酒店网络覆盖如何搭建

适用范围

本案例主要适用于规模较大（用户数可达5000左右）的酒店场景。

业务需求

用户接入需求

为酒店办公员工提供有线和无线接入方式。
为监控摄像头、IPTV终端提供有线接入方式。
为酒店访客和房客提供无线接入方式。
酒店网络的接入用户可以访问Internet。
酒店网络总部与分支之间通过IPSec VPN互联。针对酒店办公用户，访问分支的数据流需要通过IPSec VPN加密。
区分不同类型的用户，访问Internet时进行带宽限制，内网访问流量不做带宽限制，酒店员工、住客和访客分别限制带宽为4Mbps、2Mbps、1Mbps，对于视频和P2P流量每用户带宽限制为1Mbps。
针对不同类型的用户，提供不同的网络访问权限，如表1-1所示。

表1-1 用户网络权限控制表

用户组

办公服务器

iptv服务器

Internet

employee

Permit

Deny

Permit

guset

Deny

Permit

visitor

Deny

Permit

iptv

Deny

Permit

Deny

在所有允许访问的策略中配置精细规则，开启反病毒和入侵检测。

接入认证需求

简化认证，实现“一次认证，多次接入”服务。

无线漫游需求

实现无缝漫游，业务不中断，用户无需重新认证。

安全性需求

禁止外网用户访问内网；酒店内部用户能够访问Internet，但不能在Internet上玩游戏和观看网络视频。
保护酒店内部用户和Web服务器避免受到来自Internet的攻击。
保护酒店内部用户和Web服务器避免受到病毒威胁。
对用户上网行为进行审计，记录用户上网日志，供网络管理员后续进行审查和分析。
不同类型无线用户之间不可互访，实现无线用户隔离。
能否抵御DHCP的各种攻击。
防止非法设备、非法攻击入侵网络，配合认证系统，满足安全合规要求。

可靠性需求

主要设备需要提供备份功能，设备出现故障时，保证网络业务不中断。
主要链路提供链路备份功能，链路出现故障时，保证网络业务不中断。

运维管理需求

要求对用户的上网行为进行统一管理、简化运维。

组网方案

图1-1 大型酒店综合案例组网图

网络设计分析

接入设计

出口防火墙USG6650承担外网出口业务，隔离内外网区域。
为了使内网用户访问外网，在USG6650上配置NAT，实现私网地址和公网地址之间的转换。
酒店总部和分支之间通过在出口防火墙配置IPSec VPN实现互联。
在核心交换机上配置无线智能漫游功能，实现无缝漫游。

用户接入认证设计

针对酒店办公有线用户，在S7706上配置有线接入认证方式为MAC+Portal混合认证。
针对酒店无线用户，在S7706上部署无线接入认证为MAC+Portal混合认证。
在Agile Controller-Campus上配置MAC优先认证，实现“一次认证，多次接入”服务。

安全性设计

配置安全策略，对流量进行过滤，禁止外网用户访问内网；办公室员工能够访问Internet，但不能在Internet上玩游戏（Game）和观看网络视频。
在防火墙上开启入侵防御功能，部署DDOS攻击防范，保护酒店内部用户和Web服务器避免受到来自Internet的攻击。
在防火墙配置反病毒功能，保护酒店内部用户和Web服务器避免受到病毒威胁。
在防火墙上部署上网行为审计，对用户的上网行为记录日志，供管理员后续进行审查和分析。
在S7706上分别配置多个SSID，将各种业务进行隔离，不同SSID绑定不同的业务VLAN，实现无线用户隔离。
在接入交换机和汇聚交换机上配置DHCP Snooping，以抵御网络中针对DHCP的各种攻击。

可靠性设计

USG6650部署主备方式的双机热备，防火墙连接核心交换机和Internet分别采用VRRP部署，保证业务不中断。
核心交换机S7706部署集群，保证设备级可靠性。配置多主检测，可以检测并处理集群分裂时网络中出现的多主冲突。
S7706与USG6650、S7706与S5700-28P-PWR-LI-AC、S7706与S5720-56C-PWR-EI-AC之间分别采用Eth-Trunk互联，提高链路可靠性。

运维管理设计

配置基于用户组的带宽策略，为不同用户组提供不同带宽。
通过Agile Controller-Campus，实现策略的统一控制和用户行为的统一管理。防火墙通过获取Agile Controller-Campus的用户登录消息，针对不同用户组实现不同的策略控制。
通过eSight实现设备的统一管理。

1000人的办公网怎么选汇聚交换机，交换机主要看哪些参数

1000多人组成的办公网，属于中型局域网。使用傻瓜式的非网管交换机组网，非常容易造成广播风暴，堵塞主干链路，引起网络故障。相对于交换机的参数，我觉的更重要的网络规划。下面分别对交换机参数和网络规划说一说。

交换机的参数

交换机的核心参数有两个：

背板带宽

含义：交换机端口的处理器与数据总线之间的最大数据吞吐量，反映了交换机的数据交换能力，单位是Gbps，每秒能处理多少数据。背板带宽越高，数据处理能力越强，成本越高。
计算公式：（千兆端口数×1000+百兆端口数×100）×2
背板带宽的计算值《标称的背板带宽，才可以实现全双工无阻塞交换，实现交换机最大的性能。

包转发率

含义：用来衡量交换机的交换能力，即交换机能同时转发的数据包的数量。单位是Mpps，每秒转发多少个数据包。
计算公式：千兆端口数×1.488+百兆端口数×0.1488；
包转发率的计算值《标称的包转发率，交换机才可以实现线性无阻塞交换。

网络规划

建议采用三层结构：核心层、汇聚层、接入层；
核心层交换机，主要完成数据的高速转发，性能参数可以参考华为的S9300系列的交换机，核心层可以使用两台高性能的交换机，并通过链路聚合的方式连接，增加可靠性，防止单点故障；
汇聚层交换机，性能参数可以参考华为的S5720系列的交换机，用于连接接入层的交换机，同时为上层的核心交换机服务。可以将访问控制等策略部署在汇聚层交换机；
接入层交换，主要用来连接各个设备自己以及无线AP,用来实现用户的接入。性能参考华为的S2700系列的交换机。

关于VLAN的划分