1 适用范围和业务需求
适用范围
本方案适用于品牌大中连锁咖啡厅,为用户终端、监控摄像头、宣传视频显示器等提供网络接入通道,实现多业务承载,整个连锁店全网络覆盖的场景。
业务需求
- 接入需求提供有线和无线接入方式。
- 安全性需求随着各类网络业务的发展,接入用户具有高移动性的特点,网络信息安全显得尤其重要。客户希望:
- 不同类型用户具备不同的访问权限。
- 对连锁店总公司与分公司之间传输的数据进行保护处理。
- 认证需求对于门店区的顾客的无线接入无认证需求,但是员工无线接入,需要输入密码后才能接入网络。有线用户无认证需求。
2 方案设计
组网图
品牌大中连锁咖啡厅组网方案如下图所示。
网络设计分析
- 无线覆盖无线网络覆盖主要为咖啡厅员工和访客提供网络接入Internet,顾客采用开放认证(Open方式),员工主要采用预共享密钥的方式,需要输入密码才能接入网络。
- 无线业务统一由AR1220-S管理。AR1220-S同时作为无线终端的网关,并作为无线终端的DHCP Server,为无线终端分配IP地。
- 有线接入有线接入主要给员工办公和接入Internet。AR511通过视频接口连接的视频显示器提供视频广告服务。
- 有线用户不需要认证。
- AR1220-S作为有线终端的网关,并作为有线终端的DHCP Server,为有线终端分配IP地址。
- 安全性需求AR1220-S上配置NAT功能,用于公私网地址转换;配置IPSec VPN功能,用于总部互联;AR1220-S上配置用户权限管控,控制访客访问内网。
方案涉及网元的软件版本要求
本方案适用的产品和版本如下表所示。
| 产品名称 | 产品版本 |
|---|---|
| AR1220-S | V200R007C00 |
| S5700S-28P-PWR-LI | V200R009C00 |
| S5700-10P-PWR-LI | V200R009C00 |
| AP3030DN | V200R005C30 |
| AP2030DN | V200R005C30 |
| AR 511 | V200R007C00 |
3 配置思路和数据规划
配置思路
数据规划
表3-1 VLAN规划
|
项目 |
描述 |
|---|---|
|
VLAN102 |
有线用户业务VLAN |
|
VLAN103 |
无线用户业务VLAN |
表3-2 接口规划
|
设备名 |
接口编号 |
所属VLAN |
IP地址 |
描述 |
|---|---|---|---|---|
|
GE0/0/4 |
- |
200.1.1.1/24 |
上行出口 |
|
|
GE0/0/1 |
VLAN102和VLAN103 |
VLANIF102:192.168.102.1/24 VLANIF103:192.168.103.1/24 |
下行连接S5700S-28P-PWR-LI |
|
|
S5700S-28P-PWR-LI |
GE0/0/24 |
VLAN102和VLAN103 |
- |
连接AR1220-S |
|
GE0/0/17 |
VLAN102 |
- |
连接员工有线接入交换机S5700-10P-PWR-LI |
|
|
GE0/0/18 |
VLAN102 |
- |
连接AR511 |
|
|
GE0/0/22 |
VLAN102和VLAN103 |
- |
||
|
GE0/0/23 |
VLAN102和VLAN103 |
- |
连接AP2030DN区的交换机S5700-10P-PWR-LI |
|
|
S5700-10P-PWR-LI |
GE0/0/9 |
VLAN102和VLAN103 |
- |
连接交换机S5700S-28P-PWR-LI |
|
GE0/0/10 |
VLAN102和VLAN103 |
- |
连接AP或者有线用户 |
|
|
AR511 |
GE0/0/0 |
- |
192.168.102.2/24 |
连接交换机S5700S-28P-PWR-LI |
表3-3 业务数据规划
|
项目 |
描述 |
|---|---|
|
静态路由 |
|
|
NAT |
|
|
IPSec VPN |
|
|
DHCP |
|
|
射频和信道 |
|
|
服务集guest |
|
|
服务集employee |
|
|
用户权限管控 |
ACL:wire-wireless和wire(宣传视频和摄像头的流量仅能在本地转发,不进入IPsec VPN隧道;顾客和员工无线流量仅能访问互联网。) |
发表评论