天适酒店网络设计与规划

摘要

互联网作为一个现代信息社会中重要的基础信息设施的现代计算机和网络，已经成为企业了，国家乃至全球的重要网络和组成部分。所以为酒店规划和建设一个稳定可靠，高效经济的网络，才能满足当前社会发展需求，为酒店日后的发展和管理提供保证。论文通过对天适酒店网络规划与设计这一主题展开的。
天适酒店网络根据计算机网络设计的主要内容，主要通过以下方面规划和设计：酒店网络拓扑结构设计，从成熟的网络技术中对比分析，寻找最适合目前酒店网络的技术、选择的网络设备要满足能使用分析的主流技术、考虑往后酒店网络的发展、建设网络的投资成本、网络通信安全等方面都是设计网络拓扑图的核心；需求分析是建设网络中必不可少的部分，从酒店的各个方面进行分析，保证酒店网络的建设既满足预期又实用的理念；主要对网络应用方面的需求，网络性能方面的需求，安全通信方面的需求等；网络地址分配是用来为酒店网络设备和网络中的节点规划IP寻址和网段划分，涉及局域网，子网划分等；酒店采用的网络设备要根据实际情况和酒店网络拓扑结构，来确定设备的型号和规格；网络冗余设计是网络建设可靠性普遍的方法；网络测试总结作为网络建设的最后一个步骤，既是检验网络工程各方面是否满足预期结果，同时也是网络长期稳定运行的根本保障。
事实证明，根据以上各个方面之间的结合，建设完成的天适酒店网络，是满足预期的结果。而且无论是未来酒店网络结构的可扩展性，还是网络设备的可靠性，通信的安全性和功能的实用性都是满足当前社会发展需求。
关键词：酒店网络，酒店网络拓扑图，酒店需求分析，酒店网络设计

1 绪 论

1.1论文研究的背景
成就当前世界信息化时代的现状，根本原因是由于之前几个时代的发展，世界各地的人们研究技术和知识累积的结晶。例如，在过去的时代里都出现过引领当前时代发展的产物和技术。蒸汽时代代表的是整个十八世纪的发展过程，世界在十九世纪中期步入电气化的时代，下一个世纪初发生了技术革命，导致新兴技术和计算机领域的出现，其中计算机领域主要体现在对数据的处理。还有其它领域的技术崛起，计算机领域从出现就以惊人的速度快速发展。这些新兴的科学技术在二十一世纪中不断更新迭代，随着时间的推移各个领域之间都产生了联系，其中计算机网络将整个世界连接在一起，打开了信息时代的大门。[9]计算机网络作为信息时代的基础设施已经成为所有行业获取信息，工作和生活的主要渠道。天适酒店为了成为信息时代酒店行业的佼佼者，必须改变传统酒店的管理方式，采用网络管理方式。根据此背景为天适酒店规划和设计网络。
天适酒店作为现代化的商务酒店在北京，上海，苏州等地区都有酒店，为了进一步扩大酒店的经营范围，决定在广东省广州市天河区建立一个酒店；为了应对激烈的市场竞争，处理大量的业务逻辑，准确把握顾客的消费心理，必须改变传统的管理方式。为酒店建设网络采用互联网和局域网，使用主流的网络技术和网络设备使不同省份的总店之间信息沟通更便捷，使得不同地理位置的人可以协同工作。
1.2论文研究的意义
计算机网络在时间的推动下不断地更新迭代和发展，网络的结构不断完善，顾客对网络性能的要求提高、重视个人的信息安全；所以为了满足顾客的需求，提高酒店的管理和办事效率；为天适酒店规划和设计网络正好可以改善甚至解决目前酒店面临的问题，建设网络时选择成熟的网络技术配合正规的网络设备是至关重要的，不仅为酒店的网络通信和资源共享提供保障；同时保证酒店网络的可维护性、网络设备的可扩展性和主流网络技术的兼容性，为酒店日后的发展奠定基础。
1.3酒店信息化发展趋势
随着经济全球化的发展使酒店行业客源丰富多彩，市场渠道更加广泛等优势的出现；但是酒店行业的竞争却没有丝毫减弱反而变得严峻，顾客的需求不断提高；推动酒店不断发展在这个过程中，酒店需要解决扩大酒店的销售范围，提高酒店服务质量，减少酒店管理成本，最重要是满足顾客消费需求的新模式。目前最符合的手段就是使用计算机网络，不仅完善传统酒店的管理模式，增加更多的竞争渠道。根据酒店行业的调查结果显示，建设主流的网络是未来酒店行业竞争的优势。所以规划和建设酒店网络是当前酒店发展的重要组成部分，酒店有无线和有线，为顾客在酒店范围内高速上网，创建酒店网站可供顾客进行浏览、订房、评论等功能，建设网络的优势在于不受地理位置和时间的约束；扩大了酒店的宣传推广，酒店通过网络宣传形象和服务，让顾客了解酒店信息；同时酒店根据顾客的评价、分析其它酒店的管理模式和社会发展趋势不断探索和完善酒店信息化发展的模式。
1.4论文的结构
论文每一部分的内容介绍：1绪论：通过背景、意义和酒店信息化发展趋势来说明建设网络对于酒店日后发展的重要性；2 天适酒店网络规划需求分析：通过酒店布局、网络接入点、网络应用、网络需求和网络设计原则等方面进行分析；3 天适酒店逻辑网络设计：通过酒店逻辑网络拓扑图、酒店区域、网络设备的VLAN和IP地址划分，网络设备链路和功能的配置规划；4 天适酒店设备选型和技术分析：通过设备选型和设备所使用的技术进行说明；5 天适酒店设备连通性测试：依照酒店网络拓扑图建设的网络，对其主要功能进行测试其连通性。

2.1酒店网络体系分析
天适酒店网络分为酒店部门网络和客房网络两部分，而且客房和酒店部门都有各自的无线和有线网络；酒店主要分为八个部门可以从图2-1中获取；客房主要分为普通客房有100间、高档客房有60间和豪华客房有20间，酒店网体系络结构如图2-1：

图2-1酒店网络体系结构图

2.3酒店网络应用目标分析
酒店建设网络需要分析酒店网络主要使用在哪些方面，需用对相关网络使用人员进行调查分析：从酒店网络高层管理者开始征求网络服务、业务的需求；收集网络用户群体的对酒店网络的要求；调查支持网络服务和网络应用所需要的网络性能需求。主要涉及五个方面：酒店服务(业务)的需求、用户对网络的需求、酒店应用的需求、计算机平台的需求、网络性能的需求。[5]
天适酒店网络主要使用在以下几个方面：满足互联网接入的功能，满足顾客依赖上网的需求，实现酒店部门使用管理系统高效管理酒店客房和业务的需求；满足酒店部门的办公自动化，能够承载酒店的管理系统，实现酒店部门之间资源共享和酒店分店的数据传输；酒店范围内有全天候的监控系统保证顾客的生命财产安全；酒店部门的无线网络只有在酒店部门楼才能接收到信号，酒店客房的无线在整个酒店的范围里都能接收到信号，而且无线之间互不影响，保证稳定的网络服务。天适酒店网络设计地目标是为改善酒店工作环境、扩大酒店销售范围、提高酒店管理效率、方便信息管理、网络资源共享、降低成本、增加酒店利润和收入。
2.4酒店网络需求
2.4.1酒店带宽性能需求
通过对天适酒店网络的建设，取代了传统的酒店管理模式，导致酒店基于网络的应用日益增加，不仅需要承载酒店的管理系统、办公自动化和大量的业务数据等。因此，数据量大大增加，导致核心层交换数据的负担越来越大；所以酒店核心层网络最低要求使用千兆带宽配合高性能处理数据的设备，酒店部门达到百兆带宽，不同级别的客房对应不同的带宽，带宽不足时还可以扩展至万兆，建设一个高质量的酒店网络，满足酒店网络未来使用范围不断扩大，业务增长和处理高数据量的需求。
2.4.2酒店网络可靠需求
分析完天适酒店网络的主要应用目标和带宽性能两方面之后，酒店网络的可靠性也是至关重要，酒店的日常运营和管理都转移到计算机网络上，为了保证酒店正常运营，使用网络的稳定性和可靠性成为酒店正常经营的保障。因此，需要对酒店网络信息传输的重要位置进行可靠性设计；主要通过三个方面实现：网络设备可靠性，通过正规渠道购买网络设备时，需要选择知名厂商的设备；通过网络技术对重要位置的设备采用冗余备份，使设备之间能够负载分担；物理方面酒店应该定期检查设备，还有设备之间链路状况；对转发信息的主要设备提供多条链路，对主要的网络设备和链路开启监听，如果设备无法运作或者链路不能到达对端设备，会在第一时间将备份设备或者链路的优先级提高成主设备或者主链路。
2.4.3酒店网络技术需求
酒店网络建设使用最普遍的分层结构设计：接入层主要安排三台交换机进行接入，汇聚与核心各层分配两台交换机，每层实现的功能都是独立的，层与层之间的联系靠端口来提供服务的，每一层的服务都有不同级别的屏蔽功能和安保措施。核心层和汇聚成都采用冗余结构，汇聚层交换机使用双热机备份。酒店无线分为客房无线和部门无线同样配置设备冗余，都是采用三层结构。主要实现了以下功能:
1.对于接入层使用vlan和IP网段来隔绝广播域，划分的广播域之间的通信需要通过汇聚层的设备进行转发，从而强化网络管理和网络安全。
2.采用OSPF动态路由协议，保证酒店内部可以正常通信，并且开启bfd来检测链路状态；采用静态路由协议并导入OSPF中结合NAT保证酒店内部可以访问外网。
3.采用DHCP服务器动态的分配IP地址，替换人工配置IP地址的繁琐和失误；并且配置DHCP Snooping来解决动态获取IP地址遭到的网络攻击，同时在接入层使用IPSG技术绑定DHCP服务器分配的IP地址防止局域网内的IP地址欺骗攻击，防止用户随意修改设备IP地址导致不同设备之间产生冲突。
4.采用NAT中easy-ip，通过转换端口和地址来访问外网；使用NAT Server让外网用户可以访问内网网站。
5.汇聚层的交换机使用双热机备份协议和生成树协议来保证网络运行的可靠性，数据转发的稳定性。
6.配置安全区域和定义ACL访问控制链表保障酒店网络的安全。
7.配置AP的无线发射和AC的无线控制功能，为无线配置双链路热备份的负载分担方式，实现酒店全方位覆盖。
8.配置telent的远程服务，来定期检查管理酒店的网络设备。
2.5酒店网路设计原则
网络设计应依据建设目标，按照网络拓扑图，从上到下依次建设。建设的网络以实用为主，实现对网络资源进行统一管理和调配，快速响应网络用户的应用需求。[5]网络设计遵循的设计原则主要体现在以下五点。网络技术方面使用的是当前企业普遍使用的成熟技术，保证酒店网络符合当前社会发展的需求，为了满足日后酒店网络的发展，网络结构和设备必须留有扩展的余地。
1.先进性
网络系统的先进性，即在满足经济条件的前提下采用当前社会主流成熟的技术和最高性价比的设备，还要考虑技术和设备的兼容性，确保在未来几年内保持酒店网络的实用性和先进技术的兼容性。
2.可靠性和安全性
为了保证酒店网络高速和稳定地运行，网络设备尽量采用有故障分析和具备较高的容错功能，汇聚层和核心层设备应具备冗余设计，采用安全保障机制，使用检测网络安全的应用或设备等方式，链路上使用网络进行实时检测，具备故障报警功能，对出现的问题进行分析处理，避免由于某条链路故障或其它非酒店网络设备的接入，而导致整个酒店网络陷入瘫痪。在酒店网络的安全和可靠的前提下，实现数据资源的转发，在转发数据的主要网络设备中，使用网络安全技术来规避和防范已知和未知的网络攻击，保证酒店网络的传输安全和数据共享。
3.开放性和标准化
Internet的建设应注意选取符合国际标准的硬件、软件、网络协议、和数据库，便于网络的互联和操作。[5]
4.扩展性
时代在进步、网络技术不断的更新迭代，在设计酒店网络结构时要预留未来酒店网络扩展的位置，在保证网络结构可扩展性的前提下，降低酒店网络结构的复杂度，酒店网络的扩展不能影响网络性能，如有必要还能提升网络性能，做到对已有酒店网络结构进行扩大，避免对原有酒店网络结构的破坏。
5.经济性和实用性
从经济性和实用性出发，酒店网络的建设应该以注重实用为主，根据酒店实际情况和分析市场的资源，规避不必要的成本。选择适合酒店目前建设网络的设备，并且设备能支持采用的网络技术；在满足酒店日常管理、业务和顾客的需求，由于计算机网络设备更新较快，应该考虑在选择网络设备时，选择在一定时间段内价值体现最高的设备，要保护已有的资产。[10]
通常网络建设采用分层模型要注意：核心简单、边缘复杂、核心层尽量保持简单，需要反复权衡利弊，边缘层一般比较复杂，把复杂的处理留在端系统，通常设计网络都遵循的基本要求。因为性价比网络建设通常使用交换机代替路由器，丢弃不需要的数据传输，减少网络设备的资源占用，通常只在连接互联网时才考虑使用路由器。[10]
2.6本章小结
本章主要介绍酒店建设网络主要应用在酒店哪些方面，需要实用哪些网络技术，配合哪些网络设备，网络建设需要遵循哪些设计原则；保证酒店网络建设性价比最高；为后面酒店逻辑网络设计做铺垫。

第3 章天适酒店逻辑网络设计

3.1酒店网络拓扑图设计
天适酒店网络拓扑图设计采用分层结构，从图3-1中可以明显看出：

图3-1酒店网络拓扑图
接入层的设备可以看成公司中的部门，每个部门都有固定的工作内容和范围，接入设备就是负责将对应的终端设备连接到网络，实现不同部门之间的互访需求；同时接入设备还以负责记录一些终端设备使用者的信息和记录对应终端设备的基本参数。
汇聚层的设备作为公司的中层网络管理，应该具备较高的性能，上接核心层的设备，下连接入层的设备。通常用于实施网络策略、安全、和不同局域网之间的数据通信；所以汇聚层设备是所有接入设备的汇聚点，必须保证能承担终端设备的全部数据量，将过滤后的数据转发给核心设备。
核心层的设备是整个网络数据转发的中心，相当于公司的管理高层；为数据高速、可靠的传输提供保障。
3.2酒店网络设备参数
3.2.1酒店网络划分
酒店局域网络分为有线和无线两个部分，每个部门分配一个VLAN和一个子网；具体规划见表3-1：
表3-1酒店区域VLAN和IP地址划分
区域 VLAN划分 IP地址段 网关 DNS
财务部 10 172.16.1.0/24 172.16.1.1 114.114.114.114
172.16.200.5
人力资源部 20 172.16.2.0/24 172.16.2.1
销售部 30 172.16.3.0/24 172.16.3.1
采购部 40 172.16.4.0/24 172.16.4.1
前厅部 50 172.16.5.0/24 172.16.5.1
保安部 60 172.16.6.0/24 172.16.6.1
行政事务部 70 172.16.7.0/24 172.16.7.1
餐饮部 80 172.16.8.0/24 172.16.8.1
服务器区 200 172.16.200.0/24 172.16.200.1
客房 90 172.16.16.0/22 172.16.16.1
客房无线 130 172.16.32.0/22 172.16.35.254
部门无线 160 172.16.36.0/22 172.16.39.254
酒店分支 100 172.16.20.0/24 172.16.20.254 114.114.114.114
8.8.8.8
酒店汇聚层网络设备接口的VLAN和IP地址划分，详细配置见表3-2：
表3-2汇聚层设备链路VLAN和IP
设备名称 接口 IP地址 VLAN
HJ_SW6 G0/0/7 172.16.25.1/24 800
G0/0/8 172.16.26.1/24 801
HJ_SW7 G0/0/7 172.16.28.1/24 803
G0/0/8 172.16.27.1/24 802
FZ_SW14 G0/0/1 172.16.21.2/24 803
G0/0/2 172.16.20.254/24 802
酒店核心层网络设备链路的VLAN和IP地址规划，具体配置参数见表3-3：
表3-3核心层设备链路VLAN和IP
设备名称 接口 IP地址 VLAN
HX_SW17 G0/0/1 172.16.25.2/24 800
G0/0/2 172.16.27.2/24 802
Eth-trunk 1 172.16.15.1/24 807
G0/0/5 172.16.12.2/24 804
HX_SW18 G0/0/1 172.16.28.2/24 803
G0/0/2 172.16.26.2/24 801
Eth-trunk 1 172.16.15.2/24 807
G0/0/5 172.16.13.2/24 805
酒店网络出口设备链路的IP地址规划见表3-4：
表3-4出口设备链路IP规划
设备名称 接口 IP地址
CK_FW1 G0/0/0 172.16.12.1/24
G0/0/1 6.6.6.1/24
G0/0/2 172.16.13.1/24
G0/0/3 172.16.13.1/24
G0/0/4 5.5.5.254/24
G0/0/5 172.16.31.1/24
GW_AR3 G0/0/0 6.6.6.2/24
G0/0/1 7.7.7.2/24
CK_FW2 G0/0/0 7.7.7.1/24
G0/0/1 172.16.21.1/24
酒店部门和客房无线设备链路的VLAN和IP，具体分配的参数见表3-5：
表3-5无线设备链路IP和VLAN
设备名称 接口 IP地址 VLAN
WX_DHCP Vlanif120 172.16.22.1/24 120
Vlanif130 172.16.35.253/22 130
AC2 Vlanif120 172.16.22.2/24 120
Vlanif140 172.16.23.1/24 130
AC4 Vlanif120 172.16.22.3/24 120
Vlanif140 172.16.23.2/24 140
WX_HJ_SW13 Vlanif130 172.16.35.254/22 130
Vlanif806 172.16.24.2/24 806
WX_HJ_SW20 Vlanif160 172.16.39.254/22 160
Vlan808 172.16.31.2/24 808
WX_DHCP Vlanif160 172.16.39.253/22 160
Vlanif150 172.16.29.1/24 150
AC5 Vlanif150 172.16.29.2/24 150
Vlanif170 172.16.30.1/24 170
AC6 Vlanif150 172.16.29.3/24 150
Vlanif170 172.16.30.2/24 170
3.2.2酒店网络设备功能
酒店网络的交换机、路由器和防火墙设备实现的功能，详细内容查看表3-6：
表3-6酒店网络设备实现功能
设备名称 设备位置 配置内容 实现功能
HJ_SW6、HJ_SW7 汇聚层 telnet、链路聚合、MSTP、VRRP、动态路由、DHCP中继、bfd、访问控制列表 实现设备冗余备份，流量负载分担，链路故障检测、远程管理
JR_SW1、JR_SW2、JR_SW3、JR_SW8 接入层 DHCP Snooping、MSTP、IPSG、QOS 实现复杂分担，对客房进行限速，防止IP被修改、防止恶意攻击
WX_SW19、WX_SW10、JR_SW9 接入层 DHCP Snooping、IPSG 防止修改IP地址和恶意攻击
AC2、AC4、AC5、AC6 汇聚层 无线配置和无线双链路热备份 实现链路备份，无线功能
DHCP、WX_SW21、WX_SW15 汇聚层 DHCP、静态路由 实现给客户端提供地址
CK_FW1、CK_FW2 出口设备 NAT(easy-ip)、安全区域、防火墙策略、访问控制列表、静态路由、IPSec VPN、NAT Server 防止恶意网络攻击，实现酒店与互联网通信，允许外网用户访问内网web服务器
HX_SW17、HX_SW18 核心层 telnet、动态路由、浮动路由、bfd、链路聚合 远程管理设备、数据高速转发、链路状态检测
3.3本章小结
结合第二章需求分析，酒店网络逻辑拓扑图设计采用三层结构；在满足设计原则上，对酒店的网络设备和区域进行划分VLAN和IP地址；对网络设备实现功能进行分配；并且配合下一章酒店网络设备选型和技术分析；为酒店网络实施奠定基础。

4 天适酒店设备选型和技术分析

4.1设备选型
天适酒店网络设备采用华为设备，近年来华为的网络技术和网络设备不断更新完善；已经逐渐超越其它的厂商例如锐捷，中兴等；虽然华为主业务不在数据通信和企业网，产品虽然大部分服务于运营商。华为在其它方面的产品口碑不错，售后服务到位，价格亲民；所以选择使用华为设备。
接入层交换机采用S5720S-LI系列企业交换机提供灵活的百兆、千兆端口组合，支持酒店网络采用的路由协议，在企业园区的接入中广泛使用；图4-1是接入交换机的外观：

图4-1 S5720S-52X-LI-AC交换机外观
接入层交换机型号S5720S-52X-LI-AC的一些基本参数，见表4-1：
表4-1 S5720S-52X-LI-AC交换机参数
产品定位 下一代精简型千兆交换机
交换容量 336Gbps/3.36Tbps
包转发率 144Mpps/162Mpps
固定端口 48个10/100/1000Base-T以太网端口，4个万兆SFP+
MAC特性 支持8K MAC地址，支持源MAC地址过滤。MAC地址自动学习和老化，支持接口MAC地址学习个数限制
VLAN特性 支持4K个VLAN，支持GVRP协议，基于MAC/协议/IP子网/策略/端口的VLAN
IP路哟 支持静态路由、RIP、OSPF
汇聚层交换机CloudEngine S5731-H系列的交换机具备VxLAN能力，支持网络虚拟化功能，满足园区网络一网多用的需求，支持异常流量检测，加密流量威胁分析等功能，适合园区网分支；图4-2是汇聚层交换机外观：

图4-2 CloudEngine S5731-H48P4XC交换机外观
表4-2是汇聚层交换机型号CloudEngine S5731-H48P4XC的一些基本参：
表4-2 CloudEngine S5731-H交换机参数
包转发率 252/462Mpps
交换容量 758Gbps/7.58Tbps
固定端口 48个10/100/100BASE-T以太端口，4个万兆SPF+
PoE+ 支持
扩展插槽 1个扩展插槽，支持240GE光、225GE或810GE光、810GE电及2* 100GE光子卡
无线业务 支持管理1K AP，支持CAPWAP、支持AP接入控制、AP域管理和AP配置模板管理、支持WLAN基本业务、OoS、安全和用户管理
核心层交换机型号S7712智能路由交换机，基于全编程架构，快速灵活，满足酒店网络的应用、管理和业务增长。外观可以参考图4-3：

图4-3 S7712交换机外观
表4-3是核心层交换机S7712的基本参数：
表4-3 S7712交换机参数
产品定位 智能路由交换机
交换容量 27.52/153.6Tbps
包转发率 2880/48960Mpps
冗余设计 主板、电源、监控板、风扇框
用户管理 支持统一用户管理，支持PPPoE、802.1X、MAC、Portal认证方式
路由特性 支持IPV4和IPV6多种路由协议和路由策略
无线AC使用AC6005接入控制器拥有高容量、高性能；使用灵活方便，多种管理维护方式。外观见图4-4：

图4-4 AC6005外观
无线AC6005的接入控制器的基本参数见表4-4：
表4-4 AC6005接入控制器参数
端口 6GE + 2GE Combo
PoE 8端口PoE/4端口PoE+
转换能力 4Gbit/s
最大可管理AP数量 256
无线用户接入能力 2K
AC冗余备份 支持1+1热备/N+1备份方式
无线协议 802.11 wave2/ax a/b/g/n/ac
无线AP AP6750-10T(室内)使用三射频设计，两个5G射频和一个2.4G射频；对终端设备进行精确覆盖，相比之前的AP产品在信号强度和稳定上都有所提高；主要还是降低了其它AP设备的信号干扰，在管理和维护方面也有华为统一的平台进行，节省时间和成本。外观见图4-5：

图4-5 无线AP6750-10T接入点外观
无线AP6750-10T(室内)的一些基本参数，见表4-5：
表4-5 无线AP6750-10T接入设备参数
尺寸 220mm220mm47mm
电源输入 DC：12V+/- 10%、PoE供电：满足802.at以太网供电标准
最大功耗 19.3W(不含USB)
最大用户数 <=768(环境不同可能存在差异)
最大发射功率 2.4GHz：23dBm、5GHz-0：24dBm、5GHz-1：27dBm
工作温度 -10℃~ +50℃
无线协议 802.11a wave2 a/b/g/n/ac
最大速率 3Gbps
无线AP 8030DN作为室外的无线信号发射装置能够在恶劣的环境中保持正常工作，通常适用于位置宽阔和使用人数多的地方等。外观参考图4-6：

防火墙采用HiSecEngine USG6600E系列AI防火墙(盒式)是下一代数据中心退出的万兆AI防火墙；提供NGFW能力的基础上，联动其它安全设备，主动防御网路威胁，增强边界检测能力，有效防御高级威胁，同时解决性能下降问题；NP提供快速转发能力，防火墙性能显著提升。外观参考图4-7：

防火墙型号HiSecEngine USG6655E的一些基本参数，见表4-7：
表4-7 防火墙USG6655E参数
固定接口 240GE(QSFP+)+1210GE(SFP+)+16*GE
存储 选配2.5英寸形态硬盘，支持SSD 240GB/HDD 1TB
一体化防护 集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多功能
Web防护 防护各种针对Web的攻击、包括SOL注入攻击和跨站脚本攻击
应用识别和管控 识别6000+应用，访问控制精度到应用功能
APT防御 与本地/云端沙箱联动、对恶意文件进行检测和阻断；主动响应恶意扫描，并通过联动CIS进行行为分析，记录恶意行为
云管理模式 远程业务配置管理、设备监控故障管理、实现海量设备的云端管理

4.2技术分析
4.2.1动态路由协议分析
天适酒店网络设备使用OSPF路由协议，下面是对选取路由协议的分析：RIP的优点简单易用，相比OSPF和IS-IS更容易维护和配置，也有防环机制，还可以对报文进行加密验证。但是RIP的工作原理是导致它不能在大型网络中得到应用的重要原因，路由之间还不知道网络的整体结构；只知道去往的目的IP和距离。如果在大型网络使用会增加网络设备不必要的负担，链路故障收敛速度比较慢，不利于网络日后的扩展。OSPF和IS-IS两种路由协议具有很多相似的优点：可以通过划分区域来管理网络，通过链路状态数据库对路由表进行统一管理，适用于大规模的网络建设；链路故障时收敛速度比较快；由于是根据链路状态经过SPF计算出路由表，所有不会出现自环路由；还可以对区域和报文进行加密验证等。OSPF是目前业内使用占比最多的协议；而IS-IS通常使用在互联网或者运营商方面[2]。
4.2.2动态主机配置协议
IEFT制定了BOOTP(Bootstrap Protocol)协议，专门用来解决IP地址等网络参数的配置问题。后来，针对BOOTP协议的各种缺陷和不足，出现了DHCP该协议提供了一种动态分配网络配置参数的机制，并且可以兼容之前BOOTP协议。[6]天适酒店网络拓扑图(图3-1)有多个部门、多种客房和移动设备规模较大、数量较多，如果是技术人员手动配置不出错那就没什么问题，一旦出错可能会造成连锁反应导致其它设备无法上网，而且耗费大量人力、物力和资源等。使用DHCP来为终端设备或移动设备分配IP地址，优势体现再以以下方面：避免分配到那些正在使用或者地址池中排除的IP；分配的IP地址可以设置使用的期限，IP地址通常是分配给对应的终端设备；支持动态获取地址和手工配置地址等多种方式。
4.2.3网络地址转换技术
为了满足酒店网络的私有地址与公网地址进行通信，需要再出口设备配使用NAT技术。NAT主要分为三种静态NAT、NAPT和Easy IP；考虑到天适酒店访问互联网人数较多，排除静态NAT，可以使用NAPT或者Easy IP的方式，因为Easy IP方式简单易用不需要配置地址池，所以天适酒店网络使用Easy IP的方式。
4.2.4多生成树协议
为什么使用MSTP而不使用RSTP，因为RSTP只是在STP的基础上，加快了拓扑收敛的速度，但是没有解决数据流量的走向问题；导致全部数据流量都从同主交换机转发，会增加交换机的负担增加故障的概率。所以为了满足酒店网络使用的高峰期选择MSTP通过两台交换机分别配置一个生成树实例负责转发酒店的部分数据流量，而且交换机之间互为备份。[4]
4.2.5虚拟路由器冗余协议
为了保证酒店网络的可靠性，使用VRRP技术可以使多台网络设备之间协同工作，实现设备之间互为备份；如果网络设备无法正常工作或者链路出现问题不会导致设备无法转发数据流量，而是通过备份设备进行转发。 VRPP在实际网络中已被广泛部署，通常使用的版本都是VRRPv2主要是因为版本2有认证功能；而VRRPv3版本主要是使用在IPv6的网络中，而且还没有认证功能。[2]所以最终选择天适酒店网络采用VRRPv2版本。
4.2.6访问控制列表
ACL是一种应用非常广泛的网络技术，ACL技术总是与防火墙(Firwall)、路由策略、QoS(Quality of Service)、流量过滤(Traffic Filtering)等其他技术配合使用的。根据ACL所具备的特性不同，我们将ACL分成了不同的类型，例如：基本ACL、高级ACL、二层ACL、用户自定义ACL，其中应用最为广泛的是基本ACL和高级ACL。在网络设备上配置ACL时，每一个ACL都需要分配一个编号，称为ACL编号。使用最多的是基本和高级的ACL。在设备中使用ACL时，ACL的类型应该在对应的编号范围内。[8]天适酒店网络中也使用到这两种ACL来对数据流量进行过滤。
4.2.7互联网安全协议
为了保证酒店部门与酒店分支之间的信息传输的安全，所以专门使用VPN技术来为两个私有网络的信息传输提供安全的通道；天适酒店在出口防火墙和分支酒店的防火墙中使用IPSec VPN来提供安全的数据通信。
4.2.8其它配置
还有其它一些配置，如核心交换机HX_SW17和HX_SW18使用静态路由和NQA一起使用来检测核心层到出口防火墙的链路，一旦链路故障会切换另一条链路；接入层交换配置IPSG防止客户端随便修改IP地址；汇聚层使用ACL禁掉病毒或者木马等攻击的端口号(例如：445、137、139等)；接入层为了放着MAC地址表漂移可以规定MAC地址学习限制使用命令port-security max-mac-num ，给指定端口添加信任使用port-security enable命令或者配置Sticky MAC功能；还对酒店客房接入层交换机对应的不同端口进行QoS限速。
4.3本章小结
本章通过介绍酒店网络建设从选择的网络设备的外观和基本参数、功能的图片展示，还介绍酒店网络中使用到的重要的选取技术和配合；配和下一章天适酒店网络的实施。

5 天适酒店设备实施和连通性测试

5.1酒店网络实施
通过配合之前的需求分析、网络拓扑图设计和设备选型等方面；采用华为的ensp模拟器对天适酒店网络进行设计、配置和测试。下面将对酒店网络中的重要设备配置进行说明：
在天适酒店网络中OSPF主要配置在汇聚层、核心层和出口设备上，在配置OSPF的同时，加入BFD对设备所有使用接口进行检测，出现链路故障时OSPF能快速响应网络拓扑图的变化，保证数据流量在传输过程中的可靠性；出口设备还需要将静态路由引入OSPF中使局域网能与互联网互访，可以通过display ip routing-table查看路由来检查有没有导入路由，表图5-1HX_SW17的配置和图5-2CK_FW1的配置：

图5-1 OSPF配置

图5-2OSPF引入静态路由
天适酒店中使用路由器充当DHCP服务器来为酒店每一个部门分配IP地址，每一个部门都分配一个地址池，最后需要选择分配IP的方式使用全局分配方式，为什么要单独使用路由器来分配IP地址，而不使用汇聚层交换机来分配IP地址，主要是因为汇聚层配置了冗余，如果要充当DHCP服务器需要对IP地址进行平分，不然会导致分配的IP地址重复，如果有交换机出现故障会导致能使用IP地址只有一部分，可能会对酒店的管理造成影响。因为使用了路由器来分配导致终端设备和服务器不在同一个网段，所以在汇聚层配置DHCP中继来解决转发的问题。图5-3是DHCP服务器对不同VLAN分配的IP，然后在接口G0/0/0进行分配；然后再汇聚层交换机HJ_SW6使用DHCP中继;可以使用display ip pool all和display dhcp relay检查配置的情况。

图5-3 DHCP和DHCP中继的配置
通常使用DHCP还会在接入层设备配置DHCP Snooping来防止使用DHCP获获取IP过程中可能受到的三种攻击：饿死攻击、防服务器攻击和中间人攻击，图5-4是接入层交换机JR_SW1配置DHCP Snooping的信息：

图5-4 DHCP Snooping配置
天适酒店网络NAT配置在CK_FW1和CK_FW2，需要结合防火墙的安全区域，ACL，NAT和防火墙策略进行配置，通过display nat-policy all可以查看关于NAT的所有策略，如图5-5是NAT的配置：

图5-5 NAT策略配置
MSTP技术使用在天适酒店网络中的汇聚层和接入层的交换机，主要分为两个实例，实例1是VLAN10、20、30、40、200的Master；实例2是VLAN50、60、70、80、90的Master；两个实例互为备份实例，配置在交换机HJ_SW6和HJ_SW7，图5-6是HJ_SW6配置的MSTP：

图5-6 MSTP配置
同样VRRP配置在酒店网络的汇聚层和MSTP一起结合使用，可以通过display vrrp brief查看VRRP状态，图5-7是HJ_SW6配置VRRP的信息：

图5-7 VRRP配置

5.3本章小结
酒店网络测试主要针对酒店局域网的之间的连通性、网络设备的冗余备份和流量分担和酒店局域网与酒店分支和互联网之间的通信。

6 总 结

论文围绕规划与设计酒店网络的主题进行展开，通过需求分析对酒店建设网络从技术、设计原则和功能应用上进行分析；网络拓扑图采用网络分层方式结合需求分析进行设计；然后根据网络拓扑图及分配好各区域的VLAN和IP结合设备选型和网络技术，建设酒店网络；最后对酒店网络的连通性、可靠性和安全性等方面进行测试和分析。总体上，基本满足网络设计方案预计的要求。
网络规划与建设为什么没有最好的方案?举个例子：假如现在使用最先进的网络设备、网络技术和设计人员，不考虑成本等其他因素；未必能成为目前社会最先进网络。因为最先进的网络设备性价比不一定最高，最先进的网络技术可能存在兼容性问题或者其它不足之处等。所以，最理想的网络建设方案，即满足当前发展需求，又具备良好扩展性，能够应对未来网络发展的需求。