第1章緒論某旅游度假村的無線網絡規劃與設計摘要伴隨著無線技術的不斷成熟和應用的普及，當今的無線網絡已成為現代社會人們不可或缺的新的網絡主體。由于無線網絡易于安裝，使用靈活，節省成本，便于擴展的特點，所以無線網絡的應用越來越廣。本文是以翔安小嶝島的海濱旅游度假村的實際網絡背景，設計了一套具有特色且較為完善的的無線網絡系統。該系統不僅包含店的室內分布場景，也包含了景區的室外分布場景。該系統需要采用不同的無線網規方案和網絡設計思想、采用不同的設備選擇以及采用不同的場景設計流程和技術理念。本文借助網絡規化技術，根據現有網絡和無線網規要求，對旅游度假村的無線網絡部署方案進行詳細規劃，以實現高可用性、高穩定性和高安全性的系統方案。該系統采用eNSP做虛擬環境，采用華為設備，并采用三層穩定的組網結構，實現不同場景區域之間的網絡互訪、無線用戶的接入和漫游，保證網絡的可靠性、穩定性和安全性，從而提高用戶的使用體驗。關鍵詞旅游度假村；無線網規；系統設計；eNSP目錄1TOC\o"1-2"\h\u29233第1章緒論 1103481.1研究背景與意義 1243851.2國內外研究現狀 115968第2章基礎知識介紹 296282.1實驗環境 2296472.2相關技術介紹 221622.3無線網絡的應用 327648第3章系統需求分析 5162303.1系統概況 5255283.2建設目標 643863.3業務需求 66128第4章系統無線網規 8317034.1現場工勘 8140494.2覆蓋規劃 1088214.3設備選型 11222264.4布放設計 1411482第5章系統設計 1820715.1系統拓撲設計 18313105.2IP地址規劃及VLAN設計 1910405.3網絡可靠性部署 20166425.4DHCP配置 24187425.5安全性部署 25190565.6無線環境部署 26134255.7NAT部署 27153085.8布線設計 28272205.9系統設備選型 294836第6章系統測試 32140596.1設備通信測試 328046.2無線網絡測試 33317結論 366073參考文獻 38 第1章緒論研究背景與意義伴隨著社會經濟的不斷發展，網絡已成為人們生活中至關重要的一部分。傳統的有線網絡技術已逐漸不能滿足人們對信號穩定性、傳輸速度和網絡靈活性的要求。與此同時，無線網絡技術以其安裝方便，訪問靈活，經濟省錢，可擴展性強等特點得到了迅速發展。隨著無線技術的不斷成熟和應用的普及，如今的無線網絡已經成為新時代的網絡主力軍[1]。海濱旅游度假村是位于廈門市翔安區小嶝島的一個旅游度假村，目前由于土木建設項目的不斷完善，已開始考慮網絡環境的規劃與設計，以確保度假酒店員工和游客的日常用網需求。該度假村主要分為室內和室外兩大部分，室內又分為辦公，公共和客房三大部分。基于不同場景需要進行不同的網絡規劃。該系統主要針對度假村的無線網絡環境進行規劃與設計，主要目的是實現工作人員和游客的無線網絡接入和無線漫游。國內外研究現狀目前國外現有的關于度假村的無線網絡規劃更多的是偏向迪士尼這類的大型主題樂園，這種主題樂園通常具有十分可觀的人員流動性，因此其網絡架構自然也非常龐大。這類架構的對于網絡的安全性、穩定性和可靠性的要求普遍更高，因此需要更高的部署成本以及對部署人員的有更高的技術性要求。對于海濱旅游度假村這種中小型度假村來說，若照搬此架構可能存在一定的局限性，過高的成本和技術人員的需求也不適用于度假村的需求。對于國內的研究現狀，經調查發現，在國內關于度假村無線網絡規劃的解決方案，很少有同時包括了室內室外的場景的方案。通常都是單獨景區的解決方案或是單獨酒店的解決方案。因此從結構和規劃上，也并不適用于度假村的規劃和設計，甚至會存在安全性和可靠性的漏洞[2]。此次設計，基于度假村的無線網絡提出規劃和設計的要求，結合不同場景的解決方案，保證網絡穩定、安全、可靠的前提下，為該度假村設計一套完善的解決方案。第2章基礎知識介紹第2章基礎知識介紹實驗環境本系統所用的虛擬實驗環境為eNSP模擬器。eNSP是一個免費且可擴展的圖形化網絡模擬平臺[3]，由華為提供，主要針對華為的設備進行軟件模擬，如路由器，交換機，WLAN等，可以完美地呈現真實設備的部署場景，支持大規模網絡模擬，可以在沒有真實設備的情況下進行試驗測試，學習網絡技術。相關技術介紹虛擬局域網虛擬局域網（VLAN，VirtualLocalAreaNetwork）[4]。隨著主機數量的增加，網絡沖突將日益嚴重，交換網絡中的廣播將越來越多。此時VLAN的出現可以解決這類問題，通過配置VLAN，可以有效的隔離廣播域。以太網鏈路聚合技術以太網鏈路聚合Eth-Trunk簡稱鏈路聚合[5]，即多個以太網物理鏈路捆綁在一起，形成一個邏輯鏈路，從而實現增加鏈路帶寬的目的。與此同時，通過相互間的動態備份，這些捆綁在一起的鏈路可以有效地提高鏈路的可靠性。Eth-Trunk鏈路聚合模式分為手工負載分擔模式和LACP模式[6]。\t"/item/%E7%BB%84%E6%92%AD%E6%89%A9%E5%B1%95OSPF/_blank"開放式最短路徑優先OSPF(OpenShortestPathFirst\t"/item/%E7%BB%84%E6%92%AD%E6%89%A9%E5%B1%95OSPF/_blank"開放式最短路徑優先）是一個\t"/item/%E7%BB%84%E6%92%AD%E6%89%A9%E5%B1%95OSPF/_blank"內部網關協議（InteriorGatewayProtocol，簡稱IGP），用于在單一\t"/item/%E7%BB%84%E6%92%AD%E6%89%A9%E5%B1%95OSPF/_blank"自治系統內決策\t"/item/%E7%BB%84%E6%92%AD%E6%89%A9%E5%B1%95OSPF/_blank"路由[7]。OSPF是一種較為典型的鏈路狀態協議，且是一種無類路由協議。可通過觸發對其他路由器進行更新的鏈接狀態通知。其作用是在自我系統內部進行路由選擇和信息交換。多生成樹協議多生成樹協議MSTP（MultipleSpanningTreeProtocol）[8]，通過與STP和RSTP的兼容，實現鏈路冗余，以便避免單點故障。總結來說，達到鏈路冗余和防止環路的效果。MSTP可將一個交換網絡分成若干個域，每個域內形成多個生成樹，各生成樹相互獨立。每個生成樹被稱為多生成樹實例MSTI，每個域被稱為MST域。動態主機配置協議由于用戶規模越來越大，用戶位置越來越不固定，因此傳統的靜態手動配置方式已不能滿足要求，為了實現網絡對主機的動態、合理的IP地址分配，需要采用動態主機配置協議DHCP來實現。DHCP(動態主機配置協議)為用戶上網提供了極大的方便性及有效性[9]，與靜態手動配置相比，DHCP具有高效、靈活、易于管理的優點。設備通過DHCP獲取地址的過程如圖2.1所示。圖2.1DHCP獲取地址過程虛擬路由器冗余協議在局域網中，用戶使能通過一個網關的形式來訪問外部網絡，如果在此時網關設備出現故障，用戶的網絡訪問將會被中斷，這可能會給用戶帶來無法預料的損失。于是VRRP應運而生，它既可以實現網關的備份，又能解決多個網關之間互相沖突的問題[10]。在不改變組網方式的情況下，VRRP可以將多個路由器虛擬成一個虛擬路由器，并通過將虛擬路由器的IP地址設置為默認網關，實現對網關的冗余。無線網絡的應用無線網絡技術無線網絡的初步應用，可以追朔到第二次世界大戰期間，當時美國陸軍采用無線電信號做資料的傳輸[11]。美軍開發出一種名叫無線電傳輸的技術，并使用了極高的加密強度，該技術在軍隊中廣泛使用。而50年后的今天，他們或許沒有料到，這項技術將改變我們的生活。無線網絡的分類有個人無線網絡、無線局城網絡、無線城城網絡、無線廣城網絡。本系統中所用到的則是無線局域網，簡稱WLAN。與有線接入技術相比，WLAN的優點是可以滿足高速無線接入需求，而且設備價格便宜，部署成本低，技術成熟，現今已得到了廣泛的應用。無線漫游技術WLAN漫游技術可以實現用戶在覆蓋范圍內移動時業務不會發生中斷。漫游的最大優點是，移動終端不受物理介質的影響，能在WLAN覆蓋范圍內移動，并能保持業務不中斷。當同一ESS中包含多個接入設備，終端從一個接入點覆蓋區轉移到另一個接入點覆蓋區時，可以通過漫游技術實現終端用戶業務的平滑切換。無線網絡規劃在進行無線網絡設計之前，需要對無線網絡環境進行規劃。這一要求，嚴格遵循了網絡工程的生命周期中的前兩個步驟規劃和設計。無線網絡規劃的目標是了解項目背景、確定客戶需求以及確定技術方向。為完成無線網絡的規劃，需要有以下幾個步驟。首先需要進行需求的收集，即需要向甲方進行需求的問詢，以決定明確的工程邊界、功能邊界和覆蓋范圍。然后就是進行售前工勘，需要去到項目現場，按照客戶的需求踩點，核對建筑材料的信號損耗、建筑圖紙的準確性以及覆蓋范圍等信息。接著則要進行產品選型，根據現場工勘和客戶需求篩選出合適的產品。最后是概要設計，在無線網絡規劃中主要的設計有布放設計、覆蓋設計、信道設計和走線設計等多種設計需求。在完成以上的步驟后，即完成了無線網絡的規劃。接下來就可以根據網絡工程的生命周期，對網絡進行設計、部署、實施、優化。第3章系統需求分析第3章系統需求分析系統概況本系統的主要內容是基于翔安小嶝島海濱旅游度假村的基礎上規劃與設計一個結合室內外WLAN部署的無線網絡工程。度假村主要分為室內和室外兩個部分。室內部分共分為三層，其中一層是接待和餐廳，二層是綜合娛樂區，三層是客房區。室外部分分為停車場兼房車營地、浮雕景觀區、游樂設施區、海濱浴場、自然森林公園區五個區域。度假村的總面積約有6457.25平方公里。如圖3.1則是海濱旅游度假村的全景鳥瞰圖。室內區域主要是一棟長52米寬31.8米的三層樓的建筑，如圖3.2所示。圖3.1旅游度假村全景圖3.2度假村主樓正立面圖建設目標本系統的設計目標是為了建設適用于用戶規模數小于500人的海濱旅游度假村，為用戶有線/無線終端等多種類型終端提供網絡接入通道，滿足整個度假村在室內室外的全網絡覆蓋。同時考慮到接入人員類型不同，在網絡的設置上將區分酒店員工和外來游客的所用網。滿足來度假村的所有旅客的日常上網需求和酒店員工的日常辦公需求。業務需求海濱旅游度假村場景的特點如下，用戶密度大、流動性強、接入終端類型復雜和安全性要求高。因此需要滿足用戶的接入需求、可靠性需求、無線漫游需求、安全需求和管理運維需求。接入需求分析在海濱度假村里為酒店辦公員工提供有線和無線接入方式，為酒店訪客和房客提供無線接入方式。在室外活動區域中僅提供無線接入方式。為區分不同類型的用戶，對用戶身份進行授權，以控制用戶能夠訪問的網絡資源，使不同類型用戶的有不同的網絡訪問權限。可靠性需求分析酒店網絡承載著顧客上網、員工辦公等重要業務，需要保證高度的可靠性，確保業務的持續穩定。出于數據冗余的考慮，度假村網絡核心采用多鏈路捆綁設定。為了減少管理員的工作量問題，部署DHCP協議，使用網人員可自動獲取地址。綜合DHCP，在網關上部署VRRP協議，實現網關冗余，并為了提高容錯，設定鏈路追蹤以及搶占延時。可感知接入用戶數的

AP可以靈活地調節物理信道競爭參數，減少沖突，避免用戶過多地訪問同一個

AP，保證服務質量和體驗。無線漫游需求分析考慮度假村用戶密度較高，且流動性強，因此無線終端在不同區域之間移動時，支持漫游。同時需要保障在漫游的同時網絡快速切換，業務不中斷。安全需求分析為了抵御攻擊，防止非法設備非法地攻擊入侵網絡，因此需要部署防火墻設備，并配合認證系統，以滿足安全合規要求。管理運維需求分析網絡訪問環境多種多樣，包括有線和無線網絡。要求統一管理，可視化查看網絡故障，快速定位，排除障礙。網絡的可管理性是網絡成功運行的基礎。為管理網絡所有網絡設備，包括網絡拓撲結構顯示，網絡狀態監測，故障事件的實時預警與報警，網絡流量統計，提供低成本、簡單、高效的網絡統一的網絡管理。第4章系統無線網規第4章系統無線網規現場工勘4.1.1無線覆蓋區域海濱度假村的無線覆蓋場景主要分為室內和室外。室外場景是除主建筑外的其他部分活動區域。度假村的總面積約有6457.25平方米，室外場景其中占5717.45平方米，如圖4.1所示，即為度假村的全景鳥瞰圖，需覆蓋區域以用彩色標出，其中主要覆蓋區域為紫色，一般覆蓋區域為綠色。圖4.1度假村室外覆蓋區域度假村的室內區域分為三層，其中一層為接待層包括前臺、餐廳、咖啡廳、廚房和中心機房。一層的總面積為739.8平方米。如圖4.2所示，為一層的平面圖。需覆蓋區域以用彩色標出，其中主要覆蓋區域為紫色，一般覆蓋區域為綠色。圖4.2度假村一層覆蓋區域二層為多工能娛樂及辦公層包括辦公室和多種多工能娛樂場所。二層的總面積為759.01平方米。如圖4.3所示，為二層的平面圖。需覆蓋區域以用彩色標出，其中主要覆蓋區域為紫色，一般覆蓋區域為綠色。圖4.3度假村二層覆蓋區域三層為客房區域，主要場景就是所有的客房。三層的總面積為505.78平方米。如圖4.4所示，為三層的平面圖。需覆蓋區域以用彩色標出，其中主要覆蓋區域為紫色，一般覆蓋區域為綠色。圖4.4度假村三層覆蓋區域4.1.2建筑材質及損耗海濱旅游度假村主樓均采用燒結多孔磚GB13544—2000[12]，是近幾年較受歡迎的綠色建筑材料，有輕質、隔熱、隔音、保溫等特性。平均每塊磚約有140mm厚，對于2.4G信號的衰減為10dB，對于5G信號的衰減為20dB。覆蓋規劃按照旅游度假村的人員活動場景，將會運用到三種無線覆蓋場景，分別為室內放裝場景、室內分布場景、室外覆蓋場景。其中室內放裝場景應用在辦公區域及其他所有的公共區域；室內分布場景分布在度假村主樓的三層客房層；室外覆蓋場景應用于室外的所有人員活動場所。4.2.1室內放裝場景不同的室內放裝的場景，AP布放的方案也有不同的特點，首先是辦公室的場景，其帶寬要求高，場所比較空曠。因此辦公室的AP數量至少保證用戶人數和帶寬要求，同時需要降低功率減少同頻干擾。然后是其他的室內公共區域，人員流動性強，并發用戶和流量要求較低，主要都以手機終端用戶為主。所以AP設計滿足區域信號覆蓋，且AP布放要高于人員，最好吸頂布放。但是餐廳哈咖啡廳的布放方式應有所不同，因為餐廳場所較小，人數很多，屬于高密度場景，因此AP最好采用雙頻覆蓋，以此來增加接入人數，同時也要保證減少功率減少同頻干擾。4.2.2室內分布場景旅游度假村的三層采用的是室內分布系統，其建筑特點實房間多，布局復雜。業務特點是整體環境要求普遍覆蓋，但是客人同時業務的并發率低，用戶密度低。所以現在的網會采用的覆蓋方式是將中心AP部署到弱電機房，利用網線連接遠端接入單元，通過PoE給遠端接入單元供電。中心AP統一管理遠端單元，集中處理業務轉發，遠端單元則獨立處理射頻信號。4.2.3室外覆蓋場景關于度假村的室外場景均無其他建筑，場所空曠。其人員流動性強，但更為注重覆蓋面積，在室外場景下大多以手機用戶為主，對帶寬的要求并不高。由于覆蓋要求是重點覆蓋人員活動區域，其它區域不做單獨考慮，因此在相對較為狹窄、沒有其它活動區域的部分使用內置定向天線的，在有較大活動區域的部分使用外接全向天線的。但是考慮到室外區域的自然公園區有一片小森林，無線信號容易被樹木干擾。因此該區域不做單獨覆蓋。設備選型4.3.1室內放裝場景在無線局域網中AP相當于發射基站在移動通信網中的作用，是關鍵的一環，所以AP設備的選擇非常重要。首先是辦公場景的設備，需要考慮比較高的帶寬，同時需要降低功率減少同頻干擾。度假村主樓建筑的樓層高大約在3至5米這個區間，辦公室的面積不大，只有151.44平方米，中間通過磚制墻體隔斷，用戶數量也不多。因此考慮了上述條件，選擇的設備為室內內置全向天線AP，空間流支持2+4及以上的華為AP2050DN和AP6050DN接入點，如圖4.5和4.6所示。AP2050D提供有線和無線的網絡連接，適用于酒店、公寓、辦公室等場所。AP6050DN性能更高，覆蓋能力更強，該類型設備可根據不同環境靈活實施分布。選用該設備的優勢有部署美觀，AP6050DN內置天線，并且吸頂安裝，美觀大方，AP2050DN內置天線，隱式指示燈，安裝在86型面板暗盒上，無需穿墻打孔。AP2050DN兼顧有線無線，能同時連接有線和無線終端，支持老式PC通過網線上網，充分利用原有的有線設備和網絡資源。AP2050DN和AP6050DN均支持802.11ac，極大地增強了用戶對無線網絡的體驗。圖4.5AP2050DN圖4.6AP6050DN然后是其余公共場所的設備，首先是餐廳和咖啡廳場景。該場景空間大，用戶集中，流量集中。不僅需要滿足顧客在高密場景上網體驗。還要求外形美觀、施工方便。由于樓層高度在5米以內，中間通過磚制墻體隔斷。因此考慮了上述條件，選擇的設備為AP4030TN，如圖4.6所示。與AP6050DN外觀相同。AP4030TN支持三射頻，其中一個射頻僅支持5GHz，另外兩個支持2.4GHz/5GHz切換，提供了更加靈活和更大容量的接入能力。遵循IEEE標準，內置全向天線。選用該設備優勢是部署隱蔽，安裝位置高，不容易在人的視力范圍之內；覆蓋效果好；性能優異，滿足高密度場景無線性能要求。最后是其他公共區域的設備。這幾個區域空間較大，但用戶量較少，上網業務應用較少。因此也選用AP6050DN設備，選擇該設備部署美觀，內置天線，并且吸頂安裝，美觀大方。性能穩定，支持802.11ac，極大地增強了用戶對無線網絡的體驗。4.3.2室內分布場景海濱旅游度假村的室內分布場景均在客房，該場景建筑特點是房間多，布局復雜。業務特點是整體環境要求普遍覆蓋，但是客人同時業務的并發率低，用戶密度低。因此選擇使用的覆蓋方案是獨立新建WLAN的室分系統，采用設備型號是AP9330DN，如圖4.7所示。AP通過POE交換機供電，通過饋線將天線入室掛墻安裝在室內，AP安裝在走廊。圖4.7AP9330DN AP9330DN接入點是華為公司推出的技術領先級802.11ac產品，它支持智能天線分布技術，可以雙頻雙流覆蓋6個房間，也可以雙頻單流覆蓋12個房間，可以根據不同的環境靈活地實現分布。4.3.3室外覆蓋場景旅游度假村對于室外覆蓋場景的設備，要求有突出防護、覆蓋范圍廣和支持無線視頻監控的特點。因此在人員流動少，活動弱的區域使用內置定向天線的AP8050DN，如圖4.8所示。在有較大活動區域部分使用外接全向天線的AP8150DN，如圖4.8所示。兩者外觀相同。高等級AP8050DN設備IP67防塵防水標準，適用于像步行街這樣的狹窄區域覆蓋場景。此外，AP8150DN還具有高等級IP67防塵防水標準，可用于廣場、運動場等覆蓋場景，或用于無線港灣、無線數據回傳、無線視頻監控、汽車回傳等橋接場景。兩者都支持雙頻接入，2.4GHz和5GHz可靈活切換，均可作為中繼節點節省設備。圖4.8AP8050DN和AP8150DN布放設計4.4.1室內放裝場景在室內放裝場景的布放設計時，有以下幾個原則：一是盡可能減少信號通過障礙物的數量，二是保證

AP正面正對覆蓋目標區域，三是AP放裝場遠離干擾源。在布放設計之前要先進性信道設計，為避免同頻干擾，前后左右的任何方向都不會使用相同的信道。因此AP的布放方式會采取蜂窩覆蓋[13]，如圖4.9所示。為了避免樓層之間的信道跨層干擾，因此多樓層考慮將周邊和上下樓AP信道錯開。圖4.92.4G&5G蜂窩覆蓋如圖4.10和4.11所示，即為一層和二層的AP布放規劃，餐廳和咖啡廳的為AP4030TN，辦公室的為AP6050DN，其余的為AP6050DN。圖4.10一層AP布放設計圖4.11二層AP布放設計4.4.2室內分布場景室內場景運用在度假村主樓三層的客房，覆蓋方式為獨立新建WLAN的室分系統[14]。AP建議使用雙流的定向天線，AP所帶的天線數為6個每個天線都要求入室掛墻安裝在室內，考慮到走廊漫游，每個AP分一個天線吸頂安裝在走廊，在一般情況下，饋線盡量選擇最短的饋線，AP到最遠端的室分天線之間的距離，控制在10米。以下是客房區域的布放設計，如圖4.12所示。圖4.12三層AP布放設計4.4.3室外覆蓋場景該場景屬于普通的覆蓋場景，AP密度較小，2.4G采用1-6-11信道，5G采用149~165信道。信道部署推薦參考表4-1所示。表4-1信道部署場景室外場所信道規劃1（2.4GHz）+149（5GHz）11（2.4GHz）+157（5GHz）6（2.4GHz）+165（5GHz）1（2.4GHz）+153（5GHz）11（2.4GHz）+161（5GHz）6（2.4GHz）+149（5GHz）······由于在室外場景下，采用PoE交換機供電，從現有路燈桿上取電，滿足PoE供電距離要求。所以AP只能安裝在現有燈桿上，且考慮到路旁有較多灌木遮擋，因此AP布放距離在40m~60m之間，高度6m。室外場景的AP布放如圖4.13所示，AP8050DN為藍色，AP8150DN為紅色。圖4.13室外AP布放第5章系統設計第5章系統設計系統拓撲設計系統網絡拓撲結構如圖5.1所示，采用穩定的三層網絡架構。三層結構相較于兩層結構來說，新增了匯聚層。匯聚層可以將大網絡化成小網絡，相對方便管理，也有高于三層結構的故障恢復能力。而把所有策略配置在匯聚上，核心只做交換，這樣大大緩解核心交換機的壓力，整體網絡性能得到保證。在本系統中，接入層到匯聚層的網絡采用千兆線路，而匯聚層到核心層，以及核心層到出口網絡區域采用萬兆線路[15]。整個系統的重要鏈路采用鏈路聚合冗余備份，保障了網絡的健壯性。核心交換器采用冗余網關的備份，加強整網的可靠性。整網采用OSPF技術作為主路由協議，完成路由條目的交換，以實現全網通信的目的。圖5.1系統拓撲IP地址規劃及VLAN設計IP地址規劃方案本系統的設計目標是為了建設適用于用戶規模數小于500人的海濱旅游度假村，綜合考慮了接入終端數量和接入場景的區域不同。本系統將度假村網絡劃分成多個區域，每個區域的主網段都不一致，以便當網絡出現故障時，快速定位故障區域。VLAN規劃方案度假村的網絡采用VLAN技術，將各個終端設備按照不同的場景，結合了基于端口和IP組播的劃分方法，將現網的接入區域劃分為不同的VLAN，將VLAN按接入場景性質劃分，能夠實現統一管理，并保障網絡整體的安全性[16]。地址規劃總覽 IP地址及VLAN劃分見表5-1所示。表5-1地址規劃設備編號接口所屬VLANIP地址Core1VLANIF101054/24VLANIF202054/24VLANIF303054/24VLANIF404054/24Eth-trunk111/24Eth-trunk414/24Eth-trunk515/24Core2VLANIF101053/24VLANIF202053/24VLANIF303053/24VLANIF404053/24Eth-trunk212/24Eth-trunk313/24Eth-trunk515/24G0/0/1050/24FWG1/0/01-4094/24G1/0/11-4094/24G1/0/21-4094/24續表5-1設備編號接口所屬VLANIP地址AR1G0/0/01-4094/24G2/0/01-4094/24Eth-trunk11/24Eth-trunk31/24AR2G0/0/01-4094/24G2/0/01-4094/24Eth-trunk21/24Eth-trunk41/24Acc1G0/0/110\G0/0/2\Acc2G0/0/120\G0/0/2\Acc3G0/0/130\G0/0/2\Acc4G0/0/140\G0/0/2\ACVLANIF10\23/24VLANIF20\23/24VLANIF30\23/24VLANIF40\23/24VLANIF100\23/24VLANIF101\23/24InternetG0/0/00-4096/24G0/0/10-409600/24網絡可靠性部署Eth-trunk部署在現網的核心區域的主干鏈路上，均采用了Eth-trunk鏈路聚合技術，路由器和交換機之間采用三鏈路聚合，其余鏈路均為雙鏈路聚合。鏈路聚合模式設置為LACP模式，可提高Eth-Trunk的容錯性，并且能提供備份功能，保證成員鏈路的高可靠性。在三鏈路中，設置兩條活動鏈路，將端口ID最小為備份鏈路，且由路由器作為端口選定角色。而兩鏈路中，實現冗余即可。以下是基本的配置：[Core1]intEth-Trunk1[Core1-Eth-Trunk1]modelacp-static[Core1-Eth-Trunk1]trunkportGigabitEthernet0/0/5to0/0/7[Core1-Eth-Trunk1]maxactive-linknumber2其余設備和其余鏈路的配置相同，配置完成后可在相應設備上查看對應鏈路中成員端口的選擇。如圖5.2所示，為核心交換機Core1的Eth-Trunk1鏈路。圖5.2Eth-Trunk1鏈路活動端口選擇MSTP部署在交換機上部署MSTP協議，保證數據的負載均衡，提供了數據轉發的多個冗余路徑。其中核心層交換機Core1作為“辦公室”網絡的主根，其他區域的備份根；核心層交換機Core2作為其他區域的主根，為“辦公室”網絡的備份根。以下是基本配置：[Core1]stpregion-configuration[Core1-mst-region]region-namehotel[Core1-mst-region]instance1vlan10[Core1-mst-region]instance2vlan203040[Core1-mst-region]activeregion-configuration[Core1]stpinstance1rootprimary[Core1]stpinstance2rootsecondary[Core1]stpenable交換機Core2配置相同，只需更改主備即可，在交換機配置完成后，會根據STP的選舉規則，選出相應的根橋、根端口、指定端口和備份端口。如圖5.3和5.4所示。圖5.3Core1角色選擇圖5.4Core2角色選擇VRRP部署在核心交換機上配置VRRP協議，讓二者互為主備，實現網關冗余，為了提高容錯。設定鏈路追蹤以及搶占延時（15s），并配置15S的搶占延時。在主機下一跳路由器發生故障的情況下，VRRP可以保證用另一個路由器代替故障路由器工作，從而保證網絡通信的連續性和可靠性。以下是基本配置：[Core1]intVlanif10[Core1-Vlanif10]vrrpvrid1virtual-ip34[Core1-Vlanif10]vrrpvrid1priority120[Core1-Vlanif10]vrrpvrid1preempt-modetimerdelay15[Core1-Vlanif10]vrrpvrid1trackinterfaceEth-Trunk1reduced150[Core1]intVlanif20[Core1-Vlanif20]vrrpvrid2virtual-ip34[Core1-Vlanif20]vrrpvrid2preempt-modetimerdelay15[Core1-Vlanif20]vrrpvrid2trackintEth-Trunk1reduced150[Core1]intVlanif30[Core1-Vlanif30]vrrpvrid3virtual-ip34[Core1-Vlanif30]vrrpvrid3preempt-modetimerdelay15[Core1-Vlanif30]vrrpvrid3trackintEth-Trunk1reduced150[Core1]intVlanif40[Core1-Vlanif40]vrrpvrid4virtual-ip34[Core1-Vlanif40]vrrpvrid4preempt-modetimerdelay15[Core1-Vlanif40]vrrpvrid4trackintEth-Trunk1reduced150交換機Core2的配置與Core1相反，在配置了VRRP之后，可以在相依的設備上查看設備的主備選舉情況。如圖5.5和5.6所示，主備設備選舉成功，且Vlanif10和20、30、40互為主備。圖5.5Core1角色選擇圖5.6Core2角色選擇DHCP配置為了提升地址的使用率，減少地址資源的浪費，現在網關路由器上部署DHCP協議，且將DHCP服務器設置在核心層設備上，按照相應的需求，在核心路由器設備上配置DHCP，使接入設備可以動態獲取IP。由于將核心路由器設置為DHCP服務器，所以在動態獲取地址時會跨過三層交換機，此時會發生網段的變化，因此在配置的過程中需要將核心交換機配置為DHCP中繼。以下是基本配置：[AR1]dhcpenable //DHCP服務器地址池配置[AR1]ippool1010[AR1-ip-pool-1010]gateway-list34[AR1-ip-pool-1010]networkmask24[AR1-ip-pool-1010]excluded-ip-address54[AR1-ip-pool-1010]excluded-ip-address53[AR1-ip-pool-1010]dns-list[AR1]intEth-Trunk1 //出口開啟DHCP[AR1-Eth-Trunk1]dhcpselectglobal[Core1]dhcpenable //DHCP中繼配置[Core1]intVlanif10[Core1-Vlanif10]dhcpselectrelay[Core1-Vlanif10]dhcprelayserver-ip其他路由器設備和其他地址池的配置相同，其他交換機及其接口的中繼配置相同。配置了DHCP后，可在終端自動獲取地址，如圖5.7所示。圖5.7終端設備自動獲取地址安全性部署防火墻部署為了抵御攻擊，防止非法設備、非法攻擊入侵網絡，因此部署了防火墻設備，以滿足安全合規要求。將防火墻與內外相連的區域設置為trust區域，與外網相連的區域設置為untrust區域。并通過安全策略使內外可安全的訪問外網。安全策略如圖5.8所示。在運行了安全策略后也可在防火墻的會話表中檢測到創建的會話。會話表項如圖5.9所示。圖5.8防火墻安全策略圖5.9防火墻會話表項DHCPsnooping+DAI部署依據現網網絡安全形勢來看，下層容易出現網絡安全攻擊，為做出相對應解決措施，可以在匯聚層設備上配置DHCPsnooping+DAI，這樣可以有效的防住DHCP攻擊、中間人攻擊等。DAI動態ARP檢測是利用綁定表來防御中間人攻擊的。在設備接收到ARP報文時，要對與此ARP報文相對應的綁定表信息進行比較，如果信息匹配，說明發送

ARP報文的用戶是合法用戶，允許此用戶的ARP報文通過，否則視為攻擊，將其丟棄。無線環境部署為了實現無線網絡的全覆蓋，將在酒店環境中部署無線網絡，按照使用場景的不同，分為辦公專用無線網絡和游客專用無線網絡，都開放2.4GHz和5GHz供用戶連接。由于該系統所在場景人員流動性高，因此在無線部署上實現漫游的功能，從而達到在漫游的同時網絡快速切換，業務不中斷。在系統環境中，AP采用的是旁掛式組網模式、AC+瘦AP的組網方式和三層組網方式。以下為AC的參數規劃詳情，如表5-2所示。表5-2AC的參數規劃詳情設備名稱ACAP管理VLANVLAN：100IP：23/24AP業務VLANVLAN：101IP：23/24AP與交換機接口G0/0/1（Trunk端口，放行VLAN10to40100101）AP組名稱：ap1國家碼:China安全策略:wpa-wpa2+PSK+AES引用模板：VAP模板wlan-office、2G射頻模板wlan-2g、5G射頻模板wlan-5gAP組名稱：ap2國家碼:China安全策略:WPA2+PSK+AES引用模板：VAP模板wlan-hotel、2G射頻模板wlan-2g、5G射頻模板wlan-5gSSID模板名稱：Hotel_officeSSID名稱：Hotel_office名稱：Hotel_officeSSID名稱：Hotel安全模板名稱：wlan-office安全策略：wpa-wpa2+PSK+AES名稱：wlan-hotel安全策略：wpa-wpa2+PSK+AESVAP模板名稱：wlan-office轉發模式：隧道轉發業務VLAN：101引用模板：SSID模板Hotel_office、安全模板Hotel_office名稱：wlan-hotel轉發模式：隧道轉發業務VLAN：101引用模板：SSID模板Hotel、安全模板wlan-hotel續表5-2RRM模板名稱：wlan-rrm智能漫游：開啟2G射頻模板名稱：wlan-2g引用模板：RRM模板wlan-rrm5G射頻模板名稱：wlan-5g引用模板：RRM模板wlan-rrm如圖5.10所示為，無線的部署流程。圖5.10無線的部署流程NAT部署為在IPv4環境下解決網絡地址資源數量的問題，節省地址的使用，現在本系統的出口網關上部署NAT網絡地址轉換，使內網可以訪問外網，即運營商網絡。本系統采用的是easy-ip的地址轉換模式。以下是基本配置：[Internet]intlo0[Internet-LoopBack0]ipadd0024[Internet]acl2000[Internet-acl-basic-2000]rule5permit[Internet]intg0/0/1 [Internet-GigabitEthernet0/0/1]natoutbound2000interfaceloopback0如圖5.11所示，配置了NAT后，終端設備可以訪問外網地址。圖5.11終端設備訪問外網地址布線設計設計方案考慮到建筑物的用途，和在一定時期內網絡、通信需求的增長，在擴展性和靈活性方面具有很好的適應性，能夠滿足可能的遷移，以及數據有適當的冗余，最終確定方案為，結構化綜合布線系統采用星型網絡拓撲結構[17]。1樓為主機房2樓和3樓分別設有1個配線間。室外區域主要是度假村的各個活動區域，不布置機房或配線間，但是需要進行AP的布放，并實現室外場景的無線覆蓋。整個度假村的綜合布線系統分為五個子系統，分別為工作區子系統、水平布線子系統、配線間管理子系統、垂直干線子系統、設備間子系統。由于是單一建筑，沒有建筑群子系統。該方案全部采用清華同方超五類非屏蔽綜合布線產品。工作區子系統工作區子系統主要部署在度假村建筑2樓的辦公區域，由信息插座和跳線組成。信息插座采用清華同方雙孔平面型插座，插座采用墻插方式，安裝在離地300mm位置。網絡面板采用IBDN的86模塊插座信息面板。數據模塊采用博揚BY-RJ45-MK5E-M超五類網絡信息工程數據模塊。跳線使用貝斯通（Bestone）電腦網絡成品跳線（3米一條）。水平布線子系統水平布線子系統由各配線間到對應的用戶工作區的線纜組成，這里主要是由各配線間到各個AP的線纜組成，可采用銅纜和光纜。這里采用綠聯超5類8芯雙絞線。水平電纜從配線間沿電纜橋架分別引向各個布放位置的AP，水平布線距離不超過80m，加上兩端的跳線總長度不超過100m。配線間管理子系統配線間管理子系統由線纜連接硬件和線纜管理硬件組成，即網絡設備和機柜。每個配線間使用圖滕G2.6042網絡服務器機柜，該款機柜共37U，高有1.8米，寬有0.6米，深有0.6米。配線架和理線架分別使用山澤24口超五類配線架和山澤理線架24口組成。對于配線間的設備或者配線間到AP的線纜均采用跳線管理。這樣的布線方法可以使任何信息點的變更更為輕松簡便。垂直干線子系統垂直干線子系統是綜合布線系統的重要部分，又稱作數據傳輸的“大動脈”。用于連接中心機房的主配線架到各個樓層的配線間的配線架，這里采用勝為8芯網線多模室內光纖光纜連接。采用8芯的多模光纖，可將傳輸速率提升至1Gbps以上，可為數據的傳輸提供高質量的傳輸通道。設備間子系統在本系統中，建筑內布線系統的設備間子系統設在1樓中心機房。設備間子系統采用圖滕G2.6042網絡服務器機柜，該款機柜共37U，高有1.8米，寬有0.6米，深有0.6米。用于安裝配線架、理線架及交換機等網絡設備。由于設備間子系統中設備種類復雜，線路繁多。因此要做好設備的進出線的標注和整理，以方便后續管理員的管理和運維。系統設備選型核心層設備選型核心層的設備，用于給下層的設備提供高速轉發以及交換的通道，可以稱作是整個網絡系統中的骨干設備。因此核心設備的選擇，需要是具有高帶寬以及高交換容量的設備。在本系統中所選的是華為S6720-HI系列全功能萬兆路由交換機，如表5-3所示。表5-3核心交換機設備參數設備外觀設備型號S6720-50L-HI-48S設備描述S6720-HI系列全功能萬兆路由交換機是華為首款下行萬兆、上行40G和100G端口的盒式交換機，支持豐富的敏捷特性，可廣泛應用于企業園區、運營商、高校、政府等應用場景。匯聚層設備選型匯聚層的設備主要作用是承上啟下，既用于隔離核心層與接入層的環境，又要提供對各個網絡節點的業務匯聚和管理。因此匯聚層設備的選擇需要有高可靠性、高冗余度以及高的數據處理能力。在本系統中所選的是華為S5730-HI系列盒式敏捷交換機，如表5-4所示。表5-4匯聚交換機設備參數設備外觀設備型號S5730-68C-HI-48S設備描述S5730-HI系列交換機提供固定全千兆接入及萬兆上行端口，并提供子卡插槽用于上聯端口擴展，支持豐富的敏捷特性，是大中型園區網絡匯聚和接入，園區分支及小型園區網絡核心的最佳選擇。接入層設備選型接入層的設備用來支持客戶端對于網絡的訪問，因此接入層也稱作訪問層。接入層的設備，對上層連接匯聚層，對下層進行用戶帶寬和業務分配，實現用戶的接入。因此接入層設備的選擇需要具有低成本和高端口密度的特點。在本系統中所選的是華為S3700企業級交換機，如表5-5所示。表5-5接入交換機設備參數設備外觀設備型號S3700-52P-SI(AC)設備描述S3700系列企業交換機是華為公司推出的新一代綠色節能的三層以太交換機。針對企業用戶園區匯聚、接入等多種應用場景，提供簡單便利的安裝維護手段、靈活的VLAN部署和PoE供電能力。防火墻設備選型防火墻設備選擇的是HiSecEngineUSG6600E系列AI防火墻(盒式)，如表5-6所示。表5-6防火墻設備參數設備外觀設備型號USG6610E設備描述該系列是面向下一代數據中心推出的萬兆AI防火墻。在提供NGFW能力的基礎上，聯動其他安全設備，主動防御網絡威脅，增強邊界檢測能力，有效防御高級威脅，同時解決性能下降問題。路由器設備選型防火墻設備選擇的是AR2200企業級路由器，如表5-7所示。表5-7路由器設備參數設備外觀設備型號AR2204-27GE設備描述AR2200企業路由器采用多核CPU、無阻塞交換架構，融合路由、交換、語音、安全等多種業務，支持開放業務平臺(OSP)，可應用于中型企業總部、大中型企業分支，具有靈活的擴展能力。無線接入控制器選型無線接入控制器選擇的是AC6605接入控制器，如表5-8所示。表5-8路由器設備參數設備外觀設備型號AC6605設備描述華為AC6605是針對大中型企業的盒式無線接入控制器，支持有線無線一體化接入，應用于大中型企業及分支園區覆蓋或企業辦公網絡等場景。第6章系統測試第6章系統測試設備通信測試6.1.1不同區域的設備互訪網絡屬于vlan10，它的網關在核心層交換機，網段地址為/24。下圖是驗證辦公網絡與客房網絡互訪的結果圖，如圖6.1所示。圖6.1辦公網絡與客房網絡互訪6.1.2不同區域的設備訪問互聯網辦公部門的PC通過網關，到達核心層交換機，再到達核心路由器，然后到出口防火墻，最后可以訪問運營商網絡。下圖是驗證客房網絡訪問互聯網的結果圖，如圖6.2所示。圖6.2客房網絡訪問互聯網6.1.3辦公區域的設備訪問服務器服務器直連的核心交換機上設置了訪問控制列表，因此只有辦公區域網絡能夠訪問服務器，下圖是驗證辦公網絡訪問服務器的結果圖，如圖6.3所示。圖6.3辦公網絡訪問服務器6.1.4辦公網絡遠程登錄防火墻為了方便管理員有效管理，設置了辦公區域網絡設備可以直接遠程登錄防火墻，其他網絡不行，下圖是驗證辦公網絡遠程防火墻的結果圖，如圖6.4所示。圖6.4公網絡遠程防火墻無線網絡測試6.2.1無線設備連接網絡無線配置完成后，如圖6.5所示，可以在ENSP的拓撲上明顯的看到無線信號頻射。并且如圖6.6所示，可以在終端設備上搜索到無線信號，并且在鍵入相應的密碼后可以成功連接。并且抓包后可見STA已經收到了AP通過廣播（Broadcast）的方式發射出來的信標幀SSID為“Hotel”，如圖6.7所示。圖6.5無線信號頻射圖6.6終端設備上所示無線信號圖6.7信標幀抓包6.2