無線網(wǎng)絡(luò)規(guī)劃的系統(tǒng)設(shè)計案例目錄無線網(wǎng)絡(luò)規(guī)劃的系統(tǒng)設(shè)計案例 1 2IP地址規(guī)劃及VLAN設(shè)計 3IP地址規(guī)劃方案 3VLAN規(guī)劃方案 3地址規(guī)劃總覽 5 5MSTP部署 6VRRP部署 7DHCP配置 9安全性部署 防火墻部署 DHCPsnooping+DAI部署 無線環(huán)境部署 1NAT部署 工作區(qū)子系統(tǒng) 系統(tǒng)設(shè)備選型 匯聚層設(shè)備選型 防火墻設(shè)備選型 路由器設(shè)備選型 系統(tǒng)拓?fù)湓O(shè)計系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5.1所示，采用穩(wěn)定的三層網(wǎng)絡(luò)架構(gòu)。三層結(jié)構(gòu)相較服務(wù)器核心交換機(jī)賓房第接入刻圖5.1系統(tǒng)拓?fù)銲P地址規(guī)劃及VLAN設(shè)計IP地址規(guī)劃方案本系統(tǒng)的設(shè)計目標(biāo)是為了建設(shè)適用于用戶規(guī)模數(shù)小于500人的海濱旅游度假障區(qū)域。VLAN規(guī)劃方案于端口和IP組播的劃分方法，將現(xiàn)網(wǎng)的接入?yún)^(qū)域劃分為不同的VLAN,將VLIP地址及VLAN劃分見表5-1所示。表5-1地址規(guī)劃設(shè)備編號接口IP地址VLANIF40表設(shè)備編號接口IP地址1111\\\\\\\\\VLANIF40\\\[Core1-Eth-Trunk1]trunkportGigab其余設(shè)備和其余鏈路的配置相同，配置完成后可在相應(yīng)設(shè)備上查看對應(yīng)鏈路中成員端口的選擇。如圖5.2所示，為核心交換機(jī)Corel的EtSystemPriority:32768圖5.2Eth-Trunk1鏈路活動端□選擇在交換機(jī)上部署MSTP協(xié)議，保證數(shù)據(jù)的負(fù)載均衡，提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑。其中核心層交換機(jī)Core1作為“辦公室”網(wǎng)絡(luò)的主根，其他區(qū)域的備份根；核心層交換機(jī)Core2作為其他區(qū)域的主根，為“辦公室”網(wǎng)絡(luò)的備份根。以下是基本配置：[Core1-mst-region]instance[Core1-mst-region]activereg交換機(jī)Core2配置相同，只需更改主備即可，在交換機(jī)配置完成后，會根據(jù)STP的選舉規(guī)則，選出相應(yīng)的根橋、根端口、指定端口和備份端口。如圖5.3和5.4所示。[[Core1]disstpbrief0GigabitEthe0GigabitEthe0GigabitEthe2GigabitEthernet?/0GigabitEthe0GigabitEthe2GigabitEthernet0/2GigabitEthernet0/0高容錯。設(shè)定鏈路追蹤以及搶占延時(15s),并配置15S的搶占延時。在主機(jī)下一跳路由器發(fā)生故障的情況下，VRRP可以保證用另一個路由器代替故障路由器工作，從而保證網(wǎng)絡(luò)通信的連續(xù)性和可靠性。以下是基本配置：1212[Core1-Vlanif20]vrr[Core1-Vlanif20]vrrpvrid2preempt-mo[Core1-Vlanif30]vrrpvrid3preempt-mo[Corel]intVlanif40[Core1-Vlanif40]vrr[Core1-Vlanif40]vrrpvrid4preempt-mo交換機(jī)Core2的配置與Core1相反，在配置了VRRP之后，可以在相依的設(shè)備上查看設(shè)備的主備選舉情況。如圖5.5和5.6所示，主備設(shè)備選舉成功，且34Vlanif20Vlanif30Total:4Master:1Backup:21342134Vlanif20Total:4Master:3Backup:1Non-active:0協(xié)議，且將DHCP服務(wù)器設(shè)置在核心層設(shè)備上，按照相應(yīng)的需求，在核心路由器設(shè)備上配置DHCP,使接入設(shè)備可以動態(tài)獲取IP。由于將化，因此在配置的過程中需要將核心交換機(jī)配置為DHCP中繼。[AR1]dhcpenable[Core1]dhcpenable其他路由器設(shè)備和其他地址池的配置相同，其他交換機(jī)及其接□的中繼配置相同。配置了DHCP后，可在終端自動獲取地址，如圖5.7所示。LinklocalIPv6address..圖5.7終端設(shè)備自動獲取地址安全性部署防火墻部署為了抵御攻擊，防止非法設(shè)備、非法攻擊入侵網(wǎng)絡(luò)，因此部署了防火墻設(shè)備，以滿足安全合規(guī)要求。將防火墻與內(nèi)外相連的區(qū)域設(shè)置為trust區(qū)域，與外網(wǎng)相連的區(qū)域設(shè)置為untrust區(qū)域。并通過安全策略使內(nèi)外可安全的訪問外網(wǎng)。安全策略如圖5.8所示。在運(yùn)行了安全策略后也可在防火墻的會話表中檢測到創(chuàng)建的會話。會話表項(xiàng)如圖5.9所示。destination-zonetrudestination-zonetru圖5.8防火墻安全策略telnetVPN:public-->public192.圖5.9防火墻會話表項(xiàng)DHCPsnooping+DAI部署依據(jù)現(xiàn)網(wǎng)網(wǎng)絡(luò)安全形勢來看，下層容易出現(xiàn)網(wǎng)絡(luò)安全攻擊，為做出相對應(yīng)解DHCP攻擊、中間人攻擊等。DAI動態(tài)ARP檢測是利用綁定表來防御中間人攻擊的。在設(shè)備接收到ARP報文時，要對與此ARP報文相對應(yīng)的綁定表信息進(jìn)行為了實(shí)現(xiàn)無線網(wǎng)絡(luò)的全覆蓋，將在酒店環(huán)境中部署無線網(wǎng)絡(luò)，按照使用場景的不同，分為辦公專用無線網(wǎng)絡(luò)和游客專用無線網(wǎng)功能，從而達(dá)到在漫游的同時網(wǎng)絡(luò)快速切換，業(yè)務(wù)不中斷。在系統(tǒng)環(huán)境中，以下為AC的參數(shù)規(guī)劃詳情，如表5-2所示。表5-2AC的參數(shù)規(guī)劃詳情設(shè)備名稱AP管理VLANVLAN:100IP:192.168.100.123/24AP業(yè)務(wù)VLANVLAN:101IP:192.168.101.123/24AP與交換機(jī)接□G0/0/1(Trunk端□,放行VLAN10to40100101)名稱：ap1國家碼：China安全策略：wpa-wpa2+PSK+AES引用模板：VAP模板wlan-office、2G射頻模板wlan-2g、5G射頻模名稱：ap2國家碼：China安全策略：WPA2+PSK+AES引用模板：VAP模板wlan-hotel、2G射頻模板wlan-2g、5G射頻模名稱：Hotel_officeSSID名稱：Hotel_office名稱：Hotel_officeSSID名稱：Hotel安全模板名稱：wlan-office安全策略：wpa-wpa2+PSK+AES名稱：wlan-hotel安全策略：wpa-wpa2+PSK+AES轉(zhuǎn)發(fā)模式：隧道轉(zhuǎn)發(fā)業(yè)務(wù)VLAN:101引用模板：SSID模板Hotel_office、安全模板Hotel_office名稱：wlan-hotel轉(zhuǎn)發(fā)模式：隧道轉(zhuǎn)發(fā)業(yè)務(wù)VLAN:101引用模板：SSID模板Hotel、安全模板wlan-hotel續(xù)表智能漫游：開啟2G射頻模板引用模板：RRM模板wlan-rrm5G射頻模板引用模板：RRM模板wlan-rrm如圖5.10所示為，無線的部署流程。SSIDSSID模板到AP組圖5.10無線的部署流程為在IPv4環(huán)境下解決網(wǎng)絡(luò)地址資源數(shù)量的問題，節(jié)省地址的使用，現(xiàn)以下是基本配置：[Internet-GigabitEthernet0/0/1]natoutbound2000interfaceloopback0如圖5.11所示，配置了NAT后，終端設(shè)備可以訪問外網(wǎng)地址。Ping192.168.0.200:32databytes,PressCtrl_cFrom192.168.0.200:bytes=32seq=1tt1=252From192.168.0.200:byteFrom192.168.0.200:bytes=32seq=4From192.168.0.200:bytes=325packet5packet(s)receiv0.008round-tripmin/avg/max=109/143/235ms圖5.11終端設(shè)備訪問外網(wǎng)地址布線設(shè)計考慮到建筑物的用途，和在一定時期內(nèi)網(wǎng)絡(luò)、通信最終確定方案為，結(jié)構(gòu)化綜合布線系統(tǒng)采用星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)[171。1樓為主機(jī)房2樓和3樓分別設(shè)有1個配線間。室外區(qū)域主要是度假村的各個活動區(qū)域，不布置機(jī)房或配線間，但是需要進(jìn)行AP的布放，并實(shí)現(xiàn)室外場景的無線覆蓋。整個度假村的綜合布線系統(tǒng)分為五個子系統(tǒng)，分別為工作區(qū)子系統(tǒng)、水平布工作區(qū)子系統(tǒng)主要部署在度假村建筑2樓的辦公區(qū)域，由信息插座和跳線組成。信息插座采用清華同方雙孔平面型插座，插座采用墻插方式，安裝在離地300mm位置。網(wǎng)絡(luò)面板采用IBDN的86模塊插座信息面板。數(shù)據(jù)模塊采用博揚(yáng)電腦網(wǎng)絡(luò)成品跳線(3米一條)。水平布線子系統(tǒng)由各配線間到對應(yīng)的用戶工作區(qū)的線纜組成，這里主要是由各配線間到各個AP的線纜組成，可采用銅纜和光纜。這里采用綠聯(lián)超5類8芯雙絞線。水平電纜從配線間沿電纜橋架分別引向各個布放位置的AP,水平布線距離不超過80m,加上兩端的跳線總長度不超過100m。每個配線間使用圖滕G2.6042網(wǎng)絡(luò)服務(wù)器機(jī)柜，該款機(jī)柜共37U,高有1.8米，寬有0.6米，深有0.6米。配線架和理線架分別使用山澤24□超五類配線架和山澤理線架24□組成。對于配線間的設(shè)備或者配線間到AP的線纜均采用跳線管垂直干線子系統(tǒng)用于連接中心機(jī)房的主配線架到各個樓層的配線間的配線架，這里采用勝為8芯網(wǎng)線多模室內(nèi)光纖光纜連接。采用8芯的多模光纖，可將傳輸速率提升至1Gbps在本系統(tǒng)中，建筑內(nèi)布線系統(tǒng)的設(shè)備間子系統(tǒng)設(shè)在1樓中心機(jī)房。設(shè)備間子系統(tǒng)采用圖滕G2.6042網(wǎng)絡(luò)服務(wù)器機(jī)柜，該款機(jī)柜共37U,高有1.8米，寬有0.6米，深有0.6米。用于安裝配線架、理線架及交換機(jī)等網(wǎng)絡(luò)設(shè)備。由于設(shè)備間子核心層的設(shè)備，用于給下層的設(shè)備提供高速轉(zhuǎn)發(fā)以及交機(jī)，如表5-3所示。表5-3核心交換機(jī)設(shè)備參數(shù)設(shè)備外觀設(shè)備型號S6720-HI系列全功能萬兆路由交換機(jī)是華為首和100G端口的盒式交換機(jī)，支持豐富的敏捷特園區(qū)、運(yùn)營商、高校、政府等應(yīng)用場景。匯聚層設(shè)備選型性、高冗余度以及高的數(shù)據(jù)處理能力。在本系統(tǒng)中所盒式敏捷交換機(jī)，如表5-4所示。表5-4匯聚交換機(jī)設(shè)備參數(shù)設(shè)備外觀設(shè)備型號S5730-HI系列交換機(jī)提供固定全千兆接入及卡插槽用于上聯(lián)端口擴(kuò)展，支持豐富的敏捷特性，是大中型園區(qū)網(wǎng)絡(luò)匯聚和接入，園區(qū)分支及小型園區(qū)網(wǎng)絡(luò)核心的最佳選擇。接入層的設(shè)備用來支持客戶端對于網(wǎng)絡(luò)的訪問，因此接入層也稱作訪問層。中所選的是華為S3700企業(yè)級交換機(jī)，如表5-5所示。表5-5接入交換機(jī)設(shè)備參數(shù)設(shè)備外觀設(shè)備型號設(shè)備描述S3700系列企業(yè)交換機(jī)是華為公司推出的新一代綠色節(jié)能的三層以太交換維護(hù)手段、靈活的VLAN部署和PoE供電能力。防火墻設(shè)備選擇的是HiSecEngineUSG6600