【正文】 .................................... 35 RGS7800 系列多業(yè)務 IPv6 核心路由交換機 ................................................................... 35 RGS2600E 系列安全智能以太網(wǎng)交換機 .......................................................................... 39 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 3 頁 共 71 頁 RGWS5302 無線控制 器 ................................................................................................... 44 RGAP220SE 室內(nèi)增強型 無線接入點 ................................................................ 51 RGSNC 產(chǎn)品介紹 ........................................................................................................... 57 RGEG1000S 易網(wǎng)關(guān) ........................................................................................................ 58 RGWALL 160E 防火墻產(chǎn)品介紹 .................................................................................... 64 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 4 頁 共 71 頁 第 1章、 項目概述 、 項目名稱 梧州 XX 酒店 計算機網(wǎng)絡系統(tǒng) 、 項目背景 酒店 信息化建設是對傳統(tǒng) 酒店 管理模式重新規(guī)劃 、定位以及標準化和規(guī)范化的過程。 數(shù)字化酒店 是將先進的網(wǎng)絡及數(shù) 字技術(shù)應用于酒店 ，實現(xiàn) 酒店 內(nèi)部 管理和管理信息的數(shù)字化采集 、存儲、傳輸及后處理，以及各項業(yè)務流程數(shù)字化運作的 酒店 信息體系。 、 酒店 業(yè)務系統(tǒng)架構(gòu)及需求特點 酒店信息系統(tǒng)架構(gòu)的目標是幫助酒店 從整體的角度審視它的 IT 需求，它為高層次的規(guī)劃奠定了基礎(chǔ)，是一個符合數(shù)字化酒店 需求的邏輯觀點。 客人退房 的時間主要集中在上午 8 點到 10 點 ，對網(wǎng)絡系統(tǒng)要求具有高可靠性高、并發(fā)性大、實時性和突發(fā)性強。其核心意義是子系統(tǒng)數(shù)據(jù)庫的統(tǒng)一和發(fā)卡中心的統(tǒng)一，其突出特點表現(xiàn)為：一卡、一庫、一網(wǎng)，可實現(xiàn)各種系統(tǒng)之間的整合。 、 弱電設備控制系統(tǒng) 酒店 中的弱電設備包括空調(diào)、電梯、照明 、視頻監(jiān)控、門禁 等設備，為了保證這些設備的安全運轉(zhuǎn)，需要提供一個獨立的網(wǎng)絡環(huán)境，要保證網(wǎng)絡的絕對安全。 、 網(wǎng)絡安全建設要求 構(gòu)建 網(wǎng)絡 安全防護體系 ， 建設一套行之有效的安全管理機制和技術(shù)手段，最大程度保證主機安全、網(wǎng)絡安全， 主動發(fā)現(xiàn)、及時防御、迅速解決安全問題，并采用各種技術(shù)有效防止網(wǎng)絡病毒的傳播。 、 設計原則 、 高可用 網(wǎng)絡設計首先應本著可用性的原則。 、 高可靠 網(wǎng)絡系統(tǒng)的穩(wěn)定可靠是數(shù)字化 酒店 中信息正常流動的保證 ， 也是網(wǎng)絡設計基本的原則。 、 先進性和成熟合理性 當今的計算機技術(shù)日新月異，因此要求選擇的系統(tǒng)不僅要保證具有先進性，而 且要保證技術(shù)方向的正確性。我們推薦的產(chǎn)品和技術(shù)都經(jīng)過了市場的考驗 ，有在大型系統(tǒng)中應用的成功案例。面對不斷變化的情況和需求，網(wǎng)絡應當能夠作出快速和有效的反應。 我們推薦的系統(tǒng)具有良好的用戶操作界面、完備的幫助信息。 、 主流品牌和完善的售后服務 由于 IT 技術(shù)和產(chǎn)品更新?lián)Q代非?？?， 新的硬件、新的軟件、新的技術(shù)層出不窮，雖然這種情況有利于世界整體發(fā)展，但對于用戶來講，如果購買到的產(chǎn)品技術(shù)不成熟，或產(chǎn)品的設計思路有缺陷，海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 11 頁 共 71 頁 對其投資將帶來巨大的風險，因此，選擇一個已經(jīng)得到市場認可的主流品牌是必須考慮的原則。 酒店外網(wǎng) ：主要 供客人 、會議室、公共場所等 訪問互聯(lián)網(wǎng)，提供 上網(wǎng)業(yè)務等。 根據(jù)模塊化、分層設計的理念，建議對 酒店外 網(wǎng)分為：核心交換區(qū)、 樓層接入?yún)^(qū)、互聯(lián)網(wǎng)區(qū)。 核心交換平區(qū)建議部署 兩 臺 萬 兆 核心 交換機， 為了保證兩 臺核心設備的可靠性，建議配置雙電源、 雙 交換引擎，在核心交換機上不建議配置復雜的協(xié)議，只需要啟動三層路由協(xié)議和 CPU 保護即可。 ? 接入網(wǎng)作為 用戶終端接入 的唯一接口，在為用戶終端提供高速、方便的網(wǎng)絡接入服務的同時，需要對用戶終端進行入網(wǎng)認證、訪問行為規(guī)范控制， 從而 拒絕非法用戶使用網(wǎng)絡，保證合法用戶合理使用網(wǎng)絡資源 ，并 有效防止和控制病毒傳播和網(wǎng)絡攻擊 。 、 網(wǎng)絡高可用設計 、 高可用設計 、 核心交換區(qū)高可用設計 核心交換主要通過設備自身和網(wǎng)絡架構(gòu)的高可用性設計來確保整體高可用。 、 服務器區(qū)高可用設計 為了實現(xiàn)高可用性，服務器通常采用雙鏈路上行 ， 網(wǎng)絡驅(qū)動程序?qū)⒍鄠€網(wǎng)卡捆綁成一個虛擬的網(wǎng)卡 ， 如果一個網(wǎng)卡失效，另一個網(wǎng)卡會接管它的 MAC地址 ， 服務器使用一個唯一的 IP地址進行訪問 （ 兩個網(wǎng)卡必須位于同一廣播域 同一子網(wǎng) ）。 主機實時檢測 CPU 的使用狀態(tài)，并提供 業(yè)界領(lǐng)先的硬件 CPU 保護技術(shù)（ CPP， CPU Protect Policy）， CPP 技術(shù)對發(fā)往 CPU 的數(shù)據(jù)進行流區(qū)分和流限速，避免非法攻擊包對 CPU 的攻擊和資源消耗。 提供業(yè)界最為強大的 ACL 特性，基于 SPOH 技術(shù)提供 IP 標準、 IP 擴展、 MAC 擴展、時間、專家級等豐富的 ACL 技術(shù)，支持 IPv4/IPv6 雙 棧下的輸入輸出 ACL。 Tel/Web 登錄的源 IP 限制功能，避免非法人員對網(wǎng)絡設備的管理。 支持 IGMP 源端口檢查、源 IP 檢查、 IGMP 過濾等功能，可有效控制非法組播源，提高網(wǎng)絡安全。 端口 MAC 地址鎖、 MAC 地址過濾、端口 MAC 地址接入數(shù)量限制功能可以屏蔽非法主機的接入和非法數(shù)據(jù)包進入網(wǎng)絡。 （ 2）防 MAC Flood\SYN Flood 攻擊 通過部署 IP、 MAC、端口綁定和 IP+MAC 綁定（只需簡單的一個命令就可以實現(xiàn)）。當 IGMP 源端口檢查關(guān)閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉(zhuǎn)發(fā)到已注冊的端口。 以上可直接在接入交換機上部署，保證了組播應用的安全性，同時也提高了網(wǎng)絡性能！ （ 4）對 DHCP 攻擊的控制 方式一、非法 DHCP Server，為合法用戶的 IP 請求分配不正確的 IP 地址、網(wǎng)關(guān)、 DNS 等錯誤信息，不僅影響合法用戶的正常通訊，還導致合法用戶的信息都發(fā) 往非法 DHCP Server，嚴重影響合法用戶的信息安全。 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 19 頁 共 71 頁 最有效的防病毒配置文件如下： ip accesslist extended lan deny udp any any eq 136 deny udp any any eq biosns deny udp any any eq biosdgm deny udp any any eq biosss deny udp any any eq 445 deny udp any any eq 593 deny udp any any eq 1434 deny tcp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 4444 deny tcp any any eq 5800 deny tcp any any eq 5900 deny tcp any any eq 6667 deny tcp any any eq 5554 deny tcp any any eq 9996 permit ip any any 端口 135 服務 Location Service 說明 Microsoft 在這個端口運行 DCE RPC endpoint mapper 為它的 DCOM 服務。 HACKER 掃描計算機的這個端口是為了找到這個計算機上運行 Exchange Server 嗎？什么版本？還有些 DOS 攻擊直接針對這個端口。還有 WINS Regisrtation 也用它。在遠程控制方面這個端口作用不是特別大，但是病毒傳播的效果是很明顯的。 、 酒店外網(wǎng) 互聯(lián)區(qū)網(wǎng)絡安全規(guī)劃 ? 采用在線模式部署 ? 在優(yōu)先保證業(yè)務持續(xù)的基礎(chǔ)上提供全面的防護； ? 基于狀態(tài)的鏈路檢測功能； ? 能夠有效抵御 DoS/DDoS 攻擊； ? 對網(wǎng)絡蠕蟲病毒進行有效防護； ? 可以針對數(shù)據(jù)進行 2~7 層的深度安全防 護； ? 提供對網(wǎng)絡設備、主機、鏈路的保護； ? 具備實時的升級特性； ? 提供可供分析的標準日志結(jié)構(gòu)； 、 網(wǎng)絡設備自身安全加固 網(wǎng)絡系統(tǒng)安全主要考慮以下 幾個方面：路由安全、接入安全、訪問控制和監(jiān)測、日志記錄、業(yè)務隔離等方面。并且，在分組到達目的地的過程中，把該路由記錄下來。 2）重定向開關(guān) 網(wǎng)絡設備向同一個子網(wǎng)的主機發(fā)送 ICMP 重定向報文，請求主機改變路由。 3）定向廣播報文轉(zhuǎn)發(fā)開關(guān) 在接口上進行配置，禁止目的地址為子網(wǎng)廣播地址的報文從該接口轉(zhuǎn)發(fā)，以防止 smurf 攻擊。 ICMP 協(xié)議允許網(wǎng)絡設備中間節(jié)點（路由器）向其它設備節(jié)點和主機發(fā)送差錯或控制報文；主機也可用 ICMP 協(xié)議與網(wǎng)絡設備或另一臺主機通信。這里只描述本地密碼管理。 用戶登錄驗證 對從設備 CONSOLE 口進行訪問配置的用戶必需具有身份認證的能力，可以通過本地用戶驗證或 RADIUS 驗證實現(xiàn)。這樣，即使非法用戶占領(lǐng)了控制臺，通過重啟設備清除了控制臺訪問口令，也無法通過控制臺對設備進行非法配置。 用戶登 錄驗證 原理同控制臺訪問控制的基本能力，這是無論那種配置方式都必需提供的基本控制能力。 4） TELNET 訪問 缺省要求身份驗證 對于非控制臺的其它一切配置手段，必須要求設備配置身份驗證，如果設備未配，將拒絕登錄。 SNMP 協(xié)議自身有安全性保障，同時 SNMP Agent 還應該具備對網(wǎng)管站的訪問進行限制的能力。 SNMPv1 的安全性 SNMPV1 使用的驗證方式是基于團體名字符串的驗證機制， SNMPv1 的驗證非常弱： 它使用明文作為驗證字。如果可能，應該實現(xiàn)使用只讀的團體名進行周期性的輪流檢測。 尤其要注意的是，目前常用的 SNMPv2c，沒有增加安全特性，其安全能力與 SNMPv1 相同。從安全角度來講， SNMPv3 使用了基于用戶的安全模式（ USM）和基于視圖的訪問控制模式（ VACM）。關(guān)于 USM 和 VACM 的詳細介紹可以參見 RFC2574 和RFC2575。但目前 HTTP 協(xié)議本身僅支持明文驗證。常見網(wǎng)絡攻擊中， UDP 洪水就是利用 chargen 和 echo 來傳送毫無用處的占滿帶寬的數(shù)據(jù)：通過偽造與某一主機的 Chargen 服務之間的一次的 UDP 連接，回復地址指向開著 Echo 服務的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數(shù)據(jù)流，從而消耗網(wǎng)絡帶寬。 2）關(guān)閉協(xié)議服務 設備上提供很多服務和應用，在不同的網(wǎng)絡環(huán)境中這些服務可能是不必要的，若開啟這些服務將對設備自身性能造成影響，因此需 要這些關(guān)閉服務；有些服務還會帶來潛在的安全問題，也同樣需要關(guān)閉。 關(guān)閉 NTP 協(xié)議服務 NTP 協(xié)議用來在整個網(wǎng)絡發(fā)布精確時鐘。網(wǎng)絡在惡意攻擊下，容易呈現(xiàn)流量不對稱現(xiàn)象，有些設備對這個現(xiàn)象沒有做相應的可靠性設計。 某些設備的 TCP/IP 協(xié)議棧，在收到含有這樣的重疊偏移分段時將崩潰。對于設備存在的軟件安全漏洞，可以采用打軟件補丁的方法進行補救。 缺省應關(guān)閉軟件補丁動態(tài)加載的能力。首先，基于源地址欺騙的攻擊者，會經(jīng)常改變其報文的源地址來進行攻擊，而防火墻是無法動態(tài)檢測到這種變化的，需要網(wǎng)絡管理人員定期地去更新防火墻的配置。 、 各功能區(qū) VLAN 定義 根據(jù)酒店 的實際情況來劃分。需要在所分配的 IP 地址網(wǎng)段中盡可能地利用地址空間，充分考慮地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡內(nèi)地址分配及業(yè)務流量的均勻分布。 連續(xù)性 在層次 化結(jié)構(gòu)的網(wǎng)絡中為各個節(jié)點劃分連續(xù)的 IP 地址區(qū)間，便于實觀路徑疊合 (Route Summarization)等優(yōu)化 IP 地址的分配技術(shù)，簡化路由表數(shù)據(jù)，提高路由算法的計算效