《《新整理施工方案大全》2013星级酒店智能化弱电系统工程投标书.doc》由会员分享,可在线阅读,更多相关《《新整理施工方案大全》2013星级酒店智能化弱电系统工程投标书.doc(182页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 四季华庭酒店智能化弱电系统工程 技术标投标文件工程名称:西安四季华庭智能化弱电系统工程投标文件内容: 技术标投标文件 投 标 人:签字或盖章法定代表人或委托代理人:(签字或盖章)日 期:2013年5月3日(一)特别承诺书(二)施工组织设计(三)系统介绍(四)施工准备工作计划(五)施工进度安排(六)质量保证计划(七)确保安全生产、文明施工、工期、环境保护的技术措施(八)售后服务及培训(一)特别承诺书我公司本着“真诚合作,竭诚为用户服务的态度”来参加四季华庭酒店投标,为体现我公司的实力和诚意,如本次消防工程由我公司中标施工,我们将按招标文件规定严格履行下列承诺:1、工程管理:、我公司承诺本工程承
2、接后,将由我方施工队伍自行完成,保证不转包、不分包,如有违反,业主有权中止合同,我方承担一切经济损失。、我公司承诺作为分包单位,我方将保证无条件服从总包单位对质量、进度等方面的管理。2、工程验收:我公司承诺保证本工程验收一次性合格通过 3、项目班子:我公司承诺项目经理月到位率达到80%,项目班子管理人员(除项目经理外)月到位率达到90%以上 。为此我们将采取下列措施:、派遣目前无在建工程的管理人员;、严格考勤制度;、建立健全完善的工程管理制度;、开展思想教育工作,让每个拟进场人员都认识到本工程的重要性。4、安全生产与文明施工:我公司承诺配合总包单位争创省“文明标化工地”,杜绝重大事故,经常性搞
3、好宣传活动,实现现场文明施工。(二)施工组织设计1、设计依据本次主要根据以下资料、规范和标准:GB/T50314-2000智能建筑设计标准GB/T 50311-2000建筑与建筑群综合布线系统工程设计规范GB/T 50312-2000建筑与建筑群综合布线系统工程施工验收规范GB50198-94民用闭路电视系统工程技术规范GB02198-94民用闭路监控电视系统工程技术规范GB50200-94有线电视系统工程技术规范GY/T106-92有线电视广播系统技术规范GB6510-8630MHZ-1GHZ声音和电视信号的电缆分配系统GYJ45-82高层民用建筑设计防火规划GB8566-88计算机软件开发
4、规范GB50174-93电子计算机机房设计规范GB12663-90防盗报警控制器通用技术条件GB50166-92火灾自动报警系统施工以及验收规范GB50166-92火灾自动报警系统设计规范GBJ16-87建筑设计防火规范EIA/TIA568A商业建筑群通信布线规范EIA / TIA 569 商业建筑电信通道及空间标准JGT/T16-92商用建筑电气设计规范GBJ42-81工业企业通信设计规范GBJ115-87工业企业通信接地设计规范GA/T75-94安全防范工程程序与要求GA38-92中华人民共和国公共安全行业标准GBJ232-92中国电气装置安装工程施工及验收规范GB50057-94建筑物防
5、雷设计规范IEEE802.3以太网10BASE-T标准IEEE802.3U以太网100BASE-T标准YD/T926.1-97大楼通信综合布线系统CCITT ISDN综合业务数字网基本数据速率接口标准YD/T2008-93城市住宅区和办公楼电话通讯设施设计规范GY/T121-95CATV行业标准GBJ16-37建筑设计防火规范GY7401-87彩色电视图像质量主管评价方法GYJ44-91卫星广播电视地球站建设标准GBJ57-83建筑防雷设计规范GBJ232-82电气装置安装工程施工和验收规范ISO/IEC11801客户建筑通用布线系统信息技术国际标准EN50173通用布线系统信息技术欧洲标准E
6、IA/TIA TSB67非屏蔽双绞布线系统现场测试传输性能规定EN55022/ClassB (电磁兼容)标准ISO/IEC11801国际综合布线六类信道标准YD/T870-906用户终端设备耐过电压和过电流能力要求和试验方法GB7450-87电子设备雷击保护导则GB4943-95信息技术设备包括电子设备的安全GT/T74-94安全防范系统通用图形符号GT/T75-94安全防范工程程序与要求GT/76-94保安电视监控工程技术规范GA/77-94入侵报警工程设计规范GB50058-92爆炸和火灾危险环境电力装置设计及验收规范YD/T870-906用户终端设备耐过电压和过电流能要求和试验方法GT/
7、T7094安全防范工程费用概预算编制办法以及其他相关的国家规范、行业标准。2、工程概况1)、工程名称:四季华庭酒店智能化弱电系统工程2)、建设单位:陕西华庭投资管理有限公司四季华庭酒店座落于古都西安,建筑面积约为两万多平方米。 公司作为智能化弱电系统工程的施工承担者,本着一丝不苟、精益求精的精神,把四季华庭酒店智能化弱电系统工程做到实用和艺术的完美结合,将一个优质工程奉献给陕西华庭投资管理有限公司。3、项目实施本项目的实施实行项目经理负责制。项目经理的主要职责:1、负责汇总、编制施工组织设计,制订质量、安全措施及资源配备,确保满足合同要求;2、负责施工全过程质量、安全、进度、服务及文明施工的全
8、面管理及检查施工组织设计执行情况;3、贯彻质量方针、目标和质量体系程序,做好质量记录;4、负责沟通施工单位与业主的工作业务联系,协调各项目组业务关系;5、负责机具、仪表及各项目组之间任务、技术力量调配;6、负责工程质量检查、工程预验及工程竣工验收工作;7、负责工程结算及遗留问题的处理落实工作。项目总工程师的主要职责:1、贯彻分管工程项目相关的行业技术政策、技术标准和规范;2、审批分管工程项目的施工组织设计;3、贯彻质量方针和目标;4、审定分管工程项目的施工机具、仪表调配计划;5、处理分管工程项目中的重大技术问题。在项目综合弱电工程的建设过程中,项目工程管理部是最高决策机构,为所有工作人员提供强
9、有力的支持与保障,同时监督项目参与各方行为。项目管理工程部的有效运做,是本项目成功的基础与关键,项目工程管理部全权由项目经理领导。我公司针对弱电工程专门设立项目工程管理部,其组织机构图如下图所示:人员配备情况详见附表。3.1 项目实施进度安排工程安装程序安装工程师在工程开始之前根据用户设计绘出详细的工程施工图纸,核对各处电缆总根数与管径是否无误。电缆布管:应当随着工程进程在内装修时将管道辅设以便引线,切实注意过梁过柱处理;水平电缆、接线端子、终端盒的编号,应在水平电缆布放前完成;在室内装饰基层作好之后(喷涂装饰之前)安装水平电缆;水平电缆布放时,同时安装好布线盒,对号入座边装边检查测试;竖井主
10、干电缆布放之前,先安装好总配线室跳线架主控板;竖井电缆布放时按系统图和总配线室编号对号入座;主干电缆,水平电缆布放完毕进行到位调整,系统中的各个部份均采用高品质的材料及部件,保证系统的各个环节的可靠性,从而保障系统端到端的调试运行。监控设备的安装;3.2 工程实施细则 线缆敷设缆线布放前应核对规格、程式、路由及位置与设计规定相符。缆线的布放应平直、不得产生扭绞打圈等现象,不应受到外力的挤压和损伤。缆线在布放前两端应贴有标签,以表明起始和终端位置,标签书写应清晰、端正和正确。电源线、信号电缆、对绞电缆、光缆及建筑物内其他弱电系统的缆线应分离布放。各缆线间的最小净距应符合设计要求。缆线布放时应有冗
11、余。在交接间、设备间对绞电缆预留长度一般为36m,工作区为0.3-0.6m,光缆在设备端预留长度一般为5-10m。有特殊要求的应按设计要求预留长度。缆线的弯曲半径应符合下列规定:屏蔽对绞电缆的弯曲半径应至少为电缆外径的6-10倍。主干对绞线缆的弯曲半径应至少为电缆外径的10倍。光缆的弯曲半径应至少是光缆外径的15倍,在施工过程中应至少为20倍。缆线布放,在牵引过程中,吊挂缆线的支点相隔间距不应大于1.5m。布置缆线的牵引力,应小于缆线允许张力的80,对光缆瞬间最大牵引力不应超过光缆允许的张力。在以牵引方式敷设光缆时,主要牵引力应加在光缆的加强芯上。缆线布放过程中为避免受力和扭曲,应制作合格的牵
12、引端头。如采用机械牵引时,应根据缆线牵引的长度、布放环境、牵引张力等因素选用集中牵引或分散牵引等方式。布放光缆时,光缆盘转动应与光缆布放同步,光缆牵引的速度一般为15米/分。光缆出盘处要保持松弛的弧度,并留有缓冲的余量,又不宜过多,避免光缆出现背扣。对绞电缆与电力电缆及其他管线的最小净距应符合CECS89:97的有关规定。光缆敷设时与其他管线最小净距应符合CECS89:97有关规定。 线缆的终端缆线在终端前,必须检查标签颜色和数字含义,并按顺序终端。缆线中间不得产生接头现象。缆线终端处必须卡接牢固,接触良好。缆线终端应符合设计和厂家安装手册要求。对绞电缆与插接连接应认准线号、线位色标,不得颠倒
13、和错接。屏蔽对绞电缆的屏蔽层与接插件终端处屏蔽罩可靠接触,缆线屏蔽层应与接插件屏蔽罩3600圆周接触,接触长度不宜小于10mm。设备安装对工程中所涉及的监控摄像头、主机、画面分割器安装、机架安装、配线架安装、接线模块安装、信息插座安装、电缆桥架及槽道安装均应符合中国建设部和国家质量技术监督局制定的国家标准建筑与建筑群结构化布线系统工程施工及验收规范(GB/T 50311-2000)。 其它建议为便于设备使用,建议信息插座附近设置单相三孔电源。标准由甲方确认。水平线缆通过电缆盘及线槽敷设。水平线槽埋地下,要求选择最合理之路由,其技术与规格都要按美国结构化布线系统标准,并参照国标规范中的相应部分,
14、由我方提供具体要求和尺寸,以符合综合布线十五年保证书的要求。分配线架(IDF)和主配线架(MDF)均应安装在墙面或标准19机柜中。3.3 结构化布线系统实施要点工作区子系统1)各楼层信息点布点及编号详细情况标注于各楼层平面图上。2)所有信息插座未经注明均为离地300mm。3)为便于设备接续,建议每个信息插座附近同时配置一个三孔单相电源。水平布线子系统1)水平电缆包括所有从分线箱(IDF)到信息出口(I/O)电缆。依照结构化布线系统之设计,从分线箱至该标高I/O口布放所需水平电缆。2)每个双孔信息插座布放两根双绞线,每个单孔信息插座布放一根。3)根据具体情况,确定从弱电竖井分线箱出线走线槽或线管
15、。4)根据信息点具体分布情况,建议信息点较多的地方走线槽,信息点较少的地方走线管。5)线槽引至插座采用线槽。6)两个插座的连接采用DG20管。7)插座安装、线路的连接方式视具体情况,采用隔墙暗敷或地面盒。8)水平电缆必须经线槽和线管到点到位,电缆经线槽和线管到预埋合后,要预留80cm裕度。9)水平电缆在分线箱(IDF)一侧进入分线箱后要预留半周长裕度,如下图所示:10)每一层面的水平电缆布放过程中,需要同时在电缆两头加注同一标记,贴上标签标识,标识方法如下:水平电缆标记示意图某层面的某一双孔I/O水平电缆标记方法:某层面的某一单孔I/O水平电缆标记方法:例如:地上第一层第一个信息I/O口(假设
16、它为双孔)语音、数据点标记为:F01001V,F01001D如果是单孔信息插座或地埋信息插座标记为:F01001 管理子系统安装示意图 主干线缆布放1)干线电缆布放原则采取从上住下逐层到位产方式。2)干线电缆留长:a)在总配线架MDF一侧,电缆从桥架进入机房到达MDF后再留3.05M长度的裕量,如下图所示:b)在各层竖井分线箱IDF一侧,电缆沿桥架敷设至IDF从分线箱侧面进孔入箱,余留80cm长度的余量,以做剥皮。c)依照SCS结构化布线数目参照设计方案,从总配线架至各楼层分线箱(IDF)布放电缆数目参照设计系统图中所示的数目。d)干线电缆在布放过程中,需同时在电缆两头加注同一标记,贴上标签标
17、识,标识方法为:DXXX-XX,前4位表示楼层号,后2位表示缆号。例如:弟12层第一根100对电缆干线编号为:D121。设备子系统总配线架(MDF)安装参照管理子系统(IDF)部分。(三)系统介绍一、计算机网络系统1、项目需求通过提高服务水平和服务质量,提升客人满意率和酒店知名度l 酒店宽带网络,要求有线、无线网络高质量覆盖酒店客房、办公区域以及其他公共区域,为入住酒店的客人上网提供便利的上网条件;l 满足入住客人零设置上网,即:即插即用功能的应用;l 对酒店客房网络进行有效的隔离和管理,保护客人隐私;l 多功能的IP电话业务,可根据客人需求定制自动叫醒、免打扰设置、语音留言、账单查询、机票订
18、购等服务;多样便捷,提高员工工作效率l 客房宽带费、语音通话费、其他消费自动汇总到前台管理系统,统一出账;l 根据前台登记信息,自动开通客房长途权限、语音信箱、上网权限等;l 通过客房IP电话,将房态信息快速更新前台管理系统;l 客人换房、退房时,自动关闭客房的长途权限、语音信箱、免打扰、呼转等业务;l 账单、工单、其他业务记录的查询、存储、备份功能。深度融合,降低酒店建设、运营成本l 利用现有的网络系统,建立一个能满足数据、语音、视频等多媒体信息传输、处理的统一通信平台,降低企业投资成本;l 建立一套安全、稳定并且可运营、易管理的酒店网络环境,降低运维成本;l 整合现有酒店信息管理系统,实现
19、统一计费、统一管理、统一维护,降低酒店运营管理成本。满足公安部的82号令要求l 记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志;l 记录并留存用户使用的互联网网络地址和内部网络地址对应关系;记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计。2、基础网络系统2.1.1 基础网络架构酒店整体网络架构建议采用扁平化拓朴架构模型,其中核心层位于酒店中心机房,接入层位于各楼层配线架。为了网络安全和方便管理,将整个酒店网络在逻辑上划分为两部分:客房网和办公网(包括弱电控制网)。前者用于为客人提供服务,后者用于内部的管理和办公,两个网络平台通过共用的出口模块与Inter
20、net连接。I 整体网络架构的高可靠性设计一张网络的高可用性不仅和设备高可用性相关,而且和链路的可用性、网络架构的可用性、协议的可用性息息相关,任何一点的可靠性程度都会影响到整个网络的稳定性。1、 网络架构及协议的高可靠性设计网络架构的高可靠性需要同时满足下面的条件:1)保持设备链路冗余;2)完全消除二层环状链路;3)毫秒级故障切换时间。目前的酒店网络从接入到核心多采用VRRP+MSTP或集群技术的技术,VRRP是由IEEE定义的国际标准协议,相比较其他协议,有以下优点:可扩展性好,支持与不同厂家设备的对接;更安全,允许参与VRRP组的设备间建立认证机制;故障切换更快,故障检测时间是其他协议的
21、三分之一。通过协议分析可以知道,故障切换所需的时间主要是在于路由检测机制,VRRP协议本身的检测机制无法实现快速的检测,要实现业务在路由故障后的快速恢复,必须借助新的方式,如双向转发检测(BFD)机制。BFD协议作为一项IETF草案标准,BFD提供一种检测链路或系统转发传输流能力的简单方法,华为S9300系列核心交换机支持配合业务子卡(BFD),故障检测时间可以控制为3ms以内,整体切换时间可以控制在50ms以内。2、 网络架构及设备级的高可靠性设计核心层设备作为网络骨干,具有路由和交换功能,各部件都依赖核心层设备进行连接,因此,核心层设备必须速度很快且稳定性极高。本方案建议核心层设备采用双节
22、点冗余设计,关键链路采用Trunk方式冗余备份或者负载分担,关键设备的电源、风扇、背板、主控板等关键部件冗余备份,以提高整个网络的可靠性。II 实现端到端业务高性能转发在网络系统中,端到端系统工程的概念变得越来越重要,端到端的设计方式将确保整个系统发挥最高性能。采用层次化的、模块化的、标准化的和灵活性极高的开放式网络系统,它能为计算机系统的信息传送与共享提供较高的带宽,满足如数据、话音、图像和视频信号的多媒体传输等综合业务需求。酒店端到端业务需要考虑来自两个方面性能问题:1、 如何充分利用Internet带宽2、 如何确保访问服务器的速度在层次化设计中,当流量通过层次化结构中的收敛点,沿着“接
23、入层-核心层-Internet”或“接入层-核心层-服务器”传输时,流量数量及其相关的带宽要求都随之增加。在这个架构中:1、 核心交换机作为整个网络的流量汇聚点,其性能指标决定了整个网络的业务能力;2、 Internet接入设备的能力,决定了能否得到最好的上网体验;3、 服务器的处理性能和转发速率,决定了局域网业务的访问质量。考虑到整体的性价比,华为酒店解决方案建议采用万兆、千兆相结合或千兆、百兆相结合的方案,核心层/服务器采用万兆/千兆链路,接入层采用千兆/百兆链路。推荐产品:S9300系列或者S5700系列作为核心交换机、S5700系列与S2700系列作为接入交换机。Secoway USG
24、5100系列作为安全网关、ARx200系列多业务路由器提供出口业务功能。III 故障定位、故障隔离和网络管理维护简单采用层次化的、模块化的、标准化的系统架构,将酒店网络中的每个部门或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行问题定位。同时,在该架构下,您可以运行或中断任何组件的运行,而不会影响网络的其他部分。为了便于维护,网络应当具有良好的可管理性。一方面应尽可能选取集成度高、模块可通用的产品;另一方面,选择一个开放的、易使用的管理工具显得更加重要。华为eSight一体化运维解决方案,具备以下特征:1、任何业务可视化配置,使用简单;2、支持多厂商、IP+IT设备统一管理,减
25、低管理成本;3、开放的二次开发平台和API接口,满足不同企业集成和打造个性化工具的需求。IV 可扩展性,具备支持目前及未来关键应用的能力模块化、标准化网络的组件易于复制、重新设计并扩展,无需每次添加或拆除模块时都重新设计整个网络。2.1.2 酒店客房网络支持宽带费用在酒店管理系统(PMS)上统一出账宽带计费系统主要由网关、AAA 服务器两部分硬件组成,由计费系统、接口系统两部分软件组成。华为公司已经与第三方公司产品联合进行对接测试,实现统一出账功能,来实现酒店宽带计费系统与酒店管理系统或酒店电话计费系统的对接功能。满足客人快速上网冲浪需求,支持对高低端客人设置不同流量上限可单独为VIP人士设置
26、优先保障使用带宽,这样不会因为其他的客人占用带宽而导致不顺畅甚至无法使用。目前用得最多的方法是基于源IP的限速。华为的S9300/ USG5100/AR x200支持基于业务应用的限速和基于源IP的智能限速。保护客人个人隐私,每个客房网络应与内部局域网隔离对于入住酒店的客人,尤其是自携电脑入住的商务客人来说,在享受酒店宽带网络提供的便捷互联网服务的同时,最关注的莫过于个人隐私数据的安全问题。如何保护客人个人电脑上的隐私信息不被窃取,是酒店客房网络安全的一个核心内容。为保障数据隐私,在技术上对每个客房的数据流进行隔离是一个根本的解决办法。目前比较通用的方法有:1、为每一个客房用户分配一个 VLA
27、N 和一个 IP 子网,并且用一台3 层交换机或路由器来连接这些子网。这种方法要求网络设备支持大量的VLAN接口和三层接口,并且随着VLAN数量的增加会大大增加生成树和访问控制列表(ACL)的维护复杂程度。2、采用二层VLAN结构的PVLAN方式,这种方式下,涉及到主VLAN、辅VLAN、隔离VLAN、团体VLAN、隔离端口、混杂端口,通过复杂的组合配置,可以满足各客房二层隔离的效果;除了复杂的配置,PVLAN的灵活性也不好,当员工需要在客房区办公时,必须需要重新设置客房区的VLAN、端口属性,使用不方便且有安全隐患。采用VLAN聚合技术可以解决很好地解决这些问题。VLAN聚合技术结合二层、三
28、层VLAN技术,将酒店划分几个区(客房区、办公区、服务器区等),每个区对应于一个聚合VLAN,聚合VLAN之间可以通过三层ACL来控制是否隔离;同一个区内的主机通过二层VLAN隔离。这种方式逻辑层次清晰,配置简单灵活,且易于扩展,S9300 / S5700 / S2700系列交换机都支持VLAN聚合功能。2.1.3 酒店办公网络l 防止少数员工过多占用Internet带宽资源,影响其他员工正常上网随着各种网络应用的多样化、复杂化,如看视频、炒股、P2P下载、IM聊天、VOIP业务洽谈、远程传送文件等等,单台电脑带宽的要求也越来越大,在一个共享上网的环境中,就需要对有限的带宽资源做合理的分配,以
29、确保所有的正常访问因特网。这就要求安全网关设备具备以下能力:1、辨识应用服务的能力。能针对像P2P下载、远程传送文件等对吞吐量要求高、无延时要求的业务做限速处理,对语音、即时聊天等吞吐量要求小、延时要求高的业务做优先转发处理。2、可单独设置优先保障使用带宽,这样不会因为其他的客人占用带宽而导致不顺畅甚至无法使用。3、当网络带宽不够用造成上网断断续续,支持通过客房IP或应用程序查看所使用的带宽,快速定位出网络慢的原因。Secoway USG5100一体化安全网关,基于DPI特征库为基础,支持P2P、即时通信、游戏、视频、语音、数据流、网页、邮件以及自定义应用的识别,支持针对应用的断流限速功能,其
30、灵活的QoS策略可很好地处理带宽合理分配问题。l 防止办公网络受到最常见的ARP攻击而导致网络瘫痪ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。从ARP攻击原理可以分析出,ARP攻击的对象为终端和网关,业界通用的防ARP攻击方法采用终端和网关静态ARP双绑,此种方式可以解决80%的ARP攻击问题,对于一些新型的ARP攻击,存在以下问题:1、 不能确保终端上,网关的静态ARP表项被ARP病毒删除或修改;2、 全网只能通过手工配置IP,增加了维护工作量。华为交换机产品提供对于AR
31、P防攻击方案。l 其它- 支持员工上网行为管理,提高工作效率- 防止系统受病毒感染而引起性能下降,甚至掉线,从而导致业务中断和收入损失- 防止间谍软件或木马窃取酒店机密数据,导致公司损失- 支持与远端分支机构的安全互联等2.2 组网设计2.2.1 整体网络拓朴设计酒店的内部网络分成完全隔离的两个网络,酒店客房网络和酒店办公网络。酒店客房网络整体采用两层结构:核心层和接入层,核心层位于酒店的中心机房,接入层位于各楼层配线间。 客房网络的核心采用两台华为公司的S9300系列智能路由交换机,提供双机热备,通过千兆多模光纤链路连接接入层交换机。每台核心交换机S9300各配了双电源、千兆多模光纤端口、1
32、0/100/1000M端口。接入交换机采用华为公司的S2700系列企业交换机, S2700系列支持在线供电功能,可以为IP电话和无线AP供电。酒店办公网络的核心采用两台华为公司的S9300系列智能路由交换机,通过千兆多模光纤链路连接接入层交换机。每台核心交换机S9300系列各配了双引擎、双电源、 千兆多模光纤端口、10/100/1000M端口。接入交换机采用华为公司的S2700系列企业交换机。酒店内网的安全保护,可采用华为公司的USG5100系列一体化安全网关产品。所有模拟语音业务可以通过华为公司的AR x200产品与PSTN语音网实现互联。网管软件采用华为公司的eSight网管产品,建议酒店
33、客房网络和酒店办公网络配置一套。2.2.2 VLAN的规划、设计和配置VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段,从而实现在一个LAN内隔离广播域的技术。当网络规模越来越庞大时,局部网络出现的故障会影响到整个网络,VLAN的出现可以将网络故障限制在VLAN范围内,增强了网络的健壮性。I VLAN功能划分VLAN聚合VLAN 聚合就是在一个物理网络内,用多个VLAN隔离广播域,使不同的VLAN属于同一个子网。用于隔离广播域的VLAN叫做sub-VLAN,与该子网对应的VLAN叫做super-VLAN。多个sub-VLAN组成一个super-VLAN。用户VLAN用户VLAN即普
34、通VLAN,也就是我们日常所说的VLAN,是用来对不同端口进行隔离的一种手段。VLAN通常根据业务需要进行规划,需要隔离的端口配置不同的VLAN,需要防止广播域过大的地方配置VLAN用于减小广播域。VLAN最好不要跨交换机,即使跨交换机,数目也需要限制。Voice VLANVoice VLAN是为用户的语音数据流划分的VLAN,用户通过创建Voice VLAN并将连接语音设备的端口加入Voice VLAN,可以使语音数据集中在Voice VLAN中进行传输,便于对语音流进行有针对性的QoS配置,提高语音流量的传输优先级,保证通话质量。Multicast VLANMulticast VLAN即组
35、播VLAN,组播交换机运行组播协议时需要组播VLAN来承载组播流。组播VLAN主要是用来解决当客户端处于不同VLAN中时,上行的组播路由器必须在每个用户VLAN复制一份组播流到接入组播交换机的问题。II VLAN规划原则一个二层网络规划的基本原则:1、 区分业务VLAN、管理VLAN和互联VLAN;2、 按照业务区域划分不同的VLAN;3、 同一业务区域按照具体的业务类型(如:Web、APP、DB)划分不同的VLAN;4、 VLAN需连续分配,以保证VLAN资源合理利用;5、 预留一定数目VLAN方便后续扩展;III VLAN规划建议VLAN根据多种原则组合划分。1、 按照逻辑区域划分VLAN
36、范围:例如:- 核心网络区:100199- 服务器区:200999,预留10001999- 接入网络:20003499- 业务网络:350039992、 按照地理区域划分VLAN范围例如:- 接入网络A的地理区域使用20002199- 接入网络B的地理区域使用220023993、 按照人员结构划分VLAN范围例如:- 接入网络A地理区域A部门使用20002009- 接入网络A地理区域B部门使用201020194、 按照业务功能划分VLAN范围例如:- Web服务器区域:200299- APP服务器区域:300399- DB服务器区域:4004992.2.3 IP规划考虑到后期扩展性,在酒店IP
37、地址规划时主要以易管理为主要目标。酒店网中的DMZ区或Internet互联区有少量设备使用公网IP,酒店内部使用的则是私网IP。IP地址是动态IP或静态IP的选取原则如下:l 原则上服务器,特殊终端设备(打卡机,打印服务器,IP视频监控设备等)和生产设备建议采用静态IPl 办公用设备建议使用DHCP动态获取,如办公用PC、IP电话等。IP地址规划的原则l 唯一性一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术,也尽量不要规划为相同的地址。l 连续性连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。l 扩展性地址分配在每一层
38、次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。l 实意性“望址生意”,好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大致判断出该地址所属的设备。酒店IP地址基本分类l Loopback地址为了方便管理,会为每一台路由器创建一个Loopback接口,并在该接口上单独指定一个IP地址作为管理地址。Loopback地址务必使用32位掩码的地址。最后一位是奇数的表示路由器,是偶数的表示交换机,越是核心的设备,Loopback地址越小。l 互联地址互联地址是指两台网络设备相互连接的接口所需要的地址,互联地址务必使用30位掩码的地址。核心设备使用较小的一个地址,互联地址通常要聚
39、合后发布,在规划时要充分考虑使用连续的可聚合地址。l 业务地址业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址,业务地址规划时所有的网关地址统一使用相同的末位数字,如:.254都是表示网关。l 酒店网内部的IP地址建议使用私网IP地址,在边缘网络通过NAT转换成公网地址后接入公网。l2.2.4 DHCP规划 酒店网中办公网络建议使用DHCP,每个DHCP网段应保留部分静态IP供服务器等设备使用。DHCP酒店部署基本架构l 在酒店数据中心或服务器区部署独立的DHCP Server。l 在汇聚层网关部署DHCP Relay指向DHCP Server统一分配地址。l DHCP酒店
40、内一般通过VLAN分配地址,如有特殊要求,在接入交换机部属Option82,由接入交换机提供的Option82信息分配地址。DHCP部署基本原则l 固定IP地址段和动态分配IP地址段保持连续。l 按照业务区域进行DHCP地址的划分,便于统一管理及问题定位。l DHCP需要跨网段获得IP地址时,启动DHCP Relay功能。l 启动DHCP安全功能,禁止非法DHCP Server的架设和非法用户的接入。2.2.5 QoS特性的设计和配置酒店网络中,除了传统的WWW、E-Mail等数据业务,还承载着电视会议、语音电话等业务,这些业务有一个共同特点,即对带宽、延迟、延迟抖动等传输性能有着特殊的需求。
41、比如视频监控、电视会议需要高带宽、低延迟抖动的保证。语音业务虽然不一定要求高带宽,但非常注重时延,在拥塞发生时要求优先获得处理。服务质量QoS是各种存在服务供需关系的场合中普遍存在的概念,它评估服务方对客户的服务需求提供支持的能力,目的就是向用户的业务提供端到端的服务质量保证。一般情况,QoS度量指标如下:l 吞吐量(Throughput):又可称为带宽,表示一定时间内业务流的平均速率。通常通过流量监管(CAR)、流量整形(GTS)实现带宽调度。l 时延(Latency):表示业务流穿过网络时需要的平均时间。对于网络中的一个设备来说,一般将不同时延的业务分为几种优先级,通过队列调度保证业务需求
42、。l 抖动(Jitter):表示业务流穿过网络的时间的变化,可通过拥塞避免等技术防止流量抖动。l 丢包率(Drop Ratio):在网络中传输数据包时丢弃数据包的最高比率。数据包丢失一般是由网络拥塞引起的。针对带宽、时延、抖动、丢包率等要求,QoS可以通过优先级映射、流量监管、流量整形、队列调度、拥塞避免等技术提升网络服务质量,满足用户在有限的资源限制情况下,获得多业务部署的最佳体验。QoS部署模型规定了多种QoS技术如何组合满足用户网络服务需求,当前主要存在以下两种部署模型:lInt-Serv模型Int-Serv(Integrated Service)模型是一个综合服务模型,它的特点是在发送
43、报文前要先向网络提出申请,一般通过资源预留协议RSVP实现。可以提供端到端的QoS投递服务是Int-Serv的最大优点;其最大缺点是可扩展性不好,通信设备需要为每个资源预留维护一些必要的软状态(SoftState)信息,当网络中的数据流数量很大时,设备的存储和处理能力会遇到很大的压力。lDiff-Serv模型Diff-Serv(Differentiated Service)模型是一种多服务模型,它通过携带在报文头部的优先级参数(802.1P、DSCP、EXP)来告知网络节点它的QoS需求,这样,Diff-Serv在提供服务时,可以为属于同一需求类别的分组提供同样的服务策略,而无需通过信令协议再
44、去申请资源。正是由于拥有“带内”信令和基于流进行服务的特点,在网络部署中,Diff-Serv具有良好的可扩展性,成为园区网络部署的主流方案。内网部署QoS部署图下图所示,具体可以按照前面DiffServ模型分层实施,主要分为接入层业务识别、汇聚层/核心层DiffServ部署、出口路由器带宽控制三个方面。l 接入层业务识别接入交换机作为边界交换机,在UNI(User Network Interface)侧需要担负数据流的识别、分类以及流标记的工作,而在NNI(Network Node Interface)侧需要担负不同应用数据流的拥塞管理、拥塞避免、流量整形等工作。在实际部署的时候,接入交换机上
45、不同的端口接入了不同的终端,在接入交换机上可以给这些不同的业务分配不同的优先级,之后,在网络中按这样的优先级进行调度就可以了。l 汇聚层/核心层Diffserv调度汇聚层和核心层设备端口信任DSCP(或者802.1P),基于接入层标识的QoS参数,通过队列调度、流量整形、拥塞避免等方式实施QoS策略,保证高优先级业务优先获得调度。l 出口路由器带宽控制对于出口路由器,同样作为DiffServ域,信任设备标识的DSCP/802.1P参数,实施QoS策略。需要说明的是,在路由器的WAN口上,由于受限于出口带宽,相关WAN口带宽参数设置需要考虑差异性。2.2.6 防ARP攻击的设计网络的安全是酒店网
46、安全最基本的保证。这里主要从交换机的安全特性上的使用来保证网络的安全。包括DHCP Snooping、ARP防攻击、MAC防攻击、IP源防攻击等。这些安全特性工作于OSI模型的链路层,可在接入层交换机上部署。DHCP SnoopingDHCP Snooping部署在二层设备上面,一般部署在接入交换机上。如图所示,汇聚交换机上配置DHCP Relay,在接入交换机上配置DHCP Snooping,其中上行接口配置为Trust。DHCP服务器仿冒示意图DAI-ARP欺骗动态ARP检测(Dynamic ARP Inspection)应用在设备的二层接口上,利用DHCP Snooping绑定表来防御ARP攻击。当设备收到ARP报文时,将此ARP报文中的源IP、源MAC、端口、VLAN信息和DHCP Snooping绑定表的信息进行比较。如果信息匹配,说明是合法用户,则允许此用户的ARP报文通过;否则,认为是攻击,丢弃该ARP报文。DAI-ARP欺骗攻击示意图ARP限速ARP报文限速功能是指对上送CP