需求分析

嘉润大厦酒店以打造越秀区解放北商圈5星级酒店公寓为目标，以服务高端市场为己任。由广州白天鹅酒店管理集团的派驻的高级管理团队负责营运，其网络系统建设目标为：

1. 构建安全易管理的酒店网络连接平台。分布于5楼到14楼的189间客房必须安全、稳定地接入网络。
2. 为工作人员提供办公网基础设施，办公网络要求高速、安全、可靠和可扩展，能为工作人员提供酒店经营管理、E-MAIL、上网、信息传递等网络应用。

基于上述建设目标，具体需求如下：

• 整个网络系统分成4个区域，即网络出口区域、服务器区、客房区、办公区。
• 网络出口区域要求出口路由器提供高性能转发，满足电信10M-20M光纤上网转发需要。同时能有效防止外网攻击和内网ARP病毒、DDOS攻击等，避免网络阻塞或瘫痪，保证网络安全稳定运行。此外支持VPN及端口映射等功能，以及LAN口多IP地址支持。
• 服务器区负责财务服务器、酒店管理系统服务器安全高速接入核心交换机。
• 客房区要满足10/100M高速接入网络，满足上网冲浪。流量控制到每台上网电脑，有效遏制网内P2P及BT的泛滥，有效防止网络资源的滥用、乱用，从而保证客人上网体验，提升酒店形象。
• 办公区，作为酒店网络非常重要的区域，要求保证每一个接入点的安全接入，防止电脑中毒或木马软件攻击系统，发送大量的垃圾数据，确保系统不因攻击或流量异常而瘫痪。
• 酒店WEB服务器必须能防止网页被篡改、防挂马、防Web服务器被攻击，确保系统安全稳定运行。

全网拓扑设计

根据嘉润大厦酒店目前的接入点数量及应用系统的分布情况，按照安全区块划分的设计思想，各个区域逻辑隔离的技术手段，综合高性价比考虑，特设计如下方案。
嘉润大厦酒店网络拓扑图：

 

方案说明

设计总体采用“千兆主干，百兆到桌面”的设计思路。保证整个系统的高性能、高安全性、高可靠性和高稳定性。

1. 外网出口路由器采用RG-EG1000S，满足出口区域高速转发。内网出口路由器采用NBR2000电信级宽带路由器。
2. 外网核心交换机采用RG-S5750S-24GT/12SFP多层安全智能网管交换机，RG-S5750S-24GT/12SFP具有240Gbps的背板带宽，66Mpps的包转率，充分满足内网服务器和办公区电脑高速数据转发的需要。内网核心交换机采用RG-S2924G安全智能网管交换机，RG-S2924G具有48Gbps的背板带宽，36Mpps的包转率，充分满足内网服务器和办公区电脑高速数据转发的需要。
3. 办公区的电脑直接接入接入交换机RG-S20系列，在交换机上实现IP+MAC+端口智能绑定，解决办公电脑一旦中毒或木马发作后出现的全网掉线，保障办公网的电脑安全。
4. 客人上网专区采用RG-S20安全智能网管交换机，在交换机上实现IP+MAC+端口智能绑定，解决客房客人电脑一旦中毒或木马发作后出现的全网掉线，保障客房区网络的安全。
5. 内网和外网的出口设备全部连接在一台普通交换机上，做分线设备使用，即电信的光电转转器接到其中一个端口上，然后再从该交换机引出2条线，分别接EG1000S和NBR2000路由器。
6. IP地址规划方面：

办公区系统:192.168.2.2-192.168.2.254，子网掩码255.255.255.0，网关:192.168.2.1。
客房区采用自动分配IP地址：192.168.3.2-192.168.3.254, 子网掩码255.255.255.0，网关:192.168.3.1。
小结：上述设计方案中办公网和客房网独立使用出口，对内网和外网进行物理隔离，保证内网的安全性。同时利用RG-S20系列的地址绑定功能，确保办公区和客房区的电脑主机的安全，非常经济实用。
 

网络安全解决解决方案

1．安全设计思路
网络安全的需求是全方位的、整体的，相应的网络安全体系也是分层次的，在不同层次反映了不同的安全问题。
用户在访问网络的过程中，首先要经过的就是交换机，如果我们能在用户试图进入网络的时候，也就是在接入层交换机上部署网络安全无疑是达到更好的效果。
2.安全规划设计
（1）MAC 地址的盗用
MAC地址的盗用是指酒店上网用户通过各种软件（实际上是通过修改注册表）将自己的MAC地址进行修改，改为一个未知的MAC地址或是改为别人的MAC地址。MAC地址的盗用可对整个网络带来巨大的隐患：

1. 接入交换机MAC地址表溢出。

由于二层交换机内部有一张维护的MAC地址表，当非法用户通过各种手段将自己报文中的源MAC地址更改时，就会导致交换机内的MAC地址表项越来越多，最终使得MAC地址表塞满，当新的用户通过交换机上网的时候，由于交换机内部的MAC地址表已经塞满，而且新的非法报文的源MAC地址将会不断的刷新交换机中的MAC地址表。这样的攻击将导致合法用户无法接入，（新增合理用户的MAC地址表项将会不断被非法用户的MAC地址覆盖），严重时可以直接导致接入交换机瘫痪。

2. 隐藏自身MAC地址或盗取其他用户的MAC地址。

当非法用户更改的MAC地址是预先知道的某个合法用户的MAC地址时，合法用户就无法通过二层交换机上网，因为在交换机的MAC地址表是不允许存在两个相同的MAC在同一张MAC地址表中存在。如果我们对该非法用户依据其MAC地址进行了跟踪记录，那么这条记录追查到的结果一定是错误的。
MAC地址盗用给用户所带来的影响远远不止这些，以上只是列举了一下校园网当中常见的几种MAC地址盗用问题。
（2）IP地址盗用
IP地址盗用带来的问题与MAC地址的盗用来说有过之而无不及，IP地址对于用户来说更加直观，用户更改IP地址比更改MAC地址更加的方便，这使得IP地址盗用比MAC地址盗用更加普遍。常见的IP地址盗用存在以下几种常见情况：

3. 私自更改自己的IP地址。

对于用户来说有些用户出于好奇或是其他的各种想法，手工更改自己的IP地址，这使得原本分到该IP地址的合法用户无法正常上网，同时也将导致整个网络的IP地址管理混乱。

4. 通过各种软件进行基于IP的攻击。

Dos是最常见的一种基于IP的攻击方式，其原理是非法用户向被攻击的主机发出大量的攻击包，同时将报文中的源IP地址进行修改以掩藏自己真实的IP，这样就可以逃避网管的追查，“堂而皇之”的攻击对方了。
（3）端口的不固定性
虽然大家为了提高整个网络的正常运作出了各种各样的努力，但是网络当中终究还是会出现各种各样的安全问题，这就需要对已发生的问题进行完整的记录以及彻底的追查，“端口的固定”就成为了网络管理员们关心的问题。
网络的捣乱分子往往在不同的位置上网，同时在网上留下大量的“劣迹”，由于非法用户在非固定的端口进行的动作，因此，对于网络的管理员来说，要找出他们就如同“大海捞针”。
（4）防止DOS攻击
由于在本网络设计中我们建议采用自动绑定技术的802.1X认证方式来实现网络的管理方式，自动绑定技术当用户认证通过之后可以实现相关元素的交换机侧绑定，这样对于DOS攻击可以直接在绑定的交换机上进行屏蔽，进而实现网络的安全防护。
(5)防止广播风暴
RG-S20系列交换机支持防范广播风暴、组播风暴、未知单播风暴特性，可以有效果的防止风暴对网络的攻击。