接上篇《6、防火墙介绍及配置实操》
之前我们讲解了防火墙的基础知识以及相应的实操案例,本篇我们结合之前的交换机、路由器及防火墙的知识,进行一个酒店网络项目的实战。
本篇主要介绍一下酒店网络项目的整体需求文档。
一、项目背景
为规范万达美华酒店网络配置,统一个酒店的内部网络建设,现制订万达华美酒店网络配置规范。由于各酒店网络设备品牌、型号不尽相同,本规范只是在明确酒店内部网络结构的基础上,给出指导性的配置建议。
二、总体架构设计
万达酒店内部网络结构拓扑图如下图,整体网络由汇聚层及接入层组成:
三、网络功能域划分
1、Internet接入
通过运营商独享光纤链路接入机房,为酒店提供互联网Internet访问。
2、办公网
办公网功能主要用于酒店员工的日常办公使用,包括PC电脑和打印机设备等,网关设置在防火墙上。
3、管理网
提供信息管理人员对所有网络设备的管理维护,网关设置在防火墙上;网络设备通过SSH及HTTPS加密方式登录管理。
4、客房网-WiFi及智能电视
为酒店的入住客人提供无线上网服务,网关设置在客网上网网关上;智能TV通过网线接入到客房内的AP设备的RJ45接口,确保智能电视可以与互联网通信。
四、配置标准
1、设备摆放位置
为规范酒店网络结构,便于运维管理员操作及故障迅速定位,各酒店设备机柜摆放位置应按照下图“酒店网络总体拓扑”逻辑结构进行上架安装,并按照“设备用途及命名规范”打印标签。
机柜摆放示意图如下图所示:
2、设备用途及命名规则
设备命名规范采用 4个字段,字段分隔符为“_”(下横线):
3、接口互联
为规范酒店各网络设备间的互联,合理分配网络设备的接口资源,在满足业务应用的基础上,对网络资源进行有规则的分配,并为今后的扩展预留资源。
以24口交换机为例,端口分配如下:
4、IP地址分配
(1)Internet 接入地址分配
Internet接入公网IP地址由当地签约运营商提供,公网IP地址不少于5个,接入带宽不小于独享 200Mbps。
(2)办公网网段分配
办公网网络IP地址段为100.100.100.0,掩码为:255.255.255.0;其中1为网关地址使用;2~10作为网络预留;使用静态配置方式到终端办公设备。(可用地址范围100.100.100.1-100.100.100.254)
(3)管理网段分配
●管理交换机网段
各办公接入交换机和服务器接入交换机的管理地址采用100.100.101.0,掩码为:255.255.255.0;其中1为网关地址使用;2~10作为网络预留;其余静态分配给网络设备。(可用地址范围100.100.101.1-100.100.101.254)
●管理无线AP、AC网段
各客房、走廊无线设备管理网段的管理地址采用100.100.104.0,掩码为:255.255.254.0;其中1为网关地址使用;2~10作为网络预高留;其余静态分配给网络设备。
●客房Wi-Fi及电视网段分配
客房内Wi-Fi及电视网段IP地址为172.16.0.0,掩码为:掩码为:255.255.240.0;其中172.16.0.1为网关地址使用;172.16.0.2~20作为网络预高留;其余地址通过DHCP动态分配给终端使用。
●门锁服务器及门锁备份服务器IP分配
门锁生产服务器使用办公网IP地址,主机配置为:100.100.100.10/24,网关地址:100.100.100.1;子网掩码:255.255.255.0;DNS地址,114.114.114.114。
门锁备份服务器使用办公网IP地址,主机配置为:100.100.100.20/24,网关地址:100.100.100.1;子网掩码255.255.255.0;DNS地址:114.114.114.114。(备份服务器软件安装在一台办公电脑上并做出标识)
●前台自助机IP地址
1.前台弱电布线至少保证为自助机提供6个网口接入到办公网VLAN。
2.自助机使用IP地址:100.100.100.44-49;子网掩码255.255.255.0;网关地址:100.100.100.1。
五、VLAN分配
下图为VLAN的规划表:
六、路由规划及QOS规划
1、路由规划
为保证各酒店网络结构统一,万达美华酒店网络路由均采用静态路由方式进行配置。
2、QOS规划(限速设置)
客人无线上网总带宽不超过180Mbps(客网上网网关),按照每100自然间不低于20M带宽标准进行设置,设置承诺访问速率CAR,优化BC(突发量)、BE(额外突发量)参数。
办公网分配带宽30Mbps(汇聚交换机上联防火墙接口),确保互联网带宽满足日常办公需求。
七、设备配置标准
1、交换机配置
(1)接入交换机配置
接入交换机采用L2层模式进行部署,用于连接楼层内办公终端及无线设备,接入交换机应支持POE供电功能,为AP提供供电。
实施过程中,应按照接入设备的功能,交换机静态划分VLAN方式将接口与设备进行逻辑隔离。
注:POE (Power Over Ethernet)供电指的是基于IP的终端传输数据信号的同时,还能为此类设备提供直流供电的技术。
配置要求如下:
◆关闭Telnet服务,使用SSH进行远程登录;
◆配置本地AAA用户名,配置远程管理,Console接口配置密码准入,配置SVI接口IP地址并指定网关地址用于管理;
◆按规划配置VLAN信息划入相应接口:
◆配置Access接口连接终端设备;
◆配置Trunk口,封装格式使用802.1Q;
◆接入交换机办公VLAN开启端口安全;
注:SVI接口即交换机虚拟接口(Switch Virtual Interface,SVI),用于连接整个VLAN,所以通常也把这种接口称为逻辑三层接口。SVI是联系VLAN的ip接口,一个SVI只能和一个VLAN相联系。
Trunk是端口汇聚的意思,就是通过配置软件的设置,将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽,将属于这几个端口的带宽合并,给端口提供一个几倍于独立端口的独享的高带宽。
ACCESS模式:可以允许多个VLAN通过,可以接收和发送多个VLAN报文,可以用于交换机的间连接也可以用于连接用户计算机。
TRUNK模式主要用在交换机之间互连,使交换机上不同VLAN共享线路。
ACCESS模式主要实现高隔离度的波分和复用。
(2)汇聚交换机配置
汇聚交换机采用L2层模式进行部署,通过电口连接各楼层交换机上联接口用于汇聚。
配置要求如下:
◆关闭Telnet服务,使用SSH进行远程登录;
◆配置本地AAA用户名,配置远程管理,Console接口配置密码准入,配置SVI接口IP地址并指定网关地址用于管理;
◆按规划配置VLAN信息划入相应接口:
◆配置Trunk口,封装格式使用802.1Q;
◆汇聚交换机配置生成树,成为交换网络中根网桥。
2、防火墙配置
◆WAN口配置运营商分配的互联网IP地址,默认路由指向运营商网关地址(至少配置2个公网IP地址);
◆LAN口配置办公网、管理网网关;(access模式);
◆防火墙配置NAT策略保护,确保内部办公可以访问互联网;
◆按规划需求开启DHCP功能并下发IP地址、DNS 地址、网关IP等信息;
◆按照访问需求进行安全策略配置:
1.办公网与客人WiFi网络不能互访;
2.客人WiFi网不能访问管理网;
3.拒绝any访问内部网络TCP 445、135、138等端口对勒索病毒进行网络层封堵;
3、客网上网网关配置
客网上网网关应配置如下功能:
◆无线网A 网关配置在客网网关设备上;
◆配置QOS功能能够对客人流量速率进行控制,确保每100自然间分配20M共享带宽,对每个IP限制2M峰值;
◆将电视厂商统计的电视MAC地址导入到设备中,并静态绑定;
◆流量审计功能并记录日志,日志(至少保存180天)并定期自动清理:
◆静态绑定送餐智能机器人MAC地址和IP地址,不使用认证方式访问Wi-Fi网络。
以上就是万达酒店网络项目的整个项目需求文档。
下一篇我们就根据这个需求文件,来进行网络结构的规划与配置。
参考:众元教育-华为HCIA基础课程视频
转载请注明出处:https://blog.csdn.net/acmman/article/details/128170659
![[附源码]计算机毕业设计springboot志愿者服务平台](https://img-blog.csdnimg.cn/86d76704bd52435583fec5ede9c23a02.png)
![[数据结构]八大排序算法总结](https://img-blog.csdnimg.cn/66555053eb92404eb0044323d1c1f91a.png)
