中型商贸连锁店部署案例-华为防火墙方案

0

中型商贸连锁店部署案例-华为防火墙方案

1 适用范围和业务需求

适用范围

本方案适用于中型商贸连锁店,为用户有线无线终端、监控摄像头等提供网络接入通道,实现多业务承载,整个连锁店全网络覆盖的场景。

业务需求

  • 接入需求提供有线和无线接入方式。
  • 无线漫游需求支持商场内终端移动,网络时延小、业务不中断。
  • 安全性需求随着各类网络业务的发展,接入用户具有高移动性的特点,网络信息安全显得尤其重要。客户希望无线用户需要加密链接。

2 方案设计

组网图

中型商贸连锁店(5~10人)组网方案如下图所示。

图2-1 组网图

网络设计分析

  • 无线覆盖无线网络覆盖主要为商贸连锁店员工和访客提供网络接入Internet,主要采用预共享密钥的方式。
  • 无线业务统一由AP3010DN-V2(胖AP)管理。AP3010DN-V2同时作为无线终端的网关,并为无线终端分配IP地。
  • 有线接入有线接入主要给员工办公和接入Internet。AR511通过视频接口连接的视频显示器提供视频广告服务。
  • 有线用户不需要认证。
  • 有线终端的网关为USG6310,同时USG6310也是有线终端的DHCP Server,为有线终端分配IP地址。
  • 安全性需求USG6310上配置NAT功能,用于公私网地址转换;配置IPsec VPN功能,用于总部互联;配置安全功能,部署域间策略和上网行为管理;配置用户权限管控,控制防止访客访问内网。

方案涉及网元的软件版本要求

本方案适用的产品和版本如下表所示。

产品名 产品版本
USG6310S V500R001C30
AR511 V200R007C00
S1700-8G V100R006C00
AP3010DN-V2 V200R006C10

3 配置思路和数据规划

配置思路

采用如下的思路进行配置:

  1. AP3010DN-V2配置无线业务,主要为商贸连锁店员工和访客提供网络接入Internet,采用预共享密钥的方式。AP3010DN-V2同时作为无线终端的网关,并为无线终端分配IP地。
  2. USG6310S配置网络互通,并且作为有线终端的网关。
  3. USG6310S上配置NAT功能,用于公私网地址转换;配置IPsec VPN功能,用于总部互联。
  4. USG6310S上配置安全策略,控制无线接入终端和员工有线接入终端的权限。
  5. AR511通过视频接口连接的视频显示器提供视频广告服务。

数据规划

表3-1 接口规划

设备名

接口编号

所属VLAN

IP地址

描述

USG6310S

GE1/0/1

-

108.1.1.1/24

上行出口

GE1/0/2

VLAN201(缺省VLAN)

VLANIF201:10.106.1.1/24

有线用户接入

GE1/0/0

VLAN200、VLAN201(缺省VLAN)
  • VLANIF200:10.107.1.1/24
  • VLANIF201:10.106.1.1/24

下行连接S1700-8G,其中:

  • 无线用户的网关地址10.107.1.1
  • 视屏、摄像头和有线用户网关地址为10.106.1.1

    其中视屏和摄像头静态配置IP地址,IP可分配为10.106.1.129~10.106.1.254

    有线用户动态获取或静态配置IP地址,IP可分配为10.106.1.2~10.106.1.128

S1700-8G

GE0/0/23

-

-

连接USG6310S

GE0/0/21

-

-

连接AR511

GE0/0/4

-

-

连接有线摄像头

GE0/0/4

-

-

连接AP3010DN-AGN

AR511

GE0/0/0

-

10.106.1.254/24

连接交换机S1700-8G

表3-2 USG6310S业务数据规划

项目

说明

缺省路由

下一跳:108.1.1.2

优先级:60

NAT

  • Easyip

  • 源IP

  • 源安全区:trust

  • 目的类型:出接口GE1/0/1

安全区域trust

加入接口:

  • VLANIF200
  • VLANIF201

安全区域untrust

加入接口GE1/0/1

安全策略
  • 允许有线用户访问外网
    • 策略名称:wire_to_untrust
    • 源安全域:trust
    • 目的安全域:untrust
    • 源地址/区域:wire,包含IP地址:10.106.1.1/25
    • 动作:允许
  • 允许无线用户访问外网
    • 策略名称:wireless_to_untrust
    • 源安全域:trust
    • 目的安全域:untrust
    • 源地址/区域:wireless,包含IP地址:10.107.1.1/24
    • 动作:允许
  • IPsec安全策略(local_to_untrust)
    • 策略名称:local_to_untrust
    • 源安全域:local
    • 目的安全域:untrust
    • 源地址/区域:local,包含IP地址:108.1.1.1/32
    • 目的地址/区域:untrust,包含IP地址:108.2.1.1/32
  • IPsec安全策略(untrust_to_local)
    • 策略名称:untrust_to_local
    • 源安全域:untrust
    • 目的安全域:local
    • 源地址/区域:untrust,包含IP地址:108.2.1.1/32
    • 目的地址/区域:local,包含IP地址:108.1.1.1/32

IPsec策略

  • 名称:ipsec_vpn

  • 场景:点到点

  • 本端接口:GE1/0/1

  • 本端地址:108.1.1.1

  • 对端地址:108.2.1.1

  • 认证方式:预共享密钥

  • 预共享密钥:Huawei123

  • 本端ID:108.1.1.1

  • 对端ID:108.2.1.1

  • 待加密的数据流:

    • 源地址:10.106.1.1/25
    • 目的地址:10.100.1.1/24
    • 协议:any
    • 动作:加密

DHCP服务
  • 接口地址池:VLANIF200
  • 地址分配范围:10.107.1.1~10.107.1.254
  • DNS服务:指定首选DNS服务器地址114.114.114.114
  • 接口地址池:VLANIF201
  • 地址分配范围:10.106.1.1~10.106.1.127
  • DNS服务:指定首选DNS服务器地址114.114.114.114

表3-3 AP3010DN-V2的业务数据规划

项目

说明

VAP模板

  • 名称:wifi-1-5

  • 国家码:CHINA

  • SSID:wifi-1-5

    • 业务VLAN:200

    • WLAN ID:1

    • 射频:2.4G

    • 安全配置:WPA PSK安全策略;加密方式:aes;密码类型:PASS-PHRASE;密码:Huawei123

  • WLAN射频接口:2.4G:Wlan-Radio0/0/0;

  • 2.4G射频接口绑定vap模板:wifi-1-5

5G射频模板

  • 名称: default

2G射频模板

  • 名称: default

管理接口
  • vlanif200:10.107.1.2/24