1 适用范围和业务需求
适用范围
本方案适用于品牌中小连锁咖啡厅(门店),为用户终端、监控摄像头、宣传视频显示器等提供网络接入通道,实现多业务承载,整个连锁店全网络覆盖的场景。
业务需求
- 接入需求提供有线和无线接入方式。
- 安全性需求随着各类网络业务的发展,接入用户具有高移动性的特点,网络信息安全显得尤其重要。客户希望:
- 不同类型用户具备不同的访问权限。
- 对连锁店总公司与分公司之间传输的数据进行保护处理。
- 认证需求对于门店区的顾客的无线接入无认证需求,但是员工无线接入,需要输入密码后才能接入网络。有线用户无认证需求。
2 方案设计
组网图
品牌中小连锁咖啡厅(门店)组网方案如下图所示。
图2-1 组网图
网络设计分析
- 无线覆盖无线网络覆盖主要为咖啡厅员工和访客提供网络接入Internet,顾客采用开放认证(Open方式),员工主要采用预共享密钥的方式,需要输入密码才能接入网络。
- 无线业务统一由AR161-S管理。AR161-S同时作为无线终端的网关,并为无线终端分配IP地址。
- 有线接入有线接入主要给员工办公和接入Internet。AR511通过视频接口连接的视频显示器提供视频广告服务。
- 有线用户不需要认证。
- AR161-S作为有线终端的网关,也是有线终端的DHCP Server,为有线终端分配IP地址。
- 安全性需求AR161-S上配置NAT功能,用于公私网地址转换;配置IPsec VPN功能,用于总部互联;AR161-S上配置用户权限管控,控制访客访问内网。
方案涉及网元的软件版本要求
本方案适用的产品和版本如下表所示。
产品名称 | 产品版本 |
---|---|
AR161-S | V200R007C00 |
S5700S-28P-PWR-LI | V200R009C00 |
AP3030DN | V200R005C30 |
AR511 | V200R007C00 |
3 配置思路和数据规划
配置思路
采用如下的思路进行配置:
- AR161-S上配置NAT功能,用于公私网地址转换;配置IPsec VPN功能,用于总部互联。AR161-S上配置无线业务,同时作为无线终端的网关,为无线终端提供无线接入。顾客采用开放认证(Open方式),员工主要采用预共享密钥的方式,需要输入密码才能接入网络。AR161-S上配置用户权限管控,控制访客访问内网。
- S5700S-28P-PWR-LI部署有线功能,为有线用户、摄像头、收银台提供接入。
- AR511通过视频接口连接的视频显示器提供视频广告服务。
数据规划
表3-1 VLAN规划
项目 |
描述 |
---|---|
VLAN102 |
有线用户业务VLAN |
VLAN103 |
无线用户业务VLAN |
表3-2 接口规划
设备名 |
接口编号 |
所属VLAN |
IP地址 |
描述 |
---|---|---|---|---|
AR161-S |
GE0/0/4 |
- |
200.1.1.1/24 |
上行出口 |
GE0/0/1 |
VLAN102和VLAN103 |
VLANIF102:192.168.102.1/24 VLANIF103:192.168.103.1/24 |
下行连接S5700S-28P-PWR-LI |
|
S5700S-28P-PWR-LI |
GE0/0/24 |
VLAN102和VLAN103 |
- |
连接AR161-S |
GE0/0/17 |
VLAN102 |
- |
连接员工有线接入用户 |
|
GE0/0/18 |
VLAN102 |
- |
连接AR511 |
|
GE0/0/23 |
VLAN102和VLAN103 |
- |
连接AP3030DN-AGN |
|
AR511 |
GE0/0/0 |
- |
192.168.102.2/24 |
连接交换机S5700S-28P-PWR-LI |
表3-3 业务数据规划
项目 |
描述 |
---|---|
静态路由 |
|
NAT |
|
IPSec VPN |
|
DHCP |
|
射频和信道 |
|
服务集guest |
|
服务集employee |
|
用户权限管控 |
ACL:wire-wireless和wire(宣传视频和摄像头的流量仅能在本地转发,不进入IPsec VPN隧道;顾客和员工无线流量仅能访问互联网。) |
发表评论