总部和分支机构通过在出口防火墙中配置IPSecVPN实现互联。在防火墙中配置防病毒功能,保护酒店用户和网络服务器免受病毒威胁。用户接入认证设计针对酒店办公有线用户,在S7706上配置的有线接入认证模式为MAC Portal混合认证。
酒店现在使用的是电信100M专线,想换成5条300M宽带,能行吗?
综合后期维护和设备升级成本,笔者并不建议把电信100M专线换成5条300M宽带。 从表面来看,电信100M专线下行速率是100,上行速率也是100M,换成5条300M宽带速率更快。而且,现在300M宽带的上行是30M,5条叠加是150M上行了。可我们不能忽略一个问题,5条300M宽带需要增加一台专业的路由器,以及其他的设备。
由于要把5条300M宽带叠加在一起使用,至少需要一台支持5-6个WAN口接入,而且支持多拨号的设备。这种设备的价格大概在5000元左右。即便是软路由,成本也要在4000多块钱。 除了增加路由设备外,还需要增加一台千兆交换机,这样算下来成本并不低。而且,5条300M宽带叠加使用,下行带宽能够达到1500M,更快了。
酒店网络覆盖如何搭建?
适用范围本案例主要适用于规模较大用户数可达5000左右的酒店场景。业务需求用户接入需求为酒店办公员工提供有线和无线接入方式。为监控摄像头IPTV终端提供有线接入方式。为酒店访客和房客提供无线接入方式。酒店网络的接入用户可以访问Internet。酒店网络总部与分支之间通过IPSec VPN互联。针对酒店办公用户,访问分支的数据流需要通过IPSec VPN加密。
区分不同类型的用户,访问Internet时进行带宽限制,内网访问流量不做带宽限制,酒店员工住客和访客分别限制带宽为4Mbps2Mbps1Mbps,对于视频和P2P流量每用户带宽限制为1Mbps。针对不同类型的用户,提供不同的网络访问权限,如表1-1所示。表1-1 用户网络权限控制表用户组办公服务器iptv服务器InternetemployeePermitDenyPermitgusetDenyDenyPermitvisitorDenyDenyPermitiptvDenyPermitDeny在所有允许访问的策略中配置精细规则,开启反病毒和入侵检测。
接入认证需求简化认证,实现一次认证,多次接入服务。无线漫游需求实现无缝漫游,业务不中断,用户无需重新认证。安全性需求禁止外网用户访问内网酒店内部用户能够访问Internet,但不能在Internet上玩游戏和观看网络视频。保护酒店内部用户和Web服务器避免受到来自Internet的攻击。保护酒店内部用户和Web服务器避免受到病毒威胁。
对用户上网行为进行审计,记录用户上网日志,供网络管理员后续进行审查和分析。不同类型无线用户之间不可互访,实现无线用户隔离。能否抵御DHCP的各种攻击。防止非法设备非法攻击入侵网络,配合认证系统,满足安全合规要求。可靠性需求主要设备需要提供备份功能,设备出现故障时,保证网络业务不中断。主要链路提供链路备份功能,链路出现故障时,保证网络业务不中断。
运维管理需求要求对用户的上网行为进行统一管理简化运维。组网方案图1-1 大型酒店综合案例组网图网络设计分析接入设计出口防火墙USG6650承担外网出口业务,隔离内外网区域。为了使内网用户访问外网,在USG6650上配置NAT,实现私网地址和公网地址之间的转换。酒店总部和分支之间通过在出口防火墙配置IPSec VPN实现互联。
在核心交换机上配置无线智能漫游功能,实现无缝漫游。用户接入认证设计针对酒店办公有线用户,在S7706上配置的有线接入认证模式为MAC Portal混合认证。对于酒店无线用户,在S7706上部署无线接入认证作为MAC门户混合认证。在Agile Controller-Campus上配置MAC优先认证,实现一次认证,多次访问服务。
