、ICMP flood攻击等安全防护功能。

2）防火墙下联至两台核心交换机，考虑到用户数量较多，对网络性能的要求、网络的稳定、可靠性要求都非常高，核心交换机使用模块化的高性能的三层设备，配置两台。两台核心交换机通过心跳线相连，一方面可以通过热备份路由协议来实现网络核心的全冗余性和负载均衡，另一方面增加了两台核心交换机之间的数据吞吐量，从而整体提高网络核心的健状性。

3）服务器区的设计：

要求服务器能对网络中的所有服务请求能快速响应如：入住登记、房间预订、

认证计费等。

4）配置无线控制器，连接至核心交换机上，主要用来管理整个网络的无线AP，无线控制器用来提供众多数量无线AP的集中式、可视化的管理和控制，在无线用户安全性问题上，通过无线控制器来提供保障基于用户身份的控制功能，使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可通知网络管理人员哪些用户已连接、位于何处、曾经位于何处及正在使用哪些服务或他们曾经使用过哪些服务等。

5）采用VLAN划分，区分内网和，内网区域从防火墙内网端口到工作站，包括核心交换机、接入交换机、无线AP、内网应用服务器及工作站。主要实现内网连接、应用服务支撑功能。通过防火墙和路由器的设置禁止访问内网等。计算机网络系统包含两个相对的网络：公众网络、内部办公网络。 系统功能

 实现网络通信

 实现Internet连接访问  实现安全防护功能  实现网络稳定通畅  禁止访问内网

目标要求

 主干线路（核心交换机到接入交换机）光纤连接。  其他线路采用电缆连接。

 工作站及客户机采用电缆连接网络。  对所有网络通信进行安全检测及防护。  禁止访问内网。

 访问DMZ区的端口、IP地址。

 实现链路双备份，双核心、两层网络架构拓扑。

 实行VLAN划分内，通过身份认证，对所有上网用户实现统一管理。

核心交换设备参数：

支持Access、Trunk、Hybrid方式 支持default VLAN VLAN 支持VLAN 交换 支持QinQ、增强型灵活QinQ 支持基于MAC的动态VLAN分配 支持MAC地址自动学习和老化 MAC地址功能 支持静态、动态、黑洞MAC表项 支持源MAC地址过滤 支持基于端口和VLAN的MAC地址学习 支持STP，RSTP和MSTP STP 支持BPDU保护、Root保护、环路保护 支持BDPU Tunnel IP路由 支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议 支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议 支持IGMPv1/v2/v3、IGMP v1/v2/v3 Snooping 支持 PIM DM、PIM SM、PIM SSM 组播 支持MSDP、MBGP 支持用户快速离开机制 支持组播流量控制 支持组播查询器 支持组播协议报文抑制功能 支持组播CAC 支持组播ACL 支持MPLS基本功能 MPLS 支持MPLS OAM 支持MPLS TE 支持MPLS VPN/VLL/VPLS 支持LACP、支持跨设备E-Trunk 支持VRRP、BFD for VRRP 支持 BFD for BGP/IS-IS/OSPF/静态路由 支持 NSF、GR for BGP/IS-IS/OSPF/LDP 可靠性 支持TE FRR、IP FRR 支持以太网OAM 802.3ah和802.1ag 支持 ITU-Y.1731 支持DLDP 支持运行中软件升级ISSU 支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类 QoS 支持ACL、CAR、Remark、Schedule等动作 支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式 支持WRED、尾丢弃等拥塞避免机制 支持流量整形 支持IEEE 802.3ah EPON OLT 支持DBA 支持ONU上、下行带宽控制 支持ONU环回测试 支持Console、Telnet、SSH等终端服务 支持SNMPv1/v2/v3等网络管理协议 配置与维护 支持通过FTP、TFTP方式上载、下载文件 支持BootROM升级和远程在线升级 支持热补丁 支持用户操作日志 802.1x认证，Portal认证 支持NAC 支持RADIUS和HWTACACS用户登录认证 命令行分级保护，未授权用户无法侵入 安全和管理 支持防范DoS攻击、TCP的SYN Flood攻击、UDP Flood攻击、广播风暴攻击、大流量攻击 支持1K CPU通道队列保护 支持ICMP实现ping和traceroute功能 支持RMON 增值业务能力 支持Firewall功能 支持NAT功能 支持IPSec功能 支持负载均衡功能 支持无线AC功能 绿色节能 支持802.3az能效以太网 接入交换设备参数：

功能及技术指标 交换容≥32Gbps 量 转发性≥13.2Mpps 能 接口类百兆电接口数量≥48 型 支持8K MAC地址数据 支持黑洞MAC表项 VLAN特支持基于MAC/端口的Vlan 性 最大VLAN数(不是VLAN ID)≥4094 IPv6特支持IPV6主机功能、支持配置静态路由、支持IPV6 ACL 、支持MLD v1/v2 性 Snooping MAC地址表 镜像功支持端口1：1或N：1镜像，支持基于流的镜像 能 支持端口限速和流限速、支持每端口4个不同优先级的队列、支持根据报文802.1p映射到不同队列、支持SP、WRR、SP+WRR算法； QOS 支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四层端口、协议类型、VLAN、以太网帧协议、CoS等信息的流分类 参数要求 支持基于流的标记优先级、报文重定向 组播协支持IGMP v1/v2/v3 Snooping、支持捆绑端口的组播负载分担、支持基议 于端口的组播流速率和流量统计 支持802.1x，支持单端口最大用户数、支持动态ARP检测、支持IP Source Guard功能、支持AAA认证，支持Radius、HWTACACS+、NAC等多安全特种方式、支持IP、MAC、端口、VLAN的组合绑定、支持端口限速、支持端口隔离、端口安全、Sticky MAC、支持包过滤、支持MAC地址过滤、支持性 多播、广播及未知单播报文抑制、支持MAC地址学习数目、支持CPU保护功能 支持堆叠、支持自动配置功能、支持CLI配置、支持Telnet远程配置、管理和支持SNMP V1/V2/V3、支持RMON、支持集群管理HGMP V2、支持SSH V2、维护 支持WEB管理特性、支持GVRP协议

路由器设备参数：

语音功能 3G功能 RTP协议，SIP协议，SIP AG，IP PBX/TDM PBX，FXO/FXS，VoIP/电话会议 CDMA 2000 EV-DO Rev A制式，WCDMA制式，TD-SCDMA制式，3G链路上行/作为备份链路 局域网功能 IEEE 802.1，IEEE 802.3，VLAN管理，MAC管理，MSTP等 IPv4单播路由 组播功能 MPLS VPN IGMP V1/V2/V3，IGMP-Snooping V1/V2/V3，PIM SM，PIM DM，MSDP LDP，MPLS L3 VPN，静态LSP，动态LSP IPSec VPN，GRE VPN MPLS QoS，优先级映射，流量监管(CAR)，流量整形，拥塞避免(基于IP优先级/DSCP QoS WRED)，拥塞管理（LAN接口：SP/WRR/SP+WRR；WAN接口：PQ/CBWFQ），MQC(流分类，流行为，流策略)，H-QoS，FR QoS ACL、防火墙、802.1x认证、MAC地址认证、Web认证、AAA认证、RADIUS认证、HWTACACS安全 认证、广播风暴抑制、ARP安全、ICMP击、URPF、IP Source Guard、DHCP Snooping、CPCAR、黑名单、攻击源追踪 管理维护 升级管理、设备管理、Web网管、GTL、SNMP、NTP、CWMP、Auto-Config、U盘开局、NetConf 路由策略，静态路由，RIP，OSPF，IS-IS，BGP

无线控制器设备参数：

特性 服务集（ESS）管理 指标 基于ESS可设置：使能广播SSID，最大接入用户数，用户老化时间。 支持基于ESS的AP二层隔离。 支持基于ESS映射业务VLAN。 支持基于ESS关联安全、QoS等业务模板。 支持基于ESS控制AP组播开关。 ESS支持的类型包括：业务型，AP管理型，AC管理型。 最大支持1024个ESS服务集。 基于VAP的业务管理 支持VAP的批量创建及绑定射频/ESS。 支持按多种方式查询VAP：单个查询，按ESS查询，批量查询。 支持业务离线配置。 AP全自动上线方式下，根据业务批量发放规则自动创建VAP。 最大支持20000个VAP对象。 配置的自动发放管理 支持基于“AP类型+射频ID”定义业务配置的自动发放规则。 支持自动上线AP加入缺省域（缺省域可事先指定）。 自动发放规则可与域配合使用，实现针对某区域AP的批量上线。 系统支持最多256条业务自动发放规则。 组播业务管理 支持AP IGMP Snooping模式。 支持AP IGMP Proxy模式。 负载均衡 支持通过负载均衡组对一组射频进行负载均衡。 支持两种负载均衡策略： − − 基于STA数的负载均衡。 基于流量的负载均衡。 WLAN用户管理 根据用户认证结果开启/关闭AP上的用户授权端口（初始状态默认关闭）。 支持按每个AP、每个SSID用户接入数量。 支持用户状态管理，异常下线检测（超时老化）。 支持基于用户MAC、AP、射频、WLAN ID方式查询用户状态信息。 支持按ESS查询在线用户数。 支持基于用户的空口信息统计。 支持用户管理相关的动态数据主备热备份。 WLAN用户漫游 支持AC内IPoE用户二层快速漫游，用户可经AP从AC不同物理口接入。 支持AC内IPoE用户三层快速漫游，用户可经AP从AC不同物理口或虚接口（用户地址池不同网段）接入。 支持AC内PPPoE用户二层漫游。 区分漫游用户和冒用用户。 支持重关联用户的合法检查，拒绝非法用户的重关联请求。 支持用户信息的延时清除，实现用户下线后的快速重新上线。

无线AP设备参数

支持IEEE 802.11b/g/n标准，支持2.4GHz频段。支持自动和手动两种速率调节方式，默认方式为自动速率调节方式。支持信道速率调整：802.11b可选择的速率：1、2、5.5、11Mbps。 802.11g可选择的速率：6、9、12、18、24、36、48、Mbps。 802.11n速率可调，支持调试速率MCS0～15。 支持WLAN

防火墙 Y Y Y Y 信道管理： WLAN特性 802.11b/g模式信道数：13个。 802.11n模式信道数：13个。 支持信道自动扫描功能，自动探测周边的AP、使用的信道及干扰， 结果上报AC，触发信道调整。支持AP中每个SSID可配置隐藏功能。支持SST（signal sustain technology）支持STA节电模式。支持CAPWAP（control and provisioning of wireless access points） 即无线接入点控制协议隧道数据转发。 支持根据用户接入的SSID划分VLAN。上行以太网口支持VLAN trunk功能。 网络特性 支持同一VLAN中不同的无线终端之间的访问隔离。支持用户数据的集中转发和本地转发两种方式。支持VLAN ID (1-4093)， 可设置16个VAP。支持IGMP Snooping。防火墙设备参数：

项目 功能 IPS入侵防护 UTM威胁管理 Anti-virus防病毒 URL过滤 Anti-Spam 性能 IPS 性能 签名库大小 2500+ 100K 400多万 100 30,000K 2000+ Anti-Virus 性能 病毒库大小 可检测的病毒种类 URL 性能 URL类别 URL条目数 IPS入侵防护 签名库大小 分片重组 流重组 基于特征的入侵检测功能 协议异常检测 协议识别 自定义IPS签名 全局IPS使能开关 基于若干分类方法设置响应方式 基于单个签名强制设置响应方式 应用于域间（无方向）和同域 提供特权级 IPS 策略设置:提供将某个已有的IPS策略设置为特权策略的功能 支持签名按类别显示 支持签名的查询 自动升级 手动升级 本地升级 版本回退 Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y 400多万 Y 可检测的病毒种类 HTTP上传和下载文件的扫描 SMTP邮件附件的扫描 POP3邮件附件扫描 支持压缩文件的扫描 支持加壳病毒的扫描 全局的病毒使能开关 病毒扫描等级设置 解压层数设置 Y Y Y Y Y Y Y Y Y Y Y Anti-Virus防病毒 HTTP协议细粒度病毒扫描策略配置 SMTP协议细粒度病毒扫描策略配置 POP3协议细粒度病毒扫描策略配置 策略中的公共配置 策略应用在域间,域间区分方向 用户可查看当前使用的特征库的病毒名列表 自动升级 手动升级 本地升级 版本回退 Y Y Y Y Y Y Y URL URL 标准化 允许用户检查分类服务器连接状态 支持我司的URL 分类服务器接口 支持用户自定义 URL 分类 支持用户添加 URL 到分类 提供 URL 黑白名单功能 提供细粒度的 URL 过滤策略设置 支持响应方式为禁止或允许,禁止方式下支持页面推送 应用于域间 提供 URL 过滤的豁免IP列表 提供 URL 访问日志记录 Y Y Y Y Y Y Y Y UTM_IPS攻击日志及报表 Y Y Y Y 报表审计（elog） UTM_病毒日志及报表 设备状态监控 UTM_WEB过滤日志及报表