网络工程课程设计-酒店网络设计方案

网络工程课程设计报告

题目：惠州国际大酒店网络设计方案

目录

前言................................................................................................................................ 4

1 项目概述 ................................................................................................................... 4

1.1 项目背景 ........................................................................................................ 4

1.2 酒店概况 ........................................................................................................ 4

1.3 项目概况 ........................................................................................................ 4

2 需求分析 ................................................................................................................... 5

2.1 需求分析 ........................................................................................................ 5

2.2 设计原则 ........................................................................................................ 6

3 方案总体设计 ........................................................................................................... 6

3.1 网络拓扑结构 ................................................................................................ 6

3.1.1 网络拓扑图 ......................................................................................... 6

3.1.2 层次模型拓扑结构图 ......................................................................... 7

3.1.3 层次拓扑结构特点 ............................................................................. 7

3.1.4 层次拓扑结构目标及策略 ................................................................. 7

3.2 分层设计思路 ................................................................................................ 8

3.2.1 核心层设计 ......................................................................................... 8

3.2.2 汇聚层设计 ......................................................................................... 8

3.2.3 接入层设计 ......................................................................................... 9

3.3 综合布线系统设计 ........................................................................................ 9

3.3.1 总体设计说明 ..................................................................................... 9

3.3.2 信息点统计 ....................................................................................... 10

3.3.3 工作区布线子系统设计 ................................................................... 10

3.3.4 水平布线子系统设计 ....................................................................... 11

3.3.5 干线子系统设计 ............................................................................... 12

3.3.6 管理子系统设计 ............................................................................... 14

3.3.7 设备间子系统设计 ........................................................................... 15

3.4 主要系统结构 .............................................................................................. 15

3.4.1 电子巡更系统 ................................................................................... 15

3.4.2 室内无线对讲系统 ........................................................................... 16

3.4.3 电子会议系统 ................................................................................... 16

3.4.4 门禁系统 ........................................................................................... 17

3.4.5 无线网络系统 ................................................................................... 17

3.5 网络设备清单 .............................................................................................. 17

3.5.1 核心层交换机选型（IBM BNT RackSwitch G8264） ...................... 18

3.5.2 汇聚层交换机选型（D-Link DGS-3100-24） ................................... 20

3.5.3 接入层交换机选型（华为S5700-24TP-SI(AC)） ............................ 22

3.5.4 路由器选型（cisco 3825c/k9） ....................................................... 24

3.5.5 服务器选型（IBM System x3850 X5(7145N12)） ........................... 26

3.6 IP地址、VLAN规划 ...................................................................................... 27

3.7 网络安全策略 .............................................................................................. 28

3.7.1 建立防火墙 ....................................................................................... 28

3.7.2 网络保密措施 ................................................................................... 28

3.7.3 数据安全性和完整性措施 ............................................................... 29

3.7.4 网络安全策略与建议 ....................................................................... 31

前言

惠州国际大酒店将建设成为一个现代化的国际酒店，为各地人士提供住宿、娱乐、休闲的高档场所。在当今信息社会，商业运作依赖于高速、稳定、可靠的信息网络，作为现代化的国际型酒店为客人提供优越的数字通讯环境是必不可少的。作为星级酒店应当运用网络等高科技手段实现对酒店的全方位管理，不但如此，酒店的网络系统还要保证个人信息资源的安全性和稳定性。

1 项目概述

1.1 项目背景

随着经济的蓬勃发展，为酒店业的发展提供了良好的机遇，丰厚的利润和巨大的市场也吸引了众多的竞争者。酒店行业靠什么赢得竞争优势？酒店不仅要做好现有业务种类，不断提高服务水平，还要把握客户的需求，用最经济的办法获得最大的客户满意度，提高企业自身的档次和知名度，同时拓展新的业务增长点，这使得酒店行业对信息化的需求非常迫切。调查表明，酒店的信息服务水平在很大程度上影响着客人的入住愿望。无法提供高速互联网接入服务的酒店，对于客户来说，无疑是一场商业灾难。

1.2酒店概况

惠州国际大酒店由一栋建筑组成，主楼楼高20层,1-3层为商业服务，4-5层以多媒体会议室为主, 6层为公司办公室，7-20层以酒店客房为主。酒店客房数量为300间。网络须覆盖酒店客房、办公区、地下停车场、大堂、会议室、宴会厅、商务中心、健身中心、行政酒廊、餐厅和酒吧等地。

1.3 项目概况

结合酒店建筑平面布局及配套情况，我们对规划的酒店智能化系统包括以下系统：电子巡更系统；室内无线对讲系统；电子会议系统；门禁系统；无线网络系统。

（1）本网络覆盖酒店客房、办公区、地下停车场、大堂、会议室、宴会厅、商务中心、健身中心、行政酒廊、餐厅和酒吧等地；

（2）逻辑网络架构分内、外网，内网即酒店办公的OA网，日常办公用，包括前台、财务室、经理室等；外网即客房、大厅、餐厅等客户有上网需求的地方，两网完全隔离可以确保酒店办公的OA网不受任何干扰；

（3）无线网络部分，本方案采用无线AP + 无线网络控制器的方式，AP只

负责接入，控制器负责集中认证，这样可以很好的实现无缝漫游，AP的覆盖范围尽可能广（覆盖酒店各楼层、商务中心、大厅、餐厅、酒吧、前台、停车场等），同时设备辐射并不过强，符合国家无线使用标准，不对人及通讯设备造成危害、干扰等。

2 需求分析

2.1需求分析

根据国际大酒店的建筑特点，在本酒店的智能化建设方面除与高档酒店相适应的各种设施外，为使该酒店实现高度信息化、数字化、从而实现酒店的现代化的管理和业务应用的需要，主要以下方面要着重考虑：

（1）考虑到酒店提供的国际会务功能，应当着重考虑大型会议的多语言翻译、多媒体展示和远程传输等等；

（2）对于环境调节的机电设备要求较高，从智能化角度来看，就是要求楼宇自控系统的调节能力要求较高；

（3）五星级酒店不仅仅是对设施的要求，更重要的是五星级的服务，所以针对这个特点应该配置一系列可选择的辅助酒店管理的软、硬件设施；

（4）满足酒店日常OA办公需求，满足客户及酒店内部多媒体会议需求；

（5）为扩充VOIP业务预留资源；

（6）新网络应该具有足够的先进性，不仅应该能承载普通的（文件，打印等）网络流量，并且应该支持多样QOS特性，保证有足够的带宽运行基于IP网络的实时PC TO PC语音传输，以及未来可能会具有视频会议流量；

（7）新网络应该具有足够的强壮性，应该具有足够的灾难恢复措施，包括电源冗余，设备冗余，主机冗余，数据库冗余，线路冗余，拨号链路冗余；

（8）新网络应该具有足够的安全性，采取带CBCA特性的路由器，以及防火墙以及设置DMZ区,防杀病毒、入侵检测、和漏洞扫描与修补系统、网络数据完整、网络安全保护保证内网的绝对安全，将来数据在外网以及INTERNET上传输应该采取加密,并且数据传输线路应该采取全屏蔽双绞线,防止信息的流失和泄露；

（9）新网络应该具有足够的功能性，不仅应该具有普通的网络传输功能，并且应该具有对外发布的平台，内部建立INTERNAT，实现内部信息处理、信息共享、信息发布一体化。

2.2设计原则

根据对智能系统的理解，酒店系统将充分考虑实用性、可扩展性、先进性、专业性、开放性、安全性、服务性，经济性。

（1）实用性：系统在满足工程中所要求的功能和水准，并且符合国内外有关规范的前提下，达到系统实现容易、操作方便的要求。

（2）可扩展性：由于时代的发展与信息技术的更新，在系统设计时要考虑系统的可扩展性，充分考虑设备的兼容，系统主机要有可扩展余地。

（3）先进性：在满足实用性和可靠性的前提下采用最先进的系统，特别是符合计算机技术和网络通信技术最新发展潮流，且相当成熟的系统。

（4）专业性：充分考虑酒店的特殊性，进行综合设计并突出专业。

（5）开放性：遵循系统开放的原则，各系统应提供符合国际标准的软硬件、通信、网络和数据库管理系统等诸方面的接口和工具，使系统具备良好的灵活性、兼容性、扩展性和可移植性。

（6）服务性：系统将适应多功能、外向性的要求，突出便利性和舒适性，服务于酒店内的用户。

（7）经济性：在实现先进性、实用性，可靠性前提下，充分考虑系统的经济效益，使未来系统在性能与价格比上在同类系统和条件中达到最优。

（8）安全性：网络系统应是一个安全系统，并具备各种安全保卫手段和措施，如通过VLAN的划分和交换机过滤技术来保证网络安全性。网络的安全机制可以有效地阻止未授权用户的访问，并能提供广播通信量的控制，消除广播风暴；利用防病毒软件,可以有效阻止病毒的传播和破坏。

3方案总体设计

3.1网络拓扑结构

3.1.1网络拓扑图

图1网络拓扑图

3.1.2层次模型拓扑结构图

图2层次模型网络拓扑图

3.1.3层次拓扑结构特点

（1）把一个大问题分解成几个小问题，从而容易解决；

（2）将局部拓扑结构改变所产生的影响降至最小；

（3）减少路由器必须存储和处理的数据量；

（4）提供良好的路由聚合数据流收敛。

3.1.4层次拓扑结构目标及策略

图3层次拓扑结构目标及策略

3.2分层设计思路

3.2.1核心层设计

核心层是一个高速的交换骨干，是网络所有流量的最终承受者和汇聚者。由于核心层设备处于整个网络中是最关键的地位，任何故障都可能造成整个系统的瘫痪，因此设备的选型十分重要。从可靠性和安全性出发，结合价格因素的考虑。

（1）设计目标

处理高速数据流，尽可能快地交换数据分组而不应卷入具体的数据

分组的运算中，为下两层提供优化的数据运输功能。

（2）设计策略

①核心层的所有设备应具有充分的可到达性；

②不要在核心层执行任何网络策略； ③禁止内部网的默认路径和策略路由，减少处理器和内存的过载，进行 访问控制。

3.2.2汇聚层设计

汇聚层把大量来自接入层的访问路径进行汇聚和集中，实现通信量的收敛，提供基于统一策略的互连性，提高网络中聚合点的效率，同时减少核心层设备路由路径的数量。

（1）设计目标

隔离拓扑结构的变化、控制路由表的大小，以及网络流量的收敛。

（2）主要功能

地址的聚集、部门和工作组的接入、VLAN间的通信、传输介质的转

换，以及安全控制。

（3）实际应用

一般按楼宇的地理分布来设计汇聚层，汇聚交换机尽可能放置在汇

聚层的中心位置。汇聚交换机与核心交换机采用千兆以太链路冗余方式互连，以保证主干链路的冗余连接。汇聚交换机用级联的方式，通过千兆位端口与各楼宇的接入交换机连接。

3.2.3接入层设计

接入层是最终用户与网络的接口，它应该提供较高的端口密度和即插即用的特性，同时应该便于管理和维护，所以一般设计在各楼宇内。

（1）设计目标

①将流量馈入网络

为确保将接入层流量馈入网络，要做到：

〈1〉接入层路由器所接收的链接数，不要超出其与汇聚层之间允许的链接数；

〈2〉如果不是转发到局域网外主机的流量，就不要通过接入层的设备进行转发；

〈3〉不要将接入层设备作为两个汇聚层路由器之间的连接点，即不要用一个接入层路由器同时连接两台汇聚层路由器。

②控制访问

〈1〉由于接入层是用户接入网络的入口，所以也是黑客入侵的门户；

〈2〉接入层通常用包过滤策略提供基本的安全性，保护局部网段免受网络内外的攻击。基本的过滤策略包括：严禁欺骗、广播源和直接广播，防止直通的数据，标记数据的服务属性，关闭通道的其他边缘服务。

（2）主要功能

带宽共享、交换带宽、MAC层过滤、网段划分、访问列表过滤以及

为最终用户提供对园区网络访问的途径。

3.3综合布线系统设计

3.3.1总体设计说明

（1）数据的插座模块均选择超五类产品，语音及数据水平干缆选择超五类

UTP；

（2）面板采用单孔或双孔86型面板；

（3）数据干缆选择5类25对线缆；

（4）管理间数据水平子系统配线架选择24口机柜式连接配线架，在考虑了水平距离的限制的前提下，建筑物内应考虑设置一个配线间；

（5）综合布线主机房设在建筑物内中间楼层。

3.3.2信息点统计

图4 酒店信息点统计

3.3.3工作区布线子系统设计

（1）工作区子系统

工作区布线子系统由终端设备连接到信息插座的连线（或软线）组成，它包括装配软线、适配器和连接所需的扩展软线，并在终端设备和I/O之间搭桥。

在进行终端设备和I/O连接时，可能需要某种传输电子装置，但是这种装置并不是工作区子系统的一部分。例如，有限距离调制解调器能为终端与其它设备之间的兼容性和传输距离的延长提供所需的转换信号。有限距离调制解调器不需要内部的保护线路，但一般的调制解调器都有内部的保护线路。

（2）涉及器件

8601/8602朗讯单孔、双孔面板，此面板为英制86型面板，带语音/数据标识条，带弹簧门以防尘。

图5 86型面板

MPS100BH-262超五类模块，配合面板使用，此模块为标准的RJ-45接口，

兼容RJ-11接口，用于接插计算机网络线或电话线。

图6 RJ-45接口

（3）水平线缆与信息出口的连接

图7 水平线缆与信息出口的连接

3.3.4水平布线子系统设计

（1）水平子系统

水平布线子系统是整个布线系统的一部分，它将干线子系统线路延伸到

用户工作区。水平布线子系统与干线子系统的区别在于：水平布线子系统总是处在一个楼层上，并端接在信息插座或区域布线的中转点上。水平布线子系统一端端接于信息插座上，另一端端接在干线接线间、卫星接线间或设备机房的管理配线架上。

（2）涉及器件

1061004CSL超五类4对非屏蔽双绞线，用于连接工作区子系统超五类模

块及管理子系统110型配线架。它可支持155Mbps～622Mbps速率数据传输 (如高速网络及图像显示)，满足客户各种信息传递的要求。

（3）水平线缆需求

水平线缆的用量按下式计算：

水平线缆平均长度=(max距离＋min距离)÷2×1.1＋端接容限(6m)

可布线缆数/箱=最大可订购长度÷水平线缆平均长度

线缆箱数=信息点数÷(可布线缆数/箱)

（4）水平线缆布线方式

①由通信电缆井内配线架采用金属线槽敷设到房间外走廊吊顶内，用金

属管沿墙暗敷设至工作区，如下图示：

图8 水平线敷设

②明线信息点线缆走向可以通过墙上线槽到距地30cm处。墙上信息点

处需在墙内预埋合适管径的管道，并在出线口处预埋固定暗盒，地面信息点处需经线管预埋于混凝土现浇地面内，出口处连接地面插座盒。机房的线缆可由高架地板下穿过，插座可安装在机房的任意位置，此种方式灵活多变。

3.3.5 干线子系统设计

（1）干线子系统

干线子系统是整个建筑物综合布线系统的一部分。它提供建筑物的干线

（馈电线）电缆的路由。通常由垂直大对数铜缆或光缆组成，它的一端端接于设备机房的主配线架上，另一端通常端接在楼层接线间的各个管理分配线架上。水平干线也可能是一端端接在楼层接线间配线架上，另一端则端接在子配线间的配线架上。

（2）涉及器件

采用1010050AGY 5类25对UTP作为垂直语音主干，使用多模室外光纤

作为数据主干。

（3）垂直线缆布线方式

①电缆孔方法

通常将4英寸的刚性金属管在浇注时嵌入混凝土地板，比地板表面

高出1至4英寸，电缆捆在钢绳上，钢缆又固定到墙上已铆好的金属条

上，当接线间上下对齐时，采用电缆孔方法。这种方法防火，提供机械

保护，美观，但灵活性差，成本高，需要周密筹划。

图9 电缆孔方法

②电缆井方法

在每层楼板上开出一些方孔使电缆可以穿过这些电缆井从这层楼伸

到那层楼，电缆捆在钢绳上，钢绳靠墙上金属条或地板三角架固定，可

以让粗细不同的各种电缆以任何组合方式通过。这种方法灵活，占用面

积小，但难于防火，安装费用高，可能破坏楼板的结构完整性。

图10 电缆井方法

3.3.6 管理子系统设计

（1）管理子系统

管理子系统由交连、互连配线架、信息插座式配线架以及相关跳线组成。

管理点为连接其它子系统提供连接手段。交连和互连可以将通信线路定位或重定位到建筑物的不同部分，以便能更容易地管理通信线路。通过卡接或插接式跳线，交叉连接可以将端接在配线架一端的通信线路与端接于另一端配线架上的线路相连。插入线为重新安排线路提供一种简易的方法，而且不需要安装跨接线时使用的专用工具。

（2）涉及器件

110AB2-100FT 100对AB型交叉连接配线架支持语音和数据传输；

CCW-F1/24一对语音跳线用于连接水平语音电缆和垂直语音电缆；

另外，本系统还配置了部分快接式语音跳线、数据跳线用于语音与数据

的快速连接，119P8CAT5为数据跳线，110P2CAT5为语音跳线。

（3）配线间设计建议

分配线架(IDF)为挂墙式，尽量靠近竖井(或楼层间的垂直通道)。布线系统

涉及大量线路的连接，这样大量的连线给管理带来了一定的困难。 PDS色标标记方案系统而科学地规定了怎样根据参数和识别步骤，查清交连场的线路和设备端接点。作为一种重要的技术文档，色标标记方案是以后的布线管理重要的技术依据。

配线间应尽量保持室内无尘土、通风良好、室内照明不低于150Lx应符

合有关消防规范、配置有关消防系统。室内应提供UPS电源配电盘以保证网络设备运行及维护的供电。每个电源插座的容量不小于300W。弱电竖井原则上应位于配线室内。配线室不应小于2.5x2平方米。

PDS色标标计方案示意图如下：

图11 PDS色标标计方案

3.3.7 设备间子系统设计

（1）设备间子系统

设备间子系统由设备间中的跳线电缆、适配器组成，它把中央主配线架

与各种不同设备互连起来，如PBX，网络设备和监控设备等与主配线架之间的连接。通常该子系统设计与网络具体应用有关，相对独立于通用的结构布线系统。

（2）涉及器件

110PB2-900FT 900对PB型交叉连接配线架支持语音传输

（3）设备间设计建议

总配线架设置在主机房的相应位置，总配线架为墙装配线架。总配线架

的位置尽量选在靠近入线口处。

设备间子系统是整个配线系统的中心单元，它的布放，选型及环境条件

的考虑是否适当都直接影响到将来信息系统的正常运行及维护和使用的灵活性。应尽量保持室内无尘土、通风良好、室内照明不低于150Lx，载重量不小于100每平方米。应符合有关消防规范、配置有关消防系统。室内应提供UPS电源配电盘以保证网络设备运行及维护的供电。每个电源插座的容量不小于300W。

3.4主要系统结构

3.4.1电子巡更系统

一个或几个巡更人员共享信息采集器，每个巡更点安装一个信息钮，巡

更人员只需携带轻便的信息采集器到各指定的巡更点，将信息采集器插到巡更点上，当信息采集器上指示灯亮，并发出“嘀”的声音即操作完成，管理

人员只需在主控室将信息采集器中纪录的信息通过数据变送器送到电脑中，

即可查阅、打印各巡更人员的工作情况。

系统的原理框图：

图12电子巡更系统

3.4.2室内无线对讲系统

酒店是一座由钢筋混凝土结构组成的建筑，用手持对讲机通信不能达到

理想的通信效果，给安全、保卫和消防工作带来很大的不便，为此有必要设立一套内部无线通信网络。

大酒店建立内部通信网络需由当地无管委根据各大宾馆的使用情况，指

配一个频率，作为本酒店无线通信网络的专用频率。

通信覆盖范围：大酒店内部及半径不大于3千米的外围。

通信方式：采用同频单工制。

通话质量：为通信业务三级。

要设计一个无线对讲系统，首先要了解建筑物的结构只有在此基础上才

能合理的布置接收发射天线的位置和密度，杜绝盲点或浪费。

3.4.3电子会议系统

根据酒店租用会议室智能化系统的需求，由数字会议系统和大屏幕投影

系统组成。同时为多个语种的同声翻译系统提供预留。在系统扩展时只需安装相应的红外发射机、红外反射板、传译机及红外接收机，轻型耳机即可完成同声传译功能。

系统要求：

（1）电视会议返传功能。能够实行双向传送功能，以保证会议现场直播需要。

（2）会议灯光、音量有集中控制功能

（3）音响系统要考虑会议、演出两者的兼顾性。

（4）MD数字录音功能。

（5）数字视频影象输出功能。

（6）有有线、无线音频传输功能。

酒店租用会议中心和酒店领导用会议室各配置数字会议网络系统，供大

型会议和小型会议使用。该系统是同类设备中较先进的、采用全数字技术的无失真、无衰减、无噪音的系统，音质清晰、稳定。其模块化的设计，使系统构成十分方便灵活。

3.4.4门禁系统

门禁系统的设计及安装要求：

（1）磁卡门锁系统系数稳定和安全。

（2）安装时有可视门铃系统。

（3）有即时客人房态显示系统。

（4）门锁与房间保险柜能够联网控制。

（5）客房门锁开启数据侦读。

（6）门卡携带方便、操作灵活。

3.4.5无线网络系统

商务客人常常喜欢在酒店大堂、咖啡厅或茶座里用笔记本电脑工作，或

是在这些地方进行一个小型的会谈，当客人需要处理电子邮件或上网下载公司的资料时，得到的回答往往是："您必须换一个靠近某个数据点的位置"、"您可以到商务中心去"，或"您必须到房间里用电话线才可以上网"等等。而无线智能酒店系统就可以免除这样的尴尬，它主要是通过在酒店布置无线局域网VLAN来提供无线宽带服务，可以在最短的时间内实现酒店的整体接入，不影响酒店的正常营业，尤其是不影响酒店的装修布局。

由于会议室、大厅的特殊情况无法布线，所以这些地方往往成了有线网

络覆盖的死角。而且即使想布线，但由于与会人员流动性大、位置、用户数量不固定，这在具体的方案设计、网络的铺设上很难实现。偶尔布一次线也会因为每个会议的规模和与会人数有很大的差别，把我们的网络管理员疲于奔命。而且由于使用有线网络来进行网络铺设，每个用户都必须使用一个双绞线连接到网络的信息插座，这样室内就会网线纵横交错，有时会因为各种原因很可能影响会议的进程，给用户造成不便。完会后，网络撤收也要需要花费大量的人力、物力、时间，这样就造成酒店的核算成本的增加。而采用无线网络就有效避免了这些问题。

3.5网络设备清单

（1）核心交换机：为万兆交换机，传输速率为10/100/1000/10000Mbps，并

且端口数量多达53个，背板带宽为1280Gbps，堆叠功能：可堆叠，端口的VLAN支持4096个VLAN标识1024个活跃的VLAN（802.1Q）

优点：万兆接口，性能超强劲，支持协议独立的组播，价格适中。

（2）路由器：传输速率10/100/1000Mbps，端口结构模块化，局域网接口3个，内置防火墙，支持vpn，支持QOS，DRAM内存1GB，最大2GB

优点：灵活性，多变性高，稳点，可靠，价格合适。

（3）普通交换机：传输速率10/100/1000Mbps，背板带宽256Gbps，端口数量28个，24个10/100/1000Base-T端口，4个100/1000Base-X千兆Combo口，传输模式全双工/半双工自适应，支持4K个VLAN，支持Guest VLAN、Voice VLAN

优点：性能稳定，功能强大，质量不错，端口丰富，扩展性不错，速度快，功耗低，支持4K个VLAN，性能较强劲

（4）服务器：产品类别为机架式，CPU的类型Intel 至强7500，标配CPU数量4颗，最大CPU数量4颗，CPU八核，内存容量32GB，最大内存容量1TB，网络控制器为两个千兆以太网卡，有4块146GB SAS硬盘，系统支持：Windows Server 2008（Standard，Enterprise 和 Data Center Edition，32位和64位），32位和64位 Red Hat Enterprise Linux，SUSE Enterprise Linux（Server 和 Advanced Server），VMware ESX Server/ESXi 4.0

优点：处理器满配,L3高达24MB，性能不俗，扩展能力非常好品质高，价格合适。

图13网络设备清单

3.5.1核心层交换机选型（IBM BNT RackSwitch G8264）

图14 IBM BNT RackSwitch G8264实物图

表1 IBM BNT RackSwitch G8264详细参数3.5.2 汇聚层交换机选型（D-Link DGS-3100-24）

图15 D-Link DGS-3100-24实物图

表2 D-Link DGS-3100-24详细参数3.5.3 接入层交换机选型（华为S5700-24TP-SI(AC)）

图16 S5700-24TP-SI(AC)实物图

表3S5700-24TP-SI(AC)详细参数3.5.4 路由器选型（cisco 3825c/k9）

图17 cisco 3825c/k9实物图

表4cisco 3825c/k9详细参数3.5.5 服务器选型（IBM System x3850 X5(7145N12)）

图18 IBM System x3850 X5(7145N12)实物图

表5IBM System x3850 X5(7145N12)详细参数

3.6IP地址、VLAN规划

图19IP地址、VLAN规划

3.7网络安全策略

3.7.1 建立防火墙

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。 3.7.2 网络保密措施

（1）堵住服务器操作系统安全漏洞

任何网络操作系统的安全性都是相对的，无论是UNIX还是NT都存在安

全漏洞，他们的站点会不定期发布系统补丁，系统管理员应定期下载，及时

堵住系统漏洞。

（2）注意保护系统管理员的密码

①用户名和密码应当设置合理，口令应大小写混合，最好加上特殊字符和数字，至少不能少于16位，同时应定期修改；

②口令不得以明文方式存放在系统中；

③建立帐号锁定机制，当同一帐号的密码校验错误若干次时，自动断开连接并锁定该帐号。

（3）关闭不必要的服务端口。

谨慎开放缺乏安全保障的端口：很多黑客攻击程序是针对特定服务和特定服务端口的。

①常用服务端口有：WEB：80，SMTP：25，POP3：110，可根据情况选择关闭；

②比较危险(很可能存在系统漏洞)的服务端口：TELNET：23，FINGER：79，建议关闭掉。

③对必须打开的服务(如SQL数据库等)进行安全检查。 （4）制定完善的安全管理制度

定期使用网络管理软件对整个局域网进行监控，发现问题及时防范。定期使用黑客软件攻击自己的系统，以便发现漏洞，及时补救。谨慎利用共享软件，不应随意下载使用共享软件。 （5）注意WEB服务的安全问题

WEB编程人员编写的CGI、ASP、PHP等程序存在的问题，会暴露系统结构或使服务目录可读写，这样黑客入侵的发挥空间就更大。在给WEB服务器上传前，要进行脚本安全检查。 （6）警惕DOS攻击和DDOS攻击

DOS攻击和DDOS攻击可以使网站系统失去与互联网通信的能力，甚至于系统崩溃。建议：如果有条件允许的话，可以使用具有DoS和DdoS防护的防火墙。

3.7.3数据安全性和完整性措施

数据安全性和完整性就是数据的安全技术

为了解决上述问题，就必须利用另外一种安全技术----数字签名 PKI（Publie Key Infrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技

术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构（CA）、注册机构（RA）、策略管理、密钥（Key）与证书（Certificate）管理、密钥备份与恢复、撤消系统等功能模块的有机结合。 （1）认证机构

CA（Certification Authorty）就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且与整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和其他厂家的CA产品兼容。 （2）注册机构

RA（Registration Authorty）是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。 （3）策略管理

在PKI系统中，制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求，并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时，这些策略应该符合密码学和系统安全的要求，科学地应用密码学与网络安全的理论，并且具有良好的扩展性和互用性。 （4）密钥备份和恢复

为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。 （5）证书管理与撤消系统

证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消，证书撤消的理由是各种各样的，可能包括工作变动到对密钥怀疑等

《计算机网络工程》课程设计——惠州国际大酒店网络设计方案 陈浩宇（[1**********]04）

一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制，随时查询被撤消的证书。

国外的PKI应用已经开始，开发PKI的厂商也有多家。许多厂家，如Baltimore,Entrust等推出了可以应用的PKI产品，有些公司如VerySign等已经开始提供PKI服务。网络许多应用正在使用PKI技术来保证网络的认证、不可否认、加解密和密钥管理等。尽管如此，总的说来PKI技术仍在发展中。按照国外一些调查公司的说法，PKI系统仅仅还是在做示范工程。IDC公司的Internet安全知深分析家认为：PKI技术将成为所有应用的计算基础结构的核心部件，包括那些越出传统网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有PKI产品才有能力提供这些功能。

3.7.4 网络安全策略与建议

（1）根据酒店网络安全的策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的能容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对酒店内不必要的、非法的访问，总体上遵从“不被允许的服务就被禁止”的原则。

（2）将防火墙配置成过滤掉内网地址进入路由器的IP包，这样可以防患原源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。

（3）在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

（4）定期查看防火墙访问日志，及时发现攻击行为和不良的上网记录。

（5）允许通过配置网卡对防火墙管理的安全性。

第31页