-
1 # 宇勝科技影片
-
2 # 智慧化弱電工程
適用範圍
本案例主要適用於規模較大(使用者數可達5000左右)的酒店場景。
業務需求
使用者接入需求
為酒店辦公員工提供有線和無線接入方式。
為監控攝像頭、IPTV終端提供有線接入方式。
為酒店訪客和房客提供無線接入方式。
酒店網路的接入使用者可以訪問Internet。
酒店網路總部與分支之間透過IPSec VPN互聯。針對酒店辦公使用者,訪問分支的資料流需要透過IPSec VPN加密。
區分不同型別的使用者,訪問Internet時進行頻寬限制,內網訪問流量不做頻寬限制,酒店員工、住客和訪客分別限制頻寬為4Mbps、2Mbps、1Mbps,對於影片和P2P流量每使用者頻寬限制為1Mbps。
針對不同型別的使用者,提供不同的網路訪問許可權,如表1-1所示。
表1-1 使用者網路許可權控制表
使用者組
辦公伺服器
iptv伺服器
Internet
employee
Permit
Deny
Permit
guset
Deny
Deny
Permit
visitor
Deny
Deny
Permit
iptv
Deny
Permit
Deny
在所有允許訪問的策略中配置精細規則,開啟反病毒和入侵檢測。
接入認證需求
簡化認證,實現“一次認證,多次接入”服務。
無線漫遊需求
實現無縫漫遊,業務不中斷,使用者無需重新認證。
安全性需求
禁止網路使用者訪問內網;酒店內部使用者能夠訪問Internet,但不能在Internet上玩遊戲和觀看網路影片。
保護酒店內部使用者和Web伺服器避免受到來自Internet的攻擊。
保護酒店內部使用者和Web伺服器避免受到病毒威脅。
對使用者上網行為進行審計,記錄使用者上網日誌,供網路管理員後續進行審查和分析。
不同型別無線使用者之間不可互訪,實現無線使用者隔離。
能否抵禦DHCP的各種攻擊。
防止非法裝置、非法攻擊入侵網路,配合認證系統,滿足安全合規要求。
可靠性需求
主要裝置需要提供備份功能,裝置出現故障時,保證網路業務不中斷。
主要鏈路提供鏈路備份功能,鏈路出現故障時,保證網路業務不中斷。
運維管理需求
要求對使用者的上網行為進行統一管理、簡化運維。
組網方案
圖1-1 大型酒店綜合案例組網圖
網路設計分析
接入設計
出口防火牆USG6650承擔網路出口業務,隔離內網路區域。
為了使內網使用者訪問網路,在USG6650上配置NAT,實現私網地址和公網地址之間的轉換。
酒店總部和分支之間透過在出口防火牆配置IPSec VPN實現互聯。
在核心交換機上配置無線智慧漫遊功能,實現無縫漫遊。
使用者接入認證設計
針對酒店辦公有線使用者,在S7706上配置有線接入認證方式為MAC+Portal混合認證。
針對酒店無線使用者,在S7706上部署無線接入認證為MAC+Portal混合認證。
在Agile Controller-Campus上配置MAC優先認證,實現“一次認證,多次接入”服務。
安全性設計
配置安全策略,對流量進行過濾,禁止網路使用者訪問內網;辦公室員工能夠訪問Internet,但不能在Internet上玩遊戲(Game)和觀看網路影片。
在防火牆上開啟入侵防禦功能,部署DDOS攻擊防範,保護酒店內部使用者和Web伺服器避免受到來自Internet的攻擊。
在防火牆配置反病毒功能,保護酒店內部使用者和Web伺服器避免受到病毒威脅。
在防火牆上部署上網行為審計,對使用者的上網行為記錄日誌,供管理員後續進行審查和分析。
在S7706上分別配置多個SSID,將各種業務進行隔離,不同SSID繫結不同的業務VLAN,實現無線使用者隔離。
在接入交換機和匯聚交換機上配置DHCP Snooping,以抵禦網路中針對DHCP的各種攻擊。
可靠性設計
USG6650部署主備方式的雙機熱備,防火牆連線核心交換機和Internet分別採用VRRP部署,保證業務不中斷。
核心交換機S7706部署叢集,保證裝置級可靠性。配置多主檢測,可以檢測並處理叢集分裂時網路中出現的多主衝突。
S7706與USG6650、S7706與S5700-28P-PWR-LI-AC、S7706與S5720-56C-PWR-EI-AC之間分別採用Eth-Trunk互聯,提高鏈路可靠性。
運維管理設計
配置基於使用者組的頻寬策略,為不同使用者組提供不同頻寬。
透過Agile Controller-Campus,實現策略的統一控制和使用者行為的統一管理。防火牆透過獲取Agile Controller-Campus的使用者登入訊息,針對不同使用者組實現不同的策略控制。
透過eSight實現裝置的統一管理。
-
3 # 米Kirin
我推薦AC+AP方案雖然前期頭投資比較大 但是在於穩定個後期維護方便。
首先需要購置一臺QOS流控強大帶機量大的企業路由 如果兼帶AC控制器的更好了
其次從機房到客房最好佈置兩條POE供電的網線 其中一條出問題還能有另一條備用
酒店規模不大的情況下我推薦使用H3C的ER3200G2這款路由 因為我的酒店就是用的第一款 主要還帶有AC管理功能
我是用的H3C A51系列AP每個走廊有3個 可以同時6個房間的全部無線覆蓋 也能實現無縫漫遊。
回覆列表
估計給你說的是網路運營商的工作人員 你可以申請一個專線 安監控的同時 讓做安防的給你鋪設網路 沒有什麼太難的