【正文】 的時間內(nèi)處理解決。 設備的性能越好，對用戶的響應速度就越快，系統(tǒng)提供的服務就越優(yōu)良 , 尤其對應用系統(tǒng)來講，效果會更明顯。高可用性主要體現(xiàn)在網(wǎng)絡鏈路類型、帶寬的選擇、不同層次所用設備的處理能力的選擇，網(wǎng)絡構(gòu)架中采用的相關(guān)支撐技術(shù)和 標準的選擇。 、 有線 無線 網(wǎng)絡管理 平臺 的建設 要求 建立 一套統(tǒng)一有效的網(wǎng)絡管理系統(tǒng)，能夠直觀全面地監(jiān)控整個網(wǎng)絡和各種設備的運行狀態(tài)，詳細記錄和深入分析網(wǎng)絡流量，及時報告各種故障和性能問題，協(xié)助管理員找到故障的起源，并且對網(wǎng)絡的性能變化和故 障發(fā)生提前進行預測。 一卡通管理系統(tǒng)，以高科技產(chǎn)品智能卡作為數(shù)據(jù)和應用載體，集成了電子技術(shù)、射頻技術(shù)、 IC卡技術(shù)、單片機技術(shù)、計算機網(wǎng)絡技術(shù)及數(shù)據(jù)庫技術(shù)等諸多高新科技，經(jīng)過許多模式和較長時間的發(fā)展而形成的。為了保證網(wǎng)絡的安全， 酒店內(nèi)網(wǎng)、酒店外網(wǎng) 采用 物理 隔離，單獨組網(wǎng) 。充分利用信息技術(shù)，改造和規(guī)范酒店管理流程。 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 6 頁 共 71 頁 、 酒店 辦公自動化 系統(tǒng) 酒店辦公室自動化系統(tǒng)是酒店 是直接面對 客人 的窗口，具有舉足輕重的地位，時間對于 客人 來說，是非常寶貴的，但是恰恰在 客人入住登記、退房結(jié)賬 的過程中這 2 個環(huán)節(jié) 最容易出現(xiàn)長時間排隊現(xiàn)象，造成客人疲憊、煩躁。 、 酒店寬帶網(wǎng)絡 系統(tǒng) 酒店寬帶網(wǎng)絡系統(tǒng)為客人提供 高速、穩(wěn) 定、安全的上網(wǎng)環(huán)境，客人在酒店就可以處理電子郵件，遠程 VPN 接入公司網(wǎng)絡，遠程視頻會議，運行 、 MSN 等通信工具。網(wǎng)絡建設是一項基礎工程，要先于業(yè)務發(fā)展超前進行，進而推動業(yè)務的發(fā)展?？煽啃栽O計不僅包括網(wǎng)絡設備、鏈路等物理設計的可靠性，同時包括路由等邏輯設計的可靠性。 、 升級擴展性 系統(tǒng)設計構(gòu)架具有可擴展性，為業(yè)務發(fā)展和新產(chǎn)品開發(fā)打下良好基礎。 、 標準性和開放性 在本方案中，所有選用的技術(shù)和產(chǎn)品，全部遵循通用的國際或行業(yè)標準，各系統(tǒng)模塊之間有良好的兼容性。 根據(jù)模塊化、分層設計的 理念，建議對 網(wǎng)絡 分為：核心交換區(qū)、 樓層接入?yún)^(qū) 、 服務器區(qū) 。主要完成以下功能： ? 通 過 VLAN 定義實現(xiàn)業(yè)務劃分。主備倒換過程不影響業(yè)務轉(zhuǎn)發(fā)，不丟數(shù)據(jù)； 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 15 頁 共 71 頁 （五）具備 CPU 保護技術(shù)來避免異常流量和攻擊流量對設備可用性的威脅； 、 網(wǎng)絡高可用設計 不間斷路由：為了解決路由備份問題，采用不間斷路由技術(shù)。 NFPP 是英文 Network Foundation Protection Policy 的縮寫，中文意思是“基礎網(wǎng)絡保護策略”；NFPP 技術(shù)可以聯(lián)動網(wǎng)絡設備自身的安全檢 測和安全防護技術(shù)，實現(xiàn)網(wǎng)絡設備的自動智能安全體系。 、 接入安全 硬件支持 IP、 MAC、端口綁定，提高用戶接入控制能力。 用戶在訪問網(wǎng)絡的過程中，首先要經(jīng)過的就是接入交換機，在用戶試圖進入網(wǎng)絡的時候，也就是在接入層交換機上部署網(wǎng)絡安全無疑是達到更好的效果。銳捷產(chǎn)品支持 IGMP 源端口檢查， 有效控制非法組播，實現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡的安全性和全網(wǎng)的性能，同時可以有效杜絕以組播方式的傳播病毒 .而且也是網(wǎng)絡帶寬合理的分配所必須的。使用 DCOM 和 RPC 的服務利用計算機上的 endpoint mapper 注冊它們的位置。在 2020 系統(tǒng)里， 445 開啟 NBT（共享文件）服務，利用它，你才能看見網(wǎng)上鄰居上的其他電腦，利用這個端口可以獲取主機的相關(guān)信息。 1） IP 源路由選項開關(guān) 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 22 頁 共 71 頁 在 IP 路由技術(shù)中，通常一個 IP 報文總是沿著網(wǎng)絡中的每個路由器所選擇的路徑上轉(zhuǎn)發(fā)分組。但一些惡意的攻擊可能跨越網(wǎng)段向另外一個網(wǎng)絡的主機 發(fā)送虛假的重定向報文，以期改變主機的路由表，干擾主機正常的 IP 報文轉(zhuǎn)發(fā)。 、 設備安全防護 設備自身的安全防護技術(shù) 1）口令管理 為防止對系統(tǒng)未經(jīng)授權(quán)的訪問，系統(tǒng)必須具有完善的密碼管理功能。超時時間必須可配置，缺省為 10 分鐘。 超時時間必須可配置，缺省為 10 分鐘。這些信息可以提供訪問許多路由器或者其他網(wǎng)絡設備的途徑。 SNMPv2 的安全性 SNMP 的后序版本 SNMPv2 進行了改進，它支持基于 MD5 的驗證方案，并且允許對訪問的管理數(shù)據(jù)進行存取上的限制。這樣保證 了數(shù)據(jù)的完整性和正確性。 、 關(guān)閉設備服務 1）關(guān)閉 UDP/TCP 小端口服務 早期的 TCP/UDP 端口服務，設計比較簡單，沒有考慮網(wǎng)絡安全問題，這類小端口服務可能被海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 26 頁 共 71 頁 惡意攻擊者利用。若被惡意攻擊者利用可以竊取登錄到系統(tǒng)的所有用戶的詳細信息。在常見網(wǎng)絡攻擊中，有一類是利用畸形包來攻擊網(wǎng)絡設備。 提供補丁軟件校驗碼，增加補丁軟件加載的自身安全。 、 VLAN規(guī)劃 建議方案，以酒店 實際規(guī)劃為主。 IP 地址規(guī)劃將對如下環(huán)節(jié)產(chǎn)生影響 ： ? 路由協(xié)議的運行效率 ? 網(wǎng)絡的性能 ? 網(wǎng)絡的擴展 ? 網(wǎng)絡的管理 、 IP地址編碼的基本原則 唯一性 唯一性是 IP 地址在 TCP／ IP 協(xié)議中最基本的要求，是 IP 地址的基本特征和 IP 地址編制的重要依據(jù)。 供酒店外網(wǎng)、酒店內(nèi)網(wǎng)參考。 對所有重要事件 log 利用 Syslog 記錄重要的設備信息 (如告警，設備狀態(tài)變化信息 )，可以為故障定位排除提供有利數(shù)據(jù)。 4）設備安全補丁 軟件補丁是為了對系統(tǒng)軟件中的某些錯誤進行修改而發(fā)布的獨立的軟件單元。 3）設備健壯性設計 網(wǎng)絡設備暴露出來的安全問題，很多情況下，并不是直接由設備安 全不足產(chǎn)生的，而是設備本身不健壯導致的。 如果網(wǎng)絡設備實現(xiàn)了這些早期的小端口服務，應能通過一條指令關(guān)閉所有的小端口服務。 SNMP Agent 應使用訪問列表對SNMP 報文進行限制，僅僅允許指定 IP 地址的網(wǎng)管站訪問。 SNMPv3 繼承了 SNMPv2u 的很多優(yōu)點，并且從系統(tǒng)的角度進行了優(yōu)化。 如果必須使用 SNMPV1，應當注意 如下事項，以避免安全隱患： 最好不要使用常用的 public和 private作為團體名； 對每個設備使用不同的團體名，或者至少是對網(wǎng)絡上的每個區(qū)域使用不同的團體名。 超時時間必須可配置，缺省為10 分鐘 限制 tel 用戶數(shù)目 設備對 tel 用戶數(shù)量必需做出上限控制。 3)異步輔助端口的本地 /遠程撥號訪問 通過設備的其它異步輔助端口對設備進行本地、遠程撥號的交互配置，是設備通供的額外配置方式。 2）控制對設備的訪問 控制臺訪問： 控制臺是設備提供的最基本的配置方式。缺省應為關(guān)閉狀態(tài)。 因為 IP 源路由選項忽略了報文傳輸路徑中的各個設備的中間轉(zhuǎn)發(fā)過程，而不管轉(zhuǎn)發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡結(jié)構(gòu)。 請先確認 VNC 是否是你自己開放并且是 必須的，如果不是請關(guān)閉 關(guān)閉的方法： 首先 使用 fport 命令 確定出 監(jiān)聽在 5800 和 5900 端口的 程序所 在位 置（通 常會是c:Winntfont***) 在任務管理器中殺掉相關(guān)的進程（注意有一個是系統(tǒng)本身正常的，請注意！如果錯殺可以重新運行 c:) 刪除 C:Winntfonts 中的 程序。而 139 端口通過這個端口進入的連接試圖獲得 NetBIOS/SMB 服務。 銳捷接入層交換機均可對以上兩種方式進行有效控制： ? 可檢查和控制 DHCP 響應報文合法性 ? 可遏制惡意用戶不斷更換 MAC 地址的 DHCP 請求 （ 5）對 DOS 攻擊，掃描攻擊的屏蔽 通過在銳捷接入層設備部署防止 DOS 攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡帶寬，避免了網(wǎng)絡設 備、服務器遭受到此類攻擊時導致的網(wǎng)絡中斷。有效的防止通過假冒源 IP/MAC 地址進行 網(wǎng)絡的攻擊，進一步增強網(wǎng)絡的安全性。 通過 PVLAN（端口保護）隔離用戶之間信息互通，不必占用 VLAN 資源。 支持同時啟用多組的多端口同步監(jiān)控技術(shù)，并且支持靈活的輸入、輸出、雙向數(shù)據(jù)鏡像，滿足靈活的網(wǎng)絡監(jiān)控需求，提升網(wǎng)絡監(jiān)控能力。 特點：鏈路冗余、 故障時間收斂短 。 、 服務器區(qū) 設計 服務器區(qū)主要實現(xiàn)如下功能： ? PMS、 OA 等服務器的網(wǎng)絡承載； ? 承載網(wǎng)絡管理平臺 ； ? 部署服務器區(qū)的 VLAN 信息， 實現(xiàn) VLAN 終結(jié)在服務器區(qū)； ? 實現(xiàn) 服務器區(qū)到核心交換平臺 的路由策略 ； ? 實施安全訪問控制（ ACL）， 保證網(wǎng)絡安全 ； 服務器直接連接到 核心交換機， 實現(xiàn)服務器的安全、高可用承載。 核心交換區(qū)是一個高速的 Layer3 交換骨干，不建議進行終端系統(tǒng)的連接，也不建議實施影響高速交換性能的安全訪問控制（ ACL）等功能。 、 設計依據(jù)及引用標準 ? GB/T 503112020《 建筑與建筑群結(jié)構(gòu)化綜合布線系統(tǒng)工程設計規(guī)范 》 ? GB/T503142020《智能建筑設計標準》 ? GB/T 503122020《 建筑與建筑群結(jié)構(gòu)化綜合布線系統(tǒng)工程 驗收 規(guī)范 》 ? GB503032020 《建筑物電子信息系統(tǒng)防雷規(guī)范》 ? GBJ/T1692《民用建筑電氣設計規(guī)范》 ? ISO/IEC 11801《信息技術(shù) 布線標準》 ? EIA 568A/TIA 568B《商業(yè)建筑電信布線標準》 ? EIA/TIA586《民用建筑線纜標準》 ? EIA/TIA TSB67《非屏蔽雙絞線布線測試標準》 ? YD/T 9261997《大樓通信結(jié)構(gòu)化綜合布線系統(tǒng)》 ? 《工業(yè)企業(yè)通 訊設計規(guī)范》 ? EMC 歐洲電磁兼容性標準 ? ITUT 國際電信聯(lián)盟標準 ? ANSI FDDI 美國國家標準：分布式光纖數(shù)據(jù)接口 ? IEEE 國際電子電氣工程師協(xié)會 ? IEEE 國際電子電氣工程師協(xié)會 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 12 頁 共 71 頁 、 總體網(wǎng)絡架構(gòu)設計 酒店 網(wǎng)絡總體上分為 兩 個獨立的業(yè)務網(wǎng)絡： 酒店外網(wǎng)、酒店內(nèi) 網(wǎng)。同時，網(wǎng)絡結(jié)構(gòu)應當能夠變化，具有靈活的伸縮能力，網(wǎng)絡設備可以擴充和升級。因此在設計相關(guān)設備配置時不僅以滿足當前的應用為基礎，更要考慮到系統(tǒng)應當具有良好的擴充能力，以滿足將來不斷增長的業(yè)務需求。在網(wǎng)絡設計中要把先進的技術(shù)與現(xiàn)有的成熟技術(shù)結(jié)合起來，充分考慮到網(wǎng)絡應用的現(xiàn)狀和未來發(fā)展趨勢。 、 網(wǎng)絡可靠性建設要求 滿足酒店 7*24 小時業(yè)務不間斷運行； 辦公網(wǎng) 要通過設備冗余、鏈路冗余、路由冗余來來滿足可靠性的要求， 使網(wǎng)絡具有故障自愈的能力。 、 酒店一卡通 酒店 一卡通管理系統(tǒng)實現(xiàn)的功能包括人 事薪資、門禁監(jiān)控、考勤消費、 IC 卡電表、水表、巡更系統(tǒng)和會議簽到等等，功能范圍幾乎覆蓋 酒店 所有的角角落落。 、 建設任務 酒店辦公網(wǎng)基礎 網(wǎng)絡平臺建設 酒店客房網(wǎng) 基礎網(wǎng)絡平臺建設 酒店設備網(wǎng)基礎網(wǎng) 絡平臺建設 第 2章、 酒店 業(yè)務需求分析 、 網(wǎng)絡架構(gòu)的要求 酒店 網(wǎng)絡分為兩 個部分： 酒店內(nèi)網(wǎng)（ PMS、財務等）、酒店外網(wǎng)（客房、會議室、公共場所等）， 。降低服務 成本，增強管理效率，提升 酒店的競爭能力和服務水平；改善 客人上網(wǎng) 環(huán)境，為 客人創(chuàng)造一個全方位的，方便快捷，全新的酒店服務平臺，實現(xiàn)以客人為中心的酒店 管理理念的轉(zhuǎn)變，以滿足人民生活品質(zhì)日益提高的需要。同時對于酒店 負責這塊的工作人員來說，勞動強度大、勞動方式單一、心態(tài)也比較煩躁。 客人對酒店網(wǎng)絡提出了以下要求： 高速、穩(wěn)定、安全 、 酒店辦公自動化 酒店辦公自動化 系統(tǒng)主要是人、財、物的管理，包括人事、財務管理、 物品 管理等，因此它最大的需求是數(shù)據(jù)在服務器端和網(wǎng)絡上的安全，保證這些數(shù)據(jù)不會泄露。 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 9 頁 共 71 頁 、 業(yè)務分離架構(gòu) 梧州 XX 酒店 為 客人提供上網(wǎng)服務 ， 同時 提 供 酒店 自身 辦公網(wǎng) 網(wǎng)絡需要， 根據(jù)各種業(yè)務流程的的特點，總體上將 酒店 計算機網(wǎng)絡系統(tǒng) 問 、 客房網(wǎng) 和 設備網(wǎng) 三個相對獨立的網(wǎng)絡來建設 。 、 安全性 在本方案中，通過多種安全技術(shù)和防護手段，保證系統(tǒng)自身的安全性，保證服務不會中斷，同時保證數(shù)據(jù)不被非法入侵者破壞和盜用。業(yè)務的發(fā)展對網(wǎng)絡的需求是不斷變化的，網(wǎng)絡應用系統(tǒng)為了滿足這些需求也會隨之變化。從長遠來看，也便于系統(tǒng)的升級和移植或運行其他應用軟件，做到一機多用。 、 酒店外網(wǎng) 功能設計 酒店外網(wǎng) 主要是 為客人提供 對外溝通的平臺，網(wǎng)絡安全不容忽視，同時也需要考慮后續(xù)的可擴展形。 ? 實現(xiàn) QoS，對數(shù)據(jù)包進行分類和標記。在核心層設備的路由主控板發(fā)生問題后，設備中的備用主控板自然切換為主用，替代執(zhí)行路由的處理，而這個過程對轉(zhuǎn)發(fā)平面是透明的，轉(zhuǎn)發(fā)平面可以繼續(xù)轉(zhuǎn)發(fā)報文，做到不中斷 轉(zhuǎn)發(fā)。 海韻國際酒店 計算機網(wǎng)絡系統(tǒng)設計方案 第 16 頁 共 71 頁 隨著交換機應用的逐漸普及，以及網(wǎng)絡攻擊的不斷增多，越來越需要為數(shù)據(jù)交換機提供一種保護機