無線網(wǎng)絡(luò)規(guī)劃的系統(tǒng)設(shè)計案例目錄TOC\o"1-3"\h\u10111無線網(wǎng)絡(luò)規(guī)劃的系統(tǒng)設(shè)計案例 18737系統(tǒng)拓?fù)湓O(shè)計 27497IP地址規(guī)劃及VLAN設(shè)計 36869IP地址規(guī)劃方案 31170VLAN規(guī)劃方案 320969地址規(guī)劃總覽 329994網(wǎng)絡(luò)可靠性部署 510438Eth-trunk部署 514409MSTP部署 617261VRRP部署 72793DHCP配置 930697安全性部署 1011266防火墻部署 103614DHCPsnooping+DAI部署 1123939無線環(huán)境部署 1131575NAT部署 1330273布線設(shè)計 1424323設(shè)計方案 1421554工作區(qū)子系統(tǒng) 1429299水平布線子系統(tǒng) 1414767配線間管理子系統(tǒng) 1527565垂直干線子系統(tǒng) 1513714設(shè)備間子系統(tǒng) 154988系統(tǒng)設(shè)備選型 1530051核心層設(shè)備選型 154460匯聚層設(shè)備選型 166658接入層設(shè)備選型 1617502防火墻設(shè)備選型 1710849路由器設(shè)備選型 1729891無線接入控制器選型 17系統(tǒng)拓?fù)湓O(shè)計系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5.1所示，采用穩(wěn)定的三層網(wǎng)絡(luò)架構(gòu)。三層結(jié)構(gòu)相較于兩層結(jié)構(gòu)來說，新增了匯聚層。匯聚層可以將大網(wǎng)絡(luò)化成小網(wǎng)絡(luò)，相對方便管理，也有高于三層結(jié)構(gòu)的故障恢復(fù)能力。而把所有策略配置在匯聚上，核心只做交換，這樣大大緩解核心交換機的壓力，整體網(wǎng)絡(luò)性能得到保證。在本系統(tǒng)中，接入層到匯聚層的網(wǎng)絡(luò)采用千兆線路，而匯聚層到核心層，以及核心層到出口網(wǎng)絡(luò)區(qū)域采用萬兆線路[15]。整個系統(tǒng)的重要鏈路采用鏈路聚合冗余備份，保障了網(wǎng)絡(luò)的健壯性。核心交換器采用冗余網(wǎng)關(guān)的備份，加強整網(wǎng)的可靠性。整網(wǎng)采用OSPF技術(shù)作為主路由協(xié)議，完成路由條目的交換，以實現(xiàn)全網(wǎng)通信的目的。圖5.1系統(tǒng)拓?fù)銲P地址規(guī)劃及VLAN設(shè)計IP地址規(guī)劃方案本系統(tǒng)的設(shè)計目標(biāo)是為了建設(shè)適用于用戶規(guī)模數(shù)小于500人的海濱旅游度假村，綜合考慮了接入終端數(shù)量和接入場景的區(qū)域不同。本系統(tǒng)將度假村網(wǎng)絡(luò)劃分成多個區(qū)域，每個區(qū)域的主網(wǎng)段都不一致，以便當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時，快速定位故障區(qū)域。VLAN規(guī)劃方案度假村的網(wǎng)絡(luò)采用VLAN技術(shù)，將各個終端設(shè)備按照不同的場景，結(jié)合了基于端口和IP組播的劃分方法，將現(xiàn)網(wǎng)的接入?yún)^(qū)域劃分為不同的VLAN，將VLAN按接入場景性質(zhì)劃分，能夠?qū)崿F(xiàn)統(tǒng)一管理，并保障網(wǎng)絡(luò)整體的安全性[16]。地址規(guī)劃總覽 IP地址及VLAN劃分見表5-1所示。表5-1地址規(guī)劃設(shè)備編號接口所屬VLANIP地址Core1VLANIF1010192.168.10.254/24VLANIF2020192.168.20.254/24VLANIF3030192.168.30.254/24VLANIF4040192.168.40.254/24Eth-trunk111192.168.11.1/24Eth-trunk414192.168.14.1/24Eth-trunk515192.168.15.1/24Core2VLANIF1010192.168.10.253/24VLANIF2020192.168.20.253/24VLANIF3030192.168.30.253/24VLANIF4040192.168.40.253/24Eth-trunk212192.168.12.2/24Eth-trunk313192.168.13.2/24Eth-trunk515192.168.15.2/24G0/0/1050192.168.50.2/24FWG1/0/01-4094192.168.35.5/24G1/0/11-4094192.168.45.5/24G1/0/21-4094192.168.56.5/24續(xù)表5-1設(shè)備編號接口所屬VLANIP地址AR1G0/0/01-4094192.168.34.3/24G2/0/01-4094192.168.35.3/24Eth-trunk11192.168.11.3/24Eth-trunk31192.168.13.3/24AR2G0/0/01-4094192.168.34.4/24G2/0/01-4094192.168.45.4/24Eth-trunk21192.168.12.4/24Eth-trunk41192.168.14.4/24Acc1G0/0/110\G0/0/2\Acc2G0/0/120\G0/0/2\Acc3G0/0/130\G0/0/2\Acc4G0/0/140\G0/0/2\ACVLANIF10\192.168.10.123/24VLANIF20\192.168.20.123/24VLANIF30\192.168.30.123/24VLANIF40\192.168.40.123/24VLANIF100\192.168.100.123/24VLANIF101\192.168.101.123/24InternetG0/0/00-4096192.168.56.6/24G0/0/10-4096192.168.0.200/24網(wǎng)絡(luò)可靠性部署Eth-trunk部署在現(xiàn)網(wǎng)的核心區(qū)域的主干鏈路上，均采用了Eth-trunk鏈路聚合技術(shù)，路由器和交換機之間采用三鏈路聚合，其余鏈路均為雙鏈路聚合。鏈路聚合模式設(shè)置為LACP模式，可提高Eth-Trunk的容錯性，并且能提供備份功能，保證成員鏈路的高可靠性。在三鏈路中，設(shè)置兩條活動鏈路，將端口ID最小為備份鏈路，且由路由器作為端口選定角色。而兩鏈路中，實現(xiàn)冗余即可。以下是基本的配置：[Core1]intEth-Trunk1[Core1-Eth-Trunk1]modelacp-static[Core1-Eth-Trunk1]trunkportGigabitEthernet0/0/5to0/0/7[Core1-Eth-Trunk1]maxactive-linknumber2其余設(shè)備和其余鏈路的配置相同，配置完成后可在相應(yīng)設(shè)備上查看對應(yīng)鏈路中成員端口的選擇。如圖5.2所示，為核心交換機Core1的Eth-Trunk1鏈路。圖5.2Eth-Trunk1鏈路活動端口選擇MSTP部署在交換機上部署MSTP協(xié)議，保證數(shù)據(jù)的負(fù)載均衡，提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑。其中核心層交換機Core1作為“辦公室”網(wǎng)絡(luò)的主根，其他區(qū)域的備份根；核心層交換機Core2作為其他區(qū)域的主根，為“辦公室”網(wǎng)絡(luò)的備份根。以下是基本配置：[Core1]stpregion-configuration[Core1-mst-region]region-namehotel[Core1-mst-region]instance1vlan10[Core1-mst-region]instance2vlan203040[Core1-mst-region]activeregion-configuration[Core1]stpinstance1rootprimary[Core1]stpinstance2rootsecondary[Core1]stpenable交換機Core2配置相同，只需更改主備即可，在交換機配置完成后，會根據(jù)STP的選舉規(guī)則，選出相應(yīng)的根橋、根端口、指定端口和備份端口。如圖5.3和5.4所示。圖5.3Core1角色選擇圖5.4Core2角色選擇VRRP部署在核心交換機上配置VRRP協(xié)議，讓二者互為主備，實現(xiàn)網(wǎng)關(guān)冗余，為了提高容錯。設(shè)定鏈路追蹤以及搶占延時（15s），并配置15S的搶占延時。在主機下一跳路由器發(fā)生故障的情況下，VRRP可以保證用另一個路由器代替故障路由器工作，從而保證網(wǎng)絡(luò)通信的連續(xù)性和可靠性。以下是基本配置：[Core1]intVlanif10[Core1-Vlanif10]vrrpvrid1virtual-ip192.168.10.234[Core1-Vlanif10]vrrpvrid1priority120[Core1-Vlanif10]vrrpvrid1preempt-modetimerdelay15[Core1-Vlanif10]vrrpvrid1trackinterfaceEth-Trunk1reduced150[Core1]intVlanif20[Core1-Vlanif20]vrrpvrid2virtual-ip192.168.20.234[Core1-Vlanif20]vrrpvrid2preempt-modetimerdelay15[Core1-Vlanif20]vrrpvrid2trackintEth-Trunk1reduced150[Core1]intVlanif30[Core1-Vlanif30]vrrpvrid3virtual-ip192.168.30.234[Core1-Vlanif30]vrrpvrid3preempt-modetimerdelay15[Core1-Vlanif30]vrrpvrid3trackintEth-Trunk1reduced150[Core1]intVlanif40[Core1-Vlanif40]vrrpvrid4virtual-ip192.168.40.234[Core1-Vlanif40]vrrpvrid4preempt-modetimerdelay15[Core1-Vlanif40]vrrpvrid4trackintEth-Trunk1reduced150交換機Core2的配置與Core1相反，在配置了VRRP之后，可以在相依的設(shè)備上查看設(shè)備的主備選舉情況。如圖5.5和5.6所示，主備設(shè)備選舉成功，且Vlanif10和20、30、40互為主備。圖5.5Core1角色選擇圖5.6Core2角色選擇DHCP配置為了提升地址的使用率，減少地址資源的浪費，現(xiàn)在網(wǎng)關(guān)路由器上部署DHCP協(xié)議，且將DHCP服務(wù)器設(shè)置在核心層設(shè)備上，按照相應(yīng)的需求，在核心路由器設(shè)備上配置DHCP，使接入設(shè)備可以動態(tài)獲取IP。由于將核心路由器設(shè)置為DHCP服務(wù)器，所以在動態(tài)獲取地址時會跨過三層交換機，此時會發(fā)生網(wǎng)段的變化，因此在配置的過程中需要將核心交換機配置為DHCP中繼。以下是基本配置：[AR1]dhcpenable //DHCP服務(wù)器地址池配置[AR1]ippool1010[AR1-ip-pool-1010]gateway-list192.168.10.234[AR1-ip-pool-1010]network192.168.10.0mask24[AR1-ip-pool-1010]excluded-ip-address192.168.10.254[AR1-ip-pool-1010]excluded-ip-address192.168.10.253[AR1-ip-pool-1010]dns-list1.1.1.1[AR1]intEth-Trunk1 //出口開啟DHCP[AR1-Eth-Trunk1]dhcpselectglobal[Core1]dhcpenable //DHCP中繼配置[Core1]intVlanif10[Core1-Vlanif10]dhcpselectrelay[Core1-Vlanif10]dhcprelayserver-ip192.168.11.3其他路由器設(shè)備和其他地址池的配置相同，其他交換機及其接口的中繼配置相同。配置了DHCP后，可在終端自動獲取地址，如圖5.7所示。圖5.7終端設(shè)備自動獲取地址安全性部署防火墻部署為了抵御攻擊，防止非法設(shè)備、非法攻擊入侵網(wǎng)絡(luò)，因此部署了防火墻設(shè)備，以滿足安全合規(guī)要求。將防火墻與內(nèi)外相連的區(qū)域設(shè)置為trust區(qū)域，與外網(wǎng)相連的區(qū)域設(shè)置為untrust區(qū)域。并通過安全策略使內(nèi)外可安全的訪問外網(wǎng)。安全策略如圖5.8所示。在運行了安全策略后也可在防火墻的會話表中檢測到創(chuàng)建的會話。會話表項如圖5.9所示。圖5.8防火墻安全策略圖5.9防火墻會話表項DHCPsnooping+DAI部署依據(jù)現(xiàn)網(wǎng)網(wǎng)絡(luò)安全形勢來看，下層容易出現(xiàn)網(wǎng)絡(luò)安全攻擊，為做出相對應(yīng)解決措施，可以在匯聚層設(shè)備上配置DHCPsnooping+DAI，這樣可以有效的防住DHCP攻擊、中間人攻擊等。DAI動態(tài)ARP檢測是利用綁定表來防御中間人攻擊的。在設(shè)備接收到ARP報文時，要對與此ARP報文相對應(yīng)的綁定表信息進行比較，如果信息匹配，說明發(fā)送

ARP報文的用戶是合法用戶，允許此用戶的ARP報文通過，否則視為攻擊，將其丟棄。無線環(huán)境部署為了實現(xiàn)無線網(wǎng)絡(luò)的全覆蓋，將在酒店環(huán)境中部署無線網(wǎng)絡(luò)，按照使用場景的不同，分為辦公專用無線網(wǎng)絡(luò)和游客專用無線網(wǎng)絡(luò)，都開放2.4GHz和5GHz供用戶連接。由于該系統(tǒng)所在場景人員流動性高，因此在無線部署上實現(xiàn)漫游的功能，從而達到在漫游的同時網(wǎng)絡(luò)快速切換，業(yè)務(wù)不中斷。在系統(tǒng)環(huán)境中，AP采用的是旁掛式組網(wǎng)模式、AC+瘦AP的組網(wǎng)方式和三層組網(wǎng)方式。以下為AC的參數(shù)規(guī)劃詳情，如表5-2所示。表5-2AC的參數(shù)規(guī)劃詳情設(shè)備名稱ACAP管理VLANVLAN：100IP：192.168.100.123/24AP業(yè)務(wù)VLANVLAN：101IP：192.168.101.123/24AP與交換機接口G0/0/1（Trunk端口，放行VLAN10to40100101）AP組名稱：ap1國家碼:China安全策略:wpa-wpa2+PSK+AES引用模板：VAP模板wlan-office、2G射頻模板wlan-2g、5G射頻模板wlan-5gAP組名稱：ap2國家碼:China安全策略:WPA2+PSK+AES引用模板：VAP模板wlan-hotel、2G射頻模板wlan-2g、5G射頻模板wlan-5gSSID模板名稱：Hotel_officeSSID名稱：Hotel_office名稱：Hotel_officeSSID名稱：Hotel安全模板名稱：wlan-office安全策略：wpa-wpa2+PSK+AES名稱：wlan-hotel安全策略：wpa-wpa2+PSK+AESVAP模板名稱：wlan-office轉(zhuǎn)發(fā)模式：隧道轉(zhuǎn)發(fā)業(yè)務(wù)VLAN：101引用模板：SSID模板Hotel_office、安全模板Hotel_office名稱：wlan-hotel轉(zhuǎn)發(fā)模式：隧道轉(zhuǎn)發(fā)業(yè)務(wù)VLAN：101引用模板：SSID模板Hotel、安全模板wlan-hotel續(xù)表5-2RRM模板名稱：wlan-rrm智能漫游：開啟2G射頻模板名稱：wlan-2g引用模板：RRM模板wlan-rrm5G射頻模板名稱：wlan-5g引用模板：RRM模板wlan-rrm如圖5.10所示為，無線的部署流程。圖5.10無線的部署流程NAT部署為在IPv4環(huán)境下解決網(wǎng)絡(luò)地址資源數(shù)量的問題，節(jié)省地址的使用，現(xiàn)在本系統(tǒng)的出口網(wǎng)關(guān)上部署NAT網(wǎng)絡(luò)地址轉(zhuǎn)換，使內(nèi)網(wǎng)可以訪問外網(wǎng)，即運營商網(wǎng)絡(luò)。本系統(tǒng)采用的是easy-ip的地址轉(zhuǎn)換模式。以下是基本配置：[Internet]intlo0[Internet-LoopBack0]ipadd192.168.0.20024[Internet]acl2000[Internet-acl-basic-2000]rule5permit[Internet]intg0/0/1 [Internet-GigabitEthernet0/0/1]natoutbound2000interfaceloopback0如圖5.11所示，配置了NAT后，終端設(shè)備可以訪問外網(wǎng)地址。圖5.11終端設(shè)備訪問外網(wǎng)地址布線設(shè)計設(shè)計方案考慮到建筑物的用途，和在一定時期內(nèi)網(wǎng)絡(luò)、通信需求的增長，在擴展性和靈活性方面具有很好的適應(yīng)性，能夠滿足可能的遷移，以及數(shù)據(jù)有適當(dāng)?shù)娜哂啵罱K確定方案為，結(jié)構(gòu)化綜合布線系統(tǒng)采用星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)[17]。1樓為主機房2樓和3樓分別設(shè)有1個配線間。室外區(qū)域主要是度假村的各個活動區(qū)域，不布置機房或配線間，但是需要進行AP的布放，并實現(xiàn)室外場景的無線覆蓋。整個度假村的綜合布線系統(tǒng)分為五個子系統(tǒng)，分別為工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、配線間管理子系統(tǒng)、垂直干線子系統(tǒng)、設(shè)備間子系統(tǒng)。由于是單一建筑，沒有建筑群子系統(tǒng)。該方案全部采用清華同方超五類非屏蔽綜合布線產(chǎn)品。工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)主要部署在度假村建筑2樓的辦公區(qū)域，由信息插座和跳線組成。信息插座采用清華同方雙孔平面型插座，插座采用墻插方式，安裝在離地300mm位置。網(wǎng)絡(luò)面板采用IBDN的86模塊插座信息面板。數(shù)據(jù)模塊采用博揚BY-RJ45-MK5E-M超五類網(wǎng)絡(luò)信息工程數(shù)據(jù)模塊。跳線使用貝斯通（Bestone）電腦網(wǎng)絡(luò)成品跳線（3米一條）。水平布線子系統(tǒng)水平布線子系統(tǒng)由各配線間到對應(yīng)的用戶工作區(qū)的線纜組成，這里主要是由各配線間到各個AP的線纜組成，可采用銅纜和光纜。這里采用綠聯(lián)超5類8芯雙絞線。水平電纜從配線間沿電纜橋架分別引向各個布放位置的AP，水平布線距離不超過80m，加上兩端的跳線總長度不超過100m。配線間管理子系統(tǒng)配線間管理子系統(tǒng)由線纜連接硬件和線纜管理硬件組成，即網(wǎng)絡(luò)設(shè)備和機柜。每個配線間使用圖滕G2.6042網(wǎng)絡(luò)服務(wù)器機柜，該款機柜共37U，高有1.8米，寬有0.6米，深有0.6米。配線架和理線架分別使用山澤24口超五類配線架和山澤理線架24口組成。對于配線間的設(shè)備或者配線間到AP的線纜均采用跳線管理。這樣的布線方法可以使任何信息點的變更更為輕松簡便。垂直干線子系統(tǒng)垂直干線子系統(tǒng)是綜合布線系統(tǒng)的重要部分，又稱作數(shù)據(jù)傳輸?shù)摹按髣用}”。用于連接中心機房的主配線架到各個樓層的配線間的配線架，這里采用勝為8芯網(wǎng)線多模室內(nèi)光纖光纜連接。采用8芯的多模光纖，可將傳輸速率提升至1Gbps以上，可為數(shù)據(jù)的傳輸提供高質(zhì)量的傳輸通道。設(shè)備間子系統(tǒng)在本系統(tǒng)中，建筑內(nèi)布線系統(tǒng)的設(shè)備間子系統(tǒng)設(shè)在1樓中心機房。設(shè)備間子系統(tǒng)采用圖滕G2.6042網(wǎng)絡(luò)服務(wù)器機柜，該款機柜共37U，高有1.8米，寬有0.6米，深有0.6米。用于安裝配線架、理線架及交換機等網(wǎng)絡(luò)設(shè)備。由于設(shè)備間子系統(tǒng)中設(shè)備種類復(fù)雜，線路繁多。因此要做好設(shè)備的進出線的標(biāo)注和整理，以方便后續(xù)管理員的管理和運維。系統(tǒng)設(shè)備選型核心層設(shè)備選型核心層的設(shè)備，用于給下層的設(shè)備提供高速轉(zhuǎn)發(fā)以及交換的通道，可以稱作是整個網(wǎng)絡(luò)系統(tǒng)中的骨干設(shè)備。因此核心設(shè)備的選擇，需要是具有高帶寬以及高交換容量的設(shè)備。在本系統(tǒng)中所選的是華為S6720-HI系列全功能萬兆路由交換機，如表5-3所示。表5-3核心交換機設(shè)備參數(shù)設(shè)備外觀設(shè)備型號S6720-50L-HI-48S設(shè)備描述S6720-HI系列全功能萬兆路由交換機是華為首款下行萬兆、上行40G和100G端口的盒式交換機，支持豐富的敏捷特性，可廣泛應(yīng)用于企業(yè)園區(qū)、運營商、高校、政府等應(yīng)用場景。匯聚層設(shè)備選型匯聚層的設(shè)備主要作用是承上啟下，既用于隔離核心層與接入層的環(huán)境，又要提供對各個網(wǎng)絡(luò)節(jié)點的業(yè)務(wù)匯聚和管理。因此匯聚層設(shè)備的選擇需要有高可靠性、高冗余度以及