酒店计算机网络建设需求分析.docx
《酒店计算机网络建设需求分析.docx》由会员分享,可在线阅读,更多相关《酒店计算机网络建设需求分析.docx(12页珍藏版)》请在冰点文库上搜索。
酒店计算机网络建设需求分析
酒店计算机网络建设需求分析
1.1.1.概述
需求分析是所有工程生命周期的第一个阶段并贯穿于工程的整个生命周期。
任何一个工程,实际都要经历需求分析、系统设计、建造实施、质量完善四个阶段。
需求分析的目的是确定工程系统的目标。
促使目标系统最大地满足用户需求。
完整、准确、有效的需求分析结果是工程设计成功的基本依据之一。
正确、有效
XXX酒店项目中
基础建筑状况如下
主楼层:
8层;附楼地下一层,地上二层,主机房设在附楼二层网络机房,总建筑面积约为66平方米。
综合布线系统采用星型拓扑结构为主,水平布线采用超6类电缆,网络分层采用二层结构,接入交换机必须提供可支持上联的千兆端口,以提供可扩展性,并保证100M到用户桌面,经汇聚后以千兆带宽通过多模光纤上联大楼主干网络。
本布线系统约需数据信息点430个,语音信息点508。
信息点的分布及接入层交换机情况如下表所示:
配线间
楼层
数据
语音
24口交换机
48口交换机
IDF1
附楼二层
83
136
1
1
IDF2
主楼一层
19
32
1
IDF3
主楼二层
15
21
1
IDF4
主楼三层
42
44
1
IDF5
主楼四层
54
55
1
IDF6
主楼五层
54
55
1
IDF7
主楼六层
55
56
1
IDF8
主楼七层
55
56
1
IDF9
主楼八层
53
53
1
总计
430
508
3
1
1.1.2.应用需求
XXX酒店网络中,绝大多数为客户终端机,同时有少量主要针对楼内的网络资源服务,例如FTP、BBS、视频广播等。
网络应用的主要类型有:
WWW浏览、FTP文件传输、收发电子邮件、在线视频转播和收看、多媒体课件、电子商务客户端、文件共享等。
1.1.3.带宽需求
下面为当前一些应用对带宽的需求:
Ø电话,传真,电子邮件,基本公众信息服务 64K
Ø高质量可视电话,视频会议,数字音频 384K
Ø文件传输,WWW应用,图象传输,电子购物 1M
ØMPEG1/VCD视频点播,交互式电视,广播电视 1.2M-1.5M
ØMPEG2/DVD视频点播.高清晰度电视 3M-4M
Ø3D应用,VRML虚拟现实,实时多媒体 4M
XXX酒店网络的用户,可以根据用户类型分为普通终端用户和服务用户两类。
普通终端用户的网络应用又分为实时和非实时两种。
实时网络应用中对传输带宽需求最大的是实时视频传输。
目前高质量视频流传输的带宽需求为4Mb/s。
而对于低质量的实时视频传输,325Kb/s的就可以达到实用的要求。
对于非实时网络应用,尤其是文件传输类的应用,带宽越大越好。
而在1Mb/s带宽下所有非实时网络应用均可顺利进行。
然而在网络的实际应用中,用户实际使用的带宽取决于起点对终点传输路径中所有连路的最小带宽处所能分得的带宽和服务器的吞吐量,绝大多数在100~500Kb/s之间。
所以,普通终端用户的基本流量为每人1~2Mb/s。
对于服务用户其所需带宽越大越好,但此时的瓶颈往往是服务器的其它硬件处理能力,如CPU、内存、硬盘、数据库访问速度等,根据统计,通常为每台采用千兆网卡的服务器平均网络流量为200-300Mb/s左右。
通过采用组播技术,也可以大幅度减少多媒体应用对网络带宽的占用。
1.1.4.管理需求分析
⏹实用的网络管理
一个好的网络管理体统可以让网络人员更加经济高效地管理网络,优化网络资源,降低网络运行维护成本。
所以网络管理系统必须具有如下的功能:
拓扑管理
Ø能够对单个或多个网络设备进行自动拓扑。
Ø能够自动发现管辖区域内网上的IP资源,并自动以不同的图标表示不同的设备,也可以规定搜索的地址范围。
Ø系统可根据发现的数据自动生成整个网络的拓扑图,即可在图形用户界面上再现直观的网络拓扑结构图
Ø网络拓扑结构的显示方式可以按照用户的爱好自行拖曳编排,从而以最方便直观的方式展示网络结构。
配置管理
Ø故障报警
◆设备等级:
设备优先级、故障级别
轮询方式:
周期、超时、重试
故障定义:
设备故障、应用故障、服务故障、自定义故障
干预报警
干预报警是指系统显示管理人员正在处理设备故障设备上会显示黄灯以便告诉其它管理人员,故障正在处理中
Ø设备故障情况
显示指定网络设备发生故障的情况,包括该设备的名称、地址、故障信息以及发生故障的时间
Ø历史报警查询统计
对收到的各种报警信息入库处理,通过对数据库的统计报表查询可以分析网络的故障原因以及统计网络设备出现故障的频度
Ø重要设备监控
管理员可以根据设备的重要程度将被管设备分为不同的组,每个管理员只需看见他所关心的设备,其它拓扑图上的设备对他就不太重要。
每当设备出现故障,就能清楚的发现是哪台设备发生的,并能查看详细故障信息。
性能管理
能够通过设备运行情况收集和实时监测网络设备的性能指标实现网络性能管理,包括网络流量、设备吞吐情况,设备IP包差错情况,子网或网段丢包情况等,可以实时报警,并以数据表和实时图形曲线方式显示出来,并且可以拓展性能管理的种类
安全管理
网络管理系统能够提供严格的等级和权限管理,每个管理员只能在其等级和权限范围内操作可分为:
用户等级、功能权限、管理权限。
统计报表
历史数据的统计分析对于分析网络性能,寻找网络隐患有十分重要的作用。
网管系统产生的大量信息,由于可以存储在关系型数据库中,所以查询、制作报表十分简单,更提供专业的Report工具,该工具与网管系统紧密集成,可以将存储的历史数据以多种图形或数字的形式展现出来,或以ASCII的格式输出。
⏹精确统一的用户管理
精确性:
什么时间什么地点什么人在访问什么资源。
统一性:
在有线和无线接入上,接入层有统一的数据库,方便全网漫游。
当然,认证是精确统一的用户管理的前提和基础。
为了对接入网络用户的有效管理和监控,必须在用户接入网络是使用身份认证技术。
目前,业界存在的身份认证技术比较多,例如:
基于PPPOE的RADIUS认证、基于LDAP认证技术、基于DHCP认证技术、基于WEB认证技术、IEEE802.1x认证协议等等。
下面着重介绍IEEE802.1x认证协议
802.1x的核心是可扩展认证协议 (ExtensibleAuthorizationProtocol,EAP),是思科、微软和其它组织一起向IEEE 802.1x委员会提交的一种IEEE标准,使得无线网卡制造商和RADIUS服务器厂商可以独立地开发出可互操作的客户端和服务器端软件。
在802.1x出现之前,企业网上有线LAN应用都没有直接控制到端口的方法。
也不需要控制到端口。
但是随着无线LAN的应用以及LAN接入在电信网上大规模开展,有必要对端口加以控制,以实现用户级的接入控制。
802.1x就是IEEE为了解决基于端口的接入控制(Port-BasedAccessControl)而定义的一个标准。
802.1x并不只是为了无线LAN,而是计划成为LAN端口的一个普遍的接入控制机制。
它的验证机制是基于RADIUS中扩展的验证协议(ExtensibleAuthenticationProtocol,EAP)。
RADIUS是一个提供验证服务的IETF标准的方法。
EAP是使客户机与验证服务器协商验证的协议。
例如,客户机可以检查服务器是否能够使用某种类型的智能卡,以及不能使用时,是否同意使用竞争握手确认协议(ChallengeHandshakeAuthenticationProtocol,CHAP)等。
802.1X标准充分利用了现有的验证协议,即可扩展验证协议(EAP[RFC2284])。
802.1X标准可以利用为PPP编写的可扩展验证协议,并将其与物理介质联系起来,如以太网、令牌网或无线局域网。
可扩展验证协议信息被包含在802.1X信息中,并被称为EAPOL,即EAPoverLAN。
802.1X无线局域网验证技术拥有三个主要的组件:
包括三部分:
SupplicantSystem,客户端(PC/网络设备);AuthenticatorSystem,认证系统;AuthenticationSeverSystem,认证服务器。
(通常是一个远程验证拨号接入用户服务器,不过802.1X并未对此做出具体要求)。
目前802.1X认证技术已经发展到可以基于逻辑端口的身份认证,即基于主机MAC地址的认证。
为了做到对接入用户的精确管理,可以在上述身份认证技术所需的客户端软件上实现多重绑定功能,即可以把IP地址、MAC地址、交换机端口号、VLANID等等元素根据需要灵活捆绑在一起,这样,实现对用户的精确定位就非常方便了。
下表是几种常用认证方式的比较:
基于上述比较,可以得出结论:
在对用户进行身份认证时推荐采用IEEE802.1X认证协议。
⏹灵活的计费管理
通常,计费系统包括计费字系统和帐务处理子系统。
计费子系统
计费子系统读取Radius服务器生成的用户访问记录,对其进行处理,产生原始的用户计费信息,提供给帐务系统做帐务处理和用户查询使用。
此信息是反映用户使用网络情况的最基本的资料,通过进一步的分析统计可以全面了解整个拨号网络的使用情况,为管理和决策提供帮助。
帐务处理子系统
帐务处理子系统根据预先设定进行帐务计算。
根据每个用户选择的资费计算方式和网络的使用情况计算出相应的网络访问费用。
并且提供出帐、核帐、销帐的功能。
系统通常都有专门的资费管理功能,支持多种资费计算方式,包括按实际使用时间(以分钟为单位)固定费率的计费方式,和定额限时的包月制方式,即使用时间在限定时间以内的,只收取固定的费用,若超过了限定的时间,则要按较高的费率收取费用。
对于包月制可以设定几个档次供用户选择,如10,20,50,100小时等。
另外系统有些计费系统还支持时段优惠的的计费方式,优惠时段和折扣率时可调的。
自指定付费方式
计费方式有很多种:
包月制、按时长计费、按流量计费等等。
酒店可以根据实际情况选择不同的计费方式。
优惠计费策略
为了实现优惠计费策略,可以在计费后台数据库平台实行相应的设置来达到目的。
自服务系统的灵活性
自服务系统的个性化应用可以实现:
用户自充值,用户费用查询,在线修改密码。
1.1.5.安全需求分析
安全问题从来就不是单一的问题,它涉及到许多方方面面。
首先,在绝大多数信息系统环境中,风险点或威胁点不是单一的。
这些风险点包括物理安全、逻辑安全和安全管理三个层面。
物理安全涉及到关键设施设备的安全和资产存放地点的安全等内容。
逻辑安全涉及到访问控制和数据完整性等方面。
安全管理包括人员安全管理政策、组织安全管理政策等方面。
上述任何一个方面出问题,都可能引起安全事故。
其次,安全问题是动态的。
由于信息技术在不断地变化,信息技术安全问题具有动态性。
今天的安全问题到明天也许不再成为安全问题,而今天无关紧要的问题,明天可能成为严重的安全威胁。
这种动态性导致不可能存在一劳永逸的解决方案。
第三点,安全不是仅仅由安全产品来解决的问题。
安全的多面性使仅仅采用安全产品来防范难以奏效。
例如不可能用一个防火墙将所有的安全问题挡在门外。
如果使用一个未经认证的调制解调器把内部网连接到外部网,就可以绕开防火墙对系统安全构成威胁。
因此在实际的安全策略中,更有效的方法是制定并严格实施酒店内的安全政策,采用安全产品只不过是安全政策的一个方面。
最后要说明的一点就是“没有100%的安全性”。
由于安全的多面性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖。
其次即使找到这样的方法,一般从资源和成本考虑也不易接受。
业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标加以实现。
综上所述,系统安全问题不是仅仅涉及安全技术、产品等方面的片面问题,而是涵盖了技术、人员、管理等多方面的系统问题,必须采取系统化的方法加以解决。
在这里,我们从三个大的方向加以考虑:
事前加强网络基础架构、事中快速反应机制、事后安全审计。
⏹事前加强网络基础架构
“防范于未然”,在安全事故发生以前就做到事先加强安全措施是非常有效的。
对一个网络的整体而言,我们可以采取的安全保护措施有很多。
在网络出口处或者在网络的每个安全域的边界我们都可以部署防火墙。
防火墙设备在网落中起着非常重要的作用,具有安全防范、访问控制和日志审计等功能,是整个网络的主要安全屏障。
除了防火墙外,入侵检测IDS的部署也是必不可少的。
入侵检测系统是防火墙的合理补充,它可扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,帮助管理员洞察网络攻击行为。
在网络中合理地部署入侵检测系统,就相当于在各个交通十字路口安装电子监视眼和摄像头一样,可以捕获系统中各种违反正常安全策略的异常行为。
针对每个受保护的网络的骨干子网,都应部署入侵检测系统和配置相应的入侵检测规则。
在网络中心设置入侵检测系统的管理中心,统一管理部署在各个骨干子网中的入侵检测系统代理,实现入侵检测系统的集中管理、分布放置。
对于网络基础架构的网络设备路由器和交换机,在网络中存在大量扫描流量以及大量诸如DDOS攻击、冲击波攻击等不安全因素下,如何来保证网络设备本身的安全即正常运行?
高效的ACL控制功能是设备本身应该具备的。
访问控制表(ACL)策略是一种由PolicyDirector使用的方法,它向安全域中的资源提供了细粒度保护,是一组规则或许可权,指定对受保护对象执行操作所需的条件。
线速ACL特性涵盖MAC层,IP层,应用层,可以从多个层次根据用户需求进行数据控制。
用户可以按照源MAC地址和目标MAC地址、IP地址或TCP/UDP端口拒绝包,因而根据需要控制网络的敏感部分。
如果所有ACL查询都在硬件上执行,那么,在网络中实施基于ACP的安全性时,就不会降低传送性能。
所以线速ACL技术,具备以下关键特性:
线速扩展访问控制列表(ACL)—提供线速交换和路由功能的同时,线速控制数据转发和限制对系统管理界面的访问
功能丰富的ACL实现方案—基于源或目的MAC地址、以太网帧结构、IP地址、IP协议类型、TCP或UDP端口、IP优先级或ToS值对流量进行识别。
选择性ACL日志记录—收集匹配拒绝或许可条件的数据包的统计数据。
安装能够预先发现网络安全隐患的评估系统也是非常重要的。
安全评估系统主要针对用户系统内部的各种安全漏洞实施漏洞扫描,借以检查出系统中主机的安全隐患,例如,各种常见服务端口的情况,各种常见服务的情况,和弱密码的探测等,并提供相应的扫描结果报告,用户可打印和统计有漏洞主机的扫描信息,并查询漏洞的详细信息,使用户全面了解系统的安全状况,提早做好防范措施
为了更好地管理用户,合理利用和优化网络资源,很有必要对有网络需求的用户进行身份认证,包括有线接入用户和无线移动接入用户。
同时,为了实时、准确、快速的定位用户位置,可以考虑采用多属性绑定功能加强对用户的管理。
网络安全体系牵涉网点众多,网络连接比较复杂。
要保护这样一个繁杂的网络系统的网络安全,必须有完善的管理保证。
安全系统要能够提供统一的集中的灵活的管理机制,一方面要能让网控中心的网管人员监控整体网络安全状况,另外一方面,要能让网管人员灵活处理具体事务
⏹事中快速反应机制
在新的安全形势下的网络建设,我们应该考虑全防卫的网络安全是从网络的各个层面、各个产品类型的角度考虑,是一个全面的安全体系架构。
同时,安全网络中的各个设备组成之间不是相互独立的,而是互动式的,通过全新的联动体系,将网络的各个组成部分安全、可靠的互动起来,包括在事先部署的主动防御体系如防火墙、入侵检测IDS、安全评估系统、病毒防护系统、邮件安全系统等,从而为用户提供一个完整的、互动式的安全网络架构。
网络入侵检测系统一旦发现外部黑客对内部网络进行网络入侵、非法访问和越权资源使用等事件,可立即通过协议联动到出口位置的防火墙系统或路由器系统,自动添加相应策略,将入侵者IP地址进行封禁指定时间,使外部入侵者无法通过防火墙或路由器系统。
隐患扫描系统通过安全评估内部网络,一旦发现内部有机器存在较严重的安全隐患和漏洞;可立即通过P协议联动到出口位置的防火墙系统或路由器系统;防火墙系统或路由器系统根据联动信息自动添加策略,禁止外部访问存在安全漏洞的内部机器,从而有效的保护内部网络。
访客通过访问控制网关使用内部网络后(有线或无线连接),访客可能对内部网络进行非法访问和网络入侵;此时网络入侵检测系统可检测到本事件;入侵检测系统通过协议联动相应的访问控制网关;访问控制网关通过ACL禁止正在进行入侵的访客使用内部网络。
通过邮件安全系统可以为用户解决邮件病毒和垃圾邮件的困扰,同时也可以通过安全互动体系更全面的防范邮件病毒和垃圾邮件。
邮件安全系统一旦发现内部有用户通过邮件方式传播病毒或发送垃圾邮件(也可能是本机器已经感染过病毒,病毒本身通过邮件进行自动传播);可立即通过互动协议联动到内部相应的交换机或访问控制网关;交换机或访问控制网关根据联动信息通过ACL禁止本用户的邮件发送,从而有效的防范邮件病毒和垃圾邮件传播。
如今的病毒大部分是通过网络进行自动传播,比如Nimda和RedCode病毒等,一旦内部有机器感染上病毒,本机器会大量通过网络服务进行病毒传播,最终使内部网络瘫痪,并导致内部其他机器也感染上本病毒。
网络防病毒系统可以解决病毒的传播,同时也可以通过互动体系更全面防范病毒传播。
防病毒系统一旦发现内部有机器传播病毒;可通过互动体系联动给交换机、防火墙、路由器和访问控制网关;交换机、防火墙、路由器和访问控制网关通过ACL将正在传播病毒的机器进行有效隔离,使之不能访问内部网络,从而更加有效的避免了病毒的传播。
⏹事后安全审计
安全审计系统必须实时监测网络上和用户系统中发生的各类与安全有关的事件,如网络入侵、垃圾邮件、内部资料窃取、泄密行为、破坏行为、违规使用等,将这些情况真实记录,并能对于严重的违规行为进行阻断。
安全审计系统所做的记录如同飞机上的黑匣子,在发生网络犯罪案件时能够提供宝贵的侦破和取证辅助数据,并具有防销毁和篡改的特性。
安全审计跟踪机制的内容是在安全审计跟踪中记录有关安全的信息,而安全审计管理的内容是分析和报告从安全审计跟踪中得来的信息。
安全审计跟踪将考虑要选择记录什么信息以及在什么条件下记录信息。
收集审计跟踪的信息,通过列举被记录的安全事件的类别(例如对安全要求的明显违反或成功操作的完成),能适应各种不同的需要。
已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威摄作用。
所以在网络设计之初,选择网络设备时就必须考虑这些设备是否具备安全日志分析、流量报表分析等功能。
1.1.6.兼容性需求
对于新建设的XXX酒店新网络,所采用的各种设备之间必须具有良好的相容性和互操作性。