酒店網絡覆蓋如何搭建？

適用范圍

本案例主要適用于規模較大（用戶數可達5000左右）的酒店場景。

業務需求

用戶接入需求

為酒店辦公員工提供有線和無線接入方式。

為監控攝像頭、IPTV終端提供有線接入方式。

為酒店訪客和房客提供無線接入方式。

酒店網絡的接入用戶可以訪問Internet。

酒店網絡總部與分支之間通過IPSec VPN互聯。針對酒店辦公用戶，訪問分支的數據流需要通過IPSec VPN加密。

區分不同類型的用戶，訪問Internet時進行帶寬限制，內網訪問流量不做帶寬限制，酒店員工、住客和訪客分別限制帶寬為4Mbps、2Mbps、1Mbps，對于視頻和P2P流量每用戶帶寬限制為1Mbps。

針對不同類型的用戶，提供不同的網絡訪問權限，如表1-1所示。

表1-1 用戶網絡權限控制表

用戶組

辦公服務器

iptv服務器

Internet

employee

Permit

Deny

Permit

guset

Deny

Deny

Permit

visitor

Deny

Deny

Permit

iptv

Deny

Permit

Deny

在所有允許訪問的策略中配置精細規則，開啟反病毒和入侵檢測。

接入認證需求

簡化認證，實現“一次認證，多次接入”服務。

無線漫游需求

實現無縫漫游，業務不中斷，用戶無需重新認證。

安全性需求

禁止外網用戶訪問內網；酒店內部用戶能夠訪問Internet，但不能在Internet上玩游戲和觀看網絡視頻。

保護酒店內部用戶和Web服務器避免受到來自Internet的攻擊。

保護酒店內部用戶和Web服務器避免受到病毒威脅。

對用戶上網行為進行審計，記錄用戶上網日志，供網絡管理員后續進行審查和分析。

不同類型無線用戶之間不可互訪，實現無線用戶隔離。

能否抵御DHCP的各種攻擊。

防止非法設備、非法攻擊入侵網絡，配合認證系統，滿足安全合規要求。

可靠性需求

主要設備需要提供備份功能，設備出現故障時，保證網絡業務不中斷。

主要鏈路提供鏈路備份功能，鏈路出現故障時，保證網絡業務不中斷。

運維管理需求

要求對用戶的上網行為進行統一管理、簡化運維。

組網方案

圖1-1 大型酒店綜合案例組網圖

網絡設計分析

接入設計

出口防火墻USG6650承擔外網出口業務，隔離內外網區域。

為了使內網用戶訪問外網，在USG6650上配置NAT，實現私網地址和公網地址之間的轉換。

酒店總部和分支之間通過在出口防火墻配置IPSec VPN實現互聯。

在核心交換機上配置無線智能漫游功能，實現無縫漫游。

用戶接入認證設計

針對酒店辦公有線用戶，在S7706上配置有線接入認證方式為MAC+Portal混合認證。

針對酒店無線用戶，在S7706上部署無線接入認證為MAC+Portal混合認證。

在Agile Controller-Campus上配置MAC優先認證，實現“一次認證，多次接入”服務。

安全性設計

配置安全策略，對流量進行過濾，禁止外網用戶訪問內網；辦公室員工能夠訪問Internet，但不能在Internet上玩游戲（Game）和觀看網絡視頻。

在防火墻上開啟入侵防御功能，部署DDOS攻擊防范，保護酒店內部用戶和Web服務器避免受到來自Internet的攻擊。

在防火墻配置反病毒功能，保護酒店內部用戶和Web服務器避免受到病毒威脅。

在防火墻上部署上網行為審計，對用戶的上網行為記錄日志，供管理員后續進行審查和分析。

在S7706上分別配置多個SSID，將各種業務進行隔離，不同SSID綁定不同的業務VLAN，實現無線用戶隔離。

在接入交換機和匯聚交換機上配置DHCP Snooping，以抵御網絡中針對DHCP的各種攻擊。

可靠性設計

USG6650部署主備方式的雙機熱備，防火墻連接核心交換機和Internet分別采用VRRP部署，保證業務不中斷。

核心交換機S7706部署集群，保證設備級可靠性。配置多主檢測，可以檢測并處理集群分裂時網絡中出現的多主沖突。

S7706與USG6650、S7706與S5700-28P-PWR-LI-AC、S7706與S5720-56C-PWR-EI-AC之間分別采用Eth-Trunk互聯，提高鏈路可靠性。

運維管理設計

配置基于用戶組的帶寬策略，為不同用戶組提供不同帶寬。

通過Agile Controller-Campus，實現策略的統一控制和用戶行為的統一管理。防火墻通過獲取Agile Controller-Campus的用戶登錄消息，針對不同用戶組實現不同的策略控制。

通過eSight實現設備的統一管理。