- 酒店无线局域网背景描述
豪林格泰酒店是一家创建距今已有半个世纪的一家大型连锁酒店,今年在长沙开了第248家连锁酒店,总建设面积1300平方米,现已基本建成,做为一家以顾客至上为服务宗旨的酒店,在提供舒适的住房和贴心服务的同时还要能提供便捷的网络接入,让顾客的入住体验达到最佳,为酒店树立良好的社会形象,吸引更多人前来入住。
酒店业的竞争也已经从硬件竞争转变为服务竞争。所有酒店都在努力提高服务意识和服务水平。从办理入住到入住体验一直到退房都是大家关注的地方,现在的人也越来越离不开互联网,提供互联网的接入已经是最基本的要求,随时随地可靠又高速的接入互联网才是新一代互联网人的追求,当然豪林格泰酒店建设者也有考虑到这些问题,提高豪林格泰酒店软服务以吸引更多的顾客,希望自己可以让顾客有很好的入住体验,吸引更多的人来办理入住。这就需要服务员更加用心服务每一位客人以及网络规划工程师设计部署出可靠高速的网络环境了。
如今无线技术已经随处可见,相比于传统的有线网络,无线网络组网安装简单,维护方便,可以提供更加灵活便捷的接入,而且不在受物理位置的约束,为网络接入提供了更便捷的方式。
二、酒店无线局域网项目需求分析
1、网络规模及环境需求
(1)酒店客房网和办公网隔离
酒店网络按照功能划分为客房网和办公网
酒店管理系统等办公系统运行在办公网。客房网为酒店客人提供对外的网络接口,覆盖酒店客房、商务中心、大堂、会议室等区域,其中客房采用有线组网为主,公共区域多采用无线组网。
客房网、办公网之间进行逻辑隔离,不可以互相访问。
(2)每个客房有一个语音点用于有线电话的接入,一个数据接入点用于计算机的接入,每层楼部署多个AP用于无线的接入,酒店信息点的统计表如下:
表2-1信息点统计
楼层
所属网络
数据信息点
语音信息点
AP
一楼
办公网
7
4
2
二楼
客房网
10
9
3
三楼
客房网
12
12
4
四楼
客房网
12
12
4
总计
41
37
13
2、网络安全需求分析
(1)有线网络安全需求分析
酒店的办公网有酒店客人的入住信息和酒店的重要数据,如果被非法窃取,会对酒店造成巨大的损失,所以酒店管理员也很重视酒店网络的安全性,办公网采用静态IP地址分配,并且在接入层采用MAC地址和接口绑定的端口安全技术防止非法用户接入网络造成网络破坏。客房区总会有不同的人来办理入住,采用静态IP地址会造成很多不必要的麻烦,所以采用DHCP动态分配IP地址的方法来给每个接入有线网络的用户,但是有可能客人访问恶意攻击网站,对网络产生ARP攻击,在接入层交换机选择时候考虑选择带有ARP防御功能的交换机。在酒店网络的出口的地方布署硬件防火墙,进行区域划分,分为**untrust(****不信任域),trust(*信任域)和DMZ(*隔离区)**并且分配不同的安全级别来保证网络的安全性。
(2)无线网络安全需求分析
虽然无线网络为网络的接入带来了便捷,随时随地的接入很符合当代人的节奏。但是无线网络的安全性同样是值得被关注的一个问题,无线通过空气传播保证无线的安全性更加有难度。通过对无线的接入的方式进行加密的方式来保证无线网络的安全,每一个需要接入无线网络的用户都需要输入正确的密码才能顺利的接入无线网络,否则无法接入到酒店的无线网络,以此来提高无线网络的安全性。
(3)Internet访问权限控制
办公网:静态分配IP地址,办公网所有的客户端都可以通过防火墙访问Internet。
客房网:无需认证即可访问Internet,通过DHCP动态分配IP地址。客房网所有用户也可以访问Internet。
(4)上网行为监控
安装相应的安全管理软件。酒店内部网络采用为每个房间单独划分一个VLAN,通过对应的VLAN ID来识别房间号,完成用户上网行为的记录、跟踪、分析,实现各种条件下的查询功能。
3、网络管理需求
网络设备分布在酒店的各个角落,如果每台设备管理维护都需要找到物理位置然后插上console线才能进行管理维护,这给网络管理员大大增加了工作量。所以将每台设备配置远程功能是必要的,网络管理员可以通过设定的账号密码,远程登陆管理酒店的网络设备,给网络管理员大大降低了复杂程度,同时如果只是telnet的方式可能会发生安全隐患,所以需要配置更加安全的SSH的登陆方式,并且给每个管理员不同的权限。防止登陆的用户误操作导致网络故障。
三、酒店无线局域网项目设计方案
1、网络层次设计
(1)酒店建设目标
豪林格泰酒店网络系统建设的总体目标是:建设一个核心业务有备份,能够保证安全可靠的高性能的网络系统,其中包含多用途的办公自动化系统,并且能够适应日益发展的酒店业务需求的现代化、智能化的酒店。从而实现对酒店的电气、防火防盗、监控、计算机网络通信等全套实施按需控制,实现资源共享并且与互联网通信的需求.
网络规划设计范围包括整个酒店的办公区域、客房区域和网络中心以及其他公共区域,要求采用先进、成熟、可靠实用的结构化网络系统方案。
(2)网络规划原则
针对豪林格泰酒店项目的特点,根据现有的规范要求,采用成熟先进的技术,以经济适用、高可靠性为原则,来设计规划酒店的网络系统方案。
根据豪林格泰酒店的特点,从酒店的使用方的利益出发,总体来考虑设计方案、分步骤实施,整个系统具有充分的可靠性和可扩展性,达到较高的性能价格比。确保工程成为技术先进、可靠性较高、经济合理、具有国内领先水平的酒店管理网络设计。
(3)豪林格泰酒店平面图
图3.1豪林格泰酒店一楼平面分布图
图3.2豪林格泰酒店二楼平面分布图
图3.3豪林格泰酒店三、四楼平面分布图
(4)豪林格泰酒店综合布线图
图3.4豪林格泰酒店一、二楼网络综合布线图
图3.5豪林格泰酒店三、四楼网络综合布线图
(5)豪林格泰酒店仿真网络拓扑图
图3.6豪林格泰酒店仿真网络拓扑图
2、设备命名及IP规划
(1)设备命名规范
为了便于后续对酒店网络设备进行维护和配置,对豪林格泰酒店网络中的设备进行标准化的格式命名,具体的规划如下:
豪林格泰酒店网络设备采用的名称格式为:[A]_[B]_[C]_[D]_[E]_[F]
A:代表酒店的名称,酒店网络中的所有网络设备统一为HLGT开头,以此来表示豪林格泰酒店。
B:代表设备所处的网络,办公网采用O,客房和休闲区采用G,只有接入层需要区分办公网和客房网。
C:代表设备所处位置,例如WLZX—网络中心,F1—1楼,F2—2楼,F3—3楼等。
D:表示设备类型编码的标志位,例如:JRSW-接入交换机, HXSW-核心交换机。
E:表示设备型号,例如3700、5700、2220等。
F:表示设备系列好,如果名称格式中前几位参数都相同时,用该系列号来进行区分。例如:核心层的两台交换机,其中一台核心交换机名为HLGT_WLZX_HZSW_5700_1
表3-1豪林格泰酒店网络设备命名表
网络设备
设备名称
备注
一楼办公区接入交换机
HLGT_O_F1_JRSW_3700_1
办公网
一楼办公区无线访问接入设备
HLGT_O_F1_AP_2050_1
一楼前台接入交换机
HLGT_O_F1_JRSW_3700_2
一楼前台无线访问接入设备
HLGT_O_F1_AP_2050_2
二楼休闲区接入交换机
HLGT_G_F2_JRSW_3700_1
客房网
二楼休闲区无线访问接入设备
HLGT_G_F2_AP_2050_1
二楼客房接入交换机
HLGT_G_F2_JRSW_3700_2
二楼客房无线访问接入设备
HLGT_G_F2_AP_2050_2
三楼客房接入交换机
HLGT_G_F3_JRSW_3700_1
三楼客房无线访问接入设备
HLGT_G_F3_AP_2050_1
四楼客房接入交换机
HLGT_G_F4_JRSW_3700_1
四楼客房无线访问接入设备
HLGT_G_F4_AP_2050_1
网络中心核心交换机1
HLGT_WLZX_HXSW_5700_1
网络中心
网络中心核心交换机2
HLGT_WLZX_HXSW_5700_2
网络中心无线控制器
HLGT_WLZX_AC_6605_1
网络中心DMZ接入交换机
HLGT_WLZX_RJSW_3700_1
网络中心出口防火墙
HLGT_WLZX_FW_6000V_1
(2)VLAN和IP地址规划
豪林格泰酒店分为办公网和客房网,办公网和客房网之间不能通信,采用逻辑隔离,办公网有四个部门,为了避免二层广播风暴阻止部门之间的二层通信,为每个部门划分不同的VLAN,客房网每层划分一个VLAN,采用192.168.0.0/16网段地址为每个部门和楼层划分一个C类IP地址。每个网段最后一个可用的IP地址做为此部门/楼层的网关地址,各部门和楼层的IP地址规划及VLAN的命名如下:
表3-2各部门和楼层的IP地址规划
序号
部门/楼层
VLANID
网段地址
子网掩码
网关
1
总经理办公室
Vlan10
192.168.10.0
255.255.255.0
192.168.10.254
2
财务办公室
Vlan20
192.168.20.0
255.255.255.0
192.168.20.254
3
文员办公室
Vlan30
192.168.30.0
255.255.255.0
192.168.30.254
4
一楼前台
Vlan40
192.168.40.0
255.255.255.0
192.168.40.254
5
二楼客房
Vlan50
192.168.50.0
255.255.255.0
192.168.50.254
6
三楼客房
VLAN60
192.168.60.0
255.255.255.0
192.168.60.254
7
四楼客房
VLAN70
192.168.70.0
255.255.255.0
192.168.70.254
8
办公网无线
VLAN101
192.168.101.0
255.255.255.0
192.168.101.254
9
客房网无线
VLAN102
192.168.102.0
255.255.255.0
192.168.102.254
10
AP管理地址
VLAN100
192.168.100.0
255.255.255.0
192.168.100.254
为了保证酒店办公网的安全,酒店办公网和酒店网络中心的服务器都采用手工静态IP地址分配,采用192.168.0.0/16这个网段地址来分配地址,酒店办公网和酒店网络中心服务器的IP分配如下:
表3-3办公网和网络中心服务器主机的IP地址规划
序号
设备名
所属部门
IP地址
子网掩码
网关
1
Pc1
总经理办公室
192.168.10.10
255.255.255.0
192.168.10.254
2
Pc2
财务办公室
192.168.20.10
255.255.255.0
192.168.20.254
3
Pc3
文员办公室
192.168.30.10
255.255.255.0
192.168.30.254
序号
设备名
所属部门
IP地址
子网掩码
网关
4
Pc4
一楼前台
192.168.40.10
255.255.255.0
192.168.40.254
5
DNS
网络中心
192.168.80.100
255.255.255.0
192.168.80.254
6
WWW
网络中心
192.168.80.101
255.255.255.0
192.168.80.254
酒店中的网络设备互联地址使用192.168.1.0/24这个网段,为了节约IP地址采用CLSM子网划分技术来分配IP地址,网络设备IP地址分配如下:
表3-4办网络设备的IP地址规划
序号
设备名
接口
IP地址
子网掩码
备注
1
HLGT_WLZX_HXSW_5700_1
VLAN2
192.168.1.2
255.255.255.252
FW1
VLAN10
192.168.10.253
255.255.255.0
Vlan20
192.168.20.253
255.255.255.0
Vlan30
192.168.30.253
255.255.255.0
Vlan40
192.168.40.253
255.255.255.0
Vlan50
192.168.50.253
255.255.255.0
Vlan60
192.168.60.253
255.255.255.0
Vlan70
192.168.70.253
255.255.255.0
2
HLGT_WLZX_HXSW_5700_1
VLAN3
192.168.1.6
255.255.255.252
FW1
VLAN10
192.168.10.253
255.255.255.0
Vlan20
192.168.20.253
255.255.255.0
Vlan30
192.168.30.253
255.255.255.0
Vlan40
192.168.40.253
255.255.255.0
Vlan50
192.168.50.253
255.255.255.0
Vlan60
192.168.60.253
255.255.255.0
Vlan70
192.168.70.253
255.255.255.0
3
LGT_WLZX_FW_6000V_1
G0/0/0
192.168.200.10
255.255.255.0
web登录
G1/0/0
192.168.1.1
255.255.255.252
G1/0/1
192.168.1.5
255.255.255.252
G1/0/4
192.168.80.254
255.255.255.252
DMZ区
G1/0/2
200.0.0.1
255.255.255.0
untru
四、网络设备的选择
1、防火墙
(1)防火墙设备选型
做为酒店整个网络出口设备,需要保证网络的安全性和提供高速的转发数据的同时还要提供NAT转换,华为USG6306E防火墙可以提供万兆的速率也有较高的可靠性和安全性,所以选择华为USG6306E防火墙做为酒店的出口是比较合适的。
图4.1华为USG6306E防火墙图
表4-1华为USG6306E防火墙参数
参数规格
主要参数
网络端口
2×10GE(SFP+)
8×GE Combo
2xGE WAN
控制端口
1×USB2.0
1×USB3.0
管理
应用:可以识别6000+应用,访问控制精度到应用功能
支持WEB网管
支持基于Netconf/Yang 的云管理(状态可视)
一般参数
电源
AC 100_240V;60W
外形设计
1U
产品尺寸
442×420×44mm
产品重量
5.8kg
适用环境
工作温度:0-45℃
存储温度:-40-70℃
工作湿度:5%-95%(非凝露)
存储湿度:5-95%
其他性能
外置存储:选配,支持M.2卡,240GB
保修信息
保修政策
全国联保,享受三包服务
2、交换机
(1)核心层交换机选型
华为S5730S-48C-E1-AC交换机是华为公司的三层10/100/100Mbps的交换机,提供全千兆接入以及固定万兆上行接口,可以提供高速率可靠的带宽转发的一台交换机,所以选择华为S5730S-48C-E1-AC交换机做为酒店的核心层交换机较为合适。
图4.2华为S5730S-48C-E1-AC 交换机
表4-2-1S5730S_48C-E1-AC 交换机参数
参数规格
主要参数
产品类型
千兆以太网交换机
应用层级
三层
传输速率
10/100/1000Mbps
交换方式
存储_转发
背板带宽
680Gbps/6.8Tbps
包转发率
444Mpps
MAC地址表
32K
端口参数
端口结构
非模块化
端口数量
32个
端口描述
24个10/100/1000Base_T,8个万兆SFP+
扩展模块
提供一个子卡槽位,提供4*40GE QSFP+接口
传输模式
全双工/半双工自适应
功能特性
网络标准
IEEE 802.3,IEEE 802.3u,IEEE 802.3ab,IEEE 802.3z,IEEE 802.3x,IEEE 802.1Q,IEEE 802.1d,IEEE 802.1X
堆叠功能
可堆叠
其它参数
电源电压
AC 100-240V;50/60Hz
电源功率
62.4W(不含插卡)
产品尺寸
442×420×44.4mm
环境标准
工作温度:-5-50℃
工作湿度:5%-95%
其它参数
IP路由:静态路由、RIPv1/2、RIPng、OSPF、OSPFv3、ECMP、ISIS、ISISv6、BGP、BGP4+、VRRP、VRRP6
保修信息
保修政策
全国联保,享受三包服务
质保时间
一年
(2)接入层交换机选型
华为S200-24P4S交换机是一台10/100/100Mbps自适应的一台二层交换机,并且可以提供给AP供电的POE交换机,酒店内的无线接入点AP就不需要在单独部署电源线,为布线节约了人工和成本,所以选择华为S200-24P4S交换机作为接入层交换机较为合适。
图4.3华为S200-24P4S交换机
表4-3华为S200-24P4S交换机参数
参数规格
主要参数
产品类型
千兆以太网交换机,智能交换机,网管交换机,POE交换机
应用层级
二层
传输速率
10/100/1000Mbps
交换方式
存储-转发
背板带宽
336Gbps
包转发率
42Mpps
MAC地址表
16K
端口参数
端口结构
非模块化
端口数量
28个
端口描述
24个10/100/1000BASE-T 以太网端口,4个千兆SFP
功能特性
VLAN
支持4K VLAN
网络管理
支持WEB网管
支持基于Netconf/Yang 的云管理(状态可视)
电口支持端口休眠
支持802.3az 能效以太网 EEE
支持智能升级
安全管理
支持端口安全
支持广播、组播、未知单播风暴控制
支持端口隔离
其它参数
电源电压
交流输入:100V AC~240V AC,50/60Hz
电源功率
不使用PoE:53.2W,PoE满载:433.2W(PoE:380W)
产品尺寸
44222043.6mm
产品重量
3.91kg
环境标准
工作温度:-5℃-50℃(长期),-5℃-55℃(短期)
存储温度:-40℃-70℃
工作湿度:5%-95%
其它参数
业务口防雷:±10kV
电源口防雷:差模±6 kV,共模±6kV
散热方式:无风扇,自然散热
保修信息
保修政策
全国联保,享受三包服务
质保时间
一年
3、无线设备
(1)无线控制器AC选型
华为AC6005无线控制器是一台支持同时管理128个AP数量的AC,满足了豪林格泰酒店的现阶段业务需求,以及将来业务扩展的需求。所以选择华为AC6005无线控制器作为酒店无线控制器较为合适。
图4.4华为AC6005无线控制器
表4-4华为AC6005无线控制器参数
产品概述
管理AP数量
128
产品尺寸
320×233.6×43.6mm
产品重量
2.05kg
其他参数
端口:6×GE+2×GE Combo
PoE:8端口PoE/4端口PoE+
转发能力:4Gbit/s
无线用户接入能力:2K
功能描述
AP与AC间组网方式:支持L2/L3层网络拓扑
转发模式:支持直接转发/隧道转发
AC冗余备份:支持1+1热备/N+1备份方式
无线协议:IEEE 802.11a/b/g/n/ac
(2)无线访问接入点AP选型
酒店的AP放置点都在室内,无线覆盖范围不需要很宽,所以选择华为2050无线接入点较为合适,满足业务需求的同时也节约开销。
图4.5华为2050无线接入点
表4-5华为2050无线接入点
参数规格
主要性能
产品类型
室内接入点
网络标准
802.11a/b/g/n/ac/ac wave2
最高传输速率
1.267Gbps
频率范围
双频(2.4GHz,5GHz)
网络接口
提供1个GE上行和4个GE下行,同时提供2个RJ45电话直通口(兼容RJ11)
天线
天线类型
内置全向天线
其它参数
电源电压
DC:48V±5%
PoE供电:满足802.3af/at以太网供电标准
电源功率
11.5W
产品尺寸
140×86×36mm
环境标准
工作温度:0℃~+40℃
其它特点
可同时在线的用户数量:≤256
最大发射功率:2.4G:21dBm(组合功率)
5G:20dBm(组合功率)
MIMO:空间流:2×2:2
五、网络设备配置实现
1、VLAN以及接口配置
(1)接入层交换机
<huawei>system-view //进入系统视图
[huawei] sysname HLGT_O_F1_JRSW_3700_1 //设备命名
[HLGT_O_F1_JRSW_3700_1] vlan batch 10 20 30 40 50 60 70 100 to 101//创建VLAN
[HLGT_O_F1_JRSW_3700_1]interface Ethernet0/0/1 //进入E0/0/1接口
[HLGT_O_F1_JRSW_3700_1-Ethernet0/0/1]port link-type access //接口模式改为access
[HLGT_O_F1_JRSW_3700_1-Ethernet0/0/1]port default vlan 10 //接口加入VLAN10
[HLGT_O_F1_JRSW_3700_1]interface Ethernet0/0/11 //进入接口E0/0/11
[HLGT_O_F1_JRSW_3700_1-Ethernet0/0/1]port link-type access //接口模式改为access
[HLGT_O_F1_JRSW_3700_1-Ethernet0/0/1]port default vlan 20 //接口加入vlan20
[HLGT_O_F1_JRSW_3700_1]interface Ethernet0/0/22 //进入接口E0/0/22
[HLGT_O_F1_JRSW_3700_1-Ethernet0/0/22]port link-type trunk //接口模式改为trunk
[HLGT_O_F1_JRSW_3700_1-Ethernet0/0/22]port trunk pvid vlan 100 //接口的PVID改为100
[HLGT_O_F1_JRSW_3700_1-Ethernet0/0/22]port trunk allow-pass vlan 100 to 101
//接口允许通过的VLAN
[HLGT_O_F1_JRSW_3700_1]interface GigabitEthernet0/0/1 //进入接口G0/0/1
[HLGT_O_F1_JRSW_3700_1-GigabitEthernet0/0/1]port link-type trunk //接口模式改为trunk
[HLGT_O_F1_JRSW_3700_1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40 50 60 70 100 to 101 //接口允许通过的VLAN
注:接入层交换机只以一个为案例,一个设备多个接口相似配置以其中一个为案例
(2)核心层交换机
<huawei>system-view //进入系统视图
[huawei] sysname HLGT_WLZX_HXSW_5700_1 //设备命名
[HLGT_WLZX_HXSW_5700_1] vlan batch 10 20 30 40 50 60 70 100 to 101
//创建VLAN
[HLGT_WLZX_HXSW_5700_1]interface GigabitEthernet0/0/1
[HLGT_WLZX_HXSW_5700_1-GigabitEthernet0/0/1] port link-type trunk
[HLGT_WLZX_HXSW_5700_1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40 50 60 70 100 to 102
注:以一个核心层交换机以例,其他设备接口配置类似
2、端口安全配置
[HLGT_O_F1_JRSW_3700_1]interface Ethernet0/0/1 //进入接口
[HLGT_O_F1_JRSW_3700_1-Ethernet0/0/1]port-security enable //开启端口安全
[HLGT_O_F1_JRSW_3700_1-Ethernet0/0/1]port-security mac-address sticky
//接口MAC粘贴
[HLGT_O_F1_JRSW_3700_1-Ethernet0/0/1]port-security mac-address sticky 5489-9885-2e55 VLAN10 //绑定接口的MAC和VLAN
注:以其中一个端口为例,其他端口配置类似
3、DHCP配置
[HLGT_WLZX_HXSW_5700_1]dhcp enable //开启DHCP服务
[HLGT_WLZX_HXSW_5700_1]ip pool vlan50 //创建命为VLAN50的地址池
[HLGT_WLZX_HXSW_5700_1-ip-pool-vlan50]gateway-list 192.168.50.254 //指定网关地址
[HLGT_WLZX_HXSW_5700_1-ip-pool-vlan50]network 192.168.50.0 mask 255.255.255.0
//指定分配的地址网段
[HLGT_WLZX_HXSW_5700_1-ip-pool-vlan50]dns-list 192.168.80.100 //指定DNS地址
[HLGT_WLZX_HXSW_5700_1-Vlanif50]interface Vlanif50 //进入VLAN50接口
[HLGT_WLZX_HXSW_5700_1-Vlanif50]dhcp select global //开启全局DHCP地址分配
注:以其中一个地址池为例,其他地址池的配置类似
3、MSTP配置
[HLGT_WLZX_HXSW_5700_1]stp region-configuration //进入stp配置
[HLGT_WLZX_HXSW_5700_1-mst-region]region-name HLGT //mstp命名
[HLGT_WLZX_HXSW_5700_1-mst-region]instance 1 vlan 10 20 30 101 //实例1
[HLGT_WLZX_HXSW_5700_1-mst-region]instance 2 vlan 40 50 60 70 102 //实例2
[HLGT_WLZX_HXSW_5700_1-mst-region]instance 3 vlan 100 //实例3
[HLGT_WLZX_HXSW_5700_1-mst-region]active region-configuration
//注册实例,使配置生效
[HLGT_WLZX_HXSW_5700_1]stp instance 1 root primary //指定为实例1的主根桥
[HLGT_WLZX_HXSW_5700_1]stp instance 2 root secondary //指定为实例2的次根桥
4、VRRP配置
5、OSPF配置
(1)核心交换机配置
[HLGT_WLZX_HXSW_5700_1]ospf 1 router-id 192.168.1.2 //开启ospf进程并且配置route-id
[HLGT_WLZX_HXSW_5700_1-ospf-1]area 0.0.0.0 //进入区域
[HLGT_WLZX_HXSW_5700_1-ospf-1-area-0.0.0.0]network 192.168.1.2 0.0.0.0
//宣告主接口地址
[HLGT_WLZX_HXSW_5700_1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[HLGT_WLZX_HXSW_5700_1-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255
[HLGT_WLZX_HXSW_5700_1-ospf-1-area-0.0.0.0]network 192.168.30.0 0.0.0.255
[HLGT_WLZX_HXSW_5700_1-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255
[HLGT_WLZX_HXSW_5700_1-ospf-1-area-0.0.0.0]network 192.168.50.0 0.0.0.255
[HLGT_WLZX_HXSW_5700_1-ospf-1-area-0.0.0.0]network 192.168.60.0 0.0.0.255
[HLGT_WLZX_HXSW_5700_1-ospf-1-area-0.0.0.0]network 192.168.70.0 0.0.0.255
//宣告网段地址
(2)边界防火墙配置
[HLGT_WLAX_FW_6000V_1]ospf 1 router-id 192.168.1.1
//开启ospf进程并且配置route-id
[HLGT_WLAX_FW_6000V_1-ospf-1]default-route-advertise always
//强制下发默认路由
[HLGT_WLAX_FW_6000V_1-ospf-1]area 0.0.0.0 //进入区域
[HLGT_WLAX_FW_6000V_1-ospf-1-area-0.0.0.0]network 192.168.1.1 0.0.0.0
//宣告接口地址
[HLGT_WLAX_FW_6000V_1-ospf-1-area-0.0.0.0]network 192.168.1.5 0.0.0.0
[HLGT_WLAX_FW_6000V_1-ospf-1-area-0.0.0.0]network 192.168.80.0 0.0.0.255
//宣告DMZ网段
6、ACL配置
(1)办公网中拒绝文员办公室访问总经理办公室
[HLGT_O_F1_JRSW_3700_1]acl 3000
[HLGT_O_F1_JRSW_3700_1-acl-adv-3000]rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
[HLGT_O_F1_JRSW_3700_1-acl-adv-3000]rule 10 permit ip
[HLGT_O_F1_JRSW_3700_1]interface Ethernet0/0/1
[HLGT_O_F1_JRSW_3700_1-Ethernet0/0/1]traffic-filter inbound acl 3000
//在接口调用acl策略
(2)拒绝客房网的访问除前台以外的办公网
7、无线控制器AC配置
(1)无线控制器基础配置
<huawei>system-view //进入系统视图
[huawei] sysname HLGT_WLZX_AC_6605_1 //设备命名
[HLGT_WLZX_AC_6605_1] vlan batch 100 //创建VLAN
[HLGT_WLZX_AC_6605_1]stp enable //开启STP,AC默认未开启STP
[HLGT_WLZX_AC_6605_1]int g0/0/1 //进入接口
[HLGT_WLZX_AC_6605_1-GigabitEthernet0/0/1] port link-type trunk
//接口模式改为trunk
[HLGT_WLZX_AC_6605_1-GigabitEthernet0/0/1]port trunk allow-pass vlan 100
//接口允许VLAN100通过
[HLGT_WLZX_AC_6605_1]dhcp enable //开启DHCP功能
[HLGT_WLZX_AC_6605_1-Vlanif100]interface Vlanif100 //进入VLAN100接口
[HLGT_WLZX_AC_6605_1-Vlanif100]ip address 192.168.100.1 255.255.255.0
[HLGT_WLZX_AC_6605_1-Vlanif100]dhcp select interface //接口开启DHCP服务
(2)capwap隧道建立配置
[HLGT_WLZX_AC_6605_1]capwap source interface vlanif100 //建立capwap隧道
(3) AP上线配置
[HLGT_WLZX_AC_6605_1]wlan //进入WLAN视图
[HLGT_WLZX_AC_6605_1-wlan-view]regulatory-domain-profile name domain
//创建域名
[HLGT_WLZX_AC_6605_1-wlan-regulate-domain-domain]country-code cn
//指定国家代码
[HLGT_WLZX_AC_6605_1-wlan-view]ap-group name group1 //创建ap组
[HLGT_WLZX_AC_6605_1-wlan-ap-group-group1]regulatory-domain-profile domain
//绑定域名
[HLGT_WLZX_AC_6605_1-wlan-view]ap auth-mode mac-auth //AP的认证方式
[HLGT_WLZX_AC_6605_1-wlan-view]ap-id 1 ap-mac 00e0-fcb3-1c70
//绑定AP的MAC地址
[HLGT_WLZX_AC_6605_1-wlan-ap-1]ap-name HLGT_O_F1_2050_1 //AP命名
[HLGT_WLZX_AC_6605_1-wlan-ap-1]ap-group group1 //添加到group1组中
(4)SATA业务上线配置
[HLGT_WLZX_AC_6605_1-wlan-view]ssid-profile name wlan //创建SSID
[HLGT_WLZX_AC_6605_1-wlan-ssid-prof-wlan]ssid HLGT_office //SSID名字
HLGT_WLZX_AC_6605_1-wlan-view]security-profile name wlan //安全模板
[HLGT_WLZX_AC_6605_1-wlan-sec-prof-wlan]security wpa-wpa2 psk pass-phrase a1234567 aes //WLAN加密方式和密码
[HLGT_WLZX_AC_6605_1-wlan-view]vap-profile name wlan //VAP模板
[HLGT_WLZX_AC_6605_1-wlan-vap-prof-wlan]service-vlan vlan-id 101 //业务VLAN
[HLGT_WLZX_AC_6605_1-wlan-vap-prof-wlan]ssid-profile wlan //绑定SSID模板
[HLGT_WLZX_AC_6605_1-wlan-vap-prof-wlan]security-profile wlan//绑定安全模板
[HLGT_WLZX_AC_6605_1-wlan-ap-group-group`]ap-group name group1
[HLGT_WLZX_AC_6605_1-wlan-ap-group-group1]vap-profile wlan wlan 1 radio 0
//0代表2.4GHZ
[HLGT_WLZX_AC_6605_1-wlan-ap-group-group1]vap-profile wlan wlan 1 radio 1
//1代表5GHZ
(5)SSH登录配置
[HLGT_WLZX_HXSW_5700_1]stelnet server enable //开启SSH服务
[HLGT_WLZX_HXSW_5700_1]rsa local-key-pair create //生成秘钥
[HLGT_WLZX_HXSW_5700_1]aaa //进入AAA配置视图
[HLGT_WLZX_HXSW_5700_1-aaa] local-user hlgt password cipher hlgt123 //配管理员置用户名和密码
[HLGT_WLZX_HXSW_5700_1-aaa]local-user hlgt privilege level 15
//配置管理员用户等级
[HLGT_WLZX_HXSW_5700_1-aaa]local-user hlgt service-type ssh
//配置管理员用户使用服务
[HLGT_WLZX_HXSW_5700_1]user-interface vty 0 4
[HLGT_WLZX_HXSW_5700_1-ui-vty0-4]authentication-mode aaa //配置认证方式
[HLGT_WLZX_HXSW_5700_1-ui-vty0-4]protocol inbound ssh //登录方式
8、防火墙配置
(1)防火墙基础配置
用防火墙默认管理员用户名和密码登录防火墙进行初始化配置
防火墙默认管理员用户名:admin
防火墙默认密码:Admin@123
第一次登录会提示修改密码
防火墙修改后的密码:admin@123
<huawei>system-view //进入系统视图
[huawei] sysname HLGT_WLAX_FW_6000V_1 //设备命名
(2)防火墙web登录配置
通过ENSP的云桥接到物理机,配置如下:
图5.1ENSP云与物理机桥接配置界面
防火墙接口配置和本机环回网卡同网段的IP地址,并且开启HTTPS服务
[HLGT_WLAX_FW_6000V_1]int g0/0/0
[HLGT_WLAX_FW_6000V_1-GigabitEthernet0/0/0]interface GigabitEthernet0/0/0
[HLGT_WLAX_FW_6000V_1-GigabitEthernet0/0/0]ip binding vpn-instance default
[HLGT_WLAX_FW_6000V_1-GigabitEthernet0/0/0]ip address 192.168.200.10 255.255.255.0
[HLGT_WLAX_FW_6000V_1-GigabitEthernet0/0/0]service-manage https permit
使用Chrome(谷歌浏览器)登录防火墙Web页面:https://192.168.200.10:8443
图5.2防火墙web登录窗口
防火墙策略配置
图5.3防火墙策略配置
边界防火墙easy ip配置
图5.4防火墙NAT配置
边界防火墙服务器NAT配置
图5.5防火墙服务器NAT配置
六、测试
1、DHCP测试
在基本配置里面IPV4配置选择DHCP获取方式
图6.1PC选择DHCP获取方式
图6.2DHCP获取结果
通过ipconfig命令可以看出PC端已经获取到了地址。
2、端口MAC绑定情况
图6.3端口MAC绑定情况
可以看到接口绑定MAC的情况已经生效。
3、无线测试
在基本配置里面IPV4配置选择DHCP获取方式
图6.4无线信号
在VAP列表中已经可以看到WLAN信号,输入密码进行无线的接入。
图6.5STA获取地址情况
通过ipconfig命令可以看出STA端已经获取到了地址。
4、ACL测试
文员办公室不允许访问总经理办公室,用ping命令测试。
图6.6文员办公室访问总经理办公室
通过ping命令的测试结果可以看出,文员办公室不能和总经理办公室通信。
客房区不能和办公区通信,用ping命令测试
图6.7客房区访问办公区
通过ping命令的测试结果可以看出,客房区域不能和办公区域通信。
客房区域可以访问前台的PC,进行线上的房间的续费和退房服务。
图6.8客房区访问前台
通过ping命令的测试结果可以看出,客房区域可以和前台通信。
5、服务器访问测试
图6.9访问web服务器
通过客户端访问服务器的结果,可以看出,客户端可以通过域名来访问www服务器。
6、访问Internet测试
办公网的有线和无线网络都可以访问Internet.用ping命令进行测试。
图6.10办公有线网访问internet
图6.11办公无线网访问internet
通过ping命令的测试结果可以看出,办公区域的有线和无线网络都可以访问internet.
客房网的有线和无线网络都可以访问internet.用ping命令进行测试。
图6.12客房有线网访问internet
图6.13客房有线网访问internet
通过ping命令的测试结果可以看出,客房区域的有线和无线网络都可以访问internet.
7、SSH登录测试
通过网络管理设备远程登录来管理维护网络设备
注:ensp的PC无法SSH登录,所以用交换机代替
图6.14SSH登录界面
通过stelnet 192.168.1.6的结果可以看出,SSH配置成功,可以顺利的登录设备进行远程维护和配置。
七、项目总结
三年的大学生活在毕业设计项目总结这里就要告一段落了。经过一个多月的奋战我的毕业设计也终于完成了。通过这次毕业设计使我明白了自己所掌握的知识还只是冰山一角,很多东西只是一知半解的状态。此外,还得出一个结论:知识必须通过应用才能实现其价值!很多知识只是知道一点皮毛的话,如果要用在实战中还是会有一些大大小小的问题,有时候把知识点拆开来看都会,但是组合起来就会出现问题。这让我更加坚定在以后的学习中要更加脚踏实地的努力学习专业知识的决心,不能停留在会的层面而是要真正的理解。记得我刚刚进入大学的时候,陈鸣老师上课的时候对我们讲的一句话让我至今都映像深刻:既然选择了计算机这一行就注定这一辈子都要不停的学习。那个时候还不太能理解这句话真正的意思,但是随着这三年的学习让我渐渐的理解了这句话的真谛,计算机行业每时每刻都在出现新的知识,不管毕业后是升本继续学习还是找工作,永远都需要保存一颗学习的心。计算机行业日新月异的变化,也只有不断的学习才能赶上这时代的变化,让自己不被淘汰。
在做毕业设计的这段时间,很荣幸让我遇到我的指导老师邓丽君老师,一开始我的拓扑图搭建的不符合项目需求,我改了几次,每次老师都细心的告诉我哪里不行教我怎么改,一直到最后确定好拓扑图,平面图也画的不平,老师就很耐心的告诉我该怎么设计布局,后面我做完文档后格式又有许多问题,邓老师都一一给我指出来了,让我可以顺利的完成我的毕业设计。
我也很感谢为我解答疑惑的同学,记得我在配置防火墙NAT的时候,在做服务器NAT的时候,我不小心把WWW的公网地址配置成了internet的接口地址,导致整个网络都无法访问internet,于是我求助与我们班的同学,最后他帮我找出了问题,让我的网络可以顺利上网。这段时间我感觉自己成长了不少,除了学到了一些专业知识,也学会了自己独立解决问题,学会了如何自己做一个项目。
最后我想感谢我的指导老师邓丽君老师以及我的专业老师,是你们细心的指导,让我顺利完成了我的毕业设计,整个过程中我不只是学习到了很多专业知识,也培养了我独立工作的能力,提高了动手能力,同时也学到了一些做人做事的道理。
八、参考文献
[1]朱仕耿.华为技术认证HCNP路由交换机学习指南[M].北京:人民邮电出版社,2017.09:86-109
[2]华为技术有限公司.华为技术认证HCNP路由交换机实验指南[M].北京: 人民邮电出版社, 2017.9:30-42
[3]兰少华,杨余旺,吕建勇.TCP/IP网络与协议[M].北京.清华大学出版社.2017.06:52-65
[4]高峰,李盼星,杨文良,潘翔,王静. 华为技术认证HCNA-WLAN学习指南[M].北京:人民邮电出版社:2016.01:132-142
[6]杨丽莎,邓丽君. 广域网路由技术项目教程[M].本校教材.2020.07:98-207
[7]魏建英.网络故障诊断与排除[M].北京.高等教育出版社.2015.02:160-162
[8]卫少军.中小企业办公局域网组建方案[M].北京:科技情报开发与经济,2004.01:46-52
[9]陈向阳.网络互连[M].北京.电子工业出版社, 2010.09:43-46
[10]杨幸,杨丽莎.网络工程规划与设计案例教程[M].北京.高等教育出版社2015.01:57-58
[11][美]艾伦.约翰逊.思科网络安全技术学院教程CCNA网络安全运营[M].北京.人民邮电出版社.2019.08:89-102
版权归原作者 老李蒋靳孙(专业接毕设) 所有, 如有侵权,请联系我们删除。