|
• 网络建设需求
• 内外网隔离
酒店网络按照功能划分为内网和外网:
内网为酒店办公网络,酒店管理系统等办公系统运行在内网。
外网为酒店客人提供对外的网络接口,覆盖酒店客房、商务中心、大堂、会议室等区域,其中客房采用有线组网为主,公共区域多采用无线组网。
内网、外网之间隔离。
• Internet 访问权限控制
内网:静态分配 IP 地址,只有指定客户端可以访问 Internet ,前台等客户端不能访问 Internet 。
外网:无需认证即可访问 Internet ,通过 DHCP 分配 IP 地址。
• 防 ARP 欺骗
由于无法限制客人的电脑,外网中经常会出现 ARP 攻击,导致大部分客人无法正常上网。需要在接入交换机做隔离,并且在路由器中启用防 ARP 欺骗。
• 上网行为监控
依据《互联网安全保护技术措施规定》公安部第 82 号令,公安部要求所有提供上网服务的酒店都必须提供必要的互联网安全保护措施,必须安装相应的安全管理软件。目前酒店普遍采用为每个房间划分一个 VLAN ,通过对应的 VLAN ID 来识别房间号, 完成用户上网行为的记录、跟踪、分析,实现各种条件下的查询功能。
• 酒店布线排查
中小酒店网线布置往往不规范,通常情况下无法知道哪根网线连接的哪个房间。
• 典型配置
• 表1 典型配置
|
路由器 |
核心交换机 |
接入交换机 |
|
ER5100 |
S5024P\S5024E |
S1526\S1550 |
• 组网方案
• 图1 增强型典型组网方案
• 组网说明
• 在 S5000E 划分 VLAN ,将酒店内网与外网隔离,控制酒店管理系统及 Internet 访问权限。酒店内网分配静态 IP 。
• 在 S5000E 启用端口镜像,将所有出口数据镜像到监控服务器,满足公安监控需求。
• ER5100 支持 802.1Q VLAN ,做 VLAN 终结,并且开启防 ARP 欺骗。
• S5000E 开启防 ARP 欺骗,阻止内网 ARP 攻击。
• 方案特点
在基本型的基础上,替换为 ER5100 路由器及 S5000E 核心交换机,提升整网带机量。
具备 H3C 独有的酒店布线排查系统,方便工程人员为每个房间分配 VLAN 。
该方案可满足 200 客房以下的酒店需求。
• 酒店布线排查系统介绍
1 、确保所有房间的网线连接到交换机
2 、在客房中,例如客房 201 ,将笔记本的网卡接到酒店的上网端口,并且运行酒店布线自动排查软件,输入房间号 201 ,确定,此时,交换机上会将对应的端口加入到 VLAN 201 ,并且会显示该房间接入到了哪台交换机的哪个端口,其它房间如法炮制。
|
