凤凰花园酒店方案(共19页).doc

精选优质文档-倾情为你奉上凤凰花园酒店数字化组网方案 上海思瀚科技有限公司目 录改革开放二十多年来，全国酒店数量平均每年增长10以上，据2009年中国星级酒店统计公报，截止2008年底，全国共有星级酒店15628家，较2007年增长15.06%;。酒店业在快速发展的同时，酒店行业的竞争也日趋白热化。酒店管理水平和服务质量的高低是能否赢得顾客、稳定客源的决定因素，而采用先进的网络技术来建设酒店的管理信息系统，打造新一代的数字酒店是提高管理水平的重要手段。目前对于以前只能提供传统服务的酒店而言，如何借助IT技术，提供更为有效的精细化管理，优化自身服务，提高投入产出比，打造新一代的智能酒店模式，已成为衡量每一间酒店面临关系到其生存发展的首要问题之一，数字化酒店的建设深度也成为一间酒店评定“星”级的重要依据。一传统酒店面临的挑战目前传统型的酒店所面临的一些问题有：1） 无法建立酒店品牌，酒店服务单一，无差异性由于酒店的服务传统，单一，无创造性，造成酒店经营多年仍然不能树立品牌形象，无法赢取客户的忠诚度，不能形成稳定的客户群体，导致酒店的收入波动性非常强，不能进入良性循环的经营状态。2）如何提高客户所要求的越来越高的服务随着人们生活水平的提高，客户的素质提高的同时对酒店的要求也将会 变得越来越挑剔，比如在预定服务，接待，登记入帐、结帐、服务素质、会务等各方面客户都会提出苛刻的要求，因此，酒店需要借助信息化系统从基础设施的根本方面提高整体的服务质素以满足客户的要求。3）提高客户满意度，提供个性化服务所谓的个性化服务是指酒店能够为客户提供能适合其个人要求的度身定做的细致服务，而不仅仅停留于传统酒店所能提供的单一的，无区别的服务，由于每个人的品味，喜好不同，因此酒店将面临如何了解客人的需求，并为其提供各种能迎合其个人喜好的优化服务方案的问题。4）改善运行效率，提高员工的生产率在提供各种多源化增值服务的同时，必然带来如何管理的问题，比如IP国际长途电话，无线WIFI上网，一站式商务服务等等都要求专业人员的管理的维护，因此事件的处理流程和员工的工作效率已经成为一个酒店是否能够提供成功的多源化服务的关键。5）改善，提高客人的安全感觉要使酒店给客人有在家一样的感觉，这样的酒店才能赢得客户的良好口碑，并为树立酒店品牌提供保证。如酒店保安人员的管理，酒店房间的布局，房间内门禁，通讯系统设计等等都能直接提高客人对酒店的归属感觉。二数字酒店建设可促酒店又好又快发展针对酒店以上所面临的问题，我们再看看信息化系统建设在酒店发展中所能发挥的重要作用：1）通过酒店信息化建设，依赖IT行业高科技带来的强大信息优势，可以增加信息的搜集途径和加快信息发布速度，通过让客户获取的酒店信息和酒店获取更多大客户信息来扩大经营范围。2）通过酒店信息化建设，依赖其WIFI移动局域网技术、多媒体应用技术可以提供更加多元化的个性化服务，以增加酒店经营手段，树立品牌形象，稳定并增加酒店的整体收入3）通过酒店信息化建设，依赖其快速的数据库基础平台，先进的管理软件，可以增加员工的工作效率，提高酒店的竞争力。4）通过酒店信息化建设，依赖其优秀的软件管理系统，集中的开放管理平台，可以为酒店节省经营成本，优化投资。5）通过酒店信息化建设，依赖其集中管理的优势（如智能房间终端电话，PDA下单，一键式服务等等），可以加快客户要求服务的响应时间，提供服务质量和客户对酒店的服务满意度。6）通过酒店的信息化建设，依赖其强大的数字安防技术（电子门禁，数字监控，海量存储，等），可以为酒店及客户提供有力的安全保障，增加客户的安全感。7）完善的酒店信息化建设，可以为酒店争取更高的星级评定，从而增加酒店的整体经营收入。三数字商务酒店建设的主要内容 酒店的信息化建设应该包含两方面的内容：一）基础网络建设：1 网络骨干建设2 网络设备的采购（交换机，无线控制器,无线接入点，内容安全网关，互联网计费网关等）二）终端系统的采购1存储系统 （群集服务器，磁盘阵列，磁盘柜以及相关的软件）2终端系统（服务器、电脑、打印/传真机、IP电话机）三）应用系统的建设1酒店管理系统2网络用户管理系统（包括有线和无线的网络用户的验证，计费等）3无线网络用户管理（提供统一的无线用户接入管理和策略功能）3多媒体应用服务系统（包括IP电话，数字电视，视频VOD点播）4保安，服务系统（监控，门禁，智能服务台，电话一键服务等）5其它增值服务系统 从以上酒店信息化建设的内容来看，基础网络建设是整个酒店信息化建设的基础，信息化建设的相关内容都依赖于一套高效，稳定，易于使用的基础网络的支持。四NETGEAR公司新一代数字商务酒店组网方案 根据上面的资料分析，我们已经知道酒店信息化建设的重要性，而酒店的基础网络建设则又是酒店信息化建设的基础保证，在此思瀚科技有限公司结合自身多年的网络方案设计经验和自身产品特性，站在网络信息技术发展的高处，为酒店行业定做了一套基础网络建设的数字化基础架构解决方案。本公司认为，数字酒店的基础网络建设应该符合以下要求：1） 基础网络系统应该具有高的性能,并且符合网络技术发展的趋势2） 基础网络系统应该具有良好的稳定性和冗错特性3） 基础网络系统应该具有灵活和可升级的特性4） 基础网络应该具备抵抗日常病毒攻击的能力和系统遭到破坏后的自愈能力5） 基础网络应该具有设备操作简便，易于集中管理的特点，无需专人维护6） 基础网络系统应该支持多媒体应用。7）基础网络应该包含移动网络的建设，以增加酒店的竞争力，提供多元化的增值服务。数字酒店建设的基础网络应该分为：高可靠性酒店内部办公网络和安全高速的酒店客房局域网两大部分。其中酒店内部办公网络建设应适当考虑互联网数据/信息安全的建设部分;客房局域网络的建设应该包含有线网络和无线局域网络的建设部分，以满足提供传统的服务和多元化的增值服务的需要求，以下将会对数字酒店的两个网络建设作详细的描述。4.1 凤凰花园酒店数字化酒店内部办公有线组网方案4.1.1网络结构酒店内部的业务处理，财务操作等将完全依赖于酒店内部办公网络，该网络设计应该充分考虑到网络的高带宽、链路冗余和全方位安全设计，整体设计图如下：    图1：高可靠性酒店内部办公网络根据凤凰花园酒店信息化建设目标要求和网络分层的设计思路，酒店的有线网分为核心和接入的二层拓朴架构，采用万兆骨干核心和百兆堆叠安全智能交换机到桌面的体系架构，酒店信息中心即网络核心采用了两台GSM7328Sv2 /GSM7328FS万兆交换机构建高性能高可靠的核心。楼层接入采用FS728TS系列堆叠安全智能交换机通过两条千兆光纤两两捆绑(802.3ad链路聚合)后分别上联核心GSM7328Sv2 /GSM7328FS,双线的部署方式起到了主干链路流量负载均衡和冗余灾备的强大功效。在核心交换机与互联网出口之间,通过千兆端口连接一台NETGEAR的FR538G防火墙, NETGEAR的高性能ProSafe四 WAN 防火墙为小型和中型公司提供一个完整有力的解决方案。该机架式状态数据包检测（SPI）防火墙，最多可支持400个用户，提供多达80，000条并发连接数，该FR538G可以作为一个DHCP服务器，支持IP / Mac的绑定，服务质量（针对每个IP/服务的上传速和下载速率），简单网络管理协议（SNMP），并有一个强大的SPI防火墙，以保护您电脑的安全，防范入侵者最常见的Internet攻击。 n 方案设计特色l 可供选择的光纤或者电口万兆核心交换机,提供最大144Gbps/196Gbps的超级线速交换能力和万兆骨干的升级能力。l 全部接入层交换机均采用两根千兆光纤或者双绞线连接到核心交换机。从网络的接入到核心层提供了双链路捆绑的互备方案，最大限度地保证了网络的稳定性能l 全网的交换机均支持广播风暴抑制功能，有效控制ARP广播和各种DDOS攻击。l 全网交换机均支持流量控制功能，可以通过有效控制每个桌面端口的流量，以达到平均分配宽带资源，保障出口可用带宽的目的，以达到快防问因特网资源的目的。l 全网交换机均支持IP与MAC地址或者MAC地址与端口的绑定功能，有效抵御ARP及其变种病毒的攻击。l 全网交换机均支持VLAN间隔离,有效防止”蠕虫”和ARP等病毒横向蔓延和攻击;l 通过核心交换机的三层路由功能和访问控制列表功能可以对网络资源进行合理分配，为用户定义不同级别的使用权限等高级功能。l 通过互联网认证/计费网关配合,可提供基于接入层交换机端口的有线网络用户认证的功能(802.1x);l 通过交换机对IGMP，QOS的支持可实现对酒店多媒体应用的优化处理。l 全部网络设备均支持网页的直接管理，无需要客户端支持。配置方便，操作简单。l 全网管功能的核心交换机，支持堆叠功能的接入层交换机，具有高度的集中管理能力。l 可信赖的产品坏件新品包换服务。4.1.2 网络建成后可支持的关键办公业务应用1 高速的INETERNET接入，包括即时资讯，电子邮件，网站发布，信息共享的功能。2 基于互联网络数据信息的安全防御,包括有效抵御病毒,木马,钓鱼程序和垃圾邮件3 高速内部局域网信息交换，包括酒店管理系统，无纸化办公系统等4 高速的内部数据共享，包括文件，图片和电子白板资料共享等5 基于用户身份的安全认证，包括用户ID标识、物理地址识别和流量控制等安全功能。6 多媒体应用，包括视频会议系统，IP电话支持，视频VOD等支持7 快速的网络数据备份平台8 24小时无故障办公4.2 NETGEAR经典数字酒店技术特点4.2.1 802.3ad链路聚合控制(LACP)技术一般而言,链路聚合技术也称为主干链路捆绑技术（Trunking），我们可将交换机的几个端口通过设置让它们聚合在一起,就象虚拟成了一个端口一样。这样可以使交换机之间或交换机和服务器之间形成可靠的连接,并且连接带宽Nx2倍(全双工). 从逻辑链路上看,它是一个整体，内部的组成,并且传输的数据对上层服务透明. 聚合内部的几根物理链路可以共同完成数据传输并互为备份。单个传输链路中断不会影响其他链路的传输IEEE 802.3ad 是执行链路聚合的标准方法.而IEEE 802.3ad的使用需要交换机或服务器网卡的支持。链路聚合的工作方式在不同厂商的技术中有多种实现方式,包括了象比如常见的Trunking 协议,Cisco Fast Ethernet Channel(FEC)协议等等,都是可以让该交换机通过配置来哪些端口是属于同一个聚合内。链路聚合控制协议（Link Aggregation Control Protocol）是IEEE 802.3ad标准的主要内容之一，它定义了一种标准的聚合控制方式。使用 IEEE 802.3ad“链路聚合控制”(LACP)的优势在于它在交换机中自动创建链路聚合，而且它允许您使用支持 IEEE 802.3ad 标准的其他厂商的链路聚合技术.在IEEE 802.3ad 标准中，“链路聚合控制协议”（LACP）自动通知交换机应该聚集哪些端口。IEEE 802.3ad 聚合配置之后，链路聚合控制协议数据单元（LACPDU）就会在服务器和交换机或者是交换机与交换机之间进行交换。聚合的双方设备通过协议交互聚合信息，根据双方的参数和状态，自动将匹配的链路聚合在一起收发数据。聚合形成后，交换设备维护聚合链路状态，当双方配置变化时，自动调整或解散聚合链路。LACP协议报文中的聚合信息包括本设备的配置参数和聚合状态等，报文发送方式分为事件触发和周期发送。当聚合状态或配置变化事件发生时，本系统通过发送协议报文通知对端自身的变化。聚合链路稳定工作时，系统定时交换当前状态以维护链路。协议报文不携带序列号，因此双方不检测和重发丢失的协议报文。需要指出的是，LACP协议并不等于链路聚合技术，而是IEEE802.3ad提供的一种链路聚合控制方式，具体实现中也可采用其它的聚合控制方式。另外值得关心的是,在做链路聚合的时候,建议聚合内的链路的线路速度最好相同（例如，全都为 100 Mbps 或 1 Gbps），最好都是全双工的。4.2.2 QoS策略和控制机制4.2.2.1 QoS服务质量队列技术Qos技术是能为网络中不同类型业务的数据流提供服务的能力,主要目的是提供资源带宽的控制,更有效的使用网络资源,控制抖动和传输延迟及丢包率(如实时多媒体应用，IP电话、VOD视频点播等),定制可控的服务和保证关键应用的传输. 如果仅是IP技术本身是只能提供“尽力(best-effort)”服务模式的，所以缺乏完善的QoS机制，就无法适应计算机及应用系统多样化的要求。如果仅靠增加网络带宽不能彻底解决问题，因为一方面带宽是不可能无限制增加的，另一方面带宽的增加是无法赶上应用系统的变化、用户的增加所给网络带来的巨大流量压力。解决IP网络QoS问题的关键在于网络如何通过各种智能手段参予对不同数据流、应用系统乃至用户对网络使用的管理，充分发挥网络的利用率，使有限的带宽发挥最大的作用。服务质量(QoS)基于端到端的服务级别可提供三个基本的级别:尽力的服务， 区分服务和确保服务.QoS旨在针对各种应用的不同需求，为其提供不同的服务质量，例如：提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。为实现上述目的，QoS提供了下述功能：报文分类; 网络拥塞管理 ; 网络拥塞避免; 流量控制和流量整形; QoS信令协议等等.服务质量可以通过采用多种队列的管理工具来解决不同数据流的问题,比如:先进先出(FIFO)对列:网络拥塞是存储数据包,拥塞解除后,按数据包到达次序转发数据包优先级别队列(PQ):确保重要数据流得到最快处理,优先级别越高的数据有限处理.优先级队列可以根据网络协议,接口,数据包大小以及源/目的地址来赋予数据包的级别高低. 一般的网络设备PQ都可支持四个优先级别，依次为：高优先级，中等优先级，一般优先级和低优先级,而此方案中使用的交换机都是每端口都可支持8个优先队列(0-7)的, IP优先级值有8个(0-7)，0优先级最低，7优先级最高。在默认情况下，IP优先级6和7是用于网络控制通讯使用，不推荐用户使用. 如果交换机使用IPv6增强版本软件的话,可支持16个优先级对列. 16种优先级别中的9种用于非实时传输业务，其余的8种用于实时传输业务。但在IPv6协议中并没有严格规定IPv6路由设备应如何使用这一优先级区域 定制队列(CQ):用于确保一些重要应用的最小带宽或延迟需求.可对一些拥塞点上提供一定固定比例的带宽,其他带宽给其他应用使用. 我们可以设置各个轮选队列的发送的大小。例如：队列1发送1500字节后由队列2发送；队列2发送500字节以后由队列3发送；队列3发送1000字节后由队列4发送。CQ最大可以支持16个轮选队列。当线路带宽比较充裕的时候，通过CQ可以实现动态的带宽分配。加权队列(WFQ):提供智能队列工具,可以确保队列得到带宽, 然后根据加权公平算法对各种业务流量进行公平调度。防止出现某一突发性大数据流将带宽全部占用的现象。这种队列机制配置方便。使数据流得到指定的服务,特别是当在高优先级别的队列中没有数据传输时,WFQ可以将带宽分配给低优先级的数据流使用.WFQ算法使每个传输中的数据流的吞吐量和响应时间变的可预知.4.2.2.2 Qos服务质量带宽控制Ø 基于端口的速率限制Ø 基于IP的速率限制Ø 基于数据流的速率限制 带宽控制技术提供了精确带宽使用策略，可向用户提供访问速度承诺(Committed Access Rate, CAR)。在输入端口，每个IP流都可以进行速度限制，基于数据流进行带宽分配。如果某个流超过了带宽限制，到达的数据包将被丢弃或赋予较低的优先级。流量控制可以基于第2层端口、数据流类以及单个第4层数据流，可以应用于不同的环境，为接入提供不同级别的访问速度控制。保证实时多媒体数据和关键任务数据的传输。4.2.2.3 QoS服务质量-DiffServ区分服务     DiffServ是IETF组织在1998年推出的基于DSCP的QoS解决方案，这是一种基于类的QoS技术，主要用于骨干网。使用DiffServ，在网络入口处根据服务要求对业务进行分类、流量控制，同时设置报文的DSCP域；在网络中根据实施好的QoS机制来区分每一类通信（依据分组的DSCP值），并为之服务（包括资源分配、队列调度、分组丢弃策略等，统称为PHB），DiffServ域中的所有节点都将根据分组的DSCP字段来遵守PHB。DiffServ通过将业务定义为有限的类，可以很好地解决扩展性的问题，同时，由于DiffServ很好地沿袭了IP本身的技术理念。相对而言，很容易在现有的IP网络及产品中实现。因此，目前商用网络中的QoS实现总体上基本都是基于DiffServ模型的。DiffServ是一个多服务模型，它可以满足不同的QoS需求。与IntServ不同，它不需要使用RSVP(带宽预留技术)，即应用程序在发出报文前，不需要通知路由设备为其预留资源。对DiffServ服务模型，网络不需要为每个流维护状态，它根据每个报文指定的QoS，来提供特定的服务。可以用不同的方法来指定报文的QoS，如IP报文的优先级位（IP Precedence)，报文的源地址和目的地址等。网络通过这些信息来进行报文的分类、流量整形、流量监管和队列调度。     通常在配置DiffServ时，在边界设备上通过报文的源地址和目的地址等对报文进行分类，对不同的报文设置不同的CoS值，而其他设备只需要用CoS值来进行报文的分类。DiffServ一般用来为一些重要的应用提供端到端的QoS。它通过下列技术来实现：CAR(允许的访问速率)：它根据报文的ToS或CoS值（对于IP报文是指IP优先级或者DSCP，对于层MPLS报文是指EXP域等等）、IP报文的五元组等信息进行报文分类，完成报文的标记和流量监管。一般来讲,通过设置允许的访问速率(CAR)可以用于扩展访问分类表的优先级,这样就可以给应用程序和用户或源/目的子网赋予优先等级值,这一功能应尽可能的配置在网络的边缘接入交换机上,以便于后续的网络设备按预定的策略提供服务. 队列技术：通过WRED、PQ、CQ、WFQ、CBWFQ等队列技术对拥塞的报文进行缓存和调度，实现拥塞管理; 在DiffServ的服务中，有拥塞管理和拥塞避免两种策略。拥塞管理策略一般应用于外出接口，根据需要将不同的业务流量按一定的顺序发送出去，来保证某些业务的正常运行。典型的拥塞管理策略有：WFQ（加权公平队列）、PQ（优先级队列）、CQ（可定制队列）等等。拥塞避免工具:WRED(加权公平早期检测):上谈到的几种队列调度机制都是对总数据队列中的数据进行分类，然后再进行调度。但是，当出现网络拥塞的时候，入口带宽往往是高于出口带宽的。在这样的情况下，总数据队列很快就会溢出。这个时候数据设备默认会对进入的数据包实施尾部丢弃，丢弃所有入站数据包直至总数据队列不再溢出为止。这样的尾部丢弃机制同样会对实时性业务产生影响。所以我们需要一种策略来防止总数据队列的溢出，这就是拥塞避免策略。其中最常见的拥塞避免策略是WRED（加权公平早期检测）。WRED可以根据用户的需要，对不同的数据流设置不同的丢弃阀值。例如：当总队列达到50%时，开始丢弃级别最低的数据包；当总队列达到70%时，开始丢弃第二级别的数据包；当总队列达到90%时，开始丢弃第三级别的数据包；以次类推。通过丢弃低级别的数据包来避免总数据队列的溢出，保证高优先级的数据包始终能够进入数据总队列接受调度。从而保证高优先级业务的顺利展开。拥塞避免策略一般用于入站接口，防止因为线路拥塞而使数据中继设备的队列溢出。一般来说，根据实际情况，将拥塞避免策略和拥塞管理策略结合使用可以得到比较好的效果。4.2.3 访问控制安全机制NETGEAR “下一代”安全系列交换机GSM73xxS和FSM73xxS提供了强劲的基于硬件的2/3/4层的访问控制列表，其ACL表项可自定义100条策略,每个策略可自定义22条规则，完全满足整个应用网络的需求，全新设计的,基于硬件处理的ACL功能启用后，不会对影响整个网络的交换的性能,保护路由处理。从已具有的IP包过滤技术来看，完全可以作为局域网内部的防火墙的角色功能。另外,利用ACL技术和Qos机制可有效控制和防止网络病毒的传播和非法的攻击.ProSafe GSM73xxS和FSM73xxS系列可以对用户进行基于用户的认证和授权，可支持完整的 802.1x + Radius network login 功能,配合NETGEAR在中国的 802.1x 客户端软件及Radius Server 软件,可实现用户名与 客户端IP地址,客户端MAC地址,所接交换机的管理IP地址(NAS IP Address),交换机端口及端口VLAN ID 的灵活绑定.为接入端提供了安全,灵活的身份验证和控制手段.我们在中国的 802.1x 客户端软件及Radius Server 软件是具有完全的计费功能的.另外, 下一代全网管安全系列交换机还具备交换机端口/MAC地址绑定和多种层次(L2/3/4)的ACL安全访问控制功能.。其安全访问策略可以有限地抵制多种网络工击，如DDOS、网络扫描等。4.2.3.1 用户端口隔离方法一：用802.1Q Vlan隔离。在边缘接入的以太网交换机上按端口划分Vlan，每个用户或用户组占用一个Vlan,802.1Q 用于标记VLAN公共端口,公共端口上的二层VLAN间相互不能直接通讯o。方法二：利用Port Vlan技术。在边缘接入的交换机上划分Port Vlan，使用户端口之间不能直接通信，用户端口只能和上连公共口通信.公共端口可以直接连接PC或服务器,或连接其他交换机.4.2.3.2 MAC地址与交换机端口绑定MAC地址与交换机端口绑定的功能大多数直接应用配置在网络边缘接入层交换机上. 此方案推荐的NETGEAR的ProSafe 全网管交换机都支持此功能。MAC地址和端口绑定的方式可分为静态绑定和动态绑定两种：1）静态绑定可通过在交换机的端口上配置指定的MAC地址列表来实现。交换机经过这样的配置后，网络里面只有唯一合法主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都是不可用的，除非删除或修改该端口上绑定的MAC地址，才能正常使用。该功能主要用户防止非法用户使用网络，同时亦由于MAC地址的唯一性，网络管理员可以通过查看数据包的MAC地址快速定位网络故障点。另外,在本方案中推荐的NETGEAR 交换机均可支持MAC地址和端口加IP地址的绑定；2）动态绑定通过交换机动态学习端口MAC，并可以配置端口的最大合法MAC地址数量，并以一定时间内所学习到的地址作为合法MAC地址。一直到指定的MAC地址数量时，交换机端口关闭并清除MAC地址，然后再重学习。通过这个功能可安全有效的阻止MAC 洪泛攻击。4.2.3.3 ACL访问控制ACL是应用到交换机接口的指令列表，这些指令列表用来告诉交换机哪些数据包可以接收，哪些数据包要拒绝。接收或拒绝的条件可以是源地址、目的地址、端口号、MAC地址和协议等等指示条件来决定。它常见的主要应用功能有： 限制网络流量、提高网络性能。例如：ACL可以根据数据包的协议，指定 这种类型的数据包的优先级，分配特定应用的流量带宽.同等情况下优先级高的先被交换机处理。 提供网络访问的基本安全手段。例如，ACL允许某一主机访问您的资源，而禁止另一主机访问同样的资源。 在交换机接口处，决定那种类型的通信流量被转发，那种通信类型的流量被阻塞。例如，允许网络的E-mail被通过，而阻止FTP通信.建立访问控制列表后，可以限制网络流量，提高网络性能，对通信流量起到控制的手段，这也是对网络访问的基本安全手段。ACL的访问常见的规则主要有：. 标准访问控制列表，可限制某些IP的访问流量。. 扩展访问控制列表，可控制某方面应用的访问。. 基于端口和MAC的访问控制列表,可对交换机具体对应端口进行访问控制。 4.2.3.4 802.1x端口认证原理IEEE802.1x协议具有完备的用户认证、管理功能，可以很好地支撑企业/校园/园区的网络的边缘用户接入安全接入和管理.更可为园区/企业网络的计费、安全、运营和管理要求提供了极大的管理优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化. IEEE802.1x是IEEE在2001年6月通过的基于端口访问控制的接入管理协议。IEEE802系列LAN标准是目前居于主导地位的局域网络标准，传统的IEEE802协议定义的局域网不提供接入认证，只要用户能接入局域网控制设备，如传统的局域网交换机，用户就可以访问局域网中的设备或资源，这是一个安全隐患。对于移动办公，驻地网运营等应用，设备提供者希望能对用户的接入进行控制和配置，此外还存在支持计费的需求。 因此，802.1x产生了。IEEE802.1x是一种基于端口的网络接入控制技术，在 LAN 设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是 局域网交换机设备的端口。连接在该类端口上的用户设备如果能通过认证，就可以访问 LAN 内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。 下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。 1 IEEE802.1x体系介绍虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方式有：局域网交换机的一个物理端口仅连接一个 End Station，这是基于物理端口的； IEEE 802.11定义的无线 LAN 接入方式是基于逻辑端口的。(图1 IEEE802.1x的体系结构)IEEE802.1x的体系结构中包括三个部分：Supplicant System，用户接入设备；Authenticator System，接入控制单元；Authentication Sever System，认证服务器。 在用户接入层设备（如局域网交换机）实现 IEEE802.1x的认证系统部分，即Authenticator；IEEE802.1x的客户端一般安装在用户PC中，典型的为Windows XP操作系统自带的客户端，或其他第三方的免费802.1x客户端； 认证服务器系统一般驻留在运营商的AAA中心。Supplicant与Authenticator间运行IEEE802.1x定义的EAPOL协议；Authenticator 与 Authentication Sever 间同样运行 EAP 协议，EAP 帧中封装了认证数据，将该协议承载在其他高层次协议中，如 Radius，以便穿越复杂的网 络到达认证服务器。 Authenticator每个物理端口内部有受控端口（Controlled Port）和非受控端口(unControlled Port）等逻辑划分。非受控端口始终处于双向连通状态，主要用来 传递 EAPOL 协议帧，可保证随时接收Supplicant发出的认证EAPOL报文。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。输入受控方式应用在需要桌面管理的场合，例如管理员远程唤醒一台计算机(supplicant)。 2 IEEE802.1x认证过程(图2 IEEE802.1x的认证过程)3IEEE802.1x的特点1 协议实现简单IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。2 认证和业务分离 IEEE802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，从而可以实现业务与认证的分离，由Radius服务器和以太网交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换；所以通过认证之后的数据包是无需封装的纯数据包。认证系统简化了PPPOE方式中对每个数据包进行拆包和封装等繁琐的工作，所以802 .1x封装效率高，消除了网络瓶颈；同时，由于IEEE802.1x认证包采用了在不可控通道中的独立处理的方式，因此认证处理容量可以很大，远远高于传统的BAS，无需购买昂贵设备，降低了建网成本。3 和其他认证方式的比较： IEEE802.1x协议虽然源于IEEE 802.11无线以太网（EAPOW），但是，它在以太网中的引入，解决了传统的PPPOE和WEB/PORTAL认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本。 众所周知，PPPOE是从基于ATM的窄带网引入到宽带以太网的，由此可以看出，PPPOE并不是为宽带以太网量身定做的认证技术，将其应用于宽带以太网，必然会有其局限性，虽然其方式较灵活，在窄带网中有较丰富的应用经验，但是，它的封装方式，也造成了宽带以太网的种种问题。在PPPOE认证中，认证系统必须将每个包进行拆解才能判断和识别用户是否合法，一旦用户增多或者数据包增大，封装速度必然跟不上，成为了网络瓶颈；其次这样大量的拆包封包过程必须由一个功能强劲同时价格昂贵的设备来完成，这个设备就是我们传统的BAS，每个用户发出的每个数据包BAS必须进行拆包识别和封装转发；为了解决瓶颈问题，厂商想出了提高BAS性能，或者采用大量分布式BAS等方式来解决问题，但是BAS的功能就决定了它是一个昂贵的设备，这样一来建设成本就会越来越高。WEB/PORTAL认证是基于业务类型的认证，不需要安装其他客户端软件，只需要浏览器就能完成，就用户来说较为方便。但是由于WEB认证走的是7层协议，从逻辑上来说为了达到网络2层的连接而跑到7层做认证，这首先不符合网络逻辑。其次由于认证走的是7层协议，对设备必然提出更高要求，增加了建网成本。第三，WEB是在认证前就为用户分配了IP地址，对目前网络珍贵的IP地址来说造成了浪费，而且分配IP地址的DHCP对用户而言是完全裸露的，容易造成被恶意攻击，一旦受攻击瘫痪，整网就没法认证；为了解决易受攻击问题，就必须加装一个防火墙，这样一来又大大增加了建网成本。WEB/PORTAL认证用户连接性差，不容易检测用户离线，基于时间的计费较难实现；用户在访问网络前，不管是 TELNET、FTP还是其它业务，必须使用浏览器进行WEB认证，易用性不够好；而且认证前后业务流和数据流无法区分。所以，在局域有线以太网中，WEB/PORTAL认证目前只是限于一些网络环境中使用。n 整个网络设计方案特色：l 适合酒店客房的网络设计l 可供选择的光纤或者电口万兆核心交换机,提供最大144Gbps/196Gbps的超级线速交换能力和万兆骨干的升级能力。l 超强整体网络线速处理能力,轻松处理突发的数据流量所带来性能压力;l 全部接入层交换机均采用两根千兆光纤或者双绞线连接到核心交换机。从网络的接入到核心层提供了双链路的互备方案，最大限度地保证了网络的稳定性能;同时也起到了主干链路流量负载均衡的作用;l 全网的有线和无线网络设备均支持有效控制ARP和各种DDOS攻击。无线网络更具备RF攻击和欺骗的入侵防御功能;l 全网交换机和无线网络系统均支持流量控制功能，可以有效控制和分配每个客户端的宽带资源，保障整体网络的稳定性，也起到了能快速访问因特网资源的目的。l 全网交换机和无线网络设备均支持IP与MAC地址或者MAC地址与端口的绑定功能，有效抵御ARP及其变种病毒的攻击。l 为所有有线和无线终端提供可选的用户帐号,802.1x安全认证和用户行策略的管理;l 全网的有线和无线网络均对IGMP，QOS的支持,可实现对酒店IP语音,多媒体应用的优化处理。l 全网交换机和无线网络均支持二层端口隔离技术，为客户提供安全的接入服务,避免有线和无线客户端之间的信息窥探,同时有效的隔离”蠕虫”,ARP病毒的横向蔓延和攻击。全部网络设备均支持网页的直接管理，无需要客户端支持。配置方便，操作简单。l 全网管功能的核心交换机，支持堆叠功能的接入层交换机，具有高度的集中管理能力。l 可靠的产品坏件新品包换服务。4.2.4酒店网络建成后可支持的关键业务应用网络建成后酒店将可以依靠网络平台提供以下一系列优质服务：1提高商务客人效率2高速的INTERNET接入3移动办公业务4交换式电视和视频点播5个性化的入住体验6交互式的电话终端7Email/Fax/留言信息显示在电视或电话上8交互式游戏9视频会议10数字式广告11租户服务五配置清单n 推荐方案的交换机配置表格如下核心交换机名称数量描述GSM7328S（使用电缆主干）124个10/100/1000M电口，4个共享使用的1000Base-X SFP千兆光口，4个10G高速扩展插槽的三层换机，适用于大于600点以上规模的网络中心交换机GSM7328FS（使用光纤主干）124个1000M 1000Base- X 光 SFP口，4个共享使用的10/100/1000M千兆电口，4个10G高速扩展插槽的三层交换机，适用于大于600点以上规模的网络的中心交换接入交换机FS728TS2424个10/100M端口，4个10/100/1000M端口，2个SFP GBIC插槽，增强型智能网管交换机；提供更多的接入安全控制能AGM731F48ProSafe 1000Base-FX SFP GBIC光纤模块Internet接入FR538G14个千兆 WAN 端口和4个千兆 LAN 端口可共享因特网连接专心-专注-专业