家庭旅店(5-10间客房)部署案例-华为AR路由器方案

0

家庭旅店(5-10间客房)部署案例-华为AR路由器方案

1 适用范围和业务需求

适用范围

本方案适用于规模为5~10间客房的家庭旅店网络,为用户终端、监控摄像头等提供网络接入通道,实现多业务承载,整个旅店全网络覆盖的场景。

业务需求

  • 接入需求提供有线和无线接入方式。对员工、房客、访客进行二层隔离,减小广播域。设计用户数参考表1-1。

表1-1 设计用户数

用户类型 接入方式 数量
前台PC 有线 2
客房区PC 有线 8
大厅PC 有线 2
其他有线终端(摄像头、打印机、AP等) 有线 8
员工无线终端 无线 10
房客无线终端 无线 30
访客无线终端 无线 20
  • 安全性需求随着各类网络业务的发展,接入用户具有高移动性的特点,网络信息安全显得尤其重要。通过划分不同的VLAN,不用用户具有不同的访问权限。
  • 认证需求无认证需求。
  • 计费需求无计费需求。
  • 管理运维需求有线、无线网络共存,通过Web网管进行管理。

2 方案设计

组网图

家庭旅馆组网方案如下图所示。

图2-1 组网图

网络设计分析

  • 无线覆盖无线网络覆盖主要为大厅和客房区域内员工和顾客提供网络接入Internet。大厅区域的提供2个SSID,一个SSID hotel-lobby,需要输入密码来上网,专门为大厅和前台的外来人员提供无线上网;另一个SSID hotel-employee,需要输入密码来上网,专门为员工提供移动办公。
  • 客房区提供提供2个SSID,一个SSID hotel-employee(同大厅区域),另一个SSID hotel-guestroom,需要输入密码来上网,专门为房客提供无线上网。
  • 无线业务统一由AR121-S管理,AP采用二层上线。AR121-S同时作为无线终端的网关。AR121-S为AP和无线终端分配IP地址。
  • 有线接入有线接入主要给员工办公和接入Internet。接入交换机S1700-24GR作为二层接入,为有线用户和各种终端提供接入和二层数据转发功能。
  • 有线用户不需要认证。
  • 有线终端的网关为AR121-S设备,同时AR121-S也是有线终端的DHCP Server,为有线终端分配IP地址。
  • 安全性需求AR121-S上配置NAT功能,用于公私网地址转换;配置安全策略,控制无线接入终端和员工有线接入终端的访问权限,如客户无线接入终端无法访问有线终端。

方案涉及网元的软件版本要求

本方案适用的产品和版本如下表所示。

表2-1 产品和版本

产品名称 产品版本
AR121-S V200R008C20
S1700-24GR 无网管设备
AP3010DN-V2 V200R006C10

3 配置思路和数据规划

配置思路

采用如下的思路进行配置:

  1. 配置AP和有线终端上线。其中AR作为有线和无线终端网关,配置DHCP Server,为接入用户分配IP地址,为不同用户划分不同VLAN,对不同类型的用户实现二层隔离。在AR上配置无线业务,其中:大厅区域的提供2个SSID,一个SSID hotel-lobby,需要输入密码来上网,专门为大厅和前台的外来人员提供无线上网;另一个SSID hotel-employee,需要输入密码来上网,专门为员工提供移动办公。
  2. 客房区提供提供2个SSID,一个SSID hotel-employee(同大厅区域),另一个SSID hotel-guestroom,需要输入密码来上网,专门为房客提供无线上网。
  3. 无线业务统一由AR121-S管理,AP采用二层上线。AR121-S同时作为无线终端的网关。AR121-S为AP和无线终端分配IP地。
  4. 配置AR接入互联网,配置NAT功能,用于公私网地址转换。
  5. 配置安全策略,控制无线接入终端和员工有线接入终端的访问权限,如顾客无线接入终端无法访问有线终端。

数据规划

表3-1 VLAN规划

项目 描述
VLAN10 有线终端接入和无线管理VLAN
VLAN20 员工无线业务VLAN
VLAN30 房客无线用户无线业务VLAN
VLAN40 大厅访客无线业务VLAN

表3-2 接口规划

设备名 接口编号 所属VLAN IP地址 描述
AR121-S Eth0/0/4 - 202.1.1.254/24 上行出口,连接ISP(ISP地址为202.1.1.1)
Eth0/0/1
  • 缺省VLAN:10
  • Untagged:10
  • TAGGED VLAN:20、30、40
  • VLANIF10:192.168.10.1/24
  • VLANIF20:192.168.20.1/24
  • VLANIF30:192.168.30.1/24
  • VLANIF40:192.168.40.1/24
 下行接口,连接S1700-24GR
Eth0/0/0 - - 连接管理员

表3-3 AR121-S业务数据规划

项目 数据
DHCP业务 接口地址池:

  • VLANIF10:AP和有线设备
  • VLANIF20:员工无线终端
  • VLANIF30:房客无线用户无线终端
  • VLANIF40:大厅访客无线终端
WLAN服务

hotel-employee
  • 接入SSID:hotel-employee
  • 业务VLAN:VLAN20
  • 安全策略:WPA-WPA2,密码:employee
WLAN服务

hotel-guestroom
  • 接入SSID:hotel-guestroom
  • 业务VLAN:VLAN30
  • 安全策略:OPEN
WLAN服务

hotel-lobby
  • 接入SSID:hotel-lobby
  • 业务VLAN:VLAN40
  • 安全策略:WPA-WPA2,密码:hotellobby
安全策略ACL ACL denyguest:“大厅访客无线用户”、“客房无线用户”无法访问有线网段资源。

应用接口:VLANIF30、VLANIF40
路由 目的地址/掩码:0.0.0.0/0,下一跳:202.1.1.1,出接口:Ethernet0/0/4