XXXX大酒店信息化技术建议书.doc

XXXX大酒店解决方案建议书华三通信技术有限公司2023年 5 月目 录第一章. XXXX大酒店网络系统 41.1. 网络设计 41.1.1. XXXX大酒店网络设计规划 41.2. 设计说明 51.2.1. Internet边界路由设计 51.2.2. Internet接入平安设计 51.2.3. 网络交换平台设计 81.3. 部署平安插卡优势说明 81.3.1. 高牢靠性：降低单点故障 81.3.2. 高性能和高扩展性：削减业务瓶颈 91.3.3. 管理简洁 91.3.4. 成本投入低 10其次章. 酒店安防监控系统 112.1. 监控需求 112.2. 监控规划建议 122.2.1. 系统设计指导看法 122.2.2. 系统实施建设原则 132.2.3. 规划依据、规范和标准系统设计依据 132.3. 系统体系架构设计概述 142.3.1. 系统设计架构 142.3.2. 系统架构层次 152.3.3. 系统功能特点 162.3.4. 与传统视频监控系统的比较 192.4. 系统各分项设计 202.4.1. 系统总体设计 202.4.2. 系统前端设备部分 222.4.3. 系统管理平台部分 242.4.4. 车辆出入管理系统 392.4.5. 系统存储部分 432.4.6. 监控中心设计 48第三章. 酒店视讯系统 49第四章. WLAN系统 514.1. 无线局域网概述 514.2. XXXX大酒店无线网项目建设需求 524.3. WLAN建设原则 534.4. WLAN建设方案 544.4.1. XXXX大酒店无线网络基础方案 554.4.2. 用户接入认证方案 554.4.3. 网络管理方案 564.4.4. H3C方案的优点 574.4.5. 无线网络规划 59第五章. 附件 625.1. 网络设备形态规格及技术指标 625.1.1. 出口路由器MSR5006 625.1.2. 核心交换机S7500E 665.1.3. 接入交换机S3100-EI 735.2. IP监控设备形态规格及技术指标 795.2.1. VM5000监控服务器 795.2.2. EC2023四通道监控媒体终端 815.2.3. DC1001单通道监控媒体终端 855.2.4. VC8000视频管理客户端 885.2.5. EX1000S 视频存储器 905.3. WLAN设备形态规格及技术指标 935.3.1. H3C WX3024无线限制器 935.3.2. H3C WA2110-AG无线接入点 103第一章. XXXX大酒店网络系统本章方案设计对XXXX大酒店企业网进行整体规划设计，并对工程进行可行性考虑保证方案可实施、资源优化配置。

XXXX大酒店企业网系统的建设，利用先进的网络技术，建设XXXX大酒店企业网，为公司的应用系统供应平安、稳定、高效的网络平台网络系统应达到以下要求：1.1. 网络设计1.1.1. XXXX大酒店网络设计规划整个网络承载着企业IP监控、VoIP、视讯会议OA软件等各种业务系统，并供应整个园区的Internet接入经过合理规划，针对XXXX大酒店企业网系统的具体需求，总体网络设计将网络采纳层次化和模块化设计XXXX大酒店企业网——网络总体设计拓扑图分别如下，其结构分为核心层和接入层两个层次，整体网络为千兆骨干，百兆到桌面设计核心层与接入层之间采纳多模GE光链路连接，每台接入交换机独立光路上行至核心交换机，不采纳堆叠设计1.2. 设计说明1.2.1. Internet边界路由设计为了保证整个Internet上网平安和集中统一管理，降低Internet接入设备成本和管理成本， XXXX大酒店企业网采纳数据中心统一Internet出口由于该出口还要承载写字楼用户的internet接入，以及公寓楼用户internet接入，所以Internet出口处部署一台高性能路由器MSR5006，保证XXXX大酒店企业网的正常运行。

1.2.2. Internet接入平安设计Internet出口平安通过在核心交换机上部署1块SecBlade高性能防火墙板卡，为整个酒店供应供应高性能、敏捷策略的平安网关保障在核心交换机部署内置防火墙是防火墙最主要的应用模式之一，绝大部分网络都会接入Internet，因此会面临特别大的来自Internet的攻击的风险，须要一种简易有效的平安防护手段，通过在核心交换机位置部署防火墙和IPS板卡，主要目的是实现以下三大功能：来自Internet攻击的防范：随着网络技术不断的发展，Internet上的现成的攻击工具越来越多，而且可以通过Internet广泛传播，由此导致Internet上的攻击行为也越来越多，而且越来越困难，防火墙必需可以有效的阻挡来自Internet的各种攻击行为；Internet服务器平安防护：XXXX大酒店企业网接入Internet后，会利用Internet这个大网络平台进行信息发布和企业宣扬，须要在核心交换机部署平安防护策略，过滤来自Internet对这些资源服务器的从2层～7层的非法访问，因此必需采纳防火墙＋IPS双重平安手段在满足公众访问这些服务器的同时，亦能保证这些服务器的平安；内部用户访问Internet管理：必需对内部用户访问Internet行为进行细致的管理，比如能够支持WEB、邮件、以及BT等应用模式的内容过滤，避开网络资源的滥用，也避开通过Internet引入各种平安风险；基于上述需求，我们建议在Internet边界，实行以下防火墙部署策略：l 设备部署模式：Ø 如上图所示，我们建议在核心交换机与Internet路由器之间配置防火墙，防火墙保证系统的牢靠性，l 平安限制策略：Ø 防火墙设置为默认拒绝工作方式，保证全部的数据包，假如没有明确的规则允许通过，全部拒绝以保证平安；Ø 配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范；Ø 配置防火墙全面平安防范实力，包括ARP欺瞒攻击的防范，供应ARP主动反向查询、TCP报文标记位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不行达报文限制功能、Tracert报文限制功能、带路由记录选项IP报文限制功能等；Ø 由外往内的访问限制规则：Ø 通过防火墙的访问限制策略，拒绝任何来自Internet对内网的访问数据，保证任何Internet数据都不能主动进入内部网，屏蔽全部来自Internet的攻击行为；Ø 由外往DMZ的访问限制规则：Ø 通过防火墙的访问限制策略，限制来自Internet用户只能访问DMZ区服务器的特定端口，比如WWW服务器80端口、Mail服务器的25/110端口等，其他通信端口一律拒绝访问，保证部属在DMZ区的服务器在平安的前提下，有效供应所需的服务；Ø 由内往外的访问限制规则：Ø 通过防火墙的访问限制策略，对内部用户访问Internet进行基于IP地址的限制，初步实现限制内部用户能否访问Internet，能够访问什么样的Inertnet资源；Ø 通过配置防火墙供应的IP/MAC地址绑定功能，以及身份认证功能，供应对内部用户访问Internet的更严格有效的限制实力，加强内部用户访问Internet限制实力；Ø 通过配置防火墙供应的SMTP邮件过滤功能和HTTP内容过滤，实现对用户访问Internet的细粒度的访问限制实力，实现基本的用户访问Internet的行为管理；Ø 由内往DMZ的访问限制规则：Ø 通过防火墙的访问限制策略，限制来自内部用户只能访问DMZ区服务器的特定端口，比如WWW服务器80端口、Mail服务器的25/110端口等，其他通信端口一律拒绝访问，保证部属在DMZ区的服务器在平安的前提下，有效供应所需的服务；Ø 对于服务器管理员，通过防火墙策略设置，进行严格的身份认证等措施后，可以进行比较宽的访问权限的授予，在平安的基础上保证管理员的网络访问实力；Ø 由DMZ往内的访问限制规则：Ø 通过防火墙的访问限制策略，严格限制DMZ区服务器不能访问或者只能访问内部网络的必需的资源，避开DMZ区服务器被作为跳板攻击内部网用户和相关资源；l 其他可选策略：Ø 可以启动防火墙身份认证功能，通过内置数据库或者标准Radius属性认证，实现对用户身份认证后进行资源访问的授权；Ø 依据须要，在两台防火墙上设置流量限制规则，实现对网络流量的有效管理，有效的避开网络带宽的奢侈和滥用，爱护网络带宽；Ø 依据应用和管理的须要，设置有效工作时间段规则，实现基于时间的访问限制，可以组合时间特性，实现更加敏捷的访问限制实力；Ø 在防火墙上进行设置告警策略，利用敏捷多样的告警响应手段（E-mail、日志、SNMP 陷阱等），实现攻击行为的告警，有效监控网络应用；启动防火墙日志功能，利用防火墙的日志记录实力，具体完整的记录日志和统计报表等资料，实现对网络访问行为的有效的记录和统计分析；1.2.3. 网络交换平台设计在XXXX大酒店网络中心内放置1台高端以太网交换机S7506E，每个核心交换机上配置1块24口千兆光口模块，1块16口千兆光口＋8口千兆电口模块；千兆电口用于连接网络中心服务器汇聚交换机和出口路由器，千兆光口用于连接各接入层交换机。

接入层交换机S3100负责接入各种信息点在核心交换机上配置防火墙模块一块和IPS模块一块，加强内网平安1.3. 部署平安插卡优势说明1.3.1. 高牢靠性：降低单点故障1. 在设备内部，基于交换机的无堵塞技术，各种插卡通过背板总线进行数据交换任何一块插卡出现故障，基于H3C专利技术，可以通过Bypass方式使得流量自动绕过故障插卡，保证业务流正常处理和转发，不会出现单点故障2. 插卡式设备，全部的关键部件都可以冗余部署单独的盒式设备，一般最多供应双电源的牢靠性设计而插卡式设备，包括电源、引擎、接口板、业务板等都可以冗余部署，大大提高了牢靠性当全部的关键部件都进行冗余部署的时候，事实上就是两台设备在同时工作，并可以进行负载分担3. 全部的插卡都支持热插拔，大大降低出现故障时更换设备的时间1.3.2. 高性能和高扩展性：削减业务瓶颈1. 高性能：全部的H3C SecBlade业务模块都采纳了业界最领先的多核多线程CPU+ASIC+FPGA的高性能、分布式硬件架构这种分布式的硬件架构保证了全部的业务能在第一时间并行处理对于现在大量的应用层平安攻击，由于须要进行深化的报文分析，只有这种多核多线程的硬件架构才能真正做到实时处理，不会产生大的数据延迟。

2. 高转发：全部的SecBlade业务模块与交换机及其他插卡之间都是通过交换机Crossbar总线进行数据传输，数据带宽高达10Gbps以上相对于盒式设备之间通常采纳的网线连接方式，数据带宽更高、延时更低，而且牢靠性更高，不会出现由于网线故障或连接故障导致的业务中断3. 盒式设备性能一般是固定的，但是插卡式设备的处理实力可以通过板卡的扩展进行数倍的提升即使是单块的业务板，得益于其先进的多核架构，其性能优势也很明显（FW性能可以达到单模块万兆处理实力）4. 接口多：一般盒式设备一般最多供应几个接口，而插卡式设备的接口板可供应无限制的接口，并且可依据要求进行扩展，全部接口的VLAN都可以共享各。