酒店计算机网络系统

酒店计算机网络系统

1系统概述

酒店信息化是以数字化信息和网络为基础，在计算机和网络技术上建立起来的对酒店服务运营系统（收银、点菜等）进行全面的计算机数字化，并实现对这些系统资源进行科学规范、有效整合，通过有效地用户、资源管理和权限控制，来保证酒店整个内部运营系统的安全，提高酒店管理效率，为客户提供更优化的服务。同时通过专门的酒店客用计算机网络系统为客户提供客房接入、无线接入来满足客户在酒店区域范围内随时、随地接入计算机网络系统，访问Internet资源。

智慧酒店计算机网络工程分为3个部分：办公网络部分、客用网络部分和弱电网部分。办公网络部分主要用来为酒店后勤管理办公等方面提供服务；客用网络部分主要用来为酒店客户提供上网服务功能；弱电网络部分主要用于酒店房间控制网络，例如房间状态、照明、制冷情况等。

计算机网络工程建设网络设备主要包括网络交换系统、无线网络系统、网络安全系统。

网络交换系统包括：

➢ 核心交换机系统

➢ 接入交换机系统

无线网络系统包括：

➢ 无线网络控制器

➢ 无线AP

网络安全系统包括：

— 1 —

➢ 路由器

➢ 防火墙

2系统需求分析

酒店内计算机网络系统作为整个酒店信息化建设的支撑平台，有着极其重要的作用，其安全性、稳定性和可用性直接关系到整个酒店内与计算机网络有关的各项业务的正常运行。从数字化酒店的要求来看，信息化支撑平台要以高标准和高要求来实现。网络支撑平台需求主要包括两个大的方面：网络系统、网络安全系统网络系统需求。

随着信息化技术的飞速发展，对网络基础架构，运行环境等提出了更高的要求，高级酒店业希望构建一个全新的智能网络，部署具有高度可用性、持续性和安全的综合性网络的解决方案。智慧酒店要求此次网络建设必须确保网络的高稳定性和高安全性，网络的高稳定性和高安全性是本次网络建设的目标。要求网络设备（交换机、防火墙等）本身要非常稳定、安全。交换机要内置强大的安全功能，不能因为病毒蠕虫的攻击而瘫痪死机。网络设备应具有良好的可扩展性，改造后的网络高速公路要能适应今后至少10年网络的发展，满足对当前及未来网络技术的需求（包括万兆的支持，Ipv6的支持，无线网络的支持，IP电话的支持等等），又能保护宝贵的投资。对于所需要的网络设备，要求必须是久经考验的网络设备，其技术参数一定要是真实的，不能做虚假的夸大。

3系统设计原则

根据上述具体要求，并考虑以下网络设计的原则（下文详细描述）来设计智慧酒店工程弱电系统计算机网络部分：

➢ 网络实用性

建设计算机网络系统是一项工程，而不是一项纯理论研究，因此应该注重经济实用。以注重实用和成效为原则，根据网络建设项目的实际需要；在技术上应具有世界先进水平，选— 2 —

用设备应技术成熟和实用效果好。整个网络应高速、可靠，并能提供不同类型的网络接口和互联手段；主要设备的生产厂家经营状况和用户信誉良好，产品质量稳定可靠，软硬件产品系列化和成龙配套，新产品层出不穷并能保持一致性发展。本方案建立的网络充分满足系统应用功能和性能需求采用先进的网络产品和技术，这样才能够为用户提供高性能、高速度、高容量、高可靠性、具有广泛连接能力的网络平台。

➢ 网络先进性

计算机网络系统的结构比较复杂，只有具备足够先进性的总体设计，才能保证分步实施过程中仍能保持技术领先。采用符合网络发展主流的先进技术和设备，既满足现实需求，又符合网络技术的发展方向。

以明确的用户需求为导向，确保整个网络系统的功能合理、运行稳定、管理及应用简便。本方案的设计宗旨是“立足今日，着眼未来”，在保证技术成熟的前提下，充分先进技术，满足现有需求，考虑潜在扩充。计算机及网络技术发展十分迅速，在设计中应顺应主流技术发展，采用最先进的技术和设备，确保网络的高性能，同时也要采用成熟的技术，保证网络设备的稳定。

➢ 网络的可靠性

主要从网络拓扑结构和网络设备的可靠性来考虑。对于网络中心交换机，由于它在整个网络环境中最为关键，因此，需要考虑其冗余措施，包括电源、风扇、等；另外，对于各主要节点的交换机与中心交换机的连接，也应做到网络对于主干连接线路的备份，不会因为单一连接光纤故障而导致网络瘫痪。

➢ 网络的安全性

一是防止外部非法用户访问网络，二是防止内部合法用户的越权访问。主要措施是对路由器进行合理的选择和配置。首先把整个网络划分成不同的子网，对每个子网给予不同的访— 3 —

问权限。其次可以配置防火墙软件，对业务数据进行加密等等。

➢ 网络的可扩展性

网络的方案中需充分考虑系统的扩展性，一是网络的规模可以扩大，网络设备的端口扩展和模块扩展都留有余地，所选的网络设备应带有可扩展的模块或者是可以堆叠的。二是网络的拓扑可以灵活改变。

➢ 网络的开放性和标准化

对计算机网络系统面言，建立一个可靠、高效、灵活的计算机网络，不仅着重考虑数据信息能够讯速、准确、安全、可靠地交换，还要考虑同层次网络互连，远程分部的互联，以及与相关信息系统网际互联，以充分共享资源。这些需求体现在系统设计上就是网络的开放性与标准化，既要求易于内部连接和外部通讯，又要求网络设备要具有与其它厂家设备互操作的能力。

➢ 网络的易管理性

随着网络规模的不断扩大，网络的管理越来越重要，管理的事务也越来越复杂。可以通过图形化的配置对网络进行虚网划分，设置各子网的访问权限，简化网络的管理。用户应能在中心机房通过网管工作站上友好的图形界面，实施网络的动态监测、配置，数据流量的分析等。

➢ 网络的性价比

为了充分节省用户投资，在满足用户要求的网络性能基础上，尽可能考虑价格因素。主要有两个方面的内容，一是网络设备的性能价格，二是网络所需的通信线路的性能价格。

➢ 网络的安全性

为保障酒店网络与应用系统的安全，主要从以下几方面保证：

硬件安全：采用具有冗余引擎、冗余连接、冗余路径、冗余电源、风扇、热插拔技术保— 4 —

障网络支撑系统的不间断运行。

接入安全：采用专用的身份认证软件来对酒店管理网络的接入进行严格的控制，做到边缘控制，防止非授权用户进入酒店管理网络系统进行非法行为。来为酒店管理网络系统保驾护航。

4系统设计

1）网络系统设计

⑴支撑平台设计

（一）高可用性和高永续性的层次化架构

我公司提供的解决方案首先从设计和架构上着重于创建一种高可用和高永续性的设计。方案采用了层次化的结构设计，核心层+汇聚/接入层的架构，根据距离和设备的数目来确定使用三层还是二层架构，二层架构因为所需设备更少，可以降低整个网络的复杂度和设备成本，但有可能会增加综合布线的成本和复杂度; 3层架构（核心层、汇聚层和接入层），核心层和汇聚层间运行路由协议，以实现网络的高速收敛和快速冗余。本项目根据实际情况，采用二层结构。

（二）端到端的集成安全防御体系

安全已成为很多网络管理者关心的首要问题。企业LAN管理者都希望自己的路由器和交换机具有内在的安全功能，从而为设备本身乃至与之相连的用户提供保护。解决方案中的基础设施可以无缝地集成到网络的总体安全之中，使安全运行管理者能高枕无忧，同时又能使网络运行管理者预防从与其网络相连的终端站故意或无意发出的威胁和攻击。安全也是网络可用性和永续性的保障。一个企业可以有冗余链路、交换或路由机制，但仍可能遭遇因拒绝服务攻击而导致的网络宕机。没有安全基础设施可能产生的另一个情况就是信息盗窃。安全性已经不再是部署防火墙和入侵检测和杀毒软件等传统概念，而是对信息获取、传输、交— 5 —

易、处理和存储的端到端的全方位保障。安全不能作为 一个单独的问题看待，必须把它集成到整个端到端的网络基础设施的设计中。

（三）对延展性和业务灵活性的支持

满足未来的发展需求，能适应今后IP电话和无线联网的网络需求，为智慧酒店提供一个高可用性、高安全性和高服务质量的网络，提供一个一致的端到端单厂家解决方案，今后可以随时部署IP电话、视频、数据中心等等的解决方案。

智慧酒店此次主要分为三个物理隔离的网络：客用网络、酒店办公网络和弱电网络。同时在客用网络项目中又分为：有线网络和无线网络。

⑵网络设计

在智慧酒店的客用网络采用两层的网络架构：核心层和接入层，主要是基于安全和可扩充二个方面来考虑。核心层运行基于2层的SPAN协议，同时实现负载均衡。核心层部署万兆三层多业务路由交换机，接入层交换机通过1根千兆多模光纤上联到核心层交换机，保证数据的传输速率。 在智慧酒店的酒店办公管理网络，采用两层架构的方式。核心交换机建议采用两台来实现设备级的热备冗余，同时电源配置2个来实现部件的热备冗余，接入层交换机采用24/48口千兆交换机，通过双多模光纤上联至核心交换机来实现链路级的冗余。在客用网络中，有AP接入的交换机采用POE模块来为AP提供以太网供电，简化AP的部署。在智慧酒店的弱电网络，采用两层架构的方式，其中核心层交换机与客用网核心交换机共用。

根据本项目的具体情况，核心层交换机均放置在酒店IT机房内，接入层交换机放置在每层楼的弱电间内。

系统拓扑图如下所示：

— 6 —

⑶网络安全设计

随着信息化的发展,网络安全问题也是不断出现.目前安全方面存在主要缺陷包括:

➢ 目前对用户采用的是简单的基于用户名,口令认证方式,容易发生盗用帐号的问题.

➢ 缺乏系统实现对设备日志的管理记录和监控。

➢ 对OA系统中存在的帐号要有管理、审核或审批措施，没有多用户共享帐号的情况，帐号口令密码符合安全要求。

➢ 对文件信息的传递有监控和控制措施，或上层建筑管理制度。

➢ 未对系统、核心网络设备采用监控软件进行实时监控，目前主要靠系统维护人员人工监控，缺乏对系统异常情况的及时发现和处理。

➢ 网络中流量P2P等流量较大,影响了网络正常业务的运行。

➢ 组网方式随意性强，缺乏统一规划：上一套系统建一个网络，仅考虑单一业务子网的网络通讯需要。

➢ 网络区域之间边界不清晰，互连互通没有统一控制规范。

➢ 安全防护手段部署原则不明确，已有设备也没有很好的发挥作用。

➢ 网络资源比较分散：关键数据分散管理，部分通讯资源无法共享。

— 7 —

➢ 通过架设完善的安全体系，能保证酒店运行系统的正常运行，建立一套完善的系统安全管理框架和制度，将智慧酒店的信息安全提升到一个新的层次。

2）网络管理

简单的同种局域网已被取而代之，今天的网络管理员们正面临着一项艰巨的任务：要管理由各种LAN、Intranet和Extranet构成的混合网络。由于Intranet上要运行电子邮件、可视会议和多媒体应用程序，带宽被吸入了黑洞。网络管理员们因此必须努力跟上带宽激增的步伐，实现高效的网络管理。

现在，管理的工作范围更加广泛，它要求直观可视，并能够尽可能预测性地采取一些与基础设施的任何部分相关的行动。 而网络管理已经变成了企业管理工作的一部分。可以说，企业管理系统其实就是一组工具，其中大多数都是独立的，只是都集成在一个框架周围，该框架将这些工具集成在一起，并用它们来提供一幅显示IT基础设施的视图。

在使用企业管理工具的环境中，技术员会提出考虑用户机器的软件库存和硬件配置。有了企业管理工具，这一软件安装过程就只需几分钟，而不是几个小时；解决问题也只需要一个人而不是三个人。

⑴网络管理基本技术

①.网管系统一般结构

为了解决远程管理问题，厂商们已经在一些设备中设立了网络管理的功能，这样你就可以远程地询问它们的状态，同样能够让它们在有一种特定类型的事件发生时能够向你发出警告。这些设备通常被称为"智能"设备。

网络管理通常被分为四类：

被管理节点(或设备) 即你想要监视的设备

— 8 —

代理 用来跟踪被管理设备状态的特殊软件或固件 (firmware)

与在不同的被管理节点中的代理 通信，并且显示这些代理状态的网络管理工作站

中心设备。

网络管理协议 被网络管理工作站和代理用来交换信息的协议。

网络管理系统基本上由四部分组成：多个被管理代理(Agent)、至少一个网络管理者或称管理工作站(Manager)、一种通用的网络管理协议(CMIP或SNMP)和一个或多个管理信息库（MIB）。网络设备、计算机主机、应用等被称为被管设备，在这些设备上驻留有代理，代理实际上是一个小巧的应用程序。管理者也是一个程序，负责与用户交互，并通过代理对设备进行管理。管理者与代理通过网络管理协议通讯。MIB相当于一个数据库，提供有关被管网络设备的信息。

②.网络管理协议SNMP

A、SNMP的发展

简单网络管理协议（SNMP）是目前TCP/IP网络中应用最为广泛的网络管理协议。1990年5月，RFC 1157定义了SNMP（simple network management protocol）的第一个版本SNMPv1。RFC 1157和另一个关于管理信息的文件RFC 1155一起，提供了一种监控和管理计算机网络的系统方法。因此，SNMP得到了广泛应用，并成为网络管理的事实上的标准。SNMP在90年代初得到了迅猛发展，同时也暴露出了明显的不足，如，难以实现大量的数据传输，缺少身份验证（Authentication）和加密（Privacy）机制。因此，1993年发布了SNMPv2，具有以下特点：

* 支持分布式网络管理

* 扩展了数据类型

— 9 —

* 可以实现大量数据的同时传输，提高了效率和性能

* 丰富了故障处理能力

* 增加了集合处理功能

* 加强了数据定义语言

但是，SNMPv2并没有完全实现预期的目标，尤其是安全性能没有得到提高，如：身份验证（如用户初始接入时的身份验证、信息完整性的分析、重复操作的预防）、加密、授权和访问控制、适当的远程安全配置和管理能力等都没有实现。1996年发布的SNMPv2c是 SNMPv2的修改版本，功能增强了，但是安全性能仍没有得到改善，继续使用SNMPv1的基于明文密钥的身份验证方式。IETF SNMPv3工作组于1998年元月提出了互联网建议RFC 2271-2275，正式形成SNMPv3。这一系列文件定义了包含SNMPv1、SNMPv2所有功能在内的体系框架和包含验证服务和加密服务在内的全新的安全机制，同时还规定了一套专门的网络安全和访问控制规则。可以说，SNMPv3是在SNMPv2基础之上增加了安全和管理机制。

的基本概念

SNMP是一系列协议组和规范（见下表），它们提供了一种从网络上的设备中收集网络管理信息的方法。SNMP也为设备向网络管理工作站报告问题和错误提供了一种方法。

名字

MIB

SMI

SNMP

说明

管理信息库

管理信息的结构和标识

简单网络管理协议

从被管理设备中收集数据有两种方法：一种是只轮询（polling-only）的方法，另一种— 10 —

是基于中断（interrupt-based）的方法。以上两种方法的结合：面向自陷的轮询方法（trap-directed polling）可能是执行网络管理最为有效的方法了。一般来说，网络管理工作站轮询在被管理设备中的代理来收集数据，并且在控制台上用数字或图形的表示方式来显示这些数据。这就允许网络管理员分析和管理设备以及网络通信量了。被管理设备中的代理可以在任何时候向网络管理工作站报告错误情况，例如预制定阈值越界程度等等。代理并不需要等到管理工作站为获得这些错误情况而轮询他的时候才会报告。这些错误情况就是众所周知的SNMP自陷（trap）。在这种结合的方法中，当一个设备产生了一个自陷时，你可以使用网络管理工作站来查询该设备（假设它仍然是可到达的），以获得更多的信息。

网络管理的SNMP模型有4个组成部分：

1)管理节点（Management Node）

2)管理站（Management Station）

3)管理信息库（Management Information Base）

4)管理协议（Management Protocol）

管理节点可以是主机、路由器、网桥、打印机以及任何可以与外界交流状态信息的硬件设备。为了便于SNMP直接管理，节点必须能运行SNMP进程，即SNMP代理（SNMP

Agent）。每个代理都要维护一个本地数据库，存放它的状态、历史并影响它的运行。所有的计算机以及越来越多的网桥、路由器和外部设备都能够满足这个要求。

网络管理由管理站完成，它实际上是一台运行特殊管理软件的计算机。管理站运行一个或多个管理进程，它（或它们）通过SNMP协议在网络上与代理通信，发送命令以及接收应答。该协议允许管理进程查询代理的本地对象的状态，必要时对其进行修改。许多管理站都具有图形用户界面，允许网络管理者检查网络状态并在需要时采取行动。管理进程和代理之间的信息交换以SNMP信息的形式进行，SNMP信息的负载可以是SNMPv1或SNMPv2— 11 —

的协议数据单元（PDU）。PDU表示某一类管理操作（例如取得和设置管理对象）和与该操作有关的变量名称。SNMPv3规定了可以使用信息头的用户安全模块（USM），与安全有关的处理在信息一级完成。

大多数实际网络都采用了多个制造商的设备，为了使管理站能够与所有这些不同设备进行通信，由这些设备所保持的信息必须严格定义。如果一个路由器根本不记录其分组丢失率，那么管理站向它询问时就得不到任何信息。所以SNMP极为详细地规定了每种代理应该维护的确切信息以及提供信息的确切格式。SNMP模型的最大部分就是定义谁应该记录什么信息以及该信息如何进行通信。总之，每个设备都具有一个或多个变量来描述其状态。在SNMP文字中，这些变量叫做对象（Object）。网络的所有对象都存放在一个叫做管理信息库（MIB）的数据结构中。

在SNMP中，加密和验证起着特别重要的作用。管理站具有了解它所控制的众多节点的能力以及关闭它们的能力。因此，对于代理来说很重要的一点是，必须弄清楚那些宣称来自管理站的查询是否真的来自管理站。在SNMPv1中，管理站通过在每条信息中设置一个明文密钥来证明自身。在SNMPv2中，使用了现代加密技术，但大大增加了协议的复杂性，最后还是将它抛弃了。SNMPv3则通过简明的方式实现了加密和验证功能。

③.RMON与RMON II

表1. RMON与RMON II的网络管理着眼点

网络管理问题

物理故障与利用

局域网网段

网络互连

相关osi层

介质访问控制层(mac)

数据链路层

网络层

管理标准

RMON

RMON

RMON II

— 12 —

表1. RMON与RMON II的网络管理着眼点

网络管理问题

应用程序的使用

相关osi层

应用层

管理标准

RMON II

使用RMON技术，能对一个网段进行有效的监控，获取流量数据并分析，这个远程监控设备可以是一个专门的硬件，也可以放置在工作站、服务器或路由器上。RMON为分布式管理提供了可能性。 新的RMON II标准能将网管员对网络的监控层次提高到网络协议栈的应用层。因而，除了能监控网络通信与流量外，RMONII还提供有关各应用所使用的网络带宽的信息，这对客户机/服务器环境中的故障排除有重要意义。

④.确定错误根源

在通常的故障处理中，网络中某处如果发生了故障，通常会出现大量的警报，而一些重要的故障和性能报警，不易引起网管人员的充分重视。这可以通过设置不同的报警优先级来解决。但更重要的是，应该有良好的事件关联机制，可以删除不必要的和无意义的信息，标识出故障的起因，只将影响关键业务的信息提交给IT管理人员，从而提高网管人员的工作效率，还能大幅度降低网络的拥塞。

⑵网络管理软件分类

网络管理是分层实现的，ITU-T(国际电信联盟电信标准化部)将网管业务分为四个层次，即网元管理(Element Management)、网络管理(Network Management)、业务管理(Service Management)和事务管理(Business Management)。其中，业务层的一些管理功能体现在网络层管理系统中，而事务层的管理因为与实际应用结合得较紧密，需根据具体情况开发。目前，能清晰定义的就是网元管理系统和网络管理系统。

网元管理系统（EMS）

— 13 —

网元管理系统一般均由设备原厂商提供，实现对网络设备的故障管理、配置管理和性能管理，其中会使用到厂家的专有MIB库。

网络管理系统（NMS）

网络管理系统则需要掌握全网的情况，当前较著名的有 OpenView和IBM Tivoli,如今这些软件都不仅局限于网管的领域，而是向系统管理，应用管理、业务管理的领域延伸，力求全面地覆盖企业IT业务的各个方面。另外，这些网管产品还提供了丰富的开发接口。

⑶网管软件

网管软件是一个全面的基于Windows的网络管理解决方案，为要求最苛刻的企业网络提供基本和高级的管理特性。具有网络控制和高级设备控制功能，满足您的更多需求－更强的统计能力，更高的灵活性，以及更丰厚的IT投资回报。

特性和优点：

深入的流量分析: 一个集成的低开销流量监测界面显示有关网络上流量的详细信息。用户可以使用扩展 RMON 和 sFlow 等增强的流量分析协议，监测总体的流量水平，流量最高的网段，甚至某个网段内流量最高的用户。

组和策略管理：用户可以创建设备组，设定管理这些设备的组策略。预先确定的配置可以自动应用于刚刚添加到网络中的新设备上。

更轻松的配置管理：跟踪并记录配置的变化，存档后的配置可以应用于一个或多个设备。配置可以在不同的时间段或两个设备之间进行比较，不同之处突出显示，以便于用户查看。

高级 VLAN 管理：最新的使用方便的 VLAN 管理界面允许用户在整个网络上创建和分配 VLAN ，不必单独访问每一个网络设备。

设备软件更新：这个特性自动获取惠普的新设备软件映像并更新设备，允许用户下载最新版本或选择需要的版本。可以轻松地为众多设备预定更新，在用户指定的时间内完成。

— 14 —

模块化的软件架构使惠普可以为网络管理员提供附加的软件解决方案，以补充他们的需要。

— 15 —