酒店上网行为管理方案.pdfVIP

网络需求：

1、酒店申请了多条光纤线路，分别来自于电信、网通，因此需

要通过一台网关设备将多条上网线路引入，且设备须具备多个WAN口

并能够解决多个运营商不同线路之间的互联互通问题，以实现局域网

多台电脑共享上网。

2、实施对网络的管控。酒店网络分为办公区和客房区，需要将

办公区和客房区从网络上分开，并且需要对办公区酒店员工的上网行

为、网络带宽进行管理和控制。

3、酒店内部每个客房的电脑需要在网络上隔离，需采用支持安

全管理功能的交换机用于网络边缘，以防局域网的电脑相互攻击。

4、考虑到酒店环境下常见的DHCP服务阻碍、ARP欺骗等问题，

需要依靠一套整体性质的网络解决方案将其从根本上解决上述问题。

5、针对公安部分的82号令，要求实现酒店的上网行为审记和记录，

解决方案：

通过对市场上多款网络产品的调研，最终决定采用艾泰科技

UTT3640防火墙架构安全网关/VPN防火墙、cisco3560G口全千兆三

NI-3310。并结合原有设备和酒店

环境整体解决方案满足网络需求，通盘解决网络问题。

1、UTT3640具备四个WAN口，可同时接入四条上网线路，完

全满足了XX大酒店目前申请的两条光纤线路的接入需求。并且通过

艾泰科技ReOS网络操作系统支持的路由策略库，实现了电信、网通

（联通）智能策略路由：用户无需一条条地添加静态路由，只需操作

一次，就能批量配置大量电信路由或者联通路由，从而保证电信流量

走电信线路、网通（联通）流量走网通（联通）线路。

UTT3640的策略路由配置截图

2、针对酒店办公区办公人员的电脑，采用手工设置IP地址、

子网掩码、默认网关、首选/备用DNS服务器方式上网，对于这部分

电脑，配置IP地址时使用192.168.1.0/24地址段，并且在UTT5830G

上做IP/MAC静态绑定操作，防止员工自行修改IP地址而不遵守网关

上设置的上网行为管理。对于客房区客人自带的笔记本电脑，通过开

启UTT5830G的DHCPServer功能，且DHCP地址池设置为

192.168.2.0/24的地址段，由网关为这部分电脑分配IP地址、子网

掩码、默认网关、首选/备用DNS服务器，使得客人自带的笔记本电

脑能正常上网，并在UTT3640上对自动获取IP的电脑执行DHCP自

已经做到隔离广播的效果，可以解决跨区域（办公区与客房区）的

ARP欺骗问题。

UTT2640的IP/MAC静态绑定配置截图

UTT3640的DHCPServer配置截图

、通过UTT3640的带宽管理、上网行为一键封，在网络出口层

实现了对办公区电脑的上网行为、网络带宽进行管理和控制需求。使

用病毒攻击一键封等功能，可轻松抵御常见ARP欺骗、DoS/DDoS攻

击和冲击波等病毒攻击问题，防止网络瘫痪。

UTT3640的分组带宽管理、上网行为一键封配置截图

UTT3640的病毒攻击一键封配置截图

、因酒店环境中，常常出现多个DHCP服务器，唯一合法的DHCP

服务器是网关，而电脑开启自动获取IP地址的功能后，发出的是广

播数据，则网络中存在的DHCP服务器均可以响应其请求，若电脑获

取到的IP地址不是网关分配的，则无法正常上网。另外，局域网中

最常见的网络问题就是ARP欺骗了，ARP欺骗一直困扰着众多网络管

理员。通过设置交换机支持的端口VLAN，将面向每个客房的交换机

端口单独划到一个VLAN中，并且将交换机上联接口（这里是第24号

端口）同时划入每个VLAN中。这样可将DHCP服务阻碍、ARP欺骗、

局域网电脑之间相互攻击等问题予以解决。

端口VLAN配置截图

5、针对上网行为的审记和管理，我们推荐采用ICG3310，这是一款

经过公安部认证的上网行为管理设备，完全符合82号令的标准，可

站等等做过滤，实现绿色上网，同时他还具有上网认证功能，可以做

到只允许经过认证的用