企業(yè)網(wǎng)絡拓撲設計與實現(xiàn)案例分析目錄TOC\o"1-3"\h\u14262企業(yè)網(wǎng)絡拓撲設計與實現(xiàn)案例分析 1189591.1網(wǎng)絡分層設計思想 1282311.2網(wǎng)絡拓撲結(jié)構(gòu) 2220221.3企業(yè)有線部分的解決方案 2120431.1.1綜合布線系統(tǒng)設計 227881.1.2IP地址規(guī)劃及VLAN的劃分 3152431.1.3接入層設計 4128441.1.4匯聚層設計 4299471.1.5核心層設計 6141251.1.6出口設備配置 1252861.4企業(yè)無線部分的解決方案 1310861.4.1無線拓撲設計 132221.4.2wlan數(shù)據(jù)規(guī)劃 14159851.4.3wlan配置 151.1網(wǎng)絡分層設計思想在企業(yè)網(wǎng)絡的設計過程中，我采用了自底向上的三層網(wǎng)絡結(jié)構(gòu)設計思想，分別為核心層，匯聚層和接入層。如圖1.1所示圖1.SEQ圖\*ARABIC1網(wǎng)絡分層設計模型分層設計可以讓每一層都有自己獨立的功能，可以將復雜的網(wǎng)絡管理變得更簡單。核心層是企業(yè)網(wǎng)絡的骨干，主要負責企業(yè)各種網(wǎng)絡設備之間的高速連接以及外網(wǎng)的通信。因此我們在核心層使用了兩臺網(wǎng)絡設備，提高了核心層通信的可靠性。匯聚層在核心層和接入層之間，主要是將不同接入層的流量匯聚在一起，然后交給核心層進行轉(zhuǎn)發(fā)，有利于減輕核心層設備的壓力。接入層主要是給終端用戶提供上網(wǎng)服務，該層網(wǎng)絡設備的物理接口數(shù)量要多于其他兩層。1.2網(wǎng)絡拓撲結(jié)構(gòu)按照三層網(wǎng)絡架構(gòu)設計思想，設計出的網(wǎng)絡拓撲圖如圖1.2所示。圖1.2企業(yè)網(wǎng)網(wǎng)絡拓撲圖1.3企業(yè)有線部分的解決方案1.1.1綜合布線系統(tǒng)設計按照綜合布線系統(tǒng)的國際ISO11801標準，企業(yè)網(wǎng)的綜合布線系統(tǒng)可以由以下幾部分子系統(tǒng)組成。(1)工作區(qū)子系統(tǒng)設計在辦公區(qū)域布線時，主要減小所布設線纜對人的干擾，所以在布線的時候盡量緊貼墻壁或制作特定的線槽走線。在設置信息插座的時候，要適當?shù)目拷鞣N工作設備，比如：打印機，傳真機以及辦公電腦等，然后根據(jù)企業(yè)電網(wǎng)的不同類型，選擇不同的電源接口設備，嚴格按照ISO11801標準來執(zhí)行。(2)水平子系統(tǒng)設計水平子系統(tǒng)在鋪設管道方面，使用PVC凹槽的方式來施工，該類型管道本身阻燃等級較高，可以保證線纜不受外界高溫的影響。水平線纜應該被鋪設在地面或者房頂上，線纜兩端分別設置在使用者的辦公區(qū)域以及設備的主控室。所有鋪設的金屬管道線槽應該保持接地良好，每個交換機所使用的線纜要嚴格按照標準進行單獨的布線，防止其他類型的線路對網(wǎng)絡數(shù)據(jù)通信傳輸造成干擾。(3)垂直子系統(tǒng)設計垂直子系統(tǒng)在管理子系統(tǒng)和主機之間的線纜連接中，如果外圍有電磁信號干擾，則會對其造成影響。為了避免這種情況的發(fā)生，我們采用豎井的方式進行設計，并加以弱點保護，保證用戶的通信功能不會受到電磁信號的干擾。(4)管理子系統(tǒng)設計管理子系統(tǒng)要對各個部門的網(wǎng)絡設備進行整合管理。對于各個子管理系統(tǒng)來說，通過分別設置一個小型信息機柜，來將管理子系統(tǒng)所要管理的每個交換機以及其他網(wǎng)絡設備進行一個集中的管理。(5)設備間子系統(tǒng)設計各個部門使用的網(wǎng)絡設備都需要在設備室進行數(shù)據(jù)收集，因此在設備間要配置相關的維修裝備，比如：備用雙絞線，備用交換機，網(wǎng)線連通測試儀，剪線鉗等等。設備間的基本要求如下：1.透氣通風，無塵土，有長時間的照明系統(tǒng)。2.有合適的消防系統(tǒng)1.對設備間的地面進行加固處理，保證地面的強度。4.具有一定的降溫系統(tǒng)，防止設備過熱。1.1.2IP地址規(guī)劃及VLAN的劃分在進行VLAN設計的時候，我把一個企業(yè)中的總經(jīng)理部，市場部，財務部及無線用戶分別劃分到4個不同的VLAN中。為了節(jié)約公司公網(wǎng)的IP地址，在進行企業(yè)內(nèi)網(wǎng)的IP地址規(guī)劃時，盡量使用私網(wǎng)IP地址，且各個VLAN之間使用不同網(wǎng)段的私網(wǎng)IP地址。IP地址的規(guī)劃與VLAN的劃分如表1.1所示。表1.1IP地址及VLAN的劃分部門IP地址前綴子網(wǎng)掩碼VLANID總經(jīng)理部VLAN1市場部VLAN10財務部VLAN20訪客VLAN11企業(yè)無線用戶VLAN22我將不同部門的人放在不同的VLAN內(nèi)，主要是為了實現(xiàn)不同部門間的二層數(shù)據(jù)隔離，將廣播域的范圍縮到最小。1.1.3接入層設計在接入層交換機上，由于只是為了給某個部門提供接入上網(wǎng)服務，不需要做什么復雜的路由策略，只需要具備接入接口多和接口帶寬適中就行。在這里，我選擇華為S2720-52TP-EI作為接入交換機，該交換機具有32個下行百兆口，滿足企業(yè)接入層設備的要求。在接入層交換機上，需要按照表1.1所示的VLAN規(guī)劃，將屬于不同部門的物理接口劃分到相應的VLAN中去。在交換機與用戶連接的鏈路屬于接入鏈路，該鏈路不用接收任何STP報文，所以在交換機上，將屬于這種鏈路的端口設置為邊緣端口。該類型的邊緣端口不接收處理配置網(wǎng)橋協(xié)議數(shù)據(jù)單元報文，也就意味著不會進行生成樹的拓撲計算，可以直接跳過STP端口選舉及阻塞過程，直接進入轉(zhuǎn)發(fā)狀態(tài)，且不經(jīng)歷時延，可以最大程度地節(jié)約網(wǎng)絡設備CPU資源。[SW3-Ethernet0/0/1]stpedged-portenable1.1.4匯聚層設計匯聚層設備主要是將來自不同部門的流量進行匯聚，然后在轉(zhuǎn)發(fā)到核心層設備中。我選擇S5730-HI系列盒式敏捷交換機作為匯聚層設備，該設備具有最多48口千兆接入，4*10GE上行接口，有豐富的路由策略，完全可以滿足企業(yè)對匯聚層設備的要求。在匯聚層交換機上，為了防止二層交換環(huán)路，形成廣播風暴，我在匯聚層交換機上運行MSTP協(xié)議，該協(xié)議可以實現(xiàn)不同VLAN間流量的分擔，使不同VLAN的流量可以走不同的路徑，極大的提高了物理鏈路的使用效率，這種負載分擔需要將不同的VLAN映射到不同的實例里面，以方面交換機進行轉(zhuǎn)發(fā)處理操作。關鍵配置如下：[SW1]stpmodemstp[SW1]stpregion-configuration[SW1-mst-region]regionhou[SW1-mst-region]region1234[SW1-mst-region]instance10vlan1011[SW1-mst-region]instance20vlan12022[SW1-mst-region]activeregion其他交換機配置同理。選擇交換機的STP模式為MSTP，在這里為了流量的負載分擔，我們將VLAN10和VLAN11的流量走同一條路徑，VLAN1、VLAN20和VLAN22的流量走另外一條路徑。MSTP有選擇根橋，根端口的機制，為了讓不同VLAN的流量走不同的路徑，我們可以將實例10的根橋與實例20的根橋不同，這樣不同的生成樹實例，它所阻塞的路徑就各不相同。[SW3]stpinstance20rootprimary[SW3]stpinstance10rootsecondary上面的兩行代碼表示的意思是:交換機SW3為實例20的根橋，而在實例10中，SW3則為非根橋。非根橋表示該設備永遠不可能成為根橋。在交換機SW4中的設置跟SW3剛好相反。在匯聚層與核心層的物理鏈路上，不需要劃分VLAN，為了方便以后修改MSTP實例映射的時候，不需要改動這部分鏈路的配置，所以在這部分鏈路上，默認所有的VLAN都可以通過。在匯聚層交換機上執(zhí)行以下命令：[SW3-Ethernet0/0/4]portlink-typetrunk [SW3-Ethernet0/0/4]porttrunkallow-passvlanall1.1.5核心層設計選擇CloudEngineS6730-S系列交換機作為核心層交換機，該交換機具有48口萬兆接入，6*40GE上行，滿足企業(yè)網(wǎng)絡的數(shù)據(jù)轉(zhuǎn)發(fā)需求。（1）創(chuàng)建VLANIF接口核心層網(wǎng)絡設備選擇的是交換機，為了使核心層交換機有轉(zhuǎn)發(fā)不同網(wǎng)段數(shù)據(jù)的能力，我在核心層交換機上啟用了VLANIF接口，該接口是一個邏輯的三層接口，就相當于路由器的一個三層物理接口。首先，在交換機上創(chuàng)建一個VLANID=1的VLAN，然后創(chuàng)建其相應的三層VLANIF接口，最后配上IP地址。[SW1]vlan1[SW1-vlan1]intvlanif1[SW1-Vlanif1]ipaddress（2）進行鏈路的手工捆綁核心層交換機是內(nèi)網(wǎng)用戶互相通信的關鍵設備，它們運轉(zhuǎn)狀態(tài)的好壞，在一定程度上影響了內(nèi)網(wǎng)用戶通信的質(zhì)量。在兩個核心層設備之間啟用鏈路捆綁協(xié)議，讓它們之間的多根物理鏈路邏輯上綁在一起，形成一根邏輯鏈路組，在這根邏輯鏈路組中，所有的組成員鏈路都是一種相互備份的狀態(tài)，實現(xiàn)了鏈路的冗余備份，避免了單根鏈路故障所引發(fā)的內(nèi)網(wǎng)通信故障。采用手動鏈路捆綁模式，可以讓邏輯鏈路組內(nèi)成員全部處于轉(zhuǎn)發(fā)狀態(tài)，而自動協(xié)商捆綁模式形成的邏輯鏈路，組內(nèi)成員有一部分是處于休眠狀態(tài)，等轉(zhuǎn)發(fā)鏈路故障以后，才會進入轉(zhuǎn)發(fā)狀態(tài)，這在一定程度上造成了鏈路帶寬的浪費，所以在這里選擇手動鏈路捆綁模式。[SW1]interfaceEth-Trunk12[SW1-Eth-Trunk12]portlink-typetrunk[SW1-Eth-Trunk12]porttrunkallow-passvlan2to4094[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]eth-trunk12[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]eth-trunk12（3）使用VRRP提高網(wǎng)關冗余性圖1.3核心層設備拓撲在圖1.3中，核心層SW1和SW2作為核心設備，它們上面有企業(yè)內(nèi)網(wǎng)終端用戶訪問不同網(wǎng)段的網(wǎng)關，所以為了避免單網(wǎng)關故障造成的通信問題，在這里，我選擇使用VRRP協(xié)議實現(xiàn)網(wǎng)關的冗余備份。虛擬網(wǎng)關地址54作為內(nèi)網(wǎng)設備的默認網(wǎng)關，設備VRRP組的優(yōu)先級默認為100。在同一個VRRP組中，優(yōu)先級數(shù)值大的為主設備，其余的為備設備。SW1在VRRP組20的優(yōu)先級設為105，而SW2的VRRP組20的優(yōu)先級不變，這樣在VRRP組20中，SW1將作為備設備，SW2將作為主設備，所有以54為默認網(wǎng)關的設備，在上網(wǎng)的時候，將優(yōu)先走SW2路徑，當SW2故障以后，SW1將成為VRRP組20的主設備，承擔流量轉(zhuǎn)發(fā)的責任，實現(xiàn)了路徑的備份倒換。[SW1]interfaceVlanif20[SW1-Vlanif20]ipaddress52[SW1-Vlanif20]vrrpvrid20virtual-ip54[SW1-Vlanif20]vrrpvrid20priority105[SW2]interfaceVlanif20[SW2-Vlanif20ipaddress53[SW2-Vlanif20]vrrpvrid20virtual-ip54以上命令只是當設備發(fā)生故障以后，可以快速的進行主備設備的倒換。如果核心交換機的上行鏈路發(fā)生故障，如圖1.4中的SW1-SW6之間的直連鏈路，這種情況VRRP組將不會發(fā)生主備倒換，這樣容易讓走SW1-SW6路徑的流量丟失，造成流量黑洞。此時就需要將核心交換機的VRRP組與上行鏈路聯(lián)動，當上行鏈路發(fā)生故障時，與該上行接口相關聯(lián)的VRRP組設備的優(yōu)先級自動減30，然后重新參與主備設備選舉，盡量避免由于上行鏈路故障造成通信的故障問題。[SW1-Vlanif20]vrrpvrid20trackinterfaceGigabitEthernet0/0/6reduced30圖1.4核心交換機上行鏈路發(fā)生故障（4）使用ospf協(xié)議實現(xiàn)內(nèi)網(wǎng)的互通。為了實現(xiàn)內(nèi)網(wǎng)用戶三層路由信息的互通，在這里選擇OSPF作為企業(yè)網(wǎng)的路由選擇協(xié)議，把核心層設備以及其上層設備劃分到骨干區(qū)域Area0中，并取一個域內(nèi)唯一的Router-id。在OSPF進程中，將該設備的所有直連網(wǎng)段宣告進OSPF進程中。在區(qū)域Area0內(nèi)部，所有具有三層地址的設備共同維護同一個鏈路狀態(tài)信息庫，具有相同的OSPF路由條目表。[SW1]ospf10router-id6[SW1-ospf-10]area0[SW1-ospf-10-area-]network55[SW1-ospf-10-area-]network55[SW1-ospf-10-area-]network55[SW1-ospf-10-area-]network55[SW1-ospf-10-area-]network55[SW2]ospf10router-id2[SW2-ospf-10]area0[SW2-ospf-10-area-]network55[SW2-ospf-10-area-]network55[SW2-ospf-10-area-]network55當SW3所連接的用戶通過SW3→SW1→SW6訪問網(wǎng)絡時，如果回包路徑為SW6→SW2→SW1→SW3，這就產(chǎn)生的次優(yōu)路徑，如圖1.5所示。OSPF的cost是通過流量的入接口cost總和來計算的，所以可以通過修改回包流量的入接口cost來解決。在SW2的接口視圖下，將ospf的接口cost數(shù)值改大，這樣回包流量就會優(yōu)先走接口cost總和小的路徑。當SW4下用戶訪問網(wǎng)絡時，為了避免次優(yōu)路徑，SW1的配置同理。[SW2]intvlanif10 [SW2-Vlanif10]ospfcost2圖1.5次優(yōu)路徑圖（5）配置DHCP服務企業(yè)的每個上網(wǎng)用戶都需要分配一個內(nèi)部唯一的私網(wǎng)IP地址，手工配置耗費人工資源，所以在這里使用DHCP自動分配IP地址。在SW6上分別創(chuàng)建三個個全局地址池VLAN1，VLAN10和VLAN20，這三個地址池分別給各自VLAN內(nèi)的用戶動態(tài)分配IP地址。在配置DHCP的過程中，將所分配地址的網(wǎng)關設為距離終端用戶最近的默認網(wǎng)關地址，并將所分配地址的掩碼與網(wǎng)關接口的掩碼一致。執(zhí)行excluded-ip-address命令,將核心層交換機已使用的IP地址在地址池中排除，避免該地址被分配后，造成同一個局域網(wǎng)內(nèi)的IP地址沖突。設置DNS域名解析服務器的地址，當員工使用域名訪問外部網(wǎng)站的時候，可以直接通過DNS服務器獲取相應域名的IP地址，最后將分配后的IP地址設置租期為3天，當3天租期過后，自動收回該IP地址的使用權(quán)。[SW6]ippoolvlan10[SW6-ip-pool-vlan10]gateway-list54[SW6-ip-pool-vlan10]networkmask[SW6-ip-pool-vlan10]excluded-ip-address53[SW6-ip-pool-vlan10]dns-list[SW6-ip-pool-vlan10]leaseday3VLAN1和VLAN20的DHCP地址池配置同理。配置完DHCP地址池以后，就需要在本設備中距離用戶最近的三層接口下使能DHCP服務，由于本設備的三層接口與用戶不在同一個局域網(wǎng)內(nèi)，所以在這里需要在接口下啟用全局地址池的方式來分配IP地址。[SW6]intvlanif16[SW6-Vlanif16]dhcpselectglobal（6）配置DHCP中繼SW6做為DHCP服務器的配置已經(jīng)完成，但是如果想跨三層設備分配ip地址，這時候就需要在沿途的三層設備上配置DHCP中繼功能。因為DHCP中繼可以讓客戶端的DCHP發(fā)現(xiàn)報文跨越三層設備傳遞到DCHP服務器中。在接口下執(zhí)行dhcprelayserve-ip命令，指定分配IP地址的地址[SW1]dhcpenable[SW1]intvlan10[SW1-Vlanif10]dhcpselectrelay[SW1-Vlanif10]dhcprelayserve-ipSW2配置同理。（7）網(wǎng)絡管理接口為了讓企業(yè)網(wǎng)絡管理員更加方便的管理網(wǎng)絡設備，在這里，我使用了具有數(shù)據(jù)加密功能的遠程登錄協(xié)議SSH。當網(wǎng)絡設備發(fā)生故障時，在企業(yè)內(nèi)部的網(wǎng)管不需要到設備所處地，只需要連接上企業(yè)內(nèi)網(wǎng)，使用SSH登入發(fā)生故障的網(wǎng)絡設備，就可以進行故障的處理。在被管理設備的AAA認證視圖下，新建一個網(wǎng)絡管理員用戶tiger，將這個用戶的優(yōu)先級設置為最大，優(yōu)先級最大表示該用戶可以執(zhí)行任何配置操作。[SW1]intvlanif88[SW1-Vlanif88]ipaddress8[SW1-aaa]local-usertigerprivilegelevel15passwordcipherhou[SW1-aaa]local-usertigerservice-typessh 在設備的管理視圖下，啟用AAA認證，并允許虛擬終端使用SSH協(xié)議登錄設備。[SW1]user-interfacevty04[SW1-ui-vty0-4]authentication-mode-aaa[SW1-ui-vty0-4protocolinboundssh（8）基于時間的ACL在白天的上班時間，可以通過配置ACL命令，實現(xiàn)讓內(nèi)網(wǎng)部分主機禁止訪問互聯(lián)網(wǎng)的目的。在網(wǎng)絡設備上設定好每天的上班時間段，然后配置ACL命令，拒絕/24和/24網(wǎng)段的用戶在工作時間內(nèi)訪問互聯(lián)網(wǎng)及內(nèi)網(wǎng)服務器，并在SW6與防火墻之間的接口，出向調(diào)用ACL，這樣極大的節(jié)約了企業(yè)網(wǎng)出口的帶寬資源。[SW6]time-rangeworkday08:00to11:30working-day[SW6]time-rangeworkday13:30to18:00working-day[SW6-acl-basic-2001]ruledenysource55time-rangeworkday[SW6-acl-basic-2001]ruledenysource55time-rangeworkday[SW6]intg0/0/8[SW6-GigabitEthernet0/0/8]traffic-filteroutboundacl2001在遠離/24網(wǎng)段用戶的設備上調(diào)用ACL，可以避免該ACL策略影響網(wǎng)段用戶內(nèi)網(wǎng)間的通信。1.1.6出口設備配置（1）NAT技術具有私網(wǎng)IP地址的數(shù)據(jù)包，是不可以被公網(wǎng)設備進行轉(zhuǎn)發(fā)的，所以就需要將內(nèi)網(wǎng)用戶的私網(wǎng)ip地址，轉(zhuǎn)換為公網(wǎng)ip地址來進行因特網(wǎng)的網(wǎng)絡訪問服務。在防火墻上配置名為ip2的公網(wǎng)地址池，公網(wǎng)地址范圍為00/24-10/24。轉(zhuǎn)化模式為Pat模式。這種模式將私網(wǎng)IP地址轉(zhuǎn)化為公網(wǎng)IP地址加端口號的形式，讓一個公網(wǎng)地址可以對應多個私網(wǎng)IP地址，很好的節(jié)約了公網(wǎng)地址。[FW]nataddress-groupip2[FW1-address-group-ip2]modepat[FW1-address-group-ip2]section10010在防火墻上配置私網(wǎng)IP地址到公網(wǎng)IP地址的地址轉(zhuǎn)換策略，當用戶數(shù)據(jù)由內(nèi)網(wǎng)訪問外網(wǎng)時，數(shù)據(jù)包的源地址將由原來的私網(wǎng)IP地址變?yōu)楣W(wǎng)IP地址，當用戶數(shù)據(jù)由外網(wǎng)回包給內(nèi)網(wǎng)時，回包數(shù)據(jù)包的源地址將由原來的公網(wǎng)IP變?yōu)樗骄W(wǎng)IP地址。[FW]nat-policy[FW1-policy-nat]rulenametrust2untrust[FW1-policy-nat]source-zonetrust[FW1-policy-nat]destination-zoneuntrust[FW1-policy-nat]source-address24[FW1-policy-nat]source-address24[FW1-policy-nat]source-address24[FW1-policy-nat]source-address24[FW1-policy-nat]source-address24[FW1-policy-nat]actionnataddress-groupip2為了讓在外辦公的人員可以訪問內(nèi)部的FTP服務器，這里使用NATserver技術，該技術將內(nèi)網(wǎng)服務器的私網(wǎng)IP地址映射為外部公網(wǎng)IP地址。在外辦公人員只需要記住服務器的公網(wǎng)IP地址，就可以通過互聯(lián)網(wǎng)訪問內(nèi)部FTP服務器。[FW1]natservera0global00inside(2)靜態(tài)默認路由配置企業(yè)網(wǎng)的邊界設備是內(nèi)網(wǎng)用戶訪問外網(wǎng)用戶的出口，它需要讓內(nèi)網(wǎng)設備獲取外網(wǎng)的路由。如果用動態(tài)路由選擇協(xié)議，這樣會讓外網(wǎng)路由全部進入內(nèi)網(wǎng)設備的路由表中，給內(nèi)網(wǎng)設備增加了運行的壓力。通過在邊界設備上配置一條指向運營商設備的默認路由，然后在邊界設備的動態(tài)路由選擇協(xié)議視圖上引入該靜態(tài)默認路由的方式，實現(xiàn)一條指向外網(wǎng)的靜態(tài)默認路由下放，這樣所有的內(nèi)網(wǎng)設備的路由表中僅有一條默認路由，極大的減輕了內(nèi)網(wǎng)設備的運行壓力。[FW]iproute-staticGigabitEthernet1/0/0[FW1-ospf-10]network1.4企業(yè)無線部分的解決方案1.4.1無線拓撲設計選擇瘦AP的組網(wǎng)方式，對企業(yè)進行無線方面的設計。瘦AP可以做SSID，信道，認證，信號強度等進行全局設計。雖然設置無線控制器（AC）比設置無線路由器要復雜一些，但是瘦AP的組網(wǎng)方式可通過AC產(chǎn)品對AP進行集中管理，極大方便了企業(yè)網(wǎng)管人員對AP的配置與維護。在WLAN的組網(wǎng)設計中，我選擇二層旁掛式組網(wǎng)方式，典型的組網(wǎng)拓撲圖如圖1.6所示。圖1.6典型二層旁掛式組網(wǎng)拓撲圖旁掛式組網(wǎng)可以僅處理AP的管理業(yè)務，AP的數(shù)據(jù)業(yè)務經(jīng)過配置，讓數(shù)據(jù)流量不經(jīng)過AC直接轉(zhuǎn)發(fā)到上行網(wǎng)絡。1.4.2wlan數(shù)據(jù)規(guī)劃企業(yè)的無線上網(wǎng)用戶分為兩類：外來訪客和企業(yè)員工，所以在WLAN數(shù)據(jù)規(guī)劃的時候，分別規(guī)劃不同的私網(wǎng)地址段給這兩類用戶，方便以后針對不用的用戶群體，做不一樣的安全策略。Wlan數(shù)據(jù)規(guī)劃表如表1.2所示。表1.2Wlan數(shù)據(jù)規(guī)劃表AC數(shù)據(jù)規(guī)劃表配置項數(shù)據(jù)DHCP服務器AC作為DHCP服務器為AP分配IP地址，同時作為AP的網(wǎng)關。SW1作為DHCP服務器為用戶分配IP地址，同時作為用戶的網(wǎng)關AP的IP地址池-53移動用戶的IP地址池Employee：-53Guess：-53AC的源接口IP地址54/24AP組名稱：Guess引用模板：VAP模板，域管理模板名稱：employee引用模板：VAP模板，域管理模板域管理模板名稱：Guess國家碼：CN名稱：employee國家碼：CNSSID模板名稱：Guess國家碼：CN名稱：employee國家碼：CN安全模板名稱：Guess安全策略：開放系統(tǒng)名稱：employee安全策略：WPA-WPA2+PSK+AES密碼：Huawei@123VAP模板名稱：Guess轉(zhuǎn)發(fā)模式：直接轉(zhuǎn)發(fā)業(yè)務VLAN：VLAN111引用模板：SSID模板，安全模板名稱：employee轉(zhuǎn)發(fā)模式：直接轉(zhuǎn)發(fā)業(yè)務VLAN：VLAN111引用模板：SSID模板，安全模板1.4.3wlan配置在AC上需要創(chuàng)建一個VLANIF接口并在接口下啟用DHCP接口地址池模式，用于給AP分配IP地址，[AC1]interfacevlanif11[AC1-Vlanif11]ipaddress5424[AC]dhcpenable[AC1-Vlanif11]dhcpselectinterface在無線拓撲設計中，將AC旁掛在SW1上，而無線用戶的IP地址則由SW1負責分配。在SW1上啟用