酒店网络建设解决方案.docx

精心打造 1 2 3 典型配置 路由器 ER5100 表 1 典型配置 核心交换机 S5024P S5024E 接入交换机 S1526 S1550 4 组网方案 4.1 组网方案 ER5100 Trunk Trunk S5024E Trunk 隔离 监控服务器 VLAN 1101 S1526 VLAN 1201 VLAN 1102 S1526 VLAN 1202 S1526 VLAN 100 VLAN 100 客房 客房 酒店客房区 酒店管理系统 前台 办公 酒店办公区 图 1 增强型典型组网方案 未来 1 精心打造 4.2 组网说明 1） 在S5000E 划分 VLAN ，将酒店内网与外网隔离，控制酒店管理系统及 Internet 访问权限。酒 店内网分配静态 IP 。 2） 在S5000E 启用端口镜像，将所有出口数据镜像到监控服务器，满足公安监控需求。 3） ER5100 支持 802.1Q VLAN ，做 VLAN 终结，并且开启防 4） S5000E 开启防 ARP 欺骗，阻止内网 ARP 攻击。 4.3 方案特点 在基本型的基础上，替换为 ER5100 路由器及 S5000E ARP 欺骗。 核心交换机，提升整网带机量。 具备 H3C 独有的酒店布线排查系统，方便工程人员为每个房间分配 VLAN 。 该方案可满足 200 客房以下的酒店需求。 ? 内外网隔离 酒店网络按照功能划分为内网和外网： 内网为酒店办公网络，酒店管理系统等办公系统运行在内网。 外网为酒店客人提供对外的网络接口， 覆盖酒店客房、 商务中心、 大堂、 会议室等区域， 其中客房采用有线组网为主，公共区域多采用无线组网。 内网、外网之间隔离。 ? Internet 访问权限控制 内网：静态分配 IP 地址，只有指定客户端可以访问 Internet ，前台等客户端不能访问 Internet 。 外网：无需认证即可访问 Internet ，通过 DHCP 分配 IP 地址。 ? 防 ARP 欺骗 由于无法限制客人的电脑，外网中经常会出现 ARP 攻击，导致大部分客人无法正常上 网。需要在接入交换机做隔离，并且在路由器中启用防 ARP 欺骗。 ? 上网行为监控（满足公安部 82 号令要求） 依据《互联网安全保护技术措施规定》公安部第 务的酒店都必须提供必要的互联网安全保护措施， 普遍采用为每个房间划分一个 VLAN ，通过对应的 为的记录、跟踪、分析，实现各种条件下的查询功能。 未来 2 82 号令，公安部要求所有提供上网服 必须安装相应的安全管理软件。 目前酒店 VLAN ID 来识别房间号，完成用户上网行 精心打造 4.4 酒店布线排查系统介绍 1、确保所有房间的网线连接到交换机 2、在客房中，例如客房 201 ，将笔记本的网卡接到酒店的上网端口，并且运行酒店布 线自动排查软件， 输入房间号 201，确定， 此时， 交换机上会将对应的端口加入到 VLAN 201 ， 并且会显示该房间接入到了哪台交换机的哪个端口，其它房间如法炮制。 未来 3